網絡系統安全接入認證方法探究

以太網(企業內部網、國際互聯網)、無線通信網(蜂窩電話、WiFi)和電力線通信(PLC)等網絡設備由服務器或基站以及網絡節點或網絡設備構成，批量生產的網絡設備根據具體的網絡容量進行組裝。為了得到一個受控的高可靠性網絡系統，開發人員面臨兩大設計挑戰：必須對所有連接到網絡的設備進行認證；允許通過服務器進行遠程升級。

對接入網絡的設備進行授權認證非常困難。未經許可的設備可能會通過破環系統性能、干擾用戶從而直接危害到供應商的收益。但是，網絡認證功能同時也為供應商提供了二次商機，即通過服務器對購買升級功能的用戶設備進行升級。

幾大網絡認證方法比較

認證過程是建立兩個目標(這里指服務器和網絡設備)之間身份鑒定的過程。認證過程必須避免未經授權的制造商或克隆廠商從事的偽造或仿真活動。身份認證的最佳途徑是采用系統令牌，網絡設備處理器結合認證令牌進行通信，從而對設備進行鑒定。通過適當配置認證令牌限制設備的接入，最終達到杜絕假冒偽劣網絡設備的接入。

本地網的服務器距離網絡設備近，很難通過制造商進行升級。例如，帶有附屬模塊(例如墨盒)的打印機，其中，服務器是打印機中的微處理器，網絡設備就是那些模塊。

遠程網絡的服務器工作環境安全，但是服務供應商保持對其的接入權限。遠程網絡存在一些如不安全的通信鏈路等潛在問題，但其確實為實際應用提供了便利：根據中心服務器的判定，可以在完成網絡安裝后進行擴容和偵測網絡的攻擊者(圖1)。

圖1: 設備交付用戶使用后，網絡運營商通常無權接入局域網(左側) ；遠程網絡(右側)即使在交付用戶使用后也具有接入權限。

認真研究遠程服務器的工作環境，對照幾種接入控制的成本和優勢，可以使你在具體系統中應用到最佳的認證方法。認證方案包括：簡單的密碼認證、對稱密鑰認證、公鑰認證、散列認證等。以下內容還討論了網絡設備升級功能的優勢。

簡單的密碼認證 最簡單的認證方法就是判斷密碼是否正確。這種方法成本最低，因為不需要額外的硬件或軟件支持加密/認證算法。由于密碼為透明傳輸，即通過通信鏈路傳輸，很容易被截取并在以后復制(圖2)，由此可見，簡單的密碼檢驗方案的安全性很差。