20235G电力虚拟专网环境零信任安全接入及交互技术要求

5GII目 次前言 II112范引文件 13语定义 14略语 25体构 36问体术求 3终要求 3加传输 47入道术求 45G力拟网 4MEC环境 48全互术求 5统身认证 5持信评估 5动访控制 55G心安交互 59撑统术求 6终零任针 6零任理台 6PAGEPAGE15G电力虚拟专网环境零信任安全接入及交互技术要求范围5G本文件适用于5G电力虚拟专网环境零信任安全接入与交互设计、开发和选型。（GB/T29242-2012GB/T37032QGDW12098-2021下列术语和定义适用于本文件。边缘物联代理IoTedgeagent）[来源：QGDW12098-2021，3.3.7]终端零信任代理terminalzerotrustagent安全接入secureaccess安全交互secureaccessandinteraction基于零信任的内网应用资源安全信息交互的过程。访问主体accesssubject能访问客体的主动实体。[来源：GB/T29242-2012，3.7]注：访问主体可以是发起访问的设备、用户、应用等。访问客体accessobject被访问的目标资源。注：访问客体例如服务器、数据库、打印服务、网络等。终端terminal电力5G终端，包含CPE、FTU、DTU、融合终端等。5G核心网5Gcorenetwork采用第五代移动通信技术，对用户面和控制面分离，采用服务化架构设计，主要由网络功能（NF）组成，采用分布式的功能，根据实际需要部署，新的网络功能加入或撤出，并不影响整体网络的功能。切片NetworkSlicing电力专用UPFUserPlaneFunction电力系统负责处理数据传输的数据平面功能。边缘计算节点Edgecomputingnode（）共享运营商UPFSharedoperatorUserPlaneFunctionUPF零信任探针zerotrustNETprobe围绕资源访问控制的安全策略、技术与过程中侦听网络数据包的网络探针。缩略语下列缩略语适用于本文件。ACL：访问控制列表（AccessControlList）CPE：用户驻地设备（Customer-premisesEquipment）DTU：数据传输单元（DataTransferunit）FTU：馈线终端装置（FeederTerminalUnit）IP：互联网协议（InternetProtocol）IPsec：互联网安全协议（InternetProtocolSecurity）MAC：媒体访问控制（MediaAccessControl）MEC：移动边缘计算（MobileEdgeComputing）NAT：网络地址转换（NetworkAddressTranslation）NEF：网元功能（NetworkElementFunction）QoS：服务质量（QualityofService）RAN：无线接入网（RadioAccessNetwork）SSAL：国家电网公司安全应用层协议（StateGridSecureApplicationLayer）SSL：安全套接字协议（SecureSocketsLayer）SMF：业务管理功能（ServiceManagementFunction）TLS：传输层安全（TransportLayerSecurity）UPF：用户面功能（UserPlaneFunction）VPN：虚拟专用网络（VirtualPrivateNetwork）5G5GCPE、FTU、DTU5G访问客体为主体访问的电力信息系统及其资源。图1 5G力拟网信全防架构终端身份满足下列技术要求：GB/T37032密钥协商认证应满足下列技术要求：SSL/TLS、IPSec、SSAL边界隔离应满足下列技术要求：ACL6接入认证与鉴权应满足下列技术要求：APN终端加密应满足下列技术要求：数据加密技术应满足下列技术要求：5G电力虚拟专网5G5GIPsecN2、N4N3、N65G5GUPFVLANUPFMEC环境MEC5G能力开放要求包括MEC平台能力开放、无线网络能力开放和核心网能力开放，MEC平台开放应可与5G运营商核心网进行能力协同，并应满足下列技术要求：MEC（API（Cell）/用户MECNEFQoSNEFMECSMFUPFMECIPMECMECNAT统一身份认证持续信任评估动态访问控制访问控制策略技术应包含：5G核心网安全交互5G5G5GUPF5G终端零信任探针零信任探针部署应满足下列技术要求：5G5GCPE5GMEC/