CN105981028B - 通信网络上的网络元件认证 - Google Patents
通信网络上的网络元件认证 Download PDFInfo
- Publication number
- CN105981028B CN105981028B CN201580007652.0A CN201580007652A CN105981028B CN 105981028 B CN105981028 B CN 105981028B CN 201580007652 A CN201580007652 A CN 201580007652A CN 105981028 B CN105981028 B CN 105981028B
- Authority
- CN
- China
- Prior art keywords
- network
- new
- interchanger
- discovery
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
在实施例中,公开了一种使得能够对连接到网络的设备进行认证的方法。所述方法还使得设备能够使用私钥对网络上的通信进行数字签名。当新设备被添加到网络时,移动设备可以连接到新设备。移动设备从新设备接收标识并通过公共网络向授权服务器发送所述标识。移动设备还可以向授权服务器发送针对私钥的请求。授权服务器包括被授权通过网络进行通信的设备的目录。如果新设备的标识存在于目录中,则授权服务器通过公共网络向移动设备发送私钥。移动设备向新设备转发私钥。
Description
技术领域
该技术领域一般地涉及网络安全。
背景技术
网络服务可以提供例如从客户网络到另一计算机网络(例如互联网)的连接。随着针对连接的客户需求增加,需要扩大网络覆盖范围。扩大网络覆盖范围可以包括添加新的网络设备。
为了防止将新设备未经授权添加到网络,当任何新设备连接到网络时,网络可以验证其标识。例如,网络服务器可以包括被授权连接到网络的设备的目录(inventory)。该目录可以是例如被授权在网络上进行通信的设备的物理地址列表。
为了进一步提高安全性,网络可能还需要设备加密其在网络上的通信。此类加密可以通过加密密钥发生。因此,新设备可以仅当其具有有效密钥时与网络的其余部分进行通信。然而,希望高效并安全的通过网络创建和分发加密密钥。对于连接到网络的经过授权的新设备,快速且高效的获得密钥的方法也是让人期待的。
发明内容
在一个实施例中,公开了一种用于在第一网络上认证新交换机的方法。在一些实施例中,所述方法在移动设备处通过到新交换机的直接连接接收标识新交换机的标识符。然后方法经由第二网络向认证服务器发送标识符,该认证服务器基于标识符确定新交换机是否被授权在第一网络上路由数据。在一些实施例中,第二网络是公共网络。当认证服务器确定新交换机被授权在第一网络上路由数据时,认证服务器通过第二、公共网络向新交换机发送私钥。私钥用于在第一网络上加密并解密发现分组。发现分组通告如何在第一网络上路由数据。所述方法通过直接连接使用私钥配置新交换机,以使得新交换机能够对所述发现分组进行数字签名。新交换机在网络上将被数字签名的发现分组发送到另一网络元件,所述另一网络元件使用数字签名认证发现分组,并且,当另一网络元件认证了发现分组时,所述另一网络元件开始向新交换机路由数据。
还公开了系统和计算机程序产品实施例。
以下参考附图详细描述本发明的其它实施例、特征、优点以及不同实施例的结构和操作。
附图说明
并入本文中并且形成说明书的一部分的附图示出了本公开内容,并且与描述一起进一步用于解释本公开的原则并且使相关领域技术人员能够利用和使用本公开内容。
图1是用于认证网络中的新交换机的系统图。
图2是示出了由网络中的新交换机对发现分组进行加密和解密的示例的图。
图3是由网络中的新交换机的邻近设备认证新交换机的方法的流程图。
图4是用于从认证服务器向网络中的新交换机发送新密钥的方法的流程图。
通常由相应附图标记中前一位或前几位数字表示元素第一次出现的附图。在附图中,相似的附图标记可以指示相同或功能相似的元素。
具体实施方式
如上所述,可能需要在向新交换机发送新私钥之前对该新交换机进行认证。而且,以快速且高效的方式发送私钥同样重要。实施例使得网络自动认证新交换机并通过网络向新交换机发送私钥。一旦私钥被发送到交换机,实施例使用私钥来对在新交换机和其邻近设备之间发送的发现分组进行加密和解密或数字签名。
图1是示出了用于认证网络中的新交换机的系统100的图。系统100包括两个网络:私有网络104和公共网络106。系统100还包括移动设备110和授权服务器102。每个组件如下所述。
私有网络104包括多个交换机,例如交换机130、132和136。在这个示例中,交换机134是新连接到网络104的交换机。新交换机134经由通信链路连接到交换机132,使得新交换机134与交换机132邻近。
授权服务器102被配置为授权新交换机通过私有网络104进行通信。在实施例中,授权服务器102包括密钥模块114和目录模块116。
目录模块116被配置为基于新交换机的标识符确定新交换机是否被授权在私有网络104上路由数据。例如,新交换机的标识符可以是其介质接入控制(MAC)地址。
模块目录116连接到模块数据库108,模块数据库108包括被授权在私有网络104中进行通信的交换机的标识符的列表。例如,模块数据库108可以是经过授权的网络交换机的MAC地址的列表。在该示例中,为了授权新交换机在私有网络104上进行通信,新交换机的MAC地址应当被添加到目录数据库108。
除了目录模块116,认证服务器102还包括密钥模块114。当认证服务器102确定新交换机134被授权在第一网络上路由数据,密钥模块114在私有网络104中向交换机发送密钥。在一些实施例中,密钥模块114周期性地创建新私钥。由密钥模块114生成的私钥被传送到私有网络104中的所有经过认证的交换机(包括新交换机134)。私钥可以具有期满时间。具体地,私钥可以自其由密钥模块114创建时开始有效并在其期满前保持有效。期满之前,密钥模块114确定具有新的、滞后的期满时间的新私钥。当新交换机被认证时,密钥模块114可以选择最新的私钥以发送到新交换机。备选地,当新交换机被认证时,秘钥模块114可以向新交换机发送所有有效密钥。
在一些实施例中,为了向新交换机134发送密钥,密钥模块114通过公共网络106向移动设备110发送密钥。公共网络106不同于私有网络104。例如,公共网络106可以是公共互联网。在实施例中,新交换机134经由连接152连接到移动设备112。在图1的示例实施例中,连接152直接将新交换机134上的端口150连接到移动设备110中的密钥更新模块112。
端口150可以是通用串行总线(USB)端口。另外,移动设备110中的密钥更新模块112可以经由其它短距离通信协议(例如火线、无线网络和蓝牙等)连接到新交换机134。为增加安全性,通信协议可以是满足:移动设备的用户必须是在新交换机134的物理存在中。在一些实施例中,技术人员140必须将新交换机134物理连接到移动设备110。
在连接到新交换机134后,密钥更新模块112请求来自新交换机134的标识。所述请求可以包括凭证(例如来自技术人员140的密码)以确定技术人员140是可信用户。如上所述,标识可以是新交换机134的MAC地址。在实施例中,在接收到交换机标识之后,密钥更新模块112通过公共网络106连接授权服务器102。
在连接到授权服务器102之后,密钥更新模块112为新交换机134请求来自授权服务器102的私钥。为了请求私钥,密钥更新模块112还向授权服务器102发送新交换机134的标识(例如MAC地址)。
在接收到来自密钥更新模块112的请求和交换机134的标识之后,授权服务器102验证新交换机134是否被授权使用私有网络104进行通信。为了验证新交换机134是否被授权使用私有网络104进行通信,授权服务器102可以确定新交换机134的标识是否是在目录数据库108中。另外,授权服务器102还可以确认:(1)具有该标识的交换机尚未连接到网络以避免欺骗;(2)具有该标识的新交换机预计在近期连接到网络(例如,通过在目录数据库108中列出的针对新交换机具有的有效时间段);或(3)新交换机134连接到在目录数据库108中列出的特定位置(例如,特定交换机上的特定端口)(例如,新交换机134连接到特定端口上的交换机132)。
如果授权服务器102授权新交换机134,则密钥模块114向密钥更新模块112发送有效私钥。密钥更新模块112通过连接152和端口150向新交换机134转发有效私钥。通过对有效私钥的使用,新交换机134能够在通信网络104中对到其邻近交换机的发现分组进行数字签名并可以对来自其邻近交换机的分组进行解密。这允许新交换机134在私有网络104中进行通信。
在一个实施例中,私有网络104中的每个交换机可以确定其自身的路由表,该路由表指定其如何转发数据。具体地,针对给定的目的地地址,路由表指定交换机应当向哪个端口转发数据。在另一实施例中,确定路由表的功能不是由交换机自身完成的,而是由单独的控制设备完成的。图2示出该实施例。
图2示出了包括用于配置网络上的交换机的控制器202的系统200。与图1的系统100相同,系统200还包括网络104和106、授权服务器102和移动设备110。
控制器202提供用于建立网络连接的智能路由。如此,控制器202需要了解(尽可能地)网络链路和设备的拓扑结构和状况。基于该全局了解,控制器202可以向位于私有网络104中的不同交换机提供配置需求以配置路由表。路由表可以被配置为将具有特定目的地的数据路由到交换机上的特定物理端口。备选地,路由表可以被配置为路由特定数据流(例如,具有特定协议、源/目的地地址、特定源/目的地端口的数据)到交换机上的特定物理端口。为了控制器202了解网络,控制器202可以泛洪(flood)发现分组(例如发现分组204)到交换设备。
发现分组204首先到达交换机130,因为交换机130直接连接控制器202。在接收到发现分组204之后,交换机130可以在除了接收到分组的端口之外的其所有端口上向外转发发现分组。当交换机130接收控制分组时,以及在转发控制分组之前,交换机130可以做出两处修改。第一,交换机130可以将其自身的标识符(例如其MAC地址)添加到发现分组。该地址被添加到控制分组的地址字段用于追踪控制分组经过的所有的转发设备。第二,交换机130可以修改控制分组的性能指标。例如,性能指标可以包括从控制器202发送发现分组到交换机130的延迟。可以(例如)使用链路层发现协议(LLDP)分组交换收集延迟信息。重新转发的分组可以从交换机130发送到连接交换机130的交换机132和136上。
交换机132和136可以以相同方式再次重新泛洪发现分组。通过这种方式,每个交换机可以确定到控制器130的路径。此外,每个交换机可以发送其自身的发现分组和确定的到控制器202的路径。这些发现分组通知本地拓扑结构的控制器202。例如,从每个交换机发送的这些发现分组包括邻近交换机的列表。基于该信息,控制器202可以重构拓扑结构。
通过这种方式,通过周期性地发送发现分组并转而接收分组,随着新交换机被放置在网络上,控制器202可以自动检测新交换机并相应地配置路由。然而,新交换机可被添加到网络上可能容易引入安全风险,具体地,如果交换机不全位于网络的服务提供商控制物理访问的区域中。
本文公开的实施例提供减轻这种安全风险的机制。如上所述,授权服务器102首先向控制器202发送其生成的任何新私钥以及发送密钥的期满时间。
由于通过私有网络104中的网络交换机泛洪发现分组,每个交换机使用有效的或未期满的对交换机可用的私钥的一个来解密发现分组。在实施例中,解密发现分组之后,网络交换机130使用发现分组中的信息发现到或来自控制器202的路径信息。然后交换机更新发现分组的路径信息并使用交换机的有效密钥之一对其进行数字签名。然后交换机在除了接收到发现分组的端口之外的其输出端口上泛洪被数字签名的发现分组。
通过使用发现分组中的路径信息,网络交换机建立去往或来自控制器的专用路径。通过使用这样的专用路径,网络交换机向控制器发送网络拓扑信息。控制器202将因此收集并建模网络的拓扑结构。通过使用该经过建模的网络拓扑结构,控制器202配置网络交换机通过网络路由数据。
在示例中,每次新交换机连接到网络,技术人员140都通过新交换机134上的端口150将新交换机134连接到移动设备110。在这样的实施例中,移动设备经由公共网络106将新交换机134连接到授权服务器102。如关于图1所描述,授权服务器102认证新交换机134。在实施例中,如果新交换机134被认证,则授权服务器102使用经由公共网络106和移动设备110的连接向新交换机134发送有效密钥。
在新交换机134具有有效密钥之后,新交换机134可以解密从其邻近交换机接收的发现分组。同时,新交换机134的邻近交换机将可以解密由新交换机134通过有效密钥进行数字签名的分组。因此,被认证并接收有效密钥之后,新交换机134可以通过发现分组继续接收由授权服务器102生成的新密钥。
如图2示例性实施例所示,控制器202向网络交换机130发送发现分组204。在收集发现分组204的路径信息之后,交换机130对发现分组进行数字签名并使用私钥在其到交换机132和136的端口上转发发现分组。在对称密钥安全方案中,可以通过使用私钥将分组加密来对分组进行数字签名。交换机132接收发现分组206。然后,在对称密钥方案中,交换机132通过使用相同的私钥成功解密分组以验证数字签名。备选地,当使用对称密钥安全方案对分组进行数字签名时,通过使用对应于私钥的公共密钥成功解密分组以验证数字签名。除了加密和解密整个分组,一些实施例可以仅加密和解密分组的一部分,例如由分组生成的哈希值。
在接收以及验证发现分组之后,交换机132向新交换机134转发发现分组208。发现分组208被交换机132以相同方式进行数字签名。
在示例性实施例中,通过使用通过公共网络106来自授权服务器的密钥,新交换机134解密发现分组208。通过使用秘钥,新交换机134还对其发送到其邻近交换机的分组进行数字签名。在验证来自新交换机134的被数字签名的分组的有效性之后,邻近交换机建立从新交换机到控制设备202的专用路径。
在图2的示例性实施例中,针对新交换机134建立通过交换机132和130到控制器的专用路径。建立专用路径之后,新交换机134向控制器202发送其邻近交换机的拓扑信息。
在实施例中,控制器202在到网络交换机的专用路径上发送其从授权服务器102接收的新密钥。因此,新交换机134还接收授权服务器102在来自控制器202的专用路径上生成的新密钥。
在实施例中,每个从控制器202发送的发现分组与最新的私钥一起被发送。备选地,发现分组可以和所有的有效密钥一起被发送。通过这种方式,由于发现分组通过交换机被重新泛洪,交换机可以在期满之前更新其密钥。
图3是示出了通过网络中的新交换机的邻近设备认证新交换机的方法300的流程图。在实施例中,通过邻近交换机的认证包括确定新交换机是否被授权建立到控制器的专用连接。
在步骤302处,新交换机的标识被添加到目录。在实施例中,标识是MAC地址,且新交换机的MAC地址被添加到目录。
在步骤304处,新交换机物理连接到网络。新交换机可以连接到至少一个邻近交换机。在步骤306处,当新交换机连接到网络时,其将开始向至少一个邻近交换机发送使用秘钥进行数字签名的发现分组。
在步骤308处,邻近交换机尝试使用在邻近交换机处可用的任何未期满的秘钥认证由新交换机发送的发现分组。如果在决定框310处邻近交换机认证由新交换机发送的发现分组,则邻近交换机将在步骤312处配置其路由表以向或从新交换机转发分组。
当新交换机在步骤304处被加入时,不仅新交换机在步骤306处开始发送分组,新交换机的邻近交换机也在步骤326处开始向新交换机发送发现分组。由邻近交换机发送的发现分组是被数字签名的。
在步骤328处,新交换机尝试认证其从邻近交换机接收的发现分组。如果在决定框330处新交换机处的认证成功,则新交换机将在步骤332处配置其路由表以向/从邻近交换机转发分组。
图4是示出了用于从认证服务器向网络中的新交换机发送新密钥的方法400的流程图。为了清楚起见,当针对图1的组件描述方法400时,熟练的技术人员将认识到其也可以在其它情况下使用。
在步骤402处,移动设备110连接到网络的新交换机。在实施例中,技术人员将新交换机连接到移动设备110。在步骤404处,移动设备110从新交换机接收交换机的标识,例如MAC地址。
在步骤406处,移动设备110向认证服务器102发送新交换机的标识以及针对新密钥的请求。在实施例中,步骤406中的请求是通过另一、公共网络发送的。
在步骤408处,认证服务器102从移动设备110接收认证请求。在步骤410处,授权服务器102对照其目录检查新交换机的标识。
如果新交换机的标识不在目录中,则方法400结束。在步骤414处,如果新交换机的ID在目录中,则授权服务器102通过另一、公共网络向新交换机发送新密钥。
在步骤416处,以在步骤414处来自授权服务器的最新密钥配置新交换机。
图1或图2中的每个设备和模块可以以硬件、软件、固件、或它们的任何组合来实现。
图1或图2中的每个设备和模块可以在相同或不同的计算设备上来实现。这样的计算设备可以包括但不限于:个人计算机、移动设备(例如移动电话)、工作站、嵌入系统、游戏控制台、电视、机顶盒、或任何其它计算设备。此外,计算设备可以包括但不限于:具有用于执行和存储指令的处理器和存储器(包括非易失性存储器)的设备。存储器可以有形地体现数据和程序指令。软件可以包括一个或多个应用和操作系统。硬件可以包括但不限于:处理器、存储器和图形用户界面显示。计算设备还可以包括多个处理器和多个共享的或单独的存储器组件。例如,计算设备可以是集群或分布式计算环境或服务器场的部分或全部。
标识符,例如“(a),”“(b),”“(i),”“(ii),”等有时被用于不同的元件或步骤。使用这些标识符是为了清楚起见而且针对元件或步骤不必指定顺序。
上文已经借助功能组成模块示出的特定功能及其中的关系的实现描述了本发明。这些功能组成模块的界限在本文被任意定义以便描述。只要指定的功能及其中的关系被适当地执行,可以定义备用界限。
具体实施例的前述描述如此充分地揭示了本发明的一般性质,以便其他人可以在无需过度实验、不偏离从本发明的一般概念的情况下通过运用本领域技术范围内的知识容易地修改和/或适应于这些具体实施方案的各种应用。因此,根据本文所呈现的教导和指导,这样的适应和修改意在涵盖于所公开的实施例的等价物的含义和范围内。应该理解的是,本文的措辞或术语是用于描述性目的而非限制性,以便本说明书的术语或措词被熟练的技术人员根据所述教导和指导以理解。
本发明的宽度和范围不应被任何上述示例性实施例所限制,而应仅根据以下权利要求和它们的等同物来限定。
Claims (26)
1.一种用于在第一网络上认证新交换机的方法,包括:
在移动设备处通过到所述新交换机的直接连接接收标识所述新交换机的标识符;
通过第二网络向认证服务器发送标识符,所述认证服务器基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据,其中,所述第二网络是公共网络;
当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时,通过第二、公共网络接收针对第一网络上的发现分组的私钥,所述发现分组通告如何在所述第一网络上路由数据;以及
通过所述直接连接,使用所述私钥配置所述新交换机,以使得所述新交换机能够对所述发现分组进行数字签名,其中,所述新交换机在所述第一网络上将经过数字签名的发现分组发送到另一网络元件,所述另一网络元件使用所述数字签名认证所述发现分组,并且,当所述另一网络元件认证了所述发现分组时,所述另一网络元件开始向所述新交换机路由数据。
2.根据权利要求1所述的方法,其中,所述私钥是对称的。
3.根据权利要求2所述的方法,其中,所述配置包括:使用所述私钥配置所述新交换机,以使得所述新交换机能够对来自所述另一网络元件的发现分组进行解密,所述经过解密的发现分组向所述新交换机指示如何在所述第一网络上路由数据。
4.根据权利要求3所述的方法,其中,所述另一网络元件是控制器,所述控制器针对数据流确定通过所述第一网络的路径,并配置所述第一网络上的多个交换机沿所确定的路径路由所述数据流。
5.根据权利要求4所述的方法,其中,所述发现分组标识邻近所述新交换机的附加交换机,其中,所述控制器使用所述发现分组来对所述第一网络的拓扑结构进行建模并基于所建模的拓扑结构确定所述路径。
6.根据权利要求4所述的方法,其中,响应于接收所述发现分组,所述新交换机请求创建到所述控制器的路径。
7.根据权利要求4所述的方法,其中,所述发现分组来自所述控制器并且包括新私钥,所述新私钥使得所述新交换机能够对来自所述控制器的附加发现分组进行解密。
8.根据权利要求7所述的方法,其中,所述新私钥具有期满时间。
9.根据权利要求8所述的方法,还包括:
由所述认证服务器在所述新私钥的期满时间之前生成另一私钥;以及
将所述另一私钥包括在另一发现分组中。
10.根据权利要求1所述的方法,其中,所述直接连接是USB、火线、或蓝牙连接。
11.根据权利要求1所述的方法,其中,所述标识符是所述新交换机的介质接入控制地址。
12.根据权利要求1所述的方法,其中,所述发送标识符包括向所述认证服务器发送请求,其中,所述认证服务器将所述请求认证为来自可信用户。
13.一种用于对附着到第一网络的设备进行认证的系统,包括:
新交换机,位于所述第一网络上,通过直接连接发送标识所述新交换机的标识符;
移动设备,通过所述直接连接接收所述标识符并通过第二网络发送所述标识符,其中,所述第二网络是公共网络;
认证服务器,通过所述第二网络从所述移动设备接收所述标识符,所述认证服务器包括:
目录模块,基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据,以及
密钥模块,当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时,通过所述第二网络向所述移动设备发送针对所述第一网络上的发现分组的私钥,所述发现分组通告如何在所述第一网络上路由数据,
其中,所述移动设备通过所述直接连接,使用所述私钥配置所述新交换机,以使得所述新交换机能够对所述发现分组进行数字签名,以及
其中,所述新交换机在所述第一网络上将经过数字签名的发现分组发送到另一网络元件,所述另一网络元件使用所述数字签名认证所述发现分组,并且,当所述另一网络元件认证了所述发现分组时,所述另一网络元件开始向所述新交换机路由数据。
14.根据权利要求13所述的系统,其中,所述私钥是对称的。
15.根据权利要求14所述的系统,其中,所述私钥使得所述新交换机能够对来自所述另一网络元件的发现分组进行解密,所述经过解密的发现分组向所述新交换机指示如何在所述第一网络上路由数据。
16.根据权利要求15所述的系统,其中,所述另一网络元件是控制器,所述控制器针对数据流确定通过所述第一网络的路径,并配置所述第一网络上的多个交换机沿所确定的路径路由所述数据流。
17.根据权利要求16所述的系统,其中,所述发现分组标识邻近所述新交换机的附加交换机,其中,所述控制器使用所述发现分组来对所述第一网络的拓扑结构进行建模并基于所建模的拓扑结构确定所述路径。
18.根据权利要求16所述的系统,其中,响应于接收所述发现分组,所述新交换机请求创建到所述控制器的路径。
19.根据权利要求16所述的系统,其中,所述发现分组来自所述控制器并且包括新私钥,所述新私钥使得所述新交换机能够对来自所述控制器的附加发现分组进行解密。
20.根据权利要求19所述的系统,其中,所述新私钥具有期满时间。
21.根据权利要求20所述的系统,其中,所述认证服务器还被配置为:
在所述新私钥的期满时间之前生成另一私钥;以及
向所述控制器发送所述另一私钥,以用于包括在另一发现分组中。
22.根据权利要求13所述的系统,其中,所述标识符是所述新交换机的介质接入控制地址。
23.根据权利要求13所述的系统,其中,所述目录模块基于具有所述标识符的另一交换机是否尚未连接到所述第一网络来确定所述新交换机被授权在所述第一网络上路由数据。
24.根据权利要求13所述的系统,还包括:
目录数据库,存储预计要连接到所述第一网络的交换机的标识和各个交换机预计要连接到所述第一网络的相应时间,
其中,所述目录模块基于所述目录数据库是否指示所述新交换机的所述标识符当前有效来确定所述新交换机被授权在所述第一网络上路由数据。
25.根据权利要求13所述的系统,还包括:
目录数据库,存储预计要连接到所述网络的交换机的标识和各个交换机预计要连接到所述第一网络的相应位置,
其中,所述目录模块基于所述目录数据库是否指示所述新交换机连接到相应预计位置来确定所述新交换机被授权在所述第一网络上路由数据。
26.一种有形地具有指令程序的程序存储设备,所述指令可由至少一个机器用来执行用于在第一网络上认证新交换机的方法,所述方法包括:
在移动设备处通过到所述新交换机的直接连接接收标识所述新交换机的标识符;
通过第二网络向认证服务器发送标识符,所述认证服务器基于所述标识符确定所述新交换机是否被授权在所述第一网络上路由数据,其中,所述第二网络是公共网络;
当所述认证服务器确定所述新交换机被授权在所述第一网络上路由数据时,通过第二、公共网络接收针对第一网络上的发现分组的私钥,所述发现分组通告如何在所述第一网络上路由数据;以及
通过所述直接连接,使用所述私钥配置所述新交换机,以使得所述新交换机能够对所述发现分组进行数字签名,其中,所述新交换机在所述第一网络上将经过数字签名的发现分组发送到另一网络元件,所述另一网络元件使用所述数字签名认证所述发现分组,并且,当所述另一网络元件认证了所述发现分组时,所述另一网络元件开始向所述新交换机路由数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/178,036 | 2014-02-11 | ||
| US14/178,036 US8949949B1 (en) | 2014-02-11 | 2014-02-11 | Network element authentication in communication networks |
| PCT/US2015/015002 WO2015123135A1 (en) | 2014-02-11 | 2015-02-09 | Network element authentication in communication networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105981028A CN105981028A (zh) | 2016-09-28 |
| CN105981028B true CN105981028B (zh) | 2019-04-09 |
Family
ID=52395900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580007652.0A Expired - Fee Related CN105981028B (zh) | 2014-02-11 | 2015-02-09 | 通信网络上的网络元件认证 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8949949B1 (zh) |
| EP (1) | EP2905940B1 (zh) |
| JP (1) | JP6453351B2 (zh) |
| CN (1) | CN105981028B (zh) |
| CA (1) | CA2881575C (zh) |
| HK (1) | HK1213106A1 (zh) |
| WO (1) | WO2015123135A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9900217B2 (en) * | 2014-03-26 | 2018-02-20 | Arista Networks, Inc. | Method and system for network topology enforcement |
| JP6226080B2 (ja) * | 2014-09-25 | 2017-11-08 | 日本電気株式会社 | 通信制御装置、通信制御方法、通信制御プログラム、及び、情報システム |
| KR102088523B1 (ko) * | 2017-12-28 | 2020-03-12 | 주식회사 엘핀 | 하이브리드 패스워드 인증 방법 및 시스템 |
| US11025592B2 (en) | 2019-10-04 | 2021-06-01 | Capital One Services, Llc | System, method and computer-accessible medium for two-factor authentication during virtual private network sessions |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926810A (zh) * | 2004-03-03 | 2007-03-07 | 三菱电机株式会社 | 第二层交换网络系统 |
| CN101690287A (zh) * | 2007-04-20 | 2010-03-31 | Lm爱立信电话有限公司 | 用于移动设备授证的方法和系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7117526B1 (en) * | 1999-10-22 | 2006-10-03 | Nomadix, Inc. | Method and apparatus for establishing dynamic tunnel access sessions in a communication network |
| EP1102430A1 (en) * | 1999-10-27 | 2001-05-23 | Telefonaktiebolaget Lm Ericsson | Method and arrangement in an ad hoc communication network |
| AU2003217819B2 (en) * | 2002-03-01 | 2008-04-03 | Extreme Networks, Inc. | Location aware data network |
| US7508801B1 (en) * | 2003-03-21 | 2009-03-24 | Cisco Systems, Inc. | Light-weight access point protocol |
| US7512969B2 (en) * | 2003-11-21 | 2009-03-31 | Time Warner Cable, A Division Of Time Warner Entertainment Company, L.P. | System and method for detecting and reporting cable network devices with duplicate media access control addresses |
| CA2571814C (en) * | 2004-12-30 | 2012-06-19 | Bce Inc. | System and method for secure access |
| JP4620527B2 (ja) * | 2005-06-03 | 2011-01-26 | 株式会社日立製作所 | パケット通信装置 |
| US20080263647A1 (en) * | 2006-07-21 | 2008-10-23 | General Electric Company | System and Method For Providing Network Device Authentication |
| JP4714111B2 (ja) * | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | 管理計算機、計算機システム及びスイッチ |
| TWI340578B (en) * | 2006-12-10 | 2011-04-11 | Cameo Communications Inc | A method for anti-rogue connection in a network system |
| US8504718B2 (en) * | 2010-04-28 | 2013-08-06 | Futurewei Technologies, Inc. | System and method for a context layer switch |
| US8391496B2 (en) * | 2010-06-03 | 2013-03-05 | Digi International Inc. | Smart energy network configuration using an auxiliary gateway |
| WO2012014294A1 (ja) * | 2010-07-28 | 2012-02-02 | 富士通株式会社 | 鍵設定方法、ノード、およびネットワークシステム |
| WO2012068045A2 (en) * | 2010-11-15 | 2012-05-24 | Trilliant Holdings Inc. | System and method for securely communicating across multiple networks using a single radio |
| US20120324218A1 (en) * | 2011-06-17 | 2012-12-20 | Duren Michael J | Peer-to-Peer Trusted Network Using Shared Symmetric Keys |
| US8848700B2 (en) * | 2011-09-30 | 2014-09-30 | Electronics And Telecommunications Research Institute | Method for device-to-device communication based on cellular telecommunication system |
-
2014
- 2014-02-11 US US14/178,036 patent/US8949949B1/en active Active
-
2015
- 2015-02-05 EP EP15154009.3A patent/EP2905940B1/en not_active Not-in-force
- 2015-02-09 CN CN201580007652.0A patent/CN105981028B/zh not_active Expired - Fee Related
- 2015-02-09 WO PCT/US2015/015002 patent/WO2015123135A1/en active Application Filing
- 2015-02-09 JP JP2016548364A patent/JP6453351B2/ja active Active
- 2015-02-11 CA CA2881575A patent/CA2881575C/en not_active Expired - Fee Related
-
2016
- 2016-01-26 HK HK16100867.2A patent/HK1213106A1/zh not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1926810A (zh) * | 2004-03-03 | 2007-03-07 | 三菱电机株式会社 | 第二层交换网络系统 |
| CN101690287A (zh) * | 2007-04-20 | 2010-03-31 | Lm爱立信电话有限公司 | 用于移动设备授证的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017506454A (ja) | 2017-03-02 |
| EP2905940A1 (en) | 2015-08-12 |
| CA2881575C (en) | 2015-09-15 |
| CA2881575A1 (en) | 2015-04-20 |
| US8949949B1 (en) | 2015-02-03 |
| CN105981028A (zh) | 2016-09-28 |
| WO2015123135A1 (en) | 2015-08-20 |
| HK1213106A1 (zh) | 2016-06-24 |
| EP2905940B1 (en) | 2016-09-14 |
| JP6453351B2 (ja) | 2019-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
| US9735957B2 (en) | Group key management and authentication schemes for mesh networks | |
| CN102883316B (zh) | 建立连接的方法、终端和接入点 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| EP2506491B1 (en) | Encryption information transmission terminal | |
| US9356776B2 (en) | Key managing system and method for sensor network security | |
| CN112243235B (zh) | 适用于天地一体化的群组接入认证和切换认证方法及应用 | |
| CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| CN105981028B (zh) | 通信网络上的网络元件认证 | |
| CN101110672A (zh) | 通信系统中建立esp安全联盟的方法和系统 | |
| CN107409048A (zh) | 基于公钥的网络 | |
| CN110943835A (zh) | 一种发送无线局域网信息的配网加密方法及系统 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
| JP2007074391A (ja) | 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| Martignon et al. | Design and implementation of MobiSEC: A complete security architecture for wireless mesh networks | |
| JP2017506454A5 (zh) | ||
| US8031596B2 (en) | Router associated to a secure device | |
| Yang et al. | Design of Key Management Protocols for Internet of Things. | |
| CN104703174A (zh) | 一种无线Mesh网络路由安全保护方法 | |
| CN104486082A (zh) | 认证方法和路由器 | |
| CN107295015B (zh) | 一种交通信号机通信方法 | |
| Martignon et al. | DSA‐Mesh: a distributed security architecture for wireless mesh networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190409 Termination date: 20200209 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |