5G網絡安全原子能力白皮書2023

中國聯通

Chinaunicorn

中國聯通5G網絡安全

原子能力白皮書

中國聯通研究院

2022年12月

中國聯通5G網絡安全原子能力白皮書(2022)

版權聲明

本報告版權屬于中國聯合網絡通信有限公司研究院，并受法

律保護。轉載、摘編或利用其他方式使用本報告文字或者觀點的,

應注明“來源：中國聯通研究院”。違反上述聲明者，本院將追

究其相關法律責任。

中國聯通5G網絡安全原子能力白皮書(2022)

目錄

前言.....................................................................1

15G網絡安全概述........................................................3

1.15G網絡安全挑戰(zhàn)....................................................3

1.25G安全增強特性...................................................4

1.35G行業(yè)應用安全需求................................................5

25G網絡安全原子能力框架................................................8

35G設備級內生安全功能..................................................9

45G網絡級、平臺級安全原子能力........................................10

4.1網絡級安全原子能力................................................10

4.1.1接入安全原子能力..............................................10

4.1.2邊緣安全原子能力..............................................13

4.1.3核心網安全原子能力............................................17

4.1.4運維安全原子能力..............................................20

4.1.5切片安全原子能力..............................................21

4.2平臺級安全原子能力................................................25

4.2.1DDoS攻擊防護能力............................................25

4.2.25G安全態(tài)勢感知能力...........................................27

4.2.3網站安全防護能力..............................................29

中國聯通5G網絡安全原子能力白皮書(2022)

4.2.4密碼云平臺能力.....................................................30

4.2.55G專網信令流量安全分析能力......................................33

4.2.6云原生應用安全防護能力............................................34

4.2.75G數據安全防護能力...............................................36

4.2.85G終端零信任接入能力.............................................39

4.2.9安全基礎能力.......................................................40

5面向行業(yè)的場景級安全原子能力..............................................42

5.1終端安全................................................................42

5.2網絡安全...............................................................44

5.3數據安全...............................................................47

5.4應用安全...............................................................49

6未來展望....................................................................52

附錄A設備級安全功能....................................................53

A.1終端安全功能............................................................53

A.1.1終端接入認證功能...................................................53

A.1.2終端信令和用戶面數據保護功能......................................53

A.1.3用戶憑證安全功能...................................................55

A.1.4終端訪問控制功能...................................................55

中國聯通5G網絡安全原子能力白皮書(2022)

A.2基站安全功能......................................................56

A.2.1基站信令和用戶面數據保護功能..................................56

A.2.2基站可用性保護功能............................................58

A.3MEC安全功能.....................................................59

A.3.1MEC1:安全隔離...............................................59

A.3.2MEC2:邊界安全防護...........................................60

A.3.3MEC3:流量安全控制...........................................60

A.3.4MEC4:API接口安全...........................................60

A.3.5MEC5:終端訪問安全...........................................61

A.3.6MEC6:業(yè)務連續(xù)性安全.........................................61

A.3.7MEC7:應用安全防護功能.......................................61

A.3.8MEC8:通信安全防護功能.......................................62

A.3.9MEC9:數據安全防護...........................................62

A.3.10MEC10:虛擬化安全防護功能..................................63

A.3.11MEC11:能力開放安全防護功能................................64

A.45GC網元安全功能..................................................64

A.4.15GC通用安全功能..............................................64

A.4.2UPF安全功能..................................................66

中國聯通5G網絡安全原子能力白皮書(2022)

A.4.3AMF安全功能..................................................67

A.4.4SMF安全功能..................................................69

A.4.5AUSF安全功能.................................................70

A.4.6UDM安全功能.................................................71

A.4.7PCF安全功能..................................................71

A.4.8NRF安全功能..................................................71

A.4.9NEF安全功能..................................................72

A.4.10NSSF安全功能...............................................73

A.4.11NSSAAF安全功能.............................................73

A.4.12SEPP安全功能................................................73

附錄B縮略語.......................................................75

附錄C參考文獻.....................................................80

中國聯通5G網絡安全原子能力白皮書(2022)

刖言

5G作為新一代信息通信技術演進升級的重要方向，是實現萬物

互聯的關鍵信息基礎設施、經濟社會數字化轉型的重要驅動力量。隨

著5G的發(fā)展，5G安全成為了各國關注的焦點。

國際上，美國一直力圖在5G技術創(chuàng)新、應用發(fā)展、安全建設等

方面占據全球領先地位。2020年3月23日，白宮發(fā)布了《美國5G

安全國家戰(zhàn)略》，計劃與盟友合作共同領導全球安全可靠的5G通信

基礎設施的開發(fā)、部署和管理。歐盟也高度重視5G發(fā)展，并著力構

建各成員國統(tǒng)一的安全框架。2020年1月29日，歐委會通過歐盟

5G安全工具箱，通過一系列戰(zhàn)略和技術措施解決《歐盟5G網絡安

全風險評估報告》中所有已識別出的風險。

國際高度關注5G安全問題的同時，我國也積極推動5G網絡安

全工作，從政策、標準、技術等方面持續(xù)完善安全保障措施，統(tǒng)籌規(guī)

劃5G安全相關工作。工信部于2021年出臺5G網絡安全實施指南,

全面梳理分析5G安全風險和應對措施，為5G產業(yè)鏈各環(huán)節(jié)客觀認

識和應對5G安全問題提供技術指引。在2021年7月，工信部聯合

網信辦、發(fā)改委等9部門印發(fā)《5G應用“揚帆”行動計戈1(2021-2023

年)》，針對5G應用安全保障能力提出了目標和要求，明確指出要加

快構建與5G應用發(fā)展相適應的安全保障體系。

5G安全是全球面臨的共同問題，全行業(yè)可通過共同的5G安全

理念、共識的5G安全框架及共建的5G安全能力，應對潛在的安全

挑戰(zhàn)。本白皮書面向5G網絡自身安全運營和5G行業(yè)應用安全需求,

中國聯通5G網絡安全原子能力白皮書(2022)

提出可為不同垂直行業(yè)賦能的安全原子能力，靈活組合對外賦能，打

造與行業(yè)應用相適應的安全能力體系，助力全行業(yè)安全數字化轉型。

本白皮書旨在為5G網絡安全建設和垂直行業(yè)業(yè)務拓展提供綜

合性安全技術指導，從5G網絡的角度促進5G+垂直行業(yè)的安全、

可靠、高質量發(fā)展。目標讀者包括但不限于移動運營商、通信設備提

供商、安全產品提供商、安全服務提供商、系統(tǒng)集成商，以及其他關

心5G網絡安全相關的機構和個人。

編寫組成員：

中國聯合網絡通信有限公司研究院：徐雷、張曼君、謝澤鉞、王

蘊實、陸勰、姚戈、程筱彪、王姍姍、郭新海、賈寶軍、陶冶、丁攀、

劉安、侯樂、胡慧、藍鑫沖、蘇俐竹、劉偉、楊雙仕、王戈、王瑩

中國聯合網絡通信有限公司廣東省分公司：莫俊彬、潘桂新、李

文彬、彭健、聶勛坦

聯通數字科技有限公司：周凱，蔣小燕，范勇杰，祝少波

華為技術有限公司：田超斌、李科、程帥

恒安嘉新(北京)科技股份公司：高華、劉志強、王赫

北京神州綠盟科技有限公司：雷新、賈少華、封宏濤

-2-

中國聯通5G網絡安全原子能力白皮書(2022)

15G網絡安全概述

1.15G網絡安全挑戰(zhàn)

深化5G與經濟社會各領域的融合應用，將對政治、經濟、文化、

社會等各領域發(fā)展帶來全方位影響。5G造福社會的同時，其開放性、

切片化、大連接、大數據等特性，對5G安全帶來了全新的挑戰(zhàn)。

開放性安全風險，一方面是多終端接入帶來更多認證、訪問控制

的挑戰(zhàn)，運營商網絡邊界將進一步模糊化，傳統(tǒng)縱向護城河式的防護

策略將難以繼續(xù)適用；另一方面5G網絡將進一步面向各行業(yè)開放，

全面賦能，這也意味著更多第三方應用將可能和運營商網絡設備緊耦

合部署，安全規(guī)劃、安全基線、安全能力建設將不再局限于對運營商

自身網絡的防護，對運營商的網絡與信息安全管控能力提出了更高的

要求。

切片化安全風險，主要是5G切片需要滿足行業(yè)個性化需求，在

共享的資源上實現邏輯隔離。如果沒有采取適當的安全隔離機制和措

施，若某個低防護能力的網絡切片受到攻擊，則攻擊者可以以此為跳

板攻擊其他切片，進而影響其他切片的正常運行。

大連接安全風險，主要是大連接場景下更易引入DDoS攻擊和

信令風暴。大量功耗低、計算和存儲資源有限的終端難以部署復雜的

安全策略，一旦被攻擊容易形成僵尸網絡，成為攻擊源，進而引發(fā)對

網絡系統(tǒng)和用戶應用的攻擊，帶來網絡中斷、系統(tǒng)癱瘓等安全風險，

造成的危害將比傳統(tǒng)終端帶來的危害更大。

-3-

中國聯通5G網絡安全原子能力白皮書(2022)

大數據安全風險，5G網絡的多終端、多行業(yè)接入，帶來了更多

元化的數據，運營商管控的數據類型和數量可能快速增加，數據安全

的防護面和防護對象數量將同步擴大。同時，由于5G網絡業(yè)務需求,

傳統(tǒng)B、M、0域數據將進一步融合，數據的安全邊界也更加模糊化,

需要重構運營商數據安全防護策略。

1.25G安全增強特性

為應對網絡安全挑戰(zhàn)，全行業(yè)正共同致力于應對5G架構、技術、

業(yè)務面臨的新的安全風險，通過統(tǒng)一的5G安全標準、共同的5G安

全理念及共識的5G安全框架，應對潛在的安全挑戰(zhàn)。目前，5G網

絡在以下幾方面進行了安全增強：

(1)更好的空口安全：在2G/3G/4G中用戶和網絡之間用戶數

據機密性保護的基礎之上，5G網絡進一步支持用戶數據的完整性保

護機制，防范用戶數據的篡改攻擊。

(2)更強的用戶隱私保護：在2G/3G/4G時，移動用戶身份標

識IMSI在部分場景下是通過空口明文發(fā)送的，攻擊者可以利用這一

缺陷追蹤用戶。在5G中，用戶永久身份SUPI將以加密形式發(fā)送，

以防范"IMSIcatcher"攻擊。

(3)更安全的網絡漫游：運營商之間通常需要通過轉接運營商

來建立連接。攻擊者可以通過控制轉接運營商設備的方法，假冒合法

的核心網節(jié)點，發(fā)起類似SS7的攻擊。5G的SBA架構中新定義了

SEPP,對運營商間的信令面數據進行安全保護，使得運營商間的轉

-4-

中國聯通5G網絡安全原子能力白皮書(2022)

接設備無法竊聽核心網之間交互的敏感信息(如密鑰、用戶身份、短

信等)o

(4)更強的密碼算法：為了應對量子計算機對密碼算法的影響，

5G在未來版本可能需要支持256bit算法。目前5GR15標準已定

義256bit密鑰傳輸等相關機制，為未來引入256bit算法做好準備。

(5)更安全的SBA:5G核心網的SBA新架構將網絡功能服務

化，標準定義了SBA架構的服務安全機制。包含更細粒度的網元間

授權機制，更強的運營商間的用戶面數據傳輸保護等，以保障核心網

內部信令面及用戶面數據的傳輸安全。

1.35G行業(yè)應用安全需求

5G網絡基于全新的架構，將傳統(tǒng)的人與人通信延伸到人與物、物

與物之間智能互聯，應用場景從互聯網拓展到工業(yè)互聯網、車聯網、

物聯網等更多領域。5G為垂直行業(yè)帶來了更大帶寬、更低時延、更

多接入的通信技術能力，將會深度與垂直行業(yè)業(yè)務融合，5G行業(yè)應

用有以下幾個重點安全需求：

(1)5G終端接入安全。傳統(tǒng)網絡中，企業(yè)網絡是封閉的，各

種設備終端從園區(qū)局域內網接入，應用只對內部開放，數據主要在企

業(yè)園區(qū)內流動。通過5G網絡接入后，打破了原有的物理邊界，需要

更加嚴謹、細粒度的訪問控制來約束終端的上網行為，避免異常終端

接入。同時，終端設備本身，包括所用芯片、嵌入式操作系統(tǒng)、編碼

規(guī)范、第三方應用軟件等，可能存在漏洞、缺陷、后門等安全問題，

-5-

中國聯通5G網絡安全原子能力白皮書(2022)

暴露在相對開放的5G網絡中，存在被利用的風險，多種類終端接入

加劇了惡意應用威脅滲透，易被利用成為新攻擊源，進而對企業(yè)應用、

后臺系統(tǒng)等發(fā)起攻擊，造成巨大損失。

(2)網絡安全防護。5G虛擬專網、共享切片、資源云化等行

業(yè)應用的服務模式導致出現更多虛擬網絡邊界(例如邊緣計算云平臺

上的虛擬資源之間、APP之間等)，運營商與垂直行業(yè)之間需要明確

在混合組網、共享云平臺等場景下的安全責任邊界劃分，并在物理邊

界和虛擬邊界部署入侵檢測、安全隔離等安全防護措施。

(3)數據安全。從信息安全三要素CIA(機密性、完整性和可

用性)來看，5G網絡與其他公共通信網絡一樣，需要保障垂直行業(yè)

的數據在網絡中傳輸、交換和存儲的信息的機密性、完整性，不被未

經授權的篡改、泄露和破壞，同時，保障系統(tǒng)連續(xù)可靠地運行，不中

斷地為上層應用提供通信服務。

(4)應用安全。應用包括運營商應用和第三方應用，提供行業(yè)

應用服務。5GMEC支持用戶面下沉部署，利用無線接入網就近提

供用戶所需服務和計算能力，實現通信和業(yè)務深度融合。MEC應用

主要面臨不可用、濫用、隱私泄露等安全風險，需要規(guī)范應用開發(fā)和

上線，降低安全風險，同時加強開放API的安全管控。

-6-

中國聯通5G網絡安全原子能力白皮書(2022)

SG線?接入安全&db網第安淑護

??佬3*火明Z4”T??卜???*

34?HMBRXJ

傳CHI安全Jffi網安全______

Mcc??fWB7<wMmurfl

?，2iR

mw/6W冷mufio

?fwmvA.a.”“二方E?K

圖1-15G行業(yè)應用安全需求

-7~

中國聯通5G網絡安全原子能力白皮書(2022)

25G網絡安全原子能力框架

結合5G網絡相比4G網絡在網元設備級、網絡級安全能力的增

強提升以及融合安全系統(tǒng)的檢測防御能力，面向5G網絡自身安全運

營和5G行業(yè)應用安全需求，構建“設備級-網絡級+平臺級-場景級”

的5G網絡安全原子能力三層架構。其中設備級安全功能主要為終端

設備、基站、MEC、5GC等5G網絡各網元設備的安全功能，偏向

于底層網元，是網絡級安全原子能力的基礎；網絡級安全原子能力依

托于設備級的安全功能，整合需要多設備網元共同提供的安全能力;

平臺級安全原子能力整合了5G網絡中安全系統(tǒng)的能力，為行業(yè)客戶

提供更全面的安全防護;場景級安全原子能力在梳理各垂直行業(yè)的安

全需求場景基礎上，拉通多個網絡級、平臺級安全原子能力，提供不

同場景的安全能力。

—■1■

圖275G網絡安全原子能力框架

-8-

中國聯通5G網絡安全原子能力白皮書(2022)

35G設備級內生安全功能

5G網絡中的終端設備和各網元設備均具有一定的內生安全功能,

如終端具備接入認證、用戶隱私保護等安全功能；基站具備空口信令

和用戶數據的加密完保、偽基站檢測等安全功能；MEC具備API接

口安全、虛擬化安全防護等功能；5GC網元具備網元間相互認證、

網元虛擬化隔離等安全功能。這些設備級安全功能是5G網絡安全原

子能力中最基礎的安全功能，為上層網絡級、場景級的安全原子能力

提供基礎，詳細內容見附錄A。

-9-

中國聯通5G網絡安全原子能力白皮書（2022）

45G網絡級、平臺級安全原子能力

4.1網絡級安全原子能力

5G網絡中的安全流程涉及多個網元設備，一般由終端和各網元

設備配合完成。如主認證流程由終端、AMF、AUSF、UDM等網元

共同完成;二次認證流程由終端、AMF、SMF、UPF、AUSF、DN-AAA

等網元共同完成；切片認證由終端、AMF、UDM、NSSAAF、AAA-P、

AAA-S等網元共同完成?；诖?，網絡級安全原子能力從5G網絡

組網架構出發(fā)，整合各網元設備的安全功能，分為接入安全原子能力、

邊緣安全原子能力、核心網安全原子能力、運維安全原子能力、切片

安全原子能力，為上層的場景級安全原子能力提供支撐。

4.1.1接入安全原子能力

終端訪問控制

網絡級安全原子能力描述所需安全功能

5G網絡利用終端具有

終端訪問網絡

的唯一合法用戶標識和設備

控制原子能力終端13.1、終端

終端訪標識，通過流量限制、機卡

（網絡級-接入13.2、UDM4

問控制綁定等措施，將終端對5G

-1）

原子能網絡的訪問行為進行限制。

力終端接入位置借助5G網絡能力通過

控制原子能力用戶標識結合位置標識限制終端13.1、AMF7

（網絡級-接入終端可接入網絡的位置。可

-10~

中國聯通5G網絡安全原子能力白皮書（2022）

-2)基于不同位置控制精度的要

求,選擇TAIlist方案、ULI

方案或者兩者組合方案。

終端接入業(yè)務基于終端的IMSI信息、

終端13.1、終端

控制原子能力手機號等唯一標識設定可訪

13.2、UPF5s

（網絡級-接入問業(yè)務地址策略，實現終端

SMF1

-3）接入業(yè)務控制。

用戶隱私保護原子能力

網絡級安全原子能力描述所需安全功能

終端使用防篡改的安全

用戶憑證安全

硬件組件，為終端內的用戶

原子能力（網絡終端9、終端10

憑證提供完整性保護功能和

級-接入-4）

機密性保護功能。

5G網絡對5G用戶永

用戶隱久身份標識SUPI信息進行

私保護保護，除未經認證的緊急呼

SUPI隱私保

叫等場景，終端不能在終端11、AMF3、

護原子能力（網

NG-RAN傳輸SUPI明文。UDM3

絡級-接入-5）

5G網絡可以配置和更新歸

屬網絡公鑰，開啟SUPI隱

私保護機制。

-11-

中國聯通5G網絡安全原子能力白皮書（2022）

接入認證原子能力

網絡級安全原子能力描述所需安全功能

用戶接入主認

5G網絡通過EPS-AKA）

證原子能力終端1、AMF4、

和5G-AKA認證機制對用戶

（網絡級-接入AUSF1、UDM1

進行接入認證。

-6）

5G網絡通過SMF網元配

置啟用二次身份認證，當終端

接入5G網絡完成核心網主認

二次認證原子證之后，可將終端身份認證信

終端2、SMF1、

接入認能力（網絡級-息轉發(fā)到AAA系統(tǒng)進行終端

UPF5、AUSF2

證原子接入-7）身份二次認證oAAA系統(tǒng)可以

能力由行業(yè)客戶企業(yè)自部署，也可

以由運營商部署提供云上

AAA月艮務。

5G網絡支持在用戶終端

及業(yè)務服務器之間建立GBA、

其他安全認證

AKMA認證機制，并使用衍生終端3、終端4、

原子能力（網絡

的密鑰進行數據完整性和機密AUSF3

級-接入-8）

性保護，為用戶提供安全認證

能力。

-12-

中國聯通5G網絡安全原子能力白皮書（2022）

數據保護原子能力

網絡級安全原子能力描述所需安全功能

5G網絡具備對接入側

終端5、終端6、

信令面數據保的控制面信令提供機密性保

基站1、基站2、

護原子能力（網護和完整性保護的能力，防

AMF1、AMF2、

絡級-接入-9）止信令傳輸被非法篡改和竊

數據保AMF9

取。

護原子

5G網絡具備對接入側

能力

用戶面數據保的用戶面數據提供機密性保

終端7、終端8、

護原子能力（網護和完整性保護的能力，防

基站3、基站4

絡級-接入-10）止用戶面數據傳輸被非法篡

改和竊取。

4.1.2邊緣安全原子能力

MEC數據安全

網絡級安全原子能力描述所需安全功能

5G網絡具備對N3接口、UPF3.1、

N4接口、邊緣計算系統(tǒng)中的標UPF3.2、

數據傳輸安全

MEC數準接口等傳輸的信令或用戶數UPF3.3、

原子能力（網絡

據安全據的機密性、完整性和防重放UPF3.4、

級-邊緣7）

攻擊保護，并對MEC之內或MEC4.2、

之間的數據傳輸部署安全通MEC4.3、

-13-

中國聯通5G網絡安全原子能力白皮書(2022)

道。MEC8.1

5G網絡具備通過安全訪MEC3.1、

問控制策略對邊緣信令接口MEC3.2.

流量安全控制

N4接口進行流量安全控制，通MEC8.3、

原子能力(網絡

過部署網絡防火墻對邊緣用戶UPF2.2、

級-邊緣-2)

面接口N6接口進行流量安全UPF2.3、

控制。UPF4.2

5G網絡具備對流向5G核

抗DDoS原子MEC4.1、

心網的信令流量，以及來自終

能力(網絡級-UPF2.6、

端和APP的業(yè)務流量進行限

邊緣-3)UPF2.7

速，防止發(fā)生DDoS攻擊。

MEC支持將涉及用戶隱

私的數據信息加以標識，對于

用戶隱私數據

增加標識的重要數據進行完整

保護原子能力MEC9.1、

性、機密性及防重放的保護。

(網絡級-邊緣MEC9.2

利用入侵檢測技術對API接口

-4)

的使用者進行檢測，防止攻擊

者獲取用戶的隱私數據信息。

-14-

中國聯通5G網絡安全原子能力白皮書（2022）

MEC平臺安全

網絡級安全原子能力描述所需安全功能

為行業(yè)客戶提供邊緣MEC

平臺本身的安全保障能力。由于MEC1.1、

平臺安全隔離

5G邊緣計算平臺MEP本身是基MEC1.2、

能力（網絡級-

于虛擬化基礎設施部署，支持管MEC1.3、

邊緣-5）

理、業(yè)務和存儲三平面安全隔離，MEC10.3

以及虛擬化安全隔離。

MEC支持加強API接口的安

全管控，對發(fā)往API的請求和調MEC4.1、

用進行監(jiān)控和限制，防止攻擊者或MEC4.2、

MEC平

接口安全防護者惡意應用對MEP的服務接口MEC4.3、

臺安全

能力（網絡級-進行非授權訪問，攔截或者篡改MEC7.3、

邊緣-6）MEP與APP之間的通信數據，MEC8.2、

防止攻擊者通過惡意應用訪問MEC10.5.

MEP上的敏感數據，竊取、篡改MEC11.1

和刪除用戶的敏感隱私數據。

邊緣云虛擬設MEC通過禁用不必要服務、MEC7.5、

施安全防護能鏡像校驗、安全加固等多種手段確MEC10.1s

力（網絡級一邊保MEC平臺的虛擬設施安全，為MEC10.2、

緣-7）行業(yè)客戶提供安全、可靠的MECMEC10.4,

~15~

中國聯通5G網絡安全原子能力白皮書（2022）

平臺服務。MEC10.6

MEC應用安全

網絡級安全原子能力描述所需安全功能

MEC平臺與第三方應用通過

安全認證與授權機制，對MEP上的MEC1.2、

應用安全策

MEC應APP進行安全保護，防止APP之間MEC1.3、

略（網絡級-

用安全

的非法訪問，防止第三方APP通過MEC4.2、

邊緣-8）

惡意消耗MEC系統(tǒng)資源造成系統(tǒng)MEC7.1-7.6

服務不可用。

MEC邊界安全

網絡級安全原子能力描述所需安全功能

部署數據不出園區(qū)的網絡

架構，UPF部署在行業(yè)園區(qū)，實

現用戶面數據不出園。部署邊界

數據不出園安全原MEC2.2、

MEC防火墻支持雙向過濾策略。部署

子能力（網絡級一邊MEC2.3、

邊界流量監(jiān)控設備，智能分析并識別

緣-9）MEC2.4

安全僅信令及OM相關數據可以流

出，確保沒有業(yè)務數據流出行業(yè)

園區(qū)。

邊界訪問控制安全利用邊界網元ACL過濾功UPF4.1、

-16~

中國聯通5G網絡安全原子能力白皮書（2022）

原子能力（網絡級-能、協(xié)議控制功能，并在邊界部UPF4.2、

邊緣-10）署抗DDoS攻擊、入侵檢測、訪MEC2.1

問控制、Web流量檢測等安全

能力，實現邊界安全防護，保障

5GC安全。

4.1.3核心網安全原子能力

能力開放安全

網絡級安全原子能力描述所需安全功能

為行業(yè)客戶提供邊緣能力

開放過程中的安全保障能力。對

API進行安全的管理、發(fā)布和開MEC4.1、

邊緣能力開放放，通過TLS安全協(xié)議保障開放MEC4.2、

（網絡級-核心API接口與第三方應用之間的數MEC4.3、

網7）據安全傳輸，通過OAuth認證MEC11.1、

能力開

授權機制保障API接口調用安MEC11.2

放安全

全，防止惡意應用對5G網絡的

非授權訪問。

為行業(yè)客戶提供網絡能力

網絡能力開放

開放過程中的安全保障能力。NEF1、NEF2、

（網絡級-核心

5G網絡中NEF主要負責能力NEF3

網-2）

開放相關的功能，是運營商內部

-17-

中國聯通5G網絡安全原子能力白皮書（2022）

網絡資源和外部AF應用之間的

橋梁。

網元間安全認證

網絡級安全所需安全

描述

原子能力功能

5GC各元間具備安全認證能力，通過OAuth認

證授權機制保障SBI安全，確保行業(yè)客戶的網絡安

全，防止未授權網元訪問網絡和業(yè)務。采用客戶憑證

授權方式，使用IETFRFC6749中指定的OAuth2.0

網元間安全

框架，NRF作為授權服務器，產生Token（令牌）5GC通

認證（網絡

以及提供授權服務。通過NRF動態(tài)授權的方式限制用3、

級-核心網

NF之間的訪問權限，確保NF身份合法，防止NFNRF1

-3)

被仿冒帶來的信息泄露、篡改等安全風險。

其中OAuth認證授權機制最重要的步聚為獲取

訪問令牌和使用訪問令牌去訪問服務，兩個流程如下

圖所示。

-18-

中國聯通5G網絡安全原子能力白皮書(2022)

0NFSarvctConsuvwfZMAF

fIM^AaDMBTitoi.GaiRiiq)itti~

tEapecWd*znwcandWRe

COTIMWNFrype,CMIid>

7MX，'懵R.rT

NF服務使用者在NF服務訪問之前獲取

訪問令牌

2**喻村+■中?)

圖4-2NF服務使用者使用訪問令牌請求服務

-19~

中國聯通5G網絡安全原子能力白皮書（2022）

網元虛擬化安全

網絡級安全原

描述所需安全功能

子能力

通過VM隔離、VPC等技術，同一物理機

網元虛擬化安

上的不同虛擬化網絡資源具有安全隔離功5GC通用1、

全（網絡級-核

能，多臺物理機上的大量虛擬化網絡資源具5GC通用5

心網-4）

有安全隔離功能。

4.1.4運維安全原子能力

網絡級安全原子能力描述

對5G網絡中的HostOS（Hypervisor）、

GuestOS、中間件、數據庫、應用軟件等，進行

安全加固能力（網

安全合規(guī)配置、賬號口令管理、安全補丁管理等，

絡級-運維7）

安全管理和安全配置采取服務最小原則，禁用不必

要的服務。

運維網絡設備生命周期5G網絡具有對網絡基礎設施進行生命周期管

安全管理原子能力（網理，定期遠程更新所有設備和節(jié)點，維護管理補丁

絡級-運維-2）升級和固件升級，及時修補漏洞的能力。

網絡切片安全監(jiān)控支持對網絡切片進行安全監(jiān)控,實時掌握網絡

能力（網絡級-運維切片運行情況、可能的攻擊及故障狀況，及時恢復

-3）網絡切片運行。

分權分域能力（網網絡切片管理系統(tǒng)支持租戶的分權分域,租戶

-20-

中國聯通5G網絡安全原子能力白皮書（2022）

絡級-運維-4）對其擁有管理權限的網絡切片進行管理操作，禁止

跨網絡切片訪問、操作其他網絡切片的資源。

支持對操作人員進行認證、授權、審計等，并

對操作行為進行日志記錄，包括所有對系統(tǒng)狀態(tài)有

操作管理能力（網影響的操作，所有安全相關操作的日志（如創(chuàng)建用

絡級-運維-5）戶、登入登出等），系統(tǒng)自身重要事件的日志（如

定時觸發(fā)的任務等），用戶普通操作的日志（如業(yè)

務上下線等）。

4.1.5切片安全原子能力

切片認證原子能力

網絡級安全所需安全

描述

原子能力