产品概述
SEPP(Security Edge Protection Proxy,安全边缘保护代理)是5G漫游安全架构的重要组成部分,用于用户漫游,与其他运营商的通信互通,负责运营商之间控制平面接口上的消息过滤和策略管理,主要作为运营商核心网控制面之间的边界网关。
SEPP作为非透明代理节点,能够提供应用层控制平面安全性,实现跨运营商中NF消费者与NF提供者之间的安全通信。
SEPP之间通过N32接口建立连接并实施保护策略,对跨网络信令中的每个控制面消息进行处理。N32接口根据用途可分为N32-c和N32-f两个子接口,其中N32-c用于提供两个SEPP之间的初始握手过程,包括能力协商、参数交换等;N32-f用于在两个SEPP之间发送经过安全保护的SBI消息。
产品规格
接口功能
N32-c部分功能:
- 密钥协议:SEPP独立地导出与它们之间建立的N32-c连接相关联的密钥资料,并将其用作预共享密钥,用于生成所需的共享会话密钥。
- 参数交换:SEPP交换SEPP所需的安全相关配置参数,以保护各自网络中两个网络功能(NF)之间交换的HTTP消息。
- 错误处理:接收SEPP在检测到N32接口错误时,向对端SEPP发送错误信令消息。
N32-f部分功能:
- 解析传入的消息:如果发现消息中包含扩展FQDN,则从接收NF的扩展FQDN中去除自己的FQDN部分,以获得原始FQDN。
- 重构消息:产生用于JSON Web Encryption(JWE)的输入。
- 加密消息:基于JWE的方式将消息加密生成受到保护的状态。
- 封装JWE对象:将产生的JWE对象封装在HTTP/2消息体内,并通过N32-f接口将消息发送到对端的SEPP。
安全功能
- SEPP应在漫游网络中与SEPP进行密码套件的相互认证和协商。
- SEPP在处理密钥管理方面,应设置在两个SEPP之间保护N32接口上的消息所需的加密密钥。
- SEPP应通过限制外部各方可见的内部拓扑信息来执行拓扑隐藏。
- SEPP作为反向代理,应提供单点接入并控制内部NF。
- pSEPP应能够验证cSEPP是否被授权在接收的N32消息中使用运营商网络ID。
- SEPP应能够清楚地区分用于认证对等SEPP的证书和用于认证执行消息修改的中间体的证书。
- SEPP应实施速率限制功能,以保护自身和随后的NF免受过度CP信号的影响。这包括SEPP到SEPP信令消息。
- SEPP应实现反欺骗机制,以实现源和目标地址和标识符(例如FQDN或运营商网络ID)的跨层验证。如果消息的不同层之间存在不匹配或者目的地地址不属于SEPP自己的运营商网络,则丢弃该消息。