時(shí)間:2023-05-31 09:42:25
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇車間安全解決方案,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
卡巴斯基實(shí)驗(yàn)室進(jìn)行的一項(xiàng)調(diào)查顯示,過去一年,每?jī)杉襂CS(工業(yè)控制系統(tǒng))公司中,就有一家經(jīng)歷過1到5次安全事故。平均來看,無效的網(wǎng)絡(luò)安全給工業(yè)機(jī)構(gòu)平均造成每年49.7萬美元的損失。盡管大多數(shù)工業(yè)機(jī)構(gòu)認(rèn)為自己已經(jīng)準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)安全事故,但他們的這種自信似乎并不充分。
新興的工業(yè)4.0趨勢(shì)使網(wǎng)絡(luò)安全成為全球工業(yè)組織的首要任務(wù),為應(yīng)對(duì)ICS帶來了新的挑戰(zhàn)。挑戰(zhàn)包括IT和運(yùn)營(yíng)技術(shù)(OT)的融合,以及向外部供應(yīng)商提供工業(yè)控制網(wǎng)絡(luò)。為了更深入地了解ICS組織目前所面臨的問題和機(jī)遇,卡巴斯基實(shí)驗(yàn)室和Business Advantage于2017年2月至4月進(jìn)行了一項(xiàng)涉及359名工業(yè)網(wǎng)絡(luò)安全從業(yè)人員參加的全球調(diào)查。調(diào)查的主要結(jié)果之一是人們對(duì)ICS事故的現(xiàn)實(shí)與感知之間存在差距。例如,盡管83%的受調(diào)查者認(rèn)為自己已經(jīng)準(zhǔn)備好應(yīng)對(duì)OT/ICS網(wǎng)絡(luò)威脅事故,但是參與調(diào)查的企業(yè)中,有一半在過去12個(gè)月內(nèi)經(jīng)歷過1倒5次IT安全事故,還有4%遭遇過超過6次安全事故。這就引出一個(gè)重要的問題――這些機(jī)構(gòu)的IT安全策略和保護(hù)手段應(yīng)該怎樣修改才能夠更有效地保護(hù)這些關(guān)鍵企業(yè)數(shù)據(jù)和技術(shù)流程的安全?
ICS企業(yè)意識(shí)到自己所面臨的風(fēng)險(xiǎn):74%的受調(diào)查企業(yè)認(rèn)為自己的基礎(chǔ)設(shè)施可能會(huì)遭遇網(wǎng)絡(luò)攻擊。盡管企業(yè)對(duì)最新威脅,如針對(duì)性攻擊和勒索軟件的認(rèn)知度有所提高,但I(xiàn)CS機(jī)構(gòu)面臨的最大痛點(diǎn)仍然是傳統(tǒng)惡意軟件。有56%的受調(diào)查企業(yè)認(rèn)為這種威脅仍然是造成安全事故的主要因素。在這種情況下,感知符合現(xiàn)實(shí):過去一年中,每?jī)杉移髽I(yè)中,就有一家不得不處理傳統(tǒng)惡意軟件感染造成的后果。
但是,在員工錯(cuò)誤和無意的行為之間也存在不匹配――這對(duì)于ICS機(jī)構(gòu)的威脅更大,超過來自供應(yīng)鏈和合作伙伴的威脅,以及外部攻擊造成的破壞和物理?yè)p害。但是,ICS機(jī)構(gòu)最擔(dān)心的前三位威脅中包含外部攻擊。
同時(shí),位居前三位的IT安全事故后果包括對(duì)產(chǎn)品和服務(wù)質(zhì)量造成損害,造成專利或機(jī)密信息丟失,造成生產(chǎn)減產(chǎn)或損失。
86%的受調(diào)查企業(yè)都具有通過批準(zhǔn)和歸檔的ICS網(wǎng)絡(luò)安全策略,目的是保護(hù)企業(yè)免受潛在的IT安全事故侵害。但是,事故經(jīng)驗(yàn)表明,僅有網(wǎng)絡(luò)安全策略是不夠的。由于缺乏內(nèi)部和外部的IT安全專業(yè)知識(shí),工業(yè)組織承認(rèn)缺乏專業(yè)知識(shí)是他們?cè)贗CS安全中最擔(dān)憂的問題。這一情況非常令人擔(dān)憂,因?yàn)樗砻鳎I(yè)機(jī)構(gòu)并沒有做好準(zhǔn)備應(yīng)對(duì)攻擊,而且經(jīng)常處在被攻擊的邊緣。有時(shí)候,攻擊者還是自己的員工。“內(nèi)部威脅危險(xiǎn)程度更高。我們受到良好的外部威脅保護(hù),但是內(nèi)部威脅會(huì)直接給我們?cè)斐捎绊懀瑳]有防范內(nèi)部威脅的防火墻。無法防范來自員工的威脅。”一家來自德國(guó)制造商的ICS囊等嗽背腥稀
積極的一面是,ICS從業(yè)人員采取的安全策略看起來相當(dāng)穩(wěn)固。 大多數(shù)公司已經(jīng)放棄使用網(wǎng)閘作為安全措施,而采用綜合的網(wǎng)絡(luò)安全解決方案。在未來的12個(gè)月內(nèi),參與調(diào)查的企業(yè)計(jì)劃部署工業(yè)異常檢測(cè)工具(42%),并且計(jì)劃對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)。有一半的受訪ICS公司承認(rèn),外部提供商可以訪問其組織中的工業(yè)控制網(wǎng)絡(luò),擴(kuò)大了威脅邊界,因此工業(yè)異常威脅檢測(cè)工具的部署很重要。
IT和OT系統(tǒng)日益增長(zhǎng)的互聯(lián)性帶來了新的安全挑戰(zhàn),需要董事會(huì)成員、工程師和IT安全團(tuán)隊(duì)充分準(zhǔn)備進(jìn)行應(yīng)對(duì)。他們需要對(duì)威脅環(huán)境有深刻的了解,仔細(xì)考慮保護(hù)手段,同時(shí)要確保提高員工的安全意識(shí)。網(wǎng)絡(luò)威脅已經(jīng)深入工業(yè)控制系統(tǒng)的車間,所以最好做好準(zhǔn)備進(jìn)行應(yīng)對(duì)。對(duì)于那些充分考慮到ICS需求的定制安全解決方案的企業(yè)來說,消除安全事故隱患將變得更為簡(jiǎn)單。
了解汽車工業(yè)的人都知道,現(xiàn)在幾乎在任何一家汽車制造車間,鋼板的搬運(yùn)、裝配,甚至打磨、噴涂大都由機(jī)器人完成。從全球范圍看,汽車工業(yè)是機(jī)器人應(yīng)用最廣泛的領(lǐng)域,汽車制造的高度自動(dòng)化使得機(jī)器人越來越多地出現(xiàn)在工廠里。
自動(dòng)化是現(xiàn)代化車間的重要標(biāo)準(zhǔn),可以想象,未來會(huì)有更多先進(jìn)的機(jī)器來代替人力,而人則主要負(fù)責(zé)維護(hù)和管理這些機(jī)器設(shè)備。然而這還不夠,互聯(lián)時(shí)代對(duì)工業(yè)制造提出了更高的要求,自動(dòng)化工廠進(jìn)一步升級(jí),增添了互聯(lián)的概念:把工廠的機(jī)器以及人連接到網(wǎng)絡(luò)中去,機(jī)器與機(jī)器之間、人與機(jī)器之間實(shí)現(xiàn)對(duì)話。
依托信息物理系統(tǒng)(CPS)和信息通信技術(shù)的結(jié)合,工廠將引入大數(shù)據(jù)技術(shù)進(jìn)行分析優(yōu)化管理,在計(jì)算機(jī)虛擬環(huán)境中,對(duì)整個(gè)生產(chǎn)過程進(jìn)行仿真、評(píng)估和優(yōu)化,最終將實(shí)現(xiàn)自動(dòng)化、智能化、互聯(lián)化的生產(chǎn)制造。
在德國(guó)人的概念中,能實(shí)現(xiàn)這種制造方式的工廠被稱為智能工廠。工業(yè)4.0戰(zhàn)略的展開方向之一就是智能工廠。
目前對(duì)于何為智能工廠有著各種各樣的描述,但并沒有一個(gè)統(tǒng)一標(biāo)準(zhǔn)化的定義。這種無法被定義的狀態(tài)恰是當(dāng)前智能工廠發(fā)展的真實(shí)寫照。
在這場(chǎng)新的變革中,汽車制造商、零部件供應(yīng)商、軟件提供商等站在各自需求角度對(duì)智能工廠都有著各自的解讀,也因而帶來了不同層面的實(shí)踐,以及不同形態(tài)的智能制造解決方案。
工廠里的變化
在德國(guó)博世洪堡工廠的一條液壓產(chǎn)品生產(chǎn)線上,所有零件都配備一個(gè)獨(dú)特的射頻識(shí)別碼(RFID),并能同沿途關(guān)卡自動(dòng)對(duì)話,當(dāng)工件到達(dá)某個(gè)工位時(shí),顯示屏上就會(huì)相應(yīng)提示員工所需處理的具體工作內(nèi)容,而每一個(gè)工位也可以根據(jù)員工的個(gè)性化設(shè)置進(jìn)行自動(dòng)調(diào)節(jié)。
博世在全球超過250家工廠里應(yīng)用工業(yè)4.0的理念和技術(shù),其位于中國(guó)蘇州的工廠也是其工業(yè)4.0試點(diǎn)基地之一,在那里,從基礎(chǔ)的無紙化辦公到自動(dòng)備料系統(tǒng)的實(shí)施都已經(jīng)一一成為現(xiàn)實(shí)。
在未來博世的工廠里,一臺(tái)平板電腦的視頻圖像上會(huì)給出所顯示部件的綜合信息和維修指令,工人可以直接通過觸摸屏處理這些信息。
雖然身處工業(yè)4.0的前沿陣地,但博世只會(huì)去做真真切切可以獲得效益的項(xiàng)目,博世集團(tuán)中國(guó)區(qū)總裁陳玉東說:“工業(yè)4.0理念在推向各生產(chǎn)線的時(shí)候,生產(chǎn)線必須要具備一定的條件,比如要有自動(dòng)化的程度,必須要有需求,同時(shí)這個(gè)生產(chǎn)線必須要在變化很大的情況下實(shí)現(xiàn)工業(yè)4.0才有一定的利益。”
持相似觀點(diǎn)的還有德國(guó)蒂森克虜伯集團(tuán)董事會(huì)主席海里希?赫辛根(Heinrich Hiesinger),在他看來,工業(yè)4.0概念的推行是要做很多前期準(zhǔn)備工作的。
比如必須要做好IT基礎(chǔ)設(shè)施的準(zhǔn)備,網(wǎng)速要有保障,而且這些新的基礎(chǔ)設(shè)施還要能整合到現(xiàn)有生產(chǎn)設(shè)施當(dāng)中,才能保證以高效的方法來傳遞和輸送大量信息和數(shù)據(jù)。
現(xiàn)在,蒂森克虜伯集團(tuán)希望將2300多個(gè)不同地點(diǎn)的IT網(wǎng)絡(luò)能夠通過高速和超寬帶寬的基礎(chǔ)設(shè)施聯(lián)系起來。
還有一個(gè)重要的前提是生產(chǎn)設(shè)施的自動(dòng)化。2014年11月,蒂森克虜伯發(fā)動(dòng)機(jī)系統(tǒng)(常州)有限公司正式開業(yè),這家發(fā)動(dòng)機(jī)系統(tǒng)生產(chǎn)基地將為中國(guó)生產(chǎn)發(fā)動(dòng)機(jī)缸蓋罩蓋模塊總成。這家工廠的自動(dòng)化水平非常高,赫辛根認(rèn)為自動(dòng)化不但是向工業(yè)4.0邁出的第一步,也是一個(gè)堅(jiān)實(shí)的基礎(chǔ)。
目前,蒂森克虜伯正在積極推動(dòng)的工業(yè)4.0的行業(yè)是傳統(tǒng)的行業(yè)――鋼鐵制造。不過,這也并不令人覺得驚奇,因?yàn)殇撹F正是蒂森克虜伯的傳統(tǒng)業(yè)務(wù)。
客戶通過電子訂單系統(tǒng)把需要的鋼板信息發(fā)送到蒂森克虜伯,這些信息和數(shù)據(jù)又馬上會(huì)傳送到生產(chǎn)公司,生產(chǎn)時(shí)的相關(guān)信息和數(shù)據(jù)又被錄入到SAP系統(tǒng)當(dāng)中。這樣,一塊鋼板在生產(chǎn)過程當(dāng)中就已經(jīng)被賦予一個(gè)電子編碼,包含了完備的產(chǎn)品信息。
在整個(gè)生產(chǎn)的過程當(dāng)中,客戶可以實(shí)時(shí)地知道所有鋼板的待產(chǎn)情況,同時(shí)也可以更改一些序列,或者是一些生產(chǎn)的要求。只要在鋼板付諸生產(chǎn)之前的8小時(shí)告訴蒂森克虜伯,就可以馬上做出更改。目前這一流程已經(jīng)在德國(guó)的一個(gè)工廠開始實(shí)施了。
赫辛根有這樣一個(gè)觀點(diǎn):工業(yè)4.0的方法和理論是可以應(yīng)用到任何行業(yè)當(dāng)中的,因?yàn)樗年P(guān)鍵并不是生產(chǎn)什么,而是怎么生產(chǎn)。在一些傳統(tǒng)行業(yè)中使用工業(yè)4.0的理論和方法,它所帶來的商業(yè)上的改進(jìn)有時(shí)比一些較現(xiàn)代的行業(yè)來說更大。
比如通過自動(dòng)化的方法把這種工業(yè)4.0的理論使用到鋼鐵的生產(chǎn)當(dāng)中,對(duì)它的成本降低只有10%。但是對(duì)于鋼鐵生產(chǎn)廠這樣大規(guī)模的生產(chǎn)企業(yè)來說,它所節(jié)約的成本數(shù)以億計(jì)。
類似的探索也發(fā)生在其他很多企業(yè)的工廠生產(chǎn)線上,尤其在工業(yè)4.0概念的誕生地德國(guó)。
德國(guó)半導(dǎo)體制造廠商英飛凌在德累斯頓的300毫米和200毫米晶圓工廠,先進(jìn)的流程控制保障了領(lǐng)先的質(zhì)量和無紙自動(dòng)化工廠運(yùn)營(yíng),實(shí)現(xiàn)了所有零部件全程可追溯以及高效的工廠間物流。其中的200毫米德累斯頓工廠已100%實(shí)現(xiàn)自動(dòng)化,完全依靠機(jī)器人操作。英飛凌還計(jì)劃在奧地利的菲拉赫工廠創(chuàng)建工業(yè)4.0試點(diǎn)基地。
先進(jìn)的技術(shù)也被引入英飛凌在中國(guó)無錫的工廠。作為英飛凌全球后道的試點(diǎn),英飛凌無錫工廠2014年開始實(shí)施的后道自動(dòng)化線路圖BEAR項(xiàng)目已經(jīng)在智能制造和零缺陷制造上初見成效,中國(guó)的團(tuán)隊(duì)甚至已經(jīng)開始把先進(jìn)的經(jīng)驗(yàn)帶給德國(guó)的雷根斯堡。
作為法國(guó)汽車零部件企業(yè),佛吉亞也正在計(jì)劃推出自己的“佛吉亞4.0”,佛吉亞董事長(zhǎng)兼首席執(zhí)行官嚴(yán)德勝(Yann Delabrière)透露,“我們將推出一個(gè)叫‘未來運(yùn)營(yíng)’的概念,它會(huì)提供一套全新的管理流程、生產(chǎn)流程、工藝流程,并從整體的角度轉(zhuǎn)變我們的行業(yè)”。
雙重角色
在推進(jìn)工業(yè)4.0的過程中,數(shù)據(jù)安全是企業(yè)非常關(guān)注的一項(xiàng)內(nèi)容。英飛凌與德國(guó)電信共同推出一款用于保護(hù)網(wǎng)絡(luò)化生產(chǎn)的安全解決方案。
在去年德國(guó)IT峰會(huì)上,德國(guó)總理默克爾觀看的工業(yè)4.0智能生產(chǎn)演示中,英飛凌的安全產(chǎn)品對(duì)生產(chǎn)的各個(gè)環(huán)節(jié)進(jìn)行身份認(rèn)證,以保障整個(gè)生產(chǎn)過程的數(shù)據(jù)和信息安全。
除了在自己的工廠里實(shí)踐工業(yè)4.0,還為別的企業(yè)提供應(yīng)對(duì)工業(yè)4.0的解決方案――在工業(yè)4.0的推進(jìn)中,英飛凌扮演了雙重角色。
同樣扮演雙重角色的還有博世、西門子等巨頭企業(yè),它們也基于各自的優(yōu)勢(shì)推出了自己的智能制造解決方案。
西門子認(rèn)為未來互聯(lián)網(wǎng)與傳統(tǒng)制造業(yè)的結(jié)合會(huì)在數(shù)字工廠落地,因此它推出了自己的數(shù)字工廠解決方案(Digital Factory Solution)。為此,西門子早有布局,在2006年以32億美元收購(gòu)PLM軟件商UGS。
UGS擁有在線設(shè)計(jì)軟件平臺(tái)NX,其中內(nèi)置CAD、CAM等一系列設(shè)計(jì)軟件,還包括數(shù)字化生產(chǎn)流程規(guī)劃軟件Tecnomatix,以及市面上領(lǐng)先的cPDM解決方案Teamcenter。西門子將UGS的軟件平臺(tái)接入自己的工業(yè)自動(dòng)化生產(chǎn)系統(tǒng)之上,形成了一套制造業(yè)解決方案。
整合之后,西門子數(shù)字工廠藍(lán)圖初具規(guī)模,基于數(shù)據(jù)分享的合作平臺(tái),生產(chǎn)者與用戶、供應(yīng)商共同組成數(shù)字工廠,通過PLM、MES、TIA三位一體的軟件系統(tǒng)平臺(tái),實(shí)時(shí)溝通,達(dá)成產(chǎn)品從研發(fā)設(shè)計(jì)到售后服務(wù)的全周期管理。
在數(shù)字模擬平臺(tái)上,虛擬產(chǎn)品與現(xiàn)實(shí)中在工廠走流程的產(chǎn)品一一對(duì)應(yīng)。工廠內(nèi)的具體執(zhí)行系統(tǒng),可以根據(jù)數(shù)字模擬平臺(tái)的要求進(jìn)行一定程度的重構(gòu)。目前西門子的數(shù)字工廠解決方案,已經(jīng)在一些高端汽車業(yè)的自動(dòng)化制造過程中得到應(yīng)用。
另外,為了配合自己的工業(yè)自動(dòng)化產(chǎn)品,西門子還推出了一款“西門子工業(yè)支持中心”的APP。這個(gè)APP將西門子的5000多份各種手冊(cè)、操作指南,以及60000多個(gè)常見問題解答集成到網(wǎng)絡(luò)平臺(tái),給客戶提供了極大便利。
博世也一直在研究工業(yè)4.0的解決方案,近來推出了“慧連制造”解決方案(Intelligent Connected Manufacturing solutions)。該方案核心為制造-物流軟件平臺(tái),包括制程質(zhì)量管理(Process Quality Manager)、遠(yuǎn)端服務(wù)管理(Remote Service Manager)、預(yù)測(cè)維護(hù)(Predictive maintenance)三個(gè)部分。
制程質(zhì)量管理:對(duì)生產(chǎn)全過程中所有的車間、流水線、作業(yè)區(qū)、機(jī)器設(shè)備實(shí)時(shí)監(jiān)控;操作界面把各環(huán)節(jié)的表現(xiàn)指標(biāo)和容忍度可視化,并對(duì)可能出現(xiàn)的波動(dòng)提前預(yù)警。工作人員可以直觀地感受到整個(gè)流程是否順暢,及早對(duì)表現(xiàn)不正常的生產(chǎn)環(huán)節(jié)進(jìn)行糾正。
遠(yuǎn)端服務(wù)管理:這一系統(tǒng)允許機(jī)器的制造者在遠(yuǎn)端控制產(chǎn)品,幫助客戶解決在機(jī)器裝配、使用中遇到的問題。例如博世的工作人員可以在辦公室里,對(duì)在世界其他角落的設(shè)備進(jìn)行功能測(cè)試、參數(shù)設(shè)置、數(shù)據(jù)接入、錯(cuò)誤排查、故障解除等工作。大幅縮減設(shè)備交割、安裝、售后維修的工作量。
預(yù)測(cè)維護(hù):基于博世物聯(lián)網(wǎng)套裝,廠家可以通過裝在產(chǎn)品上的傳感器實(shí)時(shí)掌握其工作狀態(tài),并對(duì)可能出現(xiàn)的檢修維護(hù)做準(zhǔn)確預(yù)測(cè),減少用戶停產(chǎn)檢修的次數(shù)。
有人認(rèn)為,在這個(gè)方案中,制程質(zhì)量管理已經(jīng)具備了工廠內(nèi)信息實(shí)時(shí)互聯(lián)等智慧工廠的基本要素,遠(yuǎn)端服務(wù)管理、預(yù)測(cè)維修,都是基于物聯(lián)網(wǎng)產(chǎn)生的價(jià)值鏈延伸。也就是說博世的慧連制造已經(jīng)具備了工業(yè)4.0的關(guān)鍵基礎(chǔ)。
整車廠的應(yīng)對(duì)
工業(yè)4.0不是一場(chǎng)突然而至的革命,也不是可以一蹴而就的革新。寶馬集團(tuán)工業(yè)4.0生產(chǎn)專家克里斯蒂安?潘純(Christian Patron)博士認(rèn)為,“在寶馬集團(tuán),不斷改進(jìn)生產(chǎn)系統(tǒng)是日常工作,工業(yè)4.0是符合寶馬邏輯的下一步,而絕不是革命性改變”。
寶馬工廠在自動(dòng)化智能化上的一些嘗試,有的已經(jīng)被列為工業(yè)4.0的生產(chǎn)方式。
一個(gè)廣被提及的事例是,寶馬蘭茨胡特工廠在汽車保險(xiǎn)杠生產(chǎn)中啟用非接觸式手勢(shì)識(shí)別系統(tǒng)。這種系統(tǒng)被視為一種智能人機(jī)交互的范例。虛擬手勢(shì)識(shí)別系統(tǒng)由安裝在檢驗(yàn)工作區(qū)域上方的2臺(tái)3D攝像機(jī)、紅外傳感器等部分組成,系統(tǒng)內(nèi)保存有保險(xiǎn)杠部件的3D實(shí)體模型數(shù)據(jù),并在檢驗(yàn)區(qū)域建立起3D空間掃描坐標(biāo)系。
當(dāng)工件進(jìn)入檢驗(yàn)區(qū)后,檢驗(yàn)人員只需幾個(gè)手勢(shì),即可完成檢驗(yàn)工作:比如指點(diǎn)偏差所在的部位后,設(shè)備即可精確記錄下該偏差產(chǎn)生的位置以及偏差數(shù)據(jù);而如果零件合格,檢驗(yàn)員只需滑動(dòng)手指,就可以指示系統(tǒng)該零件已經(jīng)通過檢驗(yàn)。
在這套創(chuàng)新系統(tǒng)的支持下,不但能夠加速檢測(cè)過程,檢驗(yàn)精度和零件偏差的定位精度也大幅提升。同時(shí)因無需配備護(hù)目鏡、麥克風(fēng)等裝備,提升了檢驗(yàn)員工作的舒適度及工作效率,而且,系統(tǒng)操作簡(jiǎn)單易學(xué),大受檢驗(yàn)人員的認(rèn)可和歡迎。
這正印證了寶馬集團(tuán)新任董事長(zhǎng)科魯格(Harald Kruger)的表述――“對(duì)寶馬而言,工業(yè)4.0并不是一味追求自動(dòng)化,排斥人參與生產(chǎn)的全過程;與之相反,我們認(rèn)為未來的智能科技將著眼于更高層次的人機(jī)交互領(lǐng)域,讓科技裝備為工作人員提供更好的支持。”
5月22日,奧迪在公司年度股東大會(huì)上,通過“Encounter”雜志詮釋了“智能工廠”(Smart Factory)的愿景。在他們的規(guī)劃中,有朝一日,汽車工廠將擁有與當(dāng)下截然不同的智能系統(tǒng)、創(chuàng)新技術(shù),以及高效組織構(gòu)架。在他們的規(guī)劃中,裝配線已不復(fù)存在,井然有序的流水作業(yè)也不再適用。平板運(yùn)輸機(jī)器人――所謂的“自動(dòng)運(yùn)輸系統(tǒng)”(Driverless Transport Systems)“搬運(yùn)”著各種尚未制造完成的汽車,在這座工廠中你會(huì)看到奧迪的所有車型,但卻已經(jīng)找不到兩輛完全相同的汽車。奧迪為這一場(chǎng)景轉(zhuǎn)化為現(xiàn)實(shí)設(shè)定了時(shí)間截點(diǎn)――2030年。
相比寶馬等德國(guó)車企,日系車企豐田也有自己成熟的制造體系,雖然日本沒有提出類似工業(yè)4.0的概念,但豐田基于1960年代創(chuàng)造的精益生產(chǎn)的基礎(chǔ)所做的擴(kuò)展,在某種程度上,與21世紀(jì)出爐的工業(yè)4.0理念有很多相融合之處。
2012年豐田宣布啟動(dòng)的TGNA(Toyota New Global Architecture,豐田新全球架構(gòu))將在今年年內(nèi)正式投入使用。TNGA可實(shí)現(xiàn)同平臺(tái)車型使用大量通用化零部件,通用比例可最終達(dá)到70%~80%。這樣,大量的開發(fā)資源能更加集中于一個(gè)部件,車輛的開發(fā)流程得到優(yōu)化,開發(fā)效率由此可提高20%~30%,大大縮短車型研發(fā)和生產(chǎn)周期。
基于這一平臺(tái),車輛將從車身設(shè)計(jì)和內(nèi)飾等外在方面凸顯個(gè)性與特色,顧客個(gè)性化定制也成為現(xiàn)實(shí),一臺(tái)混合動(dòng)力車,外觀的顏色、內(nèi)飾的顏色能就有幾十種組合可供選擇。
作為江蘇無錫市惠山區(qū)重點(diǎn)企業(yè)的上汽大通,也在向工業(yè)4.0的標(biāo)準(zhǔn)靠攏,其無錫基地目前已經(jīng)大量使用機(jī)器人和傳感技術(shù)。
今年年初開工建設(shè)的無錫基地三期項(xiàng)目,也將以智能工廠、智能生產(chǎn)和智能物流為依托,制造的標(biāo)準(zhǔn)化、精益化、柔性化、模塊化等均有相應(yīng)規(guī)劃。在未來的智能車間里,計(jì)算機(jī)虛擬工廠、智能排產(chǎn)、仿真技術(shù)等都將廣泛運(yùn)用。
產(chǎn)業(yè)鏈的震蕩
從原材料到零部件,從生產(chǎn)到銷售再到售后,汽車的產(chǎn)業(yè)鏈非常長(zhǎng)。這一鏈條上的一點(diǎn)變動(dòng)勢(shì)必使得整個(gè)鏈條上的其他部分隨之發(fā)生變化。不管是零部件還是主機(jī)廠,都能感受到這根鏈條傳遞過來的震蕩。
工業(yè)4.0要求設(shè)備之間具有開放性和協(xié)同性,意味著信息的互動(dòng)和產(chǎn)業(yè)鏈的互動(dòng)會(huì)更加及時(shí)。可以想見,今后供應(yīng)鏈的庫(kù)存量會(huì)進(jìn)一步降低,可追溯性會(huì)更強(qiáng),哪個(gè)零部件在哪一道工序上進(jìn)行組裝出現(xiàn)任何瑕疵,瑕疵來自哪幾道工序,都可以快速定位。
在大陸集團(tuán)執(zhí)行董事會(huì)成員及動(dòng)力總成事業(yè)部總裁瓊斯?阿韋拉(José Avila)看來,現(xiàn)在的全球供應(yīng)鏈相對(duì)來說還是比較復(fù)雜的,能見度比較低,在出現(xiàn)問題時(shí),下游可能不能及時(shí)應(yīng)對(duì),比如如果日本出現(xiàn)海嘯或者地震,影響了某個(gè)零部件供應(yīng)商,對(duì)于其他地區(qū)和下游端會(huì)帶來很大的影響,由此帶來一些零部件的短缺。
而如果實(shí)施工業(yè)4.0,就會(huì)使供應(yīng)鏈具備完全的透明度,讓每個(gè)環(huán)節(jié)環(huán)環(huán)相扣,提高相關(guān)的應(yīng)對(duì)能力。瓊斯?阿韋拉說,“工業(yè)4.0有非常大的潛力,能夠幫助我們?cè)谡麄€(gè)供應(yīng)鏈當(dāng)中提高生產(chǎn)力,大大提高供應(yīng)鏈的透明性,從我們的合作伙伴、供應(yīng)商,一直到我們的客戶,整個(gè)鏈條變得更加透明”。
透明度提高意味著可控性更高,也意味著供應(yīng)鏈能變?yōu)檎嬲娜蛐怨?yīng)鏈。
整車廠家向供應(yīng)商獲取更多信息和系統(tǒng)的支持,已經(jīng)成為一種發(fā)展趨勢(shì)。未來,制造商和供應(yīng)商的協(xié)作互動(dòng)將空前緊密,而新的競(jìng)爭(zhēng)機(jī)會(huì)也隨之誕生。
博世一項(xiàng)名為開放式接口的新技術(shù),改變了此前的一個(gè)游戲規(guī)則――以前,提供控制技術(shù)的主要廠商會(huì)向整車制造商開放一條預(yù)先定義好的功能通道。如果整車制造商希望在預(yù)定義的通道之外實(shí)現(xiàn)某一功能,就必須向控制技術(shù)提供商尋求幫助。而通過該技術(shù),整車制造商可以自己選擇相應(yīng)的語(yǔ)言,在平板電腦上就完成控制技術(shù)的編程設(shè)計(jì),甚至實(shí)現(xiàn)實(shí)時(shí)應(yīng)用。
博世集團(tuán)CEO沃爾克馬爾.鄧納爾博士(Volkmar Denner)告訴《汽車商業(yè)評(píng)論》:“隨著工業(yè)4.0時(shí)代的到來,一些新的面孔,特別是信息技術(shù)領(lǐng)域的佼佼者,也將陸續(xù)進(jìn)入制造產(chǎn)業(yè),從而改變客戶與供應(yīng)商之間的關(guān)系。基于生產(chǎn)流程中的一系列數(shù)據(jù),他們將有能力為客戶提供新的解決方案。”
【關(guān)鍵詞】:無線局域網(wǎng);標(biāo)準(zhǔn);安全;趨勢(shì)
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:E 文章編號(hào):1006-0510(2008)09066-05
前言
無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備,省去了布線的麻煩,組網(wǎng)靈活。無線局域網(wǎng)(WLAN)是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機(jī)的入網(wǎng)要求,也可實(shí)現(xiàn)計(jì)算機(jī)局域網(wǎng)遠(yuǎn)端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動(dòng)中聯(lián)網(wǎng)和在網(wǎng)間漫游的場(chǎng)合,并在不易架設(shè)有線的地力和遠(yuǎn)沖離的數(shù)據(jù)處理節(jié)點(diǎn)提供強(qiáng)大的網(wǎng)絡(luò)支持。因此,WLAN已在軍隊(duì)、石化、醫(yī)護(hù)管理、工廠車間、庫(kù)存控制、展覽和會(huì)議、金融服務(wù)、旅游服務(wù)、移動(dòng)辦公系統(tǒng)等行業(yè)中得到了應(yīng)用,受到了廣泛的青睞,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性,它能大幅提高用戶訪問信息的及時(shí)性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴(yán)峻的安全問題。
1.無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后,迅速成為事實(shí)標(biāo)準(zhǔn)。遺憾的是,從它的誕生開始,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國(guó)加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計(jì)失誤,接下來信息安全研究人員發(fā)表了大量論文詳細(xì)討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實(shí)驗(yàn)中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場(chǎng)上買到,能夠?qū)λ孬@數(shù)據(jù)進(jìn)行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個(gè)廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強(qiáng)的無線局域網(wǎng)安全標(biāo)準(zhǔn)應(yīng)運(yùn)而生。
我國(guó)從2001年開始著手制定無線局域網(wǎng)安全標(biāo)準(zhǔn),經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時(shí)兩年多制定了無線認(rèn)證和保密基礎(chǔ)設(shè)施WAPI,并成為國(guó)家標(biāo)準(zhǔn),于2003年12月執(zhí)行。WAPI使用公鑰技術(shù),在可信第三方存在的條件下,由其驗(yàn)證移動(dòng)終端和接入點(diǎn)是否持有合法的證書,以期完成雙向認(rèn)證、接入控制、會(huì)話密鑰生成等目標(biāo),達(dá)到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動(dòng)終端、接入點(diǎn)和認(rèn)證服務(wù)單元三部分組成,類似于802.11工作組制定的安全草案中的基本認(rèn)證結(jié)構(gòu)。同時(shí)我國(guó)的密碼算法一般是不公開的,WAPI標(biāo)準(zhǔn)雖然是公開的,然而對(duì)其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開。
增強(qiáng)的安全草案也是歷經(jīng)兩年多時(shí)間定下了基本的安全框架。其間每個(gè)月至少召開一次會(huì)議,會(huì)議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個(gè)月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過程中,我們能夠更加清楚地認(rèn)識(shí)到無線局域網(wǎng)安全標(biāo)準(zhǔn)的方方面面,有利于無線局域網(wǎng)安全的研究。
2.無線局域網(wǎng)的安全必要性
WLAN在為用戶帶來巨大便利的同時(shí),也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全,所以在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎任何一個(gè)WLAN用戶都能接觸到這些數(shù)據(jù),要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的。而防火墻對(duì)通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由,它安裝時(shí)間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時(shí)靈活、經(jīng)濟(jì),可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時(shí)帶來了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個(gè):信息保密、身份驗(yàn)證和訪問控制。如果這三個(gè)要素都沒有問題了,就不僅能保護(hù)傳輸中的信息免受危害,還能保護(hù)網(wǎng)絡(luò)和移動(dòng)設(shè)備免受危害。難就難在如何使用一個(gè)簡(jiǎn)單易用的解決方案,同時(shí)獲得這三個(gè)安全要素。國(guó)外一些最新的技術(shù)研究報(bào)告指出,針對(duì)目前應(yīng)用最廣泛的802.11bWLAN 標(biāo)準(zhǔn)的攻擊和竊聽事件正越來越頻繁,故對(duì)WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發(fā)現(xiàn)其可能存在的安全缺陷,研究相應(yīng)的改進(jìn)措施,提出新的改進(jìn)方案,對(duì) WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠(yuǎn)的影響。
同有線網(wǎng)絡(luò)相比,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚啵允紫纫訌?qiáng)這一方面的安全性。
無線局域網(wǎng)中的設(shè)備在實(shí)際通信時(shí)是逐跳的方式,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā),要么是兩臺(tái)用戶設(shè)備直接通信,每一種通信方式都可以用鏈路層加密的方法來實(shí)現(xiàn)至少與有線連接同等的安全性。無線信號(hào)可能被偵聽,但是,如果把無線信號(hào)承載的數(shù)據(jù)變成密文,并且,如果加密強(qiáng)度夠高的話,偵聽者獲得有用數(shù)據(jù)的可能性很小。另外,無線信號(hào)可能被修改或者偽造,但是,如果對(duì)無線信號(hào)承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù),以使得接收方可以檢測(cè)到數(shù)據(jù)是杏被更改,那么,對(duì)于無線信號(hào)的更改將會(huì)徒勞無功。而秘密的獨(dú)有性也將使得偽造數(shù)據(jù)被誤認(rèn)為是合法數(shù)據(jù)的可能性極小。
這樣,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)就可以為無線局域網(wǎng)提供一個(gè)類似有線網(wǎng)的物理安全的保護(hù)。對(duì)于無線局域網(wǎng)中的主機(jī),面臨病毒威脅時(shí),可以用最先進(jìn)的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時(shí)實(shí)檢測(cè)系統(tǒng)異常。PC機(jī)和筆記本電腦等設(shè)備己經(jīng)和病毒進(jìn)行了若千年的對(duì)抗,接下來的無線設(shè)備如何與病毒對(duì)抗還是一個(gè)待開發(fā)領(lǐng)域。
對(duì)于DOS攻擊或者DDOS攻擊,可以增加一個(gè)網(wǎng)關(guān),使用數(shù)據(jù)包過濾或其它路由設(shè)置,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對(duì)外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址,可以減小風(fēng)險(xiǎn)。對(duì)于內(nèi)部的惡意用戶,則要通過審計(jì)分析,網(wǎng)絡(luò)安全檢測(cè)等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶,并且對(duì)于用戶的認(rèn)證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認(rèn)證用戶是不適當(dāng)?shù)摹?/p>
除了以上的可能需求之外,根據(jù)不同的使用者,還會(huì)有不同的安全需求,對(duì)于安全性要求很高的用戶,可能對(duì)于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對(duì)于進(jìn)出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證,只能結(jié)合用戶的具體需求,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù),構(gòu)建安全的網(wǎng)絡(luò)。
當(dāng)考慮與其它安全系統(tǒng)的合作時(shí),無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機(jī)密,數(shù)據(jù)的完整,提供身份識(shí)別框架和接入控制框架,完成用戶的認(rèn)證授權(quán),信息的傳輸安全等安全業(yè)務(wù)。對(duì)于防病毒,防泄密,數(shù)據(jù)傳輸?shù)牟豢傻仲嚕档虳oS攻擊的風(fēng)險(xiǎn)等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實(shí)現(xiàn)。
3.無線局域網(wǎng)安全風(fēng)險(xiǎn)
安全風(fēng)險(xiǎn)是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機(jī)。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號(hào)是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機(jī)收聽廣播的情況一樣,人們?cè)陔娕_(tái)發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機(jī)收聽廣播,如果收音機(jī)的靈敏度高一些,就可以收聽到遠(yuǎn)一些的發(fā)射臺(tái)發(fā)出的信號(hào)。當(dāng)然,無線局域網(wǎng)的無線信號(hào)的接收并不像收音機(jī)那么簡(jiǎn)單,但只要有相應(yīng)的設(shè)備,總是可以接收到無線局域網(wǎng)的信號(hào),并可以按照信號(hào)的封裝格式打開數(shù)據(jù)包,讀取數(shù)據(jù)的內(nèi)容。
另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時(shí)也可以被其它的設(shè)備讀取,并且,如果使用一些信號(hào)截獲技術(shù),還可以把某個(gè)數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。
因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會(huì)被偵聽、修改、偽造,對(duì)無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟(jì)損失。
3.2 無線局域網(wǎng)中主機(jī)面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺(tái)主機(jī)聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對(duì)于主機(jī)的攻擊可能會(huì)以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會(huì)出現(xiàn)專門針對(duì)無線局域網(wǎng)移動(dòng)設(shè)備,比如手機(jī)或者PDA的無線病毒。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國(guó)際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會(huì)加劇。
對(duì)于無線局域網(wǎng)中的接入設(shè)備,可能會(huì)遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對(duì)該IP的Dog或者DDoS會(huì)使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓。當(dāng)某個(gè)惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會(huì)造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動(dòng)性和通常比較高的價(jià)值,這造成的一個(gè)負(fù)面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會(huì)使得基于硬件的身份識(shí)別失效,同時(shí)硬件設(shè)備中的所有數(shù)據(jù)都可能會(huì)泄漏。
這樣,無線局域網(wǎng)中主機(jī)的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果。
4.無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場(chǎng)的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機(jī)覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個(gè)方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對(duì)使用無線局域網(wǎng)存在顧慮。
4.1 IEEE802. 11 b標(biāo)準(zhǔn)的安全性
IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對(duì)等加密(WEP)。
4.1.1認(rèn)證
當(dāng)一個(gè)站點(diǎn)與另一個(gè)站點(diǎn)建立網(wǎng)絡(luò)連接之前,必須首先通過認(rèn)證。執(zhí)行認(rèn)證的站點(diǎn)發(fā)送一個(gè)管理認(rèn)證幀到一個(gè)相應(yīng)的站點(diǎn)。IEEE 802.11b標(biāo)準(zhǔn)詳細(xì)定義了兩種認(rèn)證服務(wù):一開放系統(tǒng)認(rèn)證(Open System Authentication):是802.11b默認(rèn)的認(rèn)證方式。這種認(rèn)證方式非常簡(jiǎn)單,分為兩步:首先,想認(rèn)證另一站點(diǎn)的站點(diǎn)發(fā)送一個(gè)含有發(fā)送站點(diǎn)身份的認(rèn)證管理幀;然后,接收站發(fā)回一個(gè)提醒它是否識(shí)別認(rèn)證站點(diǎn)身份的幀。一共享密鑰認(rèn)證(Shared Key Authentication ):這種認(rèn)證先假定每個(gè)站點(diǎn)通過一個(gè)獨(dú)立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個(gè)秘密共享密鑰,然后這些站點(diǎn)通過共享密鑰的加密認(rèn)證,加密算法是有線等價(jià)加密(WEP )。
4.1.2 WEP
IEEE 802.11b規(guī)定了一個(gè)可選擇的加密稱為有線對(duì)等加密,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對(duì)稱加密,加密和解密的密鑰及算法相同。WEP的目標(biāo)是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護(hù)數(shù)據(jù)流。
IEEE 802.11b標(biāo)準(zhǔn)提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享一包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶適配器。當(dāng)用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。第二種方案中是在每一個(gè)客戶適配器建立一個(gè)與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。
4.2 影響安全的因素
4.2.1 硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個(gè)密鑰,該密鑰或者存儲(chǔ)在磁盤上或者存儲(chǔ)在無線局域網(wǎng)客戶適配器的存儲(chǔ)器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點(diǎn)。如果多個(gè)用戶共享一個(gè)客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當(dāng)一個(gè)客戶適配器丟失或被竊的時(shí)候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測(cè)到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰。客戶端越多,重新編碼WEP密鑰的數(shù)量越大。
4.2.2 虛假接入點(diǎn)
IEEE802. 1 1b共享密鑰認(rèn)證表采用單向認(rèn)證,而不是互相認(rèn)證。接入點(diǎn)鑒別用戶,但用戶不能鑒別接入點(diǎn)。如果一個(gè)虛假接入點(diǎn)放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進(jìn)行拒絕服務(wù)或攻擊。
因此在用戶和認(rèn)證服務(wù)器之間進(jìn)行相互認(rèn)證是需要的,每一方在合理的時(shí)間內(nèi)證明自己是合法的。因?yàn)橛脩艉驼J(rèn)證服務(wù)器是通過接入點(diǎn)進(jìn)行通信的,接入點(diǎn)必須支持相互認(rèn)證。相互認(rèn)證使檢測(cè)和隔離虛假接入點(diǎn)成為可能。
4.2.3 其它安全問題
標(biāo)準(zhǔn)WEP支持對(duì)每一組加密但不支持對(duì)每一組認(rèn)證。從響應(yīng)和傳送的數(shù)據(jù)包中一個(gè)黑客可以重建一個(gè)數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測(cè)工EEE802. 11 b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點(diǎn)MAC地址,內(nèi)部主機(jī)MAC地址,上網(wǎng)時(shí)間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細(xì)資料。為減少這種黑客活動(dòng),一個(gè)終端應(yīng)該使用每一個(gè)時(shí)期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個(gè)標(biāo)準(zhǔn)的開放式的安全方案,它能為用戶提供最強(qiáng)的安全保障,確保從控制中心進(jìn)行有效的集中管理。它的核心部分是:
擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol,EAP),是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)的擴(kuò)展。可以使無線客戶適配器與RADIUS服務(wù)器通信。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時(shí),在一個(gè)BSS范圍內(nèi)的站點(diǎn)只有通過認(rèn)證以后才能與接入點(diǎn)結(jié)合。當(dāng)站點(diǎn)在網(wǎng)絡(luò)登錄對(duì)話框或類似的東西內(nèi)輸入用戶名和密碼時(shí),客戶端和RADIUS服務(wù)器(或其它認(rèn)證服務(wù)器)進(jìn)行雙向認(rèn)證,客戶通過提供用戶名和密碼來認(rèn)證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認(rèn)證的過程是:一個(gè)站點(diǎn)要與一個(gè)接入點(diǎn)連接。除非站點(diǎn)成功登錄到網(wǎng)絡(luò),否則接入點(diǎn)將禁止站點(diǎn)使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對(duì)話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802. lx協(xié)議,站點(diǎn)和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點(diǎn)進(jìn)行雙向認(rèn)證。可以使用幾個(gè)認(rèn)證方法中的一個(gè)。
相互認(rèn)證成功完成后,RADIUS服務(wù)器和用戶確定一個(gè)WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃?jí)的網(wǎng)絡(luò)接入。以此給每一個(gè)用戶提供與有線交換幾乎相同的安全性。用戶加載這個(gè)密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時(shí)期密鑰。接入點(diǎn)用時(shí)期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時(shí)期密鑰來解密。用戶和接入點(diǎn)激活WEP,在這時(shí)期剩余的時(shí)間內(nèi)用時(shí)期密鑰和廣播密鑰通信。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當(dāng)?shù)氖褂谩o論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部(合法用戶)的攻擊。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會(huì)超出一個(gè)組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機(jī)制,其代碼清理和模式跳躍是隨機(jī)的。在整個(gè)傳輸過程中,頻率波段和調(diào)制不斷變化,計(jì)時(shí)和解碼采用不規(guī)則技術(shù)。
正是可選擇的加密運(yùn)算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中,認(rèn)證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機(jī)制之外,更多的安全機(jī)制正在出現(xiàn)和發(fā)展之中。
5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢(shì)
目前無線局域網(wǎng)的發(fā)展勢(shì)頭十分強(qiáng)勁,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:一是真正的安全保障;二個(gè)是將來的技術(shù)發(fā)展方向;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場(chǎng)規(guī)模。看來無線局域網(wǎng)真正的騰飛并非一己之事。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進(jìn)行互動(dòng),達(dá)到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢(shì)互補(bǔ)性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展。現(xiàn)在國(guó)內(nèi)中興通訊己經(jīng)實(shí)現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對(duì)于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當(dāng)其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標(biāo)準(zhǔn)系列里面,并且與3G互通的認(rèn)證標(biāo)準(zhǔn)EAP-AID也成為討論的焦點(diǎn)。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個(gè)趨勢(shì)。802.11工作組新成立了WIG,該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標(biāo)準(zhǔn)的無線域網(wǎng)之間實(shí)現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個(gè)草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實(shí)現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。
不同類型無線局域網(wǎng)互通標(biāo)準(zhǔn)的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個(gè)運(yùn)營(yíng)商那里注冊(cè),就可以在各地接入。當(dāng)然,用戶享用上述方便的同時(shí),必然會(huì)使運(yùn)營(yíng)商或制造商獲得利潤(rùn),而利潤(rùn)的驅(qū)動(dòng),則是這個(gè)互通風(fēng)潮的根本動(dòng)力。為了達(dá)到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對(duì)用戶端設(shè)備,比如客戶端軟件,影響要最小,對(duì)經(jīng)營(yíng)者管理和維護(hù)客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動(dòng),敏感數(shù)據(jù),比如存在UICC卡中的長(zhǎng)期密鑰不能傳輸。對(duì)于UICC卡的認(rèn)證接口應(yīng)該是基于該密鑰的Challenge-, Response模式。用戶對(duì)無線局域網(wǎng)接入的安全級(jí)別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認(rèn)證,所選的認(rèn)證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認(rèn)證機(jī)制至少要提供3 GPP系統(tǒng)認(rèn)證的安全級(jí)別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認(rèn)證機(jī)制應(yīng)該支持會(huì)話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機(jī)制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會(huì)話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認(rèn)證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進(jìn)行認(rèn)證的長(zhǎng)期的安全要素應(yīng)該可以在一張UICC卡中存下。
對(duì)于非漫游情況的互通時(shí),這種情況是指當(dāng)用戶接入的熱點(diǎn)地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡(jiǎn)單地說,就是用戶在運(yùn)營(yíng)商那里注冊(cè),然后在該運(yùn)營(yíng)商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點(diǎn)地區(qū)接入時(shí)的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)、3G-AAA(移動(dòng)網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計(jì)帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)、OCS(在線計(jì)帳系統(tǒng))。
對(duì)于漫游的互通情況時(shí),3G網(wǎng)絡(luò)是個(gè)全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實(shí)現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認(rèn)證的找到用戶所注冊(cè)的歸屬網(wǎng)絡(luò)。
在無線局域網(wǎng)與3G互通中有如下認(rèn)證要求:該認(rèn)證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認(rèn)證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程,有一點(diǎn)不同在于在認(rèn)證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。
