2022年5G行業(yè)專(zhuān)網(wǎng)安全技術(shù)研究

AQ/R-0001-2022I5G行業(yè)專(zhuān)網(wǎng)安全技術(shù)研究IMT-2020(5G)推進(jìn)組月 3.1.5G行業(yè)專(zhuān)網(wǎng)的概念 13.2.5G行業(yè)專(zhuān)網(wǎng)的分類(lèi)與架構(gòu) 23.3.5G行業(yè)專(zhuān)網(wǎng)發(fā)展特點(diǎn) 3G網(wǎng)面臨的安全風(fēng)險(xiǎn) 4 G與保障措施 65.1.5G行業(yè)專(zhuān)網(wǎng)安全架構(gòu) 65.2.5G行業(yè)專(zhuān)網(wǎng)安全技術(shù)保障措施 8G網(wǎng)全生命周期安全管理保障措施 10 AQ/R-0001-2022前言GG漸增加，G同步規(guī)劃、同步建設(shè)、同步運(yùn)行奠定基礎(chǔ)。IMT020(5G)推進(jìn)組提出并歸口。恒信息技術(shù)股份有限公司徐高峰滕志猛徐暉畢曉宇劉為華劉獻(xiàn)倫康亮李劍鋒AQ/R-0001-20221本報(bào)告闡述了5G行業(yè)專(zhuān)網(wǎng)的概念、分類(lèi)、架構(gòu)以及發(fā)展特點(diǎn)，分析了5G行業(yè)專(zhuān)網(wǎng)面臨慧電網(wǎng)等三種典型5G行業(yè)專(zhuān)網(wǎng)場(chǎng)景下的安全解決方案，為5G行業(yè)專(zhuān)網(wǎng)安全架構(gòu)的落地推廣適用于專(zhuān)用于特定行業(yè)或企業(yè)的5G移動(dòng)通信網(wǎng)絡(luò)。2.縮略語(yǔ)?？s略語(yǔ)中文英文SityIdentifierCoreNetworkECEPMEC臺(tái)MultiAccessEdgeComputingMECPlatformMTN城域傳送網(wǎng)MetroTransportNetworkNR新空口NewRadioPNI-NPN非獨(dú)立的非公共網(wǎng)絡(luò)PublicNetworkIntegratedNon-PublicNetworkPKI公鑰基礎(chǔ)設(shè)施PublicKeyInfrastructurePRB物理資源塊PhysicalResourceBlockQoS服務(wù)質(zhì)量QualityofServiceRB資源塊ResourceBlockRAN無(wú)線(xiàn)接入網(wǎng)RadioAcessNetworkSNPN獨(dú)立的非公共網(wǎng)絡(luò)Stand-aloneNon-PublicNetworkUPF用戶(hù)面功能UserPlaneFunctionVPN虛擬專(zhuān)用網(wǎng)絡(luò)VirtualPrivateNetworkV2X車(chē)用無(wú)線(xiàn)通信技術(shù)VehicletoEverything.5G行業(yè)專(zhuān)網(wǎng)概述3.1.5G行業(yè)專(zhuān)網(wǎng)的概念發(fā)展。AQ/R-0001-20222數(shù)字G對(duì)G量超過(guò)2300張。全。3.2.5G行業(yè)專(zhuān)網(wǎng)的分類(lèi)與架構(gòu) StandaloneNonPublicNetworkSNPN非獨(dú)立的非公共網(wǎng)絡(luò)(PublicNetworkIntegratedNonPublicNetworkPNINPNG業(yè)專(zhuān)網(wǎng)可細(xì)分為公網(wǎng)共用模式、全需求的高質(zhì)量專(zhuān)用虛擬網(wǎng)絡(luò)。.混合共用模式3模式等專(zhuān)屬需求大、安全要求高、業(yè)務(wù)連續(xù)性要求高等場(chǎng)景。3.3.5G行業(yè)專(zhuān)網(wǎng)發(fā)展特點(diǎn)建行業(yè)差異化業(yè)務(wù)承載服務(wù)能力5G行業(yè)專(zhuān)網(wǎng)的最終目標(biāo)是要實(shí)現(xiàn)5G網(wǎng)絡(luò)低成本、高價(jià)值地下沉到行業(yè)企業(yè)，網(wǎng)絡(luò)切片資源和質(zhì)量。網(wǎng)絡(luò)切片是5G行業(yè)專(zhuān)網(wǎng)提供特定網(wǎng)絡(luò)能力的、端到端邏輯專(zhuān)用網(wǎng)絡(luò)的關(guān)鍵技MECGUPF，為不同類(lèi)型業(yè)務(wù)配置相應(yīng)的網(wǎng)絡(luò)服務(wù)體系。AQ/R-0001-20224絡(luò)信令不出園區(qū)。在基于運(yùn)營(yíng)商5G端到端公網(wǎng)資源形成的專(zhuān)網(wǎng)中，通過(guò)網(wǎng)絡(luò)虛擬或物理切片企業(yè)。具備對(duì)外開(kāi)放能力，支撐行業(yè)用戶(hù)實(shí)現(xiàn)運(yùn)維管理自主化T等業(yè)根據(jù)開(kāi)放的API，自主管理虛擬專(zhuān)網(wǎng)的配置策略、自主修改一。4.5G行業(yè)專(zhuān)網(wǎng)面臨的安全風(fēng)險(xiǎn)攻不同行業(yè)專(zhuān)網(wǎng)邊緣應(yīng)用運(yùn)行空間或占用網(wǎng)絡(luò)資源的隔離不徹底(包括邏輯隔離和物理隔業(yè)。行業(yè)數(shù)據(jù)是行業(yè)里重要的數(shù)字資產(chǎn)，由于5G行業(yè)專(zhuān)網(wǎng)同時(shí)也可以承載公網(wǎng)業(yè)務(wù)數(shù)據(jù)，因安全漏洞被攻擊可能會(huì)導(dǎo)致專(zhuān)網(wǎng)中部分共用的軟件或硬件資源發(fā)生功能故障、不同錯(cuò)誤運(yùn)行等后果。因此公網(wǎng)共用模式下5G行業(yè)專(zhuān)網(wǎng)的核心安全需求是做好5G網(wǎng)絡(luò)資源的邏隔離和物理隔離、承載和運(yùn)維業(yè)務(wù)的分域管理和權(quán)限分隔等，確保5G網(wǎng)絡(luò)的正常運(yùn)行。用模式下的5G行業(yè)專(zhuān)網(wǎng)面臨的安全風(fēng)險(xiǎn)GC有可GC險(xiǎn)外，還面臨著以下安全風(fēng)險(xiǎn)：AQ/R-0001-20225惡存在MEC應(yīng)用對(duì)5G核心網(wǎng)的安全威脅。過(guò)程中被泄露、被篡改等安全風(fēng)險(xiǎn)。同時(shí)做好MEC與5G核心網(wǎng)的安全隔離和訪(fǎng)問(wèn)控制，降低安全威脅被引入5G核心網(wǎng)的風(fēng)險(xiǎn)。用模式下的5G行業(yè)專(zhuān)網(wǎng)面臨的安全風(fēng)險(xiǎn)GG網(wǎng)影響，因此，5G險(xiǎn)。5G獨(dú)立專(zhuān)用模式下的專(zhuān)網(wǎng)規(guī)模雖然小于5G公網(wǎng)，但也通常由統(tǒng)一數(shù)據(jù)管理(UDM)、GGCCPUPFMECG(gNB)組成，5G網(wǎng)絡(luò)自身面臨的安全風(fēng)險(xiǎn)在5G獨(dú)立專(zhuān)網(wǎng)中仍然存在，包括終端接入安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)鏈路安全風(fēng)M安全風(fēng)險(xiǎn)。AQ/R-0001-20226若存在惡意終端攻擊或安裝了不可信的第三方APP，則專(zhuān)網(wǎng)將面臨著私有云被攻擊、P專(zhuān)網(wǎng)無(wú)法正常運(yùn)行。5G獨(dú)立專(zhuān)網(wǎng)與公網(wǎng)完全隔離，因此需要重點(diǎn)關(guān)注的是專(zhuān)網(wǎng)本身的安全能力，結(jié)合用戶(hù).5G行業(yè)專(zhuān)網(wǎng)安全架構(gòu)與保障措施5.1.5G行業(yè)專(zhuān)網(wǎng)安全架構(gòu)為緩解5G行業(yè)專(zhuān)網(wǎng)面臨的安全風(fēng)險(xiǎn)，滿(mǎn)足不同部署模式下的行業(yè)專(zhuān)網(wǎng)安全需求，結(jié)合G邊緣MEC和網(wǎng)絡(luò)切片也是重要組成部分。根據(jù)5G行業(yè)專(zhuān)網(wǎng)整體架構(gòu)，其安全架構(gòu)主要包括管理安全，具體內(nèi)容包括：7.接入網(wǎng)安全G據(jù)竊聽(tīng)與篡改、空口DDos攻擊、偽在接入過(guò)程中提供安全保護(hù)。由于工業(yè)制造、增強(qiáng)現(xiàn)實(shí)/虛擬現(xiàn)實(shí)、自主駕駛等延遲敏感業(yè)務(wù)在垂直行業(yè)場(chǎng)景中的廣GMEC攻擊和網(wǎng)絡(luò)攻擊的跨網(wǎng)絡(luò)滲透和交叉感能力。核心網(wǎng)安全力，在確保5G核心網(wǎng)網(wǎng)元本身安全能力的同時(shí)，關(guān)注到不同行業(yè)所用核心網(wǎng)資源間的隔離網(wǎng)絡(luò)切片是公網(wǎng)共用模式下的5G行業(yè)專(zhuān)網(wǎng)的重要組網(wǎng)方式。為確保行業(yè)用戶(hù)所用切片4.平臺(tái)應(yīng)用安全。數(shù)據(jù)安全重多方面。運(yùn)維管理安全進(jìn)行安全管理，并按照“三同步”要求滿(mǎn)足行業(yè)安全監(jiān)管要求，包括安全風(fēng)險(xiǎn)評(píng)估、產(chǎn)品生命周期管理與檢測(cè)、安全定級(jí)備案、威脅與漏洞管理、應(yīng)急響應(yīng)等。AQ/R-0001-202285.2.5G行業(yè)專(zhuān)網(wǎng)安全技術(shù)保障措施G在主認(rèn)證階段，5G終端(如5GCPE/5G攝像頭)與5G網(wǎng)絡(luò)進(jìn)行雙向鑒權(quán)認(rèn)證(5GAKAISNSSAIIMSI在次認(rèn)證階段，部署AAA服務(wù)器，采用IMSI(必選)、IMEI(必選)、MSISDN(可功能、接入位置控制功能。在次認(rèn)證過(guò)程中，AAA與RBAC色訪(fǎng)IP。通過(guò)對(duì)不同行業(yè)專(zhuān)網(wǎng)邊緣應(yīng)用運(yùn)行空間建立有效的隔離機(jī)制(包括邏輯隔離和物理隔。話(huà)機(jī)制防止終端對(duì)切片的未授權(quán)訪(fǎng)問(wèn)。內(nèi)NF與切片外公共NF間可信訪(fǎng)問(wèn)。為終端接入不同切片的通信配置不同的安全策與切片網(wǎng)絡(luò)間通信需做完整性、片AQ/R-0001-20229障切片資源的可用性及行業(yè)用戶(hù)體驗(yàn)，防止終端、漫游接口、基站和傳輸設(shè)備短網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)送大量異常消息，消耗網(wǎng)絡(luò)切片資源，導(dǎo)致切片服務(wù)拒絕，甚至影響核心網(wǎng)控制平面部署安全邊緣保護(hù)代理(SEPP)，過(guò)濾來(lái)自漫游網(wǎng)絡(luò)的攻擊信令報(bào)文。在FCN在轉(zhuǎn)發(fā)層面，可在承載網(wǎng)連接下沉UPF的設(shè)備上通過(guò)訪(fǎng)問(wèn)控制列表(ACL)方式進(jìn)行控GCUPF惡意控制后攻擊公網(wǎng)5GC網(wǎng)元。還應(yīng)在承載網(wǎng)入下沉UPF做流量限速，避免下沉UPF大量發(fā)送流量形成拒絕服務(wù)攻擊。UPFSMF將下沉UPFSMFVPNUPFSMF。UPFSMFUPFSMF通信。同RST式進(jìn)行封堵。EPPSCP全控制，降低對(duì)公網(wǎng)5GC可能造成的安全影響。之前須經(jīng)過(guò)全面的安全風(fēng)險(xiǎn)評(píng)估，且需對(duì)MEP到5G核心網(wǎng)的流量進(jìn)行必要的訪(fǎng)問(wèn)控制和安AQ/R-0001-2022供從訪(fǎng)問(wèn)網(wǎng)絡(luò)成功認(rèn)證UE的證據(jù)，防止仿冒終端接入5G網(wǎng)絡(luò)；通過(guò)封閉接入組(CAG)技制特定物理區(qū)域內(nèi)的合法終端接入專(zhuān)網(wǎng)。入與數(shù)據(jù)安全。MEC隔離，防外網(wǎng)攻擊，基于UEIP保實(shí)現(xiàn)基于角色的細(xì)粒度訪(fǎng)問(wèn)控制(RBAC)。針對(duì)安全運(yùn)營(yíng)和服務(wù)保障，構(gòu)建5G網(wǎng)絡(luò)的安全運(yùn)維管理能力，確保企業(yè)5G專(zhuān)網(wǎng)的運(yùn)維5.3.5G行業(yè)專(zhuān)網(wǎng)全生命周期安全管理保障措施，AQ/R-0001-20226.展望5G行業(yè)專(zhuān)網(wǎng)作為5GtoB市場(chǎng)的重要組網(wǎng)方式，將深度賦能各行各業(yè)數(shù)字化轉(zhuǎn)型，保障面向5G行業(yè)專(zhuān)網(wǎng)的安全技術(shù)及管理體系亟需完善。加快5G安全核心技術(shù)攻關(guān)，完善安全技術(shù)及管理標(biāo)準(zhǔn)，推動(dòng)面向垂直行業(yè)的5G應(yīng)用安全相關(guān)標(biāo)準(zhǔn)落實(shí)，提升5G行業(yè)專(zhuān)網(wǎng)的基礎(chǔ)安全能力。在重點(diǎn)行業(yè)內(nèi)，制定5G行業(yè)專(zhuān)網(wǎng)安全技術(shù)標(biāo)準(zhǔn)及安全管理要求，構(gòu)建5G行業(yè)業(yè)力量，加快推進(jìn)5G行業(yè)專(zhuān)網(wǎng)安全解決方案的制定，基于5G應(yīng)用安全創(chuàng)新示范中心，在工踐，跨行業(yè)安全信息共享機(jī)制亟需構(gòu)建。建立電信主管部門(mén)與垂直行業(yè)主管部門(mén)5G行業(yè)專(zhuān)信息交換，實(shí)現(xiàn)行業(yè)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別、和安全事件的識(shí)別能力。建立5G行業(yè)專(zhuān)網(wǎng)安全信息共享的組織機(jī)構(gòu)與分析中心，結(jié)合激勵(lì)和應(yīng)急處置能力。(資料性附錄)(1)總體介紹IoT業(yè)務(wù)，打造了化工行業(yè)專(zhuān)網(wǎng)業(yè)務(wù)應(yīng)用模式。實(shí)現(xiàn)不同類(lèi)型業(yè)務(wù)之間的邏輯隔離，滿(mǎn)足控制業(yè)務(wù)端到端超低延時(shí)和高可靠性要求；MEC將承載重要化工業(yè)務(wù)數(shù)據(jù)流量，同時(shí)作為邊緣云還會(huì)承擔(dān)相關(guān)的化工業(yè)務(wù)以及開(kāi)放網(wǎng)絡(luò)能風(fēng)險(xiǎn)增加。(2)安全方案應(yīng)用，有效提升化工服務(wù)管理水平。OPRB硬隔離切片方案AQ/R-0001-2022OMEC云原生安全建立軟件定義安全技術(shù)在5G行業(yè)專(zhuān)網(wǎng)中的應(yīng)用。滿(mǎn)足MEC平臺(tái)的安全標(biāo)準(zhǔn)及合規(guī)需求，保G心及業(yè)務(wù)運(yùn)行的信息安全。園A.2車(chē)聯(lián)網(wǎng)(1)總體介紹基于5G車(chē)用無(wú)線(xiàn)通信技術(shù)(NR-V2X)實(shí)現(xiàn)的智能網(wǎng)聯(lián)汽車(chē)、車(chē)路協(xié)同系統(tǒng)在為人們著新的安全風(fēng)險(xiǎn)。利用車(chē)聯(lián)網(wǎng)基于PC5無(wú)線(xiàn)接口進(jìn)行設(shè)備間直接通信模式的開(kāi)放性，攻擊智能網(wǎng)聯(lián)汽車(chē)基于5G網(wǎng)絡(luò)進(jìn)行通信的過(guò)程中，若獲取到錯(cuò)誤的、偽造的信息(例如錯(cuò)至AQ/R-0001-2022(2)安全方案3GPP已經(jīng)制定了完善的5G蜂窩通信安全機(jī)制，保障通過(guò)5GUu接口車(chē)、云之間的安全NRVX字證書(shū)和數(shù)字簽名技術(shù)來(lái)對(duì)放等攻擊。O網(wǎng)絡(luò)層根據(jù)3GPP的定義，終端在網(wǎng)絡(luò)層不采取附加安全機(jī)制對(duì)PC5接口上廣播發(fā)送的直連通O應(yīng)用層車(chē)聯(lián)