下载文档原格式
wlan认证流程一、用户连接用户通过WLAN设备(如笔记本电脑、智能手机等)搜索并接入WLAN网络,通常是通过SSID(Service Set Identifier)识别网络标识。
用户在设备上输入密码或使用已保存的密码自动连接至网络。
二、获取IP地址用户接入WLAN后,设备会向DHCP服务器请求一个动态IP地址。
DHCP服务器会分配一个IP地址给设备,允许设备在网络上进行通信。
三、身份认证当用户成功接入网络并获取IP地址后,身份认证过程开始。
这个过程是为了确认用户的身份,以防止未授权的用户访问网络。
常见的身份认证方式包括:用户名/密码认证、动态令牌卡认证、基于证书的认证等。
四、验证通过如果用户的身份认证信息正确,网络会允许用户访问资源。
此时,用户的设备与网络建立起一条安全的通信链路。
五、动态密钥管理为了确保网络安全,密钥的管理是非常重要的。
动态密钥管理允许定期更改密钥,以提高安全性。
此外,密钥也可以根据不同的用户或设备进行个性化设置。
六、访问控制访问控制是为了防止未授权的用户或设备访问网络资源。
这通常通过ACL (Access Control List)实现,ACL可以基于源IP地址、目标IP地址、端口号等进行访问控制。
七、安全审计为了监测网络的安全性,需要对用户的活动进行审计。
审计可以记录用户的网络行为,以便在发生安全事件时进行追溯和分析。
八、断开连接当用户完成网络访问并准备断开连接时,设备会发送一个断开连接的请求给网络,释放之前获取的IP地址,并停止与网络的通信。
此时,整个WLAN认证流程结束。
物联网设备的身份认证机制研究在当今数字化的时代,物联网(Internet of Things,IoT)已经成为我们生活中不可或缺的一部分。
从智能家居中的智能音箱、智能门锁,到工业领域的自动化生产线,物联网设备无处不在。
然而,随着物联网设备的数量呈爆炸式增长,如何确保这些设备的安全性,特别是身份认证,成为了一个至关重要的问题。
身份认证是确认一个实体(如设备、用户或进程)身份的过程。
在物联网环境中,这意味着要确保连接到网络的设备是合法的、可信的,并且没有被恶意攻击者篡改或冒充。
如果物联网设备的身份认证机制存在漏洞,可能会导致严重的后果,如个人隐私泄露、财产损失甚至危及公共安全。
目前,物联网设备面临着诸多身份认证方面的挑战。
首先,由于物联网设备的种类繁多、计算能力和存储资源有限,传统的复杂身份认证方法往往难以适用。
例如,一些小型的传感器设备可能无法运行复杂的加密算法。
其次,物联网设备通常部署在各种不同的环境中,包括开放的公共区域,这使得它们更容易受到物理攻击和网络攻击。
再者,许多物联网设备的制造商在安全设计方面投入不足,导致设备本身存在安全隐患。
为了解决这些问题,研究人员提出了多种物联网设备的身份认证机制。
一种常见的方法是基于密码学的认证机制。
例如,使用对称加密算法(如 AES)或非对称加密算法(如 RSA)对设备与服务器之间的通信进行加密和认证。
对称加密算法的优点是计算速度快,但需要在设备和服务器之间安全地共享密钥;非对称加密算法则不需要共享密钥,但计算开销较大。
因此,在实际应用中,通常会根据设备的性能和安全需求选择合适的加密算法。
另一种方法是基于生物特征的身份认证。
例如,利用指纹识别、虹膜识别等技术来确认设备使用者的身份。
这种方法具有较高的安全性和准确性,但需要相应的传感器和识别算法,增加了设备的成本和复杂性。
此外,还有基于物理不可克隆函数(Physical Unclonable Function,PUF)的身份认证机制。
网络信息安全的访问控制与身份认证网络信息安全一直以来都备受关注,随着互联网的快速发展和普及,信息的安全问题变得日益突出。
为了保护网络数据的安全,许多组织和机构都采取了各种措施,其中最常见和有效的措施之一就是访问控制与身份认证。
一、访问控制的概念及重要性访问控制是指在计算机网络中对访问请求者进行身份验证和权限控制,以确保只有合法用户可以获取到系统或网络中的资源。
它是保护网络安全的第一道防线,具有至关重要的意义。
访问控制能够确保只有经过身份认证的用户才能进入系统,防止未经授权的用户非法访问或篡改数据,从而保护网络数据的安全。
它可以限制用户对系统资源的使用,确保系统只对有权限的用户开放。
二、身份认证的方式与技术1.用户名和密码认证这是最常见的身份认证方式之一,用户通过输入正确的用户名和密码来验证自己的身份。
系统根据用户输入的信息与数据库中存储的信息进行比对,如果匹配成功,则认证通过。
2.生物特征识别生物特征识别是一种身份认证技术,通过识别和验证人体生物特征(如指纹、虹膜、声音等)来确认用户的身份。
这种方式可以有效抵制密码泄露和盗用的风险。
3.数字证书认证数字证书认证是一种基于公钥加密的身份认证方式,依赖于密码学技术和数字证书基础设施。
用户通过数字证书来证明自己的身份,确保通信过程中的安全性和无法被篡改。
4.双因素认证双因素认证是将两种或多种身份认证方式结合在一起使用的方式,以提高认证的安全性。
常见的双因素认证方式包括密码加令牌、密码加指纹等。
三、网络访问控制的常用技术手段1.防火墙防火墙是一种常见的网络访问控制技术,它可以根据规则策略过滤网络数据包,限制网络访问。
防火墙能够保护网络内部的资源免受未经授权的访问和攻击。
2.网络隔离网络隔离是通过物理或逻辑手段将不同的网络环境分割开来,避免未经授权的访问。
不同的网络环境可以根据安全级别的不同进行分割,确保敏感数据不被外部网络访问。
3.访问控制列表(ACL)访问控制列表是一种用于设置网络设备(如路由器、交换机)访问权限的技术手段。
wifi 认证机制WiFi认证机制是指无线局域网(WiFi)中用于验证设备身份和授权接入网络的一系列技术和协议。
它在保障网络安全和用户体验方面起着重要作用。
本文将介绍常见的WiFi认证机制,包括开放系统认证、共享密钥认证、WPA/WPA2认证、EAP认证等。
开放系统认证是最简单的WiFi认证机制。
设备连接WiFi网络时,只需输入网络名称(SSID),无需输入密码即可连接。
虽然便捷,但安全性较低,容易遭受到未经授权的设备连接和信息窃取。
共享密钥认证是一种基于共享密码的认证机制。
当设备连接WiFi网络时,需要输入预设的密码才能完成认证过程。
只有拥有正确密码的设备才能顺利接入网络。
虽然比开放系统认证更安全,但密码的传输和保存仍有一定风险。
WPA/WPA2是更为安全的WiFi认证机制,它采用了加密算法和密钥管理协议,提供更好的数据保密性和完整性。
WPA/WPA2使用了一种称为预共享密钥(Pre-Shared Key,PSK)的方式,通过输入预先设置的密码,客户端和接入点完成彼此之间的认证,建立安全加密通道。
EAP(Extensible Authentication Protocol)是一种更为复杂和安全的WiFi认证机制,它支持多种身份验证方式,如基于证书的认证、基于用户名和密码的认证、基于SIM卡的认证等。
EAP认证通常运用于企业级WiFi网络中,提供更高层次的安全性和灵活性。
在EAP认证中,存在多种认证方法,例如EAP-TLS、EAP-TTLS、PEAP等。
EAP-TLS基于互相认证的公钥结构,要求服务器和客户端都拥有证书。
EAP-TTLS基于TLS协议,需要服务器拥有证书,而客户端只需提供用户名和密码。
PEAP继承了EAP-TTLS的基本思想,但进一步加强了安全性,客户端和服务器之间的握手交换将被TLS保护。
除了上述认证机制外,WiFi网络还可以使用MAC地址过滤来控制设备的接入。
MAC地址是设备的唯一物理地址,通过将允许的MAC地址添加到接入点的白名单中,可以限制只有列入名单的设备才能接入网络。
物联网设备的身份认证机制在当今数字化的时代,物联网已经成为我们生活中不可或缺的一部分。
从智能家居中的智能音箱、智能门锁,到工业领域的传感器和监控设备,物联网设备无处不在。
然而,随着物联网设备的广泛应用,其安全问题也日益凸显,其中身份认证机制是保障物联网安全的关键环节。
身份认证,简单来说,就是确认一个实体(可以是一个人、一个设备或者一个程序)的身份是否真实有效的过程。
在物联网环境中,确保每个设备的身份真实可靠至关重要,否则恶意攻击者可能会伪装成合法设备接入网络,窃取敏感信息、破坏系统或者造成其他严重的安全威胁。
常见的物联网设备身份认证方式有多种。
一种是基于密码的认证,这是最为常见和直接的方式。
用户为设备设置一个密码,在设备与网络进行通信时,需要输入正确的密码才能通过认证。
然而,这种方式存在一些问题。
首先,用户可能会选择过于简单或者容易猜测的密码,比如生日、电话号码等,这就大大降低了安全性。
其次,如果大量的物联网设备都采用相同或者相似的密码策略,一旦其中一个设备的密码被破解,其他设备也可能面临风险。
另一种常见的认证方式是基于数字证书的认证。
数字证书类似于我们现实生活中的身份证,是由权威的第三方机构颁发的,用于证明设备的身份。
设备在与其他实体进行通信时,通过出示数字证书来证明自己的身份。
这种方式相对更加安全可靠,因为数字证书的颁发和管理都有严格的流程和规范。
但是,数字证书的部署和管理需要一定的技术和成本投入,对于一些小型的物联网设备和应用来说,可能不太实用。
除了上述两种方式,还有基于生物特征的认证方式,比如指纹识别、虹膜识别等。
这种方式具有较高的安全性和便捷性,但目前在物联网设备中的应用还相对较少,主要是因为相关技术的成本较高,而且对于一些资源受限的物联网设备来说,实现起来也有一定的难度。
在物联网设备的身份认证机制中,还需要考虑一些特殊的挑战和需求。
首先,物联网设备通常具有资源受限的特点,比如计算能力、存储容量和电池寿命等都有限。
计算机网络安全标准在当今信息化社会中,计算机网络已经成为人们生活、工作中不可或缺的一部分。
然而,随着网络应用的普及,网络安全问题也日益凸显。
为了保护网络信息的安全和用户隐私,各行业都需要严格遵守计算机网络安全标准。
本文将以网络安全的各个方面为切入点,阐述计算机网络安全标准的重要性和规范内容。
一、网络身份认证1.1 用户身份验证用户身份验证是网络安全的第一道防线。
各行业应该制定严格的用户身份验证标准,确保用户的身份真实可靠。
这包括采用多重身份认证机制、强化密码的复杂度和重要信息加密等措施来防范身份被盗用和信息泄露的风险。
1.2 设备身份验证除了用户身份验证外,还需要对设备进行身份认证。
各行业应该建立合理的设备认证机制,限制未授权设备的接入,并对所有接入设备进行合法性检查和认证,以防止不法分子利用恶意设备攻击网络系统或窃取信息。
二、数据加密和传输安全2.1 数据加密为了保护数据的机密性和完整性,各行业应制定数据加密的标准。
对于敏感数据和重要信息,应采用先进的加密算法和安全协议,将数据加密存储或传输,防止数据在传输过程中被截获或篡改。
2.2 网络传输安全协议传输层安全协议(TLS)和安全套接字层(SSL)是网络传输安全的基本保障。
各行业应在计算机网络中广泛使用TLS和SSL协议,确保数据在传输过程中的机密性和完整性,并避免敏感信息被窃取或篡改。
三、网络访问控制和防火墙3.1 访问控制策略为了控制网络资源的访问权限,各行业应制定明确的访问控制策略。
这包括规定用户的访问权限和权限范围,限制对敏感信息的访问,并对违规行为实施相应的阻止和监控措施,确保网络资源的安全性和合法性。
3.2 防火墙规则为了防范网络攻击和恶意访问,各行业应建立严格的防火墙规则。
这包括设置有效的入口过滤和出口控制策略,禁止非法访问和恶意流量,以及监测和阻止网络中的异常数据传输或行为。
四、网络漏洞扫描和弱点检测4.1 漏洞扫描各行业应定期进行网络漏洞扫描,及时发现和修复系统中的漏洞。
网络安全防护中的身份认证技术随着互联网的迅猛发展和普及,网络安全问题日益严峻。
恶意攻击和数据泄露威胁着个人隐私和企业的商业机密。
为了保护网络的安全,身份认证技术在网络安全防护中扮演着重要角色。
本文将介绍几种常见的身份认证技术,包括单因素身份认证、双因素身份认证和多因素身份认证,并探讨它们的优缺点。
一、单因素身份认证单因素身份认证是最基本的身份认证方式,指的是通过提供一个身份信息来验证用户的身份。
常见的单因素身份认证包括用户名和密码的组合。
用户在登录时输入正确的用户名和密码,系统即可验证其身份合法性。
然而,单因素身份认证存在一些问题。
首先,用户名和密码容易被猜测或者被盗取。
例如,用户可能使用弱密码、常用密码或者与个人信息关联度较强的密码,使得黑客猜测或者通过暴力破解轻易获取到密码。
其次,用户往往会使用相同的用户名和密码组合在多个网站上,一旦其中一个网站的密码泄露,黑客就能够通过尝试相同的组合登录其他网站。
二、双因素身份认证为了弥补单因素身份认证的不足,双因素身份认证引入了第二个因素,用于进一步确保用户的身份。
第二个因素通常是用户拥有的某种物理设备,例如手机、USB密钥或指纹识别等。
用户登录时,除了输入用户名和密码,还需要提供第二个因素的验证。
例如,用户在输入用户名和密码后,系统会发送一条验证码到用户的手机,用户还需输入该验证码来完成身份认证。
双因素身份认证相比单因素身份认证更加安全可靠。
即使密码泄露,黑客仍然无法轻易获取到第二个因素的验证。
双因素身份认证能够有效抵抗密码猜测和暴力破解攻击。
然而,双因素身份认证也有一些限制。
首先,第二个因素的使用可能会增加用户的操作复杂度。
例如,用户需要携带物理设备,需要额外的时间和精力来验证身份。
其次,某些第二个因素可能会受到技术限制或者设备损坏而无法使用,导致用户无法完成身份认证。
三、多因素身份认证多因素身份认证进一步增加了对用户身份的验证要求,通过结合多个因素来确认用户的身份。
IP地址的网络认证和身份验证在当今互联网时代,IP地址的网络认证和身份验证成为了信息安全的重要环节。
随着网络发展的迅猛,确保网络通信的安全性和用户身份的真实性已经成为了各行各业关注的焦点。
本文将从IP地址的定义和作用,网络认证的必要性以及身份验证的方法等方面进行探讨。
首先,我们需要明确IP地址的概念和作用。
IP地址是互联网协议规定的一种地址标识,用于在网络中唯一标识一台设备。
每一台设备连接到互联网上都需要获得一个IP地址,这个地址在网络中起到类似于人们身份证号码的作用。
通过IP地址,网络中的设备可以相互识别和通信。
面对庞大的网络用户和日益增长的网络攻击,网络认证显得尤为重要。
网络认证是指验证用户在网络中的身份和权限,以确保网络资源只被合法用户使用。
在网络中,很多操作和数据只能被特定用户或特定权限的用户访问,通过网络认证可以有效控制网络资源的访问权限,防止未经授权的用户进行非法操作。
为了实现网络认证,常见的做法是使用用户名和密码进行身份验证。
用户在使用网络资源时,需提供正确的用户名和密码才能通过认证,从而获得相应的访问权限。
这是一种简单而又广泛应用的身份验证方式。
此外,还有一些更为安全的身份验证方式,如基于公钥密码学的数字证书认证、生物特征识别等。
这些方法可以更有效地保障网络中用户的身份和数据的安全。
除了身份验证,IP地址的网络认证也变得日益重要。
通过对IP地址的认证,我们可以确定某个IP地址是否可信、合法以及是否存在不良记录。
这对于防范恶意攻击、追查网络犯罪等非常有益。
网络认证可以通过对IP地址的来源、访问记录等进行分析,辨别其真伪,保护网络安全和用户利益。
为了实现IP地址的网络认证和身份验证,各级政府和企事业单位都制定了相应的网络安全政策和技术规范。
在企业内部,可以使用防火墙、入侵检测系统、IP地址过滤等技术手段来实现网络认证和身份验证。
而在公共网络环境中,可以通过VPN、双因素认证等方式提高网络的安全性。
计算机网络安全基础知识计算机网络安全是指保护计算机网络和网络通信系统免受未经授权访问、攻击和损坏的能力。
了解计算机网络安全的基础知识对于保护个人和组织的敏感数据、防止信息泄露和网络犯罪具有重要意义。
1. 身份认证与授权:身份认证是验证用户或设备的身份和权限的过程,通常通过用户名和密码、生物识别技术等方式进行。
授权则是分配不同用户或设备的权限,确保其只能访问其授权范围内的资源。
2. 防火墙:防火墙是计算机网络安全的第一道防线,通过监视和控制进出网络的数据流量,阻止潜在的威胁进入网络或离开网络。
3. 加密与解密:加密是将数据转换为密文的过程,以防止未经授权的访问者读取或修改数据。
解密则是将密文还原为原始数据的过程。
4. 安全协议:安全协议是网络通信中使用的加密和身份认证机制,例如SSL/TLS协议用于保护Web通信的安全性。
5. 恶意软件防范:恶意软件包括计算机病毒、间谍软件、广告软件等有害程序。
使用杀毒软件和防火墙等工具可以有效防范恶意软件的入侵。
6. 网络监控与日志记录:通过实时监控网络流量和记录事件日志,可以及时检测异常活动并进行安全事件的溯源分析。
7. 社会工程学:社会工程学是以欺骗和操作人为目标的攻击手段。
安全意识培训和警惕性可以帮助人们识别和防范社会工程学攻击。
8. 虚拟专用网络(VPN):VPN通过加密和隧道技术为远程用户提供安全的访问网络和保护数据隐私。
9. 强密码策略:使用强密码是保护个人和组织账号安全的重要措施。
强密码应包含字母、数字和特殊字符,并定期更新。
10. 多因素身份验证:多因素身份验证结合两个或多个不同的验证要素(如密码、指纹、短信验证码)来提高身份认证的安全性。
11. 安全更新和漏洞修复:定期进行安全更新和漏洞修复是防止网络攻击的重要步骤。
及时安装系统和应用程序的更新补丁可以修复已知的漏洞。
12. 数据备份与恢复:定期备份数据可以帮助防止重要数据的丢失,并在发生安全事件时进行有效的恢复。
一种基于数字证书的网络设备身份认证机制高能,向继,冯登国摘要:提出一种基于数字证书的网络设备身份认证机制,该机制利用一种新型的装置——“设备认证开关”对网络设备进行认证,对通过认证的网络设备接通网络连接,并对流经它的网络数据进行实时监控,保证合法连接不被盗用。
认证方法则采用了目前最先进的PKI技术。
与现有的网络身份认证技术和系统相比,基于设备认证开关的网络设备认证机制将保护的边界拓展到了内部网络的最边缘,通过在网络设备的数字证书中嵌入简单的权限信息,可以自动地管理网络物理接口的使用。
1、概述随着计算机网络的迅猛发展,网络违法犯罪、黑客攻击、有害信息传播等方面的问题日趋严重,网络安全保护已经成为刻不容缓的问题。
特别是内部网络的安全保护尤为突出。
内部网络的物理接口遍布在若干个房间,甚至是一座大楼之中。
任何能够进入该区域的人员,都可能利用这些暴露的物理接口。
黑客可以将自己的机器轻易地接入内部网络,探听内部网络的流量,甚至发起攻击。
目前通用的一些安全措施,如防火墙、虚拟专用网、加密技术以及入侵检测系统等,虽然可以有效地防止来自外部网络的攻击,但对防止来自网络内部攻击的效果却不明显。
内部网络安全保护的一个重要的手段就是实现网络身认证,即对连入网络的用户和设备的身份进行认证,只有那些具有合法身份的用户和设备才能访问网络资源。
网络身份认证的目标是保护内部网络中的关键服务器资源,但是一个没有通过身份认证的用户依然可以使用其它的内部网络资源,这是一个潜在的安全威胁。
因而人们希望通过对网络设备进行认证,从而确保内部网络的安全。
2、网络身份认证网络身份认证通常包括对网络用户身份和网络设备身份的认证。
2.1、用户身份认证绝大多数的网络身份认证都只采用用户身份认证这种手段,通用的方法是一台认证服务器专门认证用户的身份,并赋予用户访问特定网络资源的能力。
这样的用户认证系统包括Kerberos系统和基于用户证书的PK认证系统等。
单纯使用用户身份认证等于假定网络设备(计算机)是完全可信的,这种假定在安全性上存在不少的问题。
首先,即使用户没有通过认证,它仍然能够访问一定的网络资源,利用这些资源可以发起各种攻击。
例如,攻击者即使不能通过认证访问存有关键数据的服务器,但他仍然能够利用网络连接向服务器发起拒绝服务攻击。
其次,一个非法的网络设备即使没有人为操纵,把它接在内部网络上仍然是十分危险的,例如它可以向网络内散布各种病毒,也可以监听网络以窃取含有关键信息的流量。
显然,单纯基于用户身份认证的认证服务已经不能满足实际内部网络的安全需求。
为了保护内部网络的资源,为了保证只有合法的网络设备才能接入内部网络,为了保护开放于内部的物理网络接口不被非法的网络设备效用,为了保护内部网络的最外缘,网络身份认证机制中必须增加对网络设备的身份认证。
2.2、设备身份认证网络设备身份认证是保护内部网络安全的一个重要的安全机制,它的思想是对所有接入内部网络的网络设备的身份进行认证,通过认证的网络设备被认为是合法的,否则被认为是非法的,只有合法的网络设备才能够使用内部网络的各种资源,这里的资源主要是指网络连接。
同时网络设备身份认证还必须保护合法设备的资源(网络连接)不被非法的设备所盗用。
仅利用日前的内部网络条件对网络设备进行身份认证是不可能的,在一般情况下,内部网络是开放的、无管理的。
网络接口遍布于各个房间,内部网络无法对网络设备进行认证,任何网络设备只要接入空余的网络接口就可以获得网络连接,而且非法设备可以很容易地盗用合法设备的网络接口。
所以为了实现网络设备身份认证,必须在内部网络中增加新的安全装置。
为了对网络设备进行身份认证,因内外专家提出了不同的思想,并且生产出了各种各样的产品。
例如美国Alberta大学的Robert Beck在1999年于美国华盛顿召开的第13届系统管理(LISA)会议上,发表了一篇题为“Dealing with Public Ethernet Jacks Switched, Gateways, and Authentication”(公用以太网接口——交换机和网关的处理及认证)的文章,提出了网络设备认证的初步思想。
在实际产品方面美国凤凰科技公司的Device Connect设备端认证技术、北京东方龙马公司的用户认证网关产品、上海给维佳公司的公开密钥基础设施(PKI)网管服务器等,都已经不同程度地得到了广泛应用。
这些产品和技术在具体表现上各有不同,但实际上都是基于认证服务器的模式,这种模式的网络配置示意图如图所示。
(图1、认证服务器模式的网络配置示意图)认证服务器是一种网络服务器,它将整个内部网络为受保护的网络A和未受保护的网络B,如同一座桥梁连接着这两部分。
如果未受保护的网络中的一个网络设备想要访问受保护的网络,网络服务器首先对该设备进行认证,如果认证通过则允许它访问,否则拒绝访问。
虽然这种方法可以实现网络设备的身份认证,但是由于它只是简单继承了用户身份认证的机制,存在以下几个明显的缺陷:(1)片面性,它只提供了一种片面的安全保护,未通过认证的攻击者仍然可以利用网络连接来散布病毒,或进行拒绝服务攻击;(2)安全配置复杂,它的配置需要改变内部网络的网络结构,重新分配IP地址,操作比较复杂;(3)可用性,它本身存在被攻击的危险,例如攻击者可以对认证服务器发起拒绝服务攻击,致使合法的用户不能访问受保护的网络;(4)网络性能,它同时也是网络性能上的一个瓶颈,当很多用户同时访问受保护的网络时,网络性能就会下降,特别是对于那些提供存储服务的服务器。
可见,认证服务器模式没有完全解决对设备的认证问题,因为存在不被认证的主机能够访问内部网络的问题,如图1中的攻击主机,虽然它无法通过认证服务器的认证,但是它依然可以访问网络B内的其它主机,是具有网络连接的。
鉴于目前网络设备身份认证方法所存在的缺陷,我们提出了一种新型的网络设备身份认证的方法,它在内部网络中引入了一种新的装置——“设备认证开关”,由它专门对网络设备进行认证和管理,认证采用基于PKI的数字证书实现,该方法在安全性和性能上很好地满足了内部网络设备身份认证的需求,将保护的范围扩展到了整个内部网络,在其最外缘形成了一道安全保护的边界。
3、一种网络设备身份认证的装置和方法3.1、设备认证开关设备认证开关(Device Authentication Switch,DAS)正是针对内部攻击开发的一种新型的网络安全产品,它位于集线器(Hub)的前端,采用透明的传输方式,即本身不具有网络地址,采用了数字签名技术,提供安全级别更高的网络设备身份认证。
设备认证开关的主要功能是对没有通过认证的设备关闭网络连接(如PC的以太网卡和集线器之间的连接),对通过认证的设备接通网络连接,并对接通的通信进行实时的监控,保证合法连接不被盗用。
设备认证开关的网络配置示意图如图2。
(图2、设备认证开关网络配置示意图)通过在内部网络的每个物理网络接口的后端安装和配置设备认证开关,从而保证每一个接入内部网络的设备都具有合法的身份。
与传统的利用认证服务器实现网络设备身份认证的方法相比,基于设备认证开关的网络设备身份认证是一种全面保护内部网络的技术,将保护的边界拓展到了内部网络的最外缘,它的优点在于:(1)由于其本身不具有网络地址,它的配置和使用对于客户机是完全透明的,在不需要改变现有的内部网络的结构的前提下,可以直接安装和使用;(2)对于攻击者是不可见的,不易遭受拒绝服务攻击;(3)采用分布式认证技术,消除了中心服务器认证产生的网络处理瓶颈问题。
3.2、使用数字证书实现认证为了实现对网络设备身份的认证,我们引入了先进的PKI技术。
PKI(Public Key Infrastructure)即公开密钥基础设施,它是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。
在PKI系统中,CA(Certificate Authority)是一个域中的信任中心,其他设备或人之间的通信和验证都依赖于CA所颁发的数字证书。
数字证书也就是一个公开密钥和身份信息绑在一起,用CA的私钥签名后得到的数据结构。
在网络通信中,数字证书就是标志通信各方身份信息的一系列数据,它提供了一种验证身份的方式,其作用类似于日常生活中的身份证。
(1)网络设备的身份信息如何标识一台网络设备呢?最容易想到的就是设备的IP地址和MAC地址。
如果使用网络设备的IP地址作为身份标识,存在两个问题:首先,网络设备的IP地址可能改变,例始内部网络的IP管理的需要;另一方面,IP地址是可以冒充的,恶意的攻击者可以伪装成合法用户的IP地址访问网络。
因而,我们选用设备的MAC地址作为身份信息,只要在证书的Common Name(通用名)域填写设备的MAC地址即可。
申请证书的计算机的以太网网卡地址必须是通过网络管理员认可的、合法的、可以在局域网内安全使用的网卡地址,例如,必须具有网络管理员出具的证明。
(2)网络设备的简单权限信息在实际应用中特别是政府的内部网络,由于某些网络设备存有敏感信息,是不允许接入外网的(例如Internet),但是使用者有时可能会忽略这种限制,导致违规的操作,因而现有的解决方案是禁止这类设备连入内部网络,进行完全物理隔离。
但是随着信息化的发展,物理隔离虽然可能是一个可靠的安全选择,但是却阻碍了信息的交换和共享,是否能够自动地识别接入内部网络的设备的权限,自动保证存有敏感信息的设备只能接入内网?使用设备认证开关是一个简单有效的解决方案。
在网络设备申请证书时,可以在证书主题域的OU域中填写访问权限信息,特别是一些简单的开关信息,例如,该开关信息限制将该网络设备标志为“内部网络登录组”,限制其只能接入内部网络而不允许接入外部网络。
权限的设置和分配在申请证书时由网络管理员出示证明。
图3是这类证书的一个例子。
(图3、网络设备证书实例)通过网络设备发放带有简单权限信息的证书,利用设备认证开关可以实现对遍布在内部的物理网络接口的自动控制。
当一台计算机接入物理网络接口时,设备认证开关根据证书的主题信息,可以判断该计算机是否具有登录内部网络或者外部网络的权限,对于具有相应权限的计算机,设备认证开关准许其接入,相反拒绝其接入。
完全物理隔离需要将外部网络接口和内部网络接口完全分开,而且对于存有敏感信息的网络设备必须物理隔离,避免因为人员的误操作将其接入外网。
然而,采用设备认证开关的物理网络接口保护方案,不需要人为地区分外部网络接口和内部网络接口,根据证书内容自动识别访问权限,有利于网络篁接口的保护和管理,有效阻止了因为人员疏忽将存有敏感信息的网络设备接入外部网络的操作。
(3)网络设备认证协议设备认证模块的设计采用挑战响应机制实现主机和设备认证模块之间的认证,采用PKI技术实现数字签名和证书管理,如图4所示。
