技术领域
[0001] 本公开总体涉及网络安全,并且具体涉及对经由端口转发可
访问的设备的保护。
背景技术
[0002] 本部分是旨在向读者介绍可能与下文所述的和/或所要求保护的本公开的各个方面相关的技术的各方面。该讨论有助于向读者提供背景信息以便帮助更好地理解本公开的各方面。因此,应当理解:这些陈述应按这种方式解读,而不是作为对
现有技术的承认。
[0003]
物联网(IoT)是由相连的
嵌入式系统组成的,所述嵌入式系统通常很小并且是专
门化的,如不同种类的
传感器。IoT目前正在迅速发展。根据于2011年4月出版的Dave Evans的“The Internet of Things-How the Next Evolution of the Internet Is Changing Everything”,思科估计2020年IoT设备的数量将达到500亿。
[0004] IoT设备嵌入有
固件或
操作系统(OS)。由于各种原因,IoT设备倾向于是无人维护的,这意味着IoT设备执行旧版本
软件和/或收到的保护不足,参见Andrei Costin等人的“A rdLarge-Scale Analysis of the Security of Embedded Firmware”23 USENIX Security Symposium,2014。因此,IoT设备可能存在大量的安全漏洞,参见Andrei Costin等人的“Automated Dynamic Firmware Ahalysis at Scale:A Case Study on Embedded Web Interfaces”Proceedings of the 11th ACM on Asia Conference on Computer and Communications Security,2016。
[0005] 鉴于IoT设备数量巨大且数量在不断增加,这些漏洞带来了严重的安全问题:攻击者可以利用这些漏洞来控制大量物联网设备,并且将这些漏洞用于不同的攻击(例如,拒绝服务(DoS)攻击)。根据TimGreene在2016年9月23日发布在Network World上的“Largest DDoS attack ever delivered by botnet of hijacked IoT devices”,部署的IoT设备数量越多,问题就越大,但即使是目前部署的IoT设备也足以被僵尸网络用于发起大规模DoS攻击。
[0006] 可以控制IoT设备的一个原因在于:这些IoT设备通常需要使得它们的服务是可通过互联网远程访问的,以使合法用户能够使用这些IoT设备提供的服务。一个示例是具有嵌入式web
服务器的IoT相机,该嵌入式web服务器提供对
视频流的访问。
[0007] 实现远程访问的普通常规方式是将动态DNS(DDNS)和端口转发进行组合。在DDNS中,用于访问IoT设备的域名导向提供对IoT设备的访问的连接设备(例如,网关)的互联网协议地址(可能是变化的)。端口转发将连接设备外侧上的特定端口映射到连接设备内侧上的特定端口。因此,与IoT设备的连接转到外部端口,在所述外部端口处该连接转换为IoT设备所连接的内部端口。
[0008] 可以理解的是,使用DDNS和端口转发将IoT设备暴露给了因特网,从而暴露给可能的攻击。事实上,攻击者可以利用
机器人搜索IoT设备,然后利用已知的漏洞来控制IoT设备。在某些情况下,漏洞可以简单如继续使用默认登录名和密码(例如,“admin”和“admin”)。由于使用机器人的攻击可以实现自动化,因此攻击者可以控制大量(可以达数百万)IoT设备。
[0009] 可以理解的是,希望具有这样一种解决方案,其至少克服与通过使用端口转发的网关可访问的IoT设备的保护相关的一部分传统问题。本公开原理提供了这样的解决方案。
发明内容
[0010] 在第一方面中,本公开原理涉及一种互连设备,包括:多个传出端口;多个传入端口;
存储器,被配置为存储从传入端口到传出端口的至少一个端口转换;以及至少一个处理器,被配置为:确定来自发端设备的传入连接是否是在针对其存储器存储了端口转换的传入端口处接收的;在传入连接是在针对其存储器存储了端口转换的传入端口处接收的情况下,向发端设备返回质询,所述质询旨在将人与计算机区分开;接收针对质询的响应;验证所述响应是否是针对质询的正确响应,在所述响应是针对质询的正确响应的情况下,将所述连接转发给根据端口转换与接收到传入连接的传入端口相对应的传出端口。
[0012] ·多个传出端口包括被配置用于到第一设备的第一端口。质询可以是多种类型的质询中的一种质询,并且至少一个
硬件处理器还被配置为确定在第一端口上运行的服务的类型,并且根据服务的类型来确定质询的类型。质询可以是用于将计算机与人分开的完全自动化的公共
图灵测试(CAPTCHA),特别是web CAPTCHA和文本CAPTCHA。
[0013] ·在传入连接是超文本传输协议(HTTP)连接的情况下,至少一个硬件处理器被配置为通过向受控web门户呈现用于将计算机与人分开的web完全自动化公共图灵测试(CAPTCHA)来返回质询,并且使用HTTP重定向转发连接。
[0014] ·在传入连接是安全套接字层(SSL)或Telnet连接的情况下,至少一个硬件处理器被配置为通过向受控终端呈现用于将计算机与人分开的文本完全自动化公共图灵测试(CAPTCHA)来返回质询,并且通过终止连接并且转发来自发端设备的另一连接来转发连接。
[0015] ·至少一个硬件处理器还被配置为:在接收到针对质询的正确响应时,发起
声明,使得来自发端装置的后续连接在无需返回质询的情况下就被转发。
[0016] 在第二方面中,本公开原理涉及一种在互连设备处的方法。传入端口接收来自发端设备的传入连接,至少一个硬件处理器确定是否对所述传入端口实现了端口转换。在对所述传入端口实现了端口转换的情况下,至少一个硬件处理器向发端设备返回旨在将人与计算机区分开的质询。至少一个硬件处理器验证响应于质询而接收到的响应是否是针对质询的正确响应,并且在响应是针对质询的正确响应的情况下,将所述连接转发给根据端口转换与接收到传入连接的传入端口相对应的传出端口。
[0017] 第二方面的各种实施例包括:
[0018] ·质询是多种类型质询中的一种质询,并且所述方法还包括确定在转换后的端口上运行的服务的类型,并且根据服务的类型来确定质询的类型。
[0019] ·在传入连接是超文本传输协议(HTTP)连接的情况下,至少一个硬件处理器通过向受控web门户呈现用于将计算机与人分开的web完全自动化公共图灵测试(CAPTCHA)来返回质询,并且使用HTTP重定向转发连接。
[0020] ·在传入连接是安全套接字层(SSL)或Telnet连接的情况下,至少一个硬件处理器通过向受控终端呈现用于将计算机与分分开的文本完全自动化公共图灵测试(CAPTCHA)来返回质询,并且通过终止连接并且转发来自发端设备的另一连接来转发连接。
[0021] ·在接收到针对质询的正确响应时,至少一个硬件处理器发起声明,使得来自发端设备的后续连接在不返回质询的情况下就被转发。
[0022] 在第三方面中,本公开原理涉及一种包括指令的计算机可读存储介质,所述指令在由计算机执行时使所述计算机执行根据第二方面所述的方法的步骤。
附图说明
[0023] 现在将参考附图通过非限制性示例来描述本原理的优选特征,附图中:
[0024] 图1示出了根据本公开原理的实施例的示例性网络;
[0025] 图2示出了根据本公开原理的实施例的用于保护IoT设备的方法;以及[0026] 图3示出了根据本公开原理的实施例的连接方法。
具体实施方式
[0027] 图1示出了根据本公开原理的实施例的示例性网络100。网络100包括IoT设备110,IoT设备110通过内部网络120连接到互连设备130(在非限制性示例中是网关)的第一端口134。内部网络120可以是有线或无线的。
[0028] 互连设备130包括至少一个硬件处理单元(“处理器”)131、存储器132、以及可能的用户
接口(UI)133。存储器132被配置为存储用于由处理器131执行的指令。互连设备130还包括与内部网络120连接的第二端口135以及与互联网140连接的第三端口136和第四端口137。
[0029] 合法用户的用户设备150(例如,IoT设备110的所有者)和攻击者设备160(例如,机器人)被配置为经由互联网140连接到互连设备130。如已经说明的,用户可以使用用户设备150来以合法的方式连接到IoT设备110。此外,攻击者可以使用攻击者设备160来试图获得对IoT设备110的控制。
[0030] 处理器131被配置为实现端口转发,以将针对互联网140的端口转换成针对内部网络120的端口。例如,用户可以经由
用户界面133来配置端口转发。例如,为了连接到IoT设备110,用户设备150向互连设备130的当前IP地址和与IoT设备110相关联的端口136发送消息。然后,处理器131例如使用查找表(可以存储在存储器132中)或基于规则的计算,来将消息中的端口136转换为内部网络120上的端口。然后,在转换后的端口(在该例中为端口134)上输出消息,以便传送到IoT设备。端口转换也可以沿相反的方向执行。
[0031] 非暂时性存储介质170存储指令,所述指令在由处理器执行时使处理器131执行保护IoT设备的功能,这将在下文中进一步描述。存储介质170(其可能位于远程
位置)可以直接或间接连接到互连设备130,以便下载指令。
[0032] 本领域技术人员将理解,出于简明的原因所示出的互联设备非常简化,并且例如真实网关还将包括诸如内部连接和电源之类的特征。
[0033] 图2示出了根据本公开原理的实施例的用于保护IoT设备的方法。
[0034] 在步骤S210中,互连设备130通过用户界面133接收端口转发指令;例如,“将外部端口X转发到内部端口Y”。端口转换可以例如被处理器131存储在存储器132中。
[0035] 在步骤S220中,处理器131确定在互联设备130的目标端口(即,外部端口)上运行的服务的类型(例如,超文本传输协议(HTTP)、HTTPS、Telnet或安全
外壳(SSH))。为此,处理器可以例如执行以下操作中的一个或者(如果需要的话)多个操作:
[0036] ·确定目标端口是否是常规用于专用目的众所周知的端口,例如用于传输控制协议的端口80、用于HTTPS的端口443、以及用于SSH的端口22。
[0037] ·在IoT设备的内部端口上发起对IoT设备的扫描,以发现服务。这可以例如使用nmap(网络映射器)程序来完成。
[0038] ·使用Telnet连接到内部端口上的IoT设备,并且检索响应中的头部。该头部可能会揭示服务的类型。
[0039] 在步骤S230中,处理器131使用关于服务的知识来确定用于在接收针对外部端口的传入连接时尝试将人与机器人区分开的质询-响应测试(challenge-response test)的类型。非常常见的质询-响应测试是用于将计算机和人分开的完全自动化公共图灵测试(CAPTCHA),该测试至少有两个版本,即Web CAPTCHA和文本CAPTCHA。
[0040] Web CAPTCHA的非限制性示例是
[0041]
[0042] 文本CAPTCHA的非限制性示例是
[0043]
[0044] 在该示例中,字符串“gZRd8Rw*”是用户输入的响应。
[0045] 在处理器131不能确定服务类型的情况下,处理器131可以使用UI 133来
请求用户
指定服务;可以通过UI来提供可用选项。
[0046] 应该注意的是,处理器131也可以决定不对针对外部端口的连接实现任何质询-响应测试。例如,可以是这样的情况:IoT设备实现安全连接机制,并且应在没有用户干预的情况下可由设备访问。
[0047] 图3示出了根据本公开原理的实施例的互联设备处的连接方法。
[0048] 在步骤S310中,互连设备130在通过互联网140可达的传入端口136、137之一上接收来自连接设备150、160的传入(incoming)连接。
[0049] 在步骤S320中,处理器131确定该连接是否在配置了端口转发的传入端口(例如,端口136)上。在针对该端口未配置端口转发的情况在(例如,端口137的情况)下,或者在处理器131已经确定(参见步骤S230)不使用质询-响应测试的情况下,以常规方式处理该连接。
[0050] 然而,在针对传入端口实现了端口转发并且要使用旨在将人与计算机区分开的质询-响应测试的情况下,在步骤S330中,处理器131向连接设备150、160返回质询-响应测试的质询,并且等待响应。
[0051] 在步骤S340中,处理器131接收并验证响应。在响应不正确的情况下,则处理器131中止连接。在
定时器超时之前没有响应的情况下,处理器131也中止该连接。
[0052] 另一方面,在响应正确的情况下,在步骤S350中,处理器131将该连接中使用的传入端口转换为内部网络120上的对应传出端口(例如端口135),并且将该连接转发给IoT设备110。应该理解,所述转换和转发可以以任何常规方式完成。
[0053] 步骤S330、S340和S350如何实现可以取决于所使用的服务和协议。例如,在HTTP/Web连接的情况下,网关可以呈现具有Web CAPTCHA的受控Web门户,并且在正确解决了CAPTCHA时继续进行HTTP重定向。
[0054] 作为另一示例,在使用SSH或Telnet的情况下,网关可以存储连接设备的IP地址,呈现具有文本CAPTCHA的受控终端,并且在正确解决了CAPTCHA时,就终止该连接,这需要客户端发起新的连接。如果新连接来自所存储的IP地址,则网关可以直接将新连接转发给IoT设备。
[0055] 在可选的步骤S360中,处理器131发起声明,使得在有来自该连接设备的后续连接时,不需要解决质询。这可以通过使用HTTPcookie或通过存储该连接主机的IP地址来实现。
[0056] 在本公开原理的变型中,处理器131利用IoT设备110的证书。为此,处理器131使用指纹识别工具(比如,nmap)或类似物来确定IoT设备110使用的固件或OS的类型。根据所确定的固件或OS的类型,处理器131可以利用已知的私钥/证书联系服务器或资源库;示例服务器位于http://www.firmware.re/keys-n-pass/。然后,处理器131可以检索与检测到的固件或OS相关的一个或多个私钥和证书对,并且在向连接设备呈现质询时使用这些证书。
[0057] 可以理解的是,该变型可以避免连接设备在终止其在网关上的而不是IoT设备上的连接(为了接收CAPTCHA)时报告SSL/HTTPS警告。
[0058] 如将理解到的,本公开原理可以实现改进的对应当可经由互连设备访问的设备(比如,IoT设备)的保护。
[0059] 应理解的是,附图所示的元件可以以硬件、软件、或其组合的各种形式来实现。优选地,这些元件在一个或更多个适当编程的通用设备上实现为硬件和软件的组合,其中所述设备可以包括处理器、存储器和输入/输出接口。文中,词语“耦接”被定义为表示直接连接或通过一个或更多个中间组件间接连接。这种中间组件可以包括硬件和基于软件的组件二者。
[0060] 本
说明书示意了本公开的原理。因此,可以理解的是,本领域的技术人员将能够设计出虽然没有明确地在此描述或示出但体现了本公开的原理并包括在其范围之内的各种布置。
[0061] 这里记载的所有示例和条件语言预期用于教导目的,以帮助读者理解本公开的原理和
发明人为改进现有技术而贡献的构思,并且应解释为不限于这些具体记载的示例和条件。
[0062] 此外,这里对本公开的原理、方面、实施例及其特定示例做出引述的所有声明意在包括本发明的结构和功能上的等同物。附加地,这种等同物旨在包括当前已知的等同物以及将来开发的等同物,即,为执行相同功能开发的任何元件,而与结构无关。
[0063] 因此,例如,本领域的技术人员应当理解,本文中所呈现的
框图表示体现本公开原理的解说性
电路的
概念图。类似地,将理解,任何流程、
流程图、状态转移图、伪代码等表示实质上可以在计算机可读介质中表示的、并且因此由计算机或处理器执行的各个过程,无论是否明确示出该计算机或处理器。
[0064] 可以通过使用专用硬件以及能够与适当的软件相关联地执行软件的硬件来提供附图中示出的各个元件的功能。当由处理器来提供时,这些功能可以由单个专用处理器、单个共享处理器、或多个单独的处理器来提供,所述多个单独的处理器中的一些可以是共享的。此外,明确使用的术语“处理器”或“
控制器”不应被解释为排他地指代能够执行软件的硬件,而可以隐含地包括而不限于数字
信号处理器(“DSP”)硬件、用于存储软件的
只读存储器(“ROM”)、
随机存取存储器(“RAM”)和非易失性存储设备。
[0065] 还可以包括常规和/或定制的其他硬件。类似地,附图所示的任何
开关都仅是概念性的。其功能可以通过程序逻辑的操作、通过
专用逻辑、通过程序控制和专用逻辑的交互、或甚至手动地实现,实施者可以选择的具体技术可以从上下文中得到明确的理解。
[0066] 在
权利要求中,被表述为用于执行指定功能的装置的任意元件意在包括执行该功能的任何方式,包括例如a)执行该功能的电路元件的组合、b)任何形式的软件,因而包括固件、微代码等,其与适当的电路组合以运行该软件来执行该功能。由这种权利要求限定的本公开在于由各种记载的装置提供的功能以权利要求所要求的方式组合在一起。因此,可以认为提供这些功能的任何装置等同于本文所示的装置。
