数字家庭网络安全技术的研究

　　随着数字家电的普及，数字家庭网络技术市场前景越来越广阔。互联网使我们的生活变得丰富多彩，也带来了很大的方便，但是在我们充分享受网络所带来的快乐时，也面临着越来越多的安全隐患。

　　1 数字家庭网络的概念

　　家庭网络（Home Network）是近年来随着Internet的普及和通信技术的发展出现的一个新概念，它是计算机、家电、通信等多种技术相结合的产物，数字家庭网络（Digital Home Network）是指通过家庭网关将公共网络功能和应用延伸到家庭，并以有线网络或无线网络连接各种信息终端（如家电、PC等），提供语音、数据、多媒体、控制和管理等功能，达到信息在家庭内部终端之间及其与外部公网的充分流通和共享。

　　信息家电（Information Appliance）是计算机、通信和消费类电子产品三者融合的产物。其实质是将数字技术和网络技术引入家用电器领域，用以接收、发布、处理信息，使之成为网络终端，甚至成为信息处理终端。也可以简单地说凡是能上网的设备都可以叫信息家电。

　　用户通过数字家庭网络可以享受以下服务：上网、IP电话、VOD点播、基于ASP的海量存储和个性化的信息服务、互动的娱乐游戏、远程网络上的家庭控制和安全服务管理等。

　　2 家庭网络安全的问题

　　网络发展给人带来巨大便利的同时，其安全问题也日益严重。当前网络安全面临的主要威胁有：内部截取和破坏、截收、非法访问、破坏信息的完整性、冒充、植入、Dos（Denial Of Service）攻击、邮件入侵和病毒等。

　　当用户室外操作家里的信息家电时，他所发出的命令必须保证连接到自家的信息家电，并且能够正确操作，而不是错误地控制了别的设备或别家的信息家电。信息家电的安全越来越受到人们关注，如何解决好这些安全问题，给用户提供一个安全、可靠和稳定的家庭网络环境。如何保证信息家电在网络通信中的机密性、完整性和访问控制，甚至为家庭网络环境提供隐私保保护？

　　3 如何维护家庭网络的安全

　　家庭网络需要通过家庭网关来实现安全管理，主要包括外网安全管理和内网安全控制。外网安全管理主要管理来自于外网的访问，避免外网攻击，实现策略包括访问者身份验证、访问者授权等。采用的身份验证技术有用户名/口令源I P地址检查、电话号码确认、CA证书等。内网安全控制主要判断网络家电的接入和访问是否安全。采用无线网络接入的网络家电对接入安全要求较高。所以，采用必要的无线接入安全认证是解决家庭网络内网安全控制的一种方法。

　　1）家庭网络安全的相关技术

　　家庭网络由以下两大部分组成：一是家庭网关。这是整个家庭网络与外部网络发生联系的桥梁，也是数字家庭各种业务和应用的关键。如图1所示，它可以从不同的外部网络接收通信信号，通过家庭网络传递信号给某个设备。二是各种信息终端设备和智能家电设备。在一个家庭网络中，各类终端互联并与家庭网关相连，通过家庭内部的有线或无线网络，实现家庭网络各信息终端设备和智能家电设备的自组织联网并提供自动发现和配置功能。

　　作为家庭设备连接宽带网络的关口，家庭网关承担着保护家庭网络安全的重大责任，因此，网关必须具备防攻击、防入侵的能力。通过家庭网关可为家庭网络提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。

　　家庭网络所涉及到的安全主要有以下几个方面。首先是实现整个家庭网络的安全机制，家庭网络采用统一的家庭网关设备接入外部网络，需要在家庭网关上实现防火墙一类的安全机制，保证家庭网络与外部网络的信息隔离，保护家庭的隐私性；其次是安全认证方面，需要有一定的安全认证机制，拒绝未经授权的设备接入；最后是家庭中数字媒体内容的安全机制，可以采用主动的加密安全机制，也可以采用被动的数字水印安全技术，目的是实现家庭媒体内容的安全保护和版权机制。通过家庭网关可为家庭网络提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。家庭网关所采用的安全技术包括：

　　多SSID和VLAN技术：为了适应市场的需求，Netgear商用无线AP目前已经全面支持无线网VLAN功能，无线网VLAN功能使得无线用户在漫游到无线网络的不同区域后，仍然能够保持自己原有的VLAN信息，维护自己在网络中的相应权限。无线家庭网关可以通过802.11X进行家庭内部组网，家庭网关支持多SSID可以实现虚拟AP功能。不同的SSID可以采用不同的认证方式及访问权限，也可映射为不同的VLAN，实现公共热点与家庭内部网之间的网络隔离。

　　NAT：将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。

　　802.1X认证：802.1X基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（access port）访问家庭网络。认证可以实现双向认证，动态密钥管理等安全特性。IEEE802.1X为每个端口（物理端口/逻辑端口）都定义了一个受控子端口和一个非受控子端口。非受控子端口主要用于认证消息包，而受控子端口在认证成功之前是关闭的，只有在认证成功之后才完全打开，用户从而可以进行正常的通信。802.1X解决的是用户与网络之间的鉴别机制问题，另外802.1X还定义了一套动态密钥协商管理机制，支持无线口组播和单播密钥的动态协商。

　　WEP和WAP：WEP是802.11标准、定义了链路级安全机制，支持共享密钥方式鉴权和MAC层数据加密，密匙长度为40位或104位，使用RC4对称流加密算法。WEP安全性非常脆弱，其密钥容易破译。容易实施各种攻击如DoS、重放等。WAP V1.0采用802.1x认证或共享密钥认证．在加密算法上采用基于WEP算法的TKIP。TKIP在WEP基础上增加了一些新的辅助算法函数，以支持对MSDU的加密，分片，数据源的验证及防重播保护等功能。

　　AAA认证：部分高端型号家庭网关具有认证点的功能，家庭网络是扩展的网络，应用AAA认证，可以对接入家庭内部网络的用户进行验证、授权及记账功能。

　　CA技术：CA技术是安全认证技术的一种，它基于公开密钥体系通过安全证书来实现。安全证书采用国际标准的X.509证书格式，主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥，证书的有效期以及其他一些附加信息。证书由发证CA数字签名，保证了证书不可伪造并目不能被更改。安全证书的操作采取离线分发、本地验证的方式。

　　包过滤技术：IP报文的IP报头及所承载的上层协议（如TCP）报头的每个域包含了可以由路由器进行处理的信息。家庭网关提供了基于接口的包过滤，即可以在宽带上行口的进出两个方向上对报文进行过滤。同时还提供了基于时间段的包过滤，可以规定过滤而其余时间则禁止FTP连接。

　　VPN技术：虚拟私有网（Virtual Private Network）简称为VPN，是近年来随着Internet的发展而迅速发展起来的一种技术。主要分为Access VPN和Intranet VPN。远程用户可以通过Access VPN接入家庭网关，实现对家庭网络的安全远程访问和控制。家庭网关可通过Intranet VPN接入公司的VPN网关。实Intranet。

　　ASPF技术：ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。家庭网关提供基于报文内容的访问控制，ASPF能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、SYN Flooding、Packet Injection的检测。

　　IDS技术：入侵检测系统（IDS）可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。入侵检测系统全称为Intrusion Detective System，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，入侵检测被认为是防火墙之后的第二道安全闸门。

　　2）家庭网络安全技术的实现

　　信息家电安全技术具有基本的身份验证和权限检查，利用访问控制来实现。访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问，是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

　　与此同时，对家庭网关的日志记录和动态的审计跟踪功能，可以为用户分析家庭网络安全、智能检测和报警提示提供了强有力的安全保障。

　　当然，目前并没有比较完全的家庭网络安全机制，还有待更深入的研究。