日以后建立并使用公钥密码的信息系统，应当使用 SM2 算法；已 经建设完成的系统，应尽快进行系统升级，使用 SM2 算法。 近几年，国家密码管理局发布实施了《证书认证系统密码及其相关 技术规范》、《数字证书认证系统密码协议规范》、《数字证书认 证系统检测规范》、《证书认证密钥管理系统检测规范》等标准规 范，2010 年，发布实施了《密码设备应用接口规范》、《通用密码 服务接口规范》、《证书应用综合服务接口规范》及《智能 交换机连接到协同办公平台服务器。 3****单位密码应用现状分析 3.1****单位密码应用现状 ****单位协同办公平台已经应用了部分密码技术对系统进行了安全 防护，主要是在协同管理平台系统身份认证鉴别上使用用户名/口令 +动态密码的身份认证方式，用 SM3 数字摘要算法对用户静态密码进 行哈希加密存储，防止系统被攻破后口令被脱库，一次性动态密码 由用户安装 APP 后，由 APP 实时向业务系统获取，协同办公平台用 常登录到平台进行日常事务办理。因此****单位国产密码应用的现 状是，目前只对用户密码身份验证这个最敏感的环节做了国产密码 的安全改造。 3.2 面临的问题 目前在密码应用上主要存在以下几个问题： 1、除了系统核心的用户身份认证技术采用的动态口令验 证过程采用国产算法加密外，协同平台重要数据和数据库 关键字段还未能使用国密 SM4 或 SM3 算法加密存储。 2、管理员在对协同办公平台服务器进行运维管理过程中 缺乏基于密

机制，向集中采购模式转型（ 2019 年 1 季度）。按物料进行 sourcing ，组织集中在总部，供应商寻源，选 择，评估，商务等。集中认证，发挥量的优势。采购执行部门相对分散在制造体系和用户部门中。 2. 联想：全球 sourcing 模式，严格按照采购品类划分，集中认证、选择、合同、商务、战略合作权力。采购搭建平台、流程和规 则；相关用户部门，质量部门参与采购过程。 3.DELL ： DELL 和事业部采购按（动态）品类进行分工。无“行管 （采购类别的行业线管理）”部门和管理理念，即业务管理、流程管理、规则管理没有归口部门。 3. 寻源和商务权力“部分集中”但缺乏统一逻辑，：寻源 / 认证 / 供应商选择采购“分散集中”的模式。行政、生产、工程、集成类“分 散式集中”。由于“框架采购”覆盖率低，导致实质上的采购分散。 4. 采购履行职能分散，分散履行，分散到货：业务（使用）部门、总部采购部、轨道交通供应链部等。  和产品开发（研发、制造类）相关：采购策略不清晰，“ make or buy” 策略（层级管理）不清晰。  和平台支撑（行政、服务、资产类）相关：采购介入的程度和力度有限，需求部门主导供应商认证和选择。 11 ．代维服务 5. 看自己（采购业务和采购部门） ——采购面临的业务场景很多，链条较长 二、采购定位及业务优化方向 价 值 创

节能实践 2 中游 企业内部能碳服务 数智能效优化服务 工业多能协同优 化 数智用能管理和诊断服务 组织碳排放核算 减排碳资产开发 在线三方认证管理 碳减排目 标设定 碳排放多层级监测 企业碳排放推演 碳减排进度跟踪 碳账户管理 产品碳足迹 MRV 管理 双碳建设咨询 碳履约管理 碳交易服务 双碳数字化服务 碳体系建设 碳减排管理 低碳运营 碳资产开发 减排量核算 减排量备案 减排量签发 减排量售卖 服务全景：数字化为企业提供全链路能碳服务，助力降本增效 碳资产开发 碳盘查核算 产品碳足迹 核算 碳认证服务 ESG 管理功能 应 用 价 值 企 业 侧 服 务 功 能 数 据 接 入 业 务 数 据 源 原材料物流 容需分析 能耗 KPI 设备利用率 ECC 管理 能源计划 能源平衡表 能 效 评 价 碳资产管理 能效对标 单耗管理 2.2 、综能调 度 能耗排名 碳认证管理 峰谷用电策略调度 光储充策略调度 冷热高低品位调度 多连供系统策略调度 能源数据中台 能源传输域 采集计量域 能源消费域 能源生产域 数据采集中心 多元采集

数据交换平台.................................................................................53 4. 统一身份认证平台.........................................................................60 5. 综合服务门户平台......... 化建设的速度与学校事业发展的需求不相适应，信息化建设的深度与学院教学、 科研、管理的需求不相适应，信息化建设的广度与师生员工的需求不相适应， 并且，由于过去各个系统都是孤立的信息系统建设，没有统一的信息访问渠道 以及统一的身份认证，导致学校信息化面临着以下问题。 3.1. 学生面临的问题 （1）现有应用重管理轻服务现象严重，为学生提供的信息服务不够全面 业务部门管理信息系统建设过程中主要解决部门内部的流程及管理数据的 送达。全面覆盖 了每一位用户的每一个终端。可以设置每条消息的接收方式，从基于 Web 的一 站式桌面到智能终端的应用程序，再到手机短信、APP，都可以及时地接收到 推送的消息。 提供统一身份认证服务：为各个应用提供了单点登录的能力。 提供统一角色管理与访问控制服务：在传统的智慧校园中，不同应用各自 管理不同的用户与角色，这并不利于智慧校园的统一化与规范化。因为显然， 学校中每位用户的

的 5G 网络统一安全管控功能、轻量化的 5G 网络身份认证 鉴权功能、面向多业务需求的 5G 网络切片安全防护、基于大数据分析的 5G 网络安全监测预警、基于边缘 计算的一体化安全防护功能、基于设备行为分析的感知节点安全防护功能，构建了集业务加密、网络安 全、终端可信、身份可信、安全管控于一体的安全平台。此外，分析了现有 5G 认证与密钥协商（AKA， authentication and 击者可以冒充真实的服务网络与用户设备和归属网络进行通信，从而进行基站伪装攻击。这种攻击可能会 导致智慧机场网络数据泄露，并遭遇敌手的篡改、欺骗等问题。针对智慧机场网络安全需求和 5G 认证与密 钥协商协议的安全问题，设计了抗攻击的改进 5G 认证与密钥协商协议，并通过形式化安全模型、安全目标 定义与形式化的安全性分析证明了所提方案的抗攻击能力。 关键词：5G；系统设计；安全协议；安全性分析 中图分类号：TP393 移动通信网络中， NFV 与 SDN 等技术的使用，使得控制面与数据 面分离，导致网络安全边界更加模糊，信息交互 更加复杂，网络安全防护难度增大[6]。此外，在 智慧机场场景下，大规模异构设备的管理为网络 认证与安全管控提出了新的挑战。因此，传统的 安全防护设计难以有效应对新型的 5G 网络安全 威胁，需要采取更加先进的安全防护措施，如秘 密信息安全流转、网络流量监测、行为分析等技 术，以确保 5G 移动通信网络的安全。

业务平台概述 .........................................................................48 2.6.2. 统一身份认证 .........................................................................48 2.6.3. 虚拟卡包平台 ，能够支持 各种异 构应用系统实现结构化与非结构化数据交换的基础支撑层的背景下，整合各类基 础服务能力、服务网关、技术工具等，及时响应各类前台业务应用和运营需求。 一脸通模块提供统一身份认证服务、通行管理服务等，将人脸作为核心服务要素， 44 智 慧 城 市 系 列 - 公 共 服 务 中 台 在合理的范围内使用人脸加快街道运行效率，包括政务业务办理、社区生活、文 问控制及统一授权审计等功 能。角 色管理服务是基于统一用户管理服务能力，按照各职能部门业务工作开 展的习 惯，定制角色及相应权限的业务支撑功能。 单点登录：对现有及新建的各业务系统实现统一账户认证管理和单点登录。 用户管理：通过与各应用系统集成实现对用户身份生命周期统一管理，基于 角色的权限管理。 角色管理：角色代表拥有同一类系统操作权限的组。角色与用户和权限相关 联，可将某些权

Abbreviations 华为乾崑智能汽车解决方案 网络安全法规标准遵从、测评与认证 42 PART 4 4.1 GB 44495遵从 4.2 UN R155、ISO/SAE 21434遵从 4.3 C-ICAP测评 4.4 IVISTA测评 4.5 CC EAL安全认证 4.6 车联网云平台CCRC认证 4.7 汽车隐私保护测评规范 43 44 45 46 48 49 位的网络安全防护技术方案，包括基础安全、远程端到端加密、诊断安全、信任环车内通信安 全、一车一授权防刷车等，联合构成整车安全防线。 第四章：介绍华为乾崑网络安全高质量符合国家标准、国际标准，在行业推荐性安全标准测 评认证中取得优异成绩。 第五章：介绍华为乾崑网络安全如何构建全生命周期安全，保证过程安全、结果安全。通过 优秀的安全工程实践保证安全质量，对智能汽车进行安全测试，在车辆上市前保证问题闭环； 在车辆上 设，车内不 同部件不再视为同一个信任网络，在部件之间的访问需要采取接入认证、访问控制等安全措 施。但车内ECU多达100多个，无法在每两个ECU之间进行访问控制。在华为乾崑网络安全解 决方案中，将部件进行分层部署，以执行ECU为被保护层，构建多层纵深的保护架构。采取零 信任网络理念进行设计，外层访问内层需要进行接入认证、权限鉴定，保护访问的完整性、机 密性、可用性，做到防篡改、抗仿冒、防重放。

景区车载及站台无线组网...................................................................................25 3.3.6 无线接入认证方式..............................................................................................25 发布及时的旅游目的地评价机制。 同时，智慧旅游的网络建设将能深入推进旅游信息化基础设施 和基础能力建设，加强景区游客服务中心、城市游客集散中心的信息化基础设施建设，提升信息 服务水平；加强旅游信息化的安全保障，逐步建立以身份认证、授权管理等为主要内容的旅游信 息体系；并基于该体系进行信息主动推送和数据收集及数据分析。 2.2 全程优质网络体验 随着智能终端的普及移动互联网的蓬勃发展，分享旅途感受已经成为了广大游客在旅途中常 使得景区可以为广大游客进行适度营销的场所，通过第三方支付的后向收费模式，带动智慧旅游 网络的良性、可持续性发展。 景区可以将移动互联网的认证页面做为广大消费者的移动互联网入口，这也是是现阶段投入 最小见效最快的后向收费模式。景区可利用现有的旅游资源和商品资源，为游客提供内容和服务， 也可在认证页面上为第三方提供广告位，以及为优质网络资源方导流，做到多方共赢。这种模式 也决定了景区可以和移动互联网的全平台进行合

时延的新业务场景及网络切片、边缘计算等新技术和大规模异构新型终端以及面向铁路的智能新应用,全面分析了智能铁路 ５G 服务的安全新需求,总结了密码算法、空口安全、隐私、统一认证及漫游等方面的５G 安全增强新特性.在此基础上,给出智 能铁路５G 通信网络在安全认证、物理层安全、终端安全、切片安全、边缘计算安全方面需关注的重点.针对５G 专网部署方式, 给出基础设施、通信安全、安全管理数据安全、内生安全防御体系方面的建议 AUC,HLR 和 VLR 组成 认证 使用 SUCI和 SUPI进 行 身 份 验 证,EAPＧ AKA 和５G AKA 是必要的身份 验 证 方 法. 如果需要外部数据网络,可以执行二次身份 验证 使用IMSI和 TMSI进行身份验 证,身份验证方法为 EPSAKA, 不支持二次身份验证 使用(RAND,SRES,Kc)三元组 进行身份认证,认证算法为 A３, 不支持二次身份验证 跃升,但海量异构终端意味着网络内部与外界之间可被攻击 的入口增多.自然环境对高铁安全有很大影响,地质灾害和 高温、强风、雨雪、冰冻等极端天气都对高铁安全运营构成一 定威胁.尽管５G 在用户身份认证过程中加强了安全性和身 份保密性,但仍有合法用户接入网络后被跟踪、服务被降级甚 至掉线的问题. ３．６ 公专融合应用风险 专网有限的资源难以满足铁路智能化发展带来的业务量 迅速膨胀,需要综合利用铁路专网和运营商公网两部分资源