5G公網(wǎng)鐵路專用網(wǎng)絡(luò)架構(gòu)及安全部署方案

祝詠升，魏長水，張 驍

2020 年提出的“新基建”理念，有利于助推鐵路信息化建設(shè)進(jìn)入新發(fā)展階段。而在鐵路新基建發(fā)展過程中，5G 網(wǎng)絡(luò)及技術(shù)的應(yīng)用是一項重要內(nèi)容。5G技術(shù)具有多元化、寬帶化、泛在化等特點，適合于鐵路多場景應(yīng)用需要，與鐵路多種業(yè)務(wù)場景融合，能夠發(fā)揮更大優(yōu)勢，有效改善貨運(yùn)效率、客運(yùn)服務(wù)、旅客出行體驗［1］。

然而，不同的鐵路業(yè)務(wù)類型對于網(wǎng)絡(luò)安全防護(hù)級別要求也有較大差異。雖然鐵路專網(wǎng)（5G-R）具有獨(dú)占網(wǎng)絡(luò)、完全隔離、極高的可靠性和私密性等優(yōu)勢，但其高昂的建設(shè)成本和較高的運(yùn)維難度，使得5G-R 僅適用于對網(wǎng)絡(luò)安全有較高要求的業(yè)務(wù)類型。而對于安全需求一般的業(yè)務(wù)，需要有對應(yīng)的網(wǎng)絡(luò)部署方案，從而平衡網(wǎng)絡(luò)性能、安全性和建設(shè)運(yùn)維成本。

本文主要探討基于公網(wǎng)集成非公共網(wǎng)絡(luò)模式（Public Network Integrated Non-Public Network，PNI-NPN）的5G 公網(wǎng)專用部署方案特點，分析其在鐵路實際應(yīng)用場景下的可行性和應(yīng)用前景，并對可能出現(xiàn)的安全風(fēng)險加以分析。

1 5G公網(wǎng)專用部署方案

1.1 5G非公共網(wǎng)絡(luò)技術(shù)

在探討5G 公網(wǎng)專用部署方案之前，需要引入一個在3GPP R16 標(biāo)準(zhǔn)中確立的新技術(shù)，即5G 非公共網(wǎng)絡(luò)技術(shù)（NPN）。該技術(shù)是一種用于構(gòu)建垂直行業(yè)專用網(wǎng)絡(luò)的技術(shù)［2］，其主要目標(biāo)是構(gòu)建獨(dú)立于5G公網(wǎng)的專網(wǎng)。

一種運(yùn)用NPN技術(shù)的部署模式是建立物理隔離的網(wǎng)絡(luò)，該模式稱為“獨(dú)立非公共網(wǎng)絡(luò)模式（Standalone Non-Public Network，SNPN）”，也就是傳統(tǒng)意義上的“物理真專網(wǎng)”。SNPN部署模式獨(dú)立于電信運(yùn)營商的網(wǎng)絡(luò)，使用單獨(dú)的頻譜和基站，具有極高的數(shù)據(jù)安全性和網(wǎng)絡(luò)穩(wěn)定性。目前鐵路行業(yè)已有SNPN模式的5G-R專網(wǎng)，本文不再展開討論。

另一種部署模式為PNI-NPN，該模式通過劃分公共陸地移動網(wǎng)（Public Land Mobile Network，PLMN）的一個子網(wǎng)絡(luò)或者通過在運(yùn)營商公網(wǎng)上利用切片技術(shù)進(jìn)行隔離，建立邏輯隔離的網(wǎng)絡(luò)。根據(jù)PNI-NPN與公網(wǎng)資源共享程度的不同，分為“部分共享”和“端到端共享”。其中，“部分共享”的PNI-NPN網(wǎng)絡(luò)，具有較高的安全性和網(wǎng)絡(luò)穩(wěn)定性，可以做到將企業(yè)的重要數(shù)據(jù)限制在PNI-NPN網(wǎng)絡(luò)內(nèi)部，保障數(shù)據(jù)不出企業(yè)園區(qū)。同時，PNI-NPN的網(wǎng)絡(luò)架構(gòu)和PLMN 網(wǎng)絡(luò)架構(gòu)相同，可以降低PNINPN的建網(wǎng)成本［3］。與SNPN模式相比，PNI-NPN模式具有更高的性價比，適用于更多的應(yīng)用場景。5G專用網(wǎng)絡(luò)部署模式及特性對比見表1。

表1 5G專用網(wǎng)絡(luò)部署模式對比

1.2 PNI-NPN部署方案

相比獨(dú)立非公共網(wǎng)絡(luò)模式（SNPN），公網(wǎng)集成非公共網(wǎng)絡(luò)模式（PNI-NPN）擁有明顯的成本和技術(shù)優(yōu)勢。在網(wǎng)絡(luò)部署建設(shè)階段，企業(yè)無需購買整套的5G 通信設(shè)備，可以節(jié)省大量的資金投入；在網(wǎng)絡(luò)維護(hù)階段，企業(yè)可以將相關(guān)工作交由運(yùn)營商管理，借助運(yùn)營商的專業(yè)技術(shù)團(tuán)隊，對網(wǎng)絡(luò)進(jìn)行標(biāo)準(zhǔn)化運(yùn)維。同時，采用公網(wǎng)集成非公共網(wǎng)絡(luò)模式部署的企業(yè)專網(wǎng)可以直接應(yīng)用3GPP協(xié)議標(biāo)準(zhǔn)的成果和成熟的產(chǎn)業(yè)鏈，避免技術(shù)標(biāo)準(zhǔn)碎片化，能夠節(jié)約制定標(biāo)準(zhǔn)的成本［4］。PNINPN 有多種實現(xiàn)方式，根據(jù)對運(yùn)營商的依賴程度和網(wǎng)絡(luò)自建程度的不同，分為“端到端共享”和“部分共享”。

1.2.1端到端共享式

該模式基于5G公網(wǎng)的物理網(wǎng)絡(luò)，完全共享5G公網(wǎng)端到端的資源和網(wǎng)元（包括5G 基站、核心網(wǎng)、核心網(wǎng)用戶面功能（UPF）和多接入邊緣計算（MEC）等）［5］，運(yùn)營商在公網(wǎng)通過運(yùn)用QoS和切片技術(shù)，對不同業(yè)務(wù)應(yīng)用和功能進(jìn)行端到端的邏輯隔離并劃分出虛擬子網(wǎng)，使數(shù)據(jù)流和信令流相對封閉，以保障帶寬和時延相對穩(wěn)定［6］，實現(xiàn)不同業(yè)務(wù)流量之間的數(shù)據(jù)互不干擾，并且保障無法從公網(wǎng)直接訪問數(shù)據(jù)信令。與公網(wǎng)端到端共享模式架構(gòu)見圖1。

圖1 與公網(wǎng)端到端共享模式架構(gòu)

1.2.2部分共享式

與公網(wǎng)部分共享式PNI-NPN網(wǎng)絡(luò)，指5G專網(wǎng)與5G公網(wǎng)之間共享5G基站，或者共享5G基站和核心網(wǎng)控制面。對于用戶面數(shù)據(jù)安全隔離有較高要求的企業(yè)，可在虛擬專用網(wǎng)絡(luò)的基礎(chǔ)上增加部署企業(yè)專有的數(shù)據(jù)轉(zhuǎn)發(fā)網(wǎng)元UPF［4］。與此同時，根據(jù)對網(wǎng)絡(luò)的安全性和穩(wěn)定性的需求，可將專用UPF下沉部署到企業(yè)園區(qū)，并在企業(yè)專網(wǎng)內(nèi)部署MEC平臺，形成具有邊緣計算能力的UPF混合專網(wǎng)，即可通過對特定業(yè)務(wù)流量進(jìn)行端到端的分流，可以在園區(qū)本地完成數(shù)據(jù)處理，從而使業(yè)務(wù)數(shù)據(jù)、信令、用戶隱私信息等需要做保密防護(hù)的數(shù)據(jù)不出園區(qū)，實現(xiàn)對數(shù)據(jù)的高度安全隔離。與公網(wǎng)部分共享模式架構(gòu)見圖2。

圖2 與公網(wǎng)部分共享模式架構(gòu)

2 鐵路5G公網(wǎng)專用部署方案

在5G 公網(wǎng)部署鐵路專用網(wǎng)可考慮采用PNINPN部署方案，構(gòu)建切片資源共享專用和獨(dú)享專用2種網(wǎng)絡(luò)架構(gòu)，以滿足對網(wǎng)絡(luò)和業(yè)務(wù)的不同需求。

2.1 共享專用網(wǎng)絡(luò)

鐵路5G 共享專用網(wǎng)絡(luò)部署方案采用“與公網(wǎng)端到端共享”模式，各類終端通過5G 共享專用無線接入網(wǎng)絡(luò)，對用戶身份、終端信息、信令、接口等進(jìn)行終端準(zhǔn)入識別，運(yùn)營商根據(jù)鐵路不同業(yè)務(wù)的用網(wǎng)需求，采用切片的方式對公網(wǎng)進(jìn)行邏輯隔離，劃分出多個虛擬子網(wǎng)，使每個虛擬子網(wǎng)中的數(shù)據(jù)流和信令流相對封閉，保證無法從公網(wǎng)對其訪問。

該方案中的網(wǎng)絡(luò)資源大量依賴運(yùn)營商，包括基站、公網(wǎng)核心網(wǎng)、UPF、MEC 等，虛擬子網(wǎng)通過切片技術(shù)軟劃分，具有建設(shè)運(yùn)營成本低、網(wǎng)絡(luò)覆蓋面廣、運(yùn)營效率高等優(yōu)點，以及比公網(wǎng)更安全的加密和軟隔離防護(hù)。但由于核心網(wǎng)仍然基于運(yùn)營商公網(wǎng)搭建，其網(wǎng)絡(luò)質(zhì)量容易受公網(wǎng)影響，仍有一定的安全風(fēng)險［7］，適用于鐵路行業(yè)中對數(shù)據(jù)安全和網(wǎng)絡(luò)時延要求相對較低，并且需要在廣袤區(qū)域覆蓋網(wǎng)絡(luò)的業(yè)務(wù)類型。鐵路5G共享專網(wǎng)架構(gòu)見圖3。

圖3 鐵路5G共享專網(wǎng)架構(gòu)

鐵路企業(yè)可利用公網(wǎng)運(yùn)營商提供的網(wǎng)絡(luò)切片定制、規(guī)劃部署、運(yùn)行監(jiān)控等各種開放能力，實現(xiàn)鐵路通信終端的連接管理、設(shè)備管理、業(yè)務(wù)管理、專用網(wǎng)絡(luò)切片管理、認(rèn)證和授權(quán)管理等創(chuàng)新業(yè)務(wù)，更好地支撐對智能鐵路的運(yùn)維管理。

依托運(yùn)營商現(xiàn)有的5G 公網(wǎng)全國范圍內(nèi)大面積覆蓋的優(yōu)勢，滿足鐵路廣域場景下移動網(wǎng)絡(luò)接入需求。其中，鐵路正線應(yīng)用場景是鐵路行業(yè)最具代表性的廣域應(yīng)用場景，可以為旅客服務(wù)、視頻傳輸、遠(yuǎn)程指揮、周界入侵、災(zāi)害預(yù)警等業(yè)務(wù)提供穩(wěn)定連續(xù)的網(wǎng)絡(luò)環(huán)境。

2.2 獨(dú)享專用網(wǎng)絡(luò)

鐵路5G 獨(dú)享專用網(wǎng)絡(luò)部署方案采用與公網(wǎng)部分共享模式，通過將UPF 下沉部署到鐵路企業(yè)本地園區(qū)，使本地的數(shù)據(jù)傳輸時延大幅降低，為用戶提供更低時延、更優(yōu)質(zhì)量的網(wǎng)絡(luò)服務(wù)和云計算能力［6］。另外，可根據(jù)鐵路不同應(yīng)用場景的需求增加部署MEC 平臺，并對硬件配置、功能模塊等進(jìn)行靈活定制，滿足鐵路多種業(yè)務(wù)的個性化需求。

與共享專用網(wǎng)絡(luò)相比，鐵路5G 獨(dú)享專用網(wǎng)絡(luò)方案具有更低的端到端時延及更高的數(shù)據(jù)安全隔離度，適用于對時延敏感且對安全性有較高要求的鐵路業(yè)務(wù)。鐵路5G獨(dú)享專網(wǎng)架構(gòu)見圖4。

圖4 鐵路5G獨(dú)享專網(wǎng)架構(gòu)

由于5G 獨(dú)享專用網(wǎng)絡(luò)部署方式可將UPF 下沉部署到企業(yè)園區(qū)并且有MEC 的加持，使得該部署方式具有極低的網(wǎng)絡(luò)時延和較高的數(shù)據(jù)安全性［7］。鐵路具有眾多局域應(yīng)用場景（如車站、站場、工地、車間等），適合部署獨(dú)享專用網(wǎng)絡(luò)，其業(yè)務(wù)類型主要有采集類、會話類和流媒體類，每種類型的業(yè)務(wù)對網(wǎng)絡(luò)時延和安全性要求各有側(cè)重。以下業(yè)務(wù)可考慮采用鐵路5G獨(dú)享專用網(wǎng)絡(luò)架構(gòu)。

1）地質(zhì)災(zāi)害監(jiān)測、動車組車載檢測（WTD）、客車運(yùn)行安全監(jiān)控（TCDS）等采集類業(yè)務(wù)。

2）鐵路車站客運(yùn)信息交互、客運(yùn)乘務(wù)管理等會話類業(yè)務(wù)。

3）面向旅客的列車多媒體服務(wù)等流媒體類業(yè)務(wù)。

4）道岔鉆孔作業(yè)、智能化鋼軌焊接作業(yè)、遠(yuǎn)程指揮調(diào)度現(xiàn)場施工作業(yè)等控制類業(yè)務(wù)。

另外，對于列車控制相關(guān)業(yè)務(wù)，由于其對網(wǎng)絡(luò)時延和數(shù)據(jù)安全性有極高的要求，可考慮通過5G-R專網(wǎng)承載。

3 安全需求

5G網(wǎng)絡(luò)安全架構(gòu)延續(xù)了4G網(wǎng)絡(luò)安全域分層的安全架構(gòu)設(shè)計，其接入網(wǎng)與核心網(wǎng)的邊界清楚，空口和數(shù)據(jù)傳輸方面也延續(xù)了4G 網(wǎng)絡(luò)的安全防護(hù)措施［8］。同時，5G 網(wǎng)絡(luò)在廣播消息保護(hù)、偽基站檢測，以及對數(shù)據(jù)保密性和完整性等方面均進(jìn)行了安全升級。

由于鐵路5G公網(wǎng)專用網(wǎng)的基站、5G核心網(wǎng)控制面仍然共享運(yùn)營商公網(wǎng)資源，因此，鐵路5G 公網(wǎng)專用網(wǎng)的安全需求主要圍繞網(wǎng)絡(luò)邊界安全以及自建MEC兩大方面考慮。

3.1 網(wǎng)絡(luò)邊界安全

鐵路5G 公網(wǎng)專用網(wǎng)的網(wǎng)絡(luò)邊界安全防護(hù)重點主要為終端接入安全和鐵路內(nèi)外網(wǎng)數(shù)據(jù)傳輸安全兩方面。安全防護(hù)平臺應(yīng)該由在鐵路外網(wǎng)接入邊界與鐵路園區(qū)UPF 的安全防護(hù)管理平臺、鐵路5G 終端移動可信接入平臺和鐵路外網(wǎng)與內(nèi)網(wǎng)之間的數(shù)據(jù)安全交換平臺三部分組成。下面從接入邊界安全和數(shù)據(jù)傳輸安全兩方面分析網(wǎng)絡(luò)邊界安全防護(hù)需求。

3.1.1接入邊界安全需求

業(yè)務(wù)接入邊界需要對業(yè)務(wù)層5G 終端與用戶進(jìn)行認(rèn)證與安全防護(hù)，確保通過5G 公網(wǎng)專用網(wǎng)接入鐵路內(nèi)網(wǎng)的5G 設(shè)備及操作人員身份可信和行為可信。在鐵路外服網(wǎng)部署移動可信接入平臺，為鐵路5G公網(wǎng)專用網(wǎng)業(yè)務(wù)提供應(yīng)用層安全可信接入通道。

針對車載設(shè)備和啞終端接入場景，可通過部署移動可信接入平臺對5G 公網(wǎng)專用網(wǎng)終端進(jìn)行持續(xù)的安全信任評估和動態(tài)訪問控制，對終端的數(shù)據(jù)傳輸請求、數(shù)據(jù)長度、請求頻次、請求連接數(shù)、接入時段等要素進(jìn)行綜合評判，并對數(shù)據(jù)傳輸中常見的網(wǎng)絡(luò)安全攻擊進(jìn)行感知和識別，包括SQL 注入、跨站攻擊、網(wǎng)絡(luò)爬蟲、重放攻擊，以及異常和無效的訪問請求等。當(dāng)平臺發(fā)現(xiàn)安全攻擊時，可對請求進(jìn)行攔截，或者終止當(dāng)前會話，也可以使用黑白名單機(jī)制來控制后續(xù)權(quán)限，保護(hù)后臺業(yè)務(wù)服務(wù)器的安全。

按照訪問主體和資源之間的關(guān)系，移動可信接入平臺數(shù)據(jù)平面的訪問代理重點考慮采用與被保護(hù)資源相結(jié)合的部署模式，例如設(shè)備代理+網(wǎng)關(guān)、資源門戶、設(shè)備應(yīng)用沙箱等模式，搭建安全的訪問通道，對訪問請求進(jìn)行分流?？刂破矫娴脑L問控制引擎負(fù)責(zé)指揮，按照先認(rèn)證后連接的原則，建立、維持有效的連接，實施對內(nèi)部資源的安全訪問控制。在此過程中，持續(xù)開展安全監(jiān)控評估，對應(yīng)用場景中出現(xiàn)的安全威脅及時響應(yīng)，從而降低風(fēng)險。

3.1.2數(shù)據(jù)傳輸安全需求

鐵路5G 數(shù)據(jù)交換平臺部署在鐵路安全平臺之上，由于鐵路內(nèi)網(wǎng)是與其他網(wǎng)絡(luò)嚴(yán)格隔離的鐵路專網(wǎng)，安全數(shù)據(jù)交換平臺需要為其提供數(shù)據(jù)交換、訪問控制、安全檢測、安全審計等能力，并為部署在鐵路內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)與鐵路5G 公網(wǎng)終端應(yīng)用之間提供安全數(shù)據(jù)交換能力。數(shù)據(jù)交換能力支持主流數(shù)據(jù)庫應(yīng)用，多種應(yīng)用層協(xié)議的跨網(wǎng)數(shù)據(jù)交換，以及基于GB/T 28181 等標(biāo)準(zhǔn)視頻協(xié)議的數(shù)據(jù)流傳輸及服務(wù)請求，適合于各類復(fù)雜的業(yè)務(wù)場景。

訪問控制采用基于角色/業(yè)務(wù)數(shù)據(jù)類型/任務(wù)的安全訪問控制，防止非法的主體進(jìn)入受保護(hù)的資源，允許合法用戶訪問受保護(hù)的資源，防止合法的用戶對受保護(hù)的資源進(jìn)行非授權(quán)的訪問。

安全檢測采用深度應(yīng)用層過濾檢測技術(shù)，針對支持的業(yè)務(wù)數(shù)據(jù)類提供全面的內(nèi)容過濾和安全檢測功能，針對HTTP、FTP、數(shù)據(jù)庫、郵件及文件交換等應(yīng)用，提供SQL 過濾、URL 過濾、關(guān)鍵字過濾、Cookie 過濾、文件類型檢查、病毒查殺、Flood 攻擊防護(hù)、入侵檢測等高級防護(hù)策略，進(jìn)一步提升數(shù)據(jù)交換的安全性。

與此同時，鐵路5G 數(shù)據(jù)交換平臺還應(yīng)該提供豐富的可視化日志審計功能，通過詳細(xì)的記錄分析，將數(shù)據(jù)傳輸記錄進(jìn)行抽取、融合，形成獨(dú)特的數(shù)據(jù)軌跡報表，記錄數(shù)據(jù)從源到目的的詳細(xì)信息，并可根據(jù)某一數(shù)據(jù)元素追查數(shù)據(jù)來源，為數(shù)據(jù)審查提供強(qiáng)有力的依據(jù)及保障。

3.2 MEC安全

MEC 安全分為MEC 系統(tǒng)安全和MEC 安全資源池2部分。

MEC 系統(tǒng)安全主要保障MEC 平臺自身的安全。由于MEC 平臺通常是由鐵路企業(yè)與電信運(yùn)營商和網(wǎng)絡(luò)設(shè)備供應(yīng)商合作建設(shè)［9］，因此MEC 系統(tǒng)的管理、運(yùn)維和安全防護(hù)等具體分工需要鐵路企業(yè)與合作方協(xié)商確定。

MEC安全資源池主要為MEC平臺上承載的鐵路APP 應(yīng)用提供網(wǎng)絡(luò)安全資源，為部署在MEC 平臺上的鐵路業(yè)務(wù)系統(tǒng)提供安全防護(hù)能力和安全資源，實現(xiàn)鐵路信息網(wǎng)絡(luò)全業(yè)務(wù)縱深安全防御。MEC 安全資源池可以采用虛擬化安全組件的形式部署在MEC 平臺上，為MEC APP 提供所需的安全資源［10］，包括防火墻、服務(wù)器殺毒/微隔離/入侵防御、威脅感知探針、日志審計、網(wǎng)絡(luò)審計、堡壘機(jī)、密碼機(jī)等。

4 結(jié)論

鐵路各種業(yè)務(wù)應(yīng)用場景多樣，對網(wǎng)絡(luò)需求和安全要求各不相同，雖然5G-R 專網(wǎng)具有獨(dú)享帶寬、低延時、物理隔離、極高的定制化自由度和數(shù)據(jù)安全防護(hù)能力等優(yōu)勢，但受限于頻譜資源、帶寬上限、建設(shè)運(yùn)維成本等因素，使5G-R 更加適合對于安全生產(chǎn)敏感的業(yè)務(wù)類型。對于廣域場景以及對數(shù)據(jù)安全要求相對較低的業(yè)務(wù)，則可考慮部署基于5G 公網(wǎng)集成非公共網(wǎng)絡(luò)技術(shù)的共享專網(wǎng)或獨(dú)享專網(wǎng)，滿足相應(yīng)的鐵路業(yè)務(wù)需求，以達(dá)到功能與成本的平衡。

本文基于鐵路實際業(yè)務(wù)場景，對5G 網(wǎng)絡(luò)應(yīng)用及數(shù)據(jù)安全的不同需求，提出適用于廣域部署且有一定安全需求的共享專網(wǎng)部署模式，以及適用于低時延且有較高安全需求的MEC 結(jié)合下沉UPF 的獨(dú)享專用部署模式，2 種網(wǎng)絡(luò)部署模式可為后續(xù)鐵路5G公網(wǎng)及公專融合部署設(shè)計提供借鑒。隨著5G網(wǎng)絡(luò)應(yīng)用的持續(xù)深入，鐵路行業(yè)將與運(yùn)營商和網(wǎng)絡(luò)安全企業(yè)開展深度合作，共同探討5G 組網(wǎng)及安全設(shè)計方案，并持續(xù)優(yōu)化改進(jìn)5G 網(wǎng)絡(luò)安全架構(gòu)及防護(hù)策略，最終構(gòu)建更加安全可靠的鐵路5G 網(wǎng)絡(luò)，保障鐵路業(yè)務(wù)穩(wěn)定、高效、安全地運(yùn)營。