Endereço Ethernet MAC como código de ativação para um aparelho?
https://stackoverflow.com/questions/30145
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Vamos supor que você implantar um ligado à rede aparelhos (small form factor PCs) no campo.Você deseja permitir que estes ligar para casa depois de ser ligado, em seguida, ser identificado e ativado pelos usuários finais.
Nosso plano atual envolve o usuário digitar o endereço MAC em uma página de ativação em nosso web site.Mais tarde, o nosso software (em execução na caixa) vai ler o endereço da interface e transmitir isso em uma "chamada casa de pacotes".Se corresponder, a resposta do servidor com informações do cliente e a caixa está ativado.
Nós gostamos desta abordagem porque é de fácil acesso, e normalmente impressos em etiquetas externas (FCC exigência?).
Quaisquer problemas para prestar atenção?(O hardware em uso é o fator de forma pequeno para todas as Placas de rede, etc., são incorporados e seria muito difícil mudar.Os clientes, normalmente, não têm acesso direto ao sistema operacional, de forma alguma).
Eu sei que a Microsoft faz alguns loucos fuzzy função de hash para a ativação do Windows usando o PCI IDs de dispositivo, o tamanho da memória, etc.Mas que parece um exagero para as nossas necessidades.
--
@Neall, Basicamente, a chamada para o nosso servidor, para os fins desta discussão, você poderia chamar-nos a fabricante.
Neall está correto, estamos apenas usando o endereço como uma constante.Vamos lê-lo e transmiti-lo dentro de outro pacote (digamos HTTP POST), não dependendo de começá-lo, de alguma forma, a partir de quadros Ethernet.
Solução
Eu não acho que há nada mágico sobre o que você está fazendo aqui - não sei o que você está fazendo, ser descrito como:
"A produção de queimar um número único para cada um de nossos dispositivos, que é legível para o usuário final (seja no rótulo) e acessível para o processador interno.Os nossos utilizadores têm de introduzir este número em nosso site, juntamente com o seu cartão de crédito, detalhes, e, posteriormente contatos para o site de permissão para operar"
"Coincidentemente também usamos este número como o endereço MAC para pacotes de rede como temos exclusivamente para atribuir que durante a produção de qualquer maneira, assim que ele nos salvou duplicar este pouco de trabalho"
Eu diria que os dois perigos óbvios são:
As pessoas hack volta com o seu dispositivo e alterar este endereço para que alguém já ativado.Se esta é provável que isso aconteça depende de algum tipo de relação entre o quanto é difícil e caro como tudo o que eles conseguem roubar é.Você pode querer pensar sobre o quão facilmente eles podem dar um ficheiro de actualização do firmware e obter o código de fora.
Alguém usa uma combinação de firewall/roteador regras e um pouco de software personalizado para gerar um servidor, que replica o funcionamento do o seu 'auth server' e concede permissão para o dispositivo para prosseguir.Você poderia fazer isso mais difícil com alguma combinação de hash/PKE como parte do protocolo.
Como sempre, alguns tedioso e caro-off corte é em grande parte irrelevante, o que você não quer é uma classe de quebra que podem ser distribuídos através da internet para todos os ladrões dweep.
Outras dicas
Eu não acho que o conhecido spoofability de endereços MAC é um problema nesse caso.Eu acho que tweakt é apenas querendo usá-los para a identificação inicial.O dispositivo pode ler o seu próprio endereço MAC, e o instalador pode (desde que seja impresso em uma etiqueta) ler o mesmo número e saber, "OK - esta é a caixa que eu coloquei na localização A."
tweakt - essas caixas de ser chamada para o fabricante do servidor ou o servidor da empresa/pessoa a utilizá-los (ou são as mesma coisa, neste caso)?
O endereço MAC é tão única como um número de série impresso no manual/adesivo.
A Microsoft não hash para evitar o endereço MAC spoofing, e para permitir um pouco mais de privacidade.
Com o MAC abordagem, você pode facilmente combinar com um dispositivo para um cliente por apenas estar na mesma sub-rede.Hash impede que, por ser opaco para que critérios são utilizados e não há maneira de fazer engenharia reversa de peças individuais.
(ver hash de senha)
A partir de uma perspectiva de segurança, eu sei que é possível falsificar o MAC, que eu não sou inteiramente certo quanto é difícil ou que isso implica.
Caso contrário, se os clientes não têm fácil acesso ao hardware ou sistema operacional, você deve ser bastante seguro fazer isso...provavelmente o melhor é colocar um adesivo de aviso dizendo que mexer com nada vai interromper a comunicação com o servidor.
