無線網絡制造系統的信息安全研究

楊延清，任祖平

YANG Yan-qing, REN Zu-ping

（東南大學 工業發展與培訓中心，南京 211189）

0 引言

制造環境伴隨著網絡經濟時代的到來發生了根本性的變化，其面對的是全球性的市場、資源、技術和人力的競爭。開放的國際市場使消費者的可選擇性擴大到全球范圍內，而個性化和多樣化的消費需求使得市場快速多變，無法捉摸，客戶化、小批量、多品種、快速交貨的生產要求不斷增加。各種新技術的涌現及其應用更是加劇了市場的快速變化。市場的動態多變性迫使制造企業改變策略，時間被提升為首要因素。為適應動態變化的全球市場，制造業的競爭將會是柔性和響應速度的競爭，而以快速響應市場需求和提高企業（企業群體）競爭力為主要目標的網絡化制造正好滿足企業的要求而被得到廣泛的推廣應用。

實現網絡化制造對信息技術和網絡技術的應用有更高的要求，由于互聯網絡的開放性和通信協議的安全缺陷，以及網絡環境中數據信息存儲、訪問與處理的分布性特點，網絡化制造系統的數據信息很容易泄露和被破壞，因此加強對網絡化制造系統信息安全就更為迫切。

實際上，保障信息安全不但需要參考網絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網絡制造系統的框架體系、安全防范的層次結構和系統設計的基本原則，分析網絡系統的各個不安全環節，找到安全漏洞，做到有的放矢。本文針對東南大學機電綜合工程訓練中心網絡化制造實驗室的實際情況，提出了一種適用于網絡化制造系統的信息安全體系。

1 網絡化制造系統的信息安全問題

要找出網絡化制造系統的信息安全問題，首先是了解網絡化制造系統的網絡拓撲結構，然后根據網絡框架找出可能存在的安全漏洞。

1.1 網絡化制造系統的網絡拓撲結構

東南大學機電綜合工程訓練中心網絡制造實驗室采用了基于無線以太網的DNC通訊技術，利用工業以太網的抗干擾性能強的特點，保證了信息傳輸的穩定性、實時性，且易于與管理層的集成。具體結構如圖1所示。

圖1 中心的網絡拓撲結構

系統采用“總線+星型”的拓撲結構，主干網采用總線結構，易于組成冗余環網，車間層采用星型結構，避免了某一臺設備的故障影響其他設備。車間內部通過串口轉換器智能終端將機床的RS232口轉換為以太網絡的RJ45口，并對每臺數控設備分配IP組建成一個無線局域網絡，然后通過無線AP與DNC主服務器及外部Internet連接。車間內部建立無線局域網絡，省去了布線的繁瑣工作。這樣可以使得車間內數控設備的布局更加靈活，同時還可以增加系統的可擴展性能。而數據信息的傳輸采用的是模塊化的CAXA網絡DNC，同時采用CAXA協同管理完成數據信息的管理。

1.2 信息安全問題分析

通過研究網絡制造系統的網絡拓撲結構，信息安全問題需要考慮以下兩個方面的內容：1）數據管理過程中的安全問題；2）數據傳輸過程中的問題即網絡安全的問題。

數據管理過程中的安全問題主要表現在非授權人員的訪問、修改；而網絡安全問題主要表現在車間無線局域網的安全上，因為主干網絡一般都是采用的網絡布線的方式，網線采用的是屏蔽線，其受干擾的程度較小。故此處主要考慮車間無線局域網的安全問題。無線局域網要考慮的安全威脅有以下幾種：

1）有線網絡存在的安全隱患；

2）非授權的存取數據；

3）信息沒有加密或者加密很弱，易被竊??；

4）網絡易被拒絕服務攻擊和干擾；

5）用戶以設置無線網卡為P2P模式與外部員工連接。

由于無線網絡只是在傳輸方式上與有線網絡存在區別，所以經常會有安全隱患，如惡意攻擊、非授權訪問等。因此，用戶必須加強常規式的安全措施。另外，在無線網絡中每個AP覆蓋的范圍都存在通向整個網絡的入口，這個入口并不像有線網絡那樣具有約束性，因此，未授權用戶可以在AP覆蓋范圍內進入網絡。

2 無線局域網絡的安全技術及策略

由以上分析可知，無線局域網絡會受到大量的安全風險和安全問題的困擾，其中主要包括網絡用戶的進攻、未授權用戶的侵入和病毒的攻擊。針對這些問題，除了必須安裝與定期更新防毒軟件和侵入偵測軟件外，還需要以下幾種安全技術：

1）服務集標識符（Service Set ID，SSID）。通過對多個無線接入點設置不同的SSID,并要求客戶端出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權限進行區別限制。

2）物理地址（Media Access Controller,MAC）過濾。由于每個無線工作站的網卡都有唯一的物理地址，因此可以在AP中手動維護一組允許訪問的MAC地址列表，實現物理地址過濾。

3）有線等效保密（Wired Equivalent Protection, WEP）。在數據鏈路層采用RC4對稱加密技術，用戶的監聽以及非法用戶的訪問。它需要管理員預先在客戶端和接入點AP中配置共享的WEP密鑰（靜態WEP密鑰）。使用這個密鑰在一方對數據進行加密，另一方使用相同的共享密鑰對接收到的密文進行解密。如果客戶端使用接入點AP中配置的那些WEP密鑰以外的密鑰加密數據，并將加密后的密文發給AP，AP將拒絕該客戶端訪問網絡。WEP提供了40位（有時也稱為64位）和128位長度的密鑰機制，但是它仍然存在許多缺陷，例如一個服務區內的所有用戶都共享有同一個密鑰，一個用戶丟失或者泄露密鑰將使整個網絡不安全。而且由于WEP加密有一定的安全缺陷，可以在較短的時間內被破解。

4）Wi-Fi受保護訪問（Wireless Fidelity Protected Access）技術。針對WEP技術的安全缺陷，IEEE802.11i工作組曾提出了WEP2、ESN（Enhanced Security Network）協議以解決WEP的問題。WEP2將IV（RC4算法中的初始向量24bit）的長度增加到128bit，大大減少了重復使用的概率。ESN方案采用了密鑰管理系統和更安全的認證機制。這些就構成了TKIP（Temporal Key Integrity protocol）加密算法和IEEE802.1x認證協議方案?；谝陨蟽煞N理論基礎，Wi-Fi聯盟公布了無線網絡安全解決方案WPA。TKIP算法在RC4算法的基礎上進行改進，實現了動態密鑰更新，還增加了一個IV的雜湊函數和一個新的消息完整性校驗算法，極大地提高了加密安全強度。

5）端口訪問控制技術（802.1x）。該技術也是用于無線局域網的一種增強型網絡安全解決方案。當無線工作站與AP關聯后，是否可以使用AP的服務取決于802.1x的認證結果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統及計費，特別適合無線接入解決方案。

6）虛擬專用網絡（Virtual Private Network,VPN）。VPN是指在一個公共IP網絡平臺上通過隧道以及加密技術，保證專用數據的網絡安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網絡的不安全因素，同時還可以提供基于Radius的用戶認證以及計費。

3 應用實例

根據以上的分析，針對東南大學網絡化制造實驗室的實際情況，本文分別針對數據管理和數據傳輸采取了不同的安全體系。

3.1 數據管理安全體系

數據管理要想實現其安全性，主要方法是實現不同用戶權限的分配管理。具體方法有以下三種：

1）用戶管理。按照企業人員情況建立用戶登陸系統的名稱、密碼及備注描述信息。只有系統中已經開具的用戶才可以登陸該系統。

2）角色管理。按照企業行政或技術職位建立一套企業適用的角色，并給各角色設立操作權限。不同的人分配不同的角色，即具有不同的權限。

3）設置產品/機床相關人員。即以產品/機床劃分人員的權限。如果某人對產品/機床不具有參與權，該人進入系統后將無法從產品結構樹中看到該產品/機床。

3.2 數據傳輸安全體系

數據傳輸的安全保障主要是解決其傳輸介質安全、客戶端過濾、數據加密、布局設置等方面的問題，具體如下：

1）RS232線路屬于一種技術比較落后的通信方式，其抗干擾能力較差。目前使用RS232通信的設備由于此類原因的限制，其傳輸速度遠遠無法和以太網絡相比。大多數車間電器設備會產生大量的電磁波，尤其是具有數控電加工設備的車間，此種現象非常嚴重，導致RS232線路通信的不穩定。系統將傳統的長RS232線路縮短到最小，取代為抗干擾性能很好的以太網絡。大大減少了通信線路上受到干擾的機會。使系統數據傳輸的穩定性得到保證。

2）利用AP訪問列表功能。正如每個網卡都有一個世界上唯一的MAC地址一樣，無線AP也都有一個屬于自己的唯一的MAC地址，在采用WDS網橋模式時，利用無線AP的支持訪問列表功能，設定允許或拒絕的MAC地址，可以精確限制哪些工作站可以連接到無線網絡節點，而那些不在訪問列表中的工作站，則無權或有權訪問無線網絡，D-Link的MAC過濾設定界面如圖2所示。

圖2 無線AP中訪問列表的建立

3）利用無線網絡安全協議WEP和WPA進行加密。即有線等效保密（WEP，Wired Equivalent Privacy）和“Wi-Fi受保護的訪問”（WPA，Wi-Fi Protected Access）。WEP加密用來防止IEEE802.11網絡受到未授權用戶的訪問，例如偷聽（捕獲無線網絡通信）。利用自動無線網絡配置，可以指定進入網絡時用于身份驗證的網絡密鑰，也可以指定使用哪個網絡密碼來對通過該網絡傳輸的數據進行加密。啟用數據加密時，生成秘密的共享加密密鑰，并由源臺和目標臺來改變幀位，因而可避免泄漏給偷聽者。在IEEE802.11下，可用多達4個密鑰（密鑰索引值為0、1、2和3）配置無線站。具體如圖3所示。對于WPA，加密是使用“臨時性密鑰完整性協議（TKIP）”來完成的，該協議使用更強的加密算法代替了WEP。與WEP不同，TKIP為每次身份驗證提供惟一起始單播加密密鑰的確定，以及為每個幀提供單播加密密鑰的同步變更。由于TKIP密鑰是自動確定的，因此不需要為WPA配置一個加密密鑰。

圖3 WEP密鑰配置

4）修改SSID并禁止SSID廣播。在默認狀態下，無線網絡節點的生產商會利用SSID（初始化字符串）來檢驗企圖登錄無線網絡節點的連接請求，一旦檢驗通過，即可順利連接到無線網絡。由于同一廠商的產品使用相同的SSID名稱，從而給那些惡意攻擊提供了入侵的便利。一旦他們使用通用的初始化字符串來連接無線網絡時，就很容易成功建立一條非授權鏈接，從而給無線網絡的安全帶來威脅。因此，在初次安裝好無線局域網時，必須及時登錄到無線網絡節點的管理頁面，修改默認的SSID初始化字符串。如圖4所示。并且在條件允許的前提下，取消SSID的網絡廣播，從而將被惡意入侵的機會降到最低。此外，修改無線AP的SSID名稱后，也必須在工作站的無線網絡屬性中作相應的設置，從而保持與無線AP的一致。需要注意的是，所用無線AP的SSID必須保持相同。

圖4 修改默認的SSID

5）禁用DHCP服務。如果啟用無線AP的DHCP，那么黑客將能自動獲取IP地址信息，從而輕松地接入到無線網絡。如果禁用無線AP的DHCP功能，那么黑客將不得不猜測和破譯IP地址、子網掩碼、默認網關等一切所需的TCP/IP參數。為此我們采用靜態IP地址分配。

6）合適放置無線AP和天線。由于無線AP是有線信號和無線信號的轉換“樞紐”，無線AP中的天線位置不但能夠決定無線局域網的信號傳輸速度、通信信號強弱，而且還能影響無線網絡的通信安全。因此將無線AP擺放在一個合適的位置是非常有必要的。另外，在放置天線之前，一定要先搞清楚無線信號的覆蓋范圍有多大。然后依據范圍大小，將天線放置到其他用戶無法“觸及”的位置處。

4 結論

本文借助東南大學機電綜合工程訓練中心網絡化制造實驗室的硬件條件實施了本安全體系，實踐證明利用該安全體系，對無線網絡制造平臺中各種加工程序及系統參數的管理及傳輸具有較好的保護作用。

[1]陳應春,顧寄南,等.網絡化制造的網絡安全策略[J].機械設計與制造,2007(2)：176-178.

[2]張海防,邵澤波,等.面向網絡化制造的信息安全體系的研究與應用[J].吉林化工學院學報,2006.23(4)：52-55.

[3]Haralambos Mouratidis, Paolo Giorgini, Gordon Man-sona,When security meets software engineering：a case of modeling secure information systems [J].Journal of International Entrepreneurship,2004,(12)：35-40.

[4]王路炯,李愛平,等.ASP模式的網絡化制造安全體系[J].中國機械工程,2007,18(3)：300-303.

[5]Dr.Cyrus Peikari Seth Fogie,周靖,等譯.無線網絡安全[M].北京：電子工業出版社,2004.