摘  要：第三代合作伙伴計(jì)劃（3rd Generation Partnership Project，3GPP）在 R16 中啟動(dòng)了 5G 局域網(wǎng)（Local Area Network，LAN）項(xiàng)目研究，該技術(shù)讓 5G 網(wǎng)絡(luò)具備了提供廣域局域網(wǎng)的能力，為5G 網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)的融合提供了助力。首先介紹了 5G LAN 的標(biāo)準(zhǔn)演進(jìn)、實(shí)現(xiàn)原理、關(guān)鍵技術(shù)，重點(diǎn)說明了 5G LAN 在家庭 / 園區(qū)網(wǎng)、企業(yè)網(wǎng)絡(luò)、工業(yè)網(wǎng)絡(luò)等的典型應(yīng)用；其次分析了 5G LAN 中基礎(chǔ)平臺、網(wǎng)絡(luò)接入、信息隔離、信息傳輸?shù)确矫娴闹饕踩珕栴}，并分別從基礎(chǔ)設(shè)備計(jì)算平臺、網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)、系統(tǒng)隔離防護(hù) 3 個(gè)方面提出了解決思路和方法，提升 5G LAN 的整體安全防護(hù)能力。

內(nèi)容目錄：

1 5G LAN 原理及關(guān)鍵技術(shù)
1.1 5G LAN 標(biāo)準(zhǔn)演進(jìn)
1.2 5G LAN 原理
1.3 5G LAN 關(guān)鍵技術(shù)
2 5G LAN 典型應(yīng)用
2.1 家庭 / 園區(qū)網(wǎng)絡(luò)
2.2 辦公網(wǎng)絡(luò)
2.3 工業(yè)互聯(lián)網(wǎng)
3 5G LAN 主要的安全問題及防護(hù)方法
3.1 主要安全問題
3.2 解決思路
4 結(jié)  語

5G 為人們的生活提供了更豐富的服務(wù)類型 。3GPP TS22.261[2] 中對 5G LAN type service 的解釋為：在住宅、辦公室、企業(yè)和工廠領(lǐng)域存在多個(gè)細(xì)分市場，5G 需要提供類似局域網(wǎng)（Local Area Network，LAN） 和 虛 擬 專 用 網(wǎng) 絡(luò)（Vitual Private Network，VPN）功能的服務(wù)，并利用 5G 特性，如高性能、遠(yuǎn)距離覆蓋、移動(dòng)性和安全性進(jìn)行改進(jìn)。

5G 是一個(gè)廣覆蓋的蜂窩通信網(wǎng)絡(luò)，所有手機(jī)終端使用自己的信道互不干擾。5G LAN 是利用 5G技術(shù)，將終端進(jìn)行“分組”，組成一個(gè)局域網(wǎng)絡(luò)。5G LAN 具有高可靠、低時(shí)延、抗干擾和高安全性的特點(diǎn)，是 3GPP R16 中最有前景的技術(shù)之一，能夠滿足企業(yè)園區(qū)網(wǎng)絡(luò)通信的便捷的管理、靈活的互通和可靠的通信 [3]3 類需求。例如，5G 網(wǎng)絡(luò)技術(shù)可按照業(yè)務(wù)需求對工業(yè)網(wǎng)絡(luò)的時(shí)延效能進(jìn)行靈活控制，使其能夠同工業(yè)行業(yè)經(jīng)營發(fā)展流程精確匹配 。

1 5G LAN 原理及關(guān)鍵技術(shù)

1.1 5G LAN 標(biāo)準(zhǔn)演進(jìn)

3GPP 在 R15 版本中首次定義了 5G LAN，并在后續(xù)版本中不斷從功能性能方面進(jìn)行增強(qiáng)和完善。R16 版本完成了基礎(chǔ)功能的定義，R17 版本增加了計(jì)費(fèi)功能，R18 版本預(yù)計(jì) 2024 年第一季度凍結(jié)，主要在以下方面進(jìn)行了改進(jìn)。

（1）提供組成員流量特征和性能監(jiān)控層面的能力開放。R18 可以獲得 5G 網(wǎng)絡(luò)中業(yè)務(wù)流和性能統(tǒng)計(jì)數(shù)據(jù)，能夠更好地了解網(wǎng)絡(luò)和業(yè)務(wù)的實(shí)時(shí)狀態(tài)，提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性，確保業(yè)務(wù)的順利運(yùn)行。

（2）支持跨會話管理功能（Session Management Function，SMF） 管 理 虛 擬 網(wǎng) 絡(luò) 組（Vitual Network Group，VN Group）。R18 引入了跨 SMF 管理 VN Group的功能，多個(gè) SMF 可以同時(shí)管理一個(gè) VN Group，提高了系統(tǒng)的可用性、容災(zāi)能力和穩(wěn)定性，能夠提供更加可靠和高效的網(wǎng)絡(luò)服務(wù)。

（3）支持跨 VN Group 通信?？梢詫⒍鄠€(gè)群組連接起來實(shí)現(xiàn)互聯(lián)互通，提高了 5G LAN 系統(tǒng)的可用性和靈活性。

（4）組管理功能增強(qiáng)。5G LAN 支持對組內(nèi)的用戶和業(yè)務(wù)流進(jìn)行用戶認(rèn)證、權(quán)限管理、服務(wù)質(zhì)量（Quality of Service，QoS）控制等精細(xì)化管理，支持實(shí)時(shí)上報(bào)組內(nèi)流量、延遲、帶寬等狀態(tài)信息，提高網(wǎng)絡(luò)的服務(wù)質(zhì)量和穩(wěn)定性。

5G LAN 持續(xù)在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、組管理 / 通信、跨 SMF 通信、組播、能力開放、監(jiān)控和狀態(tài)上報(bào)等方面進(jìn)行改進(jìn)和優(yōu)化，能夠更好地滿足多種應(yīng)用場景的多樣化網(wǎng)絡(luò)需求，為實(shí)際部署應(yīng)用奠定了堅(jiān)實(shí)基礎(chǔ)。

1.2 5G LAN 原理

5G LAN 的原理是修改統(tǒng)一數(shù)據(jù)管理（Unified Data Management，UDM）網(wǎng)元中的用戶數(shù)據(jù)，設(shè)置業(yè)務(wù)簽約信息進(jìn)行終端的 VN Group 信息（包括組標(biāo)識、組成員、數(shù)據(jù)信息等）設(shè)置。UDM 向 5G 核心網(wǎng)的管理網(wǎng)元提供終端的 VN Group 信息及訪問策略，管理網(wǎng)元基于 VN Group 信息和策略規(guī)則，將終端組成了不同的 5G LAN。5G LAN 的網(wǎng)絡(luò)結(jié)構(gòu)示意如圖 1 所示。

圖 1 5G LAN 網(wǎng)絡(luò)架構(gòu)

5G LAN 支持第 2 層（相同網(wǎng)段，互相直接訪問）和第 3 層通信（跨網(wǎng)段，借助路由），支持單播、組播和廣播業(yè)務(wù)，支持同用戶平面功能（User Platform Function，UPF）網(wǎng)元下的通信和跨 UPF 的通信，具有訪問靈活、組網(wǎng)簡單的特點(diǎn)。

1.3 5G LAN 關(guān)鍵技術(shù)

5G LAN 關(guān)鍵技術(shù)包括組管理技術(shù)、流量轉(zhuǎn)發(fā)技術(shù)、廣播 / 組播復(fù)制技術(shù)等。

1.3.1　組管理技術(shù)

5G LAN 的組管理技術(shù)是 VN Group 的劃分，將有互訪功能的用戶劃分到一個(gè) VN Group，同組成員可以進(jìn)行組內(nèi)通信，不同組成員間進(jìn)行邏輯隔離。支持運(yùn)營商統(tǒng)一進(jìn)行組管理，也支持用戶自行配置管理。

1.3.2　流量轉(zhuǎn)發(fā)技術(shù)

5G LAN 中終端之間有 3 種通信方式：同一區(qū)域內(nèi)終端間通信、不同區(qū)域終端間通信、終端與用戶數(shù)據(jù)網(wǎng)絡(luò)間的通信。因此，5G LAN 定義了 3 種組內(nèi)信息轉(zhuǎn)發(fā)方式：本地轉(zhuǎn)發(fā)、基于 N19 接口轉(zhuǎn)發(fā)和基于 N6 接口轉(zhuǎn)發(fā)。

3 種方式的數(shù)據(jù)流向和架構(gòu)示意分別如圖 2、圖 3、圖 4 所示。同一區(qū)域中的終端間通信由共用的 UPF 進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，不同區(qū)域的終端間通信由兩個(gè) UPF 通過 N19 接口進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。終端與數(shù)據(jù)中心之間的通信通過 UPF 采用 N6 接口轉(zhuǎn)發(fā)到用戶數(shù)據(jù)網(wǎng)絡(luò)。

圖 2　本地轉(zhuǎn)發(fā)

圖 3　基于 N19 接口轉(zhuǎn)發(fā)

圖 4　基于 N6 接口轉(zhuǎn)發(fā)

1.3.3　廣播、組播復(fù)制技術(shù)

5G LAN 支持廣播、組播通信，因此需要網(wǎng)絡(luò)支持能夠復(fù)制用戶面的流量，是由控制面 SMF 網(wǎng)元通過包檢測規(guī)則（Packet Detection Rule，PDR）和轉(zhuǎn)發(fā)規(guī)則（Forwarding Action Rule，F(xiàn)AR）通知 UPF復(fù)制用戶面流量的方式來實(shí)現(xiàn)。當(dāng) UPF 接收到廣播包時(shí)，將其向同組的所有終端轉(zhuǎn)發(fā)，收到組播包，將 SMF 配置的 PDR 的廣播地址改為多播地址。

２ 5G LAN 典型應(yīng)用

5G LAN 可以應(yīng)用于家庭 / 園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)中。5G LAN 可為家庭 / 園區(qū)用戶提供穩(wěn)定、快速的網(wǎng)絡(luò)連接，實(shí)現(xiàn)智能家居、物聯(lián)網(wǎng)等應(yīng)用；可以為辦公用戶構(gòu)建一個(gè)專屬的局域網(wǎng)，為多種辦公業(yè)務(wù)提供穩(wěn)定可靠的網(wǎng)絡(luò)支撐服務(wù)；可以實(shí)現(xiàn)工業(yè)設(shè)備之間的互聯(lián)和數(shù)據(jù)傳輸，成為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)承載網(wǎng)絡(luò)。

2.1　家庭 / 園區(qū)網(wǎng)絡(luò)

5G LAN 可 替 代 無 線 保 真（Wireless Fidelity，Wi-Fi），實(shí)現(xiàn)家庭 / 園區(qū)覆蓋，部署如圖 5 所示。通過 5G LAN，打印機(jī)、電腦、平板、傳感器等設(shè)備通過終端的 5G 通信模組連接到 5G 網(wǎng)絡(luò)，組成一個(gè) 5G LAN 進(jìn)行通信，同時(shí)支持與 Internet 的連接。

圖 5 5G LAN 在家庭 / 園區(qū)網(wǎng)絡(luò)的應(yīng)用

2.2　辦公網(wǎng)絡(luò)

辦公網(wǎng)絡(luò)需要解決辦公設(shè)備（包括計(jì)算機(jī)、打印機(jī)、筆記本電腦、智能手機(jī)等）之間的通信，解決辦公設(shè)備與相同 / 不同區(qū)域服務(wù)器之間的通信。5G LAN 提供移動(dòng)專線業(yè)務(wù)，可作為辦公網(wǎng)絡(luò)的主用線路或者傳統(tǒng)固網(wǎng)的備用線路。應(yīng)用部署如圖 6所示。

圖 6 5G LAN 在辦公網(wǎng)的應(yīng)用

在辦公網(wǎng)絡(luò)中，5G LAN 還可按照業(yè)務(wù)需要?jiǎng)澐譃槎鄠€(gè) VN Group/ 子網(wǎng)，實(shí)現(xiàn)各 VN Group/ 子網(wǎng)之間的信息隔離，滿足靈活組網(wǎng)的需求。

2.3　工業(yè)互聯(lián)網(wǎng)

5G LAN 支持不同群組間的信息隔離，可對不同子網(wǎng)提供差異化的 QoS 保障。工業(yè)互聯(lián)網(wǎng)中需要?jiǎng)澐肿詣?dòng)化控制、辦公自動(dòng)化、運(yùn)維等不同的子網(wǎng)，在帶寬、時(shí)延等方面均有差異化的需求。5G LAN 能夠?yàn)楣I(yè)互聯(lián)網(wǎng)的各子網(wǎng)提供差異化的網(wǎng)絡(luò)服務(wù)和靈活的授權(quán)認(rèn)證機(jī)制，較好地滿足工業(yè)互聯(lián)網(wǎng)中工業(yè)機(jī)器人、自動(dòng)導(dǎo)向車（Automated Guided Vehicle，AGV）等特定應(yīng)用的網(wǎng)絡(luò)需求。

5G LAN 在工業(yè)互聯(lián)網(wǎng)的應(yīng)用如圖 7 所示，可編程控制器（Programmable Logic Controller，PLC）等工控設(shè)備、計(jì)算機(jī)、移動(dòng)終端均可通過 5G 網(wǎng)絡(luò)、5G 通信模組接入到 5G 網(wǎng)絡(luò)，實(shí)現(xiàn)與數(shù)據(jù)中心的連接。同時(shí)，可以按照不同業(yè)務(wù)應(yīng)用劃分不同的子網(wǎng)，首先滿足組內(nèi)的高效通信需求，同時(shí)能夠?qū)崿F(xiàn)組間信息的按需安全隔離及交換。

圖 7 5G LAN 在工業(yè)互聯(lián)網(wǎng)的應(yīng)用

３ 5G LAN 主要的安全問題及防護(hù)方法

3.1　主要安全問題

5G LAN 可以廣泛應(yīng)用于家庭 / 園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)中，其中工業(yè)互聯(lián)網(wǎng)是最典型的應(yīng)用場景，此外由于在家庭 / 園區(qū)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)中已有較好的安全解決方案，因此本文基于5G LAN 建立的工業(yè)互聯(lián)網(wǎng)的安全性進(jìn)行分析。5GLAN 主要安全問題包括以下幾個(gè)方面。

3.1.1　基礎(chǔ)平臺安全問題

基于 5G LAN 的工業(yè)互聯(lián)網(wǎng)中設(shè)備種類多、數(shù)量大，包括 5G 通信網(wǎng)元設(shè)備、路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備，計(jì)算機(jī)平板電腦等終端設(shè)備，存儲重要數(shù)據(jù)的服務(wù)器、PLC 控制器、各種傳感器等。這些設(shè)備存在固有的安全弱點(diǎn)，且配置使用不當(dāng)也會帶來安全弱點(diǎn)，因此基礎(chǔ)平臺的安全問題不容忽視，其中最普遍的是操作系統(tǒng)和應(yīng)用的安全問題。

多種設(shè)備運(yùn)行不同操作系統(tǒng)，如實(shí)時(shí)操作系統(tǒng)（Real Time Operation System，RTOS）、Android、Windows、Linux、Unix 等，這些操作系統(tǒng)都不可能100% 無缺陷和漏洞。一旦操作系統(tǒng)存在的漏洞和缺陷暴露，就給入侵者進(jìn)行非法操作提供了便利。

終端設(shè)備、服務(wù)器上運(yùn)行了多種軟件應(yīng)用，應(yīng)用軟件面臨如下多種安全問題：

（1）應(yīng)用源程序中存在漏洞，被利用發(fā)起攻擊，造成業(yè)務(wù)應(yīng)用被中斷；

（2）一些源程序出于程序調(diào)試的方便，人為設(shè)置許多“后門”，一旦被黑客利用，將直接通過“后門”對系統(tǒng)和數(shù)據(jù)進(jìn)行控制；

（3）應(yīng)用系統(tǒng)身份認(rèn)證措施不強(qiáng)，使得黑客可以輕易獲得訪問應(yīng)用系統(tǒng)的權(quán)限，可能造成關(guān)鍵信息外泄；

（4）一些應(yīng)用系統(tǒng)的用戶名和口令以明文方式被傳遞，容易被截獲，從而發(fā)起對系統(tǒng)的非授權(quán)訪問；

（5）各種可執(zhí)行文件成為病毒的直接攻擊對象。由于應(yīng)用系統(tǒng)是動(dòng)態(tài)、不斷變化的，應(yīng)用的安全也是動(dòng)態(tài)的，需要檢測應(yīng)用系統(tǒng)的安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

綜上所述，5G LAN 系統(tǒng)中各設(shè)備的基礎(chǔ)平臺均存在被攻擊的風(fēng)險(xiǎn)和安全問題，基礎(chǔ)平臺的安全問題需要高度重視。

3.1.2　網(wǎng)絡(luò)接入安全問題

由于引入了 5G LAN，相對封閉的工業(yè)互聯(lián)網(wǎng)與開放的 5G 網(wǎng)絡(luò)實(shí)現(xiàn)了互聯(lián)，工業(yè)互聯(lián)網(wǎng)需應(yīng)對來自 5G 公眾網(wǎng)絡(luò)的非法接入等安全問題。同時(shí)，5G 公眾網(wǎng)絡(luò)也面臨來自工業(yè)互聯(lián)網(wǎng)的安全威脅。

3.1.3　信息隔離安全問題

通常，工業(yè)互聯(lián)網(wǎng)中的工控系統(tǒng)與 OA、ERP等業(yè)務(wù)系統(tǒng)是相對隔離的。采用 5G LAN 作為基礎(chǔ)承載網(wǎng)后，5G LAN 為工業(yè)互聯(lián)網(wǎng)的不同系統(tǒng)之間的信息訪問、獲取提供了基礎(chǔ)的通道，不同系統(tǒng)間的信息有效隔離是需要解決的安全問題。

3.1.4　傳輸安全問題

在基于 5G LAN 組建的網(wǎng)絡(luò)中，由于終端間、終端與服務(wù)器間均通過 5G 公網(wǎng)進(jìn)行連接，因此終端之間、終端與服務(wù)器之間的傳輸安全需要保護(hù)。同時(shí)，由于 5G LAN 網(wǎng)絡(luò)中的 UPF 網(wǎng)元與企業(yè)內(nèi)部路由器連接，且該連接可能是遠(yuǎn)程的，因此遠(yuǎn)程鏈路的傳輸安全問題需要重視。

3.2　解決思路

《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》指出，工業(yè)控制網(wǎng)絡(luò)采用分層、分區(qū)的架構(gòu)，構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防護(hù)體系。5G LAN 作為工業(yè)控制系統(tǒng)和用戶業(yè)務(wù)系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)，需要從以下方面提升系統(tǒng)的安全防護(hù)能力。

3.2.1　提升各設(shè)備計(jì)算平臺的安全

在基于 5G LAN 建立的工業(yè)互聯(lián)網(wǎng)系統(tǒng)中，各種設(shè)備需采用安全措施提升自身基礎(chǔ)計(jì)算平臺的安全。

UPF 等 5G 網(wǎng)元設(shè)備通常部署在運(yùn)營商 5G 網(wǎng)絡(luò)云平臺上，運(yùn)營商已經(jīng)統(tǒng)一實(shí)現(xiàn)了 5G 網(wǎng)絡(luò)云平臺的安全防護(hù)，因此可以認(rèn)為該項(xiàng)問題已解決。對于單獨(dú)部署于工業(yè)互聯(lián)網(wǎng)中的 UPF，可采用可信技術(shù)實(shí)現(xiàn) UPF 等網(wǎng)元的基礎(chǔ)軟硬件平臺安全。對于路由器和交換機(jī)等通用網(wǎng)絡(luò)設(shè)備，通過策略配置實(shí)現(xiàn)計(jì)算平臺安全。對于存儲重要數(shù)據(jù)的服務(wù)器、云平臺，采用身份認(rèn)證訪問控制、虛擬化安全、惡意代碼防范、數(shù)據(jù)備份與恢復(fù)、入侵防范和安全審計(jì)等措施實(shí)現(xiàn)計(jì)算平臺安全。

安全防護(hù)的重點(diǎn)是數(shù)量眾多的終端設(shè)備，以防止病毒、木馬通過終端設(shè)備侵入系統(tǒng)為主要保護(hù)目標(biāo)，采取的主要措施：

（1）減少不必要的功能和應(yīng)用，操作系統(tǒng)和應(yīng)用軟件都遵循系統(tǒng)最小化原則；

（2）應(yīng)用基于“白名單”和“黑名單”相結(jié)合的防護(hù)技術(shù)，在系統(tǒng)穩(wěn)定運(yùn)行后通過規(guī)則匹配、深度學(xué)習(xí)等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發(fā)現(xiàn)病毒和網(wǎng)絡(luò)攻擊等異常情況；

（3）使用端口管控工具控制外部移動(dòng)設(shè)備的接入，并對所有接入的移動(dòng)存儲設(shè)備進(jìn)行審計(jì)。

對于計(jì)算機(jī)、平板電腦等終端類設(shè)備，采用可信計(jì)算技術(shù)為終端設(shè)備建立可信的安全環(huán)境，對應(yīng)用程序提供簽名認(rèn)證機(jī)制，拒絕未經(jīng)認(rèn)證簽名的應(yīng)用軟件安裝和執(zhí)行。采用沙箱、容器、虛擬化等技術(shù)，對重要的應(yīng)用提供應(yīng)用級隔離運(yùn)行環(huán)境，保證應(yīng)用的輸入、輸出、存儲信息不被非法獲取。對移動(dòng)終端的外設(shè)等進(jìn)行管控及審計(jì)。

為 PLC 控制器設(shè)置唯一性標(biāo)識，并以此為基礎(chǔ)對設(shè)備上運(yùn)行的程序、對應(yīng)的數(shù)據(jù)集合進(jìn)行建立唯一性標(biāo)識管理；在執(zhí)行控制操作時(shí)，基于標(biāo)識進(jìn)行鑒別和認(rèn)證，對用戶角色進(jìn)行權(quán)限核查，阻止非法操作。同時(shí)可采用密碼技術(shù)，對 PLC 設(shè)備的重要數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)，對控制指令、響應(yīng)過程結(jié)果實(shí)現(xiàn)完整性保護(hù)。

對于工控終端可采用智能保護(hù)設(shè)備實(shí)現(xiàn)防護(hù)，智能保護(hù)設(shè)備是部署在各個(gè)終端節(jié)點(diǎn)上的網(wǎng)絡(luò)保護(hù)設(shè)備，防御來自外部、內(nèi)部其他區(qū)域及終端的威脅，有效地保障系統(tǒng)的安全性和可靠性。

對于各種傳感器設(shè)備，采用鑒別機(jī)制對感知設(shè)備身份進(jìn)行鑒別，并采用訪問控制列表實(shí)現(xiàn)對感知設(shè)備的訪問控制，提升傳感器設(shè)備基礎(chǔ)平臺安全。

3.2.2　提升網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)能力

5G LAN 作為基礎(chǔ)承載網(wǎng)絡(luò)，網(wǎng)絡(luò)自身的安全防護(hù)能力非常重要。主要從以下幾個(gè)方面提升 5GLAN 的網(wǎng)絡(luò)安全防護(hù)能力。

（1）在網(wǎng)絡(luò)架構(gòu)和部署方面，可以采用 UPF獨(dú)享下沉的部署方式，保證工業(yè)互聯(lián)網(wǎng)與公眾網(wǎng)絡(luò)的相對隔離。對于重要的用戶，可啟用端到端的切片，為用戶構(gòu)建相對獨(dú)立的 5G 專網(wǎng)。

（2）提高網(wǎng)絡(luò)的接入控制能力。對于接入 5GLAN 網(wǎng)絡(luò)的終端設(shè)備采用接入認(rèn)證，防止 5G 公網(wǎng)終端非法接入 5G LAN 網(wǎng)絡(luò)。可采用的措施包括：獨(dú)立建設(shè)用戶 AAA 設(shè)備，讓企業(yè)自行管理 5G LAN的用戶，只有在企業(yè) AAA 設(shè)備中的合法用戶才能接入 5G LAN 網(wǎng)絡(luò)；在 5G LAN 網(wǎng)絡(luò)中對接入終端進(jìn)行二次認(rèn)證，采用企業(yè)自主可控的二次認(rèn)證方案和設(shè)備，只有通過二次認(rèn)證的終端才能接入 5GLAN 網(wǎng)絡(luò)，防止非法用戶接入。

（3）提升各網(wǎng)絡(luò)的邊界防護(hù)能力。對于工業(yè)互聯(lián)網(wǎng)的工控網(wǎng)絡(luò)，可采用工業(yè)防火墻實(shí)現(xiàn)邊界防護(hù)，工業(yè)防火墻內(nèi)置工業(yè)通信協(xié)議的過濾模塊，支持對各種工業(yè)協(xié)議的解析及過濾，實(shí)現(xiàn)對控制指令的識別和控制。對于工業(yè)互聯(lián)網(wǎng)中的辦公網(wǎng)絡(luò)，可通過防火墻、入侵防御系統(tǒng)等實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。

（4）提升網(wǎng)絡(luò)的態(tài)勢感知和安全管理能力。通過設(shè)置部署網(wǎng)絡(luò)安全態(tài)勢感知探針，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)安全狀態(tài)，識別異常流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，提供實(shí)時(shí)的預(yù)警和報(bào)警信息，幫助用戶及時(shí)采取安全措施，保障信息系統(tǒng)的安全。還可通過安全管理中心進(jìn)行全系統(tǒng)安全態(tài)勢的集中統(tǒng)一管理，及時(shí)識別網(wǎng)絡(luò)攻擊，采取有效的應(yīng)對措施。

3.2.3　提升系統(tǒng)的隔離防護(hù)能力

基于 5G LAN 的工業(yè)互聯(lián)網(wǎng)承載多個(gè)業(yè)務(wù)系統(tǒng)，應(yīng)按照業(yè)務(wù)相對隔離、信息按需互通的原則進(jìn)行各子網(wǎng)的設(shè)計(jì)。在網(wǎng)絡(luò)層面，保證不同的業(yè)務(wù)系統(tǒng)部署在獨(dú)立的 VLAN 中，同時(shí)劃分不同的安全域，各安全域之間采取邊界防護(hù)措施，保證各業(yè)務(wù)系統(tǒng)和子網(wǎng)的獨(dú)立；在應(yīng)用和數(shù)據(jù)層面，各業(yè)務(wù)系統(tǒng)采取身份認(rèn)證、訪問控制等措施阻止非法訪問，保持應(yīng)用和數(shù)據(jù)的獨(dú)立性。

對于信息的互通需求，可通過設(shè)置隔離交換系統(tǒng)實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)之間的信息隔離交換。隔離交換系統(tǒng)在各業(yè)務(wù)系統(tǒng)進(jìn)行信息交換時(shí)進(jìn)行身份認(rèn)證、權(quán)限控制、數(shù)據(jù)安全性檢測等操作，同時(shí)能夠?qū)崿F(xiàn)交換信息的機(jī)密性和完整性保護(hù)，從而防止因?yàn)樾畔⒔粨Q對各業(yè)務(wù)系統(tǒng)產(chǎn)生安全隱患和風(fēng)險(xiǎn)。

４ 結(jié)  語

針對 5G 在垂直行業(yè)中的應(yīng)用，3GPP 提出了5G 切片、NPN、5G LAN、TSN等眾多新技術(shù)，如何通過實(shí)施這些新技術(shù)滿足垂直行業(yè)的應(yīng)用需求，實(shí)現(xiàn)與用戶原有信息系統(tǒng)、通信系統(tǒng)無縫對接，做到真正的降本增效，任重而道遠(yuǎn)。5G LAN 的出現(xiàn)為工業(yè)應(yīng)用帶來了新的機(jī)遇 [8]，讓垂直行業(yè)數(shù)字化轉(zhuǎn)型有了新方向。5G LAN 可以為垂直行業(yè)提供定制化的專屬廣域“局域網(wǎng)”，使得企業(yè)終端與企業(yè)云隨時(shí)隨地處于一個(gè)虛擬化局域網(wǎng)（或虛擬組）中，5G LAN 功能逐漸成為 5G 網(wǎng)絡(luò)在工業(yè)互聯(lián)網(wǎng)應(yīng)用中最重要的增強(qiáng)力量之一 ，必將開拓出 5G 在垂直行業(yè)中的新場景、新應(yīng)用。

本文對 5G LAN 的原理、關(guān)鍵技術(shù)、典型應(yīng)用場景進(jìn)行了論述，對 5G LAN 在工業(yè)互聯(lián)網(wǎng)這一新場景應(yīng)用時(shí)所面臨的主要安全問題進(jìn)行了分析，提出了解決思路，在設(shè)計(jì)和建設(shè) 5G LAN 系統(tǒng)時(shí)可作為參考。隨著 5G LAN 的廣泛應(yīng)用及產(chǎn)業(yè)的進(jìn)一步成熟，5G LAN 在工業(yè)互聯(lián)網(wǎng)領(lǐng)域必將得到更大規(guī)模的應(yīng)用。

引用格式：陳福莉 , 蔣耀輝 , 汪超 , 等 .5G LAN 應(yīng)用及安全探討 [J]. 通信技術(shù) ,2024,57(2):193-199.
作者簡介 >>>
陳福莉，女，碩士，高級工程師，主要研究方向?yàn)樾畔踩?br /> 蔣耀輝，男，學(xué)士，工程師，主要研究方向?yàn)樾畔踩氨Ｃ芡ㄐ牛?br /> 汪  超，男，學(xué)士，工程師，主要研究方向?yàn)樾畔⑾到y(tǒng)及安全；
王蘊(yùn)杰，男，學(xué)士，助理工程師，主要研究方向?yàn)樾畔⒐こ碳靶畔踩?br /> 虞  江，男，學(xué)士，工程師，主要研究方向?yàn)樾畔踩?br /> 選自《通信技術(shù)》2024年第2期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。