标准号YD/T 2909-2015状态
发布于:2015-07-14
实施于:2015-10-01
移动通信网络域安全认证框架
标准号:YD/T 2909-2015
中国标准分类号:M30
国际标准分类号:33.030
批准发布部门:工业和信息化部
行业分类:信息传输、软件和信息技术服务业
本标准适用于使用NDS/IP或者TLS的网元(NE)的认证。
对于3GPPTS33.210中所述的NDS/IP,本标准包括在相应Za接口的安全网关(SEG)的认证和在Zb接口的网元之间以及网元和安全网关之间的认证。运营商域内的网络设备(即网元和安全网关)的认证是运营商内部的事情,这与3GPPTS33.210中规定一致,即强制部署Za接口,运营商自己决定是否配置Zb接口,因为Zb接口为可选。如果是在相同运营商的两个安全域之间的Za接口或者Zb接口,证书的有效性可能受限于运营商的域。
注:假如两个安全网关是同一个管理中心(例如,由相同移动运营商拥有)下两个不同网络域的相互连接,那么还是需要部署Za接口,但是Za接口的使用由运营商决定。
基于IP协议的NDS架构如图1所示:
对于TLS,本标准集中于运营商之间的链路的TLS实体的认证。例如,对于IMS和非IMS网络3GPP TS33.203和在3GPP TS33.220里的Zn'接口上的运营商间的通信,TLS有详细说明。运营商内链路的TLS实体的认证视为运营商内部的事情。然而,当所有的TLS网元和PKI基础设施属于同一个运营商时,
NDS/AF很容易适配到运营商内部的使用场景,因为这只是运营商之间使用场景的简化。证书的有效性受限于运营商的域。一个附录包括关于TLS证书手动处理的信息,以防基于TLS的NDS/AF,不能实现自动登记和撤销。