IGRS與UPnP設備互連的安全機制探討

摘要:對IGRS的安全機制、UPnP的安全機制以及IGRS與UPnP基于非安全管道上的互連方法進行了探討研究，提出了一種IGRS與UPnP互連的安全機制，保障它們之間互連的安全性，有效防止網(wǎng)絡中針對非安全互連漏洞的各種攻擊。

關鍵詞:信息設備資源共享協(xié)同服務協(xié)議;通用即插即用協(xié)議;協(xié)議機制;管道;安全互連

SurveyonIGRSandUPnPdevicessecurityinterconnectionmechanism

TANJue??1，2，HEZhe?1，CHENYuan-fei?1，ZHUZhen-min?1

(1.ResearchCenterforPervasiveComputing，InstituteofComputingTechnology，ChineseAcademyofSciences，Beijing100080，China;?2.CollegeofInformationTechnology，XiangtanUniversity，XiangtanHunan411105，China)?Abstract:ThroughtheanalysisofIGRSandUPnPsecuritymechanism，thispaperputforwardanewsecuritymechanismbuiltonthebasisofnon-securitypipestoprotecttheinterconnectionsofheterogeneousdevices.Thismethodsuccessfullyprotectedinterconnectionfromallkindsofnetworkattacks.

Keywords:IGRS;UPnP;protocolmechanism;pipe;securityinterconnection

隨著計算機技術與通信技術的飛速發(fā)展，眾多的信息設備生產商在市場驅動下，開發(fā)出了功能多樣和強大的設備和儀器，實現(xiàn)這些異構而多樣化的信息設備互連互通成為信息技術產品的發(fā)展趨勢，國際上已有許多標準化組織和企業(yè)聯(lián)盟在進行相關的技術標準制定工作。其中最具代表性的是信息設備資源共享協(xié)同服務(IGRS)和通用即插即用(UPnP)兩大主流信息設備互連互通協(xié)議。IGRS組織有會員100多家，UPnP組織的成員達到890家之多，都擁有非常廣泛的末端用戶群。IGRS和UPnP的應用范圍也非常廣泛，在家庭自動化、打印、圖片處理、音頻/視頻娛樂、廚房設備、汽車網(wǎng)絡和公共集會場所等類似網(wǎng)絡中都有應用。實現(xiàn)支持不同標準的設備間的相互識別和互連互通是用戶的一致愿望。IGRS設備工作組在制定IGRS基礎協(xié)議時，已經(jīng)對IGRS設備與UPnP設備的基礎互連提出了解決辦法，對于分別支持IGRS協(xié)議和UPnP協(xié)議的信息設備，可以通過擴展訪問接口描述實現(xiàn)它們之間的互連互通。但是，這兩類設備的互連互通是建立在非安全管道上，存在一定的安全隱患，須尋求一種安全機制保障互連的安全性。本文通過對IGRS和UPnP在非安全管道互連互通機制的分析，提出了一種IGRS和UPnP互連的安全機制。

1IGRS和UPnP簡介

1.1IGRS

IGRS是為了實現(xiàn)信息技術設備智能互連、資源共享、協(xié)同服務而制定的標準，基于“閃聯(lián)”標準的設備不僅能夠連接，而且可以使不同的設備共享信息資源和功能資源，并充分地組合利用每個設備的功能，創(chuàng)造出更多更豐富的應用服務。為了便于對網(wǎng)絡中資源的共享使用，IGRS在傳輸層和網(wǎng)絡層也制定了相應的協(xié)議標準。“閃聯(lián)”標準框架[1]如圖1所示。

IGRS安全規(guī)范定義了其上各個協(xié)議中的安全交互機制，包括基于服務的訪問控制機制和相應的身份認證、授權等機制。IGRS定義了兩個不同層次的安全，一層是設備間的安全，即協(xié)議中所謂的“管道”;另一層是用戶與服務間的安全，即協(xié)議中所謂的“會話”。

1.2UPnP

UPnP是由微軟推出的新一代網(wǎng)絡中間件技術，現(xiàn)在由通用即插即用論壇維護升級，其目標是使家庭網(wǎng)絡(數(shù)據(jù)共享、通信和娛樂)和公司網(wǎng)絡中的各種設備能通過簡單無縫連接實現(xiàn)廣播網(wǎng)、互聯(lián)網(wǎng)、移動設備之間的互連。

UPnP標準框架[2]如圖2所示。UPnP論壇定義了UPnP設備和控制點的安全準則[3，4]。在發(fā)現(xiàn)階段，定義了安全設備和安全控制臺相互發(fā)現(xiàn)的過程和所需要的安全操作。在描述階段設備生產商可以為設備定義和編寫相關的安全控制臺和安全設備描述文件。在控制、事件、展現(xiàn)三個階段，設置安全會話的密鑰，對交互消息進行加密、解密、執(zhí)行等操作來確保UPnP控制點與設備的交互安全。如果用戶或者生產廠商需要實施自己的安全擴展，可以在UPnP廠商層次上由生產商自定義和實現(xiàn)。

1.3UPnP與IGRS的互連

“閃聯(lián)”在IGRS制定之初就考慮到了IGRS設備與UPnP設備的互連問題并進行了可行性分析[5]。

1)設備間尋址機制UPnP網(wǎng)絡基于IP尋址，而IGRS協(xié)議中設備間的尋址可以由IGRS協(xié)議以外的機制來實現(xiàn)。兩個協(xié)議均可以共同使用靜態(tài)IP、動態(tài)DHCP或Auto-IP的尋址方式。

2)設備/服務發(fā)現(xiàn)機制UPnP的設備/服務發(fā)現(xiàn)機制采用SSDP，IGRS的設備/服務發(fā)現(xiàn)機制同樣建立在SSDP基礎上。通過SSDP可以實現(xiàn)IGRS與UPnP設備/服務的相互發(fā)現(xiàn)。

3)設備/服務描述機制UPnP使用XML語法，IGRS也使用XML語法。雖然實現(xiàn)模板不同，但是在IGRS服務描述中加入UPnP描述擴展，使得UPnP設備可以識別IGRS服務;對UPnP服務消息進行解析實現(xiàn)IGRS設備對UPnP服務的識別。

4)服務訪問控制和調用機制UPnP的服務調用機制采用SOAP(簡單對象訪問協(xié)議)傳送消息，IGRS則定義了基于會話的服務調用機制，同樣支持SOAP。通過各自的標準消息解析和改寫可以實現(xiàn)服務調用。

5)服務事件與通知機制UPnP采用GENA(通用事件通知架構)機制實現(xiàn)服務事件與通知機制;IGRS則采用基于管道(安全/非安全)的機制實現(xiàn)，通過不同機制的分析與轉換可以實現(xiàn)事件通知。

2IGRS和UPnP各自的安全互連

2.1UPnP設備間互連安全機制

UPnP安全文檔中定義了安全相關的函數(shù)和數(shù)據(jù)結構及相關策略[3，4，6]。其過程分為初始化和安全運行兩個階段。

初始化階段如圖3(a)[7]所示，主要工作包括:a)安全控制臺獲取設備公鑰并通過散列算法對公鑰求取散列值并與設備的安全ID比對，進行身份認證;b)安全控制臺與設備雙方協(xié)商，設置安全會話密鑰進行會話，控制點獲得設備的所有權;c)對網(wǎng)絡中的可以訪問和擁有設備的控制點進行指定，編輯設備的訪問控制列表等，通過這些操作對設備指定不同用戶(控制點)的訪問權限。執(zhí)行了這些操作以后，進入安全運行階段。安全運行階段如圖3(b)[7]所示，主要工作包括當初始化階段通過身份驗證及設備權限設置完成以后，進入安全運行階段。安全階段的任務是防止黑客的重放攻擊，雙方進行會話密鑰的協(xié)商，協(xié)商完成后進行通信和服務調用。

2.2IGRS設備間互連安全機制

IGRS設備間的互連較UPnP復雜，IGRS設備間的安全互連過程如圖4所示。

在互連的IGRS設備之間，通過組播宣告其在網(wǎng)絡中的存在后，比較雙方都支持的安全機制算法，根據(jù)需要選擇其一作為雙方交互的安全機制。在安全機制選擇中，IGRS支持四種安全機制[8]。IGRS設備1和2的安全身份認證為雙向挑戰(zhàn)/應答過程，需交互的IGRS設備1和2在完成前期相關步驟成功后，相互發(fā)送管道創(chuàng)建成功的確認消息;管道成功創(chuàng)建以后，建立IGRS用戶與服務間的會話關系。?

3IGRS與UPnP之間存在的互連安全問題分析

傳統(tǒng)的IGRS設備與UPnP設備在非安全管道上基礎互連，未采用任何安全機制，存在嚴重的安全隱患。其中存在的安全問題如表1所示。

表1非安全通道互連安全問題

存在問題問題描述解決方法

設備冒充無認證，身份冒充加入身份認證機制

消息竊聽攻擊者竊聽互連中通信消息對通信消息進行加密

消息完整攻擊者對通信消息進行竄改采用數(shù)字簽名機制

拒絕服務網(wǎng)絡中設備無法正常工作多次身份認證失敗后?對設備請求不再響應

重放攻擊者實施重放攻擊對網(wǎng)絡中的通信消息的序列號更新

1)安全互連的可行性分析IGRS與UPnP有互操作的基礎，可以在非安全管道上進行互操作。同樣，改造相關的通信消息模板并對相應的消息和服務調用消息進行擴展，可以實現(xiàn)安全互操作。

2)安全互連的原則IGRS和UPnP設備有各自的標準和接口，遵循它們各自的功能和屬性的基礎，對接口進行擴展，避免相同標準下的設備經(jīng)過擴展和改造以后不能相互識別及訪問的問題。

3)安全互連的切入點根據(jù)兩個標準的不同定義，找出定義部分的靈活性接口，最大限度地在不改變標準的前提下實現(xiàn)互連的高安全。

4)安全互連的目標目前IGRS與UPnP互連只是通過非安全管道對一些服務描述和消息進行簡單改寫，安全程度很低，達不到安全保密性要求。

在普通互連的基礎上，本文從以下幾個方面考慮，提出了UPnP與IGRS的互連安全機制。這幾個方面的安全要求是最基本的，卻又正是普通互連所缺少的。

a)認證(authentication)。對持有某個標志的用戶或設備進行身份鑒別，以確認持有某個標志的用戶的真實性。非安全管道中雖然存在設備標志，但是作用僅僅局限于區(qū)別不同類型的設備，沒有對設備的身份進行認證。

b)消息完整性(integrity)。對互連過程中的消息的完整性進行檢查。一般使用消息認證碼(MAC)或者安全散列函數(shù)加數(shù)字簽名完成。非安全管道的連接中，沒有對消息進行完整性驗證，可能會收到竄改過后的消息。

c)防止重放攻擊(freshness)。無線環(huán)境中的消息很容易被竊聽，即使是有線網(wǎng)絡中也同樣存在相似的問題。因此，需要防止用戶登錄消息、調用服務消息的泄露、防止重放攻擊。在網(wǎng)絡中的IGRS和UPnP設備對于消息的序列號沒有更新機制，很容易被黑客利用普通的重放攻擊漏洞。

d)訪問控制(authorization)。設備根據(jù)管理員的需要建立訪問控制列表，有對用戶訪問設備的行為進行訪問控制的能力。普通互連沒有此種能力對用戶或者設備訪問權限進行?控制。

e)保密性(secrecy)。消息的內容不應以明文的形式在網(wǎng)絡中傳輸才能有效防止他人的竊聽。具有安全特性的設備應該具有對消息內容進行加密和解密的能力。非安全管道只是簡單的互連，消息的安全加密更加無從談起。

針對以上五個嚴重的安全問題，普通的非安全管道顯得無能為力，無法滿足人們對于安全性的要求。對于以上幾個問題，應該研究新的機制來改進和提高互連的安全性。

4IGRS與UPnP之間互連的安全機制

在此互連互通的安全機制實現(xiàn)方案中，保留IGRS設備間的安全互連方式，遵循UPnP的安全控制臺和UPnP設備間的UPnP論壇定義的相關安全準則，在這些基礎上建立有效的安全互連機制。這樣做的好處是保持了IGRS和UPnP設備各自的安全標準和接口，不會因為與不同標準設備間的互連而導致不同于各自內部標準的接口和安全策略的設備出現(xiàn)，而導致新的互連問題的產生。此過程中盡量保持設備各自標準的獨立性，其安全互連過程如圖5所示。c)會話的創(chuàng)建。IGRS設備發(fā)送創(chuàng)建會話請求給虛擬IGRS設備，接收到消息后虛擬IGRS設備調用相關的安全服務getLifeTimeSequenceBase()和setSessionKeys()，獲取安全會話密鑰附在響應消息中發(fā)送給IGRS設備。會話創(chuàng)建成功后，進入會話階段。

d)安全會話。此階段中，虛擬IGRS設備執(zhí)行對于服務調用中的會話加密消息進行decrypeAndExecute()，同樣，IGRS設備也對接收的虛擬IGRS設備消息進行響應，完成相應的功能調用。

e)會話的結束。服務調用結束，雙方協(xié)商會話結束。此時虛擬IGRS設備通過安全控制臺執(zhí)行會話密鑰過期的服務調用，注銷過期的密鑰，結束雙方會話。

f)結束。設備之間管道斷開、設備離線等。

互連過程安全性分析如下:

a)TCP連接和發(fā)現(xiàn)，發(fā)現(xiàn)網(wǎng)絡中的互連設備。在網(wǎng)絡中的設備只能夠被發(fā)現(xiàn)，并不能夠調用設備上的服務?？蛻艉驮O備必須經(jīng)過后續(xù)相互認證過程才能夠互連，并設計嚴密的安全步驟，保證無法繞過身份認證。

b)管道創(chuàng)建。在創(chuàng)建過程中，兩端都采用公鑰算法對各自的身份進行挑戰(zhàn)和認證。此過程都有隨機數(shù)產生，有效防止黑客的重放攻擊;同時也有效地解決了表1中提到的設備冒充問題;設備間的消息進行加密，阻止不速之客竊聽。

c)會話創(chuàng)建和會話。在會話的