網絡系統安全接入認證方法探究

圖7: 在遠程升級之前和之后執行散列認證，確認目標設備已經過授權，完成升級過程。

應用實例

以下給出了實際系統中基于SHA-1的安全器件的工作原理(圖8)。圖中利用DS28CN01認證令牌實現雙向認證，通過I2C接口與主機通信。這種情況下，主處理器為網絡控制器，與基站進行數據通信，基站與連接到DS28CN01的微處理器進行通信。微處理器產生部分隨機質詢碼，主機提供另一部分隨機碼，從而完成主機令牌認證。該技術可以避免主機產生質詢-響應對而對其他系統造成混淆。

圖8: 雙向認證不需要安全網絡連接

基站認證 主機創建7字節隨機質詢碼和所要求的頁碼，將其發送給基站#1的微處理器。基站#1的微處理器通過I2C接口與DS28CN01通信，轉發隨機質詢碼并在所選擇的頁面計算頁MAC。計算頁MAC將利用頁數據、唯一的ROM ID和密鑰進行SHA-1運算?；?1微處理器從DS28CN01重新得到MAC、頁數據和唯一的ROM ID，并將它們通過非安全鏈路轉發給主機。主機進行相同的SHA-1計算，驗證基站#1返回的MAC是否正確。如果不匹配，主機將拒絕基站#1的網絡接入。

主機認證 首先執行基站認證過程，基站#1的微處理器產生3字節質詢碼并將其通過非安全通信鏈路發送給主機；主機產生4字節質詢，與基站的3字節質詢碼相組合，產生7字節質詢碼。這個7字節數據和基站認證中的頁數據、ROM ID一起進行SHA-1運算，產生頁MAC。該MAC和主機產生的4字節質詢碼隨后送回基站#1的微處理器。

基站#1微處理器提取附加的4字節質詢碼，結合它發送給主機的3字節質詢，得到一個7字節質詢碼，利用原先基站認證中的頁面，在DS28CN01中計算頁MAC。隨后，將其與主機發送的MAC結果進行比較。如果不匹配，基站將屏蔽主機的功能選項。