CN113972995B - 一种网络配置方法及装置 - Google Patents
一种网络配置方法及装置 Download PDFInfo
- Publication number
- CN113972995B CN113972995B CN202010726050.3A CN202010726050A CN113972995B CN 113972995 B CN113972995 B CN 113972995B CN 202010726050 A CN202010726050 A CN 202010726050A CN 113972995 B CN113972995 B CN 113972995B
- Authority
- CN
- China
- Prior art keywords
- identity
- equipment
- link layer
- root
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供一种网络配置方法及装置,涉及通信安全技术领域,用于降低网络配置过程中的预先配置工作量,以实现自动化配置,进一步提高网络安全性。该方法包括:第一设备向第二设备发送第一链路层身份认证报文,第一链路层身份认证报文包括第一设备的身份证书,第一设备的身份证书用于第二设备对第一设备的身份校验;第一设备接收来自第二设备的第二链路层身份认证报文,第二链路层身份认证报文包括第二设备的身份证书,第二设备的身份证书用于第一设备对第二设备的身份校验。
Description
技术领域
本申请涉及通信安全技术领域,尤其涉及一种网络配置方法及装置。
背景技术
随着通信技术的高速发展,通信网络的规模越来越庞大,且网络业务逐渐渗透到用户工作和生活的方方面面。因此,基于网络安全性的前提下实现自动化的网络发现和资源配置是非常重要的课题,以防止出现仿冒合法设备接入网络,窃取网络配置数据甚至恶意篡改网络配置数据,从而破坏网络等的恶意攻击事件,影响用户使用。
目前通常可以使用对称密钥或者非对称密钥对网络配置信息进行加密,或者通过数字证书验证设备身份结合秘钥协商的方式,提高网络配置的安全性。例如,网络中的根节点设备可以通过互联网协议(Internet Protocol,IP),传输加密的配置数据给子节点设备,子节点设备根据预先配置的密钥进行解密,实现网络的配置。
但是上述技术方案的实现需要事先为根节点设备和子节点设备配置管理IP地址,以及配置对称秘钥、非对称密钥或者设备对应的数字证书,当网络中根节点设备和子节点设备的数量较多,预先配置工作量太大,无法实现自动化配置。另外,基于传输层IP协议的攻击手段较丰富,网络安全性也无法得到保障。
发明内容
本申请提供一种网络配置方法及装置,解决了网络配置过程中预先配置工作量太大无法实现自动化配置,且数据加密过程安全性仍有隐患的问题,提高网络安全性与安全配置的效率。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种网络配置方法,该方法包括:第一设备向第二设备发送第一链路层身份认证报文,第一链路层身份认证报文包括第一设备的身份证书,第一设备的身份证书用于第二设备对第一设备的身份校验;第一设备接收来自第二设备的第二链路层身份认证报文,第二链路层身份认证报文包括第二设备的身份证书,第二设备的身份证书用于第一设备对第二设备的身份校验。
上述技术方案中,通过在链路层进行链路发现的过程中,第一设备可以通过发送链路层身份认证报文,自动向第一设备发起双向的身份认证请求,该第一链路层身份认证报文包括用于第二设备对第一设备进行身份校验的身份证书。即第一设备和第二设备可以通过链路层的请求报文和响应报文自动完成双向的身份校验,避免了提前为多个网络设备配置IP地址的过程,提高了网络安全配置的便捷性和安全性。并且,链路层传输报文相较于基于传输层IP协议的报文安全性更高,本申请的上述实施方式可以进一步提高网络配置的安全性。
在一种可能的设计方式中,该方法还包括:当第一设备和第二设备的身份校验都通过时,第一设备和第二设备协商加密秘钥,加密秘钥用于对第一设备和第二设备间的链路层报文进行加密。
上述可能的实现方式中,第一设备和第二设备之间的双向身份校验都通过时,第一设备和第二设备可以通过链路层报文协商加密秘钥,从而可以对第一设备和第二设备之间链路层报文传输的配置信息进行加密保护,提高网络设备的安全性。
在一种可能的设计方式中,第一设备为根设备,第二设备与第一设备间接连接。上述可能的实现方式中,第一设备与第二设备可以是直连的,也可以是非直连的,例如,第一设备可以为根节点设备,简称为根设备,第二设备可以为与该根设备间接连接的子节点设备。
基于链路层的这种极简的链路发现协议,子节点设备可以根据端口的状态变化,向上一级节点上报端口状态的变化,一级一级进行上报,从而根节点设备可以自动获取接入网络的设备信息,实现链路层的设备发现。基于这种链路发现协议,网络设备可以自动进行双方身份校验和加密秘钥的协商,从而能够减小提前配置的工作量,提高网络配置的效率。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
上述可能的实现方式中,第一设备可以通过向第二设备发送链路层身份认证请求报文,以进行双向的身份校验请求。进一步的,第一设备可以通过接收第二设备发送的链路层身份认证响应报文确认第二设备对第一设备进行身份校验的结果;并且,第一设备可以根据第二设备发送的链路层身份认证响应报文中包括的第二设备的身份证书,对第二设备进行身份校验。从而网络设备可以基于链路层的身份认证报文自动完成双向的身份校验,提高网络安全性和网路配置的便捷性。
在一种可能的设计方式中,第一设备预先存储有身份证书列表。
上述可能的实现方式中,第一设备可以预先存储有允许接入网络的身份证书列表,以根据身份证书列表确认请求接入网络的第二设备是否符合接入要求,从而能够提高网络安全性和网路配置的便捷性。
在一种可能的设计方式中,该方法还包括:第一设备通过预先配置的互联网协议IP地址接收来自网络控制器的身份证书列表。
上述可能的实现方式中,网络配置过程中还可以包括网络控制器,第一设备可以通过预先配置的IP地址接收来自网络控制器发送的身份证书列表,从而根据身份证书列表确认请求接入网络的第二设备是否符合接入要求,从而能够提高网络安全性和网路配置的便捷性。
第二方面,提供一种网络配置方法,该方法包括:第二设备接收来自第一设备的第一链路层身份认证报文,第一链路层身份认证报文包括第一设备的身份证书,第一设备的身份证书用于第二设备对第一设备的身份校验;第二设备向第一设备发送第二链路层身份认证报文,第二链路层身份认证报文包括第二设备的身份证书,第二设备的身份证书用于第一设备对第二设备的身份校验。
上述技术方案中,第二设备接收来自第一设备的第一链路层身份认证报文,可以根据第一设备的身份证书对第一设备进行身份校验,确定是满足接入要求的设备之后向第一设备发送第二链路层身份认证报文,以使得第一设备可以根据第二设备的身份证书对第二设备进行身份校验。从而通过链路层的发现协议,自动启动和进行双向的身份校验过程,提高了网络配置的便捷性和安全性。
在一种可能的设计方式中,该方法还包括:当第一设备和第二设备的身份校验都通过时,第二设备和第一设备协商加密秘钥,加密秘钥用于对第一设备和第二设备间的链路层报文进行加密。
上述可能的实现方式中,第一设备和第二设备之间的双向身份校验都通过时,第一设备和第二设备可以通过链路层报文协商加密秘钥,从而可以对第一设备和第二设备之间链路层报文传输的配置信息进行加密保护,提高网络设备的安全性。
在一种可能的设计方式中,第二设备与第一设备间接连接。
上述可能的实现方式中,第一设备与第二设备可以是直连的,也可以是非直连的,例如,第一设备可以为根节点设备,简称为根设备,第二设备可以为与该根设备间接连接的子节点设备。基于链路层的这种极简的链路发现协议,子节点设备可以根据端口的状态变化,向上一级节点上报端口状态的变化,一级一级进行上报,从而根节点设备可以自动获取接入网络的设备信息,实现链路层的设备发现。基于这种链路发现协议,网络设备可以自动进行双方身份校验和加密秘钥的协商,从而能够减小提前配置的工作量,提高网络配置的效率。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
上述可能的实现方式中,第一设备可以通过向第二设备发送链路层身份认证请求报文,以进行双向的身份校验请求。进一步的,第一设备可以通过接收第二设备发送的链路层身份认证响应报文确认第二设备对第一设备进行身份校验的结果;并且,第一设备可以根据第二设备发送的链路层身份认证响应报文中包括的第二设备的身份证书,对第二设备进行身份校验。从而网络设备可以基于链路层的身份认证报文自动完成双向的身份校验,提高网络安全性和网路配置的便捷性。
第三方面,提供一种网络配置装置,该装置包括:发送模块,用于向第二设备发送第一链路层身份认证报文,第一链路层身份认证报文包括装置的身份证书,装置的身份证书用于第二设备对装置进行身份校验;接收模块,用于接收来自第二设备的第二链路层身份认证报文,第二链路层身份认证报文包括第二设备的身份证书,第二设备的身份证书用于装置对第二设备进行身份校验。
在一种可能的设计方式中,当第一设备和第二设备的身份校验都通过时,发送模块和接收模块还用于:和第二设备协商加密秘钥,加密秘钥用于对装置和第二设备间的链路层报文进行加密。
在一种可能的设计方式中,该装置为根设备,第二设备与装置间接连接。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
在一种可能的设计方式中,该装置预先存储有身份证书列表。
在一种可能的设计方式中,接收模块还用于,通过预先配置的互联网协议IP地址接收来自网络控制器的身份证书列表。
第四方面,提供一种网络配置装置,该装置包括:接收模块,用于接收来自第一设备的第一链路层身份认证报文,第一链路层身份认证报文包括第一设备的身份证书,第一设备的身份证书用于装置对第一设备进行身份校验;发送模块,用于向第一设备发送第二链路层身份认证报文,第二链路层身份认证报文包括装置的身份证书,装置的身份证书用于第一设备对装置进行身份校验。
在一种可能的设计方式中,当第一设备和第二设备的身份校验都通过时,发送模块和接收模块还用于:和第一设备协商加密秘钥,加密秘钥用于对第一设备和装置之间的链路层报文进行加密。
在一种可能的设计方式中,第一设备为根设备,装置与第一设备间接连接。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
第五方面,提供一种电子设备,该电子设备包括:处理器和传输接口;其中,处理器被配置为执行存储在存储器中的指令,以实现如上述第一方面中任一项的方法。
第六方面,提供一种电子设备,该电子设备包括:处理器和传输接口;其中,处理器被配置为执行存储在存储器中的指令,以实现如上述第二方面中任一项的方法。
第七方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令由计算机或处理器执行时,使得计算机或处理器能够执行如上述第一方面中任一项的方法。
第八方面,提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令由计算机或处理器执行时,使得所述计算机或所述处理器能够执行如上述第二方面中任一项所述的方法。
第九方面,提供一种计算机程序产品,该计算机程序产品可以包括程序指令,当该计算机程序产品在计算机上运行时,使得计算机可以执行上述第一方面中任一项所述的方法。
第十方面,提供一种计算机程序产品,该计算机程序产品可以包括程序指令,当该计算机程序产品在计算机上运行时,使得计算机可以执行上述第二方面中任一项所述的方法。
第十一方面,提供一种通信系统,该通信系统包括如上述第三方面中任一项所述的装置和如上述第四方面中任一项所述的装置。
可以理解地,上述提供的任一种网络配置装置、电子设备、计算机可读存储介质、计算机程序产品和通信系统,均可以用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种通信系统的网络架构图;
图2为本申请实施例提供的一种网络配置方法的流程示意图;
图3为本申请实施例提供的另一种网络配置方法的流程示意图;
图4为本申请实施例提供的另一种网络配置方法的流程示意图;
图5为本申请实施例提供的一种通信装置的结构示意图;
图6为本申请实施例提供的另一种通信装置的结构示意图;
图7为本申请实施例提供的另一种通信装置的结构示意图。
具体实施方式
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
首先,对本申请涉及的技术术语做简单介绍。
密钥加密:是指数据的发送端和接收端使用相同的或不同的密钥对数据明文进行加密、解密运算的加密方法,以保证在开放式网络环境中数据传输的安全。密钥通常是一定长度的字符串,可以根据预先协商或者配置的算法生成,并且可以按照使用频繁更换加密的密钥。目前用于数据传输的密钥包括对称密钥和非对称密钥。
对称密钥:即发送端和接收端使用相同的密钥对明文进行加密和解密的运算。又叫专用密钥加密或者共享密钥加密。对称密钥加密的算法包括数据加密算法(DataEncryption Algorithm,DEA)、三重数据加密算法(TDEA,Triple Data EncryptionAlgorithm,3DES)、RC5分组密码算法和RC6等。
非对称密钥:即发送端和接收端使用不同的密钥对明文进行加密和解密的运算。非对称加密算法需要两个密钥即公开密钥(简称公钥)和私有密钥(简称私钥),公钥与私钥是一对,当发送端用公钥对数据明文进行加密后生成数据密文,发送端将生成的数据密文传输给接收端,接收端可以用对应的私钥进行解密后获取该数据明文。
数字证书:数字证书是一个经证书授权中心数字签名的文件,在互联网通信中用于指示通信设备身份信息的一个数字认证。用户可以在通信过程中通过验证对方的数字证书的合法性,来识别对方的身份,因此,也可称为身份证书。数字证书包含通信设备的公钥及相关身份信息,对于网络设备来说,可以用设备标识作为身份信息,例如,可以判断数字证书中包括的设备标识和本地配置的设备标识是否符合,以确认对方是否为可信任的设备。
数据链路层:数据链路层(Data Link Layer)是开放式系统互联(Open SystemInterconnect,OSI)模型中第二层,位于物理层与网络层之间,简称为链路层。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请实施例的实施环境和应用场景进行简单介绍。
本申请实施例提供一种网络配置方法,该方法可以应用于局域网(local areanetwork,LAN)的网络资源的优化配置,也可以应用于其他的通信网络。
局域网是指局部地区形成的一个区域网络,局域网又分为有线局域网和无线局域网(WLAN),WLAN是指应用无线通信技术将计算机设备互联起来,构成的可以互相通信和实现资源共享的网络体系。目前WLAN由于其便利性,被广泛应用。
局域网中的网络设备可以包括根节点设备和非根节点设备(子节点设备),根节点设备可简称为根设备,子节点设备可简称为子设备。其中,子设备可与根设备直接连通,或者子设备通过至少一级子设备与根设备间接连通。示例性的,如图1所示,子设备1与根设备直接连通,子设备3通过上一级子设备2与根设备间接连通。其中,根设备可以为交换机、接入控制器(Access Controller,AC)或者网络控制器等网络设备。子设备可以为交换机、接入点(AP)等网络设备。
该网络系统可以包括网络控制器或者网络分析器,可以与交换机连接或者与网络设备AC连接,用于对该局域网系统的网络资源进行规划、管理和控制。例如,网络分析器可以用于对该网络内的所有AC和AP进行参数配置、管理、故障排查等。
可选的,本申请实施例图1中的各网络设备,可以是一个设备也可以是一个设备内的一个功能模块。可以理解的是,该功能模块既可以是硬件设备中的网络元件,例如计算机中的通信芯片,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
网络拓扑发现协议包括链路层发现协议(Link Layer Discovery Protocol,LLDP),用于链路层的设备发现和网络拓扑信息的收集和管理。LLDP是一种标准的二层协议,网络设备可以通过LLDP协议将自身的管理地址、设备标识、接口标识等设备信息组织起来,并通过LLDP报文发布给邻居设备。邻居设备收到这些设备信息后,需要将该设备信息以管理信息库(Management Information Base,MIB)的形式进行存储。因此,通过LLDP协议可以收集邻居设备信息和端口信息,网络控制器或者网络管理器可以通过简单网络管理协议(Simple Network Management Protocol,SNMP)收集网络中所有节点的MIB信息以绘制出整网的拓扑图。
不同于上述的链路层发现协议LLDP,本申请实施例基于一种极简的链路层发现协议(Extremely Lean Discovery Protocol,XLDP),用于实现免规划、免配置、自动化的设备发现和网络拓扑信息收集、管理。
基于上述的XLDP协议框架,根节点设备可以用于集中进行网络拓扑的发现和上报,子节点设备可以用于响应XLDP请求,以及一级一级上报网络链路状态或者端口状态的变更信息。因此,网络中的大部分设备发现逻辑较为简单,且不需要存储设备信息、维护网络状态等。具体的设备发现过程如下:
(1)根设备可以向已知端口发送链路发现报文,连接该端口的对端设备(子设备)收到该链路发现报文后,向根设备回复链路发现响应报文。该链路发现响应报文可以携带子设备的设备编号、接收端口号等信息。
(2)根设备接收到链路发现响应报文之后,若检测到链路对端是新接入的设备,则根设备通过该端口向该子设备发送设备发现报文。
(3)子设备接收到来自根设备的设备发现报文之后,向根设备回复设备发现响应报文。该设备发现响应报文可以携带该子设备的设备编号、该子设备上的所有端口的带宽信息以及所有的端口的状态信息。示例性的,端口状态可以包括开启(up)或者关闭(down)等状态。
(4)根设备根据已发现拓扑计算新链路是否在从根设备到新链路的子设备的最短路径上,如是,则将新链路离根设备较远的端口设为上行口。基于XLDP协议,子设备发起的控制报文可以通过该指定的上行口发送给根设备。
(5)当子设备的任一端口状态发生变化的时候,子设备可以通过指定的上行口向根设备上报端口状态发生变化的信息。
另外,子设备可以与根设备直连,也可以与根设备非直连,也即子设备可以通过其他节点间接连通根设备。因此,子设备可以向接入的上一级子设备上报端口状态发生变化的信息,通过一级一级的子设备上报至根设备,从而根设备可以接收到网络中所有端口状态发生变化的信息。
本申请实施例提供一种网络配置方法,可以应用于如图1中所示的通信系统。基于上述的XLDP协议,可以通过链路层的端口接入自动发现,来解决通信系统中的网络设备之间配置加密秘钥,或者网络设备之间数字证书校验过程的安全性问题,并且避免网络设备预先配置的工作量较大的问题,实现自动化配置。如图2所示,该方法可以包括:
S201:根设备向子设备发送第一链路层身份认证报文,第一链路层身份认证报文包括根设备的身份证书,用于子设备对根设备的身份校验。
其中,根设备具体可以是上述通信网络中的AC、交换机或者网络控制器等。第二设备可以为子节点设备,根设备可以直接或者间接与至少一个子设备连通。例如,第一设备为根设备,第二设备为子设备,第二设备可以通过网络端口与第一设备直接连通,或者,第二设备还可以通过至少一级子设备与第一设备间接连通。子设备具体可以是上述通信网络中的AC、AP或者交换机等。
子设备接入网络时,根设备可以自动检测到网络的端口状态发生变化,然后向子设备发送链路层身份认证请求报文。也就是第一设备向第二设备发送第一链路层身份认证报文。
具体的,第一链路层身份认证报文可以是基于链路层的XLDP协议的请求报文。根据上述的XLDP协议框架可知,当子设备通过端口直连根设备时,根设备可以检测到或者接收到端口链路状态发生变化的信息,则根设备可以向端口链路状态发生变化的端口连接的设备发送第一链路层身份认证报文,即向子设备发送第一链路层身份认证报文。
当子设备非直连根设备时,例如,以第二设备是非直连子设备为例,第二设备可以通过接入的上一级子设备上报端口链路状态的变化,一级一级子设备上报至根设备,从而根设备接收到网络的端口状态发生变化的信息,向第二设备发送第一链路层身份认证报文。
其中,第一链路层身份认证报文可以包括根设备的身份证书,根设备的身份证书可以是在根设备出厂时预先配置的,也可以是子设备接入根设备前人工进行导入的。
另外,根设备的身份证书可以是基于设备信息申请的数字证书,设备信息可以包括以设备类型、设备编号或者设备标识。例如,根设备的身份证书可以是基于根节点设备标识申请的公钥基础设施(Public Key Infrastructure,PKI)证书。PKI证书是通过第三方的可信任机构如认证中心,把设备的公钥和其他标识信息(例如设备标识)捆绑在一起,以在网络通信中验证设备的身份,保证网络通信中数据的安全传输。
S202:子设备接收来自根设备的第一链路层身份认证报文,并根据第一链路层身份认证报文中的根设备的身份证书对根设备进行身份校验。
子设备接收到第一链路层身份认证报文后,根据第一链路层身份认证报文中的根设备的身份证书对根设备进行身份校验。例如,第一设备为根设备,第二设备为子设备,当第一设备的身份证书是基于第一设备的设备类型的数字证书,则第二设备根据第一设备的身份证书中包括的设备类型,结合第二设备预先配置的可以接入或者可以信任的设备类型信息进行验证,对第一设备进行身份校验。
具体的,如果第一设备的身份证书中包括的设备类型符合第二设备预先配置的可接入或可信任的设备类型,则第二设备确定第一设备是合法的设备,则第二设备接受第一设备的身份认证请求,继续执行下述的步骤S03。如果第一设备的身份证书中包括的设备类型不符合第二设备预先配置的可接入或可信任的设备类型,第二设备确定第一设备是不合法的设备,则第二设备不接受第一设备的身份认证请求,可以退出或者终止该执行过程,第二设备还可以向第一设备发送用于表示第一设备身份认证失败的指示信息。
S203:子设备向根设备发送第二链路层身份认证报文,第二链路层身份认证报文包括子设备的身份证书,用于根设备对子设备的身份校验。
根设备与子设备之间的身份校验是双向的身份校验,当子设备确定根设备是合法的设备后,即表示子设备接受根设备的双向身份认证请求,子设备也向根设备请求身份验证。
具体的,子设备可以向根设备发送第二链路层身份认证报文,第二链路层身份认证报文可以包括子设备的身份证书。其中,子设备的身份证书可以包括子设备的设备类型、设备编号或者设备标识等身份信息。例如,子设备的身份证书可以是基于子节点设备标识申请的PKI证书。
S204:根设备接收来自子设备的第二链路层身份认证报文,并根据第二链路层身份认证报文中的子设备的身份证书对子设备进行身份校验。
根设备可以根据第二链路层身份认证报文中子设备的身份证书,结合根设备的预先配置信息对子设备进行身份校验,校验过程与上述步骤S202中子设备对根设备进行身份校验的过程类似。
示例性的,第一设备可以为根设备,第二设备可以为子设备,根设备可以通过校验子设备身份证书中包括的设备类型与根设备本地配置的设备类型对比,判断子设备是否是信任的设备类型,如果子设备合法则继续进行根设备和子设备之间的对称密钥协商过程;如果子设备不合法,则退出双向身份校验的过程,根设备还可以向子设备发送表示身份校验失败的指示信息。
上述本申请的实施例,通过在链路层进行链路发现的过程中,根设备自动向子设备发起双向的身份认证请求,并且通过链路层的请求报文和响应报文完成根设备和子设备之间的身份校验,避免了提前为根设备和多个子设备配置IP地址的过程。并且,链路层传输报文相较于基于传输层IP协议的报文安全性更高,本申请的上述实施方式可以进一步提高网络配置的安全性。
在一种实施方式中,第一链路层身份认证报文可以为链路层身份认证请求报文,第二链路层身份认证报文为链路层身份认证响应报文,且第二链路层身份认证报文是链路层身份认证请求报文对应的响应报文。也就是说,链路层身份认证请求报文与链路层身份认证响应报文是对应的,但不可避免的,上述的请求报文与响应报文在链路层数据传输过程中可能存在报文数据丢失的情况。
上述实施例中的根设备和子设备分别可以为第一设备和第二设备。当第一设备为根设备,第二设备为子设备时,第一设备可以通过链路层设备发现,主动向第二设备发起链路层身份认证请求,即第一设备向第二设备发送链路层身份认证请求报文,第二设备对第一设备进行身份校验成功之后,第二设备向第一设备响应链路层身份认证响应报文,以使得第一设备对第二设备进行身份校验。反之,当第二设备为根设备,第一设备为子设备时,第二设备可以通过链路层设备发现主动向第一设备发起链路层身份认证请求,即第二设备向第一设备发送链路层身份认证请求报文,从而自动实现第二设备与第一设备之间的双向身份验证。
在一种实施方式中,为了进一步限定根设备允许接入的子设备的具体设备信息,根设备可以预先配置有允许接入的设备对应的身份证书。则上述的步骤S201中,根设备可以预先存储有身份证书列表,该身份证书列表可以包括至少一个允许接入或者可信任的设备的身份证书,身份证书可以是基于设备标识信息生成的PKI证书。
例如,上述的步骤S203中,子设备的身份证书可以包括子设备的设备标识,则根设备可以预先配置有允许接入或者可信任的子节点设备的设备标识信息,从而根设备可以根据子设备的身份证书中包括的设备标识,结合根设备预先配置的允许接入或者可信任的设备标识信息进行验证,以对子设备进行身份校验。
在一种实施方式中,在步骤S204之后,当根设备和子设备的双向身份校验都通过时,第一设备和第二设备协商加密秘钥,该对称秘钥用于对第一设备和第二设备间的链路层报文进行加密,以提高数据传输的安全性。
接下来,将详细介绍上述的根设备和子设备之间进行身份校验的过程以及协商加密秘钥的过程。本申请实施例提供一种网络配置方法,如图3所述,该方法可以包括:
S301:根设备导入基于根节点设备信息的身份证书,并且导入加密秘钥。
此步骤通常可以在根设备出厂时预置身份证书,也可以在子设备入网前手工导入。例如,身份证书可以为基于根节点设备标识的PKI证书。
其中,加密秘钥用于对根设备和子设备之间传输的报文数据进行加密,该加密秘钥通常可以为对称密钥,或者非对称秘钥中的公钥和私钥。本申请对此不做具体限定,下述实施方式中未具体说明的部分,仅表示以加密秘钥为对称密钥作为示例进行说明。
在一种可能的实施方式中,如果根设备需要限定只有指定设备标识的子设备才能够接入网络,则可以提前将允许接入的设备身份证书配置在根设备上,即根设备可以提前导入允许接入网络的多个子设备的身份证书列表,该身份证书列表可以包括多个基于子节点设备的设备标识的PKI证书。
S302:子设备导入基于子节点设备信息的身份证书。
此步骤通常可以在设备出厂时预置,也可以在子节点设备入网前手工导入。例如,身份证书可以为基于子节点设备标识的PKI证书。
另外,子设备身份证书中还包括子设备的加密秘钥,可以为非对称秘钥,包括公钥和私钥,用于子设备与根设备进行秘钥协商过程中,对传输报文中协商的秘钥进行加密。
S303:子设备接入网络时,根设备检测到网络的端口状态发生变化后,发送链路发现请求报文到状态发生变更的端口。
基于XLDP协议,当该子设备与根设备直连时,根设备可以检测到链路状态发生变化的端口,则根设备向该状态发生变更的端口发送链路发现请求报文。
当该子设备与根设备并非直连,而是通过至少一级子设备间接连通根设备时,子设备可以通过接入的上一级子设备透传端口链路状态的变化,一级一级透传直至根设备,根设备接收到透传信息后,向该子设备发送链路发现请求报文。
其中,该链路发现请求报文是基于链路层的XLDP协议的请求报文。
S304:子设备接收链路发现请求报文,并向根设备发送链路发现响应报文。
子设备接收链路发现请求报文后向根设备回应该链路发现请求,即向根设备发送该链路发现请求报文对应的链路发现响应报文。
其中,该链路发现响应报文可以携带子设备的设备信息,例如设备类型、设备名称等。上述子设备的设备信息可以用于根设备根据子设备的设备信息,更新和维护根设备侧的网络拓扑信息。网络拓扑信息可以包括网络节点设备和通信介质构成的网络结构、连接关系的信息。
S305:根设备向子设备发送链路层身份认证请求报文,该身份认证请求报文包括根设备的身份证书。
根设备向子设备发起双向身份认证请求,携带根设备本地预先配置的身份证书,用于子设备对根设备进行身份校验。
另外,该身份认证请求报文还可以包括根设备支持的加密算法套件,其中,加密算法套件中可以包括多种加密算法,用于根设备与子设备协商双方都支持的加密算法,用于加密传输。
S306:子设备接收来自根设备的链路层身份认证请求报文,根据身份认证请求报文中包括的身份证书对根设备进行身份校验。
子设备校验根设备的合法性,如果确认根设备是信任的设备,则接受根设备的身份认证请求,继续执行步骤S307。如果子设备确认根设备不是信任的设备,则退出该执行过程,并且子设备可以向根设备发送身份校验失败的指示信息。
S307:子设备向根设备发送身份认证响应报文,该身份认证响应报文包括子设备的身份证书。
子设备向根设备发送上述身份认证请求报文对应的响应报文,该身份认证响应报文可以携带上述步骤S302中子设备本地预先配置的身份证书,该子设备身份证书用于根设备对该子设备进行身份校验。
另外,该身份认证响应报文还可以包括子设备的加密公钥,用于对根设备与子设备之间传输的数据进行非对称秘钥的加密。
S308:根设备接收来自子设备的身份认证响应报文,根据身份认证响应报文中包括的身份证书对子设备进行身份校验。
根设备校验子设备的合法性,判断该子设备是否是信任的设备类型。如果确认子设备是信任的设备,则继续执行步骤S309,即根设备和子设备进行加密秘钥的协商。如果根设备确认该子设备不是信任的设备,则退出该执行过程,并且根设备可以向该子设备发送身份校验失败的指示信息。
如果上述的步骤S301中,根设备预先配置有允许接入的子节点设备身份证书列表,或者允许接入的子节点设备标识设备列表,则根设备可以根据接收到的身份认证响应报文中包括的身份证书,结合身份证书列表进行对比,确认该子设备是否合法。示例性的,根设备可以提取身份证书中的设备标识与本地配置的设备标识列表进行比对,确认该子设备是否合法。
S309:根设备使用子设备身份证书中包括的公钥对本地配置的加密密钥进行加密,生成加密密文。
根设备可以根据上述步骤S307中包括的子设备公钥对上述步骤S301中根设备本地配置的加密密钥进行加密,生成密钥密文。
其中,当上述步骤S301中根设备本地配置的加密秘钥是对称秘钥时,根设备可以根据子设备公钥对该对称秘钥进行加密,生成对称秘钥密文。或者,当上述步骤S301中根设备本地配置的加密秘钥是非对称秘钥时,根设备可以根据子设备公钥对该非对称秘钥中的公钥进行加密,生成非对称秘钥密文。
S310:根设备向子设备发送密钥协商请求报文,携带S309中生成的密钥密文。
其中,密钥协商请求报文中的密钥密文可以包括上述步骤S309中的对称秘钥或者非对称秘钥中的公钥。
S311:子设备接收密钥协商请求报文,并根据子设备的私钥对密钥密文进行解密,获得密钥明文。
其中,子设备的私钥与子设备的公钥是步骤S302中子设备预先配置的一对非对称秘钥。根据子设备的私钥进行解密得到的密钥明文可以为根设备与子设备进行协商的加密秘钥,该加密秘钥可以是上述步骤S309中的对称秘钥或者非对称秘钥中的公钥。
S312:子设备根据消息摘要算法得到第一摘要计算结果,对摘要计算结果用加密秘钥进行加密。
其中,消息摘要算法是根据任意长度的输入数据可以产生固定长度的伪随机数据的算法,即对任意长度的输入数据,根据消息摘要算法可以输出固定长度的数据,且相同的输入数据始终得到相同的输出。消息摘要算法可以作为一种加密算法,其主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。通过消息摘要算法可以验证子设备与根设备之间传输数据的安全性和完整性。
在本申请的实施例中,子设备可以根据前述步骤中与根设备进行交互的数据报文中的任一数据段进行消息摘要计算,得到第一摘要计算结果。示例性的,子设备可以根据前述步骤S304中接收的来自根设备的链路发现请求报文中的数据段生成摘要计算结果,或者可以根据前述步骤S306中接收的来自根设备的链路层身份认证请求报文中的数据段生成摘要计算结果等。对此,本申请不做具体限定,子设备与根设备可以预先对进行消息摘要计算的数据报文进行配置或者指示。
具体的,消息摘要算法可以为哈希算法或者哈希运算消息认证码(Hash-basedMessage Authentication Code,HMAC)等摘要计算算法,本申请对具体的消息摘要算法不做限定。
子设备计算得到第一摘要计算结果后,可以使用上述根设备进行协商的对称密钥对第一摘要计算结果进行加密。
S313:子设备向根设备发送密钥协商响应报文,该密钥协商响应报文包括加密的第一摘要计算结果。
S314:根设备接收密钥协商响应报文,进行解密后获取第一摘要计算结果,并与根设备本地进行消息摘要计算得到的第二摘要计算结果进行比对。
示例性的,根设备可以使用对称密钥解密密钥协商响应报文,得到第一摘要计算结果明文。
根设备采用与上述步骤S312相同的消息摘要算法,根据与上述步骤S312相同的数据报文中的同一数据段进行消息摘要计算,得到第二摘要计算结果,将第二摘要计算结果与S314解密获取到的第一摘要计算结果进行比对,如果两者相符则说明加密密钥协商成功,继续执行步骤S315。如果第二摘要计算结果与第一摘要计算结果不相符,则秘钥协商失败。
S315:根设备向子设备发送密钥协商成功报文。
该秘钥协商成功报文可以用于指示子设备可以使用该协商确定的对称密钥对后续根设备和子设备之间交互的XLDP报文数据进行加密传输,以提高数据传输的安全性。
S316:根设备向子设备发送网络配置数据报文,该网络配置数据报文包括用加密密钥进行加密处理的网络配置信息。
示例性的,可以用根设备配置的对称秘钥对网络配置信息进行加密,生成网络配置数据报文。
S317:子设备接收来自根设备发送的网络配置数据报文,使用加密密钥进行解密获取到配置数据的明文,完成对子设备业务的配置。
子设备根据对称秘钥进行解密,得到网络配置信息。
S318:子设备向根设备发送网络配置结果响应报文。
子设备根据网络配置的结果生成响应报文,发送给根设备。
通过上述本申请的实施方式,子设备接入网络时,根设备在链路层端口状态发现时就可以发起对子设备进行双向身份校验和加密密钥的协商操作,不需要预先为根设备和子设备配置IP地址等参数,并且根设备对子设备的所有配置数据都是加密的,包括配置加密秘钥的过程也是加密传输的,并不会出现人为泄露的问题,安全性极高。另外,根设备可以对接入网络的子设备自动完成身份校验和对称密钥协商,即实现了自动化的网络配置,降低了网路配置的复杂性,提高易用性。
在另一种可能的实施方式中,上述步骤S301中,根设备除了可以提前导入允许接入网络的多个子设备的身份证书列表之外,还可以通过预先配置的IP地址接收来自网络控制器的身份证书列表。也就是说,可以预先为根设备配置管理IP地址,用于与网络控制器互通。网络控制器向根设备发送基于IP协议的报文,该IP报文包括多个子设备的身份证书列表,用于根设备根据该子设备上报的身份证书和该身份证书列表进行比对,确认该子设备是否合法。
则如图4所示,该实施方式还包括网络控制器,则上述的步骤S301和S302的同时,所述方法具体还可以包括:
S401:网络控制器导入根设备和子设备身份证书列表,并且导入根设备的加密秘钥。
示例性的,网络控制器可以通过扫码或者人工配置的方式录入根设备的身份证书,和至少一个子设备的身份证书列表。其中,身份证书可以为基于设备信息生成的PKI证书,例如,身份证书可以为基于设备标识生成的PKI证书。
其中,根设备的加密秘钥可以为对称秘钥,则网络配置器人工导入或者配置该对称秘钥,用于为根设备配置根设备和子设备之间传输数据报文进行加密的秘钥。
S402:网络控制器向根设备发送配置信息,该配置信息包括子设备身份证书列表和根设备的加密秘钥。
网络控制器通过加密的管理通道,根据管理IP地址向根设备配置允许接入的子设备身份证书列表,和根设备的加密秘钥。
S403:根设备接收来自网络控制器的配置信息,根据配置信息保存所有允许接入的子设备的身份证书和根设备的加密密钥。
执行步骤S403之后,可以根据上述实施方式中步骤S303~S318完成根设备和子设备之间的身份认证和加密秘钥协商的过程。
通过上述的实施方式,网络控制器可以通过扫码或者图形化的界面交互方式批量导入根设备和多个子设备的身份证书,网络控制器还可以通过图形化的界面交互方式导入根设备的加密秘钥,提升了配置的易用性和灵活性。
本申请实施例还提供一种网络配置装置,如图5所示,该装置500可以包括发送模块501和接收模块502。
其中,发送模块501用于向第二设备发送第一链路层身份认证报文,第一链路层身份认证报文包括该装置500的身份证书,装置500的身份证书用于第二设备对所述装置500进行身份校验。
接收模块502用于接收来自第二设备的第二链路层身份认证报文,第二链路层身份认证报文包括第二设备的身份证书,第二设备的身份证书用于该装置500对第二设备进行身份校验。
在一种可能的设计方式中,当装置500和第二设备之间的身份校验都通过时,发送模块501和接收模块502还可以用于:装置500和第二设备协商加密秘钥,加密秘钥用于对装置500和第二设备间的链路层报文进行加密。
在一种可能的设计方式中,该装置500可以为根设备,第二设备可以为与装置500间接连接的子设备。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
在一种可能的设计方式中,该装置500预先存储有身份证书列表。
在一种可能的设计方式中,接收模块502还可以用于,通过预先配置的互联网协议IP地址接收来自网络控制器的身份证书列表。
基于上述可知,本申请实施例还提供一种网络配置装置,如图6所示,该装置600可以包括接收模块601和发送模块602。
接收模块601可以用于接收来自第一设备的第一链路层身份认证报文,第一链路层身份认证报文包括第一设备的身份证书,第一设备的身份证书用于装置600对第一设备进行身份校验。
发送模块602可以用于向第一设备发送第二链路层身份认证报文,第二链路层身份认证报文包括装置600的身份证书,装置600的身份证书用于第一设备对装置进行身份校验。
在一种可能的设计方式中,当第一设备和所述装置600之间的身份校验都通过时,发送模块602和接收模块601还可以用于:所述装置600和第一设备之间协商加密秘钥,加密秘钥用于对第一设备和装置600之间的链路层报文进行加密。
在一种可能的设计方式中,第一设备可以为根设备,则装置600可以为与第一设备间接连接的子设备。
在一种可能的设计方式中,第一链路层身份认证报文为链路层身份认证请求报文,且第二链路层身份认证报文为链路层身份认证响应报文。
此外,本申请还提供一种通信装置,如图7所示,该通信装置700可用于实现上述方法实施例中描述的方法,具体可以参见上述方法实施例中的说明。所述通信装置700可以是芯片,也可以是网络设备,用于实现上述实施例中根设备或者子设备实现的方法。
所述通信装置700包括一个或多个处理器701。所述处理器701可以是通用处理器或者专用处理器等。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对装置(如网络设备)进行控制,执行软件程序,处理软件程序的数据。所述装置可以包括收发单元,用以实现信号的输入(接收)和输出(发送)。例如,装置可以为芯片,所述收发单元可以是芯片的输入和/或输出电路,或者传输接口。所述芯片可以用于网络设备。
可选的,一种设计中,处理器701也可以包括指令703,所述指令可以在所述处理器上被运行,使得所述通信装置700执行上述方法实施例中描述的方法。
在又一种可能的设计中,通信装置700也可以包括电路,所述电路可以实现前述方法实施例中根设备或子设备的功能。
在又一种可能的设计中所述通信装置700中可以包括一个或多个存储器702,其上存有指令704,所述指令可在所述处理器上被运行,使得所述通信装置700执行上述方法实施例中描述的方法。可选的,所述存储器中还可以存储有数据。可选的处理器中也可以存储指令和/或数据。所述处理器和存储器可以单独设置,也可以集成在一起。
在又一种可能的设计中,所述通信装置700还可以包括收发单元705以及天线706,或者,包括传输接口。所述收发单元705可以称为收发机、收发电路、或者收发器等,用于通过天线706实现装置的收发功能。所述传输接口(图中未示出),可以用于网络设备和网络设备之间的通信,或者网络设备与终端设备之间的通信。可选的,该传输接口可以为有线通信的接口,比如光纤通信的接口。
所述处理器701可以称为处理单元,用于对装置进行控制。
此外,由于本申请实施例中所描述收发单元705进行的发送或接收是在处理单元(处理器701)的控制之下,因此,本申请实施例中也可以将发送或接收的动作描述为处理单元(处理器701)执行的,并不影响本领域技术人员对方案的理解。
上述各个装置实施例中的第一设备与第二设备可以与方法实施例中的根设备或者子设备完全对应,由相应的模块或者单元执行相应的步骤,例如,当该装置以芯片的方式实现时,该接收单元可以是该芯片用于从其他芯片或者装置接收信号的接口电路。以上用于发送的单元是一种该装置的接口电路,用于向其他装置发送信号,例如,当该装置以芯片的方式实现时,该发送单元是该芯片用于向其他芯片或者装置发送信号的接口电路。
应理解,本申请实施例中的处理器可以为CPU,该处理器还可以是其他通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
上述各个装置实施例中的网络设备可以与方法实施例中的网络设备完全对应,由相应的模块或者单元执行相应的步骤,例如,当该装置以芯片的方式实现时,该接收单元可以是该芯片用于从其他芯片或者装置接收信号的接口电路。以上用于发送的单元是一种该装置的接口电路,用于向其他装置发送信号,例如,当该装置以芯片的方式实现时,该发送单元是该芯片用于向其他芯片或者装置发送信号的接口电路。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、通信装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种网络配置方法,其特征在于,所述方法包括:
当第二设备接入网络,第一设备检测到网络端口状态发生变化时,所述第一设备向所述第二设备发送第一链路层身份认证报文,所述第一链路层身份认证报文包括所述第一设备的身份证书,所述第一设备的身份证书用于所述第二设备对所述第一设备的身份校验,其中,所述第一设备为根设备,所述第二设备为与所述第一设备间接连接的子设备;
所述第一设备接收来自所述第二设备的第二链路层身份认证报文,所述第二链路层身份认证报文包括所述第二设备的身份证书,所述第二设备的身份证书用于所述第一设备对所述第二设备的身份校验;
当所述第一设备和所述第二设备的身份校验都通过时,所述第一设备和所述第二设备协商加密秘钥,所述加密秘钥用于对所述第一设备和所述第二设备间的链路层报文进行加密。
2.根据权利要求1所述的方法,其特征在于,所述第一链路层身份认证报文为链路层身份认证请求报文,且所述第二链路层身份认证报文为链路层身份认证响应报文。
3.根据权利要求1或2所述的方法,其特征在于,所述第一设备预先存储有身份证书列表。
4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一设备通过预先配置的互联网协议IP地址接收来自网络控制器的身份证书列表。
5.一种网络配置装置,其特征在于,所述装置包括:
发送模块,用于当第二设备接入网络,所述装置检测到网络端口状态发生变化时,向第二设备发送第一链路层身份认证报文,所述第一链路层身份认证报文包括所述装置的身份证书,所述装置的身份证书用于所述第二设备对所述装置进行身份校验,其中,所述装置为根设备,所述第二设备为与所述装置间接连接的子设备;
接收模块,用于接收来自所述第二设备的第二链路层身份认证报文,所述第二链路层身份认证报文包括所述第二设备的身份证书,所述第二设备的身份证书用于所述装置对所述第二设备进行身份校验;
当所述装置和所述第二设备的身份校验都通过时,所述发送模块和接收模块还用于:和所述第二设备协商加密秘钥,所述加密秘钥用于对所述装置和所述第二设备间的链路层报文进行加密。
6.根据权利要求5所述的装置,其特征在于,所述第一链路层身份认证报文为链路层身份认证请求报文,且所述第二链路层身份认证报文为链路层身份认证响应报文。
7.根据权利要求5或6所述的装置,其特征在于,所述装置预先存储有身份证书列表。
8.根据权利要求5或6所述的装置,其特征在于,所述接收模块还用于,通过预先配置的互联网协议IP地址接收来自网络控制器的身份证书列表。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器和传输接口;
其中,所述处理器被配置为执行存储在存储器中的指令,以实现如权利要求1至4中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令由计算机或处理器执行时,使得所述计算机或所述处理器能够执行如权利要求1至4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010726050.3A CN113972995B (zh) | 2020-07-24 | 2020-07-24 | 一种网络配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010726050.3A CN113972995B (zh) | 2020-07-24 | 2020-07-24 | 一种网络配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113972995A CN113972995A (zh) | 2022-01-25 |
| CN113972995B true CN113972995B (zh) | 2023-04-28 |
Family
ID=79584591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010726050.3A Active CN113972995B (zh) | 2020-07-24 | 2020-07-24 | 一种网络配置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113972995B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785522B (zh) * | 2022-04-25 | 2024-06-25 | 浙江吉利控股集团有限公司 | 车联网信息安全认证方法、系统、终端和存储介质 |
| CN115277190B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统在网络上实现邻居发现的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
| CN102625308A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种基于lte-lan实现双向认证的方法、装置及系统 |
| CN103780389A (zh) * | 2012-10-26 | 2014-05-07 | 华为技术有限公司 | 基于端口认证的方法及网络设备 |
| WO2014110737A1 (zh) * | 2013-01-16 | 2014-07-24 | 华为技术有限公司 | 网络中的设备配置方法、设备和系统 |
-
2020
- 2020-07-24 CN CN202010726050.3A patent/CN113972995B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997684A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种授权认证方法、装置以及系统 |
| CN102625308A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种基于lte-lan实现双向认证的方法、装置及系统 |
| CN103780389A (zh) * | 2012-10-26 | 2014-05-07 | 华为技术有限公司 | 基于端口认证的方法及网络设备 |
| WO2014110737A1 (zh) * | 2013-01-16 | 2014-07-24 | 华为技术有限公司 | 网络中的设备配置方法、设备和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113972995A (zh) | 2022-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110474875B (zh) | 基于服务化架构的发现方法及装置 | |
| US8555344B1 (en) | Methods and systems for fallback modes of operation within wireless computer networks | |
| EP1852999B1 (en) | An access authentication method suitable for the wire-line and wireless network | |
| US7676676B2 (en) | Method and apparatus for performing mutual authentication within a network | |
| US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
| KR101144572B1 (ko) | 무선 다중?홉 네트워크에 대한 인증 엑세스 방법 및 인증 엑세스 시스템 | |
| CN109428874B (zh) | 基于服务化架构的注册方法及装置 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20160036794A1 (en) | Determining whether to use a local authentication server | |
| CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
| CN101371550A (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| US12075246B2 (en) | Securing transmission paths in a mesh network | |
| CN108234119B (zh) | 一种数字证书管理方法和平台 | |
| Li et al. | A secure sign-on protocol for smart homes over named data networking | |
| CN113972995B (zh) | 一种网络配置方法及装置 | |
| WO2023010880A1 (zh) | 一种数据传输方法及相关设备 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| Fischer et al. | Secure identifiers and initial credential bootstrapping for IoT@ Work | |
| CN113507370A (zh) | 基于区块链的林业物联网设备授权认证访问控制方法 | |
| CN118413389B (zh) | 一种基于量子安全的零信任网络的访问方法及系统 | |
| WO2023024540A1 (zh) | 处理报文、获取sa信息的方法、装置、系统及介质 | |
| WO2022135387A1 (zh) | 一种身份鉴别方法和装置 | |
| CN116939609A (zh) | 一种无线网络的接入认证方法及相关装置 | |
| CN113890761A (zh) | 一种面向分区操作系统的轻量级安全通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |