王繼剛/WANG Jigang，王慶/WANG Qing，滕志猛/TENG Zhimeng

（中興通訊股份有限公司，中國 深圳518057）

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)深度融合所形成的產(chǎn)業(yè)和應用生態(tài)，是工業(yè)智能化發(fā)展的關(guān)鍵信息基礎(chǔ)設(shè)施。5G將以其高帶寬、低時延、海量連接等特性大幅提升工業(yè)互聯(lián)網(wǎng)的信息化水平，逐步成為支撐工業(yè)生產(chǎn)的基礎(chǔ)設(shè)施。同時，5G網(wǎng)絡提供的靈活定制、彈性部署、多層次隔離等智能網(wǎng)絡能力與工業(yè)生產(chǎn)中既有的研發(fā)設(shè)計系統(tǒng)、生產(chǎn)控制系統(tǒng)及服務管理系統(tǒng)等相結(jié)合，可以全面推動工業(yè)系統(tǒng)的生產(chǎn)流程產(chǎn)生深刻變革。

5G的引入，打破了工業(yè)互聯(lián)網(wǎng)相對封閉、可信的制造環(huán)境：病毒、木馬、高級持續(xù)性攻擊等對工業(yè)生產(chǎn)的威脅日益加劇，一旦網(wǎng)絡受到攻擊，將會造成巨大的經(jīng)濟損失，并可能帶來環(huán)境災難和人員傷亡。在第3代合作伙伴計劃（3GPP）標準中[1-3]，5G網(wǎng)絡的基礎(chǔ)安全能力還不能完全契合不同業(yè)務場景下工業(yè)互聯(lián)網(wǎng)對網(wǎng)絡安全的要求。為此，需要在現(xiàn)有5G安全架構(gòu)基礎(chǔ)之上，結(jié)合工業(yè)互聯(lián)網(wǎng)行業(yè)特征與運營模式，構(gòu)建5G+工業(yè)互聯(lián)網(wǎng)安全定制能力，從而滿足企業(yè)安全技術(shù)體系對于5G+工業(yè)互聯(lián)網(wǎng)安全能力的要求。本文主要介紹5個方面的能力，即終端接入認證、網(wǎng)絡切片隔離、高實時性業(yè)務保障、數(shù)據(jù)端到端安全、未知安全威脅防御。

1 差異化切片滿足企業(yè)網(wǎng)絡安全隔離需求

5G網(wǎng)絡切片是基于無線接入網(wǎng)、承載網(wǎng)與核心網(wǎng)基礎(chǔ)設(shè)施，以及網(wǎng)絡虛擬化技術(shù)構(gòu)建的一個面向不同業(yè)務特征的邏輯網(wǎng)絡。運營商可以為不同行業(yè)應用在共享的網(wǎng)絡基礎(chǔ)設(shè)施上，通過能力開放、智能調(diào)度等技術(shù)構(gòu)建網(wǎng)絡切片，提供差異化的網(wǎng)絡服務。這對安全提出了新的挑戰(zhàn)，帶來了包括切片間非法訪問、切片內(nèi)不同安全域間的非法訪問等多種安全威脅。

為了安全地支持各種差異化的業(yè)務場景，需要提供網(wǎng)絡切片隔離（如圖1所示），為不同業(yè)務提供差異化的安全服務。工業(yè)互聯(lián)網(wǎng)切片隔離符合《網(wǎng)絡安全等級保護2.0》中對安全通信網(wǎng)絡的要求，并通過一套參數(shù)配置，實現(xiàn)切片的資源隔離和業(yè)務質(zhì)量保障?？梢愿鶕?jù)行業(yè)的安全隔離要求和需要保障的關(guān)鍵服務等級協(xié)議（SLA）選擇不同類型的切片，并進行參數(shù)配置。從資源隔離和業(yè)務保障的角度，無線網(wǎng)絡可以提供多種切片隔離技術(shù)。如表1所示，工業(yè)互聯(lián)網(wǎng)切片隔離方案分為4類，分別對應等級保護中的1—4級，不同業(yè)務系統(tǒng)可以根據(jù)自身需求選擇不同的網(wǎng)絡隔離方案。

1.1 無線接入網(wǎng)（RAN）隔離

網(wǎng)絡切片在RAN側(cè)的隔離主要面向無線頻譜資源以及基站處理資源。最高安全等級的工業(yè)控制類切片采用獨立的基站或者頻譜獨享；其他類型切片則根據(jù)安全需求，通過物理資源承載（PRB）獨享、數(shù)據(jù)資源承載（DRB）共享，以及5G服務質(zhì)量特性（5QI）優(yōu)先級調(diào)度等多種方式組合來實現(xiàn)。

▲圖1 端到端網(wǎng)絡切片隔離

表1 工業(yè)互聯(lián)網(wǎng)切片隔離方案

（1）獨立基站/頻譜獨享。部分專網(wǎng)的應用（如工業(yè)控制類）或局部區(qū)域（如無人工廠、無人發(fā)電站、礦山等）的通信獨立性和可控性要求很高，共享基站無法滿足；因此，可以考慮采用獨立基站的形式提供無線切片。另外，對于資源隔離和業(yè)務質(zhì)量保障更高的應用，可以在運營商頻譜資源中劃分出一部分單獨給該應用使用（如5 MHz）。

（2）PRB獨享。在5G 正交頻分多址（OFDMA）系統(tǒng)中，無線頻譜從時域、頻域、空域維度被劃分為不同的PRB，用于承載終端和基站之間數(shù)據(jù)傳輸。對于一些要求資源隔離且對業(yè)務質(zhì)量保障要求高的切片用戶，可以為其配置一定比例的PRB（如5%）。此時，該小區(qū)5%的空口資源和帶寬為該切片專用，不受其他用戶影響。PRB的正交性保證了切片的隔離性，PRB專用也保證了業(yè)務質(zhì)量的穩(wěn)定性。

（3）DRB共享。可以配置DRB接納控制參數(shù)，以確保切片在該小區(qū)下能夠接入的用戶數(shù)不被其他業(yè)務搶占。DRB接納控制可以采用靈活的配置策略，既可以固定配置，也可以配置一個較小的比例，超過后還可以在資源池中搶占。

（4）5QI優(yōu)先級調(diào)度。對于不需要嚴格確保資源隔離和業(yè)務質(zhì)量的切片，如視頻監(jiān)控類的增強移動寬帶（eMBB）切片，可采用5QI優(yōu)先級調(diào)度方式。該方式基于單一網(wǎng)絡切片選擇輔助信息（S-NSSAI）的不同優(yōu)先級（可以依據(jù)切片業(yè)務需保障的程度進行配置）和業(yè)務，并能在一個調(diào)度周期內(nèi)計算出不同業(yè)務的調(diào)度優(yōu)先級。5QI軟切片的本質(zhì)是基于調(diào)度，即以調(diào)度策略來實現(xiàn)業(yè)務質(zhì)量，但當基站業(yè)務繁忙時并不能確保達到該目標。

1.2 承載網(wǎng)（TN）隔離

5G網(wǎng)絡依托數(shù)據(jù)中心部署，其跨越數(shù)據(jù)中心的物理通信鏈路需要承載多個切片的業(yè)務數(shù)據(jù)。網(wǎng)絡切片在承載側(cè)的隔離可通過軟隔離、硬隔離和服務質(zhì)量（QoS）資源保障等多種方案實現(xiàn)。

（1）虛擬專用網(wǎng)（VPN）/虛擬局域網(wǎng)（VLAN）隔離。軟隔離方案基于現(xiàn)有網(wǎng)絡機制，通過VLAN 標簽與網(wǎng)絡切片標識的映射來實現(xiàn)。網(wǎng)絡切片具備唯一的切片標識，能夠根據(jù)切片標識為不同的切片數(shù)據(jù)映射封裝不同的VLAN標簽，再通過VLAN隔離實現(xiàn)承載隔離，從而保障QoS。

（2）靈活以太網(wǎng)（FlexE）隔離。硬隔離方案引入了FlexE 技術(shù)。FlexE分片基于時隙調(diào)度，將一個物理以太網(wǎng)端口劃分為多個以太網(wǎng)彈性管道（邏輯端口）。這使得承載網(wǎng)絡既具備類似于時分復用（TDM）的隔離性好的特性，又具備以太網(wǎng)的網(wǎng)絡效率高的特點。對于工業(yè)控制應用等對時延和安全保障較高的業(yè)務，可以在承載側(cè)獨占時隙，從而實現(xiàn)切片硬隔離。

1.3 核心網(wǎng)隔離

5G核心網(wǎng)由多種不同的網(wǎng)絡功能構(gòu)成，有些網(wǎng)絡功能為切片專用（工業(yè)控制），有些則在多個切片之間共享；因此，在核心網(wǎng)側(cè)的隔離需要采用多重隔離機制。

（1）控制面功能（CPF）全部獨享。核心網(wǎng)的所有控制面網(wǎng)元[4-5]，包括接入和移動管理功能（AMF）、統(tǒng)一數(shù)據(jù)管理功能（UDM）、鑒權(quán)服務功能（AUSF）、統(tǒng)一數(shù)據(jù)倉庫功能（UDR）、策略控制功能（PCF）、會話管理功能（SMF），以及用戶面網(wǎng)元功能（UPF）都需要新建。該模式適用于如工業(yè)控制、典型專網(wǎng)等對安全需求最高的應用場景。

（2）CPF部分共享。核心網(wǎng)的部分控制面網(wǎng)元（包括AUSF、UDR、PCF、SMF）需要新建，AMF和UDM被多個切片共享。這種方式可根據(jù)容量、時延等要求，選擇在核心機房或者邊緣機房新建UPF。對于希望數(shù)據(jù)隔離的大部分切片，或?qū)Σ渴鹞恢糜袊栏褚螅ū热绻S、園區(qū)）且有本地應用部署需求的切片用戶，我們建議采用這種模式。

（3）CPF全部共享，UPF獨享。核心網(wǎng)的控制面網(wǎng)元被多個切片共享，UPF需要新建，切片通過S-NSSAI來區(qū)分，數(shù)據(jù)網(wǎng)絡名稱（DNN）也需要新建。該模式適用于管理信息網(wǎng)、視頻監(jiān)控等對于安全隔離有一定要求的業(yè)務場景。

2 UPF下沉+FlexE可靠地支持企業(yè)低時延業(yè)務需求

智能車間內(nèi)設(shè)備的互聯(lián)，以及生產(chǎn)運營的數(shù)字化轉(zhuǎn)型，使得工業(yè)系統(tǒng)對實時性、抗抖動性的無線網(wǎng)絡需求變得迫切。傳統(tǒng)無線網(wǎng)絡無法滿足該要求，而5G網(wǎng)絡以其高帶寬、低時延、大連接的特性獲得工業(yè)生產(chǎn)系統(tǒng)的青睞[6-8]。

傳統(tǒng)端到端移動通信，必須經(jīng)過無線接入網(wǎng)、核心網(wǎng)、平臺、應用層層處理，這導致端到端時延較長，無法滿足對時延要求比較高的工業(yè)控制應用的要求。為了進一步降低端到端通信時延，可以將5G網(wǎng)絡中UPF下沉到移動邊緣計算（MEC）。圖2中的架構(gòu)就是將數(shù)據(jù)、應用、智能引入基站邊緣側(cè)，從而減少數(shù)據(jù)傳輸路由節(jié)點，降低端到端通信時延。

在網(wǎng)絡傳輸方面，服務于工業(yè)控制的網(wǎng)絡切片，對時延要求更高。傳統(tǒng)分組設(shè)備對于客戶業(yè)務報文采用的是逐跳轉(zhuǎn)發(fā)策略，網(wǎng)絡中每個節(jié)點設(shè)備都需要對數(shù)據(jù)包進行媒體接入控制（MAC）層和多協(xié)議標簽交換（MPLS）層解析。這種解析耗費大量時間，單設(shè)備轉(zhuǎn)發(fā)時延高達數(shù)十微秒。為此，可以采用FlexE交叉技術(shù)，來實現(xiàn)網(wǎng)絡設(shè)備之間的信息傳遞。這種方式可以實現(xiàn)基于物理層的用戶業(yè)務流轉(zhuǎn)發(fā)，用戶報文在網(wǎng)絡中間節(jié)點無須解析，業(yè)務流交叉過程近乎瞬間完成，實現(xiàn)單跳設(shè)備轉(zhuǎn)發(fā)時延1～10 μs，可有效解決時間報文的模擬、欺騙。

▲圖2 5G工業(yè)應用延時保證

3 多重機制提供企業(yè)端到端數(shù)據(jù)安全保障

用戶數(shù)據(jù)在傳輸過程中存在被竊聽、篡改、泄露等安全威脅。為降低行業(yè)應用中數(shù)據(jù)安全風險，5G提供了更強大的數(shù)據(jù)安全保護方法，如圖3所示。

3.1 接入認證

▲圖3 5G工業(yè)園區(qū)數(shù)據(jù)安全

在為高安全等級工業(yè)系統(tǒng)提供定制化服務過程中，5G網(wǎng)絡采用的是切片二次認證機制，即在用戶接入網(wǎng)絡并做了認證之后，為接入特定業(yè)務建立數(shù)據(jù)通道而進行的認證。在該認證過程中，使用了非運營商控制的信任狀要求，即用戶通過接入認證后并不能直接與業(yè)務系統(tǒng)建立連接，而是利用業(yè)務相關(guān)的信任狀與用戶終端進行認證，并在認證通過的情況下才允許5G網(wǎng)絡為用戶建立與業(yè)務系統(tǒng)間的通信鏈路，從而保證企業(yè)對安全策略自主可控。

3.2 訪問控制

訪問控制遵循最小權(quán)限授權(quán)原則。系統(tǒng)為不同用戶分配不同的數(shù)據(jù)操作權(quán)限。訪問者未經(jīng)授權(quán)不能訪問用戶信息，以防止非法訪問、越權(quán)訪問等手段獲取用戶的數(shù)據(jù)。

為避免不可靠來源用戶的接入，系統(tǒng)提供選擇多種訪問控制方式。系統(tǒng)不允許時間、來源、登錄方式等訪問控制條件不滿足的用戶登錄系統(tǒng)并建立會話。另外，關(guān)鍵敏感數(shù)據(jù)采用SHA256、AES256等加密算法進行加密存儲。

3.3 數(shù)據(jù)傳輸安全

在機密性保護方面，5G網(wǎng)絡采用的高級加密標準（AES）、3GPP流密碼（SNOW 3G）、祖沖之密碼（ZUC）等算法。這些算法采用128 位密鑰長度，被證明是安全的。

數(shù)據(jù)傳輸安全機制為工業(yè)互聯(lián)網(wǎng)中的數(shù)據(jù)產(chǎn)生、處理、使用等環(huán)節(jié)提供了安全保護。首先，在數(shù)據(jù)產(chǎn)生和處理過程中，數(shù)據(jù)根據(jù)敏感度進行分類，建立不同安全域間的加密傳輸鏈路，并根據(jù)不同的安全級別采用差異化的數(shù)據(jù)安全技術(shù)。其次在數(shù)據(jù)使用過程中，數(shù)據(jù)管理者對使用者進行授權(quán)和驗證，保證數(shù)據(jù)使用的目的和范圍符合安全策略，并對重要業(yè)務數(shù)據(jù)的使用進行審計，最終為行業(yè)用戶提供數(shù)據(jù)的機密性和完整性保護。

另外，采用基于會話的加密機制，需要按需配置加密算法與密鑰強度。采用數(shù)據(jù)加密、完整性校驗能夠保證數(shù)據(jù)在空口、用戶設(shè)備（UE）和MEC之間的安全傳輸。例如，建立互聯(lián)網(wǎng)協(xié)議安全（IPSec）/安全套接字協(xié)議（SSL）VPN隧道，可以預防數(shù)據(jù)被嗅探竊取、篡改等威脅，同時結(jié)合UPF分流技術(shù)及內(nèi)部邊界安全隔離，能夠?qū)崿F(xiàn)數(shù)據(jù)不出園區(qū)。

4 零信任架構(gòu)增強企業(yè)自主控制接入安全策略

隨著安全邊界下沉，5G網(wǎng)絡架構(gòu)中的身份驗證憑據(jù)成為了新的核心安全邊界。一旦5G+工業(yè)互聯(lián)網(wǎng)場景下海量的工業(yè)生產(chǎn)終端被入侵利用，將會產(chǎn)生非常嚴重的后果。

傳統(tǒng)邊界安全模型中的信任是來自網(wǎng)絡地址的，即在網(wǎng)絡邊界驗證終端身份，確定用戶是否被信任。如果終端的IP地址可信，用戶被認定為可信，并通過驗證進入內(nèi)網(wǎng)。隨著攻擊方式和威脅多樣化，傳統(tǒng)網(wǎng)絡接入安全架構(gòu)凸顯出很大的局限性。為此，5G+工業(yè)互聯(lián)網(wǎng)安全架構(gòu)引入基于零信任安全理念，并啟用新型身份驗證管理模式，充分利用身份驗證憑據(jù)、設(shè)備、網(wǎng)絡、應用等多種資源的組合安全邊界[9]。

▲圖4 基于5G的工業(yè)零信任安全系統(tǒng)

如圖4所示，零信任安全系統(tǒng)包括控制器、可信網(wǎng)關(guān)、分析器3大組件。控制器作為安全控制面的核心組件，為可信網(wǎng)關(guān)提供自適應認證服務、動態(tài)訪問控制和集中管理能力。控制器對所有的訪問請求進行權(quán)限判定。權(quán)限判定不再基于簡單的靜態(tài)規(guī)則，而是基于身份庫、權(quán)限庫和信任庫的上下文屬性、信任等級和安全策略等。

分析器為控制器提供信任等級評估。分析器持續(xù)接收可信網(wǎng)關(guān)、控制器的日志信息，結(jié)合身份庫、權(quán)限庫數(shù)據(jù)，并基于大數(shù)據(jù)和人工智能技術(shù)，對身份進行持續(xù)畫像，對訪問行為進行持續(xù)分析，對信任進行持續(xù)評估，最終生成和維護信任庫，為動態(tài)訪問控制引擎提供決策依據(jù)。

可信網(wǎng)關(guān)作為5G網(wǎng)絡MEC用戶面的網(wǎng)絡控制節(jié)點，是確保業(yè)務安全訪問的第一道關(guān)口，是動態(tài)訪問控制能力的策略執(zhí)行點。根據(jù)應用終端訪問控制規(guī)則，可信網(wǎng)關(guān)攔截訪問請求后，通過控制器對訪問主體進行認證，對訪問主體的權(quán)限進行動態(tài)判定。只有認證通過并且具有訪問權(quán)限的訪問請求才予以放行。

5G工業(yè)互聯(lián)網(wǎng)零信任安全架構(gòu)下的終端安全接入不再以網(wǎng)絡邊界為限，這使得原來的被動防御向主動防御轉(zhuǎn)變，邊界防御向內(nèi)生安全轉(zhuǎn)變。

5 態(tài)勢感知保障網(wǎng)絡整體安全能力

5G網(wǎng)絡的應用，有力地推動了有線工業(yè)控制向無線接入工控自動化轉(zhuǎn)型[10-12]。云虛擬現(xiàn)實（VR）/增強現(xiàn)實（AR）技術(shù)的大量應用，工業(yè)可穿戴、遠程操控的普及，使得傳統(tǒng)工業(yè)系統(tǒng)勢必與5G移動互聯(lián)網(wǎng)產(chǎn)生大量信息和數(shù)據(jù)交互。這也給工業(yè)互聯(lián)網(wǎng)行業(yè)安全防護提出了更高的挑戰(zhàn)，原有的被動式防御已不可靠，無法有效防止有組織的規(guī)模性攻擊。

首先，5G工業(yè)互聯(lián)網(wǎng)態(tài)勢感知技術(shù)，可以覆蓋5G資產(chǎn)（包括5GC網(wǎng)元、切片、虛機、物理機、中間件等），能先將各層級資產(chǎn)進行關(guān)聯(lián)，然后根據(jù)關(guān)聯(lián)關(guān)系來判斷漏洞、脆弱性與攻擊事件等威脅事件對業(yè)務的影響，并在大量的安全事件中尋找事件之間的因果關(guān)系。通過這樣的方式，態(tài)勢感知技術(shù)能夠追蹤攻擊鏈定位威脅發(fā)生的源頭，并分析可能的波及范圍，根據(jù)資產(chǎn)價值及業(yè)務影響來確定處置方式與手段。其次，態(tài)勢感知技術(shù)可以對網(wǎng)絡攻擊事件深度挖掘，結(jié)合網(wǎng)絡的基礎(chǔ)設(shè)施情況和運行狀態(tài)，對網(wǎng)絡安全態(tài)勢做出評估，從而對未來可能遭受的網(wǎng)絡攻擊進行預測，并提供針對性的預防建議和措施。另外，在工業(yè)互聯(lián)網(wǎng)業(yè)務與5G移動互聯(lián)網(wǎng)交互的關(guān)鍵路徑上，態(tài)勢感知技術(shù)可以對網(wǎng)絡中的流量和各種日志信息持續(xù)地收集分析，對網(wǎng)絡異常流量（包括攻擊流量特征、威脅文件傳輸?shù)龋┻M行解析，從而發(fā)現(xiàn)網(wǎng)絡流量異常行為或者用戶異常行為，以便主動對未知威脅提前干預。圖5為5G安全態(tài)勢感知架構(gòu)。

▲圖5 5G安全態(tài)勢感知架構(gòu)

6 結(jié)束語

在5G與工業(yè)互聯(lián)網(wǎng)融合的過程中必然會出現(xiàn)安全問題，目前的5G工業(yè)互聯(lián)網(wǎng)安全防護發(fā)展尚處起步階段。隨著5G融入工業(yè)互聯(lián)網(wǎng)的廣度和深度持續(xù)增強，有必要引入新的安全理念、安全技術(shù)，不斷完善5G工業(yè)互聯(lián)網(wǎng)安全防護體系，以支撐工業(yè)數(shù)字化轉(zhuǎn)型升級行穩(wěn)致遠[13-15]。

可定制的5G+工業(yè)互聯(lián)網(wǎng)安全能力，貼合工業(yè)互聯(lián)網(wǎng)應用場景，通過引入主動式、智能化的威脅檢測與安全防護技術(shù)，構(gòu)建全面的預測、基礎(chǔ)防護、響應和恢復能力，同時利用機器學習、深度學習等人工智能技術(shù)分析處理安全大數(shù)據(jù)，從而不斷改善安全防御體系?？啥ㄖ频?G+工業(yè)互聯(lián)網(wǎng)安全能力可以有力保障5G行業(yè)應用的安全，為后續(xù)更多的5G行業(yè)應用落地創(chuàng)造了安全的網(wǎng)絡環(huán)境。