假设您在现场部署了网络附加设备(小型PC)。您希望在开机后允许这些呼叫回家,然后由最终用户识别并激活。
我们当前的计划涉及用户在我们网站的激活页面中输入MAC地址。稍后我们的软件(在盒子上运行)将从接口读取地址并在“回拨”数据包中传输。如果匹配,则激活具有客户信息和框的服务器响应。
我们喜欢这种方法,因为它易于访问,通常印在外部标签上(FCC要求?)。
有什么问题需要注意? (所使用的硬件外形小巧,因此所有NIC等都是嵌入式的,并且很难改变。客户通常不会以任何方式直接访问操作系统)。
我知道微软使用PCI设备ID,内存大小等为Windows激活做了一些疯狂的模糊散列函数。但这对我们的需求来说似乎有些过分。
-
@Neall基本上,打电话到我们的服务器,为了讨论的目的,你可以打电话给我们制造商。
Neall是正确的,我们只是将地址用作常量。我们将读取它并在另一个数据包中传输它(比如HTTP POST),而不是取决于从以太网帧以某种方式获取它。
答案 0 :(得分:3)
在这种情况下,我不认为众所周知的MAC地址可欺骗性是一个问题。我认为tweakt只是想用它们进行初步识别。设备可以读取自己的MAC地址,安装人员可以(只要它打印在标签上)读取相同的数字,并且知道“好的 - 这是我放在位置A的框。”
tweakt - 这些盒子是否会调用制造商的服务器,或使用它们的公司/人的服务器(或者在这种情况下是那些相同的东西)?
答案 1 :(得分:2)
我不认为你在这里所做的事情有什么神奇之处 - 不能把你所做的描述为:
“在制作过程中,我们会在每个设备中刻录一个唯一的号码,这个号码最终用户都可以读取(它在标签上),内部处理器可以访问。我们的用户必须将这个号码输入我们的网站信用卡详细信息,随后该框与网站联系以获取操作权限“
“巧合我们也使用这个数字作为网络数据包的MAC地址,因为我们必须在生产过程中唯一地分配它,所以它节省了我们重复这项工作”我想说两个明显的危害是:
人们乱砍您的设备并将此地址更改为其他人已激活的地址。这是否可能发生取决于它有多难以及它们偷窃的成本之间的某种关系。您可能想要考虑他们如何轻松地获取固件升级文件并从中获取代码。
有人使用防火墙/路由器规则和一些自定义软件的组合来生成服务器,该服务器复制您的'auth服务器'的操作并授予设备继续执行权限。作为协议的一部分,您可以使用散列/ PKE的某种组合来加强这一点。
与以往一样,一些繁琐,昂贵的一次性黑客攻击在很大程度上是无关紧要的,你不想要的是一个可以通过互联网分发给每一个偷窃者的休息时间。
答案 2 :(得分:1)
MAC地址与手册/标签上印刷的序列号一样独特。
Microsoft确实散列以防止MAC地址欺骗,并允许更多隐私。
使用唯一的MAC方法,您可以轻松地将设备与客户匹配,只是位于同一子网中。哈希通过对使用的标准不透明而无法对单个部分进行反向工程来防止这种情况。
(参见密码哈希)
答案 3 :(得分:-1)
从安全角度来看,我知道可以欺骗MAC,但我并不完全确定它有多难以及它需要什么。
否则,如果客户无法轻松访问硬件或操作系统,那么这样做应该相当安全......可能最好给警告标签说明搞乱任何事情都会中断与服务器的通信