一种轻量化设备认证方法与流程

本发明属于网络安全，具体涉及一种轻量化设备认证方法。

背景技术：

1、随着信息技术的迅猛发展，网络安全问题层出不穷，网络安全保护已经成为刻不容缓的问题。面对接入设备、组网结构等十分复杂的网络环境，从源头开始做好安全防护是一个十分有效的途径，即通过有效接入身份验证机制，对接入到网络中的终端设备进行身份核实，确保接入的设备都是安全的，则网络整体安全将得到有效保证。

2、当前各级机构主要采取的网络安全措施主要包括，防火墙、虚拟专用网、加密技术以及入侵检测系统等，可以有效地防止来自外部网络的攻击，但很难实现内网防护安全。

技术实现思路

1、(一)要解决的技术问题

2、本发明要解决的技术问题是如何提供一种轻量化设备认证方法，以解决现有技术很难实现内网防护安全的问题。

3、(二)技术方案

4、为了解决上述技术问题，本发明提出一种轻量化设备认证方法，该方法基于轻量化设备认证系统，该系统包括终端设备和认证服务器，其中，终端设备为认证服务的实体对象，代理软件部署在终端设备上，认证服务器对外提供终端管理、认证服务；该方法包括终端设备初始化过程及身份认证过程；

5、终端设备初始化流程包括：

6、s11、通过代理软件读取宿主终端设备的物理信息，通过杂凑计算，生成设备标识devid，并发送至认证服务器进行注册；

7、s12、认证服务器接收到终端设备注册信息后，根据设备标识devid为终端设备生成设备密钥，并返回至终端设备；

8、s13、代理软件将设备密钥存储在宿主终端设备中；

9、身份认证流程包括：

10、s21、第一终端设备首先向认证服务器获取挑战值，然后使用设备密钥对挑战值及其设备标识进行签名，组装认证数据包发送至认证服务器进行身份认证；

11、s22、认证服务器对认证数据包进行验证，并将验证后的结果及认证码authcode返回至第一终端设备；

12、s23、第一终端设备判断认证结果；

13、s24、认证成功后，第一终端设备携带认证码authcode访问其它第二终端设备；

14、s25、第二终端设备接收到第一终端设备的访问请求后，发送authcode到认证服务器对第一终端设备的身份进行验证；

15、s26、认证服务器验证authcode的合法性及有效性；

16、s27、认证服务器将验证结果返回第二终端设备,；

17、s28、第二终端设备根据认证结果，返回第一终端设备连接结果。

18、(三)有益效果

19、本发明提出一种轻量化设备认证方法，本发明为了解决内部网络安全问题，提出一种实体认证方法，引入一种轻量化认证手段，相对于传统的证书认证，本发明使用认证码代替ca证书，即节省了存储空间又节省了网络资源的消耗，实现对入网设备的高效、安全认证，从而确保只有合法的用户和设备才能访问，保证内网安全。

技术特征：

1.一种轻量化设备认证方法，其特征在于，该方法基于轻量化设备认证系统，该系统包括终端设备和认证服务器，其中，终端设备为认证服务的实体对象，代理软件部署在终端设备上，认证服务器对外提供终端管理、认证服务；该方法包括终端设备初始化过程及身份认证过程；

2.如权利要求1所述的轻量化设备认证方法，其特征在于，所述终端设备为主机或摄像头。

3.如权利要求1所述的轻量化设备认证方法，其特征在于，所述s11中的物理信息包括：mac地址和硬件架构。

4.如权利要求3所述的轻量化设备认证方法，其特征在于，所述s11中生成设备标识包括：

5.如权利要求4所述的轻量化设备认证方法，其特征在于，所述步骤s12中，认证服务器接收到终端设备注册信息后，执行以下操作：

6.如权利要求5所述的轻量化设备认证方法，其特征在于，所述步骤s13具体包括：代理软件接收到设备密钥后，使用设备标识对设备密钥进行掩盖加密后，存储在设备内部：

7.如权利要求1-6任一项所述的轻量化设备认证方法，其特征在于，所述步骤s21具体包括：

8.如权利要求7所述的轻量化设备认证方法，其特征在于，所述s22中，对认证数据包进行验证包括：认证身份标识合法性、签名合法性以及挑战值有效性。

9.如权利要求7所述的轻量化设备认证方法，其特征在于，所述s22中，认证码内容包括设备唯一标识、挑战值和第一终端设备序列号，同时认证服务器对认证码内容进行签名，附加在认证码中，并对整体数据进行加密。

10.如权利要求7所述的轻量化设备认证方法，其特征在于，所述身份认证流程还包括:

技术总结
本发明涉及一种轻量化设备认证方法，属于网络安全技术领域。本发明的认证方法基于认证系统，该系统包括终端设备和认证服务器。其中终端设备为认证服务的实体对象，代理软件部署在终端设备上，认证服务器对外提供终端管理、认证服务等功能。本发明的工作流程包括终端设备初始化及身份认证。本发明使用认证码代替CA证书，即节省了存储空间又节省了网络资源的消耗，实现对入网设备的高效、安全认证，从而确保只有合法的用户和设备才能访问，保证内网安全。

技术研发人员：郭笑笑,韩磊,万兴,高景生,魏祎霄,贾晓玲,张满,高禹
受保护的技术使用者：北京计算机技术及应用研究所
技术研发日：
技术公布日：2024/1/15