IMT-2020(5G)推進(jìn)組：5G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展 2024

目前，5G進(jìn)入演進(jìn)階段，5G-Advanced（5G-A）作為5G向6G演進(jìn)的中間階段，將起到承前啟后的關(guān)鍵作用，為5G發(fā)展定義新的目標(biāo)和新的能力，為下一代移動(dòng)通信網(wǎng)絡(luò)發(fā)展奠定技術(shù)基礎(chǔ)。5G-A不僅將深化5G技術(shù)的現(xiàn)有優(yōu)勢(shì)，如超高速率、大容量連接和低時(shí)延特性，還將一個(gè)版本凍結(jié)，標(biāo)志著5G-A商用第一個(gè)可參考版本的發(fā)布，將指引5G-A網(wǎng)絡(luò)向著網(wǎng)絡(luò)性能的伴隨著5G-A網(wǎng)絡(luò)的演進(jìn)，5G-A安全機(jī)制也需持續(xù)演進(jìn)，以適應(yīng)網(wǎng)絡(luò)架構(gòu)變化和新型安全威脅，為5G-A高質(zhì)量發(fā)展提供重要保障，實(shí)現(xiàn)5G-A網(wǎng)絡(luò)發(fā)展與安全相同步。當(dāng)前，5G-A國(guó)際標(biāo)準(zhǔn)化工作已全面展開(kāi)，5G-A安全也成為業(yè)界關(guān)注的焦點(diǎn)?，F(xiàn)階段安全研究主要關(guān)注如何適配網(wǎng)絡(luò)智能化、非地面網(wǎng)絡(luò)接入、公專(zhuān)網(wǎng)等新型網(wǎng)絡(luò)架構(gòu)，滿(mǎn)足用戶(hù)隱私保護(hù)、認(rèn)證效率及數(shù)據(jù)保護(hù)要求提升等新安全能力要求，為通信感知、無(wú)源物聯(lián)、實(shí)時(shí)通信、綠色低碳提供差異化本報(bào)告聚焦5G-A新架構(gòu)、新業(yè)務(wù)、新場(chǎng)景的安全需求，全面梳理5G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展，提出下一步技術(shù)研究及標(biāo)準(zhǔn)化推進(jìn)方向，為后續(xù)5G-A安全技術(shù)的研究和應(yīng)用奠定MT-225GMT-225G-A演進(jìn)趨勢(shì)5G-A演進(jìn)趨勢(shì)P15G-A安全挑戰(zhàn)與需求5G-A安全挑戰(zhàn)與需求P15G-A安全標(biāo)準(zhǔn)進(jìn)展情況5G-A安全標(biāo)準(zhǔn)進(jìn)展情況P25G-A安全關(guān)鍵技術(shù)總體視圖5G-A安全關(guān)鍵技術(shù)總體視圖P35G-A架構(gòu)演進(jìn)安全技術(shù)5G-A架構(gòu)演進(jìn)安全技術(shù)P45G-A基礎(chǔ)安全增強(qiáng)技術(shù)5G-A基礎(chǔ)安全增強(qiáng)技術(shù)P135G-A新業(yè)務(wù)場(chǎng)景安全技術(shù)5G-A新業(yè)務(wù)場(chǎng)景安全技術(shù)P225G-A標(biāo)準(zhǔn)化建議5G-A標(biāo)準(zhǔn)化建議P32IMT-2020(5G)推進(jìn)組于2013年2月由中國(guó)工業(yè)和信息化部、國(guó)家發(fā)展和改革委員會(huì)、科學(xué)技術(shù)部聯(lián)合構(gòu)基于原IMT-Advanced推進(jìn)組，成員包括中國(guó)主要的運(yùn)營(yíng)商、制造商、高校和研究機(jī)構(gòu)。推進(jìn)組是聚合中國(guó)產(chǎn)學(xué)研用力MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展5G作為數(shù)字經(jīng)濟(jì)時(shí)代萬(wàn)物互聯(lián)、數(shù)據(jù)流通的關(guān)鍵信息基礎(chǔ)設(shè)施，以泛在連接促進(jìn)人工智能、大數(shù)據(jù)等各類(lèi)數(shù)字技術(shù)融合創(chuàng)新，已成為發(fā)展新質(zhì)生產(chǎn)力的重要一環(huán)。隨著5G網(wǎng)絡(luò)的全球商用部署，規(guī)?；瘧?yīng)用的不斷發(fā)展，新業(yè)務(wù)需求和新興技術(shù)涌現(xiàn)，5G網(wǎng)絡(luò)必將持續(xù)演進(jìn)。5G-A作為5G網(wǎng)絡(luò)的演進(jìn)版本，繼承了5G核心技術(shù)優(yōu)勢(shì)，通過(guò)軟件升級(jí)、硬件增強(qiáng)等方式實(shí)現(xiàn)速率、時(shí)延、連接、能效等性能的2024年6月，3GPPR185G-A第一個(gè)版本凍結(jié)，標(biāo)志著5G-A商用第一個(gè)可參考版本的發(fā)布，未來(lái)還二是面向垂直行業(yè)的精細(xì)化設(shè)計(jì)，引入eRedCap（enhanceReducedCapability，增強(qiáng)輕量化）、無(wú)源物聯(lián)、行業(yè)專(zhuān)網(wǎng)等機(jī)制，進(jìn)一步降低終端成本和功耗，滿(mǎn)足行業(yè)低成本需求和本地化服務(wù)需求，助三是探索融合技術(shù)應(yīng)用，基于AI技術(shù)進(jìn)一步構(gòu)建5G智能運(yùn)維能力，提升網(wǎng)絡(luò)實(shí)時(shí)感知、預(yù)測(cè)、決伴隨著5G-A網(wǎng)絡(luò)的演進(jìn)，5G-A安全機(jī)制也需要持續(xù)演進(jìn)，適配網(wǎng)絡(luò)智能化、非地面網(wǎng)絡(luò)接入、公專(zhuān)網(wǎng)等新型網(wǎng)絡(luò)架構(gòu)，充分滿(mǎn)足用戶(hù)隱私保護(hù)、認(rèn)證效率及數(shù)據(jù)保護(hù)要求提升等新安全能力要求，還1MT-2V25G-AMT-2V2在網(wǎng)絡(luò)架構(gòu)演進(jìn)安全方面，5G-A面向新業(yè)務(wù)新場(chǎng)景需求，引入了新網(wǎng)元、新組網(wǎng)模式，這些網(wǎng)元有的（例如星載網(wǎng)元）是資源受限的，有的（例如專(zhuān)網(wǎng)下沉網(wǎng)元）部署在行業(yè)客戶(hù)側(cè)，有的（例如智能分析網(wǎng)元）具有新的處理機(jī)制，此外也有新網(wǎng)絡(luò)交互流程的引入（例如聯(lián)邦學(xué)習(xí)交互因此上述網(wǎng)元和流程需要設(shè)計(jì)相應(yīng)的安全機(jī)制來(lái)確保身份可信、傳輸鏈路安全和數(shù)據(jù)使用安全等，防范新架構(gòu)在基礎(chǔ)安全技術(shù)增強(qiáng)方面，5G-A需要與時(shí)俱進(jìn)，針對(duì)現(xiàn)有的證書(shū)管理、身份認(rèn)證、密碼算法、能力開(kāi)放、設(shè)備安全保障等機(jī)制方面持續(xù)演進(jìn)，以抵御動(dòng)態(tài)變化的攻擊。尤其是隨著網(wǎng)絡(luò)與數(shù)據(jù)安全監(jiān)在新業(yè)務(wù)場(chǎng)景安全方面，5G-A引入了通信感知、實(shí)時(shí)通信、無(wú)源物聯(lián)等新業(yè)務(wù)場(chǎng)景，這些新業(yè)務(wù)場(chǎng)景需要在演進(jìn)的網(wǎng)絡(luò)架構(gòu)中增加新的業(yè)務(wù)處理機(jī)制與垂直行業(yè)協(xié)同交互流程，為用戶(hù)提供在不同業(yè)務(wù)場(chǎng)景下更為豐富的業(yè)務(wù)體驗(yàn)，進(jìn)一步助力5G網(wǎng)絡(luò)深入賦能工業(yè)、電力、交通，均需要研究新的安全3GPP是全球移動(dòng)通信標(biāo)準(zhǔn)制定組織，其制定的移動(dòng)通信標(biāo)準(zhǔn)是全球電信運(yùn)營(yíng)商、設(shè)備廠商和終端2MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展企業(yè)遵循的技術(shù)規(guī)范。3GPP將5G-A劃分為3個(gè)版本，即R18、R19和R20，時(shí)間大約橫跨2021年到2027年。3GPPSA3（安全與隱私組）已經(jīng)在開(kāi)展5G-A安全相關(guān)標(biāo)準(zhǔn)化工作，包括研究項(xiàng)目和標(biāo)準(zhǔn)項(xiàng)目，具應(yīng)用認(rèn)證和密鑰管理增強(qiáng)、虛擬化網(wǎng)元安全保障、無(wú)人機(jī)安全、鄰近通信安全等，并重點(diǎn)針對(duì)3GPPTS33.501《5G系統(tǒng)安全架構(gòu)和流程》標(biāo)準(zhǔn)進(jìn)行了修訂。目前正在開(kāi)展R19階段的安全標(biāo)準(zhǔn)研究和制定，現(xiàn)此外，由于5G網(wǎng)絡(luò)安全特性與方案需要與無(wú)線接入網(wǎng)和核心網(wǎng)架構(gòu)緊密結(jié)合，因此，除了SA3之外，3GPPSA1，SA2及RAN等工作組的相關(guān)研究，也與5G安全標(biāo)準(zhǔn)化工作緊密相關(guān)。同時(shí)，ETSI（EuropeanTelecommunicationsStandardsInstitute，歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)）、ITU-T（ITU-TforITUTelecommunicationStandardizationSector，國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分局）的研究?jī)?nèi)容也結(jié)合國(guó)際標(biāo)準(zhǔn)及各方研究情況，5G-A安全技術(shù)主要包括三個(gè)維度：網(wǎng)絡(luò)架構(gòu)演進(jìn)帶來(lái)的安全技3MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展術(shù)、基礎(chǔ)安全增強(qiáng)技術(shù)、新業(yè)務(wù)新場(chǎng)景所涉及的安全技術(shù)，如圖3所示。具體關(guān)鍵技術(shù)將在下文中詳細(xì)5G時(shí)代，網(wǎng)絡(luò)運(yùn)維場(chǎng)景更加豐富，業(yè)務(wù)場(chǎng)景更加復(fù)雜，業(yè)務(wù)體驗(yàn)更加個(gè)性化，隨著人工智能技術(shù)的不斷發(fā)展和演化，在移動(dòng)通信網(wǎng)絡(luò)中引入人工智能技術(shù)進(jìn)行網(wǎng)絡(luò)功能優(yōu)化成為一種發(fā)展趨勢(shì)。3GPPR15階段在核心網(wǎng)新增NWDAF（NetworkDataAnalyticsFunction，網(wǎng)絡(luò)數(shù)據(jù)分析功），備模型訓(xùn)練、模型推理等功能。目前，3GPP中已經(jīng)標(biāo)準(zhǔn)化QoS分析，UE移動(dòng)性分析，網(wǎng)絡(luò)性能分析，網(wǎng)元負(fù)載分析等分析用例。另外，3GPP進(jìn)一步引入了數(shù)據(jù)收集和處理等功能以支持模型R18和R19階段，TS23.288《針對(duì)5G系統(tǒng)（5GS）的架構(gòu)增強(qiáng)，以支持網(wǎng)絡(luò)數(shù)據(jù)分析服務(wù)》中對(duì)AI/ML（Arti?cialIntelligence/MachineLearning，人工智能與機(jī)器學(xué)習(xí)）展AI/ML網(wǎng)絡(luò)功能，例如：NWDAF分析準(zhǔn)確性增強(qiáng)，AI/ML數(shù)據(jù)漫游、AI/ML數(shù)據(jù)收集和存儲(chǔ)增強(qiáng)，4MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展如圖4所示，為支持模型訓(xùn)練，NWDAF可以直接進(jìn)行數(shù)據(jù)采集，也可以間接數(shù)據(jù)采集，例如：通過(guò)數(shù)據(jù)收集協(xié)調(diào)網(wǎng)元進(jìn)行；NWDAF之間、NWDAF和應(yīng)用服務(wù)器AF之間可以通過(guò)聯(lián)邦學(xué)習(xí)技術(shù)進(jìn)行模針對(duì)數(shù)據(jù)收集和處理引入的數(shù)據(jù)安全風(fēng)險(xiǎn)，使用授權(quán)和匿名化等技術(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)。例如，對(duì)于數(shù)據(jù)跨運(yùn)營(yíng)商網(wǎng)絡(luò)之間流動(dòng)的場(chǎng)景，數(shù)據(jù)源需要控制開(kāi)放的數(shù)據(jù)的數(shù)量，并抽象或隱藏內(nèi)部網(wǎng)絡(luò)信針對(duì)模型訓(xùn)練引入的隱私保護(hù)問(wèn)題，引入了聯(lián)邦學(xué)習(xí)技術(shù)，解決數(shù)據(jù)孤島問(wèn)題，保護(hù)數(shù)據(jù)隱私。例如，同一PLMN（PublicLandMobileNetwork，公共陸地移動(dòng)網(wǎng)絡(luò)）內(nèi)部的NWDAF之間可以進(jìn)行橫向或者縱向聯(lián)邦學(xué)習(xí)，PLMN內(nèi)部的NWDAF和內(nèi)外部的AF之間還可以進(jìn)行縱向聯(lián)邦學(xué)習(xí)。聯(lián)邦學(xué)習(xí)過(guò)程中，還要關(guān)注聯(lián)邦學(xué)習(xí)實(shí)體之間的授權(quán)問(wèn)題，防止未授權(quán)的NWDAF作為聯(lián)邦學(xué)習(xí)任務(wù)的服務(wù)器或客戶(hù)端。聯(lián)邦學(xué)習(xí)通過(guò)其獨(dú)特的分布式架構(gòu)，實(shí)現(xiàn)了在不共享原始數(shù)據(jù)的情況下進(jìn)行模型訓(xùn)練，保護(hù)了針對(duì)模型共享過(guò)程引入的模型泄露風(fēng)險(xiǎn)，使用模型授權(quán)等訪問(wèn)控制技術(shù)，保護(hù)模型不被未授權(quán)消費(fèi)者獲取。具體來(lái)說(shuō)，5G-A支持基于OAuth2.0模型授權(quán)，模型消費(fèi)者在向模型生產(chǎn)者請(qǐng)求時(shí)需要攜帶標(biāo)準(zhǔn)進(jìn)展方面，R18階段主要研究了漫游場(chǎng)景下的智能化分析數(shù)據(jù)共享安全、聯(lián)邦學(xué)習(xí)集群授權(quán)、AI（ArtificialIntelligence，人工智能）模型安全防護(hù)問(wèn)題等。3GPP對(duì)上述相關(guān)安全關(guān)鍵技術(shù)在TS5MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展20245G移動(dòng)通信網(wǎng)安全技術(shù)要求（第二階段）》標(biāo)準(zhǔn)，其中包含對(duì)照3GPPR17階段人工智能安全相關(guān)對(duì)于網(wǎng)絡(luò)智能化相關(guān)技術(shù)研究，建議依托IMT-2020(5G)推進(jìn)組安全工作組，進(jìn)一步研究NWDAF網(wǎng)NTN（Non-terrestrialnetwork，非地面網(wǎng)絡(luò)）是指通過(guò)機(jī)載或星載的傳輸中繼節(jié)點(diǎn)或基站，構(gòu)建或擴(kuò)展網(wǎng)絡(luò)及其分段的技術(shù)體系。作為地面蜂窩通信技術(shù)的重要補(bǔ)充，NTN通過(guò)衛(wèi)星網(wǎng)絡(luò)及低空網(wǎng)絡(luò)與地面5G網(wǎng)絡(luò)的融合，實(shí)現(xiàn)不受地形地貌的限制的全場(chǎng)景按需接入。目前NTN安全研究主要聚焦星地融合場(chǎng)景，3GPP在R19階段開(kāi)始研究衛(wèi)星接入網(wǎng)絡(luò)中存儲(chǔ)和轉(zhuǎn)發(fā)場(chǎng)景面臨的安全威脅、安全需求和安全衛(wèi)星處于動(dòng)態(tài)移動(dòng)過(guò)程中，衛(wèi)星與地面信關(guān)站的饋電鏈路存在不可用的情況。在饋電鏈路不可用期間，5GAKA（5GAuthenticationandKeyAgreement，第五代認(rèn)證和密鑰協(xié)議）過(guò)程可能無(wú)法完整執(zhí)行，這將導(dǎo)致認(rèn)證、授權(quán)相關(guān)的問(wèn)題。此外在饋電鏈路不可用的情況下，衛(wèi)星將保存UE的連接與注冊(cè)信息直到饋電鏈路可用。在此過(guò)程中，由于UE（UserEquipmen證和建立NAS/AS（Non-AccessStra6MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展與傳統(tǒng)地面移動(dòng)蜂窩網(wǎng)絡(luò)相比，終端-衛(wèi)星之間的服務(wù)鏈路、衛(wèi)星-衛(wèi)星之間的星間鏈路、衛(wèi)星-信關(guān)站之間的饋電鏈路均使用無(wú)線信號(hào)傳輸數(shù)據(jù)，NTN網(wǎng)絡(luò)的通信鏈路面臨著通信環(huán)境更為開(kāi)放的問(wèn)題，導(dǎo)致無(wú)線鏈路更易受到攻擊，因此需要保障服務(wù)鏈路、星間鏈路、饋電鏈路的安全可靠，為其上衛(wèi)星節(jié)點(diǎn)資源有限，無(wú)法部署復(fù)雜的安全機(jī)制。而現(xiàn)有的接入認(rèn)證等安全機(jī)制存在開(kāi)銷(xiāo)大、易服為應(yīng)對(duì)饋電鏈路間歇性不可用的安全問(wèn)題，3GPP針對(duì)衛(wèi)星存儲(chǔ)轉(zhuǎn)發(fā)操作模式，研究了其接入安全●逆向AKA：不同于5GAKA由核心網(wǎng)生成認(rèn)證向量，逆向AKA由UE側(cè)生成認(rèn)證向量。當(dāng)UE有的上行用戶(hù)數(shù)據(jù)，并通過(guò)服務(wù)鏈路向衛(wèi)星發(fā)送加密的注冊(cè)請(qǐng)求，其中包含5GAV、SUCI及首條上行數(shù)據(jù)。衛(wèi)星存儲(chǔ)這些信息直至重新建立與地面的連接，然后通過(guò)饋電鏈路將其發(fā)送至AMF/SEAF。AMF/SEAF進(jìn)一步處理這些信息，包括與AUSF和UDM/ARPF進(jìn)行身份驗(yàn)證流程，一旦身份驗(yàn)證成功，AMF/SEAF處理用戶(hù)數(shù)據(jù)，確定該區(qū)域的下一顆衛(wèi)星，并向衛(wèi)星發(fā)送包含RES的注冊(cè)接收消息及可能的下行用戶(hù)數(shù)據(jù)。衛(wèi)星存儲(chǔ)這些信息直至服務(wù)鏈路恢復(fù)，然后將其轉(zhuǎn)發(fā)給UE。UE驗(yàn)證RES并處理接收到的下行數(shù)據(jù)，完成逆向AKA的過(guò)程，如圖6所示。通過(guò)逆向AKA，可以解決由于饋●UDM上星：為保證饋電鏈路不可用期間完成用戶(hù)的身份驗(yàn)證和NAS安全過(guò)程，可以選擇將7MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展UDM/AUSF上星的方式。在UDM/AUSF上星后，星載UDM中儲(chǔ)存用戶(hù)的訂閱和憑證，這部分?jǐn)?shù)據(jù)會(huì)在饋電鏈路可用時(shí)與地面UDM同步。當(dāng)在星上完成注冊(cè)之后，星載UDM可將認(rèn)證結(jié)果發(fā)送到地面UDM●臨時(shí)UEID：為避免臨時(shí)GUTI在明文發(fā)送和多次重用過(guò)程中存在的隱私泄露問(wèn)題，地面核心網(wǎng)可基于上行鏈路中UE的輸入生成臨時(shí)GUTI，確保每個(gè)臨時(shí)GUTI僅使用一次以增強(qiáng)安全性，保障用戶(hù)隱私安全。在這個(gè)過(guò)程中，UE隨機(jī)生成一個(gè)或多個(gè)臨時(shí)UEID并在初始注冊(cè)流程中發(fā)送給衛(wèi)星，衛(wèi)星檢查唯一性后轉(zhuǎn)發(fā)給地面網(wǎng)絡(luò)，地面核心網(wǎng)根據(jù)此臨時(shí)UEID生成臨時(shí)GUTI。在與不同衛(wèi)星的通信中，地面核心網(wǎng)會(huì)創(chuàng)建包含不同臨時(shí)GUTI的消息并轉(zhuǎn)發(fā)給相應(yīng)的衛(wèi)星，再由衛(wèi)星轉(zhuǎn)發(fā)給UE。UE通過(guò)針對(duì)通信鏈路安全防護(hù)的需求，服務(wù)鏈路為用戶(hù)終端與衛(wèi)星之間的通信鏈路，可沿用現(xiàn)有3GPP5G-AKA機(jī)制進(jìn)行密鑰協(xié)商，對(duì)服務(wù)鏈路中傳輸?shù)臄?shù)據(jù)進(jìn)行加解密和完整性保護(hù)。星間鏈路和饋電鏈路涉及到衛(wèi)星以及地面信關(guān)站，這些鏈路的安全防護(hù)不屬于3GPP標(biāo)準(zhǔn)化的范圍。目前業(yè)界對(duì)于星間鏈路和饋電鏈路的安全防護(hù)，關(guān)注于采用通信雙方預(yù)存一組相同對(duì)稱(chēng)密鑰的方式進(jìn)行數(shù)據(jù)加解密和完整性針對(duì)輕量化安全機(jī)制的需求，3GPP暫未開(kāi)展NTN輕量化安全機(jī)制的標(biāo)準(zhǔn)化工作。未來(lái)可以考慮在NTN網(wǎng)絡(luò)中引入輕量化的安全機(jī)制，例如采用IPK（公鑰安全技術(shù)）等非證書(shū)標(biāo)識(shí)公鑰密碼技術(shù)進(jìn)行網(wǎng)8MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展國(guó)際上，ITU-TSG17在2024年通過(guò)了首個(gè)星地融合安全標(biāo)準(zhǔn)的立項(xiàng)X.5G_Sec-FMSC，出的固定、移動(dòng)及衛(wèi)星融合網(wǎng)絡(luò)架構(gòu)，研究安全需求與安全指南。3GPPS國(guó)內(nèi)方面，CCSATC5WG5于2024年完成《面向5G網(wǎng)絡(luò)及5G增強(qiáng)的天地一體化網(wǎng)絡(luò)安全需求與安從技術(shù)研究角度，進(jìn)一步對(duì)星地接入認(rèn)證與隱私保護(hù)的關(guān)鍵技術(shù)進(jìn)行研究，并推進(jìn)對(duì)基站上星、核心網(wǎng)上星場(chǎng)景下存在的安全風(fēng)險(xiǎn)與安全需求的研究。從標(biāo)準(zhǔn)制定角度，在3GPP推動(dòng)衛(wèi)星存儲(chǔ)轉(zhuǎn)發(fā)操作模式下的接入安全與隱私保護(hù)相關(guān)技術(shù)的標(biāo)準(zhǔn)化工作，同時(shí)在國(guó)內(nèi)CCSA推動(dòng)NTN相關(guān)安全標(biāo)準(zhǔn)，保隨著行業(yè)客戶(hù)對(duì)網(wǎng)絡(luò)隔離和功能定制提出了更高要求，運(yùn)營(yíng)商將部分定制5GC網(wǎng)元部署到客戶(hù)園區(qū)，此類(lèi)混合專(zhuān)網(wǎng)模式已成為當(dāng)前5G專(zhuān)網(wǎng)部署的重要方式之一。運(yùn)營(yíng)商的5G核心網(wǎng)絡(luò)邊界隨之延伸至客戶(hù)側(cè)，從而導(dǎo)致運(yùn)營(yíng)商5G公共網(wǎng)絡(luò)及企業(yè)園區(qū)5G專(zhuān)網(wǎng)面臨多點(diǎn)互通后產(chǎn)生的潛在跨域攻擊安全威9MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展當(dāng)專(zhuān)用UPF部署在企業(yè)園區(qū)5G專(zhuān)網(wǎng)時(shí)，被入侵的UPF可能會(huì)通過(guò)N4接口向公網(wǎng)5GC網(wǎng)絡(luò)的SMF發(fā)起信令攻擊。然而，現(xiàn)有的NDS/IP機(jī)制無(wú)法保護(hù)公網(wǎng)或?qū)＞W(wǎng)免受來(lái)自受損專(zhuān)用UPF或SMF的攻擊，如DoS攻擊、畸形信令信息、拓?fù)湫畔⒈┞兜取?G系統(tǒng)需要支持公網(wǎng)和專(zhuān)網(wǎng)的雙向拓?fù)湫畔㈦[藏，支持對(duì)公網(wǎng)和專(zhuān)網(wǎng)之間N4接口畸形信令消息、錯(cuò)誤NF類(lèi)型信息（根據(jù)3GPP規(guī)范）的阻斷，以及對(duì)N4接口當(dāng)專(zhuān)用UPF和部分控制面網(wǎng)元部署在企業(yè)園區(qū)5G專(zhuān)網(wǎng)時(shí)，專(zhuān)網(wǎng)的控制面NF和公網(wǎng)的控制面NF之間的接口為SBA接口。然而，現(xiàn)有的SBA安全機(jī)制無(wú)法保護(hù)公網(wǎng)或?qū)＞W(wǎng)免受來(lái)自受損NF的攻擊，如果NF被入侵，攻擊者可能會(huì)利用被入侵的NF收集拓?fù)?、發(fā)送畸形信息或發(fā)起DoS攻擊。5G系統(tǒng)需要支持公網(wǎng)和專(zhuān)網(wǎng)的雙向拓?fù)湫畔㈦[藏，支持對(duì)公網(wǎng)和專(zhuān)網(wǎng)之間SBA接口畸形信令消息、錯(cuò)誤NF類(lèi)型信息（根通過(guò)在專(zhuān)網(wǎng)和公網(wǎng)之間的邊界部署一個(gè)或多個(gè)具備安全功能的代理實(shí)體，實(shí)現(xiàn)間接通信、委托發(fā)安全代理實(shí)體與專(zhuān)網(wǎng)UPF之間使用NDS/IP機(jī)制實(shí)現(xiàn)雙向認(rèn)證，并為N4接口通信數(shù)據(jù)提供機(jī)密性、MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展安全代理實(shí)體與專(zhuān)網(wǎng)控制面網(wǎng)元之間使用TLS機(jī)制實(shí)現(xiàn)雙向認(rèn)證，并基于TLS傳輸保護(hù)模式，為安安全代理實(shí)體與公網(wǎng)核心網(wǎng)網(wǎng)元之間按照3GPP定義的NDS/IP機(jī)制、傳輸層保護(hù)機(jī)制實(shí)現(xiàn)雙向認(rèn)證安全代理實(shí)體通過(guò)安全配置DNS數(shù)據(jù)和訪問(wèn)控制策略，限制專(zhuān)網(wǎng)UPF或控制面網(wǎng)元僅能通過(guò)安全針對(duì)N4接口和SBA接口的協(xié)議和數(shù)據(jù)特點(diǎn)，安全代理實(shí)體支持對(duì)至少3類(lèi)異常流量進(jìn)行識(shí)別和處理：①畸形或異常TCP/IP數(shù)據(jù)包；②異常IKEv2交換、TLS握手消息包；③不符合3GPP規(guī)范的消息包，在部署和實(shí)現(xiàn)方式方面，可以根據(jù)運(yùn)營(yíng)商策略，選擇基于服務(wù)通信代理（SCP）網(wǎng)元進(jìn)行功能增強(qiáng)和裁剪的方式實(shí)現(xiàn)，也可以選擇引入新網(wǎng)元的方式實(shí)現(xiàn)，例如引入針解決方案，截止2024年12月已完成TS立項(xiàng)。ITU-TX.1820聚焦公專(zhuān)網(wǎng)協(xié)同場(chǎng)景下的通用性安全問(wèn)題，分析了IMT-2020/5G核心網(wǎng)絡(luò)由集中式節(jié)點(diǎn)和客戶(hù)本地化節(jié)點(diǎn)組成時(shí)所面臨的特定安全威脅，并規(guī)定了國(guó)內(nèi)方面，CCSATC5WG5正在制定行標(biāo)《5G移動(dòng)通信網(wǎng)混合專(zhuān)網(wǎng)模式的信令互通網(wǎng)關(guān)安全技術(shù)后續(xù)將持續(xù)推動(dòng)完成3GPP和CCSA在研標(biāo)準(zhǔn)制定，指導(dǎo)相關(guān)產(chǎn)品在現(xiàn)網(wǎng)規(guī)模應(yīng)用，并進(jìn)一步研究Femto基站是專(zhuān)為家庭室內(nèi)環(huán)境、辦公環(huán)境或其他小覆蓋環(huán)境下設(shè)計(jì)的小型基站，F(xiàn)emto基站與用戶(hù)的寬帶網(wǎng)絡(luò)相連，在本地處理蜂窩移動(dòng)電話通話，并傳輸?shù)竭\(yùn)營(yíng)商的核心網(wǎng)絡(luò)，解MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展數(shù)據(jù)接入問(wèn)題。3GPP已經(jīng)對(duì)3G/4GFemto基站相關(guān)安全技術(shù)進(jìn)行了標(biāo)準(zhǔn)化，在5G-A階段對(duì)Femto基站接由于Femto基站的部署環(huán)境和傳統(tǒng)宏基站有很大區(qū)別，F(xiàn)emto基站通過(guò)運(yùn)營(yíng)商不可信的鏈路（如Internet）連接到運(yùn)營(yíng)商的核心網(wǎng)絡(luò)，運(yùn)營(yíng)商的核心網(wǎng)絡(luò)和運(yùn)營(yíng)商不信任的網(wǎng)絡(luò)直接相連，必然對(duì)運(yùn)營(yíng)商的核心網(wǎng)絡(luò)管理帶來(lái)新的風(fēng)險(xiǎn)。此外，F(xiàn)emto基站部署在不可信的環(huán)境中，極易受到惡意用戶(hù)的攻擊，并以Femto基站為跳板，進(jìn)一步對(duì)運(yùn)營(yíng)商的核心網(wǎng)絡(luò)造成威脅。因此，F(xiàn)emto基站需要安全機(jī)制來(lái)為了應(yīng)對(duì)核心網(wǎng)面臨的安全威脅，5G-AFemto基站安全主要解決以Femto基站的引入使得運(yùn)營(yíng)商核心網(wǎng)絡(luò)直接與不安全鏈路相連，為保障核心網(wǎng)的安全，在站與5G核心網(wǎng)之間引入安全網(wǎng)關(guān)，一方面，安全網(wǎng)關(guān)對(duì)Femto基站進(jìn)行接入認(rèn)證，防止仿冒的、未授權(quán)的Femto基站接入核心網(wǎng)；另一方面，安全網(wǎng)關(guān)與Femto基站建立IPSec隧道，F(xiàn)emto基站與核心網(wǎng)之間安全網(wǎng)關(guān)代替核心網(wǎng)實(shí)現(xiàn)和Femto基站的雙向認(rèn)證，交互認(rèn)證后，安全網(wǎng)關(guān)與Femto基站之間建立IPSec隧道，保證Femto基站到Femto管理系統(tǒng)和核心網(wǎng)的安全接入，F(xiàn)emto基站與Femto管理系統(tǒng)以及核心網(wǎng)之間的管理面數(shù)據(jù)、控制面信令和用戶(hù)面數(shù)據(jù)都通過(guò)安全隧道傳輸，保證數(shù)據(jù)的安全傳輸。安全MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展核心網(wǎng)可以對(duì)Femto基站管理員的接入身份進(jìn)行鑒別，只有通過(guò)身份鑒別的管理員才能對(duì)Femto基站進(jìn)行配置管理。安全網(wǎng)關(guān)在對(duì)Femto基站的設(shè)備認(rèn)證通過(guò)后，可支持以EAP-AKA或EAP-AKA’認(rèn)證方式對(duì)Femto管理員進(jìn)行接入身份認(rèn)證，通過(guò)在核心網(wǎng)中部署配置EAP-AKA認(rèn)證的AAA服務(wù)器，將相關(guān)的鑒權(quán)參數(shù)存儲(chǔ)在AAA服務(wù)器上，安全網(wǎng)關(guān)與AAA服務(wù)器互通，提供Femto基站管理員和網(wǎng)絡(luò)的雙Femto基站的某些設(shè)置和任務(wù)與其當(dāng)前所處的地理位置密切相關(guān)，如某些法規(guī)要求Femto基站只能在運(yùn)營(yíng)商許可的地理范圍內(nèi)使用，緊急呼叫業(yè)務(wù)需要能夠精確定位Femto基站等。位置限制機(jī)制可以確保Femto基站只能在允許的地理位置范圍內(nèi)使用，安全網(wǎng)關(guān)或者Femto網(wǎng)管可以根據(jù)Femto基站接入的IP地址、接入位置的GPS位置信息、接入位置周?chē)暮昃W(wǎng)絡(luò)位置信息（如LAC、RA、TA信息）驗(yàn)證3GPP在R19階段啟動(dòng)了關(guān)于5GFemto基站安全的標(biāo)準(zhǔn)化工作項(xiàng)目，目前已完成階段性的研究工作。國(guó)內(nèi)CCSATC5WG5在2023年立項(xiàng)了《5G移動(dòng)通信網(wǎng)家庭基站動(dòng)通信網(wǎng)家庭基站安全網(wǎng)關(guān)設(shè)備的技術(shù)要求，包括接入認(rèn)證、路由轉(zhuǎn)發(fā)、攻擊防范、報(bào)文過(guò)濾等安全下一步，從技術(shù)研究角度，進(jìn)一步研究針對(duì)5G核心網(wǎng)的拓?fù)潆[藏等關(guān)鍵技術(shù)。從標(biāo)準(zhǔn)制定角度，在3GPPR19已完成的研究報(bào)告的基礎(chǔ)上，繼續(xù)制定相關(guān)的安全標(biāo)準(zhǔn)，保障5GFemto基站和運(yùn)營(yíng)商5G核5G系統(tǒng)中，基于數(shù)字證書(shū)的安全機(jī)制廣泛應(yīng)用于基于服務(wù)化架構(gòu)的5G核心網(wǎng)，例如：5G核心網(wǎng)網(wǎng)元之間使用基于數(shù)字證書(shū)的雙向TLS機(jī)制進(jìn)行身份認(rèn)證和安全通道建立、5G核心網(wǎng)網(wǎng)元之間基于數(shù)MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展字證書(shū)驗(yàn)證服務(wù)授權(quán)訪問(wèn)攜帶的Oauth2.0機(jī)制的令牌等。移動(dòng)通信網(wǎng)絡(luò)中傳統(tǒng)數(shù)字證書(shū)機(jī)制的使用依賴(lài)于線下注冊(cè)、手工配置等方式，效率低、易出錯(cuò)，無(wú)法滿(mǎn)足服務(wù)化架構(gòu)等場(chǎng)景下的數(shù)字證書(shū)管理需求。為了能夠更好的對(duì)SBA內(nèi)部網(wǎng)元數(shù)字證書(shū)進(jìn)行管理，3GPP在5G-A階段引入了SBA內(nèi)部證書(shū)自動(dòng)化5G-ASBA中的證書(shū)自動(dòng)化管理關(guān)注的場(chǎng)景包括：NF和運(yùn)營(yíng)商CA/NF證書(shū)自動(dòng)化管理的前提是5GCNF與運(yùn)營(yíng)商CA/RA之間建立初始信任，網(wǎng)元的拉起編排均依賴(lài)于網(wǎng)管系統(tǒng)，因此證書(shū)管理的初始信任也依賴(lài)于網(wǎng)管系統(tǒng)，如下圖所示。具體來(lái)說(shuō)，3GPPR18階段，引入了三種初始信任建立方式：①OAM頒發(fā)的初始證書(shū)，②OAM預(yù)配置的IAK（Initialattestationkey，初始認(rèn)證密鑰③OAM對(duì)某些NFpro?le參數(shù)（至少包括5G-A階段引入了CMPv2協(xié)議來(lái)支持證書(shū)注冊(cè)、更新流程的自動(dòng)化，CMPv2協(xié)議是IETF定義的一套成熟的證書(shū)管理機(jī)制。具體的，證書(shū)注冊(cè)過(guò)程中，NF在CMPv2的證書(shū)申請(qǐng)消息中攜帶NF配置的初始信任及其身份標(biāo)識(shí)NFinstanceID，運(yùn)營(yíng)商CA校驗(yàn)對(duì)應(yīng)的初始信任和身份標(biāo)識(shí)，如果校驗(yàn)通過(guò)，則為其頒發(fā)對(duì)應(yīng)的實(shí)體證書(shū)；證書(shū)更新過(guò)程中，使用待更新的證書(shū)對(duì)應(yīng)私鑰對(duì)證書(shū)更新請(qǐng)求消息進(jìn)行簽名，運(yùn)營(yíng)商CA校驗(yàn)簽名，如果校驗(yàn)通過(guò)，則為其頒發(fā)對(duì)應(yīng)的更新證書(shū)；終端實(shí)體（網(wǎng)元）和RA/CA之間的MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展CMPv2消息傳輸使用IETFRFC6712中規(guī)定的基于HTTP的協(xié)議完成，但不強(qiáng)基于服務(wù)化架構(gòu)的5G核心網(wǎng)NF可能需要支持用于不同用途的多個(gè)運(yùn)營(yíng)商證書(shū)，例如TLS身份驗(yàn)證、JSON簽名和JSON加密，CA可配置策略來(lái)驗(yàn)證證書(shū)的用途，并將其添加到頒發(fā)的證書(shū)中，從而可3GPPR18階段，上述基于CMPv2協(xié)議（證書(shū)管理協(xié)議，具體參見(jiàn)IETFRFC4210）的SBA相關(guān)證書(shū)自動(dòng)化管理技術(shù)在TS33.310中進(jìn)行了標(biāo)準(zhǔn)化；3GPPSA3R19階段，正在研究如何使用ACME協(xié)議進(jìn)行3GPPSBA內(nèi)部網(wǎng)元證書(shū)自動(dòng)化管理，與CMPv2協(xié)議作為不同的option供運(yùn)營(yíng)商選擇，ACME（自動(dòng)證書(shū)管理環(huán)境）是IETF定義的、旨在簡(jiǎn)化、自動(dòng)獲取和管理SSL/TLS證書(shū)的證書(shū)管理協(xié)議。國(guó)內(nèi)CCSAST10于2023年也立項(xiàng)了相關(guān)研究課題《基于5G服務(wù)化架構(gòu)的自動(dòng)化證書(shū)管理研究》，目前該課題已完對(duì)于證書(shū)管理相關(guān)的技術(shù)研究，建議依托IMT-2020(5G)推進(jìn)組安全工作組，進(jìn)一步研究證書(shū)管理認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的基本技術(shù)，5G設(shè)計(jì)初期，引入了5G-AKA、EAP-AKA’、AKMA（AuthenticationandKeyManagementforApplications，應(yīng)用認(rèn)證與密鑰管理）等認(rèn)證層應(yīng)用提供靈活的認(rèn)證和接入機(jī)制。但是，傳統(tǒng)的主鑒權(quán)認(rèn)證機(jī)制依賴(lài)于拜訪網(wǎng)絡(luò)觸發(fā)，歸屬網(wǎng)絡(luò)缺乏對(duì)漫游用戶(hù)認(rèn)證的主動(dòng)權(quán)；另外，之前的AKMA機(jī)制僅支持用戶(hù)在歸屬網(wǎng)絡(luò)下時(shí)使用，對(duì)于漫游場(chǎng)景下的應(yīng)用認(rèn)證和網(wǎng)絡(luò)管理缺乏對(duì)應(yīng)的機(jī)制。為了解決上述現(xiàn)有認(rèn)證機(jī)制中存在的局限等，3GPPR18在應(yīng)用認(rèn)證與密鑰管理方面，5G初期已經(jīng)引入了AKMA機(jī)制，AKMA機(jī)制制訂了一套流程簡(jiǎn)化、輕量級(jí)的、可適配多種場(chǎng)景的應(yīng)用層認(rèn)證和密鑰管理架構(gòu)及流程，利用終端與網(wǎng)絡(luò)的認(rèn)證結(jié)果，進(jìn)一步為應(yīng)用層提供身份認(rèn)證和會(huì)話密鑰管理服務(wù)。3GPPR18階段在AKMA現(xiàn)有技術(shù)架構(gòu)下，新增了漫游●漫游場(chǎng)景下使用AKMA的安全機(jī)制：在漫游場(chǎng)景下，漫游用戶(hù)使用AKMA服務(wù)前，需到歸屬網(wǎng)絡(luò)進(jìn)行授權(quán)校驗(yàn)，確認(rèn)是否可以在該拜訪網(wǎng)絡(luò)中使用AKMA服務(wù)，使用了漫游場(chǎng)景下歸屬網(wǎng)絡(luò)提供MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展●引入認(rèn)證代理提升AKMA認(rèn)證效率機(jī)制：在引入AP（AuthenticationProxy，認(rèn)證代理）的場(chǎng)景下，UE和AP之間的Ua*接口可以使用TLS進(jìn)行安全保護(hù)，AP和AS（ApplicationServer，應(yīng)用服務(wù)器）之間可以通過(guò)NDS/IP技術(shù)（IPsec）進(jìn)行安全保護(hù)，另外，R18階段還標(biāo)準(zhǔn)化了使用DTLS和OSCORE協(xié)議進(jìn)行Ua*接口的保護(hù)。在AMKA里引入AP功能可以幫助AP后面的應(yīng)用服務(wù)器AS執(zhí)行AKMA過(guò)程，以在歸屬網(wǎng)絡(luò)觸發(fā)主鑒權(quán)技術(shù)方面，該機(jī)制允許歸屬網(wǎng)絡(luò)觸發(fā)對(duì)UE的主鑒權(quán)流程，彌補(bǔ)了之前只有拜訪網(wǎng)絡(luò)可以觸發(fā)主鑒權(quán)的限制，增強(qiáng)了歸屬網(wǎng)絡(luò)對(duì)于漫游用戶(hù)的控制權(quán)。UDM可以根據(jù)本地配置策略或者其他網(wǎng)元（比如網(wǎng)管，AAnF）的請(qǐng)求發(fā)起主鑒權(quán)，主鑒權(quán)結(jié)束后，UE的位置得到確認(rèn)，UE的3GPPR18階段在TS33.535和TS33.501中對(duì)上述內(nèi)容進(jìn)行了標(biāo)準(zhǔn)化，主要標(biāo)準(zhǔn)化了AKMA漫游場(chǎng)景、認(rèn)證代理功能支持，以及UDM根據(jù)本地策略向UE觸發(fā)主鑒權(quán)的流程；當(dāng)前國(guó)內(nèi)標(biāo)準(zhǔn)尚不支持該特5G能力開(kāi)放CAPIF（CommonAPIFramework，通用API架構(gòu)）是3GPP定義的一個(gè)標(biāo)準(zhǔn)能力開(kāi)放架構(gòu)，主要目的是為5G網(wǎng)絡(luò)中的能力開(kāi)放架構(gòu)和流程提供規(guī)范化能力要求。隨著5G應(yīng)用快速發(fā)展，部分如車(chē)聯(lián)網(wǎng)、智能終端游戲等業(yè)務(wù)場(chǎng)景中，車(chē)聯(lián)網(wǎng)或游戲應(yīng)用服務(wù)器/客戶(hù)端（API調(diào)用者）希望能夠調(diào)用5G網(wǎng)絡(luò)對(duì)外開(kāi)放的服務(wù)API，以訪問(wèn)或獲取5G用戶(hù)（資源所有者）相關(guān)的資源，比如車(chē)聯(lián)網(wǎng)應(yīng)用獲取用戶(hù)位置信息以執(zhí)行精準(zhǔn)定位，游戲應(yīng)用請(qǐng)求修改用戶(hù)QoS數(shù)據(jù)以?xún)?yōu)化游戲服務(wù)體驗(yàn)，如圖12。因此，3GPP在R18版本開(kāi)展了CAPIF架構(gòu)增強(qiáng)的研究和標(biāo)準(zhǔn)制定工作，以支持RNAA（Resourceowner-MT-2V25G-MT-2V25G系統(tǒng)需要確保在支持RNAA的CAPIF架構(gòu)下，當(dāng)API調(diào)用者請(qǐng)求調(diào)用服務(wù)API以訪問(wèn)或獲取資源所有者的資源時(shí)，執(zhí)行必要的安全措施，包括資源所有者授權(quán)和撤銷(xiāo)，以及引入的新增接口需支持的在支持RNAA的CAPIF架構(gòu)中使用OAuth2.0框架進(jìn)行基于令牌的授權(quán)，其中API調(diào)用者扮演客戶(hù)端MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展角色，CAPIF核心功能扮演授權(quán)服務(wù)器角色，AEF扮演資源服務(wù)器角色。位于CAPIF核心功能內(nèi)部的授權(quán)功能向資源所有者獲取必要的授權(quán)，如圖13，當(dāng)API調(diào)用者向CAPIF核心功能請(qǐng)求資源所有者資源相關(guān)的服務(wù)API授權(quán)時(shí)，CAPIF核心功能基于資源所有者的授權(quán)信息判斷是否允許并頒發(fā)用于RNAA的訪現(xiàn)有CPAIF架構(gòu)中的訪問(wèn)令牌聲明內(nèi)容僅包含API調(diào)用者標(biāo)識(shí)，為了支持RNAA能力，訪問(wèn)令牌的資源所有者撤銷(xiāo)針對(duì)某個(gè)資源相關(guān)的服務(wù)API訪問(wèn)授權(quán)時(shí)，CAPIF核心功能將觸發(fā)授權(quán)撤銷(xiāo)請(qǐng)求，并指對(duì)于資源所有者如何通過(guò)CAPIF-8接口提供授權(quán)信息的詳細(xì)方法，以及如何保護(hù)CAPIF-8接口的安國(guó)際方面，在R18階段，3GPPTS23.222規(guī)定了CAPIF架構(gòu)、功能和流程，包括確定北向?qū)嶓w使用時(shí)適用于任何服務(wù)API的CAPIF架構(gòu)要求（如注冊(cè)、發(fā)現(xiàn)、身份管理），以及CAPIF與服務(wù)API之間的R19階段，TR23.700-22研究了CAPIF架構(gòu)的潛在增強(qiáng)功能，以支持：①資源所有者授權(quán)管理；②支持單點(diǎn)登錄機(jī)制；③更細(xì)粒度的訪問(wèn)控制（例如，在服務(wù)操作或資源級(jí)別）；④支持CAPIF互聯(lián)服務(wù)；⑤RNAA架構(gòu)增強(qiáng)；⑥服務(wù)API狀態(tài)和AEF狀態(tài)管理。TR33.700-22國(guó)內(nèi)方面，CCSA在2024年發(fā)布了YD/T6019-2024《5G移動(dòng)通信網(wǎng)絡(luò)能力開(kāi)放通用應(yīng)用程序接口（API）功能架構(gòu)的安全技術(shù)要求》，標(biāo)準(zhǔn)定義了CAPIF架構(gòu)的安全需求、安全模型和安全流程，未包后續(xù)將繼續(xù)推動(dòng)3GPPR19研究工作轉(zhuǎn)向標(biāo)準(zhǔn)規(guī)范制定，并在CCSA同步開(kāi)展CAPIF架構(gòu)第二階標(biāo)制定，新增規(guī)范支持RNAA特性需要增強(qiáng)的功能要求。同步推動(dòng)支持RNAA的CAPIF架構(gòu)在未來(lái)新業(yè)根據(jù)不同地區(qū)的法律法規(guī)要求，移動(dòng)通信網(wǎng)絡(luò)相關(guān)業(yè)務(wù)在涉及到個(gè)人信息處理時(shí)，需要用戶(hù)知情同意。因此，3GPP在5G-A階段新增定義了支持用戶(hù)同意需要執(zhí)行的通用安全要求和流程，具體包括用MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展用戶(hù)同意參數(shù)的存儲(chǔ)：用戶(hù)同意參數(shù)作為簽約數(shù)據(jù)存儲(chǔ)在UDM/UDR中，并且與SUPI/GPSI綁定，此外，用戶(hù)同意參數(shù)還要與數(shù)據(jù)處理目的綁定，并包括是否授予用戶(hù)同意；UDM支持檢索用戶(hù)同意參數(shù)、用戶(hù)同意參數(shù)變更通知等與用戶(hù)同意相關(guān)的業(yè)務(wù)；用戶(hù)同意僅在給予用戶(hù)同意的時(shí)間點(diǎn)之后、撤用戶(hù)同意參數(shù)的校驗(yàn)：任何被視為用戶(hù)同意執(zhí)行點(diǎn)的NF都支持從UDM檢索用戶(hù)同意參數(shù)，除非獲得用戶(hù)同意，否則不得接受任何服務(wù)或數(shù)據(jù)處理請(qǐng)求。另外，NF應(yīng)在數(shù)據(jù)處理之前確定數(shù)據(jù)處理的目的。如果數(shù)據(jù)處理的目的不是從服務(wù)請(qǐng)求中隱式知道的，則用戶(hù)同意執(zhí)行點(diǎn)應(yīng)請(qǐng)求它或以其他方式拒用戶(hù)同意參數(shù)的撤銷(xiāo)：任何被認(rèn)為是用戶(hù)同意執(zhí)行點(diǎn)的NF都支持訂閱UDM提供的用戶(hù)同意參數(shù)變更通知。消費(fèi)者NF可以向UDM訂閱用戶(hù)同意參數(shù)變更通知。任何被視為用戶(hù)同意執(zhí)行點(diǎn)的NF在收到用戶(hù)同意撤銷(xiāo)通知后，將不再接受被撤銷(xiāo)用戶(hù)同意的數(shù)據(jù)處理的服務(wù)請(qǐng)求。用戶(hù)同意撤銷(xiāo)通知后，任何被視為用戶(hù)同意執(zhí)行點(diǎn)的NF都可以通知其他NF停止處理被撤銷(xiāo)的用戶(hù)同意的數(shù)據(jù)。用戶(hù)同意撤銷(xiāo)通知后，NF（處理與撤銷(xiāo)同意相關(guān)的數(shù)據(jù)）應(yīng)停止處理和收集數(shù)據(jù)。NF收到撤銷(xiāo)用戶(hù)同意的通知后，可3GPPR18階段對(duì)用戶(hù)知情同意的上述相關(guān)技術(shù)進(jìn)行了標(biāo)準(zhǔn)化，上述用戶(hù)知情同意相關(guān)技術(shù)可服務(wù)于后續(xù)版本中新特性對(duì)于個(gè)人信息使用的授權(quán)檢查。同時(shí)，未來(lái)可能進(jìn)一步擴(kuò)展該基本需求以滿(mǎn)足更為了促進(jìn)產(chǎn)業(yè)相關(guān)方對(duì)網(wǎng)絡(luò)設(shè)備的安全性達(dá)成共識(shí)，確保網(wǎng)絡(luò)設(shè)備制造與運(yùn)營(yíng)安全良性發(fā)展，3GPP定義了網(wǎng)絡(luò)設(shè)備安全保障的方法論，用來(lái)衡量網(wǎng)絡(luò)設(shè)備的安全水平。方法論由3GPP和GSMA聯(lián)合制定。3GPP標(biāo)準(zhǔn)組織負(fù)責(zé)制定安全保障相關(guān)的安全要求、測(cè)試方法等相關(guān)標(biāo)準(zhǔn)SCAS（SeCurityAssuranceSpecification，安全保障規(guī)范），GSMA負(fù)責(zé)制定認(rèn)證流程，產(chǎn)品開(kāi)發(fā)過(guò)程的安全性審核要求，以及測(cè)試實(shí)驗(yàn)室資質(zhì)認(rèn)定的審核要求。相關(guān)內(nèi)容在GSMA的NESASG（NetworkEquipmentSecurityAssuranceSchemeGroup，網(wǎng)絡(luò)設(shè)備安全保證計(jì)MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展根據(jù)業(yè)界需求，結(jié)合方法論規(guī)定方法，3GPP制定了一系列5G網(wǎng)絡(luò)設(shè)備安全保障方法及安全要求，如gNB，AMF，SMF等。除了具體網(wǎng)元的安全保障安全要求，3GPP還制定了通用的安全保障方法及安移動(dòng)通信系統(tǒng)的安全除了需要設(shè)計(jì)安全的架構(gòu)、機(jī)制、流程和協(xié)議之外，還需要確保安全設(shè)計(jì)真正被落實(shí)。網(wǎng)絡(luò)設(shè)備的安全功能和接口協(xié)議已由3GPP制定，然而網(wǎng)絡(luò)設(shè)備自身的安全要求、安全評(píng)估5G-A階段，3GPPR18SCAS規(guī)范進(jìn)一步強(qiáng)化了網(wǎng)元設(shè)備安全保障要求，定義了基站、核心網(wǎng)設(shè)備安全能力以及網(wǎng)絡(luò)管理設(shè)備新增要求，并擴(kuò)展制定了面向虛擬化網(wǎng)元設(shè)備（特指5G核心網(wǎng)設(shè)備）的安3GPPR18TS33.117進(jìn)一步明確了各網(wǎng)元魯棒性測(cè)試需覆蓋的接口協(xié)議，主要包括各設(shè)備接口傳輸層及應(yīng)用層協(xié)議。以基站為例，魯棒性測(cè)試需覆蓋N2口SCTP及NAGAP協(xié)議，N3口UDP及GTP-U協(xié)議，Xn口SCTP、XnAP、UDP、GTP-U。針對(duì)eSBA，新增SCP場(chǎng)景token驗(yàn)證安全要求。在eSBA場(chǎng)景中，網(wǎng)元直接的服務(wù)化認(rèn)證通過(guò)SCP進(jìn)行，服務(wù)提供者需驗(yàn)證服務(wù)請(qǐng)求者的token，若完整性校驗(yàn)失MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展3GPPR18TS33.511基站安全要求活動(dòng)態(tài)用戶(hù)面安全激活等。例如在不活動(dòng)態(tài)用戶(hù)面安全激活場(chǎng)景中，如果目標(biāo)gNB/ng-eNB支持UP安全激活狀態(tài)，則目標(biāo)gNB/ng-eNB使用UE在最后一個(gè)源小區(qū)使用的UP安全激活；否則，目標(biāo)gNB/ng-eNB3GPPR18核心網(wǎng)部分新增TS33.526MnF（ManagementFunction，管理網(wǎng)絡(luò)功能）、TS33.528PCF（PolicyControlFunction，策略控制功能）、TS33.537AKMAAAnF（AnchorFunction，錨點(diǎn)功能）；TS33.512AMF及TS33.514UDM新增安全要求。其中，AMF網(wǎng)元新增2項(xiàng)特定安全要求，包括NAS完整性檢查失敗、AS安全上下文傳遞；UDM網(wǎng)元新增2項(xiàng)特定安全要求，包括ECIES保護(hù)方案生成SUCI使用的ProfileB安全檢查；AAnf網(wǎng)元新增1項(xiàng)特定安全要求，AKMA密鑰存儲(chǔ)和更新；MnF及PCF目前5G網(wǎng)絡(luò)核心網(wǎng)功能目前主要采用虛擬化技術(shù)實(shí)現(xiàn)，原有物理實(shí)體設(shè)備相關(guān)的要求和測(cè)試方法并不完全適用于虛擬化的設(shè)備，因此需要制定面向虛擬化網(wǎng)元的相關(guān)保障要求。尤其是，對(duì)于虛擬化的網(wǎng)元設(shè)備還需要虛擬化網(wǎng)元MANO（MANagementandOrchestration，管理和編排系統(tǒng)）的支撐。因此還需要對(duì)該系統(tǒng)進(jìn)行安全保障的定義，以保證整個(gè)虛擬化網(wǎng)元的系統(tǒng)受到完整的安全保護(hù)。其標(biāo)準(zhǔn)體系在虛擬化特定安全要求方面（3GPPTS33.527），新增6項(xiàng)特定安全要求，主要包括VNF軟件包和VNF鏡像完整性保護(hù)、GVPN生命周期管理安全、安全的執(zhí)行環(huán)境、從可信VNF鏡像實(shí)例化VNF、流量MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展依托IMT-2020(5G)推進(jìn)組安全工作組，已經(jīng)完成《5G安全試驗(yàn)設(shè)備安全保障測(cè)試規(guī)范-通用部分》《5G安全試驗(yàn)設(shè)備安全保障測(cè)試規(guī)范-基站》《5G安全試驗(yàn)設(shè)備安全保障測(cè)試規(guī)范-核心網(wǎng)設(shè)備》《5G安全試驗(yàn)設(shè)備安全保障測(cè)試規(guī)范-核心網(wǎng)設(shè)備（第二階段規(guī)范）》。在CCSATC5WG5已經(jīng)完成《移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障通用要求》《5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障要求核心網(wǎng)網(wǎng)絡(luò)功能信網(wǎng)絡(luò)設(shè)備安全保障要求基站設(shè)備》《5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障要求核心網(wǎng)網(wǎng)絡(luò)功能（第二階組，更新5G安全試驗(yàn)設(shè)備安全保障測(cè)試規(guī)范，在CCSATC5WG5更新5G移動(dòng)通信網(wǎng)絡(luò)設(shè)備安全保障要通信感知一體化（簡(jiǎn)稱(chēng)“通信感知”）是無(wú)線通信系統(tǒng)新的基礎(chǔ)特性之一，旨在通過(guò)軟硬件資源共享或信息共享，實(shí)現(xiàn)感知與通信功能的協(xié)同，從而提升系統(tǒng)頻譜效率、硬件效率和信息處理效率，進(jìn)一步增強(qiáng)用戶(hù)體驗(yàn)，如圖16。為了支持包括智慧低空、智慧城市、智慧交通、智慧家居等垂直應(yīng)用領(lǐng)域的智能化應(yīng)用，依賴(lài)對(duì)目標(biāo)具有定位、檢測(cè)、跟蹤和識(shí)別等能力感知系統(tǒng)對(duì)客觀事物進(jìn)行感知，以便進(jìn)一步執(zhí)行數(shù)字化智能化處理成為未來(lái)趨勢(shì)。因此，3GPP5G-A考慮在現(xiàn)有5G標(biāo)準(zhǔn)基礎(chǔ)上，利用5G基站及終端作為感知側(cè)，利用5G核心網(wǎng)或終端作為運(yùn)算節(jié)點(diǎn)共同形成一整套端到端的5G無(wú)線通信感MT-2V25G-MT-2V2不同場(chǎng)景和不同的感知功能需求帶來(lái)了多種多樣的安全（包括隱私）挑戰(zhàn)。3GPPS階段定義了保護(hù)感知數(shù)據(jù)免于未經(jīng)授權(quán)的訪問(wèn)、攔截和竊聽(tīng)的安全（包括隱私）通用需求，對(duì)于不同在通信感知場(chǎng)景下，感知相關(guān)數(shù)據(jù)可分為三類(lèi)，分別是3GPP產(chǎn)生的感知數(shù)據(jù)、非3GPP產(chǎn)生但需要網(wǎng)絡(luò)側(cè)處理的感知數(shù)據(jù)和感知結(jié)果。5G-A系統(tǒng)需要針對(duì)感知全流程全節(jié)點(diǎn)，在感知請(qǐng)求、節(jié)點(diǎn)選擇、感知步驟執(zhí)行、信令交互、數(shù)據(jù)傳輸、數(shù)據(jù)開(kāi)放等流程中引入認(rèn)證、授權(quán)、用戶(hù)知情同意、機(jī)密性保護(hù)、完整性保護(hù)、隱私保護(hù)等技術(shù)進(jìn)行上述數(shù)據(jù)的全生命周期的安全保護(hù)，如圖17。另外，感知過(guò)程中還要注重用戶(hù)隱私的保護(hù)，在對(duì)感知數(shù)據(jù)進(jìn)行處理時(shí)，5G-A網(wǎng)絡(luò)當(dāng)且僅當(dāng)滿(mǎn)足監(jiān)管需求和滿(mǎn)足用戶(hù)MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展標(biāo)準(zhǔn)進(jìn)展方面，現(xiàn)有3GPP標(biāo)準(zhǔn)中，3GPPR19階段SA1討論了5G-A對(duì)通信感知所需的業(yè)務(wù)需求，RAN1對(duì)通信感知的信道建模進(jìn)行可行性研究。SA2和SA3有望在R20階段啟動(dòng)通信感知業(yè)務(wù)針對(duì)通信感知的安全技術(shù)研究需要結(jié)合不同業(yè)務(wù)場(chǎng)景來(lái)討論，目前所有通信感知融合系統(tǒng)的應(yīng)用場(chǎng)景均存在目標(biāo)檢測(cè)和跟蹤功能上的需求，少數(shù)場(chǎng)景對(duì)于環(huán)境監(jiān)測(cè)和運(yùn)動(dòng)監(jiān)測(cè)存在需求，因此考慮具3GPPR18階段，SA2立項(xiàng)了對(duì)IMS（IPmultimediasubsystem，IP多媒體子系統(tǒng)）DC（data技術(shù)的通信業(yè)務(wù)架構(gòu)、接口和流程的研究和標(biāo)準(zhǔn)化針對(duì)上述架構(gòu)，SA3主要關(guān)注IMS媒體控制面服務(wù)化架構(gòu)和DC通道的安全要求。具體來(lái)說(shuō)，IMS媒體控制面的服務(wù)化接口應(yīng)支持認(rèn)證、機(jī)密性和完整性保護(hù)，NF服務(wù)請(qǐng)求要進(jìn)行授權(quán)檢查，IMSDC對(duì)于IMS媒體控制面服務(wù)化架構(gòu)的安全問(wèn)題，主要是媒體控制面節(jié)點(diǎn)之間的安全傳輸，可以復(fù)用MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展對(duì)于DC通道的安全問(wèn)題，IMS需針對(duì)不同的場(chǎng)景實(shí)現(xiàn)端到MF（MediaFunction，媒體功能網(wǎng)元）（即e2DCe，End-to-DC-End）或端到端（即e2e，End-to-End）的加密方式。其中，e2DCe加密的場(chǎng)景下，IMSUE向IMS網(wǎng)絡(luò)發(fā)送具有e2DCe安全指示的SDPOffer消息，IMS網(wǎng)絡(luò)基于該指示信息確定需要進(jìn)行IMS數(shù)據(jù)通道的e2DCe保護(hù)，并建立e2DCe保護(hù)的媒體面；e2e加密場(chǎng)景下，IMSU發(fā)送不帶有e2DCe或e2ae指示的SDPOffer消息，IMS網(wǎng)絡(luò)基于該指示信息確定需要進(jìn)行IMS數(shù)據(jù)通道的e2e保護(hù)，并將SDPO?er消息轉(zhuǎn)發(fā)給被叫網(wǎng)絡(luò)，最后由IMSUE通過(guò)發(fā)起DTLS握手或等待被叫網(wǎng)絡(luò)發(fā)起標(biāo)準(zhǔn)進(jìn)展方面，在3GPPR18版本中，為5G系統(tǒng)定義了IMS媒體控制面服務(wù)化架構(gòu)和DC通道安全，并在TS33.328中進(jìn)行了標(biāo)準(zhǔn)化。當(dāng)前正在制定3GPPR19版本，研究?jī)?nèi)容包括第三方ID安全、Avatar通信安全和DC能力開(kāi)放安全，其中，第三方ID用于用戶(hù)將向被叫用戶(hù)展示第三方身份信息（例如企業(yè)身份），需要解決在NG-RTC使用第三方ID的過(guò)程中，用戶(hù)ID仿冒、篡改的問(wèn)題；Avatar通信場(chǎng)景中可基于用戶(hù)的Avatar模型在對(duì)端呈現(xiàn)渲染后的動(dòng)畫(huà)形象，需要解決AvatarID濫用導(dǎo)致的用戶(hù)冒充問(wèn)題；DC能力開(kāi)放支持外部應(yīng)用功能AF調(diào)用DC能力，需要支持對(duì)AF的認(rèn)證和授權(quán)，以及隱私保護(hù)。國(guó)內(nèi)標(biāo)準(zhǔn)測(cè)距和直通鏈路定位技術(shù)將成為5G-A階段實(shí)現(xiàn)高精度定位的重要手段之一，可用于5G網(wǎng)絡(luò)覆蓋MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展3GPPR18版本中，為5G系統(tǒng)定義了支持測(cè)距和直通鏈路定位的技術(shù)要求。基于測(cè)距的服務(wù)支持通過(guò)PC5接口提供兩個(gè)或多個(gè)UE之間的距離，和/或一個(gè)UE（即目標(biāo)UE）與另一個(gè)UE（即參考UE）之間測(cè)距和直通鏈路定位服務(wù)操作包括三種執(zhí)行方式：①網(wǎng)絡(luò)主導(dǎo)模式，5GCNF參與服務(wù)請(qǐng)求處理和結(jié)果計(jì)算；②UE主導(dǎo)模式，服務(wù)請(qǐng)求處理和結(jié)果計(jì)算由UE執(zhí)行；③網(wǎng)絡(luò)輔助模式，5GCNF參與服務(wù)在服務(wù)操作授權(quán)方面，5G系統(tǒng)應(yīng)針對(duì)測(cè)距/直通鏈路定位服務(wù)的三種操作模式，提供完整的授權(quán)流程機(jī)制，包括服務(wù)操作發(fā)起的授權(quán)、服務(wù)操作結(jié)果開(kāi)放的授權(quán)。在通信安全方面，5G系統(tǒng)應(yīng)針對(duì)測(cè)距/直通鏈路定位服務(wù)執(zhí)行過(guò)程中，為UE之間的通信數(shù)據(jù)提供機(jī)密性、完整性和抗重放保護(hù)，包括單播、在測(cè)距和直通鏈路定位服務(wù)操作中，AF、5GCNF或客戶(hù)端觸發(fā)服務(wù)操作流程，請(qǐng)求對(duì)應(yīng)的UE執(zhí)行測(cè)距和直通鏈路定位服務(wù)，并獲取結(jié)果信息。通過(guò)在UDM中預(yù)配置和創(chuàng)建了UE隱私配置數(shù)據(jù)，具備隱私相關(guān)策略的指示功能，包括：①是否允許測(cè)距/直通鏈路定位服務(wù)；②允許測(cè)距/直通鏈路定位的有效時(shí)間段；允許測(cè)距/直通鏈路定位的地理區(qū)域；③AF/LCS客戶(hù)端和/或測(cè)距直通鏈路定位應(yīng)用標(biāo)識(shí)符列表白名單列表等等。授權(quán)功能實(shí)體在收到服務(wù)請(qǐng)求后與UDM交互來(lái)基于UE的隱私策略執(zhí)行授權(quán)驗(yàn)參與測(cè)距和直通鏈路定位服務(wù)的UE，通過(guò)重用并增強(qiáng)5GV2X安全架構(gòu)，或重用并增強(qiáng)基于ProSe密鑰管理功能（PKMF）的5GProSe安全架構(gòu)，保障UE之間的服務(wù)發(fā)現(xiàn)消息和單播通信消息。其中，為測(cè)距和直通鏈路定位服務(wù)中進(jìn)行單播通信的兩個(gè)UE配置獨(dú)立的會(huì)話密鑰，為測(cè)距和直通鏈路定位服務(wù)中進(jìn)行組播/廣播通信的UE之間配置群組共享的會(huì)話密鑰，用于PC5接口的認(rèn)證，以及機(jī)密性、完整國(guó)際方面，3GPPR18階段TS23.5距服務(wù)和側(cè)鏈路定位安全要求，TS38.355定義了UE之間以及UE與位置管理功能之間的SLPP（SidelinkMT-2V25G-MT-2V2國(guó)內(nèi)方面，CCSATC5WG12在2023年立項(xiàng)并起草了《5G移動(dòng)通信網(wǎng)核心網(wǎng)支持測(cè)距服務(wù)和直通鏈路定位的技術(shù)要求》，標(biāo)準(zhǔn)定義了測(cè)距服務(wù)和直通鏈路定位架構(gòu)、功能要求和關(guān)鍵流程等。TC5WG5在2024年完成了《5G移動(dòng)通信網(wǎng)測(cè)距服務(wù)和側(cè)鏈路定位安全技術(shù)研究》研究課題，研究了測(cè)距服后續(xù)將推動(dòng)CCSA研究課題轉(zhuǎn)為行業(yè)標(biāo)準(zhǔn)，進(jìn)一步指導(dǎo)相關(guān)產(chǎn)品的研發(fā)應(yīng)用，并根據(jù)產(chǎn)業(yè)需求研究AmbientIoT設(shè)備作為一種低功耗、低成本、低復(fù)雜度的設(shè)備，不需要供電或者基于很低的儲(chǔ)電能力，可從環(huán)境中獲取能量，并通過(guò)反向散射或低功率射頻發(fā)送，實(shí)現(xiàn)小數(shù)據(jù)信號(hào)傳輸。由于低成本、環(huán)境供能、免電池等優(yōu)點(diǎn)，AmbientIoT設(shè)備可廣泛應(yīng)用于生產(chǎn)制造、倉(cāng)儲(chǔ)管理、資產(chǎn)盤(pán)點(diǎn)與物流配送AmbientIoT業(yè)務(wù)運(yùn)行過(guò)程中潛在的安全風(fēng)險(xiǎn)包括仿冒攻擊、命令數(shù)據(jù)篡改、命令數(shù)據(jù)竊聽(tīng)等。例如，攻擊者仿冒受害者AmbientIoT設(shè)備，上報(bào)虛假標(biāo)識(shí)，影響盤(pán)存結(jié)果。再如，攻擊者修改寫(xiě)指令中MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展為緩解上述潛在安全風(fēng)險(xiǎn)，5G-A網(wǎng)絡(luò)面向AmbientIoT業(yè)務(wù)需支持輕量化認(rèn)證、數(shù)據(jù)傳輸保護(hù)等安輕量化認(rèn)證方面，由于AmbientIoT設(shè)備本身在計(jì)算、存儲(chǔ)、傳輸方面的局限性，5G-AKA無(wú)法直接應(yīng)用于AmbientIoT設(shè)備，需引入輕量級(jí)的認(rèn)證技術(shù)。目前輕量化認(rèn)證技術(shù)有多樣化的選擇，其中可采用在AmbientIoT設(shè)備中預(yù)配置來(lái)自運(yùn)營(yíng)商的安全參數(shù)（如長(zhǎng)期密鑰），網(wǎng)絡(luò)側(cè)可向AmbientIoT設(shè)備發(fā)送隨機(jī)認(rèn)證參數(shù)，AmbientIoT設(shè)備基于長(zhǎng)期密鑰和隨機(jī)參數(shù)計(jì)算認(rèn)證響應(yīng)，并通過(guò)上行消息發(fā)送給數(shù)據(jù)傳輸保護(hù)方面，3GPP討論了對(duì)上行盤(pán)存業(yè)務(wù)數(shù)據(jù)、下行命令消息數(shù)據(jù)等場(chǎng)景下的數(shù)據(jù)傳輸保標(biāo)準(zhǔn)進(jìn)展方面，3GPP于2024年Q1完成了AmbientIoTR19研究課題立保護(hù)、ID隱私保護(hù)、去活安全保護(hù)、UE讀寫(xiě)器授權(quán)等，相關(guān)議題得到了各方的高度關(guān)注，相關(guān)解決方3GPP在R18中首次啟動(dòng)了網(wǎng)絡(luò)節(jié)能的標(biāo)準(zhǔn)化工作，從時(shí)域、頻域、空域、功率域等多個(gè)維度開(kāi)展了研究與標(biāo)準(zhǔn)化工作，這些研究更多地集中在如何滿(mǎn)足用戶(hù)體驗(yàn)的同時(shí)實(shí)現(xiàn)能源效率，并在網(wǎng)內(nèi)實(shí)現(xiàn)能源效率。同時(shí)5G-A網(wǎng)絡(luò)將能源效率作為一種服務(wù)，允許用戶(hù)在需要時(shí)選擇適當(dāng)?shù)哪茉葱蕵?biāo)準(zhǔn)以及其他網(wǎng)絡(luò)性能參數(shù)，支持將能源效率標(biāo)準(zhǔn)作為通信服務(wù)和應(yīng)用程序服務(wù)的一部分提供給用戶(hù)，向垂直客戶(hù)提供系統(tǒng)性能源消耗或能源效率水平的信息。通過(guò)應(yīng)用程序和網(wǎng)絡(luò)在能源消耗狀態(tài)上更多的互動(dòng)，網(wǎng)絡(luò)也可以對(duì)應(yīng)用程序的不同能源消耗模式做出反應(yīng)或調(diào)整網(wǎng)絡(luò)資源。R19主要研究面向網(wǎng)絡(luò)節(jié)能的5G系統(tǒng)增強(qiáng)技術(shù)，包括為了滿(mǎn)足節(jié)能需求擴(kuò)展現(xiàn)有的操作和過(guò)程、基于NF能源狀態(tài)等網(wǎng)絡(luò)功能選擇/重選機(jī)制、面向節(jié)能的網(wǎng)絡(luò)分析增強(qiáng)技術(shù)等MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展5G-A網(wǎng)絡(luò)可以收集能源信息（如能耗信息、可再生能源信息等）并將這些信息開(kāi)放給應(yīng)用或第三方。收集的數(shù)據(jù)的完整性和保密性對(duì)于產(chǎn)生正確的分析指標(biāo)至關(guān)重要，同時(shí)如果收集能源相關(guān)信息時(shí)缺乏保密性、完整性和重放保護(hù)可能導(dǎo)致信息泄露和信息篡改，因此5G-A應(yīng)對(duì)能源信息進(jìn)行機(jī)密性、在能源信息開(kāi)放過(guò)程中，如果沒(méi)有授權(quán)或足夠的訪問(wèn)控制級(jí)別可能導(dǎo)致信息泄露給不合法的應(yīng)用或者第三方，因此能源相關(guān)信息的生產(chǎn)者和消費(fèi)者應(yīng)相互進(jìn)行身份驗(yàn)證，同時(shí)5G-A網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)對(duì)所開(kāi)3GPP針對(duì)上述問(wèn)題已經(jīng)開(kāi)展了能源信息安全傳輸和能源信息開(kāi)放的雙向認(rèn)證研究，目前在能源信息開(kāi)放的授權(quán)和訪問(wèn)控制技術(shù)方面有待研究，后續(xù)可以深入研究面向能源信息開(kāi)放的細(xì)粒度授權(quán)和訪針對(duì)能源信息安全傳輸，5G-A網(wǎng)絡(luò)的網(wǎng)絡(luò)功能需要支持具有相互認(rèn)證的TLS和HTTPS協(xié)議，網(wǎng)絡(luò)功能確保傳輸中的數(shù)據(jù)通過(guò)加密連接得到保護(hù)，并且只發(fā)送給其他經(jīng)過(guò)認(rèn)證的網(wǎng)絡(luò)功能，從而實(shí)現(xiàn)逐針對(duì)能源信息開(kāi)放的雙向認(rèn)證，由于能源信息通過(guò)NEF向位于5G-A網(wǎng)絡(luò)外面的AF開(kāi)放，因此NEF3GPP在TS22.282中定義了節(jié)能的場(chǎng)景和需求，TS23.700-66中定義了一個(gè)新的網(wǎng)絡(luò)功能來(lái)收集和計(jì)算能源相關(guān)信息，并根據(jù)運(yùn)營(yíng)商的策略向授權(quán)的服務(wù)消費(fèi)者公開(kāi)。新增的網(wǎng)絡(luò)功能根據(jù)在服務(wù)于NF（即NG-RAN和UPF）時(shí)的能量消耗來(lái)確定E2E的能量消耗。TS33.766中研究了節(jié)能面臨的安全威脅、MT-2V25G-A安全關(guān)鍵技術(shù)及標(biāo)準(zhǔn)化進(jìn)展訪問(wèn)控制相關(guān)技術(shù)，并提出潛在的解決方案。積極推動(dòng)能源信息開(kāi)放的細(xì)粒度授權(quán)和訪問(wèn)控制技術(shù)在5G-A將進(jìn)一步向垂直行業(yè)深度賦能，融合應(yīng)用所涉及的安全關(guān)鍵技術(shù)由基礎(chǔ)電信企業(yè)、設(shè)備商、安全廠商、高校及科研院所聯(lián)合開(kāi)展研究，并將形成整體解決方案及相關(guān)安全產(chǎn)品。融合應(yīng)用場(chǎng)景的5G-A增強(qiáng)的網(wǎng)絡(luò)架構(gòu)、關(guān)鍵技術(shù)及新增的應(yīng)用場(chǎng)景，將進(jìn)一步助力5G網(wǎng)絡(luò)深度賦能工業(yè)、電力、交通等垂直行業(yè)。由于5G-A網(wǎng)絡(luò)在垂直行業(yè)應(yīng)用時(shí)，網(wǎng)元設(shè)備的部署建設(shè)和用戶(hù)接入認(rèn)證，涉及接入網(wǎng)、核心網(wǎng)、公網(wǎng)以及各行業(yè)專(zhuān)網(wǎng)等多個(gè)不同域，傳統(tǒng)的中心化信任模型已不能完全滿(mǎn)足移動(dòng)通信網(wǎng)與多樣化專(zhuān)網(wǎng)的可用性、動(dòng)態(tài)性、協(xié)同性需求。同時(shí)，隨著5G-A網(wǎng)絡(luò)所承載業(yè)務(wù)應(yīng)用的重要性不斷增強(qiáng)，亟需提升在更加復(fù)雜多變的攻擊場(chǎng)景下5G-A行業(yè)應(yīng)用的智能化、自動(dòng)化的攻擊和防御能力，增強(qiáng)網(wǎng)元設(shè)備本身的自身安全保障能力。因此，在5G-A與垂直行業(yè)的融合應(yīng)用安全中，應(yīng)有針對(duì)性地引入分布式信任：是指一種去中心化的信任技術(shù)，它不依賴(lài)集中化的權(quán)威機(jī)構(gòu)，而是在區(qū)塊鏈技術(shù)的基礎(chǔ)上，通過(guò)分布