专利名称:网络设备组网中的对称认证方法和组网方法
技术领域:
本发明涉及计算机网络通信领域中的安全认证方法,尤其涉及一种网络设备组网中,如何能够支持动态、安全的对称认证方法和相应的组网方法。
背景技术:
由于Internet组网中,对网络设备(路由器或三层交换机,后面为说明上的简洁,均以路由器为例进行说明)运行各项协议的安全性的要求不断提高,主要目的是防止未经授权的路由器接入Internet,由于其错误配置或恶意配置而影响网络中原有各路由器,造成路由计算错误,隧道失密,网络拓扑振荡等一系列严重问题。目前各厂商的路由器中大量的协议模块(如RIP,OSPF,BGP,L2TP,ipsec,isis,ldp等)都采用了端到端的对称认证的方法,在交换协议报文前,提前认证发送报文方的身份,如果对方的身份验证不通过,则直接放弃与未授权对端路由器的协议交互,避免引入错误或遭到报文攻击。
虽然这种端到端的对称MD5对称认证方法,保证了网络中运行的路由器的邻居路由器都是经过授权的路由器,但是随着这种认证方法的广泛应用,逐渐表现出其一些固有的缺陷(1)目前各厂家的配置协议端到端对称认证的过程是非常繁琐的,需要在各协议的每对邻接协议链路之间都建立并维护一套对称的密钥,当路由器的各协议各对端配置比较多时,每台路由器会有几十个不同的密钥需要维护。一旦需要修改网络中各路由器的安全密码设置时,任务量非常巨大,而且容易出错。
(2)两端路由器的协议模块输入对称密码后,这个密码就是固定的了,除了手工改动外,不会再自动改变,造成安全隐患。
(3)由于密码由网管手工配置,为了方便记忆和管理,一般只会将有意义的字符串作为密码,安全性很差,无法自动生成随机密钥。
如图1所示为现有各厂商端到端对称认证配置示意图,当两台路由器(图中R1、R2)间启动多个支持端到端对称认证的协议时,在两端都会保存对应数目的密码,这些密码是静态配置的,无法定期更新,从对称密码的特点来看,长期保持密码不变很容易被破解,是非常危险的。所以需要网管人员定期的更新各协议的密码,以保证授权路由器的认证安全。但由于这些密码一般配置在每个协议的自身二级命令中,需要改变路由器的各协议密码配置时,需要频繁的进入各协议二级命令进行配置,非常容易出现配置错误或疏漏。对网络维护工作带来很大的负担。
运营商组网中通常一个路由器是有多个对端的,这里假设有n个对端路由器,而按图1的配置假设每台路由器上都配置了常用的ipsec,ldp,ospf,bgp,以及m个12tp隧道。每台路由器上就要保存n×(4+m)个密码,如上所述,端到端的对称认证需要网管定期的更新以防止失密,当网络拓扑较大时(通常有几十台到上百台路由器),密码修改时所带来的工作量是非常巨大的。
中国专利申请CN1450766,公开了一种基于动态主机配置协议的用户管理方法,包括下列步骤①客户端发出DHCP请求;②DHCP服务器响应客户端请求,建立用户控制信息,限制用户访问能力;③用户进行认证,并将认证结果返回给DHCP服务器;④DHCP服务器根据认证结果更新用户控制信息,并将新的网络配置发给客户端;⑤用户正常上网,DHCP服务器处理用户的其它DHCP信息。该方法解决了用户使用DHCP接入时对用户管理的较弱的问题,可以选择多种认证方式,扩展方便,减轻网络维护负担。但是仍然需要网管定期的更新密码以防止失密,当网络拓扑较大时,密码修改时所带来的工作量是非常巨大的。
发明内容
本发明的目的,是为了减轻这种组网中端到端对称认证的配置和维护的工作量,并使路由器自身可以定期自动的更新为新的随机密码,而不再是现原来固定不变的密码,提供了一种实用组网中安全、动态对称认证的完善的解决方法。使现今运营商网络拓扑和配置日益复杂,实施安全技术后难以维护的状况,逐步向网络设备可以自动、安全的维护的方向发展。
本发明是基于kerberos的安全特性基础上,提出了适合于路由器之间的对等Kerberos实体的动态、安全对称认证的解决方法,大大减少了本技术领域目前维护路由器间,更新各协议端到端认证密码所带来的巨大工作量,同时实现了动态更新认证密钥的安全特性,大大增强了授权路由器组网的安全性,并使得路由器间对称认证具备自动安全维护的良好功能。
本发明基于由马萨诸塞理工学院(MIT)开发的kerberos秘密密钥网络认证协议作为安全基础,使用数据加密标准(DES)加密算法进行加密和认证。Kerberos是为对网络资源的请求进行认证而设计的,与其它秘密密钥系统一样,Kerberos基于可信任的第三方概念,这个第三方对用户和服务执行安全认证。在Kerberos协议中,这一可信任的第三方被称为密钥分发中心(KDC,Key Distribution Center)。Kerberos协议经过十几年的广泛应用被证明是非常安全的,被微软,HP,IBM,CISCO,SUN等多家厂商支持。而且非常易于实施,但一直主要用于主机和应用服务之间的客户端/服务器端模式下的安全保障。
本发明的安全密码获取的方法基于kerberos基础上,提出了适合于路由器之间动态、安全认证的,对等Kerberos实体对称认证方法,在本发明中,将整个路由器看作是一个Kerberos客户端实体,为路由器设置自身的用户名和密码,通过KDC就可以完成与其他路由器安全交互和随机共享密码的动态获取。同时,通过路由器定期的与KDC及邻接路由器进行kerberos交互,获取随机密钥,很好的实现了在路由器之间动态更新对称认证密钥的安全特性。
本发明的技术方法主要原理为(1)在路由器端按照kerberos协议配置kerberos客户端模块。
(2)启动所有路由器的kerberos模块,由kerberos模块通过与KDC和对应路由器标识的邻接路由器进行连接并进行kerberos协议交互,使双方获得KDC分配的随机共享密钥。各协议可以根据对端路由器的不同而在命令行上配置不同的路由器间随机共享密钥。
(3)如果需要路由器支持动态的定期更新认证密码,可以配置kerberos定时器,当定时器超时的时候,将自动重新通过与KDC和对应路由器标识的邻接路由器连接并进行kerberos协议交互,使双方获得新的随机共享密钥。从而保证密钥的定期更新和网络安全。
下面结合附图对本发明进一步详细地说明图1是现有各厂商端到端对称认证配置示意图;图2是kerberos安全网络模型;图3是应用kerberos对等模型后的路由器安全组网模型;图4是网络设备组网中对称认证的配置方法的和处理流程示意图。
最佳实施例详细描述下面参照本发明的附图,更详细的描述出本发明的最佳实施例。
图2所示为Kerberos安全网络模型,Kerberos是为对网络资源的请求进行认证而设计的,与其它秘密密钥系统一样,Kerberos基于可信任的第三方对用户和服务执行安全认证。如图2所示,这一可信任的第三方即为密钥分发中心4,Kerberos使用数据加密标准(DES)加密算法进行加密和认证。Kerberos有两个较大的特点(1)Kerberos使得每个应用Kerberos的客户端实体3只需知道自身的用户名和密码,而无需知道在各个应用服务器S1,S2 S3上的用户名和密码,就可以完成与各个服务器的安全交互。(2)虽然使用对称密码机制,但密码从不会在网络中传输,通过一套完善的消息交互机制保证了系统的安全。
应用服务器S1,S2,S3与KDC之间是没有协议报文交互的。整个网络都是基于客户端/服务器端模型,由客户端3来主动发起各项请求。图中的 代表一次或多次协议报文交互。
图3所示为应用kerberos对等模型后的路由器安全组网模型,在本发明中,将每个路由器R1,R2,R3看作是一个Kerberos客户端实体,根据前面提到的kerberos两大特点,只需为路由器设置自身的用户名和密码,通过密钥分发中心4就可以完成与其他路由器安全交互和随机共享密码的动态获取。同时,通过路由器定期的与密钥分发中心4及邻接路由器进行kerberos交互,获取随机密钥,很好的实现了在路由器之间动态更新对称认证密钥的安全特性。
本发明不同于原来的以每个连接为一个对等实体的观点,把每个路由器为一个对等实体,通过kerberos获得路由器之间的安全密钥,所有路由器相关的协议都使用kerberos获得的,与同一邻接路由器交互的安全随机密钥,极大的减少了维护更新各协议端到端密码所带来的巨大工作量,只需触发路由器通过Kerberos获取各全局随机对称密钥,同时实现了动态更新认证密钥的安全特性,大大增强了授权路由器组网的安全性。使得网络设备认证具备自动安全维护的良好功能。
图4为网络设备组网中对称认证的配置方法的和处理流程示意图,下面结合附图4介绍一下本发明的具体配置方法和工作过程(1)在路由器上配置全局kerberos用户名(可以是路由器标识)和密码(保证与KDC服务器数据库中存取的用户名和密码一致),作为路由器在网络中的唯一标识。
(2)在路由器上配置KDC的服务器地址,作为路由器上的kerberos模块访问KDC时使用的服务器地址。
(3)配置本路由器要使用kerberos协商共享随机密码的不同邻接路由器对端。如果有多个邻居路由器对端,可以按顺序配置标识和邻居路由器信息(邻接路由器的标识),如kerberos id 1 peer 1.1.1.1kerberos id 2 peer 10.1.1.3(4)根据本地需要,配置端到端对称认证密码的各路由模块,MPLS模块或VPN等模块配置,要建立端到端对称连接认证的邻居路由器的标识,标识的选择按路由器的唯一标识,如本地的ospf模块要在某个接口的网段上和路由器标识为10.1.1.3的邻接路由器建立连接并进行端到端的对称安全认证ip ospf authentication-key kerberos id 2(5)启动所有路由器的kerberos模块,由kerberos模块通过与KDC和对应路由器标识的邻接路由器进行连接并进行kerberos协议交互,使双方获得KDC分配的随机共享密钥。
(6)如果需要路由器支持动态的定期更新认证密码,可以配置kerberos定时器,定时器超时时,将自动重新通过与KDC和对应路由器标识的邻接路由器连接并进行kerberos协议交互,使双方获得新的随机共享密钥。从而保证密钥的定期更新和网络安全。本方法同时也支持网管人员手动触发本地路由器重新获取新的随机共享密钥。
由上面的流程可见,实施基于kerberos的安全、动态认证的解决方法后,网络维护管理人员的工作负担大大减轻,需要更改各协议的密码时,只需要通过触发kerberos模块重新获取随机共享密钥即可,各个需要密钥的模块由于配置了所需的kerberos标识,会自动获得改变后的密钥。同时由于支持动态定期认证,大大增强了授权路由器组网的安全性,使得网络设备认证具备自动安全维护的良好功能。
尽管为说明目的公开了本发明的最佳实施例和附图,但是本领域的技术人员可以理解在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于最佳实施例和附图所公开的内容。
权利要求
1.一种网络设备组网中的对称认证方法,其特征在于将整个路由器作为一个Kerberos客户端实体,为路由器设置自身的用户名和密码,具体包括以下步骤(1)在路由器端按照kerberos协议配置kerberos客户端模块;(2)启动所有路由器的kerberos模块,由kerberos模块通过与密钥分发中心和对应路由器标识的邻接路由器进行连接,并进行kerberos协议交互,使双方获得密钥分发中心分配的随机共享密钥。
2.根据权利要求1所述的网络设备组网中的对称认证方法,其特征在于如果需要路由器支持动态的定期更新认证密码,可以配置kerberos定时器,当定时器超时的时候,将自动重新通过与密钥分发中心和对应路由器标识的邻接路由器连接,并进行kerberos协议交互,使双方获得新的随机共享密钥。
3.根据权利要求1所述的网络设备组网中的对称认证方法,其特征在于在路由器上配置全局kerberos用户名和密码,作为路由器在网络中的唯一标识。
4.根据权利要求3所述的网络设备组网中的对称认证方法,其特征在于在路由器上配置密钥分发中心的服务器地址,作为路由器上的kerberos模块访问密钥分发中心时使用的服务器地址。
5.根据权利要求4所述的网络设备组网中的对称认证方法,其特征在于配置本路由器要使用kerberos协商共享随机密码的不同邻接路由器对端。
6.根据权利要求5所述的网络设备组网中的对称认证方法,其特征在于根据本地需要,配置端到端对称认证密码的各路由模块。
7.根据权利要求6所述的网络设备组网中的对称认证方法,其特征在于MPLS模块或VPN模块配置,要建立端到端对称连接认证的邻居路由器的标识,标识的选择按路由器的唯一标识路由器标识。
8.一种网络设备组网中使用对称认证的组网方法,其特征在于将整个路由器作为一个Kerberos客户端实体,为路由器设置自身的用户名和密码,具体包括以下步骤(1)在路由器端按照kerberos协议配置kerberos客户端模块;(2)启动所有路由器的kerberos模块,由kerberos模块通过与密钥分发中心和对应路由器标识的邻接路由器进行连接,并进行kerberos协议交互,使双方获得密钥分发中心分配的随机共享密钥。
9.根据权利要求8所述的网络设备组网中使用对称认证的组网方法,其特征在于如果需要路由器支持动态的定期更新认证密码,可以配置kerberos定时器,当定时器超时的时候,将自动重新通过与密钥分发中心和对应路由器标识的邻接路由器连接,并进行kerberos协议交互,使双方获得新的随机共享密钥。
全文摘要
本发明涉及一种网络路由设备组网中,动态、安全的对称认证方法和相应的组网方法。本发明的安全密码获取的方法基于kerberos基础上,提出了适合于路由器之间动态、安全认证的,对等Kerberos实体对称认证方法,在本发明中,将整个路由器看作是一个Kerberos客户端实体,为路由器设置自身的用户名和密码,通过KDC就可以完成与其他路由器安全交互和随机共享密码的动态获取。同时,通过路由器定期的与KDC及邻接路由器进行kerberos交互,获取随机密钥,很好的实现了在路由器之间动态更新对称认证密钥的安全特性,减轻了组网中端到端对称认证的配置和维护的工作量。
文档编号H04L12/28GK1599312SQ20041000938
公开日2005年3月23日 申请日期2004年7月28日 优先权日2004年7月28日
发明者王雷 申请人:港湾网络有限公司