5G LAN 应用及安全探讨*
2024-03-20陈福莉蒋耀辉王蕴杰
陈福莉,蒋耀辉,汪 超,王蕴杰,虞 江
(1.中电科网络安全股份有限公司,四川 成都 610041;2.中国人民解放军空军部队,北京 100843;3.中国人民解放军联勤保障部队,湖北 武汉 430010;4.成都大学,四川 成都 610106)
0 引言
5G 为人们的生活提供了更丰富的服务类型[1]。3GPP TS22.261[2]中对5G LAN type service 的解释为:在住宅、办公室、企业和工厂领域存在多个细分市场,5G 需要提供类似局域网(Local Area Network,LAN)和虚拟专用网络(Vitual Private Network,VPN)功能的服务,并利用5G 特性,如高性能、远距离覆盖、移动性和安全性进行改进。
5G 是一个广覆盖的蜂窝通信网络,所有手机终端使用自己的信道互不干扰。5G LAN 是利用5G技术,将终端进行“分组”,组成一个局域网络。5G LAN 具有高可靠、低时延、抗干扰和高安全性的特点,是3GPP R16 中最有前景的技术之一,能够满足企业园区网络通信的便捷的管理、灵活的互通和可靠的通信[3]3 类需求。例如,5G 网络技术可按照业务需求对工业网络的时延效能进行灵活控制,使其能够同工业行业经营发展流程精确匹配[4]。
1 5G LAN 原理及关键技术
1.1 5G LAN 标准演进
3GPP 在R15 版本中首次定义了5G LAN,并在后续版本中不断从功能性能方面进行增强和完善。R16 版本完成了基础功能的定义,R17 版本增加了计费功能,R18 版本预计2024 年第一季度冻结,主要在以下方面进行了改进。
(1)提供组成员流量特征和性能监控层面的能力开放。R18 可以获得5G 网络中业务流和性能统计数据,能够更好地了解网络和业务的实时状态,提高网络的可靠性和稳定性,确保业务的顺利运行。
(2)支持跨会话管理功能(Session Management Function,SMF)管理虚拟网络组(Vitual Network Group,VN Group)。R18 引入了跨SMF 管理VN Group的功能,多个SMF 可以同时管理一个VN Group,提高了系统的可用性、容灾能力和稳定性,能够提供更加可靠和高效的网络服务。
(3)支持跨VN Group 通信。可以将多个群组连接起来实现互联互通,提高了5G LAN 系统的可用性和灵活性。
(4)组管理功能增强。5G LAN 支持对组内的用户和业务流进行用户认证、权限管理、服务质量(Quality of Service,QoS)控制等精细化管理,支持实时上报组内流量、延迟、带宽等状态信息,提高网络的服务质量和稳定性。
5G LAN 持续在网络拓扑结构、组管理/通信、跨SMF 通信、组播、能力开放、监控和状态上报等方面进行改进和优化,能够更好地满足多种应用场景的多样化网络需求,为实际部署应用奠定了坚实基础。
1.2 5G LAN 原理
5G LAN 的原理是修改统一数据管理(Unified Data Management,UDM)网元中的用户数据,设置业务签约信息进行终端的VN Group 信息(包括组标识、组成员、数据信息等)设置。UDM 向5G 核心网的管理网元提供终端的VN Group 信息及访问策略,管理网元基于VN Group 信息和策略规则,将终端组成了不同的5G LAN。5G LAN 的网络结构示意如图1 所示。
图1 5G LAN 网络架构
5G LAN 支持第2 层(相同网段,互相直接访问)和第3 层通信(跨网段,借助路由),支持单播、组播和广播业务,支持同用户平面功能(User Platform Function,UPF)网元下的通信和跨UPF 的通信,具有访问灵活、组网简单的特点。
1.3 5G LAN 关键技术
5G LAN 关键技术包括组管理技术、流量转发技术、广播/组播复制技术等。
1.3.1 组管理技术
5G LAN 的组管理技术是VN Group 的划分,将有互访功能的用户划分到一个VN Group,同组成员可以进行组内通信,不同组成员间进行逻辑隔离。支持运营商统一进行组管理,也支持用户自行配置管理。
1.3.2 流量转发技术
5G LAN 中终端之间有3 种通信方式:同一区域内终端间通信、不同区域终端间通信、终端与用户数据网络间的通信。因此,5G LAN 定义了3 种组内信息转发方式:本地转发、基于N19 接口转发和基于N6 接口转发。
3 种方式的数据流向和架构示意分别如图2、图3、图4 所示。同一区域中的终端间通信由共用的UPF 进行数据转发,不同区域的终端间通信由两个UPF 通过N19 接口进行数据转发。终端与数据中心之间的通信通过UPF 采用N6 接口转发到用户数据网络。
图2 本地转发
图3 基于N19 接口转发
图4 基于N6 接口转发
1.3.3 广播、组播复制技术
5G LAN 支持广播、组播通信,因此需要网络支持能够复制用户面的流量,是由控制面SMF 网元通过包检测规则(Packet Detection Rule,PDR)和转发规则(Forwarding Action Rule,FAR)通知UPF复制用户面流量的方式来实现。当UPF 接收到广播包时,将其向同组的所有终端转发,收到组播包,将SMF 配置的PDR 的广播地址改为多播地址。
2 5G LAN 典型应用
5G LAN 可以应用于家庭/园区网络、办公网络和工业互联网中。5G LAN 可为家庭/园区用户提供稳定、快速的网络连接,实现智能家居、物联网等应用;可以为办公用户构建一个专属的局域网,为多种办公业务提供稳定可靠的网络支撑服务;可以实现工业设备之间的互联和数据传输,成为工业互联网的基础承载网络。
2.1 家庭/园区网络
5G LAN 可替代无线保真(Wireless Fidelity,Wi-Fi),实现家庭/园区覆盖,部署如图5 所示。通过5G LAN,打印机、电脑、平板、传感器等设备通过终端的5G 通信模组连接到5G 网络,组成一个5G LAN 进行通信,同时支持与Internet 的连接。
图5 5G LAN 在家庭/园区网络的应用
2.2 办公网络
办公网络需要解决办公设备(包括计算机、打印机、笔记本电脑、智能手机等)之间的通信,解决办公设备与相同/不同区域服务器之间的通信。5G LAN 提供移动专线业务,可作为办公网络的主用线路或者传统固网的备用线路。应用部署如图6所示。
图6 5G LAN 在办公网的应用
在办公网络中,5G LAN 还可按照业务需要划分为多个VN Group/子网,实现各VN Group/子网之间的信息隔离,满足灵活组网的需求。
2.3 工业互联网
5G LAN 支持不同群组间的信息隔离,可对不同子网提供差异化的QoS 保障。工业互联网中需要划分自动化控制、办公自动化、运维等不同的子网,在带宽、时延等方面均有差异化的需求。5G LAN 能够为工业互联网的各子网提供差异化的网络服务和灵活的授权认证机制,较好地满足工业互联网中工业机器人、自动导向车(Automated Guided Vehicle,AGV)等特定应用的网络需求。
5G LAN 在工业互联网的应用如图7 所示,可编程控制器(Programmable Logic Controller,PLC)等工控设备、计算机、移动终端均可通过5G 网络、5G 通信模组接入到5G 网络,实现与数据中心的连接。同时,可以按照不同业务应用划分不同的子网,首先满足组内的高效通信需求,同时能够实现组间信息的按需安全隔离及交换。
图7 5G LAN 在工业互联网的应用
3 5G LAN 主要的安全问题及防护方法
3.1 主要安全问题
5G LAN 可以广泛应用于家庭/园区网络、办公网络和工业互联网中,其中工业互联网是最典型的应用场景,此外由于在家庭/园区网络和办公网络中已有较好的安全解决方案,因此本文基于5G LAN 建立的工业互联网的安全性进行分析。5G LAN 主要安全问题包括以下几个方面。
3.1.1 基础平台安全问题
基于5G LAN 的工业互联网中设备种类多、数量大,包括5G 通信网元设备、路由器和交换机等网络设备,计算机平板电脑等终端设备,存储重要数据的服务器、PLC 控制器、各种传感器等。这些设备存在固有的安全弱点,且配置使用不当也会带来安全弱点,因此基础平台的安全问题不容忽视,其中最普遍的是操作系统和应用的安全问题。
多种设备运行不同操作系统,如实时操作系统(Real Time Operation System,RTOS)、Android、Windows、Linux、Unix 等,这些操作系统都不可能100%无缺陷和漏洞。一旦操作系统存在的漏洞和缺陷暴露,就给入侵者进行非法操作提供了便利。
终端设备、服务器上运行了多种软件应用,应用软件面临如下多种安全问题:
(1)应用源程序中存在漏洞,被利用发起攻击,造成业务应用被中断;
(2)一些源程序出于程序调试的方便,人为设置许多“后门”,一旦被黑客利用,将直接通过“后门”对系统和数据进行控制;
(3)应用系统身份认证措施不强,使得黑客可以轻易获得访问应用系统的权限,可能造成关键信息外泄;
(4)一些应用系统的用户名和口令以明文方式被传递,容易被截获,从而发起对系统的非授权访问;
(5)各种可执行文件成为病毒的直接攻击对象。
由于应用系统是动态、不断变化的,应用的安全也是动态的,需要检测应用系统的安全漏洞,采取相应的安全措施,降低应用的安全风险。
综上所述,5G LAN 系统中各设备的基础平台均存在被攻击的风险和安全问题,基础平台的安全问题需要高度重视。
3.1.2 网络接入安全问题
由于引入了5G LAN,相对封闭的工业互联网与开放的5G 网络实现了互联,工业互联网需应对来自5G 公众网络的非法接入等安全问题。同时,5G 公众网络也面临来自工业互联网的安全威胁。
3.1.3 信息隔离安全问题
通常,工业互联网中的工控系统与OA、ERP等业务系统是相对隔离的。采用5G LAN 作为基础承载网后,5G LAN 为工业互联网的不同系统之间的信息访问、获取提供了基础的通道,不同系统间的信息有效隔离是需要解决的安全问题。
3.1.4 传输安全问题
在基于5G LAN 组建的网络中,由于终端间、终端与服务器间均通过5G 公网进行连接,因此终端之间、终端与服务器之间的传输安全需要保护。同时,由于5G LAN 网络中的UPF 网元与企业内部路由器连接,且该连接可能是远程的,因此远程链路的传输安全问题需要重视。
3.2 解决思路
《信息系统等级保护安全设计技术要求》指出,工业控制网络采用分层、分区的架构,构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防护体系。5G LAN 作为工业控制系统和用户业务系统的基础网络,需要从以下方面提升系统的安全防护能力。
3.2.1 提升各设备计算平台的安全
在基于5G LAN 建立的工业互联网系统中,各种设备需采用安全措施提升自身基础计算平台的安全。
UPF 等5G 网元设备通常部署在运营商5G 网络云平台上,运营商已经统一实现了5G 网络云平台的安全防护,因此可以认为该项问题已解决。对于单独部署于工业互联网中的UPF,可采用可信技术实现UPF 等网元的基础软硬件平台安全。对于路由器和交换机等通用网络设备,通过策略配置实现计算平台安全。对于存储重要数据的服务器、云平台,采用身份认证访问控制、虚拟化安全、恶意代码防范、数据备份与恢复、入侵防范和安全审计等措施实现计算平台安全。
安全防护的重点是数量众多的终端设备,以防止病毒、木马通过终端设备侵入系统为主要保护目标,采取的主要措施有:
(1)减少不必要的功能和应用,操作系统和应用软件都遵循系统最小化原则;
(2)应用基于“白名单”和“黑名单”相结合的防护技术,在系统稳定运行后通过规则匹配、深度学习等方法自主建立合法的“白名单”,在没有特征库的情况下也能发现病毒和网络攻击等异常情况;
(3)使用端口管控工具控制外部移动设备的接入,并对所有接入的移动存储设备进行审计。
对于计算机、平板电脑等终端类设备,采用可信计算技术为终端设备建立可信的安全环境,对应用程序提供签名认证机制,拒绝未经认证签名的应用软件安装和执行。采用沙箱、容器、虚拟化等技术,对重要的应用提供应用级隔离运行环境,保证应用的输入、输出、存储信息不被非法获取。对移动终端的外设等进行管控及审计。
为PLC 控制器设置唯一性标识,并以此为基础对设备上运行的程序、对应的数据集合进行建立唯一性标识管理;在执行控制操作时,基于标识进行鉴别和认证,对用户角色进行权限核查,阻止非法操作。同时可采用密码技术,对PLC 设备的重要数据进行机密性保护,对控制指令、响应过程结果实现完整性保护。
对于工控终端可采用智能保护设备实现防护,智能保护设备是部署在各个终端节点上的网络保护设备,防御来自外部、内部其他区域及终端的威胁,有效地保障系统的安全性和可靠性。
对于各种传感器设备,采用鉴别机制对感知设备身份进行鉴别,并采用访问控制列表实现对感知设备的访问控制,提升传感器设备基础平台安全。
3.2.2 提升网络和系统安全防护能力
5G LAN 作为基础承载网络,网络自身的安全防护能力非常重要。主要从以下几个方面提升5G LAN 的网络安全防护能力。
(1)在网络架构和部署方面,可以采用UPF独享下沉的部署方式,保证工业互联网与公众网络的相对隔离。对于重要的用户,可启用端到端的切片,为用户构建相对独立的5G 专网。
(2)提高网络的接入控制能力。对于接入5G LAN 网络的终端设备采用接入认证,防止5G 公网终端非法接入5G LAN 网络。可采用的措施包括:独立建设用户AAA 设备,让企业自行管理5G LAN的用户,只有在企业AAA 设备中的合法用户才能接入5G LAN 网络;在5G LAN 网络中对接入终端进行二次认证,采用企业自主可控的二次认证方案和设备,只有通过二次认证的终端才能接入5G LAN 网络,防止非法用户接入。
(3)提升各网络的边界防护能力。对于工业互联网的工控网络,可采用工业防火墙实现边界防护,工业防火墙内置工业通信协议的过滤模块,支持对各种工业协议的解析及过滤,实现对控制指令的识别和控制。对于工业互联网中的办公网络,可通过防火墙、入侵防御系统等实现网络的安全防护。
(4)提升网络的态势感知和安全管理能力。通过设置部署网络安全态势感知探针,实时监测网络安全状态,识别异常流量,及时发现网络攻击行为,提供实时的预警和报警信息,帮助用户及时采取安全措施,保障信息系统的安全。还可通过安全管理中心进行全系统安全态势的集中统一管理,及时识别网络攻击,采取有效的应对措施。
3.2.3 提升系统的隔离防护能力
基于5G LAN 的工业互联网承载多个业务系统,应按照业务相对隔离、信息按需互通的原则进行各子网的设计。在网络层面,保证不同的业务系统部署在独立的VLAN 中,同时划分不同的安全域,各安全域之间采取边界防护措施,保证各业务系统和子网的独立;在应用和数据层面,各业务系统采取身份认证、访问控制等措施阻止非法访问,保持应用和数据的独立性。
对于信息的互通需求,可通过设置隔离交换系统实现不同业务系统之间的信息隔离交换。隔离交换系统在各业务系统进行信息交换时进行身份认证、权限控制、数据安全性检测等操作,同时能够实现交换信息的机密性和完整性保护,从而防止因为信息交换对各业务系统产生安全隐患和风险。
4 结语
针对5G 在垂直行业中的应用,3GPP 提出了5G 切片[5]、NPN[6]、5G LAN、TSN[7]等众多新技术,如何通过实施这些新技术满足垂直行业的应用需求,实现与用户原有信息系统、通信系统无缝对接,做到真正的降本增效,任重而道远。5G LAN 的出现为工业应用带来了新的机遇[8],让垂直行业数字化转型有了新方向[9]。5G LAN 可以为垂直行业提供定制化的专属广域“局域网”,使得企业终端与企业云随时随地处于一个虚拟化局域网(或虚拟组)中,5G LAN 功能逐渐成为5G 网络在工业互联网应用中最重要的增强力量之一[10],必将开拓出5G 在垂直行业中的新场景、新应用。
本文对5G LAN 的原理、关键技术、典型应用场景进行了论述,对5G LAN 在工业互联网这一新场景应用时所面临的主要安全问题进行了分析,提出了解决思路,在设计和建设5G LAN 系统时可作为参考。随着5G LAN 的广泛应用及产业的进一步成熟,5G LAN 在工业互联网领域必将得到更大规模的应用。