SMF白名单设置为只允许指定IP地址的访问

来源:华文易迅 时间:2023-09-07 09:00:04

对5G专网安全策略的探讨。

3.15GC安全防护。

5GC应保证它的安全可靠，从而保证其关键控制功能。

1)网格单元加固。

应尽可能减少权限，尽量减少系统内核，卸载不需要的相关组件和过于复杂的密码管理，并在安全补丁和日志审计等方面对5GC网元进行安全加固。

2)保障服务平台。

NDS/IP协议应在5GC上实现，实现数据的保密、完整性保护，同时引入了双向身份认证和保密数据完全传输。当5GC构建基础平台时，不必要的功能也应该被削减，并且加强它，以减少因为开放源码软件引入的相关等闲，同时加强存储单元，支持脚本和镜像文件的加密存储。

3)安全检查。

配置存储容器和虚拟机的安全检测机制，当发现异常时，隔离虚拟机，并快速启动新的虚拟主机，以保证相关业务正常运行。

3.2沉网单元单元安全保护。

1.物质安全。

UPF可部署于客户园区，应保证其物理安全性，一是机柜应具备防拆、防盗等功能，而对于有本地维修的主机设备，则应采取取消console口的权限。另外，下陷UPF还应具备对其物理链路状态的监测功能，及时捕捉链路中的异常情况，保护链路不被恶意攻击或盗用，当设备端倪DNA时，应是触发报警，控制本地加载序列，禁用外挂或软件引导系统，升级补丁和程序源检测，并使用可信计算确保物理服务器可信；确认只执行了经过验证的代码。

2.数据保障。

沉降式UDF应该仅保留在会话期间的用户敏感信息，会话结束后应立即清除相关信息。与此同时，相关的信息也要及时存储。此外，还应注意数据的保密性、完整性等方面的保护措施。

3.通信、认证、接口等控制。

在与经过授权的设备进行同步通信的情况下，应对下沉UDF进行双向认证和授权。对于控制数据流，应支持限制发送SMF和接收来自SMF的信令数据大小，防止信令流超载。与此同时，要限制用户带宽，避免单用户大量占用资源。而且关于接口的西安之，应该只允许白名单中的IP地址和相应的协议访问，所以应该将SMF白名单设置为只允许指定IP地址的访问，而不能处理发送有安全风险的消息类型。

3.3三类5G专网的安全策略。

1.独立的专网安全策略。

自主网应保证5GC可用性和安全性，应结合无线侧身份认证，避免恶意或未授权用户访问独立专网。

2.Virtual专网安全策略。

虚拟化专网要从切片、无线接入、核心层等隔离和资源保障，同时要保证数据传输的稳定性和可靠性，二次认证做了接入控制与流量的限制，并做好物流与物流之间的安全保障。

3.专网安全策略的部分共享。

局部共享的专用网络需要在网元控制、接入控制和业务隔离等方面做好资源保障，同时为下陷网元做好安全保护。做好沉网元与公网5GC之间的安全控制，沉陷网元与企业网络的安全保证。

5G专用网可以在不同领域中相互推广，安全是不可或缺的基础。文章对5G专用网作了基本讨论，并对三种网络环境下的安全隐患及相应的对策进行了分析，以保证5G专用网的可靠运行，后续还可根据大网安全能力进行开放，为5G行业用户提供更丰富的差异化安全服务。