提供了一种方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对所述数据集执行散列函数以产生散列值,和(c)将所述散列值用作用户访问装置的密码。还提供了一种方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对所述数据集执行散列函数以产生散列值,(c)确定所述散列值与来自用户的密码匹配,和(d)许可所述用户访问装置。还提供了执行所述方法的系统和包括用于使处理器执行所述方法的指令的存储装置。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】提供了一种方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对所述数据集执行散列函数以产生散列值,和(c)将所述散列值用作用户访问装置的密码。还提供了一种方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对所述数据集执行散列函数以产生散列值,(c)确定所述散列值与来自用户的密码匹配,和(d)许可所述用户访问装置。还提供了执行所述方法的系统和包括用于使处理器执行所述方法的指令的存储装置。【专利说明】具有嵌入式授权属性的离线认证版权声明本专利文献的公开内容的一部分包含受版权保护的材料。版权所有者不反对通过本专利文献或本专利公开内容的任何人的传真复制,因为它出现在专利和商标局专利文件或记录中,但是以其它方式保留所有版权权利。
本专利技术一般地涉及用于禁止对信息系统资源的未授权访问的基于计算机的系统和方法,并且具体地涉及用于认证和授权的独立凭证的创建。
技术介绍
本部分中所描述的方法是能够从事的方法,但未必是先前已设想或从事的方法。因此,本部分中所描述的方法对于本申请中的权利要求而言可能不是现有技术并且不通过在包括在本部分中而承认为现有技术。 节点是收集和分发关于电网组件的信息的安全联网装置,所述电网组件诸如在节点被安装在其上或附近的电线杆顶部或混凝土板上的变压器。技术员(经营电网的公用事业的雇员)可能需要在服务呼叫上的同时在本地登录到节点。当节点能够连接到网络运营中心中的网络认证服务器时,它将向网络认证服务器转发本地登录请求。然而,当节点离线时,它将不能够与网络认证服务器进行通信。存在对于在节点离线时节点作为网络认证服务器的备用的离线认证机制的需要。 常见的离线认证机制是本地密码文件。本地密码文件的弱点能够通过对它进行加密而减少,但是即使那样该弱点也大于许多其它认证机制的弱点。在攻击者获得对使用本地密码文件而安全的装置的物理访问后,这仅是时间问题直到攻击者能够使用强力攻击读取本地密码文件为止。节点的已暴露位置使在节点中使用本地密码文件变得特别易受攻击。存在对于比在节点上使用本地密码文件不太易受攻击的离线认证机制的需要。 —次性密码常常在相似情形下用作解决方案;然而,当技术员是在对节点的服务呼叫上时使用一次性密码不止一次的无能将是不方便的。技术员可能需要在服务呼叫期间登录到节点不止一次。可再用密码将解决这个问题,但是还将引入其它类型的弱点,包括字典攻击、社会工程、偷窃行为和偶然披露。物理令牌具有相似的弱点并且对于技术员来说可能难以在服务呼叫期间操作。 存在对于在服务呼叫期间允许重复登录但是不和可再用密码或物理令牌一样易受攻击的节点的离线认证机制的需要。
技术实现思路
一种用于节点的离线认证机制包括具有有限存在时间的可再用密码的离线密码生成器。离线密码生成器位于网络运营中心中并且能够提供认证服务和授权服务两者。共享秘密(即,由离线密码生成器和节点两者所共享的数据的秘密项)以加密形式存储在节点上,但是共享秘密独立不能够用来登录到节点。这是因为离线密码生成器生成不仅基于共享秘密而且还基于数据的其它项的密码。公开了用于实现有限存在时间的数个方法,包括(i)计划访问的日期的使用,和(ii)具有固定持续时间的规定起始时间的使用。 提供了一种由第一装置所实现的方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对数据集执行散列函数以产生散列值,以及(C)将所述散列值用作用户访问装置的密码。还提供了一种由第二装置所实现的方法,所述方法包括(a)将指示时间的数据包括在数据集中,(b)对数据集执行散列函数以产生散列值,(C)确定散列值与来自用户的密码匹配,以及(d)许可所述用户访问第二装置。还提供了执行所述方法的系统和包括用于使处理器执行所述方法的指令的存储装置。 【专利附图】【附图说明】 图1是例示了用来在本地登录到节点的离线认证机制的图。 图2是用于离线密码生成器的架构的框图。 图3是用于节点的架构的框图。 图4是由离线密码生成器实现以处理用来生成密码的请求的方法的流程图。 图5是由节点实现以使用由离线密码生成器所生成的密码来处理登录请求的方法的流程图。 图6是在密码的存在时间是计划中访问的日期的范围的实施例中由节点实现以执行密码验证的方法的流程图。 图7是在密码的存在时间具有固定持续时间的实施例中由节点实现以执行密码验证的方法的流程图。 【具体实施方式】 用于节点的离线认证机制包括具有有限存在时间的可再用密码的离线密码生成器。共享秘密存储在节点上,但是攻击者不能够独自使用共享秘密来登录到节点。这是因为离线密码生成器生成不仅基于共享秘密而且基于数据的其它项的密码。在不同的实施方式中,共享秘密使用各种散列或加密算法存储在节点上以获得附加的保护。 离线密码生成器和节点两者皆可以使用密钥推导函数PBKDF2(基于密码的密钥推导函数二)来生成密码。PBKDF2对所期望的输入值迭代地应用所选伪随机函数,诸如MD5 (消息摘要五)、SHA-2 (安全散列算法二)、SHA-256或HMAC-MD5 (使用MD5的基于散列的消息认证码)、HMAC-SHA-2 或 HMAC-SHA-256。 注意,散列与加密不同。数据被以密码值能够被随后解密以产生原始数据的这样一种方式加密以产生密码值。因此,加密是可逆操作,其中解密作为互补操作。相比之下,数据被以散列方式弄乱(hash)以产生表示该数据的散列值,但是通常不能够从散列值恢复原始数据。散列法是没有互补操作的非可逆操作或单向操作。然而,在本文所描述的系统中,以原始数据或至少其一部分被推导出的这样一种方式处理散列值。 图1是例示了用来在本地登录到节点的离线认证机制的示例性使用的图。网络运营中心(NOC) 105是包括离线密码生成器115的设施。NOC操作员120在NOC 105中工作并且能够物理访问离线密码生成器115。 技术员180在包括节点165的服务呼叫上。技术员180使用例如蜂窝电话(未示出)向NOC操作员120 口头地传达密码请求135,该密码请求135包括识别技术员180的用户名155和识别节点165的节点标识符185。NOC操作员120操作离线密码生成器115以产生密码140,并且向技术员180 口头地传达密码140。在另一实施方式中,技术员180亲自(例如,在书面工作定单上)从NOC操作员120获得密码140。 被用来生成密码140的数据指示技术员180在访问节点165时有资格的授权的级别,即,访问的级别。如本文所用的,术语“认证”可以指的是认证功能(即,许可或拒绝访问)和授权功能(即,对访问的级别进行授权)两者。例如,(i)授权级别I可以授权技术员180仅从节点165读取数据,(ii)授权级别2可以允许技术员180对节点165执行较少维护(例如,重置历史),以及(iii)授权级别3可以允许技术员180重新配置节点165 (例如,改变节点165将与其进行通信的网络管理服务器的地址)。然而,在另一实施方式中,密码140不包括授权数据,而是仅指示节点165将访问许可给技术员180。 在接收到密码140之后,技术员180在节点165上键入用户名155和密码140本文档来自技高网...
【技术保护点】
一种方法,所述方法包括以下步骤:将指示时间的数据包括在数据集中;对所述数据集执行散列函数以产生散列值;以及将所述散列值用作用户访问装置的密码。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R·S·拉奥,D·J·米顿,
申请(专利权)人:安比恩特公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。