| 标准编号 | GB/T 46462-2025 (GB/T46462-2025) | | 中文名称 | 5G移动通信网通信安全技术要求 | | 英文名称 | Technical requirements on communication security of 5G mobile communication network | | 行业 | 国家标准 (推荐) | | 中标分类 | M04 | | 国际标准分类 | 33.020 | | 字数估计 | 222,294 | | 发布日期 | 2025-10-31 | | 实施日期 | 2026-02-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 46462-2025: 5G移动通信网通信安全技术要求
ICS 33.020
CCSM04
中华人民共和国国家标准
5G移动通信网通信安全技术要求
2025-10-31发布
2026-02-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅶ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 4
3.1 术语和定义 4
3.2 缩略语 6
4 安全架构概述 9
4.1 安全域 9
4.2 5G核心网络边缘的安全功能 10
4.3 5G核心网络中的安全功能 10
5 安全需求与功能要求 11
5.1 通用安全要求 11
5.2 UE安全要求 11
5.3 gNB安全要求 13
5.4 ng-eNB安全要求 15
5.5 AMF安全要求 15
5.6 SEAF安全要求 15
5.7 UDM安全要求 16
5.8 核心网安全要求 16
5.9 安全可视性与可配置性要求 19
5.10 算法与算法选择要求 20
5.11 5G-RG安全要求 21
5.12 NSSAAF安全要求 21
6 UE与5G网络功能实体间的安全流程 21
6.1 主认证与密钥协商 21
6.2 密钥的分层结构及推衍与分发机制 30
6.3 安全上下文 36
6.4 非接入层安全机制 38
6.5 RRC安全机制 42
6.6 接入层用户面安全机制 42
6.7 安全算法协商 45
6.8 状态转换安全处理 50
6.9 移动性管理安全 58
6.10 双连接安全 67
6.11 RRC连接重建过程的安全处理 73
6.12 用户隐私保护 74
6.13 PDCPCOUNT核查的信令流程 77
6.14 漫游引导安全机制 77
6.15 通过UDM控制面的UE参数更新的安全机制 81
6.16 5G蜂窝物联网安全 83
7 非蜂窝接入5G核心网络的安全 87
7.1 接入安全原则 87
7.2 对不可信的非蜂窝接入的认证安全流程 88
7.3 可信非蜂窝无线接入的安全流程 91
7.4 有线接入安全流程 96
8 互操作安全 100
8.1 通用安全要求 100
8.2 基于N26接口的从EPS到5GS的移动性注册安全流程 100
8.3 基于N26接口的从5GS到EPS的切换流程 101
8.4 基于N26接口的从EPS到5GS的切换流程 104
8.5 基于N26接口的从5GS到EPS的空闲态移动安全流程 107
8.6 安全上下文的映射 109
8.7 无N26接口的单注册互操作安全 110
9 非服务化接口安全 110
9.1 基本原则 110
9.2 N2接口的安全机制 110
9.3 N3接口的安全机制 111
9.4 Xn接口的安全机制 111
9.5 使用GTP或者DIAMETER协议接口的安全机制 111
9.6 gNB内部接口的安全保护机制 111
9.7 5G核心网内部非基于服务的接口安全机制 112
10 IMS紧急呼叫安全 113
10.1 通过身份认证的IMS紧急呼叫 113
10.2 未经身份认证的IMS紧急呼叫 114
11 UE通过5G网络与外部数据网络之间交互的安全流程 116
11.1 基于EAP的与外部数据网络的AAA服务器之间的次认证通用要求 116
11.2 次认证流程 116
11.3 重认证流程 119
11.4 次认证授权的撤回 120
12 网络开放功能实体(NEF)的安全保护 120
12.1 基本原则 120
12.2 双向认证 120
12.3 NEF与AF之间的安全保护 120
12.4 对AF请求的授权验证 120
12.5 对CAPIF的支持 121
13 服务化接口安全 121
13.1 网络层或传输层的安全保护 121
13.2 N32接口上的应用层安全保护 123
13.3 认证和静态授权 137
13.4 NF服务请求时的授权 140
13.5 SEPP间的安全能力协商 151
14 安全服务 152
14.1 AUSF提供的安全服务 152
14.2 UDM提供的安全服务 153
14.3 NRF提供的安全服务 154
15 网络切片管理安全 154
15.1 概述 154
15.2 双向认证 154
15.3 管理服务生产者与使用者之间管理交互的安全保护 155
15.4 管理服务请求消息的授权验证 155
15.5 网络切片安全流程 155
16 非独立组网的双连接安全 161
16.1 基本原则 161
16.2 X2接口的保护 162
16.3 SgNB中DRB(数据无线承载)和/或SRB(信令无线承载)的增加和修改 162
16.4 DRB加/解密/完整性保护和SRB加/解密/完整性保护的激活 162
16.5 在SgNB的PDCP中为无线承载推衍密钥 164
16.6 S-KgNB更新 165
16.7 切换流程 165
16.8 周期性本地认证流程 166
16.9 无线连接失效恢复 166
16.10 避免因DRB类型改变引起的密钥流重用 166
16.11 UE和SgNB间安全 166
17 5G到3G的呼叫连续性安全 167
17.1 NR到UTRAN的呼叫连续性 167
17.2 NR到UTRAN呼叫连续性的紧急呼叫 168
18 5G局域网服务安全 168
18.1 概述 168
18.2 认证和授权 168
18.3 UP安全策略的处理 169
19 时间敏感网络服务安全 169
19.1 概述 169
19.2 启用5GSTSC的 UE的接入安全性 169
19.3 在TSC中保护用户平面数据包括桥接模式下的(g)PTP控制消息 169
19.4 时间同步的接口开放 169
20 5G高可靠低时延安全要求 169
20.1 概述 169
20.2 冗余传输的安全保障 169
20.3 N3/N9接口的冗余传输 170
21 边缘计算安全 170
21.1 概述 170
21.2 网络开放给边缘应用服务器的安全 170
22 用户许可要求 171
22.1 概述 171
22.2 用户同意要求 171
23 增强的5G多播广播业务安全机制 172
23.1 MBSF的要求 172
23.2 MBSTF的要求 172
23.3 xMB-C/MB2-C与xMB-U/MB2-U接口的安全机制 172
23.4 MBS流传输的安全机制 172
23.5 5MBS与eMBMS互通的安全保护 174
24 大规模物联网消息安全 174
24.1 概述 174
24.2 5G物联网消息终端和5G物联网消息服务器之间的认证和授权 174
24.3 5G物联网消息系统接口安全保护 175
24.4 应用服务器与5G物联网消息服务器之间的身份认证与授权 175
24.5 消息网关与5G物联网消息服务器之间的认证与授权 175
附录A(规范性) 加密与完整性保护算法 176
A.1 空加密和完整性保护算法 176
A.2 128比特加密算法 176
A.3 128比特完整性保护算法 177
A.4 安全算法的测试数据 178
附录B(资料性) 基于额外的EAP方式实现主认证 180
B.1 基本原则 180
B.2 初始认证与密钥协商 180
B.3 密钥推衍 184
附录C(规范性) 密钥推衍功能 185
C.1 KDF接口和输入参数构建 185
C.2 KAUSF推衍函数 185
C.3 CK'和IK'推衍函数 185
C.4 RES*和XRES*推衍函数 185
C.5 HRES*和HXRES*推衍函数 186
C.6 KSEAF推衍函数 186
C.7 KAMF推衍函数 186
C.8 算法密钥推衍函数 187
C.9 KgNB和KN3IWF推衍函数 187
C.10 NH推衍函数 188
C.11 目标基站gNB的KNG-RAN*推衍函数 188
C.12 目标基站ng-eNB的KNG-RAN*推衍函数 188
C.13 移动情况下KAMF到KAMF'的推衍 189
C.14 互操作下KAMF到KASME'推衍 189
C.15 互操作下KASME到KAMF'推衍 189
C.16 双连接的KSN的推衍 190
C.17 SoR-MAC-IAUSF生成函数 190
C.18 SoR-MAC-IUE生成函数 190
C.19 UPU-MAC-IAUSF生成函数 191
C.20 UPU-MAC-IUE/UPU-XMAC-IUE生成函数 191
C.21 互操作下KAMF到KASME_SRVCC推衍 191
C.22 KTIPSec和KTNAP推衍函数 191
C.23 KIAB生成函数 192
附录D(规范性) 5G中的EAP-AKA'参数定义要求 193
D.1 概述 193
D.2 用户隐私 193
D.3 用户身份和密钥推衍 194
附录E(规范性) 非公共网络 195
E.1 概述 195
E.2 SNPN中的认证 195
E.3 SNPN的服务网络名称 199
E.4 修改UE中的CAGID列表 199
E.5 SNPN的SUPI隐私 199
E.6 PNI-NPN中的认证 199
E.7 SNPN的授权 199
E.8 SEPP和互联相关安全流程 199
E.9 SNPN中UE在线签约的安全性 200
附录F(规范性) SUCI的保护方法 202
F.1 基本原则 202
F.2 空模式 202
F.3 椭圆曲线加密方案(ECIES) 202
附录G(规范性) 接入回传一体化安全要求 206
G.1 概述 206
G.2 安全要求和功能 206
G.3 IAB节点集成流程 206
G.4 IAB节点与OAM之间的管理数据保护 208
附录H (规范性) 5G系统网络自动化使能安全 209
H.1 概述 209
H.2 NF服务使用者通过DCCF访问数据的授权流程 209
H.3 NF服务使用者通过DCCF访问数据的授权流程(通过 MFAF返回通知) 211
H.4 通过消息框架的数据的安全保护 212
H.5 AF和NWDAF间的数据传输保护 212
H.6 NF之间UE数据的传输保护 212
H.7 用户同意需求 212
参考文献 213
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中华人民共和国工业和信息化部提出。
本文件由全国通信标准化技术委员会(SAC/TC485)归口。
本文件起草单位:中国移动通信集团有限公司、中国信息通信研究院、中兴通讯股份有限公司、上海
诺基亚贝尔股份有限公司、中国信息通信科技集团有限公司、中国联合网络通信集团有限公司、中国电
子科技网络信息安全有限公司、高通无线通信技术(中国)有限公司、华为技术有限公司、北京小米移动
软件有限公司、爱立信(中国)通信有限公司、中国电信集团有限公司、浪潮通信技术有限公司、北京紫光
展锐通信技术有限公司、北京首信科技股份有限公司、郑州信大捷安信息技术股份有限公司、北京浩瀚
深度信息技术股份有限公司、苹果研发(北京)有限公司、恒安嘉新(北京)科技股份公司、西安通和电信
设备检测有限公司、博鼎实华(北京)技术有限公司、北京东方通网信科技有限公司、北京启明星辰信息
安全技术有限公司、新华三技术有限公司。
本文件主要起草人:齐旻鹏、吴荣、平静、刘畅、游世林、袁琦、杨红梅、陆伟、刘为华、章乐怡、姚戈、
徐晖、王俊、杜志敏、李娜、黄晓婷、谢泽铖、白景鹏、郭龙华、田永春、李晓华、张伟强、崔婷婷、陈涛、
庞韶敏、佟婧、郭姝、宋华、孟娟、李星、蒋发群、周雷。
5G移动通信网通信安全技术要求
1 范围
本文件确立了5G移动通信网通信安全架构,规定了5G移动通信网的接入安全、网络安全、用户隐
私防护、安全服务等通信安全技术要求及安全功能,并描述了相关安全流程等。
本文件适用于面向个人、企业等场景下的5G移动通信网络安全架构搭建、安全要求定义与安全能
力实施。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款......
|