[发明专利]一种网络节点可信认证实现方法

说明书

本发明提拱了一种网络节点可信认证实现方法，本发明解决基于证书或者口令进行身份认证单的问题将平台标识、证书和平台完整性相结合实现多因子安全认证，确保只有通过身份认证和平台安全状态评估检查的设备才允许接入网络，防止非法设备接入网络以后引入异常数据流实施网络攻击或者导致正常业务流被恶意牵引；杜绝平台完整性不符合预期安全要求的设备接入网络访问网络资源通过建立安全基线将认证异常的设备进行有效阻断或者隔离。

技术领域

本发明涉及网络安全领域，尤其涉及一种网络节点可信认证实现方法。

背景技术

网络设备节点之间，有链路层基于PPP实现节点间的安全认证方法，其中 PPP协议支持可选基于日令或者证书的PAP、CHAP等认证协议。基于上述的节点互联安全措施均只考虑了身份认证，缺乏对物理平台可信性、运行环境、应用接入状态等进行全面检查。非法网络设备可能导致正常业务流被恶意牵引;带有病毒、木马的网络设备，可能导致网络风暴等安全隐患。

发明内容

本发明提供一种网络节点可信认证实现方法，用以解决上述问题。

本发明通过以下技术方案实现：

一种网络节点可信认证实现方法，包括以下步骤：

S1. 接入请求方A发送接入认证报文；

S2. 接入响应方B向接入请求方A发送携带随机数Rb的认证启动报文，并启动超时处理；

S3. 接入请求方A接收接入响应方B的认证启动报文，发送携带接入请求方A序列号和接入响应方B随机数Rb异或的DevID的认证请求报文，并启动超时处理；

S4. 接入响应方B接收接入请求方A的认证请求报文，判断随机数Rb正确性后，向认证服务器C发送认证鉴别请求报文，并启动超时处理；

S5. 认证服务器C接收认证鉴别请求报文，并向接入响应方B发送认证鉴别结果报文；

S6. 接入响应方B解析来自认证服务器C的认证鉴别结果，判断是否向接入请求方A发送认证结果报文，并启动超时处理；

S7. 接入请求方A解析来自认证服务器C的认证鉴别结果，判断是否向接入响应方B发送认证成功报文；

S8. 完成认证，接入请求方A定时向接入响应方B发送认证保活报文。

进一步的，所述步骤S1具体为：

S101. 接入请求方A作为认证发起者，发送接入认证发起请求报文,开始认证；

S102. 接入请求方A在规定时间内没有发起认证请求，则由接入响应方B强制发起认证启动报文启动认证。

进一步的，所述步骤S2具体为：

S201. 接入响应方B向接入请求方A发送认证启动报文，携带产生的随机数Rb；

S202. 启动等待接收认证请求报文超时定时器，超时未收到时则中断流程，回到认证初始状态。

进一步的，所述步骤S3具体为：

S301. 接入请求方A收到接入响应方B认证启动报文，发送内含接入请求方A的序列号、接入响应方B的随机数Rb异或的DevID、接入响应方B的Rb、接入请求方A产生的随机数Ra

接入请求方A的可信度量值Ta、接入请求方A的身份证书CERTa以及签名信息Sa的认证请求报文；

S302. 完成发送后启动超时定时器，等待接收来自接入响应方B的认证应答报文，超时未收到时则中断流程，回到认证初始状态。

进一步的，所述步骤S4具体为：

S401. 接入响应方B收到收到接入请求方A的认证请求报文，判断Rb正确性；

S402. 判断Rb错误，忽略收到的报文，判断Rb正确，接入响应方B向认证服务器C发送认证鉴别请求报文；