安全路由器及基于安全路由器的物联网安全联网方法
技术领域
本发明属于路由器技术领域,尤其是涉及一种安全路由器及基于安全路由器的物联网安全联网方法。
背景技术
随着物联网产业的兴起及飞速发展,物联网络中会接入各种类型的设备。这意味着物联网对现实世界会有更强的数据采集能力和控制能力。越来越强大的数据采集能力和控制能力,使其对现实生活的影响程度也是与日俱增的。所以物联网在飞速发展的同时,物联网的安全问题也逐渐被人们重视起来。目前业内对物联网安全的解决策略主要有三点:应用层由安全服务解决认证授权、数据保护等;网络层在服务端和终端之间建立安全的连接;感知层的终端有可靠安全的运行环境。
感知层终端身份的正确识别是物联网安全策略能成功执行的重要前提。
物联网的基本架构所包括的三个逻辑层,即感知层、网络传输层、处理应用层。其中传输层就是我们传统的网络,包括互联网和移动网络,而移动网络的最终连接形式还是通过互联网,因此传输层是以互联网为核心的通信网络。处理应用层实际是数据处理中心,当数据量很大时,能够支撑大数据处理的一般是云计算平台,因此物联网的处理应用层一般指云平台。物联网的网络传输层和处理应用层都属于传统信息系统中的组成部分,因此目前传统的信息安全保护技术基本可以使用。而物联网的感知层才是区别传统信息系统与物联网系统的根本要素,也是将虚拟世界与现实物理世界相结合的关键部分。
在物联网安全问题上,感知层的安全问题是整个物联网系统安全的技术瓶颈。对于物联网的感知层,当感知节点的处理能力接近传统的信息系统时,如智能移动终端,则可以使用传统的信息安全保护技术,包括操作系统安全技术、入侵检测技术、访问控制技术等。但对网络摄像机、普通的传感器以及RFID等设备,目前还缺乏合适的信息安全保护机制。虽然密码学家们已经设计出轻量级密码算法了,但实际使用时不仅仅是一个算法的问题,还需要管理密钥(密钥的建立、密钥的更新)、身份鉴别(确定通信的对方身份是真实的)、数据完整性保护(确保数据没有被修改,特别针对恶意修改的保护)、数据机密性(确保数据内容不被窃听者获取)和数据的新鲜性(用于检测攻击者的数据重放攻击,特别对控制指令数据的重放攻击)等技术。因此,物联网安全技术的挑战,也是目前技术的瓶颈,在物联网系统的“最后一公里”,即从终端感知节点到接入网络的物联网网关节点之间的通信安全问题。如果解决了这个问题,则从整体上解决物联网系统的安全问题,提供了物联网行业应用中对数据端到端的安全保护。
在现有的技术条件下,智能终端的身份识别的方法不是非常的安全可靠;而且,现有的终端设备识别方案主要以交换机和解析服务组成实现,成本高、设备体积和功耗大,不适合低成本和小体积低功耗的应用需求。
另外,虽然现有的一些网络系统中对接入设备可以采用可信认证的方法实现设备身份识别,但其实现相对复杂,对于终端无UI界面、无WEB等管理的产品来说部署和应用都过于复杂或难以实现。
发明内容
本发明的目的是针对上述问题,提供一种安全路由器;
本发明的另一目的是针对上述问题,提供一种基于安全路由器的物联网安全联网方法。
为达到上述目的,本发明采用了下列技术方案:
一种基于安全路由器的物联网安全联网方法,包括以下步骤:
S1.判断终端设备是否为新接入设备,若是,则执行步骤S2,否则执行步骤S3;
S2.采用主动式设备指纹识别方法和/或被动式指纹识别方法对终端设备进行终端指纹识别;
S3.采用被动式设备指纹识别方法对终端设备进行终端指纹识别;
S4.根据指纹识别结果判断所述的终端设备是否可信,若是,则转发终端设备的通信包。
在上述的安全路由器的物联网安全联网方法中,在步骤S2中,若终端设备为静态IP地址,则采用主动式设备指纹识别方法,包括:
S201.通过依次向网络发送多种不同类型的数据包对目标终端设备进行在线探测;
S202.基于白名单和黑名单对目标终端设备执行包括地址比对,端口比对和终端操作系统比对的多次指纹参数信息比对过程。
在上述的安全路由器的物联网安全联网方法中,在步骤S2中,若终端设备为动态IP地址,则采用被动式指纹识别方法,包括:
S211.捕获并解析所述终端设备主动发起的DHCP请求包;
S212.基于所述DHCP请求包获取终端设备包括MAC地址参数信息、Option中厂商参数信息和设备型号参数信息的指纹信息,并将指纹信息与黑名单和白名单进行比对。
在上述的安全路由器的物联网安全联网方法中,若所述终端设备为新接入设备,则步骤S4包括,
若比对完全符合白名单,则执行通信包转发,且若终端设备为动态IP地址,则同时分配IP地址给终端设备;
若指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃;
若端口比对不符合白名单,其他项相符,则执行通信包转发并提示处理;
若指定的一项或多项参数同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应的终端设备的指纹信息加入至白名单中。
在上述的安全路由器的物联网安全联网方法中,在步骤S3中,采用被动式设备指纹识别方法包括:
S31.对通信包进行抓包,解析IP地址、MAC地址及IP地址包头中的TTL值;
S32.解析传输层TCP包中SYN的DF标记位、TCP窗口尺寸、TCP SYN包的大小、TCP扩展选项;
S33.将步骤S31与S32中的解析数据与白名单进行比对。
在上述的安全路由器的物联网安全联网方法中,若所述终端设备为非新接入设备,则步骤S4包括,
若步骤S33中比对完全符合,则转发通信包;
若不符合,则将解析数据与黑名单比对,若解析数据中指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃;
若解析数据中指定的一项或多项参数信息同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应终端设备的指纹信息加入至白名单中。
在上述的安全路由器的物联网安全联网方法中,所述的新接入设备包括首次接入的终端设备、超时后重新接入的终端设备和缺少指纹信息的终端设备。
在上述的安全路由器的物联网安全联网方法中,在步骤S4中,通过以下方式转发通信包:
S41.采用SSL VPN技术加密所述通信包;
S42.采用国密VPN加密隧道将加密后的通信包上传至上级设备。
一种安全路由器,包括基于MIPS架构的网络处理器,所述的网络处理器包括有终端设备安全性判断模块和安全加密模块,所述的终端设备安全性判断模块包括有主动式终端指纹识别模块、被动式终端指纹识别模块和识别处理模块,其中,
主动式终端指纹识别模块,用于对新接入设备进行指纹识别;
被动式指纹识别模块,用于对新接入设备或非新接入设备进行指纹识别;
识别处理模块,用于根据指纹识别结果处理终端设备的通信包;
安全加密模块,用于将通过指纹识别的可信设备的通信包加密转发给上级设备。
在上述的安全路由器中,所述的安全加密模块通过SSL VPN技术加密通信包,并由国密VPN加密隧道将加密后的通信包上传至上级设备。
本发明的优点在于:通过采用基于MIPS架构的网络处理器作为安全路由器的核心处理单元,其具有的硬件引擎加速VPN功能可以更好的实现国密VPN功能,支持SM2/SM3/SM4国密算法,能够接入企业基于各种网络的VPN专用通道,实现数据在安全的隧道中传输,防止数据被非法访问和篡改,提供网络应用更高的安全性;
采用终端接入设备指纹识别机制,在终端首次接入或超时后接入时采用混合式终端指纹识别技术进行相对全面的指纹识别,提高了终端接入设备指纹的正确率;接入成功后为采用被动式指纹识别,提高了通信效率,更好地解决通信安全与通信速率兼顾的问题;
此设备在具有终端接入设备特征自动识别认证、VPN加密传输等较高的安全功能的同时,产品的功耗、体积都得到了很好的控制,大小与身份证相近,非常适合对安全性及功耗小型化要求比较高的终端接入应用场景,如安保场所监控视频网络、环保终端数据采集传输等。
附图说明
图1是本发明对接入的终端设备的指纹识别方法流程图;
图2是本发明主动式终端指纹识别方法流程图;
图3是本发明被动式终端指纹识别方法流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。
下面对本实施例即将用到的技术进行在先介绍:
1、路由器技术:
路由器的作用就是通过相互连接的网络把信息从源地点移动到目标地点。路由器是互联网中的主要节点设备,其通过路由来决定数据的转发。转发策略称为路由选择(routing)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的国际互联网络internet的主体脉络,它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。
飞速发展的网络技术不断推动着路由器性能的提升,并且在实际的应用中让路由器变得越来越智能而且业务能力越来越强。路由器的性能在其历史发展的前期起着主导的作用,随着IP网络和业务的迅猛发展,业务性能在网络中将起到越来越重要的作用。现在,除了不断提升产品性能外,产品业务更加智能、部署运维更加简便等内在因素让路由器的发展进入了一个全新的时期。
2、SSL VPN技术
SSL VPN指采用SSL协议来加密IP数据链路实现远程接入的一种新型VPN技术。
3、隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式,包括数据封装、传输和解包在内的全过程。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由,新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。一旦到达网络终点,数据将被解包并转发到最终目的地。
4、国密技术
国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。SM1为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。SM3消息摘要,该算法已公开,校验结果为256位。SM4无线局域网标准的分组数据算法。对称加密,密钥长度和分组长度均为128位。由于SM1、SM4加解密的分组大小为128bit,故对消息进行加解密时,若消息长度过长,需要进行分组,若消息长度不足,则要进行填充。
5、MIPS架构
MIPS架构(Microprocessor without interlocked piped stagesarchitecture),是一种采取精简指令集(RISC)的处理器架构,1981年出现,由MIPS科技公司开发并授权,广泛被使用在许多电子产品、网络设备、个人娱乐装置与商业装置上。MIPS架构支持64位。
它的基本特点是:1)包含大量的寄存器、指令数和字符;2)可视的管道延时时隙。这些特性使MIPS架构能够提供最高的每平方毫米性能和当今SoC设计中最低的能耗。
6、终端指纹识别技术
终端设备指纹是指可以用于唯一标识出该设备的特征或者独特的设备标识。终端指纹识别技术为通过实现识别出设备类型、操作系统、制造商信息等,从而判断出终端设备信息的技术。
具体地,本实施例的安全路由器包括基于MIPS架构的网络处理器,网络处理器包括有终端设备安全性判断模块和安全加密模块,终端设备安全性判断模块包括有主动式终端指纹识别模块、被动式终端指纹识别模块和识别处理模块,其中,
主动式终端指纹识别模块,用于对新接入设备进行指纹识别;
被动式指纹识别模块,用于对新接入设备或非新接入设备进行指纹识别;
识别处理模块,用于根据指纹识别结果处理终端设备的通信包;
安全加密模块,用于将通过指纹识别的可信设备的通信包加密转发给上级设备。
这里的上级设备可以为上级安全接入网关或其他上级服务器。
这里的新接入设备指首次接入的终端设备、超时后重新接入的终端设备和缺少指纹信息的终端设备。
进一步地,安全加密模块通过SSL VPN技术加密通信包,并由国密VPN加密隧道将加密后的通信包上传至上级设备。
传统路由器普遍采用CPU、CPU+ASIC或ASIC作为处理器的方案,安全性能、功能强大,接口数量多,但功耗大、体积大。
本实施例采用的基于MIPS架构的网络处理器,其具有功能强大的多核处理器,并带有多端口的以太网交换器,以及RGMII、PCIe、USB、SD-XC等众多接口。在网络处理方面,具体网络地址转换技术(NAT)、QOS功能、SAMBA及虚拟专用网络(VPN)硬件加速器,可以满足高速802.11ac、LTE cat4/5、edge、无线热点、VPN、访问控制等应用。另外,本处理器芯片的长宽面积只有1.6平方厘米左右,在功能方面完全能满足迷你型安全加密路由器的需求。
通过采用高性能网络处理器作为安全路由器的核心处理单元,其具有的硬件引擎加速VPN功能可以更好的实现国密VPN功能,支持SM2/SM4/SM3国密算法,能够接入企业基于各种网络的VPN专用通道,实现数据在安全的隧道中传输,防止数据被非法访问和篡改,提供网络应用更高的安全性。
进一步地,基于上述安全路由器的物联网安全联网方法包括:
S1.判断终端设备是否为新接入设备,若是,则执行步骤S2,否则执行步骤S3;
S2.采用主动式设备指纹识别方法和/或被动式指纹识别方法对终端设备进行终端指纹识别;
S3.采用被动式设备指纹识别方法对终端设备进行终端指纹识别;
S4.根据指纹识别结果判断终端设备是否可信,若是,则转发终端设备的通信包。
在步骤S2中,若终端设备为静态IP地址,则先采用主动式设备指纹识别方法,包括:
S201.通过依次向网络发送多种不同类型的数据包对目标终端设备进行在线探测;
S202.基于白名单和黑名单对目标终端设备执行包括地址比对,端口比对和终端操作系统比对的多次指纹参数信息比对过程。
若终端设备为动态IP地址,则采用被动式指纹识别方法,包括:
S211.捕获并解析所述终端设备主动发起的DHCP请求包;
S212.基于所述DHCP请求包获取终端设备MAC地址参数信息、Option中厂商参数信息和设备型号参数信息等指纹信息,并将指纹信息与黑名单和白名单进行比对。
终端设备为新接入设备时,步骤S4包括:
若比对完全符合白名单,则执行通信包转发,且若终端设备为动态IP地址,则同时分配IP地址给终端设备;
若指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃;
若端口比对不符合白名单,其他项相符,则执行通信包转发并提示处理;
若指定的一项或多项参数同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应的终端设备的指纹信息加入至白名单中。
在步骤S3中,采用被动式设备指纹识别方法包括:
S31.对通信包进行抓包,解析IP地址、MAC地址及IP地址包头中的TTL值;
S32.解析传输层TCP包中SYN的DF标记位、TCP窗口尺寸、TCP SYN包的大小、TCP扩展选项;
S33.将步骤S31与S32中的解析数据与白名单进行比对。
若终端设备为非新接入设备,则步骤S4包括,
若步骤S33中比对完全符合,则转发通信包;
若不符合,则将解析数据与黑名单比对,若解析数据中指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃;
若解析数据中指定的一项或多项参数信息同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应终端设备的指纹信息加入至白名单中。
这里的一项或多项参数信息由本领域技术人员根据具体情况确定,这里不进行限定。例如,MAC地址和IP地址是重要的指纹参数,当这两项参数中的任意一项在黑名单中时,则将通信包阻断及丢弃;当只有端口符合黑名单,MAC地址和IP地址等重要参数均在白名单中时,则将通信包转发并提示处理或者根据具体在白名单中的指纹参数将通信包放入隔离区等待上级设备处理。
下面结合具体场景进行实施例说明:
如图1所示,安全路由器对接入的终端设备的指纹识别方法如下:
1.安全路由器首次部署时,通过自动识别人工审核或手动输入的方式先建立终端设备的黑白名单,其中白名单是必需设置的,基本信息可以如表1所示;
2.静态IP地址的终端设备接入网络:
2.1安全路由器先采用主动式设备指纹识别技术(采用ICMP、NMAP等)分别执行在线设备探测、端口扫描、终端设备操作系统识别功能等,从而解析获取终端设备源IP、源MAC、各开放端口、操作系统等信息。许多设备还包含设备类型(型号)、制造商、设备ID号等特征信息。终端设备首次入网识别时,安全路由器记录并存储此信息;
2.2安全路由器对比白名单和之前主动识别到的信息,在已获取信息相符的情况下,安全路由器转发后续终端与上级服务器间的通信信息;
2.3为进一步提高识别的准确性,安全路由器在终端设备与上级服务器开始通信的过程中,采用轻量级被动式设备指纹识别技术进行通信包的捕获解析。如TCP、UDP被动式分析,TTL值分析、HTTP分析、MAC OUI分析等。由于被动式的技术体系在不发送任何数据的情况下就达到识别设备指纹的目的,这样的实现机制可以在对网络不产生任何影响的情况下,收集更加详尽的信息,终端设备首次入网识别时,安全路由器记录并存储此信息;
2.4对于新接入的终端设备或超时后再检测到的终端设备通信包,需做以上混合式终端接入识别,一旦经过以上识别后的通信包(未超时),为兼顾通信转发速率和通信数据的安全,将只采用被动式终端识别方法进行;
2.5安全路由器在整个终端设备识别中,根据设备黑、白名单判断此设备是否可信,白名单的通信包直接转发,黑名单通信包直接做阻断丢弃处理并告警。对于新接入的终端设备或超时后再检测到的终端设备通信包同时又是黑白名单外的设备,暂将其信息放入隔离区,并向上级设备报告此未知终端接入事件。等待上级设备的授权处理,如是不可信、超时或数量达到上限时做丢弃处理;
3.动态IP地址的终端设备接入网络:
3.1动态IP地址的终端设备接入网络,会先主动发起DHCP发现请求,安全路由器识别解析DHCP请求包中源MAC地址、Option中的厂商信息、设备型号等信息。安全路由器根据设备黑、白名单判断此设备是否为接入可信,捕获的信息与白名单信息相符,判断为接入可信。安全路由器分配IP地址给终端设备;
3.2后续路由器执行类似静态IP地址的终端设备接入网络的处理方法,进行轻量级被动式设备指纹识别,并根据设备黑、白名单判断此设备是否可信,白名单的通信包直接转发到目标网络,黑名单通信包直接做阻断丢弃处理并告警等。
表1白名单终端设备基本指纹信息
如图2所示,主动式终端指纹识别流程如下:
1)安全路由器根据白名单终端IP段,默认依次向网络发送四种不同类型的数据包:ping扫描、TCP SYN ping扫描、TCP ACK ping扫描、ICMP timestamp ping扫描,来探测目标终端设备是否在线。若收到其中一个包的回复,则判断目标终端设备开机,使用四种不同类型的数据包可以避免因防火墙或丢包造成判断错误;
2)安全路由器采用libpcap进行回包抓包,解析IP地址和MAC地址等并与白名单进行比对,相符的则记录结果进行下一步识别,如果不符则与黑名单进行比对,并记录比对结果和异常信息本实施例进行后续多参数信息的识别比对,不会因一项参数与白名单相符就执行转发,也不会因一项参数与黑名单适配就执行阻断丢包操作,有效提高识别正确率;
3)安全路由器开始获取终端指纹端口参数,根据检测到终端参数IP地址、MAC地址,采用TCP FIN、Xmas、NULL scanning三种扫描向目标终端设备发送相应检测包;
4)安全路由器采用libpcap进行回包的抓包,如果收到对方RST回复包,则该端口是关闭的,没有收到RST回包,则端口是开放或被屏蔽;
5)安全路由器解析回包的IP地址、MAC地址、端口状态等并与白名单比对是否完全相符,相符的则记录结果并进行下一步识别,如果不符则与黑名单进行比对,记录比对结果和异常信息,然后进行后续多参数识别比对;
6)安全路由器为获取终端UDP端口参数,根据检测到终端参数IP、MAC。采用UDPscanning进行UDP端口扫描,向目标终端设备的UDP端口发送探测包;
7)安全路由器采用libpcap进行回包的抓包,如果收到回复“ICMP portunreachable”就说明该端口是关闭的,如果没有收到回复,那说明UDP端口可能是开放的或屏蔽的;
8)安全路由器解析回包的IP地址、MAC地址、端口状态等并与白名单进行比对是否完全相符,相符的则记录结果进行下一步识别,如果不符则与黑名单进行比对,并记录比对结果和异常信息,然后进行后续参数识别比对;
9)安全路由器采用Nmap,使用TCP/IP协议栈指纹来识别不同的操作系统和设备。根据白名单终端的IP、MAC向目标终端设备发送特定的TCP、UDP、ICMP数据包,抓包解析返回值生成系统指纹,并与指纹样本库进行对比;
10)安全路由器将匹配的系统与对应白名单终端操作系统进行比对是否完全相符,相符的则记录结果进行下一步,如果不符则要与黑名单进行比对,并记录比对结果和异常信息;
11)根据比对结果执行相应处理:
若比对完全符合白名单,则执行通信包转发;
若指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃,并告警;
若端口比对不符合白名单,其他项相符,则执行通信包转发并提示处理;
若指定的一项或多项参数同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应的终端设备的指纹信息加入至白名单中。
如图3所示,被动式设备指纹识别流程如下:
1)已分配IP终端设备和静态IP的终端设备的通信包进入安全路由器;
2)安全路由器采用libpcap进行终端记入设备的通信抓包,解析IP地址、MAC地址及IP地址包头中的TTL值;
3)安全路由器解析传输层TCP包中SYN的DF标记位、TCP窗口尺寸、TCP SYN包的大小、TCP扩展选项并记录;
4)如果是动态IP地址终端设备接入网络,安全路由器通过lipcap捕获并解析DHCP请求包,获取源MAC地址、option中的厂商信息、设备型号等信息;
5)将前述解析数据与白名单进行比对,若完全相符,则转发通信包,否则,将解析数据与黑名单比对,若解析数据中指定的一项或多项参数信息在黑名单中,则将通信包阻断及丢弃;
若解析数据中指定的一项或多项参数信息同时不在白名单和黑名单中,则将通信包放入隔离区等待上级设备处理;
在上级设备确认为可信后将相应终端设备的指纹信息加入至白名单中。
本实施例的安全路由器支持多种安全可靠的管理手段,对终端设备进行自动识别认证。应用混合式终端指纹识别技术对终端设备的指纹进行识别,并与黑白名单进行比对,安全路由器识别出的白名单终端设备后,对可信设备的通信包实现加密传输。通过采用以上方法提高感知层上传数据的加密和安全隔离,防止伪造终端和异常数据带来的攻击。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了终端设备、主动式设备指纹识别方法、被动式设备指纹识别方法、目标终端设备等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。
