CN101425925B - 提供数据通信认证的方法、系统和设备 - Google Patents
提供数据通信认证的方法、系统和设备 Download PDFInfo
- Publication number
- CN101425925B CN101425925B CN200810161916XA CN200810161916A CN101425925B CN 101425925 B CN101425925 B CN 101425925B CN 200810161916X A CN200810161916X A CN 200810161916XA CN 200810161916 A CN200810161916 A CN 200810161916A CN 101425925 B CN101425925 B CN 101425925B
- Authority
- CN
- China
- Prior art keywords
- message
- client computer
- string
- authentication
- proxy machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000005540 biological transmission Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 7
- 230000000295 complement effect Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 21
- 239000003795 chemical substances by application Substances 0.000 description 10
- 230000008859 change Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 239000003550 marker Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了提供数据通信认证的方法、系统和设备。优选实施例使用SNMP消息的公用串字段保证代理机和客户机之间SET操作的安全。每一个公用串只被使用一次,并且在两端由相同的安全算法确定新的公用串。使用的安全算法基于随机种子并可通过由种子产生足够复杂的新的公用串,为系统提供所需的安全性。所使用的公用串应包含足够的比特,使得任何监视通信的人不能使用随机/序列串。根据本发明的方法,系统和实体是很实用的,因为它们能够为诸如简单网络管理协议(SNMP)的一般的非安全的网络通信协议提供某种程度的保障和认证,并仍能保持这种通信方式的简单原理。
Description
本申请是申请日为2003年9月5日,申请号为03127293.2,发明名称为“提供数据通信认证的方法、系统和设备”的中国发明专利申请的分案申请。
技术领域
本发明主要涉及通过一个通信线路来进行的数据通信。
背景技术
简单网络管理协议(SNMP)是一个标准的应用层协议,通过该协议一个网络单元的管理信息可以被逻辑上的远程用户检查或修改。SNMP被广泛用于管理因特网或其它采用传输控制协议(TCP/IP)或用户数据报协议(UDP)的网络的客户机—服务器通信。然而,SNMP并不局限于特定的客户机—服务器通信协议,因为SNMP控制的是用于访问管理信息的消息(message)的内容和协议,而不是消息发送的具体方式。SNMP在J.Case、M.Fedor、M.Schoffstall和J.Davin的1990年5月题为“一个简单网络管理协议(SNMP)”的因特网标准文件RFC1175中定义,该文件在这里一并引用作为参考。
SNMP消息在网络中的客户机(在RFC1175中被称作“manager”:管理机)和服务器(在RFC1175中被称作“agent”:代理机)之间传递。每个SNMP消息为ASN.1标准的数据结构,该数据结构包括一个INTERGER类型的SNMP版本号、一个OCTETSTRING(8比特字节的字符串)类型的集合(community)名,和 ANY类型的数据。
SNMP规范定义了在五个不同类别的SNMP消息的数据部分中使用的协议数据单元(PDU)。PDU为ASN.1的数据结构,包括一个INTERGER类型的请求ID号(Request ID),一个INTERGER类型的错误状态(Error Status),一个INTERGER类型的错误索引(Error Index),一个SEQUENCE类型的VarBind,和作为VarBind的序列(SEQUENCE OF VarBind)的一个VarBindList。请求ID号识别PDU是否用于:一个用于获得管理对象的实例值的获取(Get)请求、一个用于获得值列表中的下一个值的获取下一个(Get next)请求、一个用于回答请求消息的获取(Get)应答消息、一个用于改变管理对象的实例值的设置(Set)请求,以及一个陷井(Trap)消息。一具体网络单元的管理对象在一个被称作管理信息库(MIB)的数据结构中定义。MIB包括该网络单元中的管理对象的对象标识(OID),而OID用路径名表示。
SNMP提供了一个很低水平的安全保障。没有一种足够安全的方法可用于配置使用基于SNMP通信的装置。而且存在着被窃听或监听的危险。监视代理机和客户机间的通信和假扮成一个代理机或客户机是很容易的。存在这样一种危险:即,一个未经认证的实体可能改变正在传输的SNMP消息。而且,任何可以陷入(trap into)网络的人都可以访问“集合串:community string”,因此未经授权的实体可以假装成授权实体的身份。
已有的一种方法是代理机具有一个认证服务,它使用集合名作为一类密码,如果认证服务确定集合名不能访问代理机,那么代理机将拒绝该消息。这一点在RFC1157中讨论,例如,在4.1.6.5章。然而,因为单一密码方法的简单性,监视实体间的通信、破解简单的密码、假装成任何一方仍是相当容易的。
另一种方法在专利公开US6,044,468中已经讨论过。客户机中 的一个加密服务程序通过一个秘密关键码来加密网络管理信息,该秘密关键码可被消息所指向的代理机识别。加密服务调用客户机的一个SNMP消息传输服务以形成一个安全的SNMP消息,该消息具有一个明显的对象标识(OID),可识别代理机中的一个加密服务,并具有一个包含加密结果的明显的值。该SNMP消息传输服务调用客户机端的一通信协议服务,以将安全SNMP消息发送给代理机。代理机端的一通信协议服务接收该安全SNMP消息,并将接受到的消息传送给代理机端的一SNMP消息接收服务。该SNMP消息接收服务检查安全SNMP消息中可见的集合名是否能够访问代理机,若能,则在代理机端的一个管理信息库(MIB)中搜索与OID相对应的一个子代理机,若找到这样的子代理机,则将该OID的明显的值调度(dispatch)给该子代理机。子代理机解密该明显值中的加密结果,若子代理机不能识别授权访问该代理机的秘密关键码,就拒绝该消息。然而,由于传输消息的加密和对基于额外验证的子代理机的需求,这种方法仍会增加系统的复杂性。这在SNMP中尤其是一个缺点,因为SNMP系统本来是被设计为适用于多种系统的简单而通用的通信协议。
考虑到基于SNMP的各种通信和系统所固有的限制,避免或减轻这些问题和与现有技术相关的其它问题正是所希望的。因此,需要有一种认证发自某一实体的消息的机制。而且,该机制应最大限度地与SNMP数据结构和协议相兼容。
发明内容
发明了一种方法和系统,用于普通的非安全网络通信协议,如简单网络管理协议(SNMP)中的实体认证。
依据本发明的第一个方面,提供了一种一种用于提供数据通信的认证的认证系统,包括:
第一认证串,其被提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户机和该代理机两者处提供相同值的算法确定,
可靠性检查程序,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该第一认证串,检查在该简单网络管理协议消息中接收的该第一认证串,来检查该第一认证串的可靠性,
另一认证串,其被提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,
其中该另一认证串被确定在被提供给该公用串字段的该第一认证串之后,
其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的该第一认证串,
对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,
当在接收的消息中的该第一认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该第一认证串时,该客户机和 该代理机中的一个根据未被认证的数据通信设置一操作。
根据本发明的第二方面,提供了一种根据简单网络管理协议,提供在客户机和代理机之间的通信线路上的数据通信的认证的设备,包括:
生成装置,用于生成第一认证串,该第一认证串被提供一次给待在该客户机和该代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该生成装置包括使用该共享的种子在该客户机和该代理机两者处的相同的算法,
可靠性检查装置,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该第一认证串,检查在该简单网络管理协议消息中接收的该第一认证串,来检查该第一认证串的可靠性,
其中另一认证串被提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,
其中该另一认证串被确定在被提供给该公用串字段的该第一认证串之后,
其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的第一认证串,
对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,
当在接收的消息中的该第一认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该第一认证串时,该客户机和该代理机中的一个根据未被认证的数据通信设置一操作。
根据本发明的第三方面,提供了一种根据简单网络管理协议,在发送网络实体和接收网络实体之间的通信线路上的数据通信的认证的方法,包括:
在发送网络实体和接收网络实体中的第一个上建立一种子;
与该在发送网络实体和接收网络实体中的第二个共享该建立的种子;
根据在该发送网络实体和接收网络实体两者处的该共享的种子,生成待被使用一次的第一认证串;
在该发送网络实体,将生成的该第一认证串结合到简单网络管理协议消息的公用串字段中,用于根据简单网络管理协议发送该第一消息;
在该接收网络实体接收该第一消息;
在该接收网络实体,检查该第一消息的公用串字段的该第一认证串与在该接收网络实体处生成的该第一认证串的一致性;
当该第一消息的公用串字段的该第一认证串与在该接收网络实体处生成的该第一认证串之间具有一致性时,认证该第一消息;
根据在该发送网络实体和该接收网络实体两者处的该共享的种子,生成待被使用一次的另一认证串;
根据该简单网络管理协议,在该发送网络实体将该另一认证串结合进该公用串字段用于发送另一消息;
在该接收网络实体接收该另一消息;
检查该另一消息的公用串字段的该另一认证串与在该接收网络实体处生成的该另一认证串的一致性;
当该另一消息的公用串字段的该另一认证串与在该接收网络实体处生成的该另一认证串之间具有一致性时,认证该另一消息;
其中各该发送网络实体和该接收网络实体包括客户机和代理机两者且被配置成作为该客户机和该代理机工作;
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的第一认证串。
为更好地理解本发明,可结合附图参考以下说明,本发明的范围在附加权利要求中被指出。
附图说明
将通过参照附图的例子来描述本发明,其中:
图1描述了一个运用了本发明原理的网络环境实施例,
图2描述了包含一用于根据本发明实施例的网络实体认证的动态变量标识符的加编码SNMP消息的例子。
图3以流程图和信号系统图组合的方式,描述了一个依据本发明实施例的在一般非安全网络通信协议中认证网络实体的方法。
图4以流程图的方式,描述了一个依据本发明实施例的在一般非安全网络通信协议中认证网络实体的集合方法。
具体实施方式
本发明的优选实施例提供了一种用于认证参与者身份的方法、系统和网络实体。该优选实施例将SNMP消息的公用串字段应用于基于安全设置的代理机和客户机间的操作。每一个公用的串只被使 用一次,且新的串在两方以相同的安全算法进行确定。使用的安全算法基于随机种子(random seed),并且通过由种子产生足够复杂的新的公用串,可以为系统提供所需的安全性。所应用的公用串应当包含足够的比特,使任何监视通信的人都无法使用随机/顺序串。最好,使用至少五个字符。依照本发明的方法、系统和实体是很实用的,因为它们为一般的非安全网络通信协议,如简单网络管理协议(SNMP),提供一定程度的安全和认证,并且仍保持这种通信方式的简单原理。
图1在前面已经描述过。在下文中,相同的参考标记对应相同的部分。本发明的一些实施例涉及客户机(100)。该客户机(100)被定义为通过网络(104)发送(还可能接收)消息的数据处理装置。客户机(100)可以是一个用户或者一个管理员的一个工作站(未示出)。该客户机(100)包括数据处理器(未示出)和存储器(未示出)。数据处理器执行存储器中的各种程序,并且程序的执行可能改变存储器中的信息状态。同样的,本发明的一些实施例还涉及代理机(102)。该代理机(102)被定义为接收(还可能发送)消息的数据处理装置。代理机(102)可以是被系统管理员配置的网络文件服务器。代理机(102)也包括数据处理器(未示出)和存储器(未示出)。更多的关于客户机和代理机的技术细节能够从标准化规范RFC1157中得到。
本发明的一些实施例涉及SNMP消息。该SNMP消息包括三个主要部分:协议版本、SNMP共有标识符也称作公用串或公用串字段,和数据区域。数据区域被分为协议数据单元(PDU)。SNMP消息应用ASN-1编码。在图2中可以看到编码SNMP消息的一个例子。公用串字段被存储在一个字符串中,在例子中,该字符串是一个包含字“公用(public)”的6-八位字节串。更多的关于SNMP消息的技术细节能够从标准化规范RFC1157中得到。
回到图1中的例子,客户机(100)使用简单网络管理协议(SNMP)检查或修改代理机(102)的管理信息。客户机(100)包括一个客户机应用程序(未示出),该客户机应用程序指定将被检查或修改的管理信息,并且代理机(102)包括一个能够访问或修改代理机(102)的存储器中的管理信息的代理机应用程序(未示出)。SNMP是一个应用层的协议,它能够被客户机应用程序或者代理机应用程序调用,以使用各种通信协议发送或接收消息。客户机100具有一个SNMP发送服务(未示出)和一个SNMP接收服务(未示出),分别用于发送和接收SNMP消息。SNMP发送服务调用一个通信协议服务(未示出)以通过网络(104)发送SNMP消息。以类似的方式,该通信协议服务可以从网络(104)接收SNMP消息并且将该消息引导至SNMP接收服务。代理机(102)同样也有一个SNMP发送服务(未示出)、一个SNMP接收服务(未示出)和一个通信协议服务(未示出)。该通信协议服务,使用例如传输控制协议(TCP/IP)或者用户数据报协议(UDP)。
仍参看图1的例子,两个实体(客户机100和代理机102)都有一个用于从种子计算新的公用串的安全算法程序(未示出)。该安全算法基于后文将详细说明的依赖实体而产生或者获得的种子。该安全算法程序接收种子。基于接收的种子,安全算法程序计算一个新的值/串,该值/串因此也是基于种子的。这个新的值是随机的且并非基于循环顺序系列(cyclical sequential series)。然而,这种计算循环有一点很重要,那就是,从该种子开始,这里讨论的该轮计算总是提供相同的值(相同的串)。这给系统提供一个好处:对于从种子开始的相同的一轮计算,安全算法程序可输出完全相同的结果。例如,1)一个字符串“qwerty”表示种子。2)安全算法程序接收该串“qwerty”并且产生一个新的串值“!”#¤%&/()=”。在这个步骤应当注意:尽管完全相同的实体中完全相同的程序可能不执行该操 作,也将产生完全一致的结果“!”#¤%&/()=”。例如,有相同安全算法程序的客户机和代理机在第一轮计算中将产生同样的结果。3)在第二轮计算中该安全算法程序产生一个新的串值“ASDFGHJKL”。当然,在该特定轮次的计算过程中,任何可操作设备中的任何安全算法程序都将再次产生这个结果,该安全算法程序可以基于,例如MD5。
MD5是一个用于通过由输入数据(可能是任何长度的消息)产生一个128比特消息摘要来验证数据完整性的算法,其中要求该输入数据对于该指定的数据是唯一的,就像指纹对于个人一样。在一个公开密钥密码系统中,MD5将和数字签名应用程序一起使用,而数字签名应用程序需要大的文件在用一个秘密关键码加密之前,必须在公共密钥密码系统下通过一个安全方法压缩。MD5是一个现行的标准,Internet工程任务小组(IETF)请求评论(RFC)1321,该标准一并在此作为引用。根据这个标准,任何两个已被输入到MD5算法的消息能够输出相同的消息摘要,或者一个错误的消息能够通过该消息摘要的解释而产生,“在计算上是不可能的”。MD5是第三消息摘要算法。全部三个算法(另外两个是MD2和MD4)都具有相同的结构,,但是,与后两个更适合32位机的规则相比较,MD2更适合8位机。MD5算法是MD4的一个扩展,MD4的临界复查(critical review)被认为很快,但是可能不是绝对安全。相比较,MD5不如MD4算法速度快,但是能够提供更多数据安全的保证。
仍参阅图1中的例子,代理机102还有一个用于生成种子的随机数产生器。最好是,该随机数发生器是一个伪随机数产生器(PRNG)。PRNG当需要大量随机数字时,为概率及统计应用程序而写的并用于其中的程序。大多数这些程序可产生无数个单一数字编号的串,通常是基于10的,即公知的十进制系统。当采用伪随机数的大样本时,在数组{0,1,2,3,4,5,6,7,8,9}中的10个 数字里的每个数字以基本上相同的频率出现,即使它们在队列里不是均等分布。例如,随机数产生器生成种子“qwerty”。可替换地,客户机100可以有一个随机数产生器,或者两个网络实体都有随机数产生器。
仍参阅图1中的例子,两个网络实体都存储一个可靠性检查程序(未示出)。该可靠性检查程序被应用在该系统中,用于检查公用串是否是所预期的串。下面描述该可靠性检查程序的一些操作。当从种子生成任何公用串时,计算出的公用串被加入到SNMP消息中用于认证并且传递到网络另一端。网络的另一端通过检查公用串字段并将接收到的公用串字段的值/串和由网络另一端的安全算法程序所获得的值/串进行比较,来检查SNMP消息的可靠性和有效性。如果值/串表示(或者本身是)相同,则可以推断该SNMP消息是可信的并且来自于正确可信的用户。如果接收到的公用串的值/串和接收端所计算的公用串值之间存在任何差别,则该可靠性检查程序输出一个错误。这表示可能存在一个未经授权的用户。
图3在前面已经描述过。在下文中,相同的附图标记对应相同的部分。图3中的例子有两个真实的网络实体或者也可以叫做网络节点:客户机100和代理机102。图3中的例子与依据一般非安全网络协议通信例如SNMP的操作是兼容的。两个网络实体中的任一个可生成种子(步骤300和302)。最好,代理机102通过随机数产生器程序生成种子。客户机100通过依据SNMP通信协议的获取(get)操作与代理机102联系。在这一步,种子可以事先生成或者也可以不事先生成,或者作为已经接收的SNMP通信的开始而生成。客户机100用任何公用串将该获取操作发送到厂商认证对象。代理机102接收通信并通过发送种子回答客户机100。最好,种子包含在SNMP消息的协议数据单元(PDU)字段中。种子具有足够多的有意义的比特来随机化实际的种子及任何基于该种子的衍生物。
参阅图3的例子,可替换地,种子可以在客户机100中生成,但是当然,种子通过SNMP消息与代理机102通信,以便协调用于安全算法过程的网络实体。
仍参阅图3的例子,在步骤304和306中从种子计算出一个新的公用串。代理机102和客户机100都通过安全算法程序从种子计算出新的公用串。所计算出的公用串存储在这两个实体中。其后,无论何时需要基于SET的操作时,已确定的用于用户验证的公用串都可随时使用。在步骤308,客户机已经收到一些网络操作的需求,这些需求最好能假定安全的一些级别。客户机100将新生成的公用串附加或合并到公用串字段中。客户机100发送基于SET的操作到代理机102。这种发送由基于那些包含公用串字段中已确定的串的消息的SNMP组成。在步骤308和310中,代理机102接收SNMP消息。代理机102检查该SNMP消息,特别是检查公用串字段。如果公用串字段是所预期的,例如,被发送的公用串字段的值与代理机102计算出的公用串字段的值相匹配,则代理机102就接受认证。代理机102可以通过发送一个肯定的确认给客户机100作为应答。可替换地,代理机102也可以将其生成的公用串字段的值附到应答SNMP消息中,用于客户机100进行的进一步认证。步骤308和310对当前使用的计算出的公用串字段值只使用一次。当已对这些值使用一次之后,在网络的两端,程序分别返回到步骤304和306。有利的是,认证串因此只被使用一次,使通过监视破解认证串更加困难。因此,无论何时需要更多的基于SET的操作时,或者一个单独的基于SET的操作假定要多于一次的消息认证时,或者因为某种原因,每个消息都要被认证时,在网络两端都可确定新的公用串(步骤304和306),并且在步骤308和310中,刚被确定的串在实际SET操作的认证过程中只被使用一次。步骤304和306以及步骤308和310的循环可被执行多次,只要网络两端保持相同的生成、应用轮次, 及相应地保持相同的公用串字段的值/串识别轮次。
仍参阅图3的例子,如果代理机102检测到其接收的公用串字段的值与其计算的公用串字段的值不匹配,则代理机102可以推断出该SNMP消息是不可信的。因而,代理机102可以忽略其接收到的该SNMP消息。代理机102返回程序到步骤300再次生成种子。代理机102可以回应一个错误确认(否定的确认)到发送该SNMP消息的一方。因此,发送SET操作SNMP消息的一方接收到关于失败的消息。现在,如果这一方是客户机100兼容的(以及不是任何冒名顶替的),它可以返回到程序中的步骤302,与代理机102再次建立合适的认证通信。
仍参阅图3的例子,当然,客户机100能够检测到其接收到的公用串字段的值与其计算的公用串字段的值不匹配,客户机100能推断出该SNMP消息是不可信的。
图4在前面已经描述过,在下文中,相同的参考标记对应相同的部分。在步骤400中生成种子。最好,种子由代理机102生成,并且该种子可能事先被确定并存储。可替换地,客户机100可以生成种子,或者两端都可生成种子并且由发起种子共享的一端确定主要的和被使用的种子。种子由上面图1中的例子中所描述的随机数生成程序生成。在步骤402中,客户机100开始获取操作。客户机100通过SNMP消息向代理机102发送获取请求(子步骤408)。这里的SNMP消息包括任何公用串字段的值。作为来自代理机102的应答,客户机100接收包含种子的SNMP消息。最好,该种子包含在SNMP消息的PDU字段中。这样,代理机102可通过获取应答(get-response)来应答客户机100(子步骤410)。最好,种子的比特量应足够大,使计算随机数的过程足够可靠。在步骤404中,由种子值计算基于认证的公用串字段的值。客户机100和代理机102都通过在结合图1例子的内容中描述的安全算法程序执行基于相同 种子的计算。客户机100获得一个基于SET的通信请求。基于种子计算出的值被嵌入到SNMP消息的公用串字段中。客户机100通过SNMP消息发送基于SET的操作到代理机102。该SNMP消息包括计算出的公用串字段的值。代理机102接收该SNMP消息,检查该SNMP消息的公用串字段的值。代理机102检查该SNMP消息的公用串字段的值是否与其通过安全算法程序由种子计算出的值相匹配。如果匹配,则代理机发送确认应答。代理机102还根据从客户机100接收的SET操作请求进行动作。步骤406确保在此过程中认证串只被使用一次。通过强制两端都从用于认证的种子生成一个新的公用串,两端都只执行步骤406一次,这样确保和提高了安全性。步骤404和406的循环能够被执行多次,只要网络两端保持相同的生成、应用轮次,及相应地保持相同的公用串字段的值/串识别轮次。
仍参阅图4中的例子,可替换地,该系统可以有附加认证步骤。在代理机102已接收了包含用于认证的第一公用串字段的值的SNMP消息之后,代理机102通常检查接收到的值和生成的值之间地移植性。代理机102现在可以将其通过安全算法程序生成的值,加到确认SNMP消息的公用串字段中,并将该信息发送给客户机100。客户机100接收到该消息,并且也检查其通过安全算法程序生成的、要发送给代理机102的值与接收到的确认SNMP消息值之间的移植性。如果匹配,则客户机100经历了一个双重认证检查。客户机100现在可能也得到了它在与一个已认证的代理机通信的确认。这对于在两端都发起认证甚至哪怕是假定认证的一些操作或功能是有好处的。例如,许多基于电信的金融交易都假定了参与者的权限。可再次看到,在这个可替换的实施例中,如果任何一端检测到公用串字段值之间存在不匹配,则意味着另外一方的可信性是可疑的。过程返回到步骤400。
至少有两个可引起返回的可选项。1)任何一方检测到值不匹配 并返回到起始步骤。另一个用户可能仍处于基于原始的种子生成新的公用串的循环中。然而,另一方即使没有接收到相关的明确消息也可能检查到存在一个错误。由于基于已请求的SNMP消息的操作没有提供结果,因此另一方可以推断出发生了错误并能返回到程序的开始。2)任何一方发送否定的确认SNMP消息给认证不匹配的另一方。该否定的确认消息可以包括一个重新开始生成种子的请求。
仍参阅图4中的例子,可替换地,每当SNMP消息在两个网络实体之间发送时,当前所使用的公用串字段的值都可改变。例如,第一个被确定的公用串字段的值被使用在基于从客户机到代理机的SET操作中。第二个公用串字段的值在两端都被确定,并且该第二个值被用在从代理机到客户机的应答中。
客户机(和代理机,分别)可以作为一个发送网络实体或者接收网络实体进行操作。因此,在根据一般非安全网络通信协议,例如SNMP的数据通信中,一对代理机-客户机形成了一对发送器-接收器(或者是接收器-发送器)。
这里描述了本发明的特定实现和实施例。熟悉本领域的技术人员应清楚本发明并不限于上面实施例介绍的细节,且本发明可在使用相同手段的其它实施例中实现,而不会偏离本发明的特征。本发明的范围仅由所附权利要求来界定。
Claims (6)
1.一种用于提供数据通信的认证的认证方法,包括:
将第一认证串提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户机和该代理机两者处提供相同值的算法确定,
将可靠性检查程序安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该第一认证串,检查在该简单网络管理协议消息中接收的该第一认证串,来检查该第一认证串的可靠性,
将另一认证串提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,
其中该另一认证串在被提供给该公用串字段的该第一认证串之后被确定,
其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的该第一认证串,
对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及
当在接收的消息中的该第一认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该第一认证串时,该客户机和该代理机中的一个根据未被认证的数据通信设置一操作。
2.根据权利要求1的方法,其中该简单网络管理协议消息包括三个部分:i)协议版本,ii)该公用串字段,和iii)被分成多个协议数据单元的数据区域,
该公用串字段是一简单的网络管理协议共用标识符,
该公用串字段作为字符串被存储。
3.根据权利要求2的方法,其中该简单网络管理协议消息使用ASN-1编码,及
在该客户机和该代理机两者处的该算法是基于MD2、MD4和MD5中的一种。
4.根据权利要求1的方法,其中该共享的种子是基于随机数发生器,该客户机和该代理机两者各自包括一个该随机数发生器,且该共享的种子在该客户机和该代理机中的一个处生成且然后被传送给该客户机和该代理机中的另一个。
5.一种用于提供数据通信的认证的认证装置,包括:
用于将第一认证串提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段的模块,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户机和该代理机两者处提供相同值的算法确定,
用于将可靠性检查程序安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该第一认证串,检查在该简单网络管理协议消息中接收的该第一认证串,来检查该第一认证串的可靠性的模块,
用于将另一认证串提供一次给该简单网络管理协议消息的该公用串字段的模块,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,
其中该另一认证串在被提供给该公用串字段的该第一认证串之后被确定,
其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的该第一认证串,
对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及
当在接收的消息中的该第一认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该第一认证串时,该客户机和该代理机中的一个根据未被认证的数据通信设置一操作。
6.一种根据简单网络管理协议在发送网络实体和接收网络实体之间的通信线路上的数据通信的认证的方法,包括:
在发送网络实体和接收网络实体中的第一个上建立一种子;
与该发送网络实体和接收网络实体中的第二个共享该建立的种子;
根据在该发送网络实体和接收网络实体两者处的该共享的种子,生成待被使用一次的第一认证串;
在该发送网络实体,将生成的该第一认证串结合到简单网络管理协议第一消息的公用串字段中,用于根据简单网络管理协议发送该第一消息;
在该接收网络实体接收该第一消息;
在该接收网络实体,检查该第一消息的公用串字段的该第一认证串与在该接收网络实体处生成的该第一认证串的一致性;
当该第一消息的公用串字段的该第一认证串与在该接收网络实体处生成的该第一认证串之间具有一致性时,认证该第一消息;
根据在该发送网络实体和该接收网络实体两者处的该共享的种子,生成待被使用一次的另一认证串;
根据该简单网络管理协议,在该发送网络实体将该另一认证串结合进该公用串字段用于发送另一消息;
在该接收网络实体接收该另一消息;
检查该另一消息的公用串字段的该另一认证串与在该接收网络实体处生成的该另一认证串的一致性;
当该另一消息的公用串字段的该另一认证串与在该接收网络实体处生成的该另一认证串之间具有一致性时,认证该另一消息;
其中各该发送网络实体和该接收网络实体包括客户机和代理机两者且被配置成作为该客户机和该代理机工作;
其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及
在该客户机和该代理机之间传送的多个消息中的各个消息包括不同的第一认证串。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20021594A FI113924B (fi) | 2002-09-06 | 2002-09-06 | Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi |
FI20021594 | 2002-09-06 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA031272932A Division CN1496056A (zh) | 2002-09-06 | 2003-09-05 | 提供数据通信认证的方法、系统和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101425925A CN101425925A (zh) | 2009-05-06 |
CN101425925B true CN101425925B (zh) | 2011-04-06 |
Family
ID=8564540
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA031272932A Pending CN1496056A (zh) | 2002-09-06 | 2003-09-05 | 提供数据通信认证的方法、系统和设备 |
CN200810161916XA Expired - Lifetime CN101425925B (zh) | 2002-09-06 | 2003-09-05 | 提供数据通信认证的方法、系统和设备 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA031272932A Pending CN1496056A (zh) | 2002-09-06 | 2003-09-05 | 提供数据通信认证的方法、系统和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20050076206A1 (zh) |
EP (1) | EP1396961B1 (zh) |
CN (2) | CN1496056A (zh) |
DE (1) | DE60302620T2 (zh) |
FI (1) | FI113924B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100856674B1 (ko) * | 2003-07-11 | 2008-09-04 | 인터내셔널 비지네스 머신즈 코포레이션 | 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법 |
US7779420B1 (en) * | 2003-09-29 | 2010-08-17 | Cisco Technology, Inc. | Verifying information stored on a managed network device |
DE102005014775B4 (de) * | 2005-03-31 | 2008-12-11 | Nokia Siemens Networks Gmbh & Co.Kg | Verfahren, Kommunikationsanordnung und Kommunikationseinrichtung zur Steuerung des Zugriffs auf zumindest eine Kommunikationseinrichtung |
CN100425022C (zh) * | 2005-06-22 | 2008-10-08 | 腾讯科技(深圳)有限公司 | 在通信设备间产生相同随机数的方法及系统 |
US7555826B2 (en) | 2005-12-22 | 2009-07-07 | Avery Dennison Corporation | Method of manufacturing RFID devices |
US7877469B2 (en) * | 2006-02-01 | 2011-01-25 | Samsung Electronics Co., Ltd. | Authentication and authorization for simple network management protocol (SNMP) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000014925A2 (en) * | 1998-09-09 | 2000-03-16 | Musicmarc Inc. | Method and system for the protected distribution of network files |
WO2001024444A2 (en) * | 1999-09-28 | 2001-04-05 | Thomson Licensing S.A. | System and method for initializing a simple network management protocol (snmp) agent |
CN1320344A (zh) * | 1999-08-16 | 2001-10-31 | 诺基亚网络有限公司 | 移动通信系统的认证 |
CN1357986A (zh) * | 2000-11-24 | 2002-07-10 | 艾利森电话股份有限公司 | 移动电信网络中的欺骗检测方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6226383B1 (en) * | 1996-04-17 | 2001-05-01 | Integrity Sciences, Inc. | Cryptographic methods for remote authentication |
US6690289B1 (en) * | 1997-06-12 | 2004-02-10 | Microsoft Corporation | Message formatting, authentication, and error detection in home control systems |
US6044468A (en) * | 1997-08-25 | 2000-03-28 | Emc Corporation | Secure transmission using an ordinarily insecure network communication protocol such as SNMP |
US6047072A (en) * | 1997-10-23 | 2000-04-04 | Signals, Inc. | Method for secure key distribution over a nonsecure communications network |
US6664978B1 (en) * | 1997-11-17 | 2003-12-16 | Fujitsu Limited | Client-server computer network management architecture |
US6851052B1 (en) * | 1998-12-10 | 2005-02-01 | Telcordia Technologies, Inc. | Method and device for generating approximate message authentication codes |
US6985583B1 (en) * | 1999-05-04 | 2006-01-10 | Rsa Security Inc. | System and method for authentication seed distribution |
US6988148B1 (en) * | 2001-01-19 | 2006-01-17 | Cisco Technology, Inc. | IP pool management utilizing an IP pool MIB |
US20030210699A1 (en) * | 2002-05-08 | 2003-11-13 | Adc Dsl Systems, Inc. | Extending a network management protocol to network nodes without IP address allocations |
-
2002
- 2002-09-06 FI FI20021594A patent/FI113924B/fi not_active IP Right Cessation
-
2003
- 2003-09-05 CN CNA031272932A patent/CN1496056A/zh active Pending
- 2003-09-05 EP EP03396080A patent/EP1396961B1/en not_active Expired - Lifetime
- 2003-09-05 US US10/656,887 patent/US20050076206A1/en not_active Abandoned
- 2003-09-05 DE DE60302620T patent/DE60302620T2/de not_active Expired - Lifetime
- 2003-09-05 CN CN200810161916XA patent/CN101425925B/zh not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000014925A2 (en) * | 1998-09-09 | 2000-03-16 | Musicmarc Inc. | Method and system for the protected distribution of network files |
CN1320344A (zh) * | 1999-08-16 | 2001-10-31 | 诺基亚网络有限公司 | 移动通信系统的认证 |
WO2001024444A2 (en) * | 1999-09-28 | 2001-04-05 | Thomson Licensing S.A. | System and method for initializing a simple network management protocol (snmp) agent |
CN1357986A (zh) * | 2000-11-24 | 2002-07-10 | 艾利森电话股份有限公司 | 移动电信网络中的欺骗检测方法 |
Also Published As
Publication number | Publication date |
---|---|
US20050076206A1 (en) | 2005-04-07 |
DE60302620D1 (de) | 2006-01-12 |
CN1496056A (zh) | 2004-05-12 |
FI20021594A0 (fi) | 2002-09-06 |
CN101425925A (zh) | 2009-05-06 |
FI113924B (fi) | 2004-06-30 |
EP1396961A1 (en) | 2004-03-10 |
EP1396961B1 (en) | 2005-12-07 |
DE60302620T2 (de) | 2006-06-22 |
FI20021594A (fi) | 2004-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6987853B2 (en) | Method and apparatus for generating a group of character sets that are both never repeating within certain period of time and difficult to guess | |
Bird et al. | Systematic design of a family of attack-resistant authentication protocols | |
CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
KR101580485B1 (ko) | 보안 기능 평가 시스템 및 방법 | |
CN110417790B (zh) | 区块链实名制排队系统及方法 | |
CN102780698A (zh) | 物联网平台中用户终端安全通信的方法 | |
CN107483415B (zh) | 一种共享用电交互系统的双向认证方法 | |
CN111884811B (zh) | 一种基于区块链的数据存证方法和数据存证平台 | |
CN112863017A (zh) | 一种智慧社区楼宇对讲系统动态密码开锁装置、方法、设备及存储介质 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN104125230A (zh) | 一种短信认证服务系统以及认证方法 | |
WO2015096905A1 (en) | A method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
CN108616350A (zh) | 一种基于对称密钥池的HTTP-Digest类AKA身份认证系统和方法 | |
CN101425925B (zh) | 提供数据通信认证的方法、系统和设备 | |
CN109726578A (zh) | 一种新型动态二维码防伪解决办法 | |
CN107888548A (zh) | 一种信息验证方法及装置 | |
Jin et al. | Proof of aliveness | |
CN116108416A (zh) | 一种应用程序接口安全防护方法及系统 | |
Almuzaini et al. | Formal analysis of the signal protocol using the scyther tool | |
CN113794568A (zh) | 接口安全验证方法、访问接口的方法、装置、设备和介质 | |
KR20020083551A (ko) | 멀티에이전트 기반 다단계 사용자 인증 시스템 개발과운용 방법 | |
Yuan et al. | A PUF-based lightweight broadcast authentication protocol for multi-server systems using blockchain | |
CN111669380B (zh) | 一种基于运维审计系统的免密登录方法 | |
Patiyoot | Patiyoot 2: Key Distribution, and Session Key for Authentication Protocol in Wireless Network | |
CN115965373A (zh) | 一种支付交易处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20110406 |
|
CX01 | Expiry of patent term |