安全运行阶段如图3(b)[7]所示,主要工作包括当初始化阶段通过身份验证及设备权限设置完成以后,进入安全运行阶段。安全阶段的任务是防止黑客的重放攻击,双方进行会话密钥的协商,协商完成后进行通信和服务调用。
2.2 IGRS设备间互连安全机制
IGRS设备间的互连较UPnP复杂,IGRS设备间的安全互连过程如图4所示。
在互连的IGRS设备之间,通过组播宣告其在网络中的存在后,比较双方都支持的安全机制算法,根据需要选择其一作为双方交互的安全机制。在安全机制选择中,IGRS支持四种安全机制[8]。IGRS设备1和2的安全身份认证为双向挑战/应答过程,需交互的IGRS设备1和2在完成前期相关步骤成功后,相互发送管道创建成功的确认消息;管道成功创建以后,建立IGRS用户与服务间的会话关系。?
3 IGRS与UPnP之间存在的互连安全问题分析
传统的IGRS设备与UPnP设备在非安全管道上基础互连,未采用任何安全机制,存在严重的安全隐患。其中存在的安全问题如表1所示。
表1 非安全通道互连安全问题
存在问题问题描述解决方法
设备冒充无认证,身份冒充加入身份认证机制
消息窃听攻击者窃听互连中通信消息对通信消息进行加密
消息完整攻击者对通信消息进行窜改采用数字签名机制
拒绝服务网络中设备无法正常工作多次身份认证失败后?对设备请求不再响应
重放攻击者实施重放攻击对网络中的通信消息的序列号更新
1)安全互连的可行性分析 IGRS与UPnP有互操作的基础,可以在非安全管道上进行互操作。同样,改造相关的通信消息模板并对相应的消息和服务调用消息进行扩展,可以实现安全互操作。
2)安全互连的原则 IGRS和UPnP设备有各自的标准和接口,遵循它们各自的功能和属性的基础,对接口进行扩展,避免相同标准下的设备经过扩展和改造以后不能相互识别及访问的问题。
3)安全互连的切入点 根据两个标准的不同定义,找出定义部分的灵活性接口,最大限度地在不改变标准的前提下实现互连的高安全。
4)安全互连的目标 目前IGRS与UPnP互连只是通过非安全管道对一些服务描述和消息进行简单改写,安全程度很低,达不到安全保密性要求。
在普通互连的基础上,本文从以下几个方面考虑,提出了UPnP与IGRS的互连安全机制。这几个方面的安全要求是最基本的,却又正是普通互连所缺少的。
a)认证(authentication)。对持有某个标志的用户或设备进行身份鉴别,以确认持有某个标志的用户的真实性。非安全管道中虽然存在设备标志,但是作用仅仅局限于区别不同类型的设备,没有对设备的身份进行认证。
b)消息完整性(integrity)。对互连过程中的消息的完整性进行检查。一般使用消息认证码(MAC)或者安全散列函数加数字签名完成。非安全管道的连接中,没有对消息进行完整性验证,可能会收到窜改过后的消息。
c)防止重放攻击(freshness)。无线环境中的消息很容易被窃听,即使是有线网络中也同样存在相似的问题。因此,需要防止用户登录消息、调用服务消息的泄露、防止重放攻击。在网络中的IGRS和UPnP设备对于消息的序列号没有更新机制,很容易被黑客利用普通的重放攻击漏洞。
d)访问控制(authorization)。设备根据管理员的需要建立访问控制列表,有对用户访问设备的行为进行访问控制的能力。普通互连没有此种能力对用户或者设备访问权限进行?控制。
e)保密性(secrecy)。消息的内容不应以明文的形式在网络中传输才能有效防止他人的窃听。具有安全特性的设备应该具有对消息内容进行加密和解密的能力。非安全管道只是简单的互连,消息的安全加密更加无从谈起。
针对以上五个严重的安全问题,普通的非安全管道显得无能为力,无法满足人们对于安全性的要求。对于以上几个问题,应该研究新的机制来改进和提高互连的安全性。
4 IGRS与UPnP之间互连的安全机制
在此互连互通的安全机制实现方案中,保留IGRS设备间的安全互连方式,遵循UPnP的安全控制台和UPnP设备间的UPnP论坛定义的相关安全准则,在这些基础上建立有效的安全互连机制。这样做的好处是保持了IGRS和UPnP设备各自的安全标准和接口,不会因为与不同标准设备间的互连而导致不同于各自内部标准的接口和安全策略的设备出现,而导致新的互连问题的产生。此过程中尽量保持设备各自标准的独立性,其安全互连过程如图5所示。
图5中,UPnP设备运行安全控制台实现UPnP设备的安全属性并且运行相应的消息转换机制在网络上虚拟成一个IGRS设备。其中,实线表示的是IGRS消息,长线加点表示的是UPnP转换成IGRS的消息,虚线表示UPnP安全控制台与UPnP设备之间的消息。图5中,虚拟设备是UPnP相关设备(包括安全控制台)的扩展,它监听网络上的IGRS消息并将这些消息转换为UPnP消息,其自身在网络中发送的UPnP消息也转换为IGRS消息发布到网络中,这样网络中的IGRS设备就会发现这些运行在UPnP设备上的虚拟IGRS设备。?
下面是一些重要的安全相关的服务调用[3,5]:
a)GetLifeTimeSequenceBase,得到不重复的随机序列号。
b)GetAlgorithmsAndProtocols,得到设备支持的算法和协议。
c)SetSessionKeys,设置会话密钥。
d)DecryptAndExecute,执行加密的命令(返回加密的结果)。
安全互连过程如下:
a)发现和连接。IGRS设备和虚拟IGRS设备在网络上宣告自己与发现对方,然后进行TCP连接,准备进入管道创建?阶段。
b)管道的创建。IGRS设备发送管道连接请求,虚拟IGRS设备接收到此消息,转换为内部UPnP消息,内部安全控制台调用getPublicKey()取得公钥,再将消息封装成IGRS格式以发送IGRS管道创建响应消息。在双方约定的安全算法选择过程中,此方案采用RSA公钥算法。接下来是双方的身份验证、消息加密以及消息鉴别的过程。此过程中,为了防止重放攻击,IGRS设备随机数产生函数,而虚拟UPnP设备则通过安全控制台来调用安全服务getLifteTimeSequenceBase(),按照IGRS管道身份认证的方法进行安全身份认证挑战。当验证成功后,可以发现设备上提供的服务,但是暂时不能够调用。在这个过程中,黑客可能会使用拒绝服务攻击,可以采用带流量检测的包过滤或者是XML防火墙[9]。如果多次在较短的间隔内收到来自同一个设备请求并且在这段时间内反复认证失败,则认为是拒绝服务攻击,在较长的一段时间内不再响应该设备的任何请求。
c)会话的创建。IGRS设备发送创建会话请求给虚拟IGRS设备,接收到消息后虚拟IGRS设备调用相关的安全服务getLifeTimeSequenceBase()和setSessionKeys(),获取安全会话密钥附在响应消息中发送给IGRS设备。会话创建成功后,进入会话阶段。
d)安全会话。此阶段中,虚拟IGRS设备执行对于服务调用中的会话加密消息进行decrypeAndExecute(),同样,IGRS设备也对接收的虚拟IGRS设备消息进行响应,完成相应的功能调用。
e)会话的结束。服务调用结束,双方协商会话结束。此时虚拟IGRS设备通过安全控制台执行会话密钥过期的服务调用,注销过期的密钥,结束双方会话。
f)结束。设备之间管道断开、设备离线等。
互连过程安全性分析如下:
a)TCP连接和发现,发现网络中的互连设备。在网络中的设备只能够被发现,并不能够调用设备上的服务。客户和设备必须经过后续相互认证过程才能够互连,并设计严密的安全步骤,保证无法绕过身份认证。
b)管道创建。在创建过程中,两端都采用公钥算法对各自的身份进行挑战和认证。此过程都有随机数产生,有效防止黑客的重放攻击;同时也有效地解决了表1中提到的设备冒充问题;设备间的消息进行加密,阻止不速之客窃听。
c)会话创建和会话。在会话的创建过程中,调用getLifeTimeSequenceBase()服务,防止再次可能的重放攻击;同时设置安全会话密钥,对会话内容进行调用,对服务的调用消息进行加密、解密和执行。中间过程只能得到加密过的消息,没有密码无法解密。在安全互连描述中,对频繁进行请求并认证失败的设备不予响应,可以有效防止拒绝服务的?攻击。
d)结束工作。调用expiredSessionKeys()函数删除原有的密钥等一些结尾工作,使得密钥过期,不能够在新的会话中再次使用原来的密钥,进一步增强了密钥的安全性。
5 结束语
在前人关注IGRS和UPnP设备简单非安全互连的基础上,本文依照IGRS和UPnP的安全工作原理,参考开源的UPnP库对UPnP进行改进,实现IGRS与UPnP的安全互连。原来非安全的互连上存在的设备冒充、重放攻击,互联网络中的设备、用户受到网络干扰等问题,在此方案中得到了十分有效的解决。在泛在设备的互连技术项目中,在已经实现了IGRS与UPnP互通协议栈的基础上进行了安全扩展,实现了预期的认证、完整性、防止重放、访问控制和保密五大目标。
本系统也存在需要改进的地方,如公钥的文护和更新问题;再者,由于IGRS和UPnP都存在组播特性,网络上的其他计算机可以“听到”,并发现网络中无安全特性的设备,如果这个设备被其他安全设备所信任,那么黑客有可能利用此设备作为跳板来实现对其他设备和服务的攻击。?
参考文献:
[1]
闪联工作组.闪联应用白皮书[R].北京:闪联工作组,2003.
[2]UPnP Forum.UPnP device architecture 1.0[EB/OL].(2008-10-15)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
[3]UPnP Forum.Security console:1 service template[EB/OL].(2003-11)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
[4]UPnP Forum.Device security:1 service template[EB/OL].(2003-11)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
[5]中华人民共和国信息产业部.SJ/T 11310-2005,信息设备资源共享协同服务第一部分:基础协议[S].北京:闪联工作组,2005.
[6]UPnP Forum.UPnP security ceremonies design document v1.0[EB/OL].(2003-10)[2009-11-10].http://www.UPnP.org/resources/documents.asp.
[7]周雪凤.数字家庭UPnP标准安全研究[J].科技情况开发与经济,2007,17(25):1-2.
[8]廖国威,杨军,邓中亮.IGRS基础协议中的安全机制[J].计算机安全,2006(3):1-3.
[9] 王佳慧,贺墚.UPnP中的DoS攻击防御方案[J].计算机系统应用,2008(8):1-4.