《中国电信：2023年5G-A安全白皮书（33页）.pdf》由会员分享，可在线阅读，更多相关《中国电信：2023年5G-A安全白皮书（33页）.pdf（33页珍藏版）》请在三个皮匠报告上搜索。

1、引言01核心观点020103045G-A安全趋势与需求033.1.5G-A概述3.2.5G安全现状3.3.5G-A安全需求040912145G-A安全架构044.1.考虑因素4.2.设计理念4.3.安全架构4.4.核心特征14151618195G-A安全关键技术055.1.云网安基础设施关键技术5.2.基础型安全关键技术5.3.增强型安全关键技术5.4.安全运营服务关键技术5.5.安全与网络互编排关键技术5.6.能力开放安全关键技术19243340444547创新应用方案0659展望与倡议0760缩略语0863参考文献096.1.5G-A物联网终端安全方案6.2.5G-A终端接入管控方案6.3

2、.5G-A天地一体化网络主动DDoS防御方案6.4.5G-A专网能力开放安全方案6.5.5G-A资产安全态势感知方案47495052546.6.5G-A安全自动化编排响应平台方案56 /015G-A安全白皮书党的二十大擘画了以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图，强调加快网络强国、数字中国建设，为我国信息通信产业发展提供了根本遵循。5G作为支撑经济社会数字化、网络化、智能化转型的国家新型信息基础设施，是建设网络强国、数字中国建设的重要抓手，也是推动经济社会高质量发展的重要引擎。随着5G大规模商用，全球业界开启了5G下一阶段演进技术研究和探索。2021年4月，国际标准化组织3GPP正式

3、确定5G-Advanced（简称“5G-A”）为5G下一阶段演进官方名称。从Rel-18开始，全球5G发展进入新阶段。5G-A具备高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的特征，安全可控是保障和底座，是5G-A向“增能、智能、赋能”演进过程中的关键要素。一方面，5G-A需要持续完善基础型安全技术能力，解决5G网络现阶段的安全不足；另一方面随着以零信任、区块链、量子加密等为代表的安全新技术不断发展，安全框架设计需考虑逐步引入增强型安全技术，以适配5G-A新型业务场景的需求。本白皮书基于5G安全现状，分析了5G-A安全趋势与挑战，提出了“安全内生、纵深防御、智能演进、弹性自治”的

4、安全架构设计理念；搭建了“三体四层”的5G-A总体安全架构，架构以“云网安一体、分布自治、软件定义、智慧内生”为核心特征，支持安全的可持续演进和可灵活编排等特征；安全架构包含的关键技术分为内生和非内生两类，前者包括来源于通信系统内部的标准化技术，设备通过自身功能、架构和运行机制形成的安全能力；后者包括源于通信系统外部的技术，可面向垂直行业定制增强，也可面向运营商自身的网络安全运营。内生和非内生安全技术相互支撑，构建5G-A安全技术体系，并支持向6G演进。最后，本文将安全技术能力、运营服务深度赋能5G-A典型应用场景。本白皮书旨在从框架、标准、技术、能力、运营、场景方案等维度，系统性的思考和梳理

5、5G-A网络在云网安全、通信安全、数据安全、信息安全面临的挑战与发展方向，倡导5G-A网络安全技术标准化、产业化和服务化。呼吁产业同仁踔厉笃行，加快5G-A安全与网络、应用融合创新和实践，推动5G-A高质量发展，维护网信安全，筑牢网络强国的坚实基座。INTRODUCTION01引言02 /5G-A安全白皮书 /035G-A安全白皮书基于5G-A新特征、新架构、新场景，本白皮书围绕5G-A安全需求，突出安全架构、技术、平台、应用和运营服务的融合创新，提炼的核心观点包括：(1)5G-A安全是5G安全的延续和增强，并支持向6G过渡演进未来5至6年，5G-A的标准不断完善，应用也将从孵化走向成熟。5G

6、-A安全技术也将随网络与业务发展持续演进，总体上包括三方面，一是5G-A标准涉及的安全技术，包括不断完善的国际标准、国内行业标准和企业标准；二是现有安全技术与5G-A场景适配与优化，如海量终端安全与接入控制、星地融合安全；三是以区块链、量子加密、零信任等为代表新型安全框架与5G-A的结合，探索形成创新场景解决方案。同时，5G-A支持向6G平滑过渡，将提前验证部分6G网络与安全技术，为6G标准制定和技术落地积累重要经验。(2)内生安全边界的定义是一个随安全需求和技术发展持续演进、优化、融合的动态过程5G-A内生安全能力的设计来自于两个方面，一是5G标准中相关的安全要求，比如用户身份标识信息的加密

7、；二是运营商基于自身对于安全的理解和要求，在安全体系设计、规划、建设中内置于网络/网元的安全功能，用于保护设备自身安全或者提供网络安全功能。两方面安全能力相互结合，并在运行中形成自带的安全能力，进一步降低安全风险，并随着业务的发展持续调优提升。(3)面向5G-A行业用户提供安全池化能力是网络安全向业务安全扩展的重要实践安全池化集成多种安全能力，按需订阅开通，采用APN+业务链的技术，实现安全业务链灵活编排，提供精细化的应用随行能力、用户行为灵活控制能力、未知威胁感知能力，实现应用级SLA保障、全网威胁闭环处置、秒级响应。运营机制成为必然趋势5G-A架构下业务生态的持续变化，需构筑覆盖全网的安全

8、运营机制，强化对通信网络新特征和新技术新业务模式下的安全防护，加强通信网络与安全的融合协同及智能感知，实现安全能力与网络和算力资源的互编排，建立覆盖海量异构跨域资产的安全管理及协同调度能力。最终形成面向全网的安全风险监测、态势感知、一体化服务编排和调度能力、自动化处置能力，满足运营商自身网络安全管理及对外能力(4)5G-A安全防御体系呈不同层次服务化，构筑主动、智能、融合、高效的泛在一体化安全 开放的一体化运营需求。(5)网络与应用一体、产品与运营一体的平台化安全能力和服务是5G-A安全目标在云网安一体化基础设施上，提供高可信、高可靠、高可用的安全能力保障体系，强化5G-A内生安全与应用安全的

9、有机融合，为行业客户提供安全池化服务，实现5G-A网络与应用的端到端安全。COREVIEWPOINTS02核心观点白皮书贡献单位与主要贡献者（排名不分先后）：白皮书编制团队对各位专家提供的指导和帮助表达诚挚敬意和衷心感谢！指导单位编制单位中国信息通信研究院：何异舟、焦杨、戴方中国电信集团有限公司：徐浩、史凡、王波、孙军涛崔铭乾、马卫民、沈军、孔德胜薄明霞、韩智泉、张伟、马伯骄芳常力元、郑直宿晓萌、龚佳敏、安鹏、万博刘博、林明峰、秦树春李剑锋、曾剑峰、刘小睿郑建勇、韩春梅中国电信安全公司：杭州安恒信息技术股份有限公司中兴通讯股份有限公司：王继刚、郝振武、顾希、陆海涛章松、游世林、徐昕白、许秀莉徐

10、高峰、杨晓蔚、许晨敏、魏诚华为技术有限公司：杨辉、冯运波、郑博、潘巍马骁哲、张正、郭君、李科何加波、闫志成、刘雨、李民徐少东朱进国、刘宇泽、刘霈霖、陈文奎：04 /5G-A安全白皮书 /055G-A安全白皮书035G-A安全趋势与需求5G-A SECURITYTRENDS AND NEEDS3.15G-A概述3.1.15G发展情况近年来，各国电信运营商加速5G规模化商用部署。截至2023年7月，我国5G用户达6.95亿户，5G基站建成305.5万个，全球占比超过60%。预计到2025年底，全球5G基站数将突破650万，为全球58%以上的人口提供累积1000亿次的连接服务。从产业发展角度看，5G

11、是消费互联网升级到工业互联网的关键使能技术；从技术演进角度看，新兴业务对5G网络提出了全新的需求，从而推动着业界思考5G的持续演进。从2018年到2022年，国际标准化组织3GPP完成了R15、R16和R17的5G标准制定，R15构建了5G基础架构，R16逐步完善eMBB、uRLLC、mMTC三大能力并扩展垂直行业，R17进一步广泛提升了行业能力和覆盖能力，3个版本均为5G发展提供了有力的标准支撑。2021年4月，3GPP正式确定5G-Advanced（下文简称5G-A）为5G演进官方名称，5G-A网络向智能极简、融合泛在、行业使能的数智化方向持续演进，实现由“好用”向“智用”的转变。5G-A

12、预计将会有3个版本，即R18、R19和R20。R18作为5G-A的第一个版本，标志着全球5G技术和标准发展进入新阶段。图3-1：5G标准演进图3-2：5G-A网络架构3.1.25G-A关键特征下面从技术架构、网络性能、业务场景三个层面阐述5G-A的关键特征。在技术架构方面，5G-A秉承智慧、融合与使能三个理念。智慧代表网络智能化，包括充分利用机器学习、数字孪生、认知网络与意图网络等关键技术提升网络的智能运维运营能力，打造内生智能网络；融合包括行业网络融合、家庭网络融合、天地一体化网络融合等，实现5G-A与行业网协同组网、融合发展；使能包括对5G-A交互式通信和确定性通信能力的增强。5G-A技术

13、特征包括：定性通信以及5GS安全配套与演进等研究课题推动着后5G时代网络的持续发展。R18全部协议配置2021年12月，3GPP SA全会确定了R18版本的28个研究课题，其中的多媒体通信、智能化、确将于2024年3月份冻结，5G-A预计在同年开始商用部署。(1)云网融合、算网一体5G-A延续并扩展5G的网络结构，以SBA为基础、以网络切片为框架、以网络平台为核心、以关键网络功能API为抓手，同时引入云原生、边缘网络、移动算力感知调度与网络即服务理念。云原生是在NFV 基础上的进一步云化增强，提升网络的部署灵活性和功能开发测试的敏捷性；移动算力感知及调度通过强化网络对算力的感知，实现核心网与边

14、缘节点、边缘节点间的协同，为用户及业务提供最优路径及最佳体验效果；网络即服务模式使5G-A系统高度灵活，构建定制化服务能力。(2)网络智能化网络智能化可服务网络、安全、管理等领域，将云网大数据资源通过人工智能算法转化为云网的智能规划、业务分析、故障诊断、动态优化能力。06 /5G-A安全白皮书 /075G-A安全白皮书图3-5：5G-A通感融合网络架构NWDAF（网络数据分析功能）是3GPP SA2在5G引入的标准网元，是人工智能+大数据的引擎，具备能力标准化、汇聚网络数据、实时性更高、支持闭环可控等特点。MDAS（管理数据分析服务）是3GPP SA5正在研究的服务能力，它与人工智能和机器学习

15、技术相结合，为网络服务管理和编排带来了智能化和自动化。(3)交互式通信交互式通信在实时通信的基础上搭载新的数据传输通道，为用户提供除音视频之外的更丰富的实时交互服务。5G-A建立与IMS音视频通话同步的数据通道，同步叠加AR及听觉、视觉、触觉、动觉、环境等信息，实现全沉浸式体验。图3-3：基于NWDAF的5G-A网络智能化架构图3-4：5G-A交互式通信(4)通感融合5G-A是通感融合技术应用的初步阶段。通感融合是指在通信模块中赋能感知功能，利用通信系统的频谱资源、空口技术、硬件资源处理单元等接收感知信号并进行处理，基于核心网的深度分析、智能化运算及能力开放，实现多维多粒度的环境和目标感知功能

16、并提升系统频谱效率、硬件效率和信息处理效率。5G-A网络架构设计考虑使能端到端的基础感知功能，包括感知业务的触发、感知控制的管理、感知测量数据的处理以及感知结果的开放与策略更新等。5G-A通感融合网络架构向着通感智算一体化方向进行演进，引入通感智算一体化的核心网、通感智算多功能无线接入网和具有通感智算能力的多功能移动终端，通感智算一体化的核心网可对外开放感知服务。(5)天地一体化天地一体是下一代网络发展趋势，天地一体化信息网络包括天基骨干网、天基接入网、地基节点网，并与地面互联网和移动通信网互联互通，建成“全球覆盖、随遇接入、按需服务、安全可信”的天地一体化信息网络体系。其中，天基骨干网主要由

17、地球同步轨道卫星组成，天基接入网主要由低轨卫星组成，地基节点网由多个地面互联的地基骨干节点组成。未来，5G-A将继续推进天地一体化融合网络，支持地面基站、不同轨道高度的卫星以及中高空飞行器卫星网络是地面通信的重要补充，3GPP从R15提出了卫星接入网整合到5G网络的需求，从R16开始研究卫星与5G系统的融合架构，第一阶段的研究主要实现卫星作为接入网和回传网两种场景，并在R17中完成了融合架构的一阶段标准工作。卫星网络与5G系统的融合将进一步支持星地或星间组网，终端同时使用卫星接入和地面接入；基站使用卫星网络回传服务或者星载基站，核心网感知卫星网络的特征，并在考虑卫星移动和整个星座系统情况下，进

18、行策略与QoS控制；在主要业务应用上星的情况下，支持UPF上星，使卫星可以提供边缘计算服务，以减少传输时延和回传资源。等各类网络节点间的融合，构建包含统一空口协议和组网协议的服务化网络架构，实现全球无缝地理覆盖。08 /5G-A安全白皮书 /095G-A安全白皮书图3-6：融合卫星系统的5G-A网络图3-7：5G-A关键性能指标此外，5G-A进一步赋能垂直行业，将5G行业专网升级为“性能更可靠、成本更低、使用更便捷”，在行业网络融合、确定性通信、网络切片、定位测距、组播广播、近域通信、无源物联网等方面都进一步提升了网络通信与服务能力，更好推动行业数智化转型。在网络性能方面，5G-A将在现有5G

19、下行Gbps速率、上行百Mbps速率、十万联接密度、亚米定位精度的基础上，进一步提 升 网 络 能 力：支 持 下 行10Gbps速率、上行1Gbps速率、毫秒级时延、低成本千亿物联，以及感知、高精定位等超越连接的能力。在业务场景方面，5G-A在5G三个标准场景增强的基础上，拓展了三大新场景，赋能六大类应用，包括沉浸实时，智能上行、工业互联、通感一体、千亿物联和天地一体，从支撑万物互联到使能万物智联。这三大新场景包括：综上，5G-A网络业务场景的拓展和关键技术的迭代更新对网络与数据安全带来了新的挑战。云网融合、算网一体的网络架构由于引入了云化、服务化、边缘算力节点等概念，其所涉及的基础设施、网

20、络和用户数据可能会面临新的安全威胁。网络自动化可以实现对大量网络设备的有效管理，但针对网络自动化设备的攻击更有可能导致规模更大和更不易被察觉的网络安全威胁。与宽带实时交互业务场景密切相关的交互式通信技术可应用在医疗，工业、娱乐等领域，使增强现实和虚拟现实更具沉浸感，同时对数据的安全传输和隐私数据的私密性保护提出了更高的需求。天地一体化引入了空基网络，有必要考虑卫星的强移动性所带来的新安全需求。5G-A网络应逐步融入新型安全技术和新安全理念，以满足新型业务场景和关键技术的需求，对网络与数据安全提供保障。UCBC（上行超宽带），实现上行带宽能力十倍提升，满足生产制造场景下，机器视觉、海量宽带物联等

21、上传需求，加速行业智能化升级。RTBC（宽带实时交互），支持大带宽和低交互时延，实现一定的时延和可靠性下，带宽提升十倍，打造物理世界和数字世界交互的沉浸式体验。HCS（通信融合感知），扩展移动网络能力边界，提供厘米级定位和感知能力，应用于室内数字化管理，智慧交通和低空无人机等场景。图3-8：5G-A业务场景3.25G安全现状3.2.15G安全标准5G安全国际标准化工作主要在3GPP（第三代合作伙伴）、GSMA（全球移动通信系统协会）、ITU-T（国际电信联盟电信标准分局）、ISO（国际标准化组织）、ETSI（欧洲电信标准化协会）等国际组织中开展。国内标准化主要集中在全国信息安全标准化技术委员会

22、（TC260），全国通信标准化技术委员会（TC485）及中国通信标准化技术协会（CCSA）。根据研究内容，可将国际与国内标准组织的5G安全技术相关标准分为六大类，分别是通用与基础技术类、网络安全类、终端与设备安全类、数据安全类、应用安全类和安全运营管理类。10 /5G-A安全白皮书 /115G-A安全白皮书(1)通用与基础技术类通用与基础技术类标准为5G安全标准提供了基础技术支撑与通用安全框架，内容涵盖通用安全要求、基础安全技术等。(2)网络安全类5G网络安全类标准是5G安全的基石，内容涵盖核心网安全、无线安全、IT设施安全、切片安全、SDN安全、虚拟化安全、网络演进中互操作安全等。(3)终端

23、与设备安全类终端与设备安全类包括终端通用固件与操作系统的安全、移动智能终端的安全、泛终端安全、基站安全与核心网网元的安全。(4)数据安全类数据安全类标准重点研究5G数据收集与数据共享等重点环节的相关技术、5G典型应用场景下的个人信息保护技术规范，制定涵盖5G行业数据应用全生命周期的安全防护标准。(5)应用安全类应用安全类标准研究在保证5G网络自身安全的同时，针对不同行业应用，应有定制化的安全技术标准，提升5G新应用场景的安全能力。(6)安全运营管理类安全运营管理类标准重点覆盖5G网络运维管理、应急响应、供应链安全等方面的要求。标准针对5G的服务化网络架构、IT化网络设施等特点，完善网络安全运营

24、管理要求，提升应急相应能力，强化5G全生命周期的供应链安全。3.2.25G安全特性5G安全主要从密钥认证接入、节点安全保护研究等方面进行实现，主要目的是保障5G网元及通信安全。5G安全在4G的基础上进行了增强，但整体安全框架仍继承4G网络。3GPP R15已完成安全基础架构的定义，R16、R17基于R15安全基础架构，面向mMTC和uRLLC场景进行安全优化，同时对安全基础架构进行了进一步增强。(1)R15定义的5G安全增强特性更好的空口安全：在2/3/4G用户和网络之间用户数据加密保护的基础之上，5G SA架构进一步支持用户数据的完整性保护机制，防范用户数据的篡改攻击。(2)R16、R17定

25、义的5G安全增强特性增强的SBA安全：5G核心网的SBA新架构将网络功能服务化，标准定义了SBA架构的服务安全机制，包含更细粒度的网元间授权机制，更强的运营商间的用户面数据传输保护等，以保障核心网内部信令面及用户面数据传输安全。5G NSA网络及4G网络用户面完整性保护：将5G SA网络的用户面完整性保护机制引入到5G NSA网络以及4G网络中，以进一步增强空口安全。用户隐私保护增强：在2/3/4G时，用户的永久身份IMSI在空口是明文发送的，攻击者可以利用这一缺陷追踪用户。在5G中，用户永久身份SUPI将以加密形式发送，以防范“IMSI catcher”攻击。更好的漫游安全：运营商之间通常需

26、要通过转接运营商来建立连接。攻击者可以通过控制转接运营商设备的方法，假冒合法的核心网节点，发起类似SS7的攻击。在5G中的SBA架构下定义了SEPP，对运营商间的信令面数据进行安全保护，使得运营商间的转接设备无法窃听核心网之间交互的敏感信息（如密钥、用户身份、短信等）。密码算法增强：为了应对量子计算机对密码算法的影响，5G在未来版本可能需要支持256位算法。5G R15标准已定义256位密钥传输等相关机制，为未来引入256位算法做好准备。图3-9：5G标准安全增强特性12 /5G-A安全白皮书 /135G-A安全白皮书5G-A面临的安全挑战包括两类：一方面是由于5G-A新特性带来的安全问题，首

27、先，2G5G时代移动通信网络主要作为管道提供连接服务，因此安全聚焦服务于连接业务，5G-A网络在面向接的同时，还会扩展到面向多种业务，如AlaaS、DaaS、感知服务等，安全也需要从面向连接扩展到面向连接+业务；其次，在5G-A网络更加开放的赋能垂直行业，多方参与的业务生态和对法律法规的遵从也带来了安全需求多样化的问题。另一方面是技术发展和安全博弈的升级带来的安全问题，典型的如人工智能对攻击者的助力、量子计算对传统公钥密码学的冲击等，5G-A网络安全需要考虑智能化攻击和量子威胁的安全问题。同时，安全挑战还包括发展与安全的统筹协同问题，行业对新技术新业务的应用，需同步实施安全技术措施与监管。基于

28、 5G 安全现状和 5G-A 安全挑战，本白皮书梳理了各行业对 5G-A 安全的共性类需求，简称“五化”需求。5G-A将引领5G服务场景加速向ToB转化，网络与垂直行业的深度融合带来了从“通用安全”向“按需安全”转变的挑战，“统一接入、单一效能”的传统网络运营模式已经无法满足5G-A时代行业用户对智能网络连接的安全需求。3.2.45G安全运营5G通信网络从终端、管道、云端应用三个层面构建动态的安全防护体系，通过建立体系化的安全保障运行机制保障业务的安全运行。运营管理流程有效覆盖检测、响应、恢复的工作要求，同时能在安当前电信运营商普遍采用IPDRR（识别、保护、检测、响应、恢复）模型，建立5G网

29、络安全持续运营流程。IPDRR从以安全防护为核心的模型，转向以检测和业务连续性管理的模型，变被动为主动，最终达成自适应的安全能力。模型体现了安全保障系统化思想，通过管理与技术结合的方式有效保障系统核心业务的安全。全事件中形成知识总结，识别资产风险，优化保护能力，降低运营风险。3.35G-A安全需求(1)安全纵深化5G-A需要将现有的边界防御升级为纵深防御体系。5G-A通过在切片间、网络间、网元间各环节上设置多层次的安全防御措施，从而形成一个纵深的防御体系。当攻击者突破其中某一层安全防御时，仍然有其他层面的防御措施进行保护，从而有效提高网络安全的整体水平。但是实施纵深防御战略永远不能忽视边界，物

30、理边界为网络安全防护提供了第一层也是最重要的一层防护。(2)安全动态化5G-A需要将现有的静态防护升级为全局动态防护体系。为有效应对新的攻击手段及新型安全威胁，5G-A安全防护手段必须向智能化、动态化防护方向演进。用户身份、信令、流量、资产等关键数据要素在全生命周期流通过程中，访问用户权限、数据权属、访问行为等都在动态发生变化。因此，安全体系需对用户身份和权限进行动态评估和识别，同时对数据资产也要进行动态梳理，并对数据的访问行为进行动态监控，实现智能化、动态化、体系化安全防护，构建“梳-管-控-监-评-溯”的动态防御体系模型。(3)安全软件化5G-A需要提供按需、敏捷、可编排的安全能力。软件定

31、义安全将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。(4)安全可视化5G-A需要提供安全资产以及异常信令、流量、数据的可测、可知和可视能力。通过对网络中各类安全数据的收集和分析，及时发现潜在的安全威胁；通过数据可视化，将安全态势感知以图形化的形式展示，使得复杂的数据变得直观可见，并挖掘呈现安全事件之间的关联性。(5)安全自动化5G-A需要自适应、自学习、自决策的自动化安全能力。在泛在、异构、跨域的终端实时产生海量的网络认证、信令、

32、流量和日志，5G-A需引入大数据和机器学习，从大量的安全事件中评估安全基线，识别信令攻击、流量攻击等安全威胁，并运用自动化安全能力编排，提高网络安全防御的效率和效果。3.2.35G安全防护这种补丁式、被动式、外挂式的安全防护，网络安全风险等级只能通过静态方式评估，通过网络价值、安全漏洞、安全事件的发生频率等因素粗略的对网络风险状态进行评估，对网络正在遭受的攻击无法目前5G网络部署的典型网络安全产品，如区域边界安全类的防火墙、网络入侵检测，安全防护大多仍是从防御者视角为出发点，通过为内网及关键业务建立起“围墙”抵御入侵。对数据及流量的安全防护产品，如全流量、DPI、防火墙、IPS等产品提供南北向

33、、东西向的边界监测和防护能力，并未深入系统内部。针对5G网络的安全防护还是以“堵漏洞、筑高墙、防外攻”的静态、被动的边缘安全防护体系为主，综合采用防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏洞修补等多种手段构筑“堡垒”式的刚性防御体系，阻挡或隔绝外界入侵是静态分层的“深度防御”，难以抵御未知攻击，5G网络新技术、新特征带来了新的安全风险与挑战，主要体现在实体网元变为虚拟化软件、物理资源共享、设备安全边界模糊、开放端口成为数据泄露的脆弱点、多样化终端的安全能力差异大等，容易成为新的攻击目标以及新业务场景下安全责任归属问题等。且存在自身易被攻击的危险。做到动态的实时检测与防护。14 /5G

34、-A安全白皮书 /155G-A安全白皮书045G-A安全架构5G-A SECURITYARCHITECTURE4.1考虑因素回顾移动通信网络的发展，移动安全架构经历了革命性的变革。1G基于模拟传输，容易被窃听、拦截和克隆。2G引入数字调制技术提供基本的安全机制，比如网络对终端的单向鉴权、数据和信令的机密性保护。3G引入了网络和终端之间的双向认证机制，改进了2G网络单向认证的局限性，并引入了信令的完整性保护。4G引入了安全强度更高的加密和完整性保护算法。5G采用了更高效、更安全的机制，比如用户面完整性保护、统一认证框架隐藏用户标识、切片间协议隔离、漫游的二次认证等。架构的开放、新技术的引入、云网

35、的融合、各行业场景的渗透，不可避免的将其原来面临的安全风险交织到一起，安全问题复杂且充满不确定性。尽管5G标准层面相比4G已做了诸多考虑，但从市场诉求尤其是各垂直行业诉求和实际建设验证来看，5G-A网络还需要进一步的增强安全性。首先，5G-A需逐步提升现有5G网络安全性。在安全架构方面，5G网络及相应的安全架构是单一中心化架构，在对异构/子网络、IoT网络等支持方面，存在扩展性、管理能力、性能等方面不足。在安全防护方面，3GPP在5G安全标准方面，重点针对接入认证、空口保护、密钥管理、网络域、服务化架构、漫游等空口及核心网内置了基础安全能力，但安全机制主要限于保障网元和通信安全。同时，5G的虚

36、拟化、云化、逻辑切片等技术导致安全边界模糊，基于设备物理位置和网络连接的传统接入安全防护，难以满足多移动性接入安全的防护需求。并且设备安全能力参差不齐，易出现安全短板。边界安全防护各自为战，未形成有效协同。可见，传统安全防护存在防护策略静态、防护方式被动、安全数据单一、只能基于已知问题等局限性，已经难以满足5G-A时代策略动态调整、内生主动免疫、威胁情报联动、智能决策等新需求。第二，5G-A需满足新型业务场景的安全需求。相比于现有版本，5G-A面向ToB垂直行业应用，应具备对个人物联网（PIN）、新型无源物联网、测距与定位、近域通信（ProSe）、增强型专网、无人机（UAS）、NGRTC以及通

37、信感知一体化、星地融合的服务保障能力。相应的，5G-A网络需构建云边协同的内生智能安全防御系统，以海量行业设备的安全接入为切入点，可信基础为核心，软件定义边界为抓手，构建云-管-边-端业务全生命周期安全管理和服务体系。同时要坚持国产自主技术路线，确保安全自主可控。第三，5G-A需考虑逐步融入新型安全技术。移动、云化、大数据、人工智能等技术赋予了未来5G-A网络强大的计算能力和智慧。与此同时，安全的技术和新理念也层出不穷，零信任、软件定义安全、云原生、安全接入边缘服务等如雨后春笋般出现，传统的补丁式防御分散不成体系，远远不能发挥单项技术的潜能，也无法将新技术轨范在一个健康正向的发展道路上。因此，

38、5G-A需从顶层设计出发，建立“以一应万变”的安全体系。4.2设计理念针对新场景所面临的安全挑战，5G-A网络在提供高可靠的通信能力、高可用的服务能力的同时，还应当提供高可信的安全能力。5G-A将安全与网络进行一体化设计，从顶层规划、关键组件、能力定义等各个层面均与网络同步构建，提出覆盖5G-A网络端到端的架构级安全体系，灵活加载所需的安全技术，且具备可扩展的演进能力，才能应对网络面临的已知和未知的安全需求。本白皮书提出构建“内生、纵深、智能、自治”的5G-A可信网络安全理念，具备以下特征：(1)安全内生通信网络的发展伴随着新业务、新架构、新技术的出现，CT领域的数字化建设安全保障需求增加，安

39、全性要求也更高。因此需要构筑内生安全能力，设备通过自身的功能、架构和运行机制，形成自带的安全能力，并随着业务的发展持续调优提升。5G-A网络内生安全能力将在5G基础上进一步丰富，突出安全的内在属性，与业务强相关。5G-A考虑设计系统层、数据层、轻量化安全等能力；基于密码、量子QKD等技术增强数据安全能力，解决在特定场景下鉴权认证、高速密钥协商、提升CIA强度、网元通信等安全需求在性能与效率的平衡。(2)纵深防御5G-A通过自身防御能力的不断进化增强，提升自身健壮可信性，有效降低未知威胁造成的影响。5G-A引入区块链技术构建基于分布式技术实现信任体系和溯源体系，进一步推进深层的全网一体化，以实现

40、系统的防篡改能力和恢复能力。引入零信任技术，持续进行访问认证和安全控制，对网络进行精细化可视化管理，将传统的边界物理防御升级为端到端的纵深防御体系。(3)智能演进5G-A网络各层嵌入AI和分布式机器学习，从被动防守向主动防御转变，具备“自主感知、自主检测、自主防护”的主动免疫能力。采用联邦学习技术，通过快速的学习和训练，可以更加准确的对网络流量与行为异常进行检测、回溯与根因分析，为网络建立端、边、网、云智能主体间的泛在交互和协同机制，准确感知网络安全态势并预测潜在风险。边界、网元等安全能力将向智能和协同方向深化，实现主动安全防御和安全风险自动处置。(4)弹性自治5G-A网络安全具备内生弹性可伸

41、缩框架。安全能力随业务的变化动态调整，能自我发现、自我修复、自我平衡。5G-A基础设施具备安全服务灵活拆分与组合的能力，通过软件定义安全技术，构建随需取用、灵活高效的安全能力资源池，实现安全能力的按需定制、动态部署和弹性伸缩。5G-A通过安全引擎实现统一的安全能力编排，并对云和网调度编排，实现安全资源自动分配、安全业务自动化发放、安全策略自动适应业务变化、网络高级威胁实时响应防护等能力，多网元、多层次协同保障网络安全，实现安全策略集中管理和编排。16 /5G-A安全白皮书 /175G-A安全白皮书4.3安全架构5G-A安全架构的设计理念强调安全防护是一个内生嵌入、外部持续处理循环的过程，基于自

42、适应安全架构，实现防御能力、检测能力、响应能力、预测能力的生成和协同，构建自主安全免疫能力，形成网络一体化安全服务。架构通过标准化的接口执行对外的安全服务和对内的能力调度，以此使得安全形成外部界面极简统一、内部能力可编排可协作的框架。5G-A网络安全总体架构是“三体四层”的分层架构。图4-1：“三体四层”的5G-A网络安全总体架构5G-A网络安全架构从多个视图考虑，多个维度设计。本白皮书从空间视图和功能视图阐述了“三体四层”的5G-A安全总体逻辑架构。“三体”是空间视图：描述5G-A云网安一体化的宏观交互，分为网络安全体、网络与安全互编排体和能力开放体。“四层”是功能视图：描述5G-A云网安一

43、体化的逻辑组织，分为云网安基础设施层、基础型内生安全能力层、增强安全能层、安全运营管理层。(2)网络与安全互编排体网络与安全互编排体是5G-A MANO（网络管理与编排系统）与安全能力管理编排系统之间的标准化接口，实现网络与安全在基础资源、能力、数据等维度的双向开放和调用。(3)能力开放体能力开放体是5G-A网络和安全能力对第三方应用开放的安全框架。基于网络数据分析功能（NW-DAF）和网络能力开放功能（NEF），5G-A网络、业务以及安全能力安全可靠的开放给第三方应用，为第三方应用提供个性化的服务及安全保障。这种业务能力的开放必须经过安全封装，包括向租户开放的网络能力必须经过授权，不同的授权

44、访问不同的能力，并持续的认证与审计，保障用户隐私和数据安全。云网安基础设施层：5G-A网络云与安全能力池协同部署。云间网络从基础连接向算力与安全能力调度扩展，安全能力池为5G-A新的网络能力提供集中、近源、共享的分布式安全底座。基础型安全能力层：从网络架构、空口防护、隐私保护、加密算法、通信协议、可信路径等多维度建议了5G-A内生安全能力，保障网络各要素之间的通信安全。增强型安全能力层：5G-A为了满足运营商和垂直行业对网络的定制化安全需求，在5G通信系统范围外，为网络通信、业务和应用引入的增强型安全技术。安全运营管理层：5G-A网络与安全服务进一步向平台化、智能化、开放化发展。通过向运营商和

45、客户提供5G-A网络资产测绘、网络数据分析、实时安全态势感知和自动化响应等平台能力，实现通信、感知与安全服务的有机融合。网络对安全的编排：基于互编排接口，MANO获取网络安全态势和威胁情报数据，通过网络安全体的原子能力编排模块，下发安全策略，自动化调用IPDR安全能力。MANO可将安全能力设置为安全网元（SF），解决了MANO无法感知和编排云化安全能力的问题。安全对网络的编排：基于互编排接口，网络安全体的安管平台获取网络侧的信令、流量、负载、日志等网络运维数据，结合大数据推理和网络安全基线，智能化预测诊断信令风暴、恶意流量等DDoS攻击，启动相应安全响应机制，并通过MANO同步编排5G-A网元

46、和云资源，实现网络、业务与安全的机制融合。(1)网络安全体网络安全体是安全和服务的载体，基于5G-A网络与安全的统一云化基础设施底座，通过安全中台纳管标准化和定制化安全原子能力，提供集中编排、灵活调度、弹性伸缩的安全服务。网络安全体包含“四层”：18 /5G-A安全白皮书 /195G-A安全白皮书4.4核心特征(1)云网安一体通信网络与安全均向着IP化、云化、服务化的方向持续发展变革。5G-A采用云化网络与安全逻辑一体、物理分布部署。网络编排层与安全编排层通过标准API实现数据共享、能力调用。通过安全能力池化、原子化、安全服务编排化的方式。安全能力与5G-A定制网紧密结合，满足垂直行业安全风险

47、分析研判和快速响应部署安全能力的需求。(2)分布自治5G-A的演进目标是“集中式+分布式自治域”共存的网络安全架构。集中式安全网络除了提供集约化的身份认证、业务鉴权外，还提供安全能力统一纳管编排、威胁流量统一研判、全网安全态势一体呈现等；分布式自治域安全网络指的是构建一个独立完整的网络，在自治域内实现网络的运维管理、终端的接入管理，及用户数据不出园区的安全管理，通过打造各个自治域实现网络的进一步扁平化和自运维自管理，满足各行各业个性化需求。(3)软件定义软件定义安全是通过软件来部署、控制和管理信息安全的新模式，它既具备可信系统、入侵检测和预防、网络微分段等能力，同时也具备对硬件的安全依赖性最小

48、的能力。面对5G-A威胁流量检测、未知威胁实施分析建模挑战，通过流量探针等技术采集流量，分析后，采用策略下发的方式要求防护系统拦截威胁流量，满足动态、闭环的安全防护的需求，尤其适用在垂直行业这类运营商提供基础设施，企业使用的场景。(4)智慧内生5G-A将安全由外挂式向内生式转变，包括安全内生、AI内生。面向多域融合、连接泛在、资源异构的5G-A网络，增量式、补丁式的能力增强难以满足大规模组网下的多样化、多元化服务需求，需要将安全、AI等核心技术能力内置在5G-A架构中，并渗透到各领域、各网络、各单元的全生命周期中，通过内生设计实现安全、AI等核心技术能力与通信网络最深程度的融合。综上，电信运营

49、商基于5G-A安全框架，通过网络内生安全能力、协同安全能力池、智慧安全运营中心，实现智能检测，处置闭环的联动防护，提升主动安全防御能力以及安全运维效率。5G-A网络与安全编排体系深度协同，融合开放，为5G-A业务和应用提供一个智能闭环处置的安全运行环境。5G-A安全关键技术与5G-A安全架构相对应，以云网边端安协同为特征，以身份认证和访问控制为核心，初步构建一个端到端、分层、闭环和持续运营的安全技术体系。基于软件定义、零信任等技术构建接入与边界安全能力，基于NFV、SDN、服务链编排等技术构建池化安全网元；基于密码、量子QKD等技术构建数据安全能力，基于智能化分析、态势感知与自动化响应等技术构

50、建全网安全联动能力；基于Ai、资产安全、联邦学习安全构建全网免疫能力，并与网络侧编排联动，支持向网络及第三方能力开放。5G-A SECURITYCRITICAL TECHNOLOGY055G-A安全关键技术图5-1：5G-A安全关键技术总览5.1云网安基础设施关键技术感知、连接、通算、智算、存力是5G-A网络与安全的基础设施关键要素，为切片网元与安全原子能力的全域感知、灵活部署、互通协同、按需组合、敏捷响应提供云网融合的资源支撑。5G-A网络与安全基础设施向融合、统一的云化技术底座持续演进，依据业务需求提供虚拟化、容器、裸金属、超融合的各类承载形态。20 /5G-A安全白皮书 /215G-A安

51、全白皮书5.1.1网络云化基础设施分布泛在的算力部署、多元异构的算力资源、统一调度的算力供给、敏捷的网络云原生体系是5G-A新型基础设施架构创新的主要方向。网络向以用户和数据为中心演进，支撑确定性转发、分布式控制协同、场景化定制、内嵌AI以及工业控制领域可靠性等需求。网元向软硬一体、存算网一体化演进，突破虚拟化的性能瓶颈，兼顾灵活性和性价比，拓宽应用边界，应对云、边、端和多行业场景的灵活部署需求。基础设施自带安全能力，随业务的发展持续调优提升。5G-A云化基础设施以调度体系为核心，深度融合网络、算力和存储等资源，实现信息通信资源的智能调度和优化利用。通信网络向软件定义网络持续演进，先后经历三个

52、阶段：虚拟化阶段、云化阶段和云原生阶段。电信运营商一般起步于虚拟化阶段，正在经历云化阶段优化，并同步向云原生阶段演进。图5-3：网络云化演进图5-2：5G-A新型基础设施架构网络云原生将云原生理念与技术体系应用于5G-A网络中，其应用包括网络功能和运营运维支撑系统。网络云原生基于微服务架构进行应用设计与开发，使用容器进行应用承载与编排，采用DevOps打造开发运维一体化管理体系。国内外电信运营商推动网元容器化实现，引入服务化架构、微服务和容器等先进技术，对5GC进行全云化重构，推进三层解耦、无状态设计，目标是构建弹性、健壮、敏捷、安全的全云化5G-A网络。2019年，中国电信完成支持承载电信网

53、元PCRF的云原生平台的研发，并在物联网进行试点落地；2020年，在天翼云上部署了基于云原生的轻量级5GC，可向垂直行业提供“5G网络即插即用”的专网级网络服务能力。图5-4：安全能力池总体架构5.1.2安全云化基础设施为满足5G-A用户对等保合规、敏捷按需、防护能力多层次的安全需求，在运营商云网融合的技术驱动下，安全能力池应运而生。安全能力池主要面向5G终端、客户业务平台与应用、行业专网/专线，提供统一管理、智能联动、按需调度的安全服务。安全云资源可与5G-A网络云同底座部署，采用云边协同架构、自动化云端部署安全防护能力，通过虚拟化、软件化、服务化的安全能力为用户提供实时安全保障，极大地提升

54、了安全能力的使用效率，降低了使用成本。中国电信安全能力池已完成199个全节点建设，骨干网覆盖100%，城域网覆盖49%，涵盖了全国31个省份的150个城市，承载10多类共计30项安全原子能力，实现了端到端的流量调度监控处置能力。如图所示，安全能力池分为上、中、下3层架构，分别为安全能力管理平台层、安全业务中台层和资源池层。22 /5G-A安全白皮书 /235G-A安全白皮书安全能力池的系统架构具有集中、近源、共享等特点：集中：安全能力池通过安管平台对所有线上资源池集中统一纳管，提供SaaS化服务，提高运维效率。近源：资源池结合边缘云技术与电信运营商的大网优势实现了近源流量安全防护，将业务流量引

55、导到距离防护目标最近的资源池内，经过多种安全防护能力检测、网络安全威胁清除后将流量回注给被防护对象。共享：SaaS化原子能力在共享模式下实现了同一服务点下多租户共享虚机集群。每个虚机集群部署一类服务，不同租户间通过逻辑隔离，共享模式具有成本低、效率高和资源利用最大化等优势。安全能力池的关键技术包括流量调度与服务编排、原子能力统一纳管。(1)流量调度与服务编排传统资源池使用基于策略的路由（PBR）进行流量调度。针对运营商级别的大网流量牵引调度，该方式会占用路由条目项，配置繁琐，速度慢，规模部署将难以维护。为使网络与云池有机融合和统一调度，安全能力池创新性的采用了流量调度与服务链编排技术。在系统需

56、要流量调度的情况下，资源池通过自主研发的Flowspec控制器来修改路由的下一跳地址，从而将流量牵引至距用户最近的池子，进而提供安全防护。流量进入云池后，针对云资源池内的原子能力编排，安全能力池使用基于SRv6的端到端引流方案。资源池将原子能力所在虚拟机的IPv6地址定义成实例化的段标识（SID），通过操作不同的SID，实现路径规划。资源池利用SID包头压缩技术，在保持对128 bit SID兼容的同时，删除SID的冗余信息并将其压缩为32 bit，在支持原有硬件设备图5-5：安全能力池流量调度的同时具有更高的传输效率和转发性能。针对以上问题，安全能力池在安全能力管理平台和底层资源池之间引入分

57、布式高可用的安全业务中台。中台通过统一规范的接口为上层平台侧的扩展提供便利，并面向多安全厂商异构设备提供标准化接口，使得安全能力池能够实现跨厂商安全原子能力的统一纳管。安全中台提升了业务的灵活性和高效性，打破了各厂商间安全设备难以互通的孤岛形态，建立了可信任的安全联动体系。标准化接口规范的推进和安全能力的适配，为5G-A云上安全可信生态的构建奠定了基础。(2)原子能力统一纳管安全能力池通常涵盖大量资源池底座与多种原子能力。传统资源池每引入一种新型原子能力都需要大幅度改动系统，因此存在交付效率低、系统维护困难等问题。安全能力池有数千台硬件服务器，原子化后的安全能力组合方式呈指数级增长，因此如何快

58、速纳管安全原子能力以及不同云下的资源池成为系统能否高效运行的关键。图5-6：安全能力统一纳管24 /5G-A安全白皮书 /255G-A安全白皮书5.2基础型安全关键技术基础型安全技术与网络、业务流程深度融合，体现为标准化、内生化。安全元素基于云网安基础设施，内嵌于边界、网元、通信协议，是5G-A提供通信安全的核心能力，同时也为5G-A网络提供安全防护。安全技术随智能化发展演进，与网络与应用融合一体，具备自学习、自生长、自适应的特征，并将反向促进网络架构的演进与变革。5.2.1SBA安全增强随着服务化架构的演进以及云化部署新场景的应用，对5G-A网络都可能带来新的安全漏洞，从而影响移动通信网络的

59、安全稳定。特别是针对存在SCP、IPX等中间代理类实体的场景，5G-A网络对这类实体的信任关系，不仅仅要考虑安全性的增强，还需要考虑部署成本等因素。5G-A网络内明确了NF，NRF，SCP，SEPP之间的信任关系，主要包括：5.2.2隐私保护增强5G-A的新特性对数据安全带来了新挑战。首先，5G-A带宽和连接能力的提升，带来了数据量级的增长。5G-A支持10倍于5G峰值速率和连接密度，数据流量大幅增加，数据加密、数据防泄漏等安全防护措施需有效满足网络场景。第二，5G-A数据跨域流动的加快，带来了数据动态性的增加。5G-A在深度赋能垂直行业的同时，加速了数据从终端、运营商网络、企业网络和应用的流

60、转，数据安全治理重点将由原来静态的数据存储系统防护转变为动态的数据流动全生命周期风险管控。(1)同一个PLMN内的信任关系5G-A网络明确了间接通信时，其他核心网网元对SCP的信任关系。注册管理阶段，NFp需要确认SCP转发的NFp配置文件未修改，并且没有其他NF可以向SCP冒充NFp的身份。服务发现阶段，NFc需要信任SCP能正确的将经过NRF身份验证的NFp的相关信息转发给NFc。访问令牌请求时，SCP需要得到NFc和NFp的信任，以便转发身份令牌或CCA与原始请求。此外，如果SCP与NF合设，则SCP和NF有相同的信任级别；如果SCP是独立的，则SCP与NF之间的通信应使用安全协议。(2

61、)跨PLMN的信任关系5G-A网络中发送PLMN中的SEPP需要信任接收PLMN中的SEPP，即路径上的其他实体（如IPX，RVAS或roaming hub）没有未经授权的访问，并且按照协商策略修改信令消息。5G-A网络中SEPP仅代表自己的PLMN转发请求。特别的，在访问令牌请求过程中NFc需要信任cNRF以便获得另一个PLMN中的NFp的访问令牌。随着社会和国家对数据安全和隐私保护日益重视，国家相继出台了数据安全法、新一代人工智能治理原则等法律法规指导各个行业规范隐私保护相关产品的设计开发和使用。5G-A延续了5G数据安全体系，从通用数据安全、终端数据安全、网络数据安全、业务数据安全多纬度

62、覆盖了5G-A各类场景的数据安全防护需求：通用数据安全：包括数据采集、数据传输、数据存储、数据处理、数据共享和数据销毁，涉及5G-A身份标识是鉴权认证、访问控制、持续会话的关键安全因素，也是数据的用户标签，所以基于身份的隐私保护是5G/5G-A数据安全体系的重要基础，5G-A网络重新审视各个场景下的隐私安全并对薄弱环节进行针对性增强。例如，对于漫游场景下跨PLMN的用户同意，人工智能场景下隐私数据的采集和防泄露，用户身份信息的隐藏等。5G-A中数据安全与隐私保护增强关键技术包括：网元、网络、切片、安全设备、云平台等通用基础设施资产数据安全。终端数据安全：包括终端身份的接入鉴权、终端数据的机密性

63、和完整性保护、终端数据存储加密和隔离、终端报废后的数据销毁等。网络数据安全：包括无线网数据安全、承载网数据安全、核心网数据安全、网络切片数据安全，涉及安全域划分、端到端的资源隔离、虚拟化平台安全、空口信令面和用户面的机密性和完整性保护、网络层/传输层/应用层的数据加密传输、用户数据加密存储、密钥保护和抗重放保护等。业务数据安全：包括5G-A的6类应用场景数据安全，涉及业务流量数据内容监控与识别能力、API接口安全、应用之间数据隔离、二次认证和密钥管理机制、轻量级安全算法、分布式身份认证管理等。(1)增强的用户身份标识信息保护已有的5G安全标准已经支持基于公钥密码技术对UE的身份标识SUPI加密

64、保护。然而，SUCI由于是通过公钥密码产生流密钥和SUPI异或产生的，因此SUCI暴露了SUPI长度这一特征。通过大量数据的统计信息，即有可能识别特殊人群特别是高等级人群的身份信息，造成隐私泄露。5G-A将通过随机填充特殊字符等方式，优化SUPI加密过程从而抵抗用户身份标识长度的泄露，增强隐私保护。(2)漫游场景用户同意流程5G-A网络将支持漫游场景下人工智能数据收集，模型训练以及分析结果的订阅。漫游场景扩大了数据收集范围使得模型训练效果更好，跨PLMN的分析结果的订阅也使得网络可以感知更多的信息从而优化相关参数提高用户服务体验感受。在当地法规允许的情况下，NWDAF将作为漫游场景用户同意流程

65、的执行点，通过向用户对应PLMN查询UE的签约信息获得用户同意，保证漫游场景下用户隐私安全。26 /5G-A安全白皮书 /275G-A安全白皮书(3)人工智能场景下数据和模型安全保护5G网络借助于NWDAF、DCCF、ADRF等网元实现人工智能，为网络提供切片负载分析，网络性能分析，终端移动性分析等能力，为网络优化相关流程参数提供数据支持。在5G-A场景下，人工智能新增了漫游场景、联邦学习、模型的存取等流程，这些新流程需要新的安全机制提供安全保障。漫游场景下，两个PLMN的NWDAF通过专用的服务化接口进行数据和分析结果的传递，通过令牌机制，PRINGS等已有安全机制保障服务化接口的安全。联邦

66、学习场景下将新增多个NWDAF加入联邦学习群组的授权机制，从而限制联邦学习过程数据和中间模型的分享范围。5G-A网络支持NWDAF将训练好的模型存储在ADRF中，模型可支持加密存储并授权给指定范围的NFc获取。5.2.3空口安全增强空口面临的主要安全威胁包括：非法终端在没有认证的情况下接入网络，消耗网络资源，同时攻击者可以利用非法终端对网络发起攻击；UE和基站之间的通信数据被窃听或者篡改，造成用户隐私信息泄露，攻击者利用其进行非法跟踪、电信诈骗等；恶意终端的DoS攻击，造成网络的可用性和可服务性降低，甚至造成网络设备故障。5G-A中空口安全增强关键技术包括：(1)用户身份认证和鉴权5G-A使用

67、统一的认证架构，以适应不 同 终 端 类 型 和 不 同 接 入 网 络 类 型（3GPP接入和非3GPP接入）。5G-A提供了5G-AKA认证方式，由AUSF对网络接入进行认证。5G-AKA的认证流程遵从3GPP TS33.501。图5-7：5G-A使用统一的认证架构(2)通信数据保护UE和基站之间支持信令面数据的加密、完整性保护和抗重放保护；UE与AMF之间支持信令面数据的加密、完整性保护和抗重放保护，支持初始NAS消息安全保护，支持对用户永久的身份ID加密；UE与基站之间支持用户面据的加密、完整性保护抗重放保护。(3)空口安全算法当前网络中支持的加密算法和完整性保护算法主要基于128bi

68、ts，例如：128-bit SNOW 3G based algorithm，128-bit AES based algorithm和128-bit ZUC based algorithm，随着量子攻击将实际威胁传统算法，需要开始逐步向后量子迁移，将全部替换为256bits强度的算法，预计在3GPP R19开始研究。(4)空口防DDoS攻击面对终端从空口对RAN侧基站发起的DDoS攻击，5G-A基站应具备空口数据流控机制。当基站设备受到大流量攻击时，设备流控机制可有效降低基站复位重启、拒绝服务等风险，从而提升基站设备的可靠性，确保业务持续正常服务。同时，还可以降低接入成功率和切换成功率恶化风险，

69、维持用户体验不变。主要流控机制包括：控制gNB的输出流量或通过反压对端控制接入流量；主动降低gNB的流量输出速率或通过反压降低对端的流量输出速率；识别业务优先级，抑制低优先级数据的接入等。除此之外，对于恶意UE发起的部分信令攻击进行识别（如连续的RRC连接请求攻击），阻止恶意终端的信令攻击。5.2.4终端自主接入控制网络的移动性为5G终端接入带来便利的同时，也增加了新的风险。企业合法终端和配对的SIM卡若同时被不法人员盗取，移动到非授权区域攻击网络，网络也有被非法访问甚至控制的风险。依照3GPP 29.561定义，当终端从5G-A网络接入企业专网(IP Data Network)时，核心网SM

70、F作为企业专网的接入控制点，可向终端安全管理平台发起基于Radius的认证过程，对用户终端进行自主认证确定终端是否可接入企业专网，这个过程相对于运营商对终端的主认证，被称为二次认证或者二次鉴权，如下图。5G-A核心网在建立用户会话的过程中，向终端安全管理平台发起基于Radius的PAP/CHAP认证。如果认证通过，核心网将为用户建立到企业专网的会话；如果认证失败，核心网将中止用户会话建立过程，断连用户。图5-8：企业专网二次认证28 /5G-A安全白皮书 /295G-A安全白皮书二次认证将运营商的终端访问控制策略开放给企业，增强了企业对5G终端的自主管控能力。二次认证可以实现机卡绑定、电子围栏

71、、SIM访问控制和溯源等5G终端多重接入控制，达成对园区终端接入的精细化控制，缩小网络攻击面。5.2.5网元安全增强5G-A网络面临着业务、架构、技术的变化及演进所带来的安全风险，目前3GPP标准上对网元自身的安全配置及网元间互联互通的安全进行了定义，网元已按照相关标准内嵌了这些安全能力。但网元暴露面增大，新型攻击手段不断演进，使得攻击者可以通过攻击虚拟机来获取敏感信息或者控制整个网络，传统边界设备的安全机制难以发现网元系统的入侵行为等，不能对网元建立有效的防护，已无法保障通信基础设施安全，网元成为最后防线。因此应通过在系统内构筑入侵检测能力来提升网元安全性。5.2.6承载网可信路径增强传送管

72、道是5G-A承载网的基本属性之一，负责把用户的业务数据完整的、机密的输送到目的地，保证数据的正确转发。网络设备的物理接口、设备间的物理链路、通信协议接口等都暴露在外，客观上形成了一定的暴露面，仅靠IPSec等加密技术不足以保护高度敏感业务流量的机密性，一旦某台网络设备被攻5G-A承载网将是IT和CT、连接和算力的深度融合，承载网技术正在向满足分布式云、边缘云、面向行业的差异化SLA保证(如EVPN+SRv6、广域DIP、数据中心内高性能组网)、海量泛在连接(IPv6+、Flex IP等)、计算任务驱动的算力网络方向演进。击者入侵并控制，业务流可以被攻击者劫持而后实施破解。为了更好的保护数据传输

73、安全，网络需要建立安全、可信赖的转发路径，经过的每台网络设备都可以被评估和验证其可信度，以设备可信为基础，通过物理层、协议层安全机制建立安全连接，保护协议安全、路由交互安全、流量转发安全，保证用户业务流。网元通过内置入侵检测能力，对系统的各类行为进行实时监控（例如：进程启动、文件删除等），将信息上报给安全管理单元，对异常行为进行分析，进而判定行为是否存在异常/恶意入侵并与业务资产关联。检测典型的攻击行为如：非法超级用户、文件权限提升、shell文件篡改、关键文件异常篡改、rootkit攻击、异常登陆检测、暴力破解检测等。网络一旦检测到某台网络设备被攻击者入侵，设备变得不安全，转发路径变得不再可

74、信。基于路由计图5-9：网元入侵检测算，需要重新建立一条可信路径继续传输业务流量，保证业务的机密性、完整性。技术原理：以“建立一条可信路径”为例，基于设备可信评估/等级，路由计算调整转发路径，保证数据传输的路径可信，步骤如下：图5-10：可信路径传输设备可信证据上送：网络设备上送可信证明信息到可信评估单元，包括三方证明、软硬件完整性，数据机密性状态、设备唯一身份证明、版本漏洞修复状态等。设备可信评估：可信评估单元基于设备的可信度声明对可信证据进行评估，验证上送证据和可信度声明基线一致性。设备可信评分/等级：可信评估单元给出设备的可信评分或信任等级，如可信、一般信任、不可信等。路由计算加入可信因

75、子：控制器收到可信评估单元发送来的设备可信等级，如不可信，控制器将不可信的设备排除出路由计算，并重新计算路径，进行路径调整，调整后的转发表重新发送给网络设备。基于可信因子调整转发路径：按照最新转发表项指导数据转发，绕过不可信的网络设备。1234530 /5G-A安全白皮书 /315G-A安全白皮书5.2.7报文身份可信增强未来5G-A网络将打破当前“外挂式”的安全现状，具备完整的、内生的安全可信能力。在物联网、移动化、BYOD等趋势下，远程办公、设备的高移动性打破了网络物理边界，基于位置、IP等的安全策略不再适用。一方面，传统认证协议“先连接、再认证”的方式易受DDoS攻击，需要高效的随路身份

76、验证技术；另一方面，传统基于鉴权元组的策略过于粗糙、静态，难以适应差异化安全需求和动态的安全态势，需要灵活的精细化访问控制。5G-A报文内生可信通过终端在数据包头携带自身的可信身份与权限标识，提供逐报文随路的安全校验能力和高精度的权限控制，进而实现极简、高效的安全通信。5.2.8行业专网安全增强5G-A进一步提升专网的高可靠性（99.9999%）、高可用性、高精准授时、高精度定位等能力。5G-A需要满足垂直行业通信与应用对内生安全的适配需求。(1)随路身份验证现有协议将身份与IP地址绑定需依赖外附的表映射，导致追溯时延大、准确性依赖于表查询等问题。将在发送的业务报文头中嵌入可信ID与认证消息，

77、物联网关或其他路由设备可以提前获取认证服务器分发的密钥，以支持业务报文的逐包随路验证，确认业务报文源设备身份的真实性。高效源验证码生成算法，配合轻量密钥派生与高性能校验算法，支撑起网络设备对报文身份的高效校验。(2)随路访问权限验证现有网络根据五元组数据包无法判断某一源设备是否拥有权限访问某一目的服务器，通常需要在权限校验点配置IP地址对应的权限或访问规则，配置成本巨大。随路权限认证通过在报文中内嵌权限验证信息，支持网络设备逐包验证，实现数字身份一网通；同时，权限按需授予和使用，可以消除历史权限误用，避免无关权限滥用，实现灵活可“伸缩”的权限控制；此外，具备内生验证能力的网络设备仅需要配置一个

78、密钥就可以实现数据包的权限验证，可以支持快速部署。(3)随路抗DDoS越来越多的5G-A应用将部署在数据中心或者云上，金融、游戏等业务需要网络提供高效的DDoS攻击防御能力，现有黑洞、流量清洗方案效率低、成本高。考虑到IP地址属于网络中节点的全网唯一性标识，通过在IP地址中内嵌可验证ID，端侧在数据包中填充IP地址时自然内嵌可验证安全信息，使5G-A用户面验证点可以高效地识别合法和非法流量，快速过滤非法流量，无需额外的协议栈开发与支持，对现网影响达到最小。(1)高可靠性安全行业应用普遍对5G网络可靠性提出确定性要求，如电网差动保护、港口岸桥远程控制、桥式起重机远程操纵等。5G-A的高可靠性增强

79、技术包括PDCP复制、混合自动重传请求（HARQ）重传、智能自适应调制编码（AMC）控制重传和低码率MCS调整等。涉及的安全增强技术主要是PDCP复制安全，即确保PDCP数据和复制数据均使用相同的加密完保策略和密钥。图5-11：基于载波聚合PDCP复制或双连接PDCP复制(2)高可用性安全高可用性是行业应用的基本要求：一方面通过设备和链路冗余提高可用性；另一方面，要确保在通信链路断开后，仍能继续保持业务连接。如图所示，当矿山场景的井下基站与地面核心网的连接（N2、N4）断链时，为了保持业务连贯运行，井下用户终端的正常业务不受影响，基站需要启动5G-A控制面（NG-C）断链业务保持功能，并且要求

80、业务不断、安全不断。由于对用户的安全控制管理是在核心网进行的，因此当基站启动断链保持时，基站也要增强对用户的安全控制管理。例如，在下沉的UPF/MEC部署一个5GC控制面代理服务，支持终端呼叫等控制面功能，5GC代理服务能跟井上的5GC进行信息同步，基站检测到控制面断时，通过备用偶联接到NE的5GC代理，实现孤站自治。这样可以保持存量业务，同时可以新接入业务，达到L2级安全。图5-12：5G-A控制面断链业务保持功能示意32 /5G-A安全白皮书 /335G-A安全白皮书(3)高精准授时安全随着5G工业互联网产业需求的迅猛发展，通过5G-A空口实现业务到UE侧高精度时间同步成为业务系统的基础性

81、需要。当前3GPP R16/R17中缺少时钟源故障的容错机制，例如：GNSS卫星故障，将导致5G网络失去高精度时间同步能力。5G R18使能5GS对故障进行感知并上报，RAN或UPF将作为时钟源，维持整个网络的高精度时钟同步正常工作。首先，TSCTSF（时间敏感通信时间同步功能）通过U面（OAM）或控制面获取RAN/UPF 的时钟同步信息；然后，RAN/UPF切换到备份时钟源，维持5G网络时间同步服务能力；最后，TSCTSF 通知AF时钟同步状态发送改变。5G高精度目标是使能5GS感知授时服务的时钟源故障并上报，同时触发5GS基于签约、配置和性能等要素切换到备份时钟源，例如在卫星授时服务异常时

82、提供5GS时钟作为备份，使能5G网络需具备容错能力与服务弹性，可提升5GS可靠性、灵活性。(4)高精度定位安全5G-A大规模天线、大带宽的关键技术和算法突破，使得厘米级的高精度定位成为可能，不仅能保障室内室外的无缝覆盖，还具有强大的通信能力。因此，高精度定位是未来位置服务的主要手段。5G-A空口定位的安全性增强主要是对定位数据的保护，需要严格定义数据访问权限，防止非法访问、防DDoS攻击等。同时位置计算的定位引擎是高精度定位的核心。连接基站、网管和业务平台需要采用不同的网络平面进行隔离，以保证网络安全，如图所示。图5-13：5G-A高精度授时安全图5-14：5G-A空口定位结构图5-15：5G

83、行业应用数据分流示意图(5)数据分流安全5G基站集成的数据处理引擎可实现园区业务的本地分流。这不仅使园区业务就近得到处理，提高业务处理的实时性，还可满足园区业务不出园的安全需求。数据处理引擎可以根据业务部署的需要灵活支持IP由于ToB业务本地处理需求强烈，客户普遍提出5G-A网络需要保证数据不出园的安全需求。5G-A网络通过下沉部署园区专用的本地分流网关来解决数据在本地处理的问题，可根据业务场景的需要选择基站内置分流功能或UPF作为本地分流网关如图所示。五元组/域名服务器域名、切片标识以及PLMN数据分流机制。5.3增强型安全关键技术增强型安全技术是基础型安全技术的重要补充，体现为场景化、定制

84、化。安全元素基于云网安基础设施和基础型安全能力，可灵活采用网络内置、解耦、软硬一体等形态，满足垂直行业的差异化安全需求。同时，增强型安全能力充分结合前沿安全技术，为6G网络与安全提供前瞻性技术试验与布局。34 /5G-A安全白皮书 /355G-A安全白皮书5.3.1多模态接入安全多模态网络技术研究的目的是在先进无线通信网络环境下，应用多模态机器学习技术，以提升网络整体的安全运行效率，是5G-A网络安全技术演进的一个重要方向。通过在5G-A网络的基础设施中引入多模态机器学习技术，赋予网络集通信、感知、计算于一体的能力，构建一个具备核心网、承载网、无线网及终端4个维度的智慧网络安全防护体系，如图所

85、示，以满足5G网络多样化部署形式及差异化部署场景的安全防护能力需求。图5-16：5G-A多模态网络安全防护体系(1)无线信号环境模型构建与智能波束管理5G-A可在无线网络建设中引入多模态机器学习技术，构建区域内的无线信号环境模型，形成区域内的用户接入状态的态势感知，实现区域内的无线信号环境的多维度呈现。基于无线信号环境模型，充分利用5G-A无线网网络空分复用技术优势及基站的智能波束管理系统，根据实际用户需求，实时调整无线信号覆盖区域，从而达到优化行业用户接入体验，降低站间信号干扰的目的。(2)智能路由与网络态势感知多模态网络的智能路由技术以SDN和NFV技术为基础，实现控制层面与传输层面的能力

86、解耦。通过构建一个以IP路由为基础，配合内容标识、身份标识、空间标识等多模态信息的智能化路由寻址模型，从根本上突破传统网络的寻址机制瓶颈，满足5G-A网络差异化的业务需求。基于实时更新优化的智能路由模型，可实现对于网络整体态势的实时感知，部署网络安全传输设备，建立智能化安全防护模型，形成针对用户的恶意访问行为的精确感知，从而构建一个集网络安全态势感知、数据安全智能路由、恶意行为告警及网络安全防护功能于一体的传输网络安全体系，从根源上杜绝如DDoS等恶意行为对5G-A网络造成的安全隐患。(3)终端行为感知与管控5G-A超大规模的终端接入能力必定伴随着由挟持终端发起的DDoS攻击的风险。因此，终端

87、行为的感知与管控能力是mMTC场景下必不可少的安全防护能力。通过在网络侧收集终端用户的行为信息，充分利用多模态机器学习技术针对多源数据的辨识能力，训练一个具备识别用户实时状态的终端行为的管控模型，从而在网络侧形成针对终端异常或恶意行为的感知、识别、管控的一体化能力，进一步提升5G-A网络的运行效率，增强网络的可靠性。(1)5G-A区块链核心特征构建多模共生的5G-A信任体系，核心是打造基于共识的信任模式。共识信任模式的底层逻辑可基于区块链技术。5G-A区块链是5G-A和区块链结合后的全新定义：(4)网络的智慧化安全运营管理通过充分利用多模态网络通信、感知、计算一体化的能力，可在5G-A网络的各

88、个层面构建完善的安全防护体系。以上述安全防护能力为基础，进一步利用多模态机器学习技术的多源感知辨识能力，构建一个网络的智慧化运营管理系统。通过对各个维度网络安全态势的总体感知，统筹协调各个维度的安全防护策略，最终实现终端业务权限管控、无线网络智能化干扰消除、传输线路智能化路由的一体化智慧运营管理系统。在最大化各维度的安全防护能力的同时，显著提升网络的运行效率、安全能力及可靠性。5.3.2区块链信任体系区块链作为一种全新的信息存储、传播和管理机制，以“去中心”的方式实现数据和价值的可靠转移，建立多方共识的信任模式区块链的技术特征，可为5G-A网络安全可信管理，构建信任联盟提供了新的技术支撑。图5

89、-17：多方共识模式区块链基础设施。5G-A区块链的基础设施为5G-A底层网络，将基站、核心网等移动通信网络节点作为区块链的基础设施节点，网络能对具备区块链能力的节点进行统一调度和管理。区块链赋能。区块链服务于5G-A业务，基于区块链为业务提供安全的互信互享平台，业务也会因为区块链的引入需要重塑业务流程。节点异构、通信统一。通信节点的计算能力、存储能力、算力类型不同，所能够支撑的链节点能力也有不同，链的部署和调度依据5G-A通信节点的能力进行灵活匹配，通过网络统一的协议栈进行灵活控制。36 /5G-A安全白皮书 /375G-A安全白皮书跨域互联多方信任。随着5G-A网络逐步的深入各行各业，5G

90、-A网络可存在多个管理实体，各实体分别掌控所管辖范围设备、系统、终端等资产以及用户身份，存在多个信任域，并需要实现域间协作。跨域互联场景，既需要管理网络设备、支撑系统等跨域互联资源的身份，也需要管理使用跨域业务的用户/终端身份。身份管理的主要难题在于信任凭证的跨域传递、多方信任凭证管理。区块链去中心化信任对等网络等特征，为该场景信任凭据跨域传递提供了有效身份管理方案。海量终端分布式认证。随着5G-A连接数量的指数上升，对于单一信任的业务，如果由中心化平台集中认证，海量终端接入将给中心化的平台带来巨大压力，采用区块链技术可将用户进行分区管理，用户就近通过分区节点进行验证，形成分布式管理和验证架构

91、，缓解海量终端接入带来的冲击。(2)5G-A区块链关键技术5.3.3量子加密通信传统的公钥密码学，如RSA、ECC、DH等，主要基于大整数素因子分解、离散对数、椭圆曲线上离散对数等数学难题而设计。这些基于数论问题的公钥密码体制在经典电子计算机上被认为具有可证明安全性。量子计算对于基于计算复杂度的现代密码学带来的潜在安全威胁已引起了全球性的广泛重视，美国国家标准和技术研究院（NIST）、欧洲电信标准化协会（ETSI）等机构进行了评估，其结论如下表所示：虽然大规模量子计算机的实现可能还有数十年的时间，但它对当今信息安全的潜在威胁不容忽视。对于窃听者而言，他可以将当前发生的通信流量记录下来，直到量子

92、计算机成功的那一天再解密这些信息（即数据囤积攻击）。这对于那些需要长期保密的信息，已经构成了现实的威胁。如何应对“量子安全”问题，设计能够抵御量子计算攻击的量子安全密码技术，已成为下一代信息通信系统必须考虑的问题。基于量子物理基本原理的量子密钥分发技术，提供了不再依赖于数学计算复杂度的新型密钥分发方法。通过这种具有信息理论安全特性的密钥分发方式，即使通过不安全的信道分发密钥也可以保证安全，进一步结合OTP方案或其他加密算法，可以有效地提高信息安全性，抵御量子计算带来的安全威胁。算法分类具体算法类型算法举例量子计算的影响应对策略密钥长度加倍密钥长度加倍安全强度减半安全强度减半AESSHA-2，S

93、HA-3对称加密Hash函数密钥长度加倍避免使用特定工作模式的MAC算法迁移到量子安全的技术迁移到量子安全的技术迁移到量子安全的技术不再安全不再安全不再安全RSA，DSS，ECDSARSA，ECIESDH，ECDH数字签名非对称加密密钥协商对称密钥算法非对称密码算法消息认证码安全强度减半HMAC量子通信的近期应用主要集中在利用QKD（Quantum Key Distribution，量子密钥分发）链路加密的数据中心防护、量子随机数发生器，并延伸到政务、国防等特殊领域的安全应用；未来随着QKD组网技术成熟，终端设备趋于小型化、移动化，QKD还将扩展到电信网、企业网、个人与家庭、云存储等更广阔的应

94、用领域。基本的QKD系统通常由一对通过量子信道连接的设备组成，可以在点对点链路上实现信息理论安全的对称密钥分发。通过QKD网络技术可以进一步实现网络中任意两节点间端到端的高安全密钥分发。QKD可以作为一种新的密钥分发功能组件，广泛应用于现有的ICT系统。与经典密码学中的密钥分发算法类似，QKD可以与OSI（Open System Interconnection）参考模型不同层的协议进行结合，包括数据链路层、网络层、传输层和应用层等。例如，QKD用于密钥交换，QKD可以与数据链路层的PPP协议、IEEE 802.1定义的MACsec协议结合使用；也可与网络层的IPSec协议结合使用；还可以与传输

95、层的TLS、SSL等协议进行集成使用；QKD也可以在应用层与各类应用程序直接进行灵活的集成。利用QKD为通信收发两端提供的对称密钥，既可以用于进行用户的身份认证或鉴权，也可以用于实现业务载荷的加密传输。5.3.4星地融合安全5G-A卫星互联网是一种天、地、海、空逐步融合的网络，是一种DOICT融合的网络，更是一种安全与通信融合的网络及未来网络发展的方向。3GPP对5G/6G和卫星互联网的融合可以分为两个阶段：第一个阶段是卫星系统接入5G/6G的核心网，即卫星作为接入网络和传输网络；第二阶段是卫星系统与5G/6G在空口技术的融合，即卫星作为5G/6G的一种空口无线接入方式，至此卫星通信空口协议与

96、5G/6G空口协议融合。图5-18：星地融合网络演进阶段38 /5G-A安全白皮书 /395G-A安全白皮书5G/6G与卫星互联网融合的天地一体化网络，可以继承目前5G的安全措施，但是由于空基网络的引入，卫星的移动性又带了新的安全需求：(1)终端安全更细分在天地一体化网络中，终端既可以接入到卫星基站，也可以接入到地面基站，存在两条业务并存的情况，而这两条业务的业务属性、安全等级可能存在不同。对不同等级的安全业务需要注意访问控制问题；由于两条链路不同步，终端需要为这两条业务调用不同的资源来处理、存储；终端需要对其软件、硬件进行精细化的安全管理。此外，针对天基、地基业务，终端需要分别维护其信令、数

97、据的完整性保护、机密性保护，以及移动安全管理等问题，大大增加了终端处理的复杂性。(2)接入安全更自治天地一体化组网网络覆盖范围更加宽广，接入网络高度异构，安全自治性更强。不同的物件组、人群组，需要建立独立的具有自己安全属性、排他性的小组（小簇）；利用小区、扇区、异构级联网络结合安全手段进行空口接入控制，为这些小区分配独立的接入资源、小组ID、小组密钥，以及小组数据保护方式。并且，卫星的移动性将带来接入网络资源的频繁切换，增加业务安全处理的复杂性的后果。(3)网络安全高协同星地融合网络具有新型、复杂的应用场景，以及网络结构时变，混合业务复杂多变的特征。因此，卫星互联网调度呈现高动态，并且多个链路

98、段高度协调，以实现高复杂的路由，共同完成端到端业务及安全保障。针对上述安全威胁，5G/6G星地融合网络安全架构分为三层。重构安全资源天地融合网络将在共享的网络基础设施上，这意味着需要组合多样化的资源满足差异化的需求，资源共享、统一编排资源，对资源进行分级的安全保护，防止侧信道攻击及威胁扩散。需要将传统统一、固化的安全资源根据需求颗粒化，变为动态、异构、冗余的安全资源，便于网络根据不同的需求选取及重组。安全资源分级化、全资源服务化，实现同一安全等级的安全资源复用。网络内生安全因子由于卫星载荷能力有限，星上网络基础设施电源供电等方面存在局限性，传统防火墙、入侵检测等安全系统难以部署在卫星上，星上网

99、络基础设施面临比地面网络更加严峻的网络攻击挑战，一旦被黑客攻击，将直接影响设备可用性，进而影响天地一体化网络正常运转。星上网络基础设施具备设备内生的安全增强功能。安全因子以一种服务的方式植入到网络整体中，通过软件化、轻量化、集约化的方式，灵活按需对安全资源块和网络资源块进行分配、编排。首先，根据需求整合安全硬件实体与网络硬件实体，使其在处理器上融合适应未来天基网络发展；其次，对安全硬件“细粒度”组件化拆分，然后将每个组件进行服务化封装，以降低安全功能之间的耦合性、可重用率；最后，采用软件定义安全服务功能为用户应用系统提供多种虚拟化安全服务，通过定义实现与其他网络安全互通。统一身份与信任体系在5

100、G/6G卫星互联网生态系统中，参与的角色更加复杂。不仅包括业务提供商、网络运营商、设备商、终端用户，还包括边缘计算服务、物联网服务平台等专用业务系统、云平台运营商、终端使用者和终端拥有者等一系列新的角色。因此，5G/6G卫星互联网中各生态系统变得更加复杂。需要定义安全框架刻画5G/6G卫星互联网生态系统中的各种角色，并制定角色间的安全边界和承担的安全任务，从而建立一个信任模型贯穿端到端的业务系统，将卫星互联网这个分段式的网络合成一个有机的整体。安全能力统一编排在地面网络已广泛覆盖的IPv6网络基础上，星地融合网络采用SRv6服务链编排技术，满足主动安全对流量灵活编排调度需求，包括从网络侧和云侧

101、研究SRv6功能，并将云网的SRv6能力融合联动，实现天地一体、云网融合的统一流量调度目标。安全服务能力编排包括安全功能多层次多维度统一描述、安全策略精化与安全服务能力编排等功能。安全策略精化与安全服务能力编排将用户安全需求、用户服务、安全态势等抽象安全需求，细化为安全服务能力编排可识别的中间层策略。同时，对细化后策略与全局策略间的形式冲突和语义冲突进行消解，将无冲突的策略交由安全服务能力编排执行服务链编排工作，由安全服务链编排将网络中的各种安全服务单元在逻辑上按照安全需求组合在一起，完成对底层安全资源的统一接入、管理和调度，提供满足用户安全需求的安全服务。图5-19：5G/6G天地一体化网络

102、安全架构第一层为安全支撑层，包含密码资源池、身份管理、安全策略、安全服务、安全存储资源、安全计算资源，安全基因内置到网络资源中，支撑网络构建；同时，建立端到端统一身份和信任体系，提供基础设施可信以及身份、数据可信的信任体系。第二层为安全服务层，利用第一层的资源构建终端安全服务、接入安全服务、网络安全服务、移动安全服务，为网络各个节点提供分级安全保障。第三层为全网安全层，形成天地一体化的闭环安全体系，高动态卫星互联网的终端、网元、边界达到全网一体化安全，最终以内置安全因子为基础构建自感知、自成长的安全网络。40 /5G-A安全白皮书 /415G-A安全白皮书星地通信安全机制未来，卫星通信系统主要

103、安全机制主要包括三个方面。一是安全协议与密码算法，尽管不同卫星通信系统的安全设计不太一样，但都把安全协议与密码算法作为最主要的安全手段，用以实现认证、密钥协商、机密性保护、完整性保护和抗重放攻击的功能；二是空口扰乱，在一些安全性要求较高的卫星通信系统中，或针对安全性要求较高的用户，通常利用扰乱的方式，隐藏L2帧头或上层包头，防止隐私泄露，同时也可增加破解的难度；三是扩频，在一些安全性较高的卫星通信系统，利用扩频的方式提高系统的抗截获能力和抗干扰能力。另外，星地通信仍会复用并定制化优化3GPP定义的5G系统安全机制，包括支持用户面的机密性保护、控制面的机密性和完整性保护、抗重放攻击、接入双向认星

104、地通信系统需要具备轻量级、具有一定容错能力的通信安全技术和网络防护体系。当前“天通一号”、Thuraya等均采用3GPP-R4/R6空中接口分层方案，保留了上层协议（NAS层协议）绝大部分设计，主要针对星地传输链路特点设计物理层波形、话音承载、MAC帧结构，以及RRC层资源分配算法进行优化。证、密钥和安全算法协商、用户身份等隐私信息保护等。5G-A 网络与安全服务进一步向平台化、智能化、开放化发展。通过向运营商和客户提供 5G-A 网络资产测绘、网络数据分析、实时安全态势感知和自动化响应等平台能力，实现通信、感知与安全服务的有机融合。5.4安全运营服务关键技术5.4.1网络智能化安全网络智能化

105、在移动通信领域、工业、智慧园区、数据中心等场景下持续应用和推广。随着SDN/NFV、人工智能技术的应用，增强了网络的智能分析能力，提高了业务编排能力，并降低了网络运维成本，助力解决网络架构复杂和资源利用率低等问题。通过将人工智能与通信网络进行深度融合，实现了网络智能化的有效落地。但人工智能易产生更为自动化和精准的安全攻击，例如恶意机器学习、算法漏洞、模型偏差、甚至生成更加智能的恶意代码等。因此，需要关注网络智能化带来的安全风险。另外需要关注网络架构向智能化、服务化模式转变后所带来的接口滥用等问题。5G-A需要加强网络智能化安全的建设，一方面应对网络智能化系统架构自身的安全，避免AI带来的安全风

106、险，需要加强对AI模型的风险评估，并减少模型不必要的输出。并加强数据安全防护，从数据的采集、传输、存储、使用、共享、销毁等环节着手，建设数据安全管理平台来保证数据的完整可用，降低数据泄露风险。同时需要部署API网关，实现网络智能化架构下服务化接口调用的管控，以及QoS等业务app与基站节点间的服务订阅情况的管控。另一方面,需要强化安全支撑能力，构建一体化的安全防御体系，全方位保障5G-A网络的稳定运行。5G-A网络智能化安全关键技术包括：(1)增强智能化系统自身的安全保护网络智能化安全包含网络数据在训练和推理过程中的安全。NWDAF作为自动化网络的数据感知及分析网元，具备对网络进行自动分析和预

107、测感知的能力，运用人工智能、机器学习等技术实现对网络切片业务量、资源需求、网络切片用户业务体验的统计和预测，通过构建网络切片画像和用户画像，优化了网络资源分配和UPF业务路径等。结合上文所述的安全风险，建议增强如下安全手段：针对AI分析样本及模型所面临的安全威胁，可以采用对抗样本（梯度分类、超平面分类）、向模型中注入随机变量、训练数据去噪等方式，增强安全性。针对服务化接口调用、服务订阅过程中存在的恶意调用、异常调用等风险，建议引入API网关进行防御，API网关提供身份认证、权限控制、访问监控等机制，对访问过程进行全程监控，及时阻断异常访问和调用请求。针对NWDAF在收集网络数据时存在的数据泄露

108、和篡改风险，首先需要保证NWDAF与UE/网元对接时所在的网络要支持相互认证，其次确保NWDAF在接收和传输UE数据时可以获得对应的授权。再次通过引入数据安全相关工具和平台，实现隐私保护、数据机密性和完整性保护。(2)利用网络智能化强化安全移动网络中各类丰富的信息和全网的流量可以作为安全事件分析的宝贵数据源。在5G-A的网络安全智能化分析过程中，可利用NWDAF采集的大量网络数据和流量强化网络安全自动化分析。如基于从UE/网元获取的网络数据进行DDoS攻击分析，核心网中的网元与UE结合，以收集相关数据作为输入，并将异常外部事件警报作为输出提供给网管或其他网元，从而对网络攻击风险进行缓解。也可对

109、异常网元行为进行检测分析和告警，包括网元内部配置错误分析、网元数据泄露分析等，利用网络分析功能监控所有网元的行为并确保其行为符合定义，并在网元发生异常行为时进行告警。5.4.2网络资产安全进入行业数字化转型时代后，国家正在推进运营商加速5G专网落地与应用，传统园区网转变为5G虚拟专网，采用新技术、新架构的同时也带来新挑战，安全问题也被进一步放大。运营商在建设5G-A网络的同时，需要对相应资产进行安全管理。5G-A网络的关键资产包括用户的个人信息和通信数据、以及无线和核心网的软硬件资产、计算资源资产、运营商运营运维的账户、口令、日志、配置、话单等。5G-A资产安全管理是面向运营商安全运营的平台级

110、技术能力，通过数据采集、数据处理、安全分析、响应处置、态势呈现的闭环过程，对网络中潜在的安全风险和弱点进行发现、预警、定位和快速处置。通过对采集到的多种资产数据、安全日志数据、流量数据进行关联分析，发掘数据与网络资产的关联性，在保障数据安全的前提下，实现资产信息采集、5G-A资产安全管理、5G-A终端安全管理、域安全管理、资产脆弱性和风险分析、漏洞管理、基线核查、威胁分析、联动处置和安全态势呈现等功能，同时能够作为组件与核心网/无线侧网管集成，提供态势感知能力，保障5G-A行业专网安全运行。42 /5G-A安全白皮书 /435G-A安全白皮书图5-20：5G-A资产安全管理平台5.4.3联邦学

111、习安全在5G-A网络架构下，随着NWDAF应用的深入，AI漫游互通、联邦学习技术与移动通信紧密结合，充分利用电信网的海量数据，在保证数据安全与隐私的前提下增强了网络智能化运营，支撑了电信行业新商业模式的构建。联邦学习作为一种分布式机器学习框架，目的是让分散的各合作方在保证自身隐私的前提下，彼此协作进行机器学习的模型训练。鉴于该框架的开放特性，联邦学习在实际应用时面临的最主要安全威胁集中在隐私和安全问题，如隐私推理攻击、模型被植入后门、学习群体授权问题、模型存取等问题。在5G-A架构下，可以采用区块链鉴权、隐私保护等技术进行防护。针对联邦学习过程中的隐私保护问题，可以采用同态加密、安全多方计算、

112、差分隐私等方式进行保护。同态加密可以对密文进行特定形式的运算和模型聚合，有效防范推理攻击。安全多方计算通常采用混淆电路、秘密共享等方式，在不需要第三方参与的情况下进行模型计算。差分隐私可以对原始数据添加噪声，使两个相似数据在概率上满足不可区分性，同时保留数据集的统计学性质，便于机器学习。针对学习群组授权的问题，可以基于区块链技术对各参与方的权限进行预定义，明确只有具备事务权限的参与方才能参与模型训练。另外针对模型参数聚合过程中的API接口调用环节，可通过API网关进行管控，保证模型存取过程中的安全可控。5.4.4安全态势感知随着卫星接入移动网络、触觉多模态互联网等新业务新场景的涌现，如激光扫描

113、、机器视觉、千亿物联、天地一体化等应用场景的不断应用和推广，对5G-A网络提出了更高的安全要求。除了增强云网安基础设施关键技术、引入区块链信任体系等技术外，还需要强化能适配5G-A的安全态势感知能力。安全态势感知是实现一体化安全运营的核心构成，从网络中安全设备及平台采集相关信息，进行数据处理和关联分析，从而获取全网态势信息并进行安全风险预警，并判断安全事件的影响范围，为安全决策提供依据和支撑。5G-A网络的安全态势感知面临的最关键问题，一是如何针对不同维度和类型的海量信息进行采集、抽样和处理，如通过数据抽样的方式进行处理，同时保证抽样的准确性和全面性。二是有效融合IT和OT的网络安全管理，拉齐

114、不同安全厂家的接口、策略、安全信息，实现两网一体化管理，构建综合风险分析能力。三是能够融合不同层级的态势信息，包括不限于基础设施层、网络功能层、支撑管理层、数据应用层的安全日志、告警、策略等，态势感知的算法需要能够精准拉通并融合不同层级之间的安全风险，进而获取全网的安全态势信息。安全态势感知能力在建设时，需要支持多维建模威胁分析和未知威胁检测，并结合云、网、边、端的数据进行自适应策略优化调整，实现态势感知的智能研判分析以及自动化剧本编排和处置，构建一体化、智能化、全链路的安全态势感知能力。5.4.5安全自动化响应5G-A应用场景覆盖了智能制造、智慧医疗、自动驾驶等行业，推动了虚拟现实、增强现实

115、等新兴技术的发展，促进了社会的数字化变革，发挥了重要且关键的作用。为保障5G-A的安全性，除增强安全防护技术等手段外，还需要建立自动化的安全威胁响应能力。传统的安全响应多半采用人工处置或者半自动处置的模式，存在响应慢、效率低、协同弱的问题。5G-A场景下需要构筑安全自动化响应能力，提高网络安全响应的效率和效果。平台需要统一调度各类安全设备、工具、流程平台进行响应和处置，并将响应结果反馈到过程中，持续优化和调整安全运营机制和流程。自动化响应的前提，是能够实现自动分析研判。平台根据获取的信息，提出分析研判的指标项并判断是否达到了触发自动化响应的条件。若满足条件，平台确认响应范围并联动相关设备和流程

116、执行响应动作。若需要人工参与时，则采取半自动响应。自动化响应的客体包括各类IT和OT类安全设备，平台需要提供开放的安全策略能力接口，最大化集成不同安全厂商及安全产品的安全策略，形成统一调度IT/OT安全设备的自动响应能力。44 /5G-A安全白皮书 /455G-A安全白皮书响应过程中依托SOAR进行策略编排和自动化处置，通过剧本固化标准的安全事件处置操作和流程，通过工作流引擎驱动并且执行具体动作。同时，针对未知威胁，可按照具体的威胁类型及特征、影响的系统组件及版本等信息，采用AI技术分析该未知威胁与剧本库中已知威胁特征的相似度。基于分析结果，推荐相似度高的已有处置剧本，并结合人工分析决策，最终

117、生成剧本。并且，借助靶场进行剧本有效性评估，不断校验并调整剧本动作，最终生成可执行的有效剧本。在安全运营实际工作中，运营团队需要基于安全事件的风险等级、影响范围等因素制定不同级别的安全响应模式，当安全事件发生后，可以快速匹配对应的响应模式并执行响应操作。5G-A MANO（网络管理与编排系统）与安全能力管理编排系统之间采用的标准化接口，实现网络与安全在基础资源、能力、数据等维度的双向开放和编排调用。5.5安全与网络互编排关键技术5.5.1安全服务链编排5G-A时代，网络和安全需要像水和电一样，方便的服务千行百业的用户，这就需要运营商实现网络与安全的服务化，能够根据用户的订购需求，自动化的完成安

118、全与网络资源的编排与业务引流，从而满足不同用户差异化的需求。为了满足该需求，业界引入了SFC（业务功能链）的方案来实现安全能力的编排。如基于策略路由（PBR）实现的SFC方案，通过在设备上逐点配置静态路由来实现报文 的 定 向 转 发；基 于 N S H（网络服务报文头）实现的SFC方案，通过携带SFC的转发路径ID（SPI）以及SF在SFC中的顺序（SI）来引导报文在SFC中的转发。但可以看到，这些解决方案存在交付慢、缺乏可扩展性、无法统一监控和管理等问题。图5-21：5G-A安全服务链编排架构图5-22：5G-A安全与网络管理平台互编排架构随着IPv6技术的演进，基于SRv6+APN6技术

119、的SFC解决方案成为业界实现安全资源自动化编排的主流方案，该方案通过在IPv6扩展头中编辑SR信息和APN信息来实现。编排调度层接收用户网络及安全业务订购，通过SRv6实现对网络节点和安全资源池的网络业务链编排，通过APN6应用标识符和用户标识符实现用户安全业务链编排，可以更灵活地实现大网和安全服务的一体化编排。5.5.2安全与网络管理平台互编排在5G-A业务运行中，要保证安全能力与网络安全风险的适配，从而达到安全防护的效果。一方面，根据业务订购信息，网络管理平台根据网络和算力资源，为安全能力提供算力资源与网络资源的编排，另一方面，安全域需要根据来自安全风险相关的数据，进行相应的分析、研判，通

120、过反向编排网络管理平台提供对应的网络和算力资源，生成对应的安全能力，进行安全闭环。在SBA架构下，安全能力真正地解耦为原子化安全能力（安全原子能力），支持微服务架构、容器化部署等基本要求，在算网大脑或5G-A网络编排器的统一编排下，实现安全原子能力的实例化部署，跟其他NF实例类似，接受网络管理平台的统一管理。同时，安全原子能力在发现安全风险，进行分析、研判后，由安全策略中心（或安全编排层）向网络管理平台（或网络编排层）发起安全原子能力服务实例化需求，来实现对安全风险的响应和处置。5.6能力开放安全关键技术5G网络能力开放指的是5G网络和第三方应用之间相互开放能力，5G网络开放给第三方应用的能力

121、通常包括：网络/终端监控能力（网络拥塞状态、终端移动状态等）、基础服务能力（语音、短消息、计费、安全能力）、控制能力（鉴权和授权、接入控制、策略、QoS保障能力、网络切片生命周期管理能力、MEC能力）、网络信息能力（终端连接状态、终端位置信息、大数据分析信息等）。反之，第三方应用也可以向5G网络开放终端的能力、移动性信息、业务相关信息等，以便运营商根据业务需求对网络进行优化和管理。5G能力开放开启了第三方应用与运营商核心网的大门，同时会带来更多问题。其中最重要的就是身份验证和授权机制，恶意第三方如果能轻易接入核心网并调用一些API，最有可能的就是造核心网网络瘫痪，切片资源耗尽等。最后，运营商控

122、制哪些内容可以向第三方公开，防止第三方获取的数据内容超过合同约定的内容，造成数据泄露问题。46 /5G-A安全白皮书 /475G-A安全白皮书能力开放首先应该和运营商4A系统对接，通过授权认证来控制第三方的行为和能力，4A通过“第三方账号-资源-资源账号”的对应关系，实现能力开放第三方对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，做到作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放等。其次，能力开放需要API网关做为防护，一般API网关都具备反向代理和路由，给出了访问后端API的所有客户端的单一入口，并隐藏内部服务部署的细节。同时API网关也具备身份验

123、证和授权，配合4A可以实现RBAC等授权方式。PKI系统则是第三方和核心网之间身份认证、设备认证的保障，做为数字证书的核心载体，它包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。最后，数据防泄漏是保障运营商合规的关键，它可以自动发现敏感数据或敏感数据列表，并且可以分类并报告几乎任何位置的数据，当数据从核心网通过NEF流向第三方时，数据防泄漏会主动拦截并报告数据流出内容和数据分类。依据运营商提供的匹配规则，数据防泄漏甚至可以自动给敏感数据加上数据水印和数据遮掩功能，确保核心网提供给第三方的数据是合规可用的，防止用户隐私和运营商的关

124、键数据泄露。数据防泄漏不仅可以针对文本和数据流识别数据，对于图片、压缩文件等也具备识别功能，可实现全网敏感数据分布的可视化与违规行为的呈现。图5-23：5G-A能力开放安全架构5G-A安全技术与应用场景相互关联，相互促进。一方面，安全技术是应用的基础，是为了保障现有确定性应用场景的安全而设计的。例如在智能制造领域、智慧城市领域，安全技术需满足泛在的物联网终端接入安全与身份访问控制等。另一方面，安全技术也需要持续创新，适配未来潜在的、不确定性的应用场景，并在试验中不断完善。例如在天地一体化领域、专网能力开放领域，安全技术需应对网络架构的升级和网络能力的开放带来的跨域暴露面扩大和数据安全威胁。同时

125、，安全技术与能力的多样性、应用场景的复杂性，对安全运营也提出了多维、智能、敏捷、主动的平台化管理要求，需要建立以数据资源分类分级为核心的全域资产安全态势感知能力，和以威胁识别、能力关联为核心的安全自动化编排响应能力。INNOVATIVEAPPLICATION SOLUTIONS06创新应用方案6.15G-A物联网终端安全方案(1)场景描述随着5G-A技术快速发展，高带宽、低时延和广连接等特性能够快速赋能千行百业，5G-A泛在物联网终端，如5G CPE、5G摄像头、5G无人机等广泛应用于移动医疗、工业控制、车联网、环境监测、智能家居等千行领域。5G-A泛在物联网终端在种类繁多、安全能力参差不齐、

126、标准不统一的大环境下，很容易引入身份仿冒、信号欺骗、设备劫持、数据篡改、故障注入等一系列安全问题，导致物联网终端安全事件频发，安全隐患凸显，安全形势严峻。5G-A物联网终端安全需关注以下几个方面：(2)解决方案5G-A物联网终端安全平台以“攻击免疫”技术为核心，打造具有主动防御能力的终端安全能力，为各种物联网终端设备提供全方位的深度安全防御体系。平台从设备管理、运行监测、主动防御三个维度进行设计，集资产管理、基线安全、可信管理、安全加固、攻击免疫等多种安全功能于一身，实现设备统一运维、攻击实时告警、风险实时掌控、入侵及时阻断等能力。需要解决固件漏洞和脆弱性带来的安全风险问题；避免因物联网终端种

127、类繁多，入网认证手段单一导致入网设备被由点到面攻破；内网东西向流量安全防护问题及传统网络安全边界无法防御的未知漏洞；对终端内存指令层漏洞攻击检测，分析和感知攻击行为，及时采取有效措施；自建传统硬件安全设备造价高，且附带高额的管理和维护成本，综合成本居高不下；统一安全运营，实现对终端实时监控和统一管理。48 /5G-A安全白皮书 /495G-A安全白皮书图6-1：5G-A终端安全平台架构图全网终端及下挂资产统一管控终端安全管理一体化，对5G终端的无线信息、信号数据、业务数据、日志等各类信息的实时采集、汇总、分析，实现5G终端的安全、业务管理、设备远程管理及维护支撑等一系列操作的统一管理。精细化威

128、胁感知与防御，识别未知威胁攻击全面监视终端系统中所有进程活动，准确识别并拦截新型恶意程序。持续分析跟踪终端异常行为，能够有效防范各类基于已知和未知漏洞的攻击。帮助客户解决大量物联网终端设备有漏洞、无补丁导致被攻击的窘迫局面。攻击免疫能力全面监视终端自身系统内的所有进程、文件、网络活动，准确识别并阻断各类恶意程序。通过内存指令层的漏洞攻击检测技术，脱离了对具体漏洞特征、文件特征、行为特征的依赖，持续跟踪分析终端异常行为，提高物联网终端自身的漏洞免疫能力。网络入侵检测能够对经过5G终端安全卫士的流量报文进行深入七层实时解析，不仅可以做到对恶意代码、注入攻击及蠕虫木马等威胁的检测，还可以对应用程序及

129、URL等内容进行深度识别，能够有效的检测出内网攻击，非法外联以及非法扫描等攻击行为，全面识别、阻断各类高级网络安全威胁。内网攻击溯源通过结合威胁情报与系统自身的全方位检测能力，能够快速定位、溯源5G-A专网内的失陷主机，及时阻断攻击源头。5G-A终端安全卫士主要包括以下功能：(3)应用价值轻量级安全解决方案，降低客户安全投入轻量级的物联网终端安全方案，比传统防火墙、IPS、态势感知等产品更具成本优势，降低客户安全投入。小成本，大收益。多场景灵活部署根据客户不同的应用场景，可配备不同的软硬件组合及服务方案，从而满足客户各类业务场景、部署方案及需求场景的安全需求，具有部署模式简洁、解决方案灵活、扩

130、容变更敏捷等优点，极大限度地简化传统安全服务，便于快速部署和应用推广。全网终端统一管控协助企业全网终端安全管理一体化，实现终端安全、业务管理、设备远程管理及维护支撑等一系列统一管理。开放接口支持第三方终端应用接入以实现多终端应用统一管理，方便接入到客户自己的统一管理平台。6.25G-A终端接入管控方案(1)场景描述移动终端通过5G-A专网快速接入企业内网的同时，也带来了诸多安全风险，需要切实有效的管控措施。传统终端接入方案必须在终端安装代理，虽然控制力度强，但是方案厚重，易用性不好。为此，5G-A接入管控方案利用5G-A网络二次认证能力构筑轻量化方案，启用新型身份验证管理模式，充分利用SIM卡

131、、移动终端、基站等多种网络资源的组合安全能力。以应对动态的安全风险包括：非授权终端滥用合法SIM卡接入，如摄像头SIM卡被滥用；移动终端在异常的物理区域接入，如园区之外；合法终端访问非授权业务/应用，如OA终端非授权访问生产系统；企业基于合规要求，需要对访问日志留存及溯源，但是针对动态IP难以实施。(2)解决方案5G-A可以基于网络自身安全能力提供轻量化的终端接入访问能力，从可管、可控、可溯源三个方面，帮助行业客户全面管控接入风险，并满足等保等合规要求。图6-2：5G-A终端接入控制50 /5G-A安全白皮书 /515G-A安全白皮书专网接入安全系统包括控制器（DN-AAA）、5G-A安全网关

132、、分析器（日志留存）三大组件。控制器作为安全控制面的核心组件，为5G-A安全网关提供认证服务、动态业务授权和集中的策略管理能力。分析器为控制器提供信任等级评估，作为授权判定依据。5G-A安全网关作为用户面的网络准入节点，是确保业务安全访问的第一道关口，是动态访问控制能力的策略执行点。专网接入安全系统结合运营商提供的主认证，进一步通过企业自主控制的二次认证和企业资源访问控制，通过多重手段对终端接入企业5G-A专网进行控制。如上图，控制手段包括三部分：5G-A下的终端安全接入不再以网络边界为限，无论是来自于企业网络之外的用户，还是来自于企业网络内部的用户，在建立连接前均需进行认证授权。终端接入安全

133、能力开放，使得原来的被动防御向主动防御的转变，从边界防御方式向内生安全转变，有力保障5G-A网络环境下海量行业终端的接入安全。终端接入主认证终端与运营商5G-A核心网进行双向鉴权认证。终端接入二次认证通过在企业侧部署AAA服务器实现企业对终端接入的自主认证，企业可以采用机卡绑定、电子围栏等方式进行终端接入，发现异常后，企业可以主动控制终端下线。基于SIM卡访问控制在二次认证的基础上，通过在企业侧部署5G-A安全网关和日志系统，解析核心网消息，实现基于SIM卡的访问控制和溯源，避免对静态IP地址的依赖并提高运维管理的效率。进一步，通过安全网关的入侵检测和防病毒功能，能够对终端异常行为进行动态检测

134、和控制。(3)应用价值5G-A天地一体化网络是以地面通信网络为依托、卫星通信网络为拓展，借助5G-A的技术框架，针对卫星通信和低空通信的特点而进行的星地融合组网，可以实现5G-A系统对空、天、地、海多场景的统一服务。5G-A天地一体化网络中的海量卫星节点运行于非受控、高动态、复杂开放的外太空网络环境，容易面临诸如碎片碰撞、信道干扰、路由致瘫、DDoS攻击等复杂多样的安全威胁。同时，由于配重、体积、功耗等限制，星载平台的各类在轨资源受限，使得现有地面网络中的DDoS安全防御机制难以直接部署应用于卫星网络环境。例如，传统地面DDoS防御基于集中建设的清洗中心，引流对带宽需求较大，不适用资源受限的卫

135、星网络环境；卫星无线通信控制指令容易受到干扰，集中式的DDoS攻击流量采集检测和防御易单点故障影响。(1)场景描述6.35G-A天地一体化网络主动DDoS防御方案(2)解决方案针对天地一体化安全场景，面向天地协同、云网融合的主动适应DDoS防御方案，可实现按需的弹性扩容和主动适应的DDoS防护能力。5G-A天地一体化网络主动DDoS防御方案包括DDoS攻击监测和DDoS攻击防御两部分：单卫星节点检测通过对单卫星节点建立轻量级的流量分析模型，结合机器学习等方法进行协议的聚类分析和异常流量特征提取，实现单卫星节点的异常DDoS攻击流量的初步识别。分布式协同防御基于区块链等技术，进行异常检测模型的共

136、享；各卫星节点进行分布式检测，建立跨节点的DDoS攻击检测共识机制；设计智能合约，实现卫星节点间的协同防护。图6-4：基于区块链的分布式协同防御图6-3：单卫星节点检测52 /5G-A安全白皮书 /535G-A安全白皮书图6-5：天地协同、云网融合的一体化DDoS防御体系5G-A天地一体化网络主动DDoS防御方案，支持动态调度投放的虚拟化DDoS防护能力，针对天地一体场景信道开放、资源受限、时延增大特点进行专有防护设计，可抵御相应场景下多种不同DDoS攻击，利用云网融合能力构建覆盖卫星网络的一体化防御体系，结合基于情报的主动防御技术和近源DDoS防御调度技术，实现对天地一体化互联网DDoS攻击

137、的主动精准防御。(3)应用价值6.45G-A专网能力开放安全方案(1)场景描述端到端的切片、MEC、网络内生与增强安全是5G-A专网面向垂直行业提供的关键能力组成。为了更好地满足各行业的个性化需求，迫切需要将运营商的网络能力及安全能力开放给第三方应用。专网能力开放带来诸多好处：一方面可以及时响应第三方业务需求，保障用户的业务体验，提供个性化的服务及安全保障；另一方面也有利于第三方业务提供商开发业务时充分利用运营商的网络及业务能力，比如身份认证、接入控制、切片的生命周期管理、安全能力等。同时，还可以满足运营商一体化的5G-A网络能力开放产品研发、运营维护以及支撑体系发展的需求。电信运营商也更加关

138、注在统一的数据安全框架下，将专网能力通过标准化安全接口、分权分域以零信任的方式共享，既满足第三方业务需求，也保障5G-A网络不因能力开放而受到攻击或敏感信息泄露。图6-6：专网切片能力开放安全专网切片能力开放能力开放平台与切片管理系统、多个切片 子 网 的 N E F、策 略 控 制 功 能（PCF）进行互联，实现网络切片能力开放。开放的能力主要包括底层网络资源控制、切片的创建、管理、销毁等等。能力开放平台中的“切片管理能力”模块，通过API管理模块向第三方提供开放接口，可供被授权的第三方调用，其在接到第三方调用请求后，将应用的服务请求映射成网络切片需求，选择合适的子切片组件，映射为网络服务实

139、例和配置要求，并将指令下达给网络中的“切片管理系统”，切片管理系统进一步完成子切片及其网络、计算、存储资源的部署。MEC能力开放MEC对外提供开放能力，要具备防范恶意用户使用MEC能力。用户在访问MEC平台时，如果access token不满足复杂度要求，或者OAuth 2.0的相关配置不合适，则会存在中间人攻击、重放攻击、或access token泄露、被冒用的风险，如果MEP未对服务调用者/服务调用请求进行认证授权，则会存在假冒身份非法接入、越权访问 开 放 能 力 的 风 险。MEC具备的能力开放安全包括身份管理、访问控制管理、AP授权管理、通信安全、隐私保护和安全审计等。图6-7：ME

140、C能力开放安全(2)解决方案54 /5G-A安全白皮书 /555G-A安全白皮书图6-9：专网OT域态感应用场景图6-8：安全能力开放安全能力开放5G-A网络除了可以提供开放的业务能力之外，还可以提供开放的安全服务能力。具体应用场景包括:运营商向第三方应用提供内生安全服务，如接入认证、授权控制，也可以提供攻击检测、漏洞扫描、威胁情报、网络防御等增强型安全服务。所有的安全能力都可以通过安全能力池化、原子化或软硬一体化等方式开放。(3)应用价值基于5G-A网络及安全能力开放，可以将运营商网络的业务能力、网络能力以及安全能力安全可靠的开放给第三方应用，以便第三方业务提供商按照各自需求设计定制化的业务

141、应用。这将有利于垂直行业加速推出新型业务，也有利于运营商提升网络附加值。6.55G-A资产安全态势感知方案(1)场景描述5G-A采用集中控制与分布自治相融合的网络架构，网络面临全方位的安全威胁，包括接入层威胁、MEC威胁、核心网威胁、切片威胁、管理安全威胁等。工信部对电信运营商提出对5G资产安全管理的安全要求，运营商需要建立5G网络全局资产视图，具备资产持续管理、安全评估、威胁分析和动态安全态势感知能力，为安全策略制定与处置提供支撑，有效降低业务风险与应急响应时间。5G-A资产安全管理需覆盖5GC、MEC和终端，能够对5G-A各种终端实施统一的安全管理，避免各个管理系统各自孤立的情况；能够综合

142、传统安全设备和网络的能力，统一分析网络中面临的威胁，提供域安全管理等能力，能够作为组件与网管集成提供单域态感能力。系统通过检测、响应、处置、监控的闭环过程，对网络中潜在的安全风险和弱点进行发现、预警、定位和快速处置，保障5G-A网络安全运行。(2)解决方案5G资产安全管理平台基于组件化设计，支持多种产品形态，产品可分可合，支持与5GC EMS、5G RAN UME合一部署或独立部署，适用于5G-A单域态感、多域态感、专网OT域态感三大应用场景。以专网OT域态感应用场景为例，5G SIEM作为独立产品进行部署。5G SIEM支持丰富的采集接口，包括直接采集多个第三方安全产品的流量日志、安全日志，

143、通过对接终端安全管理系统、定位系统采集资产状态、事件、位置等信息，通过对接主机安全组件采集5GC下沉网元的资产信息与安全事件；支持归一化日志解析、多种威胁分析，包括终端流量异常分析、威胁检测分析；支持与外部WAF/FW等设备响应联动；支持域拓扑呈现、态势呈现和大屏对接等功能。针对专网OT域中5G终端、5GC下沉网元、安全产品等设备，5G SIEM系统可以提供强大的资产安全管理与态势感知能力。(3)应用价值5G资产安全管理平台支持丰富的数据采集能力、灵活的定制能力、全面的威胁分析能力和多样化的部署能力，可协助运营商及行业客户搭建资产安全管理体系，提供纵深防御和精准防控，呈现实时的全局安全态势感知

144、，满足合规与等保测评要求。56 /5G-A安全白皮书 /575G-A安全白皮书6.65G-A安全自动化编排响应平台方案(1)场景描述随着5G-A的持续应用与推广，云计算服务的下沉，各行业纷纷加速数字化转型，智慧园区、智慧医疗、无人驾驶等业态持续发展。由于工业领域网络环境的变化、攻击手段的升级，各行业面临突出的安全问题和日益加大的安全风险，对业务的稳定性和安全响应能力提出较高的要求。另外由于IT与OT的融合，业务场景更加复杂，同时5G-A场景下面临着来自接入侧、边缘侧、网络切片侧、核心网的安全威胁，当发生安全事件后，安全响应操作涉及了大量的处置流程的梳理、上下文关联及多种设备的调用。传统依靠人工

145、执行的安全响应存在响应慢、周期长、效率低、操作滞后等问题，难以满足业务及管理要求。因此，需要构建一套自动化、可编排的安全响应平台，通过SOAR（Security Orchestration Auto-mation and Response，安全编排自动化与响应）技术实现安全自动化编排响应，打破网络及安全设备的孤岛形态，实现统一编排和关联，建立自动化的安全响应体系。(2)解决方案通过建立5G-A安全自动化编排响应平台，实现5G-A网络下的安全自动化响应、剧本编排、设备联动，并提供处置能力第三方集成和对外输出。平台执行响应的前置条件为真实有效的安全事件，可以与态势感知平台对接获取，平台自身也可具备

146、安全事件采集和风险识别能力。图6-10：5G-A资产安全态势感知图6-11：安全自动化编排响应流程图6-12：5G专网安全自动化编排部署示意5G-A场景下，通过SOAR实现人员、技术工具、流程的协作处置，实现跨产品、跨组件的安全能力编排，缩短安全事件响应时间，提高响应效率和准确率。SOAR通过统一标准的安全接口体系，实现OT设备与IT设备的联动和能力协同。在安全自动化编排响应平台的处置过程中，平台将实时采集各处置组件的状态、结果数据。安全人员可以及时查看和调整。平台提供标准API接口，一是支持处置/操作设备或app的注册，二是对外提供处置能力的调用，外部可以将自身处置剧本注册到平台上，实现处置

147、能力和经验的聚合。58 /5G-A安全白皮书 /595G-A安全白皮书SOAR平台可以集约部署在运营商网络云或安全能力池，提供广域范围的安全能力接入、编排和自动化响应，也可以独立部署在行业客户内网或旁路在MEC/边缘云的交换机上，实现对于工业园区、5G专网场景下安全事件的快速响应。(3)应用价值在工业互联网、智慧城市、智慧交通等行业物联网、视联网场景中，5G-A海量终端的身份鉴权、接入认证以及超大上行业务中可能隐藏着信令与流量攻击，这种攻击在泛在连接和超大带宽中往往难以准确、快速的察觉，且仅仅依靠单一安全设备、单一规则和人工研判很难实现安全威胁关联、攻击识别预判，同时5G-A支持的亚米级超低时

148、延又对安全事件的感知和响应处置提出了更为严格的安全运营要求。5G-A安全自动化编排响应平台整合了各类安全产品的服务能力，通过各类安全能力的协同和自动编排，以剧本形式落地了各类安全事件的快速响应和处置，大大提高了安全运营的处置效率和准确率，保障了核心生产和业务，支撑了各类智慧应用场景的网络和数据安全。当前，中国电信正积极投身新一轮以AI为核心特征的科技革命，全面推动5G与算力、云、AI、大数据、安全等多要素的聚合创新。中国电信在全球首张、规模最大的5G SA共建共享网络的基础上，不断深化科技创新。一方面，夯实“云网融合、安全可控”的5G底座能力，发布“全云化5G定制网”，业界率先实现“5GC三层

149、解耦”，构建基于云网融合的5G定制网安全能力池。另一方面，提升“高速泛在、天地一体”的5G全域互联能力，在业界引领开展5G VoWiFi试商用，建设泛低空5G智联网，率先完成5G NTN手机直连卫星和5G NTN物联网等一系列技术应用试验。同时，着力打造“智慧敏捷、绿色低碳”的智能化5G运营服务体系，通过“昆仑云网能力工厂”使能合作伙伴能够自由选择和整合各种云网能力。“AI节能大脑”提升5G节能效果，并在智能分析、智能决策、自智优化、智能运营等方面取得创新突破。面对不断演进和提升的行业需求，中国电信基于“5G融合领先计划”，以四融为驱动，重磅打造5G NICES Pro融合产品体系，实现“端、

150、网、边、云、用、服、安”端到端全面升级，推动5G定制网行业深耕、技术升级、能力融合、产业协同、价值释放，促进5G行业应用融合创新与规模应用。5G-A是5G的升级，也是6G的前置探索，是通信、感知、算力、智能化与安全深度融合的网络。5G-A网络的安全特征将在全网域可信的基础上、进一步增强网络的弹性和韧性，并保证全网域信息和数据安全，这就需要5G-A网络安全技术强化主动内生、防御手段智能化和动态化能力，从基础网络空间安全扩展至安全业务场景服务。最终，5G-A网络安全架构将面向未来，深化云网端一体、持续优化能力、伴随网络而成长，并逐步向6G过渡，形成自感知、自运转和自演进的网络安全体系。5G-A商用

151、部署在即，中国电信紧跟国家产业政策和发展布局，践行网络强国，把握全球数字时代历史机遇期，紧抓未来五到十年产业发展窗口期，持续强化5G-A安全科技创新与核心技术自主可控，并进一步深化跨产业和跨行业合作，为构建安全、高效、便捷的数字社会贡献力量。我们倡议：OUTLOOK ANDINITIATIVES07展望与倡议(1)加强技术研发和标准化工作 推动5G-A技术的研发和标准化工作，引导产业推动和实现通信网络自主免疫和可信内生安全。(2)加强产业间合作 促进5G-A安全产业链上下游企业合作，共同开发和应用5G-A技术，为5G-A商用打造更加安全和完善的生态系统，产生更有价值的应用和服务。(3)加强全行

152、业联合创新 在5G赋能矿山、电力、钢铁、港口等已有重点场景基础上，联合全行业携手探索感知、无源物联、工业uRLLC等5G-A新能力，开拓新的行业应用场景。(4)加强网络安全保障 加强网络安全、数据安全保障工作，完善安全机制和技术手段，提高安全防范能力，确保网络信息安全，为数字经济的繁荣做出贡献。60 /5G-A安全白皮书 /615G-A安全白皮书International Mobile Subscriber IdentityIdentify、Protect、Detect、Response、RecoveryIntrusion Prevention SystemInternet Protocol

153、SecurityIP eXchangeMedia Access Control SecurityManagement and OrchestrationModulation and Coding SchemeManagement Data Analytics ServiceMulti-Access Edge Computingmassive Machine Type of CommunicationNon-Access StratumNarrow Band Internet of ThingsNetwork Exposure FunctionNetwork Function Virtualiz

154、ationNetwork Repository FunctionNetwork Service HeaderNetwork Data Analytics FunctionPolicy-Based RoutingPolicy Control FunctionPacket Data Convergence ProtocolPublic Land Mobile NetworkQuantum Key DistributionRadio Access NetworkRole-Based Access ControlReduced CapabilityRadio Resource ControlReal-

155、time Broadband CommunicationSoftware as a ServiceService-based Architecture国际移动用户识别码识别、防御、检测、相应、恢复入侵防御系统互联网安全协议IP专网交换媒体访问控制安全协议管理与编排调制与编码策略管理数据分析服务多接入边缘计算海量机器类通信非接入层窄带物联网网络开放功能网络功能虚拟化网络存储功能网络服务报文头网络数据分析功能策略路由策略控制功能分组数据汇聚协议公共陆地移动网量子密钥分发无线接入网基于角色的访问控制轻量化物联网技术无线资源控制宽带实时交互软件即服务服务化架构IMSIIPDRRIPSIPSecIPXM

156、ACsecMANOMCSMDASMECmMTCNASNB-IoTNEFNFVNRFNSHNWDAFPBRPCFPDCPPLMNQKDRANRBACRedCapRRCRTBCSaaSSBA缩略语英文说明中文说明ABBREVIATION08缩略语5G Advanced5G CoreAuthentication、Authorization、AccountingAnalytics Data Repository FunctionAuthentication and Key AgreementAI as a ServiceAdaptive Modulation and CodingAccess and

157、Mobility Management FunctionApplication Programming InterfaceApplication-aware IPv6 Networing,Bring Your Own DeviceCustomer Premise EquipmentData as a ServiceData Collection Coordination FunctionDistributed Denial of ServiceDevelopment&OperationsDeep Packet InspectionData Processing Unitenhanced Mob

158、ile BroadbandEthernet Virtual Private NetworkField Programmable Gate ArrayGraphics Processing UnitHybrid Automatic Repeat QuestHarmonized Communication and SensingIP Multimedia Subsystem5G增强版5G核心网验证、授权、计费数据分析存储库功能鉴权与密钥协商人工智能即服务智能自适应调制编码接入和移动管理功能应用程序编程接口基于IPv6的应用感知网络自带设备办公客户终端设备数据即服务数据收集协调功能分布式拒绝服务持续

159、开发运营深度数据包检测数据处理器增强移动宽带以太虚拟专用网络可编程门阵列图形处理器混合自动重传请求通信融合感知IP多媒体系统5G-A5GCAAAADRFAKAAlaaSAMCAMFAPIAPN6BYODCPEDaaSDCCFDDoSDevOpsDPIDPUeMBBEVPNFPGAGPUHARQHCSIMS缩略语英文说明中文说明62 /5G-A安全白皮书 /635G-A安全白皮书Service Communication ProxySoftware Defined NetworkSecurity as a ServiceSecurity Edge Protection ProxiesServic

160、e Function ChainingSystem Information BlockSecurity Information and EventManagementService Level AgreementSecurity Orchestration Automation&ResponseSegment Routing over IPv6Secure Socket LayerSubscription Concealed IdentifierSubscription Permanent IdentifierTransport Layer SecurityUL Centric Broadba

161、nd CommunicationUser Plane Functionultra-Reliable Low-Latency CommunicationsWeb Application Firewall服务通信代理软件定义网络安全即服务安全边缘保护代理业务功能链系统信息块安全信息与事件管理服务等级协议安全编排自动化与响应基于IPv6转发平面的段路由安全套接层订阅隐藏标识符订阅永久标识符传输层安全协议上行超宽带用户面功能高可靠和低延迟通信web应用防火墙SCPSDNSECaaSSEPPSFCSIBSIEMSLASOARSRv6SSLSUCISUPITLSUCBCUPFuRLLCWAF缩略语英文说明

162、中文说明1 3GPP TS 23.501:“System architecture for the 5G System(5GS)”2 3GPP TR 33.875:“Study on enhanced security aspects of the 5G Service Based Architecture(eSBA)”3 3GPP TS 33.535:“Authentication and Key Management for Applications(AKMA)based on 3GPP credentials in the 5G System(5GS)”4 IMT-2020(5G)推进组：“5G-Advanced场景需求与关键技术”，20225 IMT-2030(6G)推进组：“6G网络安全愿景技术研究报告”，20216 中国电信：“云网融合2030技术白皮书”7 中国电信：“云网融合下的安全能力池关键技术与应用”8 中国移动：“5G-Advanced安全技术演进白皮书”9 华为：“华为5G安全白皮书”10 中兴：“面向5G-A的下一代新型基础设施”REFERENCES09参考文献