專利名稱:一種端口認(rèn)證安全策略實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信領(lǐng)域,更具體地說�,涉及到通信設(shè)備端口安全策略的實(shí)現(xiàn)方法��。
背景技術(shù):
在傳統(tǒng)的局域網(wǎng)環(huán)境中�����,只要有物理的連接端口,未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接 入局域網(wǎng)����,或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)��。這樣給網(wǎng)絡(luò)安 全造成了潛在的隱患�����。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)中的不足����,提供一種私有協(xié)議即一種適用于工業(yè)以 太網(wǎng)絡(luò),具有端口認(rèn)證的安全策略協(xié)議DT-PSEC����。本發(fā)明的技術(shù)方案是客戶端設(shè)備和服務(wù)器端設(shè)備認(rèn)證過程中�,使用添加隨機(jī)值 的方法,使每一次隨機(jī)值不一致����,從而通過單向加密的數(shù)據(jù)也不一致�,認(rèn)證通過后發(fā)送業(yè)務(wù) 報(bào)文;采用重認(rèn)證機(jī)制�����,服務(wù)器端設(shè)備不斷輪循被認(rèn)證端口狀態(tài)���,特定次數(shù)收不到回復(fù)報(bào) 文,拒絕業(yè)務(wù)報(bào)文通過���,此時(shí)客戶端設(shè)備需要重新認(rèn)證����。認(rèn)證過程具體實(shí)現(xiàn)方法如下Al��、由客戶端設(shè)備發(fā)送Request報(bào)文�����,報(bào)文攜帶用戶名信息�����;A2���、服務(wù)器端設(shè)備接收到客戶端設(shè)備發(fā)送來的請(qǐng)求�,向客戶端設(shè)備發(fā)送Challenge 報(bào)文�����,報(bào)文攜帶隨機(jī)數(shù)�,長(zhǎng)度為64Bytes ;A3���、客戶端設(shè)備用接收到的隨機(jī)數(shù)和本地用戶密碼進(jìn)行加密���,生成密文,發(fā)送 ChallengeResponse報(bào)文給服務(wù)器端設(shè)備�;A4、服務(wù)器端設(shè)備接收到Challenge Response報(bào)文�,校驗(yàn)接收到的密文是否和本 地生成的密文一致,若一致��,證明認(rèn)證通過�,允許業(yè)務(wù)報(bào)文通過,否則拒絕。重認(rèn)證具體實(shí)現(xiàn)方法如下A5����、服務(wù)器端設(shè)備定期向客戶端設(shè)備發(fā)送Challenge Hello報(bào)文,報(bào)文中攜帶隨機(jī) 數(shù)�����,長(zhǎng)度為64Bytes ���;A6、客戶端設(shè)備用接收到的隨機(jī)數(shù)和本地用戶密碼進(jìn)行加密��,生成密文�����,發(fā)送 Challenge HelloResponse報(bào)文給服務(wù)器端設(shè)備���;A7�、服務(wù)器端設(shè)備校驗(yàn)接收到的密文��,是否和本地生成的密文一致�,若一致,允許 業(yè)務(wù)報(bào)文通過���,否則拒絕����;A8、服務(wù)器端設(shè)備若特定次數(shù)收不到Challenge Hello Response報(bào)文�,拒絕業(yè)務(wù) 報(bào)文通過,此時(shí)客戶端設(shè)備需要重新認(rèn)證�����。用戶需要在服務(wù)器端全局使能DT-PSEC協(xié)議����,再使能相應(yīng)端口以支持DT-PSEC協(xié) 議,添加包括用戶名和密碼的表項(xiàng)��,密碼保存使用RC4加密�����,使密碼保存更安全���;在客戶端 全局使能DT-PSEC協(xié)議����,再使能相應(yīng)端口以支持DT-PSEC協(xié)議,輸入用戶名和密碼以及相應(yīng) 端口號(hào)��,完成認(rèn)證����,用戶就可以訪問服務(wù)器。當(dāng)客戶端和服務(wù)器端的鏈路link down后�,如果用戶需要重新訪問服務(wù)器,就要求用戶在客戶端重新發(fā)起認(rèn)證����,以防止非法用戶訪問服 務(wù)器�����。本發(fā)明的有益效果是采用單向加密算法�����,即不可能通過解密算法來達(dá)到還原密 碼的可能��,解決了工業(yè)以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題�,提高了系統(tǒng)安全性能,可以雙向認(rèn) 證,認(rèn)證過程高效���、簡(jiǎn)捷�,用戶密碼保存采用RC4加密�,防止密碼被竊取,而且使用非常方 便�,從而使整個(gè)認(rèn)證過程,不可模仿�����、破解����。
圖1協(xié)議認(rèn)證過程示意圖;圖2客戶端設(shè)備處理DT-PSEC協(xié)議報(bào)文的流程圖����;圖3服務(wù)器端設(shè)備處理DT-PSEC協(xié)議報(bào)文的流程圖。
具體實(shí)施例方式DT-PSEC協(xié)議該端口認(rèn)證安全策略實(shí)現(xiàn)方法定義為DT-PSEC協(xié)議�。DT-PSEC協(xié)議認(rèn)證報(bào)文具體說明如下B1、協(xié)議報(bào)文體格式 注釋“ TYPE ”定義報(bào)文類型�,F(xiàn)F-8E表示DT-PSEC協(xié)議報(bào)文。B2����、協(xié)議報(bào)文類型(PROTOCOL TYPE) 注釋“88-01” 表示 “Request” 報(bào)文����。
B3�、“協(xié)議報(bào)文體” TLV 注釋“1”表示 “-user name (16 Bytes)”。下面結(jié)合幅圖對(duì)本發(fā)明進(jìn)行說明�����。圖1指示了協(xié)議認(rèn)證過程示意圖��;客戶端設(shè)備發(fā)送Request報(bào)文�����,報(bào)文攜帶用戶 名信息一服務(wù)器端設(shè)備接收到Request報(bào)文�,向客戶端設(shè)備發(fā)送Challenge報(bào)文�����,攜帶隨 機(jī)數(shù)�����,長(zhǎng)度為64Bytes —客戶端設(shè)備利用接收到的隨機(jī)數(shù)和本地用戶密碼用MD5加密,生 成密文����,給服務(wù)器端設(shè)備發(fā)送Challenge Response報(bào)文一服務(wù)器端設(shè)備收到Challenge Response報(bào)文,檢查得到的密文與本地生成的密文是否一致���,若一致����,則允許業(yè)務(wù)報(bào)文通 過�����;否則�,拒絕一服務(wù)器端設(shè)備定期(10秒)給客戶端發(fā)送Challenge Hello報(bào)文,報(bào)文 中攜帶隨機(jī)數(shù)�����,長(zhǎng)度為64Bytes —客戶端利用接收到Challenge Hello報(bào)文中的隨機(jī)數(shù)和 本地用戶密碼用MD5加密�����,生成密文����,發(fā)送Challenge Hello Response報(bào)文到服務(wù)器端 —服務(wù)器端接收到Challenge Hello Response報(bào)文�����,檢驗(yàn)得到的密文與本地生成的密文 是否一致��,若一致���,則允許業(yè)務(wù)報(bào)文通過;否則�����,拒絕通過一服務(wù)器端設(shè)備若三次接收不到 Challenge Hello Response報(bào)文���,拒絕業(yè)務(wù)報(bào)文通過�,客戶端設(shè)備需要重新發(fā)起認(rèn)證�。圖2指示了客戶端設(shè)備處理DT-PSEC協(xié)議報(bào)文的流程圖;客戶端設(shè)備上電后創(chuàng)建 一個(gè)任務(wù)��,并處理DT-PSEC協(xié)議報(bào)文�����,具體實(shí)施過程包括1�、創(chuàng)建一個(gè)處理DT-PSEC協(xié)議的任務(wù);2�、判斷DT-PSEC協(xié)議是否使能,若使能�����,則檢測(cè)相應(yīng)的端口是否使能��,若使能��,則 發(fā)送Request報(bào)文���;3��、判斷接收到的報(bào)文類型��;4�����、若是Challenge報(bào)文�,則利用接收到的隨機(jī)數(shù)和本地用戶密碼通過MD5方式加 密���,生成密文����,發(fā)送Challenge Response報(bào)文;若是Challenge Hello報(bào)文�����,則利用接收到 的隨機(jī)數(shù)和本地用戶密碼通過MD5方式加密��,生成密文�,發(fā)送Challenge Response Hello 報(bào)文;若是Stop報(bào)文���,則打印相關(guān)信息���;若是沒有定義的報(bào)文類型,則不做任何處理���;最后����,重復(fù)以上步驟2-4。圖3指示了服務(wù)器端設(shè)備處理DT-PSEC協(xié)議報(bào)文的流程圖�����;包括服務(wù)器端設(shè)備 上電后創(chuàng)建一個(gè)處理DT-PSEC協(xié)議的任務(wù)�,如果DT-PSEC協(xié)議使能��,就創(chuàng)建一個(gè)10秒的定時(shí)器�����。具體實(shí)施過程包括1����、創(chuàng)建一個(gè)處理DT-PSEC協(xié)議的任務(wù),同時(shí)����,如果DT-PSEC協(xié)議使能,則創(chuàng)建一個(gè) 10秒鐘的定時(shí)器���;2����、判斷接收到的消息類型;若是協(xié)議報(bào)文消息�,則按照步驟3 ;如果是定時(shí)器超時(shí) 消息��,則按照步驟4;3��、判斷接收到的報(bào)文類型��,若是Request報(bào)文���,則檢驗(yàn)接收到的用戶名和服務(wù)器 端的用戶名和密碼的表項(xiàng)中的用戶名是否一致�����,如果一致���,就發(fā)送Challenge報(bào)文,否則發(fā) 送失敗的Stop報(bào)文����;若是Challenge Response報(bào)文,則比較接收的密文和本地生成的密文 是否一致��,如果一致��,則打開此端口,允許業(yè)務(wù)報(bào)文通過��,發(fā)送成功的Stop報(bào)文�,否則,發(fā)送 失敗的Stop報(bào)文�;若是Challenge Hello Response報(bào)文��,則比較接收的密文和本地生成的 密文是否一致����,如果一致,則Challenge Hello Response報(bào)文統(tǒng)計(jì)數(shù)增加1�����,否則�����,關(guān)閉該 端口����,發(fā)送失敗的Stop報(bào)文,客戶端需重新認(rèn)證���;若是沒有定義的報(bào)文類型��,則不做任何處 理�;服務(wù)器端設(shè)備每發(fā)出一個(gè)隨機(jī)數(shù),在本地生成一個(gè)密文�,內(nèi)容含隨機(jī)數(shù)和客戶端 用戶密碼。4�、發(fā)送攜帶隨機(jī)數(shù)的Challenge Hello報(bào)文,同時(shí)��,如果三次接收不到Challenge HelloResponse報(bào)文����,就關(guān)閉該端口,拒絕業(yè)務(wù)報(bào)文通過���,發(fā)送失敗的Stop報(bào)文���,客戶端需 要重新發(fā)起認(rèn)證;最后����,重復(fù)以上步驟2-4。用戶需要在服務(wù)器端全局使能DT-PSEC協(xié)議����,再使能相應(yīng)端口以支持DT-PSEC協(xié) 議���,添加包括用戶名和本地用戶密碼的表項(xiàng),本地用戶密碼保存使用RC4加密�����,使密碼保存 更安全��;在客戶端也全局使能DT-PSEC協(xié)議���,再使能相應(yīng)端口以支持DT-PSEC協(xié)議,輸入用 戶名和用戶密碼以及相應(yīng)端口號(hào)�����,完成認(rèn)證���,用戶就可以訪問服務(wù)器���。當(dāng)客戶端和服務(wù)器端 的鏈路link down后,如果用戶需要重新訪問服務(wù)器���,就要求用戶在客戶端重新發(fā)起認(rèn)證��, 以防止非法用戶訪問服務(wù)器�����。以上所述僅為本發(fā)明的過程及方法實(shí)施例���,并不用以限制本發(fā)明����,凡在本發(fā)明的 精神和實(shí)質(zhì)之內(nèi)所做的任何修改�、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明保護(hù)范圍之內(nèi)。
權(quán)利要求
一種端口認(rèn)證安全策略實(shí)現(xiàn)方法�����,其特征在于���,客戶端設(shè)備和服務(wù)器端設(shè)備認(rèn)證過程中�����,使用添加隨機(jī)值的方法�����,使每一次隨機(jī)值不一致����,從而通過單向加密的數(shù)據(jù)也不一致,認(rèn)證通過后發(fā)送業(yè)務(wù)報(bào)文���;采用重認(rèn)證機(jī)制,服務(wù)器端設(shè)備不斷輪循被認(rèn)證端口狀態(tài)���,特定次數(shù)收不到回復(fù)報(bào)文�,拒絕業(yè)務(wù)報(bào)文通過����,此時(shí)客戶端設(shè)備需要重新認(rèn)證。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,認(rèn)證過程具體實(shí)現(xiàn)方法如下A1、由客戶端設(shè)備發(fā)送Request報(bào)文�����,報(bào)文攜帶用戶名信息����;A2、服務(wù)器端設(shè)備接收到客戶端設(shè)備發(fā)送來的請(qǐng)求��,向客戶端設(shè)備發(fā)送Challenge報(bào) 文�����,報(bào)文攜帶隨機(jī)數(shù)���,長(zhǎng)度為64Bytes ���;A3、客戶端設(shè)備用接收到的隨機(jī)數(shù)和本地用戶密碼進(jìn)行加密�����,生成密文�,發(fā)送 ChallengeResponse報(bào)文給服務(wù)器端設(shè)備�;A4�����、服務(wù)器端設(shè)備接收到Challenge Response報(bào)文��,校驗(yàn)接收到的密文是否和本地生 成的密文一致�����,若一致����,證明認(rèn)證通過,允許業(yè)務(wù)報(bào)文通過����,否則拒絕���。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,重認(rèn)證具體實(shí)現(xiàn)方法如下A5��、服務(wù)器端設(shè)備定期向客戶端設(shè)備發(fā)送Challenge Hello報(bào)文���,報(bào)文中攜帶隨機(jī)數(shù)�����, 長(zhǎng)度為64Bytes ����;A6����、客戶端設(shè)備用接收到的隨機(jī)數(shù)和本地用戶密碼進(jìn)行加密,生成密文�,發(fā)送 Challenge HelloResponse報(bào)文給服務(wù)器端設(shè)備;A7���、服務(wù)器端設(shè)備校驗(yàn)接收到的密文����,是否和本地生成的密文一致,若一致��,允許業(yè)務(wù) 報(bào)文通過���,否則拒絕�;A8�����、服務(wù)器端設(shè)備若特定次數(shù)收不到Challenge Hello Response報(bào)文��,拒絕業(yè)務(wù)報(bào)文 通過�,此時(shí)客戶端設(shè)備需要重新認(rèn)證。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,用戶需要在服務(wù)器端全局使能DT-PSEC 協(xié)議,再使能相應(yīng)端口以支持DT-PSEC協(xié)議�,添加包括用戶名和密碼的表項(xiàng),密碼保存使用 RC4加密��,使密碼保存更安全�;
5.根據(jù)權(quán)利要求1所述的方法��,其特征在于,在客戶端全局使能DT-PSEC協(xié)議�,再使能 相應(yīng)端口以支持DT-PSEC協(xié)議,輸入用戶名和密碼以及相應(yīng)端口號(hào)�����,完成認(rèn)證���,用戶就可以 訪問服務(wù)器�����。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,當(dāng)客戶端和服務(wù)器端的鏈路linkdown 后���,如果用戶需要重新訪問服務(wù)器,就要求用戶在客戶端重新發(fā)起認(rèn)證�,以防止非法用戶訪 問服務(wù)器。
全文摘要
本發(fā)明公開了一種端口認(rèn)證安全策略實(shí)現(xiàn)方法�����,旨在提供一種通信設(shè)備端口安全策略的實(shí)現(xiàn)方法。其技術(shù)方案的要點(diǎn)是���,客戶端設(shè)備和服務(wù)器端設(shè)備認(rèn)證過程中�����,使用添加隨機(jī)值的方法�,使每一次隨機(jī)值不一致�����,從而通過單向加密的數(shù)據(jù)也不一致�,認(rèn)證通過后發(fā)送業(yè)務(wù)報(bào)文;采用重認(rèn)證機(jī)制�,服務(wù)器端設(shè)備不斷輪循被認(rèn)證端口狀態(tài),特定次數(shù)收不到回復(fù)報(bào)文���,拒絕業(yè)務(wù)報(bào)文通過�����,此時(shí)客戶端設(shè)備需要重新認(rèn)證����。本發(fā)明的用途采用單向加密算法,即不可能通過解密算法來達(dá)到還原密碼的可能�����,解決了工業(yè)以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題�,提高了系統(tǒng)安全性能����,可以雙向認(rèn)證,認(rèn)證過程高效�����、簡(jiǎn)捷�,用戶密碼保存采用RC4加密,防止密碼被竊取����,而且使用非常方便,不可模仿����、破解。
文檔編號(hào)H04L9/32GK101860541SQ20101019659
公開日2010年10月13日 申請(qǐng)日期2010年6月10日 優(yōu)先權(quán)日2010年6月10日
發(fā)明者鄧耀勇 申請(qǐng)人:北京東土科技股份有限公司