日韩精品无码免费一区二区三区|青青久久久国产线免观|亚洲精品久久久久久久|国精品无码一区二区三区免费视频|亚洲熟妇无码中文高清免费|99久久久国产精品免费不卡|精品贵妇一区二区三区

歡迎您訪問鄭州興邦電子股份有限公司官方網(wǎng)站!
阿里巴巴誠信通企業(yè)
全國咨詢熱線:40000-63966
興邦電子,中國水控機第一品牌

聯(lián)系興邦電子

全國咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區(qū)蓮花街電子電器產(chǎn)業(yè)園

如何提升校園物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)的安全性?

文章出處:http://www.fang1.net 作者: 人氣: 發(fā)表時間:2022年05月19日

[文章內(nèi)容簡介]:隨著時代的進步,越來越多的物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng),如智能攝像頭、智能電表、智能水表、計算服務(wù)器等。這些物聯(lián)網(wǎng)設(shè)備對網(wǎng)絡(luò)安全提出了更高的要求,如智能水表、電表涉及用戶計費,智能攝像頭、計算服務(wù)器等涉及用戶隱私數(shù)據(jù)信息安全,一旦這些物聯(lián)網(wǎng)設(shè)備出現(xiàn)了網(wǎng)絡(luò)安全漏洞,勢必會給用戶造成困擾甚至經(jīng)濟損失。

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,高校的校園網(wǎng)建設(shè)已經(jīng)經(jīng)歷了傳統(tǒng)校園網(wǎng)絡(luò)、電子校園網(wǎng)絡(luò)、數(shù)字校園網(wǎng)絡(luò)三個階段 [1] 。

目前正在由數(shù)字校園向智慧校園邁進。在此發(fā)展過程中,物聯(lián)網(wǎng)技術(shù)起到了至關(guān)重要的作用 [2] 。

隨著時代的進步,越來越多的物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng),如智能攝像頭、智能電表、智能水表、計算服務(wù)器等。

這些物聯(lián)網(wǎng)設(shè)備對網(wǎng)絡(luò)安全提出了更高的要求,如智能水表、電表涉及用戶計費,智能攝像頭、計算服務(wù)器等涉及用戶隱私數(shù)據(jù)信息安全,一旦這些物聯(lián)網(wǎng)設(shè)備出現(xiàn)了網(wǎng)絡(luò)安全漏洞,勢必會給用戶造成困擾甚至經(jīng)濟損失。

在當前的時代環(huán)境下,如何提升校園物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)的安全性,成為我們必須正視,并亟待研究的課題。

01

物聯(lián)網(wǎng)設(shè)備管理現(xiàn)狀分析

針對這些數(shù)量龐大,種類繁多的物聯(lián)網(wǎng)設(shè)備,很多高校都提出了自己的物聯(lián)網(wǎng)管理方法。如徐曉新 [3] 研究探索了物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)的三種方式:采用媒體存取控制位址(Media Access Control Address,MAC)端口綁定的方式、采用專用虛擬網(wǎng)絡(luò)的方式、采用QinQ(802.1Q-in-802.1Q)配置管理的方式。并最終通過綜合對比,選擇了QinQ配置管理的方式,幫助物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)。

為了提高校園物聯(lián)網(wǎng)設(shè)備的安全性, 華中科技大學要求每個物聯(lián)網(wǎng)設(shè)備實名制,即每個入網(wǎng)的物聯(lián)網(wǎng)設(shè)備都能夠追溯到其責任人。

因此采用了MAC地址與交換機端口綁定的方式,來幫助物聯(lián)網(wǎng)設(shè)備接入校園網(wǎng)。具體流程為:

  1. 物聯(lián)網(wǎng)設(shè)備入網(wǎng)申請人提供MAC地址;

  2. 網(wǎng)絡(luò)工程師對核心設(shè)備、接入設(shè)備進行配置,以實現(xiàn)該MAC地址對應(yīng)的物聯(lián)網(wǎng)設(shè)備的免認證上網(wǎng)功能;

  3. 使用人將物聯(lián)網(wǎng)設(shè)備和指定交換機端口相連,完成物聯(lián)網(wǎng)設(shè)備入網(wǎng)過程。

但這樣會存在一個問題,即物聯(lián)網(wǎng)設(shè)備管理和普通上網(wǎng)用戶管理混在了一起,如圖1所示。這樣的處置,存在以下4個弊端:

1.物聯(lián)網(wǎng)設(shè)備準入配置復雜。如圖1所示,華中科技大學有多臺核心設(shè)備,需要先根據(jù)物聯(lián)網(wǎng)設(shè)備的具體物理位置確定對應(yīng)的核心設(shè)備,然后再在對應(yīng)的核心設(shè)備上做命令行配置。如果該物聯(lián)網(wǎng)設(shè)備位置發(fā)生變化,則需要做重新配置。

圖1 傳統(tǒng)物聯(lián)網(wǎng)設(shè)備管理拓撲結(jié)構(gòu)

2.物聯(lián)網(wǎng)設(shè)備缺乏訪問控制。因為物聯(lián)網(wǎng)設(shè)備使用的是普通用戶的IP地址段接入校園網(wǎng),所以校園網(wǎng)上的用戶和物聯(lián)網(wǎng)設(shè)備之間可以進行自由互訪,這就造成了一定的網(wǎng)絡(luò)安全隱患。

3.物聯(lián)網(wǎng)設(shè)備缺乏系統(tǒng)安全監(jiān)管。由于物聯(lián)網(wǎng)設(shè)備所使用的IP地址段非常分散,因此很難集中對這些設(shè)備所安裝的系統(tǒng)、所搭載的應(yīng)用進行安全掃描,從而進行主動防護。

4.物聯(lián)網(wǎng)設(shè)備缺乏生命周期管理。由于采用手工配置的方式實現(xiàn)物聯(lián)網(wǎng)設(shè)備入網(wǎng),因此很難甄別出已經(jīng)到期的物聯(lián)網(wǎng)設(shè)備,并將其從系統(tǒng)中刪除。這樣就導致物聯(lián)網(wǎng)設(shè)備一次入網(wǎng)、長期使用,缺乏年審機制,存在安全隱患。

02

SDN關(guān)鍵技術(shù)

軟件定義網(wǎng)絡(luò)(Software Defined Network,SDN)是由美國斯坦福大學CLean State課題研究組提出的一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu),是網(wǎng)絡(luò)虛擬化的一種實現(xiàn)方式。

其核心技術(shù)OpenFlow和NETCONF協(xié)議通過將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面分離開來,從而實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制,使網(wǎng)絡(luò)作為管道的功能變得更加智能 [4-5] 。 SDN技術(shù)使得建立高效、便捷、安全的物聯(lián)網(wǎng)管理系統(tǒng)成為了可能。

NETCONF協(xié)議技術(shù)

NETCONF是一種網(wǎng)管協(xié)議,主要功能是彌補SNMP協(xié)議無法對設(shè)備進行配置的不足,并將其取代。

NETCONF工作組于2003年成立,該協(xié)議于2006年(RFC4741等)成型,于2011年(RFC6241等)不斷完善,2014年日趨成熟。

NETCONF協(xié)議早于SDN技術(shù)產(chǎn)生,其初期發(fā)展較為緩慢,后期隨著SDN技術(shù)的火熱興起而煥發(fā)出新的生機 [6] 。

NETCONF協(xié)議分成四層:安全傳輸層、消息層、操作層和內(nèi)容層。NETCONF協(xié)議是完全基于XML之上的,所有的配置數(shù)據(jù)和協(xié)議消息都用XML表示,并且協(xié)議主要通過SSH加密傳輸。

OpenFlow協(xié)議技術(shù)

OpenFlow為用戶提供了一個開放的協(xié)議,用戶可以通過該協(xié)議對不同交換機中的流表進行控制,研究者可以通過選擇數(shù)據(jù)轉(zhuǎn)發(fā)通路以及數(shù)據(jù)處理方式來輕松地控制數(shù)據(jù)流的走向。

OpenFlow協(xié)議從1.0版本演進到了1.4版本,其主要是針對如下兩個層面進行不斷完善的 [7] :

  1. 增強邏輯控制層面。使得協(xié)議的功能更加強大,更加靈活。

  2. 增加數(shù)據(jù)轉(zhuǎn)發(fā)層面。增加了更多的關(guān)鍵字匹配,使得協(xié)議可以執(zhí)行更多不同的操作。

03

基于SDN的物聯(lián)網(wǎng)設(shè)備管理

針對校園網(wǎng)物聯(lián)網(wǎng)管理中遇到的諸多問題,引入了基于SDN技術(shù)的物聯(lián)網(wǎng)管理系統(tǒng),使用獨立的物聯(lián)網(wǎng)網(wǎng)關(guān)對數(shù)目巨大、種類繁多的物聯(lián)網(wǎng)設(shè)備進行管理,如圖2所示,很好地解決了如上的問題,提高了物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全性。

圖2 基于SDN的物聯(lián)網(wǎng)管理拓撲結(jié)構(gòu)

物聯(lián)網(wǎng)設(shè)備準入安全

1.物聯(lián)網(wǎng)設(shè)備準入管控流程

物聯(lián)網(wǎng)設(shè)備入網(wǎng)申請,由學校各個單位的信息聯(lián)絡(luò)員在網(wǎng)上辦事大廳中提交申請流程,審批通過后由物聯(lián)網(wǎng)設(shè)備管理員進行物聯(lián)網(wǎng)設(shè)備IP地址的分配,并在SDN控制器上做出相應(yīng)的配置,靜態(tài)綁定該物聯(lián)網(wǎng)設(shè)備的MAC和IP地址。

與此同時,在物聯(lián)網(wǎng)管理系統(tǒng)中記錄物聯(lián)網(wǎng)設(shè)備的相關(guān)信息如設(shè)備類型、設(shè)備IP、設(shè)備MAC、責任人及設(shè)備失效時間等。申請人獲得IP后,對物聯(lián)網(wǎng)設(shè)備進行IP設(shè)置后接入校園網(wǎng)。

2.物聯(lián)網(wǎng)設(shè)備準入實現(xiàn)原理

物聯(lián)網(wǎng)設(shè)備準入實現(xiàn)原理如圖3所示,其具體步驟如下:

圖3 物聯(lián)網(wǎng)設(shè)備準入原理

(1)SDN控制器開啟準入管控后,通過NETCONF下發(fā)基于子網(wǎng)的地址解析協(xié)議(Address Resolution Protocol,ARP)學習關(guān)閉。這個子網(wǎng)的ARP學習關(guān)閉,會導致這個子網(wǎng)下行的流量關(guān)閉,最終達到阻止終端聯(lián)網(wǎng)的效果。

(2)終端入網(wǎng),發(fā)起網(wǎng)關(guān)ARP請求。

(3)對應(yīng)網(wǎng)關(guān)設(shè)備收到入網(wǎng)終端的ARP請求,基于對應(yīng)的網(wǎng)段IP將報文上發(fā)到控制器。

(4)控制器收到發(fā)送過來的ARP請求報文,解析其發(fā)送者的IP和MAC地址,并記錄終端所在網(wǎng)關(guān)位置(即網(wǎng)關(guān)設(shè)備管理IP)。 如果在免管控期間,控制器則自動生成靜態(tài)ARP表并設(shè)置到對應(yīng)網(wǎng)關(guān)上。如果在管控期間,則出現(xiàn)在控制器的待審批界面中,管理員審批通過后生成靜態(tài)ARP表并設(shè)置到網(wǎng)關(guān)上,完成該終端的入網(wǎng)審批。

物聯(lián)網(wǎng)設(shè)備訪問控制安全

部分物聯(lián)網(wǎng)設(shè)備涉及到學校師生的個人隱私安全,如物聯(lián)網(wǎng)監(jiān)控攝像頭;部分物聯(lián)網(wǎng)設(shè)備關(guān)系到師生的財產(chǎn)安全,如智能電表、水表、一卡通設(shè)備等;更有甚者關(guān)系到師生的生命安全,如煙感、溫感傳感器等。

所以物聯(lián)網(wǎng)設(shè)備成功接入校園網(wǎng)后,只能讓有權(quán)限的角色訪問到這些物聯(lián)網(wǎng)設(shè)備,這就是物聯(lián)網(wǎng)設(shè)備的訪問控制安全。

提高物聯(lián)網(wǎng)設(shè)備訪問控制安全可通過以下兩種方式實現(xiàn)。

1.物聯(lián)網(wǎng)專網(wǎng)的建立

對于業(yè)務(wù)相對獨立,設(shè)備數(shù)量眾多的物聯(lián)網(wǎng)設(shè)備,可以組建一張物聯(lián)網(wǎng)專網(wǎng)。如宿舍的智能門禁系統(tǒng),智能門禁設(shè)備數(shù)量眾多,但這些智能門禁設(shè)備都只需要訪問一臺門禁服務(wù)器。如果讓這些設(shè)備單獨入網(wǎng),暴露在校園網(wǎng)中,假如這些設(shè)備有安全漏洞,學生宿舍將存在安全隱患。但如果通過光纖將這些設(shè)備組成物理專網(wǎng),又會推高施工成本。另外,如果專網(wǎng)數(shù)量越建越多,還會產(chǎn)生管理復雜的問題。

圖4 物聯(lián)網(wǎng)專網(wǎng)示意

基于SDN的物聯(lián)網(wǎng)管理系統(tǒng),就可以很好地解決這個問題。以門禁系統(tǒng)為例,如圖4所示,采用Super VLAN加上Sub VLAN的方式,將主控服務(wù)器和智能門禁組成一張?zhí)摂M的智能門禁專網(wǎng),分配統(tǒng)一的智能門禁專網(wǎng)IP地址,承載于校園網(wǎng)之上,并且通過ACL規(guī)則,只允許該智能門禁設(shè)備訪問門禁服務(wù)器,從而保障了這個專網(wǎng)的安全性。

2.單個物聯(lián)網(wǎng)設(shè)備的精細化訪問控制

單個物聯(lián)網(wǎng)設(shè)備需要進行精細化的訪問權(quán)限控制。例如放置在辦公室的打印機,只能被周圍幾個辦公室的用戶所訪問,以免復印或者打印的數(shù)據(jù)被其他的非法用戶獲取;又如課題組搭建了一個服務(wù)器,用于對課題組人員提供計算服務(wù),則服務(wù)器只能被課題組成員所訪問,以免出現(xiàn)服務(wù)器數(shù)據(jù)泄露等問題。

目前采用基于源、目的IP地址的ACL管控的方式,來實現(xiàn)單個物聯(lián)網(wǎng)設(shè)備的精細化訪問權(quán)限控制。 給某個物聯(lián)網(wǎng)設(shè)備分配IP地址的時候,就收集到哪些IP需要訪問這個物聯(lián)網(wǎng)設(shè)備,同時該物聯(lián)網(wǎng)設(shè)備需要訪問哪些IP,并且通過ACL規(guī)則進行管控。

通過這種方式,就可以將單個物聯(lián)網(wǎng)設(shè)備劃分為一個個的“物聯(lián)網(wǎng)設(shè)備作用域”,每個物聯(lián)網(wǎng)設(shè)備在其“物聯(lián)網(wǎng)設(shè)備作用域”中提供服務(wù),在該“物聯(lián)網(wǎng)設(shè)備作用域”范圍外的IP則無法訪問該設(shè)備。

物聯(lián)網(wǎng)設(shè)備系統(tǒng)安全

隨著物聯(lián)網(wǎng)設(shè)備越來越智能化,大部分的物聯(lián)網(wǎng)設(shè)備都有自己的操作系統(tǒng)和應(yīng)用程序,并依靠應(yīng)用程序?qū)ν馓峁┓?wù)。

操作系統(tǒng)和應(yīng)用程序若有漏洞,就會產(chǎn)生網(wǎng)絡(luò)安全風險。如果訪問者利用了這些安全漏洞,就會對物聯(lián)網(wǎng)設(shè)備的安全性產(chǎn)生威脅。

在沒有引入基于SDN的物聯(lián)網(wǎng)管理系統(tǒng)前,所有的物聯(lián)網(wǎng)設(shè)備是分散在全校各個網(wǎng)段之中的,很難將這些設(shè)備收集全,并進行集中管控。

引入基于SDN的物聯(lián)網(wǎng)管理系統(tǒng)后,所有的物聯(lián)網(wǎng)設(shè)備集中在某幾個IP地址段,這樣就很容易定期對這些物聯(lián)網(wǎng)設(shè)備的系統(tǒng)以及應(yīng)用程序進行漏洞掃描。

若發(fā)現(xiàn)其中存在安全漏洞,可及時通報給物聯(lián)網(wǎng)設(shè)備的管理責任人,同時將其物聯(lián)網(wǎng)設(shè)備下線。待其整改完成,經(jīng)過檢測沒有漏洞后,再予以上線。以2021年9月為例,已掃描出170多個漏洞,如“弱密碼”“XSS跨站攻擊”“OpenSSH漏洞”等。

物聯(lián)網(wǎng)設(shè)備生命周期安全

物聯(lián)網(wǎng)設(shè)備也是具有生命周期的,可能隨著項目的結(jié)束、設(shè)備責任人的離退休,該設(shè)備不再有人使用也不再有人維護。

如果這樣的“僵尸”設(shè)備存在于校園網(wǎng)中,則隨著時間的增加,其安全漏洞會越來越多,可能還會被一些黑客分子當作“肉機”使用,作為“跳板機”去攻擊其他的用戶。

因此,目前采用的是物聯(lián)網(wǎng)設(shè)備年審制度。申請入網(wǎng)的物聯(lián)網(wǎng)設(shè)備會在當年的12月31日到期,到期前系統(tǒng)會發(fā)送短信提醒用戶盡快完成設(shè)備延期申請。如果在到期前仍未能完成延期申請的,將會在到期后無法接入校園網(wǎng)。

通過創(chuàng)新的物聯(lián)網(wǎng)設(shè)備準入安全管理、物聯(lián)網(wǎng)設(shè)備訪問控制安全管理、物聯(lián)網(wǎng)設(shè)備系統(tǒng)安全管理、物聯(lián)網(wǎng)設(shè)備生命周期安全管理,有效地解決了當前校園網(wǎng)中遇到的物聯(lián)網(wǎng)設(shè)備的安全問題。

但是隨著物聯(lián)網(wǎng)設(shè)備的數(shù)量、種類的不斷增加,以及需求的變化升級,新的物聯(lián)網(wǎng)設(shè)備的安全挑戰(zhàn)也會隨之出現(xiàn)。這就需要我們不斷創(chuàng)新技術(shù),改進管理方法,來解決新的物聯(lián)網(wǎng)設(shè)備安全問題。

參考文獻(上下滑動查看)

[1]徐玉妃,楊昆,袁凌云,等.基于物聯(lián)網(wǎng)的智慧校園建設(shè)與研究——以云南師范大學為例[J].云南師范大學學報(自然科學版),2016,36(01):47-52.

[2]覃德澤,李立信.高校智慧校園網(wǎng)中物聯(lián)網(wǎng)、5G、云計算及IPv6的融合問題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2019(12):104-106.

[3]徐曉新,蘇群,趙宇明,等.基于校園網(wǎng)的物聯(lián)網(wǎng)的建設(shè)和管理方法[J].工業(yè)儀表與自動化裝置,2016(04):109-110.

[4]鐘機靈.SDN校園網(wǎng)關(guān)鍵技術(shù)應(yīng)用研究[J].信息技術(shù)與信息化,2021(07):197-200.

[5]張敏,王朝陽.SDN網(wǎng)絡(luò)淺析[J].內(nèi)蒙古科技與經(jīng)濟,2019(21):80-82.

[6]白煜.基于NETCONF的網(wǎng)絡(luò)設(shè)備配置與管理系統(tǒng)設(shè)計與實現(xiàn)[D].電子科技大學,2020.

[7]孔倩.基于OpenFlow的鏈路容錯機制的研究與設(shè)計[D].華東師范大學,2015.

作者:劉云、雷洲、劉戀、洪劍珂(華中科技大學網(wǎng)絡(luò)與計算中心)

 

本文關(guān)鍵詞:校園物聯(lián)網(wǎng)
回到頂部
厦门市| 永昌县| 武隆县| 芜湖市| 米易县| 泰州市| 通州区| 定州市| 高州市| 新河县| 和龙市| 太仆寺旗| 永和县| 涿州市| 河津市| 和林格尔县| 治县。| 普宁市| 莒南县| 安徽省| 北流市| 板桥市| 山丹县| 兴和县| 吴川市| 济宁市| 徐闻县| 邻水| 汉阴县| 清远市| 新晃| 定结县| 涟源市| 开原市| 陆丰市| 杭锦旗| 贵定县| 临桂县| 英山县| 米脂县| 浦东新区|