隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展���,高校的校園網(wǎng)建設(shè)已經(jīng)經(jīng)歷了傳統(tǒng)校園網(wǎng)絡(luò)�、電子校園網(wǎng)絡(luò)�、數(shù)字校園網(wǎng)絡(luò)三個(gè)階段[1]。
目前正在由數(shù)字校園向智慧校園邁進(jìn)���。在此發(fā)展過(guò)程中����,物聯(lián)網(wǎng)技術(shù)起到了至關(guān)重要的作用[2]�����。
隨著時(shí)代的進(jìn)步����,越來(lái)越多的物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng),如智能攝像頭�、智能電表�、智能水表���、計(jì)算服務(wù)器等�����。
這些物聯(lián)網(wǎng)設(shè)備對(duì)網(wǎng)絡(luò)安全提出了更高的要求,如智能水表���、電表涉及用戶(hù)計(jì)費(fèi)���,智能攝像頭、計(jì)算服務(wù)器等涉及用戶(hù)隱私數(shù)據(jù)信息安全�,一旦這些物聯(lián)網(wǎng)設(shè)備出現(xiàn)了網(wǎng)絡(luò)安全漏洞,勢(shì)必會(huì)給用戶(hù)造成困擾甚至經(jīng)濟(jì)損失���。
在當(dāng)前的時(shí)代環(huán)境下����,如何提升校園物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)的安全性�,成為我們必須正視,并亟待研究的課題�。
物聯(lián)網(wǎng)設(shè)備管理現(xiàn)狀分析
針對(duì)這些數(shù)量龐大�����,種類(lèi)繁多的物聯(lián)網(wǎng)設(shè)備���,很多高校都提出了自己的物聯(lián)網(wǎng)管理方法。如徐曉新[3]研究探索了物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)的三種方式:采用媒體存取控制位址(Media Access Control Address�,MAC)端口綁定的方式、采用專(zhuān)用虛擬網(wǎng)絡(luò)的方式��、采用QinQ(802.1Q-in-802.1Q)配置管理的方式����。并最終通過(guò)綜合對(duì)比,選擇了QinQ配置管理的方式��,幫助物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)�����。
為了提高校園物聯(lián)網(wǎng)設(shè)備的安全性�,華中科技大學(xué)要求每個(gè)物聯(lián)網(wǎng)設(shè)備實(shí)名制,即每個(gè)入網(wǎng)的物聯(lián)網(wǎng)設(shè)備都能夠追溯到其責(zé)任人���。
因此采用了MAC地址與交換機(jī)端口綁定的方式���,來(lái)幫助物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)���。具體流程為:
物聯(lián)網(wǎng)設(shè)備入網(wǎng)申請(qǐng)人提供MAC地址;
網(wǎng)絡(luò)工程師對(duì)核心設(shè)備�、接入設(shè)備進(jìn)行配置,以實(shí)現(xiàn)該MAC地址對(duì)應(yīng)的物聯(lián)網(wǎng)設(shè)備的免認(rèn)證上網(wǎng)功能�;
使用人將物聯(lián)網(wǎng)設(shè)備和指定交換機(jī)端口相連,完成物聯(lián)網(wǎng)設(shè)備入網(wǎng)過(guò)程����。
但這樣會(huì)存在一個(gè)問(wèn)題���,即物聯(lián)網(wǎng)設(shè)備管理和普通上網(wǎng)用戶(hù)管理混在了一起��,如圖1所示�。這樣的處置���,存在以下4個(gè)弊端:
1.物聯(lián)網(wǎng)設(shè)備準(zhǔn)入配置復(fù)雜����。如圖1所示�,華中科技大學(xué)有多臺(tái)核心設(shè)備����,需要先根據(jù)物聯(lián)網(wǎng)設(shè)備的具體物理位置確定對(duì)應(yīng)的核心設(shè)備�,然后再在對(duì)應(yīng)的核心設(shè)備上做命令行配置。如果該物聯(lián)網(wǎng)設(shè)備位置發(fā)生變化�����,則需要做重新配置��。
圖1 傳統(tǒng)物聯(lián)網(wǎng)設(shè)備管理拓?fù)浣Y(jié)構(gòu)
2.物聯(lián)網(wǎng)設(shè)備缺乏訪問(wèn)控制�。因?yàn)槲锫?lián)網(wǎng)設(shè)備使用的是普通用戶(hù)的IP地址段接入校園網(wǎng),所以校園網(wǎng)上的用戶(hù)和物聯(lián)網(wǎng)設(shè)備之間可以進(jìn)行自由互訪����,這就造成了一定的網(wǎng)絡(luò)安全隱患。
3.物聯(lián)網(wǎng)設(shè)備缺乏系統(tǒng)安全監(jiān)管����。由于物聯(lián)網(wǎng)設(shè)備所使用的IP地址段非常分散,因此很難集中對(duì)這些設(shè)備所安裝的系統(tǒng)�、所搭載的應(yīng)用進(jìn)行安全掃描,從而進(jìn)行主動(dòng)防護(hù)���。
4.物聯(lián)網(wǎng)設(shè)備缺乏生命周期管理�����。由于采用手工配置的方式實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備入網(wǎng)�����,因此很難甄別出已經(jīng)到期的物聯(lián)網(wǎng)設(shè)備�,并將其從系統(tǒng)中刪除。這樣就導(dǎo)致物聯(lián)網(wǎng)設(shè)備一次入網(wǎng)��、長(zhǎng)期使用���,缺乏年審機(jī)制,存在安全隱患��。
軟件定義網(wǎng)絡(luò)(Software Defined Network�����,SDN)是由美國(guó)斯坦福大學(xué)CLean State課題研究組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)����,是網(wǎng)絡(luò)虛擬化的一種實(shí)現(xiàn)方式。
其核心技術(shù)OpenFlow和NETCONF協(xié)議通過(guò)將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面分離開(kāi)來(lái),從而實(shí)現(xiàn)了網(wǎng)絡(luò)流量的靈活控制���,使網(wǎng)絡(luò)作為管道的功能變得更加智能[4-5]�����。SDN技術(shù)使得建立高效���、便捷、安全的物聯(lián)網(wǎng)管理系統(tǒng)成為了可能����。
NETCONF是一種網(wǎng)管協(xié)議,主要功能是彌補(bǔ)SNMP協(xié)議無(wú)法對(duì)設(shè)備進(jìn)行配置的不足��,并將其取代�。
NETCONF工作組于2003年成立,該協(xié)議于2006年(RFC4741等)成型�,于2011年(RFC6241等)不斷完善,2014年日趨成熟�����。
NETCONF協(xié)議早于SDN技術(shù)產(chǎn)生�����,其初期發(fā)展較為緩慢,后期隨著SDN技術(shù)的火熱興起而煥發(fā)出新的生機(jī)[6]��。
NETCONF協(xié)議分成四層:安全傳輸層����、消息層、操作層和內(nèi)容層�����。NETCONF協(xié)議是完全基于XML之上的����,所有的配置數(shù)據(jù)和協(xié)議消息都用XML表示,并且協(xié)議主要通過(guò)SSH加密傳輸��。
OpenFlow為用戶(hù)提供了一個(gè)開(kāi)放的協(xié)議�����,用戶(hù)可以通過(guò)該協(xié)議對(duì)不同交換機(jī)中的流表進(jìn)行控制�,研究者可以通過(guò)選擇數(shù)據(jù)轉(zhuǎn)發(fā)通路以及數(shù)據(jù)處理方式來(lái)輕松地控制數(shù)據(jù)流的走向����。
OpenFlow協(xié)議從1.0版本演進(jìn)到了1.4版本���,其主要是針對(duì)如下兩個(gè)層面進(jìn)行不斷完善的[7]:
增強(qiáng)邏輯控制層面。使得協(xié)議的功能更加強(qiáng)大���,更加靈活���。
增加數(shù)據(jù)轉(zhuǎn)發(fā)層面。增加了更多的關(guān)鍵字匹配���,使得協(xié)議可以執(zhí)行更多不同的操作�。
基于SDN的物聯(lián)網(wǎng)設(shè)備管理
針對(duì)校園網(wǎng)物聯(lián)網(wǎng)管理中遇到的諸多問(wèn)題��,引入了基于SDN技術(shù)的物聯(lián)網(wǎng)管理系統(tǒng)�,使用獨(dú)立的物聯(lián)網(wǎng)網(wǎng)關(guān)對(duì)數(shù)目巨大、種類(lèi)繁多的物聯(lián)網(wǎng)設(shè)備進(jìn)行管理��,如圖2所示�,很好地解決了如上的問(wèn)題,提高了物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全性����。
圖2 基于SDN的物聯(lián)網(wǎng)管理拓?fù)浣Y(jié)構(gòu)
物聯(lián)網(wǎng)設(shè)備準(zhǔn)入安全
1.物聯(lián)網(wǎng)設(shè)備準(zhǔn)入管控流程
物聯(lián)網(wǎng)設(shè)備入網(wǎng)申請(qǐng)���,由學(xué)校各個(gè)單位的信息聯(lián)絡(luò)員在網(wǎng)上辦事大廳中提交申請(qǐng)流程,審批通過(guò)后由物聯(lián)網(wǎng)設(shè)備管理員進(jìn)行物聯(lián)網(wǎng)設(shè)備IP地址的分配��,并在SDN控制器上做出相應(yīng)的配置�����,靜態(tài)綁定該物聯(lián)網(wǎng)設(shè)備的MAC和IP地址�。
與此同時(shí),在物聯(lián)網(wǎng)管理系統(tǒng)中記錄物聯(lián)網(wǎng)設(shè)備的相關(guān)信息如設(shè)備類(lèi)型��、設(shè)備IP�、設(shè)備MAC、責(zé)任人及設(shè)備失效時(shí)間等�����。申請(qǐng)人獲得IP后��,對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行IP設(shè)置后接入校園網(wǎng)�����。
2.物聯(lián)網(wǎng)設(shè)備準(zhǔn)入實(shí)現(xiàn)原理
物聯(lián)網(wǎng)設(shè)備準(zhǔn)入實(shí)現(xiàn)原理如圖3所示����,其具體步驟如下:
圖3 物聯(lián)網(wǎng)設(shè)備準(zhǔn)入原理
(1)SDN控制器開(kāi)啟準(zhǔn)入管控后,通過(guò)NETCONF下發(fā)基于子網(wǎng)的地址解析協(xié)議(Address Resolution Protocol����,ARP)學(xué)習(xí)關(guān)閉。這個(gè)子網(wǎng)的ARP學(xué)習(xí)關(guān)閉���,會(huì)導(dǎo)致這個(gè)子網(wǎng)下行的流量關(guān)閉�����,最終達(dá)到阻止終端聯(lián)網(wǎng)的效果�����。
(2)終端入網(wǎng)����,發(fā)起網(wǎng)關(guān)ARP請(qǐng)求����。
(3)對(duì)應(yīng)網(wǎng)關(guān)設(shè)備收到入網(wǎng)終端的ARP請(qǐng)求,基于對(duì)應(yīng)的網(wǎng)段IP將報(bào)文上發(fā)到控制器�。
(4)控制器收到發(fā)送過(guò)來(lái)的ARP請(qǐng)求報(bào)文�����,解析其發(fā)送者的IP和MAC地址���,并記錄終端所在網(wǎng)關(guān)位置(即網(wǎng)關(guān)設(shè)備管理IP)。如果在免管控期間����,控制器則自動(dòng)生成靜態(tài)ARP表并設(shè)置到對(duì)應(yīng)網(wǎng)關(guān)上。如果在管控期間�,則出現(xiàn)在控制器的待審批界面中,管理員審批通過(guò)后生成靜態(tài)ARP表并設(shè)置到網(wǎng)關(guān)上�����,完成該終端的入網(wǎng)審批����。
物聯(lián)網(wǎng)設(shè)備訪問(wèn)控制安全
部分物聯(lián)網(wǎng)設(shè)備涉及到學(xué)校師生的個(gè)人隱私安全,如物聯(lián)網(wǎng)監(jiān)控?cái)z像頭�����;部分物聯(lián)網(wǎng)設(shè)備關(guān)系到師生的財(cái)產(chǎn)安全,如智能電表����、水表�、一卡通設(shè)備等;更有甚者關(guān)系到師生的生命安全�,如煙感、溫感傳感器等�����。
所以物聯(lián)網(wǎng)設(shè)備成功接入校園網(wǎng)后�����,只能讓有權(quán)限的角色訪問(wèn)到這些物聯(lián)網(wǎng)設(shè)備���,這就是物聯(lián)網(wǎng)設(shè)備的訪問(wèn)控制安全�。
提高物聯(lián)網(wǎng)設(shè)備訪問(wèn)控制安全可通過(guò)以下兩種方式實(shí)現(xiàn)����。
1.物聯(lián)網(wǎng)專(zhuān)網(wǎng)的建立
對(duì)于業(yè)務(wù)相對(duì)獨(dú)立,設(shè)備數(shù)量眾多的物聯(lián)網(wǎng)設(shè)備�,可以組建一張物聯(lián)網(wǎng)專(zhuān)網(wǎng)。如宿舍的智能門(mén)禁系統(tǒng)���,智能門(mén)禁設(shè)備數(shù)量眾多�����,但這些智能門(mén)禁設(shè)備都只需要訪問(wèn)一臺(tái)門(mén)禁服務(wù)器���。如果讓這些設(shè)備單獨(dú)入網(wǎng)���,暴露在校園網(wǎng)中,假如這些設(shè)備有安全漏洞�,學(xué)生宿舍將存在安全隱患。但如果通過(guò)光纖將這些設(shè)備組成物理專(zhuān)網(wǎng)��,又會(huì)推高施工成本�。另外,如果專(zhuān)網(wǎng)數(shù)量越建越多���,還會(huì)產(chǎn)生管理復(fù)雜的問(wèn)題�����。
圖4 物聯(lián)網(wǎng)專(zhuān)網(wǎng)示意
基于SDN的物聯(lián)網(wǎng)管理系統(tǒng)���,就可以很好地解決這個(gè)問(wèn)題����。以門(mén)禁系統(tǒng)為例�,如圖4所示,采用Super VLAN加上Sub VLAN的方式�����,將主控服務(wù)器和智能門(mén)禁組成一張?zhí)摂M的智能門(mén)禁專(zhuān)網(wǎng)�����,分配統(tǒng)一的智能門(mén)禁專(zhuān)網(wǎng)IP地址��,承載于校園網(wǎng)之上�����,并且通過(guò)ACL規(guī)則�,只允許該智能門(mén)禁設(shè)備訪問(wèn)門(mén)禁服務(wù)器�����,從而保障了這個(gè)專(zhuān)網(wǎng)的安全性。
2.單個(gè)物聯(lián)網(wǎng)設(shè)備的精細(xì)化訪問(wèn)控制
單個(gè)物聯(lián)網(wǎng)設(shè)備需要進(jìn)行精細(xì)化的訪問(wèn)權(quán)限控制����。例如放置在辦公室的打印機(jī),只能被周?chē)鷰讉€(gè)辦公室的用戶(hù)所訪問(wèn)��,以免復(fù)印或者打印的數(shù)據(jù)被其他的非法用戶(hù)獲?。挥秩缯n題組搭建了一個(gè)服務(wù)器���,用于對(duì)課題組人員提供計(jì)算服務(wù)�,則服務(wù)器只能被課題組成員所訪問(wèn)����,以免出現(xiàn)服務(wù)器數(shù)據(jù)泄露等問(wèn)題。
目前采用基于源��、目的IP地址的ACL管控的方式��,來(lái)實(shí)現(xiàn)單個(gè)物聯(lián)網(wǎng)設(shè)備的精細(xì)化訪問(wèn)權(quán)限控制�����。給某個(gè)物聯(lián)網(wǎng)設(shè)備分配IP地址的時(shí)候���,就收集到哪些IP需要訪問(wèn)這個(gè)物聯(lián)網(wǎng)設(shè)備��,同時(shí)該物聯(lián)網(wǎng)設(shè)備需要訪問(wèn)哪些IP����,并且通過(guò)ACL規(guī)則進(jìn)行管控。
通過(guò)這種方式�����,就可以將單個(gè)物聯(lián)網(wǎng)設(shè)備劃分為一個(gè)個(gè)的“物聯(lián)網(wǎng)設(shè)備作用域”���,每個(gè)物聯(lián)網(wǎng)設(shè)備在其“物聯(lián)網(wǎng)設(shè)備作用域”中提供服務(wù),在該“物聯(lián)網(wǎng)設(shè)備作用域”范圍外的IP則無(wú)法訪問(wèn)該設(shè)備���。
物聯(lián)網(wǎng)設(shè)備系統(tǒng)安全
隨著物聯(lián)網(wǎng)設(shè)備越來(lái)越智能化����,大部分的物聯(lián)網(wǎng)設(shè)備都有自己的操作系統(tǒng)和應(yīng)用程序���,并依靠應(yīng)用程序?qū)ν馓峁┓?wù)�����。
操作系統(tǒng)和應(yīng)用程序若有漏洞�����,就會(huì)產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����。如果訪問(wèn)者利用了這些安全漏洞,就會(huì)對(duì)物聯(lián)網(wǎng)設(shè)備的安全性產(chǎn)生威脅���。
在沒(méi)有引入基于SDN的物聯(lián)網(wǎng)管理系統(tǒng)前����,所有的物聯(lián)網(wǎng)設(shè)備是分散在全校各個(gè)網(wǎng)段之中的�����,很難將這些設(shè)備收集全��,并進(jìn)行集中管控���。
引入基于SDN的物聯(lián)網(wǎng)管理系統(tǒng)后��,所有的物聯(lián)網(wǎng)設(shè)備集中在某幾個(gè)IP地址段�����,這樣就很容易定期對(duì)這些物聯(lián)網(wǎng)設(shè)備的系統(tǒng)以及應(yīng)用程序進(jìn)行漏洞掃描���。
若發(fā)現(xiàn)其中存在安全漏洞��,可及時(shí)通報(bào)給物聯(lián)網(wǎng)設(shè)備的管理責(zé)任人��,同時(shí)將其物聯(lián)網(wǎng)設(shè)備下線�����。待其整改完成�����,經(jīng)過(guò)檢測(cè)沒(méi)有漏洞后,再予以上線����。以2021年9月為例,已掃描出170多個(gè)漏洞�,如“弱密碼”“XSS跨站攻擊”“OpenSSH漏洞”等。
物聯(lián)網(wǎng)設(shè)備生命周期安全
物聯(lián)網(wǎng)設(shè)備也是具有生命周期的���,可能隨著項(xiàng)目的結(jié)束����、設(shè)備責(zé)任人的離退休,該設(shè)備不再有人使用也不再有人維護(hù)�����。
如果這樣的“僵尸”設(shè)備存在于校園網(wǎng)中���,則隨著時(shí)間的增加���,其安全漏洞會(huì)越來(lái)越多,可能還會(huì)被一些黑客分子當(dāng)作“肉機(jī)”使用�,作為“跳板機(jī)”去攻擊其他的用戶(hù)。
因此���,目前采用的是物聯(lián)網(wǎng)設(shè)備年審制度��。申請(qǐng)入網(wǎng)的物聯(lián)網(wǎng)設(shè)備會(huì)在當(dāng)年的12月31日到期����,到期前系統(tǒng)會(huì)發(fā)送短信提醒用戶(hù)盡快完成設(shè)備延期申請(qǐng)��。如果在到期前仍未能完成延期申請(qǐng)的,將會(huì)在到期后無(wú)法接入校園網(wǎng)�����。
通過(guò)創(chuàng)新的物聯(lián)網(wǎng)設(shè)備準(zhǔn)入安全管理�、物聯(lián)網(wǎng)設(shè)備訪問(wèn)控制安全管理、物聯(lián)網(wǎng)設(shè)備系統(tǒng)安全管理����、物聯(lián)網(wǎng)設(shè)備生命周期安全管理,有效地解決了當(dāng)前校園網(wǎng)中遇到的物聯(lián)網(wǎng)設(shè)備的安全問(wèn)題��。
但是隨著物聯(lián)網(wǎng)設(shè)備的數(shù)量�����、種類(lèi)的不斷增加��,以及需求的變化升級(jí)�,新的物聯(lián)網(wǎng)設(shè)備的安全挑戰(zhàn)也會(huì)隨之出現(xiàn)�����。這就需要我們不斷創(chuàng)新技術(shù)����,改進(jìn)管理方法�����,來(lái)解決新的物聯(lián)網(wǎng)設(shè)備安全問(wèn)題����。
[1]徐玉妃�,楊昆,袁凌云���,等.基于物聯(lián)網(wǎng)的智慧校園建設(shè)與研究——以云南師范大學(xué)為例[J].云南師范大學(xué)學(xué)報(bào)(自然科學(xué)版)�,2016��,36(01):47-52.
[2]覃德澤��,李立信.高校智慧校園網(wǎng)中物聯(lián)網(wǎng)�、5G、云計(jì)算及IPv6的融合問(wèn)題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�,2019(12):104-106.
[3]徐曉新,蘇群��,趙宇明,等.基于校園網(wǎng)的物聯(lián)網(wǎng)的建設(shè)和管理方法[J].工業(yè)儀表與自動(dòng)化裝置��,2016(04):109-110.
[4]鐘機(jī)靈.SDN校園網(wǎng)關(guān)鍵技術(shù)應(yīng)用研究[J].信息技術(shù)與信息化��,2021(07):197-200.
[5]張敏�,王朝陽(yáng).SDN網(wǎng)絡(luò)淺析[J].內(nèi)蒙古科技與經(jīng)濟(jì),2019(21):80-82.
[6]白煜.基于NETCONF的網(wǎng)絡(luò)設(shè)備配置與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)����,2020.
[7]孔倩.基于OpenFlow的鏈路容錯(cuò)機(jī)制的研究與設(shè)計(jì)[D].華東師范大學(xué),2015.
