技術領域

本發明涉及通信技術領域，尤其涉及一種增強用戶安全模型安全性的方法 和裝置。

背景技術

系統管理的權限管理是很重要的一項工作，各種管理接口和管理工具都使 用一系列的授權和鑒權措施來避免非法用戶的登錄。現在SNMP(Simple Network?Management?Protocol，簡單網絡管理協議)已成為廣泛應用的一種網絡 管理協議，SNMP有V1?V2c?V3三個版本，V1和V2c版本在安全性上沒有進 行很好的定義，V3版本增強了安全性的定義如用戶管理、數據加密，但V3版 本定義的安全性還不是很完善，V3定義的基于用戶的安全模型中在用戶密碼加 密部分有可能出現未授權用戶登錄的情況。

在SNMP協議V3版本的RFC2574中定義了基于用戶的安全模型USM，其 中定義了對SNMP用戶的密碼使用MD5(Message-Digest?Algorithm?5，信息-摘 要算法5)或SHA(Secure?Hash?Algorithm，安全散列算法)加密算法進行加密 的方法，該方法存在一個問題，有可能存在不同的原始密碼經過加密后反而相 同的情況，就是非法用戶可以使用與授權用戶不一樣的密碼登陸實現了 RFC2574的SNMP服務器的情況。

因為，在RFC2574里對SNMP用戶密碼進行加密的方式是把用戶的原始密 碼進行擴展，擴展的方法是把原始密碼進行重復多次，直到達到1048576字節 長度為止，例如原始密碼是ab，則需要重復1048576÷2-1次ab，這樣密碼總長 度就達到1048576字節了，然后對這個1048576字節長度的密碼進行MD5或 SHA等一系列的加密過程得出加密后的密碼。這樣的方法就存在當兩個原始密 碼本不相同，但是擴展到1048576字節長度后反而相同的情況，則后續無論再 怎么加密都不能保證安全性，再如用戶A的原始密碼是aaaa和另一原始密碼a 在擴展后都是1048576個a，則不管用MD5還是用SHA加密，只要被加密的數 據是一樣的，加密后的結果也必然是相同的，所以這時如果有非法人員AA知 道用戶A的用戶名，然后嘗試使用密碼a通過SNMP客戶端嘗試登錄，這時因 為SNMP服務器端嚴格按照RFC2574的用戶密碼加密方法來對用戶進行校驗， 則結果是校驗通過，導致人員AA通過SNMP管理接口使用非授權的密碼非法 進入了系統。

用戶一般情況下認為密碼設置的越長一些就越安全，所以多數SNMP服務 器系統只限制用戶配置的密碼必須達到一定長度或使用字母數字混合的密碼來 加強安全性，因為SNMPV3在RFC2574中定義的用戶安全模型存在這樣的漏洞， 將會導致即使用戶設計的密碼很長很復雜，但是如果此密碼是由一個比它本身 短的字節串重復兩遍或兩遍以上組成的，就可能被非法人員使用這個短的字節 串作為密碼登錄SNMP服務器。

發明內容

本發明提供一種增強用戶安全模型安全性的方法和裝置，用以解決現有技 術中SNMPv3在RFC2574中定義的用戶安全模型存在漏洞從而影響安全性的問 題。

具體的，本發明提供一種增強用戶安全模型安全性的方法，包括：

簡單網絡管理協議SNMP服務器獲取到多字節的用戶原始密碼后，檢測所 述原始密碼是否由特定字節串經多次循環后構成，若是，則提示用戶重新配置 密碼。

其中，當所述SNMP服務器在獲取到單字節的用戶原始密碼時，直接判定 密碼驗證不通過，提示用戶重新配置密碼。

上述SNMP服務器通過配置管理接口獲取用戶原始密碼，所述用戶原始密 碼配置在SNMP服務器中。

本發明所提供的方法進一步具有以下特點：

所述SNMP服務器獲取到多字節的用戶原始密碼后，檢測所述原始密碼是 否由特定字節串經多次循環后構成，若不是由特定字節串經多次循環后構成， 則基于用戶的安全模型USM接收所述原始密碼后，基于所述原始密碼完成用戶 的密碼加密和用戶權限管理。