技术领域
[0001] 本
发明涉及通信领域,尤其涉及一种获得被管设备的SSH主机公开密钥的方法和系统。
背景技术
[0002] 传统的网络服务程序,如文件传输协议(File Transfer Protocol;FTP)和Telnet在传输机制和实现原理上没有考虑安全机制,只是使用简单的安全验证方式,因此用户和
服务器间传输的数据很容易受到网络黑客的攻击。为了保证数据的安全性,安全
外壳程序(Secure Shell;SSH)以其更安全的特性渐渐替代了传统的网络服务程序。
[0003] 使用SSH时,需要在应用层和传输层的
基础上建立SSH协议,所述SSH协议主要包括传输层协议、用户认证协议、连接协议。其中,所述传输层协议建立在面向连接的TCP数据流之上,用于提供认证、信任和完整性检验等安全措施,以及
数据压缩功能;所述用户认证协议运行在传输层协议之上,用于实现服务器跟客户端之间的身份认证,所述连接协议运行在用户认证层协议之上,用于分配多个加密通道到一些逻辑通道上。
[0004] SSH主要通过连接协议并调用用户认证协议来实现SSH的应用:
[0005] 1、用户通过SSH提供很强的验证(authentication)机制与非常安全的通讯环境,登录到远方机器执行命令并进行工作。
[0006] SSH不仅提供了对通信内容的加密保护机制,而且也加强了对身份验证的安全保护。
[0007] 2、使用SSH执行服务器上的shell程序和命令。
[0008] 服务器上的shell程序和命令分为shell、可执行程序和子系统三个类别。其
中子系统(Subsystem)是SSH服务器(SSH Daemon,SSHD)运行的
进程,在用户认证通过后启动连接协议建立信道(Channel)的时候启动,该进程将其标准输入输出(STDIN和STDOUT)重定向到新建立的隧道上。
[0009] 因为用户和子系统之间的通信都重定向到SSH连接协议的信道上,因此所述子系统同用户之间的后续通信过程都通过SSH协议来提供保护。
[0010] 3、通过使用SSH,在本地主机和远程服务器之间设置″加密隧道″,并且与常见的Pop应用程序、X应用程序、Linuxconf应用程序相结合,提供安全保障。
[0011] 通过上述描述可以看出,通过使用SSH,用户可以将所有传输的数据进行加密,并且可以将数据进行压缩处理,因此不但能够保证数据的安全性,而且能够加快数据传输的速度。
[0012] 网管协议(Simple Network Management Protocol;SNMP),运行在被管设备上的Agent
软件和网管站之间,用来管理网络设备,如服务器、工作站、路由器、交换机及HUB等的一种标准协议,它是一种应用层协议。
[0013] SNMPv3协议将通信的实体按照应用分为几种类别:命令生成器(生成管理指令)、命令反应器、通告发送器(生成事件告警)、通告接收器和代理。
[0014] 网管站基于SNMP协议,接收被管设备发送的循环消息(及事件报告),并根据所述消息获得被管设备的运行情况,发现并解决网络问题以及规划网络发展。
[0015] 另外,网管站根据被管设备的IP地址,通过SNMP协议能够获得被管设备的详细信息,如SNMP MIB中的系统表中的信息,包括:
[0016] ——系统描述,一个关于系统的文本描述
[0017] ——系统OID,供应商设置的设备ID
[0018] ——系统联系,该系统相关的联系人
[0019] ——系统启动时间
[0021] ——系统名称
[0022] 命令生成器/通告接收器根据这些信息来了解这些被管设备,并决定是否进一步管理这些设备。
[0023] 基于对SNMP协议安全性的考虑,IETF推出了SNMPv3标准,该标准增加了基于用户的安全模型(user-based security model;USM)和基于视图的
访问控
制模型(view based access control model;VACM)。
[0024] 其中,所述USM安全模型要求对每两个互相通信的SNMP引擎之间配置安全参数,如共享密钥,在一般的网络中,一台被管设备可能被多个网管站管理,而同时一个网管站需要管理大量的设备,因此安全参数的配置工作量就非常大。
[0025] 为解决这个问题,IETF的ISMS作出利用SSH来传输SNMPv3协议的提议。采用承载于SSH上的SNMP协议实现设备发现功能时,必须首先在被管设备和网管站的网管应用之间创建SSH连接,然后通过带外管理操作,即人工配置获得主机公开密钥,接着基于非对称密钥的服务器验证,对网管站的服务器的主机进行身份验证,当身份验证通过后,将被管设备网管引擎应用(Agent)作为一个子系统进程启动,然后再执行实际的SNMP访问系统MIB的任务,完成实际发现的过程。但是由于非对称密码
算法占用大量的CPU和存储,而且每启动一个SNMP连接,就需要在被连接的设备上启动两个进程,一个SNMP Agent进程,一个SSH服务器进程,占用系统存储资源,因而采用此种方法,发现过程成本比较高。
[0026] 为了降低发现过程的成本,可以利用RFC3417标准提出的利用数据报协议(user datagram protocol;UDP)传输来实现发现功能,在该方案中,命令反应器使用UDP端口161来侦听来自管理站的报文,而通告接收器使用UDP端口162来侦听来自Agent的报文,从而能够使用UDP传输的SNMP协议来发现被管设备。
[0027] 因为SNMPv3中USM是必备的安全处理模
块,使用UDP传输的时候,因为被发现设备和网管站(命令生成器应用和通告接收器应用)之间可能没有预先存在的共享密钥,因此将SNMPv3通信的安全
水平设置为noAuthNoPriv,这样SNMP安全模块(USM)就可以不对报文进行验证和加密,从而能够降低发现成本。而且被发现设备对SNMP的系统信息不实施访问控制,即使是没有被验证的用户也能获得系统信息。
[0028] 与本发明有关的
现有技术是将上述SSH传输和RFC3417(SNMPv3标准)规定的UDP传输结合起来。网管站使用UDP传输的SNMP协议来发现被管设备;使用SSH传输的SNMP协议来连接被管设备。
[0029] 在使用SSH传输的SNMP协议创建连接时,被管设备首先通过带外管理操作,即人工配置获得主机公开密钥,然后基于获得的主机公开密钥对网管站的服务器的主机进行身份验证,当验证通过后,与服务器建立通信链路。
[0030] 由现有技术二可以看出,其存在如下
缺陷:
[0031] 现有技术获得主机公开密钥的方法都是带外管理操作,需要人的干预,因此不仅影响公开密钥的分发速度,而且使用极不方便。
发明内容
[0032] 本发明的目的是提供一种获得被管设备的SSH主机公开密钥的方法和系统,通过本发明,能够在发现阶段获得被管设备系统信息的同时获得SSH服务器的主机公开密钥,从而减少公开密钥分发管理的工作量,提高了主机公开密钥的分发速度,而且使用非常方便。
[0033] 本发明的目的是通过以下技术方案实现的:
[0034] 本发明提供一种获得被管设备的安全外壳程序SSH主机公开密钥的方法,其包括:
[0035] 管理站通过简单网络管理协议SNMP协议封装、并通过用户数据报协议UDP传输发送发现
请求报文给被管设备,并在所述发现请求报文中指出需要获得的被管设备的SSH服务器的主机公开密钥的相关信息和系统管理信息库MIB信息;
[0036] 所述管理站根据所述被管设备反馈的SNMP协议数据单元PDU报文获得所述被管设备的SSH服务器的主机公开密钥的相关信息和系统MIB信息;
[0037] 其中,所述SNMP PDU报文中包含有所述被管设备通过SNMP协议封装的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0038] 所述SNMP PDU报文中包含有所述被管设备通过SNMP协议封装的SSH服务器主机公开密钥的相关信息和系统MIB信息,具体包括:
[0039] 所述SNMP PDU报文中包含所述被管设备根据所接收到的所述管理站发送的发现请求报文,通过SNMP协议封装、并通过UDP传输发送给所述管理站的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0040] 所述管理站通过SNMP协议封装、并通过UDP传输发送发现请求报文给被管设备,并在所述发现请求报文中指出需要获得的被管设备的SSH服务器的主机公开密钥的相关信息和系统管理信息库MIB信息,具体包括:
[0041] 管理站获得被管设备的标识;
[0042] 根据所述获得的标识,通过SNMP协议封装、并通过UDP传输发送发现请求报文给所述标识对应的被管设备,并在所述发现请求报文中指出需要获得的被管设备的SSH服务器的主机公开密钥的相关信息和系统管理信息库MIB信息。
[0043] 所述SNMP PDU报文中包含所述被管设备根据所接收到的所述管理站发送的发现请求报文,通过SNMP协议封装、并通过UDP传输发送给所述管理站的SSH服务器主机公开密钥的相关信息和系统MIB信息,具体包括:
[0044] 被管设备接收到所述管理站发送的发现请求报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述PDU报文传递给SNMP引擎;
[0045] 所述SNMP引擎对所述PDU报文进行解封装处理,然后通过SNMP协议将被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息封装到所述SNMP PDU报文中,并通过UDP传输发送给对应的管理站;或,
[0046] 所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的系统MIB信息和所述密钥证书封装到所述SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
[0047] 所述管理站根据所述被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息具体包括:
[0048] 所述管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0049] 在所述获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息之后,还包括:
[0050] 将所获得的SSH服务器主机公开密钥的相关信息和系统MIB信息保存到本地文件或
数据库中。
[0051] 所述管理站使用所述获得的SSH服务器公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接;
[0052] 通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
[0053] 所述SSH服务器主机公开密钥的相关信息包括:
[0054] SSH服务器主机公开密钥信息。
[0055] 所述SSH服务器主机公开密钥的相关信息还包括:
[0056] 所述密钥信息的算法、使用策略、指印和/或关联名字。
[0057] 一种获得被管设备的安全外壳程序SSH主机公开密钥的系统,其特征在于:
[0058] 包括管理站和被管设备;
[0059] 所述管理站通过简单网络管理协议SNMP协议封装、并通过用户数据报协议UDP传输发送发现请求报文给被管设备,并在所述发现请求报文中指出需要获得的被管设备的SSH服务器的主机公开密钥的相关信息和系统管理信息库MIB信息;根据所述被管设备反馈的SNMP协议数据单元PDU报文获得所述被管设备的SSH服务器的主机公开密钥的相关信息和系统MIB信息;
[0060] 其中,所述SNMP协议数据单元PDU报文中包含有所述被管设备通过SNMP协议封装的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0061] 所述管理站包括UDP传输模块、SNMP引擎模块和管理功能模块;
[0062] 所述管理功能模块通过调用SNMP引擎模块和UDP传输模块将所述发现请求报文传送给被管设备,所述发现请求报文中指出需要获得的被管设备的系统MIB信息和SSH服务器主机公开密钥的相关信息,并根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0063] 所述管理站还包括SSH传输模块,其被所述管理功能模块调用,用于根据所述获得的主机公开密钥的相关信息对所述被管设备的SSH服务器主机进行身份验证,并当验证通过后,与被管设备建立SSH连接,并通过SSH传输使用SNMP协议对被管设备进行相应的SSH管理。
[0064] 所述被管设备包括UDP传输模块和SNMP引擎模块;
[0065] 所述UDP传输模块,用于接收所述管理站发送的发现请求报文,并对所述发现请求报文进行解封装处理后,重新封装为PDU报文传递给所述SNMP引擎模块;
[0066] 所述SNMP引擎模块,用于将系统MIB信息和主机公开密钥的相关信息封装到新的SNMP PDU报文中,并通过UDP传输模块发送给所述管理站。
[0067] 所述被管设备还包括MIB模块,用于保存系统MIB信息和主机公开密钥的相关信息。
[0068] 所述被管设备还包括SSH传输模块,用于与管理站建立SSH连接,并通过SSH传输与所述管理站进行信息交互。
[0069] 由上述本发明提供的技术方案可以看出,本发明的管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥信息。通过本发明,能够在发现阶段获得被管设备系统信息的同时获得SSH服务器的主机公开密钥,从而减少公开密钥分发管理的工作量,提高了公开密钥的分发速度,而且使用非常方便。
[0071] 图1为本发明提供的系统原理示意图;
[0073] 具体实施方式
[0074] 本发明提供一种获得被管设备的SSH主机公开密钥的方法和系统,其核心是:管理站通过SNMP协议以及UDP传输发现被管设备,并同时获得SSH服务器的主机公开密钥的相关信息。
[0075] 针对本发明所述的一种获得被管设备的SSH主机公开密钥的系统提供的第一
实施例,如图1所示:包括管理站和被管设备;其中所述管理站包括UDP传输模块、SNMP引擎模块、管理功能模块和SSH传输模块,如SSH客户端;所述被管设备包括UDP传输模块、SNMP引擎模块、网管协议使用的一种虚拟存储(MIB)模块和SSH传输模块,如SSH服务器。
[0076] 所述被管设备的MIB模块,保存系统MIB信息和主机公开密钥的相关信息。其包括一般SNMP被管设备可被发现的参数MIB模块,如用于被命令生成器发现的系统信息MIB模块,以及其它MIB模块外,还包括一个主机密钥MIB模块。其中所述主机密钥MIB模块包括一个或多个主机公开密钥,其同系统信息MIB模块一样,对公开密钥的访问控制采用相同的处理方式,即noAuthNoPriv(无须报文验证也无须
保密性),同时不对该主机密钥MIB模块进行访问控制。
[0077] 所述管理站的管理功能模块获得将被发现的设备标识,如主机的IP地址或主机名,所述设备标识可以通过管理员输入和事先配置,输入或配置的具体信息可能是单个地址,但一般情况下是一个地址段,管理功能模块依次从地址段中选择一个地址实施发现操作。
[0078] 在实施发现操作时,调用SNMP引擎模块和UDP传输模块,根据所述设备的标识将发现请求UDP报文传送给对应的被管设备,并在发现请求UDP报文中指出需要获得系统MIB模块和SSH服务器主机密钥模块的信息;
[0079] 所述被管设备的UDP传输模块,接收所述管理站发送的UDP报文,并对所述报文进行解封装处理后,重新封装为PDU报文传递给所述SNMP引擎模块。
[0080] 所述被管设备的SNMP引擎模块,将系统MIB信息和主机密钥公开的相关信息封装到新的SNMP PDU报文中,并通过UDP传输模块发送给所述管理站。
[0081] 所述管理站的管理功能模块通过调用SNMP引擎模块和UDP传输模块,根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0082] 所述管理站的SSH传输模块,根据所述获得的公开密钥的相关信息对所述被管设备的SSH服务器主机进行身份验证,并当验证通过后,与被管设备的SSH传输模块建立SSH连接,并通过SSH传输对被管设备进行相应的SSH管理。
[0083] 针对本发明所述的一种获得被管设备的SSH主机公开密钥的方法提供的第二实施例,如图2所示,包括:
[0084] 步骤101、管理站通过SNMP协议以及UDP传输发送发现请求UDP报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
[0085] 具体实时过程如下:
[0086] 首先,管理站获得被管设备的标识,如主机的IP地址或主机名。
[0087] 所述设备标识可以通过管理员输入和事先配置,输入或配置的具体信息可能是单个地址,但一般情况下是一个地址段,管理功能模块依次从地址段中选择一个地址实施发现操作。
[0088] 然后,管理站根据所述获得的标识,并通过SNMP协议以及UDP传输发送发现请求报文给所述标识对应的被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
[0089] 步骤102、被管设备根据接收到的管理站发送的所述发现请求报文,通过SNMP协议将其SSH服务器主机公开密钥的相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给管理站。
[0090] 具体实施过程包括:
[0091] 首先,被管设备接收到所述管理站发送的发现请求报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
[0092] 然后,所述SNMP引擎对所述PDU报文进行解封装处理,然后通过SNMP协议将被管设备的SSH服务器主机公开密钥的相关信息及其相关信息和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
[0093] 其中,所述SSH服务器主机公开密钥的相关信息包括主机公开密钥信息,或包括主机公开密钥信息以及所述主机公开密钥信息的算法、使用策略、指印和/或关联名字。
[0094] 每个主机公开密钥的使用可能有一定的使用策略,该策略指出使用该主机密钥的条件;每个主机公开密钥可以同时存在一个指印(fingerprint),指引是对主机密钥进行某种处理(如哈希单向函数处理)产生的结果,该指印被用来索引密钥或实现主机密钥校验功能;每个主机公开密钥可以同一个名字关联,该名字可以是SSH服务器的名字或
别名等。
[0095] 步骤103、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0096] 管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息,并将所述信息保存到本地文件或数据库中。
[0097] 经过上述步骤后,管理站首先使用所述获得的SSH服务器公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接;
[0098] 然后通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
[0099] 针对本发明所述的一种获得被管设备的SSH主机公开密钥的方法提供的第三实施例,包括:
[0100] 步骤201、管理站通过SNMP协议以及UDP传输发送发现请求UDP报文给被管设备,并在所述报文中指出需要获得的被管设备的系统MIB和SSH服务器的主机公开密钥的相关信息。
[0101] 具体实施过程同第一实施例中的相关描述,这里不再详细介绍。
[0102] 步骤202、所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的系统MIB信息和所述密钥证书封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
[0103] 具体实施过程包括:
[0104] 首先,被管设备接收到所述管理站发送的UDP报文后,对其进行解封装处理,然后重新封装为PDU报文,并将所述报文传递给SNMP引擎;
[0105] 然后,所述SNMP引擎对所述PDU报文进行解封装处理,并将被管设备的SSH服务器主机公开密钥的相关信息设置在密钥证书中,然后通过SNMP协议将被管设备的密钥证书和系统MIB信息封装到SNMP PDU报文中,并通过UDP传输发送给对应的管理站。
[0106] 其中,所述SSH服务器主机公开密钥的相关信息包括主机公开密钥信息,或包括所述主机公开密钥信息以及所述主机公开密钥信息的的算法、使用策略、指印和/或关联名字。
[0107] 步骤203、根据被管设备反馈的SNMP PDU报文获得被管设备的SSH服务器主机公开密钥的相关信息和系统MIB信息。
[0108] 管理站通过UDP传输接收所述SNMP PDU报文,并通过SNMP引擎对所述SNMP PDU报文进行解封装处理后,获得被管设备的密钥证书和系统MIB信息,并将所述信息保存到本地文件或数据库中。
[0109] 经过上述步骤后,管理站首先使用所述获得的被管设备的密钥证书中的SSH服务器的主机公开密钥的相关信息对被管设备的SSH服务器进行身份验证,当验证通过后,建立SSH传输连接。
[0110] 然后通过SSH协议传输SNMP报文,并通过所述SNMP报文管理被管设备。
[0111] 由上述本发明的具体实施方案可以看出,本发明使用SNMP协议和UDP传输来获得主机密钥,从而能够以很小的传输、处理和管理代价实现主机密钥分发。相对于传统的主机公开密钥分发方法,如FTP传输主机密钥文件、手工配置密钥文件或磁盘传输等,本发明的实施成本几乎是零,并且本发明降低了人为错误的可能。
[0112] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以
权利要求的保护范围为准。
