佟亚香

摘 要 在我国社会主义市场经济高速发展的今天，计算机网络技术已经普及全世界，但随着计算机网络技术的发展，随之而来的网络犯罪、有害信息传播、黑客攻击等问题愈发严重，网络安全环境越来越让人担心。对计算机网络进行安全保护已经刻不容缓，尤其是内部网络的安全防护。内部网络的物理接口遍布建筑物的各个房间，任何黑客都可以通过暴露的物理接口对内部网络进行攻击。文章分析的主要是一种基于数字证书的网络设备身份认证机制，它对保护内部网络的安全性有非常突出的效果。

关键词 数字证书；网络设备；身份认证机制

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）04-0150-02

目前在计算机网络技术中，针对网络安全的主要保护措施有虚拟专用网、入侵检测系统、防火墙、加密技术等，这些安全技术虽然可以有效的防止来自外部网络的攻击，但是源自于内部网络的攻击依然无法避免。针对这种情况，现今对内部网络进行保护的主要措施是采用基于数字证书的网络设备身份认证机制，简而言之就是针对连入内部网络的用户以及连入设备进行身份验证的措施，以此分辨哪些连入用户或设备是合法身份，哪些属于不合法的身份。凡是合法身份允许接入，非合法身份则拒绝接入。这种手段能够有效的避免无关人员乱接入内部网络，对保护关键服务器中各种资源的安全有重要作用。

1 网络身份认证概述

网络身份认证主要包括两种类型，一是对网络用户的身份认证，二是对网络设备的身份认证。本文先对这两种认证方式进行简要介绍。

1.1 网络用户身份认证

现在很多网络身份认证都是采用的网络用户身份认证这种方式，即采用一台专门的身份认证服务器进行这项工作，一旦用户通过认证，该服务器便会赋予该用户在特定网络中的访问权限。这种网络用户身份认证系统主要包括基于用户证书的PKI认证系统以及Kerberos系统等。但是，单只使用网络用户身份认证这种方法，相当于假定计算机是完全可信的，这使得其在内部网络的安全上存在着诸多问题。1）某些用户即使没有通过认证依然能够使用一定的网络资源，并通过利用其所使用的资源对内部网络发起攻击；2）当接入的网络设备属于非法身份时，即使只是单纯的连接在内部网络上而没有人进行操作，它依然是非常危险的存在。比如它可能会向内部网络散播病毒，还可以对内部网络进行监控等。通过上述分析可知，如果单纯的使用网络用户身份认证的这种认证服务是无法满足当前内部网络的安全需求的。

1.2 网络设备身份认证

网络设备身份认证对于保证内部网络的安全来说有着非常突出的作用，其原理是对所有需接入内部网络的各种网络设备进行身份认证，确定设备合法以后，才能访问内部网络的资源，否则就会被拒之于内部网络之外。与此同时，网络设备身份认证机制还能够保护合法网络设备的网络资源不会被非法网络设备盗用。但是就目前内部网络的发展情况来看，仅仅利用内部网络条件对网络设备身份进行认证显得很是力不从心，而且一般情况下内部网络都处于无管理的开放状态。其网络接口遍布于大楼的各个房间，任何网络设备只要接入空闲的接口就能够访问网络资源，这就使得非法设备极容易盗取合法设备网络资源。由此可见，要在内部网络中实现对网络设备的身份认证是很困难的，但是相比于网络用户身份认证来说，它对提高内部网络安全级别的效果又是最为突出的。故而，国内外的很多专家都在全力研究网络设备身份认证机制，并生产出各种各样的认证产品。

2 基于数字证书的网络设备身份认证机制

基于数字证书的网络设备身份认证机制，其装置主要有网络设备认证开关以及数字证书两部分。

2.1 网络设备认证开关

网络设备的认证开关是才开发出不久的一种新型的、确保内部网络安全的产品，其主要位于Hub的前端，多采用透明的传输方式。它本身不具备任何网络地址，并采用数字签名证书，这对提高网络设备身份认证的安全级别有巨大的作用。网络设备认证开关的“开”是指授予通过身份认证的网络设备访问网络资源的权限，并对其通信状态进行实时监控；网络设备认证开关的“关”是指断开没有通过身份认证的网络设备的网络连接，阻止其盗用内部网络。网络设备认证开关的配置如图1所示。

图1 网络设备认证开关的配置图

其优势主要有3点：1）因为它本身不具有网络地址，因此其使用以及配置对于客户来说是完全透明化的，在不对现有内部网络结构改变的前提下可以直接安装和使用；2）攻击者是完全看不到它的，因而不易受到拒绝服务器的攻击；3）其使用的主要是分布式认证技术，这种技术能够有效的消除中心服务器认证时所产生的网络处理瓶颈问题。

2.2 数字证书

为了进一步提高网络设备身份认证的安全级别，引入PKI技术是非常必要的。PKI是指公开密钥基础设施。在PKI系统中，CA属于域中的信任中心，其他设备之间的通信和验证等都必须要依赖于CA所颁布的数字证书才能实现。简而言之，所谓的数字证书就是指将身份信息与公开密钥绑定在一起，并用CA的私钥签名以后所得到的数据结构。要标识一台网络设备，主要利用的是该设备的网络IP地址以及MAC地址。但是用IP地址进行身份标识又存在着一定的问题，比如IP地址是可变的，IP地址是可以冒充的，因此依然存在着一定的安全隐患。对于此，可以使用MAC地址作为身份信息，只需要在数字证书的Common Name域上填写出网络设备的MAC地址就可以完成身份验证。对于网络设备认证协议来说，其认证模块的设计多是采用挑战/响应机制来实现设备和主机之间的认证，以PKI技术进行数字签名以及对证书进行管理。具体步骤：首先由DAS产生随机数Rb，并将其发送给Host，然后再由Host产生随机数Ra。并使用数字证书对Ra、Rb进行签名，再将证书CertA、Ra以及签名之后的结果发送到DAS，最后是由DAS对签名结果进行验证。如果通过验证，则表示该设备的身份合法，网络设备认证开关就会打开设备与Hub之间的网络连接，否则网络设备认证开关就会拒绝网络设备访问内部网络。其步骤如图2所示。

图2 网络设备认证的步骤示意图

3 结束语

总而言之，利用网络设备认证开关能够有效的解决传统网络设备身份认证中所存在的不足，对提高内部网络的安全性有着巨大的作用。因此，在新时期，我国在进行信息化建设的过程中必要重视对基于数字证书的网络设备身份认证机制的应用。

参考文献

[1]叶纯青.数字证书隐藏恶意软件——骗子伪装公司愚弄证书颁发机构[J].金融科技时代，2013（4）：56-57.

[2]徐祺.基于数字证书的云计算安全认证平台的研究[J].计算机安全，2013（7）：67-70.

[3]王国梁，姚玉敏.统一数字证书系统在国家电网公司的实施应用[J].电力信息化，2013，11（8）：79-82.

[4]周维.数字证书在网上招投标系统运营中的应用——以南京市建设工程交易中心“e路阳光”系统为例[J].城市建设理论研究（电子版），2013（9）.

[5]张越.数字证书在江苏质监行政权力网上公开透明运行信息系统中的应用[J].江苏科技信息，2013（7）：32-34.

[6]桑文辉.浅析数字证书认证的访问控制研究[J].科技与企业，2013（3）：110.endprint

摘 要 在我国社会主义市场经济高速发展的今天，计算机网络技术已经普及全世界，但随着计算机网络技术的发展，随之而来的网络犯罪、有害信息传播、黑客攻击等问题愈发严重，网络安全环境越来越让人担心。对计算机网络进行安全保护已经刻不容缓，尤其是内部网络的安全防护。内部网络的物理接口遍布建筑物的各个房间，任何黑客都可以通过暴露的物理接口对内部网络进行攻击。文章分析的主要是一种基于数字证书的网络设备身份认证机制，它对保护内部网络的安全性有非常突出的效果。

关键词 数字证书；网络设备；身份认证机制

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）04-0150-02

目前在计算机网络技术中，针对网络安全的主要保护措施有虚拟专用网、入侵检测系统、防火墙、加密技术等，这些安全技术虽然可以有效的防止来自外部网络的攻击，但是源自于内部网络的攻击依然无法避免。针对这种情况，现今对内部网络进行保护的主要措施是采用基于数字证书的网络设备身份认证机制，简而言之就是针对连入内部网络的用户以及连入设备进行身份验证的措施，以此分辨哪些连入用户或设备是合法身份，哪些属于不合法的身份。凡是合法身份允许接入，非合法身份则拒绝接入。这种手段能够有效的避免无关人员乱接入内部网络，对保护关键服务器中各种资源的安全有重要作用。

1 网络身份认证概述

网络身份认证主要包括两种类型，一是对网络用户的身份认证，二是对网络设备的身份认证。本文先对这两种认证方式进行简要介绍。

1.1 网络用户身份认证

现在很多网络身份认证都是采用的网络用户身份认证这种方式，即采用一台专门的身份认证服务器进行这项工作，一旦用户通过认证，该服务器便会赋予该用户在特定网络中的访问权限。这种网络用户身份认证系统主要包括基于用户证书的PKI认证系统以及Kerberos系统等。但是，单只使用网络用户身份认证这种方法，相当于假定计算机是完全可信的，这使得其在内部网络的安全上存在着诸多问题。1）某些用户即使没有通过认证依然能够使用一定的网络资源，并通过利用其所使用的资源对内部网络发起攻击；2）当接入的网络设备属于非法身份时，即使只是单纯的连接在内部网络上而没有人进行操作，它依然是非常危险的存在。比如它可能会向内部网络散播病毒，还可以对内部网络进行监控等。通过上述分析可知，如果单纯的使用网络用户身份认证的这种认证服务是无法满足当前内部网络的安全需求的。

1.2 网络设备身份认证

网络设备身份认证对于保证内部网络的安全来说有着非常突出的作用，其原理是对所有需接入内部网络的各种网络设备进行身份认证，确定设备合法以后，才能访问内部网络的资源，否则就会被拒之于内部网络之外。与此同时，网络设备身份认证机制还能够保护合法网络设备的网络资源不会被非法网络设备盗用。但是就目前内部网络的发展情况来看，仅仅利用内部网络条件对网络设备身份进行认证显得很是力不从心，而且一般情况下内部网络都处于无管理的开放状态。其网络接口遍布于大楼的各个房间，任何网络设备只要接入空闲的接口就能够访问网络资源，这就使得非法设备极容易盗取合法设备网络资源。由此可见，要在内部网络中实现对网络设备的身份认证是很困难的，但是相比于网络用户身份认证来说，它对提高内部网络安全级别的效果又是最为突出的。故而，国内外的很多专家都在全力研究网络设备身份认证机制，并生产出各种各样的认证产品。

2 基于数字证书的网络设备身份认证机制

基于数字证书的网络设备身份认证机制，其装置主要有网络设备认证开关以及数字证书两部分。

2.1 网络设备认证开关

网络设备的认证开关是才开发出不久的一种新型的、确保内部网络安全的产品，其主要位于Hub的前端，多采用透明的传输方式。它本身不具备任何网络地址，并采用数字签名证书，这对提高网络设备身份认证的安全级别有巨大的作用。网络设备认证开关的“开”是指授予通过身份认证的网络设备访问网络资源的权限，并对其通信状态进行实时监控；网络设备认证开关的“关”是指断开没有通过身份认证的网络设备的网络连接，阻止其盗用内部网络。网络设备认证开关的配置如图1所示。

图1 网络设备认证开关的配置图

其优势主要有3点：1）因为它本身不具有网络地址，因此其使用以及配置对于客户来说是完全透明化的，在不对现有内部网络结构改变的前提下可以直接安装和使用；2）攻击者是完全看不到它的，因而不易受到拒绝服务器的攻击；3）其使用的主要是分布式认证技术，这种技术能够有效的消除中心服务器认证时所产生的网络处理瓶颈问题。

2.2 数字证书

为了进一步提高网络设备身份认证的安全级别，引入PKI技术是非常必要的。PKI是指公开密钥基础设施。在PKI系统中，CA属于域中的信任中心，其他设备之间的通信和验证等都必须要依赖于CA所颁布的数字证书才能实现。简而言之，所谓的数字证书就是指将身份信息与公开密钥绑定在一起，并用CA的私钥签名以后所得到的数据结构。要标识一台网络设备，主要利用的是该设备的网络IP地址以及MAC地址。但是用IP地址进行身份标识又存在着一定的问题，比如IP地址是可变的，IP地址是可以冒充的，因此依然存在着一定的安全隐患。对于此，可以使用MAC地址作为身份信息，只需要在数字证书的Common Name域上填写出网络设备的MAC地址就可以完成身份验证。对于网络设备认证协议来说，其认证模块的设计多是采用挑战/响应机制来实现设备和主机之间的认证，以PKI技术进行数字签名以及对证书进行管理。具体步骤：首先由DAS产生随机数Rb，并将其发送给Host，然后再由Host产生随机数Ra。并使用数字证书对Ra、Rb进行签名，再将证书CertA、Ra以及签名之后的结果发送到DAS，最后是由DAS对签名结果进行验证。如果通过验证，则表示该设备的身份合法，网络设备认证开关就会打开设备与Hub之间的网络连接，否则网络设备认证开关就会拒绝网络设备访问内部网络。其步骤如图2所示。

图2 网络设备认证的步骤示意图

3 结束语

总而言之，利用网络设备认证开关能够有效的解决传统网络设备身份认证中所存在的不足，对提高内部网络的安全性有着巨大的作用。因此，在新时期，我国在进行信息化建设的过程中必要重视对基于数字证书的网络设备身份认证机制的应用。

参考文献

[1]叶纯青.数字证书隐藏恶意软件——骗子伪装公司愚弄证书颁发机构[J].金融科技时代，2013（4）：56-57.

[2]徐祺.基于数字证书的云计算安全认证平台的研究[J].计算机安全，2013（7）：67-70.

[3]王国梁，姚玉敏.统一数字证书系统在国家电网公司的实施应用[J].电力信息化，2013，11（8）：79-82.

[4]周维.数字证书在网上招投标系统运营中的应用——以南京市建设工程交易中心“e路阳光”系统为例[J].城市建设理论研究（电子版），2013（9）.

[5]张越.数字证书在江苏质监行政权力网上公开透明运行信息系统中的应用[J].江苏科技信息，2013（7）：32-34.

[6]桑文辉.浅析数字证书认证的访问控制研究[J].科技与企业，2013（3）：110.endprint

摘 要 在我国社会主义市场经济高速发展的今天，计算机网络技术已经普及全世界，但随着计算机网络技术的发展，随之而来的网络犯罪、有害信息传播、黑客攻击等问题愈发严重，网络安全环境越来越让人担心。对计算机网络进行安全保护已经刻不容缓，尤其是内部网络的安全防护。内部网络的物理接口遍布建筑物的各个房间，任何黑客都可以通过暴露的物理接口对内部网络进行攻击。文章分析的主要是一种基于数字证书的网络设备身份认证机制，它对保护内部网络的安全性有非常突出的效果。

关键词 数字证书；网络设备；身份认证机制

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）04-0150-02

目前在计算机网络技术中，针对网络安全的主要保护措施有虚拟专用网、入侵检测系统、防火墙、加密技术等，这些安全技术虽然可以有效的防止来自外部网络的攻击，但是源自于内部网络的攻击依然无法避免。针对这种情况，现今对内部网络进行保护的主要措施是采用基于数字证书的网络设备身份认证机制，简而言之就是针对连入内部网络的用户以及连入设备进行身份验证的措施，以此分辨哪些连入用户或设备是合法身份，哪些属于不合法的身份。凡是合法身份允许接入，非合法身份则拒绝接入。这种手段能够有效的避免无关人员乱接入内部网络，对保护关键服务器中各种资源的安全有重要作用。

1 网络身份认证概述

网络身份认证主要包括两种类型，一是对网络用户的身份认证，二是对网络设备的身份认证。本文先对这两种认证方式进行简要介绍。

1.1 网络用户身份认证

现在很多网络身份认证都是采用的网络用户身份认证这种方式，即采用一台专门的身份认证服务器进行这项工作，一旦用户通过认证，该服务器便会赋予该用户在特定网络中的访问权限。这种网络用户身份认证系统主要包括基于用户证书的PKI认证系统以及Kerberos系统等。但是，单只使用网络用户身份认证这种方法，相当于假定计算机是完全可信的，这使得其在内部网络的安全上存在着诸多问题。1）某些用户即使没有通过认证依然能够使用一定的网络资源，并通过利用其所使用的资源对内部网络发起攻击；2）当接入的网络设备属于非法身份时，即使只是单纯的连接在内部网络上而没有人进行操作，它依然是非常危险的存在。比如它可能会向内部网络散播病毒，还可以对内部网络进行监控等。通过上述分析可知，如果单纯的使用网络用户身份认证的这种认证服务是无法满足当前内部网络的安全需求的。

1.2 网络设备身份认证

网络设备身份认证对于保证内部网络的安全来说有着非常突出的作用，其原理是对所有需接入内部网络的各种网络设备进行身份认证，确定设备合法以后，才能访问内部网络的资源，否则就会被拒之于内部网络之外。与此同时，网络设备身份认证机制还能够保护合法网络设备的网络资源不会被非法网络设备盗用。但是就目前内部网络的发展情况来看，仅仅利用内部网络条件对网络设备身份进行认证显得很是力不从心，而且一般情况下内部网络都处于无管理的开放状态。其网络接口遍布于大楼的各个房间，任何网络设备只要接入空闲的接口就能够访问网络资源，这就使得非法设备极容易盗取合法设备网络资源。由此可见，要在内部网络中实现对网络设备的身份认证是很困难的，但是相比于网络用户身份认证来说，它对提高内部网络安全级别的效果又是最为突出的。故而，国内外的很多专家都在全力研究网络设备身份认证机制，并生产出各种各样的认证产品。

2 基于数字证书的网络设备身份认证机制

基于数字证书的网络设备身份认证机制，其装置主要有网络设备认证开关以及数字证书两部分。

2.1 网络设备认证开关

网络设备的认证开关是才开发出不久的一种新型的、确保内部网络安全的产品，其主要位于Hub的前端，多采用透明的传输方式。它本身不具备任何网络地址，并采用数字签名证书，这对提高网络设备身份认证的安全级别有巨大的作用。网络设备认证开关的“开”是指授予通过身份认证的网络设备访问网络资源的权限，并对其通信状态进行实时监控；网络设备认证开关的“关”是指断开没有通过身份认证的网络设备的网络连接，阻止其盗用内部网络。网络设备认证开关的配置如图1所示。

图1 网络设备认证开关的配置图

其优势主要有3点：1）因为它本身不具有网络地址，因此其使用以及配置对于客户来说是完全透明化的，在不对现有内部网络结构改变的前提下可以直接安装和使用；2）攻击者是完全看不到它的，因而不易受到拒绝服务器的攻击；3）其使用的主要是分布式认证技术，这种技术能够有效的消除中心服务器认证时所产生的网络处理瓶颈问题。

2.2 数字证书

为了进一步提高网络设备身份认证的安全级别，引入PKI技术是非常必要的。PKI是指公开密钥基础设施。在PKI系统中，CA属于域中的信任中心，其他设备之间的通信和验证等都必须要依赖于CA所颁布的数字证书才能实现。简而言之，所谓的数字证书就是指将身份信息与公开密钥绑定在一起，并用CA的私钥签名以后所得到的数据结构。要标识一台网络设备，主要利用的是该设备的网络IP地址以及MAC地址。但是用IP地址进行身份标识又存在着一定的问题，比如IP地址是可变的，IP地址是可以冒充的，因此依然存在着一定的安全隐患。对于此，可以使用MAC地址作为身份信息，只需要在数字证书的Common Name域上填写出网络设备的MAC地址就可以完成身份验证。对于网络设备认证协议来说，其认证模块的设计多是采用挑战/响应机制来实现设备和主机之间的认证，以PKI技术进行数字签名以及对证书进行管理。具体步骤：首先由DAS产生随机数Rb，并将其发送给Host，然后再由Host产生随机数Ra。并使用数字证书对Ra、Rb进行签名，再将证书CertA、Ra以及签名之后的结果发送到DAS，最后是由DAS对签名结果进行验证。如果通过验证，则表示该设备的身份合法，网络设备认证开关就会打开设备与Hub之间的网络连接，否则网络设备认证开关就会拒绝网络设备访问内部网络。其步骤如图2所示。

图2 网络设备认证的步骤示意图

3 结束语

总而言之，利用网络设备认证开关能够有效的解决传统网络设备身份认证中所存在的不足，对提高内部网络的安全性有着巨大的作用。因此，在新时期，我国在进行信息化建设的过程中必要重视对基于数字证书的网络设备身份认证机制的应用。

参考文献

[1]叶纯青.数字证书隐藏恶意软件——骗子伪装公司愚弄证书颁发机构[J].金融科技时代，2013（4）：56-57.

[2]徐祺.基于数字证书的云计算安全认证平台的研究[J].计算机安全，2013（7）：67-70.

[3]王国梁，姚玉敏.统一数字证书系统在国家电网公司的实施应用[J].电力信息化，2013，11（8）：79-82.

[4]周维.数字证书在网上招投标系统运营中的应用——以南京市建设工程交易中心“e路阳光”系统为例[J].城市建设理论研究（电子版），2013（9）.

[5]张越.数字证书在江苏质监行政权力网上公开透明运行信息系统中的应用[J].江苏科技信息，2013（7）：32-34.

[6]桑文辉.浅析数字证书认证的访问控制研究[J].科技与企业，2013（3）：110.endprint