在新一代科技革命和产业变革的浪潮下,世界主要国家都将工业互联网作为增强未来产业竞争力的战略方向。工业互联网的基础是构建满足工业生产运行的高可靠、高性能、高弹性的网络。5G网络基于无线新空口能力,采用网络切片、边缘计算等新技术。具有大带宽、低时延、广连接、可定制等特点,符合工业互联网的需求。“5G+工业互联网”是利用第五代移动通信技术(5G)满足工业智能化发展对网络的需求。5G与工业互联网融合创新发展,将推动数字中国和智慧社会建设,加快我国新型工业化进程,为我国经济发展注入新动能。然而,5G与工业互联网的深度融合在加速行业数字化转型的同时,也打破了传统行业封闭的生产环境,带来更加严峻的安全挑战。工业互联网安全防护方式需要从被动防护转向主动防御。在此过程中,运营商应充分发挥5G网络优势,利用5G网络安全能力赋能工业互联网安全场景。工业互联网行业安全需求终端控制安全需求5G与工业互联网的融合,让海量工业终端接入工业互联网成为可能。大量工业终端具有低功耗、计算和存储资源有限的特点,难以部署复杂的安全策略。终端设备的漏洞和后门暴露在相对开放的5G网络中,很容易成为分布式拒绝服务(DDoS)攻击的源头,形成大规模的僵尸网络,攻击行业应用和后台系统等。中断、系统瘫痪和其他安全风险。工业互联网企业越来越重视终端管控的安全性,需要自主掌控终端接入的认证管理。数据保护安全要求工业互联网企业内部生产管理数据、生产运行数据、工况数据、外部协作数据等信息一旦被不法分子泄露、滥用或篡改,可能导致系统设备故障,影响生产安全事故,影响生产经营安全,甚至威胁公共安全和国家安全。随着工业互联网数据安全重要性的日益凸显,工业互联网数据成为重点攻击目标,面临的安全风险日益严峻。工业互联网数据安全是保障工业互联网企业正常生产经营、经济社会健康发展、国家安全的有效保障的重要前提。工业互联网企业迫切需要提高工业数据的安全保护水平。网络隔离安全需求随着工业互联网企业数字化转型进程的加快,传统的专网技术难以满足工业互联网企业不断变化的信息化业务需求。“5G+工业互联网”不仅满足工业互联网企业数字化转型需求,还将企业网络从工厂内网延伸至外部5G移动通信网络。传统行业封闭的生产环境被打破,工业互联网企业迫切需要外部5G网络提供专用网络通道,与其他公网服务和行业应用服务安全隔离,保障企业业务安全。5G网络运营商需要根据工业互联网行业用户的业务需求,提供量身定制的网络服务。边缘计算安全需求为满足工业互联网低时延业务需求,引入5G边缘计算技术,将计算能力和IT服务环境下沉到移动通信网络边缘,就近为用户提供服务。工业互联网园区部署5G核心网元UPF时,网络边界模糊,传统的物理边界保护难以应用。边缘计算节点承载着工业互联网行业的各种应用服务,成为黑客首选的攻击目标。需要提升安全能力,抵御各类高强度网络攻击,为MEC应用提供安全的部署环境。工业互联网企业需要根据运营和攻击行为的变化,集中管理和编排安全防护策略,灵活动态地按需为边缘计算应用提供安全服务。网络运营商“5G+工业互联网”安全能力如图1所示。5G网络作为工业互联网的重要基础设施,可以提供终端接入安全、用户数据安全、网络隔离安全、边缘计算安全等能力。图1“5G+工业互联网”典型组网及安全能力终端接入安全包括终端接入认证和接入控制。可定义多种接入认证方式,从网络级认证、切片认证到数据网络认证,可根据不同业务灵活配置认证策略,满足不同行业接入认证的安全需求。也可以根据业务和位置信息,根据工业互联网行业的个性化需求,设置不同的访问控制策略。用户数据安全包括数据传输安全和用户身份识别安全。可根据工业互联网企业需求,定义数据加密方式,提供用户面数据保护和用户身份隐私保护。网络隔离安全包括RAN隔离、承载隔离和核心网隔离。5G网络可以利用专网技术和切片技术,实现端到端的网络安全隔离,为工业互联网企业提供可定制的安全网络。边缘计算安全能力包括边缘数据安全(用户数据不出园区)、APP安全防护等,部署边缘计算安全能力可以满足工业互联网企业数据出园需求,防止恶意APP入侵攻击MEP、APP间非法互访等安全问题。“5G+工业互联网”安全能力场景化解决方案终端接入安全切片认证5G网络可通过切片认证,限制特定终端接入工业互联网企业专属切片。网络切片是具有特定无线配置和传输配置的网络功能的集合。它可以在同一组物理设备上提供多个端到端的虚拟网络。这些功能可以灵活部署在网络的任何节点(接入、边缘、核心)。工业互联网企业使用切片技术,将不同切片之间的数据进行隔离。只有经过授权的终端才能访问切片中的数据,从而保证终端访问安全。通过在校园切片中配置IMSI(InternationalMobileSubscriberIdentity,国际移动用户身份)和S-NSSAI(SingleNetworkSliceSelectionAssistanceInformation)的对应关系,AMF(AccessandMobilityManagementFunction,接入和移动管理功能)发起一个5G工业互联网终端切片接入鉴权流程,仅限制工业互联网企业认可的IMSI列表中的终端接入企业专用切片,保障切片终端合法接入。二次认证针对的是对终端有多种访问控制需求的工业互联网企业。5G网络可以为其提供底层认证通道,企业可以选择或定制特定的认证算法和协议,实现自主可控的二次认证。5G工业互联网终端接入工业互联网企业DN(Datanetwork,数据网络)之前,首先需要完成与5G核心网UDM(UnifiedDataManager,统一数据管理平台)网元和AUSF(AuthenticationServerFunction,认证服务器功能))网元之间的主要认证过程。初级认证通过后,SMF(SessionManagementFunction,会话管理功能)网元在建立用户面数据通道之前,会根据合约信息发起二级身份认证过程。SMF网元向AAA(Authentication,Authorization,Accounting)服务器发送鉴权启动消息,建立5G工业互联网终端与AAA服务器之间的鉴权通道,AAA服务器向5G工业互联网终端发送消息进行二次认证。二次认证通过后,5G核心网将与5G工业互联网终端数据网络建立连接。AAA服务器可以由工业互联网企业自行部署,通过UPF(UserPlaneFunction)网元接入SMF网元,也可以由5G网络运营商直接部署在通信机房,接入SMF网元。5G网络运营商在云端提供AAA服务,工业互联网企业用户以租户形式对网络接入终端进行二次身份认证。业务准入控制5G网络运营商可以向工业互联网企业用户开放终端标识信息,并通过SMF将终端标识信息转发给企业业务准入控制系统,企业可以自主实现基于终端标识信息的业务控制。对于有业务准入控制需求但无法自行部署业务准入系统的工业互联网企业,5G网络运营商可以在云端提供业务准入控制服务,企业可以以租户形式对网络接入终端进行业务准入控制。终端接入位置控制5GC维护两类列表:IMSI与工业互联网园区切片S-NSSAI的对应关系和TAI与园区切片S-NSSAI的对应关系。规划园区TAI列表属于5G网络运营商大网TAI列表的子集时,可以实现终端进入园区后允许使用园区服务和大网服务,只允许接入出园后的大型网络服务。当校园TAI列表独立规划且与5G网络运营商大网TAI列表不重叠时,终端只允许使用园区业务,离开后不允许接入园区业务或大网业务公园。针对对终端定位精度要求更高的工业互联网企业,5G网络运营商还可以结合5G蜂窝网络定位能力提供终端定位服务。用户数据安全数据传输安全对于工业互联网上的敏感业务数据,5G网络可以保障用户面空口数据传输的安全。根据5G核心网元SMF下发的安全策略,5G基站gNodeB可以启动UE(UserEquipment,用户设备)与gNodeB之间用户面数据的机密性保护、完整性保护和抗重放保护,保护空中接口用户平面数据传输安全。用户ID安全针对用户ID在网络上以明文形式传输的问题,黑客有机会通过空中接口窃取用户ID,威胁用户隐私和安全。5G网络运营商可以提供用户ID隐私保护服务。工业互联网终端使用内置5G网络公钥的5GSIM卡,将SUPI(SubscriptionPermanentIdentifie,用户永久标识符)加密成SUCI(SubscriptionConcealedIdentifie,用户隐藏标识符)进行传输。加密后的SUCI只能通过5G核心网中的私钥解密,可以有效防止用户身份在网络传输过程中暴露。NetworkSecurityIsolation无线接入网隔离无线接入网的隔离主要是针对无线频谱资源和基站处理资源,采用专网技术或切片技术实现。主要实现方式有独立基站、频谱独占、PRB(PhysicalResourceBlock,物理资源块)独占等。用于安全级别最高的应用(如工业控制)或仅用于局部区域服务于工业矿山、无人工厂等互联网应用,可以通过独立基站的形式实现RAN隔离。对于对资源隔离度和业务质量保障要求较高的工业互联网应用,可以利用资源频谱独占权,划分运营商的一部分频谱资源,单独分配给工业互联网应用业务。对于需要资源隔离和服务质量保证的工业互联网应用,可以使用独享PRB,为工业互联网应用切片配置一定比例的PRB。PRB的正交性确保了切片的隔离。承载网隔离承载网隔离的主要实现方式有FlexE隔离和VLAN隔离。FlexE隔离是根据时隙调度将一个物理以太网端口划分为多个以太网弹性管道(逻辑端口),使承载网具有类似时分复用的独享时隙,隔离性好。VLAN隔离是通过VLAN标签和网络切片标识之间的映射来实现的。不同的切片数据根据切片标识映射封装不同的VLANTag,通过VLAN隔离实现切片的承载隔离。核心网隔离5G核心网由具有多种不同网络功能的虚拟化网元构建,可采用多种隔离机制,满足工业互联网企业不同的安全需求。主要有以下四种实现方式。一种是独占使用CPF和UPF,主要针对电网等对安全要求最高的场景。这样,核心网的所有控制面网元(包括AMF、AUSF、UDM、UDR、PCF、SMF)和用户面网元UPF都专供工业互联网行业用户使用。二是专供CPF和UPF,主要面向工控等对网络安全隔离要求高的工业互联网企业。该模式下,核心网控制面网元专供,用户面网元UPF专供工业互联网行业用户使用。UPF可以根据容量和时延的要求选择建设在核心机房或边缘机房。三是CPF全部共享,UPF独享。主要针对工厂、园区等有一定数据安全隔离要求,对UPF部署位置有严格要求的工业互联网企业。该模式下,核心网控制面网元全部共享,新建用户面网元UPF,专供工业互联网行业用户使用,可在工业互联网企业园区部署。第四,CPF和UPF全部共享,分片虚拟资源隔离,主要针对有一定数据安全隔离需求,对UPF部署位置没有要求的工业互联网行业用户。该模式下,核心网的控制面网元和用户面网元UPF全部共享,服务工业互联网行业用户,虚拟资源通过切片隔离。边缘计算安全能力数据出园企业数据对于工业互联网企业来说非常重要,工业互联网企业对用户面数据出园有着强烈的需求。对此,运营商可以通过数据出园的网络架构设计,以及对出园数据的识别和阻断,为工业互联网企业提供数据出园服务。5G网络运营商可在工业互联网园区部署5G用户面网元UPF,通过工业互联网终端合约约束,实现用户面数据不可停放。在UPF的信令管理面部署流量探针,进行智能分析识别。只有信令和OM相关的数据可以流出,保证没有业务数据流出工业互联网园区。APP安全防护在边缘计算平台的开放架构下,工业互联网企业非常关注第三方APP的安全防护。APP安全防护包括APP网络安全隔离、APP访问控制、应用列表安全管理。对于共享物理链路的不同APP,应在网络层进行逻辑分区,实现MEP与APP之间、APP与APP之间的安全隔离,部署不同的vFW(VirtualFireWalls,虚拟防火墙)进行保护。可以应用存储加密、镜像加密、完整性验证等手段,防止APP间无保护访问导致的容器级攻击、资源层横向移动攻击、应用层攻击、业务流量攻击。可以收集MEC资产列表,对租户文件和APP进行安全分析,管理应用黑白名单。5G为工业互联网企业提供网络连接和计算处理平台的支持。安全是保障工业互联网在各生产领域落地实施的前提,也是产业安全和国家安全的重要基础和保障。要高度重视工业互联网安全,立足5G自身安全能力,结合工业互联网业务特点和运营模式,有针对性地提供安全防护解决方案,提升工业互联网安全防护能力。
