網(wǎng)絡(luò)系統(tǒng)安全接入認(rèn)證方法探究

圖7: 在遠(yuǎn)程升級之前和之后執(zhí)行散列認(rèn)證，確認(rèn)目標(biāo)設(shè)備已經(jīng)過授權(quán)，完成升級過程。

應(yīng)用實(shí)例

以下給出了實(shí)際系統(tǒng)中基于SHA-1的安全器件的工作原理(圖8)。圖中利用DS28CN01認(rèn)證令牌實(shí)現(xiàn)雙向認(rèn)證，通過I2C接口與主機(jī)通信。這種情況下，主處理器為網(wǎng)絡(luò)控制器，與基站進(jìn)行數(shù)據(jù)通信，基站與連接到DS28CN01的微處理器進(jìn)行通信。微處理器產(chǎn)生部分隨機(jī)質(zhì)詢碼，主機(jī)提供另一部分隨機(jī)碼，從而完成主機(jī)令牌認(rèn)證。該技術(shù)可以避免主機(jī)產(chǎn)生質(zhì)詢-響應(yīng)對而對其他系統(tǒng)造成混淆。

圖8: 雙向認(rèn)證不需要安全網(wǎng)絡(luò)連接

基站認(rèn)證 主機(jī)創(chuàng)建7字節(jié)隨機(jī)質(zhì)詢碼和所要求的頁碼，將其發(fā)送給基站#1的微處理器?；?1的微處理器通過I2C接口與DS28CN01通信，轉(zhuǎn)發(fā)隨機(jī)質(zhì)詢碼并在所選擇的頁面計(jì)算頁MAC。計(jì)算頁MAC將利用頁數(shù)據(jù)、唯一的ROM ID和密鑰進(jìn)行SHA-1運(yùn)算。基站#1微處理器從DS28CN01重新得到MAC、頁數(shù)據(jù)和唯一的ROM ID，并將它們通過非安全鏈路轉(zhuǎn)發(fā)給主機(jī)。主機(jī)進(jìn)行相同的SHA-1計(jì)算，驗(yàn)證基站#1返回的MAC是否正確。如果不匹配，主機(jī)將拒絕基站#1的網(wǎng)絡(luò)接入。

主機(jī)認(rèn)證 首先執(zhí)行基站認(rèn)證過程，基站#1的微處理器產(chǎn)生3字節(jié)質(zhì)詢碼并將其通過非安全通信鏈路發(fā)送給主機(jī)；主機(jī)產(chǎn)生4字節(jié)質(zhì)詢，與基站的3字節(jié)質(zhì)詢碼相組合，產(chǎn)生7字節(jié)質(zhì)詢碼。這個(gè)7字節(jié)數(shù)據(jù)和基站認(rèn)證中的頁數(shù)據(jù)、ROM ID一起進(jìn)行SHA-1運(yùn)算，產(chǎn)生頁MAC。該MAC和主機(jī)產(chǎn)生的4字節(jié)質(zhì)詢碼隨后送回基站#1的微處理器。

基站#1微處理器提取附加的4字節(jié)質(zhì)詢碼，結(jié)合它發(fā)送給主機(jī)的3字節(jié)質(zhì)詢，得到一個(gè)7字節(jié)質(zhì)詢碼，利用原先基站認(rèn)證中的頁面，在DS28CN01中計(jì)算頁MAC。隨后，將其與主機(jī)發(fā)送的MAC結(jié)果進(jìn)行比較。如果不匹配，基站將屏蔽主機(jī)的功能選項(xiàng)。