CN103036906B - 网络设备的认证方法、装置、接入设备和可控设备 - Google Patents
网络设备的认证方法、装置、接入设备和可控设备 Download PDFInfo
- Publication number
- CN103036906B CN103036906B CN201210583398.7A CN201210583398A CN103036906B CN 103036906 B CN103036906 B CN 103036906B CN 201210583398 A CN201210583398 A CN 201210583398A CN 103036906 B CN103036906 B CN 103036906B
- Authority
- CN
- China
- Prior art keywords
- access device
- certificate
- authentication
- controllable
- controllable device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种网络设备的认证方法、装置、接入设备和可控设备,上述网络设备的认证方法包括:接入设备与认证成功已接入网络的可控设备连接之后,可控设备将该可控设备中与接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断,并通过受控端口向接入设备发送认证请求帧;然后,可控设备接收接入设备发送的认证应答帧,提取认证应答帧中携带的接入设备的证书信息,封装在认证报文中发送给认证服务器,以便该认证服务器对接入设备的证书信息进行认证。本发明可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种网络设备的认证方法、装置、接入设备和可控设备,属于通信技术领域。
背景技术
公钥基础设施(PublicKeyInfrastructure;以下简称:PKI)是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI的核心技术围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。
上述数字证书是由证书授权(CertificateAuthority;以下简称:CA)中心为每个使用公钥的用户发放的,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。上述数字证书的格式遵循X.509标准。
在网络安全保护中,因为内部网络的物理接口遍布于建筑物的不同地点,任何能够进入该区域的人员都可以利用这些暴露的物理接口轻易地接入内部网络并进行攻击。
目前很多网络中对网络安全的防范大部分通过防火墙等设备,这些都是基于对外攻击的防范,若要对内部网络进行安全保护,一个重要的手段就是实现网络身份认证;设备身份认证是现有技术提供的一种网络身份认证方法。
设备身份认证目前都是基于CA中心颁发数字证书给信任用户,主要应用于电子商务和电子邮件中,对本地应用程序进行加密和解密的行为。但是现有的设备身份认证不支持对网络设备的权限进行认证,网络安全性较低。
发明内容
本发明提供一种网络设备的认证方法、装置、接入设备和可控设备,以实现基于端口对网络设备的权限进行认证,提高网络安全性。
本发明一方面提供一种网络设备的认证方法,包括:
接入设备与可控设备连接之后,所述可控设备将所述可控设备中与所述接入设备连接的端口设置为受控端口,所述受控端口的过滤规则为对所述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;所述可控设备为认证成功已接入网络的设备;
所述可控设备通过所述受控端口向所述接入设备发送认证请求帧;
所述可控设备通过所述受控端口接收所述接入设备发送的认证应答帧,所述认证应答帧中携带所述接入设备的证书信息;
所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,以便所述认证服务器对所述接入设备的证书信息进行认证。
本发明另一方面提供一种网络设备的认证方法,包括:
接入设备与可控设备连接之后,所述接入设备接收所述可控设备发送的认证请求帧;所述可控设备为认证成功已接入网络的设备,所述认证请求帧是所述可控设备通过所述可控设备中与所述接入设备连接的受控端口发送给所述接入设备的;
所述接入设备向所述可控设备发送认证应答帧,所述认证应答帧中携带所述接入设备的证书信息,以便所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,由所述认证服务器对所述接入设备的证书信息进行认证。
本发明再一方面提供一种网络设备的认证方法,包括:
认证服务器接收可控设备发送的认证报文,所述认证报文中携带与所述可控设备连接的接入设备的证书信息;所述可控设备为认证成功已接入网络的设备,所述接入设备的证书信息携带在所述可控设备通过所述可控设备的受控端口接收的认证应答帧中;
所述认证服务器与证书授权中心进行交互,对所述接入设备的证书信息进行认证。
本发明再一方面提供一种网络设备的认证装置,所述网络设备的认证装置设置在可控设备中,所述可控设备为认证成功已接入网络的设备,所述网络设备的认证装置包括:
设置模块,用于在接入设备与所述可控设备连接之后,将所述可控设备中与所述接入设备连接的端口设置为受控端口,所述受控端口的过滤规则为对所述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;
发送模块,用于通过所述设置模块设置的受控端口向所述接入设备发送认证请求帧;
接收模块,用于通过所述设置模块设置的受控端口接收所述接入设备发送的认证应答帧,所述认证应答帧中携带所述接入设备的证书信息;
提取模块,用于提取所述接收模块接收的认证应答帧中携带的所述接入设备的证书信息;
所述发送模块,还用于将所述提取模块提取的所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,以便所述认证服务器对所述接入设备的证书信息进行认证。
本发明再一方面提供一种可控设备,包括如上所述的网络设备的认证装置。
本发明再一方面提供一种网络设备的认证装置,所述网络设备的认证装置设置在接入设备中,所述网络设备的认证装置包括:
接收模块,用于在所述接入设备与可控设备连接之后,接收所述可控设备发送的认证请求帧;所述可控设备为认证成功已接入网络的设备,所述认证请求帧是所述可控设备通过所述可控设备中与所述接入设备连接的受控端口发送给所述接入设备的;
发送模块,用于向所述可控设备发送认证应答帧,所述认证应答帧中携带所述接入设备的证书信息,以便所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,由所述认证服务器对所述接入设备的证书信息进行认证。
本发明再一方面提供一种接入设备,包括如上所述的网络设备的认证装置。
本发明再一方面提供一种网络设备的认证装置,所述网络设备的认证装置设置在认证服务器中,所述网络设备的认证装置包括:
接收模块,用于接收可控设备发送的认证报文,所述认证报文中携带与所述可控设备连接的接入设备的证书信息;所述可控设备为认证成功已接入网络的设备,所述接入设备的证书信息携带在所述可控设备通过所述可控设备的受控端口接收的认证应答帧中;
认证模块,用于与证书授权中心进行交互,对所述接入设备的证书信息进行认证。
本发明再一方面提供一种认证服务器,包括如上所述的网络设备的认证装置。
本发明再一方面提供一种网络设备的认证系统,包括如上所述的可控设备、如上所述的接入设备和如上所述的认证服务器。
本发明的技术效果是:接入设备与认证成功已接入网络的可控设备连接之后,可控设备将该可控设备中与上述接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断,并通过上述受控端口向上述接入设备发送认证请求帧;然后,可控设备提取接入设备发送的认证应答帧中携带的该接入设备的证书信息,将该接入设备的证书信息封装在认证报文中发送给认证服务器,以便认证服务器对接入设备的证书信息进行认证,从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
附图说明
图1为本发明网络设备的认证方法一个实施例的流程图;
图2为本发明网络设备的认证方法另一个实施例的流程图;
图3为本发明网络设备的认证方法再一个实施例的流程图;
图4为本发明网络设备的认证方法再一个实施例的流程图;
图5为本发明应用场景一个实施例的示意图;
图6为本发明网络设备的认证装置一个实施例的结构示意图;
图7为本发明网络设备的认证装置另一个实施例的结构示意图;
图8为本发明网络设备的认证装置再一个实施例的结构示意图;
图9为本发明网络设备的认证装置再一个实施例的结构示意图;
图10为本发明网络设备的认证装置再一个实施例的结构示意图。
具体实施方式
图1为本发明网络设备的认证方法一个实施例的流程图,如图1所示,该网络设备的认证方法可以包括:
步骤101,接入设备与可控设备连接之后,可控设备将该可控设备中与接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断。
其中,上述可控设备为认证成功已接入网络的设备。
具体地,本实施例中,可控设备发现有接入设备连接到该可控设备之后,将该可控设备中与上述接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断,即该受控端口仅允许接入设备发送的用于认证的报文通过,除用于认证的报文之外的所有报文均被过滤阻断。
步骤102,可控设备通过受控端口向接入设备发送认证请求帧。
步骤103,可控设备通过受控端口接收上述接入设备发送的认证应答帧,上述认证应答帧中携带接入设备的证书信息。
其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中,其中,USB为通用串行总线(UniversalSerialBus)的简称。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:媒体接入控制(MediaAccessControl;以下简称:MAC)地址;
5)背板类型(可选);
6)背板个数(可选)。
步骤104,可控设备提取认证应答帧中携带的该接入设备的证书信息,将该接入设备的证书信息封装在认证报文中发送给认证服务器,以便认证服务器对上述接入设备的证书信息进行认证。
本实施例的一种实现方式中,步骤104,将接入设备的证书信息封装在认证报文中发送给认证服务器之后,可控设备还可以接收认证服务器发送的认证成功响应,然后将上述受控端口的过滤规则更改为允许接入设备发送的全部或部分报文通过。具体地,可控设备可以将上述受控端口的过滤规则更改为允许接入设备发送的所有报文通过,或者允许接入设备发送的部分报文通过。
本实施例的另一种实现方式中,步骤104,将接入设备的证书信息封装在认证报文中发送给认证服务器之后,可控设备还可以接收认证服务器发送的认证失败响应,然后可控设备保持上述受控端口的过滤规则不变,也即对上述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断。
也就是说,本实施例中,如果接入设备认证成功,则可控设备更改受控端口的过滤规则,放行该接入设备的网络通信;如果接入设备认证失败,则可控设备保持受控端口的过滤规则不变,继续阻断该接入设备的网络通信。
另外,可控设备支持配置白名单设备列表,该白名单设备列表中的设备无需认证即可接入网络。具体地,可控设备可以基于设备的因特网协议(InternetProtocol;以下简称:IP)地址进行控制,也就是说,可以在白名单设备列表中添加无需认证即可接入网络的设备的IP地址,该白名单设备列表中的IP地址对应的设备无需认证即可接入网络。
上述实施例中,接入设备与认证成功已接入网络的可控设备连接之后,可控设备将该可控设备中与上述接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断,并通过上述受控端口向上述接入设备发送认证请求帧;然后,可控设备提取接入设备发送的认证应答帧中携带的该接入设备的证书信息,将该接入设备的证书信息封装在认证报文中发送给认证服务器,以便认证服务器对接入设备的证书信息进行认证,从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
图2为本发明网络设备的认证方法另一个实施例的流程图,如图2所示,该网络设备的认证方法可以包括:
步骤201,接入设备与可控设备连接之后,接入设备接收上述可控设备发送的认证请求帧。
其中,可控设备为认证成功已接入网络的设备,上述认证请求帧是可控设备通过该可控设备中与接入设备连接的受控端口发送给该接入设备的。
步骤202,接入设备向可控设备发送认证应答帧,上述认证应答帧中携带接入设备的证书信息,以便可控设备提取上述认证应答帧中携带的接入设备的证书信息,将上述接入设备的证书信息封装在认证报文中发送给认证服务器,由认证服务器对上述接入设备的证书信息进行认证。
具体地,接入设备可以通过该接入设备中接收到认证请求帧的端口向可控设备发送认证应答帧。
进一步地,接入设备向可控设备发送认证应答帧之前,该接入设备还可以在获取正确的个人识别码(PersonalIdentificationNumber;以下简称:PIN)之后,从接入设备的证书存储介质中读取上述接入设备的证书信息。然后,将该接入设备的证书信息携带在认证应答帧中发送给可控设备。
其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
具体地,USB-key具有PIN码属性,可以通过命令行界面(CommandLineInterface;以下简称:CLI)命令在接入设备上配置USB-key对应的PIN码。只有接入设备获取的PIN码正确,该接入设备才可以从USB-key中读取该接入设备的证书信息。其中,该接入设备获取PIN码可以为:接入设备在每次认证,需要读取证书信息时,都要求用户输入PIN码,然后接收用户输入的PIN码;或者,PIN码可以预先保存在该接入设备中,在需要读取证书信息时,接入设备获取自身保存的PIN码。本发明对接入设备获取PIN码的方式不作限定。
进一步地,步骤202之后,在接入设备认证成功之后,接入设备定时或周期性对该接入设备的运行状态进行检查;如果接入设备的运行状态发生改变,则接入设备向可控设备和认证服务器通告该接入设备的运行状态发生改变。然后,接入设备通过可控设备向认证服务器发送重认证请求,该重认证请求中携带接入设备的证书信息,以使认证服务器对该接入设备的证书信息进行重认证。
而如果该接入设备的运行状态未发生改变,则上述接入设备通过可控设备向认证服务器通告该接入设备的运行状态未发生改变;以使认证服务器通知可控设备保持上述接入设备的通信。从而接入设备不需发起重认证过程,可以降低网络上由于重认证导致的大量认证交互报文,节省了网络资源。
其中,接入设备的运行状态发生改变可以包括接入设备中证书存储介质的状态发生改变、接入设备断电、接入设备重启和/或接入设备发生故障等。具体地,接入设备中证书存储介质的状态发生改变可以包括接入设备中插入的USB-key被拔出,或者接入设备被重新插入USB-key。
上述实施例可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。另外,本实施例中,当接入设备的运行状态未发生改变时,该接入设备可以向认证服务器通告该接入设备的运行状态未发生改变,这样认证服务器可以直接通知可控设备保持上述接入设备的通信。从而接入设备不需发起重认证过程,可以降低网络上由于重认证导致的大量认证交互报文,节省了网络资源。
图3为本发明网络设备的认证方法再一个实施例的流程图,如图3所示,该网络设备的认证方法可以包括:
步骤301,认证服务器接收可控设备发送的认证报文,上述认证报文中携带与可控设备连接的接入设备的证书信息。
其中,上述可控设备为认证成功已接入网络的设备,上述接入设备的证书信息携带在可控设备通过该可控设备的受控端口接收的认证应答帧中。
具体地,接入设备与可控设备连接之后,可控设备将该可控设备中与接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对上述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;然后可控设备通过上述受控端口向接入设备发送认证请求帧,以及通过该受控端口接收上述接入设备发送的认证应答帧,提取该认证应答帧中携带的接入设备的证书信息,将该接入设备的证书信息封装在认证报文,然后可控设备将该认证报文发送给认证服务器。
步骤302,认证服务器与CA中心进行交互,对接入设备的证书信息进行认证。
其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
进一步地,对上述接入设备的证书信息进行认证之后,认证服务器还可以接收接入设备通过上述可控设备发送的重认证请求;该重认证请求是接入设备确定上述接入设备的运行状态发生改变之后通过上述可控设备发送给认证服务器的;接下来,如果上述接入设备重认证成功,则认证服务器通知可控设备保持上述接入设备的通信;或者,如果上述接入设备重认证失败,则认证服务器通知可控设备对该接入设备发送的报文进行过滤阻断。
进一步地,对上述接入设备的证书信息进行认证之后,如果上述接入设备认证成功,则认证服务器记录该接入设备的证书信息、上述受控端口的认证状态信息和接入设备的IP地址。其中,该受控端口的认证状态可以为连接到该受控端口的接入设备认证成功或失败。
进一步地,对上述接入设备的证书信息进行认证之后,认证服务器可以定时通过可控设备向认证成功的接入设备发送存活探测报文,上述存活探测报文用于探测认证成功的接入设备的运行状态是否发生改变;然后,认证服务器接收上述认证成功的接入设备通过可控设备发送的应答报文,上述应答报文用于向认证服务器通告认证成功的接入设备的运行状态未发生改变;接下来,认证服务器可以通知可控设备保持上述认证成功的接入设备的通信。也就是说,本实施例中,认证服务器可以向认证成功的接入设备发送存活探测报文,然后接收认证成功的接入设备发送的应答报文,如果认证成功的接入设备的运行状态未发生改变,则认证服务器可以通知可控设备保持上述认证成功的接入设备的通信,这样,认证成功的接入设备就不需再发起重认证过程,从而可以降低网络中大量认证设备重认证过程引发的认证报文。
本实施例中,接入设备的运行状态发生改变可以包括接入设备中证书存储介质的状态发生改变、接入设备断电、接入设备重启和/或接入设备发生故障等。具体地,接入设备中证书存储介质的状态发生改变可以包括接入设备中插入的USB-key被拔出,或者接入设备被重新插入USB-key。
上述实施例中,认证服务器接收可控设备发送的认证报文,上述认证报文中携带与可控设备连接的接入设备的证书信息,然后,认证服务器与CA中心进行交互,对接入设备的证书信息进行认证。从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。另外,本实施例中,认证服务器可以向认证成功的接入设备发送存活探测报文,然后接收认证成功的接入设备发送的应答报文,如果认证成功的接入设备的运行状态未发生改变,则认证服务器可以通知可控设备保持上述认证成功的接入设备的通信,这样,认证成功的接入设备就不需再发起重认证过程,从而可以降低网络中大量认证设备重认证过程引发的认证报文,节省了网络资源。
图4为本发明网络设备的认证方法再一个实施例的流程图,如图4所示,该网络设备的认证方法可以包括:
步骤401,可控设备接入认证。
具体地,可控设备与认证服务器进行认证交互,可控设备认证成功后正常接入网络。
而如果可控设备认证失败,则上报告警信息,由管理员手动对可控设备的通信进行阻断。
步骤402,可控设备发现有接入设备与该可控设备连接,可控设备将该可控设备中与接入设备连接的端口设置为受控端口。
其中,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断。
步骤403,可控设备通过上述受控端口向接入设备发送认证请求帧,以触发接入设备进行认证。
步骤404,接入设备通过该接入设备与可控设备连接的端口接收认证请求帧,在获取正确的PIN之后,读取证书存储介质中存储的上述接入设备的证书信息。
具体地,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
具体地,USB-key具有PIN码属性,可以通过CLI命令在接入设备上配置USB-key对应的PIN码。只有接入设备获取的PIN码正确,该接入设备才可以从USB-key中读取该接入设备的证书信息。
在具体实现时,该接入设备获取PIN码可以为:接入设备在每次认证,需要读取证书信息时,都要求用户输入PIN码,然后接收用户输入的PIN码;或者,PIN码可以预先保存在该接入设备中,在需要读取证书信息时,接入设备获取自身保存的PIN码。本发明对接入设备获取PIN码的方式不作限定。
步骤405,接入设备将该接入设备的证书信息封装在认证应答帧中,通过该接入设备中接收到认证请求帧的端口发送给可控设备。
步骤406,可控设备通过受控端口接收到接入设备的认证应答帧之后,提取该认证应答帧中携带的接入设备的证书信息,将上述接入设备的证书信息封装在认证报文中。
其中,该认证报文可以为远程用户拨号认证(RemoteAuthenticationDialInUserService;以下简称:RADIUS)报文。
步骤407,可控设备将该认证报文发送给认证服务器。
步骤408,认证服务器与CA中心进行交互,对上述接入设备的证书信息进行认证。
具体地,认证服务器支持通过在线证书状态协议(OnlineCertificateStatusProtocol;以下简称:OCSP)协议或轻量目录访问协议(LightweightDirectoryAccessProtocol;以下简称:LDAP)协议与CA中心进行交互,验证上述接入设备的证书信息的有效性。
步骤409,如果接入设备认证成功,则可控设备接收认证服务器发送的认证成功响应,然后,可控设备将上述受控端口的过滤规则更改为允许接入设备发送的全部或部分报文通过。
具体地,具体地,可控设备可以将上述受控端口的过滤规则更改为允许接入设备发送的所有报文通过,或者允许接入设备发送的部分报文通过。
步骤410,如果接入设备认证失败,则可控设备接收认证服务器发送的认证失败响应,然后可控设备保持上述受控端口的过滤规则不变,继续对上述接入设备发送的报文进行过滤阻断。
也就是说,本实施例中,如果接入设备认证成功,则可控设备更改受控端口的过滤规则,放行该接入设备的网络通信;如果接入设备认证失败,则可控设备保持受控端口的过滤规则不变,继续阻断该接入设备的网络通信。
另外,可控设备支持配置白名单设备列表,该白名单设备列表中的设备无需认证即可接入网络。具体地,可控设备可以基于设备的IP地址进行控制,也就是说,可以在白名单设备列表中添加无需认证即可接入网络的设备的IP地址,该白名单设备列表中的IP地址对应的设备无需认证即可接入网络。
进一步地,如果接入设备认证成功,则认证服务器上会记录该接入设备的证书信息、上述受控端口的认证状态信息和接入设备的IP地址。然后,认证服务器可以定时通过可控设备向认证成功的接入设备发送存活探测报文,上述存活探测报文用于探测认证成功的接入设备的运行状态是否发生改变;然后,认证服务器接收上述认证成功的接入设备通过可控设备发送的应答报文,上述应答报文用于向认证服务器通告认证成功的接入设备的运行状态未发生改变;接下来,认证服务器可以通知可控设备保持上述认证成功的接入设备的通信。也就是说,本实施例中,认证服务器可以向认证成功的接入设备发送存活探测报文,然后接收认证成功的接入设备发送的应答报文,如果认证成功的接入设备的运行状态未发生改变,则认证服务器可以通知可控设备保持上述认证成功的接入设备的通信,这样,认证成功的接入设备就不需再发起重认证过程,从而可以降低网络中大量认证设备重认证过程引发的认证报文。其中,该受控端口的认证状态可以为连接到该受控端口的接入设备认证成功或失败。
上述实施例可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性,并且可以降低网络中大量认证设备重认证过程引发的认证报文。
下面对本发明图1~图4所示实施例中使用的报文格式进行介绍。
本发明图1~图4所示实施例中,认证请求帧的格式可以如表1所示。
表1
本发明图1~图4所示实施例中,认证应答帧的格式可以如表2所示。
表2
本发明实施例中的存活探测报文的格式可以如表3所示。
表3
本发明实施例中针对上述存活探测报文发送的应答报文的格式可以如表4所示。
表4
本发明图1~图4所示实施例提供的方法可以应用在图5所示的应用场景中,图5为本发明应用场景一个实施例的示意图。
图5中,可控设备1和可控设备2都是认证成功已接入网络的设备。接入设备1和接入设备2都是待认证设备。可控设备1中与接入设备1连接的端口为受控端口,可控设备2中与接入设备2连接的端口为受控端口。可控设备1和可控设备2中的受控端口默认阻止除用于认证的报文之外的所有报文通过。
接入设备1和接入设备2分别与可控设备1和可控设备2连接之后,可控设备1通过可控设备1的受控端口向接入设备1发送认证请求帧,可控设备2通过可控设备2的受控端口向接入设备2发送认证请求帧。
接入设备1和接入设备2收到认证请求帧后,触发认证。接入设备1和接入设备2上提示要求用户输入PIN码,以读取USB-key上的证书信息。
接入设备1接收到的PIN码正确,接入设备1将该接入设备1的USB-key中存储的该接入设备1的证书信息读取出来之后,携带在认证应答帧中,通过接入设备1中接收到认证请求帧的端口将认证应答帧发送出去。
可控设备1接收到接入设备1发送的认证应答帧之后,提取认证应答帧中携带的接入设备1的证书信息,将该接入设备1的证书信息封装在认证报文中,通过RADIUS协议将认证报文发送给认证服务器。
认证服务器通过OCSP协议或LDAP协议与CA中心进行交互,验证接入设备1的证书信息的有效性。并将认证成功结果通过认证服务器返回给可控设备1。
可控设备1接收到接入设备1认证成功的信息之后,更改可控设备1中与接入设备1连接的受控端口的过滤规则,放行接入设备1的通信。
接入设备2由于证书错误,或者没有证书,或者PIN码错误等各种原因,没有完成认证,认证服务器返回认证失败响应给可控设备2。可控设备2保持该可控设备2中与接入设备2连接到的受控端口的过滤规则不变,对接入设备2的通信进行过滤阻断。
本发明实施例支持管理员在可控设备2保存的白名单设备列表中手工添加接入设备2的IP地址,可控设备2将该信息同步给认证服务器,同时更改可控设备2中与接入设备2连接的受控端口的过滤规则,放行接入设备2的通信。
本发明通过PKI的安全体系,利用CA中心给设备颁发的数字证书对接入设备进行安全认证,可以使网络管理集中,统一,管理方便;并且可以控制内部网络私自接入网络设备导致的安全隐患;而基于PKI体系的安全认证具有保密性、完整性、真实性和不可否认性。基于证书认证的办法通过X.509证书校验设备的合法性,与用户无直接联系,不需要由用户自行安装软件,不需要考虑软件环境的兼容问题;另外,只有在认证成功之后,接入设备才可以进行通信,可以防止私自接入网络设备,以及防止自行扩容网络节点数,从而可以控制整网设备的节点数,防止由此带来的安全隐患,进一步提高网络安全性。另外,证书不容易被伪造,从而也可以提高网络安全性。并且,本发明实施例实现了基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,进一步提高了网络安全性。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图6为本发明网络设备的认证装置一个实施例的结构示意图,本实施例中的网络设备的认证装置可以设置在可控设备中,实现本发明图1所示实施例的流程,其中上述可控设备为认证成功已接入网络的设备,如图6所示,上述网络设备的认证装置可以包括:设置模块61、发送模块62、接收模块63和提取模块64;
其中,设置模块61,用于在接入设备与可控设备连接之后,将上述可控设备中与接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;
发送模块62,用于通过设置模块61设置的受控端口向接入设备发送认证请求帧。
接收模块63,用于通过设置模块61设置的受控端口接收上述接入设备发送的认证应答帧,该认证应答帧中携带上述接入设备的证书信息。具体地,接收模块63可以接收接入设备通过该接入设备接收到上述认证请求帧的端口发送的认证应答帧。
提取模块64,用于提取接收模块63接收的认证应答帧中携带的接入设备的证书信息;其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
发送模块62,还用于将提取模块64提取的接入设备的证书信息封装在认证报文中发送给认证服务器,以便认证服务器对该接入设备的证书信息进行认证。
进一步地,本实施例的一种实现方式中,接收模块63,还用于接收认证服务器发送的认证成功响应;这时,设置模块61,还用于在接收模块63接收认证成功响应之后,将上述受控端口的过滤规则更改为允许接入设备发送的全部或部分报文通过。
进一步地,本实施例的另一种实现方式中,接收模块63,还用于接收认证服务器发送的认证失败响应;这时,设置模块61,还用于保持上述受控端口的过滤规则不变。
上述实施例中,接入设备与认证成功已接入网络的可控设备连接之后,设置模块61将该可控设备中与上述接入设备连接的端口设置为受控端口,并由发送模块62通过上述受控端口向上述接入设备发送认证请求帧;然后,提取模块64提取接入设备发送的认证应答帧中携带的该接入设备的证书信息,再由发送模块62将该接入设备的证书信息封装在认证报文中发送给认证服务器,以便认证服务器对接入设备的证书信息进行认证,从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
图7为本发明网络设备的认证装置另一个实施例的结构示意图,本实施例中的网络设备的认证装置可以设置在接入设备中,实现本发明图2所示实施例的流程。如图7所示,该网络设备的认证装置可以包括:接收模块71和发送模块72;
接收模块71,用于在接入设备与可控设备连接之后,接收可控设备发送的认证请求帧;上述可控设备为认证成功已接入网络的设备,上述认证请求帧是可控设备通过该可控设备中与接入设备连接的受控端口发送给上述接入设备的;
发送模块72,用于向可控设备发送认证应答帧,该认证应答帧中携带接入设备的证书信息,以便该可控设备提取上述认证应答帧中携带的接入设备的证书信息,将该接入设备的证书信息封装在认证报文中发送给认证服务器,由认证服务器对上述接入设备的证书信息进行认证。
具体地,发送模块72可以通过接收模块71接收到认证请求帧的端口发送认证应答帧。
其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
上述实施例可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
图8为本发明网络设备的认证装置再一个实施例的结构示意图,与图7所示的网络设备的认证装置相比,不同之处在于,图8所示的网络设备的认证装置还可以包括:读取模块73;
读取模块73,用于在发送模块72发送认证应答帧之前,在获取正确的PIN之后,从接入设备的证书存储介质中读取上述接入设备的证书信息。
本实施例的一种实现方式中,上述网络设备的认证装置还可以包括:检查模块74和通告模块75;
检查模块74,用于在接入设备认证成功之后,定时或周期性对该接入设备的运行状态进行检查;
通告模块75,用于在检查模块74确定上述接入设备的运行状态发生改变之后,向可控设备和认证服务器通告该接入设备的运行状态发生改变;
发送模块72,还用于在检查模块74确定上述接入设备的运行状态发生改变之后,通过可控设备向认证服务器发送重认证请求,该重认证请求中携带接入设备的证书信息,以使认证服务器对该接入设备的证书信息进行重认证。
通告模块75,还用于当检查模块74确定上述接入设备的运行状态未发生改变时,通过可控设备向认证服务器通告该接入设备的运行状态未发生改变;以使认证服务器通知可控设备保持接入设备的通信。这样,接入设备不需发起重认证过程,可以降低网络上由于重认证导致的大量认证交互报文,节省了网络资源。
其中,接入设备的运行状态发生改变可以包括接入设备中证书存储介质的状态发生改变、接入设备断电、接入设备重启和/或接入设备发生故障等。具体地,接入设备中证书存储介质的状态发生改变可以包括接入设备中插入的USB-key被拔出,或者接入设备被重新插入USB-key。
上述实施例可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。另外,本实施例中,当接入设备的运行状态未发生改变时,通告模块75可以向认证服务器通告该接入设备的运行状态未发生改变,这样认证服务器可以直接通知可控设备保持上述接入设备的通信。从而接入设备不需发起重认证过程,可以降低网络上由于重认证导致的大量认证交互报文,节省了网络资源。
图9为本发明网络设备的认证装置再一个实施例的结构示意图,本实施例中的网络设备的认证装置设置在认证服务器中,可以实现本发明图3所示实施例的流程,如图9所示,该网络设备的认证装置可以包括:接收模块91和认证模块92;
其中,接收模块91,用于接收可控设备发送的认证报文,上述认证报文中携带与可控设备连接的接入设备的证书信息;上述可控设备为认证成功已接入网络的设备,上述接入设备的证书信息携带在可控设备通过该可控设备的受控端口接收的认证应答帧中。具体地,接入设备与可控设备连接之后,可控设备将该可控设备中与接入设备连接的端口设置为受控端口,该受控端口的过滤规则为对上述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;然后可控设备通过上述受控端口向接入设备发送认证请求帧,以及通过该受控端口接收上述接入设备发送的认证应答帧,提取该认证应答帧中携带的接入设备的证书信息,将该接入设备的证书信息封装在认证报文,然后可控设备将该认证报文发送给认证服务器。
认证模块92,用于与CA中心进行交互,对接入设备的证书信息进行认证。
其中,上述接入设备的证书信息可以为该接入设备的CA证书,该接入设备的CA证书由CA中心,将CA中心的公钥与接入设备的硬件信息绑定在一起,并对绑定后的信息进行签字后,便形成上述接入设备的CA证书,上述接入设备的CA证书可以存储在证书存储介质,例如:USB-key中。
上述接入设备的硬件信息可以包括以下信息:
1)自身产品型号;
2)物理端口类型;
3)物理端口个数;
4)硬件唯一标识符,例如:MAC地址;
5)背板类型(可选);
6)背板个数(可选)。
上述实施例中,接收模块91接收可控设备发送的认证报文,上述认证报文中携带与可控设备连接的接入设备的证书信息,然后,认证模块92与CA中心进行交互,对接入设备的证书信息进行认证。从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。
图10为本发明网络设备的认证装置再一个实施例的结构示意图,与图9所示的网络设备的认证装置相比,不同之处在于,上述网络设备的认证装置还可以包括:记录模块93;
记录模块93,用于当接入设备认证成功时,记录上述接入设备的证书信息、上述受控端口的认证状态信息和该接入设备的IP地址。其中,该受控端口的认证状态可以为连接到该受控端口的接入设备认证成功或失败。
进一步地,上述网络设备的认证装置还可以包括:发送模块94和通知模块95;
发送模块94,用于定时通过可控设备向认证成功的接入设备发送存活探测报文,上述存活探测报文用于探测认证成功的接入设备的运行状态是否发生改变;
接收模块91,还用于接收认证成功的接入设备通过可控设备发送的应答报文,上述应答报文用于向认证服务器通告认证成功的接入设备的运行状态未发生改变;
通知模块95,用于通知可控设备保持认证成功的接入设备的通信。这样,认证成功的接入设备就不需再发起重认证过程,从而可以降低网络中大量认证设备重认证过程引发的认证报文。
本实施例中,进一步地,接收模块91,还用于接收接入设备通过可控设备发送的重认证请求;上述重认证请求是接入设备确定该接入设备的运行状态发生改变之后通过可控设备发送给上述认证服务器的。这时,通知模块95,还用于当接入设备重认证成功时,通知可控设备保持该接入设备的通信;或者,当接入设备重认证失败时,通知上述可控设备对该接入设备发送的报文进行过滤阻断。
本实施例中,接入设备的运行状态发生改变可以包括接入设备中证书存储介质的状态发生改变、接入设备断电、接入设备重启和/或接入设备发生故障等。具体地,接入设备中证书存储介质的状态发生改变可以包括接入设备中插入的USB-key被拔出,或者接入设备被重新插入USB-key。
上述实施例中,接收模块91接收可控设备发送的认证报文,上述认证报文中携带与可控设备连接的接入设备的证书信息,然后,认证模块92与CA中心进行交互,对接入设备的证书信息进行认证。从而可以实现基于端口对网络设备的权限进行认证,进而可以实现对接入网络的所有设备进行认证,提高了网络安全性。另外,本实施例中,发送模块94可以向认证成功的接入设备发送存活探测报文,然后接收模块91接收认证成功的接入设备发送的应答报文,如果认证成功的接入设备的运行状态未发生改变,则通知模块95可以通知可控设备保持上述认证成功的接入设备的通信,这样,认证成功的接入设备就不需再发起重认证过程,从而可以降低网络中大量认证设备重认证过程引发的认证报文,节省了网络资源。
本发明实施例还提供一种可控设备,该可控设备为认证成功已接入网络的设备,该可控设备可以包括本发明图6所示的网络设备的认证装置。
本发明实施例还提供一种接入设备,该接入设备可以包括本发明图7或图8所示的网络设备的认证装置。
本发明实施例还提供一种认证服务器,该认证服务器可以包括本发明图9或图10所示的网络设备的认证装置。
本发明实施例还提供一种网络设备的认证系统,该网络设备的认证系统可以包括上述可控设备、上述接入设备和上述认证服务器。其中可控设备、接入设备和认证服务器可以按照图5所示的方式进行连接,可控设备、接入设备和认证服务器之间的交互可以参见本发明的方法实施例,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (22)
1.一种网络设备的认证方法,其特征在于,包括:
接入设备与可控设备连接之后,所述可控设备将所述可控设备中与所述接入设备连接的端口设置为受控端口,所述受控端口的过滤规则为对所述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;所述可控设备为认证成功已接入网络的设备;
所述可控设备通过所述受控端口向所述接入设备发送认证请求帧;
所述可控设备通过所述受控端口接收所述接入设备发送的认证应答帧,所述认证应答帧中携带所述接入设备的证书信息;
所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,以便所述认证服务器对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
2.根据权利要求1所述的方法,其特征在于,所述将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器之后,还包括:
所述可控设备接收所述认证服务器发送的认证成功响应,将所述受控端口的过滤规则更改为允许所述接入设备发送的全部或部分报文通过。
3.根据权利要求1所述的方法,其特征在于,所述将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器之后,还包括:
所述可控设备接收所述认证服务器发送的认证失败响应;
所述可控设备保持所述受控端口的过滤规则不变。
4.一种网络设备的认证方法,其特征在于,包括:
接入设备与可控设备连接之后,所述接入设备接收所述可控设备发送的认证请求帧;所述可控设备为认证成功已接入网络的设备,所述认证请求帧是所述可控设备通过所述可控设备中与所述接入设备连接的受控端口发送给所述接入设备的;
所述接入设备向所述可控设备发送认证应答帧,所述认证应答帧中携带所述接入设备的证书信息,以便所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,由所述认证服务器对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
5.根据权利要求4所述的方法,其特征在于,所述接入设备向所述可控设备发送认证应答帧之前,还包括:
所述接入设备获取正确的个人识别码之后,从所述接入设备的证书存储介质中读取所述接入设备的证书信息。
6.根据权利要求4或5所述的方法,其特征在于,所述接入设备向所述可控设备发送认证应答帧之后,还包括:
在所述接入设备认证成功之后,所述接入设备定时或周期性对所述接入设备的运行状态进行检查;
如果所述接入设备的运行状态发生改变,所述接入设备向所述可控设备和所述认证服务器通告所述接入设备的运行状态发生改变,并通过所述可控设备向所述认证服务器发送重认证请求,所述重认证请求中携带所述接入设备的证书信息,以使所述认证服务器对所述接入设备的证书信息进行重认证;
如果所述接入设备的运行状态未发生改变,则所述接入设备通过所述可控设备向所述认证服务器通告所述接入设备的运行状态未发生改变;以使所述认证服务器通知所述可控设备保持所述接入设备的通信。
7.一种网络设备的认证方法,其特征在于,包括:
认证服务器接收可控设备发送的认证报文,所述认证报文中携带与所述可控设备连接的接入设备的证书信息;所述可控设备为认证成功已接入网络的设备,所述接入设备的证书信息携带在所述可控设备通过所述可控设备的受控端口接收的认证应答帧中;
所述认证服务器与证书授权中心进行交互,对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
8.根据权利要求7所述的方法,其特征在于,所述对所述接入设备的证书信息进行认证之后,还包括:
如果所述接入设备认证成功,则所述认证服务器记录所述接入设备的证书信息、所述受控端口的认证状态信息和所述接入设备的因特网协议地址。
9.根据权利要求7或8所述的方法,其特征在于,所述对所述接入设备的证书信息进行认证之后,还包括:
所述认证服务器定时通过所述可控设备向认证成功的接入设备发送存活探测报文,所述存活探测报文用于探测所述认证成功的接入设备的运行状态是否发生改变;
所述认证服务器接收所述认证成功的接入设备通过所述可控设备发送的应答报文,所述应答报文用于向所述认证服务器通告所述认证成功的接入设备的运行状态未发生改变;
所述认证服务器通知所述可控设备保持所述认证成功的接入设备的通信。
10.一种网络设备的认证装置,其特征在于,所述网络设备的认证装置设置在可控设备中,所述可控设备为认证成功已接入网络的设备,所述网络设备的认证装置包括:
设置模块,用于在接入设备与所述可控设备连接之后,将所述可控设备中与所述接入设备连接的端口设置为受控端口,所述受控端口的过滤规则为对所述接入设备发送的除用于认证的报文之外的所有报文进行过滤阻断;
发送模块,用于通过所述设置模块设置的受控端口向所述接入设备发送认证请求帧;
接收模块,用于通过所述设置模块设置的受控端口接收所述接入设备发送的认证应答帧,所述认证应答帧中携带所述接入设备的证书信息;
提取模块,用于提取所述接收模块接收的认证应答帧中携带的所述接入设备的证书信息;
所述发送模块,还用于将所述提取模块提取的所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,以便所述认证服务器对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
11.根据权利要求10所述的装置,其特征在于,
所述接收模块,还用于接收所述认证服务器发送的认证成功响应;
所述设置模块,还用于在所述接收模块接收认证成功响应之后,将所述受控端口的过滤规则更改为允许所述接入设备发送的全部或部分报文通过。
12.根据权利要求10所述的装置,其特征在于,
所述接收模块,还用于接收所述认证服务器发送的认证失败响应;
所述设置模块,还用于保持所述受控端口的过滤规则不变。
13.一种网络设备的认证装置,其特征在于,所述网络设备的认证装置设置在接入设备中,所述网络设备的认证装置包括:
接收模块,用于在所述接入设备与可控设备连接之后,接收所述可控设备发送的认证请求帧;所述可控设备为认证成功已接入网络的设备,所述认证请求帧是所述可控设备通过所述可控设备中与所述接入设备连接的受控端口发送给所述接入设备的;
发送模块,用于向所述可控设备发送认证应答帧,所述认证应答帧中携带所述接入设备的证书信息,以便所述可控设备提取所述认证应答帧中携带的所述接入设备的证书信息,将所述接入设备的证书信息封装在认证报文中发送给所述认证服务器,由所述认证服务器对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
14.根据权利要求13所述的装置,其特征在于,还包括:
读取模块,用于在所述发送模块发送认证应答帧之前,在获取正确的个人识别码之后,从所述接入设备的证书存储介质中读取所述接入设备的证书信息。
15.根据权利要求13或14所述的装置,其特征在于,还包括:
检查模块,用于在所述接入设备认证成功之后,定时或周期性对所述接入设备的运行状态进行检查;
通告模块,用于在所述检查模块确定所述接入设备的运行状态发生改变之后,向所述可控设备和所述认证服务器通告所述接入设备的运行状态发生改变;
所述发送模块,还用于在所述检查模块确定所述接入设备的运行状态发生改变之后,通过所述可控设备向所述认证服务器发送重认证请求,所述重认证请求中携带所述接入设备的证书信息,以使所述认证服务器对所述接入设备的证书信息进行重认证;
所述通告模块,还用于当所述检查模块确定所述接入设备的运行状态未发生改变时,通过所述可控设备向所述认证服务器通告所述接入设备的运行状态未发生改变;以使所述认证服务器通知所述可控设备保持所述接入设备的通信。
16.一种网络设备的认证装置,其特征在于,所述网络设备的认证装置设置在认证服务器中,所述网络设备的认证装置包括:
接收模块,用于接收可控设备发送的认证报文,所述认证报文中携带与所述可控设备连接的接入设备的证书信息;所述可控设备为认证成功已接入网络的设备,所述接入设备的证书信息携带在所述可控设备通过所述可控设备的受控端口接收的认证应答帧中;
认证模块,用于与证书授权中心进行交互,对所述接入设备的证书信息进行认证;
其中,所述证书信息为所述接入设备的证书授权CA证书,所述CA证书通过将CA中心的公钥与接入设备的硬件信息绑定后进行签字形成的。
17.根据权利要求16所述的装置,其特征在于,还包括:
记录模块,用于当所述接入设备认证成功时,记录所述接入设备的证书信息、所述受控端口的认证状态信息和所述接入设备的因特网协议地址。
18.根据权利要求16或17所述的装置,其特征在于,还包括:发送模块和通知模块;
所述发送模块,用于定时通过所述可控设备向认证成功的接入设备发送存活探测报文,所述存活探测报文用于探测所述认证成功的接入设备的运行状态是否发生改变;
所述接收模块,还用于接收所述认证成功的接入设备通过所述可控设备发送的应答报文,所述应答报文用于向所述认证服务器通告所述认证成功的接入设备的运行状态未发生改变;
所述通知模块,用于通知所述可控设备保持所述认证成功的接入设备的通信。
19.一种可控设备,其特征在于,包括如权利要求10-12任意一项所述的网络设备的认证装置。
20.一种接入设备,其特征在于,包括如权利要求13-15任意一项所述的网络设备的认证装置。
21.一种认证服务器,其特征在于,包括如权利要求16-18任意一项所述的网络设备的认证装置。
22.一种网络设备的认证系统,其特征在于,包括如权利要求19所述的可控设备、如权利要求20所述的接入设备和如权利要求21所述的认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210583398.7A CN103036906B (zh) | 2012-12-28 | 2012-12-28 | 网络设备的认证方法、装置、接入设备和可控设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210583398.7A CN103036906B (zh) | 2012-12-28 | 2012-12-28 | 网络设备的认证方法、装置、接入设备和可控设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103036906A CN103036906A (zh) | 2013-04-10 |
| CN103036906B true CN103036906B (zh) | 2016-03-30 |
Family
ID=48023389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210583398.7A Active CN103036906B (zh) | 2012-12-28 | 2012-12-28 | 网络设备的认证方法、装置、接入设备和可控设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103036906B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3075184B1 (en) * | 2013-11-28 | 2021-10-20 | British Telecommunications public limited company | Network access fault reporting |
| US9596600B2 (en) * | 2014-04-25 | 2017-03-14 | Thomson Reuters Global Resources Uc | Systems and methods for generating location based entitlements |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN104486530A (zh) * | 2014-12-15 | 2015-04-01 | 上海合合信息科技发展有限公司 | 图像数据获取、认证装置,运行方法及其控制装置和方法 |
| CN110535730B (zh) * | 2019-09-23 | 2020-12-29 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714992A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种扩展实现安全数据通道的方法、装置和网络设备 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
-
2012
- 2012-12-28 CN CN201210583398.7A patent/CN103036906B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714992A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种扩展实现安全数据通道的方法、装置和网络设备 |
| CN101764742A (zh) * | 2009-12-30 | 2010-06-30 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN101917398A (zh) * | 2010-06-28 | 2010-12-15 | 北京星网锐捷网络技术有限公司 | 一种客户端访问权限控制方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103036906A (zh) | 2013-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110611564B (zh) | 一种基于时间戳的api重放攻击的防御系统及方法 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN100495963C (zh) | 一种公钥证书状态的获取及验证方法 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN103079200B (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| CN103036906B (zh) | 网络设备的认证方法、装置、接入设备和可控设备 | |
| CN102231729B (zh) | 支持多种ca身份认证的方法 | |
| CN103427992B (zh) | 用于在网络中的节点之间建立安全通信的方法和系统 | |
| US20050187966A1 (en) | Data communicating apparatus, data communicating method, and program | |
| EP2442204A1 (en) | System and method for privilege delegation and control | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN104125565A (zh) | 一种基于oma dm实现终端认证的方法、终端及服务器 | |
| CN101977383A (zh) | 网络接入的认证处理方法、系统、客户端和服务器 | |
| CN103595530A (zh) | 软件密钥更新方法和装置 | |
| JP2014531163A (ja) | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム | |
| CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
| CN109450865A (zh) | 基于jwt验证的api用户认证方法 | |
| US20080150753A1 (en) | Secure Data Transfer In A Communication System Including Portable Meters | |
| CN101800986A (zh) | 实现终端锁网及解锁的方法、装置 | |
| CN109412792A (zh) | 数字证书的生成、认证方法、通信设备及存储介质 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN102984045A (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN109347875A (zh) | 物联网设备、物联网平台及接入物联网平台的方法和系统 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| US9894048B2 (en) | Communications methods and appliances |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee before: Fujian Xingwangruijie Network Co., Ltd. |