®a®xÊI络ªº¦w¥þ¬[ÌÛ
±z¬O²Ä
190ÓÂsÄýªÌ
ºKn¡@ ®a®xÊI络¦w¥þ®Ø¬[¬O«ü«O护®a®xÊI络ªº¦w¥þªA务®Ø¬[¡C这Ïú®Ø¬[¦b®a®xÊI络¡B¦]¯SÊI¡B¥H¤Î¨¾¤õ墙¤§间¨Ï¥Î¦w¥þ«H¹D来ÚÌ«O®a®xÊI关§K¨ü©Ú绝ªA务¡]DoS¡^ªº§ð击¡C¦P时¥¦还¯à够对®a®x内³¡无§½°ìÊI¤¤ªº¦UÏú²¾动设备进¦æ¤J«I检测©M访问±±¨î¡C¥»¤å´£¥X¤F¤@Ïú§¹¾ãªº¦w¥þºÞ²z®Ø¬[来«O护®a®xÊI络¡A¨Ï¤§§K¨ü内³¡©Î¥~³¡ªº§ð击¡C
1¡B简¤¶
¡@¡@现¦bªº®a®x¤¤¡A¤£仅¦³计ºâÉó¦Ó¥B还¦³¨ä¥¦«H®§设备组¦¨ªºÊI络¡C当这¨Ç«H®§设备ÉO¦]¯SÊI连±µ时¡A¥¦们«Ü®e©ö¼ÉÅS¦b¦hÏú§ð击¤§¤U¡C¦Ó¥Î户¦}¤£·Q¦]¦¹ªnº|¥L们ªº个¤H隐¨p¡C©Ò¥H这¨Ç®a®xÊI络环¹Ò»Ýn¤@个¦w¥þ¡B¥i¾aªº¸Ñ决¤è®×¡C¥Ø«e¡A虽µM¦³«Ü¦h®a®xÊI络¦w¥þ产«~¡A¤ñ¦p说¨¾¤õ墙¡B虚拟个¤HÊI络¡]Virtual Private Network¡]VPN¡^¡^¡B¦w¥þ无线§½°ìÊI¡]wireless LAN security¡^µ¥[1]¡A¦ý¬O还¯Ê¤Ö¤@Ïú综¦Xªº¦w¥þ¸Ñ决¤è®×来«O护®a®xÊI络§K¨ü¦³线©M无线§ð击¡C
¡@¡@对¤_®a®xÊI络¦w¥þ»Ý¨D¡A§Ú们¥Dn¦Ò虑¥H¤U¦]¯À¡G¡]1¡^传输数Õuªº¦w¥þ¡C«Ü¦h±¡况¤U¡A¥Î户»Ýn从®a®x¥~³¡¨Ï¥Î²¾动设备来±±¨î®a®x内³¡ªº设¬I¡F¡]2¡^对®a®xÊI关ªº监测©M±±¨î¡F¡]3¡^对®a®x内³¡无线§½°ìÊIªº访问±±¨î©M¤J«I检测¡F¡]4¡^¥Î户ºÞ²z¡C°ò¤_¥H¤W¦]¯À¡A¥»¤å阐z¤@个ºÞ²z®a®xÊI络¦w¥þªº¸Ñ决¤è®×¡C
¡@¡@¥»¤å结ÌÛ¦p¤U¡G²Ä¤G节综z¦w¥þºÞ²z®Ø¬[¡F²Ä¤T节阐z§Ú们ªº®a®xÊI关¦w¥þ¤è®×¡F²Ä¥|节讨论¥»¤è®×ªº实现¤èªk¡F²Ä¤节总结¥»¤å¦}«ü¥X¤U¤@¨B¬ã¨s¤u§@¡C
2¡B综z¦w¥þºÞ²z®Ø¬[
¡@¡@为满¨¬¤Wz¦w¥þ»Ý¨D¡A§Ú们设计¦}实现¤F¤@个®a®xÊI络¦w¥þ®Ø¬[¡C¥»®Ø¬[¬O¤@个°ò¤_Open Service Gateway initiative¡]OSGi¡^[2]ªº®a®xÊI络¤¤间¥ó¡COSGi为®a®xÊI络©w义¤F¤@个开©ñªº¦@¦PÊ^¨t结ÌÛ¡A详细©w义¤FªA务ÊI关ªº标ã¡COSGi³q过¨ä°ò础¨t统来联结¦UÏú¤¤间¥ó¦}¤ä«ù¦UÏú±µ¤f¡COSGi©w¤F¦Û¤vªº¦w¥þªA务¡A¦ý¬O这¨Ç¤èªk还¦³¤£¨¬¤§处¡C¥»¤å¨Ï¥Î¦bOSGiªA务结ÌÛÊ^¨t¤§¤W¼W¥[¤F4Ïú®a®xÊI络¦w¥þªA务¡C
¡@¡@¤@¬O®a®xÊI络¥~ªº²¾动设备对®a®x内ªº设¬I进¦æ¦w¥þ±±¨îªA务¡C¤G¬O³q过对¨¾¤õ墙³qªº³q«H¶qªº进¦æ实时±±¨î©M监测来¨¾¤î©Ú绝ªA务§ð击¡C¤T¬O无线§½°ìÊI¦w¥þªA务¡C³q过¨Ï¥Î®a®x无线§½°ìÊI来进¦æ无线¤J«I检测©M²¾动设备ªº访问±±¨î¡C¥|¬O¨Ï¥Î®a®x设备进¦æ¥Î户ºÞ²zªA务¡C
3¡B®a®xÊI络¦w¥þªA务
¡@¡@3.1¡@®a®x设备¦w¥þ±±¨îªA务
¡@¡@从®a®x¥~³¡ÊI络访问©M±±¨î®a®x设备时¡A±±¨î请¨D¥²须³q过¦]¯SÊI¡C¦ý¦]¯SÊI¦}¤£¬O¤@个¦w¥þªº区°ì¡C¦]¦¹§Ú们设计¤F¤@®M针对®a®x设¬Iªº¦w¥þ±±¨îªA务¡C这个ªA务¦b²¾动设备©M®a®xÊI关¤§间«Ø¥ß¤F¤@个¦w¥þ«H¹D¡C
Type¦r¬q©w义¤F«H®§¥]ªº类«¬¡C§Ç¦C号¡]Sequence Number¡^©MºÝ¤f号¡]Port¡^¥Î¤_¨¾¤îMITM§ð击¡CIntegrity¥Î¤_检¬d数Õuªº§¹¾ã©Ê¡C¾Þ§@µ{§Ç¦p¤U¡Gº¥ý¡A«È户ºÝ¦VªA务¾¹ºÝ发°e认证¥]¡CªA务¾¹¦¬¨ì¦Z¡A认证¥Î户¡C¦pªG该¥Î户¬Oª`册ªº¥Î户¡AªA务¾¹ªð¦^«H®§±µ¨ü¡F§_则©Ú绝¡C«È户ºÝ¥u¦³¦b¦¬¨ì±µ¨ü«H®§¦Z¤~¯à继续ÉOªA务¾¹³q«H¡C
¡@¡@经过¥H¤Wµ{§Ç¡A©Ò¦³®a®xÊI关©MPDA¤§间传输ªº«H®§将³q过SEED block cipher Algorithm¥[±K¡C°£¥[±K¥~¡A©Ò¦³¥[±K数Õuªþ带IntegrityÈ¥HÚÌ«O数Õuªº§¹¾ã©Ê¡C§Ú们¨Ï¥ÎMD5 hashºâªk计ºâIntegrityÈ¡C
¡@¡@3.2¡@°ò¤_传输状态ªº¨¾¤õ墙
¡@¡@°ò¤_传输状态ªº¨¾¤õ墙¯à够检测¦}±±¨îÊI络传输¡C¥¦¥i¥H«O护®a®xÊI络§K¨ü©Ú绝ªA务¡]Denial of Service¡]DoS¡^¡^ªº§ð击¡A¦P时还¥i¥H©Ú绝©Î±µ¦¬来¦Û¯S©wIP¦a§}©MºÝ¤f号ªº数Õu¡C
¡@¡@§Ú们¨Ï¥Î¦w¥þ状态图ªí[4][5]检测传输¡C°ò¤_这个ì²z¡A§Ú们实现¤F¤@个传输检测¤ÞÀº¡C这个¤ÞÀº¥Ñ¤@个传输状态«H®§¦¬¶°¾¹©M¦w¥þµ¦²¤ºÞ²z¾¹ÌÛ¦¨¡C
¡@¡@传输状态«H®§¦¬¶°¾¹¥H状态单¤¸¡]State Unit¡^ªº§Î¦¡¦¬¶°³q«H«H®§¦}¨Ï¥Î统计¤èªk对¨ä进¦æ¤ÀªR¡C状态单¤¸¥]¬A传输¼Ò¦¡©M¬Û应ªº统计«H®§¡C¦w¥þµ¦²¤ºÞ²z¾¹³q过¨Ï¥Î¦w¥þ状态图ªí«Ø¥ß¦w¥þµ¦²¤¡C¥¦¯à¤Ï¬M©Ò¦³¥X现¦bÊI络¤Wªº³q«H状态¡C¦w¥þ状态图ªí®ÚÕu传输ªº状态转²¾来¬Û应¦a§ï变¦w¥þµ¦²¤¡C过滤规则发¥Í¾¹将·sªº¦w¥þµ¦²¤转换¦¨过滤规则¡C传输±±¨î¾¹¨Ï¥Î该规则±±¨î传输¡C当状态转²¾«H号发¥Í¾¹发°e状态转²¾«H®§给状态ªí时¡A¥Nªí传输状态ªºS1状态将检测¦Û¨状况¡A¬Ý¬O§_¯à±µ¨ü状态转²¾«H号¡C这个¤ÞÀº¯à¦³®Ä进¦æÊI络¦w¥þºÞ²z¥H应对¨³³t变¤Æªº传输状况¡CºÞ²z员¥i¥H«O¦s¦}³q过图§Î¬É±¤ÀªR传输«H®§©M¦w¥þµ¦²¤¤é§Ó¡C°ò¤_传输状态ªº¨¾¤õ墙®ÚÕu®a®xÊI关¤¤ªºIP¦a§}¦Cªí来±±¨î数Õu传输¦}¯à©Ú绝©Î¤¹许来¦Û¥Î户«ü©wªº¯S©wIP¦a§}©MºÝ¤fªº«H®§¥]¡C
¡@¡@3.3¡@无线§½°ìÊI¦w¥þªA务
¡@¡@无线§½°ìÊI¦w¥þªA务[6]¨ã备¤J«I检测[7]©M访问±±¨îªº¯à¤O¡C¤J«I检测¨t统¥]¬A¥N²z·j¶°©M¤J«I检测ªA务¾¹¡C¥N²z·j¶°监¹î©M¦¬¶°±µ¤J点«H®§¥H¤Î³q过无线ÊI络传°e数Õuªº²¾动¯¸点¡C¦¬¶°¨ìªº数Õu传°e给检测¤ÞÀº¦}³Q转换¦¨审计数Õuªº®æ¦¡¡C
¡@¡@§Ú们¨Ï¥Î802.11ºÞ²z数Õu帧来监±±无线ÊI络[8]¡CMAC数Õu帧¦¬¶°¾¹负责¦¬¶°ºÞ²z帧¡AµM¦Z«H®§´£¨ú¾¹负责´£¨ú状态«H®§©M统计«H®§¡C状态«H®§¥Î来ªí¥Ü¯¸点©M±µ¤J点ªº状态¡C统计«H®§¥Nªí¨C¤@个«H¹Dªº§]¦R¶q©M误码²v¡A¥H¤Î¤£¦P类«¬帧ªº数¥Ø©M传输«H®§µ¥¡CµM¦Z审计数Õu发¥Í¾¹¨Ï¥Î审计数Õu®æ¦¡««Ø这¨Ç数Õu¡C审计数Õu¥]¬A7个¦r¬q¡C¥¦们¬OMAC¦a§}¡B当«e状态¡B请¨D计数¡B¤ÀÖÃ计数¡B«D鉴©w计数¡B当«e§Ç¦C号¡B§Ç¦C号门µ¥µ¥¡C±´测¤ÞÀº³q过°ß¤@¨¥÷¡]Organizationally Unique Identifiers¡]OUI¡^¡^¦Cªí¤Ç°t¼Ò块©M§Ç¦C号¤ÀªR¼Ò块来检测¤J«I¡C
¦b¤J«IªÌ§ð击无线§½°ìÊI¤§«e¡A¥L们»Ýn伪³yMAC¦a§}¡CIEEE¤w经¤À°t6 278个«e缀给µw¥ó¥Í产°Ó¥Î¤_«ü©wÊI¥dªºMAC¦a§}¡C³q过¤ñ较OUIs©M¤À°t¦Cªí¡A§Ú们¯à够检测¨ì³q过伪³y随ÉóªºMAC¦a§}«e缀进¦æ¤J«Iªº§ð击ªÌ¡CIEEE±À¯ò¤F¤@Ïú³q过¨Ï¥Î数Õu帧±Æ§Ç来®e纳¸H¤ù¦a§}ªº¤èªk¡C§Ç¦C±±¨î¦r¬q¤¤4 bits¥Î¤_¸H¤ù¦a§}¡A¦Ó12 bit¥Î¤_§Ç¦C号¡C§Ç¦C号¦r¬q¬O¤@个§Ç¦C计数¾¹¡A¨C产¥Í¤@个«D¸H¤ù数Õu帧¡A§Ç¦C计数¾¹´N会¥[¤@¡C¥¦从0开©l¡A«ö4 096¨ú¼Ò¡C°£«D数Õu帧¬O¤@个¤j数Õu¥]ªº¸H¤ù¡A§_则¸H¤ù计数总¬O0¡C¶Â«È¦b¯}¸Ñ802.11数Õu帧ªº时Ô¦}没¦³办ªk将这个参数设¸m¦¨¥ô·NÈ¡C当¼Ò块±µ¦¬¨ì²Ä¤@个ºÞ²z数Õu帧时¡A¥¦´£¨ú§Ç¦C号¦}§@为临时变¶q«O¦s¡CµM¦Z¼Ò块±µ¦¬²Ä¤G帧时¡A会ÉO²Ä¤@帧ªº§Ç¦C号°µ¤ñ较¡C¦pªG²Ä¤G帧ªº§Ç¦C号¤£¤j¤_²Ä¤@帧ªº§Ç¦C号¡A¥¦将认为这¬O§ð击¡CºÞ²z员¯à监测¨C个¯¸点©M±µ¤J点ªº状态¡C¥¦¯àª`册«H¥ôªº±µ¤J点¦}¨Ï¥ÎMAC¦a§}过滤¾¹来ºÞ²z¨º¨Ç®a®x¨Ï¥Î无线§½°ìÊI资·½ªº¯¸点¡C
¡@¡@3.4¡@¥Î户ºÞ²zªA务
¡@¡@¥Î户ºÞ²zªA务¦V¥Î户´£¨Ñ认证©M±Â权¡C§Ú们¨Ï¥Î°ò¤_¥H¨¤¦â为访问±±¨î¼Ò«¬[9]¡]RBAC¡^来实现¡ARBAC¼Ò«¬³q过¤À°t¨¤¦â给访问权©M¥Î户来简¤Æ±Â权ºÞ²z¡F¤£¬O®ÚÕu¥Î户来ÚÌ©w访问权¡A¥Î户©M许¥i³£³Q赋¤©¤@个¨¤¦â¡A¥Î户ªº许¥i权¬J¬O³Q赋¤©ªº¨¤¦âªº许¥i权¡C¨C个®a®xÊI络¥Î户³£会¤À°t¤@个¨¤¦â¡A¨Ò¦p¥Î¤÷亲来¥NªíºÞ²z员¡A«Ä¤l¥H¤Î访«È¡CºÞ²z员¯à够¦V访«È©Î«Ä¤l¤À°t±±¨î®a®x设¬I©MÊI络资·½ªº权¡C¨C个§Æ±æ从¥~³¡访问®a®xÊI络ªº¥Î户¥²须¦³ID©M¤f¥O¡CºÞ²z员³q过¨Ï¥Î综¦XºÞ²z¬É±来¦V¨C个¥Î户¤À°t¨Ï¥Î®a®x设¬Iªº权¡C
4¡B实验
¡@ §Ú们¦bRedhad Linux 9.0¤W实现¤F®a®xÊI络¦w¥þºÞ²zÌÛ¬[¡C这个®Ø¬[¨Ï¥Î¤FJava Embedded Server¡]JES¡^[10]2.0¡AJES¬O°ò¤_OSGiªº¡C§Ú们¨Ï¥ÎMicrosoft embedded Visual C++ 3.0实现PDA«È户Éóµ{§Ç¥Î¤_设¸m¦w¥þ«H¹D¦}±±¨î®a®x设备¡C°ò¤_传输ªº¨¾¤õ墙ÉOIP¦Cªí¬Û连来±±¨îÊI络³q«H¡CºÞ²z员¯à¦w装¦}运¦æ¥H¤W这¨Ç¦w¥þªA务¡C
¡@¡@®a®xÊI络¨Ï¥Îªº¾ã个状态图¡GºÞ²z©M±±¨î¥Î户©M设备
5¡B结论
¡@¡@¦b¥»¤å¤¤¡A§Ú们设计©M¨Ï¥Î¤F®a®xÊI络¦w¥þºÞ²z®Ø¬[¡C©Ò¨Ï¥Îªº¦w¥þÉó¨î¬O¡B°ò¤_OSGiªA务®Ø¬[¡C这个®Ø¬[ªº¤¤¤ß¬O综¦X¦³线©M无线¦w¥þÉó¨î来«O护®a®xÊI络§K¨ü¦³线©Î无线ªº§ð击¡C为达¨ì这个¥Øªº¡A§Ú们设计¤F¤@个·sªºªA务协议来¦w¥þ±±¨î®a®x设备¡B°ò¤_传输ªº¨¾¤õ墙¡B无线§½°ìÊI¦w¥þ¡BºÞ²zªA务µ¥µ¥¦}¨Ï¤§综¦X¦¨¤@个¸Ñ决¤è®×¡C
¹ê¥Î¬ÛÃö·j´M: ua lg it ati
³]¬°º¶
| 
¥[¤J¦¬ÂÃ
| ÁcÅ餤¤å
