和該請求方的設(shè)備標(biāo)識ID,以及該認(rèn)證方的身份證書和該認(rèn)證方的設(shè)備標(biāo)識ID ;
[0042]步驟S204,根據(jù)該認(rèn)證請求消息認(rèn)證是否允許該請求方的端口與該認(rèn)證方的端口相連接;
[0043]步驟S206,將根據(jù)該認(rèn)證請求消息進行認(rèn)證的結(jié)果發(fā)送給該認(rèn)證方。
[0044]通過上述步驟,接收認(rèn)證方發(fā)送的認(rèn)證請求消息,其中,該認(rèn)證請求信息中攜帶有請求方的身份證書和該請求方的設(shè)備標(biāo)識ID,以及該認(rèn)證方的身份證書和該認(rèn)證方的設(shè)備標(biāo)識ID,根據(jù)認(rèn)證請求消息中攜帶的信息對是否允許該請求方的端口與該認(rèn)證方的端口相連接進行認(rèn)證,將認(rèn)證的結(jié)果發(fā)送給認(rèn)證方,解決了對網(wǎng)絡(luò)設(shè)備之間的端口連接是否合法進行認(rèn)證的問題,從而保證了網(wǎng)絡(luò)的安全性。
[0045]本實施例中,在將根據(jù)認(rèn)證請求消息進行認(rèn)證的結(jié)果發(fā)送給該認(rèn)證方之前,認(rèn)證服務(wù)器分別為認(rèn)證方和請求方生成應(yīng)答消息,包括:為認(rèn)證方生成第一應(yīng)答消息,其中,該第一應(yīng)答消息中攜帶有該請求方的設(shè)備標(biāo)識ID,該認(rèn)證方的設(shè)備標(biāo)識ID以及認(rèn)證結(jié)果;以及為該請求方生成第二應(yīng)答消息,其中,該第二應(yīng)答消息中攜帶有該請求方的設(shè)備標(biāo)識ID,該認(rèn)證方的設(shè)備標(biāo)識ID,認(rèn)證結(jié)果以及該認(rèn)證服務(wù)器的證書,之后將第一應(yīng)答消息和第二應(yīng)答消息攜帶的內(nèi)容一并發(fā)送給認(rèn)證方,再由認(rèn)證方反饋給請求方。
[0046]根據(jù)本發(fā)明的另一方面,提供了一種認(rèn)證裝置,該裝置用于實現(xiàn)上述實施例及優(yōu)選實施方式,已經(jīng)進行過說明的不再贅述。如以下所使用的,術(shù)語“模塊”可以實現(xiàn)預(yù)定功能的軟件和/或硬件的組合。盡管以下實施例所描述的裝置較佳地以軟件來實現(xiàn),但是硬件,或者軟件和硬件的組合的實現(xiàn)也是可能并被構(gòu)想的。
[0047]圖3是根據(jù)本發(fā)明實施例的一種認(rèn)證裝置的框圖一,如圖3所示,包括:第一發(fā)送模塊32和第一接收模塊34,下面對該兩個模塊進行說明。
[0048]第一發(fā)送模塊32,用于向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求消息,其中,該認(rèn)證請求信息中攜帶有請求方的身份證書和該請求方的設(shè)備標(biāo)識ID,以及認(rèn)證方的身份證書和該認(rèn)證方的設(shè)備標(biāo)識ID,該認(rèn)證請求信息用于指示該認(rèn)證服務(wù)器根據(jù)該認(rèn)證請求消息認(rèn)證是否允許該請求方的端口與該認(rèn)證方的端口相連接;
[0049]第一接收模塊34,用于接收該認(rèn)證服務(wù)器根據(jù)該認(rèn)證請求消息進行認(rèn)證的結(jié)果。
[0050]圖4是根據(jù)本發(fā)明優(yōu)選實施例的一種認(rèn)證裝置的框圖一,如圖4所示,該裝置還包括:
[0051]第二接收模塊42,用于接收該請求方發(fā)送的證書交換消息,其中,該證書交換消息中攜帶有該請求方的身份證書和該請求方的設(shè)備標(biāo)識ID ;
[0052]確定模塊44,用于根據(jù)該請求方的身份證書和該請求方的設(shè)備標(biāo)識ID確定該請求方的設(shè)備有效。
[0053]圖5是根據(jù)本發(fā)明優(yōu)選實施例的一種認(rèn)證裝置的框圖二,如圖5所示,該裝置還包括:
[0054]反饋模塊52,用于向該請求方反饋攜帶該認(rèn)證服務(wù)器的IP地址的認(rèn)證結(jié)果。
[0055]本發(fā)明實施例的另一方面,還提供了一種認(rèn)證裝置,圖6是根據(jù)本發(fā)明實施例的一種認(rèn)證裝置的框圖二,如圖6所示,包括:第三接收模塊62、認(rèn)證模塊64、第二發(fā)送模塊66,下面對各個模塊進行說明。
[0056]第三接收模塊62,用于接收認(rèn)證方發(fā)送的認(rèn)證請求消息,其中,該認(rèn)證請求信息中攜帶有請求方的身份證書和該請求方的設(shè)備標(biāo)識ID,以及該認(rèn)證方的身份證書和該認(rèn)證方的設(shè)備標(biāo)識ID ;
[0057]認(rèn)證模塊64,用于根據(jù)該認(rèn)證請求消息認(rèn)證是否允許該請求方的端口與該認(rèn)證方的端口相連接;
[0058]第二發(fā)送模塊66,用于將根據(jù)該認(rèn)證請求消息進行認(rèn)證的結(jié)果發(fā)送給該認(rèn)證方。
[0059]圖7是根據(jù)本發(fā)明優(yōu)選實施例的一種認(rèn)證裝置的框圖三,如圖7所示,該裝置還包括:
[0060]第一生成模塊72,用于為該認(rèn)證方生成第一應(yīng)答消息,其中,該第一應(yīng)答消息中攜帶有該請求方的設(shè)備標(biāo)識ID,該認(rèn)證方的設(shè)備標(biāo)識ID以及認(rèn)證結(jié)果;
[0061 ] 第二生成模塊74,用于為該請求方生成第二應(yīng)答消息,其中,該第二應(yīng)答消息中攜帶有該請求方的設(shè)備標(biāo)識ID,該認(rèn)證方的設(shè)備標(biāo)識ID,認(rèn)證結(jié)果以及該認(rèn)證服務(wù)器的證書。
[0062]通過本發(fā)明實施例的上述認(rèn)證方法和裝置,其中,該裝置中網(wǎng)絡(luò)設(shè)備基于端口,互連確保接入網(wǎng)絡(luò)中的各個網(wǎng)絡(luò)設(shè)備節(jié)點是可信的,并且數(shù)據(jù)流量轉(zhuǎn)發(fā)路徑通過了認(rèn)證,是可信的。
[0063]下面結(jié)合【具體實施方式】對本發(fā)明實施例進行進一步說明。
[0064]本發(fā)明實施例以實現(xiàn)基于端口對網(wǎng)絡(luò)設(shè)備端口的連接權(quán)限進行認(rèn)證,保證網(wǎng)絡(luò)的數(shù)據(jù)流量在已認(rèn)證的路徑上轉(zhuǎn)發(fā),保證網(wǎng)絡(luò)安全性。提供了一種網(wǎng)絡(luò)設(shè)備的互連認(rèn)證方法,網(wǎng)絡(luò)設(shè)備端口初始端口為未認(rèn)證狀態(tài),禁止轉(zhuǎn)發(fā)處理認(rèn)證報文外的其它數(shù)據(jù)報文,網(wǎng)絡(luò)設(shè)備端口為已認(rèn)證狀態(tài)時,放行該端口的所有數(shù)據(jù)報文。網(wǎng)絡(luò)設(shè)備互連認(rèn)證在運行過程中有三個角色:請求方、認(rèn)證方、認(rèn)證服務(wù)器。請求方為發(fā)起身份認(rèn)證請求的網(wǎng)絡(luò)設(shè)備,認(rèn)證方為響應(yīng)認(rèn)證請求的網(wǎng)絡(luò)設(shè)備,認(rèn)證服務(wù)器為可信的第三方認(rèn)證服務(wù)器,所有網(wǎng)絡(luò)設(shè)備均信任其返回結(jié)果。包括以下內(nèi)容:
[0065]請求方發(fā)送證書交換消息報文,證書交換消息報文包含請求方的身份證書和請求方的設(shè)備ID (網(wǎng)絡(luò)設(shè)備唯一標(biāo)示)。認(rèn)證方收到請求方的數(shù)字身份證書后,驗證證書,如有效,將數(shù)字證書緩存在本地,發(fā)送證書交換消息給請求方,該報文包含認(rèn)證方的身份證書和認(rèn)證方的設(shè)備ID。同時發(fā)送認(rèn)證請求消息報文給認(rèn)證服務(wù)器,其中報文中包含請求方的身份數(shù)字證書和認(rèn)證方的身份數(shù)字證書、請求方的設(shè)備ID和認(rèn)證方的設(shè)備ID。
[0066]認(rèn)證服務(wù)器收到認(rèn)證請求消息報文后,驗證請求方的身份證書和認(rèn)證方的身份證書,如果驗證通過,進一步根據(jù)請求方ID和認(rèn)證方ID確認(rèn)網(wǎng)絡(luò)接入權(quán)限,如果允許接入,則返回認(rèn)證成功,否則返回認(rèn)證失敗。在返回認(rèn)證應(yīng)答消息報文時,分別為認(rèn)證方和請求方產(chǎn)生兩個應(yīng)答消息并打包成為一個報文。認(rèn)證方的應(yīng)答消息中包括:請求方ID、認(rèn)證方ID、認(rèn)證狀態(tài)。請求方的應(yīng)答消息中包括:請求方ID、認(rèn)證方ID、認(rèn)證狀態(tài)和認(rèn)證服務(wù)器證書。
[0067]認(rèn)證方在收到認(rèn)證應(yīng)答消息后,驗證應(yīng)答消息報文,若認(rèn)證請求得到許可,認(rèn)證方發(fā)送認(rèn)證應(yīng)答消息給請求方,認(rèn)證應(yīng)答消息報文包括認(rèn)證服務(wù)器的IP地址,以及認(rèn)證服務(wù)器返回的完整的請求方應(yīng)答消息。請求方在收到認(rèn)證應(yīng)答消息后,驗證該應(yīng)答消息報文,若認(rèn)證請求得到許可,向認(rèn)證方發(fā)送認(rèn)證完成消息,將本地的網(wǎng)絡(luò)接口認(rèn)證狀態(tài)設(shè)置為已認(rèn)證,認(rèn)證結(jié)束。認(rèn)證方驗證認(rèn)證完成消息報文,將本地的網(wǎng)絡(luò)接口認(rèn)證狀態(tài)設(shè)置為已認(rèn)證狀態(tài),認(rèn)證結(jié)束。
[0068]在網(wǎng)絡(luò)設(shè)備互連認(rèn)證時,通過以下方法確定認(rèn)證方和請求方角色:當(dāng)本端網(wǎng)絡(luò)設(shè)備與對端網(wǎng)絡(luò)設(shè)備進行互連認(rèn)證時,需要參與認(rèn)證雙方網(wǎng)絡(luò)設(shè)備的互連端口間協(xié)商本端的認(rèn)證角色。
[0069]其中,協(xié)商過程應(yīng)遵從以下約定:如果本地具有認(rèn)證服務(wù)器地址并且對端沒有,則本地為認(rèn)證端,對端為請求端;如果對端具有認(rèn)證服務(wù)器地址,本地沒有,則本地為請求端,對端為認(rèn)證端;如果雙方都沒有,則忽略對端消息,不認(rèn)證;如果雙方都具有認(rèn)證服務(wù)器地址,則設(shè)備ID小的請求端,設(shè)備ID大的為認(rèn)證端。
[0070]在證書交換消息中包含有“連接認(rèn)證服務(wù)器”字段,該值為O表示該網(wǎng)絡(luò)設(shè)備當(dāng)時無可用的認(rèn)證服務(wù)器地址,為非O表示網(wǎng)絡(luò)設(shè)備當(dāng)時有可用的認(rèn)證服務(wù)器地址。在網(wǎng)絡(luò)設(shè)備接收到對端證書交換消息報文時,根據(jù)報文中“連接認(rèn)證服務(wù)器”字段和設(shè)備ID,按照規(guī)則進行協(xié)商,確定認(rèn)證角色。
[0071]網(wǎng)絡(luò)設(shè)備認(rèn)證服務(wù)器地址管理的方法,包括:在一個新的網(wǎng)絡(luò)設(shè)備與已經(jīng)通過認(rèn)證的網(wǎng)絡(luò)設(shè)備進行接入認(rèn)證時,在認(rèn)證的最后階段,認(rèn)證方發(fā)送認(rèn)證響應(yīng)消息到請求方。如果認(rèn)證結(jié)果是允許,則認(rèn)證方在認(rèn)證響應(yīng)消息中攜帶認(rèn)證服務(wù)器的IP地址列表,將地址通告給新加入的網(wǎng)絡(luò)設(shè)備。認(rèn)證服務(wù)器IP地址列表應(yīng)包括至少一個主用認(rèn)證服務(wù)器地址,備用認(rèn)證服務(wù)器地址最多為三個。新的網(wǎng)絡(luò)設(shè)備在認(rèn)證完成后,緩存認(rèn)證服務(wù)器的數(shù)字證書,按照通告的地址立即探測認(rèn)證服務(wù)是否可用并保證至少有一個認(rèn)證服務(wù)處于可用狀態(tài)。在完成上述操作后,新的網(wǎng)絡(luò)設(shè)備才能夠成為新的認(rèn)證方,為連接到本網(wǎng)絡(luò)設(shè)備上的其它網(wǎng)絡(luò)設(shè)備提供接入認(rèn)證服務(wù)。
[0072]網(wǎng)絡(luò)設(shè)備周期性向每個認(rèn)證服務(wù)器地址發(fā)送?;顖笪?。認(rèn)證服務(wù)器接收到?;顖笪臅r,檢查報文有效性,發(fā)送?;罨貞?yīng)報文給網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備在接收到認(rèn)證服務(wù)器的?;罨貞?yīng)報文后,認(rèn)為對應(yīng)的認(rèn)證服務(wù)處于活躍狀態(tài)。網(wǎng)絡(luò)設(shè)備在向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求并正確獲得了認(rèn)證應(yīng)答報文后,可以重新啟動對應(yīng)于該認(rèn)證服務(wù)器地址的探測定時器,認(rèn)為認(rèn)證服務(wù)器在該探測間隔內(nèi)是可用的。對連續(xù)多次探測都沒有響應(yīng)的認(rèn)證服務(wù)器地址,將其標(biāo)記為不可用。處于不可用狀態(tài)的認(rèn)證服務(wù)器地址如果在后續(xù)探測中,正確收到了保活響應(yīng)報文,則將其標(biāo)記為可用狀態(tài)。
[0073]認(rèn)證服務(wù)器的部署方法,包括:認(rèn)證服務(wù)器以層次化方式部署,分為核心認(rèn)證服務(wù)器和子認(rèn)證服務(wù)器。核心認(rèn)證服務(wù)器和子認(rèn)證服務(wù)器之間進行認(rèn)證規(guī)則同步。核心認(rèn)證服務(wù)器位于網(wǎng)絡(luò)核心層,對所有的設(shè)備都具有認(rèn)證功能。子認(rèn)證服務(wù)器位于網(wǎng)絡(luò)匯聚層,只具有對匯聚網(wǎng)絡(luò)設(shè)備以下的接入設(shè)備的認(rèn)證請求有認(rèn)證權(quán)限。子認(rèn)證服務(wù)器向核心認(rèn)證服務(wù)器注冊,子認(rèn)證服務(wù)器初始時不能提供認(rèn)證服務(wù),子認(rèn)證服務(wù)發(fā)