5G 移动网络共享安全 V1.02

5G移动网络共享安全 NGMN联盟 Date: 26.10.2022 版本:1.02 保密类: P-公共 文档类型:最终交付物(批准) 授权收件人: （仅适用于CR文档） 项目:安全能力团队 编辑/提交者: StanWong(香港电讯) 贡献者： 黄斯坦(香港电讯),齐敏鹏(中国移动), 黄晓婷(中国移动)，谢巴·玛丽(联想)， AndreasKunz（联想），IvyGuo（苹果） 批准人/日期: <NGMN正文/日期> ©2022下一代移动网络联盟e.V.保留所有权利。 未经NGMN事先书面许可，以任何形式或任何方式复制或传播联盟e.V. TheinformationcontainedinthisdocumentrepresentsthecurrentviewheldbyNGMNAlliancee.V.onthe 截至发布之日讨论的问题。本文档按“原样”提供，无任何担保 任何情况，包括对适销性、不侵权或适用于任何特定情况的任何保证目的。与使用 本文档中的信息被否认。没有任何明示或暗示的知识产权许可在此授予。本文档仅供参考，如有更改 读者不应根据本文档设计产品。 NGMN联盟e.V. GroβerHasenpfad30•60598法兰克福•德国 电话+4969/9074998-0电子邮件office@ngmn.org Abstract 移动网络基础设施共享被称为物理或逻辑网络的共享 resources.Mobilenetworksharingcouldoccurondifferentlevelandwithvarioussharing 移动网络基础设施中的选项。通常，这些不同的共享选项需要彻底考虑保护级别。但是，这些保护级别和安全性 措施可能会影响选择共享选项类型的决定。即使 移动网络运营商(MNO)投入了大量的防御努力来保护每个 共享选项，垂直行业在选择合适的共享方面面临着巨大的挑战他们的服务选项和特定移动网络的足够安全性 基础设施共享选项。因此，本白皮书为MNO和垂直行业确定每个移动网络基础设施的足够安全性共享选项。 Contents 1介绍……………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………521.1Scopeofthe白色纸张.......................................................................................................6 2.1Mobil部e网署络En共vi享ron部m署en定t..性.....分....析.....…...…....…....…...…....…....…...…....…....…...…....…....…...…....…....…...…....…....…...…....…....…...…....…..8…………………………………… 2.2Dataand ……………………………………………………………………………………………………………………………………………… 交通管理…………………………………………………………………………………………………………… ……………7 2.3 2.4 2.5 2.6 2.7 2.8 ……………………………………………………………………………………………………………………………………… ……………9 被动网络组件分享…………………………………………………………………………………………………………… …………………………10 活动网络组件分享…………………………………………………………………………………………………………… ………10 网络服务Purpose11 Levelof 35G网络共享部署期权……………………………………………………………………………………………………………… 保证……………………………………………………………………………………………………………………… …………………………………………11 3.1………非…公…开……网…络…（…N…P…N…）…1…313 3.2 3.3 3.4 3.5 3.6 3.7 网络切片20 3.8 多认运证算an符d收Lo音ca机l监访管问机权构限要网求络…（…M…O…R…A…N…）………………………………………………………………1…115 多订运阅算者符管核理心....网....络.....（.....M....O...C..N....）.....…....…....…...…....…....…...…....…....…...…....…....…...…....…....…...…....…....…...…12…………………………………………… …………………………………………………16 Site共享17 回程分享18 核心网络分享…………………………………………………………………………………………………………………… …19 特征of 4网络共享担保……………………………………………………………………………………………………………… 5多…路22访问边线Computing（MEC）。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 网络共享Levelof信托23 。。。。。。。。。。。。。。。。21 5.1NPN23 5.2 6.2 6.2 6.2 6.2 6.2 6.2 6 25 MOCN27 Site共享29 回程分享…………………………………………………………………………………………………………………………… ………………………………31 核心网络分享……………………………………………………………………………………………………………………… …………………………………33 网络切片35 网络共享部署安全Operation认识39 7结论4M0EC37 Listof缩写41 参考资料42 1介绍 移动网络基础设施共享对各种服务和业务的需求不断增长 需要[1]。移动网络基础设施即服务(MNIaaS)的普及程度提高网络基础设施灵活性的提高为降低 资本支出(CAPEX)和运营支出(OPEX)。然而，一般来说，基础设施共享总是给客户带来额外的风险和脆弱性。 基本上，它增加了恶意软件感染的可能性，暴露了攻击面变得更宽，并扩大了敏感信息丢失或暴露的可能性。 如果没有适当的安全措施，移动网络运营商(MNO)和垂直行业可能会将其敏感数据暴露于新的安全威胁，最终 将无法从移动网络基础设施共享中受益。 因此，适当的移动网络基础设施共享的安全措施准则可以协助MNO和垂直行业利用基础设施共享，并将国防 机制或方法到位。事实上，不同类型的共享选项可能有不同的安全措施。安全措施的部署可能会影响 商业价值和选择共享选项类型的决定。此外，安全性措施可能需要彻底考虑防御方法，可以分为 不同级别的保护。即使MNO投入了大量的防御努力来保护移动网络基础设施，垂直行业在选择上面临着巨大的挑战 为他们的服务提供合适的共享选项，并为特定的移动设备提供足够的安全性网络基础设施共享选项。尽管如此，运行时安全问题和新 安全威胁可能会影响服务可用性。因此，共享基础架构保护或防御可以与部署前和部署后的保护方法区分开。在 一般来说，以前的部署保护措施是基于标准化的规范和MNO的网络基础架构策略。部署后保护方法通常依赖于安全运营中心(SOC)安全信息和事件管理(SIEM)团队。 本白皮书为MNO和垂直行业识别适当的 每个移动网络基础设施共享选项的安全措施。图1表示 八种不同类型的当前可部署移动网络基础设施共享选项。每个移动网络共享选项的类型应具有特定的保护要求，并且 安全重要性。此外，MNO和垂直行业(租户)也可以使用这个白皮书也是保护客户的指南。 1.1白皮书的范围 图1：移动网络共享的主要类型 这是一份白皮书，用于定义移动网络共享信任级别，并确定衡量即将到来的网络共享安全级别的合适方法 生成网络。特别是，本白皮书为MNO提供了安全指南和垂直行业来保护他们的网络共享服务。 3移动网络共享部署定性分析 传统上，移动网络共享可以看作是物理网络单元共享和逻辑网络分区。直接识别共享资源的粒度 并向客户识别正确的网络共享选项[2]。然而，在现代在电信系统中,移动网络共享比传统的网络共享更为复杂。它可以涉及频谱共享、物理网元共享、计算资源 共享,存储共享,逻辑网段共享,虚拟化网络功能共享和域名服务共享等。这些共享选项和机制为客户提供 具有灵活性和选项，为其服务选择合适的网络共享选项。但是，有了这些灵活性，共享和部署方法的不同组合往往诱发或引入安全风险客户的服务。因此，客户总是 希望找出安全级别，并在每个手机上寻求足够的防御在本节中，我们建立了一种定性的方法来分析 移动网络共享安全，这不仅为客户提供支持’ 决策过程中，也协助MNO确定防御的重要性水平从客户s'观点。一方面，这种定性方法揭开了 移动网络共享部署选项的复杂性和来自MNO的安全问题和他们的客户。另一方面，它还帮助MNO及其客户深入了解移动网络共享的服务架构规划。 在以下各节中，我们从移动方面介绍了八个主要的安全问题网络共享提供商和客户:部署环境、数据和流量 管理，被动网络组件共享，主动网络组件共享，网络服务目的、保证水平要求、认证和当地法规需求和订户管理。这八个主要的安全问题也可能缩小移动网络共享的风险，简化部署流程，加快up共享网络架构设计流程并确定网络安全边界在设计阶段。这种方法对获得和 识别关键参数测量。图2说明了这八个主要的安全性 对雷达图的关注，该雷达图提供了每个方面的多变量视图，并且可以用于区分每个网络共享选项中的安全级别。 3.1部署环境 图2：移动网络共享信任度量方案 部署环境是部署移动共享最重要的防御措施 网络，这有助于MNO识别隔离级别和资源共享网络部署架构，建立网络防御边界并选择 每个网络边界中适当的防御机制。此外，此隔离级别 可以分为三个级别：完全隔离的网络环境，半隔离的网络环境。隔离网络环境和共享网络环境。 完全隔离的网络环境是最安全的方法，也称为‘气隙’隔离。它不需要考虑与其他网络的共享资源 网络基础设施。因此，攻击面将被限制在一个独立的网络环境。通常，内部攻击将主要被认为是完整的- 隔离网络。此外，此关键网络基础架构可能在私有拥有的频谱，并且可能也无法访问Internet。例如，政府机构由于许多国家安全，需要最安全的网络共享级别 原因。因此，网络将被部署为完全隔离的网络，并且可能在专用频谱、基站、接入网、核心网和数据中心上运行。基本上，它是一个独立的网络，攻击面窄，网络有限 要确定的安全范围，这是一个高度防御和最安全的部署环境与其他部署环境相比。 半隔离网络环境的安全性低于完全隔离网络 environment.Italsohasaslightlywiderattacksurfaceandnumberofnetworkperimeterat 典型的位置和资源共享点。例如，关键基础设施垂直没有专用频谱的行业客户会要求频谱共享。MNO 需要考虑频谱容量和服务可用性。那么MNO也可能需要额外考虑小区站点的物理安全性和其他漏洞。特别是中间人攻击的后果会导致服务中断 或服务不可用。 最后，共享网络环境与其他客户共享所有资源。它具有最广泛的攻击面和大量的网络周边受到保护，这是远远比以前的部署环境更复杂。例如，垂直行业 客户需要为其丰富的服务共享5G网络共享，其中成本有效性是部署的主要考虑因素，而其他要素可能不是客户的关注。因此，MNO需要对 这样的网络共享环境来保护整个网络基础设施。 3.1数据和流量管理 数据和流量管理防御措施是在网络共享下处理数据。它帮助MNO实施数据保护政策，并帮助客户识别