工业互联网园区终端接入自动化技术白皮书

工业互联网园区终端接入自动化技术白皮书（2021年）工业互联网产业联盟（AII）2021年9月 声明本报告所载的材料和信息，包括但不限于文本、图片、数据、观点、建议，不构成法律建议，也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟所有（注明是引自其他方的内容除外），并受法律保护。如需转载，需联系本联盟并获得授权许可。未经授权许可，任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用，不得将报告的全部或部分内容通过网络方式传播，不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者，本联盟将追究其相关法律责任。工业互联网产业联盟联系电话：010-62305887邮箱：aii@caict.ac.cn 编写说明园区作为工业互联网企业集聚区，部署了大量基础设施，为企业用户提供了众多的公共服务。随着物联网和5G通信技术的发展，工业园区的终端数量将会呈现爆发式增长，海量终端的接入自动化就显得尤为重要。同时，终端设备的增多，也使得企业园区变得更加复杂，未经授权的非法终端接入，会给整个园区网络带来安全威胁。因而，园区终端接入和安全自动化是企业数字化转型的关键环节。在此形势下，工业互联网产业联盟（以下简称“联盟/AII”）组织多家企业联合撰写了《工业互联网园区终端接入自动化技术白皮书》。本白皮书首先分析了园区终端接入的现状和园区网络面临的挑战，接着介绍了业界现有的网络技术和标准，给出了园区终端接入自动化的解决方案，并详细阐述了其中的关键技术，最后对终端接入自动化进行了总结和展望。本白皮书编写过程中，得到了AII联盟成员及国内外众多技术专家的大力支持，为白皮书的观点形成与编写提供了有力支撑。后续我们将根据业界的实践情况和各界的反馈意见，在持续深入研究的基础上适时修订和发布的新版本。牵头编写单位：华为技术有限公司参与编写单位：中国信息通信研究院，广东九联科技股份有限公司，北京研华电子兴业电子科技有限公司 编写组成员：（排名不分先后）华为技术有限公司杨杰、侯方明中国信息通信研究院张恒升、陈洁广东九联科技股份有限公司何云华、戴林皓北京研华电子兴业电子科技有限公司耿琪之 目录一、园区终端接入现状..............................................................1（一）园区终端发展趋势.................................................1（二）园区终端给网络带来的挑战................................3（三）园区终端接入自动化的发展路线........................6二、园区终端接入自动化技术标准概述................................9（一）设备与链路发现...................................................10（二）接入认证技术.......................................................13（三）策略管控技术.......................................................20三、园区终端接入自动化解决方案.......................................27（一）总体架构...............................................................28（二）终端设备即插即用...............................................29（三）终端设备二次认证...............................................34（四）终端设备可视可管...............................................36四、园区终端接入自动化总结与展望...................................37（一）发布技术白皮书...................................................38（二）打造业界最佳实践...............................................38（三）推动产业链协同创新...........................................39五、参考文献...........................................................................39 1一、园区终端接入现状（一）园区终端发展趋势IoT已经成为当今世界的焦点，基于智能终端的万物互联，已经成为技术发展和产业应用的必然趋势。随着我国对工业4.0、智慧城市、制造强国和数字中国战略的大力推进，智能终端正在加速渗透到制造、交通、安防、环境、电力、能源、医疗等相关行业和领域。IoT时代将有数量庞大的、种类繁多的智能终端接入企业网络，例如智联网联汽车、网络摄像头、机器人、无人机等，并覆盖制造、安保、能源、物流等众多应用领域。当前，企业智能终端数量正处于高速增长阶段，根据IoTAnalytics的预测报告，2021年全球活跃的IoT终端设备数量会达到117亿台，到2025年将达到309亿台，年复合增长率达13%，如下图1所示：图1IoTAnalytics全球活跃的IoT终端设备数量预测 2同时，根据Gartner发布的IoT标准与协议成熟度曲线2020，如下图2所示：图2GartnerIoT标准和协议成熟度曲线-2020从上图中，我们可以得出IoT领域的标准和技术，存在如下趋势：终端IPv6化，将进入成熟部署阶段各种无线连接技术，包括Wi-Fi、5G、NB-IOT、LoRa、Bluetooth等，已成为终端连接的热点技术基于平台的设备自动发现和认证标准，包括oneM2M、LwM2M等，已进入技术验证阶段终端接入安全变得至关重要，Gartner建议IoT厂商遵循UL2900中定义的安全指导原则，并通过测试认证面向未来的物联网，需要以适应“数字化、智能化“为发展方向，通过云化、网络IP化、无线化、AI化等技术应用，彻底消除“信息 3孤岛”和“数据碎片化”，实现数字信息的泛在互联、高效通信，从而驱动产业升级，提高生产效率、降低管理成本、重构商业模式，提升用户体验，开启“数字经济”新时代。（二）园区终端给网络带来的挑战园区网络，实现了企业内部不同业务、终端之间的连接和通信。工业互联网园区网络，主要由工业生产网、企业信息网、园区公共服务网以及云基础设施组成，其网络架构如下图3所示：图3工业互联网园区网络架构图以工业生产网络为例，它主要连接工厂内部的各种要素，包括人员（如生产人员、设计人员、外部人员）、机器（如生产装备）、材料（如原材料、过程件、制成品）、环境（如仪表、监测设备）等，包含多种不同的生产终端。典型的工业生产网络架构，如下图4所示： 4图4工业生产网络架构图随着网络规模的不断增大，园区网络终端接入存在如下难点和挑战：1)设备数量庞大：随着技术提高，越来越多的设备可以接入网络，对整个园区来说是海量设备、海量布线。依靠人工对每一个设备进行识别管理、制定规则，工作量大效率低，甚至出现故障后用户无感知，解决故障恢复时间长；2)设备种类多：除了智能手机、Pad等终端设备，还有打印机、传感器等哑终端，以及各种各样的园区终端设备，采用不同的终端接入协议。传统封闭的“七国八制”终端接入协议，没有统一的标准，使得企业园区的管理和运维更加复杂；3)设备识别困难：不同的设备具有不同的能力，访问网络的行为也不同。在企业园区中部署大数量、多种类的终端，就需要更自动、更精准的设备识别技术，否则后续无法正确管理设备； 54)接入安全管理复杂：非法终端接入、网络隔离措施、智能终端安全防护等，依赖于人工参与，无法及时阻止病毒和网络攻击。同时，当发生入侵攻击、恶意破坏、误操作等事件发生时，用户无法及时定位和有效溯源。当接入设备的安全状态发送变化、出现安全事件时，需要自动及时响应；近年来,出现过安全漏洞问题的企业不在少数，设想针对自动化制造环境部署的工业互联网，如果出现了安全漏洞将会导致怎样的混乱，生产停机和设备损坏又可能造成怎样的财务损失?下图5展示了企业网络被攻击的场景：图5企业网络终端被攻击的一个案例其中，企业网络中存在安全摄像头、温控计、打印机和移动设备，所有的通信路径都是开放的，它们可能会被互联网上的攻击者进行端口扫描（或者被劫持）。比如，本地网络中的安全摄像头被黑客攻击了，则黑客会利用该摄像头对本地和远程目标发起额外的攻击，造成更大的事故。因此，现代化的企业生产网，对于所有接 6入的工业生产设备，都必须实现接入控制，进行接入认证和访问授权。（三）园区终端接入自动化的发展路线终端设备在企业园区的大规模部署，首先需要解决其接入自动化，即终端设备的即插即用、安全接入认证和可视可管。当前，业界有两条创新路线，分别是以云平台为锚点和以网络基础设施为锚点。1.以云平台为锚点Case1：云服务商AWS首先，AWS为IoT终端设备提供SDK，由设备预安装。终端设备上线时通过MQTT、HTTP或WebSockets协议，接入到AWS的IoT系统，无缝安全地与AWSIoT系统提供的设备网关和设备影子协作，自动化的完成认证&鉴权。如下图6所示：图6云服务商AWSIoT终端接入自动化解决方案Case2：云服务商阿里云 7与AWS的终端接入自动化方案类似，阿里云LinkID²将密钥分发中心和认证中心作为两个服务，以SDK的方式提供给终端设备预安装。其中，分发中心采用硬件加密机和安全存储技术，确保密钥云端生成和存储的安全，与合作伙伴的安全产线对接，确保密钥安全烧录到各种安全等级的载体上。客户将安全载体集成到园区终端设备，基于设备端和云端的SDK，调用ID²认证中心提供的设备认证、信息加密等接口，建立安全通道，保障业务数据的不可抵赖性、完整性和保密性。如下图7所示：图7云服务商阿里云IoT终端接入自动化解决方案2.以网络基础设施为锚点Case1：网络设备商CiscoCisco终端接入自动化解决方案基于IETFMUD。首先，IoT终端设备制造商通过定义MUDFile，完成对IoT终端的描述（如设备类型等）及其网络权限的定义。当MUD-Capable的终端设备上线时，设备通过内置的MUDURL，向厂家的MUDFileServer获取设备的描述信息和接入策略，自动化实现设备的即插即用。如下图8所示： 8图8网络设备商CiscoIoT终端接入自动化解决方案Case2：设备商ForeScoutForeScout终端接入自动化解决方案基于终端指纹库，提供可视化平台，包括ForeScoutDeviceCloud和ForeScoutResearch。其中，ForeScoutDeviceCloud基于来自10多个行业的500多家企业客户的设备分类，建立丰富的分类标准，可以根据设备的类型和功能、操作系统和版本、制造商和型号对设备进行自动分类。ForeScoutResearch利用云中超过300万个现实世界设备的情报，周期性发布这些新配置文件，以帮助提高分类效果和覆盖。其解决方案如下图9所示： 9图9网络设备商ForeScoutIoT终端接入自动化解决方案以上两条业界终端接入自动化的创新路线，虽然实现方式不同：以云平台为锚点的终端接入自动化解决方案，需要在IoT终端设备预置云服务商的SDK；以网络基础设施为锚点的终端接入自动化解决方案，需要对现有终端进行MUD-Capable改造，或者依赖终端指纹库；但核心理念是一致的，即：IoT终端设备接入园区网络，从原有的单设备认证和策略授权，发展到基于生态链集成的自动化认证和策略授权，实现终