陳福莉，蔣耀輝，汪 超，王蘊杰，虞 江

（1.中電科網(wǎng)絡安全股份有限公司，四川 成都 610041；2.中國人民解放軍空軍部隊，北京 100843；3.中國人民解放軍聯(lián)勤保障部隊，湖北 武漢 430010；4.成都大學，四川 成都 610106）

0 引言

5G 為人們的生活提供了更豐富的服務類型[1]。3GPP TS22.261[2]中對5G LAN type service 的解釋為：在住宅、辦公室、企業(yè)和工廠領域存在多個細分市場，5G 需要提供類似局域網(wǎng)（Local Area Network，LAN）和虛擬專用網(wǎng)絡（Vitual Private Network，VPN）功能的服務，并利用5G 特性，如高性能、遠距離覆蓋、移動性和安全性進行改進。

5G 是一個廣覆蓋的蜂窩通信網(wǎng)絡，所有手機終端使用自己的信道互不干擾。5G LAN 是利用5G技術，將終端進行“分組”，組成一個局域網(wǎng)絡。5G LAN 具有高可靠、低時延、抗干擾和高安全性的特點，是3GPP R16 中最有前景的技術之一，能夠滿足企業(yè)園區(qū)網(wǎng)絡通信的便捷的管理、靈活的互通和可靠的通信[3]3 類需求。例如，5G 網(wǎng)絡技術可按照業(yè)務需求對工業(yè)網(wǎng)絡的時延效能進行靈活控制，使其能夠同工業(yè)行業(yè)經(jīng)營發(fā)展流程精確匹配[4]。

1 5G LAN 原理及關鍵技術

1.1 5G LAN 標準演進

3GPP 在R15 版本中首次定義了5G LAN，并在后續(xù)版本中不斷從功能性能方面進行增強和完善。R16 版本完成了基礎功能的定義，R17 版本增加了計費功能，R18 版本預計2024 年第一季度凍結，主要在以下方面進行了改進。

（1）提供組成員流量特征和性能監(jiān)控層面的能力開放。R18 可以獲得5G 網(wǎng)絡中業(yè)務流和性能統(tǒng)計數(shù)據(jù)，能夠更好地了解網(wǎng)絡和業(yè)務的實時狀態(tài)，提高網(wǎng)絡的可靠性和穩(wěn)定性，確保業(yè)務的順利運行。

（2）支持跨會話管理功能（Session Management Function，SMF）管理虛擬網(wǎng)絡組（Vitual Network Group，VN Group）。R18 引入了跨SMF 管理VN Group的功能，多個SMF 可以同時管理一個VN Group，提高了系統(tǒng)的可用性、容災能力和穩(wěn)定性，能夠提供更加可靠和高效的網(wǎng)絡服務。

（3）支持跨VN Group 通信?？梢詫⒍鄠€群組連接起來實現(xiàn)互聯(lián)互通，提高了5G LAN 系統(tǒng)的可用性和靈活性。

（4）組管理功能增強。5G LAN 支持對組內(nèi)的用戶和業(yè)務流進行用戶認證、權限管理、服務質量（Quality of Service，QoS）控制等精細化管理，支持實時上報組內(nèi)流量、延遲、帶寬等狀態(tài)信息，提高網(wǎng)絡的服務質量和穩(wěn)定性。

5G LAN 持續(xù)在網(wǎng)絡拓撲結構、組管理/通信、跨SMF 通信、組播、能力開放、監(jiān)控和狀態(tài)上報等方面進行改進和優(yōu)化，能夠更好地滿足多種應用場景的多樣化網(wǎng)絡需求，為實際部署應用奠定了堅實基礎。

1.2 5G LAN 原理

5G LAN 的原理是修改統(tǒng)一數(shù)據(jù)管理（Unified Data Management，UDM）網(wǎng)元中的用戶數(shù)據(jù)，設置業(yè)務簽約信息進行終端的VN Group 信息（包括組標識、組成員、數(shù)據(jù)信息等）設置。UDM 向5G 核心網(wǎng)的管理網(wǎng)元提供終端的VN Group 信息及訪問策略，管理網(wǎng)元基于VN Group 信息和策略規(guī)則，將終端組成了不同的5G LAN。5G LAN 的網(wǎng)絡結構示意如圖1 所示。

圖1 5G LAN 網(wǎng)絡架構

5G LAN 支持第2 層（相同網(wǎng)段，互相直接訪問）和第3 層通信（跨網(wǎng)段，借助路由），支持單播、組播和廣播業(yè)務，支持同用戶平面功能（User Platform Function，UPF）網(wǎng)元下的通信和跨UPF 的通信，具有訪問靈活、組網(wǎng)簡單的特點。

1.3 5G LAN 關鍵技術

5G LAN 關鍵技術包括組管理技術、流量轉發(fā)技術、廣播/組播復制技術等。

1.3.1 組管理技術

5G LAN 的組管理技術是VN Group 的劃分，將有互訪功能的用戶劃分到一個VN Group，同組成員可以進行組內(nèi)通信，不同組成員間進行邏輯隔離。支持運營商統(tǒng)一進行組管理，也支持用戶自行配置管理。

1.3.2 流量轉發(fā)技術

5G LAN 中終端之間有3 種通信方式：同一區(qū)域內(nèi)終端間通信、不同區(qū)域終端間通信、終端與用戶數(shù)據(jù)網(wǎng)絡間的通信。因此，5G LAN 定義了3 種組內(nèi)信息轉發(fā)方式：本地轉發(fā)、基于N19 接口轉發(fā)和基于N6 接口轉發(fā)。

3 種方式的數(shù)據(jù)流向和架構示意分別如圖2、圖3、圖4 所示。同一區(qū)域中的終端間通信由共用的UPF 進行數(shù)據(jù)轉發(fā)，不同區(qū)域的終端間通信由兩個UPF 通過N19 接口進行數(shù)據(jù)轉發(fā)。終端與數(shù)據(jù)中心之間的通信通過UPF 采用N6 接口轉發(fā)到用戶數(shù)據(jù)網(wǎng)絡。

圖2 本地轉發(fā)

圖3 基于N19 接口轉發(fā)

圖4 基于N6 接口轉發(fā)

1.3.3 廣播、組播復制技術

5G LAN 支持廣播、組播通信，因此需要網(wǎng)絡支持能夠復制用戶面的流量，是由控制面SMF 網(wǎng)元通過包檢測規(guī)則（Packet Detection Rule，PDR）和轉發(fā)規(guī)則（Forwarding Action Rule，F(xiàn)AR）通知UPF復制用戶面流量的方式來實現(xiàn)。當UPF 接收到廣播包時，將其向同組的所有終端轉發(fā)，收到組播包，將SMF 配置的PDR 的廣播地址改為多播地址。

2 5G LAN 典型應用

5G LAN 可以應用于家庭/園區(qū)網(wǎng)絡、辦公網(wǎng)絡和工業(yè)互聯(lián)網(wǎng)中。5G LAN 可為家庭/園區(qū)用戶提供穩(wěn)定、快速的網(wǎng)絡連接，實現(xiàn)智能家居、物聯(lián)網(wǎng)等應用；可以為辦公用戶構建一個專屬的局域網(wǎng)，為多種辦公業(yè)務提供穩(wěn)定可靠的網(wǎng)絡支撐服務；可以實現(xiàn)工業(yè)設備之間的互聯(lián)和數(shù)據(jù)傳輸，成為工業(yè)互聯(lián)網(wǎng)的基礎承載網(wǎng)絡。

2.1 家庭/園區(qū)網(wǎng)絡

5G LAN 可替代無線保真（Wireless Fidelity，Wi-Fi），實現(xiàn)家庭/園區(qū)覆蓋，部署如圖5 所示。通過5G LAN，打印機、電腦、平板、傳感器等設備通過終端的5G 通信模組連接到5G 網(wǎng)絡，組成一個5G LAN 進行通信，同時支持與Internet 的連接。

圖5 5G LAN 在家庭/園區(qū)網(wǎng)絡的應用

2.2 辦公網(wǎng)絡

辦公網(wǎng)絡需要解決辦公設備（包括計算機、打印機、筆記本電腦、智能手機等）之間的通信，解決辦公設備與相同/不同區(qū)域服務器之間的通信。5G LAN 提供移動專線業(yè)務，可作為辦公網(wǎng)絡的主用線路或者傳統(tǒng)固網(wǎng)的備用線路。應用部署如圖6所示。

圖6 5G LAN 在辦公網(wǎng)的應用

在辦公網(wǎng)絡中，5G LAN 還可按照業(yè)務需要劃分為多個VN Group/子網(wǎng)，實現(xiàn)各VN Group/子網(wǎng)之間的信息隔離，滿足靈活組網(wǎng)的需求。

2.3 工業(yè)互聯(lián)網(wǎng)

5G LAN 支持不同群組間的信息隔離，可對不同子網(wǎng)提供差異化的QoS 保障。工業(yè)互聯(lián)網(wǎng)中需要劃分自動化控制、辦公自動化、運維等不同的子網(wǎng)，在帶寬、時延等方面均有差異化的需求。5G LAN 能夠為工業(yè)互聯(lián)網(wǎng)的各子網(wǎng)提供差異化的網(wǎng)絡服務和靈活的授權認證機制，較好地滿足工業(yè)互聯(lián)網(wǎng)中工業(yè)機器人、自動導向車（Automated Guided Vehicle，AGV）等特定應用的網(wǎng)絡需求。

5G LAN 在工業(yè)互聯(lián)網(wǎng)的應用如圖7 所示，可編程控制器（Programmable Logic Controller，PLC）等工控設備、計算機、移動終端均可通過5G 網(wǎng)絡、5G 通信模組接入到5G 網(wǎng)絡，實現(xiàn)與數(shù)據(jù)中心的連接。同時，可以按照不同業(yè)務應用劃分不同的子網(wǎng)，首先滿足組內(nèi)的高效通信需求，同時能夠實現(xiàn)組間信息的按需安全隔離及交換。

圖7 5G LAN 在工業(yè)互聯(lián)網(wǎng)的應用

3 5G LAN 主要的安全問題及防護方法

3.1 主要安全問題

5G LAN 可以廣泛應用于家庭/園區(qū)網(wǎng)絡、辦公網(wǎng)絡和工業(yè)互聯(lián)網(wǎng)中，其中工業(yè)互聯(lián)網(wǎng)是最典型的應用場景，此外由于在家庭/園區(qū)網(wǎng)絡和辦公網(wǎng)絡中已有較好的安全解決方案，因此本文基于5G LAN 建立的工業(yè)互聯(lián)網(wǎng)的安全性進行分析。5G LAN 主要安全問題包括以下幾個方面。

3.1.1 基礎平臺安全問題

基于5G LAN 的工業(yè)互聯(lián)網(wǎng)中設備種類多、數(shù)量大，包括5G 通信網(wǎng)元設備、路由器和交換機等網(wǎng)絡設備，計算機平板電腦等終端設備，存儲重要數(shù)據(jù)的服務器、PLC 控制器、各種傳感器等。這些設備存在固有的安全弱點，且配置使用不當也會帶來安全弱點，因此基礎平臺的安全問題不容忽視，其中最普遍的是操作系統(tǒng)和應用的安全問題。

多種設備運行不同操作系統(tǒng)，如實時操作系統(tǒng)（Real Time Operation System，RTOS）、Android、Windows、Linux、Unix 等，這些操作系統(tǒng)都不可能100%無缺陷和漏洞。一旦操作系統(tǒng)存在的漏洞和缺陷暴露，就給入侵者進行非法操作提供了便利。

終端設備、服務器上運行了多種軟件應用，應用軟件面臨如下多種安全問題：

（1）應用源程序中存在漏洞，被利用發(fā)起攻擊，造成業(yè)務應用被中斷；

（2）一些源程序出于程序調(diào)試的方便，人為設置許多“后門”，一旦被黑客利用，將直接通過“后門”對系統(tǒng)和數(shù)據(jù)進行控制；

（3）應用系統(tǒng)身份認證措施不強，使得黑客可以輕易獲得訪問應用系統(tǒng)的權限，可能造成關鍵信息外泄；

（4）一些應用系統(tǒng)的用戶名和口令以明文方式被傳遞，容易被截獲，從而發(fā)起對系統(tǒng)的非授權訪問；

（5）各種可執(zhí)行文件成為病毒的直接攻擊對象。

由于應用系統(tǒng)是動態(tài)、不斷變化的，應用的安全也是動態(tài)的，需要檢測應用系統(tǒng)的安全漏洞，采取相應的安全措施，降低應用的安全風險。

綜上所述，5G LAN 系統(tǒng)中各設備的基礎平臺均存在被攻擊的風險和安全問題，基礎平臺的安全問題需要高度重視。

3.1.2 網(wǎng)絡接入安全問題

由于引入了5G LAN，相對封閉的工業(yè)互聯(lián)網(wǎng)與開放的5G 網(wǎng)絡實現(xiàn)了互聯(lián)，工業(yè)互聯(lián)網(wǎng)需應對來自5G 公眾網(wǎng)絡的非法接入等安全問題。同時，5G 公眾網(wǎng)絡也面臨來自工業(yè)互聯(lián)網(wǎng)的安全威脅。

3.1.3 信息隔離安全問題

通常，工業(yè)互聯(lián)網(wǎng)中的工控系統(tǒng)與OA、ERP等業(yè)務系統(tǒng)是相對隔離的。采用5G LAN 作為基礎承載網(wǎng)后，5G LAN 為工業(yè)互聯(lián)網(wǎng)的不同系統(tǒng)之間的信息訪問、獲取提供了基礎的通道，不同系統(tǒng)間的信息有效隔離是需要解決的安全問題。

3.1.4 傳輸安全問題

在基于5G LAN 組建的網(wǎng)絡中，由于終端間、終端與服務器間均通過5G 公網(wǎng)進行連接，因此終端之間、終端與服務器之間的傳輸安全需要保護。同時，由于5G LAN 網(wǎng)絡中的UPF 網(wǎng)元與企業(yè)內(nèi)部路由器連接，且該連接可能是遠程的，因此遠程鏈路的傳輸安全問題需要重視。

3.2 解決思路

《信息系統(tǒng)等級保護安全設計技術要求》指出，工業(yè)控制網(wǎng)絡采用分層、分區(qū)的架構，構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡三重防護體系。5G LAN 作為工業(yè)控制系統(tǒng)和用戶業(yè)務系統(tǒng)的基礎網(wǎng)絡，需要從以下方面提升系統(tǒng)的安全防護能力。

3.2.1 提升各設備計算平臺的安全

在基于5G LAN 建立的工業(yè)互聯(lián)網(wǎng)系統(tǒng)中，各種設備需采用安全措施提升自身基礎計算平臺的安全。

UPF 等5G 網(wǎng)元設備通常部署在運營商5G 網(wǎng)絡云平臺上，運營商已經(jīng)統(tǒng)一實現(xiàn)了5G 網(wǎng)絡云平臺的安全防護，因此可以認為該項問題已解決。對于單獨部署于工業(yè)互聯(lián)網(wǎng)中的UPF，可采用可信技術實現(xiàn)UPF 等網(wǎng)元的基礎軟硬件平臺安全。對于路由器和交換機等通用網(wǎng)絡設備，通過策略配置實現(xiàn)計算平臺安全。對于存儲重要數(shù)據(jù)的服務器、云平臺，采用身份認證訪問控制、虛擬化安全、惡意代碼防范、數(shù)據(jù)備份與恢復、入侵防范和安全審計等措施實現(xiàn)計算平臺安全。

安全防護的重點是數(shù)量眾多的終端設備，以防止病毒、木馬通過終端設備侵入系統(tǒng)為主要保護目標，采取的主要措施有：

（1）減少不必要的功能和應用，操作系統(tǒng)和應用軟件都遵循系統(tǒng)最小化原則；

（2）應用基于“白名單”和“黑名單”相結合的防護技術，在系統(tǒng)穩(wěn)定運行后通過規(guī)則匹配、深度學習等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發(fā)現(xiàn)病毒和網(wǎng)絡攻擊等異常情況；

（3）使用端口管控工具控制外部移動設備的接入，并對所有接入的移動存儲設備進行審計。

對于計算機、平板電腦等終端類設備，采用可信計算技術為終端設備建立可信的安全環(huán)境，對應用程序提供簽名認證機制，拒絕未經(jīng)認證簽名的應用軟件安裝和執(zhí)行。采用沙箱、容器、虛擬化等技術，對重要的應用提供應用級隔離運行環(huán)境，保證應用的輸入、輸出、存儲信息不被非法獲取。對移動終端的外設等進行管控及審計。

為PLC 控制器設置唯一性標識，并以此為基礎對設備上運行的程序、對應的數(shù)據(jù)集合進行建立唯一性標識管理；在執(zhí)行控制操作時，基于標識進行鑒別和認證，對用戶角色進行權限核查，阻止非法操作。同時可采用密碼技術，對PLC 設備的重要數(shù)據(jù)進行機密性保護，對控制指令、響應過程結果實現(xiàn)完整性保護。

對于工控終端可采用智能保護設備實現(xiàn)防護，智能保護設備是部署在各個終端節(jié)點上的網(wǎng)絡保護設備，防御來自外部、內(nèi)部其他區(qū)域及終端的威脅，有效地保障系統(tǒng)的安全性和可靠性。

對于各種傳感器設備，采用鑒別機制對感知設備身份進行鑒別，并采用訪問控制列表實現(xiàn)對感知設備的訪問控制，提升傳感器設備基礎平臺安全。

3.2.2 提升網(wǎng)絡和系統(tǒng)安全防護能力

5G LAN 作為基礎承載網(wǎng)絡，網(wǎng)絡自身的安全防護能力非常重要。主要從以下幾個方面提升5G LAN 的網(wǎng)絡安全防護能力。

（1）在網(wǎng)絡架構和部署方面，可以采用UPF獨享下沉的部署方式，保證工業(yè)互聯(lián)網(wǎng)與公眾網(wǎng)絡的相對隔離。對于重要的用戶，可啟用端到端的切片，為用戶構建相對獨立的5G 專網(wǎng)。

（2）提高網(wǎng)絡的接入控制能力。對于接入5G LAN 網(wǎng)絡的終端設備采用接入認證，防止5G 公網(wǎng)終端非法接入5G LAN 網(wǎng)絡?？刹捎玫拇胧┌ǎ邯毩⒔ㄔO用戶AAA 設備，讓企業(yè)自行管理5G LAN的用戶，只有在企業(yè)AAA 設備中的合法用戶才能接入5G LAN 網(wǎng)絡；在5G LAN 網(wǎng)絡中對接入終端進行二次認證，采用企業(yè)自主可控的二次認證方案和設備，只有通過二次認證的終端才能接入5G LAN 網(wǎng)絡，防止非法用戶接入。

（3）提升各網(wǎng)絡的邊界防護能力。對于工業(yè)互聯(lián)網(wǎng)的工控網(wǎng)絡，可采用工業(yè)防火墻實現(xiàn)邊界防護，工業(yè)防火墻內(nèi)置工業(yè)通信協(xié)議的過濾模塊，支持對各種工業(yè)協(xié)議的解析及過濾，實現(xiàn)對控制指令的識別和控制。對于工業(yè)互聯(lián)網(wǎng)中的辦公網(wǎng)絡，可通過防火墻、入侵防御系統(tǒng)等實現(xiàn)網(wǎng)絡的安全防護。

（4）提升網(wǎng)絡的態(tài)勢感知和安全管理能力。通過設置部署網(wǎng)絡安全態(tài)勢感知探針，實時監(jiān)測網(wǎng)絡安全狀態(tài)，識別異常流量，及時發(fā)現(xiàn)網(wǎng)絡攻擊行為，提供實時的預警和報警信息，幫助用戶及時采取安全措施，保障信息系統(tǒng)的安全。還可通過安全管理中心進行全系統(tǒng)安全態(tài)勢的集中統(tǒng)一管理，及時識別網(wǎng)絡攻擊，采取有效的應對措施。

3.2.3 提升系統(tǒng)的隔離防護能力

基于5G LAN 的工業(yè)互聯(lián)網(wǎng)承載多個業(yè)務系統(tǒng)，應按照業(yè)務相對隔離、信息按需互通的原則進行各子網(wǎng)的設計。在網(wǎng)絡層面，保證不同的業(yè)務系統(tǒng)部署在獨立的VLAN 中，同時劃分不同的安全域，各安全域之間采取邊界防護措施，保證各業(yè)務系統(tǒng)和子網(wǎng)的獨立；在應用和數(shù)據(jù)層面，各業(yè)務系統(tǒng)采取身份認證、訪問控制等措施阻止非法訪問，保持應用和數(shù)據(jù)的獨立性。

對于信息的互通需求，可通過設置隔離交換系統(tǒng)實現(xiàn)不同業(yè)務系統(tǒng)之間的信息隔離交換。隔離交換系統(tǒng)在各業(yè)務系統(tǒng)進行信息交換時進行身份認證、權限控制、數(shù)據(jù)安全性檢測等操作，同時能夠實現(xiàn)交換信息的機密性和完整性保護，從而防止因為信息交換對各業(yè)務系統(tǒng)產(chǎn)生安全隱患和風險。

4 結語

針對5G 在垂直行業(yè)中的應用，3GPP 提出了5G 切片[5]、NPN[6]、5G LAN、TSN[7]等眾多新技術，如何通過實施這些新技術滿足垂直行業(yè)的應用需求，實現(xiàn)與用戶原有信息系統(tǒng)、通信系統(tǒng)無縫對接，做到真正的降本增效，任重而道遠。5G LAN 的出現(xiàn)為工業(yè)應用帶來了新的機遇[8]，讓垂直行業(yè)數(shù)字化轉型有了新方向[9]。5G LAN 可以為垂直行業(yè)提供定制化的專屬廣域“局域網(wǎng)”，使得企業(yè)終端與企業(yè)云隨時隨地處于一個虛擬化局域網(wǎng)（或虛擬組）中，5G LAN 功能逐漸成為5G 網(wǎng)絡在工業(yè)互聯(lián)網(wǎng)應用中最重要的增強力量之一[10]，必將開拓出5G 在垂直行業(yè)中的新場景、新應用。

本文對5G LAN 的原理、關鍵技術、典型應用場景進行了論述，對5G LAN 在工業(yè)互聯(lián)網(wǎng)這一新場景應用時所面臨的主要安全問題進行了分析，提出了解決思路，在設計和建設5G LAN 系統(tǒng)時可作為參考。隨著5G LAN 的廣泛應用及產(chǎn)業(yè)的進一步成熟，5G LAN 在工業(yè)互聯(lián)網(wǎng)領域必將得到更大規(guī)模的應用。