【技术实现步骤摘要】
一种局域网交换设备接入认证与可信组网的方法
[0001]本专利技术属于网络连接控制
,尤其涉及一种局域网交换设备接入认证与可信组网的方法。
技术介绍
[0002]局域网交换设备作为重要的网络设备,是组建局域网的核心设备,在整个网络中的重要性不言而喻。如何实现安全组网成为涉及敏感信息传输的单位或组织亟待解决的问题。接入认证技术通过在客户端利用访问控制技术证明用户的合法性的方式保障网络安全,该技术在网络安全接入中起着重要作用。但是关于交换设备间组网基本没有认证协议,设备间默认相互信任,导致很容易被攻击或监控。
[0003]IEEE 802工作组定义的802.1x协议是一种基于端口的访问控制协议,能够限制未经授权的用户通过端口接入到局域网内部。近年来,国内外许多研究机构主要集中在基于认证服务器的客户端身份认证的分析和改造上提升整个网络通信安全。其主要手段都需要通过认证服务器对接入网络的用户和设备进行身份认证,只有身份合法的客户端才能访问网络资源,许多成果已应用于各类涉密网络系统。
[0004]通过对公开文献和...
【技术保护点】
【技术特征摘要】
1.一种局域网交换设备接入认证与可信组网的方法,其特征在于,所述方法通过在所述局域网内的每个交换设备上集成安全可信卡来实现各个交换设备之间的接入认证,从而获取所述局域网内的可信组网;所述方法具体包括:步骤S1、在所述每个交换设备的主板上配置所述安全可信卡,各个安全可信卡具有统一配置的内置可信根;步骤S2、所述各个交换设备基于所述安全可信卡的内置可信根获取由证书签发中心统一下发的具有唯一标识的身份证书;步骤S3、所述各个交换设备基于各自的身份证书并经由各自的安全可信卡来完成接入认证,以实现所述局域网内的可信组网;其中,在所述步骤S1中:所述安全可信卡以插拔的方式与所述交换设备的主板连接,连接端口为位于所述主板上的Mini
‑
PCI
‑
E端口,所述安全可信卡的软件模块由驱动程序TDD和经封装的标准库TDDL组成,所述软件模块与所述交换设备的操作系统中的网络协议栈进行通信,同时提供内核接口与上层应用进行交互;其中,在所述步骤S2中:确定与所述安全可信卡对应的交换设备后,向所述安全可信卡的安全可信根中注入所述对应的交换设备的用户文件,使得所述证书签发中心根据所述安全可信根中经统一配置的信息资源和所述对应的交换设备的用户文件来生成所述交换设备的所述具有唯一标识的身份证书。2.根据权利要求1所述的一种局域网交换设备接入认证与可信组网的方法,其特征在于,在所述步骤S3中,对于处于接入认证过程中的交换设备双方,各自的用于执行所述接入认证的端口仅收发与所述接入认证相关的报文,其他业务类型的报文无法通过该端口进行转发。3.根据权利要求2所述的一种局域网交换设备接入认证与可信组网的方法,其特征在于,在所述步骤S3中,所述接入认证的协议采用OVER
‑
LAN的承载模式,所述接入认证过程中的报文均采用基于所述协议的报文格式;其中,基于所述协议的报文由以太网头部和数据包载荷组成;所述以太网头部包括接收方MAC地址、发送方MAC地址以及协议以太网类型信息;所述数据包载荷包括协议版本号、以太网消息类型信息、所述数据包载荷的消息长度信息以及消息净荷信息。4.根据权利要求3所述的一种局域网交换设备接入认证与可信组网的方法,其特征在于,在所述步骤S3中,所述交换设备双方进行接入认证包括认证发起、认证协商和认证保活;其中,在认证发起阶段确定第一交换设备方和第二交换设备方,具体包括:对于所述交换设备双方的每一方:定时向对方发送探测报文,所述发送探测报文的所述消息净荷中包含用于校验的杂凑值和发送方交换设备类型值;在接收到来自对方的所述发送探测报文,从接收到的探测报文中提取出所述杂凑值以完成杂凑值校验;根据所述接收到的探测报文中的交换设备类型值和发送方MAC地址,...
【专利技术属性】
技术研发人员:杨林,王星慧,马琳茹,李鉴,王强,谢卫,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。