工业5G LAN网络安全技术报告

目 录前言 2一、5GLAN简介 5（一）5GLAN的起源 5（二）5GLAN的发展 6（三）5GLAN的优势 7二、5G网络安全关键技术 9（一）5G接入认证安全技术 9（二）5G数据安全保护技术 10（三）5G网络切片安全技术 12（四）5G网络安全增强技术 13三、5GLAN安全防护关键技术 16（一）5GLAN隔离防护技术 16（二）5GLAN实时监控技术 17（三）5GLAN加密认证技术 18（四）5GLAN终端防护技术 19四、典型案例 21（一）工业5GLAN数据安全管理应用案例 21（二）电力5GLAN终端认证和身份管理应用案例 27（三）智能制造5GLAN网络隔离应用案例 32（四）钢铁制造5GLAN网络安全智能感知应用案例 37五、未来展望 42附录A缩略语 44附录B参考文献 46-1-前 言3GPPR165GLAN5G5G5GLAN5GLAN5GIT和OT5GLAN5G的业务场景形成有效的网络安全整体解决方案。5GLAN5GLAN5GLAN总策划：叶晓煜谢攀李浩宇张建荣主编：周晓龙副主编：柳 兴荆雷鲁华伟谢 云编委会成员：王哲陶耀东冯冬芹井柯刘旸俞一帆文宏蒋美景何凯陈丽萍王新宇李易凡刘广祺谢嘉宇韩江雪邱晨张博文王竑达王维治傅成龙葛然王宝栋文雯范勇杰徐乐西吴冬崔莹莹黄继烨靳冰祎谢璟田慧蓉王磊刘程王舒乔思远毛庆梅李艺陈昕黄东华徐书珩赖羿明白小愚指导单位：中国联合网络通信有限公司政企客户事业群参与单位：中国信息通信研究院深圳艾灵网络有限公司北京双湃智安科技有限公司中智云物联网有限公司杭州安恒信息技术股份有限公司兰州兰石爱特互联科技有限公司普天信息工程设计服务有限公司天津市工业互联网研究院浙江大学北京交通大学一、5GLAN5GLAN5G5G5GWifi、4GLAN（一）5GLAN5G20195G5G5GTCP/IP5G5GLAN3GPPR165GLAN-typeservice”（5GLANGialtrkrpGNVtleok”（二）5GLAN5GLANR175GLAN5GLAN5GLAN3GPPTS23.501、3GPPTS23.502、3GPPTS23.5035GLANIEEE802IEEE802.11ax（Wi-Fi6）、IEEE802.1Q（VLAN）、IEEE802.3（），5G5GLAN目前R18版本已经冻结。R18完善了5GLAN管理方面的能力：除。跨SMFVNGroupR16VNGroupSMFSMFSMFVNGroupVNGroupR16R18组管理和组状态上报增强。该特性可以帮助工业用户实现QoS图1.15GLAN技术演进图（三）5GLAN的优势5GLAN5GLAN5G无线技术大容量传输数据、大规模设备连接、超高可靠低延迟（uRLLC）可满足生产制造、远程控制等垂直行业对网络带宽、实时WFG优秀的工业适配：5GLAN5GAR5G5GLANPSAUPFPSAUPF支持广播与多播：5GLANUPFUPFUPFUPF二、5G网络安全关键技术5GLAN5G5GLAN终端互和终离等。5G LAN技术是一种基于5G的局域网技术，5GLAN5G本身的安全技术，更加具备增强的网络安全技术能力5G（一）5G接入认证安全技术1、统一安全认证框架5G5G（EAP）5GEAP2、基于证书实现用户身份信息保护5G5G进行加密形成SUCISUCISIM（VPNSUPISUPISUCISUCIUSIMECIESSUPISUCISUCISUPISUCI3、基于零信任的接入认证技术IAMIPIAM5GLAN（二）5G数据安全保护技术1、5G数据加密技术5G5G5G5G5G2、5G数据防护技术5G网络在空口为用户面数据增加了可选的完整性保护功能。在用基站发送无线链路配置消息来告知终端是否启用用户面完整性保护5G使用SEPPSEPP。这种IPXSEPPIPX3、5G工业流量防护技术5G（三）5G网络切片安全技术1、切片安全隔离技术5GNF（2、切片接入安全技术5G5GNSSAINSSAI（四）5G网络安全增强技术1、5G网络安全态势感知传统网络基于IP的单一化寻址路由机制已经难以适应目前5G网SDN和NFV5G2、5G终端行为感知与管控mMTC100起的DDoS5G场景下必不可少的安全防护能力。通过在网络侧收集终端用户5G3、区块链助力5G数据安全5G三、5GLAN5GLAN（VLAN）LANLAN图3.15GLAN安全关键技术全景图（一）5GLAN隔离防护技术跨SMF管理VN Group可以有地解一个VNGroup只能被一个SMF管理的该问题导致灾能力足一该SMF出现问题整个VNGroup都会受影响跨SMF管理VNGroup够使得多个SMF可以同理一个VNGroup，从而提了系可用性容灾能力稳定在SMF出现障自动切到其用的SMF上，从而保整个VNGroup的运不受响，为业用来更加靠和高效的网络服务。5GLANVLAN5GLAN/逻辑MP2UPFMEPAPPN4IPSecUPFACLURLWAPGREUPFDDoS（二）5GLAN实时监控技术5GLAN5GLAN性能监控和告警功能可以及时发现网络中的异常行为或安全威胁。5GLAN（三）5GLAN加密认证技术5GLAN5G5GLAN5G5GLAN5GLANAAA5GLAN5GLAN5GLAN图3.2 5GLAN的次证流程（四）5GLAN终端防护技术5GLANLAN5G5GLAN图3.3 5GLAN基用的终隔防护四、典型案例（一）5GLAN1、背景象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行5G5GLAN5GLANIT据安全防护的技术方案。2、应用场景与需求5GLAN3、解决方案5G-LAN5G-LANUPF5G-LAN5G-LANUPUE(5GCPE不同UPFN195G-LANUE(5GCPE4.1UE315G-LANIP4.11DHCPIP图4.15GLAN组网架构5G-LAN5GCPE5G-LAN4.2-2所示：图4.2-1未使用5G-LAN生产车间组网架构图4.2-2使用5G-LAN生产车间组网架构使用5G-LAN生产车间组网架构优势如下：图4.35GLAN数据安全测试床总体架构测试床组网架构如图4.3所示，主要包括工业互联网平台、5GCPE/SEC5GCPE5GCPEeSIM商IDeSIM5G5GCPE4、应用效果PKI/CASECLAN（二）5GLAN1、背景电力是国家的支柱能源和经济命脉，发展工业互联网是电力行业数字化转型的必然过程。根据工信部印发的《工业互联网创新发展行动计划（2021-2023年）》的相关内容要求，电力行业将进一步加快工业互联网创新发展步伐，持续推动工业数字化转型。电力行业的安全稳定运行关系到国家的经济发展。随着电网规模的逐渐扩大，安全事故的影响范围越来越大，安全问题越来越突出。ITOT5G2、应用场景与需求5G网络支持各种设备终端接入，电力行业的终端也接入了5G专MSMSIM系。身份管理系统结合网络空间测绘技术进行准确的地理定位和细粒度管理。3、解决方案5G5GAKAEAP-AKA图4.4终端二次认证接入示意图UEUE定SIMSIMAAASIM（基于USIMUSBkeyPKI储在SIM）4、应用效果（三）5GLAN1、背景202295G5G5GLAN5GLAN5GLAN5智能制造企业面临不同的生产区域之间为了连接的便利性未做5G2、应用场景与需求流转和共享，就需要打破传统的架构，网络向扁平化方向转变。IT5GLAN5G3、解决方案本案例通过5GLAN工业5GLAN5GCPE图4.5工控网络组网图5GLANL2L25GCPEP地址为生产网划分AVLANMAC界、5GCPE各生产子网的边界：在网络之间采用工业防火墙进行隔离。阻止5GCPE组网隔离边界：5G网络使用网络切片为业务提供网络服CPESIM（NSSAI）CPE5G需要携带NSSAI5GCPECPE未知边界管理：由于工控网络的物理边界范围太大，给管理带来WIFI（）4、应用效果5GLAN5GLAN5GLANLAN（四）5GLAN1、背景5G钢铁企业的工业控制系统具有多个生产工艺流程混合、控制网5GLANLAN2、应用场景与需求5GLAN5GLAN3、解决方案5GLAN5GLAN5GLAN5G（1）5GLAN泛终端内生安全能力感知技术5GLANSDK5GLAN5GLAN（图4.65GLAN泛终端内生安全感知平台（2）5GLAN6DDOS图4.75G切片流量检测平台5GLAN（（APT（APP）（IP（IP（利用数据驱动（基于算法）4、应用效果5GLAN0day2.05G按优先级排列的自动+人工的维护作业顺序。同时，可以将检测潜在（3-5少10-20五、未来展望5GLAN5GLAN5G5GLAN在工业领域更大规模应用5GR185GLAN5GLAN5GLAN5G5GLAN5G LAN在工业领域的应用使得工业网络融通，将重构工业企业组织管理机制。5GLANITOT与OT5GLANITOT5GLAN5GLAN全生态5GLAN5GLAN5GLAN5GLAN电信运营商持续深耕工厂5GLAN网络运营，赋能工厂安全生产运营5GLAN5GLAN5GLAN5GLAN附录A缩略语缩写英文全称中文名称3GPP3rdGenerationPartnershipProject第三代合作伙伴计划5GLAN5GLocalAreaNetwork5G本地局域网AAAAuthentication-Authorization-Accounting鉴权、授权、计费ACLAccessControlLists访问控制列表AKAAuthenticationandKeyAgreement认证和密钥协商APIApplicationProgrammingInterface应用程序接口CPECustomerPremisesEquipment客户终端设备DDoSDistributedDenialofService分布式拒绝服务EAPExtensibleAuthenticationProtocol可扩展认证协议ECIESEllipticCurveIntegratedEncryptionScheme椭圆曲线加密算法GREGenericRoutingProtocol通用路由封装IAMIdentityandAccessManagement身份识别与访问管理IPInternetProtocol互联网协议IPSecInternetProtocolSecurity互联网安全协议MECMulti-accessEdgeComputing多接入边缘计算NFVNetworkFunctionsVirtualization网络功能虚拟化NSSAINetworkSliceSelectionAssistanceInformation网络切片选择辅助信息PSAPDUSessionAnchorPDU会话锚点QoSQualityofService服务质量SDNSoftwareDefinedNetwork软件定义网络SEPPSecurityEdgeProtectionProxy安全边缘保护代理SMFSessionManagementFunction会话管理功能SUCISubscriptionConcealedIdentifier用户隐藏标识SUPISubscriptionPermanentIdentifier用户永久标识TCPTransmissionControlProtocol传输控制协议TLSTransportLayerSecurity传输层安全协议UEUserEquipment用户设备UPFUserPlaneFunction用户面功能VLANVirtualLocalAreaNetwork虚拟局域网VPNVirtualPrivateNetwork虚拟专用网WAPWirelessApplicationProtocol无线应用协议附录B参考文献3GPP.Securityarchitectureandproceduresfor5Gsystem.TS33.501v15.4.0.20195GLAN[J].通信世界,2023(6):46-49.IMT-2020(5G)推进组.5G5G+PLC20225GLAN[J].通信世界,2023(6):42-45.5GLANJ2023(8):136-138.5GLAN