5G LAN 應用及安全探討*

陳福莉，蔣耀輝，汪 超，王蘊杰，虞 江

（1.中電科網絡安全股份有限公司，四川 成都 610041；2.中國人民解放軍空軍部隊，北京 100843；3.中國人民解放軍聯勤保障部隊，湖北 武漢 430010；4.成都大學，四川 成都 610106）

0 引言

5G 為人們的生活提供了更豐富的服務類型[1]。3GPP TS22.261[2]中對5G LAN type service 的解釋為：在住宅、辦公室、企業和工廠領域存在多個細分市場，5G 需要提供類似局域網（Local Area Network，LAN）和虛擬專用網絡（Vitual Private Network，VPN）功能的服務，并利用5G 特性，如高性能、遠距離覆蓋、移動性和安全性進行改進。

5G 是一個廣覆蓋的蜂窩通信網絡，所有手機終端使用自己的信道互不干擾。5G LAN 是利用5G技術，將終端進行“分組”，組成一個局域網絡。5G LAN 具有高可靠、低時延、抗干擾和高安全性的特點，是3GPP R16 中最有前景的技術之一，能夠滿足企業園區網絡通信的便捷的管理、靈活的互通和可靠的通信[3]3 類需求。例如，5G 網絡技術可按照業務需求對工業網絡的時延效能進行靈活控制，使其能夠同工業行業經營發展流程精確匹配[4]。

1 5G LAN 原理及關鍵技術

1.1 5G LAN 標準演進

3GPP 在R15 版本中首次定義了5G LAN，并在后續版本中不斷從功能性能方面進行增強和完善。R16 版本完成了基礎功能的定義，R17 版本增加了計費功能，R18 版本預計2024 年第一季度凍結，主要在以下方面進行了改進。

（1）提供組成員流量特征和性能監控層面的能力開放。R18 可以獲得5G 網絡中業務流和性能統計數據，能夠更好地了解網絡和業務的實時狀態，提高網絡的可靠性和穩定性，確保業務的順利運行。

（2）支持跨會話管理功能（Session Management Function，SMF）管理虛擬網絡組（Vitual Network Group，VN Group）。R18 引入了跨SMF 管理VN Group的功能，多個SMF 可以同時管理一個VN Group，提高了系統的可用性、容災能力和穩定性，能夠提供更加可靠和高效的網絡服務。

（3）支持跨VN Group 通信?？梢詫⒍鄠€群組連接起來實現互聯互通，提高了5G LAN 系統的可用性和靈活性。

（4）組管理功能增強。5G LAN 支持對組內的用戶和業務流進行用戶認證、權限管理、服務質量（Quality of Service，QoS）控制等精細化管理，支持實時上報組內流量、延遲、帶寬等狀態信息，提高網絡的服務質量和穩定性。

5G LAN 持續在網絡拓撲結構、組管理/通信、跨SMF 通信、組播、能力開放、監控和狀態上報等方面進行改進和優化，能夠更好地滿足多種應用場景的多樣化網絡需求，為實際部署應用奠定了堅實基礎。

1.2 5G LAN 原理

5G LAN 的原理是修改統一數據管理（Unified Data Management，UDM）網元中的用戶數據，設置業務簽約信息進行終端的VN Group 信息（包括組標識、組成員、數據信息等）設置。UDM 向5G 核心網的管理網元提供終端的VN Group 信息及訪問策略，管理網元基于VN Group 信息和策略規則，將終端組成了不同的5G LAN。5G LAN 的網絡結構示意如圖1 所示。

圖1 5G LAN 網絡架構

5G LAN 支持第2 層（相同網段，互相直接訪問）和第3 層通信（跨網段，借助路由），支持單播、組播和廣播業務，支持同用戶平面功能（User Platform Function，UPF）網元下的通信和跨UPF 的通信，具有訪問靈活、組網簡單的特點。

1.3 5G LAN 關鍵技術

5G LAN 關鍵技術包括組管理技術、流量轉發技術、廣播/組播復制技術等。

1.3.1 組管理技術

5G LAN 的組管理技術是VN Group 的劃分，將有互訪功能的用戶劃分到一個VN Group，同組成員可以進行組內通信，不同組成員間進行邏輯隔離。支持運營商統一進行組管理，也支持用戶自行配置管理。

1.3.2 流量轉發技術

5G LAN 中終端之間有3 種通信方式：同一區域內終端間通信、不同區域終端間通信、終端與用戶數據網絡間的通信。因此，5G LAN 定義了3 種組內信息轉發方式：本地轉發、基于N19 接口轉發和基于N6 接口轉發。

3 種方式的數據流向和架構示意分別如圖2、圖3、圖4 所示。同一區域中的終端間通信由共用的UPF 進行數據轉發，不同區域的終端間通信由兩個UPF 通過N19 接口進行數據轉發。終端與數據中心之間的通信通過UPF 采用N6 接口轉發到用戶數據網絡。

圖2 本地轉發

圖3 基于N19 接口轉發

圖4 基于N6 接口轉發

1.3.3 廣播、組播復制技術

5G LAN 支持廣播、組播通信，因此需要網絡支持能夠復制用戶面的流量，是由控制面SMF 網元通過包檢測規則（Packet Detection Rule，PDR）和轉發規則（Forwarding Action Rule，FAR）通知UPF復制用戶面流量的方式來實現。當UPF 接收到廣播包時，將其向同組的所有終端轉發，收到組播包，將SMF 配置的PDR 的廣播地址改為多播地址。

2 5G LAN 典型應用

5G LAN 可以應用于家庭/園區網絡、辦公網絡和工業互聯網中。5G LAN 可為家庭/園區用戶提供穩定、快速的網絡連接，實現智能家居、物聯網等應用；可以為辦公用戶構建一個專屬的局域網，為多種辦公業務提供穩定可靠的網絡支撐服務；可以實現工業設備之間的互聯和數據傳輸，成為工業互聯網的基礎承載網絡。

2.1 家庭/園區網絡

5G LAN 可替代無線保真（Wireless Fidelity，Wi-Fi），實現家庭/園區覆蓋，部署如圖5 所示。通過5G LAN，打印機、電腦、平板、傳感器等設備通過終端的5G 通信模組連接到5G 網絡，組成一個5G LAN 進行通信，同時支持與Internet 的連接。

圖5 5G LAN 在家庭/園區網絡的應用

2.2 辦公網絡

辦公網絡需要解決辦公設備（包括計算機、打印機、筆記本電腦、智能手機等）之間的通信，解決辦公設備與相同/不同區域服務器之間的通信。5G LAN 提供移動專線業務，可作為辦公網絡的主用線路或者傳統固網的備用線路。應用部署如圖6所示。

圖6 5G LAN 在辦公網的應用

在辦公網絡中，5G LAN 還可按照業務需要劃分為多個VN Group/子網，實現各VN Group/子網之間的信息隔離，滿足靈活組網的需求。

2.3 工業互聯網

5G LAN 支持不同群組間的信息隔離，可對不同子網提供差異化的QoS 保障。工業互聯網中需要劃分自動化控制、辦公自動化、運維等不同的子網，在帶寬、時延等方面均有差異化的需求。5G LAN 能夠為工業互聯網的各子網提供差異化的網絡服務和靈活的授權認證機制，較好地滿足工業互聯網中工業機器人、自動導向車（Automated Guided Vehicle，AGV）等特定應用的網絡需求。

5G LAN 在工業互聯網的應用如圖7 所示，可編程控制器（Programmable Logic Controller，PLC）等工控設備、計算機、移動終端均可通過5G 網絡、5G 通信模組接入到5G 網絡，實現與數據中心的連接。同時，可以按照不同業務應用劃分不同的子網，首先滿足組內的高效通信需求，同時能夠實現組間信息的按需安全隔離及交換。

圖7 5G LAN 在工業互聯網的應用

3 5G LAN 主要的安全問題及防護方法

3.1 主要安全問題

5G LAN 可以廣泛應用于家庭/園區網絡、辦公網絡和工業互聯網中，其中工業互聯網是最典型的應用場景，此外由于在家庭/園區網絡和辦公網絡中已有較好的安全解決方案，因此本文基于5G LAN 建立的工業互聯網的安全性進行分析。5G LAN 主要安全問題包括以下幾個方面。

3.1.1 基礎平臺安全問題

基于5G LAN 的工業互聯網中設備種類多、數量大，包括5G 通信網元設備、路由器和交換機等網絡設備，計算機平板電腦等終端設備，存儲重要數據的服務器、PLC 控制器、各種傳感器等。這些設備存在固有的安全弱點，且配置使用不當也會帶來安全弱點，因此基礎平臺的安全問題不容忽視，其中最普遍的是操作系統和應用的安全問題。

多種設備運行不同操作系統，如實時操作系統（Real Time Operation System，RTOS）、Android、Windows、Linux、Unix 等，這些操作系統都不可能100%無缺陷和漏洞。一旦操作系統存在的漏洞和缺陷暴露，就給入侵者進行非法操作提供了便利。

終端設備、服務器上運行了多種軟件應用，應用軟件面臨如下多種安全問題：

（1）應用源程序中存在漏洞，被利用發起攻擊，造成業務應用被中斷；

（2）一些源程序出于程序調試的方便，人為設置許多“后門”，一旦被黑客利用，將直接通過“后門”對系統和數據進行控制；

（3）應用系統身份認證措施不強，使得黑客可以輕易獲得訪問應用系統的權限，可能造成關鍵信息外泄；

（4）一些應用系統的用戶名和口令以明文方式被傳遞，容易被截獲，從而發起對系統的非授權訪問；

（5）各種可執行文件成為病毒的直接攻擊對象。

由于應用系統是動態、不斷變化的，應用的安全也是動態的，需要檢測應用系統的安全漏洞，采取相應的安全措施，降低應用的安全風險。

綜上所述，5G LAN 系統中各設備的基礎平臺均存在被攻擊的風險和安全問題，基礎平臺的安全問題需要高度重視。

3.1.2 網絡接入安全問題

由于引入了5G LAN，相對封閉的工業互聯網與開放的5G 網絡實現了互聯，工業互聯網需應對來自5G 公眾網絡的非法接入等安全問題。同時，5G 公眾網絡也面臨來自工業互聯網的安全威脅。

3.1.3 信息隔離安全問題

通常，工業互聯網中的工控系統與OA、ERP等業務系統是相對隔離的。采用5G LAN 作為基礎承載網后，5G LAN 為工業互聯網的不同系統之間的信息訪問、獲取提供了基礎的通道，不同系統間的信息有效隔離是需要解決的安全問題。

3.1.4 傳輸安全問題

在基于5G LAN 組建的網絡中，由于終端間、終端與服務器間均通過5G 公網進行連接，因此終端之間、終端與服務器之間的傳輸安全需要保護。同時，由于5G LAN 網絡中的UPF 網元與企業內部路由器連接，且該連接可能是遠程的，因此遠程鏈路的傳輸安全問題需要重視。

3.2 解決思路

《信息系統等級保護安全設計技術要求》指出，工業控制網絡采用分層、分區的架構，構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防護體系。5G LAN 作為工業控制系統和用戶業務系統的基礎網絡，需要從以下方面提升系統的安全防護能力。

3.2.1 提升各設備計算平臺的安全

在基于5G LAN 建立的工業互聯網系統中，各種設備需采用安全措施提升自身基礎計算平臺的安全。

UPF 等5G 網元設備通常部署在運營商5G 網絡云平臺上，運營商已經統一實現了5G 網絡云平臺的安全防護，因此可以認為該項問題已解決。對于單獨部署于工業互聯網中的UPF，可采用可信技術實現UPF 等網元的基礎軟硬件平臺安全。對于路由器和交換機等通用網絡設備，通過策略配置實現計算平臺安全。對于存儲重要數據的服務器、云平臺，采用身份認證訪問控制、虛擬化安全、惡意代碼防范、數據備份與恢復、入侵防范和安全審計等措施實現計算平臺安全。

安全防護的重點是數量眾多的終端設備，以防止病毒、木馬通過終端設備侵入系統為主要保護目標，采取的主要措施有：

（1）減少不必要的功能和應用，操作系統和應用軟件都遵循系統最小化原則；

（2）應用基于“白名單”和“黑名單”相結合的防護技術，在系統穩定運行后通過規則匹配、深度學習等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發現病毒和網絡攻擊等異常情況；

（3）使用端口管控工具控制外部移動設備的接入，并對所有接入的移動存儲設備進行審計。

對于計算機、平板電腦等終端類設備，采用可信計算技術為終端設備建立可信的安全環境，對應用程序提供簽名認證機制，拒絕未經認證簽名的應用軟件安裝和執行。采用沙箱、容器、虛擬化等技術，對重要的應用提供應用級隔離運行環境，保證應用的輸入、輸出、存儲信息不被非法獲取。對移動終端的外設等進行管控及審計。

為PLC 控制器設置唯一性標識，并以此為基礎對設備上運行的程序、對應的數據集合進行建立唯一性標識管理；在執行控制操作時，基于標識進行鑒別和認證，對用戶角色進行權限核查，阻止非法操作。同時可采用密碼技術，對PLC 設備的重要數據進行機密性保護，對控制指令、響應過程結果實現完整性保護。

對于工控終端可采用智能保護設備實現防護，智能保護設備是部署在各個終端節點上的網絡保護設備，防御來自外部、內部其他區域及終端的威脅，有效地保障系統的安全性和可靠性。

對于各種傳感器設備，采用鑒別機制對感知設備身份進行鑒別，并采用訪問控制列表實現對感知設備的訪問控制，提升傳感器設備基礎平臺安全。

3.2.2 提升網絡和系統安全防護能力

5G LAN 作為基礎承載網絡，網絡自身的安全防護能力非常重要。主要從以下幾個方面提升5G LAN 的網絡安全防護能力。

（1）在網絡架構和部署方面，可以采用UPF獨享下沉的部署方式，保證工業互聯網與公眾網絡的相對隔離。對于重要的用戶，可啟用端到端的切片，為用戶構建相對獨立的5G 專網。

（2）提高網絡的接入控制能力。對于接入5G LAN 網絡的終端設備采用接入認證，防止5G 公網終端非法接入5G LAN 網絡?？刹捎玫拇胧┌ǎ邯毩⒔ㄔO用戶AAA 設備，讓企業自行管理5G LAN的用戶，只有在企業AAA 設備中的合法用戶才能接入5G LAN 網絡；在5G LAN 網絡中對接入終端進行二次認證，采用企業自主可控的二次認證方案和設備，只有通過二次認證的終端才能接入5G LAN 網絡，防止非法用戶接入。

（3）提升各網絡的邊界防護能力。對于工業互聯網的工控網絡，可采用工業防火墻實現邊界防護，工業防火墻內置工業通信協議的過濾模塊，支持對各種工業協議的解析及過濾，實現對控制指令的識別和控制。對于工業互聯網中的辦公網絡，可通過防火墻、入侵防御系統等實現網絡的安全防護。

（4）提升網絡的態勢感知和安全管理能力。通過設置部署網絡安全態勢感知探針，實時監測網絡安全狀態，識別異常流量，及時發現網絡攻擊行為，提供實時的預警和報警信息，幫助用戶及時采取安全措施，保障信息系統的安全。還可通過安全管理中心進行全系統安全態勢的集中統一管理，及時識別網絡攻擊，采取有效的應對措施。

3.2.3 提升系統的隔離防護能力

基于5G LAN 的工業互聯網承載多個業務系統，應按照業務相對隔離、信息按需互通的原則進行各子網的設計。在網絡層面，保證不同的業務系統部署在獨立的VLAN 中，同時劃分不同的安全域，各安全域之間采取邊界防護措施，保證各業務系統和子網的獨立；在應用和數據層面，各業務系統采取身份認證、訪問控制等措施阻止非法訪問，保持應用和數據的獨立性。

對于信息的互通需求，可通過設置隔離交換系統實現不同業務系統之間的信息隔離交換。隔離交換系統在各業務系統進行信息交換時進行身份認證、權限控制、數據安全性檢測等操作，同時能夠實現交換信息的機密性和完整性保護，從而防止因為信息交換對各業務系統產生安全隱患和風險。

4 結語

針對5G 在垂直行業中的應用，3GPP 提出了5G 切片[5]、NPN[6]、5G LAN、TSN[7]等眾多新技術，如何通過實施這些新技術滿足垂直行業的應用需求，實現與用戶原有信息系統、通信系統無縫對接，做到真正的降本增效，任重而道遠。5G LAN 的出現為工業應用帶來了新的機遇[8]，讓垂直行業數字化轉型有了新方向[9]。5G LAN 可以為垂直行業提供定制化的專屬廣域“局域網”，使得企業終端與企業云隨時隨地處于一個虛擬化局域網（或虛擬組）中，5G LAN 功能逐漸成為5G 網絡在工業互聯網應用中最重要的增強力量之一[10]，必將開拓出5G 在垂直行業中的新場景、新應用。

本文對5G LAN 的原理、關鍵技術、典型應用場景進行了論述，對5G LAN 在工業互聯網這一新場景應用時所面臨的主要安全問題進行了分析，提出了解決思路，在設計和建設5G LAN 系統時可作為參考。隨著5G LAN 的廣泛應用及產業的進一步成熟，5G LAN 在工業互聯網領域必將得到更大規模的應用。