[发明专利]一种基于5G网络切片的安全专网架构系统

说明书

本发明公开了一种基于5G网络切片的安全专网架构系统，包括如下内容：一、采用基于5G专网的端到端分段隔离机制；二、采用主认证增强架构；三、采用二次认证安全机制。与现有技术相比，本发明的积极效果是：本发明采用基于5G专网(终端侧到后台业务应用)的端到端分段隔离机制、差异化的增强接入认证(增强型UDM‑主认证增强)、灵活可变的二次认证(AAA认证)等技术相互组合增强，为终端提供了端到端的安全隔离通道(具有不同安全等级)的5G安全架构。

技术领域

本发明涉及移动通信技术领域，具体涉及一种基于5G网络切片的安全专网架构系统。

背景技术

移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性，通过身份标识、认证授权、信道与承载加密、访问控制等方式，提供了良好的安全通信能力。随着新一代通信技术（5G-NR）的到来，面临新业务、新构架、新技术对网络安全性带来挑战，需更好定义5G安全标准和技术来应对5G的安全风险。

5G 网络继承了4G 的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。5G提供了更大范围的移动性，也为用户提供了更健壮的业务安全性、更严密的数据保护以及更强的用户隐私性，但是针对不同行业用户的安全需求，5G安全网络架构还有如下缺陷：

1、目前各省的用户分别接各个省自有的归属网（普通用户与涉密用户均共用归属网），存在不安全、责任不清晰以及运维成本较高；

2、各个运营商的认证算法单一，缺乏对用户差异化认证需求的灵活控制，而且所采用的AES(Advanced Encryption Standard, 高级加密标准)国际密码算法库有可能存在漏洞，有被攻破的风险；

3、运营商网络采用业务分段保护机制，不支持端到端的分段隔离机制（为用户从终端到用户端提供全方面的安全保护系统），很容易出现信息被截获的风险；

4、基于现有3GPP(The 3rd Generation Partnership Project, 第三代合作伙伴计划)的5G安全机制，不能满足不同的行业用户对5G安全机制，有不同等级的安全需求（例如：军队最高级别、无人驾驶中等级别就可以，普通用户用现有安全等级即可）；

5、UE（User Equipment，用户）和服务网络（UDM（统一数据管理）增强模块）采用3GPP标准的EAP-AKA(Extensible Authentication Protocol-AKA, 可扩展身份验证协议)、5G-AKA的认证框架以及MILENAGE算法框架，但是不能实现对于算法进行替换；

6、3GPP标准提出支持在核心网中进行二次认证的功能，但是其算法和协议都不可以灵活的选择。

发明内容

为了克服现有技术的上述缺点，本发明提出了一种基于5G网络切片的安全专网架构系统，采用自建归属网络结合安全增强措施的方式构建集中服务于行业用户的安全增强核心网，通过漫游方式与运营商现有公网对接，最大化利用公网基础的广域覆盖特性以及跨境专网的无缝接入能力，为具有安全性需求的各种行业用户提供具有差异化、可定制的基于5G网络切片的安全专网技术方案。

本发明解决其技术问题所采用的技术方案是：一种基于5G网络切片的安全专网架构系统，包括如下内容：

一、采用基于5G专网的端到端分段隔离机制：包括终端侧隔离、RAN 隔离、承载隔离、核心网隔离和用户隔离；

二、采用主认证增强架构：对UE和服务网络采用EAP-AKA、5G AKA的认证框架以及MILENAGE算法框架，实现在终端侧和网络侧相关实体配合对主认证算法进行替换；所述主认证增强架构的主要内容包括：

（1）将原MILENAGE算法框架中采用的AES的Ek计算部分替换为行业用户选择的算法实现；