（计算机应用技术专业论文）对信息家电体系安全模型的研究.pdf

摘要随着时代的发展，以计算机技术、通信技术为核心的信息技术被广泛的应用到各个领域中。随着普适计算、通信与家用电器产业的不断融合，使得具有数字化、网络化和智能化的信息家电产品趋于成熟，一套完整的信息家电体系结构逐渐产生，智能家居的概念正在一步步的得到实现。在可预见的将来，信息家电产业将成为全世界的一大消费热点。信息家电的应用将极大的改善人们的居家体验和生活水平，使得家庭生活更加舒适与便利。伴随着信息家电的功能逐渐强大，安全威胁也随之而来。本文对当前主流的信息家电体系结构进行了分析，着重针对信息家电系统的安全需求进行了研究，针对体系结构可能存在的隐患建立了一套完整的安全模型。安全模型的建立是对原有体系结构的补充和完善，并在必要的地方对原有模型进行了修改。本文建立的安全模型包括三个部分：首先是信息家电基础网络的安全，包括基础协议、设备入网的审核准入策略、远程访问的接入等；其次是设备访问的权限模型，包括权限的定义、身份令牌以及访问控制机制等；最后是针对家电协作模型的安全机制，包括对协作事务的预审核与安全边界机制。安全模型基本覆盖了信息家电体系结构的所有方面，是针对信息家电安全问题的较完整的解决方案。关键词：信息家电，网络安全，访问控制，事务安全，策略安全a b s t r a c tw i t ht h ed e v e l o p m e n to ft h et i m e s ，i n f o r m a t i o nt e c h n o l o g yi sw i d e l ya p p l i e dt ov a r i o u sf i e l d s w i t ht h ei n t e g r a t i o no ft h ep e r v a s i v ec o m p u t i n g ，c o m m u n i c a t i o nt e c ha n dh o m ea p p l i a n c et e c h ，i n f o r m a t i o na p p l i a n c ei sp r o v i d e d a r c h i t e c t u r eo fi n f o r m a t i o na p p l i a n c ei sb e i n gd r i v e nt om a t u r i t ys t a g ea n dt h ec o n c e p to fs m a r th o m ei sb e i n ga c h i e v e ds t e pb ys t e p i nt h ef o r e s e e a b l ef u t u r e ，i n f o r m a t i o na p p l i a n c ei n d u s t r yw i l lb e c o m eo n eo ft h el a r g e s tc o n s u m e rh o ts p o t t h ea p p l i c a t i o no fi n f o r m a t i o na p p l i a n c ew i l lg r e a t l yi m p r o v e一一一一p e o p l e se x p e r i e n c ea n ds t a n d a r do fl i v i n ga th o m e ，m a k i n gf a m i l yl i f em o r ec o m f o r ta n dc o n v e n i e n c e w i t ht h ep o w e r f u lf u n c t i o no fi n f o r m a t i o na p p l i a n c e ，s e c u r i t yt h r e a t sw i l la p p e a r ad o m i n a n ta r c h i t e c t u r eo fi n f o r m a t i o na p p l i a n c ei sa n a l y z e di nt h i sp a p e r , a n dt h er e q u i r e m e n to fs e c u r i t yo fi ti sak e yc o n s i d e r a t i o n ac o m p l e t es e c u r i t ym o d e li ss e tu pb yu st op r e v e n ts e c u r i t ya t t a c k ，u n e x p e c t e da c c e s sa n do t h e rt h r e a t t h es e c u r i t ym o d e li sas u p p l e m e n to ft h eo r i g i n a la r c h i t e c t u r e ，a n ds o m en e c e s s a r ym o d i f i c a t i o n sa r em a d et ot h eo r i g i n a lm o d e l t h es e c u r i t ym o d e li sc o n s i s t e dw i t ht h r e ep a r t s ：f i r s t ，s e c u r i t yo fi n f o r m a t i o na p p l i a n c en e t w o r k ，i n c l u d i n gb a s i cp r o t o c o l s ，a u d i tp o l i c i e so fe q u i p m e n t s ，s e c u r i t yo fr e m o t ea c c e s sa n de t c ；s e c o n d ，a c c e s sc o n t r o lo fe q u i p m e n t s ，i n c l u d i n gt h ed e f m i t i o no fp r i v i l e g e ，i d e n t i t yt o k e n sa n da c c e s sc o n t r o lm e c h a n i s m s ，e t c ；f i n a l l y , s e c u r i t ym e c h a n i s m so fi ii n f o r m a t i o na p p l i a n c ec o l l a b o r a t i v em o d e l ，i n c l u d i n gp r e a u d i t i n gm e c h a n i s mf o rc o o r d i n a t i o nt r a n s a c t i o na n ds e c u r eb o r d e r s s e c u r i t ym o d e lo ft h ei n f o r m a t i o na p p l i a n c eb a s i c a l l yc o v e r i n ga l la s p e c t so ft h ea r c h i t e c t u r ei sac o m p l e t es o l u t i o nf o rt h es e c u r i t yi s s u e so fi n f o r m a t i o na p p l i a n c e k e yw o r d s ：i n f o r m a t i o na p p l i a n c e ，n e t w o r ks e c u r i t y , a c c e s sc o n t r o l ，t r a n s a c t i o ns e c u r i t y , s t r a t e g i cs e c u r i t yi i i湖南师范大学学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不合任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名：影藩锄) o lo 年乡月f 日湖南师范大学学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权湖南师范大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。本学位论文属于1 、保密口，在年解密后适用本授权书。2 、不保密口。( 请在以上相应方框内打“ )作者签名：导师签名：日期：汐o 年日期：年只箩b月日对信息家电体系安全模型的研究1 绪论二十一世纪是一个信息的时代，其时代特征是电子计算机被发明且大量应用到包括工业、农业等各个产业中；并且互联网的出现，使得信息量、信息的处理方式、信息传播的方式、传播速度以及应用信息的能力发生了飞跃式的进步。目前，网络化正在向各种非计算机领域延伸和扩展，计算机、通信和电器产业的糅合使得家用电器网络化、智能化，从而更能满足人类对舒适、便捷的家庭环境的需求。1 1 信息家电、智能家居概述智能家居是一个概念性的定义，是指家庭设施智能化之后为用户带来的舒适、安全、便利的居住环境，而对于实现智能家居的途径，并没有进行严格的限定。目前我们一般认为，家电信息化是实现智能家居的最佳途径，信息家电的概念由此产生。但是目前行业内对信息家电的定义各不相同。美国国家半导体公司是这样定义的：信息家电( i a ，i n f o r m a t i o na p p l i a n c e s ) 是一种廉价、易用、以互动方式与互联网连接的小型设备；它是网络上的家电，而不是p c 的外设；所有能够通过网络系统交互信息的家电产品都可以称之为信息家电。另有定义称信息家电是计算机( c o m p u t e r ) 、通信( c o m m u n i c a t i o n ) 和消费类电子产品( c o n s u m e ) 三者融合的产物。其实质是将数字技术和网络技术引入家用电器领域，用以接收、发布、处理信息，使之成为网络终端，甚至成为信息处理终端。两个定义的内涵是大同小异的，由此可以对信息家电的范畴有一l硕士学位论文个大致的了解。特别的是定义二中提及了3 c 的概念，简单说是将三种数字化电子产品的功能互相渗透、互相融合，使其功能更加智能化、多元化，使用更方便。1 1 1 基本概念信息家电是在传统家用电器的基础上发展而来的，是不同电器的行业技术加入计算机通信技术之后的产物。由于计算机技术的引入，家电设备的功能更强大，使用更方便；而在通信技术引入之后，使得家电网络化变成现实，家电间的协作变得可能。家电设备智能化和网络化之后形成的体系结构，为用户提供集系统、结构、服务、管理于一体的高效、舒适、安全、便利的居住环境，极大地提高了人们的生活水准。传真机图1 1相对于传统家电而言，信息家电具有以下特点：1 、网络化所谓信息家电的首要特定就是具有信息传播、信息处理能力，因对信息家电体系安全模型的研究此，不能联网的家电设备是不能称为信息家电的。同时由于家电设备的特殊用途，其联网能力主要针对信息家电家庭网络，联网的方式一般以无线方式为主，有线方式为辅，可使用的接口标准为w i f i 、蓝牙、r j 4 5 接口、串口等。联网协议应当符合信息家电标准体系结构的定义。2 、智能化智能化是指信息家电具有智能特征，能够进行无人值守的自动化工作，并且支持信息家电协作模型，以实现家电设备的协同工作。这里协作能力是最重要的特征，目前的大多数电器设备都有自动化工作的能力，例如全自动洗衣机，但是仍然不能称为信息家电，因为它不能与其他设备协同工作。3 、开放性和兼容性开放性和兼容性是对智能化和网络化的保证，由于家电的生产厂商是各异的，我们也不应该强制一个家庭网络中都是用同一厂商的家电设备，因此，必须要有一套开放的信息家电体系结构模型。该模型由专门机构制定，包括家电网络的结构标准、网络协议标准、描述语言标准等组成。设备厂商应当自觉的遵循这一体系结构标准模型，在国际规范下公平竞争。4 、安全性安全性是指信息家电利用信息化的优势，能够提供较传统家电设备更为强大的安全性。安全性包括对设备自身的保护，对用户安全的保护以及对信息家电家庭网络的保护等等。硕士学位论文1 1 2 技术基础由于信息家电是糅合多种技术的产物，因此涉及到众多的硬件、软件和接口技术。包括嵌入式技术、家庭网络架构、家庭网络组网技术、家电制造技术等。1 ) 硬件技术信息家电使用的硬件是基于超大规模集成电路技术和单芯片系统技术建立的，这些技术是设备的小型化和功能整合的保证，既能大大降低产品的成本，又可以提高产品的质量。微处理器、单片机、d s p 的出现都极大的促进了信息家电的发展。接口技术作为信息家电之间接收指令和交换数据的基础，是信息家电得以信息化的关键技术之一。目前，应用于信息家电的接口标准很多，如u s b 、r j 4 5 、i e e e l 3 9 4 、r s 2 3 2 等。2 ) 网络技术网络是信息家电联网协作的基础保证，目前的计算机网络十分发达，覆盖全球的i n t e r n e t 已经建立并完善。i n t e m e t 使用o s i 七层模型构建，使得承载应用和网络介质完全分离，极大的提高了灵活性和可用性。网络的底层介质包括电话线、双绞线、光纤、同轴电缆、w i f i 、红外、微波、蓝牙等等，而上层协议则以t c p i p 为主流传输协议。3 ) 嵌入式技术信息家电使用简单、方便，具有很高的实时性，这与其基于嵌入式操作系统是分不开的。所谓嵌入式系统就是“以应用为中心、以计算机技术为基础、软件硬件可裁剪、适应应用系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。它主要由嵌入式微处4对信息家电体系安全模型的研究理器、总线、存储器以及输入输出接口和设备组成。嵌入式系统通常是形式多样的、面向特定应用而设计的，它的结构紧凑、功能精简、成本低，适应多种处理器、可裁剪、实时可靠和可固化等特点，因而嵌入式系统是信息家电的核心。目前比较著名的嵌入式系统内核有：w i n d o w sc e 、嵌入式l i n u x 等。除此之外，信息家电中应用的基础技术还有很多，这里不一一概述。1 1 3 研究现状行业内对信息家电、智能家居的研究自互联网出现之后即开始进行，首次提出信息家电概念的时间地点和人物己无从考证。世界上第一幢智能建筑1 9 8 4 年在美国建成，标志着信息家电技术已经具有实际应用的能力。但是，真正意义上的、完全的信息家电设备还没有出现，信息家电的体系结构标准模型也没有最终制定。目前行业内对信息家电的研究工作主要集中在三个方面：1 ) 体系结构由于信息家电是一个新兴的领域，其优势决定了它在未来将成为日常家庭生活中不可或缺的部分，蕴含了巨大的市场潜在价值。所以，众多的家电生产厂家和i t 企业都在进行体系结构的研究，试图以形成标准的方式抢占未来市场。尽管目前在体系结构方面的研究成果很多，但由于各种因素的影响，尚未形成国际统一的标准。目前，主流的研究方式是使用面向对象技术对信息家电体系进行建模，用接口描述语言( i d l ) 来描述信息家电设备的功能接口，进而设计了基于c o r b a 的联网协作通信机制。国内针对信息家电体系s硕士学位论文结构的研究，大部分都是基于这种模式的。2 ) 分布式计算技术分布式计算研究如何把一个需要非常巨大的计算能力才能解决的问题分成许多小的部分，然后把这些部分分配给许多计算机进行处理，最后把这些计算结果综合起来得到最终的结果。分布式计算自上世纪七十年代提出后经过多年的发展与研究，已经取得了很大的进展，基于分布式理论的产生的存储系统、数据库系统已经应用到各个领域，分布式技术还衍生了很多新的技术，比如网格计算，而在近段时间产生的云计算的理念正风靡全球。3 ) 协作模型对协作模型的研究是参考自动化控制技术进行的，这是一种广泛应用于工业生产、农业和其他行业的通用技术。协作模型的研究目的是解决家中各种照明、安防、电器、基础设施之间的联网以及相互间的自动控制。目前对协作模型的研究主要集中在u m l 协作图、知识库与推理机方面。1 2 课题背景与意义i t 行业中有一条不成文的规律，系统的功能和安全带有互斥性。如果一个系统，不论是软件还是硬件，如果它提供的功能越多、系统越复杂，那么它可能出现安全问题的可能性也就越大。举个例子，最简单的“h e l l o ，w o r l d ”几乎不可能在运行中出现问题，而w i n d o w s操作系统几乎每天都有新的补丁发布。即使是世界上最优秀的软件工程师团队所开发的软件，在足够复杂的情况下，依然不能保证其安全。对信息家电体系安全模型的研究1 2 1 本文研究的目的和意义信息家电系统是一个复杂度很高的、开放的应用系统，因此不可避免的会存在安全性问题。我们也不可能从根本上杜绝安全问题的发生。但是，信息家电在家庭生活中的广泛应用，对其安全性提出了很高的要求，信息家电系统的最终用户对一个不稳定、不安全的系统是不会容忍的。因此，针对信息家电系统安全性的研究非常重要。由于信息家电目前仍处于理论研究阶段，真正的智能家居系统尚未出现，信息家电体系结构也尚未形成最终的标准，因此我们对于其安全性的研究也是理论上的。我们通过发现并探讨当前主流模型中可能存在的安全问题，提出一套安全模型，作为对主流模型的修订和补充。经过修订后的体系结构，充分了融入了安全性的考虑因素，更具有可行性。1 2 2 研究现状目前关于信息家电系统的安全性研究文献并不多，主要的研究也集中在以下几个方面：l 、) 身份认证身份认证是具有安全要求的信息系统所必须包含的功能模块。目前信息家电领域内对身份认证的研究主要是为了能够有效的识别用户身份，防止信息家电设备被外人控制。研究的方面主要是身份认证的协议、加密算法以及认证服务器软件。2 ) 远程访问远程访问是实现对家电设备远程控制和维护的基础手段，由于远硕士学位论文程访问是面向整个互联网的，因此它的安全性非常重要。目前对远程访问的研究主要集中在通信协议方面，通过对远程访问通信数据的加密保证信息的完整性与保密性。3 ) 访问控制访问控制是安全性技术中的核心内容，在数据管理、网络管理、企业信息管理等领域中应用广泛。访问控制技术可用于实现对信息家电设备访问的审核与审计，对家电设备访问的控制大多数以方法域作为细化粒度，提出了含条件的访问控制的概念。1 1 3 本文研究内容概述本文全面的探讨了信息家电体系结构中的安全性问题，并针对各个问题进行了需求分析，提出了解决方案。主要研究工作包含以下三个方面：1 ) 基础网络安全本文探讨了家电设备的联网模式，提出了基于底层网络协议的安全机制，用于从根本上解决由网络通信带来的安全风险，这些风险包括信息的泄露、身份的冒用、指令的篡改等等。同时提出了针对设备的准入策略，以防止不良设备入网，以及远程访问的安全方案。2 ) 权限模型我们对当前的家电网络模型进行了探讨和修订，提出了一套完善的权限模型。权限模型包括对权限主体、客体的定义规范，包括身份信息的传递协议、验证方式和存储结构，以及实现访问控制的算法。3 ) 策略安全策略安全机制主要用于解决协作模型中的安全问题。策略安全包对信息家电体系安全模型的研究含两个方面：一是针对事务型协作的安全性提出了预分析的处理方式，二是提出安全边界的概念。其中安全边界一种动态灵活的访问控制机制，可用于解决传统访问控制技术所不能解决的诸多安全问题。硕士学位论文2 信息家电安全需求我们可将信息家电家庭网络视为一个信息作业系统，它与一般的软件信息作业系统具有很多的相似之处。首先，同软件信息系统一样，它有多个独立的部分构成，软件系统由模块构成，而家电网络则由家电设备组成；其次，家电网络与软件系统均有支撑平台，软件系统中的支撑是软件的架构，起到关联软件模块的作用，而家电网络的支撑则是家电网关，用于实现设备之间的互操作功能；第三，它们都具有可扩展性，可以通过增加模块或添加设备来实现新的功能；再次，它们都提供有人机接口，用于实现用户与系统直接的交互；最后，作业流程的广泛存在，在软件系统中，对所有功能的实现均通过系统内部的作业流程来实现，而在信息家电中，设备之间的协作都是通过作业流程来实现的。于是我们可以把信息系统的安全需求引入到信息家电体系中来，软件系统的安全需求一般体现在以下几个方面：1 ) 模块内部安全。不同的模块有不同的分工，内部功能的安全问题会导致整个系统的稳定性被破坏。2 ) 模块接口安全。模块在软件系统架构的支撑下实现相互的调用，但是接口的调用并不是在所有的时候都是安全的，于是我们需要一套接口管理的机制来提升整个系统的安全性。3 ) 用户角色与权限。大型的软件系统都是多用户系统，不同的用户在系统中拥有不同的权限和访问限制，需要一套全面的分权和控制机制。对信息家电体系安全模型的研究根据软件系统的一般安全需求我们提出了如下的信息家电安全需求，主要包括以下四个层面。2 1 设备内部安全设备内部安全主要是指设备内在功能的安全性。早期电器设备的功能一般固化在芯片上，并且功能相对简单，发生故障的可能性不大，但是随着信息技术的发展，家电设备的功能骤增，可编程芯片、嵌入式系统的大量应用使得故障发生的可能性也随着增加。而进入信息家电时代后，我们预计一般的家电设备都包含两部分的处理器，其中专业处理器主要处理与设备职责有关的业务功能，这一部分是固化功能；另一部分为通用处理器，配合嵌入式系统承载应用软件来实现不适合固化的大部分功能。在这样的结构下，编写软件指令中的任何疏忽都会导致安全问题的产生。处理设备内部安全问题的唯一方式是严格的设备测试，这需要生产厂家对设备质量的重视和把关，无需在本文中进行讨论。2 2 基础网络安全信息家电基础网络的安全性主要是指设备与网关之间的联络是否安全可靠。由于家电之间的协作，用户对家电的控制几乎都要通过家电网关来中转，使得设备与网关之间的网络安全性变得格外重要。在基础网络安全方面我们要考虑以下三个方面：2 2 1 接入设备的可靠性硕士学位论文所谓设备的可靠性是指设备在连入家庭网络之前能够验证该设备是合法的家电设备。这么做的目的是避免设备与网关之间指令传递时可能存在的风险：这个设备或许是邻居所有但通过无线方式与网关建立联系的，或者是客人带入家中后有意无意联入网络的，或是其他伪造通信协议用于破坏家电网络安全性的入侵设备。家电网络中混入他人的设备会到这信息家电功能的混乱，而非法的入侵会导致主人隐私信息的泄露、家庭安全问题等，甚至使用入侵家电网络的手段实施入室盗抢等犯罪行为，导致主人遭受严重损失。验证设备的合法性可以有效的避免上述风险的产生，保证家电网中的设备都是主人所需要的自家设备。2 2 2 信息传递的保密性设备与网关直接、用户与网关之间传递的信息不可避免的会包含某些隐私信息，如果不对这些信息进行加密处理，不法分子很容易通过侦听、拦截的方式捕捉到这些隐私信息。在无线网络中，由于没有任何物理隔离的方法，所有的信息都在“空气”中自由散播，导致这一问题尤其明显。通过设置一套适合家电网络的底层传输协议，是保证设备与网关之间的信息传递安全可靠的方法。2 2 3 信息传递的健壮性健壮性是指数据在传输过程中不会被恶意或意外地改变。尽管信息传递的保密性能够保证数据在传输中不被窃取破译，但是不能保证传输中可能发生某种意外或者非授权情况下的破坏，同时也难以保证对信息家电体系安全模型的研究数据传输的顺序统一。而健壮性对传递的敏感数据是非常重要的，比如对信息家电的操作指令发生了改变，那么信息家电将很可能执行错误的指令，如果有人恶意攻击家电网络，伪造设备指令，很可能对家电主人的生命财产安全产生威胁。与保密性一样，合适的底层传输协议能够保证所传递的信息不会发生改变。2 3 权限与访问控制信息家电网络事实上是一个多用户、多任务并行的信息作业系统，由于家电种类的多样性、功能的复杂性、家庭成员的差异性，导致针对不同的家庭成员和不同的家电设备，必须有不同的作业方案。而这里的不同主要体现在两个方面：1 ) 针对不同的用户，在家电功能提供上应该存在个性化的差异。拿热水器的自动温控功能来做个比方，假设家里的男主人习惯于用3 8 摄氏度的水温洗澡，而女主人由于怕冷习惯于用4 0 度水温，那么在男主人使用完热水器后女主人再次启动时，温度应该自动的切换到4 0 度，而无需进行温度设定。这实际上类似于我们经常见到的“偏好设置 功能。2 ) 针对不同的用户，某些家电功能应该予以限制。这主要针对家中在某些能力方面存在缺陷的用户，比如要禁止儿童使用熨斗、高压锅、明火灶具等；另外也是家庭成员之间隐私保护的途径，比如给需要给私人储物柜加锁等等。这类功能则类似于信息系统中的权限控制功能，与信息家电安全有关，属于本文要研究的范畴。硕士学位论文因此我们需要针对信息家电网络的特点，设计一套身份验证和分权管理的机制，用于识别使用者的真实身份，并向使用者提供舒适、安全、精准的功能服务。2 3 1 用户身份验证由于信息家电中的家电功能使用均通过接口调用的方式触发，并且绝大多数情况是通过远程对象访问的模式触发的。因此，用户和家电设备、家电网关之间必须通过某种形式的身份验证机制来证明用户的身份，并且这种身份的验证必须是可传递、可维持的，从而才能实现对于不同用户的偏好管理、访问控制和日志记录。由于身份认证是整个安全模型的基础，因此认证系统本身的安全性就尤为重要。验证主体身份的方法通常有三种：一是只有该主体了解的秘密，如密码、安全问题等；二是主体携带的可用于识别的物体，如智能卡、令牌卡之类；三是只有该主体具有的独一无二的特征或能力，通常为人体测量学或生物统计学方面，如面向、虹膜、指纹、声音等。基于口令的认证方式是一种单要素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充；基于智能卡的认证方式是一种双要素的认证方式，需要口令和智能卡同时有效才能通过验证，即使口令或智能卡被窃取，用户仍不会被冒充，但是具有携带不方便、成本较高等缺点；利用生物学特征的身份验证机制提供了很高的安全性，但用于提供此类验证能力的软件或硬件目前并不完美，偶尔会发生识别错误而导致身份验证系统的失常。另外，由于信息家电系统是一个分布式的作业系统，要在分布式系统中进行身份识别需要的是统一身份验证系统。该系统一般部署在对信息家电体系安全模型的研究系统中心区，即家电网关上，面向各家电设备提供验证接口。如果考虑到家电设备支持协议的差异性，可能还要提供多种接口以满足众多的需求。统一身份验证系统包含用户数据库、验证接口、维护接口、访问协议等多部分，较传统的身份验证模块来说较为复杂。2 3 2 权限模型权限是指权限主体对权限客体具有的某种访问能力的描述，它由两个部分组成：一是对访问能力的区别表示，例如读访问和写访问是不同的；二是对访问的许可描述，例如许可或不许可。一套好的权限模型中会把访问能力用最细的粒度予以区分，在任何情况下，这些访问能力都是彼此独立的，从而在许可描述中只有许可或不许可之分，绝不会出现模棱两可的概念。在信息家电系统中，不但需要为用户赋予权限，而且还要为某些抽象对象赋予权限，这是因为作业流程的发起者并不一定是用户。比如，在信息家电发展到一定阶段之后，环境感知设备必然会产生，这类设备一般用于感知外部环境并触发相关作业流程，例如感知到下雨则触发流程以关闭门窗等。很明显这一流程的触发者是一个家电设备而不是用户，也需要为这样的抽象对象赋予某些权限。为此我们引入权限主体的概念，一个权限主体可以是一个用户，也可以是为了某些目的而特别设置的抽象对象，从而满足家电系统权限分配的需求。权限模型中还需要为整个信息家电安全体系设计各种权限的分类、权限的组合运算方法以及权限和继承模式等。由于作业流程的大量存在，还会涉及到权限传递方面的问题，即权限从一个操作传递到下一步操作，使得作业流程整体运行时得到全程的安全监控与保障。1 5硕士学位论文2 3 3 功能访问控制访问控制是指主体依据其所具有某些权限对客体进行访问的判断行为，一般也称谓访问控制规则。访问控制包括三个要素，即：主体、客体和权限。同样的，主体和客体都应该是系统中的原子主体，即不可再分割的主体。从而使得判断的结果只有许可和不许可之分。访问控制是信息家电安全保障机制的核心内容之一，它是实现数据保密性和完整性机制、对象访问合法性和可靠性的主要手段。访问控制是为了限制主体对客体的访问，从而使系统在合法的范围内使用。访问控制机制决定用户及代表一定用户利益的程序能做什么，做到什么程度。权限主体在经过身份认证以后，则将获得标明该主体身份的权限令牌，凭借该权限令牌在信息家电网络中活动。访问控制模块根据系统所分配给主体的权限令牌来判断用户的访问是否合法，如果是则允许访问，否则将终止访问并触发相应的错误反馈机制，以便让用户了解到家电系统的运行状况。访问控制规则在信息家电系统中是大量存在的，这些规则和身份验证密不可分，因此一般都将这些规则记录在身份验证系统中。由于规则太多，如果对所有的访问规则逐一保存，将占用大量的存储空间，也势必会影响系统运行的效率。因此，组的概念必不可少。而组又将分为规则组、对象组、权限主体组等，本文研究的模型中将提出一个较合理完善的组的概念，使得访问控制规则的描述变得条理化和逻辑化。2 4 安全策略与边界控制对信息家电体系安全模型的研究安全策略是介于访问控制之外的另一种控制方法，它和依照访问控制规则来进行访问限制的方法具有完全不同的模式。简单来讲，安全策略是常驻系统的检测程序，用于保证在某些条件下，某些访问不能被许可。例如，当主人不在家时，家门不能打开，明火灶具不能点火等。安全策略事实上是对信息家电系统安全的一个边界定义，这种边界又需要有软边界和硬边界之分。2 4 1 软边界所谓软边界是指除用户以外的权限主体所不能逾越的安全边界，由于流程触发的主体不是用户，那么对这类流程的执行权限势必要进行较严格的控制，从而能保护无人干预下的家电功能触发行为。例如系统中定义有某一流程中包含了开门的指令，而这一流程可以用非用户主体来触发，那么很有可能主人不在家时出现门户大开唱空城计的局面，但是如果我们定义了主人不在家则不能触发开门的操作的安全策略，就可以有效的避免这种情况的发生，除非主人回来了，因为主人回来时的开门操作，触发的主体是用户权限主体。2 4 2 硬边界硬边界是任何权限主体所不能逾越的安全边界，即使是家庭主人下达的指令也不被接受，除非主人先撤销这一策略，这主要是用于保护家电设备的安全，防止设备自身损坏或由此设备造成的其他设备损坏。比如家中的水路中包含净水设备，而净水设备在工作时不能处理超过3 0 度的热水，那么如果用户要洗澡时净水设备未关闭，则很可1 7硕士学位论文能导致净水设备的损坏。但是如果我们定义了这样的安全策略，在净水器工作时，热水器工作温度不能超过3 0 度，那么即使用户在使用热水器时疏忽了，也不能启动热水器，从而也不至于损坏净水设备。2 5 安全模型概述我们提出的信息家电体系安全模型，是对上述四个层面的汇总。其中，除了设备内部安全无法进行详细阐述外，本文将对其他的三个方面进行详细的说明。下图是信息家电体系安全模型的完整示意：”二，i 。r二；策略安全( 动态访问控制)：访问控制，身份认证准入策略审核；设备可靠性检查安全通信隧道虚拟专用网孺磁癌爨织铭缓妊魏落搿移籀密兹彩臻彩臻磁描毖施y 一、，家电设备远程用户图2 i厂liliiilj一、lllliiil，l家庭网关对信息家电体系安全模型的研究2 6 小结本节根据信息家电家庭系统结构的特点，参考一般的软件信息系统，类比分析了信息家电体系结构中可能会存在的安全问题，探讨了信息家电体系的安全需求，对安全体系的各个层面进行了归纳和分类。提出了从家电设备、基础网络、权限模型及安全策略四个方面对信息家电系统进行协同保障的体系安全模型，并针对每个模块所需实现的功能进行了简单的陈述。硕士学位论文3 信息家电基础网络安全本章我们将主要讨论信息家电网络技术中的基础网络安全问题。信息家电的组网包括内部网和外部网两部分。其中内部网的主要用途是实现设备与设备之间的互联，而外部网则实现网关与i n t e r n e t 之间的互联。基本的组网拓扑包括总线型、环型、星型三种基本结构。实际中的网络拓扑结构是上述三种拓扑结构的组合。例如几个节点采用环型网互联，而这些节点又作为其他某些节点组成的星型结构的中心节点。常见的复合拓扑结构有树型拓扑结构、网型拓扑结构以及蜂窝拓扑结构等。信息家电家庭外部网由于需要与i n t e m e t 互联，必须使用网络接入提供商所支持的接入方式，支持t c p i p 协议。这和一般的计算机入网的方式是一样的，其安全保障也可参考当前成熟的防火墙、入侵检测系统、安全边界系统来实现，在本文中不做过多探讨。而家庭内部网则是一个封闭独立的网络系统，为了使内部网具有更好的可扩展性，家庭装潢具有更高的随意性，家庭内部网的互联实现应当以无线网为主、有线网为辅。同时为了信息家电系统的规整性，我们要求家电设备之间不能直接互相通信，而是必须通过家电网关来中转，因此家电内部网在逻辑结构上更像一个星型拓扑网络，其中心节点是家电网关。本节内容主要就信息家电内部网的基础安全部分进行探讨，主要提出了一套针对家电内部网的安全机制，对外部网的安全保障方案也对信息家电体系安全模型的研究做了简单的叙述。3 1 密码学概述密码学是研究编制密码和破译密码的技术科学。密码在信息技术中主要用于信息通信方面，作用有信息保密和信息防伪两种，它是通信双方按约定的法则进行信息特殊变换的一种重要手段。约定的法则包括加密变换和解密变换两种，某些法则既包含加密变换也包含解密变换，可以实现明文和密文的互相转换；另外某些法则仅包含加密变换，所得到的密文不能转换为明文，此类法则又称信息摘要算法。密码在早期仅对文字进行加、解密变换，随着通信技术的发展，对任何数据都可实施加、解密变换，包括声音、影像等。密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果，特别是各国政府现用的密码编制及破译手段都具有高度的机密性。进行明文密文变换的法则，称为密码的算法。指示这种变换的参数，称为密钥。它们是密码编制的重要组成部分。密码体制的基本类型可以分为四种：1 、) 错乱错乱是按照规定的图形或线路，改变明文字符的位置以成为密文。2 ) 代替用一个或多个代替表将明文字符代替为密文。硕士学位论文3 ) 密本用预先编定的字符组，代替一定的字符组，从而实现变明文为密文的目的。4 ) 加乱用有限元素组成的一串序列作为乱数，按规定的算法，同明文序列相结合变成密文。以上四种密码算法，既可单独使用，也可混合使用，以编制出各种复杂度很高的实用密码。密码算法根据其加密密钥和解密密钥的差异分为对称加密算法和非对称加密算法两类：3 1 1 对称加密算法对称加密算法，是指数据加密和解密采用的都是同一个密钥的算法，因此，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码( 称为对称密码) 。在对称密钥密码算法中，加密运算与解密运算使用同样的密钥，因而其安全性依赖于所持有密钥的安全性。对称加密算法使用起来简单快捷，密钥较短，且破译困难。图3 1目前最著名的对称加密算法有数据加密标准d e s 和欧洲数据加密标准i d e a 等，加密强度最高的对称加密算法是高级加密标准a e s 。对信息家电体系安全模型的研究l 、数据加密算法数据加密算法( d a t ae n c r y p t i o na l g o r i t h m ，d e a ) 的数据加密标准( d a t ae n c r y p t i o ns t a n d a r d ，d e s ) 是规范的描述，它出自i b m 的研究工作，并在1 9 7 7 年被美国政府正式采纳。它目前是使用最广泛的密钥系统，特别是在保护金融数据的安全中，最初开发的d e s 是嵌入硬件中的。通常，自动取款机( a u t o m a t e dt e l l e rm a c h i n e ，删)都使用d e s 。d e s 的常见变体是三重d e s ，使用1 6 8 位的密钥对资料进行三次加密的一种机制；它通常( 但非始终) 提供极其强大的安全性。如果三个5 6 位的子元素都相同，则三重d e s 向后兼容d e s 。i b m 曾对d e s 拥有几年的专利权，但是在1 9 8 3 年已到期，并且处于公有范围中，允许在特定条件下可以免除专利使用费而使用。2 、国际数据加密算法国际数据加密算法( i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ，i d e a ) 是旅居瑞士中国青年学者来学嘉和著名密码专家j m a s s e y 于1 9 9 0 年提出的。它在1 9 9 0 年正式公布并在以后得到增强。这种算法是在d e s 算法的基础上发展出来的，类似于三重d e s 。发展i d e a也是因为感到d e s 具有密钥太短等缺点，已经过时。i d e a 的密钥为1 2 8 位，这么长的密钥在今后若干年内应该是安全的。类似于d e s ，i d e a 算法也是一种数据块加密算法，它设计了一系列加密轮次，每轮加密都使用从完整的加密密钥中生成的一个子密钥。与d e s 的不同处在于，它采用软件实现和采用硬件实现同样快速。由于i d e a 是在美国之外提出并发展起来的，避开了美国法律上对加密技术的诸多限制，因此，有关i d e a 算法和实现技术的书籍都可以自由出版和交流，可极大地促进i d e a 的发展和完善。但由于该算法出现的时间不2 3硕士学位论文长，针对它的攻击也还不多，还未经过较长时间的考验。因此，尚不能判断出它的优势和缺陷。i d e a 算法被采用在p g p ( p r e t t yg o o dp r i v a c y ) 技术中。由于在对称加密算法中加解密双方都要使用相同的密钥，因此在密文的传递之前，必须完成密钥的分发。因此，密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。各种基本的手段均很难保障安全地完成此项工作。从而，使密钥更新的周期加长，给他人破译密钥提供了机会。实际上这与传统的保密方法差别不大。在历史战争中，破获他国情报的纪录不外是两种方式：一种是在敌方更换“密码本”的过程中截获对方密码本；另一种是敌人密钥变动周期太长，被长期跟踪，找出规律从而被破获。3 1 2 非对称加密算法1 9 7 6 年，美国学者d i m e 和h e n m a n 为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息安全地达成一致的密钥，也称作公开密钥系统。相对于对称加密算法，这种方法也叫做非对称加密算法。其通信过程如图3 2 所示：图3 22 4对信息家电体系安全模型的研究与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥( p u b l i ck e y ) 和私有密钥( p r i v a t ek e y ) 。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫做非对称加密算法。非对称加密算法的一般工作原理如下：1 、加密与解密是由不同的密钥完成的。的；2 、加密：x y ：y = e 列；3 、解密：y _ x ：x = d k r ( y ) = d r , g ( e k u ( x ) ) ；4 、知道加密算法，从加密密钥得到解密密钥在计算上是不可行5 、两个密钥中任何一个都可以用作加密，而另一个用作解密，即有：x 之d 媳( e 娜) = e k u ( d 媳)常见的非对称加密算法有r s a 、d s ah a s h 函数等。其中r s a函数是依赖于大数分解的一种算法，其安全性基本等同于分解一个大数的难度，同时由于其进行的都是大数计算，使得r s a 最快的情况也比d e s 慢上1 0 0 倍，无论是软件还是硬件实现，速度一直是r s a的缺陷。一般来说只用于少量数据加密。d s a 是基于整数有限域离散对数难题的，其安全性与r s a 相比差不多，被美国n i s t 作为数字签名的标准( d s s ，d i g i t a ls i g n a t u r es t a n d a r d ) 。2 s硕士学位论文3 2 基于通信隧道的链路安全机制链路安全是指信息家电网络中用于通信的双方之间链路的安全性，包括对通信双方的识别，以及对通信内容的保密和防伪。我们倾向于使用与物理链路无关的通信协议来作为信息家电家庭网络的基础协议，而t c p i p 协议模型则是很好的典范。在t c p i p 协议栈中，直接用于应用程序通信的实际为第四层协议，常用的有t c p 和u d p两种，其中的传输控制协议( t c p ) 是一种面向连接( 连接导向) 的、可靠的、基于字节流的通信协议，这种通信协议满足应用程序之间经常需要可靠的、像管道一样的连接的需求，因而在i n t e m e t 上被大范围的应用。但是t c p i p 协议本身并不具有通信加密之类的安全保障能力，为此我们提出通信隧道的概念：通信隧道是建立在网络第四层的会话，通常使用t c p 协议来传输数据。同时通信双方均使用通信托管协议的形式将真实通信的数据封装在通信隧道中来传输，以此保障通信链路的安全。3 2 1 通信隧道的建立通信隧道实际上是一个t c p 连接，但是传输的数据是采用d e s算法加密过的密文。隧道建立的机制也和t c p 连接的建立方式类似，即三次握手机制。所不同的是，由于通信隧道具有加密功能，需要在t c p 握手包中包含用于校验对称密钥的验证数据。握手报文结构如图3 3 所示：对信息家电体系安全模型的研究i p 报文头1 6 位源端口1 6 位目的端口序号( s e q n )确认序号( a c k n )4 位包保留c勺刃吲头长刃o 3 0 ，当前是否有正在运行的空调的命题为d e v i c e g a t e w a y f i n d r u n n i n g d e v i c e b y t y p e ( a i r c o n t i t i o n