文丨中国移动集团信安中心,高工/博士,于乐

一、5G专网概述

第五代移动通信技术(5G)设计目标是高数据速率、低传输延迟、提升传输质量、提高系统容量和大规模连接。ITU-R M2083.0[1]定义了5G的三大应用场景:增强移动宽带(Enhanced Mobile Broadband,eMBB)、海量机器类通信(Massive Machine Type Communcation,mMTC)和超可靠低时延通信(Ultra Reliable and Low Latency Communication,uRLLC),三大场景如图1所示。5G较4G最大的不同是万物互联,就像华为无线CTO童文博士对5G的定义“5G不是一个简单的移动网络的升级,而是跨行业数字传输的一个融合。在实现5G愿景的过程中,5G和各行业重合在一起会拓展出一片更大的应用图景,连接起一个个超越通信技术甚至信息通信技术范畴的生态系统。”

图 1 5G关键指标和应用场景

5G网络为实现万物互联,需要面向不同业务形态提供不同的网络服务。5G行业专网(简称5G专网)是一张专门承载ToB业务的网,是一张端到端弹性可变的网;5G专网与5G公众网络既有共享、又有区隔。而5G专网也推动了产业模式变革,由运营公众网络到客户侧专网转变;5G专网也将融入千行百业,呼唤网络服务新能力,5G将赋能航运港口、医院、工厂、航空、电力、能源、车联网等行业,如图2所示。行业客户更加关注网络可靠性、数据安全性、资源运行状态、运维保障能力,垂直行业客户对5G网络的要求,更多是希望能够提供专属的网络覆盖、专用的网络资源、专有的网络服务。

图2 5G融入百业呼唤网络服务新能力

垂直行业客户对5G专网的需求量较大,在工业园区、电网能源、航空、自动驾驶等领域都有强烈的需求。目前对垂直行业客户规模进行了统计,5G专网市场应用前景可观。例如全国有超过2万家工业园区,国家级开发区超500家;全国电网覆盖面积约963万平方公里,设备连接数达到了2013万个;2020年我国通用机场超660个,按照46372万公里,33km-300km覆盖半径估算,预计机载通信需要500ATG基站约600个;全国24省份地区已经开通自动驾驶测试场,预计在未来十年内辅助驾驶车辆占比能达到80%等。

不同行业用户在建设模式、运维模式、商业模式等放慢都存在显著差异,所以对5G专网提出差异化的服务需求。我们将行业用户分为普通行业用户、特定行业用户和特需行业用户三类,不同类别的用户对网络有不同的需求(如图3所示):

  1. 普通行业用户:同公网用户相比,普通行业用户更关注资源专用度、业务质量保障。QoS/网络切片技术可灵活地为不同客户提供网络功能、性能、隔离、覆盖范围等差异化服务能力。

  2. 特定行业用户:根据用户属性与业务特点,对数据不出场、超低时延等有特殊要求,针对这类用户,需要提供专属5G网络覆盖服务。

  3. 特需行业用户:特需行业客户的安全等级高、定制化需求强、隔离要求强,部分行业在5G之前有自建无线专网。

图3 不同行业客户的需求

根据垂直行业用户的不同需求,构建了“优享、专享、尊享” 三种不同的5G专网服务模式,实现网络服务商品化,具体情况如下:

  1. 优享模式:用户共享基站和频率,提供QoS+DNN、专用切片、UPF下沉地市分流等方案,满足客户需求,实现业务逻辑隔离;

  2. 专享模式:用户共享基站和频率,UPF下沉至园区/客户侧专用,支持叠加MEP平台与应用服务,满足客户数据不出场、超低时延业务需求;

  3. 尊享模式:提供专用基站或专用频率服务,根据客户需求,可提供专用资源池,为企业构建专用5G网络,提供高安全性、高隔离度的定制化网络服务。

二、5G专网安全风险挑战

业务发展与安全是一把双刃剑,新技术促进了生产效率和服务水平的提高,同时也打破了人机物之间、工厂与工厂之间、企业上下游间的边界,使得原本封闭的系统变得越来越开放,安全风险和网络入侵威胁不断增加。5G专网面临的安全风险主要包括终端接入安全风险、网络链路安全风险、边缘计算MEC安全风险、边界安全和运维管理等,如图4所示。

  1. 终端接入安全风险:包括非授权SIM卡接入、恶意终端用合法SIM卡接入、合法终端访问非授权应用、从互联网/企业网入侵控制工业终端、伪基站对终端的干扰、伪基站发现、定位难等。

  2. 网络链路安全风险:包括非法访问切片、切片资源滥用、用户面数据泄露、篡改等。

  3. 边缘计算MEC安全风险:不可信的第三方APP,APP间恶意攻击、来自互联网的攻击(如App远程运维通道)、企业数据泄漏到公共大网、MEC平台被攻击、以MEC为跳板渗透5GC、NMS(Network Management System)等。

  4. 边界安全风险:来自恶意终端和MEC上第三方APP对企业内网/私有云的攻击、终端/MEC APP与企业内网间通信被窃取、篡改,来自互联网的攻击、从互联网、企业内网或APP对运营商设备的攻击等。

  5. 运维管理风险:安全态势不可视、用户信息、网络配置等的非授权访问,违规运维影响局域专网,网络设备安全态势不可知等。

图4 5G专网安全风险分析

三、5G专网安全技术方案

在5G专网赋能千行百业的同时,5G专网向行业提供按需、差异化的安全服务,保障行业安全运营。根据相关标准要求和指南[2-3],构建了完善的5G专网安全体系(如图5所示),主要从终端接入安全、网络链路安全、边缘计算MEC安全、边界安全等方面介绍。

  1. 终端接入安全:终端接入安全要向行业提供按需、差异化的安全服务,认证、再接入,保障行行业安全运营;主要包括主认证、二次认证、终端接入位置控制和差异化能力等技术方案。

  2. 网络链路安全:切片提供端到端网络隔离,不同隔离方案可以灵活满足客户的不同安全需求,基于无线使用方式,局域专网有三种建设模式,安全隔离度不断提高。

  3. 边缘计算MEC安全:MEC通过用户面功能(UPF)下沉实现灵活分流,将服务能力和应用推到网络边缘,改善用户业务体验。通过安全即服务方式防护APP安全,通过网络审计/访问控制等手段实现流量实时监控与告警。

  4. 边界防护:5G园区网与企业内网边界,运营商大网与5G园区网边界风险分析与边界安全防护。网络边界部署安全网关/防火墙等安全设备。

  5. 安全运营和服务:部署企业安全态势感知系统,实现安全事件集中管控,提安增效。

图5 5G专网安全技术方案

四、总结与展望

5G融合应用是促进经济社会数字化、网络化、智能化转型的重要引擎。5G网络能够解决人与人通信,为用户提供增强现实、虚拟现实、超高清(3D)视频等更加身临其境的极致业务体验,也能够解决人与物、物与物通信问题,满足移动医疗、车联网、智能家居、工业控制、环境监测等物联网应用需求。5G专网能够为行业用户提供按需、差异化的网络需求,同时完备安全解决方案为用户的业务发展保驾护航。

参考文献

[1] ITU-R M.2083 IMT Vision – Framework and overall objectives of the future development of IMT for 2020 and beyond [S]. ITU-R,2015.

[2] TS 33.501.Security architecture and procedures for 5G system [S].3GPP,2018

[3] TS 33.841.Study on the support of 256-bit algorithm for 5G [S].3GPP,2018

[4] YD/T 3628-2019.5G移动通信网 安全技术要求 [S].CCSA,2019.

声明:本文来自路云天网络安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。