强化网络安全建设,护航智能制造产业发展
毕舸
11月28日,2019湖南(长沙)网络安全·智能制造大会在长沙国际会展中心开幕。大会已经连续成功举办三届,成为我国中部地区知名的智能制造国际专业品牌盛会。此次大会汇聚了网络安全及智能制造行业的技术、产品、人才、企业,前沿新品争先亮相,展示智能制造全产业链条。
随着网络产业的快速发展,社会经济影响力与日俱增,网络安全也就处于一个日益突出的重要位置。
以湖南智能制造产业为例,长沙率先建设国家智能制造中心,大力推动制造业高质量发展,让工程机械、材料、食品等传统产业焕发新颜,让智能装备、智能汽车、智能终端等新兴产业异军突起。
而在这大好发展形势下,我们需要更加清醒地意识到,智能制造对于人工智能、大数据、物联网等先进技术的高度集成,也决定了一旦其中某个环节遭到破坏或者出现重大故障,就会危及到整个系统的运转,甚至可以通过一体化管理设备,“感染”到其他与之物联的设备,造成全面瘫痪。
从中可以看出,网络安全关系到智能制造的发展根本。如果说软件、芯片、智能硬件是智能制造的“骨骼”和“大脑”,那么一旦安全被破坏,“大脑”就会停顿、“骨骼”就会瘫痪,从而引发连锁危机,造成机器价值归零、重要生产计划无法推进,给国民经济带来重大损失。
与之同理,需要高度重视的不仅是智能制造相关安全保障,随着互联网融入社会发展方方面面,互联网金融、共享经济、电子商务等各种新兴产业领域,以及正在推进“互联网+”的实体经济领域,都必须将网络安全置于企业发展首位。如果忽视了这一点,就可能带来金融秩序紊乱、民众资产巨额损失、违法犯罪现象屡屡出现等后果,对湖南稳定发展大局带来严重影响。
因此,强化网络安全体系建设,为湖南包括智能制造在内的互联网科技产业发展保驾护航,就成为制造产业从业者、企业以及各级职能部门都要齐抓共管、协同发力的大事。更应看到的是,网络安全产业本身也属于潜力无限、前景广阔的蓝海产业,网络安全包括基础设施保护、网络安全设备、安全服务、消费者安全等多个领域,据悉,2018年全球安全服务市场规模达到1000亿美元。
目前,以长沙为代表的湖南各地区也在充分把握网络安全市场需求快速增加这一趋势,大力构建相关产业带。长沙近年来以我国超级计算机及信息安全技术主要原生地国防科技大学为代表,加跨构建安全人才科研基地。以中国电子为龙头的PK体系及其适配生态已成为国内先进计算机软硬件应用的主流选择。在CPU、GPU、DSP、IGBT等研发、设计、生产成龙配套,也处于全国领先地位。就此,长沙在网络安全产业发展上逐步形成“产学研”一体化模式,也就具备了高质量发展的坚实基础。
未来,网络安全产业和智能制造产业有望成为湖南经济转型、产业升级的重要引擎。而借助湖南(长沙)网络安全·智能制造大会,湖南将与全国各地网络安全及智能制造行业进行更为深度的合作,推动更多技术成果和最新产品在湖南落地,通过优势互补、资源共享,进一步做大做强网络安全产业和智能制造产业
5G 赋能智能制造的安全防护技术研究
摘要:以 5G 为代表的新一代信息通信技术与工业经济深度融合,为工业乃至产业数字化、网络化、智能化的发展提供了新的实现途径。然而该技术在智能制造行业的具体应用中,往往面临着诸多安全问题。针对易实施、安全风险高的网络攻击,以加强终端接入安全和数据传输安全为出发点,选择在私有性较高的 5G 独立专网的基础上,研究基于认证鉴权和加密传输的 5G 安全防护技术,对降低信息泄露、丢失等风险以及提高物联网应用的安全性具有十分重要的现实意义。
内容目录:1 5G+ 物联网安全风险分析
2 5G 专网技术
2.1 虚拟专网
2.2 混合专网
2.3 独立专网
3 5G 物联网安全防护技术
3.1 认证和鉴权
3.2 加密传输
4 结 语
随着“工业 4.0”概念的提出,制造业的竞争格局发生重大调整,智能制造作为一种新的生产模式应运而生。其中,制造物联网技术将制造过程与物联网有效结合,可以实现对各生产环节的动态监测,其实现是智能制造领域的重要基础。此外,凭借大带宽、低时延和广连接的特性,以第 5 代移动 通 信 技 术(5th-Generation Mobile Communication Technology,5G)为代表的新一代信息通信技术为提高生产自动化程度及效率提供了可能 ,也为工业乃至产业数字化、网络化和智能化发展提供了新的实现途径。特别是在制造产业领域,5G 技术逐渐成为整个行业转型发展的核心技术,同时也将为“中国制造 2025”和“工业 4.0”提供关键支撑 。
然而,随着新兴技术的发展,新的安全问题也相继出现,如:业务数据被窃取、合法设备被非法控制、合法身份被冒用等,这些安全问题在特定的时刻将会造成难以预估的后果,因此,对 5G 应用在智能制造领域的安全防护技术进行研究必不可少。如文献 [4] 提出了构建 5G 物联网终端安全防护能力和方案的建设技术和思路;王晓阳提出了基于切片安全隔离技术,以此来降低网络被侵害的概率;李博等人则分析了 5G 在大规模机器通信场景下所面临的安全问题,并阐述了物联网纵深安全体系。
本文选择以 5G 独立专网建设为基础,结合终端认证鉴权、用户身份认证、数据传输加密等安全防护技术,实现了数据在企业内网合规高效地流转,进而提升了 5G 物联网的安全性,以期保障企业业务的机密性。
1
5G+ 物联网安全风险分析
在 5G 技术的牵引下,物联网有了新的发展动能,终端连接总数持续稳步增长,但同时物联网安全攻击数量也空前增长,“5G+ 物联网”信息安全存在众多潜在风险,其安全体系亟需持续发展完善。
按照网络架构层次划分,信息安全风险主要包括可能受到的物理攻击、网络攻击、软件攻击以及加密攻击 4 类。
(1)物理攻击。物理攻击主要针对物联网系统中的硬件设备,包括但不限于射频干扰、电磁干扰、节点干扰、篡改攻击、恶意节点注入、设备物理损毁和恶意代码注入等行为。
(2)网络攻击。网络攻击主要针对物联网系统中的网络,导致系统的机密性、完整性、可控性、真实性、抗抵赖性等受到不同程度的破坏,其包含4 个基本类型:信息泄露攻击、完整性破坏攻击、拒绝服务攻击和非法使用攻击。
(3)软件攻击。软件攻击中攻击者通过病毒、蠕虫、木马、勒索软件、间谍软件和广告软件等对物联网系统进行攻击,主要包括钓鱼式攻击、病毒 /蠕虫 / 特洛伊木马以及软件拒绝服务攻击。
(4)加密攻击。加密攻击通过对物联网系统中的加密技术进行破坏来获取私钥,主要包含信道攻击以及密码分析攻击。
上述可能受到的攻击使得现阶段物联网感知数据在传输过程中产生数据抗捕获性能较差、数据传输安全性较低等问题。如文献 [9] 中对较为常见的 5G 客户前置设备(Customer Premises Equipment,CPE)进行了安全性测试分析,发现测试设备存在一些常见的漏洞和安全问题,如未授权访问、弱口令和跨站脚本攻击等,同时,还注意到设备的网络流量中存在一些异常的数据,可能涉及恶意软件或攻击行为。文献 [10] 指出,无线接口劫持会导致合法终端接入非法网络,泄露敏感信息;如果 5G 网络身份认证能力不足,非法物联网终端可能接入业务系统,泄露或篡改业务数据,并导致物联网业务失效。
针对其中更易实施、安全风险更高的网络攻击,文中从 5G 网络建设、认证鉴权和数据传输加密等方面,建立信息安全风险防范措施,以保障“5G+物联网”技术体系的应用价值。
2
5G 专网技术
专用 5G 网络是可以使用授权频谱、非授权频谱或共享频谱的非公共移动网络 。专用 5G 网络可以在指定区域内实现无线信号覆盖,为特定用户在运营、管理以及生产和调度等环节提供专用无线通信服务。相较于公众网络,专用网络的性能更强,可靠性更高,安全性更好,且其具有需求易定制、数据不出厂区和性能稳定等优势。
在组网方式上,5G 网络包括独立组网、混合组网和虚拟专网 3 种专网组网模式 ,3 种组网方式的不同之处主要区别于无线网和核心网的共用程度。
核心网包含多个功能单元:接入和移动管理功能(Access and Mobility Management Function,AMF)、会话管理功能(Session Management Function,SMF)、用户面管理功能(User Plane Function,UPF)、统一数据管理(Unified Data Manager,UDM)、鉴权服务器功能(Authentication Server Function,AUSF)等网元。
AMF 为接入和移动性管理功能实体,主要负责注册、接入、移动性管理、鉴权及短信等功能;SMF 为会话管理功能实体,最主要的功能包括会话的建立、修改、释放;UPF 为用户面功能实体,最主要的功能包括负责数据包的路由转发、服务质量流映射。
5G 核心网通常采用服务化架构设计,网元功能实现了模块化解耦,AMF 和 SMF 分离,AMF 和SMF 的部署可逐层级分开。同时,5G 承载网与控制面会进行功能分离,UPF 和 SMF 的部署层级也能够分开;此外,AMF 和 UPF 也可根据对应的业务需求、信令、话务流量和传输资源进行灵活部署。
相较于独立专网,混合专网和虚拟专网在建设成本、部署周期、运维成本等方面都有较大的优势。依据网络定制化程度,3 种 5G 专网的总体部署方式对比如表 1 所示。
表 1 专网部署方式对比
2.1 虚拟专网
5G 虚拟专网是完全基于 5G 公共网络资源,共享公用基站和核心网,采用服务质量或切片技术,实现从无线基站到核心网完全共享的逻辑专网,如图 1 所示。在这种场景下,用户会将业务所需运算、存储和网络能力部署在云端服务器上,本地仅保留网络设备、部分安全设备以及业务所需的内部服务器,以降低部署成本,并满足一定的安全需求。
图 1 5G 虚拟专网
2.2 混合专网
5G 混合专网是通过 5G 数据分流的技术,将核心网的物联网相关功能从运营商的核心网下沉到用户专网侧,如图 2 所示。这种网络部署方式是部分独享、部分与公众网络共享的模式,混合组网最典型的组网方式是“核心网数据面独享,而控制面共享”的混合组网模式,即核心网的网元 UPF 为行业用户私有化部署,无线基站、核心网控制面网元根据需求灵活部署的方式 。
图 2 5G 混合专网
相对于虚拟专网和独立专网,混合组网模式在最大限度节约成本的条件下,不仅能够实现用户业务数据本地卸载,还保留了数据面的隔离性,进而能够实现数据本地处理,避免公众网络故障时对用户业务的影响。
2.3 独立专网
5G 独立专网是指通过专用基站、专用核心网等独享专网设备,采用专用频段完成网络建设,与公共 5G 网络进行物理隔离,从而达到数据信息高度保密的效果,如图 3 所示。
图 3 5G 独立专网
文献 [16] 中为满足军工客户要求,采用了基站独享及核心网部分网元全量下沉到厂区的部署方式,并且在厂区内部也实现本地纳管服务,使得与运营商公网实现了完全的物理隔离,形成了 5G 独享专网,从而保障无任何数据从生产区域流出。
3
5G 物联网安全防护技术
通常 5G 网络的独立程度越高、用户单位的业务数据就越保密,本文以 5G 独立专网建设为基础,研究面向 5G 物联网的安全防护技术。
制造车间包含大量异构信息的复杂系统,如图 4所示。以图 4 为例,针对工业现场机器设备类型和设备接口多样化的现状,采用支持该类主流协议的工业网关以实现异构网络的连接,对工业现场各种机器和设备接口进行统一管理,实现可靠接入,将采集的数据进行底层实时融合以及协议转换。
在图 4 所示的场景中,5G 物联网安全最主要包括接入安全和数据安全 。
图 4 基于 5G 的智慧制造车间场景
(1)接入安全。提供 5G 终端接入的网络准入和访问控制能力,多重的接入控制能确保只有合法的终端和合法的终端用户才能接入 5G 网络。
(2)数据安全。基于数据不出厂区的原则,从 5G 独立专网组网方式上保证业务数据的安全,并通过加密等手段做到数据不泄露。
3.1 认证和鉴权
针对 5G 终端的接入安全,整体包含 3 个方面:5G 终端主认证接入核心网、5G 终端二次鉴权认证和 5G 终端用户认证访问业务。
3.1.1 5G 终端主认证接入核心网
5G 终端主认证是指接入核心网,整体工作流程如下:
(1)插有 SIM 卡的 5G 终端首先向 5G 网络发起注册流程,通过基站和承载网向 5G 核心网控制面发起注册流程。
(2)终端通过注册流程会对 5G 核心网进行鉴权,验证 5G 网络的合法性,核心网也会对用户进行鉴权,来验证终端是否合法,双向鉴权以保证用户和 5G 网络之间的相互安全。
(3)若用户在核心网中已经签约,则核心网会通过用户注册请求,完成注册;如果用户未在核心网签约,核心网则会拒绝用户的接入请求。
3.1.2 5G 终端二次认证接入内网
为了支持二次认证等终端安全特性,需要在企业部署认证、授权、计费(Authentication、Authorization、Accounting,AAA)服务器,并和核心网的 SMF 模块连接。二次鉴权认证流程具体如下:
(1)终端发送上网请求;
(2)SMF 接到上网请求后,发送自主接入认证请求;
(3)AAA 接收到认证请求后,进行用户的信息校验;
(4)用户信息通过校验后,AAA 将认证结果答复给 SMF;
(5)SMF 建立会话连接,终端正常上网。
3.1.3 5G 终端用户认证访问业务
对 5G 终端进行认证鉴权入网后,在多人共用5G 终端的场景下,仍需要部署身份认证系统,对使用终端的用户做身份认证后,方可允许其访问特定的业务,如图 5 所示。
图 5 身份认证和访问控制
5G 终端用户认证访问业务具体操作流程如下:
(1)用户点击身份认证 App 发起认证过程;
(2)身份认证 App 向身份认证系统发起证书认证,身份认证系统验证身份合法之后返回身份令牌;
(3)用户点击应用 App,访问应用;
(4)应用 App 发起单点登录流程,向身份认证 App 请求获取应用对应的编码;
(5)身份认证 App 携带获取的令牌信息,向身份认证系统请求编码;
(6)身份认证系统验证令牌合法性之后,产生编码并返回至身份认证 App;
(7)身份认证 App 向应用 App 返回编码,用于单点登录;
(8)应用 App 将编码传递至应用系统;
(9)应用系统携带编码向身份认证系统请求访问票据信息,后者验证票据的合法性后返回用户信息;
(10)应用单点登录成功,可以访问业务系统。
3.2 加密传输
为防止企业数据泄露,可以从网络层和应用层2 个层面实现对数据的端到端加密,如图 6 所示。
图 6 端到端数据加密
应用层加密如图 6 中的 c 和 h 部分所示,需要在终端侧加密,在企业的应用服务器侧进行解密。
网络层加密如图 6 中的 a、b、d、e、f、g 部分所示,可以根据实际业务需求进行选择,包括:
(1)a 表示其他非 5G 终端连接 CPE 设备,需依赖 CPE 的加密功能。
(2)b 和 g 表示 5G 终端到核心网防火墙进行IPSEC 加密(5G 终端要具备 IPSEC 能力)。
(3)d 表示 5G 终端通过空口传输的业务和信令数据,流经空口信令面和用户面加密实现安全。空口加密需要终端和基站同时支持才能生效。
(4)e 表示基站—核心网之间的业务数据传输,属于机房内的可信网络,一般可将该段路径视为内部可信网络,可以不进行加密,如果需要,则可以采用基站到核心网之间的 IPSEC 加密方案。
(5)f 表示核心网—内网之间的业务数据,可以采用 IPSEC 加密保护,以核心网侧的防火墙作为起点,终结在企业内网网关,IPSEC 密钥由企业用户掌握。
通过分析整个通信链路中的数据传输风险,信号泄露最大可能存在于 5G 终端到基站的空口传输过程,因此最少需要满足空口加密过程 d,以此来保护数据不被窃密。
4
结 语
随着 5G 时代的到来,物联网容纳量大增,网络内可接入设备的种类和数量越来越多,真正使“万物互联”成为可能。通过对 5G 安全防护技术的研究,包括专网部署以及终端接入安全和数据安全的设计,大大提高了 5G 工业互联网的安全性,为 5G物联网在军事工业领域的应用提供了思路。
引用格式: 康亚利 . 5G 赋能智能制造的安全防护技术研究 [J]. 通信技术 ,2024,57(4):423-428.
作者简介 >>>
康亚利, 女,硕士,工程师,主要研究方向为信息安全、智能制造等。
选自《通信技术》2024年第4期(为便于排版,已省去原文参考文献)
相关问答
智能制造 信息 安全 技术具体有哪些?1.工业云安全技术(云安全包括虚拟化安全、数据安全、应用安全、管理安全等。);2.工业物联网安全技术(信息采集、传输、处理、隐私保护);3.工控系统安全技...
2019湖南(长沙) 网络安全 · 智能制造 大会的主题是什么?大概多...11月28日,2019湖南(长沙)网络安全·智能制造大会在长沙国际会展中心开幕,本次大会“创新引领、智造未来”为主题,以“全球视野、中国方案、湖南实践...
人工 智能 如何与信息 安全 平衡发展?近年来,随着机器学习、计算能力、存储能力以及云计算等技术发展,人工智能技术呈现出“井喷式”发展,家电、移动设备等各种硬件产品中都开始融入人工智能技术,...
化工 智能 巡检管理十万火急![回答]化工智能巡检为企业提供标准化的安全生产应用功能和信息服务支持,实现安全风险动态感知、事故隐患即时告警、安全监管准、安全治理智能决策,有力推...
智能制造 和工业4.0如何塑造供应链金融?工业物联网解决方案、3D打印和区块链是引领安全供应链新时代的一些最大技术什么是智能制造?这不是一个单一的概念,而是一系列为制造业带来效率和新机遇的技术...
人工 智能 时代对国家 安全 带来的机遇和挑战?是多方面的。机遇方面:提高国家安全决策的效率和准确性:人工智能可以协助政府部门对大量数据进行快速、准确的分析,从而提高决策效率和准确性,有助于制定更...
智能制造 装备的发展概况?,智能装备怎么选?[回答]这就需要安全性、可靠性技术的并行开发。《决定》的出台对加快推进我国智能制造装备产业发展,进一步带动整个制造业的产业转型升级带来了前所未有的...
智能 应用锁 安全 吗?任何事物都是相对性的,不光是质疑智能锁的安全性,就是普通门锁安全性也不小,关键看你怎么选择,选择正规厂家生产的,安全大多是有保障的。随着去年永康展会事...
人工 智能 在矿业 安全 方面的应用?由于矿业公司大量生产可互换的大宗商品,因此该行业高度关注如何提高各个环节的效率。在速度、产量和效率方面的微小改进通常可以将有利可图的业务与无利可图...
侨汇 智能安全 插座“LVC儿童安全插座”是西安侨汇信息技术发展有限公司自主研发和生产的的一款智能防触电安全插座,是一种防止未成年少年儿童触电的插座,专为保护儿童用电安全而设...