本发明专利技术公开一种基于密钥的设备认证系统和方法,系统包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;本发明专利技术的系统和方法不使用常用搭建CA中心和为网络设备分发智能卡的形式,而是基于专用网络已有网络控制器作为认证设备,对认证设备和网络设备分配添加认证数据,并通过标准的TLS协议进行认证校验,降低了经济成本;另外认证数据的写入需要在设备入网前进行,增加了人员对设备的二次确认,增强了设备的可信性。增强了设备的可信性。
【技术实现步骤摘要】
一种基于密钥的设备认证系统和方法
[0001]本专利技术属于网络认证领域,尤其是涉及一种在专用私有协议网络中的基于密钥的设备认证系统和方法。
技术介绍
[0002]在专用网络中,基于私有的网络协议。上网设备的认证方法和在公有网络中不同,需要适配于私有的网络协议。
[0003]然而,目前的认证方法搭建CA中心和为网络设备分发智能卡,经济成本较高,认证数据的写入可信度不高。
[0004]基于上述现有技术存在的问题,有必要对现有技术进行改进,从降低成本和增加可信度的角度出发,提出新的系统和方法。
技术实现思路
[0005]为了解决上述问题,本专利技术提出一种基于密钥的设备认证系统和方法,降低了经济成本,增强了设备的可信性。
[0006]本专利技术的技术方案具体如下:一种基于密钥的设备认证系统,包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;网络控制器,接入网络前,在专用密钥生成工具/平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;认证模块读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验,证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网。
[0007]进一步地,非法设备不能合法的获取对应的校验信息,后续入网时无法被认证通过。
[0008]进一步地,通过DHCP协议向网络控制器申请IP分配,专用网络的IP由控制器进行分配管理。
[0009]进一步地,校验信息包括根证书、公钥、服务端证书。
[0010]进一步地,认证模块,对传输的用于认证的密钥进行校验,以确认设备在此专用网络的合法性;存储模块,存储用于认证的密钥。
[0011]进一步地,专用密钥生成平台随机生成匹配的公钥和私钥,并能将密钥导出供设
备使用。
[0012]进一步地,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则校验通过,否则校验失败。
[0013]本专利技术还涉及的一种基于密钥的设备认证方法,包括如下内容:随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;接入网络前,找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配;收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验,证书校验通过,则记录入网设备认证成功;证书校验失败,则记录入网设备认证失败,回收分配的IP,拒绝其入网。
[0014]进一步地,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则证书校验通过,否则证书校验失败。
[0015]与现有技术相比,本专利技术的有益效果具体如下:本专利技术的系统和方法不使用常用搭建CA中心和为网络设备分发智能卡的形式,而是基于专用网络已有网络控制器作为认证设备,对认证设备和网络设备分配添加认证数据,并通过标准的TLS协议进行认证校验,降低了经济成本;另外认证数据的写入需要在设备入网前进行,增加了人员对设备的二次确认,增强了设备的可信性。
附图说明
[0016]图1是本专利技术的系统框图;图2是本专利技术的认证过程的流程图。
具体实施方式
[0017]下面将结合本申请实施例中的附图,对实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0018]除非另外定义,本申请实施例中使用的技术术语或者科学术语应当为所属领域内具有一般技能的人士所理解的通常意义。本实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“安装”、“相连”、“连接”应做广义理解,例如,
可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。“上”、“下”、“左”、“右”、“横”以及“竖”等仅用于相对于附图中的部件的方位而言的,这些方向性术语是相对的概念,它们用于相对于的描述和澄清,其可以根据附图中的部件所放置的方位的变化而相应地发生变化。
[0019]如图1所示,本实施例的基于密钥的设备认证系统,包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块。认证模块对传输的用于认证的密钥进行校验,以确认设备在此专用网络的合法性。存储模块存储用于认证的密钥。
[0020]密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块。
[0021]网络控制器,接入网络前,在专用密钥生成工具/平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功。
[0022]认证模块读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验。
[0023]证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网。其中,网络控制器验证入网设备传输的私钥加密信息,是否能用自身存储的公钥解密成功,解密成功,则此入网设备的私钥与当前网络匹配,匹配则证书校验通过,否则证书校验失败。
[0024]本实施例中,专用网络中主要设备包含:网络控制器、网络设备(例如可以是交换机、网关、终端设备等),设备使用专用装置,具有认证模块和存储模块。专用网络的控制器具有DHCP功能,专用网络的IP由控制器进行分配管理。
[0025]专用密钥生成工具/平台:可随机生成匹本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于密钥的设备认证系统,其特征在于:包括密钥生成平台和网络控制器;网络控制器包括认证模块和存储模块;密钥生成平台,随机生成网络控制器的校验信息,校验信息导出,写入网络控制器的存储模块;网络控制器,接入网络前,在专用密钥生成工具/平台中找到该网络使用的校验信息,为待入网设备生成对应的校验信息,将校验信息导出,写入待入网设备的存储模块中;待入网设备接入网络,向网络控制器申请IP分配,网络控制器收到报文后,向待入网设备分配IP,设备获得IP地址,并获知网络控制器IP,入网成功;认证模块读取存储模块中记录的校验信息,向网络控制器发起TLS连接,传输证书进行校验;网络控制器收到连接请求后,认证模块读取存储模块中记录的校验信息,与作为客户端的入网设备进行校验,证书校验通过,则网络控制器记录入网设备认证成功;证书校验失败,则网络控制器记录入网设备认证失败,回收分配的IP,拒绝其入网。2.根据权利要求1所述的设备认证系统,其特征在于:非法设备不能合法的获取对应的校验信息,后续入网时无法被认证通过。3.根据权利要求1所述的设备认证系统,其特征在于:通过DHCP协议向网络控制器申请IP分配,专用网络的IP由控制器进行分配管理。4.根据权利要求1所述的设备认证系统,其特征在于:校验信息包括根证书、公钥、服务端证书。5.根据权利要求1所述的设备认证系统,其特征在于:认证模块,对传输的用于认证的密钥进行校验,以确认设备在...
【专利技术属性】
技术研发人员:郭威,罗震宇,毛正雄,陈何雄,杭菲璐,何映军,谢林江,张振红,
申请(专利权)人:云南电网有限责任公司信息中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。