網絡系統安全接入認證方法探究
加入技術交流群
圖2: 密碼檢驗的第3步通信容易造成密鑰被竊取
對于基本的密碼認證來說,網絡設備和服務器必須有一個公認的密鑰,如果網絡設備具有一個唯一的識別碼,可以利用該識別碼構成設備唯一的密鑰。
對稱密鑰認證 利用加密算法將安全信息從網絡設備發送到服務器,安全設備需要將加密密鑰編程到網絡設備中。實際應用中有兩種類型的加密密鑰:對稱密鑰和非對稱密鑰(公鑰/私鑰)。對稱密鑰在服務器和網絡設備上共用同一密鑰(圖3)。
圖3: 對稱密鑰認證中,隨機質詢可以避免重復的響應通信
利用處理器實現這一認證比較簡單,但比簡單的密碼檢驗要繁瑣。由于服務器和網絡設備之間的通信數據經過加密,無法被攻擊者仿真,這種方法具有較高的安全性。另一方面,對稱加密算法通常僅采用簡單的運算,例如“或”運算和移位,具體實施成本并不高,利用微處理器即可實現。
該方案的前提是:網絡設備和服務器必須具備公用的對稱加密密鑰,如果網絡設備具有唯一的識別碼,則可利用識別碼構成設備的唯一密鑰。
非對稱密鑰認證 非對稱加密系統(公鑰/私鑰)不共用同一密鑰,每臺設備包含一個私鑰和一個公鑰。證書可以安裝到網絡設備以便驗證其授權。由于公鑰/私鑰算法涉及到大量的計算,實施方案需要占用較大的存儲空間和CPU資源,成本較高(圖4)。例如,RSA公鑰加密需要模冪運算。另外,還需要注意采用這類加密算法的器件受美國政府的出口限制。
該方案的前提是:網絡設備必須裝載包含網絡設備公鑰的證書,用服務器私鑰加密。用服務器公鑰解密后,可以驗證網絡設備的合法性。
評論