CN101160773A - 获得被管设备安全外壳程序主机密钥的方法和系统 - Google Patents
获得被管设备安全外壳程序主机密钥的方法和系统 Download PDFInfo
- Publication number
- CN101160773A CN101160773A CNA2006800122958A CN200680012295A CN101160773A CN 101160773 A CN101160773 A CN 101160773A CN A2006800122958 A CNA2006800122958 A CN A2006800122958A CN 200680012295 A CN200680012295 A CN 200680012295A CN 101160773 A CN101160773 A CN 101160773A
- Authority
- CN
- China
- Prior art keywords
- managed device
- ssh
- information
- snmp
- relevant information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了获得被管设备的SSH主机密钥的方法和系统,主要包括:管理站在发现被管设备的过程中,通过UDP传输方式获得SSH主机密钥信息。通过本发明,使得管理站能够在发现阶段获得被管设备系统信息的同时获得SSH主机密钥,从而减少主机密钥分发管理的工作量,提高了主机密钥的分发速度,而且使用非常方便。
Description
获得被管设备安全外壳程序主机密钥的方法和系统
技术领域
本发明涉及通信技术领域, 尤其涉及一种获得被管设备的安全外壳 程序 (SSH, Secure Shell )主机密钥 (Host Key ) 的方法和系统。 发明背景
传统的网络服务程序,如文件传输协议(FTP, File Transfer Protocol ) 及 Telnet, 在传输机制和实现原理上没有考虑安全机制, 只是使用简单 的安全 正方式, 因此用户和服务器间传输的数据很容易受到网络黑客 的攻击。 为了保证数据的安全性, SSH以其更安全的特性渐渐替代了传 统的网络服务程序。
在使用 SSH时, 需要在应用层和传输层的基础上建立 SSH协议。 所述 SSH协议主要包括传输层协议、 用户认证协议、 连接协议。 其中, 所述传输层协议建立在面向连接的传输控制协议 ( TCP, Transfer Control Protocol )数据流之上, 用于提供认证、 信任和完整性检验等安全措施, 以及数据压缩功能; 所述用户认证协议运行在所述传输层协议之上, 用 于实现服务器跟客户端之间的身份认证, 所述连接协议运行在所述用户 认证层协议之上, 用于分配多个加密通道到一些逻辑通道上。 通过使用 SSH, 用户可以将所有传输的数据进行加密以及压缩处理, 由此不但能 够保证数据的安全性, 而且能够加快数据传输的速度。
筒单网管协议 ( SNMP, Simple Network Management Protocol )是运 行在被管设备上的网管代理(Agent )软件和网管站之间, 用来管理网络 设备, 如服务器、 工作站、 路由器、 交换机及 集线器 (HUB )等, 的 一种标准协议, 它是一种应用层协议。
基于对 SNMP安全性的考虑, 因特网工程任务组 ( IETF, Internet Engineering Task Force )推出了 SNMPv3标准, 该标准增加了基于用户 的安全模型 ( USM, user-based security model )和基于视图的访问控制 模型 ( VACM, view based access control model )。 其中, 所述 USM安全 模型要求对每两个互相通信的 SNMP引擎之间配置安全参数,如共享密 钥。 在一般的网络中, 一台被管设备可能被多个网管站管理, 而同时一 个网管站需要管理大量的设备, 因此, 通常情况下安全参数的配置工作 量就非常大。
为解决这个问题, IETF提出可以利用 SSH来传输 SNMPv3协议。 为了进一步降低设备发现过程的成本,还提出了将 SSH传输和数据报协 议 ( UDP , user datagram protocol )传输方式相结合的方法, 即网管站使 用 UDP传输方式下的 SNMP发现被管设备, 而使用 SSH传输方式下的 SNMP来管理被管设备。 具体而言, 在使用 UDP传输方式的时候, 因 为被发现设备和网管站之间可能没有预先存在的共享密钥, 因此将 SNMPv3 通信的安全水平设置为无需报文验证也无需保密性的 noAuthNoPriv处理方式, 这样 SNMP安全模块(USM )就可以不对才艮 文进行验证和加密, 从而能够降低发现成本。 而且被发现设备对 SNMP 的系统信息不实施访问控制, 即使是没有被验证的用户也能获得系统信 息。 而在使用 SSH传输 SNMP以创建连接时, 被管设备首先通过带外 管理操作, 即人工配置获得主机密钥, 然后基于获得的主机密钥对网管 站的服务器进行身份验证, 当验证通过后, 与服务器建立通信链路。
然而, 从上述方法可以看出, 目前获得主机密钥的方法都是带外管 理操作, 需要人的干预, 因此不仅影响主机密钥的分发速度, 而且使用 极不方便。
发明内容
本发明提供了一种获得被管设备的 SSH主机密钥的方法,通过该方 法, 能够在设备发现阶段获得被管设备系统信息的同时获得被管设备 SSH主机密钥, 从而减少主机密钥分发管理的工作量, 提高了主机密钥 的分发速度, 而且使用非常方便。
除此之外,本发明还提供了一种获得被管设备的 SSH主机密钥的系 统, 通过该系统也可以在设备发现阶段获得被管设备 SSH主机密钥,从 而提高主机密钥的分发速度。
本发明所述获得被管设备的 SSH主机密钥的方法, 包括: 在进行被 管设备发现的过程中, 管理站通过 UDP传输方式获得被管设备 SSH主 机密钥的相关信息。
其中, 所述获得 SSH主机密钥信息的步骤包括:
管理站通过 UDP传输方式发送发现请求报文给被管设备,并在所述 发现请求报文中指出需要获得的被管设备的 SSH主机密钥的相关信息 和系统管理信息库 MIB信息;
所述被管设备接收到所述发现请求报文后,通过 UDP传输方式将自 身 SSH主机密钥的相关信息和系统 MIB信息发送给所述管理站。
本发明所述的获得被管设备的 SSH主机密钥的系统, 包括管理站和 被管设备, 其中, 所述管理站在进行被管设备发现的过程中, 通过数据 报协议 UDP传输方式获得被管设备的 SSH主机密钥的相关信息。
由上述本发明提供的技术方案可以看出, 本发明的管理站在发现被 管设备的同时能够通过 UDP传输方式获得 SSH主机密钥信息, 不需要 人为干预, 从而减少主机密钥分发管理的工作量, 提高了主机密钥的分 发速度, 而且使用非常方便。
附图简要说明
图 1为根据本发明一个优选实施例所述的系统结构示意图; 图 2为根据本发明一个优选实施例所述的获得被管设备 SSH主机密 钥的方法流程图;
图 3为根据本发明另一个优选实施例所述的获得被管设备 SSH主机 密钥的方法流程图。 实施本发明的方式
下面结合附图对本发明的实施例进行详细说明。
图 1显示了根据本发明一个优选实施例的获得被管设备 SSH主机密 钥的系统结构。 如图 1所示, 所述系统包括: 管理站和被管设备。 其中, 所述管理站进一步包括: 第一 UDP传输模块、 第一 S>MP引擎模块、 管理功能模块和第一 SSH传输模块, 如 SSH客户端; 所述被管设备进 一步包括: 第二 UDP传输模块、 第二 SNMP引擎模块、 网管协议使用 的一种虚拟存储, 即管理信息库(MIB, Management Information Bank ) 模块和第二 SSH传输模块, 如 SSH服务器。
其中, 所述第一 SNMP引擎模块以及管理功能模块可以统称为笫一 管理模块,用于完成所述第一 SNMP引擎模块以及管理功能模块的所有 功能, 而所述第二 SNMP引擎模块以及 MIB模块可以统称为第二管理 模块, 用于完成所述第二 SNMP引擎模块以及 MIB模块的所有功能。
所述被管设备的 MIB模块用于保存系统 MIB信息和主机密钥的相 关信息。 具体可以包括: 系统信息 MIB模块, 以及其它 MIB模块外, 还进一步包括一个主机密钥 MIB模块。 其中, 所述主机密钥 MIB模块 中保存有一个或多个主机密钥。所述主机密钥 MIB模块同系统信息 MIB 模块一样, 对主机密钥的访问控制采用相同的处理方式, 即无需报文验
证也无需保密性的 noAuthNoPriv处理方式,同时无需对该主机密钥 MIB 模块进行访问控制。
所述管理站的管理功能模块用于获得将被发现的设备标识, 如主机 的 IP地址或主机名。其中,所述设备标识可以通过管理员手工输入或事 先配置得到, 并且, 输入或配置的具体信息可能是单个地址, 但在一般 情况下也可以是一个地址段。 对于地址段的情况, 管理功能模块将依次 从地址段中选择一个地址实施设备发现操作。 '
下面将通过上述系统的设备发现过程详细描述上述系统获得被管设 备 SSH主机密钥的操作过程。
在实施设备发现操作的过程中, 所述管理站首先调用第一 S MP引 擎模块和第一 UDP传输模块, 根据所述设备的标识将发现请求 UDP报 文通过 UDP传输方式传送给对应的被管设备, 并在所述发现请求 UDP 报文中指出需要获得该被管设备的系统 MIB信息和 SSH主机密钥的相 关信息。
在该步骤中,所述在发现请求 UDP报文中指出需要获得被管设备的 系统 MIB信息和 SSH主机密钥的香港信息是通过对象标识符(OID ) 来实现的。 由于每一种需要获得的信息均与一个唯一的 OID值向对应, 因此, 管理站通过在发现请求 UDP报文中携带需要获得的信息所对应 得 OID值, 被管设备就可以获知管理站需要获得哪一信息了。针对上述 步驟, 管理站可以在所发送的发现请求 UDP报文中携带与系统 MIB信 息和 SSH主机密钥相关信息对应的 OID值, 即可通知被管设备自身需 要获得的信息为被管设备的系统 MIB信息和 SSH主机密钥相关信息。
所述被管设备的第二 UDP传输模块在接收到所述管理站发送的发 现请求 UDP报文, 并对所述发现请求 UDP报文进行解封装处理后, 将 其中指出需要获得该被管设备系统 MIB信息和 SSH主机密钥相关信息
的内容重新封装为协议数据单元(PDU, Protocol Data Unit )报文传递 给自身的第二 SNMP引擎模块。
所述被管设备的第二 S MP引擎模块根据所接收 PDU报文中指出 需要获得该被管设备系统 MIB信息和 SSH主机密钥相关信息的请求, 通过与自身 MB模块的交互,将保存在 MB模块中的系统 MIB信息和 主机密钥的相关信息封装到一个新的 SNMP PDU报文中,并通过自身第 二 UDP传输模块以 UDP的传输方式发送给所述管理站。
所述管理站的管理功能模块通过调用自身第一 SNMP引擎模块和第 一 UDP传输模块, 从被管设备反馈的 SNMP PDU报文中获得被管设备 的系统 MIB信息和 SSH主机密钥的相关信息。
最后, 所述管理站的第一 SSH传输模块, 根据所述获得的主机密钥 的相关信息对所述被管设备的 SSH服务器进行身份验证,并在验证通过 后, 与被管设备的第二 SSH传输模块建立 SSH连接, 并通过 SSH传输 对被管设备进行相应的 SSH管理。
由此可见, 通过上述系统, 所述管理站可以在发现被管设备的同时 获得 SSH主机密钥信息,从而可以减少主机密钥分发管理的工作量,提 高主机密钥的分发速度。
下面将结合图 2 详细描述本发明优选实施例所述的获得被管设备 SSH主机密钥的方法。 如图 2所示, 所述方法主要包括:
步骤 101 : 管理站通过 UDP传输方式发送发现请求 UDP报文给被 管设备, 并在所述发现请求 UDP报文中指出需要获得的被管设备的系 统 MIB信息和 SSH主机密钥的相关信息。
本步骤的具体实施过程如下:
首先, 管理站获得被管设备标识;
其中, 所述被管设备的标示可以是被管设备主机的 IP地址或主机
名。 如前所述, 所述被管设备标识可以通过管理员手工输入或事先配置 得到, 并且输入或配置的具体信息可以是单个地址, 也可以是一个地址 段。 如果所输入或配置的具体信息为地址段, 则管理站的管理功能模块 将依次从地址段中选择一个地址实施设备发现操作。
然后,管理站根据所获得的被管设备标识,通过 UDP传输方式发送 发现请求 UDP报文给与所述被管设备标识对应的被管设备, 其中, 所 述发现请求 UDP报文中需指出需要获得的被管设备的系统 MIB信息和 SSH主机密钥的相关信息。
步驟 102: 所述被管设备根据接收到的管理站发送的所述发现请求 UDP报文后, 通过 SNMP将自身 SSH主机密钥的相关信息和系统 MIB 信息封装到一个 SNMP PDU报文中, 并通过 UDP传输方式发送给所述 管理站。
上述步骤的具体实施过程包括:
首先,所述被管设备的第二 UDP传输模块在接收到所述管理站发送 的发现请求 UDP报文后, 需要对其进行解封装处理, 然后再将其中指 出需要获得的被管设备的系统 MIB信息和 SSH主机密钥的相关信息的 内容重新封装为 RDU报文, 并将所述 PDU报文传递给所述第二 SNMP 引擎;
所述第二 SNMP引擎对所述 PDU报文进行解封装处理, 再根据所 接收 PDU报文中指出需要获得的被管设备的系统 MIB信息和 SSH主机 密钥的相关信息的请求, 通过与自身 MIB模块的交互, 将保存在 MIB 模块中被管设备的 SSH主机密钥的相关信息和系统 MIB信息封装到一 个 SNMP PDU报文中, 然后,通过 UDP传输方式发送给对应的管理站。
其中, 在所述 SNMP PDU报文中封装的所述 SSH主机密钥的相关 信息主要包括主机密钥信息, 除此之外, 还可以进一步包括主机密钥信
息的算法、 使用策略、 指印 (fingerprint )和 /或关联名字。
其中, 每个被管设备对自身的主机密钥均有一定的使用策略, 该策 略指出使用该主机密钥的条件。 每个主机密钥可以同时存在一个指印, 其中, 指印是指对主机密钥进行某种处理(例如哈希单向函数处理)产 生的结果, 该指印被用来索引密钥或实现主机密钥校验功能。 并且每个 主机密钥可以同一个名字关联,该名字可以是 SSH服务器的名字或别名 等。
步骤 103: 所述管理站根据被管设备反馈的 SNMP PDU报文获得被 管设备的 SSH主机密钥的相关信息和系统 MIB信息。
具体而言, 所述管理站通过 UDP传输方式接收所述 SNMP PDU报 文, 并通过 SNMP引擎对所述 SNMP PDU报文进行解封装处理后, 获 得被管设备的 SSH主机密钥的相关信息和系统 MIB信息, 并将所述信 息保存到本地文件或数据库中。
经过上述步骤后,管理站将首先使用所述获得的 SSH主机密钥的相 关信息对被管设备的 SSH服务器进行身份验证, 当验证通过后, 建立 SSH传输连接。 然后, 再通过 SSH协议传输 SNMP报文, 并通过所述 SNMP报文管理所述被管设备。
除上述获得被管设备 SSH主机密钥的方法之外,本发明的另一个优 选实施例还给出了另外一种获得被管设备 SSH主机密钥的方法,其具体 实施过程如图 3所示, 包括:
步骤 201 : 所述管理站以 UDP传输方式发送发现请求 UDP报文给 被管设备,并在所述报文中指出需要获得的被管设备的系统 MIB信息和 SSH主机密钥的相关信息。
该步骤的具体实施过程与步骤 101相同, 这里就不再详细介绍了。 步驟 202: 所述被管设备对接收到的所述请求发现 UDP报文进行解
封装处理, 并将被管设备的 SSH主机密钥的相关信息设置在密钥证书 中 , 然后通过 SNMP将被管设备的系统 MIB信息和所述密钥证书封装 到 SNMP PDU报文中, 并通过 UDP传输方式发送给对应的管理站。
该步骤的具体实施过程包括:
首先,所述被管设备的第二 UDP传输模块接收到所述管理站发送的 UDP报文后, 对其进行解封装处理, 然后再将其中指出需要获得的被管 设备的系统 MIB信息和 SSH主机密钥的相关信息的内容重新封装为一 个 PDU报文 , 并将所述报文传递给自身的第二 SNMP引擎;
然后, 所述第二 SNMP引擎对所述 PDU报文进行解封装处理, 再 根据所接收 PDU报文中指出需要获得的被管设备的系统 MIB信息和 SSH主机密钥的相关信息的请求,通过与自身 MIB模块的交互,将 MIB 模块中保存的被管设备的 SSH主机密钥的相关信息设置在密钥证书中, 再通过 SNMP将被管设备的密钥证书和系统 MIB信息封装到一个 SNMP PDU报文中, 并通过 UDP传输方式发送给对应的管理站。
如前所述, 所述 SSH主机密钥的相关信息至少包括主机密钥信息, 此外, 还可以包括所述主机密钥信息的算法、 使用策略、 指印和 /或关联 名字。
步驟 203: 所述管理站根据被管设备反馈的 SNMP PDU报文获得被 管设备的 SSH主机密钥的相关信息和系统 MIB信息。
在该步骤中, 所述管理站首先利用第一 UDP传输模块通过 UDP传 输方式接收所述 SNMP PDU报文, 并通过自身第一 SNMP引擎对所述 SNMP PDU报文进行解封装处理, 以获得被管设备的密钥证书和系统 MIB信息, 并将所述信息保存到本地文件或数据库中。
经过上述步骤后, 管理站首先使用所述获得的被管设备的密钥证书 中的 SSH主机密钥的相关信息对被管设备的 SSH服务器进行身份验证,
当验证通过后, 建立 SSH传输连接。 然后再通过 SSH协议传输 SNMP 报文, 并通过所述 SNMP报文管理被管设备。
由上述本发明的优选实施方案可以看出,本发明通过 UDP传输方式 获得被管设备的主机密钥, 从而能够以很小的传输、 处理和管理代价实 现主机密钥分发。 相对于传统的主机密钥分发方法, 如 FTP传输主机密 钥文件、 手工配置密钥文件或磁盘传输等而言, 本发明的实施成本几乎 是零, 并且本发明降低了人为错误的可能。
以上所述, 仅为本发明较佳的具体实施方式, 但本发明的保护范围 并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内, 可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护范围应该以权利要求的保护范围为准。
Claims (18)
- 权利要求书1、 一种获得被管设备的安全外壳程序 SSH主机密钥的方法, 其特 征在于, 包括:在进行被管设备发现的过程中,管理站通过数据报协议 UDP传输方 式获得被管设备 SSH主机密钥的相关信息。
- 2、 根据权利要求 1所述的方法, 其特征在于, 所述获得 SSH主机 密钥信息的步骤包括:管理站通过 UDP传输方式发送发现请求报文给被管设备,并在所述 发现请求报文中指出需要获得的被管设备的 SSH主机密钥的相关信息 和系统管理信息库 MIB信息;所述被管设备接收到所述发现请求报文后,通过 UDP传输方式将自 身 SSH主机密钥的相关信息和系统 MIB信息发送给所述管理站。
- 3、根据权利要求 2所述的方法, 其特征在于, 所述发送发现请求报 文的步骤包括:获得被管设备标识;根据所述获得的被管设备标识,通过 UDP传输方式发送发现请求报 文给所述被管设备标识对应的被管设备。
- 4、 才艮据权利要求 2所述的方法, 其特征在于, 所述将自身 SSH主 机密钥的相关信息和系统 MIB信息发送给所述管理站的步骤包括: 通过简单网管协议 SNMP将自身 SSH主机密钥的相关信息和系统 MIB信息封装到 SNMP协议数据单元 PDU报文中;
- 5、 根据权利要求 4所述的方法, 其特征在于, 所述将自身 SSH主 机密钥的相关信息和系统 MIB信息封装到 SNMP PDU报文中的步驟包 括:对接收到的发现请求报文进行解封装处理, 然后将其中指出需要获 得被管设备的 SSH主机密钥的相关信息和系统 MIB信息的内容重新封 装为 PDU报文;对所述 PDU报文进行解封装处理,获知管理站需要获得被管设备的 SSH主机密钥相关信息和系统 B信息, 然后通过 SNMP将被管设备 的 SSH主机密钥的相关信息和系统 MIB信息封装到 SNMP PDU报文中。
- 6、 根据权利要求 4所述的方法, 其特征在于, 所述将自身 SSH主 机密钥的相关信息和系统 MIB信息封装到 SNMP PDU报文中的步骤包 括:对接收到的发现请求报文进行解封装处理, 然后将其中指出需要获 得被管设备的 SSH主机密钥的相关信息和系统 MIB信息的内容重新封 装为 PDU报文;对所述 PDU报文进行解封装处理,获知管理站需要获得被管设备的 SSH主机密钥相关信息和系统 MIB信息, 然后将被管设备的 SSH主机 密钥的相关信息设置在密钥证书中,再通过 SNMP将所述密钥证书和被 管设备的系统 MIB信息封装到 SNMP PDU报文中。
- 7、根据权利要求 4所述的方法, 其特征在于, 所述获得被管设备的 SSH主机密钥的相关信息和系统 MIB信息的步骤包括:通过 UDP传输方式接收所述 SNMP PDU^艮文,并对所述 SNMP PDU 4艮文进行解封装处理,获得被管设备的 SSH主机密钥的相关信息和系统 MIB信息。
- 8、根据权利要求 1所述的方法,其特征在于,所述方法进一步包括: 在获得被管设备的 SSH主机密钥的相关信息和系统 MIB信息后, 将所述被管设备的 SSH主机密钥的相关信息和系统 MIB信息保存到本 地文件或数据库中。
- 9、根据权利要求 1所述的方法,其特征在于,所述方法进一步包括: 管理站使用所述获得的 SSH主机密钥的相关信息对被管设备的SSH服务器进行身份验证, 当验证通过后, 与所述被管理设备建立 SSH 传输连接;管理站通过 SSH.协议传输 SNMP报文, 并通过所述 SNMP报文管 理所述被管设备。
- 10、 根据权利要求 1所述的方法, 其特征在于, 所述 SSH主机密钥 的相关信息包括: SSH主机密钥信息。
- 11、 根据权利要求 10所述的方法, 其特征在于, 所述 SSH主机密 钥的相关信息进一步包括: 所述 SSH主机密钥信息的算法、 使用策略、 指印和 /或关联名字。
- 12、 一种获得被管设备的安全外壳程序 SSH主机密钥的系统, 其特 征在于, 所述系统包括: 管理站和被管设备, 其中,所述管理站在进行被管设备发现的过程中, 通过数据报协议 UDP 传输方式获得被管设备的 SSH主机密钥的相关信息。
- 13、 根据权利要求 12所述的系统, 其特征在于, 所述管理站包括: 第一 UDP传输模块、 第一管理模块; 其中,所述第一管理模块一方面通过调用所述第一 UDP传输模块将发现 请求报文传送给被管设备, 并在所述发现请求报文中指出需要获得 SSH 主机密钥模块和系统 MIB模块的信息; 另一方面根据被管设备反馈的 UDP报文获得被管设备的 SSH主机密钥的相关信息和系统 MIB信息。
- 14、根据权利要求 13所述的系统, 其特征在于, 所述第一管理模块 包括: 第一 SNMP引擎模块和管理功能模块; 其中,所述第一 SNMP引擎模块用于生成发现请求报文, 并将生成的发现 请求报文发送到所述管理功能模块; 所述管理功能模块用于调用所述第 一 UDP传输模块将所述发现请求报文发送到被管设备; 以及,所述管理功能模块用于接收由被管设备反馈的封装有被管设备的 SSH主机密钥的相关信息和系统 MIB信息的简单网管协议 SNMP协议 数据单元 PDU报文, 并将所述 SNMP PDU报文发送给所述第一 SNMP 引擎模块; 所述 SNMP引擎模块用于解析所述 SNMP PDU报文, 获得 被管设备的 SSH主机密钥的相关信息和系统 MIB信息。
- 15、 根据权利要求 13或 14所述的系统, 其特征在于, 所述管理站 进一步包括: 第一 SSH传输模块, 其中,所述第一 SSH传输模块被所述管理功能模块调用,用于根据所述获 得的主机密钥的相关信息对所述被管设备的 SSH服务器进行身份验证, 并当验证通过后, 与被管设备建立 SSH连接, 并通过 SSH传输使用 SNMP对被管设备进行相应的 SSH管理。
- 16、根据权利要求 12所述的系统,其特征在于:所述被管设备包括: 第二 UDP传输模块以及第二管理模块; 其中,所述第二 UDP传输模块用于接收所述管理站发送的请求发现报文, 并对所述请求发现报文进行解封装处理后, 将其中指出需要获得系统 MIB模块和 SSH主机密钥模块的信息的内容发送给所述第二管理模块; 所述第二管理模块用于根据管理站需要获得系统 MIB模块和 SSH 主机密钥模块的信息的内容, 将自身保存的主机密钥的相关信息和系统 MIB信息通过调用所述第二 UDP传输模块发送给所述管理站。
- 17、根据权利要求 16所述的系统, 其特征在于, 所述第二管理设备 包括: 第二 SNMP引擎模块以及用于保存系统 MIB信息和主机密钥的 相关信息的 MIB模块; 其中,所述第二 SNMP引擎模块用于根据管理站需要获得系统 MIB模块 和 SSH主机密钥模块的信息的内容, 将保存在 MIB模块中的系统 MIB 信息和主机密钥的相关信息封装到新的 SNMP PDU报文中,再通过调用 第二 UDP传输模块将封装好的 S MP PDU报文发送给所述管理站。
- 18、 根据权利要求 16或 17所述的系统, 其特征在于, 所述被管设 备进一步包括:第二 SSH传输模块, 用于与管理站建立 SSH连接, 并通过 SSH传 输与所述管理站进行信息交互。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510112548.6 | 2005-10-10 | ||
| CN2005101125486A CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| PCT/CN2006/001983 WO2007041918A1 (fr) | 2005-10-10 | 2006-08-07 | Méthode et système d’obtention de clé hôte ssh de dispositif géré |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101160773A true CN101160773A (zh) | 2008-04-09 |
Family
ID=37912117
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101125486A Expired - Fee Related CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| CNA2006800122958A Pending CN101160773A (zh) | 2005-10-10 | 2006-08-07 | 获得被管设备安全外壳程序主机密钥的方法和系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101125486A Expired - Fee Related CN1949765B (zh) | 2005-10-10 | 2005-10-10 | 获得被管设备的ssh主机公开密钥的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7792939B2 (zh) |
| EP (1) | EP1926245B1 (zh) |
| CN (2) | CN1949765B (zh) |
| WO (1) | WO2007041918A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528919A (zh) * | 2017-09-25 | 2017-12-29 | 江苏英索纳智能科技有限公司 | 一种局域网设备发现和驱动程序自动安装的方法及装置 |
| CN114489850A (zh) * | 2022-01-20 | 2022-05-13 | 中广核工程有限公司 | 一种设计软件的调用方法、装置、计算机设备及存储介质 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105977A1 (en) * | 2001-12-05 | 2003-06-05 | International Business Machines Corporation | Offload processing for secure data transfer |
| US20030105952A1 (en) * | 2001-12-05 | 2003-06-05 | International Business Machines Corporation | Offload processing for security session establishment and control |
| CN1949765B (zh) | 2005-10-10 | 2010-10-13 | 华为技术有限公司 | 获得被管设备的ssh主机公开密钥的方法和系统 |
| US8195944B2 (en) * | 2007-01-04 | 2012-06-05 | Motorola Solutions, Inc. | Automated method for securely establishing simple network management protocol version 3 (SNMPv3) authentication and privacy keys |
| US8769129B2 (en) * | 2007-11-14 | 2014-07-01 | Juniper Networks, Inc. | Server initiated secure network connection |
| US8335916B2 (en) * | 2008-01-29 | 2012-12-18 | International Business Machines Corporation | Secure request handling using a kernel level cache |
| US8391495B2 (en) * | 2008-05-08 | 2013-03-05 | International Business Machines Corporation | Secure shell used to open a user's encrypted file system keystore |
| US8095800B2 (en) * | 2008-11-20 | 2012-01-10 | General Dynamics C4 System, Inc. | Secure configuration of programmable logic device |
| CN102231742B (zh) * | 2011-06-27 | 2014-10-29 | 中国建设银行股份有限公司 | 基于sftp协议的文件上传与下载方法、系统及相关设备 |
| US9363080B2 (en) | 2011-07-08 | 2016-06-07 | Venafi, Inc. | System for managing cryptographic keys and trust relationships in a secure shell (SSH) environment |
| US9071544B2 (en) * | 2011-07-28 | 2015-06-30 | Qlogic, Corporation | Method and system for managing network elements |
| US10003458B2 (en) * | 2011-12-21 | 2018-06-19 | Ssh Communications Security Corp. | User key management for the secure shell (SSH) |
| WO2013093209A1 (en) | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| CN102857507B (zh) * | 2012-09-10 | 2016-05-11 | 福建伊时代信息科技股份有限公司 | samba磁盘映射方法及samba磁盘映射系统 |
| EP2824888B1 (en) | 2013-07-08 | 2020-04-01 | SSH Communications Security Oyj | Trust relationships in a computerized system |
| US9722987B2 (en) | 2015-03-13 | 2017-08-01 | Ssh Communications Security Oyj | Access relationships in a computer system |
| CN106027562B (zh) * | 2016-07-08 | 2019-08-13 | 中国银联股份有限公司 | 一种文件网络映射方法及装置 |
| US10567360B2 (en) * | 2017-06-29 | 2020-02-18 | Vmware, Inc. | SSH key validation in a hyper-converged computing environment |
| CN110708299A (zh) * | 2019-09-23 | 2020-01-17 | 广州海颐信息安全技术有限公司 | 特权集中管理并实现动态主机互信认证的方法及装置 |
| CN113067834A (zh) * | 2021-04-09 | 2021-07-02 | 上海新炬网络信息技术股份有限公司 | 基于Web浏览器远程控制服务器的方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6259700B1 (en) * | 1997-06-30 | 2001-07-10 | Sterling Commerce, Inc. | Electronic commerce distributed network and method |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| ITTO20010813A1 (it) * | 2001-08-13 | 2003-02-13 | Telecom Italia Lab Spa | Procedimento per il trasferimento di messaggi tramite udp, relativo sistema e prodotto informatico. |
| US8214884B2 (en) * | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
| CN1556490A (zh) * | 2004-01-08 | 2004-12-22 | 上海复旦光华信息科技股份有限公司 | 基于状态转换表的多源审计数据业务一致性判断方法 |
| CN100420196C (zh) * | 2004-03-05 | 2008-09-17 | 上海傲威通信技术有限公司 | 一种实现对nat内网络设备进行远程登录管理的方法 |
| CN1949765B (zh) | 2005-10-10 | 2010-10-13 | 华为技术有限公司 | 获得被管设备的ssh主机公开密钥的方法和系统 |
-
2005
- 2005-10-10 CN CN2005101125486A patent/CN1949765B/zh not_active Expired - Fee Related
-
2006
- 2006-08-07 EP EP06775301.2A patent/EP1926245B1/en not_active Not-in-force
- 2006-08-07 CN CNA2006800122958A patent/CN101160773A/zh active Pending
- 2006-08-07 WO PCT/CN2006/001983 patent/WO2007041918A1/zh active Application Filing
- 2006-09-18 US US11/522,592 patent/US7792939B2/en active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528919A (zh) * | 2017-09-25 | 2017-12-29 | 江苏英索纳智能科技有限公司 | 一种局域网设备发现和驱动程序自动安装的方法及装置 |
| CN114489850A (zh) * | 2022-01-20 | 2022-05-13 | 中广核工程有限公司 | 一种设计软件的调用方法、装置、计算机设备及存储介质 |
| CN114489850B (zh) * | 2022-01-20 | 2023-08-22 | 中广核工程有限公司 | 一种设计软件的调用方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007041918A1 (fr) | 2007-04-19 |
| CN1949765B (zh) | 2010-10-13 |
| EP1926245A1 (en) | 2008-05-28 |
| CN1949765A (zh) | 2007-04-18 |
| EP1926245B1 (en) | 2014-10-01 |
| EP1926245A4 (en) | 2009-07-22 |
| US7792939B2 (en) | 2010-09-07 |
| US20070083665A1 (en) | 2007-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160773A (zh) | 获得被管设备安全外壳程序主机密钥的方法和系统 | |
| CN111447276B (zh) | 一种具有密钥协商功能的加密续传方法 | |
| CN1756234B (zh) | 服务器、vpn客户装置、vpn系统 | |
| EP3633949B1 (en) | Method and system for performing ssl handshake | |
| CN102739689B (zh) | 一种用于云存储系统的文件数据传输装置和方法 | |
| CN110636052B (zh) | 用电数据传输系统 | |
| JP6936393B2 (ja) | パラメータ保護方法及びデバイス、並びに、システム | |
| JP7609361B2 (ja) | 通信方法、関連する装置及びシステム | |
| US20140189357A1 (en) | Encryption and authentication based network management method and apparatus | |
| CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN103139201B (zh) | 一种网络策略获取方法及数据中心交换机 | |
| CN105338020B (zh) | 一种业务访问方法及装置 | |
| CN100539537C (zh) | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 | |
| WO2025082030A1 (zh) | 数据传输方法、装置、存储介质及设备 | |
| CN118573483A (zh) | 一种网络安全的管理方法及相关设备 | |
| Woo et al. | SNP: An Interface for Secure Network Programming. | |
| US11659384B2 (en) | Data center 5G network encrypted multicast-based authority authentication method and system | |
| Marinov et al. | Performance Analysis of SNMP over SSH | |
| CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 | |
| CN116132983A (zh) | 接入认证方法、装置、终端及核心网 | |
| WO2022012355A1 (zh) | 安全通信方法、相关装置及系统 | |
| WO2017211162A1 (zh) | 一种纵向堆叠环境接口扩展设备自动连接方法和装置 | |
| CN119341733A (zh) | 量子设备发现方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080409 |