CN103237038B - 一种基于数字证书的双向入网认证方法 - Google Patents
一种基于数字证书的双向入网认证方法 Download PDFInfo
- Publication number
- CN103237038B CN103237038B CN201310167733.XA CN201310167733A CN103237038B CN 103237038 B CN103237038 B CN 103237038B CN 201310167733 A CN201310167733 A CN 201310167733A CN 103237038 B CN103237038 B CN 103237038B
- Authority
- CN
- China
- Prior art keywords
- client
- certified
- certificate server
- certification
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及网络安全技术领域,本发明公开了一种基于数字证书的双向入网认证方法,其具体包括以下步骤:步骤1,将入网认证系统划分为接入区和可信区,将待认证客户端接入可信客户端的物理端口;步骤2.认证服务器收到待认证客户端的接入信息后主动向待认待证客户端发起入网认证;步骤3.待认证客户端收到入网认证后,向认证服务器提交设备认证信息,认证服务器收到认证信息后开始认证,并将认证结果反馈给待认证客户端。通过将待认证客户端和可信客户端进行物理连接,由认证服务器收到接入信息后主动向待认证客户端发起入网认证,从而实现路由设备、交换设备、安全防护设备等的入网身份认证,提高了网络的安全性和实用性。
Description
技术领域
本发明涉及网络安全技术领域,本发明公开一种基于数字证书的双向入网认证方法。
背景技术
入网认证技术对确保网络实体的安全可信,确保网络结构的稳定可靠,有着至关重要的作用。因此,目前业界对入网认证技术开展了很多卓有成效的研究和实践,提出了很多有效的入网认证技术手段。然而,现有入网认证技术主要针对的入网实体均为主机,主要采用或基于802.1x协议实现其验证过程。这些技术仅限于主机接入,无法满足一些安全防护要求较高的场合,以及对网络设备、安全防护设备等的入网认证需要。
通信网络中接入认证的系统及实现方法(专利号:200510085492申请/专利权人:华为技术有限公司)。其特征在于,包括:客户端:向集中认证服务器及服务提供认证节点发起认证,并获取服务提供节点提供的服务;集中认证服务器:用于对客户端的接入网络过程进行认证处理;服务提供认证节点:用于对客户端需要获取的服务进行认证处理;综合认证处理模块:根据集中认证服务器和服务提供认证节点的认证结果对客户端接入网络并获取服务的过程进行综合认证。其首先需要通过客户端向认证节点发起认证。
基于数字证书的网络接入认证方法和网络接入认证服务器(专利号:201010212904;申请/专利权人:赛尔网络有限公司)。其特征在于:本发明提供了一种网络接入认证方法和网络接入认证服务器。所述方法包括以下步骤:接收用户主机发送的用户数字证书;基于接收到的用户数字证书对用户进行身份认证;从用户数字证书中解析用户信息,并根据从用户数字证书中解析出的用户信息,通过查询访问控制列表,判断是否允许用户主机对目的地址进行访问;认证成功并且判断允许访问后,向接入控制网关发送对于所述用户主机的接入授权请求,并接收接入控制网关返回的对于所述用户主机的接入授权;以及将认证结果和接入授权结果发送给用户主机。其同样首先需要接收用户主机发起认证请求,发送用户的数字证书给认证服务器。
也就是说现有技术都只能实现客户端为主机的接入认证。同时,现有的入网认证手段,
均未考虑到对认证服务器的认证以及入网认证与入网实体安全管理相结合的问题。一方面,没有考虑到待认证客户端对服务器的身份认证问题,另一方面,没有考虑到可以通过入网认证协议交互过程,实现管理密钥的在线协商生成问题。而服务器的身份认证直接关系到网络的安全,入网后的设备管理也同时增加了管理的成本。
发明内容
针对现有技术中入网认证不能实现非主机入网认证的技术问题,公开了一种能够实现对网络设备、安全防护设备的入网接入认证的方法。同时本发明还公开了一种对认证服务器进行认证的方法,解决了现有技术中不能对认证服务器进行身份认证的技术问题。本发明还公开了在入网认证过程中同时实现管理密钥协商的方法,解决了现有技术中入网认证后期的管理问题。
本发明公开了一种基于数字证书的双向入网认证方法,其具体包括以下步骤:
步骤1,将入网认证系统划分为接入区和可信区,所述接入区包括至少一个待认证客户端,所述可信区包括认证服务器和已通过认证的可信客户端,将待认证客户端接入可信客户端的物理端口;
步骤2.认证服务器收到待认证客户端的接入信息后主动向待认待证客户端发起入网认证;
步骤3.待认证客户端收到入网认证后,向认证服务器提交设备认证信息,认证服务器收到认证信息后开始认证,并将认证结果反馈给待认证客户端。
通过将待认证客户端和可信客户端进行物理连接,由认证服务器收到接入信息后主动向待认证客户端发起入网认证,从而实现路由设备、交换设备、安全防护设备等的入网身份认证,提高了网络的安全性和实用性。
更进一步地,上述方法还包括:待认证客户端收到认证服务器发送的认证成功的结果后,对认证服务器的身份进行认证。
通过待认证客户端对认证服务器的身份认证,进一步提高了网络的安全性和可靠性。
更进一步地,上述对认证服务器的身份进行认证的过程具体为:认证服务器对待认证客户端认证成功后,使用认证服务器的私钥对随机数和时间戳进行加密,并将认证服务器的数字证书一并发送给待认证客户端;待认证客户端首先确认认证服务器的数字证书的有效性,然后对密文进行解密和验签获取明文信息,然后生成第一散列消息身份验证码,并将第一散列消息身份验证码经过加密和签名发送至认证服务器;认证服务器收到密文后,经过解密和验签,然后生成第二散列消息身份验证码,并将两个散列消息身份验证码进行比较得出比较结果,并将该比较结果签名反馈给待认证客户端;待认证客户端收到反馈结果后进行验签。
通过利用数字证书技术实现对认证服务器的实体进行身份鉴别,结合签名技术和随机数、时间戳,满足了更高的安全性需求。
更进一步地,上述所述待认证客户端和认证服务器上均分别设置密码模块,所述密码模块用于对认证服务器和待认证客户端之间的交互信息进行加密、解密、签名、验签等处理。
更进一步地,上述方法还包括认证服务器发送的密文中包括其数字证书更新标志,如果认证服务器已经通过一次待认证客户端的认证,则在后续的接入认证过程中,通过判断认证服务器发送的密文中的证书更新标志来决定是否需要再次认证认证服务器的数字证书,如果证书更新了需要认证,否则不需要认证。
更进一步地,上述方法还包括认证服务器收到待认证客户端的认证信息后开始认证,认证成功以后给每个待认证客户端分配一个管理密钥,并用待认证客户端的公钥对管理密钥进行加密;待认证客户端收到管理密钥密文后用自己的私钥进行解密,得到管理密钥,所述管理密钥用于入网后的安全管理。
通过认证服务器和待认证客户端在入网认证过程中在线协商动态生成管理密钥,大大提高入网认证的管理的效率,降低由于提高管理安全性而带来的实施成本。
更进一步地,上述方法还包括认证服务器定期对可信客户端发起认证,更新每个可信客户端的管理密钥。
定期对可信客户端进行入网认证和密钥管理,进一步降低了系统的风险。
本发明的有益效果为:通过将待认证客户端和可信客户端进行物理连接,由认证服务器收到接入信息后主动向待认证客户端发起入网认证,从而实现路由设备、交换设备、安全防护设备等的入网身份认证,提高了网络的安全性和实用性。同时实现了对认证服务器的认证,以及在认证过程中协商管理密钥。
附图说明
图1为入网认证的划分区域图。
图2为基于数字证书的双向入网认证方法的流程图。
具体实施方式
下面结合说明书附图,详细说明本发明的具体实施方式。
如图1所示的入网认证的划分区域图,本发明公开的基于数字证书的双向入网认证方法将入网认证系统划分为待接入区和可信区,所述待接入区包括至少一个待认证的客户端,所述可信区包括认证服务器和至少一个已经通过认证的可信客户端。
如图2所示的基于数字证书的双向入网认证方法的流程图。本发明公开了一种基于数字证书的双向入网认证方法,其具体包括以下步骤:
步骤1,将入网认证系统划分为接入区和可信区,所述接入区包括至少一个待认证客户端,所述可信区包括认证服务器和已通过认证的可信客户端,将待认证客户端接入可信客户端的物理端口;比如将待认证的路由器接入到已经通过认证的路由器的物理端口上。
步骤2.认证服务器收到待认证客户端的接入信息后主动向待认待证客户端发起入网认证。如果待认证客户端通过可信客户端的物理端口接入,可信客户端在发现端口变化后向认证服务器上报该接入信息。如果待认证客户端直接接入认证服务器的物理端口,则认证服务器确认接入信息后直接向待认待证客户端发起入网认证。
步骤3.待认证客户端收到入网认证后,向认证服务器提交设备认证信息,认证服务器
收到认证信息后开始认证,并将认证结果反馈给待认证客户端。其中设备认证信息可以包括待认证客户端的数字证书、IP地址、上连物理端口号、设备唯一标识和签名值等。其中认证服务器认证的信息包括待认证客户端的数字证书是否有效、待认证客户端与身份标识是否匹配,以及签名信息是否正确等。认证服务器可以设置为同时多项认证,也可以只认证其中的一项,这根据认证的严格程度进行灵活设定,本领域的普通技术人员都能实现,在此不再赘述。
现有技术中的客户端认证通常是基于802.1x协议,但这些都必须由客户端主动发起入网认证请求,所以这些技术仅限于能够实现主机即PC机的入网认证。而本发明中通过将待认证客户端和可信客户端进行物理连接,由认证服务器收到接入信息后主动向待认证客户端发起入网认证,从而实现路由设备、交换设备、安全防护设备等的入网身份认证,提高了网络的安全性和实用性。
更进一步地,上述方法还包括:待认证客户端收到认证服务器发送的认证成功的结果后,对认证服务器的身份进行认证。通过待认证客户端对认证服务器的身份认证,进一步提高了网络的安全性和可靠性。现有的入网认证技术都是建立在认证服务器是完全可信任的基础上。也就是说一旦认证服务器的身份存在问题,则存在非常大的安全隐患。本发明一方面通过认证服务器对待认证客户端进行认证,另外一方面又通过待认证客户端对认证服务器进行认证,实现双向入网认证。
更进一步地,上述对认证服务器的身份进行认证的过程具体为:认证服务器对待认证客户端认证成功后,使用认证服务器的私钥对随机数和时间戳进行加密,并将认证服务器的数字证书一并发送给待认证客户端;待认证客户端首先确认认证服务器的数字证书的有效性,然后对密文进行解密和验签获取明文信息,然后生成第一散列消息身份验证码HACM1,并将第一散列消息身份验证码HACM1经过加密和签名发送至认证服务器;认证服务器收到密文后,经过解密和验签,然后生成第二散列消息身份验证码HMAC2,并将HMAC2与HMAC1进行比较得出比较结果,并将该比较结果签名反馈给待认证客户端;待认证客户端收到反馈结果后进行验签,认证结束。通过上述方法,实现待认证客户端对认证服务器的认证,提高了认证的准确度。如果只是简单的签名处理,无法达到防伪造、抗重放等目的,本发明利用数字证书技术实现对认证服务器的实体进行身份鉴别,结合签名技术和随机数、时间戳,满足了更高的安全性需求。
所述待认证客户端和认证服务器上均分别设置密码模块,所述密码模块用于在认证服务器和待认证客户端之间的交互信息进行加密、解密、签名、验签等处理。密码模块用于对交互信息进行处理,其包括对对方的数字证书进行认证。其认证的内容包括但不限于认证数字证书信任链、证书撤销列表和证书有效期三个基本属性。当然还可以采用USBKEY或者其他方式对数字证书进行认证。
更进一步地,上述方法还包括认证服务器发送的密文中包括其数字证书更新标志,如果认证服务器已经通过一次待认证客户端的认证,则在后续的接入认证过程中,通过判断认证服务器发送的密文中的证书更新标志来决定是否需要再次认证认证服务器的数字证书,如果证书更新了需要认证,否则不需要认证。
更进一步地,上述方法还包括认证服务器收到待认证客户端的认证信息后开始认证,认证成功以后给每个待认证客户端分配一个管理密钥,并用待认证客户端的公钥对管理密钥进行加密;待认证客户端收到管理密钥密文后用自己的私钥进行解密,得到管理密钥,所述管理密钥用于入网后的安全管理。现有的入网认证技术,均未考虑到入网认证与入网实体安全管理相结合的问题,都只是解决了入网实体的身份鉴别等问题,而对实体入网后的安全管理方面鲜有涉及。本发明通过认证服务器和待认证客户端在入网认证过程中在线协商动态生成管理密钥,大大提高入网认证的管理的效率,降低由于提高管理安全性而带来的实施成本。
更进一步地,上述方法还包括认证服务器定期对可信客户端发起认证,更新每个可信客户端的管理密钥。定期对可信客户端进行入网认证和密钥管理,进一步降低了系统的风险。
上述的实施例中所给出的系数和参数,是提供给本领域的技术人员来实现或使用发明的,发明并不限定仅取前述公开的数值,在不脱离发明的思想的情况下,本领域的技术人员可以对上述实施例作出种种修改或调整,因而发明的保护范围并不被上述实施例所限,而应该是符合权利要求书提到的创新性特征的最大范围。
Claims (7)
1.一种基于数字证书的双向入网认证方法,其具体包括以下步骤:
步骤1,将入网认证系统划分为接入区和可信区,所述接入区包括至少一个待认证客户端,所述可信区包括认证服务器和已通过认证的可信客户端,将待认证客户端接入可信客户端的物理端口;
步骤2.认证服务器收到待认证客户端的接入信息后主动向待认证客户端发起入网认证;
步骤3.待认证客户端收到入网认证后,向认证服务器提交设备认证信息,认证服务器收到认证信息后开始认证,并将认证结果反馈给待认证客户端;
上述方法还包括:待认证客户端收到认证服务器发送的认证成功的结果后,对认证服务器的身份进行认证;所述对认证服务器的身份进行认证的过程具体为:认证服务器对待认证客户端认证成功后,使用认证服务器的私钥对随机数和时间戳进行加密,并将认证服务器的数字证书一并发送给待认证客户端;待认证客户端首先确认认证服务器的数字证书的有效性,然后对密文进行解密和验签获取明文信息,然后生成第一散列消息身份验证码,并将第一散列消息身份验证码经过加密和签名发送至认证服务器;认证服务器收到密文后,经过解密和验签,然后生成第二散列消息身份验证码,并将两个散列消息身份验证码进行比较得出比较结果,并将该比较结果签名反馈给待认证客户端;待认证客户端收到反馈结果后进行验签。
2.如权利要求1所述的基于数字证书的双向入网认证方法,其特征在于所述待认证客户端和认证服务器上均分别设置密码模块,所述密码模块用于在对认证服务器和待认证客户端之间的交互信息进行加密、解密、签名、验签处理。
3.如权利要求2所述的基于数字证书的双向入网认证方法,其特征在于所述方法还包括认证服务器发送的密文中包括其数字证书的更新标志,如果认证服务器已经通过一次待认证客户端的认证,则在后续的接入认证过程中,通过判断认证服务器发送的密文中的证书的更新标志来决定是否需要再次认证认证服务器的数字证书,如果证书更新了需要认证,否则不需要认证。
4.如权利要求3所述的基于数字证书的双向入网认证方法,其特征在于所述方法还包括认证服务器收到待认证客户端的认证信息后开始认证,认证成功以后给每个待认证客户端分配一个管理密钥,并用待认证客户端的公钥对管理密钥进行加密;待认证客户端收到管理密钥密文后用自己的私钥进行解密,得到管理密钥,所述管理密钥用于入网后的安全管理。
5.如权利要求4所述的基于数字证书的双向入网认证方法,其特征在于所述方法还包括认证服务器定期对可信客户端发起认证,并更新每个可信客户端的管理密钥。
6.如权利要求5所述的基于数字证书的双向入网认证方法,其特征在于所述待认证客户端为路由设备、交换设备、安全防护设备或者PC机。
7.如权利要求1所述的基于数字证书的双向入网认证方法,其特征在于待认证客户端通过可信客户端的物理端口接入,可信客户端在发现端口变化后向认证服务器上报该接入信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310167733.XA CN103237038B (zh) | 2013-05-09 | 2013-05-09 | 一种基于数字证书的双向入网认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310167733.XA CN103237038B (zh) | 2013-05-09 | 2013-05-09 | 一种基于数字证书的双向入网认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103237038A CN103237038A (zh) | 2013-08-07 |
CN103237038B true CN103237038B (zh) | 2016-01-13 |
Family
ID=48885055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310167733.XA Active CN103237038B (zh) | 2013-05-09 | 2013-05-09 | 一种基于数字证书的双向入网认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103237038B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111770071A (zh) * | 2020-06-23 | 2020-10-13 | 江苏易安联网络技术有限公司 | 一种网络隐身场景下网关认证可信设备的方法和装置 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9003507B2 (en) * | 2012-03-23 | 2015-04-07 | Cloudpath Networks, Inc. | System and method for providing a certificate to a third party request |
CN104954327B (zh) * | 2014-03-27 | 2019-02-22 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
CN107911384B (zh) * | 2014-05-29 | 2018-09-25 | 深圳市正骏科技有限公司 | 一种基于数字证书的小区管理系统及其方法 |
CN105933901A (zh) * | 2016-05-25 | 2016-09-07 | 深圳市共进电子股份有限公司 | 无线路由器的认证方法和系统 |
CN106453378A (zh) * | 2016-11-03 | 2017-02-22 | 东软集团股份有限公司 | 数据认证的方法、装置及系统 |
CN106506168A (zh) * | 2016-12-07 | 2017-03-15 | 北京信任度科技有限公司 | 一种安全的基于生物特征远程身份认证的方法 |
CN106878324B (zh) * | 2017-03-15 | 2020-03-13 | 中国联合网络通信集团有限公司 | 短信认证方法、短信认证服务器及终端 |
CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及系统 |
CN108989044A (zh) * | 2018-06-01 | 2018-12-11 | 四川斐讯信息技术有限公司 | 无线路由器的安全验证方法及安全验证系统 |
CN109033789B (zh) * | 2018-06-15 | 2021-01-01 | 北京文创园投资管理有限公司 | 一种确权证书的生成方法、装置和系统 |
CN111935213B (zh) * | 2020-06-29 | 2023-07-04 | 杭州创谐信息技术股份有限公司 | 一种基于分布式的可信认证虚拟组网系统及方法 |
CN111786797B (zh) * | 2020-07-03 | 2022-10-18 | 四川阵风科技有限公司 | 三方通信的时效性验证方法 |
CN114285591B (zh) * | 2021-10-22 | 2024-03-22 | 杭州贤芯科技有限公司 | 一种基于tcp自定义协议安全通信的设备接入平台方法 |
WO2023073166A1 (en) * | 2021-11-01 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Type-based authentication of edge enabler client (eec) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1501658A (zh) * | 2002-11-15 | 2004-06-02 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
CN1571333A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种触发802.1x认证过程的方法 |
CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
-
2013
- 2013-05-09 CN CN201310167733.XA patent/CN103237038B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1501658A (zh) * | 2002-11-15 | 2004-06-02 | 华为技术有限公司 | 一种基于802.1x协议的客户端认证方法 |
CN1501656A (zh) * | 2002-11-19 | 2004-06-02 | 华为技术有限公司 | 一种选择802.1x认证方式的方法 |
CN1571333A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种触发802.1x认证过程的方法 |
CN101119196A (zh) * | 2006-08-03 | 2008-02-06 | 西安电子科技大学 | 一种双向认证方法及系统 |
CN101711031A (zh) * | 2009-12-23 | 2010-05-19 | 杭州华三通信技术有限公司 | 一种本地转发中的Portal认证方法和接入控制器 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111770071A (zh) * | 2020-06-23 | 2020-10-13 | 江苏易安联网络技术有限公司 | 一种网络隐身场景下网关认证可信设备的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103237038A (zh) | 2013-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103237038B (zh) | 一种基于数字证书的双向入网认证方法 | |
CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
JP5513482B2 (ja) | ネットワーク内のステーション分散識別方法 | |
US10742426B2 (en) | Public key infrastructure and method of distribution | |
US11323433B2 (en) | Digital credential management method and device | |
US20140245409A1 (en) | Extension of the Attributes of a Credential Request | |
CN104202170B (zh) | 一种基于标识的身份认证系统和方法 | |
CN103634265B (zh) | 安全认证的方法、设备及系统 | |
CN112543166B (zh) | 实名登录的方法及装置 | |
CN112766962A (zh) | 证书的接收、发送方法及交易系统、存储介质、电子装置 | |
CN104486087A (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
CN103051459B (zh) | 安全卡的交易密钥的管理方法和装置 | |
CN112804356A (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
CN109728901A (zh) | 数字签名认证方法、装置和系统 | |
CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
CN103856463A (zh) | 基于密钥交换协议的轻量目录访问协议实现方法和装置 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
CN113364803B (zh) | 基于区块链的配电物联网的安全认证方法 | |
KR101962349B1 (ko) | 인증서 기반 통합 인증 방법 | |
CN113472528B (zh) | 一种机构间数据安全传输方法及系统 | |
CN117278330B (zh) | 一种电力物联网设备网络的轻量级组网与安全通信方法 | |
Su et al. | Consortium Blockchain Based Anonymous and Trusted Authentication Mechanism for IoT |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |