CN1949765A - 获得被管设备的ssh主机公开密钥的方法和系统 - Google Patents
获得被管设备的ssh主机公开密钥的方法和系统 Download PDFInfo
- Publication number
- CN1949765A CN1949765A CNA2005101125486A CN200510112548A CN1949765A CN 1949765 A CN1949765 A CN 1949765A CN A2005101125486 A CNA2005101125486 A CN A2005101125486A CN 200510112548 A CN200510112548 A CN 200510112548A CN 1949765 A CN1949765 A CN 1949765A
- Authority
- CN
- China
- Prior art keywords
- managed device
- ssh
- snmp
- message
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000005540 biological transmission Effects 0.000 claims abstract description 58
- 230000003993 interaction Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 75
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 2
- 238000013144 data compression Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001038 ionspray mass spectrometry Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种获得被管设备的SSH主机公开密钥的方法和系统,其核心是:管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥信息。通过本发明,能够在发现阶段获得被管设备系统信息的同时获得SSH服务器的公开密钥,从而减少公开密钥分发管理的工作量,提高了公开密钥的分发速度,而且使用非常方便。
Description
技术领域
本发明涉及通信领域,尤其涉及一种获得被管设备的SSH主机公开密钥的方法和系统。
背景技术
传统的网络服务程序,如文件传输协议(File Transfer Protocol;FTP)和Telnet在传输机制和实现原理上没有考虑安全机制,只是使用简单的安全验证方式,因此用户和服务器间传输的数据很容易受到网络黑客的攻击。为了保证数据的安全性,安全外壳程序(Secure Shell;SSH)以其更安全的特性渐渐替代了传统的网络服务程序。
使用SSH时,需要在应用层和传输层的基础上建立SSH协议,所述SSH协议主要包括传输层协议、用户认证协议、连接协议。其中,所述传输层协议建立在面向连接的TCP数据流之上,用于提供认证、信任和完整性检验等安全措施,以及数据压缩功能;所述用户认证协议运行在传输层协议之上,用于实现服务器跟客户端之间的身份认证,所述连接协议运行在用户认证层协议之上,用于分配多个加密通道到一些逻辑通道上。
SSH主要通过连接协议并调用用户认证协议来实现SSH的应用:
1、用户通过SSH提供很强的验证(authentication)机制与非常安全的通讯环境,登录到远方机器执行命令并进行工作。
SSH不仅提供了对通信内容的加密保护机制,而且也加强了对身份验证的安全保护。
2、使用SSH执行服务器上的shell程序和命令。
服务器上的shell程序和命令分为shell、可执行程序和子系统三个类别。其中子系统(Subsystem)是SSH服务器(SSH Daemon,SSHD)运行的进程,在用户认证通过后启动连接协议建立信道(Channel)的时候启动,该进程将其标准输入输出(STDIN和STDOUT)重定向到新建立的隧道上。
因为用户和子系统之间的通信都重定向到SSH连接协议的信道上,因此所述子系统同用户之间的后续通信过程都通过SSH协议来提供保护。
3、通过使用SSH,在本地主机和远程服务器之间设置″加密隧道″,并且与常见的Pop应用程序、X应用程序、Linuxconf应用程序相结合,提供安全保障。
通过上述描述可以看出,通过使用SSH,用户可以将所有传输的数据进行加密,并且可以将数据进行压缩处理,因此不但能够保证数据的安全性,而且能够加快数据传输的速度。
网管协议(Simple Network Management Protocol;SNMP),运行在被管设备上的Agent软件和网管站之间,用来管理网络设备,如服务器、工作站、路由器、交换机及HUB等的一种标准协议,它是一种应用层协议。
SNMPv3协议将通信的实体按照应用分为几种类别:命令生成器(生成管理指令)、命令反应器、通告发送器(生成事件告警)、通告接收器和代理。
网管站基于SNMP协议,接收被管设备发送的循环消息(及事件报告),并根据所述消息获得被管设备的运行情况,发现并解决网络问题以及规划网络发展。
另外,网管站根据被管设备的IP地址,通过SNMP协议能够获得被管设备的详细信息,如SNMP MIB中的系统表中的信息,包括:
——系统描述,一个关于系统的文本描述
——系统OID,供应商设置的设备ID
——系统联系,该系统相关的联系人
——系统启动时间
——系统位置,地理位置
——系统名称
命令生成器/通告接收器根据这些信息来了解这些被管设备,并决定是否进一步管理这些设备。
基于对SNMP协议安全性的考虑,IETF推出了SNMPv3标准,该标准增加了基于用户的安全模型(user-based security model;USM)和基于视图的访问控制模型(view based access control model;VACM)。
其中,所述USM安全模型要求对每两个互相通信的SNMP引擎之间配置安全参数,如共享密钥,在一般的网络中,一台被管设备可能被多个网管站管理,而同时一个网管站需要管理大量的设备,因此安全参数的配置工作量就非常大。
为解决这个问题,IETF的ISMS作出利用SSH来传输SNMPv3协议的提议。采用承载于SSH上的SNMP协议实现设备发现功能时,必须首先在被管设备和网管站的网管应用之间创建SSH连接,然后通过带外管理操作,即人工配置获得主机公开密钥,接着基于非对称密钥的服务器验证,对网管站的服务器的主机进行身份验证,当身份验证通过后,将被管设备网管引擎应用(Agent)作为一个子系统进程启动,然后再执行实际的SNMP访问系统MIB的任务,完成实际发现的过程。但是由于非对称密码算法占用大量的CPU和存储,而且每启动一个SNMP连接,就需要在被连接的设备上启动两个进程,一个SNMP Agent进程,一个SSH服务器进程,占用系统存储资源,因而采用此种方法,发现过程成本比较高。
为了降低发现过程的成本,可以利用RFC3417标准提出的利用数据报协议(user datagram protocol;UDP)传输来实现发现功能,在该方案中,命令反应器使用UDP端口161来侦听来自管理站的报文,而通告接收器使用UDP端口162来侦听来自Agent的报文,从而能够使用UDP传输的SNMP协议来发现被管设备。
因为SNMPv3中USM是必备的安全处理模块,使用UDP传输的时候,因为被发现设备和网管站(命令生成器应用和通告接收器应用)之间可能没有预先存在的共享密钥,因此将SNMPv3通信的安全水平设置为noAuthNoPriv,这样SNMP安全模块(USM)就可以不对报文进行验证和加密,从而能够降低发现成本。而且被发现设备对SNMP的系统信息不实施访问控制,即使是没有被验证的用户也能获得系统信息。
与本发明有关的现有技术是将上述SSH传输和RFC3417(SNMPv3标准)规定的UDP传输结合起来。网管站使用UDP传输的SNMP协议来发现被管设备;使用SSH传输的SNMP协议来连接被管设备。
在使用SSH传输的SNMP协议创建连接时,被管设备首先通过带外管理操作,即人工配置获得主机公开密钥,然后基于获得的主机公开密钥对网管站的服务器的主机进行身份验证,当验证通过后,与服务器建立通信链路。
由现有技术二可以看出,其存在如下缺陷:
现有技术获得主机公开密钥的方法都是带外管理操作,需要人的干预,因此不仅影响公开密钥的分发速度,而且使用极不方便。
发明内容
本发明的目的是提供一种获得被管设备的SSH主机公开密钥的方法和系统,通过本发明,能够在发现阶段获得被管设备系统信息的同时获得SSH服务器的主机公开密钥,从而减少公开密钥分发管理的工作量,提高了主机公开密钥的分发速度,而且使用非常方便。
本发明的目的是通过以下技术方案实现的:
本发明提供一种获得被管设备的SSH主机公开密钥的方法,其包括:
A、管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥的相关信息。
其中,所述步骤A具体包括:
A1、管理站通过SNMP协议以及UDP传输发送发现请求报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息;
A2、被管设备根据接收到的管理站发送的所述发现请求报文,通过SNMP协议将其SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给管理站;
A3、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
其中,所述步骤A1具体包括:
A11、管理站获得被管设备的标识;
A12、根据所述获得的标识,并通过SNMP协议以及UDP传输发送发现请求报文给所述标识对应的被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
其中,所述步骤A2具体包括:
A21、被管设备接收到所述管理站发送的发现请求报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
A22、所述SNMP引擎对所述PDU报文进行解封装处理,然后通过SNMP协议将被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站;或,
所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的系统MIB信息和所述密钥证书封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
其中,所述步骤A3具体包括:
A31、管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
其中,所述步骤A3还包括:
A32、将所述信息保存到本地文件或数据库中。
其中,所述方法还包括:
B、管理站使用所述获得的SSH服务器公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接;
C、通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
其中,所述SSH服务器主机公开密钥的相关信息包括:
SSH服务器主机公开密钥信息。
其中,所述SSH服务器主机密钥的相关信息还包括:
所述密钥信息的算法、使用策略、指印和/或关联名字。
本发明提供一种获得被管设备的SSH主机公开密钥的系统,其包括管理站和被管设备;
所述管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得被管设备的SSH服务器的主机公开密钥的相关信息。
其中,所述管理站包括UDP传输模块、SNMP引擎模块和管理功能模块;
所述管理功能模块通过调用SNMP引擎模块和UDP传输模块将发现请求UDP报文传送给被管设备,发现请求UDP报文中指出需要获得系统MIB模块和SSH服务器主机密钥模块的信息,并根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
其中,所述管理站还包括SSH传输模块,其被所述管理功能模块调用,用于根据所述获得的主机公开密钥的相关信息对所述被管设备的SSH服务器主机进行身份验证,并当验证通过后,与被管设备建立SSH连接,并通过SSH传输使用SNMP协议对被管设备进行相应的SSH管理。
其中,所述被管设备包括UDP传输模块和SNMP引擎模块;
所述UDP传输模块,用于接收所述管理站发送的UDP报文,并对所述报文进行解封装处理后,重新封装为PDU报文传递给所述SNMP引擎模块;
所述SNMP引擎模块,用于将系统MIB信息和主机公开密钥的相关信息封装到新的SNMP PDU报文中,并通过UDP传输模块发送给所述管理站。
其中,所述被管设备还包括MIB模块,用于保存系统MIB信息和主机公开密钥的相关信息。
其中,所述被管设备还包括SSH传输模块,用于与管理站建立SSH连接,并通过SSH传输与所述管理站进行信息交互。
由上述本发明提供的技术方案可以看出,本发明的管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥信息。通过本发明,能够在发现阶段获得被管设备系统信息的同时获得SSH服务器的主机公开密钥,从而减少公开密钥分发管理的工作量,提高了公开密钥的分发速度,而且使用非常方便。
附图说明
图1为本发明提供的系统原理示意图;
图2为本发明提供的流程图。
具体实施方式
本发明提供一种获得被管设备的SSH主机公开密钥的方法和系统,其核心是:管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥的相关信息。
针对本发明所述的一种获得被管设备的SSH主机公开密钥的系统提供的第一实施例,如图1所示:包括管理站和被管设备;其中所述管理站包括UDP传输模块、SNMP引擎模块、管理功能模块和SSH传输模块,如SSH客户端;所述被管设备包括UDP传输模块、SNMP引擎模块、网管协议使用的一种虚拟存储(MIB)模块和SSH传输模块,如SSH服务器。
所述被管设备的MIB模块,保存系统MIB信息和主机公开密钥的相关信息。其包括一般SNMP被管设备可被发现的参数MIB模块,如用于被命令生成器发现的系统信息MIB模块,以及其它MIB模块外,还包括一个主机密钥MIB模块。其中所述主机密钥MIB模块包括一个或多个主机公开密钥,其同系统信息MIB模块一样,对公开密钥的访问控制采用相同的处理方式,即noAuthNoPriv(无须报文验证也无须保密性),同时不对该主机密钥MIB模块进行访问控制。
所述管理站的管理功能模块获得将被发现的设备标识,如主机的IP地址或主机名,所述设备标识可以通过管理员输入和事先配置,输入或配置的具体信息可能是单个地址,但一般情况下是一个地址段,管理功能模块依次从地址段中选择一个地址实施发现操作。
在实施发现操作时,调用SNMP引擎模块和UDP传输模块,根据所述设备的标识将发现请求UDP报文传送给对应的被管设备,并在发现请求UDP报文中指出需要获得系统MIB模块和SSH服务器主机密钥模块的信息;
所述被管设备的UDP传输模块,接收所述管理站发送的UDP报文,并对所述报文进行解封装处理后,重新封装为PDU报文传递给所述SNMP引擎模块。
所述被管设备的SNMP引擎模块,将系统MIB信息和主机密钥公开的相关信息封装到新的SNMP PDU报文中,并通过UDP传输模块发送给所述管理站。
所述管理站的管理功能模块通过调用SNMP引擎模块和UDP传输模块,根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
所述管理站的SSH传输模块,根据所述获得的公开密钥的相关信息对所述被管设备的SSH服务器主机进行身份验证,并当验证通过后,与被管设备的SSH传输模块建立SSH连接,并通过SSH传输对被管设备进行相应的SSH管理。
针对本发明所述的一种获得被管设备的SSH主机公开密钥的方法提供的第二实施例,如图2所示,包括:
步骤101、管理站通过SNMP协议以及UDP传输发送发现请求UDP报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
具体实时过程如下:
首先,管理站获得被管设备的标识,如主机的IP地址或主机名。
所述设备标识可以通过管理员输入和事先配置,输入或配置的具体信息可能是单个地址,但一般情况下是一个地址段,管理功能模块依次从地址段中选择一个地址实施发现操作。
然后,管理站根据所述获得的标识,并通过SNMP协议以及UDP传输发送发现请求报文给所述标识对应的被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
步骤102、被管设备根据接收到的管理站发送的所述发现请求报文,通过SNMP协议将其SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给管理站。
具体实施过程包括:
首先,被管设备接收到所述管理站发送的发现请求报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
然后,所述SNMP引擎对所述PDU报文进行解封装处理,然后通过SNMP协议将被管设备的SSH服务器主机公开密钥的相关信息及其相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
其中,所述SSH服务器主机公开密钥的相关信息包括主机公开密钥信息,或包括主机公开密钥信息以及所述主机公开密钥信息的算法、使用策略、指印和/或关联名字。
每个主机公开密钥的使用可能有一定的使用策略,该策略指出使用该主机密钥的条件;每个主机公开密钥可以同时存在一个指印(fingerprint),指引是对主机密钥进行某种处理(如哈希单向函数处理)产生的结果,该指印被用来索引密钥或实现主机密钥校验功能;每个主机公开密钥可以同一个名字关联,该名字可以是SSH服务器的名字或别名等。
步骤103、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息,并将所述信息保存到本地文件或数据库中。
经过上述步骤后,管理站首先使用所述获得的SSH服务器公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接;
然后通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
针对本发明所述的一种获得被管设备的SSH主机公开密钥的方法提供的第三实施例,包括:
步骤201、管理站通过SNMP协议以及UDP传输发送发现请求UDP报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
具体实施过程同第一实施例中的相关描述,这里不再详细介绍。
步骤202、所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的系统MIB信息和所述密钥证书封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
具体实施过程包括:
首先,被管设备接收到所述管理站发送的UDP报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
然后,所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的密钥证书和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
其中,所述SSH服务器主机公开密钥的相关信息包括主机公开密钥信息,或包括所述主机公开密钥信息以及所述主机公开密钥信息的的算法、使用策略、指印和/或关联名字。
步骤203、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的密钥证书和系统MIB信息,并将所述信息保存到本地文件或数据库中。
经过上述步骤后,管理站首先使用所述获得的被管设备的密钥证书中的SSH服务器的主机公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接。
然后通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
由上述本发明的具体实施方案可以看出,本发明使用SNMP协议和UDP传输来获得主机密钥,从而能够以很小的传输、处理和管理代价实现主机密钥分发。相对于传统的主机公开密钥分发方法,如FTP传输主机密钥文件、手工配置密钥文件或磁盘传输等,本发明的实施成本几乎是零,并且本发明降低了人为错误的可能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (15)
1、一种获得被管设备的SSH主机公开密钥的方法,其特征在于,包括:
A、管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥的相关信息。
2、根据权利要求1所述的方法,其特征在于,所述步骤A具体包括:
A1、管理站通过SNMP协议以及UDP传输发送发现请求报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息;
A2、被管设备根据接收到的管理站发送的所述发现请求报文,通过SNMP协议将其SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给管理站;
A3、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
3、根据权利要求2所述的方法,其特征在于,所述步骤A1具体包括:
A11、管理站获得被管设备的标识;
A12、根据所述获得的标识,并通过SNMP协议以及UDP传输发送发现请求报文给所述标识对应的被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
4、根据权利要求2所述的方法,其特征在于,所述步骤A2具体包括:
A21、被管设备接收到所述管理站发送的发现请求报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
A22、所述SNMP引擎对所述PDU报文进行解封装处理,然后通过SNMP协议将被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站;或,
所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的系统MIB信息和所述密钥证书封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
5、根据权利要求2所述的方法,其特征在于,所述步骤A3具体包括:
A31、管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
6、根据权利要求5所述的方法,其特征在于,所述步骤A3还包括:
A32、将所述信息保存到本地文件或数据库中。
7、根据权利要求1所述的方法,其特征在于,还包括:
B、管理站使用所述获得的SSH服务器公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接;
C、通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
8、根据权利要求1所述的方法,其特征在于,所述SSH服务器主机公开密钥的相关信息包括:
SSH服务器主机公开密钥信息。
9、根据权利要求1所述的方法,其特征在于,所述SSH服务器主机密钥的相关信息还包括:
所述密钥信息的算法、使用策略、指印和/或关联名字。
10、一种获得被管设备的SSH主机公开密钥的系统,其特征在于:
包括管理站和被管设备;
所述管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得被管设备的SSH服务器的主机公开密钥的相关信息。
11、根据权利要求10所述的系统,其特征在于:
所述管理站包括UDP传输模块、SNMP引擎模块和管理功能模块;
所述管理功能模块通过调用SNMP引擎模块和UDP传输模块将发现请求UDP报文传送给被管设备,发现请求UDP报文中指出需要获得系统MIB模块和SSH服务器主机密钥模块的信息,并根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
12、根据权利要求11所述的系统,其特征在于:
所述管理站还包括SSH传输模块,其被所述管理功能模块调用,用于根据所述获得的主机公开密钥的相关信息对所述被管设备的SSH服务器主机进行身份验证,并当验证通过后,与被管设备建立SSH连接,并通过SSH传输使用SNMP协议对被管设备进行相应的SSH管理。
13、根据权利要求10所述的系统,其特征在于:
所述被管设备包括UDP传输模块和SNMP引擎模块;
所述UDP传输模块,用于接收所述管理站发送的UDP报文,并对所述报文进行解封装处理后,重新封装为PDU报文传递给所述SNMP引擎模块;
所述SNMP引擎模块,用于将系统MIB信息和主机公开密钥的相关信息封装到新的SNMP PDU报文中,并通过UDP传输模块发送给所述管理站。
14、根据权利要求13所述的系统,其特征在于:
所述被管设备还包括MIB模块,用于保存系统MIB信息和主机公开密钥的相关信息。
15、根据权利要求14所述的系统,其特征在于:
所述被管设备还包括SSH传输模块,用于与管理站建立SSH连接,并通过SSH传输与所述管理站进行信息交互。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005101125486A CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| PCT/CN2006/001983 WO2007041918A1 (fr) | 2005-10-10 | 2006-08-07 | Méthode et système d’obtention de clé hôte ssh de dispositif géré |
| CNA2006800122958A CN101160773A (zh) | 2005-10-10 | 2006-08-07 | 获得被管设备安全外壳程序主机密钥的方法和系统 |
| EP06775301.2A EP1926245B1 (en) | 2005-10-10 | 2006-08-07 | Method and system for obtaining ssh host key of managed device |
| US11/522,592 US7792939B2 (en) | 2005-10-10 | 2006-09-18 | Method and system for obtaining secure shell host key of managed device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2005101125486A CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1949765A true CN1949765A (zh) | 2007-04-18 |
| CN1949765B CN1949765B (zh) | 2010-10-13 |
Family
ID=37912117
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101125486A Expired - Fee Related CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| CNA2006800122958A Pending CN101160773A (zh) | 2005-10-10 | 2006-08-07 | 获得被管设备安全外壳程序主机密钥的方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800122958A Pending CN101160773A (zh) | 2005-10-10 | 2006-08-07 | 获得被管设备安全外壳程序主机密钥的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7792939B2 (zh) |
| EP (1) | EP1926245B1 (zh) |
| CN (2) | CN1949765B (zh) |
| WO (1) | WO2007041918A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102231742A (zh) * | 2011-06-27 | 2011-11-02 | 中国建设银行股份有限公司 | 基于sftp协议的文件上传与下载方法、系统及相关设备 |
| CN101437022B (zh) * | 2007-11-14 | 2013-09-18 | 丛林网络公司 | 服务器发起的安全网络连接 |
| CN106027562A (zh) * | 2016-07-08 | 2016-10-12 | 中国银联股份有限公司 | 一种文件网络映射方法及装置 |
| CN110708299A (zh) * | 2019-09-23 | 2020-01-17 | 广州海颐信息安全技术有限公司 | 特权集中管理并实现动态主机互信认证的方法及装置 |
| CN113067834A (zh) * | 2021-04-09 | 2021-07-02 | 上海新炬网络信息技术股份有限公司 | 基于Web浏览器远程控制服务器的方法 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105977A1 (en) * | 2001-12-05 | 2003-06-05 | International Business Machines Corporation | Offload processing for secure data transfer |
| US20030105952A1 (en) * | 2001-12-05 | 2003-06-05 | International Business Machines Corporation | Offload processing for security session establishment and control |
| CN1949765B (zh) | 2005-10-10 | 2010-10-13 | 华为技术有限公司 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| US8195944B2 (en) * | 2007-01-04 | 2012-06-05 | Motorola Solutions, Inc. | Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys |
| US8335916B2 (en) * | 2008-01-29 | 2012-12-18 | International Business Machines Corporation | Secure request handling using a kernel level cache |
| US8391495B2 (en) * | 2008-05-08 | 2013-03-05 | International Business Machines Corporation | Secure shell used to open a user's encrypted file system keystore |
| US8095800B2 (en) * | 2008-11-20 | 2012-01-10 | General Dynamics C4 System, Inc. | Secure configuration of programmable logic device |
| US9363080B2 (en) * | 2011-07-08 | 2016-06-07 | Venafi, Inc. | System for managing cryptographic keys and trust relationships in a secure shell (SSH) environment |
| US9071544B2 (en) * | 2011-07-28 | 2015-06-30 | Qlogic, Corporation | Method and system for managing network elements |
| US10003458B2 (en) * | 2011-12-21 | 2018-06-19 | Ssh Communications Security Corp. | User key management for the secure shell (SSH) |
| WO2013093209A1 (en) | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| CN102857507B (zh) * | 2012-09-10 | 2016-05-11 | 福建伊时代信息科技股份有限公司 | samba磁盘映射方法及samba磁盘映射系统 |
| EP3661159A1 (en) | 2013-07-08 | 2020-06-03 | SSH Communications Security Oyj | Trust relationships in a computerized system |
| US9722987B2 (en) | 2015-03-13 | 2017-08-01 | Ssh Communications Security Oyj | Access relationships in a computer system |
| US10567360B2 (en) * | 2017-06-29 | 2020-02-18 | Vmware, Inc. | SSH key validation in a hyper-converged computing environment |
| CN107528919A (zh) * | 2017-09-25 | 2017-12-29 | 江苏英索纳智能科技有限公司 | 一种局域网设备发现和驱动程序自动安装的方法及装置 |
| CN114489850B (zh) * | 2022-01-20 | 2023-08-22 | 中广核工程有限公司 | 一种设计软件的调用方法、装置、计算机设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6259700B1 (en) * | 1997-06-30 | 2001-07-10 | Sterling Commerce, Inc. | Electronic commerce distributed network and method |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| ITTO20010813A1 (it) * | 2001-08-13 | 2003-02-13 | Telecom Italia Lab Spa | Procedimento per il trasferimento di messaggi tramite udp, relativo sistema e prodotto informatico. |
| US8214884B2 (en) * | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
| CN1556490A (zh) * | 2004-01-08 | 2004-12-22 | 上海复旦光华信息科技股份有限公司 | 基于状态转换表的多源审计数据业务一致性判断方法 |
| CN100420196C (zh) * | 2004-03-05 | 2008-09-17 | 上海傲威通信技术有限公司 | 一种实现对nat内网络设备进行远程登录管理的方法 |
| CN1949765B (zh) | 2005-10-10 | 2010-10-13 | 华为技术有限公司 | 获得被管设备的ssh主机公开密钥的方法和系统 |
-
2005
- 2005-10-10 CN CN2005101125486A patent/CN1949765B/zh not_active Expired - Fee Related
-
2006
- 2006-08-07 WO PCT/CN2006/001983 patent/WO2007041918A1/zh active Application Filing
- 2006-08-07 EP EP06775301.2A patent/EP1926245B1/en not_active Not-in-force
- 2006-08-07 CN CNA2006800122958A patent/CN101160773A/zh active Pending
- 2006-09-18 US US11/522,592 patent/US7792939B2/en active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437022B (zh) * | 2007-11-14 | 2013-09-18 | 丛林网络公司 | 服务器发起的安全网络连接 |
| CN102231742A (zh) * | 2011-06-27 | 2011-11-02 | 中国建设银行股份有限公司 | 基于sftp协议的文件上传与下载方法、系统及相关设备 |
| CN102231742B (zh) * | 2011-06-27 | 2014-10-29 | 中国建设银行股份有限公司 | 基于sftp协议的文件上传与下载方法、系统及相关设备 |
| CN106027562A (zh) * | 2016-07-08 | 2016-10-12 | 中国银联股份有限公司 | 一种文件网络映射方法及装置 |
| CN110708299A (zh) * | 2019-09-23 | 2020-01-17 | 广州海颐信息安全技术有限公司 | 特权集中管理并实现动态主机互信认证的方法及装置 |
| CN113067834A (zh) * | 2021-04-09 | 2021-07-02 | 上海新炬网络信息技术股份有限公司 | 基于Web浏览器远程控制服务器的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1949765B (zh) | 2010-10-13 |
| WO2007041918A1 (fr) | 2007-04-19 |
| EP1926245A4 (en) | 2009-07-22 |
| US20070083665A1 (en) | 2007-04-12 |
| US7792939B2 (en) | 2010-09-07 |
| EP1926245B1 (en) | 2014-10-01 |
| EP1926245A1 (en) | 2008-05-28 |
| CN101160773A (zh) | 2008-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1949765A (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN1756234A (zh) | 服务器、vpn客户机、vpn系统及软件 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| CN1567808A (zh) | 一种网络安全装置及其实现方法 | |
| CN1790982A (zh) | 基于协商通信实现信任认证的方法及系统 | |
| CN1589436A (zh) | 网络化设备的访问和控制系统 | |
| CN101064595A (zh) | 一种计算机网络安全输入认证系统和方法 | |
| CN1992585A (zh) | 一种用于用户设备与内部网络间安全通信的方法及装置 | |
| CN1694555A (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
| CN1835437A (zh) | 用于web服务的可信第三方认证 | |
| CN1905436A (zh) | 保证数据交换安全的方法 | |
| CN1874218A (zh) | 一种许可证管理方法、系统及装置 | |
| CN1967558A (zh) | 图像处理系统,信息处理设备,计算机可读记录介质以及信息处理方法 | |
| CN1213582C (zh) | 初始化简单网络管理协议代理的系统和方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN101043361A (zh) | 一种基于snmp协议进行网络管理的方法和系统 | |
| CN101047493A (zh) | 获取简单网络管理协议管理密钥的方法及系统 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN1700638A (zh) | 借助安全认证网关的企业网安全接入方法 | |
| CN1798021A (zh) | 通信支持服务器、通信支持方法、及通信支持系统 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1771691A (zh) | 用于网络设备的安全管理的方法、系统和计算机程序 | |
| CN1901478A (zh) | 一种基于snmp的网络管理方法 | |
| CN1881878A (zh) | 在可控因特网网络环境下基于智能卡业务安全认证方法 | |
| CN1260927C (zh) | 实现安全性认证的ip网络系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101013 |