CN117834312A - 网络接入方法、网络接入设备以及计算机可读存储介质 - Google Patents

网络接入方法、网络接入设备以及计算机可读存储介质 Download PDF

Info

Publication number
CN117834312A
CN117834312A CN202410252948.XA CN202410252948A CN117834312A CN 117834312 A CN117834312 A CN 117834312A CN 202410252948 A CN202410252948 A CN 202410252948A CN 117834312 A CN117834312 A CN 117834312A
Authority
CN
China
Prior art keywords
signature
equipment
network access
network
accessed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202410252948.XA
Other languages
English (en)
Other versions
CN117834312B (zh
Inventor
陈磊
胡迎春
马永发
肖飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Original Assignee
Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd filed Critical Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Priority to CN202410252948.XA priority Critical patent/CN117834312B/zh
Publication of CN117834312A publication Critical patent/CN117834312A/zh
Application granted granted Critical
Publication of CN117834312B publication Critical patent/CN117834312B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及数字信息的传输技术领域,尤其涉及一种网络接入方法、网络接入设备以及计算机可读存储介质。在终端设备通过接收到拟接入设备的网络接入请求时,进入网络设备认证进程;调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备;在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址;根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作;当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。提升了对网络接入设备认证的可靠性,从而防止非法设备接入网络,提升了网络的安全性。

Description

网络接入方法、网络接入设备以及计算机可读存储介质
技术领域
本发明涉及数字信息的传输技术领域,尤其涉及一种网络接入方法、网络接入设备以及计算机可读存储介质。
背景技术
连接和传输数据、构建计算机网络和通信系统的终端设备,用于将计算机、服务器、移动设备等网络设备连接到互联网或局域网中。为了确保网络的安全,在网络设备接入网络时,网络设备需要先向终端设备发起网络接入请求,然后在通过终端设备的认证之后,网络设备才被允许接入网络。
在相关的网络设备接入网络的认证方法中,常用的方法有MAC地址认证方法、IP地址认证方法和证书认证方法。MAC地址认证方法和IP地址认证方法,是通过将网络设备的MAC地址或IP地址添加到地址列表中,只有MAC地址或IP地址在地址列表中的网络设备,才被允许接入网络。由于MAC地址和IP地址容易被伪造,因此MAC地址认证方法和IP地址认证方法存在安全问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络接入方法,旨在解决通过MAC地址认证方法和IP地址认证方法对网络设备接入网络的认证存在安全隐患的问题。
为实现上述目的,本发明提供的一种网络接入方法,应用于终端设备,所述网络接入方法包括以下步骤:
接收到拟接入设备的网络接入请求时,进入网络设备认证进程;
调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备;
在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址;
根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作;
当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。
可选地,所述根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作的步骤包括:
根据所述设备标识,在签名算法库中,调用所述拟接入设备对应的验签算法;
基于所述验签算法和所述设备MAC地址,对所述签名结果执行验签操作。
可选地,所述接收到拟接入设备的网络接入请求时,进入网络设备认证进程的步骤之后,还包括:
对所述签名算法库执行有效性检测;
在所述签名算法库通过有效性检测时,执行所述调用随机数生成算法生成校验随机数的步骤;
在所述签名算法库未通过有效性检测时,退出所述网络设备认证进程,并向网络控制中心发送签名算法库更新请求,所述签名算法库更新请求包括所述签名算法库的标识;
当接收到网络控制中心发送的更新算法库执行文件之后,基于所述更新算法库执行文件,执行签名算法库的更新操作。
可选地,所述对所述签名算法库执行有效性检测的步骤包括:
根据所述网络接入请求中的设备标识,确定所述签名算法库中是否包括所述设备标识;
若是,判定所述签名算法库通过有效性检测;
若否,判定所述签名算法库未通过有效性检测。
为实现上述目的,本发明提供的一种网络接入方法,应用于拟接入设备,所述网络接入方法包括以下步骤:
在连接终端设备之后,发送网络接入请求至所述终端设备,所述网络接入请求包括设备标识和设备MAC地址;
在接收到所述终端设备发送的校验随机数之后,调用预设签名算法和预存的设备私钥对所述校验随机数执行签名操作生成签名结果,并将所述签名结果发送至所述终端设备。
可选地,所述在连接终端设备之后,发送网络接入请求至所述终端设备的步骤之前,还包括:
向网络控制中心发送私钥生成请求,所述私钥生成请求包括设备标识和设备MAC地址;
在接收所述网络控制中心返回的设备私钥之后,调用随机数生成算法生成验证随机数;
基于预设签名算法和所述设备私钥对所述随机数执行签名操作,生成验证签名值;
根据所述设备MAC地址对所述验证签名值执行验签操作;
当所述验证签名值通过验签操作时,保存所述设备私钥。
为实现上述目的,本发明提供的一种网络接入方法,应用于网络控制中心,所述网络接入方法包括以下步骤:
在接收到拟接入设备发送的私钥生成请求时,读取所述私钥生成请求中的设备MAC地址;
调用密钥生成中心将设备MAC地址转化为椭圆曲线点,并基于主私钥和所述椭圆曲线点执行Pairing运算,生成设备私钥;
将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备。
可选地,所述将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备的步骤之后,还包括:
在接收到终端设备发送的签名算法库更新请求时,根据所述私钥生成请求中的设备标识,确定所述拟接入设备的安全等级;
基于所述安全等级,确定所述拟接入设备的签名算法对应的验签算法;
将所述设备标识与所述验签算法关联存储至签名算法库;
根据所述签名算法库生成更新算法库执行文件;
将所述更新算法库执行文件作为所述签名算法库更新请求的响应信息返回至所述终端设备。
此外,为实现上述目的,本发明还提供一种网络接入设备,所述网络接入设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络接入程序,所述网络接入程序被所述处理器执行时实现如上所述的网络接入方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络接入程序,所述网络接入程序被处理器执行时实现如上所述的网络接入方法的步骤。
本发明实施例提供一种网络接入方法,终端设备通过在进入网络设备认证进程之后,通过调用拟接入设备对应的验签算法并结合设备MAC地址设备私钥对应的设备公钥,对签名结果进行验签操作,验证拟接入设备的身份。由于只有使用正确的设备私钥进行签名操作生成的签名结果,才能通过验签操作,因此通过验签操作的拟接入设备可以被认定具有接入网络的权限,从而确保只有合法的拟接入设备才能接入网络。这样做增加了签名结果的真实性,提升了对网络接入设备认证的可靠性,从而防止非法设备接入网络,提升了网络的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例涉及的网络接入设备的硬件运行环境的架构示意图;
图2为本发明网络接入方法的第一实施例的流程示意图;
图3为本发明网络接入方法的第二实施例的流程示意图;
图4为本发明网络接入方法的第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图作进一步说明。
具体实施方式
本申请一种网络接入方法,在终端设备通过接收到拟接入设备的网络接入请求时,进入网络设备认证进程;调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备;在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址;根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作;当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。提升了对网络接入设备认证的可靠性,从而防止非法设备接入网络,提升了网络的安全性。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。
作为一种实现方案,图1为本发明实施例方案涉及的网络接入设备的硬件运行环境的架构示意图。
如图1所示,该网络接入设备可以包括:处理器101,例如核心处理器,存储器102,通信总线103。其中,存储器102可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器102可选的还可以是独立于前述处理器101的存储装置。通信总线103用于实现这些组件之间的连接通信。
本领域技术人员可以理解,图1中示出的结构并不构成对网络接入设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器102中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及网络接入程序。
在图1所示的网络接入设备中,处理器101、存储器102可以设置在网络接入设备中,所述网络接入设备通过处理器101调用存储器102中存储的网络接入程序,并执行以下操作:
接收到拟接入设备的网络接入请求时,进入网络设备认证进程;
调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备;
在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址;
根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作;
当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
根据所述设备标识,在签名算法库中,调用所述拟接入设备对应的验签算法;
基于所述验签算法和所述设备MAC地址,对所述签名结果执行验签操作。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
对所述签名算法库执行有效性检测;
在所述签名算法库通过有效性检测时,执行所述调用随机数生成算法生成校验随机数的步骤;
在所述签名算法库未通过有效性检测时,退出所述网络设备认证进程,并向网络控制中心发送签名算法库更新请求,所述签名算法库更新请求包括所述签名算法库的标识;
当接收到网络控制中心发送的更新算法库执行文件之后,基于所述更新算法库执行文件,执行签名算法库的更新操作。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
根据所述网络接入请求中的设备标识,确定所述签名算法库中是否包括所述设备标识;
若是,判定所述签名算法库通过有效性检测;
若否,判定所述签名算法库未通过有效性检测。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
在连接终端设备之后,发送网络接入请求至所述终端设备,所述网络接入请求包括设备标识和设备MAC地址;
在接收到所述终端设备发送的校验随机数之后,调用预设签名算法和预存的设备私钥对所述校验随机数执行签名操作生成签名结果,并将所述签名结果发送至所述终端设备。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
向网络控制中心发送私钥生成请求,所述私钥生成请求包括设备标识和设备MAC地址;
在接收所述网络控制中心返回的设备私钥之后,调用随机数生成算法生成验证随机数;
基于预设签名算法和所述设备私钥对所述随机数执行签名操作,生成验证签名值;
根据所述设备MAC地址对所述验证签名值执行验签操作;
当所述验证签名值通过验签操作时,保存所述设备私钥。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
在接收到拟接入设备发送的私钥生成请求时,读取所述私钥生成请求中的设备MAC地址;
调用密钥生成中心将设备MAC地址转化为椭圆曲线点,并基于主私钥和所述椭圆曲线点执行Pairing运算,生成设备私钥;
将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备。
在一实施例中,处理器101可以用于调用存储器102中存储的网络接入程序,并执行以下操作:
在接收到终端设备发送的签名算法库更新请求时,根据所述私钥生成请求中的设备标识,确定所述拟接入设备的安全等级;
基于所述安全等级,确定所述拟接入设备的签名算法对应的验签算法;
将所述设备标识与所述验签算法关联存储至签名算法库;
根据所述签名算法库生成更新算法库执行文件;
将所述更新算法库执行文件作为所述签名算法库更新请求的响应信息返回至所述终端设备。
基于上述网络接入设备的硬件架构,提出本发明网络接入方法的实施例。
参照图2,在第一实施例中,所述网络接入方法应用于终端设备,所述网络接入方法包括以下步骤:
步骤S100:接收到拟接入设备的网络接入请求时,进入网络设备认证进程。
在本实施例中,在网络设备与终端设备连接之后,终端设备在接收到拟接入设备发送的网络接入请求时,进入网络设备认证进程,以验证请求接入网络的网络设备是否具有接入网络的权限,以防止攻击者非法入侵网络。可选地,本发明实施例中的终端设备可以是路由器、交换机和防火墙等。这里的网络设备可以是手机、电脑、平板、智能手表、监控设备、智能家电等需要接入网络使用的设备。这里的网络可以是局域网也可以是互联网。
步骤S200:调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备。
在本实施例中,终端设备在进入网络设备认证进程。之后,调用随机数生成算法生成校验随机数,然后将校验随机数作为网络接入请求的响应信息发送至所述拟接入设备。这里的校验随机数在拟接入设备用于签名操作,还用于后续验签操作,以确定拟接入设备是否具有接入网络的合法性。
步骤S300:在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址。
在本实施例中,终端设备在接收到所述拟接入设备返回的签名结果之后,于网络接入请求中读取拟接入设备的设备标识和设备MAC地址。需要说明的是,这里的签名结果,是拟接入设备在接收到校验随机数之后,基于预设签名算法和设备私钥,对校验随机数执行签名操作,生成的签名结果。因此,若终端设备对签名结果验签成功,且验签之后得到的随机数与校验随机数一致,意味着校验随机数在传输过程中没有被篡改,以及意味着拟接入设备具有接入网络的权限。
这里的设备标识,包含了拟接入设备的设备类型信息以及设备用途信息。在本实施例中,验签算法是与设备类型信息以及设备用途信息绑定的。也就是说,终端设备只有在获得了设备标识之后,才能够确定并调用正确的验签算法对签名结果执行验签操作。
在本实施例中,设备MAC地址,是于生成签名结果的设备私钥对应的设备公钥,也即只有MAC地址正确时,才能实现对签名结果的验签。
这样做的目的是为了确保终端设备在接收到所述拟接入设备返回的签名结果之后,只有获取到正确的设备标识和设备MAC地址,签名结果才能通过验签操作。
步骤S400:根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作。
在本实施例中,终端设备在获得网络接入请求中的设备标识和设备MAC地址之后,根据设备标识调用验签算法,然后基于设备MAC地址和验签算法对签名结果执行验签操作,进而根据验签操作的结果,确定拟接入设备是否具有接入网络的权限。
作为一种可选的实施方式,终端设备在获得设备标识和设备MAC地址之后,根据所述设备标识,在签名算法库中,调用所述拟接入设备对应的验签算法;然后,基于所述验签算法和所述设备MAC地址,对所述签名结果执行验签操作。
通过设备标识从签名算法库中获取与拟接入设备对应的验签算法,确保所用的验签算法与拟接入设备采用的签名算法匹配,从而保证验签的准确性和有效性。通过利用设备MAC地址的唯一确定性,将设备MAC地址作为验签的公钥,可以进一步确保签名结果的真实性。这样做的目的在于,如果验签成功,可以确信签名结果是由该拟接入设备生成的,以及可以确定对校验随机数进行签名操作所使用的设备私钥,是由网络控制中心生成的,也即意味着该拟接入设备具有接入网络的权限。
步骤S500:当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。
在本实施例中,若签名结果验签通过,意味着发送网络接入请求的拟接入设备具有接入网络的权限,进而对拟接入设备执行网络接入动作,以使拟接入设备连接至网络。
可选地,若签名结果验签未通过,意味着发送网络接入请求的拟接入设备不具有接入网络的权限,可能是非法设备,进而退出网络设备认证进程,并发送认证失败信息至拟接入设备。
进一步地,终端设备在进入网络设备认证进程之后,对预存的签名算法库执行有效性检测。在所述签名算法库通过有效性检测时,执行调用随机数生成算法生成校验随机数的步骤。在所述签名算法库未通过有效性检测时,退出所述网络设备认证进程,并向网络控制中心发送签名算法库更新请求,所述签名算法库更新请求包括所述签名算法库的标识。以及,当接收到网络控制中心发送的更新算法库执行文件之后,基于所述更新算法库执行文件,执行签名算法库的更新操作。需要说明的是,这里的网络控制中心,用于管理和控制终端设备和网络设备。
通过有效性检测,可以验证签名算法库的可用性。如果签名算法库通过了有效性检测,意味着签名算法库中的验签算法可用于对签名结果进行验签操作。如果签名算法库未通过有效性检测,意味着签名算法库中不包括可以用于对签名结果进行验签操作的验签算法,进而退出认证进程,并向网络控制中心发送签名算法库更新请求,通过更新算法库,以获得可以用于对签名结果进行验签操作的验签算法。这样做的目的是为了保证终端设备和网络设备间的认证操作能够有效地进行。
可选地,若执行签名算法库的更新操作之后,签名算法库仍无法通过有效性检测,则意味着发送网络接入请求的拟接入设备不具有接入网络的权限,可能是非法设备,进而退出网络设备认证进程,并发送认证失败信息至拟接入设备。以确保网络的安全。
作为一种可选的实施方式,终端设备在进入网络设备认证进程之后,读取网络接入请求中的设备标识,然后,根据所述网络接入请求中的设备标识,确定所述签名算法库中是否包括所述设备标识。若是,判定所述签名算法库通过有效性检测;若否,判定所述签名算法库未通过有效性检测。
通过设备标识,在签名算法库中执行查找动作,若签名算法库中包含了该设备标识,意味着签名算法库中包含了该拟接入设备的设备类型和用途所对应的验签算法,也即该拟接入设备预存的签名算法所对应的验签算法,也就是说,该签名算法库中存在可用于对该签名结果执行验签操作的验签算法,故判定签名算法库通过有效性检测。显然,若签名算法库中不存在该设备标识,也就意味着该签名算法库中不包含可用于对该签名结果执行验签操作的验签算法,故判定该签名算法库未通过有效性检测。通过验证签名算法库是否包含拟接入设备的设备标识,可以确保认证过程的准确性和安全性。只有在签名算法库通过了有效性检测,才能保证验签过程使用的验签算法是适用于当前拟接入设备的。这样可以减少验签过程中的错误和安全风险,确保只有合法的设备才能接入网络。
示例性地,假设一个企业拥有一个网络控制中心,负责管理和控制企业内的终端设备和网络设备。企业员工每天会使用自己的电脑通过终端设备接入企业的内部网络。
当终端设备在接收到员工的电脑发送的网络接入请求时,进入网络设备认证进程,然后调用随机数生成算法,生成一个校验随机数,并将这个校验随机数作为网络接入请求的响应信息发送给员工的电脑。
员工的电脑收到校验随机数之后,使用网络控制中心基于该电脑的设备MAC地址生成的设备私钥,对校验随机数进行签名操作,生成一个签名结果,并将签名结果发送给终端设备。
终端设备收到员工的电脑发送的签名结果之后,根据网络接入请求中的设备标识从签名算法库中获取对应的验签算法,并利用这个验签算法以及根据设备MAC地址作为设备私钥对应的设备公钥对签名结果进行验签操作。假设签名结果验签通过,判定员工的电脑具有接入企业网络的权限,进而执行网络接入动作,将员工的电脑接入企业的内部网络中。
在本实施例提供的技术方案中,终端设备通过在进入网络设备认证进程之后,通过调用拟接入设备对应的验签算法并结合设备MAC地址设备私钥对应的设备公钥,对签名结果进行验签操作,验证拟接入设备的身份。由于只有使用正确的设备私钥进行签名操作生成的签名结果,才能通过验签操作,因此通过验签操作的拟接入设备可以被认定具有接入网络的权限,从而确保只有合法的拟接入设备才能接入网络。这样做增加了签名结果的真实性,提升了对网络接入设备认证的可靠性,从而防止非法设备接入网络,提升了网络的安全性。
参照图3,基于上述实施例,在第二实施例中,所述网络接入方法,应用于拟接入设备,所述网络接入方法包括以下步骤:
步骤S610:在连接终端设备之后,发送网络接入请求至所述终端设备,所述网络接入请求包括设备标识和设备MAC地址;
步骤S620:在接收到所述终端设备发送的校验随机数之后,调用预设签名算法和预存的设备私钥对所述校验随机数执行签名操作生成签名结果,并将所述签名结果发送至所述终端设备。
在本实施例中,拟接入设备在连接终端设备后,向终端设备发送包括设备标识和设备MAC地址的网络接入请求,以向终端设备请求接入网络,并为终端设备通过设备标识和设备MAC地址进行认证操作提供认证的基础。然后在接收到终端设备发送的校验随机数后,使用预设签名算法和预存的设备私钥对校验随机数执行签名操作,并将生成的签名结果发送给终端设备,以供终端设备进行验签操作,确定拟接入设备是否具有接入到网络的权限。
进一步地,拟接入设备在发送网络接入请求至终端设备之前,需要先获得以设备MAC地址为设备公钥所对应的设备私钥,具体地,拟接入设备向网络控制中心发送私钥生成请求,其中,所述私钥生成请求包括设备标识和设备MAC地址。然后在接收所述网络控制中心返回的设备私钥之后,调用随机数生成算法生成验证随机数;并基于预设签名算法和所述设备私钥对所述随机数执行签名操作,生成验证签名值。然后,根据所述设备MAC地址对所述验证签名值执行验签操作;并当所述验证签名值通过验签操作时,保存所述设备私钥。需要说明的是,这里的设备标识用于使网络控制中心获得拟接入设备的设备类型和设备用途,进而确定拟接入设备所使用的签名算法。
通过向网络控制中心发送包括设备标识和设备MAC地址的私钥生成请求,以要求网络控制中心以设备MAC地址为设备公钥,生成对应的设备私钥。可以理解的,这里的设备私钥将用于后续的网络接入认证。通过预设签名算法和网络控制中心生成的设备私钥对验证随机数执行签名操作,生成验证签名值,以及使用设备MAC地址对验证签名值进行验签操作。只有当验证签名值通过验签操作时,才对设备私钥进行保存。这样做的目的是为了验证网络控制中心生成的设备私钥是否是以设备MAC地址为设备公钥,进而确保该设备私钥可用于后续的网络接入认证,以证明自身是具有接入网络的权限的拟接入设备。
作为一种可选的实施方式,拟接入设备预存的签名算法,通过向网络控制中心发送设备标识;然后网络控制中心基于设备标识,确定拟接入设备的设备类型和设备用途,并根据设备类型和设备用途,匹配签名算法之后,将签名算法发送至拟接入设备;拟接入设备在接收到网络控制中心发送的签名算法之后,对签名算法进行保存的。
在本实施例提供的技术方案中,拟接入设备通过发送网络接入请求,向终端设备请求接入网络;通过预设签名算法和预存的设备私钥对终端设备发送的校验随机数执行签名操作,并将签名操作生成的签名结果发送至终端设备,从而证明自身是合法的拟接入设备,具有接入网络的权限。由于只有使用正确的设备私钥进行签名操作生成的签名结果,才能在终端设备通过验签操作,因此增加网络接入的安全性和可靠性,可以防止非法设备接入网络,并确保只有合法的设备才能获得网络接入权限。
参照图4,基于上述实施例,在第三实施例中,所述网络接入方法,应用于网络控制中心,所述网络接入方法包括以下步骤:
步骤S710:在接收到拟接入设备发送的私钥生成请求时,读取所述私钥生成请求中的设备MAC地址;
步骤S720:调用密钥生成中心将设备MAC地址转化为椭圆曲线点,并基于主私钥和所述椭圆曲线点执行Pairing运算,生成设备私钥;
步骤S730:将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备。
在本实施例中,网络控制中心在接收到拟接入设备发送的私钥生成请求之后,将私钥生成请求中的设备MAC地址转化为椭圆曲线点,并基于主私钥和椭圆曲线点执行Pairing运算,生成设备私钥发送至拟接入设备以供拟接入设备进行网络接入的认证。需要说明的是,这里生成的设备私钥所对应的设备公钥,即设备MAC地址。椭圆曲线上的Pairing运算是一种双线性映射,具有双线性、 非退化性以及非易于计算性,通过Pairing运算,进而可以确保生成的设备私钥的安全性。
进一步地,网络控制中心在将生成的设备私钥发送至拟接入设备之后,在接收到终端设备发送的签名算法库更新请求时,根据所述私钥生成请求中的设备标识,确定所述拟接入设备的安全等级;然后基于所述安全等级,确定所述拟接入设备的签名算法对应的验签算法;并将所述设备标识与所述验签算法关联存储至签名算法库;然后根据所述签名算法库生成更新算法库执行文件;进而将所述更新算法库执行文件作为所述签名算法库更新请求的响应信息返回至所述终端设备。
通过根据设备的标识信息中的设备类型和设备用途,识别出拟接入设备的安全要求和等级,进而确定对应的签名算法和验签算法,以确保签名算法的适配性和安全性。将拟接入设备的标识信息与确定的验签算法进行关联存储,对签名算法库进行更新,以及生成相应的更新算法库执行文件发送至终端设备,以供终端设备对其预存的签名算法库进行更新操作,进而确保网络设备认证进程的执行。
在本实施例提供的技术方案中,网络控制中心通过在接收到拟接入设备发送的私钥生成请求之后,将私钥生成请求中的设备MAC地址转化为椭圆曲线点,并基于主私钥和椭圆曲线点执行Pairing运算,以生成设备私钥。实现以设备MAC地址为设备公钥,生成对应的设备私钥发送给拟接入设备,以供拟接入设备进行网络接入的认证。
此外,本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可以存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被网络接入设备中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有网络接入程序,所述网络接入程序被处理器执行时实现如上实施例所述的网络接入方法的各个步骤。
其中,所述计算机可读存储介质可以是U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
需要说明的是,由于本申请实施例提供的存储介质,为实施本申请实施例的方法所采用的存储介质,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该存储介质的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的存储介质都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种网络接入方法,其特征在于,应用于终端设备,所述网络接入方法包括以下步骤:
接收到拟接入设备的网络接入请求时,进入网络设备认证进程;
调用随机数生成算法生成校验随机数,并将所述校验随机数作为所述网络接入请求的响应信息发送至所述拟接入设备;
在接收到所述拟接入设备返回的签名结果之后,读取所述网络接入请求中的设备标识和设备MAC地址;
根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作;
当所述签名结果验签通过时,对所述拟接入设备执行网络接入动作。
2.如权利要求1所述的网络接入方法,其特征在于,所述根据所述设备标识和所述设备MAC地址对所述签名结果执行验签操作的步骤包括:
根据所述设备标识,在签名算法库中,调用所述拟接入设备对应的验签算法;
基于所述验签算法和所述设备MAC地址,对所述签名结果执行验签操作。
3.如权利要求2所述的网络接入方法,其特征在于,所述接收到拟接入设备的网络接入请求时,进入网络设备认证进程的步骤之后,还包括:
对所述签名算法库执行有效性检测;
在所述签名算法库通过有效性检测时,执行所述调用随机数生成算法生成校验随机数的步骤;
在所述签名算法库未通过有效性检测时,退出所述网络设备认证进程,并向网络控制中心发送签名算法库更新请求,所述签名算法库更新请求包括所述签名算法库的标识;
当接收到网络控制中心发送的更新算法库执行文件之后,基于所述更新算法库执行文件,执行签名算法库的更新操作。
4.如权利要求3所述的网络接入方法,其特征在于,所述对所述签名算法库执行有效性检测的步骤包括:
根据所述网络接入请求中的设备标识,确定所述签名算法库中是否包括所述设备标识;
若是,判定所述签名算法库通过有效性检测;
若否,判定所述签名算法库未通过有效性检测。
5.一种网络接入方法,其特征在于,应用于拟接入设备,所述网络接入方法包括以下步骤:
在连接终端设备之后,发送网络接入请求至所述终端设备,所述网络接入请求包括设备标识和设备MAC地址;
在接收到所述终端设备发送的校验随机数之后,调用预设签名算法和预存的设备私钥对所述校验随机数执行签名操作生成签名结果,并将所述签名结果发送至所述终端设备。
6.如权利要求5所述的网络接入方法,其特征在于,所述在连接终端设备之后,发送网络接入请求至所述终端设备的步骤之前,还包括:
向网络控制中心发送私钥生成请求,所述私钥生成请求包括设备标识和设备MAC地址;
在接收所述网络控制中心返回的设备私钥之后,调用随机数生成算法生成验证随机数;
基于预设签名算法和所述设备私钥对所述随机数执行签名操作,生成验证签名值;
根据所述设备MAC地址对所述验证签名值执行验签操作;
当所述验证签名值通过验签操作时,保存所述设备私钥。
7.一种网络接入方法,其特征在于,应用于网络控制中心,所述网络接入方法包括以下步骤:
在接收到拟接入设备发送的私钥生成请求时,读取所述私钥生成请求中的设备MAC地址;
调用密钥生成中心将设备MAC地址转化为椭圆曲线点,并基于主私钥和所述椭圆曲线点执行Pairing运算,生成设备私钥;
将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备。
8.如权利要求7所述的网络接入方法,其特征在于,所述将所述设备私钥作为所述私钥生成请求的响应信息发送至所述拟接入设备的步骤之后,还包括:
在接收到终端设备发送的签名算法库更新请求时,根据所述私钥生成请求中的设备标识,确定所述拟接入设备的安全等级;
基于所述安全等级,确定所述拟接入设备的签名算法对应的验签算法;
将所述设备标识与所述验签算法关联存储至签名算法库;
根据所述签名算法库生成更新算法库执行文件;
将所述更新算法库执行文件作为所述签名算法库更新请求的响应信息返回至所述终端设备。
9.一种网络接入设备,其特征在于,所述网络接入设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络接入程序,所述网络接入程序配置为实现如权利要求1至8中任一项所述的网络接入方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络接入程序,所述网络接入程序被处理器执行时实现如权利要求1至8任一项所述的网络接入方法的步骤。
CN202410252948.XA 2024-03-06 2024-03-06 网络接入方法、网络接入设备以及计算机可读存储介质 Active CN117834312B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410252948.XA CN117834312B (zh) 2024-03-06 2024-03-06 网络接入方法、网络接入设备以及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410252948.XA CN117834312B (zh) 2024-03-06 2024-03-06 网络接入方法、网络接入设备以及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN117834312A true CN117834312A (zh) 2024-04-05
CN117834312B CN117834312B (zh) 2024-06-28

Family

ID=90524460

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410252948.XA Active CN117834312B (zh) 2024-03-06 2024-03-06 网络接入方法、网络接入设备以及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN117834312B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130124870A1 (en) * 2011-11-16 2013-05-16 Certicom Corp. Cryptographic document processing in a network
CN104639315A (zh) * 2013-11-10 2015-05-20 航天信息股份有限公司 基于身份密码和指纹识别双重认证的方法和装置
CN108365961A (zh) * 2018-01-02 2018-08-03 深圳壹账通智能科技有限公司 接口调用方法及终端设备、接口调用的响应方法及服务器
CN109728913A (zh) * 2018-12-24 2019-05-07 华为技术有限公司 一种设备合法性验证方法、相关设备以及系统
CN109873699A (zh) * 2017-12-05 2019-06-11 南京师范大学 一种可撤销的身份公钥加密方法
CN110601859A (zh) * 2019-10-12 2019-12-20 武汉珈港科技有限公司 一种基于25519椭圆曲线的无证书公钥密码签名方法
CN111835523A (zh) * 2020-05-25 2020-10-27 北京齐尔布莱特科技有限公司 一种数据请求方法、系统及计算设备
CN115150101A (zh) * 2022-08-09 2022-10-04 北京微芯感知科技有限公司 一种基于椭圆曲线双线性对算法的公私钥管理方法及系统
CN117424709A (zh) * 2023-12-19 2024-01-19 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质
CN117579280A (zh) * 2022-08-08 2024-02-20 大唐移动通信设备有限公司 接入设备的认证方法、聚合设备、装置及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130124870A1 (en) * 2011-11-16 2013-05-16 Certicom Corp. Cryptographic document processing in a network
CN104639315A (zh) * 2013-11-10 2015-05-20 航天信息股份有限公司 基于身份密码和指纹识别双重认证的方法和装置
CN109873699A (zh) * 2017-12-05 2019-06-11 南京师范大学 一种可撤销的身份公钥加密方法
CN108365961A (zh) * 2018-01-02 2018-08-03 深圳壹账通智能科技有限公司 接口调用方法及终端设备、接口调用的响应方法及服务器
CN109728913A (zh) * 2018-12-24 2019-05-07 华为技术有限公司 一种设备合法性验证方法、相关设备以及系统
CN110601859A (zh) * 2019-10-12 2019-12-20 武汉珈港科技有限公司 一种基于25519椭圆曲线的无证书公钥密码签名方法
CN111835523A (zh) * 2020-05-25 2020-10-27 北京齐尔布莱特科技有限公司 一种数据请求方法、系统及计算设备
CN117579280A (zh) * 2022-08-08 2024-02-20 大唐移动通信设备有限公司 接入设备的认证方法、聚合设备、装置及存储介质
CN115150101A (zh) * 2022-08-09 2022-10-04 北京微芯感知科技有限公司 一种基于椭圆曲线双线性对算法的公私钥管理方法及系统
CN117424709A (zh) * 2023-12-19 2024-01-19 鼎铉商用密码测评技术(深圳)有限公司 终端设备的登录方法、设备以及可读存储介质

Also Published As

Publication number Publication date
CN117834312B (zh) 2024-06-28

Similar Documents

Publication Publication Date Title
CN107483509B (zh) 一种身份验证方法、服务器及可读存储介质
EP3905078A1 (en) Identity verification method and system therefor
CN107483419B (zh) 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
CN107124431B (zh) 鉴权方法、装置、计算机可读存储介质和鉴权系统
JP5747981B2 (ja) 仮想機械を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法
JP4685876B2 (ja) 複数の信用証明認証プロトコルを提供するシステム及び方法
CN112165382B (zh) 软件授权方法、装置、授权服务端及终端设备
CN113656780B (zh) 一种跨链访问控制方法和装置
CN112311769B (zh) 安全认证的方法、系统、电子设备及介质
CN112637167A (zh) 系统登录方法、装置、计算机设备和存储介质
CN111597537B (zh) 基于区块链网络的证书签发方法、相关设备及介质
CN111698204B (zh) 一种双向身份认证的方法及装置
CN112448930A (zh) 账号注册方法、装置、服务器及计算机可读存储介质
CN111367923A (zh) 数据处理方法、装置、节点设备及存储介质
CN113536284A (zh) 一种数字证书的验证方法、装置、设备和存储介质
CN111259368A (zh) 一种登录系统的方法及设备
CN103559430B (zh) 基于安卓系统的应用账号管理方法和装置
CN111586059B (zh) 区块链机、区块链数据接入认证方法及计算机可读存储介质
CN112544057B (zh) 区块链节点设备及其认证方法、装置、存储介质
CN109063461B (zh) 一种第三方免密登录方法及系统
CN116707758A (zh) 可信计算设备的认证方法、设备和服务器
CN117834312B (zh) 网络接入方法、网络接入设备以及计算机可读存储介质
CN112732676B (zh) 基于区块链的数据迁移方法、装置、设备及存储介质
CN111753308B (zh) 一种信息验证方法及电子设备
CN112104701B (zh) 一种跨链通信的方法、装置、网络节点和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant