CN110149215A - 网络认证方法、装置以及电子设备 - Google Patents
网络认证方法、装置以及电子设备 Download PDFInfo
- Publication number
- CN110149215A CN110149215A CN201910498917.1A CN201910498917A CN110149215A CN 110149215 A CN110149215 A CN 110149215A CN 201910498917 A CN201910498917 A CN 201910498917A CN 110149215 A CN110149215 A CN 110149215A
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- certified
- authorization
- authentication result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种网络认证方法、装置以及电子设备,应用于授权服务器,涉及网络安全技术领域,包括:对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果;根据第一身份认证结果对网络设备进行网络授权;通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果;根据第二身份认证结果对待认证设备进行网络授权,解决了现有的网络认证安全度低的技术问题,该方式提高了网络认证的安全度,为用户提供安全网络环境,同时提高了用户的体验度。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种网络认证方法、装置以及电子设备。
背景技术
随着网络安全事件的频繁发生,人们越来越重视网络安全性及可信度。众所周知,网络身份认证是建设安全可信网络的前提条件,网络身份认证一方面能够让恶意者在做有害行为(危害网络安全的行为)之前有所顾忌,防微杜渐;另一方面也可以让网络管理者在安全事件发生后,准确及时地找到肇事者,在一定程度上防止网络安全事件的再次发生。此外,系统获取用户的身份后,可以根据用户身份的不同分配不同的网络资源使用权限,避免网络资源的滥用和管理混乱。
现有的网络接入主要采用802.1X进行网络接入认证,在用户入网时进行身份认证,实现对端口的用户级的接入控制,对大规模的局域网(Local Area Network,简称LAN)接入和无线局域网(Wireless Local Area Networks,简称WLAN)应用具有良好的安全防护作用,但易出现中间人攻击、互联网协议地址(Internet Protocol Address,简称IP地址)伪造、网络接入盗用等网络安全问题,因此,对于现有技术而言,网络认证安全度较低。
发明内容
有鉴于此,本发明的目的在于提供一种网络认证方法、装置以及电子设备,以解决现有技术中存在的网络认证安全度较低的技术问题。
第一方面,本发明实施例提供了一种网络认证方法,应用于授权服务器,该方法包括:
对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果;
根据第一身份认证结果对网络设备进行网络授权;
通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果;
根据第二身份认证结果对待认证设备进行网络授权。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果,包括:
接收网络设备的身份认证请求信息;
与网络设备交换信任根的公钥,并基于网络设备信任根的公钥与授权服务器信任根的私钥进行计算,得到第一会话密钥;
根据第一会话密钥对网络设备身份认证请求信息进行签名,得到第一签名信息;
接收网络设备计算的第二签名信息,其中,第二签名信息是根据第二会话密钥计算得到的签名信息;第二会话密钥为网络设备基于授权服务器信任根的公钥与网络设备的信任根私钥计算得到的密钥;
判断第一签名信息与第二签名信息是否一致;
若是,确定第一身份认证结果为网络设备身份认证成功。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据第一身份认证结果对网络设备进行网络授权,包括:
在第一身份认证结果为网络设备身份认证成功时,将网络授权信息传输至网络设备,以对网络设备进行网络授权。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果,包括:
通过网络设备,接收待认证设备的身份认证请求信息;
通过网络设备,与待认证设备交换信任根的公钥,并基于待认证设备信任根的公钥与网络设备信任根的私钥进行计算,得到第三会话密钥;
通过网络设备,根据第三会话密钥对待认证设备身份认证请求信息进行签名,得到第三签名信息;
通过网络设备,接收待认证设备计算的第四签名信息,其中,第四签名信息是根据第四会话密钥计算得到的签名信息;第四会话密钥为待认证设备基于网络设备信任根的公钥与待认证设备信任根的私钥计算得到的密钥;
判断第三签名信息与第四签名信息是否一致;
若是,确定第二身份认证结果为待认证设备身份认证成功。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,根据第二身份认证结果对待认证设备进行网络授权,包括:
在第二身份认证结果为待认证设备身份认证成功时,通过网络设备将网络授权信息传输至待认证设备,以对待认证设备进行网络授权。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,待认证设备的数量为多个,方法还包括:
通过第一子待认证设备,对与第一子待认证设备连接的第二子待认证设备进行身份认证,得到第三身份认证结果,其中,第一子待认证设备已进行网络授权;
根据第三身份认证结果对第二子待认证设备进行网络授权。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,根据第三身份认证结果对第二子待认证设备进行网络授权,包括:
在第三身份认证结果为第二子待认证设备身份认证成功时,通过第一子待认证设备将网络授权信息传输至第二子待认证设备,以对第二子待认证设备进行网络授权。
第二方面,本发明实施例还提供一种网络认证装置,设置于授权服务器,该装置包括:
第一认证模块,用于对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果;
第一授权模块,用于根据第一身份认证结果对网络设备进行网络授权;
第二认证模块,用于通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果;
第二授权模块,用于根据第二身份认证结果对待认证设备进行网络授权。
第三方面,本发明实施例还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述如第一方面所述的方法的步骤。
第四方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行如第一方面所述的方法。
本发明实施例提供的技术方案带来了以下有益效果:本发明实施例提供的网络认证方法、装置以及电子设备,包括:首先对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果,然后根据第一身份认证结果对网络设备进行网络授权,再者通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果,最后根据第二身份认证结果从而对待认证设备进行网络授权,因此,通过对于授权服务器连接的网络设备进行身份认证,得到第一身份认证结果,然后根据第一身份认证结果对网络设备进行网络授权,网络设备对待认证设备进行身份认证,得到第二身份认证结果,最后通过第二身份认证结果对待认证设备进行网络授权,该方式提高了网络认证的安全度,为用户提供安全网络环境,同时提高了用户的体验度,从而解决了现有技术中存在的网络认证安全度较低的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例所提供的一种网络认证方法的流程图;
图2示出了本发明实施例所提供的第一身份认证方法的流程图;
图3示出了本发明实施例所提供的第二身份认证方法的流程图;
图4示出了本发明实施例所提供的一种网络认证方法的场景的示意图;
图5示出了本发明实施例所提供的一种网络认证方法的应用场景示意图;
图6示出了本发明实施例所提供的一种网络认证装置的结构示意图;
图7示出了本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,802.1X是主要的网络接入认证方式,分为三部分结构:认证客户端、认证设备、认证服务器。认证客户端一般为用户接入终端,认证请求由认证客户端发起。
认证设备一般为交换机、路由器等网络设备,可根据认证客户端的认证状态控制物理接入的设备,在客户端和认证服务器之间充当代理角色,将认证客户端的认证请求和相关数据转发给认证服务器。
认证服务器完成对客户端进行实际认证,认证完成后,通过认证设备,将授权信息返回给认证客户端。授权信息可以由用户自行定义,一般包括虚拟局域网(Virtual LocalArea Network,简称VLAN)、服务质量(Quality of Service,简称QoS)、加密认证密钥、动态主机设置协议(Dynamic Host Configuration Protocol,简称DHCP)响应等信息。
在802.1X的网络认证中,认证设备只是作为认证客户端的代理来工作的,其身份没有进行验证,易出现中间人攻击、IP地址伪造、网络接入盗用等网络安全问题,因此,对于现有技术而言,网络认证安全度较低。
基于此,本发明实施例提供的一种网络认证方法、装置以及系统,可以解决现有技术中存在的网络认证安全度较低的技术问题。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种网络认证方法、装置以及系统进行详细介绍。
实施例一:
本发明实施例提供一种网络认证方法,如图1所示,应用于授权服务器,该方法包括:
步骤S102,对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果。
需要说明的是,授权服务器与网络设备间为有线连接,采用介质访问控制(MediaAccess Control,简称MAC)地址进行通信传输身份认证的数据信息,具体的第一身份认证流程,如图2所示,包括:
步骤S202,接收网络设备的身份认证请求信息。
具体地,网络设备首先向授权服务器发送身份认证请求信息,其中,网络设备可以为应用服务器、路由器等网络设备。
步骤S204,与网络设备交换信任根的公钥,并基于网络设备信任根的公钥与授权服务器信任根的私钥进行计算,得到第一会话密钥。
上述步骤S202完成后,授权服务器与网络设备交换信任根,这里的信任根可以为数字证书也可以为基于标识的密码体系(Identity-Based Cryptograph,简称IBC)标识密码,其中,数字证书以及IBC标识密码均包括公钥和私钥,授权服务器将其信任根的公钥交换给网络设备,网络设备将其信任根的公钥交换给授权服务器。信任根的公钥交换完成后,授权服务器根据自身信任根的私钥与交换得到的网络设备信任根的公钥进行计算,得到第一会话密钥。
需要说明的是,若授权服务器的信任根为标识密码,那么网络设备的信任根也为标识密码;若授权服务器的信任根为IBC标识密码,那么网络设备的信任根也为IBC标识密码。
步骤S206,根据第一会话密钥对网络设备身份认证请求信息进行签名,得到第一签名信息。
第一会话密钥计算完成后,授权服务器根据网络设备身份认证请求信息进行签名,进而得到第一签名信息。
步骤S208,接收网络设备计算的第二签名信息,其中,第二签名信息是根据第二会话密钥计算得到的签名信息;第二会话密钥为网络设备基于授权服务器信任根的公钥与网络设备的信任根私钥计算得到的密钥。
需要说明的是,不仅授权服务器需要计算会话密钥,网络设备也需要利用自身信任根的私钥与授权服务器的信任根的公钥计算会话密钥,在这里命名为第二会话密钥以与授权服务器计算的第一会话密钥进行区分。第二会话密钥计算完成后,网络设备根据第二会话密钥计算网络设备的签名,得到第二签名信息。
步骤S210,判断第一签名信息与第二签名信息是否一致;若是,执行步骤S212,若否,执行步骤S214。
对于第一签名信息与第二签名信息的一致性进行判断是身份认证流程中必要的步骤,经过判断可以确定身份认证是否通过,以便进行后续的网络授权步骤。
步骤S212,确定第一身份认证结果为网络设备身份认证成功。
网络设备身份认证成功,则可通过授权服务器对网络设备进行网络授权,网络设备则可以进行网络接入。
步骤S214,确定第一身份认证结果为网络设备身份认证失败。
网络设备身份认证失败,授权服务器则不对网络设备进行网络授权,网络设备则不能进行网络的接入。
步骤S104,根据第一身份认证结果对网络设备进行网络授权。
具体地,在第一身份认证结果为网络设备身份认证成功时,将网络授权信息传输至网络设备,以对网络设备进行网络授权。经过网络授权后,网络设备则为已进行网络授权的设备,则可进行网络的接入,也可通过网络设备对其他待认证设备进行身份认证,具体地,网络设备对待认证设备进行身份认证的步骤如下述步骤S106所述。
步骤S106,通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果。
需要说明的是,第二身份认证的具体流程,如图3所示,该步骤包括:
步骤S302,通过网络设备,接收待认证设备的身份认证请求信息。
具体地,待认证设备首先向网络设备发送身份认证请求信息,其中,待认证设备可以为路由器、交换机、终端等网络设备。
步骤S304,通过网络设备,与待认证设备交换信任根的公钥,并基于待认证设备信任根的公钥与网络设备信任根的私钥进行计算,得到第三会话密钥。
进一步地,网络设备与待认证设备是直接连接的,若网络设备的信任根为标识密码,那么待认证设备的信任根也为标识密码;若网络设备的信任根为IBC标识密码,那么待认证设备的信任根也为IBC标识密码。信任根的公钥交换完成后,网络设备根据自身信任根的私钥与交换得到的待认证设备信任根的公钥进行计算,得到第三会话密钥。
步骤S306,通过网络设备,根据第三会话密钥对待认证设备身份认证请求信息进行签名,得到第三签名信息。
第三会话密钥计算完成后,网络设备根据待认证设备身份认证请求信息进行签名,进而得到第三签名信息。
步骤S308,通过网络设备,接收待认证设备计算的第四签名信息,其中,第四签名信息是根据第四会话密钥计算得到的签名信息;第四会话密钥为待认证设备基于网络设备信任根的公钥与待认证设备信任根的私钥计算得到的密钥。
需要说明的是,待认证设备需要利用自身信任根的私钥与网络设备信任根的公钥计算会话密钥,在这里命名为第四会话密钥以区分网络设备计算的第三会话密钥。第四会话密钥计算完成后,待认证设备根据第四会话密钥计算待认证设备的签名,得到第四签名信息。
步骤S310,判断第三签名信息与第四签名信息是否一致;若是,执行步骤S312,若否,执行步骤S314。
对于第三签名信息与第四签名信息的一致性进行判断是身份认证流程中必要的步骤,经过判断可以确定身份认证是否通过,以便进行后续的网络授权步骤。
步骤S312,确定第二身份认证结果为待认证设备身份认证成功。
待认证设备身份认证成功,则可对待认证设备进行网络授权,待认证设备则可以进行网络接入。
步骤S314,确定第二身份认证结果为网络设备身份认证失败。
待认证设备身份认证失败,授权服务器则不对待认证设备进行网络授权,待认证设备则不能进行网络的接入。
步骤S108,根据第二身份认证结果对待认证设备进行网络授权。
具体地,授权服务器与待认证设备间可以为有线连接也可以为无线连接,通过IP地址进行跨网通信,在第二身份认证结果为待认证设备身份认证成功时,通过网络设备将网络授权信息传输至待认证设备,以对待认证设备进行网络授权。
本发明实施例提供的一种网络认证方法的场景示意图,如图4所示,该图中网络设备与授权服务器已经完成第一身份认证,且已经完成网络授权。因此,图4中先要进行待认证设备与网络设备间的身份认证,认证请求由待认证设备发起,以数字证书或者IBC标识密码为信任根,协商出会话密钥,待认证设备用会话密钥进行签名,网络设备对待认证设备的签名信息进行验证,如果与网络设备的签名信息不同,则表示待认证设备身份不合法,身份认证失败。如果相同,则表示待认证设备身份合法。
在待认证设备和网络设备完成身份认证后,只表示网络设备的身份合法,但是否有权限接入网络是未知,需要经过授权服务器进行授权并且确认有权后,才允许接入网络,此时网络设备作为代理,向授权服务器请求待认证设备的网络接入权限。在授权过程中,待认证设备身份认证成功后,授权服务器将不再对待认证设备进行身份认证,只通过网络设备完成对待认证设备的授权。授权服务器查询网络设备代理过来的待认证设备的信息,将授权结果返回给网络设备,网络设备再将授权信息返回给待认证设备,以使待认证设备可以接入网络。
本发明实施例提供的网络认证方法,在授权服务器对网络设备进行身份认证和网络授权后,通过网络设备对待认证设备进行身份认证,之后通过网络设备将授权信息转发至待认证设备,该方式提高了网络认证的安全度,为用户提供安全网络环境,同时提高了用户的体验度。
实施例二:
本发明实施例提供的网络认证方法中,待认证设备的数量为多个,该网络认证方法还包括:
通过第一子待认证设备,对与第一子待认证设备连接的第二子待认证设备进行身份认证,得到第三身份认证结果,其中,第一子待认证设备已进行网络授权。
该第一子待认证设备对第二子待认证设备间的身份认证同上述第二身份认证的流程类似,在此不再赘述,区别在于第一子待认证设备利用自身信任根的私钥与第二子待认证设备信任根的公钥计算会话密钥,并根据该会话密钥计算签名信息,第二子待认证设备利用自身信任根的私钥与第一子待认证设备的公钥计算会话密钥,并根据该会话密钥计算签名信息,判断第一子待认证设备计算的签名信息与第二子待认证设备计算的签名信息是否相同,进而得到第三身份认证结果,该第三身份认证结果包括:第二子待认证设备身份认证成功以及第二子待认证设备身份认证失败。
根据第三身份认证结果对第二子待认证设备进行网络授权。具体地,在第三身份认证结果为第二子待认证设备身份认证成功时,通过第一子待认证设备将网络授权信息传输至第二子待认证设备,以对第二子待认证设备进行网络授权。
如图5所示,为网络认证方法的应用场景示意图,该图中包括:授权服务器、路由器A、路由器B、路由器C、交换机A、交换机B、交换机C、终端A、终端B以及终端C,具体地,路由器A作为网络设备,授权服务器和直连的路由器A完成身份认证,作为全网第一台被授权的设备,由授权服务器直接向路由器A进行授权,完成认证授权。在路由器A完成认证授权之前,其他直连的设备都处于未认证状态,互相不能进行身份认证,不允许接入网络。
路由器A完成认证授权后,可以对其直连的设备路由器B和C进行认证授权。此时路由器B和C作为待认证设备,路由器A作为网络设备,在完成身份认证后,由授权服务器对路由器B和C进行授权,允许接入网络。
交换机A、B、C分别作为第二子待认证设备,路由器A、B、C分别作为第一子待认证设备,完成交换机和路由器之间的身份认证,再由授权服务器对交换机进行授权,允许接入网络。终端和交换机进行身份认证,授权服务器对终端进行授权,终端允许接入网络。
本发明实施例提供的网络认证方法以授权服务器和其直连的设备为信任链的根,进行扩散式的认证授权,使得整个网络均为可信的,故网络中的设备和终端身份都是合法的,可以避免中间人攻击,提高了网络认证的安全度,为用户提供安全网络环境,同时提高了用户的体验度。
实施例三:
本发明实施例提供一种网络认证装置,如图6所示,设置于授权服务器,该装置包括:第一认证模块61、第一授权模块62、第二认证模块63以及第二授权模块64。
需要说明的是,第一认证模块61用于对与授权服务器连接的网络设备进行身份认证,得到第一身份认证结果。第一授权模块62用于根据第一身份认证结果对网络设备进行网络授权。第二认证模块63用于通过网络设备,对与网络设备连接的待认证设备进行身份认证,得到第二身份认证结果。第二授权模块64用于根据第二身份认证结果对待认证设备进行网络授权。
本发明实施例提供的网络认证装置,提高了网络认证的安全度,为用户提供安全网络环境,同时提高了用户的体验度。
本发明实施例提供的网络认证装置,与上述实施例提供的网络认证方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
实施例四:
本发明实施例提供的一种电子设备,如图7所示,电子设备7包括存储器71、处理器72,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例一或实施例二提供的方法的步骤。
参见图7,电子设备还包括:总线73和通信接口74,处理器72、通信接口74和存储器71通过总线73连接;处理器72用于执行存储器71中存储的可执行模块,例如计算机程序。
其中,存储器71可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口74(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线73可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器71用于存储程序,所述处理器72在接收到执行指令后,执行所述程序,前述本发明任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器72中,或者由处理器72实现。
处理器72可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器72中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器72可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器71,处理器72读取存储器71中的信息,结合其硬件完成上述方法的步骤。
实施例五:
本发明实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述实施例一或实施例二提供的方法。
本发明实施例提供的具有处理器可执行的非易失的程序代码的计算机可读介质,与上述实施例提供的网络认证方法、装置以及电子设备具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本发明实施例所提供的进行网络认证方法、装置以及电子设备的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种网络认证方法,应用于授权服务器,其特征在于,该方法包括:
对与所述授权服务器连接的网络设备进行身份认证,得到第一身份认证结果;
根据所述第一身份认证结果对所述网络设备进行网络授权;
通过所述网络设备,对与所述网络设备连接的待认证设备进行身份认证,得到第二身份认证结果;
根据所述第二身份认证结果对所述待认证设备进行网络授权。
2.根据权利要求1所述的网络认证方法,其特征在于,所述对与所述授权服务器连接的网络设备进行身份认证,得到第一身份认证结果,包括:
接收网络设备的身份认证请求信息;
与所述网络设备交换信任根的公钥,并基于所述网络设备信任根的公钥与所述授权服务器信任根的私钥进行计算,得到第一会话密钥;
根据所述第一会话密钥对所述网络设备身份认证请求信息进行签名,得到第一签名信息;
接收所述网络设备计算的第二签名信息,其中,所述第二签名信息是根据第二会话密钥计算得到的签名信息;所述第二会话密钥为所述网络设备基于所述授权服务器信任根的公钥与所述网络设备的信任根私钥计算得到的密钥;
判断所述第一签名信息与所述第二签名信息是否一致;
若是,确定第一身份认证结果为所述网络设备身份认证成功。
3.根据权利要求2所述的网络认证方法,其特征在于,所述根据所述第一身份认证结果对所述网络设备进行网络授权,包括:
在所述第一身份认证结果为网络设备身份认证成功时,将网络授权信息传输至所述网络设备,以对所述网络设备进行网络授权。
4.根据权利要求1所述的网络认证方法,其特征在于,所述通过所述网络设备,对与所述网络设备连接的待认证设备进行身份认证,得到第二身份认证结果,包括:
通过所述网络设备,接收待认证设备的身份认证请求信息;
通过所述网络设备,与所述待认证设备交换信任根的公钥,并基于所述待认证设备信任根的公钥与所述网络设备信任根的私钥进行计算,得到第三会话密钥;
通过所述网络设备,根据所述第三会话密钥对所述待认证设备身份认证请求信息进行签名,得到第三签名信息;
通过所述网络设备,接收所述待认证设备计算的第四签名信息,其中,所述第四签名信息是根据第四会话密钥计算得到的签名信息;所述第四会话密钥为所述待认证设备基于所述网络设备信任根的公钥与所述待认证设备信任根的私钥计算得到的密钥;
判断所述第三签名信息与所述第四签名信息是否一致;
若是,确定第二身份认证结果为所述待认证设备身份认证成功。
5.根据权利要求4所述的网络认证方法,其特征在于,所述根据所述第二身份认证结果对所述待认证设备进行网络授权,包括:
在所述第二身份认证结果为待认证设备身份认证成功时,通过所述网络设备将网络授权信息传输至所述待认证设备,以对所述待认证设备进行网络授权。
6.根据权利要求1所述的网络认证方法,其特征在于,所述待认证设备的数量为多个,所述方法还包括:
通过第一子待认证设备,对与所述第一子待认证设备连接的第二子待认证设备进行身份认证,得到第三身份认证结果,其中,所述第一子待认证设备已进行网络授权;
根据所述第三身份认证结果对所述第二子待认证设备进行网络授权。
7.根据权利要求6所述的网络认证方法,其特征在于,所述根据所述第三身份认证结果对所述第二子待认证设备进行网络授权,包括:
在所述第三身份认证结果为第二子待认证设备身份认证成功时,通过所述第一子待认证设备将网络授权信息传输至所述第二子待认证设备,以对所述第二子待认证设备进行网络授权。
8.一种网络认证装置,设置于授权服务器,其特征在于,该装置包括:
第一认证模块,用于对与所述授权服务器连接的网络设备进行身份认证,得到第一身份认证结果;
第一授权模块,用于根据所述第一身份认证结果对所述网络设备进行网络授权;
第二认证模块,用于通过所述网络设备,对与所述网络设备连接的待认证设备进行身份认证,得到第二身份认证结果;
第二授权模块,用于根据所述第二身份认证结果对所述待认证设备进行网络授权。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至7任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至7任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910498917.1A CN110149215A (zh) | 2019-06-10 | 2019-06-10 | 网络认证方法、装置以及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910498917.1A CN110149215A (zh) | 2019-06-10 | 2019-06-10 | 网络认证方法、装置以及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110149215A true CN110149215A (zh) | 2019-08-20 |
Family
ID=67590763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910498917.1A Pending CN110149215A (zh) | 2019-06-10 | 2019-06-10 | 网络认证方法、装置以及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110149215A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114258023A (zh) * | 2021-12-23 | 2022-03-29 | 深圳市创维软件有限公司 | Mesh组网方法、装置、设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123501A (zh) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | 一种wapi认证和密钥协商方法和系统 |
| CN101150406A (zh) * | 2006-09-18 | 2008-03-26 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及中继转发装置 |
| CN101527907A (zh) * | 2009-03-31 | 2009-09-09 | 刘建 | 无线局域网接入认证方法及无线局域网系统 |
| US20140181893A1 (en) * | 2012-12-23 | 2014-06-26 | Vincent Edward Von Bokern | Hardware-based device authentication |
| US20160080157A1 (en) * | 2014-09-16 | 2016-03-17 | Keypasco Ab | Network authentication method for secure electronic transactions |
| CN106330828A (zh) * | 2015-06-25 | 2017-01-11 | 联芯科技有限公司 | 网络安全接入的方法、终端设备及认证服务器 |
| CN109039627A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、设备、存储介质以及系统 |
-
2019
- 2019-06-10 CN CN201910498917.1A patent/CN110149215A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123501A (zh) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | 一种wapi认证和密钥协商方法和系统 |
| CN101150406A (zh) * | 2006-09-18 | 2008-03-26 | 华为技术有限公司 | 基于802.1x协议的网络设备认证方法及系统及中继转发装置 |
| CN101527907A (zh) * | 2009-03-31 | 2009-09-09 | 刘建 | 无线局域网接入认证方法及无线局域网系统 |
| US20140181893A1 (en) * | 2012-12-23 | 2014-06-26 | Vincent Edward Von Bokern | Hardware-based device authentication |
| US20160080157A1 (en) * | 2014-09-16 | 2016-03-17 | Keypasco Ab | Network authentication method for secure electronic transactions |
| CN106330828A (zh) * | 2015-06-25 | 2017-01-11 | 联芯科技有限公司 | 网络安全接入的方法、终端设备及认证服务器 |
| CN109039627A (zh) * | 2018-11-02 | 2018-12-18 | 美的集团股份有限公司 | 密钥协商方法、设备、存储介质以及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114258023A (zh) * | 2021-12-23 | 2022-03-29 | 深圳市创维软件有限公司 | Mesh组网方法、装置、设备及可读存储介质 |
| CN114258023B (zh) * | 2021-12-23 | 2024-01-09 | 深圳市创维软件有限公司 | Mesh组网方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101114728B1 (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
| CN107148019B (zh) | 一种用于连接无线接入点的方法与设备 | |
| CN109729523A (zh) | 一种终端联网认证的方法和装置 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| JP2016525838A (ja) | 暗号化通信方法、及び、暗号化通信システム | |
| CN101951603A (zh) | 一种无线局域网接入控制方法及系统 | |
| CN105450652B (zh) | 一种认证方法、装置及系统 | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| CN109639731A (zh) | 多因子通用可组合认证及服务授权方法、通信服务系统 | |
| CN108990062A (zh) | 智能安全Wi-Fi管理方法和系统 | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
| CN110830446A (zh) | 一种spa安全验证的方法和装置 | |
| CN106534050A (zh) | 一种实现虚拟专用网络密钥协商的方法和装置 | |
| CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
| CN110768954A (zh) | 适用于5g网络设备的轻量级安全接入认证方法及应用 | |
| Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
| CN110602083B (zh) | 一种数字身份认证数据的安全传输与存储方法 | |
| CN106603512B (zh) | 一种基于sdn架构的is-is路由协议的可信认证方法 | |
| CN109302425A (zh) | 身份认证方法及终端设备 | |
| CN105978692A (zh) | 一种3gpp认证与密钥协商协议的实现方法 | |
| CN110149215A (zh) | 网络认证方法、装置以及电子设备 | |
| Liu et al. | A trusted access method in software-defined network | |
| Aiash | A formal analysis of authentication protocols for mobile devices in next generation networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190820 |
|
| RJ01 | Rejection of invention patent application after publication |