YD/T 2909-2015 移动通信网络域安全认证框架

标准编号：YD/T 2909-2015

中文名称：移动通信网络域安全认证框架

发布日期：2015-07-14

实施日期：2015-10-01

技术归口：

批准发布部门：工业和信息化部

标准范围

本标准适用于使用NDS/IP或者TLS的网元(NE)的认证。

对于3GPPTS33.210中所述的NDS/IP，本标准包括在相应Za接口的安全网关(SEG)的认证和在Zb接口的网元之间以及网元和安全网关之间的认证。运营商域内的网络设备(即网元和安全网关)的认证是运营商内部的事情，这与3GPPTS33.210中规定一致，即强制部署Za接口，运营商自己决定是否配置Zb接口，因为Zb接口为可选。如果是在相同运营商的两个安全域之间的Za接口或者Zb接口，证书的有效性可能受限于运营商的域。

注:假如两个安全网关是同一个管理中心(例如，由相同移动运营商拥有)下两个不同网络域的相互连接，那么还是需要部署Za接口，但是Za接口的使用由运营商决定。

基于IP协议的NDS架构如图1所示：

对于TLS,本标准集中于运营商之间的链路的TLS实体的认证。例如，对于IMS和非IMS网络3GPP TS33.203和在3GPP TS33.220里的Zn'接口上的运营商间的通信，TLS有详细说明。运营商内链路的TLS实体的认证视为运营商内部的事情。然而，当所有的TLS网元和PKI基础设施属于同一个运营商时，

NDS/AF很容易适配到运营商内部的使用场景，因为这只是运营商之间使用场景的简化。证书的有效性受限于运营商的域。一个附录包括关于TLS证书手动处理的信息，以防基于TLS的NDS/AF，不能实现自动登记和撤销。

首页预览图