3GPP 5G标准中文版《R15 TS 33.501 5G系统安全架构和过程》中文版翻译及英文原版下载地址：

https://www.izhike91.com/429.htm，连接内容验证真实有效！

节选：

4 安全架构概述
4.1 安全域
图4-1给出了安全体系结构的概述。

该图说明了以下安全域：

• 网络接入安全性（I）：一组安全功能，使UE能够安全地通过网络进行身份验证和接入服务，包括3GPP 接入和非3GPP 接入，特别是防止对（无线）接口的攻击。 此外，它还包括从SN到AN的接入安全性的安
  全上下文交付。

• 网络域安全性（II）：一组安全功能，使网络节点能够安全地交换信令数据和用户平面数据。

• 用户域安全性（III）：将用户接入保护到移动设备的一组安全功能。

• 应用流程域安全性（IV）：一组安全性功能，使用户域和提供者域中的应用流程能够安全地交换消息。 应用流程域安全性超出了本文档的范围。

• SBA域安全性（V）：一组安全功能，它使SBA体系结构的网络功能能够在服务网络域内与其他网络域进 行安全通信。 这些功能包括网络功能注册，发现和授权安全方面，以及对基于服务的接口的保护。 与
  TS 33.401 [10]相比，SBA域安全性是一种新的安全功能。

• 安全性（VI）的可见性和可配置性：一组功能，使用户能够获知安全功能是否正在运行。
  注 ： 图中未显示安全性的可见性和可配置性。

4.2 5G核心网络周边的安全实体
为了保护通过N32接口发送的消息，5G系统架构引入了安全边缘保护代理（SEPP）作为位于PLMN网络边界的实 体：

• 接收来自网络功能的所有服务层消息，并在将它们从N32接口上的网络发送出去之前保护它们

• 接收N32接口上的所有消息，并在验证安全性后将其转发到相应的网络功能（如果存在）。
  SEPP为跨两个不同PLMN的两个NF之间交换的所有服务层信息实现应用层安全性。

4.3 5G核心网络中的安全实体
5G系统架构在5G核心网络中引入了以下安全实体：
AUSF： AU身份验证服务器功能;
ARPF： 身份验证凭据存储库和处理功能;
SIDF： 用户标识符隐藏功能;
SEAF： 安全锚函数。

5 安全要求和功能
5.1 一般安全要求
5.1.1 缓解和降低攻击请求
攻击者可以通过使UE和网络实体分别认为对方不支持安全功能来尝试降低攻击，即使双方实际上都支持该安全 功能。 应确保在上述意义上可以防止出价下降。

5.1.2 身份验证和授权
5G系统应满足以下要求。
用户认证：服务网络应在UE与网络之间的认证和密钥协商过程中认证订购永久标识符（SUPI）。
服务网络认证：UE应通过隐式密钥认证认证服务网络标识符。
注 1： 这里“隐式密钥认证”的含义是通过在后续过程中成功使用由认证和密钥协议产生的密钥来提供 认证。
注 2： 前述要求并不意味着UE在服务网络内认证特定实体，例如AMF。
UE授权：服务网络应通过从归属网络获得的用户简档授权UE。 UE授权基于经过身份验证的SUPI。
由归属网络提供网络授权：应向UE提供保证，确保它连接到由归属网络授权为UE提供服务的服务网络。 这种 授权是“隐含的”，因为它是由成功的身份验证和密钥协议运行所暗示的。
接入网络授权：应向UE提供保证，确保它连接到由服务网络授权为UE提供服务的接入网络。 这种授权是“隐 含的”，因为它是由成功建立接入网络安全所暗示的。 此接入网络授权适用于所有类型的接入网络。

未经认证的紧急服务：为了满足某些地区的监管要求，5G系统应支持未经认证的接入用于紧急服务。 此要求 适用于所有ME，仅适用于存在未经认证的紧急服务的监管要求的服务网络。 位于禁止未经认证的紧急服务的 地区的服务网络不得支持此功能。

5.1.3 与密钥相关的5GC和5G-RAN要求
5GC和5G-RAN应允许使用加密和完整性保护算法，用于具有128位长度密钥的AS和NAS保护。 网络接口应支持 256位密钥的传输。
用于UP，NAS和AS保护的密钥应取决于使用它们的算法。