T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交互技術要求

1范圍

本文件規(guī)定了5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互的總體架構(gòu)、訪問主體技術要求、接入通

道技術要求、安全交互技術要求和支撐系統(tǒng)技術要求。

本文件適用于5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互設計、開發(fā)和選型。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T29242-2012信息安全技術鑒別與授權安全斷言標記語言

GB/T37032物聯(lián)網(wǎng)標識體系總則

QGDW12098-2021電力物聯(lián)網(wǎng)術語

3術語和定義

下列術語和定義適用于本文件。

邊緣物聯(lián)代理IoTedgeagent

在智慧物聯(lián)體系中部署于邊緣側(cè)的裝置或軟件模塊，利用本地通信網(wǎng)絡對(智能）傳感器、采集控

制終端、表計、監(jiān)測裝置等終端進行統(tǒng)一接入，實現(xiàn)對多種通信方式和協(xié)議規(guī)約的適配，根據(jù)統(tǒng)一邊緣

計算框架對數(shù)據(jù)進行邊緣處理和標淮化建模，并通過安全接入平臺發(fā)送到物聯(lián)管理平臺或主站系統(tǒng)。

[來源：QGDW12098-2021，3.3.7]

終端零信任代理terminalzerotrustagent

代理終端完成零信任處理的軟件實體，身份認證和訪問控制的策略執(zhí)行點。物聯(lián)網(wǎng)中，終端零信任

代理和物聯(lián)網(wǎng)終端可為不同的物理實體，但終端和終端零信任代理之間應有可信通道進行交互。

安全接入secureaccess

提供基于零信任的內(nèi)網(wǎng)應用資源接入，通過身份認證、權限控制等模塊，確保更安全、更隱私地訪

問業(yè)務。

安全交互secureaccessandinteraction

基于零信任的內(nèi)網(wǎng)應用資源安全信息交互的過程。

訪問主體accesssubject

能訪問客體的主動實體。

[來源：GB/T29242-2012，3.7]

注：訪問主體可以是發(fā)起訪問的設備、用戶、應用等。

訪問客體accessobject

被訪問的目標資源。

注：訪問客體例如服務器、數(shù)據(jù)庫、打印服務、網(wǎng)絡等。

1

T/ZJSEEXXXX—XXXX

終端terminal

電力5G終端，包含CPE、FTU、DTU、融合終端等。

5G核心網(wǎng)5Gcorenetwork

采用第五代移動通信技術，對用戶面和控制面分離，采用服務化架構(gòu)設計，主要由網(wǎng)絡功能（NF）

組成，采用分布式的功能，根據(jù)實際需要部署，新的網(wǎng)絡功能加入或撤出，并不影響整體網(wǎng)絡的功能。

切片NetworkSlicing

電信運營商從統(tǒng)一電信基礎設施分離出的虛擬網(wǎng)絡，實現(xiàn)端到端資源隔離，以適配各種類型的業(yè)務

應用?；诓煌夹g實現(xiàn)方式，依照資源隔離強度高低網(wǎng)絡切片可分為硬切片和軟切片兩種類型。

電力專用UPFUserPlaneFunction

電力系統(tǒng)負責處理數(shù)據(jù)傳輸?shù)臄?shù)據(jù)平面功能。

邊緣計算節(jié)點Edgecomputingnode

在靠近用戶的網(wǎng)絡邊緣側(cè)構(gòu)建的業(yè)務平臺，提供存儲、計算、網(wǎng)絡等資源，將部分關鍵業(yè)務應用下

沉到接入網(wǎng)絡邊緣，以減少網(wǎng)絡傳輸和多級轉(zhuǎn)發(fā)帶來的寬度和時延損耗。邊緣節(jié)點位置介于用戶和云中

心之間，相比較傳統(tǒng)的云中心，邊緣節(jié)點更接近用戶（數(shù)據(jù)源）。

共享運營商UPFSharedoperatorUserPlaneFunction

適用于共享運營商的無線網(wǎng)和核心網(wǎng)的用戶平面功能，5G核心網(wǎng)系統(tǒng)架構(gòu)的重要組成部分，主要負

責5G核心網(wǎng)中用戶平面數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)相關功能。為不同業(yè)務UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進

行訪問控制與資源隔離。

零信任探針zerotrustNETprobe

圍繞資源訪問控制的安全策略、技術與過程中偵聽網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡探針。

4縮略語

下列縮略語適用于本文件。

ACL：訪問控制列表（AccessControlList）

CPE：用戶駐地設備（Customer-premisesEquipment）

DTU：數(shù)據(jù)傳輸單元（DataTransferunit）

FTU：饋線終端裝置（FeederTerminalUnit）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPsec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MAC：媒體訪問控制（MediaAccessControl）

MEC：移動邊緣計算（MobileEdgeComputing）

NAT：網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）

NEF：網(wǎng)元功能（NetworkElementFunction）

QoS：服務質(zhì)量（QualityofService）

RAN：無線接入網(wǎng)（RadioAccessNetwork）

SSAL：國家電網(wǎng)公司安全應用層協(xié)議（StateGridSecureApplicationLayer）

SSL：安全套接字協(xié)議（SecureSocketsLayer）

SMF：業(yè)務管理功能（ServiceManagementFunction）

TLS：傳輸層安全（TransportLayerSecurity）

UPF：用戶面功能（UserPlaneFunction）

VPN：虛擬專用網(wǎng)絡（VirtualPrivateNetwork）

2

T/ZJSEEXXXX—XXXX

5總體架構(gòu)

5G電力虛擬專網(wǎng)零信任安全防護架構(gòu)，主要包括安全接入（包括訪問主體和接入通道）和安全交

互（包括支撐系統(tǒng)和訪問客體）兩個部分，架構(gòu)示意圖見圖1。

接入主體為能訪問客體的各類電力5G終端，主要形式為：CPE、FTU、DTU、融合終端等。

接入通道為5G電力虛擬專網(wǎng)，實現(xiàn)終端接入通信。

支撐系統(tǒng)為零信任管理平臺，包含零信任安全代理和零信任安全控制中心。零信任安全控制中心

應具備對整個訪問過程的持續(xù)安全監(jiān)測、信任評估和動態(tài)更新訪問控制策略等功能，零信任安全代理應

具備訪問流量的重定向和訪問控制策略執(zhí)行、流量加密等功能。

訪問客體為主體訪問的電力信息系統(tǒng)及其資源。

圖15G電力虛擬專網(wǎng)零信任安全防護架構(gòu)

6訪問主體技術要求

終端要求

6.1.1身份要求

終端身份滿足下列技術要求：

a)為終端賦予全局唯一性編碼，可以內(nèi)置芯片、內(nèi)置證書或者設備唯一性標識為基礎，編碼方式

可參照GB/T37032執(zhí)行；

b)終端宜能存儲終端身份信息，無法存儲終端身份信息的終端，終端身份信息應存儲在終端零信

任代理所在實體上，零信任代理應能夠根據(jù)終端屬性索引終端身份；

c)處理零信任相關業(yè)務的數(shù)據(jù)包中應攜帶終端身份信息。

6.1.2密鑰協(xié)商

密鑰協(xié)商認證應滿足下列技術要求：

a)終端數(shù)據(jù)安全傳輸、敏感內(nèi)容加密、數(shù)字簽名采用國家密碼部門認可的加密算法；

b)終端與接入網(wǎng)關通信采用SSL/TLS、IPSec、SSAL等安全協(xié)議；

c)通過密鑰協(xié)商后方可與應用系統(tǒng)進行連接；

d)協(xié)商完成后，后續(xù)數(shù)據(jù)傳輸經(jīng)加密處理。

3

T/ZJSEEXXXX—XXXX

6.1.3邊界隔離安全要求

邊界隔離應滿足下列技術要求：

a)在邊界處部署防火墻、ACL等訪問控制機制，配置必需的訪問控制策略；

b)在電力邊界處部署網(wǎng)絡入侵檢測裝置，配置并啟用入侵檢測規(guī)則；

c)在電力邊界處部署惡意代碼檢測裝置，啟動阻斷能力；

d)電力邊界具備流量分析和存儲能力，流量存儲時間大于6個月。

6.1.4認證與鑒權

接入認證與鑒權應滿足下列技術要求：

a)支持APN撥號功能，支持終端注冊功能；

b)支持二次鑒權功能。

加密傳輸

6.2.1終端加密

終端加密應滿足下列技術要求：

a)終端默認至少啟用一種加密算法，用于空口數(shù)據(jù)加密和完整性保護；

b)終端通信加密應采用硬件密碼模塊或軟件密碼模塊實現(xiàn)。

6.2.2數(shù)據(jù)加密

數(shù)據(jù)加密技術應滿足下列技術要求：

a)傳輸內(nèi)容加密：采用傳輸層加密保護方式，對傳輸?shù)臄?shù)據(jù)進行通道加密；

b)控制指令加密：執(zhí)行控制操作時，對控制指令進行應用層加密保護。

7接入通道技術要求

5G電力虛擬專網(wǎng)

7.1.15G電力虛擬專網(wǎng)應滿足下列技術要求：

a)防止不可信任的終端接入網(wǎng)絡；

b)采用數(shù)字證書等方法設置雙向的身份認證機制，提高連接的可靠性和安全性；

c)終端接入網(wǎng)絡時，建立一個加密的傳輸通道，提高數(shù)據(jù)的安全性；

d)提升防護物理硬件，加強集成度，縮減其容易被侵入的物理接口；

e)5G核心網(wǎng)采用IPsec等保護措施，提高N2、N4信令數(shù)據(jù)及N3、N6口用戶業(yè)務數(shù)據(jù)的機密性

和完整性；

f)5G核心網(wǎng)設置不同等級的切片應用，支持不同等級應用切片的訪問隔離；

g)5G核心網(wǎng)具備切片間虛擬機資源隔離能力，縮減其資源故障影響；

h)電力專用UPF在邊界處部署防火墻實現(xiàn)邏輯隔離；

i)邊緣計算節(jié)點承載的業(yè)務應用，使用虛擬防火墻或VLAN方式進行業(yè)務訪問控制與業(yè)務隔離；

j)為不同業(yè)務共享運營商UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進行訪問控制與資源隔離。

MEC環(huán)境

7.2.1連接要求

MEC應具備向上連接5G運營商核心網(wǎng)，向下連接終端設備能力，應支持云端算力下沉、終端算力

上移。

7.2.2能力開放要求

能力開放要求包括MEC平臺能力開放、無線網(wǎng)絡能力開放和核心網(wǎng)能力開放，MEC平臺開放應可與

5G運營商核心網(wǎng)進行能力協(xié)同，并應滿足下列技術要求：

4

T/ZJSEEXXXX—XXXX

a)無線網(wǎng)絡能力開放：無線網(wǎng)絡（RAN）的接口（API）與MEC接口網(wǎng)關（APIGW）協(xié)同，將用戶

位置信息、單元（Cell）/用戶/承載帶寬信息開放給終端設備；

b)核心網(wǎng)開放：MEC接口網(wǎng)關向中心NEF獲取用戶計費、QoS、業(yè)務控制等策略。用戶策略更新

后，中心NEF將策略下發(fā)到MEC接口網(wǎng)絡上，或由SMF下發(fā)到UPF上；

c)MEC平臺能力開放：編解碼轉(zhuǎn)換、IP安全協(xié)議、人工智能等能力，通過開放接口提供給本地終

端設備。在邊緣節(jié)點的MEC平臺上可以集成不同種類的第三方應用，對不同的MEC商業(yè)場景，

可額外部署防火墻、NAT等網(wǎng)絡功能。

8安全交互技術要求

統(tǒng)一身份認證

8.1.1身份認證應為訪問主體與零信任管理平臺的交互過程。

8.1.2終端身份認證技術應滿足下列要求：

a)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定

期更換；

b)具有登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出

等相關措施；

c)當進行遠程管理時，采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

持續(xù)信任評估

8.2.1持續(xù)信任評估應為零信任管理平臺內(nèi)部對各類數(shù)據(jù)的計算處理交互過程。

8.2.2終端信任評估技術應滿足下列要求：

a)基于終端信任度量開展持續(xù)動態(tài)信任評估；

b)以終端設備信息、終端運行數(shù)據(jù)為基礎評估數(shù)據(jù)；

c)可根據(jù)當前認證方式、風險狀態(tài)、環(huán)境因素等相關信息進行動態(tài)信任值調(diào)整；

d)常見的影響信任評估的物理或行為因素包括下列內(nèi)容：

1)包括主體（所對應的數(shù)字身份）個體行為的基線偏差；

2)主體與群體的基線偏差、主體環(huán)境的攻擊行為；

3)主體環(huán)境的風險行為等影響信任的關鍵要素。

e)當信任值低于設定閾值應進行報警操作，提示異常行為，并依據(jù)信任策略進行進一步操作。

動態(tài)訪問控制

8.3.1動態(tài)訪問控制應為零信任管理平臺與訪問客體的交互過程。

8.3.2動態(tài)訪問控制能力應基于統(tǒng)一身份認證能力和持續(xù)信任評估能力。

8.3.3訪問控制策略

訪問控制策略技術應包含：

a)結(jié)合當前身份認證值、信任評估值等數(shù)據(jù)，生成基于當前環(huán)境下的最小訪問策略；

b)訪問控制持續(xù)接收來自信任評估引擎的評估數(shù)據(jù)，以會話為基本單元，遵循最小權限原則，對

所有的訪問請求進行基于上下文屬性，信任等級和安全策略的動態(tài)權限判定，最終決定是否為

訪問請求授予資源的訪問權限；

c)動態(tài)訪問控制，可通過實時信任評估，實現(xiàn)信任值低于設定閾值的危險訪問會話自動終止等能

力。

5G核心網(wǎng)安全交互

8.4.15G核心網(wǎng)安全交互應為零信任管理平臺與5G核心網(wǎng)的交互過程。

8.4.25G核心網(wǎng)安全交互技術應支持下列內(nèi)容：

a)通過獲取UPF的業(yè)務轉(zhuǎn)發(fā)數(shù)據(jù)流，作為零信任管理平臺分析數(shù)據(jù)；

5

T/ZJSEEXXXX—XXXX

b)通過能力開放應用，獲取5G運營商核心網(wǎng)終端注冊、認證等控制數(shù)據(jù)流，作為零信任管理平

臺分析數(shù)據(jù)。

9支撐系統(tǒng)技術要求

終端零信任探針

9.1.1探針部署

零信任探針部署應滿足下列技術要求：

a)兼容主流的廠商、設備與芯片，包括：

5G智能網(wǎng)關、無線5GCPE、臺區(qū)智能融合終端、邊緣物聯(lián)代理、5GMEC/UPE、工業(yè)路由器等

物聯(lián)終端設備；

a)支持動態(tài)負載調(diào)節(jié)、心跳監(jiān)控和可裁剪軟件架構(gòu)；

b)部署方式多樣，支持軟件、容器、固件、模組等多形態(tài)靈活化部署方式。

9.1.2數(shù)據(jù)采集

終端設備可通過內(nèi)置探針方式采集終端設備信息、終端運行數(shù)據(jù)，應至少包括下列內(nèi)容：

a)終端設備信息：操作系統(tǒng)信息、CPU信息、內(nèi)存信息、存儲信息、網(wǎng)卡信息；

b)終端運行數(shù)據(jù)：端口信息、進程信息、文件信息、軟件信息。

零信任管理平臺

9.2.1安全技術要求

9.2.1.1零信任安全代理應實時接收零信任安全控制中心發(fā)送的策略決定和動態(tài)調(diào)整策略，應采用動

態(tài)會話管理。

9.2.1.2零信任安全代理執(zhí)行策略決定，包括建立或阻斷終端和資源之間的數(shù)據(jù)訪問信道，應滿足下

列技術要求：

a)策略管理：零信任安全代理負責建立終端與資源之間的連接，將生成終端用于訪問資源的任何

身份認證令牌或憑證；

b)策略引擎：零信任安全控制中心負責收到訪問請求后，進行信任評估、策略決定，確定拒絕或

授予對被訪問資源的訪問權限；

c)策略執(zhí)行：零信任安全控制中心負責實施動態(tài)身份鑒別，啟動、監(jiān)控和終止終端與資源之間的

數(shù)據(jù)訪問信道。

9.2.2終端信任度量

信任度量應滿足下列技術要求：

a)終端信任計算：具備終端信任度量基準，明確終端信任等級，信任度量作為終端接入和業(yè)務訪

問判定條件；終端信任算法使用安全策略和IP黑名單、威脅情報等外部源作為輸入；

b)終端信任度量：信任度量算法基于終端屬性計算終端信任值，信任度量屬性集可包括終端廠商

和版本信息、終端可信評估值、終端監(jiān)測軟件評估信息；

c)信任度量調(diào)整：信任度量屬性集和信任度量算法根據(jù)安全因素和環(huán)境形式動態(tài)調(diào)整。

9.2.3訪問控制策略

訪問控制策略技術應滿足下列技術要求：

a)包括身份認證策略和訪問控制策略；

b)包括主體身份、客體身份信息；

c)管理可采用基于屬性的訪問控制模型。

9.2.4訪問通道管控

訪問通道管控應滿足下列技術要求：

a)訪問通道的建立采用先認證再通信的模式；

6

T/ZJSEEXXXX—XXXX

b)采用會話管理措施，確保所有流量在訪問控制策略許可下傳輸。

7

ICS點擊此處添加ICS號

CCS點擊此處添加CCS號

ZJSEE

浙江省電力學會標準

T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交

互技術要求

Zero-trustsecureaccessandinteractionspecificationfor5Gelectricvirtualprivate

networkenvironment

（征求意見稿）

2023-XX-XX發(fā)布2023-XX-XX實施

浙江省電力學會發(fā)布

T/ZJSEEXXXX—XXXX

5G電力虛擬專網(wǎng)環(huán)境零信任安全接入及交互技術要求

1范圍

本文件規(guī)定了5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互的總體架構(gòu)、訪問主體技術要求、接入通

道技術要求、安全交互技術要求和支撐系統(tǒng)技術要求。

本文件適用于5G電力虛擬專網(wǎng)環(huán)境零信任安全接入與交互設計、開發(fā)和選型。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T29242-2012信息安全技術鑒別與授權安全斷言標記語言

GB/T37032物聯(lián)網(wǎng)標識體系總則

QGDW12098-2021電力物聯(lián)網(wǎng)術語

3術語和定義

下列術語和定義適用于本文件。

邊緣物聯(lián)代理IoTedgeagent

在智慧物聯(lián)體系中部署于邊緣側(cè)的裝置或軟件模塊，利用本地通信網(wǎng)絡對(智能）傳感器、采集控

制終端、表計、監(jiān)測裝置等終端進行統(tǒng)一接入，實現(xiàn)對多種通信方式和協(xié)議規(guī)約的適配，根據(jù)統(tǒng)一邊緣

計算框架對數(shù)據(jù)進行邊緣處理和標淮化建模，并通過安全接入平臺發(fā)送到物聯(lián)管理平臺或主站系統(tǒng)。

[來源：QGDW12098-2021，3.3.7]

終端零信任代理terminalzerotrustagent

代理終端完成零信任處理的軟件實體，身份認證和訪問控制的策略執(zhí)行點。物聯(lián)網(wǎng)中，終端零信任

代理和物聯(lián)網(wǎng)終端可為不同的物理實體，但終端和終端零信任代理之間應有可信通道進行交互。

安全接入secureaccess

提供基于零信任的內(nèi)網(wǎng)應用資源接入，通過身份認證、權限控制等模塊，確保更安全、更隱私地訪

問業(yè)務。

安全交互secureaccessandinteraction

基于零信任的內(nèi)網(wǎng)應用資源安全信息交互的過程。

訪問主體accesssubject

能訪問客體的主動實體。

[來源：GB/T29242-2012，3.7]

注：訪問主體可以是發(fā)起訪問的設備、用戶、應用等。

訪問客體accessobject

被訪問的目標資源。

注：訪問客體例如服務器、數(shù)據(jù)庫、打印服務、網(wǎng)絡等。

1

T/ZJSEEXXXX—XXXX

終端terminal

電力5G終端，包含CPE、FTU、DTU、融合終端等。

5G核心網(wǎng)5Gcorenetwork

采用第五代移動通信技術，對用戶面和控制面分離，采用服務化架構(gòu)設計，主要由網(wǎng)絡功能（NF）

組成，采用分布式的功能，根據(jù)實際需要部署，新的網(wǎng)絡功能加入或撤出，并不影響整體網(wǎng)絡的功能。

切片NetworkSlicing

電信運營商從統(tǒng)一電信基礎設施分離出的虛擬網(wǎng)絡，實現(xiàn)端到端資源隔離，以適配各種類型的業(yè)務

應用?；诓煌夹g實現(xiàn)方式，依照資源隔離強度高低網(wǎng)絡切片可分為硬切片和軟切片兩種類型。

電力專用UPFUserPlaneFunction

電力系統(tǒng)負責處理數(shù)據(jù)傳輸?shù)臄?shù)據(jù)平面功能。

邊緣計算節(jié)點Edgecomputingnode

在靠近用戶的網(wǎng)絡邊緣側(cè)構(gòu)建的業(yè)務平臺，提供存儲、計算、網(wǎng)絡等資源，將部分關鍵業(yè)務應用下

沉到接入網(wǎng)絡邊緣，以減少網(wǎng)絡傳輸和多級轉(zhuǎn)發(fā)帶來的寬度和時延損耗。邊緣節(jié)點位置介于用戶和云中

心之間，相比較傳統(tǒng)的云中心，邊緣節(jié)點更接近用戶（數(shù)據(jù)源）。

共享運營商UPFSharedoperatorUserPlaneFunction

適用于共享運營商的無線網(wǎng)和核心網(wǎng)的用戶平面功能，5G核心網(wǎng)系統(tǒng)架構(gòu)的重要組成部分，主要負

責5G核心網(wǎng)中用戶平面數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)相關功能。為不同業(yè)務UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進

行訪問控制與資源隔離。

零信任探針zerotrustNETprobe

圍繞資源訪問控制的安全策略、技術與過程中偵聽網(wǎng)絡數(shù)據(jù)包的網(wǎng)絡探針。

4縮略語

下列縮略語適用于本文件。

ACL：訪問控制列表（AccessControlList）

CPE：用戶駐地設備（Customer-premisesEquipment）

DTU：數(shù)據(jù)傳輸單元（DataTransferunit）

FTU：饋線終端裝置（FeederTerminalUnit）

IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPsec：互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity）

MAC：媒體訪問控制（MediaAccessControl）

MEC：移動邊緣計算（MobileEdgeComputing）

NAT：網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）

NEF：網(wǎng)元功能（NetworkElementFunction）

QoS：服務質(zhì)量（QualityofService）

RAN：無線接入網(wǎng)（RadioAccessNetwork）

SSAL：國家電網(wǎng)公司安全應用層協(xié)議（StateGridSecureApplicationLayer）

SSL：安全套接字協(xié)議（SecureSocketsLayer）

SMF：業(yè)務管理功能（ServiceManagementFunction）

TLS：傳輸層安全（TransportLayerSecurity）

UPF：用戶面功能（UserPlaneFunction）

VPN：虛擬專用網(wǎng)絡（VirtualPrivateNetwork）

2

T/ZJSEEXXXX—XXXX

5總體架構(gòu)

5G電力虛擬專網(wǎng)零信任安全防護架構(gòu)，主要包括安全接入（包括訪問主體和接入通道）和安全交

互（包括支撐系統(tǒng)和訪問客體）兩個部分，架構(gòu)示意圖見圖1。

接入主體為能訪問客體的各類電力5G終端，主要形式為：CPE、FTU、DTU、融合終端等。

接入通道為5G電力虛擬專網(wǎng)，實現(xiàn)終端接入通信。

支撐系統(tǒng)為零信任管理平臺，包含零信任安全代理和零信任安全控制中心。零信任安全控制中心

應具備對整個訪問過程的持續(xù)安全監(jiān)測、信任評估和動態(tài)更新訪問控制策略等功能，零信任安全代理應

具備訪問流量的重定向和訪問控制策略執(zhí)行、流量加密等功能。

訪問客體為主體訪問的電力信息系統(tǒng)及其資源。

圖15G電力虛擬專網(wǎng)零信任安全防護架構(gòu)

6訪問主體技術要求

終端要求

6.1.1身份要求

終端身份滿足下列技術要求：

a)為終端賦予全局唯一性編碼，可以內(nèi)置芯片、內(nèi)置證書或者設備唯一性標識為基礎，編碼方式

可參照GB/T37032執(zhí)行；

b)終端宜能存儲終端身份信息，無法存儲終端身份信息的終端，終端身份信息應存儲在終端零信

任代理所在實體上，零信任代理應能夠根據(jù)終端屬性索引終端身份；

c)處理零信任相關業(yè)務的數(shù)據(jù)包中應攜帶終端身份信息。

6.1.2密鑰協(xié)商

密鑰協(xié)商認證應滿足下列技術要求：

a)終端數(shù)據(jù)安全傳輸、敏感內(nèi)容加密、數(shù)字簽名采用國家密碼部門認可的加密算法；

b)終端與接入網(wǎng)關通信采用SSL/TLS、IPSec、SSAL等安全協(xié)議；

c)通過密鑰協(xié)商后方可與應用系統(tǒng)進行連接；

d)協(xié)商完成后，后續(xù)數(shù)據(jù)傳輸經(jīng)加密處理。

3

T/ZJSEEXXXX—XXXX

6.1.3邊界隔離安全要求

邊界隔離應滿足下列技術要求：

a)在邊界處部署防火墻、ACL等訪問控制機制，配置必需的訪問控制策略；

b)在電力邊界處部署網(wǎng)絡入侵檢測裝置，配置并啟用入侵檢測規(guī)則；

c)在電力邊界處部署惡意代碼檢測裝置，啟動阻斷能力；

d)電力邊界具備流量分析和存儲能力，流量存儲時間大于6個月。

6.1.4認證與鑒權

接入認證與鑒權應滿足下列技術要求：

a)支持APN撥號功能，支持終端注冊功能；

b)支持二次鑒權功能。

加密傳輸

6.2.1終端加密

終端加密應滿足下列技術要求：

a)終端默認至少啟用一種加密算法，用于空口數(shù)據(jù)加密和完整性保護；

b)終端通信加密應采用硬件密碼模塊或軟件密碼模塊實現(xiàn)。

6.2.2數(shù)據(jù)加密

數(shù)據(jù)加密技術應滿足下列技術要求：

a)傳輸內(nèi)容加密：采用傳輸層加密保護方式，對傳輸?shù)臄?shù)據(jù)進行通道加密；

b)控制指令加密：執(zhí)行控制操作時，對控制指令進行應用層加密保護。

7接入通道技術要求

5G電力虛擬專網(wǎng)

7.1.15G電力虛擬專網(wǎng)應滿足下列技術要求：

a)防止不可信任的終端接入網(wǎng)絡；

b)采用數(shù)字證書等方法設置雙向的身份認證機制，提高連接的可靠性和安全性；

c)終端接入網(wǎng)絡時，建立一個加密的傳輸通道，提高數(shù)據(jù)的安全性；

d)提升防護物理硬件，加強集成度，縮減其容易被侵入的物理接口；

e)5G核心網(wǎng)采用IPsec等保護措施，提高N2、N4信令數(shù)據(jù)及N3、N6口用戶業(yè)務數(shù)據(jù)的機密性

和完整性；

f)5G核心網(wǎng)設置不同等級的切片應用，支持不同等級應用切片的訪問隔離；

g)5G核心網(wǎng)具備切片間虛擬機資源隔離能力，縮減其資源故障影響；

h)電力專用UPF在邊界處部署防火墻實現(xiàn)邏輯隔離；

i)邊緣計算節(jié)點承載的業(yè)務應用，使用虛擬防火墻或VLAN方式進行業(yè)務訪問控制與業(yè)務隔離；

j)為不同業(yè)務共享運營商UPF部署虛擬防火墻或?qū)Ｓ觅Y源塊進行訪問控制與資源隔離。

MEC環(huán)境

7.2.1連接要求

MEC應具備向上連接5G運營商核心網(wǎng)，向下連接終端設備能力，應支持云端算力下沉、終端算力

上移。

7.2.2能力開放要求

能力開放要求包括MEC平臺能力開放、無線網(wǎng)絡能力開放和核心網(wǎng)能力開放，MEC平臺開放應可與

5G運營商核心網(wǎng)進行能力協(xié)同，并應滿足下列技術要求：

4

T/ZJSEEXXXX—XXXX

a)無線網(wǎng)絡能力開放：無線網(wǎng)絡（RAN）的接口（API）與MEC接口網(wǎng)關（APIGW）協(xié)同，將用戶

位置信息、單元（Cell）/用戶/承載帶寬信息開放給終端設備；

b)核心網(wǎng)開放：MEC接口網(wǎng)關向中心NEF獲取用戶計費、QoS、業(yè)務控制等策略。用戶策略更新

后，中心NEF將策略下發(fā)到MEC接口網(wǎng)絡上，或由SMF下發(fā)到UPF上；

c)MEC平臺能力開放：編解碼轉(zhuǎn)換、IP安全協(xié)議、人工智能等能力，通過開放接口提供給本地終

端設備。在邊緣節(jié)點的MEC平臺上可以集成不同種類的第三方應用，對不同的MEC商業(yè)場景，

可額外部署防火墻、NAT等網(wǎng)絡功能。

8安全交互技術要求

統(tǒng)一身份認證

8.1.1身份認證應為訪問主體與零信任管理平臺的交互過程。

8.1.2終端身份認證技術應滿足下列要求：

a)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定

期更換；

b)具有登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出

等相關措施；

c)當進行遠程管理時，采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

持續(xù)信任評估

8.2.1持續(xù)信任評估應為零信任管理平臺內(nèi)部對各類數(shù)據(jù)的計算處理交互過程。

8.2.2終端信任評估技術應滿足下列要求：

a)基于終端信任度量開展持續(xù)動態(tài)信任評估；

b)以終端設備信息、終端運行數(shù)據(jù)為基礎評估數(shù)據(jù)；

c)可根據(jù)當前認證方式、風險狀態(tài)、環(huán)境因素等相關信息進行動態(tài)信任值調(diào)整；

d)常見的影響信任評估的物理或行為因素包括下列內(nèi)容：

1)包括主體（所對應的數(shù)字身份）個體行為的基線偏差；

2)主體與群體的基線偏差、主體環(huán)境的攻擊行為；

3)主體環(huán)境的風險行為等影響信任的關鍵要素。

e)當信任值低于設定閾值應進行報警操作，提示異常行為，并依據(jù)信任策略進行進一步操作。

動態(tài)訪問控制

8.3.1動態(tài)訪問控制應為零信任管理平臺與訪問客體的交互過程。

8.3.2動態(tài)訪問控制能力應基于統(tǒng)一身份認證能力和持續(xù)信任評估能力。

8.3.3訪問控制策略

訪問控制策略技術應包含：

a)結(jié)合當前身份認證值、信任評估值等數(shù)據(jù)，生成基于當前環(huán)境下的最小訪問策略；

b)訪問控制持續(xù)