摘 要:對IGRS的安全機(jī)制、UPnP的安全機(jī)制以及IGRS與UPnP基于非安全管道上的互連方法進(jìn)行了探討研究,提出了一種IGRS與UPnP互連的安全機(jī)制,保障它們之間互連的安全性,有效防止網(wǎng)絡(luò)中針對非安全互連漏洞的各種攻擊。
　　關(guān)鍵詞:信息設(shè)備資源共享協(xié)同服務(wù)協(xié)議;通用即插即用協(xié)議;協(xié)議機(jī)制;管道;安全互連
　　
　　Survey on IGRS and UPnP devices security interconnection mechanism
　　
　　TAN Jue??1,2,HE Zhe?1,CHEN Yuan-fei?1,ZHU Zhen-min?1
　　
　　(1.Research Center for Pervasive Computing, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100080, China;?2.College of Information Technology, Xiangtan University, Xiangtan Hunan 411105, China)?Abstract:Through the analysis of IGRS and UPnP security mechanism, this paper put forward a new security mechanism built on the basis of non-security pipes to protect the interconnections of heterogeneous devices.This method successfully protected interconnection from all kinds of network attacks.
　　Key words:IGRS; UPnP; protocol mechanism; pipe; security interconnection
　　
　　隨著計算機(jī)技術(shù)與通信技術(shù)的飛速發(fā)展,眾多的信息設(shè)備生產(chǎn)商在市場驅(qū)動下,開發(fā)出了功能多樣和強(qiáng)大的設(shè)備和儀器,實現(xiàn)這些異構(gòu)而多樣化的信息設(shè)備互連互通成為信息技術(shù)產(chǎn)品的發(fā)展趨勢,國際上已有許多標(biāo)準(zhǔn)化組織和企業(yè)聯(lián)盟在進(jìn)行相關(guān)的技術(shù)標(biāo)準(zhǔn)制定工作。其中最具代表性的是信息設(shè)備資源共享協(xié)同服務(wù)(IGRS)和通用即插即用(UPnP)兩大主流信息設(shè)備互連互通協(xié)議。IGRS組織有會員100多家,UPnP組織的成員達(dá)到890家之多,都擁有非常廣泛的末端用戶群。IGRS和UPnP的應(yīng)用范圍也非常廣泛,在家庭自動化、打印、圖片處理、音頻/視頻娛樂、廚房設(shè)備、汽車網(wǎng)絡(luò)和公共集會場所等類似網(wǎng)絡(luò)中都有應(yīng)用。實現(xiàn)支持不同標(biāo)準(zhǔn)的設(shè)備間的相互識別和互連互通是用戶的一致愿望。IGRS設(shè)備工作組在制定IGRS基礎(chǔ)協(xié)議時,已經(jīng)對IGRS設(shè)備與UPnP設(shè)備的基礎(chǔ)互連提出了解決辦法,對于分別支持IGRS協(xié)議和UPnP協(xié)議的信息設(shè)備,可以通過擴(kuò)展訪問接口描述實現(xiàn)它們之間的互連互通。但是,這兩類設(shè)備的互連互通是建立在非安全管道上,存在一定的安全隱患,須尋求一種安全機(jī)制保障互連的安全性。本文通過對IGRS和UPnP在非安全管道互連互通機(jī)制的分析,提出了一種IGRS和UPnP互連的安全機(jī)制。
　　
　　1 IGRS和UPnP簡介
　　1.1 IGRS
　　IGRS是為了實現(xiàn)信息技術(shù)設(shè)備智能互連、資源共享、協(xié)同服務(wù)而制定的標(biāo)準(zhǔn),基于“閃聯(lián)”標(biāo)準(zhǔn)的設(shè)備不僅能夠連接,而且可以使不同的設(shè)備共享信息資源和功能資源,并充分地組合利用每個設(shè)備的功能,創(chuàng)造出更多更豐富的應(yīng)用服務(wù)。為了便于對網(wǎng)絡(luò)中資源的共享使用,IGRS在傳輸層和網(wǎng)絡(luò)層也制定了相應(yīng)的協(xié)議標(biāo)準(zhǔn)。“閃聯(lián)”標(biāo)準(zhǔn)框架`1`如圖1所示。
　　IGRS安全規(guī)范定義了其上各個協(xié)議中的安全交互機(jī)制,包括基于服務(wù)的訪問控制機(jī)制和相應(yīng)的身份認(rèn)證、授權(quán)等機(jī)制。IGRS定義了兩個不同層次的安全,一層是設(shè)備間的安全,即協(xié)議中所謂的“管道”;另一層是用戶與服務(wù)間的安全,即協(xié)議中所謂的“會話”。
　　1.2 UPnP
　　UPnP是由微軟推出的新一代網(wǎng)絡(luò)中間件技術(shù),現(xiàn)在由通用即插即用論壇維護(hù)升級,其目標(biāo)是使家庭網(wǎng)絡(luò)(數(shù)據(jù)共享、通信和娛樂)和公司網(wǎng)絡(luò)中的各種設(shè)備能通過簡單無縫連接實現(xiàn)廣播網(wǎng)、互聯(lián)網(wǎng)、移動設(shè)備之間的互連。
　　
　　UPnP標(biāo)準(zhǔn)框架`2`如圖2所示。UPnP論壇定義了UPnP設(shè)備和控制點(diǎn)的安全準(zhǔn)則`3,4`。在發(fā)現(xiàn)階段,定義了安全設(shè)備和安全控制臺相互發(fā)現(xiàn)的過程和所需要的安全操作。在描述階段設(shè)備生產(chǎn)商可以為設(shè)備定義和編寫相關(guān)的安全控制臺和安全設(shè)備描述文件。在控制、事件、展現(xiàn)三個階段,設(shè)置安全會話的密鑰,對交互消息進(jìn)行加密、解密、執(zhí)行等操作來確保UPnP控制點(diǎn)與設(shè)備的交互安全。如果用戶或者生產(chǎn)廠商需要實施自己的安全擴(kuò)展,可以在UPnP廠商層次上由生產(chǎn)商自定義和實現(xiàn)。
　　
　　1.3 UPnP與IGRS的互連
　　“閃聯(lián)”在IGRS制定之初就考慮到了IGRS設(shè)備與UPnP設(shè)備的互連問題并進(jìn)行了可行性分析`5`。
　　1)設(shè)備間尋址機(jī)制 UPnP網(wǎng)絡(luò)基于IP尋址,而IGRS協(xié)議中設(shè)備間的尋址可以由IGRS協(xié)議以外的機(jī)制來實現(xiàn)。兩個協(xié)議均可以共同使用靜態(tài)IP、動態(tài)DHCP或Auto-IP的尋址方式。
　　2)設(shè)備/服務(wù)發(fā)現(xiàn)機(jī)制 UPnP的設(shè)備/服務(wù)發(fā)現(xiàn)機(jī)制采用SSDP,IGRS的設(shè)備/服務(wù)發(fā)現(xiàn)機(jī)制同樣建立在SSDP基礎(chǔ)上。通過SSDP可以實現(xiàn)IGRS與UPnP設(shè)備/服務(wù)的相互發(fā)現(xiàn)。
　　3)設(shè)備/服務(wù)描述機(jī)制 UPnP使用XML語法,IGRS也使用XML語法。雖然實現(xiàn)模板不同,但是在IGRS服務(wù)描述中加入UPnP描述擴(kuò)展,使得UPnP設(shè)備可以識別IGRS服務(wù);對UPnP服務(wù)消息進(jìn)行解析實現(xiàn)IGRS設(shè)備對UPnP服務(wù)的識別。
　　4)服務(wù)訪問控制和調(diào)用機(jī)制 UPnP的服務(wù)調(diào)用機(jī)制采用SOAP(簡單對象訪問協(xié)議)傳送消息,IGRS則定義了基于會話的服務(wù)調(diào)用機(jī)制,同樣支持SOAP。通過各自的標(biāo)準(zhǔn)消息解析和改寫可以實現(xiàn)服務(wù)調(diào)用。
　　5)服務(wù)事件與通知機(jī)制 UPnP采用GENA(通用事件通知架構(gòu))機(jī)制實現(xiàn)服務(wù)事件與通知機(jī)制;IGRS則采用基于管道(安全/非安全)的機(jī)制實現(xiàn),通過不同機(jī)制的分析與轉(zhuǎn)換可以實現(xiàn)事件通知。
　　2 IGRS和UPnP各自的安全互連
　　2.1 UPnP設(shè)備間互連安全機(jī)制
　　UPnP安全文檔中定義了安全相關(guān)的函數(shù)和數(shù)據(jù)結(jié)構(gòu)及相關(guān)策略`3,4,6`。其過程分為初始化和安全運(yùn)行兩個階段。
　　
　　初始化階段如圖3(a)`7`所示,主要工作包括:a)安全控制臺獲取設(shè)備公鑰并通過散列算法對公鑰求取散列值并與設(shè)備的安全I(xiàn)D比對,進(jìn)行身份認(rèn)證;b)安全控制臺與設(shè)備雙方協(xié)商,設(shè)置安全會話密鑰進(jìn)行會話,控制點(diǎn)獲得設(shè)備的所有權(quán);c)對網(wǎng)絡(luò)中的可以訪問和擁有設(shè)備的控制點(diǎn)進(jìn)行指定,編輯設(shè)備的訪問控制列表等,通過這些操作對設(shè)備指定不同用戶(控制點(diǎn))的訪問權(quán)限。執(zhí)行了這些操作以后,進(jìn)入安全運(yùn)行階段。

　　安全運(yùn)行階段如圖3(b)`7`所示,主要工作包括當(dāng)初始化階段通過身份驗證及設(shè)備權(quán)限設(shè)置完成以后,進(jìn)入安全運(yùn)行階段。安全階段的任務(wù)是防止黑客的重放攻擊,雙方進(jìn)行會話密鑰的協(xié)商,協(xié)商完成后進(jìn)行通信和服務(wù)調(diào)用。
　　
　　2.2 IGRS設(shè)備間互連安全機(jī)制
　　IGRS設(shè)備間的互連較UPnP復(fù)雜,IGRS設(shè)備間的安全互連過程如圖4所示。
　　
　　在互連的IGRS設(shè)備之間,通過組播宣告其在網(wǎng)絡(luò)中的存在后,比較雙方都支持的安全機(jī)制算法,根據(jù)需要選擇其一作為雙方交互的安全機(jī)制。在安全機(jī)制選擇中,IGRS支持四種安全機(jī)制`8`。IGRS設(shè)備1和2的安全身份認(rèn)證為雙向挑戰(zhàn)/應(yīng)答過程,需交互的IGRS設(shè)備1和2在完成前期相關(guān)步驟成功后,相互發(fā)送管道創(chuàng)建成功的確認(rèn)消息;管道成功創(chuàng)建以后,建立IGRS用戶與服務(wù)間的會話關(guān)系。?
　　3 IGRS與UPnP之間存在的互連安全問題分析
　　傳統(tǒng)的IGRS設(shè)備與UPnP設(shè)備在非安全管道上基礎(chǔ)互連,未采用任何安全機(jī)制,存在嚴(yán)重的安全隱患。其中存在的安全問題如表1所示。
　　
　　表1 非安全通道互連安全問題
　　
　　存在問題問題描述解決方法
　　設(shè)備冒充無認(rèn)證,身份冒充加入身份認(rèn)證機(jī)制
　　消息竊聽攻擊者竊聽互連中通信消息對通信消息進(jìn)行加密
　　消息完整攻擊者對通信消息進(jìn)行竄改采用數(shù)字簽名機(jī)制
　　拒絕服務(wù)網(wǎng)絡(luò)中設(shè)備無法正常工作多次身份認(rèn)證失敗后?對設(shè)備請求不再響應(yīng)
　　重放攻擊者實施重放攻擊對網(wǎng)絡(luò)中的通信消息的序列號更新
　　1)安全互連的可行性分析 IGRS與UPnP有互操作的基礎(chǔ),可以在非安全管道上進(jìn)行互操作。同樣,改造相關(guān)的通信消息模板并對相應(yīng)的消息和服務(wù)調(diào)用消息進(jìn)行擴(kuò)展,可以實現(xiàn)安全互操作。
　　2)安全互連的原則 IGRS和UPnP設(shè)備有各自的標(biāo)準(zhǔn)和接口,遵循它們各自的功能和屬性的基礎(chǔ),對接口進(jìn)行擴(kuò)展,避免相同標(biāo)準(zhǔn)下的設(shè)備經(jīng)過擴(kuò)展和改造以后不能相互識別及訪問的問題。
　　3)安全互連的切入點(diǎn) 根據(jù)兩個標(biāo)準(zhǔn)的不同定義,找出定義部分的靈活性接口,最大限度地在不改變標(biāo)準(zhǔn)的前提下實現(xiàn)互連的高安全。
　　4)安全互連的目標(biāo) 目前IGRS與UPnP互連只是通過非安全管道對一些服務(wù)描述和消息進(jìn)行簡單改寫,安全程度很低,達(dá)不到安全保密性要求。
　　在普通互連的基礎(chǔ)上,本文從以下幾個方面考慮,提出了UPnP與IGRS的互連安全機(jī)制。這幾個方面的安全要求是最基本的,卻又正是普通互連所缺少的。
　　a)認(rèn)證(authentication)。對持有某個標(biāo)志的用戶或設(shè)備進(jìn)行身份鑒別,以確認(rèn)持有某個標(biāo)志的用戶的真實性。非安全管道中雖然存在設(shè)備標(biāo)志,但是作用僅僅局限于區(qū)別不同類型的設(shè)備,沒有對設(shè)備的身份進(jìn)行認(rèn)證。
　　b)消息完整性(integrity)。對互連過程中的消息的完整性進(jìn)行檢查。一般使用消息認(rèn)證碼(MAC)或者安全散列函數(shù)加數(shù)字簽名完成。非安全管道的連接中,沒有對消息進(jìn)行完整性驗證,可能會收到竄改過后的消息。
　　c)防止重放攻擊(freshness)。無線環(huán)境中的消息很容易被竊聽,即使是有線網(wǎng)絡(luò)中也同樣存在相似的問題。因此,需要防止用戶登錄消息、調(diào)用服務(wù)消息的泄露、防止重放攻擊。在網(wǎng)絡(luò)中的IGRS和UPnP設(shè)備對于消息的序列號沒有更新機(jī)制,很容易被黑客利用普通的重放攻擊漏洞。
　　d)訪問控制(authorization)。設(shè)備根據(jù)管理員的需要建立訪問控制列表,有對用戶訪問設(shè)備的行為進(jìn)行訪問控制的能力。普通互連沒有此種能力對用戶或者設(shè)備訪問權(quán)限進(jìn)行?控制。
　　e)保密性(secrecy)。消息的內(nèi)容不應(yīng)以明文的形式在網(wǎng)絡(luò)中傳輸才能有效防止他人的竊聽。具有安全特性的設(shè)備應(yīng)該具有對消息內(nèi)容進(jìn)行加密和解密的能力。非安全管道只是簡單的互連,消息的安全加密更加無從談起。
　　針對以上五個嚴(yán)重的安全問題,普通的非安全管道顯得無能為力,無法滿足人們對于安全性的要求。對于以上幾個問題,應(yīng)該研究新的機(jī)制來改進(jìn)和提高互連的安全性。