【技术实现步骤摘要】
一种基于设备物理指纹特征的无线网络接入安全防护系统及方法
本专利技术涉及信息安全领域,尤其涉及一种基于设备物理指纹特征的无线网络接入安全防护系统及方法。
技术介绍
任何电子元件都是非线性的,因此,待识别的无线设备的发射机内部存在大量的非线性源,极大地使设备发出的信号产生差异化,即使对于同一厂家同一批次的产品,也会由于生产设备的不可控因素产生特殊的非线性特性。对这一特征的提取就形成了设备物理指纹提取技术。相比于传统的设备身份认证方法,物理指纹提取技术可以有效的抵御伪造,篡改等攻击,具有物理不可克隆的特性。另一方面,当前网络安全系统广泛采用了白名单、黑名单的方法对无线接入设备的链路层身份标识进行认证。然而设备的身份标识是易于伪造的,这就使得单一针对身份标识的防护容易失效。通常使用额外的网络层及以上的端到端的设备认证来克服这一网络安全系统的缺陷,然而端到端的设备认证必须同时改造原有无线网络系统的无线设备和接入端设备,对于工业产品来说,任何原厂之外的改造都在实践上是不可行的。
技术实现思路
专利技术目的:为了解决现有技术存在的问题,尤其针对链路层身份标识的任意伪造或者对原有系统的改造的情况,可以对不同设备进行身份认证,提升无线网络接入系统的安全性,本专利技术提供一种基于设备物理指纹特征的无线网络接入安全防护系统。本专利技术的另一目的是提供一种基于设备物理指纹特征的无线网络接入安全防护方法技术方案:一种基于设备物理指纹特征的无线网络接入安全防护系统,包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元;所述无线设 ...
【技术保护点】
1.一种基于设备物理指纹特征的无线网络接入安全防护系统,其特征在于,包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元;所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接,安全规则匹配单元连接到无线连接阻断单元;且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元,且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输;所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识;所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:储存、匹配安全规则和转发被安全规则标识的合法数据,所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系; ...
【技术特征摘要】
1.一种基于设备物理指纹特征的无线网络接入安全防护系统,其特征在于,包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元;所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接,安全规则匹配单元连接到无线连接阻断单元;且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元,且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输;所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识;所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该程序时实现:储存、匹配安全规则和转发被安全规则标识的合法数据,所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。2.根据权利要求1所述的基于设备物理指纹特征的无线网络接入安全防护系统,其特征在于,所述无线设备物理指纹与身份标识提取单元还用于解析对应无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用身份识别符。3.根据权利要求1或2所述的基于设备物理指纹特征的无线网络接入安全防护系统,其特征在于,所述安全规则匹配单元用于根据存储的安全规则和从无线设备物理指纹与身份标识提取单元中输入的无线设备物理指纹和无线设备链路层身份标识判断从无线网络接口单元输入的数据的合法性。4.根据权利要求1或2所述的基于设备物理指纹特征的无线网络接入安全防护系统,其特征在于,所述安全规则匹配单元用于根据存储的安全规则中链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系,判断从内部网络接口单元输入、即将转发到无线网络接口单元的数据的合法性。5.一种基于设备物理指纹特征的无线网络接入安全防护方法,其特征在于,包括以下步骤:步骤一:预先在安全规则匹配单元中输入安全规则,安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系;步骤二:接收无线设备发送的无线信号,无线设备物理指纹与身份标识提取单元对所述无线信号进行扫描、无线设备物理指纹提取,并同时对无线设备链路层身份标识进行解析,并将提取的结果和解析的结果传输至安全规则匹配单元;同时,所...
【专利技术属性】
技术研发人员:方昊,胡爱群,姜禹,彭林宁,宋宇波,
申请(专利权)人:南京东科优信网络安全技术研究院有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。