5G安全在智慧地铁领域的技术研究

中国移动集团

0 引言

5G网络的商业环境、应用场景、技术形态、网络环境、监管要求等发生了很大的变化，从一个单一主体的网络向多主体的网络发展，从面向人的连接扩展到面向机器连接。在5G行业应用带来生产效率和产品质量提升的同时，也带来了新的安全挑战，构建健全的网络安全防护体系必不可少。

1 5G安全管理需求与智慧地铁领域的安全风险分析

5G网络为提高系统的灵活性和效率，引入新的技术，如NFV、网络切片、边缘计算、能力开放等，使得网络的信任关系多样化、架构和层次复杂化、边界模糊化。由于5G网络的引入打破了原有相对封闭的网络环境，地铁业务及管理数据与运营商的网络数据汇聚在MEC上，基于数据安全的考虑，要求数据不出园区。为此，新技术、新特性的引入以及客户新的需求，为5G+智慧地铁网络安全带来了新的挑战：

（1）设备安全：地铁各子系统的各种设备在5G环境下，联网更加便捷，组网更加灵活，面对终端设备“智能化、网络化、扁平化”的发展趋势，需要5G网络在网络层面做好设备的接入认证管理，否则将会导致通过终端设备进行网络入侵成为可能。

（2）网络安全：地铁网络向扁平化、无线化方向转变，并引入了边缘计算，组网方式更加灵活，网络拓扑的变化更加多样和复杂，接入的终端种类更加丰富，在5G环境下，同样面临传统组网方式下的各类网络安全问题，包括系统非法入侵、信息泄露、恶意程序、DDOS攻击等。

（3）控制安全：由于地铁控制系统对实时性和可靠性要求较高，开放的无线网络难以保障超低时延业务所需要的时延与时延抖动。

（4）应用安全：在5G环境中，通过能力开放，构建统一开放的网络能力平台，通过标准API接口，把能力开放给地铁应用，例如地铁站室内高精度定位能力。因此，5G网络的能力开放的安全性将会影响应用的安全性，如果能力开放接口协议设计不当，存在漏洞，则可能会被攻击，造成应用无法正常运行，或者用户敏感信息泄露。

（5）数据安全：地铁业务应用复杂，数据种类和保护需求多样，数据流动方向和路径复杂，不仅对网络的可靠、时延要求很高，而且对重要地铁业务数据以及用户数据保护的难度也会增大。在5G环境下，通过在边缘部署MEC节点来减少数据传输时延，而MEC节点由于靠近地铁站边缘部署，在防护能力投入上低于传统中心机房的防护投入，导致其遭到攻击影响到数据的安全性的风险增加。

基于上述对5G网络本身安全风险分析，在智慧地铁建设应用中，需要通过网络切片安全隔离、边缘计算（MEC）安全防护、端到端数据安全保护来5G+智慧地铁安全运行。

（1）网络切片安全隔离需求：5G网络切片为5G+智慧地铁不同业务提供差异化安全服务,不同的网络切片承载不同的5G+智慧地铁业务，实现不同类型业务之间的逻辑隔离，满足控制业务端到端超低延时和高可靠性要求。同时切片的特殊认证和PDU会话创建时的DN-AAA二次认证能防止非法终端接入到切片中。

（2）边缘计算（MEC）安全防护需求。MEC部署于移动网络的边缘，提供超低时延的同时也能够降低高带宽业务的数据流对核心网的压力。MEC将承载重要地铁业务数据流量，同时作为边缘云还会承担相关的地铁业务以及开放网络能力，例如室内高精度定位业务，所以同样面临传统的各类网络安全问题，考虑性能、成本、部署灵活性要求等多种因素，还需要综合增强MEC的安全防护能力，包括物理环境、网络、系统及平台、业务与应用等安全防护。

（3）端到端数据安全保护需求。网络是基础，数据是核心，安全是保障。5G+智慧地铁数据将从传统的少量、单一、单向数据逐步发展为大量、多维、双向数据，5G+智慧地铁用户多样化、设备多样化、业务多样化、平台多样化的网络发展趋势，使得地铁业务数据在用户、设备、业务、平台之间持续动，导致传统网络安全边界模糊，其遭到攻击影响到数据的安全性的风险增加。因此，在5G环境下，需要通过网络切片实现数据之间的安全隔离，为各类不同的数据提供差异化的安全保障能力，同时还需要对用户进行接入认证和访问控制，并对数据的存储和传输进行加密。

2 5G网络在智慧地铁领域的安全技术

为应对5G引入后带来的安全威胁，以纵深防御思想为核心，使用先进设计理念，采取专业安全设备，形成完善的综合网络安全防护体系。进而避免来自各种目的的攻击、干扰和非法访问。

总体安全体系建设技术原则包括：

外部进出5G边缘计算区的流量都必须进行清洗和处理，将所有不

安全的或不符合安全规则的数据包屏蔽，以杜绝越权访问，防止各类非法攻击行为。

5G地铁业务流汇聚在5G边缘计算区，根据业务需求通过专线进入地铁业务区。

5G数据控制流需要过滤清洗后才能接入5G核心网区。

2.1 多层次网络切片隔离安全

5G网络切片是基于无线接入网、承载网与核心网基础设施，以及网络虚拟化技术构建的一个面向不同业务特征的逻辑网络，是上层的服务对网络质量的需求和底层的基础设施之间的桥梁。切片的目的是整合底层的资源，编排端到端的网络来满足服务对网络质量的需求。将切片技术应用于地铁业务，每个切片承载着特定的地铁应用，

彼此相互隔离，可在网络层面实现精细化管理。首先通过细分基础网络，构建不同粒度的切片域，显著缩小被保护目标的攻击面；其次能够按照切片实施更细粒度、更严格的安全策略和更有针对性的管理手段，按需提供不同等级的安全服务；最后切片之间采用严格的隔离措施，一方面能够防范威胁向其他切片扩散，控制威胁的影响范围，另一方面也能够控制故障和异常的影响范围。

5G端到端切片需在无线、承载和核心网分别实现并完成子切片对接，贯通整个业务流程。

5G网络包括eMBB、uRLLC、mMTC三种类型的业务，但在目前仅eMBB有标准支持，uRLLC和mMTC暂时都还没有完整的标准。目前带宽需求主要以上行为主，因此大部分业务以eMBB类型的切片就可以满足业务需求。后续uRLLC标准完善后，可以将列车控制相关对时延要求较高的业务以uRLLC类型切片进行保障，将业务的SLA从150ms级别提升到几十甚至十几毫秒级别，提升列车控制业务的保障保准。mMTC适用于物联网传感器检测，可以在站厅及区间布设物联网传感器，监控隧道环境变化，降低人工巡检成本提升巡检效率。

2.2 多元化边缘计算（MEC）安全

MEC将云数据中心的计算能力下沉到了网络边缘，与云中心相比，边缘设施的资源和能力相对有限，在MEC的总体架构中，为了实现各个层次的互操作性（CT能力、MEC平台、边缘应用），使得MEC面临更多的安全风险。针对MEC的安全风险，突出基于分层的MEC安全架构，从基础网络、基础设施、虚拟化层、MEC平台、UPF、MECAPP生命周期、管理安全等多维度应对MEC面临的安全挑战。

（1）网络安全。与传统的组网安全原则相同，包含三平面的安全隔离、安全域的划分和安全隔离。在网络部署时，将管理面、数据业务面以及带外管理进行物理隔离，并通过不同的物理交换机进行汇聚或通过划分不同的VLAN/VXLAN进行隔离MEC内部划分不同的资源池，对资源池进行安全域划分并执行不同安全等级的安全域之间的隔离以及边界防护，通过部署vFW或者硬件防火墙实现不同安全域之间的安全隔离，保证安全风险不在业务、数据和管理面之间、安全域之间扩散。

（2）基础设施安全。针对基础设施的安全威胁，在物理基础设施安全方面，边缘计算部署的机房通过加锁、视频监控、人脸识别以及人员管理等保证物理环境安全，遵循通用安全中的物理环境安全设计要求。同时通过如下的安全措施保障服务器或主机的安全。服务器开启防盗防拆、恶意断电、设备重启及网络端口的告警禁用硬件服务器的本地串口、本地调试口、USB接口等本地维护端口，防止恶意攻击者的接入和破坏；服务器的I/O开启访问控制，并采用IEEE802.1X协议，对连接的物理设备进行认证，防止不安全的、非法的或者伪装的网络设备接入到边缘计算网络中。在虚拟基础设施安全方面，通过对HostOS、虚拟化软件、GuestOS进行安全加固，防止镜像被篡改，同时加强虚拟机之间的隔离，对不安全的设备进行严格隔离，防止用户流量流入恶意虚拟机中。

（3）平台安全。通过MEC平台提供了移动边缘应用（室内高精度定位）部署和运行涉及的环境和服务，包括边缘应用发现、通告、消费和提供边缘服务的环境。在传输链路没有物理保护的情况下，MEC平台与外部网元之间的接口启用安全隧道，对其传输的数据进行加密和完整性保护，通信双方进行双向验证。MEC平台对来自边缘APP的访问开启认证和授权，对数据进行机密性、完整性、防重放保护。MEC平台本身通过漏洞及端口扫描以确认是否关闭不必要的端口和服务。

（4）业务与应用安全。网络虚拟化后，MEC应用（MEAPP）以虚拟化网络功能VNF的方式运行在NFV基础设施上。通过对APP使用的资源进行隔离，对APP镜像和镜像仓库具有完整性和机密性、访问控制保护。MEC系统对MEAPP提供包括身份安全、镜像安全、终止安全其生命周期的安全防护。

（5）管理与运维安全。通过用户管理和权限管理提供了控制如何安全地管理和访问系统机制，使不同类别的操作员具有不同的操作权限。这限制了未经授权的和错误的操作，增加了系统安全性，并确保了用户数据的完整性。

MEC具有日志维护功能，用来详细记录系统运行状态和操作员的操作行为，使系统易于维护和管理。

2.3 端到端数据安全保护

智慧地铁应用数据在传输、存储过程中存在被窃听、篡改、泄露等安全威胁。为降低5G+智慧地铁应用中数据安全风险，通过多种终端类型双向接入认证、访问控制、数据传输安全、数据存储安全等方面提供了严密的数据端到端安全保护措施。

（1）多种终端类型双向接入认证。通过5G网络实现对地铁各类应用的各种终端类型接入，包括各类传感器、CCTV、X光安检机、电子引导屏、边门和综合安检等。为具备不同安全能力的终端提供统一接入认证，根据安全等级的不同配置接入认证，保证接入网络的用户的合法性。并提供双向认证机制，保证用户和网络之间的相互可信，才能防止地铁业务数据泄露或被篡改。

5G网络基于统一的认证框架提供用户和网络之间的双向认证，屏蔽接入差异，并支持3GPP和非3GPP接入。不管是3GPP接入还是非3GPP接入，都支持EAPAKA'和5GAKA两种认证方法，在非3GPP接入时，使用名为“EAP-5G”的特定于供应商的EAP方法利用“扩展”EAP类型用于封装NAS消息。

主认证之后，5G网络可以根据策略触发切片特殊认证，和运营商或第三方的AAA进行对接认证，在创建PDU会话时，还可以进行地铁AAA的二次认证，认证通过后才能访问切片数据网络。

双向认证保证用户和网络之间的相互可，5G鉴权过程增强了归属网的控制，防止拜访网中可能存在的欺诈，除了鉴权机制，还可以关联鉴权与后续登记过程实现进一步的防欺诈防护；

鉴权完成后，AUSF可以向UDM上报最近鉴权时间、鉴权结果；UDM接收到后续注册请求后，检查是否有最近一段时间内的鉴权过程，如果没有，拒绝注册并指示立即进行一次鉴权。

（2）访问控制安全。数据分类分级：2020年2月27日，工业和信息化部办公厅印发了《工业数据分类分级指南（试行）》，地铁应用数据可以依照《工业数据分类分级指南（试行）》进行数据的分类与分级。主要可以分为研发数据域、生产数据域、运维数据域、管理数据域、外部数据域五大类数据，5G+智慧地铁的应用，主要涉及到生产数据域（闸机控制信息、高精度室内定位数据）和管理数据域数据（系统设备资产信息、监控视频数据）。根据不同类别数据遭篡改、破坏、泄露或非法利用后，可能对生产、经济效益等带来的潜在影响，将数据分为一级、二级、三级等3个级别。三级级别最高，易引发特别重大生产安全事故或突发环境事件，或造成直接经济损失特别巨大的数据。

网络纵深防御：按需部署WAF、防病毒、数据库安全网关和数据防泄露系统等相关安全设备来实现检测网络中的异常活动并进行纵深防御。

安全访问策略：在用户接入切片时，需要进行切片认证，以验证用户接入切片的权限，并严格定义数据访问权限，防止非授权用户接入网络切片，窃取信息或破坏切片正常运行。同时在终端、存储、网络区域边界进实时监测网络中传输的信息，自动识别是否存在敏感信息正在通过邮件、网站浏览等方式向外传播，并且根据安全策略来决定是只进行审计，还是既审计，同时还要进行阻断。

（3）数据传输安全。通过MEC内部边界安全隔离，实现数据不出地铁网络，在MEC部署、业务运行过程中，对MEC应用可能涉及的数据进行识别，包括用户的标识、接入位置等。在数据产生和处理过程中，可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路。对地铁高价值资产数据，在空口、UE和MEC之间使用IPSec/TLS等安全传输方式，对需要保护的信息进行机密性和完整性保护，避免传输过程中数据泄露或被篡改。

（4）数据存储安全。对安全要求高的数据采用加密方式存储。根据不同的安全级别采用差异化的数据安全技术，对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略。建立数据备份恢复机制，根据数据冗余强一致性、弱一致性等控制策略与规范，实现不同一致性水平需求的数据副本多样性、多变性和多种压缩策略存储管理，定期测试数据恢复程序。

（5）个人数据保护。在个人数据保护方面，遵循合法和透明、最小范围、完整性和保密性、可追责等原则，对数据处理、分析和使用，服从GDPR、中国《网络安全法》等法律法规要求，结合数据操作对象的认证、授权等方式规范数据的处理使用，并对操作过程进行记录。如果涉及数据隐私，在使用之前对数据进行静态或动态脱敏处理。

5G网络中涉及的个人数据包括用户标识以及其他签约信息（SUPI/SUCI/IMSI、IMEI、MS-ISDN等）、用户位置信息（LAI、CI等）、用户IP地址、用户通信数据（包含与DN网络交互的所有信息）等。

3 结语

5G及5G安全在城市轨道交通的商用，这对于城市轨道交通发展将是革命性的。其一，将推动既有系统配置的优化和调整；其二，将5G及安全技术融入运控体系中，可大大提高系统的响应性能、运作能力和安全性；其三，将提升运维保障、客运服务的技术应用水平，促进大数据与作业体系、管理体系、应急体系的融合和支撑，从而优化整个运作环境。

本文基于5G网络在智慧地铁安全技术及体系研究，有效促进切片技术的成熟和应用，推进5GSA网络应用深入千行百业，同时提高5G网络利用率，降低社会的网络应用成本，进一步支撑轨道交通数字化转型的发展。