5G政务专网超级SIM卡解决方案探讨.pdf

1、2023年第7期5G 政务专网超级 SIM 卡解决方案探讨黄晓弟，张燕（中国移动通信集团广东有限公司珠海分公司，广东省珠海市 519015）摘要针对 5G 政务专网存在二次鉴权管控手段缺乏、手机热点失控、传输链路未加密、一机两用等信息安全问题，文章引入超级 SIM（客户识别模块）卡内置的 CA（证书授权）证书实现接入用户身份认证和传输链路加密，通过 SPA（单包授权）技术降低外界入侵内网应用的风险，采用安全沙盘技术在用户终端上创建一个与个人环境逻辑隔离的安全工作空间，解决一机双用问题。关键词5G 政务专网；超级 SIM（客户识别模块）卡；CA（证书授权）证书；SPA（单包授权）；安全沙箱0引言

2、一方面，5G 专网为移动办公带来极大的便利；另一方面，网络信息安全已经上升为国家战略，电子政务专网对网络信息安全的要求极高。本文将分析5G 政务专网的安全风险，探讨对应的解决方案。15G 政务专网存在的安全隐患5G 政务专网在提供专线能力的同时，存在一些需要完善的内容，主要包括以下几方面。1.15G 专网网络层缺乏二次鉴权管控手段用户使用政务专网分配 IP 地址，用于管理互联网业务和专网。5G 政务专网无法在网络层对 IP地址进行访问管控，需要网络准入二次鉴权管理手段。1.2人员离职或变更后账号访问权限无法管理目前专网套餐的开通，由政府的政务服务数据管理局及相关单位线下流程申请、中国移动协助开

3、通，存在人员管理相关风险，如公务离职、变更等情况发生，需要快速对专网访问权限进行管控。1.35G 专网存在热点共享权限失控的风险授信手机热点开启共享，连接热点的非信任手机或计算机以热点共享者的身份访问 5G 专网。1.4未建立端到端数据传输加密链路目前，行业 5G 专网无法解决端到数据传输链路不安全的问题，存在传输数据泄漏或被盗取风险。5G 专网仅能实现终端至基站之间的连接加密，除此外，传输链路无法实现安全保障，存在被黑客窃听篡改风险。1.5一机两用带来的数据泄露风险客户端一机两用，既可以访问互联网，又可以访问政务专网，存在被截取的风险，容易被钓鱼攻击而成为跳板，大量应用/中间件暴露在互联网，

4、导致更多的被攻击风险。下面笔者将从超级 SIM（客户识别模块）卡的统一身份认证、5G 专网准入管控和一机两用 3 方面探讨上述风险的解决方案。2超级 SIM 卡统一身份认证超级 SIM 卡内置物理安全芯片，存放用户 CA（证书授权）证书。芯片安全级别达到 EAL4+（评估保证等级 4 以上），用户私钥在芯片内生成，永不出芯片。结合 PKI（公钥基础设施）非对称加密技术，通过 SIM 卡、CA 证书提供与 U 盾同等的硬件级、高安全、防篡改、防抵赖的授权认证服务，可实现政务论 文 选 粹2023年第7期图 1超级 SIM 卡加密安全隧道示意图系统的快捷登录和认证。超级 SIM 可以建立无线终端到

5、政务外网的加密数据传输通道，通过超级 SIM 卡内置的 CA 证书加密密钥，实现用户端数据采用 SSL（安全套接层）传输加密，能够有效防止通信数据被劫持解密风险。同时，超级 SIM 平台还支持商用密码算法套件进行加密，满足政府客户国产密码改造的合规需求。超级 SIM 卡加密安全隧道如图 1 所示。3超级 SIM 卡安全网关 5G 专网准入管控用户在访问 5G 政务专网时，首先通过 5G 核心网进行一次鉴权，完成 SIM 卡的通信网络认证。可由政府单位在政务专网内网边界建设自主管理的认证鉴权平台，如超级 SIM 卡安全网关，实现用户二次鉴权，保证外来人员的合法性。5G 专网超级 SIM 安全网关

6、组网如图 2 所示。用户通过核心网一次鉴权获得 IP 地址后，访问互联网业务时不需要进行二次鉴权；当用户访问专网时触发二次鉴权流程，使用管理员为用户分配的 SPA（单包授权）密钥和安全网关进行身份鉴权。SPA 密钥可通过用户 SIM 卡短信通道或超级 SIM 卡 BIP（独立传输协议）通道下发。鉴权通过后，安全网关利用 SDP（软件定义边界）技术在网关防火墙临时放通客户侧 IP 地址 TCP（传输控制协议）连接，仅允许通过二次鉴权的合法用户访问专网，实现 5G 专网访问权限的安全管控。SPA 是 SDP 的核心功能，SPA 的接入流程如图 3 所示。SPA 的主要作用是通过默认关闭服务端口，使

7、服务实现网络隐身，在网络上无法扫描。用户侧需要安装专用客户端，通过专用客户端完成 5G政务内网的认证连接。超级 SIM 网关采用结合了认证加密的第三代 SPA 技术，当终端环境发生变化或者未使用可信应用时，专用客户端可以直接拒绝访问或注销登录，从而避免共享热点对内网业务造成图 25G 专网超级 SIM 安全网关组网图论 文 选 粹2023年第7期威胁。超级 SIM 卡安全网关方案有很多优点：一是与运营商核心网业务流程解耦，安全网关业务流程与信令流程分离，在数据面进行管控，不需要核心网侧对接、改造；二是采用 IP 白名单临时放通机制，用户完成核心网一次鉴权即可访问互联网，同时通过二次鉴权阻断未授

8、权 IP 访问 5G 专网；三是采用 SPA技术，通过默认关闭内网应用服务端口实现网络隐身，从网络链路上杜绝未授权来访主体对被保护应用系统的访问，最大程度收敛互联网暴露面，有效降低外界入侵内网应用的风险。4超级 SIM 卡安全网关一机两用方案5G 政务外网终端“一机两用”安全管控解决方案是采用零信任技术架构的新一代终端安全接入方案，由超级 SIM 安全网关控制中心、代理网关、客户端 3 个部分构成，提供覆盖 iOS（苹果公司的操作系统）、Android（安卓）、HarmonyOS（华为鸿蒙）等操作系统移动终端的安全沙箱功能。安全沙箱示意如图4 所示。安全沙箱在用户终端上创建一个与个人环境逻辑隔

9、离的安全工作空间，支持针对不同用户启用不同的终端权限管理策略，实现通信数据加密、落地文件加密、内外网络访问隔离、禁止截屏转发、文件外发管控、屏幕水印等终端数据保护。5结束语超级 SIM 卡安全网关较好解决了用户二次鉴权问题。基于超级 SIM 卡内置的 CA 证书，实现了用户身份验证，建立了端到端的传输加密链路；SPA技术最大程度收敛互联网暴露面，并避免共享热点对内网业务造成威胁；安全沙箱技术在用户终端上创建了一个与个人环境逻辑隔离的安全工作空间。5G 政务专网超级 SIM 卡解决方案在类似金融等对网络信息安全有高要求的行业，也同样具有重要参考意义。参考文献1雷震甲.%网络工程师教程 M.第 5 版.%北京：清华大学出版社，2018.2王建英，吕俟林，许建明.%可应用于 5G 网络的垂直行业二次认证方法浅析 J.%通信技术,%2020,%53（10）:2538-2542.黄晓弟（1978），男，硕士，主要从事运营商核心网、数据承载网网络维护工作。收稿日期：2023-02-23图 3SPA 接入流程图图 4安全沙箱示意图论 文 选 粹