網(wǎng)絡系統(tǒng)安全接入認證方法探究

圖7: 在遠程升級之前和之后執(zhí)行散列認證，確認目標設備已經(jīng)過授權，完成升級過程。

應用實例

以下給出了實際系統(tǒng)中基于SHA-1的安全器件的工作原理(圖8)。圖中利用DS28CN01認證令牌實現(xiàn)雙向認證，通過I2C接口與主機通信。這種情況下，主處理器為網(wǎng)絡控制器，與基站進行數(shù)據(jù)通信，基站與連接到DS28CN01的微處理器進行通信。微處理器產(chǎn)生部分隨機質詢碼，主機提供另一部分隨機碼，從而完成主機令牌認證。該技術可以避免主機產(chǎn)生質詢-響應對而對其他系統(tǒng)造成混淆。

圖8: 雙向認證不需要安全網(wǎng)絡連接

基站認證 主機創(chuàng)建7字節(jié)隨機質詢碼和所要求的頁碼，將其發(fā)送給基站#1的微處理器。基站#1的微處理器通過I2C接口與DS28CN01通信，轉發(fā)隨機質詢碼并在所選擇的頁面計算頁MAC。計算頁MAC將利用頁數(shù)據(jù)、唯一的ROM ID和密鑰進行SHA-1運算?；?1微處理器從DS28CN01重新得到MAC、頁數(shù)據(jù)和唯一的ROM ID，并將它們通過非安全鏈路轉發(fā)給主機。主機進行相同的SHA-1計算，驗證基站#1返回的MAC是否正確。如果不匹配，主機將拒絕基站#1的網(wǎng)絡接入。

主機認證 首先執(zhí)行基站認證過程，基站#1的微處理器產(chǎn)生3字節(jié)質詢碼并將其通過非安全通信鏈路發(fā)送給主機；主機產(chǎn)生4字節(jié)質詢，與基站的3字節(jié)質詢碼相組合，產(chǎn)生7字節(jié)質詢碼。這個7字節(jié)數(shù)據(jù)和基站認證中的頁數(shù)據(jù)、ROM ID一起進行SHA-1運算，產(chǎn)生頁MAC。該MAC和主機產(chǎn)生的4字節(jié)質詢碼隨后送回基站#1的微處理器。

基站#1微處理器提取附加的4字節(jié)質詢碼，結合它發(fā)送給主機的3字節(jié)質詢，得到一個7字節(jié)質詢碼，利用原先基站認證中的頁面，在DS28CN01中計算頁MAC。隨后，將其與主機發(fā)送的MAC結果進行比較。如果不匹配，基站將屏蔽主機的功能選項。