井浩然＊

（1、安徽理工大學(xué) 計算機科學(xué)與工程學(xué)院，安徽 淮南232001 2、中國電信股份有限公司宿州分公司，安徽 宿州234000）

1 概述

安全網(wǎng)關(guān)系統(tǒng)是在普通網(wǎng)關(guān)的基礎(chǔ)上，增加安全措施的一種設(shè)備，在傳統(tǒng)的路由轉(zhuǎn)發(fā)、NAT 地址轉(zhuǎn)換和DHCP 地址分發(fā)功能之外，增加額外的措施以增強網(wǎng)關(guān)的抗入侵和抗攻擊能力。它的功能是提供對數(shù)據(jù)包的認證、數(shù)據(jù)包內(nèi)容的鑒別、文件系統(tǒng)的監(jiān)控等，集管理、認證、數(shù)據(jù)處理于一體，是智能家居的管理控制匯中心。且設(shè)備實現(xiàn)簡單、投資低，可在一臺設(shè)備上進行實現(xiàn)。

普通的網(wǎng)關(guān)設(shè)備工作在TCP/IP 協(xié)議的網(wǎng)絡(luò)層，接收掛載在網(wǎng)關(guān)下面的設(shè)備的IP 包，并將其轉(zhuǎn)發(fā)出去，不關(guān)心應(yīng)用層的數(shù)據(jù)。如果此時通信的數(shù)據(jù)包帶有惡意數(shù)據(jù)（比如木馬程序或者蠕蟲病毒），或者非法在局域網(wǎng)內(nèi)接入一個設(shè)備連入智能家居網(wǎng)絡(luò)，都會對整個網(wǎng)絡(luò)的數(shù)據(jù)帶來難以預(yù)估的影響，可能會導(dǎo)致用戶數(shù)據(jù)信息泄露甚至人身財產(chǎn)安全受到損失。

本文提出的安全網(wǎng)關(guān)對外工作在TCP/IP 協(xié)議的網(wǎng)絡(luò)層，只提供內(nèi)外之間的路由轉(zhuǎn)發(fā)功能；對內(nèi)工作在應(yīng)用層，提供設(shè)備接入和認證功能。

2 相關(guān)工作

目前對于安全網(wǎng)關(guān)的解決方案還未形成一個統(tǒng)一的規(guī)范和方向，傳統(tǒng)的解決方案有以下幾種：（1）在原有的協(xié)議基礎(chǔ)上進行修改[1]，添加輕量級的加密算法或使用裁剪過的認證流程；（2）完全使用新的協(xié)議替代原有協(xié)議，比如將IPv4 相關(guān)協(xié)議換成IPv6相關(guān)協(xié)議；（3）寄希望于新的網(wǎng)絡(luò)結(jié)構(gòu)[2]。

而近十年關(guān)于智能家居安全網(wǎng)關(guān)方案研究較少，國內(nèi)研究僅有文章介紹在智能家居網(wǎng)關(guān)上部署安全措施。總結(jié)其思路，主要是調(diào)用openssl 庫與服務(wù)器實現(xiàn)身份認證，完成密鑰協(xié)商，以確保之后的數(shù)據(jù)安全傳輸[3]。并在網(wǎng)關(guān)實現(xiàn)訪問控制，對用戶身份進行鑒權(quán)。

本文采用的是使用Radius 服務(wù)進行認證，并根據(jù)認證返回的結(jié)果來決定數(shù)據(jù)包的流向，從而進行數(shù)據(jù)包的鑒別與分類。

Radius 服務(wù)（Remote Authentication Dial In User Service），即遠程驗證撥入用戶服務(wù)[4]。Radius 協(xié)議規(guī)定了NAS 與Radius 服務(wù)器之間如何傳遞用戶信息和記賬信息，Radius 服務(wù)器負責接收用戶的連接請求，完成驗證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS[5]。Radius 服務(wù)的特點是：（1）采用C-S 模型；（2）安全性高；（3）靈活的認證機制，支持PAP 或CHAP；（4）可擴展協(xié)議。其核心認證思想是：通過事先在服務(wù)端設(shè)置好的用戶賬號和共享密鑰（secret），客戶端在請求認證時，通過隨機產(chǎn)生的16 字節(jié)的字符串Authenticator，結(jié)合共享密鑰使用md5 對用戶密碼進行加密，發(fā)送access-request 的認證請求包，若認證通過，則服務(wù)端返回access-accept 響應(yīng)，并在響應(yīng)包中包含通過獲取請求包中的信息進行md5 加密的ResponseAuth 信息[6]。

3 安全網(wǎng)關(guān)系統(tǒng)

3.1 認證分析

文章提出的安全網(wǎng)關(guān)系統(tǒng)，內(nèi)置認證功能。將Radius 服務(wù)集成到網(wǎng)關(guān)之中，設(shè)備在接入網(wǎng)關(guān)的局域網(wǎng)時，就需要進行認證，否則網(wǎng)關(guān)的防火墻會執(zhí)行策略，使其無法加入網(wǎng)絡(luò)。為方便用戶進行認證，減少操作步驟，采用Radius 服務(wù)的PAP 驗證方式，雖然PAP的驗證方式是以明文的形式進行數(shù)據(jù)傳輸，但是在傳輸過程中，是經(jīng)過共享密鑰secret 和隨機字符Authenticator 進行加密，對于密文的安全性，在本系統(tǒng)的環(huán)境下，有充足的保證。

文章提出的安全網(wǎng)關(guān)系統(tǒng)，硬件設(shè)備需要兩塊以上的網(wǎng)卡，一張網(wǎng)卡A 用戶掛載用戶組件局域網(wǎng)，另一張網(wǎng)卡B 用于連接互聯(lián)網(wǎng)，用于與公網(wǎng)的數(shù)據(jù)溝通。在網(wǎng)卡A 上搭建HTTP 服務(wù)，搭建一個web 頁面用戶用戶在設(shè)備接入網(wǎng)絡(luò)時的認證，為了考慮到部分的智能家居設(shè)備沒有用戶操作界面窗口，可在可操作的已認證的終端上，錄入設(shè)備的IP、MAC 地址，進行認證；并且在網(wǎng)關(guān)系統(tǒng)內(nèi)，開啟1812 端口，網(wǎng)關(guān)內(nèi)搭建Radius 服務(wù)，網(wǎng)卡A 上Web 獲取的一系列信息從網(wǎng)卡A 的IP 發(fā)送至Radius 服務(wù)的1812 端口，進行認證，認證成功記錄其相關(guān)信息，并操作防火墻放行數(shù)據(jù)包。

3.2 路由轉(zhuǎn)發(fā)

路由轉(zhuǎn)發(fā)功能是本系統(tǒng)的核心功能之一，其最重要的作用就是在數(shù)據(jù)包認證之后根據(jù)認證的結(jié)果對數(shù)據(jù)包的執(zhí)行策略，是丟棄還是放行還是重定向回去重新認證，取決于其是否可以認證成功。在承接認證結(jié)果的功能的基礎(chǔ)上，還起到一個防護內(nèi)網(wǎng)安全的作用，如果是未授權(quán)設(shè)備接入，自然不會擁有管理員分配的用于認證的賬號，進而無法加入局域網(wǎng)，也無法通過網(wǎng)關(guān)訪問到互聯(lián)網(wǎng)。

在網(wǎng)關(guān)系統(tǒng)上部署Linux 基本操作系統(tǒng)，通過操作iptables 進行策略制定，只有數(shù)據(jù)包中Radius 服務(wù)返回的access-accept 的特征值，才會修改iptables 策略，將數(shù)據(jù)包從網(wǎng)卡A 轉(zhuǎn)發(fā)至網(wǎng)卡B，聯(lián)通局域網(wǎng)與互聯(lián)網(wǎng)，認證不通過則重定向回認證界面，認證超過指定次數(shù)則丟棄數(shù)據(jù)包，并在一定時間內(nèi)終止其認證資格。

3.3 數(shù)據(jù)包鑒別

不同的應(yīng)用通常依賴于不同的協(xié)議，而不同的協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者特定的Bit 序列?；凇疤卣髯帧钡淖R別技術(shù)通過對業(yè)務(wù)流中特定數(shù)據(jù)報文中的“指紋”信息的檢測以確定業(yè)務(wù)流承載的應(yīng)用。

很多惡意攻擊行為可能隱藏在有效載荷中。這些有效載荷中可能含有P2P 傳輸、垃圾郵件、釣魚網(wǎng)站等。很多電子商務(wù)網(wǎng)站程序中的JSP、HTML 也可能帶著后門和木馬程序[7]。

在兩個網(wǎng)卡上部署探針，持續(xù)嗅探通過的數(shù)據(jù)包，對數(shù)據(jù)包的內(nèi)容分層鑒別，對屬于惡意代碼的特征字進行識別。比如木馬文件會帶有對帶有特征字的數(shù)據(jù)包進行攔截并丟棄，防止惡意數(shù)據(jù)包進入網(wǎng)絡(luò)導(dǎo)致無法預(yù)料的后果。

3.4 實現(xiàn)過程

本文采用python 語言的scapy 庫來對數(shù)據(jù)包進行操作，scapy庫可以使用戶能夠發(fā)送, 嗅探和剖析并偽造網(wǎng)絡(luò)數(shù)據(jù)包。根據(jù)TCP/IP 協(xié)議層次，需要在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層對數(shù)據(jù)包進行操作。

3.4.1 網(wǎng)絡(luò)層需要指定源IP 地址和目的IP 地址，指定IP 數(shù)據(jù)包的報頭大小；

ip = IP (src='172.16.220.1',dst='172.16.220.128',flags=0x0000,ihl=5)

3.4.2 傳輸層需要指定源端口和目的端口，并指定使用協(xié)議；

port = random.randint (40000,50000) #發(fā)送端端口取隨機數(shù)，避免每次相同被猜解

udp = UDP(sport=port,dport=1812)

3.4.3 應(yīng)用層需要根據(jù)Radius 協(xié)議在傳輸層之上構(gòu)造數(shù)據(jù)包，在保證協(xié)議層次的前提下，設(shè)定默認的字段值。

圖1（a）和圖1（b）為在請求過程中，使用Wireshark 軟件抓取的數(shù)據(jù)包。

圖1 Wireshark 抓取的數(shù)據(jù)包

在認證成功之后可以獲取到Radius 返回的access-accept 的響應(yīng)，網(wǎng)卡A 上的HTTP 服務(wù)在接收到了該響應(yīng)之后，操作后端程序修改Linux 的iptables 策略，將以通過認證的設(shè)備的IP 為源IP和目的IP 的數(shù)據(jù)包放行。

3.4.5 部署流量探針

在完成了數(shù)據(jù)包的認證和轉(zhuǎn)發(fā)功能之后，為了進一步提高網(wǎng)關(guān)的安全系數(shù)，計劃在兩張網(wǎng)卡上分別部署流量探針，即抓取通過的數(shù)據(jù)包并交由后端代碼進行分析。圖2（a）和圖2（b）分別展示了設(shè)備通過網(wǎng)關(guān)對某一IP 進行數(shù)據(jù)溝通時抓取的數(shù)據(jù)包。

dpkt = sniff(iface=eth0, count=1000)

dpkt = sniff(iface=wlan0, count=1000) #在網(wǎng)卡上抓取1000個流量包

圖2 網(wǎng)關(guān)抓取的數(shù)據(jù)包

針對兩個網(wǎng)卡，分別抓取流量，一方面可以保存為日志進行備份，方便日后調(diào)取查閱；另一方面可以部署算法對數(shù)據(jù)包進行分析，對于數(shù)據(jù)不正常的數(shù)據(jù)包，比如頻繁進行TCP 握手但是都未完成的、局域網(wǎng)內(nèi)充斥著廣播報文時、存在ARP 表中一個IP 地址對應(yīng)多個MAC 地址時，都可以對相應(yīng)的設(shè)備進行操作，結(jié)束對其的DHCP 服務(wù)或者強制讓它重新認證等，以保護內(nèi)部局域網(wǎng)的安全環(huán)境。

還可以基于包檢測的技術(shù)，對于經(jīng)過的被抓取的數(shù)據(jù)包進行鑒別，識別惡意數(shù)據(jù)包的特征字符，并針對鑒別出的結(jié)果操作iptables 進行策略變更，阻斷其進入其他網(wǎng)絡(luò)導(dǎo)致有不良影響，避免遭受網(wǎng)絡(luò)攻擊或者成為網(wǎng)絡(luò)中的肉雞。

4 結(jié)論

提出了一種基于Radius 服務(wù)的安全網(wǎng)關(guān)系統(tǒng)，將認證功能集成到網(wǎng)關(guān)之內(nèi)，在一臺設(shè)備上完成接入、認證、路由的功能，是一種輕量級的網(wǎng)關(guān)系統(tǒng)。該系統(tǒng)的創(chuàng)新之處在于，開發(fā)了一套程序接口整合HTTP 服務(wù)、認證服務(wù)、iptables 策略，由設(shè)備接入網(wǎng)關(guān)發(fā)起認證開始，到認證結(jié)束數(shù)據(jù)包轉(zhuǎn)發(fā)至公網(wǎng)，全流程只需提供用戶名和密碼即可完成，操作簡單、方便可行。

實驗證明，整體系統(tǒng)可正常運行，用戶微感知，連接質(zhì)量良好，不區(qū)分不同廠商的設(shè)備，兼容性強，亦不影響設(shè)備的正常訪問和使用，表明該系統(tǒng)具備可行性。