本发明专利技术公开了提供数据通信认证的方法、系统和设备。优选实施例使用SNMP消息的公用串字段保证代理机和客户机之间SET操作的安全。每一个公用串只被使用一次,并且在两端由相同的安全算法确定新的公用串。使用的安全算法基于随机种子并可通过由种子产生足够复杂的新的公用串,为系统提供所需的安全性。所使用的公用串应包含足够的比特,使得任何监视通信的人不能使用随机/序列串。根据本发明专利技术的方法,系统和实体是很实用的,因为它们能够为诸如简单网络管理协议(SNMP)的一般的非安全的网络通信协议提供某种程度的保障和认证,并仍能保持这种通信方式的简单原理。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本申请是申请日为2003年9月5日,申请号为03127293.2,专利技术名称为“提供数据通信认证的方法、系统和设备”的中国专利技术专利申请的分案申请。
本专利技术主要涉及通过一个通信线路来进行的数据通信。
技术介绍
简单网络管理协议(SNMP)是一个标准的应用层协议,通过该协议一个网络单元的管理信息可以被逻辑上的远程用户检查或修改。SNMP被广泛用于管理因特网或其它采用传输控制协议(TCP/IP)或用户数据报协议(UDP)的网络的客户机—服务器通信。然而,SNMP并不局限于特定的客户机—服务器通信协议,因为SNMP控制的是用于访问管理信息的消息(message)的内容和协议,而不是消息发送的具体方式。SNMP在J.Case、M.Fedor、M.Schoffstall和J.Davin的1990年5月题为“一个简单网络管理协议(SNMP)”的因特网标准文件RFC 1175中定义,该文件在这里一并引用作为参考。SNMP消息在网络中的客户机(在RFC 1175中被称作“manager”:管理机)和服务器(在RFC 1175中被称作“agent”:代理机)之间传递。每个SNMP消息为ASN.1标准的数据结构,该数据结构包括一个INTERGER类型的SNMP版本号、一个OCTETSTRING(8比特字节的字符串)类型的集合(community)名,和-->ANY类型的数据。SNMP规范定义了在五个不同类别的SNMP消息的数据部分中使用的协议数据单元(PDU)。PDU为ASN.1的数据结构,包括一个INTERGER类型的请求ID号(Request ID),一个INTERGER类型的错误状态(Error Status),一个INTERGER类型的错误索引(Error Index),一个SEQUENCE类型的VarBind,和作为VarBind的序列(SEQUENCE OF VarBind)的一个VarBindList。请求ID号识别PDU是否用于:一个用于获得管理对象的实例值的获取(Get)请求、一个用于获得值列表中的下一个值的获取下一个(Get next)请求、一个用于回答请求消息的获取(Get)应答消息、一个用于改变管理对象的实例值的设置(Set)请求,以及一个陷井(Trap)消息。一具体网络单元的管理对象在一个被称作管理信息库(MIB)的数据结构中定义。MIB包括该网络单元中的管理对象的对象标识(OID),而OID用路径名表示。SNMP提供了一个很低水平的安全保障。没有一种足够安全的方法可用于配置使用基于SNMP通信的装置。而且存在着被窃听或监听的危险。监视代理机和客户机间的通信和假扮成一个代理机或客户机是很容易的。存在这样一种危险:即,一个未经认证的实体可能改变正在传输的SNMP消息。而且,任何可以陷入(trap into)网络的人都可以访问“集合串:community string”,因此未经授权的实体可以假装成授权实体的身份。已有的一种方法是代理机具有一个认证服务,它使用集合名作为一类密码,如果认证服务确定集合名不能访问代理机,那么代理机将拒绝该消息。这一点在RFC1157中讨论,例如,在4.1.6.5章。然而,因为单一密码方法的简单性,监视实体间的通信、破解简单的密码、假装成任何一方仍是相当容易的。另一种方法在专利公开US 6,044,468中已经讨论过。客户机中-->的一个加密服务程序通过一个秘密关键码来加密网络管理信息,该秘密关键码可被消息所指向的代理机识别。加密服务调用客户机的一个SNMP消息传输服务以形成一个安全的SNMP消息,该消息具有一个明显的对象标识(OID),可识别代理机中的一个加密服务,并具有一个包含加密结果的明显的值。该SNMP消息传输服务调用客户机端的一通信协议服务,以将安全SNMP消息发送给代理机。代理机端的一通信协议服务接收该安全SNMP消息,并将接受到的消息传送给代理机端的一SNMP消息接收服务。该SNMP消息接收服务检查安全SNMP消息中可见的集合名是否能够访问代理机,若能,则在代理机端的一个管理信息库(MIB)中搜索与OID相对应的一个子代理机,若找到这样的子代理机,则将该OID的明显的值调度(dispatch)给该子代理机。子代理机解密该明显值中的加密结果,若子代理机不能识别授权访问该代理机的秘密关键码,就拒绝该消息。然而,由于传输消息的加密和对基于额外验证的子代理机的需求,这种方法仍会增加系统的复杂性。这在SNMP中尤其是一个缺点,因为SNMP系统本来是被设计为适用于多种系统的简单而通用的通信协议。考虑到基于SNMP的各种通信和系统所固有的限制,避免或减轻这些问题和与现有技术相关的其它问题正是所希望的。因此,需要有一种认证发自某一实体的消息的机制。而且,该机制应最大限度地与SNMP数据结构和协议相兼容。
技术实现思路
专利技术了一种方法和系统,用于普通的非安全网络通信协议,如简单网络管理协议(SNMP)中的实体认证。依据本专利技术的第一个方面,提供了一种一种用于提供数据通信的认证的认证系统,包括:-->认证串,其被提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户机和该代理机两者处提供相同值的算法确定,可靠性检查程序,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该认证串,检查在该简单网络管理协议消息中接收的该认证串,来检查该认证串的可靠性,另一认证串,其被提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,其中该另一认证串被确定在被提供给该公用串字段的该第一认证串之后,其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,在该客户机和该代理机之间传送的多个消息中的各个消息包括该不同的第一认证串,对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及当在接收的消息中的该认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该认证串时,该客户机和该代理机-->中的一个根据未被认证的数据通信设置一操作。根据本专利技术的第二方面,提供了一种根据简单网络管理协议,提供在客户机和代理机之间的通信线路上的数据通信的认证的设备,包括:生成装置,用于生成认证串,该认证串被提供一次给待在该客户机和该代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该认证串基于该客户机和该代理机之间的共享的种子,该生成装置包括使用该共享的种子在该客户机和该代理机两者处的基本类似的算法,可靠性检查装置,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该认证串,检查在该简单网络本文档来自技高网...
【技术保护点】
一种用于提供数据通信的认证的认证系统,包括: 认证串,其被提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户 机和该代理机两者处提供相同值的算法确定, 可靠性检查程序,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该认证串,检查在该简单网络管理协议消息中接收的该认证串,来检查该认证串的可靠 性, 另一认证串,其被提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定, 其中该另一认证串在被提供给该公用串 字段的该第一认证串之后被确定, 其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者, 在该客户机和该代理机之间传送的多个消息中的各个消息包括该不同的第一认证串, 对于该多个消息中的各个消息,安装在该客户 机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配, 其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成 且被提供一次的认证串的操作循环中保持同步,及 当在接收的消息中的该认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该认证串时,该客户机和该代理机中的一个根据未被认证的数据通信设置一操作。...
【技术特征摘要】
FI 2002-9-6 200215941、一种用于提供数据通信的认证的认证系统,包括:认证串,其被提供一次给待在客户机和代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该第一认证串基于该客户机和该代理机之间的共享的种子,该第一认证串由使用该共享的种子在该客户机和该代理机两者处提供相同值的算法确定,可靠性检查程序,其安装在该客户机和该代理机中的接收方中,用于通过对照在该客户机和该代理机中的接收方的该算法程序确定的该认证串,检查在该简单网络管理协议消息中接收的该认证串,来检查该认证串的可靠性,另一认证串,其被提供一次给该简单网络管理协议消息的该公用串字段,该另一认证串基于该客户机和该代理机之间该共享的种子,该另一认证串由使用该共享的种子的在该客户机和代理机两者处的该算法确定,其中该另一认证串在被提供给该公用串字段的该第一认证串之后被确定,其中各该客户机和该代理机被配置为消息发送网络实体和消息接收网络实体两者,在该客户机和该代理机之间传送的多个消息中的各个消息包括该不同的第一认证串,对于该多个消息中的各个消息,安装在该客户机和该代理机中的接收方中的该可靠性检查程序检验在该简单网络管理协议消息中接收的该第一认证串与由在该客户机和该代理机中的接收方的该算法程序确定的第一认证串相匹配,其中该客户机和该代理机通过在该客户机和该代理机之间的确认消息,在当前生成且被提供一次的认证串的操作循环中保持同步,及当在接收的消息中的该认证串不对应于由该客户机和该代理机中的接收方的该算法程序确定的该认证串时,该客户机和该代理机中的一个根据未被认证的数据通信设置一操作。2、根据权利要求1的系统,其中该简单网络管理协议消息包括三个部分:i)协议版本,ii)该公用串字段,和iii)被分成多个协议数据单元的数据区域,该公用串字段是一简单的网络管理协议共用标识符,该公用串字段作为字符串被存储。3、根据权利要求2的系统,其中该简单网络管理协议消息使用ASN-1编码,及在该客户机和该代理机两者处的该算法是基于MD2、MD4和MD5中的一种。4、根据权利要求1的系统,其中该共享的种子是基于随机数发生器,该客户机和该代理机两者包括该随机数发生器中的一个,且该共享的种子在该客户机和该代理机中的一个处生成且然后被传送给该客户机和该代理机中的另一个。5、一种根据简单网络管理协议,提供在客户机和代理机之间的通信线路上的数据通信的认证的设备,包括:生成装置,用于生成认证串,该认证串被提供一次给待在该客户机和该代理机之间的通信线路中被传送的简单网络管理协议消息的公用串字段,该认证串基于该客户机和该代理机之间的共享的种子,该生成装置包括使用该共享的种子在该客户机和该代理机两者处的基本类似的算法,可靠性检查装置,其安装...
【专利技术属性】
技术研发人员:劳诺亚瓦奈宁,
申请(专利权)人:提莱波斯公司,
类型:发明
国别省市:FI[芬兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。