基于SDN的工業(yè)無線網(wǎng)絡(luò)安全研究

何媛

摘 要：無線網(wǎng)絡(luò)經(jīng)過科學(xué)研究工作者多年的革新，在物聯(lián)網(wǎng)領(lǐng)域取得了突出的成就。在工業(yè)上，SDN的控制器能夠同無線網(wǎng)絡(luò)結(jié)合實(shí)現(xiàn)控制工業(yè)設(shè)備的正常運(yùn)轉(zhuǎn)，提高生產(chǎn)效率，減少不必要的損失。實(shí)現(xiàn)工業(yè)自動(dòng)化機(jī)械化大規(guī)模生產(chǎn)的同時(shí)更需要注重?zé)o線網(wǎng)絡(luò)的安全問題，防止出現(xiàn)因漏洞而從外網(wǎng)發(fā)動(dòng)攻擊的問題。

關(guān)鍵詞：DN;工業(yè)無線網(wǎng);網(wǎng)絡(luò)安全;分析

0 引言

工業(yè)領(lǐng)域作為國家經(jīng)濟(jì)生產(chǎn)發(fā)展的重要部分，SDN的工業(yè)無線網(wǎng)絡(luò)技術(shù)能夠?qū)崿F(xiàn)對工業(yè)設(shè)備的安全訪問控制，這樣就能有效減少內(nèi)網(wǎng)攻擊生效的可能，防御即插即用協(xié)議漏洞等保證工業(yè)生產(chǎn)的平穩(wěn)進(jìn)行。文章從工業(yè)無線網(wǎng)絡(luò)安全的角度出發(fā)，探討一種同用戶基本意圖相一致的SDN協(xié)同工業(yè)無線網(wǎng)絡(luò)訪問控制方法。工業(yè)生產(chǎn)者對生產(chǎn)設(shè)備的控制應(yīng)用的操作和控制目的是對工業(yè)設(shè)備的動(dòng)作控制前提。控制應(yīng)用的用戶意圖同SDN控制器相聯(lián)系，根據(jù)效果以及控制應(yīng)用狀態(tài)形成流表規(guī)則，實(shí)現(xiàn)工廠設(shè)備的無線網(wǎng)絡(luò)安全。

1 研究背景

無線局域網(wǎng)（Wireless Local Area Network，WLAN）利用無線電波作為信號傳播的媒介，實(shí)現(xiàn)通信。我國工業(yè)領(lǐng)域應(yīng)用SDN的無線網(wǎng)絡(luò)主要是物聯(lián)網(wǎng)內(nèi)部的工業(yè)生產(chǎn)設(shè)備經(jīng)互聯(lián)網(wǎng)聯(lián)系，實(shí)現(xiàn)網(wǎng)絡(luò)通信、音視頻、自動(dòng)控制等技術(shù)，提升整體的工業(yè)生產(chǎn)安全穩(wěn)定，減少人力資源成本的支出，減少不必要的失誤，提升整體的生產(chǎn)效率。

SDN的工業(yè)無線網(wǎng)絡(luò)安全是指SDN控制器和交換機(jī)經(jīng)由安全通道相聯(lián)系，負(fù)責(zé)傳遞SDN控制器的管理命令和OPENFLOW交換機(jī)的相關(guān)信息就是安全通道。整個(gè)過程最好使用加密協(xié)議成立TCP連接，實(shí)現(xiàn)數(shù)據(jù)傳送之間的穩(wěn)定安全，重點(diǎn)注意SDN控制器和交換機(jī)之間的信息數(shù)據(jù)傳遞問題。

以O(shè)pen Virtual Switch（以下簡稱“OVS”）為例，其主要的內(nèi)核空間是OpenFlow交換機(jī)。這樣的構(gòu)造就具有較高的效率和相對低廉的成本輸出，作為一個(gè)多層虛擬交換機(jī)其質(zhì)量、功能較高。通過編程擴(kuò)展實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)自動(dòng)化，同時(shí)仍然支持標(biāo)準(zhǔn)的管理接口和協(xié)議[1]。Open Swtich是實(shí)現(xiàn)SDN技術(shù)的常見方式，實(shí)現(xiàn)了和大多數(shù)商業(yè)閉源交換機(jī)類似功能的軟件交換機(jī)。

2 設(shè)備端安全問題

工業(yè)無線網(wǎng)絡(luò)安全是指自身硬件儲(chǔ)存能力和處理能力存在缺陷，生產(chǎn)機(jī)械設(shè)備出于安全考慮會(huì)重點(diǎn)專注生產(chǎn)方面的設(shè)備零件的安全穩(wěn)定，并不重視網(wǎng)絡(luò)安全方面的設(shè)備問題。因?yàn)楣I(yè)無線網(wǎng)路的自身硬件設(shè)備性能不足使得安全通信需要的精密算法條件滿足不了。硬件設(shè)備的儲(chǔ)存空間不足，會(huì)使工業(yè)的設(shè)備的安全功能運(yùn)轉(zhuǎn)的軟件安裝出現(xiàn)困難。常見的表現(xiàn)有設(shè)備的端口弱密碼登錄，端口開啟，無安全通信協(xié)議方面。當(dāng)控制命令的編程被黑客劫持并破解之后，整個(gè)工廠的設(shè)備會(huì)因?yàn)槭艿教摷俚目刂泼疃鴪?zhí)行錯(cuò)誤的內(nèi)容。當(dāng)整個(gè)工廠設(shè)備的控制人員的身份信息存在差異時(shí)，可能會(huì)出現(xiàn)ID盜刷的現(xiàn)象，使得接收的數(shù)據(jù)來源存在安全隱患。在設(shè)備內(nèi)部儲(chǔ)存的數(shù)據(jù)信息需要進(jìn)行加密處理這樣能使得信息和文件的提取具有一定的安全性。部分網(wǎng)關(guān)使用弱口令登錄甚至無口令登錄，使得惡意方能夠輕易控制網(wǎng)關(guān)，進(jìn)入無線局域網(wǎng)。為支持UPnP設(shè)備默認(rèn)開啟UPnP功能，使內(nèi)網(wǎng)設(shè)備暴露給外網(wǎng)的攻擊者。

3 工廠機(jī)器的無線網(wǎng)絡(luò)安全需要

要想使得自動(dòng)化的工程機(jī)器保持平穩(wěn)的運(yùn)轉(zhuǎn)，需要保持各個(gè)操作設(shè)備之間的信息傳遞安全，即使采集監(jiān)控工廠設(shè)備之間的信息數(shù)據(jù)傳輸資料。這樣就能夠帶來更好的用戶體驗(yàn)和經(jīng)濟(jì)效益。由于Open Switch極小的64腳封裝和他本身極低的功能消耗、4路10位ADC、PWM輸出、46個(gè)GPIO以及數(shù)量多達(dá)9個(gè)的外部中斷讓它們特別適用于工廠機(jī)器中進(jìn)行現(xiàn)實(shí)應(yīng)用[2]。基于Open Switch的嵌入式系統(tǒng)中的應(yīng)用很有必要也能夠起到很大的作用。Open Switch本身就是具有運(yùn)算速率快，運(yùn)算穩(wěn)定等適合于解決嵌入式系統(tǒng)實(shí)現(xiàn)的難題的各種對應(yīng)的優(yōu)點(diǎn)。

Open Switch是一個(gè)在支持實(shí)時(shí)仿真和跟蹤的16/32位ARM7TDMI-S 的CPU的基礎(chǔ)之上，并附帶有128/256 k字節(jié)（KB）嵌入的高速Flash存儲(chǔ)器。128位寬度的存儲(chǔ)器接口和他所特有的加速結(jié)構(gòu)使32位代碼能夠始終在最高的時(shí)鐘速率下運(yùn)行。對代碼規(guī)模有精準(zhǔn)的控制的應(yīng)用可應(yīng)用16位Thumb模式將代碼大小降低多過30%，相對應(yīng)的性能損耗較少。

4 工業(yè)無線網(wǎng)絡(luò)安全控制

經(jīng)過分析試驗(yàn)可以發(fā)現(xiàn)工業(yè)的無線網(wǎng)路安全要從流量分析和其工作原理進(jìn)行分析[3]。控制工業(yè)無線網(wǎng)絡(luò)安全通常是由設(shè)備操作用戶（即應(yīng)用控制用戶）自發(fā)提出的[4]。應(yīng)用控制用戶利用主動(dòng)控制應(yīng)用完成操作，用戶的意圖會(huì)產(chǎn)生的設(shè)備網(wǎng)絡(luò)流量，可以認(rèn)定該流量為可信任的網(wǎng)絡(luò)流量。

由此同工廠設(shè)備的生產(chǎn)目的和SDN聯(lián)合實(shí)現(xiàn)工業(yè)無線網(wǎng)路安全的訪問控制方式，辨別工業(yè)無線網(wǎng)絡(luò)內(nèi)部接收的流量信息來源，合理防護(hù)工業(yè)無線網(wǎng)絡(luò)安全。監(jiān)控控制應(yīng)用的狀態(tài)對比SDN控制器完成工業(yè)無線網(wǎng)絡(luò)安全訪問。這種操作的原理是用戶對工業(yè)設(shè)備的生產(chǎn)要求能夠借由用戶控制應(yīng)用操作行為反映出來。工業(yè)設(shè)備的生產(chǎn)目的會(huì)因?yàn)楫?dāng)下的設(shè)備流量走向的安全流量分類，當(dāng)下的流量同標(biāo)準(zhǔn)的安全流量分類進(jìn)行比照，然后形成完整的流量細(xì)則。控制工業(yè)無線網(wǎng)絡(luò)安全的策略需要使用流量細(xì)則作為參考標(biāo)準(zhǔn)，通過控制訪問完成安全防護(hù)[5]。監(jiān)控用戶動(dòng)作的狀態(tài)完成應(yīng)用控制，制成機(jī)械設(shè)備動(dòng)作分析圖，完成安全流量歸類。通過SDN中控制器能夠獲取并分析當(dāng)前流量的能力，對當(dāng)前流量進(jìn)行分類并與安全流量類別對比，生成流表規(guī)則，最終對當(dāng)前網(wǎng)絡(luò)流量進(jìn)行訪問控制，只允許安全網(wǎng)絡(luò)流量進(jìn)行傳輸。

要注意的是流表規(guī)則一開始并沒有形成系統(tǒng)的要求，SDN控制器一般會(huì)處理匹配失效的數(shù)據(jù)信息。非前臺(tái)運(yùn)營的控制應(yīng)用會(huì)結(jié)合設(shè)備的MAC地址分析出流向設(shè)備的基本流量，并從中提取數(shù)據(jù)信息的來源（包括IP地址和信息輸出端口）這就能及時(shí)清理不被認(rèn)可的安全信息的訪問請求[6]。

5 結(jié)語

SDN自動(dòng)化會(huì)造成網(wǎng)絡(luò)可見性被破壞或丟失。這種誤解是基于這樣一種觀念—目前使用的SNMP，syslog，NetFlow看不到網(wǎng)絡(luò)，這是一個(gè)錯(cuò)誤的觀念。事實(shí)上，SDN廠商想要利用現(xiàn)有的工具盡可能的集成SDN監(jiān)控。考慮到這一點(diǎn)，他們用傳統(tǒng)數(shù)據(jù)中心常見的技術(shù)來對你的數(shù)據(jù)中心提供監(jiān)控能力。換言之，一方面，SDN自動(dòng)化可以在傳統(tǒng)數(shù)據(jù)中心里包含相同的監(jiān)控工具。另一方面，SDN廠商也認(rèn)識(shí)到自動(dòng)化提供了豐富的用于可視化并保護(hù)網(wǎng)絡(luò)當(dāng)前狀態(tài)的數(shù)據(jù)。例如，自動(dòng)化可以模擬一個(gè)穿越客戶機(jī)和服務(wù)器之間網(wǎng)絡(luò)的數(shù)據(jù)包。SDN解決方案可以通過路由器、交換機(jī)、負(fù)載均衡和防火墻跟蹤這個(gè)數(shù)據(jù)包，根據(jù)這些跟蹤的信息，可以發(fā)現(xiàn)網(wǎng)絡(luò)連接問題并且確定哪些網(wǎng)絡(luò)功能導(dǎo)致了這些問題。自動(dòng)化還可以識(shí)別出網(wǎng)絡(luò)中原本允許流量通過但實(shí)際上被阻塞的網(wǎng)絡(luò)區(qū)域。利用擴(kuò)展視圖功能，通過自動(dòng)化收集的網(wǎng)絡(luò)數(shù)據(jù)能夠提供網(wǎng)絡(luò)健壯性的實(shí)時(shí)視圖。簡而言之，不要忽視SDN提供安全的潛力。SDN自動(dòng)化擁有監(jiān)控和隔離帶來的巨大的優(yōu)勢，應(yīng)該成為整體網(wǎng)絡(luò)和IT安全態(tài)勢的一部分。

我國的工業(yè)生產(chǎn)自動(dòng)化進(jìn)展越來越完善，除了保證生產(chǎn)設(shè)備的零部件安全生產(chǎn)，更需要注意其網(wǎng)絡(luò)信息安全。從SDN控制器的角度出發(fā)需要重點(diǎn)注意設(shè)備的生產(chǎn)意圖和流量信息接收安全，杜絕出現(xiàn)ID泄露，加密信息丟失等現(xiàn)象的出現(xiàn)，做好相應(yīng)的硬件軟件設(shè)備設(shè)計(jì)，保證我國工業(yè)無線網(wǎng)絡(luò)安全。

[參考文獻(xiàn)]

[1]方遒，王蔚庭.工業(yè)無線網(wǎng)絡(luò)環(huán)境下移動(dòng)監(jiān)控的信息安全威脅與防護(hù)[J].制造業(yè)自動(dòng)化，2019（11）：58-61.

[2]莫煉.基于分級安全策略的工業(yè)無線網(wǎng)絡(luò)接入TSN傳輸機(jī)制研究[D].重慶：重慶郵電大學(xué)，2019.

[3]張健，張二鵬，趙健暉.一種基于WIA-PA工業(yè)無線網(wǎng)絡(luò)的本質(zhì)安全型無線水表適配器[J].內(nèi)燃機(jī)與配件，2018（4）：256-257.

[4]滕艷波. 無線工業(yè)控制網(wǎng)絡(luò)安全數(shù)據(jù)傳輸方案設(shè)計(jì)[D].哈爾濱：哈爾濱工程大學(xué)，2017.

[5]楊忠明，秦勇，盧慶武.無線傳感網(wǎng)絡(luò)在工業(yè)控制中應(yīng)用的安全問題研究[J].信息技術(shù)，2017（1）：47-51.

[6]張先哲，王德吉.SCALANCE W工業(yè)無線網(wǎng)絡(luò)安全防范研究[J].中國儀器儀表，2015（1）：40-42.

（編輯 姚 鑫）