FI113924B - Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi - Google Patents

Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi Download PDF

Info

Publication number
FI113924B
FI113924B FI20021594A FI20021594A FI113924B FI 113924 B FI113924 B FI 113924B FI 20021594 A FI20021594 A FI 20021594A FI 20021594 A FI20021594 A FI 20021594A FI 113924 B FI113924 B FI 113924B
Authority
FI
Finland
Prior art keywords
string
server
client
seed
message
Prior art date
Application number
FI20021594A
Other languages
English (en)
Swedish (sv)
Other versions
FI20021594A (fi
FI20021594A0 (fi
Inventor
Rauno Javanainen
Original Assignee
Tellabs Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tellabs Oy filed Critical Tellabs Oy
Priority to FI20021594A priority Critical patent/FI113924B/fi
Publication of FI20021594A0 publication Critical patent/FI20021594A0/fi
Priority to EP03396080A priority patent/EP1396961B1/en
Priority to US10/656,887 priority patent/US20050076206A1/en
Priority to CNA031272932A priority patent/CN1496056A/zh
Priority to CN200810161916XA priority patent/CN101425925B/zh
Priority to DE60302620T priority patent/DE60302620T2/de
Publication of FI20021594A publication Critical patent/FI20021594A/fi
Application granted granted Critical
Publication of FI113924B publication Critical patent/FI113924B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

113924
Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi -Förfarande, arrangemang och anordning för att pävisa äktheten i datatrafik
KEKSINNÖN ALA
5 Keksintö kohdistuu yleisesti tiedonsiirtoyhteydellä tapahtuvaan tiedonsiirtoon. KEKSINNÖN TAUSTAA
SNMP (Simple Network Management Protocol) on sovellustason standardiproto-kolla, jonka avulla etäkäyttäjät voivat tarkastella tai muuttaa verkkoelimen hallinta-tietoja. SNMP-protokollaa käytetään laajalti Internetin ja muiden sellaisten verkko-10 jen hallintaan, jotka hyödyntävät asiakas-palvelin-tiedonsiirrossaan TCP/IP- tai UDP-protokollaa (Transmission Control Protocol; User Datagram Protocol). SNMP ei kuitenkaan rajoitu mihinkään tiettyyn asiakas-palvelin-tiedonsiirtoprotokollaan, koska SNMP:ssä määritellään hallintatietojen saantiin käytettävien sanomien sisältö ja protokolla, ei sitä täsmällistä tapaa, jolla sanomia siirretään. SNMP:n määrittely 15 löytyy Internet-standardista RFC 1157, J. Case, M. Fedor, M. Schoffstall, J. Davin: "A Simple Network Management Protocol (SNMP)”, May 1990, joka on liitetty tähän hakemukseen viitteenä.
,:. SNMP-sanomia siirretään verkossa asiakkaan ("manager" dokumentissa RFC 1157) ja palvelimen ("agent" dokumentissa RFC 1157) välillä. Kukin SNMP-sanoma on * · · . 20 ASN.l-standardin mukainen tietorakenne, johon kuuluu INTEGER-tyyppinen ": ; SNMP-versionumero, OCTET STRING -tyyppinen (8-bittisten tavujen jono) yhtei- sönimi ja ANY-tyyppinen data.
;'"; SNMP-spesifikaatiossa määritellään protokolladatayksikkö (PDU) käytettäväksi vii den erityyppisen SNMP-sanoman dataosassa. PDU on ASN.l-tietorakenne, johon 25 kuuluu INTEGER-tyyppinen Request ID, INTEGER-tyyppinen Error Status, INTEGER-tyyppinen Error Index, SEQUENCE-tyyppinen VarBind sekä VarBin-dList, joka on tyyppiä SEQUENCE OF VarBind. Request ID määrittelee, liittyykö PDU Get-pyyntöön hallittujen objektien instanssien arvojen hakemiseksi, Get next *; ; -pyyntöön seuraavan arvon hakemiseksi arvojen luettelosta, Get response -sano- . > ·, 30 maan pyyntösanomaan vastaamiseksi, Set-pyyntöön hallittujen objektien instanssien arvojen muuttamiseksi vai Trap-sanomaan. Tietyn verkkoelimen hallitut objektit määritellään tietorakenteessa nimeltä Management Information Base (MIB). MIB sisältää verkkoelimen hallittujen objektien OID-tunnisteet, jotka ilmoitetaan polku-niminä.
I , 2 113924 SNMP tarjoaa hyvin matalan tietoturvatason. Ei ole olemassa liittävän turvallista menetelmää SNMP-pohjaista tiedonsiirtoa käyttävien laitteiden konfiguroimiseksi. Uhkana on salakuuntelu tai nuuskinta. On aivan liian helppoa tarkkailla palvelimen ja asiakkaan välistä liikennettä ja tekeytyä palvelimeksi tai asiakkaaksi. Vaarana on, 5 että ulkopuolinen taho voi muuttaa matkalla olevia SNMP-viestejä. Lisäksi kuka tahansa, joka voi kuunnella verkkoa, pääsee käsiksi ns. yhteisömerkkijonoon, jolloin luvaton osapuoli voi omaksua luvallisen osapuolen identiteetin.
Eräs ratkaisu ongelmaan on ollut sellainen, että palvelimella on autentikointipalve-lu, joka käyttää yhteisönimeä eräänlaisena salasanana. Jos autentikointipalvelu päätit) tää, että yhteisönimi ei kelpaa palvelimelle pääsyyn, palvelin hylkää viestin. Tätä käsitellään esimerkiksi dokumentin RFC 1157 luvussa 4.1.6.5. Pelkän salasanamenettelyn yksinkertaisuuden vuoksi on kuitenkin melko helppoa tarkkailla osapuolten välistä liikennettä, murtaa yksinkertainen salasana ja tekeytyä jommaksikummaksi osapuoleksi.
15 Erästä toista ratkaisua on selostettu patenttijulkaisussa US 6 044 468. Asiakkaassa oleva salauspalvelu salaa verkonhallintatiedon käyttäen salaista avainta, jonka palvelin, jolle viesti on osoitettu, pystyy tunnistamaan. Salauspalvelu käynnistää asiakkaassa SNMP-viestinlähetyspalvelun muodostaakseen turvallisen SNMP-viestin, jolla on palvelimella olevan salauksenpurkupalvelun yksilöivä näkyvä oliotunniste 20 (OID) sekä salaustuloksen sisältävä näkyvä Arvo. SNMP-viestinlähetyspalvelu , _;; ’ käynnistää asiakkaassa viestintäprotokollapalvelun turvallisen SNMP-viestin lähet- tämiseksi palvelimelle. Palvelimen viestintäprotokollapalvelu vastaanottaa turvalli- • sen SNMP-viestin ja välittää vastaanotetun viestin palvelimen SNMP-viestin vas-taanottopalvelulle. SNMP-viestin vastaanottopalvelu tarkistaa oikeuttaako turvalli- : 25 sessa SNMP-viestissä näkyvä Yhteisönimi palvelimelle pääsyyn, ja jos oikeuttaa, • < · etsii palvelimen hallintatietokannasta (MIB) näkyvää OID:tä vastaavan alipalveli- • · men ja, jos tällainen alipalvelin löytyy, välittää näkyvän OID:n näkyvän Arvon ali- palvelimelle. Alipalvelin purkaa näkyvän Arvon salaustuloksen salauksen ja hylkää ’ viestin, ellei se tunnista palvelimelle pääsyyn oikeuttavaa salaista avainta. Tällainen • > 30 menetelmä merkitsee kuitenkin järjestelmän monimutkaistumista, koska siirrettävä viesti on salattava ja alipalvelimella tarvitaan yksi todentamisvaihe lisää. Tämä on haittatekijä erityisesti SNMP:ssä, koska järjestelmä on suunniteltu yksinkertaiseksi _;, ja yleiseksi viestintäprotokollaksi erilaisille järjestelmille.
I I t ;' ’'; SNMP-pohjaisen tiedonsiirron ja SNMP-pohjaisten järjestelmien lukuisat luontaiset 35 rajoitukset huomioon ottaen olisi toivottavaa pystyä välttämään tai vähentämään näitä ja muita tekniikan tasoon liittyviä ongelmia. Siten on olemassa tarve mekanis- 3 113924 mille, jolla voidaan todentaa (engl. authentication), että viesti on peräisin tietyltä osapuolelta. On kuitenkin lisäksi suotavaa, että tällainen mekanismi on mahdollisimman yhteensopiva SNMP-tietorakenteiden ja -protokollien kanssa.
KEKSINNÖN YHTEENVETO
5 Nyt on keksitty menetelmä ja järjestelmä osapuolen autentikoimiseksi tavallisesti epätavallisessa verkkoviestintäprotokollassa, kuten SNMP-protokollassa (Simple Network Management Protocol).
Keksinnön ensimmäisen aspektin mukaisesti toteutetaan järjestelmä asiakkaan ja palvelimen (engl. agent) välisen tiedonsiirtoyhteyden kautta normaalisti epäturvalli-10 sen verkkoviestintäprotokollan mukaisesti tapahtuvan dataliikenteen aitouden osoit tamiseksi, johon protokollaan kuuluu yhteisömerkkijonokenttä (engl. communal string field) käytettäväksi dataliikenteessä, jolloin asiakkaan ja palvelimen väliseen jaettuun siemeneen (engl. shared seed) perustuva kertakäyttöinen merkkijono (engl. string) on järjestetty sisällytettäväksi asiakkaan ja palvelimen välillä siirrettävään 15 yhteisömerkkijonokenttään aitouden osoittamiseksi, jolloin merkkijono määräytyy oleellisesti saman algoritmin mukaisesti sekä asiakkaan että palvelimen puolella jaetun siemenen perusteella.
Keksinnön toisen aspektin mukaisesti toteutetaan laite asiakkaan ja palvelimen välisen tiedonsiirtoyhteyden kautta normaalisti epätavallisen verkkoviestintäprotokol-•; ·; 20 lan mukaisesti tapahtuvan dataliikenteen aitouden osoittamiseksi, johon protokol- t I « '·’ laan kuuluu yhteisömerkkijonokenttä dataliikenteessä käytettäväksi, jolloin asiak- i kaan ja palvelimen väliseen jaettuun siemeneen perustuva kertakäyttöinen merkki- jono on järjestetty sisällytettäväksi asiakkaan ja palvelimen välillä siirrettävään yh-: * ; teisömerkkijonokenttään aitouden osoittamiseksi, jolloin kertakäyttöinen merkkijo- : 25 no määräytyy oleellisesti saman algoritmin mukaisesti sekä asiakkaan että palveli men puolella jaetun siemenen perusteella.
• * ·
Keksinnön kolmannen aspektin mukaisesti toteutetaan menetelmä lähettävän verk-' · · *' koelimen (engl. network entity) ja vastaanottavan verkkoelimen välisen tiedonsiir- : *": toyhteyden kautta normaalisti epätavallisen verkkoviestintäprotokollan mukaisesti .;. : 30 tapahtuvan dataliikenteen aitouden osoittamiseksi, johon protokollaan kuuluu yhtei- sömerkkijonokenttä käytettäväksi dataliikenteessä, johon menetelmään kuuluvat ’;' ' vaiheet, joissa: muodostetaan siemen jommassakummassa verkkoelimessä jaettavaksi sille verkko-elimelle, joka ei muodostanut siementä, 4 113924 jaetaan siemen sen verkkoelimen kanssa, joka ei muodostanut siementä, muodostetaan jaettuun siemeneen perustuva kertakäyttöinen merkkijono sekä lähettävässä verkkoelimessä että vastaanottavassa verkkoelimessä, sisällytetään lähettävässä verkkoelimessä merkkijono yhteisömerkkijonokenttään 5 viestin lähettämiseksi normaalisti epäturvallisen verkkoviestintäprotokollan mukaisesti, vastaanotetaan viesti vastaanottavassa verkkoelimessä, tarkistetaan vastaanottavassa verkkoelimessä, vastaako viestin yhteisömerkkijono-kentän merkkijono laskettua merkkijonoa, ja 10 todetaan viesti aidoksi, jos yhteisömerkkijonokentän merkkijono ja muodostettu merkkijono vastaavat toisiaan.
Esillä olevaa keksintöä selostetaan tarkemmin alla oheisten piirustusten avulla, ja keksinnön suojapiiri määritellään oheisten patenttivaatimusten avulla.
PIIRROSTEN LYHYT KUVAUS
15 Keksintöä selostetaan seuraavassa vain esimerkinomaisesti viitaten oheisiin piirroksiin, joissa: * I · kuva 1 esittää erään sellaisen verkkoympäristön suoritusmuotoa, jossa keksinnön ,1 , periaatteita sovelletaan, I I I f I t kuva 2 esittää esimerkkinä koodattua SNMP-viestiä dynaamisesti muuttuvan tunnis-20 teen kuljettamiseksi verkkoelimen autentikoimiseksi keksinnön erään suoritusmuo-
» I
don mukaisesti, kuva 3 esittää yhdistettynä vuo- ja signalointikaaviona menetelmää verkkoelimen : . ‘ autentikoimiseksi normaalisti epätavallisessa verkkoviestintäprotokollassa keksin- ;; nön erään suoritusmuodon mukaisesti, ’ * ’ 25 kuva 4 esittää vuokaaviona kollektiivista menetelmää verkkoelinten autentikoimi- o ’ ‘ seksi normaalisti epätavallisessa verkkoviestintäprotokollassa keksinnön erään ; : suoritusmuodon mukaisesti.
5 113924
SUORITUSMUOTOJEN YKSITYISKOHTAINEN SELOSTUS
Keksinnön edulliset suoritusmuodot toteuttavat menetelmän, järjestelmän ja verkko-elimet osapuolien autentikoimiseksi. Edullisissa suoritusmuodoissa käytetään SNMP-viestin yhteisömerkkijonokenttää (engl. communal string field) palvelimen 5 ja asiakkaan välisen Set-operaation turvaamiseksi. Jokaista yhteisömerkkijonoa käytetään vain kerran, ja uusi muodostetaan käyttäen samaa turvallista algoritmia (engl. secure algorithm) molemmissa päissä. Käytettävä turvallinen algoritmi perustuu satunnaiseen siemeneen (engl. seed) ja pystyy antamaan järjestelmälle vaadittavan tietoturvatason muodostamalla uuden yhteisömerkkijonon riittävän monimut-10 kaisella tavalla siemenestä. Käytettävän yhteisömerkkijonon tulee sisältää riittävästi bittejä niin, ettei kuka tahansa, joka tarkkailee liikennettä, pysty käyttämään satun-naisia/peräkkäisiä merkkijonoja. Edullisimmin tulisi käyttää ainakin viittä merkkiä. Keksinnön mukaiset menetelmä, järjestelmä ja verkkoelimet ovat hyvin käytännöllisiä, koska ne toteuttavat normaalisti epäturvalliseen verkkoviestintäprotokollaan, 15 kuten SNMP-protokollaan, jonkinasteisen tietoturvan ja autentikoinnin säilyttäen silti tämän tiedonsiirtotavan yksinkertaisen filosofian.
Kuvaa 1 on selostettu edellä. Seuraavassa selostuksessa on käytetty toisiaan vastaavista osista vastaavia viitetunnuksia. Keksinnön jotkin suoritusmuodot koskevat asiakasta (100). Asiakas (100) on määritelty tiedonkäsittelylaitteeksi, joka lähettää 20 (ja mahdollisesti vastaanottaa) viestin verkon (104) kautta. Asiakas (100) voi olla ;; * käyttäjän tai järjestelmänvalvojan työasema (ei esitetty). Asiakkaaseen (100) kuuluu :suoritin (ei esitetty) ja muisti (ei esitetty). Suoritin suorittaa erilaisia muistiin tallen-: . ·. nettuja ohjelmia, joiden suorittaminen voi muuttaa tiedon tilaa muistissa. Vastaavas- t * * t ,,,.: ti, keksinnön jotkin suoritusmuodot koskevat palvelinta eli "agenttia" (102). Agentti ; 25 (102) on määritelty tiedonkäsittelylaitteeksi, joka vastaanottaa (ja mahdollisesti lä-
* I I
!,. hettää) viestin. Agentti (102) voi olla järjestelmänvalvojan konfiguroitavana oleva verkon tiedostopalvelin. Agenttiin (102) kuuluu myös suoritin (ei esitetty) ja muisti (ei esitetty). Lisää teknisiä tietoja asiakkaasta ja agentista on löydettävissä standar-‘ ·' dointispesifikaatiosta RFC 1157.
30 Keksinnön jotkin suoritusmuodot koskevat SNMP-viestiä. SNMP-viestiin kuuluu · j kolme pääosaa: protokollaversio, SNMP-yhteisötunniste, josta käytetään myös ni mitystä yhteisömerkkijono tai yhteisömerkkijonokenttä, sekä data-alue. Data-alue : on jaettu protokolladatayksiköihin (PDU). SNMP-viestissä käytetään ASN.l-koo- ; . dausta. Kuvassa 2 nähdään esimerkki koodatusta SNMP-viestistä. Yhteisömerkki- 35 jonokenttä on tallennettu merkkijonoon, joka tässä esimerkissä on 6-oktettinen 6 113924 merkkijono, joka sisältää sanan 'public'. Lisää teknisiä tietoja SNMP-viestistä on löydettävissä standardointispesifikaatiosta RFC 1157.
Viitaten jälleen kuvaan 1, asiakas (100) käyttää SNMP-protokollaa tutkiakseen tai muuttaakseen palvelimen (102) hallintatietoja. Asiakkaassa (100) on asiakassovel-5 lus (ei esitetty), joka määrittelee tarkistettavan tai muutettavan hallintatiedon, ja palvelimessa (102) on palvelinsovellus (ei esitetty), joka pääsee lukemaan tai muuttamaan palvelimen (102) muistiin tallennettuja hallintatietoja. SNMP on sovellustason protokolla, jota asiakassovellus tai palvelinsovellus kutsuu lähettääkseen tai vastaanottaakseen viestejä erilaisten tiedonsiirtoprotokollien avulla. Asiakkaassa 10 100 on SNMP-lähetyspalvelu (ei esitetty) ja SNMP-vastaanottopalvelu (ei esitetty) SNMP-viestien lähettämiseksi ja vastaanottamiseksi. SNMP-lähetyspalvelu kutsuu tiedonsiirtoprotokollapalvelua (ei esitetty) SNMP-viestien lähettämiseksi verkossa (104). Vastaavasti tiedonsiirtoprotokollapalvelu voi vastaanottaa SNMP-viestejä verkolta (104) ja ohjata viestit SNMP-vastaanottopalvelulle. Palvelimessa (102) on 15 samoin SNMP-lähetyspalvelu (ei esitetty), SNMP-vastaanottopalvelu (ei esitetty) ja tiedonsiirtoprotokollapalvelu (ei esitetty). Tiedonsiirtoprotokollapalvelut käyttävät esimerkiksi TCP/IP- tai UDP-protokollaa.
Viitaten yhä kuvan 1 esimerkkiin, molemmissa verkkoelimissä (asiakas 100 ja palvelin 102) on turvallinen algoritmiohjelma (ei esitetty) uuden yhteisömerkkijonon 20 laskemiseksi siemenestä. Turvallinen algoritmi perustuu generoituun tai saatuun j · siemeneen riippuen verkkoelimestä tavalla, jota on tarkemmin selostettu jäljempä- . ’: ·. nä. Vastaanotetun siemenen perusteella ohjelma laskee uuden arvon/merkkijonon, : joka siten myös perustuu siemeneen. Tämä uusi arvo on satunnainen eikä perustu '”,1 syklisiin peräkkäisiin sarjoihin. Laskentakierroksella on kuitenkin merkitystä siten, . . 25 että kyseinen kierros, siemenestä aloittaen, tuottaa aina saman arvon (saman merk- ;,, ‘ kijonon). Tästä on etua järjestelmälle, koska turvallinen algoritmiohjelma tuottaa t t saman arvon samalla kierroksella siemenestä alkaen. Esimerkiksi 1) merkkijono "qwerty" toimii siemenenä. 2) Turvallinen algoritmiohjelma vastaanottaa merkkijo-: non "qwerty" ja tuottaa uuden merkkijonoarvon "!"#ö%&()=". Tässä vaiheessa on 30 huomattava, että täysin sama tulos "!"#n%&()=" saataisiin, vaikka operaatiota ei , · . suorittaisi aivan sama ohjelma samassa verkkoelimessä. Esimerkiksi asiakas ja pal- ,'' ’; velin, joissa on samanlainen turvallinen algoritmiohjelma, tuottaisivat saman tulok- . sen ensimmäisellä kierroksella. 3) Turvallinen algoritmi tuottaa uuden merkkijono- : arvon "ASDFGHJKL" toisella laskentakierroksella. Tietysti tämäkin olisi tuloksena 35 missä tahansa turvallisessa algoritmiohjelmassa missä tahansa käytettävässä laitteessa tällä kyseisellä kierroksella. Turvallinen algoritmiohjelma voi perustua esimerkiksi MD5:een.
7 113924 MD5 on algoritmi, jota käytetään datan eheyden varmistamiseksi muodostamalla datasyötteestä (joka voi olla minkä tahansa pituinen viesti) 128-bittinen viestitiivis-te, jonka väitetään olevan yhtä ainutlaatuinen tuolle kyseiselle datalle kuin sormenjälki on tietylle yksilölle. MD5 on tarkoitettu käytettäväksi digitaalisissa allekirjoi-5 tussovelluksissa, jotka edellyttävät että suuret tiedostot on pakattava turvallisella menetelmällä ennen salaisella avaimella tapahtuvaa salausta julkisen avaimen salausjärjestelmässä. MD5 on tällä hetkellä IETF-standardi RFC 1321, joka on liitetty tähän hakemukseen viitteenä. Standardin mukaan on "laskennallisesti mahdotonta", että kaksi MD5-algoritmiin syötettyä viestiä voisivat tuottaa saman viestitiivisteen 10 (engl. message digest), tai että epäaito viesti voitaisiin muodostaa sieppaamalla viestitiiviste. MD5 on järjestyksessä kolmas viestitiivistealgoritmi. Kaikilla kolmella (muut ovat MD2 ja MD4) on samanlainen rakenne, mutta MD2 oli optimoitu 8-bittisille laitteille, kun taas kaksi myöhempää ovat optimoidut 32-bittisille laitteille. MD5 on laajennettu versio MD4:stä, joka kriittisessä tarkastelussa todettiin nopeak-15 si, mutta mahdollisesti ei aivan täysin turvalliseksi. MD5 puolestaan ei ole aivan niin nopea kuin MD4-algoritmi, mutta tarjoaa paremman tietoturvan.
Viitaten yhä kuvan 1 esimerkkiin, palvelin 102 ylläpitää myös satunnaislukugeneraattoria siemenen muodostamiseksi. Edullisimmin satunnaislukugeneraattori on pseudosatunnaislukugeneraattori (PRNG). PRNG on ohjelma, joka on kirjoitettu to-20 dennäköisyyslaskenta- ja tilastollisiin sovelluksiin, joissa sitä käytetään, kun tarvitaan suuria määriä satunnaislukuja. Useimmat näistä ohjelmista tuottavat loppumat-. : ‘ tornia jonoja yksinumeroisia lukuja, yleensä kymmenkanta- eli desimaalijärjestel- · mässä. Kun otetaan laajoja näytteitä pseudosatunnaisluvuista, kukin joukon : ; : {0,1,2,3,4,5,6,7,8,9} kymmenestä numerosta esiintyy niissä oleellisesti samalla •: i 25 frekvenssillä, vaikkakaan ei tasaisesti jakautuneena tarkastellussa sekvenssissä. Sa-: : tunnaislukugeneraattori esimerkiksi muodostaa siemenen "qwerty". Vaihtoehtoisesti ,··, asiakas 100 voi ylläpitää satunnaislukugeneraattoria tai se voi olla molemmissa verkkoelimissä.
! ' 1 Viitaten yhä kuvan 1 esimerkkiin, molemmissa verkkoelimissä on tallennettuna au- ;,, · 30 tenttisuuden tarkistusohjelma (ei esitetty). Autenttisuuden tarkistusohjelmaa käyte- , , tään järjestelmässä tarkistamaan, onko yhteisömerkkijono se, mitä sen odotetaan . olevan. Seuraavassa selostetaan eräitä autenttisuuden tarkistusohjelman operaatioi ta. Kun yhteisömerkkijono on muodostettu siemenestä, laskettu uusi yhteisömerkki-: jono sisällytetään SNMP-viestiin autentikointia varten ja lähetetään toiseen päähän.
: 35 Siellä SNMP-viestin autenttisuus ja aitous tarkistetaan tarkistamalla yhteisömerkki- jonokenttä ja vertaamalla vastaanotettua yhteisömerkkijonokentän arvoa/merkki-jonoa toisen pään turvalliselta algoritmiohjelmalta saatuun arvoon/merkkijonoon.
8 113924
Jos arvot/merkkijonot täsmäävät, voidaan päätellä, että SNMP-viesti on aito ja on peräisin ao. autenttiselta osapuolelta. Jos vastaanotetun yhteisömerkkijonoarvon/-merkkijonon ja vastaanottavan pään lasketun yhteisömerkkijonoarvon välillä on eroavuutta, autenttisuuden tarkistusohjelma tuottaa virheen. Tämä voi osoittaa, että 5 osapuoli ei mahdollisesti ole autenttinen.
Kuvaa 3 on selostettu edellä. Seuraavassa selostuksessa on käytetty toisiaan vastaavista osista vastaavia viitetunnuksia. Kuvan 3 esimerkissä on kaksi olennaista verk-koelintä, joita myös voidaan nimittää verkkosolmuiksi: asiakas 100 ja palvelin eli "agentti" 102. Kuvan 3 esimerkki soveltuu normaalisti epäturvallisen verkkoviestin-10 täprotokollan, kuten SNMP:n, mukaiseen toimintaan. Jompikumpi verkkoelimistä muodostaa siemenen (vaiheet 300 ja 302). Edullisimmin palvelin 102 muodostaa siemenen satunnaislukugeneraattoriohjelman avulla. Asiakas 100 ottaa yhteyden palvelimeen 102 get-operaatiolla SNMP-tiedonsiirtoprotokollan mukaisesti. Tässä vaiheessa siemen voi olla tai voi olla olematta muodostettu etukäteen, tai se voidaan 15 muodostaa sitten, kun SNMP-tiedonsiirron alustus on vastaanotettu. Asiakas 100 lähettää get-operaation myyjäkohtaiselle oliolle yhteisömerkkijonoineen. Palvelin 102 vastaanottaa viestin ja vastaa asiakkaalle 100 lähettämällä siemenen. Edullisimmin siemen on SNMP-viestin PDU-kentässä. Siemenessä on riittävästi merkitseviä bittejä varsinaisen siemenen ja minkä tahansa siemeneen perustuvan johdok-20 sen satunnaistamiseksi.
:* Viitaten kuvan 3 esimerkkiin, siemen voidaan vaihtoehtoisesti muodostaa asiak- kaassa 100, mutta tietysti se lähetetään palvelimelle 102 SNMP-tiedonsiirrolla » j .'. verkkoelimien harmonisoimiseksi turvallista algoritmiprosessia varten.
Viitaten yhä kuvan 3 esimerkkiin, vaiheissa 304 ja 306 lasketaan siemenestä uusi : 25 yhteisömerkkijono. Sekä palvelin 102 että asiakas 100 laskevat salaista algoritmioh- :: jelmaa käyttäen uuden yhteisömerkkijonon siemenestä. Laskettu yhteisömerkkijono tallennetaan molempiin verkkoelimiin. Sen jälkeen aina, kun on tarvetta suorittaa set-operaatio, osapuolen autentikointia varten laskettu yhteisömerkkijono on val-: " ; miina käytettäväksi. Vaiheessa 308 asiakkaalle on syntynyt tarve suorittaa jokin .;, 30 verkko-operaatio, johon edullisesti sovelletaan jonkintasoista tietoturvaa. Asiakas '· ’ 100 liittää tai sisällyttää muodostetun yhteisömerkkijonon yhteisömerkkijonokent- tään. Asiakas 100 lähettää set-operaation palvelimelle 102. Lähetykseen kuuluu : ; : SNMP-pohjainen viesti (tai viestit), joka sisältää muodostetun merkkijonon yhteisö- ;' ; merkkijonokentässä. Palvelin 102 vastaanottaa SNMP-viestin vaiheissa 308 ja 310.
35 Palvelin 102 tarkistaa SNMP-viestin ja erityisesti yhteisömerkkijonokentän. Mikäli yhteisömerkkijonokenttä on sellainen kuin sen odotetaan olevan, esimerkiksi lähete- 9 113924 tyn yhteisömerkkijonokentän arvo täsmää palvelimen 102 lasketun yhteisömerkki-jonokentän arvon kanssa, palvelin 102 hyväksyy autentikoinnin. Palvelin 102 voi vastata lähettämällä myönteisen kuittausviestin asiakkaalle 100. Vaihtoehtoisesti palvelin 102 voi liittää palvelimen muodostetun yhteisömerkkijonokentän arvon 5 SNMP-vastausviestiin asiakkaan 100 suorittamaa lisäautentikointia varten. Vaiheet 308 ja 310 suoritetaan vain kerran senhetkiselle lasketulle yhteisömerkkijonokentän arvolle. Kun arvoja on käytetty kerran, prosessi palaa vaiheisiin 304 ja 306 kyseisissä päissä. Autentikointimerkkijonoa käytetään siis edullisesti vain kerran, jolloin au-tentikointimerkkijono on vaikeammin vakoilemalla murrettavissa. Näin ollen, aina 10 kun on tarvetta suorittaa lisää set-operaatioita, tai kun yksittäinen set-operaatio käyttää useampaa kuin yhtä autentikointia viesteille tai kaikki viestit tulee syystä tai toisesta autentikoida, muodostetaan uusi yhteisömerkkijono molemmissa päissä (vaiheet 304 & 306) ja uutta muodostettua merkkijonoa käytetään kerran autentikointi-prosessiin varsinaisessa set-operaatiossa vaiheissa 308 & 310. Vaiheiden 304 & 306 15 ja 308 & 310 muodostamaa silmukkaa voidaan suorittaa haluttu määrä kertoja niin kauan kuin molemmissa päissä on menossa sama kierros yhteisömerkkijonokentän arvon/merkkijonon muodostamiseksi ja käyttämiseksi ja siten yksilöimiseksi.
Viitaten yhä kuvan 3 esimerkkiin, jos palvelin 102 havaitsee, että sen vastaanottama yhteisömerkkijonokentän arvo ei täsmää lasketun arvon kanssa, palvelin 102 voi 20 päätellä, että SNMP-viesti ei ole autenttinen. Näin ollen palvelin 102 voi jättää vastaanotetun viestin huomiotta. Palvelin 102 palauttaa prosessin takaisin vaiheeseen • · ·: 300 siemenen uudelleenmuodostamiseksi. Palvelin 102 voi vastata virhekuittauksel- •.: ; la (negatiivisella kuittauksella) SNMP-viestin lähettäneelle taholle. Näin set-operaa- j. j · tioon liittyvän SNMP-viestin lähettänyt taho saa tiedon epäonnistumisesta. Nyt, jos :"i 25 tämä taho on oikea asiakas 100 (eikä huijari), se voi palata prosessissa vaiheeseen 302 autentikoidun yhteyden muodostamiseksi palvelimeen 102 uudestaan.
Viitaten yhä kuvan 3 esimerkkiin, asiakas 100 voi tietenkin havaita, että sen vastaanottama yhteisömerkkijonon arvo ei täsmää lasketun arvon kanssa, jolloin asia-: ·' kas 100 voi päätellä, että SNMP-viesti ei ole autenttinen.
, 30 Kuvaa 4 on selostettu edellä. Seuraavassa selostuksessa on toisiaan vastaavista osis ta käytetty vastaavia viitetunnuksia. Vaiheessa 400 muodostetaan siemen. Edullisimmin siemenen muodostaa palvelin 102, ja siemen voidaan mahdollisesti määrit-: :': tää etukäteen ja tallentaa muistiin. Vaihtoehtoisesti asiakas 100 voi muodostaa sie- ; menen tai molemmat päät muodostavat siemenen ja se, joka käynnistää siemenen 35 jakamisen, valitsee voimassaolevan ja käytettävän siemenen. Siemen muodostetaan satunnaislukugeneraattoriohjelmalla, kuten edellä kuvan 1 esimerkin yhteydessä se- 10 113924 lostettiin. Vaiheessa 402 asiakas 100 käynnistää get-operaation. Asiakas 100 lähettää get-pyynnön palvelimelle 102 SNMP-viestissä (alivaihe 408). SNMP-viesti sisältää nyt mahdolliset yhteisömerkkijonoarvot (tai -arvon). Vastauksena palvelimelta 102 asiakas 100 vastaanottaa siemenen sisältävän SNMP-viestin. Edullisimmin 5 siemen on SNMP-viestin PDU-kentässä. Palvelin 102 siis vastaa asiakkaalle 100 get-vastauksella (alivaihe 410). Edullisesti siemenen bittimäärän tulisi olla riittävän suuri, jotta satunnaistamisprosessi olisi tarpeeksi luotettava. Vaiheessa 404 lasketaan siemenen arvosta yhteisömerkkijonokenttään perustuva autentikointiarvo. Sekä asiakas 100 että palvelin 102 suorittavat laskennan saman siemenen perusteella tur-10 vallisella algoritmiohjelmalla, kuten selostettiin kuvan 1 esimerkin yhteydessä. Asiakas 100 saa pyynnön set-tiedonsiirtoon. Siemeneen perustuva laskettu arvo sisällytetään SNMP-viestin yhteisömerkkijonokenttään. Asiakas 100 lähettää set-ope-raation SNMP-viestissä palvelimelle 102. SNMP-viesti sisältää lasketun yhteisö-merkkijonokentän arvon. Palvelin 100 vastaanottaa SNMP-viestin, tarkistaa SNMP-15 viestin yhteisömerkkijonokentän. Palvelin 102 tarkistaa, täsmääkö SNMP-viestin yhteisömerkkijonokentän arvo sen arvon kanssa, jonka palvelin 102 on laskenut siemenestä käyttäen turvallista algoritmiohjelmaa. Jos arvot täsmäävät, palvelin lähettää kuittaussanoman. Lisäksi palvelin 102 toimii asiakkaalta 100 vastaanotetun set-operaatiopyynnön edellyttämällä tavalla. Vaihe 406 varmistaa, että prosessissa käy-20 tetään samaa autentikointimerkkijonoa vain kerran. Molemmat päät suorittavat vaiheen 406 vain kerran tietoturvan varmistamiseksi ja parantamiseksi pakottamalla molemmat päät muodostamaan uuden yhteisömerkkijonon siemenestä autentikoin-’’ !.'t tia varten. Vaiheiden 404 ja 406 muodostamaa silmukkaa voidaan suorittaa haluttu , määrä kertoja niin kauan kuin molemmissa päissä on menossa sama kierros yhtei- ; 25 sömerkkijonokentän arvon/merkkijonon muodostamiseksi ja käyttämiseksi ja siten yksilöimiseksi.
:; Viitaten yhä kuvan 4 esimerkkiin, järjestelmään voi vaihtoehtoisesti kuulua lisäau- tentikointivaihe. Kun palvelin 102 on vastaanottanut ensimmäisen yhteisömerkki-jonokentän arvon sisältävän SNMP-viestin autentikointia varten, palvelin 102 nor-\t 30 maalisti tarkistaa vastaanotetun arvon ja muodostetun arvon vastaavuuden. Palvelin 102 voi nyt sisällyttää turvallisella algoritmiohjelmalla muodostamansa arvon kuit-: taus-SNMP-viestin yhteisömerkkijonokenttään ja lähettää viestin asiakkaalle 100.
‘: Asiakas 100 vastaanottaa viestin ja myös tarkistaa täsmäävätkö asiakkaan turvalli- , ; , sella algoritmiohjelmalla muodostama ja palvelimelle 102 lähetetty arvo ja vastaan- V 35 otetun kuittaus-SNMP-viestin arvo keskenään. Jos ne täsmäävät, asiakas 100 saa kaksinkertaisen autentikointivarmistuksen. Asiakas 100 saattaa nyt myös tietää, että se on tekemisissä autenttisen palvelimen kanssa. Tästä voi olla hyötyä joissain ope- 11 113924 raadoissa tai toiminnoissa, joissa suositellaan tai jopa edellytetään autentikointia molemmissa päissä. Esimerkiksi monet verkkopohjaiset kaupalliset toiminnot edellyttävät osapuolien autentikointia. Edelleen, jos tässä vaihtoehtoisessa suoritusmuodossa jompikumpi osapuoli havaitsee, että yhteisömerkkijonokentän arvot eivät vas-5 taa toisiaan, ilmoitetaan, että toisen osapuolen autenttisuus voi olla kyseenalainen. Prosessi palaa vaiheeseen 400.
Vaihtoehtoja paluun liipaisemiseksi voi olla ainakin kaksi. 1) Jompikumpi osapuoli havaitsee, että arvot eivät täsmää ja palaa alkuvaiheeseen. Toinen osapuoli voi yhä olla silmukassa uusien, alkuperäiseen siemeneen perustuvien yhteisömerkkijonoar-10 vojen muodostamiseksi. Toinen osapuoli voi kuitenkin havaita virheen, vaikkei se vastaanottaisikaan siitä erityistä viestiä. Kun pyydetty SNMP-viestiin liittyvä operaatio (tai operaatiot) ei tuota tulosta, toinen osapuoli voi päätellä virheen tapahtuneen ja voi palata prosessin alkuun. 2) Jompikumpi osapuoli lähettää negatiivisen kuittaus-SNMP-viestin toiselle osapuolelle osoituksena siitä, että autentikointi ei 15 täsmää. Negatiiviseen kuittausviestiin voi liittyä pyyntö käynnistää siemenenmuo-dostusprosessi uudelleen.
Viitaten yhä kuvan 4 esimerkkiin, käytettävää yhteisömerkkijonokentän arvoa voidaan vaihtoehtoisesti vaihtaa joka kerran, kun SNMP-viesti lähetetään verkkoelin-ten välillä. Esimerkiksi, ensimmäistä määritettyä yhteisömerkkijonokentän arvoa 20 käytetään set-operaatioon asiakkaalta palvelimelle. Molemmissa päissä määritetään : · toinen yhteisömerkkijonokentän arvo, jota käytetään vastauksessa palvelimelta asi- •' ' · akkaalle.
» * • · · · Asiakas (ja vastaavasti palvelin) voi toimia lähettävänä verkkoelimenä tai vastaan- * ’ ottavana verkkoelimenä. Näin ollen asiakas-palvelin-pari muodostaa lähetin-vas- \ i 25 taanotin-parin (tai vastaavasti vastaanotin-lähetin-parin) normaalisti epäturvallisen :: verkkoviestintäprotokollan kuten SNMPtn mukaisessa tiedonsiirrossa.
Edellä on selostettu keksinnön eräitä toteutuksia ja suoritusmuotoja. Alan ammatti-'.. ’ miehelle on selvää, että keksintö ei rajoitu edellä selostettujen suoritusmuotojen yk- ': sityiskohtiin, vaan se voidaan toteuttaa muissa suoritusmuodoissa käyttäen vastaa- : 30 via välineitä ilman, että poiketaan keksinnön tunnusmerkeistä. Keksinnön suojapii- : riä rajoittavat ainoastaan oheiset patenttivaatimukset.

Claims (13)

113924
1. Järjestelmä asiakkaan (100) ja palvelimen (102) välisen tiedonsiirtoyhteyden (104) kautta normaalisti epäturvallisen verkkoviestintäprotokollan mukaisesti tapahtuvan dataliikenteen aitouden osoittamiseksi, johon protokollaan kuuluu yhteisö- 5 merkkijonokenttä käytettäväksi dataliikenteessä, tunnettu siitä, että asiakkaan ja palvelimen väliseen jaettuun siemeneen perustuva kertakäyttöinen merkkijono on järjestetty sisällytettäväksi asiakkaan ja palvelimen välillä siirrettävään yhteisö-merkkijonokenttään aitouden osoittamiseksi, jolloin merkkijono määräytyy oleellisesti saman algoritmin mukaisesti sekä asiakkaan että palvelimen puolella jaetun 10 siemenen perusteella.
2. Patenttivaatimuksen 1 mukainen järjestelmä, jossa määritetään toinen jaettuun siemeneen perustuva kertakäyttöiseksi järjestetty merkkijono, jos joko asiakas tai palvelin on käyttänyt kertakäyttöistä merkkijonoa kerran.
3. Patenttivaatimuksen 2 mukainen järjestelmä, jossa lähettävän verkkoelimen 15 lähetetty kertakäyttöinen merkkijono ja vastaanottavan verkkoelimen muodostettu kertakäyttöinen merkkijono vastaavat toisiaan kullakin merkkijonon laskentakier-roksella ja muut merkkijonoparit eivät vastaa toisiaan, jolloin asiakas ja palvelin muodostavat lähettävän verkkoelimen ja vastaanottavan verkkoelimen riippuen asiakkaan ja palvelimen toimintatilasta tiedonsiirtoyhteydellä, jossa niiden roolit voi-;. 20 vat vaihtua. v
· 4. Patenttivaatimuksen 1 mukainen järjestelmä, jossa jaettu siemen perustuu sa- ·,; · tunnaislukugeneraattoriin ja muodostetaan joko asiakkaassa tai palvelimessa ja ': ·' i lähetetään sille osapuolelle, joka ei muodostanut jaettua siementä.
5. Jonkin edeltävän patenttivaatimuksen mukainen järjestelmä, jossa normaalisti 25 epäturvallinen verkkoviestintäprotokolla on SNMP-protokolla (Simple Network Management Protocol).
: 6. Jonkin edeltävän patenttivaatimuksen mukainen järjestelmä, jossa ,;, tiedonsiirtoyhteys (104) on Internet.
·:* : 7. Jonkin edeltävän patenttivaatimuksen mukainen järjestelmä, jossa algoritmi 30 muodostaa uuden siemeneen perustuvan kertakäyttöisen merkkijonon käyttäen tur-!. vallista satunnaislogiikkaa, jolloin lukuisista merkkijonoista on vaikea havaita mi tään kuviota. 113924
8. Patenttivaatimuksen 1 mukainen järjestelmä, jossa asiakas ja palvelin pysyvät toimintasilmukassa samassa tahdissa voimassaolevan, kertakäyttöisen merkkijonon suhteen käyttämällä kuittausviestiä asiakkaan ja palvelimen välillä.
9. Patenttivaatimuksen 1 mukainen järjestelmä, jossa asiakas tai palvelin määrit-5 tää dataliikenteen mukaisen operaation epäaidoksi, jos niiden välillä siirrettävä kertakäyttöinen merkkijono ei vastaa vastaanottavan verkkoelimen kertakäyttöistä muodostettua merkkijonoa, ja jossa asiakas ja palvelin muodostavat lähettävän verkkoelimen ja vastaanottavan verkkoelimen riippuen asiakkaan ja palvelimen toimintatilasta tiedonsiirtoyhteydellä, jossa niiden roolit voivat vaihtua.
10. Laite (100, 102) asiakkaan (100, 102) ja palvelimen (100, 102) välisen tiedon siirtoyhteyden (104) kautta normaalisti epäturvallisen verkkoviestintäprotokollan mukaisesti tapahtuvan dataliikenteen aitouden osoittamiseksi, johon protokollaan kuuluu yhteisömerkkijonokenttä dataliikenteessä käytettäväksi, tunnettu siitä, että asiakkaan ja palvelimen väliseen jaettuun siemeneen perustuva kertakäyttöinen 15 merkkijono on järjestetty sisällytettäväksi asiakkaan ja palvelimen välillä siirrettävään yhteisömerkkijonokenttään aitouden osoittamiseksi, jolloin kertakäyttöinen merkkijono määräytyy jaetun siemenen perusteella oleellisesti saman algoritmin mukaisesti sekä asiakkaan että palvelimen puolella.
11. Menetelmä lähettävän verkkoelimen (100, 102) ja vastaanottavan verkkoeli-20 men (100, 102) välisen tiedonsiirtoyhteyden (104) kautta normaalisti epäturvallisen verkkoviestintäprotokollan mukaisesti tapahtuvan dataliikenteen aitouden osoitta- I > · .' . miseksi, johon protokollaan kuuluu yhteisömerkkijonokenttä käytettäväksi datalii- ’ ; kenteessä, tunnettu siitä, että menetelmään kuuluvat vaiheet, joissa: » I i I | * · : \: muodostetaan siemen jommassakummassa verkkoelimessä jaettavaksi sille verkko- : ’": 25 elimelle, joka ei muodostanut siementä, * · I jaetaan siemen sen verkkoelimen kanssa, joka ei muodostanut siementä, • » * • > • * : ’": muodostetaan jaettuun siemeneen perustuva kertakäyttöinen merkkijono sekä lähet- .!. tävässä verkkoelimessä että vastaanottavassa verkkoelimessä, I I * sisällytetään lähettävässä verkkoelimessä merkkijono yhteisömerkkijonokenttään , · ·, 30 viestin lähettämiseksi normaalisti epäturvallisen verkkoviestintäprotokollan mukai- .. sesti, vastaanotetaan viesti vastaanottavassa verkkoelimessä, 113924 tarkistetaan vastaanottavassa verkkoelimessä, vastaako viestin yhteisömerkkijono-kentän merkkijono laskettua merkkijonoa, ja todetaan viesti aidoksi, jos yhteisömerkkijonokentän merkkijono ja muodostettu merkkijono vastaavat toisiaan.
12. Patenttivaatimuksen 11 mukainen menetelmä, johon lisäksi kuuluvat vaiheet, joissa muodostetaan jaetun siemenen perusteella toinen kertakäyttöinen merkkijono sekä lähettävässä verkkoelimessä että vastaanottavassa verkkoelimessä, sisällytetään lähettävässä verkkoelimessä toinen merkkijono yhteisömerkkijono-10 kenttään toisen viestin lähettämiseksi normaalisti epäturvallisen verkkoviestintäpro-tokollan mukaisesti, vastaanotetaan toinen viesti vastaanottavassa verkkoelimessä, tarkistetaan vastaanottavassa verkkoelimessä, vastaako toisen viestin yhteisömerkkijonokentän toinen merkkijono toista laskettua merkkijonoa, ja 15 todetaan toinen viesti aidoksi, jos toisen viestin yhteisömerkkijonokentän toinen merkkijonoja muodostettu toinen merkkijono vastaavat toisiaan.
··· 13. Patenttivaatimuksen 11 mukainen menetelmä, jossa lähettävä verkkoelin ja , ’: . vastaanottava verkkoelin käsittävät asiakkaan ja palvelimen riippuen lähettävän : verkkoelimen ja vastaanottavan verkkoelimen toimintatilasta tiedonsiirtoyhteydellä, ‘ ‘ ‘ ! 20 jossa niiden roolit voivat vaihtua. ;· Patentkrav » » t > *
FI20021594A 2002-09-06 2002-09-06 Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi FI113924B (fi)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20021594A FI113924B (fi) 2002-09-06 2002-09-06 Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi
EP03396080A EP1396961B1 (en) 2002-09-06 2003-09-05 Method, system and apparatus for providing authentication of data communication
US10/656,887 US20050076206A1 (en) 2002-09-06 2003-09-05 Method, system and apparatus for providing authentication of data communication
CNA031272932A CN1496056A (zh) 2002-09-06 2003-09-05 提供数据通信认证的方法、系统和设备
CN200810161916XA CN101425925B (zh) 2002-09-06 2003-09-05 提供数据通信认证的方法、系统和设备
DE60302620T DE60302620T2 (de) 2002-09-06 2003-09-05 Verfahren, System und Vorrichtung für die Bereitstellung zur Authentifizierung der Datenkommunikation

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20021594 2002-09-06
FI20021594A FI113924B (fi) 2002-09-06 2002-09-06 Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi

Publications (3)

Publication Number Publication Date
FI20021594A0 FI20021594A0 (fi) 2002-09-06
FI20021594A FI20021594A (fi) 2004-03-07
FI113924B true FI113924B (fi) 2004-06-30

Family

ID=8564540

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20021594A FI113924B (fi) 2002-09-06 2002-09-06 Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi

Country Status (5)

Country Link
US (1) US20050076206A1 (fi)
EP (1) EP1396961B1 (fi)
CN (2) CN101425925B (fi)
DE (1) DE60302620T2 (fi)
FI (1) FI113924B (fi)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE391385T1 (de) * 2003-07-11 2008-04-15 Ibm Verfahren und system zur benutzerauthentifizierung in einer benutzer- anbieterumgebung
US7779420B1 (en) * 2003-09-29 2010-08-17 Cisco Technology, Inc. Verifying information stored on a managed network device
DE102005014775B4 (de) * 2005-03-31 2008-12-11 Nokia Siemens Networks Gmbh & Co.Kg Verfahren, Kommunikationsanordnung und Kommunikationseinrichtung zur Steuerung des Zugriffs auf zumindest eine Kommunikationseinrichtung
CN100425022C (zh) * 2005-06-22 2008-10-08 腾讯科技(深圳)有限公司 在通信设备间产生相同随机数的方法及系统
US7555826B2 (en) 2005-12-22 2009-07-07 Avery Dennison Corporation Method of manufacturing RFID devices
US7877469B2 (en) * 2006-02-01 2011-01-25 Samsung Electronics Co., Ltd. Authentication and authorization for simple network management protocol (SNMP)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US6690289B1 (en) * 1997-06-12 2004-02-10 Microsoft Corporation Message formatting, authentication, and error detection in home control systems
US6044468A (en) * 1997-08-25 2000-03-28 Emc Corporation Secure transmission using an ordinarily insecure network communication protocol such as SNMP
US6047072A (en) * 1997-10-23 2000-04-04 Signals, Inc. Method for secure key distribution over a nonsecure communications network
US6664978B1 (en) * 1997-11-17 2003-12-16 Fujitsu Limited Client-server computer network management architecture
IL126147A0 (en) * 1998-09-09 1999-05-09 Focus Lion Communications & Ad Method and system for the protected distribution of network files
US6851052B1 (en) * 1998-12-10 2005-02-01 Telcordia Technologies, Inc. Method and device for generating approximate message authentication codes
US6985583B1 (en) * 1999-05-04 2006-01-10 Rsa Security Inc. System and method for authentication seed distribution
FI19991733A (fi) * 1999-08-16 2001-02-17 Nokia Networks Oy Autentikointi matkaviestinjärjestelmässä
DE60026721T2 (de) * 1999-09-28 2006-08-24 Thomson Licensing System und verfahren zur initialisierung eines "simple network management protocol" (snmp) agenten
ATE306799T1 (de) * 2000-11-24 2005-10-15 Betrugsfeststellungsverfahren für mobiltelekommunikationsnetze
US6988148B1 (en) * 2001-01-19 2006-01-17 Cisco Technology, Inc. IP pool management utilizing an IP pool MIB
US20030210699A1 (en) * 2002-05-08 2003-11-13 Adc Dsl Systems, Inc. Extending a network management protocol to network nodes without IP address allocations

Also Published As

Publication number Publication date
EP1396961B1 (en) 2005-12-07
FI20021594A (fi) 2004-03-07
CN101425925A (zh) 2009-05-06
US20050076206A1 (en) 2005-04-07
CN1496056A (zh) 2004-05-12
EP1396961A1 (en) 2004-03-10
DE60302620T2 (de) 2006-06-22
FI20021594A0 (fi) 2002-09-06
CN101425925B (zh) 2011-04-06
DE60302620D1 (de) 2006-01-12

Similar Documents

Publication Publication Date Title
US6044468A (en) Secure transmission using an ordinarily insecure network communication protocol such as SNMP
KR101486782B1 (ko) 무한 중첩된 해시 체인들에 의한 1회용 패스워드 인증
US6684332B1 (en) Method and system for the exchange of digitally signed objects over an insecure network
US20080005562A1 (en) Public key infrastructure certificate entrustment
CN102065016B (zh) 报文发送和接收方法及装置、报文处理方法及系统
CN101558599B (zh) 客户端设备、邮件系统、程序以及记录介质
WO2008030571A2 (en) Method and system for establishing real-time authenticated and secured communication channels in a public network
CA2624591A1 (en) Method and apparatus for establishing a security association
CN108521331A (zh) 基于源地址的隐蔽信息发送系统及发送方法
Kaufman RFC 4306: Internet key exchange (IKEv2) protocol
CN106713236A (zh) 一种基于cpk标识认证的端对端身份认证及加密方法
CN118214558B (zh) 一种数据流通处理方法、系统、装置及存储介质
CN115208615A (zh) 一种数控系统数据加密传输方法
FI113924B (fi) Menetelmä, järjestelmä ja laite dataliikenteen aitouden osoittamiseksi
Vanhoef A time-memory trade-off attack on WPA3's SAE-PK
US20020089979A1 (en) Communication security
Mitchell Remote user authentication using public information
CN105681364B (zh) 一种基于增强绑定的IPv6移动终端抗攻击方法
Al-juaifari Secure SMS Mobile Transaction with Peer to Peer Authentication Design for Mobile Government
Nazari et al. A Lightweight Adaptable DNS Channel for Covert Data Transmission
Soni Moving target network steganography
Yuan et al. A covert channel in packet switching data networks
CN112118108B (zh) Sip防盗打校验方法和系统
Truong et al. Chebyshev Polynomial‐Based Authentication Scheme in Multiserver Environment
Günther et al. Obfuscated Key Exchange

Legal Events

Date Code Title Description
MM Patent lapsed