（计算机应用技术专业论文）网络设备远程管理系统的研究与开发.pdf

网络设备远程管理系统的研究与开发 计算机应用技术专业 研究生唐冲指导教师袁丁 随着计算机网络的逐渐普及，网络设备在人们生活和工作中的应用的规模 也在逐渐的扩大。网络设备的安全管理问题成为众多网络问题中的焦点。安全 的网络设备远程管理系统可以使用户和管理员通过不安全的网络访问控制网 络设备，从而安全的实现网络设备的远程管理。 目前，对怎样实现个安全的网络设备远程管理系统的研究在国内外都是 一个新兴课题。具体的设计和实现存在差异，这主要是由于不同的网络设备存 在差异造成的。在现在存在的一些网络设备远程访问控制系统中，对用户身份 认证的问题并没有很好的解决，很多系统都是基于简单的用户名口令的形式。 这样就给很多恶意的攻击者创造了一定的机会，攻击者利用穷举法或字典查找 的方法可以轻松的进入系统。同时，在很多传统的远程设备管理系统中，并没 有对访问网络设备过程中的通讯信道的安全性做过多考虑，仍有部分系统使用 普通的通讯信道传输用户指令和获取输出结果，让信息在网络上进行明文形式 的传输。由于网络设备相对于内部网络的重要性，因此，这些安全问题都是在 设计实现系统时必须解决的。 基于以上可能存在的安全问题，本文就怎样设计和实现一个安全的网络设 备远程管理系统进行深入研究。提出了基于身份认证过程的远程管理方案。用 户在登陆客户端的同时，首先获得身份的认证和权限的分配。身份认证和权限 分配过程通过k e r b e r o s 协议和l d a p 协议来实现。权限的设置和分配可以通过 对l d a p 服务器数据的操作来实现。在通讯信道的安全性方面，本文采用s s h 协议建立用户和网络设备之间的通讯信道，用户通过应用服务器访问网络设 备。在用户对网络设备的具体访问方式上，采用了s s h 的访问方式，s s h 访问 方式使信息在传输过程中受到加密的保护。由于以上改进，本文设计的网络设 备远程管理系统的安全性方面得到保证。 最后，基于本文对网络设备远程管理系统的改进和设计，采用具体的f 回络 设备s r c c a 防火墙进行模拟实现，并对其进行测试，证明本方案是切实可行的。 关键词：s s h 协议l d a p 协议k e 而e f o s 协议票据会话密钥匿名 管道 r e s e a r c h e sa n dd e v e l o p m e n to nr e m o t e m a n a g e m e n ts y s t e m o fn e t w o r kd e v i c e s p o s t g r a d u a t e ：t a n gc h o n gs u p e r v i s o r ：y u a nd i n g w i t ht h e 罂幽a lp c 幔d a 血删加o ft h ec o m p u t 日m 幅，o d 【，t h ea p p l i c a t i o no f n e t w o r k d e v i c e 8 i n p e o p l e s l i f ea n d w o d c e x p a n d s i n c r e a s i n g l y a m o n g t h e n e t w o r k 咖b l 即琏s a f c t yn m a a g e m e n to fn e t w o r kd e i c e sh a sb e c o m et h e 触取s e c u r e r e , n o t em 越壕g c 删s y s t e mo f t h en e t w o r kd c ! 、，i c e se n a b l e su s 懿a n da d m i n i s w a t o r s t oc o n t r o ln e t w o r kd f v i 淄b yt h eu s eo fh t s e c u r en e t w o r k , 托a l i 瘟培t h er c z n o t e n 船n a g e m e u t o f n e t w o r k d e v i 淄i n a s a f e w a y 、嘲硼mi ti ss t i l lai 删t o p i cf o ro v 最s e 鹅c o u i i 缸e sa b o u tt h er e s e a r c ho f h o w t or e a l i z eas a f er e m o t em a m g e m e n ts y s t e mo fn e t w o r kd e v i 嗌t h e r e 鼬 d i 伍暂耥i nt h ec o n c r e t ed e s i g na n d 托a i 匦衄i ti sp r h m m yc a u s e db yt h e d i 伍玳嬲i nt h ed i 伍班mn c t w c s kd e v i c e s i ns o l , t e x i ：s t e m 删r o n i n gs y s t e m so f i 黜t ev i 斌1 h c 肼斌黜o f v c 咖n g l 】鞭，s d i s n o t b e e n w e l l s o l v e d m a n y s y s t e m s b a s eo n l yo na 曲印l ep a t t e mo f u s e r sf l a m ea n dp a s s w o r d ；雠c a r tc r e a t ec e r t a i n o p p c f a m i t i e sf o rm m l yv i c ea t t a c k c 髂a t t a 呔e r 5 锄e n t e rs y s t e m se a s i l yb y e x h a t i 碰o nm e i h 。dt a x ir e f e n d n gt od i 伍赫苍m 翩唧舸d e ，i n 舢l y 删d a l 脚删咖o f r e m o 钯d e v i c e s , w e 御t o 础细m u c h a b o u t t h es a 母 o f l b e m 加m 酬c h 咖谢o f 、，i 她m 愀掣s t 臼n 躺础盘删o f 巧吼朗笛u s e 脚蚴脚功m d c 劬呲c h a n n e lt o 位m 如血u s e r sl 艘- w o r d 扣d a t t a i n o u t e rs oe n a b l em a s s a g e st ob c 协m 翻】讯。d 妇把嘣缸av o c a l 桃b e c a u s eo f t h ei n v o m n e * o f n e t w o r kd e v i c e s 衙i n n e rn a i v o r k , t h e s es e c u r ep r o b l e m sh a v et o b e s o l v e d w h e n d e s i g n 锄d r c a l i z e s ) 哦锄 1 s i nv i e wo f l h cp o t e n t i a ls a f e t yp r o b l m t , t i f f sp a l x a m a d eap r o f u n dr e s e a 龙h0 1 1 h o wt od e s i g na n dr e a l i z eas e c i et w n o t em a n a g e m e n ts y s t e * i no f n e t w o r kd e v i c e s , a n dp u tf o r w a r dt h es c h e m eo f i d e n t i t y - b a s e d 他n l o t cv i s i t a st h el 脚a 】t e 疆c l i e n t s i d e , h ef i r s t 韶i 玎sk l 咖i t ya u t h e n t i c a t i o na n dp o w e rd i s m i b i i f i o nt h r o u g hk c r b c r o s p r o t o c o la n dl d a pp r o t o c o lt h ep o w e , s e t t i n ga n dd i s t r i b u t i o nc a nb er c a l i z e d 吐；o u g h l d a p s c c r a s t o t h e s a f e t y o f c o m m m i c a f i o n c h a n n e l , t h i s p a p e r a d o p t e d s s hp r o t o c o lt oe s t a b l i s hs u c hr e l a t i o nb d m ，e t h eu s e ra n dn e t w o r kd 目c i c e s8 0f l = l a t t h eu s e rc o u l dv i s i tt h en o ：w o r kd 晰c e st u g ha p p l i c a t i o ns e r v e t h e 嗽w 洲 u s h h , b yw h i c hm e a m ；t h ei n f o r m a t i o nc 锄b ep r o t e c t e di nt h ep r o c e s so f 缸锄= l s n 吐辎j o l la f b e fs u c hi m p r o v e m e n t , t h es e c u r i t yo f r m a o t em a n a g e m e n ts y s t e m d e s i g n e d i n l i = 1 i s p a p e r w o u l d b e g u a m t 缸 f i n a l l y , b a s e do i lm yi m p r o v e m e n ta n dd e s i g n i n go f 自h cr e m o t em a n a g e m e n t s y s t e mo ft h en e t w o r kd e v i c e s , ia c e , t e ds r c c a f i r c w a l lt oc o n d u c ts h - n u l 越i o n 代a h z 撕o nt h i ss c h e m ep r o v e st o p r a c t i c a l 吐u o u g ht e s t s k e yw o r d s s s h p m t o c o ! l d a p p r o 自a c o lk e l s p r o u ) c o l 1 1 c h a s e s s i o n k e ya n o n y m i v y p i p e 四川师范大学学位论文独创性及 使用授权声明 本人声明：所呈交学位论文，是本人在导师童工指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任 何其他个人或集体已经发表或撰写过的作品或成果。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。 本人承诺：己提交的学位论文电子版与论文纸本的内容一致。如因不符而 引起的学术声誉上的损失由本人自负。 本人同意所撰写学位论文的使用授权遵照学校的管理规定： 学校作为申请学位的条件之一，学位论文著作权拥有者须授权所在大学拥 有学位论文的部分使用权，即：1 ) 己获学位的研究生必须按学校规定提交印 刷版和电子版学位论文，可以将学位论文的全部或部分内容编入有关数据库进 行检索；2 ) 为教学和科研目的，学校可以将公开的学位论文或解密后的学位 论文作为资料在图书馆、资料室等场所或在校园网上供校内师生阅读、浏览。 论文作者签名：刁囫中 0 7 年乒月船日 第一章引言 1 1 研究目的与意义 随着计算机的发展，计算机网络规模的不断扩大，所需求的网络设备相应 的增多。目前，国内外计算机网络的应用呈现以下一些特点：网络规模越来越 大，现代大型计算机网络可能包含很多个局域网( l a n ) 和用户，对于如i h ，庞 大的网络，如果某一关键的设备出现了故障，则会造成巨大的损失；网络资源 和网络服务越来越丰富：现在的计算机网络从以前简单的数据传输发展到现今 包括语音、视频、图象等多媒体信息的传递，对于这些网络资源和网络服务迸 行有效的分g 和管理变的十分重要，其难度也越来越大；网络维护越来越复杂： 现在的计算机网络包括各种各样的设备，如大型机、小型机、路由器、交换帆、 个人工作站等，以及各种各样的软件，这些设备和软件来自不同的厂家，使用 不同的协议，采用不同的连接技术，则必须有先进的网络管理技术对它们进行 维护和管理；网络安全闯题越来越突出，由于黧客和计算机病毒严重威胁着网 络和信息安全，网络安全问题已经引起人们的高度重视，所以如何防止黑客和 病毒的入侵，如何提高系统的安全性，是现在网络管理的重要内容和任务。计 算机网络应用中遇到的问题越来越多，因此，为了维护日益庞大的网络、保证 网络资源处于良好的运行状态，需要为网络用户提供个经济、安全、可靠性 高等的网络管理系统来管理这些网络设备和资源。 各种网络内部的网络设备，如：防火墙，路由器等，肩负着连接内部网络 和外部网络以及保护内部网络计算机的重要使命。防火墙，路由器等网络设备 是整个内部网络运行的基础和基本保障，由于其重要性，因此需要管理员经常 查看网络设备的状态和更改各项参数，特别是在很多特殊的情况下( 例如无人 看守极房) ，对网络设备的管理必须采取远程管理的方式。在管理员采取远程 登陆的方式管理网络设备时，由于整个操作过程要通过外部网络进行的，因此， 在这个过程中，恶意的黑客很容易获取网络通讯数据包，通过分析，从而获得 管理员的权限。所以怎样通过不安全的网络来安全的访问控制网络设备，成为 了诸多网络安全问题的核心。设计个可靠的身份认证方式和通讯方式，使客 户端用户可以安全访问控制远程设备是本文的目标。采用远程访问网络设备的 方式，可以使网络设备管理员和普通用户在任何地点通过不安全的外部网络与 所要访问的网络设备建立连接，查看并更改网络设备的相关参数，实现对网络 设备的远程管理。 本文在设计网络设备远程管理系统方案时，充分考虑到信息安全的重要 性，确保数据传输的完整性，可靠性；并且确认访问用户的身份和为访问用户 分配具体的权艰。本文研究并实现客户端对远程网络设备的安全管理，对于保 障网络设备的正常运行。方便管理员和用户对网络设备的管理，具有重要的意 义。同时，研究并实现客户端对远程网络设备的安全管理，对于今后生产具有 统一的远程管理接口的网络设备，提供了一定的实现思路和依据。 1 2 国内外研究现状及发展情况 对网络设备远程管理系统的研究，主要是对身份认证设计和安全信道建立 的研究，设计个合理安全的身份认证方案和通讯模式能提高用户访问远程设 备的安全性。从而实现对网络设备的远程配置、性能参数监测、故障诊断等功 能j 由于网络设备管理系统大都针对不同的硬件设备，具体的开发技术也不相 同。网络设备管理系统主要由两类公司开发，类是通用软件供应商，另类 是各个设备厂商。因此，目前国内外对此技术的研究主要体现在商业产品的开 发方面，具体的有如下一些： 国外研究现状： ( 1 ) 1 9 9 7 年1 月，首届基于i n t e r n e t 的远程监控诊断工作会议由斯坦福 大学和麻省理工学院联合主办，有来自3 0 个公司和研究机构的5 0 多位代表到 会。会议主要讨论了有关远程监控系统开放式体系、诊断信息规程、传输协议 及对用户的合法限制等，并对未来技术发展作了展望。由斯坦福大学和麻省理 工学院合作开发基于i n t e r n e t 的下代远程监控诊断示范系统，这项工作同 2 时也得到了制造业、计算机业和仪器仪表业的s u n 、h p 、b o e i n g 、i n t e l 、f o r d 等1 2 家大公司的热情支持和通力配合。之后，由这- - - 此：h 司共同推出了个实 验性的系统t e s t b e d 。t e s t b e d 用嵌入式w e b 组网、用实时j a v a 和b a y e s i a n n e t 初步形成在i n t e r n e t 范围内的信息监控和诊颧推理。 另外，许多国际组织，如m i 虻) s a ( r a c h i n e r yi n f o r m a t s o nm a n a g e m e n to p e n s y s t e ma l l i a n c e ) 、s 啊叮( s o c i e t yf o r _ l a c h i n e r yf a i l u r e p r e v e n t i o n t e c t m o l o g y ) 、c a 蝴d i 瑚( c o n d i t i o nm o n i t i o na n de n g i n e e r i n gm a n a g e m e n t ) 等，也纷纷通过网络进行设备监控与故障诊断咨询和技术推广工作，并制定了 一些信息交换格式和标准。许多大公司也在 蟛门的产品中加入了i n t e r n e t 的 功能，如b e n t l y 公司的计算机在线设备运行监测系统d a t am a n a g e r 。2 0 0 0 可 以通过网络动态数据交换( n e td d e ) 的方式向远程终端发送设备运行状态信 息；著名的n a t i o n a li n s t r u m e n t s 公司也在它的产品l a b w i r m 脚s c v i 以及 l a b v i e w 中加入了网络通讯处理模块，因而可以通过w 孵、f r p 、e m i l 方式在 网络范围内进行监控数据的传送。法国“a l a r m ”研究组对生产过程的智能报 警和监控系统进行了长期研究，并在多个项目中进行了应用。 ( 2 ) 咿公司开发了o p e n v i e w 网管软件n n m ( n e t w o r kn o d em a n a g e r ) ，用 于对咿公司的网络设备进行管理，并兼容大多数厂商生产的网络设备。具有 计费、认证、配置、性能与故障管理功能。它能够对局域网或广域网中所涉及 的每一个环节中的关键网络设备及主机部件( 包括c p u 、内存、主板等) 进行 实时监控，可发现所有意外情况并发出报警，可钡9 量实际的端到端应用响应时 间及事务处理参数。印o p e n v i e wn n m 能够可靠运行在h h l o 2 吖1 1 x ，s u n s o l a r i s2 5 2 6 、w i n d o w sn t 4 0 等多种操作系统平台上。 ( 3 ) i b m 公司开发的t i v o l in e t v i e w 网络设备管理软件，基于j a v a 的控 制台，它能监测t c p i p 网络，显示网络的拓扑结构，管理各种事件：监视系 统运行和收集系统性能数据。t i v o l in e r v i e r 采用分布式的管理，减少了整 体系统的维护费用。同时t i v o l in e t v i e 啊兼容多种厂家的设备并拥有全球数 百个厂商的支持。可允许网管人员从网络中的任何位置访问t i v o l in e t v i e w 数据。用户可以获锝有关节点状况、设备参数、对象收集与事件方面的信息， 也可对t i v o l in e t v i e 哪服务器进行实时诊断。 ( 4 ) c o 哪u t e ra s s o c i a t e s 公司开发了u n i c e n t e r 网络设备管理产品。它 提供了各种网络和系统管理功能，主要解决两方面问题：设备管理和性能管理。 它不仅可以对支持标准s n 即( 简单网管协议) 的设备进行直接管理，还能够 对不支持s n m p 协议的网络设备进行管理，极大地扩展了设备管理的范围。可 以实现对整个网络架构的每一个细小细节( 从简单的p d a 至各种大型主机设 备) 的控制，并确保企业环境的可用性。从网络和系统管理角度来看，u n i c e n t e r 可以在n r 到大型主机的所有平台上；从自动运行管理方面来看，它可以实现 日常业务的系统化管理，确保各主要架构组件( w e b 服务器和应用服务器中 间件) 的性能和运转。从数据库管理来看，它还可以对业务逻辑进行管理，确 保整个数据库范围的最佳服务。 ( 5 ) 针对具体网络设备的网络管理系统还有：针对c i s c o 设备的 c i s c o w o r k s 2 0 0 0 管理系统：针对防火墙的c h e c kp o i n t 、n e t s c r e e m 、c i s c op i x 管理系统；针对i d s 的，i s s 公司生产的r e a l s e c u r e 管理系统、a x e n t 公司的 i t a 管理系统以及n a i 公司的c y b e r c o i 删o n i t o r 管理系统。 国内主要商业产品： ( 1 ) 华为公司针对于i p 网络开发的适合各种规模的网络管理的网管软件 q u i d v i e w ，它是华为i m a n a g e r 系列网管产品之一。主要用于管理华为公司的 q u i d m a y 系列路由器，以太网交换机、v o i p 、视频会议系统以及接入服务器。 q u i d v i e w 网络管理系统采用的是客户机朋臣务器模式，网管站( h 临) 作为客 户端，设备侧的代理( a g e n t ) 作为服务器端。网管站( 峪) 对网络设备发送 各种查询报文。并接收来自被管设备的响应及陷阱( t r a p ) 报文，将结果显示 出来。代理( a g e n t ) 是驻留在被管设备上的一个进程，负责接收、处理来自 网管站的请求报文，然后从设备上其他协议模块中取得管理变量的数值，形成 响应擐文，送回给n m s 。在一些紧急情况下( 如接口状态发生改变，呼叫成功 等情况) ，主动通知n m s ( 发送陷阱t r a p 报文) 设备的当前状况。q u i d v i e w 充 分利用设备自己的管理信息库完成设备配置、浏览设备配置信息、监视设备运 行状态等网管功能，不但能够和华为的n 2 0 0 0 结合完成从设备级到网络级的网 络管理，并且还能集成到s n 肝c 、h p o p e n v i e w n m 、w h a t s u p g o i d 、i 蹦t i v o l i 4 n e t v i e w 等一些通用的网管平台上，实现从设备级到网络级全方位的网络管理。 ( 2 ) 游龙科技开发的s i t e v i e w 系列产品，采用“远程登陆”的方式实现 网络设备检测和管理，基于t e l n e t , w m i ，0 d b c , p o p 3 s 加甲等协议。它可全面监 测整个网络体系，如网络的连通性( p i n g ) 、网络设备( 路由器、交换机、防火 墙) 的状态、路由器c p u 负载等，并自动生成层级关系明晰的网络拓扑图。与 国内外其他设备管理软件相比，s i t e v i e wn n m 具有采用智能客户端、微型导 航图、以面向对象方式存储和处理数据等独特的优势。s i t e v i e wn n m 可7 x 2 4 小时监测路由器、交换机和智能h u b 的核心参数，如端口流量、端口使用率、 内存、c p u 、路出表等。对于服务器的监测，它主要从运行状态、启动情况、 c p u 、内存、磁盘、进程、服务等方面进行监测。s i t e v i e wn 嗍还可以帮助网 络管理人员时实了解网络的连接情况、配置情况和运行情况。它全面支持s n m p v 1 、v 2 、v 3 、剐o n l 2 和i c m p 等协议，提供i p 姒c 地址绑定功能，并允许 用户远程操作的设备面板图。允许用户远程查看和配置设备面板图，提供 i p - w a c 的绑定功能。设备网管则主要是对网络设备进行全面管理，通过算法 快速自动搜索网络内设备、网络设备、p c 和s e r v e r ，并实时显示网络资源的 链路关系和运行状态，7 ) ( 2 4 小时监测路由器、交换机和智能h u b 的核心参数， 如端口流量、端口使用率、内存、c p u 、路由表等。而对于服务器的监测，它 主要从运行状态、启动情况、c p u 、内存、磁盘、进程、服务等几个有限的指 标进行简单的监测。设备网管无法实现对应用系统及应用系统运行状况的监测 和管理。对于网络运行中的异常状况，s i t e v i e wn n m 可自动发送声音、颜色、 寻呼等告警通知。s i t e v i e wn n m 功能非常完善，它不仅方便网络管理人员查 询网络运行日志、数据库等历史记录，而且提供了直观简明的图表报告，如条 形图、曲线图、饼图、分布图、报表、w e b 报告等。 ( 3 ) l i n km a n g e r 基础版是神州数码网络有限公司根据中4 , g d k 网络用户 对网络设备管理的需求而研发的网管系统。通过对设备采集数据的监控，实现 即时数据分析和历史数据分析，并形成图形展示、告警通告、报表提交等功能。 神州数码品牌的网络设备进行监测与配置，包括：设备信息、s p a n n i n gt r e e 、 端口信息、流控信息、接口统计信息、转发表、路由表、q o s 信息、冷启、 热启等功能。集成设备自有的c o n s o l e 口或h t r p 配置功能。提供m i b 浏览 器、p i n gt 具、t e l n e t 工具等；内嵌与w e b 服务器的接口 1 3 本文所做的工作 通过大量的查阅和研究国内外有关鼹络设备远程管理系统的资料，并在结 合现代网络通讯和安全技术的基础上，本人提出了一个安全的网络设备远程管 理系统的设计方案，并根据这个方案，在具体的网络设备s 黝硬件防火墙 的基础上实现了该系统，解决了一些关键的技术问题。具体来讲主要有以下几 个工作： l 、提出了网络设备远程管理系统的总体设计方案。 这个方案可以解决用户远程登陆管理网络设备。同时对设计的网络设备远 程管理系统的体系结构作了详细的描述和流程说明。 2 、解决了网络设备远程管理系统的一些关键技术问题。 这些问题的解决与否直接关系到本系统能否顺利的实现，主要包括有以 下几个方面： ( 1 ) k e r b c r o s 协议实现过程中，响应请求消息实现。 k 埴b e s 协议的实现依赖于响应消息和请求消息，这两种消息的定义， 传输和处理过程。 ( 2 ) 融m e 临协议实现过程中，票据的具体实现 票据是i ( 曲e s 协议的主要使用数据，票据的定义和使用过程 ( 3 ) k e r b c r o s 协议实现过程中，时间戳的具体实现 k 毹燃髓协议实现过程中，票据主要依靠时间戳来防止重放攻击，时 间函数的具体算法。 ( 4 ) 用户权限的存储和分配问题 对已通过身份认证的用户，具体应该怎样分配权限以及与用户权限相 关的信息应该以何种方式存储。 ( 5 1s s h 通讯信道的实现问题。 要在客户端和被访问网络设备之间建立s s h 通讯信道，具体的建立， 使用和释放过程。 6 ( 6 ) l d a p 服务器的数据构造方式以及对l d a p 服务器的数据的存储方 式的实现。 3 、从理论上说明了提出方案的正确性和可行性和安全性。 4 、开发出一个基于具体的网络设备的模拟系统，从实践的角度来证明解 决方案的可行性。 1 4 本文的组织结构 本论文主要l 嗣述网络设备远程管理系统的具体设计和在硬件防火墙中的 应用，同时也介绍了相关的些技术和理论。 论文结构如下： 第一章：( 即本章) 讲述课题背景、研究目的、研究意义和国内外研究现状 及本文工作。 第二章：对本系统所关系到的相关技术和知识进行介绍，包括s s h 协议 分析，l d a p 协议和k c r b e o s 协议的分析。t 第三章：介绍网络设备远程管理系统的总体设计思路。包括系统基本构架， 相关的数据定义，认证服务器的设计和实现，应用服务器的设计和实现，l d a p 服务器的数据模型的设计。对各个模块的具体功能进行详细介绍，并实现关键 的模块。本章是本文的重要章节。 第四章：基于硬件防火墙的网络设备远程管理系统的实现：采用具体的网 络设备来实现该系统，用实践来证明理论的可行。包括具体实现环境，模拟网 络设备远程管理系统的体系结构，身份认证过程的实现，用安全信道通讯的实 现，客户端交互模块的实现。 1 5 小结 随着信息化的发展，计算机网络的普及，网络设备的使用日益增加。用户 通过网络对网络设备进行管理是网络设备管理技术的新方向。虽然，采用远程 方式管理网络设备能给用户带来一定的方便，但同时也提出了更高的安全要 求。不安全的网络设备管理系统不仅不能方便用户，反而产生很多安全隐患， 甚至产生严重的后果。对用户身份的认证和安全通讯信道的建立能在一定程度 上保证远程访问过程中数据的完整性和有效性。远程访问控制网络设备的技术 应用面彳酗。，它关系到整个内部网络的安全，因此采用多种成熟的安全技术来 实现统一的网络设备的管理势必成为新的热点。 第二章相关技术介绍 2 1 $ s h 协议分析 2 1 1 s , q h 协议简介 s s h 的英文全称为s e 黜s h e h ，是i e t f ( i n t e r n e t e n g i n e e r i n g t a s k f o r c e ) 的n e t w o r kw o r k i n gg r o u p 所制定的一族协议，其目的是要在非安全网络上提 供安全的远程登录和其他安全网络服务。 s s h 有很多功能，它既可以代替t e l n e t ，又可以为f t p 、p o p 、甚至为p p p 提供一个安全的”通道”。它主要提供如下几种安全服务：安全远程登陆：用户 可以用s s h 完成t e l n e t ，r l o g i n 能够完成的任何事情。登陆后所有的通 讯数据都受到加密保护：t c p 端口转发：利用s s h 既可以进行本地端口的流 量转发，也可以进行远程端口的流量转发，甚至可以结合p p p 协议组建虚拟专 用网；安全远程执行命令：使用s s h 协议，同样可以调用s h e l l 程序，由于 建立连接后所有数据都经过加密，因此在s s h 连接建立后，远程执行命令时 所有的通讯都被加密；安全远程文件传输：s s h 允许通过客户端程序s c p 进 行文件的远程拷贝。在s s h 协议版本2 中，更提供了s f t p 的安全文件传输服 务。x 窗口连接转发：s s h 提供的个重要功能就是x 转发功能，它可以在 客户端的显不屏t 把服务器端x 程序为运行结果以图形形式显示在客户端的 显示屏幕上。 s s h 协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和 连接协议。同时s s h 协议框架中还为许多高层的网络安全应用协议提供扩展 的支持。它们之间的层次关系可以用如下图2 1 来表示： 9 偿 在s s h 的协议框架中，传输层协议( t h et r a n s 3 斌l a y e rp r o t o c 0 1 ) 提供服 务器认证，数据机密性，信息完整性等的支持；用户认证协议( t h eu s e r a u t h e n t i c a t i o np r o t o c 0 1 ) 则为服务器提供客户端的身份鉴别；连接协议( t h e c o n n e c t i o np r o t o c 0 1 ) 将加密的信息隧道复用成若干个逻辑通道，提供给更高 层的应用协议使用；各种高层应用协议可以相对地独立于s s h 基本体系之外， 并依靠这个基本框架，通过连接协议使用s s h 的安全机制 2 1 28 , q 8 协议协商认证的消息流程 整个通讯过程中，经过下面几个阶段协商实现认证连接 第一阶段：由客户端向服务器发出t c p 连接请求。t c p 连接建立后，客 户端进入等待，服务器向客户端发送第个报文，宣告自己的版本号，包括协 议版本号和软件版本号。协议版本号由主版本号和次版本号两部分组成。它和 软件版本号起构成形如：”s s i - w 的字符串。其中软件版本号字符串的最大长度为4 0 个字节，仅供调试 使用。客户端接到报文后，回送个报文，内容也是版本号。客户端响应报文 1 0 里的协议版本号这样来决定：当与客户端相比服务器的版本号较低时，如果客 户端有特定的代码来模拟，则它发送较低的版本号；如果它不能，则发送自己 的版本号。当与客户端相比服务器的版本号较高时，客户端发送自己的较低的 版本号。按约定，如果协议改变后与以前的相兼容，主协议版本号不变；如果 不相兼容，则主主协议版本号升高。 服务器接到客户端送来的协议版本号后，把它与自己的进行比较，决定能 否与客户端起工作。如果不能，则断开t c p 连接；如果能，则按照二进制 数据包协议发送第个二进制数据包，双方以较低的协议版本来起工作。到 此为止，这两个报文只是简单的字符串，直接可读。 第二阶段：协商解决版本问题后，双方就丌始采用二进制数据包进行通讯。 由服务器向客户端发送第一个包，内容为自己的r s a 主机密钥o o s tk e y ) 的公 钥部分、r s a 服务密钥( s e r v e r k e y ) 的公钥部分、支持的加密方法、支持的认证 方法、次协议版本标志、以及一个“位的随机数( c o o k i e ) 。这个包没有加密， 是明文发送的。客户端接收包后，依据这两把密钥和被称为c o o k i e 的6 4 位随 机数计算出会话号( s 懿i o ni d ) 和用于加密的蝴( s c s s i o nk e y ) 。随后客户端 回送一个包给服务器，内容为选用的加密方法、c o o k i e 的拷贝、客户端次协议 版本标志、以及用服务器的主机密钥的公钥部分和服务密钥的公钥部分进行加 密的用于服务器计算会话密钥的3 2 字节随机字串。除塞个用于服务器计算会 话密钥的3 2 字节随机字串外，这个包的其他内容都没有加密。之后，双方的 通讯就是加密的了，服务器向客户端发第二个包( 双方通讯中的第个加密的 包) 证实客户端的包已收到。 第三阶段：双方随后进入认证阶段。可以选用的认证的力法有：用户口令 认证和用户密钥认证。 认证的第一步是客户端向服务器发s s ho 鹤gu s e r 包声明用户名， 服务器检查该用户是否存在，确定是否需要进行认证。如果用户存在，并且不 需要认证，服务器回送个s s hs m s gs u c c e s s 包，认证完成。否则，服 务器会送一个s s hs m s gf a ij i l e 包，表示或是用户不存在，或是需要进 行认证。注意，如果用户不存在，服务器仍然保持读取从客户端发来的任何包。 除了对类型为s s hm s gd 1 s c 】n e c t 、s s hm s gi g n o r e 以及 s s hm s gd e b u g 的包外，对任何类型的包都以s s hs m s gf a i l u r e 包。用这种方式，客户端无法确定用户究竟是否存在。 如果用户存在但需要进行认证，进入认证的第二步。客户端接到服务器发 来的s s hs m s q f a i l u r e 包后，不停地向服务器发包申请用各种不同的方 法迸行认证，直到时限已到服务器关闭连接为止。时限一般设定为5 分钟。 对任何个申请，如果服务器接受，就以s s hs m s gs l _ c a 珞s 包回应；如 果不接受，或者是无法识别，则以s s h 踮鸺gf a i l u r e 包回应。 第四阶段：认证完成后，客户端向服务器提交会话请求。服务器则进行等 待，处理客户端的请求。在这个阶段，无论什么请求只要成功处理了，服务器 都向客户端回应s s hs m s gs i7 c c e s s 包；否则回应s s hs m s gf a i l u r e 包，这表示或者是服务器处理请求失败，或者是不能识别请求。会话请求分为 这样几类：申请对数据传送进行压缩、申请伪终端、启动x i i 、t c p i p 端口 转发、启动认证代理、运行s h e l l 、执行命令。到此为止，前面所有的报文都 要求m 的服务类型( ，i o s ) 使用选项i p t o st h r o u g h p u t 。 第五阶段：会话申请成功后，连接进入交互会谣漠式。在这个模式下，数 据在两个方向上双向传送。此时，要求m 的服务类型s ) 使用 口玎o sl d w d 】z u 选项。当服务器告知客户端自己的退出状态时，交互会 话模式结束。( 注意：进入交互会话模式后，加密被关闭。在客户端向服务器 发送新的会话密钥后，加密重新开始。用什么：b - 法j i 密由客户端决定。) 2 1 3s s h 协议的数据编码 s s h 协议为了很好地支持全世界范围的扩展应用，在字符集和信息本地化 方面作了灵活的处理。首先，s s h 协议规定，其内部算法标识、协议名字等必 须采用u s a s c i i 字符集，因为这些信息将被协议本身直接处理，而且不会用 来作为用户的显示信息。其次，s s h 协议指定了通常情况下的统一字符集为i s 0 1 0 6 4 6 标准下的l r r 卜8 格式，详细请参考i 啦c - 2 2 7 9 。另外，对于信息本地化的 应用，协议规定了必须使用个专门的域来记录语言标记( l a n g u a g et a g ) 。 对于大多数用来显示给用户的信息，使用什么样的字符集主要取决于用户的终 端系统，也就是终端程序及其操作系统环境，因而对此s s h 协议框架中没有作 硬性规定，而由具体实现协议的程序来自由掌握。 除了在字符、编码方面的灵活操作外，s s h 协议框架中还对数据类型作了 规定，提供了七种方便实用的种类，包括字节类型、布尔类型、无符号的3 2 位整数类型、无符号的6 4 位整数类型、字符串类型、多精度整数类型以及名 字表类型。下面分别解释说明之： ( 1 ) 字节类型( b y t e ) 一个字节( b y t e ) 代表一个任意的8 字位值( o c t e t ) r f c 一1 7 0 0 。有时 候固定长度的数据就用个字节数组来表示，写成b y t ec n 的形式，其中n 是 数组中的字节数量。 ( 2 ) 布尔类型( b o o l e a n ) 一个布尔值( b o o l e a n ) 占用一个字节的存储空间。数值0 表示“假” ( f a l s e ) ，数值1 表示“真”( t r u e ) 。所有非零的数值必须被解释成“真”， 但在实际应用程序中是不能给布尔值存储0 和1 意外的数值。 ( 3 ) 无符号的3 2 位整数类型( u n i t 3 2 ) 个3 2 字位的无符号整型数值，由按照降序存储的四个字节构成( 降序 即网络字节序，高位在前，低位在后) 。例如，有一个数值为6 3 8 2 8 9 2 1 ，它的 十六进制表示为o x 0 3 c d f 3 8 9 ，在实际存储时就是0 3c df 3b 9 。如图2 2 ： u n i t 3 2 首地址为：0 x 10 0 0 0 3c df 3b 9 jljl d x l 0 0 0l l 0 x 1 0 0 l 0 x1 0 0 2 0 x 1 0 0 3 ( 4 ) 无符号的6 4 位整数类型( t r a i t 6 4 ) 一个6 4 字位的无符号整型数值，由按照降序存储的八个字节构成，其具 体存储结构与3 2 位整数类似，可以比照图3 3 1 1 。 ( 5 ) 字符串类型( s t r 堍) 字符串类型就是任意长度的二进制序列。字符串中可以包含任意的二进制 数据，包括空字符( n u l l ) 和8 位字符。字符串的前四个字节是一个u n i t 3 2 数 值，表示该字符串的长度( 也就是随后有多少个字节) ，u n i t 3 2 之后的零个或 者多个字节的数据就是字符串的值。字符串类型不需要用空字符来表示结束。 字符串也被用来存储文本数据。这种情况下，内部名字使用u s - a s c i i 字 符，可能对用户显示的文本信息则使用i s 0 - 1 0 6 4 6u r f - 8 编码。一般情况字符 串中不应当存储表示结束的空字符( n u l l ) 。在图2 3 中举例说明字符串 m y a b c 的存储结构： 字符串( s t r i n 0 首地址为一o x l 0 0 0 个表示本宇符串数据长度的 3 2 位无符号整数 ( 长度为o x 0 0 0 0 0 0 0 6 ，即6 ) 本字符串的实际内容共六个宇 符，不需要结束的、0 空字符 从上图中可以很明显地看出，字符串类型所占用的长度为4 个字节加上实 际的字符个数( 字节数) ，即使没有任何字符的字符串也要占用四个字节。这 种结构与p a s c a l 语言中的字符串存储方式类似。 1 4 ( 6 ) 多精度整数类型( m p i n t ) 多精度的整数类型实际上是一个字符串，其数据部分采用二进制补码恪式 的整数，数据部分每个字节8 位，高位在前，低位在后。如果是负数，其数据 部分的第一字节最高位为l 。如果恰巧一个正数的最高位是l 时，它的数据部 分必须加一个字节0 x 0 0 作为i