网络设备身份认证机制

一种基于数字证书的网络设备身份认证机制

高能，向继，冯登国

摘要：提出一种基于数字证书的网络设备身份认证机制，该机制利用一种新型的装置——“设备认证开关”对网络设备进行认证，对通过认证的网络设备接通网络连接，并对流经它的网络数据进行实时监控，保证合法连接不被盗用。认证方法则采用了目前最先进的PKI技术。与现有的网络身份认证技术和系统相比，基于设备认

证开关的网络设备认证机制将保护的边界拓展到了内部网络的最边缘，通过在网络设备的数字证书中嵌入简单的权限信息，可以自动地管理网络物理接口的使用。

1、概述

随着计算机网络的迅猛发展，网络违法犯罪、黑客攻击、有害信息传播等方面的问题日趋严重，网络安全保护已经成为刻不容缓的问题。特别是内部网络的安全保护尤为突出。内部网络的物理接口遍布在若干个房间，甚至是一座大楼之中。任何能够进入该区域的人员，都可能利用这些暴露的物理接口。黑客可以将自己的机器轻易地接入内部网络，探听内部网络的流量，甚至发起攻击。

目前通用的一些安全措施，如防火墙、虚拟专用网、加密技术以及入侵检测系统等，虽然可以有效地防止来自外部网络的攻击，但对防止来自网络内部攻击的效果却不明显。内部网络安全保护的一个重要的手段就是实现网络身认证，即对连入网络的用户和设备的身份进行认证，只有那些具有合法身份的用户和设备才能访问网络资源。网络身份认证的目标是保护内部网络中的关键服务器资源，但是一个没有通过身份认证的用户依然可以使用其它的内部网络资源，这是一个潜在的安全威胁。因而人们希望通过对网络设备进行认证，从而确保内部网络的安全。

2、网络身份认证

网络身份认证通常包括对网络用户身份和网络设备身份的认证。

2.1、用户身份认证

绝大多数的网络身份认证都只采用用户身份认证这种手段，通用的方法是一台认证服务器专门认证用户的身份，并赋予用户访问特定网络资源的能力。这样的用户认证系统包括Kerberos系统和基于用户证书的PK认证系统等。

单纯使用用户身份认证等于假定网络设备（计算机）是完全可信的，这种假定在安全性上存在不少的问题。首先，即使用户没有通过认证，它仍然能够访问一定的网络资源，利用这些资源可以发起各种攻击。例如，攻击者即使不能通过认证访问存有关键数据的服务器，但他仍然能够利用网络连接向服务器发起拒绝服务攻击。其次，一个非法的网络设备即使没有人为操纵，把它接在内部网络上仍然是十分危险

的，例如它可以向网络内散布各种病毒，也可以监听网络以窃取含有关键信息的流量。

显然，单纯基于用户身份认证的认证服务已经不能满足实际内部网络的安全需求。为了保护内部网络的资源，为了保证只有合法的网络设备才能接入内部网络，为了保护开放于内部的物理网络接口不被非法的网络设备效用，为了保护内部网络的最外缘，网络身份认证机制中必须增加对网络设备的身份认证。

2.2、设备身份认证

网络设备身份认证是保护内部网络安全的一个重要的安全机制，它的思想是对所有接入内部网络的网络设备的身份进行认证，通过认证的网络设备被认为是合法的，否则被认为是非法的，只有合法的网络设备才能够使用内部网络的各种资源，这里的资源主要是指网络连接。同时网络设备身份认证还必须保护合法设备的资源（网络连接）不被非法的设备所盗用。

仅利用日前的内部网络条件对网络设备进行身份认证是不可能的，在一般情况下，内部网络是开放的、无管理的。网络接口遍布于各个房间，内部网络无法对网络设备进行认证，任何网络设备只要接入空余的网络接口就可以获得网络连接，而且非法设备可以很容易地盗用合法设备的网络接口。所以为了实现网络设备身份认证，必须在内部网络中增加新的安全装置。

为了对网络设备进行身份认证，因内外专家提出了不同的思想，并且生产出了各种各样的产品。例如美国Alberta大学的Robert Beck在1999年于美国华盛顿召开的第13届系统管理（LISA）会议上，发表了一篇题为“Dealing with Public Ethernet Jacks Switched, Gateways, and Authentication”（公用以太网接口——交换机和网关的处理及认证）的文章，提出了网络设备认证的初步思想。在实际产品方面美国凤凰科技公司的Device Connect设备端认证技术、北京东方龙马公司的用户认证网关产品、上海给维佳公司的公开密钥基础设施（PKI）网管服务器等，都已经不同程度地得到了广泛应用。这些产品和技术在具体表现上各有不同，但实际上都是基于认证服务器的模式，这种模式的网络配置示意图如图所示。

（图1、认证服务器模式的网络配置示意图）

认证服务器是一种网络服务器，它将整个内部网络为受保护的网络A和未受保护的网络B，如同一座桥梁连接着这两部分。如果未受保护的网络中的一个网络设备想要访问受保护的网络，网络服务器首先对该设备进行认证，如果认证通过则允许它访问，否则拒绝访问。虽然这种方法可以实现网络设备的身份认证，但是由于它只是简单继承了用户身份认证的机制，存在以下几个明显的缺陷：

（1）片面性，它只提供了一种片面的安全保护，未通过认证的攻击者仍然可以利用网络连接来散布病毒，或进行拒绝服务攻击；

（2）安全配置复杂，它的配置需要改变内部网络的网络结构，重新分配IP地址，操作比较复杂；

（3）可用性，它本身存在被攻击的危险，例如攻击者可以对认证服务器发起拒绝服务攻击，致使合法的用户不能访问受保护的网络；

（4）网络性能，它同时也是网络性能上的一个瓶颈，当很多用户同时访问受保护的网络时，网络性能就会下降，特别是对于那些提供存储服务的服务器。

可见，认证服务器模式没有完全解决对设备的认证问题，因为存在不被认证的主机能够访问内部网络的问题，如图1中的攻击主机，虽然它无法通过认证服务器的

认证，但是它依然可以访问网络B内的其它主机，是具有网络连接的。鉴于目前

网络设备身份认证方法所存在的缺陷，我们提出了一种新型的网络设备身份认证的方法，它在内部网络中引入了一种新的装置——“设备认证开关”，由它专门对网络设备进行认证和管理，认证采用基于PKI的数字证书实现，该方法在安全性和性

能上很好地满足了内部网络设备身份认证的需求，将保护的范围扩展到了整个内部网络，在其最外缘形成了一道安全保护的边界。

3、一种网络设备身份认证的装置和方法

3.1、设备认证开关

设备认证开关（Device Authentication Switch，DAS）正是针对内部攻击开发的一种

新型的网络安全产品，它位于集线器（Hub）的前端，采用透明的传输方式，即本

身不具有网络地址，采用了数字签名技术，提供安全级别更高的网络设备身份认证。设备认证开关的主要功能是对没有通过认证的设备关闭网络连接（如PC的以太网

卡和集线器之间的连接），对通过认证的设备接通网络连接，并对接通的通信进行实时的监控，保证合法连接不被盗用。设备认证开关的网络配置示意图如图2。

（图2、设备认证开关网络配置示意图）

通过在内部网络的每个物理网络接口的后端安装和配置设备认证开关，从而保证每一个接入内部网络的设备都具有合法的身份。与传统的利用认证服务器实现网络设备身份认证的方法相比，基于设备认证开关的网络设备身份认证是一种全面保护内部网络的技术，将保护的边界拓展到了内部网络的最外缘，它的优点在于：