工业5G LAN网络安全技术报告
AI智能总结
<成果标题>(汉仪旗黑 工业互联网产业联盟中国联通研究院联通数字科技有限公司2024年10月 声明 本报告所载的材料和信息,包括但不限于文本、图片、数据、观点、建议,不构成法律建议,也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟、中国联通研究院、联通数字科技有限公司共同所有(注明是引自其他方的内容除外),并受法律保护。如需转载,需联系本联盟并获得授权许可。未经授权许可,任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用,不得将报告的全部或部分内容通过网络方式传播,不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者,本联盟将追究其相关法律责任。 工业互联网产业联盟联系电话:010-62305887邮箱:aii@caict.ac.cn 工业5G LAN网络安全技术白皮书 目录 前言................................................................................... 2一、5G LAN简介.......................................................................... 5(一)5G LAN的起源.................................................................... 5(二)5G LAN的发展.................................................................... 6(三)5G LAN的优势.................................................................... 7二、5G网络安全关键技术................................................................... 9(一)5G接入认证安全技术..............................................................9(二)5G数据安全保护技术.............................................................10(三)5G网络切片安全技术............................................................. 12(四)5G网络安全增强技术.............................................................13三、5G LAN安全防护关键技术..............................................................16(一)5G LAN隔离防护技术............................................................. 16(二)5G LAN实时监控技术.............................................................17(三)5G LAN加密认证技术............................................................. 18(四)5G LAN终端防护技术............................................................. 19四、典型案例............................................................................ 21(一)工业5G LAN数据安全管理应用案例................................................. 21(二)电力5G LAN终端认证和身份管理应用案例........................................... 27(三)智能制造5G LAN网络隔离应用案例................................................. 32(四)钢铁制造5G LAN网络安全智能感知应用案例......................................... 37五、未来展望............................................................................ 42附录A缩略语........................................................................... 44附录B参考文献......................................................................... 46 前言 3GPP在R16中启动5G LAN项目研究,意味着5G网络具备了广域局域网的能力,为5G网络在工业领域的应用提供了新的思路。5GLAN可以为工业领域提供定制化的专属广域“局域网”,使得工业终端与企业云随时随地处于一个虚拟化局域网中。5G LAN的优良特性使得5G网络在工业领域应用中发挥重要的作用,必将培育出新工业网络应用场景,促进工业企业数字化转型。 工业领域的数字化升级促进了IT和OT网络融合,也给工业网络带来了严峻安全挑战,如攻击暴露面扩大、攻击路径增多等,原来封闭的生产网络、业务系统开始向外界开放,工厂内部网络、系统等被攻击的概率增加。5GLAN在继承5G网络安全能力的同时,结合局域网特点也诞生了一些独有的核心安全能力。面向工业领域千差万别的安全需求,不仅能形成统一了工厂设备的连接形式,而且能针对不同的业务场景形成有效的网络安全整体解决方案。 本报告考虑工业领域的网络安全需求,结合工业领域5G LAN技术的发展和应用情况,总结了5G LAN网络安全相关技术,以及有代表性的行业典型案例,为工业领域的5G LAN安全技术应用和推广提供参考依据和指导。 总策划:叶晓煜谢攀李浩宇张建荣 主编:周晓龙 副主编:柳兴荆雷鲁华伟谢云 编委会成员: 王哲陶耀东冯冬芹井柯刘旸俞一帆文宏蒋美景何凯陈丽萍王新宇李易凡刘广祺谢嘉宇韩江雪邱晨张博文王竑达王维治傅成龙葛然王宝栋文雯范勇杰徐乐西吴冬崔莹莹黄继烨靳冰祎谢璟田慧蓉王磊刘程王舒乔思远毛庆梅李艺陈昕黄东华徐书珩赖羿明白小愚 指导单位:中国联合网络通信有限公司政企客户事业群中国联合网络通信有限公司网络与信息安全部 参与单位:中国信息通信研究院深圳艾灵网络有限公司奇安信科技集团股份有限公司北京双湃智安科技有限公司中智云物联网有限公司杭州安恒信息技术股份有限公司兰州兰石爱特互联科技有限公司普天信息工程设计服务有限公司天津市工业互联网研究院浙江大学北京交通大学 一、5G LAN简介 5G LAN是基于5G网络的私有移动局域网,由一组5G终端组成,通过5G网络连接实现相互通信。这种网络连接可以在同一办公区内,也可以在相隔遥远的不同工厂、园区之间。相较Wifi、4G等传统技术,5G LAN可以提供更为安全、高效、灵活的无线局域网服务。 (一)5G LAN的起源 5G技术自2019年商用以来,正逐渐与工业制造、能源电力、交通、城市管理、教育等各个垂直行业深度融合,这一趋势已经得到广泛认可。目前,行业各方正在紧密合作,探索各种5G行业应用解决方案和服务流程,推动5G技术的规模商用和进一步发展。 与个人移动应用不同,各个垂直行业对5G网络有着各自独特的需求。一些应用场景需要低延时和高可靠性,也有一些应用则需要更大的带宽,还有一些应用场景要求专属网络以确保数据的安全性。因此,不同的应用场景需要不同的技术方案来满足其特定需求。此外,传统通信方式通常采用TCP/IP协议来实现终端之间的数据传输,但在垂直行业、特别是工业领域的终端可能缺乏对这些三层网络协议的充分支持,这将导致5G网络在垂直行业的应用阻力重重。出于这些需求考虑,5G LAN的概念应运而生。 3GPP R16首次提出了“5G LAN-type service”(5G LAN类型业务),包含“5G Virtual Network group”、“5G LAN Virtual Network”等概念,涵盖了虚拟组管理、虚拟组成员管理、虚拟组会话管理以及 局域网数据交换管理等多项关键技术能力。通过这项技术,可以实现5G环境下的虚拟局域网分组管理,更好的应对不同垂直行业需求不同的现状,并且使垂直行业不支持二层通信的顽症得以解决。 (二)5G LAN的发展 在定义了5G LAN的基本功能后,R17版本又重点针对5G LAN的计费进行了研究,提出了组管理事件计费方案。该方案通过对虚拟组的组内、组间等不同计费场景进行计费配置,实现了更灵活的计费方案,为5G LAN进一步商用提供了有力支撑。 5G LAN的标准发展也逐渐完善,其中3GPP TS 23.501、3GPP TS23.502、3GPP TS 23.503分别从系统架构、程序与信息流和策略与计费控制对5G LAN进行了研究。IEEE 802系列标准中IEEE802.11ax(Wi-Fi 6)、IEEE 802.1Q(VLAN)、IEEE 802.3(以太网),虽不是5G标准,但可与5G结合形成更强大的网络解决方案,用于实现5GLAN的目标。 目前R18版本已经冻结。R18完善了5G LAN管理方面的能力: (1)组成员流量特征实时监控。通过该能力,可以让工业用户通过业务量获得更多的工控系统实时统计数据,从而更好地了解网络和业务的实时状态,监控系统运行状态,及时完成性能分析和故障排除。 (2)跨SMF管理VN Group。该功能可以有效解决R16“一个VNGroup只能被一个SMF管理”的问题。在当前SMF出现故障时自动切 换到其他可用的SMF上,从而保证整个VN Group的运行不受影响,为工业用户带来更加可靠和高效的网络服务。 (3)跨VN Group通信。在R16中,跨组通信存在很大的局限性,R18的方案可以解决该问题,帮助用户将多个群组连接起来,建立范围更大的网络。 (4)组管理和组状态上报增强。该特性可以帮助工业用户实现对组内用户和业务流的精细化管理,提高包括用户认证、权限管理、QoS控制等方面的灵活性与可靠性。 (三)5G LAN的优势 5G LAN兼顾移动通信网和无线局域网的优点,可满足复杂多变的通信需求,具体如下: (1)良好的基础性能:5G LAN以5G无线技术为基础,继承了5G无线技术大容量传输数据、大规模设备连接、超高可靠低延迟(uRLLC)可满足生产制造、远程控制等垂直行业对网络带宽、实时 性和精确性要求极高的应用场景。较工业Wi-Fi,5G的覆盖范围更广、小区间切换更流畅、运维服务更具标准体系化,可给用户带来更好的网络体验。 (2)优秀的工业适配:5G LAN解决5G系统本身不支持二层通信的难题,具备直接进行二层通信的能力,可以与用户已有数据网络进行连接,实现即插即用和相互访问,省去了引入AR的步骤,大大降低了5G网络的改造难度,方便工业终端的5G无线接入。 (3)灵活的组网方式:5G LAN具备数据网络组网、本地组网和远程组网三种数据转发能力,既能满足同一个PSA UPF下的工厂终端通信,又能满足不同PSA UPF下的工厂终端通信,可以帮助工厂终端设备通信灵活组网,同时支持二层数据交换和三层数据交换,具有较高的数据转发效率。 (4)支持广播与多播:5GLAN支持UPF的双检测转
