基于 5G的垂直行业安全新特征与对策

基于 5G的垂直行业安全新特征与对策

李雪婧 1 高宏达 2

1. 中国移动通信集团吉林有限公司网络管理中心 吉林长春 130000

2.中国移动通信集团吉林有限公司网络优化中心 吉林长春 130000

摘要：5G给移动网建设模式和生产组织形式等带来了巨大而深远的影响。如在不同场景下如何将千差万别的行业应用和5G网络特性进行最佳结合、网络和应用平台的搭建、基本功能制订、商业盈利模式等。因此，基于5G网络特点和目前技术特性，结合落地性较强的垂直行业应用类别，就具体的网络特性应用方向、网络平台搭建、具体功能创新、使用流程建议以及商业模式等进行讨论 ，就具有重要意义。

关键词：5G；垂直；安全；特征

引言

5G 技术近两年是人们关注的重点话题之一， 如何将 5G进行充分的应用更是人们关注的重中之重， 三大运营商现在已经在一些试点城市进行了 5G 技术的可用性实验。

1安全是产业互联网的基石

如果说在消费互联网时代， “控制住了网络就控制住了世界”只是一句口号的话，那么在5G时代，这句话即将变成现实。随着越来越多的设备、基础设施、行业应用与数字化资产承载于5G网络之上，网络安全逐步上升为事关国家和社会稳定发展的重大命题。根据越来越频繁的安全事件可以看出，针对物联网、电网、交通基础设施等非传统价值目标的攻击比例越来越高，攻击的门槛越来越低，手段也越来越丰富。随着5G网络大规模部署，无论是从黑色产业链角度，还是出于其他政治、军事、经济、社会等目的，5G所连接的重要基础设施，对攻击者的吸引力都会与日俱增。未来20年，通过网络对各类基础设施进行破坏、劫持、勒索的网络恐怖主义将会成为各国政府、各行业监管机构、基础设施提供者、企业运营者以及广大公众需要经常直面的问题。全社会需要从政策、法规、组织、技术等各个层面提前做出应对，设立多条安全防线，构建完善的网络空间安全治理框架，为未来产业互联网的可持续发展提供稳定的基石。

2面向垂直行业的 5G 核心网关键技术介绍

2.1 5G LAN 技术

从 2G 到 4G，移动网络提供的是统一的接入和一致的终端管理。5G 时代到来，行业客户希望 5G 网络在提供大连接、高带宽、低时延的同时，也能像自建的局域网那样，自己实现对终端的灵活管理。例如行业客户指定终端的 IP 地址、要求终端只能与特定的终端通信、授权终端属于特定群组并动态加入和删除等。5G LAN 技术的出现，正是为了满足行业客户这一诉求。5G LAN 技术首次在移动网络中引入终端组管理的概念，支持组内终端直接通信。该技术共有以下三个特征。特征 1：动态的群组管理。UDM 维护一个组内终端的所有签约信息，行业客户可通过能力开放接口，将一个终端从群组内动态的加入或删除。特征 2：指定终端的 IP 地址。行业客户可通过能力开放接口，将指定的 IP 地址段配置到 UDM 中。当终端使用 5G LAN DNN 创建会话时，5G 网络将采用静态IP 地址分配的方式，将 UDM 中存储的指定 IP 地址分配给组内终端。这样达到行业终端使用行业内网 IP 地址的效果，从而使得通过 5G 接入的终端可以无缝地与行业内网中的应用服务器或终端互通，构建行业专属的广域“局域网”。

2.2URLLC 技术

URLLC（Ultra-Reliable and Low Latency Communi-cation）是 3GPP 定义的 5G 三大应用场景之一。典型场景如：工业控制：时延 5~20 ms，可靠性 5 个 9；智能电网差动保护：时延 15 ms，可靠性 5 个 9；远程手术：时延≤ 20 ms，可靠性 5 个 9；自动驾驶：时延 3~100 ms，可靠性 5 个 9 或更高。URLLC 网络要求能够为用户提供毫秒级的端到端时延和接近 5 个 9 的业务可靠性保证。为满足这一要求，5G 网络通过构建冗余链路和端到端时延监控来保障URLLC 业务体验。构建冗余传输链路，支持高可靠数据传输为了满足 URLLC 的可靠性要求，5G 网络支持构建端到端的冗余传输链路或 N3 隧道的冗余传输链路。为尽量减少无线信道波动影响，5G 网络通过建立两条端到端会话的方式来提升整体的可靠性。如图2所示，端到端的会话由 UE 发起，通过两个 NG-RAN 建立两条会话连接到相同的数据网络（DN），这两个会话的传输路径不相交。在该机制中，终端和基站都需要支持双连接。此外，5G 网络还引入 N3 冗余隧道机制，增强传输链路的可靠性。

3新特征下的安全对策

3.1 环境型特征。低 功 耗 ：大 规 模 物 联 网（IoT）的要求。很多负责传感、环境监测控制的设备，需要运行在无法进行持续外部供电的环境当中。由于体积或成本等因素的限制，这些设备自身很难储备太大的电能，需要设法降低功耗，以获得更长的工作时间。目前，产业界对于此类设备连续工作时间的初步共识是 10 Y 左右。设备的功耗来自于各个方面，优化也需要针对不同的组件分别展开，例如使用更高集成度的处理硬件、轻量级的操作系统与协议，采用窄带物联网（NB-IoT）、远距离无线（LoRa）等低功耗广域网（LPWAN）技术。从安全角度看，在此类终端中加载复杂的安全逻辑是比较困难的，因此需要考虑使用其他的辅助手段来提供增强型保护，例如在汇聚/网关设备上加载安全逻辑，对来往终端的行为与流量进行监测控制、分析与过滤；使用具有高度网络隔离性的接入措施等。通过对认证协议进行优化，尽量减少网络交互的次数。对于必须使用加密的场景，需要在安全性与功耗之间进行适当的权衡，选用合适的加密算法，并根据业务特点对其进行轻量化改造，例如减少密钥长度、降低加密计算轮次、减少密钥更新次数等。低功耗的微控制单元（MCU）中很少配置硬件随机数发生器，这会极大地影响加密算法的安全性，因此需要研究软硬件结合的方法来提供足够的随机性。

3.2业务型特征。大连接：海量设备以及海量数据。在智慧城市环境监测控制、资源计量等场景，为了追求高精度的管理，连接密度往往会非常高。大连接已经成为5G的典型特征之一，这直接导致了安全威胁从攻击源与攻击目标2个方向上的规模快速变大，并在空间上呈现广域化与分散化的特征。一些特殊的问题需要进行一些针对性的设计来解决，例如信令风暴、海量设备密钥管理等。可以考虑引入聚合认证、层次化标识与密钥生成技术等。传统的防御手段主要面向移动互联网，相应的产品设计参数也是参照人的行为模式以及业务模型而配置。物联网带来的大连接、小数据包会给基础设施层面带来全新的流量模型，相应的产品设计、参数配置也需要进行调整。例如，防火墙类的设备的连接数以及小报文处理能力，需要进行优化调整。防御设备上对于过滤策略的配置，也需要针对海量设备的特点，进行更加精准的匹配，例如通过设备身份信息。

结束语

5G 技术的进一步推广和应用可以综合人工智能以及边缘计算等多种技术手段，将其进行整合，可以促进垂直行业进行数字化转型。 在这样的条件下，相关部门可以进一步强化对于有关技术的应用和开发，确保应用效果能够得到进一步提升。

参考文献

[1] 李昊. 未来5G网络切片技术关键问题论述[J]. 电子元器件与信息技术,2019(11).

[2] 夏志杰. 工业互联网的体系框架与关键技术[J]. 中国机械工程, 2018(10).

[3] 于佳. 5G网络切片及其应用[J]. 移动通信, 2019(12).