ICS 33.020 YD M04 中华人民共和国通信行业标准 YD/T 3628—2019 5G移动通信网 安全技术要求 5G mobile telecommunication network - Technical requirement of 5G security 2019-12-24 发布 2019-12-24实施 中华人民共和国工业和信息化部 发布 YD/T 3628—2019 目 次 前言. IV 1范围 2规范性引用文件.. 3术语、定义和缩略语. 3.1术语和定义 3.2缩略语.. .9 4安全架构概述.. 12 4.1安全域. .12 4.25G核心网络边缘的安全实体 ..12 4.3.5G核心网络中的安全实体 .13 5安全需求与功能要求 13 5.1通用安全需求.. 13 5.2UE安全需求.. 14 5.3gNB安全需求.. 15 5.4ng-eNB安全需求... .17 5.5 AMF安全需求. 17 5.6 SEAF安全需求... 18 5.7 UDM安全需求... 18 5.8 核心网安全需求.. .18 5.9安全可视性与可配置性需求 .20 5.10算法与算法选择需求， 21 6UE与5G网络功能实体间的安全过程 22 6.1主认证与密钥协商.. 6.2密钥的分层结构，推衍与分发机制 .31 6.3安全上下文. .38 6.4非接入层安全机制， .40 6.5 RRC安全机制. 44 6.6 接入层用户面安全机制 44 安全算法协商. 47 6.8 状态转换安全处理. .52 6.9 移动性管理安全.. 6.10 双连接安全 6.11 RRC连接重建过程的安全处理 77 6.12 用户隐私保护 .78 6.13 PDCPCOUNT核查的信令流程 81 YD/T 3628-—2019 6.14漫游更新安全机制 81 6.15通过UDM控制面的UE参数更新的安全机制.. 7非蜂窝接入5G核心网络的安全 87 7.1概述. .. 87 7.2安全过程. 8互操作安全， .90 8.1概述. ..90 8.2N26接口上从EPS到5GS的移动性注册安全流程 .90 8.3N26接口上从5GS到EPS的切换安全流程 .91 8.4N26接口上从EPS到5GS的切换安全流程 .94 8.5N26接口上从5GS到EPS的空闲态移动安全流程， 8.6安全上下文的映射. ..98 8.7无N26接口的单注册互操作安全.. 99 9非基于服务的架构下的接口安全.. .99 9.1概述， .99 9.2N2接口上的安全机制. .99 9.3N3接口上的安全机制.. 9.4Xn接口上的安全机制... .100 9.5 使用GTP或者DIAMETER协议接口上的安全机制.. 9.6gNB内部接口的安全保护机制 ..101 9.75G核心网内部非基于服务的接口安全机制 .101 10IMS紧急呼叫安全， 101 10.1 概述。 ..101 10.2安全流程与适用性。 .101 11UE通过5G网络与外部数据网络之间交互的安全过程。 .105 11.1基于EAP与外部数据网络AAA服务器之间的次认证 105 12网络开放功能实体（NEF）的安全保护 .109 12.1 概述. 12.2 双向认证. .109 12.3 NEF与AF之间的安全保护 12.4对AF请求的授权验证 .109 12.5 对.CAPIF的支持. .109 13基于服务的接口安全 .110 13.1网络层或传输层的安全保护 13.2N32接口上的应用层安全保护 ..111 13.3认证与静态授权， 127 13.4NF业务请求时的授权 .128 13.5SEPP间的安全能力协商. 133 14安全服务 134 Ⅱ YD/T3628—2019 14.1AUSF提供的安全服务. 134 14.2UDM提供的安全服务 .136 14.3NRF提供的安全服务， .136 15网络切片管理安全 137 15.1 概述... .137 15.2双向认证. ..137 15.3管理服务生产者与使用者之间管理交互的安全保护 ..137 15.4 管理服务请求消息的授权验证 ..137 16非独立组网的双连接安全 138 16.1 概述， ..138 16.2 X2接口的保护.. ....139 16.3 SgNB中DRB（数据无线承载）和/或SRB（信令无线承载）的增加和修改.. ..139 16.4 DRB加/解密和SRB加/解密及完整性保护的激活... 139 16.5 在SgNB的PDCP中为无线承载推衍密钥， ..140 16.6 S-KgNB 更新. 142 16.7 切换过程.. .142 16.8 周期性本地认证过程 .142 16.9 无线连接失效恢复 ..143 16.10避免因DRB类型改变引起的密钥流重用， 143 16.11UE和SgNB间安全， 143 附录A（规范性附录）密钥推衍功能 144 附录B（资料性附录）基于额外的EAP方式实现初始认证 附录C（规范性附录）SUCI的保护方法 157 附录D（规范性附录）加密与完整性保护算法 .161 附录E（资料性附录）基于网络的UE辅助式伪基站侦测机制。 ..164 附录F（规范性附录）3GPP5G中的EAP-AKA’参数定义要求， 165 附录G（资料性附录）N32接口上的应用层安全机制. ..167 III YD/T3628—2019 前言 本标准使用重新起草法参考3GPPTS33.501《5G系统的安全架构和流程》编制，与3GPPTS33.501 的一致性程度为非等效。 本标准按照GB/T1.12009给出的规则起草。 本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司、中兴通讯股份有限公司、中国联合网络通信集团有 限公司、中国信息通信研究院、中国电信集团有限公司、上海诺基亚贝尔股份有限公司、华为技术有限 公司、大唐电信科技产业集团（电信科学技术研究院）高通无线通信技术（中国）有限公司、中国人 民解放军战略支援部队信息工程大学、中国电子科技网络信息安全有限公司。 本标准主要起草人：齐曼鹏，刘畅，游世林，余万涛，高枫，陆伟，胡志远，袁琦，杨红梅，彭晋， 蒋春元，毛玉欣，陈璟，徐晖，杜志敏，王俊，杜海涛，钟州。 IV YD/T3628—2019 前言 本标准使用重新起草法参考3GPPTS33.501《5G系统的安全架构和流程》编制，与3GPPTS33.501 的一致性程度为非等效。 本标准按照GB/T1.12009给出的规则起草。 本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司、中兴通讯股份有限公司、中国联合网络通信集团有 限公司、中国信息通信研究院、中国电信集团有限公司、上海诺基亚贝尔股份有限公司、华为技术有限 公司、大唐电信科技产业集团（电信科学技术研究院）高通无线通信技术（中国）有限公司、中国人 民解放军战略支援部队信息工程大学、中国电子科技网络信息安全有限公司。 本标准主要起草人：齐曼鹏，刘畅，游世林，余万涛，高枫，陆伟，胡志远，袁琦，杨红梅，彭晋， 蒋春元，毛玉欣，陈璟，徐晖，杜志敏，王俊，杜海涛，钟州。 IV YD/T3628—2019 前言 本标准使用重新起草法参考3GPPTS33.501《5G系统的安全架构和流程》编制，与3GPPTS33.501 的一致性程度为非等效。 本标准按照GB/T1.12009给出的规则起草。 本标准的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司、中兴通讯股份有限公司、中国联合网络通信集团有 限公司、中国信息通信研究院、中国电信集团有限公司、上海诺基亚贝尔股份有限公司、华为技术有限 公司、大唐电信科技产业集团（电信科学技术研究院）高通无线通信技术（中国）有限公司、中国人 民解放军战略支援部队信息工程大学、中国电子科技网络信息安全有限公司。 本标准主要起草人：齐曼鹏，刘畅，游世林，余万涛，高枫，陆伟，胡志远，袁琦，杨红梅，彭晋， 蒋春元，毛玉欣，陈璟，徐晖，杜志敏，王俊，杜海涛，钟州。 IV