CN1553650A - 动态超级密码生成方法及交换机安全管理方法 - Google Patents
动态超级密码生成方法及交换机安全管理方法 Download PDFInfo
- Publication number
- CN1553650A CN1553650A CNA031373186A CN03137318A CN1553650A CN 1553650 A CN1553650 A CN 1553650A CN A031373186 A CNA031373186 A CN A031373186A CN 03137318 A CN03137318 A CN 03137318A CN 1553650 A CN1553650 A CN 1553650A
- Authority
- CN
- China
- Prior art keywords
- password
- switch
- configuration
- super code
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种动态超级密码的生成方法及利用该超级密码进行交换机安全管理的方法。动态超级密码的生成方法为:读取设备的MAC地址,根据所述MAC地址和加密算法生成动态超级密码,存储该动态超级密码。利用上述超级密码的交换机安全管理方法为:B1.输入启动密码;B2.系统判断启动密码是否正确:启动密码正确则进入步骤B4,启动密码不正确则进入步骤B3;B3.输入超级密码;B4.进入引导程序文件系统。利用本发明,可使交换机的超级密码更安全可靠,一旦配置密码丢失后,对配置文件的操作更简单,有效地消除交换机多重密码遗失后带来的管理上的一系列麻烦,提高了设备的安全运营、简单管理的性能。
Description
技术领域
本发明涉及网络设备安全保障技术,具体涉及一种保障交换机安全管理的方法。
背景技术
随着以太网的快速发展,各地城域网和企业网都投入了大规模的建设,以太网交换机以其特有的线速转发性能得到了广泛的应用,因此交换机的安全问题也越来越受到人们的关注,这其中也包括对交换机的安全管理问题。为了提高交换机的安全性能,更好地满足用户的需求,一般对交换机的管理设置双重密码保护:第一道密码是BOOTROM(引导程序)启动密码,即在设备开始启动时,如果需要对交换机的存贮在FLASH ROM(闪存)中的引导程序文件进行操作,则必须要进行密码识别;第二道密码是交换机配置密码,即在设备运行时,如果需要对现有的配置进行修改或是读取,也要经过密码的识别。这两道密码可以由系统管理员任意设定,但如果系统管理员遗失设定的密码,则意味着无法再对系统进行管理。通常密码遗失后,会采用下面的补救方法:
对于BOOTROM启动密码,为了解决密码丢失后能重新对交换机进行控制的问题,生产厂家会在代码中专门定义一个字符串,该字符串的内容就是厂家设定的超级密码。如果用户定义的密码丢失,无法再对交换机进行有效地控制,则用户可以向该产品所属的厂家申请该超级密码。目前,该超级密码一般被定义成固定的字符串。这种固定的字符串密码很容易出现密码的泄露,一旦非管理人员得到这个超级密码,就可以随意对交换机的存贮在FLASH ROM(闪存)中的引导程序文件进行操作,破坏系统文件,甚至使设备进入瘫痪状态。
对于交换机配置密码,该密码通常是在命令行界面上进行配置,配置后该密码即被写入到交换机的配置文件中。
目前以太网的网络安全问题还没有引起各个大家的足够重视,在对待这种配置密码丢失的问题上,设备供应商基本上没有做特殊的处理。一旦出现这种情况,主要是采用以下的方法来解决:
将交换机断电重新启动,通过输入BOOTROM启动密码进入到引导程序文件系统中,然后删除该交换机保存的配置文件,则下次进入配置模式将不再需要密码验证。
但是上述的实现存在很大的缺点:一旦配置文件被删除,意味着所有的用户配置信息都将丢失。要想将网络恢复到以前的状态,需要用户通过命令行逐一恢复以前的配置信息。考虑到现有网络的复杂性,全部恢复这些用户参数将是一件很麻烦的事情,而且对网络系统的稳定有很大的影响。
发明内容
本发明的目的在于克服上述现有技术的缺点,提供一种动态超级密码生成方法和利用该动态超级密码对交换机进行安全管理的方法,有效地解决密码丢失后现有技术中需要对交换机所做的一系列复杂的操作。
动态超级密码的生成方法为:读取设备的MAC地址,根据所述MAC地址和加密算法生成动态超级密码,存储该动态超级密码。
利用上述超级密码的交换机安全管理方法为:启动交换机的步骤包括:
B1.输入启动密码;
B2.系统判断启动密码是否正确:启动密码正确则进入步骤B4,启动密码不正确则进入步骤B3;
B3.输入超级密码;
B4.进入引导程序文件系统。
引导程序文件运行结束后如果要进入配置模式则必须:
C1.输入配置密码;
C2.系统判断配置密码是否正确:配置密码正确则进入步骤C4,配置密码不正确则进入步骤B1重新启动交换机,然后进入步骤C3;
C3.通过命令打开交换机配置文件,删除配置密码;
C4.对配置文件进行操作。
由于在交换机中采用了上述保障交换机安全管理的方法,使得超级密码的安全性更可靠,密码丢失后,对配置文件的操作更简单,有效地消除了交换机多重密码遗失后给管理工作带来的一系列操作上的麻烦,提高了设备的安全运营、简单管理的性能。
附图说明
图1描述了本发明的优选实施例中对交换机的BOOTROM启动密码和超级密码的处理流程图;
图2描述了本发明的优选实施例保障交换机安全管理的方法中丢失配置密码后的处理方法的步骤流程图。
具体实施方式
下面结合附图和实施方式对本发明作进一步的详细说明:
首先参照图1。图1描述了本发明的优选实施例中对交换机的BOOTROM启动密码和超级密码的处理流程:
如果系统管理员对交换机设置了密码,要想取得对交换机引导程序文件系统的控制权,必须输入正确的管理员对交换机设置的BOOTROM启动密码,才能进入到交换机的引导程序文件系统,实现对交换机FLASH ROM中文件的操作;如果系统管理员自行设置的BOOTROM启动密码丢失,则根据网络设备的唯一标识MAC地址,取得超级密码,通过输入该超级密码进入到交换机的引导程序文件系统。这两个密码在功能上没有本质区别。
下面对图1所描述的本发明的优选实施例中对交换机的BOOTROM启动密码和超级密码的处理流程作一详细说明:
首先在步骤10,启动交换机;
然后,进到步骤11通过命令进入到输入BOOTROM启动密码界面,此时系统要求用户输入BOOTROM启动密码,用户可以在交换机的管理终端上或是在特定的管理平台上输入密码字符串;
然后进入到步骤12,系统接收用户输入的密码字符串;
系统接收到用户输入的密码字符串后,进入步骤13,判断用户输入的密码字符串和管理员设置的BOOTROM启动密码是否相同,
如果相同,则表明用户输入的密码字符串正确,进入步骤14,进入引导程序文件系统,引导程序运行结束后,可以对设备的FLASH中的文件进行操作,同时,还可以通过命令修改BOOTROM启动密码,也可以通过命令打开交换机配置文件。修改BOOTROM启动密码的方法为:预先配置修改所述交换机BOOTROM启动密码的修改命令,然后通过该修改命令在所述交换机系统文件主菜单界面下重新设置BOOTROM启动密码。
如果不相同,则表明用户输入的密码字符串错误,进入步骤15,拒绝用户进入引导程序文件系统,这样即限制了非系统管理员进入引导程序文件系统,保证了交换机系统的安全,但是,如果系统管理员丢失了自己设置的BOOTROM启动密码,如果需要对FLASH中的文件进行操作,也无法进入引导程序文件系统;
此时,需要进到步骤16,取得交换机设备的唯一标识MAC地址,
然后,进到步骤17,对交换机的MAC地址加密生成交换机的超级密码,此生成超级密码的过程中对MAC地址的加密方法已在设备中预先设定;
进到步骤18,在交换机的管理终端上或是在特定的管理平台上输入超级密码;
然后,即可进到步骤15,进入引导程序文件系统。
在上述步骤17,对交换机的MAC地址加密生成交换机的超级密码的过程中,采用了对交换机的MAC地址加密生成动态的交换机的超级密码的方法。下面将详细描述这种动态超级密码生成技术:
首先对MAC地址作一简单介绍。
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。这个地址与网络无关,也即无论将带有这个地址的硬件(如网卡、集线器、路由器、交换机等)接入到网络的何处,它都有相同的MAC地址,MAC地址一般不可改变,不能由用户自己设定。
MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。
由于每个以太网设备都有一个唯一的MAC地址,因此可以利用这一特点来实现动态超级密码的生成,它包含以下两方面的内容:
(1)密码生成技术
假设Y为将要生成的超级密码,x为每台网络设备的MAC地址,函数f()为特定的密码生成算法,则超级密码生成可由以下公式表示:
Y=f(x)
由该公式可知,随着x(每台网络设备的MAC地址)的不同,可以得到不同的Y(超级密码),而且随着函数f()的不同,得到的Y(超级密码)也会不同。厂家可以任意选择一种现有的成熟的加密算法,也可以采用自行研制的加密算法。
(2)超级密码在设备中的生成过程
在网络设备生产完成后,它的MAC地址将唯一确定。所选定的加密算法也在系统软件代码中编写完成。设备上电初始化时,系统软件将读取设备的MAC地址,然后通过代码中设置的选定函数f()对设备的MAC地址加密生成该设备的超级密码,并把该超级密码存入到特定的物理地址中。该超级密码具有以下特点:
a.该超级密码是动态的。不同的设备具有不同的超级密码,同一设备采用不同的加密算法时超级密码也是不同的。
b.该超级密码不易被破译。
c.该超级密码不易被泄露。如果用户需要该超级密码,他首先要将设备的一些相关信息和该设备的MAC地址提供给厂家,只有厂家确认该用户为设备的合法用户后,才会将该设备的超级密码提供给该用户。
上述通过对网络设备的MAC地址加密生成设备超级密码的方法,不仅能应用于网络交换机,也能应用于其它需要设置超级密码的网络设备。
在本发明的优选实施例中,加密算法采用了MD5的加密方法。MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),它广泛用于加密和解密技术上。众所周知,加密方法规定了明文和密文之间的变换方法。MD5采用单向加密的加密方法,它有两个特别重要的特性:第一是任意两段明文数据,加密以后的密文不能是相同的;第二是任意一段明文数据,经过加密以后,其结果必须永远是不变的。前者的意思是不可能有任意两段明文加密以后得到相同的密文,后者的意思是如果加密特定的数据,得到的密文一定是相同的。
除了上面描述的MD5的加密方法外,在本发明中还可以采用其它的加密方法来生成设备的超级密码,比如现有的RSA方法、DES方法、E1Gamal方法等。除此之外,各个厂家还可采用自行研制的加密方法生成设备的超级密码。这种所采用的加密方法的不确定性,使生成的设备的超级密码更安全可靠。
下面参照图2,图2描述了本发明的优选实施例保障交换机安全管理的方法中丢失配置密码后的处理方法的步骤流程:
交换机的配置密码是允许用户进入交换机的配置模式时需要验证的密码。一般情况下,对系统现有的配置进行修改或是读取时,需要在配置模式下进行操作。配置结束后,所有的配置信息会保存在一个配置文件中。
下面结合图2详细说明丢失配置密码后的处理方法:
交换机的配置密码丢失后,
首先进到步骤20,重启交换机;
进到步骤21,通过命令进入BOOTROM启动密码状态;
然后,进到步骤22,输入用户设置的BOOTROM启动密码,如果用户设置的BOOTROM启动密码也丢失,则输入交换机的超级密码,交换机的超级密码的生成已在上面结合图1作了说明,在此不再详细描述;
进到步骤23,进入到交换机的引导程序文件系统;
然后,进到步骤24,通过命令打开交换机配置文件,也就是说,只要有BOOTROM启动密码或超级密码即可通过该命令打开交换机的配置文件,该命令是隐含的,并不出现在界面上,需要在系统中预先配置,并且只有在交换机重新启动后才可使用,因为配置密码丢失后控制台已经被锁定,不允许任何人进入。同时为了保证安全性,在重启后依然需要输入bootrom的启动密码或超级密码才可以进行隐含命令的处理,该隐含命令的处理自动进行。
所述配置文件中保存了该系统的配置信息,而且如果设置了配置密码,则允许密码配置的信息也保存在该配置文件中,但其中的密码部分为隐藏的;
进入到步骤25,删除交换机配置文件中已配置的允许设置交换机配置密码的命令行;
然后,进入到步骤26,保存修改后的交换机配置文件,这样就将交换机配置密码进行了删除,而不影响交换机配置文件的其它内容,也就是说不影响交换机的原有配置信息,此时交换机处于无密码保护运行状态,在此状态下,已不需要配置密码即可进入交换机的配置模式;
进入到步骤27,由系统管理员重新设置交换机配置密码,使交换机的管理系统重新得到双重密码保护,在此过程中,需要先进入交换机的配置模式,在配置界面输入设置密码的命令行设置一个新的密码,在交换机上设置上述交换机配置密码后,保存该配置信息,则配置该密码的命令行(包含password关键字)即被写入到交换机系统的配置文件中。待下次交换机重新启动后,交换机将会自动将该密码设置,如果管理员需要进入到系统有效的配置状态,则必须输入该密码进行身份验证。
然后,进入到步骤28,进入交换机的正常工作状态。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,如所述采用加密算法生成动态的交换机的超级密码中,现有成熟的加密算法多种多样,同时各厂家也可能自行研制自己独特的加密算法,无论采用哪种加密算法,都能体现本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种动态超级密码生成方法,其特征在于,所述方法包括:
A1.读取设备的MAC地址;
A2.根据所述MAC地址和加密算法生成动态超级密码。
A3.存储生成的动态密码。
2.一种利用权利要求1中动态超级密码的交换机安全管理方法,其特征在于,启动交换机的步骤包括:
B1.输入启动密码;
B2.系统判断启动密码是否正确:启动密码正确则进入步骤B4,启动密码不正确则进入步骤B3;
B3.读取并输入动态超级密码;
B4.进入引导程序文件系统。
3.如权利要求2所述的交换机安全管理方法,其特征在于,所述方法还包括:B5.重新设置启动密码。
4.如权利要求3所述的保障交换机安全管理的方法,其特征在于,步骤B5包括:
B51.预先配置修改所述交换机启动密码的修改命令;
B52.通过所述已配置的所述修改命令重新设置所述交换机的启动密码。
5.如权利要求2所述的交换机安全管理方法,其特征在于,所述方法还包括进入配置模式:
C1.输入配置密码;
C2.系统判断配置密码是否正确:配置密码正确则进入步骤C4,配置密码不正确则进入步骤B1重新启动交换机,然后进入步骤C3;
C3.通过命令打开交换机配置文件,删除配置密码;
C4.对配置文件进行操作。
6.如权利要求5所述的交换机安全管理方法,其特征在于,步骤C3包括:
C31.预先配置打开系统配置文件的打开命令;
C32.通过所述打开命令打开所述系统配置文件;
C33.删除所述系统配置文件中的允许配置密码命令行;
C34.保存已修改的所述系统配置文件。
7.如权利要求5所述的交换机安全管理方法,其特征在于,所述方法还包括重新设置所述交换机的配置密码。
8.如权利要求7所述的保障交换机安全管理的方法,其特征在于,所述重新设置所述交换机配置密码的步骤包括:在所述交换机的密码配置界面输入设置密码的命令行设置新的所述交换机配置密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031373186A CN1314237C (zh) | 2003-06-08 | 2003-06-08 | 交换机安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031373186A CN1314237C (zh) | 2003-06-08 | 2003-06-08 | 交换机安全管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1553650A true CN1553650A (zh) | 2004-12-08 |
| CN1314237C CN1314237C (zh) | 2007-05-02 |
Family
ID=34323564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031373186A Expired - Fee Related CN1314237C (zh) | 2003-06-08 | 2003-06-08 | 交换机安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1314237C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629900A (zh) * | 2012-03-06 | 2012-08-08 | 北京东土科技股份有限公司 | 一种超级密码生成系统以及应用方法 |
| CN103731299A (zh) * | 2013-11-29 | 2014-04-16 | 上海斐讯数据通信技术有限公司 | 一种交换机安全管理方法 |
| CN109979116A (zh) * | 2019-04-01 | 2019-07-05 | 深圳市摩线科技有限公司 | 一种关于设备租赁的离线密码加密方法 |
| CN110545191A (zh) * | 2019-09-24 | 2019-12-06 | 深圳市永达电子信息股份有限公司 | 一种动态密码生成系统及方法 |
| CN116541898A (zh) * | 2023-07-07 | 2023-08-04 | 山东多次方半导体有限公司 | 一种基于fpga实现多算法可重配置的密码卡设计方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2344977A (en) * | 1998-12-17 | 2000-06-21 | 3Com Technologies Ltd | Password generation by hashing site and time data |
| CN1392475A (zh) * | 2001-06-20 | 2003-01-22 | 徐孝民 | 复式密码保密示警系统 |
| US7313828B2 (en) * | 2001-09-04 | 2007-12-25 | Nokia Corporation | Method and apparatus for protecting software against unauthorized use |
| JP2003110543A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | 暗号キー設定システム、無線通信装置および暗号キー設定方法 |
-
2003
- 2003-06-08 CN CNB031373186A patent/CN1314237C/zh not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629900A (zh) * | 2012-03-06 | 2012-08-08 | 北京东土科技股份有限公司 | 一种超级密码生成系统以及应用方法 |
| CN102629900B (zh) * | 2012-03-06 | 2016-03-30 | 北京东土科技股份有限公司 | 一种超级密码生成系统以及应用方法 |
| CN103731299A (zh) * | 2013-11-29 | 2014-04-16 | 上海斐讯数据通信技术有限公司 | 一种交换机安全管理方法 |
| CN109979116A (zh) * | 2019-04-01 | 2019-07-05 | 深圳市摩线科技有限公司 | 一种关于设备租赁的离线密码加密方法 |
| CN109979116B (zh) * | 2019-04-01 | 2021-04-20 | 深圳市摩线科技有限公司 | 一种关于设备租赁的离线密码加密方法 |
| CN110545191A (zh) * | 2019-09-24 | 2019-12-06 | 深圳市永达电子信息股份有限公司 | 一种动态密码生成系统及方法 |
| CN116541898A (zh) * | 2023-07-07 | 2023-08-04 | 山东多次方半导体有限公司 | 一种基于fpga实现多算法可重配置的密码卡设计方法 |
| CN116541898B (zh) * | 2023-07-07 | 2023-10-13 | 山东多次方半导体有限公司 | 一种基于fpga实现多算法可重配置的密码卡设计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1314237C (zh) | 2007-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cash et al. | Dynamic proofs of retrievability via oblivious RAM | |
| WO2020207233A1 (zh) | 一种区块链的权限控制方法及装置 | |
| US7181016B2 (en) | Deriving a symmetric key from an asymmetric key for file encryption or decryption | |
| US9003177B2 (en) | Data security for digital data storage | |
| US7171557B2 (en) | System for optimized key management with file groups | |
| US20200153808A1 (en) | Method and System for an Efficient Shared-Derived Secret Provisioning Mechanism | |
| US7765585B2 (en) | Credential delegation using identity assertion | |
| WO2021143025A1 (zh) | 物联网数据传输方法、装置、介质及电子设备 | |
| US7962516B2 (en) | System and method for adding multi-level security to federated asset repositories | |
| US20160094347A1 (en) | Method and system for secure management of computer applications | |
| US9008303B1 (en) | Method and apparatus for generating forward secure pseudorandom numbers | |
| CN1234081C (zh) | 利用bios通过身份认证实现安全访问硬盘的方法 | |
| US20110307707A1 (en) | Method and system for securing a file | |
| US20090296926A1 (en) | Key management using derived keys | |
| TW201017514A (en) | Memory system with versatile content control | |
| EP2248298A1 (en) | Secure and usable protection of a roamable credentials store | |
| US20170099144A1 (en) | Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system | |
| US8607071B2 (en) | Preventing replay attacks in encrypted file systems | |
| US20030070099A1 (en) | System and methods for protection of data stored on a storage medium device | |
| US7266688B2 (en) | Methods for improved security of software applications | |
| US20020078049A1 (en) | Method and apparatus for management of encrypted data through role separation | |
| CN111247521A (zh) | 将多用户设备远程锁定为用户集合 | |
| CN105491069B (zh) | 云存储中基于抵抗主动攻击的完整性验证方法 | |
| JP2003337736A (ja) | 計算機、ハードディスク装置、複数の該計算機及び共有ハードディスク装置から構成されるディスク装置共有システム、及び該共有システムにおいて利用されるディスク装置の共有方法 | |
| US9594918B1 (en) | Computer data protection using tunable key derivation function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070502 Termination date: 20150608 |
|
| EXPY | Termination of patent right or utility model |