CN113839787B - 一种双向认证的局域网安全接入协议方法和系统 - Google Patents

一种双向认证的局域网安全接入协议方法和系统 Download PDF

Info

Publication number
CN113839787B
CN113839787B CN202111427308.0A CN202111427308A CN113839787B CN 113839787 B CN113839787 B CN 113839787B CN 202111427308 A CN202111427308 A CN 202111427308A CN 113839787 B CN113839787 B CN 113839787B
Authority
CN
China
Prior art keywords
negotiation
message
mac address
equipment
enters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111427308.0A
Other languages
English (en)
Other versions
CN113839787A (zh
Inventor
杨林
马琳茹
王雯
李东阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Original Assignee
Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences filed Critical Institute of Network Engineering Institute of Systems Engineering Academy of Military Sciences
Priority to CN202111427308.0A priority Critical patent/CN113839787B/zh
Publication of CN113839787A publication Critical patent/CN113839787A/zh
Application granted granted Critical
Publication of CN113839787B publication Critical patent/CN113839787B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种双向认证的局域网安全接入协议方法和系统。所述方法包括:发现阶段:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;协商阶段:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;保活阶段:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。

Description

一种双向认证的局域网安全接入协议方法和系统
技术领域
本发明属于通网络协议领域,尤其涉及一种双向认证的局域网安全接入协议方法和系统。
背景技术
随着网络的迅速发展和广泛应用,局域网中的安全问题不断显现,现有的802.1x等单向认证方法也越来越难以满足日益增长的安全新需求。因此,为了满足新的网络环境对安全和可靠性越来越高的要求,网络设备接入认证的安全标准和协议也应不断更新和增强。
接入协议是指在控制用户-网络接口(UNI)与业务节点接口(SNI)之间,实现传送承载功能的协议。现有接入协议802.1x等单向认证协议虽然可以实现接入设备间的安全认证与授权,但其服务端/客户端的单向认证方式已难以满足不断增加的新型网络需求。在通信双方皆需授权认证的安全新需求下,802.1x协议对于网络安全性的保障仍然不够,也无法为上层网络协议交互提供完整性保护。
发明内容
针对上述技术问题,本发明提出了一种双向认证的局域网安全接入协议(LSAP,LAN Security Access Protocol)方案,以完成安全接入路由器与接入设备之间的安全互连工作,实现接入认证、地址协商等功能,并为上层网络协议交互提供完整性保护。具体的,一是在认证协商阶段将双向接入认证、地址协商进行耦合,由MAC地址较大的一端发起协商,根据随机数和证书信息计算杂凑值,通过签名校验完成协商;二是在保活阶段持续维护接入的安全性,连接保活由MAC小一端定时主动发起,通过计算杂凑值进行保活校验;三是安全接入认证未通过时,严格控制报文传输,访问控制模块仅允许发现、认证相关报文可以通过,其它类型的所有报文均不允许通过。
本发明第一方面公开了一种双向认证的局域网安全接入协议方法。所述方法包括:
步骤S1、发现阶段:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
步骤S2、协商阶段:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
步骤S3、保活阶段:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
根据本发明第一方面的方法,在所述步骤S2中,具体方法包括:
步骤S21、协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
步骤S22、MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
步骤S23、MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
步骤S24、MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
步骤S25、MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
步骤S26、MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
根据本发明第一方面的方法,在所述步骤S3中,还包括:保活报文携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
根据本发明第一方面的方法,所述局域网安全接入协议在链路层上工作,且两个通信实体之间的关系是对等的,运行所述局域网安全接入协议的两个通信实体包括安全接入路由器和安全交换机。
根据本发明第一方面的方法,在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
根据本发明第一方面的方法,所述两个通信实体为安全交换机和安全接入路由器。
根据本发明第一方面的方法,根据所述通信实体类型进行接入设备控制和管理,同时根据设备身份标识进行网络统一管理。
本发明第二方面公开了一种用于双向认证的局域网安全接入协议系统。所述系统包括:
第一处理单元,被配置为在发现阶段执行:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
第二处理单元,被配置为在协商阶段执行:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
第三处理单元,被配置为在保活阶段执行:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
根据本发明第二方面的系统,所述第二处理单元具体被配置为执行:
步骤S21、协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
步骤S22、MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
步骤S23、MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
步骤S24、MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
步骤S25、MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
步骤S26、MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
根据本发明第二方面的系统,所述第三处理单元还被配置为执行:保活报文携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
根据本发明第二方面的系统,所述局域网安全接入协议在链路层上工作,且两个通信实体之间的关系是对等的,运行所述局域网安全接入协议的两个通信实体包括安全接入路由器和安全交换机。
根据本发明第二方面的系统,在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
根据本发明第二方面的系统,所述两个通信实体为安全交换机和安全接入路由器。
根据本发明第二方面的系统,根据所述通信实体类型进行接入设备控制和管理,同时根据设备身份标识进行网络统一管理。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
综上,本发明提出的的技术方案规定了协议处理流程等内容;且适用于安全接入路由器、局域网安全接入设备上安全接入认证功能;能够实现双向接入认证、地址协商等功能,并为上层网络协议交互提供完整性保护。在上述方案中,局域网安全接入协议两端相互发送邻居间发送报文,相互发现对端上线情况,根据设备类型进行接入设备控制和管理以及根据设备身份标识进行网络统一管理;保活阶段中由MAC小一端定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的通信实体示意图;
图2为根据本发明实施例的局域网安全接入协议功能组成示意图;
图3为根据本发明实施例的一种双向认证的局域网安全接入协议方法的流程图;
图4为根据本发明实施例的局域网安全接入协议的流程示意图;
图5为根据本发明实施例的一种双向认证的局域网安全接入协议系统的结构图;
图6为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种双向认证的局域网安全接入协议方法。
在一些实施例中,所述局域网安全接入协议在链路层上工作,且两个通信实体之间的关系是对等的,运行所述局域网安全接入协议的两个通信实体包括安全接入路由器和安全交换机。在一些实施例中,根据所述通信实体类型进行接入设备控制和管理,同时根据设备身份标识进行网络统一管理。图1为根据本发明实施例的通信实体示意图;如图1所示,局域网安全接入协议工作在链路层,且两个通信实体之间的关系是对等的,运行该协议的设备端主要包括安全接入路由器和安全交换机。
图2为根据本发明实施例的局域网安全接入协议功能组成示意图;如图2所示,局域网安全接入协议功能组成示意图中包含:局域网安全接入协议报文解析模块提供设备间局域网安全接入协议协商的报文解析功能,报文为二层协议报文;当安全接入认证未通过时,访问控制模块只允许指定类型的报文通过,其它类型的所有报文均不允许通过;安全管理模块为提供安全加密机制,如获取杂凑值、随机数、签名、证书等功能。
图3为根据本发明实施例的一种双向认证的局域网安全接入协议方法的流程图;如图3所示,所述方法包括:
步骤S1、发现阶段:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
步骤S2、协商阶段:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
步骤S3、保活阶段:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
在一些实施例中,在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
在一些实施例中,在所述步骤S2中,具体方法包括:
步骤S21、协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
步骤S22、MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
步骤S23、MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
步骤S24、MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
步骤S25、MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
步骤S26、MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
在一些实施例中,在所述步骤S3中,还包括:保活报文携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
具体示例
图4为根据本发明实施例的局域网安全接入协议的流程示意图;如图4所示,局域网安全接入协议的流程阶段包括:发现阶段、协商阶段、保活阶段。在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
1:发现
域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况。同时发现阶段会比较两端的MAC地址,MAC地址大的一端主动进入协商阶段。
2:协商
2.1 协商阶段由MAC地址较大的一端设备B主动进入,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态。
2.2 MAC地址较小一端设备A收到起始应答成功报文后
1)获取设备A的随机数Ra。
2)将Ra放入客户端协商报文主动发起,然后进入协商结束等待状态。
2.3 MAC地址大一端设备B收到客户端协商报文后,
1)将Ra信息保存到本地;
2)获取设备B的随机数Rb、B的证书信息Cb;
3)通过Ra、Rb、Cb计算出杂凑值Wkb;
4)再根据Wkb获取签名Wb;
5)将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态。
2.4 MAC地址小一端设备A收到服务器协商报文后
1)验证证书Cb,验证失败则认证失败
2)保存设备A的Rb、Cb、Wb信息到本地
3)获取设备A的证书信息Ca
4)根据Ra、Rb、Ca获取杂凑值wka
5)根据Wka获取签名Wa
6)将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态。
2.5 MAC地址大一端设备B收到客户端协商结束报文后,
1)验证证书Ca,验证失败则认证失败
2)保存设备B的Ca、Wa信息到本地
3)根据Ra、Rb、Ca获取杂凑值wka
4)根据Wka获取签名Wa
5)校验Wa
6)发送服务器端协商结束报文,进入协商成功状态。
2.6 MAC地址小一端设备A收到服务器端协商结束报文后,进入协商成功状态。
步骤3:保活
保活阶段,由MAC小一端定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。保活报文主要携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
本发明第二方面公开了一种用于双向认证的局域网安全接入协议系统。图5为根据本发明实施例的一种双向认证的局域网安全接入协议系统的结构图;如图5所示,所述系统500包括:
第一处理单元501,被配置为在发现阶段执行:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
第二处理单元502,被配置为在协商阶段执行:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
第三处理单元503,被配置为在保活阶段执行:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
根据本发明第二方面的系统,所述第二处理单元502具体被配置为执行:
步骤S21、协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
步骤S22、MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
步骤S23、MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
步骤S24、MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
步骤S25、MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
步骤S26、MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
根据本发明第二方面的系统,所述第三处理单元503还被配置为执行:保活报文携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
根据本发明第二方面的系统,所述局域网安全接入协议在链路层上工作,且两个通信实体之间的关系是对等的,运行所述局域网安全接入协议的两个通信实体包括安全接入路由器和安全交换机。
根据本发明第二方面的系统,在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
根据本发明第二方面的系统,所述两个通信实体为安全交换机和安全接入路由器。
根据本发明第二方面的系统,根据所述通信实体类型进行接入设备控制和管理,同时根据设备身份标识进行网络统一管理。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
图6为根据本发明实施例的一种电子设备的结构图,如图6所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
综上,本发明提出的的技术方案规定了协议处理流程等内容;且适用于安全接入路由器、局域网安全接入设备上安全接入认证功能;能够实现双向接入认证、地址协商等功能,并为上层网络协议交互提供完整性保护。在上述方案中,局域网安全接入协议两端相互发送邻居间发送报文,相互发现对端上线情况,根据设备类型进行接入设备控制和管理以及根据设备身份标识进行网络统一管理;保活阶段中由MAC小一端定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种双向认证的局域网安全接入协议方法,其特征在于,所述方法包括:
步骤S1、发现阶段:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
步骤S2、协商阶段:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
步骤S3、保活阶段:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活;
其中,所述步骤S2具体包括:
步骤S21、协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
步骤S22、MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
步骤S23、MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
步骤S24、MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
步骤S25、MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
步骤S26、MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
2.根据权利要求1所述的一种双向认证的局域网安全接入协议方法,其特征在于,在所述步骤S3中,还包括:保活报文携带随机数Ra/Rb的杂凑值,消息收到后进行杂凑校验。
3.根据权利要求1所述的一种双向认证的局域网安全接入协议方法,其特征在于,所述局域网安全接入协议在链路层上工作,且两个通信实体之间的关系是对等的,运行所述局域网安全接入协议的两个通信实体包括安全接入路由器和安全交换机。
4.根据权利要求2所述的一种双向认证的局域网安全接入协议方法,其特征在于,在认证通过前为非授权状态,此时仅有发现、认证相关报文可以通过。
5.根据权利要求3所述的一种双向认证的局域网安全接入协议方法,其特征在于,所述两个通信实体为安全交换机和安全接入路由器。
6.根据权利要求1所述的一种双向认证的局域网安全接入协议方法,其特征在于,根据所述通信实体类型进行接入设备控制和管理,同时根据设备身份标识进行网络统一管理。
7.一种用于双向认证的局域网安全接入协议系统,其特征在于,所述系统包括:
第一处理单元,被配置为在发现阶段执行:局域网安全接入协议两端相互发送邻居间发送发现报文,相互发现对端上线情况,同时比较所述域网安全接入协议两端的MAC地址,所述两端包括两个通信实体即设备A和设备B,所述MAC地址较大的一端设备B主动进入协商阶段;
第二处理单元,被配置为在协商阶段执行:由MAC地址较大的一端设备B主动进入协商阶段,并经历协商等待状态、协商结束等待状态后最终进入协商成功状态;MAC地址较小的一端设备A收到起始应答成功报文后,进入协商结束等待状态,并最终达到协商成功状态;
第三处理单元,被配置为在保活阶段执行:由MAC地址较小的一端设备A定时主动发起客户端保活报文,服务端回复服务端保活消息进行保活;
其中,在所述协商阶段:
协商阶段由MAC地址较大的一端设备B主动进入协商阶段,MAC地址较大的一端收到邻居间发现报文后,主动发送起始应答成功报文,然后进入协商等待状态;
MAC地址较小的一端设备A收到起始应答成功报文后,获取设备A的随机数Ra,将所述随机数Ra放入客户端协商报文并主动发起协商报文,然后进入协商结束等待状态;
MAC地址大的一端设备B收到客户端协商报文后,将随机数Ra信息保存到本地;并获取设备B的随机数Rb和设备B的证书信息Cb;通过Ra、Rb、Cb计算出杂凑值Wkb;再根据Wkb获取签名Wb;将Rb、Wb、Cb放入服务端协商报文进行回复,然后进入协商结束等待状态;
MAC地址较小的一端设备A收到服务器协商报文后,验证所述证书信息Cb,验证失败则认证失败;保存设备A的Rb、Cb、Wb信息到本地;获取设备A的证书信息Ca;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;将Wa、Ca放入客户端协商结束报文发送,进入协商成功状态;
MAC地址大一端设备B收到客户端协商结束报文后,验证证书Ca,验证失败则认证失败;保存设备B的Ca、Wa信息到本地;根据Ra、Rb、Ca获取杂凑值Wka;根据Wka获取签名Wa;校验Wa;发送服务器端协商结束报文,进入协商成功状态;
MAC地址较小的一端设备A收到服务器端协商结束报文后,进入协商成功状态。
8.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至6中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至6中任一项所述的一种双向认证的局域网安全接入协议方法中的步骤。
CN202111427308.0A 2021-11-29 2021-11-29 一种双向认证的局域网安全接入协议方法和系统 Active CN113839787B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111427308.0A CN113839787B (zh) 2021-11-29 2021-11-29 一种双向认证的局域网安全接入协议方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111427308.0A CN113839787B (zh) 2021-11-29 2021-11-29 一种双向认证的局域网安全接入协议方法和系统

Publications (2)

Publication Number Publication Date
CN113839787A CN113839787A (zh) 2021-12-24
CN113839787B true CN113839787B (zh) 2022-03-04

Family

ID=78971786

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111427308.0A Active CN113839787B (zh) 2021-11-29 2021-11-29 一种双向认证的局域网安全接入协议方法和系统

Country Status (1)

Country Link
CN (1) CN113839787B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115348112B (zh) * 2022-10-18 2022-12-09 中国人民解放军军事科学院系统工程研究院 一种局域网交换设备接入认证与可信组网的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102769573A (zh) * 2012-08-01 2012-11-07 杭州华三通信技术有限公司 借助bfd报文实现bgp保活信息发送的方法及路由设备
CN103200172A (zh) * 2013-02-19 2013-07-10 中兴通讯股份有限公司 一种802.1x接入会话保活的方法及系统
CN108234503A (zh) * 2018-01-11 2018-06-29 中国电子科技集团公司第三十研究所 一种网络节点的安全邻居自动发现方法
CN109413061A (zh) * 2018-10-22 2019-03-01 智强通达科技(北京)有限公司 一种网络接入装置
CN112565213A (zh) * 2020-11-25 2021-03-26 青岛海尔科技有限公司 认证方法及装置、存储介质、电子装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210329727A1 (en) * 2020-04-15 2021-10-21 Chengfu Yu Method and system for device and server communication

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102769573A (zh) * 2012-08-01 2012-11-07 杭州华三通信技术有限公司 借助bfd报文实现bgp保活信息发送的方法及路由设备
CN103200172A (zh) * 2013-02-19 2013-07-10 中兴通讯股份有限公司 一种802.1x接入会话保活的方法及系统
CN108234503A (zh) * 2018-01-11 2018-06-29 中国电子科技集团公司第三十研究所 一种网络节点的安全邻居自动发现方法
CN109413061A (zh) * 2018-10-22 2019-03-01 智强通达科技(北京)有限公司 一种网络接入装置
CN112565213A (zh) * 2020-11-25 2021-03-26 青岛海尔科技有限公司 认证方法及装置、存储介质、电子装置

Also Published As

Publication number Publication date
CN113839787A (zh) 2021-12-24

Similar Documents

Publication Publication Date Title
CN110535872B (zh) 在区块链网络中处理数据请求的方法和装置
US7984290B2 (en) System and method for encrypted communication
US8037514B2 (en) Method and apparatus for securely disseminating security server contact information in a network
JP3742056B2 (ja) 無線ネットワークのアクセス認証技術
CN110856174B (zh) 一种接入认证系统、方法、装置、计算机设备和存储介质
US20140281503A1 (en) Certificate grant list at network device
CN110365701B (zh) 客户终端设备的管理方法、装置、计算设备及存储介质
US20060161770A1 (en) Network apparatus and program
CN109344628B (zh) 区块链网络中可信节点的管理方法,节点及存储介质
CN111049946B (zh) 一种Portal认证方法、系统及电子设备和存储介质
WO2021109753A1 (zh) 一种应用于极简网络的机卡验证方法和相关设备
CN101986598A (zh) 认证方法、服务器及系统
CN113839787B (zh) 一种双向认证的局域网安全接入协议方法和系统
CN114389916A (zh) 一种组网通信方法、装置、系统及网络设备
CN110769482B (zh) 无线设备进行网络连接的方法、装置和无线路由器设备
Obaidat et al. A novel paradigm for access control trust in iot applications: A distributed cross-communication approach
CN111262939B (zh) 边缘计算节点通信方法、装置、计算机设备和存储介质
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及系统
JP2004260401A (ja) 通信制御システムと通信制御方法およびプログラムと管理装置ならびに通信端末装置
CN114257406A (zh) 基于标识算法的设备通信方法、装置和计算机设备
CN113839776B (zh) 一种用于网管和路由器间的安全互连协议方法和系统
JP7250829B2 (ja) 認証方法
CN115348112B (zh) 一种局域网交换设备接入认证与可信组网的方法
JP2014154112A (ja) 通信データ中継装置およびプログラム
CN113783704B (zh) 基于临时证书的认证方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant