一种网络节点可信认证实现方法技术

本发明专利技术提拱了一种网络节点可信认证实现方法，本发明专利技术解决基于证书或者口令进行身份认证单的问题将平台标识、证书和平台完整性相结合实现多因子安全认证，确保只有通过身份认证和平台安全状态评估检查的设备才允许接入网络，防止非法设备接入网络以后引入异常数据流实施网络攻击或者导致正常业务流被恶意牵引；杜绝平台完整性不符合预期安全要求的设备接入网络访问网络资源通过建立安全基线将认证异常的设备进行有效阻断或者隔离。异常的设备进行有效阻断或者隔离。异常的设备进行有效阻断或者隔离。

【技术实现步骤摘要】
一种网络节点可信认证实现方法


[0001]本专利技术涉及网络安全领域，尤其涉及一种网络节点可信认证实现方法。

技术介绍

[0002]网络设备节点之间，有链路层基于PPP实现节点间的安全认证方法，其中 PPP协议支持可选基于日令或者证书的PAP、CHAP等认证协议。基于上述的节点互联安全措施均只考虑了身份认证，缺乏对物理平台可信性、运行环境、应用接入状态等进行全面检查。非法网络设备可能导致正常业务流被恶意牵引;带有病毒、木马的网络设备，可能导致网络风暴等安全隐患。

技术实现思路

[0003]本专利技术提供一种网络节点可信认证实现方法，用以解决上述问题。
[0004]本专利技术通过以下技术方案实现：一种网络节点可信认证实现方法，包括以下步骤：S1. 接入请求方A发送接入认证报文；S2. 接入响应方B向接入请求方A发送携带随机数Rb的认证启动报文，并启动超时处理；S3. 接入请求方A接收接入响应方B的认证启动报文，发送携带接入请求方A序列号和接入响应方B随机数Rb异或的DevID的认证请求报文，并启动超时处理；S4. 接入响应方B接收接入请求方A的认证请求报文，判断随机数Rb正确性后，向认证服务器C发送认证鉴别请求报文，并启动超时处理；S5. 认证服务器C接收认证鉴别请求报文，并向接入响应方B发送认证鉴别结果报文；S6. 接入响应方B解析来自认证服务器C的认证鉴别结果，判断是否向接入请求方A发送认证结果报文，并启动超时处理；S7. 接入请求方A解析来自认证服务器C的认证鉴别结果，判断是否向接入响应方B发送认证成功报文；S8. 完成认证，接入请求方A定时向接入响应方B发送认证保活报文。
[0005]进一步的，所述步骤S1具体为：S101. 接入请求方A作为认证发起者，发送接入认证发起请求报文,开始认证；S102. 接入请求方A在规定时间内没有发起认证请求，则由接入响应方B强制发起认证启动报文启动认证。
[0006]进一步的，所述步骤S2具体为：S201. 接入响应方B向接入请求方A发送认证启动报文，携带产生的随机数Rb；S202. 启动等待接收认证请求报文超时定时器，超时未收到时则中断流程，回到认证初始状态。
[0007]进一步的，所述步骤S3具体为：S301. 接入请求方A收到接入响应方B认证启动报文，发送内含接入请求方A的序列号、接入响应方B的随机数Rb异或的DevID、接入响应方B的Rb、接入请求方A产生的随机数Ra接入请求方A的可信度量值Ta、接入请求方A的身份证书CERTa以及签名信息Sa的认证请求报文；S302. 完成发送后启动超时定时器，等待接收来自接入响应方B的认证应答报文，超时未收到时则中断流程，回到认证初始状态。
[0008]进一步的，所述步骤S4具体为：S401. 接入响应方B收到收到接入请求方A的认证请求报文，判断Rb正确性；S402. 判断Rb错误，忽略收到的报文，判断Rb正确，接入响应方B向认证服务器C发送认证鉴别请求报文；S403. 启动等待接收认证鉴别结构报文超时计时器，超时则重发原信息，在有限次等待超时后，中断流程，回到认证初始状态。
[0009]进一步的，所述步骤S5具体为：S501. 认证服务器C获取认证鉴别请求报文，对Ta、TB、CERTa及CERTb的有效性进行有效判断；S502. 验证完毕，认证服务器C向接入响应方B发送认证鉴别结果报文。
[0010]进一步的，所述步骤S6具体为：S601. 接入响应方B解析来自认证服务器C的认证鉴别结果，验证接入请求方A的证书、可行度量值的鉴别结果是否有效；S602. 验证为无效，向接入请求方A发送认证失败报文，中断流程，回到认证初始状态，验证为有效，向接入请求方A发送认证结果报文，认证结果消息的数据段内容与认证鉴别结果消息的数据段内容相同，为RESa、RESb、P、CERTc、Sc；S603. 发送完成后启动超时定时器，等待接收来自接入请求方A的确认报文，超时未收到时则中断流程，回到认证初始状态。
[0011]进一步的，所述步骤S7具体为：S701. 接入请求方A解析来自认证服务器C的认证鉴别结果，验证接入响应方B的证书、可行度量值的鉴别结果是否有效；S702. 验证为无效，向接入响应方B发送认证失败报文，中断流程，回到认证初始状态，验证为有效，向接入响应方B发送认证成功报文，同时进入认证成功状态；S703. 接入响应方B收到认证成功报文则进入认证成功状态。
[0012]进一步的，所述步骤S8具体为：S801. 认证成功后，接入请求方A定时向接入响应方B发送内含上一次收到的随机数Rb、本地产生的新随机数Ra、本地的可信度量值Ta及三者的签名Sa的认证保活报文；S802. 接入响应方B超时未收到认证保活报文或认证保活报文验证失败，则中断流程，回到认证初始状态。
[0013]本专利技术的有益效果：通过本专利技术，将平台标识ID、证书、平台完整性和安全基线相结合，实现交换机的
可信互联，并将认证异常结果的设备进行阻断或隔离处理，将有助于提升网络基础设施的安全性。
附图说明
[0014]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0015]图1为本专利技术的方法流程图。
具体实施方式
[0016]为使本专利技术的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本专利技术作进一步的详细说明，本专利技术的示意性实施方式及其说明仅用于解释本专利技术，并不作为对本专利技术的限定。
[0017]实施例1如图1，一种网络节点可信认证实现方法，包括以下步骤：S1. 接入请求方A发送接入认证报文；S2. 接入响应方B向接入请求方A发送携带随机数Rb的认证启动报文，并启动超时处理；S3. 接入请求方A接收接入响应方B的认证启动报文，发送携带接入请求方A序列号和接入响应方B随机数Rb异或的DevID的认证请求报文，并启动超时处理；S4. 接入响应方B接收接入请求方A的认证请求报文，判断随机数Rb正确性后，向认证服务器C发送认证鉴别请求报文，并启动超时处理；S5. 认证服务器C接收认证鉴别请求报文，并向接入响应方B发送认证鉴别结果报文；S6. 接入响应方B解析来自认证服务器C的认证鉴别结果，判断是否向接入请求方A发送认证结果报文，并启动超时处理；S7. 接入请求方A解析来自认证服务器C的认证鉴别结果，判断是否向接入响应方B发送认证成功报文；S8.完成认证，接入请求方A定时向接入响应方B发送认证保活报文。
[0018]进一步的，所述步骤S1具体为：S101. 接入请求方A作为认证发起者，发送接入认证发起请求报文,开始认证；S102. 接入请求方A在规定时间内没有发起认证请求，则由接入响应方B强制发起认证启动报文启动认证。
[0019]进一步的，所述步骤S2具体为：S201. 接入响本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络节点可信认证实现方法，其特征在于，包括以下步骤：S1. 接入请求方A发送接入认证报文；S2. 接入响应方B向接入请求方A发送携带随机数Rb的认证启动报文，并启动超时处理；S3. 接入请求方A接收接入响应方B的认证启动报文，发送携带接入请求方A序列号和接入响应方B随机数Rb异或的DevID的认证请求报文，并启动超时处理；S4. 接入响应方B接收接入请求方A的认证请求报文，判断随机数Rb正确性后，向认证服务器C发送认证鉴别请求报文，并启动超时处理；S5. 认证服务器C接收认证鉴别请求报文，并向接入响应方B发送认证鉴别结果报文；S6. 接入响应方B解析来自认证服务器C的认证鉴别结果，判断是否向接入请求方A发送认证结果报文，并启动超时处理；S7. 接入请求方A解析来自认证服务器C的认证鉴别结果，判断是否向接入响应方B发送认证成功报文；S8.完成认证，接入请求方A定时向接入响应方B发送认证保活报文。2.根据权利要求1所述的一种网络节点可信认证实现方法，其特征在于，所述步骤S1具体为：S101. 接入请求方A作为认证发起者，发送接入认证发起请求报文,开始认证；S102. 接入请求方A在规定时间内没有发起认证请求，则由接入响应方B强制发起认证启动报文启动认证。3.根据权利要求1所述的一种网络节点可信认证实现方法，其特征在于，所述步骤S2具体为：S201. 接入响应方B向接入请求方A发送认证启动报文，携带产生的随机数Rb；S202. 启动等待接收认证请求报文超时定时器，超时未收到时则中断流程，回到认证初始状态。4.根据权利要求1所述的一种网络节点可信认证实现方法，其特征在于，所述步骤S3具体为：S301. 接入请求方A收到接入响应方B认证启动报文，发送内含接入请求方A的序列号、接入响应方B的随机数Rb异或的DevID、接入响应方B的Rb、接入请求方A产生的随机数Ra接入请求方A的可信度量值Ta、接入请求方A的身份证书CERTa以及签名信息Sa的认证请求报文；S302. 完成发送后启动超时定时器，等待接收来自接入响应方B的认证应答报文，超时未收到时则中断流程，回到认证初始状态。5.根据权利要求1所述的一种网络节点可信认证实现方法，其特征在于，所述步骤S4具体为：S...

【专利技术属性】
技术研发人员：许智治，陈思蒲，
申请(专利权)人：四川更元科技有限公司，
类型：发明
国别省市：