5G 赋能智能制造的安全防护技术研究

摘要：以 5G 为代表的新一代信息通信技术与工业经济深度融合，为工业乃至产业数字化、网络化、智能化的发展提供了新的实现途径。然而该技术在智能制造行业的具体应用中，往往面临着诸多安全问题。针对易实施、安全风险高的网络攻击，以加强终端接入安全和数据传输安全为出发点，选择在私有性较高的 5G 独立专网的基础上，研究基于认证鉴权和加密传输的 5G 安全防护技术，对降低信息泄露、丢失等风险以及提高物联网应用的安全性具有十分重要的现实意义。

内容目录：

1 5G+ 物联网安全风险分析
2 5G 专网技术
2.1 虚拟专网
2.2 混合专网
2.3 独立专网
3 5G 物联网安全防护技术
3.1 认证和鉴权
3.2 加密传输
4 结 语

随着“工业 4.0”概念的提出，制造业的竞争格局发生重大调整，智能制造作为一种新的生产模式应运而生。其中，制造物联网技术将制造过程与物联网有效结合，可以实现对各生产环节的动态监测，其实现是智能制造领域的重要基础。此外，凭借大带宽、低时延和广连接的特性，以第 5 代移动 通 信 技 术（5th-Generation Mobile Communication Technology，5G）为代表的新一代信息通信技术为提高生产自动化程度及效率提供了可能 ，也为工业乃至产业数字化、网络化和智能化发展提供了新的实现途径。特别是在制造产业领域，5G 技术逐渐成为整个行业转型发展的核心技术，同时也将为“中国制造 2025”和“工业 4.0”提供关键支撑。

然而，随着新兴技术的发展，新的安全问题也相继出现，如：业务数据被窃取、合法设备被非法控制、合法身份被冒用等，这些安全问题在特定的时刻将会造成难以预估的后果，因此，对 5G 应用在智能制造领域的安全防护技术进行研究必不可少。如文献 [4] 提出了构建 5G 物联网终端安全防护能力和方案的建设技术和思路；王晓阳提出了基于切片安全隔离技术，以此来降低网络被侵害的概率；李博等人则分析了 5G 在大规模机器通信场景下所面临的安全问题，并阐述了物联网纵深安全体系。

本文选择以 5G 独立专网建设为基础，结合终端认证鉴权、用户身份认证、数据传输加密等安全防护技术，实现了数据在企业内网合规高效地流转，进而提升了 5G 物联网的安全性，以期保障企业业务的机密性。

1、5G+ 物联网安全风险分析

在 5G 技术的牵引下，物联网有了新的发展动能，终端连接总数持续稳步增长，但同时物联网安全攻击数量也空前增长，“5G+ 物联网”信息安全存在众多潜在风险，其安全体系亟需持续发展完善。

按照网络架构层次划分，信息安全风险主要包括可能受到的物理攻击、网络攻击、软件攻击以及加密攻击 4 类。

（1）物理攻击。物理攻击主要针对物联网系统中的硬件设备，包括但不限于射频干扰、电磁干扰、节点干扰、篡改攻击、恶意节点注入、设备物理损毁和恶意代码注入等行为。

（2）网络攻击。网络攻击主要针对物联网系统中的网络，导致系统的机密性、完整性、可控性、真实性、抗抵赖性等受到不同程度的破坏，其包含4 个基本类型：信息泄露攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击。

（3）软件攻击。软件攻击中攻击者通过病毒、蠕虫、木马、勒索软件、间谍软件和广告软件等对物联网系统进行攻击，主要包括钓鱼式攻击、病毒 /蠕虫 / 特洛伊木马以及软件拒绝服务攻击。

（4）加密攻击。加密攻击通过对物联网系统中的加密技术进行破坏来获取私钥，主要包含信道攻击以及密码分析攻击。

上述可能受到的攻击使得现阶段物联网感知数据在传输过程中产生数据抗捕获性能较差、数据传输安全性较低等问题。如文献 [9] 中对较为常见的 5G 客户前置设备（Customer Premises Equipment，CPE）进行了安全性测试分析，发现测试设备存在一些常见的漏洞和安全问题，如未授权访问、弱口令和跨站脚本攻击等，同时，还注意到设备的网络流量中存在一些异常的数据，可能涉及恶意软件或攻击行为。文献 [10] 指出，无线接口劫持会导致合法终端接入非法网络，泄露敏感信息；如果 5G 网络身份认证能力不足，非法物联网终端可能接入业务系统，泄露或篡改业务数据，并导致物联网业务失效。

针对其中更易实施、安全风险更高的网络攻击，文中从 5G 网络建设、认证鉴权和数据传输加密等方面，建立信息安全风险防范措施，以保障“5G+物联网”技术体系的应用价值。

2、5G 专网技术

专用 5G 网络是可以使用授权频谱、非授权频谱或共享频谱的非公共移动网络 。专用 5G 网络可以在指定区域内实现无线信号覆盖，为特定用户在运营、管理以及生产和调度等环节提供专用无线通信服务。相较于公众网络，专用网络的性能更强，可靠性更高，安全性更好，且其具有需求易定制、数据不出厂区和性能稳定等优势。

在组网方式上，5G 网络包括独立组网、混合组网和虚拟专网 3 种专网组网模式 ，3 种组网方式的不同之处主要区别于无线网和核心网的共用程度。

核心网包含多个功能单元：接入和移动管理功能（Access and Mobility Management Function，AMF）、会话管理功能（Session Management Function，SMF）、用户面管理功能（User Plane Function，UPF）、统一数据管理（Unified Data Manager，UDM）、鉴权服务器功能（Authentication Server Function，AUSF）等网元。

AMF 为接入和移动性管理功能实体，主要负责注册、接入、移动性管理、鉴权及短信等功能；SMF 为会话管理功能实体，最主要的功能包括会话的建立、修改、释放；UPF 为用户面功能实体，最主要的功能包括负责数据包的路由转发、服务质量流映射。

5G 核心网通常采用服务化架构设计，网元功能实现了模块化解耦，AMF 和 SMF 分离，AMF 和SMF 的部署可逐层级分开。同时，5G 承载网与控制面会进行功能分离，UPF 和 SMF 的部署层级也能够分开；此外，AMF 和 UPF 也可根据对应的业务需求、信令、话务流量和传输资源进行灵活部署。

相较于独立专网，混合专网和虚拟专网在建设成本、部署周期、运维成本等方面都有较大的优势。依据网络定制化程度，3 种 5G 专网的总体部署方式对比如表 1 所示。

表 1  专网部署方式对比

2.1　虚拟专网

5G 虚拟专网是完全基于 5G 公共网络资源，共享公用基站和核心网，采用服务质量或切片技术，实现从无线基站到核心网完全共享的逻辑专网，如图 1 所示。在这种场景下，用户会将业务所需运算、存储和网络能力部署在云端服务器上，本地仅保留网络设备、部分安全设备以及业务所需的内部服务器，以降低部署成本，并满足一定的安全需求。

图 1 5G 虚拟专网

2.2　混合专网

5G 混合专网是通过 5G 数据分流的技术，将核心网的物联网相关功能从运营商的核心网下沉到用户专网侧，如图 2 所示。这种网络部署方式是部分独享、部分与公众网络共享的模式，混合组网最典型的组网方式是“核心网数据面独享，而控制面共享”的混合组网模式，即核心网的网元 UPF 为行业用户私有化部署，无线基站、核心网控制面网元根据需求灵活部署的方式 。

图 2 5G 混合专网

相对于虚拟专网和独立专网，混合组网模式在最大限度节约成本的条件下，不仅能够实现用户业务数据本地卸载，还保留了数据面的隔离性，进而能够实现数据本地处理，避免公众网络故障时对用户业务的影响。

2.3　独立专网

5G 独立专网是指通过专用基站、专用核心网等独享专网设备，采用专用频段完成网络建设，与公共 5G 网络进行物理隔离，从而达到数据信息高度保密的效果，如图 3 所示。

图 3 5G 独立专网

文献 [16] 中为满足军工客户要求，采用了基站独享及核心网部分网元全量下沉到厂区的部署方式，并且在厂区内部也实现本地纳管服务，使得与运营商公网实现了完全的物理隔离，形成了 5G 独享专网，从而保障无任何数据从生产区域流出。

3、5G 物联网安全防护技术

通常 5G 网络的独立程度越高、用户单位的业务数据就越保密，本文以 5G 独立专网建设为基础，研究面向 5G 物联网的安全防护技术。

制造车间包含大量异构信息的复杂系统，如图 4所示。以图 4 为例，针对工业现场机器设备类型和设备接口多样化的现状，采用支持该类主流协议的工业网关以实现异构网络的连接，对工业现场各种机器和设备接口进行统一管理，实现可靠接入，将采集的数据进行底层实时融合以及协议转换。

在图 4 所示的场景中，5G 物联网安全最主要包括接入安全和数据安全 。

图 4　基于 5G 的智慧制造车间场景

（1）接入安全。提供 5G 终端接入的网络准入和访问控制能力，多重的接入控制能确保只有合法的终端和合法的终端用户才能接入 5G 网络。

（2）数据安全。基于数据不出厂区的原则，从 5G 独立专网组网方式上保证业务数据的安全，并通过加密等手段做到数据不泄露。

3.1　认证和鉴权

针对 5G 终端的接入安全，整体包含 3 个方面：5G 终端主认证接入核心网、5G 终端二次鉴权认证和 5G 终端用户认证访问业务。

3.1.1 5G 终端主认证接入核心网

5G 终端主认证是指接入核心网，整体工作流程如下：

（1）插有 SIM 卡的 5G 终端首先向 5G 网络发起注册流程，通过基站和承载网向 5G 核心网控制面发起注册流程。

（2）终端通过注册流程会对 5G 核心网进行鉴权，验证 5G 网络的合法性，核心网也会对用户进行鉴权，来验证终端是否合法，双向鉴权以保证用户和 5G 网络之间的相互安全。

（3）若用户在核心网中已经签约，则核心网会通过用户注册请求，完成注册；如果用户未在核心网签约，核心网则会拒绝用户的接入请求。

3.1.2 5G 终端二次认证接入内网

为了支持二次认证等终端安全特性，需要在企业部署认证、授权、计费（Authentication、Authorization、Accounting，AAA）服务器，并和核心网的 SMF 模块连接。二次鉴权认证流程具体如下：

（1）终端发送上网请求；

（2）SMF 接到上网请求后，发送自主接入认证请求；

（3）AAA 接收到认证请求后，进行用户的信息校验；

（4）用户信息通过校验后，AAA 将认证结果答复给 SMF；

（5）SMF 建立会话连接，终端正常上网。

3.1.3 5G 终端用户认证访问业务

对 5G 终端进行认证鉴权入网后，在多人共用5G 终端的场景下，仍需要部署身份认证系统，对使用终端的用户做身份认证后，方可允许其访问特定的业务，如图 5 所示。

图 5　身份认证和访问控制

5G 终端用户认证访问业务具体操作流程如下：

（1）用户点击身份认证 App 发起认证过程；

（2）身份认证 App 向身份认证系统发起证书认证，身份认证系统验证身份合法之后返回身份令牌；

（3）用户点击应用 App，访问应用；

（4）应用 App 发起单点登录流程，向身份认证 App 请求获取应用对应的编码；

（5）身份认证 App 携带获取的令牌信息，向身份认证系统请求编码；

（6）身份认证系统验证令牌合法性之后，产生编码并返回至身份认证 App；

（7）身份认证 App 向应用 App 返回编码，用于单点登录；

（8）应用 App 将编码传递至应用系统；

（9）应用系统携带编码向身份认证系统请求访问票据信息，后者验证票据的合法性后返回用户信息；

（10）应用单点登录成功，可以访问业务系统。

3.2　加密传输

为防止企业数据泄露，可以从网络层和应用层2 个层面实现对数据的端到端加密，如图 6 所示。

图 6　端到端数据加密

应用层加密如图 6 中的 c 和 h 部分所示，需要在终端侧加密，在企业的应用服务器侧进行解密。

网络层加密如图 6 中的 a、b、d、e、f、g 部分所示，可以根据实际业务需求进行选择，包括：

（1）a 表示其他非 5G 终端连接 CPE 设备，需依赖 CPE 的加密功能。

（2）b 和 g 表示 5G 终端到核心网防火墙进行IPSEC 加密（5G 终端要具备 IPSEC 能力）。

（3）d 表示 5G 终端通过空口传输的业务和信令数据，流经空口信令面和用户面加密实现安全。空口加密需要终端和基站同时支持才能生效。

（4）e 表示基站—核心网之间的业务数据传输，属于机房内的可信网络，一般可将该段路径视为内部可信网络，可以不进行加密，如果需要，则可以采用基站到核心网之间的 IPSEC 加密方案。

（5）f 表示核心网—内网之间的业务数据，可以采用 IPSEC 加密保护，以核心网侧的防火墙作为起点，终结在企业内网网关，IPSEC 密钥由企业用户掌握。

通过分析整个通信链路中的数据传输风险，信号泄露最大可能存在于 5G 终端到基站的空口传输过程，因此最少需要满足空口加密过程 d，以此来保护数据不被窃密。

4、结 语

随着 5G 时代的到来，物联网容纳量大增，网络内可接入设备的种类和数量越来越多，真正使“万物互联”成为可能。通过对 5G 安全防护技术的研究，包括专网部署以及终端接入安全和数据安全的设计，大大提高了 5G 工业互联网的安全性，为 5G物联网在军事工业领域的应用提供了思路。

引用格式：康亚利 . 5G 赋能智能制造的安全防护技术研究 [J]. 通信技术 ,2024,57(4):423-428.
作者简介 >>>
康亚利，女，硕士，工程师，主要研究方向为信息安全、智能制造等。
选自《通信技术》2024年第4期（为便于排版，已省去原文参考文献）

重要声明：本文来自信息安全与通信保密杂志社，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。

相关阅读：公钥基础设施 (PKI) 助力物联网安全