CN109842584B - 认证的方法及网络装置 - Google Patents
认证的方法及网络装置 Download PDFInfo
- Publication number
- CN109842584B CN109842584B CN201711197746.6A CN201711197746A CN109842584B CN 109842584 B CN109842584 B CN 109842584B CN 201711197746 A CN201711197746 A CN 201711197746A CN 109842584 B CN109842584 B CN 109842584B
- Authority
- CN
- China
- Prior art keywords
- network device
- ldevid
- domain name
- domain
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请提供了一种认证方法。网络装置接收电路代理发送的域名,所述电路代理发送的域名指示所述电路代理所属的域。所述网络装置确定所述电路代理发送的域名与所述网络装置已保存的本地设备标识中的域名是否相同。当所述网络装置确定所述电路代理发送的域名与所述本地设备标识中的域名相同时,所述网络装置确定所述网络装置对所述电路代理的认证获得通过。此外,还公开了网络装置。上述方案可以实现网络装置对电路代理的认证。
Description
技术领域
本申请涉及通信领域,尤其涉及一种认证的方法及网络装置。
背景技术
网络装置上电(power on)后,网络装置通过承担宣誓(pledge)的角色获取并保存本地设备标识(Local Device Identity,LDevID)。具体来说,网络装置根据通过安全传输进行登记(Enrollment over Secure Transport,EST)协议经由电路代理(circuit proxy)获取来自域记录者(domain registrar)的LDevID,从而使得网络装置加入所述circuitproxy所属的域(domain)。然后,所述网络装置利用LDevID对所述circuit proxy进行认证。关于EST协议,可以参考互联网工程任务组(Internet Engineering Task Force,IETF)发布的RFC7030。关于pledge、circuit proxy以及domain registrar,请参考IETF发布的draft-ietf-anima-bootstrapping-keyinfra-07。关于LDevID,请参考IETF发布的draft-ietf-anima-autonomic-control-plane-08。
已保存了LDevID的网络装置下电(power off)后,所述网络装置再次上电时,所述网络装置仍然需要根据EST协议请求domain registrar提供LDevID。由于所述网络装置已获取了LDevID,所述网络装置向domain registrar提出的请求可能被拒绝。以上导致所述网络装置无法实现对circuit proxy的认证。
发明内容
第一方面,本申请实施例提供了一种认证方法。所述认证方法包括如下步骤。网络装置接收circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuitproxy所属的域。所述网络装置确定所述circuit proxy发送的域名与所述网络装置已保存的LDevID中的域名是否相同。当所述网络装置确定所述circuit proxy发送的域名与所述LDevID中的域名相同时,所述网络装置确定所述网络装置对所述circuit proxy的认证获得通过。
上述技术方案中,网络装置接收到circuit proxy发送的域名后,网络装置利用所述网络装置已保存的LDevID实现了对circuit proxy的认证。因此,上述方案可以实现网络装置对circuit proxy的认证。
可选地,上述技术方案中,所述网络装置接收所述circuit proxy发送的域名之前,所述方法还包括:所述网络装置上电。所述网络装置上电之后,以及,所述网络装置确定所述网络装置对所述circuit proxy的认证获得通过之前,所述网络装置避免使用通过安全传输进行登记EST协议获得来自domain registrar的LDevID。
上述技术方案中,在所述网络装置已保存了LDevID的情况下,可以避免所述网络装置重新启动后使用EST协议请求domain registrar向所述网络装置分发LDevID。有助于降低所述网络装置的开销。另外,可以避免domain registrar拒绝向所述网络装置分发LDevID而导致所述网络装置无法对所述circuit proxy进行认证。提高了所述网络装置对所述circuit proxy的认证获得通过的成功率。
可选地,上述技术方案中,所述网络装置已保存的LDevID是所述网络装置在所述网络装置上电之前,所述网络装置使用EST协议从所述doma in registrar获得的。
可选地,上述技术方案中,所述circuit proxy发送的域名携带在洪水消息(flood-message)中。
可选地,上述技术方案中,还包括:当所述网络装置确定所述网络装置已保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。
上述技术方案中,所述网络装置已保存的LDevID尚未失效时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。相对于所述网络装置已保存的LDevID处于失效状态时,所述网络装置请求对所述网络装置已保存的LDevID进行更新的技术方案,上述技术方案提前请求对所述网络装置已保存的LDevID进行更新,有助于避免所述网络装置由于已保存的LDevID失效而导致的问题。例如,所述网络装置已保存的LDevID失效可能导致所述网络装置无法接入网络。
第二方面,提供了一种网络装置。所述网络装置包括收发器、处理器以及存储器。其中,所述存储器用于保存LDevID,所述收发器用于接收circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuit proxy所属的域,所述处理器用于:确定所述circuit proxy发送的域名与所述存储器保存的本地设备标识LDevID中的域名是否相同;当所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
上述技术方案中,网络装置接收到circuit proxy发送的域名后,网络装置利用所述网络装置已保存的LDevID实现了对circuit proxy的认证。因此,上述方案可以实现网络装置对circuit proxy的认证。
可选地,上述技术方案中,所述装置还包括电源适配器。所述电源适配器用于在所述收发器接收所述circuit proxy发送的域名之前,对所述网络装置上电。所述电源适配器对所述网络装置上电之后,以及,所述处理器确定所述circuit proxy发送的域名与所述存储器保存的本地设备标识LDevID中的域名是否相同之前,所述处理器还用于避免使用通过安全传输进行登记EST协议获得来自domain registrar的LDevID。
上述技术方案中,在所述网络装置已保存了LDevID的情况下,可以避免所述网络装置重新启动后使用EST协议请求domain registrar向所述网络装置分发LDevID。有助于降低所述网络装置的开销。另外,可以避免domain registrar拒绝向所述网络装置分发LDevID而导致所述网络装置无法对所述circuit proxy进行认证。提高了所述网络装置对所述circuit proxy的认证获得通过的成功率。
可选地,上述技术方案中,所述存储器保存的LDevID是所述电源适配器对所述网络装置上电之前,所述处理器使用EST协议从所述domain registrar获得的。
可选地,上述技术方案中,所述circuit proxy发送的域名携带在flood-message中。
可选地,上述技术方案中,所述处理器还用于:当所述存储器中保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,请求对所述存储器中保存的LDevID进行更新。
上述技术方案中,所述网络装置已保存的LDevID尚未失效时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。相对于所述网络装置已保存的LDevID处于失效状态时,所述网络装置请求对所述网络装置已保存的LDevID进行更新的技术方案,上述技术方案提前请求对所述网络装置已保存的LDevID进行更新,有助于避免所述网络装置由于已保存的LDevID失效而导致的问题。例如,所述网络装置已保存的LDevID失效可能导致所述网络装置无法接入网络。
第三方面,提供了一种网络装置。所述网络装置包括接收单元、第一确定单元以及第二确定单元。第三方面提供的网络装置可以用于执行第一方面提供的方法。其中,接收单元用于接收circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuitproxy所属的域;第一确定单元用于确定所述circuit proxy发送的域名与所述网络装置已保存的LDevID中的域名是否相同;第二确定单元用于当所述网络装置确定所述circuitproxy发送的域名与所述LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
上述技术方案中,网络装置接收到circuit proxy发送的域名后,网络装置利用所述网络装置已保存的LDevID实现了对circuit proxy的认证。因此,上述方案可以实现网络装置对circuit proxy的认证。
第四方面,提供了一种网络装置。所述网络装置包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口通过通信总线连接。所述存储器用于存储程序。所述处理器根据从所述存储器中读取的程序,执行第一方面提供的方法。
第五方面,提供了一种计算机可读存储介质。所述计算机可读存储介质保存计算机程序。当所述计算机程序被处理器或计算机执行时,可以使得所述处理器或者所述计算机执行第一方面提供的方法。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍。显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络的结构示意图。
图2为本申请实施例提供的一种网络装置加入域的流程示意图。
图3为本申请实施例提供的一种认证方法的流程示意图。
图4为本申请实施例提供的一种认证方法的流程示意图。
图5为本申请实施例提供的一种网络装置的结构示意图。
图6为本申请实施例提供的一种网络装置的结构示意图。
图7为本申请实施例提供的一种网络装置的结构示意图。
具体实施方式
图1为本发明实施例提供的一种网络的结构示意图。参见图1,所述网络包括客户边缘设备CE 101、CE 104、运营商边缘设备PE 102、PE 103以及服务器105。举例来说,CE可以是Customer Edge Router(CE-R)或者Customer Edge Switch(CE-S)。PE可以是ProviderEdge Router(PE-R)或者Provider Edge Switch(PE-S)。关于PE、PE-R、PE-S、CE、CE-R以及CE-S的定义及功能可以参考RFC4026。服务器105可以是Provider device。关于Providerdevice的定义及功能,可以参考RFC4031。
上述网络可以用于提供L2VPN业务。所述L2VPN业务可以实现位于不同城市的主机之间的通信。假设CE101、PE102、PE103、CE104位于一个L2VPN中,例如CE101可以位于纽约。CE101可以将位于纽约的多个主机(图中未示出)接入所述L2VPN。例如,CE104可以位于洛杉矶。类似地,CE104可以将位于洛杉矶的多个主机(图中未示出)接入所述L2VPN。进而,实现了位于不同城市的主机之间的通信。
图1所示的网络可以是某个网络运营商建设并运营的。例如,网络运营商可以是comcast、verizon或者telefonica。网络运营商建设网络时,可以将多个网络装置逐个接入到该网络中。为了确保网络安全,每个网络装置接入该L2VPN网络前,可以将网络装置加入到域。当网络装置接收域证书的颁发者颁发的域证书时,网络装置加入了域。例如,自治业务代理(autonomic service agent,ASA)可以根据通用自治信令协议(Generic AutonomicSignaling Protocol,GRASP)对该网络装置进行发现、认证以及协商。关于GRASP,可以参考draft-ietf-anima-grasp-09。
假设网络运营商利用两个阶段将网络装置加入到域证书颁发者所属的域。在第一阶段,网络运营商将PE102、PE103、CE104加入到域证书颁发者所属的域。在第二阶段,网络运营商将CE101加入到域证书颁发者所属的域。
服务器105能够对需要加入到域的网络装置进行管理。具体来说,服务器105能够向需要加入到域的网络装置颁发域证书。服务器105颁发的域证书中包含颁发者的名称(Issuer Name)。域证书中包含的颁发者的名称也可以称为域名。域证书是服务器105颁发的,因此,颁发者的名称是服务器105的标识。当网络装置接收到服务器105颁发的域证书时,网络装置加入到服务器105所属的域。
服务器105具有Domain Registrar的功能。在第一阶段中,服务器105承担DomainRegistrar的角色。PE102、PE103、CE104根据引导远程安全密钥基础设施(BootstrappingRemote Secure Key Infrastructures,BRSKI),分别与服务器105进行交互,获得服务器105颁发的证书。PE102、PE103、CE104分别获得服务器105颁发的证书后,PE102、PE103、CE104加入到服务器105所属的域。
第一阶段之后,在第二阶段中,服务器105承担Domain Registrar的角色,PE102具有Circuit Proxy的功能。因此,当新的网络装置,比如客户边缘设备101需要经由PE102加入所述服务器105所属的域时,PE102承担Circuit Proxy的角色。其中,新的网络装置,比如客户边缘设备101加入所述服务器105所属的域的过程中,客户边缘设备101承担Pledge的角色。服务器105、PE102以及CE101根据GRASP执行发现、认证以及协商。
图2为本申请实施例提供的一种网络装置加入服务器105所属的域的流程示意图。图1中CE101可以是设备提供商向网络运营商提供的。设备提供商可以思科或者华为。CE101中保存了设备提供商为CE101分配的IDevID。举例来说,IDevID可以是X.509证书。关于IDevID,可以参考draft-ietf-anima-autonomic-control-plane-08对IDevID的描述,此处不再赘述。
将设备提供商提供的CE101连接到PE102后,网络运营商的工程师可以通过按压CE101的电源按钮(power button),从而使得CE101上电。所述上电可以是CE101的首次上电。CE101上电后,CE101可以监听M_FLOOD消息。下文结合图1对当CE101承担Pledge的角色时,CE101加入域的过程进行说明。
S201.CE101接收PE102发送的M_FLOOD消息。
具体来说,当PE102承担ASA的角色时,PE102可以通过GRASP M_FLOOD机制,周期性地向与PE102通信连接的客户边缘设备发布M_FLOOD消息。关于GRASP M_FLOOD机制,可以参考draft-ietf-anima-bootstrapping-keyinfra-07的描述。
S202.CE101和服务器105之间建立传输层安全(Transport Layer Security,TLS)会话。
CE101可以通过利用PE102发布的M_FLOOD消息,经由PE102建立CE101与服务器105之间TLS会话。关于TLS会话,可以参考RFC5247。
S203.服务器105与CE101执行双向认证。
具体来说,双向认证包括服务器105对CE101的认证,以及CE101对服务器105的认证。服务器105可以利用CE101与服务器105之间TLS会话,对CE101进行认证。服务器105对CE101的认证也可以称为Registrar TLS server authent icat ion。具体包括服务器105向CE101发送LDevID以请求CE 101对服务器105进行认证。
所述LDevID可以是服务器105根据X.509协议生成的公钥证书(public keycertificate)。举例来说,所述LDevID包括证书(Certificate)、证书签名算法(Certificate Signature Algorithm)以及证书签名(Certificate Signature)。所述证书包括版本号(Version Number)、序列号(Serial Number)、签名算法标识(SignatureAlgorithm ID)、颁发者的名称(Issuer Name)、有效期(Validity period)等。LDevID是服务器105颁发的,因此,所述Issuer Name是服务器105的标识。
CE101可以利用CE101与服务器105之间TLS会话,对服务器105进行认证。CE101对服务器105的认证也可以称为X.509client authentication。具体包括CE101向服务器105发送IDevID。关于服务器105与CE101之间的双向认证,可以参考draft-ietf-anima-bootstrapping-keyinfra-07的2.3Protocol Flow。
S204.服务器105向CE101分发凭证(voucher)。
服务器105可以从提供商业务(Vendor Service)获取voucher。服务器105把从Vendor Service获取的voucher发送给CE101。Voucher是(Manufacturer AuthorizedSigning Authority,MASA)service提供的用于指示服务器105的Domain Registrar的密码学身份(cryptographic ident ity)的签名的声明(signed statement)。CE101应当信任服务器105的Domain Registrar的密码学身份。关于voucher的格式以及功能,可以参考IETF在2017年7月3日发布的draft-ietf-anima-voucher-04,此处不再赘述。
关于服务器105向CE101分发voucher,可以参考draft-ietf-anima-bootstrapping-keyinfra-07的第2.3节协议流程(Protocol Flow)。
S205.服务器105向CE101分发LDevID。
具体来说,服务器105可以生成LDevID。服务器105可以根据RFC7030向CE101分发LDevID。CE101接收到LDevID后,可以保存LDevID。例如,CE101将LDevID保存在CE101中的非易失性存储器中。所述非易失性存储器可以是硬盘(hard disc)、紧凑快闪(compactflash)卡或者固态盘(solid state disk)。
CE101接收到LDevID则表明CE101接收到Domain Registrar颁发的证书。因此,可以认为CE101加入到Domain Registra所属的域。
CE101加入Domain Registra所属的域后,由于某些原因,CE101可能发生下电。例如,CE101发生故障,CE101需要进行升级等。CE101下电导致CE101离开Domain Registra所属的域。CE101下电后,CE101重新上电。所述重新上电可以是对CE101进行重启操作导致的。CE101重新上电后,CE101避免使用EST协议获得来自服务器105的LDevID。
图3为本申请实施例提供的一种认证方法的流程示意图。图3所示的方法是在图2所示的方法之后执行的。下文结合图3对CE101重新上电并与PE102通信连接后,CE101对PE102的认证过程进行说明:
S301.CE101监听PE102发送的M_FLOOD消息。
PE102可以通过GRASP M_FLOOD机制,周期性地向与PE102通信连接的客户边缘设备,比如CE101,发布M_FLOOD消息。PE102承担CE101重新上电后,CE101对PE102发送的M_FLOOD消息进行监听。PE102发送的M_FLOOD消息中包含PE102所属的域的域名。
具体来说,M_FLOOD消息中可以携带PE102颁发的域证书(domain CA)。例如,PE102颁发的域证书可以携带在M_FLOOD消息的目标(objective)中。M_FLOOD消息可以包括会话标识(session-id)、发起者(initiator)、生存时间(tt1)以及objective。关于M_FLOOD消息的格式,可以参考draft-ietf-anima-bootstrapping-keyinfra-07的描述。
PE102颁发的域证书是PE102接收到服务器105颁发的域证书后,对服务器105颁发的域证书进行签名生成的。服务器105颁发的域证书中包含了颁发者的名称(issuername)。M_FLOOD消息中包含PE102所属的域的域名,M_FLOOD消息中包含的PE102所述的域的域名可以是服务器105颁发的域证书中包含的issuer name。服务器105颁发的域证书的颁发者是服务器105,因此,服务器105颁发的域证书中的issuer name是服务器105的标识。
S302.CE101获取M_FLOOD消息中的域名。
CE101可以对M_FLOOD消息进行解析,从而从M_FLOOD消息的objective中获取域名(即颁发者的名称)。M_FLOOD消息中的颁发者的名称是服务器105的标识。
S303.CE101获取CE101保存的LDevID中的域名。
例如,CE101中的中央处理器(central process ing unit)可以访问CE101中的非易失性存储器,从而获取CE101中保存的LDevID。CE101保存的LDevID是CE101首次与服务器105基于GRASP通信时服务器105颁发给CE101的,因此,CE101保存的LDevID中包含的域名(即颁发者的名称)是服务器105的标识。
S304.CE101确定CE101对PE102的认证获得通过。
CE101将M_FLOOD消息中的域名与LDevID中的域名进行比较。当CE101确定M_FLOOD消息中的域名与LDevID中的域名相同时,所述CE101确定所述CE101对PE102的认证获得通过。
例如,CE101中的CPU可以将M_FLOOD消息中的域名保存在所述CPU的一个寄存器中。CE101中的CPU可以将LDevID中的域名保存在所述CPU的另一个寄存器中。所述CPU的算术逻辑单元可以根据比较指令,对一个寄存器中保存的M_FLOOD消息中的域名以及另一个寄存器中保存的LDevID中的域名进行比较,从而确定M_FLOOD消息中的域名与LDevID中的域名是否相同。
上述技术方案中,CE101重新上电后,CE101没有使用EST协议请求服务器105向CE101颁发LDevID。因此,上述技术方案可以避免CE101向服务器105提出的LDevID颁发请求被拒绝。另外,CE101利用已保存的LDevID实现了对PE102的认证。因此,上述方案实现了CE101在没有使用EST协议从服务器105获取LDevID的情况下,对PE102的认证。
图4为本申请实施例提供的一种认证方法的流程示意图。参见图4,所述认证方法包括S401至S403。举例来说,所述认证方法的执行主体可以是图3涉及的CE101。具体的,所述认证方法可以通过执行图3所示的方法实现。
S401.网络装置接收circuit proxy发送的域名。
所述circuit proxy发送的域名指示所述circuit proxy所属的域。
举例来说,所述网络装置可以是路由器、网络交换机、防火墙、负载均衡器或者基站。所述circuit proxy可以是路由器。
例如,所述网络装置可以是图3所示的方法涉及的CE101。所述circuit proxy可以是图3所示的方法涉及的PE102。关于S401可以参考图3所示的实施例对S301的描述。
S402.所述网络装置确定所述circuit proxy发送的域名与所述网络装置已保存的LDevID中的域名是否相同。
举例来说,所述网络装置可以获取所述circuit proxy发送的域名,并获取所述网络装置中已保存的LDevID。然后,所述网络装置可以将circuit proxy发送的域名与所述网络装置中已保存的LDevID中的域名进行比较,从而确定所述circuit proxy发送的域名与所述网络装置已保存的LDevID中的域名是否相同。例如,CE101可以执行S302以及S303,从而获取M_FLOOD消息中的域名以及所述网络装置已保存的LDevID中的域名。
S403.当所述网络装置确定所述circuit proxy发送的域名与所述LDevID中的域名相同时,所述网络装置确定所述网络装置对所述circuit proxy的认证获得通过。
例如,CE101可以执行S304,从而确定CE101对PE102的认证获得通过。
上述技术方案中,网络装置接收到circuit proxy发送的域名后,网络装置利用所述网络装置已保存的LDevID实现了对circuit proxy的认证。因此,上述方案可以实现网络装置对circuit proxy的认证。
可选地,上述技术方案中,
S401之前,所述方法还包括:所述网络装置上电。
所述网络装置上电之后,以及S403之前,所述方法还包括:
所述网络装置避免使用EST协议获得来自domain registrar的LDevID。
举例来说,所述网络装置上电具体可以是所述网络装置下电后重新上电。
举例来说,所述domain registrar可以是服务器105。所述网络装置避免使用EST协议获得来自domain registrar的LDevID具体可以是,所述网络装置避免根据RFC7030请求domain registrar向所述网络装置分发LDevID。
上述技术方案中,在所述网络装置已保存了LDevID的情况下,可以避免所述网络装置重新启动后使用EST协议请求domain registrar向所述网络装置分发LDevID。有助于降低所述网络装置的开销。另外,可以避免domain registrar拒绝向所述网络装置分发LDevID而导致所述网络装置无法对所述circuit proxy进行认证。提高了所述网络装置对所述circuit proxy的认证获得通过的成功率。
可选地,上述技术方案中,所述网络装置已保存的LDevID是所述网络装置在所述网络装置上电之前,所述网络装置使用通过安全传输进行登记EST协议从所述domainregistrar获得的。
例如,所述网络装置上电具体可以是所述网络装置下电后重新上电。
在所述网络装置上电之前,具体可以是所述网络装置重新上电之前。
所述网络装置使用通过安全传输进行登记EST协议从所述domain registrar获得LDevID具体可以是,所述网络装置根据RFC7030请求domain registrar向所述网络装置分发LDevID。具体地,可以参考图2所示的实施例对S207的描述。
可选地,上述技术方案中,所述circuit proxy发送的域名携带在洪水消息flood-message中。
具体地,flood-message具体可以是M_FLOOD消息。关于flood-message携带域名,可以参考图3所示的实施例对S301的描述。
可选地,上述技术方案中,所述方法还包括:
当所述网络装置确定所述网络装置已保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。
所述预定的时间间隔为正数。例如,所述预定的时间间隔为1月、1天、1小时或者1分钟。
例如,LDevID可以包含到期日(expiration date)。举例来说,LDevID包含的到期日的值为2010年1月1日。那么,LDevID的失效时间为2010年1月2日。也就是说,只要当前时间没到2010年1月2日,LDevID处于有效状态。例如,假设当前时间是2010年1月1日23时59分,LDevID处于有效状态。假设当前时间是2010年1月2日0时0分0秒,LDevID处于失效状态。
举例来说,所述网络装置可以根据RFC7030请求domain registrar向所述网络装置分发新的LDevID。所述网络装置接收到domain registrar分发的新的LDevID后,所述网络装置可以用所述新的LDevID替换所述网络装置已保存的LDevID。
上述技术方案中,所述网络装置已保存的LDevID尚未失效时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。相对于所述网络装置已保存的LDevID处于失效状态时,所述网络装置请求对所述网络装置已保存的LDevID进行更新的技术方案,上述技术方案提前请求对所述网络装置已保存的LDevID进行更新,有助于避免所述网络装置由于已保存的LDevID失效而导致的问题。例如,所述网络装置已保存的LDevID失效可能导致所述网络装置无法接入网络。
图5为本申请实施例提供的一种网络装置的结构示意图。参见图5,网络装置500包括收发器501、处理器502以及存储器503。收发器501与处理器502耦合。存储器503与处理器502耦合。
举例来说,网络装置500可以用于执行图4所示的方法。具体地,收发器501可以用于执行S401。处理器502可以用于执行S402以及S403。
存储器503用于保存LDevID。
举例来说,存储器503可以是非易失性存储器。所述非易失性存储器可以是硬盘、紧凑快闪卡或者固态盘。网络装置500还可以包括存储控制器。所述存储控制器接收到LDevID后,可以对存储器503执行写操作,从而将LDevID保存在存储器503中。
收发器501用于接收电路代理circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuit proxy所属的域。
举例来说,收发器501可以包括发送器(transmitter)以及接收器(receiver)。所述发送器和所述接收器被合并。另外,所述发送器和所述接收器共享公共电路(commoncircuitry)或者一个外壳(housing)。
处理器502用于:确定所述circuit proxy发送的域名与存储器503保存的本地设备标识LDevID中的域名是否相同;当所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
举例来说,处理器502可以是CPU。网络装置500可以包括指令存储器。所述指令存储器中存储了计算机程序。处理器502可以通过执行所述计算机程序,执行如下步骤:确定所述circuit proxy发送的域名与存储器503保存的本地设备标识LDevID中的域名是否相同;以及,当所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
可选地,网络装置500还包括电源适配器。
所述电源适配器用于在收发器501接收所述circuit proxy发送的域名之前,对网络装置500上电。
电源适配器对网络装置500上电之后,以及,处理器502确定所述circuit proxy发送的域名与存储器503保存的本地设备标识LDevID中的域名是否相同之前,处理器502还用于避免使用通过安全传输进行登记EST协议获得来自域记录者domain registrar的LDevID。
可选地,存储器503保存的LDevID是所述电源适配器对网络装置500上电之前,处理器502使用通过安全传输进行登记EST协议从所述domain registrar获得的。
可选地,所述circuit proxy发送的域名携带在洪水消息(flood-message)中。
可选地,处理器502还用于:当存储器503中保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,请求对存储器503中保存的LDevID进行更新。
图6为本申请实施例提供的一种网络装置的结构示意图。参见图6,网络装置600包括接收单元601、第一确定单元602以及第二确定单元603。
接收单元601用于接收电路代理circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuit proxy所属的域。
第一确定单元602用于确定所述circuit proxy发送的域名与所述网络装置已保存的本地设备标识LDevID中的域名是否相同。
第二确定单元603用于当所述网络装置确定所述circuit proxy发送的域名与所述LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
举例来说,网络装置600可以用于执行图4所示的方法。具体地,接收单元601可以用于执行S401。第一确定单元602可以用于执行S402。第二确定单元603可以用于执行S403。
举例来说,网络装置600可以是网络装置500。具体地,接收单元601可以是收发器501。第一确定单元602可以是处理器502。第二确定单元603可以是处理器502。例如,网络装置600可以包括指令存储器。所述指令存储器中存储了计算机程序。处理器502可以通过执行所述计算机程序,实现第一确定单元602以及第二确定单元603的功能。
上述技术方案中,网络装置600还包括上电单元以及获得单元。
所述上电单元用于在接收单元601接收所述circuit proxy发送的域名之前,对所述网络装置上电。
上电单元对所述网络装置上电之后,以及,第二确定单元603确定所述网络装置对所述circuit proxy的认证获得通过之前,所述获得单元避免使用通过安全传输进行登记EST协议获得来自域记录者domain registrar的LDevID。
上述技术方案中,所述网络装置已保存的LDevID是所述网络装置在所述网络装置上电之前,所述网络装置使用通过安全传输进行登记EST协议从所述domain registrar获得的。
上述技术方案中,所述circuit proxy发送的域名携带在洪水消息flood-message中。
上述技术方案中,网络装置600还包括更新单元。所述更新单元用于当网络装置600确定网络装置600已保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,请求对网络装置600已保存的LDevID进行更新。
图7为本申请实施例提供的网络装置的结构示意图。该实施例的网络装置可以与图6对应实施例的网络装置为同一装置。该实施例的控制装置可以执行图4对应的实施例中网络装置所采用的方法。该实施例提供的网络装置包括:处理器701、存储器702和通信接口703。所述处理器701、所述存储器702和所述通信接口703通过通信总线704连接。所述存储器702用于存储程序或指令。所述处理器701根据从所述存储器702中读取的程序或指令,执行上述图4对应的实施例中网络装置所执行的方法步骤。
本申请实施例提供了一种计算机可读存储介质。所述计算机可读存储介质保存计算机程序。当所述计算机程序被处理器或计算机执行时,可以使得所述处理器或者所述计算机执行图4所示的方法。
本申请实施例中提及的“第一”和“第二”不表示先后顺序。本申请实施例中的“第一”和“第二”表示不同的设备和信息。
本领域的技术人员可以对本申请提供的实施例进行各种改动和变型。上述实施例中的处理器可以是微处理器或者该处理器也可以是任何常规的处理器。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。当使用软件实现时,可以将实现上述功能的代码存储在计算机可读介质中。计算机可读介质包括计算机存储介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以是随机存取存储器(random accessmemory,RAM)、只读存储器(read-only memory,ROM)、电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其他介质。计算机可读介质可以是压缩光碟(compact disc,CD)、激光碟、光碟、数字视频光碟(digital video disc,DVD)、软盘或者蓝光光碟。
Claims (10)
1.一种认证方法,其特征在于,包括:
网络装置接收电路代理circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuit proxy所属的域;
所述网络装置确定所述circuit proxy发送的域名与所述网络装置已保存的本地设备标识LDevID中的域名是否相同;
当所述网络装置确定所述circuit proxy发送的域名与所述LDevID中的域名相同时,所述网络装置确定所述网络装置对所述circuit proxy的认证获得通过。
2.根据权利要求1所述的方法,其特征在于,所述网络装置接收所述circuit proxy发送的域名之前,所述方法还包括:所述网络装置上电;
所述网络装置上电之后,以及,所述网络装置确定所述网络装置对所述circuit proxy的认证获得通过之前,所述网络装置避免使用通过安全传输进行登记EST协议获得来自域记录者domain registrar的LDevID。
3.根据权利要求2所述的方法,其特征在于,所述网络装置已保存的LDevID是所述网络装置在所述网络装置上电之前,所述网络装置使用EST协议从所述domain registrar获得的。
4.根据权利要求1至3中任一所述的方法,其特征在于,所述circuit proxy发送的域名携带在洪水消息flood-message中。
5.根据权利要求4所述的方法,其特征在于,还包括:
当所述网络装置确定所述网络装置已保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,所述网络装置请求对所述网络装置已保存的LDevID进行更新。
6.一种网络装置,其特征在于,包括收发器、处理器以及存储器;
所述存储器用于保存本地设备标识LDevID;
所述收发器用于接收电路代理circuit proxy发送的域名,所述circuit proxy发送的域名指示所述circuit proxy所属的域;
所述处理器用于:确定所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名是否相同;当所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名相同时,确定所述网络装置对所述circuit proxy的认证获得通过。
7.根据权利要求6所述的装置,其特征在于,还包括电源适配器;
所述电源适配器用于在所述收发器接收所述circuit proxy发送的域名之前,对所述网络装置上电;
所述电源适配器对所述网络装置上电之后,以及,所述处理器确定所述circuit proxy发送的域名与所述存储器保存的LDevID中的域名是否相同之前,所述处理器还用于避免使用通过安全传输进行登记EST协议获得来自域记录者domain registrar的LDevID。
8.根据权利要求7所述的装置,其特征在于,所述存储器保存的LDevID是所述电源适配器对所述网络装置上电之前,所述处理器使用EST协议从所述domain registrar获得的。
9.根据权利要求6至8中任一所述的装置,其特征在于,所述circuit proxy发送的域名携带在洪水消息flood-message中。
10.根据权利要求9所述的装置,其特征在于,所述处理器还用于:
当所述存储器中保存的LDevID的失效时间与当前时间的时间间隔小于或者等于预定的时间间隔时,对所述存储器中保存的LDevID进行更新。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711197746.6A CN109842584B (zh) | 2017-11-25 | 2017-11-25 | 认证的方法及网络装置 |
PCT/CN2018/115119 WO2019100966A1 (zh) | 2017-11-25 | 2018-11-13 | 认证的方法及网络装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711197746.6A CN109842584B (zh) | 2017-11-25 | 2017-11-25 | 认证的方法及网络装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109842584A CN109842584A (zh) | 2019-06-04 |
CN109842584B true CN109842584B (zh) | 2021-11-19 |
Family
ID=66631817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711197746.6A Active CN109842584B (zh) | 2017-11-25 | 2017-11-25 | 认证的方法及网络装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109842584B (zh) |
WO (1) | WO2019100966A1 (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030912A (zh) * | 2007-04-06 | 2007-09-05 | 华为技术有限公司 | 基于rrpp的快速环网防攻击的方法、装置和系统 |
CN101442747A (zh) * | 2009-01-15 | 2009-05-27 | 吴静 | 终端自动判断用户身份的方法及系统 |
CN102215235A (zh) * | 2011-06-10 | 2011-10-12 | 北京工业大学 | 可修改鉴权密码的sip安全认证方法 |
CN103796245A (zh) * | 2012-10-29 | 2014-05-14 | 中兴通讯股份有限公司 | 数据报文的管理方法、装置及系统 |
CN105744517A (zh) * | 2014-12-08 | 2016-07-06 | 中国移动通信集团江苏有限公司 | 一种信息认证的方法及网络侧设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9202040B2 (en) * | 2012-10-10 | 2015-12-01 | Globalfoundries Inc. | Chip authentication using multi-domain intrinsic identifiers |
CN104936177B (zh) * | 2014-03-20 | 2019-02-26 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
CN104144163B (zh) * | 2014-07-24 | 2019-06-11 | 腾讯科技(深圳)有限公司 | 身份验证方法、装置及系统 |
CN105450643B (zh) * | 2015-11-17 | 2019-07-02 | 深信服科技股份有限公司 | 网络接入的认证方法、装置及系统 |
-
2017
- 2017-11-25 CN CN201711197746.6A patent/CN109842584B/zh active Active
-
2018
- 2018-11-13 WO PCT/CN2018/115119 patent/WO2019100966A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101030912A (zh) * | 2007-04-06 | 2007-09-05 | 华为技术有限公司 | 基于rrpp的快速环网防攻击的方法、装置和系统 |
CN101442747A (zh) * | 2009-01-15 | 2009-05-27 | 吴静 | 终端自动判断用户身份的方法及系统 |
CN102215235A (zh) * | 2011-06-10 | 2011-10-12 | 北京工业大学 | 可修改鉴权密码的sip安全认证方法 |
CN103796245A (zh) * | 2012-10-29 | 2014-05-14 | 中兴通讯股份有限公司 | 数据报文的管理方法、装置及系统 |
CN105744517A (zh) * | 2014-12-08 | 2016-07-06 | 中国移动通信集团江苏有限公司 | 一种信息认证的方法及网络侧设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2019100966A1 (zh) | 2019-05-31 |
CN109842584A (zh) | 2019-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210297410A1 (en) | Mec platform deployment method and apparatus | |
CN111835520B (zh) | 设备认证的方法、服务接入控制的方法、设备及存储介质 | |
EP3627794B1 (en) | Discovery method and apparatus based on service-oriented architecture | |
US10567370B2 (en) | Certificate authority | |
CN102104869B (zh) | 安全用户识别模块服务 | |
CN105491070B (zh) | 安全用户平面定位(supl)系统中的认证方法和装置 | |
US10382213B1 (en) | Certificate registration | |
US9432356B1 (en) | Host identity bootstrapping | |
EP3495976A1 (en) | Access security in computer networks | |
WO2019041809A1 (zh) | 基于服务化架构的注册方法及装置 | |
CN102984045B (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
EP3851983B1 (en) | Authorization method, auxiliary authorization component, management server and computer readable medium | |
CN114978635B (zh) | 跨域认证方法及装置、用户注册方法及装置 | |
JP2023505471A (ja) | プロビジョニング方法及び端末機器 | |
US20230143835A1 (en) | Network slice connection management method, terminal, and computer-readable storage medium | |
CN115065703B (zh) | 物联网系统及其认证与通信方法、相关设备 | |
WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
CN114598455A (zh) | 数字证书签发的方法、装置、终端实体和系统 | |
CN108632037B (zh) | 公钥基础设施的公钥处理方法及装置 | |
JP2014093772A (ja) | Ipアドレスを割り当て、取得するための方法および装置 | |
CN109842584B (zh) | 认证的方法及网络装置 | |
CN114785532B (zh) | 一种基于双向签名认证的安全芯片通信方法及装置 | |
US20220385483A1 (en) | Credential bootstrapping | |
CN117643014A (zh) | 用于在连接到至少一个通信网络的装备和服务提供商的服务器之间的连接的认证建立的方法、以及相应的设备 | |
US20230016837A1 (en) | Method for administering a profile for access to a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |