网络设备的认证方法、装置、系统和网络设备制造方法及图纸

本发明专利技术提供一种网络设备的认证方法、装置、系统和网络设备，该网络设备的认证方法包括：网络设备与网络设备的上游设备物理连通之后，接收上游设备在上游设备认证成功之后发送的挑战报文；向上游设备发送认证请求报文，该网络设备发送的认证请求报文携带网络设备获得的证书；接收所述上游设备发送的认证响应报文，当所述认证响应报文中携带认证成功的指示信息时，所述网络设备转发所述网络设备接收到的数据报文。本发明专利技术可以实现对网络设备的权限进行认证，提高网络安全性，并且本发明专利技术通过网络将网络设备获得的证书发送给证书校验设备进行校验，实现方便，易用性较高。

【技术实现步骤摘要】

本专利技术涉及信息安全技术，尤其涉及一种网络设备的认证方法、装置、系统和网络设备，属于通信

技术介绍
公钥基础设施(Public Key Infrastructure ;以下简称PKI)是一种遵循既定标准的密钥管理平台，能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI的核心技术围绕着数字证书的申请、颁发、使用与撤销等整个生命周期进行展开。上述数字证书是由证书授权(Certificate Authority ;以下简称CA)中心为每个使用公钥的用户发放的，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公钥。上述数字证书的格式遵循X. 509标准。在网络安全保护中，因为内部网络的物理接口遍布于建筑物的不同地点，任何能够进入该区域的人员都可以利用这些暴露的物理接口轻易地接入内部网络并进行攻击。目前很多网络中对网络安全的防范大部分通过防火墙等设备，这些都是基于对外攻击的防范，若要对内部网络进行安全保护，一个重要的手段就是实现网络身份认证；设备身份认证是现有技术提供的一种网络身份认证方法。设备身份认证目前都是基于CA中心颁发数字证书给信任用户，主要应用于电子商务和电子邮件中，对本地应用程序进行加密和解密的行为。但是现有的设备身份认证不支持对网络设备的权限进行认证，网络安全性较低；并且现有的设备身份认证只能人工将数字证书送到CA中心，由CA中心对数字证书进行校验，实现起来很不方便，易用性较低。
技术实现思路
本专利技术提供一种网络设备的认证方法、装置、系统和网络设备，以实现对网络设备的权限进行认证，提高网络安全性。本专利技术一方面提供一种网络设备的认证方法，包括网络设备与所述网络设备的上游设备物理连通之后，接收所述上游设备在所述上游设备认证成功之后发送的挑战报文；所述网络设备向所述上游设备发送认证请求报文，所述网络设备发送的认证请求报文携带所述网络设备获得的证书；所述网络设备接收所述上游设备发送的认证响应报文，当所述认证响应报文中携带认证成功的指示信息时，所述网络设备转发所述网络设备接收到的数据报文；所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设 备，以供所述证书校验设备对所述网络设备获得的证书进行校验，并在接收到所述证书校验设备发送的所述认证响应报文之后发送给所述网络设备的。本专利技术另一方面提供一种网络设备的认证装置，所述网络设备的认证装置设置在网络设备中，所述网络设备的认证装置包括 接收模块，用于在网络设备与所述网络设备的上游设备物理连通之后，接收所述上游设备在所述上游设备认证成功之后发送的挑战报文；以及接收所述上游设备发送的认证响应报文，所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备，以供所述证书校验设备对所述网络设备获得的证书进行校验，并在接收到所述证书校验设备发送的所述认证响应报文之后发送的；发送模块，用于向所述上游设备发送认证请求报文，所述发送模块发送的认证请求报文携带所述网络设备获得的证书；以及当所述接收模块接收的所述认证响应报文中携带认证成功的指示信息时，转发所述网络设备接收到的数据报文。本专利技术再一方面提供一种网络设备，包括如上所述的网络设备的认证装置。本专利技术又一方面提供一种网络设备的认证系统，包括至少两个相互连接的如上所述的网络设备和证书校验设备。本专利技术一方面的技术效果是网络设备与该网络设备的上游设备物理连通之后，接收上游设备在该上游设备认证成功之后发送的挑战报文，然后网络设备向上游设备发送携带网络设备获得的证书的认证请求报文，并接收上游设备发送的认证响应报文，当认证响应报文中携带认证成功的指示信息时，网络设备转发该网络设备接收到的数据报文；从而可以实现对网络设备的权限进行认证，提高网络安全性，并且本专利技术通过网络将网络设备获得的证书发送给证书校验设备进行校验，实现方便，易用性较高。附图说明图I为本专利技术网络设备的认证方法一个实施例的流程图；图2为本专利技术网络设备的认证方法另一个实施例的流程图；图3为本专利技术应用场景一个实施例的示意图；图4为本专利技术网络设备的认证装置一个实施例的结构示意图；图5为本专利技术网络设备的认证装置另一个实施例的结构示意图；图6为本专利技术网络设备的认证系统一个实施例的结构示意图。具体实施例方式图I为本专利技术网络设备的认证方法一个实施例的流程图，如图I所示，该网络设备的认证方法可以包括步骤101，网络设备与网络设备的上游设备物理连通之后，接收该上游设备在该上游设备认证成功之后发送的挑战报文。步骤102，网络设备向上游设备发送认证请求报文，该网络设备发送的认证请求报文携带该网络设备获得的证书。步骤103，网络设备接收上游设备发送的认证响应报文，当该认证响应报文中携带认证成功的指示信息时，网络设备转发该网络设备接收到的数据报文。本实施例中，上述上游设备发送的认证响应报文是上游设备将网络设备获得的证书发送给证书校验设备，以供证书校验设备对网络设备获得的证书进行校验，并在接收到证书校验设备发送的认证响应报文之后发送给网络设备的。本实施例的一种实现方式中，可以设置网络设备的全局状态的初始值为未认证状态，当全局状态处于未认证状态时，该网络设备只能转发CA类型的报文(例如认证报文)或地址解析协议(Address Resolution Protocol ;以下简称ARP)报文,其他类型的报文均不能转发；当接收到的认证响应报文中携带认证成功的指示信息时，网络设备将该网络设备的全局状态更改为认证成功状态，这时该网络设备可以转发该网络设备接收到的数据报文，也就是说，认证成功后，该网络设备可以转发该网络设备接收到的所有类型的报文；本实施例的另一种实现方式中，也可以设置网络设备在认证成功之前，只能转发CA类型的报文(例如认证报文)或ARP报文，其他类型的报文均不能转发；当接收到的认证响应报文中携带认证成功的指示信息时，网络设备获知自身已认证成功，这时，该网络设备可以转发该网络设备接收到的数据报文，也就是说，认证成功后，该网络设备可以转发该网络设备接收到的所有类型的报文。 本实施例中，上述证书校验设备用于进行证书校验，该证书校验设备可以为网络内部的最上游设备，例如网关等。本实施例中，上述挑战报文可以包括CA报文标识位和CA报文类型字段；上述挑战报文中CA报文标识位的值为该挑战报文所采用的封装协议的协议号，上述挑战报文中CA报文类型字段的值为第一预设值，例如“00”，该第一预设值用于表示报文类型为挑战报文；上述认证请求报文可以包括CA报文标识位、CA报文类型字段、二三层设备标识字段、媒体接入控制(Media Access Control ;以下简称MAC) /因特网协议(InternetProtocol ；以下简称IP)地址字段和CA证书信息字段；上述认证请求报文中CA报文标识位的值为该认证请求报文所采用的封装协议的协议号；上述认证请求报文中CA报文类型字段的值可以为第二预设值，例如“01”，该第二预设值用于表示报文类型为认证请求报文；上述认证请求报文中二三层设备标识字段的值用于表示上述网络设备为二层设备或三层设备；当二三层本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络设备的认证方法，其特征在于，包括 网络设备与所述网络设备的上游设备物理连通之后，接收所述上游设备在所述上游设备认证成功之后发送的挑战报文； 所述网络设备向所述上游设备发送认证请求报文，所述网络设备发送的认证请求报文携带所述网络设备获得的证书； 所述网络设备接收所述上游设备发送的认证响应报文，当所述认证响应报文中携带认证成功的指示信息时，所述网络设备转发所述网络设备接收到的数据报文；所述上游设备发送的认证响应报文是所述上游设备将所述网络设备获得的证书发送给证书校验设备，以供所述证书校验设备对所述网络设备获得的证书进行校验，并在接收到所述证书校验设备发送的所述认证响应报文之后发送给所述网络设备的。2.根据权利要求I所述的方法，其特征在于，所述网络设备向所述上游设备发送认证请求报文之前，还包括 所述网络设备确定所述网络设备是否已获得证书； 所述网络设备向所述上游设备发送认证请求报文包括 当所述网络设备确定所述网络设备已获得证书，且所述网络设备还未认证成功时，所述网络设备向所述上游设备发送认证请求报文。3.根据权利要求2所述的方法，其特征在于，所述网络设备向所述上游设备发送认证请求报文之前，还包括 当所述网络设备确定所述网络设备已获得证书，且所述网络设备已认证成功时，所述网络设备转发所述网络设备接收到的数据报文。4.根据权利要求I所述的方法，其特征在于，所述网络设备接收所述上游设备发送的认证响应报文之后，还包括 当所述认证响应报文中携带认证成功的指示信息时，在所述网络设备的下游设备与所述网络设备物理连通之后，所述网络设备向所述网络设备的下游设备发送挑战报文； 所述网络设备接收所述网络设备的下游设备发送的认证请求报文，解封装所述下游设备发送的认证请求报文，所述下游设备发送的认证请求报文的外层源地址为所述下游设备的地址，所述下游设备发送的认证请求报文的外层目的地址为所述网络设备的地址，所述下游设备发送的认证请求报文携带所述下游设备获得的证书； 所述网络设备将所述下游设备发送的认证请求报文的外层源地址更改为所述网络设备的地址，将所述下游设备发送的认证请求报文的外层目的地址更改为所述证书校验设备的地址； 所述网络设备将更改所述外层源地址和所述外层目的地址后的认证请求报文发送给所述证书校验设备，所述网络设备发送的认证请求报文携带所述下游设备获得的证书。5.根据权利要求1-4任意一项所述的方法，其特征在于，所述挑战报文包括证书授权CA报文标识位和CA报文类型字段；所述挑战报文中CA报文标识位的值为所述挑战报文所采用的封装协议的协议号，所述挑战报文中CA报文类型字段的值为第一预设值，所述第一预设值用于表示报文类型为挑战报文； 所述认证请求报文包括CA报文标识位、CA报文类型字段、二三层设备标识字段、媒体接入控制/因特网协议地址字段和CA证书信息字段；所述认证请求报文中CA报文标识位的值为所述认证请求报文所采用的封装协议的协议号；所述认证请求报文中CA报文类型字段的值可以为第二预设值，所述第二预设值用于表示报文类型为认证请求报文；所述认证请求报文中二三层设备标识字段的值用于表示所述网络设备为二层设备或三层设备；当所述二三层设备标识字段的值表示所述网络设备为二层设备时，所述媒体接入控制/因特网协议地址字段的值为所述网络设备的媒体接入控制地址；当所述二三层设备标识字段的值表示所述网络设备为三层设备时，所述媒体接入控制/因特网协议地址字段的值为所述网络设备的因特网协议地址；所述认证请求报文中的CA证书信息字段携带所述网络设备获得的证书。6.根据权利要求1-4任意一项所述的方法，其特征在于，所述证书校验设备对所述网络设备获得的证书进行校验包括 所述证书校验设备在所述证书校验设备的证书库中查找与所述网络设备获得的证书具有相同证书标识的证书； 如果查找到，则所述证书校验设备根据查找到的证书对所述网络设备获得的证书进行校验，并在校验成功后，向所述上游设备发送携带所述认证成功的指示信息的认证响应报文； 如果在所述证书校验设备的证书库中未查找到与所述网络设备获得的证书具有相同证书标识的证书，则所述证书校验设备向证书授权中心发送携带所述证书标识的证书下载...

【专利技术属性】
技术研发人员：陈泽龙，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：