CN114389916B - 一种组网通信方法、装置、***及网络设备 - Google Patents
一种组网通信方法、装置、***及网络设备 Download PDFInfo
- Publication number
- CN114389916B CN114389916B CN202210067180.XA CN202210067180A CN114389916B CN 114389916 B CN114389916 B CN 114389916B CN 202210067180 A CN202210067180 A CN 202210067180A CN 114389916 B CN114389916 B CN 114389916B
- Authority
- CN
- China
- Prior art keywords
- random number
- identity authentication
- signature
- equipment
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004891 communication Methods 0.000 title claims abstract description 42
- 230000006855 networking Effects 0.000 title claims abstract description 37
- 238000012545 processing Methods 0.000 claims description 31
- 230000000977 initiatory effect Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种组网通信方法、装置、***及网络设备,属于网络通信技术领域。该组网通信方法应用于网络设备,所述方法包括:在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述VPN设备通信的数据中心服务器的数据。本申请在建立IPsec隧道之前,需要对网络设备的身份进行认证,只有在网络设备的身份认证通过时,才与VPN设备建立IPsec隧道,保证访问数据中心服务器资源的设备身份都经过有效验证,提高了接入数据中心设备的安全性、可靠性,保证数据中心各类资源的安全使用。
Description
技术领域
本申请属于网络通信技术领域,具体涉及一种组网通信方法、装置、***及网络设备。
背景技术
虚拟专用拨号网络(Virtual Private Dial-up Network,VPDN)组网是指终端用户以拨号接入方式上网,通过对数据报文的封装和加密在公网上传输私有数据,以保证私有网络的安全性。VPDN网络结构由服务端和客户***组成。客户***包括企业端和远端,通常企业端是指企业的内部局域网,远端指以拨号方式访问企业内部局域网的客户端。
近年来,云计算已成为信息技术产业发展的战略重点,全球的各大信息技术企业都在纷纷向云计算转型,构建满足自己数据运算需求的数据云中心。各大企业上云后,如何保证数据中心各类服务器资源访问的安全性,是各企业所面临解决的问题。
传统的5G(the 5th Generation mobile communication technology,第五代移动通信技术)VPDN组网中,5G路由器拨号获取IP地址后主动与LNS(L2TP Network Server,L2TP网络服务器,其中,L2TP为Layer 2Tunneling Protocol(第二层隧道协议)的英文简称)设备建立IPsec(Internet Protocol Security,互联网安全协议)隧道,保证与企业总部各类服务器数据访问的安全性。但如果5G路由器的账号信息泄露,被泄露的账号信息在另一台设备上登录使用,也同样能访问LNS设备端的各类服务器资源,进而存在安全隐患。
发明内容
鉴于此,本申请的目的在于提供一种组网通信方法、装置、***及网络设备,以改善各大企业数据中心各类服务器资源访问安全性的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种组网通信方法,应用于网络设备,所述方法包括:在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述VPN设备通信的数据中心服务器的数据。本申请实施例中,对接入数据中心服务器的网络设备的身份进行验证,在验证通过后,才与VPN设备建立IPsec隧道,保证身份真实可靠,提高了各设备之间数据交互的安全性,保证数据访问的安全使用。
结合第一方面实施例的一种可能的实施方式,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到;所述基于该IP地址向安全认证设备发起身份认证请求之前,所述方法还包括:从所述安全认证设备处申请获得所述随机数、所述签名证书。本申请实施例中,通过在身份认证请求中携带随机数、签名证书和随机数签名,使得在验证时,需要对这些参数逐一进行验证,进一步保证了数据交互的安全性,使得非法用户不易破解。
结合第一方面实施例的一种可能的实施方式,所述与VPN设备建立IPsec隧道之前,所述方法还包括:基于所述安全认证设备在所述身份认证请求中的参数通过认证时返回的账号信息向所述VPN设备进行二次身份认证,其中,在二次身份认证通过时,与所述VPN设备建立IPsec隧道。本申请实施例中,在与VPN设备建立IPsec隧道之前,还需要再次向VPN设备进行二次身份认证以实现双重认证,且在双重认证都通过的情况下,才与网络设备建立IPsec隧道,能进一步提高数据中心各服务器资源访问的安全性。
结合第一方面实施例的一种可能的实施方式,与VPN设备建立IPsec隧道,包括:接收所述VPN设备在二次身份认证通过时发起的IPsec隧道建立请求;响应所述IPsec隧道建立请求与所述VPN设备建立IPsec隧道。本申请实施例中,由VPN设备主动向网络设备发起IPsec隧道建立请求,网络设备以此来与VPN设备建立IPsec隧道,能有效降低VPN设备处理报文的负担,进一步地,如果由网络设备发起隧道建立,没有通过身份认证,也可以发起隧道请求,VPN设备会收到很多网络设备的隧道请求连接,会增加VPN设备处理报文的负担,还要去判断网络设备是否经过了身份认证。
第二方面,本申请实施例还提供了一种组网通信方法,应用于服务端设备,所述方法还包括:接收网络设备发起的身份认证请求,并对所述身份认证请求中的参数进行身份认证,其中,所述网络设备在拨号获取到IP地址后会基于该IP地址发起所述身份认证请求;在所述身份认证请求中的参数通过认证时,与所述网络设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述服务端设备通信的数据中心服务器的数据。
结合第二方面实施例的一种可能的实施方式,所述服务端设备包括安全认证设备和VPN设备;在所述与所述网络设备建立IPsec隧道之前,所述方法还包括:所述安全认证设备在所述身份认证请求中的参数通过认证时向所述网络设备返回账号信息;所述VPN设备接收所述网络设备基于所述账号信息发起的二次身份认证,并将所述账号信息提交给所述安全认证设备进行二次身份认证,其中,在二次身份认证通过时,所述VPN设备与所述网络设备建立IPsec隧道。
结合第二方面实施例的一种可能的实施方式,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到;对所述身份认证请求中的参数进行身份认证,包括:对所述随机数签名进行逆处理,得到对应的签名证书和随机数;将所述随机数签名进行逆处理得到的随机数、所述身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;将所述随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;其中,所述第一比较结果、所述第二比较结果中的比较结果均表征一致性时,表征所述身份认证请求通过认证。本申请实施例中,只有在随机数签名进行逆处理得到的随机数、身份认证请求中携带的随机数以及事先下发的随机数一致,且随机数签名进行逆处理得到的签名证书与事先下发的签名证书一致时,才表征身份认证请求中的参数通过认证,提高了身份认证的安全性。
第三方面,本申请实施例还提供了一种通信组网装置,设置于网络设备,所述装置包括:认证发送模块以及建立模块;认证发送模块,用于在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;建立模块,用于在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于访问与所述VPN设备通信的数据中心服务器的数据。
第四方面,本申请实施例还提供了一种通信组网***,包括:网络设备、VPN设备、安全认证设备;所述网络设备,用于在拨号获取到IP地址后,基于该IP地址发起身份认证请求;所述安全认证设备,用于对所述身份认证请求中的参数进行认证,得到认证结果,并在所述认证结果表征所述身份认证请求中的参数通过认证时,向所述网络设备返回账号信息;所述网络设备,还用于基于所述账号信息向所述VPN设备进行二次身份认证;所述VPN设备,用于对所述二次身份认证进行认证,并在所述二次身份认证通过时,与所述网络设备建立IPsec隧道。
第五方面,本申请实施例还提供了一种网络设备,包括:存储器和处理器,所述处理器与所述存储器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种通信组网***的结构示意图。
图2示出了本申请实施例提供的一种VPDN网络结构的原理示意图。
图3示出了本申请实施例提供的一种通信组网方法的流程示意图。
图4示出了本申请实施例提供的又一种通信组网方法的流程示意图。
图5示出了本申请实施例提供的一种通信组网装置的模块示意图。
图6示出了本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
为了保证各大企业数据中心各类服务器资源访问的安全性,避免访问远端客户端的网络设备(也即接入设备,如可以是路由器)的账号信息泄露,造成服务器资源访问存在安全隐患,对网络设备进行身份认证是十分必要的。基于此,本申请实施例提供了一种基于VDPN(Virtual Private Dial-up Network,虚拟专用拨号网)的通信组网***,如图1所示,该通信组网***包括:网络设备、VPN(Virtual Private Network,虚拟专用网络)设备和安全认证设备。网络设备分别与VPN设备和安全认证设备通信,VPN设备和安全认证设备通信。
一种可选实施方式下,网络设备通过LNS(L2TP Network Server,L2TP(Layer2Tunneling Protocol,第二层隧道协议)网络服务器)设备与VPN设备和安全认证设备通信。此外,LNS设备还与AAA服务器通信,VPN设备还与数据中心服务器(数据中心各类服务器,简称为数据中心服务器)通信,此时的VDPN的网络结构原理图如图2所示。其中,AAA是Authentication(验证)、Authorization(授权)和Accounting(记账)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,提供验证、授权以及帐户服务,主要目的是管理用户访问网络服务器,对具有访问权的用户提供服务。
VPDN网络结构由服务端和客户***组成。客户***包括企业端和远端,通常企业端是指企业的内部局域网,而上述的LNS设备和AAA服务器为企业端设备;远端指通过网络设备以拨号方式访问企业内部局域网的客户端。上述的VPN设备和安全认证设备为服务端设备。网络设备通过运营商网络与LNS设备通信,LNS设备与VPN设备以及AAA服务器连接。VPN设备与安全认证设备以及数据中心服务器连接。
网络设备,用于在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求。
其中,网络设备拨号获取IP地址的过程可以是:可以通过在网络设备上配置拨号用户信息和运营商提供的APN(Access Point Name,接入点名称)信息拨号接入运营商网络,运营商侧的LAC(L2TP Access Concentrator,L2TP访问集中器)设备接收到来自网络设备发起的拨号接入请求后,响应该拨号接入请求向企业端的LNS设备发起L2TP连接建立L2TP隧道,并基于该L2TP隧道请求AAA服务器对所拨号用户信息进行认证,AAA服务器在认证通过后为网络设备分配用于通信的IP地址。
可选地,该身份认证请求中携带的参数包括随机数、签名证书和随机数签名,而随机数签名为利用签名证书对应的私钥对随机数进行签名得到。网络设备,还用于在基于该IP地址向安全认证设备发起身份认证请求之前,从安全认证设备处申请获得随机数、签名证书。网络设备可以通过离线或在线的方式从安全认证设备申请加密证书和签名证书,以及随机数。其中,加密证书用于后续数据加密使用。需要说明的是,网络设备从安全认证设备处签名证书(申请加密证书与申请签名证书是同时进行的)与申请随机数可以是分开的,可以是在获取到签名证书后,采用https(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议,即为基于SSL(Secure Socket Layer)的http协议)协议向安全认证设备发起获取随机数请求,安全认证设备收到请求报文后向请求端返回一个随机数。
其中,网络设备在申请加密证书和签名证书时,会向安全认证设备发送签名证书对应的公钥,自己保留对应的私钥,以便于在获得到随机数后,利用签名证书对应的私钥对随机数进行签名,得到随机数签名,并将随机数签名、随机数、签名证书作为认证参数向安全认证设备发起身份认证请求。
安全认证设备,用于对身份认证请求中的参数进行认证,得到认证结果。安全认证设备在对身份认证请求中的参数进行认证时,会获取身份认证请求中携带的参数,例如,获取随机数、签名证书和随机数签名,然后利用之前保存的签名证书对应的公钥对随机数签名进行逆处理(如解密),得到对应的签名证书和随机数,将随机数签名进行逆处理得到的随机数、身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果,以及将随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;其中,第一比较结果、第二比较结果中的比较结果均表征一致性时,表征身份认证请求通过认证,也即,随机数签名进行逆处理得到的随机数、身份认证请求中携带的随机数以及事先下发的随机数一致,且随机数签名进行逆处理得到的签名证书与事先下发的签名证书一致时,表征身份认证请求中的参数通过认证。若不一致,则身份认证请求未通过认证,则结束或重新发起身份认证请求。
在身份认证请求中的参数通过认证时,网络设备还用于与VPN设备建立IPsec隧道,该IPsec隧道用于网络设备访问与VPN设备通信的数据中心服务器的数据。
一种实施方式下,可以是安全认证设备在身份认证请求中的参数通过认证时,将这一验证结果告知VPN设备,VPN设备向网络设备发起IPsec隧道建立请求,网络设备接收到VPN设备发起的IPsec隧道建立请求,响应IPsec隧道建立请求与VPN设备建立IPsec隧道。网络设备和VPN设备两端根据提前设置的IPsec隧道协商参数进行隧道建立,隧道建立成功后,连接网络设备的终端发起业务访问时,可通过IPsec隧道安全访问数据中心服务器资源。可以通过已有的方式建立IPsec隧道,其具体过程不再介绍。
又一种实施方式下,可以是安全认证设备在身份认证请求中的参数通过认证时,将这一验证结果告知网络设备,网络设备向VPN设备发起IPsec隧道建立请求,VPN设备接收到网络设备发起的IPsec隧道建立请求,响应IPsec隧道建立请求与网络设备建立IPsec隧道。
为了进一步提高数据中心各服务器资源访问的安全性,可选地,安全认证设备在身份认证请求中的参数通过认证时,还会向网络设备返回账号信息,该账号信息包括一个Token和Hash值,网络设备在获取到该Token和Hash值后,将获取的Token和Hash值作为用户名和密码,向VPN设备进行二次身份认证,也即网络设备基于安全认证设备在身份认证请求中的参数通过认证时返回的账号信息向VPN设备进行身份认证。VPN设备,用于对二次身份认证进行认证,并在二次身份认证通过时,与网络设备建立IPsec隧道。也即在建立IPsec隧道之前,还需要进一步对网络设备发起的二次身份认证进行认证,只要在二次身份认证通过时,才与网络设备建立IPsec隧道。若二次身份认证未通过,则网络设备会重新返回第一次身份认证阶段,向安全认证设备重新请求随机数,并发起向安全认证设备的身份认证。
其中,VPN设备在对网络设备发起的二次身份认证进行认证时,可以是以上用户名和密码(即Token和Hash值)提交给安全认证设备认证,并获取认证结果。这样通过双重认证,且在双重认证都通过的情况下,才与网络设备建立IPsec隧道,能进一步提高数据中心各服务器资源访问的安全性。由于接入数据中心服务器各设备都经过身份验证,保证身份真实可靠,提高了各设备之间数据交互的安全性。
上述所示意的访问数据中心服务器的场景,可以用于5G移动互联应用场景,主要包括智慧医疗、智慧交通、移动外派云上办公和分支机构到总部数据中心资源访问等场景。
基于同样的发明构思,本申请实施例还提供了一种组网通信方法,其示意图如图3所示。下面将结合图3,对本申请实施例提供的组网通信方法进行说明。
S1:网络设备向安全认证设备发起身份认证请求。
网络设备在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求,可选地,该身份认证请求中的参数包括随机数、签名证书和随机数签名,随机数签名为利用签名证书对应的私钥对随机数进行签名得到。
在此之前,组网通信方法还包括网络设备从安全认证设备处申请获得随机数、签名证书,以便于利用签名证书对应的私钥对随机数进行签名得到随机数签名,将随机数、签名证书和随机数签名作为认证参数向安全认证设备发起身份认证请求。
S2:安全认证设备在向VPN设备告知身份认证请求中的参数通过认证。
安全认证设备在接收到身份认证请求后,获取其中携带的参数,如随机数、签名证书和随机数签名,对随机数签名进行逆处理(如解密),得到对应的签名证书和随机数;将随机数签名进行逆处理得到的随机数、身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;将随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;其中,第一比较结果、第二比较结果中的比较结果均表征一致性时,表征身份认证请求通过认证。安全认证设备在向VPN设备告知身份认证请求中的参数通过认证。
S3:VPN设备与网络设备建立IPsec隧道。
VPN设备在获悉身份认证请求中的参数通过认证时,VPN设备与网络设备建立IPsec隧道。
此外,也可以是在身份认证请求中的参数通过认证时,安全认证设备将这一情况告知网络设备,网络设备向VPN设备发起IPsec隧道建立请求,VPN设备响应该IPsec隧道建立请求与网络设备建立IPsec隧道。
又一种实施方式下,本申请实施例提供的组网通信方法,示意图如图4所示。下面将结合图4,对本申请实施例提供的组网通信方法进行说明。
S10:网络设备向安全认证设备发起身份认证请求。
S20:安全认证设备向网络设备返回账号信息。
安全认证设备在身份认证请求中的参数通过认证时,向网络设备返回账号信息该账号信息包括一个Token和Hash值。
S30:网络设备基于所述账号信息向所述VPN设备进行二次身份认证。
网络设备在获取到该Token和Hash值后,将获取的Token和Hash值作为用户名和密码,向VPN设备进行二次身份认证,也即网络设备基于安全认证设备在身份认证请求中的参数通过认证时返回的账号信息向VPN设备进行二次身份认证。
S40:VPN设备在所述二次身份认证通过时,与网络设备建立IPsec隧道。
VPN设备在对二次身份认证进行认证时,可以是以上用户名和密码(即Token和Hash值)提交给安全认证设备认证,并获取认证结果。在二次身份认证通过时,与网络设备建立IPsec隧道。
本申请实施例所提供的组网通信方法,其实现原理及产生的技术效果和前述组网通信***实施例相同,为简要描述,方法实施例部分未提及之处,可参考前述组网通信***实施例中相应内容。
基于同样的发明构思,本申请实施例还提供了一种设置于网络设备中的通信组网装置100,如图5所示。该通信组网装置100包括:认证发送模块110、建立模块120。
其中,认证发送模块110,用于在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求。
建立模块120,用于在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于访问与所述VPN设备通信的数据中心服务器的数据。
可选地,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到;认证发送模块110,还用于在基于该IP地址向安全认证设备发起身份认证请求之前,从所述安全认证设备处申请获得所述随机数、所述签名证书。
可选地,认证发送模块110,还用于在与VPN设备建立IPsec隧道之前,基于所述安全认证设备在所述身份认证请求中的参数通过认证时返回的账号信息向所述VPN设备进行二次身份认证。相应地,建立模块120,用于在二次身份认证通过时,与所述VPN设备建立IPsec隧道。
本申请实施例所提供的通信组网装置100,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
如图6所示,图6示出了本申请实施例提供的一种网络设备200的结构框图。所述网络设备200包括:收发器210、存储器220、通讯总线230以及处理器240。
所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中,收发器210用于收发数据。存储器220用于存储计算机程序,如存储有图5中所示的软件功能模块,即通信组网装置100。其中,通信组网装置100包括至少一个可以软件或固件(Firmware)的形式存储于所述存储器220中或固化在所述网络设备200的操作***(Operating System,OS)中的软件功能模块。所述处理器240,用于执行存储器220中存储的可执行模块,例如通信组网装置100包括的软件功能模块或计算机程序。例如,处理器240,用于在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述VPN设备通信的数据中心服务器的数据。
其中,存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器240可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
其中,上述的网络设备200,包括但不限于防火墙、路由器等。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个计算机可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种组网通信方法,其特征在于,应用于网络设备,所述网络设备包括防火墙或路由器,所述方法包括:
在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;
在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述VPN设备通信的数据中心服务器的数据;
其中,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到,通过如下方式对所述身份认证请求中的参数进行身份认证:
对所述随机数签名进行逆处理,得到对应的签名证书和随机数;
将所述随机数签名进行逆处理得到的随机数、所述身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;
将所述随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;
其中,所述第一比较结果、所述第二比较结果中的比较结果均表征一致性时,表征所述身份认证请求通过认证。
2.根据权利要求1所述的方法,其特征在于,所述基于该IP地址向安全认证设备发起身份认证请求之前,所述方法还包括:
从所述安全认证设备处申请获得所述随机数、所述签名证书。
3.根据权利要求1所述的方法,其特征在于,所述与VPN设备建立IPsec隧道之前,所述方法还包括:
基于所述安全认证设备在所述身份认证请求中的参数通过认证时返回的账号信息向所述VPN设备进行二次身份认证,其中,在二次身份认证通过时,与所述VPN设备建立IPsec隧道。
4.根据权利要求3所述的方法,其特征在于,与VPN设备建立IPsec隧道,包括:
接收所述VPN设备在二次身份认证通过时发起的IPsec隧道建立请求;
响应所述IPsec隧道建立请求与所述VPN设备建立IPsec隧道。
5.一种组网通信方法,其特征在于,应用于服务端设备,所述方法还包括:
接收网络设备发起的身份认证请求,并对所述身份认证请求中的参数进行身份认证,其中,所述网络设备在拨号获取到IP地址后会基于该IP地址发起所述身份认证请求;
在所述身份认证请求中的参数通过认证时,与所述网络设备建立IPsec隧道,所述IPsec隧道用于所述网络设备访问与所述服务端设备通信的数据中心服务器的数据
其中,所述网络设备包括防火墙或路由器,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到,对所述身份认证请求中的参数进行身份认证,包括:
对所述随机数签名进行逆处理,得到对应的签名证书和随机数;
将所述随机数签名进行逆处理得到的随机数、所述身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;
将所述随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;
其中,所述第一比较结果、所述第二比较结果中的比较结果均表征一致性时,表征所述身份认证请求通过认证。
6.根据权利要求5所述的方法,其特征在于,所述服务端设备包括安全认证设备和VPN设备;在所述与所述网络设备建立IPsec隧道之前,所述方法还包括:
所述安全认证设备在所述身份认证请求中的参数通过认证时向所述网络设备返回账号信息;
所述VPN设备接收所述网络设备基于所述账号信息发起的二次身份认证,并将所述账号信息提交给所述安全认证设备进行二次身份认证,其中,在二次身份认证通过时,所述VPN设备与所述网络设备建立IPsec隧道。
7.一种通信组网装置,其特征在于,设置于网络设备,所述网络设备包括防火墙或路由器,所述装置包括:
认证发送模块,用于在拨号获取到IP地址后,基于该IP地址向安全认证设备发起身份认证请求;
建立模块,用于在所述身份认证请求中的参数通过认证时,与VPN设备建立IPsec隧道,所述IPsec隧道用于访问与所述VPN设备通信的数据中心服务器的数据;
其中,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到,通过如下方式对所述身份认证请求中的参数进行身份认证:
对所述随机数签名进行逆处理,得到对应的签名证书和随机数;
将所述随机数签名进行逆处理得到的随机数、所述身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;
将所述随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;
其中,所述第一比较结果、所述第二比较结果中的比较结果均表征一致性时,表征所述身份认证请求通过认证。
8.一种通信组网***,其特征在于,包括:
网络设备,用于在拨号获取到IP地址后,基于该IP地址发起身份认证请求;
安全认证设备,用于对所述身份认证请求中的参数进行认证,得到认证结果,并在所述认证结果表征所述身份认证请求中的参数通过认证时,向所述网络设备返回账号信息;
所述网络设备,还用于基于所述账号信息向VPN设备进行二次身份认证;
所述VPN设备,用于对所述二次身份认证进行认证,并在所述二次身份认证通过时,与所述网络设备建立IPsec隧道;
其中,所述身份认证请求中的参数包括随机数、签名证书和随机数签名,所述随机数签名为利用所述签名证书对应的私钥对所述随机数进行签名得到,通过如下方式对所述身份认证请求中的参数进行身份认证:
对所述随机数签名进行逆处理,得到对应的签名证书和随机数;
将所述随机数签名进行逆处理得到的随机数、所述身份认证请求中携带的随机数以及事先下发的随机数进行一致性比较,得到第一比较结果;
将所述随机数签名进行逆处理得到的签名证书与事先下发的签名证书进行一致性比较,得到第二比较结果;
其中,所述第一比较结果、所述第二比较结果中的比较结果均表征一致性时,表征所述身份认证请求通过认证。
9.一种网络设备,其特征在于,包括:
存储器和处理器,所述处理器与所述存储器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210067180.XA CN114389916B (zh) | 2022-01-20 | 2022-01-20 | 一种组网通信方法、装置、***及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210067180.XA CN114389916B (zh) | 2022-01-20 | 2022-01-20 | 一种组网通信方法、装置、***及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114389916A CN114389916A (zh) | 2022-04-22 |
CN114389916B true CN114389916B (zh) | 2023-12-15 |
Family
ID=81203682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210067180.XA Active CN114389916B (zh) | 2022-01-20 | 2022-01-20 | 一种组网通信方法、装置、***及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114389916B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115361275A (zh) * | 2022-08-16 | 2022-11-18 | 深圳市网安信科技有限公司 | 平面网络自动化部署*** |
CN116248416B (zh) * | 2023-05-11 | 2023-07-28 | 深圳竹云科技股份有限公司 | 一种身份认证的方法、装置、计算机设备 |
CN117715042B (zh) * | 2023-12-18 | 2024-07-19 | 国网青海省电力公司清洁能源发展研究院 | 一种电力***5g通信网络安全防护方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1949705A (zh) * | 2005-10-14 | 2007-04-18 | 上海贝尔阿尔卡特股份有限公司 | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 |
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及*** |
CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
WO2019015387A1 (zh) * | 2017-07-18 | 2019-01-24 | 东北大学 | 一种基于身份群签的pmipv6匿名接入认证***及方法 |
CN110855693A (zh) * | 2019-11-19 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种基于cnn的网络认证方法及*** |
CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、***、介质和电子设备 |
-
2022
- 2022-01-20 CN CN202210067180.XA patent/CN114389916B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1949705A (zh) * | 2005-10-14 | 2007-04-18 | 上海贝尔阿尔卡特股份有限公司 | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 |
CN101640607A (zh) * | 2009-04-13 | 2010-02-03 | 山石网科通信技术(北京)有限公司 | 基于因特网安全协议的虚拟专用网的配置方法及*** |
CN102255920A (zh) * | 2011-08-24 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种vpn配置信息的发送方法和设备 |
WO2019015387A1 (zh) * | 2017-07-18 | 2019-01-24 | 东北大学 | 一种基于身份群签的pmipv6匿名接入认证***及方法 |
CN110855693A (zh) * | 2019-11-19 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种基于cnn的网络认证方法及*** |
CN111726366A (zh) * | 2020-06-30 | 2020-09-29 | 成都卫士通信息产业股份有限公司 | 设备通信方法、装置、***、介质和电子设备 |
Non-Patent Citations (1)
Title |
---|
基于身份盲签名的无线Mesh网络匿名切换认证方案;许力;王栋城;苏彬庭;王峰;;工程科学与技术(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114389916A (zh) | 2022-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114389916B (zh) | 一种组网通信方法、装置、***及网络设备 | |
CN106790194B (zh) | 一种基于ssl协议的访问控制方法及装置 | |
US8832782B2 (en) | Single sign-on system and method | |
CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
TWI725958B (zh) | 雲端主機服務權限控制方法、裝置和系統 | |
KR101708587B1 (ko) | 양방향 권한 부여 시스템, 클라이언트 및 방법 | |
CN102624720B (zh) | 一种身份认证的方法、装置和*** | |
US8984621B2 (en) | Techniques for secure access management in virtual environments | |
US9781096B2 (en) | System and method for out-of-band application authentication | |
Medvinsky et al. | Addition of kerberos cipher suites to transport layer security (TLS) | |
CN106452782A (zh) | 为终端设备生成安全通信信道的方法和*** | |
CN104378210A (zh) | 跨信任域的身份认证方法 | |
US8738897B2 (en) | Single sign-on functionality for secure communications over insecure networks | |
EP2695410B1 (en) | Methods and apparatuses for avoiding damage in network attacks | |
CN103685187A (zh) | 一种按需转换ssl认证方式以实现资源访问控制的方法 | |
CN113328980B (zh) | Tls认证方法、装置、***、电子设备及可读介质 | |
US20170070486A1 (en) | Server public key pinning by url | |
CN107786515B (zh) | 一种证书认证的方法和设备 | |
US11695737B2 (en) | Intermediary handling of identity services to guard against client side attack vectors | |
CN114157434A (zh) | 登录验证方法、装置、电子设备及存储介质 | |
CN115065703A (zh) | 物联网***及其认证与通信方法、相关设备 | |
US12041173B2 (en) | Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication | |
CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
WO2019184206A1 (zh) | 身份认证方法及装置 | |
CN113727059A (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |