本发明属于网络安全,具体涉及一种轻量化设备认证方法。
背景技术:
1、随着信息技术的迅猛发展,网络安全问题层出不穷,网络安全保护已经成为刻不容缓的问题。面对接入设备、组网结构等十分复杂的网络环境,从源头开始做好安全防护是一个十分有效的途径,即通过有效接入身份验证机制,对接入到网络中的终端设备进行身份核实,确保接入的设备都是安全的,则网络整体安全将得到有效保证。
2、当前各级机构主要采取的网络安全措施主要包括,防火墙、虚拟专用网、加密技术以及入侵检测系统等,可以有效地防止来自外部网络的攻击,但很难实现内网防护安全。
技术实现思路
1、(一)要解决的技术问题
2、本发明要解决的技术问题是如何提供一种轻量化设备认证方法,以解决现有技术很难实现内网防护安全的问题。
3、(二)技术方案
4、为了解决上述技术问题,本发明提出一种轻量化设备认证方法,该方法基于轻量化设备认证系统,该系统包括终端设备和认证服务器,其中,终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务;该方法包括终端设备初始化过程及身份认证过程;
5、终端设备初始化流程包括:
6、s11、通过代理软件读取宿主终端设备的物理信息,通过杂凑计算,生成设备标识devid,并发送至认证服务器进行注册;
7、s12、认证服务器接收到终端设备注册信息后,根据设备标识devid为终端设备生成设备密钥,并返回至终端设备;
8、s13、代理软件将设备密钥存储在宿主终端设备中;
9、身份认证流程包括:
10、s21、第一终端设备首先向认证服务器获取挑战值,然后使用设备密钥对挑战值及其设备标识进行签名,组装认证数据包发送至认证服务器进行身份认证;
11、s22、认证服务器对认证数据包进行验证,并将验证后的结果及认证码authcode返回至第一终端设备;
12、s23、第一终端设备判断认证结果;
13、s24、认证成功后,第一终端设备携带认证码authcode访问其它第二终端设备;
14、s25、第二终端设备接收到第一终端设备的访问请求后,发送authcode到认证服务器对第一终端设备的身份进行验证;
15、s26、认证服务器验证authcode的合法性及有效性;
16、s27、认证服务器将验证结果返回第二终端设备,;
17、s28、第二终端设备根据认证结果,返回第一终端设备连接结果。
18、(三)有益效果
19、本发明提出一种轻量化设备认证方法,本发明为了解决内部网络安全问题,提出一种实体认证方法,引入一种轻量化认证手段,相对于传统的证书认证,本发明使用认证码代替ca证书,即节省了存储空间又节省了网络资源的消耗,实现对入网设备的高效、安全认证,从而确保只有合法的用户和设备才能访问,保证内网安全。
1.一种轻量化设备认证方法,其特征在于,该方法基于轻量化设备认证系统,该系统包括终端设备和认证服务器,其中,终端设备为认证服务的实体对象,代理软件部署在终端设备上,认证服务器对外提供终端管理、认证服务;该方法包括终端设备初始化过程及身份认证过程;
2.如权利要求1所述的轻量化设备认证方法,其特征在于,所述终端设备为主机或摄像头。
3.如权利要求1所述的轻量化设备认证方法,其特征在于,所述s11中的物理信息包括:mac地址和硬件架构。
4.如权利要求3所述的轻量化设备认证方法,其特征在于,所述s11中生成设备标识包括:
5.如权利要求4所述的轻量化设备认证方法,其特征在于,所述步骤s12中,认证服务器接收到终端设备注册信息后,执行以下操作:
6.如权利要求5所述的轻量化设备认证方法,其特征在于,所述步骤s13具体包括:代理软件接收到设备密钥后,使用设备标识对设备密钥进行掩盖加密后,存储在设备内部:
7.如权利要求1-6任一项所述的轻量化设备认证方法,其特征在于,所述步骤s21具体包括:
8.如权利要求7所述的轻量化设备认证方法,其特征在于,所述s22中,对认证数据包进行验证包括:认证身份标识合法性、签名合法性以及挑战值有效性。
9.如权利要求7所述的轻量化设备认证方法,其特征在于,所述s22中,认证码内容包括设备唯一标识、挑战值和第一终端设备序列号,同时认证服务器对认证码内容进行签名,附加在认证码中,并对整体数据进行加密。
10.如权利要求7所述的轻量化设备认证方法,其特征在于,所述身份认证流程还包括: