5G边缘计算安全技术要求

5G边缘计算安全技术要求本文件规定了5G边缘计算的认证和授权、接口、用户同意等安全要求及安全流程。本文件适用于4G/5G核心网网元、部署在UE中的边缘使能客户端(EEC)、边缘配置服务器(ECS)、边缘使能服务器(EES)以及边缘应用服务(EAS)的安全能力建设和运维等2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。移动通信网安全技术要求面向边缘计算的5G系统增强技术要求3GPPTS21.9053GPP标准词汇(VoAPlcabularyfor3GPPSpecifications)3GPPTS23.558v17.7.0使能边缘应用架构(ArchitectureforenablingEdgeApplicationsAPIFramework(CAPIF)for3GPPnorthbound3GPPTS33.187v17.0.0机器类型通信和其他移动数据应用通信增强的安全要求(SecurtyaspectsofMachine-TypeCommunications(MTC)andothermobiledataapplications3GPPTS33.210vl7.1.03G安全；网络域安全；IP网络层安全(30security;NetworkDomainSecurity(NDS);IPnetwork3GPPTS33.310v17.5.0网络域安全：认证架构(NetworkDomainSecurity(NDS);Authentication3GPPTR33.867v17.1.03GPP业务的用户同意研究(SudyonUserConsentfor3GPPservices)IETFRFC7515EAP-TLS认证协议(JSONWebSignature(JWS))IETFRFC7858基于TLS的DNS协议(SpecificationforDNSoverTransIETFRFC8310基于TLSIETFRFC9110HTIETFRFC9113超文本传输协议2(HTTP/2)3术语、定义和缩略语3.1术语和定义3GPPTS21.905界定的术语和定义适用于本文件。2下列缩略语适用于本文件。3GPP第三代合作伙伴计划AF应用功能针对应用的认证和密钥管理API应用程序接口DNS城名服务器EAS边缘应用服务端EASDF边缘应用服务器发现功能ECS边缘配置服务端EEC边缘使能客户端EES边缘使能服务端FQDN全地址域名GBA通用引导构架GPSI公共用户标识符HTTP超文本传输协议IP互联网协议JSONJavaScript对象表示法JWTJSON网络令牌NEF网络能力开放功能PO0过程控制对象PSK预共享密钥SCEF业务能力开放功能SCS业务能力服务器SMF会话管理功能TLS传输层安全协议UPF用户面功能URI统一资源标识符AuthenticationandKeyManagementforApplicationProgrammingInDomainNameServerEdgeApplicationServerDiscFullQualifiedDonainNameGenericBootstrappingArchitectureGenericPublicSubscriptionIdenLocalPDUSessionNetworkExposureFunctionTransportLayerUserPlaneFunction5G边缘计算安全技术要求涉及到面向边缘计算的5G核心网架构以及应用层架构，这两种架构是相互独立的，且分别具有不同的安全要求和安全流程。面向边缘计算的5G核心网参考架构和连接模型应符合YD/TXXXX-XXXX《面向边缘计算的5G系统增强技术要求》的第4章的要求，架构中包含边缘应用服务器发现功能(EASDP),其相关安全流程在本文件6.7及6.8中规定。面向边缘计算的应用层架构如图1所示，其网元及接口应符合3GPPTS23.558v17.7.0的规定。主要包括以下实体，4G/5G核心网网元、部署在UE中的边缘使能客户端(EEC)、边缘配置服务端(ECS)、边缘使能服务端(EES)以及边缘应用服务端(EAS)。34EES能力开放中EAS的认证和授权：EES应通过ED应确定EAS是否可授权访问EES的服务和开放EEC的能力。边缘计算架构应支持EAS获得用户授权后访问用户敏感信息(例如用户位置)的能力。5.2接口安全EDGE-1至EDGE-4以及EDGE-6至EDGE-9接口应支持机密性保护、完整性保护和抗重放保由于所有接口都具有机密性和完整性保护，因此3GPPTS23.558v17.7.0中规定的隐私要求AR--h是隐式支持的。5.3用户同意用户同意指的是运营商可在取得用户(自然人)的同意后，处理个人信息，即用户许可，另外，运营商也可根据其他法规条款直接处理个人信息。边缘计算的用户同意应符合3GPPTR33.867v17.1.0的要求。6安全流程6.1EDGE接口安全对于接口EDGE-1或者EDGE-4,EEC、EES和ECS应支持并使用IETFRFC9113和IETFRFC9110中规定的带有"htps"URI的HTTP/2。此外，TLS配置文件应符合3GPPTS33.210v17.1.0的6.2规定的配置文件。对于EDGE-2、EDGE-7和EDGE-8接口，如果使用NEFAPI,则应重用NEF的安全流程，包括YD/T3628-2019第12章规定的NEF-AF接口保护和CAPIF支持，即使用TLS。如果使用SCEFAPI,则应重用3GPPTS33.187v17.0.0的5.5中规定的SCEF-SCS/AS的安全流程，即使用TLS。对于EDGE-3、EDGE-6和EDGE-9接口，EAS、EES和ECS应支IETFRFC9110中规定的带有"htps"URI的HTTP/2。此外，TLS配置文件应符合3GPPTS33.210v17.1.0的6.2的配置文件。6.2EEC和ECS的认证和授权ECS应配置EES使用的授权方式(包括令牌授权或本地授权)信息。EEC和ECS之间的认证应在执行TLS握手协议期间进行。注1:认证方法的详组信息相关要求(例如，ns证书，使用AKMA或GBA作为生成TLSPSK的方法)不在本文件的范围内。如果EEC将GPSI发送给ECS,则ECS也应对GPSI进行队证。注2:如何认证GPSI的相关要求不在本文件的范围内。认证成功后，ECS应根据本地授权策略对EEC进行授权。认证授权成功后，ECS根据配置信息决定候选EES是否需要获得OAuth2.0访问令牌，并为每个使用令牌授权的候选EES分别颁发EES访问令牌。ECS、EEC和EES分别扮演IETFRFC6749中定义的授权服务器、客户端和资源服务器的角色。应使用“客户端凭证”授权类型和承载令牌。应遵循IETFRFC7519中规定的JSON网络令牌(WT)进行编码，应遵循ETFRFC7515中规定的JSON签名配置文件对令牌进行保护。本令牌配置文件也适用于本文件6.3。JWT形式的EES访问令牌的56.3EEC和EES的认证和授权EEC和EES之间的认证应在执行TLS握手协议期间进行注1:认证方法的详细信息相关要求(例如，TLS证书，使用AKMA或GBA作为生成TLSPSK的方法)不在如果EEC将GPSI发送给ECS,则ECS也应对GPSI进行认证。注2:如何认证GPSI的相关要求不在本文件的范围内。对于EES授权EEC,如果EEC从ECS收到OAuth2.0访问令牌，EEC应牌配置文件在6.2中定义。如果EES需要使用访问令牌进行授权，则EES应使用令牌授权EEC。否则，EES应通过本地授权方式授权EEC。认证和授权成功后，EES应处理请求，并将响应发送回EEC。6.4EES和ECS的认证和授权EES在同一PLMN域内或从第三方域获取注册信息。该信息应包括ECS的地址和根CA证书的详细信息，可包括注册令牌。EES和ECS已预配置用于TLS双向认证的认证凭证。应使用TLS为EES与ECS之间的接口提供完整性保护、机密性保护和抗重放保护。TLS实施和使用的安全配置文件应遵循3GPPTS33.210v17.1.0的6.2定义的配置文件相关要求证书应遵循3GPPTS33.310v17.5.0的6.1.3a规定的配置文件相关要求。终端实体证书中的身份应用于认证和策略核查。终端实体证书中的身份应基于3GPPTS23.558v173.0中的端点信息(例如ECS应根据本地授权策略对EES进行授权。6.5EES能力开放的认证和授权根据3GPPTS23.558vl7.7.0的8.7.3CAPIF将3GPP核心网的网络能力重新开放给EAS。如果使用CAPIF,则EES能力开放中的认证和授权应使用3GPPTS33.122y17.1.0中规定的CAPIF安全功能模块。如果不使用CAPIF,则应使用基于证书的TLS进行双向认证。TLS和证书应遵循3GPPTS33.210y17.1.0和3GPPTS33.310v17.5.0中规定的配置文件，授权应基于EES的本地授权策略6.6EES间的认证和授权如6.1所述，TLS用于EES之间的EDGE-9接口安全。对于EES之间的认证，应使用X,509证书。证书的配置文件应遵循3GPPTS33.310v17.5.0的6.1.3a定义的配置文件相关要求。终端实体证书中的身份应用于认证和策略核查，并应基于3GPPTS23.558中的端点信息