网络系统安全接入认证方法探究

图7: 在远程升级之前和之后执行散列认证，确认目标设备已经过授权，完成升级过程。

应用实例

以下给出了实际系统中基于SHA-1的安全器件的工作原理(图8)。图中利用DS28CN01认证令牌实现双向认证，通过I2C接口与主机通信。这种情况下，主处理器为网络控制器，与基站进行数据通信，基站与连接到DS28CN01的微处理器进行通信。微处理器产生部分随机质询码，主机提供另一部分随机码，从而完成主机令牌认证。该技术可以避免主机产生质询-响应对而对其他系统造成混淆。

图8: 双向认证不需要安全网络连接

基站认证 主机创建7字节随机质询码和所要求的页码，将其发送给基站#1的微处理器。基站#1的微处理器通过I2C接口与DS28CN01通信，转发随机质询码并在所选择的页面计算页MAC。计算页MAC将利用页数据、唯一的ROM ID和密钥进行SHA-1运算。基站#1微处理器从DS28CN01重新得到MAC、页数据和唯一的ROM ID，并将它们通过非安全链路转发给主机。主机进行相同的SHA-1计算，验证基站#1返回的MAC是否正确。如果不匹配，主机将拒绝基站#1的网络接入。

主机认证 首先执行基站认证过程，基站#1的微处理器产生3字节质询码并将其通过非安全通信链路发送给主机；主机产生4字节质询，与基站的3字节质询码相组合，产生7字节质询码。这个7字节数据和基站认证中的页数据、ROM ID一起进行SHA-1运算，产生页MAC。该MAC和主机产生的4字节质询码随后送回基站#1的微处理器。

基站#1微处理器提取附加的4字节质询码，结合它发送给主机的3字节质询，得到一个7字节质询码，利用原先基站认证中的页面，在DS28CN01中计算页MAC。随后，将其与主机发送的MAC结果进行比较。如果不匹配，基站将屏蔽主机的功能选项。