網(wǎng)絡(luò)設(shè)備身份認證機制

1、一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認證機制高能，向繼，馮登國摘要：提出一種基于數(shù)字證書的網(wǎng)絡(luò)設(shè)備身份認證機制，該機制利用一種新型的裝置“設(shè)備認證開關(guān)”對網(wǎng)絡(luò)設(shè)備進行認證，對通過認證的網(wǎng)絡(luò)設(shè)備接通網(wǎng)絡(luò)連接，并對流經(jīng)它的網(wǎng)絡(luò)數(shù)據(jù)進行實時監(jiān)控，保證合法連接不被盜用。認證方法則采用了目前最先進的PKI技術(shù)。與現(xiàn)有的網(wǎng)絡(luò)身份認證技術(shù)和系統(tǒng)相比，基于設(shè)備認證開關(guān)的網(wǎng)絡(luò)設(shè)備認證機制將保護的邊界拓展到了內(nèi)部網(wǎng)絡(luò)的最邊緣，通過在網(wǎng)絡(luò)設(shè)備的數(shù)字證書中嵌入簡單的權(quán)限信息，可以自動地管理網(wǎng)絡(luò)物理接口的使用。1、概述隨著計算機網(wǎng)絡(luò)的迅猛發(fā)展，網(wǎng)絡(luò)違法犯罪、黑客攻擊、有害信息傳播等方面的問題日趨嚴重，網(wǎng)絡(luò)安全保護已經(jīng)成為刻不

2、容緩的問題。特別是內(nèi)部網(wǎng)絡(luò)的安全保護尤為突出。內(nèi)部網(wǎng)絡(luò)的物理接口遍布在若干個房間，甚至是一座大樓之中。任何能夠進入該區(qū)域的人員，都可能利用這些暴露的物理接口。黑客可以將自己的機器輕易地接入內(nèi)部網(wǎng)絡(luò)，探聽內(nèi)部網(wǎng)絡(luò)的流量，甚至發(fā)起攻擊。目前通用的一些安全措施，如防火墻、虛擬專用網(wǎng)、加密技術(shù)以及入侵檢測系統(tǒng)等雖然可以有效地防止來自外部網(wǎng)絡(luò)的攻擊，但對防止來自網(wǎng)絡(luò)內(nèi)部攻擊的效果卻不明顯。內(nèi)部網(wǎng)絡(luò)安全保護的一個重要的手段就是實現(xiàn)網(wǎng)絡(luò)身認證，即對連入網(wǎng)絡(luò)的用戶和設(shè)備的身份進行認證，只有那些具有合法身份的用戶和設(shè)備才能訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)身份認證的目標(biāo)是保護內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵服務(wù)器資源，但是一個沒有通過身份認證

3、的用戶依然可以使用其它的內(nèi)部網(wǎng)絡(luò)資源，這是一個潛在的安全威脅。因而人們希望通過對網(wǎng)絡(luò)設(shè)備進行認證，從而確保內(nèi)部網(wǎng)絡(luò)的安全。2、網(wǎng)絡(luò)身份認證網(wǎng)絡(luò)身份認證通常包括對網(wǎng)絡(luò)用戶身份和網(wǎng)絡(luò)設(shè)備身份的認證。2.1、用戶身份認證絕大多數(shù)的網(wǎng)絡(luò)身份認證都只采用用戶身份認證這種手段，通用的方法是一臺認證服務(wù)器專門認證用戶的身份，并賦予用戶訪問特定網(wǎng)絡(luò)資源的能力。這樣的用戶認證系統(tǒng)包括Kerberos系統(tǒng)和基于用戶證書的PK認證系統(tǒng)等。單純使用用戶身份認證等于假定網(wǎng)絡(luò)設(shè)備（計算機）是完全可信的，這種假定在安全性上存在不少的問題。首先，即使用戶沒有通過認證，它仍然能夠訪問一定的網(wǎng)絡(luò)資源，利用這些資源可以發(fā)起各種攻擊

4、。例如，攻擊者即使不能通過認證訪問存有關(guān)鍵數(shù)據(jù)的服務(wù)器，但他仍然能夠利用網(wǎng)絡(luò)連接向服務(wù)器發(fā)起拒絕服務(wù)攻擊。其次，一個非法的網(wǎng)絡(luò)設(shè)備即使沒有人為操縱，把它接在內(nèi)部網(wǎng)絡(luò)上仍然是十分危險的，例如它可以向網(wǎng)絡(luò)內(nèi)散布各種病毒，也可以監(jiān)聽網(wǎng)絡(luò)以竊取含有關(guān)鍵信息的流量。顯然，單純基于用戶身份認證的認證服務(wù)已經(jīng)不能滿足實際內(nèi)部網(wǎng)絡(luò)的安全需求。為了保護內(nèi)部網(wǎng)絡(luò)的資源，為了保證只有合法的網(wǎng)絡(luò)設(shè)備才能接入內(nèi)部網(wǎng)絡(luò)，為了保護開放于內(nèi)部的物理網(wǎng)絡(luò)接口不被非法的網(wǎng)絡(luò)設(shè)備效用，為了保護內(nèi)部網(wǎng)絡(luò)的最外緣，網(wǎng)絡(luò)身份認證機制中必須增加對網(wǎng)絡(luò)設(shè)備的身份認證。2.2、設(shè)備身份認證網(wǎng)絡(luò)設(shè)備身份認證是保護內(nèi)部網(wǎng)絡(luò)安全的一個重要的安全機制

5、，它的思想是對所有接入內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備的身份進行認證，通過認證的網(wǎng)絡(luò)設(shè)備被認為是合法的，否則被認為是非法的，只有合法的網(wǎng)絡(luò)設(shè)備才能夠使用內(nèi)部網(wǎng)絡(luò)的各種資源，這里的資源主要是指網(wǎng)絡(luò)連接。同時網(wǎng)絡(luò)設(shè)備身份認證還必須保護合法設(shè)備的資源（網(wǎng)絡(luò)連接）不被非法的設(shè)備所盜用。僅利用日前的內(nèi)部網(wǎng)絡(luò)條件對網(wǎng)絡(luò)設(shè)備進行身份認證是不可能的，在一般情況下，內(nèi)部網(wǎng)絡(luò)是開放的、無管理的。網(wǎng)絡(luò)接口遍布于各個房間，內(nèi)部網(wǎng)絡(luò)無法對網(wǎng)絡(luò)設(shè)備進行認證，任何網(wǎng)絡(luò)設(shè)備只要接入空余的網(wǎng)絡(luò)接口就可以獲得網(wǎng)絡(luò)連接，而且非法設(shè)備可以很容易地盜用合法設(shè)備的網(wǎng)絡(luò)接口。所以為了實現(xiàn)網(wǎng)絡(luò)設(shè)備身份認證，必須在內(nèi)部網(wǎng)絡(luò)中增加新的安全裝置。為了對網(wǎng)絡(luò)設(shè)備

6、進行身份認證，因內(nèi)外專家提出了不同的思想，并且生產(chǎn)出了各種各樣的產(chǎn)品。例如美國Alberta大學(xué)的RobertBeck在1999年于美國華盛頓召開的第13屆系統(tǒng)管理（LISA）會議上，發(fā)表了一篇題為“DealingwithPublicEthernetJacksSwitched,Gateways,andAuthentication（公用以太網(wǎng)接口交換機和網(wǎng)關(guān)的處理及認證）的文章，提出了網(wǎng)絡(luò)設(shè)備認證的初步思想。在實際產(chǎn)品方面美國鳳凰科技公司的DeviceConnect設(shè)備端認證技術(shù)、北京東方龍馬公司的用戶認證網(wǎng)關(guān)產(chǎn)品、上海給維佳公司的公開密鑰基礎(chǔ)設(shè)施（PKI）網(wǎng)管服務(wù)器等，都已經(jīng)不同程度地得到了廣

7、泛應(yīng)用。這些產(chǎn)品和技術(shù)在具體表現(xiàn)上各有不同，但實際上都是基于認證服務(wù)器的模式，這種模式的網(wǎng)絡(luò)配置示意圖如圖所示。（圖1、認證服務(wù)器模式的網(wǎng)絡(luò)配置示意圖）認證服務(wù)器是一種網(wǎng)絡(luò)服務(wù)器，它將整個內(nèi)部網(wǎng)絡(luò)為受保護的網(wǎng)絡(luò)A和未受保護的網(wǎng)絡(luò)B,如同一座橋梁連接著這兩部分。如果未受保護的網(wǎng)絡(luò)中的一個網(wǎng)絡(luò)設(shè)備想要訪問受保護的網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器首先對該設(shè)備進行認證，如果認證通過則允許它訪問,否則拒絕訪問。雖然這種方法可以實現(xiàn)網(wǎng)絡(luò)設(shè)備的身份認證,但是由于它只是簡單繼承了用戶身份認證的機制,存在以下幾個明顯的缺陷：（1）片面性,它只提供了一種片面的安全保護,未通過認證的攻擊者仍然可以利用網(wǎng)絡(luò)連接來散布病毒,或進行拒絕

8、服務(wù)攻擊；（2）安全配置復(fù)雜,它的配置需要改變內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu),重新分配IP地址,操作比較復(fù)雜；（3）可用性,它本身存在被攻擊的危險,例如攻擊者可以對認證服務(wù)器發(fā)起拒絕服務(wù)攻擊,致使合法的用戶不能訪問受保護的網(wǎng)絡(luò)；（4）網(wǎng)絡(luò)性能,它同時也是網(wǎng)絡(luò)性能上的一個瓶頸,當(dāng)很多用戶同時訪問受保護的網(wǎng)絡(luò)時,網(wǎng)絡(luò)性能就會下降,特別是對于那些提供存儲服務(wù)的服務(wù)器?？梢?，認證服務(wù)器模式?jīng)]有完全解決對設(shè)備的認證問題，因為存在不被認證的主機能夠訪問內(nèi)部網(wǎng)絡(luò)的問題，如圖1中的攻擊主機，雖然它無法通過認證服務(wù)器的認證，但是它依然可以訪問網(wǎng)絡(luò)B內(nèi)的其它主機，是具有網(wǎng)絡(luò)連接的。鑒于目前網(wǎng)絡(luò)設(shè)備身份認證方法所存在的缺陷，我

9、們提出了一種新型的網(wǎng)絡(luò)設(shè)備身份認證的方法，它在內(nèi)部網(wǎng)絡(luò)中引入了一種新的裝置“設(shè)備認證開關(guān)”，由它專門對網(wǎng)絡(luò)設(shè)備進行認證和管理，認證采用基于PKI的數(shù)字證書實現(xiàn)，該方法在安全性和性能上很好地滿足了內(nèi)部網(wǎng)絡(luò)設(shè)備身份認證的需求，將保護的范圍擴展到了整個內(nèi)部網(wǎng)絡(luò)，在其最外緣形成了一道安全保護的邊界。3、一種網(wǎng)絡(luò)設(shè)備身份認證的裝置和方法3.1、設(shè)備認證開關(guān)設(shè)備認證開關(guān)（DeviceAuthenticationSwitch,DAS）正是針對內(nèi)部攻擊開發(fā)的一種新型的網(wǎng)絡(luò)安全產(chǎn)品，它位于集線器（Hub）的前端，采用透明的傳輸方式，即本身不具有網(wǎng)絡(luò)地址，采用了數(shù)字簽名技術(shù)，提供安全級別更高的網(wǎng)絡(luò)設(shè)備身份認證設(shè)備

10、認證開關(guān)的主要功能是對沒有通過認證的設(shè)備關(guān)閉網(wǎng)絡(luò)連接（如PC的以太網(wǎng)卡和集線器之間的連接），對通過認證的設(shè)備接通網(wǎng)絡(luò)連接，并對接通的通信進行實時的監(jiān)控，保證合法連接不被盜用。設(shè)備認證開關(guān)的網(wǎng)絡(luò)配置示意圖如圖2。1HASHU*A呻*miiI圖2、設(shè)備認證開關(guān)網(wǎng)絡(luò)配置示意圖）通過在內(nèi)部網(wǎng)絡(luò)的每個物理網(wǎng)絡(luò)接口的后端安裝和配置設(shè)備認證開關(guān)，從而保證每一個接入內(nèi)部網(wǎng)絡(luò)的設(shè)備都具有合法的身份。與傳統(tǒng)的利用認證服務(wù)器實現(xiàn)網(wǎng)絡(luò)設(shè)備身份認證的方法相比，基于設(shè)備認證開關(guān)的網(wǎng)絡(luò)設(shè)備身份認證是一種全面保護內(nèi)部網(wǎng)絡(luò)的技術(shù)，將保護的邊界拓展到了內(nèi)部網(wǎng)絡(luò)的最外緣，它的優(yōu)點在于：（1）由于其本身不具有網(wǎng)絡(luò)地址，它的配置和使用

11、對于客戶機是完全透明的，在不需要改變現(xiàn)有的內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)的前提下，可以直接安裝和使用；（2）對于攻擊者是不可見的，不易遭受拒絕服務(wù)攻擊；（3）采用分布式認證技術(shù)，消除了中心服務(wù)器認證產(chǎn)生的網(wǎng)絡(luò)處理瓶頸問題。3.2、使用數(shù)字證書實現(xiàn)認證為了實現(xiàn)對網(wǎng)絡(luò)設(shè)備身份的認證，我們引入了先進的PKI技術(shù)。PKI（PublicKeyInfrastructure）即公開密鑰基礎(chǔ)設(shè)施，它是一個用公鑰概念與技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，CA（CertificateAuthority）是一個域中的信任中心，其他設(shè)備或人之間的通信和驗證都依賴于CA所頒發(fā)的數(shù)字證書。數(shù)字證書也就是一

12、個公開密鑰和身份信息綁在一起，用CA的私鑰簽名后得到的數(shù)據(jù)結(jié)構(gòu)。在網(wǎng)絡(luò)通信中，數(shù)字證書就是標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，它提供了一種驗證身份的方式，其作用類似于日常生活中的身份證。（1）網(wǎng)絡(luò)設(shè)備的身份信息如何標(biāo)識一臺網(wǎng)絡(luò)設(shè)備呢？最容易想到的就是設(shè)備的IP地址和MAC地址。如果使用網(wǎng)絡(luò)設(shè)備的IP地址作為身份標(biāo)識，存在兩個問題：首先，網(wǎng)絡(luò)設(shè)備的IP地址可能改變，例始內(nèi)部網(wǎng)絡(luò)的IP管理的需要；另一方面，IP地址是可以冒充的，惡意的攻擊者可以偽裝成合法用戶的IP地址訪問網(wǎng)絡(luò)。因而，我們選用設(shè)備的MAC地址作為身份信息，只要在證書的CommonName（通用名）域填寫設(shè)備的MAC地址即可。申請證書的

13、計算機的以太網(wǎng)網(wǎng)卡地址必須是通過網(wǎng)絡(luò)管理員認可的、合法的、可以在局域網(wǎng)內(nèi)安全使用的網(wǎng)卡地址，例如，必須具有網(wǎng)絡(luò)管理員出具的證明。（2）網(wǎng)絡(luò)設(shè)備的簡單權(quán)限信息在實際應(yīng)用中特別是政府的內(nèi)部網(wǎng)絡(luò)，由于某些網(wǎng)絡(luò)設(shè)備存有敏感信息，是不允許接入外網(wǎng)的（例如Internet），但是使用者有時可能會忽略這種限制，導(dǎo)致違規(guī)的操作，因而現(xiàn)有的解決方案是禁止這類設(shè)備連入內(nèi)部網(wǎng)絡(luò)，進行完全物理隔離。但是隨著信息化的發(fā)展，物理隔離雖然可能是一個可靠的安全選擇，但是卻阻礙了信息的交換和共享，是否能夠自動地識別接入內(nèi)部網(wǎng)絡(luò)的設(shè)備的權(quán)限，自動保證存有敏感信息的設(shè)備只能接入內(nèi)網(wǎng)？使用設(shè)備認證開關(guān)是一個簡單有效的解決方案。在網(wǎng)絡(luò)

14、設(shè)備申請證書時，可以在證書主題域的OU域中填寫訪問權(quán)限信息，特別是一些簡單的開關(guān)信息，例如，該開關(guān)信息限制將該網(wǎng)絡(luò)設(shè)備標(biāo)志為“內(nèi)部網(wǎng)絡(luò)登錄組”，限制其只能接入內(nèi)部網(wǎng)絡(luò)而不允許接入外部網(wǎng)絡(luò)。權(quán)限的設(shè)置和分配在申請證書時由網(wǎng)絡(luò)管理員出示證明。圖3是這類證書的一個例子。aIr卻初1*WHwttNMAfcBI_】ain-7VMR1PWHIvff-WKL-I圖3、網(wǎng)絡(luò)設(shè)備證書實例）通過網(wǎng)絡(luò)設(shè)備發(fā)放帶有簡單權(quán)限信息的證書，利用設(shè)備認證開關(guān)可以實現(xiàn)對遍布在內(nèi)部的物理網(wǎng)絡(luò)接口的自動控制。當(dāng)一臺計算機接入物理網(wǎng)絡(luò)接口時，設(shè)備認證開關(guān)根據(jù)證書的主題信息，可以判斷該計算機是否具有登錄內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)的權(quán)限，對于

15、具有相應(yīng)權(quán)限的計算機，設(shè)備認證開關(guān)準(zhǔn)許其接入，相反拒絕其接入。完全物理隔離需要將外部網(wǎng)絡(luò)接口和內(nèi)部網(wǎng)絡(luò)接口完全分開，而且對于存有敏感信息的網(wǎng)絡(luò)設(shè)備必須物理隔離，避免因為人員的誤操作將其接入外網(wǎng)。然而，采用設(shè)備認證開關(guān)的物理網(wǎng)絡(luò)接口保護方案，不需要人為地區(qū)分外部網(wǎng)絡(luò)接口和內(nèi)部網(wǎng)絡(luò)接口，根據(jù)證書內(nèi)容自動識別訪問權(quán)限，有利于網(wǎng)絡(luò)篁接口的保護和管理，有效阻止了因為人員疏忽將存有敏感信息的網(wǎng)絡(luò)設(shè)備接入外部網(wǎng)絡(luò)的操作。（3）網(wǎng)絡(luò)設(shè)備認證協(xié)議設(shè)備認證模塊的設(shè)計采用挑戰(zhàn)響應(yīng)機制實現(xiàn)主機和設(shè)備認證模塊之間的認證，采用PKI技術(shù)實現(xiàn)數(shù)字簽名和證書管理，如圖4所示。1h.kihasftijiA,Kh,li)cJ4h

16、.fhJ（圖4、認證示意圖）具體步驟如下：1）DAS產(chǎn)生隨機數(shù)Rb,發(fā)送給Host；2）Host產(chǎn)生隨機數(shù)Ra,使用網(wǎng)絡(luò)設(shè)備證書對Ra、Rb簽名，將證書CertA、Ra以及簽名結(jié)果發(fā)送給DAS;3）DAS驗證簽名結(jié)果。如果網(wǎng)絡(luò)設(shè)備通過設(shè)備認證開關(guān)的認證,即該設(shè)備是合法的,那么打開設(shè)備與Hub（或者交換機）之間的連接,實現(xiàn)透明的轉(zhuǎn)發(fā),否則拒絕該設(shè)備訪問網(wǎng)絡(luò)。這是一個簡單的基于挑戰(zhàn)機制的認證協(xié)議,協(xié)議的安全性是已經(jīng)得到了證明的。3.3、安全性分析采用設(shè)備認證開關(guān)保護網(wǎng)絡(luò)物理接口,有效解決了內(nèi)部網(wǎng)絡(luò)遺留的一些安全隱患：（1）所有的從可疑的網(wǎng)絡(luò)接口接入的網(wǎng)絡(luò)設(shè)備都需要進行認證,只對部分的網(wǎng)絡(luò)設(shè)備進行認證沒有意義；（2）網(wǎng)絡(luò)設(shè)備在通過認證之前,不能夠擁有任何網(wǎng)絡(luò)資源,即沒胡網(wǎng)絡(luò)連接,否