网络设备身份认证机制

《网络设备身份认证机制》由会员分享，可在线阅读，更多相关《网络设备身份认证机制（7页珍藏版）》请在装配图网上搜索。

1、一种基于数字证书的网络设备身份认证机制高能，向继，冯登国摘要：提出一种基于数字证书的网络设备身份认证机制，该机制利用一种新型的装 置一一“设备认证开关”对网络设备进行认证，对通过认证的网络设备接通网络连 接，并对流经它的网络数据进行实时监控，保证合法连接不被盗用。认证方法则采 用了目前最先进的PKI技术。与现有的网络身份认证技术和系统相比，基于设备认 证开关的网络设备认证机制将保护的边界拓展到了内部网络的最边缘，通过在网络 设备的数字证书中嵌入简单的权限信息，可以自动地管理网络物理接口的使用。1、概述随着计算机网络的迅猛发展，网络违法犯罪、黑客攻击、有害信息传播等方面的问 题日趋严重，网络安全

2、保护已经成为刻不容缓的问题。特别是内部网络的安全保护 尤为突出。内部网络的物理接口遍布在若干个房间，甚至是一座大楼之中。任何能 够进入该区域的人员，都可能利用这些暴露的物理接口。黑客可以将自己的机器轻 易地接入内部网络，探听内部网络的流量，甚至发起攻击。目前通用的一些安全措施，如防火墙、虚拟专用网、加密技术以及入侵检测系统等， 虽然可以有效地防止来自外部网络的攻击，但对防止来自网络内部攻击的效果却不 明显。内部网络安全保护的一个重要的手段就是实现网络身认证，即对连入网络的 用户和设备的身份进行认证，只有那些具有合法身份的用户和设备才能访问网络资 源。网络身份认证的目标是保护内部网络中的关键服务

3、器资源，但是一个没有通过 身份认证的用户依然可以使用其它的内部网络资源，这是一个潜在的安全威胁。因 而人们希望通过对网络设备进行认证，从而确保内部网络的安全。2、网络身份认证网络身份认证通常包括对网络用户身份和网络设备身份的认证。21、用户身份认证绝大多数的网络身份认证都只采用用户身份认证这种手段，通用的方法是一台认证 服务器专门认证用户的身份，并赋予用户访问特定网络资源的能力。这样的用户认 证系统包括Kerberos系统和基于用户证书的PK认证系统等。单纯使用用户身份认证等于假定网络设备（计算机）是完全可信的，这种假定在安 全性上存在不少的问题。首先，即使用户没有通过认证，它仍然能够访问一定

4、的网 络资源，利用这些资源可以发起各种攻击。例如，攻击者即使不能通过认证访问存 有关键数据的服务器，但他仍然能够利用网络连接向服务器发起拒绝服务攻击。其 次，一个非法的网络设备即使没有人为操纵，把它接在内部网络上仍然是十分危险的，例如它可以向网络内散布各种病毒，也可以监听网络以窃取含有关键信息的流 量。显然，单纯基于用户身份认证的认证服务已经不能满足实际内部网络的安全需求。 为了保护内部网络的资源，为了保证只有合法的网络设备才能接入内部网络，为了 保护开放于内部的物理网络接口不被非法的网络设备效用，为了保护内部网络的最 外缘，网络身份认证机制中必须增加对网络设备的身份认证。22、设备身份认证网

5、络设备身份认证是保护内部网络安全的一个重要的安全机制，它的思想是对所有 接入内部网络的网络设备的身份进行认证，通过认证的网络设备被认为是合法的， 否则被认为是非法的，只有合法的网络设备才能够使用内部网络的各种资源，这里 的资源主要是指网络连接。同时网络设备身份认证还必须保护合法设备的资源（网 络连接）不被非法的设备所盗用。仅利用日前的内部网络条件对网络设备进行身份认证是不可能的，在一般情况下， 内部网络是开放的、无管理的。网络接口遍布于各个房间，内部网络无法对网络设 备进行认证，任何网络设备只要接入空余的网络接口就可以获得网络连接，而且非 法设备可以很容易地盗用合法设备的网络接口。所以为了实现

6、网络设备身份认证， 必须在内部网络中增加新的安全装置。为了对网络设备进行身份认证，因内外专家提出了不同的思想，并且生产出了各种 各样的产品。例如美国Alberta大学的Robert Beck在1999年于美国华盛顿召开的 第13届系统管理（LISA）会议上，发表了一篇题为“Dealing with Public Ethernet Jacks Switched, Gateways, and Authentication ”（公用以太网接口交换机和网关的处理及认证）的文章，提出了网络设备认证的初步思想。在实际产品方面美国凤 凰科技公司的Device Connect设备端认证技术、北京东方龙马公司的

7、用户认证网关 产品、上海给维佳公司的公开密钥基础设施（PKI）网管服务器等，都已经不同程 度地得到了广泛应用。这些产品和技术在具体表现上各有不同，但实际上都是基于 认证服务器的模式，这种模式的网络配置示意图如图所示。（图1、认证服务器模式的网络配置示意图）认证服务器是一种网络服务器，它将整个内部网络为受保护的网络A和未受保护 的网络B,如同一座桥梁连接着这两部分。如果未受保护的网络中的一个网络设备 想要访问受保护的网络，网络服务器首先对该设备进行认证，如果认证通过则允许 它访问，否则拒绝访问。虽然这种方法可以实现网络设备的身份认证，但是由于它 只是简单继承了用户身份认证的机制，存在以下几个明显

8、的缺陷：（1）片面性，它只提供了一种片面的安全保护，未通过认证的攻击者仍然可以利 用网络连接来散布病毒，或进行拒绝服务攻击；（2）安全配置复杂，它的配置需要改变内部网络的网络结构，重新分配IP地址， 操作比较复杂；（3）可用性，它本身存在被攻击的危险，例如攻击者可以对认证服务器发起拒绝 服务攻击，致使合法的用户不能访问受保护的网络； （4）网络性能，它同时也是网络性能上的一个瓶颈，当很多用户同时访问受保护 的网络时，网络性能就会下降，特别是对于那些提供存储服务的服务器。可见，认证服务器模式没有完全解决对设备的认证问题，因为存在不被认证的主机 能够访问内部网络的问题，如图1中的攻击主机，虽然它无

9、法通过认证服务器的 认证，但是它依然可以访问网络B内的其它主机，是具有网络连接的。鉴于目前 网络设备身份认证方法所存在的缺陷，我们提出了一种新型的网络设备身份认证的 方法，它在内部网络中引入了一种新的装置一一“设备认证开关”，由它专门对网 络设备进行认证和管理，认证采用基于PKI的数字证书实现，该方法在安全性和性 能上很好地满足了内部网络设备身份认证的需求，将保护的范围扩展到了整个内部 网络，在其最外缘形成了一道安全保护的边界。3、一种网络设备身份认证的装置和方法31、设备认证开关设备认证开关（Device Authentication Switch， DAS）正是针对内部攻击开发的一种 新型

10、的网络安全产品，它位于集线器（Hub）的前端，采用透明的传输方式，即本 身不具有网络地址，采用了数字签名技术，提供安全级别更高的网络设备身份认证。 设备认证开关的主要功能是对没有通过认证的设备关闭网络连接（如PC的以太网 卡和集线器之间的连接），对通过认证的设备接通网络连接，并对接通的通信进行 实时的监控，保证合法连接不被盗用。设备认证开关的网络配置示意图如图2。（图2、设备认证开关网络配置示意图）通过在内部网络的每个物理网络接口的后端安装和配置设备认证开关，从而保证每 一个接入内部网络的设备都具有合法的身份。与传统的利用认证服务器实现网络设 备身份认证的方法相比，基于设备认证开关的网络设备身

11、份认证是一种全面保护内 部网络的技术，将保护的边界拓展到了内部网络的最外缘，它的优点在于：（1）由于其本身不具有网络地址，它的配置和使用对于客户机是完全透明的，在 不需要改变现有的内部网络的结构的前提下，可以直接安装和使用；（2）对于攻击者是不可见的，不易遭受拒绝服务攻击；（3）采用分布式认证技术，消除了中心服务器认证产生的网络处理瓶颈问题。32、使用数字证书实现认证为了实现对网络设备身份的认证，我们引入了先进的PKI技术。PKI（Public Key Infrastructure）即公开密钥基础设施，它是一个用公钥概念与技术来实施和提供安 全服务的具有普适性的安全基础设施。在PKI系统中，C

12、A（Certificate Authority） 是一个域中的信任中心，其他设备或人之间的通信和验证都依赖于CA所颁发的数 字证书。数字证书也就是一个公开密钥和身份信息绑在一起，用CA的私钥签名后 得到的数据结构。在网络通信中，数字证书就是标志通信各方身份信息的一系列数 据，它提供了一种验证身份的方式，其作用类似于日常生活中的身份证。（1）网络设备的身份信息如何标识一台网络设备呢？最容易想到的就是设备的IP地址和MAC地址。如果使 用网络设备的IP地址作为身份标识，存在两个问题：首先，网络设备的IP地址可 能改变，例始内部网络的IP管理的需要；另一方面，IP地址是可以冒充的，恶意 的攻击者可以

13、伪装成合法用户的IP地址访问网络。因而，我们选用设备的MAC地 址作为身份信息，只要在证书的Common Name（通用名）域填写设备的MAC地址即 可。申请证书的计算机的以太网网卡地址必须是通过网络管理员认可的、合法的、 可以在局域网内安全使用的网卡地址，例如，必须具有网络管理员出具的证明。（2）网络设备的简单权限信息在实际应用中特别是政府的内部网络，由于某些网络设备存有敏感信息，是不允许 接入外网的（例如Internet），但是使用者有时可能会忽略这种限制，导致违规的 操作，因而现有的解决方案是禁止这类设备连入内部网络，进行完全物理隔离。但 是随着信息化的发展，物理隔离虽然可能是一个可靠的

14、安全选择，但是却阻碍了信 息的交换和共享，是否能够自动地识别接入内部网络的设备的权限，自动保证存有 敏感信息的设备只能接入内网？使用设备认证开关是一个简单有效的解决方案。在网络设备申请证书时，可以在证书主题域的OU域中填写访问权限信息，特别是 一些简单的开关信息，例如，该开关信息限制将该网络设备标志为“内部网络登录 组”，限制其只能接入内部网络而不允许接入外部网络。权限的设置和分配在申请 证书时由网络管理员出示证明。图3是这类证书的一个例子。（图3、网络设备证书实例）通过网络设备发放带有简单权限信息的证书，利用设备认证开关可以实现对遍布在 内部的物理网络接口的自动控制。当一台计算机接入物理网络

15、接口时，设备认证开 关根据证书的主题信息，可以判断该计算机是否具有登录内部网络或者外部网络的 权限，对于具有相应权限的计算机，设备认证开关准许其接入，相反拒绝其接入。完全物理隔离需要将外部网络接口和内部网络接口完全分开，而且对于存有敏感信 息的网络设备必须物理隔离，避免因为人员的误操作将其接入外网。然而，采用设 备认证开关的物理网络接口保护方案，不需要人为地区分外部网络接口和内部网络 接口，根据证书内容自动识别访问权限，有利于网络篁接口的保护和管理，有效阻 止了因为人员疏忽将存有敏感信息的网络设备接入外部网络的操作。（3）网络设备认证协议设备认证模块的设计采用挑战响应机制实现主机和设备认证模块

16、之间的认证，采用 PKI技术实现数字签名和证书管理，如图4所示。（图4、认证示意图）具体步骤如下：1）DAS产生随机数Rb,发送给Host；2）Host产生随机数Ra，使用网络设备证书对Ra、Rb签名，将证书CertA、Ra以 及签名结果发送给DAS;3）DAS验证签名结果。如果网络设备通过设备认证开关的认证，即该设备是合法的，那么打开设备与Hub （或者交换机）之间的连接，实现透明的转发，否则拒绝该设备访问网络。这是一个简单的基于挑战机制的认证协议，协议的安全性是已经得到了证明的。33、安全性分析采用设备认证开关保护网络物理接口，有效解决了内部网络遗留的一些安全隐患：（1）所有的从可疑的网络

17、接口接入的网络设备都需要进行认证，只对部分的网络 设备进行认证没有意义；（2）网络设备在通过认证之前，不能够拥有任何网络资源，即没胡网络连接，否 则它可以利用有限的网络资源发起攻击；（3）网络设备的认证对用户是透明的，同时保证合法的网络设备所使用的资源不 会比在使用认证机制之前有明显的降低。4、未来工作目前，设备认证开关主要用来保护遍布在公司、企业、政府等内部的物理网络接口， 很好地解决了一些简单的权限控制问题。随着内部网络结构复杂化和重点保护关键 服务器的需求，可以引入属性证书结合设备认证开关进一步充分解决访问控制的问 题。另一方面，由于设备认证开关是对网络物理接口的全面保护，因而可以作为监 控网络的平台，在此基础上可以搭建控制中心，实现对网络的实时监控。