(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111427310.8 (22)申请日 2021.11.29 (65)同一申请的已公布的文献号 申请公布号 CN 113839969 A (43)申请公布日 2021.12.24 (73)专利权人 军事科学院系统工程研究院网络 信息研究所 地址 100141 北京市丰台区大成路13号院 (72)发明人 杨林　马琳茹　王雯　张紫萱　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 代理人 刘光德 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01)(56)对比文件 CN 109218825 A,2019.01.15 CN 101242 297 A,2008.08.13 CN 111903244 B,2014.0 6.11 CN 111541715 A,2020.08.14 CN 111541715 A,2020.08.14 CN 112565230 A,2021.0 3.26 KR 20130019804 A,2013.02.27 审查员 寇利敏 (54)发明名称 一种双向认证的网络管理协议方法和系统 (57)摘要 本发明提出一种双向认证的网络管理协议 方法和系统。 步骤S1、 设备接入双向认证； 步骤 S2、 控制操作的双向认证： 设备网管向被管理设 备下发配置 数据、 启用/关闭端口、 终端的报文采 用步骤S1中的协商的密钥进行加密传输； 步骤 S3、 测试操作的双向认证： 设备网管向被管理设 备发送测试命令或者是被管理设备向网管系统 返回的测试结果的报文， 采用步骤S1中的协商的 密钥进行加密传输； 步骤S4、 查询操作的双向认 证： 设备网管从被管理设备 获取状态、 配置、 性能 数据的报文， 采用步骤S1协商的密钥进行加密传 输； 步骤S5、 主报操作的双向认 证： 被管理设备主 动向设备网管上报事件或消息的报文， 采用步骤 S1协商的密钥进行加密传输 。 权利要求书3页 说明书12页 附图6页 CN 113839969 B 2022.03.15 CN 113839969 B 1.一种双向认证的网络管理协议方法， 其特 征在于， 所述方法包括： 步骤S1、 将需要认证的设备接入双 向认证： 通过双 向认证软件触发各自设备上的加密 模块， 所述加密模块之间通过传输密钥协商信息进行密钥协商， 所述双向认证软件决策是 否完成认证， 并向所述加密模块通知认证完成结果， 认证成功后， 后续的报文使用上述协商 的密钥进行加密 传输； 步骤S2、 控制操作的双向认证： 设备网管向被管理设备下发配置数据、 启用/关闭端口、 终端的报文采用步骤S1中协商的密钥进行加密 传输； 步骤S3、 测试操作的双向认证： 设备网管向被管理设备发送测试命令或者是被管理设 备向网管系统返回的测试 结果的报文， 采用步骤S1中的协商的密钥进行加密 传输； 步骤S4、 查询操作的双向认证： 设备网管从被管理设备获取状态、 配置、 性能数据的报 文， 采用步骤S1协商的密钥进行加密 传输； 步骤S5、 主报操作的双向认证： 被管理设备主动向设备网管上报事件或消息的报文， 采 用步骤S1协商的密钥进行加密 传输； 其中， 所述 步骤S1具体包括： 步骤S11、 通过双向认证软件触发各自设备上的加密模块进行密钥协商来完成安全鉴 别； 步骤S12、 所述加密模块之间传输密钥协商信 息进行密钥协商， 并将密钥协商结果通知 给所述双向认证软件； 步骤S13、 所述双向认证软件根据准入策略和对端设备节点信息来决策是否完成认证， 并向加密模块 通知认证完成结果， 认证成功后， 后续的报文 使用协商的密钥进行加密 传输； 其中， 所述 步骤S2具体包括： 步骤S21、 所述设备网管将控制命令和相应的数据按照协议要求打包为数据包， 将所述 数据包发送到网管代理； 步骤S22、 所述网管代理收到数据包后， 根据设备网管的类型及地址， 将收到的数据包 按照网管代理与被管理设备的通信协议进行协议格式转换后发送给 所述被管理设备； 步骤S23、 所述被管理设备收到协议格 式转换后的数据包， 根据 所述数据包中的控制命 令进行相关处理， 并将处理结果按照网管代理与被管理设备的通信协议格式即控制应答 发 送给所述网管代理； 步骤S24、 所述网管代 理收到控制应答后， 按照设备网管与网管代 理的通信协议格 式即 控制应答发送给 所述设备网管； 步骤S25、 所述设备网管在收到返回的控制应答的消息后， 检查是否有后续的控制命令 发送， 如果有， 重复步骤S21～S24， 继续发送后续的控制命令； 步骤S26、 所述网管代 理和被管理设备在执行完控制命令后， 以控制应答结束的命令格 式返回， 所述设备网管在收到控制应答结束命令后， 结束 整个流程。 2.根据权利要求1所述的一种双向认证的网络管理协议方法， 其特征在于， 在所述步骤 S3中， 具体包括： 步骤S31、 所述设备网管发送测试命令 到所述网管代理； 步骤S32、 所述网管代 理根据设备类型及 设备地址， 将测试命令按照网管代理与被管理 设备之间通信协议格式转发到对应的被管理设备；权　利　要　求　书 1/3 页 2 CN 113839969 B 2步骤S33、 所述被管理设备收到测试命令后， 进行环回测试， 并按照网管代理与被管理 设备之间通信协议格式将测试 结果返回网管代理； 步骤S34、 所述网管代理按照设备网管与网管代理之间的协议格式将测试结果发送给 设备网管； 步骤S35、 所述设备网管收到返回的测试 结果即测试应答结束消息后， 结束本次测试。 3.根据权利要求2所述的一种双向认证的网络管理协议方法， 其特征在于， 在所述步骤 S4中， 包括： 状态查询操作和配置、 性能数据查询操作； 具体如下： 步骤S41、 状态查询操作； 步骤S411、 所述设备网管向网管代理发送查询设备状态命令即查询操作的数据包； 步骤S412、 所述设备网管对收到的数据包即应答包进行处理、 判断； 所述收到的数据包 如果不是查询应答结束包， 则 设备网管继续发送后续查询操作的数据包， 如果所述收到的 数据包是查询应答结束包， 则结束本次会话； 步骤S42、 配置、 性能数据查询操作； 步骤S421、 所述设备网管向网管代理发送配置或性能数据查询命令即查询操作数据 包； 步骤S422、 所述网管代理根据被管理设备类型和设备地址， 将查询命令转换成网管代 理与被管理设备之间的通信协议格式后发往被管理设备； 被管理设备收到网管查询命令 后， 返回查询结果给网管代理， 并由网管代理将所述 查询结果发送给 所述设备网管； 步骤S423、 所述设备网管对收到的查询结果即应答包进行处理、 判断； 所述收到的应答 包如果不是查询 应答结束包， 则 设备网管继续发送后续查询操作数据包， 如果所述收到的 数据包是查询应答结束包， 则结束本次会话。 4.根据权利要求2所述的一种双向认证的网络管理协议方法， 其特征在于， 在所述步骤 S5中， 具体包括： 步骤51、 所述被管理设备向网管代理发送主报消息； 步骤52、 所述网管代 理将所述主报消息转换成设备网管与网管代 理之间通信协议格式 后发送给设备网管； 步骤53、 所述设备网管收到所述主报消息后， 判定是否需要应答， 如果需要应答， 则发 送应答消息给所述网管代理， 所述网管代理将所述应答消息转换成网管代理与被管理设备 之间通信协议消息格式后发送给 所述被管理设备， 本次操作结束。 5.根据权利要求1 ‑4任一项所述的一种双向认证的网络管理协议方法， 其特征在于， 所 述需要认证的设备包括设备网管和 安全路由器； 所述控制操作的双向认证、 测试操作的双 向认证、 查询操作的双向认证和主报操作的双向认证的报文均在链路层 采用步骤S1协商的 密钥进行加密 传输。 6.一种用于双向认证的网络管理协议系统， 其特 征在于， 所述系统包括： 第一处理单元， 被配置为， 将需要认证的设备接入双向认证： 通过双向认证软件触发各 自设备上 的加密模块， 所述加密模块之间通过传输密钥协商信息进行密钥协商， 所述双向 认证软件决策是否完成认证， 并向所述加密 模块通知认证完成结果， 认证成功后， 后续的报 文使用上述协商的密钥进行加密 传输； 第二处理单元， 被配置为， 控制操作的双向认证： 设备网管向被管理设备下发配置数权　利　要　求　书 2/3 页 3 CN 113839969 B 3