[发明专利]一种基于5G网络切片的安全专网架构系统

权利要求书

1.一种基于5G网络切片的安全专网架构系统，包括终端设备、无线接入网、核心网、用户；其特征在于：包括如下内容：

该系统对终端设备进行隔离、对无线接入网RAN进行隔离、对承载进行隔离、对核心网进行隔离：

（1）终端设备隔离：包括终端设备存储和运行应用数据的隔离，终端设备安全等级分别与RAN隔离、承载隔离、核心网隔离、用户隔离的安全等级进行匹配，为不同终端设备分配安全等级、制定定制化的安全防护；

（2）RAN隔离：使用逻辑隔离，将资源块按照不同网络切片的要求按需分配，多个网络切片共享总的频谱资源，实现基站调度器根据不同网络切片的传输要求，对资源块动态调配；

（3）承载隔离：包括软隔离和硬隔离，其中对于安全等级需求较低的用户，采用软隔离方式；对于安全等级需求较高的用户，采用硬隔离方式；

（4）核心网隔离：采用多重隔离机制，包括网络切片间的隔离，以及网络切片与用户之间的隔离；

在用户UE和核心网使用主认证增强框架，主认证增强框架包括采用EAP-AKA、5G AKA的认证框架以及MILENAGE算法框架，实现在终端设备和核心网相关实体配合对主认证算法进行替换；所述主认证增强架构的主要内容包括：

（1）将原MILENAGE算法框架中采用的AES的Ek计算部分替换为用户选择的算法实现；

（2）对终端设备做出调整，以匹配核心网改动：在校验AV并计算响应RES时，使用用户选择的算法作为Ek参与运算；

在核心网使用AAA设备进行二次认证，将二次认证所需的协议以及算法部分解耦归集在一个物理或逻辑的安全组件中，或者归集在AAA设备外挂的安全设备中；AAA设备在进行二次认证鉴权时，与安全组件、安全设备之间通过特定接口获取协议、算法的执行结果。

2.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述网络切片间的隔离包括物理隔离方式和逻辑隔离方式。

3.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述网络切片与用户之间的隔离包括：在网络切片和用户之间的隔离采用基于网络切片的接入认证和访问控制机制；在网络切片和行业应用之间的隔离，通过部署虚拟或者物理防火墙，并设置访问策略来进行。

4.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：从终端设备到用户采用如下隔离、安全机制：

1)根据不同的用户的安全需求，使用不同安全等级的终端设备，或者在终端设备上采取物理或逻辑的机制区分隔离出不同的安全域，不同安全等级的应用、数据的存储、运行空间彼此隔离以确保安全性；

2)终端设备上的业务应用经过5G空口，经gNB或CU、DU到拜访地5G核心网边界的回传网段，以及拜访地5G核心网再经运营商光传输网OTN到归属地5G核心网之间的传输网段，以及归属地5G核心网内部UPF之间的路由转发部分，采用3GPP的5G网络切片隔离机制；

3)归属地5G核心网边界的UPF到用户专网边界的用户专线部分，除原有的专线设备外，再配备不同安全等级的安全网关，或者在安全网关内部区分不同安全等级的端到端连接，实现端到端连接按安全等级的隔离；且安全网关的安全等级与整个5G专网网络切片的安全等级相匹配；

4)在一个安全等级的5G网络切片内部以及该5G网络切片到对应用户专网边界处，终端设备使用安全组件与远程的安全网关进行端到端的安全通信。

5.根据权利要求4所述的一种基于5G网络切片的安全专网架构系统，其特征在于：所述终端设备采用物理或逻辑的安全组件作为本地安全功能的可信支撑实体。

6.根据权利要求1所述的一种基于5G网络切片的安全专网架构系统，其特征在于：对Ek进行替换的方法为：

1）将UDM中实现MILENAGE算法框架取得AV的部分，进行移除；并为外部获取AV预留接口；

2）在移除算法框架的UDM外部，重新构建实现MILENAGE算法框架并反馈AV的模组或设备；

3）该模组或设备是用户定制的，其内部将使用用户选择的算法，以软件或者硬件的方式实现用户专有的Ek运算，并向UDM反馈AV，进而替换3GPP的AES算法。