基于SDN的工業(yè)無線網(wǎng)絡安全研究

何媛

摘 要：無線網(wǎng)絡經過科學研究工作者多年的革新，在物聯(lián)網(wǎng)領域取得了突出的成就。在工業(yè)上，SDN的控制器能夠同無線網(wǎng)絡結合實現(xiàn)控制工業(yè)設備的正常運轉，提高生產效率，減少不必要的損失。實現(xiàn)工業(yè)自動化機械化大規(guī)模生產的同時更需要注重無線網(wǎng)絡的安全問題，防止出現(xiàn)因漏洞而從外網(wǎng)發(fā)動攻擊的問題。

關鍵詞：DN;工業(yè)無線網(wǎng);網(wǎng)絡安全;分析

0 引言

工業(yè)領域作為國家經濟生產發(fā)展的重要部分，SDN的工業(yè)無線網(wǎng)絡技術能夠實現(xiàn)對工業(yè)設備的安全訪問控制，這樣就能有效減少內網(wǎng)攻擊生效的可能，防御即插即用協(xié)議漏洞等保證工業(yè)生產的平穩(wěn)進行。文章從工業(yè)無線網(wǎng)絡安全的角度出發(fā)，探討一種同用戶基本意圖相一致的SDN協(xié)同工業(yè)無線網(wǎng)絡訪問控制方法。工業(yè)生產者對生產設備的控制應用的操作和控制目的是對工業(yè)設備的動作控制前提。控制應用的用戶意圖同SDN控制器相聯(lián)系，根據(jù)效果以及控制應用狀態(tài)形成流表規(guī)則，實現(xiàn)工廠設備的無線網(wǎng)絡安全。

1 研究背景

無線局域網(wǎng)（Wireless Local Area Network，WLAN）利用無線電波作為信號傳播的媒介，實現(xiàn)通信。我國工業(yè)領域應用SDN的無線網(wǎng)絡主要是物聯(lián)網(wǎng)內部的工業(yè)生產設備經互聯(lián)網(wǎng)聯(lián)系，實現(xiàn)網(wǎng)絡通信、音視頻、自動控制等技術，提升整體的工業(yè)生產安全穩(wěn)定，減少人力資源成本的支出，減少不必要的失誤，提升整體的生產效率。

SDN的工業(yè)無線網(wǎng)絡安全是指SDN控制器和交換機經由安全通道相聯(lián)系，負責傳遞SDN控制器的管理命令和OPENFLOW交換機的相關信息就是安全通道。整個過程最好使用加密協(xié)議成立TCP連接，實現(xiàn)數(shù)據(jù)傳送之間的穩(wěn)定安全，重點注意SDN控制器和交換機之間的信息數(shù)據(jù)傳遞問題。

以Open Virtual Switch（以下簡稱“OVS”）為例，其主要的內核空間是OpenFlow交換機。這樣的構造就具有較高的效率和相對低廉的成本輸出，作為一個多層虛擬交換機其質量、功能較高。通過編程擴展實現(xiàn)大規(guī)模網(wǎng)絡自動化，同時仍然支持標準的管理接口和協(xié)議[1]。Open Swtich是實現(xiàn)SDN技術的常見方式，實現(xiàn)了和大多數(shù)商業(yè)閉源交換機類似功能的軟件交換機。

2 設備端安全問題

工業(yè)無線網(wǎng)絡安全是指自身硬件儲存能力和處理能力存在缺陷，生產機械設備出于安全考慮會重點專注生產方面的設備零件的安全穩(wěn)定，并不重視網(wǎng)絡安全方面的設備問題。因為工業(yè)無線網(wǎng)路的自身硬件設備性能不足使得安全通信需要的精密算法條件滿足不了。硬件設備的儲存空間不足，會使工業(yè)的設備的安全功能運轉的軟件安裝出現(xiàn)困難。常見的表現(xiàn)有設備的端口弱密碼登錄，端口開啟，無安全通信協(xié)議方面。當控制命令的編程被黑客劫持并破解之后，整個工廠的設備會因為受到虛假的控制命令而執(zhí)行錯誤的內容。當整個工廠設備的控制人員的身份信息存在差異時，可能會出現(xiàn)ID盜刷的現(xiàn)象，使得接收的數(shù)據(jù)來源存在安全隱患。在設備內部儲存的數(shù)據(jù)信息需要進行加密處理這樣能使得信息和文件的提取具有一定的安全性。部分網(wǎng)關使用弱口令登錄甚至無口令登錄，使得惡意方能夠輕易控制網(wǎng)關，進入無線局域網(wǎng)。為支持UPnP設備默認開啟UPnP功能，使內網(wǎng)設備暴露給外網(wǎng)的攻擊者。

3 工廠機器的無線網(wǎng)絡安全需要

要想使得自動化的工程機器保持平穩(wěn)的運轉，需要保持各個操作設備之間的信息傳遞安全，即使采集監(jiān)控工廠設備之間的信息數(shù)據(jù)傳輸資料。這樣就能夠帶來更好的用戶體驗和經濟效益。由于Open Switch極小的64腳封裝和他本身極低的功能消耗、4路10位ADC、PWM輸出、46個GPIO以及數(shù)量多達9個的外部中斷讓它們特別適用于工廠機器中進行現(xiàn)實應用[2]。基于Open Switch的嵌入式系統(tǒng)中的應用很有必要也能夠起到很大的作用。Open Switch本身就是具有運算速率快，運算穩(wěn)定等適合于解決嵌入式系統(tǒng)實現(xiàn)的難題的各種對應的優(yōu)點。

Open Switch是一個在支持實時仿真和跟蹤的16/32位ARM7TDMI-S 的CPU的基礎之上，并附帶有128/256 k字節(jié)（KB）嵌入的高速Flash存儲器。128位寬度的存儲器接口和他所特有的加速結構使32位代碼能夠始終在最高的時鐘速率下運行。對代碼規(guī)模有精準的控制的應用可應用16位Thumb模式將代碼大小降低多過30%，相對應的性能損耗較少。

4 工業(yè)無線網(wǎng)絡安全控制

經過分析試驗可以發(fā)現(xiàn)工業(yè)的無線網(wǎng)路安全要從流量分析和其工作原理進行分析[3]。控制工業(yè)無線網(wǎng)絡安全通常是由設備操作用戶（即應用控制用戶）自發(fā)提出的[4]。應用控制用戶利用主動控制應用完成操作，用戶的意圖會產生的設備網(wǎng)絡流量，可以認定該流量為可信任的網(wǎng)絡流量。

由此同工廠設備的生產目的和SDN聯(lián)合實現(xiàn)工業(yè)無線網(wǎng)路安全的訪問控制方式，辨別工業(yè)無線網(wǎng)絡內部接收的流量信息來源，合理防護工業(yè)無線網(wǎng)絡安全。監(jiān)控控制應用的狀態(tài)對比SDN控制器完成工業(yè)無線網(wǎng)絡安全訪問。這種操作的原理是用戶對工業(yè)設備的生產要求能夠借由用戶控制應用操作行為反映出來。工業(yè)設備的生產目的會因為當下的設備流量走向的安全流量分類，當下的流量同標準的安全流量分類進行比照，然后形成完整的流量細則。控制工業(yè)無線網(wǎng)絡安全的策略需要使用流量細則作為參考標準，通過控制訪問完成安全防護[5]。監(jiān)控用戶動作的狀態(tài)完成應用控制，制成機械設備動作分析圖，完成安全流量歸類。通過SDN中控制器能夠獲取并分析當前流量的能力，對當前流量進行分類并與安全流量類別對比，生成流表規(guī)則，最終對當前網(wǎng)絡流量進行訪問控制，只允許安全網(wǎng)絡流量進行傳輸。

要注意的是流表規(guī)則一開始并沒有形成系統(tǒng)的要求，SDN控制器一般會處理匹配失效的數(shù)據(jù)信息。非前臺運營的控制應用會結合設備的MAC地址分析出流向設備的基本流量，并從中提取數(shù)據(jù)信息的來源（包括IP地址和信息輸出端口）這就能及時清理不被認可的安全信息的訪問請求[6]。

5 結語

SDN自動化會造成網(wǎng)絡可見性被破壞或丟失。這種誤解是基于這樣一種觀念—目前使用的SNMP，syslog，NetFlow看不到網(wǎng)絡，這是一個錯誤的觀念。事實上，SDN廠商想要利用現(xiàn)有的工具盡可能的集成SDN監(jiān)控。考慮到這一點，他們用傳統(tǒng)數(shù)據(jù)中心常見的技術來對你的數(shù)據(jù)中心提供監(jiān)控能力。換言之，一方面，SDN自動化可以在傳統(tǒng)數(shù)據(jù)中心里包含相同的監(jiān)控工具。另一方面，SDN廠商也認識到自動化提供了豐富的用于可視化并保護網(wǎng)絡當前狀態(tài)的數(shù)據(jù)。例如，自動化可以模擬一個穿越客戶機和服務器之間網(wǎng)絡的數(shù)據(jù)包。SDN解決方案可以通過路由器、交換機、負載均衡和防火墻跟蹤這個數(shù)據(jù)包，根據(jù)這些跟蹤的信息，可以發(fā)現(xiàn)網(wǎng)絡連接問題并且確定哪些網(wǎng)絡功能導致了這些問題。自動化還可以識別出網(wǎng)絡中原本允許流量通過但實際上被阻塞的網(wǎng)絡區(qū)域。利用擴展視圖功能，通過自動化收集的網(wǎng)絡數(shù)據(jù)能夠提供網(wǎng)絡健壯性的實時視圖。簡而言之，不要忽視SDN提供安全的潛力。SDN自動化擁有監(jiān)控和隔離帶來的巨大的優(yōu)勢，應該成為整體網(wǎng)絡和IT安全態(tài)勢的一部分。

我國的工業(yè)生產自動化進展越來越完善，除了保證生產設備的零部件安全生產，更需要注意其網(wǎng)絡信息安全。從SDN控制器的角度出發(fā)需要重點注意設備的生產意圖和流量信息接收安全，杜絕出現(xiàn)ID泄露，加密信息丟失等現(xiàn)象的出現(xiàn)，做好相應的硬件軟件設備設計，保證我國工業(yè)無線網(wǎng)絡安全。

[參考文獻]

[1]方遒，王蔚庭.工業(yè)無線網(wǎng)絡環(huán)境下移動監(jiān)控的信息安全威脅與防護[J].制造業(yè)自動化，2019（11）：58-61.

[2]莫煉.基于分級安全策略的工業(yè)無線網(wǎng)絡接入TSN傳輸機制研究[D].重慶：重慶郵電大學，2019.

[3]張健，張二鵬，趙健暉.一種基于WIA-PA工業(yè)無線網(wǎng)絡的本質安全型無線水表適配器[J].內燃機與配件，2018（4）：256-257.

[4]滕艷波. 無線工業(yè)控制網(wǎng)絡安全數(shù)據(jù)傳輸方案設計[D].哈爾濱：哈爾濱工程大學，2017.

[5]楊忠明，秦勇，盧慶武.無線傳感網(wǎng)絡在工業(yè)控制中應用的安全問題研究[J].信息技術，2017（1）：47-51.

[6]張先哲，王德吉.SCALANCE W工業(yè)無線網(wǎng)絡安全防范研究[J].中國儀器儀表，2015（1）：40-42.

（編輯 姚 鑫）