工業(yè)5G LAN網絡安全技術報告

目 錄前言 2一、5GLAN簡介 5（一）5GLAN的起源 5（二）5GLAN的發(fā)展 6（三）5GLAN的優(yōu)勢 7二、5G網絡安全關鍵技術 9（一）5G接入認證安全技術 9（二）5G數據安全保護技術 10（三）5G網絡切片安全技術 12（四）5G網絡安全增強技術 13三、5GLAN安全防護關鍵技術 16（一）5GLAN隔離防護技術 16（二）5GLAN實時監(jiān)控技術 17（三）5GLAN加密認證技術 18（四）5GLAN終端防護技術 19四、典型案例 21（一）工業(yè)5GLAN數據安全管理應用案例 21（二）電力5GLAN終端認證和身份管理應用案例 27（三）智能制造5GLAN網絡隔離應用案例 32（四）鋼鐵制造5GLAN網絡安全智能感知應用案例 37五、未來展望 42附錄A縮略語 44附錄B參考文獻 46-1-前 言3GPPR165GLAN5G5G5GLAN5GLAN5GIT和OT5GLAN5G的業(yè)務場景形成有效的網絡安全整體解決方案。5GLAN5GLAN5GLAN總策劃：葉曉煜謝攀李浩宇張建榮主編：周曉龍副主編：柳 興荊雷魯華偉謝 云編委會成員：王哲陶耀東馮冬芹井柯劉旸俞一帆文宏蔣美景何凱陳麗萍王新宇李易凡劉廣祺謝嘉宇韓江雪邱晨張博文王竑達王維治傅成龍葛然王寶棟文雯范勇杰徐樂西吳冬崔瑩瑩黃繼燁靳冰祎謝璟田慧蓉王磊劉程王舒喬思遠毛慶梅李藝陳昕黃東華徐書珩賴羿明白小愚指導單位：中國聯合網絡通信有限公司政企客戶事業(yè)群參與單位：中國信息通信研究院深圳艾靈網絡有限公司北京雙湃智安科技有限公司中智云物聯網有限公司杭州安恒信息技術股份有限公司蘭州蘭石愛特互聯科技有限公司普天信息工程設計服務有限公司天津市工業(yè)互聯網研究院浙江大學北京交通大學一、5GLAN5GLAN5G5G5GWifi、4GLAN（一）5GLAN5G20195G5G5GTCP/IP5G5GLAN3GPPR165GLAN-typeservice”（5GLANGialtrkrpGNVtleok”（二）5GLAN5GLANR175GLAN5GLAN5GLAN3GPPTS23.501、3GPPTS23.502、3GPPTS23.5035GLANIEEE802IEEE802.11ax（Wi-Fi6）、IEEE802.1Q（VLAN）、IEEE802.3（），5G5GLAN目前R18版本已經凍結。R18完善了5GLAN管理方面的能力：除?？鏢MFVNGroupR16VNGroupSMFSMFSMFVNGroupVNGroupR16R18組管理和組狀態(tài)上報增強。該特性可以幫助工業(yè)用戶實現QoS圖1.15GLAN技術演進圖（三）5GLAN的優(yōu)勢5GLAN5GLAN5G無線技術大容量傳輸數據、大規(guī)模設備連接、超高可靠低延遲（uRLLC）可滿足生產制造、遠程控制等垂直行業(yè)對網絡帶寬、實時WFG優(yōu)秀的工業(yè)適配：5GLAN5GAR5G5GLANPSAUPFPSAUPF支持廣播與多播：5GLANUPFUPFUPFUPF二、5G網絡安全關鍵技術5GLAN5G5GLAN終端互和終離等。5G LAN技術是一種基于5G的局域網技術，5GLAN5G本身的安全技術，更加具備增強的網絡安全技術能力5G（一）5G接入認證安全技術1、統(tǒng)一安全認證框架5G5G（EAP）5GEAP2、基于證書實現用戶身份信息保護5G5G進行加密形成SUCISUCISIM（VPNSUPISUPISUCISUCIUSIMECIESSUPISUCISUCISUPISUCI3、基于零信任的接入認證技術IAMIPIAM5GLAN（二）5G數據安全保護技術1、5G數據加密技術5G5G5G5G5G2、5G數據防護技術5G網絡在空口為用戶面數據增加了可選的完整性保護功能。在用基站發(fā)送無線鏈路配置消息來告知終端是否啟用用戶面完整性保護5G使用SEPPSEPP。這種IPXSEPPIPX3、5G工業(yè)流量防護技術5G（三）5G網絡切片安全技術1、切片安全隔離技術5GNF（2、切片接入安全技術5G5GNSSAINSSAI（四）5G網絡安全增強技術1、5G網絡安全態(tài)勢感知傳統(tǒng)網絡基于IP的單一化尋址路由機制已經難以適應目前5G網SDN和NFV5G2、5G終端行為感知與管控mMTC100起的DDoS5G場景下必不可少的安全防護能力。通過在網絡側收集終端用戶5G3、區(qū)塊鏈助力5G數據安全5G三、5GLAN5GLAN（VLAN）LANLAN圖3.15GLAN安全關鍵技術全景圖（一）5GLAN隔離防護技術跨SMF管理VN Group可以有地解一個VNGroup只能被一個SMF管理的該問題導致災能力足一該SMF出現問題整個VNGroup都會受影響跨SMF管理VNGroup夠使得多個SMF可以同理一個VNGroup，從而提了系可用性容災能力穩(wěn)定在SMF出現障自動切到其用的SMF上，從而保整個VNGroup的運不受響，為業(yè)用來更加靠和高效的網絡服務。5GLANVLAN5GLAN/邏輯MP2UPFMEPAPPN4IPSecUPFACLURLWAPGREUPFDDoS（二）5GLAN實時監(jiān)控技術5GLAN5GLAN性能監(jiān)控和告警功能可以及時發(fā)現網絡中的異常行為或安全威脅。5GLAN（三）5GLAN加密認證技術5GLAN5G5GLAN5G5GLAN5GLANAAA5GLAN5GLAN5GLAN圖3.2 5GLAN的次證流程（四）5GLAN終端防護技術5GLANLAN5G5GLAN圖3.3 5GLAN基用的終隔防護四、典型案例（一）5GLAN1、背景象包括工業(yè)控制系統(tǒng)以及被網絡攻擊后可直接或間接影響生產運行5G5GLAN5GLANIT據安全防護的技術方案。2、應用場景與需求5GLAN3、解決方案5G-LAN5G-LANUPF5G-LAN5G-LANUPUE(5GCPE不同UPFN195G-LANUE(5GCPE4.1UE315G-LANIP4.11DHCPIP圖4.15GLAN組網架構5G-LAN5GCPE5G-LAN4.2-2所示：圖4.2-1未使用5G-LAN生產車間組網架構圖4.2-2使用5G-LAN生產車間組網架構使用5G-LAN生產車間組網架構優(yōu)勢如下：圖4.35GLAN數據安全測試床總體架構測試床組網架構如圖4.3所示，主要包括工業(yè)互聯網平臺、5GCPE/SEC5GCPE5GCPEeSIM商IDeSIM5G5GCPE4、應用效果PKI/CASECLAN（二）5GLAN1、背景電力是國家的支柱能源和經濟命脈，發(fā)展工業(yè)互聯網是電力行業(yè)數字化轉型的必然過程。根據工信部印發(fā)的《工業(yè)互聯網創(chuàng)新發(fā)展行動計劃（2021-2023年）》的相關內容要求，電力行業(yè)將進一步加快工業(yè)互聯網創(chuàng)新發(fā)展步伐，持續(xù)推動工業(yè)數字化轉型。電力行業(yè)的安全穩(wěn)定運行關系到國家的經濟發(fā)展。隨著電網規(guī)模的逐漸擴大，安全事故的影響范圍越來越大，安全問題越來越突出。ITOT5G2、應用場景與需求5G網絡支持各種設備終端接入，電力行業(yè)的終端也接入了5G專MSMSIM系。身份管理系統(tǒng)結合網絡空間測繪技術進行準確的地理定位和細粒度管理。3、解決方案5G5GAKAEAP-AKA圖4.4終端二次認證接入示意圖UEUE定SIMSIMAAASIM（基于USIMUSBkeyPKI儲在SIM）4、應用效果（三）5GLAN1、背景202295G5G5GLAN5GLAN5GLAN5智能制造企業(yè)面臨不同的生產區(qū)域之間為了連接的便利性未做5G2、應用場景與需求流轉和共享，就需要打破傳統(tǒng)的架構，網絡向扁平化方向轉變。IT5GLAN5G3、解決方案本案例通過5GLAN工業(yè)5GLAN5GCPE圖4.5工控網絡組網圖5GLANL2L25GCPEP地址為生產網劃分AVLANMAC界、5GCPE各生產子網的邊界：在網絡之間采用工業(yè)防火墻進行隔離。阻止5GCPE組網隔離邊界：5G網絡使用網絡切片為業(yè)務提供網絡服CPESIM（NSSAI）CPE5G需要攜帶NSSAI5GCPECPE未知邊界管理：由于工控網絡的物理邊界范圍太大，給管理帶來WIFI（）4、應用效果5GLAN5GLAN5GLANLAN（四）5GLAN1、背景5G鋼鐵企業(yè)的工業(yè)控制系統(tǒng)具有多個生產工藝流程混合、控制網5GLANLAN2、應用場景與需求5GLAN5GLAN3、解決方案5GLAN5GLAN5GLAN5G（1）5GLAN泛終端內生安全能力感知技術5GLANSDK5GLAN5GLAN（圖4.65GLAN泛終端內生安全感知平臺（2）5GLAN6DDOS圖4.75G切片流量檢測平臺5GLAN（（APT（APP）（IP（IP（利用數據驅動（基于算法）4、應用效果5GLAN0day2.05G按優(yōu)先級排列的自動+人工的維護作業(yè)順序。同時，可以將檢測潛在（3-5少10-20五、未來展望5GLAN5GLAN5G5GLAN在工業(yè)領域更大規(guī)模應用5GR185GLAN5GLAN5GLAN5G5GLAN5G LAN在工業(yè)領域的應用使得工業(yè)網絡融通，將重構工業(yè)企業(yè)組織管理機制。5GLANITOT與OT5GLANITOT5GLAN5GLAN全生態(tài)5GLAN5GLAN5GLAN5GLAN電信運營商持續(xù)深耕工廠5GLAN網絡運營，賦能工廠安全生產運營5GLAN5GLAN5GLAN5GLAN附錄A縮略語縮寫英文全稱中文名稱3GPP3rdGenerationPartnershipProject第三代合作伙伴計劃5GLAN5GLocalAreaNetwork5G本地局域網AAAAuthentication-Authorization-Accounting鑒權、授權、計費ACLAccessControlLists訪問控制列表AKAAuthenticationandKeyAgreement認證和密鑰協(xié)商APIApplicationProgrammingInterface應用程序接口CPECustomerPremisesEquipment客戶終端設備DDoSDistributedDenialofService分布式拒絕服務EAPExtensibleAuthenticationProtocol可擴展認證協(xié)議ECIESEllipticCurveIntegratedEncryptionScheme橢圓曲線加密算法GREGenericRoutingProtocol通用路由封裝IAMIdentityandAccessManagement身份識別與訪問管理IPInternetProtocol互聯網協(xié)議IPSecInternetProtocolSecurity互聯網安全協(xié)議MECMulti-accessEdgeComputing多接入邊緣計算NFVNetworkFunctionsVirtualization網絡功能虛擬化NSSAINetworkSliceSelectionAssistanceInformation網絡切片選擇輔助信息PSAPDUSessionAnchorPDU會話錨點QoSQualityofService服務質量SDNSoftwareDefinedNetwork軟件定義網絡SEPPSecurityEdgeProtectionProxy安全邊緣保護代理SMFSessionManagementFunction會話管理功能SUCISubscriptionConcealedIdentifier用戶隱藏標識SUPISubscriptionPermanentIdentifier用戶永久標識TCPTransmissionControlProtocol傳輸控制協(xié)議TLSTransportLayerSecurity傳輸層安全協(xié)議UEUserEquipment用戶設備UPFUserPlaneFunction用戶面功能VLANVirtualLocalAreaNetwork虛擬局域網VPNVirtualPrivateNetwork虛擬專用網WAPWirelessApplicationProtocol無線應用協(xié)議附錄B參考文獻3GPP.Securityarchitectureandproceduresfor5Gsystem.TS33.501v15.4.0.20195GLAN[J].通信世界,2023(6):46-49.IMT-2020(5G)推進組.5G5G+PLC20225GLAN[J].通信世界,2023(6):42-45.5GLANJ2023(8):136-138.5GLAN