CN1213582C - 初始化简单网络管理协议代理的系统和方法 - Google Patents

初始化简单网络管理协议代理的系统和方法 Download PDF

Info

Publication number
CN1213582C
CN1213582C CNB008135274A CN00813527A CN1213582C CN 1213582 C CN1213582 C CN 1213582C CN B008135274 A CNB008135274 A CN B008135274A CN 00813527 A CN00813527 A CN 00813527A CN 1213582 C CN1213582 C CN 1213582C
Authority
CN
China
Prior art keywords
snmp
network management
simple network
management protocol
octet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CNB008135274A
Other languages
English (en)
Other versions
CN1385020A (zh
Inventor
威廉·H·约斯特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital CE Patent Holdings SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN1385020A publication Critical patent/CN1385020A/zh
Application granted granted Critical
Publication of CN1213582C publication Critical patent/CN1213582C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种用于在SNMPv3模式下初始化SNMP代理的系统和方法。本发明一方面提供一种方法,它允许操作员安全地给SNMPv3设备输入初始SNMPv3保密和鉴别密钥并让该设备进入SNMPv3模式。SNMP管理器和SNMP代理都产生一个相关的随机数和公用值(步骤100、101、200、201)。SNMP管理器在配置文件中将它的公用值传递到SNMP代理,它使得能够用SNMP管理器的公用值设置SNMPv3设备中的专用MIB组件(步骤202、204)。SNMP管理器使用具有对SNMP代理的公用值进行访问的初始有效用户,通过SNMP请求读取SNMP代理的公用值(步骤103、203)。SNMP代理和SNMP管理器分别独立地使用Diffie-Hellman密钥交换协议计算一个共享的秘密(步骤105、204)。SNMP管理器和SNMP代理分别独立地将该共享的秘密转换成同一可读口令(步骤106、205),将该可读口令转换成同一秘密密钥(步骤107、206),然后将初始鉴别密钥和初始保密密钥都设置成该秘密密钥的值(步骤108、207)。

Description

初始化简单网络管理协议代理的系统和方法
技术领域
总的来说,本申请涉及一种初始化简单网络管理协议(simple networkmanagement protocol,SNMP)代理(代理程序)的系统和方法,具体地说,涉及一种用于为SNMPv3网络管理设备的第一用户产生鉴别和专用密钥,并且安全地将这些密钥输入该设备以便将该设备初始化为SNNDv3模式的系统和方法。
背景技术
总的来说,SNMP是使用于网络中来方便在网络化设备之间交换管理信息的标准应用层协议。SNMPv3的框架分别将标准安全性和已知的访问控制协议定义成基于用户的安全模型(User-Based Security Model,USM)和基于观察的访问控制模型(View-Based Access Control Model,VACM)。SNMPv3标准是一种可扩展的梗概式(bare-bones)协议,它允许设备出售者合并一些自己专用的管理信息库(management information base,MIB)组件,并且允许在标准SNMP框架的顶层上执行应用。
一般情况下,SNMP网络包括多个分布式SNMP实体,其中每个分布式SNMP实体包含一个或多个SNMP代理(agent)和一个或多个SNMP管理器(manager)(虽然实体可以既包含代理又包含管理器),它们使用SNMP消息通信。SNMP管理器(或NMS(网络管理站)负责管理SNMP管理器的域内的一个或多个SNMP。SNMP代理包括在由SNMP管理器管理的网络(例如,计算机、服务器等)的每个节点(或主机)上。每个代理负责收集和维护关于其环境的信息,并将这样的信息提供给对应SNMP管理器和响应管理器命令改变本地配置或所管理的节点的工作参数。每个SNMP代理维护一个本地MIB(管理信息库,它是包含管理信息即关于本地配置的当前和历史信息以及所管理的设备(节点)的通信量(traffic)的虚拟信息仓库(store)。更具体地说,SNMP代理MIB包含将接收管理的设备的被管理对象的一个集合,在其中,有关对象的集合在MIB模块中进行定义。
在SNMPv3模式下,SNMP代理执行标准USM(基于用户的安全模型),在其中,经由由SNMP-USER-BASED-SM-MIB模块(例如,在RFC2574,由Blumenthal等,1999年4月,“适用于简单网络管理协议第三版的基于用户的安全模型(USM)”进行了详细说明)定义的MIB组件管理适用于USM的配置参数。如现有技术所已知的,对于USM,与SNMPv3代理关联的所有合法用户使用唯一的秘密鉴别密钥和唯一的专用密钥(和标准协议),以鉴别输入/输出消息并加密/解密输入/输出消息的有效载荷。此外,在SNMPv3模式下,SNMP代理使用基于观察访问控制模型(View-based Access ControlModel,VACM)由该代理(响应于SNMP应用的调用)用于确定是否将访问的具体类型(读、写)授权给请求检索或修改本地MIB管理数据的SNMP管理器,或者是否授权管理器接收该代理的通知(陷阱(traps))。经由由后面将详细说明的SNMP-VIEW-BASED-ACM-MIB模块(例如,在RFC2575,由Wijnen等,1999年4月,“适用于简单网络管理协议的基于观察的访问控制模型(VACM)”)定义的MIB组件管理适用于VACM的配置参数。
各种应用和网络体系结构实现SNMP框架。例如,SNMP协议已经选为用于基于DOCSIS(电缆业务的数据接口规范(Data Over Cable ServiceInterface Specifications))的电缆调制解调器系统的管理的通信协议。DOCSIS电缆调制解调器配置有SNMP代理,它允许管理器(DOCSIS电缆调制解调器系统的操作员)远程地管理和配置终端用户的电缆调制解调器。然而,目前的DOCSIS电缆调制解调器系统框架不提供将初始鉴别和专用密钥输入电缆调制解调器以便初始化SNMPv3模式下的电缆调制解调器的标准协议,设备供应必须提供执行这种初始化的专用协议。
SNMPv3框架推荐例如不使用SNMP(即必须在不使用SNMP的情况下创建第一用户,并在被管理的设备中输入其授权和保密密钥)将usmUserTable增加(populate)到频带之外。由于SNMP只利用已有用户的保密密钥提供密钥,因此SNMP不能用来进行初始化。如果将要进行初始化的代理数量很小,则可以经由控制台端口和手工地执行这种初始化处理。如果象电缆调制解调器系统中那样,代理数量很大,则手工方法就会难以承受并且不容易度量(scale)好。因此,迫切需要一种系统和方法,它能够提供将一种安全方法,用于将保密和鉴别密钥输入DOCSIS系统中的电缆调制解调器,以便在SNMPv3模式下初始化该调制解调器。
发明内容
本发明的目的在于提供一种用于在SNMPv3模式下初始化SNMP代理的系统和方法。
本发明一方面提供一种一种用于初始化简单网络管理协议v3设备的方法,其中在简单网络管理协议v3设备中的简单网络管理协议管理器和简单网络管理协议代理利用Diffie-Hellman密钥交换协议将初始密钥和初始鉴别密钥输入简单网络管理协议v3设备,其中简单网络管理协议管理器和简单网络管理协议代理都利用所述Diffie-Hellman协议产生一个相关的随机数和公用值,其中简单网络管理协议管理器将它的公用值传递到在配置文件中的简单网络管理协议代理,其中简单网络管理协议管理器使用具有对简单网络管理协议代理的公用值进行访问的初始有效用户,通过简单网络管理协议请求读取简单网络管理协议代理的公用值,并且其中简单网络管理协议代理和简单网络管理协议管理器使用Diffie-Hellman密钥交换协议计算一个共享的秘密,该方法特征在于包括步骤:将该共享的秘密转换成一可读口令;将该可读口令转换成一秘密密钥;以及将初始鉴别密钥和初始保密密钥都设置成该秘密密钥的值。
本发明的另一方面,是配置文件将CMTS Diffie-Hellman公用值传递给使用专用配置文件对象类型的调制解调器,其中该专用配置文件对象有利于不让只能够调制解调的SNMPv1/v2c,因为它们不理解标准的SNMP MIB对象(配置文件组件类型11)而拒绝该配置文件,其中该标准的SNMP MIB对象可以用来设置该调制解调器中的专用MIB组件。
附图说明
图1是用于按照本发明的示范型实施例将SNMPv3代理初始化的系统框图;以及
图2是用于按照本发明的一方面将SNMPv3代理初始化的系统的流程图。
具体实施方式
应该理解,本方面可以以硬件、软件、固件、特殊用途的处理器或它们的组合的各种形式实现。本发明最好以包括程序指令的软件来实现,其中的程序指令明确地收录在一种或多种程序存储设备(例如软盘、RAM、CD-ROM、ROM、闪速存储器)上,并可在包括适当体系结构的任何设备、机器或平台上执行。还应该理解,因为某些系统元件或方法步骤最好以软件实现,因此,实际连接可能会根据本发明的编程方式而有所不同。
参考图1,框图说明了用于按照本发明的示范型实施例初始化SNMPv3所管理的设1备的系统10。更具体地说,系统10包括DOCSIS电缆调制解调器系统,该DOCSIS电缆调制解调器系统在CMTS(电缆调制解调器终端系统,电缆调制解调器termination system)16和SNMPv3电缆调制解调器18之间,通过全同轴(all coaxial)或光纤/同轴混合(hybrid-fiber/coaxial,BFC)电缆网络17,提供(经过例如因特网这样的主干网络14接收和发送的)因特网协议(IP)包的透明双向传输。如现有技术一样CMTS 16实现诸如在IP通信(IP traffic)和IP包的射频调制/传输之间的接口,以及给电缆调制解调器18指定IP地址这样的功能。应该理解,虽然图中为了说明的目的只显示了一个电缆调制解调器,但系统10可以包括数百个电缆调制解调器。
系统10包括位于主干网络14上的NMS(network management station,网络管理站)11,用于管理CMTS 16和DOCSIS电缆调制解调器18。NMS 11包括用户接口12(例如,GUI(图形用户接口))和常规体系结构的SNMP管理器13,用于经由SNMP消息与电缆调制解调器18的SNMP代理19通信。系统10还包括一个远程服务器设备15,它可以由电缆调制解调器18访问,例如用于下载用来配置电缆调制解调器18的参数的配置文件。例如,按照下面的解释,该配置文件包括使用用于将初始鉴别和保密密钥输入电缆调制解调器18的专用Diffie-Hellman密钥交换协议用于初始化SNMPv3模式下的SNMP代理19的对象。总的来说,这个协议允许NMS(管理器)11的操作员安全地给电缆调制解调器18输入初始的SNMPv3鉴别和保密密钥,并使用Diffie-Hellman密钥交换让调制解调器18进入SNMPv3模式。管理器13经由配置文件(例如位于服务器15中)给调制解调器18提供其公用值。管理器13经由SNMPv3,使用标准的缺省usmUser读取调制解调器18的公用值,usmUser仅仅访问这些值(和标准的‘系统’组)。经由DH交换,管理器13和电缆调制解调器18可以商定一个公共共享秘密,用于为访问usmUserTable的其他标准usmUser添加密钥值,以创建和删除附加的用户。管理器13可以根据需要添加那种表。
根据本发明,电缆调制解调器18包括MIB,而MIB包括专用MIB模块和有关的MIB组件,用于实现Diffie-Hellman密钥交换。更具体地说,MIB 20包括这以下称为TCE-DCM105-MIB的专用MIB模块,它定义了诸如tceDCM105KickstartMyPublic和tceDCM105KickstartMgrPublic对象这样的MIB组件,用来进行SNMPv3初始化处理。这些MIB组件提供一种机制,以便SNMPv3代理19(在电缆调制解调器18中)和SNMP管理器13执行Diffie-Hellman密钥交换,以将第一有效用户的保密密钥放到电缆调制解调器18中。在注册处理期间将tceDCM105KickstartMgrPublic对象设置成管理器13的Diffie-Heilman公用值。存在各种各样的机制将管理器13的该公用值传输给代理。最好这种传输经由配置文件(例如,在远程服务器15中)实现,该配置文件是在电缆调制解调器注册处理期间由电缆调制解调器18下载的。tceDCM105KickstartMyPublic MIB组件的值包括代理19的Diffie-Hellman公用值,代理19在注册处理之后公布该公用值以便由管理器13经由SNMP访问。最好管理器13使用具有不带任何鉴别的securityName,例如,“docsisInit”的初始用户,读取tceDCM105KickstartMyPublic的内容。下面将参考图2的流程图进一步详细描述一个优选的初始化处理。
图2的流程图说明了一种根据本发明的一方面的、用于初始化SNMPv3代理的方法。在图2中,步骤100-108代表由SNMPv3代理所执行的步骤,而步骤200-208代表由管理器所执行的步骤。当电缆调制解调器初始化/加电时,装载到电缆调制解调器的专用软件让SNMP代理创建一个被称为安全级别noAuthnoPriv的“docsisInit”的SNMPv3用户并且产生适当的USM和VACM项(entries)(步骤100)。这个初始的合法用户(由管理器用来访问例如该调制解调器的tceDCM105KickstartMyPuhlic MIB组件所使用)只有对tceDCM105Kickstart组、系统组和一般陷阱(generic traps)的读取访问权。接下来,该代理产生一个随机数r1,其长度最好达到128字节(步骤101)。然后,该代理使用熟知的Diffie-Hellman协议,将其随机数r1转化成该代理的公用值p1(步骤102)。更具体地说,该代理的公用值 p 1 = g r 1 Mod p ,其中g是Diffie-Hellman参数集的底数(base),p是这些参数的原数(prime)是由该代理在区间2(l-1)≤r1≤p-1中选取的随机整数,其中l是该保密随机数r1的以位为单位的长度。公用值p1被表达成长度“k”的OCTET STRING(八位字节串)“PV”,它满足
Figure C0081352700081
其中PV1,…,PVk是从第一个到最后一个的PV的八位字节,并且PV1!=O。此外,最好使用以下Diffie-Hellman参数(Oakley组42,RFC 2409,6.1,6.2节):
g=2;
p=FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C6628B 8ODCICDI
   29024EO8 8A67CC74 02OBBEA6 3B139B22 514AO879 8E3404DD
   EF9519B3 CD3A431B 302BOA6D F25FI437 4FE1356D 6D51C245
   E485B576 625E7EC6 F44C42E9 A637ED6B OBFF5CBB6 F406B7ED
   EE386BFB 5A899FA5 AE9F2411 7C4BIFE6 49286651 ECE65381
   FFFFFFFF FFFFFFFF;和
l=64。
代理在MIB组件tceDCM105KickstartMyPublic中公布其公用值p1(步骤103)。
在注册处理期间,SNMP管理器产生其随机数r2,它的长度最好达到128字节(步骤200)。然后管理器使用Diffie-Hellman密钥交换协议,象作为代理那样的方式并且利用以上所述的那样的参数,将其随机数变换成公用值P2(步骤201)。
在DOCSIS框架中,如现有技术已知的那样,电缆调制解调器在注册期间通过例如给CMTS发送DHCP(dynamic host configuration protocol,动态主机配置协议)请求尝试建立网络连接,以获得建立IP连接所需要的IP地址和其他参数。CMTS将发送包括例如电缆调制解调器可以访问的配置文件的名称和位置(例如TFTP(trivial file transfer protocol,普通文件传输协议)服务器(诸如图1中的远程服务器15)的IP地址)的DHCP应答。SNMPv3电缆调制解调器将使用DHCP应答中的信息,经由TFTP,下载适当的配置文件。
按照本发明,管理器以几种方式之一将其公用值P2经由配置文件(通过调制解调器下载的)传输给代理(步骤202)。在图2所示的示范型实施例中,这由该配置文件(即DOCSIS标准配置文件组件类型11)中的SNMP“Set”MIB对象实现,以便将tceDCM105KickstartMgrPublic MIB组件(在电缆调制解调器)设置成该管理器的公用值P2(步骤10tceDCM105K4)。下面将介绍用于把该管理器的公用值P2传输到电缆调制解调器的其他实施例。
当代理确定已经将tceDCM105KickstartMgrPublic设置成该管理器的公用值时,该代理从随机数r1和该管理器的公用值P2通过Diffie-Hellman密钥交换协议计算一个共享的秘密SK(步骤105)。更具体地说,SNMPv3代理计算所共享的秘密 SK = P 2 r 1 Mod p ,其中p以上所述的优选的公共参数中的DH原数。
接下来,在一个优选实施例中,SNMPv3代理将所共享的秘密SK按照下列方式转换成保密和鉴别密钥。首先,该代理将所共享的秘密SK变换成最好是16字符(或更少)的可读口令(步骤106)。最好,这是通过丢弃第16个八位字节以外的任何OCTET(八位字节)(在SK串中)来实现,然后对每个余下的八位字节进行以下处理:
a.if(octet(八位字节)>0x7F),then octet=octet B 0x80;//清除头位;
b.if(octet<0x20)octet=octet+0x40;//重新映射控制代码;
c.if(octet=0x7F)octet=octet-1;//重新映射删除字符。
这种产生可读口令的处理过程有利于允许NMS的操作员方便地输入口令(与输入所共享的秘密的八位字节串对照)。
第二,将该可读口令翻译成16字节密钥KC(步骤107)。这个步骤最好利用RFC 2574“A User-based Security Model(USM)for version 3 of theSimple Network Management Protocol”附录A的第A.1节段落(2)所述的算法实现。更具体地说,通过每当需要时重复该口令的值、相应地截短和利用作为给MD5算法(现有技术熟知的)的输入以产生摘要(digest)(被称为“摘要1”)的合成串(resulting string)来产生长度为1,048,576八位字节的串。然后通过将SNMP引擎的snmpEngineID值和摘要1连接起来以形成第二个串。这个串用作给MD5算法的输入。该合成摘要是16字节密钥。
然后SNMPv3代理产生一个SNMPv3用户(被供给的用户(provisioneduser),这里称为“docsisProv”,并产生具有对SNMPv3表进行读/写访问权的安全级别AuthPriv的适当的USM和VACM表项(下面将详细介绍),然后最好将(被供给的用户的)保密密钥和鉴别密钥均设置成16字节密钥KC值(步骤108)。代理会将同样的16字节密钥KC用于在SNMPv3表中由该配置文件创建的其他用户。这样的就结束了调制解调器的注册处理过程。
在完成注册时,管理器可以通过从tceDCM105KickstartMyPublic MIB组件读取一非零长度的OCTET STRING(代理的公用值P1)来确认调制解调器已经进入SNMPv3模式(步骤203)。管理器将利用初始用户“docsisInit”(安全级别noAuthNoPriv)通过一个SNMP“Get”命令读取这个值。管理器将使用其随机数r2和该代理的公用值P1(即tceDCM105KickstartMyPublic值)来计算所共享的秘密SK(通过Diffie-Heilman密钥交换算法)(步骤204)。这是由代理计算的同一共享的秘密SK。接下来,管理器从共享的秘密SK计算用于“docsisProv”用户的同一可读口令(步骤205),然后使用象代理用的、与上述步骤106-107同样的处理过程,将该可读口令变换成KC值(步骤206)。然后管理器将关于被供给的用户的鉴别和保密密钥设置成KC的值(步骤207)。应该注意到,Diffie-Hellman密钥交换保证代理和管理器计算出同样16字符口令而不用提示它。还应该注意到,这个方法的安全性直接涉及到管理器的公用值P2的带外供应的授权安全性的强度。
然后该管理器通过利用“docsisProv”用户和关于AuthPriv安全级别的鉴别和保密口令改变SNMPv3表(即访问SNMP-USER-BASED-SM-MIB和SNMP-VIEW-BASED-ACM-MIB),来创建其他SNMPv3用户(步骤208)。
以下是在用于初始化SNMPv3模式的DOCSIS电缆调制解调器的SNMPv3 USM和VACM表中产生的示范型项。更具体地说,下列示范型项(1-4a,b,c)最好在加电时,在DOCSIS SNMPv3兼容调制解调器中预装和初始化:
(1)usmUserTable中的这个项(usmUserEntry)允许访问系统和tceDCM105Kickstart组。在完成注册后,这个项允许SNMP管理器读取调制解调器的Diffie-Hellman公用值(它由代理公布在tceDCMKickstartMyPublicMIB组件中):
usmUserEnginelD               localEngineED
usmUserName                   ″docsisInit″
usmUserSecurityName           ″docsisInit″
usmUserCloneFrom              ZeroDotZero
usmUserAuthProlocol              无
usmUserAuthKeyChange            “”
usmUserOwnAuthKeyChange         “”
usmUserPrivProtocol                   无
usmUserPrivKeyChange                 “”
usmUserOwnPrivKiyChange              “”
usmUserPublic                        “”
usmUserStorageType                   永久
usmUserStatus                        有效
(2)在vacmSecurityToGroupTable中产生一个项(vacmSecurityToGroupEntry)以便将初始用户″ducsisInit″映射到可望访问的对象(即这个项产生关于初始用户″docsisInit”的groupName,它用于定义初始用户的访问控制策略):
vacmSecurityModel                    3(USM)
vacmSecurityName                 ″docsisInit″
vacmGrompName                    ″docsisInit″
vacmSecurityToGroupStorageType        永久
vacmSecurityToGroupStatus             有效
(3)在vacmAccessTable中产生的项(vacmAccessEntry)将初始用户的groupName翻译成适当的观看的名称(即这个项定义了初始用户″docsisInit″的访问权):
vacmGroupName                     ″docsisInit″
vacmAccessContextPrefix                “”
vacmAccessSecurityModel                3(USM)
vacmAccessSecurityLevel            noAuthNoPriv
vacmAccessContextMatch                 exact
vacmAccessReadViewName         ″docsisInitRestricted″
vacmAccessWriteViewName                 “”
vacmAccessNotifyViewName       ″docsisInitRestricted″
vacmAccessStorageType                  永久
vacmAccessSiatus                       有效
在vacmAccessTable中的上述项用于未经鉴别的访问,即对securityModelUSM读通告(read-notify)访问,代表securityName(即用户″docsisInit″)的securitylevel″noAuthNoPriv″,其中securityName属于组″docsisInit″至在具有contextName“”的缺省范围中的″docsisInitRestricted″ MIB观看。
(4)在vacmViewTreeFamilyTable中产生下列三项(vacmViewTreeFamilyEntry)以便允许初始项访问系统、开始突然跳跃(kickstart)组和一般陷阱:
(a)vacmViewTreeFamilyViewName    ″docsisInitRestricted″
   vacmViewTreeFamilySubtree  1.3.6.1.2.1.1(系统)
   vacmViewTreeFamilyMask          “”
   vacmViewTreeFamilyType          1(包括)
   vacmViewTreeFamilyStorageType    永久
   vacmViewTreeFamilyStatus         有效
(b)vacmViewTreeFamilyViewName    ″docsisInitRestricted″
   vacmViewTreeFamilySubtree    (tceDCM105KickstartGroup)
      vacmViewTreeFamilyMask           “”
      vacmViewTreeFamilyType           1(包括)
      vacmViewTreeFamilyStorageType    永久
      vacmViewTreeFamilystatus         有效
(c)vacmViewTreeFamilyViewName″docsisInitRestricted″
   vacmViewTreeFamilySubtree 1.3.6.1.6.3.1.1.5(snmpTraps)
   vacmViewTreeFamilyMask             “”
   vacmViewTreeFamilyType              1
   vacmViewTreeFamilyStorageType       永久
   vacmViewTreeFamilyStatus            有效
当完成Diffie-Hellman密钥交换时,在SNMPv3兼容调制解调器中创建下列项(5-8a,b,c,d)。
(5)usmUserTable中的下列项与用由DH密钥交换设置的鉴别和保密密钥创建的被供给的用户关联。这些项最好在调制解调器通过调制解调器值的管理器公用值的项当时供应的情况下,经由以上所解释的配置文件进行创建(步骤202,图2的104)。应该注意,userName″docsisProv″至少对usmUserTable进行完全访问以便创建附加的合法用户,并且最好用由DH密钥交换设置的鉴别和保密密钥产生:
usmUserEngineID               localEnginel]D
usmUserName                   ″docsisProv″
usmUserSecurityName           ″docsisProv″
usmUserCloneFrom              ZeroDotZero
usmUserAuthprotocol       usmHMACMD5AuthProtocol
asmUserAuthKeyChange              “”
usmUserOwnAuthKeyChange           “”
usmUserPrivProtocol         usmDESPrivProtocol
usmUserPrivKeyChange              “”
usmUserOwnPrivKeyChange           “”
usmUserPublic                     “”
usmUserStorageType                永久
usmUserStatus                     有效
(6)下面的项将被供给的用户″docsisProv″映射到可访问对象:
vacmSecurityModel                 3(USM)
vacmSecurityName                ″docsisProv″
vacmGroupName                   ″docsisProv″
vacmSecurityToGroupStorageType      永久
vacmSecurityToGroupStatus            有效
(7)下面的项将被供给的用户的groupName翻译给观看名称的用户:
vacmGroupName                   ″docsisProv″
vacmaccessContextPrefix              “”
vacmAccessSecuritvModel               3(USM)
vacmAccessSecurityLevel               AuthPriv
vacmAccessContextMatch                  精确
vacmAccessReadViewName              ″docsisProv″
vacmAccessWriteViewName             ″docsisProv″
vacmAccessNotifyViewName            ″docsisProv″
vacmaccessStorageType                   永久
vacmAccessStatus                        有效
(8)下面四个项允许被供给的用户读写访问系统、tceDCM105Kickstart、usmMIBObjects和vacmMIBObjects组:
(a)vacmViewTreeFamilyViewName        ″docsisProv″
   vacmViewTreeFamilySubtree    1.3.6.1.2.1.1(系统)
   vacmViewTreeFamilyMask                 “”
   vacmViewTreeFamilyType                  1
   vacmViewTreeFamilyStorageType           永久
   vacmViewTreeFamilyStatus                有效
(b)vacmViewTreeFamilyViewName        ″docsisProv″
vacmViewTreeFamilySubtree  1.6.3.1.6.3.15.1(usmMIBObjects)
vacmViewTreeFamilyMask                     “”
vacmViewTreeFamilyType                      1
vacmViewTreeFamilyStorageType               永久
vacmViewTreeFamilyStatus                    有效
(c)vacmViewTreeFamilyViewName           ″docsisProv″
vacmViewTreeFamilySubtree 1.6.3.1.6.3.16.1(vacmMIBObjects)
vacmViewTreeFamilymask                      “”
vacmViewTreeFamilyType                       1
vacmViewTreeFamilystorageType                永久
vacmViewTreeFamilyStatus                     有效
(4)vacmViewTreeFamilyViewName            ″docsisProv″
   vacmviewTreeFamilySubtree(tceDCM105KickstartGroup)
   vacmViewTreeFamilyMask                  “”
   vacmViewTreeFamilyType                   1
   vacmViewTreeFamilyStorageType            永久
   vacmViewTreeFamilyStatus                 有效
在本发明的可供选择的实施例中,可以使用其它方法将管理器的Diffie-Hellman公用值输入调制解调器并利用专用的配置文件组件(而不使用SNMP MIB对象(配置文件类型11)来象上面所讨论的那样设置tceDCM105KickstartMgrPublic MIB组件)将其放进SNMPv3模式。这些专用的组件专门用于初始化这样一种SNMP网络中的SNMPv3兼容的调制解调器,在所述SNMP网络中只有不能处理包含对tceDCM105KickstartMgrPublic组件的SNMP集的SNMPv1/v2c调制解调器,并且最终使得SNMPv1/v2c调制解调器拒绝该配置文件。例如,可以使用下列配置文件组件:
(1)iceKickStartMgrPublic(组件180)-这个组件包括具有管理器的公用值相当于128字节的八位字节串;和
(2)tceKickStartMgrPublic2(组件181)-这个配置文件也包括管理器公用值。但除了将调制解调器置于SNMPv3模式外,它还会让该调制解调器把docsDevNmAccessTable(用于控制在SNMPv1/v2c中的访问)的内容翻译给SNMPv3用户、组、访问和观看表的对应项。更具体地说,对docsDevNmAccessTable中的每一个项,以设置成共用串和需要noAuthNoPriv安全级别的访问表项的userName创建用户和观看。此外,在SNMPv3NOTIFICATION-MIB中制造项以便使得陷阱可以被发送到在thedocsDevNmAccessTable中设计的任何陷阱接收器。利用这个配置文件组件(181),调制解调器将被置于SNMPv3模式并且仍然可以由SNMPv2管理器进行访问。这种配置文件组件的细节和有关的翻译处理过程与此一并提交、律师备案(Attorney Docket)号为RCA 89827的PCT专利中请″System andMethod For Simple Network Management Protocol(SNMP)v3 Modems toInteroperate with SNMPv1/v2c Modems″进行了描述。
在另一个实施例,代理和管理器的公用值P1和P2可以使用DHCP进行交换。例如,代理可以在初始化处理期间(如上所述)传输给CMTS的DHCP请求中包括其公用值,而管理器的公用值可以以有关的DHCP应答传输给电缆调制解调器。特别地,接着的DHCP专用组件tceDHCPKickstartMgrPublic(182)可以包括在DHCP应答中。

Claims (5)

1.一种用于初始化简单网络管理协议v3设备的方法,其中在简单网络管理协议v3设备中的简单网络管理协议管理器和简单网络管理协议代理利用Diffie-Hellman密钥交换协议将初始密钥和初始鉴别密钥输入简单网络管理协议v3设备,其中简单网络管理协议管理器和简单网络管理协议代理都利用所述Diffie-Hellman协议产生一个相关的随机数和公用值,其中简单网络管理协议管理器将它的公用值传递到在配置文件中的简单网络管理协议代理,其中简单网络管理协议管理器使用具有对简单网络管理协议代理的公用值进行访问的初始有效用户,通过简单网络管理协议请求读取简单网络管理协议代理的公用值,并且其中简单网络管理协议代理和简单网络管理协议管理器使用Diffie-Hellman密钥交换协议计算一个共享的秘密,该方法特征在于包括步骤:
将该共享的秘密转换成一可读口令;
将该可读口令转换成一秘密密钥;以及
将初始鉴别密钥和初始保密密钥都设置成该秘密密钥的值。
2.如权利要求1的方法,其中该可读口令包括一个16字符的口令,以及用于将共享的秘密转换成可读口令的步骤包括:
在共享的秘密串中丢弃第16个八位字节以外的任何八位字节;
然后对每个余下的八位字节进行以下处理:
a.如果(octet>0x7F),那么octet=octet B 0x80;
b.如果(octet<0x20)octet=octet+0x40;
c.如果(octet=0x7F)octet=octet-1。
3.如权利要求1的方法,其中该秘密密钥包括一个16字节串,并且用于将可读口令转换成秘密密钥的步骤利用简单网络管理协议v3的基于用户的安全模型中所描述的算法来执行。
4.如权利要求1的方法,其特征在于该配置文件包括将简单网络管理协议管理器的公用值传递给简单网络管理协议代理的专用配置文件组件。
5.如权利要求4的方法,其中该简单网络管理协议v3设备运行在包括简单网络管理协议v2c设备的、简单网络管理协议v1/v2c启动的网络中,并且其中该专用配置文件组件被简单网络管理协议v2c设备忽略。
CNB008135274A 1999-09-28 2000-09-22 初始化简单网络管理协议代理的系统和方法 Expired - Lifetime CN1213582C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15638599P 1999-09-28 1999-09-28
US60/156,385 1999-09-28

Publications (2)

Publication Number Publication Date
CN1385020A CN1385020A (zh) 2002-12-11
CN1213582C true CN1213582C (zh) 2005-08-03

Family

ID=22559355

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB008135274A Expired - Lifetime CN1213582C (zh) 1999-09-28 2000-09-22 初始化简单网络管理协议代理的系统和方法

Country Status (8)

Country Link
EP (1) EP1216562B1 (zh)
JP (1) JP2003510965A (zh)
KR (1) KR100654741B1 (zh)
CN (1) CN1213582C (zh)
AU (1) AU4025901A (zh)
CA (1) CA2385057A1 (zh)
DE (1) DE60026721T2 (zh)
WO (1) WO2001024444A2 (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240191B2 (en) 2002-02-01 2007-07-03 Hewlett-Packard Development Company, L.P. Method and apparatus for initializing security information on a network device
CN100373845C (zh) * 2002-05-02 2008-03-05 中兴通讯股份有限公司 一种在会话发起协议网络中对终端进行认证及鉴权的方法
US20030212889A1 (en) * 2002-05-13 2003-11-13 Khieu Andrew K. Method and system for exchanging data over networks using public key encryption
FI113924B (fi) * 2002-09-06 2004-06-30 Tellabs Oy Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi
US7284127B2 (en) * 2002-10-24 2007-10-16 Telefonktiebolaget Lm Ericsson (Publ) Secure communications
JP2004234390A (ja) * 2003-01-30 2004-08-19 Fujitsu Ltd 情報管理方法、情報管理システム、中央装置、端末装置及びコンピュータプログラム
AU2003242598A1 (en) * 2003-05-29 2005-01-21 Pirelli & C. S.P.A. Method, system and computer program for the secured management of network devices
US8019989B2 (en) 2003-06-06 2011-09-13 Hewlett-Packard Development Company, L.P. Public-key infrastructure in network management
CN100337431C (zh) * 2003-10-22 2007-09-12 华为技术有限公司 一种支持简单网络管理协议的管理代理的开发方法
KR100606025B1 (ko) 2004-11-18 2006-07-28 삼성전자주식회사 간이 망 관리 프로토콜 기반의 망 관리 장치 및 방법
US7877469B2 (en) 2006-02-01 2011-01-25 Samsung Electronics Co., Ltd. Authentication and authorization for simple network management protocol (SNMP)
CN101047493A (zh) * 2006-06-02 2007-10-03 华为技术有限公司 获取简单网络管理协议管理密钥的方法及系统
CN100426753C (zh) * 2006-07-24 2008-10-15 Ut斯达康通讯有限公司 一种基于snmp的网络管理方法
US8195944B2 (en) 2007-01-04 2012-06-05 Motorola Solutions, Inc. Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys
JP5169082B2 (ja) * 2007-09-04 2013-03-27 株式会社リコー 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム
JP4974848B2 (ja) * 2007-10-30 2012-07-11 キヤノン株式会社 ネットワーク管理装置、ネットワーク管理方法、ならびにネットワーク管理方法を実行するプログラム
TWI411960B (zh) * 2009-11-12 2013-10-11 Novatek Microelectronics Corp 初始化電子裝置的方法及裝置
CN102098573A (zh) * 2010-12-14 2011-06-15 中山大学 一种基于snmp协议的机顶盒测试方法及系统
KR102329580B1 (ko) * 2020-11-10 2021-11-23 주식회사 아톰릭스랩 복수의 제3자 위탁 운영 시스템에 대한 암호키 배포 및 복구 방법
KR102328896B1 (ko) * 2020-11-10 2021-11-22 주식회사 아톰릭스랩 제3자 위탁 운영 시스템에 대한 암호키 배포 및 복구 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU4026001A (en) * 1999-09-28 2001-04-30 Thomson Licensing S.A. System and method for simple network management protocol (snmp) v3 modems to interoperate with snmpv1/v2c modems

Also Published As

Publication number Publication date
JP2003510965A (ja) 2003-03-18
KR100654741B1 (ko) 2006-12-07
AU4025901A (en) 2001-04-30
EP1216562B1 (en) 2006-03-15
DE60026721T2 (de) 2006-08-24
EP1216562A2 (en) 2002-06-26
WO2001024444A3 (en) 2001-11-08
WO2001024444A2 (en) 2001-04-05
CN1385020A (zh) 2002-12-11
CA2385057A1 (en) 2001-04-05
KR20020035646A (ko) 2002-05-13
DE60026721D1 (de) 2006-05-11

Similar Documents

Publication Publication Date Title
CN1213582C (zh) 初始化简单网络管理协议代理的系统和方法
CN1756234A (zh) 服务器、vpn客户机、vpn系统及软件
CN1574738A (zh) 在移动特设网络中分配加密密钥的方法及其网络设备
CN1293720C (zh) 初始化无线设备间安全通信和对其专用配对的方法和装置
CN1324918C (zh) 移动终端、其信息管理方法和用于信息管理的计算机程序
CN1685689A (zh) 控制家庭终端的装置、方法和计算机软件产品
CN101061665A (zh) 利用用户绑定在家用网络中传送内容的方法
CN1719795A (zh) 无线局域网关联设备和方法以及相应产品
CN1805333A (zh) 无线网络系统中的数据安全
CN101065940A (zh) 中继装置、中继方法和程序
CN1783887A (zh) 在可信赖网络中实现安全交易的方法和装置
CN1602018A (zh) 通信装置和方法
CN1881964A (zh) 家庭网关装置、及对家庭网络的访问控制系统
CN1638345A (zh) 使用便携式存储媒质配置瘦客户机设备的网络设置
CN1805332A (zh) 安全组管理系统
CN1575579A (zh) 选择用于有线和无线设备的安全格式转换
CN1553741A (zh) 为用户提供网络漫游的方法和系统
CN1767438A (zh) 用于验证证书上的数字签名的系统和方法
CN1750508A (zh) 包转发装置以及接入网系统
CN1691603A (zh) 一种实现设备分组及分组设备间交互的方法
CN1921669A (zh) 移动电话、通信终端、电话呼叫方法、以及电话呼叫程序
CN1992585A (zh) 一种用于用户设备与内部网络间安全通信的方法及装置
CN1625275A (zh) 地址获取
CN101043361A (zh) 一种基于snmp协议进行网络管理的方法和系统
CN1874218A (zh) 一种许可证管理方法、系统及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: I Si Eli Murli Nor, France

Patentee after: THOMSON LICENSING

Address before: French Boulogne

Patentee before: THOMSON LICENSING

CP02 Change in the address of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20190529

Address after: Paris France

Patentee after: Interactive digital CE patent holding Co.

Address before: I Si Eli Murli Nor, France

Patentee before: THOMSON LICENSING

TR01 Transfer of patent right
CX01 Expiry of patent term

Granted publication date: 20050803

CX01 Expiry of patent term