이 글에서는 원격 시스템의 모니터링을 지원하는 데 필요한 셀룰러 네트워크의 기술적 측면과 더불어, 중앙 위치와 원격 시스템 위치 간에 VPN 터널의 보안 및 생성을 다루었다. 그것은 회사 LAN에 장비를 연결할 필요 없이 회사 라우터[router]에 대한 수정을 요구하지 않고 공장에 위치한 장비에 대한 문제 해결을 위해 네트워크 접근을 허용하는 고객의 이익에 대해 논의한 것이다.
개요
새로운 기술 개발은 아니겠지만, 유비쿼터스의 재배치와 3G 셀룰러 수용은 원격으로 EtherNet/IP 네트워크에 접근할 수 있는 기회를 만들어냈습니다.
SCADA(Supervisory Control and Data Acquisition) 네트워크는 수년간 장비에 대한 원격 액세스를 위해 셀룰러 및 임대차용 라인 기술을 활용해왔습니다. 최근 기계 제작자들은 현장에서 기계를 모니터링하고 문제를 해결하기 위해 셀룰러 네트워크를 사용하는
데 있어서 고객들의 이점을 깨닫고 있습니다. 이 기술의 프레젠테이션은 셀룰러 인프라를 통해 원격 프로그래밍이 가능한 자동화 컨트롤러(PAC)에 액세스하는 프로세스에 대한 설명으로부터 시작하여 애플리케이션까지 확장합니다.
이 글에서는 원격 시스템의 모니터링을 지원하는 데 필요한 셀룰러 네트워크의 기술적 측면과 더불어, 중앙 위치와 원격 시스템 위치 간에 VPN 터널의 보안 및 생성을 다루었습니다. 그것은 회사 LAN에 장비를 연결할 필요 없이 회사 라우터[router]에 대한 수정을요구하지 않고 공장에 위치한 장비에 대한 문제 해결을 위해 네트워크 접근을 허용하는 고객의 이익에 대해 논의한 것입니다. 원격 장비를 사용하여 온라인으로 전환하고, 프로그램을 변경하여, 시스템의 고장 여부를 모니터링 하는 기능에 대해 설명하겠습다.
본문
점점 더 이더넷 PAC과 PLC가 원격지에 널리 배치되고 있다. 수년 동안 SCADA 시스템은 이러한 시스템에 대한 제한된 통신을 위해 임대전화 및 휴대전화 모뎀을 사용하여 원격 위치에 PLC를 배치해 왔습니다. 시간이 지남에 따라, 인터넷의 접속은 정보에 좀더 쉽게 접근할 수 있게 되었습니다. 데이터의 접근성이 높아짐에 따라 원격산업 시스템에 적시에 액세스하고 원격으로 문제를 해결할 수 있는 능력에 대한 기대치가 높아졌습니다.
기계 구축업체가 전국 및 전 세계 고객에게 장비를 배치함에 따라, 고객에게 시운전 중 적시에 지원 및 문제의 해결을 지원하는 일이 점점 어려워지고 있습니다. 동시에, 휴대전화의 무선통신 기술이 널리 받아들여지고 있습니다. 사람들은 이제 휴대폰 무선통신 기술을 통해 어디에 있든지 상관없이 정보(전자메일, 인터넷 액세스 등)에 접근하는 것에 익숙해져 있습니다.
또한 이동통신사들은 더 먼 곳에서 이 데이터에 접근할 수 있도록 커버리지를 확대하고 있습니다. 무선 통신망의 속도가 증가하고 있지요. 지난 5년 동안 2G에서 3G로 발전하면서 셀룰러 네트워크에서 데이터의 처리량이 많이 증가했습니다. 향후 5년간은 4G 롱
텀에볼루션(LTE)과 와이맥스 기술이 쟁쟁한 통신사에 의해 전개되면서 속도가 더욱 높아지는 추세입니다. 셀룰러 기술의 향상은 산업자동화 엔지니어에게 더 나은 정보를 제공하고 고객에게 더 나은 데이터 액세스를 제공할 수 있는 환상적인 기회를 제공합니다.
원 PLC 및 시스템에 즉시 액세스할 수 있으면 평균복구 시간을 단축할 수 있습니다. 셀룰러 기술은 이러한 이점을 제공하는 동시에 현재 사용되는 대안들과 비교하여 원격 액세스를 위한 보안을 유지하고 개선합니다. EtherNet/IP는 PLC와 같은 산업용 장비와 커미션, 구성, 모니터링 및 문제 해결에 사용되는 도구간 탁월한 통합을 가능하게 합니다. 원격 액세스를 위한 셀룰러 기술과 함께EtherNet/IP를 사용하면 강력한 기술조합을 통해 고객의 니즈에 보다 효과적으로 대응할 수 있습니다.
원격 장비에 대한 액세스 개선의 이점을 고려할 때, 보안이 솔루션의 필수적인 부분임을 확인하는 것이 중요합니다. 완벽한 솔루션을 구축하려면 보안 시스템이 사용하기 쉽도록 하면서도 인증, 암호화 및 데이터의 무결성을 위한 메커니즘을 제공해야 합니다. 보안 시스템의 각 요소는 별도의 이점을 제공합니다. 인증은 인증된 사용자만 데이터에 액세스할 수 있도록 허용하는 프로세스입니다.
암호화는 열린 네트워크를 통해 전송되는 데이터를 자세히 검사할 수 있는 사람이 해독할 수 없도록 하는 기밀성을 제공합니다. 데이터의 무결성은 제어기에 대한 명령을 나중에 수정 또는 재생하여 시스템 셀룰러 무선 기술의 의도된 기능을 방해할 수 없도록 보장합니다. 셀룰러 기술이 GPRS, IS-95와 같은 2G 표준에서 HSPA, EV-DO와 같은 3G 표준으로 발전함에 따라 공중에서의 데이터 전송 속도가 증가합니다.
셀룰러 기술의 사용은 단순히 음성 통화를 허용하는 것에서 이메일, 문자 메시지, 인터넷 접속 및 고속 인터넷 접속에 의존하는 다양한 응용 프로그램에 대한 지원을 24시간 허용하는 것으로 발전했습니다. 3G 기술을 사용하는 현재의 네트워크는 일반적으로 CDMA2000 또는 UMTS라는 2가지 주요 기술 중 하나로 구현됩니다.
CDMA2000은 일반적으로 IS-95에 2G 기술을 의존했던 기업들이 선택한 3G 기술입니다. CDMA2000 네트워크는 처음에 1xRTT를 구현했고, EV-DO Rev. 0, EVDO Rev. A, 그리고 가장 최근의 EV-DO Rev. B가 그 뒤를 이었습니다. 현재 CDMA2000 EV-DO Rev. B를 사용하는 네트워크는 최대 14.7Mbps의 다운링크 속도와 최대 5.4Mbps의 업 링크를 사용할 수 있습니다. UMTS는 일반적으로 GPRS를 처음 사용한 기업들에 의해 선택되었으며, 이어서 EDGE가 2G 및 2.5G 셀룰러에 채택되었습니다.
HSPA(High-Speed Packet Access)는 UMTS 표준의 최신 구현체입니다. HSDPA라고도 불리는 다운링크 속도는 14까지 올라갈 수가 있습니다. 4Mbps와 종종 HSUPA로 불리는 그것의 업 링크 속도는 5.8Mbps까지 높일 수 있습니다. 향후 몇 년 안에 이 두 3G 기술은 최대 1Gbps의 데이터 속도를 제57공한다는 목표로 초기에는 100Mbps까지 데이터 속도를 약속하는 4G 기술로 발전할 것입니다. UMTS HSPA의 유력한 후계자는 LTE가 될 것입니다.
초기 LTE는 약 100Mbps의 데이터 속도를 약속하고, 그 뒤를 이어 진정한 4G 데이터 속도를 1Gbps를 목표로 하는 LTE-Advanced가 뒤따릅니다. CDMA2000 표준을 설계한 그룹은 은4G 속도를 달성하기 위해 EV-DO Rev. C를 정의했습니다. 그러나 저명한 하드웨어 공급업체가 EV-DO Rev. C를 구현하지는 못할 것으로 보입니다. 대신 모바일 와이맥스는 4G를 목표로 하는 두 번째 기술 상품으로 등장하고 있습니다. 오직 시간만이 어떤 기술이 4G에서 상업적으로 성공하는지 말해줄 것입니다.
셀룰러 기술이 OEM에 대한 원격 액세스를 제공하기 위해서는 셀룰러 모뎀이 장비가 설치된 모든 위치에서 커버리지를 제공할 수 있어만 합니다. 두 가지 3G 기술 중 UMTS와 CDMA2000은 미국 전역에 걸쳐 우수한 커버리지를 제공합니다. 그러나 세계 대부분의 지역에서 널리 사용되는 기술은 GSM/UMTS입니다.
전 세계적으로 GSM 셀룰러에 사용되는 네 개의 셀룰러 대역이 있습니다. 850MHz 및 1.9GHz 대역은 일반적으로 북미와 남미에서 사용되지만 900MHz와 1.8MHz 대역은 일반적으로 많이들 사용합니다. GHz 대역은 세계의 다른 대부분의 지역에서 사용됩니다. 다행히도 오늘날 대부분의 3G GSM 전화는 4개 대역 모두에 대한 지원을 제공하고 있습니다.
셀룰러 네트워크 구조
데이터 속도에 영향을 미치는 기술이 가장 많은 관심을 끌지만, 셀룰러 네트워크의 다른 많은 측면은 원격기계 모니터링 및 원격네트워크 연결을 지원하는 데 중요합니다. 이것을 이해하기 위해서는, 산업통신의 관점에서 셀룰러 네트워크의 일반적인 구조를 이해하는 것이 도움이 될 것입니다. 여기서 다루지 않을 셀룰러 네트워크 구조의 많은 세부사항이 있지만, 여기에 설명하는 아키텍처는 셀룰러 네트워크를 통해 산업용장치와 통신을 하기 위해 어떤 옵션이 존재하고 어떤 요건을 충족해야 하는지를 이해할 수 있을 만큼 충분한 세부 정보를 제공하려고 합니다.
셀룰러 모뎀이 통신사의 셀룰러 네트워크에 가입하면 IP 주소가 할당됩니다. 이 IP 주소는 모뎀(최종적으로 모뎀에 연결된 장치)과의 모든 통신의 기본입니다. 셀룰러 통신사가 허용하는 여러 가지 옵션이 있지만, 종종 모뎀은 통신사의 네트워크에 의해 PC가 자신의 PC에 연결될 때 개인 IP 주소가 할당되는 것과 같은 방식으로 개인 IP 주소가 할당됩니다.
사내의 LAN
모뎀이 IP 주소를 할당 받으면 PC와 거의 동일한 방식으로 인터넷에 액세스합니다. PC가 인터넷 상의 어떤 것에 접근하면, 트래픽은 회사의 게이트웨이를 통해서 전달됩니다. 실제로 PC가 트래픽을 인터넷의 서버로 보낼 때 회사의 게이트웨이가 해당 트래픽의 원본으로 나타납니다. 예를 들어 웹 사이트의 주소를 컴퓨터의 웹 브라우저에 입력하려면 회사의 게이트웨이를 통해 PC와 웹 서버 간에 패킷이 전송됩니다. 웹 서버에 PC는 회사 게이트웨이의 IP 주소로 나타납니다.
또한 게이트웨이가 작동하기 때문에 웹 서버가 컴퓨터와 통신하려면 컴퓨터가 먼저 통신을 시작해야 합니다. 컴퓨터가 먼저 통신하지 않으면 웹 서버는 컴퓨터와 통신할 수 없습니다. PC가 통신을 시작합니다. 트래픽이 인터넷에 전송되는 PC의 LAN IP 주소 변환은 회사의 게이트웨이에 의해 처리됩니다. 게이트웨이가 인터넷에 연결된 PC에서 트래픽을 수신하면 패킷을 변경하여 소스주소 필드에 있는 컴퓨터의 IP주소를 자신의 공용 IP 주소로 바꿉니다.
이 프로세스는 게이트웨이를 통해 인터넷으로 통신하는 모든 LAN 장치에 대해서 발생합니다. 여러 LAN 장치의 패킷이 고유하게 나타나도록 게이트웨이는 또한 인터넷으로 나가는 패킷의 소스 IP 포트를 변경해야 합니다. 이를 명확히 하기 위해 게이트웨이는 공용 IP 및 변경된 포트에 변환 또는 매핑된 LAN 디바이스(IP 주소 및 포트)를 추적할 수 있는 동적 테이블을 구축하게 됩니다. 이 프로세스를 네트워크 주소라고 말합니다.
변환[Translation]
일반적으로 셀룰러 장치는 PC와 동일한 제약조건 내에서 작동을 합니다. 인터넷상의 장치와 통신하기 위해서 셀룰러 장치는 통신을 시작해야 합니다. 이 구성을 셀룰러 용어에서 모바일 기원이라고 부릅니다. 그러나, 산업용 애플리케이션은 메시지를 먼저 보내지 않고 인터넷의 다른 장치로부터 데이터를 수신하기 위해 종종 셀룰러 모뎀(또는 그것에 연결된 PLC)을 요구합니다.
예를 들어, 서비스 기술자는 PC에서 셀룰러 모뎀(또는 셀룰러 모뎀에 연결된 PLC)과 통신하기를 원할 수 있습니다. 이를 모바일 종료 연결이라고 합니다. 이 문제를 해결할 수 있는 몇 가지 방법이 있습니다. 이를 해결하기 위한 한 가지 방법은 통신사로부터 네트워크 내의 고유한 구성을 요청하는 것입니다. 통신사에 필요한 두 가지 매개 변수는 공용 IP 주소와 모바일 종단 연결에 대한 지원입니다.
이 기능은 셀룰러 모뎀이 자체 패킷을 전송하기 전이라도 셀룰러 모뎀에 대해 수신한 패킷을 라우팅하는 방법을 게이트웨이에 지시하는 정적 구성을 통신사의 네트워크 내에 생성합니다. 공용 IP 주소를 사용하면 동적 네트워크 주소 변환이 필요하지 않습니다. 모바일 터미네이션과 공용 IP 주소를 지원하는 네트워크로, 셀룰러 모뎀은 정비사의 PC에서 직접 액세스할 수 있습니다. 이 문제를 해결하는 두 번째 방법은 휴대폰 모뎀이 인터넷에 있는 서버와 통신을 시작하도록 하는 것입니다. 서버는 서비스 기술자가 PC에서 모뎀으로 연결할 수 있도록 통신 브리지 역할을 합니다.
서버는 항상 있어야 하며 모뎀은 서버에 연결하고 무기한으로 연결된 상태를 유지할 수가 있습니다. 이 구성에는 몇 가지 주요 이점이 있습니다. 그것은 개인 IP 주소와 모바일 기원의 셀룰러 통신사의 표준 구성과 함께 가능합니다. 일반적으로 이 아키텍처는 VPN 터널과 함께 사용되므로 기능 및 보안을 강화할 수 있습니다. 이것은 나중에 토론에서도 확대될 것입니다.
셀룰러 게이트웨이
모뎀 자체에 대한 직접 액세스는 원격직렬 PLC에 대한 직렬 연결과 같이 간단한 연결이 필요한 상황에서 유용합니다. 그러나 대부분의 산업용 원격 액세스 응용 프로그램에서 셀룰러 모뎀은 하나 이상의 이더넷 PLC 및 장치에 대한 게이트웨이로 사용됩니다. 이를 실현하는 것은 지금까지 다루어 온 내용을 확장함으로써 이루어집니다. 셀룰러 모뎀이 연결된 하나 이상의 이더넷 장치에 액세스하는 데 사용될 때, 위에서 설명한 게이트웨이와 같은 역할을 합니다.
네트워크 주소 변환의 원칙은 회사네트워크에 대한 게이트웨이를 볼 때처럼 여기에 적용이 됩니다. 그림 4에서 IP 주소 192.168.1.2의 PLC가 무선 네트워크를 통해 인터넷으로 메시지를 전송하면 PLC는 셀룰러 게이트웨이로 메시지를 전송합니다. 모뎀은 PLC의 소스 주소(192.168.1.2)를 자신의 IP 주소로 대체하여 셀룰러 네트워크를 통해 패킷을 전달합니다.
셀룰러 모뎀은 연결된 이더넷 장치의 게이트웨이 역할을 하므로 트래픽 발생에 대한 제한은 동일합니다. PLC 및 기타 이더넷 장치는 통신을 시작하지 않는 한 외부 장치가 접근할 수 없습니다. 이 제한에 대해서는 세 가지 해결 방법이 있습니다. 단일 PLC 또는 장치만 셀룰러 게이트웨이의 LAN 측에 연결된다면, 셀룰러 게이트웨이는 일반적으로 정적주소 변환으로 구성될 수 있으며, 따라서 IP 주소로 예정된 셀룰러 네트워크를 통해 수신되는 패킷은 단순히 LAN 측에 전달될 수 있습니다.
LAN에는 장치가 하나만 있으므로 IP 포트 매핑이 필요하지 않습니다. 셀룰러 게이트웨이가 단일 WAN 연결을 통해 여러 LAN IP 주소를 에뮬레이트하여 여러 장치에 대해 NAT을 수행하려고 할 때만 IP 포트 매핑이 필요합니다. 여러 디바이스에 액세스하는 경우 VPN 터널을 사용하는 것이 좋습니다.
터널링을 통한 다중 디바이스 액세스
여러 PLC 또는 이더넷 장치가 셀룰러 모뎀에 연결되어 있고 응용 프로그램에서 외부 연결에서 해당 장치에 액세스할 수 있어야 하는 경우 VPN이 일반적으로 사용됩니다. 그림 5에 표시된 것처럼 VPN은 별도의 네트워크에 있는 장치 간에 가상 연결을 생성합니다. 이 연결은 두 LAN을 연결하는 데 사용되는 여러 네트워크를 통과하는 터널을 형성합니다.
한 가지 가능성은 엔지니어의 PC와 셀룰러 모뎀 사이에 VPN 터널을 만드는 것입니다. PC에서는 트래픽을 라우팅하여 셀룰러 모뎀에 연결된 이더넷 장치와 통신할 수 있는 가상 네트워크 연결이 생성됩니다. 두 번째 가능한 구성은 두 셀룰러 모뎀 사이에 VPN 터널을 만들어 모뎀의 각 LAN 측에 연결된 장비가 서로 직접 통신할 수 있도록 하는 것입니다. 이 기능은 원격 위치에 여러 장치가 필요한 M2M(Machine-to-Machine) SCADA 응용 프로그램에 매우 유용합니다.
원격 서버를 사용한 VPN 터널링
세 번째 가능한 구성은 셀룰러 모뎀이 인터넷에 있는 서버에 VPN 연결을 만드는 것입니다. 이 구성은 이전에 모뎀이 공용 IP 주소를 가지고 있어야 하는 필요성을 극복하고 모바일 출시를 지원하기 위해 언급되었습니다. 그림 6은 이 구성의 모양을 나타냅니다.
보안
어떤 산업 네트워크에서도 보안이 가장 중요합니다. 산업 네트워크에 대한 원격 액세스를 제공할 때는 보안 조치를 잘 이행하는 것이 중요합니다. 보안에는 세 가지 주요 목표가 있습니다.
네트워크
- 인증?인증된 사용자 및 장비만 네트워크에 액세스할 수 있도록 보장
자원
- 기밀성 / 암호화-관찰자가 데이터의 내용을 확인할 수 없도록 개방된 미디어를 통해 전송되는 데이터를 스크램블링합니다.
- 데이터 무결 성-네트워크상의 장치에서 수신한 데이터가 나중에 수정되거나 재전송되지 않도록 보장합니다. 셀룰러 네트워크를 통한 원격 액세스를 고려할 때, 첫 번째 보안 계층은 셀룰러에 내재되어 있습니다.
3G 프로토콜 본체
3G EV-DO Rev. A 셀룰러 표준은 128비트 AES(Advanced Encryption Standard) 암호화와 함께 인증 및 키 협상을 위한 대응 메커니즘을 사용합니다.
휴대 전화 모뎀과 네트워크 모두에 대한 상호 인증을 제공합니다. AES는 널리 사용되고 신뢰받는 암호화 메커니즘으로, 미국 정부로부터 극비 정보를 전송할 수 있는 권한을 부여 받았습니다. AES의 구현에는 메시지가 수정되지 않도록 보장하는 무결성 키도 포함되어 있습니다. 3G HSPA 표준은 암호화와 메시지 무결성을 위해 128비트 KASUMI를 사용합니다. 인증은 SIM 카드에 포함된 128비트 인증 키를 사용하여 수행됩니다. KASUMI 암호화 알고리즘은 MISTI 알고리즘의 변형입니다.
최근에 와서야 KASUMI 알고리즘[1]에서 일부 약점이 발견되었습니다. 모뎀과 셀룰러 네트워크 사이에 존재하는 보안 메커니즘에 관계없이, 추가 보안은 인터넷 상에서 모뎀과 최종 사용자 간에 전송되는 IP 기반 트래픽이 기밀로 유지되도록 하는 데 도움이 됩니다.
셀룰러 보안 메커니즘은 기껏해야 공중에서 데이터가 오용되는 것을 방지할 수 있습니다. 추가적인 보안 계층은 셀룰러 모뎀에 연결된 장치에 의도치 않게 액세스하거나 셀룰러 모뎀에서 인터넷으로 전송되는 데이터에 액세스하는 것을 휴대폰 모뎀에 액세스할 수 있는 원격 사용자를 제한하기 위해 대부분의 모뎀에는 IP 필터가 포함되어 있습니다. 이렇게 하면 모뎀에 대한 액세스가 제한됩니다. 예를 들어 OEM은 회사 게이트웨이의 IP 주소에서만 연결을 허용하는 데 사용할 셀룰러 모뎀을 구성할 수 있습니다.
이를 통해 회사 내의 엔지니어는 원격 셀룰러 모뎀에 액세스할 수 있지만 다른 사용자가 해당 모뎀이나 연결된 장치에는 함부로 액세스할 수 없습니다. 또한 셀룰러 모뎀에는 IP 포트를 기반으로 트래픽을 제한하는 방화벽이 자주 포함됩니다. 이렇게 하면 OEM은 바이러스를 포함할 수 있는 트래픽을 방지하면서도 모뎀에 연결된 원격 PLC 내의 데이터에 액세스할 수가 있습니다.
그러나 IP 필터와 방화벽은 셀룰러 모뎀과 여기에 연결된 장치에 대한 불필요한 액세스와 트래픽을 방지하지만 VPN 터널은 인터넷을 통해 전송되는 데이터의 암호화와 무결성을 제공하는 데 매우 유용합니다. VPN 터널은 종종 IPsec(인터넷 프로토콜 보안) 또는 SSL(Secure Sockets Layer)의 두 가지 기술 중 하나를 사용합니다.
SSL VPN은 일반적으로 PC 인터넷 브라우저를 통해 원격 PC와 게이트웨이 사이에서 설정이 됩니다. 이 방법은 모든 공통 브라우저가 SSL 연결을 지원하므로 VPN 연결을 지원하기 위해 PC에 사용자 지정 소프트웨어를 설치할 필요가 없습니다. 브라우저는 게이트웨이와 SSL 연결을 설정하며 PC의 모든 트래픽이 해당 SSL VPN 연결을 통해 라우팅될 수가 있습니다. 일반적으로 IPsec은 두 하드웨어 게이트웨이 간에 VPN 터널을 제공하는 데 사용됩니다.
IPsec 터널은 OSI 계층 3에서 작동하며 종단 간 모든 유형의 트래픽을 허용합니다. 모뎀은 주로 하드웨어 게이트웨이이기 때문에 여기서는 IPsec VPN 터널 사용에 초점을 맞춥니다. IPsec은 상호인증, 암호화 및 메시지 무결 성 메커니즘을 제공합니다. IPsec 사양은 128비트 AES와 TripleDES 암호화 알고리즘의 사용을 지원합니다.
이 두 가지 알고리즘은 모두 믿을 수 없을 정도로 안전하며 수년간 상용 및 군사 사용자의 안전한 통신을 위해 성공적으로 사용되어 왔습니다. IPsec VPN 터널 내에서, 헤더를 포함하여 모뎀에 연결된 장치의 전체 패킷은 IPsec 패킷의 페이로드에 캡슐화됩니다. 이 과정에서 모뎀에 연결된 장치의 전체 패킷이 암호화되어 원본 패킷의 페이로드나 헤더가 표시되지 않도록 보장합니다. IPsec 표준에는 주소 인증도 포함됩니다.
IKE(Internet Key Exchange) 프로토콜은 VPN 터널의 양쪽 끝 사이에 보안 연결 생성을 관리하는데 사용합니다. 이 매커니즘은 암호화 및 인증 키를 생성할 뿐만 아니라 사용되는 암호화 방법을 결정하는 데 사용됩니다. 연결이 완료되면 각 패킷에는 패킷의 원점과 무결 성을 확인하는 데 사용되는 인증 헤더를 포함합니다. 전체적으로 IPsec VPN은 세 가지 이점을 제공합니다. 1) 보안, 2) 여러 기기에 대한 액세스, 3) 동적 개인 IP 주소만 제공하는 셀룰러 통신사의 사용 및 모바일 출시를 지원합니다.
VPN을 IP 필터 및 방화벽과 함께 사용함으로써 사용자는 액세스를 제한하고 기밀성을 유지하는 동시에 액세스 용이성을 높여 유지 보수 시간을 단축하고 고객지원을 개선할 수 있습니다. 원격 액세스를 수행하기 위해 3G 셀룰러를 사용하는 것은 모든 보안 매커니즘 외에도 최종 사용자 네트워크 인프라와 분리되어 원격 장치를 유지할 수 있다는 추가적인 이점이 있습니다. 대안으로, 고객에게 PLC를 회사 네트워크에 연결하도록 요청함으로써 PLC에 대한 원격액세스를 달성할 수 있습니다.
셀룰러를 원격 액세스에 사용하면 고객이 네트워크에 가지고 있는 모든 데이터를 간단하게 분할할 수 있습니다. 이 외에도, 고객은 원격 액세스를 원하지 않을 때 휴대폰 모뎀을 비활성화 하도록 선택할 수 있으며, 원격 액세스를 활성화하는 방법과 시기를 완전히 제어할 수 가 있습니다.
EtherNet/IP에 대한 향후 고려 사항
통신 표준이 발전함에 따라, 통신 표준은 여기서 설명하는 몇 가지 우려와 해결책을 직접적으로 다룰 수 있는 EtherNet/IP 구현의 진화를 촉진할 것입니다.
향후 5년 이내에 원격 액세스 및 IP 통신에 가장 큰 영향을 미칠 것은 IPv6 구축입니다. 현재 대부분의 운영 체제에는 IPv6 지원이 포함되어 있지만 IPv6을 지원하는 산업용 장치는 거의 없으며 IPv6을 통해 통신하는 사용자는 거의 없습니다. 2011년 2월, 마지막 블록의 무료 주소가 할당되었습니다. 비록 인터넷 제공자들이 새로운 사용자들에게 배포하기 위해 그들의 마음대로 주소를 예약했지만, 우리에게는 우리가 일반적인 인터넷 통신에서 IPv6을 사용하기 시작할 필요가 있는 시간이 다가오고 있는 것입니다.
IPv6은 여전히 패킷 기반 인터넷 프로토콜이지만 IPv4와 충분히 달라 병렬통신이 필요합니다. 기본적으로 IPv6은 제한된 주소공간 사용을 용이하게 하기 위해 설치되었던 IPv4 사용자에게 요구되는 많은 현재 장애물을 제거합니다. 주소 크기를 32비트에서 128비트로 4배 증가시킴으로써 주소지정 가능하여 주소의 수는 기하급수적으로 증가됩니다. 이 새로운 주소 공간은 현재 전 세계 70억 명의 모든 사람들에게 1028개 이상의 주소를 허용하고 있습니다.
그러나, 주소 공간의 확대가 새로운 구조물을 만드는 주된 목표가 아니었습니다. 새로운 구조는 주소와 라우팅을 훨씬 더 단순하게 할당할 수 있게 합니다. 원격 액세스를 수행하려는 사용자의 이점은 주소 확장과 함께 NAT을 수행하여 개인 IP를 숨기려는 게이트웨이에 대한 절대 요구 사항이 제거되었다는 것입니다. 예를 들어, 한 회사의 LAN에 있는 PC들은 미리 구성된 주소 변환 테이블을 라우터에 프로그래밍하지 않고도 다른 회사의 LAN에 있는 PC와 직접 주소를 지정하고 통신을 시작할 수 있을 것입니다.
주소 변환기로서의 라우터의 값이 최소화됩니다. 그런 다음 이 아키텍처를 통해 OEM 기술자가 원격지에 있는 장치와의 통신을 직접 해결하고 설정할 수가 있습니다. NAT과 관련된 문제를 해결하기 위해 VPN 터널과 원격 VPN 서버에 대한 절대적인 요구 사항을 제거합니다. EtherNet/IP를 통해 통신하는 데 익숙한 장치와 도구가 더 이상 개인 주소 블록의 제한 내에서 작동하지 않는 것이 중요합니다.
다행히도 IPv6에 필수적인 두 번째 구성 요소는 IPSec 지원입니다. 현재 VPN에 존재하며 인터넷을 통한 통신을 보호하는 데 필수적인 요소로 간주되는 모든 인증, 암호화 및 메시지 무결 성 메커니즘은 이제 LAN 내 또는 인터넷을 통한 두 장치 사이의 IP 통신에 기본이 될 것입니다.
제때에 대답을 할 수 있을 것이다
• 사용자는 외부 사용자가 주소를 지정할 수 있는 장치 배포를 수락할 것.
• 산업 통제 관이 활동 기록 지원을 받을 것인가?
• 산업 컨트롤러가 보안의 중심이 될 때, 침입탐지 및 예방을 위한 방법은 무엇입니까?
결론
OEM이 고객 사이트에 위치한 장비에서 액세스하여 문제를 해결할 수 있는 여러 가지 대안이 있습니다. OEM은 장치에 LAN 액세스 또는 전화 접속 액세스 제공을 요청할 수 있습니다. OEM은 문제 해결 시 고객에게 도움을 요청하거나 고객 사이트로 이동할 수도 있습니다. VPN 터널의 보완적 기술과 함께 3G 셀룰러를 사용하면 유지 보수 시간 단축, 정보에 대한 액세스 의 최대화, 고객 및 원격으로 액세스되는 장치의 보안과 고객정보의 최소화를 최적으로 조합할 수 있습니다
참조 문헌
[1] 오르던켈만[Orr Dunkelman], 네이선켈러[Nathan Keller], 아디샤미르[Adi Shamir](2010-01-10). IMT2000 3GPP-3세대 GSM전화에 사용된 A5/3 암호시스템에 대한 실시간 공격의 예.
여러 공급업체의 제품 및 시스템과 연계하여, CIP 네트워크를 지정하는 담당자와 독자는 의도된 사용을 위해 여기에 제시된 아이디어, 의견 및 권고의 적합성과 적합성을 스스로 결정해야 합니다.
저작권 ? 2011 ODVA, Inc. 모든 권리는 유보됩니다. 이 자료의 발췌문을 저자의 적절한 귀책과 함께 복제할 수 있는 허가를 원하신다면, ODVA에 문의하여 주십시오. 다음 전화와 이메일을 이용하십시오.
TEL +1734-975-8840 FAX +1734-922-0027 EMAIL odva@odva.org 웹 www.odva.org.
CIP, Common Industrial Protocol, CIP Safety, CIP Sync, CompoNet, CompoNet, 준수 테스트, CompoNet 적합성테스트, ControlNet 적합성테스트, DeviceNet, EtherNet/IP, 합성테스트를 마친 상표입니다. DeviceNet은 ODVA, Inc.의 등록 상표입니다. 기타 모든 상표는 해당 소유자의 재산입니다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>