GBT 42126.4-2026《基于蜂窝网络的工业无线通信规范 第4部分：安全要求》

1基于蜂窝网络的工业无线通信规范本文件规定了基于蜂窝网络的工业无线通信系统的安全要求，包括安全风险分析、安全设计总体要求、安全功能要求及部署要求。本文件适用于基于蜂窝网络工业无线通信系统，尤其是5G相关安全规划建设、运行管理与测试评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T9387.1—1998信息技术开放系统互连基本参考模型第1部分：基本模型GB/T42126.1—2022基于蜂窝网络的工业无线通信规范第1部分：通用技术要求GB/T42126.5—2024基于蜂窝网络的工业无线通信规范第5部分：应用要求GB/T43697数据安全技术数据分类分级规则3术语和定义控制域controldomain面向生产过程实时控制与执行涉及的范围，涵盖现场控制层与设备层。控制面controlplane处理用户设备与蜂窝网络之间的交互。4缩略语下列缩略语适用于本文件。AES:高级加密标准(AdvancedEncryptionAGV:自动导引车(AutomatedGuidedVehicle)AKA:基于认证的密钥协议(Authenticationa2AMF:接入与移动性管理功能(AccessandMobilityManagementFunction)API:应用程序编程接口(ApplicationProgrammingInterface)APP:应用程序(Application)AS:接入层(AccessStratuMEP:多接入安全平台(Multi-accessEdNSSAI:网络切片选择辅助信息(NetworkSliceSelectionAssistanceInformaPDU:协议数据单元(ProtocolQoS:服务质量(QualityofService)RB:资源块(ResourceBlock)UDM:统一数据管理功能(UnifiedDataManagement)UE:用户设备(UserEquipment)VLAN:虚拟局域网(VirtualLocalAreaNetwork)3GPP:第三第合作伙伴计划(3rdGenerationPartnershipProject)5安全风险分析5.1蜂窝网络接入的安全风险点蜂窝网络的接入导致现有安全防护系统新增风险，蜂窝网络接入工业现场的风险点示意图如图1所示。监视控制层工业通信网络设备层现场设备图1蜂窝网络接入工业现场的风险点示意图图1中可将风险点划分为3类：—风险点B:接入点在应用域安全边界内，原有防护措施部分失效，或向内部引入安全风险；——风险点C:接入点在控制域安全边界内，原有防护措施部分失效，安全风险直接威胁生产设备。5.2其他风险分析蜂窝网络的引入应分析其对工业现场的控制域和应用域带来的其他安全风险，包括运维、经济、健康、环境等因素。评估原则和方法见IEC62443、GB/T30976.1。6安全设计总体要求6.2功能要求6.3安全能力分配要求根据第5章的安全风险分析，可确定蜂窝网络的安全能力，分配方式具体要求如下：——如分析结果在可接受的范围内，可仅保留蜂窝网络的基本安全功能；—如分析结果在不可接受的范围内，应增强蜂窝网络的安全功能，以防止安全威胁的引入。应保证蜂窝网络在所需安全功能开启状态下，仍能满足工业应用的性能和质量要求。若无法保证，则应关闭部分安全功能以优先满足工业应用的通信要求，并引入补偿措施。7安全功能要求7.1接入安全空口链路跨接入网信令链路接入网1.信令机密性+完整性保护用户面数据链路控制面信令链路核心网用户面功能核心网服务化接口安全要求：核心安全功能：4.固件完整性校验+软件漏洞修复网络仓储功能核心安全功能：图2工业现场设备接入时的安全功能要求示意图7.1.2可信认证——用户宜通过安全认证机制对工业现场设备进行认证增强，如通过密码、生物识别或设备硬件特征等进行多因素认证，确保终端身份的可靠验证，基于射频指纹机制的认证设计示例见附录B。7.1.3AS层信令安全AS层仅存在于工业终端与工业蜂窝接入网之间，负责空口接入信令与数据安全。AS层信令安全的具体要求如下：—工业蜂窝专网gNB应开启AS层信令机密和完整性保护；—工业蜂窝专网gNB应支持机密性保护和完整性保护算法优先级配置；—工业蜂窝专网gNB宜支持对无线空口DDoS攻击检测和防御：—-工业蜂窝专网gNB宜支持5G基站工作频段内发射无线信号的伪基站检测。7.1.4NAS层信令安全—-工业蜂窝专网核心网应支持机密性保护和完整性保护算法优先级配置。7.1.5蜂窝网络核心网服务化接口安全蜂窝网络核心网包含控制面与用户面网元，应满足服务化接口安全及NF注册授权等要求。蜂窝网络核心网服务化接口安全的具体要求如下：—--蜂窝网络核心网的NF间服务化接口应支持HTTP2.0协议及参数配置，应支持使用TLS提供安全保护；—蜂窝网络核心网应支持NF注册、发现和授权能力，如使用NRF进行注册和授权，则确保仅在NRF中注册且被授权的NF,才可访问其他NF,未合法注册或授权的NF无法访问其他NF;——蜂窝网络核心网应动态管理NF的访问权限，随着网络业务和安全需求的变化动态更新和调整NF的权限；—-蜂窝网络核心网应对控制面消息端口的通信流量进行实时监测，一旦发现安全问题后及时告警。7.2蜂窝网络的边缘安全7.2.1硬件环境安全硬件环境安全的具体要求如下：—--MEC服务器宜基于硬件可信根进行安全启动，确保启动链安全，防止被植入后门；—边缘系统应确保机房环境始终符合设备运行要求，并对电力供应进行冗余设计，确保系统稳定运行。———应维持宿主机、虚拟机、容器和镜像等组件运行的稳定性与可靠性；67.2.3组网安全组网安全的具体要求如下。——应支持用户和控制两平面物理/逻辑隔离。对于业务安全要求不高的场景，可支持平面逻辑隔离；对于工业用户安全要求级别高并且资源充足的场景，宜支持两平面物理隔离。——应具备网络边界访问控制安全能力，支持部署安全访问控制措施，可防止攻击者的非法访问。7.2.4边缘UPF安全边缘UPF安全的具体要求如下：——应支持控制面/用户面流量控制机制，以确保其在收到大量攻击报文时不会产生异常；——应支持加密、完整性校验、访问控制等安全功能；—应支持分流策略安全机制，可进行分流策略的配置、冲突检测和告警；——应支持对MECAPP的访问控制机制；——应支持对UE的互访限制和访问控制；——应支持定期更新软件系统，修复漏洞，宜在设备启动时校验固件的完整性。MEP安全的具体要求如下：——应支持对不同的接入MECAPP进行隔离，防止应用之间的相互干扰和恶意攻击；7.3蜂窝网络的切片安全——高安全等级的工业控制类切片应采用独立的基站或者载波隔离；7承载网隔离承载网隔离具体要求如下：——对于工业控制应用等对时延和安全保障较高的业务可在承载侧通过FlexE、时隙划分技术等硬隔离方式实现；核心网隔离7.3.3切片访问控制切片访问控制的具体要求如下：7.3.4切片身份认证切片身份认证的具体要求如下。—-应支持防终端NSSAI篡改攻击、防UE非授权跨切片访问攻击、防UE跨切片数据包重放攻击。—-切片管理接口、切片内部网元应支持双向身份认证机制，防止因非法访问导致信息泄露等安全问题。——切片应支持差异化的身份认证机制，可根据不同业务的安全要求，提供对等的身份认证等——网络切片管理系统和认证授权服务器应支持最小权限管理，只授予用户所需的最小权限，使其只能操作和监控自己的切片资源。切片可靠性的具体要求如下：——应对实施的安全功能进行验证，确保切片设备在正常和故障模式下的正确性和有效性，宜包括模拟测试、设备现场测试和系统级测试等；——应采用加密通信、身份认证和访问控制等安全措施，确保数据传输的机密性、完整性和可靠性，确保工业切片设备与其他设备之间的通信是安全的，防止信息安全影响功能安全。87.4蜂窝网络的能力开放安全7.4.1访问控制能力开放平台或者能力开放网元与行业网络之间应配置安全隔离和访问控制措施。7.4.2差异化机制——应根据不同工业应用的重要性和紧急程度，差异化分配开放网络资源；——宜支持灵活的接入控制，允许授权设备和用户在特定条件下接入蜂窝网络；——宜根据开放数据敏感程度提供差异化安全保护。7.4.3接口保护7.5.1接入认证在用户接入网络时所做主认证之后，宜采用二次认证机制为接入特定业务建立数据通道，具体如下：——进行主认证，应验证用户及设备的身份和权限，确保只有合法用户能够接入网络；——在主认证的基础上，宜采用二次认证机制为接入特定业务建立数据通道，保障业务的安全性和隔离性。7.5.2访问控制7.5.3数据传输安全应采用数据加密与完整性校验，保证工业数据在UE和MEC之间的安全传输。空口数据传输安全端到端工业数据传输安全9——当因技术限制、系统兼容性等因素无法实施端到端加密时，宜对数据传输路径上的各段链路分别进行加密处理，建立多层防护体系；——应确保数据从蜂窝网络流向工业网络的过程中不同网络协议转换过程中数据的完整性与机密性，防止攻击者利用协议差异进行攻击；—对于数据传输过程中的中间节点，宜实时监测异常流量和异常行为，及时阻断恶意攻击。数据管理的具体要求如下：——应建立异地容灾备份系统，定期同步重要数据，保障在遭遇突发情况时，数据可快速恢复，保障业务的可持续运行。蜂窝网络应针对不同生产业务需求采用不同的网络部署方案，至少包括：—--对于只需要用户面进行安全保障的企业，宜将核心网用户面下沉到厂区来实现本地业务分流到企业内网，保障业务不出厂区；——对于需要网络控制信令不出厂区的企业，宜将全套蜂窝核心网，包括用户面和控制面，进行专网部署；集中管控的具体要求如下：——应对安全策略、恶意代码、补丁升级进行集中管理，对安全事件能够有效识别、及时预警和动态分析，展现全网安全态势。8.2.2安全可配置安全可配置的具体要求如下：——应允许具备权限的安全管理员通过工业网络侧内网或蜂窝网络两种方式，对UE配置特定的安全规则；——应允许具备权限的使用者使用附加的安全配置功能或使用特定的安全规则。8.2.3安全运维8.2.4账号权限管理应针对工业应用相关管理/运维系统，建立账号权限管理机制，指定专门的部门或人员进行账号管理。8.2.5应急处置机制企业应针对工业应用蜂窝网络中断等不同事件制定应急预案，配套(资料性)5G+智能工厂的安全运营方案实例5G+智能工厂安全运营架构如图A.1所示，可在终端接入、传输网络及边缘数据3个层面建立5G+智慧工厂的安全防护体系：——终端接入安全防护方案：针对工厂内现场设备(如AGV)与5G用户设备，建立双重身份认证与空口防护机制；——传输网络安全防护方案：以“端到端加密+切片隔离”保障数据传输全程安全，针对5G核心网关键接口，部署IPsec加密协议，对接口传输数据进行加密防护，构建传输网端到端的安全屏障；处理，从源头防止核心生产数据流出厂区；同时在厂区网络边界部署防火墙/虚拟专用云(VPC),通过防火墙拦截外部非法访问请求，借助VPC划分不同安全域(如生产域、运维5G核心网数据保护+边界安全IPsec加密终端设备+5G用户身份认证+空口安全运维图A.15G+智能工厂安全运营架构(资料性)基于射频指纹机制的认证设计示例B.1场景概述在工业现场，各类终端设备通过5G或企业专网接入生产网络，用于操作和监控工业现场设备。传统认证机制可验证终端身份，但仍存在凭证被窃取或复制、终端数量庞大难以管理等问题。射频指纹技术利用终端射频硬件的差异，为每个终端提供唯一的硬件标识，具有难以伪造且无需用户交互的特点。通过在现有3GPP的二次认证体系基础上引入射频指纹，可进一步增强终端身份验证的可靠性，满足工业通信场景的高等级安全需求。B.2认证机制5.指纹比对终端1指纹数据库终端1终端2终端2证请求/响应流水线图B.1基于射频指纹机制的工业现场设备认证增强方法的认证机制该机制首先通过3GPP的传统认证方式，如AKA机制完成初始认证，确保用户身份的合法性。在二次认证阶段，结合射频指纹技术，对设备的物理层