基于數字證書的網絡設備身份認證機制探討

佟亞香

摘 要 在我國社會主義市場經濟高速發展的今天，計算機網絡技術已經普及全世界，但隨著計算機網絡技術的發展，隨之而來的網絡犯罪、有害信息傳播、黑客攻擊等問題愈發嚴重，網絡安全環境越來越讓人擔心。對計算機網絡進行安全保護已經刻不容緩，尤其是內部網絡的安全防護。內部網絡的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內部網絡進行攻擊。文章分析的主要是一種基于數字證書的網絡設備身份認證機制，它對保護內部網絡的安全性有非常突出的效果。

關鍵詞 數字證書；網絡設備；身份認證機制

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網絡技術中，針對網絡安全的主要保護措施有虛擬專用網、入侵檢測系統、防火墻、加密技術等，這些安全技術雖然可以有效的防止來自外部網絡的攻擊，但是源自于內部網絡的攻擊依然無法避免。針對這種情況，現今對內部網絡進行保護的主要措施是采用基于數字證書的網絡設備身份認證機制，簡而言之就是針對連入內部網絡的用戶以及連入設備進行身份驗證的措施，以此分辨哪些連入用戶或設備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關人員亂接入內部網絡，對保護關鍵服務器中各種資源的安全有重要作用。

1 網絡身份認證概述

網絡身份認證主要包括兩種類型，一是對網絡用戶的身份認證，二是對網絡設備的身份認證。本文先對這兩種認證方式進行簡要介紹。

1.1 網絡用戶身份認證

現在很多網絡身份認證都是采用的網絡用戶身份認證這種方式，即采用一臺專門的身份認證服務器進行這項工作，一旦用戶通過認證，該服務器便會賦予該用戶在特定網絡中的訪問權限。這種網絡用戶身份認證系統主要包括基于用戶證書的PKI認證系統以及Kerberos系統等。但是，單只使用網絡用戶身份認證這種方法，相當于假定計算機是完全可信的，這使得其在內部網絡的安全上存在著諸多問題。1）某些用戶即使沒有通過認證依然能夠使用一定的網絡資源，并通過利用其所使用的資源對內部網絡發起攻擊；2）當接入的網絡設備屬于非法身份時，即使只是單純的連接在內部網絡上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內部網絡散播病毒，還可以對內部網絡進行監控等。通過上述分析可知，如果單純的使用網絡用戶身份認證的這種認證服務是無法滿足當前內部網絡的安全需求的。

1.2 網絡設備身份認證

網絡設備身份認證對于保證內部網絡的安全來說有著非常突出的作用，其原理是對所有需接入內部網絡的各種網絡設備進行身份認證，確定設備合法以后，才能訪問內部網絡的資源，否則就會被拒之于內部網絡之外。與此同時，網絡設備身份認證機制還能夠保護合法網絡設備的網絡資源不會被非法網絡設備盜用。但是就目前內部網絡的發展情況來看，僅僅利用內部網絡條件對網絡設備身份進行認證顯得很是力不從心，而且一般情況下內部網絡都處于無管理的開放狀態。其網絡接口遍布于大樓的各個房間，任何網絡設備只要接入空閑的接口就能夠訪問網絡資源，這就使得非法設備極容易盜取合法設備網絡資源。由此可見，要在內部網絡中實現對網絡設備的身份認證是很困難的，但是相比于網絡用戶身份認證來說，它對提高內部網絡安全級別的效果又是最為突出的。故而，國內外的很多專家都在全力研究網絡設備身份認證機制，并生產出各種各樣的認證產品。

2 基于數字證書的網絡設備身份認證機制

基于數字證書的網絡設備身份認證機制，其裝置主要有網絡設備認證開關以及數字證書兩部分。

2.1 網絡設備認證開關

網絡設備的認證開關是才開發出不久的一種新型的、確保內部網絡安全的產品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網絡地址，并采用數字簽名證書，這對提高網絡設備身份認證的安全級別有巨大的作用。網絡設備認證開關的“開”是指授予通過身份認證的網絡設備訪問網絡資源的權限，并對其通信狀態進行實時監控；網絡設備認證開關的“關”是指斷開沒有通過身份認證的網絡設備的網絡連接，阻止其盜用內部網絡。網絡設備認證開關的配置如圖1所示。

圖1 網絡設備認證開關的配置圖

其優勢主要有3點：1）因為它本身不具有網絡地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現有內部網絡結構改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務器的攻擊；3）其使用的主要是分布式認證技術，這種技術能夠有效的消除中心服務器認證時所產生的網絡處理瓶頸問題。

2.2 數字證書

為了進一步提高網絡設備身份認證的安全級別，引入PKI技術是非常必要的。PKI是指公開密鑰基礎設施。在PKI系統中，CA屬于域中的信任中心，其他設備之間的通信和驗證等都必須要依賴于CA所頒布的數字證書才能實現。簡而言之，所謂的數字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數據結構。要標識一臺網絡設備，主要利用的是該設備的網絡IP地址以及MAC地址。但是用IP地址進行身份標識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數字證書的Common Name域上填寫出網絡設備的MAC地址就可以完成身份驗證。對于網絡設備認證協議來說，其認證模塊的設計多是采用挑戰/響應機制來實現設備和主機之間的認證，以PKI技術進行數字簽名以及對證書進行管理。具體步驟：首先由DAS產生隨機數Rb，并將其發送給Host，然后再由Host產生隨機數Ra。并使用數字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結果發送到DAS，最后是由DAS對簽名結果進行驗證。如果通過驗證，則表示該設備的身份合法，網絡設備認證開關就會打開設備與Hub之間的網絡連接，否則網絡設備認證開關就會拒絕網絡設備訪問內部網絡。其步驟如圖2所示。

圖2 網絡設備認證的步驟示意圖

3 結束語

總而言之，利用網絡設備認證開關能夠有效的解決傳統網絡設備身份認證中所存在的不足，對提高內部網絡的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設的過程中必要重視對基于數字證書的網絡設備身份認證機制的應用。

參考文獻

[1]葉純青.數字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發機構[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數字證書的云計算安全認證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統一數字證書系統在國家電網公司的實施應用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數字證書在網上招投標系統運營中的應用——以南京市建設工程交易中心“e路陽光”系統為例[J].城市建設理論研究（電子版），2013（9）.

[5]張越.數字證書在江蘇質監行政權力網上公開透明運行信息系統中的應用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數字證書認證的訪問控制研究[J].科技與企業，2013（3）：110.endprint

摘 要 在我國社會主義市場經濟高速發展的今天，計算機網絡技術已經普及全世界，但隨著計算機網絡技術的發展，隨之而來的網絡犯罪、有害信息傳播、黑客攻擊等問題愈發嚴重，網絡安全環境越來越讓人擔心。對計算機網絡進行安全保護已經刻不容緩，尤其是內部網絡的安全防護。內部網絡的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內部網絡進行攻擊。文章分析的主要是一種基于數字證書的網絡設備身份認證機制，它對保護內部網絡的安全性有非常突出的效果。

關鍵詞 數字證書；網絡設備；身份認證機制

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網絡技術中，針對網絡安全的主要保護措施有虛擬專用網、入侵檢測系統、防火墻、加密技術等，這些安全技術雖然可以有效的防止來自外部網絡的攻擊，但是源自于內部網絡的攻擊依然無法避免。針對這種情況，現今對內部網絡進行保護的主要措施是采用基于數字證書的網絡設備身份認證機制，簡而言之就是針對連入內部網絡的用戶以及連入設備進行身份驗證的措施，以此分辨哪些連入用戶或設備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關人員亂接入內部網絡，對保護關鍵服務器中各種資源的安全有重要作用。

1 網絡身份認證概述

網絡身份認證主要包括兩種類型，一是對網絡用戶的身份認證，二是對網絡設備的身份認證。本文先對這兩種認證方式進行簡要介紹。

1.1 網絡用戶身份認證

現在很多網絡身份認證都是采用的網絡用戶身份認證這種方式，即采用一臺專門的身份認證服務器進行這項工作，一旦用戶通過認證，該服務器便會賦予該用戶在特定網絡中的訪問權限。這種網絡用戶身份認證系統主要包括基于用戶證書的PKI認證系統以及Kerberos系統等。但是，單只使用網絡用戶身份認證這種方法，相當于假定計算機是完全可信的，這使得其在內部網絡的安全上存在著諸多問題。1）某些用戶即使沒有通過認證依然能夠使用一定的網絡資源，并通過利用其所使用的資源對內部網絡發起攻擊；2）當接入的網絡設備屬于非法身份時，即使只是單純的連接在內部網絡上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內部網絡散播病毒，還可以對內部網絡進行監控等。通過上述分析可知，如果單純的使用網絡用戶身份認證的這種認證服務是無法滿足當前內部網絡的安全需求的。

1.2 網絡設備身份認證

網絡設備身份認證對于保證內部網絡的安全來說有著非常突出的作用，其原理是對所有需接入內部網絡的各種網絡設備進行身份認證，確定設備合法以后，才能訪問內部網絡的資源，否則就會被拒之于內部網絡之外。與此同時，網絡設備身份認證機制還能夠保護合法網絡設備的網絡資源不會被非法網絡設備盜用。但是就目前內部網絡的發展情況來看，僅僅利用內部網絡條件對網絡設備身份進行認證顯得很是力不從心，而且一般情況下內部網絡都處于無管理的開放狀態。其網絡接口遍布于大樓的各個房間，任何網絡設備只要接入空閑的接口就能夠訪問網絡資源，這就使得非法設備極容易盜取合法設備網絡資源。由此可見，要在內部網絡中實現對網絡設備的身份認證是很困難的，但是相比于網絡用戶身份認證來說，它對提高內部網絡安全級別的效果又是最為突出的。故而，國內外的很多專家都在全力研究網絡設備身份認證機制，并生產出各種各樣的認證產品。

2 基于數字證書的網絡設備身份認證機制

基于數字證書的網絡設備身份認證機制，其裝置主要有網絡設備認證開關以及數字證書兩部分。

2.1 網絡設備認證開關

網絡設備的認證開關是才開發出不久的一種新型的、確保內部網絡安全的產品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網絡地址，并采用數字簽名證書，這對提高網絡設備身份認證的安全級別有巨大的作用。網絡設備認證開關的“開”是指授予通過身份認證的網絡設備訪問網絡資源的權限，并對其通信狀態進行實時監控；網絡設備認證開關的“關”是指斷開沒有通過身份認證的網絡設備的網絡連接，阻止其盜用內部網絡。網絡設備認證開關的配置如圖1所示。

圖1 網絡設備認證開關的配置圖

其優勢主要有3點：1）因為它本身不具有網絡地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現有內部網絡結構改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務器的攻擊；3）其使用的主要是分布式認證技術，這種技術能夠有效的消除中心服務器認證時所產生的網絡處理瓶頸問題。

2.2 數字證書

為了進一步提高網絡設備身份認證的安全級別，引入PKI技術是非常必要的。PKI是指公開密鑰基礎設施。在PKI系統中，CA屬于域中的信任中心，其他設備之間的通信和驗證等都必須要依賴于CA所頒布的數字證書才能實現。簡而言之，所謂的數字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數據結構。要標識一臺網絡設備，主要利用的是該設備的網絡IP地址以及MAC地址。但是用IP地址進行身份標識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數字證書的Common Name域上填寫出網絡設備的MAC地址就可以完成身份驗證。對于網絡設備認證協議來說，其認證模塊的設計多是采用挑戰/響應機制來實現設備和主機之間的認證，以PKI技術進行數字簽名以及對證書進行管理。具體步驟：首先由DAS產生隨機數Rb，并將其發送給Host，然后再由Host產生隨機數Ra。并使用數字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結果發送到DAS，最后是由DAS對簽名結果進行驗證。如果通過驗證，則表示該設備的身份合法，網絡設備認證開關就會打開設備與Hub之間的網絡連接，否則網絡設備認證開關就會拒絕網絡設備訪問內部網絡。其步驟如圖2所示。

圖2 網絡設備認證的步驟示意圖

3 結束語

總而言之，利用網絡設備認證開關能夠有效的解決傳統網絡設備身份認證中所存在的不足，對提高內部網絡的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設的過程中必要重視對基于數字證書的網絡設備身份認證機制的應用。

參考文獻

[1]葉純青.數字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發機構[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數字證書的云計算安全認證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統一數字證書系統在國家電網公司的實施應用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數字證書在網上招投標系統運營中的應用——以南京市建設工程交易中心“e路陽光”系統為例[J].城市建設理論研究（電子版），2013（9）.

[5]張越.數字證書在江蘇質監行政權力網上公開透明運行信息系統中的應用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數字證書認證的訪問控制研究[J].科技與企業，2013（3）：110.endprint

摘 要 在我國社會主義市場經濟高速發展的今天，計算機網絡技術已經普及全世界，但隨著計算機網絡技術的發展，隨之而來的網絡犯罪、有害信息傳播、黑客攻擊等問題愈發嚴重，網絡安全環境越來越讓人擔心。對計算機網絡進行安全保護已經刻不容緩，尤其是內部網絡的安全防護。內部網絡的物理接口遍布建筑物的各個房間，任何黑客都可以通過暴露的物理接口對內部網絡進行攻擊。文章分析的主要是一種基于數字證書的網絡設備身份認證機制，它對保護內部網絡的安全性有非常突出的效果。

關鍵詞 數字證書；網絡設備；身份認證機制

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）04-0150-02

目前在計算機網絡技術中，針對網絡安全的主要保護措施有虛擬專用網、入侵檢測系統、防火墻、加密技術等，這些安全技術雖然可以有效的防止來自外部網絡的攻擊，但是源自于內部網絡的攻擊依然無法避免。針對這種情況，現今對內部網絡進行保護的主要措施是采用基于數字證書的網絡設備身份認證機制，簡而言之就是針對連入內部網絡的用戶以及連入設備進行身份驗證的措施，以此分辨哪些連入用戶或設備是合法身份，哪些屬于不合法的身份。凡是合法身份允許接入，非合法身份則拒絕接入。這種手段能夠有效的避免無關人員亂接入內部網絡，對保護關鍵服務器中各種資源的安全有重要作用。

1 網絡身份認證概述

網絡身份認證主要包括兩種類型，一是對網絡用戶的身份認證，二是對網絡設備的身份認證。本文先對這兩種認證方式進行簡要介紹。

1.1 網絡用戶身份認證

現在很多網絡身份認證都是采用的網絡用戶身份認證這種方式，即采用一臺專門的身份認證服務器進行這項工作，一旦用戶通過認證，該服務器便會賦予該用戶在特定網絡中的訪問權限。這種網絡用戶身份認證系統主要包括基于用戶證書的PKI認證系統以及Kerberos系統等。但是，單只使用網絡用戶身份認證這種方法，相當于假定計算機是完全可信的，這使得其在內部網絡的安全上存在著諸多問題。1）某些用戶即使沒有通過認證依然能夠使用一定的網絡資源，并通過利用其所使用的資源對內部網絡發起攻擊；2）當接入的網絡設備屬于非法身份時，即使只是單純的連接在內部網絡上而沒有人進行操作，它依然是非常危險的存在。比如它可能會向內部網絡散播病毒，還可以對內部網絡進行監控等。通過上述分析可知，如果單純的使用網絡用戶身份認證的這種認證服務是無法滿足當前內部網絡的安全需求的。

1.2 網絡設備身份認證

網絡設備身份認證對于保證內部網絡的安全來說有著非常突出的作用，其原理是對所有需接入內部網絡的各種網絡設備進行身份認證，確定設備合法以后，才能訪問內部網絡的資源，否則就會被拒之于內部網絡之外。與此同時，網絡設備身份認證機制還能夠保護合法網絡設備的網絡資源不會被非法網絡設備盜用。但是就目前內部網絡的發展情況來看，僅僅利用內部網絡條件對網絡設備身份進行認證顯得很是力不從心，而且一般情況下內部網絡都處于無管理的開放狀態。其網絡接口遍布于大樓的各個房間，任何網絡設備只要接入空閑的接口就能夠訪問網絡資源，這就使得非法設備極容易盜取合法設備網絡資源。由此可見，要在內部網絡中實現對網絡設備的身份認證是很困難的，但是相比于網絡用戶身份認證來說，它對提高內部網絡安全級別的效果又是最為突出的。故而，國內外的很多專家都在全力研究網絡設備身份認證機制，并生產出各種各樣的認證產品。

2 基于數字證書的網絡設備身份認證機制

基于數字證書的網絡設備身份認證機制，其裝置主要有網絡設備認證開關以及數字證書兩部分。

2.1 網絡設備認證開關

網絡設備的認證開關是才開發出不久的一種新型的、確保內部網絡安全的產品，其主要位于Hub的前端，多采用透明的傳輸方式。它本身不具備任何網絡地址，并采用數字簽名證書，這對提高網絡設備身份認證的安全級別有巨大的作用。網絡設備認證開關的“開”是指授予通過身份認證的網絡設備訪問網絡資源的權限，并對其通信狀態進行實時監控；網絡設備認證開關的“關”是指斷開沒有通過身份認證的網絡設備的網絡連接，阻止其盜用內部網絡。網絡設備認證開關的配置如圖1所示。

圖1 網絡設備認證開關的配置圖

其優勢主要有3點：1）因為它本身不具有網絡地址，因此其使用以及配置對于客戶來說是完全透明化的，在不對現有內部網絡結構改變的前提下可以直接安裝和使用；2）攻擊者是完全看不到它的，因而不易受到拒絕服務器的攻擊；3）其使用的主要是分布式認證技術，這種技術能夠有效的消除中心服務器認證時所產生的網絡處理瓶頸問題。

2.2 數字證書

為了進一步提高網絡設備身份認證的安全級別，引入PKI技術是非常必要的。PKI是指公開密鑰基礎設施。在PKI系統中，CA屬于域中的信任中心，其他設備之間的通信和驗證等都必須要依賴于CA所頒布的數字證書才能實現。簡而言之，所謂的數字證書就是指將身份信息與公開密鑰綁定在一起，并用CA的私鑰簽名以后所得到的數據結構。要標識一臺網絡設備，主要利用的是該設備的網絡IP地址以及MAC地址。但是用IP地址進行身份標識又存在著一定的問題，比如IP地址是可變的，IP地址是可以冒充的，因此依然存在著一定的安全隱患。對于此，可以使用MAC地址作為身份信息，只需要在數字證書的Common Name域上填寫出網絡設備的MAC地址就可以完成身份驗證。對于網絡設備認證協議來說，其認證模塊的設計多是采用挑戰/響應機制來實現設備和主機之間的認證，以PKI技術進行數字簽名以及對證書進行管理。具體步驟：首先由DAS產生隨機數Rb，并將其發送給Host，然后再由Host產生隨機數Ra。并使用數字證書對Ra、Rb進行簽名，再將證書CertA、Ra以及簽名之后的結果發送到DAS，最后是由DAS對簽名結果進行驗證。如果通過驗證，則表示該設備的身份合法，網絡設備認證開關就會打開設備與Hub之間的網絡連接，否則網絡設備認證開關就會拒絕網絡設備訪問內部網絡。其步驟如圖2所示。

圖2 網絡設備認證的步驟示意圖

3 結束語

總而言之，利用網絡設備認證開關能夠有效的解決傳統網絡設備身份認證中所存在的不足，對提高內部網絡的安全性有著巨大的作用。因此，在新時期，我國在進行信息化建設的過程中必要重視對基于數字證書的網絡設備身份認證機制的應用。

參考文獻

[1]葉純青.數字證書隱藏惡意軟件——騙子偽裝公司愚弄證書頒發機構[J].金融科技時代，2013（4）：56-57.

[2]徐祺.基于數字證書的云計算安全認證平臺的研究[J].計算機安全，2013（7）：67-70.

[3]王國梁，姚玉敏.統一數字證書系統在國家電網公司的實施應用[J].電力信息化，2013，11（8）：79-82.

[4]周維.數字證書在網上招投標系統運營中的應用——以南京市建設工程交易中心“e路陽光”系統為例[J].城市建設理論研究（電子版），2013（9）.

[5]張越.數字證書在江蘇質監行政權力網上公開透明運行信息系統中的應用[J].江蘇科技信息，2013（7）：32-34.

[6]桑文輝.淺析數字證書認證的訪問控制研究[J].科技與企業，2013（3）：110.endprint