（信号与信息处理专业论文）wimax系统中网管模块的设计与实现.pdf

摘要 w i m a x ( w o r l d w i d e i n t e r o p e r a b i l i t yf o rm i c r o w a v ea c e e s s ，全球微波接入互操作性) 是一项基于i e e e8 0 2 1 6 标准的宽带无线接入城域网( b r o a d b a n dw i r e l e s sa c c e s s m e 仃o p o l i t a na r e an e t w o r k ，b w a m a n ) 技术。网管系统用于监视和控制网内所有的基 站和用户终端，提供查询、状态监控、软件下载、系统参数配置等功能。网管系统的存 在使得一个复杂的网络可以在有效的配置和管理之下稳定高效地运行。由此可见，网管 系统的开发对于一个系统的开发有着举足轻重的作用。 本文先对w i m a x 技术及其标准演进做了一个概述，然后结合自己在w i m a x 接入 控制器中网管系统的开发实践，分析了基于简单网络管理协议( s n m p ) 和可扩展s n m p 代理协议( a g e n t x ) 的网管模块的设计，并基于此设计，结合实例详细说明了实现的 过程。 关键词：无线城域网，子代理，w i m a x ，s n m p ，a g e n t x i l a bs t r a c t w i m a x ( w o r l d w i d ei n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ) i so n ei m p o r t a n t t e c h n o l o g y o ft h e b w a m a n ( b r o a d b a n d w i r e l e s sa c c e s s m e t r o p o l i t a n a r e a n e t w o r k ) ，w h i c hi sb a s e do nt h ei e e e8 0 2 16s t a n d a r d n e t w o r km a n a g e m e n ts y s t e mi su s e d t om o n i t o ra n dc o n t r o la l lo ft h eb a s es t a t i o n sa n du s e fe q u i p m e n t si nt h en e t w o r k ，p r o v i d i n g q u e r y i n g ，s t a t u sm o n i t o r i n g ，s o f t w a r ed o w n l o a d i n g ，s y s t e mp a r a m e t e r sc o n f i g u r i n ga n ds oo n i tc a nb es e e nt h a tt h ed e v e l o p m e n to ft h en e t w o r km a n a g e m e n ts y s t e mp l a y sa l li m p o r t a n t p a r ti nt h ed e v e l o p m e n to fw i m a x t h i si s s u ed i s c u s s e st h ed e t a i ld e s i g na n dt h e a p p l i c a t i o no fn e t w o r km a n a g e m e n t m o d u l ei nw i m a xa c c e s sc o n t r o l l e r a tt h eb e g i n n i n g ，t h et e c h n o l o g yo fw m a ni s i n t r o d u c e d a n dt h ef o l l o w i n gi st h ed e s c r i p t i o no ft h et h e o r i e so fs n m pa n da g e n t x f i n a l l y , t h ed e t a i ld e s i g na n dt h ea p p l i c a t i o no fn e t w o r km a n a g e m e n tm o d u l ea r ed i s c u s s e di nd e t a i l k e y w o r d s ：w m a n ，s u b a g e n t ，w i m a x ，s n m p , a g e n t x i i i 南京邮电大学硕士研究生学位论文 缩写词与术语表 缩写词与术语表 首字母缩拼词定义 a p na c c e s sp o i n tn a m e c nc o r en e t w o r k d c n d a t ac o m m u n i c a t i o nn e t w o r k d h c p d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l d n sd o m a i nn a m es e r v e r e m e q u i p m e n tm a n a g e m e n t m i b m a n a g e m e n ti n f o r m a t i o nb a s e o m c r o p e r a t i o na n dm a i n t e n a n c ec e n t e r p m p e r f o r m a n c em a n a g e m e n t d b d a t a b a s e s f t ps s hf i l et r a n s f e rp r o t o c o l s ms o f t w a r em a n a g e m e n t s s ls e c u r es o c k e t sl a y e r w a cw i m a xa c c e s sc o n t r o l l e r w i m a xw o r l d w i d ei n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s s n m s u b n e t w o r km a n a g e r 5 5 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签鼍夕褂日期：2 翌垒笋竺 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所送 交学位论文的复印件和电子文档，可以采用影印、缩印或其它复制手段保存论 文。本文电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。 论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 研究生签名稗 新躲专锦後吼 南京邮电大学硕土研究生学位论文第1 章绪论 w i m a x 系统中网管模块的设计与实现 第1 章绪论 1 1 无线城域网 无线城域网( w m a n ，w i r e l e s sm e t r o p o l i t a na r e an e t w o r k ) 技术是继无线局 域网( w l a n ) 之后出现的又一项宽带无线接入技术。它的推出是为了满足日益增长的宽 带无线接入( b w a ) 市场需求。虽然多年来w l a n 技术及其他很多专有技术被用于b w a ， 并获得了很大的成功，但是w l a n 的整体设计并不能很好地适用于室外b w a 的情况。当 其用于室外时，在宽带和用户数方面将受到限制，同时还存在着通信距离等其它一些问 题。基于上述情况，i e e e 指定了一种新的更复杂的标准8 0 2 1 6 。这个标准能解决物理 层环境( 室外射频传输) 和q o s 两方面的问题，满足b w a 和“最后一公里”接入市场的 需要。 无线城域网的组网方式将更加灵活，宽带无线接入系统通过核心网络，对楼群之间 的用户提供网络连接。与其他接入手段相比，8 0 2 1 6 宽带无线接入系统以最低的成本 提供真正有区别的宽带通信业务。在家庭和小企业范围内，宽带无线接入将与电缆和 d s l 网络竞争；在中等规模企业楼宇内，宽带无线接入能够支持高速率连接，将与光纤 连接竞争。它可使数以千计的用户在无线城域网( w m a n ) 中共享数据、话音和视频服务， 而且随着信道、宽带和用户需求的增加，运营商还可以使系统扩容。 在8 0 2 1 6 标准拓扑结构中，连接到公网上的每个基站可以与数以百计的固定用户 台通信。每个用户台一般安装在楼顶，通过无线城域网媒体接入控制层( m a c ) ，每个基 站分配上行和下行传输带宽，迅速满足用户不同优先级的带宽要求。空中接口设计成在 安全服务质量( q o s ) 的支持下，传送数据或多媒体业务。m a c 在相融的体系结构内， 支持猝发频分双工( f d d ) 和时分双工( t d d ) 传输。它还支持实时自适应调制和编码， 这样，在每次猝发传输时，链路中对每个用户台的通信都能迅速得到优化。 南京邮电大学硕士研究生学位论文第l 章绪论 i 2i e e e8 0 2 1 6 标准 1 2 1 标准化进程 最早的i e e e8 0 2 1 6 标准“1 是在2 0 0 1 年1 2 月获得批准的，是针对i 0 6 6 g h z 的高 频段视距( l o s ，l i n eo fs i g h t ) 环境而制定的无线城域网标准。8 0 2 1 6 标准定义无 线城域网单载波空中接口，即传输频率1 0 6 6 g h z 的单载波调制模式。在这些频率上， 信号传输严格限制在视距范围内，但所分配的可用频率很多，而且每2 5 m h z 信道都可重 复使用，数据传输速率高达1 2 0 m b i t s 。其主要市场将包括商业、工业和居民区住宅用 户。但目前所说的8 0 2 1 6 标准主要包括8 0 2 1 6 a 、8 0 2 1 6 d 、8 0 2 1 6 e 三个标准。 8 0 2 1 6 a 是为工作在2 、1i g h z 频段的非视距( n l o s ) b 1 宽带固定接入系统而设计的。 在2 0 0 3 年1 月被i e e e 批准通过。8 0 2 1 6 a 传输距离最高可达3 1 英里( 5 0 k m ) ，数据速 率可达7 0 m b i t s ，频谱效率高达5 b i t s h z 。8 0 2 1 6 a 作为一种固定宽带无线接入系统 的空中接口标准，可在2 1 i g h z 内作为有线网络“最后一公里 连接公网的替代手段。 它所支持的特许和非特许传输频率非常适合采用超视距的住宅用户和小型企业用户应 用。而且，它使得w m a n 和w l a n n 1n 1 适合结合，其基站以无线方式和互联网相结合， 可在有线不发达的地方作为一种替代手段。这是无线宽带接入技术的重大突破，因为传 输点与接收天线之间再也无需有视距连接。依靠8 0 2 1 6 a ，运营商能够使用一个发射 塔来支持更多的用户，从而显著降低服务成本。 8 0 2 1 6 d 是8 0 2 1 6 a 的增强型，于2 0 0 4 年6 月被正式批准。主要是对8 0 2 1 6 a 尤 其是在空中接口标准部分的进一步完善和对错误的更正。尽管它增强了非视距的支持， 实现了对室内无线数据接入的应用，但仍然只支持固定业务。 8 0 2 1 6 e 标准是8 0 2 1 6 a d 的进一步延伸，它使用2 6 g h z 频段，采用与i e e e8 0 2 1 6 a 同样的工作体制，在占用5 m h z 带宽时上、下行链路最高速率都可以达到1 5 m b i t s ，频 谱效率为3 b i t s h z ，支持本地和地区的移动性，支持漫游和切换，移动速度可以达到 1 5 0 k m h 。它解决的重点是有限的漫游应用和端到端的网络连接。客户机将能够在基站 之间自由切换，从而使用户能够在各个服务区之间任意漫游。 下表描述了8 0 2 1 6 系列各阶段的特点： 2 南京邮电大学硕士研究生学位论文第l 章绪论 8 0 2 1 6 8 0 2 1 6 a d8 0 2 1 6 e 内容固定宽带无线固定宽带无线支持固定和移 接入系统空中接口接入系统空中接口动的宽带无线接入 标准( 1 0 g 6 6 g h z )标准( 2 g 1 1 g h z )空中接口标准( 许可 频段) 频率 10 g 6 6 g h z 2 g 11 g h z2 g 6 g 带宽 2 0 2 5 2 8 m h z1 2 5 m 2 0 m h z1 2 5 m 2 0 m h z 数据速率 3 2 m 13 4 m b s 7 5 m b s 15 m 6 0 m b s 传输条件视距非视距 非视距 调制方式q p s k 、1 6 q a m 和主流o f d m 、2 5 6主流o f d m 、2 5 6 6 4 q a m 子载波、b p s k 、q p s k 、子载波、b p s k 、q p s k 、 1 6 q a m 、6 4 q a m 16 q a m 、6 4 q a m 终端移动性固定 固定小于1 5 0 k m s 1 2 28 0 2 16 技术特点 表卜18 0 2 1 6 系列各阶段的特点 8 0 2 1 6 标准能向固定、携带和移动的设备提供宽带连接，还可以用来连接8 0 2 1 l w i f i 1 与因特网，提供校园连接，以及在“最后一英里 宽带接入领域作为c a b l em o d e m 和d s l 的无线替代品。它的服务区范围高达5 0 k m ，用户与基站之间不要求视距传播， 每基站提供的总数据速率最高为2 8 0m b i t s ，这一带宽足以支持数百个采用t 1 e 1 型 连接的企业和数千个采用d s l 型连接的家庭。总之，它充分考虑了全世界通信公司和服 务提供商设计一个可扩展、长距离、大容量“最后一英里无线通信系统的需要和整套 的服务，从而使服务提供商能够在降低设备成本和投资风险的同时提高系统性能和可靠 性，有助于加速无线宽带设备向市场的投放以及“最后一英里 宽带在世界各地的部署。 1 3w i m a x 技术及应用 1 3 1wim a x 概述 w i m a x ( w o r l d w i d ei n t e r o p e r a b i l i t yf o rm i c r o w a v ea c c e s s ，全球微波接入 互操作性) 是一项基于i e e e8 0 2 1 6 标准的宽带无线接入城域网( b r o a d b a n dw i r e l e s s 3 南京邮电大学硕士研究生学位论文第1 苹绪论 a c c e s sm e t r o p o lit a na r e an e t w o r k ，b w a m a n ) 技术。w i m a x 亦常被称为i e e ew i r e l e s s m a n ( m e t r o p o l i t a na r e an e t w o r k ) ，其基本目标是提供一种在城域网一点对多点的多 厂商环境下，可有效地互操作的宽带无线接入手段。 w i m a x 作为一种无线城域网技术，通信商可以将其用来为用户进行无线宽带数据传 送。其最大传送距离可达5 0 公里，最大传输数据速率是每扇区7 0 m b p s 。它包括了众多 目前先进的研究成果，如服务质量、高安全性、较高的数据传输、网状网技术( m e s h ) 以及可以有效利用频谱的智能天线技术。 1 3 2w im a x 特点及优势 w i m a x 的主要优势在于基站覆盖范围广，无线段速率高。w i m a x 作为宽带接入的一 种手段，与传统的宽带有线接入技术a d s l n l 和l a n 相比，具有如下优势曲1 ： 灵活性强：无需等待数周时间安装线路，无线宽带接入可以轻松快速地在任何临时 站点建立起来。同时可根据用户需求和信道状况动态分配系统资源，减少资金或设备的 浪费。 应用范围广：在不便于部署有线宽带接入技术的区域，w i m a x 具有更强的适应能力。 例如：a d s l 接入的有效覆盖范围仅限于距局端5 k m 以内的区域，而w i m a x 则可以打破 这一距离限制。 成本低：在城郊和农村等部署传统宽带接入成本较高的地区，采用无线接入手段可 以有效地降低成本；运营商可以通过单个基站为成千上万户用户提供不同的服务。 但是，w i m a x 也有其固有的局限性。虽然其相对于有线网络的成本较低，但在城市 等适宜有线宽带接入的地区，w i m a x 用户侧接入设备的成本仍然比较高；虽然w i m a x 信 号的最远传播距离可达5 0 k m ，但通常只有3 5 k m 范围内才可以真正体验7 5 m b i t s 的高 速度，一旦超过这一范围，数据传输速率会下降；相对于有线接入，无线通信的安全问 题也不可避免地成为w i m a x 竞争能力的弱势。 2 0 0 5 年1 2 月1 7 日，互联网工程业务组( i e e e ) 宣布移动w i m a x 标准8 0 2 1 6 e 标 准获批。移动w i m a x 标准与固定w i m a x 标准的不同在于即使在基站之间移动时也要用 8 0 2 1 6 e 保持连接。新标准的制定使移动宽带向现实又迈进了一步。 1 3 3wim a x 的关键技术及特点 w i m a x 网络中使用了许多的关键技术，如m i m o 技术、o f d m 或o f d m a 技术、1 智能天 4 南京邮电大学硕士研究生学位论文 第1 荦绪论 线技术、自适应技术等，这都极大地提高了网络的性能，下面对这些技术做一些简单介 绍。 一、m i m o 技术d m i m o ( m u l t i - i n p u t & m u l t i - o u t p u t ，多输入多输出) 技术，是指在发射端和接收 端分别使用多个发射天线和接收天线。这就相当于发送端和接收端存在多个独立的信 道，使得接收天线间存在充分的间隔，可有效消除天线间信号的相关性，提高信号的链 路性能，增加了数据吞吐量。m i m o 技术能在不增加带宽的情况下成倍地提高通信系统 的容量和频谱利用率，它可以不通过增加发射功率就能获得很高的系统容量。 目前m i m o 技术领域，一个研究热点就是空时编码，其主要思想是利用空间和时间 上的编码，实现一定的空间分集和时间分集，从而降低信道误码率，使多天线能够分辨 多个数据子流，接收到准确的信息。 二、o f d m 或o f d m a 技术9 o f d m ( o r t h o g o n a lf r e q u e n c yd i v i s i o nm u l t i p l e x i n g ，正交频分复用) 技术是多 载波调制技术的一种，是通过减小和消除码间串扰的影响来克服信道的频率选择性衰 落。其概念是于2 0 世纪5 0 年代6 0 年代提出的，开始是应用于军事高频传输，目前 这一技术已应用于许多领域，特别是通信领域上。它的基本原理是将信道分成许多正交 子信道，在每个子信道上分别进行窄带调制和传输，这样减少了子信道之间的相互干扰。 每个子信道上的信号带宽小于信道的相关带宽，因此每个予信道的频率选择性衰落是 平均的，大大消除了符号间干扰。而且由于每个子信道的带宽仅仅是原信道带宽的- d , 部分，信道均衡变得相对容易。 与单载波系统相比，o f d m 技术有许多优点：如频谱效率高，能有效减少由于无线 信道的时间弥散带来的i s i ，易于结合空时编码、分集、智能天线等技术。o f d m 中各个 子信道上的正交调制和解调由快速反傅立叶变换( i f f t ) 和快速傅立叶变换( f f t ) 方 法实现，随着d s p 技术的快速发展，硬件实现i f f t 和f f ，r 是非常容易的。f f t 变换的 引入大大提高了o f d m 的可行性，也降低了系统的复杂度。o f d m 的高数据速率与子载波 的数量有关，增加子载波数目，能够提高数据的传送速率。o f d m 每个频带的调制方法 可以不同，这增加了系统的灵活性。o f d m 适用于多用户的高灵活度、高利用率的通信 系统。同所有其它通信方法一样，o f d m 也有其自身的缺点。首先，多载波的使用使得 这种通信技术相对于单一载波系统来说，对载频的偏移和相位噪声变得更加敏感；其次， o f d m 在相对较高的5g h z 频带，在f c c 功率限制下使用时，其覆盖范围会受到限制。 o f d m a ( o r t h o g o n a lf r e q u e n c yd i v i s i o nm u l t i p l e x i n ga c c e s s ，正交频分接入) 5 塑塞竺皇查兰堡圭里些兰兰堡堡兰里! 兰堕堡 物理层和o f d m 物理层的区别在于前者在上行( 用户站接入系统) 和下行( 基站以广播 方式发送信号) 均支持子信道化，后者仅在上行方向支持子信道化。此外，o f d m a 不同 于o f d m 对于不同子载波采用相同的调制编码方式，而是根据不同的子信道情况采用不 同的调制编码方式，从而提高信道利用率。 三、智能天线技术“1 智能天线是一个由多组独立天线组成天线阵列系统，该阵列的输出与收发信机的多 个输入相结合，可提供一个综台的时空信号。与单个天线不同的是，天线阵列系统能够 动态地调整波束方向，以使每个用户都获得最大的主瓣，并减小了旁瓣干扰，这样不仅 改善了信号干扰比，还提高了系统的容量，扩大y d , 区的最大覆盖范围，减小了移动台 的发射功率。引入智能天线技术，可以提高信号传输的可靠性，利用无线资源的空问可 分性，可以提高无线城域网系统对无线资源的利用率，扩大无线信号的传输范围，并从 根本上提高系统容量，为用户提供更好的移动性。 1 34w i m a x 系统组成及应用 1 w i m a x 系统的组成 图卜1w i m i a x 网络体系结构 固卜1 所示是w i i _ i a x 网络体系结构。包括核心网络、基站( b s ) 、用户终端( s s ) 、 中继站( r s ) 、用户终端设各( t e ) 以及网管。对于一个w i m a x 系统而言，通常只包括 1 个b s 和多个s s ，也可能根据需要设置若干中继站，形成点对多点或多点对多点体系 结构。 6 南京邮电大学硕士研究生学位论文 第l 章绪论 核心网络：w i m a x 连接的核心网络通常为传统交换网或因特网。w i m a x 系统提供核 心网络与基站间的连接接口，但w i m a x 系统并不包括核心网络。 基站：基站提供用户基站与核心网络间的连接，通常采用扇形定向天线或全向天 线。w i m a x 基站可提供灵活的子信道部署与配置功能，能够使运营商根据所拥有的授权， 或非授权频段资源灵活规划信道带宽，并根据用户群体状况不断升级扩展网络。 用户终端：用户终端提供基站与用户终端设备间的中继连接。i e e e8 0 2 1 6 用户终 端通常采用固定天线，并被安装在屋顶上。基站与用户终端间采用动态适应性信号调制 模式，这种模式能够使基站根据信号强弱调整到每个用户终端的带宽，以确保与用户终 端的正常连接。 中继站：在点到多点体系结构中，中继站通常用于提高基站的覆盖能力，也就是说 充当1 个基站与若干个用户终端( 或用户终端设备) 间的中继站。中继站面向用户侧的 下行频率可以与其面向基站的上行频率相同，当然也可以采用不同的频率。 用户终端设备：w i m a x 系统定义用户终端设备与用户终端间的连接接口，提供用户 终端设备的接入。但用户终端设备本身并不属于w i m a x 系统。 网管：网管系统用于监视和控制网内所有的基站和用户终端，提供查询、状态监控、 软件下载、系统参数配置等功能。 2 w i m a x 基于电信级的解决方案 在一个w i m a x 基于电信级解决方案中，系统核心组成是用户终端( s s 或c p e ) 和基 站( b s ) 。基站和一个或更多用户终端可形成一个以点到多点结构( p 2 m ) 的小区。基 站控制在小区之内的空中无线活动，包括对用户对媒体的接入，信道分派，服务质量 ( q o s ) 和对接入提供安全机制。 放置在用户终端的是c p e 子系统，配合b s 子系统完成用户数据的接收。它包括用 户终端s s 和驻地网关( r e s i d e n t i a lg a t e w a y ) 两个功能部分。用户终端s s 集成m o d e m 功能，完成8 0 2 1 6 协议规定之功能。驻地网关r g 提供到客户设备的接口，并提供完成 基于i p 的语音功能。通常这两个功能部分集成在一个独立实体内。 放置在网络侧的是b s 子系统，通常由网络运营商提供。通常它包括基站b s 、基站 控制器b s c 或接入控制器a c 等实体。b s 提供到若干c p e 子系统的全向或扇区无线覆盖。 基站控制器或接入控制器负责提供对一个或若干的基站系统提供管理功能，并负责提供 基站系统到运营商网络的接入服务。负责提供对客户的鉴权、授权、计费管理功能的 a a a 、提供对网络的管理功能和对客户的管理功能的网络客户管理设备等，根据实际情 况可以独立存在或相互组合构成一个实体单元；同时根据运营商的特殊情况采用新置设 7 自京目自学究生学位论i 第1 章绪* 备或使用现有设备。图卜2 所示是本文开友中w i m a x 的无线接入网络实现方式。在本文 中，b s 于系统中包括基站和接入控制器。 图卜2w i m a x 无线接入网络的实现方式 1 4w i m a x 与i e e e 8 0 2 1 6 i e e e8 0 21 6 的主要任务是，开发工作于2 6 6 g h z 频带的无线接入系统空中接口 物理层( p i y ) 和媒质接入控制层( m a c ) 规范，同时还有与空中接口协议相关的一致性测试 以及不同于无线接入系统之间的共存规范。 w i m x 基于i e e e8 0 2 1 6 协议族，包含多个协议：标准可以分为固定宽带无线接入 空中接口标准和移动宽带无线接入空中接1 3 标准，其中8 0 2 1 6 、8 0 2 1 6 a 、8 0 21 6 d 属 于固定无线接八空中接口标准，而8 0 2 1 6 e 属于移动宽带无线接入空中标准。 南京邮电大学硕士研究生学位论文第2 章w i m a x 系统网络管理技术基础 第2 章w i k k x 系统网络管理技术基础 2 1 安全超文本传输协议h t t p s 2 1 1h t t p 概述 h t t pn 们( h y p e r t e x tt r a n s f e rp r o t o c 0 1 ) 是超文本传输协议的缩写，它用于 传送w w w 方式的数据，关于h t t p 协议的详细内容请参考r f c 2 6 1 6 。h t t p 协议采用了 请求响应模型。客户端向服务器发送一个请求，请求头包含请求的方法、u r i 、协议 版本、以及包含请求修饰符、客户信息和内容的类似于m i m e 的消息结构。服务器以 一个状态行作为响应，相应的内容包括消息协议的版本，成功或者错误编码加上包含 服务器信息、实体元信息以及可能的实体内容。 超文本传输协议( h t t p ) 是一种为分布式，合作式，多媒体信息系统服务，面 向应用层的协议。 2 1 2s s l s s l n 的英文全称是“s e c u r es o c k e t sl a y e r ”，中文名为“安全套接层 协议层 ，它是网景( n e t s c a p e ) 公司提出的基于w e b 应用的安全协议，当前 版本为3 0 。s s l 协议指定了一种在应用程序协议“们( 如h t t p 、t e l e n e t 、n m t p 和f t p 等) 和t c p i p 协议之间提供数据安全性分层的机制，它为t c p i p “2 1 连接 提供数据加密、服务器认证、消息完整性以及可选的客户机认证。它已被广泛地用于 w e b 浏览器与服务器之间的身份认证和加密数据传输。 s s l 协议位于t c p i p 协议与各种应用层协议之间，为数据通讯提供安全支持。s s l 协议可分为两层：s s l 记录协议( s s lr e c o r dp r o t o c 0 1 ) ：它建立在可靠的传输协议( 如 t c p ) 之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。s s l 握手协议 ( s s lh a n d s h a k ep r o t o c 0 1 ) ：它建立在s s l 记录协议之上，用于在实际的数据传输开 始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 s s l ( 安全套接字层) 是一种安全协议。在w i m a x 系统中，根据所需配置之后， 提高安全性服务： w i m a x 接入控制器( w i m a xa c c e s sc o n t r o l l e r ，以下我们就简称为w a g ) 与o m c 9 南京邮电大学硕士研究生学位论文 第2 章w i m a x 系统网络管理技术基础 ( 操作维护中心) 之间的认证服务，确保高安全性的基于h t t p 的传输控制； w a c 与n e m l | | ( w i m a x 网元管理) 之间的认证服务，确保高安全性的基于h t t p 的传 输控制。 2 1 3 基于s s l 的安全超文本传输协议h t t p s 采用s s l 技术，对通过t c p i p 连接所传输的数据进行加密、认证，确保系统与 维护中心的高安全行操作，这就是我们通常所说得h t t p s 。它比普通的h t t p 要安全的 多。通信系统中较多采用这种安全的h t t p s 。 例如：图2 - 1 始咝 m t f 一 c a 妇哇 。o _ 嘻一 c a 轴建 o c f t o m ：s n p 锄呻曩i 9 醴岛矗：p a s s e a 弹tf m 降w a c o 叭 。s n i 蟠一 o m c s n m p 馕岫i j 蹲 h r a p ：泌墨e n c r 攒t h 哟一 n e a 咖埘封如强 n e m 列刎堀鹫 s s h 剖码b r m 嘏咿p 秘薯 图2 - 1h t t p s 应用实例 2 2 简单网络管理协议s n m p 2 2 1s n m p 概述 s n m p n 3 ( 简单网络管理协议) 是用于解决i n t e r n e t 网络管理问题的工具，s n i v l p 提供了在局域网和广域网上管理与控制不同类型网络设备的能力，使得一个复杂的网络 可以在有效的配置和管理之下稳定高效地运行。s n m p 提出于1 9 8 8 年，目前已广泛应用 于t c p i p 网络中。 2 2 2s n m p 网络管理模型 s n m p 的网络管理模型的结构框图1 如图2 - 2 所示： 1 0 南京邮电大学硕士研究生学位论文第2 章w i m a x 系统网络管理技术基础 请求 s n m p 管理者 代理进程 响应 iy f t c p i pt r a p t c p i p 卜 m i b i i 图2 2s 珊p 网络管理模型 1 ) 代理( a g e n t ) 1 5 1 代理是驻留在被管理节点( 如主机、路由器、交换机等网络设备) 的一个进程，它 接收和响应主机的命令来监视、控制、配置被管理节点。 2 ) 网络管理站( n m s ) 网管站是一台微机或工作站，网络管理员可通过它对网络设备进行管理，以使网络 可以稳定、高效地运行。它也可以接收代理发出的t r a p 消息。 3 ) 网络管理协议( s n m p ) n 钉 网络管理协议是一套在网络管理者与网络设备之间传递管理信息的规范。 4 ) 管理信息库( m i b ) 嘲1 8 管理信息库是对于通过网络管理协议可以访问信息的精确化定义，它使用一个层次 型、结构化的形式，定义了一个设备可获得的网络管理信息。 2 2 3 对象标识( o ld ) 在定义代理中的m i b 时，由管理信息结构( s m i ) 指定了m i b 变量的定义和识别。 如s m i 对m i b 的变量类型要进行限制，只有一些指定的变量类型可以被使用，而这些被 m i b 变量使用的名称来自于管理目标实体的识别名称，这识别名称就是对象标识。 对象标识是一个整数序列，以点( “”) 分隔。这些整数构成一个树型结构。对象 标识从树的顶部开始，顶部没有标识，以r o o t 表示。 图2 3 显示了这种树型结构。树上的每个结点同时还有一个文字名例如标识 1 3 6 1 2 1 就和i s o o r g d o d i n t e r n e t m g m t m i b - 2 对应。这主要是为了人们阅读方 便。在实际应用中，也就是说在管理进程和代理进程进行数据报交互时，m i b 变量名是 以对象标识来标识的。i s o o r g d o d i n t e r n e t p r i v a t e e n t e r p r i s e s ( 1 3 6 1 4 1 ) 1 1 南京邮电大学硕上研究生学位论文第2 章 w i m a x 系统嘲络管理技术基础 这个标识是给厂家自定义而预留的。 网管控制协议能发出许多潜在的消息命令，如：添加删除路由，修改接口地址， 检查地址等。但它把许多复杂的命令精简成很少的一些取( g e t ) 和设置( s e t ) 指令， 由这些指令对一些事先定义好的目标实体进行操作，达到预定的管理目标，如：要关闭 某接口，则网管站发出一个设置指令把这个接口的状态值置为关。这种方式相当简单， 只有有限的一系列命令，而所管理的目标可以通过m i b 的应用加以不断更改、扩充。 r 、 i t u t ( 0 )i s o ( 1 )j o i n t - i s o - i t u - t ( 2 ) i o r g ( 3 ) i d o d ( 6 ) i i n t e r n e t ( 1 ) (i)regret(2)歹exper7imenta太l(3)pr孓ivate(4)securit y(5)snmpvdirectory i 2 。6 ，( ) l l 图2 - 3 管理信息库中的对象标识 1 2 南京邮电大学硕士研究生学位论文第2 章w i m a x 系统网络管理技术基础 2 3 可扩展s n m p 代理协议( a g e n t x ) 2 。3 1 主代理与子代理之间的通信机制 图2 - 4 主代理与子代理间通信机制“5 1 图2 4 可以看出，主代理n 钉实际上成为网络设备的管理界面，它一方面接收并响 应网络管理站的命令，另一方面要管理控制各个子代理。主代理负责接收与响应网络管 理站的命令，并对命令进行解析，如果网络管理站所请求的m i b 变量在自己本地的m i b 中，那么主代理的行为与一个标准s n m p 代理完全相同，本地处理之后响应到网络管理 站。如果网络管理站所请求的m i b 变量不在自己的本地b t i b 中，它会找出管理此m i b 变 量的子代理，并向这个子代理发送请求，子代理收到请求之后，取得这个m i b 变量的值 并将其返回给主代理，主代理再将此m i b 变量的值响应到网络管理站。 子代理的功能是收集被管对象的管理信息，通过主代理响应网管站的查询和更新请 求，必要时发送告警信息给网管站。 2 3 2 可扩展s n m p 网络管理模型 可扩展代理 由一个主代理( m a s t e ra g e n t ) 和多个子代理( s u b a g e n t ) 组成。 主代理以代理的身份和网管站通信，发送和接收s n m p m 憎1 协议信息，但是基本访问 不到管理信息。子代理不能访问主代理处理的s n m p 信息，但是可以访问管理信息。主 代理和网络管理站通过s n m p 通信，与每个子代理是通过a g e n t x 协议通信。 其中主代理主要执行以下功能： ( 1 ) 接受子代理建立a g e n t x 任务的请求； 1 3 南京邮电大学硕士研究生学位论文第2 章w i m a x 系统网络管理技术基础 ( 2 ) 接受子代理注册所负责的m i b 区域： ( 3 ) 在特定的传输地址发送和接收s n m p 消息； ( 4 ) 发送和接收a g e n t x 信息以访问管理信息； ( 5 ) 转发子代理产生的t r a p 信息。 而子代理则执行以下的任务： ( 1 ) 向主代理发起a g e n t x 任务； ( 2 ) 向主代理注册所负责的m i b 区域： ( 3 ) 实例化被管对象； ( 4 ) 对变量执行管理操作； ( 5 ) 生成t r a p 消息。 a g e n t x 的主要设计特点有以下几个方面： ( 1 ) 采用主代理和子代理分工的结构，即主代理只关注s n m p 操作以及与a g e n t x 间操作的转换，而子代理只关注管理操作，两者互不干扰； ( 2 ) 提供标准的协议和规范以提供可扩展代理与管理指令间的操作； ( 3 ) 子代理可以被集成到可扩展代理而同时并不知道其它已存在的子代理； ( 4 ) 提供一个简单而有效的注册和分发机制，在一个可扩展代理中，一个子代理 只负责特定范围内的m i b 信息。 性能考虑。通常情况下主代理和所有的子代理都位于同一个主机上，这时a g e n t x 在 形式上更象进程间的通信，从而提高了效率。 a g e n t x 协议建立了这样一种框架：在不明显增加s n m p 代理的复杂性的情况下，提 供基于s n m p 的管理信息。a g e n t x 对管理者来说是透明的，所以现有的管理工具可以通 过使用基于a g e n t x 的可扩展s n m p 代理收集管理信息。a g e n t x 协议的结构也使代理的 设计保持简单，而同时子代理运行在不同的进程也增加了网络设备上的s n m p 系统的健 壮性。值得注意的是a g e n t x 主要是作为主代理和子代理的进程间的通信协议，而不是 用于网络范围。 1 4 南京邮电大学硕士研究生学位论文第2 章w i m a x 系统网络管理技术基础 被管节点主代理 他e 戗 子代理子代理 子代理 被管对象被管对象被管对象 图2 5m a s t e r s u b a g e n t 模型舶1 如图2 - 5 所示，这个模型得到普遍认可，各大设备厂商在设备出厂时就已经为一类 被管对象提供了子代理( s u b a g e n t ) 。同时又有类似n e t - s n m p 这样的免费的软件开发 包，将a g e n t x 协议封装，对外提供a p i 接口，这使得子代理的开发者不必了解a g e n t x 协议的细节，就可以开发自己的子代理，这样使子代理的开发更加简单易行。 2 4s n m p 的安全机制 2 4 1s n m p 的安全性分析 s n m p 代理是一个软件，它能够回答s n m p 管理站关于m i b 中定义信息的各种查询， 每一个为管理站提供m i b 信息的网络设备都有一个s n m p 代理，每个代理不但要控制 自己本地的m i b ，而且必须控制多个管理站对该m i b 的使用。这种控制包含3 个方面： 认证服务：代理可以把对m i b 的访问限制在授权的管理站。 访问策略：代理可以授予不同的管理站不同的访问权限。 转换代理：一个代理可以作为其他被管理系统的转换代理，其任务可能包括为其 它被管理的系统实现认证服务和访问策略。 所有这几方面都和安全有关，代理需要保护自身及其m i b ，使m i b 能够拒绝非法访 问。 在使用s n m p 进行网络管理时，可能会受到以下六类攻击2 ： 信息更改( m o d i f i c a t i o no fi n f o r m a t i o n ) ：一个实体可以更改由另一授权实体产 l s 南京邮电大学硕士研究生学位论文 第2 章w i m a x 系统网络管理技术基础 生的正在传输的消息，以至于导致越权的管理操作，包括对象值的设定。这种威胁的 本质就是未授权的实体可以修改任何管理参数，包括与配置、操作和计费方面的参数。 伪装( m a s q u e r a d e ) ：一些未授权的实体可以通过假装具有已授权实体的身份，去 执行只有授权实体才可以执行的管理操作，从而获得额外的特权。 消息流的更改( m e s s a g es t r e a mm o d i f i c a t i o n ) ：s n m p 被设计成在无连接的协议上 运行。对s n m p 安全性的一种威胁就是消息可能被重排、延迟或者重放，导致非授权 的操作。 泄漏( d i s c l o s u r eo fi n f o r m a t i o n ) ：实体可以观测管理者与代理之间的信息交换