由于广播的传播特质,无线空中接口对于任何用户均是开放的,这完全不同于有线网络,通信设备通过电缆进行物理上的连接,节点在没有直接关联的情况下是无法访问网络的。开放的通信环境使无线传输比有线通信更容易受到恶意攻击,包括被动窃听数据拦截和干扰合法传输。
工业无线网络建设的初衷是开放、互联,提升生产效率,无线网络设备自带的安全机制必须结合无线特性,这导致了其安全性设计受到诸多限制。如ZigBee标准的安全设计,最高只提供基于共享密钥机制的通讯加密机制和基于ACL的访问授权机制;WiFi的802.1X的WEP安全机制因巨大的安全隐患已强制关闭使用等等。
随着我国《网络安全法》的实施,工业互联网的安全性得到广泛的重视,2018年上半年,工信部围绕构建工业互联网多层次安全保障体系,组织编制的《关于加强工业互联网安全工作的指导意见》已形成征求意见稿,拟定于下半年公布。权威人士透露,征求意见稿中明确提及,要出台一系列工业互联网安全管理配套制度,构建企业网络安全主体责任制,并加快工业互联网创新产品的推广。
该方案结合了多年无线渗透测试经验、密码技术实践经验的基础上,汇总出的利用国产密码技术建立“透明化”无线安全加固解决方案。
如上图所示,在安全接入区部署安全接入网关,安全管理区部署远程安全管控系统、密钥管理系统,在终端区部署安全终端来实现可管控的无线安全接入解决方案。
其中,安全接入网关以主路或旁路方式部署在安全接入区,远程安全管控系统、密钥管理系统以旁路方式部署在安全管理区,安全终端以主路方式部署在终端区。行业专用终端(如AGV小车等)通过网口(RJ45)、串口(RS485/232)等方式与安全终端连接,安全终端通过无线(支持802.11b/g/n、FDD-LTE\TD-LTE\WCDMA\GPRS、eLTE-5.8G等)、有线(RJ45)连接到现场网络。安全终端通过基于国密算法的身份鉴别与密钥协商机制与安全接入网关之间建立安全通道,并将安全通道分享给与其连接的行业终端,行业终端与应用服务器之间的交互信息都经安全通道传输。