網(wǎng)絡(luò)設(shè)備身份認(rèn)證機(jī)制

1、一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機(jī)制高能，向繼，馮登國(guó)摘要：提出一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機(jī)制，該機(jī)制利用一種新型的裝置“設(shè)備認(rèn)證開關(guān)”對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，對(duì)通過認(rèn)證的網(wǎng)絡(luò)設(shè)備接通網(wǎng)絡(luò)連接，并對(duì)流經(jīng)它的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，保證合法連接不被盜用。認(rèn)證方法則采用了目前最先進(jìn)的PKI技術(shù)。與現(xiàn)有的網(wǎng)絡(luò)身份認(rèn)證技術(shù)和系統(tǒng)相比，基于設(shè)備認(rèn)證開關(guān)的網(wǎng)絡(luò)設(shè)備認(rèn)證機(jī)制將保護(hù)的邊界拓展到了內(nèi)部網(wǎng)絡(luò)的最邊緣，通過在網(wǎng)絡(luò)設(shè)備的數(shù)字證書中嵌入簡(jiǎn)單的權(quán)限信息，可以自動(dòng)地管理網(wǎng)絡(luò)物理接口的使用。1、概述隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)違法犯罪、黑客攻擊、有害信息傳播等方面的問題日趨嚴(yán)重，網(wǎng)絡(luò)安全保護(hù)已經(jīng)成為刻不

2、容緩的問題。特別是內(nèi)部網(wǎng)絡(luò)的安全保護(hù)尤為突出。內(nèi)部網(wǎng)絡(luò)的物理接口遍布在若干個(gè)房間，甚至是一座大樓之中。任何能夠進(jìn)入該區(qū)域的人員，都可能利用這些暴露的物理接口。黑客可以將自己的機(jī)器輕易地接入內(nèi)部網(wǎng)絡(luò)，探聽內(nèi)部網(wǎng)絡(luò)的流量，甚至發(fā)起攻擊。目前通用的一些安全措施，如防火墻、虛擬專用網(wǎng)、加密技術(shù)以及入侵檢測(cè)系統(tǒng)等雖然可以有效地防止來(lái)自外部網(wǎng)絡(luò)的攻擊，但對(duì)防止來(lái)自網(wǎng)絡(luò)內(nèi)部攻擊的效果卻不明顯。內(nèi)部網(wǎng)絡(luò)安全保護(hù)的一個(gè)重要的手段就是實(shí)現(xiàn)網(wǎng)絡(luò)身認(rèn)證，即對(duì)連入網(wǎng)絡(luò)的用戶和設(shè)備的身份進(jìn)行認(rèn)證，只有那些具有合法身份的用戶和設(shè)備才能訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)身份認(rèn)證的目標(biāo)是保護(hù)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵服務(wù)器資源，但是一個(gè)沒有通過身份認(rèn)證

3、的用戶依然可以使用其它的內(nèi)部網(wǎng)絡(luò)資源，這是一個(gè)潛在的安全威脅。因而人們希望通過對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，從而確保內(nèi)部網(wǎng)絡(luò)的安全。2、網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證通常包括對(duì)網(wǎng)絡(luò)用戶身份和網(wǎng)絡(luò)設(shè)備身份的認(rèn)證。2.1、用戶身份認(rèn)證絕大多數(shù)的網(wǎng)絡(luò)身份認(rèn)證都只采用用戶身份認(rèn)證這種手段，通用的方法是一臺(tái)認(rèn)證服務(wù)器專門認(rèn)證用戶的身份，并賦予用戶訪問特定網(wǎng)絡(luò)資源的能力。這樣的用戶認(rèn)證系統(tǒng)包括Kerberos系統(tǒng)和基于用戶證書的PK認(rèn)證系統(tǒng)等。單純使用用戶身份認(rèn)證等于假定網(wǎng)絡(luò)設(shè)備（計(jì)算機(jī)）是完全可信的，這種假定在安全性上存在不少的問題。首先，即使用戶沒有通過認(rèn)證，它仍然能夠訪問一定的網(wǎng)絡(luò)資源，利用這些資源可以發(fā)起各種攻擊

4、。例如，攻擊者即使不能通過認(rèn)證訪問存有關(guān)鍵數(shù)據(jù)的服務(wù)器，但他仍然能夠利用網(wǎng)絡(luò)連接向服務(wù)器發(fā)起拒絕服務(wù)攻擊。其次，一個(gè)非法的網(wǎng)絡(luò)設(shè)備即使沒有人為操縱，把它接在內(nèi)部網(wǎng)絡(luò)上仍然是十分危險(xiǎn)的，例如它可以向網(wǎng)絡(luò)內(nèi)散布各種病毒，也可以監(jiān)聽網(wǎng)絡(luò)以竊取含有關(guān)鍵信息的流量。顯然，單純基于用戶身份認(rèn)證的認(rèn)證服務(wù)已經(jīng)不能滿足實(shí)際內(nèi)部網(wǎng)絡(luò)的安全需求。為了保護(hù)內(nèi)部網(wǎng)絡(luò)的資源，為了保證只有合法的網(wǎng)絡(luò)設(shè)備才能接入內(nèi)部網(wǎng)絡(luò)，為了保護(hù)開放于內(nèi)部的物理網(wǎng)絡(luò)接口不被非法的網(wǎng)絡(luò)設(shè)備效用，為了保護(hù)內(nèi)部網(wǎng)絡(luò)的最外緣，網(wǎng)絡(luò)身份認(rèn)證機(jī)制中必須增加對(duì)網(wǎng)絡(luò)設(shè)備的身份認(rèn)證。2.2、設(shè)備身份認(rèn)證網(wǎng)絡(luò)設(shè)備身份認(rèn)證是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一個(gè)重要的安全機(jī)制

5、，它的思想是對(duì)所有接入內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的身份進(jìn)行認(rèn)證，通過認(rèn)證的網(wǎng)絡(luò)設(shè)備被認(rèn)為是合法的，否則被認(rèn)為是非法的，只有合法的網(wǎng)絡(luò)設(shè)備才能夠使用內(nèi)部網(wǎng)絡(luò)的各種資源，這里的資源主要是指網(wǎng)絡(luò)連接。同時(shí)網(wǎng)絡(luò)設(shè)備身份認(rèn)證還必須保護(hù)合法設(shè)備的資源（網(wǎng)絡(luò)連接）不被非法的設(shè)備所盜用。僅利用日前的內(nèi)部網(wǎng)絡(luò)條件對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行身份認(rèn)證是不可能的，在一般情況下，內(nèi)部網(wǎng)絡(luò)是開放的、無(wú)管理的。網(wǎng)絡(luò)接口遍布于各個(gè)房間，內(nèi)部網(wǎng)絡(luò)無(wú)法對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證，任何網(wǎng)絡(luò)設(shè)備只要接入空余的網(wǎng)絡(luò)接口就可以獲得網(wǎng)絡(luò)連接，而且非法設(shè)備可以很容易地盜用合法設(shè)備的網(wǎng)絡(luò)接口。所以為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備身份認(rèn)證，必須在內(nèi)部網(wǎng)絡(luò)中增加新的安全裝置。為了對(duì)網(wǎng)絡(luò)設(shè)備

6、進(jìn)行身份認(rèn)證，因內(nèi)外專家提出了不同的思想，并且生產(chǎn)出了各種各樣的產(chǎn)品。例如美國(guó)Alberta大學(xué)的RobertBeck在1999年于美國(guó)華盛頓召開的第13屆系統(tǒng)管理（LISA）會(huì)議上，發(fā)表了一篇題為“DealingwithPublicEthernetJacksSwitched,Gateways,andAuthentication（公用以太網(wǎng)接口交換機(jī)和網(wǎng)關(guān)的處理及認(rèn)證）的文章，提出了網(wǎng)絡(luò)設(shè)備認(rèn)證的初步思想。在實(shí)際產(chǎn)品方面美國(guó)鳳凰科技公司的DeviceConnect設(shè)備端認(rèn)證技術(shù)、北京東方龍馬公司的用戶認(rèn)證網(wǎng)關(guān)產(chǎn)品、上海給維佳公司的公開密鑰基礎(chǔ)設(shè)施（PKI）網(wǎng)管服務(wù)器等，都已經(jīng)不同程度地得到了廣

7、泛應(yīng)用。這些產(chǎn)品和技術(shù)在具體表現(xiàn)上各有不同，但實(shí)際上都是基于認(rèn)證服務(wù)器的模式，這種模式的網(wǎng)絡(luò)配置示意圖如圖所示。（圖1、認(rèn)證服務(wù)器模式的網(wǎng)絡(luò)配置示意圖）認(rèn)證服務(wù)器是一種網(wǎng)絡(luò)服務(wù)器，它將整個(gè)內(nèi)部網(wǎng)絡(luò)為受保護(hù)的網(wǎng)絡(luò)A和未受保護(hù)的網(wǎng)絡(luò)B,如同一座橋梁連接著這兩部分。如果未受保護(hù)的網(wǎng)絡(luò)中的一個(gè)網(wǎng)絡(luò)設(shè)備想要訪問受保護(hù)的網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器首先對(duì)該設(shè)備進(jìn)行認(rèn)證，如果認(rèn)證通過則允許它訪問,否則拒絕訪問。雖然這種方法可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的身份認(rèn)證,但是由于它只是簡(jiǎn)單繼承了用戶身份認(rèn)證的機(jī)制,存在以下幾個(gè)明顯的缺陷：（1）片面性,它只提供了一種片面的安全保護(hù),未通過認(rèn)證的攻擊者仍然可以利用網(wǎng)絡(luò)連接來(lái)散布病毒,或進(jìn)行拒絕

8、服務(wù)攻擊；（2）安全配置復(fù)雜,它的配置需要改變內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu),重新分配IP地址,操作比較復(fù)雜；（3）可用性,它本身存在被攻擊的危險(xiǎn),例如攻擊者可以對(duì)認(rèn)證服務(wù)器發(fā)起拒絕服務(wù)攻擊,致使合法的用戶不能訪問受保護(hù)的網(wǎng)絡(luò)；（4）網(wǎng)絡(luò)性能,它同時(shí)也是網(wǎng)絡(luò)性能上的一個(gè)瓶頸,當(dāng)很多用戶同時(shí)訪問受保護(hù)的網(wǎng)絡(luò)時(shí),網(wǎng)絡(luò)性能就會(huì)下降,特別是對(duì)于那些提供存儲(chǔ)服務(wù)的服務(wù)器。可見，認(rèn)證服務(wù)器模式?jīng)]有完全解決對(duì)設(shè)備的認(rèn)證問題，因?yàn)榇嬖诓槐徽J(rèn)證的主機(jī)能夠訪問內(nèi)部網(wǎng)絡(luò)的問題，如圖1中的攻擊主機(jī)，雖然它無(wú)法通過認(rèn)證服務(wù)器的認(rèn)證，但是它依然可以訪問網(wǎng)絡(luò)B內(nèi)的其它主機(jī)，是具有網(wǎng)絡(luò)連接的。鑒于目前網(wǎng)絡(luò)設(shè)備身份認(rèn)證方法所存在的缺陷，我

9、們提出了一種新型的網(wǎng)絡(luò)設(shè)備身份認(rèn)證的方法，它在內(nèi)部網(wǎng)絡(luò)中引入了一種新的裝置“設(shè)備認(rèn)證開關(guān)”，由它專門對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證和管理，認(rèn)證采用基于PKI的數(shù)字證書實(shí)現(xiàn)，該方法在安全性和性能上很好地滿足了內(nèi)部網(wǎng)絡(luò)設(shè)備身份認(rèn)證的需求，將保護(hù)的范圍擴(kuò)展到了整個(gè)內(nèi)部網(wǎng)絡(luò)，在其最外緣形成了一道安全保護(hù)的邊界。3、一種網(wǎng)絡(luò)設(shè)備身份認(rèn)證的裝置和方法3.1、設(shè)備認(rèn)證開關(guān)設(shè)備認(rèn)證開關(guān)（DeviceAuthenticationSwitch,DAS）正是針對(duì)內(nèi)部攻擊開發(fā)的一種新型的網(wǎng)絡(luò)安全產(chǎn)品，它位于集線器（Hub）的前端，采用透明的傳輸方式，即本身不具有網(wǎng)絡(luò)地址，采用了數(shù)字簽名技術(shù)，提供安全級(jí)別更高的網(wǎng)絡(luò)設(shè)備身份認(rèn)證設(shè)備

10、認(rèn)證開關(guān)的主要功能是對(duì)沒有通過認(rèn)證的設(shè)備關(guān)閉網(wǎng)絡(luò)連接（如PC的以太網(wǎng)卡和集線器之間的連接），對(duì)通過認(rèn)證的設(shè)備接通網(wǎng)絡(luò)連接，并對(duì)接通的通信進(jìn)行實(shí)時(shí)的監(jiān)控，保證合法連接不被盜用。設(shè)備認(rèn)證開關(guān)的網(wǎng)絡(luò)配置示意圖如圖2。1HASHU*A呻*miiI圖2、設(shè)備認(rèn)證開關(guān)網(wǎng)絡(luò)配置示意圖）通過在內(nèi)部網(wǎng)絡(luò)的每個(gè)物理網(wǎng)絡(luò)接口的后端安裝和配置設(shè)備認(rèn)證開關(guān)，從而保證每一個(gè)接入內(nèi)部網(wǎng)絡(luò)的設(shè)備都具有合法的身份。與傳統(tǒng)的利用認(rèn)證服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備身份認(rèn)證的方法相比，基于設(shè)備認(rèn)證開關(guān)的網(wǎng)絡(luò)設(shè)備身份認(rèn)證是一種全面保護(hù)內(nèi)部網(wǎng)絡(luò)的技術(shù)，將保護(hù)的邊界拓展到了內(nèi)部網(wǎng)絡(luò)的最外緣，它的優(yōu)點(diǎn)在于：（1）由于其本身不具有網(wǎng)絡(luò)地址，它的配置和使用

11、對(duì)于客戶機(jī)是完全透明的，在不需要改變現(xiàn)有的內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)的前提下，可以直接安裝和使用；（2）對(duì)于攻擊者是不可見的，不易遭受拒絕服務(wù)攻擊；（3）采用分布式認(rèn)證技術(shù)，消除了中心服務(wù)器認(rèn)證產(chǎn)生的網(wǎng)絡(luò)處理瓶頸問題。3.2、使用數(shù)字證書實(shí)現(xiàn)認(rèn)證為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備身份的認(rèn)證，我們引入了先進(jìn)的PKI技術(shù)。PKI（PublicKeyInfrastructure）即公開密鑰基礎(chǔ)設(shè)施，它是一個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，CA（CertificateAuthority）是一個(gè)域中的信任中心，其他設(shè)備或人之間的通信和驗(yàn)證都依賴于CA所頒發(fā)的數(shù)字證書。數(shù)字證書也就是一

12、個(gè)公開密鑰和身份信息綁在一起，用CA的私鑰簽名后得到的數(shù)據(jù)結(jié)構(gòu)。在網(wǎng)絡(luò)通信中，數(shù)字證書就是標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，它提供了一種驗(yàn)證身份的方式，其作用類似于日常生活中的身份證。（1）網(wǎng)絡(luò)設(shè)備的身份信息如何標(biāo)識(shí)一臺(tái)網(wǎng)絡(luò)設(shè)備呢？最容易想到的就是設(shè)備的IP地址和MAC地址。如果使用網(wǎng)絡(luò)設(shè)備的IP地址作為身份標(biāo)識(shí)，存在兩個(gè)問題：首先，網(wǎng)絡(luò)設(shè)備的IP地址可能改變，例始內(nèi)部網(wǎng)絡(luò)的IP管理的需要；另一方面，IP地址是可以冒充的，惡意的攻擊者可以偽裝成合法用戶的IP地址訪問網(wǎng)絡(luò)。因而，我們選用設(shè)備的MAC地址作為身份信息，只要在證書的CommonName（通用名）域填寫設(shè)備的MAC地址即可。申請(qǐng)證書的

13、計(jì)算機(jī)的以太網(wǎng)網(wǎng)卡地址必須是通過網(wǎng)絡(luò)管理員認(rèn)可的、合法的、可以在局域網(wǎng)內(nèi)安全使用的網(wǎng)卡地址，例如，必須具有網(wǎng)絡(luò)管理員出具的證明。（2）網(wǎng)絡(luò)設(shè)備的簡(jiǎn)單權(quán)限信息在實(shí)際應(yīng)用中特別是政府的內(nèi)部網(wǎng)絡(luò)，由于某些網(wǎng)絡(luò)設(shè)備存有敏感信息，是不允許接入外網(wǎng)的（例如Internet），但是使用者有時(shí)可能會(huì)忽略這種限制，導(dǎo)致違規(guī)的操作，因而現(xiàn)有的解決方案是禁止這類設(shè)備連入內(nèi)部網(wǎng)絡(luò)，進(jìn)行完全物理隔離。但是隨著信息化的發(fā)展，物理隔離雖然可能是一個(gè)可靠的安全選擇，但是卻阻礙了信息的交換和共享，是否能夠自動(dòng)地識(shí)別接入內(nèi)部網(wǎng)絡(luò)的設(shè)備的權(quán)限，自動(dòng)保證存有敏感信息的設(shè)備只能接入內(nèi)網(wǎng)？使用設(shè)備認(rèn)證開關(guān)是一個(gè)簡(jiǎn)單有效的解決方案。在網(wǎng)絡(luò)

14、設(shè)備申請(qǐng)證書時(shí)，可以在證書主題域的OU域中填寫訪問權(quán)限信息，特別是一些簡(jiǎn)單的開關(guān)信息，例如，該開關(guān)信息限制將該網(wǎng)絡(luò)設(shè)備標(biāo)志為“內(nèi)部網(wǎng)絡(luò)登錄組”，限制其只能接入內(nèi)部網(wǎng)絡(luò)而不允許接入外部網(wǎng)絡(luò)。權(quán)限的設(shè)置和分配在申請(qǐng)證書時(shí)由網(wǎng)絡(luò)管理員出示證明。圖3是這類證書的一個(gè)例子。aIr卻初1*WHwttNMAfcBI_】ain-7VMR1PWHIvff-WKL-I圖3、網(wǎng)絡(luò)設(shè)備證書實(shí)例）通過網(wǎng)絡(luò)設(shè)備發(fā)放帶有簡(jiǎn)單權(quán)限信息的證書，利用設(shè)備認(rèn)證開關(guān)可以實(shí)現(xiàn)對(duì)遍布在內(nèi)部的物理網(wǎng)絡(luò)接口的自動(dòng)控制。當(dāng)一臺(tái)計(jì)算機(jī)接入物理網(wǎng)絡(luò)接口時(shí)，設(shè)備認(rèn)證開關(guān)根據(jù)證書的主題信息，可以判斷該計(jì)算機(jī)是否具有登錄內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)的權(quán)限，對(duì)于

15、具有相應(yīng)權(quán)限的計(jì)算機(jī)，設(shè)備認(rèn)證開關(guān)準(zhǔn)許其接入，相反拒絕其接入。完全物理隔離需要將外部網(wǎng)絡(luò)接口和內(nèi)部網(wǎng)絡(luò)接口完全分開，而且對(duì)于存有敏感信息的網(wǎng)絡(luò)設(shè)備必須物理隔離，避免因?yàn)槿藛T的誤操作將其接入外網(wǎng)。然而，采用設(shè)備認(rèn)證開關(guān)的物理網(wǎng)絡(luò)接口保護(hù)方案，不需要人為地區(qū)分外部網(wǎng)絡(luò)接口和內(nèi)部網(wǎng)絡(luò)接口，根據(jù)證書內(nèi)容自動(dòng)識(shí)別訪問權(quán)限，有利于網(wǎng)絡(luò)篁接口的保護(hù)和管理，有效阻止了因?yàn)槿藛T疏忽將存有敏感信息的網(wǎng)絡(luò)設(shè)備接入外部網(wǎng)絡(luò)的操作。（3）網(wǎng)絡(luò)設(shè)備認(rèn)證協(xié)議設(shè)備認(rèn)證模塊的設(shè)計(jì)采用挑戰(zhàn)響應(yīng)機(jī)制實(shí)現(xiàn)主機(jī)和設(shè)備認(rèn)證模塊之間的認(rèn)證，采用PKI技術(shù)實(shí)現(xiàn)數(shù)字簽名和證書管理，如圖4所示。1h.kihasftijiA,Kh,li)cJ4h

16、.fhJ（圖4、認(rèn)證示意圖）具體步驟如下：1）DAS產(chǎn)生隨機(jī)數(shù)Rb,發(fā)送給Host；2）Host產(chǎn)生隨機(jī)數(shù)Ra,使用網(wǎng)絡(luò)設(shè)備證書對(duì)Ra、Rb簽名，將證書CertA、Ra以及簽名結(jié)果發(fā)送給DAS;3）DAS驗(yàn)證簽名結(jié)果。如果網(wǎng)絡(luò)設(shè)備通過設(shè)備認(rèn)證開關(guān)的認(rèn)證,即該設(shè)備是合法的,那么打開設(shè)備與Hub（或者交換機(jī)）之間的連接,實(shí)現(xiàn)透明的轉(zhuǎn)發(fā),否則拒絕該設(shè)備訪問網(wǎng)絡(luò)。這是一個(gè)簡(jiǎn)單的基于挑戰(zhàn)機(jī)制的認(rèn)證協(xié)議,協(xié)議的安全性是已經(jīng)得到了證明的。3.3、安全性分析采用設(shè)備認(rèn)證開關(guān)保護(hù)網(wǎng)絡(luò)物理接口,有效解決了內(nèi)部網(wǎng)絡(luò)遺留的一些安全隱患：（1）所有的從可疑的網(wǎng)絡(luò)接口接入的網(wǎng)絡(luò)設(shè)備都需要進(jìn)行認(rèn)證,只對(duì)部分的網(wǎng)絡(luò)設(shè)備進(jìn)行認(rèn)證沒有意義；（2）網(wǎng)絡(luò)設(shè)備在通過認(rèn)證之前,不能夠擁有任何網(wǎng)絡(luò)資源,即沒胡網(wǎng)絡(luò)連接,否