IMT-2020(5G)推进组：5G-A安全关键技术及标准化进展 2024

目前，5G进入演进阶段，5G-Advanced（5G-A）作为5G向6G演进的中间阶段，将起到承前启后的关键作用，为5G发展定义新的目标和新的能力，为下一代移动通信网络发展奠定技术基础。5G-A不仅将深化5G技术的现有优势，如超高速率、大容量连接和低时延特性，还将一个版本冻结，标志着5G-A商用第一个可参考版本的发布，将指引5G-A网络向着网络性能的伴随着5G-A网络的演进，5G-A安全机制也需持续演进，以适应网络架构变化和新型安全威胁，为5G-A高质量发展提供重要保障，实现5G-A网络发展与安全相同步。当前，5G-A国际标准化工作已全面展开，5G-A安全也成为业界关注的焦点。现阶段安全研究主要关注如何适配网络智能化、非地面网络接入、公专网等新型网络架构，满足用户隐私保护、认证效率及数据保护要求提升等新安全能力要求，为通信感知、无源物联、实时通信、绿色低碳提供差异化本报告聚焦5G-A新架构、新业务、新场景的安全需求，全面梳理5G-A安全关键技术及标准化进展，提出下一步技术研究及标准化推进方向，为后续5G-A安全技术的研究和应用奠定MT-225GMT-225G-A演进趋势5G-A演进趋势P15G-A安全挑战与需求5G-A安全挑战与需求P15G-A安全标准进展情况5G-A安全标准进展情况P25G-A安全关键技术总体视图5G-A安全关键技术总体视图P35G-A架构演进安全技术5G-A架构演进安全技术P45G-A基础安全增强技术5G-A基础安全增强技术P135G-A新业务场景安全技术5G-A新业务场景安全技术P225G-A标准化建议5G-A标准化建议P32IMT-2020(5G)推进组于2013年2月由中国工业和信息化部、国家发展和改革委员会、科学技术部联合构基于原IMT-Advanced推进组，成员包括中国主要的运营商、制造商、高校和研究机构。推进组是聚合中国产学研用力MT-2V25G-A安全关键技术及标准化进展5G作为数字经济时代万物互联、数据流通的关键信息基础设施，以泛在连接促进人工智能、大数据等各类数字技术融合创新，已成为发展新质生产力的重要一环。随着5G网络的全球商用部署，规模化应用的不断发展，新业务需求和新兴技术涌现，5G网络必将持续演进。5G-A作为5G网络的演进版本，继承了5G核心技术优势，通过软件升级、硬件增强等方式实现速率、时延、连接、能效等性能的2024年6月，3GPPR185G-A第一个版本冻结，标志着5G-A商用第一个可参考版本的发布，未来还二是面向垂直行业的精细化设计，引入eRedCap（enhanceReducedCapability，增强轻量化）、无源物联、行业专网等机制，进一步降低终端成本和功耗，满足行业低成本需求和本地化服务需求，助三是探索融合技术应用，基于AI技术进一步构建5G智能运维能力，提升网络实时感知、预测、决伴随着5G-A网络的演进，5G-A安全机制也需要持续演进，适配网络智能化、非地面网络接入、公专网等新型网络架构，充分满足用户隐私保护、认证效率及数据保护要求提升等新安全能力要求，还1MT-2V25G-AMT-2V2在网络架构演进安全方面，5G-A面向新业务新场景需求，引入了新网元、新组网模式，这些网元有的（例如星载网元）是资源受限的，有的（例如专网下沉网元）部署在行业客户侧，有的（例如智能分析网元）具有新的处理机制，此外也有新网络交互流程的引入（例如联邦学习交互因此上述网元和流程需要设计相应的安全机制来确保身份可信、传输链路安全和数据使用安全等，防范新架构在基础安全技术增强方面，5G-A需要与时俱进，针对现有的证书管理、身份认证、密码算法、能力开放、设备安全保障等机制方面持续演进，以抵御动态变化的攻击。尤其是随着网络与数据安全监在新业务场景安全方面，5G-A引入了通信感知、实时通信、无源物联等新业务场景，这些新业务场景需要在演进的网络架构中增加新的业务处理机制与垂直行业协同交互流程，为用户提供在不同业务场景下更为丰富的业务体验，进一步助力5G网络深入赋能工业、电力、交通，均需要研究新的安全3GPP是全球移动通信标准制定组织，其制定的移动通信标准是全球电信运营商、设备厂商和终端2MT-2V25G-A安全关键技术及标准化进展企业遵循的技术规范。3GPP将5G-A划分为3个版本，即R18、R19和R20，时间大约横跨2021年到2027年。3GPPSA3（安全与隐私组）已经在开展5G-A安全相关标准化工作，包括研究项目和标准项目，具应用认证和密钥管理增强、虚拟化网元安全保障、无人机安全、邻近通信安全等，并重点针对3GPPTS33.501《5G系统安全架构和流程》标准进行了修订。目前正在开展R19阶段的安全标准研究和制定，现此外，由于5G网络安全特性与方案需要与无线接入网和核心网架构紧密结合，因此，除了SA3之外，3GPPSA1，SA2及RAN等工作组的相关研究，也与5G安全标准化工作紧密相关。同时，ETSI（EuropeanTelecommunicationsStandardsInstitute，欧洲电信标准化协会）、ITU-T（ITU-TforITUTelecommunicationStandardizationSector，国际电信联盟电信标准分局）的研究内容也结合国际标准及各方研究情况，5G-A安全技术主要包括三个维度：网络架构演进带来的安全技3MT-2V25G-A安全关键技术及标准化进展术、基础安全增强技术、新业务新场景所涉及的安全技术，如图3所示。具体关键技术将在下文中详细5G时代，网络运维场景更加丰富，业务场景更加复杂，业务体验更加个性化，随着人工智能技术的不断发展和演化，在移动通信网络中引入人工智能技术进行网络功能优化成为一种发展趋势。3GPPR15阶段在核心网新增NWDAF（NetworkDataAnalyticsFunction，网络数据分析功），备模型训练、模型推理等功能。目前，3GPP中已经标准化QoS分析，UE移动性分析，网络性能分析，网元负载分析等分析用例。另外，3GPP进一步引入了数据收集和处理等功能以支持模型R18和R19阶段，TS23.288《针对5G系统（5GS）的架构增强，以支持网络数据分析服务》中对AI/ML（ArtificialIntelligence/MachineLearning，人工智能与机器学习）展AI/ML网络功能，例如：NWDAF分析准确性增强，AI/ML数据漫游、AI/ML数据收集和存储增强，4MT-2V25G-A安全关键技术及标准化进展如图4所示，为支持模型训练，NWDAF可以直接进行数据采集，也可以间接数据采集，例如：通过数据收集协调网元进行；NWDAF之间、NWDAF和应用服务器AF之间可以通过联邦学习技术进行模针对数据收集和处理引入的数据安全风险，使用授权和匿名化等技术对数据进行保护。例如，对于数据跨运营商网络之间流动的场景，数据源需要控制开放的数据的数量，并抽象或隐藏内部网络信针对模型训练引入的隐私保护问题，引入了联邦学习技术，解决数据孤岛问题，保护数据隐私。例如，同一PLMN（PublicLandMobileNetwork，公共陆地移动网络）内部的NWDAF之间可以进行横向或者纵向联邦学习，PLMN内部的NWDAF和内外部的AF之间还可以进行纵向联邦学习。联邦学习过程中，还要关注联邦学习实体之间的授权问题，防止未授权的NWDAF作为联邦学习任务的服务器或客户端。联邦学习通过其独特的分布式架构，实现了在不共享原始数据的情况下进行模型训练，保护了针对模型共享过程引入的模型泄露风险，使用模型授权等访问控制技术，保护模型不被未授权消费者获取。具体来说，5G-A支持基于OAuth2.0模型授权，模型消费者在向模型生产者请求时需要携带标准进展方面，R18阶段主要研究了漫游场景下的智能化分析数据共享安全、联邦学习集群授权、AI（ArtificialIntelligence，人工智能）模型安全防护问题等。3GPP对上述相关安全关键技术在TS5MT-2V25G-A安全关键技术及标准化进展20245G移动通信网安全技术要求（第二阶段）》标准，其中包含对照3GPPR17阶段人工智能安全相关对于网络智能化相关技术研究，建议依托IMT-2020(5G)推进组安全工作组，进一步研究NWDAF网NTN（Non-terrestrialnetwork，非地面网络）是指通过机载或星载的传输中继节点或基站，构建或扩展网络及其分段的技术体系。作为地面蜂窝通信技术的重要补充，NTN通过卫星网络及低空网络与地面5G网络的融合，实现不受地形地貌的限制的全场景按需接入。目前NTN安全研究主要聚焦星地融合场景，3GPP在R19阶段开始研究卫星接入网络中存储和转发场景面临的安全威胁、安全需求和安全卫星处于动态移动过程中，卫星与地面信关站的馈电链路存在不可用的情况。在馈电链路不可用期间，5GAKA（5GAuthenticationandKeyAgreement，第五代认证和密钥协议）过程可能无法完整执行，这将导致认证、授权相关的问题。此外在馈电链路不可用的情况下，卫星将保存UE的连接与注册信息直到馈电链路可用。在此过程中，由于UE（UserEquipmen证和建立NAS/AS（Non-AccessStra6MT-2V25G-A安全关键技术及标准化进展与传统地面移动蜂窝网络相比，终端-卫星之间的服务链路、卫星-卫星之间的星间链路、卫星-信关站之间的馈电链路均使用无线信号传输数据，NTN网络的通信链路面临着通信环境更为开放的问题，导致无线链路更易受到攻击，因此需要保障服务链路、星间链路、馈电链路的安全可靠，为其上卫星节点资源有限，无法部署复杂的安全机制。而现有的接入认证等安全机制存在开销大、易服为应对馈电链路间歇性不可用的安全问题，3GPP针对卫星存储转发操作模式，研究了其接入安全●逆向AKA：不同于5GAKA由核心网生成认证向量，逆向AKA由UE侧生成认证向量。当UE有的上行用户数据，并通过服务链路向卫星发送加密的注册请求，其中包含5GAV、SUCI及首条上行数据。卫星存储这些信息直至重新建立与地面的连接，然后通过馈电链路将其发送至AMF/SEAF。AMF/SEAF进一步处理这些信息，包括与AUSF和UDM/ARPF进行身份验证流程，一旦身份验证成功，AMF/SEAF处理用户数据，确定该区域的下一颗卫星，并向卫星发送包含RES的注册接收消息及可能的下行用户数据。卫星存储这些信息直至服务链路恢复，然后将其转发给UE。UE验证RES并处理接收到的下行数据，完成逆向AKA的过程，如图6所示。通过逆向AKA，可以解决由于馈●UDM上星：为保证馈电链路不可用期间完成用户的身份验证和NAS安全过程，可以选择将7MT-2V25G-A安全关键技术及标准化进展UDM/AUSF上星的方式。在UDM/AUSF上星后，星载UDM中储存用户的订阅和凭证，这部分数据会在馈电链路可用时与地面UDM同步。当在星上完成注册之后，星载UDM可将认证结果发送到地面UDM●临时UEID：为避免临时GUTI在明文发送和多次重用过程中存在的隐私泄露问题，地面核心网可基于上行链路中UE的输入生成临时GUTI，确保每个临时GUTI仅使用一次以增强安全性，保障用户隐私安全。在这个过程中，UE随机生成一个或多个临时UEID并在初始注册流程中发送给卫星，卫星检查唯一性后转发给地面网络，地面核心网根据此临时UEID生成临时GUTI。在与不同卫星的通信中，地面核心网会创建包含不同临时GUTI的消息并转发给相应的卫星，再由卫星转发给UE。UE通过针对通信链路安全防护的需求，服务链路为用户终端与卫星之间的通信链路，可沿用现有3GPP5G-AKA机制进行密钥协商，对服务链路中传输的数据进行加解密和完整性保护。星间链路和馈电链路涉及到卫星以及地面信关站，这些链路的安全防护不属于3GPP标准化的范围。目前业界对于星间链路和馈电链路的安全防护，关注于采用通信双方预存一组相同对称密钥的方式进行数据加解密和完整性针对轻量化安全机制的需求，3GPP暂未开展NTN轻量化安全机制的标准化工作。未来可以考虑在NTN网络中引入轻量化的安全机制，例如采用IPK（公钥安全技术）等非证书标识公钥密码技术进行网8MT-2V25G-A安全关键技术及标准化进展国际上，ITU-TSG17在2024年通过了首个星地融合安全标准的立项X.5G_Sec-FMSC，出的固定、移动及卫星融合网络架构，研究安全需求与安全指南。3GPPS国内方面，CCSATC5WG5于2024年完成《面向5G网络及5G增强的天地一体化网络安全需求与安从技术研究角度，进一步对星地接入认证与隐私保护的关键技术进行研究，并推进对基站上星、核心网上星场景下存在的安全风险与安全需求的研究。从标准制定角度，在3GPP推动卫星存储转发操作模式下的接入安全与隐私保护相关技术的标准化工作，同时在国内CCSA推动NTN相关安全标准，保随着行业客户对网络隔离和功能定制提出了更高要求，运营商将部分定制5GC网元部署到客户园区，此类混合专网模式已成为当前5G专网部署的重要方式之一。运营商的5G核心网络边界随之延伸至客户侧，从而导致运营商5G公共网络及企业园区5G专网面临多点互通后产生的潜在跨域攻击安全威9MT-2V25G-A安全关键技术及标准化进展当专用UPF部署在企业园区5G专网时，被入侵的UPF可能会通过N4接口向公网5GC网络的SMF发起信令攻击。然而，现有的NDS/IP机制无法保护公网或专网免受来自受损专用UPF或SMF的攻击，如DoS攻击、畸形信令信息、拓扑信息暴露等。5G系统需要支持公网和专网的双向拓扑信息隐藏，支持对公网和专网之间N4接口畸形信令消息、错误NF类型信息（根据3GPP规范）的阻断，以及对N4接口当专用UPF和部分控制面网元部署在企业园区5G专网时，专网的控制面NF和公网的控制面NF之间的接口为SBA接口。然而，现有的SBA安全机制无法保护公网或专网免受来自受损NF的攻击，如果NF被入侵，攻击者可能会利用被入侵的NF收集拓扑、发送畸形信息或发起DoS攻击。5G系统需要支持公网和专网的双向拓扑信息隐藏，支持对公网和专网之间SBA接口畸形信令消息、错误NF类型信息（根通过在专网和公网之间的边界部署一个或多个具备安全功能的代理实体，实现间接通信、委托发安全代理实体与专网UPF之间使用NDS/IP机制实现双向认证，并为N4接口通信数据提供机密性、MT-2V25G-A安全关键技术及标准化进展安全代理实体与专网控制面网元之间使用TLS机制实现双向认证，并基于TLS传输保护模式，为安安全代理实体与公网核心网网元之间按照3GPP定义的NDS/IP机制、传输层保护机制实现双向认证安全代理实体通过安全配置DNS数据和访问控制策略，限制专网UPF或控制面网元仅能通过安全针对N4接口和SBA接口的协议和数据特点，安全代理实体支持对至少3类异常流量进行识别和处理：①畸形或异常TCP/IP数据包；②异常IKEv2交换、TLS握手消息包；③不符合3GPP规范的消息包，在部署和实现方式方面，可以根据运营商策略，选择基于服务通信代理（SCP）网元进行功能增强和裁剪的方式实现，也可以选择引入新网元的方式实现，例如引入针解决方案，截止2024年12月已完成TS立项。ITU-TX.1820聚焦公专网协同场景下的通用性安全问题，分析了IMT-2020/5G核心网络由集中式节点和客户本地化节点组成时所面临的特定安全威胁，并规定了国内方面，CCSATC5WG5正在制定行标《5G移动通信网混合专网模式的信令互通网关安全技术后续将持续推动完成3GPP和CCSA在研标准制定，指导相关产品在现网规模应用，并进一步研究Femto基站是专为家庭室内环境、办公环境或其他小覆盖环境下设计的小型基站，Femto基站与用户的宽带网络相连，在本地处理蜂窝移动电话通话，并传输到运营商的核心网络，解MT-2V25G-A安全关键技术及标准化进展数据接入问题。3GPP已经对3G/4GFemto基站相关安全技术进行了标准化，在5G-A阶段对Femto基站接由于Femto基站的部署环境和传统宏基站有很大区别，Femto基站通过运营商不可信的链路（如Internet）连接到运营商的核心网络，运营商的核心网络和运营商不信任的网络直接相连，必然对运营商的核心网络管理带来新的风险。此外，Femto基站部署在不可信的环境中，极易受到恶意用户的攻击，并以Femto基站为跳板，进一步对运营商的核心网络造成威胁。因此，Femto基站需要安全机制来为了应对核心网面临的安全威胁，5G-AFemto基站安全主要解决以Femto基站的引入使得运营商核心网络直接与不安全链路相连，为保障核心网的安全，在站与5G核心网之间引入安全网关，一方面，安全网关对Femto基站进行接入认证，防止仿冒的、未授权的Femto基站接入核心网；另一方面，安全网关与Femto基站建立IPSec隧道，Femto基站与核心网之间安全网关代替核心网实现和Femto基站的双向认证，交互认证后，安全网关与Femto基站之间建立IPSec隧道，保证Femto基站到Femto管理系统和核心网的安全接入，Femto基站与Femto管理系统以及核心网之间的管理面数据、控制面信令和用户面数据都通过安全隧道传输，保证数据的安全传输。安全MT-2V25G-A安全关键技术及标准化进展核心网可以对Femto基站管理员的接入身份进行鉴别，只有通过身份鉴别的管理员才能对Femto基站进行配置管理。安全网关在对Femto基站的设备认证通过后，可支持以EAP-AKA或EAP-AKA’认证方式对Femto管理员进行接入身份认证，通过在核心网中部署配置EAP-AKA认证的AAA服务器，将相关的鉴权参数存储在AAA服务器上，安全网关与AAA服务器互通，提供Femto基站管理员和网络的双Femto基站的某些设置和任务与其当前所处的地理位置密切相关，如某些法规要求Femto基站只能在运营商许可的地理范围内使用，紧急呼叫业务需要能够精确定位Femto基站等。位置限制机制可以确保Femto基站只能在允许的地理位置范围内使用，安全网关或者Femto网管可以根据Femto基站接入的IP地址、接入位置的GPS位置信息、接入位置周围的宏网络位置信息（如LAC、RA、TA信息）验证3GPP在R19阶段启动了关于5GFemto基站安全的标准化工作项目，目前已完成阶段性的研究工作。国内CCSATC5WG5在2023年立项了《5G移动通信网家庭基站动通信网家庭基站安全网关设备的技术要求，包括接入认证、路由转发、攻击防范、报文过滤等安全下一步，从技术研究角度，进一步研究针对5G核心网的拓扑隐藏等关键技术。从标准制定角度，在3GPPR19已完成的研究报告的基础上，继续制定相关的安全标准，保障5GFemto基站和运营商5G核5G系统中，基于数字证书的安全机制广泛应用于基于服务化架构的5G核心网，例如：5G核心网网元之间使用基于数字证书的双向TLS机制进行身份认证和安全通道建立、5G核心网网元之间基于数MT-2V25G-A安全关键技术及标准化进展字证书验证服务授权访问携带的Oauth2.0机制的令牌等。移动通信网络中传统数字证书机制的使用依赖于线下注册、手工配置等方式，效率低、易出错，无法满足服务化架构等场景下的数字证书管理需求。为了能够更好的对SBA内部网元数字证书进行管理，3GPP在5G-A阶段引入了SBA内部证书自动化5G-ASBA中的证书自动化管理关注的场景包括：NF和运营商CA/NF证书自动化管理的前提是5GCNF与运营商CA/RA之间建立初始信任，网元的拉起编排均依赖于网管系统，因此证书管理的初始信任也依赖于网管系统，如下图所示。具体来说，3GPPR18阶段，引入了三种初始信任建立方式：①OAM颁发的初始证书，②OAM预配置的IAK（Initialattestationkey，初始认证密钥③OAM对某些NFprofile参数（至少包括5G-A阶段引入了CMPv2协议来支持证书注册、更新流程的自动化，CMPv2协议是IETF定义的一套成熟的证书管理机制。具体的，证书注册过程中，NF在CMPv2的证书申请消息中携带NF配置的初始信任及其身份标识NFinstanceID，运营商CA校验对应的初始信任和身份标识，如果校验通过，则为其颁发对应的实体证书；证书更新过程中，使用待更新的证书对应私钥对证书更新请求消息进行签名，运营商CA校验签名，如果校验通过，则为其颁发对应的更新证书；终端实体（网元）和RA/CA之间的MT-2V25G-A安全关键技术及标准化进展CMPv2消息传输使用IETFRFC6712中规定的基于HTTP的协议完成，但不强基于服务化架构的5G核心网NF可能需要支持用于不同用途的多个运营商证书，例如TLS身份验证、JSON签名和JSON加密，CA可配置策略来验证证书的用途，并将其添加到颁发的证书中，从而可3GPPR18阶段，上述基于CMPv2协议（证书管理协议，具体参见IETFRFC4210）的SBA相关证书自动化管理技术在TS33.310中进行了标准化；3GPPSA3R19阶段，正在研究如何使用ACME协议进行3GPPSBA内部网元证书自动化管理，与CMPv2协议作为不同的option供运营商选择，ACME（自动证书管理环境）是IETF定义的、旨在简化、自动获取和管理SSL/TLS证书的证书管理协议。国内CCSAST10于2023年也立项了相关研究课题《基于5G服务化架构的自动化证书管理研究》，目前该课题已完对于证书管理相关的技术研究，建议依托IMT-2020(5G)推进组安全工作组，进一步研究证书管理认证技术是网络安全的基本技术，5G设计初期，引入了5G-AKA、EAP-AKA’、AKMA（AuthenticationandKeyManagementforApplications，应用认证与密钥管理）等认证层应用提供灵活的认证和接入机制。但是，传统的主鉴权认证机制依赖于拜访网络触发，归属网络缺乏对漫游用户认证的主动权；另外，之前的AKMA机制仅支持用户在归属网络下时使用，对于漫游场景下的应用认证和网络管理缺乏对应的机制。为了解决上述现有认证机制中存在的局限等，3GPPR18在应用认证与密钥管理方面，5G初期已经引入了AKMA机制，AKMA机制制订了一套流程简化、轻量级的、可适配多种场景的应用层认证和密钥管理架构及流程，利用终端与网络的认证结果，进一步为应用层提供身份认证和会话密钥管理服务。3GPPR18阶段在AKMA现有技术架构下，新增了漫游●漫游场景下使用AKMA的安全机制：在漫游场景下，漫游用户使用AKMA服务前，需到归属网络进行授权校验，确认是否可以在该拜访网络中使用AKMA服务，使用了漫游场景下归属网络提供MT-2V25G-A安全关键技术及标准化进展●引入认证代理提升AKMA认证效率机制：在引入AP（AuthenticationProxy，认证代理）的场景下，UE和AP之间的Ua*接口可以使用TLS进行安全保护，AP和AS（ApplicationServer，应用服务器）之间可以通过NDS/IP技术（IPsec）进行安全保护，另外，R18阶段还标准化了使用DTLS和OSCORE协议进行Ua*接口的保护。在AMKA里引入AP功能可以帮助AP后面的应用服务器AS执行AKMA过程，以在归属网络触发主鉴权技术方面，该机制允许归属网络触发对UE的主鉴权流程，弥补了之前只有拜访网络可以触发主鉴权的限制，增强了归属网络对于漫游用户的控制权。UDM可以根据本地配置策略或者其他网元（比如网管，AAnF）的请求发起主鉴权，主鉴权结束后，UE的位置得到确认，UE的3GPPR18阶段在TS33.535和TS33.501中对上述内容进行了标准化，主要标准化了AKMA漫游场景、认证代理功能支持，以及UDM根据本地策略向UE触发主鉴权的流程；当前国内标准尚不支持该特5G能力开放CAPIF（CommonAPIFramework，通用API架构）是3GPP定义的一个标准能力开放架构，主要目的是为5G网络中的能力开放架构和流程提供规范化能力要求。随着5G应用快速发展，部分如车联网、智能终端游戏等业务场景中，车联网或游戏应用服务器/客户端（API调用者）希望能够调用5G网络对外开放的服务API，以访问或获取5G用户（资源所有者）相关的资源，比如车联网应用获取用户位置信息以执行精准定位，游戏应用请求修改用户QoS数据以优化游戏服务体验，如图12。因此，3GPP在R18版本开展了CAPIF架构增强的研究和标准制定工作，以支持RNAA（Resourceowner-MT-2V25G-MT-2V25G系统需要确保在支持RNAA的CAPIF架构下，当API调用者请求调用服务API以访问或获取资源所有者的资源时，执行必要的安全措施，包括资源所有者授权和撤销，以及引入的新增接口需支持的在支持RNAA的CAPIF架构中使用OAuth2.0框架进行基于令牌的授权，其中API调用者扮演客户端MT-2V25G-A安全关键技术及标准化进展角色，CAPIF核心功能扮演授权服务器角色，AEF扮演资源服务器角色。位于CAPIF核心功能内部的授权功能向资源所有者获取必要的授权，如图13，当API调用者向CAPIF核心功能请求资源所有者资源相关的服务API授权时，CAPIF核心功能基于资源所有者的授权信息判断是否允许并颁发用于RNAA的访现有CPAIF架构中的访问令牌声明内容仅包含API调用者标识，为了支持RNAA能力，访问令牌的资源所有者撤销针对某个资源相关的服务API访问授权时，CAPIF核心功能将触发授权撤销请求，并指对于资源所有者如何通过CAPIF-8接口提供授权信息的详细方法，以及如何保护CAPIF-8接口的安国际方面，在R18阶段，3GPPTS23.222规定了CAPIF架构、功能和流程，包括确定北向实体使用时适用于任何服务API的CAPIF架构要求（如注册、发现、身份管理），以及CAPIF与服务API之间的R19阶段，TR23.700-22研究了CAPIF架构的潜在增强功能，以支持：①资源所有者授权管理；②支持单点登录机制；③更细粒度的访问控制（例如，在服务操作或资源级别）；④支持CAPIF互联服务；⑤RNAA架构增强；⑥服务API状态和AEF状态管理。TR33.700-22国内方面，CCSA在2024年发布了YD/T6019-2024《5G移动通信网络能力开放通用应用程序接口（API）功能架构的安全技术要求》，标准定义了CAPIF架构的安全需求、安全模型和安全流程，未包后续将继续推动3GPPR19研究工作转向标准规范制定，并在CCSA同步开展CAPIF架构第二阶标制定，新增规范支持RNAA特性需要增强的功能要求。同步推动支持RNAA的CAPIF架构在未来新业根据不同地区的法律法规要求，移动通信网络相关业务在涉及到个人信息处理时，需要用户知情同意。因此，3GPP在5G-A阶段新增定义了支持用户同意需要执行的通用安全要求和流程，具体包括用MT-2V25G-A安全关键技术及标准化进展用户同意参数的存储：用户同意参数作为签约数据存储在UDM/UDR中，并且与SUPI/GPSI绑定，此外，用户同意参数还要与数据处理目的绑定，并包括是否授予用户同意；UDM支持检索用户同意参数、用户同意参数变更通知等与用户同意相关的业务；用户同意仅在给予用户同意的时间点之后、撤用户同意参数的校验：任何被视为用户同意执行点的NF都支持从UDM检索用户同意参数，除非获得用户同意，否则不得接受任何服务或数据处理请求。另外，NF应在数据处理之前确定数据处理的目的。如果数据处理的目的不是从服务请求中隐式知道的，则用户同意执行点应请求它或以其他方式拒用户同意参数的撤销：任何被认为是用户同意执行点的NF都支持订阅UDM提供的用户同意参数变更通知。消费者NF可以向UDM订阅用户同意参数变更通知。任何被视为用户同意执行点的NF在收到用户同意撤销通知后，将不再接受被撤销用户同意的数据处理的服务请求。用户同意撤销通知后，任何被视为用户同意执行点的NF都可以通知其他NF停止处理被撤销的用户同意的数据。用户同意撤销通知后，NF（处理与撤销同意相关的数据）应停止处理和收集数据。NF收到撤销用户同意的通知后，可3GPPR18阶段对用户知情同意的上述相关技术进行了标准化，上述用户知情同意相关技术可服务于后续版本中新特性对于个人信息使用的授权检查。同时，未来可能进一步扩展该基本需求以满足更为了促进产业相关方对网络设备的安全性达成共识，确保网络设备制造与运营安全良性发展，3GPP定义了网络设备安全保障的方法论，用来衡量网络设备的安全水平。方法论由3GPP和GSMA联合制定。3GPP标准组织负责制定安全保障相关的安全要求、测试方法等相关标准SCAS（SeCurityAssuranceSpecification，安全保障规范），GSMA负责制定认证流程，产品开发过程的安全性审核要求，以及测试实验室资质认定的审核要求。相关内容在GSMA的NESASG（NetworkEquipmentSecurityAssuranceSchemeGroup，网络设备安全保证计MT-2V25G-A安全关键技术及标准化进展根据业界需求，结合方法论规定方法，3GPP制定了一系列5G网络设备安全保障方法及安全要求，如gNB，AMF，SMF等。除了具体网元的安全保障安全要求，3GPP还制定了通用的安全保障方法及安移动通信系统的安全除了需要设计安全的架构、机制、流程和协议之外，还需要确保安全设计真正被落实。网络设备的安全功能和接口协议已由3GPP制定，然而网络设备自身的安全要求、安全评估5G-A阶段，3GPPR18SCAS规范进一步强化了网元设备安全保障要求，定义了基站、核心网设备安全能力以及网络管理设备新增要求，并扩展制定了面向虚拟化网元设备（特指5G核心网设备）的安3GPPR18TS33.117进一步明确了各网元鲁棒性测试需覆盖的接口协议，主要包括各设备接口传输层及应用层协议。以基站为例，鲁棒性测试需覆盖N2口SCTP及NAGAP协议，N3口UDP及GTP-U协议，Xn口SCTP、XnAP、UDP、GTP-U。针对eSBA，新增SCP场景token验证安全要求。在eSBA场景中，网元直接的服务化认证通过SCP进行，服务提供者需验证服务请求者的token，若完整性校验失MT-2V25G-A安全关键技术及标准化进展3GPPR18TS33.511基站安全要求活动态用户面安全激活等。例如在不活动态用户面安全激活场景中，如果目标gNB/ng-eNB支持UP安全激活状态，则目标gNB/ng-eNB使用UE在最后一个源小区使用的UP安全激活；否则，目标gNB/ng-eNB3GPPR18核心网部分新增TS33.526MnF（ManagementFunction，管理网络功能）、TS33.528PCF（PolicyControlFunction，策略控制功能）、TS33.537AKMAAAnF（AnchorFunction，锚点功能）；TS33.512AMF及TS33.514UDM新增安全要求。其中，AMF网元新增2项特定安全要求，包括NAS完整性检查失败、AS安全上下文传递；UDM网元新增2项特定安全要求，包括ECIES保护方案生成SUCI使用的ProfileB安全检查；AAnf网元新增1项特定安全要求，AKMA密钥存储和更新；MnF及PCF目前5G网络核心网功能目前主要采用虚拟化技术实现，原有物理实体设备相关的要求和测试方法并不完全适用于虚拟化的设备，因此需要制定面向虚拟化网元的相关保障要求。尤其是，对于虚拟化的网元设备还需要虚拟化网元MANO（MANagementandOrchestration，管理和编排系统）的支撑。因此还需要对该系统进行安全保障的定义，以保证整个虚拟化网元的系统受到完整的安全保护。其标准体系在虚拟化特定安全要求方面（3GPPTS33.527），新增6项特定安全要求，主要包括VNF软件包和VNF镜像完整性保护、GVPN生命周期管理安全、安全的执行环境、从可信VNF镜像实例化VNF、流量MT-2V25G-A安全关键技术及标准化进展依托IMT-2020(5G)推进组安全工作组，已经完成《5G安全试验设备安全保障测试规范-通用部分》《5G安全试验设备安全保障测试规范-基站》《5G安全试验设备安全保障测试规范-核心网设备》《5G安全试验设备安全保障测试规范-核心网设备（第二阶段规范）》。在CCSATC5WG5已经完成《移动通信网络设备安全保障通用要求》《5G移动通信网络设备安全保障要求核心网网络功能信网络设备安全保障要求基站设备》《5G移动通信网络设备安全保障要求核心网网络功能（第二阶组，更新5G安全试验设备安全保障测试规范，在CCSATC5WG5更新5G移动通信网络设备安全保障要通信感知一体化（简称“通信感知”）是无线通信系统新的基础特性之一，旨在通过软硬件资源共享或信息共享，实现感知与通信功能的协同，从而提升系统频谱效率、硬件效率和信息处理效率，进一步增强用户体验，如图16。为了支持包括智慧低空、智慧城市、智慧交通、智慧家居等垂直应用领域的智能化应用，依赖对目标具有定位、检测、跟踪和识别等能力感知系统对客观事物进行感知，以便进一步执行数字化智能化处理成为未来趋势。因此，3GPP5G-A考虑在现有5G标准基础上，利用5G基站及终端作为感知侧，利用5G核心网或终端作为运算节点共同形成一整套端到端的5G无线通信感MT-2V25G-MT-2V2不同场景和不同的感知功能需求带来了多种多样的安全（包括隐私）挑战。3GPPS阶段定义了保护感知数据免于未经授权的访问、拦截和窃听的安全（包括隐私）通用需求，对于不同在通信感知场景下，感知相关数据可分为三类，分别是3GPP产生的感知数据、非3GPP产生但需要网络侧处理的感知数据和感知结果。5G-A系统需要针对感知全流程全节点，在感知请求、节点选择、感知步骤执行、信令交互、数据传输、数据开放等流程中引入认证、授权、用户知情同意、机密性保护、完整性保护、隐私保护等技术进行上述数据的全生命周期的安全保护，如图17。另外，感知过程中还要注重用户隐私的保护，在对感知数据进行处理时，5G-A网络当且仅当满足监管需求和满足用户MT-2V25G-A安全关键技术及标准化进展标准进展方面，现有3GPP标准中，3GPPR19阶段SA1讨论了5G-A对通信感知所需的业务需求，RAN1对通信感知的信道建模进行可行性研究。SA2和SA3有望在R20阶段启动通信感知业务针对通信感知的安全技术研究需要结合不同业务场景来讨论，目前所有通信感知融合系统的应用场景均存在目标检测和跟踪功能上的需求，少数场景对于环境监测和运动监测存在需求，因此考虑具3GPPR18阶段，SA2立项了对IMS（IPmultimediasubsystem，IP多媒体子系统）DC（data技术的通信业务架构、接口和流程的研究和标准化针对上述架构，SA3主要关注IMS媒体控制面服务化架构和DC通道的安全要求。具体来说，IMS媒体控制面的服务化接口应支持认证、机密性和完整性保护，NF服务请求要进行授权检查，IMSDC对于IMS媒体控制面服务化架构的安全问题，主要是媒体控制面节点之间的安全传输，可以复用MT-2V25G-A安全关键技术及标准化进展对于DC通道的安全问题，IMS需针对不同的场景实现端到MF（MediaFunction，媒体功能网元）（即e2DCe，End-to-DC-End）或端到端（即e2e，End-to-End）的加密方式。其中，e2DCe加密的场景下，IMSUE向IMS网络发送具有e2DCe安全指示的SDPOffer消息，IMS网络基于该指示信息确定需要进行IMS数据通道的e2DCe保护，并建立e2DCe保护的媒体面；e2e加密场景下，IMSU发送不带有e2DCe或e2ae指示的SDPOffer消息，IMS网络基于该指示信息确定需要进行IMS数据通道的e2e保护，并将SDPOffer消息转发给被叫网络，最后由IMSUE通过发起DTLS握手或等待被叫网络发起标准进展方面，在3GPPR18版本中，为5G系统定义了IMS媒体控制面服务化架构和DC通道安全，并在TS33.328中进行了标准化。当前正在制定3GPPR19版本，研究内容包括第三方ID安全、Avatar通信安全和DC能力开放安全，其中，第三方ID用于用户将向被叫用户展示第三方身份信息（例如企业身份），需要解决在NG-RTC使用第三方ID的过程中，用户ID仿冒、篡改的问题；Avatar通信场景中可基于用户的Avatar模型在对端呈现渲染后的动画形象，需要解决AvatarID滥用导致的用户冒充问题；DC能力开放支持外部应用功能AF调用DC能力，需要支持对AF的认证和授权，以及隐私保护。国内标准测距和直通链路定位技术将成为5G-A阶段实现高精度定位的重要手段之一，可用于5G网络覆盖MT-2V25G-A安全关键技术及标准化进展3GPPR18版本中，为5G系统定义了支持测距和直通链路定位的技术要求。基于测距的服务支持通过PC5接口提供两个或多个UE之间的距离，和/或一个UE（即目标UE）与另一个UE（即参考UE）之间测距和直通链路定位服务操作包括三种执行方式：①网络主导模式，5GCNF参与服务请求处理和结果计算；②UE主导模式，服务请求处理和结果计算由UE执行；③网络辅助模式，5GCNF参与服务在服务操作授权方面，5G系统应针对测距/直通链路定位服务的三种操作模式，提供完整的授权流程机制，包括服务操作发起的授权、服务操作结果开放的授权。在通信安全方面，5G系统应针对测距/直通链路定位服务执行过程中，为UE之间的通信数据提供机密性、完整性和抗重放保护，包括单播、在测距和直通链路定位服务操作中，AF、5GCNF或客户端触发服务操作流程，请求对应的UE执行测距和直通链路定位服务，并获取结果信息。通过在UDM中预配置和创建了UE隐私配置数据，具备隐私相关策略的指示功能，包括：①是否允许测距/直通链路定位服务；②允许测距/直通链路定位的有效时间段；允许测距/直通链路定位的地理区域；③AF/LCS客户端和/或测距直通链路定位应用标识符列表白名单列表等等。授权功能实体在收到服务请求后与UDM交互来基于UE的隐私策略执行授权验参与测距和直通链路定位服务的UE，通过重用并增强5GV2X安全架构，或重用并增强基于ProSe密钥管理功能（PKMF）的5GProSe安全架构，保障UE之间的服务发现消息和单播通信消息。其中，为测距和直通链路定位服务中进行单播通信的两个UE配置独立的会话密钥，为测距和直通链路定位服务中进行组播/广播通信的UE之间配置群组共享的会话密钥，用于PC5接口的认证，以及机密性、完整国际方面，3GPPR18阶段TS23.5距服务和侧链路定位安全要求，TS38.355定义了UE之间以及UE与位置管理功能之间的SLPP（SidelinkMT-2V25G-MT-2V2国内方面，CCSATC5WG12在2023年立项并起草了《5G移动通信网核心网支持测距服务和直通链路定位的技术要求》，标准定义了测距服务和直通链路定位架构、功能要求和关键流程等。TC5WG5在2024年完成了《5G移动通信网测距服务和侧链路定位安全技术研究》研究课题，研究了测距服后续将推动CCSA研究课题转为行业标准，进一步指导相关产品的研发应用，并根据产业需求研究AmbientIoT设备作为一种低功耗、低成本、低复杂度的设备，不需要供电或者基于很低的储电能力，可从环境中获取能量，并通过反向散射或低功率射频发送，实现小数据信号传输。由于低成本、环境供能、免电池等优点，AmbientIoT设备可广泛应用于生产制造、仓储管理、资产盘点与物流配送AmbientIoT业务运行过程中潜在的安全风险包括仿冒攻击、命令数据篡改、命令数据窃听等。例如，攻击者仿冒受害者AmbientIoT设备，上报虚假标识，影响盘存结果。再如，攻击者修改写指令中MT-2V25G-A安全关键技术及标准化进展为缓解上述潜在安全风险，5G-A网络面向AmbientIoT业务需支持轻量化认证、数据传输保护等安轻量化认证方面，由于AmbientIoT设备本身在计算、存储、传输方面的局限性，5G-AKA无法直接应用于AmbientIoT设备，需引入轻量级的认证技术。目前轻量化认证技术有多样化的选择，其中可采用在AmbientIoT设备中预配置来自运营商的安全参数（如长期密钥），网络侧可向AmbientIoT设备发送随机认证参数，AmbientIoT设备基于长期密钥和随机参数计算认证响应，并通过上行消息发送给数据传输保护方面，3GPP讨论了对上行盘存业务数据、下行命令消息数据等场景下的数据传输保标准进展方面，3GPP于2024年Q1完成了AmbientIoTR19研究课题立保护、ID隐私保护、去活安全保护、UE读写器授权等，相关议题得到了各方的高度关注，相关解决方3GPP在R18中首次启动了网络节能的标准化工作，从时域、频域、空域、功率域等多个维度开展了研究与标准化工作，这些研究更多地集中在如何满足用户体验的同时实现能源效率，并在网内实现能源效率。同时5G-A网络将能源效率作为一种服务，允许用户在需要时选择适当的能源效率标准以及其他网络性能参数，支持将能源效率标准作为通信服务和应用程序服务的一部分提供给用户，向垂直客户提供系统性能源消耗或能源效率水平的信息。通过应用程序和网络在能源消耗状态上更多的互动，网络也可以对应用程序的不同能源消耗模式做出反应或调整网络资源。R19主要研究面向网络节能的5G系统增强技术，包括为了满足节能需求扩展现有的操作和过程、基于NF能源状态等网络功能选择/重选机制、面向节能的网络分析增强技术等MT-2V25G-A安全关键技术及标准化进展5G-A网络可以收集能源信息（如能耗信息、可再生能源信息等）并将这些信息开放给应用或第三方。收集的数据的完整性和保密性对于产生正确的分析指标至关重要，同时如果收集能源相关信息时缺乏保密性、完整性和重放保护可能导致信息泄露和信息篡改，因此5G-A应对能源信息进行机密性、在能源信息开放过程中，如果没有授权或足够的访问控制级别可能导致信息泄露给不合法的应用或者第三方，因此能源相关信息的生产者和消费者应相互进行身份验证，同时5G-A网络应实现对所开3GPP针对上述问题已经开展了能源信息安全传输和能源信息开放的双向认证研究，目前在能源信息开放的授权和访问控制技术方面有待研究，后续可以深入研究面向能源信息开放的细粒度授权和访针对能源信息安全传输，5G-A网络的网络功能需要支持具有相互认证的TLS和HTTPS协议，网络功能确保传输中的数据通过加密连接得到保护，并且只发送给其他经过认证的网络功能，从而实现逐针对能源信息开放的双向认证，由于能源信息通过NEF向位于5G-A网络外面的AF开放，因此NEF3GPP在TS22.282中定义了节能的场景和需求，TS23.700-66中定义了一个新的网络功能来收集和计算能源相关信息，并根据运营商的策略向授权的服务消费者公开。新增的网络功能根据在服务于NF（即NG-RAN和UPF）时的能量消耗来确定E2E的能量消耗。TS33.766中研究了节能面临的安全威胁、MT-2V25G-A安全关键技术及标准化进展访问控制相关技术，并提出潜在的解决方案。积极推动能源信息开放的细粒度授权和访问控制技术在5G-A将进一步向垂直行业深度赋能，融合应用所涉及的安全关键技术由基础电信企业、设备商、安全厂商、高校及科研院所联合开展研究，并将形成整体解决方案及相关安全产品。融合应用场景的5G-A增强的网络架构、关键技术及新增的应用场景，将进一步助力5G网络深度赋能工业、电力、交通等垂直行业。由于5G-A网络在垂直行业应用时，网元设备的部署建设和用户接入认证，涉及接入网、核心网、公网以及各行业专网等多个不同域，传统的中心化信任模型已不能完全满足移动通信网与多样化专网的可用性、动态性、协同性需求。同时，随着5G-A网络所承载业务应用的重要性不断增强，亟需提升在更加复杂多变的攻击场景下5G-A行业应用的智能化、自动化的攻击和防御能力，增强网元设备本身的自身安全保障能力。因此，在5G-A与垂直行业的融合应用安全中，应有针对性地引入分布式信任：是指一种去中心化的信任技术，它不依赖集中化的权威机构，而是在区块链技术的基础上，通过分布