2021版5G网络安全标准化白皮书.pdf
5 G 网 络 安 全 标 准 化 白 皮 书 ( 2 0 2 1 版 ) 全 国 信 息 安 全 标 准 化 技 术 委 员 会 通 信 安 全 标 准 工 作 组 2 0 2 1 年 5 月5 G 网络安全标准化白皮书 2 0 2 1 编写 单位 中 国 移 动 通 信 集 团 有 限 公 司 、 中 国 电 子 技 术 标 准 化 研 究 院 、 中 国 信 息 通 信 研 究 院 、 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 、 中 国 信 息 安 全 测 评 中 心 、 华 为 技 术 有 限 公 司 、 阿 里 云 计 算 有 限 公 司 、 中 兴 通 讯 股 份 有 限 公 司 、 中 国 信 息 通 信 科 技 集 团 有 限 公 司 、 大 唐 移 动 通 信 设 备 有 限 公 司 、 亚 信 科 技 ( 成 都 ) 有 限 公 司 、 高 通 无 线 通 信 技 术 ( 中 国 ) 有 限 公 司 、 北 京 时 代 新 威 信 息 技 术 有 限 公 司 、 北 京 百 度 网 讯 科 技 有 限 公 司 、 杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 编写 人员 李 慧 镝 张 滨 杨 建 军 赵 刚 袁 捷 上 官 晓 丽 于 生 多 张 峰 邱 勤 孙 彦 王 秉 政 赵 蓓 李 祥 军 粟 栗 刘 贤 刚 徐 思 嘉 姚 相 振 江 为 强 于 乐 刘 畅 齐 旻 鹏 王 国 宇 刘 胜 兰 林 美 玉 舒 敏 杨 红 梅 贵 重 何 鹏 张 弘 扬 王 光 涛 韩 晓 露 武 冰 梅 王 军 张 大 江 陈 星 杜 雪 涛 张 晨 刘 婧 璇 王 文 磊 陈 悦 王 姣 吴 荣 林 兆 骥 游 世 林 毕 晓 宇 薛 辉 杜 志 敏 任 若 冰 柳 扬 樊 洞 阳 贾 强 彭 伟 营 王 新 杰 王 连 强 王 海 棠 唐 佳 伟 版权 声明 :如需 转载 或引用 ,请注 明出 处5 G 网络安全标准化白皮书 2 0 2 1 摘 要 | A B S T R A C T 本 白 皮 书 介 绍 了 5 G 的 概 念 、 关 键 技 术 和 产 业 发 展 情 况 , 梳 理 了 国 内 外 政 策 法 规 标 准 现 状 , 分 析 了 5 G 在 终 端 安 全 、 I T 化 网 络 设 施 安 全 、 通 信 网 络 安 全 、 行 业 应 用 安 全 、 数 据 安 全 、 网 络 运 维 安 全 等 方 面 存 在 的 安 全 风 险 和 网 络 安 全 标 准 化 需 求 , 提 出 了 5 G 网 络 安 全 标 准 框 架 和 重 点 标 准 研 制 建 议 , 旨 在 为 5 G 技 术 安 全 应 用 、 5 G 与 产 业 融 合 安 全 有 序 发 展 提 供 标 准 化 技 术 支 撑 。 全 文 结 构 如 下 : 第 1 章 介 绍 了 本 白 皮 书 编 写 的 背 景 。 第 2 章 介 绍 了 5 G 概 念 与 应 用 场 景 、 5 G 关 键 技 术 与 安 全 特 性 。 第 3 章 介 绍 了 国 内 外 的 5 G 网 络 安 全 法 规 与 政 策 、 5 G 网 络 安 全 标 准 化 现 状 。 第 4 章 介 绍 了 5 G 网 络 安 全 风 险 , 包 括 终 端 安 全 风 险 、 I T 化 网 络 设 施 安 全 风 险 、 通 信 网 络 安 全 风 险 、 行 业 应 用 安 全 风 险 、 数 据 安 全 风 险 和 网 络 运 维 安 全 风 险 。 第 5 章 基 于 5 G 网 络 安 全 标 准 化 需 求 , 给 出 了 5 G 网 络 安 全 标 准 框 架 。 第 6 章 给 出 了 5 G 网 络 安 全 标 准 化 工 作 推 进 建 议 。 第 7 章 给 出 了 本 白 皮 书 所 引 用 的 参 考 文 献 。 附 录 A 介 绍 了 国 内 外 已 发 布 及 在 研 的 相 关 标 准 。 附 录 B 介 绍 了 5 G 网 络 安 全 标 准 应 用 实 践 案 例 。 附 录 C 给 出 了 相 关 术 语 定 义 。 受编制时间、水平所限,疏漏在所难免。针对此版白皮书如有任何意见或建议,敬请联 系 q i u q i n c h i n a m o b i l e . c o m目 录 | C O N T E N T S 1 引 言. 1 2 5 G 技 术 概 述. 2 2 . 1 5 G 概 念 与 应 用 场 景. 2 2 . 2 5 G 关 键 技 术 与 安 全 特 性. 3 2 . 2 . 1 I T 化 网 络 设 施. 3 2 . 2 . 2 服 务 化 网 络 架 构. 4 2 . 2 . 3 边 缘 化 计 算 资 源. 5 2 . 2 . 4 增 强 的 安 全 能 力. 6 3 5 G 网 络 安 全 政 策 与 标 准 现 状. 9 3 . 1 5 G 网 络 安 全 法 规 和 政 策. 9 3 . 1 . 1 美 国. 9 3 . 1 . 2 欧 盟. 9 3 . 1 . 3 国 内 现 状. 1 0 3 . 2 5 G 网 络 安 全 标 准 化 现 状. 1 1 3 . 2 . 1 国 外 标 准 化 情 况. 1 1 3 . 2 . 2 国 内 标 准 化 情 况. 1 3 4 5 G 网 络 安 全 风 险. 1 7 4 . 1 终 端 安 全 风 险. 1 7 4 . 2 I T 化 网 络 设 施 安 全 风 险. 1 7 4 . 3 通 信 网 络 安 全 风 险. 1 7 4 . 4 行 业 应 用 安 全 风 险. 1 8 4 . 5 数 据 安 全 风 险. 1 84 . 6 网 络 运 维 安 全 风 险. 1 8 5 5 G 网 络 安 全 标 准 框 架. 1 9 5 . 1 总 体 原 则. 1 9 5 . 2 5 G 网 络 安 全 标 准 化 需 求. 1 9 ( 1 ) 基 础 共 性 类 需 求. 1 9 ( 2 ) 终 端 安 全 类 需 求. 2 0 ( 3 ) I T 化 网 络 设 施 安 全 类 需 求. 2 0 ( 4 ) 通 信 网 络 安 全 类 需 求. 2 0 ( 5 ) 5 G 业 务 与 应 用 安 全 类 标 准. 2 0 ( 6 ) 数 据 应 用 安 全 类 需 求. 2 0 ( 7 ) 网 络 安 全 运 营 类 需 求. 2 0 5 . 3 5 G 网 络 安 全 标 准 框 架. 2 1 5 . 3 . 1 基 础 共 性 类 标 准. 2 1 5 . 3 . 2 终 端 安 全 类 标 准. 2 2 5 . 3 . 3 I T 化 网 络 设 施 安 全 类 标 准. 2 2 5 . 3 . 4 通 信 网 络 安 全 类 标 准. 2 3 5 . 3 . 5 应 用 与 服 务 安 全 类 标 准. 2 4 5 . 3 . 6 数 据 安 全 类 标 准. 2 4 5 . 3 . 7 安 全 运 营 管 理 类 标 准. 2 4 5 . 4 5 G 网 络 安 全 重 点 标 准 研 制 建 议. 2 5 6 5 G 网 络 安 全 标 准 化 工 作 推 进 建 议. 2 7 6 . 1 加 快 推 进 5 G 网 络 安 全 标 准 体 系 建 设 与 重 点 标 准 研 制. 2 7 6 . 2 提 前 布 局 5 G 融 合 应 用 安 全 风 险 与 保 障 研 究. 2 7 6 . 3 大 力 开 展 5 G 网 络 安 全 标 准 验 证 与 实 施. 2 8 6 . 4 深 度 参 与 5 G 网 络 安 全 国 际 标 准 化 工 作. 2 8 7 参 考 文 献. 3 0附 录 A 国 内 外 已 发 布 及 在 研 相 关 标 准. 3 3 附 件 B 5 G 网 络 安 全 标 准 应 用 实 践 案 例. 3 9 附 录 C 术 语 定 义. 4 45 G 网络安全标准化白皮书 2 0 2 1 1 1 引 言 当前, 以第五代移动通信技术 (以下称 5G) 为代表的新一轮科技和产业变革正 在快 速兴起 ,成为世 界各国 经济发 展的重 要技术支 撑和全 球产业 竞争的 战略高 地。 2019 年起, 全球各大运营商竞相加快 5G 网络部署, 各大机构积极探索 5G 与重点行 业的融合创新。 截至 2020 年底, 全球 131 个国家的 412 家运营商采取各种方式投 资 5G, 59 个国家和区域的 140 个运营商已推动 5G 商用, 全球共建成超 100 万个 5G 基 站 。 其 中 , 我 国 累 计 建 成 5G 基 站 71.8 万 个 , 占 比 超 全 球 总 量 的 70% , 形 成 全 球 最 大规模的 5G 网络, 实现所有地级以上城市 5G 网络全覆盖 。 5G 凭借全新的架构, 引 入网 络功能 虚拟化、 服务化 网络架 构、边 缘计算等 新型关 键技术 ,大幅 提升了 移动 网络 业务能 力,通过 超高清 视频、 智能电 网、工业 互联网 、智慧 交通、 智慧城 市等 应用, 开启了万物广泛互联、 人机深度交互的新时代 , 为产业数字化、 生活智慧化 、 数字化治理提供有力支撑。 在 全 球 范 围 内 5G 广 泛 商 用 、 规 模 快 速 扩 大 的 背 景 下 , 5G 网 络 安 全 问 题 也 成 为 各方关注焦点。 5G 网络安全包括终端安全 、 IT 化网络设施安全、 通信网络安全、 行 业应 用安全 、数据 安全、 网络运维 安全等 多个方 面。虽 然 5G 较 4G 拥有 更为完 善的 安全特性, 但随着 5G 融合应用的不断深入, 又将面临的新网络安全威胁与风险 。 为 促进 5G 与相关产业的健康安全发展, 切实发挥标准在网络安全工作中的基础性、 规 范性 、引领 性作用, 有效指 导和体 系化推 进相关重 点标准 研究制 定工作 ,本白 皮书 在充 分调研 国内外 5G 网络 安全发 展情况 的基础 上,针对 5G 典型 应用场 景和关 键环 节,研究提出 5G 网络安全标准框架,给出标准化工作推进建议2 0 2 1 5 G 网络安全标准化白皮书 2 2 5 G 技 术 概 述 2 . 1 5 G 概 念 与 应 用 场 景 5G 即第五代移动通信技术(The 5 th Generation Wireless communication), 是继 2G 、3G 和 4G 系统 之后的 延伸, 其设计 目标是高 数据速 率、低 传输延 迟、提 升 传输质量、 节省能源 、 降低成本、 提高系统容量和大规模设备连接 。 5G 不仅用于人 与人 之间的 通信,还 适用于 人与物 、物与 物之间的 通信, 被视为 促进各 行业智 能化 升级、推动数字经济发展的关键技术之一。 2015 年发布的 ITU-R M.2083-0 建议书 IMT Vision Framework and overall objectives of the future development of IMT for 2020 and beyond 提 出 了 5G (IMT-2020) 的关键技术特征及指标建议, 包括峰值数据速率、 用户体验数据速率 、 频谱 效率、 移动性、 延迟、 连接密 度、网 络能效、 区域业 务容量 等。基 于全面 提升 的 网 络 性 能 指 标 , ITU-R M.2083-0 建 议 书 进 一 步 定 义 了 5G 的 三 大 应 用 场 景 : 增 强 移动宽带 ( Enhanced Mobile Broadband,eMBB ) 、 海量机器类通信 ( Massive Machine Type Communication, mMTC ) 和超可靠低时延通信 ( Ultra Reliable and Low Latency Communication,uRLLC ) , 如 图 1 所 示 。 5G 结 合 其 三 大 应 用 场 景 , 与 智 慧 家 庭 、 智 慧城 市等社 会生活 领域结 合,与 超高清 视频和 VR/AR 等多 媒体应 用、车 联网和 工业 互联网等行业融合, 渗透到生产和生活的各领域, 为经济与社会发展注入强劲动力 。 图1 ITU定义的5G关键指标和应用场景 增 强 移 动 宽 带 ( eMBB ) 是 以 人 为 中 心 的 应 用 场 景 , 集 中 表 现 为 超 高 的 传 输 数据 速率, 广覆盖 下的移 动性 保证。 以常用 的视频 业务为 例, 4G 网络 的平 均用户体验速度下行为 3050Mbps、 上行为 68Mbps, 能够满足一路高清视 频的在线播放需求, 无法满足高清直播、 多路视频会议的需求 ; 而 5G 网络5 G 网络安全标准白皮书 2 0 2 1 3 的 平 均 用 户 体 验 速 度 下 行 为 100Mbps 、 上 行 为 50Mbps , 用 户 体 验 会 有 明 显 的提升。 海 量 机 器 类 通 信 ( mMTC ) 以 大 规 模 物 联 网 为 应 用 场 景 , 支 持 密 集 环 境 下 的 海量机器类通信, 使得人与机器、 机器与机器的大规模通信成为可能 。 mMT C 的海量体现在两个方面:首先,5G 网络可连接的物联网设备量远大于 4G, 每 平 方 公 里 可 支 持 100 万 个 连 接 ; 其 次 , 联 网 设 备 和 业 务 的 种 类 也 大 大 丰 富 了 , 支 持 多 种 使 用 不 同 通 信 模 式 的 终 端 , 比 如 : 仅 作 为 主 叫 不 作 为 被 叫 被 寻 址 的 终 端 、 仅 在 固 定 时 间 间 隔 激 活 和 通 信 的 终 端 。 大 部 分 物 联 网 终 端 具有资源受限的特点和低功耗工作要求, 5G 在架构和协议设计上做了优化, 简化了连接建立和管理模型,可最大限度降低物联网终端的功耗。 超可靠超低时延通信 (uRLLC) 以无人驾驶、 远程医疗、 智能制造等关键通 信为 应用场 景,必 须严格 满足 业务需 求的时 延和可 靠性。 4G 网络 时延最 小 只能 达到 20ms 左右 ,但 是 5G 系统 本身 可将端 到端 时延降 低到 110ms、且 在 高 速 移 动 ( 500KM/H ) 情 况 下 保 持 高 可 靠 性 ( 99.999% ) 连 接 。 同 时 , 5G 系 统 架 构 支 持 边 缘 计 算 , 可 进 一 步 降 低 业 务 时 延 , 确 保 时 延 敏 感 场 景 下 高 速通信、及时执行命令和发送反馈。 2 . 2 5 G 关 键 技 术 与 安 全 特 性 2 .2 .1 I T 化网 络设 施 传统移动通信网络基于网元设备实现网络功能。 5G 在网络基础设施层面引入了 包括 网络 功能 虚拟 化( Network Function Virtualization, NFV)、 软件 定义 网络 (Software Defined Network , SDN)等 IT 技术 ,并 支持 通过网 络切 片将 网络划 分 为虚 拟专网 ,从而能 够低成 本、灵 活快速 地满足行 业应用 对网络 的高安 全性和 可定 制化需求。 网络功能虚拟化: NFV 技术实现了计算和存储资源的虚拟化, 实现了软件与 硬 件 的 解 耦 , 使 网 络 功 能 不 再 依 赖 于 专 有 通 信 硬 件 平 台 、 专 用 操 作 系 统 , 实现了 5G 网络基础设施的云化, 支持资源的集中控制 、 动态配置、 高效调 度和智能部署,缩短网络运营的业务创新周期。 软件定义网络: SDN 技术实现了通信连接的软件定义, 将数据通信设备拆分 为 控 制 面 和 数 据 面 , 控 制 面 集 中 控 制 并 提 供 可 编 程 接 口 , 实 现 了 根 据 组 网 和业务需要灵活定义网络传输通道,可灵活调度流量并编排安全能力2 0 2 1 5 G 网络安全标准化白皮书 4 网 络 切 片 : 网 络 切 片 是 为 满 足 垂 直 行 业 对 网 络 能 力 可 定 制 化 、 通 信 及 信 息 安 全 可 控 化 的 需 求 而 出 现 的 , 它 可 将 一 个 物 理 网 络 切 分 成 功 能 、 特 性 各 不 相 同 的 多 个 逻 辑 网 络 , 同 时 支 持 多 种 业 务 场 景 。 基 于 网 络 切 片 技 术 , 可 以 隔离不同业务场景所需的网络资源、提高网络资源利用率。 2 .2 .2 服务 化网 络架构 传统 移动通 信网络 架构基 于固定 网元、 固定连 接,网 络功能 的可扩 展性受 限。 为 了 满 足 5G 时 代 灵 活 部 署 的 需 要 , 5G 采 用 了 服 务 化 架 构 ( Service-based Architecture, SBA) , 将原有的网元按照 “微服务” 的理念拆分为松耦合、 细粒度 的网 络功能 ( Network Function ,NF), 通过服 务调 用、服 务组合 的方 式实现 核心 网的基本功能。 5G核心网内的应用功能 (Application Function,AF ) 指应用层的各 种服 务,它 既可以是 运营商 内部应 用,也 可以是第 三方应 用,其 他网元 可通过 AF 的 服务化接口Naf对其进行访问。 3GPP将5G 核心 网定义 为一个 可分解 的网络 体系结 构,引 入了控 制面和 用户面 分 离,其中核心网用户面采用传统架构和接口,用户面功能(User Plane Function, UPF) 负责数据包的路由转发、 与外部数据网络的数据交互等, 核心网控制面网元采 用服 务化架 构设计, 彼此之 间通信 采用服 务化接口 ,从而 提供多 个网络 功能服 务。 5G服务 化架构 中,将网 络功能 以服务 的方式 对外提供 ,不同 的网络 功能服 务之间 通 过标 准接口 进行互通 ,支持 按需调 用、功 能重构, 从而提 高核心 网的灵 活性和 开放 性。如图2所示,5G核心网将控制面拆分为多个网络功能: 接入和移动性管理功能 ( Access and Mobility Management Function,AMF ) 主要负责终端接入和移动性管理,对应的服务化接口为 Namf; 会话管理功能(Session Management Function,SMF)负责会话管理,对应 的服务化接口为 Nsmf; 策 略 控 制 功 能 ( Policy Control Function , PCF ) 负 责 策 略 管 理 , 对 应 的 服务化接口为 Npcf; 网 络 切 片 选 择 功 能 ( Network Slice Selection Function , NSSF ) 负 责 判 断应该为 UE 提供何种网络切片服务,对应的服务化接口为 Nnssf; 网 络 开 放 功 能 ( Network Exposure Function , NEF ) 负 责 开 放 网 络 能 力 给 AF,对应的服务化接口为 Nnef; 网 络 存 储 功 能 ( Network Repository Function , NRF ) 负 责 NF 以 及 NF 上 提 供 的 服 务 的 统 一 管 理 , 包 括 注 册 、 发 现 、 授 权 等 功 能 , 对 应 的 服 务 化 接 口为 Nnrf5 G 网络安全标准白皮书 2 0 2 1 5 统一数据管理(Unified Data Management,UDM)负责用户数据管理等,对 应的服务化接口为 Nudm。 5G独立组网架构中, SBA化的核心网控制面及用户面对外交互时所涉及的业务接 口包括: N1:控制面与用户终端之间的接口。 N2:控制面与无线接入网之间的接口。 N3:用户面和无线接入网之间的接口。 N4:控制面和用户面之间的接口。 N6:用户面和数据网络之间的接口。 N9:用户面的漫游接口。 图2 5G独立组网架构 2 .2 .3 边缘 化计 算资源 3G/4G 时 代 , 网 络 服 务 普 遍 采 用 云 端 协 同 的 方 式 , 即 远 端 的 云 计 算 或 者 云 数 据 中心和终端相互配合完成网络服务的提供和访问。 5G 时代, 大量高可靠低时延业务 出 现 , 对 网 络 传 输 和 服 务 计 算 的 时 延 效 率 提 出 更 高 需 求 , 边 缘 计 算 ( MEC, Multi-access Edge Computing ) 的 应 用 需 求 更 为 广 泛 。 5G 网 络 本 身 也 支 持 更 加 灵 活的边缘计算服务2 0 2 1 5 G 网络安全标准化白皮书 6 边缘计算作为 5G 网络新型网络架构的主要特征之一, 部署在无线基站、 接 入机房等网络边缘, 通过将计算能力和 IT 服务环境下沉, 就近向用户提供 服务,从而构建一个具备高性能、低时延与高带宽的电信级服务环境。 边缘计算平台在网络边缘靠近用户的位置上, 提供 IT 服务和云计算的能力 , 降低核心网的负载开销和用户业务时延, 为用户提供本地视频、 位置定位 、 视频质量优化、流量分析等低时延和高带宽业务。 边缘计算采用开放应用编程接口 (API) 、 网络功能虚拟化 (NFV) 等技术, 通过边缘节点上应用程序 APP 对外提供服务。 2 .2 .4 增强 的安 全能力 基于前几代移动通信演进过程中发现的安全问题和积累的运维经验, 5G 网络对 安全机制考虑更加充分,具有以下特点: (1)更全面的数据安全保护 在数据安全保护方面, 5 G 相对于之前的通信网络 对用户数据的完整性保护要求 更严格, 5G 不仅只是对网络信令进行完整性保护, 还增强了对用户数据的完整性保 护。 从 3G 到 4G , 系 统 的 设 计 要 求 主 要 是 保 证 系 统 空 口 的 吞 吐 效 率 最 大 化 和 时 延 最 小化 ,通信 系统对网 络信令 进行完 整性保 护、避免 被恶意 篡改, 对用户 数据并 未进 行完整性保护。 在 5G 通信中, 数据应用越来越广泛, 对用户数据的完整性保护要求更严格 , 需 要进行更全面的数据安全保护。 除信令外, 5G 通信中对用户数据也可进行完整性保 护,确保用户数据在空中接口传输时不会被恶意篡改。 (2)更丰富的认证机制支持 在认证机制支持方面,5G 相对于之前的通信网络具有更丰富的认证机制支持, 不仅增强了归属网络对认证的控制,还具有更加灵活的可扩展框架。 在 3G 至 4G 网 络 中 , 所 使 用 的 认 证 与 密 钥 协 商 ( Authentication and Key Agreement , AKA ) 认 证 机 制 具 备 很 高 的 安 全 性 。 AKA 协 议 是 3GPP 在 研 究 2G 安 全 脆 弱性 的基础 上 ,针对 3G 接入 域安全 需求提出 的,其 使用挑 战应答 机制完成 用户和 网 络间 的身份 认证,同 时基于 身份认 证对通 信加密密 钥进行 协商, 通过认 证和加 密手 段更好地预防攻击行为。 5G 支持多种接入技术 (如 4G 接入 、 WLAN 接入以及 5G 接入) , 为了使用户可 以在不同接入网间实现无缝切换, 5G 网络认证一方面继承了 AKA 框架, 在机制和能 力上进行增强并形成了 5G-AKA, 增强归属网络对认证的控制, 不仅提供对用户的认5 G 网络安全标准白皮书 2 0 2 1 7 证, 还提供 对访问网 络的认 证,防 止访问 网络虚报 用户漫 游状态 、产生 恶意扣 费等 情况。 另一方面, 5G 网络采用统一的认证框架 , 引入了扩展认证协议 ( Extensible Authentication Protocol ,EAP ), 其具 有较 好的灵 活性 和可 扩展性 ,既 可运 行在 数据 链路层 上,也 可以运 行于 TCP 或 UDP 协议 之上, 不仅支 持多种 认证协 议和各 种 应用 场景下 的双向身 份鉴权 ,还支 持垂直 行业的多 种已有 应用, 扩展适 配垂直 行业 应用所需的新认证能力。 (3)更严密的用户隐私保护 在用 户隐私 保护方 面, 5G相对 于之前 的通信 网络具 备更严 密的加 密措施 ,能在 更大力度上保护用户隐私不受侵犯。 在 2G 至 4G 网 络 中 , 通 信 网 络 和 终 端 通 常 使 用 临 时 移 动 用 户 识 别 码 ( Temporary Mobile Subscriber Identity , TMSI ) 交 互 , 用 于 避 免 国 际 移 动 用 户 识 别 码 (International Mobile Subscriber Identity ,IMSI ) 被攻 击者 窃 取。 但当 终 端 初始 接入网 络, TMSI和 IMSI未能 同步时 ,通信 网络会 请求终 端发送 IMSI进行 认证, IMSI会短暂出现在信道上,攻击者可能获取IMSI并进一步攻击或追踪用户。 5G通信 网络利 用用户 卡上存 储的归 属运营 商的公 钥对永 久用户 标识进 行加密 , 不再 明文传 输国际移 动用户 识别码 。为抵 御中间人 攻击, 归属运 营商的 公钥直 接预 置在 用户卡 内,有效 地保护 了用户 的隐私 。其次, 在 5G通信 网络中 ,切片选 择辅助 信息NSSAI(Network Slice Selection Assistance Information)可区分不同类型 的5G网络切片, 在用户初始接入网络时, NSSAI知识基站及核心网网元将其路由到正 确的切片网络,5G网络可对NSSAI敏感信息进行隐私保护。 (4) 更灵活的网间信息保护 在网间信息保护方面, 5G新增了安全边界保护代理 (Security Edge Protection Proxy,SEPP),能有效保护在网络中互联互通信息的机密性和完整性。 在3G/4G系统中, 运营商的数量和网络部署规模也在不断扩大, 为防止信令在网 络间传输过程中被窃听、 篡改甚至伪造, 3GPP制定了基于域划分的网络域 /IP层安全 机制、 基于公钥基础设施提供认证服务的认证框架协议, 以保护网间信息互联互通。 在5G网络 中引入 了 SEPP ,其 作为运 营商核 心网控 制面之 间的边 界网关 ,所有 跨 运营商的信息传输均需要通过SEPP进行处理和转发, SEPP在运营商之间建立 TLS安全 传输 通道, 对传输的 信息中 需要进 行保护 的字段进 行机密 性和完 整性保 护,从 而有 效防止数据在传输过程中被篡改和窃听2 0 2 1 5 G 网络安全标准化白皮书 8 表 2-1 5G 网络与 4G 网络的安全能力对比 能力类型 4 G 5 G 数据安全保护 对网络信令进行完整性保护。 对 网 络 信 令 和 用 户 数 据 进 行 完 整 性 保护。 认证机制支持 使用 AKA 认证机制。 使 用 增 强 的 5G-AKA 认 证 机 制 , 并 引 入 EAP 构建更灵活的可扩展框架。 用户隐私保护 通 信 网 络 和 终 端 通 常 使 用 临 时 移 动用户识别码 TMSI 交互。 利 用 用 户 卡 上 存 储 的 归 属 运 营 商 的 公钥对永久用户标识进行加密。 网间信息保护 基于域划分的网络域/IP 层安全机 制、 基于公钥基础设施提供认证服 务的认证框架协议。 新增了安全边界保护代理 SEPP, 对传 输信息进行机密性和完整性保护5 G 网络安全标准白皮书 2 0 2 1 9 3 5 G 网 络 安 全 政 策 与 标 准 现 状 3 . 1 5 G 网 络 安 全 法 规 和 政 策 3 .1 .1 美国 美国 力图在 5G 技术 创新、 应用发 展、安 全生态 建设等 方面占 据全球 领导地 位。 2018年9 月, 美国联 邦通信 委员会 ( FCC)发 布了 “ 5G加速 计划 ”,主 要从频 谱资源 投入 、基础 设施建 设、修 订法规三 个方面 提出了 促进 5G发展 的举措 。 2018 年10月, 白宫 发布 关于制定 美国未 来可持 续频谱 战略的总 统备忘 录, 提出 “ 美国 必须率 先实现第五代无线技术 (5G) ” 。 2018年12 月, 国际战略研究中心 (CSIS) 发布 5G 将如 何塑造 创新和安 全报 告,指 出 5G技术 是下一 代数字技 术的支 柱,将 对未来 几 十年的国际安全和经济产生影响。 2019年4月, 美国国防部国防创新委员会发布 5G 生态 系统: 国防部的 风险与 机遇 ,介绍 了 5G发展 历程、 目前全球 竞争态 势以及 5G 技术 对国防 部的影响 与挑战 ,并在 频谱政 策、供应 链和基 础设施 安全等 方面提 出了 建议。 2019 年5月 , 美国联合全球30多个国家发布了非约束性政策建议 “布拉格提案 ” 。 2020年3月, 美国白宫发布了 美国5G安全国家战略 , 正式制定了美国保护 5G基础 设施 的框架 ,阐明了 美国要 与最紧 密的合 作伙伴和 盟友共 同领导 全球安 全可靠 的 5G 通信 基础设 施的开 发、部 署和管理 的愿景 。 2020年 12月, 美国国 防部发 布 5G技术 实施 方案 报告,从 技术、 安全、 标准、 政策以及 应用合 作等方 面提供 5G安全 路线 图, 重点提 到计划 扩大在 包括 3GPP在内 的标准 制定组 织中的 活动力度 ;响应 国防部 方案 ,美国 国家标 准与技 术研究 院( NIST)设 立了 “5G安全 演进 ”项目 ,并于 2021 年2月发 布 5G网络 安全实 践指南 草案 ,旨在 帮助使 用 5G网络 的组织 以及网络 运营 商和设备供应商提高安全能力。 3 .1 .2 欧盟 欧盟 高度重 视 5G发展 ,并着 力构建 各成员 国统一 的安全 框架。 早在 2015年, 欧 盟正 式公 布 5G合作 愿景 ( EU vision for 5G Communication ), 力求 确保 欧洲在 下 一代 移动技 术全球 标准中 的话语 权。 2017年的 发布 网络与 信息安 全指令 和 2018 年发 布的 欧洲电子 通信守 则要 求成员 国针对 5G 网络 和相关 基础技术 的安全 保障 尽快 制定国 家战略, 明确战 略执行 机构、 风险评估 计划、 应急处 置措施 和部门 协作 机制等。 2019年3月, 欧盟批准生效 网络安全法案 , 赋予欧盟网络和信息安全局2 0 2 1 5 G 网络安全标准化白皮书 1 0 (ENISA) 一项重要任务, 即推动建立欧盟首个统一的网络安全认证制度 , 该认证将 适用 于欧盟 市场的所 有信息 通信设 备、服 务和流程 (包含 5G )。 欧盟委 员会还通 过 了5G 网络 安全建 议,呼 吁欧盟 成员国 完成国 家风险评 估并审 查国家 安全措 施, 并在 整个欧 盟层面共 同开展 统一风 险评估 工作,同 时就一 个通用 的缓解 措施工 具箱 进行商议。 2019年10月, 欧盟遵循 ISO/IEC 27005 信息技术-安全技术-信息安全风 险管 理中 的风险评 估方法 ,分析 了 5G网络 的主要 威胁和威 胁实施 者、受 威胁的 资 产、 各种脆弱点以及战略风险 , 发布了 欧盟5G网络安全风险评估报告 。 2020年1 月29日, 欧委会 通过欧盟 5G安全 工具箱 ,通过一 系列战 略和技 术措施 解决欧 盟 5G 网络安全风险评估报告中所有已识别出的风险。 3 .1 .3 国内 现状 在我国, 党和政府高度重视 5G 网络技术的发展及应用。 中华人民共和国国民 经济 和社会 发展第 十四个 五年规 划和 2035 年远 景目标 纲要 指出 “加快 5G 网络 规 模化部署, 用户普及率提高到 56%, 推广升级千兆光纤网络 ” , “构建基于 5G 的应 用场 景和产 业生态, 在智能 交通、 智慧物 流、智慧 能源、 智慧医 疗等重 点领域 开展 试点示范” , 体现了国家对于发展 5G 的决心。 2019 年 6 月, 工信部发放 5G 商用牌 照 , 加 速 推 动 5G 发 展 应 用 。 2019 年 11 月 , 工 信 部 印 发 “ 5G 工 业 互 联 网 ” 512 工 程 推 进 方 案 ( 工 信 厅 信 管 2019 78 号 ) , 明 确 到 2022 年 实 现 一 批 面 向 工 业 互联网特定需求的 5G 关键技术突破, 加快垂直领域 “5G+工业互联网” 的先导应用 ; 2020 年 3 月 , 工 信 部 印 发 关 于 推 动 5G 加 快 发 展 的 通 知 ( 工 信 部 通 信 2020 49 号) , 全力推进 5G 网络建设部署, 加大 5G 技术研发力度与应用推广; 2020 年 5 月,政府工作报告提出“加强新型基础设施建设,发展新一代信息网络,拓展 5G 应用”,再次就加快 5G 网络等新型基础设施建设做出战略部署。 在推动 5G 发展的同时, 5G 网络安全也被提高到国家战略层面。 相关法律法规 、 政策文件的要求对于加快建设 5G 安全保障体系, 合理规划标准化体系等方面具有重 要指 导意义 。在法律 法规层 面, 网络安 全法主 要从网 络安全 责任制 、关键 信息 基础设施保护、 个人信息保护三个方面提出保障 5G 网络安全发展的要求。 中华人 民共和国电信条例 规定, 任何组织或者个人不得利用电信网络从事危害国家安全 、 社会 公共利 益或者他 人合法 权益的 活动, 不得有危 害电信 网络安 全和信 息安全 的行 为。 网络安全审查办法 要求 “关键信息基础设施的运营者采购网络产品和服务 , 可能 影响国 家安全的 ” ,应 当通过 “有关 部门组 织的国家 安全审 查 ”。已 被全国 人 大列 入立法 计划的 数据安 全法 个人 信息保护 法也 对网络 数据提 出严格 的管 理要 求。在 政策方 面, 关于推动 5G 加快 发展的 通知 要求加 强 5G 网络 基础设 施 安全保障、 强化 5G 网络数据安全保护、 培育 5G 网络安全产业生态, 构建 5G 安全保 障体系, 并要求开展安全评估 , 积极防范安全风险。 2021 年 3 月, 工信部科技司在5 G 网络安全标准白皮书 2 0 2 1 1 1 2021 年工业和信息化标准工作要点 中明确, 将推动开展 5G 及下一代移动通信、 网络和数据安全等标准的研究与制定。 3 . 2 5 G 网 络 安 全 标 准 化 现 状 3 .2 .1 国外 标准 化情况 3.2.1.1 ISO/IEC JTC1 目前,国际标准化组织 ISO/IEC JTC1 SC27(信息安全、网络安全和隐私保护分 技术 委员会 ) 已发 布的与 5G 网络 安全相 关的标准 主要集 中在信 息安全 管理、供 应链 安全 管理等 方面, 在研 5G 网络 安全相 关的标 准主要 聚焦网 络虚拟 化安全 。 ISO/IEC JTC1 在 5G 网络安全领域的重点标准包括: ISO 27000信息技术 安全技术 信息安全管理系统系列标准明确了在组 织 内 部 建 立 信 息 安 全 管 理 目 标 , 以 及 完 成 这 些 目 标 所 用 方 法 的 体 系 , 其 中 ISO/IEC 27005信息技术 安全技术 信息安全风险管理标准被欧盟用于 开展 5G 网络安全风险评估。 ISO/IEC 27036信息技术 安全技术 供应商关系
