定义
安全架构(Security Architecture)是移动通信网络端到端的安全防护体系,由3GPP TS 33.501等标准定义,涵盖接入安全、网络域安全、用户域安全、应用域安全及可配置性(NEA/ NIA算法选择)。安全架构将认证、空口加密、完整性保护、密钥管理、隐私保护等机制有机整合,形成纵深防御,满足GDPR、等保等合规要求。
安全层次与防护域
- 接入层(Access Stratum):UE与gNB/eNB间双向认证(5G AKA、EAP-AKA')、用户面与信令面加密(NEA0/128/256)、完整性保护(NIA0/128/256),防范空口窃听与篡改
- 网络域(Network Domain):网元间IPSec、TLS、Diameter/HTTP/2信令保护,SEG安全网关隔离,防范中间人攻击与信令伪造
- 用户域(User Domain):USIM安全存储、终端安全启动、TEE/SE隔离敏感数据,防范终端侧密钥泄露
- 应用域(Application Domain):业务层加密、API鉴权、VPN隧道、防火墙策略,保障业务数据与用户隐私
密钥层次与派生
安全架构采用分层密钥派生:根密钥K从认证过程派生,逐级派生KgNB、KRRCenc、KRRCint、KUPenc等,实现密钥隔离与前向安全。密钥定期更新(如切换、周期性更新)降低长期密钥暴露风险。5G引入SUCI(订阅隐藏标识)替代IMSI明文传输,增强隐私保护。
典型应用场景
安全架构贯穿蜂窝网络全生命周期:终端入网认证、空口数据加密、核心网信令保护、物联网设备安全接入、企业专网与公网隔离等。物联网场景下,安全架构需兼顾低功耗终端的算力约束,支持轻量级算法与简化认证流程(如5G IoT的EAP-TLS预共享密钥)。
达希物联的物联网卡接入运营商蜂窝网络时,全程受安全架构保护:终端通过认证协议完成入网鉴权,空口加密保障数据在无线链路上的机密性,核心网与平台侧采用TLS、IPSec等保障回传安全。达希物联在为客户选型物联网方案时,会关注运营商网络的安全等级、是否支持eSIM远程配置与密钥安全存储,确保物联网设备在工业、金融等敏感场景下的合规与数据安全。