工业5G LAN网络安全技术报告

工业5GLAN网络安全 技术报告 工业互联网产业联盟中国联通研究院 联通数字科技有限公司2024年10月 声明 本报告所载的材料和信息，包括但不限于文本、图片、数据、观点、建议，不构成法律建议，也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟、中国联通研究院、联通数字科技有限公司共同所有（注明是引自其他方的内容除外），并受法律保护。如需转载，需联系本联盟并获得授权许可。未经授权许可，任何人不得将报告的全部或部分内容以发布 、转载、汇编、转让、出售等方式使用，不得将报告的全部或部分内容通过网络方式传播，不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者，本联盟将追究其相关法律责任。 工业互联网产业联盟联系电话：010-62305887 邮箱：aii@caict.ac.cn 目录 前言2 一、5GLAN简介5 （一）5GLAN的起源5 （二）5GLAN的发展6 （三）5GLAN的优势7 二、5G网络安全关键技术9 （一）5G接入认证安全技术9 （二）5G数据安全保护技术10 （三）5G网络切片安全技术12 （四）5G网络安全增强技术13 三、5GLAN安全防护关键技术16 （一）5GLAN隔离防护技术16 （二）5GLAN实时监控技术17 （三）5GLAN加密认证技术18 （四）5GLAN终端防护技术19 四、典型案例21 （一）工业5GLAN数据安全管理应用案例21 （二）电力5GLAN终端认证和身份管理应用案例27 （三）智能制造5GLAN网络隔离应用案例32 （四）钢铁制造5GLAN网络安全智能感知应用案例37 五、未来展望42 附录A缩略语44 附录B参考文献46 -1- 前言 3GPP在R16中启动5GLAN项目研究，意味着5G网络具备了广域局域网的能力，为5G网络在工业领域的应用提供了新的思路。5GLAN可以为工业领域提供定制化的专属广域“局域网”，使得工业终端与企业云随时随地处于一个虚拟化局域网中。5GLAN的优良特性使得5G网络在工业领域应用中发挥重要的作用，必将培育出新工业网络应用场景，促进工业企业数字化转型。 工业领域的数字化升级促进了IT和OT网络融合，也给工业网络带来了严峻安全挑战，如攻击暴露面扩大、攻击路径增多等，原来封闭的生产网络、业务系统开始向外界开放，工厂内部网络、系统等被攻击的概率增加。5GLAN在继承5G网络安全能力的同时，结合局域网特点也诞生了一些独有的核心安全能力。面向工业领域千差万别的安全需求，不仅能形成统一了工厂设备的连接形式，而且能针对不同 的业务场景形成有效的网络安全整体解决方案。 本报告考虑工业领域的网络安全需求，结合工业领域5GLAN技术的发展和应用情况，总结了5GLAN网络安全相关技术，以及有代表性的行业典型案例，为工业领域的5GLAN安全技术应用和推广提供参考依据和指导。 总策划：叶晓煜 谢 攀 李浩宇 张建荣 主编：周晓龙副主编：柳兴 荆 雷 鲁华伟 谢云 编委会成员： 王哲陶耀东冯冬芹井柯刘旸俞一帆文宏蒋美景何凯陈丽萍王新宇李易凡刘广祺谢嘉宇韩江雪邱晨张博文王竑达王维治傅成龙葛然王宝栋文雯范勇杰徐乐西吴冬崔莹莹黄继烨靳冰祎谢璟田慧蓉王磊刘程王舒乔思远毛庆梅李艺陈昕黄东华徐书珩赖羿明白小愚 指导单位：中国联合网络通信有限公司政企客户事业群中国联合网络通信有限公司网络与信息安全部 参与单位：中国信息通信研究院 深圳艾灵网络有限公司 奇安信科技集团股份有限公司北京双湃智安科技有限公司中智云物联网有限公司 杭州安恒信息技术股份有限公司兰州兰石爱特互联科技有限公司普天信息工程设计服务有限公司天津市工业互联网研究院 浙江大学 北京交通大学 一、5GLAN简介 5GLAN是基于5G网络的私有移动局域网，由一组5G终端组成，通过5G网络连接实现相互通信。这种网络连接可以在同一办公区内，也可以在相隔遥远的不同工厂、园区之间。相较Wifi、4G等传统技术，5GLAN可以提供更为安全、高效、灵活的无线局域网服务。 （一）5GLAN的起源 5G技术自2019年商用以来，正逐渐与工业制造、能源电力、交通、城市管理、教育等各个垂直行业深度融合，这一趋势已经得到广泛认可。目前，行业各方正在紧密合作，探索各种5G行业应用解决方案和服务流程，推动5G技术的规模商用和进一步发展。 与个人移动应用不同，各个垂直行业对5G网络有着各自独特的需求。一些应用场景需要低延时和高可靠性，也有一些应用则需要更大的带宽，还有一些应用场景要求专属网络以确保数据的安全性。因此，不同的应用场景需要不同的技术方案来满足其特定需求。此外，传统通信方式通常采用TCP/IP协议来实现终端之间的数据传输，但在垂直行业、特别是工业领域的终端可能缺乏对这些三层网络协议的充分支持，这将导致5G网络在垂直行业的应用阻力重重。出于这些需求考虑，5GLAN的概念应运而生。 3GPPR16首次提出了“5GLAN-typeservice”（5GLAN类型业务），包含“5GVirtualNetworkgroup”、“5GLANVirtualNetwork”等概念，涵盖了虚拟组管理、虚拟组成员管理、虚拟组会话管理以及 局域网数据交换管理等多项关键技术能力。通过这项技术，可以实现5G环境下的虚拟局域网分组管理，更好的应对不同垂直行业需求不同的现状，并且使垂直行业不支持二层通信的顽症得以解决。 （二）5GLAN的发展 在定义了5GLAN的基本功能后，R17版本又重点针对5GLAN的计费进行了研究，提出了组管理事件计费方案。该方案通过对虚拟组的组内、组间等不同计费场景进行计费配置，实现了更灵活的计费方案，为5GLAN进一步商用提供了有力支撑。 5GLAN的标准发展也逐渐完善，其中3GPPTS23.501、3GPPTS 23.502、3GPPTS23.503分别从系统架构、程序与信息流和策略与计费控制对5GLAN进行了研究。IEEE802系列标准中IEEE802.11ax （Wi-Fi6）、IEEE802.1Q（VLAN）、IEEE802.3（以太网），虽不是5G标准，但可与5G结合形成更强大的网络解决方案，用于实现5GLAN的目标。 目前R18版本已经冻结。R18完善了5GLAN管理方面的能力： （1）组成员流量特征实时监控。通过该能力，可以让工业用户通过业务量获得更多的工控系统实时统计数据，从而更好地了解网络和业务的实时状态，监控系统运行状态，及时完成性能分析和故障排除。 （2）跨SMF管理VNGroup。该功能可以有效解决R16“一个VNGroup只能被一个SMF管理”的问题。在当前SMF出现故障时自动切 换到其他可用的SMF上，从而保证整个VNGroup的运行不受影响，为工业用户带来更加可靠和高效的网络服务。 （3）跨VNGroup通信。在R16中，跨组通信存在很大的局限性，R18的方案可以解决该问题，帮助用户将多个群组连接起来，建立范围更大的网络。 （4）组管理和组状态上报增强。该特性可以帮助工业用户实现对组内用户和业务流的精细化管理，提高包括用户认证、权限管理、QoS控制等方面的灵活性与可靠性。 图1.15GLAN技术演进图 （三）5GLAN的优势 5GLAN兼顾移动通信网和无线局域网的优点，可满足复杂多变的通信需求，具体如下： （1）良好的基础性能：5GLAN以5G无线技术为基础，继承了5G无线技术大容量传输数据、大规模设备连接、超高可靠低延迟 （uRLLC）可满足生产制造、远程控制等垂直行业对网络带宽、实时 性和精确性要求极高的应用场景。较工业Wi-Fi，5G的覆盖范围更广、小区间切换更流畅、运维服务更具标准体系化，可给用户带来更好的网络体验。 （2）优秀的工业适配：5GLAN解决5G系统本身不支持二层通 信的难题，具备直接进行二层通信的能力，可以与用户已有数据网络进行连接，实现即插即用和相互访问，省去了引入AR的步骤，大大降低了5G网络的改造难度，方便工业终端的5G无线接入。 （3）灵活的组网方式：5GLAN具备数据网络组网、本地组网和 远程组网三种数据转发能力，既能满足同一个PSAUPF下的工厂终端通信，又能满足不同PSAUPF下的工厂终端通信，可以帮助工厂终端设备通信灵活组网，同时支持二层数据交换和三层数据交换，具有较高的数据转发效率。 （4）支持广播与多播：5GLAN支持UPF的双检测转发机制， 提供类似于以太交换机的数据处理与转发功能，实现终端间的数据转发，可以满足组播、广播的通信需求。UPF通过检测终端的目的地址并添加路由，在传统上、下行数据转发的能力之上，实现单UPF、跨UPF的终端间的广播、多播，可满足工业终端的多样性通信需求。 二、5G网络安全关键技术 5GLAN是建立在5G终端接入能力和5G网络之上的私有移动LAN服务，通过建立“群”，为企业内部终端提供灵活的通信服务，包括 终端互通和终端隔离等。5GLAN技术是一种基于5G的局域网技术， 它提供了高速、低时延和高可靠的网络连接，可以支持实时数据传输和网络控制。5GLAN安全具备多项技术能力，不仅继承了5G本身的 安全技术，更加具备增强的网络安全技术能力。本章主要介绍5G本身的安全技术。 （一）5G接入认证安全技术 1、统一安全认证框架 5G支持多种接入技术，为了更好的支持不同应用场景、不同设备接入5G网络，使得用户可以在不同的接入网间实现无缝切换，5G网络采用一种统一的认证框架，实现灵活、高效地支持各种应用场景下的双向身份鉴权，进而建立统一的认证体系。可扩展认证协议（EAP）认证框架，能够满足5G统一认证需求。EAP认证框架，是一种支持多种认证方法的认证框架，框架本身不提供任何安全性，只规定了消息的封装格式，具体的安全目标依赖于使用的认证方法。 2、基于证书实现用户身份信息保护 在5G网络中，每个用户都有一个用户永久身份标识。如果该身份信息在空口暴露，可能出现固定用户进行位置跟踪等安全事件，从而侵犯用户隐私。5G系统中引入了基于公钥体系的加密机制，对SUPI 进行加密形成SUCI，在空口中传递SUCI以全面保证用户的隐私在空口不泄露。为支持SUCI的计算，首先SIM卡需在生产过程中预置运营商公钥，需采用安全方式（如专线、VPN等方式）将公钥数据传输给供卡商制卡；在用户开机登网等场景下，需要传递SUPI时，通过SIM卡中的归属网络公钥对SUPI进行加密生成密文SUCI用于在空口中传输，从而更加有效地保护用户的隐私。在产生SUCI时，需要利用USIM中预置的归属运营商公钥、采用ECIES对SUPI进行加密运算，并且根据算法原理，每次使用时产生的SUCI也不相同。因此攻击者无法根据SUCI推算出SUPI，也无法利用SUCI长时间对用户进行探测，进而无法针对用户进行持续性的跟踪。 3、基于零信任的接入认证技术 零信任体系保障终端可信、通道可信、身份可信，并提供持续信任评估与行为监测能力。对于身份可信，可以通过IAM实现身份管理、认证鉴别、权限管理和访问控制，融合零信任智能多因子认证，支持多种认证模式，包括客户端私有密钥、设备指纹、IP地址、生物身份等。IAM通常采取集中部署模式，基于5GLAN的部署架构，可以按需实施分层部署。对于持续信任评估与行为监测，通过行为记录和审计等方式，持续监控用户行为。针对终端安全事件、违规越权行为、潜在威胁、文件泄露、系统漏洞等状态，及时调整身份认证和访问控制策略。 （二）5G数据安全保护技术 1、5G数据加密技术 5G网络上面承载着很多用户的隐私和敏感信息，需要采用技术措施解决5G网络的隐私保护问题。数据加密是5G网络中保证数据隐私安全的常见手段，按照实现思路，可以分为静态加密技术和动态加密技术。在实现的层次上，可以分为存储加密，链路层加密、网络层加密、传输层加密等。采用加密技术可以有效保证5G网络数据的机密性、完整性和可用性。针对5G网络虚拟化和云化的新特点，可以引入一些新的加密技术来保证数据的隐私安全，如