【网络老爬虫第7期-安全专题】IP网络里的暗号

天王盖地虎 宝塔镇河妖——IP网络里的暗号

文/巫继雨 

——网络老爬虫（安全专题）

如果你是华语网络界的老兵，不好意思，这里主要是指年龄老，可能听说过60年代的红色电影《林海雪原》，其中有一句最有名的黑话——“天王盖地虎 宝塔镇河妖”。这句黑话是解放军杨子荣在攻占土匪巢穴威虎山时，为了证明自己的土匪身份，而向匪首座山雕提供的行帮暗号。通过这个暗号，杨子荣成功骗取了座山雕的信任，一举打爆了这个土匪大BOSS。

在上述的打怪事件中，我们看到很重要的一点是杨子荣要向座山雕提供身份证明，身份证明的方式就是说出行帮暗号，这句暗号证明了杨子荣的身份是“正确”的。我们将这个打怪事件映射到网络世界中，可以这样说：当某个人声称具有一个特别的身份时，它必须提供某种方法来证实这个声明是正确的，而这个方法我们把它叫做“身份认证技术”。

网络是开放的、自由的，在设计之初并没有考虑安全性的问题，曾经有一句著名的网络用语形象的证明了网络世界中身份认证缺失的现象——“当你上网聊天时，你不知道坐在电脑面前的是一个人还是一条狗”。在基础的网络安全中，身份认证技术作为第一道，甚至是最重要的一道防线，占据着重要地位。可靠的身份认证技术可以确保信息只被正确的“人”所访问，身份认证技术提供了对某个人（或某件事）的身份的证明。

在现实的生活中，证明身份的方法可以基于三种方式：1、你所知道的（what you know），比如密码、暗号、地下党的名单，杨子荣就是通过暗号证明的自己的“假身份”。2、你所拥有的（what you have），比如IC卡、银行U盾、身份证等。现实生活中，经常会出现这么一个尴尬的现象——如果你丢了身份证的话，“无法证明你就是你”，而掏出身份证却成了证明你身份的最权威方式。3、你就是这个人（who you are），比如指纹、面貌、视网膜等。如果你常看美国大片的话，会发现在很多科幻电影中，特工靠扫描掌纹或视网膜，就可以进入到隐藏关卡，而扫描身体特征就是特工证明身份的方法。在IP网络中，我们依靠协议来实现这些认证方法，比如Radius、TACACS、Kerberos、LDAP、SSL等这些认证协议。

认证只是一种手段，那它的目的是什么？当然是为了获取资源，比如接入了网络、进入了密室、看到了地下党名单。这就牵扯到“我是否同意你做‘你想做’的事情”这么一个问题，比如“拿到营业执照了，你才能开店”，这就是授权。授权和认证是如此的自然和紧密，认证完后一般紧接着就是授权，以至于有些人会将它们混淆，但它们真的不一样——认证，是身份证明的问题；授权，是资源控制的问题。网络是开放的，可以说“天赋网络权”，网络世界中真正实现了人人平等。但资源是有限的，只能开放给被我“认可身份”的人，因此我们要对接入网络的实体进行授权，那还是要依靠协议来实现，其实前面我们说的Radius、TACACS、LDAP等协议在完成认证后，接着就是实现了授权这个功能。

将上面这些认证协议同各式的接入技术相结合，就可以实现对接入用户的认证授权，从而实现对用户访问网络这种行为进行控制。比如用于局域网端口接入控制的802.1x协议，就可以和Radius协议结合起来实现对接入用户的认证和授权；而Windows借助于LDAP协议，可以实现对登陆用户的认证和授权。

如果你想一探身份认证和接入技术的具体实现，那就让我们哼着“天王盖地虎 宝塔镇河妖”的节奏，探寻IP网络中的暗号吧……