本发明涉及信息安全领域,尤其涉及一种基于设备物理指纹特征的无线网络接入安全防护系统及方法。
背景技术:
任何电子元件都是非线性的,因此,待识别的无线设备的发射机内部存在大量的非线性源,极大地使设备发出的信号产生差异化,即使对于同一厂家同一批次的产品,也会由于生产设备的不可控因素产生特殊的非线性特性。对这一特征的提取就形成了设备物理指纹提取技术。相比于传统的设备身份认证方法,物理指纹提取技术可以有效的抵御伪造,篡改等攻击,具有物理不可克隆的特性。
另一方面,当前网络安全系统广泛采用了白名单、黑名单的方法对无线接入设备的链路层身份标识进行认证。然而设备的身份标识是易于伪造的,这就使得单一针对身份标识的防护容易失效。通常使用额外的网络层及以上的端到端的设备认证来克服这一网络安全系统的缺陷,然而端到端的设备认证必须同时改造原有无线网络系统的无线设备和接入端设备,对于工业产品来说,任何原厂之外的改造都在实践上是不可行的。
技术实现要素:
发明目的:为了解决现有技术存在的问题,尤其针对链路层身份标识的任意伪造或者对原有系统的改造的情况,可以对不同设备进行身份认证,提升无线网络接入系统的安全性,本发明提供一种基于设备物理指纹特征的无线网络接入安全防护系统。
本发明的另一目的是提供一种基于设备物理指纹特征的无线网络接入安全防护方法
技术方案:一种基于设备物理指纹特征的无线网络接入安全防护系统,包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元;所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接,安全规则匹配单元连接到无线连接阻断单元;且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元,且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输;
所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识;
所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:储存、匹配安全规则和转发被安全规则标识的合法数据,所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;
所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。
优选的,所述无线设备物理指纹与身份标识提取单元还用于解析对应无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用身份识别符。
优选的,所述安全规则匹配单元用于根据存储的安全规则和从无线设备物理指纹与身份标识提取单元中输入的无线设备物理指纹和无线设备链路层身份标识判断从无线网络接口单元输入的数据的合法性。
优选的,所述安全规则匹配单元用于根据存储的安全规则中链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系,判断从内部网络接口单元输入、即将转发到无线网络接口单元的数据的合法性。
一种基于设备物理指纹特征的无线网络接入安全防护方法,具体包括以下步骤:
步骤一:预先在安全规则匹配单元中输入安全规则,安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;
步骤二:接收无线设备发送的无线信号,无线设备物理指纹与身份标识提取单元对所述无线信号进行无线设备物理指纹提取,并同时对无线设备链路层身份标识进行解析,并将提取的结果和解析的结果传输至安全规则匹配单元;
同时,所述无线信号经由无线网络接口单元的物理层协议解析变成链路层数据包传输至安全规则匹配单元;
同时,内部网络接口单元将内网发出的链路层数据包传输至安全规则匹配单元;
步骤三:安全规则匹配单元根据无线设备物理指纹与身份识别提取单元上报的提取结果及解析结果,标识出当前在线的无线设备,并记录当前在线设备的物理指纹特征对应的链路层身份标识;
安全规则匹配单元查看无线设备物理指纹与身份标识单元上报数据中的无线设备的链路层身份标识,并和无线网络接口单元上报的链路层数据包中的无线设备链路层身份标识作匹配,将无线网络接口上报的链路层数据包与无线设备物理指纹与身份标识单元上报的物理指纹特征进行绑定,随后对这一绑定了指纹特征的数据包和步骤一预存的安全规则进行匹配,从而判断从无线网络接口传来的链路层数据包的链路层身份标识是否与安全规则中预先输入的无线设备物理指纹相匹配;如不匹配,则执行步骤四;若匹配,将无线网络接口上报的链路层数据包标记为合法数据,并将合法数据转发至内部网络接口;
安全规则匹配单元将无线设备物理指纹与身份标识单元上报数据中的无线设备物理指纹特征进行存储,标记为当前在线的无线设备的物理指纹;同步的,安全规则匹配单元将内部网络接口单元上报的链路层数据包与步骤一预存的安全规则进行匹配,从而获得安全规则中预存的合法无线设备的物理指纹特征,并与内部网络接口单元上报的链路层数据包进行绑定,最后安全规则匹配单元判断链路层数据包绑定的合法设备物理指纹与当前在线的设备的物理指纹是否匹配;如不匹配,则执行步骤四;若匹配,将内部网络接口上报的链路层数据包标记为合法数据,并将合法数据转发至无线网络接口;
步骤四:无线连接阻断单元对不匹配的无线设备进行阻断操作,阻止该设备继续连接无线网络接口单元,并向内部网络发出警报。
优选的,步骤二还包括无线设备物理指纹与身份识别提取单元对无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符的解析,并将解析结果传输至安全规则匹配单元;
步骤三中的判断还包括从无线网络接口和内部网络接口而来的链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符是否与安全规则中预先输入的设备物理指纹匹配。
有益效果:本发明提出的系统和方法可以在不改变原有无线网络接入系统架构的基础上,在接入端附加一套系统,将对无线信号中物理指纹特征的提取和对无线信号中包含的身份标识信息的解析同时进行,将传统的基于链路层身份标识的安全规则提升为包含了物理指纹-链路层身份标识二元组的安全规则,甚至是包含了物理指纹-链路层身份标识-网络层地址-传输层端口-应用层身份标识的多元组的安全规则,既避免了对链路层身份标识的任意伪造,又避免了对原有系统的改造,无线网络接入单元和内部网络接入单元可以完全使用既有网络中的设备而无须改造,利用无线设备的物理指纹特征与身份标识信息对接入内部网络的无线设备进行身份认证,从而增强网络系统的安全性,适用于基于物理层安全的相关技术和传统网络安全相关技术。
附图说明
图1为基于设备物理指纹特征的无线网络接入安全防护系统的系统构成图;
图2为基于设备物理指纹特征的无线网络接入安全防护方法的处理流程图;
图3为基于设备物理指纹特征的无线网络接入安全防护方法的物理指纹特征提取与设备身份标识解析流程图;
图4为基于设备物理指纹特征的无线网络接入安全防护方法的从无线网络到内部网络的安全规则匹配流程图;
图5为基于设备物理指纹特征的无线网络接入安全防护方法的从内部网络到无线网络的安全规则匹配流程图;
图6为基于设备物理指纹特征的无线网络接入安全防护方法的阻断与警报流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
如图1所示,基于设备物理指纹特征的无线网络接入安全防护系统,包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元;所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接,安全规则匹配单元连接到无线连接阻断单元;无线设备物理指纹与身份标识提取单元与安全规则匹配单元之间单向传输信号,仅从无线设备物理指纹与身份标识提取单元向安全规则匹配单元传输信号,用于将提取的无线信号中无线设备的物理指纹特征、解析对应无线设备的链路层身份标识传输给安全规则匹配单元;安全规则匹配单元与无线连接阻断单元之间也是单向传输,用于阻断匹配不成功的设备的无线连接;无线网络接口单元、内部网络接口单元与安全规则匹配单元之间信号双向传输,若匹配成功,可以将无线网络的链路层数据包转发至内部网络接口单元,也可以将内部网络的链路层数据包转发至无线网络接口单元。
所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:提取无线信号中无线设备的物理指纹特征、根据链路层协议解析对应无线设备的链路层身份标识,如果链路层(及网络层、传输层、应用层)数据负载没有被加密或可以被本系统解密,还用于解析对应无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用身份识别符。
所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:储存、匹配安全规则和转发合法数据,所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;
所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。
如图2所示,基于设备物理指纹特征的无线网络接入安全防护方法,包括以下步骤:
首先在安全规则匹配单元中输入安全规则,安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;接收无线设备发出的无线信号;无线设备物理指纹与身份标识提取单元对无线信号的物理特征进行扫描、从中分辨并提取出当前在线的各无线设备的物理指纹,并解析出无线设备物理指纹对应的设备链路层身份标识信息,随后将物理指纹与身份标识信息汇报给安全规则匹配单元;无线网络接口单元按一般方式处理发送设备产生的无线信号,并将接收到的链路层数据包交给安全规则匹配单元;内部网络接口单元按一般方式处理内部网络数据并上报安全规则匹配单元;安全规则匹配单元依据预设的规则对无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元上报的数据进行物理指纹与链路层身份标识、网络层地址、传输层端口及应用层身份标识符的规则匹配,如发现与安全规则相冲突的数据则转由无线连接阻断单元进行处理,无线连接阻断单元依照安全规则匹配单元的指示阻断特定设备的无线信号传输;否则,将其数据包表示为合法数据,并原样转发内部网络接口单元与无线网络接口单元之间的数据包。
下面,将分别针对物理指纹特征提取与设备身份标识解析流程,从无线网络到内部网络的安全规则匹配流程,从内部网络到无线网络的安全规则匹配流程和无线连接阻断流程进行详细的说明。
1、物理指纹特征提取与设备身份标识解析流程
基于设备物理指纹特征的无线网络接入安全防护方法的物理指纹特征提取与设备身份标识解析流程如图3所示。无线设备物理指纹与身份标识提取单元在提取信号时,首先根据无线网络物理层协议将一定频率范围内的无线射频信号转成数字信号,再根据无线网络物理层协议将数字信号分解为不同设备发送的子数字信号,再根据子数字信号确定信号提取发送设备的物理指纹特征,并根据无线网络物理层协议解析出子数字信号所携带的链路层数据包,再根据无线网络链路层协议(如果可能,还包括根据网络层协议、传输层协议和应用层协议)解析出发送设备的链路层身份标识符(如果可能,还包括链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符)。
2、从无线网络到内部网络的安全规则匹配流程
基于设备物理指纹特征的无线网络接入安全防护方法的从无线网络到内部网络的安全规则匹配流程如图4所示。首先无线设备物理指纹与身份标识单元提取设备的物理指纹特征和对应链路层身份标识(如果可能,还包括链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符)。同步地,无线网络接口按一般程序解析接收无线信号,将接收到的链路层数据包转发给安全规则匹配模块。随后,安全规则匹配单元查看无线设备物理指纹与身份标识单元上报数据中的无线设备链路层身份标识,并和无线网络接口上报的链路层数据包中的无线设备链路层身份标识作匹配,将无线网络接口上报的链路层数据包与无线设备物理指纹与身份标识单元上报的物理指纹特征进行绑定,随后对这一绑定了指纹特征的数据包和预存的安全规则进行匹配,从而判断从无线网络接口而来的链路层数据包的链路层身份标识(如果可能,还包括链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符)是否与安全规则中预先输入的设备物理指纹匹配,如不匹配,则对该无线设备进行无线连接阻断,否则将链路层数据包转发至内部网络接口。
3、从内部网络到无线网络的安全规则匹配流程
基于设备物理指纹特征的无线网络接入安全防护方法的从内部网络到无线网络的安全规则匹配流程如图5所示。首先无线设备物理指纹与身份标识单元提取设备的物理指纹特征和对应链路层身份标识(如果可能,还包括链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符)。同步地,内部网络接口按一般程序接收链路层数据包,并转发给安全规则匹配模块。随后,安全规则匹配单元将无线设备物理指纹与身份标识单元上报数据中的无线设备物理指纹特征进行存储,标记为当前在线的无线设备的物理指纹。同步地,安全规则匹配单元将内部网络接口单元上报的链路层数据包与预存的安全规则(包括合法的链路层身份标识、网络层地址、传输层端口、应用层身份标识符)进行匹配,从而获得安全规则中预存的合法无线设备的物理指纹特征,并与内部网络接口单元上报的链路层数据包进行绑定。最后安全规则匹配单元判断链路层数据包绑定的合法设备物理指纹与当前在线的设备的物理指纹是否匹配,如不匹配,则对该无线设备进行无线连接阻断,否则将链路层数据包转发至无线网络接口。
4、无线连接阻断流程
基于设备物理指纹特征的无线网络接入安全防护方法的无线连接阻断流程如图6所示。进行阻断操作时,无线连接阻断单元首先根据无线网络链路层协议,利用无线网络接口单元的身份标识信息和待阻断的无线设备的身份标识信息构造连接中断指令包,再通过无线网络接口向空中持续发送这一指令包,直到待阻断设备消失或者安全规则匹配单元下发停止阻断命令。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,特别是对物理指纹特征提取所运用的具体技术的选择(如选择不同的无线信道——如分米波、厘米波信道、微波毫米波信道、可见光信道等等——与对应物理指纹特征、改变物理指纹的提取手段)和对具体无线网络协议和版本的适配(包括但不限于802.11a/b/g/n协议族、蓝牙协议1.0到4.2、ZigBee协议等),这些细节的改变不会对本发明的整体架构产生影响,因此这些改变、改进和润饰也应视为本发明的保护范围。