基于SDN的工業無線網絡安全研究

何媛

摘 要：無線網絡經過科學研究工作者多年的革新，在物聯網領域取得了突出的成就。在工業上，SDN的控制器能夠同無線網絡結合實現控制工業設備的正常運轉，提高生產效率，減少不必要的損失。實現工業自動化機械化大規模生產的同時更需要注重無線網絡的安全問題，防止出現因漏洞而從外網發動攻擊的問題。

關鍵詞：DN;工業無線網;網絡安全;分析

0 引言

工業領域作為國家經濟生產發展的重要部分，SDN的工業無線網絡技術能夠實現對工業設備的安全訪問控制，這樣就能有效減少內網攻擊生效的可能，防御即插即用協議漏洞等保證工業生產的平穩進行。文章從工業無線網絡安全的角度出發，探討一種同用戶基本意圖相一致的SDN協同工業無線網絡訪問控制方法。工業生產者對生產設備的控制應用的操作和控制目的是對工業設備的動作控制前提。控制應用的用戶意圖同SDN控制器相聯系，根據效果以及控制應用狀態形成流表規則，實現工廠設備的無線網絡安全。

1 研究背景

無線局域網（Wireless Local Area Network，WLAN）利用無線電波作為信號傳播的媒介，實現通信。我國工業領域應用SDN的無線網絡主要是物聯網內部的工業生產設備經互聯網聯系，實現網絡通信、音視頻、自動控制等技術，提升整體的工業生產安全穩定，減少人力資源成本的支出，減少不必要的失誤，提升整體的生產效率。

SDN的工業無線網絡安全是指SDN控制器和交換機經由安全通道相聯系，負責傳遞SDN控制器的管理命令和OPENFLOW交換機的相關信息就是安全通道。整個過程最好使用加密協議成立TCP連接，實現數據傳送之間的穩定安全，重點注意SDN控制器和交換機之間的信息數據傳遞問題。

以Open Virtual Switch（以下簡稱“OVS”）為例，其主要的內核空間是OpenFlow交換機。這樣的構造就具有較高的效率和相對低廉的成本輸出，作為一個多層虛擬交換機其質量、功能較高。通過編程擴展實現大規模網絡自動化，同時仍然支持標準的管理接口和協議[1]。Open Swtich是實現SDN技術的常見方式，實現了和大多數商業閉源交換機類似功能的軟件交換機。

2 設備端安全問題

工業無線網絡安全是指自身硬件儲存能力和處理能力存在缺陷，生產機械設備出于安全考慮會重點專注生產方面的設備零件的安全穩定，并不重視網絡安全方面的設備問題。因為工業無線網路的自身硬件設備性能不足使得安全通信需要的精密算法條件滿足不了。硬件設備的儲存空間不足，會使工業的設備的安全功能運轉的軟件安裝出現困難。常見的表現有設備的端口弱密碼登錄，端口開啟，無安全通信協議方面。當控制命令的編程被黑客劫持并破解之后，整個工廠的設備會因為受到虛假的控制命令而執行錯誤的內容。當整個工廠設備的控制人員的身份信息存在差異時，可能會出現ID盜刷的現象，使得接收的數據來源存在安全隱患。在設備內部儲存的數據信息需要進行加密處理這樣能使得信息和文件的提取具有一定的安全性。部分網關使用弱口令登錄甚至無口令登錄，使得惡意方能夠輕易控制網關，進入無線局域網。為支持UPnP設備默認開啟UPnP功能，使內網設備暴露給外網的攻擊者。

3 工廠機器的無線網絡安全需要

要想使得自動化的工程機器保持平穩的運轉，需要保持各個操作設備之間的信息傳遞安全，即使采集監控工廠設備之間的信息數據傳輸資料。這樣就能夠帶來更好的用戶體驗和經濟效益。由于Open Switch極小的64腳封裝和他本身極低的功能消耗、4路10位ADC、PWM輸出、46個GPIO以及數量多達9個的外部中斷讓它們特別適用于工廠機器中進行現實應用[2]。基于Open Switch的嵌入式系統中的應用很有必要也能夠起到很大的作用。Open Switch本身就是具有運算速率快，運算穩定等適合于解決嵌入式系統實現的難題的各種對應的優點。

Open Switch是一個在支持實時仿真和跟蹤的16/32位ARM7TDMI-S 的CPU的基礎之上，并附帶有128/256 k字節（KB）嵌入的高速Flash存儲器。128位寬度的存儲器接口和他所特有的加速結構使32位代碼能夠始終在最高的時鐘速率下運行。對代碼規模有精準的控制的應用可應用16位Thumb模式將代碼大小降低多過30%，相對應的性能損耗較少。

4 工業無線網絡安全控制

經過分析試驗可以發現工業的無線網路安全要從流量分析和其工作原理進行分析[3]。控制工業無線網絡安全通常是由設備操作用戶（即應用控制用戶）自發提出的[4]。應用控制用戶利用主動控制應用完成操作，用戶的意圖會產生的設備網絡流量，可以認定該流量為可信任的網絡流量。

由此同工廠設備的生產目的和SDN聯合實現工業無線網路安全的訪問控制方式，辨別工業無線網絡內部接收的流量信息來源，合理防護工業無線網絡安全。監控控制應用的狀態對比SDN控制器完成工業無線網絡安全訪問。這種操作的原理是用戶對工業設備的生產要求能夠借由用戶控制應用操作行為反映出來。工業設備的生產目的會因為當下的設備流量走向的安全流量分類，當下的流量同標準的安全流量分類進行比照，然后形成完整的流量細則。控制工業無線網絡安全的策略需要使用流量細則作為參考標準，通過控制訪問完成安全防護[5]。監控用戶動作的狀態完成應用控制，制成機械設備動作分析圖，完成安全流量歸類。通過SDN中控制器能夠獲取并分析當前流量的能力，對當前流量進行分類并與安全流量類別對比，生成流表規則，最終對當前網絡流量進行訪問控制，只允許安全網絡流量進行傳輸。

要注意的是流表規則一開始并沒有形成系統的要求，SDN控制器一般會處理匹配失效的數據信息。非前臺運營的控制應用會結合設備的MAC地址分析出流向設備的基本流量，并從中提取數據信息的來源（包括IP地址和信息輸出端口）這就能及時清理不被認可的安全信息的訪問請求[6]。

5 結語

SDN自動化會造成網絡可見性被破壞或丟失。這種誤解是基于這樣一種觀念—目前使用的SNMP，syslog，NetFlow看不到網絡，這是一個錯誤的觀念。事實上，SDN廠商想要利用現有的工具盡可能的集成SDN監控。考慮到這一點，他們用傳統數據中心常見的技術來對你的數據中心提供監控能力。換言之，一方面，SDN自動化可以在傳統數據中心里包含相同的監控工具。另一方面，SDN廠商也認識到自動化提供了豐富的用于可視化并保護網絡當前狀態的數據。例如，自動化可以模擬一個穿越客戶機和服務器之間網絡的數據包。SDN解決方案可以通過路由器、交換機、負載均衡和防火墻跟蹤這個數據包，根據這些跟蹤的信息，可以發現網絡連接問題并且確定哪些網絡功能導致了這些問題。自動化還可以識別出網絡中原本允許流量通過但實際上被阻塞的網絡區域。利用擴展視圖功能，通過自動化收集的網絡數據能夠提供網絡健壯性的實時視圖。簡而言之，不要忽視SDN提供安全的潛力。SDN自動化擁有監控和隔離帶來的巨大的優勢，應該成為整體網絡和IT安全態勢的一部分。

我國的工業生產自動化進展越來越完善，除了保證生產設備的零部件安全生產，更需要注意其網絡信息安全。從SDN控制器的角度出發需要重點注意設備的生產意圖和流量信息接收安全，杜絕出現ID泄露，加密信息丟失等現象的出現，做好相應的硬件軟件設備設計，保證我國工業無線網絡安全。

[參考文獻]

[1]方遒，王蔚庭.工業無線網絡環境下移動監控的信息安全威脅與防護[J].制造業自動化，2019（11）：58-61.

[2]莫煉.基于分級安全策略的工業無線網絡接入TSN傳輸機制研究[D].重慶：重慶郵電大學，2019.

[3]張健，張二鵬，趙健暉.一種基于WIA-PA工業無線網絡的本質安全型無線水表適配器[J].內燃機與配件，2018（4）：256-257.

[4]滕艷波. 無線工業控制網絡安全數據傳輸方案設計[D].哈爾濱：哈爾濱工程大學，2017.

[5]楊忠明，秦勇，盧慶武.無線傳感網絡在工業控制中應用的安全問題研究[J].信息技術，2017（1）：47-51.

[6]張先哲，王德吉.SCALANCE W工業無線網絡安全防范研究[J].中國儀器儀表，2015（1）：40-42.

（編輯 姚 鑫）