工业互联网产业联盟：工业互联网园区终端接入自动化技术白皮书（45页）.pdf

1、开局阶段首次认证，包括链路自动发现，和本地认证过程。主要实现终端设备的自动发现，终端设备自动识别，对于终端设备的本地接入认证过程。完成首次认证后，设备接入网络，但只获得有限的本地网络访问权限，无法访问终端设备业务。终端设备需在PKI 上申请合法的 PKI 证书，用于访问业务的二次认证过程。 二次认证完成本地认证的终端设备，仍然没有访问业务的权限，只能具备访问网络中的部分区域的网络设备的能力，因此只有有限的部分访问权限。此时终端设备和业务网络之间访问是隔离的，这样可以避免终端仿冒设备会对网络构成安全威胁。终端设备访问相应的业务则需要再进行数据证书二次认证。建议由 SDN 控制器引导终端设备，到

2、PKI 服务器上申请数字证书，基于电子身份规约的业务识别能力，发放业务(比如：便捷通行)对应的 PKI 证书给终端设备，并重新引导网络策略，完成终端设备的二次接入认证。 网络授权终端设备证书采用 PKI 数字证书进行二次接入认证，AAA 服务器校验证书合法性后，决定准许访问业务。SDN 控制器在发放终端设备的二次认证数字证书时，也会发放新的网络接入点(比如：指定引导到新AP 或者SSID)，终端设备即可访问新的 AP 或者 SSID。园区终端接入自动化基于终端设备的电子身份规约。其中，电子身份规约标识，包含：设备版本号、厂家信息、产品名称、终端类型、SN、标识符、安全启动、加密算法、传输加密及

3、 option 字段。通过生态集成，构建终端和网络设备的电子身份规约的标记和识别能力。电子身份规约的携带，可以通过以下几种报文：有线园区终端：在设备上线后，通过设备发现协议(比如DHCP,LLDP 等)中携带的电子身份规约，终端设备响应报文中也携带电子身份规约，设备对接后彼此完成终端设备类型识别;通常，园区终端入网认证方式有两种：管理员审批入网和管理员免审批入网。前者在园区终端首次认证时，会将终端信息上报给管理员，管理员通过手动方式选择终端是否可以审批通过。后者免认证方式，则需要管理员通过描述终端上二维码信息，将终端的身份信息录入平台白名单，设备在认证时，完成白名单审核，即可认证通过。无论哪种方式，相对于传统 PC 终端需要安装下载数字证书等方式，园区终端的认证过程结合园区终端数量多、配置麻烦的特征，实现更加简易，基本实现无需在终端上的人工配置，就可以完成接入认证。