CN102624744A - 网络设备的认证方法、装置、***和网络设备 - Google Patents
网络设备的认证方法、装置、***和网络设备 Download PDFInfo
- Publication number
- CN102624744A CN102624744A CN201210100152XA CN201210100152A CN102624744A CN 102624744 A CN102624744 A CN 102624744A CN 201210100152X A CN201210100152X A CN 201210100152XA CN 201210100152 A CN201210100152 A CN 201210100152A CN 102624744 A CN102624744 A CN 102624744A
- Authority
- CN
- China
- Prior art keywords
- certificate
- network equipment
- equipment
- message
- upstream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络设备的认证方法、装置、***和网络设备,该网络设备的认证方法包括:网络设备与网络设备的上游设备物理连通之后,接收上游设备在上游设备认证成功之后发送的挑战报文;向上游设备发送认证请求报文,该网络设备发送的认证请求报文携带网络设备获得的证书;接收所述上游设备发送的认证响应报文,当所述认证响应报文中携带认证成功的指示信息时,所述网络设备转发所述网络设备接收到的数据报文。本发明可以实现对网络设备的权限进行认证,提高网络安全性,并且本发明通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种网络设备的认证方法、装置、***和网络设备,属于通信技术领域。
背景技术
公钥基础设施(Public Key Infrastructure;以下简称:PKI)是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI的核心技术围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。
上述数字证书是由证书授权(Certificate Authority;以下简称:CA)中心为每个使用公钥的用户发放的,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。上述数字证书的格式遵循X.509标准。
在网络安全保护中,因为内部网络的物理接口遍布于建筑物的不同地点,任何能够进入该区域的人员都可以利用这些暴露的物理接口轻易地接入内部网络并进行攻击。
目前很多网络中对网络安全的防范大部分通过防火墙等设备,这些都是基于对外攻击的防范,若要对内部网络进行安全保护,一个重要的手段就是实现网络身份认证;设备身份认证是现有技术提供的一种网络身份认证方法。
设备身份认证目前都是基于CA中心颁发数字证书给信任用户,主要应用于电子商务和电子邮件中,对本地应用程序进行加密和解密的行为。但是现有的设备身份认证不支持对网络设备的权限进行认证,网络安全性较低;并且现有的设备身份认证只能人工将数字证书送到CA中心,由CA中心对数字证书进行校验,实现起来很不方便,易用性较低。
发明内容
本发明提供一种网络设备的认证方法、装置、***和网络设备,以实现对网络设备的权限进行认证,提高网络安全性。
本发明一方面提供一种网络设备的认证方法,包括:
网络设备与所述网络设备的上游设备物理连通之后,接收所述上游设备在所述上游设备认证成功之后发送的挑战报文;
所述网络设备向所述上游设备发送认证请求报文,所述网络设备发送的认证请求报文携带所述网络设备获得的证书;
所述网络设备接收所述上游设备发送的认证响应报文,当所述认证响应报文中携带认证成功的指示信息时,所述网络设备转发所述网络设备接收到的数据报文;所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备,以供所述证书校验设备对所述网络设备获得的证书进行校验,并在接收到所述证书校验设备发送的所述认证响应报文之后发送给所述网络设备的。
本发明另一方面提供一种网络设备的认证装置,所述网络设备的认证装置设置在网络设备中,所述网络设备的认证装置包括:
接收模块,用于在网络设备与所述网络设备的上游设备物理连通之后,接收所述上游设备在所述上游设备认证成功之后发送的挑战报文;以及接收所述上游设备发送的认证响应报文,所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备,以供所述证书校验设备对所述网络设备获得的证书进行校验,并在接收到所述证书校验设备发送的所述认证响应报文之后发送的;
发送模块,用于向所述上游设备发送认证请求报文,所述发送模块发送的认证请求报文携带所述网络设备获得的证书;以及当所述接收模块接收的所述认证响应报文中携带认证成功的指示信息时,转发所述网络设备接收到的数据报文。
本发明再一方面提供一种网络设备,包括如上所述的网络设备的认证装置。
本发明又一方面提供一种网络设备的认证***,包括:至少两个相互连接的如上所述的网络设备和证书校验设备。
本发明一方面的技术效果是:网络设备与该网络设备的上游设备物理连通之后,接收上游设备在该上游设备认证成功之后发送的挑战报文,然后网络设备向上游设备发送携带网络设备获得的证书的认证请求报文,并接收上游设备发送的认证响应报文,当认证响应报文中携带认证成功的指示信息时,网络设备转发该网络设备接收到的数据报文;从而可以实现对网络设备的权限进行认证,提高网络安全性,并且本发明通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。
附图说明
图1为本发明网络设备的认证方法一个实施例的流程图;
图2为本发明网络设备的认证方法另一个实施例的流程图;
图3为本发明应用场景一个实施例的示意图;
图4为本发明网络设备的认证装置一个实施例的结构示意图;
图5为本发明网络设备的认证装置另一个实施例的结构示意图;
图6为本发明网络设备的认证***一个实施例的结构示意图。
具体实施方式
图1为本发明网络设备的认证方法一个实施例的流程图,如图1所示,该网络设备的认证方法可以包括:
步骤101,网络设备与网络设备的上游设备物理连通之后,接收该上游设备在该上游设备认证成功之后发送的挑战报文。
步骤102,网络设备向上游设备发送认证请求报文,该网络设备发送的认证请求报文携带该网络设备获得的证书。
步骤103,网络设备接收上游设备发送的认证响应报文,当该认证响应报文中携带认证成功的指示信息时,网络设备转发该网络设备接收到的数据报文。
本实施例中,上述上游设备发送的认证响应报文是上游设备将网络设备获得的证书发送给证书校验设备,以供证书校验设备对网络设备获得的证书进行校验,并在接收到证书校验设备发送的认证响应报文之后发送给网络设备的。
本实施例的一种实现方式中,可以设置网络设备的全局状态的初始值为未认证状态,当全局状态处于未认证状态时,该网络设备只能转发CA类型的报文(例如:认证报文)或地址解析协议(Address Resolution Protocol;以下简称:ARP)报文,其他类型的报文均不能转发;当接收到的认证响应报文中携带认证成功的指示信息时,网络设备将该网络设备的全局状态更改为认证成功状态,这时该网络设备可以转发该网络设备接收到的数据报文,也就是说,认证成功后,该网络设备可以转发该网络设备接收到的所有类型的报文;
本实施例的另一种实现方式中,也可以设置网络设备在认证成功之前,只能转发CA类型的报文(例如:认证报文)或ARP报文,其他类型的报文均不能转发;当接收到的认证响应报文中携带认证成功的指示信息时,网络设备获知自身已认证成功,这时,该网络设备可以转发该网络设备接收到的数据报文,也就是说,认证成功后,该网络设备可以转发该网络设备接收到的所有类型的报文。
本实施例中,上述证书校验设备用于进行证书校验,该证书校验设备可以为网络内部的最上游设备,例如:网关等。
本实施例中,上述挑战报文可以包括CA报文标识位和CA报文类型字段;上述挑战报文中CA报文标识位的值为该挑战报文所采用的封装协议的协议号,上述挑战报文中CA报文类型字段的值为第一预设值,例如:“00”,该第一预设值用于表示报文类型为挑战报文;
上述认证请求报文可以包括CA报文标识位、CA报文类型字段、二三层设备标识字段、媒体接入控制(Media Access Control;以下简称:MAC)/因特网协议(Internet Protocol;以下简称:IP)地址字段和CA证书信息字段;上述认证请求报文中CA报文标识位的值为该认证请求报文所采用的封装协议的协议号;上述认证请求报文中CA报文类型字段的值可以为第二预设值,例如:“01”,该第二预设值用于表示报文类型为认证请求报文;上述认证请求报文中二三层设备标识字段的值用于表示上述网络设备为二层设备或三层设备;当二三层设备标识字段的值表示上述网络设备为二层设备时,MAC/IP地址字段的值为上述网络设备的MAC地址;当二三层设备标识字段的值表示上述网络设备为三层设备时,MAC/IP地址字段的值为上述网络设备的IP地址;上述认证请求报文中的CA证书信息字段携带该网络设备获得的证书。
上述实施例中,网络设备与该网络设备的上游设备物理连通之后,接收上游设备在该上游设备认证成功之后发送的挑战报文,然后网络设备向上游设备发送携带网络设备获得的证书的认证请求报文,并接收上游设备发送的认证响应报文,当认证响应报文中携带认证成功的指示信息时,网络设备转发该网络设备接收到的数据报文;从而可以实现对网络设备的权限进行认证,提高网络安全性,并且本实施例通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。
图2为本发明网络设备的认证方法另一个实施例的流程图,如图2所示,该网络设备的认证方法可以包括:
步骤201,网络设备与网络设备的上游设备物理连通之后,接收该上游设备在该上游设备认证成功之后发送的挑战报文。
本实施例中,网络设备与网络设备的上游设备物理连通之后,如果该上游设备已认证成功,则该上游设备在感知该上游设备中与网络设备连接的端口的状态发生变化,例如:由down变为up之后,向网络设备发送挑战报文;如果该上游设备还未认证成功,则该上游设备在感知该上游设备中与网络设备连接的端口的状态发生变化,例如:由down变为up,并且等待该上游设备认证成功之后,向网络设备发送挑战报文。
其中,上述挑战报文的格式可以如表1所示。
表1
上述挑战报文中,以太网头部字段中目的MAC地址为全F;IP头部字段中目的IP地址为255.255.255.255;CA报文标识位的值为协议号,该协议号为挑战报文所采用的封装协议的协议号;CA报文类型字段的值可以为第一预设值,例如:“00”,该第一预设值用于表示报文类型为挑战报文;二三层设备标识字段的值为“0”时,表示发送该挑战报文的设备为三层设备,二三层设备标识字段的值为“1”时,表示发送该挑战报文的设备为二层设备;TTL字段的值为“1”。
步骤202,网络设备确定该网络设备是否已获得证书。如果是,则执行步骤204;如果网络设备确定该网络设备尚未获得证书,则执行步骤203。
具体地,网络设备可以在该网络设备的闪存(Flash)或硬盘等存储介质中进行查找,如果查找到证书,则确定该网络设备已获得证书,如果未查找到,则可以确定该网络设备尚未获得证书;或者,
网络设备可以在该网络设备的通用串行总线(Universal Serial Bus;以下简称:USB)接口接入U盘或移动硬盘之后,在接入的U盘或移动硬盘中进行查找,如果查找到证书,则确定该网络设备已获得证书,如果未查找到,则可以确定该网络设备尚未获得证书。
以上仅为网络设备确定该网络设备是否已获得证书的几种示例,当然本发明并不仅限于此,本发明对网络设备确定该网络设备是否已获得证书的方式不作限定。
步骤203,网络设备确定该网络设备认证失败。
步骤204,网络设备确定该网络设备是否已认证成功。如果是,则执行步骤205;如果网络设备确定该网络设备还未认证成功,则执行步骤206。
本实施例的一种实现方式中,可以设置网络设备的全局状态的初始值为未认证状态,当全局状态处于未认证状态时,该网络设备只能转发CA类型的报文(例如:认证报文)或ARP报文,其他类型的报文均不能转发;认证成功后,网络设备将该网络设备的全局状态更改为认证成功状态,在认证成功状态下,该网络设备可以转发该网络设备接收到的数据报文。具体地,本步骤中,在确定该网络设备已获得证书之后,该网络设备可以确定该网络设备的全局状态是未认证状态,还是认证成功状态。若全局状态为未认证状态,则网络设备可以确定该网络设备还未认证成功;若全局状态为认证成功状态,则网络设备可以确定该网络设备已认证成功。
本实施例的另一种实现方式中,也可以设置网络设备在认证成功之前,只能转发CA类型的报文(例如:认证报文)或ARP报文,其他类型的报文均不能转发;在认证成功之后,该网络设备可以转发该网络设备接收到的数据报文,也就是说,认证成功后,该网络设备可以转发该网络设备接收到的所有类型的报文。具体地,本步骤中,在确定该网络设备已获得证书之后,该网络设备可以确定该网络设备是否可以转发数据报文,如果该网络设备可以转发数据报文,则该网络设备可以确定该网络设备已认证成功;如果该网络设备不可以转发数据报文,则该网络设备可以确定该网络设备还未认证成功。
这种实现方式中,在具体实现时,网络设备可以通过查询该网络设备与除该网络设备之外的其他网络设备连接的接口接收和发送的数据包数,如果上述接口接收的数据包数不为0,但发送的数据包数为0,这说明该网络设备不可以转发数据报文,进而可以确定该网络设备还未认证成功;如果上述接口接收的数据包数不为0,并且发送的数据包数也不为0,这说明该网络设备已可以转发数据报文,进而可以确定该网络设备已认证成功。
以上仅是网络设备确定该网络设备是否已认证成功的两种示例,本发明并不仅限于此,本发明对网络设备确定该网络设备是否已认证成功的方式不作限定。
步骤205,网络设备转发该网络设备接收到的数据报文。
本实施例中,在网络设备确定该网络设备认证成功之后,网络设备即可转发该网络设备接收到的数据报文。
举例来说,如果网络设备由于连线松动导致网络设备与上游设备断开连接,则将连线插紧之后,该网络设备重新与上游设备物理连通,这时上游设备同样会感知到该上游设备中与网络设备连接的端口的状态发生变化,例如:由down变为up,因此上游设备同样会向网络设备发送挑战报文,但是网络设备接收到该挑战报文后,在确定该网络设备已获得证书且已认证成功之后,网络设备可以直接转发该网络设备接收到的数据报文,不需重复认证。
步骤206,网络设备向上游设备发送认证请求报文。
本实施例中,该网络设备发送的认证请求报文携带网络设备获得的证书,具体地,认证请求报文的格式可以如表2所示。
表2
上述认证请求报文中,以太网头部字段中源MAC地址和目的MAC地址按照正常二层转发封装,本实施例中,该以太网头部字段中的源MAC地址为网络设备的MAC地址,目的MAC地址为上游设备的MAC地址;IP头部字段中源IP地址为网络设备的IP地址,目的IP地址为上游设备的IP地址;CA报文标识位的值为协议号,该协议号为认证请求报文所采用的封装协议的协议号;CA报文类型字段的值可以为第二预设值,例如:“01”,该第二预设值用于表示报文类型为认证请求报文;二三层设备标识字段的值为“0”时,表示发送该认证请求报文的设备,即本实施例中的网络设备为三层设备,二三层设备标识字段的值为“1”时,表示发送该认证请求报文的设备,即本实施例中的网络设备为二层设备;当二三层设备标识字段的值为“0”时,MAC/IP地址字段的值为网络设备的IP地址,当二三层设备标识字段的值为“1”时,MAC/IP地址字段的值为网络设备的MAC地址;CA证书信息字段携带网络设备获得的证书;TTL字段的值为“255”。
步骤207,上游设备接收到网络设备发送的认证请求报文之后,解封装网络设备发送的认证请求报文。
本实施例中,网络设备发送的认证请求报文的外层源地址为网络设备的地址,网络设备发送的认证请求报文的外层目的地址为上游设备的地址;参考表2,网络设备发送的认证请求报文的外层源地址,即IP头部字段中的源IP地址为网络设备的IP地址;网络设备发送的认证请求报文的外层目的地址,即IP头部字段中的目的IP地址为上游设备的IP地址。
步骤208,上游设备将网络设备发送的认证请求报文的外层源地址更改为上游设备的地址,将网络设备发送的认证请求报文的外层目的地址更改为证书校验设备的地址。
参考表2,本步骤中,上游设备将IP头部字段中的源IP地址更改为该上游设备的IP地址,将IP头部字段中的目的IP地址更改为证书校验设备的IP地址。
本实施例中,上述证书校验设备用于进行证书校验,该证书校验设备可以为网络内部的最上游设备,例如:网关等。
步骤209,上游设备将更改上述外层源地址和上述外层目的地址后的认证请求报文发送给证书校验设备。
本实施例中,该上游设备发送的认证请求报文携带网络设备获得的证书。
步骤210,证书校验设备对网络设备获得的证书进行校验。
具体地,证书校验设备在该证书校验设备的证书库中查找与网络设备获得的证书具有相同证书标识的证书;如果查找到,则证书校验设备根据查找到的证书对网络设备获得的证书进行校验;如果在证书校验设备的证书库中未查找到与网络设备获得的证书具有相同证书标识的证书,则证书校验设备向CA中心发送携带上述证书标识的证书下载请求,并在接收到CA中心根据上述证书标识发送的证书之后,根据接收的证书对网络设备获得的证书进行校验。
本实施例中,证书可以包括:证书版本、证书索引、拥有该证书的设备的MAC地址和该设备的责任人等信息,上述证书标识可以为证书包括的信息中可以唯一标识该证书的信息,例如:证书索引。
步骤211,证书校验设备向上游设备发送认证响应报文。
本实施例中,如果证书校验设备确定网络设备获得的证书的加密算法正确,证书内容不是伪造的,且该证书未过期,则证书校验设备发送的认证响应报文中携带认证成功的指示信息;如果证书校验设备确定网络设备获得的证书的加密算法不正确、证书内容为伪造的、该证书已过期或该证书已被吊销,则证书校验设备发送的认证响应报文中携带认证失败的指示信息。
步骤212,上游设备将上述认证响应报文发送给网络设备。
本实施例中,证书校验设备发送的认证响应报文中MAC/IP地址字段的值为网络设备的地址,当网络设备为二层设备时,证书校验设备发送的认证响应报文中MAC/IP地址字段的值为网络设备的MAC地址;当网络设备为三层设备时,证书校验设备发送的认证响应报文中MAC/IP地址字段的值为网络设备的IP地址。
具体地,上游设备可以根据证书校验设备发送的认证响应报文中MAC/IP地址字段的值,将该认证响应报文发送给网络设备。
步骤213,当上述认证响应报文中携带认证成功的指示信息时,网络设备转发该网络设备接收到的数据报文。
上述实施例可以实现对网络设备的权限进行认证,提高网络安全性,并且本实施例通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。
另外,本实施例提供的认证方法与用户无直接联系,不需要由用户自行安装软件,也不需要考虑软件环境的兼容性;并且只有在认证成功之后,网络设备才可以转发该网络设备接收到的数据报文,可以防止私自接入网络设备,以及防止自行扩容网络节点数,从而可以控制整网设备的节点数,防止由此带来的安全隐患,进一步提高网络安全性。另外,证书不容易被伪造,从而也可以提高网络安全性。并且,本实施例中,认证请求报文采用双地址(即IP头部字段和MAC/IP地址字段中均携带网络设备的地址)的方式,避免了未认证前路由未能建立而导致的认证报文转发路径不可达,解决了网络设备认证成功前认证报文的转发问题。
本发明图2所示实施例中,证书校验设备还可以接收CA中心发送的证书吊销报文,该证书吊销报文携带被吊销证书的索引;然后证书校验设备删除该证书校验设备的证书库中具有上述索引的证书,并指示拥有该被吊销证书的设备将自身的状态更改为未认证状态。
另外,证书校验设备还可以接收CA中心发送的证书库更新报文,然后根据该证书库更新报文更新证书校验设备的证书库。
上述证书吊销报文和证书库更新报文的格式可以如表3所示。
表3
表3中,以太网头部字段中源MAC地址和目的MAC地址按照正常二层转发设置,本实施例中,以太网头部字段中源MAC地址可以为CA中心的MAC地址,以太网头部字段中目的MAC地址可以为证书校验设备的MAC地址;IP头部字段中的源IP地址可以为CA中心的IP地址,IP头部字段中的目的IP地址可以为证书校验设备的IP地址;CA报文标识位的值为协议号,该协议号为报文所采用的封装协议的协议号;CA报文类型字段的值为第三预设值,例如:“02”时,表示报文类型为证书吊销报文,CA报文类型字段的值为第四预设值,例如:“03”时,表示报文类型为证书库更新报文;当CA报文类型字段的值为第三预设值时,CA证书信息字段携带被吊销的证书的索引、证书内容和有效期,CA报文类型字段的值为第四预设值时,CA证书信息字段携带更新后的证书的索引、证书内容和有效期;TTL字段的值为“255”。
本发明图1和图2所示实施例提供的方法可以应用在图3所示的应用场景中,图3为本发明应用场景一个实施例的示意图,图3中,CA中心、网关、交换机1(Switch 1;以下简称:SW1)和SW2组成一个网络。SW1连接到网关的物理接口1,SW2连接到网关的物理接口2,SW1和SW2通过网关连接到网络,SW1的USB接口***U盘,SW1可以获得保存在U盘中的CA中心授权的证书,按照本发明图1和图2所示实施例提供的方法进行认证,认证成功后SW1下的网络主机可以访问网络资源;而SW2则通过暴露出的物理接口2私自接入网络,因为没有证书或是证书不合法无法接入网络,从而极大地提高了网络内部安全性。
具体地,图3中,网关为网络的出口,一般为网络内部的最上游设备,这里的网关即为本发明图1和图2所示实施例中的证书校验设备;网关首先会通过网络(例如:因特网(internet))将自己的证书发送到CA中心进行校验,校验通过后,网关的状态变为转发状态;当SW1连接到网关的物理接口1,网关感知到物理接口1的状态发生改变,例如:由down变为up之后,向SW1发送挑战报文,SW1收到挑战报文后,将SW1获得的证书携带在认证请求报文中发送给网关,该认证请求报文的IP头部字段中的源IP地址为SW1的IP地址,目的IP地址为网关的IP地址,并且该认证请求报文的二三层设备标识字段的值为“0”时,MAC/IP地址字段的值为SW1的IP地址,当二三层设备标识字段的值为“1”时,MAC/IP地址字段的值为SW1的MAC地址,相当于该认证请求报文有双层地址。这里的SW1即为本发明图1和图2所示实施例中的网络设备。
网关接收到认证请求报文之后,对SW1获得的证书进行校验,校验通过后则发送携带认证成功的指示信息的认证响应报文给SW1,SW1收到上述认证响应报文后,该SW1的全局状态更改为认证成功状态,并且SW1可以转发该SW1接收到的数据报文。
图3中,网关的物理接口2暴露在外面,SW2被非网管人员或是黑客私自接入物理接口2,由于没有证书或证书不合法,即使物理联通后,SW2仍然无法在网络中进行通信。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图4为本发明网络设备的认证装置一个实施例的结构示意图,本实施例中的网络设备的认证装置设置在网络设备中,可以实现本发明图1所示实施例的流程,如图4所示,该网络设备的认证装置可以包括:接收模块41和发送模块42;
具体地,接收模块41,用于在网络设备与网络设备的上游设备物理连通之后,接收上游设备在该上游设备认证成功之后发送的挑战报文;以及接收上游设备发送的认证响应报文,该上游设备发送的认证响应报文是上游设备将网络设备获得的证书发送给证书校验设备,以供证书校验设备对网络设备获得的证书进行校验,并在接收到证书校验设备发送的认证响应报文之后发送的;
发送模块42,用于向上游设备发送认证请求报文,发送模块42发送的认证请求报文携带网络设备获得的证书;以及当接收模块41接收的认证响应报文中携带认证成功的指示信息时,转发网络设备接收到的数据报文。
本实施例中,证书校验设备用于进行证书校验,该证书校验设备可以为网络内部的最上游设备,例如:网关等。
上述实施例中,网络设备与该网络设备的上游设备物理连通之后,接收模块41接收上游设备在该上游设备认证成功之后发送的挑战报文,然后发送模块42向上游设备发送携带网络设备获得的证书的认证请求报文,并由接收模块41接收上游设备发送的认证响应报文,当认证响应报文中携带认证成功的指示信息时,发送模块42转发网络设备接收到的数据报文;从而可以实现对网络设备的权限进行认证,提高网络安全性,并且上述装置通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。。
图5为本发明网络设备的认证装置另一个实施例的结构示意图,与图4所示的网络设备的认证装置相比,不同之处在于,图5所示的网络设备的认证装置还可以包括:确定模块43;
确定模块43,用于确定网络设备是否已获得证书;
这时,发送模块42,具体用于当确定模块43确定网络设备已获得证书,且网络设备还未认证成功时,向上游设备发送认证请求报文。
发送模块42,还用于当确定模块43确定网络设备已获得证书,且网络设备已认证成功时,转发该网络设备接收到的数据报文。
另外,确定模块43,还用于在确定网络设备尚未获得证书时,确定网络设备认证失败。
进一步地,上述网络设备的认证装置还可以包括:地址转换模块44;
发送模块42,还用于当接收模块41接收的认证响应报文中携带认证成功的指示信息时,在网络设备的下游设备与该网络设备物理连通之后,向网络设备的下游设备发送挑战报文;以及将地址转换模块44更改外层源地址和外层目的地址后的认证请求报文发送给证书校验设备,该认证请求报文携带上述下游设备获得的证书;
接收模块41,还用于接收网络设备的下游设备发送的认证请求报文,解封装该下游设备发送的认证请求报文,该下游设备发送的认证请求报文的外层源地址为下游设备的地址,下游设备发送的认证请求报文的外层目的地址为上述网络设备的地址,该下游设备发送的认证请求报文携带下游设备获得的证书;
地址转换模块44,用于将下游设备发送的认证请求报文的外层源地址更改为网络设备的地址,将下游设备发送的认证请求报文的外层目的地址更改为证书校验设备的地址。
上述网络设备的认证装置可以实现对网络设备的权限进行认证,提高网络安全性,并且上述装置通过网络将网络设备获得的证书发送给证书校验设备进行校验,实现方便,易用性较高。
另外,上述网络设备的认证装置与用户无直接联系,不需要由用户自行安装软件,也不需要考虑软件环境的兼容性;并且只有在认证成功之后,网络设备才可以转发该网络设备接收到的数据报文,可以防止私自接入网络设备,以及防止自行扩容网络节点数,从而可以控制整网设备的节点数,防止由此带来的安全隐患,进一步提高网络安全性。另外,证书不容易被伪造,从而也可以提高网络安全性。
本发明还提供一种网络设备,该网络设备可以通过本发明图4或图5所示实施例提供的网络设备的认证装置实现。
图6为本发明网络设备的认证***一个实施例的结构示意图,如图6所示,该网络设备的认证***可以包括:至少两个相互连接的网络设备61和证书校验设备62。
具体地,网络设备61可以通过本发明图4或图5所示实施例提供的网络设备的认证装置实现;证书校验设备62用于进行证书校验,该证书校验设备62可以为网络内部的最上游设备,例如:网关等。
图6以网络设备的认证***包括两个网络设备61为例示出,分别表示为61A和61B,图6所示的网络设备的认证***中,网络设备61B为网络设备61A的上游设备,网络设备61A、网络设备61B和证书校验设备62可以按照本发明图1或图2所示实施例提供的流程进行交互,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种网络设备的认证方法,其特征在于,包括:
网络设备与所述网络设备的上游设备物理连通之后,接收所述上游设备在所述上游设备认证成功之后发送的挑战报文;
所述网络设备向所述上游设备发送认证请求报文,所述网络设备发送的认证请求报文携带所述网络设备获得的证书;
所述网络设备接收所述上游设备发送的认证响应报文,当所述认证响应报文中携带认证成功的指示信息时,所述网络设备转发所述网络设备接收到的数据报文;所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备,以供所述证书校验设备对所述网络设备获得的证书进行校验,并在接收到所述证书校验设备发送的所述认证响应报文之后发送给所述网络设备的。
2.根据权利要求1所述的方法,其特征在于,所述网络设备向所述上游设备发送认证请求报文之前,还包括:
所述网络设备确定所述网络设备是否已获得证书;
所述网络设备向所述上游设备发送认证请求报文包括:
当所述网络设备确定所述网络设备已获得证书,且所述网络设备还未认证成功时,所述网络设备向所述上游设备发送认证请求报文。
3.根据权利要求2所述的方法,其特征在于,所述网络设备向所述上游设备发送认证请求报文之前,还包括:
当所述网络设备确定所述网络设备已获得证书,且所述网络设备已认证成功时,所述网络设备转发所述网络设备接收到的数据报文。
4.根据权利要求1所述的方法,其特征在于,所述网络设备接收所述上游设备发送的认证响应报文之后,还包括:
当所述认证响应报文中携带认证成功的指示信息时,在所述网络设备的下游设备与所述网络设备物理连通之后,所述网络设备向所述网络设备的下游设备发送挑战报文;
所述网络设备接收所述网络设备的下游设备发送的认证请求报文,解封装所述下游设备发送的认证请求报文,所述下游设备发送的认证请求报文的外层源地址为所述下游设备的地址,所述下游设备发送的认证请求报文的外层目的地址为所述网络设备的地址,所述下游设备发送的认证请求报文携带所述下游设备获得的证书;
所述网络设备将所述下游设备发送的认证请求报文的外层源地址更改为所述网络设备的地址,将所述下游设备发送的认证请求报文的外层目的地址更改为所述证书校验设备的地址;
所述网络设备将更改所述外层源地址和所述外层目的地址后的认证请求报文发送给所述证书校验设备,所述网络设备发送的认证请求报文携带所述下游设备获得的证书。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述挑战报文包括证书授权CA报文标识位和CA报文类型字段;所述挑战报文中CA报文标识位的值为所述挑战报文所采用的封装协议的协议号,所述挑战报文中CA报文类型字段的值为第一预设值,所述第一预设值用于表示报文类型为挑战报文;
所述认证请求报文包括CA报文标识位、CA报文类型字段、二三层设备标识字段、媒体接入控制/因特网协议地址字段和CA证书信息字段;所述认证请求报文中CA报文标识位的值为所述认证请求报文所采用的封装协议的协议号;所述认证请求报文中CA报文类型字段的值可以为第二预设值,所述第二预设值用于表示报文类型为认证请求报文;所述认证请求报文中二三层设备标识字段的值用于表示所述网络设备为二层设备或三层设备;当所述二三层设备标识字段的值表示所述网络设备为二层设备时,所述媒体接入控制/因特网协议地址字段的值为所述网络设备的媒体接入控制地址;当所述二三层设备标识字段的值表示所述网络设备为三层设备时,所述媒体接入控制/因特网协议地址字段的值为所述网络设备的因特网协议地址;所述认证请求报文中的CA证书信息字段携带所述网络设备获得的证书。
6.根据权利要求1-4任意一项所述的方法,其特征在于,所述证书校验设备对所述网络设备获得的证书进行校验包括:
所述证书校验设备在所述证书校验设备的证书库中查找与所述网络设备获得的证书具有相同证书标识的证书;
如果查找到,则所述证书校验设备根据查找到的证书对所述网络设备获得的证书进行校验,并在校验成功后,向所述上游设备发送携带所述认证成功的指示信息的认证响应报文;
如果在所述证书校验设备的证书库中未查找到与所述网络设备获得的证书具有相同证书标识的证书,则所述证书校验设备向证书授权中心发送携带所述证书标识的证书下载请求,并在接收到所述证书授权中心根据所述证书标识发送的证书之后,根据接收的证书对所述网络设备获得的证书进行校验,并在校验成功后,向所述上游设备发送携带所述认证成功的指示信息的认证响应报文。
7.根据权利要求6所述的方法,其特征在于,还包括:
所述证书校验设备接收所述证书授权中心发送的证书吊销报文,所述证书吊销报文携带被吊销证书的索引;
所述证书校验设备删除所述证书校验设备的证书库中具有所述索引的证书,并指示拥有所述被吊销证书的设备将自身的状态更改为未认证状态。
8.根据权利要求7所述的方法,其特征在于,所述证书吊销报文包括CA报文标识位、CA报文类型字段和CA证书信息字段;所述证书吊销报文中CA报文标识位的值为所述证书吊销报文所采用的封装协议的协议号;所述证书吊销报文中CA报文类型字段的值为第三预设值,所述第三预设值用于表示报文类型为证书吊销报文;所述证书吊销报文中的CA证书信息字段携带被吊销的证书的索引。
9.根据权利要求6所述的方法,其特征在于,还包括:
所述证书校验设备接收所述证书授权中心发送的证书库更新报文,根据所述证书库更新报文更新所述证书校验设备的证书库。
10.根据权利要求9所述的方法,其特征在于,所述证书库更新报文包括CA报文标识位、CA报文类型字段和CA证书信息字段;所述证书库更新报文中CA报文标识位的值为所述证书库更新报文所采用的封装协议的协议号;所述证书库更新报文中CA报文类型字段的值为第四预设值,所述第四预设值用于表示报文类型为证书库更新报文;所述证书库更新报文中的CA证书信息字段携带更新后的证书的索引、证书内容和有效期。
11.一种网络设备的认证装置,其特征在于,所述网络设备的认证装置设置在网络设备中,所述网络设备的认证装置包括:
接收模块,用于在网络设备与所述网络设备的上游设备物理连通之后,接收所述上游设备在所述上游设备认证成功之后发送的挑战报文;以及接收所述上游设备发送的认证响应报文,所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备,以供所述证书校验设备对所述网络设备获得的证书进行校验,并在接收到所述证书校验设备发送的所述认证响应报文之后发送的;
发送模块,用于向所述上游设备发送认证请求报文,所述发送模块发送的认证请求报文携带所述网络设备获得的证书;以及当所述接收模块接收的所述认证响应报文中携带认证成功的指示信息时,转发所述网络设备接收到的数据报文。
12.根据权利要求11所述的装置,其特征在于,还包括:确定模块;
所述确定模块,用于确定所述网络设备是否已获得证书;
所述发送模块,具体用于当所述确定模块确定所述网络设备已获得证书,且所述网络设备还未认证成功时,向所述上游设备发送认证请求报文。
13.根据权利要求12所述的装置,其特征在于,
所述发送模块,还用于当所述确定模块确定所述网络设备已获得证书,且所述网络设备已认证成功时,转发所述网络设备接收到的数据报文。
14.根据权利要求11所述的装置,其特征在于,还包括:地址转换模块;
所述发送模块,还用于当所述接收模块接收的所述认证响应报文中携带认证成功的指示信息时,在所述网络设备的下游设备与所述网络设备物理连通之后,向所述网络设备的下游设备发送挑战报文;以及将所述地址转换模块更改所述外层源地址和所述外层目的地址后的认证请求报文发送给所述证书校验设备,所述认证请求报文携带所述下游设备获得的证书;
所述接收模块,还用于接收所述网络设备的下游设备发送的认证请求报文,解封装所述下游设备发送的认证请求报文,所述下游设备发送的认证请求报文的外层源地址为所述下游设备的地址,所述下游设备发送的认证请求报文的外层目的地址为所述网络设备的地址,所述下游设备发送的认证请求报文携带所述下游设备获得的证书;
所述地址转换模块,用于将所述下游设备发送的认证请求报文的外层源地址更改为所述网络设备的地址,将所述下游设备发送的认证请求报文的外层目的地址更改为所述证书校验设备的地址。
15.一种网络设备,其特征在于,包括如权利要求11-14任意一项所述的网络设备的认证装置。
16.一种网络设备的认证***,其特征在于,包括:至少两个相互连接的如权利要求15所述的网络设备和证书校验设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210100152.XA CN102624744B (zh) | 2012-04-06 | 2012-04-06 | 网络设备的认证方法、装置、***和网络设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210100152.XA CN102624744B (zh) | 2012-04-06 | 2012-04-06 | 网络设备的认证方法、装置、***和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102624744A true CN102624744A (zh) | 2012-08-01 |
| CN102624744B CN102624744B (zh) | 2014-09-10 |
Family
ID=46564428
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210100152.XA Active CN102624744B (zh) | 2012-04-06 | 2012-04-06 | 网络设备的认证方法、装置、***和网络设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102624744B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743863A (zh) * | 2014-12-12 | 2016-07-06 | 华为技术有限公司 | 一种对报文进行处理的方法及装置 |
| CN109155915A (zh) * | 2016-05-18 | 2019-01-04 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN109800579A (zh) * | 2018-12-25 | 2019-05-24 | 苏州科达科技股份有限公司 | 一种软件的完整性校验方法、装置及电子设备 |
| CN110324290A (zh) * | 2018-03-30 | 2019-10-11 | 贵州白山云科技股份有限公司 | 网络设备认证的方法、网元设备、介质及计算机设备 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及*** |
| CN111903098A (zh) * | 2018-03-22 | 2020-11-06 | 华为技术有限公司 | 处理报文分片的方法、装置和*** |
| CN112383555A (zh) * | 2020-11-17 | 2021-02-19 | 宏图智能物流股份有限公司 | 一种物流网络中的网络请求有效性验证方法 |
| CN112565182A (zh) * | 2020-10-28 | 2021-03-26 | 锐捷网络股份有限公司 | 数据处理方法、***、电子设备及网关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901448A (zh) * | 2005-07-21 | 2007-01-24 | 华为技术有限公司 | 通信网络中接入认证的***及实现方法 |
| CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及*** |
-
2012
- 2012-04-06 CN CN201210100152.XA patent/CN102624744B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901448A (zh) * | 2005-07-21 | 2007-01-24 | 华为技术有限公司 | 通信网络中接入认证的***及实现方法 |
| CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及*** |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743863A (zh) * | 2014-12-12 | 2016-07-06 | 华为技术有限公司 | 一种对报文进行处理的方法及装置 |
| CN111654464A (zh) * | 2015-12-31 | 2020-09-11 | 华为技术有限公司 | 访问控制方法、认证设备及*** |
| CN109155915A (zh) * | 2016-05-18 | 2019-01-04 | 华为技术有限公司 | 通信方法、网络侧设备和用户设备 |
| CN111903098A (zh) * | 2018-03-22 | 2020-11-06 | 华为技术有限公司 | 处理报文分片的方法、装置和*** |
| CN111903098B (zh) * | 2018-03-22 | 2022-01-28 | 华为技术有限公司 | 处理报文分片的方法、装置和*** |
| US11411892B2 (en) | 2018-03-22 | 2022-08-09 | Huawei Technologies Co., Ltd. | Packet fragment processing method and apparatus and system |
| CN110324290A (zh) * | 2018-03-30 | 2019-10-11 | 贵州白山云科技股份有限公司 | 网络设备认证的方法、网元设备、介质及计算机设备 |
| CN109800579A (zh) * | 2018-12-25 | 2019-05-24 | 苏州科达科技股份有限公司 | 一种软件的完整性校验方法、装置及电子设备 |
| CN112565182A (zh) * | 2020-10-28 | 2021-03-26 | 锐捷网络股份有限公司 | 数据处理方法、***、电子设备及网关设备 |
| CN112565182B (zh) * | 2020-10-28 | 2023-06-27 | 锐捷网络股份有限公司 | 数据处理方法、***、电子设备及网关设备 |
| CN112383555A (zh) * | 2020-11-17 | 2021-02-19 | 宏图智能物流股份有限公司 | 一种物流网络中的网络请求有效性验证方法 |
| CN112383555B (zh) * | 2020-11-17 | 2022-06-03 | 宏图智能物流股份有限公司 | 一种物流网络中的网络请求有效性验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102624744B (zh) | 2014-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102624744A (zh) | 网络设备的认证方法、装置、***和网络设备 | |
| JP6684930B2 (ja) | ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム | |
| KR100739781B1 (ko) | 무선 디바이스 그룹 별로 메시지를 전송하는 방법 및 장치 | |
| US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
| CN101123811B (zh) | 管理和wpa-psk无线网络连接的站的设备和方法 | |
| JP5641618B2 (ja) | アクセス権を設定するための方法、制御点、装置、および通信システム | |
| WO2018177143A1 (zh) | 一种身份认证的方法、***及服务器和终端 | |
| KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CN101605137A (zh) | 安全分布式文件*** | |
| JP2006115502A (ja) | ポータブルセキュリティトークン使用型認証機関間相互認証方法及び装置 | |
| JP2004274193A (ja) | 無線通信システム、端末、その端末における処理方法並びにその方法を端末に実行させるためのプログラム | |
| CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| KR20160127167A (ko) | 다중 팩터 인증 기관 | |
| CN103190130A (zh) | 用于向设备提供秘密值的注册服务器、网关装置和方法 | |
| TW200534653A (en) | Communication system using TCP/IP protocols | |
| JP4245972B2 (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
| JP2006065660A (ja) | 端末機器、情報配信サーバ、および情報配信方法 | |
| US20030188012A1 (en) | Access control system and method for a networked computer system | |
| CN103916404A (zh) | 一种数据管理方法和*** | |
| JPWO2014207929A1 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| JP2006025010A (ja) | 通信システム及びサービス提供方法並びにコンピュータプログラム | |
| KR101816582B1 (ko) | 차량 및 그 제어방법 | |
| WO2021039676A1 (ja) | 無線通信システム、無線通信方法および無線通信プログラムを格納した非一時的なコンピュータ可読媒体 | |
| WO2018172776A1 (en) | Secure transfer of data between internet of things devices | |
| JP5282795B2 (ja) | 情報通信システム、情報処理方法、ノード装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |