> **来源:[研报客](https://pc.yanbaoke.cn)** # 华为星河 AI 园区全域安全技术白皮书总结 ## 核心内容 本白皮书旨在解决园区在数字化转型过程中面临的安全挑战,包括终端多样化、无线化带来的安全风险、隐私合规问题以及非法监控设备的威胁。华为提出“全域安全”理念,从数字与物理两个维度构建园区安全体系,实现从资产、连接、空间到隐私的全面防护。 ## 主要观点 1. **终端多样化与网络无线化** - 园区终端数量激增,带来安全风险和管理复杂度。 - 无线网络暴露数据于“空口”,面临窃听、中间人攻击等威胁。 - 传统安全手段难以应对这些新型威胁,需引入新技术进行防护。 2. **隐私合规与安全盲区** - 隐私法规限制了摄像头的使用,导致园区出现物理盲区。 - 传统监控方式人力负担重,漏报率高,夜间依赖巡检。 - 隐私安全成为园区安全体系的重要组成部分。 3. **非法监控设备威胁** - 隐藏摄像头市场扩大,威胁个人隐私和商业秘密。 - 传统检测手段效率低,华为推出灵眸 AP 摄像头检测功能,实现24小时自动识别。 4. **全域安全技术架构** - 融合资产、连接、空间与隐私安全,构建数字与物理协同防护体系。 - 通过 AI、传感技术、加密方案等手段,提升安全防护能力。 ## 关键信息 ### 资产安全 - **资产盘点** - 采用 RFID 技术,实现资产位置、状态监控及在线盘点。 - RFID 阅读器通过 AP 的 Mini-PCIe 或 USB 接口接入,支持多种波特率。 - 通过串口或网口传输数据至资产管理服务器。 - **资产识别** - 通过终端指纹识别、扫描识别和 AI 聚类识别技术实现终端类型识别。 - 支持多种指纹信息采集方式,如 User-Agent、DHCP Option、MAC OUI、mDNS、LLDP 等。 - AI 聚类识别通过流信息分析,实现对未知终端的自动识别。 - **资产入网威胁检测** - 防仿冒:基于终端识别技术,对仿冒终端进行自动隔离。 - 防私接:通过分析流量特征,识别私接 HUB、路由器和 Wi-Fi,实现自动或人工阻断。 - 防攻击:华为 SmartAD 技术,将 AI 能力内置到接入交换机,实现对哑终端的贴身防护。 ### 连接安全 - **无线链路防窃听** - 采用空口密盾技术,通过信道探测与噪声干扰,防止信号窃听。 - 支持 Wi-Fi 6/7 技术,提升传输效率与安全性。 - **有线链路防破解** - MACsec 提供端到端链路加密,保障数据在传输过程中的安全性。 - 支持全链路加密,包括园区内网、跨区域链路和核心交换机与出口设备之间的加密。 - **PQC 抗量子加密** - 量子计算威胁传统密码体系,华为提出采用后量子密码算法(PQC)应对。 - PQC 技术适用于园区内网,相比 QKD 技术,具备更高的成熟度和部署灵活性。 ### 空间安全 - **感知人存** - 基于 CSI 技术,实现对人员存在的感知,适用于隐私区域。 - 支持防入侵检测,如识别人员进出、开关门窗等行为,实现告警通知。 - **感知体征/行为** - 毫米波雷达技术,用于医疗与康养场景,实现非接触式生命体征监测。 - 支持呼吸、心跳、在床离床、睡眠状态等检测,提升患者安全与护理效率。 - 适用于医院病房、养老机构等场景,避免传统接触式设备的干扰与成本问题。 ### 隐私安全 - **摄像头检测** - 华为灵眸 AP 可自动检测环境中疑似摄像头设备,实现隐私保护。 - 支持手持设备扫描,辅助人工排查,提升检测效率。 ## 技术架构 华为全域安全技术架构分为数字与物理两域,涵盖以下技术: - **数字域** - 资产安全:RFID 技术、容器技术、终端识别与防仿冒。 - 连接安全:空口密盾、MACsec、PQC 技术。 - 空间安全:CSI 感知、毫米波雷达。 - 隐私安全:摄像头检测、数据加密。 - **物理域** - 感知人存与体征行为,实现无感安全监控。 - 结合 Wi-Fi、毫米波雷达等技术,实现非接触式感知。 ## 未来展望 - 华为将安全能力下沉至网络边缘,实现园区内网的轻量化、高覆盖率防护。 - 随着 AI、量子计算等技术的发展,园区安全体系将向更智能、更安全的方向演进。 - 未来园区将实现从“被动防御”到“主动感知”与“智能守护”的转变。 ## 关键技术总结 | 技术类别 | 技术名称 | 核心能力 | 适用场景 | |----------|----------|----------|----------| | 资产安全 | RFID 技术 | 资产识别与定位 | 企业资产、医疗设备 | | 资产安全 | 容器技术 | 轻量化部署与管理 | 智能终端、哑终端 | | 资产安全 | 终端识别 | 多维指纹识别 | 终端类型识别、防仿冒 | | 连接安全 | 空口密盾 | 防窃听、防中间人攻击 | 无线通信 | | 连接安全 | MACsec | 有线链路加密 | 有线通信 | | 连接安全 | PQC 抗量子加密 | 抗量子计算破解 | 未来安全通信 | | 空间安全 | CSI 感知 | 人员存在与行为识别 | 隐私区域、防入侵 | | 空间安全 | 毫米波雷达 | 非接触式体征与行为检测 | 医疗、康养场景 | | 隐私安全 | 摄像头检测 | 24小时自动检测 | 隐私区域、会议室 | ## 缩略语 | 缩写 | 全称 | |------|------| | RFID | Radio Frequency Identification | | MACsec | Media Access Control Security | | PQC | Post-Quantum Cryptography | | NCE-Campus | iMaster NCE-Campus 网管控制器 | | CSI | Channel State Information | | LLDP | Link Layer Discovery Protocol | | mDNS | Multicast DNS | | SmartAD | Smart Anomaly Detection | | LXC | Linux Container |