網(wǎng)絡(luò )系統安全接入認證方法探究

以太網(wǎng)(企業(yè)內部網(wǎng)、國際互聯(lián)網(wǎng))、無(wú)線(xiàn)通信網(wǎng)(蜂窩電話(huà)、WiFi)和電力線(xiàn)通信(PLC)等網(wǎng)絡(luò )設備由服務(wù)器或基站以及網(wǎng)絡(luò )節點(diǎn)或網(wǎng)絡(luò )設備構成，批量生產(chǎn)的網(wǎng)絡(luò )設備根據具體的網(wǎng)絡(luò )容量進(jìn)行組裝。為了得到一個(gè)受控的高可靠性網(wǎng)絡(luò )系統，開(kāi)發(fā)人員面臨兩大設計挑戰：必須對所有連接到網(wǎng)絡(luò )的設備進(jìn)行認證；允許通過(guò)服務(wù)器進(jìn)行遠程升級。

對接入網(wǎng)絡(luò )的設備進(jìn)行授權認證非常困難。未經(jīng)許可的設備可能會(huì )通過(guò)破環(huán)系統性能、干擾用戶(hù)從而直接危害到供應商的收益。但是，網(wǎng)絡(luò )認證功能同時(shí)也為供應商提供了二次商機，即通過(guò)服務(wù)器對購買(mǎi)升級功能的用戶(hù)設備進(jìn)行升級。

幾大網(wǎng)絡(luò )認證方法比較

認證過(guò)程是建立兩個(gè)目標(這里指服務(wù)器和網(wǎng)絡(luò )設備)之間身份鑒定的過(guò)程。認證過(guò)程必須避免未經(jīng)授權的制造商或克隆廠(chǎng)商從事的偽造或仿真活動(dòng)。身份認證的最佳途徑是采用系統令牌，網(wǎng)絡(luò )設備處理器結合認證令牌進(jìn)行通信，從而對設備進(jìn)行鑒定。通過(guò)適當配置認證令牌限制設備的接入，最終達到杜絕假冒偽劣網(wǎng)絡(luò )設備的接入。

本地網(wǎng)的服務(wù)器距離網(wǎng)絡(luò )設備近，很難通過(guò)制造商進(jìn)行升級。例如，帶有附屬模塊(例如墨盒)的打印機，其中，服務(wù)器是打印機中的微處理器，網(wǎng)絡(luò )設備就是那些模塊。

遠程網(wǎng)絡(luò )的服務(wù)器工作環(huán)境安全，但是服務(wù)供應商保持對其的接入權限。遠程網(wǎng)絡(luò )存在一些如不安全的通信鏈路等潛在問(wèn)題，但其確實(shí)為實(shí)際應用提供了便利：根據中心服務(wù)器的判定，可以在完成網(wǎng)絡(luò )安裝后進(jìn)行擴容和偵測網(wǎng)絡(luò )的攻擊者(圖1)。

圖1: 設備交付用戶(hù)使用后，網(wǎng)絡(luò )運營(yíng)商通常無(wú)權接入局域網(wǎng)(左側) ；遠程網(wǎng)絡(luò )(右側)即使在交付用戶(hù)使用后也具有接入權限。

認真研究遠程服務(wù)器的工作環(huán)境，對照幾種接入控制的成本和優(yōu)勢，可以使你在具體系統中應用到最佳的認證方法。認證方案包括：簡(jiǎn)單的密碼認證、對稱(chēng)密鑰認證、公鑰認證、散列認證等。以下內容還討論了網(wǎng)絡(luò )設備升級功能的優(yōu)勢。

簡(jiǎn)單的密碼認證 最簡(jiǎn)單的認證方法就是判斷密碼是否正確。這種方法成本最低，因為不需要額外的硬件或軟件支持加密/認證算法。由于密碼為透明傳輸，即通過(guò)通信鏈路傳輸，很容易被截取并在以后復制(圖2)，由此可見(jiàn)，簡(jiǎn)單的密碼檢驗方案的安全性很差。