[发明专利]一种增强用户安全模型安全性的方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种增强用户安全模型安全性的方法 和装置。

背景技术

系统管理的权限管理是很重要的一项工作，各种管理接口和管理工具都使 用一系列的授权和鉴权措施来避免非法用户的登录。现在SNMP(Simple Network Management Protocol，简单网络管理协议)已成为广泛应用的一种网络 管理协议，SNMP有V1 V2c V3三个版本，V1和V2c版本在安全性上没有进 行很好的定义，V3版本增强了安全性的定义如用户管理、数据加密，但V3版 本定义的安全性还不是很完善，V3定义的基于用户的安全模型中在用户密码加 密部分有可能出现未授权用户登录的情况。

在SNMP协议V3版本的RFC2574中定义了基于用户的安全模型USM，其 中定义了对SNMP用户的密码使用MD5(Message-Digest Algorithm 5，信息-摘 要算法5)或SHA(Secure Hash Algorithm，安全散列算法)加密算法进行加密 的方法，该方法存在一个问题，有可能存在不同的原始密码经过加密后反而相 同的情况，就是非法用户可以使用与授权用户不一样的密码登陆实现了 RFC2574的SNMP服务器的情况。

因为，在RFC2574里对SNMP用户密码进行加密的方式是把用户的原始密 码进行扩展，扩展的方法是把原始密码进行重复多次，直到达到1048576字节 长度为止，例如原始密码是ab，则需要重复1048576÷2-1次ab，这样密码总长 度就达到1048576字节了，然后对这个1048576字节长度的密码进行MD5或 SHA等一系列的加密过程得出加密后的密码。这样的方法就存在当两个原始密 码本不相同，但是扩展到1048576字节长度后反而相同的情况，则后续无论再 怎么加密都不能保证安全性，再如用户A的原始密码是aaaa和另一原始密码a 在扩展后都是1048576个a，则不管用MD5还是用SHA加密，只要被加密的数 据是一样的，加密后的结果也必然是相同的，所以这时如果有非法人员AA知 道用户A的用户名，然后尝试使用密码a通过SNMP客户端尝试登录，这时因 为SNMP服务器端严格按照RFC2574的用户密码加密方法来对用户进行校验， 则结果是校验通过，导致人员AA通过SNMP管理接口使用非授权的密码非法 进入了系统。

用户一般情况下认为密码设置的越长一些就越安全，所以多数SNMP服务 器系统只限制用户配置的密码必须达到一定长度或使用字母数字混合的密码来 加强安全性，因为SNMPV3在RFC2574中定义的用户安全模型存在这样的漏洞， 将会导致即使用户设计的密码很长很复杂，但是如果此密码是由一个比它本身 短的字节串重复两遍或两遍以上组成的，就可能被非法人员使用这个短的字节 串作为密码登录SNMP服务器。

发明内容

本发明提供一种增强用户安全模型安全性的方法和装置，用以解决现有技 术中SNMPv3在RFC2574中定义的用户安全模型存在漏洞从而影响安全性的问 题。

具体的，本发明提供一种增强用户安全模型安全性的方法，包括：

简单网络管理协议SNMP服务器获取到多字节的用户原始密码后，检测所 述原始密码是否由特定字节串经多次循环后构成，若是，则提示用户重新配置 密码。

其中，当所述SNMP服务器在获取到单字节的用户原始密码时，直接判定 密码验证不通过，提示用户重新配置密码。

上述SNMP服务器通过配置管理接口获取用户原始密码，所述用户原始密 码配置在SNMP服务器中。

本发明所提供的方法进一步具有以下特点：

所述SNMP服务器获取到多字节的用户原始密码后，检测所述原始密码是 否由特定字节串经多次循环后构成，若不是由特定字节串经多次循环后构成， 则基于用户的安全模型USM接收所述原始密码后，基于所述原始密码完成用户 的密码加密和用户权限管理。