5G+工业互联网安全能力及场景化解决计划
发布时间:2022-05-12 10:32:47 所属栏目:通讯 来源:互联网
导读:在新一代科技革命和产业变革的浪潮下,全球领先国家无不将工业互联网作为强化本国未来产业竞争力的战略方向。工业互联网的基础在于建设一张能够满足工业生产运营的高可靠、高性能、高灵活性的网络。5G网络在无线新空口能力基础上利用网络切片、边缘计算等新
|
在新一代科技革命和产业变革的浪潮下,全球领先国家无不将工业互联网作为强化本国未来产业竞争力的战略方向。工业互联网的基础在于建设一张能够满足工业生产运营的高可靠、高性能、高灵活性的网络。5G网络在无线新空口能力基础上利用网络切片、边缘计算等新技术,具备了大带宽、低时延、广连接和可定制等特性,与工业互联网的需求相吻合。 “5G+工业互联网”就是利用第五代移动通信技术(5G)满足工业智能化发展对网络的需求。5G与工业互联网的融合创新发展,将推动数字中国、智慧社会建设,加速中国新型工业化进程,为中国经济发展注入新动能。但5G与工业互联网的深度融合在加速产业数字化转型的同时,也打破了传统工业封闭的生产环境,带来了更加严峻的安全挑战。工业互联网安全防护方式需要从被动防护转向主动防御,在此过程中,运营商应充分发挥5G网络优势,以5G网络安全能力场景化赋能工业互联网安全。 数据保护安全需求 工业互联网企业内部生产管理数据、生产操作数据、工况状态数据、外部协同数据等信息一旦泄露,被不法分子滥用、篡改,可引发系统设备故障,导致生产安全事故,影响生产经营安全,甚至威胁公众安全和国家安全。随着工业互联网数据安全重要性的凸显,工业互联网数据已成为重点攻击目标,面临的安全风险日益严峻。工业互联网数据安全是保障工业互联网企业生产经营正常开展、经济社会健康发展和国家安全切实保障的重要前提,工业互联网企业对提升工业数据的安全防护水平存在迫切需求。 网络隔离安全需求 随着工业互联网企业数字化转型进程加速,传统专网技术难以满足工业互联网企业日新月异的信息化业务需求。“5G+工业互联网”在满足工业互联网企业数字化转型需求的同时,也将企业网络从工厂内网延伸到外部5G移动通信网。传统工业封闭生产环境被打破,工业互联网企业迫切需要外部5G网络提供专属网络通道,与其他公众网络业务和行业应用业务进行安全隔离,保障企业的业务安全。5G网络运营商需要结合工业互联网行业用户的业务需求,为其提供量身定制的网络服务。 边缘计算安全需求 为了满足工业互联网低时延业务的需求,引入5G边缘计算技术,将计算能力和IT服务环境下沉到移动通信网络边缘,就近向用户提供服务。当5G核心网网元UPF下沉部署在工业互联网园区,网络边界模糊,传统物理边界防护难以应用。边缘计算节点承载着工业互联网行业各种应用服务,成为黑客的首选攻击目标,需要完善安全能力,抵抗多种类、高强度的网络攻击,为MEC应用提供安全的部署环境。工业互联网企业需要根据运营以及攻击行为的变化,集中管理编排安全防护策略,并按需灵活动态地为边缘计算应用提供安全服务。 网络运营商“5G+工业互联网”安全能力 如图1所示,5G网络作为工业互联网的重要基础设施,可以提供终端接入安全、用户数据安全、网络隔离安全、边缘计算安全等能力。 终端接入安全包括终端的接入认证和访问控制等。可以定义多重接入认证方式,从网络级认证、切片认证到数据网认证,根据不同的业务灵活配置认证策略,满足不同行业的接入认证安全需求。也可以根据业务及位置信息,按照工业互联网行业个性化需求,设置不同的访问控制策略。 用户数据安全包括数据传输安全和用户标识安全等。可以根据工业互联网企业需求,定义数据加密方式,提供用户面数据保护及用户标识隐私保护。 网络隔离安全包括RAN隔离、承载隔离和核心网隔离。5G网络可以利用专网技术和切片技术等实现端到端的网络安全隔离,为工业互联网企业提供可定制的安全网络。 边缘计算安全能力包括边缘数据安全(用户数据不出园区)、APP安全防护等。部署边缘计算安全能力可以满足工业互联网企业数据不出园区需求,并防止恶意APP 对 MEP攻击、APP间非法互访等安全问题。 切片认证 5G网络可以通过切片认证,限制特定终端接入工业互联网企业专属切片。网络切片是一组带有特定无线配置和传输配置的网络功能的集合,可在同一套物理设备上提供多个端到端的虚拟网络,这些功能可以灵活部署在网络的任何节点(接入、边缘、核心)。工业互联网企业使用切片技术,可对不同切片间的数据进行隔离,只有授权的终端才能访问切片内的数据,由此保证终端接入安全。 可以通过配置IMSI(International Mobile Subscriber Identity,国际移动用户识别码)与园区切片S-NSSAI(Single Network Slice Selection Assistance Information)对应关系,由AMF(Access and Mobility Management Function,接入和移动性管理功能)对5G工业互联网终端发起切片接入认证流程,限制仅在工业互联网企业认可的IMSI清单内的终端才可以接入到企业专属切片,确保接入切片终端合法。 二次认证 面向对终端有多重接入控制需求的工业互联网企业,5G网络可以为其提供底层认证通道,由企业自己选择或定制具体的认证算法和协议,实现自主可控的二次认证。 5G工业互联网终端在接入工业互联网企业DN(Data network,数据网络)前,首先需要完成与5G核心网UDM(Unified Data Manager,统一数据管理平台)网元及AUSF(Authentication Server Function,认证服务器功能)网元之间的主认证鉴权流程。主认证通过后,SMF(Session Management Function,会话管理功能)网元在建立用户面数据通道前,会根据签约信息发起二次身份认证流程。SMF 网元向AAA(Authentication、Authorization、Accounting,认证、授权、计费) 服务器发出认证开始的消息,并建立起5G工业互联网终端与AAA服务器之间的认证通道,由AAA服务器对5G工业互联网终端进行二次认证。二次认证通过之后,5G 核心网才会为5G工业互联网终端建立到数据网络的连接。 AAA 服务器可以由工业互联网企业自部署,通过UPF(User Plane Function,用户平面功能)网元与SMF网元连接,也可以由5G网络运营商直接部署在通信机房中与SMF网元连接,5G网络运营商提供云上AAA服务,工业互联网企业用户以租户形式实现对入网终端的二次身份认证。 终端接入位置控制 5GC维护IMSI与工业互联网园区切片S-NSSAI对应关系和TAI与园区切片S-NSSAI对应关系两类清单。当规划园区TAI list属于5G网络运营商大网TAI list的子集时,可实现终端进入园区以后允许使用园区业务和大网业务,离开园区以后仅允许访问大网业务。当园区TAI list独立规划,不与5G网络运营商大网TAI list有重合时,可实现终端仅允许使用园区业务,离开园区以后不允许访问园区业务,也不允许访问大网业务。对于有更高终端位置精度需求的工业互联网企业,5G网络运营商也可以结合5G蜂窝网络定位能力,提供终端位置服务。 用户标识安全 针对用户标识在网络上明文传输,让黑客有机会在空口窃取用户标识,威胁用户隐私安全的问题,5G网络运营商可以提供用户标识隐私保护服务。工业互联网终端使用内置5G网络公钥的5G SIM卡,将SUPI(SUbscription Permanent Identifie,用户永久标识符)加密为SUCI(SUbscription Concealed Identifie,用户隐藏标识)传输,加密后的SUCI只能通过在5G核心网中的私钥解密,可有效杜绝在网络传输过程中暴露用户标识。 网络安全隔离 无线接入网隔离 无线接入网的隔离主要面向无线频谱资源和基站处理资源,利用专网技术或者切片技术实现,主要实现方式为独立基站、频谱独享、PRB(Physical Resource Block,物理资源块)独享等。 面向最高安全等级(比如工业控制类)应用或者仅仅服务工业互联网应用的局部区域,比如矿山、无人工厂等,可以采用独立基站的形式实现RAN隔离。面向较高资源隔离和业务质量保障需求的工业互联网应用,可以采用资源频谱独享的方式,在运营商频谱资源中划分出一部分,单独分配给工业互联网应用服务。面向有一定资源隔离和业务质量保障需求的工业互联网应用,可以采用PRB独享的方式,配置一定比例的PRB给工业互联网应用切片专用,PRB 的正交性保证了切片的隔离性。 承载网隔离 承载网隔离主要实现方式有FlexE 隔离和VLAN 隔离。FlexE隔离基于时隙调度将一个物理以太网端口划分为多个以太网弹性管道(逻辑端口),使得承载网络具备类似于时分复用的独占时隙、隔离性好的特性。VLAN 隔离通过VLAN 标签与网络切片标识的映射实现,根据切片标识为不同的切片数据映射封装不同的VLAN 标签,通过VLAN 隔离实现切片的承载隔离。 边缘计算安全能力 数据不出园 企业数据对工业互联网企业至关重要,工业互联网企业对用户面数据不出园区具有强烈需求。对此,运营商可以通过数据不出园的网络架构设计及出园数据的识别阻断,为工业互联网企业提供数据不出园服务。5G网络运营商可以将5G用户面网元UPF部署在工业互联网园区,通过工业互联网终端签约约束,实现用户面数据不出园。在UPF的信令管理面部署流量探针,智能分析并识别,仅信令及OM相关数据可以流出,确保没有业务数据流出工业互联网园区。 APP安全防护 在边缘计算平台开放架构下,工业互联网企业非常关注对第三方APP的安全防护。APP安全防护包括APP网络安全隔离、APP访问控制和应用清单安全管理等。对于共享物理链路的不同APP,在网络层应进行逻辑区隔,实现MEP与APP、APP与APP的安全隔离,并部署不同的vFW(Virtual Fire Wall,虚拟防火墙)等进行防护。可以应用存储加密、镜像加密及完整性校验等手段,防止因APP之间访问无防护导致的容器级攻击、资源层横向移动攻击、应用层攻击和业务流量攻击。可以采集MEC资产清单,对租户的文件和APP开展安全分析,进行应用黑白名单管理。 5G为工业互联网企业提供了网络连接和计算处理平台等方面的支撑。安全是确保工业互联网在各生产领域能够落地实施的前提,更是产业安全和国家安全的重要基础和保障。我们必须高度重视工业互联网安全,以5G自身安全能力为基础,结合工业互联网业务特征与运营模式,提供具有针对性的安全防护方案,增强工业互联网安全防护能力。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐