本發明公開了一種數據加密方法和裝置，設備準入認證方法、裝置和系統、計算設備和可讀存儲介質，涉及設備準入認證技術領域，可以解決目前準入認證技術安全性低、容易破解的技術問題。設備準入認證方法包括：將終端設備發出的第一EAP應答消息中的用戶名字段修改為新用戶名數據，以生成第二EAP應答消息；通過中間連接裝置將第二EAP應答消息轉換為RADIUS訪問請求消息；通過安全服務器解析中間連接裝置發出的消息，得到新用戶名數據；通過設備認證裝置接收新用戶名數據；用密鑰解密，以獲得包含的設備唯一標識符和請求接入時間戳，并將其與緩存的數據集進行比較，以判斷設備認證是否成功。根據本發明技術方案，可以防止重放攻擊和偽造請求。

技術領域

本發明涉及設備準入認證技術領域，尤其涉及一種數據加密方法和裝置，設備準入認證方法、裝置和系統、計算設備和可讀存儲介質。

背景技術

為保障信息安全，各類組織機構都會對內部的網絡設置身份認證。設備連入網絡時，需要輸入用戶名和密碼先到認證服務器進行認證，認證通過后才能連入內部網絡。為提升安全性，認證一般采用二階段認證方法，例如PEAP+MSCHAPV2認證，其中第一階段建立加密通道，第二階段傳遞用戶名、密碼等關鍵信息進行認證。

采用二階段認證時，第一階段的用戶名可以是虛假的用戶名，即匿名用戶字段。采用身份認證能提升一定的安全性，但是已知認證方法和密碼的人員(例如內部員工)可以將自己的私有設備用同樣的方法連接到內部網絡，這將導致不受管控的設備接入內部網絡，存在數據泄露等安全風險。

為了防止上述情況發生，需要將設備的唯一標識符(也稱為sn，可以是MAC地址或機構內部自定義的字符串信息)信息加入認證，只允許授權的設備連入內部網絡。此時連接入內部網絡需要進行兩個認證，1)身份認證，認證用戶名和密碼；2)設備準入認證，認證設備sn。

設備認證的過程如下：終端設備的安全客戶端模塊保存有設備的sn信息；當終端設備聯網時，安全客戶端模塊攔截終端發出的EAP應答(EAP-response)消息，修改此消息里的用戶名字段(Identity字段，EAP消息里的一個字段，用于傳遞用戶名)，在Identity字段里混合入保存的sn信息。

EAP消息通過無線接入點/接入點控制器(AP/AC)被轉換成RADIUS消息，且被發送到認證服務器，此時EAP消息中的Identity字段對應于RADIUS消息里的用戶名字段(UserName字段)。

認證服務器解析該UserName字段：若沒有sn信息，則判斷為不合法設備并直接拒絕；若有sn信息，則解析出sn信息并將其發往設備認證服務器。若sn不合法，則設備認證服務器返回認證失敗，認證服務器拒絕設備接入；若sn合法，則認證服務器會除去UserName字段里的sn信息，生成新的RADIUS消息，進行認證或者發往下一個身份認證服務器進行身份認證，認證通過則允許接入網絡，認證失敗則拒絕接入網絡。

然而該方案的安全性較低，比如可以通過抓包破解設備準入認證。通過在網絡上抓包(抓空口包或者有一臺合法設備的人員直接在合法設備上抓包)，抓包獲取到Identity字段后，直接將混合了sn信息的Identity作為匿名用戶，然后再用真實用戶名和密碼進行認證，就能破解此技術，將任意的設備接入網絡。也就是說，對于已知用戶名和密碼能通過身份認證的人員，通過破解就可以將任意設備接入內部網絡。

考慮到不知道用戶名和密碼的外部人員不能通過身份認證，因此不需要設備準入認證；那么設備準入認證的目的主要是防止知道用戶名和密碼的人員將不合法設備接入網絡，但是這些人員可以很容易地通過抓包重放攻擊破解此技術，因此迫切需要一種更安全且不能破解的設備準入方法。

發明內容

為此，本發明提供了一種數據加密方法和裝置，設備準入認證方法、裝置和系統、計算設備和可讀存儲介質，以力圖解決或者至少緩解上面存在的至少一個問題。