中国联通5G网络商用密码应用白皮书(2023) 中国联通5G网络商用密 码应用白皮书(2023) 中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心2023年11月 版权声明 本报告版权属于中国联合网络通信有限公司研究院,并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的,应注明“来源:中国联通研究院”。违反上述声明者,本院将追究其相关法律责任。 目录 前言1 一、商用密码应用发展现状及挑战4 1.1商用密码概述4 1.2商用密码发展现状4 1.2.1法律法规指引5 1.2.2标准体系保障5 1.2.3行业监管要求6 1.2.4产业发展助力8 1.3商用密码融合发展的挑战10 1.3.1密码保障能力及信任体系未完全建立10 1.3.2密码高性能需求与兼容性成为发展瓶颈10 1.3.3密码产业链供应链的融合创新能力不够强11 二、5G网络商密应用体系架构及方案13 2.15G网络密码应用情况13 2.25G网络商用密码应用体系架构及方案15 2.3用户可信接入18 2.3.1基于商用密码的用户隐私保护18 2.3.2基于商用密码的认证流程19 2.3.3基于商用密码的密钥派生21 2.4数据通信安全23 2.4.1基于ZUC算法的空口安全23 2.4.2基于商用密码的用户面分段传输安全24 2.4.3基于商用密码的控制面传输安全25 2.5管理面安全和设备数据安全25 2.6商用密码安全服务26 2.7商用密码5G专网建设模式27 三、商用密码在5G网络中的应用实践29 3.15G网络商用密码服务基础设施29 3.25G+车联网商用密码应用实践33 3.35G专网MANO商用密码应用实践35 四、展望38 附录A:缩略语39 参考文献43 前言 党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,习总书记多次发表重要讲话,作出重要指示批示,从党和国家事业发展全局的高度对网络安全工作作出一系列新部署新要求。党的二十大报告指出,“以新安全格局保障新发展格局”,安全在发展中的作用愈发重要。密码是国家网络空间的安全基石与核心技术,也是党的事业和国之重器,密码工作直接关系国家政治安全、经济安全、国防安全和网络安全,直接关系社会组织和公民个人的合法权益,商用密码工作是密码工作的重要组成部分,在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。对密码发展进行系统性、体系性的研究和探索,进一步挖掘密码融合创新能力、打造密码生态和发挥密码效能,对践行总体国家安全观,适应国家治理体系和治理能力现代化要求,充分发挥密码在数字经济发展和网络空间安全中的基础支撑作用具有重大意义。 5G网络是数字经济发展的关键支撑,基于大带宽、低时延、高速率的传输特性,不仅带来更高速、优质的网络体验,也为数字经济发展“修好桥”“铺好路”。随着5G网络的飞速发展与行业的不断融合,行业对安全差异化与精细化的需求更加紧迫,密码本身作为安全的重要内核,在5G中的作用越来越凸显,尤其近几年来随着国际环境的风云变幻,我国自主可控能力需求进一步提升,更加强调商用密码的应用,特别是重要基础设施行业,纷纷把网络建设与商用密码 应用作为“三同步”的重要要求。此外,随着国家一系列法律法规的出台,《数据安全法》、《个人信息保护法》、《密码法》、《网络安全法》以及《关键基础设施保护条例》等相继实施,有力的指引并推动了商用密码的应用,不断拓宽加深密码在行业应用的广度与深度,更加强调商用密码在促进产业数字化转型、数字产业化等方面的重要作用。为此,加快推进商用密码在5G网络中的应用落地,充分激发5G与密码应用结合的创新能力,提升运营商和行业用户网络的自主可控、安全合规能力,保障商用密码应用的正确、合规、有效具有重要的价值意义。 目前,5G网络安全防护主要采用国际密码算法,我国商用密码仅ZUC算法在5G网络RRC、NAS信令面以及空口用户面机密性与完整性保护过程中被作为可选项。在面向工业互联网典型场景和党政军等行业的高安全需求时,5G网络由于不具备基于商用密码的安全能力,无法满足其高安全需求。随着5G网络和业务的发展,亟需推进商用密码技术在5G网络中的应用,填补密码技术应用空白,筑牢5G网络安全防线。 本白皮书详细阐述了我国商用密码应用发展现状,结合5G网络特点,提出了5G网络商密应用体系架构,并给出了商用密码在5G网络中的应用实践,最终对5G网络商用密码应用的未来发展趋势进行了展望,以期为打通商用密码技术产业链上下游,为5G网络商密应用提供参考。 编写单位: 中国联通研究院、中国联通网络安全研究院、下一代互联网宽带业务应用国家工程研究中心、联通数字科技有限公司、中国联通广东省分公司、中兴通讯股份有限公司、三未信安科技股份有限公司、渔翁信息技术股份有限公司 编委: 中国联通研究院、中国联通网络安全研究院、下一代互联网宽带业务应用国家工程研究中心:李红五、叶晓煜、徐雷、张曼君、陆勰、姚 戈、王姗姗、谢泽铖、王蕴实、程筱彪、侯捷、谢中怀、郭新海、傅瑜、陶冶、贾宝军、李强 联通数字科技有限公司:李广聚、朱常波、张建荣、张建桁、周凯、 鲁华伟、韩浩 中国联通广东省分公司:潘桂新李文彬彭健 中兴通讯股份有限公司:郝振武,关先锋,代九龙,祁娟,魏立平三未信安科技股份有限公司:鹿淑煜、王华龙、张万涛 渔翁信息技术股份有限公司:刘新田 一、商用密码应用发展现状及挑战 1.1商用密码概述 根据《商用密码管理条例》中的定义,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。目前我国自主研发的商用密码算法主要包括:SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法,其中,SM1和SM7算法不公开,它们的组合可以为各种需要密码技术作为支撑的行业应用提供坚实可靠的基础。 商用密码具有广泛的应用前景,主要面向不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等数据进行加密保护。例如企业敏感信息的传输与存储加密、防止非法第三方获取数据、安全认证与数字签名等。 1.2商用密码发展现状 党的十八大以来,以习近平总书记为核心的党中央高度重视互联网、发展互联网、治理互联网,形成了网络强国战略思想,走出了一条中国特色治网之道,指引我国网信事业取得历史性成就,商用密码由此得到全面发展。国内密码产业链不断完善,国产密码厂商逐年增加,2020年《商用密码产品认证目录》颁布后,全国拥有认证商密产品的企业共551家。随着近几年的发展,密码产业在法律法规、 标准体系、监管考核、产业应用等方面进展显著,为商用密码更加广泛的应用奠定坚实的基础。 1.2.1法律法规指引 随着《网络安全法》《密码法》《关键信息基础设施安全保护条例》《个人信息保护法》等一系列法律法规的颁布和实施,我国各领域对商用密码技术和产品的需求将明显增加,应用需求将持续推动技术进步,商用密码产业将迎来长期且持续的发展机遇。 国家在政策法规层面逐步完善现行商用密码管理制度,促进商用密码应用改造,进一步规范商用密码的使用和管理,保障商用密码使用有法可依,引导商用密码产业健康有序发展。 2023年4月27日,国务院总理李强签署第760号国务院令, 公布修订后的《商用密码管理条例》,自2023年7月1日起施行,这就意味着商用密码应用安全性评估正式由“推荐性”转为“强制性”。 1.2.2标准体系保障 我国高度重视商用密码国际标准化工作,大力推进以我国自主设计研制的SM系列算法为代表的中国商用密码标准纳入国际标准,积极参与国际标准化活动,加强国际交流合作。2011年9月,我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)的4G移动通信标准,用于移动通信系统空中传输信道的信息加密和完整性保护,这是我国密码算法首次成为国际标准,ZUC算法也是5G网络中的空口机密性与完整性保护的算法之一,目前,我国正推动256比特版本的ZUC算法进入5G通信安全标准。除此之外,从 2015年5月起,我国又陆续向ISO提出了将SM2、SM3、SM4和SM9算法纳入国际标准提案。2017年,SM2和SM9算法正式成为ISO/IEC国际标准;2018年,SM3算法正式成为ISO/IEC国际标准;2020年4月,ZUC算法正式成为ISO/IEC国际标准;2021年3月,SM9标识加密算法正式成为ISO/IEC国际标准;2021年6月25日,SM4分组密码算法正式成为ISO/IEC国际标准;2021年10月,SM9密钥交换协议作为国际标准ISO/IEC11770-3:2021《信息技术密钥管理第3部分:使用非对称技术的机制》的一部分,由国际标准化组织ISO/IEC正式发布。这些标志着我国商用密码算法具有国际领先的技术理论基础,已经具备了可以广泛应用商用密码的条件。 1.2.3行业监管要求 随着顶层法律法规的逐步健全,标准体系的不断完善,密码应用更加广泛,各行业对密码应用更加强调合规、正确、有效,随之而来的密码相关的监管要求工作也在不断推进。 在重要领域和网络空间推进密码应用,是贯彻落实网络强国战略和密码法,切实防范重要信息系统安全风险的一项重要举措。2019年年底,国务院办公厅印发了《国家政务信息化项目建设管理办法》,明确要求政务信息化项目应同步规划、同步建设、同步运行密码保障系统并定期进行评估,对于不符合密码应用和网络安全,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统;2021年8月交通运输部发布的 《交通运输领域新型基础设施建设行动方案》中强调推进商用密码技术应用;2022年12月电力行业明确密码应用要求,颁布《电力行业网络安全等级保护管理办法》,其中单列一章(第四章:网络安全等级保护的密码管理)明确密码管理要求;2023年3月交通运输部,国家铁路局,中国民用航空局,国家邮政局,中国国家铁路集团有限公司联合印发《加快建设交通强国五年行动计划(2023-2027年)》其中第18条开展网络和数据安全能力提升行动,明确要求组织实施网络安全实网攻防演练,加强商用密码应用推广。 在通信领域,工业和信息化部高度重视商用密码应用推进工作,2021年3月11日成立工业和信息化部商用密码应用产业促进联盟成立。联盟贯彻落实《密码法》有关要求,推动工业和信息化领域商用密码应用和创新发展,进而做大做强商用密码产业,推动商用密码产业健康、高质量发展。当前,商用密码在科技创新、产业发展和应用推广等方面的落实工作已经初见成效。 关键信息基础设施安全是网络安全防护的重中之重,加快推进密码在通信领域关键信息基础设施中的应用,构建更加完善的关基安全体系势在必行。2020年4月,国家密码管理局组织编写出版《商用密码应用与安全性评估》,监管部门在每年的考核中对商用密码应用也作了明确要求,对关键基础设施、等保三级以上的信息系统要求开展商用密码应用安全性评估。2021年9月1日起施行《关键信息基 础设施安全保护条例》,2022年11月7日,全国信安标委公众号发布了《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)(简称“《关基安全保护要求》”),该标准于2023 年5月1日正式实施,作为关键信息基础设施安全保护标准体系的构建基础,明确了密码技术的应用要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。 1.2.4产业发展助力 近年来,商用密码产业链体系逐步完善,我国商用密码产品自主创新能力持续增强,产业支撑能力不断提升,部分产品性能指标已达到国际先进水平。随着信息技术产业的持续发展和完善,密码产品也随之迭代丰富,现有商用密码产品达到3,000余款,其中2,200余款产品取得商用密码产品认证证书,品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条,形成了完整的商用