刘宇阳 吴若彤 安婷婷 孙松林

(北京邮电大学信息与通信工程学院 北京 100876)

(移动互联网安全技术国家工程实验室 北京 100876)

(可信分布式计算与服务教育部重点实验室(邮电大学) 北京 100876)

(liuyuyang0419@bupt.edu.cn)

1 背 景

5G作为新一代通信技术具有大带宽、高可靠、低延时的特点，为构建万物互联的智能社会提供了必要条件.加快5G发展，加速5G与垂直产业的融合，将对各国经济、政治、文化等领域的发展产生全方位、深层次的影响，对重构全球的科技创新与经济实力版图具有重要意义.中国以及美欧日韩等国都在积极开展对于5G的深入研究，加快部署5G基础设施，全力抢占5G技术和业务制高点.

目前，中国经济稳中有升，科技创新蓬勃发展，5G技术作为新一轮技术革命的支点，能够以点带面，充分发挥5G技术在工业互联网、产业数字化转型中的巨大潜力，实现以技术创新驱动经济发展.同时，5G作为新基建中信息通信领域的代表技术，一方面，5G与大数据、人工智能、云计算技术的融合，可以促进我国产业链格局提升发展；另一方面，5G技术与垂直行业的结合可以催生出大量的5G应用场景，例如智能驾驶、远程医疗、超高清、沉浸式视频等.2019年6月6日我国正式颁发5G牌照，2020年在抗击新冠疫情中，我国就初次发挥了5G带来的数字化产业的潜力.我国向国际社会展示了建造火神山医院的“中国5G速度”，在智能医疗、超高清直播、在线教育、在线会议、智能制造、快递配送等多领域落地了一系列新兴技术产业，实现“从0到1”的突破，在十四五的开局之年我国就在多个技术领域发挥了5G技术的潜力.虽然我国的5G基站建造规模全球领先，5G用户数量占据近全球半数，但仍然存在着2点问题：一是我国虽较早实现了5G商用，但相应的技术手段和配套设施并不完善，仍然面对诸多挑战；二是5G将开启万物互联的时代，但产业生态与商用模式的培养尚需时间.通信技术的快速发展使得其成为各行业发展的基石，对网络通信技术的依赖程度越高，安全防护的技术手段与保障机制就越重要，在这样的发展态势下，5G安全[1-4]也就成为了各国发展不容忽视的关键点，在了解我国5G安全政策与电信设备安全检测认证流程后，更需要深入了解世界各国的通信技术安全的发展情况.

本文主要调研了中国与美欧日韩的安全检测认证体系.美国作为世界第一科技强国，是我国在科技领域发展的最大竞争者；欧洲作为以法德等传统强国为首的巨大经济体，在科技的发展中始终占据前列，目前正在逐步开展商用，发展相对平稳.2019年4月3日，韩国政府举行了关于“5G+战略”的发布会，宣布要将5G战略推进国家层面，成为世界上第1个正式5G商用的国家；日本运营商的5G之路启动较晚，直到2020年才逐步展开5G的正式商用，现在希望通过Beyond 5G等政策去驱动5G的发展.

2 中国移动通信安全检测认证体系

2.1 5G安全概述

我国一直以来高度重视信息化安全，在供应链方面的危机凸显出来后，对5G安全中的供应链安全也予以高度重视[5].只有突破核心技术，保证供应链安全，才能保证我国的5G发展地基牢固，在新领域能够筑起技术壁垒，实现技术领先.

我国的5G安全建设发展一直都是紧跟国际标准化组织3GPP与GSMA的标准.3GPP分阶段制定了5G安全标准[6-7]，并由其安全与隐私工作组(SA3)负责制定5G安全标准.其中，R15版本规定5G安全基本机制与功能，形成了5G安全基础架构，R16版本于2020年7月正式冻结，除了继续讨论5G网络的自身安全加固外，更重要的是为各种应用及相关技术提供安全保护能力，包括切片、边缘计算、垂直行业应用等.R17版本将围绕MEC平台安全解决方案、5G垂直行业安全、5G统一安全认证标准演进开展研究工作[8].

从15版本到16版本的过程中，为了实现对网络自身安全的安全评估机制，3GPP SA3持续进行安全保障系列标准(SCAS)的制定，并与GSMA联动形成了网络设备安全评估体系(NESAS)机制.归纳来说，3GPP的安全标准分为3条主线：自身安全设计、业务安全能力、安全保障要求.自身安全设计主要针对网络架构与连接方面的安全，属于基础安全设施的增强.业务安全能力主要是针对5G的各个应用场景进行了相关的安全性分析与建议，便于其保障各个垂直行业的应用.安全保障要求主要针对网络设备安全保障、虚拟化设备安全保障2方面，其中还包括分析了虚拟化对5G系统安全的影响.

针对3GPP等标准化组织对于5G安全研究的最新进展，为了更好地维护我国的5G安全环境，深入推进5G在各个垂直行业的应用，2020年2月中国信息通信研究院和IMT-2020(5G)推进组联合发布《5G安全报告》[9].报告系统梳理了5G关键技术、典型应用场景及产业生态的安全风险，提出安全理念和应对思路措施，倡导联手共建和平5G社会，在互相尊重的基础上联手迎接挑战，同发展，共命运.共建互信互认的评测价值体系，加强多产业发展.

2020年10月29日，中国移动在5G+工业互联网推广大会上发布了《5G+工业互联网安全白皮书》[10].白皮书研究了国内外政策和相关标准，梳理了中国发展工业互联网面临的挑战，提出单一的5G产业互联网安全参考框架.针对工业互联网业务场景，提出个性化5G网络安全能力，旨在推进5G工业互联网安全标准化，加快“中国制造”向“中国智造”转型，帮助实体经济实现数字化转型.

2020年12月23日，中国信息通信研究院在(第10届)电信和互联网行业网络安全年会上发布《中国网络安全技术与企业发展研究报告(2020年)》[11]，重点对5G安全、车联网安全等8个领域进行分析预测.

我国目前在5G基站建设方面具有很大的领先优势，但网络的不确定性、设备安全等问题依然存在.我国人数众多，用户的信息安全是非常重大的挑战.工信部明确表示将在“十四五”期间尽快出台《5G安全指引》，加大网络安全的投入，做好“新基建”的安全保障.运营商也在积极构建5G安全网络，中国电信提出构建云堤高防，中国移动着力打造“安全网络”体系，中国联通提出了行业协同融合安全系统.

2.2 安全检测认证体系

我国移动通信安全检测认证方面的主要政策出台机构、权力赋予机构大多是政府部门，安全检测认证体系流程图如图1所示:

图1 中国安全检测认证体系流程图

我国最重要的就是政府的准入测试体系，其中，主要权力的下发者是国家认监委、工业和信息化部、公安部及国家互联网信息化办公室.国家认监委主要将通信、网络设备的认证授权给中国网络安全审查技术与认证中心，其下属的中国合格评定国家认可委员会认可中国信通院的泰尔实验室具有网络关键设备的检测能力(其检测依据国标委、CCSA以及3GPP等国际通行标准)，中国国家认证认可监督管理委员会认证泰尔实验室具有信息技术、电信终端、音视频设备的检测能力.工信部下的通信管理局、电子设备认证中心与信息技术发展司分别具有电信经营业务许可、电信设备进网许可的颁发与电子设备的认证服务能力[12].网信办授权了包括公安部第三研究所在内的4家机构进行网络安全专用产品安全检测，检测结果需上报至公安部.

我国的移动通信安全设备在通信方面的检测都是由泰尔实验室进行，其中包括工信部负责管理的进网许可，中国质量认证中心的CQC认证及中国强制性产品认证(CCC认证)，CQC及CCC认证主要针对的是安全、质量方面的检测.同时泰尔实验室的业务范围还有：环境管理体系认证、职业健康安全管理体系认证、邮电通信产品认证.

与欧美国家不同的是，我国暂时还没有获得较高认可度的行业联盟的认证标准，仅仅是在各个运营商中存在专属于他们自己的测试认证机制.

3 美国移动通信安全检测认证体系

3.1 5G安全概述

美国对于5G安全的态度是在联合州政府和私营企业的基础上，进行安全风险评估和政策制定.在国家和政治层面向我们传达出的信号并不是很友好，美国国防部的报告里特别提到了“中国速度”，中国5G的优势在于网络部署的速度，美国电信设备对外部依赖较大，美国低频段多为军方使用，因而中国的5G低频段迅速部署和发展增加了美国的危机感，由于物联网的介入，5G供应商的安全可靠尤为重要，需要确保信息和通信技术及服务供应链安全，因而对我国华为等信息通信企业进行打压[13-14].

美国旨在引领国际5G发展，特别是网络安全方面，在符合美国安全和战略利益的情况下，协助美国的盟国、战略伙伴和其他国家，最大限度地保障其5G和未来几代无线通信系统和基础设施的安全；综合各方对于5G网络安全的阐述和分析文件可以看出，供应链安全、工业控制和物联网领域是各方当下关心的重点.

布拉格提案提出“供应链安全”至关重要，该提案明确了5G的安全规则，只有符合高级别透明度、安全性的厂商才有可能成为将来5G设备的供应商.同样，5G安全规则越明确市场的竞争也就更加透明、公正.从这一点来看，明确5G安全规则是有利于市场良性竞争的.美国政府为了更清晰、客观地了解5G设施的安全漏洞对于国家经济、稳定带来的风险，对全球5G市场与架构进行了全面深入的调研.2018年以来，特朗普政府持续向盟国施压，要求其加强对于来自华为的5G技术设备审查与评估，提倡其他西方发达国家和发展中国家一起维护布拉格提案，以谋求建设一个安全规则，维护美国包括但不限于5G标准制定方面的国际地位，并将加强5G供应商的竞争[15].

美国制定和实施国际5G安全原则.2020年初，美国先后发布《促进美国5G国际领导力法案》《保障5G安全及其他法案》《5G国家安全战略》[16]等政策性文章，旨在推进和加强其本身对于专利数等科技生产力的保有量，渴望依然能够垄断5G技术，成为规则的制定者.聚焦于制定5G基础设施安全原则及风险评估指标、供应链和供应商管控、国际5G安全标准等涉及5G安全的国内及全球规则体系，以影响国际5G开发和部署.同年3月12日和23日，美国总统特朗普分别签署了《安全和可信通信网络法》与《5G安全和超越法案2020》，旨在制定一项国家级战略，以保证未来通信系统与基础设施安全[17-19].

3.2 安全检测认证体系

美国移动通信安全检测认证体系整体主要分为三大类：政府准入测试、行业协会准入测试和运营商准入测试，如图2所示.

图2 美国安全检测认证体系流程图

对于政府准入测试，主要是国会下属的FCC提供的强制性认证，针对EMC,SAR(合成孔径雷达)，RF等功能的验证，其认证方式包括Certification,DoC和Verification；其次是美国职业安全和健康委员会(OSHA)下属的国家认可实验室(NRTL)授权进行的测试，该测试是针对多类型安全问题进行的.其中FFC授权给FCC认可实验室进行检测，并在收到检测合格反馈后，由FCC的发证机构TCB颁发证书.而OSHA[20]授权认可了一系列实验室进行检测与认证，不同的实验室认证标识不同，这些都不是政府权威机构的强制性认证，但是由于其行业影响力，以及和其他权威认证机构的互认(UL和CB,CE,PSE等具有互认业务存在)，使得这些非强制性认证也具有举足轻重的地位.

对于行业协会准入测试，包括运营商联盟提出的PTCRB认证和行业联盟提出的CTIA认证.PTCRB认证的行政管理机构是CTIA.PTCRB是由北美的运营商成立的，是投放北美的通信设备所必须要认证的，通过该认证后才能申请IMEI.对于中国的设备来说，值得注意的是在PTCRB认证之前要首先获取到FCC的ID号码，只有得到FCC的ID后PTCRB才能进行认证.其中，中国信通院、上海华东电信研究院和深圳信通院都是获得PTCRB授权的检测认证机构.CTIA[21]认证是美国的一个电池认证项目,CTIA对电池有着严苛的认证要求.如今，CTIA电池认证已成为北美电信运营商的强制性准入要求.经过授权的检测机构对产品进行检测后将发放检测报告.

对于运营商准入测试，会依据运营商定制的要求进行符合营运商定制业务的一系列测试.

4 欧洲移动通信安全检测认证体系

4.1 5G安全概述

欧盟将5G技术视为欧盟参与国际竞争的重要推手[22-23].经过前期的发展，欧盟选择在新技术领域着重发力.在5G发展的浪潮中欧盟整体稳中求进，法国、德国等传统工业强国在科技方面正着力发展，争取带动整个欧洲进入5G时代.对于5G安全方面，2019年7月，成员国向欧盟委员会和ENISA(欧洲网络与信息安全局)提交了国家风险评估结果，成员国提供的信息覆盖了以5G基站为首的一系列基础设施建设与风险投资的方面，描述了目前主要资产的脆弱程度与潜在危险.欧洲希望能够以创新带动科技发展，在确保供应链安全的基础上推动经济社会持续发展[24].

2019年6月，欧盟《网络安全法案》[25]正式施行，该法案重新定位各职能单位的工作内容，并且重新规定网络安全认证情况.2019年10月，欧盟发表《欧盟5G网络安全风险评估》[26]，该评估主要分析了欧盟自身的缺陷与可能会被威胁到的弱点，同时预测了未来可能的风险.之后，欧盟网络与信息安全局发布了《5G网络威胁态势》《5G网络安全风险缓解措施工具箱》等分析与论断性文件，旨在持续推进5G安全风险评估，为盟国提供风险缓解措施.值得注意的是，欧盟不再将中国视为发展中国家，与中国的关系也不再是简单的“经济竞争者”，而是将中欧关系定位为：追求科技进步与技术领先道路上的“体制性竞争对手”.欧盟正在为5G社会到来所带来的科技安全挑战做万全准备，在信息、资产、供应链问题上高度聚焦.

4.2 安全检测认证体系

欧盟的移动通信安全检测认证体系主要从欧盟、行业联盟和运营商3个角度出发，整体看来更具概括性，认证流程图如图3所示.

图3 欧盟安全检测认证体系流程图

在欧盟政府认证体系中最重要的就是CE认证.CE认证类似于中国的CCC认证，是欧洲的强制性认证标志.任何想要在欧盟市场上进行流通的商品都需要加贴“CE”标志，以表明产品达到相应的安全标准.

CE认证授权的检测机构经检测后可为申报单位颁发证书，不同的检测机构具有不同的认可度，其中源自德国的TUV认证可以说是CE认证中最具认可度的发证部门.

对于行业联盟，主要是针对通信、电子类网络设备进行检测与认证的GCF认证.GCF认证授权的测试机构收到检测结果反馈后可进行证书的颁发.对于运营商，欧洲四大运营商包括：德国电信、Orange、西班牙电信和沃达丰集团，不同运营商具有其专属的功能性检测认证.

5 日本移动通信安全检测认证体系

5.1 5G安全概述

日本政府的网络安全战略就是要构建世界领先、与时俱进的网络安全防御体系，要让本国的民众对于日本的网络安全体系充满自信.日本政府于2014年11月颁布《网络安全基本法》，界定了网络安全的定义，对于国家各职能部门的任务进行了分配，全国上下统筹协调以建设一个良好的网络环境[27].之后于2015年9月发布了《国家网络安全战略》，展望了2020年东京奥运会，并概述了日本网络安全在未来3年的政策.在3年后也就是2018年又对于网络安全国家战略进行了更新，在时间线上看来，每3年日本政府都会更新一次国家网络安全战略[28].

日本在意识到自身在5G建设中所处于的地位后，积极推出了一系列的法案，想要赶上网络时代发展的浪潮.2020年2月18日，日本总务省(MIC)为电子制造企业富士通发放了首张区域5G(local 5G)频率许可.2020年4月28日，日本最大的运营商NTT Docomo发布财报，由于受到新冠肺炎疫情的冲击，5G业务发展不顺.日本计划在未来几年内加大科技发展的投入，力求能够参与到3GPP等组织的标准化制定中，推进实现Beyond 5G.

对比中国的发展，日本在5G发展中有局限，并且在一系列国际标准、专利中所占份额不多.近年，日本认识到了自身存在的问题，正在积极发布新政，展开新举措，提高通信行业发展速度，力求在6G时代能够占据领先地位.

5.2 安全检测认证体系

日本的移动通信安全检测认证体系中，权力整合多掌握在日本政府手中，整体主要从日本总务省、日本经济产业省和行业联盟3个角度出发，如图4所示:

图4 日本安全检测认证体系流程图

首先，作为日本中央省厅之一的日本总务省管控着JATE认证和TELEC认证，JATE认证是日本的入网许可认证，属于公共接入网的认证，涉及所有和公共电话或者电信网络直接连接的电信设备.TELEC认证是日本针对无线产品的强制认证，主要针对无线电射频设备，类似中国的国家无线电管理委员会的SRRC认证.

对于日本经济产业省，其下属的商务信息政策局与信息经济司可协助制定标准，下属的PSE认证是日本强制性安全认证，PSE认证标识表明产品通过了一定的安全性检测.在完成PSE认证后需向METI备案.对于中国制造商而言，想要在国内完成PSE认证，需要去查阅中国质量认证中心中与PSE的互认项目名单，明确项目与检测单位后可直接去授权单位进行测试，获取认证.

对于行业联盟下属的VCCI认证是电磁兼容认证标志，VCCI认证是针对自己的会员提供的，其入会需要提供EMI测试报告，该报告只能从VCCI认可的机构测试发出.

6 韩国移动通信安全检测认证体系

6.1 5G安全概述

韩国是全球首个商用5G的国家，其起步早、势头猛.因为其国土面积不大，掌握专利数众多，目前已经十分迅速地在国内布好5G基站，能够在具有很高覆盖率的同时保证很高的下行速率，使得其4G用户正在快速地转向5G.在3G和4G时代美国的高通占据主导，在5G时代中国的华为、中兴不断赶超，不容忽视的是韩国三星也是走在第一梯队的一员，其5G相关专利占有率名列前茅，同时，韩国对于5G安全高度关注[29].

2019年4月，韩国青瓦台国家安保室发布《国家网络安全战略》，响应了2018年底出台的《文在寅政府国家安全战略指针》，该文件提出政府下一步的目标是加速推进韩国的网络安全建设，将韩国建设为网络安全强国，为公民打造安全、平和的大环境.

2019年9月，韩国政府发布了《国家网络安全基本规划》，该规划讲解了政府层面如何落实国家网络安全战略规划.另外，为了确保网络安全技术和人员的竞争力，政府加大研发投入，培养创建新型安全产业圈；加强文化投资建设，培养公民的文化自信；深化国际合作，充分发挥本国技术先导优势.

韩国5G+战略委员会于2020年4月8日发布了《5G+战略发展现状及未来计划草案》.该草案从多角度说明了下一步韩国的5G发展道路，以领跑产业技术发展为目标积极推进5G-NR-V2X(版本16)的标准化工作，并以2027年后实现完全自动驾驶商用化为目标，确保核心技术的开发.

6.2 安全检测认证体系

韩国移动通信安全检测认证体系整体分为KC认证、MSIP(KCC认证)和能效认证制度3个角度，如图5所示:

图5 韩国安全检测认证体系流程图

KC认证是电子、通信类产品想要在韩国销售需要必须经过的认证机制.包括强制性安全认证、自律性安全认证和供应商自我确认.KC认证与包括中国的质量认证中心等多家机构完成了互认.认证机构委托不同的测试机构对申请单位进行检测合格后即可认证成功，并将结果反馈给韩国无线电研究所.同时，该研究所是KCC授权的认证机构，KCC认证是针对无线电射频产品测试.

对于能效认证制度，主要包括能效等级标记制度MEPS、待机低耗电制度E-standby和高效率能源设备制度HECP.授权的认证机构有韩国产业技术实验研究院(KTL)和韩国机械电气电子实验研究院(KTC)等，这些认证机构又继续授权测试机构进行检测并反馈结果，最终完成认证流程.

7 结 论

1) 从检测认证流程的角度来说，全球各国的检测认证单位基本都可以分为政府、行业联盟和运营商3类，政府层面主要负责强制性检测，更加侧重安全方面.行业联盟的角度就更多的是涉及到产品研发及产业生态的上下游安全，对于优质产业链的保障至关重要.运营商的角度主要是涉及到产品与服务两大市场.

目前，各个国家间的政府层面检测大多设立互认网点，例如：我国的泰尔实验室就基本可以满足国际标准及欧美日韩等大国的部分安全性检测认证.FCC，UL，CE，JATE，KC认证都分别在泰尔实验室、中国质量认证中心中具有互认的检测认证项目.从几个国家和地区的检测认证体系对比中可以看出，我国的检测认证授权单位均为政府部门，机构多为国企.这就形成了我国与欧美日韩检测认证体系的不同，我国的体制决定了我国的管理形式，我国的管理是通过权力的层层下放实现的，每一个检测机构和认证机构都需要获得相应上级单位的授权、认可.但是从整体架构上考虑，我国在行业联盟方面的发展较为落后，前期，我国的供应链安全问题频发，这恰恰说明发展行业联盟可能是解决供应链问题的一个好方法.

美国除强制性检测FCC是政府组织外，其余都属于得到国家许可的行业领跑组织，直接采用CITA与PTCRB这样的国际化组织制定的标准进行的测试也不在少数.欧盟由于其国家联盟的组织形式，检测认证标准大多比较笼统，旨在维护稳定.作为通行标准的CE认证是一项基础的安全检测认证标识，另外，欧盟更多地采用了在欧洲知名度较高的一些认证标识，例如德国的GS认证、TUV认证等.对于韩国和日本，由于国家体量小，安全检测认证收于国家更易管理.总的来说，中美欧日韩的检测认证内容基本相同，主要的区别在于除国际通行的标准外，其余认证的归类与名称大多不同，这为我们构建国际互信互认的5G安全认证体系提供了可能.

2) 从各国5G发展情况的角度来说，全球各国的5G发展总路线基本一致，都是先立法，后出台政策，但是每个国家的发展情况差别巨大.

首先，中国作为这次在5G的竞争中脱颖而出的发展中国家，虽然在供应链等环节暴露出了短板，但就总体发展情况来看，我国的5G基站数量、用户保有量都领先国际，目前最重要的是坚持发展，保持创新，与时俱进地发布新政策，完善落实5G安全体系.

3) 美国作为通信技术领先的国家，在5G的发展中依然处于领跑地位，高通等公司掌握了大量的专利资源，在3GPP,GSMA等国际化组织中有举足轻重的地位.近年，在中国等国家展示出5G发展中的巨大潜力后，美国开始出台一系列政策，建立技术壁垒.欧盟与美国相比，在5G的发展中谋求稳中求进，法国、德国等传统工业大国出台了一系列政策，希望能抢占5G发展高地.欧盟网络安全部门(ENISA)与其他政府部门同时关注安全发展，发布了一系列关于5G安全的文案，表明要着重发展重工业在内的实体经济.韩国作为传统的通信领先国家，又是全球第1个商用5G的国家，发展速度十分迅猛.由于体量的原因，5G迅速落地在韩国成为了现实.同时，韩国由于三星等公司的存在，持续为国际标准化组织作出贡献的同时，拥有巨大发展优势，值得我们关注.最后，日本在本文分析的国家、地区中是5G发展较晚的，原因在于日本在国际标准化组织等专利化机构中的贡献较少，话语权较小，技术推进速度较慢.日本总务省(MIC)也在不断地制定新的政策，希望能够在后5G时代迎难而上，赶超上来.

总的来说，我国的5G发展是全面而快速的，我国在这次5G的斗争中抢占到了领先的位置，在整理了国际安全检测认证体系后我们发现，与他国不同的是：中国的检测认证权力还是相对集中在政府的手中，行业联盟组织相对薄弱.政府可以考虑增加对相关行业发展的投入，加强维护产品研发及产业生态的安全性，为供应链的发展提供一个良好的环境.同时，我国应与时俱进地根据国际形势出台与时俱进的政策，保持对于国际标准化组织的关注度、参与度、贡献度，用灵敏的政治嗅觉，对美欧日韩的政策取其精华、弃其糟粕，努力构建与美欧日韩等国家、地区互信互认的5G安全认证体系，不断发展泰尔实验室等国际化检测认证机构，提高我国在国际标准制定中的影响力.在提高风险意识的同时与其他国家、地区保持友好交流，在和平、安全的大环境下，助力我国经济社会持续平稳发展，顺利完成数字化转型.