（应用数学专业论文）基于snmp网络安全管理研究.pdf

河南大学研究生硕士学位论文第l 页 摘要 网络安全管理在网络管理系统中占据十分重要的位置，如何有效地对网络资 源进行管理和配置，这一问题已日益成为了网络管理的重要课题，也是网络技术 研究领域中最重要的课题之一。 本文从简单网络管理协议s n m p 理论基础开始，介绍了s n m p 协议基本知识， 深入研究了s n m p 协议三个版本的安全特性：s n m p v l 和s n m p v 2 都是基于团体 名的安全检查措施，而团体名在网络中的传输是以明文形式出现的，其安全性根 本无法保证；鉴于前二个版本的安全性，加之网络发展对网络安全的迫切需要， 在s n m p v 3 中加入了基于用户的安全措施u s m 模型，但因为s n m p v 3 中的消息 摘要算法h m a c m d 5 原理已泄露，而且认证是单向的，加密算法d e s 的密钥长 度太短，仅有5 6 位，对于目前的攻击手段来说，完全可以破解，因此其安全性也 受到威胁。而网络系统的安全管理又不能小视，所以有必要借助其他的安全协议 来加强基于s n m p 网络安全管理。 本文选择使用安全外壳协议s s h 来增强基于s n m p 网络安全管理，提出了 s s h t m 安全模型，使用s s h 传输层协议提供数据机密性、信息完整性等方面的 保护；使用s s h 的公钥认证方式来加强s n m p 实体间的双向身份认证；用s s h 连接协议建立的隧道进行s n m p 加密消息的安全传输。本文介绍了s s h 模型 构造的目的，s s h t m 模型的构造，s s h t m 提供的安全功能以及s s h t m 工作的 祥细过程，还特地对几个安全传输参数进行了说明，最后给出了s s h t m 实验及 响应时间、安全性和内存使用等的性能分析，还与基于t l s 协议的网络安全管理 进行了安全性能的比较，同时还进行了基于s n m p 网络管理的传输层t c p 与u d p 数据比较。由实验数据可以得出s s h t m 模型比s v i p v 3 u s m 性能优越。 关键词：网络安全管理；s n m p ；s s h t m ；s s h ；安全性 第1 l 页河南大学研究生硕士学位论文 a b s t r a c t n e 铆o r k s e c u r i t ym a n a g e m e n tp l a y s a i l i m p o r t a n tp o l e i nt h en e t 、) l r o r k m a n a g e m e n ts y s t e m ，h o wt om a l l a g ea 1 1 dd 印l o yt h en e t 、) l ，o r kr e s o u r c ei ne 能c ti s 锄 i m p o r t a n tp r o b l e mf o r n e t 、) ，o r km a n a g e m e n t ，a i l di ti s a l w a y so n eo ft h em o s t i m p o r t a n tp r o b l e m si nt h er e s e a r c ho fn e 铆o r kt e c l l l l i q u e t h i st h e s i sh a si n t r o d u c e dt h eb a s i ct h e o 巧o fs n m pa tf i r s t ，a n a l y s e st h es e c u r i t y o fs n m pp r o t o c o lw h i c hh a st h r e ev e r s i o n si n d e p t h t h e r ew a sn os e c u r i 够 i m p l e m e n t e di ns n m p v la 1 1 ds n m p v 2 ，b e c a u s et h e yw e r eo nc o m m u n i 够- b a s e d ，a n d t h ec o m m u n i t yi sp l a i n t e x to nt 1 1 ew i r e b e c a u s eo f 1 el a c ki nt h es e c u r i 够向n c t i o no f t h ep r e v i o u sv e r s i o n s ，a d d i t i o nw i t ht h e d e v e l o p m e n to fn e t w o r kf o rt h es e c u r i t y m a n a g e m e n tn e e d s ，s n m p v 3a d d e ds e c u r i t yt ot h ep r e v i o u sv e r s i o n s0 ft h ep 南t o c o l b yi n t r o d u c i n gau s e r - b a s e ds e c u r 时m o d e l ( u s m ) b u tt h eh m a c m d 5a l g o r i t h m p r o c e d u r ei ns n m p v 3i sd i s c l o s e d ，a n dt l l ea u m e n t i c a t i o ni so n l ys i n g l ed i r e c t i o n ，a 1 1 d t h ep r i v a c yk e yo fd e si st o os h o i r t ，j u s t5 6b i t s ，w h i c hi sa t t a c k e db yh a c k e r s ow e c a l lc o n c l u s i o nt h a ts n m p v 3i se a s i l yt ob ea t t a c k e d w h i l et 1 1 es e c u r 时m a n a g e m e n t o fn e 铆o r ks y s t e mi sn o tn e g l e c t e d ，o t h e rs e c u r i t yp r o t o c o is h o u l db et a l ( e ni 1 1 t o a c c o u n tt oi n f o r c en e 铆o r ks e c u r i 够m a n a g e m e n tb a s e do ns n m p i nt h i s p a p e rt l l e s e c u r es h e up r o t o c o l ( s s h ) i sc h o i c e dt oi n f o r c en e t 、) i r o r k s e c u r i t ym a n a g e m e n tb a s e do ns n m ea n dt h es e c u r es h e ut r a i l s p o r t - m a p p i n gm o d e l ( s s h t m ) i sp u tf 0 刑o r d s s h l mp r o v i d e sm e s s a g ec o n f i d e n t i a l i t ) ，a 1 1 di n t e g r i t yb y u s i n gt h et r 觚g s p o r tl a y e rp r o t o c o lo fs s h ，p r o v i d e sf o rb o t hv e r i f i c a t i o no ft h e i d e n t i t yo ft h es s hs e n r e ra n dv e r i f i c a t i o l lo ft h ei d e n t i t yo ft h es s hc l i e n t ，a i l dw i l l e s t a b l i s hac h a r u l e lb e 俩e e ni t s e l fa i l dt h es s h t mo fa 1 1 0 t h e rs n m p e n g i n eb yu s i n g t h es s hc o n n e c t i o np r o t o c o ls o 廿1 a ti tc a n p a s se n c 呷t e dm e s s a g e si nt h ec h a n n e l t h e c o n s t l l l c t i o no fs s h t mi si n 们d u c e di nt h i sp 印e r ，t h es e c u r i t y 鼬1 c t i o no fw h i c hi s 河南大学研究生硕士学位论文第| li 页 d i s c u s s e d ，a n dt h ew o r ko fw h i c hi sd e s c r i b e di nd e t a i l h 1p a r t i c u l a rs e v e r a ls e c u r i 够 p a r a m e t e r sw h i c ha r ep a s s e di se x p l a i n e d a tl a s tt h ep e r f o 加1 a 1 1 c ea i l a l y s i so fs s h 7 i m i 彭g i v e n ，i n c l u d i n gl a t e n c y ，s e c u r i t ) ，缸1 c t i o n a l i 吼m 锄o qu s g ea n ds oo n ，a tt h es 锄e t i m et h ed i s t i n c t n e s so fs e c u r i t ) ，n m c t i o n a l i t yi sg i v e nb yc o m p a r i n gs s h t mw i mt l s b a s e do ns n m 只a n dt h ed i 仃色r e n c eb e t w e e nt c p p r o t o c o la n du d pp r o t o c o lb a s e do n s n m pi sa l s od i c u s s e d ，仔o mw h i c hw ec a nm a k eac o n c l u s i o nt h a ts s h t mi sb e t t e r m a ns n m p v 3 u s m k e y w o r d s ：n e t 、) l r o r ks e c u r i t ym a n a g 锄e n t ；s n m p ；s s h t m ；s s h ；s e c u r i t ) ，觚c t i o n a l 时 关于学位论文独立完成和内容创新的声明 本人向河南大学提出硕士学位申请。本人郑重声明：所呈交的学位论文是 本人在导师备勺指导下独立完成的，对所研究的课题有新的见解。据我所知，除 文中特别加以说明、标注和致谢的地方外，论文中不包括其他人已经发表或撰 写过的研究成果，也不包括其他人为获得任何教育、科研机构的学位或证书而 段保得、) 骗字位论父( 纸质又本和吧亍又奉) o ( 涉及保密内容的学住论文在解密后适用本授权书) 学住获得者( 学位论文作者) 签名：氆。壁盖2 2 0 留年6 月f ，口日 学位论文指导教师签名：e 堕丝坠 2 0 口男年6 月，o 日 河南大学研究生硕士学位论文第1 页 第1 章绪论 计算机网络技术与通信技术的迅速发展，网络规模的日益扩大，给网络系统 的管理提出了更高的要求。本章对网络管理体系结构和基于s n m p 网络管理的安 全缺陷进行介绍，由此引出本人的研究课题，最后给出了论文结构安排。 1 1 网络管理背景及国内外研究现状 进入2 1 世纪，随着计算机网络技术与通信技术的迅猛发展，网络规模的日益 庞大，新的产品、新设备、新技术的广泛应用，网络设备的更新换代频繁，网络 结构的多样化、复杂化，这些变化对于单纯依赖手工方式对网络进行监控和管理 已经不能满足现代网络系统的发展需求。如何有效地对网络资源进行管理，对网 络资源进行有效的配置，实现故障、性能、计费和安全管理，这一问题已日益成 为了网络管理的重要课题。 为了适应这种变化，先后出现了三种主要的网络管理体系结构：基于i n t e m e t 的t c p ip 【l 】的s n m p ( t h es i i i l p l en e 铆o r km a n a g e m e n tp r o t o c 0 1 ) 【2 】网络体系结构； 基于o s i 七层管理模型的c m i p c m i s ( t h ec o m m o nm a n a g e m e n ti n f o m a t i o n p r o t o c o l s e r v i c e ) 【3 】网络体系结构和电讯管理网络t m n ( t h et e l e c o mm a n a g e m e n t n e 铆o r k ) 4 】网络体系结构。网络管理的体系结构是网络管理系统的结构及其组成 成员之间的相互关系的一套规则集合体。o s i 的c m i p 网络管理体系结构因其复 杂性，功能极其完备而实现起来又比较困难而搁浅，现在世界上只有很少的几个 大公司支持这种网络管理体系结构。s n m p 网络体系结构因其简单、易用、灵活 而得到了广泛应用，已经成为事实上网络管理的工业标准。 s n m p 协议版本从s n m p v l 发展到s n m p v 2 【5 | ，功能得到的扩展，但因s n m p 协议在研究之初没有充分考虑安全性，使得其安全性问题目益暴露，且成为该协 议的弱点。为了加强其安全性，i e t f 工作组于1 9 9 8 年1 月开始研究开发 s n m p v 3 【6 】，以增强其安全性，主要增加了身份认证、加密机制和访问控制，但因 其身份认证使用的h m a c m d 9 6 7 】和h m a c s h a 9 6 【引，认证是单方向的，而不 是双向的，这就给网络中设备的敏感性信息的访问埋下了安全隐患。加密用的是 c b c d e s 【9 】，该加密算法现在也己得到破解，信息的安全传递也不能得以保证。 另外，s n m p 协议对d o s ( d e n i a lo f s e r v i c e ) 和流量分析没有考虑，信息在通信 线路上传输时有可能被窃取。s n m p 协议采用u d p 【lo j 作为其传输层协议，u d p 第2 页河南大学研究生硕士学位论文 协议是一种不可靠的传输协议，因此s n m p 数据包的传输也是不可靠的。再有就 是s n m p 数据包比较小，一旦有大量的s n m p 消息进行传输时，就要发送很多 s n m p 消息包，这样就可能造成线路拥塞，数据包有可能丢失。 国外也有专门的组织和部门对网络安全管理进行研究，例如d u ，s h a y m a n 和 r o z e n b l i t z 利用t l s ( t r a n s p o r tl a y e rs e c u r 时) 协议来加强基于s n m p 协议网络 安全管理，并取得了良好的效果【1 1 】。但是该方法依然使用的是对称加密算法d e s 对消息进行加密，消息认证用的是m a c ( m e s s a g ea u t h e m i c a t i o nc o d e ，m a c ) ， 存在的安全问题依然和s n m p v 3 的问题基本一样，只不过是传输层协议使用的是 可靠的t c p 【1 2 】协议。加密和认证使用的方法比较单一，不能够适应网络发展的需 要。国内对网络系统的安全管理也有大量研究，只是进展不明显。因此，有必要 寻找新的安全协议来加强基于s n m p 的网络安全管理，使网络系统提供高效安全 可靠服务。 网络管理是“未来网络结构”关键技术之一，它与高速路由交换、虚拟网络 并称为网络发展的三大支撑技术。网络管理对于网络高效运行至关重要，使其成 为当今信息网络研究的重要课题。 1 2 课题引入的背景及意义 本课题所选题目为“基于s n m p 网络安全管理解决方案”。本课题选题来自 于河南省教育厅自然科学计划项目( n o 2 0 0 5 1 0 4 7 5 0 3 0 ) ：河南大学网络信息管理 系统，本系统包含如下的几个组成部分：配置管理子系统、性能管理子系统、网 络拓扑自动发现子系统、计费子系统、故障管理了系统和安全管理了系统等。本 人所做的部分是安全管理予系统，利用安全外壳协议s s h ( s e c u r es h e l l ) 1 3 】中强 的基于公钥密钥认证机制保证设备信息的正确访问，使用r s a 【1 4 】及d s a 【1 5 】数字 签名算法保证信息的完整性，使用数据加密技术确保数据的机密性，以此防止i p 欺骗、t c p i p 连接劫持、“中间人”攻击等。以此作为我的选题来源。有效解决 s n m p 协议自身的安全缺陷，使网络环境中的设备信息，特别是敏感信息得以保 护，保证网络系统正常安全高效运行，系统资源得到有效利用，这就本课题研究 的意义。 1 3 主要研究内容 本论文主要讨论以s n m p 网络管理协议为核心的计算机网络安全管理问题。 河南大学研究生硕士学位论文第3 页 论文结合现代网络管理需求特征，研究基于s n m p 的网络安全管理的技术和方法， 通过分析s n m p 协议各版本的安全特性，提出了利用安全外壳协议s s h 的安全 性建立s s h l m ( t h es e c u r es h e ns e c u r i t ym o d e l ) 传输安全模型，在t c p 传输协 议之上为s n m p 提供管理站与管理代理之间的安全身份认证，在安全隧道中传输 加密的s n m p 消息。 1 s n m p 协议 介绍t c p i p 网络管理体系结构框架标准s n m p ，深入研究s n m p 三个版本 的安全特性，挖掘其存在的安全问题。 2 网络安全协议s s h 充分研究安全外壳协议s s h 中的基于密钥认证算法、数字签名算法、数据加 密算法等安全策略，还有s s h 三层协议：传输层协议、用户认证协议和连接层协 议的功能及实现。 3 传输安全模型s s h t m 在充分研究了s s h 协议及安全特性基础上，提出了传输安全模型s s h t m ， 以此作为网络安全管理的盾牌，有效保护网络安全高效运行。s n m p 网络管理作 为s s h 系统的一个子系统，将s s h t m 运用于s n m p 网络安全管理系统中。构造 s s h t m 模型，介绍其安全功能，重点详述了其工作过程，最后对s s h t m 进行实 验，并对实验数据进行采集和分析。 1 4 论文结构安排 本论文共分为6 章，具体安排如下： 第1 章，从网络安全管理重要性开始谈起，分析了网络管理协议s n m p 存在 的安全问题，。从而引入s s h 协议，提出了基于s s h 的s s h t m 传输安全模型来增 强网络安全管理。 第2 章，介绍s n m p 理论基础知识，对s n m p 管理体系结构中的内容s m i 、 m i b 和s n m p 协议本身做了详尽的叙述。 第3 章，分析s n m p v l 、s n m p v 2 和s n m p v 3 的安全管理机制，发现其存在 的安全问题。 第4 章，详细介绍安全外壳协议s s h 的三个协议的主要内容，安全策略和具 体应用。 第5 章，说明了传输安全模型s s h t m 建立的目的，重点阐述安全模型s s h t m 的构造、安全功能以及工作过程，最后给出了在s s h t m 中用到的几个安全参数。 第4 页河南大学研究生硕士学位论文 第6 章，给出s s h t m 模型的实验，并对实验结果进行分析。 最后，对本文工作进行了总结，分析了论文的成功和不足之处，提出了今后 进一步应该完善的工作和研究方向。 河南大学研究生硕士学位论文第5 页 第2 章s n m p 网络体系结构理论 简单网络管理协议s n m p 已经成为事实上的标准网络管理协议，它的支配地 位的形成一方面是由于i n t e m e t 的发展，t c p 口协议簇的广泛应用；另一方面是 由于其自身特点，与o s i 的c m i p c m i s 相比，s n m p 简单、易用、灵活，成本 低，使得它得到了广泛应用。本章通过分析s n m p 协议的运行机制，介绍s n m p 理论基础知识及其实现。 首先开始研究网络管理通信标准问题的是国际上最著名的国际标准化组织 i s o ，他们对网络管理的标准化工作始于1 9 7 9 年，主要针对开放系统互联o s i 七 层协议的传输环境而设计。i s 0 开发了c m i s ( t h ec o m m o nm a n a g e m e n t i n f o m a t i o ns e r v i c e ，公共管理信息服务) 和c m 口( t 1 1 ec o m m o nm a n a g e m e n t h l f o n i l a t i o np r o t o c o l ，公共管理信息协议) 。c m i s 定义了每个网络组成部分提供 的网络管理服务，支持管理进程和管理代理之间的通信要求，c m i p 则是提供管 理信息传输服务的应用层协议，实现c m i s 服务协议，二者规定了o s i 系统的网 络管理标准。 作为国际标准，由i s o 制定的公共管理信息协议( c m 口) 着重于普适性 ( g e n e r a l i t v ) ，采用报告机制，具有许多特殊的设施和能力，需要能力强的处理 机和大容量的存储器，因此目前支持它的产品较少。但由于它是国际标准，因此 发展前景很广阔。但由于其涉及面很广，实施起来比较复杂且花费较高，现在普 遍使用s n m p 作为网络管理系统的工具。 s n m p 诞生于1 9 8 8 年，它建立在已有的简单网关监控协议( s i m p l eg a t e w a y m o n i t o rp r o t o c o l ，s g m p ) 之上作为基于t c p 妒网络的公共网络管理协议，它 最初只打算用于i p 设置，而c m i p 则打算用于任何协议的任何网络设备的管理。 s n m p 最大的特点是简单性，容易实现且成本低。此外，它的特点还有：可 伸缩性- s n m p 可管理绝大部分符合i n t e m 吼标准的设备；扩展性通过定义新 的“被管理对象”，可以非常方便地扩展管理能力；“健壮性”( r o b u s t ) 一即使在 被管理设备发生严重错误时，也不会影响管理者的j 卜常工作。 相对于o s i 标准，s n m p 简单而实用，所以近年来s n m p 发展很快，已经超 第6 页河南大学研究生硕士学位论文 越传统的t c p i p 环境，受到广泛的支持，成为网络管理方面事实上的标准。但 s n m p 毕竟是一个简单的网络管理协议，它如同t c p i p 协议簇的其它协议一样， 开始时并没有考虑安全问题，为此许多用户和厂商提出了更新、修改s n m p 版本， 增加安全模块的要求。于是，在1 9 9 2 年i e t f 雄心勃勃地开始了s n m p v 2 的开发 工作。最近几年，i e t f 为s n m p v 2 做了大量的工作，其中大多数是为了寻找加 强s n m p 安全性的方法。然而由于涉及的方面无法取得一致，从而只形成了现在 的s n m p v 2 草案标准。1 9 9 7 年4 月，i e t f 成立了s n m p v 3 工作组。s n m p v 3 的 重点是安全、可管理的体系结构和过程配置。目前s n m p v 3 已经是i e t f 提议的 标准，并得到了供应商们的强有力支持。 2 1s n 御网络管理模型 s n m p 网络管理模型由管理站、代理a g e n t 、管理信息库和网络管理协议 s n m p 构成，表现为一种c s 模式的m a 结构，其关系如图2 1 所示。 图2 - 1s n m p 网络管理模型 ( 1 ) 管理站指一个独立设备，是整个网络管理系统的控制中心，它通过各管理 代理对网络内的各种设备、设施和资源进行监测和控制，并完成各种管理功能。 它是网络管理员到网络管理系统的接口，至少具备： 一系列用于数据分析、故障修复等功能的管理应用程序 一个监视和控制网络的人机接口 管理操作转变为对远程网络元素的实际监控手段 提供存储网络实体信息的m i b 河南大学研究生硕士学位论文第7 页 ( 2 ) 代理a g e n t 指支持s m 仰并提供对象管理能力的主机、路由器、交换机等 网络设备或进程。对来自管理站的协议请求进行应答，并向管理站报告重要t r 印 事件，通过调用操作支持进程将管理请求转化为对本地数据结构的有效操作。 ( 3 ) 管理信息库是描述被管对象属性的数据变量对象集合，对象存放于m i b 数据库。管理站通过存取代理m i b 对象进行网络管理。 ( 4 ) 网络管理协议是管理站和代理间互操作的通信规则，以抽象原语和参数形 式出现。 s n m p 采用一种简单的存取模式读取与设置被管对象参数，以及实现代理向 管理者通告重要事件。包括管理站读取其代理对象的值g e t ，管理站设置代理对 象的值s e t 以及代理向管理站通告重要事件的t r a p 三类协议操作。 2 2s n 脚管理框架 s n m p 管理框架由三部分组成：s m i 、m i b 和s n m p 协议。s m i 主要说明了 怎么定义管理对象和怎样访问管理对象，是对公共结构和一般类型的描述。m i b 是管理对象的信息集合，这些管理对象是任何s n m p 系统必须实现的。s n m p 协 议是s n m p 实体进行信息通信的规则。 s m i 为了描述对象的特性，给出了一定的规则。对m i b 中的每个变量，s m i 规定了对其进行定义的语法和编码方法。其中语法采用的就是a s n 1 ( a b s t r a c t s y n t a xn o t a t i o n0 n e ) ，它定义了对象的抽象数据结构，描述了该对象在a s n 1 树 上的位置：编码方法是指传输时收发双方约定的规则，s n m p 采用的是基本编码 规则b e r ( b a s i ce n c o d i n gr u l e ) 。 2 3 管理信息结构s m i 1 a s n 1 a s n 1 m 】是一种描述数据和数据特征的正式语言，它和数据的存储及编码无 关。a s n 1 是o s i 制定的规范。a s n 1 通过集成形式化文法于抽象表示方法，利 用语言组件定义对象的类型和值。与s n m p 相关的三个主要a s n 1 组件是：定义 管理对象数据类型的类型记法；描述数据类型值与实例值的符号；发送与接收 a s n 1 编码的信息传送语法规则。 。( 1 ) 简单数据类型 简单类型是指直接规定其取值的类型，所有其他类型都是从简单类型构造出 第8 页河南大学研究生硕士学位论文 来的，它是基本类型。简单类型包括布尔、整型、字符、实型等。 ( 2 ) 结构化的类型 结构化的类型是指由组件组成的类型。a s n 1 提供四种结构化的类型用来从 简单数据类型创建复杂的数据，分别是s e q u e n c e ，s e q u e n c eo f ， s e t ， s e to f 。 ( 3 ) 标记类型 类型通过引用一个已有类型和标记来定义。新的类型和已有的类型是同态的， 但与之相区别。在所有的编码方案中，新类型的取值都可以与旧类型的取值区分 开来。 ( 4 ) 其他类型 这种类型包括c h o i c e 和a n y 类型，是不带标记的数据类型，用于在“运 行时刻”赋值。 2 基本编码规则b e r b e r 定义了一种或更多的方式来把a s n 1 取值编码为字节串。编码工作基于 t l v ( t 卯e l e n 舀h v a l u e ) 结构来进行，也就是说，任何a s n 1 取值都可以编码 成一个三元组。三元组具有下面的组件： 聊e ：表示a s n 1 类型以及类型的类别和编码是基本的还是结构化的 l e n g t h ：表示实际取值表示法的长度 v a l u e ：表示a s n 1 类型作为字节串的取值 这种结构是递归的：对于任何有一个或多个组件的a s n 1 取值，t l v 编码 的“v a l u e 部分本身就是由一个或更多t l v 结构组成的。 3 s m i 的基本内容 s m i 是由a s n 1 定义的s n m p 管理信息表示方法，为描述m i b 对象和协议 交换提供数据表示手段，是一种定义和构造m i b 的通用框架。s m i 同时规定m i b 使用的数据类型，以及被管对象的表示和命名方法。 s m i 的基本原则是要求m i b 的简单性和可扩充性，因此m i b 只存储两种简 单的数据类型：标量和标量二维数组( 表) 。实际上s n m p 只支持检索标量对象实 例和一个表中的单个对象实例。s n m p 通过使用a s n 1 的一个子集定义用于m i b 的所有数据类型。s n m p v ls m i 仅引入a s n 1 的4 个简单类型： l n t e g e r 基本的整数类型 o c t e ts t r 烈g o 或多个字节的串，每个字节的值从0 到2 5 5 o b j e c td e n t i f i e r 对象的标识符，用点分十进制序列数表示 河南大学研究生硕士学位论文第9 页 n u l l 空值，用作占位符 根据上述4 种数据类型，s m i 利用a s n 1 文法定义了需要的应用数据类型。 s m i 定义的另一个重要内容是提供了利用a s n 1 定义的宏描述m i b 对象的方法。 宏是定义对象模型的模板，最重要的一种宏是o b j e c t - t y p e 宏，其定义格式示 例如下所示： s n m p e n g i n e i do b j e c t - t y p e s q t a xs m p e n g i n e i d m a x a c c e ssr e a d o n l y s t a t u sc u r r e n t d e s c r i p t i o n“a ns n m p e n g i n e sa d m i n i s t r a t i v e l y - u n i q u ei d e n t i n e r t h i si n f o m a t i o ns h o u l db es t o r e di nn o n - v o l a t i l es t o r a g es ot h a ti tr e m a i n s c o n s t a n ta c r o s sr e - i n i t i a l i z a t i o n so ft h es n m p e n g i n e ” ：2 s n m p e n g i n e1 ) s n m p v ls m i 定义了7 种应用数据类型：n e l w o r k ，a d d r e s s ，c o u n t e r ， g a u g e ，t i m e t i c k s ，o p a q u e ，i n t e g e r ，u n s i g n e di n t e g e r 。规定管 理对象符合a s n 1 对象类型定义，由名称、语法和编码组成。名称是对象标识符； 语法定义对象的数据类型；编码描述对象相关信息与网络数据传输形式的转化。 s n m p v 2s m i 【1 7 】，在s n m p v ls m i 的基础上，包含新增与扩展的s m i 数据类 型( b l ts t r i n g ，n e t o w r ka d d r e s s ，c o u n t e r ) ，并增加或定义9 个宏文 法，通过宏文法可独立地定义对应类型的m i b 对象。此外，定义了三种信息模块： m i b 模块、一致性描述、能力描述。m i b 模块包括相关管理对象定义；一致性描 述提供一种系统方法来描述一组管理对象必须达到的与标准的一致性；能力描述 用于指明一个代理对于相关的m i b 变量集的精确支持程度。网络管理站可以根据 代理的能力描述调整与代理之间的操作。 2 4 管理信息库m i b m i b 【1 8 1 是s n m p 管理框架定义的第二个部分，描述可以由s n m p 管理的信息 集合，其中每个管理信息元素称为一个对象。支持s n m p 的网络管理者与代理交 互的m i b 对象信息，应该在m i b 定义的范围之内。m i b 的最初版本由l 讧c1 0 6 6 定义，目前的标准是i 强c 1 2 1 3 定义的m i b 2 。 m i b 以一个概念上的树型结构组织信息。对象标识符在m i b 层次结构中唯 第10 页河南大学研究生硕士学位论文 一标识一个被管对象。对象标识符的每个子标识符的层次从左向右依次降低，以 利于概念树的表达。 1 m i b 定义和标准 在一个特定的企业网络中，一个管理器和其所有的代理通常可以使用一个 m i b 。然而，典型的情况下，一般会有多个m i b ，每个都被封装成一个模块，具 有一个或多个组。这些m i b 通常用两种方式来定义： 普通标准化处理 生产商 像t c p i p 体系中的其他方面一样，s n m p 使用的标准m i b 己经被发展，以 满足生产商和用户的需求。m i b 2 采用了层次树结构，最高层作为树根，从树根 向下分支。除了m i b 2 之外，还有一些其他的m i b 组被用来管理新出现的技术。 这些m i b 组在附加的r f c 文档中定义，增强了m i b 2 标准功能。 m i b 定义位于i s o 框架之中。对象命名树是用来在世界范围内分类和注册广 大的实体和标准的。在如图2 2 所示的对象命名树中，r o o t 节点没有命名，r 0 0 t 下有三个主要的分枝：c c i t t ( 0 ) ( 国际电报电话咨询委员会) 、i s o ( 1 ) 和i s o c c i t t ( 2 ) ，在i s o 分枝中，建立了四个主要的分类： s t a n d a r d ( 0 ) r e 舀s t r a t i o na u t h o r i t y ( 1 ) m e m b e rb o d y ( 2 ) i d e n t m e do 唱a 1 1 i z a t i o n s ( 3 ) 河南大学研究生硕士学位论文第11 页 s t ( 3 ) l i j 图2 2 管理信息库的对象命名树 在这个图中，d o d ：d e p a r t m e n to f d e f e n s e ，美国国防部的缩写 m 田n t ：m a n a g e m e n t ，i n t e m e t 管理 a t ：a d d r e s st r a n s l a t i o n ，地址翻译 s n m pm i b 2 作为该对象命名树的一部分。 虚线框起来的部分就是i n t e m e t 的部分，这一部分内容比较多。其中重要的 位置上给出了本节点的对象标识符。h l t e m e t 从上到下的树枝结构为i s o ( 1 ) ， i d e n t m e do r g a n i z a t i o n s ( 3 ) ，d o d ( 6 ) ，i n t e m e t ( 1 ) 。 第12 页河南大学研究生硕士学位论文 在n t e m e t ( 1 ) 下面，有几个分枝，各个分枝用作不同的目的。 d i r e c t o r y ( 目录) 分枝：被保留用于将来的o s i 目录 m a n a g e m e n t ( m g m t ) ( 管理) 分枝：已经接收的标准都位于这个分枝中 e x p e r i i l l e n t ( 实验) 分枝：h n e m e t 试验用 p r i v a t e ( 个人) 分枝：企业或个人使用该分枝 s e c u r 时( 安全) 分枝：与i n t e m e t 安全有关的协议放在此分枝 s n m p v 2 分枝：s n m p 的第二版本 最后一个分枝被保留为专门用途，生产商、开发者或商业企业可以在这个分 枝中定义针对它们自己的t c p i p 产品的m i b 扩展。 在定义m l b 时，用到了a s n 1 语言的一个子集。每个对象都被分配一个唯 一的整数标识符，或者l j 做对象i d ( o b j e c t i d ，简写o i d ) 。对象标识符的命名 方法：从根节点开始向下，直到该对象节点，用十进制点分序列号就是该对象的 标识符。例如m i b 2 的对象标识符o i d 为：1 3 6 1 2 1 。对象标识符o i d 是唯一 的和绝对的，便于管理。 2 m i b 2 m i b 2 是管理信息库的第二版，由r f c l 2 1 3 定义，它是对m i b 1 的扩展。 它支持以下1 0 种标准管理功能： ( 1 ) 系统组( t h es y s t e mg r o u p ) ： 限、通信方式和服务器信息等。 ( 2 ) 接口组( n ei n t e r f a c eg r o u p ) ： 信息。如接口的网络类型等。 提供了管理节点的系统信息，如管理权 包含了设备接口的一般配置信息和统计 ( 3 ) 地址转换组( 1 1 1 ea d d r e s st r a n s l a t i o ng r o u p ) ：在m i b 1 中，这个组包 含一张从网络地址( 如l p 地址) 到物理地址( 如m a c 地址) 的映射表。但是 m i b - 1 不支持逆向协议转换和多协议节点。m i b 2 分配了多张映射表来满足上面 的要求。 ( 4 ) i p 协议组( t l ei pg r o u p ) ：提供了与路由协议相关的信息。例如对路 由表的维护和管理中的信息。 ( 5 ) 互联网控制报文协议组( t h ei c m pg r o u p ) ：提供各种类型i c m p 报文 的统计等功能。 ( 6 ) 传输控制协议组( 1 1 1 et c pg r o u p ) ：提供与t c p 相关的信息。如跟踪 进入节点的差错t c p 报文的数量等。 河南大学研究生硕士学位论文第13 页 ( 7 ) 用户数据报协议组( 1 1 1 eu d pg r o u p ) ：提供与u d p 相关的信息。 ( 8 ) 外部网关组( t h ee g pg r o u p ) ：提供与e g p 相关的信息。m i b 2 比m i b 1 增加了几项数据管理，如e g p 邻居节点的自治区号、邻居节点的输入的总包数等。 ( 9 ) 传输组( 1 1 1 et r a l l s m i s s i o ng r o u p ) ：m i b 1 没有区分不同类型的传输介 质，。m i b 2 中增加了这一项。 ( 1 0 ) 简单网络管理协议组( n es n m pg r o u p ) ：主要用于提供s n m p 的统 计信息。 2 5 简单网络管理协议s n m p s n m p 是为网络管理服务而定义的应用层通信协议，采用a s n 1 说明所需的 协议操作，提供了管理者与代理之间交换管理信息的基本机制，也规定了管理框 架所需的授权与鉴别机制。s n m p 协议通信过程如图2 3 所示。 s n m p 通过传输映射，可采用不同的协议进行数据传输，在u d p 与i p 及有 关网络协议之上实现。管理站采取陷阱引导轮询方式对代理m i b 进行控制和管 理。初始化时，管理站轮询被管代理获取必要管理信息，随后管理站降低轮询频 率，由代理负责向管理站报告r t r a p 事件a 接收到t r a p 报文的管理站，通过轮询 相关或相邻代理进行事件检查以获取关于异常的详细信息。可通过委托代理进行 网络协议转换，实现对不支持s n m p 的设备管理。 s n m p 管理站 s n m p 代理者 图2 3s n m p 协议通信过程 第14 页河南大学研究生硕士学位论文 2 5 1s n m p 鉴别机制与访问策略 鉴别机制与访问策略是s n m p 安全性的基础。利用s n m p 进行访问的实体称 为应用实体，应用实体的集合定义为s n m p 共同体( c o m m u n i 劬，采用字符串进 行标识。s n m p 高层应用根据共同体名来进行合法性鉴别。代理进程对收到的己 通过鉴别的报文的访问权限进行检查称为授权。与特定网络元素相关的m i b 子集 称为m i b 视图，具有只读和读写两种访问方式，与m i b 对象的四种访问方式( 只 读、只写、读写、不可访问) 构成s n m p 共同体描述表。s n m p 共同体与共同体 描述表相结合形成s n m p 访问策略。 2 5 2s n m p 协议通信 通信协议是s n m p 定义的第三个部分，给出管理站和代理之间进行信息交 换的