在新一代信息革命和行业转型的形势下,全世界领跑国家莫不将工业互联网做为加强该国将来产业链竞争优势的发展战略方位。工业互联网的前提取决于基本建设一张可以达到工业化生产经营的高靠谱、性能卓越、高灵敏性的互联网。5G数据网络在无线网络新空口能力基本上利用网络切片、雾计算等新技术应用,具有了大网络带宽、低延迟、广联接和可定制等特点,与工业互联网的要求相符合。
“5G 工业互联网”便是利用第五代移动通信技术(5G)达到工业生产智能化系统发展趋势对互联网的要求。5G与工业互联网的结合改革创新,将促进数字经济、智慧社会基本建设,加快我国创新驱动发展过程,为经济发展引入新机遇。但5G与工业互联网的紧密结合在加快产业链企业战略转型的与此同时,也突破了传统式工业生产封闭式的工作环境,产生了更为艰巨的安全性挑戰。工业互联网安全防护方法必须从处于被动安全防护转为病毒防护,在这里全过程中,营运商应充分运用5G互联网优点,以5G网络信息安全能力场景化颠覆式创新工业互联网安全性。
工业互联网领域安全性要求
终端设备监管安全性要求
5G与工业互联网的结合促使大量工业生产终端设备连接工业互联网变成很有可能。很多工业生产终端设备具备功能损耗低、测算和存储资源比较有限的特性,无法布署繁杂安全设置。智能终端的系统漏洞、侧门等曝露在相对性开放式的5G互联网中,非常容易被利用做为分布式系统拒绝服务攻击(DDoS)进攻源,产生产业化的僵尸网络,对工业生产使用和后台系统等开展进攻,产生互联网终断、系统软件偏瘫等安全隐患。工业互联网公司更加关注终端设备监管安全性,必须自主可控对终端设备的连接开展验证管理方法。
个人信息保护安全性要求
工业互联网企业内部企业生产管理数据信息、生产制造实际操作数据信息、工作状况情况数据信息、外界协作数据信息等信息内容一旦泄漏,被犯罪分子乱用、伪造,可引起系统软件常见故障,造成生产制造安全生产事故,危害生产运营安全性,乃至危害公共安全性和国家安全。伴随着工业互联网网络信息安全必要性的突显,工业互联网数据信息已变成主要进攻总体目标,遭遇的安全隐患日益不容乐观。工业互联网网络信息安全是确保工业互联网公司生产运营一切正常进行、社会经济建康发展趋势和国家安全性切实维护的主要前提条件,工业互联网公司对提高工业生产数据信息的安全防护水准存有急切要求。
互联网防护安全性要求
伴随着工业互联网公司企业战略转型过程加快,传统式网络系统技术性无法达到工业互联网公司日新月异的信息化管理业务流程要求。“5G 工业互联网”在达到工业互联网公司企业战略转型要求的与此同时,也将企业网络从加工厂内部网拓宽到外界5G移动通信。传统式工业生产封闭式工作环境被摆脱,工业互联网公司急需解决外界5G数据网络给予专享网络通道,与别的群众互联网业务流程和应用领域业务流程开展安全性防护,确保公司的网络安全防护。5G网络供应商必须融合工业互联网领域客户的服务要求,为其给予量身定做定制的互联网服务。
雾计算安全性要求
为了更好地达到工业互联网低延迟业务流程的要求,引进5G雾计算技术性,将测算能力和IT服务自然环境下移到移动通信技术互联网边沿,就近原则向客户带来服务项目。当5G关键小元UPF下移布署在工业互联网产业园区,互联网界限模糊不清,传统式物理学界限安全防护无法运用。雾计算连接点承重着工业互联网领域各种各样业务系统,变成网络黑客的优选进攻总体目标,必须健全安全性能力,抵御多类型、高韧性的黑客攻击,为MEC运用带来可靠的布署自然环境。工业互联网公司必须依据经营及其攻击性行为的转变,规范化管理编辑安全防护对策,并按需灵便动态性地为雾计算运用给予安全保障。
网络供应商“5G 工业互联网”安全性能力
如下图1所显示,5G互联网做为工业互联网的主要基础设施建设,可以给予终端设备连接安全性、客户网络信息安全、互联网防护安全性、雾计算安全性等能力。
图1 “5G 工业互联网”典型性组网方案及安全性能力
终端设备连接安全性包含终端设备的连接验证和密钥管理等。可以界定多种连接验证方法,从互联网级验证、切成片验证到数据网络验证,依据不一样的工作灵便配备验证对策,达到不一样行业领域的连接验证安全性要求。还可以依据项目及位置信息,依照工业互联网领域人性化要求,设定不一样的浏览控制方法。
客户网络信息安全包含传输数据安全性和客户标志安全性等。可以依据工业互联网公司要求,定义数组加密算法,给予客户面个人信息保护及客户标志个人隐私保护。
互联网防护安全性包含RAN防护、承重防护和基站设备防护。5G互联网可以利用网络系统技术性和切成片技术性等完成端到端的网络信息安全防护,为工业互联网公司带来可定制的可靠互联网。
雾计算安全性能力包含边沿网络信息安全(客户数据信息出不来产业园区)、APP安全防护等。布署雾计算安全性能力可以达到工业互联网企业资料出不来产业园区要求,并避免故意APP 对 MEP进攻、APP间不法互相访问等安全隐患。
“5G 工业互联网”安全性能力场景化解决方法
终端设备连接安全性
- 切成片验证
5G互联网可以根据切成片验证,限定特殊终端设备连接工业互联网公司专享切成片。网络切片是一组含有特殊无线网络配备和传送配备的互联网作用的结合,可在同一套物理学机器设备上给予好几个端到端的互联网络,这种作用可以灵便布署在互联网的一切连接点(连接、边沿、关键)。工业互联网公司应用切成片技术性,可对不一样切成片间的信息开展防护,仅有受权的终端设备才可以浏览切成片内的数据信息,从而确保终端设备连接安全性。
可以根据配备IMSI(International Mobile Subscriber Identity,国际性中国移动号码标识码)与产业园区切成片S-NSSAI(Single Network Slice Selection Assistance Information)对应关系,由AMF(Access and Mobility Management Function,连接和移动化管理方法作用)对5G工业互联网终端设备进行切成片连接验证步骤,限定仅在工业互联网公司认同的IMSI明细内的终端设备才可以连接到公司专享切成片,保证连接切成片终端设备合理合法。
- 二次验证
朝向对终端设备有多种连接操纵要求的工业互联网公司,5G互联网可以为其给予最底层验证安全通道,由公司自身挑选或定制实际的验证优化算法和协议书,完成自主可控的二次验证。
5G工业互联网终端设备在连接工业互联网公司DN(Data network,移动数据网络)前,最先必须进行与5G基站设备UDM(Unified Data Manager,统一数据管理平台)核心网元及AUSF(Authentication Server Function,验证网络服务器作用)核心网元中间的主验证身份验证步骤。主验证根据后,SMF(Session Management Function,对话管理方法作用)核心网元在创建客户面数据通道前,会依据签订信息内容进行二次身份验证步骤。SMF 核心网元向AAA(Authentication、Authorization、Accounting,验证、受权、收费) 网络服务器传出验证逐渐的信息,并构建起5G工业互联网终端设备与AAA服务器进行的验证安全通道,由AAA网络服务器对5G工业互联网终端设备开展二次验证。二次认证根据以后,5G 基站设备才会为5G工业互联网终端设备创建到移动数据网络的联接。
AAA 网络服务器可以由工业互联网公司自布署,根据UPF(User Plane Function,客户平面图作用)核心网元与SMF网元联接,还可以由5G网络供应商立即布署在通信基站中与SMF核心网元联接,5G网络供应商给予云端AAA服务项目,工业互联网公司客户以租赁户方式完成对入网许可证终端设备的二次身份验证。
- 业务流程密钥管理
5G网络供应商可以将终端设备标志信息内容对外开放给工业互联网公司客户,将终端设备标志信息内容根据SMF发送给该公司业务流程浏览自动控制系统,公司可以依据终端设备标志信息内容独立完成业务流程操纵。针对有业务流程密钥管理要求,但没法自布署业务流程浏览自动控制系统的工业互联网公司,5G网络供应商可以给予云端业务流程密钥管理服务项目,公司以租赁户方式完成对入网许可证终端设备的业务流程密钥管理。
- 终端设备连接部位操纵
5GC维护保养IMSI与工业互联网产业园区切成片S-NSSAI对应关系和TAI与产业园区切成片S-NSSAI对应关系两大类明细。当规划园区TAI list归属于5G网络供应商大网站TAI list的子集合时,可完成终端设备进到产业园区之后容许应用产业园区业务流程和大网站业务流程,离去产业园区之后仅容许浏览大网站业务流程。当产业园区TAI list单独整体规划,不与5G网络供应商大网站TAI list有重叠时,可完成终端设备仅容许应用产业园区业务流程,离去产业园区之后不允许浏览产业园区业务流程,也不允许浏览大网站业务流程。针对有更高一些终端设备部位精密度要求的工业互联网公司,5G网络供应商还可以融合5G蜂窝移动网络精准定位能力,给予终端设备定位服务。
客户网络信息安全
- 传输数据安全性
针对工业互联网比较敏感业务流程数据信息,5G互联网可以保证客户面空口传输数据安全性。5G通信基站gNodeB依据5G关键小元SMF推送的安全设置,可以激话打开UE(User Equipment,客户机器设备)和gNodeB中间的客户面数据信息的安全保密性维护、一致性维护和防播放维护,保护空口客户面传输数据安全性。
- 客户标志安全性
对于客户标志在互联网上密文传送,让网络黑客还有机会在空口盗取客户标志,危害个人信息安全安全性的问题,5G网络供应商可以给予客户标志个人隐私保护服务项目。工业互联网终端设备应用内嵌5G互联网公匙的5G SIM卡,将SUPI(SUbscription Permanent Identifie,客户永久性标志符)数据加密为SUCI(SUbscription Concealed Identifie,客户掩藏标志)传送,数据加密后的SUCI只有借助在5G传输网中的公钥破译,可合理避免在数据传输全过程中曝露客户标志。
网络信息安全防护
- 无线网络传输网防护
无线网络传输网的防护关键朝向无线网络频带資源和通信基站解决資源,利用网络系统技术性或是切成片技术性完成,关键完成方法为单独通信基站、频带私有、PRB(Physical Resource Block,物理学資源块)私有等。
朝向最大安全级别(例如工业控制系统类)运用或是只是服务项目工业互联网运用的部分地区,例如矿山开采、无人工厂等,可以选用单独通信基站的方式完成RAN防护。朝向较高資源防护和业务流程品质确保要求的工业互联网运用,可以选用資源频带私有的方法,在营运商频带資源中区划出一部分,独立分派给工业互联网业务系统。朝向有一定資源防护和业务流程品质确保要求的工业互联网运用,可以选用PRB私有的方法,配备一定百分比的PRB给工业互联网运用切成片专用型,PRB 的正交和性确保了切成片的防护性。
- 承载网隔离
承载网防护关键完成方法有FlexE 防护和VLAN 隔离。FlexE防护根据时隙生产调度将一个物理学以太网接口端口号区划为好几个以太网接口延展性管路(逻辑性端口号),促使承重互联网具有类似时分复用的独享时隙、防护性好的特点。VLAN 防护根据VLAN 标识与互联网切片标志的投射完成,依据切片标志为不一样的切片数据信息投射封装形式不一样的VLAN 标识,根据VLAN 防护完成切片的承重防护。
- 基站设备防护
5G基站设备由很各种不同互联网作用的虚拟化技术核心网元搭建,可以对于工业互联网公司不一样的安全性要求,选用多种防护体制。关键完成方法有下列4种。
一是CPF和UPF独享,关键朝向电力网等安全性要求最大的情景。在该方法下基站设备的全部操纵面网元(包含AMF、AUSF、 UDM、UDR、PCF、SMF)、客户面网元UPF均为工业互联网领域客户专用型独享。
二是CPF一部分独享、UPF独享,关键朝向工业控制系统等有较高网络信息安全防护要求的工业互联网公司。在该方法下基站设备的操纵面网元一部分独享,客户面网元UPF为工业互联网领域客户专用型独享。UPF可依据容积、延迟等规定,挑选在关键计算机房或是边沿机房建设方案。
三是CPF所有共享、UPF独享,关键朝向加工厂、产业园区等有一定网络信息安全防护规定,且对UPF布署部位有严格规范的工业互联网公司。在该方法下基站设备的操纵面网元所有共享,客户面网元UPF 新创建,为工业互联网领域客户专用型独享,可布署在工业互联网公司产业园区。
四是CPF和UPF所有共享,切片虚拟资源防护,关键朝向有一定网络信息安全防护要求,对UPF布署部位无限制的工业互联网领域客户。在该方法下基站设备的操纵面网元、客户面网元UPF所有共享为工业互联网领域客户服务,根据切片开展虚拟资源防护。
雾计算安全性工作能力
- 数据信息不出园
企业资料对工业互联网公司尤为重要,工业互联网公司对客户面数据信息不出产业园区具备明显要求。对于此事,营运商可以根据数据信息不出园的互联网软件架构设计及出园数据信息的鉴别阻隔,为工业互联网公司给出的数据不出园服务项目。5G网络供应商可以将5G客户面网元UPF布署在工业互联网产业园区,根据工业互联网终端设备签订管束,完成客户面数据信息不出园。在UPF的报文管理方法面布署总流量探头,数据分析系统并鉴别,仅报文及OM有关信息可以排出,保证沒有业务流程数据信息排出工业互联网产业园区。
- APP安全防护
在雾计算服务平台对外开放构架下,工业互联网公司特别关注对第三方APP的安全防护。APP安全防护包含APP网络安全性防护、APP密钥管理和运用明细安全工作等。针对共享物理学链接的不一样APP,在链路层应开展逻辑性产品差异化,完成MEP与APP、APP与APP的安全性防护,并布署不一样的vFW(Virtual Fire Wall,虚似服务器防火墙)等开展安全防护。可以运用储存数据加密、镜像文件数据加密及一致性校检等方式,避免因APP中间浏览无安全防护造成的器皿级进攻、資源层横着挪动进攻、网络层进攻和业务流程ddos攻击。可以收集MEC财产明细,对租赁户的资料和APP进行安全性剖析,开展运用黑与白名册管理方法。
5G为工业互联网公司带来了数据连接和测算解决服务平台等领域的支撑点。安全性是保证工业互联网在各生产制造行业可以落地式执行的前提条件,也是产业链安全性和国防安全的主要前提和确保。大家需要十分重视工业互联网安全性,以5G本身安全性工作能力为基本,融合工业互联网业务流程特点与经营模式,给予具备系统性的安全防护计划方案,提高工业互联网安全防护工作能力。