网络系统安全接入认证方法探究

图2: 密码检验的第3步通信容易造成密钥被窃取

对于基本的密码认证来说，网络设备和服务器必须有一个公认的密钥，如果网络设备具有一个唯一的识别码，可以利用该识别码构成设备唯一的密钥。

对称密钥认证利用加密算法将安全信息从网络设备发送到服务器，安全设备需要将加密密钥编程到网络设备中。实际应用中有两种类型的加密密钥：对称密钥和非对称密钥(公钥/私钥)。对称密钥在服务器和网络设备上共用同一密钥(图3)。

图3: 对称密钥认证中，随机质询可以避免重复的响应通信

利用处理器实现这一认证比较简单，但比简单的密码检验要繁琐。由于服务器和网络设备之间的通信数据经过加密，无法被攻击者仿真，这种方法具有较高的安全性。另一方面，对称加密算法通常仅采用简单的运算，例如“或”运算和移位，具体实施成本并不高，利用微处理器即可实现。

该方案的前提是：网络设备和服务器必须具备公用的对称加密密钥，如果网络设备具有唯一的识别码，则可利用识别码构成设备的唯一密钥。

非对称密钥认证 非对称加密系统(公钥/私钥)不共用同一密钥，每台设备包含一个私钥和一个公钥。证书可以安装到网络设备以便验证其授权。由于公钥/私钥算法涉及到大量的计算，实施方案需要占用较大的存储空间和CPU资源，成本较高(图4)。例如，RSA公钥加密需要模幂运算。另外，还需要注意采用这类加密算法的器件受美国政府的出口限制。

该方案的前提是：网络设备必须装载包含网络设备公钥的证书，用服务器私钥加密。用服务器公钥解密后，可以验证网络设备的合法性。