(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111427308.0 (22)申请日 2021.11.29 (65)同一申请的已公布的文献号 申请公布号 CN 113839787 A (43)申请公布日 2021.12.24 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　马琳茹　王雯　李东阳　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 代理人 刘光德 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01)(56)对比文件 CN 103200172 A,2013.07.10 CN 102769573 A,2012.1 1.07 CN 1082345 03 A,2018.0 6.29 CN 109413 061 A,2019.0 3.01 CN 112565213 A,2021.0 3.26 US 202132 9727 A1,2021.10.21 审查员 李燕 (54)发明名称 一种双向认证的局域网安全接入协议方法 和系统 (57)摘要 本发明提出一种双向认证的局域网安全接 入协议方法和系统。 所述方法包括： 发现阶段： 局 域网安全接入协议两端相互发送邻居间发送发 现报文， 相互发现对端上线情况， 同时 比较所述 域网安全接入协议两端的MAC地址， 所述两端包 括两个通信实体即设备A和设备B， 所述MAC地址 较大的一端设备B主动进入协商阶段； 协商阶段： 由MAC地址较大的一端设备B主动进入协商阶段， 并经历协商等待状态、 协商结束等待状态后最终 进入协商成功 状态； MAC地址较小的一端设备A收 到起始应答成功报文后， 进入协商结束等待状 态， 并最终达到协商成功状态； 保活阶段： 由MAC 地址较小的一端设备A定时主动发起客户端保活 报文， 服务端回复服 务端保活消息进行保活。 权利要求书2页 说明书8页 附图4页 CN 113839787 B 2022.03.04 CN 113839787 B 1.一种双向认证的局域网安全接入协议方法， 其特 征在于， 所述方法包括： 步骤S1、 发现阶段： 局域网安全接入协议两端相互发送邻居间发送发现报文， 相互发现 对端上线情况， 同时比较所述域网安全接入协 议两端的MAC地址， 所述两端包括两个通信实 体即设备A和设备B， 所述MAC地址较大的一端设备B主动进入协商阶段； 步骤S2、 协商阶段： 由MAC地址较大的一端设备B主动进入协商阶段， 并经历协商等待状 态、 协商结束等待状态后最终进入协商成功状态； MAC地址较小的一端设备A收到起始应答 成功报文后， 进入协商结束等待状态， 并最终达 到协商成功状态； 步骤S3、 保活阶段： 由MAC地址较小的一端设备A定时主动发起客户端保活报文， 服务端 回复服务端保活消息进行保活； 其中， 所述 步骤S2具体包括： 步骤S21、 协商 阶段由MAC地址较大的一端设备B主动进入协商阶段， MAC地址较大的一 端收到邻居间发现报文后， 主动发送起始应答成功报文， 然后进入协商等待状态； 步骤S22、 MAC地址较小的一端设备A收到起始应答成功报文后， 获取设备A的随机数Ra， 将所述随机数Ra放入客户端协商报文并主动发起协商报文， 然后进入协商结束等待状态； 步骤S23、 MAC地址大的一端设备B收到客户端协商报文后， 将随机数Ra信息保存到本 地； 并获取设备B的随机数Rb和设备B的证书信息Cb； 通过Ra、 Rb、 Cb计算出杂凑值Wkb； 再根 据Wkb获取签名Wb； 将Rb、 Wb、 Cb放入服务端协商报文进行回复， 然后进入协商结束等待状 态； 步骤S24、 MAC地址较小的一端设备A收到服务器协商报文后， 验证所述证书信息Cb， 验 证失败则认证失败； 保存设备A的Rb、 Cb、 Wb信息到本地； 获取设备A的证书信息Ca； 根据Ra、 Rb、 Ca获取杂凑值Wka； 根据Wka获取签名Wa； 将Wa、 Ca放入客户端协商结束报文发送， 进入协 商成功状态； 步骤S25、 MAC地址大一端设备B收到客户端协商结束报文后， 验证证书Ca， 验证失败则 认证失败； 保存设备B的Ca、 Wa信息到本地； 根据Ra、 Rb、 Ca获取杂凑值Wka； 根据Wka获取签名 Wa； 校验Wa； 发送服 务器端协商结束报文， 进入协商成功状态； 步骤S26、 MAC地址较小的一端设备A收到服务器端协商结束报文后， 进入协商成功状 态。 2.根据权利要求1所述的一种双向认证的局域网安全接入协议方法， 其特征在于， 在所 述步骤S3中， 还 包括： 保活报文携带随机数Ra/Rb的杂凑值， 消息收到后进行杂凑校验。 3.根据权利要求1所述的一种双向认证的局域网安全接入协议方法， 其特征在于， 所述 局域网安全接入协议在链路层上工作， 且两个通信实体之间的关系 是对等的， 运行所述局 域网安全接入协议的两个通信实体包括 安全接入路由器和安全交换机 。 4.根据权利要求2所述的一种双向认证的局域网安全接入协议方法， 其特征在于， 在认 证通过前为非授权状态， 此时仅有发现、 认证相关报文可以通过。 5.根据权利要求3所述的一种双向认证的局域网安全接入协议方法， 其特征在于， 所述 两个通信实体为 安全交换机和安全接入路由器。 6.根据权利要求1所述的一种双向认证的局域网安全接入协议方法， 其特征在于， 根据 所述通信实体 类型进行接入设备控制和管理， 同时根据设备身份标识进行网络统一管理。 7.一种用于双向认证的局域网安全接入协议系统， 其特 征在于， 所述系统包括：权　利　要　求　书 1/2 页 2 CN 113839787 B 2第一处理单元， 被配置为在发现阶段执行： 局域网安全接入协议两端相互发送邻居间 发送发现报文， 相互发现对端上线情况， 同时比较所述域网安全接入协议两端的MAC地址， 所述两端包括两个通信实体即设备A和设备B， 所述MAC地址较大的一端设备B 主动进入协商 阶段； 第二处理单元， 被配置为在协商阶段执行： 由MAC地址较大的一端设备B主动进入协商 阶段， 并经历协商等待状态、 协商结束等待状态后最终进入协商成功状态； MAC地址较小的 一端设备A收到起始应答成功报文后， 进入协商结束等待状态， 并最终达 到协商成功状态； 第三处理单元， 被配置为在保活阶段执行： 由MAC地址较小的一端设备A定时主动发起 客户端保活报文， 服 务端回复服 务端保活消息进行保活； 其中， 在所述协商阶段： 协商阶段由MAC地址较大的一端设备B主动进入协商阶段， MAC地址较大的一端收到邻 居间发现报文后， 主动发送起始应答成功报文， 然后进入协商等待状态； MAC地址较小的一端设备A收到起始应答成功报文后， 获取设备A的随机数Ra， 将所述随 机数Ra放入客户端协商报文并主动发起协商报文， 然后进入协商结束等待状态； MAC地址大的一端设备B收到客户端协商报文后， 将随机数Ra信息保存到本地； 并获取 设备B的随机数Rb和设备B的证书信息Cb； 通过Ra、 Rb、 Cb计算出杂凑值Wkb； 再根据Wkb获取 签名Wb； 将Rb、 Wb、 Cb放入服 务端协商报文 进行回复， 然后进入协商结束等待状态； MAC地址较小 的一端设备A收到服务器协商报文后， 验证所述证书信息Cb， 验证失败则 认证失败； 保存设备A的Rb、 Cb、 Wb信息到本地； 获取设备A的证书信息Ca； 根据R a、 Rb、 Ca获取 杂凑值Wka； 根据Wka获取签名Wa； 将Wa、 Ca放入客户端协商结束报文发送， 进入协商成功状 态； MAC地址大一端设备B收到客户端协商结束报文后， 验证证书Ca， 验证失败则认证失败； 保存设备B的Ca、 Wa信息到本地； 根据Ra、 Rb、 Ca获取杂凑值Wka； 根据Wka获取签名Wa； 校验 Wa； 发送服 务器端协商结束报文， 进入协商成功状态； MAC地址较小的一端设备A收到服 务器端协商结束报文后， 进入协商成功状态。 8.一种电子设备， 其特征在于， 所述电子设备包括存储器和处理器， 所述存储器存储有 计算机程序， 所述处理器执行所述计算机程序时， 实现权利要求1至6中任一项所述的一种 双向认证的局域网安全接入协议方法中的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时， 实现权利要求1至6中任一项所述的一种双向认证 的局域网安全接入协议方法中的步骤。权　利　要　求　书 2/2 页 3 CN 113839787 B 3