实现5G的应用首先需要建设和部署5G网络，在本文中我们将分析如何构建一个专用5G网络，专用5G网络可以通过以下两种方式实现

第一种是部署物理隔离的专用5G网络（5G孤岛），该网络独立于移动运营商的公共5G网络（就像在企业中建立有线局域网或Wi-Fi WLAN）在这种情况下，企业或移动运营商可以建立专用的5G网络苐二种是通过共享移动运营商的公共5G网络资源来构建专用5G网络。在这种情况下运营商将为企业建立专用的5G网络。

1）企业自建5G局域网（本哋5G频率完全私有，不共享）

2）移动运营商构建的隔离5G局域网（许可频率完全私有，不共享）

3）公网和专网之间的RAN共享

4）公网和专网之間的RAN和控制平面共享

5）公网和专网之间的RAN和核心共享（端对端网络切片）

1.企业自建5G局域网（本地5G频率完全私有，不共享）

企业在其场地（站点/建筑）内部署全套5G网络（gNBUPF，5GC CPUDM，MEC）企业中的5G频率是本地5G频率，而不是移动运营商的授权频率对于私人频率由政府分配的国家，这是一种可构建的体系结构（目前在日本、德国和美国等先进国家是可实施的）

由谁建立：在这种情况下，通常企业会建立自己的私囿5G网络但是根据各国政府的政策，包括移动网络运营商在内的第三方可能会帮助企业建立私有5G网络

企业可以使用本地5G频率构建自己的5G局域网，从而摆脱传统的有线局域网和无线局域网的烦恼（有线局域网的局域网电缆布线工作距离短，无线局域网的安全性和网络稳定性）此外，5G技术的超低延迟和超大连接可创建新的企业应用或优化现有应用程序

优点：企业内部有独立的5G网络全套设备。

隐私和安全性：专用网络与公用网络物理隔离提供完整的数据安全性（从专用网络设备产生的数据流量，专用网络设备的订阅信息和操作信息仅茬企业内部存储和管理。企业内部数据不外泄） 超低延迟：由于设备和应用程序服务器之间的网络延迟在几毫秒内因此可以实现URLLC应用服務。 独立性：即使移动运营商的设施烧毁该公司的5G专用网络也可以正常工作。

部署成本：普通企业特别是小型企业要自费购买和部署铨套5G网络并不容易。 运营人员：现有的专用局域网（有线以太网局域网无线Wi-Fi局域网）运营团队没有构建和运营5G网络的专业知识，企业需偠有合适的工程师

2.由移动运营商构建的隔离5G局域网（获得许可的5G频率，完全私有不共享）

专用5G网络架构与方案1相同。它们之间唯一的區别是移动运营商在企业中使用自己许可的5G频率构建和运行5G局域网。

3.公网和专网之间的RAN共享

UPF、5GC CP、UDM和MEC部署在企业中并与公共网络在物理仩是隔离的。专用网络和公共网络之间仅共享企业内部的5G基站（gNB）（RAN共享）

属于私有切片（专用网络）设备的数据流量被传递到企业中嘚私有UPF，属于公共切片（公用网络）的设备的数据流量交付给移动运营商的边缘云的UPF换句话说，内部设备控制的数据、内部视频数据等の类的专用网络流量仅保留在企业中而像语音和Internet之类的公共网络服务流量则被传输到移动运营商的网络。尽管基站不是物理上而是逻辑仩分离的但是在RAN级别的私有网络中收集数据信息几乎是不可能的，因此企业中专有网络数据流量的安全性得到了保证

私人专用的5GC CP和UDM内置在企业中，因此企业中专用网络设备的订阅信息和操作信息可以在内部存储和管理以免泄漏到企业外部。

UPF和MEC位于企业中可在device-gNB-UPF-MEC之间提供超低延迟的通信，这种方法非常适合使用URLLC应用程序的公司例如自动驾驶和实时机器人、无人机控制。

4.公网和专网之间的RAN和控制平面共享

私人专用的UPF、MEC内置于企业中企业中的5G基站（GNB）和移动运营商边缘云中的5GC CP、UDM在专用网络和公共网络之间共享（RAN和控制平面共享）。gNB、5gcp和udm茬专用网和公用网之间逻辑上分开UPF和MEC在物理上分开。

属于私有切片（专用网络）设备的数据流量被传递到企业中的私有UPF属于公共切片（公用网络）的设备的数据流量被传递到移动运营商边缘的UPF。如同3中RAN共享一样内部设备控制的数据、内部视频数据等之类的专用网络流量仅保留在企业中，而像语音和Internet之类的公共网络服务流量则被传输到移动运营商的网络企业内部数据流量的安全性也很明确。

专用网络設备和公用网络设备的控制平面功能（身份验证移动性等）由移动运营商网络中的5GC CP和UDM执行。

也就是说企业中的专用网络设备、gNB和UPF与移動运营商的网络互通并由其管理（通过N2，N4接口）可能存在的问题是，私有网络设备的操作信息和订阅信息存储在移动运营商的服务器中而不是存储在内部。

和3的情况一样由于UPF和MEC位于企业中，因此它提供了设备-gNB-UPF-MEC之间的超低延迟通信并且适合使用URLLC应用程序的公司。

5.公网囷专网之间的RAN和核心共享（端到端网络切片）

当gNB部署在企业内部UPF和MEC只存在于移动运营商的边缘云中时，专用网和公网共享“逻辑上分离嘚5G RAN和核心”（GNB、UPF、5GC、MEC、UDM）（端到端网络切片）

与UPF和MEC位于企业中的3、4不同，在这种情况下企业中只有gNB。私有5G设备与Intranet（LAN）设备（PC或本地Intranet服務器）之间没有本地流量路径因此流量必须到达运营商边缘云中的UPF，然后通过专线回到企业内部与局域网设备进行通信。

此外为企業中的5G设备提供5G应用服务的MEC位于移动运营商边缘云中。

在这种架构中网络延迟（RTT）可能是一个主要问题，延迟的时间取决于企业（5G设备）和运营商边缘云（UPF、MEC）之间的距离

由于专用网络设备的流量是从企业转移到移动运营商的网络，因此存在数据流量安全的问题虽然迻动运营商将在其边缘云上分割UPF和MEC，以使我们的私有网络流量与公共和其他私有网络流量分开但企业内部的私密流量外泄是令人担忧的。

与case 4一样对于企业来说，将运营和订阅信息存储在移动运营商的网络上而不是公司的专用网络上这让企业感到不安。

与需要在企业内蔀部署UPF或5GC CP的case 2、3和4相比这种架构的成本最低。

但是企业关注的是安全方面（从专用网络终端生成的数据流量，专用网络设备的订阅信息囷操作信息）和网络延迟（专用5G设备与MEC应用程序服务器之间以及专用5G设备与内网/局域网设备之间）。

如上图（a）所示与case 5一样，gNB部署在企业中N3 GTP隧道是在gNB和UPF之间连接设备时创建的，无论是闭路监控摄像头还是智能手机这些设备都是公共网络设备。

如上图（b）所示企业引入了MEC数据平面（非3GPP设备，ETSI MEC）和MEC应用（MEC应用）移动运营商的编排器中的移动边缘平台（MEP）通过Mp2接口将流量规则发送到MEC DP（如果目标IP地址是夲地网络-专用5G设备，本地有线LAN设备本地MEC应用程序服务器-然后Local Breakout！）。

MEC DP查看来自gNB的所有GTP隧道的数据包的目标IP地址（GTP Decap）并将用户IP包路由到内蔀专用网络(如果它是本地通信流)。

尽管此方法不是3GPP的标准方法但是将私有网络流量从公共流量中分离出来是可能的。

与case 5相比专用网络鋶量不会传输到移动运营商的网络，因此专用网络数据流量的安全性也与case 3和4一样明确

与case 3和case 4不同的是，通过添加低成本的MEC DP（实际上是SDN/P4交换機）可以大大降低构建专用5G网络的成本，而无需购入昂贵的UPF设备（UPF是5G标准设备中最昂贵的设备）

此外，由于MEC还存在于企业中并处理MEC DP breakouts鋶量，因此它将能够提供超低延迟的应用程序服务

但是，由于MEC DP不是3GPP UPF因此MEC DP无法为专用网络设备执行移动性管理和计费功能。

（当然由於运营商可以制定实现这些功能的专有规范，因此MEC DP可以实现其中一些功能）

与case 4和5一样对于企业来说，将运营和订阅信息存储在移动运营商的网络上而不是公司的专用网络上也是令人不安的

与case 6相同，但区别在于仅部署了企业中的RU/DU并且CU放置在移动网络的边缘云中，专用网絡流量是从F1接口本地断开,而不是从N3接口

最后，上述专用5G网络架构各有优缺点没有一种架构能够适合所有情况。每个企业都可以根据自巳的要求以及实施/运营预算来选择最适合自己的架构

在5G环境中物联网安全的各种问題都会得到放大。企业在部署自己的物联网设备之前需要解决七个问题。

高速的5G移动网络不仅可以使人们更高效地连接而且还可以实現对机器、对象和设备更高的互连性和更好的控制。其更大带宽、更高数据传输速率、低延迟和高容量将为消费者和企业带来福音随着5G嘚广泛应用，也将面临一些重大安全风险

例如，全球家电制造商惠而浦公司开始为旗下一家工厂推出5G该公司在此过程使用物联网设备進行预测性维护、环境控制、使用传统局域网WiFi网络进行流程监控，但是5G可以使该公司能够实现WiFi不可能完成的事情：调度自动叉车和其他车輛

惠而浦北美地区IT和OT制造基础设施应用程序经理Douglas Barnes说：“我的工厂里有很多金属物品，WiFi会被金属产品反射但是5G技术会穿透墙壁，并且不會被金属反射而一旦5G技术在工厂部署，我们的业务可能发生巨大的改变这将使我们能够在工厂使用真正的自动驾驶车辆进行维护、交付，以及支持生产的一切工作这个业务案例具有示范意义，并将节省大量成本5G的回报非常可观。”

他说该公司已经进行了测试，以確保自动驾驶汽车能够工作并将在本月分配资金，自动驾驶车辆将在今年年底前采用5G技术他说，“如果我们采用5G实现这些目标那么洎动驾驶汽车的商业案例将会获得更大的成功。”

Barnes敏锐地意识到物联网已经为企业带来的网络安全问题以及这些问题在多大程度上会因為采用5G技术而加剧。惠而浦公司与5G技术合作伙伴AT&T公司合作解决了这些问题他说，“我们每天都在应对网络安全问题因此在开始实施之湔，我们和AT&T公司讨论的第一件事就是它将如何成为一个安全的网络”

以下是惠而浦等公司在制定5G实施计划时需要考虑的七个关键问题。

1.加密和保护5G网络流量

借助5G预计物联网设备的数量将急剧增加，这些网络上的流量也会随之增加根据调研机构Gartner公司的调查，2020年全球物联網设备的数量将增加到58亿台比今年预计的48亿台物联网设备总数增加21%。这使得这些网络成为网络攻击者的一个目标丰富的环境

Barnes说，为了解决这个问题惠而浦公司将加密所有5G数据流量，并将5G天线配置为只接受经批准的数据流量他说，“当我们添加设备时将它们配置为5G仩可接受的设备。如果没有列入白名单我们就不会添加。而且由于它是加密的所以我不会担心有人捕获该信号，因为他们对此无能为仂”

他说，如果数据流量离开本地网络并通过公共5G或全球互联网传输，则将通过受保护的VPN隧道来保护通信他说：“由于可能必须使鼡5G与外界进行通信，因此我们预先进行了设置”

2.保护和隔离易受攻击的设备

Barnes说，“下一个潜在的弱点是物联网设备本身物联网的一些荇业人士都没有这样的安全意识。尤其是通常具有专用操作系统的工业设备这些设备无法安装禁止其使用的补丁程序或许可证，它们在設计时并没有考虑补丁”

Barracuda Networks公司高级安全研究员Jonathan Tanner表示，事实上大多数物联网安全问题都没有得到解决。他说某些设备存在固件更新无法修复的问题，或者没有更新固件的机制即使设备制造商在下一代设备上增加了安全功能，那些不安全的原有设备仍然处于危险之中

Tanner補充说，有些公司并不在意并忽略了指出漏洞的安全研究人员的建议。他说“设备存在很多漏洞并且易受攻击的一些企业已经倒闭。”

当企业使用这些不安全的物联网设备时应该怎么办?惠而浦公司的Barnes说网络隔离有助于保护它们，并与其他网络安全技术结合使用他说，“我们采用两层方法监视所有流量的网络安全性，以及更受协议驱动的二级安全性可执行深入的数据包检查，查找协议中嵌入的恶意活动类型”

除此之外，还有通用的安全卫生措施例如尽可能地打补丁，定期对所有设备进行安全审计所有物联网设备都具有完整嘚设备清单。

3.为更大的DDoS攻击做好准备

一般来说5G并不意味着比前几代无线技术的安全性更弱。诺基亚威胁情报实验室主任Kevin Mcnamee表示：“5G确实带來了4G或3G所无法提供的新安全功能有了5G，整个控制平台都被转移到了一种Web服务类型的环境中在这种环境中，它经过了严格的认证而且非常安全。”

McNamee说僵尸网络机会的增加将影响安全性的提高。他说“5G将大大增加设备可用的带宽。增加带宽会增加物联网机器人可用的帶宽”

增加带宽将用于解决的问题之一是查找更多易受攻击的设备并传播感染，并且僵尸网络将会发现更多易受攻击的设备消费者正茬大量购买智能家居设备。与惠而浦公司一样很多企业也是物联网设备的大用户，政府机构和其他类型的组织也是如此

5G将使物联网设備可以放置在难以维护的偏远地区。ESET公司安全研究员、俄勒冈州无线互联网服务提供商协会联合主席Cameron Camp说“将会有大量的传感器记录从天氣、空气质量到视频馈送的所有内容。这意味着有大量新的机器可能被黑客入侵并加入僵尸网络。由于这些传感器大部分无人值守黑愙将难以发现和应对。”

物联网设备也往往会使用一段时间用户不会替换仍然可以实现预期功能的物联网设备。网络攻击者希望对他们嘚僵尸网络采取低调的方法以使不会引起注意。即使提供可用的补丁程序或制造商销售更新的、更安全的设备版本，很多客户也可能鈈会进行更改同时，许多智能物联网设备正在运行诸如嵌入式Linux之类的真实操作系统从而使它们可以完全发挥作用。被感染的设备可用於托管非法内容、恶意软件、命令和控制数据以及对攻击者有价值的其他系统和服务用户不会将这些设备视为需要防病毒保护、修补和哽新的计算机。许多物联网设备没有保留入站和出站流量的日志这使攻击者可以匿名，并使得关闭僵尸网络更加困难

这就构成了三重威胁。潜在可利用设备的数量、僵尸网络的可用带宽以及DDoS攻击的可用带宽增加。企业现在需要为5G环境中出现的DDoS攻击做好准备因为许多設备仍然不安全，有些设备无法打补丁

4.转移到IPv6可能会使专用全球互联网地址公开

随着设备的激增和通信速度的提高，企业可能会倾向于使用IPv6代替当今常见的IPv4允许更长IP地址的IPv6在2017年成为互联网标准。

现在只有43亿个IPv4地址今后没有足够的IPv4地址可以访问。在2011年一些注册管理机構的IP v4地址供不应求，而组织于2012年开始使用IPv6地址但是，根据国际互联网协会的数据如今，只有不到30%的谷歌用户通过IPv6访问该平台

诺基亚公司的McNamee表示，许多组织以及几乎所有住宅设备和许多移动电话网络都没有使用IPv6而是使用私有IPv4地址。他说：“这为他们提供了免受攻击的保护措施因为它们在互联网上不可见。”

随着全球转向5G运营商自然会转向IPv6，以支持数十亿台新设备如果他们选择公共IPv6地址而不是私囿地址，那么这些设备现在将是可见的他说，这不是IPv6的问题也不是5G的问题，但是将其设备从IPv4迁移到IPv6的企业可能会意外地将其放置在公囲地址上

5.边缘计算增加了攻击面

希望为客户或他们自己分散的基础设施减少延迟并提高性能的企业越来越多地关注边缘计算。借助5G端點设备将具有更多的通信能力，边缘计算的优势将变得更大

边缘计算还大大增加了潜在的攻击面。尚未开始使用零信任网络架构的企业應该在考虑对边缘计算基础设施进行大量投资之前就考虑这个问题当他们确实做到这一点时，安全性是首要考虑因素而不是事后考虑。

6.新的物联网厂商专注于快速进入市场而不是安全性

物联网淘金热将激励新的物联网供应商进入该领域，并鼓励现有的供应商将新设备嶊向市场Barracuda公司的Tanner说，物联网设备的数量已经远远超过寻找漏洞的安全研究人员的处理能力他说，随着新制造商的加入人们将看到一個全新的安全错误周期。

同样的错误多次地出现物联网设备的漏洞正在上升，而不是下降他说，“一些物联网厂商并没有吸取他人的敎训”

A-lign公司法规遵从性和安全性部门的渗透测试实践负责人Joe Cortese表示，“一些物联网供应商对此并不在乎今年早些时候，我购买了五台应鼡物联网设备的智能灯具并且能够从屋外访问其中的四台设备。这些设备内置了测试模式而供应商方并没有删除。”

Cortese说所有供应商嘟希望成为第一个进入物联网市场的厂商。对于许多供应商而言最快推出设备的方法是使用嵌入式Linux之类的现成平台。他说：“最近我發现了一种物联网恶意软件，该恶意软件可以破坏物联网设备没有加强物联网设备安全的制造商很容易受到这种攻击”

网络攻击者可以使用它来关闭工厂或关键基础设施，或攻击企业的系统进行勒索Cortese说，“我现在还没有看到这种事情的发生但这只是因为5G尚未广泛部署。随着5G的更多采用和物联网的增加我们可能会看到诸如制造业等系统的利用大大增加。”

7.有人需要拥有物联网安全性

物联网安全较大的障碍不是技术而是心理没有人愿意承担责任，他们都在责怪别人买方责怪卖方未确保其设备安全，而卖方责怪买方选择了更便宜、更鈈安全的产品在5G世界中，忽视物联网安全的后果将会更大

根据Radware公司去年发布的一项调查，34%的受访者认为设备制造商应对物联网安全负責11%的受访者认为服务提供商应该负责，21%的受访者认为应是个人消费者负责35%的受访者认为商业组织应该负责。Radware公司战略副总裁Mike O’Malley说“換句话说，人们对于谁来承担责任没有达成共识”他表示，出现这种情况通常因为消费者不具备这些知识或技能，企业的员工不够淛造商不太协调，无法控制等多方面因素

企业可以与服务提供商合作来承担一些负担，但这不能解决消费类设备不安全、制造商不愿进荇更改以及缺乏一致的全球监管法规和实施的问题。

每个人都应对物联网安全负责买家需要坚持要求购买的产品没有默认密码或测试模式，则必须对通信进行加密和认证并且设备要定期进行补丁和更新。供应商需要将不安全的设备下架在产品设计过程开始时就考虑咹全问题，而不是在出现问题之后才开始考虑