可定制的5G+工業互聯網安全能力

王繼剛/WANG Jigang，王慶/WANG Qing，滕志猛/TENG Zhimeng

（中興通訊股份有限公司，中國 深圳518057）

工業互聯網是互聯網和新一代信息技術與工業系統深度融合所形成的產業和應用生態，是工業智能化發展的關鍵信息基礎設施。5G將以其高帶寬、低時延、海量連接等特性大幅提升工業互聯網的信息化水平，逐步成為支撐工業生產的基礎設施。同時，5G網絡提供的靈活定制、彈性部署、多層次隔離等智能網絡能力與工業生產中既有的研發設計系統、生產控制系統及服務管理系統等相結合，可以全面推動工業系統的生產流程產生深刻變革。

5G的引入，打破了工業互聯網相對封閉、可信的制造環境：病毒、木馬、高級持續性攻擊等對工業生產的威脅日益加劇，一旦網絡受到攻擊，將會造成巨大的經濟損失，并可能帶來環境災難和人員傷亡。在第3代合作伙伴計劃（3GPP）標準中[1-3]，5G網絡的基礎安全能力還不能完全契合不同業務場景下工業互聯網對網絡安全的要求。為此，需要在現有5G安全架構基礎之上，結合工業互聯網行業特征與運營模式，構建5G+工業互聯網安全定制能力，從而滿足企業安全技術體系對于5G+工業互聯網安全能力的要求。本文主要介紹5個方面的能力，即終端接入認證、網絡切片隔離、高實時性業務保障、數據端到端安全、未知安全威脅防御。

1 差異化切片滿足企業網絡安全隔離需求

5G網絡切片是基于無線接入網、承載網與核心網基礎設施，以及網絡虛擬化技術構建的一個面向不同業務特征的邏輯網絡。運營商可以為不同行業應用在共享的網絡基礎設施上，通過能力開放、智能調度等技術構建網絡切片，提供差異化的網絡服務。這對安全提出了新的挑戰，帶來了包括切片間非法訪問、切片內不同安全域間的非法訪問等多種安全威脅。

為了安全地支持各種差異化的業務場景，需要提供網絡切片隔離（如圖1所示），為不同業務提供差異化的安全服務。工業互聯網切片隔離符合《網絡安全等級保護2.0》中對安全通信網絡的要求，并通過一套參數配置，實現切片的資源隔離和業務質量保障。可以根據行業的安全隔離要求和需要保障的關鍵服務等級協議（SLA）選擇不同類型的切片，并進行參數配置。從資源隔離和業務保障的角度，無線網絡可以提供多種切片隔離技術。如表1所示，工業互聯網切片隔離方案分為4類，分別對應等級保護中的1—4級，不同業務系統可以根據自身需求選擇不同的網絡隔離方案。

1.1 無線接入網（RAN）隔離

網絡切片在RAN側的隔離主要面向無線頻譜資源以及基站處理資源。最高安全等級的工業控制類切片采用獨立的基站或者頻譜獨享；其他類型切片則根據安全需求，通過物理資源承載（PRB）獨享、數據資源承載（DRB）共享，以及5G服務質量特性（5QI）優先級調度等多種方式組合來實現。

▲圖1 端到端網絡切片隔離

表1 工業互聯網切片隔離方案

（1）獨立基站/頻譜獨享。部分專網的應用（如工業控制類）或局部區域（如無人工廠、無人發電站、礦山等）的通信獨立性和可控性要求很高，共享基站無法滿足；因此，可以考慮采用獨立基站的形式提供無線切片。另外，對于資源隔離和業務質量保障更高的應用，可以在運營商頻譜資源中劃分出一部分單獨給該應用使用（如5 MHz）。

（2）PRB獨享。在5G 正交頻分多址（OFDMA）系統中，無線頻譜從時域、頻域、空域維度被劃分為不同的PRB，用于承載終端和基站之間數據傳輸。對于一些要求資源隔離且對業務質量保障要求高的切片用戶，可以為其配置一定比例的PRB（如5%）。此時，該小區5%的空口資源和帶寬為該切片專用，不受其他用戶影響。PRB的正交性保證了切片的隔離性，PRB專用也保證了業務質量的穩定性。

（3）DRB共享。可以配置DRB接納控制參數，以確保切片在該小區下能夠接入的用戶數不被其他業務搶占。DRB接納控制可以采用靈活的配置策略，既可以固定配置，也可以配置一個較小的比例，超過后還可以在資源池中搶占。

（4）5QI優先級調度。對于不需要嚴格確保資源隔離和業務質量的切片，如視頻監控類的增強移動寬帶（eMBB）切片，可采用5QI優先級調度方式。該方式基于單一網絡切片選擇輔助信息（S-NSSAI）的不同優先級（可以依據切片業務需保障的程度進行配置）和業務，并能在一個調度周期內計算出不同業務的調度優先級。5QI軟切片的本質是基于調度，即以調度策略來實現業務質量，但當基站業務繁忙時并不能確保達到該目標。

1.2 承載網（TN）隔離

5G網絡依托數據中心部署，其跨越數據中心的物理通信鏈路需要承載多個切片的業務數據。網絡切片在承載側的隔離可通過軟隔離、硬隔離和服務質量（QoS）資源保障等多種方案實現。

（1）虛擬專用網（VPN）/虛擬局域網（VLAN）隔離。軟隔離方案基于現有網絡機制，通過VLAN 標簽與網絡切片標識的映射來實現。網絡切片具備唯一的切片標識，能夠根據切片標識為不同的切片數據映射封裝不同的VLAN標簽，再通過VLAN隔離實現承載隔離，從而保障QoS。

（2）靈活以太網（FlexE）隔離。硬隔離方案引入了FlexE 技術。FlexE分片基于時隙調度，將一個物理以太網端口劃分為多個以太網彈性管道（邏輯端口）。這使得承載網絡既具備類似于時分復用（TDM）的隔離性好的特性，又具備以太網的網絡效率高的特點。對于工業控制應用等對時延和安全保障較高的業務，可以在承載側獨占時隙，從而實現切片硬隔離。

1.3 核心網隔離

5G核心網由多種不同的網絡功能構成，有些網絡功能為切片專用（工業控制），有些則在多個切片之間共享；因此，在核心網側的隔離需要采用多重隔離機制。

（1）控制面功能（CPF）全部獨享。核心網的所有控制面網元[4-5]，包括接入和移動管理功能（AMF）、統一數據管理功能（UDM）、鑒權服務功能（AUSF）、統一數據倉庫功能（UDR）、策略控制功能（PCF）、會話管理功能（SMF），以及用戶面網元功能（UPF）都需要新建。該模式適用于如工業控制、典型專網等對安全需求最高的應用場景。

（2）CPF部分共享。核心網的部分控制面網元（包括AUSF、UDR、PCF、SMF）需要新建，AMF和UDM被多個切片共享。這種方式可根據容量、時延等要求，選擇在核心機房或者邊緣機房新建UPF。對于希望數據隔離的大部分切片，或對部署位置有嚴格要求（比如工廠、園區）且有本地應用部署需求的切片用戶，我們建議采用這種模式。

（3）CPF全部共享，UPF獨享。核心網的控制面網元被多個切片共享，UPF需要新建，切片通過S-NSSAI來區分，數據網絡名稱（DNN）也需要新建。該模式適用于管理信息網、視頻監控等對于安全隔離有一定要求的業務場景。

2 UPF下沉+FlexE可靠地支持企業低時延業務需求

智能車間內設備的互聯，以及生產運營的數字化轉型，使得工業系統對實時性、抗抖動性的無線網絡需求變得迫切。傳統無線網絡無法滿足該要求，而5G網絡以其高帶寬、低時延、大連接的特性獲得工業生產系統的青睞[6-8]。

傳統端到端移動通信，必須經過無線接入網、核心網、平臺、應用層層處理，這導致端到端時延較長，無法滿足對時延要求比較高的工業控制應用的要求。為了進一步降低端到端通信時延，可以將5G網絡中UPF下沉到移動邊緣計算（MEC）。圖2中的架構就是將數據、應用、智能引入基站邊緣側，從而減少數據傳輸路由節點，降低端到端通信時延。

在網絡傳輸方面，服務于工業控制的網絡切片，對時延要求更高。傳統分組設備對于客戶業務報文采用的是逐跳轉發策略，網絡中每個節點設備都需要對數據包進行媒體接入控制（MAC）層和多協議標簽交換（MPLS）層解析。這種解析耗費大量時間，單設備轉發時延高達數十微秒。為此，可以采用FlexE交叉技術，來實現網絡設備之間的信息傳遞。這種方式可以實現基于物理層的用戶業務流轉發，用戶報文在網絡中間節點無須解析，業務流交叉過程近乎瞬間完成，實現單跳設備轉發時延1～10 μs，可有效解決時間報文的模擬、欺騙。

▲圖2 5G工業應用延時保證

3 多重機制提供企業端到端數據安全保障

用戶數據在傳輸過程中存在被竊聽、篡改、泄露等安全威脅。為降低行業應用中數據安全風險，5G提供了更強大的數據安全保護方法，如圖3所示。

3.1 接入認證

▲圖3 5G工業園區數據安全

在為高安全等級工業系統提供定制化服務過程中，5G網絡采用的是切片二次認證機制，即在用戶接入網絡并做了認證之后，為接入特定業務建立數據通道而進行的認證。在該認證過程中，使用了非運營商控制的信任狀要求，即用戶通過接入認證后并不能直接與業務系統建立連接，而是利用業務相關的信任狀與用戶終端進行認證，并在認證通過的情況下才允許5G網絡為用戶建立與業務系統間的通信鏈路，從而保證企業對安全策略自主可控。

3.2 訪問控制

訪問控制遵循最小權限授權原則。系統為不同用戶分配不同的數據操作權限。訪問者未經授權不能訪問用戶信息，以防止非法訪問、越權訪問等手段獲取用戶的數據。

為避免不可靠來源用戶的接入，系統提供選擇多種訪問控制方式。系統不允許時間、來源、登錄方式等訪問控制條件不滿足的用戶登錄系統并建立會話。另外，關鍵敏感數據采用SHA256、AES256等加密算法進行加密存儲。

3.3 數據傳輸安全

在機密性保護方面，5G網絡采用的高級加密標準（AES）、3GPP流密碼（SNOW 3G）、祖沖之密碼（ZUC）等算法。這些算法采用128 位密鑰長度，被證明是安全的。

數據傳輸安全機制為工業互聯網中的數據產生、處理、使用等環節提供了安全保護。首先，在數據產生和處理過程中，數據根據敏感度進行分類，建立不同安全域間的加密傳輸鏈路，并根據不同的安全級別采用差異化的數據安全技術。其次在數據使用過程中，數據管理者對使用者進行授權和驗證，保證數據使用的目的和范圍符合安全策略，并對重要業務數據的使用進行審計，最終為行業用戶提供數據的機密性和完整性保護。

另外，采用基于會話的加密機制，需要按需配置加密算法與密鑰強度。采用數據加密、完整性校驗能夠保證數據在空口、用戶設備（UE）和MEC之間的安全傳輸。例如，建立互聯網協議安全（IPSec）/安全套接字協議（SSL）VPN隧道，可以預防數據被嗅探竊取、篡改等威脅，同時結合UPF分流技術及內部邊界安全隔離，能夠實現數據不出園區。

4 零信任架構增強企業自主控制接入安全策略

隨著安全邊界下沉，5G網絡架構中的身份驗證憑據成為了新的核心安全邊界。一旦5G+工業互聯網場景下海量的工業生產終端被入侵利用，將會產生非常嚴重的后果。

傳統邊界安全模型中的信任是來自網絡地址的，即在網絡邊界驗證終端身份，確定用戶是否被信任。如果終端的IP地址可信，用戶被認定為可信，并通過驗證進入內網。隨著攻擊方式和威脅多樣化，傳統網絡接入安全架構凸顯出很大的局限性。為此，5G+工業互聯網安全架構引入基于零信任安全理念，并啟用新型身份驗證管理模式，充分利用身份驗證憑據、設備、網絡、應用等多種資源的組合安全邊界[9]。

▲圖4 基于5G的工業零信任安全系統

如圖4所示，零信任安全系統包括控制器、可信網關、分析器3大組件。控制器作為安全控制面的核心組件，為可信網關提供自適應認證服務、動態訪問控制和集中管理能力。控制器對所有的訪問請求進行權限判定。權限判定不再基于簡單的靜態規則，而是基于身份庫、權限庫和信任庫的上下文屬性、信任等級和安全策略等。

分析器為控制器提供信任等級評估。分析器持續接收可信網關、控制器的日志信息，結合身份庫、權限庫數據，并基于大數據和人工智能技術，對身份進行持續畫像，對訪問行為進行持續分析，對信任進行持續評估，最終生成和維護信任庫，為動態訪問控制引擎提供決策依據。

可信網關作為5G網絡MEC用戶面的網絡控制節點，是確保業務安全訪問的第一道關口，是動態訪問控制能力的策略執行點。根據應用終端訪問控制規則，可信網關攔截訪問請求后，通過控制器對訪問主體進行認證，對訪問主體的權限進行動態判定。只有認證通過并且具有訪問權限的訪問請求才予以放行。

5G工業互聯網零信任安全架構下的終端安全接入不再以網絡邊界為限，這使得原來的被動防御向主動防御轉變，邊界防御向內生安全轉變。

5 態勢感知保障網絡整體安全能力

5G網絡的應用，有力地推動了有線工業控制向無線接入工控自動化轉型[10-12]。云虛擬現實（VR）/增強現實（AR）技術的大量應用，工業可穿戴、遠程操控的普及，使得傳統工業系統勢必與5G移動互聯網產生大量信息和數據交互。這也給工業互聯網行業安全防護提出了更高的挑戰，原有的被動式防御已不可靠，無法有效防止有組織的規模性攻擊。

首先，5G工業互聯網態勢感知技術，可以覆蓋5G資產（包括5GC網元、切片、虛機、物理機、中間件等），能先將各層級資產進行關聯，然后根據關聯關系來判斷漏洞、脆弱性與攻擊事件等威脅事件對業務的影響，并在大量的安全事件中尋找事件之間的因果關系。通過這樣的方式，態勢感知技術能夠追蹤攻擊鏈定位威脅發生的源頭，并分析可能的波及范圍，根據資產價值及業務影響來確定處置方式與手段。其次，態勢感知技術可以對網絡攻擊事件深度挖掘，結合網絡的基礎設施情況和運行狀態，對網絡安全態勢做出評估，從而對未來可能遭受的網絡攻擊進行預測，并提供針對性的預防建議和措施。另外，在工業互聯網業務與5G移動互聯網交互的關鍵路徑上，態勢感知技術可以對網絡中的流量和各種日志信息持續地收集分析，對網絡異常流量（包括攻擊流量特征、威脅文件傳輸等）進行解析，從而發現網絡流量異常行為或者用戶異常行為，以便主動對未知威脅提前干預。圖5為5G安全態勢感知架構。

▲圖5 5G安全態勢感知架構

6 結束語

在5G與工業互聯網融合的過程中必然會出現安全問題，目前的5G工業互聯網安全防護發展尚處起步階段。隨著5G融入工業互聯網的廣度和深度持續增強，有必要引入新的安全理念、安全技術，不斷完善5G工業互聯網安全防護體系，以支撐工業數字化轉型升級行穩致遠[13-15]。

可定制的5G+工業互聯網安全能力，貼合工業互聯網應用場景，通過引入主動式、智能化的威脅檢測與安全防護技術，構建全面的預測、基礎防護、響應和恢復能力，同時利用機器學習、深度學習等人工智能技術分析處理安全大數據，從而不斷改善安全防御體系。可定制的5G+工業互聯網安全能力可以有力保障5G行業應用的安全，為后續更多的5G行業應用落地創造了安全的網絡環境。