一种基于数字证书的网络设备身份认证机制高能，向继，冯登国摘要：提出一种基于数字证书的网络设备身份认证机制，该机制利用一种新型的装置——“设备认证开关”对网络设备进行认证，对通过认证的网络设备接通网络连接，并对流经它的网络数据进行实时监控，保证合法连接不被盗用。

认证方法则采用了目前最先进的PKI技术。

与现有的网络身份认证技术和系统相比，基于设备认证开关的网络设备认证机制将保护的边界拓展到了内部网络的最边缘，通过在网络设备的数字证书中嵌入简单的权限信息，可以自动地管理网络物理接口的使用。

1、概述随着计算机网络的迅猛发展，网络违法犯罪、黑客攻击、有害信息传播等方面的问题日趋严重，网络安全保护已经成为刻不容缓的问题。

特别是内部网络的安全保护尤为突出。

内部网络的物理接口遍布在若干个房间，甚至是一座大楼之中。

任何能够进入该区域的人员，都可能利用这些暴露的物理接口。

黑客可以将自己的机器轻易地接入内部网络，探听内部网络的流量，甚至发起攻击。

目前通用的一些安全措施，如防火墙、虚拟专用网、加密技术以及入侵检测系统等，虽然可以有效地防止来自外部网络的攻击，但对防止来自网络内部攻击的效果却不明显。

内部网络安全保护的一个重要的手段就是实现网络身认证，即对连入网络的用户和设备的身份进行认证，只有那些具有合法身份的用户和设备才能访问网络资源。

网络身份认证的目标是保护内部网络中的关键服务器资源，但是一个没有通过身份认证的用户依然可以使用其它的内部网络资源，这是一个潜在的安全威胁。

因而人们希望通过对网络设备进行认证，从而确保内部网络的安全。

2、网络身份认证网络身份认证通常包括对网络用户身份和网络设备身份的认证。

2.1、用户身份认证绝大多数的网络身份认证都只采用用户身份认证这种手段，通用的方法是一台认证服务器专门认证用户的身份，并赋予用户访问特定网络资源的能力。

这样的用户认证系统包括Kerberos系统和基于用户证书的PK认证系统等。

单纯使用用户身份认证等于假定网络设备（计算机）是完全可信的，这种假定在安全性上存在不少的问题。

首先，即使用户没有通过认证，它仍然能够访问一定的网络资源，利用这些资源可以发起各种攻击。

例如，攻击者即使不能通过认证访问存有关键数据的服务器，但他仍然能够利用网络连接向服务器发起拒绝服务攻击。

其次，一个非法的网络设备即使没有人为操纵，把它接在内部网络上仍然是十分危险的，例如它可以向网络内散布各种病毒，也可以监听网络以窃取含有关键信息的流量。

显然，单纯基于用户身份认证的认证服务已经不能满足实际内部网络的安全需求。

为了保护内部网络的资源，为了保证只有合法的网络设备才能接入内部网络，为了保护开放于内部的物理网络接口不被非法的网络设备效用，为了保护内部网络的最外缘，网络身份认证机制中必须增加对网络设备的身份认证。

2.2、设备身份认证网络设备身份认证是保护内部网络安全的一个重要的安全机制，它的思想是对所有接入内部网络的网络设备的身份进行认证，通过认证的网络设备被认为是合法的，否则被认为是非法的，只有合法的网络设备才能够使用内部网络的各种资源，这里的资源主要是指网络连接。

同时网络设备身份认证还必须保护合法设备的资源（网络连接）不被非法的设备所盗用。

仅利用日前的内部网络条件对网络设备进行身份认证是不可能的，在一般情况下，内部网络是开放的、无管理的。

网络接口遍布于各个房间，内部网络无法对网络设备进行认证，任何网络设备只要接入空余的网络接口就可以获得网络连接，而且非法设备可以很容易地盗用合法设备的网络接口。

所以为了实现网络设备身份认证，必须在内部网络中增加新的安全装置。

为了对网络设备进行身份认证，因内外专家提出了不同的思想，并且生产出了各种各样的产品。

例如美国Alberta大学的Robert Beck在1999年于美国华盛顿召开的第13届系统管理（LISA）会议上，发表了一篇题为“Dealing with Public Ethernet Jacks Switched, Gateways, and Authentication”（公用以太网接口——交换机和网关的处理及认证）的文章，提出了网络设备认证的初步思想。

在实际产品方面美国凤凰科技公司的Device Connect设备端认证技术、北京东方龙马公司的用户认证网关产品、上海给维佳公司的公开密钥基础设施（PKI）网管服务器等，都已经不同程度地得到了广泛应用。

这些产品和技术在具体表现上各有不同，但实际上都是基于认证服务器的模式，这种模式的网络配置示意图如图所示。

（图1、认证服务器模式的网络配置示意图）认证服务器是一种网络服务器，它将整个内部网络为受保护的网络A和未受保护的网络B，如同一座桥梁连接着这两部分。

如果未受保护的网络中的一个网络设备想要访问受保护的网络，网络服务器首先对该设备进行认证，如果认证通过则允许它访问，否则拒绝访问。

虽然这种方法可以实现网络设备的身份认证，但是由于它只是简单继承了用户身份认证的机制，存在以下几个明显的缺陷：（1）片面性，它只提供了一种片面的安全保护，未通过认证的攻击者仍然可以利用网络连接来散布病毒，或进行拒绝服务攻击；（2）安全配置复杂，它的配置需要改变内部网络的网络结构，重新分配IP地址，操作比较复杂；（3）可用性，它本身存在被攻击的危险，例如攻击者可以对认证服务器发起拒绝服务攻击，致使合法的用户不能访问受保护的网络；（4）网络性能，它同时也是网络性能上的一个瓶颈，当很多用户同时访问受保护的网络时，网络性能就会下降，特别是对于那些提供存储服务的服务器。

可见，认证服务器模式没有完全解决对设备的认证问题，因为存在不被认证的主机能够访问内部网络的问题，如图1中的攻击主机，虽然它无法通过认证服务器的认证，但是它依然可以访问网络B内的其它主机，是具有网络连接的。

鉴于目前网络设备身份认证方法所存在的缺陷，我们提出了一种新型的网络设备身份认证的方法，它在内部网络中引入了一种新的装置——“设备认证开关”，由它专门对网络设备进行认证和管理，认证采用基于PKI的数字证书实现，该方法在安全性和性能上很好地满足了内部网络设备身份认证的需求，将保护的范围扩展到了整个内部网络，在其最外缘形成了一道安全保护的边界。

3、一种网络设备身份认证的装置和方法3.1、设备认证开关设备认证开关（Device Authentication Switch，DAS）正是针对内部攻击开发的一种新型的网络安全产品，它位于集线器（Hub）的前端，采用透明的传输方式，即本身不具有网络地址，采用了数字签名技术，提供安全级别更高的网络设备身份认证。

设备认证开关的主要功能是对没有通过认证的设备关闭网络连接（如PC的以太网卡和集线器之间的连接），对通过认证的设备接通网络连接，并对接通的通信进行实时的监控，保证合法连接不被盗用。

设备认证开关的网络配置示意图如图2。

（图2、设备认证开关网络配置示意图）通过在内部网络的每个物理网络接口的后端安装和配置设备认证开关，从而保证每一个接入内部网络的设备都具有合法的身份。

与传统的利用认证服务器实现网络设备身份认证的方法相比，基于设备认证开关的网络设备身份认证是一种全面保护内部网络的技术，将保护的边界拓展到了内部网络的最外缘，它的优点在于：（1）由于其本身不具有网络地址，它的配置和使用对于客户机是完全透明的，在不需要改变现有的内部网络的结构的前提下，可以直接安装和使用；（2）对于攻击者是不可见的，不易遭受拒绝服务攻击；（3）采用分布式认证技术，消除了中心服务器认证产生的网络处理瓶颈问题。

3.2、使用数字证书实现认证为了实现对网络设备身份的认证，我们引入了先进的PKI技术。

PKI（Public Key Infrastructure）即公开密钥基础设施，它是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。

在PKI系统中，CA（Certificate Authority）是一个域中的信任中心，其他设备或人之间的通信和验证都依赖于CA所颁发的数字证书。

数字证书也就是一个公开密钥和身份信息绑在一起，用CA的私钥签名后得到的数据结构。

在网络通信中，数字证书就是标志通信各方身份信息的一系列数据，它提供了一种验证身份的方式，其作用类似于日常生活中的身份证。

（1）网络设备的身份信息如何标识一台网络设备呢？最容易想到的就是设备的IP地址和MAC地址。

如果使用网络设备的IP地址作为身份标识，存在两个问题：首先，网络设备的IP地址可能改变，例始内部网络的IP管理的需要；另一方面，IP地址是可以冒充的，恶意的攻击者可以伪装成合法用户的IP地址访问网络。

因而，我们选用设备的MAC地址作为身份信息，只要在证书的Common Name(通用名)域填写设备的MAC地址即可。

申请证书的计算机的以太网网卡地址必须是通过网络管理员认可的、合法的、可以在局域网内安全使用的网卡地址，例如，必须具有网络管理员出具的证明。

（2）网络设备的简单权限信息在实际应用中特别是政府的内部网络，由于某些网络设备存有敏感信息，是不允许接入外网的（例如Internet），但是使用者有时可能会忽略这种限制，导致违规的操作，因而现有的解决方案是禁止这类设备连入内部网络，进行完全物理隔离。

但是随着信息化的发展，物理隔离虽然可能是一个可靠的安全选择，但是却阻碍了信息的交换和共享，是否能够自动地识别接入内部网络的设备的权限，自动保证存有敏感信息的设备只能接入内网？使用设备认证开关是一个简单有效的解决方案。

在网络设备申请证书时，可以在证书主题域的OU域中填写访问权限信息，特别是一些简单的开关信息，例如，该开关信息限制将该网络设备标志为“内部网络登录组”，限制其只能接入内部网络而不允许接入外部网络。

权限的设置和分配在申请证书时由网络管理员出示证明。

图3是这类证书的一个例子。

（图3、网络设备证书实例）通过网络设备发放带有简单权限信息的证书，利用设备认证开关可以实现对遍布在内部的物理网络接口的自动控制。

当一台计算机接入物理网络接口时，设备认证开关根据证书的主题信息，可以判断该计算机是否具有登录内部网络或者外部网络的权限，对于具有相应权限的计算机，设备认证开关准许其接入，相反拒绝其接入。

完全物理隔离需要将外部网络接口和内部网络接口完全分开，而且对于存有敏感信息的网络设备必须物理隔离，避免因为人员的误操作将其接入外网。

然而，采用设备认证开关的物理网络接口保护方案，不需要人为地区分外部网络接口和内部网络接口，根据证书内容自动识别访问权限，有利于网络篁接口的保护和管理，有效阻止了因为人员疏忽将存有敏感信息的网络设备接入外部网络的操作。

（3）网络设备认证协议设备认证模块的设计采用挑战响应机制实现主机和设备认证模块之间的认证，采用PKI技术实现数字签名和证书管理，如图4所示。