智慧地铁建设实践与创新研究
                    Research on the Practice and Innovation of Smart Metro Construction


            访问控制、数据传输安全、数据存储安全等方面提供了严密的数据端到端安全保
            护措施。
                （一）多种终端类型双向接入认证

                通过 5G 网络实现对地铁各类应用的各种终端类型接入，包括各类传感器、
            CCTV、X 光安检机、电子引导屏、边门和综合安检等。为具备不同安全能力的
            终端提供统一接入认证，根据安全等级的不同配置接入认证，保证接入网络的用
            户的合法性。并提供双向认证机制，保证用户和网络之间的相互可信，才能防止

            地铁业务数据泄露或被篡改。5G 网络基于统一的认证框架提供用户和网络之间
            的双向认证，屏蔽接入差异，并支持 3GPP 和非 3GPP 接入。不管是 3GPP 接入
            还是非 3GPP 接入，都支持 EAPAKA 和 5GAKA 两种认证方法，在非 3GPP 接入时，
            使用名为“EAP-5G”的特定于供应商的 EAP 方法利用“扩展”EAP 类型用于封

            装 NAS 消息。主认证之后，5G 网络可以根据策略触发切片特殊认证，和运营商
            或第三方的 AAA 进行对接认证，在创建 PDU 会话时，还可以进行地铁 AAA 的
            二次认证，认证通过后才能访问切片数据网络。双向认证保证用户和网络之间的
            相互可，5G 鉴权过程增强了归属网的控制，防止拜访网中可能存在的欺诈，除

            了鉴权机制，还可以关联鉴权与后续登记过程实现进一步的防欺诈防护；鉴权完
            成后，AUSF 可以向 UDM 上报最近鉴权时间、鉴权结果；UDM 接收到后续注
            册请求后，检查是否有最近一段时间内的鉴权过程，如果没有，拒绝注册并指示
            立即进行一次鉴权。

                （二）访问控制安全
                数据分类分级：2020 年 2 月 27 日，工业和信息化部办公厅印发了《工业数据
            分类分级指南（试行）》，地铁应用数据可以依照《工业数据分类分级指南（试行）》
            进行数据的分类与分级。主要可以分为研发数据域、生产数据域、运维数据域、

            管理数据域、外部数据域五大类数据，5G+ 智慧地铁的应用，主要涉及生产数据
            域（闸机控制信息、高精度室内定位数据）和管理数据域数据（系统设备资产信息、
            监控视频数据）。根据不同类别数据遭篡改、破坏、泄露或非法利用后，可能对生产、
            经济效益等带来的潜在影响，将数据分为一级、二级、三级等 3 个级别。三级级

            别最高，易引发特别重大生产安全事故或突发环境事件，或造成直接经济损失特
            别巨大的数据。网络纵深防御：按需部署 WAF、防病毒、数据库安全网关和数据
            防泄露系统等相关安全设备来实现检测网络中的异常活动并进行纵深防御。



            ·88·