เหตุผลที่จะไม่ถือว่าที่อยู่ MAC ของอุปกรณ์นั้นไม่เหมือนกัน

ในสถานการณ์ที่คุณควบคุมการจัดสรรของฮาร์ดแวร์และสามารถระบุได้ว่าอุปกรณ์ทั้งหมดที่มีรุ่นฮาร์ดแวร์เดียวกันมีที่อยู่ MAC ที่ไม่ซ้ำกันสำหรับส่วนต่อประสานเครือข่ายของพวกเขามีข้อเสียในการเขียนรหัสที่ใช้สมมติฐานนั้นหรือไม่ (หมายเหตุขึ้นอยู่กับการตอบกลับบางอย่าง: ฉันจะไม่เขียนโค้ดเครือข่ายโดยใช้ข้อสันนิษฐานนี้มันเป็นเพียงวิธีการที่ไม่ต้องสัมผัสกับการมี uuid ต่ออุปกรณ์โดยไม่ต้องสร้างและอัพเดต HDD ของอุปกรณ์ด้วย id ด้วยตนเองก่อน ปรับใช้กับฟิลด์)

backstory ของสิ่งนี้คือฉันกำลังทำการวิจัยการใช้งานการใช้งานฮาร์ดแวร์ชนิด IOT ส่วนตัวสำหรับลูกค้า เราจะจัดเตรียมชุดอุปกรณ์ฮาร์ดแวร์ที่มีความสามารถด้านเครือข่ายเพื่อติดตั้งในสถานที่ห่างไกล อุปกรณ์เหล่านี้จะสื่อสารกลับไปที่ API โดยการส่งข้อความ เพื่อลดความซับซ้อนในการตั้งค่าฉันหวังว่าจะส่งที่อยู่ MAC ของอินเทอร์เฟซเครือข่ายบนอุปกรณ์ในข้อความเพื่อผูกข้อความเหล่านี้กลับไปที่ "device_id" ที่ด้าน API ความคิดของฉันคือการทำสิ่งที่ไม่จำเป็นต้องติดตั้งบนอุปกรณ์ก่อนการใช้งานก็สามารถสอบถามได้ในระหว่างการทำงานปกติ ฉันสามารถสรุปได้อย่างปลอดภัยว่าเราสามารถระบุได้ว่าที่อยู่ MAC ของแต่ละอุปกรณ์นั้นมีความเป็นเอกลักษณ์

จากคำแถลงของคุณที่คุณสามารถยืนยันได้ในระหว่างการจัดเตรียมว่าผู้ผลิต MAC นั้นมีความเป็นเอกลักษณ์ในเครือข่ายของอุปกรณ์ที่คุณกำลังสร้าง (ซึ่งไม่ได้อยู่ในตัวของมันเองและแน่นอน แต่ให้พิจารณาคำถามต่อไปนี้:

• คุณใช้ MAC สำหรับตรวจสอบความปลอดภัย (รับรองความถูกต้อง, การอนุญาต) หรือไม่? ถ้าเป็นเช่นนั้น MAC ไม่เพียงพอ อย่าแม้แต่จะพิจารณา ใช้โครงสร้างการเข้ารหัสลับและส่งคำขอรับรองความถูกต้องใด ๆ อย่างปลอดภัย

• 48 บิตกว้างพอหรือไม่ มันอาจจะเป็น แต่ก็คุ้มค่าที่จะถาม

• คุณจะต้องซ่อมอุปกรณ์ด้วยการเปลี่ยนอุปกรณ์หรือไม่

• หากคุณเปลี่ยนอุปกรณ์ใหม่ทั้งหมดหรือเปลี่ยนอุปกรณ์ใหม่คุณจะต้องเชื่อมโยงที่อยู่ใหม่กับคีย์ที่มีอยู่ในฐานข้อมูลของคุณเพื่อให้มั่นใจว่าการรวบรวมข้อมูลสำหรับตำแหน่งการปรับใช้จะมีความต่อเนื่องหรือไม่

• จะมีอินเทอร์เฟซการบำรุงรักษาใด ๆ ที่ผู้ใช้ (ได้รับอนุญาตหรือไม่) อาจเปลี่ยนแปลง nic ที่ ROM, ไดรเวอร์หรือระดับ OS? ผู้โจมตีสามารถแนะนำข้อบกพร่องในข้อมูลของคุณหากพวกเขาต้องการแก้ไข MAC

• ข้อมูลของคุณจะถูกรวมเข้ากับแหล่งข้อมูลอื่น ๆ โดยใช้ MAC เป็นกุญแจได้หรือไม่

• คุณเคยใช้ MAC สำหรับจุดประสงค์ในการเชื่อมต่อเครือข่ายใด ๆ นอกเหนือไปจากการนำทางเลเยอร์ 2 LAN ที่อุปกรณ์เชื่อมต่ออยู่ (แบบใช้สายหรือไร้สาย) หรือไม่

• LAN ที่อุปกรณ์ของคุณเชื่อมต่ออยู่จะเป็นเครือข่ายส่วนตัวหรือหนึ่งที่ลูกค้าชั่วคราวจำนวนมาก (เช่นโทรศัพท์มือถือของพนักงาน) จะเชื่อมต่อหรือไม่

หากคำตอบของคุณคือ

NO, yes, no, no, no, no, no, private

ถ้างั้นฉันก็ไม่สามารถคิดถึงข้อบกพร่องที่แท้จริงในแผนของคุณ

โปรดทราบว่าคุณไม่จำเป็นต้องใช้ MAC ที่มีเอกลักษณ์ทั่วโลกเพื่อดึงสิ่งนี้ออก คุณเพียงแค่ต้องตรวจสอบให้แน่ใจว่าชุดย่อยของอุปกรณ์อินเทอร์เน็ตที่เรียก API ของคุณนั้นไม่เหมือนใคร เช่นเดียวกับ nic ที่ซ้ำกันที่ได้รับมอบหมายในสองเมืองที่แตกต่างกันไม่สามารถชนกันได้เพราะอยู่ใน LAN ที่แตกต่างกันคุณไม่สามารถมีคีย์ฐานข้อมูลใน MAC ได้หากไม่เคยเรียก API ของคุณ

ที่อยู่ MAC นั้นไม่ซ้ำกัน

สามารถมีและจะซ้ำกับ MACs มีสาเหตุหลายประการที่เป็นหนึ่งที่พวกเขาไม่จำเป็นต้องไม่ซ้ำกัน (ทั่วโลก)

MAC จะต้องไม่ซ้ำกันในเครือข่ายท้องถิ่นดังนั้น ARP / NDP สามารถทำงานได้และสวิตช์รู้ตำแหน่งที่จะส่งดาตาแกรมเข้ามา โดยปกติ (ไม่จำเป็น) ว่าเงื่อนไขเป็นจริงและสิ่งต่าง ๆ ใช้งานได้ดีเพียงเพราะความเป็นไปได้ที่จะมี MAC ที่เหมือนกันสองเครื่องใน LAN เดียวกันแม้ว่าพวกเขาจะไม่ได้เป็นเอกลักษณ์ก็ยังค่อนข้างต่ำ

อีกเหตุผลหนึ่งคือมีอุปกรณ์อยู่มากกว่าแค่ที่อยู่ ในขณะที่ที่อยู่ 48 บิตดูเหมือนว่ามีที่อยู่เพียงพอสำหรับทุกคนจนถึงสิ้นวัน แต่นั่นไม่ใช่กรณี

พื้นที่ที่อยู่แบ่งออกเป็นสองส่วน 24 บิต (ซับซ้อนกว่าเล็กน้อย แต่ให้เพิกเฉยต่อรายละเอียดเล็กน้อย) ครึ่งหนึ่งคือ OUI ที่คุณสามารถลงทะเบียนกับ IEEE และมอบหมายให้ บริษัท ของคุณประมาณ 2,000 ดอลลาร์ ส่วนที่เหลืออีก 24 บิตคุณทำสิ่งที่คุณต้องการ แน่นอนคุณสามารถลงทะเบียน OUI หลายตัวซึ่งเป็นสิ่งที่ผู้เล่นรายใหญ่ทำ

ยกตัวอย่างของ Intel พวกเขาลงทะเบียนรวมทั้งสิ้น 7 OUI ทำให้มีที่อยู่ทั้งหมด 116 ล้านที่อยู่
เมนบอร์ดของคอมพิวเตอร์ของฉัน (ซึ่งใช้ชิปเซ็ต X99) เช่นเดียวกับเมนบอร์ดของแล็ปท็อปและเมนบอร์ดของคอมพิวเตอร์ทุกเครื่องที่ใช้ x86 ที่ฉันเป็นเจ้าของในช่วง 10-15 ปีที่ผ่านมามีการ์ดเครือข่าย Intel เป็นส่วนหนึ่งของชิปเซ็ต แน่นอนว่ามีคอมพิวเตอร์มากกว่า Intel มากกว่า 116 ล้านเครื่องในโลก ดังนั้น MACs ของพวกเขาอาจจะไม่ซ้ำกัน (ในแง่ของความเป็นเอกลักษณ์ระดับโลก)

นอกจากนี้ยังมีการรายงานรายกรณีของเอ่อ ... ราคาถูกกว่า ... ผู้ผลิตเพียงแค่ "ขโมย" ที่อยู่จาก OUI ของผู้อื่น กล่าวอีกนัยหนึ่งพวกเขาใช้ที่อยู่แบบสุ่ม ฉันเคยได้ยินของผู้ผลิตที่ใช้ที่อยู่เดียวกันสำหรับผลิตภัณฑ์ที่ครบถ้วนเช่นกัน ไม่ว่าจะสอดคล้องหรือทำให้รู้สึกมาก แต่คุณสามารถทำอะไรกับมัน การ์ดเครือข่ายเหล่านี้มีอยู่ อีกครั้ง: โอกาสที่จะกลายเป็นปัญหาในทางปฏิบัติยังคงต่ำมากหากมีการใช้ที่อยู่กับสิ่งที่พวกเขาตั้งใจคุณจะต้องมีที่อยู่สองแห่งใน LAN เดียวกันเพื่อแจ้งให้ทราบล่วงหน้า

ทีนี้จะทำอย่างไรกับปัญหาของคุณ?

วิธีแก้ปัญหาอาจง่ายกว่าที่คุณคิด อุปกรณ์ IoT ของคุณส่วนใหญ่อาจต้องใช้เวลาบ้างโดยปกติเวลาจะได้รับโดยอัตโนมัติผ่าน NTP ความแม่นยำโดยทั่วไปของ NTP อยู่ในช่วงไมโครวินาที (ใช่นั่นคือขนาดเล็กไม่ใช่หนึ่งในพัน) ฉันวิ่งntpq -c rlเพื่อให้แน่ใจและได้บอก 2 -20

โอกาสในการเปิดใช้งานอุปกรณ์สองเครื่องของคุณเป็นครั้งแรกที่ไมโครวินาทีเดียวกันนั้นมีความแม่นยำต่ำมาก โดยทั่วไปจะเป็นไปได้ที่จะเกิดขึ้น (โดยเฉพาะถ้าคุณขายหลายล้านรายการในเวลาอันสั้นขอแสดงความยินดีกับความสำเร็จของคุณ!) แต่มันไม่น่าเป็นไปได้ - ในทางปฏิบัติมันจะไม่เกิดขึ้น ดังนั้นประหยัดเวลาหลังจากการบูทครั้งแรกที่ร้านค้าถาวร

เวลาบูตของอุปกรณ์ IoT ของคุณจะเท่ากันทุกอุปกรณ์ ยกเว้นว่าไม่เป็นความจริงเลย
ด้วยตัวจับเวลาความละเอียดสูงเวลาการบู๊ตจะแตกต่างกันอย่างมากแม้ในอุปกรณ์เดียวกันทุกครั้ง มันอาจจะเป็นเพียงนาฬิกาไม่กี่เห็บที่แตกต่างกัน (หรือไม่กี่แสนถ้าคุณอ่านบางสิ่งบางอย่างเช่นการนับเวลาของ CPU) ดังนั้นจึงไม่ซ้ำกันมาก แต่มันเพิ่มเอนโทรปีบางอย่าง
ในทำนองเดียวกันเวลาที่ใช้connectในการส่งคืนในครั้งแรกที่คุณเข้าถึงไซต์ API จะมีความแตกต่างกันเล็กน้อย แต่สามารถวัดได้ทุกครั้ง ในทำนองเดียวกันgetaddrinfoจะใช้เวลาต่างกันเล็กน้อยซึ่งสามารถวัดได้สำหรับทุกอุปกรณ์เมื่อค้นหาชื่อโฮสต์ของเว็บ API เป็นครั้งแรก

เชื่อมเอนโทรปีที่สามหรือสี่เหล่านี้ (ที่อยู่ MAC, เวลาเปิดเครื่องครั้งแรก, เวลาที่จะบู๊ตเป็นครั้งแรก, เชื่อมต่อครั้ง) และคำนวณแฮชจากนั้น MD5 จะทำได้ดีสำหรับวัตถุประสงค์นั้น ที่นั่นคุณมีเอกลักษณ์

ในขณะที่ไม่ได้รับประกันความเป็นเอกลักษณ์อย่างแท้จริงแต่ "ค่อนข้างมาก" รับประกันด้วยโอกาสที่จะล้มเหลว คุณจะต้องมีอุปกรณ์สองเครื่องที่มี MAC ที่เหมือนกันซึ่งเปิดใช้งานเป็นครั้งแรกในไมโครวินาทีเดียวกันและใช้เวลาเดียวกันในการบูตและเชื่อมต่อกับเว็บไซต์ของคุณ นั่นจะไม่เกิดขึ้น หากเกิดขึ้นคุณควรเริ่มเล่นลอตเตอรีทันทีเนื่องจากสิ่งที่ปรากฏทั้งหมดคุณรับประกันได้ว่าจะชนะ

อย่างไรก็ตามหาก "จะไม่เกิดขึ้น" ไม่ดีพอที่จะรับประกันได้เพียงแค่ส่งหมายเลขที่เพิ่มขึ้นตามลำดับ (สร้างขึ้นบนเซิร์ฟเวอร์) ในแต่ละครั้งที่พวกเขาเข้าถึงเว็บ API ของคุณ ให้อุปกรณ์จัดเก็บหมายเลขนั้นเสร็จสิ้น

เนื่องจากปัญหาที่นี่เป็นปัญหา XY จริง ๆ ฉันจะแก้ไขปัญหาดังกล่าว: วิธีการรับตัวระบุที่ไม่ซ้ำกันสำหรับชิ้นส่วนของฮาร์ดแวร์ในครั้งแรกที่บูทโดยไม่ต้องโหลดตัวระบุล่วงหน้าลงบนพวกเขา วิธีการที่ดีทั้งหมดต้มลงไปสิ่งหนึ่งจริง ๆ : มีแหล่งของเอนโทรปี

หากฮาร์ดแวร์ของคุณมีบางสิ่งที่ออกแบบมาให้เป็นแหล่งข้อมูลเอนโทรปีของฮาร์ดแวร์ (หมายเหตุ: นี่เป็นข้อกำหนดสำหรับการใช้งานอุปกรณ์ IoT ที่เหมาะสมเนื่องจากเป็นสิ่งจำเป็นสำหรับ TLS ดังนั้นฮาร์ดแวร์ของคุณควรได้รับการออกแบบโดยคำนึงถึงสิ่งนั้น) ถ้าไม่คุณต้องมีความคิดสร้างสรรค์

โชคดีที่คอมพิวเตอร์เกือบทุกเครื่องที่ทำมีแหล่งข้อมูลเอนโทรปียอดเยี่ยมนั่นคือออสซิลเลเตอร์คริสตัล (นาฬิกา) อัตราของผลึกที่กำหนดไม่เพียง แต่ขึ้นอยู่กับการเปลี่ยนแปลงของอุณหภูมิเพียงเล็กน้อยเท่านั้น แต่ยังขึ้นอยู่กับการhysteresis ของอุณหภูมิด้วยวิธีที่ไม่เชิงเส้น อย่างไรก็ตามในการวัดเอนโทรปีคุณจำเป็นต้องมีนาฬิกาที่สองเป็นครั้งแรก สิ่งนี้หมายความว่าเมื่อใดก็ตามที่คอมพิวเตอร์ของคุณมีนาฬิกาอย่างน้อยสองนาฬิกาคุณสามารถสุ่มตัวอย่างได้คุณสามารถใช้อัตราหนึ่งตามที่วัดได้โดยอีกแหล่งหนึ่งเป็นแหล่งข้อมูลเอนโทรปีคุณภาพสูง

ฉันไม่ต้องการตอบคำถามโดยตรงเนื่องจากมีคำตอบที่ดีมาก ๆ แต่ฉันอยากจะแนะนำอีกค่าที่เหมาะสมกว่าซึ่งอาจใช้เป็นรหัสอุปกรณ์ได้

หากฮาร์ดแวร์ของคุณรองรับคุณสามารถพิจารณาใช้ SMBIOS UUID นี่คือรหัสที่ไม่ซ้ำกันสำหรับเมนบอร์ดและอุปกรณ์ โปรดทราบว่าอุปกรณ์ IoT สามารถมี NIC หลายตัว (LAN & WiFi) ดังนั้นหากคุณเลือกเส้นทาง MAC คุณยังต้องหาวิธีการเลือกหนึ่งอย่างสม่ำเสมอ

นอกจากนี้ในขณะที่ UUID มีความโดดเด่นไม่ควรใช้เพื่อจุดประสงค์ด้านความปลอดภัยเนื่องจากรับประกันได้เฉพาะในสภาพแวดล้อมที่เป็นมิตรเท่านั้น

ฉันเกลียดการสันนิษฐานว่าเป็นปัญหา XY เพราะบ่อยครั้งที่ OP มีเหตุผลที่ซับซ้อนแม้ว่าจะทำสิ่งต่าง ๆ ในแบบที่พวกเขากำลังทำอยู่ แต่คุณอาจต้องการดูวิธีอื่น ๆ ในการสร้างตัวระบุที่ไม่ซ้ำกันสำหรับอุปกรณ์แต่ละตัวเช่น MAC address เป็น "อุปกรณ์สร้าง" ในอุปกรณ์และไม่จำเป็นต้องสร้างตัวระบุของคุณเอง

หากอุปกรณ์มาจากผู้ผลิตรายเดียวกัน (หรือดีกว่ารุ่นเดียวกัน) คุณสามารถใช้หมายเลขประจำเครื่องเพื่อสร้างตัวระบุ วิธีนี้ใช้ไม่ได้กับอุปกรณ์จากผู้ผลิตที่แตกต่างกันแม้ว่าคุณจะรวมเข้ากับชื่อผู้ผลิตและหมายเลขรุ่นเนื่องจากรูปแบบหมายเลขซีเรียลแตกต่างกันและอาจแตกต่างกันสำหรับ API เพื่อรับหมายเลขซีเรียลในกรณีของอุปกรณ์ฝังตัว / กรรมสิทธิ์ . ทางเลือกอื่นสำหรับหมายเลขซีเรียลของอุปกรณ์อาจเป็นหมายเลขซีเรียลของเมนบอร์ดซีพียูหรือฮาร์ดดิสก์ (ฉันเชื่อว่าการออกใบอนุญาตของ Windows ใช้การผสมผสานเหล่านี้)

นอกจากนี้ยังควรค่าแก่การจดจำว่าตัวจัดรูปแบบระบบไฟล์มักจะสร้าง ID เฉพาะสำหรับแต่ละระบบไฟล์ ยกเว้นว่าคุณกำลังเตรียมอุปกรณ์ทั้งหมดจากภาพเดียวกัน (ซึ่งฉันขอแนะนำให้ทำด้วยเหตุผลที่ไม่เกี่ยวข้อง) ฮาร์ดดิสก์แต่ละตัวจะมี ID ที่ไม่ซ้ำกันอยู่ในระบบไฟล์ที่คุณสามารถใช้ได้

ต้องบอกว่าถึงแม้ว่าจะไม่มีเหตุผลใดที่จะไม่ใช้ที่อยู่ MAC โดยเฉพาะอย่างยิ่งหากเป็นส่วนหนึ่งของกระบวนการจัดเตรียมของคุณคุณสามารถระบุได้ว่าพวกเขามีเอกลักษณ์จริง ๆ (แม้ว่าสิ่งนี้ไม่ควรจำเป็น อุปกรณ์ไม่กี่พันที่นี่) แน่นอนว่าสิ่งใดก็ตามที่คุณใช้อาจถูกปลอมแปลงโดยอุปกรณ์ดังนั้นอย่าพึ่งพาสิ่งนี้สำหรับการตรวจสอบความถูกต้องในสภาพแวดล้อมที่ไม่น่าเชื่อถือ (คุณบอกว่าเป็นการตั้งค่าส่วนตัวดังนั้นจึงน่าจะเป็นสภาพแวดล้อม ให้ความสำคัญกับลูกค้าของคุณปลอมแปลงอุปกรณ์ของตัวเองกับเซิร์ฟเวอร์ของพวกเขา แต่พวกเขาควรคำนึงถึงเรื่องนี้อย่างชัดเจนหากการจัดการอุปกรณ์นั้นถูกส่งมอบให้กับบุคคลที่สามหรือผู้ใช้ปลายทาง)