CN106375301B - 一种网络设备认证方法及认证设备 - Google Patents

Abstract

本发明公开了一种网络设备认证方法及认证设备。所述方法包括：认证设备采集网络设备的特征信息，生成特征值组A；认证设备将所述特征值组A中的特征值按优先级依次与特征值组B中对应的特征值进行对比；所述特征值组B为预先存储的所述网络设备的特征值组；当对比出所述特征值组A中的特征值与所述特征值组B中对应的特征值不一致时，判定所述网络设备为非法设备；当所述特征值组A中的特征值与所述特征值组B中对应的特征值均一致时，判定所述网络设备为合法设备。

Description

一种网络设备认证方法及认证设备

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络设备认证方法及认证设备。

背景技术

社会信息化的速度不断加快，越来越多的网络设备需要接入到网络中才可以进行通信，而网络设备的合法性认证成了网络安全的一大隐患。现有技术中，保证合法设备接入网络的认证机制，通常是基于本地信息的鉴权机制：即通过绑定互联网协议(InternetProtocol,IP)地址和介质访问控制(Media Access Control,MAC)地址的认证机制或通过安装配套使用的软件并做相应配置来对网络设备进行鉴权的认证机制。

通过绑定IP地址和MAC地址的认证机制虽然认证简单方便，但是由于非法设备容易通过仿冒合法设备的IP地址和MAC地址接入合法设备网络环境，从而不能安全有效地保障网络设备的合法性。而通过安装配套使用的软件或硬件并做相应配置的认证机制虽然安全性有所提高，但是这种认证机制的模式固定，不具有普遍性，且兼容性较差。

发明内容

为解决上述问题，本发明第一方面提供一种网络设备认证方法，用于实现单向网络设备认证，所述方法包括：

认证设备采集网络设备的特征信息，生成特征值组A；

认证设备将所述特征值组A中的特征值按优先级依次与特征值组B中对应的特征值进行对比；所述特征值组B为预先存储的所述网络设备的特征值组；

当对比出所述特征值组A中的特征值与所述特征值组B中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A中的特征值与所述特征值组B中对应的特征值均一致时，判定所述网络设备为合法设备。

进一步地，所述特征信息包括IP地址、MAC地址、时钟偏差、时钟频率和设备名。

进一步地，所述认证设备采集所述网络设备的IP地址的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备带有IP地址的数据包，获得所述网络设备的IP地址。

进一步地，所述认证设备采集所述网络设备的MAC地址的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备带有MAC地址的数据包，获得所述网络设备的MAC地址

进一步地，所述认证设备采集所述网络设备的设备名的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备的版本

信息，获取所述网络设备的设备名。

进一步地，所述认证设备采集所述网络设备的时钟频率的方法为:

步骤s1:所述认证设备至少两次采集网络设备的数据包，提取各个数据包的时间戳值；

步骤s2:计算从最后一次采集的数据包中提取的时间戳值与从第一次采集的数据包中提取的时间戳值的差值，将所述差值除以时间间隔得到一个商值，所述间隔时间为最后一次采集的数据包与第一次采集的数据包之间的时间；

步骤s3:多次重复步骤s1～步骤s2，得到多个商值，将所述多个商值取平均得到所述网络设备的时钟频率。

进一步地，所述认证设备获得新的特征值并存入特征值组B中，获得特征值组B'；

所述认证设备获取与所述网络设备的特征值组B'中对应的特征值，获得特征值组A'；

所述认证设备将所述特征值组A'中的特征值按优先级依次与特征值组B'中的特征值进行对比；

当对比出所述特征值组A'中的特征值与所述特征值组B'中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A'中的特征值与所述特征值组B'中对应的特征值均一致时，判定所述网络设备为合法设备。

进一步地，所述认证设备获取与所述网络设备的特征值组B中对应的特征值，获得特征值组A；

所述认证设备将所述特征值组A中的特征值按优先级依次与特征值组B中的特征值进行对比；

当对比出所述特征值组A中的特征值与所述特征值组B中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A中的特征值与所述特征值组B中对应的特征值均一致时，判定所述网络设备为合法设备。

本发明的第二方面提供一种网络设备双向认证方法，其特征在于，所述方法包括：

第一认证设备提取第二认证设备的特征信息，获得特征值组A1，所述第二认证设备提取所述第一认证设备的特征信息，获得特征值组B1；

所述第一认证设备将所述特征值组A1中的特征值按优先级依次与所述特征值组A中的特征值进行对比,所述特征值组A为预先存储的所述第二认证设备的特征值组；当对比出所述特征值组A1中的特征值与所述特征值组B1中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A1中的特征值与所述特征值组B1中对应的特征值均一致时，判定所述网络设备为合法设备；

所述第二认证设备将所述特征值组B1中的特征值按优先级依次与所述特征值组B中的特征值进行对比,所述特征值组B为预先存储的所述第一认证设备的特征值组，当对比出所述特征值组B1中的特征值与所述特征值组A1中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组B1中的特征值与所述特征值组A1中对应的特征值均一致时，判定所述网络设备为合法设备。

本发明的第三方面提供一种认证设备，其特征在于，包括：

采集模块，用于采集网络设备的特征信息，并生成特征值组A；

对比模块，用于将所述特征值组A中的特征值与特征值组B中的特征值进行对比，所述特征值组B为所述采集模块事先存储的所述网络设备的特征值组。

有益效果

本发明所提供的一种网络设备认证方法，通过预先提取并保存网络设备中固有的特征值组B，在该网络设备接入网络中时，再次提取其特征值组A，将特征值组A中的特征值按优先级与特征值组B中的特征值进行对比，当对比出特征值不一致时，则可判定该网络设备为非法设备；只有当征值组A中的特征值与特征值组B中的特征值均一致时，才可判定该网络设备为合法设备；因此只有同一设备接入到网络中，通过提取其固有的特征值组A再与事先已经存储的固有特征组B进行对比，该网络设备就可以通过认证。

由此可以看出，本发明所提供的网络设备认证方法有效地降低了误判率从而很好地保证了网络的安全，且本发明对网络设备没有硬件或软件要求，故而使用该方法也非常方便；

再者本发明的认证设备随时获取网络设备新的特征值，再存入已有特征值组中，在网络设备进行认证时，认证设备对应地采集网络设备的特征信息，获取与之更新的特征值组，也就是说对比的特征值增多了，则网络设备的可信度提高，进一步降低误判率从而更好地保证网络的安全。

附图说明

图1为本发明提供的一种提取网络设备认证方法的流程图。

图2为本发明提供的一种网络设备结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明提供的一种网络设备认证方法流程图如图1所示，用于单向设备认证，所述方法包括：

认证设备采集网络设备的特征信息，生成特征值组A；

具体地，认证设备采集网络设备的特征信息包括：该网络设备的IP地址、媒体访问控制地址(Media Access Contro，MAC)地址、时钟偏差、时钟频率和设备名。

进一步地，认证设备采集网络设备的IP地址的方法为：

当在局域网时，认证设备采集网络设备发出的地址解析协议数据包，直接读取所述数据包中的IP地址。

不在局域网时，认证设备通过设备扫描工具直接扫描所述网络设备带有IP地址的数据包，获得所述网络设备的IP地址。

进一步地，认证设备采集网络设备的MAC地址的方法为：

当在局域网时，认证设备监测到网络设备接入到网络中时，认证设备向网络设备发送网络报文(地址解析协议认证数据包)，待网络设备返回网络设备的网络报文(地址解析协议认证数据包)后，认证设备解析接收到的数据包，提取MAC地址。

不在局域网时，认证设备通过设备扫描工具直接扫描所述网络设备带有MAC地址的数据包，获得所述网络设备的MAC地址

进一步地，所述认证设备采集所述网络设备的设备名的方法为：

认证设备通过其设备扫描软件工具(如：nmap)直接扫描网络设备的版本信息，获取该网络设备的设备名。

具体地，认证设备采集网络设备的时钟频率的方法为:

步骤s1:认证设备至少两次采集网络设备带有时间戳值的数据包提取各个带有时间戳值数据包的时间戳值；

步骤s2:计算从最后一次采集带有时间戳值的数据包中提取的时间戳值与从第一次采集带有时间戳值的数据包中提取的时间戳值的差值，再除以采集次数得到一个商值；

步骤s3:多次重复步骤s1～步骤s2，得到多个商值，将多个商值取平均得到所述网络设备的时钟频率。

进一步地，认证设备采集网络设备的时钟偏差的方法为:

认证设备按预置时间间隔Δt向网络设备发送n个带有时间戳值的数据包；接收所述网络设备发送的n个带有时间戳值的数据包响应，并依次记录接收到n个带有时间戳值的数据包响应的时间值，得到第一时间值序列，记为Ti，i＝1，2，…，n；

将n个带有时间戳值的数据包响应的时间戳值依次进行处理，得到第二时间值序列，记为T'i，，i＝1，2，…，n；

测量每一个所述带有时间戳值的数据包响应中的时间戳值，将每一个数据包中的时间戳值除以对应数据包中的***时钟频率得到第二时间值序列，记为T'i，，i＝1，2，…，n；

***时钟频率通过接收到的两个带有时间戳值的数据包响应中的时间戳值作差得到差值，再将该差值除以上述两个带有时间戳值的数据包响应的时间间隔得到。

将第一时间值序列与第二时间值序列进行处理，得到所述网络设备的时钟偏差。

特别地，可以通过以下两种处理方法得到：

方法一：对第一时间值序列Ti与第二时间值序列T'i中分别按从前到后顺序进行异常值判断；其中，判断的方法可以为:由于是依次记录的时间值，则第一时间值序列中的时间值应该为成比例递增的，若某一个时间值明显偏离这种递增趋势的则为异常值，同理，第二时间值序列的异常值判断方法也一致；

当首次判断出第一时间值序列Ti与第二时间值序列T'i中同一次序的两个时间值均不为异常值时，记录第一时间值序列中次序的时间值，记为第一时间值，记录第二时间值序列中次序的时间值，记为第二时间值；

例如，首次判断出第一时间值序列Ti中第二个时间值T2与第二时间值序列T'i中第二个时间值T'2均不为异常值时，记录T2为第一时间值，T'2为第二时间值。

从第一时间值序列中第一时间值T2的后一个时间值T3起依次与第一时间值T2作差，得到第一差值序列Ri，具体地，

Ri＝T(i+2)-T2，i＝3,4,…,n-2，

再获取各个时间值与第一时间值之间的时间间隔，得到第一时间间隔序列，具体地，如以下公式：

Mi＝i*Δt，i＝1,2,…,n-2；

从第二时间值序列中第二时间值T'2的后一个时间值T'3起依次与第二时间值T'2作差，得到第二差值序列R'i，具体地，

R'i＝T'(i+2)-T'2，i＝1,2,…,n-2；

将第一差值序列Ri与第二差值序列R'i依次对应作差，得到第三差值序列Ei；具体地，Ei＝Ri-R'i，i＝1,2,…,n-2；

将第三差值序列Ei中的异常值消除，得到第四差值序列E'i，i＝1,2,…,n-1；具体地，将第三差值序列Ei基于拉依达准则或格拉布斯准则消除第三差值序列Ei中的异常值后得到第四差值序列E'i，并消除第一时间间隔序列中与第三差值序列中的异常值相同位置处的时间间隔值，得到第二时间间隔序列；

将第四差值序列E'i与第二时间间隔序列进行线性回归得到网络设备的时钟偏差；其中，进行线性回归的方法可以为以简单最小二乘法、加权最小二乘法、一般最小二乘法中的一种。

方法二：

对第一时间值序列Ti与第二时间值序列T'i中分别按从后到前顺序进行异常值判断；其中，判断的方法可以为:由于是依次记录的时间值，则第一时间值序列中的时间值应该为成比例递增的，若某一个时间值明显偏离这种递增趋势的则为异常值，同理，第二时间值序列的异常值判断方法也一致；

当首次判断出第一时间值序列Ti与第二时间值序列T'i中同一次序的两个时间值均不为异常值时，记录第一时间值序列中次序的时间值，记为第三时间值，记录所述第二时间值序列中次序的时间值，记为第四时间值；

例如，首次判断出第一时间值序列Ti中倒数第二个时间值T(n-1)与第二时间值序列T'i中倒数第二个时间值T'(n-1)均不为异常值时，记录T(n-1)为第三时间值，T'(n-1)为第四时间值。

将第一时间值序列中第三时间值T(n-1)与第三时间值T(n-1)前的时间值依次作差，得到第五差值序列Ni；具体地，Ni＝T(n-1)-Ti，i＝1,2,…,n-2，

再获取各个时间值与第一时间值之间的时间间隔，得到第三时间间隔序列，具体地，如以下公式：

M'i＝(n-i)*Δt，i＝1,2,…,n-2；

将第二时间值序列中第四时间值T'(n-1)与第四时间值T'(n-1)前的时间值依次作差，得到第六差值序列N'i；具体地，N'i＝T'(n-1)-T'i，i＝1,2,…,n-2；

将第五差值序列Ni与第六差值序列N'i依次对应作差，得到第七差值序列Di；具体地，Di＝Ni-N'i，i＝1,2,…,n-2；

将第七差值序列Di中的异常值消除，得到第八差值序列D'i，i＝1,2,…,n-1；具体地，将第七差值序列Di基于拉依达准则或格拉布斯准则消除第七差值序列Di中的异常值后得到第八差值序列D'i

同时消除第三时间间隔序列中与第七差值序列中的异常值相同位置处的时间间隔值，得到第四时间间隔序列；

将第八差值序列D'i与第四时间间隔序列进行线性回归得到网络设备的时钟偏差；其中，进行线性回归的方法可以为以简单最小二乘法、加权最小二乘法、一般最小二乘法中的一种。

认证设备可将上述采集到的特征信息直接作为特征值组成特征值组A，或者将上述采集到的特征信息通过哈希算法一一生成特征值组成特征值组A；

认证设备将特征值组A中的特征值按优先级顺序与特征值组B中的特征值进行对比；特征值组B为预先存储的所述网络设备的特征值组，特征值组B具体生成过程与上述一样；

具体地，如上所述，特征值组A中的特征值包括IP地址、MAC地址、时钟偏差、时钟频率和设备名，将这些特征值按优先级做成一个类似决策树的表格，按照表格从上到下的方向依次与特征值组B中对应的特征值进行对比，当对比到相应的特征值不一致时，则可判定该网络设备为非法设备，此时就不需要再进行判定了；

当特征值组A中的特征值与所述特征值组B中的特征值均一致时，则可判定该网络设备为合法设备，认证设备发出网络设备通过认证的信号，则该网络设备即可接入到网络中。

很显然，该认证设备只需要事先一次存储网络设备的特征值组B，再之后的网络设备多次认证都采集与特征值组B对应的特征信息，再按照上述方法生成特征值组A，将特征值组A中的所有特征值与特征值组B中的所有特征值按优先级依次进行对比，若所有特征值都一致，则是合法设备，即可通过认证从而安全的接入到网络中，若对比到特征值不一致时，比如：IP地址作为首要对比的特征值，当对比出来不一致时，则接入的网络设备是非法设备。

特别地，由于网络技术的更新，认证设备可采集到网络设备新的特征值，则认证认证设备获得新的特征值并存入事先存储的特征值组B中，获得特征值组B'；

此时可以通过以下两种方式对网络设备进行认证：

方式一：认证设备获取与网络设备的特征值组B中对应的特征值，获得特征值组A；

认证设备将特征值组A中的特征值与特征值组B中的特征值按优先级依次进行对比，当对比到相应的特征值不一致时，则可判定该网络设备为非法设备，此时就不需要再进行判定了；

当特征值组A中的特征值与特征值组B中的特征值均一致时，则可判定该网络设备为合法设备，认证设备发出网络设备通过认证的信号，则该网络设备即可接入到网络中。

方式二：当网络设备接入网络中时，认证设备可获取与网络设备的特征值组B'中对应的特征值，获得特征值组A'；

此时，认证设备将特征值组A'中的特征值与特征值组B'中的特征值进行对比，当对比到相应的特征值不一致时，则可判定该网络设备为非法设备，此时就不需要再进行判定了；

当特征值组A'中的特征值与特征值组B'中的特征值均一致时，则可判定该网络设备为合法设备，认证设备发出该网络设备通过认证的信号，则该网络设备即可接入到网络中。

很显然，方式二由于增加了新的特征值，即进一步增加了新的对比项，则网络设备的可信度进一步提升，则该方式也进一步地降低误判率，从而更好地保证网络的安全。

本发明的第二方面提供一种网络设备双向认证方法，包括：

第一认证设备提取第二认证设备的特征信息，获得特征值组A1，第二认证设备提取第一认证设备的特征信息，获得特征值组B1；

第一认证设备将特征值组A1中的特征值与所述特征值组A中的特征值进行对比,特征值组A为预先存储的所述第二认证设备的特征值组；当对比到相应的特征值不一致时，则可判定该网络设备为非法设备，此时就不需要再进行判定了；

当特征值组A1中的特征值与所述特征值组A中的特征值一致时，则可判定该网络设备为合法设备，同时第一认证设备发出所述第二认证设备通过认证的信号；

第二认证设备将所述特征值组B1中的特征值与特征值组B中的特征值进行对比,特征值组B为预先存储的所述第一认证设备的特征值组，当对比到相应的特征值不一致时，则可判定该网络设备为非法设备，此时就不需要再进行判定了；

当特征值组B1中的特征值与所述特征值组B中的特征值一致时，则可判定该网络设备为合法设备，同时第二认证设备发出第一认证设备通过认证的信号，则该第一认证设备与第二认证设备即可接入到网络中。

需要指出的是，双向网络设备认证中第一认证设备获取第二认证设备特征信息和第二认证设备获取第一认证设备特征信息的方法跟单向认证时认证设备获取特征信息的方法一致，特征信息也可为上述包含的特征信息(IP地址、媒体访问控制地址(MediaAccess Contro，MAC)地址、时钟偏差、时钟频率和设备名。)同样该特征信息可直接作为特征值，构成特征值组、也可通过哈希算法生成哈希算法值，再构成特征值组，这里不再赘述。

需要指出的是，双向设备认证中，只要有一方认证设备是非法设备，则该双方认证设备均认证不成功，这对于网络安全性要求高的网络(例如：银行网络、公安网络)来说是非常必要的。

更进一步地，无论是网络设备单向认证还是双向认证，当网络设备接入到网络中时，若认证设备已经判断出有任一项特征值不一致时，则认证设备无需再对比其他特征值项，即可判断该网络设备为非法设备。

与方法实施例相对应，本发明的第三方面提供一种认证设备，如图2所示，可以包括：

采集模块201，用于采集网络设备的特征信息，并生成特征值组A；

对比模块202，用于将所述特征值组A中的特征值与特征值组B中的特征值进行对比，所述特征值组B为所述采集模块事先存储的所述网络设备的特征值组。

具体地，当在局域网时，采集模块201采集网络设备发出的地址解析协议数据包，直接读取所述数据包中的IP地址。

采集模块201采集网络设备的MAC地址的方法为：

当在局域网时，采集模块201监测到网络设备接入到网络中时，采集模块201向网络设备发送网络报文(地址解析协议认证数据包)，待网络设备返回网络设备的网络报文(地址解析协议认证数据包)后，采集模块201解析接收到的数据包，提取MAC地址。

采集模块201采集所述网络设备的设备名的方法为：

采集模块201通过其设备扫描软件工具(如：nmap)直接扫描网络设备的版本信息，获取该网络设备的设备名。

采集模块201采集网络设备的时钟频率的方法为:

步骤s1:采集模块201至少两次采集网络设备带有时间戳值的数据包提取各个带有时间戳值数据包的时间戳值；

步骤s2:采集模块201将最后一次采集带有时间戳值的数据包中提取的时间戳值与从第一次采集带有时间戳值的数据包中提取的时间戳值作差得到时间差值，再除以这两个间隔时间得到一个商值，其中时间间隔为最后一次采集的数据包与第一次采集的数据包之间的时间；

步骤s3:采集模块201多次重复步骤s1～步骤s2，得到多个商值，将多个商值取平均得到所述网络设备的时钟频率。

采集模块201采集网络设备的时钟偏差的方法为:

采集模块201按预置时间间隔Δt向网络设备发送n个带有时间戳值的数据包；接收所述网络设备发送的n个带有时间戳值的数据包响应，并依次记录接收到n个带有时间戳值的数据包响应的时间值，得到第一时间值序列，记为Ti，i＝1，2，…，n；

将n个带有时间戳值的数据包响应的时间戳值依次进行处理，得到第二时间值序列，记为T'i，，i＝1，2，…，n；

测量每一个所述带有时间戳值的数据包响应中的时间戳值，将每一个数据包中的时间戳值除以对应数据包中的***时钟频率得到第二时间值序列，记为T'i，，i＝1，2，…，n；

***时钟频率通过接收到的两个带有时间戳值的数据包响应中的时间戳值作差得到差值，再将该差值除以上述两个带有时间戳值的数据包响应的时间间隔得到。

将第一时间值序列与第二时间值序列进行处理，得到所述网络设备的时钟偏差。

特别地，可以通过以下两种处理方法得到：

方法一：对第一时间值序列Ti与第二时间值序列T'i中分别按从前到后顺序进行异常值判断；其中，判断的方法可以为:由于是依次记录的时间值，则第一时间值序列中的时间值应该为成比例递增的，若某一个时间值明显偏离这种递增趋势的则为异常值，同理，第二时间值序列的异常值判断方法也一致；

当首次判断出第一时间值序列Ti与第二时间值序列T'i中同一次序的两个时间值均不为异常值时，记录第一时间值序列中次序的时间值，记为第一时间值，记录第二时间值序列中次序的时间值，记为第二时间值；

例如，首次判断出第一时间值序列Ti中第二个时间值T2与第二时间值序列T'i中第二个时间值T'2均不为异常值时，记录T2为第一时间值，T'2为第二时间值。

从第一时间值序列中第一时间值T2的后一个时间值T3起依次与第一时间值T2作差，得到第一差值序列Ri，具体地，

Ri＝T(i+2)-T2，i＝1,2,…,n-2，

再获取各个时间值与第一时间值之间的时间间隔，得到第一时间间隔序列，具体地，如以下公式：

Mi＝i*Δt，i＝1,2,…,n-2；

从第二时间值序列中第二时间值T'2的后一个时间值T'3起依次与第二时间值T'2作差，得到第二差值序列R'i，具体地，

R'i＝T'(i+2)-T'2，i＝1,2,…,n-2；

将第一差值序列Ri与第二差值序列R'i依次对应作差，得到第三差值序列Ei；具体地，Ei＝Ri-R'i，i＝1,2,…,n-2；

将第三差值序列Ei中的异常值消除，得到第四差值序列E'i，i＝1,2,…,n-1；具体地，将第三差值序列Ei基于拉依达准则或格拉布斯准则消除第三差值序列Ei中的异常值后得到第四差值序列E'i，并消除第一时间间隔序列中与第三差值序列中的异常值相同位置处的时间间隔值，得到第二时间间隔序列；

将第四差值序列E'i与第二时间间隔序列进行线性回归得到网络设备的时钟偏差；其中，进行线性回归的方法可以为以简单最小二乘法、加权最小二乘法、一般最小二乘法中的一种。

方法二：

对第一时间值序列Ti与第二时间值序列T'i中分别按从后到前顺序进行异常值判断；其中，判断的方法可以为:由于是依次记录的时间值，则第一时间值序列中的时间值应该为成比例递增的，若某一个时间值明显偏离这种递增趋势的则为异常值，同理，第二时间值序列的异常值判断方法也一致；

当首次判断出第一时间值序列Ti与第二时间值序列T'i中同一次序的两个时间值均不为异常值时，记录第一时间值序列中次序的时间值，记为第三时间值，记录所述第二时间值序列中次序的时间值，记为第四时间值；

例如，首次判断出第一时间值序列Ti中倒数第二个时间值T(n-1)与第二时间值序列T'i中倒数第二个时间值T'(n-1)均不为异常值时，记录T(n-1)为第三时间值，T'(n-1)为第四时间值。

将第一时间值序列中第三时间值T(n-1)与第三时间值T(n-1)前的时间值依次作差，得到第五差值序列Ni；具体地，Ni＝T(n-1)-Ti，i＝1,2,…,n-2，

再获取各个时间值与第一时间值之间的时间间隔，得到第三时间间隔序列，具体地，如以下公式：

M'i＝(n-i)*Δt，i＝1,2,…,n-2；

将第二时间值序列中第四时间值T'(n-1)与第四时间值T'(n-1)前的时间值依次作差，得到第六差值序列N'i；具体地，N'i＝T'(n-1)-T'i，i＝1,2,…,n-2；

将第五差值序列Ni与第六差值序列N'i依次对应作差，得到第七差值序列Di；具体地，Di＝Ni-N'i，i＝1,2,…,n-2；

将第七差值序列Di中的异常值消除，得到第八差值序列D'i，i＝1,2,…,n-1；具体地，将第七差值序列Di基于拉依达准则或格拉布斯准则消除第七差值序列Di中的异常值后得到第八差值序列D'i

同时消除第三时间间隔序列中与第七差值序列中的异常值相同位置处的时间间隔值，得到第四时间间隔序列；

将第八差值序列D'i与第四时间间隔序列进行线性回归得到网络设备的时钟偏差；其中，进行线性回归的方法可以为以简单最小二乘法、加权最小二乘法、一般最小二乘法中的一种。

采集模块201可将上述采集到的特征信息直接作为特征值组成特征值组A，或者将上述采集到的特征信息通过哈希算法一一生成特征值组成特征值组A；

对比模块202将特征值组A中的特征值与特征值组B中的特征值进行一一对比；特征值组B为预先存储的所述网络设备的特征值组；(特征值组B具体生成过程与上述一样)；

当特征值组A中的特征值与所述特征值组B中的特征值均一致时，对比模块202发出所述网络设备通过认证的信号，则该网络设备即可接入到网络中。

以上对本发明所提供的一种网络设备认证方法及认证设备进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (9)

1.一种网络设备认证方法，其特征在于，所述方法包括：

认证设备采集网络设备的特征信息，生成特征值组A；

认证设备将所述特征值组A中的特征值按优先级依次与特征值组B中对应的特征值进行对比；所述特征值组B为预先存储的所述网络设备的特征值组；

当对比出所述特征值组A中的特征值与所述特征值组B中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A中的特征值与所述特征值组B中对应的特征值均一致时，判定所述网络设备为合法设备；

其中，所述特征信息包括IP地址、MAC地址、时钟偏差、时钟频率和设备名，所述认证设备采集的网络设备的特征信息包括时钟偏差；

所述认证设备采集所述时钟偏差的方法包括：

按预置时间间隔向网络设备发送n个带有时间戳值的数据包；

接收所述网络设备发送的n个带有时间戳值的数据包响应，并依次记录接收到所述n个带有时间戳值的数据包响应的时间值，得到第一时间值序列Ti，i＝1，2，…，n；

将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理，得到第二时间值序列T'i，i＝1，2，…，n；

将所述第一时间值序列Ti与所述第二时间值序列T'i进行处理，得到所述网络设备的时钟偏差；

其中，将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理的方法为：

获取每一个所述带有时间戳值的数据包响应中的时间戳值；

对应每一个所述带有时间戳值的数据包响应，将该数据包中的时间戳值除以***时钟频率得到第二时间值序列T'i。

2.根据权利要求1所述的网络设备认证方法，其特征在于，所述认证设备采集所述网络设备的IP地址的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备带有IP地址的数据包，获得所述网络设备的IP地址。

3.根据权利要求1所述的网络设备认证方法，其特征在于，所述认证设备采集所述网络设备的MAC地址的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备带有MAC地址的数据包，获得所述网络设备的MAC地址。

4.根据权利要求1所述的网络设备认证方法，其特征在于，所述认证设备采集所述网络设备的设备名的方法为：

所述认证设备通过设备扫描工具直接扫描所述网络设备的版本信息，获取所述网络设备的设备名。

5.根据权利要求1所述的网络设备认证方法，其特征在于，所述认证设备采集所述网络设备的时钟频率的方法为:

步骤s1:所述认证设备至少两次采集网络设备的数据包，提取各个数据包的时间戳值；

步骤s2:计算从最后一次采集的数据包中提取的时间戳值与从第一次采集的数据包中提取的时间戳值的差值，将所述差值除以时间间隔得到一个商值，所述间隔时间为最后一次采集的数据包与第一次采集的数据包之间的时间；

步骤s3:多次重复步骤s1～步骤s2，得到多个商值，将所述多个商值取平均得到所述网络设备的时钟频率。

6.根据权利要求1所述的网络设备认证方法，其特征在于，所述认证设备获得新的特征值并存入特征值组B中，获得特征值组B'；

所述认证设备获取与所述网络设备的特征值组B'中对应的特征值，获得特征值组A'；

所述认证设备将所述特征值组A'中的特征值按优先级依次与特征值组B'中的特征值进行对比；

当对比出所述特征值组A'中的特征值与所述特征值组B'中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A'中的特征值与所述特征值组B'中对应的特征值均一致时，判定所述网络设备为合法设备。

7.根据权利要求6所述的网络设备认证方法，其特征在于，所述认证设备获取与所述网络设备的特征值组B中对应的特征值，获得特征值组A；

所述认证设备将所述特征值组A中的特征值按优先级依次与特征值组B中的特征值进行对比；

当对比出所述特征值组A中的特征值与所述特征值组B中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A中的特征值与所述特征值组B中对应的特征值均一致时，判定所述网络设备为合法设备。

8.一种网络设备双向认证方法，其特征在于，所述方法包括：

第一认证设备提取第二认证设备的特征信息，获得特征值组A1，所述第二认证设备提取所述第一认证设备的特征信息，获得特征值组B1；

所述第一认证设备将所述特征值组A1中的特征值按优先级依次与所述特征值组A中的特征值进行对比,所述特征值组A为预先存储的所述第二认证设备的特征值组；当对比出所述特征值组A1中的特征值与所述特征值组B1中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组A1中的特征值与所述特征值组B1中对应的特征值均一致时，判定所述网络设备为合法设备；

所述第二认证设备将所述特征值组B1中的特征值按优先级依次与所述特征值组B中的特征值进行对比,所述特征值组B为预先存储的所述第一认证设备的特征值组，当对比出所述特征值组B1中的特征值与所述特征值组A1中对应的特征值不一致时，判定所述网络设备为非法设备；

当所述特征值组B1中的特征值与所述特征值组A1中对应的特征值均一致时，判定所述网络设备为合法设备；

其中，所述特征信息包括IP地址、MAC地址、时钟偏差、时钟频率和设备名，所述特征信息包括时钟偏差；

第一认证设备提取第二认证设备的时钟偏差的方法包括：

按预置时间间隔向第二认证设备发送n个带有时间戳值的数据包；

接收所述第二认证设备发送的n个带有时间戳值的数据包响应，并依次记录接收到所述n个带有时间戳值的数据包响应的时间值，得到第一时间值序列Ti，i＝1，2，…，n；

将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理，得到第二时间值序列T'i，i＝1，2，…，n；

将所述第一时间值序列Ti与所述第二时间值序列T'i进行处理，得到所述第二认证设备的时钟偏差；

其中，将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理的方法为：

获取每一个所述带有时间戳值的数据包响应中的时间戳值；

对应每一个所述带有时间戳值的数据包响应，将该数据包中的时间戳值除以***时钟频率得到第二时间值序列T'i。

9.一种认证设备，其特征在于，包括：

采集模块，用于采集网络设备的特征信息，并生成特征值组A；

对比模块，用于将所述特征值组A中的特征值与特征值组B中的特征值进行对比，所述特征值组B为所述采集模块事先存储的所述网络设备的特征值组；

其中，所述特征信息包括时钟偏差；

采集所述时钟偏差的方法包括：

按预置时间间隔向网络设备发送n个带有时间戳值的数据包；

接收所述网络设备发送的n个带有时间戳值的数据包响应，并依次记录接收到所述n个带有时间戳值的数据包响应的时间值，得到第一时间值序列Ti，i＝1，2，…，n；

将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理，得到第二时间值序列T'i，i＝1，2，…，n；

将所述第一时间值序列Ti与所述第二时间值序列T'i进行处理，得到所述网络设备的时钟偏差；

其中，所述特征信息包括IP地址、MAC地址、时钟偏差、时钟频率和设备名，将所述n个带有时间戳值的数据包响应的时间戳值依次进行处理的方法为：

获取每一个所述带有时间戳值的数据包响应中的时间戳值；

对应每一个所述带有时间戳值的数据包响应，将该数据包中的时间戳值除以***时钟频率得到第二时间值序列T'i。

Images