工業(yè)5G LAN網(wǎng)絡(luò)安全技術(shù)報(bào)告

目 錄前言 2一、5GLAN簡(jiǎn)介 5（一）5GLAN的起源 5（二）5GLAN的發(fā)展 6（三）5GLAN的優(yōu)勢(shì) 7二、5G網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 9（一）5G接入認(rèn)證安全技術(shù) 9（二）5G數(shù)據(jù)安全保護(hù)技術(shù) 10（三）5G網(wǎng)絡(luò)切片安全技術(shù) 12（四）5G網(wǎng)絡(luò)安全增強(qiáng)技術(shù) 13三、5GLAN安全防護(hù)關(guān)鍵技術(shù) 16（一）5GLAN隔離防護(hù)技術(shù) 16（二）5GLAN實(shí)時(shí)監(jiān)控技術(shù) 17（三）5GLAN加密認(rèn)證技術(shù) 18（四）5GLAN終端防護(hù)技術(shù) 19四、典型案例 21（一）工業(yè)5GLAN數(shù)據(jù)安全管理應(yīng)用案例 21（二）電力5GLAN終端認(rèn)證和身份管理應(yīng)用案例 27（三）智能制造5GLAN網(wǎng)絡(luò)隔離應(yīng)用案例 32（四）鋼鐵制造5GLAN網(wǎng)絡(luò)安全智能感知應(yīng)用案例 37五、未來(lái)展望 42附錄A縮略語(yǔ) 44附錄B參考文獻(xiàn) 46-1-前 言3GPPR165GLAN5G5G5GLAN5GLAN5GIT和OT5GLAN5G的業(yè)務(wù)場(chǎng)景形成有效的網(wǎng)絡(luò)安全整體解決方案。5GLAN5GLAN5GLAN總策劃：葉曉煜謝攀李浩宇張建榮主編：周曉龍副主編：柳 興荊雷魯華偉謝 云編委會(huì)成員：王哲陶耀東馮冬芹井柯劉旸俞一帆文宏蔣美景何凱陳麗萍王新宇李易凡劉廣祺謝嘉宇韓江雪邱晨張博文王竑達(dá)王維治傅成龍葛然王寶棟文雯范勇杰徐樂(lè)西吳冬崔瑩瑩黃繼燁靳冰祎謝璟田慧蓉王磊劉程王舒喬思遠(yuǎn)毛慶梅李藝陳昕黃東華徐書(shū)珩賴羿明白小愚指導(dǎo)單位：中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司政企客戶事業(yè)群參與單位：中國(guó)信息通信研究院深圳艾靈網(wǎng)絡(luò)有限公司北京雙湃智安科技有限公司中智云物聯(lián)網(wǎng)有限公司杭州安恒信息技術(shù)股份有限公司蘭州蘭石愛(ài)特互聯(lián)科技有限公司普天信息工程設(shè)計(jì)服務(wù)有限公司天津市工業(yè)互聯(lián)網(wǎng)研究院浙江大學(xué)北京交通大學(xué)一、5GLAN5GLAN5G5G5GWifi、4GLAN（一）5GLAN5G20195G5G5GTCP/IP5G5GLAN3GPPR165GLAN-typeservice”（5GLANGialtrkrpGNVtleok”（二）5GLAN5GLANR175GLAN5GLAN5GLAN3GPPTS23.501、3GPPTS23.502、3GPPTS23.5035GLANIEEE802IEEE802.11ax（Wi-Fi6）、IEEE802.1Q（VLAN）、IEEE802.3（），5G5GLAN目前R18版本已經(jīng)凍結(jié)。R18完善了5GLAN管理方面的能力：除。跨SMFVNGroupR16VNGroupSMFSMFSMFVNGroupVNGroupR16R18組管理和組狀態(tài)上報(bào)增強(qiáng)。該特性可以幫助工業(yè)用戶實(shí)現(xiàn)QoS圖1.15GLAN技術(shù)演進(jìn)圖（三）5GLAN的優(yōu)勢(shì)5GLAN5GLAN5G無(wú)線技術(shù)大容量傳輸數(shù)據(jù)、大規(guī)模設(shè)備連接、超高可靠低延遲（uRLLC）可滿足生產(chǎn)制造、遠(yuǎn)程控制等垂直行業(yè)對(duì)網(wǎng)絡(luò)帶寬、實(shí)時(shí)WFG優(yōu)秀的工業(yè)適配：5GLAN5GAR5G5GLANPSAUPFPSAUPF支持廣播與多播：5GLANUPFUPFUPFUPF二、5G網(wǎng)絡(luò)安全關(guān)鍵技術(shù)5GLAN5G5GLAN終端互和終離等。5G LAN技術(shù)是一種基于5G的局域網(wǎng)技術(shù)，5GLAN5G本身的安全技術(shù)，更加具備增強(qiáng)的網(wǎng)絡(luò)安全技術(shù)能力5G（一）5G接入認(rèn)證安全技術(shù)1、統(tǒng)一安全認(rèn)證框架5G5G（EAP）5GEAP2、基于證書(shū)實(shí)現(xiàn)用戶身份信息保護(hù)5G5G進(jìn)行加密形成SUCISUCISIM（VPNSUPISUPISUCISUCIUSIMECIESSUPISUCISUCISUPISUCI3、基于零信任的接入認(rèn)證技術(shù)IAMIPIAM5GLAN（二）5G數(shù)據(jù)安全保護(hù)技術(shù)1、5G數(shù)據(jù)加密技術(shù)5G5G5G5G5G2、5G數(shù)據(jù)防護(hù)技術(shù)5G網(wǎng)絡(luò)在空口為用戶面數(shù)據(jù)增加了可選的完整性保護(hù)功能。在用基站發(fā)送無(wú)線鏈路配置消息來(lái)告知終端是否啟用用戶面完整性保護(hù)5G使用SEPPSEPP。這種IPXSEPPIPX3、5G工業(yè)流量防護(hù)技術(shù)5G（三）5G網(wǎng)絡(luò)切片安全技術(shù)1、切片安全隔離技術(shù)5GNF（2、切片接入安全技術(shù)5G5GNSSAINSSAI（四）5G網(wǎng)絡(luò)安全增強(qiáng)技術(shù)1、5G網(wǎng)絡(luò)安全態(tài)勢(shì)感知傳統(tǒng)網(wǎng)絡(luò)基于IP的單一化尋址路由機(jī)制已經(jīng)難以適應(yīng)目前5G網(wǎng)SDN和NFV5G2、5G終端行為感知與管控mMTC100起的DDoS5G場(chǎng)景下必不可少的安全防護(hù)能力。通過(guò)在網(wǎng)絡(luò)側(cè)收集終端用戶5G3、區(qū)塊鏈助力5G數(shù)據(jù)安全5G三、5GLAN5GLAN（VLAN）LANLAN圖3.15GLAN安全關(guān)鍵技術(shù)全景圖（一）5GLAN隔離防護(hù)技術(shù)跨SMF管理VN Group可以有地解一個(gè)VNGroup只能被一個(gè)SMF管理的該問(wèn)題導(dǎo)致災(zāi)能力足一該SMF出現(xiàn)問(wèn)題整個(gè)VNGroup都會(huì)受影響跨SMF管理VNGroup夠使得多個(gè)SMF可以同理一個(gè)VNGroup，從而提了系可用性容災(zāi)能力穩(wěn)定在SMF出現(xiàn)障自動(dòng)切到其用的SMF上，從而保整個(gè)VNGroup的運(yùn)不受響，為業(yè)用來(lái)更加靠和高效的網(wǎng)絡(luò)服務(wù)。5GLANVLAN5GLAN/邏輯MP2UPFMEPAPPN4IPSecUPFACLURLWAPGREUPFDDoS（二）5GLAN實(shí)時(shí)監(jiān)控技術(shù)5GLAN5GLAN性能監(jiān)控和告警功能可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為或安全威脅。5GLAN（三）5GLAN加密認(rèn)證技術(shù)5GLAN5G5GLAN5G5GLAN5GLANAAA5GLAN5GLAN5GLAN圖3.2 5GLAN的次證流程（四）5GLAN終端防護(hù)技術(shù)5GLANLAN5G5GLAN圖3.3 5GLAN基用的終隔防護(hù)四、典型案例（一）5GLAN1、背景象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運(yùn)行5G5GLAN5GLANIT據(jù)安全防護(hù)的技術(shù)方案。2、應(yīng)用場(chǎng)景與需求5GLAN3、解決方案5G-LAN5G-LANUPF5G-LAN5G-LANUPUE(5GCPE不同UPFN195G-LANUE(5GCPE4.1UE315G-LANIP4.11DHCPIP圖4.15GLAN組網(wǎng)架構(gòu)5G-LAN5GCPE5G-LAN4.2-2所示：圖4.2-1未使用5G-LAN生產(chǎn)車(chē)間組網(wǎng)架構(gòu)圖4.2-2使用5G-LAN生產(chǎn)車(chē)間組網(wǎng)架構(gòu)使用5G-LAN生產(chǎn)車(chē)間組網(wǎng)架構(gòu)優(yōu)勢(shì)如下：圖4.35GLAN數(shù)據(jù)安全測(cè)試床總體架構(gòu)測(cè)試床組網(wǎng)架構(gòu)如圖4.3所示，主要包括工業(yè)互聯(lián)網(wǎng)平臺(tái)、5GCPE/SEC5GCPE5GCPEeSIM商IDeSIM5G5GCPE4、應(yīng)用效果PKI/CASECLAN（二）5GLAN1、背景電力是國(guó)家的支柱能源和經(jīng)濟(jì)命脈，發(fā)展工業(yè)互聯(lián)網(wǎng)是電力行業(yè)數(shù)字化轉(zhuǎn)型的必然過(guò)程。根據(jù)工信部印發(fā)的《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023年）》的相關(guān)內(nèi)容要求，電力行業(yè)將進(jìn)一步加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展步伐，持續(xù)推動(dòng)工業(yè)數(shù)字化轉(zhuǎn)型。電力行業(yè)的安全穩(wěn)定運(yùn)行關(guān)系到國(guó)家的經(jīng)濟(jì)發(fā)展。隨著電網(wǎng)規(guī)模的逐漸擴(kuò)大，安全事故的影響范圍越來(lái)越大，安全問(wèn)題越來(lái)越突出。ITOT5G2、應(yīng)用場(chǎng)景與需求5G網(wǎng)絡(luò)支持各種設(shè)備終端接入，電力行業(yè)的終端也接入了5G專MSMSIM系。身份管理系統(tǒng)結(jié)合網(wǎng)絡(luò)空間測(cè)繪技術(shù)進(jìn)行準(zhǔn)確的地理定位和細(xì)粒度管理。3、解決方案5G5GAKAEAP-AKA圖4.4終端二次認(rèn)證接入示意圖UEUE定SIMSIMAAASIM（基于USIMUSBkeyPKI儲(chǔ)在SIM）4、應(yīng)用效果（三）5GLAN1、背景202295G5G5GLAN5GLAN5GLAN5智能制造企業(yè)面臨不同的生產(chǎn)區(qū)域之間為了連接的便利性未做5G2、應(yīng)用場(chǎng)景與需求流轉(zhuǎn)和共享，就需要打破傳統(tǒng)的架構(gòu)，網(wǎng)絡(luò)向扁平化方向轉(zhuǎn)變。IT5GLAN5G3、解決方案本案例通過(guò)5GLAN工業(yè)5GLAN5GCPE圖4.5工控網(wǎng)絡(luò)組網(wǎng)圖5GLANL2L25GCPEP地址為生產(chǎn)網(wǎng)劃分AVLANMAC界、5GCPE各生產(chǎn)子網(wǎng)的邊界：在網(wǎng)絡(luò)之間采用工業(yè)防火墻進(jìn)行隔離。阻止5GCPE組網(wǎng)隔離邊界：5G網(wǎng)絡(luò)使用網(wǎng)絡(luò)切片為業(yè)務(wù)提供網(wǎng)絡(luò)服CPESIM（NSSAI）CPE5G需要攜帶NSSAI5GCPECPE未知邊界管理：由于工控網(wǎng)絡(luò)的物理邊界范圍太大，給管理帶來(lái)WIFI（）4、應(yīng)用效果5GLAN5GLAN5GLANLAN（四）5GLAN1、背景5G鋼鐵企業(yè)的工業(yè)控制系統(tǒng)具有多個(gè)生產(chǎn)工藝流程混合、控制網(wǎng)5GLANLAN2、應(yīng)用場(chǎng)景與需求5GLAN5GLAN3、解決方案5GLAN5GLAN5GLAN5G（1）5GLAN泛終端內(nèi)生安全能力感知技術(shù)5GLANSDK5GLAN5GLAN（圖4.65GLAN泛終端內(nèi)生安全感知平臺(tái)（2）5GLAN6DDOS圖4.75G切片流量檢測(cè)平臺(tái)5GLAN（（APT（APP）（IP（IP（利用數(shù)據(jù)驅(qū)動(dòng)（基于算法）4、應(yīng)用效果5GLAN0day2.05G按優(yōu)先級(jí)排列的自動(dòng)+人工的維護(hù)作業(yè)順序。同時(shí)，可以將檢測(cè)潛在（3-5少10-20五、未來(lái)展望5GLAN5GLAN5G5GLAN在工業(yè)領(lǐng)域更大規(guī)模應(yīng)用5GR185GLAN5GLAN5GLAN5G5GLAN5G LAN在工業(yè)領(lǐng)域的應(yīng)用使得工業(yè)網(wǎng)絡(luò)融通，將重構(gòu)工業(yè)企業(yè)組織管理機(jī)制。5GLANITOT與OT5GLANITOT5GLAN5GLAN全生態(tài)5GLAN5GLAN5GLAN5GLAN電信運(yùn)營(yíng)商持續(xù)深耕工廠5GLAN網(wǎng)絡(luò)運(yùn)營(yíng)，賦能工廠安全生產(chǎn)運(yùn)營(yíng)5GLAN5GLAN5GLAN5GLAN附錄A縮略語(yǔ)縮寫(xiě)英文全稱中文名稱3GPP3rdGenerationPartnershipProject第三代合作伙伴計(jì)劃5GLAN5GLocalAreaNetwork5G本地局域網(wǎng)AAAAuthentication-Authorization-Accounting鑒權(quán)、授權(quán)、計(jì)費(fèi)ACLAccessControlLists訪問(wèn)控制列表AKAAuthenticationandKeyAgreement認(rèn)證和密鑰協(xié)商APIApplicationProgrammingInterface應(yīng)用程序接口CPECustomerPremisesEquipment客戶終端設(shè)備DDoSDistributedDenialofService分布式拒絕服務(wù)EAPExtensibleAuthenticationProtocol可擴(kuò)展認(rèn)證協(xié)議ECIESEllipticCurveIntegratedEncryptionScheme橢圓曲線加密算法GREGenericRoutingProtocol通用路由封裝IAMIdentityandAccessManagement身份識(shí)別與訪問(wèn)管理IPInternetProtocol互聯(lián)網(wǎng)協(xié)議IPSecInternetProtocolSecurity互聯(lián)網(wǎng)安全協(xié)議MECMulti-accessEdgeComputing多接入邊緣計(jì)算NFVNetworkFunctionsVirtualization網(wǎng)絡(luò)功能虛擬化NSSAINetworkSliceSelectionAssistanceInformation網(wǎng)絡(luò)切片選擇輔助信息PSAPDUSessionAnchorPDU會(huì)話錨點(diǎn)QoSQualityofService服務(wù)質(zhì)量SDNSoftwareDefinedNetwork軟件定義網(wǎng)絡(luò)SEPPSecurityEdgeProtectionProxy安全邊緣保護(hù)代理SMFSessionManagementFunction會(huì)話管理功能SUCISubscriptionConcealedIdentifier用戶隱藏標(biāo)識(shí)SUPISubscriptionPermanentIdentifier用戶永久標(biāo)識(shí)TCPTransmissionControlProtocol傳輸控制協(xié)議TLSTransportLayerSecurity傳輸層安全協(xié)議UEUserEquipment用戶設(shè)備UPFUserPlaneFunction用戶面功能VLANVirtualLocalAreaNetwork虛擬局域網(wǎng)VPNVirtualPrivateNetwork虛擬專用網(wǎng)WAPWirelessApplicationProtocol無(wú)線應(yīng)用協(xié)議附錄B參考文獻(xiàn)3GPP.Securityarchitectureandproceduresfor5Gsystem.TS33.501v15.4.0.20195GLAN[J].通信世界,2023(6):46-49.IMT-2020(5G)推進(jìn)組.5G5G+PLC20225GLAN[J].通信世界,2023(6):42-45.5GLANJ2023(8):136-138.5GLAN