5G专网安全风险与技术方案

1、5G专网安全风险与技术方案2021-11-30目录目录11. 前言12. 5G专网概述23.5G专网安全风险挑战44.5G三大安全风险与对策54.1. 网络配置错误54.2. 内部威胁64.3. 小结65. 5G专网技术解决方案和建设策略75.1. 5G行业专网独立建设的必要性75.2. 3GPPNPN解決方案架构85.3.SNPN解决方案架构95.4. NPN方案关键技术115.4.1, 定义SNPN网络标识115.4.2. SNPN网络标识的配置，广播及网络选择116. 5G专网安全技术方案117. 总结与展望12参考文献1.前言5G所具备的海量连接、高可靠、低时延等技术特性，高度契合专网

2、的需求，可实现视频直播、海量物联网设备接入、无人驾驶、远程医疗、智能制造等典型行业或政企专网应用。针对5G应用于专网市场，从5G专网独立建设必要性、3GPP5GNPN(Non-PublicNetwork)技术最新进展和5G核心网2B(ToBusiness)网络建设策略三个方面分析5G核心侧在行业/专网方向的发展与演进。以期5G在专网领域发挥更大的价值，促进“5G+行业”, Replace：=wdReplaceAll跨界合作形成良性循环。與2G/3G/4G不同，5G除了能够满足个人通信外，还能够满足多样化垂直行业的专网通信建设需要，为未来的工业化应用奠定基础，通信业内对于专网通信己经开展了深入和

3、广泛的研究。相对于运营商运营的公众通信网络，NPN专网(Non-PublicNetwork)技术整体落后1到2代，冃前主流专网仍然是相当于2G的技术，仅有部分领域例如政务网广泛引入基于4G的专网。专网的宽带化需求与4G技术相结合，最终导致基于3G的专网技术退服。PDT(PDT,PoliceDigitalTrunking)+LTE的2G+4G组网模式，成为国内专网主要客户公安专网的主流。但不同于前几代移动通信技术，5G所具备的海量连接、高可靠、低时延等技术特性，高度契合专网的需求，可实现视频直播、海量物联网设备接入、无人驾驶、远程医疗、智能制造等典型行业或政企应用。业内预期，5G的80%,将应用

4、在工业互联网等行业市场。5G的应用场景丰富多样，如何发挥5G更大的价值，促进“5G+行业跨界合作形成良性循环，最终促进整体产业发展都是业内重点注重的问题，需要在网络建设的同时进行分析、试验。针对5G应用于专网市场，本文将从5G专网独立建设必要性，3GPP5GNPN技术最新进展和5G核心网2B(ToBusiness)网络建设策略三个方面分析5G核心侧在行业/专网方向的发展与演进。2.5G专网概述第五代移动通信技术(5G)设计目标是高数据速率、低传输延迟、提升传输质量、提高系统容量和大规模连接。ITU-RM2083.0定义了5G的三大应用场景：增强移动宽带(EnhancedMobileBroadb

5、and,eMBB)、海量机器类通信(MassiveMachineTypeCommuncation,mMTC)和超可靠低时延通信(UltraReliableandLowLatencyCommunication,uRLLC)»三大场景如图1所示。5G较4G最大的不同是万物互联，就像华为无线CTO童文博士对5G的定义5G不是一个简单的移动网络的升级，而是跨行业数字传输的一个融合。在实现5G愿景的过程中，5G和各行业重合在一起会拓展出一片更大的应用图景,连接起一个个超越通信技术甚至信息通信技术范畴的生态系统。图15G关键指标和应用场景5G网络为实现万物互联，需要面向不同业务形态提供不同的网络

6、服务。5G行业专网（简称5G专网）是一张专门承载ToB业务的网，是一张端到端弹性可变的网；5G专网与5G公众网络既有共享、又有区隔。而5G专网也推动了产业模式变革，由运营公众网络到客户侧专网转变；5G专网也将融入千行百业，呼唤网络服务新能力，5G将赋能航运港口、医院、工厂、航空、电力、能源、车联网等行业，如图2所示。行业客户更加注重网络可靠性、数据安全性、资源运行状态、运维保障能力，垂直行业客户对5G网络的要求，更多是希望能够提供专属的网络覆盖、专用的网络资源、专有的网络服务。网络機孟G携敌据安全保加工厂民航客机无人机社区楼宇商超直播互动业务性能保障电网车联网眼务运维体港口、矿山、航线等特 定

7、区域技随覆盖易于购买.希望提供打包 的交钥匙服务工厂、医院、电冋等广泛满足业务网络需求,如；电网差动保护：时要求业务敖据不出厂延15ms&抖动50us.终端同歩精度10us发挥专业积淀,塑造精品专网新优势川的网络资源、弓仃的网络服务运营商以满足垂宜行业网絡需求为目标建设的5G网络，为行业客户提供。厩的冋络薇盖、L踣无戸网络安全硏究院图25G融入百业呼唤网络服务新能力垂直行业客户对5G专网的需求量较大，在工业园区、电网能源、航空、自动驾驶等领域都有强烈的需求。当前对垂直行业客户规模进行了统计，5G专网市场应用前景可观。例如全国有超过2万家工业园区，国家级开发区超500家；全国电网覆盖面积

8、约963万平方公里，设备连接数达到了2013万个；2020年我国通用机场超660个，按照46372万公里，33km-300km覆盖半径估算，预计机载通信需要500ATG基站约600个；全国24省份地区己经开通自动驾驶测试场，预计在未来十年内辅助驾驶车辆占比能达到80%等。不同行业用户在建设模式、运维模式、商业模式等放慢都存在显著差异，所以对5G专网提出差异化的服务需求。我们将行业用户分为普通行业用户、特定行业用户和特需行业用户三类，不同类别的用户对网络有不同的需求（如表1所示）：普通行业用户：同公网用户相比，普通行业用户更注重资源专用度、业务质量保障。QoS/网络切片技术可灵活地为不同客户提供

9、网络功能、性能、隔离、覆盖范围等差异化服务能力。特定行业用户：根据用户属性与业务特点，对数据不出场、超低时延等有特殊要求，针对这类用户，需要提供专属5G网络覆盖服务。特需行业用户：特需行业客户的安全等级高、定制化需求强、隔离要求强，部分行业在5G之前有自建无线专网。表1不同行业客户的需求建没痍式无袞犢惫先城区后郊E-W估行业需求、祖掘行it客户的业务茎求aPlUPFR元粮18行业客户的生戸区区域聽盖并定制网络方案客户只关心IB务而蒙，不关心网絡运行状 莓，运営商自行运雄客户对釣揖安全、火务司審技屈，SAfifi 耳户更关心阿错的安全性、业务可寧性同 低冋络时霆'冋络吴丢雄护能力络运行状

10、恣可视、可控近营商書开放运雄驚力USS . ihftSLA. E用服务等多宣啊if件、应用IB务尋悚准化方演根据垂直行业用户的不同需求，构建了优享、专享、尊享三种不同的5G专网服务模式，实现网络服务商品化，具体情况如下：优享模式：用户共享基站和频率，提供QoS+DNN、专用切片、UPF下沉地市分流等方案，满足客户需求，实现业务逻辑隔离;专享模式：用户共享基站和频率，UPF下沉至园区/客户侧专用，支持叠加MEP平台与应用服务,满足客户数据不出场、超低时延业务需求;尊享模式：提供专用基站或专用频率服务，根据客户需求，可提供专用资源池，为企业构建专用5G网络，提供高安全性、高隔离度的定制化网络服务。

11、3.5G专网安全风险挑战业务发展与安全是一把双刃剑，新技术促进了生产效率和服务水平的提高，同时也打破了人机物之间、工厂与工厂之间、企业上下游间的边界，使得原本封闭的系统变得越来越开放，安全风险和网络入侵威胁不断增加。5G专网面临的安全风险主要包括终端接入安全风险、网络链路安全风险、边缘计算MEC安全风险、边界安全和运维管理等，如图3所示。终端接入安全风险：包括非授权SIM卡接入、恶意终端用合法SIM卡接入、合法终端访问非授权应用、从互联网/企业网入侵控制工业终端、伪基站对终端的干扰、伪基站发现、定位难等。网络链路安全风险：包括非法访问切片、切片资源滥用、用户面数据泄露、篡改等。边缘计算MEC安

12、全风险：不可信的第三方APP,APP间恶意攻击、来自互联网的攻击(如App远程运维通道)、企业数据泄漏到公共大网、MEC平台被攻击、以MEC为跳板渗透5GC、NMS(NetworkManagementSystem)等。边界安全风险：来自恶意终端和MEC±第三方APP对企业内网/私有云的攻击、终端/MECAPP与企业内网冋通信被窃取、篡改，来自互联网的攻击、从互联网、企业内网或APP对运营商设备的攻击等。运维管理风险：安全态势不可视、用户信息、网络配置等的非授权访问，违规运维影响局域专网，网络设备安全态势不可知等。图35G专网安全风险分析4.5G三大安全风险与对策业界普遍认为，5G即将

13、打开物联网安全威胁的潘多拉盒子，5G安全问题已经成为各国关键基础设施领域的重大安全问题。5G网络引入的网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术，一定程度上带来了新的安全威胁和风险，对数据保护、安全防护和运营部署等方面提出了更高要求。2020年5月份特斯拉汽车“失联事件表明，5G作为新基建的核心基础设施，其安全问题如不能在，原生，和“设计，阶段消灭在萌芽中，将给电动汽车、智能物联网、智慧城市等新基建发展带来严重威胁。2020年欧盟牵头推岀了5G安全工具箱，分析了很多5G网络相关安全风险，提出了九种缓解措施和支持措施，作为欧盟成员国和网络运营商提高5G网络安全性的指导框架。欧盟工

14、具箱清楚的区分了5G网络安全的战略措施和技术措施。战略措施包括监管权、供应商（包括第三方）的多元化以及维持可持续和多样化的5G供应链。技术措施包括部署特定的网络安全基准解决方案和流程，以及确保弹性和连续性。诺基亚全球安全产品营销总监GeraldReddig认为，5G安全工具箱中有三大安全风险值得运营商和技术提供商重点注重：4.1.网络配置错误首先，我们需要查看网络配置错误的可能性。即使网络组件最初可能已经配置了符合安全策略的参数，但网络是一个不断发展的实体，所以其设置经常需要相对应地进行调整和更改。错误配置的网络存在漏洞风险，而这些漏洞只能通过适当的自动审核和缓解流程来解决。从宏观角度来看，5

15、G网络可能包括成千上万个分布在网络边缘的数据中心，每个数据中心都承载着云原生虚拟网络功能。对于操作员而言，手动跟踪所有这些功能是一项不可能的任务。为了解决这个问题，需要釆用自动化解决方案来验证网络参数，并将其与工业标准进行比较，从而以最少的人员干预来无缝纠正任何异常情况。错误配置是一种常见且持久的威胁，应对它的唯一方法是自动审核和缓解流程。这与引入动态、分布式和复杂的网络部署特别相关。在这里，具有自动化功能的审核和合规解决方案是构建强大和高韧性5G网络的关键。通过对照参考版本进行检查，自动化方案能够自动审核和分析物理网络和虚拟网络中的所有参数。自动化审计和合规方案能够快速发现任何导致服务降级和

16、效率低下的配置错误，还能够通过提高参数和配置检查速度来提高服务保障能力和表现，从而最终改善客户体验。4.2. 内部威胁5G面临的第二大风险是：无法准确控制和监视网络中谁在做什么，或者简单地说，缺少访问控制，所有这些都会产生大量新的安全问题。“零信任环境通常是运营商的首选，但必须并认识到，内部员工和外部供应链承包商也构成潜在威胁。如果没有正确的安全解决方案，内部威胁仍可能在数月内都无法发现。分离身份验证、访问控制和授权过程，以独立的方式部署运行，有助于增强控制环境的安全性。包括细粒度的最小化授权、去中心化的代理功能，以及受限的身份验证策略等。物联网智能设备风险在万物互联的信息时代，联网既是优势也

17、是弱点。GSMA的一份智能设备报告预测，到2025年，全球物联网设备连接将达到近25亿，这给5G网络带来了巨大的安全风险。根据诺基亚发布的最新2020年威胁情报报告，过去一年来，全球受感染的物联网(loT)设备的数量猛增了100%。受感染的物联网设备现在占总数的近三分之一(32.7%),大大高于2019年报告中的16.2%。5G新技术(例如网络分片和网络功能虚拟化)带来的安全威胁，已经开始显现。运营商应该扪心自问：“我如何确保数十亿个设备及其所运行的网络的安全性？如何防止黑客团体或国家支持的攻击者控制物联网设备来攻击网络？“除了扫描文件中的恶意软件外，更有效的方法是监视用户端点设备和互联网之间

18、的网络流量，并查找干扰或感染的证据。这里的关键是使用端点安全解决方案，该解决方案充当面向消费者的恶意软件检测、通知和修复服务。端到端安全解决方案为所有设备提供基于网络的实时检测和分析，无论该设备具有集成的防病毒功能还是其他保护系统。4.3. 小结根据中国信通院预测，到2025年，我国5G网络建设投资累计将达1.2万亿元，带动产业链上下游以及各行业应用投资超过3.5万亿元。如果不能通过系统规划和顶层设计来预防和遏制5G网络带来的新安全风险，将打开针对新基建基础设施大规模网络攻击的潘多拉盒子，上万亿的5G网络建设和行业应用投资将面临巨大风险。5.5G专网技术解决方案和建设策略5.1.5G行业专网独

19、立建设的必要性5G技术本身能够提供2C（ToCustomer）或者2B（ToBusiness）服务，随着个人通信消费能力饱和（受限于人口红利、需求等），2C市场增长放缓，2B企业用户将取代2C个人消费者，成为5G应用的主角。如果2C和2B网络合一建设，则实际是公网而不是专网，因两者服务对象、业务内容等均有很多不同，合建会有很多不利之处，单独建设5G2B行业专网，则能为行业用户提供差异化的服务，进一步拓展5G业务领域。运营商在通信网络建设方面有着丰富的经验和技术优势，能够满足传统业务及互联网类用户的基础通信需求。如表2所示，行业或企业专网用户主要集中在比大众消费者对性能和安全要求比较高的行业，例

20、如工业生产、公共安全、交通运输等，2C网络不能满足行业或企业专网用户的多样需求，尤其是在企业业务的灵活开通、按需服务等方面与2B网络存在较大差距。表22B和2C的业务的模式对比对E2（：（传统通信及互联网）2B（行业/企业阿及厄联冋）业务类塑单.主宴是。MBB.满足消费者语音种上网需要多样.包括rMBB.uRU.C.mMTC,V2X等多场景用户个人用户企业、行业'政府等业务开通单个用户或者批駁用户组织架构邸开通川户规模大.依赖于现网JH口数鼠小.初期处于磨合培臼期.偷期未来冇较大发展河络状况収务统一.料络相对检定需求众多.网络陶需而动変化負驚市场待点成熟市场.需求稳定蓝海市场.需求多变

21、怵准状况坏准成熟.巴基本收散标准继续（iU6、HI7）.还待完善与现网关系大.和现网需要迎行业务継承和小,相甘独星.m不依赖现网独旻經设与发展2B与2C业务对多个维度的差异性决定了2B网络最好单独建设，如图4所示：2C网络图4 5G的2B和2C网络分开建设2B网络2B/2C网络解耦分建，隔离了2B网络的功能的快速迭代对2C网络的影响，同时也简化网络规划，维护界面清晰，故障定位迅速。当然，分建对无线有要求，需要无线侧同时对接2B和2C两张核心网。5G2B网络技术实现规范化和标准化在3GPP中对应于NPN网络解决方案。5.2.3GPPNPN解決方案架构NPN,即非公共网络，是区别于电信运营商公网，

22、为特定用户/组织提供服务的网络，在3GPP协议TS23.501的定义中，非公共网络有以下两种类型：独立组网的NPN网络SNPN（Stand-aloneNPN,独立专网），该网络不依赖于公网（PLMN网络）,由SNPN运营商运营（非运营商的网络，例如政府专网、企业专网）。（2）非独立组网的NPN网络PNI-NPN（PublicnetworkintegratedNPN,集成于公网的专网），该网络依赖于公网（比如5G网络），由传统运营商运营。对于PNI-NPN,如果只使用R15中定义的网络切片，则无法进行访问控制，需要启用CAGfClosedAccessGroup,受限访问组）去阻止未授权终端接入。

23、不论是SNPN还是PNI-NPN,NPN都能够实现端到端的资源隔离，为垂直行业或特定群体用户提供专属接入，限制非授权终端接入专属基站或频段，保障客户通信资源独享，所以NPN能够和行业应用比如工业互联网进行很好的融合，并且能够为局域网（LAN,LocalAreaNetwork）业务提供支持，满足一些企业、学校等园区对于可靠且稳定的私有网络需求。5.3.SNPN解决方案架构SNPN是基于5G独立建设的专网，所以还是采用5G基本架构，但因SNPN网络不依赖PLMN公网,SNPN5G核心网和PLMN公网的5G和核心网之间不能进行互操作，为了保证SNPNUE能够从SNPN接入PLMN,或者UE从PLMN

24、5G公网接入SNPN,SNPN重用了"Untrustednon-3GPPaccess"架构来保证专网UE能够通过SNPN的用户面访问PLMN5G的业务，或者通过PLMN5G的用户面访问SNPN的业务，如图5和图6所示。图55G的SNPN网络架构从NPN侧介入运营商网络企业私网图6通过PLMN5G的用户面访问SNPN的业务UE（UserEquipment,用户终端）从NPN侧接入后直接在UE和NPNCN之冋建立NPNPDUSessionsoUE上配置了公网N3IWF地址/域名，UE通过NPNPDUSessions和公网N3IWF建立安全连接，UE在该连接内，向公网CN请求建立

25、公网PDUsession<,UE和公网CN之间的PDNsession的NAS信令和用户数据，都是封装在UE和通过NPNPDUSessions和公网N3IWF建立安全连接。UE从5G公网接入SNPN,访问SNPN业务的架构，和上面类似。UE接入公网后需要建立公网PDUsession0UE上配置了SNPNN3IWF地址/域名，UE通过公网PDUSessions和SNPNN3IWF建立安全连接。UE在该连接内，向SNPNCN请求建立NPNPDUsession。UE和NPNCN之间的NPNPDNsession的NAS信令和用户数据，都是封装在UE和通过公网PDUSessions和SNPNN3IW

26、F建立安全连接中。在有无线覆盖的前提下，选择哪种接入方式，取决于UE实现或配置。事实上，如果UE是dualradio的，这两种方式都能够采用。5.4.NPN方案关键技术5.4.1. 定义SNPN网络标识在3GPPR16中，协议定义了PLMNID+NID(Net-workIdentifier)作为SNPN网络标识，这里的PLMN是5G网络，用于SNPN的PLMNID不需要是唯一的，保留给专用网络使用的PLMNID能够是通用值，比如(MCC)999ONID有2种分配模式：一种是自分配(Self-assignment),SNPN自己分配NID,但是有全球不唯一的风险;第二种方式是协同分配(Coord

27、inatedassignment),协同分配又包含两种选项，NID全球唯一，或者PLMNID+NID全球唯一。5.4.2. SNPN网络标识的配置，广播及网络选择一个签约了SNPN服务的UE需要支持SNPNAccessMode,配置为SNPNAccessMode的UE只能通过SNPN接入网络，而未配置为SNPNAccessMode的UE则能够执行PLMN公网比如5G网络选择流程。其中SNPNAccessMode的配置方式(激活、去激活等)是由UE来实现的。UE配置相对应的一个或多个由PLMNID+NID组合标识的SNPN的签约者标识符SUPIfSubscriberIdentifier)和凭证，

28、同时此签约需要对应存储在网络签约中。在初始接入和小区重选过程中，NG-RAN通过SIB(SystemInformationBlock)消息为UE广播小区驻留、重传、链路建立等所需的若干参数，对SNPN网络还需要广播自身支持的所有的PLMNID和每个PLMNID相关联的NID列表，配置了SNPNAccessMode的UE能够根据自己的配置PLMNID+NID信息选择可接入的SNPN小区，核心网根据UE的签约信息对UE的身份进行鉴权。6.5G专网安全技术方案在5G专网賦能千行百业的同时，5G专网向行业提供按需、差异化的安全服务，保障行业安全运营。根据相关标准要求和指南，构建了完善的5G专网安全体系

29、(如图7所示)，主要从终端接入安全、网络链路安全、边缘计算MEC安全、边界安全等方面介绍。终端接入安全：终端接入安全要向行业提供按需、差异化的安全服务，认证、再接入，保障行行业安全运营；主要包括主认证、二次认证、终端接入位置控制和差异化能力等技术方案。网络链路安全：切片提供端到端网络隔离，不同隔离方案能够灵活满足客户的不同安全需求，基于无线使用方式，局域专网有三种建设模式，安全隔离度不断提高。边缘计算MEC安全：MEC通过用户面功能(UPF)下沉实现灵活分流，将服务能力和应用推到网络边缘，改善用户业务体验。通过安全即服务方式防护APP安全，通过网络审计/访问控制等手段实现流量实时监控与告警。边

30、界防护：5G园区网与企业内网边界，运营商大网与5G园区网边界风险分析与边界安全防护。网络边界部署安全网关/防火墙等安全设备。安全运营和服务：部署企业安全态势感知系统，实现安全事件集中管控，提安增效。图75G专网安全技术方案7,总结与展望5G融合应用是促进经济社会数字化、网络化、智能化转型的重要引擎。5G网络能够解决人与人通信，为用户提供增强现实、虚拟现实、超高清(3D)视频等更加身临其境的极致业务体验，也能够解决人与物、物与物通信问题，满足移动医疗、车联网、智能家居、工业控制、环境监测等物联网应用需求。5G专网能够为行业用户提供按需、差异化的网络需求，同时完备安全解决方案为用户的业务发展保驾护

31、航。参考文献I ITU-RM.2083IMTVision-FrameworkandoverallobjectivesofthefuturedevelopmentofIMTfor2020andbeyondS.ITU-R,2015.TS33.501.Securityarchitectureandproceduresfor5GsystemS.3GPP,20183 TS33.841.Studyonthesupportof256-bitalgorithmfor5GS.3GPP,20184 YD/T3628-2019.5G移动通信网安全技术要求S.CCSA,2019.5 耶贺铃.5G时代将是产业互联网时代，大批“独角兽企业将崛起卩.智能城市，2017：22-2