基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制探討

佟亞香

摘 要 在我國社會主義市場經(jīng)濟高速發(fā)展的今天，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)普及全世界，但隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，隨之而來的網(wǎng)絡(luò)犯罪、有害信息傳播、黑客攻擊等問題愈發(fā)嚴(yán)重，網(wǎng)絡(luò)安全環(huán)境越來越讓人擔(dān)心。對計算機網(wǎng)絡(luò)進行安全保護已經(jīng)刻不容緩，尤其是內(nèi)部網(wǎng)絡(luò)的安全防護。內(nèi)部網(wǎng)絡(luò)的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內(nèi)部網(wǎng)絡(luò)進行攻擊。文章分析的主要是一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，它對保護內(nèi)部網(wǎng)絡(luò)的安全性有非常突出的效果。

關(guān)鍵詞 數(shù)字證書；網(wǎng)絡(luò)設(shè)備；身份認(rèn)證機制

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網(wǎng)絡(luò)技術(shù)中，針對網(wǎng)絡(luò)安全的主要保護措施有虛擬專用網(wǎng)、入侵檢測系統(tǒng)、防火墻、加密技術(shù)等，這些安全技術(shù)雖然可以有效的防止來自外部網(wǎng)絡(luò)的攻擊，但是源自于內(nèi)部網(wǎng)絡(luò)的攻擊依然無法避免。針對這種情況，現(xiàn)今對內(nèi)部網(wǎng)絡(luò)進行保護的主要措施是采用基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，簡而言之就是針對連入內(nèi)部網(wǎng)絡(luò)的用戶以及連入設(shè)備進行身份驗證的措施，以此分辨哪些連入用戶或設(shè)備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關(guān)人員亂接入內(nèi)部網(wǎng)絡(luò)，對保護關(guān)鍵服務(wù)器中各種資源的安全有重要作用。

1 網(wǎng)絡(luò)身份認(rèn)證概述

網(wǎng)絡(luò)身份認(rèn)證主要包括兩種類型，一是對網(wǎng)絡(luò)用戶的身份認(rèn)證，二是對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證。本文先對這兩種認(rèn)證方式進行簡要介紹。

1.1 網(wǎng)絡(luò)用戶身份認(rèn)證

現(xiàn)在很多網(wǎng)絡(luò)身份認(rèn)證都是采用的網(wǎng)絡(luò)用戶身份認(rèn)證這種方式，即采用一臺專門的身份認(rèn)證服務(wù)器進行這項工作，一旦用戶通過認(rèn)證，該服務(wù)器便會賦予該用戶在特定網(wǎng)絡(luò)中的訪問權(quán)限。這種網(wǎng)絡(luò)用戶身份認(rèn)證系統(tǒng)主要包括基于用戶證書的PKI認(rèn)證系統(tǒng)以及Kerberos系統(tǒng)等。但是，單只使用網(wǎng)絡(luò)用戶身份認(rèn)證這種方法，相當(dāng)于假定計算機是完全可信的，這使得其在內(nèi)部網(wǎng)絡(luò)的安全上存在著諸多問題。1）某些用戶即使沒有通過認(rèn)證依然能夠使用一定的網(wǎng)絡(luò)資源，并通過利用其所使用的資源對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊；2）當(dāng)接入的網(wǎng)絡(luò)設(shè)備屬于非法身份時，即使只是單純的連接在內(nèi)部網(wǎng)絡(luò)上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內(nèi)部網(wǎng)絡(luò)散播病毒，還可以對內(nèi)部網(wǎng)絡(luò)進行監(jiān)控等。通過上述分析可知，如果單純的使用網(wǎng)絡(luò)用戶身份認(rèn)證的這種認(rèn)證服務(wù)是無法滿足當(dāng)前內(nèi)部網(wǎng)絡(luò)的安全需求的。

1.2 網(wǎng)絡(luò)設(shè)備身份認(rèn)證

網(wǎng)絡(luò)設(shè)備身份認(rèn)證對于保證內(nèi)部網(wǎng)絡(luò)的安全來說有著非常突出的作用，其原理是對所有需接入內(nèi)部網(wǎng)絡(luò)的各種網(wǎng)絡(luò)設(shè)備進行身份認(rèn)證，確定設(shè)備合法以后，才能訪問內(nèi)部網(wǎng)絡(luò)的資源，否則就會被拒之于內(nèi)部網(wǎng)絡(luò)之外。與此同時，網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制還能夠保護合法網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資源不會被非法網(wǎng)絡(luò)設(shè)備盜用。但是就目前內(nèi)部網(wǎng)絡(luò)的發(fā)展情況來看，僅僅利用內(nèi)部網(wǎng)絡(luò)條件對網(wǎng)絡(luò)設(shè)備身份進行認(rèn)證顯得很是力不從心，而且一般情況下內(nèi)部網(wǎng)絡(luò)都處于無管理的開放狀態(tài)。其網(wǎng)絡(luò)接口遍布于大樓的各個房間，任何網(wǎng)絡(luò)設(shè)備只要接入空閑的接口就能夠訪問網(wǎng)絡(luò)資源，這就使得非法設(shè)備極容易盜取合法設(shè)備網(wǎng)絡(luò)資源。由此可見，要在內(nèi)部網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證是很困難的，但是相比于網(wǎng)絡(luò)用戶身份認(rèn)證來說，它對提高內(nèi)部網(wǎng)絡(luò)安全級別的效果又是最為突出的。故而，國內(nèi)外的很多專家都在全力研究網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，并生產(chǎn)出各種各樣的認(rèn)證產(chǎn)品。

2 基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制

基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，其裝置主要有網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)以及數(shù)字證書兩部分。

2.1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)

網(wǎng)絡(luò)設(shè)備的認(rèn)證開關(guān)是才開發(fā)出不久的一種新型的、確保內(nèi)部網(wǎng)絡(luò)安全的產(chǎn)品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網(wǎng)絡(luò)地址，并采用數(shù)字簽名證書，這對提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別有巨大的作用。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“開”是指授予通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備訪問網(wǎng)絡(luò)資源的權(quán)限，并對其通信狀態(tài)進行實時監(jiān)控；網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“關(guān)”是指斷開沒有通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)連接，阻止其盜用內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置如圖1所示。

圖1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置圖

其優(yōu)勢主要有3點：1）因為它本身不具有網(wǎng)絡(luò)地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現(xiàn)有內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務(wù)器的攻擊；3）其使用的主要是分布式認(rèn)證技術(shù)，這種技術(shù)能夠有效的消除中心服務(wù)器認(rèn)證時所產(chǎn)生的網(wǎng)絡(luò)處理瓶頸問題。

2.2 數(shù)字證書

為了進一步提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別，引入PKI技術(shù)是非常必要的。PKI是指公開密鑰基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，CA屬于域中的信任中心，其他設(shè)備之間的通信和驗證等都必須要依賴于CA所頒布的數(shù)字證書才能實現(xiàn)。簡而言之，所謂的數(shù)字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數(shù)據(jù)結(jié)構(gòu)。要標(biāo)識一臺網(wǎng)絡(luò)設(shè)備，主要利用的是該設(shè)備的網(wǎng)絡(luò)IP地址以及MAC地址。但是用IP地址進行身份標(biāo)識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數(shù)字證書的Common Name域上填寫出網(wǎng)絡(luò)設(shè)備的MAC地址就可以完成身份驗證。對于網(wǎng)絡(luò)設(shè)備認(rèn)證協(xié)議來說，其認(rèn)證模塊的設(shè)計多是采用挑戰(zhàn)/響應(yīng)機制來實現(xiàn)設(shè)備和主機之間的認(rèn)證，以PKI技術(shù)進行數(shù)字簽名以及對證書進行管理。具體步驟：首先由DAS產(chǎn)生隨機數(shù)Rb，并將其發(fā)送給Host，然后再由Host產(chǎn)生隨機數(shù)Ra。并使用數(shù)字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結(jié)果發(fā)送到DAS，最后是由DAS對簽名結(jié)果進行驗證。如果通過驗證，則表示該設(shè)備的身份合法，網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會打開設(shè)備與Hub之間的網(wǎng)絡(luò)連接，否則網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會拒絕網(wǎng)絡(luò)設(shè)備訪問內(nèi)部網(wǎng)絡(luò)。其步驟如圖2所示。

圖2 網(wǎng)絡(luò)設(shè)備認(rèn)證的步驟示意圖

3 結(jié)束語

總而言之，利用網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)能夠有效的解決傳統(tǒng)網(wǎng)絡(luò)設(shè)備身份認(rèn)證中所存在的不足，對提高內(nèi)部網(wǎng)絡(luò)的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設(shè)的過程中必要重視對基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制的應(yīng)用。

參考文獻

[1]葉純青.數(shù)字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發(fā)機構(gòu)[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數(shù)字證書的云計算安全認(rèn)證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統(tǒng)一數(shù)字證書系統(tǒng)在國家電網(wǎng)公司的實施應(yīng)用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數(shù)字證書在網(wǎng)上招投標(biāo)系統(tǒng)運營中的應(yīng)用——以南京市建設(shè)工程交易中心“e路陽光”系統(tǒng)為例[J].城市建設(shè)理論研究（電子版），2013（9）.

[5]張越.數(shù)字證書在江蘇質(zhì)監(jiān)行政權(quán)力網(wǎng)上公開透明運行信息系統(tǒng)中的應(yīng)用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數(shù)字證書認(rèn)證的訪問控制研究[J].科技與企業(yè)，2013（3）：110.endprint

摘 要 在我國社會主義市場經(jīng)濟高速發(fā)展的今天，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)普及全世界，但隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，隨之而來的網(wǎng)絡(luò)犯罪、有害信息傳播、黑客攻擊等問題愈發(fā)嚴(yán)重，網(wǎng)絡(luò)安全環(huán)境越來越讓人擔(dān)心。對計算機網(wǎng)絡(luò)進行安全保護已經(jīng)刻不容緩，尤其是內(nèi)部網(wǎng)絡(luò)的安全防護。內(nèi)部網(wǎng)絡(luò)的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內(nèi)部網(wǎng)絡(luò)進行攻擊。文章分析的主要是一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，它對保護內(nèi)部網(wǎng)絡(luò)的安全性有非常突出的效果。

關(guān)鍵詞 數(shù)字證書；網(wǎng)絡(luò)設(shè)備；身份認(rèn)證機制

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網(wǎng)絡(luò)技術(shù)中，針對網(wǎng)絡(luò)安全的主要保護措施有虛擬專用網(wǎng)、入侵檢測系統(tǒng)、防火墻、加密技術(shù)等，這些安全技術(shù)雖然可以有效的防止來自外部網(wǎng)絡(luò)的攻擊，但是源自于內(nèi)部網(wǎng)絡(luò)的攻擊依然無法避免。針對這種情況，現(xiàn)今對內(nèi)部網(wǎng)絡(luò)進行保護的主要措施是采用基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，簡而言之就是針對連入內(nèi)部網(wǎng)絡(luò)的用戶以及連入設(shè)備進行身份驗證的措施，以此分辨哪些連入用戶或設(shè)備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關(guān)人員亂接入內(nèi)部網(wǎng)絡(luò)，對保護關(guān)鍵服務(wù)器中各種資源的安全有重要作用。

1 網(wǎng)絡(luò)身份認(rèn)證概述

網(wǎng)絡(luò)身份認(rèn)證主要包括兩種類型，一是對網(wǎng)絡(luò)用戶的身份認(rèn)證，二是對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證。本文先對這兩種認(rèn)證方式進行簡要介紹。

1.1 網(wǎng)絡(luò)用戶身份認(rèn)證

現(xiàn)在很多網(wǎng)絡(luò)身份認(rèn)證都是采用的網(wǎng)絡(luò)用戶身份認(rèn)證這種方式，即采用一臺專門的身份認(rèn)證服務(wù)器進行這項工作，一旦用戶通過認(rèn)證，該服務(wù)器便會賦予該用戶在特定網(wǎng)絡(luò)中的訪問權(quán)限。這種網(wǎng)絡(luò)用戶身份認(rèn)證系統(tǒng)主要包括基于用戶證書的PKI認(rèn)證系統(tǒng)以及Kerberos系統(tǒng)等。但是，單只使用網(wǎng)絡(luò)用戶身份認(rèn)證這種方法，相當(dāng)于假定計算機是完全可信的，這使得其在內(nèi)部網(wǎng)絡(luò)的安全上存在著諸多問題。1）某些用戶即使沒有通過認(rèn)證依然能夠使用一定的網(wǎng)絡(luò)資源，并通過利用其所使用的資源對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊；2）當(dāng)接入的網(wǎng)絡(luò)設(shè)備屬于非法身份時，即使只是單純的連接在內(nèi)部網(wǎng)絡(luò)上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內(nèi)部網(wǎng)絡(luò)散播病毒，還可以對內(nèi)部網(wǎng)絡(luò)進行監(jiān)控等。通過上述分析可知，如果單純的使用網(wǎng)絡(luò)用戶身份認(rèn)證的這種認(rèn)證服務(wù)是無法滿足當(dāng)前內(nèi)部網(wǎng)絡(luò)的安全需求的。

1.2 網(wǎng)絡(luò)設(shè)備身份認(rèn)證

網(wǎng)絡(luò)設(shè)備身份認(rèn)證對于保證內(nèi)部網(wǎng)絡(luò)的安全來說有著非常突出的作用，其原理是對所有需接入內(nèi)部網(wǎng)絡(luò)的各種網(wǎng)絡(luò)設(shè)備進行身份認(rèn)證，確定設(shè)備合法以后，才能訪問內(nèi)部網(wǎng)絡(luò)的資源，否則就會被拒之于內(nèi)部網(wǎng)絡(luò)之外。與此同時，網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制還能夠保護合法網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資源不會被非法網(wǎng)絡(luò)設(shè)備盜用。但是就目前內(nèi)部網(wǎng)絡(luò)的發(fā)展情況來看，僅僅利用內(nèi)部網(wǎng)絡(luò)條件對網(wǎng)絡(luò)設(shè)備身份進行認(rèn)證顯得很是力不從心，而且一般情況下內(nèi)部網(wǎng)絡(luò)都處于無管理的開放狀態(tài)。其網(wǎng)絡(luò)接口遍布于大樓的各個房間，任何網(wǎng)絡(luò)設(shè)備只要接入空閑的接口就能夠訪問網(wǎng)絡(luò)資源，這就使得非法設(shè)備極容易盜取合法設(shè)備網(wǎng)絡(luò)資源。由此可見，要在內(nèi)部網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證是很困難的，但是相比于網(wǎng)絡(luò)用戶身份認(rèn)證來說，它對提高內(nèi)部網(wǎng)絡(luò)安全級別的效果又是最為突出的。故而，國內(nèi)外的很多專家都在全力研究網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，并生產(chǎn)出各種各樣的認(rèn)證產(chǎn)品。

2 基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制

基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，其裝置主要有網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)以及數(shù)字證書兩部分。

2.1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)

網(wǎng)絡(luò)設(shè)備的認(rèn)證開關(guān)是才開發(fā)出不久的一種新型的、確保內(nèi)部網(wǎng)絡(luò)安全的產(chǎn)品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網(wǎng)絡(luò)地址，并采用數(shù)字簽名證書，這對提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別有巨大的作用。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“開”是指授予通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備訪問網(wǎng)絡(luò)資源的權(quán)限，并對其通信狀態(tài)進行實時監(jiān)控；網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“關(guān)”是指斷開沒有通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)連接，阻止其盜用內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置如圖1所示。

圖1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置圖

其優(yōu)勢主要有3點：1）因為它本身不具有網(wǎng)絡(luò)地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現(xiàn)有內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務(wù)器的攻擊；3）其使用的主要是分布式認(rèn)證技術(shù)，這種技術(shù)能夠有效的消除中心服務(wù)器認(rèn)證時所產(chǎn)生的網(wǎng)絡(luò)處理瓶頸問題。

2.2 數(shù)字證書

為了進一步提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別，引入PKI技術(shù)是非常必要的。PKI是指公開密鑰基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，CA屬于域中的信任中心，其他設(shè)備之間的通信和驗證等都必須要依賴于CA所頒布的數(shù)字證書才能實現(xiàn)。簡而言之，所謂的數(shù)字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數(shù)據(jù)結(jié)構(gòu)。要標(biāo)識一臺網(wǎng)絡(luò)設(shè)備，主要利用的是該設(shè)備的網(wǎng)絡(luò)IP地址以及MAC地址。但是用IP地址進行身份標(biāo)識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數(shù)字證書的Common Name域上填寫出網(wǎng)絡(luò)設(shè)備的MAC地址就可以完成身份驗證。對于網(wǎng)絡(luò)設(shè)備認(rèn)證協(xié)議來說，其認(rèn)證模塊的設(shè)計多是采用挑戰(zhàn)/響應(yīng)機制來實現(xiàn)設(shè)備和主機之間的認(rèn)證，以PKI技術(shù)進行數(shù)字簽名以及對證書進行管理。具體步驟：首先由DAS產(chǎn)生隨機數(shù)Rb，并將其發(fā)送給Host，然后再由Host產(chǎn)生隨機數(shù)Ra。并使用數(shù)字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結(jié)果發(fā)送到DAS，最后是由DAS對簽名結(jié)果進行驗證。如果通過驗證，則表示該設(shè)備的身份合法，網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會打開設(shè)備與Hub之間的網(wǎng)絡(luò)連接，否則網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會拒絕網(wǎng)絡(luò)設(shè)備訪問內(nèi)部網(wǎng)絡(luò)。其步驟如圖2所示。

圖2 網(wǎng)絡(luò)設(shè)備認(rèn)證的步驟示意圖

3 結(jié)束語

總而言之，利用網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)能夠有效的解決傳統(tǒng)網(wǎng)絡(luò)設(shè)備身份認(rèn)證中所存在的不足，對提高內(nèi)部網(wǎng)絡(luò)的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設(shè)的過程中必要重視對基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制的應(yīng)用。

參考文獻

[1]葉純青.數(shù)字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發(fā)機構(gòu)[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數(shù)字證書的云計算安全認(rèn)證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統(tǒng)一數(shù)字證書系統(tǒng)在國家電網(wǎng)公司的實施應(yīng)用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數(shù)字證書在網(wǎng)上招投標(biāo)系統(tǒng)運營中的應(yīng)用——以南京市建設(shè)工程交易中心“e路陽光”系統(tǒng)為例[J].城市建設(shè)理論研究（電子版），2013（9）.

[5]張越.數(shù)字證書在江蘇質(zhì)監(jiān)行政權(quán)力網(wǎng)上公開透明運行信息系統(tǒng)中的應(yīng)用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數(shù)字證書認(rèn)證的訪問控制研究[J].科技與企業(yè)，2013（3）：110.endprint

摘 要 在我國社會主義市場經(jīng)濟高速發(fā)展的今天，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)普及全世界，但隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，隨之而來的網(wǎng)絡(luò)犯罪、有害信息傳播、黑客攻擊等問題愈發(fā)嚴(yán)重，網(wǎng)絡(luò)安全環(huán)境越來越讓人擔(dān)心。對計算機網(wǎng)絡(luò)進行安全保護已經(jīng)刻不容緩，尤其是內(nèi)部網(wǎng)絡(luò)的安全防護。內(nèi)部網(wǎng)絡(luò)的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內(nèi)部網(wǎng)絡(luò)進行攻擊。文章分析的主要是一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，它對保護內(nèi)部網(wǎng)絡(luò)的安全性有非常突出的效果。

關(guān)鍵詞 數(shù)字證書；網(wǎng)絡(luò)設(shè)備；身份認(rèn)證機制

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網(wǎng)絡(luò)技術(shù)中，針對網(wǎng)絡(luò)安全的主要保護措施有虛擬專用網(wǎng)、入侵檢測系統(tǒng)、防火墻、加密技術(shù)等，這些安全技術(shù)雖然可以有效的防止來自外部網(wǎng)絡(luò)的攻擊，但是源自于內(nèi)部網(wǎng)絡(luò)的攻擊依然無法避免。針對這種情況，現(xiàn)今對內(nèi)部網(wǎng)絡(luò)進行保護的主要措施是采用基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，簡而言之就是針對連入內(nèi)部網(wǎng)絡(luò)的用戶以及連入設(shè)備進行身份驗證的措施，以此分辨哪些連入用戶或設(shè)備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關(guān)人員亂接入內(nèi)部網(wǎng)絡(luò)，對保護關(guān)鍵服務(wù)器中各種資源的安全有重要作用。

1 網(wǎng)絡(luò)身份認(rèn)證概述

網(wǎng)絡(luò)身份認(rèn)證主要包括兩種類型，一是對網(wǎng)絡(luò)用戶的身份認(rèn)證，二是對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證。本文先對這兩種認(rèn)證方式進行簡要介紹。

1.1 網(wǎng)絡(luò)用戶身份認(rèn)證

現(xiàn)在很多網(wǎng)絡(luò)身份認(rèn)證都是采用的網(wǎng)絡(luò)用戶身份認(rèn)證這種方式，即采用一臺專門的身份認(rèn)證服務(wù)器進行這項工作，一旦用戶通過認(rèn)證，該服務(wù)器便會賦予該用戶在特定網(wǎng)絡(luò)中的訪問權(quán)限。這種網(wǎng)絡(luò)用戶身份認(rèn)證系統(tǒng)主要包括基于用戶證書的PKI認(rèn)證系統(tǒng)以及Kerberos系統(tǒng)等。但是，單只使用網(wǎng)絡(luò)用戶身份認(rèn)證這種方法，相當(dāng)于假定計算機是完全可信的，這使得其在內(nèi)部網(wǎng)絡(luò)的安全上存在著諸多問題。1）某些用戶即使沒有通過認(rèn)證依然能夠使用一定的網(wǎng)絡(luò)資源，并通過利用其所使用的資源對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊；2）當(dāng)接入的網(wǎng)絡(luò)設(shè)備屬于非法身份時，即使只是單純的連接在內(nèi)部網(wǎng)絡(luò)上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內(nèi)部網(wǎng)絡(luò)散播病毒，還可以對內(nèi)部網(wǎng)絡(luò)進行監(jiān)控等。通過上述分析可知，如果單純的使用網(wǎng)絡(luò)用戶身份認(rèn)證的這種認(rèn)證服務(wù)是無法滿足當(dāng)前內(nèi)部網(wǎng)絡(luò)的安全需求的。

1.2 網(wǎng)絡(luò)設(shè)備身份認(rèn)證

網(wǎng)絡(luò)設(shè)備身份認(rèn)證對于保證內(nèi)部網(wǎng)絡(luò)的安全來說有著非常突出的作用，其原理是對所有需接入內(nèi)部網(wǎng)絡(luò)的各種網(wǎng)絡(luò)設(shè)備進行身份認(rèn)證，確定設(shè)備合法以后，才能訪問內(nèi)部網(wǎng)絡(luò)的資源，否則就會被拒之于內(nèi)部網(wǎng)絡(luò)之外。與此同時，網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制還能夠保護合法網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資源不會被非法網(wǎng)絡(luò)設(shè)備盜用。但是就目前內(nèi)部網(wǎng)絡(luò)的發(fā)展情況來看，僅僅利用內(nèi)部網(wǎng)絡(luò)條件對網(wǎng)絡(luò)設(shè)備身份進行認(rèn)證顯得很是力不從心，而且一般情況下內(nèi)部網(wǎng)絡(luò)都處于無管理的開放狀態(tài)。其網(wǎng)絡(luò)接口遍布于大樓的各個房間，任何網(wǎng)絡(luò)設(shè)備只要接入空閑的接口就能夠訪問網(wǎng)絡(luò)資源，這就使得非法設(shè)備極容易盜取合法設(shè)備網(wǎng)絡(luò)資源。由此可見，要在內(nèi)部網(wǎng)絡(luò)中實現(xiàn)對網(wǎng)絡(luò)設(shè)備的身份認(rèn)證是很困難的，但是相比于網(wǎng)絡(luò)用戶身份認(rèn)證來說，它對提高內(nèi)部網(wǎng)絡(luò)安全級別的效果又是最為突出的。故而，國內(nèi)外的很多專家都在全力研究網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，并生產(chǎn)出各種各樣的認(rèn)證產(chǎn)品。

2 基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制

基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制，其裝置主要有網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)以及數(shù)字證書兩部分。

2.1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)

網(wǎng)絡(luò)設(shè)備的認(rèn)證開關(guān)是才開發(fā)出不久的一種新型的、確保內(nèi)部網(wǎng)絡(luò)安全的產(chǎn)品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網(wǎng)絡(luò)地址，并采用數(shù)字簽名證書，這對提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別有巨大的作用。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“開”是指授予通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備訪問網(wǎng)絡(luò)資源的權(quán)限，并對其通信狀態(tài)進行實時監(jiān)控；網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的“關(guān)”是指斷開沒有通過身份認(rèn)證的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)連接，阻止其盜用內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置如圖1所示。

圖1 網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)的配置圖

其優(yōu)勢主要有3點：1）因為它本身不具有網(wǎng)絡(luò)地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現(xiàn)有內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務(wù)器的攻擊；3）其使用的主要是分布式認(rèn)證技術(shù)，這種技術(shù)能夠有效的消除中心服務(wù)器認(rèn)證時所產(chǎn)生的網(wǎng)絡(luò)處理瓶頸問題。

2.2 數(shù)字證書

為了進一步提高網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全級別，引入PKI技術(shù)是非常必要的。PKI是指公開密鑰基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，CA屬于域中的信任中心，其他設(shè)備之間的通信和驗證等都必須要依賴于CA所頒布的數(shù)字證書才能實現(xiàn)。簡而言之，所謂的數(shù)字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數(shù)據(jù)結(jié)構(gòu)。要標(biāo)識一臺網(wǎng)絡(luò)設(shè)備，主要利用的是該設(shè)備的網(wǎng)絡(luò)IP地址以及MAC地址。但是用IP地址進行身份標(biāo)識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數(shù)字證書的Common Name域上填寫出網(wǎng)絡(luò)設(shè)備的MAC地址就可以完成身份驗證。對于網(wǎng)絡(luò)設(shè)備認(rèn)證協(xié)議來說，其認(rèn)證模塊的設(shè)計多是采用挑戰(zhàn)/響應(yīng)機制來實現(xiàn)設(shè)備和主機之間的認(rèn)證，以PKI技術(shù)進行數(shù)字簽名以及對證書進行管理。具體步驟：首先由DAS產(chǎn)生隨機數(shù)Rb，并將其發(fā)送給Host，然后再由Host產(chǎn)生隨機數(shù)Ra。并使用數(shù)字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結(jié)果發(fā)送到DAS，最后是由DAS對簽名結(jié)果進行驗證。如果通過驗證，則表示該設(shè)備的身份合法，網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會打開設(shè)備與Hub之間的網(wǎng)絡(luò)連接，否則網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)就會拒絕網(wǎng)絡(luò)設(shè)備訪問內(nèi)部網(wǎng)絡(luò)。其步驟如圖2所示。

圖2 網(wǎng)絡(luò)設(shè)備認(rèn)證的步驟示意圖

3 結(jié)束語

總而言之，利用網(wǎng)絡(luò)設(shè)備認(rèn)證開關(guān)能夠有效的解決傳統(tǒng)網(wǎng)絡(luò)設(shè)備身份認(rèn)證中所存在的不足，對提高內(nèi)部網(wǎng)絡(luò)的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設(shè)的過程中必要重視對基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認(rèn)證機制的應(yīng)用。

參考文獻

[1]葉純青.數(shù)字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發(fā)機構(gòu)[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數(shù)字證書的云計算安全認(rèn)證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統(tǒng)一數(shù)字證書系統(tǒng)在國家電網(wǎng)公司的實施應(yīng)用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數(shù)字證書在網(wǎng)上招投標(biāo)系統(tǒng)運營中的應(yīng)用——以南京市建設(shè)工程交易中心“e路陽光”系統(tǒng)為例[J].城市建設(shè)理論研究（電子版），2013（9）.

[5]張越.數(shù)字證書在江蘇質(zhì)監(jiān)行政權(quán)力網(wǎng)上公開透明運行信息系統(tǒng)中的應(yīng)用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數(shù)字證書認(rèn)證的訪問控制研究[J].科技與企業(yè)，2013（3）：110.endprint