董 芸 何余锋 王 菲 林 锋

(北京首信科技股份有限公司 北京 100015)

5G技术为政府和企业数字化转型提供了新一代网络底座.工业和信息化部等10部门联合出台的《5G应用“扬帆”行动计划(2021—2023年)》提出,到2023年,我国5G应用发展水平显著提升,综合实力持续增强.打造信息技术(information technology, IT)、通信技术(communication technology, CT)、运营技术(operational technology, OT)深度融合新生态,实现重点领域5G应用深度和广度的双突破,构建技术产业和标准体系双支柱,网络、平台、安全等基础能力进一步提升,5G应用“扬帆远航”的局面逐步形成.

5G安全是5G高质量发展的重要基础和坚实保障.为了解决行业痛点,5G融合应用安全策略需要满足业务多样化、差异化的需求.运营商提供的5G专网服务不仅要为行业客户建立相对隔离、相对可靠、较高性能的业务通道,还要能够基于行业客户的业务需求提供定制化配置和安全管控能力.运营商可以将5G专网安全能力开放并前置给行业客户,由行业客户按需配置和管理5G专网资源,实现运营商标准产品到企业定制化能力的转变,同时赋予行业客户自主安全管控的手段,提升5G专网的安全等级,助力企业业务与5G深度融合.

1 5G专网发展现状

5G专网是基于5G网络技术为行业客户量身定制、业务相对隔离、质量有所保障、安全有所增强的专用网络通道,根据建设方式可分为虚拟专网、独立专网和混合专网3类[1].我国5G专网行业应用在项目数量和应用领域全球领先,覆盖了国民经济重点行业.根据中国信通院对5G行业应用发展的问卷调研显示,八成行业单位认为5G应用能提质降本增效,提升安全可靠性.5G成为支撑行业转型升级的重要驱动力,助力企业在提质增效、节约成本、提升安全可靠性、节能减排等方面实现突破[2].

伴随5G业务发展,5G的技术规范也在不断发展演进.R15版本聚焦高速率大带宽应用,R16版本聚焦高可靠低时延应用,R17版本聚焦中高速大连接应用.R17版本中引入的降低能力(reduced capability, RedCap)技术可以大幅降低5G终端芯片和模组成本,进一步促进5G专网应用发展.

在当前的5G专网应用中,既有物联网卡应用,也有人联网卡应用;既有单域网络访问场景(即只访问企业内网),也有双域网络访问场景(即同时访问企业内网和互联网);既有针对固定区域的局域接入场景,也有全国漫游的广域接入场景.5G专网技术具有灵活的技术架构,可以针对应用场景按需定制,从而满足行业应用对网络服务差异化的要求.

2 5G专网接入安全管控现状分析

在5G专网业务推广初期,行业客户对5G专网的核心诉求主要体现在可移动性、超低时延、通道隔离、网络稳定性等基础特性,运营商提供的解决方案主要体现在数据面的保障,比如用户面功能(user plane function, UPF)下沉、网络切片、多接入边缘计算(multi-access edge computing, MEC)等,5G专网接入安全管控能力建设相对滞后.

从2022年起,5G专网业务进入快速发展期,行业客户逐渐意识到5G专网接入安全的重要性,不断提出对终端接入安全和自主管控的需求.无行业客户自主管控的5G专网就像一个黑盒,行业客户无法感知终端接入和使用情况,无法自主即时性地进行数据配置并对异常终端实时管控,也不具备日志审计和IP溯源能力,对运营商提供的5G专网服务、终端接入安全存在安全顾虑,阻碍了5G专网与垂直行业应用融合发展.

前期5G专网接入安全管控实现方案主要使用4G网络时期常用的技术,例如在主认证阶段实现机卡绑定、虚拟私有拨号网络(virtual private dialup 〗networks, VPDN)认证、跟踪区代码(tracking area code, TAC)限制等方式实现一定程度的接入鉴权能力,功能受限且不能满足客户自主配置、自主运维管理的需求,需要针对客户的多样化接入安全管控需求提供更有效、更便捷、具备更强能力的解决方案.

国际3GPP标准组织关于5G的主要技术标准[3-6]中对5G接入行业网络二次认证功能、流程、安全要求有明确的标准定义及说明,数据网络认证授权计费(data network-authentication, authorization, accounting, DN-AAA)网元是3GPP定义的实现二次认证的核心功能网元,它将5G安全能力开放给行业客户,增强5G专网管控能力,但标准规范中缺少实例化应用部署方案以及系统功能梳理,其应用尚在探索示范期.

本文结合3GPP规范定义和国内行业需求,系统性地阐述了基于DN-AAA的5G专网接入安全管控实例化部署方案及系统能力,并给出在多个行业的应用实践情况下为5G专网接入安全管控能力建设提供可参考、可复制的解决方案.

通过该方案,行业客户可以具备对5G专网的可感知、可管控和可溯源能力,可实现移动终端边界限制管理、时段管理及网络访问域管理,终端数据一目了然;自主管理终端鉴权和授权信息,对异常终端可实时断线并加入黑名单进行管控;可随时查看多种日志信息和IP溯源信息.DN-AAA系统作为5G专网中的主要功能单元,可成为运营商推广5G专网的必要抓手,同时也是满足行业客户5G专网高等级接入安全和自主管控需求的必要手段.

3 5G专网接入安全管控方案

3.1 基于DN-AAA的安全接入二次认证

终端在接入5G网络时,由5G核心网网元统一数据管理功能(unified data management, UDM)实体对卡进行主认证[7].主认证后,为了防止非授权终端接入企业内网,核心网的会话管理功能(session management function, SMF)实体向DN-AAA系统发起二次认证请求,DN-AAA认证终端是否可接入企业内网,认证通过并回复授权信息后,SMF为终端建立协议数据单元(protocol data unit, PDU)会话并提供网络服务,否则不能为其建立PDU会话.

通过在5G专网中建设DN-AAA系统,运营商将核心网络侧安全管理能力前置给行业客户,使行业客户拥有更加安全、灵活和便捷的5G专网自主管控、自主运维能力.

3.2 组网建议

为满足行业应用场景差异化的业务需求和安全需求,在符合3GPP和国家行业标准的基础上,运营商核心网与DN-AAA系统可以采用3种不同的组网对接方案.

3.2.1 直连组网方案

当SMF和DN-AAA同时归属于运营商或企业时,SMF和DN-AAA可以直接通过内网互通,组网方案如图1所示:

图1 SMF和DN-AAA直连组网方案

3.2.2 AAA代理转发方案

当SMF归属于运营商、DN-AAA归属于企业时,由于SMF属于运营商可信域,DN-AAA属于运营商非可信域,直接对接会导致以下几个问题:

1) 核心网关键网元SMF直接对外暴露,一旦被攻击将影响大网业务,存在很大的网络安全风险;

2) SMF和DN-AAA存在强耦合关系,两者变动都需要对端配合,网元数量越多维护就越复杂;

3) 无法解决双域场景中企业DN-AAA认证失败或无响应时影响用户访问公网的问题.

基于上述原因,在运营商网络中建设认证授权计费代理转发网关(authentication, authorization, accounting-proxy, AAA-P),作为对企业DN-AAA的统一接入转发点,实现SMF和DN-AAA的隔离和解耦合,并满足双域网络访问场景需求,组网方案如图2所示:

图2 SMF和DN-AAA通过AAA-P代理网关转发组网方案

3.2.3 UPF转发方案

当SMF归属于运营商、DN-AAA归属于企业时,也可以通过下沉到客户侧的UPF转发SMF和DN-AAA之间的Radius交互消息,组网方案如图3所示.此场景需要SMF和UPF具备相关能力特性.

图3 SMF和DN-AAA通过UPF转发组网方案

SMF通过N4接口封装Radius消息发送给UPF,UPF解封装后发送给DN-AAA. DN-AAA发送的Radius消息经UPF封装成N4接口消息发送给SMF,SMF解封装后获得Radius原始消息进行处理.这种组网方式下,DN-AAA客户端依然是SMF,没有实现解耦和安全隔离.

3.3 消息交互流程

DN-AAA与5G核心网进行交互的二次认证流程如图4所示,交互流程遵循3GPP及RFC[8-10]相关规范(简化了终端与核心网中除SMF外其他网元交互的相关流程).

图4 DN-AAA消息交互流程

3.4 5G专网接入安全管控能力

基于DN-AAA系统的5G专网接入安全管控能力主要体现在企业网准入控制、企业业务支撑以及企业自主运维3个方面.

3.4.1 企业网准入控制

终端接入5G时,运营商核心网会对号卡进行主认证,主要检查号卡是否属于运营商合法号卡、是否欠费、是否签约企业数据网络名称(data network name, DNN)等,并根据签约信息进行资源分配,创建终端连接通道.不同于主认证,企业侧通过DN-AAA系统可以实现对终端身份以及终端接入条件的合法性校验,从而满足企业对接入终端的自主准入控制需求.企业网准入控制能力主要体现在以下几个方面:

1) 终端身份自主认证.

可以分别在终端和DN-AAA中配置用户名/密码或者证书,终端接入企业网时,DN-AAA对终端用户名/密码或者证书、用户状态进行合法性校验,控制只允许合法终端接入,禁止非法终端接入.可通过更加安全的可扩展身份验证协议(extensible authentication protocol, EAP)认证方法[10]实现终端和企业网的双向身份认证,除了DN-AAA验证终端身份外,终端也可以验证DN-AAA身份,EAP认证需要终端支持.

2) 号卡/机卡绑定.

DN-AAA可校验用户名、卡号和DNN的绑定关系,限制用户账号只能通过指定号卡访问指定企业专网域;可验证卡号和设备号的绑定关系,限制号卡和设备分离使用,可通过自学习方式自动完成卡号和设备号的绑定关系.

3) 精细化区域管控.

DN-AAA可验证号卡与基站小区ID的绑定关系,限制终端只能在指定的基站小区覆盖区域内接入,区域外无法接入,移动出区域终端可控制下线.通过精细化区域管控功能,可以为园区型5G专网提供终端不出园能力,进一步保障数据不出园.相比5G核心网基于TAC列表的区域管控,DN-AAA基于小区ID的区域管控可实现更精细化的区域设定,可同时支持4G和5G网络,在DN-AAA上随时按需配置,规避核心网修改配置,可以更快地响应企业的业务需求.

4) 其他功能.

如果发现终端异常或者其他原因需要将终端断线时,可以通过DN-AAA将终端实时反向切断.DN-AAA可限制终端接入的时间段,非允许接入时段无法接入,已上线终端可控制自动下线;可通过配置黑名单或冻结名单限制或恢复用户接入.

3.4.2 企业业务支撑

DN-AAA系统作为运营商核心侧能力前置的载体,可以从网络互通、访问控制、数据共享等不同层面为企业业务提供必要支撑,其中包括但不限于以下几项:

1) 用户侧网关下挂设备互通.

在许多场景中,存量终端支持5G,并且终端改造支持5G的成本太高,因此需要通过5G工业网关/客户前置设备(customer premise equipment, CPE)进行覆盖,将上行的5G信号转换为下行的有线或WiFi信号.当1个场景中涉及多个CPE,并且每个CPE下挂多个设备时,不同CPE的下挂设备互通,或者云端应用需要主动访问某个CPE的下挂设备进行远程数据配置或远程控制,此时可以使用终端后路由技术实现.DN-AAA可以提供CPE准入控制、CPE固定IP地址分配、CPE后路由信息统一管理及授权、CPE在线状态监控等能力,满足此类场景组网需求.

2) 访问域控制.

企业应用复杂多样,不同部门或不同终端组可访问的网络域需要隔离以提升企业内网的安全性,如财务人员只能访问财务部应用,研发人员只能访问研发部应用.DN-AAA可以按用户或用户组进行网络资源授权,搭配防火墙访问控制列表(access control list, ACL)实现对用户访问域的控制.

3) 用户信息查询及控制.

DN-AAA具备网络层的全量用户标识信息,如用户名、卡号、DNN、IP地址、设备信息、网络ID、切片ID、TAC、基站小区ID、UPF IP、上线时间、下线时间、当前在线状态等,可以为企业应用提供数据支撑,也可以通过IP地址将终端实时断网.

3.4.3 企业自主运维

基于DN-AAA,企业可掌握5G专网的部分自主运维能力,主要体现在以下几个方面:

1) 号卡管理.

企业管理员可以在DN-AAA系统中对号卡按企业业务的需要进行分组,如按不同园区、不同部门、不同终端类型、不同应用场景等,也可以自定义号卡名称、添加自定义标签,从而将标准的号卡转换为更加适应企业应用场景的个性化对象;可以通过DN-AAA将企业总体可用资源按业务需求细分到号卡,为号卡分配不同的网络资源,如固定IP地址、域名系统(domain name system, DNS)地址、最大带宽、每月可用流量等.

2) 可视化监控告警.

DN-AAA可以可视化直观地实时监控每个终端的连接状态,当连接出现异常时可以主动触发告警,告警可用多种方式实时通知管理员,便于管理员及时处理问题.

3) 日志审计/IP溯源.

DN-AAA可记录终端原始报文、操作日志,为排障定位和安全审计提供依据;可提供专网访问的IP溯源能力,即基于IP地址查询到用户的身份信息以及接入记录,可同时提供在线IP溯源和历史IP溯源能力.

4) 数据分析挖掘.

基于DN-AAA记录的原始话单,结合数据挖掘算法能力,可以为企业提供不同角度的分析报表,便于企业更直观地掌握5G专网运行数据,不断调整优化5G专网,以更好地支撑企业数字化转型.

4 5G专网接入安全管控应用实践

随着5G专网应用的横向延展和纵向深入,行业客户对安全管控的需求愈加强烈.为了支撑行业客户的业务需求,运营商逐渐将5G专网技术的安全管控能力开放给行业客户,形成了一批具备广泛推广价值的行业先行创新示范试点项目,为后续发展5G专网业务提供了新方向、新思路和新能力.本文研究的基于DN-AAA的5G专网接入安全管控方案在校园、金融、电力、工业园区场景进行了部署及功能测试,验证了其组网方案、业务流程和系统功能的可行性,有效实现了5G行业专网可管可控可追溯.

4.1 5G校园专网接入安全管控应用实践

通过5G校园专网,学校师生可以在终端零配置的情况下,随时随地、无感知地同时访问校园内网和互联网,满足教学办公和科研创新要求,为智慧校园构建新一代网络底座,将教育和创新从校内延展到全社会.相比传统虚拟专用网络(virtual private networks, VPN)方式,5G校园专网访问内网无需互联网绕行,无需频繁登录,上网不卡顿,下载无需等待,具备全方位更优的使用体验.

5G校园专网建议采用专用DNN方式,为每个学校分配1个专用DNN,师生开通5G校园专网时需在运营商侧签约校园专用DNN,不签约通用DNN.终端上无需配置接入点名称,在5G核心网接入管理功能(access management function, AMF)实体上开启DNN纠错策略,将终端配置的通用DNN纠错成校园专用DNN.5G校园专网的数据面可采用路由分流或上线分类器(uplink classifier, ULCL)分流方式.类似场景还包括政企移动办公内外网双域访问应用场景.

通过在校园侧部署DN-AAA系统,可以满足5G校园专网的业务自助开通、毕业及时关停、多运营商接入管控、访问域控制、内网IP溯源等需求.在运营商侧部署AAA-P,可以解决校园DN-AAA认证失败或无响应时影响用户访问公网的问题,同时规避5G核心网SMF直接对外暴露而引入的安全风险.

该业务场景重点功能项测试情况如表1所示:

表1 5G校园专网重点功能项测试情况

4.2 5G金融专网接入安全管控应用实践

传统金融专网采用物理专线树状组网,层级多,一旦中间节点发生故障,该节点的子节点业务都受影响.同时,物理专线开通慢、费用高、不具备移动性,无法满足普惠金融、产业金融以及移动金融车等新业务需求.

5G金融专网可以有效弥补传统金融专网的缺点,具备更加扁平、更加健壮、全域可用、灵活组网、安全智能、自主运维等特征,为金融业务创新提供更加有利的网络底座.

5G金融专网需要不同子网之间纵向互通、横向隔离,通过在金融客户侧部署DN-AAA系统,可以满足金融客户对终端接入企业内网时的准入控制、终端后路由统一管理及授权、自主运维等需求;在运营商侧部署AAA-P,可以规避5G核心网SMF直接对外暴露而引入的安全风险.DN-AAA系统支持的终端后路由技术可以有效规避复杂的VPN配置,实现不同CPE下挂设备之间的双向互通,开通和维护更加方便.

类似场景还包括邮政、体验店、加油站、充电站以及有分支机构的大型企事业单位等.

该业务场景重点功能项测试情况如表2所示:

表2 5G金融专网重点功能项测试情况

4.3 5G电力专网接入安全管控应用实践

5G电力专网建设需要遵循安全防护“安全分区、网络专用、横向隔离、纵向认证”的原则[11].在电力系统中,高安全业务是指与电力调度生产直接相关的生产控制类业务,通常部署在生产控制大区涉及实时控制类及感知采集类业务,如安全自动控制系统、电能量计量系统等.中安全业务是指管理信息大区的相关业务,其安全等级仅次于高安全区业务,涉及智能电网生产管理、办公自动化,如电力调度运行管理系统、资产管理系统等业务.

为了支撑电力系统的高安全业务和中安全业务,5G专网需要叠加更多的安全能力.5G应用产业方阵发布的《5G电力虚拟专网网络安全白皮书》中明确提出多层次认证体系,包括主认证、切片认证和电力业务系统二次认证.

通过在电力客户侧部署DN-AAA系统,可以满足电力客户对终端接入企业内网时的二次身份认证、实时机卡绑定、精细化区域管控、灵活时段管控、异常终端监测及管控、CPE下挂设备互通、自主运维等需求;在运营商侧部署AAA-P,可以规避5G核心网SMF直接对外暴露而引入的安全风险.

该业务场景重点功能项测试情况如表3所示:

表3 5G电力专网重点功能项测试情况

4.4 5G工业专网接入安全管控应用实践

5G工业应用场景众多,包括但不限于协同研发设计、远程设备操控、协同设备作业、柔性生产制造、现场辅助装配、机器视觉质检、设备故障诊断、厂区智能物流、无人智能巡检和生产现场监测等,对5G专网的需求也复杂多样,但网络安全和数据安全是绝大多数企业的基本要求.该业务场景DN-AAA系统部署方案及重点功能项与5G电力专网相同.

5 结 语

5G专网承载的行业应用因业务场景特点、组网方式和安全要求不同,针对机密性、完整性、可用性3要素的安全策略也存在差异化需求.基于DN-AAA的5G专网接入安全管控方案有效解决了行业客户部署应用5G专网时多样化的安全管控需求,目前已经在多个行业典型应用场景中完成创新试点验证,具备大规模复制推广的条件.针对安全等级很高的5G专网行业客户,可通过专用SIM卡、定制认证算法等方式进一步提高安全等级,确保终端接入与数据安全.运营商可以将此方案作为可定制的安全管控能力纳入5G专网的标准能力供行业客户选择,助力5G网络与应用深度融合,共同促进数字经济社会发展.