5G数据安全体系研究报告

2/38摘要由于5G网络与关乎国计民生的政务、医疗、金融等行业紧密融合，5G网络所承载的数据的安全性至关重要。然而，多样化部署方式以及网络功能虚拟化、切片、边缘计算、能力开放等新技术和新架构的应用，形成了5G数据量大、数据种类多、数据流转场景复杂、数据暴露面广，以及网络环境较为开放等特点，让5G数据安全面临挑战。本报告首先对5G网络中数据种类、流转场景和安全威胁进行分析，然后提出针对5G数据的安全体系，包含基本安全、增强安全、典型场景安全防护机制，以及数据安全管理机制，从以流转数据保护为核心的安全技术、与技术措施相辅相成的安全管理角度促进5G数据安全水平的提升。AbstractAs5Gnetworkiscloselyintegratedwithgovernment,medical,financialandotherindustriesrelatedtonationaleconomyandpeople'slivelihood,thesecurityofthedatacarriedby5Gnetworkiscrucial.However,Diversifieddeploymentmethodsandthenewtechnologiesandpatternssuchasnetworkfunctionvirtualization,networkslicing,mobile/multi-accessedgecomputing,networkexposure,introducekindsofdataandcomplexdataflowscenariosfor5Gnetwork,whichmake5Gdatasecurityfacechallenges.Thisreportforthefirstanalyses5Gdatatypes,dataflowscenariosandsecuritythreats,thenasecuritysystemfor5Gdataisproposed,whichcontainsthebasicdatasecurity,enhanceddatasecurity,thetypicalscenessecurityfor5Gnetworkandthedatasecuritymanagementmechanisms,promotingthe5Gdatasecuritylevelbyintegratingsecuritytechnologiesandsecuritymanagementmechanisms.3/38摘要 2bstract 1前言 4 G 4.1控制面数据 54.2用户面数据 84.3管理面数据 10 G安全威胁 125G新技术新场景引入的数据安全威胁 14 6.1基本安全防护 166.2典型场景安全防护 216.3增强安全防护 22G 47下一步工作建议 25参考文献 27缩略词表 28关键词 29 致谢 384/381前言随着网络数据量的激增、数据应用的蓬勃发展，数据安全已成为个人用户、行业用户乃至国家政府共同关注的重要问题，国家发布了系列法律加强数据安全监管。5G作为我国“新基建”之首，其数据安全性不仅关乎运营商数据合规性，更影响着国家的安全。为保证海量多样化的5G数据安全，需要识别5G数据内容及流转场景，分析其中的安全威胁并设计对应安全措施，构建5G数据安全体系。25G数据安全体系架构5G数据安全体系架构如下图1所示。图15G数据安全体系架构5/3835G数据分类参考ITU-TX.805的安全平面分类方式，可将5G数据分为三个数据平面。(1)控制面5G控制面数据是用户和网络的交互控制信息，是5G网络实现网元之间的信息通信活动以及为用户提供适当服务所必需的数据，主要为5G网络中各接口之间的信令信息，及网元进行数据的处理转发所需的其他信息。控制面包含路由信息、鉴权数据、签约信息等数据。(2)用户面5G用户面数据是用户访问和使用5G网络而产生的实际用户数据流，是用户感知的、直接参与的操作涉及的数据。5G用户面数据包括用户通过5G网络使用互联网服务产生的业务数据，使用电信网提供的短信、语音等服务产生的通信内容数据。(3)管理面5G管理面数据主要为虚拟化网络功能管理、切片管理、网元管理等5G网络管理活动产生和采集的数据，包括虚拟化网络功能和切片生命周期管理数据、网元日志数据、网元状态监测数据等管理功能相关数据。45G数据及流转分析4.1控制面数据(1)主要数据类型：5G控制面数据广泛分布在各个网元，由于5G核心网功能进一步解耦，相比传统移动通信网，5G核心网网元种类更多，数据分布较广。同时，切片、边缘计算等新技术的应用，引入了切片标识、切片可用性等切片信息，UPF分流标识、分流策略等边缘计算业务策略数据，以及与5G安全机制相关的大量鉴权数据等数据类型，让数据种类更加多样化。根据对5G网元功能及业务流程的分析，本部分列出5G主要网元及其涉及的主要控制面数据类型，见表1。6/38表1主要网元及控制面数据类型网元名称主要数据类型gNB接口配置数据、UE上下文、位置数据、无线控制数据、会话管理数据：AMF用户标识数据、位置信息、UE上下文、鉴权数据、签约数据、切片信息SMF用户标识数据、会话管理数据、签约数据、计费数据、位置数据UPF用户标识数据、用户流量使用报告、用户平面策略规则、业务配置信息、鉴权数据、内容计费规则信息AUSF临时鉴权会话信息UDM用户标识数据、用户鉴权数据、用户签约数据、SMS管理签约数据、会话管理签约数据、用户电信业务动态数据、UE上下文UDR用户数据、开销户操作日志NSSF切片相关配置数据、切片可用性信息NRFNFProfile信息、NfProfile状态订阅信息、鉴权数据NEF用户QoS会话数据、用户事件订阅会话数据、用户流量引导会话数据、PFD规则SMSF配置数据、短消息签约数据、位置数据、用户上下文缓存PCF控制面策略规则信息、用户签约信息、计费规则信息、用户标识信息、用户网络状态信息、位置信息UDSFUE上下文LMF位置数据(2)数据类别级别：控制面数据主要涉及基础电信企业重要数据及用户个人信息。根据已有国家或行业标准对电信数据的分级方法，将数据按照安全需求分为4级，控制面数据主要涉及1-3级，安全级别较高的数据类型为用户标识数据、位置数据、鉴权数据等用户个人信息中较为敏感的数据类型。4.1.2流转场景控制面数据种类众多、流转场景复杂，用户发起业务或位置变动、网元业务活动等均会触发数据在5G网络内部或5G网络与其他网络之间流转。根据数据流转形式的不同，5G网络内部流转主要包括两种场景：1.网元间传统数据传递和请求响应：主要为服务化接口间数据交互，非服务化接口仅包括SMF与UPF、gNB与AMF间接口，用于传会话管理和用户面策略等数据。理论上通过服务化接口，一个网元可与任意网元进行数据交互，但是根据业务功能需求，网元间需要按照一定的规则进行接口调用。为保证接口数据安全性，5G网络支持系列安全机制，包括：基于NF服务的发现和注册支持机密性、完整性和抗重放保护；NRF与NF间的认证和鉴权；NF使用者和NF生产者之间的相互认证；7/382.网络数据分析：网络数据分析是5G网络引入的新功能，NWDAF是专门的网络数据分析网元，能够从AMF、SMF、PCF、UDM等网元以及OAM采集多种UE及NF相关信息以进行数据分析，是多条数据传输路径的汇聚点。为避免数据集中分析造成个人信息和重要数据泄露，国际标准组织已开始引入联邦学习等隐私计算机制提高数据分析以5G无线侧与5G核心网为中心，5G数据对外流转场景包括：1.gNB与终端数据流转：gNB设备可与多种形式的5G终端通过空中接口进行数据传输。对于个人用户业务场景，数据可完全暴露在公共环境中；对于垂直行业业务场景，数据可能会在公共环境或较为封闭的内部环境中传输(如工业园区)。为保护终端与gNB之间控制面数据安全，5GUE和gNB之间支持RRC和NAS信令的加密、完整性保护和抗重放机制，为包括个人信息和重要数据在内的5G数据安全接入网络提供保障。2.5G核心网与其他核心网网元数据流转：4G核心网网元能够访问合设的UDM，获取4G用户签约数据；MME能够与AMF交互实现4/5G互操作；P-CSCF,I-CSCF,S-CSCF,IMS-AS,SCP,HSS均可调用NRF提供的NF注册、更新、去注册、服务发现等服务，获取NF配置数据。5GC与其他核心网网元有较多数据交互。3.5G核心网与其他运营商数据流转：用户拜访网络与服务网络之间存在信令交互需求(如LocalBreakout架构，会话管理功能由拜访网络SMF实现，归属网络需提供用户认证和签约相关数据)。如果与他国运营商网络进行交互，则会涉及数据跨境场景。为保护不同运营商之间互联互通的安全，5G系统架构引入了安全边缘保护代理(SEPP)作为位于PLMN网络边界的实体，不同PLMN通过SEPP之间的接口进行数据交互。SEPP为数据提供完整性保护，并根据策略对数据进行机密性保护，如支持对认证向量、密钥素材、位置数据等重要数据及个人信息提供机密性保4.5G核心网与第三方AF数据流转：NEF是5GC网络能力开放功能，可向不属于运营商的第三方AF提供网络开放能力。NEF与第三方AF之间传输的数据主要为可提供给外部应用的网络开放能力信息，如用户位置信息、网元负载信息、网络状态信息等。由于开放的数据可能被传输至境外，所以该交互场景也可能会涉及数据跨境。5G网络为NEF和AF数据传输提供了基本安全机制，如认证，机密性、完整性及抗重放保护，以及对重要数据出网的限制。8/385.5G核心网与本运营商其他系统数据流转：为实现用户业务的开通、网络维护等功能，5G核心网控制面数据还会在5G网络与业务支撑、计费等系统间流转，传递的数据主要为用户签约数据、鉴权数据、计费等信息。5G数据流转简图如下图2所示。图25G数据流转图4.2用户面数据(1)主要数据类型：用户面数据的特点是数据量大，涉及大量用户个人信息及远程医疗、车联网、工业控制等行业重要数据，数据安全需求差异较大。传统用户面数据可分为互联网应用数据、电信服务数据；从运营商的角度，基于5G网络，还能按照切片和边缘计算服务模式为用户提供服务。1.互联网应用数据：包括即时通信内容、文件数据、邮件内容、用户上网访问内容等5G网络承载的互联网数据信息。中5G消息包括文本、图片、音频、视频、位置和联系人等人人及人机之间传送的消息数据，5G短信主要包括文本、图片数据。3.切片业务数据：指5G行业切片中传输的用户面数据。按照用户性质，可将网络切片分为普通行业切片和特殊行业切片。普通行业切片可提供给各类垂直行业，如智慧城市、智慧工业、智慧教育等行业。特殊行业切片主要为有特殊安全隔离要求，9/38涉及国计民生的重点行业，如电力行业等，可能包含与国计民生相关的重要数据。4.边缘计算业务数据：指部署在运营商边缘节点的业务涉及的数据。主要包括针对移动手机终端的业务，如CDN、云游戏、高清直播等业务涉及的数据，多包含个人用户视频数据内容；针对非本地物联网终端的业务，如车联网、云视频监控、无人机等业务，可包含车辆控制信息、无人机控制信息等敏感的控制数据；针对本地终端的行业应用，如工业控制、智慧楼宇/社区/城市等业务，可包含工业设备控制信息、智能设备通信/控制信息等敏感数据。(2)数据类别级别：用户面数据包含个人用户数据及行业用户数据。个人用户数据属于基础电信企业用户个人信息，根据安全需求级别对电信数据进行分级，个人用户数据主要为3级数据；根据行业重要性差异，不同行业的用户数据存在不同的安全需求，如电力行业与国计民生息息相关，有较高的安全需求，而高清直播业务主要为对外公开的数据，安全需求较低。同一行业的数据也可进一步分类分级，如现已开始制定相关标准对工业互联网数据进行分类分级。4.2.2流转场景用户面数据流转主要有以下五种场景：1.终端-UPF-互联网(互联网应用数据、5G消息)：数据从5G终端经无线空中接口 (简称“空口”)传输到gNB，然后由gNB转发至核心网UPF，并可能在不同UPF 与UPF间已支持通过IPsec机制对用户面数据进行保护，提供用户数据的完整性，机密性和抗重放保护能力。2.终端-UPF-IMS(语音业务数据、SMSoverIP短信)：该类数据流转场景与互联网应用数据流转场景相似，不同点是数据经UPF传输到IMS核心网。3.终端-AMF-SMSF-短消息中心(SMSoverNAS短信)：数据经空口和gNB传输至AMF，然后由AMF转发到SMSF，通过SMSF传输到短消息中心，或反向流转。4.终端-UPF-边缘计算平台(边缘计算业务数据)：数据流转与“终端-UPF-互联网”场景相似，不同点是用户数据流可从分流UPF直接卸载到边缘计算平台。5.终端-独享UPF-互联网/IMS/边缘计算平台(切片业务数据)：该类数据流转场景的特点是不同切片的业务数据可独享UPF。10/38用户面数据流转简图参见图2。4.3管理面数据(1)主要数据类型：管理面数据涉及众多与网元及切片创建、扩容等生命周期相关重要数据。按照具体功能划分，管理面数据主要可分为网络管理、NFV管理及切片管1.网管数据：是网元性能、故障管理涉及的数据，主要包括网元系统日志、运维帐号、网管接口认证数据(口令、证书等)、网管接口配置信息、网元性能参数、告警信息等。2.NFV管理数据：是虚拟机生命周期管理及运维管理涉及的数据，主要包括VNF相关信息、MANO自身管理信息、NFV管理编排信息。具体如下表2。表2NFV管理数据NFV管理数据具体类型VNF相关信息运行状态等操作维护信息MANO自身管理信息口令等认证鉴权数据，以及MANO告警、性能指标、系统日志等操作维护数据NFV管理编排信息资源创建/删除、扩缩容、终止等VNF生命周期管理操作涉及的扩缩容类型、虚拟机数量、任务状态等数据3.切片管理数据：是网络切片生命周期管理及运维管理涉及的数据，主要包括切片相关的信息、切片管理系统自身信息、切片管理编排信息。具体如下表3。表3切片管理数据切片管理数据具体类型切片相关信息切片模板信息、切片网络服务参数、网络切片业务标识等配置信息，网络切片/切片子网告警、运行状态监测信息等切片业务关键性能指标，切片签约订购、计费等业务信息切片管理系统信息切片管理功能涉及的端口、IP等设备配置数据，账号、口令等认证鉴权数据，系统告警、性能指标等操作维护数据切片管理编排信息切片上线、下线终止等切片生命周期管理操作涉及的信息(2)数据类别级别：管理面数据涉及大量基础电信企业重要数据，参考相关标准将电信数据划分为4级，5G网络管理面数据主要属于3-4级，拥有较高的安全级别。11/384.3.2流转场景三类主要管理面数据流转场景如下：1.网管数据流转：主要在网元和网管系统之间流转。由于部分网元(如基站、UPF)可分散部署在网络边缘，属于运营商安全管理较薄弱位置，安全防护能力不及中心机房，网元与网管之间的数据可能会在较不安全物理环境中传输。2.NFV管理数据流转：为实现虚拟机资源分配、虚拟机创建等功能，NFV管理数据在MANO内部流转之外，还会在MANO与基础设施层、网管系统间流转。3.切片管理数据流转：切片建立在虚拟化软件之上并与垂直行业用户紧密相关，所以切片数据除了在切片管理系统内部流转之外，还会在切片管理系统与MANO、第三方平台及业务支撑系统间流转。数据传递到第三方业务平台，可能会涉及数据跨境。管理面数据主要流转情况如图3所示。图35G管理数据流转图55G数据安全威胁5G网络在控制面、用户面和管理面都引入了大量新兴数据，每类数据均存在多样化流转场景。与其他系统或网络中的数据流转相似，5G各平面数据在流转过程中都会面临一些常见的数据安全威胁，此外，由于5G引入了一些新技术，可能会导致数据安全风险的增加或扩大。因此，可以从两个维度分析5G数据安全威胁，一是数据在流转过程中面临的通用安全威胁；二是5G新技术引入的数据安全威胁。12/385.15G数据通用安全威胁5.1.1数据采集控制面数据采集主要包括网元创建数据，以及在4/5G互操作等场景，5G网络从他网获取数据；管理面数据采集主要包括网元、MANO、切片管理系统等创建数据以及获取外部导入数据的行为；用户面数据采集指终端创建数据，以及5G网络从他网采集数据的行为。5G数据在采集阶段面临的主要威胁为数据伪造、数据篡改。具体场景如：1.身份认证机制不完善：在数据获取场景，攻击者可假冒合法的数据提供方，向5G网络提供伪造或被篡改的数据。如运营商间信令伪造。2.设备安全措施不完善：系统存在严重安全漏洞，或数据操作未经严格控制等，攻击者可向系统递交被篡改数据，如向MANO上传遭篡改的VNF镜像。5.1.2数据传输5G数据传输包括控制面、用户面及管理面数据传输。数据在传输过程中面临的主要威胁包括数据泄露、数据破坏、数据篡改、数据传输中断，具体场景如：1.传输通道不可靠：涉及网络边缘、跨地域的传输通道不确定因素较多，较运营商数据中心内部传输更容易出现故障，导致数据被破坏、窃取或数据传输中断。2.传输节点不安全：在较为开放或安全措施不完善的网络环境，传输节点未受适当安全保护，数据从传输节点(包含物理或虚拟化节点)泄露，或被篡改、破坏。主要受威胁传输场景如：控制面：涉及网络边缘传输，包括终端与gNB、gNB内部、5GC网元与无线接入网数据传输；跨网络域的传输，包括5GC与其他运营商、5GC与第三方平台、5GC与运营商其他系统数据传输等。用户面：网络边缘传输场景，如基站与边缘UPF传输。管理面：部署在网络边缘的网元与管理系统间的传输。对于运营商核心机房内数据传输，物理环境较安全，安全风险较低，但仍面临内部人员窃取数据等风险。13/385.1.3数据存储5G数据存储主要包括控制面及管理面数据存储，控制面数据主要存储在基站和网元；管理面数据可存储在MANO(存储NFV管理数据)、切片管理系统(存储切片管理数据)、网元(存储网管数据)。数据存储阶段面临的安全威胁主要包括数据泄露、数据篡改、数据破坏、数据丢失，具体场景如：1.存储环境不安全：5G网络涉及复杂存储环境，存储设备及系统安全配置不符合要求、存安全漏洞、后门、未安装防病毒软件或无完善接入鉴权及访问控制机制等，可导致数据泄露、被篡改。如针对核心网，数据一般采用oracle、mysql等数据库存储，如果数据库存安全漏洞，则数据可能会从数据库泄露；在网络边缘，可能会有较多采用分布式方式存储的数据，存储地点分散、存储环境较开放，数据被泄露、括智慧城市、智慧工业等涉及的多样化物联网终端。物联网终端可能处于较为开放的物理位置，软硬件受攻击风险较大，终端存储环境安全性不足，数据可能会面临较高的泄露风险。2.存储系统容灾备份管理不完善：发生火灾等意外灾害导致数据丢失或被破坏，则难以恢复数据。特别是针对UDSF、AUSF、UDR等集中存储数据的网元，数据丢失可能会影响整个5G网络业务运行。5.1.4数据使用5G数据使用主要包括控制面及管理面的数据使用。控制面数据使用主要包括网元对控制面数据的查询、更新、分析等操作；管理面数据使用主要包括网管、MANO及切片管理系统对管理面数据的查询、更新、分析等操作。数据使用过程中面临的安全威胁主要包括数据泄露、数据篡改，具体场景如：1.权限控制机制不完善：5G网络包含大量的接口调用、数据操作，存在因访问控制措施不当而引发的数据泄露等风险。如服务化接口访问控制机制不严，攻击者伪装成合法NF访问其他NF数据；切片管理等管理系统权限控制不完善，造成内部人员或第三方人员非法进行数据操作等。2.数据溯源机制不完善：发生数据安全问题时不能及时发现危险行为并快速定位发生数据安全问题的网络节点。14/38此外，NWDAF网元等通过对5G网络中采集的多源数据进行关联分析，有可能获取用户或运营商的敏感或重要信息。为充分发挥数据价值，运营商可能会将不敏感或经过脱敏处理的5G数据与第三方共享。通过5G网络能力开放功能向第三方开放5G网络能力即可视为一种数据共享场景。数据共享面临的主要安全风险为数据共享过程中的数据泄露以及数据共享后可能由第三方造成的数据泄露。5.1.6数据销毁在数据生命周期结束后，数据存储设备数据销毁不彻底，未根据不同要求采取不同的数据销毁策略和技术手段，一旦数据被恢复就会引发数据泄露的风险。5.25G新技术新场景引入的数据安全威胁5.2.1NFV数据安全威胁NFV将网元功能和硬件资源解耦，实现了系统功能软件化和硬件资源通用化，可提升网络弹性、缩短业务部署时间，是电信网深刻革新技术，但同时也面临新的数据安全1.数据暴露面增加，数据面临篡改、破坏、泄露的风险增加。相比传统专用硬件网元构建的网络系统，NFV引入了虚拟化管理层、虚拟机/容器、虚拟交换机/路由器、编排管理功能，任一功能中的漏洞被攻击者利用，都可能对5G数据安全造成威胁。2.VM共用物理网卡，数据面临被窃听的风险。相比传统网络网元设备硬件专用，虚拟化网络中多个VM可能部署在同一物理服务器，VM与服务器外部网元通信时共用物理网卡，数据内容存在被窃听的风险，导致数据泄露。3.VM共用物理存储，数据面临被非法读取、恶意篡改、破坏的威胁。不同VM共用同一物理服务器内存，如果VM不可信或VM遭到入侵，可能会对内存数据执行非法操作，如非法读取、篡改、破坏数据。4.东西向流量面临窃听风险。VM之间东西向流量可能仅由vSwitch或vRouter进行15/38数据转发，不过外置的物理交换机，不会传送到服务器外部的物理防火墙及其他安全设备中，导致该部分流量不受安全监测，难以做到有效隔离与防护，容易面临数据窃听、篡改等威胁。5.2.2切片数据安全威胁切片主要由CSMF、NSMF、NSSMF组件进行管理，在管理层面可能存在以下数据安全威胁：1.运营商可将切片运行状态、切片性能指标、网络功能参数等切片信息开放给第三方，如果对外接口访问控制措施不严或被外部入侵，切片敏感数据存在被非授权访问等风险。2.不同切片的VNF可部署在同一物理机上，从网元功能到连接链路都是逻辑隔离，若未采取完善的隔离措施，或因配置错误、管理漏洞等因素造成逻辑隔离失效，切片数据可能面临被非法访问或篡改、破坏的风险，造成敏感信息泄露。攻击者还可能利用共享网元非法访问切片内的网元，导致切片敏感数据泄露。5.2.3边缘计算数据安全威胁边缘计算系统在靠近无线接入侧增加边缘节点，使应用、服务和内容本地化、近距离、分布式部署成为可能，进一步减少业务时延，节省回传带宽。边缘计算可满足垂直行业CloudXR、辅助驾驶等低时延要求类业务以及工业物联网厂内通信等高安全等级业务要求，同时也引入一些数据安全威胁。1.物理安全条件受限，数据面临被破坏、窃取的威胁。MEC节点可涉及丰富的5G数据内容，然而根据不同业务场景，MEC节点可部署在边缘数据中心、无人值守的站点机房，甚至靠近用户的现场，处于相对开放的环境中，相比在运营商核心机房部署的网络设备，MEC节点设备更容易被入侵，导致MEC节点数据被破坏或窃取。2.敏感信息暴露面增加，数据泄露风险增加。MEC平台定义了网络和第三方应用的双向API通信机制，可以把用户位置、无线网络负荷、无线资源利用率等网络信息通过API直接开放给第三方APP，第三方APP也可直接运行在MEC节点上。MEC节点成为新的数据暴露节点，如果节点访问控制措施不严或被外部入侵，网络敏感数据存在被非授权访问等风险。16/3865G数据安全防护体系综合5G数据及安全威胁分析，5G数据面临的风险可来自多方面，包括软件漏洞、配置漏洞、管理疏忽等，需要从多层面入手进行5G数据安全防护。本报告从四个维度构建5G数据的安全防护机制：1、基本安全防护：针对数据生命周期安全威胁设计对应安全手段，屏蔽基本安全风险及NFV技术在数据生命周期引入的风险；2、典型场景安预警、态势感知等数据安全技术手段促进5G数据安全；4、采用管理手段，弥补技术局限，提升数据安全性。6.1基本安全防护6.1.1数据采集在5G数据采集阶段，防护重点是保证采集数据的真实性及创建数据的实体身份真实性。(1)数据创建安全运维人员可对网元、MANO、切片管理系统等进行数据配置，在业务执行过程中系统也会产生数据，此类数据主要为控制面及管理面数据，数据类型和涉及的数据安全级别多，包括账号、密码或密钥等一旦泄露会对数据安全造成严重威胁的重要数据，以及位置等用户个人信息，可通过关键数据重点保护及权限最小化安全防护的方式保护数据创建安全：1.关键数据重点保护：将数据进行分类分级，高安全级别数据在安全区域创建，保护关键数据安全；2.权限最小化安全防护：对于数据的配置，采用最小化授权机制，确保仅授权的人员可访问配置管理功能。用户面数据主要在5G终端创建，5G万物互联，终端种类多样，安全能力参差不齐，而用户面数据也会涉及不同安全需求的个人信息及行业数据，需根据终端可处理数据的类型提供相应访问控制、安全监测机制，保护用户面数据创建安全，如针对处于较不安全环境中的重要物联网终端，引入可信技术进行安全增强。(2)数据获取安全三平面数据均可以从外部网络获取，如通过AMF、UDM等网元从他网获取控制面17/38数据；通过网管接口等向MANO、切片管理系统上传管理面数据；通过MEC平台获取垂直行业用户面数据。其中控制面及管理面数据获取可从以下三点进行保护。1.数据源认证：对数据获取端或导入端进行身份认证和限制。针对网间数据获取，3GPP已定义安全机制用于实现网络间的认证鉴权，保障网间数据安全，但是攻击者仍有可能渗透对端运营商网络，伪装成合法用户发送信令至本运营商；2.关键数据校验：对VNF包、切片模板等导入网络的关键数据类型进行检查校验，防止网络采集被篡改数据，从而进一步影响关联数据准确性；3.接口安全：如支持数据加密、接口隔离。针对用户面数据获取安全防护，除采用数据源认证及接口安全机制外，对传入MEC平台的数据进行安全性检测，可一定程度防止恶意流量接入5G网络。6.1.2数据传输5G数据传输阶段主要需保证数据在5G网络传输过程中数据的完整性，及敏感信息的机密性。三平面数据传输存在共性及特性安全需求。共性方面，不同平面均需要较为安全可靠的传输环境提供基本传输安全；特性方面，由于数据的传输场景和安全级别不同，需应用差异化防护机制。(1)传输环境安全1.传输节点的安全：需降低数据从节点泄露的风险。传输节点包括网元等网络设备也包括物理/虚拟交换机、路由器等传输设备。降低数据安全风险的方式包括关闭无用端口、接口流量监测等方式。对于物理节点外不可见不可控的虚拟化节点东西向流量，采用流量重定向、流量可视化等技术进行流量安全监测；2.分域分面的安全策略：根据不同传输场景划分安全域，在安全边界部署防火墙等安全设备并建立严格安全策略，防止风险在域间扩散；为不同平面设置独立端口、设置vlan隔离策略等，防止风险在不同平面间扩散。(2)数据传输安全机制1.控制面：基于物理环境安全性及数据重要性提供适应性安全传输机制，如在高风险环境确保5G网络自身提供的安全机制开启，包括加密、完整性、抗重放保护等，为包括用户个人信息在内的各类数据提供安全保护；2.用户面：根据数据安全级别或安全需求，采用差异化安全措施。对用户面数据安全需求级别进行评估，根据不同级别为用括；明文传输、18/38MEC平台及应用平台间专线传输；3.管理面；管理面数据中高安全级别数据比例大且数据量S6.1.3数据存储在5G网络中存储的数据主要为控制面及管理面数据。控制面及管理面功能均部署在虚拟化环境，两类数据存储环境类似，且均有较高的可用性、完整性要求，以及敏感数据的机密性需求。应从存储环境及存储方式角度构建5G数据存储安全机制。(1)存储环境安全存储环境的安全是保证存储数据安全的关键点之一，存储环境自身安全可降低攻击者利用系统漏洞等方式非法获取数据、篡改数据的风险。确保5G数据存储环境安全的方式如：1.HostOS、Hypervisor、虚拟机系统及管理系统安全：采用最小安装原则、安全配置检查及定期的病毒扫描、漏洞扫描以及及时更新病毒库、漏洞库等系统安全防护离、内存资源安全隔离、内部网络的隔离；3.数据库安全：对存储5G敏感数据的数据库，采用增强的数据库审计等安全机制。(2)存储方式安全从数据访问机制、数据加密机制、存储策略维度解决存储方式安全问题。1.访问控制：为敏感数据提供限制访问设备、限制操作权限、多人联合授权在内的访问控制机制，分散在网络边缘较开放环境中的关键数据可上链存储，防止攻击者绕过权限控制篡改数据；2.数据加密：对存储数据进行分类分级，为不同级别数据提供差异化的加密机制，低安全级别数据明文存储，高安全级别数据(如认证鉴权数据)采用加密存储或存储在专用安全存储区域；3.存储策略：根据网络部署设计灵活的存储策略，如针对网元集中部署的场景，根据网元服务用户归属地、网元类型或网元重要程度等因素对网元进行分类，为不同类别网元数据分配不同存储空间，并配备安全隔离措施；4.做好数据备份恢19/386.1.4数据使用5G网络各平面数据均有其数据使用场景，对不同平面的数据使用安全防护可采用相似安全技术。(1)数据基本使用安全5G网络主要通过网元间服务化及非服务化接口进行控制面数据操作。为防止攻击者假冒网元获取数据，网元间的接口需采用严格的身份认证及访问控制措施，并限制每类网元可访问的网元类型及数据类型。除网元间接口，网元与运营商其他系统间可存在网管接口、数据采集接口等多种类接口，供其他系统查询、操作数据，通过统一认证授权机制、业务功能与管理功能逻辑隔离等权限管理方式可加强接口安全。MANO、切片管理系统、网管等涉及管理面数据使用过程，包含较多管理员对数据的操作。除管理系统内部组件间需采用严格的认证、权限控制机制外，重点是保证人员操作的安全性，如禁用所有特权操作、多人操作管控模式。MEC平台涉及较多用户面数据交互，用户面数据使用过程的安全风险主要来自于网络边缘，防护关键点一方面是完善的认证机制：包括强化用户与MEC平台、用户与面是权限控制：外部应用或系统访问MEC平台的权限控制、MEC平台内部应用访问数据的权限控制。(2)数据分析安全针对NWDAF等采用多源5G数据进行关联分析的场景，可引入数据脱敏、同态加密、安全多方、联邦学习等技术，避免数据分析流程泄露敏感数据。同时对数据分析过程进行审计，及时发现潜在数据安全风险。数据共享阶段主要需防止数据泄露。除采用管理制度限制数据共享流程，降低数据泄露风险外，还可采用数据脱敏等技术手段防止敏感数据泄露。(1)境内数据共享安全：1.共享内容安全：采用技术手段对共享的数据进行一定程度的处理，可避免敏感数据在共享过程中泄露如：数据脱敏：对敏感数据进行脱敏，如GPSI等可反映用户真实身份的数据。20/38隐私计算：为保证数据有效性不能对敏感数据进行脱敏的场景，可使用隐私计算技术，保证用户在不接触原始数据的情况下，仍可以获得计算结果，做到数据可用不可见。2.日志记录：对数据共享的所有操作和行为进行日志记录，包括数据脱敏处理过程相应的操作、数据共享服务接口调用事件等信息，监测是否存在恶意数据获取、数据盗用等风险并能在安全事件发生后，可通过日志进行回溯分析。3.数据水印：在共享数据中嵌入包含接收方信息的数据水印，确保数据发生泄漏后能追踪到责任人，同时可对数据泄露行为起到威慑作用。(2)跨境数据共享安全：数据跨境共享是一种特殊的数据共享场景，《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》等法律法规/标准规定了数据跨境安全要求。在国际漫游业务结算、网络能力开放等可能会涉及数据跨境的场景，除采用共享内容安全防护机制及日志记录进行数据保护外，需根据相关要求进行数据安全评估。6.1.6数据销毁根据数据重要程度选择适当的销毁方式对数据进行销毁，防止因对存储媒体中的数据进行恢复而导致的数据泄漏风险。可采用的销毁方式包括数据销毁和介质销毁。数据销毁采用格式化硬盘、文件覆写、消磁等方式删除数据，介质销毁是通过物理手段将存储介质彻底销毁。在数据销毁后，确保相关配置如凭证、IP等资源及时回收与更新。5G系统中需彻底销毁的数据可包括：用户退网后，网络中用户相关敏感信息需完全删除。VNF终止或迁移后相关敏感信息需完全删除。MEC平台APP卸载后，APP相关用户敏感信息需完全删除等。21/386.2典型场景安全防护6.2.1切片数据安全切片数据安全防护方法包括以下方面：(1)切片管理组件安全1.对切片模板等相关数据做完整性保护和校验。2.加强切片管理能力开放的身份认证、权限控制、数据访问控制等安全措施，防止数据非授权访问，确保网络切片信息仅开放给授权用户。(2)切片隔离切片隔离方式多样，可通过RB资源预留或载频资源独享方式对无线网络切片进行隔离；采用FlexE/MTN接口隔离、MTN交叉隔离或VPN+QoS隔离方式对传输切片进行隔离；采用逻辑隔离、服务器隔离或服务器与网络设备均隔离的方式对核心网切片进针对不同安全需求，综合采用不同的切片隔离等级。如针对普通行业，可按需构建多类型切片：多行业切片共享资源池，按需灵活采用无线及传输隔离方式，用户面功能专享，控制面功能按需共享，对共享网元所接入的不同切片网络平面进行隔离；针对具有高隔离度要求的涉及国计民生的行业(如电力行业)，可构建行业物理专网：基站共享或专用，构建独立资源池，控制面及用户面全部专享，形成可独立运维管理的核心侧全隔离的物理“切片”。6.2.2边缘计算数据安全针对边缘计算场景中数据面临的主要安全威胁，可从MEC物理安全、数据安全防护机制及数据自身安全角度进行边缘计算数据安全防护。(1)MEC物理安全为MEC设备提供安全物理环境是保证边缘计算数据安全的基本要求。对于设备部署在运营商机房的场景，需严格执行运营商机房管理要求；对于设备部署在企业园区的场景，机房需具备基本安全监控措施，如视频监控、门禁系统等，并加强MEC设备自身防盗、防破坏方面的结构设计。(2)数据安全防护机制22/38MEC节点网络环境较为开放，并可运行来自不同企业的APP，潜在数据安全风险较高，攻击者可通过多种渠道、多种方式窃取或破坏数据。严格的权限控制及实时监测机制是在开放环境中保护数据的关键手段。身份认证：为防止非法用户接入MEC，应确保接入MEC的设备、APP均是可信的。因此，应建立MEC平台与MEC编排器、基站、核心网设备、用户设备之间的认证，以及MEC平台与运行在平台之上的APP之间的认证机制。第三方APP验证：对运行在MEC平台上的第三方APP进行安全验证，确保运行MECAPP性。安全隔离：实现不同应用的资源隔离，防止应用越权访问其他应用数据，如vCPU调度安全隔离、内存资源安全隔离；对无线接入域、核心网域、管理域、互联网域、企业网域进行VLAN划分隔离，防止威胁横向扩大。权限控制：按最小授权原则进行访问控制权限划分，每个应用关联账号仅能访问自身应用数据、MEC平台管理员账号不得访问应用数据；对应用的行为进行限制，仅能执行业务所需的必要操作。可基于区块链对数据访问授权及数据访问操作进行管理和记录。实时监测：根据日志、操作指令等数据，监测系统应用、用户行为，并基于机器学习算法对内外部人员、应用的数据操作情况进行多维度分析审计，及时发现危险违规行为。(3)数据自身安全数据自身安全保护机制，主要包括对高安全级别的应用数据、关键的管理数据等进行加密存储、加密传输；对可开放的运营商网络数据进行安全评估，数据脱敏；另外，重要数据可分散备份在不同MEC设备中。6.3增强安全防护6.3.1总体架构随着网络和业务的发展，5G网络将逐步处于更加开放与非信任的环境，5G网络提供了完善的安全机制以应对各种可能的内外部网络攻击，但数据安全事件的发生仍防不胜防。对5G重要数据及个人信息的智能化安全监管将能及时发现外部攻击者及内部人23/38员对数据的窃取、篡改或破坏等行为，并及时通知管理人员执行对应控制策略，将数据安全事件的影响降到最低。5G数据安全监管功能通过主动式或被动式采集方式实时采集5G网络各接口数据及系统日志，包括网元间接口、管理系统各组件间接口、网元与管理系统间接口数据，以及网元和管理系统日志数据，主要采集控制面及管理面数据。基于采集数据，利用监测预警、态势感知等技术，对用户异常行为、数据异常流动等情况进行监测预警，并可与设备安全策略联动实现数据安全事件闭环处置。主动式采集指在网元设备、管理系统组件中定义流量上报接口或部署数据采集功能模块实时采集日志及接口数据；被动式采集方式指通过分光、镜像等外置方式采集接口数据，不适用于日志实时采集及加密数据6.3.2关键技术5G数据安全监管主要包括敏感数据自动识别、监测预警、态势感知技术。敏感数据自动识别根据主要的5G重要数据及用户个人信息种类及相关国家/行业标准，定义5G敏感数据类别级别，并制定相应正则、关键字等数据匹配规则，根据匹配规则自动识别接口流量中敏感数据。可通过敏感标签灵活配置正则表达式、敏感词等扫描项与级别类别的关，通过规则配置敏感标签的自动扫描，实现敏感数据分类分级自动化，同时基于自然语言处理实现敏感词的自动扩充功能。识别的数据范围主要为控制面及管理面数据。监测预警通过网元、MANO、切片管理系统日志分析以及接口流量内容解析，识别敏感数据操作。基于机器学习算法对网络中内外部人员数据操作情况进行多维度分析，实现系统应用、数据行为的关联分析，预判危险行为。同时利用平台能力、基于聚类分析等机器学习算法，对渉敏人员行为进行画像，建立用户特征画像图谱，并对用户的实时操作和特征画像图谱进行比对，发现异常行为。对于预判的危险行为及发现的异常行为，向管理员或相应管理系统发送告警信息，管理员或管理系统可根据具体异常情况执行相应安24/3态势感知数据流转实时监测：分析采集的5G网络接口流量，基于IP地址、网元ID、敏感数据依据数据流转路径，可排除网络中无关节点，通过对流转路径中各节点进行风险排查，可快速定位数据安全事件发生节点。MANO系统在内的5G系统可视化数据流转图。支持将网元设备间、管理系统各组件间、网元与其他系统或设备间敏感数据访问占比、敏感数据流向等以饼状图、柱状图、热力图等形式呈现，实现5G系统敏感数据流量流向全景感知。数据威胁预警：基于接口、时间、账号等要素制定5G敏感数据异常流动规则，如根据网元数据调用规则，指定数据类型仅能在指定接口间传输，若该数据出现在非法接口，则为异常流动。对符合异常流动规则的数据流转情况，自动告警提醒运维管理人员进行核查。同时可在5G系统设备中配置安全策略或与其他5G安全设备联动，基于告警类型自动触发防御策略的执行。6.45G数据安全管理采用完善的技术手段能够有效保护5G数据安全，但在5G数据生成、流转、销毁的过程中离不开配套管理机制。5G数据安全管理应能通过制度、流程要求保证数据全生命周期的安全。6.4.15G数据资产管理数据加密、数据备份等系列安全机制能有效保证数据的防泄漏、防篡改，保证5G数据安全。但安全机制的有效实施依赖于相关的责任部门及人员，需定义5G数据资产的相关角色定位和职责，明确5G数据资产管理范围，确保组织内部重要的5G数据资产已有明确的管理者或责任部门。6.4.2人员管理企业内部人员及第三方运维管理人员比外部攻击者有更多的机会窃取、散播及破坏25/38数据，需采取严格的管理措施尽量消除内部人员安全威胁。除安全教育、安全培训外，对于企业内部人员，可建立涉及敏感信息操作人员名单库，对发生离职、岗位变化等人员的权限进行及时调整，停止涉敏相关授权；针对第三方人员，建立第三方管理规范或度，采用合同约束、信用管理等手段，加强第三方监督管理，并严禁第三方厂商、合作单位等非本单位人员账号具备敏感数据查询、修改、导出等涉敏权限。6.4.3账号权限管理5G网络中广泛采用访问控制机制进行数据操作权限管理，防止数据泄露。为保证访问控制效果，需对账号及权限进行严格管理，包括网元运维管理账号、切片管理系统业务操作账号等能够对5G数据进行查看或修改的账号。可采用的管理方式包括： 根据“权限明确、职责分离、最小特权”的原则分配角色和权限。严格账号权限申请审批流程。账号与人员保持一一对应。账号权限管理操作角色与具有业务操作权限的角色职责分离等。6.4.4数据共享管理从技术上可以采用接口安全管理、数据脱敏等技术保护数据安全，从管理层面可以严格数据共享要求，进一步降低因数据共享而引入的敏感数据泄露风险。数据共享管理要求可包括：敏感数据不直接共享；在进行数据共享前对数据共享场景进行分析，确保只允许输出必须的数据；明确共享数据可使用的范围和场景、明确数据共享双方应承担的安全责任。7下一步工作建议目前5G网络建设仍在持续推进，5G技术仍在不断研究更新。5G商用还未全面铺开，车联网、工业互联网、智慧城市等行业应用与5G网络的结合处于探索和发展阶段。5G网络在进一步演进以及与各行业融合发展的过程中可能会面临新的数据安全问题，应在持续关注5G数据安全态势变化的同时，同步做好相应数据安全研究工作。➢持续完善5G数据安全防护机制，创新5G数据安全防护技术，提升5G数据安全26/38水平。跟踪网络与行业同融合发展趋势，研究分析现有5G数据安全防护机制在应对新场景、新技术等方面的不足，探索人工智能、区块链等技术与5G数据安全能力的结合，推进数据流转监测、敏感数据识别等数据安全技术在5G网络的进一步应用，促进5G数据安全防护体系持续完善。G能力输出场景隐私保护，构建开放网络下的数据隐私安全能力。5G网络基实现多源网络数据分析，支持多维度分析能力。能力开放意味着数据的输出，潜在隐私信息泄露风险，随着能力开放与行业应用的融合发展，开放场景将更加丰富，隐私保护面临挑战，隐私保护技术和机制有待加强。➢进一步细化5G数据安全防护机制，促进数据安全标准在5G网络中的应用。在5G数据安全机制具体实施层面，充分参考相关数据安全标准，如在数据分类分级方面参考《信息安全技术电信领域大数据安全防护实现指南(征求意见稿)》，以标准促进安全，形成5G数据安全防护屏障的有力支撑。27/38献[1]ITU-T805.Securityarchitectureforsystemsprovidingend-to-endcommunications[S].[S.l]:ITU-T805,2003.[2]3GPP.SystemArchitectureEvolution(SAE);SecurityarchitectureTS33.501V16.5.0[3]3GPP.SystemArchitectureforthe5GSystem(5GS)TS23.501V16.7.0[S].2020.12.[4]3GPP.Proceduresforthe5GSystem(5GS)TS23.502V16.2.0[S].2019.09.[5]3GPP.NGgeneralaspectsandprinciplesTS38.410V16.1.0[S].2020.03.[6]3GPP.TechnicalSpecificationRadioAccessNetwork;NG-RAN;NGlayer1TS38.411V15.0.0[S].2018.06.[7]3GPP.NG-RAN;NGApplicationprotocol(NGAP)TS38.413V16.1.0[S].2020.03.[8]3GPP.StudyonmanagementandorchestrationarchitectureofnextgenerationnetworksandservicesTR28.800V15.0.0[R].2018.01.[9]3GPP.StudyonmanagementandorchestrationofnetworkslicingfornextgenerationnetworkTR28.801V15.1.0[R].2018.01.[10]3GPP.StudyonmanagementaspectsofnextgenerationnetworkarchitectureandfeaturesTR28.802V15.0.0[R].2018.01.[11]3GPP.StudyonmanagementaspectsofedgecomputingTR28.803V16.0.1[R].2019.09.[12]未来移动通信论坛，5G信息安全白皮书.v4.02017-11[13]中国通信标准化协会.基础电信企业数据分类分级方法:YD/T3813-2020[S].2020[14]中国通信标准化协会.电信和互联网服务用户个人信息保护定义及分类:YD/T2781-2014[S].2014[15]中国通信标准化协会.基础电信企业重要数据识别指南:YD/T3867-2021[S].202128/38AMFAccessandMobilityFuction接入和移动管理功能AFApplicationFunction应用功能AUSFAuthenticationServerFunction认证服务器功能APIApplicationProgrammingInterface应用程序接口CSMFCommunicationServiceManagementFunction通信服务管理功能CDNContentDeliveryNetwork内容分发网络DNNDataNetworkName数据网络名称DRADiameterRoutingAgent路由代理节点eMBBenhancedMobileBroadBand增强移动宽带GUTIGloballyUniqueTemporaryUEIdentity全球唯一用户临时标识gNB-CUgNBCentralUnitgNB集中单元gNB-DUgNBDistributedUnitgNB分布单元ITInformationTechnology信息技术IMSIPMultimediaSubsystemIP多媒体子系统LCSLocationServices位置服务LADNLocalAreaDataNetwork本地数据网络LMFLocationManagementFunction位置管理功能MANOManagementandOrchestration管理和编排MECMobile/Multi-AccessEdgeComputing移动/多接入边缘计算NSMFNetworkSliceManagementFunction网络切片管理功能NSSMFNetworkSliceSubnetManagementFunction网络切片子网管理功能NFNetworkFunction网络功能NSSFNetworkSliceSelectionFunction网络切片选择功能NRFNFRepositoryFunction网络存储功能NEFNetworkExposureFunction网络开放功能NFVNetworkFunctionsVirtualization网络功能虚拟化NASNon-Accessstratum非接入层NSDNetworkServiceDescriptor网络服务描述符OSSOperationSupportSystems运营支撑系统OMCOperationandMaintenanceCenter操作维护中心OAMOperationAdministrationMaintenance操作维护管理功能PDUProtocolDataUnit协议数据单元PCFPolicyControlFunction策略控制功能PLMNPublicLandMobileNetwork公共陆地移动网RANRadioAccessNetwork无线接入网络SLAServiceLevelAgreement服务等级协议SUCISubscriptionConcealedIdentifier隐藏标识SUPISubscriptionPermanentIdentifier永久标识SMSShortMessageService短消息服务29/38SEPPSecurityEdgeProtectionProxy安全边缘保护代理SMSFShortMessageServiceFunction短信功能SMFSessionManagementFunction会话管理功能SBAService-basedarchitecture服务化架构UEUserEquipment用户设备(终端)UPFUserPlaneFunction用户面功能UDMUnifiedDataManagement统一数据管理功能UDRUnifiedDataRepository统一数据仓储功能UDSFUnstructuredDataStorageFunction非结构化数据存储功能VoNRVoiceoverNewRadio新空口承载语音VNFVirtualNetworkFunction虚拟化网络功能VNFDVirtualNetworkFunctionDescriptor虚拟化网络功能描述VoiceoverLong-TermEvolution长期演进语音承载VMVirtualMachine虚拟机5GFifthGenerationOfCellularNetwork第五代蜂窝网络系统5GC5GCoreNetwork5G核心网5G、数据安全、数据流转、安全威胁图4用户认证数据流5G网络上使用EAP-AKA认证过程进行认证并认证成功的数据流程如下：30/382.SEAF-AUSF：Nausf_UEAuthentication_Authenticate请求，包含服务网名称、SUCI3.AUSF-UDM：Nudm_UEAuthentication_Get服务调用，包含服务网名称、SUCI或SUPI。4.UDM/ARPF创建一个包含RAND、AUTN、XRES*和KAUSF的5GHEAV。5.UDM-AUSF:Nudm_UEAuthentication_Get响应消息，包含UDM创建的的5GHEAV(含RAND、AUTN、XRES*和KAUSF)、指示5GHEAV用于5GAKA的信息(若Nudm_UEAuthentication_Get请求中包含SUCI，则该响应中包含SUPI。)。AUSF临时保存XRES*及接收到的SUCI或SUPI。AUSF可保存KAUSF。6.AUSF基于从UDM/ARPF接收到的5GHEAV生成一个5GAV。从XRES*计算出HXRES*，从KAUSF推衍出KSEAF，然后用HXRES*和的KSEAF分别替换5G7.AUSF-SEAF：Nausf_UEAuthentication_Authenticate响应，包含5GSEAV(含RAND，AUTN，HXRES*)。8.SEAF-UE：NAS消息(Auth-Req)，包含RAND、AUTN、UE和AMF用于标识KAMF和部分原生安全上下文的ngKSI、ABBA参数。9.UE通过检查AUTN是否被接受以验证认证向量是否最新。10.UE-SEAF：NAS认证响应消息，包含RES*(UE计算的认证响应结果)。11.SEAF从RES*计算HRES*，并比较HRES*和HXRES*。12.SEAF-AUSF：Nausf_UEAuthentication_AuthenticateRequest消息，包含UE的SUCI13.当接收到包含RES*的Nausf_UEAuthentication_AuthenticateRequest消息时，AUSF可验证AV是否已到期。若AV已过期，AUSF可从归属网络的角度认为认证不成功。AUSF应将接收到的RES*与存储的XRES*进行比较。若RES*和XRES*一致，AUSF应从归属网络的角度认为认证成功。14.AUSF-SEAF：Nausf_UEAuthentication_AuthenticateResponse消息，包含认证成功的指示、KSEAF(若AUSF在启动认证时从SEAF接收到SUCI，还应包含SUPI)。31/38A.2互联网业务图5互联网业务数据流UE发起初始化PDU会话建立流程，建立PDU会话以发送互联网应用数据的典型数据流程如下(非漫游场景)：1.UE-AMF：NAS消息(PDU会话建立请求)，包含切片标识、UE请求的DNN、PDU会话ID、请求类型、旧PDU会话ID、N1SMcontainer等信息。(此场景中，UE请求的DNN指示本次访问的网络为外部公网)2.AMF-SMF:Nsmf_PDUSession_CreateSMContext请求，包含SUPI、选择的DNN、服务区指示等信息。3.SMF-UDM：Nudm_SDM_Get服务调用，包含SUPI、会话管理签约数据、选择的DNN、切片标识等信息。(UDM可能会调用UDR的Nudr_DM_Query服务从UDR获取上述信息)4.SMF-AMF：Nsmf_PDUSession_CreateSMContext响应消息，包含原因值、SM上下IDNSMcontainer等信息。5.SMF-NRF：Nnrf_NFDiscovery服务调用，包含PCF实例信息。6.SMF-PCF：Npcf_SMPolicyControl_Create服务调用，包含SUPI,PDU会话ID,PDU会话类型、切片标识、NSIID(如果有)、DNN、GPSI(如果有)、接入类型、AMF实32/38IPvIPvPEIUE区、PLMNID、RAT类型等信息。7.PCF-UDR：Nudr_DM_Query服务调用，包含SUPI、DNN、切片标识、策略数据、PDU、用户签约信息等信息。8.PCF-SMF：Npcf_SMPolicyControl_Create响应，会话管理等数据。9.SMF-NRF：Nnrf_NFDiscovery服务调用，请求消息包含DNN、切片标识、SMF区域标识；响应消息包含UPF实例N4接口IP地址或FQDN等NF配置信息。10.SMF-UPF：N4SessionEstablishment请求，包含包检测、执行和报告规则等信息。CN要求等信息；N4SessionEstablishment响应，视不同场景包含请求的IP地址/前缀、CN隧道信息等信息。11.SMF-AMF：Namf_Communication_N1N2MessageTransfer请求，包含PDU会话ID、QoS配置、CN隧道信息、允许的切片标识、PDU会话类型、UE请求的DNN、分配的IPv4地址、接口标识等信息。12.AMF-RAN：N2PDU会话请求，N2SM信息、NAS消息(携带PDU会话ID、PDU会话建立接受消息)等信息。13.RAN-UE：RRC连接重配置相关信息、NAS消息(携带PDU会话ID、PDU会话建立接受消息)等信息。14.RAN-AMF：N2PDU会话响应，包含PDU会话ID、AN隧道信息等信息、接受/拒绝的QFI列表、用户面策略通知。AMF-SMF：Nsmf_PDUSession_UpdateSMContext请求，包含SM上下文ID、N2SM信息、请求类型等信息。16.SMF-UPF：N4会话修改请求/响应，包含AN隧道信息、转发规则等。17.SMF-AMF：Nsmf_PDUSession_UpdateSMContext响应。18.PDU会话建立成功，用户可通过UPF接入外部DN中互联网业务平台。33/38A.3网络切片业务图6切片用户会话数据流切片用户发起注册并请求建立会话的典型数据流程如下(初始/默认AMF判断不能为UE请求的切片服务场景)：1.UE-RAN：AN消息，包含注册请求(注册类型、用户标识(SUCI或5G-GUTI或PEI)、位置、安全参数、请求的NSSAI等切片标识、DNN等会话管理数据)。此外ANGUAMIUE据。2.RAN-AMF：注册请求。3.AMF-UDM：Nudm_SDM_Get服务调用，包含SUPI、签约的S-NSSAI等切片签约4.AMF-NSSF：Nnssf_NSSelecti