《中國聯通：2023中國聯通5G網絡商用密碼應用白皮書（48頁）.pdf》由會員分享，可在線閱讀，更多相關《中國聯通：2023中國聯通5G網絡商用密碼應用白皮書（48頁）.pdf（48頁珍藏版）》請在三個皮匠報告上搜索。

1、中國聯通 5G 網絡商用密碼應用白皮書（2023）中國聯通 5G 網絡商用密碼應用白皮書（2023）中國聯通 5G 網絡商用密碼應用白皮書（2023）中國聯通研究院中國聯通網絡安全研究院下一代互聯網寬帶業務應用國家工程研究中心2023 年 11 月中國聯通 5G 網絡商用密碼應用白皮書（2023）版權聲明版權聲明本報告版權屬于中國聯合網絡通信有限公司研究院，并受法律保護。轉載、摘編或利用其他方式使用本報告文字或者觀點的，應注明“來源：中國聯通研究院”。違反上述聲明者，本院將追究其相關法律責任。中國聯通 5G 網絡商用密碼應用白皮書（2023）目錄目錄前言.1一、商用密碼應用發展現狀及挑戰.41

2、.1 商用密碼概述.41.2 商用密碼發展現狀.41.2.1 法律法規指引.51.2.2 標準體系保障.51.2.3 行業監管要求.61.2.4 產業發展助力.81.3 商用密碼融合發展的挑戰.101.3.1 密碼保障能力及信任體系未完全建立.101.3.2 密碼高性能需求與兼容性成為發展瓶頸.101.3.3 密碼產業鏈供應鏈的融合創新能力不夠強.11二、5G 網絡商密應用體系架構及方案.132.1 5G 網絡密碼應用情況.132.2 5G 網絡商用密碼應用體系架構及方案.152.3 用戶可信接入.182.3.1 基于商用密碼的用戶隱私保護.182.3.2 基于商用密碼的認證流程.192.3.

3、3 基于商用密碼的密鑰派生.212.4 數據通信安全.232.4.1 基于 ZUC 算法的空口安全.23中國聯通 5G 網絡商用密碼應用白皮書（2023）2.4.2 基于商用密碼的用戶面分段傳輸安全.242.4.3 基于商用密碼的控制面傳輸安全.252.5 管理面安全和設備數據安全.252.6 商用密碼安全服務.262.7 商用密碼 5G 專網建設模式.27三、商用密碼在 5G 網絡中的應用實踐.293.1 5G 網絡商用密碼服務基礎設施.293.2 5G+車聯網商用密碼應用實踐.333.3 5G 專網 MANO 商用密碼應用實踐.35四、展望.38附錄 A：縮略語.39參考文獻.43中國聯通

4、 5G 網絡商用密碼應用白皮書（2023）-1-前言前言黨的十八大以來，以習近平同志為核心的黨中央高度重視網絡安全工作，習總書記多次發表重要講話，作出重要指示批示，從黨和國家事業發展全局的高度對網絡安全工作作出一系列新部署新要求。黨的二十大報告指出，“以新安全格局保障新發展格局”，安全在發展中的作用愈發重要。密碼是國家網絡空間的安全基石與核心技術，也是黨的事業和國之重器，密碼工作直接關系國家政治安全、經濟安全、國防安全和網絡安全，直接關系社會組織和公民個人的合法權益，商用密碼工作是密碼工作的重要組成部分，在維護國家安全、促進經濟發展、保護人民群眾利益中發揮著不可替代的重要作用。對密碼發展進行系

5、統性、體系性的研究和探索，進一步挖掘密碼融合創新能力、打造密碼生態和發揮密碼效能，對踐行總體國家安全觀，適應國家治理體系和治理能力現代化要求，充分發揮密碼在數字經濟發展和網絡空間安全中的基礎支撐作用具有重大意義。5G 網絡是數字經濟發展的關鍵支撐，基于大帶寬、低時延、高速率的傳輸特性，不僅帶來更高速、優質的網絡體驗，也為數字經濟發展“修好橋”“鋪好路”。隨著 5G 網絡的飛速發展與行業的不斷融合，行業對安全差異化與精細化的需求更加緊迫，密碼本身作為安全的重要內核，在 5G 中的作用越來越凸顯，尤其近幾年來隨著國際環境的風云變幻，我國自主可控能力需求進一步提升，更加強調商用密碼的應用，特別是重要

6、基礎設施行業，紛紛把網絡建設與商用密碼中國聯通 5G 網絡商用密碼應用白皮書（2023）-2-應用作為“三同步”的重要要求。此外，隨著國家一系列法律法規的出臺，數據安全法、個人信息保護法、密碼法、網絡安全法以及關鍵基礎設施保護條例等相繼實施，有力的指引并推動了商用密碼的應用，不斷拓寬加深密碼在行業應用的廣度與深度，更加強調商用密碼在促進產業數字化轉型、數字產業化等方面的重要作用。為此，加快推進商用密碼在 5G 網絡中的應用落地，充分激發5G 與密碼應用結合的創新能力，提升運營商和行業用戶網絡的自主可控、安全合規能力，保障商用密碼應用的正確、合規、有效具有重要的價值意義。目前，5G 網絡安全防護

7、主要采用國際密碼算法，我國商用密碼僅 ZUC 算法在 5G 網絡 RRC、NAS 信令面以及空口用戶面機密性與完整性保護過程中被作為可選項。在面向工業互聯網典型場景和黨政軍等行業的高安全需求時，5G 網絡由于不具備基于商用密碼的安全能力，無法滿足其高安全需求。隨著 5G 網絡和業務的發展，亟需推進商用密碼技術在 5G 網絡中的應用，填補密碼技術應用空白，筑牢 5G 網絡安全防線。本白皮書詳細闡述了我國商用密碼應用發展現狀，結合 5G 網絡特點，提出了 5G 網絡商密應用體系架構，并給出了商用密碼在 5G網絡中的應用實踐，最終對 5G 網絡商用密碼應用的未來發展趨勢進行了展望，以期為打通商用密碼

8、技術產業鏈上下游，為 5G 網絡商密應用提供參考。中國聯通 5G 網絡商用密碼應用白皮書（2023）-3-編寫單位：編寫單位：中國聯通研究院、中國聯通網絡安全研究院、下一代互聯網寬帶業務應用國家工程研究中心、聯通數字科技有限公司、中國聯通廣東省分公司、中興通訊股份有限公司、三未信安科技股份有限公司、漁翁信息技術股份有限公司編委：編委：中國聯通研究院、中國聯通網絡安全研究院、下一代互聯網寬帶業務應用國家工程研究中心：中國聯通研究院、中國聯通網絡安全研究院、下一代互聯網寬帶業務應用國家工程研究中心：李紅五、葉曉煜、徐雷、張曼君、陸勰、姚戈、王姍姍、謝澤鋮、王蘊實、程筱彪、侯捷、謝中懷、郭新海、傅瑜

9、、陶冶、賈寶軍、李強聯通數字科技有限公司：聯通數字科技有限公司：李廣聚、朱常波、張建榮、張建桁、周凱、魯華偉、韓浩中國聯通廣東省分公司：中國聯通廣東省分公司：潘桂新 李文彬 彭健中興通訊股份有限公司：中興通訊股份有限公司：郝振武，關先鋒，代九龍，祁娟，魏立平三未信安科技股份有限公司：三未信安科技股份有限公司：鹿淑煜、王華龍、張萬濤漁翁信息技術股份有限公司：漁翁信息技術股份有限公司：劉新田中國聯通 5G 網絡商用密碼應用白皮書（2023）-4-一、商用密碼應用發展現狀及挑戰一、商用密碼應用發展現狀及挑戰1.1 商用密碼概述1.1 商用密碼概述根據商用密碼管理條例中的定義，商用密碼是指對不涉及國家

10、秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。目前我國自主研發的商用密碼算法主要包括：SM1、SM2、SM3、SM4、SM7、SM9 和 ZUC 算法，其中，SM1 和 SM7 算法不公開，它們的組合可以為各種需要密碼技術作為支撐的行業應用提供堅實可靠的基礎。商用密碼具有廣泛的應用前景，主要面向不涉及國家秘密內容但又具有敏感性的內部信息、行政事務信息、經濟信息等數據進行加密保護。例如企業敏感信息的傳輸與存儲加密、防止非法第三方獲取數據、安全認證與數字簽名等。1.2 商用密碼發展現狀1.2 商用密碼發展現狀黨的十八大

11、以來，以習近平總書記為核心的黨中央高度重視互聯網、發展互聯網、治理互聯網，形成了網絡強國戰略思想，走出了一條中國特色治網之道，指引我國網信事業取得歷史性成就，商用密碼由此得到全面發展。國內密碼產業鏈不斷完善，國產密碼廠商逐年增加，2020 年商用密碼產品認證目錄頒布后，全國擁有認證商密產品的企業共 551 家。隨著近幾年的發展，密碼產業在法律法規、中國聯通 5G 網絡商用密碼應用白皮書（2023）-5-標準體系、監管考核、產業應用等方面進展顯著，為商用密碼更加廣泛的應用奠定堅實的基礎。1.2.1 法律法規指引1.2.1 法律法規指引隨著網絡安全法密碼法關鍵信息基礎設施安全保護條例個人信息保護法

12、等一系列法律法規的頒布和實施，我國各領域對商用密碼技術和產品的需求將明顯增加，應用需求將持續推動技術進步，商用密碼產業將迎來長期且持續的發展機遇。國家在政策法規層面逐步完善現行商用密碼管理制度，促進商用密碼應用改造，進一步規范商用密碼的使用和管理，保障商用密碼使用有法可依，引導商用密碼產業健康有序發展。2023 年 4 月 27 日，國務院總理李強簽署第 760 號國務院令，公布修訂后的商用密碼管理條例，自 2023 年 7 月 1 日起施行，這就意味著商用密碼應用安全性評估正式由“推薦性”轉為“強制性”。1.2.2 標準體系保障1.2.2 標準體系保障我國高度重視商用密碼國際標準化工作，大力

13、推進以我國自主設計研制的 SM 系列算法為代表的中國商用密碼標準納入國際標準，積極參與國際標準化活動，加強國際交流合作。2011 年 9 月，我國設計的祖沖之（ZUC）算法納入國際第三代合作伙伴計劃組織（3GPP）的 4G 移動通信標準，用于移動通信系統空中傳輸信道的信息加密和完整性保護，這是我國密碼算法首次成為國際標準，ZUC 算法也是5G 網絡中的空口機密性與完整性保護的算法之一，目前，我國正推動 256 比特版本的 ZUC 算法進入 5G 通信安全標準。除此之外，從中國聯通 5G 網絡商用密碼應用白皮書（2023）-6-2015 年 5 月起，我國又陸續向 ISO 提出了將 SM2、SM

14、3、SM4 和SM9 算法納入國際標準提案。2017 年，SM2 和 SM9 算法正式成為 ISO/IEC 國際標準；2018 年，SM3 算法正式成為 ISO/IEC 國際標準；2020 年 4 月，ZUC 算法正式成為 ISO/IEC 國際標準；2021年 3 月，SM9 標識加密算法正式成為 ISO/IEC 國際標準；2021年 6 月 25 日，SM4 分組密碼算法正式成為 ISO/IEC 國際標準；2021 年 10 月，SM9密 鑰 交 換 協 議 作 為 國 際 標 準ISO/IEC11770-3:2021 信息技術密鑰管理第 3 部分:使用非對稱技術的機制的一部分,由國際標準化

15、組織 ISO/IEC 正式發布。這些標志著我國商用密碼算法具有國際領先的技術理論基礎，已經具備了可以廣泛應用商用密碼的條件。1.2.3 行業監管要求1.2.3 行業監管要求隨著頂層法律法規的逐步健全，標準體系的不斷完善，密碼應用更加廣泛，各行業對密碼應用更加強調合規、正確、有效，隨之而來的密碼相關的監管要求工作也在不斷推進。在重要領域和網絡空間推進密碼應用，是貫徹落實網絡強國戰略和密碼法，切實防范重要信息系統安全風險的一項重要舉措。2019年年底，國務院辦公廳印發了 國家政務信息化項目建設管理辦法，明確要求政務信息化項目應同步規劃、同步建設、同步運行密碼保障系統并定期進行評估，對于不符合密碼應

16、用和網絡安全，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統；2021 年 8 月交通運輸部發布的中國聯通 5G 網絡商用密碼應用白皮書（2023）-7-交通運輸領域新型基礎設施建設行動方案 中強調推進商用密碼技術應用；2022 年 12 月電力行業明確密碼應用要求，頒布電力行業網絡安全等級保護管理辦法，其中單列一章（第四章：網絡安全等級保護的密碼管理）明確密碼管理要求；2023 年 3 月交通運輸部，國家鐵路局，中國民用航空局，國家郵政局，中國國家鐵路集團有限公司聯合印發加快建設交通強國五年行動計劃(2023-2027 年)其中第 18

17、條開展網絡和數據安全能力提升行動，明確要求組織實施網絡安全實網攻防演練，加強商用密碼應用推廣。在通信領域，工業和信息化部高度重視商用密碼應用推進工作，2021 年 3 月 11 日成立工業和信息化部商用密碼應用產業促進聯盟成立。聯盟貫徹落實密碼法有關要求，推動工業和信息化領域商用密碼應用和創新發展，進而做大做強商用密碼產業，推動商用密碼產業健康、高質量發展。當前，商用密碼在科技創新、產業發展和應用推廣等方面的落實工作已經初見成效。關鍵信息基礎設施安全是網絡安全防護的重中之重，加快推進密碼在通信領域關鍵信息基礎設施中的應用，構建更加完善的關基安全體系勢在必行。2020 年 4 月，國家密碼管理局

18、組織編寫出版商用密碼應用與安全性評估，監管部門在每年的考核中對商用密碼應用也作了明確要求，對關鍵基礎設施、等保三級以上的信息系統要求開展商用密碼應用安全性評估。2021 年 9 月 1 日起施行關鍵信息基礎設施安全保護條例，2022 年 11 月 7 日，全國信安標委公眾號發布了信息安全技術 關鍵信息基礎設施安全保護要求（GB/T中國聯通 5G 網絡商用密碼應用白皮書（2023）-8-39204-2022）（簡稱“關基安全保護要求”），該標準于 2023年 5 月 1 日正式實施，作為關鍵信息基礎設施安全保護標準體系的構建基礎，明確了密碼技術的應用要求，為運營者開展關鍵信息基礎設施保護工作需求

19、提供了強有力的標準保障。1.2.4 產業發展助力1.2.4 產業發展助力近年來，商用密碼產業鏈體系逐步完善，我國商用密碼產品自主創新能力持續增強，產業支撐能力不斷提升，部分產品性能指標已達到國際先進水平。隨著信息技術產業的持續發展和完善，密碼產品也隨之迭代豐富，現有商用密碼產品達到 3,000 余款，其中 2,200 余款產品取得商用密碼產品認證證書，品類涵蓋了密碼芯片、密碼板卡、密碼整機、密碼系統等全產業鏈條，形成了完整的商用密碼產品體系。隨著商用密碼“放管服”改革的深入推進，預計商用密碼從業單位和產品數量將得以進一步增長。從密碼技術的產業鏈成熟度看，上、中、下游的密碼技術發展勢頭強勁。密碼

20、產業鏈上游包括安全芯片、印刷電路板、服務器三大類，基本形成了能夠覆蓋目前所需的密碼相關的技術、產品和服務，技術成熟度越來越高；中游主要是以密碼技術為核心的產品，包括密碼機/密碼卡、數字證書、VPN、令牌、電子簽章、量子加密六大類；下游主要是軟件、系統集成及應用領域。密碼整個產業鏈具有完整的體系，能夠為各行各業提供密碼相關的技術、服務和產品。此外，隨著我國網絡安全政策法規的逐步推進、產業生態日益完善和安全需求的深化演進，我國網絡安全產業發展進入快車道。據 IDC 統計，我國 IT 安全產業規模 2023 年預計達 136.26 億中國聯通 5G 網絡商用密碼應用白皮書（2023）-9-美元（約

21、941.16 億元），同比增長 18.07%，到 2026 年，IT 安全市場投資規模將達到 319 億美元，其中安全軟件的市場占比將超過安全硬件，軟件占比在 2026 年將達到 41%。密碼作為網絡信任體系的重要基石，涵蓋數據加密、身份認證、消息認證三大場景，伴隨我國網安建設由“合規驅動”向“事件驅動”轉型，密碼技術重要性更加凸顯，據賽迪研究院預測，2023 年我國商用密碼市場規模有望達 985.85 億元，同比增長 39.32%。伴隨著商用密碼應用安全性評估的要求、信創產業的發展，我國商密產業發展速度將持續提升，未來需求將在 ICT 基礎設施、物聯網、數字經濟等更廣泛領域滲透，商密市場規模

22、將不斷擴大。圖 1 我國商用密碼行業及市場發展規模（數據來源：IDC，賽迪，西南證券）中國聯通 5G 網絡商用密碼應用白皮書（2023）-10-圖 2 商用密碼產業鏈（資料來源:商用密碼行業發展機遇報告（2022 年）、國信證券經濟研究所）1.3 商用密碼融合發展的挑戰1.3.1 密碼保障能力及信任體系未完全建立1.3 商用密碼融合發展的挑戰1.3.1 密碼保障能力及信任體系未完全建立雖然密碼的產業鏈和環境在不斷的優化升級，但當下還是面臨一些不容小覷的挑戰。在一些關鍵行業，商用密碼并未得到有效實施，一些單位重信息化建設、輕安全保護，信息系統密碼使用不規范、不正確，密碼使用存在不安全情況，在密鑰

23、管理、密碼系統運維等方面存在風險，密碼安全能力建設相對滯后，制度體系不配套等等?？傮w來說，密碼的安全保障能力不足，基于密碼完整的信任體系未全面建立。1.3.2 密碼高性能需求與兼容性成為發展瓶頸1.3.2 密碼高性能需求與兼容性成為發展瓶頸隨著算力網絡、大數據、云計算的不斷發展，對密碼產品的性能要求逐漸提升，低性能成為密碼產品發展受限的瓶頸，傳統的、通用密碼產品已經越來越難做到“廣譜適用”，通用處理器、操作系統、中國聯通 5G 網絡商用密碼應用白皮書（2023）-11-數據庫、中間件等基礎軟硬件產品，對于密碼技術的內生支持尚不充分，兼容性、適配性仍存在問題，這在相當程度上制約了部分復雜場景下商

24、用密碼應用的開展。1.3.3 密碼產業鏈供應鏈的融合創新能力不夠強1.3.3 密碼產業鏈供應鏈的融合創新能力不夠強目前，密碼產業鏈供應鏈優質資源分散，缺乏產業級創新發展基地和密碼產業聚合效應；密碼通用型產品較多，針對行業差異化的需求不能全面滿足，按需定制能力不足；科研機構研究成果轉化能力不夠強，成果落地存在差距。透過商密應用融合發展面臨的挑戰棱鏡，映射到運營商網絡中，主要存在四方面的挑戰：（1）缺乏細粒度的指引性文件（1）缺乏細粒度的指引性文件以關基為例，按照現有的管理規定（網絡安全法（第三十八條），關保條例（第十七條），關基商密應用安全性評估檢測的周期均為每年至少一次，但在實際開展工作中，由

25、于密評體系不夠完善，缺乏通信領域關基商密應用有效、正確、合規的評測抓手，方案應用場景、方案設計、密評機構認證認可等關鍵環節缺乏指導，導致關基商密應用推廣后勁不足。（2）缺乏成熟案例指引（2）缺乏成熟案例指引由于國外算法起步較早，應用范圍較廣，所以對其替換難度較大，周期較長。目前，國內輕量級的改造方案較少，改造難易程度、性能、兼容性等效果影響需要多方評估，缺乏成熟案例指引。中國聯通 5G 網絡商用密碼應用白皮書（2023）-12-（3）高性能密碼資源不夠豐富（3）高性能密碼資源不夠豐富運營商擁有種類繁多、格式各異、數量龐大的數據資源，對數據全生命周期的安全要求較高，隨著網絡的高速發展，算力、網絡

26、、數據、安全密不可分，相應對設備的要求也越來越高，而密碼產品、技術、服務與運營商需求有著明顯差距，導致密碼產品在運營商網絡應用不夠深，不夠廣，響應機制不足。（4）產業上下游耦合度較低（4）產業上下游耦合度較低針對商用密碼在運營商應用的情況來看，目前存在設備廠商、密碼廠商、安全廠商在密碼技術應用產業鏈各環節缺乏聯動。密碼廠商對通信網絡和運營商的需求不了解，設備廠商對商密算法支持度低，支持商用密碼算法的產品體系不豐富，安全廠商兼顧設備商和密碼廠商產品特性，但商密產品體系不完善，產業聯動性不足?；诖?，亟需加快推動商用密碼在基礎電信企業中的應用，針對5G 網絡的商密應用，需要打通商用密碼在 5G 網

27、絡中的應用壁壘，暢通商密應用交流渠道，構建面向 5G 網絡的商用密碼應用能力體系，打造 5G 商密應用“硬實力”，面向行業實際業務場景，為行業提供自主可控、靈活高效、安全合規的 5G 商密應用能力，鍛造基礎電信企業 5G 商密原子能力，筑牢 5G 網絡和行業用戶安全防線。中國聯通 5G 網絡商用密碼應用白皮書（2023）-13-二、5G 網絡商密應用體系架構及方案二、5G 網絡商密應用體系架構及方案2.1 5G 網絡密碼應用情況2.1 5G 網絡密碼應用情況密碼技術是信息安全的核心技術，是網絡安全與信任體系的基石，也同樣是 5G 網絡安全機制的關鍵基礎。在 5G 標準制定過程，國內外標準化組織

28、持續推進密碼技術在5G 中的的應用，滿足用戶接入安全和用戶隱私保護、信令和數據傳輸的機密性和完整性保護、數據存儲的機密性和完整性保護等安全需求，防范空口安全威脅、終端安全威脅、通信網絡安全威脅、基礎設施安全威脅等方面。圖 3 5G 網絡密碼技術應用概況5G 網絡密碼技術主要用于以下方面：（1）5G 用戶可信接入（1）5G 用戶可信接入隱私保護：用戶設備 UE 接入網絡時，應用非對稱等算法對用戶中國聯通 5G 網絡商用密碼應用白皮書（2023）-14-標識 SUPI 進行加密保護，生成 SUCI 標識，防止在空口暴露 SUPI信息。用戶主認證：用戶設備 UE 接入網絡時，使用對稱算法在入網附著過

29、程中與核心網網元 UDM 之間進行雙向認證，防止非授權用戶設備 UE 接入網絡，或者用戶設備 UE 接入偽基站或假冒網絡。用戶二次認證：5G 二次認證支持 EAP 認證協議，有很強的擴展性，對應的認證方式和密碼算法由終端和 AAA 認證服務器協商決定。密鑰派生：在用戶認證成功后，應用散列函數算法進行多層次的密鑰派生，用于密鑰的分發、數據的完整性和機密性保護，以保護根密鑰。（2）數據傳輸安全（2）數據傳輸安全空口安全：基于派生密鑰，使用 SNOW 3G、AES、ZUC 對稱密碼算法，對用戶設備和基站之間的 AS 層信令和數據，以及對用戶設備和核心網之間的 NAS 層信令和數據進行完整性和機密性保

30、護。其中，國產祖沖之算法 ZUC 在網絡中優先級配置低于 SNOW 3G 和AES 算法。用戶面安全：在用戶面接口（N3：gNB-UPF，N6：UPF-DN，N9：UPF-UPF）通過密碼技術建立 IPSec 安全傳輸通道，保證用戶數據傳輸的機密性和完整性?？?制 面 安 全：在 5GC 服 務 化 架 構 中，5GC 網 絡 功 能（AMF/SMF/UDM/NRF/NEF/AUSF 等）之間采用 SBI 接口，建中國聯通 5G 網絡商用密碼應用白皮書（2023）-15-立 HTTPS 安全傳輸通，對控制信令進行完整性和機密性保護；在基站/UPF 與 5GC 控制面之間的 N2、N4 接口建立

31、 IPSec 安全傳輸通信，對控制信令進行完整性和機密性保護。（3）運維安全（3）運維安全設備證書：由運營商為基站、核心網網元簽發證書，支持設備級認證，實現設備準入、設備間認證、設備生命周期管理等功能。管理接口安全：在 EMS/VIM/MANO 等提供運維管理界面的網元中，客戶端使用 HTTPS 接入。在上述場景中，涵蓋終端、基站、核心網設備，其中涉及到終端安全的，如用戶可信接入、空口安全、NAS 安全，3GPP 詳細定義了流程和算法，而對于網元域間安全、運維安全，3GPP 只是給出了安全建議，并沒有定義具體算法。從標準定義和具體的實踐看，5G網絡普遍使用國際通用密碼算法，迫切需要加強國產密碼

32、在 5G 行業專網網絡中的研究和應用。另外，國家已經出臺了 GB/T 39786信息安全技術 信息系統密碼應用基本要求、GMT0115 信息系統密碼應用測評要求、GMT0116 信息系統密碼應用測評過程指南等密碼應用標準規范，需要基于上述標準，指導 5G 網絡國產密碼應用，從而使得其應用最終能夠滿足密碼應用的要求。2.2 5G 網絡商用密碼應用體系架構及方案2.2 5G 網絡商用密碼應用體系架構及方案在 5G 網絡中應用商用密碼技術，總體需要遵循 3GPP、CCSA中國聯通 5G 網絡商用密碼應用白皮書（2023）-16-等國內外標準組織發布的 5G 網絡標準、5G 安全標準、專網標準等要求，

33、面向智能電網、工業互聯網、物聯網等垂直行業，結合具體不同場景的安全需求，在不影響基本業務流程和業務要求的情況下，引入商用密碼技術和產品，從網絡層提供商用密碼防護能力，在密碼算法層面實現對 5G 網絡的自主可控。在 5G 專網網絡環境下，以商用密碼和配套軟硬件平臺為核心，面向多種垂直行業安全需求，實現基于商用密碼 5G 專網模式，在5G 網絡空口側、控制面、用戶面的身份認證、密鑰派生、數據加密、安全通道等功能涉及的密碼算法均采用商用密碼算法，構建一套端到端完全獨立的 5G 商用密碼專網。圖 4 5G 網絡國產商用密碼應用架構（1）用戶可信接入：（1）用戶可信接入：1）隱私保護：基于 SM2 算法

34、，輔之以 SM3/SM4 算法對終端SUPI 加密生成 SUCI，實現用戶身份標識的保護。2）用戶主認證：基于 SM4 算法實現終端與網絡的雙向認證，中國聯通 5G 網絡商用密碼應用白皮書（2023）-17-保證用戶接入的可信性，并基于認證進行密鑰派生。3）密鑰派生：基于 SM3 算法實現分層密鑰派生，密碼算法派生的相關網元有 UDM、AUSF、SEAF、AMF、gNB 及 UE 等，可進一步優化，實現關鍵環節的密鑰派生。（2）數據通信安全：（2）數據通信安全：1）空口安全：使用商用密碼 ZUC 算法進行空口的安全防護，具體包括，UE 與 gNB 之間 AS 層 ZUC128 信令和數據完整性

35、和機密性保護，UE 與 AMF 之間 NAS 層 ZUC128 信令完整性和機密性保護。2）用戶面安全：在 gNB-UPF、UPF-DN、UPF-UPF 等安全傳輸網元之間，基于 SM2/SM3/SM4 算法在網元間建立 IPSec 通道，實現用戶數據傳輸的完整性和機密性。3）控制面安全：在支持 SBI 接口的 5G 核心網網元之間，基于SM2/SM3/SM4 算法在網元間建立 TLS 安全傳輸通道，保證控制信息的安全傳輸；在 gNB-AMF、UPF-SMF 等關鍵接口，建立商用密碼 IPSec 通道。（3）管理和存儲安全：（3）管理和存儲安全：1）管理面安全：EMS、OMC、MANO、VIM

36、 均為 B/S 架構，這些管理設備與網元之間也多采用 B/S 架構，這些接口可進一步采用商用密碼瀏覽器、商用密碼 TLS 安全傳輸等技術，進行身份認證、數據安全傳輸，保證用戶可信接入安全，防范數據被竊取和篡改的風險。中國聯通 5G 網絡商用密碼應用白皮書（2023）-18-2）設備管理：啟動商用密碼證書，支持設備認證、數據簽名、數據機密等功能。3）數據存儲安全：網絡有管理數據、配置數據、工作參數、操作日志等，存在竊取和串改的風險，引入商用密碼技術，保證這些重要數據的安全存儲和使用。目前 5G 網絡密碼應用方面缺少體系性設計指引，尚未建立密碼應用標準體系，中國信息通信研究院牽頭制定 5G 獨立專

37、網場景密碼應用與安全性評估實施指南等規范，可填補這方面的空白。為了使 5G 商用密碼專網滿足國家密碼技術要求，可借鑒成熟的密碼平臺技術框架與技術理念，將國產商用密碼技術融入 5G 基礎網絡，建設 5G 商用密碼專網服務體系，不斷創新，為 5G 行業用戶提供密評合規、密評整改、商用密碼整改、商用密碼數據加密提供統一的密碼安全服務和綜合安全解決方案。通過在不同環節、不同層面引入國產密碼技術，可以根據實際需求，局部或全部引入國產密碼技術，增強 5G 專網的安全。其中管理和存儲安全，主要采用 IT 領域成熟技術，構建管理和數據存儲方面的安全能力。2.3 用戶可信接入2.3 用戶可信接入2.3.1 基于

38、商用密碼的用戶隱私保護2.3.1 基于商用密碼的用戶隱私保護在 3GPP 標準中，UE 首次接入網絡時，5G 網絡支持使用 ECIES算法框架，采用橢圓曲線集成加密等算法實現 SUPI 加密隱藏生成中國聯通 5G 網絡商用密碼應用白皮書（2023）-19-SUCI。商用密碼用戶隱私保護方法將使用相應的國產密碼算法進行替換，實現對 SUPI 的隱藏。5G 商用密碼專網中 ECIES 算法框架中涉及密鑰生成算法、密鑰協商算法、密鑰派生算法、SUPI 加密算法、消息鑒權碼算法等，能夠對應采用 SM2、SM3、SM4 算法，如表 1方案 Profile 所示。表 1 SUCI 的保護方案方案標識符采用

39、算法null-scheme0 x0NULLProfile 0 x1Curve25519；SHA-256；HMACSHA-256；AES128 in CTR modeProfile 0 x2secp256r1；SHA-256；HMACSHA-256；AES128 in CTR modeProfile 0 x3-0 xB（需要標準化）SM2；SM3-256;HMACSM3-256;SM4128 in CTR mode未來標準化保護方案0 x4-0 xB運營商專有保護方案0 xC-0 xF2.3.2 基于商用密碼的認證流程2.3.2 基于商用密碼的認證流程5G 商用密碼專網采用商用密碼算法進行認證向

40、量的生成，在設備和核心網之間進行雙向身份認證，以實現設備安全接入網絡，保護設備與網絡的安全。中國聯通 5G 網絡商用密碼應用白皮書（2023）-20-圖 5 基于國產商用密碼的主認證流程5G 終端入網主認證過程如圖 5 所示，當終端向核心網發起入網注冊請求時，首先由核心網 UDM/ARPF 網元為其生成認證向量 AV，通過 AUSF、SEAF 網元發送到 UE 中，然后 UE 對核心網進行認證并在通過認證后計算 RES*返回給核心網，最后 SEAF、AUSF 網元根據接收到的 RES*對終端進行認證，完成主認證過程。主認證過程中，核心網網元 UDM/ARPF 網元生成認證向量 AV，以及用戶設

41、備 UE 對核心網進行認證并計算 RES*時，如圖 6 所示，其中 EK 為對稱加密算法，在 3GPP 標準中規定為 AES 算法，在構建高安全 5G 獨立專網時，將 EK 由 AES 替換成我國商用密碼算法SM4 即可。中國聯通 5G 網絡商用密碼應用白皮書（2023）-21-RANDEKSQN|AMF|SQN|AMFrotateby r1EKrotateby r3EKrotateby r2EKrotateby r5EKrotateby r4EKOPCc1f1f1*f5f2f3f4f5*OPCOPCOPCOPCc2c3c4c5OPCOPCOPCOPCOPCOPCEKOPOPC圖 6 5G 身

42、份認證向量計算2.3.3 基于商用密碼的密鑰派生2.3.3 基于商用密碼的密鑰派生基于 5G 標準密鑰派生架構，采用 SM3 算法替代原有國外算法，實現密鑰派生函數商用密碼化改造，為主認證、空口安全、AKMA認證等提供相關密鑰。中國聯通 5G 網絡商用密碼應用白皮書（2023）-22-圖 7 5G 密鑰派生層級5G 基本延續了 4G 的密鑰派生方式,其中根密鑰 K 為用戶(UE)與核心網絡的統一認證數據管理(UDM)共享的長期密鑰,整個密鑰派生系統依賴于這一密鑰。密鑰層級的第 2 層是加密算法密鑰(confidentiality key,簡稱 CK)和完整性保護算法密鑰(integrity k

43、ey,簡稱 IK),在 CK 和 IK 的基礎上,具體的派生密鑰包括:KAUSF,KSEAF,KAMF,KNASint,KNASenc,KN3IWF,KgNB,KRRCint,KRRCenc,KUPint和 KUPenc。針對密鑰派生，采用 HMAC SM3 256 算法代替 HMAC SHA256 算法，代替方法有兩種方式：方式一：在密鑰派生每個環節都使用 SM3 算法，涉及 USIM、中國聯通 5G 網絡商用密碼應用白皮書（2023）-23-UE 和 UDM、AUSF、SMF、AMF、gNB 等網元，該方式改造徹底，但工作量大，另外需要專網內的所有網元同步升級，以保證密鑰派生的正確性。方式

44、二：在關鍵環節使用 SM3 算法派生，如在關鍵密鑰 KAUSF派生過程中使用 SM3 算法，這時只涉及 UDM 和 ME。這種方式只需要對歸屬網絡進行改造，不需要對拜訪網絡進行改造，部署方便，并采用兩種異構的派生算法，在一定程度上能夠提升派生密鑰的安全性。2.4 數據通信安全2.4 數據通信安全2.4.1 基于 ZUC 算法的空口安全2.4.1 基于 ZUC 算法的空口安全ZUC 算法在 4G 時代已經被 3GPP 國際標準采納，現在的 5G 終端和網絡設備均已支持 ZUC 算法，已經具備規模應用條件。具體地，在基站上配置 ZUC 算法的優先級最高，開啟 AS 層信令和數據保護，通過 gNB

45、與 UE 派生出的密鑰實現 ZUC-128 完整性和機密性保護能力，并進一步在 AMF 上配置 ZUC 算法優先級最高，開啟 NAS 層信令保護，通過 AMF 與 UE 派生的密鑰實現 ZUC-128 完整性和機密性保護。同時，我國加強運營商、設備制造商、終端、芯片企業及科研院校等的緊密合作，深化國際合作，積極推動 ZUC-256 密碼算法在5G 系統以及未來移動網絡中應用。IMT-2020（5G）推進組密碼算法特設組發布了ZUC-256 算法實現評估報告，對 ZUC-256 密中國聯通 5G 網絡商用密碼應用白皮書（2023）-24-碼算法設計進行了詳細分析和評估；中國信息通信研究院牽頭信息

46、通信芯片開發、設備研制、運營服務等產業單位，對 ZUC-256 算法的工程實現進行了研究評估、推動 ZUC-256 密碼算法成熟、標準化及應用。2.4.2 基于商用密碼的用戶面分段傳輸安全2.4.2 基于商用密碼的用戶面分段傳輸安全5G 網絡用戶數據在用戶面進行傳輸，在用戶終端和目標 DN 網絡中傳輸，除了上述的空口安全，還包括基站-UPF、UPF-DN 等環節，數據經過不同的安全域，這其中包括 N3、N6、N9 等接口。在 5G 行業專網中，引入商用密碼 IPSec 能力，對 5G 用戶面實施分段保護機制。對于 N3 接口，通常在基站內置商用密碼 IPSec 軟硬件功能，在UPF 前置 IP

47、Sec 安全網關，或在 UPF 內置 IPSec 安全網關功能，在基站和 IPSec 安全網關之間建立 IPSec 通道，將需要加密傳輸的數據流在 IPSec 通道中傳輸。對于 N6、N9 接口，需要與對端建立 IPSec 通道，這時可以使用 UPF 配套或內置的 IPSec 安全，也可利用部署在邊界的防火墻的IPSec 功能。中國聯通 5G 網絡商用密碼應用白皮書（2023）-25-圖 8 用戶面分段安全傳輸2.4.3 基于商用密碼的控制面傳輸安全2.4.3 基于商用密碼的控制面傳輸安全5G 控制面接口主要有兩類：一類是 SBI 接口，基于 HTTP2.0，主要用于 5GC 控制面網絡功能網

48、元之間，RFC 8998 ShangMi(SM)Cipher Suites for TLS1.3定義了商用密碼密碼算法在 TLS 中的應用。具體實施時，可以使網元自身支持商用密碼 TLS，也可以部署專用商用密碼代理網關。一類是 Diameter 接口，用于基站/UPF 與 5GC 控制面之間，與用戶面安全傳輸類似，根據安全需求可以部署獨立或內置 IPSec 安全網關，實現不同網元或不同區域之間的數據安全傳輸。2.5 管理面安全和設備數據安全2.5 管理面安全和設備數據安全對于管理面，采用合規的密碼產品和系統，通過數字證書、UKEY、商用密碼瀏覽器、SSL VPN、簽名驗簽服務器等實現對網絡層及

49、應中國聯通 5G 網絡商用密碼應用白皮書（2023）-26-用層身份認證，以及對管理服務器的安全訪問。通過 SSL VPN 安全網關實現 HTTPS 的安全訪問，可卸載 HTTPS 對網元設備資源的占用，提升網元的業務處理性能。對于重要數據，可以引入服務器密碼機等實現重要數據存儲機密性及完整性，并滿足合規要求。2.6 商用密碼安全服務2.6 商用密碼安全服務為了更好的支持 5G 行業專網國產密碼和應用，可借鑒 IT 領域和云計算領域成熟的密碼服務體系，建立 5G 行業專網國產密碼服務體系，滿足密碼測評的技術要求。逐步建立支持國產密碼的密鑰管理系統、密碼機、CA 中心，以及支持商用密碼的云或邊緣

50、云基礎設施。圖 9 5G 網絡商用密碼安全服務目前這方面缺少體系性設計指引，需要協同產業界各方共同努力，開展標準規劃研究，指導相關體系的建立和技術實踐，逐步建立和完善 5G 商用密碼行業專網技術體系。中國聯通 5G 網絡商用密碼應用白皮書（2023）-27-2.7 商用密碼 5G 專網建設模式2.7 商用密碼 5G 專網建設模式根據網絡建設模式，5G 行業專網可分為虛擬專網模式、混合專網模式和獨立專網模式三類，覆蓋行業用戶的局域和廣域業務需求。5G 網絡國產密碼方案支持不同的建設模式，適應不同場景的安全需求。（1）獨立專網模式（1）獨立專網模式獨立專網模式全部為企業獨占網絡設備，為行業建立與公

51、網完全隔離的行業專網，適用于高精制造、電力等專屬需求大、安全要求高、業務連續性要求高等場景。在這種場景下，可以在用戶可信接入、控制面、用戶面、管理面全部采用商用密碼算法，建立一套獨立的端到端 5G 商用密碼專網，獨立建設，獨立演進。圖 10 5G 基于商用密碼的獨立專網（2）混合專網模式（2）混合專網模式混合共用專網模式是指復用部分公網資源，并根據行業用戶需求將部分網絡資源由行業客戶獨享的 5G 專用網絡，適用于政務、工業中國聯通 5G 網絡商用密碼應用白皮書（2023）-28-園區、工廠等有時延要求和數據安全隔離要求的垂直行業領域。在這種場景下，在用戶認證、空口安全、下沉網元用戶面安全采用商

52、用密碼算法，實現用戶的可信接入、從 UE 到 DN 用戶面的商用密碼安全傳輸通道。圖 11 5G 基于商用密碼的混合專網（3）虛擬專網模式（3）虛擬專網模式虛擬專網模式利用 5G 公共網絡資源，通過網絡切片、邊緣計算等技術，向行業用戶提供的能滿足其業務及安全需求的高質量專用虛擬網絡，智慧城市、新媒體、智能交通等場景。在這種場景下，在用戶認證、空口安全、UPF-DN 用戶面安全采用商用密碼算法，實現用戶的可信接入、5G 網絡到企業網絡之間用戶面的商用密碼安全傳輸通道。中國聯通 5G 網絡商用密碼應用白皮書（2023）-29-圖 12 5G 基于商用密碼的虛擬專網依托不同的專網模式，為不同的行業用

53、戶按需提供自主可控、安全合規的 5G 商用密碼應用服務，打造基于商用密碼的 5G 網絡安全創新能力和模式，賦能行業高質量發展。三、商用密碼在 5G 網絡中的應用實踐三、商用密碼在 5G 網絡中的應用實踐3.1 5G 網絡商用密碼服務基礎設施3.1 5G 網絡商用密碼服務基礎設施5G 網絡在面向垂直行業時，呈現出業務系統云化、用戶接入多樣化、場景移動化、管理復雜化的特征，使得密碼應用體系極其繁雜，密碼產品數量、種類繁多，容易產生網絡安全漏洞和隱患。此外，隨著密碼法等相關法律法規的頒布和實施，對信息系統密碼應用提出了規范化要求和密評的規定，針對運營商行業，關基和等保三級以上系統需滿足密評有關要求，

54、然而，目前自身難以對密碼應用體系的合規性和安全性進行評估。為了滿足 5G 網絡和行業用戶在新時代、新場景下的安全需求，建立面向 5G 網絡的商用密碼服務基礎設施，可以為系統和業務應用提供統一、集約的密碼服務，同時滿足 5G 面中國聯通 5G 網絡商用密碼應用白皮書（2023）-30-向行業用戶在安全能力建設過程中的自主可控和安全合規需求。圖 13 5G 網絡商用密碼服務基礎設施5G網絡商用密碼服務基礎設施由5G商用密碼資源池和5G網絡商用密碼服務平臺兩部分組成。5G 商用密碼資源池提供統一的商用密碼基礎能力，由基礎密碼服務單元組成，包含云服務器密碼機、簽名驗簽服務器、時間戳服務器、SSL VP

55、N 網關、IPSEC VPN 網關、數字證書認證系統等；5G 網絡商用密碼服務平臺基于 5G 商用密碼資源池通過統一的密碼服務總線，對 5G MEC 平臺及平臺上的業務應用提供統一的商用密碼服務，能夠面向 5G 網絡數據加解密、安全接入、身份認證等場景提供商用密碼服務能力。5G MEC 與 5G 網絡在結構深度綁定，5G 網絡密碼應用包括5G 終端安全、網絡接入安全、5G MEC 平臺及業務安全、平臺管理中國聯通 5G 網絡商用密碼應用白皮書（2023）-31-四部分。依托于 5G 網絡商用密碼服務基礎設施，提供身份認證、數字簽名、簽名驗證、數據加密、完整性保護等商用密碼服務能力，從而實現身份

56、認證、傳輸加密、存儲加密等國產商用密碼應用。（1）密碼服務總線（1）密碼服務總線把密碼調用接口進行業務級封裝形成統一密碼服務API和SDK，對云平臺上所有業務應用提供統一的密碼服務，提供多租戶的密碼服務能力。支持業務應用的鑒別和密碼服務權限控制；支持密碼服務接口調度，匹配到對應的密碼服務資源；支持日志采集，記錄調用密碼服務的詳細日志。1)身份認證服務提供基于數字證書和密碼技術的身份認證接口類服務，支持手機掃碼認證、USBKey 證書認證等。2)數據加密服務對存儲到數據庫中的個人敏感數據、隱私數據、重要數據進行加密、解密。3)簽名驗簽服務提供數字簽名、簽名驗證、證書驗證等密碼服務。支持數據簽名與

57、驗證、支持文件簽名與驗證；支持證書有效期驗證、CA 根驗證、CRL 驗證等服務，支持證書/證書鏈的導入，支持多 CA 驗證，為業務應用提供專用接口；支持 SM2/SM3/SM4 等商用密碼算法。實現基于 SM2 算法的數字簽名和驗證功能,支持對數據、文件制作數字簽名，簽名結構符合 PKCS#1/PKCS#7 標準；支持驗證符合中國聯通 5G 網絡商用密碼應用白皮書（2023）-32-PKCS#1/PKCS#7 標準的簽名結果，包括 RAW 簽名/驗簽，Attached 簽名/驗簽，Detached 簽名/驗簽等多種簽名驗簽方式。4)完整性保護服務面向重要數據在傳輸以及存儲的完整性保護需求，結合

58、數字證書、簽名驗簽、云密碼機提供完整性保護服務。提供基于消息鑒別碼的完整性保護（HMAC-SM3）算法和基于數字簽名的完整性保護（SM2-SM3）算法，支持數據完整性保護、文件完整性保護服務等。對外提供數據完整性保護接口協議，業務系統可以通過 Restful 接口方式或 SDK 方式調用數據完整性保護服務。5)數字信封及密碼運算服務基于商用密碼算法提供制作與解析數字信封、數據加密解密、數據摘要運算、數據簽名、公鑰加密、私鑰解密等相關密碼運算服務，為應用提供統一的密碼調用方式，支持為云平臺和云上業務系統提供基于數字信封的應用數據加密傳輸及基礎密碼運算服務。（2）密碼平臺管理服務（2）密碼平臺管理

59、服務實現對各類密碼服務接口、服務訂購、應用調用、應用認證、平臺運行等的管理。支持租戶信息管理及服務訂購；支持租戶密碼資源配置與信息管理；支持系統管理員、安全管理員、安全審計員等的系統管理；支持密碼資源狀態監控、統計展示和告警管理。（3）租戶密碼管理服務（3）租戶密碼管理服務為租戶提供密碼資源與應用管理服務門戶。支持租戶密碼資源查看與管理；支持租戶應用配置管理與權限控制；支持密碼服務配置管中國聯通 5G 網絡商用密碼應用白皮書（2023）-33-理與監測管控。（4）密碼資源管理服務（4）密碼資源管理服務負責接入和管理密碼資源池的所有硬件密碼設備和軟件密碼產品。支持密碼資源池和密碼產品配置管理；支

60、持密碼鏡像管理，實現密碼產品虛擬鏡像的制作和管理；支持與云平臺對接，實現密碼鏡像啟停；支持云服務器密碼機資源管理，實現對多臺云服務器密碼機的配置管理和密碼資源編排。3.2 5G+車聯網商用密碼應用實踐3.2 5G+車聯網商用密碼應用實踐5G 網絡安全是車聯網系統中至關重要的部分，隨著車聯網的業務場景的不斷豐富，信息篡改、隱私泄漏等問題層出不窮，給汽車的安全性帶來極大的挑戰。在車聯網中，車輛與平臺之間的認證、車與車之間的認證，車輛涉及數據交換問題，各智能設備實時進行的數據傳輸問題，都需要密碼技術提供安全保障。密碼算法作為安全領域的底層技術，在車聯網安全防護技術架構中起著決定性作用。立足于此，基于

61、 5G 網絡“云網邊端業”融合特點，以車聯網基礎設施車路+MEC+中心云為基礎，構建車聯網“云網邊端業”一體化商用密碼保障體系，提供身份鑒別、安全通道加密、數據加密等商用密碼服務以及跨域互認，實現全方位的商用密碼安全防護。在車輛網的場景中存在兩類密碼應用場景。中國聯通 5G 網絡商用密碼應用白皮書（2023）-34-圖 14 5G+車聯網商用密碼應用（1）云平臺側和端側互聯（1）云平臺側和端側互聯在云平臺側和端側互聯場景中，存在中心云節點、邊緣云節點、車側系統、路側系統等應用主體。通過構建密碼云服務平臺，實現云平臺和云平臺上業務系統對不同關鍵的重要數據、敏感信息、審計日志等重要的數據信息安全的

62、機密性和完整性保護。端側和云平臺側之間的通信過程采用基于數字證書的方式，通過構建端側和云平臺側之間通信數據的機密性和完整性保護，建立基于商用密碼技術的安全通道，解決端側和云平臺側數據傳輸過程中安全不足等問題。中心云平臺和邊緣云平臺之間通信過程，基于 GB/T 36968-2018信息安全技術 IPSec VPN 技術規范的 IPSec VPN，對進行數據備份的設備在通信前進行身份鑒別，并建立安全的數據備份傳輸通道，保障數據傳輸的機密性和完整性保護。（2）端側與端側互聯（2）端側與端側互聯車聯網場景中最核心的是保護車側系統和路側系統在網絡通信中國聯通 5G 網絡商用密碼應用白皮書（2023）-3

63、5-過程中的數據安全。在車側系統與路側系統間采用 V2X 證書為車側系統和路側系統簽發所需的注冊證書、假名證書和應用證書，實現基于商用密碼技術的身份認證，建立安全通道鏈路，保障身份的真實性和數據傳輸過程中的機密性和完整性?；诠ば挪靠尚鸥C書列表和可信域證書列表驗證響應通信雙方的證書，實現跨信任域的身份認證。3.3 5G 專網 MANO 商用密碼應用實踐3.3 5G 專網 MANO 商用密碼應用實踐面向管理面，5G 專網 MANO 實現了 5G 專網的管理和編排，獨立實現網絡部署、更新和擴容等網絡編排能力，在 5G 專網 MANO管理中使用到密碼的需求包括：（1）身份認證（1）身份認證對 MA

64、NO 應用人員和用戶進行基于密碼技術的身份鑒別，防止身份被假冒，保證 MANO 應用人員和用戶身份真實性。（2）數據傳輸安全（2）數據傳輸安全基于密碼技術建立安全的 MANO 管理數據安全傳輸通道，實現MANO 管理數據和指令的安全傳輸，防止被竊取和篡改。（3）日志安全存儲（3）日志安全存儲采用密碼技術實現 MANO 管理日志完整性保護，防止被篡改。（4）重要數據存儲安全（4）重要數據存儲安全NFVO、VNFM、VIM 等各管理單元存儲的管理數據、配置數據、工參數據采用明文存儲，存在被竊取和篡改的風險，采用密碼技術對存儲的數據進行加密，防止被竊取和篡改。中國聯通 5G 網絡商用密碼應用白皮書（

65、2023）-36-（1）總體應用框架（1）總體應用框架針對 5G 專網 MANO 密碼技術應用需求，提出的總體架構部署圖如圖 15 所示：圖 15 5G 專網 MANO 密碼應用總體架構圖（2）身份認證（2）身份認證在 MANO 應用客戶端側安裝商用密碼瀏覽器，為 MANO 用戶分配智能密碼鑰匙（內置數字證書），基于數字證書技術實現 MANO用戶的身份識別。MANO 各用戶通過智能密碼鑰匙進行身份鑒別，智能密碼鑰匙內存放第三方 CA 頒發的個人數字證書。MANO 各管理網元對接簽名驗簽服務器實現 MANO 用戶人員身份的真實性進行鑒別。用戶登錄身份鑒別實現密碼應用中，涉及的密鑰為 SM2 簽名

66、算法公私鑰，涉及的設備為智能密碼鑰匙和簽名驗簽服務器，不存在私鑰明文出現的情況。（3）數據安全傳輸（3）數據安全傳輸5G 專網 MANO 服務端部署 SSL VPN 安全網關，和商用密碼瀏覽器配合完成商用密碼 SSL 安全通道的建立，所有的數據均在此通中國聯通 5G 網絡商用密碼應用白皮書（2023）-37-道內傳輸，實現 MANO 配置和管理數據傳輸的機密性和完整性保護，防止被竊取和篡改。對從 PC 端傳輸到 MANO 應用系統的重要數據如管理數據、配置數據、工參數據等在安全瀏覽器、USB Key 和 SSL VPN 安全網關之間建立的安全傳輸通道中傳輸，通過符合要求的密碼技術保障數據傳輸的

67、機密性、完整性。（4）日志完整性保護（4）日志完整性保護在 MANO 各網元所在網絡內部署服務器密碼機、簽名驗簽服務器等密碼計算資源池，對 MANO 所產生的系統日志、管理日志、操作日志、業務日志等進行完整性保護。在 MANO 各管理單元部署國家密碼管理部門認可的服務器密碼機、簽名驗簽服務器，使用 HMAC-SM3 在日志記錄寫入時進行完整性保護，并在讀取和使用時進行驗證其完整性。（5）數據存儲安全（5）數據存儲安全對 5G 專網 MANO 各管理單元（NFVO、VNFM、VIM 等）所存儲的管理數據、配置數據、工參數據等進行加密和完整性保護。對MANO 各管理單元存儲在數據庫中的敏感數據、業

68、務數據等都可通過服務器密碼機實現存儲的機密性和完整性，防止惡意拖庫、被篡改等風險事件發生。中國聯通 5G 網絡商用密碼應用白皮書（2023）-38-四、展望四、展望密碼技術正在以前所未有的廣度和深度與信息技術相互促進、融合發展,為網絡空間的云計算、大數據、物聯網等應用保駕護航。密碼技術的發展已經不再是單一的領域需求，而是國家、行業、市場及自身發展的切實之需。此外，“放管服”改革將極大拓寬商用密碼市場規模，整個密碼產業面臨一個大發展的機遇，面臨一個藍?？臻g。5G 作為推動數字經濟高質量發展的重要引擎，安全作為數字經濟健康發展的重要保障，統籌推進 5G+商用密碼應用，協同創新，強化商用密碼需求側與

69、供給側互動對接，推出一批具有基礎性、引領性、創新性、示范性、特色鮮明的優秀 5G 商用密碼應用方案，逐步擴大5G 網絡賦能行業的藍海市場是當下 5G 與商用密碼應用的必然發展。堅持 5G+商用密碼應用助力行業用戶高質量數字經濟發展換擋提速是整個產業鏈共同追求的目標，也是壯大生態鏈、提升價值鏈、增強產業鏈的必由之路。目前面向基礎電信企業網絡的商用密碼應用需求日趨細化，聯通將充分發揮網絡安全現代產業鏈鏈長的融通帶動作用，攜手業界各方，共同推動商用密碼在基礎電信網絡中的應用，堅持政府主導、產業聯動，共同打通商用密碼應用產業鏈，暢通商密應用交流渠道，拓寬商密應用范圍，壯大商密應用全景圖，做強做優商密應

70、用能力。面向新征程，未來基于 5G 網絡商用密碼應用發展需要行業產學研用各方力量凝心聚力，通力協作。聯通愿與行業伙伴一起攜手并進，共創未來。中國聯通 5G 網絡商用密碼應用白皮書（2023）-39-附錄 A：縮略語附錄 A：縮略語縮略語全稱釋義5G5th Generation第五代移動通信3GPP3rd Generation PartnershipProject第三代合作伙伴計劃5GC5th Generation CoreNetwork5G 核心網AAAAuthenticationAuthorization Accounting認證授權計費AKMAAuthentication and KeyM

71、anagement forApplications應用層認證和密鑰管理AMFAccess and MobilityManagement Function接入與移動性管理功能ARPFAuthentication CredentialRepository and ProcessingFunction認證憑據存儲和處理功能ASAccess Stratum接入層AUSFAuthentication ServerFunction鑒權服務器功能CACertificate Authority證書機構CCSAChina Communications中國通信標準化協會中國聯通 5G 網絡商用密碼應用白皮書（20

72、23）-40-Standards AssociationCRLCertificate Revocation List證書吊銷列表DNData Network數據網絡EAPExtensible AuthenticationProtocol可擴展認證協議EMSElement ManagementSystem網元管理系統gNBnext Generation Node B下一代 B 節點ICTInformationCommunicationTechnology信息通信技術ISO/IECInternational OrganizationforStandardization/International

73、ElectrotechnicalCommission國際標準化組織/國際電工委員會KMSKey Management System密鑰管理系統MANOManagement andOrchestration管理和編排MECMulti-Access EdgeComputing多接入邊緣計算NASNon Access Stratum非接入控制中國聯通 5G 網絡商用密碼應用白皮書（2023）-41-NEFNetwork ExposureFunction網絡開放功能NFVONetwork FunctionVirtualisation Orchestration網絡功能虛擬化編排NRFNetwork R

74、epositoryFunction網絡存儲功能OMCOperations&MaintenanceCenter操作和運維中心PKCSPublic-Key CryptographyStandards公鑰密碼學標準RANRadio Access Network無線接入網RRCRadios Resource Control無線資源控制SBIService Based Interface服務化接口SEAFSecurity Anchor Function安全錨功能SMFSession ManagementFunction會話管理功能SUCISubscription ConcealedIdentifier簽

75、約用戶隱式標識SUPISubscriber PermanentIdentifier簽約用戶永久標識TLSTransport Layer Security傳輸層安全UDMUnified Data Management統一數據管理中國聯通 5G 網絡商用密碼應用白皮書（2023）-42-UEUser Equipment用戶設備UPFUser Plane Function用戶面功能USIMUniversal SubscriberIdentity Module通用用戶身份識別模塊VIMVirtualised InfrastructureManager虛擬基礎設施管理VNFMVirtualised Ne

76、tworkFunction Manager虛擬化網絡功能管理中國聯通 5G 網絡商用密碼應用白皮書（2023）-43-參考文獻參考文獻1 3GPP TS 23.501:System Architecture for the 5G System.2 3GPP TS 33.501:Security architecture and procedures forthe 5G system.3 YD/T 3628-2019，5G 移動通信網安全技術要求.4 賽迪研究院.2021-2022 年中國商用密碼行業發展白皮書R北京：中國賽迪研究院,2022.5 數觀天下.2021-2022 商用密碼行業分析報

77、告R.北京：數觀天下,2022.6 北京商用密碼行業協會.云密碼服務技術白皮書R北京：北京商用密碼行業協會,2019.中國聯通 5G 網絡商用密碼應用白皮書（2023）-44-戰略決策的參謀者技術發展的引領者產業發展的助推者戰略決策的參謀者技術發展的引領者產業發展的助推者中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院致力于提高核心競爭力和增強核心功能，緊密圍繞聯網通信、算網數智兩大類主業，按照 4+2+X 研發布局，開展面向 C3 網絡、大數據

78、賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國建設，大力發展戰略性新興產業，加快形成新質生產力。聯通研究院現有員工 700 余人，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯通研究院是根植于聯通集團（中國聯通直屬二級機構），服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者，是原創技術策源地主力軍和數字技術融合

79、創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任，按照4+1+X 研發布局，開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發，承擔高質量決策報告研究和專精特新核心技術攻關，致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部，多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工近 700 人，平均年齡 36 歲，85%以上為碩士、博士研究生，以“三度三有”企業文化為根基，發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。態度、速度、氣度有情懷、有格局、有擔當中國聯合網絡通信有限公司研究院地址：北京市亦莊經濟技術開發區北環東路 1 號電話：010-87926100郵編：100176