DIY编程器网

标题: 家庭网络的安全架构 [打印本页]
作者: admin    时间: 2014-10-13 15:38
标题: 家庭网络的安全架构
1、简介

  现在的家庭中,不仅有计算机而且还有其它信息设备组成的网络。当这些信息设备与因特网连接时,它们很容易暴露在多种攻击之下。而用户并不想因此泄漏他们的个人隐私。所以这些家庭网络环境需要一个安全、可靠的解决方案。目前,虽然有很多家庭网络安全产品,比如说防火墙、虚拟个人网络(Virtual Private Network(VPN))、安全无线局域网(wireless LAN security)等,但是还缺少一种综合的安全解决方案来保护家庭网络免受有线和无线攻击。

  对于家庭网络安全需求,我们主要考虑以下因素:(1)传输数据的安全。很多情况下,用户需要从家庭外部使用移动设备来控制家庭内部的设施;(2)对家庭网关的监测和控制;(3)对家庭内部无线局域网的访问控制和入侵检测;(4)用户管理。基于以上因素,本文阐述一个管理家庭网络安全的解决方案。

  本文结构如下:第二节综述安全管理框架;第三节阐述我们的家庭网关安全方案;第四节讨论本方案的实现方法;第五节总结本文并指出下一步研究工作。

2、综述安全管理框架

  为满足上述安全需求,我们设计并实现了一个家庭网络安全框架。本框架是一个基于Open Service Gateway initiative(OSGi)的家庭网络中间件。OSGi为家庭网络定义了一个开放的共同体系结构,详细定义了服务网关的标准。OSGi通过其基础系统来联结各种中间件并支持各种接口。OSGi定了自己的安全服务,但是这些方法还有不足之处。本文使用在OSGi服务结构体系之上增加了4种家庭网络安全服务。

  一是家庭网络外的移动设备对家庭内的设施进行安全控制服务。二是通过对防火墙通的通信量的进行实时控制和监测来防止拒绝服务攻击。三是无线局域网安全服务。通过使用家庭无线局域网来进行无线入侵检测和移动设备的访问控制。四是使用家庭设备进行用户管理服务。

3、家庭网络安全服务

  3.1 家庭设备安全控制服务

  从家庭外部网络访问和控制家庭设备时,控制请求必须通过因特网。但因特网并不是一个安全的区域。因此我们设计了一套针对家庭设施的安全控制服务。这个服务在移动设备和家庭网关之间建立了一个安全信道。

  Type字段定义了信息包的类型。序列号(Sequence Number)和端口号(Port)用于防止MITM攻击。Integrity用于检查数据的完整性。操作程序如下:首先,客户端向服务器端发送认证包。服务器收到后,认证用户。如果该用户是注册的用户,服务器返回信息接受;否则拒绝。客户端只有在收到接受信息后才能继续与服务器通信。

  经过以上程序,所有家庭网关和PDA之间传输的信息将通过SEED block cipher Algorithm加密。除加密外,所有加密数据附带Integrity值以确保数据的完整性。我们使用MD5 hash算法计算Integrity值。

  3.2 基于传输状态的防火墙

  基于传输状态的防火墙能够检测并控制网络传输。它可以保护家庭网络免受拒绝服务(Denial of Service(DoS))的攻击,同时还可以拒绝或接收来自特定IP地址和端口号的数据。

  我们使用安全状态图表检测传输。基于这个原理,我们实现了一个传输检测引擎。这个引擎由一个传输状态信息收集器和安全策略管理器构成。

  传输状态信息收集器以状态单元(State Unit)的形式收集通信信息并使用统计方法对其进行分析。状态单元包括传输模式和相应的统计信息。安全策略管理器通过使用安全状态图表建立安全策略。它能反映所有出现在网络上的通信状态。安全状态图表根据传输的状态转移来相应地改变安全策略。过滤规则发生器将新的安全策略转换成过滤规则。传输控制器使用该规则控制传输。当状态转移信号发生器发送状态转移信息给状态表时,代表传输状态的S1状态将检测自身状况,看是否能接受状态转移信号。这个引擎能有效进行网络安全管理以应对迅速变化的传输状况。管理员可以保存并通过图形界面分析传输信息和安全策略日志。基于传输状态的防火墙根据家庭网关中的IP地址列表来控制数据传输并能拒绝或允许来自用户指定的特定IP地址和端口的信息包。

  3.3 无线局域网安全服务

  无线局域网安全服务具备入侵检测[7]和访问控制的能力。入侵检测系统包括代理搜集和入侵检测服务器。代理搜集监察和收集接入点信息以及通过无线网络传送数据的移动站点。收集到的数据传送给检测引擎并被转换成审计数据的格式。

  我们使用802.11管理数据帧来监控无线网络。MAC数据帧收集器负责收集管理帧,然后信息提取器负责提取状态信息和统计信息。状态信息用来表示站点和接入点的状态。统计信息代表每一个信道的吞吐量和误码率,以及不同类型帧的数目和传输信息等。然后审计数据发生器使用审计数据格式重建这些数据。审计数据包括7个字段。它们是MAC地址、当前状态、请求计数、分离计数、非鉴定计数、当前序列号、序列号门限等等。探测引擎通过唯一身份(Organizationally Unique Identifiers(OUI))列表匹配模块和序列号分析模块来检测入侵。

  在入侵者攻击无线局域网之前,他们需要伪造MAC地址。IEEE已经分配6 278个前缀给硬件生产商用于指定网卡的MAC地址。通过比较OUIs和分配列表,我们能够检测到通过伪造随机的MAC地址前缀进行入侵的攻击者。IEEE推荐了一种通过使用数据帧排序来容纳碎片地址的方法。序列控制字段中4 bits用于碎片地址,而12 bit用于序列号。序列号字段是一个序列计数器,每产生一个非碎片数据帧,序列计数器就会加一。它从0开始,按4 096取模。除非数据帧是一个大数据包的碎片,否则碎片计数总是0。黑客在破解802.11数据帧的时候并没有办法将这个参数设置成任意值。当模块接收到第一个管理数据帧时,它提取序列号并作为临时变量保存。然后模块接收第二帧时,会与第一帧的序列号做比较。如果第二帧的序列号不大于第一帧的序列号,它将认为这是攻击。管理员能监测每个站点和接入点的状态。它能注册信任的接入点并使用MAC地址过滤器来管理那些家庭使用无线局域网资源的站点。

  3.4 用户管理服务

  用户管理服务向用户提供认证和授权。我们使用基于以角色为访问控制模型(RBAC)来实现,RBAC模型通过分配角色给访问权限和用户来简化授权管理;不是根据用户来确定访问权限,用户和许可都被赋予一个角色,用户的许可权既是被赋予的角色的许可权。每个家庭网络用户都会分配一个角色,例如用父亲来代表管理员,孩子以及访客。管理员能够向访客或孩子分配控制家庭设施和网络资源的权限。每个希望从外部访问家庭网络的用户必须有ID和口令。管理员通过使用综合管理界面来向每个用户分配使用家庭设施的权限。

4、实验

  我们在Redhad Linux 9.0上实现了家庭网络安全管理构架。这个框架使用了Java Embedded Server(JES)2.0,JES是基于OSGi的。我们使用Microsoft embedded Visual C++ 3.0实现PDA客户机程序用于设置安全信道并控制家庭设备。基于传输的防火墙与IP列表相连来控制网络通信。管理员能安装并运行以上这些安全服务。

  家庭网络使用的整个状态图:管理和控制用户和设备

5、结论

  在本文中,我们设计和使用了家庭网络安全管理框架。所使用的安全机制是、基于OSGi服务框架。这个框架的中心是综合有线和无线安全机制来保护家庭网络免受有线或无线的攻击。为达到这个目的,我们设计了一个新的服务协议来安全控制家庭设备、基于传输的防火墙、无线局域网安全、管理服务等等并使之综合成一个解决方案。



欢迎光临 DIY编程器网 (http://diybcq.com/) Powered by Discuz! X3.2