1、5G網絡安全需求與架構引言經過三十多年的飛速發展，移動通信已成為應用最為普及的信息通信技術。當前，全球新一輪科技革命和產業變革正孕育興起，跨行業、跨領域的融合創新不斷深入，對移動通信技術也提出了更高的要求。隨著移動互聯網、物聯網及行業應用的爆發式增長， 未來移動通信將面臨千倍數據流量增長和千億設備聯網需求。5G 作為新一代移動通信技術發展的方向，將在提升移動互聯網用戶業務體驗的基礎上，進一步滿足未來物聯網應用的海量需求，與工業、醫療、交通等行業深度融合，實現真正的“萬物互聯”。5G 網絡新的發展趨勢，尤其是 5G 新業務、新架構、新技術，對安全和用戶隱私保護都提出了新的挑戰。5G 安全機制除了

2、要滿足基本通信安全要求之外，還需要為不同業務場景提供差異化安全服務，能夠適應多種網絡接入方式及新型網絡架構，保護用戶隱私，并支持提供開放的安全能力。當前，5G 國際標準化工作已全面展開，5G 安全也成為業界關注的焦點。本白皮書基于 5G 需求與愿景研究進展，分析 5G 網絡面臨的安全問題和發展趨勢，提出 5G 網絡安全需求和架構，為后續 5G 網絡安全技術的研究和設計奠定基礎。當前業界需要盡快形成 5G 網絡安全框架并推動達成產業共識，從而指導 5G 安全國際標準及后續產業發展。5G 網絡安全挑戰和需求新的業務場景5G 網絡將來不僅用于人與人之間的通信，還會用于人與物以及物與物之間的通信。目前

3、，5G 業務大致可以分為 3 種場景： eMBB（增強移動寬帶）、mMTC（海量機器類通信）、和 uRLLC（超可靠低時延通信），5G 網絡需要針對這三種業務場景的不同安全需求提供差異化安全保護機制。eMBB 聚焦對帶寬有極高需求的業務，例如高清視頻，VR（虛擬現實）/ AR（增強 1 現實）等，滿足人們對于數字化生活的需求。eMBB 廣泛的應用場景將帶來不同的安全需求，同一個應用場景中的不同業務其安全需求也有所不同，例如，VR/AR 等個人業務可能只要求對關鍵信息的傳輸進行加密，而對于行業應用可能要求對所有環境信息的傳輸進行加密。5G 網絡可以通過擴展 LTE 安全機制來滿足 eMBB 場景

4、所需的安全需求。mMTC 覆蓋對于連接密度要求較高的場景，例如智慧城市，智能農業等，能滿足人們對于數字化社會的需求。mMTC 場景中存在多種多樣的物聯網設備，如處于惡劣環境之中的物聯網設備，以及技術能力低且電池壽命長（如超過 10 年）的物聯網設備等。面向物聯網繁雜的應用種類和成百上千億的連接，5G 網絡需要考慮其安全需求的多樣性。如果采用單用戶認證方案則成本高昂，而且容易造成信令風暴問題，因此在 5G 網絡中， 需降低物聯網設備在認證和身份管理方面的成本，支撐物聯網設備的低成本和高效率海量部署（如采用群組認證等）。針對計算能力低且電池壽命需求高的物聯網設備，5G 網絡應該通過一些安全保護措施

5、（如輕量級的安全算法、簡單高效的安全協議等）來保證能源高效性。uRLLC 聚焦對時延極其敏感的業務，例如自動駕駛/輔助駕駛、遠程控制等，滿足人們對于數字化工業的需求。低時延和高可靠性是 uRLLC 業務的基本要求，如車聯網業務在通信中如果受到安全威脅則可能會涉及到生命安全，因此要求高級別的安全保護措施且不能額外增加通信時延。5G 超低時延的實現需要在端到端傳輸的各個環節進行一系列機制優化。從安全角度來看，降低時延需要優化業務接入過程身份認證的時延、數據傳輸安全保護帶來的時延，終端移動過程由于安全上下文切換帶來的時延、以及數據在網絡節點中加解密處理帶來的時延。因此，面對多種應用場景和業務需求，5

6、G 網絡需要一個統一的、靈活的、可伸縮的5G 網絡安全架構來滿足不同應用的不同安全級別的安全需求，即 5G 網絡需要一個統一的認證框架，用以支持多種應用場景的網絡接入認證（即支持終端設備的認證、支持簽約用戶的認證、支持多種接入方式的認證、支持多種認證機制等）；同時 5G 網絡應支持伸縮性需求，如網絡橫向擴展時需要及時啟動安全功能實例來滿足增加的安全需求、網絡收斂時需要及時終止部分安全功能實例來達到節能的目的。另外，5G 網絡應支持按需 2 的用戶面數據保護，如根據三大業務類型的不同，或根據具體業務的安全需求，部署相應的安全保護機制，此類安全機制的選擇，包括加密終結點的不同，或者加密算法的不同，

7、或者密鑰長度的不同等。新技術和新特征為提高系統的靈活性和效率，并降低成本，5G 網絡架構將引入新的 IT 技術，如軟件定義網絡 SDN（軟件定義網絡）和 NFV（網絡功能虛擬化）。新技術的引入，也為 5G 網絡安全帶來了新的挑戰。5G 網絡通過引入虛擬化技術實現了軟件與硬件的解耦，通過 NFV 技術的部署，使得部分功能網元以虛擬功能網元的形式部署在云化的基礎設施上，網絡功能由軟件實現， 不再依賴于專有通信硬件平臺。由于 5G 網絡的這種虛擬化特點，改變了傳統網絡中功能網元的保護很大程度上依賴于對物理設備的安全隔離的現狀，原先認為安全的物理環境已經變得不安全，實現虛擬化平臺的可管可控的安全性要求

8、成為 5G 安全的一個重要組成部分，例如安全認證的功能也可能放到物理環境安全當中，因此，5G 安全需要考慮 5G 基礎設施的安全，從而保障 5G 業務在 NFV 環境下能夠安全運行。另外，5G 網絡中通過引入 SDN 技術提高了 5G 網絡中的數據傳輸效率，實現了更好的資源配置，但同時也帶來了新的安全需求，即需要考慮在 5G 環境下，虛擬 SDN 控制網元和轉發節點的安全隔離和管理，以及 SDN 流表的安全部署和正確執行。為了更好地支持上述 3 個業務場景，5G 網絡將建立網絡切片，為不同業務提供差異化的安全服務，根據業務需求針對切片定制其安全保護機制，實現客戶化的安全分級服務，同時網絡切片也

9、對安全提出了新的挑戰，如切片之間的安全隔離，以及虛擬網絡的安全部署和安全管理。面向低時延業務場景，5G 核心網控制功能需要部署在接入網邊緣或者與基站融合部署。數據網關和業務使能設備可以根據業務需要在全網中靈活部署，以減少對回傳網絡的壓力，降低時延和提高用戶體驗速率，隨著核心網功能下沉到接入網，5G 網絡提供的安全保障能力也將隨之下沉。5G 網絡的能力開放功能可以部署于網絡控制功能之上，以便網絡服務和管理功能向第三方開放。在 5G 網絡中，能力開放不僅體現在整個網絡能力的開放上，還體現在網絡 3 內部網元之間的能力開放，與 4G 網絡的點對點流程定義不同，5G 網絡的各個網元都提供了服務的開放，

10、不同網元之間通過 API（應用程序接口）調用其開放的能力。因此 5G 網絡安全需要核心網與外部第三方網元以及核心網內部網元之間支持更高更靈活的安全能力，實現業務簽約、發布，及每用戶每服務都有安全通道。多種接入方式和多種設備形態由于未來應用場景的多元化，5G 網絡需要支持多種接入技術，如 WLAN（無線局域網絡）、LTE（長期演進）、固定網絡、5G 新無線接入技術，而不同的接入技術有不同的安全需求和接入認證機制；再者，一個用戶可能持有多個終端，而一個終端可能同時支持多種接入方式，同一個終端在不同接入方式之間進行切換時或用戶在使用不同終端進行同一個業務時，要求能進行快速認證以保持業務的延續性從而獲

11、得更好的用戶體驗。因此，5G 網絡需要構建一個統一的認證框架來融合不同的接入認證方式，并優化現有的安全認證協議（如安全上下文的傳輸、密鑰更新管理等），以提高終端在異構網絡間進行切換時的安全認證效率，同時還能確保同一業務在更換終端或更換接入方式時連續的業務安全保護。在 5G 應用場景中，有些終端設備能力強，可能配有 SIM（用戶身份識別模塊）/USIM（通用用戶身份識別模塊）卡，并具有一定的計算和存儲能力，有些終端設備沒有SIM/USIM 卡，其身份標識可能是 IP 地址、MAC（介質訪問控制）地址、數字證書等； 而有些能力低的終端設備，甚至沒有特定的硬件來安全存儲身份標識及認證憑證，因此，5G

12、 網絡需要構建一個融合的統一的身份管理系統，并能支持不同的認證方式、不同的身份標識及認證憑證。新的商業模式5G 網絡不僅要滿足人們超高流量密度、超高連接數密度、超高移動性的需求，還要為垂直行業提供通信服務。在 5G 時代將會出現全新的網絡模式與通信服務模式。同樣地，終端和網絡設備的概念也將會發生改變，各類新型終端設備的出現將會產生多種具有不同態勢的安全需求，在大連接物聯網場景中，大量的無人管理的機器與無線傳感器 4 將會接入到 5G 網絡之中，由成千上萬個獨立終端組成的諸多小的網絡將會同時連接至5G 網絡中，在這種情況下，現有的移動通信系統的簡單的可信模式（即一個用戶及其通信終端和運營商）可能

13、不能滿足 5G 支撐的各類新興的商業模式，需要對可信模式進行變革，以應對相關領域的擴展型需求。為了確保 5G 網絡能夠支撐各類新興商業模式的需求，并確保足夠的安全性，需要對安全架構進行全新的設計。同時 5G 網絡是能力開放的網絡，可以向第三方或者垂直行業開放網絡安全能力，如認證和授權能力，第三方或者垂直行業與運營商建立了信任關系，當用戶允許接入 5G 網絡時，也同時允許接入第三方業務。5G 網絡的能力開放有利于構建以運營商為核心的開放業務生態，增強用戶黏性，拓展新的業務收入來源。對于第三方業務來說，可以借助被廣泛使用的運營商數字身份來推廣業務，快速拓展用戶。更高的隱私保護需求5G 網絡中業務和

14、場景的多樣性，以及網絡的開放性，使用戶隱私信息從封閉的平臺轉移到開放的平臺上，接觸狀態從線下變成線上，泄露的風險也因此增加。例如在智能醫療系統中，病人病歷、處方和治療方案等隱私性信息在采集、存儲和傳輸過程中存在被泄漏、篡改的風險，而在智能交通中，車輛的位置和行駛軌跡等隱私信息也存在暴露和被非法跟蹤使用的風險，因此 5G 網絡有了更高的用戶隱私保護需求。5G 網絡是一個異構的網絡，使用多種接入技術，各種接入技術對隱私信息的保護程度不同。同時，5G 網絡中的用戶數據可能會穿越各種接入網絡及不同廠商提供的網絡功能實體，從而導致用戶隱私數據散布在網絡的各個角落，而數據挖掘技術還能夠讓第三方從散布的隱私

15、數據中分析出更多的用戶隱私信息。因此，在 5G 網絡中，必須全面考慮數據在各種接入技術以及不同運營網絡中穿越時所面臨的隱私暴露風險，并制定周全的隱私保護策略，包括用戶的各種身份，位置，接入的服務等。4G 網絡已經暴露出泄露用戶身份標識（如 IMSI（國際移動用戶標識）暴露問題）的漏洞，因此在 5G 網絡中需要對 4G 網絡的機制進行優化和補充，通過加強的安全機制對用戶身份標識進行隱私保護，杜絕出現泄露用戶身份標識的情況，解決已有的 4G 網絡的漏洞。另外，由于 5G 接入網絡包括 LTE 接入網絡，因此用戶身份標識的保護需要兼容LTE 的認證信令，防御攻擊者引導用戶至 LTE 接入方式，從而執

16、行針對隱私性的降維攻 5 擊。同時，攻擊者也可能會利用 UE 位置信息或者空口數據包的連續性等特點進行 UE 追蹤的攻擊，因此 5G 隱私保護也需要應對此類位置隱私的安全威脅。5G 安全總體目標5G 時代，一方面，垂直行業與移動網絡的深度融合，帶來了多種應用場景，包括海量資源受限的物聯網設備同時接入、無人值守的物聯網終端、車聯網與自動駕駛、云端機器人、多種接入技術并存等；另一方面，IT 技術與通信技術的深度融合，帶來了網絡架構的變革，使得網絡能夠靈活地支撐多種應用場景。5G 安全應保護多種應用場景下的通信安全以及 5G 網絡架構的安全。5G 網絡的多種應用場景中涉及不同類型的終端設備、多種接入

17、方式和接入憑證、多種時延要求、隱私保護要求等，所以 5G 網絡安全應保證：提供統一的認證框架，支持多種接入方式和接入憑證，從而保證所有終端設備安全地接入網絡。提供按需的安全保護，滿足多種應用場景中的終端設備的生命周期要求、業務的時延要求。提供隱私保護，滿足用戶隱私保護以及相關法規的要求。5G 網絡架構中的重要特征包括 NFV/SDN、切片以及能力開放，所以 5G 安全應保證：NFV/SDN 引入移動網絡的安全，包括虛擬機相關的安全、軟件安全、數據安全、SDN 控制器安全等。切片的安全，包括切片安全隔離、切片的安全管理、UE 接入切片的安全、切片之間通信的安全等。能力開放的安全，既能保證開放的網

18、絡能力安全地提供給第三方，也能夠保證網絡的安全能力（如加密、認證等）能夠開放給第三方使用。5G 網絡安全架構5G 網絡安全架構的設計需滿足上述新的安全需求和挑戰，包括新業務、新技術新特 6 征、接入方式和設備形態等。5G 網絡安全架構的設計原則包括，支持數據安全保護，體現統一認證框架和業務認證，滿足能力開放，以及支持切片安全和應用安全保護機制。5G 網絡安全架構如圖 1 所示。業務提供方用戶應用 (6)(1)(1)用戶面(2)(5)絡片網切(4)用戶設備(4)(1)(2)（無線） 接入網控制面(2) 服務網絡服務網絡公共節點(3)(3)(1)(1)(2)(2)歸屬環境圖 15G 網絡安全架構示

19、意圖根據 5G 安全設計原則，將 5G 網絡安全架構分為以下八個安全域：1）網絡接入安全：保障用戶接入網絡的數據安全。控制面：用戶設備（UE）與網絡之間信令的機密性和完整性安全保護，包括無線和核心網信令保護。其中核心網信令包括 UE 到服務網絡公共節點的信令保護，以及根據切片安全需求部署的 UE 到網絡切片（NS）內實體的信令保護。用戶面： UE 和網絡之間用戶數據的機密性和/或完整性安全保護，包括 UE 與（無線）接入網之間的空口數據保護，以及 UE 與核心網中用戶安全終結點之間的數據保護。2）網絡域安全：保障網元之間信令和用戶數據的安全交換，包括（無線）接入網與服務網絡共同節點之間，服務網

20、絡共同節點與歸屬環境（HE）之間，服務網絡共同節點與 NS 之間，HE 與 NS 之間的交互。3）首次認證和密鑰管理：包括認證和密鑰管理的各種機制，體現統一的認證框架。具體為：UE 與 3GPP 網絡之間基于運營商安全憑證的認證，以及認證成功后用戶數據保護的密鑰管理。根據不同場景中設備形式的不同，UE 中認證安全憑證可以存儲在 UE 上 7 基于硬件的防篡改的安全環境中，如 UICC（通用集成電路卡）。4）二次認證和密鑰管理：UE 與外部數據網絡（如，業務提供方）之間的業務認證以及相關密鑰管理。體現部分業務接入 5G 網絡時，5G 網絡對于業務的授權。5）安全能力開放：體現 5G 網元與外部業

21、務提供方的安全能力開放，包括開放數字身份管理與認證能力。另外通過安全開放能力，也可以實現 5G 網絡獲取業務對于數據保護的安全需求，完成按需的用戶面保護。6）應用安全：此安全域保證用戶和業務提供方之間的安全通信。7）切片安全：體現切片的安全保護，例如 UE 接入切片的授權安全，切片隔離安全等。8）安全可視化和可配置：體現用戶可以感知安全特性是否被執行，這些安全特性是否可以保障業務的安全使用和提供。5G 網絡新的安全能力統一的認證框架5G 支持多種接入技術（如 4G 接入、WLAN 接入以及 5G 接入），由于目前不同的接入網絡使用不同的接入認證技術，并且，為了更好地支持物聯網設備接入 5G 網

22、絡，3GPP 還將允許垂直行業的設備和網絡使用其特有的接入技術。為了使用戶可以在不同接入網間實現無縫切換，5G 網絡將采用一種統一的認證框架，實現靈活并且高效地支持各種應用場景下的雙向身份鑒權，進而建立統一的密鑰體系。EAP（可擴展認證協議）認證框架是能滿足 5G 統一認證需求的備選方案之一。它是一個能封裝各種認證協議的統一框架，框架本身并不提供安全功能，認證期望取得的安全目標，由所封裝的認證協議來實現，它支持多種認證協議，如 EAP-PSK（預共享密鑰）， EAP-TLS（傳輸層安全），EAP-AKA（鑒權和密鑰協商）等。在 3GPP 目前所定義的 5G 網絡架構中，認證服務器功能/認證憑證

23、庫和處理功能（AUSF/ARPF）網元可完成傳統 EAP 框架下的認證服務器功能，接入管理功能（AMF） 網元可完成接入控制和移動性管理功能，5G 統一認證框架示意如圖 2 所示： 8 圖 25G 統一認證框架示意在 5G 統一認證框架里，各種接入方式均可在 EAP 框架下接入 5G 核心網：用戶通過 WLAN 接入時可使用 EAP-AKA認證，有線接入時可采用 IEEE 802.1x 認證，5G 新空口接入時可使用 EAP-AKA 認證。不同的接入網使用在邏輯功能上統一的 AMF 和AUSF/ARPF 提供認證服務，基于此，用戶在不同接入網間進行無縫切換成為可能。5G 網絡的安全架構明顯有別

24、于以前移動網絡的安全架構。統一認證框架的引入不僅能降低運營商的投資和運營成本，也為將來 5G 網絡提供新業務時對用戶的認證打下堅實的基礎。多層次的切片安全切片安全機制主要包含三個方面：UE 和切片間安全、切片內 NF（網絡功能）與切片外 NF 間安全、切片內 NF 間安全。切片安全機制如圖 3 所示。 9 UE和切片間安全域切片內NF與切片外NF間安全域UE和切片間安全鏈路切片內NF與切片外NF間安全鏈路切片內NF間安全域切片內NF間安全鏈路圖 3切片安全機制UE 和切片間安全UE 和切片間安全通過接入策略控制來應對訪問類的風險，由 AMF 對 UE 進行鑒權， 從而保證接入網絡的 UE 是合

25、法的。另外，可以通過 PDU（分組數據單元）會話機制來防止 UE 的未授權訪問，具體方式是： AMF 通過 UE 的 NSSAI（網絡切片選擇輔助信息）為 UE 選擇正確的切片，當 UE 訪問不同切片內的業務時，會建立不同的 PDU 會話， 不同的網絡切片不能共享 PDU 會話，同時，建立 PDU 會話的信令流程可以增加鑒權和加密過程。UE 的每一個切片的 PDU 會話都可以根據切片策略采用不同的安全機制。當外部數據網絡需要對 UE 進行第三方認證時，可以由切片內的會話管理功能（SMF） 作為 EAP 認證器，為 UE 進行第三方認證。切片內 NF 與切片外 NF 間安全由于安全風險等級不同，

26、切片內 NF 與切片外 NF 間通信安全可以分為三種情況：A、切片內 NF 與切片公用 NF 間的安全公用 NF 可以訪問多個切片內的 NF，因此切片內的 NF 需要安全的機制控制來自公 10 用 NF 的訪問，防止公用 NF 非法訪問某個切片內的 NF，以及防止非法的外部 NF 訪問某個切片內的 NF。網管平臺通過白名單機制對各個 NF 進行授權，包括每個 NF 可以被哪些 NF 訪問， 每個 NF 可以訪問哪些 NF。切片內的 SMF 需要向網絡倉儲功能（NRF）注冊，當 AMF 為 UE 選擇切片時，詢問 NRF，發現各個切片的 SMF，在 AMF 和 SMF 通信前，可以先進行相互認證

27、，實現切片內 NF（如 SMF）與切片外公共 NF（如 AMF）之間的相互可信。同時，可以在 AMF 或 NRF 做頻率監控或者部署防火墻防止 Dos/DDos 攻擊，防止惡意用戶將切片公有 NF 的資源耗盡，而影響切片的正常運作。比如，在 AMF 做防御， 進行頻率監控，當檢測到同一 UE 向同一 NRF 發消息的頻率過高，則將強制該 UE 下線， 并限制其再次上線，進行接入控制，防止 UE 的 Dos 攻擊；或者在 NRF 做頻率監控，當發現大量 UE 同時上線，向同一 NRF 發送消息的頻率過高，則將強制這些 UE 下線，并限制其再次上線，進行接入控制，防止大范圍的 DDos 攻擊。B、

28、切片內 NF 與外網設備間安全在切片內 NF 與外網設備間，部署虛擬防火墻或物理防火墻，保護切片內網與外網的安全。如果在切片內部署防火墻則可以使用虛擬防火墻，不同的切片按需編排；如果在切片外部署防火墻則可以使用物理防火墻，一個防火墻可以保障多個切片的安全。C、不同切片間 NF 的隔離不同的切片要盡可能保證隔離，各個切片內的 NF 之間也需要進行安全隔離，比如， 部署時可以通過 VLAN（虛擬局域網）/VxLAN（虛擬擴展局域網）劃分切片，基于 NFV 的隔離來實現切片的物理隔離和控制，保證每個切片都能獲得相對獨立的物理資源，保證一個切片異常后不會影響到其他切片。切片內 NF 間安全切片內的 N

29、F 之間通信前，可以先進行認證，保證對方 NF 是可信 NF，然后可以通過建立安全隧道保證通訊安全，如 IPSec。差異化安全保護不同的業務會有不同的安全需求，例如，遠程醫療需要高可靠性安全保護，而部分物 11 聯網業務需要輕量級的安全解決方案（算法或安全協議）來進行安全保護。5G 網絡支持多種業務并行發展，以滿足個人用戶、行業客戶的多樣性需求。從網絡架構來看，基于原生云化架構的端到端切片可以滿足這樣的多樣性需求。同樣的，5G 安全設計也需支持業務多樣性的差異化安全需求，即用戶面的按需保護需求。用戶面的按需保護本質上是根據不同的業務對于安全保護的不同需求，部署不同的用戶面保護機制。按需的保護主

30、要有以下兩類策略：1）用戶面數據保護的終結點。終結點可以為（無線）接入網或者核心網，即 UE 到（無線）接入網之間的用戶面數據保護，或者 UE 至核心網的用戶面數據保護。2）業務數據的加密和/或完整性保護方式。如，不同的安全保護算法、密鑰長度、密鑰更新周期等。通過和業務的交互，5G 系統獲取不同業務的安全需求，并根據業務、網絡、終端的安全需求和安全能力，運營商網絡可以按需制定不同業務的差異化數據保護策略。基于業務的差異化用戶面安全保護機制如圖 4 所示。根據應用與服務側的業務安全需求，確定相應切片的安全保護機制，并部署相關切片的用戶面安全防護。例如考慮 mMTC 中設備的輕量級特征，此切片內數

31、據可以根據 mMTC 業務需求部署輕量級的用戶面安全保護機制。另外，切片內還包含 UE 至核心網的會話傳輸模式，因此基于不同的會話做用戶面數據保護，可以增加安全保護的靈活度。對于同一個用戶終端，不同的業務有不同的會話數據傳輸，5G 網絡也可以對不 12 同的會話數據傳輸進行差異化的安全保護。開放的安全能力5G 網絡安全能力可以通過 API 接口開放給第三方業務（如業務提供商、企業、垂直行業等），讓第三方業務能便捷地使用移動網絡的安全能力，從而讓第三方業務提供商有更多的時間和精力專注于具體應用業務邏輯的開發，進而快速、靈活地部署各種新業務， 以滿足用戶不斷變化的需求；同時運營商通過 API 接口

32、開放 5G 網絡安全能力，讓運營商的網絡安全能力深入地滲透到第三方業務生態環境中，進而增強用戶黏性，拓展運營商的業務收入來源。開放的 5G 網絡安全能力主要包括（但不限于）：基于網絡接入認證向第三方提供業務層的訪問認證，即如果業務層與網絡層互信時用戶在通過網絡接入認證后可以直接訪問第三方業務，簡化用戶訪問業務認證的同時也提高了業務訪問效率；基于終端智能卡（如 UICC/eUICC/ iUICC）的安全能力，拓展業務層的認證維度，增強業務認證的安全性。靈活多樣的安全憑證管理由于 5G 網絡需要支持多種接入技術（如 WLAN、LTE、固定網絡、5G 新無線接入技術），以及支持多樣的終端設備，如部分

33、設備能力強，支持(U)SIM 卡安全機制；部分設備能力較弱，僅支持輕量級的安全功能，于是，存在多種安全憑證，如對稱安全憑證和非對稱安全憑證。因此，5G 網絡安全需要支持多種安全憑證的管理，包括對稱安全憑證管理和非對稱安全憑證管理。對稱安全憑證管理對稱安全憑證管理機制，便于運營商對于用戶的集中化管理。如，基于(U)SIM 卡的數字身份管理，是一種典型的對稱安全憑證管理，其認證機制已得到業務提供者和用戶廣泛的信賴。非對稱安全憑證管理采用非對稱安全憑證管理可以實現物聯網場景下的身份管理和接入認證，縮短認證鏈條，實現快速安全接入，降低認證開銷；同時緩解核心網壓力，規避信令風暴以及認證 13 節點高度集

34、中帶來的瓶頸風險。面向物聯網成百上千億的連接，基于(U)SIM 卡的單用戶認證方案成本高昂，為了降低物聯網設備在認證和身份管理方面的成本，可采用非對稱安全憑證管理機制。非對稱安全憑證管理主要包括以下兩類分支：證書機制和基于身份安全 IBC（基于身份密碼學）機制。其中證書機制是應用較為成熟的非對稱安全憑證管理機制，已廣泛應用于金融和 CA（證書中心）等業務，不過證書復雜度較高；而基于 IBC 的身份管理，設備 ID 可以作為其公鑰，在認證時不需要發送證書，具有傳輸效率高的優勢。IBC 所對應的身份管理與網絡/應用 ID 易于關聯，可以靈活制定或修改身份管理策略。非對稱密鑰體制具有天然的去中心化特

35、點，無需在網絡側保存所有終端設備的密鑰， 無需部署永久在線的集中式身份管理節點。網絡認證節點可以采用去中心化部署方式，如下移至網絡邊緣，終端和網絡的認證無需訪問網絡中心的用戶身份數據庫。去中心化部署方式示意如圖 5 所示。按需的用戶隱私保護5G 網絡涉及多種網絡接入類型并兼容垂直行業應用，用戶隱私信息在多種網絡、服務、應用及網絡設備中存儲使用，因此，5G 網絡需要支持安全、靈活、按需的隱私保護機制。 14 隱私保護類型5G 網絡對用戶隱私的保護可以分為以下幾類：身份標識保護用戶身份是用戶隱私的重要組成部分，5G 網絡使用加密技術、匿名化技術等為臨時身份標識、永久身份標識、設備身份標識、網絡切片

36、標識等身份標識提供保護。位置信息保護5G 網絡中海量的用戶設備及其應用，產生大量用戶位置相關的信息，如定位信息、軌跡信息等，5G 網絡使用加密等技術提供對位置信息的保護，并可防止通過位置信息分析和預測用戶軌跡。服務信息保護相比 4G 網絡，5G 網絡中的服務將更加多樣化，用戶對使用服務產生的信息保護需求增強，用戶服務信息主要包括用戶使用的服務類型、服務內容等，5G 網絡使用機密性、完整性保護等技術對服務信息提供保護。隱私保護能力在服務和網絡應用中，不同的用戶隱私類型保護需求不盡相同，存在差異性，因此需要網絡提供靈活、按需的隱私保護能力。提供差異化隱私保護能力5G 網絡能夠針對不同的應用、不同的

37、服務，靈活設定隱私保護范圍和保護強度（如提供機密性保護、提供機密性和完整性保護等），提供差異化隱私保護能力。提供用戶偏好保護能力5G 網絡能夠根據用戶需求，為用戶提供設置隱私保護偏好的能力，同時具備隱私保護的可配置、可視化能力。提供用戶行為保護能力5G 網絡中業務和場景的多樣性，以及網絡的開放性，使得用戶隱私信息可能從封閉的平臺轉移到開放的平臺上，因此需要對用戶行為相關的數據分析提供保護，防止從公開信息中挖掘和分析出用戶隱私信息。隱私保護技術 15 5G 網絡可提供多樣化的技術手段對用戶隱私進行保護，使用基于密碼學的機密性保護、完整性保護、 匿名化技術等對用戶身份進行保護，使用基于密碼學的機密性保護、完整性保護對位置信息、服務信息進行保護。為提供差異化隱私保護能力，網絡通過安全策略可配置和可視化技術，以及可配置的隱私保護偏好技術，實現對隱私信息保護范圍和保護強度的靈活選擇；采用大數據分析相關的保護技術，實現對用戶行為相關數據的安全保護。5G 安全標準化建議總體目標IMT-2020(5G)推進組全力支持在 ITU 和 3GPP 框架下研制全球統一的 5G 安全技術標準，積極采用創