何媛
摘 要:无线网络经过科学研究工作者多年的革新,在物联网领域取得了突出的成就。在工业上,SDN的控制器能够同无线网络结合实现控制工业设备的正常运转,提高生产效率,减少不必要的损失。实现工业自动化机械化大规模生产的同时更需要注重无线网络的安全问题,防止出现因漏洞而从外网发动攻击的问题。
关键词:DN;工业无线网;网络安全;分析
0 引言
工业领域作为国家经济生产发展的重要部分,SDN的工业无线网络技术能够实现对工业设备的安全访问控制,这样就能有效减少内网攻击生效的可能,防御即插即用协议漏洞等保证工业生产的平稳进行。文章从工业无线网络安全的角度出发,探讨一种同用户基本意图相一致的SDN协同工业无线网络访问控制方法。工业生产者对生产设备的控制应用的操作和控制目的是对工业设备的动作控制前提。控制应用的用户意图同SDN控制器相联系,根据效果以及控制应用状态形成流表规则,实现工厂设备的无线网络安全。
1 研究背景
无线局域网(Wireless Local Area Network,WLAN)利用无线电波作为信号传播的媒介,实现通信。我国工业领域应用SDN的无线网络主要是物联网内部的工业生产设备经互联网联系,实现网络通信、音视频、自动控制等技术,提升整体的工业生产安全稳定,减少人力资源成本的支出,减少不必要的失误,提升整体的生产效率。
SDN的工业无线网络安全是指SDN控制器和交换机经由安全通道相联系,负责传递SDN控制器的管理命令和OPENFLOW交换机的相关信息就是安全通道。整个过程最好使用加密协议成立TCP连接,实现数据传送之间的稳定安全,重点注意SDN控制器和交换机之间的信息数据传递问题。
以Open Virtual Switch(以下简称“OVS”)为例,其主要的内核空间是OpenFlow交换机。这样的构造就具有较高的效率和相对低廉的成本输出,作为一个多层虚拟交换机其质量、功能较高。通过编程扩展实现大规模网络自动化,同时仍然支持标准的管理接口和协议[1]。Open Swtich是实现SDN技术的常见方式,实现了和大多数商业闭源交换机类似功能的软件交换机。
2 设备端安全问题
工业无线网络安全是指自身硬件储存能力和处理能力存在缺陷,生产机械设备出于安全考慮会重点专注生产方面的设备零件的安全稳定,并不重视网络安全方面的设备问题。因为工业无线网路的自身硬件设备性能不足使得安全通信需要的精密算法条件满足不了。硬件设备的储存空间不足,会使工业的设备的安全功能运转的软件安装出现困难。常见的表现有设备的端口弱密码登录,端口开启,无安全通信协议方面。当控制命令的编程被黑客劫持并破解之后,整个工厂的设备会因为受到虚假的控制命令而执行错误的内容。当整个工厂设备的控制人员的身份信息存在差异时,可能会出现ID盗刷的现象,使得接收的数据来源存在安全隐患。在设备内部储存的数据信息需要进行加密处理这样能使得信息和文件的提取具有一定的安全性。部分网关使用弱口令登录甚至无口令登录,使得恶意方能够轻易控制网关,进入无线局域网。为支持UPnP设备默认开启UPnP功能,使内网设备暴露给外网的攻击者。
3 工厂机器的无线网络安全需要
要想使得自动化的工程机器保持平稳的运转,需要保持各个操作设备之间的信息传递安全,即使采集监控工厂设备之间的信息数据传输资料。这样就能够带来更好的用户体验和经济效益。由于Open Switch极小的64脚封装和他本身极低的功能消耗、4路10位ADC、PWM输出、46个GPIO以及数量多达9个的外部中断让它们特别适用于工厂机器中进行现实应用[2]。基于Open Switch的嵌入式系统中的应用很有必要也能够起到很大的作用。Open Switch本身就是具有运算速率快,运算稳定等适合于解决嵌入式系统实现的难题的各种对应的优点。
Open Switch是一个在支持实时仿真和跟踪的16/32位ARM7TDMI-S 的CPU的基础之上,并附带有128/256 k字节(KB)嵌入的高速Flash存储器。128位宽度的存储器接口和他所特有的加速结构使32位代码能够始终在最高的时钟速率下运行。对代码规模有精准的控制的应用可应用16位Thumb模式将代码大小降低多过30%,相对应的性能损耗较少。
4 工业无线网络安全控制
经过分析试验可以发现工业的无线网路安全要从流量分析和其工作原理进行分析[3]。控制工业无线网络安全通常是由设备操作用户(即应用控制用户)自发提出的[4]。应用控制用户利用主动控制应用完成操作,用户的意图会产生的设备网络流量,可以认定该流量为可信任的网络流量。
由此同工厂设备的生产目的和SDN联合实现工业无线网路安全的访问控制方式,辨别工业无线网络内部接收的流量信息来源,合理防护工业无线网络安全。监控控制应用的状态对比SDN控制器完成工业无线网络安全访问。这种操作的原理是用户对工业设备的生产要求能够借由用户控制应用操作行为反映出来。工业设备的生产目的会因为当下的设备流量走向的安全流量分类,当下的流量同标准的安全流量分类进行比照,然后形成完整的流量细则。控制工业无线网络安全的策略需要使用流量细则作为参考标准,通过控制访问完成安全防护[5]。监控用户动作的状态完成应用控制,制成机械设备动作分析图,完成安全流量归类。通过SDN中控制器能够获取并分析当前流量的能力,对当前流量进行分类并与安全流量类别对比,生成流表规则,最终对当前网络流量进行访问控制,只允许安全网络流量进行传输。
要注意的是流表规则一开始并没有形成系统的要求,SDN控制器一般会处理匹配失效的数据信息。非前台运营的控制应用会结合设备的MAC地址分析出流向设备的基本流量,并从中提取数据信息的来源(包括IP地址和信息输出端口)这就能及时清理不被认可的安全信息的访问请求[6]。
5 结语
SDN自动化会造成网络可见性被破坏或丢失。这种误解是基于这样一种观念—目前使用的SNMP,syslog,NetFlow看不到网络,这是一个错误的观念。事实上,SDN厂商想要利用现有的工具尽可能的集成SDN监控。考虑到这一点,他们用传统数据中心常见的技术来对你的数据中心提供监控能力。换言之,一方面,SDN自动化可以在传统数据中心里包含相同的监控工具。另一方面,SDN厂商也认识到自动化提供了丰富的用于可视化并保护网络当前状态的数据。例如,自动化可以模拟一个穿越客户机和服务器之间网络的数据包。SDN解决方案可以通过路由器、交换机、负载均衡和防火墙跟踪这个数据包,根据这些跟踪的信息,可以发现网络连接问题并且确定哪些网络功能导致了这些问题。自动化还可以识别出网络中原本允许流量通过但实际上被阻塞的网络区域。利用扩展视图功能,通过自动化收集的网络数据能够提供网络健壮性的实时视图。简而言之,不要忽视SDN提供安全的潛力。SDN自动化拥有监控和隔离带来的巨大的优势,应该成为整体网络和IT安全态势的一部分。
我国的工业生产自动化进展越来越完善,除了保证生产设备的零部件安全生产,更需要注意其网络信息安全。从SDN控制器的角度出发需要重点注意设备的生产意图和流量信息接收安全,杜绝出现ID泄露,加密信息丢失等现象的出现,做好相应的硬件软件设备设计,保证我国工业无线网络安全。
[参考文献]
[1]方遒,王蔚庭.工业无线网络环境下移动监控的信息安全威胁与防护[J].制造业自动化,2019(11):58-61.
[2]莫炼.基于分级安全策略的工业无线网络接入TSN传输机制研究[D].重庆:重庆邮电大学,2019.
[3]张健,张二鹏,赵健晖.一种基于WIA-PA工业无线网络的本质安全型无线水表适配器[J].内燃机与配件,2018(4):256-257.
[4]滕艳波. 无线工业控制网络安全数据传输方案设计[D].哈尔滨:哈尔滨工程大学,2017.
[5]杨忠明,秦勇,卢庆武.无线传感网络在工业控制中应用的安全问题研究[J].信息技术,2017(1):47-51.
[6]张先哲,王德吉.SCALANCE W工业无线网络安全防范研究[J].中国仪器仪表,2015(1):40-42.
(编辑 姚 鑫)