一种基于设备物理指纹特征的无线网络接入安全防护系统及方法技术方案

发明专利技术公开了一种基于设备物理指纹特征的无线网络接入安全防护系统及方法，系统包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元。无线设备物理指纹与身份标识提取单元从无线信号中提取出各无线设备的物理指纹，并解析出对应的设备链路层身份标识信息，将信息汇报给安全规则匹配单元；安全规则匹配单元依据安全规则将该信息与无线网络接口单元、内部网络接口单元上报的数据进行匹配，匹配不成功则阻断其连接。本发明专利技术不改变原有无线网络接入系统架构，对接入内部网络的无线设备进行身份认证，增强网络系统的安全性，适用于基于物理层安全的相关技术和传统网络安全相关技术。

【技术实现步骤摘要】
一种基于设备物理指纹特征的无线网络接入安全防护系统及方法
本专利技术涉及信息安全领域，尤其涉及一种基于设备物理指纹特征的无线网络接入安全防护系统及方法。
技术介绍
任何电子元件都是非线性的，因此，待识别的无线设备的发射机内部存在大量的非线性源，极大地使设备发出的信号产生差异化，即使对于同一厂家同一批次的产品，也会由于生产设备的不可控因素产生特殊的非线性特性。对这一特征的提取就形成了设备物理指纹提取技术。相比于传统的设备身份认证方法，物理指纹提取技术可以有效的抵御伪造，篡改等攻击，具有物理不可克隆的特性。另一方面，当前网络安全系统广泛采用了白名单、黑名单的方法对无线接入设备的链路层身份标识进行认证。然而设备的身份标识是易于伪造的，这就使得单一针对身份标识的防护容易失效。通常使用额外的网络层及以上的端到端的设备认证来克服这一网络安全系统的缺陷，然而端到端的设备认证必须同时改造原有无线网络系统的无线设备和接入端设备，对于工业产品来说，任何原厂之外的改造都在实践上是不可行的。
技术实现思路
专利技术目的：为了解决现有技术存在的问题，尤其针对链路层身份标识的任意伪造或者对原有系统的改造的情况，可以对不同设备进行身份认证，提升无线网络接入系统的安全性，本专利技术提供一种基于设备物理指纹特征的无线网络接入安全防护系统。本专利技术的另一目的是提供一种基于设备物理指纹特征的无线网络接入安全防护方法技术方案：一种基于设备物理指纹特征的无线网络接入安全防护系统，包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元；所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接，安全规则匹配单元连接到无线连接阻断单元；且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元，且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输；所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识；所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：储存、匹配安全规则和转发被安全规则标识的合法数据，所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系；所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。优选的，所述无线设备物理指纹与身份标识提取单元还用于解析对应无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用身份识别符。优选的，所述安全规则匹配单元用于根据存储的安全规则和从无线设备物理指纹与身份标识提取单元中输入的无线设备物理指纹和无线设备链路层身份标识判断从无线网络接口单元输入的数据的合法性。优选的，所述安全规则匹配单元用于根据存储的安全规则中链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系，判断从内部网络接口单元输入、即将转发到无线网络接口单元的数据的合法性。一种基于设备物理指纹特征的无线网络接入安全防护方法，具体包括以下步骤：步骤一：预先在安全规则匹配单元中输入安全规则，安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系；步骤二：接收无线设备发送的无线信号，无线设备物理指纹与身份标识提取单元对所述无线信号进行无线设备物理指纹提取，并同时对无线设备链路层身份标识进行解析，并将提取的结果和解析的结果传输至安全规则匹配单元；同时，所述无线信号经由无线网络接口单元的物理层协议解析变成链路层数据包传输至安全规则匹配单元；同时，内部网络接口单元将内网发出的链路层数据包传输至安全规则匹配单元；步骤三：安全规则匹配单元根据无线设备物理指纹与身份识别提取单元上报的提取结果及解析结果，标识出当前在线的无线设备，并记录当前在线设备的物理指纹特征对应的链路层身份标识；安全规则匹配单元查看无线设备物理指纹与身份标识单元上报数据中的无线设备的链路层身份标识，并和无线网络接口单元上报的链路层数据包中的无线设备链路层身份标识作匹配，将无线网络接口上报的链路层数据包与无线设备物理指纹与身份标识单元上报的物理指纹特征进行绑定，随后对这一绑定了指纹特征的数据包和步骤一预存的安全规则进行匹配，从而判断从无线网络接口传来的链路层数据包的链路层身份标识是否与安全规则中预先输入的无线设备物理指纹相匹配；如不匹配，则执行步骤四；若匹配，将无线网络接口上报的链路层数据包标记为合法数据，并将合法数据转发至内部网络接口；安全规则匹配单元将无线设备物理指纹与身份标识单元上报数据中的无线设备物理指纹特征进行存储，标记为当前在线的无线设备的物理指纹；同步的，安全规则匹配单元将内部网络接口单元上报的链路层数据包与步骤一预存的安全规则进行匹配，从而获得安全规则中预存的合法无线设备的物理指纹特征，并与内部网络接口单元上报的链路层数据包进行绑定，最后安全规则匹配单元判断链路层数据包绑定的合法设备物理指纹与当前在线的设备的物理指纹是否匹配；如不匹配，则执行步骤四；若匹配，将内部网络接口上报的链路层数据包标记为合法数据，并将合法数据转发至无线网络接口；步骤四：无线连接阻断单元对不匹配的无线设备进行阻断操作，阻止该设备继续连接无线网络接口单元，并向内部网络发出警报。优选的，步骤二还包括无线设备物理指纹与身份识别提取单元对无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符的解析，并将解析结果传输至安全规则匹配单元；步骤三中的判断还包括从无线网络接口和内部网络接口而来的链路层数据负载中包含的网络层地址、传输层端口与应用层身份标识符是否与安全规则中预先输入的设备物理指纹匹配。有益效果：本专利技术提出的系统和方法可以在不改变原有无线网络接入系统架构的基础上，在接入端附加一套系统，将对无线信号中物理指纹特征的提取和对无线信号中包含的身份标识信息的解析同时进行，将传统的基于链路层身份标识的安全规则提升为包含了物理指纹-链路层身份标识二元组的安全规则，甚至是包含了物理指纹-链路层身份标识-网络层地址-传输层端口-应用层身份标识的多元组的安全规则，既避免了对链路层身份标识的任意伪造，又避免了对原有系统的改造，无线网络接入单元和内部网络接入单元可以完全使用既有网络中的设备而无须改造，利用无线设备的物理指纹特征与身份标识信息对接入内部网络的无线设备进行身份认证，从而增强网络系统的安全性，适用于基于物理层安全的相关技术和传统网络安全相关技术。附图说明图1为基于设备物理指纹特征的无线网络接入安全防护系统的系统构成图；图2为基于设备物理指纹特征的无线网络接入安全防护方法的处理流程图；图3为基于设备物理指纹特征的无线网络接入安全防护方法的物理指纹特征提取与设备身份标识解析流程图；图4为基于设备物理指纹特征的无线网络接入安全防护方法的从无线网络到内部网络的安全规则匹配流程图本文档来自技高网...

【技术保护点】
1.一种基于设备物理指纹特征的无线网络接入安全防护系统，其特征在于，包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元；所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接，安全规则匹配单元连接到无线连接阻断单元；且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元，且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输；所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识；所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：储存、匹配安全规则和转发被安全规则标识的合法数据，所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系；所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。...

【技术特征摘要】
1.一种基于设备物理指纹特征的无线网络接入安全防护系统，其特征在于，包括无线设备物理指纹与身份标识提取单元、无线网络接口单元、内部网络接口单元、安全规则匹配单元和无线连接阻断单元；所述无线设备物理指纹与身份标识提取单元、无线网络接口单元和内部网络接口单元均与安全规则匹配单元相连接，安全规则匹配单元连接到无线连接阻断单元；且信号传输方向为从无线设备物理指纹与身份标识提取单元到安全规则匹配单元、从安全匹配单元到无线连接阻断单元，且无线网络接口单元与安全规则匹配单元之间、内部网络接口单元与安全规则匹配单元之间的信号双向传输；所述无线设备物理指纹与身份标识提取单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：提取无线信号中无线设备的物理指纹特征、按照链路层协议解析对应无线设备的链路层身份标识；所述安全规则匹配单元包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行该程序时实现：储存、匹配安全规则和转发被安全规则标识的合法数据，所述安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系；所述无线连接阻断单元用于阻断匹配不成功的无线设备与无线网络接口的连接。2.根据权利要求1所述的基于设备物理指纹特征的无线网络接入安全防护系统，其特征在于，所述无线设备物理指纹与身份标识提取单元还用于解析对应无线设备的链路层数据负载中包含的网络层地址、传输层端口与应用身份识别符。3.根据权利要求1或2所述的基于设备物理指纹特征的无线网络接入安全防护系统，其特征在于，所述安全规则匹配单元用于根据存储的安全规则和从无线设备物理指纹与身份标识提取单元中输入的无线设备物理指纹和无线设备链路层身份标识判断从无线网络接口单元输入的数据的合法性。4.根据权利要求1或2所述的基于设备物理指纹特征的无线网络接入安全防护系统，其特征在于，所述安全规则匹配单元用于根据存储的安全规则中链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系，判断从内部网络接口单元输入、即将转发到无线网络接口单元的数据的合法性。5.一种基于设备物理指纹特征的无线网络接入安全防护方法，其特征在于，包括以下步骤：步骤一：预先在安全规则匹配单元中输入安全规则，安全规则包括链路层身份标识、网络层地址、传输层端口号和应用层身份标识与无线设备物理指纹的绑定关系；步骤二：接收无线设备发送的无线信号，无线设备物理指纹与身份标识提取单元对所述无线信号进行扫描、无线设备物理指纹提取，并同时对无线设备链路层身份标识进行解析，并将提取的结果和解析的结果传输至安全规则匹配单元；同时，所...

【专利技术属性】
技术研发人员：方昊，胡爱群，姜禹，彭林宁，宋宇波，
申请(专利权)人：南京东科优信网络安全技术研究院有限公司，
类型：发明
国别省市：江苏,32