发明名称 | 一种网络设备身份认证装置及方法 | ||
摘要 | 本发明公开了一种网络设备身份认证的装置及方法。网络设备身份认证装置包括主控制单元及电连接到主控制单元的网络侧通道、设备侧通道和存储单元。网络设备身份认证装置利用X.509数字证书对网络设备进行身份认证,每个网络设备都有一个由特定证书发布机构签发的数字证录其身份。在进行身份认证时,网络设备身份认证装置首先对未经过验证的网络设备生成认证挑战信息并发送给该网络设备;然后判断接收自该网络设备的认证响应信息是否正确,如果正确,标记该网络设备通过认证;在接收新数据包时,对于通过认证的网络设备转发数据包,否则丢弃数据包。使用本发明有效避免了恶意攻击者对内部网络的攻击,提高了内部网络的安全性。 | ||
申请公布号 | CN1231847C | 申请公布日期 | 2005.12.14 |
申请号 | CN02129589.1 | 申请日期 | 2002.09.09 |
申请人 | 中国科学院研究生院 | 发明人 | 冯登国;荆继武;向继;高能 |
分类号 | G06F12/14 | 主分类号 | G06F12/14 |
代理机构 | 北京德琦知识产权代理有限公司 | 代理人 | 王丽琴 |
主权项 | 1.一种网络设备身份认证装置,其特征是,它包括:存储单元,存储有标记网络设备是否通过认证的认证通过记录;网络侧通道和设备侧通道,分别包括接口、变压器芯片和物理层芯片,其中接口用于和网络或网络设备相连,接收或发送数据包;变压器芯片用于将接口电压转换成物理层芯片电压,或者将物理层芯片电压转换成接口电压;物理层芯片电连接到主控制单元,用于将数据包转换为用于传输的以太网数据信号,或者将以大网数据信号转换为数据包;和主控制单元,包括主控芯片,对于来自设备侧通道但不包含认证信息的数据包以及来自网络侧通道的数据包,从所述存储单元读取验证通过记录,如果未通过认证,丢弃数据包;如果通过验证,将数据包透传到另一通道;如果该网络设备未经过验证,通过网络侧通道发送包含一个随机数的认证挑战信息;对于包含认证信息的数据包,通过比较自己对随机数的计算结果和包含在数据包中的计算结果来判断网络设备是否合法,并将判断结果标记在该网络设备的认证通过记录中;所述主控制单元进一步包括电连接到主控芯片的晶体管振荡器和以太网控制器,其中晶体管振荡器用于给主控芯片提供时钟信号,以太网控制器分别电连接到网络侧通道和设备侧通道的物理层芯片,用于对数据包进行校验。 | ||
地址 | 100039北京市玉泉路19号(甲) |