專利名稱:網絡設備的認證方法、裝置��、系統(tǒng)和網絡設備的制作方法
技術領域:
本發(fā)明涉及信息安全技術�����,尤其涉及一種網絡設備的認證方法�、裝置����、系統(tǒng)和網絡設備����,屬于通信技術領域����。
背景技術:
公鑰基礎設施(Public Key Infrastructure ;以下簡稱PKI)是一種遵循既定標準的密鑰管理平臺,能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系�����,簡單來說����,PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI的核心技術圍繞著數字證書的申請�、頒發(fā)、使用與撤銷等整個生命周期進行展開���。上述數字證書是由證書授權(Certificate Authority ;以下簡稱CA)中心為每個使用公鑰的用戶發(fā)放的�,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公鑰����。上述數字證書的格式遵循X. 509標準����。在網絡安全保護中��,因為內部網絡的物理接口遍布于建筑物的不同地點��,任何能夠進入該區(qū)域的人員都可以利用這些暴露的物理接口輕易地接入內部網絡并進行攻擊�。目前很多網絡中對網絡安全的防范大部分通過防火墻等設備,這些都是基于對外攻擊的防范���,若要對內部網絡進行安全保護��,一個重要的手段就是實現網絡身份認證�����;設備身份認證是現有技術提供的一種網絡身份認證方法���。設備身份認證目前都是基于CA中心頒發(fā)數字證書給信任用戶,主要應用于電子商務和電子郵件中�����,對本地應用程序進行加密和解密的行為。但是現有的設備身份認證不支持對網絡設備的權限進行認證��,網絡安全性較低�;并且現有的設備身份認證只能人工將數字證書送到CA中心,由CA中心對數字證書進行校驗����,實現起來很不方便,易用性較低���。
發(fā)明內容
本發(fā)明提供一種網絡設備的認證方法、裝置�、系統(tǒng)和網絡設備,以實現對網絡設備的權限進行認證�,提高網絡安全性。本發(fā)明一方面提供一種網絡設備的認證方法�����,包括網絡設備與所述網絡設備的上游設備物理連通之后���,接收所述上游設備在所述上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�;所述網絡設備向所述上游設備發(fā)送認證請求報文��,所述網絡設備發(fā)送的認證請求報文攜帶所述網絡設備獲得的證書;所述網絡設備接收所述上游設備發(fā)送的認證響應報文�����,當所述認證響應報文中攜帶認證成功的指示信息時��,所述網絡設備轉發(fā)所述網絡設備接收到的數據報文�����;所述上游設備發(fā)送的認證響應報文是所述上游設備將所述網絡設備獲得的證書發(fā)送給證書校驗設 備����,以供所述證書校驗設備對所述網絡設備獲得的證書進行校驗,并在接收到所述證書校驗設備發(fā)送的所述認證響應報文之后發(fā)送給所述網絡設備的���。本發(fā)明另一方面提供一種網絡設備的認證裝置���,所述網絡設備的認證裝置設置在網絡設備中,所述網絡設備的認證裝置包括
接收模塊��,用于在網絡設備與所述網絡設備的上游設備物理連通之后����,接收所述上游設備在所述上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�;以及接收所述上游設備發(fā)送的認證響應報文�����,所述上游設備發(fā)送的認證響應報文是所述上游設備將所述網絡設備獲得的證書發(fā)送給證書校驗設備���,以供所述證書校驗設備對所述網絡設備獲得的證書進行校驗��,并在接收到所述證書校驗設備發(fā)送的所述認證響應報文之后發(fā)送的���;發(fā)送模塊,用于向所述上游設備發(fā)送認證請求報文���,所述發(fā)送模塊發(fā)送的認證請求報文攜帶所述網絡設備獲得的證書;以及當所述接收模塊接收的所述認證響應報文中攜帶認證成功的指示信息時���,轉發(fā)所述網絡設備接收到的數據報文�。本發(fā)明再一方面提供一種網絡設備����,包括如上所述的網絡設備的認證裝置。本發(fā)明又一方面提供一種網絡設備的認證系統(tǒng)�����,包括至少兩個相互連接的如上所述的網絡設備和證書校驗設備。本發(fā)明一方面的技術效果是網絡設備與該網絡設備的上游設備物理連通之后�����,接收上游設備在該上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�,然后網絡設備向上游設備發(fā)送攜帶網絡設備獲得的證書的認證請求報文,并接收上游設備發(fā)送的認證響應報文���,當認證響應報文中攜帶認證成功的指示信息時�,網絡設備轉發(fā)該網絡設備接收到的數據報文����;從而可以實現對網絡設備的權限進行認證,提高網絡安全性����,并且本發(fā)明通過網絡將網絡設備獲得的證書發(fā)送給證書校驗設備進行校驗,實現方便��,易用性較高����。
圖I為本發(fā)明網絡設備的認證方法一個實施例的流程圖����;圖2為本發(fā)明網絡設備的認證方法另一個實施例的流程圖�����;圖3為本發(fā)明應用場景一個實施例的示意圖���;圖4為本發(fā)明網絡設備的認證裝置一個實施例的結構示意圖�����;圖5為本發(fā)明網絡設備的認證裝置另一個實施例的結構示意圖�;圖6為本發(fā)明網絡設備的認證系統(tǒng)一個實施例的結構示意圖����。
具體實施例方式圖I為本發(fā)明網絡設備的認證方法一個實施例的流程圖,如圖I所示�����,該網絡設備的認證方法可以包括步驟101��,網絡設備與網絡設備的上游設備物理連通之后���,接收該上游設備在該上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�����。步驟102��,網絡設備向上游設備發(fā)送認證請求報文���,該網絡設備發(fā)送的認證請求報文攜帶該網絡設備獲得的證書。步驟103�����,網絡設備接收上游設備發(fā)送的認證響應報文����,當該認證響應報文中攜帶認證成功的指示信息時,網絡設備轉發(fā)該網絡設備接收到的數據報文�����。本實施例中����,上述上游設備發(fā)送的認證響應報文是上游設備將網絡設備獲得的證書發(fā)送給證書校驗設備����,以供證書校驗設備對網絡設備獲得的證書進行校驗�,并在接收到證書校驗設備發(fā)送的認證響應報文之后發(fā)送給網絡設備的。
本實施例的一種實現方式中����,可以設置網絡設備的全局狀態(tài)的初始值為未認證狀態(tài),當全局狀態(tài)處于未認證狀態(tài)時����,該網絡設備只能轉發(fā)CA類型的報文(例如認證報文)或地址解析協(xié)議(Address Resolution Protocol ;以下簡稱ARP)報文,其他類型的報文均不能轉發(fā);當接收到的認證響應報文中攜帶認證成功的指示信息時����,網絡設備將該網絡設備的全局狀態(tài)更改為認證成功狀態(tài),這時該網絡設備可以轉發(fā)該網絡設備接收到的數據報文��,也就是說��,認證成功后��,該網絡設備可以轉發(fā)該網絡設備接收到的所有類型的報文�;本實施例的另一種實現方式中,也可以設置網絡設備在認證成功之前��,只能轉發(fā)CA類型的報文(例如認證報文)或ARP報文���,其他類型的報文均不能轉發(fā)��;當接收到的認證響應報文中攜帶認證成功的指示信息時�,網絡設備獲知自身已認證成功�����,這時���,該網絡設備可以轉發(fā)該網絡設備接收到的數據報文����,也就是說�����,認證成功后���,該網絡設備可以轉發(fā)該網絡設備接收到的所有類型的報文�。 本實施例中,上述證書校驗設備用于進行證書校驗���,該證書校驗設備可以為網絡內部的最上游設備����,例如網關等���。本實施例中�����,上述挑戰(zhàn)報文可以包括CA報文標識位和CA報文類型字段��;上述挑戰(zhàn)報文中CA報文標識位的值為該挑戰(zhàn)報文所采用的封裝協(xié)議的協(xié)議號�����,上述挑戰(zhàn)報文中CA報文類型字段的值為第一預設值����,例如“00”���,該第一預設值用于表示報文類型為挑戰(zhàn)報文����;上述認證請求報文可以包括CA報文標識位�����、CA報文類型字段���、二三層設備標識字段��、媒體接入控制(Media Access Control ;以下簡稱MAC) /因特網協(xié)議(InternetProtocol ����;以下簡稱IP)地址字段和CA證書信息字段�����;上述認證請求報文中CA報文標識位的值為該認證請求報文所采用的封裝協(xié)議的協(xié)議號�;上述認證請求報文中CA報文類型字段的值可以為第二預設值,例如“01”��,該第二預設值用于表示報文類型為認證請求報文���;上述認證請求報文中二三層設備標識字段的值用于表示上述網絡設備為二層設備或三層設備�����;當二三層設備標識字段的值表示上述網絡設備為二層設備時����,MAC/IP地址字段的值為上述網絡設備的MAC地址;當二三層設備標識字段的值表示上述網絡設備為三層設備時�����,MAC/IP地址字段的值為上述網絡設備的IP地址����;上述認證請求報文中的CA證書信息字段攜帶該網絡設備獲得的證書。上述實施例中��,網絡設備與該網絡設備的上游設備物理連通之后���,接收上游設備在該上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�,然后網絡設備向上游設備發(fā)送攜帶網絡設備獲得的證書的認證請求報文��,并接收上游設備發(fā)送的認證響應報文�����,當認證響應報文中攜帶認證成功的指示信息時,網絡設備轉發(fā)該網絡設備接收到的數據報文���;從而可以實現對網絡設備的權限進行認證����,提高網絡安全性��,并且本實施例通過網絡將網絡設備獲得的證書發(fā)送給證書校驗設備進行校驗��,實現方便���,易用性較高。圖2為本發(fā)明網絡設備的認證方法另一個實施例的流程圖���,如圖2所示���,該網絡設備的認證方法可以包括步驟201,網絡設備與網絡設備的上游設備物理連通之后���,接收該上游設備在該上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�。本實施例中�,網絡設備與網絡設備的上游設備物理連通之后�,如果該上游設備已認證成功�����,則該上游設備在感知該上游設備中與網絡設備連接的端口的狀態(tài)發(fā)生變化����,例如由down變?yōu)閡p之后,向網絡設備發(fā)送挑戰(zhàn)報文��;如果該上游設備還未認證成功�����,則該上游設備在感知該上游設備中與網絡設備連接的端口的狀態(tài)發(fā)生變化��,例如由down變?yōu)閡p�����,并且等待該上游設備認證成功之后�����,向網絡設備發(fā)送挑戰(zhàn)報文。其中��,上述挑戰(zhàn)報文的格式可以如表I所示���。表I
權利要求
1.一種網絡設備的認證方法���,其特征在于,包括 網絡設備與所述網絡設備的上游設備物理連通之后�����,接收所述上游設備在所述上游設備認證成功之后發(fā)送的挑戰(zhàn)報文��; 所述網絡設備向所述上游設備發(fā)送認證請求報文��,所述網絡設備發(fā)送的認證請求報文攜帶所述網絡設備獲得的證書�����; 所述網絡設備接收所述上游設備發(fā)送的認證響應報文�����,當所述認證響應報文中攜帶認證成功的指示信息時��,所述網絡設備轉發(fā)所述網絡設備接收到的數據報文�;所述上游設備發(fā)送的認證響應報文是所述上游設備將所述網絡設備獲得的證書發(fā)送給證書校驗設備,以供所述證書校驗設備對所述網絡設備獲得的證書進行校驗���,并在接收到所述證書校驗設備發(fā)送的所述認證響應報文之后發(fā)送給所述網絡設備的�����。
2.根據權利要求I所述的方法�,其特征在于�,所述網絡設備向所述上游設備發(fā)送認證請求報文之前,還包括 所述網絡設備確定所述網絡設備是否已獲得證書�; 所述網絡設備向所述上游設備發(fā)送認證請求報文包括 當所述網絡設備確定所述網絡設備已獲得證書,且所述網絡設備還未認證成功時����,所述網絡設備向所述上游設備發(fā)送認證請求報文。
3.根據權利要求2所述的方法��,其特征在于�����,所述網絡設備向所述上游設備發(fā)送認證請求報文之前����,還包括 當所述網絡設備確定所述網絡設備已獲得證書�����,且所述網絡設備已認證成功時��,所述網絡設備轉發(fā)所述網絡設備接收到的數據報文�����。
4.根據權利要求I所述的方法�����,其特征在于���,所述網絡設備接收所述上游設備發(fā)送的認證響應報文之后�,還包括 當所述認證響應報文中攜帶認證成功的指示信息時,在所述網絡設備的下游設備與所述網絡設備物理連通之后���,所述網絡設備向所述網絡設備的下游設備發(fā)送挑戰(zhàn)報文��; 所述網絡設備接收所述網絡設備的下游設備發(fā)送的認證請求報文�����,解封裝所述下游設備發(fā)送的認證請求報文����,所述下游設備發(fā)送的認證請求報文的外層源地址為所述下游設備的地址,所述下游設備發(fā)送的認證請求報文的外層目的地址為所述網絡設備的地址�,所述下游設備發(fā)送的認證請求報文攜帶所述下游設備獲得的證書; 所述網絡設備將所述下游設備發(fā)送的認證請求報文的外層源地址更改為所述網絡設備的地址��,將所述下游設備發(fā)送的認證請求報文的外層目的地址更改為所述證書校驗設備的地址����; 所述網絡設備將更改所述外層源地址和所述外層目的地址后的認證請求報文發(fā)送給所述證書校驗設備,所述網絡設備發(fā)送的認證請求報文攜帶所述下游設備獲得的證書����。
5.根據權利要求1-4任意一項所述的方法,其特征在于�����,所述挑戰(zhàn)報文包括證書授權CA報文標識位和CA報文類型字段���;所述挑戰(zhàn)報文中CA報文標識位的值為所述挑戰(zhàn)報文所采用的封裝協(xié)議的協(xié)議號�����,所述挑戰(zhàn)報文中CA報文類型字段的值為第一預設值����,所述第一預設值用于表示報文類型為挑戰(zhàn)報文; 所述認證請求報文包括CA報文標識位����、CA報文類型字段、二三層設備標識字段����、媒體接入控制/因特網協(xié)議地址字段和CA證書信息字段;所述認證請求報文中CA報文標識位的值為所述認證請求報文所采用的封裝協(xié)議的協(xié)議號����;所述認證請求報文中CA報文類型字段的值可以為第二預設值,所述第二預設值用于表示報文類型為認證請求報文���;所述認證請求報文中二三層設備標識字段的值用于表示所述網絡設備為二層設備或三層設備;當所述二三層設備標識字段的值表示所述網絡設備為二層設備時���,所述媒體接入控制/因特網協(xié)議地址字段的值為所述網絡設備的媒體接入控制地址���;當所述二三層設備標識字段的值表示所述網絡設備為三層設備時��,所述媒體接入控制/因特網協(xié)議地址字段的值為所述網絡設備的因特網協(xié)議地址��;所述認證請求報文中的CA證書信息字段攜帶所述網絡設備獲得的證書����。
6.根據權利要求1-4任意一項所述的方法�����,其特征在于�,所述證書校驗設備對所述網絡設備獲得的證書進行校驗包括 所述證書校驗設備在所述證書校驗設備的證書庫中查找與所述網絡設備獲得的證書具有相同證書標識的證書; 如果查找到����,則所述證書校驗設備根據查找到的證書對所述網絡設備獲得的證書進行校驗,并在校驗成功后�����,向所述上游設備發(fā)送攜帶所述認證成功的指示信息的認證響應報文����; 如果在所述證書校驗設備的證書庫中未查找到與所述網絡設備獲得的證書具有相同證書標識的證書�,則所述證書校驗設備向證書授權中心發(fā)送攜帶所述證書標識的證書下載請求�,并在接收到所述證書授權中心根據所述證書標識發(fā)送的證書之后,根據接收的證書對所述網絡設備獲得的證書進行校驗�����,并在校驗成功后����,向所述上游設備發(fā)送攜帶所述認證成功的指示信息的認證響應報文。
7.根據權利要求6所述的方法�,其特征在于,還包括 所述證書校驗設備接收所述證書授權中心發(fā)送的證書吊銷報文���,所述證書吊銷報文攜帶被吊銷證書的索引����; 所述證書校驗設備刪除所述證書校驗設備的證書庫中具有所述索引的證書�����,并指示擁有所述被吊銷證書的設備將自身的狀態(tài)更改為未認證狀態(tài)��。
8.根據權利要求7所述的方法�����,其特征在于��,所述證書吊銷報文包括CA報文標識位�、CA報文類型字段和CA證書信息字段;所述證書吊銷報文中CA報文標識位的值為所述證書吊銷報文所采用的封裝協(xié)議的協(xié)議號�����;所述證書吊銷報文中CA報文類型字段的值為第三預設值����,所述第三預設值用于表示報文類型為證書吊銷報文;所述證書吊銷報文中的CA證書信息字段攜帶被吊銷的證書的索引��。
9.根據權利要求6所述的方法����,其特征在于,還包括 所述證書校驗設備接收所述證書授權中心發(fā)送的證書庫更新報文��,根據所述證書庫更新報文更新所述證書校驗設備的證書庫�。
10.根據權利要求9所述的方法,其特征在于�,所述證書庫更新報文包括CA報文標識位����、CA報文類型字段和CA證書信息字段�;所述證書庫更新報文中CA報文標識位的值為所述證書庫更新報文所采用的封裝協(xié)議的協(xié)議號;所述證書庫更新報文中CA報文類型字段的值為第四預設值���,所述第四預設值用于表示報文類型為證書庫更新報文��;所述證書庫更新報文中的CA證書信息字段攜帶更新后的證書的索引��、證書內容和有效期�。
11.一種網絡設備的認證裝置��,其特征在于�,所述網絡設備的認證裝置設置在網絡設備中,所述網絡設備的認證裝置包括 接收模塊��,用于在網絡設備與所述網絡設備的上游設備物理連通之后�����,接收所述上游設備在所述上游設備認證成功之后發(fā)送的挑戰(zhàn)報文�����;以及接收所述上游設備發(fā)送的認證響應報文,所述上游設備發(fā)送的認證響應報文是所述上游設備將所述網絡設備獲得的證書發(fā)送給證書校驗設備���,以供所述證書校驗設備對所述網絡設備獲得的證書進行校驗,并在接收到所述證書校驗設備發(fā)送的所述認證響應報文之后發(fā)送的����; 發(fā)送模塊,用于向所述上游設備發(fā)送認證請求報文��,所述發(fā)送模塊發(fā)送的認證請求報文攜帶所述網絡設備獲得的證書���;以及當所述接收模塊接收的所述認證響應報文中攜帶認證成功的指示信息時��,轉發(fā)所述網絡設備接收到的數據報文����。
12.根據權利要求11所述的裝置����,其特征在于,還包括確定模塊�; 所述確定模塊,用于確定所述網絡設備是否已獲得證書; 所述發(fā)送模塊�,具體用于當所述確定模塊確定所述網絡設備已獲得證書,且所述網絡設備還未認證成功時�����,向所述上游設備發(fā)送認證請求報文��。
13.根據權利要求12所述的裝置�,其特征在于, 所述發(fā)送模塊���,還用于當所述確定模塊確定所述網絡設備已獲得證書����,且所述網絡設備已認證成功時�����,轉發(fā)所述網絡設備接收到的數據報文���。
14.根據權利要求11所述的裝置��,其特征在于�,還包括地址轉換模塊; 所述發(fā)送模塊���,還用于當所述接收模塊接收的所述認證響應報文中攜帶認證成功的指示信息時�����,在所述網絡設備的下游設備與所述網絡設備物理連通之后��,向所述網絡設備的下游設備發(fā)送挑戰(zhàn)報文;以及將所述地址轉換模塊更改所述外層源地址和所述外層目的地址后的認證請求報文發(fā)送給所述證書校驗設備��,所述認證請求報文攜帶所述下游設備獲得的證書���; 所述接收模塊�,還用于接收所述網絡設備的下游設備發(fā)送的認證請求報文���,解封裝所述下游設備發(fā)送的認證請求報文����,所述下游設備發(fā)送的認證請求報文的外層源地址為所述下游設備的地址����,所述下游設備發(fā)送的認證請求報文的外層目的地址為所述網絡設備的地址,所述下游設備發(fā)送的認證請求報文攜帶所述下游設備獲得的證書; 所述地址轉換模塊���,用于將所述下游設備發(fā)送的認證請求報文的外層源地址更改為所述網絡設備的地址���,將所述下游設備發(fā)送的認證請求報文的外層目的地址更改為所述證書校驗設備的地址。
15.一種網絡設備���,其特征在于�����,包括如權利要求11-14任意一項所述的網絡設備的認證裝置�。
16.一種網絡設備的認證系統(tǒng)��,其特征在于����,包括至少兩個相互連接的如權利要求15所述的網絡設備和證書校驗設備。
全文摘要
本發(fā)明提供一種網絡設備的認證方法��、裝置��、系統(tǒng)和網絡設備��,該網絡設備的認證方法包括網絡設備與網絡設備的上游設備物理連通之后,接收上游設備在上游設備認證成功之后發(fā)送的挑戰(zhàn)報文����;向上游設備發(fā)送認證請求報文,該網絡設備發(fā)送的認證請求報文攜帶網絡設備獲得的證書��;接收所述上游設備發(fā)送的認證響應報文���,當所述認證響應報文中攜帶認證成功的指示信息時���,所述網絡設備轉發(fā)所述網絡設備接收到的數據報文。本發(fā)明可以實現對網絡設備的權限進行認證����,提高網絡安全性����,并且本發(fā)明通過網絡將網絡設備獲得的證書發(fā)送給證書校驗設備進行校驗,實現方便��,易用性較高��。
文檔編號H04L29/06GK102624744SQ20121010015
公開日2012年8月1日 申請日期2012年4月6日 優(yōu)先權日2012年4月6日
發(fā)明者陳澤龍 申請人:北京星網銳捷網絡技術有限公司