中國電信-通信行業(yè)：5G-A安全白皮書

INTRODUCTIONINTRODUCTION01引言02核心觀點035G-A安全趨勢與需求3.1.5G-A概述3.2.5G安全現(xiàn)狀3.3.5G-A安全需求045G-A安全架構(gòu)4.1.考慮因素4.2.設(shè)計理念4.3.安全架構(gòu)4.4.核心特征055G-A安全關(guān)鍵技術(shù)5.1.云網(wǎng)安基礎(chǔ)設(shè)施關(guān)鍵技術(shù)5.2.基礎(chǔ)型安全關(guān)鍵技術(shù)5.3.增強型安全關(guān)鍵技術(shù)5.4.安全運營服務(wù)關(guān)鍵技術(shù)5.5.安全與網(wǎng)絡(luò)互編排關(guān)鍵技術(shù)5.6.能力開放安全關(guān)鍵技術(shù)06創(chuàng)新應(yīng)用方案6.1.5G-A物聯(lián)網(wǎng)終端安全方案6.2.5G-A終端接入管控方案6.3.5G-A天地一體化網(wǎng)絡(luò)主動DDoS防御方案 6.4.5G-A專網(wǎng)能力開放安全方案 6.5.5G-A資產(chǎn)安全態(tài)勢感知方案 6.6.5G-A安全自動化編排響應(yīng)平臺方案07展望與倡議08縮略語09參考文獻01030404091415161819243340444547474950525456596063黨的二十大擘畫了以中國式現(xiàn)代化全面推進中華民族偉大復(fù)興的宏偉藍圖，強調(diào)加快網(wǎng)絡(luò)強國、數(shù)字中國建設(shè)，為我國信息通信產(chǎn)業(yè)發(fā)展提供了根本遵循。5G作為支撐經(jīng)濟社會數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的國家新型信息基礎(chǔ)設(shè)施，是建設(shè)網(wǎng)絡(luò)強國、數(shù)字中國建設(shè)的重要抓手，也是推動經(jīng)濟社會高質(zhì)量發(fā)展的隨著5G大規(guī)模商用，全球業(yè)界開啟了5G下一階段演進技術(shù)研究和探索。2021年4月，國際標(biāo)準(zhǔn)化組織3GPP正式確定5G-Advanced（簡稱“5G-A”）為5G下一階段演進官方名稱。從Rel-18開始，全球5G發(fā)展進入新階段。5G-A具備高速泛在、天地一體、云網(wǎng)融合、智能敏捷、綠色低碳、安全可控的特征，安全可控是保障和底座，是5G-A向“增能、智能、賦能”演進過程中的關(guān)鍵要素。一方面，5G-A需要持續(xù)完善基礎(chǔ)型安全技術(shù)能力，解決5G網(wǎng)絡(luò)現(xiàn)階段的安全不足；另一方面隨著以零信任、區(qū)塊鏈、量子加密等為代表的安全新技術(shù)不斷發(fā)展，安全框架設(shè)計需考慮逐步引入增強型安全技術(shù)，以適配5G-A新型業(yè)務(wù)場景的需求。本白皮書基于5G安全現(xiàn)狀，分析了5G-A安全趨勢與挑戰(zhàn)，提出了“安全內(nèi)生、縱深防御、智能演進、彈性自治”的安全架構(gòu)設(shè)計理念；搭建了“三體四層”的5G-A總體安全架構(gòu)，架構(gòu)以“云網(wǎng)安一體、分布自治、軟件定義、智慧內(nèi)生”為核心特征，支持安全的可持續(xù)演進和可靈活編排等特征；安全架構(gòu)包含的關(guān)鍵技術(shù)分為內(nèi)生和非內(nèi)生兩類，前者包括來源于通信系統(tǒng)內(nèi)部的標(biāo)準(zhǔn)化技術(shù)，設(shè)備通過自身功能、架構(gòu)和運行機制形成的安全能力；后者包括源于通信系統(tǒng)外部的技術(shù)，可面向垂直行業(yè)定制增強，也可面向運營商自身的網(wǎng)絡(luò)安全運營。內(nèi)生和非內(nèi)生安全技術(shù)相互支撐，構(gòu)建5G-A安全技術(shù)體系，并支持向6G演進。最后，本文將安全技術(shù)能力、運營服務(wù)深度賦能5G-A典型應(yīng)用場景。本白皮書旨在從框架、標(biāo)準(zhǔn)、技術(shù)、能力、運營、場景方案等維度，系統(tǒng)性的思考和梳理5G-A網(wǎng)絡(luò)在云網(wǎng)安全、通信安全、數(shù)據(jù)安全、信息安全面臨的挑戰(zhàn)與發(fā)展方向，倡導(dǎo)5G-A網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)化、產(chǎn)業(yè)化和服務(wù)化。呼吁產(chǎn)業(yè)同仁踔厲篤行，加快5G-A安全與網(wǎng)絡(luò)、應(yīng)用融合創(chuàng)新和實踐，推動5G-A高質(zhì)量發(fā)展，維護網(wǎng)信安全，筑牢網(wǎng)絡(luò)強國的堅實基座。/015G-A安全白皮書）：指導(dǎo)單位徐浩、史凡、王波、孫軍濤崔銘乾、馬衛(wèi)民、沈軍、孔德勝薄明霞、韓智泉、張偉、馬伯驕宿曉萌、龔佳敏、安鵬、萬博編制單位楊輝、馮運波、鄭博、潘巍編制單位馬驍哲、張正、郭君、李科何加波、閆志成、劉雨、李民徐少東ZTE中興劉博、林明峰、秦樹春劉博、林明峰、秦樹春王繼剛、郝振武、顧希、陸海濤李劍鋒、曾劍峰、劉小睿李劍鋒、曾劍峰、劉小睿鄭建勇、韓春梅徐高峰、楊曉蔚、許晨敏、魏誠朱進國、劉宇澤、劉霈霖、陳文奎白皮書編制團隊對各位專家提供的指導(dǎo)和幫助表達誠摯敬意和衷心感謝！02/5G-A安全白皮書COREVIEWPOINTS基于5G-A新特征、新架構(gòu)、新場景，本白皮書圍繞5G-A安全需求，突出安全架構(gòu)、技術(shù)、平臺、應(yīng)用和運營服務(wù)的融合創(chuàng)新，提煉的核心觀點包括：(1)5G-A安全是5G安全的延續(xù)和增強，并支持向6G過渡演進未來5至6年，5G-A的標(biāo)準(zhǔn)不斷完善，應(yīng)用也將從孵化走向成熟。5G-A安全技術(shù)也將隨網(wǎng)絡(luò)與業(yè)務(wù)發(fā)展持續(xù)演進，總體上包括三方面，一是5G-A標(biāo)準(zhǔn)涉及的安全技術(shù)，包括不斷完善的國際標(biāo)準(zhǔn)、國內(nèi)行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)；二是現(xiàn)有安全技術(shù)與5G-A場景適配與優(yōu)化，如海量終端安全與接入控制、星地融合安全；三是以區(qū)塊鏈、量子加密、零信任等為代表新型安全框架與5G-A的結(jié)合，探索形成創(chuàng)新場景解決方案。同時，5G-A支持向6G平滑過渡，將提前驗證部分6G網(wǎng)絡(luò)與安全技術(shù)，為6G標(biāo)準(zhǔn)制定和技術(shù)落地積累重要經(jīng)驗。(2)內(nèi)生安全邊界的定義是一個隨安全需求和技術(shù)發(fā)展持續(xù)演進、優(yōu)化、融合的動態(tài)過程5G-A內(nèi)生安全能力的設(shè)計來自于兩個方面，一是5G標(biāo)準(zhǔn)中相關(guān)的安全要求，比如用戶身份標(biāo)識信息的加密；二是運營商基于自身對于安全的理解和要求，在安全體系設(shè)計、規(guī)劃、建設(shè)中內(nèi)置于網(wǎng)絡(luò)/網(wǎng)元的安全功能，用于保護設(shè)備自身安全或者提供網(wǎng)絡(luò)安全功能。兩方面安全能力相互結(jié)合，并在運行中形成自帶的安全能力，進一步降低安全風(fēng)險，并隨著業(yè)務(wù)的發(fā)展持續(xù)調(diào)優(yōu)提升。(3)面向5G-A行業(yè)用戶提供安全池化能力是網(wǎng)絡(luò)安全向業(yè)務(wù)安全擴展的重要實踐安全池化集成多種安全能力，按需訂閱開通，采用APN+業(yè)務(wù)鏈的技術(shù)，實現(xiàn)安全業(yè)務(wù)鏈靈活編排，提供精細化的應(yīng)用隨行能力、用戶行為靈活控制能力、未知威脅感知能力，實現(xiàn)應(yīng)用級SLA保障、全網(wǎng)威(4)5G-A安全防御體系呈不同層次服務(wù)化，構(gòu)筑主動、智能、融合、高效的泛在一體化安全運營機制成為必然趨勢5G-A架構(gòu)下業(yè)務(wù)生態(tài)的持續(xù)變化，需構(gòu)筑覆蓋全網(wǎng)的安全運營機制，強化對通信網(wǎng)絡(luò)新特征和新技術(shù)新業(yè)務(wù)模式下的安全防護，加強通信網(wǎng)絡(luò)與安全的融合協(xié)同及智能感知，實現(xiàn)安全能力與網(wǎng)絡(luò)和算力資源的互編排，建立覆蓋海量異構(gòu)跨域資產(chǎn)的安全管理及協(xié)同調(diào)度能力。最終形成面向全網(wǎng)的安全風(fēng)險監(jiān)測、態(tài)勢感知、一體化服務(wù)編排和調(diào)度能力、自動化處置能力，滿足運營商自身網(wǎng)絡(luò)安全管理及對外能力開放的一體化運營需求。(5)網(wǎng)絡(luò)與應(yīng)用一體、產(chǎn)品與運營一體的平臺化安全能力和服務(wù)是5G-A安全目標(biāo)在云網(wǎng)安一體化基礎(chǔ)設(shè)施上，提供高可信、高可靠、高可用的安全能力保障體系，強化5G-A內(nèi)生安全與應(yīng)用安全的有機融合，為行業(yè)客戶提供安全池化服務(wù)，實現(xiàn)5G-A網(wǎng)絡(luò)與應(yīng)用的端到端安全。/035G-A安全白皮書3.15G-A概述3.15G-A概述5G-ASECURITY5G-ASECURITYTRENDSANDNEEDS3.1.15G發(fā)展情況3.1.1近年來，各國電信運營商加速5G規(guī)?；逃貌渴?。截至2023年7月，我國5G用戶達6.95億戶，5G基站建成305.5萬個，全球占比超過60%。預(yù)計到2025年底，全球5G基站數(shù)將突破650萬，為全球58%以上的人口提供累積1000億次的連接服務(wù)。從產(chǎn)業(yè)發(fā)展角度看，5G是消費互聯(lián)網(wǎng)升級到工業(yè)互聯(lián)網(wǎng)的關(guān)鍵使能技術(shù)；從技術(shù)演進角度看，新興業(yè)務(wù)對5G網(wǎng)絡(luò)提出了全新的需求，從而推動著業(yè)界思考5G的持續(xù)演進。從2018年到2022年，國際標(biāo)準(zhǔn)化組織3GPP完成了R15、R16和R17的5G標(biāo)準(zhǔn)制定，R15構(gòu)建了5G基礎(chǔ)架構(gòu)，R16逐步完善eMBB、uRLLC、mMTC三大能力并擴展垂直行業(yè)，R17進一步廣泛提升了行業(yè)能力和覆蓋能力，3個版本均為5G發(fā)展提供了有力的標(biāo)準(zhǔn)支撐。2021年4月，3GPP正式確定5G-Advanced（下文簡稱5G-A）為5G演進官方名稱，5G-A網(wǎng)絡(luò)向智能極簡、融合泛在、行業(yè)使能的數(shù)智化方向持續(xù)演進，實現(xiàn)由“好用”向“智用”的轉(zhuǎn)變。5G-A預(yù)計將會有3個版本，即R18、R19和R20。R18作為5G-A的第一個版本，標(biāo)志著全球5G技術(shù)和標(biāo)準(zhǔn)發(fā)展進入新階段。圖3-1：5G標(biāo)準(zhǔn)演進04/5G-A安全白皮書2021年12月，3GPPSA全會確定了R18版本的28個研究課題，其中的多媒體通信、智能化、確定性通信以及5GS安全配套與演進等研究課題推動著后5G時代網(wǎng)絡(luò)的持續(xù)發(fā)展。R18全部協(xié)議配置將于2024年3月份凍結(jié)，5G-A預(yù)計在同年開始商用部署。3.1.25G-A關(guān)鍵特征3.1.2下面從技術(shù)架構(gòu)、網(wǎng)絡(luò)性能、業(yè)務(wù)場景三個層面闡述5G-A的關(guān)鍵特征。在技術(shù)架構(gòu)方面，5G-A秉承智慧、融合與使能三個理念。智慧代表網(wǎng)絡(luò)智能化，包括充分利用機器學(xué)習(xí)、數(shù)字孿生、認知網(wǎng)絡(luò)與意圖網(wǎng)絡(luò)等關(guān)鍵技術(shù)提升網(wǎng)絡(luò)的智能運維運營能力，打造內(nèi)生智能網(wǎng)絡(luò)；融合包括行業(yè)網(wǎng)絡(luò)融合、家庭網(wǎng)絡(luò)融合、天地一體化網(wǎng)絡(luò)融合等，實現(xiàn)5G-A與行業(yè)網(wǎng)協(xié)同組網(wǎng)、融合發(fā)展；使能包括對5G-A交互式通信和確定性通信能力的增強。5G-A技術(shù)特征包括：(1)云網(wǎng)融合、算網(wǎng)一體5G-A延續(xù)并擴展5G的網(wǎng)絡(luò)結(jié)構(gòu)，以SBA為基礎(chǔ)、以網(wǎng)絡(luò)切片為框架、以網(wǎng)絡(luò)平臺為核心、以關(guān)鍵網(wǎng)絡(luò)功能API為抓手，同時引入云原生、邊緣網(wǎng)絡(luò)、移動算力感知調(diào)度與網(wǎng)絡(luò)即服務(wù)理念。云原生是在NFV基礎(chǔ)上的進一步云化增強，提升網(wǎng)絡(luò)的部署靈活性和功能開發(fā)測試的敏捷性；移動算力感知及調(diào)度通過強化網(wǎng)絡(luò)對算力的感知，實現(xiàn)核心網(wǎng)與邊緣節(jié)點、邊緣節(jié)點間的協(xié)同，為用戶及業(yè)務(wù)提供最優(yōu)路徑及最佳體驗效果；網(wǎng)絡(luò)即服務(wù)模式使5G-A系統(tǒng)高度靈活，構(gòu)建定制化服務(wù)能力。圖3-2：5G-A網(wǎng)絡(luò)架構(gòu)(2)網(wǎng)絡(luò)智能化網(wǎng)絡(luò)智能化可服務(wù)網(wǎng)絡(luò)、安全、管理等領(lǐng)域，將云網(wǎng)大數(shù)據(jù)資源通過人工智能算法轉(zhuǎn)化為云網(wǎng)的智能規(guī)劃、業(yè)務(wù)分析、故障診斷、動態(tài)優(yōu)化能力。/055G-A安全白皮書NWDAF（網(wǎng)絡(luò)數(shù)據(jù)分析功能）是3GPPSA2在5G引入的標(biāo)準(zhǔn)網(wǎng)元，是人工智能+大數(shù)據(jù)的引擎，具備能力標(biāo)準(zhǔn)化、匯聚網(wǎng)絡(luò)數(shù)據(jù)、實時性更高、支持閉環(huán)可控等特點。MDAS（管理數(shù)據(jù)分析服務(wù)）是3GPPSA5正在研究的服務(wù)能力，它與人工智能和機器學(xué)習(xí)技術(shù)相結(jié)合，為網(wǎng)絡(luò)服務(wù)管理和編排帶來了智圖3-3：基于NWDAF的5G-A網(wǎng)絡(luò)智能化架構(gòu)(3)交互式通信交互式通信在實時通信的基礎(chǔ)上搭載新的數(shù)據(jù)傳輸通道，為用戶提供除音視頻之外的更豐富的實時交互服務(wù)。5G-A建立與IMS音視頻通話同步的數(shù)據(jù)通道，同步疊加AR及聽覺、視覺、觸覺、動覺、環(huán)境等信息，實現(xiàn)全沉浸式體驗。圖3-4：5G-A交互式通信06/5G-A安全白皮書(4)通感融合5G-A是通感融合技術(shù)應(yīng)用的初步階段。通感融合是指在通信模塊中賦能感知功能，利用通信系統(tǒng)的頻譜資源、空口技術(shù)、硬件資源處理單元等接收感知信號并進行處理，基于核心網(wǎng)的深度分析、智能化運算及能力開放，實現(xiàn)多維多粒度的環(huán)境和目標(biāo)感知功能并提升系統(tǒng)頻譜效率、硬件效率和信息處理效率。5G-A網(wǎng)絡(luò)架構(gòu)設(shè)計考慮使能端到端的基礎(chǔ)感知功能，包括感知業(yè)務(wù)的觸發(fā)、感知控制的管理、感知測量數(shù)據(jù)的處理以及感知結(jié)果的開放與策略更新等。5G-A通感融合網(wǎng)絡(luò)架構(gòu)向著通感智算一體化方向進行演進，引入通感智算一體化的核心網(wǎng)、通感智算多功能無線接入網(wǎng)和具有通感智算能力的多功能移動終端，通感智算一體化的核心網(wǎng)可對外開放感知服務(wù)。圖3-5：5G-A通感融合網(wǎng)絡(luò)架構(gòu)(5)天地一體化天地一體是下一代網(wǎng)絡(luò)發(fā)展趨勢，天地一體化信息網(wǎng)絡(luò)包括天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點網(wǎng)，并與地面互聯(lián)網(wǎng)和移動通信網(wǎng)互聯(lián)互通，建成“全球覆蓋、隨遇接入、按需服務(wù)、安全可信”的天地一體化信息網(wǎng)絡(luò)體系。其中，天基骨干網(wǎng)主要由地球同步軌道衛(wèi)星組成，天基接入網(wǎng)主要由低軌衛(wèi)星組成，地基節(jié)點網(wǎng)由多個地面互聯(lián)的地基骨干節(jié)點組成。衛(wèi)星網(wǎng)絡(luò)是地面通信的重要補充，3GPP從R15提出了衛(wèi)星接入網(wǎng)整合到5G網(wǎng)絡(luò)的需求，從R16開始研究衛(wèi)星與5G系統(tǒng)的融合架構(gòu)，第一階段的研究主要實現(xiàn)衛(wèi)星作為接入網(wǎng)和回傳網(wǎng)兩種場景，并在R17中完成了融合架構(gòu)的一階段標(biāo)準(zhǔn)工作。衛(wèi)星網(wǎng)絡(luò)與5G系統(tǒng)的融合將進一步支持星地或星間組網(wǎng)，終端同時使用衛(wèi)星接入和地面接入；基站使用衛(wèi)星網(wǎng)絡(luò)回傳服務(wù)或者星載基站，核心網(wǎng)感知衛(wèi)星網(wǎng)絡(luò)的特征，并在考慮衛(wèi)星移動和整個星座系統(tǒng)情況下，進行策略與QoS控制；在主要業(yè)務(wù)應(yīng)用上星的情況下，支持UPF上星，使衛(wèi)星可以提供邊緣計算服務(wù)，以減少傳輸時延和回傳資源。未來，5G-A將繼續(xù)推進天地一體化融合網(wǎng)絡(luò)，支持地面基站、不同軌道高度的衛(wèi)星以及中高空飛行器/075G-A安全白皮書圖3-7：5G-A關(guān)鍵性能指標(biāo)3.25G安全現(xiàn)狀圖3-7：5G-A關(guān)鍵性能指標(biāo)3.25G安全現(xiàn)狀圖3-6：融合衛(wèi)星系統(tǒng)的5G-A網(wǎng)絡(luò)此外，5G-A進一步賦能垂直行業(yè)，將5G行業(yè)專網(wǎng)升級為“性能更可靠、成本更低、使用更便捷”，在行業(yè)網(wǎng)絡(luò)融合、確定性通信、網(wǎng)絡(luò)切片、定位測距、組播廣播、近域通信、無源物聯(lián)網(wǎng)等方面都進一步提升了網(wǎng)絡(luò)通信與服務(wù)能力，更好推動行業(yè)數(shù)智化轉(zhuǎn)型。在網(wǎng)絡(luò)性能方面，在網(wǎng)絡(luò)性能方面，5G-A將在現(xiàn)有5G下行Gbps速率、上行百Mbps速率、十萬聯(lián)接密度、亞米定位精度的基礎(chǔ)上，進一步10Gbps速率、上行1Gbps速率、毫秒級時延、低成本千億物聯(lián)，以及感知、高精定位等超越連接的能力。在業(yè)務(wù)場景方面，5G-A在5G三個標(biāo)準(zhǔn)場景增強的基礎(chǔ)上，拓展了三大新場景，賦能六大類應(yīng)用，包括沉浸實時，智能上行、工業(yè)互聯(lián)、通感一體、千億物聯(lián)和天地一體，從支撐萬物互聯(lián)到使能萬物智聯(lián)。這三大新場景包括：08/5G-A安全白皮書UCBC（上行超寬帶），實現(xiàn)上行帶寬能力十倍提升，滿足生產(chǎn)制造場景下，機器視覺、海量寬帶物聯(lián)等上傳需求，加速行業(yè)智能化升級。RTBC（寬帶實時交互），支持大帶寬和低交互時延，實現(xiàn)一定的時延和可靠性下，帶寬提升十倍，打造物理世界和數(shù)字世界交互的沉浸式體驗。圖3-8：5G-A業(yè)務(wù)場景HCS（通信融合感知），擴展移動網(wǎng)絡(luò)能力邊圖3-8：5G-A業(yè)務(wù)場景界，提供厘米級定位和感知能力，應(yīng)用于室內(nèi)數(shù)字化管理，智慧交通和低空無人機等場景。綜上，5G-A網(wǎng)絡(luò)業(yè)務(wù)場景的拓展和關(guān)鍵技術(shù)的迭代更新對網(wǎng)絡(luò)與數(shù)據(jù)安全帶來了新的挑戰(zhàn)。云網(wǎng)融合、算網(wǎng)一體的網(wǎng)絡(luò)架構(gòu)由于引入了云化、服務(wù)化、邊緣算力節(jié)點等概念，其所涉及的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和用戶數(shù)據(jù)可能會面臨新的安全威脅。網(wǎng)絡(luò)自動化可以實現(xiàn)對大量網(wǎng)絡(luò)設(shè)備的有效管理，但針對網(wǎng)絡(luò)自動化設(shè)備的攻擊更有可能導(dǎo)致規(guī)模更大和更不易被察覺的網(wǎng)絡(luò)安全威脅。與寬帶實時交互業(yè)務(wù)場景密切相關(guān)的交互式通信技術(shù)可應(yīng)用在醫(yī)療，工業(yè)、娛樂等領(lǐng)域，使增強現(xiàn)實和虛擬現(xiàn)實更具沉浸感，同時對數(shù)據(jù)的安全傳輸和隱私數(shù)據(jù)的私密性保護提出了更高的需求。天地一體化引入了空基網(wǎng)絡(luò)，有必要考慮衛(wèi)星的強移動性所帶來的新安全需求。5G-A網(wǎng)絡(luò)應(yīng)逐步融入新型安全技術(shù)和新安全理念，以滿足新型業(yè)務(wù)場景和關(guān)鍵技術(shù)的需求，對網(wǎng)絡(luò)與數(shù)據(jù)安全提供保障。3.2.15G安全標(biāo)準(zhǔn)3.2.15G安全國際標(biāo)準(zhǔn)化工作主要在3GPP（第三代合作伙伴）、GSMA（全球移動通信系統(tǒng)協(xié)會）、ITU-T（國際電信聯(lián)盟電信標(biāo)準(zhǔn)分局）、ISO（國際標(biāo)準(zhǔn)化組織）、ETSI（歐洲電信標(biāo)準(zhǔn)化協(xié)會）等國際組織中開展。國內(nèi)標(biāo)準(zhǔn)化主要集中在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260），全國通信標(biāo)準(zhǔn)化技術(shù)委員會（TC485）及中國通信標(biāo)準(zhǔn)化技術(shù)協(xié)會（CCSA）。根據(jù)研究內(nèi)容，可將國際與國內(nèi)標(biāo)準(zhǔn)組織的5G安全技術(shù)相關(guān)標(biāo)準(zhǔn)分為六大類，分別是通用與基礎(chǔ)技術(shù)類、網(wǎng)絡(luò)安全類、終端與設(shè)備安全類、數(shù)據(jù)安全類、應(yīng)用安全類和安全運營管理類。/095G-A安全白皮書(1)通用與基礎(chǔ)技術(shù)類通用與基礎(chǔ)技術(shù)類標(biāo)準(zhǔn)為5G安全標(biāo)準(zhǔn)提供了基礎(chǔ)技術(shù)支撐與通用安全框架，內(nèi)容涵蓋通用安全要求、(2)網(wǎng)絡(luò)安全類5G網(wǎng)絡(luò)安全類標(biāo)準(zhǔn)是5G安全的基石，內(nèi)容涵蓋核心網(wǎng)安全、無線安全、IT設(shè)施安全、切片安全、SDN安全、虛擬化安全、網(wǎng)絡(luò)演進中互操作安全等。(3)終端與設(shè)備安全類終端與設(shè)備安全類包括終端通用固件與操作系統(tǒng)的安全、移動智能終端的安全、泛終端安全、基站安(4)數(shù)據(jù)安全類數(shù)據(jù)安全類標(biāo)準(zhǔn)重點研究5G數(shù)據(jù)收集與數(shù)據(jù)共享等重點環(huán)節(jié)的相關(guān)技術(shù)、5G典型應(yīng)用場景下的個人信息保護技術(shù)規(guī)范，制定涵蓋5G行業(yè)數(shù)據(jù)應(yīng)用全生命周期的安全防護標(biāo)準(zhǔn)。(5)應(yīng)用安全類應(yīng)用安全類標(biāo)準(zhǔn)研究在保證5G網(wǎng)絡(luò)自身安全的同時，針對不同行業(yè)應(yīng)用，應(yīng)有定制化的安全技術(shù)標(biāo)準(zhǔn)，提升5G新應(yīng)用場景的安全能力。(6)安全運營管理類安全運營管理類標(biāo)準(zhǔn)重點覆蓋5G網(wǎng)絡(luò)運維管理、應(yīng)急響應(yīng)、供應(yīng)鏈安全等方面的要求。標(biāo)準(zhǔn)針對5G的服務(wù)化網(wǎng)絡(luò)架構(gòu)、IT化網(wǎng)絡(luò)設(shè)施等特點，完善網(wǎng)絡(luò)安全運營管理要求，提升應(yīng)急相應(yīng)能力，強化5G全生3.2.25G安全特性3.2.25G安全主要從密鑰認證接入、節(jié)點安全保護研究等方面進行實現(xiàn)，主要目的是保障5G網(wǎng)元及通信安全。5G安全在4G的基礎(chǔ)上進行了增強，但整體安全框架仍繼承4G網(wǎng)絡(luò)。3GPPR15已完成安全基礎(chǔ)架構(gòu)的定義，R16、R17基于R15安全基礎(chǔ)架構(gòu)，面向mMTC和uRLLC場景進行安全優(yōu)化，同時對安全基礎(chǔ)架構(gòu)進行了進一步增強。(1)R15定義的5G安全增強特性●更好的空口安全：在2/3/4G用戶和網(wǎng)絡(luò)之間用戶數(shù)據(jù)加密保護的基礎(chǔ)之上，5GSA架構(gòu)進一步支持用戶數(shù)據(jù)的完整性保護機制，防范用戶數(shù)據(jù)的篡改攻擊。10/5G-A安全白皮書●用戶隱私保護增強：在2/3/4G時，用戶的永久身份IMSI在空口是明文發(fā)送的，攻擊者可以利用這一缺陷追蹤用戶。在5G中，用戶永久身份SUPI將以加密形式發(fā)送，以防范“IMSIcatcher”攻擊?！窀玫穆伟踩哼\營商之間通常需要通過轉(zhuǎn)接運營商來建立連接。攻擊者可以通過控制轉(zhuǎn)接運營商設(shè)備的方法，假冒合法的核心網(wǎng)節(jié)點，發(fā)起類似SS7的攻擊。在5G中的SBA架構(gòu)下定義了SEPP，對運營商間的信令面數(shù)據(jù)進行安全保護，使得運營商間的轉(zhuǎn)接設(shè)備無法竊聽核心網(wǎng)之間交互的敏感信息（如密鑰、用戶身份、短信等）?！衩艽a算法增強：為了應(yīng)對量子計算機對密碼算法的影響，5G在未來版本可能需要支持256位算法。5GR15標(biāo)準(zhǔn)已定義256位密鑰傳輸?shù)认嚓P(guān)機制，為未來引入256位算法做好準(zhǔn)備。(2)R16、R17定義的5G安全增強特性●增強的SBA安全：5G核心網(wǎng)的SBA新架構(gòu)將網(wǎng)絡(luò)功能服務(wù)化，標(biāo)準(zhǔn)定義了SBA架構(gòu)的服務(wù)安全機制，包含更細粒度的網(wǎng)元間授權(quán)機制，更強的運營商間的用戶面數(shù)據(jù)傳輸保護等，以保障核心網(wǎng)內(nèi)部信令面及用戶面數(shù)據(jù)傳輸安全?！?GNSA網(wǎng)絡(luò)及4G網(wǎng)絡(luò)用戶面完整性保護：將5GSA網(wǎng)絡(luò)的用戶面完整性保護機制引入到5GNSA網(wǎng)絡(luò)以及4G網(wǎng)絡(luò)中，以進一步增強空口安全。圖3-9：5G標(biāo)準(zhǔn)安全增強特性5G-A安全白皮書3.35G-A安全需求3.35G-A安全需求3.2.35G安全防護3.2.35G網(wǎng)絡(luò)新技術(shù)、新特征帶來了新的安全風(fēng)險與挑戰(zhàn)，主要體現(xiàn)在實體網(wǎng)元變?yōu)樘摂M化軟件、物理資源共享、設(shè)備安全邊界模糊、開放端口成為數(shù)據(jù)泄露的脆弱點、多樣化終端的安全能力差異大等，容易成為新的攻擊目標(biāo)以及新業(yè)務(wù)場景下安全責(zé)任歸屬問題等。目前5G網(wǎng)絡(luò)部署的典型網(wǎng)絡(luò)安全產(chǎn)品，如區(qū)域邊界安全類的防火墻、網(wǎng)絡(luò)入侵檢測，安全防護大多仍是從防御者視角為出發(fā)點，通過為內(nèi)網(wǎng)及關(guān)鍵業(yè)務(wù)建立起“圍墻”抵御入侵。對數(shù)據(jù)及流量的安全防護產(chǎn)品，如全流量、DPI、防火墻、IPS等產(chǎn)品提供南北向、東西向的邊界監(jiān)測和防護能力，并未深入系統(tǒng)內(nèi)部。針對5G網(wǎng)絡(luò)的安全防護還是以“堵漏洞、筑高墻、防外攻”的靜態(tài)、被動的邊緣安全防護體系為主，綜合采用防火墻、入侵檢測、主機監(jiān)控、身份認證、防病毒軟件、漏洞修補等多種手段構(gòu)筑“堡壘”式的剛性防御體系，阻擋或隔絕外界入侵是靜態(tài)分層的“深度防御”，難以抵御未知攻擊，且存在自身易被攻擊的危險。這種補丁式、被動式、外掛式的安全防護，網(wǎng)絡(luò)安全風(fēng)險等級只能通過靜態(tài)方式評估，通過網(wǎng)絡(luò)價值、安全漏洞、安全事件的發(fā)生頻率等因素粗略的對網(wǎng)絡(luò)風(fēng)險狀態(tài)進行評估，對網(wǎng)絡(luò)正在遭受的攻擊無法做到動態(tài)的實時檢測與防護。3.2.45G安全運營3.2.4當(dāng)前電信運營商普遍采用IPDRR（識別、保護、檢測、響應(yīng)、恢復(fù)）模型，建立5G網(wǎng)絡(luò)安全持續(xù)運營流程。IPDRR從以安全防護為核心的模型，轉(zhuǎn)向以檢測和業(yè)務(wù)連續(xù)性管理的模型，變被動為主動，最終達成自適應(yīng)的安全能力。模型體現(xiàn)了安全保障系統(tǒng)化思想，通過管理與技術(shù)結(jié)合的方式有效保障系統(tǒng)核心業(yè)務(wù)的安全。5G通信網(wǎng)絡(luò)從終端、管道、云端應(yīng)用三個層面構(gòu)建動態(tài)的安全防護體系，通過建立體系化的安全保障運行機制保障業(yè)務(wù)的安全運行。運營管理流程有效覆蓋檢測、響應(yīng)、恢復(fù)的工作要求，同時能在安全事件中形成知識總結(jié)，識別資產(chǎn)風(fēng)險，優(yōu)化保護能力，降低運營風(fēng)險。5G-A將引領(lǐng)5G服務(wù)場景加速向ToB轉(zhuǎn)化，網(wǎng)絡(luò)與垂直行業(yè)的深度融合帶來了從“通用安全”向“按需安全”轉(zhuǎn)變的挑戰(zhàn)，“統(tǒng)一接入、單一效能”的傳統(tǒng)網(wǎng)絡(luò)運營模式已經(jīng)無法滿足5G-A時代行業(yè)用戶對智能網(wǎng)絡(luò)連接的安全需求。12/5G-A安全白皮書5G-A面臨的安全挑戰(zhàn)包括兩類：一方面是由于5G-A新特性帶來的安全問題，首先，2G~5G時代移動通信網(wǎng)絡(luò)主要作為管道提供連接服務(wù)，因此安全聚焦服務(wù)于連接業(yè)務(wù)，5G-A網(wǎng)絡(luò)在面向接的同時，還會擴展到面向多種業(yè)務(wù)，如AlaaS、DaaS、感知服務(wù)等，安全也需要從面向連接擴展到面向連接+業(yè)務(wù)；其次，在5G-A網(wǎng)絡(luò)更加開放的賦能垂直行業(yè)，多方參與的業(yè)務(wù)生態(tài)和對法律法規(guī)的遵從也帶來了安全需求多樣化的問題。另一方面是技術(shù)發(fā)展和安全博弈的升級帶來的安全問題，典型的如人工智能對攻擊者的助力、量子計算對傳統(tǒng)公鑰密碼學(xué)的沖擊等，5G-A網(wǎng)絡(luò)安全需要考慮智能化攻擊和量子威脅的安全問題。同時，安全挑戰(zhàn)還包括發(fā)展與安全的統(tǒng)籌協(xié)同問題，行業(yè)對新技術(shù)新業(yè)務(wù)的應(yīng)用，需同步實施安全技術(shù)措施與監(jiān)管。基于5G安全現(xiàn)狀和5G-A安全挑戰(zhàn)，本白皮書梳理了各行(1)安全縱深化5G-A需要將現(xiàn)有的邊界防御升級為縱深防御體系。5G-A通過在切片間、網(wǎng)絡(luò)間、網(wǎng)元間各環(huán)節(jié)上設(shè)置多層次的安全防御措施，從而形成一個縱深的防御體系。當(dāng)攻擊者突破其中某一層安全防御時，仍然有其他層面的防御措施進行保護，從而有效提高網(wǎng)絡(luò)安全的整體水平。但是實施縱深防御戰(zhàn)略永遠不能忽視邊界，物理邊界為網(wǎng)絡(luò)安全防護提供了第一層也是最重要的一層防護。(2)安全動態(tài)化5G-A需要將現(xiàn)有的靜態(tài)防護升級為全局動態(tài)防護體系。為有效應(yīng)對新的攻擊手段及新型安全威脅，5G-A安全防護手段必須向智能化、動態(tài)化防護方向演進。用戶身份、信令、流量、資產(chǎn)等關(guān)鍵數(shù)據(jù)要素在全生命周期流通過程中，訪問用戶權(quán)限、數(shù)據(jù)權(quán)屬、訪問行為等都在動態(tài)發(fā)生變化。因此，安全體系需對用戶身份和權(quán)限進行動態(tài)評估和識別，同時對數(shù)據(jù)資產(chǎn)也要進行動態(tài)梳理，并對數(shù)據(jù)的訪問行為進行動態(tài)監(jiān)控，實現(xiàn)智能化、動態(tài)化、體系化安全防護，構(gòu)建“梳-管-控-監(jiān)-評-溯”的動態(tài)防御體系模型。(3)安全軟件化5G-A需要提供按需、敏捷、可編排的安全能力。軟件定義安全將物理及虛擬的網(wǎng)絡(luò)安全設(shè)備與其接入模式、部署方式、實現(xiàn)功能進行了解耦，底層抽象為安全資源池里的資源，頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務(wù)編排和管理，以完成相應(yīng)的安全功能，從而實現(xiàn)一種靈活的安全防護。(4)安全可視化5G-A需要提供安全資產(chǎn)以及異常信令、流量、數(shù)據(jù)的可測、可知和可視能力。通過對網(wǎng)絡(luò)中各類安全數(shù)據(jù)的收集和分析，及時發(fā)現(xiàn)潛在的安全威脅；通過數(shù)據(jù)可視化，將安全態(tài)勢感知以圖形化的形式展示，使得復(fù)雜的數(shù)據(jù)變得直觀可見，并挖掘呈現(xiàn)安全事件之間的關(guān)聯(lián)性。(5)安全自動化5G-A需要自適應(yīng)、自學(xué)習(xí)、自決策的自動化安全能力。在泛在、異構(gòu)、跨域的終端實時產(chǎn)生海量的網(wǎng)絡(luò)認證、信令、流量和日志，5G-A需引入大數(shù)據(jù)和機器學(xué)習(xí)，從大量的安全事件中評估安全基線，識別信令攻擊、流量攻擊等安全威脅，并運用自動化安全能力編排，提高網(wǎng)絡(luò)安全防御的效率和效果。5G-A安全白皮書4.1考慮因素4.2設(shè)計理念4.1考慮因素4.2設(shè)計理念5G-ASECURITY5G-ASECURITYARCHITECTURE回顧移動通信網(wǎng)絡(luò)的發(fā)展，移動安全架構(gòu)經(jīng)歷了革命性的變革。1G基于模擬傳輸，容易被竊聽、攔截和克隆。2G引入數(shù)字調(diào)制技術(shù)提供基本的安全機制，比如網(wǎng)絡(luò)對終端的單向鑒權(quán)、數(shù)據(jù)和信令的機密性保護。3G引入了網(wǎng)絡(luò)和終端之間的雙向認證機制，改進了2G網(wǎng)絡(luò)單向認證的局限性，并引入了信令的完整性保護。4G引入了安全強度更高的加密和完整性保護算法。5G采用了更高效、更安全的機制，比如用戶面完整性保護、統(tǒng)一認證框架隱藏用戶標(biāo)識、切片間協(xié)議隔離、漫游的二次認證等。架構(gòu)的開放、新技術(shù)的引入、云網(wǎng)的融合、各行業(yè)場景的滲透，不可避免的將其原來面臨的安全風(fēng)險交織到一起，安全問題復(fù)雜且充滿不確定性。盡管5G標(biāo)準(zhǔn)層面相比4G已做了諸多考慮，但從市場訴求尤其是各垂直行業(yè)訴求和實際建設(shè)驗證來看，5G-A網(wǎng)絡(luò)還需要進一步的增強安全性。首先，5G-A需逐步提升現(xiàn)有5G網(wǎng)絡(luò)安全性。在安全架構(gòu)方面，5G網(wǎng)絡(luò)及相應(yīng)的安全架構(gòu)是單一中心化架構(gòu)，在對異構(gòu)/子網(wǎng)絡(luò)、IoT網(wǎng)絡(luò)等支持方面，存在擴展性、管理能力、性能等方面不足。在安全防護方面，3GPP在5G安全標(biāo)準(zhǔn)方面，重點針對接入認證、空口保護、密鑰管理、網(wǎng)絡(luò)域、服務(wù)化架構(gòu)、漫游等空口及核心網(wǎng)內(nèi)置了基礎(chǔ)安全能力，但安全機制主要限于保障網(wǎng)元和通信安全。同時，5G的虛擬化、云化、邏輯切片等技術(shù)導(dǎo)致安全邊界模糊，基于設(shè)備物理位置和網(wǎng)絡(luò)連接的傳統(tǒng)接入安全防護，難以滿足多移動性接入安全的防護需求。并且設(shè)備安全能力參差不齊，易出現(xiàn)安全短板。邊界安全防護各自為戰(zhàn)，未形成有效協(xié)同?？梢?，傳統(tǒng)安全防護存在防護策略靜態(tài)、防護方式被動、安全數(shù)據(jù)單一、只能基于已知問題等局限性，已經(jīng)難以滿足5G-A時代策略動態(tài)調(diào)整、內(nèi)生主動免疫、威脅情報聯(lián)動、智能決策等新需求。第二，5G-A需滿足新型業(yè)務(wù)場景的安全需求。相比于現(xiàn)有版本，5G-A面向ToB垂直行業(yè)應(yīng)用，應(yīng)具備對個人物聯(lián)網(wǎng)（PIN）、新型無源物聯(lián)網(wǎng)、測距與定位、近域通信（ProSe）、增強型專網(wǎng)、無人機（UAS）、NGRTC以及通信感知一體化、星地融合的服務(wù)保障能力。相應(yīng)的，5G-A網(wǎng)絡(luò)需構(gòu)建云邊協(xié)同的內(nèi)生智能安全防御系統(tǒng)，以海量行業(yè)設(shè)備的安全接入為切入點，可信基礎(chǔ)為核心，軟件定義邊界為抓手，構(gòu)建云-管-邊-端業(yè)務(wù)全生命周期安全管理和服務(wù)體系。同時要堅持國產(chǎn)自主技術(shù)路線，確保安全自主可控。第三，5G-A需考慮逐步融入新型安全技術(shù)。移動、云化、大數(shù)據(jù)、人工智能等技術(shù)賦予了未來5G-A網(wǎng)絡(luò)強大的計算能力和智慧。與此同時，安全的技術(shù)和新理念也層出不窮，零信任、軟件定義安全、云原生、安全接入邊緣服務(wù)等如雨后春筍般出現(xiàn)，傳統(tǒng)的補丁式防御分散不成體系，遠遠不能發(fā)揮單項技術(shù)的潛能，也無法將新技術(shù)軌范在一個健康正向的發(fā)展道路上。因此，5G-A需從頂層設(shè)計出發(fā)，建立“以一應(yīng)萬變”的安全體系。14/5G-A安全白皮書針對新場景所面臨的安全挑戰(zhàn)，5G-A網(wǎng)絡(luò)在提供高可靠的通信能力、高可用的服務(wù)能力的同時，還應(yīng)當(dāng)提供高可信的安全能力。5G-A將安全與網(wǎng)絡(luò)進行一體化設(shè)計，從頂層規(guī)劃、關(guān)鍵組件、能力定義等各個層面均與網(wǎng)絡(luò)同步構(gòu)建，提出覆蓋5G-A網(wǎng)絡(luò)端到端的架構(gòu)級安全體系，靈活加載所需的安全技術(shù)，且具備可擴展的演進能力，才能應(yīng)對網(wǎng)絡(luò)面臨的已知和未知的安全需求。本白皮書提出構(gòu)建“內(nèi)生、縱深、智能、自治”的5G-A可信網(wǎng)絡(luò)安全理念，具備以下特征：(1)安全內(nèi)生通信網(wǎng)絡(luò)的發(fā)展伴隨著新業(yè)務(wù)、新架構(gòu)、新技術(shù)的出現(xiàn)，CT領(lǐng)域的數(shù)字化建設(shè)安全保障需求增加，安全性要求也更高。因此需要構(gòu)筑內(nèi)生安全能力，設(shè)備通過自身的功能、架構(gòu)和運行機制，形成自帶的安全能力，并隨著業(yè)務(wù)的發(fā)展持續(xù)調(diào)優(yōu)提升。5G-A網(wǎng)絡(luò)內(nèi)生安全能力將在5G基礎(chǔ)上進一步豐富，突出安全的內(nèi)在屬性，與業(yè)務(wù)強相關(guān)。5G-A考慮設(shè)計系統(tǒng)層、數(shù)據(jù)層、輕量化安全等能力；基于密碼、量子QKD等技術(shù)增強數(shù)據(jù)安全能力，解決在特定場景下鑒權(quán)認證、高速密鑰協(xié)商、提升CIA強度、網(wǎng)元通信等安全需(2)縱深防御5G-A通過自身防御能力的不斷進化增強，提升自身健壯可信性，有效降低未知威脅造成的影響。5G-A引入?yún)^(qū)塊鏈技術(shù)構(gòu)建基于分布式技術(shù)實現(xiàn)信任體系和溯源體系，進一步推進深層的全網(wǎng)一體化，以實現(xiàn)系統(tǒng)的防篡改能力和恢復(fù)能力。引入零信任技術(shù)，持續(xù)進行訪問認證和安全控制，對網(wǎng)絡(luò)進行精細化可視化管理，將傳統(tǒng)的邊界物理防御升級為端到端的縱深防御體系。(3)智能演進5G-A網(wǎng)絡(luò)各層嵌入AI和分布式機器學(xué)習(xí)，從被動防守向主動防御轉(zhuǎn)變，具備“自主感知、自主檢測、自主防護”的主動免疫能力。采用聯(lián)邦學(xué)習(xí)技術(shù)，通過快速的學(xué)習(xí)和訓(xùn)練，可以更加準(zhǔn)確的對網(wǎng)絡(luò)流量與行為異常進行檢測、回溯與根因分析，為網(wǎng)絡(luò)建立端、邊、網(wǎng)、云智能主體間的泛在交互和協(xié)同機制，準(zhǔn)確感知網(wǎng)絡(luò)安全態(tài)勢并預(yù)測潛在風(fēng)險。邊界、網(wǎng)元等安全能力將向智能和協(xié)同方向深化，實現(xiàn)主動安全防御和安全風(fēng)險自動處置。(4)彈性自治5G-A網(wǎng)絡(luò)安全具備內(nèi)生彈性可伸縮框架。安全能力隨業(yè)務(wù)的變化動態(tài)調(diào)整，能自我發(fā)現(xiàn)、自我修復(fù)、自我平衡。5G-A基礎(chǔ)設(shè)施具備安全服務(wù)靈活拆分與組合的能力，通過軟件定義安全技術(shù)，構(gòu)建隨需取用、靈活高效的安全能力資源池，實現(xiàn)安全能力的按需定制、動態(tài)部署和彈性伸縮。5G-A通過安全引擎實現(xiàn)統(tǒng)一的安全能力編排，并對云和網(wǎng)調(diào)度編排，實現(xiàn)安全資源自動分配、安全業(yè)務(wù)自動化發(fā)放、安全策略自動適應(yīng)業(yè)務(wù)變化、網(wǎng)絡(luò)高級威脅實時響應(yīng)防護等能力，多網(wǎng)元、多層次協(xié)同保障網(wǎng)絡(luò)安全，實現(xiàn)安5G-A安全白皮書4.3安全架構(gòu)4.3安全架構(gòu)5G-A安全架構(gòu)的設(shè)計理念強調(diào)安全防護是一個內(nèi)生嵌入、外部持續(xù)處理循環(huán)的過程，基于自適應(yīng)安全架構(gòu)，實現(xiàn)防御能力、檢測能力、響應(yīng)能力、預(yù)測能力的生成和協(xié)同，構(gòu)建自主安全免疫能力，形成網(wǎng)絡(luò)一體化安全服務(wù)。架構(gòu)通過標(biāo)準(zhǔn)化的接口執(zhí)行對外的安全服務(wù)和對內(nèi)的能力調(diào)度，以此使得安全形成外部界面極簡統(tǒng)一、內(nèi)部能力可編排可協(xié)作的框架。5G-A網(wǎng)絡(luò)安全總體架構(gòu)是“三體四層”的分層架構(gòu)。圖4-1：“三體四層”的5G-A網(wǎng)絡(luò)安全總體架構(gòu)5G-A網(wǎng)絡(luò)安全架構(gòu)從多個視圖考慮，多個維度設(shè)計。本白皮書從空間視圖和功能視圖闡述了“三體四層”的5G-A安全總體邏輯架構(gòu)?！瘛叭w”是空間視圖：描述5G-A云網(wǎng)安一體化的宏觀交互，分為網(wǎng)絡(luò)安全體、網(wǎng)絡(luò)與安全互編排體和能力開放體?！瘛八膶印笔枪δ芤晥D：描述5G-A云網(wǎng)安一體化的邏輯組織，分為云網(wǎng)安基礎(chǔ)設(shè)施層、基礎(chǔ)型內(nèi)生安全能力層、增強安全能層、安全運營管理層。(1)網(wǎng)絡(luò)安全體16/5G-A安全白皮書●云網(wǎng)安基礎(chǔ)設(shè)施層：5G-A網(wǎng)絡(luò)云與安全能力池協(xié)同部署。云間網(wǎng)絡(luò)從基礎(chǔ)連接向算力與安全能力調(diào)度擴展，安全能力池為5G-A新的網(wǎng)絡(luò)能力提供集中、近源、共享的分布式安全底座。●基礎(chǔ)型安全能力層：從網(wǎng)絡(luò)架構(gòu)、空口防護、隱私保護、加密算法、通信協(xié)議、可信路徑等多維度建議了5G-A內(nèi)生安全能力，保障網(wǎng)絡(luò)各要素之間的通信安全。●增強型安全能力層：5G-A為了滿足運營商和垂直行業(yè)對網(wǎng)絡(luò)的定制化安全需求，在5G通信系統(tǒng)范圍外，為網(wǎng)絡(luò)通信、業(yè)務(wù)和應(yīng)用引入的增強型安全技術(shù)?！癜踩\營管理層：5G-A網(wǎng)絡(luò)與安全服務(wù)進一步向平臺化、智能化、開放化發(fā)展。通過向運營商和客戶提供5G-A網(wǎng)絡(luò)資產(chǎn)測繪、網(wǎng)絡(luò)數(shù)據(jù)分析、實時安全態(tài)勢感知和自動化響應(yīng)等平臺能力，實現(xiàn)通信、感知與安全服務(wù)的有機融合。(2)網(wǎng)絡(luò)與安全互編排體網(wǎng)絡(luò)與安全互編排體是5G-AMANO（網(wǎng)絡(luò)管理與編排系統(tǒng)）與安全能力管理編排系統(tǒng)之間的標(biāo)準(zhǔn)化接口，實現(xiàn)網(wǎng)絡(luò)與安全在基礎(chǔ)資源、能力、數(shù)據(jù)等維度的雙向開放和調(diào)用?！窬W(wǎng)絡(luò)對安全的編排：基于互編排接口，MANO獲取網(wǎng)絡(luò)安全態(tài)勢和威脅情報數(shù)據(jù)，通過網(wǎng)絡(luò)安全體的原子能力編排模塊，下發(fā)安全策略，自動化調(diào)用IPDR安全能力。MANO可將安全能力設(shè)置為安全網(wǎng)元（SF），解決了MANO無法感知和編排云化安全能力的問題?！癜踩珜W(wǎng)絡(luò)的編排：基于互編排接口，網(wǎng)絡(luò)安全體的安管平臺獲取網(wǎng)絡(luò)側(cè)的信令、流量、負載、日志等網(wǎng)絡(luò)運維數(shù)據(jù)，結(jié)合大數(shù)據(jù)推理和網(wǎng)絡(luò)安全基線，智能化預(yù)測診斷信令風(fēng)暴、惡意流量等DDoS攻擊，啟動相應(yīng)安全響應(yīng)機制，并通過MANO同步編排5G-A網(wǎng)元和云資源，實現(xiàn)網(wǎng)絡(luò)、業(yè)務(wù)與安全的機制融合。(3)能力開放體能力開放體是5G-A網(wǎng)絡(luò)和安全能力對第三方應(yīng)用開放的安全框架?；诰W(wǎng)絡(luò)數(shù)據(jù)分析功能（NW-DAF）和網(wǎng)絡(luò)能力開放功能（NEF），5G-A網(wǎng)絡(luò)、業(yè)務(wù)以及安全能力安全可靠的開放給第三方應(yīng)用，為第三方應(yīng)用提供個性化的服務(wù)及安全保障。這種業(yè)務(wù)能力的開放必須經(jīng)過安全封裝，包括向租戶開放的網(wǎng)絡(luò)能力必須經(jīng)過授權(quán)，不同的授權(quán)訪問不同的能力，并持續(xù)的認證與審計，保障用戶隱私和數(shù)據(jù)安全。5G-A安全白皮書4.4核心特征4.4核心特征(1)云網(wǎng)安一體通信網(wǎng)絡(luò)與安全均向著IP化、云化、服務(wù)化的方向持續(xù)發(fā)展變革。5G-A采用云化網(wǎng)絡(luò)與安全邏輯一體、物理分布部署。網(wǎng)絡(luò)編排層與安全編排層通過標(biāo)準(zhǔn)API實現(xiàn)數(shù)據(jù)共享、能力調(diào)用。通過安全能力池化、原子化、安全服務(wù)編排化的方式。安全能力與5G-A定制網(wǎng)緊密結(jié)合，滿足垂直行業(yè)安全風(fēng)險分析研判和快速響應(yīng)部署安全能力的需求。(2)分布自治5G-A的演進目標(biāo)是“集中式+分布式自治域”共存的網(wǎng)絡(luò)安全架構(gòu)。集中式安全網(wǎng)絡(luò)除了提供集約化的身份認證、業(yè)務(wù)鑒權(quán)外，還提供安全能力統(tǒng)一納管編排、威脅流量統(tǒng)一研判、全網(wǎng)安全態(tài)勢一體呈現(xiàn)等；分布式自治域安全網(wǎng)絡(luò)指的是構(gòu)建一個獨立完整的網(wǎng)絡(luò)，在自治域內(nèi)實現(xiàn)網(wǎng)絡(luò)的運維管理、終端的接入管理，及用戶數(shù)據(jù)不出園區(qū)的安全管理，通過打造各個自治域?qū)崿F(xiàn)網(wǎng)絡(luò)的進一步扁平化和自運維自管理，滿足各行各業(yè)個性化需求。(3)軟件定義軟件定義安全是通過軟件來部署、控制和管理信息安全的新模式，它既具備可信系統(tǒng)、入侵檢測和預(yù)防、網(wǎng)絡(luò)微分段等能力，同時也具備對硬件的安全依賴性最小的能力。面對5G-A威脅流量檢測、未知威脅實施分析建模挑戰(zhàn)，通過流量探針等技術(shù)采集流量，分析后，采用策略下發(fā)的方式要求防護系統(tǒng)攔截威脅流量，滿足動態(tài)、閉環(huán)的安全防護的需求，尤其適用在垂直行業(yè)這類運營商提供基礎(chǔ)設(shè)施，企業(yè)使用的(4)智慧內(nèi)生5G-A將安全由外掛式向內(nèi)生式轉(zhuǎn)變，包括安全內(nèi)生、AI內(nèi)生。面向多域融合、連接泛在、資源異構(gòu)的5G-A網(wǎng)絡(luò)，增量式、補丁式的能力增強難以滿足大規(guī)模組網(wǎng)下的多樣化、多元化服務(wù)需求，需要將安全、AI等核心技術(shù)能力內(nèi)置在5G-A架構(gòu)中，并滲透到各領(lǐng)域、各網(wǎng)絡(luò)、各單元的全生命周期中，通過內(nèi)生設(shè)計實現(xiàn)安全、AI等核心技術(shù)能力與通信網(wǎng)絡(luò)最深程度的融合。綜上，電信運營商基于5G-A安全框架，通過網(wǎng)絡(luò)內(nèi)生安全能力、協(xié)同安全能力池、智慧安全運營中心，實現(xiàn)智能檢測，處置閉環(huán)的聯(lián)動防護，提升主動安全防御能力以及安全運維效率。5G-A網(wǎng)絡(luò)與安全編排體系深度協(xié)同，融合開放，為5G-A業(yè)務(wù)和應(yīng)用提供一個智能閉環(huán)處置的安全運行環(huán)境。18/5G-A安全白皮書5G-A5G-ASECURITY5G-ASECURITYCRITICALTECHNOLOGY5G-A安全關(guān)鍵技術(shù)與5G-A安全架構(gòu)相對應(yīng)，以云網(wǎng)邊端安協(xié)同為特征，以身份認證和訪問控制為核心，初步構(gòu)建一個端到端、分層、閉環(huán)和持續(xù)運營的安全技術(shù)體系?；谲浖x、零信任等技術(shù)構(gòu)建接入與邊界安全能力，基于NFV、SDN、服務(wù)鏈編排等技術(shù)構(gòu)建池化安全網(wǎng)元；基于密碼、量子QKD等技術(shù)構(gòu)建數(shù)據(jù)安全能力，基于智能化分析、態(tài)勢感知與自動化響應(yīng)等技術(shù)構(gòu)建全網(wǎng)安全聯(lián)動能力；基于Ai、資產(chǎn)安全、聯(lián)邦學(xué)習(xí)安全構(gòu)建全網(wǎng)免疫能力，并與網(wǎng)絡(luò)側(cè)編排聯(lián)動，支持向網(wǎng)絡(luò)及第三方能力開放。圖5-1：5G-A安全關(guān)鍵技術(shù)總覽感知、連接、通算、智算、存力是5G-A網(wǎng)絡(luò)與安全的基礎(chǔ)設(shè)施關(guān)鍵要素，為切片網(wǎng)元與安全原子能力的全域感知、靈活部署、互通協(xié)同、按需組合、敏捷響應(yīng)提供云網(wǎng)融合的資源支撐。5G-A網(wǎng)絡(luò)與安全基礎(chǔ)設(shè)施向融合、統(tǒng)一的云化技術(shù)底座持續(xù)演進，依據(jù)業(yè)務(wù)需求提供虛擬化、容器、裸金屬、超融合的各類承載形態(tài)。5G-A安全白皮書5.1.15.1.1分布泛在的算力部署、多元異構(gòu)的算力資源、統(tǒng)一調(diào)度的算力供給、敏捷的網(wǎng)絡(luò)云原生體系是5G-A新型基礎(chǔ)設(shè)施架構(gòu)創(chuàng)新的主要方向。網(wǎng)絡(luò)向以用戶和數(shù)據(jù)為中心演進，支撐確定性轉(zhuǎn)發(fā)、分布式控制協(xié)同、場景化定制、內(nèi)嵌AI以及工業(yè)控制領(lǐng)域可靠性等需求。網(wǎng)元向軟硬一體、存算網(wǎng)一體化演進，突破虛擬化的性能瓶頸，兼顧靈活性和性價比，拓寬應(yīng)用邊界，應(yīng)對云、邊、端和多行業(yè)場景的靈活部署需求?；A(chǔ)設(shè)施自帶安全能力，隨業(yè)務(wù)的發(fā)展持續(xù)調(diào)優(yōu)提升。5G-A云化基礎(chǔ)設(shè)施以調(diào)度體系為核心，深度融合網(wǎng)絡(luò)、算力和存儲等資源，實現(xiàn)信息通信資源的智能調(diào)度和優(yōu)化利用。圖5-2：5G-A新型基礎(chǔ)設(shè)施架構(gòu)通信網(wǎng)絡(luò)向軟件定義網(wǎng)絡(luò)持續(xù)演進，先后經(jīng)歷三個階段：虛擬化階段、云化階段和云原生階段。電信運營商一般起步于虛擬化階段，正在經(jīng)歷云化階段優(yōu)化，并同步向云原生階段演進。圖5-3：網(wǎng)絡(luò)云化演進20/5G-A安全白皮書網(wǎng)絡(luò)云原生將云原生理念與技術(shù)體系應(yīng)用于5G-A網(wǎng)絡(luò)中，其應(yīng)用包括網(wǎng)絡(luò)功能和運營運維支撐系統(tǒng)。網(wǎng)絡(luò)云原生基于微服務(wù)架構(gòu)進行應(yīng)用設(shè)計與開發(fā)，使用容器進行應(yīng)用承載與編排，采用DevOps打造開發(fā)運維一體化管理體系。國內(nèi)外電信運營商推動網(wǎng)元容器化實現(xiàn)，引入服務(wù)化架構(gòu)、微服務(wù)和容器等先進技術(shù)，對5GC進行全云化重構(gòu)，推進三層解耦、無狀態(tài)設(shè)計，目標(biāo)是構(gòu)建彈性、健壯、敏捷、安全的全云化5G-A網(wǎng)絡(luò)。2019年，中國電信完成支持承載電信網(wǎng)元PCRF的云原生平臺的研發(fā)，并在物聯(lián)網(wǎng)進行試點落地；2020年，在天翼云上部署了基于云原生的輕量級5GC，可向垂直行業(yè)提供“5G網(wǎng)絡(luò)即插即用”的專網(wǎng)級網(wǎng)絡(luò)服務(wù)能力。5.1.25.1.2為滿足5G-A用戶對等保合規(guī)、敏捷按需、防護能力多層次的安全需求，在運營商云網(wǎng)融合的技術(shù)驅(qū)動下，安全能力池應(yīng)運而生。安全能力池主要面向5G終端、客戶業(yè)務(wù)平臺與應(yīng)用、行業(yè)專網(wǎng)/專線，提供統(tǒng)一管理、智能聯(lián)動、按需調(diào)度的安全服務(wù)。安全云資源可與5G-A網(wǎng)絡(luò)云同底座部署，采用云邊協(xié)同架構(gòu)、自動化云端部署安全防護能力，通過虛擬化、軟件化、服務(wù)化的安全能力為用戶提供實時安全保障，極大地提升了安全能力的使用效率，降低了使用成本。中國電信安全能力池已完成199個全節(jié)點建設(shè)，骨干網(wǎng)覆蓋100%，城域網(wǎng)覆蓋49%，涵蓋了全國31個省份的150個城市，承載10多類共計30項安全原子能力，實現(xiàn)了端到端的流量調(diào)度監(jiān)控處置能力。如圖所示，安全能力池分為上、中、下3層架構(gòu)，分別為安全能力管理平臺層、安全業(yè)務(wù)中臺層和資源池層。圖5-4：安全能力池總體架構(gòu)5G-A安全白皮書安全能力池的系統(tǒng)架構(gòu)具有集中、近源、共享等特點：集中：安全能力池通過安管平臺對所有線上資源池集中統(tǒng)一納管，提供SaaS化服務(wù)，提高運維效率。近源：資源池結(jié)合邊緣云技術(shù)與電信運營商的大網(wǎng)優(yōu)勢實現(xiàn)了近源流量安全防護，將業(yè)務(wù)流量引導(dǎo)到距共享：SaaS化原子能力在共享模式下實現(xiàn)了同一服務(wù)點下多租戶共享虛機集群。每個虛機集群部署一類服務(wù)，不同租戶間通過邏輯隔離，共享模式具有成本低、效率高和資源利用最大化等優(yōu)勢。安全能力池的關(guān)鍵技術(shù)包括流量調(diào)度與服務(wù)編排、原子能力統(tǒng)一納管。(1)流量調(diào)度與服務(wù)編排傳統(tǒng)資源池使用基于策略的路由（PBR）進行流量調(diào)度。針對運營商級別的大網(wǎng)流量牽引調(diào)度，該方式會占用路由條目項，配置繁瑣，速度慢，規(guī)模部署將難以維護。為使網(wǎng)絡(luò)與云池有機融合和統(tǒng)一調(diào)度，安全能力池創(chuàng)新性的采用了流量調(diào)度與服務(wù)鏈編排技術(shù)。圖5-5：安全能力池流量調(diào)度22/5G-A安全白皮書在系統(tǒng)需要流量調(diào)度的情況下，資源池通過自主研發(fā)的Flowspec控制器來修改路由的下一跳地址，從而將流量牽引至距用戶最近的池子，進而提供安全防護。流量進入云池后，針對云資源池內(nèi)的原子能力編排，安全能力池使用基于SRv6的端到端引流方案。資源池將原子能力所在虛擬機的IPv6地址定義成實例化的段標(biāo)識（SID），通過操作不同的SID，實現(xiàn)路徑規(guī)劃。資源池利用SID包頭壓縮技術(shù)，在保持對128bitSID兼容的同時，刪除SID的冗余信息并將其壓縮為32bit，在支持原有硬件設(shè)備的同時具有更高的傳輸效率和轉(zhuǎn)發(fā)性能。(2)原子能力統(tǒng)一納管安全能力池通常涵蓋大量資源池底座與多種原子能力。傳統(tǒng)資源池每引入一種新型原子能力都需要大幅度改動系統(tǒng)，因此存在交付效率低、系統(tǒng)維護困難等問題。安全能力池有數(shù)千臺硬件服務(wù)器，原子化后的安全能力組合方式呈指數(shù)級增長，因此如何快速納管安全原子能力以及不同云下的資源池成為系統(tǒng)能否圖5-6：安全能力統(tǒng)一納管針對以上問題，安全能力池在安全能力管理平臺和底層資源池之間引入分布式高可用的安全業(yè)務(wù)中臺。中臺通過統(tǒng)一規(guī)范的接口為上層平臺側(cè)的擴展提供便利，并面向多安全廠商異構(gòu)設(shè)備提供標(biāo)準(zhǔn)化接口，使得安全能力池能夠?qū)崿F(xiàn)跨廠商安全原子能力的統(tǒng)一納管。安全中臺提升了業(yè)務(wù)的靈活性和高效性，打破了各廠商間安全設(shè)備難以互通的孤島形態(tài)，建立了可信任的安全聯(lián)動體系。標(biāo)準(zhǔn)化接口規(guī)范的推進和安全能力的適配，為5G-A云上安全可信生態(tài)的構(gòu)建奠定了基礎(chǔ)。/235G-A安全白皮書5.2基礎(chǔ)型安全關(guān)鍵技術(shù)5.2基礎(chǔ)型安全關(guān)鍵技術(shù)基礎(chǔ)型安全技術(shù)與網(wǎng)絡(luò)、業(yè)務(wù)流程深度融合，體現(xiàn)為標(biāo)準(zhǔn)化、內(nèi)生化。安全元素基于云網(wǎng)安基礎(chǔ)設(shè)施，內(nèi)嵌于邊界、網(wǎng)元、通信協(xié)議，是5G-A提供通信安全的核心能力，同時也為5G-A網(wǎng)絡(luò)提供安全防護。安全技術(shù)隨智能化發(fā)展演進，與網(wǎng)絡(luò)與應(yīng)用融合一體，具備自學(xué)習(xí)、自生長、自適應(yīng)的特征，并將反5.2.1SBA安全增強5.2.1隨著服務(wù)化架構(gòu)的演進以及云化部署新場景的應(yīng)用，對5G-A網(wǎng)絡(luò)都可能帶來新的安全漏洞，從而影響移動通信網(wǎng)絡(luò)的安全穩(wěn)定。特別是針對存在SCP、IPX等中間代理類實體的場景，5G-A網(wǎng)絡(luò)對這類實體的信任關(guān)系，不僅僅要考慮安全性的增強，還需要考慮部署成本等因素。5G-A網(wǎng)絡(luò)內(nèi)明確了NF，NRF，SCP，SEPP之間的信任關(guān)系，主要包括：(1)同一個PLMN內(nèi)的信任關(guān)系5G-A網(wǎng)絡(luò)明確了間接通信時，其他核心網(wǎng)網(wǎng)元對SCP的信任關(guān)系。注冊管理階段，NFp需要確認SCP轉(zhuǎn)發(fā)的NFp配置文件未修改，并且沒有其他NF可以向SCP冒充NFp的身份。服務(wù)發(fā)現(xiàn)階段，NFc需要信任SCP能正確的將經(jīng)過NRF身份驗證的NFp的相關(guān)信息轉(zhuǎn)發(fā)給NFc。訪問令牌請求時，SCP需要得到NFc和NFp的信任，以便轉(zhuǎn)發(fā)身份令牌或CCA與原始請求。此外，如果SCP與NF合設(shè)，則SCP和NF有相同的信任級別；如果SCP是獨立的，則SCP與NF之間的通信應(yīng)使用安全協(xié)議。(2)跨PLMN的信任關(guān)系5G-A網(wǎng)絡(luò)中發(fā)送PLMN中的SEPP需要信任接收PLMN中的SEPP，即路徑上的其他實體（如IPX，RVAS或roaminghub）沒有未經(jīng)授權(quán)的訪問，并且按照協(xié)商策略修改信令消息。5G-A網(wǎng)絡(luò)中SEPP僅代表自己的PLMN轉(zhuǎn)發(fā)請求。特別的，在訪問令牌請求過程中NFc需要信任cNRF以便獲得另一個PLMN中的NFp的訪問令牌。5.2.25.2.25G-A的新特性對數(shù)據(jù)安全帶來了新挑戰(zhàn)。首先，5G-A帶寬和連接能力的提升，帶來了數(shù)據(jù)量級的增長。5G-A支持10倍于5G峰值速率和連接密度，數(shù)據(jù)流量大幅增加，數(shù)據(jù)加密、數(shù)據(jù)防泄漏等安全防護措施需有效滿足網(wǎng)絡(luò)場景。第二，5G-A數(shù)據(jù)跨域流動的加快，帶來了數(shù)據(jù)動態(tài)性的增加。5G-A在深度賦能垂直行業(yè)的同時，加速了數(shù)據(jù)從終端、運營商網(wǎng)絡(luò)、企業(yè)網(wǎng)絡(luò)和應(yīng)用的流轉(zhuǎn)，數(shù)據(jù)安全治理重點將由原來靜態(tài)的數(shù)據(jù)存儲系統(tǒng)防護轉(zhuǎn)變?yōu)閯討B(tài)的數(shù)據(jù)流動全生命周期風(fēng)險管控。24/5G-A安全白皮書隨著社會和國家對數(shù)據(jù)安全和隱私保護日益重視，國家相繼出臺了《數(shù)據(jù)安全法》、《新一代人工智能治理原則》等法律法規(guī)指導(dǎo)各個行業(yè)規(guī)范隱私保護相關(guān)產(chǎn)品的設(shè)計開發(fā)和使用。5G-A延續(xù)了5G數(shù)據(jù)安全體系，從通用數(shù)據(jù)安全、終端數(shù)據(jù)安全、網(wǎng)絡(luò)數(shù)據(jù)安全、業(yè)務(wù)數(shù)據(jù)安全多緯度覆蓋了5G-A各類場景的通用數(shù)據(jù)安全：包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)共享和數(shù)據(jù)銷毀，涉及5G-A網(wǎng)元、網(wǎng)絡(luò)、切片、安全設(shè)備、云平臺等通用基礎(chǔ)設(shè)施資產(chǎn)數(shù)據(jù)安全。終端數(shù)據(jù)安全：包括終端身份的接入鑒權(quán)、終端數(shù)據(jù)的機密性和完整性保護、終端數(shù)據(jù)存儲加密和隔離、終端報廢后的數(shù)據(jù)銷毀等。網(wǎng)絡(luò)數(shù)據(jù)安全：包括無線網(wǎng)數(shù)據(jù)安全、承載網(wǎng)數(shù)據(jù)安全、核心網(wǎng)數(shù)據(jù)安全、網(wǎng)絡(luò)切片數(shù)據(jù)安全，涉及安全域劃分、端到端的資源隔離、虛擬化平臺安全、空口信令面和用戶面的機密性和完整性保護、網(wǎng)絡(luò)層/傳輸層/應(yīng)用層的數(shù)據(jù)加密傳輸、用戶數(shù)據(jù)加密存儲、密鑰保護和抗重放保護等。業(yè)務(wù)數(shù)據(jù)安全：包括5G-A的6類應(yīng)用場景數(shù)據(jù)安全，涉及業(yè)務(wù)流量數(shù)據(jù)內(nèi)容監(jiān)控與識別能力、API接口安全、應(yīng)用之間數(shù)據(jù)隔離、二次認證和密鑰管理機制、輕量級安全算法、分布式身份認證管理等。身份標(biāo)識是鑒權(quán)認證、訪問控制、持續(xù)會話的關(guān)鍵安全因素，也是數(shù)據(jù)的用戶標(biāo)簽，所以基于身份的隱私保護是5G/5G-A數(shù)據(jù)安全體系的重要基礎(chǔ)，5G-A網(wǎng)絡(luò)重新審視各個場景下的隱私安全并對薄弱環(huán)節(jié)進行針對性增強。例如，對于漫游場景下跨PLMN的用戶同意，人工智能場景下隱私數(shù)據(jù)的采集和防泄露，用戶身份信息的隱藏等。5G-A中數(shù)據(jù)安全與隱私保護增強關(guān)鍵技術(shù)包括：(1)增強的用戶身份標(biāo)識信息保護已有的5G安全標(biāo)準(zhǔn)已經(jīng)支持基于公鑰密碼技術(shù)對UE的身份標(biāo)識SUPI加密保護。然而，SUCI由于是通過公鑰密碼產(chǎn)生流密鑰和SUPI異或產(chǎn)生的，因此SUCI暴露了SUPI長度這一特征。通過大量數(shù)據(jù)的統(tǒng)計信息，即有可能識別特殊人群特別是高等級人群的身份信息，造成隱私泄露。5G-A將通過隨機填充特殊字符等方式，優(yōu)化SUPI加密過程從而抵抗用戶身份標(biāo)識長度的泄露，增強隱私保護。(2)漫游場景用戶同意流程5G-A網(wǎng)絡(luò)將支持漫游場景下人工智能數(shù)據(jù)收集，模型訓(xùn)練以及分析結(jié)果的訂閱。漫游場景擴大了數(shù)據(jù)收集范圍使得模型訓(xùn)練效果更好，跨PLMN的分析結(jié)果的訂閱也使得網(wǎng)絡(luò)可以感知更多的信息從而優(yōu)化相關(guān)參數(shù)提高用戶服務(wù)體驗感受。在當(dāng)?shù)胤ㄒ?guī)允許的情況下，NWDAF將作為漫游場景用戶同意流程的執(zhí)行點，通過向用戶對應(yīng)PLMN查詢UE的簽約信息獲得用戶同意，保證漫游場景下用戶隱私安全。/255G-A安全白皮書(3)人工智能場景下數(shù)據(jù)和模型安全保護5G網(wǎng)絡(luò)借助于NWDAF、DCCF、ADRF等網(wǎng)元實現(xiàn)人工智能，為網(wǎng)絡(luò)提供切片負載分析，網(wǎng)絡(luò)性能分析，終端移動性分析等能力，為網(wǎng)絡(luò)優(yōu)化相關(guān)流程參數(shù)提供數(shù)據(jù)支持。在5G-A場景下，人工智能新增了漫游場景、聯(lián)邦學(xué)習(xí)、模型的存取等流程，這些新流程需要新的安全機制提供安全保障。漫游場景下，兩個PLMN的NWDAF通過專用的服務(wù)化接口進行數(shù)據(jù)和分析結(jié)果的傳遞，通過令牌機制，PRINGS等已有安全機制保障服務(wù)化接口的安全。聯(lián)邦學(xué)習(xí)場景下將新增多個NWDAF加入聯(lián)邦學(xué)習(xí)群組的授權(quán)機制，從而限制聯(lián)邦學(xué)習(xí)過程數(shù)據(jù)和中間模型的分享范圍。5G-A網(wǎng)絡(luò)支持NWDAF將訓(xùn)練好的模型存儲在ADRF中，模型可支持加密存儲并授權(quán)給指定范圍的NFc獲取。5.2.35.2.3空口面臨的主要安全威脅包括：非法終端在沒有認證的情況下接入網(wǎng)絡(luò)，消耗網(wǎng)絡(luò)資源，同時攻擊者可以利用非法終端對網(wǎng)絡(luò)發(fā)起攻擊；UE和基站之間的通信數(shù)據(jù)被竊聽或者篡改，造成用戶隱私信息泄露，攻擊者利用其進行非法跟蹤、電信詐騙等；惡意終端的DoS攻擊，造成網(wǎng)絡(luò)的可用性和可服務(wù)性降低，甚至造成網(wǎng)絡(luò)設(shè)備故障。5G-A中空口安全增強關(guān)鍵技術(shù)包括：(1)用戶身份認證和鑒權(quán)5G-A使用統(tǒng)一的認證架構(gòu)，以適應(yīng)不同終端類型和不同接入網(wǎng)絡(luò)類型（3GPP接入和非3GPP接入）。圖5-7：5G-A使用統(tǒng)一的認證架構(gòu)5G-A提供了5G-AKA認證方式，圖5-7：5G-A使用統(tǒng)一的認證架構(gòu)由AUSF對網(wǎng)絡(luò)接入進行認證。5G-AKA的認證流程遵從3GPPTS33.501。(2)通信數(shù)據(jù)保護UE和基站之間支持信令面數(shù)據(jù)的加密、完整性保護和抗重放保護；UE與AMF之間支持信令面數(shù)據(jù)的加密、完整性保護和抗重放保護，支持初始NAS消息安全保護，支持對用戶永久的身份ID加密；UE與基站之間支持用戶面據(jù)的加密、完整性保護抗重放保護。(3)空口安全算法當(dāng)前網(wǎng)絡(luò)中支持的加密算法和完整性保護算法主要基于128bits，例如：128-bitSNOW3Gbasedalgorithm，128-bitAESbasedalgorithm和128-bitZUCbasedalgorithm，隨著量子攻擊將實際威脅傳統(tǒng)算法，需要開始逐步向后量子遷移，將全部替換為256bits強度的算法，預(yù)計在3GPPR19開始研究。26/5G-A安全白皮書(4)空口防DDoS攻擊面對終端從空口對RAN側(cè)基站發(fā)起的DDoS攻擊，5G-A基站應(yīng)具備空口數(shù)據(jù)流控機制。當(dāng)基站設(shè)備受到大流量攻擊時，設(shè)備流控機制可有效降低基站復(fù)位重啟、拒絕服務(wù)等風(fēng)險，從而提升基站設(shè)備的可靠性，確保業(yè)務(wù)持續(xù)正常服務(wù)。同時，還可以降低接入成功率和切換成功率惡化風(fēng)險，維持用戶體驗不變。主要流控機制包括：控制gNB的輸出流量或通過反壓對端控制接入流量；主動降低gNB的流量輸出速率或通過反壓降低對端的流量輸出速率；識別業(yè)務(wù)優(yōu)先級，抑制低優(yōu)先級數(shù)據(jù)的接入等。除此之外，對于惡意UE發(fā)起的部分信令攻擊進行識別（如連續(xù)的RRC連接請求攻擊），阻止惡意終端的信令攻擊。5.2.45.2.4網(wǎng)絡(luò)的移動性為5G終端接入帶來便利的同時，也增加了新的風(fēng)險。企業(yè)合法終端和配對的SIM卡若同時被不法人員盜取，移動到非授權(quán)區(qū)域攻擊網(wǎng)絡(luò)，網(wǎng)絡(luò)也有被非法訪問甚至控制的風(fēng)險。依照3GPP29.561定義，當(dāng)終端從5G-A網(wǎng)絡(luò)接入企業(yè)專網(wǎng)(IPDataNetwork)時，核心網(wǎng)SMF作為企業(yè)專網(wǎng)的接入控制點，可向終端安全管理平臺發(fā)起基于Radius的認證過程，對用戶終端進行自主認證確定終端是否可接入企業(yè)專網(wǎng)，這個過程相對于運營商對終端的主認證，被稱為二次認證或者二次鑒權(quán)，如下圖。5G-A核心網(wǎng)在建立用戶會話的過程中，向終端安全管理平臺發(fā)起基于Radius的PAP/CHAP認證。如果認證通過，核心網(wǎng)將為用戶建立到企業(yè)專網(wǎng)的會話；如果認證失敗，核心網(wǎng)將中止用戶會話建立過程，斷連用戶。圖5-8：企業(yè)專網(wǎng)二次認證/275G-A安全白皮書1設(shè)備可信證據(jù)上送：2設(shè)備可信評估：3設(shè)備可信評分/等級：4路由計算加入可信因子：5基于可信因子調(diào)整轉(zhuǎn)發(fā)路徑：1設(shè)備可信證據(jù)上送：2設(shè)備可信評估：3設(shè)備可信評分/等級：4路由計算加入可信因子：5基于可信因子調(diào)整轉(zhuǎn)發(fā)路徑：二次認證將運營商的終端訪問控制策略開放給企業(yè)，增強了企業(yè)對5G終端的自主管控能力。二次認證可以實現(xiàn)機卡綁定、電子圍欄、SIM訪問控制和溯源等5G終端多重接入控制，達成對園區(qū)終端接入的精細化控制，縮小網(wǎng)絡(luò)攻擊面。5.2.55.2.5圖5-9：網(wǎng)元入侵檢測5G-A網(wǎng)絡(luò)面臨著業(yè)務(wù)、架構(gòu)、技術(shù)的變化圖5-9：網(wǎng)元入侵檢測及演進所帶來的安全風(fēng)險，目前3GPP標(biāo)準(zhǔn)上對網(wǎng)元自身的安全配置及網(wǎng)元間互聯(lián)互通的安全進行了定義，網(wǎng)元已按照相關(guān)標(biāo)準(zhǔn)內(nèi)嵌了這些安全能力。但網(wǎng)元暴露面增大，新型攻擊手段不斷演進，使得攻擊者可以通過攻擊虛擬機來獲取敏感信息或者控制整個網(wǎng)絡(luò)，傳統(tǒng)邊界設(shè)備的安全機制難以發(fā)現(xiàn)網(wǎng)元系統(tǒng)的入侵行為等，不能對網(wǎng)元建立有效的防護，已無法保障通信基礎(chǔ)設(shè)施安全，網(wǎng)元成為最后防線。因此應(yīng)通過在系統(tǒng)內(nèi)構(gòu)筑入侵檢測能力來提升網(wǎng)元安全性。網(wǎng)元通過內(nèi)置入侵檢測能力，對系統(tǒng)的各類行為進行實時監(jiān)控（例如：進程啟動、文件刪除等），將信息上報給安全管理單元，對異常行為進行分析，進而判定行為是否存在異常/惡意入侵并與業(yè)務(wù)資產(chǎn)關(guān)聯(lián)。檢測典型的攻擊行為如：非法超級用戶、文件權(quán)限提升、shell文件篡改、關(guān)鍵文件異常篡改、rootkit攻擊、異常登陸檢測、暴力破解檢測等。5.2.65.2.65G-A承載網(wǎng)將是IT和CT、連接和算力的深度融合，承載網(wǎng)技術(shù)正在向滿足分布式云、邊緣云、面向行業(yè)的差異化SLA保證(如EVPN+SRv6、廣域DIP、數(shù)據(jù)中心內(nèi)高性能組網(wǎng))、海量泛在連接(IPv6+、FlexIP等)、計算任務(wù)驅(qū)動的算力網(wǎng)絡(luò)方向演進。傳送管道是5G-A承載網(wǎng)的基本屬性之一，負責(zé)把用戶的業(yè)務(wù)數(shù)據(jù)完整的、機密的輸送到目的地，保證數(shù)據(jù)的正確轉(zhuǎn)發(fā)。網(wǎng)絡(luò)設(shè)備的物理接口、設(shè)備間的物理鏈路、通信協(xié)議接口等都暴露在外，客觀上形成了一定的暴露面，僅靠IPSec等加密技術(shù)不足以保護高度敏感業(yè)務(wù)流量的機密性，一旦某臺網(wǎng)絡(luò)設(shè)備被攻擊者入侵并控制，業(yè)務(wù)流可以被攻擊者劫持而后實施破解。為了更好的保護數(shù)據(jù)傳輸安全，網(wǎng)絡(luò)需要建立安全、可信賴的轉(zhuǎn)發(fā)路徑，經(jīng)過的每臺網(wǎng)絡(luò)設(shè)備都可以被評估和驗證其可信度，以設(shè)備可信為基礎(chǔ)，通過物理層、協(xié)議層安全機制建立安全連接，保護協(xié)議安全、路由交互安全、流量轉(zhuǎn)發(fā)安全，保證用戶業(yè)務(wù)流。28/5G-A安全白皮書網(wǎng)絡(luò)一旦檢測到某臺網(wǎng)絡(luò)設(shè)備被攻擊者入侵，設(shè)備變得不安全，轉(zhuǎn)發(fā)路徑變得不再可信。基于路由計算，需要重新建立一條可信路徑繼續(xù)傳輸業(yè)務(wù)流量，保證業(yè)務(wù)的機密性、完整性。技術(shù)原理：以“建立一條可信路徑”為例，基于設(shè)備可信評估/等級，路由計算調(diào)整轉(zhuǎn)發(fā)路徑，保證數(shù)圖5-10：可信路徑傳輸網(wǎng)絡(luò)設(shè)備上送可信證明信息到可信評估單元，包括三方證明、軟硬件完整性，數(shù)據(jù)機密性狀態(tài)、設(shè)備唯一身份證明、版本漏洞修復(fù)狀態(tài)等?？尚旁u估單元基于設(shè)備的可信度聲明對可信證據(jù)進行評估，驗證上送證據(jù)和可信度聲明基線一致性。可信評估單元給出設(shè)備的可信評分或信任等級，如可信、一般信任、不可信等?？刂破魇盏娇尚旁u估單元發(fā)送來的設(shè)備可信等級，如不可信，控制器將不可信的設(shè)備排除出路由計算，并重新計算路徑，進行路徑調(diào)整，調(diào)整后的轉(zhuǎn)發(fā)表重新發(fā)送給網(wǎng)絡(luò)設(shè)備。按照最新轉(zhuǎn)發(fā)表項指導(dǎo)數(shù)據(jù)轉(zhuǎn)發(fā)，繞過不可信的網(wǎng)絡(luò)設(shè)備。/295G-A安全白皮書5.2.75.2.7未來5G-A網(wǎng)絡(luò)將打破當(dāng)前“外掛式”的安全現(xiàn)狀，具備完整的、內(nèi)生的安全可信能力。在物聯(lián)網(wǎng)、移動化、BYOD等趨勢下，遠程辦公、設(shè)備的高移動性打破了網(wǎng)絡(luò)物理邊界，基于位置、IP等的安全策略不再適用。一方面，傳統(tǒng)認證協(xié)議“先連接、再認證”的方式易受DDoS攻擊，需要高效的隨路身份驗證技術(shù)；另一方面，傳統(tǒng)基于鑒權(quán)元組的策略過于粗糙、靜態(tài)，難以適應(yīng)差異化安全需求和動態(tài)的安全態(tài)勢，需要靈活的精細化訪問控制。5G-A報文內(nèi)生可信通過終端在數(shù)據(jù)包頭攜帶自身的可信身份與權(quán)限標(biāo)識，提供逐報文隨路的安全校驗?zāi)芰透呔鹊臋?quán)限控制，進而實現(xiàn)極簡、高效的安全通信。(1)隨路身份驗證現(xiàn)有協(xié)議將身份與IP地址綁定需依賴外附的表映射，導(dǎo)致追溯時延大、準(zhǔn)確性依賴于表查詢等問題。將在發(fā)送的業(yè)務(wù)報文頭中嵌入可信ID與認證消息，物聯(lián)網(wǎng)關(guān)或其他路由設(shè)備可以提前獲取認證服務(wù)器分發(fā)的密鑰，以支持業(yè)務(wù)報文的逐包隨路驗證，確認業(yè)務(wù)報文源設(shè)備身份的真實性。高效源驗證碼生成算法，配合輕量密鑰派生與高性能校驗算法，支撐起網(wǎng)絡(luò)設(shè)備對報文身份的高效校驗。(2)隨路訪問權(quán)限驗證現(xiàn)有網(wǎng)絡(luò)根據(jù)五元組數(shù)據(jù)包無法判斷某一源設(shè)備是否擁有權(quán)限訪問某一目的服務(wù)器，通常需要在權(quán)限校驗點配置IP地址對應(yīng)的權(quán)限或訪問規(guī)則，配置成本巨大。隨路權(quán)限認證通過在報文中內(nèi)嵌權(quán)限驗證信息，支持網(wǎng)絡(luò)設(shè)備逐包驗證，實現(xiàn)數(shù)字身份一網(wǎng)通；同時，權(quán)限按需授予和使用，可以消除歷史權(quán)限誤用，避免無關(guān)權(quán)限濫用，實現(xiàn)靈活可“伸縮”的權(quán)限控制；此外，具備內(nèi)生驗證能力的網(wǎng)絡(luò)設(shè)備僅需要配置一個密鑰就可以實現(xiàn)數(shù)據(jù)包的權(quán)限驗證，可以支持快速部署。(3)隨路抗DDoS越來越多的5G-A應(yīng)用將部署在數(shù)據(jù)中心或者云上，金融、游戲等業(yè)務(wù)需要網(wǎng)絡(luò)提供高效的DDoS攻擊防御能力，現(xiàn)有黑洞、流量清洗方案效率低、成本高?？紤]到IP地址屬于網(wǎng)絡(luò)中節(jié)點的全網(wǎng)唯一性標(biāo)識，通過在IP地址中內(nèi)嵌可驗證ID，端側(cè)在數(shù)據(jù)包中填充IP地址時自然內(nèi)嵌可驗證安全信息，使5G-A用戶面驗證點可以高效地識別合法和非法流量，快速過濾非法流量，無需額外的協(xié)議棧開發(fā)與支持，對現(xiàn)網(wǎng)5.2.85.2.85G-A進一步提升專網(wǎng)的高可靠性（99.9999%）、高可用性、高精準(zhǔn)授時、高精度定位等能力。5G-A需要滿足垂直行業(yè)通信與應(yīng)用對內(nèi)生安全的適配需求。30/5G-A安全白皮書(1)高可靠性安全圖5-11：基于載波聚合PDCP圖5-11：基于載波聚合PDCP復(fù)制或雙連接PDCP復(fù)制提出確定性要求，如電網(wǎng)差動保護、港口岸橋遠程控制、橋式起重機遠程操縱等。5G-A的高可靠性增強技術(shù)包括PDCP復(fù)制、混合自動重傳請求（HARQ）重傳、智能自適應(yīng)調(diào)制編碼（AMC）控制重傳和低碼率MCS調(diào)整等。涉及的安全增強技術(shù)主要是PDCP復(fù)制安全，即確保PDCP數(shù)據(jù)和復(fù)制數(shù)據(jù)均使用相同的加密完保策略和密鑰。(2)高可用性安全高可用性是行業(yè)應(yīng)用的基本要求：一方面通過設(shè)備和鏈路冗余提高可用性；另一方面，要確保在通信鏈路斷開后，仍能繼續(xù)保持業(yè)務(wù)連接。如圖所示，當(dāng)?shù)V山場景的井下基站與地面核心網(wǎng)的連接（N2、N4）斷鏈時，為了保持業(yè)務(wù)連貫運行，井下用戶終端的正常業(yè)務(wù)不受影響，基站需要啟動5G-A控制面（NG-C）斷鏈業(yè)務(wù)保持功能，并且要求業(yè)務(wù)不斷、安全不斷。圖5-12：5G-A控制面斷鏈業(yè)務(wù)保持功能示意由于對用戶的安全控制圖5-12：5G-A控制面斷鏈業(yè)務(wù)保持功能示意管理是在核心網(wǎng)進行的，因此當(dāng)基站啟動斷鏈保持時，基站也要增強對用戶的安全控制管理。例如，在下沉的UPF/MEC部署一個5GC控制面代理服務(wù)，支持終端呼叫等控制面功能，5GC代理服務(wù)能跟井上的5GC進行信息同步，基站檢測到控制面斷時，通過備用偶聯(lián)接到NE的5GC代理，實現(xiàn)孤站自治。這樣可以保持存量業(yè)務(wù)，同時可以新接入業(yè)務(wù)，達到L2級安全。5G-A安全白皮書5.3增強型安全關(guān)鍵技術(shù)5.3增強型安全關(guān)鍵技術(shù)(3)高精準(zhǔn)授時安全隨著5G工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)需求的迅猛發(fā)展，通過5G-A空口實現(xiàn)業(yè)務(wù)到UE側(cè)高精度時間同步成為業(yè)務(wù)系統(tǒng)的基礎(chǔ)性需要。當(dāng)前3GPPR16/R17中缺少時鐘源故障的容錯機制，例如：GNSS衛(wèi)星故障，將導(dǎo)致5G網(wǎng)絡(luò)失去高精度時間同步能力。5GR18使能5GS對故障進行感知并上報，RAN或UPF將作為時鐘源，維持整個網(wǎng)絡(luò)的高精度時鐘同步正常工作。首先，TSCTSF（時間敏感通信時間同步功能）通過U面（OAM）或控制面獲取RAN/UPF的時鐘同步信息；然后，RAN/UPF切換到備份時鐘源，維持5G網(wǎng)絡(luò)時間同步服務(wù)能力；最后，TSCTSF通知AF時鐘同步狀態(tài)發(fā)送改變。5G高精度目標(biāo)是使能5GS感知授時服務(wù)的時鐘源故障并上報，同時觸發(fā)5GS基于簽約、配置和性能等要素切換到備份時鐘源，例如在衛(wèi)星授時服務(wù)異常時提供5GS時鐘作為備份，使能5G網(wǎng)絡(luò)需具備容錯能力與服務(wù)彈性，可提升5GS可靠性、靈活性。圖5-13：5G-A高精度授時安全(4)高精度定位安全5G-A大規(guī)模天線、大帶寬的關(guān)鍵技術(shù)和算法突破，使得厘米級的高精度定位成為可能，不僅能保障室內(nèi)室外的無縫覆蓋，還具有強大的通信能力。因此，高精度定位是未來位置服務(wù)的主要手段。5G-A空口定位的安全性增強主要是對定位數(shù)據(jù)的保護，需要嚴格定義數(shù)據(jù)訪問權(quán)限，防止非法訪問、防DDoS攻擊等。同時位置計算的定位引擎是高精度定位的核心。連接基站、網(wǎng)管和業(yè)務(wù)平臺需要采用不同的網(wǎng)絡(luò)平面進行隔離，以保證網(wǎng)絡(luò)安全，如圖所示。圖5-14：5G-A空口定位結(jié)構(gòu)32/5G-A安全白皮書(5)數(shù)據(jù)分流安全由于ToB業(yè)務(wù)本地處理需求強烈，客戶普遍提出5G-A網(wǎng)絡(luò)需要保證數(shù)據(jù)不出園的安全需求。5G-A網(wǎng)絡(luò)通過下沉部署園區(qū)專用的本地分流網(wǎng)關(guān)來解決數(shù)據(jù)在本地處理的問題，可根據(jù)業(yè)務(wù)場景的需要選擇基站內(nèi)置分流功能或UPF作為本地分流網(wǎng)關(guān)如圖所示。圖5-15：5G行業(yè)應(yīng)用數(shù)據(jù)分流示意圖5G基站集成的數(shù)據(jù)處理引擎可實現(xiàn)園區(qū)業(yè)務(wù)的本地分流。這不僅使園區(qū)業(yè)務(wù)就近得到處理，提高業(yè)務(wù)處理的實時性，還可滿足園區(qū)業(yè)務(wù)不出園的安全需求。數(shù)據(jù)處理引擎可以根據(jù)業(yè)務(wù)部署的需要靈活支持IP五元組/域名服務(wù)器域名、切片標(biāo)識以及PLMN數(shù)據(jù)分流機制。增強型安全技術(shù)是基礎(chǔ)型安全技術(shù)的重要補充，體現(xiàn)為場景化、定制化。安全元素基于云網(wǎng)安基礎(chǔ)設(shè)施和基礎(chǔ)型安全能力，可靈活采用網(wǎng)絡(luò)內(nèi)置、解耦、軟硬一體等形態(tài)，滿足垂直行業(yè)的差異化安全需求。同時，增強型安全能力充分結(jié)合前沿安全技術(shù)，為6G網(wǎng)絡(luò)與安全提供前瞻性技術(shù)試驗與布局。/335G-A安全白皮書圖5-17：多方共識模式圖5-17：多方共識模式5.3.15.3.1多模態(tài)網(wǎng)絡(luò)技術(shù)研究的目的是在先進無線通信網(wǎng)絡(luò)環(huán)境下，應(yīng)用多模態(tài)機器學(xué)習(xí)技術(shù)，以提升網(wǎng)絡(luò)整體的安全運行效率，是5G-A網(wǎng)絡(luò)安全技術(shù)演進的一個重要方向。通過在5G-A網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中引入多模態(tài)機器學(xué)習(xí)技術(shù)，賦予網(wǎng)絡(luò)集通信、感知、計算于一體的能力，構(gòu)建一個具備核心網(wǎng)、承載網(wǎng)、無線網(wǎng)及終端4個維度的智慧網(wǎng)絡(luò)安全防護體系，如圖所示，以滿足5G網(wǎng)絡(luò)多樣化部署形式及差異化部署場景的安全防護能力需求。圖5-16：5G-A多模態(tài)網(wǎng)絡(luò)安全防護體系(1)無線信號環(huán)境模型構(gòu)建與智能波束管理5G-A可在無線網(wǎng)絡(luò)建設(shè)中引入多模態(tài)機器學(xué)習(xí)技術(shù)，構(gòu)建區(qū)域內(nèi)的無線信號環(huán)境模型，形成區(qū)域內(nèi)的用戶接入狀態(tài)的態(tài)勢感知，實現(xiàn)區(qū)域內(nèi)的無線信號環(huán)境的多維度呈現(xiàn)?；跓o線信號環(huán)境模型，充分利用5G-A無線網(wǎng)網(wǎng)絡(luò)空分復(fù)用技術(shù)優(yōu)勢及基站的智能波束管理系統(tǒng)，根據(jù)實際用戶需求，實時調(diào)整無線信號覆蓋區(qū)域，從而達到優(yōu)化行業(yè)用戶接入體驗，降低站間信號干擾的目的。(2)智能路由與網(wǎng)絡(luò)態(tài)勢感知多模態(tài)網(wǎng)絡(luò)的智能路由技術(shù)以SDN和NFV技術(shù)為基礎(chǔ)，實現(xiàn)控制層面與傳輸層面的能力解耦。通過構(gòu)建一個以IP路由為基礎(chǔ)，配合內(nèi)容標(biāo)識、身份標(biāo)識、空間標(biāo)識等多模態(tài)信息的智能化路由尋址模型，從根本上突破傳統(tǒng)網(wǎng)絡(luò)的尋址機制瓶頸，滿足5G-A網(wǎng)絡(luò)差異化的業(yè)務(wù)需求?；趯崟r更新優(yōu)化的智能路由模型，可實現(xiàn)對于網(wǎng)絡(luò)整體態(tài)勢的實時感知，部署網(wǎng)絡(luò)安全傳輸設(shè)備，建立智能化安全防護模型，形成針對用戶的惡意訪問行為的精確感知，從而構(gòu)建一個集網(wǎng)絡(luò)安全態(tài)勢感知、數(shù)據(jù)安全智能路由、惡意行為告警及網(wǎng)絡(luò)安全防護功能于一體的傳輸網(wǎng)絡(luò)安全體系，從根源上杜絕如DDoS等惡意行為對5G-A網(wǎng)絡(luò)造成的安34/5G-A安全白皮書(3)終端行為感知與管控5G-A超大規(guī)模的終端接入能力必定伴隨著由挾持終端發(fā)起的DDoS攻擊的風(fēng)險。因此，終端行為的感知與管控能力是mMTC場景下必不可少的安全防護能力。通過在網(wǎng)絡(luò)側(cè)收集終端用戶的行為信息，充分利用多模態(tài)機器學(xué)習(xí)技術(shù)針對多源數(shù)據(jù)的辨識能力，訓(xùn)練一個具備識別用戶實時狀態(tài)的終端行為的管控模型，從而在網(wǎng)絡(luò)側(cè)形成針對終端異?；驉阂庑袨榈母兄?、識別、管控的一體化能力，進一步提升5G-A網(wǎng)絡(luò)的運行效率，增強網(wǎng)絡(luò)的可靠性。(4)網(wǎng)絡(luò)的智慧化安全運營管理通過充分利用多模態(tài)網(wǎng)絡(luò)通信、感知、計算一體化的能力，可在5G-A網(wǎng)絡(luò)的各個層面構(gòu)建完善的安全防護體系。以上述安全防護能力為基礎(chǔ)，進一步利用多模態(tài)機器學(xué)習(xí)技術(shù)的多源感知辨識能力，構(gòu)建一個網(wǎng)絡(luò)的智慧化運營管理系統(tǒng)。通過對各個維度網(wǎng)絡(luò)安全態(tài)勢的總體感知，統(tǒng)籌協(xié)調(diào)各個維度的安全防護策略，最終實現(xiàn)終端業(yè)務(wù)權(quán)限管控、無線網(wǎng)絡(luò)智能化干擾消除、傳輸線路智能化路由的一體化智慧運營管理系統(tǒng)。在最大化各維度的安全防護能力的同時，顯著提升網(wǎng)絡(luò)的運行效率、安全能力及可靠性。5.3.25.3.2區(qū)塊鏈作為一種全新的信區(qū)塊鏈作為一種全新的信息存儲、傳播和管理機制，以“去中心”的方式實現(xiàn)數(shù)據(jù)和價值的可靠轉(zhuǎn)移，建立多方共識的信任模式區(qū)塊鏈的技術(shù)特征，可為5G-A網(wǎng)絡(luò)安全可信管理，構(gòu)建信任聯(lián)盟提供了新的技術(shù)支撐。(1)5G-A區(qū)塊鏈核心特征構(gòu)建多模共生的5G-A信任體系，核心是打造基于共識的信任模式。共識信任模式的底層邏輯可基于區(qū)塊鏈技術(shù)。5G-A區(qū)塊鏈?zhǔn)?G-A