數(shù)字家庭網(wǎng)絡(luò)安全技術(shù)的研究

葉小艷

摘要:通過分析家庭網(wǎng)絡(luò)安全問題,提出維護(hù)家庭網(wǎng)絡(luò)安全的幾種相關(guān)技術(shù)。

關(guān)鍵詞:家庭網(wǎng)絡(luò);信息家電;家庭網(wǎng)絡(luò)安全

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)22-pppp-0c

隨著數(shù)字家電的普及,數(shù)字家庭網(wǎng)絡(luò)技術(shù)市場前景越來越廣闊?；ヂ?lián)網(wǎng)使我們的生活變得豐富多彩,也帶來了很大的方便,但是在我們充分享受網(wǎng)絡(luò)所帶來的快樂時(shí),也面臨著越來越多的安全隱患。

1 數(shù)字家庭網(wǎng)絡(luò)的概念

家庭網(wǎng)絡(luò)(Home Network)是近年來隨著Internet的普及和通信技術(shù)的發(fā)展出現(xiàn)的一個(gè)新概念,它是計(jì)算機(jī)、家電、通信等多種技術(shù)相結(jié)合的產(chǎn)物,數(shù)字家庭網(wǎng)絡(luò)(Digital Home Network)是指通過家庭網(wǎng)關(guān)將公共網(wǎng)絡(luò)功能和應(yīng)用延伸到家庭,并以有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)連接各種信息終端(如家電、PC等),提供語音、數(shù)據(jù)、多媒體、控制和管理等功能,達(dá)到信息在家庭內(nèi)部終端之間及其與外部公網(wǎng)的充分流通和共享。

信息家電(Information Appliance ) 是計(jì)算機(jī)、通信和消費(fèi)類電子產(chǎn)品三者融合的產(chǎn)物。其實(shí)質(zhì)是將數(shù)字技術(shù)和網(wǎng)絡(luò)技術(shù)引入家用電器領(lǐng)域, 用以接收、 發(fā)布、處理信息, 使之成為網(wǎng)絡(luò)終端, 甚至成為信息處理終端。也可以簡單地說凡是能上網(wǎng)的設(shè)備都可以叫信息家電。

用戶通過數(shù)字家庭網(wǎng)絡(luò)可以享受以下服務(wù):上網(wǎng)、IP電話、VOD點(diǎn)播、基于ASP的海量存儲(chǔ)和個(gè)性化的信息服務(wù)、互動(dòng)的娛樂游戲、遠(yuǎn)程網(wǎng)絡(luò)上的家庭控制和安全服務(wù)管理等。

2 家庭網(wǎng)絡(luò)安全的問題

網(wǎng)絡(luò)發(fā)展給人帶來巨大便利的同時(shí),其安全問題也日益嚴(yán)重。當(dāng)前網(wǎng)絡(luò)安全面臨的主要威脅有:內(nèi)部截取和破壞、截收、非法訪問、破壞信息的完整性、冒充、植入、Dos(Denial Of Service)攻擊、 郵件入侵和病毒等[1]。

當(dāng)用戶室外操作家里的信息家電時(shí),他所發(fā)出的命令必須保證連接到自家的信息家電,并且能夠正確操作,而不是錯(cuò)誤地控制了別的設(shè)備或別家的信息家電。信息家電的安全越來越受到人們關(guān)注,如何解決好這些安全問題,給用戶提供一個(gè)安全、可靠和穩(wěn)定的家庭網(wǎng)絡(luò)環(huán)境。如何保證信息家電在網(wǎng)絡(luò)通信中的機(jī)密性、完整性和訪問控制,甚至為家庭網(wǎng)絡(luò)環(huán)境提供隱私保保護(hù)?

3 如何維護(hù)家庭網(wǎng)絡(luò)的安全

家庭網(wǎng)絡(luò)需要通過家庭網(wǎng)關(guān)來實(shí)現(xiàn)安全管理,主要包括外網(wǎng)安全管理和內(nèi)網(wǎng)安全控制。外網(wǎng)安全管理主要管理來自于外網(wǎng)的訪問,避免外網(wǎng)攻擊,實(shí)現(xiàn)策略包括訪問者身份驗(yàn)證、訪問者授權(quán)等。采用的身份驗(yàn)證技術(shù)有用戶名/口令源I P地址檢查、電話號(hào)碼確認(rèn)、CA證書等。內(nèi)網(wǎng)安全控制主要判斷網(wǎng)絡(luò)家電的接入和訪問是否安全。采用無線網(wǎng)絡(luò)接入的網(wǎng)絡(luò)家電對(duì)接入安全要求較高。所以,采用必要的無線接入安全認(rèn)證是解決家庭網(wǎng)絡(luò)內(nèi)網(wǎng)安全控制的一種方法。

1) 家庭網(wǎng)絡(luò)安全的相關(guān)技術(shù)

家庭網(wǎng)絡(luò)由以下兩大部分組成:一是家庭網(wǎng)關(guān)。這是整個(gè)家庭網(wǎng)絡(luò)與外部網(wǎng)絡(luò)發(fā)生聯(lián)系的橋梁,也是數(shù)字家庭各種業(yè)務(wù)和應(yīng)用的關(guān)鍵。如圖1所示,它可以從不同的外部網(wǎng)絡(luò)接收通信信號(hào),通過家庭網(wǎng)絡(luò)傳遞信號(hào)給某個(gè)設(shè)備。二是各種信息終端設(shè)備和智能家電設(shè)備。在一個(gè)家庭網(wǎng)絡(luò)中,各類終端互聯(lián)并與家庭網(wǎng)關(guān)相連,通過家庭內(nèi)部的有線或無線網(wǎng)絡(luò),實(shí)現(xiàn)家庭網(wǎng)絡(luò)各信息終端設(shè)備和智能家電設(shè)備的自組織聯(lián)網(wǎng)并提供自動(dòng)發(fā)現(xiàn)和配置功能。

作為家庭設(shè)備連接寬帶網(wǎng)絡(luò)的關(guān)口,家庭網(wǎng)關(guān)承擔(dān)著保護(hù)家庭網(wǎng)絡(luò)安全的重大責(zé)任,因此,網(wǎng)關(guān)必須具備防攻擊、防入侵的能力。通過家庭網(wǎng)關(guān)可為家庭網(wǎng)絡(luò)提供一個(gè)全面的網(wǎng)絡(luò)安全解決方案,包括用戶驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)等。

家庭網(wǎng)絡(luò)所涉及到的安全主要有以下幾個(gè)方面。首先是實(shí)現(xiàn)整個(gè)家庭網(wǎng)絡(luò)的安全機(jī)制,家庭網(wǎng)絡(luò)采用統(tǒng)一的家庭網(wǎng)關(guān)設(shè)備接入外部網(wǎng)絡(luò),需要在家庭網(wǎng)關(guān)上實(shí)現(xiàn)防火墻一類的安全機(jī)制,保證家庭網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息隔離,保護(hù)家庭的隱私性;其次是安全認(rèn)證方面,需要有一定的安全認(rèn)證機(jī)制,拒絕未經(jīng)授權(quán)的設(shè)備接入;最后是家庭中數(shù)字媒體內(nèi)容的安全機(jī)制,可以采用主動(dòng)的加密安全機(jī)制,也可以采用被動(dòng)的數(shù)字水印安全技術(shù),目的是實(shí)現(xiàn)家庭媒體內(nèi)容的安全保護(hù)和版權(quán)機(jī)制。通過家庭網(wǎng)關(guān)可為家庭網(wǎng)絡(luò)提供一個(gè)全面的網(wǎng)絡(luò)安全解決方案,包括用戶驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)等。家庭網(wǎng)關(guān)所采用的安全技術(shù)包括:

多SSID和VLAN技術(shù):為了適應(yīng)市場的需求,Netgear商用無線AP目前已經(jīng)全面支持無線網(wǎng)VLAN功能,無線網(wǎng)VLAN功能使得無線用戶在漫游到無線網(wǎng)絡(luò)的不同區(qū)域后,仍然能夠保持自己原有的VLAN信息,維護(hù)自己在網(wǎng)絡(luò)中的相應(yīng)權(quán)限。無線家庭網(wǎng)關(guān)可以通過802.11X進(jìn)行家庭內(nèi)部組網(wǎng),家庭網(wǎng)關(guān)支持多SSID可以實(shí)現(xiàn)虛擬AP功能。不同的SSID可以采用不同的認(rèn)證方式及訪問權(quán)限,也可映射為不同的VLAN,實(shí)現(xiàn)公共熱點(diǎn)與家庭內(nèi)部網(wǎng)之間的網(wǎng)絡(luò)隔離。

NAT:將私有地址轉(zhuǎn)換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng)上,同時(shí)從因特網(wǎng)上接收數(shù)據(jù)包時(shí),將公用地址轉(zhuǎn)換為私有地址。

802.1X認(rèn)證:802.1X基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問家庭網(wǎng)絡(luò)。認(rèn)證可以實(shí)現(xiàn)雙向認(rèn)證,動(dòng)態(tài)密鑰管理等安全特性。IEEE802.1X為每個(gè)端口(物理端口/邏輯端口)都定義了一個(gè)受控子端口和一個(gè)非受控子端口。非受控子端口主要用于認(rèn)證消息包,而受控子端口在認(rèn)證成功之前是關(guān)閉的,只有在認(rèn)證成功之后才完全打開,用戶從而可以進(jìn)行正常的通信。802.1X解決的是用戶與網(wǎng)絡(luò)之間的鑒別機(jī)制問題,另外802.1X還定義了一套動(dòng)態(tài)密鑰協(xié)商管理機(jī)制,支持無線口組播和單播密鑰的動(dòng)態(tài)協(xié)商。

WEP和WAP:WEP是802.11標(biāo)準(zhǔn)、定義了鏈路級(jí)安全機(jī)制,支持共享密鑰方式鑒權(quán)和MAC層數(shù)據(jù)加密,密匙長度為40位或104位,使用RC4對(duì)稱流加密算法。WEP安全性非常脆弱,其密鑰容易破譯。容易實(shí)施各種攻擊如DoS、重放等。WAP V1.0采用802.1x認(rèn)證或共享密鑰認(rèn)證.在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基礎(chǔ)上增加了一些新的輔助算法函數(shù),以支持對(duì)MSDU的加密,分片,數(shù)據(jù)源的驗(yàn)證及防重播保護(hù)等功能。

AAA認(rèn)證:部分高端型號(hào)家庭網(wǎng)關(guān)具有認(rèn)證點(diǎn)的功能,家庭網(wǎng)絡(luò)是擴(kuò)展的網(wǎng)絡(luò),應(yīng)用AAA認(rèn)證,可以對(duì)接入家庭內(nèi)部網(wǎng)絡(luò)的用戶進(jìn)行驗(yàn)證、授權(quán)及記賬功能。

CA技術(shù):CA技術(shù)是安全認(rèn)證技術(shù)的一種,它基于公開密鑰體系通過安全證書來實(shí)現(xiàn)。安全證書采用國際標(biāo)準(zhǔn)的X.509證書格式,主要包括證書的版本號(hào)、發(fā)證CA的身份信息、持證用戶的身份信息、持證用戶的公鑰,證書的有效期以及其他一些附加信息。證書由發(fā)證CA數(shù)字簽名,保證了證書不可偽造并目不能被更改。安全證書的操作采取離線分發(fā)、本地驗(yàn)證的方式。

包過濾技術(shù):IP報(bào)文的IP報(bào)頭及所承載的上層協(xié)議(如TCP)報(bào)頭的每個(gè)域包含了可以由路由器進(jìn)行處理的信息。家庭網(wǎng)關(guān)提供了基于接口的包過濾,即可以在寬帶上行口的進(jìn)出兩個(gè)方向上對(duì)報(bào)文進(jìn)行過濾。同時(shí)還提供了基于時(shí)間段的包過濾,可以規(guī)定過濾而其余時(shí)間則禁止FTP連接。

VPN技術(shù):虛擬私有網(wǎng)(Virtual Private Network)簡稱為VPN,是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。主要分為Access VPN和Intranet VPN。遠(yuǎn)程用戶可以通過Access VPN接入家庭網(wǎng)關(guān),實(shí)現(xiàn)對(duì)家庭網(wǎng)絡(luò)的安全遠(yuǎn)程訪問和控制。家庭網(wǎng)關(guān)可通過Intranet VPN接入公司的VPN網(wǎng)關(guān)。實(shí)Intranet。

ASPF技術(shù):ASPF是一種高級(jí)通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接,每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。家庭網(wǎng)關(guān)提供基于報(bào)文內(nèi)容的訪問控制,ASPF能夠?qū)?yīng)用層的一部分攻擊加以檢測和防范,包括對(duì)于SMTP命令的檢測、SYN Flooding、Packet Injection的檢測。

IDS技術(shù):入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測系統(tǒng)全稱為Intrusion Detective System,它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象,入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門。

2) 家庭網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)

信息家電安全技術(shù)具有基本的身份驗(yàn)證和權(quán)限檢查,利用訪問控制來實(shí)現(xiàn)。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

與此同時(shí),對(duì)家庭網(wǎng)關(guān)的日志記錄和動(dòng)態(tài)的審計(jì)跟蹤功能,可以為用戶分析家庭網(wǎng)絡(luò)安全、智能檢測和報(bào)警提示提供了強(qiáng)有力的安全保障。

當(dāng)然,目前并沒有比較完全的家庭網(wǎng)絡(luò)安全機(jī)制,還有待更深入的研究。

參考文獻(xiàn):

[1] 常曉波,楊劍峰.安全體系結(jié)構(gòu)的設(shè)計(jì)、部署與操作[M].北京:清華大學(xué)出版社,2003.

[2] 徐海,楊士元.家庭網(wǎng)絡(luò)的網(wǎng)絡(luò)通信研究[J].計(jì)算機(jī)應(yīng)用研究,2004(7).

[3] (美)潘可(PanKo,R.R.).數(shù)據(jù)網(wǎng)絡(luò)與通信[M].5版.北京:清華大學(xué)出版社,2006.

[4] 數(shù)字家庭網(wǎng)絡(luò)發(fā)展分析[EB/OL].(2007-10-17)[2009-5-20].http://www.eepw.com.cn/article/69516.htm.