如何提升校園物聯(lián)網設備網絡的安全性?
文章出處:http://hlpi.cn 作者:
隨著網絡技術的不斷發(fā)展,高校的校園網建設已經經歷了傳統(tǒng)校園網絡,、電子校園網絡、數字校園網絡三個階段 [1] ,。
目前正在由數字校園向智慧校園邁進,。在此發(fā)展過程中,,物聯(lián)網技術起到了至關重要的作用 [2] 。
隨著時代的進步,,越來越多的物聯(lián)網設備接入校園網,如智能攝像頭,、智能電表,、智能水表,、計算服務器等。
這些物聯(lián)網設備對網絡安全提出了更高的要求,,如智能水表,、電表涉及用戶計費,,智能攝像頭、計算服務器等涉及用戶隱私數據信息安全,,一旦這些物聯(lián)網設備出現(xiàn)了網絡安全漏洞,,勢必會給用戶造成困擾甚至經濟損失,。
在當前的時代環(huán)境下,,如何提升校園物聯(lián)網設備網絡的安全性,成為我們必須正視,,并亟待研究的課題。
01
物聯(lián)網設備管理現(xiàn)狀分析
針對這些數量龐大,,種類繁多的物聯(lián)網設備,,很多高校都提出了自己的物聯(lián)網管理方法,。如徐曉新 [3] 研究探索了物聯(lián)網設備接入校園網的三種方式:采用媒體存取控制位址(Media Access Control Address,MAC)端口綁定的方式,、采用專用虛擬網絡的方式,、采用QinQ(802.1Q-in-802.1Q)配置管理的方式,。并最終通過綜合對比,選擇了QinQ配置管理的方式,,幫助物聯(lián)網設備接入校園網,。
為了提高校園物聯(lián)網設備的安全性, 華中科技大學要求每個物聯(lián)網設備實名制,,即每個入網的物聯(lián)網設備都能夠追溯到其責任人。
因此采用了MAC地址與交換機端口綁定的方式,,來幫助物聯(lián)網設備接入校園網,。具體流程為:
-
物聯(lián)網設備入網申請人提供MAC地址,;
-
網絡工程師對核心設備、接入設備進行配置,,以實現(xiàn)該MAC地址對應的物聯(lián)網設備的免認證上網功能,;
-
使用人將物聯(lián)網設備和指定交換機端口相連,,完成物聯(lián)網設備入網過程,。
但這樣會存在一個問題,即物聯(lián)網設備管理和普通上網用戶管理混在了一起,,如圖1所示,。這樣的處置,存在以下4個弊端:
1.物聯(lián)網設備準入配置復雜,。如圖1所示,華中科技大學有多臺核心設備,,需要先根據物聯(lián)網設備的具體物理位置確定對應的核心設備,,然后再在對應的核心設備上做命令行配置。如果該物聯(lián)網設備位置發(fā)生變化,,則需要做重新配置,。
圖1 傳統(tǒng)物聯(lián)網設備管理拓撲結構
2.物聯(lián)網設備缺乏訪問控制,。因為物聯(lián)網設備使用的是普通用戶的IP地址段接入校園網,所以校園網上的用戶和物聯(lián)網設備之間可以進行自由互訪,,這就造成了一定的網絡安全隱患,。
3.物聯(lián)網設備缺乏系統(tǒng)安全監(jiān)管,。由于物聯(lián)網設備所使用的IP地址段非常分散,因此很難集中對這些設備所安裝的系統(tǒng),、所搭載的應用進行安全掃描,,從而進行主動防護,。
4.物聯(lián)網設備缺乏生命周期管理,。由于采用手工配置的方式實現(xiàn)物聯(lián)網設備入網,因此很難甄別出已經到期的物聯(lián)網設備,,并將其從系統(tǒng)中刪除。這樣就導致物聯(lián)網設備一次入網,、長期使用,,缺乏年審機制,存在安全隱患,。
02
SDN關鍵技術
軟件定義網絡(Software Defined Network,,SDN)是由美國斯坦福大學CLean State課題研究組提出的一種新型網絡創(chuàng)新架構,,是網絡虛擬化的一種實現(xiàn)方式。
其核心技術OpenFlow和NETCONF協(xié)議通過將網絡設備的控制面與數據面分離開來,,從而實現(xiàn)了網絡流量的靈活控制,,使網絡作為管道的功能變得更加智能 [4-5] ,。 SDN技術使得建立高效、便捷,、安全的物聯(lián)網管理系統(tǒng)成為了可能,。
NETCONF協(xié)議技術
NETCONF是一種網管協(xié)議,,主要功能是彌補SNMP協(xié)議無法對設備進行配置的不足,并將其取代,。
NETCONF工作組于2003年成立,該協(xié)議于2006年(RFC4741等)成型,,于2011年(RFC6241等)不斷完善,2014年日趨成熟,。
NETCONF協(xié)議早于SDN技術產生,其初期發(fā)展較為緩慢,,后期隨著SDN技術的火熱興起而煥發(fā)出新的生機 [6] ,。
NETCONF協(xié)議分成四層:安全傳輸層、消息層,、操作層和內容層。NETCONF協(xié)議是完全基于XML之上的,,所有的配置數據和協(xié)議消息都用XML表示,,并且協(xié)議主要通過SSH加密傳輸。
OpenFlow協(xié)議技術
OpenFlow為用戶提供了一個開放的協(xié)議,,用戶可以通過該協(xié)議對不同交換機中的流表進行控制,研究者可以通過選擇數據轉發(fā)通路以及數據處理方式來輕松地控制數據流的走向,。
OpenFlow協(xié)議從1.0版本演進到了1.4版本,,其主要是針對如下兩個層面進行不斷完善的 [7] :
-
增強邏輯控制層面,。使得協(xié)議的功能更加強大,,更加靈活。
-
增加數據轉發(fā)層面,。增加了更多的關鍵字匹配,,使得協(xié)議可以執(zhí)行更多不同的操作,。
03
基于SDN的物聯(lián)網設備管理
針對校園網物聯(lián)網管理中遇到的諸多問題,引入了基于SDN技術的物聯(lián)網管理系統(tǒng),,使用獨立的物聯(lián)網網關對數目巨大,、種類繁多的物聯(lián)網設備進行管理,,如圖2所示,,很好地解決了如上的問題,,提高了物聯(lián)網設備的網絡安全性。
圖2 基于SDN的物聯(lián)網管理拓撲結構
物聯(lián)網設備準入安全
1.物聯(lián)網設備準入管控流程
物聯(lián)網設備入網申請,,由學校各個單位的信息聯(lián)絡員在網上辦事大廳中提交申請流程,審批通過后由物聯(lián)網設備管理員進行物聯(lián)網設備IP地址的分配,,并在SDN控制器上做出相應的配置,,靜態(tài)綁定該物聯(lián)網設備的MAC和IP地址。
與此同時,,在物聯(lián)網管理系統(tǒng)中記錄物聯(lián)網設備的相關信息如設備類型、設備IP,、設備MAC,、責任人及設備失效時間等。申請人獲得IP后,,對物聯(lián)網設備進行IP設置后接入校園網。
2.物聯(lián)網設備準入實現(xiàn)原理
物聯(lián)網設備準入實現(xiàn)原理如圖3所示,,其具體步驟如下:
圖3 物聯(lián)網設備準入原理
(1)SDN控制器開啟準入管控后,通過NETCONF下發(fā)基于子網的地址解析協(xié)議(Address Resolution Protocol,,ARP)學習關閉。這個子網的ARP學習關閉,,會導致這個子網下行的流量關閉,,最終達到阻止終端聯(lián)網的效果,。
(2)終端入網,發(fā)起網關ARP請求,。
(3)對應網關設備收到入網終端的ARP請求,,基于對應的網段IP將報文上發(fā)到控制器。
(4)控制器收到發(fā)送過來的ARP請求報文,,解析其發(fā)送者的IP和MAC地址,并記錄終端所在網關位置(即網關設備管理IP),。 如果在免管控期間,,控制器則自動生成靜態(tài)ARP表并設置到對應網關上。如果在管控期間,,則出現(xiàn)在控制器的待審批界面中,管理員審批通過后生成靜態(tài)ARP表并設置到網關上,,完成該終端的入網審批,。
物聯(lián)網設備訪問控制安全
部分物聯(lián)網設備涉及到學校師生的個人隱私安全,如物聯(lián)網監(jiān)控攝像頭,;部分物聯(lián)網設備關系到師生的財產安全,,如智能電表,、水表、一卡通設備等,;更有甚者關系到師生的生命安全,,如煙感、溫感傳感器等,。
所以物聯(lián)網設備成功接入校園網后,,只能讓有權限的角色訪問到這些物聯(lián)網設備,這就是物聯(lián)網設備的訪問控制安全,。
提高物聯(lián)網設備訪問控制安全可通過以下兩種方式實現(xiàn)。
1.物聯(lián)網專網的建立
對于業(yè)務相對獨立,,設備數量眾多的物聯(lián)網設備,,可以組建一張物聯(lián)網專網。如宿舍的智能門禁系統(tǒng),,智能門禁設備數量眾多,但這些智能門禁設備都只需要訪問一臺門禁服務器。如果讓這些設備單獨入網,,暴露在校園網中,,假如這些設備有安全漏洞,學生宿舍將存在安全隱患,。但如果通過光纖將這些設備組成物理專網,,又會推高施工成本。另外,,如果專網數量越建越多,還會產生管理復雜的問題,。
圖4 物聯(lián)網專網示意
基于SDN的物聯(lián)網管理系統(tǒng),,就可以很好地解決這個問題。以門禁系統(tǒng)為例,,如圖4所示,采用Super VLAN加上Sub VLAN的方式,,將主控服務器和智能門禁組成一張?zhí)摂M的智能門禁專網,,分配統(tǒng)一的智能門禁專網IP地址,承載于校園網之上,,并且通過ACL規(guī)則,,只允許該智能門禁設備訪問門禁服務器,從而保障了這個專網的安全性,。
2.單個物聯(lián)網設備的精細化訪問控制
單個物聯(lián)網設備需要進行精細化的訪問權限控制。例如放置在辦公室的打印機,,只能被周圍幾個辦公室的用戶所訪問,,以免復印或者打印的數據被其他的非法用戶獲取,;又如課題組搭建了一個服務器,,用于對課題組人員提供計算服務,則服務器只能被課題組成員所訪問,,以免出現(xiàn)服務器數據泄露等問題。
目前采用基于源,、目的IP地址的ACL管控的方式,,來實現(xiàn)單個物聯(lián)網設備的精細化訪問權限控制。 給某個物聯(lián)網設備分配IP地址的時候,,就收集到哪些IP需要訪問這個物聯(lián)網設備,同時該物聯(lián)網設備需要訪問哪些IP,并且通過ACL規(guī)則進行管控,。
通過這種方式,就可以將單個物聯(lián)網設備劃分為一個個的“物聯(lián)網設備作用域”,,每個物聯(lián)網設備在其“物聯(lián)網設備作用域”中提供服務,,在該“物聯(lián)網設備作用域”范圍外的IP則無法訪問該設備。
物聯(lián)網設備系統(tǒng)安全
隨著物聯(lián)網設備越來越智能化,,大部分的物聯(lián)網設備都有自己的操作系統(tǒng)和應用程序,并依靠應用程序對外提供服務,。
操作系統(tǒng)和應用程序若有漏洞,,就會產生網絡安全風險。如果訪問者利用了這些安全漏洞,,就會對物聯(lián)網設備的安全性產生威脅,。
在沒有引入基于SDN的物聯(lián)網管理系統(tǒng)前,,所有的物聯(lián)網設備是分散在全校各個網段之中的,,很難將這些設備收集全,,并進行集中管控,。
引入基于SDN的物聯(lián)網管理系統(tǒng)后,,所有的物聯(lián)網設備集中在某幾個IP地址段,,這樣就很容易定期對這些物聯(lián)網設備的系統(tǒng)以及應用程序進行漏洞掃描。
若發(fā)現(xiàn)其中存在安全漏洞,,可及時通報給物聯(lián)網設備的管理責任人,,同時將其物聯(lián)網設備下線。待其整改完成,,經過檢測沒有漏洞后,,再予以上線。以2021年9月為例,,已掃描出170多個漏洞,,如“弱密碼”“XSS跨站攻擊”“OpenSSH漏洞”等,。
物聯(lián)網設備生命周期安全
物聯(lián)網設備也是具有生命周期的,可能隨著項目的結束,、設備責任人的離退休,,該設備不再有人使用也不再有人維護,。
如果這樣的“僵尸”設備存在于校園網中,則隨著時間的增加,,其安全漏洞會越來越多,,可能還會被一些黑客分子當作“肉機”使用,作為“跳板機”去攻擊其他的用戶,。
因此,目前采用的是物聯(lián)網設備年審制度,。申請入網的物聯(lián)網設備會在當年的12月31日到期,,到期前系統(tǒng)會發(fā)送短信提醒用戶盡快完成設備延期申請。如果在到期前仍未能完成延期申請的,,將會在到期后無法接入校園網,。
通過創(chuàng)新的物聯(lián)網設備準入安全管理、物聯(lián)網設備訪問控制安全管理,、物聯(lián)網設備系統(tǒng)安全管理,、物聯(lián)網設備生命周期安全管理,,有效地解決了當前校園網中遇到的物聯(lián)網設備的安全問題,。
但是隨著物聯(lián)網設備的數量,、種類的不斷增加,,以及需求的變化升級,,新的物聯(lián)網設備的安全挑戰(zhàn)也會隨之出現(xiàn),。這就需要我們不斷創(chuàng)新技術,改進管理方法,,來解決新的物聯(lián)網設備安全問題。
參考文獻(上下滑動查看)
[1]徐玉妃,,楊昆,,袁凌云,等.基于物聯(lián)網的智慧校園建設與研究——以云南師范大學為例[J].云南師范大學學報(自然科學版),,2016,,36(01):47-52.
[2]覃德澤,李立信.高校智慧校園網中物聯(lián)網,、5G,、云計算及IPv6的融合問題探討[J].網絡安全技術與應用,2019(12):104-106.
[3]徐曉新,,蘇群,,趙宇明,,等.基于校園網的物聯(lián)網的建設和管理方法[J].工業(yè)儀表與自動化裝置,2016(04):109-110.
[4]鐘機靈.SDN校園網關鍵技術應用研究[J].信息技術與信息化,,2021(07):197-200.
[5]張敏,,王朝陽.SDN網絡淺析[J].內蒙古科技與經濟,,2019(21):80-82.
[6]白煜.基于NETCONF的網絡設備配置與管理系統(tǒng)設計與實現(xiàn)[D].電子科技大學,2020.
[7]孔倩.基于OpenFlow的鏈路容錯機制的研究與設計[D].華東師范大學,,2015.
作者:劉云,、雷洲、劉戀,、洪劍珂(華中科技大學網絡與計算中心)
