中国联通：5G网络安全原子能力白皮书（2022）（87页）.pdf

《中国联通：5G网络安全原子能力白皮书（2022）（87页）.pdf》由会员分享，可在线阅读，更多相关《中国联通：5G网络安全原子能力白皮书（2022）（87页）.pdf（87页珍藏版）》请在三个皮匠报告上搜索。

1、中国联通 5G 网络安全原子能力白皮书中国联通 5G 网络安全原子能力白皮书中国联通研究院2022 年 12 月中国联通 5G 网络安全原子能力白皮书（2022）版权声明版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。中国联通 5G 网络安全原子能力白皮书（2022）目 录目 录前 言.11 5G 网络安全概述.31.1 5G 网络安全挑战.31.2 5G 安全增强特性.41.3 5G 行业应用安全需求.52 5G 网络安全原子能力框架.83 5G 设

2、备级内生安全功能.94 5G 网络级、平台级安全原子能力.104.1 网络级安全原子能力.104.1.1 接入安全原子能力.104.1.2 边缘安全原子能力.134.1.3 核心网安全原子能力.174.1.4 运维安全原子能力.204.1.5 切片安全原子能力.214.2 平台级安全原子能力.254.2.1 DDoS 攻击防护能力.254.2.2 5G 安全态势感知能力.274.2.3 网站安全防护能力.29中国联通 5G 网络安全原子能力白皮书（2022）4.2.4 密码云平台能力.304.2.5 5G 专网信令流量安全分析能力.334.2.6 云原生应用安全防护能力.344.2.7 5G

3、数据安全防护能力.364.2.8 5G 终端零信任接入能力.394.2.9 安全基础能力.405 面向行业的场景级安全原子能力.425.1 终端安全.425.2 网络安全.445.3 数据安全.475.4 应用安全.496 未来展望.52附录A设备级安全功能.53A.1 终端安全功能.53A.1.1 终端接入认证功能.53A.1.2 终端信令和用户面数据保护功能.53A.1.3 用户凭证安全功能.55A.1.4 终端访问控制功能.55中国联通 5G 网络安全原子能力白皮书（2022）A.2 基站安全功能.56A.2.1 基站信令和用户面数据保护功能.56A.2.2 基站可用性保护功能.58A.

4、3 MEC 安全功能.59A.3.1 MEC1：安全隔离.59A.3.2 MEC2：边界安全防护.60A.3.3 MEC3：流量安全控制.60A.3.4 MEC4：API 接口安全.60A.3.5 MEC5：终端访问安全.61A.3.6 MEC6：业务连续性安全.61A.3.7 MEC7：应用安全防护功能.61A.3.8 MEC8：通信安全防护功能.62A.3.9 MEC9：数据安全防护.62A.3.10 MEC10：虚拟化安全防护功能.63A.3.11 MEC11：能力开放安全防护功能.64A.4 5GC 网元安全功能.64A.4.1 5GC 通用安全功能.64A.4.2 UPF 安全功能.

5、66中国联通 5G 网络安全原子能力白皮书（2022）A.4.3 AMF 安全功能.67A.4.4 SMF 安全功能.69A.4.5 AUSF 安全功能.70A.4.6 UDM 安全功能.71A.4.7 PCF 安全功能.71A.4.8 NRF 安全功能.71A.4.9 NEF 安全功能.72A.4.10 NSSF 安全功能.73A.4.11 NSSAAF 安全功能.73A.4.12 SEPP 安全功能.73附录B缩略语.75附录C参考文献.80中国联通 5G 网络安全原子能力白皮书（2022）-1-前 言前 言5G 作为新一代信息通信技术演进升级的重要方向，是实现万物互联的关键信息基础设施、

6、经济社会数字化转型的重要驱动力量。随着 5G 的发展，5G 安全成为了各国关注的焦点。国际上，美国一直力图在 5G 技术创新、应用发展、安全建设等方面占据全球领先地位。2020 年 3 月 23 日，白宫发布了 美国 5G安全国家战略，计划与盟友合作共同领导全球安全可靠的 5G 通信基础设施的开发、部署和管理。欧盟也高度重视 5G 发展，并着力构建各成员国统一的安全框架。2020 年 1 月 29 日，欧委会通过欧盟5G 安全工具箱，通过一系列战略和技术措施解决欧盟 5G 网络安全风险评估报告中所有已识别出的风险。国际高度关注 5G 安全问题的同时，我国也积极推动 5G 网络安全工作，从政策、

7、标准、技术等方面持续完善安全保障措施，统筹规划 5G 安全相关工作。工信部于 2021 年出台 5G 网络安全实施指南，全面梳理分析 5G 安全风险和应对措施，为 5G 产业链各环节客观认识和应对 5G 安全问题提供技术指引。在 2021 年 7 月，工信部联合网信办、发改委等 9 部门印发 5G 应用“扬帆”行动计划（2021-2023年），针对 5G 应用安全保障能力提出了目标和要求，明确指出要加快构建与 5G 应用发展相适应的安全保障体系。5G 安全是全球面临的共同问题，全行业可通过共同的 5G 安全理念、共识的 5G 安全框架及共建的 5G 安全能力，应对潜在的安全挑战。本白皮书面向5

8、G 网络自身安全运营和5G 行业应用安全需求，中国联通 5G 网络安全原子能力白皮书（2022）-2-提出可为不同垂直行业赋能的安全原子能力，灵活组合对外赋能，打造与行业应用相适应的安全能力体系，助力全行业安全数字化转型。本白皮书旨在为 5G 网络安全建设和垂直行业业务拓展提供综合性安全技术指导，从 5G 网络的角度促进 5G+垂直行业的安全、可靠、高质量发展。目标读者包括但不限于移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商，以及其他关心 5G 网络安全相关的机构和个人。编写组成员编写组成员：中国联合网络通信有限公司研究院：徐雷、张曼君、谢泽铖、王蕴实、陆勰、姚戈、程

9、筱彪、王姗姗、郭新海、贾宝军、陶冶、丁攀、刘安、侯乐、胡慧、蓝鑫冲、苏俐竹、刘伟、杨双仕、王戈、王莹中国联合网络通信有限公司广东省分公司：莫俊彬、潘桂新、李文彬、彭健、聂勋坦联通数字科技有限公司：周凯，蒋小燕，范勇杰，祝少波华为技术有限公司：田超斌、李科、程帅恒安嘉新（北京）科技股份公司：高华、刘志强、王赫北京神州绿盟科技有限公司：雷新、贾少华、封宏涛中国联通 5G 网络安全原子能力白皮书（2022）-3-1 5G 网络安全概述1 5G 网络安全概述1.1 5G 网络安全挑战1.1 5G 网络安全挑战深化 5G 与经济社会各领域的融合应用，将对政治、经济、文化、社会等各领域发展带来全方位影响。

10、5G 造福社会的同时，其开放性、切片化、大连接、大数据等特性，对 5G 安全带来了全新的挑战。开放性安全风险，一方面是多终端接入带来更多认证、访问控制的挑战，运营商网络边界将进一步模糊化，传统纵向护城河式的防护策略将难以继续适用；另一方面 5G 网络将进一步面向各行业开放，全面赋能，这也意味着更多第三方应用将可能和运营商网络设备紧耦合部署，安全规划、安全基线、安全能力建设将不再局限于对运营商自身网络的防护，对运营商的网络与信息安全管控能力提出了更高的要求。切片化安全风险，主要是 5G 切片需要满足行业个性化需求，在共享的资源上实现逻辑隔离。如果没有采取适当的安全隔离机制和措施，若某个低防护能力

11、的网络切片受到攻击，则攻击者可以以此为跳板攻击其他切片，进而影响其他切片的正常运行。大连接安全风险，主要是大连接场景下更易引入 DDoS 攻击和信令风暴。大量功耗低、计算和存储资源有限的终端难以部署复杂的安全策略，一旦被攻击容易形成僵尸网络，成为攻击源，进而引发对网络系统和用户应用的攻击，带来网络中断、系统瘫痪等安全风险，造成的危害将比传统终端带来的危害更大。中国联通 5G 网络安全原子能力白皮书（2022）-4-大数据安全风险，5G 网络的多终端、多行业接入，带来了更多元化的数据，运营商管控的数据类型和数量可能快速增加，数据安全的防护面和防护对象数量将同步扩大。同时，由于 5G 网络业务需求

12、，传统 B、M、O 域数据将进一步融合，数据的安全边界也更加模糊化，需要重构运营商数据安全防护策略。1.2 5G 安全增强特性1.2 5G 安全增强特性为应对网络安全挑战，全行业正共同致力于应对 5G 架构、技术、业务面临的新的安全风险，通过统一的 5G 安全标准、共同的 5G 安全理念及共识的 5G 安全框架，应对潜在的安全挑战。目前，5G 网络在以下几方面进行了安全增强：（1）更好的空口安全：在 2G/3G/4G 中用户和网络之间用户数据机密性保护的基础之上，5G 网络进一步支持用户数据的完整性保护机制，防范用户数据的篡改攻击。（2）更强的用户隐私保护：在 2G/3G/4G 时，移动用户身

13、份标识 IMSI 在部分场景下是通过空口明文发送的，攻击者可以利用这一缺陷追踪用户。在 5G 中，用户永久身份 SUPI 将以加密形式发送，以防范“IMSI catcher”攻击。（3）更安全的网络漫游：运营商之间通常需要通过转接运营商来建立连接。攻击者可以通过控制转接运营商设备的方法，假冒合法的核心网节点，发起类似 SS7 的攻击。5G 的 SBA 架构中新定义了SEPP，对运营商间的信令面数据进行安全保护，使得运营商间的转中国联通 5G 网络安全原子能力白皮书（2022）-5-接设备无法窃听核心网之间交互的敏感信息（如密钥、用户身份、短信等）。（4）更强的密码算法：为了应对量子计算机对密码

14、算法的影响，5G 在未来版本可能需要支持 256bit 算法。目前 5G R15 标准已定义 256bit 密钥传输等相关机制，为未来引入 256bit 算法做好准备。（5）更安全的 SBA：5G 核心网的 SBA 新架构将网络功能服务化，标准定义了 SBA 架构的服务安全机制。包含更细粒度的网元间授权机制，更强的运营商间的用户面数据传输保护等，以保障核心网内部信令面及用户面数据的传输安全。1.3 5G 行业应用安全需求1.3 5G 行业应用安全需求5G 网络基于全新的架构,将传统的人与人通信延伸到人与物、物与物之间智能互联，应用场景从互联网拓展到工业互联网、车联网、物联网等更多领域。5G 为

15、垂直行业带来了更大带宽、更低时延、更多接入的通信技术能力，将会深度与垂直行业业务融合，5G 行业应用有以下几个重点安全需求：（1）5G 终端接入安全。传统网络中，企业网络是封闭的，各种设备终端从园区局域内网接入，应用只对内部开放，数据主要在企业园区内流动。通过 5G 网络接入后，打破了原有的物理边界，需要更加严谨、细粒度的访问控制来约束终端的上网行为，避免异常终端接入。同时，终端设备本身，包括所用芯片、嵌入式操作系统、编码规范、第三方应用软件等，可能存在漏洞、缺陷、后门等安全问题，中国联通 5G 网络安全原子能力白皮书（2022）-6-暴露在相对开放的 5G 网络中，存在被利用的风险，多种类终

16、端接入加剧了恶意应用威胁渗透，易被利用成为新攻击源，进而对企业应用、后台系统等发起攻击，造成巨大损失。（2）网络安全防护。5G 虚拟专网、共享切片、资源云化等行业应用的服务模式导致出现更多虚拟网络边界（例如边缘计算云平台上的虚拟资源之间、APP 之间等），运营商与垂直行业之间需要明确在混合组网、共享云平台等场景下的安全责任边界划分，并在物理边界和虚拟边界部署入侵检测、安全隔离等安全防护措施。（3）数据安全。从信息安全三要素 CIA（机密性、完整性和可用性）来看，5G 网络与其他公共通信网络一样，需要保障垂直行业的数据在网络中传输、交换和存储的信息的机密性、完整性，不被未经授权的篡改、泄露和破坏

17、，同时，保障系统连续可靠地运行，不中断地为上层应用提供通信服务。（4）应用安全。应用包括运营商应用和第三方应用，提供行业应用服务。5G MEC 支持用户面下沉部署，利用无线接入网就近提供用户所需服务和计算能力，实现通信和业务深度融合。MEC 应用主要面临不可用、滥用、隐私泄露等安全风险，需要规范应用开发和上线，降低安全风险，同时加强开放 API 的安全管控。中国联通 5G 网络安全原子能力白皮书（2022）-7-图 1-1 5G 行业应用安全需求中国联通 5G 网络安全原子能力白皮书（2022）-8-2 5G 网络安全原子能力框架2 5G 网络安全原子能力框架结合 5G 网络相比 4G 网络在

18、网元设备级、网络级安全能力的增强提升以及融合安全系统的检测防御能力，面向 5G 网络自身安全运营和 5G 行业应用安全需求，构建“设备级-网络级+平台级-场景级”的 5G 网络安全原子能力三层架构。其中设备级安全功能主要为终端设备、基站、MEC、5GC 等 5G 网络各网元设备的安全功能，偏向于底层网元，是网络级安全原子能力的基础；网络级安全原子能力依托于设备级的安全功能，整合需要多设备网元共同提供的安全能力；平台级安全原子能力整合了 5G 网络中安全系统的能力，为行业客户提供更全面的安全防护；场景级安全原子能力在梳理各垂直行业的安全需求场景基础上，拉通多个网络级、平台级安全原子能力，提供不同

19、场景的安全能力。图 2-1 5G 网络安全原子能力框架中国联通 5G 网络安全原子能力白皮书（2022）-9-3 5G 设备级内生安全功能3 5G 设备级内生安全功能5G 网络中的终端设备和各网元设备均具有一定的内生安全功能，如终端具备接入认证、用户隐私保护等安全功能；基站具备空口信令和用户数据的加密完保、伪基站检测等安全功能；MEC 具备 API 接口安全、虚拟化安全防护等功能；5GC 网元具备网元间相互认证、网元虚拟化隔离等安全功能。这些设备级安全功能是 5G 网络安全原子能力中最基础的安全功能，为上层网络级、场景级的安全原子能力提供基础，详细内容见附录 A。中国联通 5G 网络安全原子能

20、力白皮书（2022）-10-4 5G 网络级、平台级安全原子能力4 5G 网络级、平台级安全原子能力4.1 网络级安全原子能力4.1 网络级安全原子能力5G 网络中的安全流程涉及多个网元设备，一般由终端和各网元设备配合完成。如主认证流程由终端、AMF、AUSF、UDM 等网元共同完成；二次认证流程由终端、AMF、SMF、UPF、AUSF、DN-AAA等网元共同完成；切片认证由终端、AMF、UDM、NSSAAF、AAA-P、AAA-S 等网元共同完成。基于此，网络级安全原子能力从 5G 网络组网架构出发，整合各网元设备的安全功能，分为接入安全原子能力、边缘安全原子能力、核心网安全原子能力、运维安

21、全原子能力、切片安全原子能力，为上层的场景级安全原子能力提供支撑。4.1.1接入安全原子能力4.1.1.1终端访问控制4.1.1接入安全原子能力4.1.1.1终端访问控制网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能终端访问控制原子能力终端访问网络控制原子能力（网络级-接入-1）5G 网络利用终端具有的唯一合法用户标识和设备标识，通过流量限制、机卡绑定等措施，将终端对 5G网络的访问行为进行限制。终端 13.1、终端13.2、UDM 4终端接入位置控制原子能力（网络级-接入借助 5G 网络能力通过用户标识结合位置标识限制终端可接入网络的位置。可终端 13.1、AMF 7中

22、国联通 5G 网络安全原子能力白皮书（2022）-11-2）基于不同位置控制精度的要求，选择 TAI list 方案、ULI方案或者两者组合方案。终端接入业务控制原子能力（网络级-接入-3）基于终端的 IMSI 信息、手机号等唯一标识设定可访问业务地址策略，实现终端接入业务控制。终端 13.1、终端13.2、UPF5、SMF14.1.1.2用户隐私保护原子能力4.1.1.2用户隐私保护原子能力网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能用户隐私保护用户凭证安全原子能力（网络级-接入-4）终端使用防篡改的安全硬件组件，为终端内的用户凭证提供完整性保护功能和机密性保护功能。

23、终端 9、终端 10SUPI 隐私保护原子能力（网络级-接入-5）5G 网络对 5G 用户永久身份标识 SUPI 信息进行保护，除未经认证的紧急呼叫 等 场 景，终 端 不 能 在NG-RAN 传输 SUPI 明文。5G 网络可以配置和更新归属网络公钥，开启 SUPI 隐私保护机制。终端 11、AMF 3、UDM 3中国联通 5G 网络安全原子能力白皮书（2022）-12-4.1.1.3接入认证原子能力4.1.1.3接入认证原子能力网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能接入认证原子能力用户接入主认证原子能力（网络级-接入-6）5G 网络通过 EPS-AKA和 5G

24、-AKA 认证机制对用户进行接入认证。终端 1、AMF 4、AUSF1、UDM 1二次认证原子能力（网络级-接入-7）5G网络通过SMF网元配置启用二次身份认证，当终端接入 5G 网络完成核心网主认证之后，可将终端身份认证信息转发到 AAA 系统进行终端身份二次认证。AAA 系统可以由行业客户企业自部署，也可以 由运 营商 部署 提 供云 上AAA 服务。终端 2、SMF 1、UPF5、AUSF 2其他安全认证原子能力（网络级-接入-8）5G 网络支持在用户终端及业务服务器之间建立 GBA、AKMA 认证机制，并使用衍生的密钥进行数据完整性和机密性保护，为用户提供安全认证能力。终端 3、终端

25、4、AUSF3中国联通 5G 网络安全原子能力白皮书（2022）-13-4.1.1.4数据保护原子能力4.1.1.4数据保护原子能力网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能数据保护原子能力信令面数据保护原子能力（网络级-接入-9）5G 网络具备对接入侧的控制面信令提供机密性保护和完整性保护的能力，防止信令传输被非法篡改和窃取。终端 5、终端 6、基站 1、基站 2、AMF1、AMF2、AMF9用户面数据保护原子能力（网络级-接入-10）5G 网络具备对接入侧的用户面数据提供机密性保护和完整性保护的能力，防止用户面数据传输被非法篡改和窃取。终端 7、终端 8、基站 3

26、、基站 44.1.2边缘安全原子能力4.1.2.1MEC 数据安全4.1.2边缘安全原子能力4.1.2.1MEC 数据安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能MEC 数据安全数据传输安全原子能力（网络级-边缘-1）5G 网络具备对 N3 接口、N4 接口、边缘计算系统中的标准接口等传输的信令或用户数据的机密性、完整性和防重放攻击保护，并对 MEC 之内或之间的数据传输部署安全通UPF3.1、UPF3.2、UPF3.3、UPF3.4、MEC4.2、MEC4.3、中国联通 5G 网络安全原子能力白皮书（2022）-14-道。MEC8.1流量安全控制原子能力（网络级-

27、边缘-2）5G 网络具备通过安全访问控制策略对边缘信令接口N4 接口进行流量安全控制，通过部署网络防火墙对边缘用户面接口 N6 接口进行流量安全控制。MEC3.1、MEC3.2、MEC8.3、UPF2.2、UPF2.3、UPF4.2抗 DDoS 原子能力（网络级-边缘-3）5G网络具备对流向5G核心网的信令流量，以及来自终端和 APP 的业务流量进行限速，防止发生 DDoS 攻击。MEC4.1、UPF2.6、UPF2.7用户隐私数据保护原子能力（网络级-边缘-4）MEC 支持将涉及用户隐私的数据信息加以标识，对于增加标识的重要数据进行完整性、机密性及防重放的保护。利用入侵检测技术对 API 接

28、口的使用者进行检测，防止攻击者获取用户的隐私数据信息。MEC9.1、MEC9.2中国联通 5G 网络安全原子能力白皮书（2022）-15-4.1.2.2MEC 平台安全4.1.2.2MEC 平台安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能MEC平台安全平台安全隔离能力（网络级-边缘-5）为行业客户提供边缘 MEC平台本身的安全保障能力。由于5G 边缘计算平台 MEP 本身是基于虚拟化基础设施部署，支持管理、业务和存储三平面安全隔离，以及虚拟化安全隔离。MEC1.1、MEC1.2、MEC1.3、MEC10.3接口安全防护能力（网络级-边缘-6）MEC支持加强API接口

29、的安全管控，对发往 API 的请求和调用进行监控和限制，防止攻击者或者恶意应用对 MEP 的服务接口进行非授权访问，拦截或者篡改MEP 与 APP 之间的通信数据，防止攻击者通过恶意应用访问MEP 上的敏感数据，窃取、篡改和删除用户的敏感隐私数据。MEC4.1、MEC4.2、MEC4.3、MEC7.3、MEC8.2、MEC10.5、MEC11.1边缘云虚拟设施安全防护能力（网络级-边缘-7）MEC 通过禁用不必要服务、镜像校验、安全加固等多种手段确保 MEC 平台的虚拟设施安全，为行业客户提供安全、可靠的 MECMEC7.5、MEC10.1、MEC10.2、MEC10.4、中国联通 5G 网络

30、安全原子能力白皮书（2022）-16-平台服务。MEC10.64.1.2.3MEC 应用安全4.1.2.3MEC 应用安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能MEC 应用安全应用安全策略（网络级-边缘-8）MEC 平台与第三方应用通过安全认证与授权机制，对 MEP 上的APP 进行安全保护，防止 APP 之间的非法访问，防止第三方 APP 通过恶意消耗 MEC 系统资源造成系统服务不可用。MEC1.2、MEC1.3、MEC4.2、MEC7.17.64.1.2.4MEC 边界安全4.1.2.4MEC 边界安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能

31、所需安全功能MEC边界安全数据不出园安全原子能力（网络级-边缘-9）部署数据不出园区的网络架构，UPF 部署在行业园区，实现用户面数据不出园。部署边界防火墙支持双向过滤策略。部署流量监控设备，智能分析并识别仅信令及 OM 相关数据可以流出，确保没有业务数据流出行业园区。MEC 2.2、MEC 2.3、MEC 2.4边界访问控制安全利用边界网元 ACL 过滤功UPF 4.1、中国联通 5G 网络安全原子能力白皮书（2022）-17-原子能力（网络级-边缘-10）能、协议控制功能，并在边界部署抗 DDoS 攻击、入侵检测、访问控制、Web 流量检测等安全能力，实现边界安全防护，保障5GC 安全。U

32、PF 4.2、MEC 2.14.1.3核心网安全原子能力4.1.3.1能力开放安全4.1.3核心网安全原子能力4.1.3.1能力开放安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能能力开放安全边缘能力开放（网络级-核心网-1）为行业客户提供边缘能力开放过程中的安全保障能力。对API 进行安全的管理、发布和开放，通过 TLS 安全协议保障开放API 接口与第三方应用之间的数据安全传输，通过 OAuth 认证授权机制保障 API 接口调用安全，防止恶意应用对 5G 网络的非授权访问。MEC4.1、MEC4.2、MEC4.3、MEC11.1、MEC11.2网络能力开放（网络级

33、-核心网-2）为行业客户提供网络能力开放过程中的安全保障能力。5G 网络中 NEF 主要负责能力开放相关的功能，是运营商内部NEF1、NEF2、NEF3中国联通 5G 网络安全原子能力白皮书（2022）-18-网络资源和外部 AF 应用之间的桥梁。4.1.3.2网元间安全认证4.1.3.2网元间安全认证网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能网元间安全认证（网络级-核心网-3）5GC 各元间具备安全认证能力，通过 OAuth 认证授权机制保障 SBI 安全，确保行业客户的网络安全，防止未授权网元访问网络和业务。采用客户凭证授权方式，使用 IETF RFC6749 中

34、指定的 OAuth2.0框架，NRF 作为授权服务器，产生 Token（令牌）以及提供授权服务。通过 NRF 动态授权的方式限制NF 之间的访问权限，确保 NF 身份合法，防止 NF被仿冒带来的信息泄露、篡改等安全风险。其中 OAuth 认证授权机制最重要的步聚为获取访问令牌和使用访问令牌去访问服务，两个流程如下图所示。5GC 通用 3、NRF1中国联通 5G 网络安全原子能力白皮书（2022）-19-图4-1 NF服务使用者在NF服务访问之前获取访问令牌图4-2 NF服务使用者使用访问令牌请求服务中国联通 5G 网络安全原子能力白皮书（2022）-20-4.1.3.3网元虚拟化安全4.1.3

35、.3网元虚拟化安全网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能网元虚拟化安全（网络级-核心网-4）通过VM隔离、VPC等技术，同一物理机上的不同虚拟化网络资源具有安全隔离功能，多台物理机上的大量虚拟化网络资源具有安全隔离功能。5GC 通用 1、5GC 通用 54.1.4运维安全原子能力4.1.4运维安全原子能力网络级安全原子能力网络级安全原子能力描述描述运维安全安全加固能力（网络级-运维-1）对 5G 网络中的 Host OS（Hypervisor）、Guest OS、中间件、数据库、应用软件等，进行安全合规配置、账号口令管理、安全补丁管理等，安全管理和安全配置采取服务

36、最小原则，禁用不必要的服务。网络设备生命周期管理原子能力（网络级-运维-2）5G网络具有对网络基础设施进行生命周期管理，定期远程更新所有设备和节点，维护管理补丁升级和固件升级，及时修补漏洞的能力。网络切片安全监控能力（网络级-运维-3）支持对网络切片进行安全监控，实时掌握网络切片运行情况、可能的攻击及故障状况，及时恢复网络切片运行。分权分域能力（网网络切片管理系统支持租户的分权分域，租户中国联通 5G 网络安全原子能力白皮书（2022）-21-络级-运维-4）对其拥有管理权限的网络切片进行管理操作，禁止跨网络切片访问、操作其他网络切片的资源。操作管理能力（网络级-运维-5）支持对操作人员进行认

37、证、授权、审计等，并对操作行为进行日志记录，包括所有对系统状态有影响的操作，所有安全相关操作的日志（如创建用户、登入登出等），系统自身重要事件的日志（如定时触发的任务等），用户普通操作的日志（如业务上下线等）。4.1.5切片安全原子能力4.1.5.1切片认证原子能力4.1.5切片安全原子能力4.1.5.1切片认证原子能力网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能切片接入认证终端接入切片流程安全（网络级-切片-1）5G 网络通过切片签约校验、切片选择、授权和分组数据单元会话机制为 5G 终端提供接入指定切片的能力，为用户分配可接入切片的 NSSAI 或者 S-NSSAI

38、，终端在接入网络时向 5GC 发送携带 S-NSSAI 的消息，5G 核心网侧的 NSSF 通过 S-NSSAI 判断应该为 UE提供哪个网络切片的服务，进而决定由哪个AMF 为该 UE 提供接入服务。终端 12、NSSF1中国联通 5G 网络安全原子能力白皮书（2022）-22-切片认证（网络级-切片-2）为 5G 终端在接入行业客户切片时提供是否执行切片认证的能力，使行业客户可以通过自身维护的 AAA 鉴权服务器对接入终端进行认证授权，防止未授权的终端接入行业客户的切片网络。在主认证结束后，基于 UDM 处存储的 UE 签约信息或 UE 欲接入切片的安全策略，AMF 发送切片内认证请求从而

39、触发一个切片认证过程。NSSAAF 处理来自服务 AMF的网络切片特定认证请求，与外部 AAA-S 相连，将切片认证请求发送到相应的 AAA-S，进行特定切片的认证。图 4-3 切片认证流程示意图UDM2、NSSAAF1、AMF8中国联通 5G 网络安全原子能力白皮书（2022）-23-4.1.5.2切片安全隔离原子能力4.1.5.2切片安全隔离原子能力网络级安全原子能力网络级安全原子能力描述描述所需安全功能所需安全功能切片安全隔离原子能力无线侧安全隔离（网络级-切片-3）基站侧通过 QoS、PRB 资源预留等切片技术以及基站硬件资源共享和独享方式，确保不同切片之间在接入网的安全隔离。图 4-

40、4 无线侧 RB 资源预留隔离示意基站-8承载侧安全隔离（网络级-切片-4）承载侧通过 Flex-E 硬隔离、VPN 软隔离等方式实现承载网的切片安全隔离。例如 BBU 针对不同类型的业务（如自动驾驶、远程控制、辅助设备等）进行相应封装，使 用 不 同 的 VLAN 把 数 据 发 到SPN/IPRAN 网 络。SPN/IPRAN 与BBU/MEC 之间采用 VLAN 子接口的方式进行业务隔离，在 SPN/IPRAN 上通过Port+VLAN 的方式进行业务映射，不同的业务映射进不同的承载网硬切片+VPN 组中国联通 5G 网络安全原子能力白皮书（2022）-24-合，采用不同硬切片+VPN

41、组合的方式分别承载企业的 N2、N3、N4、N6/N9 业务流量。图 4-5 承载侧 FlexE 隔离示意核心侧安全隔离（网络级-切片-5）5GC 内部的 AMF、SMF、AUSF 等控制面网元、用户面网元 UPF 通过独享、共享方式满足行业客户的安全隔离需求，同时各个切片内的 NF 之间通过 VM/容器等方式进行安全隔离，保证每个切片都能获得相对独立的物理资源，一个切片异常后不会影响到其他切片。切片内 VNF 与公用 VNF 之间，以及切片内的 VNF 之间，通过 VNF 相互认证、设置白名单等方式实现切片 VNF 间的可信访问。5GC 通用 1、5GC 通用 2、5GC-通用 5中国联通

42、5G 网络安全原子能力白皮书（2022）-25-图 4-6 核心侧网元隔离示意4.2 平台级安全原子能力4.2 平台级安全原子能力5G 网络中引入了抗 DDoS、安全态势感知、流量安全分析、云原生应用安全防护、数据安全防护、零信任接入等多个安全系统和安全平台来保障 5G 网络的安全可靠。随着安全技术的云化发展，越来越多的安全系统和安全平台可通过云化方式部署，可以更方便的为行业客户提供服务。得益于这些安全系统和安全平台的能力，平台级安全原子能力可在 5G 网络内生安全能力之外，为行业客户提供更多的安全能力和安全服务，例如 DDoS 攻击防护能力、5G 安全态势感知能力、网站安全防护能力、密码云平

43、台能力、5G 专网信令流量安全分析能力、云原生应用安全防护能力、5G 数据安全防护能力、5G终端零信任接入能力、安全基础能力等。4.2.1DDoS 攻击防护能力4.2.1DDoS 攻击防护能力DDoS 攻击防护平台级安全能力基于运营商强大的网络监测、感知及处置能力，面向行业用户提供运营商级 DDoS 攻击防护能力，对大流量 DDoS 攻击提供可灵活定制的多层次防护，从源头解决攻击对业务系统的威胁，主要包括攻击监测、流量清洗、流量封堵等平中国联通 5G 网络安全原子能力白皮书（2022）-26-台级安全原子能力。4.2.1.1攻击监测4.2.1.1攻击监测平台级-1-1：基于 Netflow 采

44、样分析骨干网全网的流量数据，实时发现网络中的DDoS 攻击事件，例如SYN Flood、ICMP Flood、UDP Flood、Stream Flood、Land Attack、TCP Fragmentation等大流量网络层攻击，攻击发现后实时告警通知客户。基于联通云盾大数据分析平台对流量数据进行智能分析，定时提供用户流量分析报表、攻击分析报表等。依托流量监测系统，针对攻击事件提供攻击溯源,通过定期收集监测节点的流量数据，在流量分析系统中进行溯源分析，包括五元组信息，通过分析源 IP 地址、路由器端口等信息，确定攻击流量来源，提供 TOP10 攻击源报表分析。4.2.1.2流量清洗4.2.

45、1.2流量清洗平台级-1-2：当用户网络遭受 DDoS 攻击时，协同调度全网流量，实时按需把用户网络攻击流量牵引到防护节点清洗设备上进行清洗，并将正常流量通过原路径回注到网络。DDoS 攻击防护系统可提供近源清洗和近目的清洗两种清洗方式，近目的清洗是在骨干网上靠近被攻击的目标网络一侧进行攻击流量的拦截，适用于较小攻击流量的清洗；当大流量攻击发生，通过 DDoS 平台调度骨干网靠近攻击源各区域侧的清洗设备进行基于近源清洗的攻击流量拦截。4.2.1.3流量封堵4.2.1.3流量封堵平台级-1-3：在 DDoS 攻击发生并对用户业务产生严重影响时，中国联通 5G 网络安全原子能力白皮书（2022）-

46、27-依据用户防护请求，对所有流向客户的目标 IP 的流量进行封堵，丢弃包括攻击流量在内的所有流量。当前平台支持分区域封堵、全网封堵、以及国际方向、网间方向的封堵。4.2.25G 安全态势感知能力4.2.25G 安全态势感知能力5G 安全态势感知平台级安全能力利用运营商对基础网络资源的持续监控能力，全面感知 5G 网络安全威胁态势、洞悉网络及应用运行健康状态，提供威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，实现完整的网络攻击溯源取证，从而支撑有效的安全决策和响应处置措施，主要包括资产测绘、威胁监测、威胁预警、攻击溯源、威胁处置、情报协同等平台级安全原子

47、能力。应用场景覆盖金融、国企、央企、教育、工业互联网等对网络安全感知要求较高的行业客户以及政府、地方监管部门等对国家网络安全有强制要求的机构。图 4-7 5G 安全态势感知能力中国联通 5G 网络安全原子能力白皮书（2022）-28-4.2.2.1资产测绘4.2.2.1资产测绘平台级-2-1：基于运营商基础网络的被动流量数据，绘制 IP 地址和域名资产图，实现资产可视化，并提供周期性资产测绘报告。通过采用“主动探测+大网被动数据”的综合分析方式，捕获真正的活跃域名、网络地址、端口，实现对网络空间资产的全面盘点，实时、灵活、精准获取资产测绘结果。实时发现非法外连行为，高效准确地识别未知域名、IP

48、 地址、端口等资产情况。对企业资产地图进行量化度量，呈现资产活跃度，有利于企业梳理实际资产使用度，辅助企业及时高效清理过期不常用资产与应用，优化网络空间资源配置。4.2.2.2威胁监测4.2.2.2威胁监测平台级-2-2：支持在全网范围内持续进行监测、威胁分析，并且基于运营商在网络通道侧的全网布防，实现基础网络侧、企业网络侧、用户终端侧的全面感知、全网协同，通过融合全网的安全数据、威胁情报、基础资源库等核心资源，快速发现恶意解析和非法外连，辅助定位失陷资产。4.2.2.3威胁预警4.2.2.3威胁预警平台级-2-3：利用基础网络优势进行威胁预警，对挖矿、勒索病毒、零日漏洞等问题构建快速的发现、

49、感知、预警能力。4.2.2.4攻击溯源4.2.2.4攻击溯源平台级-2-4：攻击溯源能力包括失陷资产溯源、追踪 APT 组织攻击链、重保期间重大事件溯源/复盘分析。攻击溯源能力与 APT、中国联通 5G 网络安全原子能力白皮书（2022）-29-DDoS 监测能力联动，具备完整的攻击发现、跟踪反溯机制。4.2.2.5情报协同4.2.2.5情报协同平台级-2-5：通过对全网流量日志的海量信息进行分析，生成威胁情报，为国家、社会分享全网情报态势，为行业客户赋能，提供大网级实时情报，协助提升主动防御能力。4.2.3网站安全防护能力4.2.3网站安全防护能力网站安全防护能力基于 DNS 和 CDN 技

50、术，通过遍布全国的防护节点，提供 WEB 攻击防护、CC 攻击防护、爬虫防护、网站加速等平台级安全原子能力。图 4-8 网站安全防护能力4.2.3.1Web 攻击防护4.2.3.1Web 攻击防护平台级-3-1：基于四级漏洞监测机制，发现新的 Web 漏洞安全事件并及时提供防御，提供 Web 漏洞防御能力。4.2.3.2CC 攻击防护4.2.3.2CC 攻击防护平台级-3-2：基于流量自动建模技术的 CC 防护技术，针对静/中国联通 5G 网络安全原子能力白皮书（2022）-30-动态请求实现不同阈值的防御，提供 JS 跳转、图片验证码、IP 封禁的多层防御机制。4.2.3.3爬虫防护4.2.

51、3.3爬虫防护平台级-3-3：智能识别访问行为数据，发现存在爬虫行为的 IP，识别爬虫来源，区分搜索引擎和带攻击行为的恶意爬虫，抵御自动化攻击行为。4.2.3.4安全加速 CDN4.2.3.4安全加速 CDN平台级-3-4：数据压缩传输、就近调度、近源访问，智能匹配线路，降低服务器负载，从而提升访问体验。4.2.4密码云平台能力4.2.4密码云平台能力密码云平台能力利用基础 IT 资源和密码技术构建密码资源池，以虚拟化、池化机制提供可按需分配、弹性伸缩的、统一标准的、平台化的、服务化的密码服务能力，可以有效解决云平台、云上业务系统的身份认证、数据加密、完整性保护、抗抵赖等密码安全问题。主要包括

52、数据加解密、通道加密、密钥管理、签名验签、时间戳、安全认证等平台级安全原子能力。中国联通 5G 网络安全原子能力白皮书（2022）-31-图 4-9 密码云平台能力4.2.4.1数据加解密4.2.4.1数据加解密平台级-4-1：基于 SM4 对称算法实现数据加密、数据解密、数据批量加密、数据批量解密、文件加密、文件解密。4.2.4.2通道加密4.2.4.2通道加密平台级-4-2：具备基于国密的 SSL 的 HTTPS 代理能力。支持通过调整 SSL 运行参数配置，调整 SSL 服务的代理模式、黑名单检查模式、客户端主机安全检测模式、证书链配置、数据流向等。4.2.4.3密钥管理4.2.4.3密

53、钥管理平台级-4-3：密钥管理能力可以保障密钥生成、密钥分发、密钥存储、密钥更新、密钥销毁、密钥归档、密钥恢复、密钥查询等环节全生命周期安全，实现密钥模板管理、密钥策略管理、应用配额管理、密钥管理、密钥备份和密钥还原等功能。中国联通 5G 网络安全原子能力白皮书（2022）-32-4.2.4.4签名验签4.2.4.4签名验签平台级-4-4：支持 SM2 签名验签、SM2 数据加解密、具有证书管理功能和安全完善的密钥管理功能，通过配置管理 Web 程序进行灵活配置，实现错误日志追溯和告警，以及负载监控、双机热备和负载均衡。4.2.4.5时间戳4.2.4.5时间戳平台级-4-5：时间戳能力主要采用

54、精确的时间源、高强度高标准的安全机制，来确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的防抵赖性提供基础，包括时间源管理、在线签戳和在线验戳等功能。时间戳服务器是一套基于 PKI 技术的时间戳权威系统，对外提供精确可信的时间戳服务，它采用精确的时间源、高强度高标准的安全机制，以确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的防抵赖性提供基础。时间戳服务基本功能包括时间源管理、在线签戳和在线验戳。4.2.4.6安全认证4.2.4.6安全认证平台级-4-6：安全认证能力（企业级 CA 能力）是基于公钥基础设施（PKI）

55、开发的一套数字证书认证管理能力，其主要作用是使得用户的身份信息与其在 CA 中的的身份对应和认证，从而在内部的应用系统中实现身份认证、数据加密、授权管理和责任认定功能。安全认证能力支持在企业内部实现用户的身份确认，通过 CA 给用户发放中国联通 5G 网络安全原子能力白皮书（2022）-33-数字证书，为用户的身份提供鉴别保障；用户可以通过所颁发的证书实现网上办公中的电子签名及数据加密等功能，满足企业内部对信息的保密性、认证性、完整性、不可否定性的要求。4.2.55G 专网信令流量安全分析能力4.2.55G 专网信令流量安全分析能力面向 5G 行业客户流量监测安全需求，利用数据包深度检测技术（

56、DPI），获取 5G 专网 N1/N2/N4 口网络流量及日志安全事件，运用大数据分析算法主动监测并预警 5G 专网信令交互中产生的风险，通过对异常信令交互的特征识别，深度挖掘和评估 5G 专网信令安全事件，提供异常终端识别、信令攻击检测、关键网元信令风暴预警、5G 网元非法接入检测等平台级原子能力。适用于基于 5G 专网的各类典型行业应用场景，如工业制造、远程医疗、电力行业等，检测未知威胁，挖掘 5G 专网可能遭受的信令攻击事件，确保专网安全可靠。图 4-10 5G 专网信令流量安全分析示意中国联通 5G 网络安全原子能力白皮书（2022）-34-4.2.5.1异常终端识别4.2.5.1异常

57、终端识别平台级-5-1：通过对 5G N1、N2 接口话单的解析，根据算法规则识别异常用户终端的行为特征并进行预警，其中异常终端检测包括来历不明终端检测和异常行为终端检测。4.2.5.2信令攻击监测4.2.5.2信令攻击监测平台级-5-2：根据下沉的 N1、N2、N4 等 5G 关键信令接口的双向信令消息进行智能关联分析，结合智能检测交互过程中的异常消息，综合判定异常信令和疑似受攻击的网元。4.2.5.3信令风暴预警4.2.5.3信令风暴预警平台级-5-3：通过控制面信令流量的实时采集、监测和深度分析，构建信令风暴模型，监测消息异常流量，及时预警针对 5G 关键网元发起的信令风暴。4.2.5.

58、4网元非法接入4.2.5.4网元非法接入平台级-5-4：能够基于 5G 网元资产白名单，发现试图接入 5G网络的非法网元。4.2.6云原生应用安全防护能力4.2.6云原生应用安全防护能力基于云原生的理念，依托软件应用的 DevOps 体系，构建覆盖业务应用计划、编码、构建、测试、部署、运营和监控全过程全生命周期的持续循环的应用安全防御体系，保障业务应用系统和其所依赖的计算环境的安全，提供应用安全编码、开源组件安全检测、交互式安全检测、应用运行时自保护、安全基线配置核查等平台级安全原子中国联通 5G 网络安全原子能力白皮书（2022）-35-能力，为部署在 MEC 上的应用提供安全防护能力。部署

59、部署运行运行测试测试构建构建编码编码安全编码安全编码开源组件检测开源组件检测交互式安全检测交互式安全检测安全基线检测安全基线检测运行时自保护运行时自保护JAVA安全编码规范和安全编码安全编码规范和安全编码SDK库，为应用的代码编写提供参考和指导库，为应用的代码编写提供参考和指导对应用系统中所使用的的开源组件组成以及风险性进行检测与评估，为开源组件的风险修复提供参考对应用系统中所使用的的开源组件组成以及风险性进行检测与评估，为开源组件的风险修复提供参考在应用系统上线运行之前与功能测试同步进行安全检测，精准定位安全漏洞，漏洞分析深入代码级在应用系统上线运行之前与功能测试同步进行安全检测，精准定位安

60、全漏洞，漏洞分析深入代码级对应用系统所运行的环境开展基线合规检测，准确发现环境配置的不合规项，为安全整改提供参考对应用系统所运行的环境开展基线合规检测，准确发现环境配置的不合规项，为安全整改提供参考为应用系统注入自我防护能力，提高其对为应用系统注入自我防护能力，提高其对web攻击的防护水平，实现对攻击行为的深度识别和精准拦截攻击的防护水平，实现对攻击行为的深度识别和精准拦截应用系统安全防护应用系统安全防护计算环境安全检测计算环境安全检测图 4-11 云原生应用安全防护能力4.2.6.1应用安全编码4.2.6.1应用安全编码平台级-6-1：提供安全编码规范和安全 SDK 库，提供指导开发人员进行

61、安全编码，帮助开发人员在开发应用系统的阶段就能有效的收敛安全漏洞问题。4.2.6.2开源组件安全检测4.2.6.2开源组件安全检测平台级-6-2：精准识别开源组件中存在的已知安全漏洞，防止带有风险的开源组件被引入到应系统系统，保证应用中开源组件的安全性。4.2.6.3交互式安全检测4.2.6.3交互式安全检测平台级-6-3：利用交互式应用检测技术，实现安全测试工作左移，将安全赋能至开发测试阶段，在软件的功能测试阶段同步展开安全测试，提高安全漏洞的发现效率和准确性，使交付更安全的产品成中国联通 5G 网络安全原子能力白皮书（2022）-36-为可能。4.2.6.4应用运行时自保护4.2.6.4应

62、用运行时自保护平台级-6-4：使用 Java Agent 技术在应用程序运行时动态编辑类字节码，将自身防御逻辑注入到 Java 底层 API 和 Web 应用程序中，从而与应用程序融为一体，实时分析和检测 Web 攻击，使应用程序具备自我保护能力，提升对 0day 漏洞攻击、开源组件攻击、未知恶意行为的防护能力。4.2.6.5安全基线配置核查4.2.6.5安全基线配置核查平台级-6-5：制定计算环境安全基线配置核查标准，为计算环境合规检测提供参考标准，保证主机、容器或 K8S 的安全配置合规，防止因为配置不当引起的安全问题，以轻量 Agent 与安全防护平台结合的方式实现自动化的安全基线配置核

63、查。4.2.75G 数据安全防护能力4.2.75G 数据安全防护能力5G 数据安全平台以 5G 数据资产为核心，汇聚全网 5G 网络安全流量数据，内置多种数据安全场景分析模型，呈现全网 5G 数据安全综合态势，快速实现风险处置，提升数据安全运营能力。提供全面的 5G 数据资产管理能力、数据分级分类、数据流转监控、数据安全风险监测等平台级原子能力。中国联通 5G 网络安全原子能力白皮书（2022）-37-图 4-12 5G 数据安全防护能力4.2.7.1数据资产管理4.2.7.1数据资产管理平台级-7-1：通过主被动方式发现数据资产，如数据库、API、文件、账号等资产，其中主动识别是通过敏感数据

64、识别探针进行探测发现大数据组件、关系型数据库、非关系型数据库，文件被动识别是通过流量中特征动态发现数据资产。对于发现的数据资产，可以登记其资产名称、所属的业务系统、责任人、地域、敏感级别、数据特征、IP、端口等信息。登记后的资产可以通过稽查进行入库，形成数据资产底图。对于入库的资产，运维人员可基于不同属性快速搜索到相关数据资产。对于入库的资产，平台可识别出资产漏洞风险情况，如漏洞威胁等级、CVE 编号、该漏洞影响的数据资产数量，并提供修复建议。针对数据资产变化情况，平台可以定期进行稽核，同步更新端口变更、漏洞修复、资产下线、归属部门状态信息。4.2.7.2数据分级分类4.2.7.2数据分级分类

65、平台级-7-2：平台内置国家和行业管理机构颁布的数据资产分类分级规范，可以依法依规对数据资产进行分类分级。同时可以通过正则、关键字方式自定义分级分类模板，输入规则名称、规则类型、规中国联通 5G 网络安全原子能力白皮书（2022）-38-则内容、表库字段名、优先级后就可以生成新的模板。4.2.7.3数据流转监控4.2.7.3数据流转监控平台级-7-3：平台可以对流转中的数据进行监控，自动化发现并测绘出重要业务系统的重要或敏感数据的流转链路视图，并基于该流转链路视图，对高敏数据传输风险进行针对性聚焦。在办公网场景下，可以复现出数据流转途径、数据异常流程分布、风险文件数量、泄露文件数量、风险办公人

66、员。API 流转场景下，可对 API URL、API 数据特征、当日访问量、访问趋势、异常事件数进行展示。在数据库操作行为场景中，可对数据库查询次数、数据库实例、SQL 查询记录数、风险语句数量、异常数据库访问行为进行呈现。4.2.7.4数据安全风险监测4.2.7.4数据安全风险监测平台级-7-4：平台依托于攻击识别引擎、异常行为引擎可对数据安全风险事件进行监控，覆盖数据操作行为异常监测、数据安全事件监测预警、数据泄露预警等类别。细分场景包括数据库服务被执行dump 操作、FTP 服务账号被爆破后导致数据外泄、可疑数据下载、账号暴力破解、账号弱口令、新增修改账号、疑似自动爬取业务接口报警、异常

67、 IP 访问数据库、数据库异常时段访问、异常次数数据库访问、异常用户访问数据库、SQL 执行时长偏离基线、SQL 登录工具偏离基线、SQL 注入、数据库风险操作行为、口令攻击行为、账号滥用、数据库漏洞攻击等。中国联通 5G 网络安全原子能力白皮书（2022）-39-4.2.85G 终端零信任接入能力4.2.85G 终端零信任接入能力面对 IT 环境复杂化，企业业务生态化，以及移动办公需求的增长，越来越多的用户和 5G 设备需要远程访问、接入网络资源，为满足随时随地便利性的接入访问安全需求，提供 5G 终端零信任接入原子能力，主要包括远程运维安全接入平台级原子能力。图 4-13 5G 终端零信任

68、接入能力4.2.8.1远程运维安全接入4.2.8.1远程运维安全接入平台级-8-1：以细粒度信任控制为核心，以最小化授权的零信任理念为设计原则，提供统一账户管理、统一应用管理、统一认证、统一授权管理、全面日志审计的能力。同时提供可信访问控制能力，可对接外部风险源，如终端环境感知等，根据用户访问时间，访问地点，账号异常，越权访问等上下文综合评估结果，对访问进行按需最小化授权，实现持续、动态的授权控制；并可作为统一门户，支持企业现有 4A 系统对接，整合现有身份与授权能力。同时提供场景自适应的认证策略管理能力，可以根据用户属性，角色，终端属性，访问时间，访问的网络，访问的地理位置来制定不同的认证方

69、式。保障只有可信中国联通 5G 网络安全原子能力白皮书（2022）-40-的客户端和可信的用户才能看到被保护的应用服务，除此之外，让业务不可见也不可访问，让攻击者无缝可入。适用 5G 远程运维统一认证、特权账号集中管理、特殊园区无人驾驶终端接入等场景。4.2.9安全基础能力4.2.9.1边界防火墙4.2.9安全基础能力4.2.9.1边界防火墙平台级-9-1：通过在网络边界处部署边界防火墙，提供基础安全隔离，可实现 5G 网络与外部边界的隔离，实现不同业务网元之间访问控制策略控制，同时提供防 ARP 欺骗、畸形报文攻击防护等功能。基于业务需求，可通过防火墙对部分业务网元提供 NAT 转换，实现内

70、外部流量隔离，提升 5G 网络边界防护水平。4.2.9.2入侵检测系统4.2.9.2入侵检测系统平台级-9-2：入侵检测系统（Intrusion Detection System）是对防火墙有益的补充，被认为是防火墙之后的第二道安全闸门。通过对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护，大大提高了网络的安全性。入侵检测系统可实现以下功能：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防御：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCP Killer 等方式进行报警及动态防御；事后取证：被入侵攻击后，入侵

71、检测系统可以提供详细的攻击中国联通 5G 网络安全原子能力白皮书（2022）-41-信息，便于取证分析。4.2.9.3防病毒网关4.2.9.3防病毒网关平台级-9-3：支持对 HTTP、FTP、Telnet 等常见应用协议进行病毒的检测和清除，在网关处有效限制病毒通过运营系统访问、远程运维等途径进入到 5G 网络用户面，同时能防止病毒在用户面内横向传播扩散。针对特定业务场景，如无法部署主机防病毒的业务网络与UPF 间的边界，通过部署防病毒网关提供病毒防护能力，避免恶意代码进行传播和入侵。4.2.9.4日志审计4.2.9.4日志审计平台级-9-4：通过对 5G 网络中的安全防护设备及安全系统进行

72、安全事件集中管理和审计，实现网络基础设施网络安全审计目的，可发现非授权用户使用网络进行无关操作、通过网络传递敏感信息等行为。对于使用 MEC 承载 ToB 业务 App 的场景，通过在 5G MEC的 MEP 出口上部署分光和汇聚设备，对进出 MEC APP 出站流量进行网络流量审计，对网络内部的 HTTP、SMTP、POP3、FTP、NFS、数据库等多种常见应用协议的流量进行识别及行为审计记录，及时发现安全隐患，协助优化网络资源的使用。中国联通 5G 网络安全原子能力白皮书（2022）-42-5 面向行业的场景级安全原子能力5 面向行业的场景级安全原子能力中国联通面向重点垂直行业成立装备制造

73、、智慧矿山、智慧钢铁、服装制造、汽车制造、智慧医疗、智慧法务、智慧应急、智慧交通九大行业军团，深耕重点垂行业，提供具有联通特色的数字化、网络化、智能化综合性解决方案直，推进创新链、产业链、价值链融合发展。场景级原子能力位于整个 5G 安全原子能力的最上层，从终端、网络、数据、应用四个方面，梳理了垂直行业客户最关注的十大场景，包括终端接入安全认证、终端接入访问控制、异常终端检测、网络安全隔离、边界安全防护、网元安全管理、数据端到端加密、用户隐私安全、数据资产安全、应用全生命周期防护，通过拉通多个网络级、平台级的安全原子能力，为垂直行业客户提供满足其不同需求场景的安全原子能力。5.1 终端安全5.

74、1 终端安全终端安全场景级原子能力分为终端接入安全认证、终端接入访问控制、异常终端检测三个场景，分别调用了“用户接入主认证”、“二次认证”、“业务安全认证”、“终端接入切片流程安全”、“切片认证”、“终端访问网络控制”、“终端接入位置控制”、“终端接入业务控制”、“威胁监测”、“异常终端识别”等网络级和平台级安全原子能力，确保只有合法终端才能够接入目标网络，实现对接入终端的流量限制、位置限制，防范非法终端接入 5G 网络发起攻击，满足工业园区、智能制造、电力等对于终端管控、异常发现的安全需求。中国联通 5G 网络安全原子能力白皮书（2022）-43-图 5-1 终端安全场景级原子能力场景级安全

75、原子能力场景级安全原子能力适用场景适用场景概述概述所需原子能力所需原子能力终端安全终端接入安全认证场景终端接入网络的过程中存在非授权SIM 卡接入、恶意终端使用合法 SIM 卡接入等恶意接入场景。5G 网络本身提供终端和网络的双向认证机制，在此基础上，为满足行业客户对终端接入的控制，引入二次认证、切片认证机制，同时支持企业基于 SIM 卡、IMSI、IMEI、NSSAI等信息控制终端能否接入 5G 网络。网络级-接入-6、网络级-接入-7、网络级-接入-8、网络级-切片-1、网络级-切片-2中国联通 5G 网络安全原子能力白皮书（2022）-44-图 5-2 终端接入安全认证终端接入访问控制场

76、景终端接入网络后，行业客户根据生产需要，对终端的访问进行差异化控制，如对于可移动终端，对终端的接入位置进行控制；对于访问 5G 专网企业应用的终端，可以对其访问业务范围进行控制。网络级-接入-1、网络级-接入-2、网络级-接入-3异常终端检测场景帮助企业发现异常终端，包括识别来历不明的非法终端、频繁发起网络接入、频繁开关机、信令交互异常的异常终端等，防止利用防护能力弱的终端发起攻击。平台级-2-2、平台级-5-15.2 网络安全5.2 网络安全网络安全场景级原子能力分为网络安全隔离、边界安全防护、网元安全管理三个场景，分别调用了“无线侧安全隔离”、“承载侧安全隔离”、“核心侧安全隔离”、“平台

77、安全隔离”、“网元虚拟化安全”、“流量安全控制”、“抗 DDoS”、“接口安全防护”、“边界访问控制”、“边界防火墙”、“入侵检测”、“安全网关”、“日志审计”、“安全加固”、中国联通 5G 网络安全原子能力白皮书（2022）-45-“网络设备生命周期管理”、“网络切片安全监控”、“分权分域”、“操作管理”、“资产测绘”、“信令攻击监测”、“网元非法接入”、“安全基线配置核查”、“远程运维安全接入”等网络级和平台级安全原子能力，实现企业业务按需隔离，降低 MEC 边界入侵风险，满足电力、医疗、智能制造、校园园区等对于网络的高隔离、安全可靠需求和自主管理需求。图 5-3 网络安全场景级原子能力场

78、景级安全原子能力场景级安全原子能力适用场景适用场景概述概述所需原子能力所需原子能力网络安全网络安全隔离场景此场景调用了多个网络级的切片、边缘、核心网安全原子能力，通过虚拟化安全技术和措施确保云化基础设施的安全隔离，同时部署切片之间、切片专属部分或切片共享部分间的隔离控制措施，灵活满足行业客户的不同安全需求，网络级-切片-3、网络级-切片-4、网络级-切片-5、网络级-边缘-5、网络级-中国联通 5G 网络安全原子能力白皮书（2022）-46-防止运行在统一的基础设施资源上的切片之间相互影响。满足电力、医疗等行业对于网络的高隔离安全需求。图 5-4 切片端到端隔离示意核心网-4边界安全防护场景5

79、G 网络与垂直行业多在 MEC 边界处进行业务交互，可为垂直行业提供MEC 的边界安全防护能力，确保下沉到企业园区的 MEC 边界安全。通过在网络边界处部署边界防火墙、IPS/IDS、安全网关、日志审计等基础安全能力，结合5G 网络的内生安全能力，实现 5G MEC与外部边界的安全防护。满足行业客户数据不出园审计、双向访问控制等安全诉求。网络级-边缘-2、网络级-边缘-3、网络级-边缘-6、网络级-边缘-10、平台级-9-1、平台级-9-2、平台级-9-3、平台级-9-4中国联通 5G 网络安全原子能力白皮书（2022）-47-图 5-5 边界安全防护网元安全管理场景5G 网络中，用户面 UP

80、F 下沉在行业客户侧引入了运营商网络设备，通过安全运维以及适当的过程和结果呈现，能增强行业客户对网络设备的感知和信任度。通过适度分权分域，赋能行业客户对其网络切片的查看和管理权限，最大程度满足行业客户的管理安全需求。网络级-运维-15、平台级2-1、平台级3-13-4、平台级 6-5、平台级 8-15.3 数据安全5.3 数据安全数据安全场景级原子能力分为数据端到端加密、用户隐私安全、数据资产安全保护三个场景，分别调用了“信令机密性保护”、“用户面数据机密性保护”、“数据传输安全”、“用户凭证安全”、“SUPI 隐私保护”、“用户隐私数据保护”、“流量安全控制”、“抗 DDoS”、“数据不出园

81、”、“数据资产管理”、“数据分级分类”、“数据流转监控”、中国联通 5G 网络安全原子能力白皮书（2022）-48-“数据安全风险监测”等网络级和平台级安全原子能力，全方位保障行业客户的隐私安全、数据资产安全和数据传输安全。图 5-6 数据安全场景级原子能力场景级安全原子能力场景级安全原子能力适用场景适用场景概述概述所需原子能力所需原子能力数据安全数据端到端加密场景数据端到端安全分为三部分，覆盖从终端接入到企业应用的全流程，包括：终端通过空口传输的业务和信令数据加密；基站-UPF 之间的业务数据加密；UPF-企业内网之间的业务数据加密等。网络级-接入-9、网络级-接入-10、网络级-边缘-1用

82、户隐私对用户身份标识 SUPI 在空口加密、网络级-接入中国联通 5G 网络安全原子能力白皮书（2022）-49-安全场景对用户相关的其他敏感隐私数据以及秘钥进行安全存储，最大程度上保障用户隐私安全。-4、网络级-接入-5、网络级-边缘-4数据资产安全保护场景从企业用户数据不出园、过滤非法数据流量、数据资产管理、数据分级分类、数据流转监控、数据安全风险监测、数据安全策略集中管控等方面，满足企业 5G 数据安全运营场景、5G 专网安全管控场景、5G 敏感数据监控等场景的安全需求。网络-边缘-2、网络级-边缘-3、网络级-边缘 10、平台级7-17-45.4 应用安全5.4 应用安全应用安全场景级

83、原子能力为应用全生命周期防护场景，分别调用了“应用安全策略”、“边缘能力开放”、“应用安全编码”、“开源组件安全检测”、“交互式安全检测”、“应用运行时自保护”、“安全基线配置核查”等网络级和平台级安全原子能力，基于云原生的理念，依托软件应用的 DevOps 体系，构建覆盖业务应用计划、编码、构建、测试、部署、运营和监控全过程的持续循环的应用安全防御体系，为部署在 MEC 上的应用提供安全防护能力，满足行业客户对于其行业应用的安全监测需求。中国联通 5G 网络安全原子能力白皮书（2022）-50-图 5-7 应用安全场景级原子能力场景级安全原子能力场景级安全原子能力适用场景适用场景概述概述所需

84、原子能力所需原子能力应用安全应用全生命周期防护场景为行业客户提供边缘 MEC 平台上部署应用的全生命周期安全防护能力。由于边缘计算应用在不同的行业领域，为满足不同行业和领域的差异化需求，5G MEC引入大量差异化应用，需要通过一系列措施保证引入第三方应用后的安全。对MEC平台上部署的APP进行应用全生命周期的安全管理，包括应用安全编码、开源组件安全检测、交互式安全检测、应用运行时自保护等。同时完善不同应用之间的安全隔离机制，防范恶意应用对 MEC平台的非授权访问、DDoS 攻击，避免第三方应用破坏相关业务的连续性，带来不可控的安全风险。网络级-边缘-8、网络级-核心网-1、平台级-6-1、平台

85、级-6-2、平台级-6-3、平台级-6-4、平台级-6-5中国联通 5G 网络安全原子能力白皮书（2022）-51-MEC应用开发应用软件包应用系统应用接口安全编码JDK指导手册SCA扫描引擎AgentIASTAgentRASP虚拟化资源APP安全隔离API接口访问授权图 5-8 应用全生命周期防护中国联通 5G 网络安全原子能力白皮书（2022）-52-6 未来展望6 未来展望5G 网络与各垂直行业融合发展的新业态，给 5G 安全工作提出了更高要求。中国联通聚焦“大联接、大计算、大数据、大应用、大安全”五大主责主业，协同产业伙伴发布 5G 网络安全原子能力白皮书。面向 5G 网络自身安全运营

86、和 5G 行业应用安全需求，构建“设备级-网络级+平台级-场景级”的 5G 网络安全原子能力三层架构。通过构建 5G 网络安全原子能力集，灵活组合对外赋能，打造与行业应用相适应的安全能力体系，为全行业 5G 网络安全能力建设提供参考，对于保障和助力 5G 应用安全快速发展有着积极和重要的价值及意义。随着 5G 网络逐步向更智能、更开放的架构演进，零信任、内生安全等网络安全技术的不断发展，5G 安全能力也需要不断提升。未来中国联通还将进一步打造坚强网络，做精大安全，全面提升 5G 网络安全运营保障能力及 5G 行业用户安全赋能能力，加强与各生态伙伴合作，在各环节将安全能力进行有机关联和落实到位，

87、持续提供一流的安全能力、安全产品和安全服务，全力促进 5G 安全产业发展和繁荣。中国联通 5G 网络安全原子能力白皮书（2022）-53-附录A附录A设备级安全功能设备级安全功能A.1终端安全功能A.1.1终端接入认证功能A.1.1.1终端1：接入主认证功能终端支持 3GPP 网络的主认证机制，支持 EPS-AKA和 5G-AKA 认证机制。A.1.1.2终端2：二次认证功能面向行业安全认证需求，终端可以支持主认证之外的二次认证机制，由 AAA服务器对接入内网的终端进行身份认证。A.1.1.3终端3：GBA认证功能终端可以支持 GBA 认证机制，与外部 AAA 进行认证，并使用衍生的密钥进行数

88、据完整性和机密性保护。A.1.1.4终端4：AKMA认证功能终端可以支持 AKMA 认证机制，与外部 AAA 进行认证，并使用衍生的密钥进行数据完整性和机密性保护。A.1.2终端信令和用户面数据保护功能终端支持信令和用户面数据保护功能，防止终端与 5G 网络之间的控制面信令和用户面数据传输被非法篡改和窃取。A.1.2.1终端5：终端信令机密性保护功能终端 5.1：终端具有加密功能，对终端和 gNB/5GC 之间控制面信令（包括中国联通 5G 网络安全原子能力白皮书（2022）-54-AS 和 NAS 层）进行机密性保护。终端 5.2：终端支持 3GPP 标准中要求的机密性保护算法：NEA0，1

89、28-NEA1，128-NEA2，128-NEA3。终端 5.3：终端支持通过 ng-eNB 连接到 5GC，并支持 LTE 网络的 RRC和 NAS 机密性算法。A.1.2.2终端6：终端信令完整性保护功能终端 6.1：终端具有完整性保护功能，对终端和 gNB/5GC 之间控制面信令（包括 AS 和 NAS 层）进行完整性保护。终端 6.2：终端支持 3GPP 标准中要求的完整性保护算法：NIA0，128-NIA1，128-NIA2，128-NIA3。终端 6.3：终端支持禁用 NIA0 算法，除 3GPP 规定的未经认证的紧急会话等场景，RRC 和 NAS 信令完整性保护算法不得使用 NI

90、A0。终端 6.4：终端支持通过 ng-eNB 连接到 5GC，并支持 LTE 网络的 RRC和 NAS 完整性算法。A.1.2.3终端7：终端用户面数据机密性保护功能终端 7.1：终端可以采取加密功能，对终端和 gNB 之间用户面数据进行机密性保护。终端 7.2：终端支持 3GPP 标准中要求的机密性保护算法：NEA0，128-NEA1，128-NEA2，128-NEA3。A.1.2.4终端8：终端用户面数据完整性保护功能终端 8.1：终端具有完整性保护功能，对终端和 gNB 之间用户面数据进行中国联通 5G 网络安全原子能力白皮书（2022）-55-完整性保护和重放保护。终端 8.2：终端

91、支持 3GPP 标准中要求的完整性保护算法：NIA0，128-NIA1，128-NIA2，128-NIA3。终端 8.3：UE 支持增强用户面完整性保护功能，在 UE 能支持的全数据速率范围内（含峰值速率），UE 支持对它和 gNB 之间的任意数据速率的用户面数据进行完整性保护。A.1.3用户凭证安全功能A.1.3.1终端9：用户凭证完整性保护功能终端具备使用防篡改的安全硬件组件，对终端内的用户凭证进行完整性保护功能。终端内用户凭证的认证算法在防篡改安全硬件组件内执行。A.1.3.2终端10：用户凭证机密性保护功能终端具备使用防篡改安全硬件组件（如采用加密存储等），并对用户凭证的长期密钥进行机

92、密性保护。A.1.3.3终端11：SUPI 隐私保护功能终端具备在与 5G 网络的通信过程中采用用户隐藏标识 SUCI 和 5G 全球唯一临时标识 5G-GUTI，对 5G 用户永久身份标识 SUPI 信息进行保护。A.1.4终端访问控制功能A.1.4.1终端12：终端接入切片控制功能终端支持 URSP 策略，使终端根据 APP ID、IP 三元组（目的 IP、端口、协议类型）、FQDN 及业务类型等信息选择相应的切片(NSSAI)、DNN 和 SSCMode。中国联通 5G 网络安全原子能力白皮书（2022）-56-A.1.4.2终端13：终端访问网络控制功能终端 13.1：终端具有唯一合法

93、用户标识（IMSI/SUPI），支撑 5G 网络通过用户标识结合位置标识（CGI、TAI 等），对终端接入 5G 网络进行限制。终端 13.2：终端具有唯一合法设备标识（IMEI），支撑 5G 网络对非法 IMEI的终端进行 5G 网络访问限制。A.2基站安全功能A.2.1基站信令和用户面数据保护功能A.2.1.1基站1：基站信令机密性保护功能基站 1.1：基站具备对 gNB 和终端之间（AS 层的 RRC）控制面信令进行机密性保护功能。基站 1.2：基站具备对 gNodeB 和核心网之间的 N2 接口进行控制面信令机密性保护功能，可以在适当的情况下部署 IPsec。基站 1.3：基站具备对

94、eNodeB 和 gNodeB 之间的 X2 接口、gNodeB 之间的 Xn 接口的控制面信令进行机密性保护功能，可以在适当的情况下部署IPsec。基站 1.4：基站支持 3GPP 标准中要求的机密性保护算法：NEA0，128-NEA1，128-NEA2，128-NEA3。A.2.1.2基站2：基站信令完整性保护功能基站 2.1：基站具备对 gNB 和终端之间（AS 层的 RRC）控制面信令进行完整性保护功能。基站 2.2：基站具备对 gNodeB 和核心网之间的 N2 接口的控制面信令进行中国联通 5G 网络安全原子能力白皮书（2022）-57-完整性保护功能，可以在适当的情况下部署 IP

95、sec。基站 2.3：基站具备对 eNodeB 和 gNodeB 之间的 X2 接口、gNodeB 之间的 Xn 接口进行控制面信令完整性保护功能，可以在适当的情况下部署 IPsec。基站 2.4：基站支持 3GPP 标准中要求的完整性保护算法：NIA0，128-NIA1，128-NIA2，128-NIA3。基站 2.5：基站支持禁用 NIA0 算法，除 3GPP 规定的未经认证的紧急会话等场景，RRC 和 NAS 信令完整性保护算法不得使用 NIA0。基站 2.6：基站具备抗重放保护功能，对重放的 RRC 信令进行识别和丢弃。A.2.1.3基站3：基站用户面数据机密性保护功能基站 3.1：基

96、站可以采取加密功能，对 gNB 和终端之间用户面数据进行机密性保护。基站3.2：gNB支持根据SMF发送的安全策略激活用户数据的机密性保护。基站 3.3：基站具备对 gNodeB 和核心网之间的 N3 接口进行用户面数据机密性保护功能，可以在适当的情况下部署 IPsec。基站 3.4：基站具备对 eNodeB 和 gNodeB 之间的 X2 接口、gNodeB 之间的 Xn 接口的用户面数据进行机密性保护功能，可以在适当的情况下部署IPsec。基站 3.5：基站支持 3GPP 标准中要求的机密性保护算法：NEA0，128-NEA1，128-NEA2，128-NEA3。A.2.1.4基站4：基站

97、用户面数据完整性保护功能基站 4.1：基站支持 gNB 和终端之间的用户面数据的完整性保护。中国联通 5G 网络安全原子能力白皮书（2022）-58-基站 4.2：gNB 支持根据 SMF 发送的安全策略决定是否激活用户数据的完整性保护。基站 4.3：基站具备对 gNodeB 和核心网之间的 N3 接口用户面数据安全进行完整性保护功能，可以在适当的情况下部署 IPsec。基站 4.4：基站具备对 eNodeB 和 gNodeB 之间的 X2 接口、gNodeB 之间的 Xn 接口的用户面数据进行完整性保护功能，可以在适当的情况下部署IPsec。基站 4.5：基站支持 3GPP 标准中要求的完整

98、性保护算法：NIA0，128-NIA1，128-NIA2，128-NIA3。基站 4.6：基站具备抗重放保护功能，对重放的用户面数据进行识别和丢弃。基站 4.7：gNB 支持增强用户面完整性保护功能，当用户面完整性保护功能开启时，gNB 支持基于 UE 的能力指示，对 UE 在其能力所支持的数据速率上进行用户面完整性保护。A.2.1.5基站5：基站密钥信息安全存储功能基站具备访问限制、加密存储等功能，对基站侧的密钥信息进行安全存储。A.2.2基站可用性保护功能A.2.2.1基站6：异常连接检测基站网管具备监控 5G 基站 KPI，如 RRC 连接建立成功率/阻塞率、E-RAB建立成功率/阻塞率

99、、掉话率等，发现和检测可能的恶意连接的功能。A.2.2.2基站7：异常连接和流量访问控制基站具备访问控制功能，对发现的异常终端连接和流量进行过滤控制。中国联通 5G 网络安全原子能力白皮书（2022）-59-A.2.2.3基站8：基站侧切片隔离功能QoS 调度：基于 S-NSSAI 的不同优先级（可以依据切片业务需求保障的程度进行配置）和业务的 5QI，在一个调度周期内计算出不同业务流的调度优先级，根据调度优先级分配无线侧资源。PRB 预留：采用 PRB 独享的方式，配置一定比例的 PRB 给切片专用，通过 PRB 的正交性保证了切片的隔离性。A.2.2.4基站9：伪基站检测及防护功能使用网管

100、或信令监控系统，通过蜜罐技术、无线电检测等方式检测和定位伪基站。A.3MEC安全功能A.3.1MEC1：安全隔离MEC1.1：MEC 支持通过物理或逻辑隔离的方式，对组成 MEC 系统的服务器、交换机等设备的管理、业务和存储三平面进行隔离（隔离方式应根据业务应用安全需求来选择）。MEC1.2：对于 MEC 部署在广域场景下（MEC 和 UPF 部署在运营商边缘汇聚机房，行业应用部署在运营商 MEP），MEC 支持通过物理或逻辑隔离的方式，对行业用户应用与运营商 MEC 应用、MEP、UPF 进行安全隔离，对行业应用之间、运营商自有应用之间进行安全隔离，隔离方式应根据业务应用安全需求来选择。ME

101、C1.3：对于 MEC 部署在园区的场景下，MEC 支持通过 VLAN 等方式对 MEC 应用之间进行隔离。中国联通 5G 网络安全原子能力白皮书（2022）-60-A.3.2MEC2：边界安全防护MEC 2.1：MEC 支持对于有 Internet 访问需求的场景，根据业务访问需求设置 DMZ 区（如 IP 地址暴露在 Internet 的管理入口等部署在 DMZ 区），并在边界部署抗 DDoS 攻击、入侵检测、访问控制、Web 流量检测等安全能力，实现边界安全防护。MEC 2.2：MEC 部署边界防火墙支持双向过滤策略，实现数据不出园的访问控制和审计。MEC 2.3：部署数据不出园的网络架

102、构，UPF 部署在行业园区。MEC 2.4：在 UPF 的信令管理面部署流量监控设备，智能分析并识别仅信令及 OM 相关数据可以流出，确保没有业务数据流出行业园区。A.3.3MEC3：流量安全控制MEC3.1：在 MEC 部署在园区的场景下，支持对 UPF 和 SMF 的 N4 接口流量进行安全访问控制。MEC3.2：在 MEC 部署在园区的场景下，在园区 MEC 与核心网之间部署网络防火墙进行安全流量控制。A.3.4MEC4：API接口安全MEC4.1：MEC 支持对 MEP 的访问需要进行认证和授权，防止恶意的应用对 MEP 的非授权访问。MEP 应支持防 DDoS 攻击，MEP 的敏感数

103、据应启用安全保护，防止非授权访问和篡改等。MEC4.2：MEP 与 APP 等之间的数据传输支持机密性、完整性、防重放保护，防止 MEP 与 APP 等之间的通信数据被拦截、篡改。中国联通 5G 网络安全原子能力白皮书（2022）-61-MEC4.3：边缘计算系统中的标准接口支持通信双方之间的相互认证，并支持在认证成功后，使用安全的传输协议保护通信内容的机密性和完整性。A.3.5MEC5：终端访问安全MEC5.1：MEC 支持对终端用户使用边缘计算服务进行授权，只有具备合法授权的用户才能使用对应的边缘计算服务。MEC5.2：MEC 支持对接入到运营商核心网络、边缘计算节点的终端进行身份识别，并

104、根据事先确定的策略确定是否允许接入。MEC5.3：MEC 支持管控策略限制终端访问，对于接入关键核心业务的终端，考虑基于零信任理念进行动态持续的安全与信任评估。A.3.6MEC6：业务连续性安全MEC 支持安全上下文连续性传输，终端用户在 MEC 应用服务器发生切换时，安全上下文应从源 MEC 服务器传递到其他 MEC 服务器，以保证用户服务的连续性。A.3.7MEC7：应用安全防护功能MEC7.1：MEC 支持对不同业务类型应用之间的隔离和互访过程做安全监控。MEC7.2：MEC 支持对 MEC 应用的生命周期管理，防止 MEC APP 被非法创建、修改及删除。MEC7.3：MEC 支持对

105、MEC APP 之间的访问启用授权机制。对 MEP 与第三方应用的服务访问接口进行认证和授权，防止恶意的应用对 MEP 的非授权访问。中国联通 5G 网络安全原子能力白皮书（2022）-62-MEC7.4：MEC 支持对 MEC APP 访问 MEP 的资源情况进行实时监控，并对 APP 资源消耗做限制。MEC7.5：MEC 支持对第三方 MEC 应用进行漏洞扫描及加固，对其镜像进行病毒查杀。MEC7.6：MEC 支持对 MEC APP 安全隔离及访问控制。当 MEC 应用以虚拟机或容器部署时，相应的虚拟化基础设施应支持 MEC 应用使用的虚拟 CPU、虚拟内存以及 I/O 等资源与其它虚拟机

106、或容器使用的资源进行隔离。对 MECAPP 的镜像和镜像仓库进行完整性和机密性、访问控制保护等。A.3.8MEC8：通信安全防护功能MEC 通信主要包括 MEC 内部通信（如应用、MEP 之间以及核心网元之间的通信）和 MEC 间的通信（如用户移动切换中的用户上下文转发等交互过程）。通过通信安全措施，对 MEC 内部和 MEC 之间服务访问和数据转发等通信过程进行保护。MEC8.1：MEC 支持对 MEC 之内或之间的数据传输部署安全通道，例如使用 NDS/IP 或 TLS 进行认证和保护。MEC8.2：MEC 支持 MEC 之内或之间的服务访问需要进行认证授权，可选的方案有部署 OAuth

107、或基于 CAPIF 进行认证和授权。MEC8.3：MEC 支持边界防护功能。MEC 和 5GC 之间部署防火墙隔离进行边界防护，防火墙能识别 N4 消息，仅信令及 OM 相关的数据流量才能通过防火墙。A.3.9MEC9：数据安全防护中国联通 5G 网络安全原子能力白皮书（2022）-63-MEC9.1：MEC 支持将涉及用户隐私的数据信息加以标识，在每个 MEC节点的数据入口通过防火墙进行隔离，按照最小化原则关掉所有不必要的服务及端口，对于增加标识的重要数据进行完整性、机密性及防复制的保护。MEC9.2：MEC 支持将入侵检测技术应用于 MEC 节点，对 API 接口的使用者进行检测，防止攻击

108、者获取用户的隐私数据信息。A.3.10MEC10：虚拟化安全防护功能MEC10.1：MEC 支持禁止使用不必要的宿主机外接设备，禁止安装不必要的系统组件，禁止启动不必要的应用程序，禁止弱口令登录，配置宿主机资源访问控制权限，对 Host OS、虚拟化软件、Guest OS 进行安全加固。MEC10.2：MEC 支持对开启镜像完整性校验，使用安全的传输通道上传镜像，使用经过安全校验和安全存储的镜像来创建虚拟机和容器。MEC10.3：MEC 支持对 Hypervisor 设置 VM 的操作权限及每个 VM 使用资源的限制，对同一物理主机上不同虚拟机之间的资源进行隔离，并对资源使用情况进行监控。ME

109、C10.4：MEC 支持容器开发阶段由开发者对容器镜像及中间过程镜像进行漏洞扫描，同时对第三方甚至自有应用/代码进行安全检查。部署阶段由 MEC平台对镜像仓库进行安全监管，对上传的第三方/自有容器镜像进行漏洞扫描，控制有高危漏洞的容器镜像的运行使用。运行阶段首先应支持容器实例跟宿主机之间的内核隔离。MEC10.5：MEC 支持在容器环境内部使用防火墙机制防止容器之间的非法访问，对环境内的第三方进程进行监控，发现容器实例运行中的非法或恶意行为；中国联通 5G 网络安全原子能力白皮书（2022）-64-在虚拟化平台层面部署 API 安全网关来对容器管理平台的 API 调用情况进行安全监控，防止非法

110、恶意 API 调用。MEC10.6：MEC 支持对虚拟化编排管理实体进行安全加固，登录需要进行认证授权。MEAO 和 MEPM 等编排管理实体与被管理实体间支持认证授权，防止管理面被攻击。A.3.11MEC11：能力开放安全防护功能MEC11.1：MEC 支持对 API 进行安全的管理、发布和开放，对 API 调用方进行认证和授权，从而保证边缘网络能力开放的安全性。MEC11.2：MEC 支持通过边缘应用服务器调用运营商网络的能力开放，获取终端用户的敏感信息（如位置信息）时，需要获取客户同意。A.45GC网元安全功能A.4.15GC通用安全功能A.4.1.15GC通用1：安全隔离功能5GC 内

111、部可根据不同网元的功能进行安全域划分和域间隔离，明确安全域内安全组间的访问策略，严格限制安全域内网元之间的访问以及不同切片网元之间的访问。A.4.1.25GC通用2：核心网侧切片隔离功能5GC 核心网支持多种方式为不同安全需求的切片提供核心网安全隔离功能。为不同安全需求的切片提供核心网隔离的方案有如下三种：（1）完全隔离：该方式下核心网的所有控制面网元（包括 AMF、AUSF,UDM、UDR、PCF、SMF 等）以及用户面网元 UPF 均为垂直行业客户专用独中国联通 5G 网络安全原子能力白皮书（2022）-65-享。（2）部分隔离：该方式下核心网的控制面网元部分独享，用户面网元 UPF为行业

112、客户专用独享。UPF 可根据容量、时延等要求，选择在核心机房或者边缘机房建设。（3）完全共享，切片虚拟资源隔离：该方式下核心网的控制面网元，用户面网元 UPF 全部共享为行业客户服务，通过切片进行虚拟资源隔离。A.4.1.35GC通用3：网元间相互认证功能5GC 网元服务化接口支持 OAuth2.0 认证授权机制，实现各 NF 网元间的可信访问。A.4.1.45GC通用4：数据安全保护功能5GC 内部控制面各网元间通信使用 HTTPS 机制；5GC 各网元与运维管理系统之间的通信使用安全通信协议（如 TLS V1.2 以上）。A.4.1.55GC通用5：虚拟化安全功能使用 VM 隔离、VPC

113、等技术，同一物理机上的不同虚拟化网络资源具有安全隔离功能、多台物理机上的大量虚拟化网络资源具有安全隔离功能；支持镜像完整性校验，使用安全的传输通道上传镜像，使用经过安全校验和安全存储的VNF 镜像实例化 VNF；对虚拟机或容器进行物理机资源访问的权限控制，虚拟化层能对 VNF 的异常内存访问进行拒绝，防止虚拟机或容器逃逸。A.4.1.65GC通用6：冗余备份功能5GC 网元设备及其上存储的配置数据、业务数据等均进行冗余备份，全冗余组网保障网络韧性。中国联通 5G 网络安全原子能力白皮书（2022）-66-A.4.1.75GC通用7：入侵防御能力5GC 网元均是虚拟化网元，部署在虚拟机或容器上，

114、支持对于异常账号、权限提升、信息破坏等攻击行为的检测和防御能力。A.4.2UPF安全功能A.4.2.1UPF1：安全隔离UPF支持对网络不同安全域进行VLAN划分隔离，UPF 的数据面与信令面、管理面能够互相隔离。A.4.2.2UPF2：流量控制安全UPF2.1：UPF 支持设置 UPF 白名单规则，针对 N4、N6、N9 接口分别设置专门的 VRF。UPF2.2：UPF 支持在 UPF 的 N6 接口部署网络防火墙进行流量安全控制。UPF2.3：UPF 支持在 UPF 的 N4 口设置安全访问控制措施，对 UPF 和SMF 的流量进行安全控制。UPF2.4：UPF 支持对上行和下行流量进行防

115、地址欺骗检查，若报文的源地址或目的地址与终端用户地址不匹配，UPF 丢弃该报文。UPF2.5：UPF支持对没有匹配PDP上下文/承载的下行流量进行丢弃，UPF将 GTP 解封装后的流量仅转发至外部指定的数据网络。UPF2.6：UPF 支持对来自终端的以及 APP 的业务流量进行限速，防止发生 DDoS 攻击。UPF2.7：UPF 支持对发送给 SMF 的信令流量以及对从 SMF 接收的信令流量进行限速，防止信令风暴。中国联通 5G 网络安全原子能力白皮书（2022）-67-A.4.2.3UPF3：数据传输安全UPF3.1：UPF 支持对 N3 传输的用户数据的机密性、完整性和防重放攻击保护。U

116、PF3.2：UPF 支持对 N4 传输的信令数据进行机密性和完整性保护。UPF3.3：UPF 支持对 N9 传输的用户数据进行机密性和完整性保护。UPF3.4：UPF 支持建立安全通道（L2TP、IPSec、NDS/IP、TLS 保护）。A.4.2.4UPF4：访问控制安全UPF4.1：UPF 支持 ACL 过滤功能，拦截配置的网络地址和端口，对拦截次数进行统计。在采用隧道封装情况时，对解封装后的 IP 包进行 ACL 过滤。UPF4.2：UPF 支持协议控制功能，选择允许/不允许哪些协议的报文进入5GC 网络，以保证 5GC 网络的安全。该功能也可以通过防火墙来实现。A.4.2.5UPF5：

117、终端认证信息转发功能UPF 支持转发终端认证信息至 AAA 服务器，实现终端接入二次认证。A.4.2.6UPF6：异网漫游安全功能UPF 支持 IPUPS 功能，实现 PLMN 间用户面数据安全转发，增强漫游数据安全。A.4.3AMF安全功能AMF 为接入和移动管理功能，管理 5G 无线接入的请求，进行注册管理，连接管理，可达性管理，移动性管理等。A.4.3.1AMF1：NAS信令机密性保护功能AMF 支持 NAS 信令的加密，加密算法包括 NEA0（NULL）,128-NEA1中国联通 5G 网络安全原子能力白皮书（2022）-68-（SNOW 3G）,128-NEA2（AES）,128-N

118、EA3（ZUC）。A.4.3.2AMF2：NAS信令完整性和抗重放保护功能AMF 支持 NAS 信令的完整性保护和抗重放保护，完整性保护算法包括NIA-0（NULL）,128-NIA1（SNOW 3G）,128-NIA2（AES）,128-NIA3（ZUC）。A.4.3.3AMF3：用户隐私保护功能支持使用 SUCI 进行主认证，支持为用户重分配临时标识符（如 5G-GUTI），以保护用户真实身份标识。A.4.3.4AMF4：主认证功能AMF 支持 5G AKA 和 EAP AKA认证机制，作为实现主认证的重要网元，完成主认证和密钥推衍功能。A.4.3.5AMF5：N2接口数据安全保护功能核心

119、网 AMF 网元与 gNodeB 之间的 N2 接口，支持采用 IPsec 或 DTLS防护措施进行数据安全保护。A.4.3.6AMF6：4G/5G互操作安全功能AMF支持用户4G/5G之间互操作时的4G安全上下文与5G安全上下文之间的安全映射，确保用户在 5G 向 4G 网络切换时的安全。A.4.3.7AMF7：特定终端接入功能支持基于电子围栏的终端安全接入能力，通过对 AMF 进行小区 TA 和终端绑定配置，实现专网只允许合法授权终端接入。A.4.3.8AMF8：切片认证功能中国联通 5G 网络安全原子能力白皮书（2022）-69-AMF 根据 UE 的签约信息或 UE 欲接入切片的安全策

120、略，由 AMF 发起切片认证流程，同时基于 AAA-S 返回的认证结果，AMF 决定是否允许 UE 使用切片资源。A.4.3.9AMF9：初始NAS消息保护AMF 具备对收到安全保护的初始 NAS 消息的处理，即当用户发送受到安全保护的初始 NAS 消息时，AMF 应能够对保护数据的完整性进行校验。如果完整性校验失败，或者 AMF 缺少对应的安全上下文，则 AMF 应立即启动与 UE的认证流程。A.4.3.10AMF10：NAS多连接安全针对 UE 面向同一个 AMF 的不同 NAS 连接，应使用通用的一个 5G 安全上下文提供保护，该安全上下文基于第一个连接而被创建，但不同的连接拥有特定于每

121、个连接的独立参数，即上行 NAS COUNT、下行 NAS COUNT 以及 NAS连接标识符。A.4.4SMF安全功能SMF 为会话管理功能，进行会话建立，修改和释放，包括 UPF 和 AN 节点之间的通道维护，UE IP 地址分配和管理等。A.4.4.1SMF1：二次认证功能作为实现二次认证的重要网元，SMF 根据用户签约信息发起二次认证，行业终端与外部 AAA 认证服务器完成二次认证，实现企业自主可控的终端入网身份认证。A.4.4.2SMF2：冗余用户面路径功能中国联通 5G 网络安全原子能力白皮书（2022）-70-为了支持 URLLC 业务，确保数据传输的可靠性，SMF 支持为用户在

122、 5G网络中建立两个冗余 PDU 会话，确保用户数据传输的高可靠性。A.4.4.3SMF3：N4接口数据安全保护功能核心网 SMF 网元与下沉的 UPF 网元之间的 N4 接口，支持采用 IPsec 防护措施进行数据安全保护。A.4.5AUSF安全功能AUSF 为鉴权服务功能，实现 3GPP 和非 3GPP 的接入认证。A.4.5.1AUSF1：主认证功能AMF 支持 5G AKA 和 EAP AKA认证机制，作为实现主认证的重要网元，AUSF 根据服务网络请求提供认证参数，完成对 UE 的认证，确保只有合法用户才能接入网络。A.4.5.2AUSF2：二次认证功能AMF 支持二次认证机制，作为

123、实现二次认证的重要网元，实现行业终端与外部 AAA 认证服务器的认证。A.4.5.3AUSF3：应用层认证和密钥管理功能支持应用层认证和密钥管理功能（AKMA 功能），由 AUSF 计算 AKMA 锚点密钥（KAKMA），由 AAnF 基于 KAKMA生成供 UE 和应用功能（AF）之间使用的 AKMA 应用密钥（KAF），提供给垂直行业客户。垂直行业客户可使用生成的应用密钥进行数据完整性和机密性保护。注：AAnF 为 AKMA 锚点功能，可以作为独立功能实体部署，也可与 AUSF或 NEF 合设。中国联通 5G 网络安全原子能力白皮书（2022）-71-A.4.6UDM安全功能UDM 为统一

124、数据管理，其生成 3GPP AKA 身份验证凭据，对 SUPI 的存储和管理，对用户进行识别处理，对用户进行合法性验证等。A.4.6.1UDM1：主认证功能UDM 支持 5G AKA 认证机制和 EAP-AKA认证机制，作为实现主认证的重要网元，UDM 根据服务网络请求提供认证参数，完成对 UE 的主认证。A.4.6.2UDM2：安全存储功能UDM 支持对用于认证和安全关联设置目的的长期密钥的存储。存储 UE 的签约信息。A.4.6.3UDM3：用户隐私保护功能UDM 支持利用 SUCI 恢复 SUPI 的能力，对用户 SUPI 进行保护。A.4.6.4UDM4：机卡绑定功能UDM 网元支持配

125、置将 IMSI 号码与终端 IMEI 号码绑定，实现机卡绑定安全功能。A.4.7PCF安全功能PCF 为策略控制功能，定位于面向 5G 网络的统一、开放策略控制中心。A.4.7.1PCF1：策略配置安全PCF 提供非会话管理和会话管理相关业务策略控制、通知发送等功能，并通过安全协议保障数据传输安全。A.4.8NRF安全功能NRF 为网络存储库功能，支持服务发现功能，从 NF 实例接收 NF 发现请中国联通 5G 网络安全原子能力白皮书（2022）-72-求，并将被发现的 NF 实例信息提供给发起请求的 NF 实例。A.4.8.1NRF1：网元合法身份保障功能SBA 架构支持完善的注册、发现、授

126、权安全机制及安全协议来保障 5G 服务化架构安全，NF 通过在 NRF 中注册进行 NF 发现和访问授权，以在彼此之间建立安全通信。A.4.8.2NRF2：切片的NF发现授权NRF 应支持指定切片的 NF 发现授权，当服务发现的请求方 NF 和期望发现的 NF 属于同一切片时才允许发现，否则禁止发现。A.4.9NEF安全功能NEF 为网络开放功能，是 5G 对外开放和提供标准接口的网络功能，基于3GPP 网络功能通过 NEF 向其他系统公开功能和事件，既提供开放性，又能保障系统的安全。A.4.9.1NEF1：网络能力开放功能提供 CAPIF 框架下的 5G 功能开放能力，将网络功能的开放能力提

127、供给应用，通过 NEF 与相关的网络功能进行交互。A.4.9.2NEF2：接口调用认证授权功能NEF 使用基于 OAuth 的授权机制为应用服务器进行授权，通过对 API 调用方进行认证和授权，保证网络能力开放的安全性。A.4.9.3NEF3：数据传输安全功能NEF 和应用功能之间通过 TLS 安全协议等方式保证通信的完整性保护、抗重放保护和机密性保护。中国联通 5G 网络安全原子能力白皮书（2022）-73-A.4.10NSSF安全功能NSSF 为网络切片选择功能，选择为 UE 提供服务的网络切片实例集，从而为用户提供个性化的网络服务。A.4.10.1NSSF1：合法用户接入切片功能NSSF

128、 通过切片签约校验、切片选择、授权和分组数据单元会话机制防止终端对切片的未授权访问，根据入网 UE 提供的 NSSAI 或者 S-NSSAI 判断应该为 UE 提供哪个网络切片的服务，进而决定由哪个 AMF 为该 UE 提供接入服务。A.4.11NSSAAF安全功能NSSAAF 为特定网络切片认证授权功能，处理来自服务 AMF 的网络切片特定认证请求，将 NSSAA 请求发送到相应的 AAA-S。A.4.11.1NSSAAF1：切片认证功能作为切片认证的重要网元，NSSAAF 处理来自服务 AMF 的网络切片特定认证请求，与外部 AAA-S 相连，将切片认证请求发送到相应的 AAA-S，进行特

129、定切片的认证。同时支持 AAA-S 触发的网络切片特定重认证和重授权以及切片特定授权撤销流程，并进行 AAA 协议和基于服务的消息转换。A.4.12SEPP安全功能SEPP 为安全边界防护代理，是运营商核心网控制面之间的边界网关，它是一个非透明代理，实现跨运营商网络中网络功能服务消费者与网络功能服务提供者之间的安全通信，负责运营商之间控制平面接口上的消息过滤和策略管理，提供了网络运营商网间信令的端到端保护，防范外界获取运营商网间的敏感数据。A.4.12.1SEPP1：拓扑隐藏安全功能中国联通 5G 网络安全原子能力白皮书（2022）-74-SEPP 通过限制外部各方可见内部拓扑信息来执行拓扑隐

130、藏，NF 需要采用可以扩展的 FQDN 的名字。在跨网通信时，NF 提供准确的 FQDN 名称并发送至本网 SEPP，本网 SEPP 在 HTTP 消息中修改 FQDN，将 NF 的地址信息进行隐藏。A.4.12.2SEPP2：消息过滤安全功能SEPP 可对来自漫游网络的协议消息进行过滤和控制。主要针对应用层协议HTTP/2 的安全控制和跨层检查，通过这些检查和附加的流量控制操作（如限制和流量策略）后，SEPP 可决定是否可转发该 HTTP/2 消息到接收网络中的相应网元。A.4.12.3SEPP3：访问控制安全功能SEPP 实现了对通信对端运营商数据的校验，包括判断消息来源的真实性，所请求的

131、信息是否只限于对端运营商用户和本网运营商用户等。如果没有与归属漫游网络 HPLMN 达成明确的漫游协议，拜访地网络 VPLMN 需阻止入站漫游者完成在其 5GC 网络的接入。A.4.12.4SEPP4：漫游数据传输安全防护功能SEPP 在漫游网络中与对端 SEPP 进行相互认证和密码组件的协商，支持使用 TLS（传输层）或应用层（PRINS）保护机制，对漫游信令消息进行加密和完整性保护。中国联通 5G 网络安全原子能力白皮书（2022）-75-附录B附录B缩略语缩略语全称释义3GPP3rd Generation Partnership Project第三代合作伙伴计划5G5th Network

132、第五代移动通信网5GC5G Core Network5G核心网ACLAccess Control List访问控制列表AFApplication Function应用功能AKAAuthentication and Key Agreement认证和密钥协商AKMAAuthentication and KeyManagement for Applications应用层认证和密钥管理AAnFAKMA Anchor FunctionAKMA锚点功能APIApplication Program Interface应用程序接口APTAdvanced Persistent Threat高级持续性威胁ALSA

133、pplication Layer Security应用层安全AMFAccess and Mobility ManagementFunction接入和移动管理功能ASAccess Stratum接入层AUSFAuthentication Server Function认证服务器功能BBUBase band Unit基带处理单元CAPIFCommon API Framework通用API架构CDNContent Delivery Network内容分发网络中国联通 5G 网络安全原子能力白皮书（2022）-76-CGICommon Gateway Interface公共网关接口DDoSDistri

134、buted Denial of Service分布式拒绝服务攻击DTLSDatagram Transport Layer Security数据包传输层安全性协议DMZDemilitarized Zone非军事化区DNSDomain Name System域名系统DRBData Radio Bearer数据无线承载EAPExtensible Authentication Protocol可扩展认证协议eNBEnvolved Node B4G基站E-RABEvolved Radio Access Bearer演进的无线接入承载FQDNFully Qualified Domain Name全限定域名

135、FTPFile Transfer Protocol文件传输协议GBAGeneric Bootstrapping Architecture通用引导架构gNBNR Node B5G基站GTPGPRS Tunneling ProtocolGPRS隧道协议GUTIGlobally Unique Temporary UEIdentity全球唯一临时用户标识HTTPSHypertext Transfer Protocol Secure超文本传输安全协议IAMIdentity and Access Management身份识别与访问管理IASTInteractive application security

136、testing交互式应用安全测试IDSIntrusion Detection System入侵检测系统中国联通 5G 网络安全原子能力白皮书（2022）-77-IMEIInternational Mobile EquipmentIdentity国际移动设备识别码IMSIInternational Mobile SubscriberIdentity国际移动用户识别码IPSIntrusion Prevention System入侵防护系统IPsecInternet Protocol Security互联网安全协议L2TPLayer Two Tunneling Protocol第二层隧道协议MECM

137、ulti-access Edge Computing多接入边缘计算MEPMEC PlatformMEC平台NASNon Access Stratum非接入层NDSNetwork Domain Security网络域安全NEAEncryption Algorithm for 5G5G的加密算法NEFNetwork Exposure Function网络开放功能NFNetwork Function网络功能NFSNetwork File System网络文件系统ng-eNBNext Generation Evolved Node-B下一代eNBNIAIntegrity Algorithm for 5

138、G5G完整性保护算法NRFNetwork Repository Function网络存储功能NSSAINetwork Slice Selection AssistanceInformation网络切片选择辅助信息NSSAAFNetwork Slice-SpecificAuthentication and AuthorizationFunction网络切片选择的认证和授权功能NSSFNetwork Slice Selection Function网络切片选择功能中国联通 5G 网络安全原子能力白皮书（2022）-78-NTANetwork Traffic Analyzer网络流量分析PCFPol

139、icy Control Function策略控制功能PDPPacket Data Protocol分组数据包协议PKIPublic Key Infrastructure公钥基础设施PLMNPublic Land Mobile Network公共陆地移动网PRBPhysical Resource Block物理资源块PRINSProtocol for N32 INterconnectSecurityN32互联安全协议QoSQuality of Service服务质量RANRadio Access Network无线接入网络RASPRuntime application self-protecti

140、on应用运行时自保护RRCRadio Resource Control无线资源控制SAStand Alone独立组网SBAService-based Architecture服务化架构SCASoftware Composition Analysis软件成分分析SEPPSecurity Edge Protection Proxy安全边缘保护代理SIMSubscriber Identity Module用户识别模块SMFSession Management Function会话管理功能SMTPSimple Mail Transfer Protocol简单邮件传输协议SNMPSimple Netwo

141、rk ManagementProtocol简单网络管理协议SS7Signaling System 77号信令系统中国联通 5G 网络安全原子能力白皮书（2022）-79-SSHSecure Shell安全外壳协议SSLSecure Sockets Layer安全套接字协议SOAPSimple Object Access Protocol简单对象访问协议SPNSlicing Packet Network切片分组网SUCISubscription Concealed Identifier用户隐藏标识SUPISubscription Permanent Identifier用户永久标识TAITrac

142、king Area Identity跟踪区识别码TLSTransport Layer Security传输层安全性UDMUnified Data Management统一数据管理UDRUnified Data Repository统一数据仓库功能UEUser Equipment用户设备ULIUser Location Information用户位置信息UPUser Plane用户面UPFUser Plane Function用户面功能URLUniform Resource Locator统一资源定位符URSPUE Route Selection PolicyUE路由选择策略VLANVirtua

143、l Local Area Network虚拟局域网VMVirtual Machine虚拟机VRFVirtual Routing Forwarding虚拟路由转发WEBWorld Wide Web全球广域网中国联通 5G 网络安全原子能力白皮书（2022）-80-附录C附录C参考文献13GPP TS 23.501:System Architecture for the 5G System23GPP TS 23.502:Procedures for the 5G System33GPP TS 33.501:Security architecture and procedures for the 5

144、Gsystem4YD/T 3628-2019，5G 移动通信网 安全技术要求5YD/T 4056-2022，5G 多接入边缘计算平台通用安全防护要求6YD/T 3618-2019，5G 数字蜂窝移动通信网 无线接入网总体技术要求(第一阶段）7GB/T 36626-2018 信息安全技术 信息系统安全运维管理指南8中国联合网络通信有限公司，中国联通 5G 数字蜂窝移动通信网网络安全技术要求，2020 年9中国联合网络通信有限公司，中国联通 5G 数字蜂窝移动通信网网络安全测试规范，2020 年10中国联合网络通信有限公司，中国联通 5G 数字蜂窝移动通信网基站及设备网管安全技术规范，2021 年

145、11IMT-2020(5G)推进组、中国信息通信研究院，5G 安全知识库，2021年12中国联合网络通信有限公司，中国联通 5G 网络安全白皮书，2019 年中国联通 5G 网络安全原子能力白皮书（2022）-1-战略决策的参谋者技术发展的引领者产业发展的助推者战略决策的参谋者技术发展的引领者产业发展的助推者态度、速度、气度有情怀、有格局、有担当中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院以做深大联接、做强大计算、做活大数据、做优大应用、做精

146、大安全为己任，按照4+1+X 研发布局，开展面向 CUBE-Net 3.0 新一代网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国、智慧社会建设。联通研究院现有员工近 700 人，平均年龄 36 岁，85%以上为硕士、博士研究生，以“三度三有”企业文化为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略

147、决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院以做深大联接、做强大计算、做活大数据、做优大应用、做精大安全为己任，按照4+1+X 研发布局，开展面向 C3 网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国、智慧社会建设。联通研究院现有员工近 700 人，平均年龄 36 岁，85%以上为硕士、博士研究生，以“三度三有”企业文化为根基，发展成为一支高素质、高活力、专业化、具有行业影响力的人才队伍。中国联合网络通信有限公司研究院地址：北京市亦庄经济技术开发区北环东路 1 号电话：010-87926100邮编：100176