如何提升校園物聯網設備網絡的安全性？

文章出處：http://www.lvewoqa.cn 作者：

隨著網絡技術的不斷發展，高校的校園網建設已經經歷了傳統校園網絡、電子校園網絡、數字校園網絡三個階段 [1] 。

目前正在由數字校園向智慧校園邁進。在此發展過程中，物聯網技術起到了至關重要的作用 [2] 。

隨著時代的進步，越來越多的物聯網設備接入校園網，如智能攝像頭、智能電表、智能水表、計算服務器等。

這些物聯網設備對網絡安全提出了更高的要求，如智能水表、電表涉及用戶計費，智能攝像頭、計算服務器等涉及用戶隱私數據信息安全，一旦這些物聯網設備出現了網絡安全漏洞，勢必會給用戶造成困擾甚至經濟損失。

在當前的時代環境下，如何提升校園物聯網設備網絡的安全性，成為我們必須正視，并亟待研究的課題。

01

物聯網設備管理現狀分析

針對這些數量龐大，種類繁多的物聯網設備，很多高校都提出了自己的物聯網管理方法。如徐曉新 [3] 研究探索了物聯網設備接入校園網的三種方式：采用媒體存取控制位址（Media Access Control Address，MAC）端口綁定的方式、采用專用虛擬網絡的方式、采用QinQ（802.1Q-in-802.1Q）配置管理的方式。并最終通過綜合對比，選擇了QinQ配置管理的方式，幫助物聯網設備接入校園網。

為了提高校園物聯網設備的安全性， 華中科技大學要求每個物聯網設備實名制，即每個入網的物聯網設備都能夠追溯到其責任人。

因此采用了MAC地址與交換機端口綁定的方式，來幫助物聯網設備接入校園網。具體流程為：

1. 物聯網設備入網申請人提供MAC地址；

2. 網絡工程師對核心設備、接入設備進行配置，以實現該MAC地址對應的物聯網設備的免認證上網功能；

3. 使用人將物聯網設備和指定交換機端口相連，完成物聯網設備入網過程。

但這樣會存在一個問題，即物聯網設備管理和普通上網用戶管理混在了一起，如圖1所示。這樣的處置，存在以下4個弊端：

1.物聯網設備準入配置復雜。如圖1所示，華中科技大學有多臺核心設備，需要先根據物聯網設備的具體物理位置確定對應的核心設備，然后再在對應的核心設備上做命令行配置。如果該物聯網設備位置發生變化，則需要做重新配置。

圖1 傳統物聯網設備管理拓撲結構

2.物聯網設備缺乏訪問控制。因為物聯網設備使用的是普通用戶的IP地址段接入校園網，所以校園網上的用戶和物聯網設備之間可以進行自由互訪，這就造成了一定的網絡安全隱患。

3.物聯網設備缺乏系統安全監管。由于物聯網設備所使用的IP地址段非常分散，因此很難集中對這些設備所安裝的系統、所搭載的應用進行安全掃描，從而進行主動防護。

4.物聯網設備缺乏生命周期管理。由于采用手工配置的方式實現物聯網設備入網，因此很難甄別出已經到期的物聯網設備，并將其從系統中刪除。這樣就導致物聯網設備一次入網、長期使用，缺乏年審機制，存在安全隱患。

02

SDN關鍵技術

軟件定義網絡（Software Defined Network，SDN）是由美國斯坦福大學CLean State課題研究組提出的一種新型網絡創新架構，是網絡虛擬化的一種實現方式。

其核心技術OpenFlow和NETCONF協議通過將網絡設備的控制面與數據面分離開來，從而實現了網絡流量的靈活控制，使網絡作為管道的功能變得更加智能 [4-5] 。 SDN技術使得建立高效、便捷、安全的物聯網管理系統成為了可能。

NETCONF協議技術

NETCONF是一種網管協議，主要功能是彌補SNMP協議無法對設備進行配置的不足，并將其取代。

NETCONF工作組于2003年成立，該協議于2006年（RFC4741等）成型，于2011年（RFC6241等）不斷完善，2014年日趨成熟。

NETCONF協議早于SDN技術產生，其初期發展較為緩慢，后期隨著SDN技術的火熱興起而煥發出新的生機 [6] 。

NETCONF協議分成四層：安全傳輸層、消息層、操作層和內容層。NETCONF協議是完全基于XML之上的，所有的配置數據和協議消息都用XML表示，并且協議主要通過SSH加密傳輸。

OpenFlow協議技術

OpenFlow為用戶提供了一個開放的協議，用戶可以通過該協議對不同交換機中的流表進行控制，研究者可以通過選擇數據轉發通路以及數據處理方式來輕松地控制數據流的走向。

OpenFlow協議從1.0版本演進到了1.4版本，其主要是針對如下兩個層面進行不斷完善的 [7] ：

1. 增強邏輯控制層面。使得協議的功能更加強大，更加靈活。

2. 增加數據轉發層面。增加了更多的關鍵字匹配，使得協議可以執行更多不同的操作。

03

基于SDN的物聯網設備管理

針對校園網物聯網管理中遇到的諸多問題，引入了基于SDN技術的物聯網管理系統，使用獨立的物聯網網關對數目巨大、種類繁多的物聯網設備進行管理，如圖2所示，很好地解決了如上的問題，提高了物聯網設備的網絡安全性。

圖2 基于SDN的物聯網管理拓撲結構

物聯網設備準入安全

1.物聯網設備準入管控流程

物聯網設備入網申請，由學校各個單位的信息聯絡員在網上辦事大廳中提交申請流程，審批通過后由物聯網設備管理員進行物聯網設備IP地址的分配，并在SDN控制器上做出相應的配置，靜態綁定該物聯網設備的MAC和IP地址。

與此同時，在物聯網管理系統中記錄物聯網設備的相關信息如設備類型、設備IP、設備MAC、責任人及設備失效時間等。申請人獲得IP后，對物聯網設備進行IP設置后接入校園網。

2.物聯網設備準入實現原理

物聯網設備準入實現原理如圖3所示，其具體步驟如下：

圖3 物聯網設備準入原理

（1）SDN控制器開啟準入管控后，通過NETCONF下發基于子網的地址解析協議（Address Resolution Protocol，ARP）學習關閉。這個子網的ARP學習關閉，會導致這個子網下行的流量關閉，最終達到阻止終端聯網的效果。

（2）終端入網，發起網關ARP請求。

（3）對應網關設備收到入網終端的ARP請求，基于對應的網段IP將報文上發到控制器。

（4）控制器收到發送過來的ARP請求報文，解析其發送者的IP和MAC地址，并記錄終端所在網關位置（即網關設備管理IP）。 如果在免管控期間，控制器則自動生成靜態ARP表并設置到對應網關上。如果在管控期間，則出現在控制器的待審批界面中，管理員審批通過后生成靜態ARP表并設置到網關上，完成該終端的入網審批。

物聯網設備訪問控制安全

部分物聯網設備涉及到學校師生的個人隱私安全，如物聯網監控攝像頭；部分物聯網設備關系到師生的財產安全，如智能電表、水表、一卡通設備等；更有甚者關系到師生的生命安全，如煙感、溫感傳感器等。

所以物聯網設備成功接入校園網后，只能讓有權限的角色訪問到這些物聯網設備，這就是物聯網設備的訪問控制安全。

提高物聯網設備訪問控制安全可通過以下兩種方式實現。

1.物聯網專網的建立

對于業務相對獨立，設備數量眾多的物聯網設備，可以組建一張物聯網專網。如宿舍的智能門禁系統，智能門禁設備數量眾多，但這些智能門禁設備都只需要訪問一臺門禁服務器。如果讓這些設備單獨入網，暴露在校園網中，假如這些設備有安全漏洞，學生宿舍將存在安全隱患。但如果通過光纖將這些設備組成物理專網，又會推高施工成本。另外，如果專網數量越建越多，還會產生管理復雜的問題。

圖4 物聯網專網示意

基于SDN的物聯網管理系統，就可以很好地解決這個問題。以門禁系統為例，如圖4所示，采用Super VLAN加上Sub VLAN的方式，將主控服務器和智能門禁組成一張虛擬的智能門禁專網，分配統一的智能門禁專網IP地址，承載于校園網之上，并且通過ACL規則，只允許該智能門禁設備訪問門禁服務器，從而保障了這個專網的安全性。

2.單個物聯網設備的精細化訪問控制

單個物聯網設備需要進行精細化的訪問權限控制。例如放置在辦公室的打印機，只能被周圍幾個辦公室的用戶所訪問，以免復印或者打印的數據被其他的非法用戶獲取；又如課題組搭建了一個服務器，用于對課題組人員提供計算服務，則服務器只能被課題組成員所訪問，以免出現服務器數據泄露等問題。

目前采用基于源、目的IP地址的ACL管控的方式，來實現單個物聯網設備的精細化訪問權限控制。 給某個物聯網設備分配IP地址的時候，就收集到哪些IP需要訪問這個物聯網設備，同時該物聯網設備需要訪問哪些IP，并且通過ACL規則進行管控。

通過這種方式，就可以將單個物聯網設備劃分為一個個的“物聯網設備作用域”，每個物聯網設備在其“物聯網設備作用域”中提供服務，在該“物聯網設備作用域”范圍外的IP則無法訪問該設備。

物聯網設備系統安全

隨著物聯網設備越來越智能化，大部分的物聯網設備都有自己的操作系統和應用程序，并依靠應用程序對外提供服務。

操作系統和應用程序若有漏洞，就會產生網絡安全風險。如果訪問者利用了這些安全漏洞，就會對物聯網設備的安全性產生威脅。

在沒有引入基于SDN的物聯網管理系統前，所有的物聯網設備是分散在全校各個網段之中的，很難將這些設備收集全，并進行集中管控。

引入基于SDN的物聯網管理系統后，所有的物聯網設備集中在某幾個IP地址段，這樣就很容易定期對這些物聯網設備的系統以及應用程序進行漏洞掃描。

若發現其中存在安全漏洞，可及時通報給物聯網設備的管理責任人，同時將其物聯網設備下線。待其整改完成，經過檢測沒有漏洞后，再予以上線。以2021年9月為例，已掃描出170多個漏洞，如“弱密碼”“XSS跨站攻擊”“OpenSSH漏洞”等。

物聯網設備生命周期安全

物聯網設備也是具有生命周期的，可能隨著項目的結束、設備責任人的離退休，該設備不再有人使用也不再有人維護。

如果這樣的“僵尸”設備存在于校園網中，則隨著時間的增加，其安全漏洞會越來越多，可能還會被一些黑客分子當作“肉機”使用，作為“跳板機”去攻擊其他的用戶。

因此，目前采用的是物聯網設備年審制度。申請入網的物聯網設備會在當年的12月31日到期，到期前系統會發送短信提醒用戶盡快完成設備延期申請。如果在到期前仍未能完成延期申請的，將會在到期后無法接入校園網。

通過創新的物聯網設備準入安全管理、物聯網設備訪問控制安全管理、物聯網設備系統安全管理、物聯網設備生命周期安全管理，有效地解決了當前校園網中遇到的物聯網設備的安全問題。

但是隨著物聯網設備的數量、種類的不斷增加，以及需求的變化升級，新的物聯網設備的安全挑戰也會隨之出現。這就需要我們不斷創新技術，改進管理方法，來解決新的物聯網設備安全問題。

參考文獻（上下滑動查看）

[1]徐玉妃，楊昆，袁凌云，等.基于物聯網的智慧校園建設與研究——以云南師范大學為例[J].云南師范大學學報(自然科學版)，2016，36(01)：47-52.

[2]覃德澤，李立信.高校智慧校園網中物聯網、5G、云計算及IPv6的融合問題探討[J].網絡安全技術與應用，2019(12)：104-106.

[3]徐曉新，蘇群，趙宇明，等.基于校園網的物聯網的建設和管理方法[J].工業儀表與自動化裝置，2016(04)：109-110.

[4]鐘機靈.SDN校園網關鍵技術應用研究[J].信息技術與信息化，2021(07)：197-200.

[5]張敏，王朝陽.SDN網絡淺析[J].內蒙古科技與經濟，2019(21)：80-82.

[6]白煜.基于NETCONF的網絡設備配置與管理系統設計與實現[D].電子科技大學，2020.

[7]孔倩.基于OpenFlow的鏈路容錯機制的研究與設計[D].華東師范大學，2015.

作者：劉云、雷洲、劉戀、洪劍珂（華中科技大學網絡與計算中心）