5G网络商密应用问题研究.pdf

邮电设计技术/2023/08收稿日期：2023-07-101 概述5G 网络是数字经济发展的关键支撑，基于大带宽、低时延、高速率的传输特性，不仅带来更高速、优质的网络体验，也为数字经济发展“修好桥”“铺好路”。随着5G网络的飞速发展及其与行业的不断融合，对行业安全需求的差异化与精细化更加凸显，尤其近几年来随着国际环境的风云变幻，我国自主可控能力需求进一步提升，更加强调商用密码的应用，特别是信息基础设施的需求更加明确。此外，数据安全法 个人信息保护法 密码法 等国家一系列法律法规的出台，有力指引并推动了商用密码的应用，促进商用密码在产业数字化转型、数字产业化等方面的应用1。因此，加快推进商用密码在5G网络中的应用落地，充分激发5G与密码应用结合的创新能力，对于提升运营商和行业用户网络的自主可控、安全合规能力具有重要的意义。目前，5G网络安全防护主要采用国际密码算法，我国商用密码仅有祖冲之算法（ZUC）在5G网络RRC、NAS信令面以及空口用户面机密性与完整性保护过程中被作为可选项。在面向行业用户的高安全需求时，亟需推进商用密码技术在5G网络中的应用，填补商用5G网络商密应用问题研究Research on Application of Commercial Cryptography in 5G Network关键词：5G网络；商用密码；网络架构doi：10.12045/j.issn.1007-3043.2023.08.017文章编号：1007-3043（2023）08-0075-06中图分类号：TN915.08文献标识码：A开放科学（资源服务）标识码（OSID）：摘要：随着5G网络的飞速发展及其与垂直行业的不断融合，人们对安全的差异化与精细化的需求更加迫切。密码作为网络安全的重要内核，在5G中的作用越来越凸显。对我国商用密码发展及5G网络密码的应用进行了简要介绍，同时结合5G网络特点设计了商密应用体系架构，提出了基于商用密码技术的5G专网的3种建设模式。Abstract：With the rapid development of 5G network and its continuous integration with vertical industry，the demand for security differ-entiation and refinement is more urgent.As an important core of security，cryptography plays an increasingly prominent role in5G.Firstly，it introduces the development of commercial cryptography and its application in 5G network.At the same time，combined with the characteristics of 5G network，the commercial secret application system architecture is designed.Finally，three construction modes of 5G private network based on commercial cryptography technology are put forward.Keywords：5G netwrok；Commercial cryptography；Network architecture张曼君1，2，陆勰1，2，姚戈1，2，谢泽铖1，2（1.中国联通研究院，北京 100048；2.下一代互联网宽带业务应用国家工程研究中心，北京 100048）Zhang Manjun1，2，Lu Xie1，2，Yao Ge1，2，Xie Zecheng1，2（1.China Unicom Research Institute，Beijing 100048，China；2.Next GenerationInternet Broadband Service Application National Engineering Research Center，Beijing 100048，China）张曼君，陆勰，姚戈，谢泽铖5G网络商密应用问题研究5G网络安全5G Network Security引用格式：张曼君，陆勰，姚戈，等.5G网络商密应用问题研究 J.邮电设计技术，2023（8）：75-80.752023/08/DTPT密码技术应用空白，筑牢5G网络安全防线。2 商用密码发展现状党的十八大以来，以习近平总书记为核心的党中央高度重视互联网，发展互联网，治理互联网，形成了网络强国战略思想，走出了一条中国特色治网之道，指引我国网信事业取得历史性成就，商用密码由此得到全面发展，国内密码产业链不断完善，在法律法规、标准体系、监管考核、产业应用等方面进展显著，为商用密码更加广泛的应用奠定坚实的基础。2.1 标准体系保障在国际标准化方面，我国高度重视商用密码国际标准化工作，大力推进以我国自主设计研制的SM系列算法为代表的商用密码标准纳入国际标准。2011年 9月，祖冲之算法（ZUC）被纳入 3GPP的 4G移动通信标准，用于移动通信系统空中传输信道的信息加密和完整性保护，这是我国密码算法首次成为国际标准，ZUC算法也是5G网络中的空口机密性与完整性保护的算法之一。此外，从 2017 年起 SM2、SM9、ZUC、SM4算法陆续成为 ISO/IEC国际标准，标志着我国商用密码算法具有国际领先的技术理论基础，已经具备了可以广泛应用的条件。2.2 行业监管要求随着顶层法律法规的逐步健全，标准体系的不断完善，密码应用更加广泛，各行业对密码应用更加强调合规、正确、有效，随之而来的密码相关的监管要求工作也在不断推进。在通信领域，2021年3月11日，工信部商用密码应用产业促进联盟成立。联盟致力于推动商用密码在工业和信息化领域的应用和创新发展。当前，商用密码在科技创新、产业发展和应用推广等方面的落实工作已初见成效。随着 关键信息基础设施安全保护条例 在2021年9月1日正式施行，全国信安标委发布了 信息安全技术关键信息基础设施安全保护要求，该标准于2023年5月1日正式实施，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障2。2.3 产业发展助力近年来，商用密码产业链体系逐步完善，我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，部分产品性能指标已达到国际先进水平。随着信息技术产业的持续发展和完善，密码产品也随之迭代丰富，现有商用密码产品达到 3 000 余款，其中2 200 余款产品取得商用密码产品认证证书，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系3-5。据赛迪研究院预测，2023年我国商用密码市场规模有望达到985.85亿元，同比增长39.32%（见图1）5。除此之外，商用密码应用也更加广泛，在金融、税务、电子商务等关键领域，商用密码的应用成为“刚需”，大幅刺激着基于商用密码技术的安全服务的实战化应用。各行业纷纷设立密码相关的组织，密码应用与创新发展示范基地、行业密码应用研究中心和产业园区建设蓬勃开展，检测认证体系不断健全，标准组织不断完善。通信标准化协会在2022年成立信息通信密码应用特设任务组（ST10），旨在推动信息通信密码应用标准的研制，增强信息通信网络和业务的安全能力。从商用密码在运营商的应用情况来看，目前设备厂商、密码厂商、安全厂商在密码技术应用产业链各图1我国商用密码行业及市场发展规模51 000900800700600500400300200100018.35百分比/%570.66675.24797.12941.1618.3218.0518.071 0009008003002001000403530252015105045百分比/%466.18519.79707.64985.8511.5036.1439.3220202023年我国商用密码市场规模（亿元）202020212022E2023E202020212022E2023E市场规模同比增速20202023年我国网络安全行业市场规模（亿元）年份18.3018.2518.2018.1518.1018.0518.0017.9517.90市场规模/亿元市场规模/亿元市场规模同比增速年份张曼君，陆勰，姚戈，谢泽铖5G网络商密应用问题研究5G网络安全5G Network Security76邮电设计技术/2023/08环节还缺乏有效的联动。基于此，亟需加快推动商用密码在基础电信企业中的应用，打通商用密码在5G网络中的应用壁垒，畅通商密应用渠道，构建面向5G网络的商用密码应用能力体系，打造5G商密应用的“硬实力”。3 5G网络商密应用体系架构及方案3.1 5G网络密码应用情况在5G标准的制定过程中，国内外标准化组织持续推进密码技术在5G网络中应用6-8，满足用户接入安全和用户隐私保护，以及数据传输与存储的机密性和完整性保护等安全需求（见图2）8。5G网络密码技术主要用于以下几个方面。a）5G终端可信接入。（a）隐私保护：用户设备UE接入网络时，应用非对称等算法对签约用户永久标识（Subscriber Permanent Identifier，SUPI）进行加密保护，生成签约用户隐式标识（Subscription Concealed Identifier，SUCI），防止在空口暴露SUPI信息。（b）用户主认证：用户设备（UE）接入网络时，使用对称算法在入网附着过程中与核心网网元 UDM（Unified Data Management）之间进行主认证，防止 UE接入伪基站或假冒网络。（c）用户二次认证：5G二次认证支持EAP（Extensible Authentication Protocol）认证协议，有很强的扩展性，对应的认证方式和密码算法由终端和 AAA（Authentication，Authorization，Accounting）决定。（d）密钥派生：在用户认证成功后，应用散列函数算法进行多层次的密钥派生，用于密钥的分发、数据的完整性和机密性保护。b）数据传输安全。（a）空口安全：基于派生密钥，使用 SNOW3G、AES、ZUC对称流密码算法，对用户设备与基站之间的AS层信令和数据以及用户设备与核心网之间的NAS层信令和数据进行完整性和机密性保护。其中国产祖冲之算法由于在网络中的优先级一般被配置得比较低，在实际应用过程中，被使用的频次不高。（b）用户面安全：在用户面 N3、N6、N9接口建立实现密码技术的IPSec安全传输通道，保证用户数据传输的机密性和完整性。（c）控制面安全：在 5GC 服务化架构中，建立HTTPS安全传输通道，对控制信令进行完整性和机密性保护；在基站/UPF（User Plane Function）与5GC控制面之间的N2、N4接口建立IPSec安全传输通信，对控制信令进行完整性和机密性保护。c）运维安全。（a）设备证书：由运营商为基站、核心网网元签发证书，支持设备级认证，实现设备准入、设备间认证、设备生命周期管理等功能。（b）管理接口安全：在 EMS/VIM/MANO（Management and Orchestration）等提供运维管理界面的网元中，客户端使用HTTPS接入。在上述场景中，涵盖终端、基站、核心网设备，其中涉及到终端安全的，如用户可信接入、空口安全、NAS安全，3GPP详细定义了其流程和算法，而对于网元域间安全、运维安全，3GPP只是给出了安全建议，并没有定义具体算法。另外，国家已经出台了 信息安全技术信息系统密码应用基本要求（GB/T 39786）、图25G网络密码技术应用MANO管理面加密、完保UPF加密、完保NAS安全加密、完保用户面安全用户面安全加密、完保加密、完保认证程序信令安全接入认