Способ входа в систему

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Изобретение относится к способу входа в систему по меньшей мере в двух сетевых элементах в защищенной коммуникационной сети.

УРОВЕНЬ ТЕХНИКИ

Компьютерные сети обычно состоят из фактически неограниченного количества отдельных компьютеров и соединений между ними. Протоколы связи, используемые в межсистемной связи между компьютерами, не устанавливают никаких требований для диалоговых систем. Телекоммуникационная сеть является типичным примером компьютерных сетей.

Управление компьютерной сетью может выполняться с помощью отдельного управления сетевыми элементами или используя систему управления сетью, которая дает возможность сосредоточенного управления сетью; последний случай обеспечивает одновременные операции управления в нескольких сетевых элементах. Развитие систем управления сетью особенно выгодно в телекоммуникационных сетях, в которых количество отдельных сетевых элементов может быть очень большим, и сети быстро развиваются, но требования по надежности и обслуживанию сети не позволяют простоя сети.

Все более важной характеристикой компьютерных сетей является защита. Глобальные сети могут нанести глобальный вред при злонамеренном использовании. Таким образом, наиболее важно обеспечить максимальную защиту в компьютерных сетях, делая неавторизованный доступ к элементам сети настолько трудным, насколько это возможно. Эта задача решается, например, с помощью обеспечения защиты паролем пользовательского доступа, шифрования передаваемых и сохраняемых данных и разделения уровней авторизации пользователей в системах управления сетью.

Эффективная работа по управлению сетью в компьютерной сети часто требует одновременных сеансов управления в нескольких элементах сети. Чтобы запускать такие сеансы, пользователь должен войти в каждую из этих систем отдельно, возможно используя различные имена пользователя и пароли. Сетевая защита была бы значительно скомпрометирована, если та же самая пара имя пользователя/пароль могла бы использоваться в нескольких сетевых элементах Точно так же, если бы допустимые пары имя пользователя/пароль хранились бы в каком-нибудь одном месте, которое используется как центральный пункт для аутентификации всех пользователей в сети, то прорыв в этом сетевом элементе сделал бы всю сеть незащищенной.

В настоящее время пользователь, который хочет войти в систему в двух или более отдельных элементах сети, обычно должен использовать отдельную пару имя пользователя/пароль для каждого сетевого элемента. Однако это является сложным способом работы в коммуникационной сети, в которой желательно работать быстро и надежно.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Таким образом, задачей настоящего изобретения является создание способа и устройства для осуществления способа, позволяющего преодолеть вышеуказанную проблему. Данная задача изобретения достигается с помощью способа и устройства, которые характеризуются признаками, изложенными в независимых пунктах формулы изобретения. Предпочтительные варианты осуществления изобретения раскрыты в зависимых пунктах формулы изобретения.

Согласно изобретению, пользователь вводит первое имя пользователя и первый пароль, которые дают возможность пользовательской станции войти в первую систему. Затем первая система определяет второе имя пользователя и второй пароль совместно со второй системой и посылает их в пользовательскую станцию. Пользовательская станция входит во вторую систему со вторым именем пользователя и вторым паролем.

В предпочтительном варианте осуществления изобретения первая система определяет второе имя пользователя на основе первого имени пользователя, используя заданную информацию соответствия, генерирует второй пароль и согласует со второй системой через межсистемную связь ключ шифрования для второго пароля. Второй пароль шифруют с помощью заданного алгоритма с помощью данного ключа шифрования, передают во вторую систему и сохраняют временно во второй системе. Первая система посылает второе имя пользователя и второй пароль в пользовательскую станцию через первое соединение. Пользовательская станция посылает их во вторую систему через второе соединение. Вторая система шифрует принятый от пользовательской станции второй пароль с помощью ключа шифрования и заданного алгоритма. Пользователь входит во вторую систему, если зашифрованный принятый второй пароль совпадает с зашифрованным вторым паролем, сохраненным во второй системе.

Преимуществом способа и устройства данного изобретения является то, что пользователь не должен использовать две различные пары имя пользователя/пароль при входе в две различные системы. Одна пара имя пользователя/пароль обеспечивает доступ к одной системе, которая затем обеспечивает совместно со второй системой вторую пару имя пользователя/пароль для второй системы. Обработка, относящаяся к парам имя пользователя/пароль, выполняется автоматически после ввода первой пары от пользовательской станции в первую и вторую системы. Эта обработка прозрачна для пользователя и создает иллюзию, что выполняется только один вход в систему. Это облегчает процесс входа в систему. Если существует несколько систем, в которые надо войти, то одна пара имя пользователя/пароль обеспечивает доступ к одной системе, которая затем обеспечивает требуемое количество вторых пар имя пользователя/пароль для других систем вместе с другими системами.

Другое преимущество данного изобретения и его вариантов осуществления состоит в том, что оно улучшает использование коммуникационных систем, давая возможность пользователю использовать две различные системы, при том, что пользователь не знает, что он или она имеет различную идентификацию в этих системах.

Еще одно преимущество данного изобретения и его вариантов осуществления состоит в том, что оно улучшает защиту данных в процессе входа в систему.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Далее изобретение будет описано более подробно с помощью предпочтительных вариантов осуществления со ссылкой на прилагаемые чертежи, на которых

фиг.1 иллюстрирует полную функциональную конфигурацию изобретения; и

фиг.2 показывает диаграмму сигналов использования аутентификации в одном из вариантов осуществления изобретения.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

Фиг.1 иллюстрирует полную функциональную конфигурацию признаков изобретения. Данные признаки распределены на три блока. Этими тремя блоками являются рабочая станция WS, сетевой элемент DX коммуникационной сети и посреднический блок NEMU. Пользователь WS может быть, например, оператором сети, который хочет выполнить подключение и к NEMU и к DX для того, чтобы, например, изменить параметры настройки или управлять данными в DX. В реальной коммуникационной сети могут быть сотни сетевых элементов, таких, как элемент DX, который показан на фиг.1, которыми можно управлять подобным образом.

Средство сопряжения (интерфейс) с пользователем находится в рабочей станции WS, и часть аутентификации проходит через NEMU, в то время как последствия относятся к DX. Пользователь видит окно MMI (интерфейса человек-машина) в основном как одно из приложений ЕМ (управляющей программы элемента), которые доступны для запуска с WS.

Как показано на фиг.1, изобретение и его варианты осуществления могут также относиться к системе, которая обеспечивает два различных протокола подключения. Один из протоколов может базироваться на сетевом теледоступе (Telnet), как показано на фиг.1, или на протоколе HTTP (протоколе передачи гипертекстовых файлов) или протоколе FTP (протоколе передачи файлов), и другой протокол может основываться на коммуникационном протоколе, который основан на собственных сообщениях.

Чтобы соединиться с обеими системами согласно предшествующему состоянию уровня техники, пользователь должен знать имя пользователя и пароль к обеим системам и ввести правильную пару имя пользователя/пароль в зависимости от того, в какую из систем он или она входит. Альтернативно, система, которая выполняет первую аутентификацию, должна знать правильную пару имя пользователя/пароль для второй системы.

Фиг.2 показывает диаграмму сигналов, которая иллюстрирует аутентификацию в одном из вариантов осуществления изобретения, в котором пользователь только однажды задает одну пару имя пользователя/пароль.

На этапе 2-2 на фиг.2 пользователь WS посылает аутентификационную пару имя пользователя/пароль, например, GUSER/GPSSWD, в элемент NEMU, и элемент NEMU может ответить сигналом, указывающим, что он принял указанную пару.

Пользователь WS затем пытается открыть сеанс MMI в DX (этап 2-4). Система MMI пошлет подсказки "Введите имя пользователя" и "Введите пароль". Следовательно, вторая система DX отвечает на попытку входа запросом правильного MMI имени пользователя и некоторого пароля.

В ответ на запрос WS посылает сообщение, что имя пользователя еще нельзя послать, и процесс идентификации возвращается в WS. Процесс идентификации средства DX происходит через обычный процесс согласования Telnet с соответствующим расширением.

Рабочая станция затем просит от NEMU имя пользователя/пароль (MUSER/MPSSWD), который будет использоваться в сеансе MMI, используя процесс идентификации Telnet в качестве параметра (этап 2-6).

На этапе 2-10 NEMU ищет имя пользователя MUSER, соответствующее GUSER. Сравнение различных имен пользователей может обрабатываться блоком NEMU, который использует базу данных, содержащую, например, соответствие между информацией MUSER и информацией GUSER. На этом этапе может также генерироваться временный пароль, например, с помощью генератора случайных чисел.

На этапе 2-12 блок NEMU инициирует соединение с DX и запрашивает ключ шифрования от DX, DX затем генерирует ключ шифрования и посылает ключ шифрования NEMU. После этого на этапе 2-14 NEMU шифрует новый пароль MPSSWD, используя ключ шифрования, принятый от DX.

Результат шифрования затем посылают на этапе 2-16 соответствующему средству DX, идентифицированному указанным идентификатором, определенным на этапе 2-6. Средство DX принимает результат шифрования и сохраняет его до тех пор, когда сравнение может быть сделано между этими двумя паролями. Исходную строку текста MUSER/MPSSWD посылают через Telnet, как будет описано ниже. На этапе 2-16 указанный элемент DX также отвечает указанному элементу NEMU сигналом, указывающим, что он принял результат шифрования.

В процессе аутентификации через WS в DX NEMU посылает в WS на этапе 2-18 имя пользователя и соответствующий временный пароль MUSER/MPSSWD. На этапе 2-20 WS отвечает на самый первый запрос DX MMI имени пользователя, посылая средству DX аутентификационную пару MUSER/MPSSWD.

На этапе 2-22 средство DX обычным образом шифрует принятый MPSSWD и сравнивает эту строку со строкой, принятой от NEMU. Если эти две строки совпадают, то средство DX заполняет пароль элементом FF и передает его с состоянием успешного завершения другому средству, находящемуся в DX. В случае неудачи может возвращаться только состояние неудачного завершения. Другой элемент в DX проверяет, заполнен ли пароль элементом FF, и решает, необходима ли еще проверка пароля от элемента или нет.

Когда процесс аутентификации в средстве DX закончен, сеанс MMI будет открыт между WS и DX. Таким образом согласно изобретению, пользователь вошел в две различные системы, задавая ее/его пару имя пользователя/пароль только однажды, такой вход в систему сделан с помощью аутентификации пользователя.

Специалисту в данной области техники будет очевидно, что, поскольку усовершенствована технология, изобретательная концепция может быть осуществлена различными способами. Изобретение и его варианты осуществления не ограничены примерами, описанными выше, но могут изменяться в пределах объема формулы изобретения.

1. Способ входа в систему, по меньшей мере, в двух сетевых элементах в пределах коммуникационной сети, в котором

пользователь вводит (2-2) первое имя пользователя (GUSER) и первый пароль (GPSSWD) на пользовательской станции (WS),

пользовательская станция (WS) входит (2-2) в первую систему (NEMU) через первое соединение, используя первое имя пользователя (GUSER) и первый пароль (GPSSWD),

определяют (2-10, 2-12, 2-14) в первой системе (NEMU) совместно со второй системой (DX) второе имя пользователя (MUSER) и второй пароль (MPSSWD),

посылают (2-18) из первой системы (NEMU) второе имя пользователя (MUSER) и второй пароль (MPSSWD) в пользовательскую станцию (WS),

пользовательская станция (WS) входит (2-20) во вторую систему (DX) со вторым именем пользователя (MUSER) и вторым паролем (MPSSWD).

2. Способ по п.1, отличающийся тем, что

определяют в первой системе (NEMU) второе имя пользователя (MUSER) на основе первого имени пользователя (GUSER), используя заданную информацию соответствия, генерируют (2-10) в первой системе (NEMU) второй пароль (MPSSWD) и согласуют (2-12) ключ шифрования для второго пароля (MPSSWD) со второй системой (DX) по межсистемному соединению,

шифруют (2-14) второй пароль (MPSSWD) с ключом шифрования с помощью заданного алгоритма, сохраняют (2-16) зашифрованный второй пароль (MPSSWD) во второй системе (DX),

посылают (2-18) из первой системы (NEMU) второе имя пользователя (MUSER) и второй пароль (MPSSWD) в пользовательскую станцию (WS) через указанное первое соединение,

посылают (2-20) из пользовательской станции (WS) второе имя пользователя (MUSER) и второй пароль (MPSSWD) во вторую систему (DX) через второе соединение,

шифруют (2-22) во второй системе (DX) второй пароль (MPSSWD), принятый от пользовательской станции (WS), с помощью указанного ключа шифрования и указанного заданного алгоритма,

пользователь входит во вторую систему (DX), если зашифрованный принятый второй пароль (MPSSWD) совпадает с зашифрованным вторым паролем (MPSSWD), сохраненным во второй системе.

3. Способ по п.2, отличающийся тем, что на этапе (2-12) согласования генерируют (2-12) во второй системе ключ шифрования, шифруют (2-14) в первой системе второй пароль посредством указанного ключа шифрования и указанного заданного алгоритма, и посылают (2-16) зашифрованный второй пароль во вторую систему.

4. Способ по любому из пп.1-3, отличающийся тем, что пользовательская станция (WS) делает попытку входа во вторую систему (DX),

вторая система (DX) отвечает на попытку входа в систему запросом имени пользователя и пароля, пользовательская станция (WS) запрашивает имя пользователя/пароль (MUSER/MPSSWD) от первой системы (NEMU) для использования при входе во вторую систему (DX) в ответ на указанный запрос от второй системы.

5. Способ по п.2 или 3, отличающийся тем, что второй пароль является случайным числом.

6. Устройство для входа в систему, по меньшей мере, в двух сетевых элементах в пределах коммуникационной сети, содержащее

первую систему,

вторую систему и

пользовательскую станцию, имеющую механизм для ввода (2-2) первого имени пользователя (GUSER) и первого пароля (GPSSWD) на пользовательской станции (WS),

отличающееся тем, что

пользовательская станция (WS) выполнена с возможностью входа (2-2) в первую систему (NEMU) через первое соединение, используя указанное первое имя пользователя (GUSER) и указанный первый пароль (GPSSWD),

первая система (NEMU) выполнена с возможностью определения (2-10, 2-12, 2-14) совместно со второй системой (DX) второго имени пользователя (MUSER) и второго пароля (MPSSWD),

первая система (NEMU) выполнена с возможностью посылки (2-18) второго имени пользователя (MUSER) и второго пароля (MPSSWD) в пользовательскую станцию (WS) и

пользовательская станция (WS) выполнена с возможностью входа (2-20) во вторую систему (DX) со вторым именем пользователя (MUSER) и вторым паролем (MPSSWD).