2023年5G-A安全白皮书

引言 INTRODUCTION 01 01引言01 党的二十大擘画了以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图，强调加快网络强国、数字中国建设，为我国信息通信产业发展提供了根本遵循。5G作为支撑经济社会数字化、网络化、智能化转型 02核心观点 03 的国家新型信息基础设施，是建设网络强国、数字中国建设的重要抓手，也是推动经济社会高质量发展的 035G-A安全趋势与需求04 重要引擎。 3.1.5G-A概述 3.2.5G安全现状 04 09 随着5G大规模商用，全球业界开启了5G下一阶段演进技术研究和探索。2021年4月，国际标准化组 3.3.5G-A安全需求12 045G-A安全架构14 织3GPP正式确定5G-Advanced（简称“5G-A”）为5G下一阶段演进官方名称。从Rel-18开始，全球 5G发展进入新阶段。 4.1.考虑因素 4.2.设计理念 14 15 5G-A具备高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的特征，安全可控是保障和底座，是5G-A向“增能、智能、赋能”演进过程中的关键要素。一方面，5G-A需要持续完善基础型 4.3.安全架构16 4.4.核心特征18 055G-A安全关键技术19 安全技术能力，解决5G网络现阶段的安全不足；另一方面随着以零信任、区块链、量子加密等为代表的安全新技术不断发展，安全框架设计需考虑逐步引入增强型安全技术，以适配5G-A新型业务场景的需求。 5.1.云网安基础设施关键技术19 5.2.基础型安全关键技术 5.3.增强型安全关键技术 5.4.安全运营服务关键技术 24 33 40 本白皮书基于5G安全现状，分析了5G-A安全趋势与挑战，提出了“安全内生、纵深防御、智能演 5.5.安全与网络互编排关键技术44 5.6.能力开放安全关键技术45 06创新应用方案47 6.1.5G-A物联网终端安全方案47 6.2.5G-A终端接入管控方案49 6.3.5G-A天地一体化网络主动DDoS防御方案50 进、弹性自治”的安全架构设计理念；搭建了“三体四层”的5G-A总体安全架构，架构以“云网安一 体、分布自治、软件定义、智慧内生”为核心特征，支持安全的可持续演进和可灵活编排等特征；安全架构包含的关键技术分为内生和非内生两类，前者包括来源于通信系统内部的标准化技术，设备通过自身功能、架构和运行机制形成的安全能力；后者包括源于通信系统外部的技术，可面向垂直行业定制增强，也可面向运营商自身的网络安全运营。内生和非内生安全技术相互支撑，构建5G-A安全技术体系，并支持向6G演进。最后，本文将安全技术能力、运营服务深度赋能5G-A典型应用场景。 6.4.5G-A专网能力开放安全方案 6.5.5G-A资产安全态势感知方案 52 54 本白皮书旨在从框架、标准、技术、能力、运营、场景方案等维度，系统性的思考和梳理5G-A网络 6.6.5G-A安全自动化编排响应平台方案56 07展望与倡议59 08缩略语60 09参考文献63 在云网安全、通信安全、数据安全、信息安全面临的挑战与发展方向，倡导5G-A网络安全技术标准化、 产业化和服务化。呼吁产业同仁踔厉笃行，加快5G-A安全与网络、应用融合创新和实践，推动5G-A高质量发展，维护网信安全，筑牢网络强国的坚实基座。 /01 5G-A安全白皮书 02 核心观点 COREVIEWPOINTS 白皮书贡献单位与主要贡献者（排名不分先后）： 中国电信集团有限公司： 徐浩、史凡、王波、孙军涛 崔铭乾、马卫民、沈军、孔德胜薄明霞、韩智泉、张伟、马伯骄 中国电信安全公司： 常力元、郑直 宿晓萌、龚佳敏、安鹏、万博 指导单位 编制单位 中国信息通信研究院： 何异舟、焦杨、戴方芳 华为技术有限公司： 杨辉、冯运波、郑博、潘巍马骁哲、张正、郭君、李科何加波、闫志成、刘雨、李民徐少东 基于5G-A新特征、新架构、新场景，本白皮书围绕5G-A安全需求，突出安全架构、技术、平台、应用和运营服务的融合创新，提炼的核心观点包括： (1)5G-A安全是5G安全的延续和增强，并支持向6G过渡演进 未来5至6年，5G-A的标准不断完善，应用也将从孵化走向成熟。5G-A安全技术也将随网络与业务发展持续演进，总体上包括三方面，一是5G-A标准涉及的安全技术，包括不断完善的国际标准、国内行业标准和企业标准；二是现有安全技术与5G-A场景适配与优化，如海量终端安全与接入控制、星地融合安全；三是以区块链、量子加密、零信任等为代表新型安全框架与5G-A的结合，探索形成创新场景解决方案。同时，5G-A支持向6G平滑过渡，将提前验证部分6G网络与安全技术，为6G标准制定和技术落地积累重要经验。 (2)内生安全边界的定义是一个随安全需求和技术发展持续演进、优化、融合的动态过程 5G-A内生安全能力的设计来自于两个方面，一是5G标准中相关的安全要求，比如用户身份标识信息的加密；二是运营商基于自身对于安全的理解和要求，在安全体系设计、规划、建设中内置于网络/网元的安全功能，用于保护设备自身安全或者提供网络安全功能。两方面安全能力相互结合，并在运行中形成自带的安全能力，进一步降低安全风险，并随着业务的发展持续调优提升。 (3)面向5G-A行业用户提供安全池化能力是网络安全向业务安全扩展的重要实践 安全池化集成多种安全能力，按需订阅开通，采用APN+业务链的技术，实现安全业务链灵活编排，提供精细化的应用随行能力、用户行为灵活控制能力、未知威胁感知能力，实现应用级SLA保障、全网威胁闭环处置、秒级响应。 中兴通讯股份有限公司： 王继刚、郝振武、顾希、陆海涛章松、游世林、徐昕白、许秀莉徐高峰、杨晓蔚、许晨敏、魏诚朱进国、刘宇泽、刘霈霖、陈文奎 杭州安恒信息技术股份有限公司： 刘博、林明峰、秦树春李剑锋、曾剑峰、刘小睿郑建勇、韩春梅 (4)5G-A安全防御体系呈不同层次服务化，构筑主动、智能、融合、高效的泛在一体化安全运营机制成为必然趋势 5G-A架构下业务生态的持续变化，需构筑覆盖全网的安全运营机制，强化对通信网络新特征和新技术新业务模式下的安全防护，加强通信网络与安全的融合协同及智能感知，实现安全能力与网络和算力资源的互编排，建立覆盖海量异构跨域资产的安全管理及协同调度能力。最终形成面向全网的安全风险监测、态势感知、一体化服务编排和调度能力、自动化处置能力，满足运营商自身网络安全管理及对外能力开放的一体化运营需求。 白皮书编制团队对各位专家提供的指导和帮助表达诚挚敬意和衷心感谢！ (5)网络与应用一体、产品与运营一体的平台化安全能力和服务是5G-A安全目标 在云网安一体化基础设施上，提供高可信、高可靠、高可用的安全能力保障体系，强化5G-A内生安全与应用安全的有机融合，为行业客户提供安全池化服务，实现5G-A网络与应用的端到端安全。 02/ 5G-A安全白皮书 /03 5G-A安全白皮书 03 5G-A 安全趋势与需求 5G-ASECURITYTRENDSANDNEEDS 2021年12月，3GPPSA全会确定了R18版本的28个研究课题，其中的多媒体通信、智能化、确定性通信以及5GS安全配套与演进等研究课题推动着后5G时代网络的持续发展。R18全部协议配置将于2024年3月份冻结，5G-A预计在同年开始商用部署。 3.1.2 5G-A关键特征 3.15G-A概述 下面从技术架构、网络性能、业务场景三个层面阐述5G-A的关键特征。 3.1.1 5G发展情况 在技术架构方面，5G-A秉承智慧、融合与使能三个理念。智慧代表网络智能化，包括充分利用机器学习、数字孪生、认知网络与意图网络等关键技术提升网络的智能运维运营能力，打造内生智能网络；融合包括行业网络融合、家庭网络融合、天地一体化网络融合等，实现5G-A与行业网协同组网、融合发展；使能包括对5G-A交互式通信和确定性通信能力的增强。5G-A技术特征包括： 近年来，各国电信运营商加速5G规模化商用部署。截至2023年7月，我国5G用户达6.95亿户，5G基站建成305.5万个，全球占比超过60%。预计到2025年底，全球5G基站数将突破650万，为全球58%以上的人口提供累积1000亿次的连接服务。从产业发展角度看，5G是消费互联网升级到工业互联网的关键使能技术；从技术演进角度看，新兴业务对5G网络提出了全新的需求，从而推动着业界思考5G的持续演进。 从2018年到2022年，国际标准化组织3GPP完成了R15、R16和R17的5G标准制定，R15构建了5G基础架构，R16逐步完善eMBB、uRLLC、mMTC三大能力并扩展垂直行业，R17进一步广泛提升了行业能力和覆盖能力，3个版本均为5G发展提供了有力的标准支撑。 2021年4月，3GPP正式确定5G-Advanced（下文简称5G-A）为5G演进官方名称，5G-A网络向智能极简、融合泛在、行业使能的数智化方向持续演进，实现由“好用”向“智用”的转变。5G-A预计将会有3个版本，即R18、R19和R20。R18作为5G-A的第一个版本，标志着全球5G技术和标准发展进入新阶段。 (1)云网融合、算网一体 5G-A延续并扩展5G的网络结构，以SBA为基础、以网络切片为框架、以网络平台为核心、以关键网络功能API为抓手，同时引入云原生、边缘网络、移动算力感知调度与网络即服务理念。云原生是在NFV基础上的进一步云化增强，提升网络的部署灵活性和功能开发测试的敏捷性；移动算力感知及调度通过强化网络对算力的感知，实现核心网与边缘节点、边缘节点间的协同，为用户及业务提供最优路径及最佳体验效果；网络即服务模式使5G-A系统高度灵活，构建定制化服务能力。 图3-2：5G-A网络架构 (2)网络智能化 图3-1：5G标准演进 网络智能化可服务网络、安全、管理等领域，将云网大数据资源通过人工智能算法转化为云网的智能规划、业务分析、故障诊断、动态优化能力。 04/ 5G-A安全白皮书 /05 5G-A安全白皮书 NWDAF（网络数据分析功能）是3GPPSA2在5G引入的标准网元，是人工智能+大数据的引擎，具备能力标准化、汇聚网络数据、实时性更高、支持闭环可控等特点。MDAS（管理数据分析服务）是3GPPSA5正在研究的服务能力，它与人工智能和机器学习技术相结合，为网络服务管理和编排带来了智 能化和自动化。 图3-3：基于NWDAF的5G-A网络智能化架构 (4)通感融合 5G-A是通感融合技术应用的初步阶段。通感融合是指在通信模块中赋能感知功能，利用通信系统的频谱资源、空口技术、硬件资源处理单元等接收感知信号并进行处理，基于核心网的深度分析、智能化运算及能力开放，实现多维多粒度的环境和目标感知功能并提升系统频谱效率、硬件效率和信息处理效率。5G-A网络架构设计考虑使能端到端的基础感知功能，包括感知业务的触发、感知控制的管理、感知测量数据的处理以及感知结果的开放与策略更新等。5G-A通感融合网络架构向着通感智算一体化方向进行演进，引入通感智算一体化的核心网、通感智算多功能无线接入网和具有通感智算能力的多功能移动终端，通感智算一体化的核心网可对外开放感知服务。 (3)交互式通信 交互式通信在实时通信的基础上搭载新的数据传输通道，为用户提供除音视频之外的更丰富的实时交互服务。5G-A建立与IMS音视频通话同步的数据通道，同步叠加AR及听觉、视觉、触觉、动觉、环境等信息，实现全沉浸式体验。 (5)天地一体化 图3-5：5G-A通感融合网络架构 天地一体是下一代网络发展趋势，天地一体化信息网络包括天基骨干网、天基接入网、地基节点网，并与地面互联网和移动通信网互联互通，建成“全球覆盖、随遇接入、按需服务、安全可信”的天地一体化信息网络体系。其中，天基骨干网主要由地球同步轨道卫星组成，天基接入网主要由低轨卫星组成，地基节点网由多个地面互联的地基骨干节点组成