如何提升校園物聯(lián)網(wǎng)設備網(wǎng)絡(luò )的安全性?
文章出處:http://www.psychicreadingswithdeb.com 作者: 人氣: 發(fā)表時(shí)間:2022年05月19日
隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷發(fā)展,高校的校園網(wǎng)建設已經(jīng)經(jīng)歷了傳統校園網(wǎng)絡(luò )、電子校園網(wǎng)絡(luò )、數字校園網(wǎng)絡(luò )三個(gè)階段 [1] 。
目前正在由數字校園向智慧校園邁進(jìn)。在此發(fā)展過(guò)程中,物聯(lián)網(wǎng)技術(shù)起到了至關(guān)重要的作用 [2] 。
隨著(zhù)時(shí)代的進(jìn)步,越來(lái)越多的物聯(lián)網(wǎng)設備接入校園網(wǎng),如智能攝像頭、智能電表、智能水表、計算服務(wù)器等。
這些物聯(lián)網(wǎng)設備對網(wǎng)絡(luò )安全提出了更高的要求,如智能水表、電表涉及用戶(hù)計費,智能攝像頭、計算服務(wù)器等涉及用戶(hù)隱私數據信息安全,一旦這些物聯(lián)網(wǎng)設備出現了網(wǎng)絡(luò )安全漏洞,勢必會(huì )給用戶(hù)造成困擾甚至經(jīng)濟損失。
在當前的時(shí)代環(huán)境下,如何提升校園物聯(lián)網(wǎng)設備網(wǎng)絡(luò )的安全性,成為我們必須正視,并亟待研究的課題。
01
物聯(lián)網(wǎng)設備管理現狀分析
針對這些數量龐大,種類(lèi)繁多的物聯(lián)網(wǎng)設備,很多高校都提出了自己的物聯(lián)網(wǎng)管理方法。如徐曉新 [3] 研究探索了物聯(lián)網(wǎng)設備接入校園網(wǎng)的三種方式:采用媒體存取控制位址(Media Access Control Address,MAC)端口綁定的方式、采用專(zhuān)用虛擬網(wǎng)絡(luò )的方式、采用QinQ(802.1Q-in-802.1Q)配置管理的方式。并最終通過(guò)綜合對比,選擇了QinQ配置管理的方式,幫助物聯(lián)網(wǎng)設備接入校園網(wǎng)。
為了提高校園物聯(lián)網(wǎng)設備的安全性, 華中科技大學(xué)要求每個(gè)物聯(lián)網(wǎng)設備實(shí)名制,即每個(gè)入網(wǎng)的物聯(lián)網(wǎng)設備都能夠追溯到其責任人。
因此采用了MAC地址與交換機端口綁定的方式,來(lái)幫助物聯(lián)網(wǎng)設備接入校園網(wǎng)。具體流程為:
-
物聯(lián)網(wǎng)設備入網(wǎng)申請人提供MAC地址;
-
網(wǎng)絡(luò )工程師對核心設備、接入設備進(jìn)行配置,以實(shí)現該MAC地址對應的物聯(lián)網(wǎng)設備的免認證上網(wǎng)功能;
-
使用人將物聯(lián)網(wǎng)設備和指定交換機端口相連,完成物聯(lián)網(wǎng)設備入網(wǎng)過(guò)程。
但這樣會(huì )存在一個(gè)問(wèn)題,即物聯(lián)網(wǎng)設備管理和普通上網(wǎng)用戶(hù)管理混在了一起,如圖1所示。這樣的處置,存在以下4個(gè)弊端:
1.物聯(lián)網(wǎng)設備準入配置復雜。如圖1所示,華中科技大學(xué)有多臺核心設備,需要先根據物聯(lián)網(wǎng)設備的具體物理位置確定對應的核心設備,然后再在對應的核心設備上做命令行配置。如果該物聯(lián)網(wǎng)設備位置發(fā)生變化,則需要做重新配置。
圖1 傳統物聯(lián)網(wǎng)設備管理拓撲結構
2.物聯(lián)網(wǎng)設備缺乏訪(fǎng)問(wèn)控制。因為物聯(lián)網(wǎng)設備使用的是普通用戶(hù)的IP地址段接入校園網(wǎng),所以校園網(wǎng)上的用戶(hù)和物聯(lián)網(wǎng)設備之間可以進(jìn)行自由互訪(fǎng),這就造成了一定的網(wǎng)絡(luò )安全隱患。
3.物聯(lián)網(wǎng)設備缺乏系統安全監管。由于物聯(lián)網(wǎng)設備所使用的IP地址段非常分散,因此很難集中對這些設備所安裝的系統、所搭載的應用進(jìn)行安全掃描,從而進(jìn)行主動(dòng)防護。
4.物聯(lián)網(wǎng)設備缺乏生命周期管理。由于采用手工配置的方式實(shí)現物聯(lián)網(wǎng)設備入網(wǎng),因此很難甄別出已經(jīng)到期的物聯(lián)網(wǎng)設備,并將其從系統中刪除。這樣就導致物聯(lián)網(wǎng)設備一次入網(wǎng)、長(cháng)期使用,缺乏年審機制,存在安全隱患。
02
SDN關(guān)鍵技術(shù)
軟件定義網(wǎng)絡(luò )(Software Defined Network,SDN)是由美國斯坦福大學(xué)CLean State課題研究組提出的一種新型網(wǎng)絡(luò )創(chuàng )新架構,是網(wǎng)絡(luò )虛擬化的一種實(shí)現方式。
其核心技術(shù)OpenFlow和NETCONF協(xié)議通過(guò)將網(wǎng)絡(luò )設備的控制面與數據面分離開(kāi)來(lái),從而實(shí)現了網(wǎng)絡(luò )流量的靈活控制,使網(wǎng)絡(luò )作為管道的功能變得更加智能 [4-5] 。 SDN技術(shù)使得建立高效、便捷、安全的物聯(lián)網(wǎng)管理系統成為了可能。
NETCONF協(xié)議技術(shù)
NETCONF是一種網(wǎng)管協(xié)議,主要功能是彌補SNMP協(xié)議無(wú)法對設備進(jìn)行配置的不足,并將其取代。
NETCONF工作組于2003年成立,該協(xié)議于2006年(RFC4741等)成型,于2011年(RFC6241等)不斷完善,2014年日趨成熟。
NETCONF協(xié)議早于SDN技術(shù)產(chǎn)生,其初期發(fā)展較為緩慢,后期隨著(zhù)SDN技術(shù)的火熱興起而煥發(fā)出新的生機 [6] 。
NETCONF協(xié)議分成四層:安全傳輸層、消息層、操作層和內容層。NETCONF協(xié)議是完全基于XML之上的,所有的配置數據和協(xié)議消息都用XML表示,并且協(xié)議主要通過(guò)SSH加密傳輸。
OpenFlow協(xié)議技術(shù)
OpenFlow為用戶(hù)提供了一個(gè)開(kāi)放的協(xié)議,用戶(hù)可以通過(guò)該協(xié)議對不同交換機中的流表進(jìn)行控制,研究者可以通過(guò)選擇數據轉發(fā)通路以及數據處理方式來(lái)輕松地控制數據流的走向。
OpenFlow協(xié)議從1.0版本演進(jìn)到了1.4版本,其主要是針對如下兩個(gè)層面進(jìn)行不斷完善的 [7] :
-
增強邏輯控制層面。使得協(xié)議的功能更加強大,更加靈活。
-
增加數據轉發(fā)層面。增加了更多的關(guān)鍵字匹配,使得協(xié)議可以執行更多不同的操作。
03
基于SDN的物聯(lián)網(wǎng)設備管理
針對校園網(wǎng)物聯(lián)網(wǎng)管理中遇到的諸多問(wèn)題,引入了基于SDN技術(shù)的物聯(lián)網(wǎng)管理系統,使用獨立的物聯(lián)網(wǎng)網(wǎng)關(guān)對數目巨大、種類(lèi)繁多的物聯(lián)網(wǎng)設備進(jìn)行管理,如圖2所示,很好地解決了如上的問(wèn)題,提高了物聯(lián)網(wǎng)設備的網(wǎng)絡(luò )安全性。
圖2 基于SDN的物聯(lián)網(wǎng)管理拓撲結構
物聯(lián)網(wǎng)設備準入安全
1.物聯(lián)網(wǎng)設備準入管控流程
物聯(lián)網(wǎng)設備入網(wǎng)申請,由學(xué)校各個(gè)單位的信息聯(lián)絡(luò )員在網(wǎng)上辦事大廳中提交申請流程,審批通過(guò)后由物聯(lián)網(wǎng)設備管理員進(jìn)行物聯(lián)網(wǎng)設備IP地址的分配,并在SDN控制器上做出相應的配置,靜態(tài)綁定該物聯(lián)網(wǎng)設備的MAC和IP地址。
與此同時(shí),在物聯(lián)網(wǎng)管理系統中記錄物聯(lián)網(wǎng)設備的相關(guān)信息如設備類(lèi)型、設備IP、設備MAC、責任人及設備失效時(shí)間等。申請人獲得IP后,對物聯(lián)網(wǎng)設備進(jìn)行IP設置后接入校園網(wǎng)。
2.物聯(lián)網(wǎng)設備準入實(shí)現原理
物聯(lián)網(wǎng)設備準入實(shí)現原理如圖3所示,其具體步驟如下:
圖3 物聯(lián)網(wǎng)設備準入原理
(1)SDN控制器開(kāi)啟準入管控后,通過(guò)NETCONF下發(fā)基于子網(wǎng)的地址解析協(xié)議(Address Resolution Protocol,ARP)學(xué)習關(guān)閉。這個(gè)子網(wǎng)的ARP學(xué)習關(guān)閉,會(huì )導致這個(gè)子網(wǎng)下行的流量關(guān)閉,最終達到阻止終端聯(lián)網(wǎng)的效果。
(2)終端入網(wǎng),發(fā)起網(wǎng)關(guān)ARP請求。
(3)對應網(wǎng)關(guān)設備收到入網(wǎng)終端的ARP請求,基于對應的網(wǎng)段IP將報文上發(fā)到控制器。
(4)控制器收到發(fā)送過(guò)來(lái)的ARP請求報文,解析其發(fā)送者的IP和MAC地址,并記錄終端所在網(wǎng)關(guān)位置(即網(wǎng)關(guān)設備管理IP)。 如果在免管控期間,控制器則自動(dòng)生成靜態(tài)ARP表并設置到對應網(wǎng)關(guān)上。如果在管控期間,則出現在控制器的待審批界面中,管理員審批通過(guò)后生成靜態(tài)ARP表并設置到網(wǎng)關(guān)上,完成該終端的入網(wǎng)審批。
物聯(lián)網(wǎng)設備訪(fǎng)問(wèn)控制安全
部分物聯(lián)網(wǎng)設備涉及到學(xué)校師生的個(gè)人隱私安全,如物聯(lián)網(wǎng)監控攝像頭;部分物聯(lián)網(wǎng)設備關(guān)系到師生的財產(chǎn)安全,如智能電表、水表、一卡通設備等;更有甚者關(guān)系到師生的生命安全,如煙感、溫感傳感器等。
所以物聯(lián)網(wǎng)設備成功接入校園網(wǎng)后,只能讓有權限的角色訪(fǎng)問(wèn)到這些物聯(lián)網(wǎng)設備,這就是物聯(lián)網(wǎng)設備的訪(fǎng)問(wèn)控制安全。
提高物聯(lián)網(wǎng)設備訪(fǎng)問(wèn)控制安全可通過(guò)以下兩種方式實(shí)現。
1.物聯(lián)網(wǎng)專(zhuān)網(wǎng)的建立
對于業(yè)務(wù)相對獨立,設備數量眾多的物聯(lián)網(wǎng)設備,可以組建一張物聯(lián)網(wǎng)專(zhuān)網(wǎng)。如宿舍的智能門(mén)禁系統,智能門(mén)禁設備數量眾多,但這些智能門(mén)禁設備都只需要訪(fǎng)問(wèn)一臺門(mén)禁服務(wù)器。如果讓這些設備單獨入網(wǎng),暴露在校園網(wǎng)中,假如這些設備有安全漏洞,學(xué)生宿舍將存在安全隱患。但如果通過(guò)光纖將這些設備組成物理專(zhuān)網(wǎng),又會(huì )推高施工成本。另外,如果專(zhuān)網(wǎng)數量越建越多,還會(huì )產(chǎn)生管理復雜的問(wèn)題。
圖4 物聯(lián)網(wǎng)專(zhuān)網(wǎng)示意
基于SDN的物聯(lián)網(wǎng)管理系統,就可以很好地解決這個(gè)問(wèn)題。以門(mén)禁系統為例,如圖4所示,采用Super VLAN加上Sub VLAN的方式,將主控服務(wù)器和智能門(mén)禁組成一張虛擬的智能門(mén)禁專(zhuān)網(wǎng),分配統一的智能門(mén)禁專(zhuān)網(wǎng)IP地址,承載于校園網(wǎng)之上,并且通過(guò)ACL規則,只允許該智能門(mén)禁設備訪(fǎng)問(wèn)門(mén)禁服務(wù)器,從而保障了這個(gè)專(zhuān)網(wǎng)的安全性。
2.單個(gè)物聯(lián)網(wǎng)設備的精細化訪(fǎng)問(wèn)控制
單個(gè)物聯(lián)網(wǎng)設備需要進(jìn)行精細化的訪(fǎng)問(wèn)權限控制。例如放置在辦公室的打印機,只能被周?chē)鷰讉€(gè)辦公室的用戶(hù)所訪(fǎng)問(wèn),以免復印或者打印的數據被其他的非法用戶(hù)獲??;又如課題組搭建了一個(gè)服務(wù)器,用于對課題組人員提供計算服務(wù),則服務(wù)器只能被課題組成員所訪(fǎng)問(wèn),以免出現服務(wù)器數據泄露等問(wèn)題。
目前采用基于源、目的IP地址的ACL管控的方式,來(lái)實(shí)現單個(gè)物聯(lián)網(wǎng)設備的精細化訪(fǎng)問(wèn)權限控制。 給某個(gè)物聯(lián)網(wǎng)設備分配IP地址的時(shí)候,就收集到哪些IP需要訪(fǎng)問(wèn)這個(gè)物聯(lián)網(wǎng)設備,同時(shí)該物聯(lián)網(wǎng)設備需要訪(fǎng)問(wèn)哪些IP,并且通過(guò)ACL規則進(jìn)行管控。
通過(guò)這種方式,就可以將單個(gè)物聯(lián)網(wǎng)設備劃分為一個(gè)個(gè)的“物聯(lián)網(wǎng)設備作用域”,每個(gè)物聯(lián)網(wǎng)設備在其“物聯(lián)網(wǎng)設備作用域”中提供服務(wù),在該“物聯(lián)網(wǎng)設備作用域”范圍外的IP則無(wú)法訪(fǎng)問(wèn)該設備。
物聯(lián)網(wǎng)設備系統安全
隨著(zhù)物聯(lián)網(wǎng)設備越來(lái)越智能化,大部分的物聯(lián)網(wǎng)設備都有自己的操作系統和應用程序,并依靠應用程序對外提供服務(wù)。
操作系統和應用程序若有漏洞,就會(huì )產(chǎn)生網(wǎng)絡(luò )安全風(fēng)險。如果訪(fǎng)問(wèn)者利用了這些安全漏洞,就會(huì )對物聯(lián)網(wǎng)設備的安全性產(chǎn)生威脅。
在沒(méi)有引入基于SDN的物聯(lián)網(wǎng)管理系統前,所有的物聯(lián)網(wǎng)設備是分散在全校各個(gè)網(wǎng)段之中的,很難將這些設備收集全,并進(jìn)行集中管控。
引入基于SDN的物聯(lián)網(wǎng)管理系統后,所有的物聯(lián)網(wǎng)設備集中在某幾個(gè)IP地址段,這樣就很容易定期對這些物聯(lián)網(wǎng)設備的系統以及應用程序進(jìn)行漏洞掃描。
若發(fā)現其中存在安全漏洞,可及時(shí)通報給物聯(lián)網(wǎng)設備的管理責任人,同時(shí)將其物聯(lián)網(wǎng)設備下線(xiàn)。待其整改完成,經(jīng)過(guò)檢測沒(méi)有漏洞后,再予以上線(xiàn)。以2021年9月為例,已掃描出170多個(gè)漏洞,如“弱密碼”“XSS跨站攻擊”“OpenSSH漏洞”等。
物聯(lián)網(wǎng)設備生命周期安全
物聯(lián)網(wǎng)設備也是具有生命周期的,可能隨著(zhù)項目的結束、設備責任人的離退休,該設備不再有人使用也不再有人維護。
如果這樣的“僵尸”設備存在于校園網(wǎng)中,則隨著(zhù)時(shí)間的增加,其安全漏洞會(huì )越來(lái)越多,可能還會(huì )被一些黑客分子當作“肉機”使用,作為“跳板機”去攻擊其他的用戶(hù)。
因此,目前采用的是物聯(lián)網(wǎng)設備年審制度。申請入網(wǎng)的物聯(lián)網(wǎng)設備會(huì )在當年的12月31日到期,到期前系統會(huì )發(fā)送短信提醒用戶(hù)盡快完成設備延期申請。如果在到期前仍未能完成延期申請的,將會(huì )在到期后無(wú)法接入校園網(wǎng)。
通過(guò)創(chuàng )新的物聯(lián)網(wǎng)設備準入安全管理、物聯(lián)網(wǎng)設備訪(fǎng)問(wèn)控制安全管理、物聯(lián)網(wǎng)設備系統安全管理、物聯(lián)網(wǎng)設備生命周期安全管理,有效地解決了當前校園網(wǎng)中遇到的物聯(lián)網(wǎng)設備的安全問(wèn)題。
但是隨著(zhù)物聯(lián)網(wǎng)設備的數量、種類(lèi)的不斷增加,以及需求的變化升級,新的物聯(lián)網(wǎng)設備的安全挑戰也會(huì )隨之出現。這就需要我們不斷創(chuàng )新技術(shù),改進(jìn)管理方法,來(lái)解決新的物聯(lián)網(wǎng)設備安全問(wèn)題。
參考文獻(上下滑動(dòng)查看)
[1]徐玉妃,楊昆,袁凌云,等.基于物聯(lián)網(wǎng)的智慧校園建設與研究——以云南師范大學(xué)為例[J].云南師范大學(xué)學(xué)報(自然科學(xué)版),2016,36(01):47-52.
[2]覃德澤,李立信.高校智慧校園網(wǎng)中物聯(lián)網(wǎng)、5G、云計算及IPv6的融合問(wèn)題探討[J].網(wǎng)絡(luò )安全技術(shù)與應用,2019(12):104-106.
[3]徐曉新,蘇群,趙宇明,等.基于校園網(wǎng)的物聯(lián)網(wǎng)的建設和管理方法[J].工業(yè)儀表與自動(dòng)化裝置,2016(04):109-110.
[4]鐘機靈.SDN校園網(wǎng)關(guān)鍵技術(shù)應用研究[J].信息技術(shù)與信息化,2021(07):197-200.
[5]張敏,王朝陽(yáng).SDN網(wǎng)絡(luò )淺析[J].內蒙古科技與經(jīng)濟,2019(21):80-82.
[6]白煜.基于NETCONF的網(wǎng)絡(luò )設備配置與管理系統設計與實(shí)現[D].電子科技大學(xué),2020.
[7]孔倩.基于OpenFlow的鏈路容錯機制的研究與設計[D].華東師范大學(xué),2015.
作者:劉云、雷洲、劉戀、洪劍珂(華中科技大學(xué)網(wǎng)絡(luò )與計算中心)