CN1149787C - 在简单网络管理协议上增加用户安全验证的方法 - Google Patents
在简单网络管理协议上增加用户安全验证的方法 Download PDFInfo
- Publication number
- CN1149787C CN1149787C CNB011179899A CN01117989A CN1149787C CN 1149787 C CN1149787 C CN 1149787C CN B011179899 A CNB011179899 A CN B011179899A CN 01117989 A CN01117989 A CN 01117989A CN 1149787 C CN1149787 C CN 1149787C
- Authority
- CN
- China
- Prior art keywords
- network management
- managed device
- management workstation
- protocol
- coding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种在简单网络管理协议上增加用户安全验证的方法,为了增加SNMPv1的安全性,在简单网络管理协议上增加了用户安全验证,在网管站与被管设备之间建立一个传输控制协议(TCP)连接;如果验证通过,网管站与被管设备之间将保持这个TCP连接,如果验证失败,TCP连接将断开,当安全连接断开时,该网管站地址将从该列表中删除,此TCP连接称为安全连接,建立安全连接时的验证过程称为安全验证协议。安全验证协议的引入弥补了SNMPv1协议安全性方面的缺陷。用户验证过程中,密码通过MD5加密后进行传输,安全性比较高。对于固定地址网管站和动态地址网管站,此协议部可以得到应用,因此,该方法提高了简单网络管理协议的安全性。
Description
本发明涉及网络管理的方法,更具体地涉及通过基于用户的安全验证来增加简单网络管理协议-版本一(SNMPv1)的安全性的方法。
在IP网络中,网管工作站同被管设备之间一般采用RFC1157里所规定的简单网络管理协议(SNMP),SNMP协议有多个版本,包括版本一(SNMPv1)、版本二(SNMPv2)和版本三(SNMPv3)。SNMPv1采用基于团体名的验证方式,就是在网管站发出的每个请求报文的报头中携带一个团体名字符串,团体名分为两个级别:只读团体名和读写团体名。在GET、GETNEXT请求报文中必须携带只读团体名或读写团体名;在SET请求报文中必须携带读写团体名。设备上的网管代理收到请求报文后,根据团体名字符串是否与设备中保存的相应级别团体名一致,决定是否接受该报文。
在SNMPv1协议中,由于团体名在SNMP报文中是作为一个字符串,在IP网络中用明文进行传输,很容易被他人截获,设备的安全性得不到很好的保障
在现有的数据网络中的设备上,SNMPv1协议已经大量采用。为了增强安全性,一般使用了如下方法:在设备上配置访问控制主机列表,保存能访问该设备的网管站地址。不在此列表中的网管站不能访问该设备。这种方法的一个缺点是:访问控制主机列表由手工配置,适用于固定地址网管站的情况,而不适用于动态地址网管站的情况。有关这一方面的现有技术,可以查阅由岭贤道和安常青编著的《网络管理协议及应用开发》一书,该书由清华大学出版社于1998年7月出版。
本发明的目的,是提供一种基于用户的安全验证来增加简单网络管理协议-版本一(SNMPv1)的安全性的方法,以便解决SNMPv1的安全性不够的问题。
本发明的另一个目的,是使该方法能够保证固定地址网管站和动态地址网管站都能安全地访问被管设备。
本发明的上述目的通过下述技术方案实现:一种在简单网络管理协议上增加用户安全验证的方法,简单网络管理协议(SNMP)报文的传送基于无连接的用户数据报协议(UDP协议),为了增加SNMPv1的安全性,在网管站和被管设备通信时,在简单网络管理协议上增加用户安全验证的方法,包括如下步骤:
具有主机的网管站向被管设备的安全连接端口发出传输控制协议(TCP)连接请求并与被管设备之间建立一个传输控制协议(TCP)连接;
在具有主机的网管站与被管设备之间进行一次用户名和口令的验证;
如果验证通过,网管站与被管设备之间将保持这个TCP连接,这时的连接称安全连接,并且以后被管设备会周期性地向网管站进行验证;
网管站通过验证后,被管设备把该网管站地址及对应等级添加到访问控制主机地址列表中,被管设备用访问控制主机列表对收到的SNMP请求报文进行验证;
被管设备查找访问控制主机地址列表,对SNMP请求报文的来源进行合法性判断,请求报文的源地址不在此列表中时拒绝访问,请求报文的源地址在此列表中但操作权限不够时拒绝访问;
如果上述网管站(1)没有通过验证,则安全连接断开,此时该网管站地址将从该列表中删除;
如果上述在具有主机的网管站(1)与被管设备(2)之间进行一次用户名和口令的验证失败,则TCP连接将断开。
本发明的方法还包括如下附加技术特征:
所述验证的用户名可以分为不同的等级,对应不同的操作权限。
所述被管设备保存一张访问控制主机地址列表,访问控制主机列表中记录所有可通过SNMP协议访问设备的网管站地址和对应等级。
所述被管设备(2)会周期性地向网管站(1)进行验证的过程中,即安全验证协议中,所传送的数据包分为包头和数据两个部分。
所述的包头部分有四个字节,数据部分是可选的,由包类型决定。
所述的包头部分的四个字节为:“长度”是报文的全长,包括包头和数据;
“版本”是版本号,目前为1;
“类型”是报文类型,取值如下:
1 表示:查询包,
2 表示:响应包,
3 表示:验证结果包;
“编码”是对应某种报文的编码。
所述的“编码”是对应某种报文的编码,其编码方式为:
(1)当“类型”=1,即“查询包”时,“编码”=1表明验证类型为MD5,此时“数据”域中为“魔术数字”即一个随机数;
(2)当“类型”=2,即“响应包”时,“编码”=1表明验证类型为MD5,
“数据”域中为:“用户名”+“摘要数据”,其中“摘要数据”通过对“魔术数字+口令”进行MD5运算获得;
(3)当“类型”=3时,即“验证结果”时,
“编码”=1,表示验证成功,
“编码”=2,表示验证失败,
验证成功时,“数据”域的第一个字节表示用户等级。
所述的安全验证协议的安全连接保持期间,网管站(1)与被管设备(2)之间可以有一个或多个SNMP请求。
本发明安全验证协议的引入,弥补了SNMPv1协议安全性方面的缺陷。用户验证过程中,密码通过MD5加密后进行传输,安全性比较高。对于固定地址网管站和动态地址网管站,此协议都可以得到应用,因此,该方法提高了简单网络管理协议的安全性。
现结合附图说明本发明的实施例,以便进一步理解本发明的方法。
图1是本发明的方法中安全连接的示意图;
图2是本发明的方法中安全验证协议的数据包构成的示意图;
图3是本发明的方法中安全验证协议原理的示意图;
图4是本发明的方法中安全连接的建立、保持和断开的示意图。
图1是本发明的方法中安全连接的示意图,示出一种在简单网络管理协议上增加用户安全验证的方法,简单网络管理协议(SNMP)报文的传送基于无连接的用户数据报协议(UDP协议),为了增加SNMPv1的安全性,在网管站1和被管设备2通信时,在简单网络管理协议上增加用户安全验证的方法,包括如下步骤:
具有主机的网管站1向被管设备2的安全连接端口发个传输控制协议(TCP)连接请求3并与被管设备2之间建立一个传输控制协议(TCP)连接;
在具有主机的网管站1与被管设备2之间进行一次用户名和口令的验证;
如果验证通过,网管站1与被管设备2之间将保持这个TCP连接,这时的连接称安全连接,并且以后被管设备2会周期性地向网管站1进行验证;
网管站1通过了验证后,被管设备2把该网管站地址及对应等级添加到访问控制主机地址列表中(步骤4),被管设备2用访问控制主机列表8对收到的SNMP请求报文5进行验证;
被管设备2查找访问控制主机地址列表,对SNMP请求报文进行合法性判断(步骤6),请求报文的源地址不在此列表中时拒绝访问,请求报文的源地址在此列表中但操作权限不够时拒绝访问;
如果验证失败,TCP连接将断开,当安全连接断开时,该网管站地址将从该列表中删除。
上述TCP连接称为安全连接。
所述验证的用户名可以分为不同的等级,对应不同的操作权限。
所述被管设备2保存访问控制主机地址列表,访问控制主机列表中记录所有可通过SNMP协议访问设备的网管站地址和对应等级。建立安全连接时的验证过程称为安全验证协议。
图2是本发明的方法中安全验证协议的数据包构成的示意图;安全验证协议的数据包分为包头和数据两个部分。包头部分有四个字节,数据部分是可选的,由包类型决定:
“长度”是报文的全长,包括包头和数据;
“版本”是版本号,目前为1;
“类型”是报文类型,取值如下:
1表示:查询包,
2表示:响应包,
3表示:验证结果包;
“编码”是对应某种报文的编码:
(1)当“类型”=1,即“查询包”时,“编码”=1表明验证类型为MD5(MD5是一种算法,用于计算报文摘要),
此时“数据”域中为“魔术数字”即一个随机数,
例:
当“魔术数字”=12345时,
“数据”域中内容为字符串:″12345″;
(2)当“类型”=2,即“响应包”时,“编码”=1表明验证类型为MD5,
“数据”域中为:“用户名”+MD5(“魔术数字”+“口令”),
例:
用户名:linwei,
口令:37341w,
魔术数字:12345,
则摘要数据为:MD5(“魔术数字”+ 口令”)=MD5(″1234537341w″)=
2ccf0210c9882bedc19a1b2d065a8baa,
则“数据”域中内容为:
″linwei\02ccf0210c9882bedc19a1b2d065a8baa\0″,
用户名与摘要数据均有’\0’结尾;
(3)当“类型”=3时,即“验证结果”时,
“编码”=1,表示验证成功,
“编码”=2,表示验证失败,
验证成功时,“数据”域的第一个字节表示用户等级。
图3是本发明的方法中安全验证协议原理的示意图,示出安全验证协议一个验证周期的报文交互过程:只要网管站1向被管设备2的安全验证端口9(例如:TCP808端口)发起建立了一个TCP连接,被管设备2就会定期向网管站1发出查询包10进行验证,网管站1向被管设备2的安全验证端口9发出响应包11,直到验证结果为成功12或验证结果为失败13或网管站1断开连接。验证周期的长短可以在被管设备2上配置。
图4是本发明的方法中安全连接的建立、保持和断开的示意图。如图4所示:本发明的方法中安全连接建立、保持和断开的全过程包括如下步骤:
(1)网管站1向被管设备2的安全验证端口发起TCP连接请求3;
(2)TCP连接建立后,被管设备2根据安全验证协议,对网管站1进行第一次验证,如果收到响应并且验证结果为成功,被管设备2和网管站1之间的安全连接即建立并保持;
(3)被管设备2每隔一段时间,定期对网管站1进行验证,如图4所示的第二次验证到第n次验证;验证通过,则安全连接保持;
(4)如果某次验证时,如果被管设备2的查询包发送失败,或者查询包发送成功但没有收到网管站1的响应包,或者被管设备2收到响应包但验证结果为失败,被管设备2就断开与该网管站1的安全连接;
(5)安全连接是建立在TCP连接之上的,如果TCP连接断开了,安全连接也自动断开;
(6)在安全连接保持期间,被管设备认为网管站是可信赖的,这时在简单网络管理协议上增加用户安全验证的方法是有效的,这时在网管站与被管设备之间可以有一个或多个SNMP请求。
根据上述实施例描述可知,虽然本发明在简单网络管理协议上增加用户安全验证的方法只描述了应用于解决SNMPv1的安全性,但是本领域的普通技术人员可以根据本发明方法的基本步骤,进行修改或变型应用于类似的数据传输的方法中,其实质内容也应当属于本发明的利要求书所限定方法的保护范围。
Claims (8)
1、一种在简单网络管理协议上增加用户安全验证的方法,简单网络管理协议(SMP)报文的传送基于无连接的用户数据报协议(UDP协议),为了增加SMPv 1的安全性,在网管站(1)和被管设备(2)通信时,在简单网络管理协议上增加用户安全验证的方法,其特征在于包括如下步骤:
具有主机的网管站(1)向被管设备(2)的安全连接端口发出传输控制协议(TCP)连接请求(3)并与被管设备(2)之间建立一个传输控制协议(TCP)连接;
在具有主机的网管站(1)与被管设备(2)之间进行一次用户名和口令的验证;
如果验证通过,网管站(1)与被管设备(2)之间将保持这个TCP连接,这时的连接称安全连接,并且以后被管设备(2)会周期性地向网管站(1)进行验证;
网管站(1)通过验证后,被管设备(2)把该网管站地址及对应等级添加到访问控制主机地址列表中(4),被管设备(2)用访问控制主机列表(8)对收到的SNMP请求报文(5)进行验证;
被管设备(2)查找访问控制主机地址列表(8),对SNMP请求报文的来源进行合法性判断(6),请求报文的源地址不在此列表中时拒绝访问,请求报文的源地址在此列表中但操作权限不够时拒绝访问;
如果上述网管站(1)没有通过验证,则安全连接断开,此时该网管站地址将从该列表中删除;
如果上述在具有主机的网管站(1)与被管设备(2)之间进行一次用户名和口令的验证失败,则TCP连接将断开。
2、根据权利要求1所述的方法,其特征在于:所述验证的用户名可以分为不同的等级,对应不同的操作权限。
3、根据权利要求2所述的方法,其特征在于:所述被管设备(2)保存一张访问控制主机地址列表,访问控制主机列表中记录所有可通过SNMP协议访问设备的网管站地址和对应等级。
4、根据权利要求1所述的方法,其特征在于:所述被管设备(2)会周期性地向网管站(1)进行验证的过程中,即安全验证协议中,所传送的数据包分为包头和数据两个部分。
5、根据权利要求4所述的方法,其特征在于:所述的包头部分有四个字节,数据部分是可选的,由包类型决定。
6、根据权利要求5所述的方法,其特征在于:所述的包头部分的四个字节为:
“长度”是报文的全长,包括包头和数据;
“版本”是版本号,目前为1;
“类型”是报文类型,取值如下:
1表示:查询包,
2表示:响应包,
3表示:验证结果包;
“编码”是对应某种报文的编码。
7、根据权利要求6所述的方法,其特征在于:所述的“编码”是对应某种报文的编码,其编码万式为:
(1)当“类型”=1,即“查询包”时,“编码”=1表明验证类型为MD5,此时“数据”域中为“魔术数字”即一个随机数;
(2)当“类型”=2,即“响应包”时,“编码”=1表明验证类型为MD5,
“数据”域中为:“用户名”+“摘要数据”,其中“摘要数据”通过对“魔术数字+口令”进行MD5运算获得;
(3)当“类型”=3时,即“验证结果”时,
“编码”=1,表示验证成功
“编码”=2,表示验证失败
验证成功时,“数据”域的第一个字节表示用户等级。
8、根据权利要求7所述的方法,其特征在于:所述的安全验证协议的安全连接还包括如下步骤:
在安全连接保持期间,网管站(1)与被管设备(2)之间可以有一个或多个SNMP请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011179899A CN1149787C (zh) | 2001-04-29 | 2001-04-29 | 在简单网络管理协议上增加用户安全验证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB011179899A CN1149787C (zh) | 2001-04-29 | 2001-04-29 | 在简单网络管理协议上增加用户安全验证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1384642A CN1384642A (zh) | 2002-12-11 |
| CN1149787C true CN1149787C (zh) | 2004-05-12 |
Family
ID=4662904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB011179899A Expired - Fee Related CN1149787C (zh) | 2001-04-29 | 2001-04-29 | 在简单网络管理协议上增加用户安全验证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1149787C (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1592172B1 (en) * | 2003-02-06 | 2016-04-13 | Panasonic Corporation | Information transmission system, information transmission method, electric device communication device, information communication device, communication control program |
| CN100366026C (zh) * | 2003-07-06 | 2008-01-30 | 华为技术有限公司 | 一种在路由设备中实现报文转发控制的方法 |
| CN100456689C (zh) * | 2003-08-06 | 2009-01-28 | 华为技术有限公司 | 一种网络管理安全认证的方法 |
| US20070162674A1 (en) * | 2004-03-10 | 2007-07-12 | Germano Leichsenring | Access control system, and access control device and resource providing device used for the same |
| CN100478936C (zh) * | 2004-07-09 | 2009-04-15 | 株式会社知识潮 | 不正当连接检测系统及不正当连接检测方法 |
| CN100426753C (zh) * | 2006-07-24 | 2008-10-15 | Ut斯达康通讯有限公司 | 一种基于snmp的网络管理方法 |
| CN100504908C (zh) * | 2006-12-26 | 2009-06-24 | 中国电信股份有限公司 | 保护射频识别标签及读取器数据安全的方法和系统 |
| CN101277215B (zh) * | 2007-03-28 | 2011-06-08 | 中国电信股份有限公司 | 通过端口代理中继实现远程设备监控管理的系统和方法 |
| CN101282234B (zh) * | 2007-04-06 | 2010-12-29 | 中兴通讯股份有限公司 | 一种基于简单网管协议代理多变量分组设置方法 |
| CN102148704A (zh) * | 2011-01-19 | 2011-08-10 | 武汉迈威光电技术有限公司 | 一种加密型交换机通用网管接口的软件实现方法 |
| CN107770116A (zh) * | 2016-08-15 | 2018-03-06 | 深圳华云数码有限公司 | 基于会话连接的安全验证方法及网络设备 |
| CN107257302A (zh) * | 2017-08-18 | 2017-10-17 | 郑州云海信息技术有限公司 | 一种增强snmp协议安全的方法及系统 |
| US11354073B2 (en) | 2019-04-26 | 2022-06-07 | Canon Kabushiki Kaisha | Information processing apparatus, storage medium, and control method |
| CN113742711B (zh) * | 2020-10-20 | 2024-10-18 | 北京沃东天骏信息技术有限公司 | 容器访问的方法和装置 |
-
2001
- 2001-04-29 CN CNB011179899A patent/CN1149787C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1384642A (zh) | 2002-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1149787C (zh) | 在简单网络管理协议上增加用户安全验证的方法 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| CN1191696C (zh) | 一种无线局域网移动设备安全接入及数据保密通信的方法 | |
| CN1949765B (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN1756234A (zh) | 服务器、vpn客户机、vpn系统及软件 | |
| US8515996B2 (en) | Secure configuration of authentication servers | |
| CN1753364A (zh) | 网络接入控制方法及系统 | |
| CN1744494A (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN111447276A (zh) | 一种具有密钥协商功能的加密续传方法 | |
| CN103338185B (zh) | 一种文件共享的方法及系统 | |
| CN1340940A (zh) | 用于处理分组业务的接入-请求消息的方法 | |
| CN101047978A (zh) | 对用户设备中的密钥进行更新的方法 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1585334A (zh) | 服务器设备,通信系统和给网络分配安全性策略的方法 | |
| CN1956376A (zh) | 一种宽带接入用户认证方法 | |
| CN101047493A (zh) | 获取简单网络管理协议管理密钥的方法及系统 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1627682A (zh) | 网络传输中建立连接时动态密码的创建方法 | |
| CN114827150A (zh) | 一种物联网终端数据上链适配方法、系统及存储介质 | |
| CN113783868B (zh) | 一种基于商用密码保护闸机物联网安全的方法及系统 | |
| CN1668000A (zh) | 用于无线网络的鉴别与保密方法 | |
| CN1933418A (zh) | 一种应用简单网络管理协议的网络管理系统和方法 | |
| CN114465787A (zh) | 一种基于dpi的物联网加密流量监控方法 | |
| CN1852222A (zh) | 无线接入宽带用户的管理方法及其装置 | |
| CN1599314A (zh) | 一种基于s/key系统双向认证的一次性口令验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: SHANGHAI HUAWEI TECHNOLOGIES CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO LTD Effective date: 20100908 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518057 HUAWEI YONGFU BUILDING, KEFA ROAD, SHENZHEN SCIENCE PARK, GUANGDONG PROVINCE TO: 200121 NO.615, NINGQIAO ROAD, PUDONG NEW DISTRICT, SHANGHAI |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20100908 Address after: 200121 No. 615 Nanjing Road, Shanghai, Pudong New Area Patentee after: Shanghai Huawei Technologies Co., Ltd. Address before: 518057 Guangdong city of Shenzhen province science and Technology Park of HUAWEI Road Service Building Patentee before: Huawei Technologies Co., Ltd. |
|
| DD01 | Delivery of document by public notice |
Addressee: Cheng Xuxin Document name: Notification of Passing Examination on Formalities |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040512 Termination date: 20110429 |