一种级联网络的安全认证方法及装置与流程

文档序号:11930533阅读:217来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种级联网络的安全认证方法及装置与流程

本发明涉及网络安全技术领域,特别是涉及一种级联网络的安全认证方法及装置。



背景技术:

近些年来,网络技术突飞猛进地发展,从娱乐购物到工作学习,人们的生活几乎已经不能脱离网络。网络的普及应用也使得一些不法行为有机可乘,通过网络盗取钱财或窃取机密信息的事件时有发生,网络安全性问题日益突出。

现有网络一般是由多级网络级联而成,如图1所示,第一级网络的级别最高,第二级网络次之,网络级别按照层级顺序依次降低。其中,第一级网络包括一个服务器和一个交换机,其他级别的网络包括多个服务器和多个交换机,交换机与服务器一一对应。第二级网络中的交换机的级联端口与第一级网络中的交换机的级联端口相连,用于传输数据,如果第二级网络中包括多个交换机,每个交换机可以分别与第一级网络中的交换机相连,也可以是多个交换机串联后再与第一级网络中的交换机相连。第三级网络中的交换机与第二级网络中的交换机的连接方式与上述方式类似,第三级网络中的交换机可以通过与第二级网络中的交换机相连的级联端口向第二级网络中的交换机传输数据,进而,第二级网络中的交换机可以将该数据发送至第一级网络中的交换机。

对于现有级联网络的安全认证,主要基于IEEE 802.1X协议实现。首先通过服务器本地的TCM(Trusted Cryptography Module,可信密码模块)对本地服务器进行安全认证,TCM启动后开始对本地服务器进行BIOS(Basic Input Output System,基本输入输出系统)度量认证、应用程序白名单认证、数据完整性认证和配置合法性认证等,TCM对本地服务器认证通过后,向本地服务器反馈认证结果,本地服务器启动,并开始读取交换机的相关信息(包括BIOS度量、应用程序白名单、数据完整性和配置合法性等)进行认证。认证通过后,交换机启动,从而可以对接入的终端进行安全认证。终端发送认证信息至已通过安全认证的交换机,该交换机将该认证信息转发至本地服务器,本地服务器对该认证信息进行认证,认证通过后,反馈认证结果至终端,允许该终端接入网络。

上述对于现有级联网络的安全认证,只能完成本地安全认证,即只能对本地服务器覆盖范围内的网络进行安全认证,对于级联的各级别的网络之间没有进行安全认证,不能保证所连接的外部网络的安全性,使得整个级联网络的安全性不高。



技术实现要素:

本发明实施例公开了一种级联网络的安全认证方法及装置,用以提高级联网络的安全性。技术方案如下:

第一方面,本发明实施例提供了一种级联网络的安全认证方法,应用于所述级联网络中的可信根网络装备,所述可信根网络装备位于第一级网络中且通过级联端口与第二级网络中的可信网络装备连接,所述方法包括:

接收所述级联网络中,待认证可信网络装备发送的连接请求;

获得所述待认证可信网络装备的设备标识;

根据所述设备标识判断所述待认证可信网络装备是否满足预设的安全条件;

如果满足,打开所述待认证可信网络装备所请求的级联端口的数据传输功能,以使所述待认证可信网络装备通过所述级联端口传输数据。

可选的,所述打开所述待认证可信网络装备所请求的级联端口的数据传输功能的步骤,包括:

判断所述连接请求是否携带转发标记;

如果是,发送认证成功指令至转发可信网络装备,以使所述转发可信网络装备打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并转发所述认证成功指令至所述待认证可信网络装备,其中,所述转发可信网络装备为:接收所述连接请求并将其添加转发标记后转发至所述可信根网络装备的可信网络装备;

如果否,打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并发送认证成功指令至所述待认证可信网络装备。

可选的,所述连接请求中包括所述待认证可信网络装备的设备标识;

所述获得所述待认证可信网络装备的设备标识的步骤,包括:从所述连接请求中读取所述待认证可信网络装备的设备标识;

或,

根据接收所述连接请求的级联端口,向所述待认证可信网络装备发送认证请求,以使所述待认证可信网络装备反馈设备标识至所述可信根网络装备。

可选的,所述可信根网络装备包括:可信根服务器和可信根交换机;

在所述接收所述级联网络中,待认证可信网络装备发送的连接请求的步骤之前,所述方法还包括:

所述可信根交换机与其相连的可信根服务器进行本地安全认证;

所述本地安全认证通过后,执行所述接收所述级联网络中,待认证可信网络装备发送的连接请求的步骤。

第二方面,本发明实施例提供了一种级联网络的安全认证方法,应用于所述级联网络中的转发可信网络装备,所述转发可信网络装备为待认证可信网络装备通过级联端口直接接入的可信网络装备,所述方法包括:

接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对所述连接请求添加转发标记;

发送添加所述转发标记后的连接请求至所述级联网络中第一级网络的可信根网络装备,以使所述可信根网络装备获得所述待认证可信网络装备的设备标识,并根据所述待认证可信网络装备的设备标识,判断所述待认证可信网络装备是否满足预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备;

接收所述认证成功指令,并打开用于连接所述待认证可信网络装备的级联端口的数据传输功能;

发送所述认证成功指令至所述待认证可信网络装备,以使所述待认证可信网络装备通过所述级联端口向所述转发可信网络装备传输数据。

可选的,所述转发可信网络装备包括:转发可信服务器和转发可信交换机;

在所述接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求步骤之前,所述方法还包括:

所述转发可信交换机与其相连的转发可信服务器进行本地安全认证;

所述本地安全认证通过后,执行所述接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求的步骤。

第三方面,本发明实施例还提供了一种级联网络的安全认证装置,应用于所述级联网络中的可信根网络装备,所述可信根网络装置位于第一级网络中且通过级联端口与第二级网络中的可信网络装备连接,所述装置包括:

连接请求接收模块,用于接收所述级联网络中,待认证可信网络装备发送的连接请求;

设备标识获得模块,用于获得所述待认证可信网络装备的设备标识;

安全条件判断模块,用于根据所述设备标识判断所述待认证可信网络装备是否满足预设的安全条件;

数据传输功能开启模块,用于在所述待认证可信网络装备满足预设的安全条件时,打开所述待认证可信网络装备所请求的级联端口的数据传输功能,以使所述待认证可信网络装备通过所述级联端口传输数据。

可选的,所述数据传输功能开启模块包括:

转发标记判断单元,用于判断所述连接请求是否携带转发标记;

第一数据传输功能开启单元,用于在所述连接请求携带所述转发标记时,发送认证成功指令至转发可信网络装备,以使所述转发可信网络装备打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并转发所述认证成功指令至所述待认证可信网络装备,其中,所述转发可信网络装备为:接收所述连接请求并将其添加转发标记后转发至所述可信根网络装备的可信网络装备;

第二数据传输功能开启单元,用于在所述连接请求未携带所述转发标记时,打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并发送认证成功指令至所述待认证可信网络装备。

可选的,所述设备标识获得模块,用于

在所述连接请求中包括所述待认证可信网络装备的设备标识时,从所述连接请求中读取所述待认证可信网络装备的设备标识;

或,

根据接收所述连接请求的级联端口,向所述待认证可信网络装备发送认证请求,以使所述待认证可信网络装备反馈设备标识至所述可信根网络装备。

第四方面,本发明实施例提供了一种级联网络的安全认证装置,应用于所述级联网络中的转发可信网络装备,所述转发可信网络装备为待认证可信网络装备通过级联端口直接接入的可信网络装备,所述装置包括:

转发标记添加模块,用于接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对所述连接请求添加转发标记;

请求转发模块,用于发送添加所述转发标记后的连接请求至所述级联网络中第一级网络的可信根网络装备,以使所述可信根网络装备获得所述待认证可信网络装备的设备标识,并根据所述待认证可信网络装备的设备标识判断所述待认证可信网络装备是否满足所述预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备;

指令接收模块,用于接收所述认证成功指令,并打开用于连接所述待认证可信网络装备的级联端口的数据传输功能;

指令转发模块,用于发送所述认证成功指令至所述待认证可信网络装备,以使所述待认证可信网络装备通过所述级联端口向所述转发可信网络装备传输数据。

本方案中,级联网络中的第一级网络的可信根网络装备首先接收级联网络中,待认证可信网络装备发送的连接请求,获得待认证可信网络装备的设备标识,然后根据设备标识判断待认证可信网络装备是否满足预设的安全条件,如果满足,打开待认证可信网络装备所请求的级联端口的数据传输功能,以使待认证可信网络装备通过级联端口传输数据。由于级联网络中的各级网络的可信网络装备在传输数据前,需要通过第一级网络的可信根网络装备进行安全认证,大大提高了级联网络的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为级联网络的一种结构示意图;

图2为本发明实施例所提供的第一种级联网络的安全认证方法的流程图;

图3为应用本发明实施例所提供的级联网络的安全认证方法的示意图;

图4为图2所示实施例中步骤203的具体流程图;

图5为级联网络的另一种结构示意图;

图6为本发明实施例所提供的第二种级联网络的安全认证方法的流程图;

图7为待认证可信网络装备发送连接请求进行安全认证过程的流程图;

图8为本发明实施例所提供的第一种级联网络的安全认证装置的结构示意图;

图9为本发明实施例所提供的第二种级联网络的安全认证装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

为了提高级联网络的安全性,本发明实施例提供了一种级联网络的安全认证方法及装置。

下面对本发明实施例所提供的第一种级联网络的安全认证方法进行介绍。

如图2所示,一种级联网络的安全认证方法,应用于所述级联网络中的可信根网络装备,所述方法包括以下步骤:

S201,接收所述级联网络中,待认证可信网络装备发送的连接请求;

可以理解的是,级联网络中的第一级网络是级别最高的网络,为了保证整个网络的安全性,可以通过第一级网络的可信根网络装备对所有可信网络装备进行安全认证。其中,该可信根网络装备为位于第一级网络中且通过级联端口与第二级网络中的可信网络装备相连接的可信网络装备。

待认证可信网络装备可以位于级联网络中的任一级网络中,可以与可信根网络装备直接相连,也可以间接相连。当待认证可信网络装备需要连接网络时,可以发送连接请求至可信根网络装备,进而,可信根网络装备便可以接收到该连接请求。需要说明的是,上述待认证可信网络装备仅仅用于指代发出连接请求的可信网络装备,并不具有任何其他的限定意义。

待认证可信网络装备的连接请求,用于请求待认证可信网络装备通过级联端口直接接入的可信网络装备,打开其上与待认证可信网络装备连接的级联端口的数据传输功能。如果待认证可信网络装备直接接入的可信网络装备不是可信根网络装备,则需要待认证可信网络装备直接接入的可信网络装备将连接请求转发至可信根网络装备,根据实际情况有可能经过多个可信网络装备的转发,也可能经过一个可信网络装备的转发。如果待认证可信网络装备通过级联端口直接接入的可信网络装备不是可信根网络装备,在下文中将待认证可信网络装备通过级联端口直接接入的可信网络装备称之为转发可信网络装备。

举例而言,如图3所示,由于第二级网络中的可信网络装备21通过本身的级联端口2与第一级网络中的可信根网络装备11的级联端口1相连,所以可信网络装备21向可信根网络装备11发出连接请求,用于请求打开位于可信根网络装备11上的级联端口1的数据传输功能,从而使可信网络装备21接入网络。此时,可信网络装备21即为待认证可信网络装备。那么,可信根网络装备11便可以接收到可信网络装备21发送的连接请求,并进行下一步操作。

如图3所示,可信网络装备22作为待认证可信网络装备发出连接请求,用于请求可信网络装备21打开:可信网络装备21上连接可信网络装备22的级联端口3的数据传输功能,可信网络装备21为可信网络装备22通过级联端口3直接接入的可信网络装备;可信网络装备31作为待认证可信网络装备发出连接请求,用于请求可信网络装备21打开:可信网络装备21上连接可信网络装备31的级联端口5的数据传输功能,可信网络装备21为可信网络装备31通过级联端口5直接接入的可信网络装备;可信网络装备33作为待认证可信网络装备发出连接请求,用于请求可信网络装备22打开:可信网络装备22上连接可信网络装备33的级联端口6的数据传输功能,可信网络装备22为可信网络装备33通过级联端口6直接接入的可信网络装备。

S202,获得所述待认证可信网络装备的设备标识;

在一种实施方式中,上述待认证可信网络装备发送上述连接请求时,可以将待认证可信网络装备的设备标识包括在连接请求中,发送至可信根网络装备,那么,可信根网络装备接收到上述待认证可信网络装备发送的连接请求后,便可以从该连接请求中读取待认证可信网络装备的设备标识。

在另一种实施方式中,可信根网络装备接收到待认证可信网络装备发送的连接请求后,可以根据接收该连接请求的级联端口,向待认证可信网络装备发送认证请求,以使待认证可信网络装备反馈设备标识至可信根网络装备。也就是说,可信根网络装备可以通过接收到该连机请求的级联端口,向待认证可信网络装备发送认证请求,待认证可信网络装备接收到该认证请求后,便可以将本身的设备标识发送至可信根网络装备。

可以理解的是,由于各可信网络装备之间,连接所用的级联端口是固定的,且一个级联端口只能用于连接一个可信网络装备,也就是说,级联端口与可信网络装备是一一对应的,不会出现一个级联端口连接多个可信网络装备的情况。那么,可信根网络装备与待认证可信网络装备相连的级联端口是固定的,所以可信根网络装备接收到待认证可信网络装备发送的连接请求后,便可以获知接收该连接请求的级联端口是哪一个级联端口,进而,便可以通过该级联端口向待认证可信网络装备发送认证请求。

S203,根据所述设备标识判断所述待认证可信网络装备是否满足预设的安全条件,如果满足,执行步骤S204;

可信根网络装备获得上诉待认证可信网络装备的设备标识后,可以根据该设备标识判断待认证可信网络装备是否满足预设的安全条件,以确定待认证可信网络装备是否可以接入网络以传输数据。

例如,该预设的安全条件可以是预设设置的设备标识与安全性的对应关系,这样,可信根网络装备便可以根据待认证可信网络装备的设备标识判断待认证可信网络装备的安全性,当然,也可以采用其它方式判断待认证可信网络装备是否满足预设的安全条件,为了布局清楚和方案清晰,后续将对根据设备标识判断待认证可信网络装备是否满足预设的安全条件具体实现方式进行举例介绍。

S204,打开所述待认证可信网络装备所请求的级联端口的数据传输功能,以使所述待认证可信网络装备通过所述级联端口传输数据。

当判断出上述待认证可信网络装备满足预设的安全条件时,说明该待认证可信网络装备可以安全接入网络,此时可信根网络装备便可以打开该待认证可信网络装备所请求的级联端口的数据传输功能,以使该待认证可信网络装备通过该级联端口传输数据。

作为本发明实施例的一种实施方式,打开待认证可信网络装备所请求的级联端口的数据传输功能的方式可以包括:

判断所述连接请求是否携带转发标记;如果是,发送认证成功指令至转发可信网络装备,以使所述转发可信网络装备打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并转发所述认证成功指令至所述待认证可信网络装备;如果否,打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并发送认证成功指令至所述待认证可信网络装备。

其中,上述转发可信网络装备为:接收所述连接请求并将其添加转发标记后转发至所述可信根网络装备的可信网络装备。本发明实施例所述的转发可信网络装备为与待认证可信网络装备直接相连的可信网络装备,转发可信网络装备可能与待认证可信网络装备位于同一级网络,也可能位于不同级的网络。

由于上述连接请求可能是由待认证可信网络装备发出,经过转发可信网络装备转发至可信根网络装备的(该待认证可信网络装备可能位于该转发可信网络装备的同一级或下一级网络),所以可信根网络装备在接收到该连接请求后,可以判断连接请求是否携带转发标记,如果是,那么说明该连接请求是由转发可信网络装备添加转发标记后转发至可信根网络装备的,并不是转发可信网络装备直接发出的,那么,可信根网络装备此时便可以发送认证成功指令至转发可信网络装备,转发可信网络装备接收到该认证成功指令后,打开用于连接待认证可信网络装备的级联端口的数据传输功能,并转发认证成功指令至待认证可信网络装备,以使待认证可信网络装备向转发可信网络装备传输数据。

如果可信根网络装备判断出上述连接请求未携带转发标记,那么说明该连接请求是由二级网络中的待认证可信网络装备直接发送的,此时可信根网络装备便可以打开用于连接该待认证可信网络装备的级联端口的数据传输功能,并发送认证成功指令至该待认证可信网络装备,该待认证可信网络装备就可以向可信根网络装备发送数据了。

需要说明的是,在进行安全认证前,各可信网络装备的级联端口的数据传输功能是关闭的,也就是说,级联端口只允许协议报文、认证请求之类的非业务数据通过,而不允许业务数据通过,以保证整个网络的安全性。对于关闭及打开级联端口的数据传输功能的方式,可以采用现有任意方式实现,例如可以采用寄存器来实现,在此不做具体限定。

举例而言,如图3所示,如果可信根网络装备11判断出可信网络装备21发送的连接请求中携带转发标记,那么说明可信网络装备21发送的连接请求是由可信网络装备21转发的,也就是说可信网络装备21为一个转发可信网络装备,那么,可信根网络装备11便发送认证成功指令至可信网络装备21,但是并不会打开级联端口1的数据传输功能,可信网络装备21接收到该认证成功指令后,如果连接请求为可信根网络装备22,可信网络装备21便可以打开连接可信网络装备21的级联端口3;如果连接请求为可信根网络装备32,可信网络装备21便可以打开连接可信网络装备32的级联端口4。

如果可信根网络装备11判断出接收的可信网络装备21发送的连接请求中未携带转发标记,那么说明连接请求是由可信网络装备21发送的,也就是说可信网络装备21为一个待认证可信网络装备,那么,可信根网络装备11便发送认证成功指令至可信网络装备21,并打开级联端口1的数据传输功能。

可见,本发明实施例所提供的方案中,级联网络中的第一级网络的可信根网络装备首先接收级联网络中,待认证可信网络装备发送的连接请求,获得待认证可信网络装备的设备标识,然后根据设备标识判断待认证可信网络装备是否满足预设的安全条件,如果满足,打开待认证可信网络装备所请求的级联端口的数据传输功能,以使待认证可信网络装备通过级联端口传输数据。由于级联网络中的各级网络的可信网络装备在传输数据前,需要通过第一级网络的可信根网络装备进行安全认证,大大提高了级联网络的安全性。

作为本发明实施例的一种实施方式,如图4所示,根据设备标识判断待认证可信网络装备是否满足预设的安全条件的方式可以包括以下步骤:

S401,从预先存储的信息表中,查找所述设备标识对应的密码信息;

可信根网络装备可以在本地保存一个信息表,并在该信息表中记录设备标识与密码信息的一一对应关系,其中,设备标识可以为设备ID、MAC地址等标识信息,在此不做具体限定,只要可以唯一标识可信网络装备即可。密码信息可以为与设备标识对应的可信网络装备的接入密码等信息。

这样,在可信根网络装备获得待认证可信网络装备的设备标识后,便可以从该信息表中,查找到与该设备标识对应的密码信息。

S402,生成加密字,并利用所述加密字对所述密码信息进行加密处理,得到第一加密信息;

为了保证待认证可信网络装备接入网络的安全性,可信根网络装备可以随机生成一个加密字,并利用该加密字对查找到的密码信息进行加密处理,得到第一加密信息。可以理解的是,该加密字一般是一串用于加密运算的字符。

S403,将所述加密字发送至所述待认证可信网络装备,以使所述待认证可信网络装备利用所述加密字对所述设备标识对应的密码信息进行加密处理,得到第二加密信息,并将所述第二加密信息发送至所述可信根网络装备;

在生成加密字后,可信根网络装备可以将该加密字发送至待认证可信网络装备。待认证可信网络装备接收到该加密字后便可以利用该加密字对本身的设备标识对应的密码信息进行加密处理,得到第二加密信息,进而,将该第二加密信息发送至可信根网络装备。

S404,接收所述第二加密信息,并判断所述第二加密信息是否与所述第一加密信息相同,如果相同,执行步骤S405,否则,执行步骤S406;

可信根网络装备接收到该第二加密信息后,为了确定待认证可信网络装备是否满足安全条件,可以判断本身生成的第一加密信息与第二加密信息是否相同。

S405,确定所述待认证可信网络装备满足所述预设的安全条件;

如果可信根网络装备判断出第一加密信息与第二加密信息相同,那么便说明待认证可信网络装备满足预设的安全条件,可以安全接入网络并传输数据。

S406,确定所述待认证可信网络装备不满足所述预设的安全条件。

如果可信根网络装备判断出第一加密信息与第二加密信息不同,那么便说明待认证可信网络装备不满足预设的安全条件,不能安全接入网络。

作为本发明实施例的一种实施方式,如图5所示,所述可信根网络装备可以包括:可信根服务器111和可信根交换机112;

在接收所述级联网络中,待认证可信网络装备发送的连接请求的步骤之前,所述方法还可以包括:

所述可信根交换机112与其相连的可信根服务器111进行本地安全认证;所述本地安全认证通过后,执行所述接收所述级联网络中,待认证可信网络装备发送的连接请求的步骤。

为了保证网络整体的安全性,在可信根网络装备接收待认证可信网络装备发送的连接请求前,可以先进行本地安全认证,在确保本地网络安全的情况下,接收连接请求。也就是说,可信根交换机112可以与其相连的可信根服务器111进行本地安全认证,当本地安全认证通过后,再进行接收所述级联网络中,待认证可信网络装备发送的连接请求的步骤。例如,图5中的可信根交换机112可以与其相连的可信根服务器111进行本地安全认证。

需要说明的,上述可信根服务器可以是已通过TCM完成安全认证的服务器,这样,可以进一步提高整个网络的安全性。进一步需要说明的是,上述可信根交换机与其相连的可信根服务器进行本地安全认证的方式以及可信根服务器通过TCM完成安全认证的方式均可以采用现有方式进行,本领域技术人员可以根据实际网络协议等因素确定,在此不做具体限定及说明。

可以理解的是,上述级联网络中的所有可信网络装备都可以包括可信服务器及可信交换机。为了保证整个级联网络的安全性,所有可信网络装备在发送连接请求或接收连接请求前,均可以进行本地安全认证。

需要说明的是,在级联网络的第一级网络中,可以包括一个或多个可信网络装备(如图3中所示的可信网络装备12),其中一个为可信根网络装备,其它可信网络装备之间可以通过级联端口串联至可信根网络装置,这些可信网络装备需要连入网络时,同样需要经过可信根网络装备的安全认证,具体安全认证方式与上述安全认证方式相同,在此不再赘述。

作为本发明实施例的一种实施方式,为了避免在上述可信根网络装备发生故障时无法进行安全认证的问题发生,可以在级联网络的第一级网络中设置备用可信根网络装备,当可信根网络装备发生故障无法运行时,便可以启动该备用可信根网络装备继续进行安全认证。可以理解的是,该备用可信根网络装备的配置与可信根网络装备的配置是完全相同的。一般情况下,为了保证当可信根网络装备发生故障时可以快速安全地启动该备用可信根网络装备,该备用可信根网络装备可以预先进行本地安全认证。

本发明实施例还提供了另一种级联网络的安全认证方法。下面对本发明实施例所提供的第二种级联网络的安全认证方法进行介绍。

如图6所示,一种级联网络的安全认证方法,应用于所述级联网络中的转发可信网络装备,所述转发可信网络装备为待认证可信网络装备直接接入的可信网络装备,可信根网络装备不属于转发可信网络装备。如图3所示,可信网络装备22直接接入可信网络装备21的级联端口3,可信网络装备21为可信网络装备22直接接入的可信网络装备;可信网络装备31直接接入可信网络装备21的级联端口5,可信网络装备21为可信网络装备31直接接入的可信网络装备;信网络装备33直接接入可信网络装备22的级联端口6,可信网络装备22为可信网络装备33直接接入的可信网络装备。可信网络装备21直接接入可信根网络装备11的级联端口1,可信根网络装备11为可信网络装备21直接接入的可信网络装备,但可信根网络装备不属于转发可信网络装备。所述方法包括以下步骤:

S601,接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对所述连接请求添加转发标记;

可以理解的是,此时转发可信网络装备作为一个转发可信网络装备来转发待认证可信网络装备发送的连接请求。其中,待认证可信网络装备可以为位于转发可信网络装备同一级网络或下一级网络的可信网络装备。举例而言,如图3所示,可信网络装备21可以接收与其处于同一级网络的可信网络装备22,或者其下一级网络中的可信网络装备31、32等可信网络装备发送的连接请求。

转发可信网络装备在接收到待认证可信网络装备发送的连接请求后,由于该连接请求并不是转发可信网络装备直接发出的,转发可信网络装备可以对该连接请添加转发标记,以便可信根网络装备在接收到该连接请求后,可以确定出该连接请求是否为转发可信网络装备直接发出的。除待认证可信网络装备通过级联端口直接接入的可信网络装备即转发可信网络装备之外,其它接收到连接请求的可信网络装备只做简单的转发,不需要添加转发标记。

其中,该转发标记可以为现有的转发标识信息,只要可以标识该连接请求是经过转发的即可,在此不做具体限定。

S602,发送添加所述转发标记后的连接请求至所述可信根网络装备,以使所述可信根网络装备获得所述待认证可信网络装备的设备标识,并根据所述待认证可信网络装备的设备标识判断所述待认证可信网络装备是否满足所述预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备;

转发可信网络装备对该连接请添加转发标记后,便可以将该添加转发标记后的连接请求发送至可信根网络装备,进而,可信根网络装备便可以获得待认证可信网络装备的设备标识,并根据待认证可信网络装备的设备标识判断待认证可信网络装备是否满足所述预设的安全条件,如果满足,发送认证成功指令至转发可信网络装备。

对于可信根网络装备获得待认证可信网络装备的设备标识的方式,根据待认证可信网络装备的设备标识判断待认证可信网络装备是否满足预设的安全条件的方式以及打开待认证可信网络装备所请求的级联端口的数据传输功能的方式,均在上述第一种级联网络的安全认证方法中进行了介绍,相关之处可以参见上述第一种级联网络的安全认证方法中相应部分的说明,在此不再赘述。

需要说明的是,对于上述连接请求中不包括待认证可信网络装备的设备标识的情况,可信根网络装备接收到转发可信网络装备发送的连接请求后,可以根据接收该连接请求的级联端口,向转发可信网络装备发送认证请求。转发可信网络装备便可以根据接收该连接请求的级联端口,将该认证请求转发至待认证可信网络装备,进而,待认证可信网络装备便可以将设备标识发送至转发可信网络装备,转发可信网络装备将该设备标识转发至可信根网络装备。

S603,接收所述认证成功指令,并打开用于连接所述待认证可信网络装备的级联端口的数据传输功能;

转发可信网络装备接收到认证成功指令后,说明待认证可信网络装备已经通过安全认证,那么,此时转发可信网络装备便可以打开用于连接待认证可信网络装备的级联端口的数据传输功能。

如图3所示,如果上述连接请求是可信网络装备22发送的,那么可信网络装备21作为转发可信网络装备,便可以打开级联端口3的数据传输功能。如果上述连接请求是可信网络装备31发送的,那么可信网络装备21作为转发可信网络装备,便可以打开与可信网络装备31相连的级联端口5的数据传输功能。相似的,如果上述连接请求是可信网络装备33发送的,那么可信网络装备22作为转发可信网络装备,便可以打开与可信网络装备33连接的级联端口6的数据传输功能。

可以理解的是,如果与待认证可信网络装备连接的可信网络装置即转发可信网络装置,不与可信根网络装备直接相连的情况下,与转发可信网络装备与可信根网络设备直接相连的情况下,转发可信网络装置打开级联端口的方式相同,在此不再赘述。

可以理解的是,如果待认证可信网络装备位于第四级或更低级别的网络中,那么也需要有两个或更多可信网络装备来转发该待认证可信网络装备发出的连接请求,具体转发方式与上述转发方式相同,在此不再赘述。

如图6所示,步骤S604,发送所述认证成功指令至所述待认证可信网络装备,以使所述待认证可信网络装备通过所述级联端口向所述转发可信网络装备传输数据。

转发可信网络装备接收到上述认证成功指令后便可以将该认证成功指令转发至待认证可信网络装备,进而,待认证可信网络装备便可以通过上述数据传输功能已打开的级联端口向转发可信网络装备传输数据。

可见,本发明实施例所提供的方案中,级联网络中的转发可信网络装备接收所述级联网络中,位于转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对连接请求添加转发标记后,发送添加转发标记后的连接请求至可信根网络装备,以使可信根网络装备根据待认证可信网络装备的设备标识,判断待认证可信网络装备是否满足预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备,转发可信网络装备接收认证成功指令,并打开用于连接待认证可信网络装备的级联端口的数据传输功能,发送认证成功指令至待认证可信网络装备,以使待认证可信网络装备通过级联端口向转发可信网络装备传输数据。由于待认证可信网络装备接入网络时需要与可信根网络装备进行安全认证,认证通过后,才能通过级联端口传输数据,大大提高了整个级联网络的安全性。

作为本发明实施例的一种实施方式,如图5所示,所述转发可信网络装备可以包括:转发可信服务器和转发可信交换机;

在接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求之前,所述方法还可以包括:

所述转发可信交换机与其相连的转发可信服务器进行本地安全认证;所述本地安全认证通过后,执行所述接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求的步骤。

为了保证网络整体的安全性,在转发可信网络装备接收级联网络中,位于转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求前,可以先进行本地安全认证,在确保本地网络安全的情况下,接收连接请求。也就是说,转发可信交换机可以与其相连的转发可信服务器进行本地安全认证,当本地安全认证通过后,再接收级联网络中,位于转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求。例如,图5中的可信交换机212可以与其相连的可信服务器211进行本地安全认证。

其中,上述转发可信服务器仅仅用于指代转发可信网络装备中的可信服务器,转发可信交换机仅仅用于指代转发可信网络装备中的可信交换机,并不具有任何其他限定含义。

需要说明的,上述转发可信服务器可以是已通过TCM完成安全认证的服务器,这样,可以进一步提高整个网络的安全性。进一步需要说明的是,上述转发可信交换机与其相连的转发可信服务器进行本地安全认证的方式以及转发可信服务器通过TCM完成安全认证的方式均可以采用现有方式进行,本领域技术人员可以根据实际网络协议等因素确定,在此不做具体限定及说明。

进一步需要说明的是,对于上述两种级联网络的安全认证方法,在客户端接入可信交换机时,可信交换机也可以对该客户端进行安全认证,具体实现方式可以采用现有任意方式,在此不做具体限定。网络运行过程中,TCM可以实时监测本地可信服务器是否安全运行,也就是说,TCM可以监测本地可信服务器是否运行不安全程序等,如果是,则可以关闭本地可信服务器,以保证整个网络的安全性。同理的,可信服务器也可以实时监测本地可信交换机是否安全运行,可信交换机则可以实时监测客户端是否安全运行,当发现安全威胁时,则关闭相应的可信交换机或客户端。

当待认证可信网络装备与所述级联网络中的第一级网络的可信根网络装备直接相连时,如图7所示,该待认证可信网络装备所进行的安全认证方法可以包括以下步骤:

S701,发送连接请求至所述级联网络中,位于第一级网络的可信根网络装备,以使所述可信根网络装备获得待认证可信网络装备的设备标识,并根据所述待认证可信网络装备的设备标识判断所述待认证可信网络装备是否满足预设的安全条件,如果满足,打开所述待认证可信网络装备所请求的级联端口的数据传输功能;

当级联网络中的待认证可信网络装备需要接入网络传输数据时,可以发送连接请求至级联网络中,位于第一级网络的可信根网络装备。如图3所示,当位于第二级网络的可信网络装备21接入网络时,可以向第一级网络的可信根网络装备11发送连接请求。

当可信根网络装备接收到该连接请求时,便可以获得待认证可信网络装备的设备标识,并根据待认证可信网络装备的设备标识判断待认证可信网络装备是否满足预设的安全条件,如果满足,打开待认证可信网络装备所请求的级联端口的数据传输功能。

对于可信根网络装备获得待认证可信网络装备的设备标识的方式,根据待认证可信网络装备的设备标识判断待认证可信网络装备是否满足预设的安全条件的方式以及打开待认证可信网络装备所请求的级联端口的数据传输功能的方式,均在上述第一种级联网络的安全认证方法中进行了介绍,相关之处可以参见上述第一种级联网络的安全认证方法中相应部分的说明,在此不再赘述。

S702,通过所述级联端口传输数据。

当可信根网络装备打开待认证可信网络装备所请求的级联端口的数据传输功能后,待认证可信网络装备便可以通过该级联端口传输数据。

相应于上述第一种方法实施例,本发明实施例还提供了一种级联网络的安全认证装置,下面对本发明实施例所提供的第一种级联网络的安全认证装置进行介绍。

如图8所示,一种级联网络的安全认证装置,其特征在于,应用于所述级联网络中的可信根网络装备,所述可信根网络装置位于第一级网络中且通过级联端口与第二级网络中的可信网络装备连接,所述装置包括:

连接请求接收模块810,用于接收所述级联网络中,待认证可信网络装备发送的连接请求;

设备标识获得模块820,用于获得所述待认证可信网络装备的设备标识;

安全条件判断模块830,用于根据所述设备标识判断所述待认证可信网络装备是否满足预设的安全条件;

数据传输功能开启模块840,用于在所述待认证可信网络装备满足预设的安全条件时,打开所述待认证可信网络装备所请求的级联端口的数据传输功能,以使所述待认证可信网络装备通过所述级联端口传输数据。

可见,本发明实施例所提供的方案中,级联网络中的第一级网络的可信根网络装备首先接收级联网络中,待认证可信网络装备发送的连接请求,获得待认证可信网络装备的设备标识,然后根据设备标识判断待认证可信网络装备是否满足预设的安全条件,如果满足,打开待认证可信网络装备所请求的级联端口的数据传输功能,以使待认证可信网络装备通过级联端口传输数据。由于级联网络中的各级网络的可信网络装备在传输数据前,需要通过第一级网络的可信根网络装备进行安全认证,大大提高了级联网络的安全性。

作为本发明实施例的一种实施方式,所述数据传输功能开启模块840可以包括:

转发标记判断单元(图8中未示出),用于判断所述连接请求是否携带转发标记;

第一数据传输功能开启单元(图8中未示出),用于在所述连接请求携带所述转发标记时,发送认证成功指令至转发可信网络装备,以使所述转发可信网络装备打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并转发所述认证成功指令至所述待认证可信网络装备,其中,所述转发可信网络装备为:接收所述连接请求并将其添加转发标记后转发至所述可信根网络装备的可信网络装备;

第二数据传输功能开启单元(图8中未示出),用于在所述连接请求未携带所述转发标记时,打开用于连接所述待认证可信网络装备的级联端口的数据传输功能,并发送认证成功指令至所述待认证可信网络装备。

作为本发明实施例的一种实施方式,所述设备标识获得模块820,可以用于:

在所述连接请求中包括所述待认证可信网络装备的设备标识时,从所述连接请求中读取所述待认证可信网络装备的设备标识;

或,

根据接收所述连接请求的级联端口,向所述待认证可信网络装备发送认证请求,以使所述待认证可信网络装备反馈设备标识至所述可信根网络装备。

相应于上述第二种方法实施例,本发明实施例还提供了另一种级联网络的安全认证装置,下面对本发明实施例所提供的第二种级联网络的安全认证装置进行介绍。

如图9所示,一种级联网络的安全认证装置,其特征在于,应用于应用于所述级联网络中的转发可信网络装备,所述转发可信网络装备为待认证可信网络装备通过级联端口直接接入的可信网络装备,所述装置包括:

转发标记添加模块910,用于接收所述级联网络中,位于所述转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对所述连接请求添加转发标记;

请求转发模块920,用于发送添加所述转发标记后的连接请求至所述级联网络中第一级网络的可信根网络装备,以使所述可信根网络装备获得所述待认证可信网络装备的设备标识,并根据所述待认证可信网络装备的设备标识判断所述待认证可信网络装备是否满足所述预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备;

指令接收模块930,用于接收所述认证成功指令,并打开用于连接所述待认证可信网络装备的级联端口的数据传输功能;

指令转发模块940,用于发送所述认证成功指令至所述待认证可信网络装备,以使所述待认证可信网络装备通过所述级联端口向所述转发可信网络装备传输数据。

可见,本发明实施例所提供的方案中,级联网络中的转发可信网络装备接收所述级联网络中,位于转发可信网络装备同一级网络或下一级网络的待认证可信网络装备发送的连接请求,并对连接请求添加转发标记后,发送添加转发标记后的连接请求至可信根网络装备,以使可信根网络装备根据待认证可信网络装备的设备标识,判断待认证可信网络装备是否满足预设的安全条件,如果满足,发送认证成功指令至所述转发可信网络装备,转发可信网络装备接收认证成功指令,并打开用于连接待认证可信网络装备的级联端口的数据传输功能,发送认证成功指令至待认证可信网络装备,以使待认证可信网络装备通过级联端口向转发可信网络装备传输数据。由于待认证可信网络装备接入网络时需要与可信根网络装备进行安全认证,认证通过后,才能通过级联端口传输数据,大大提高了整个级联网络的安全性。

需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:胡志文
  • 技术所有人:北京东土军悦科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
网络级联相关技术
级联神经网络相关技术
级联卷积神经网络相关技术
级联结构多层神经网络相关技术
网络设备安全认证相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2