（计算机应用技术专业论文）社区电子服务网络安全监控平台的设计与实现.pdf

摘要 社区电子服务是构建在v p n 网络之上，为广大社区用户提供缴费、订票等综合服 务的电子商务形式。和一般的电子商务应用一样，社区电子服务对基础网络的依赖性也 越来越强。其网络环境的异构性和复杂性随着企业规模的不断扩展而增大。因此，对于 社区电子服务来说，需要建立一套与之相对应的网络管理系统来保证其稳定高效地运 行。 本文以国家科技支撑计划科研课题为背景，以社区电子服务v p n 基础网络环境为 依托，设计并实现了一个针对社区电子服务的安全监控平台。该平台以基于c s 的b s 混合架构作为其基本架构，完成的主要工作为： 1 提出了一种多因素加密身份验证的安全准入机制。该机制对业务节点的主机硬 件信息和用户登录密码做m d 5 加密运算，将生成的序列作为用户的验证口令； 采用基于r a d i u s 认证用户名与p 地址关联的机制，为每个业务节点的v p n 用户分配一个固定的p 地址，保证业务节点监控数据的连续性。 2 采用s n m p 协议发现指定网段下的所有在线设备，将设备添加到监控对象中， 基于s n m p 的轮询机制对添加的对象进行数据采集，并生成图像。 3 提出了一种v p n 设备的负载均衡策略。该策略以所监控节点的历史数据为依 据，分析确定每个拨号v p n 业务节点一天内流量大致波动情况，当业务节点请 求接入v p n 设备时，负载均衡服务器将依据分析得出的节点历史流量波动情况 和v p n 设备的当前负载情况，确定将请求的业务节点接入哪台v p n 设备，避 免不同业务节点同一时间段内的峰值在一台服务器上叠加，以此来实现v p n 设 备的负载均衡。 4 建立了一套完整的网络报警机制。该机制对网络监测所得的数据与所定义的报 警规则进行比较，以此来判断网络是否出现异常，如果发生异常则形成报警事 件触发报警，以邮件和语音的方式通知管理人员。 本系统设计实现后，在模拟社区电子服务真实网络环境下的测试表明，系统能够准 确地对模拟网络进行性能监测、故障报警以及实现了v p n 的负载均衡，极大地保证了 社区电子服务v p n 网络的稳定性和安全性。 关键词：s n m p ，v p n ，r a d i u s ，社区电子服务，负载均衡 a b s t r a c t c o m m u n i t ye - s e r v i c et h a t i sb u i l to nv p nb e l o n g st oe - c o m m e r c e i tc a np r o v i d e c o m p r e h e n s i v es e r v i c e s ，s u c ha s ，m o s to ft h ec o m m u n i t yu s e r sc a l lp a yf o rf e e sa n db o o k t i c k e t so nt h en e t w o r k t h ec o m m u n i t ye - s e r v i c e ，l i k eg e n e r a le - c o m m e r c e ，d e p e n d so nb a s i c n e t w o r k ，a n dt h i sd e p e n d e n c ei si n c r e a s i n g t h eh e t e r o g e n e i t ya n dc o m p l e x i t yo fn e t w o r k e n v i r o n m e n ta r ei n c r e a s e d 丽mt h ee x p a n s i o no ft h ee n t e r p r i s es c a l e t h e r e f o r e ，i ti s n e c e s s a r yt ob u i l dan e t w o r km a n a g e m e n ts y s t e mt h a tc a ne n s u r et h en e t w o r ke f f i c i e n ta n d s t a b l ef o rc o m m u n i t ye - s e r v i c e t h i sp a p e ri s s u p p o r t e db yn a t i o n a l s c i e n c ea n dt e c h n o l o g ys u p p o r tp r o g r a m a s e c u r i t ym o n i t o r i n gs e r v i c e sp l a t f o r m f o rc o m m u n i t ye l e c t r o n i cw h i c hb a s e so nc o m m u n i t y e s e r v i c ev p nb a s i cn e t w o r ke n v i r o n m e n ti sd e s i g n e da n di m p l e m e n t e di nt h ep a p e r t h e b a s i cf r a m e w o r ko ft h ep l a t f o r mi st h eb sh y b r i df r a m e w o r kb a s e do nc s t h ef o l l o w sa r e t h ew o r kih a v ef i n i s h e di nt h i sp a p e r ： 1 p r o p o s eak i n do fs e c u r i t ya c c e s sm e c h a n i s mw h i c hb a s e so ne n c r y p t e dm u l t i f a c t o r t h em e c h a n i s me n c r y p t sb o t ht h ei n f o r m a t i o na b o u th a r d w a r ea n dl o g i np a s s w o r di n t h es e r v i c en o d ew i t ht h em d 5 a l g o r i t h mt h es e q u e n c e sg e n e r a t e dc a l lb ea d o p t e da s t h eu s e r sp a s s w o r d u s e rn a m eb a s e do nr a d i u sa u t h e n t i c a t i o ni sa s s o c i a t e dw i t h i pa d d r e s s e si nt h em e c h a n i s m ，a n dt h ev p nu s e ri sa s s i g n e daf i x e di pa d d r e s s ，s o w ec a nm a i n t a i nc o n t i n u i t yo fm o r d t o r i n gd a t ai nt h es e r v i c en o d e 2 w ec a nf i n da l lt h eo n l i n ed e v i c e so ft h es p e c i f i e dn e t w o r ku s i n gs n m p , a n da l lt h e o n l i n ed e v i c e sw i l lb ea d d e dt ot h em o n i t o r i n go b j e c t ，s ot h es n m pb a s e dp o l l i n g m e c h a n i s mf i n i s h e st h ed a t aa c q u i s i t i o no ft h en e wo b j e c t sa n dw i l lg e n e r a t ei m a g e s 3 i nt h i sp a p e rw ea l s oh a v ep r o p o s e dak i n do fb a l a n c et a c t i c sf o rv p nd e v i c e s a c c o r d i n gt ot h eh i s t o r i cd a t ao ft h em o n i t o r i n gn o d e ，f l o wr a t ef l u c t u a t i o ni ne a c h d i a lv p ns e r v i c en o d ei se v a l u a t e da n da n a l y z e di no n ed a yb yt h eb a l a n c et a c t i c s w h e nt h es e r v i c en o d er e q u e s tf o rv p nd e v i c e s ，l o a db a l a n c es e r v e rd e t e r m i n e w h i c hv p nd e v i c et h es e r v i c en o d es h o u l db ea d d e dt o ，a c c o r d i n gt ob o t hf l o wr a t e f l u c t u a t i o nw h i c hh a v e b e e no b t a i n e da n dt h ec u r r e n tl o a do f t h ev p nd e v i c e s i nt h i s w a yw ec a ni m p l e m e n tl o a db a l a n c i n ga n da v o i dt h a tp e a kv a l u ei nt h ed i f f e r e n t 1 l l s e r v i c en o d ei so v e r l a p p e di nt h es a m es e r v e ra tt h es a m et i m e 4 ac o m p l e t es e to fa l a r mn e t w o r km e c h a n i s mh a v eb e e ne s t a b l i s h e di n t h i sp a p e r t h ed a t aw h i c hi so b t a i n e db ym o n i t o r i n gt h es p e c i f i e dn e t w o r ki sc o m p a r e dw i t ht h e d e f i n e da l a r mr u l e sb yt h em e c h a n i s m i nt h i sw a yw ec a nd e t e r m i n ew h e t h e rt h e r e e x i s t sa b n o r m a li nt h es p e c i f i e dn e t w o r k ，i ft h e r ee x i s t sa b n o r m a l ，t h es y s t e mw i l l g e n e r a t ea l a r me v e n ti no r d e rt ot r i g g e ra l a r mn e t w o r k ，a n dt h es y s t e mw i l ln o t i f yt h e a d m i n i s t r a t o rb yb o t ht h ee m a i l sa n dp h o n i c s a f t e rd e s i g n i n ga n di m p l e m e n t i n gt h e s y s t e m ，t h et e s t r e s u l t si nt h es i m u l m i o n e n v i r o n m e n to fc o m m u n i t ye s e r v i c es h o wt h a tt h es y s t e mc a na c c u r a t e l ya n dt i m e l yf i n i s h s u c ht a s k sa sp e r f o r m a n c em o n i t o r i n ga n df a u l ta l a r m ，a tt h es a m et i m eb a l a n c el o a df o r s i m u l a t i o nn e t w o r k s ot h es y s t e mc a l lg r e a t l ye n s u r et h es t a b i l i t ya n ds e c u r i t yo ft h e c o m m u n i t ye - c o m m e n c ev p n n e t w o r k k e yw o r d s ：s n m p , v p n ，r a d i u s ，c o m m u n i t ye - s e r v i c e ，l o a db a l a n c i n g 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名：邀垫指导教师签名 w ，p 年f 月日纠。年石月砂日 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外， 本论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西 北大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 ：汇 思6 学位论文作者签名：新人氇 知加年乡月砂 日 西北人学硕。l 学位论文 1 1 引言 第一章绪论 随着计算机网络规模的空前发展，网络已经渗透到人们日常生活的方方面面，对日 常生活起着至关重要的作用。于是，如何保证网络的高效和安全运行就成了一个必须解 决的问题。而对于企业来说，这就显得更加重要。随着企业规模的不断扩大，企业的网 络规模也随之扩大，其结构也越来越复杂。由于企业对网络设备的投入不是一次性的， 于是网络的异构性也随之而来，再加上这些设备物理上的分散性，如果单靠人为管理， 即使投入大量的人力，也不一定能够完全保证网络的正常运行1 1 1 。 因此仅仅依靠几个网络专家来管理这些庞大而又复杂的网络是不现实的。当前企业 之间的竞争越来越激烈，对于任何一个企业来说，只有保证减少企业资金投入，实现企 业利益最大化，才能使企业在竞争中处于有利的地位，而一个好的网络管理系统对于减 少企业开销，优化企业管理发挥着重要的作用。 网络安全管理系统在这样的背景下应运而生。网络安全管理系统通过监测网络设备 的性能状态，记录并分析监测结果，在此结果基础上对网络进行合理优化和配置，从而 提高网络资源的利用率，使网络性能最优化。因此，设计并实现一个具备对所有网络设 备和资源进行监控、阻止非法用户访问内部资源、当网络出现故障时能够及时报警等功 能的网络管理系统具有较高的实用价值。 1 2 研究背景及意义 从上世纪末开始，随着世界经济全球化的迅速发展，各国的经济实体更加紧密的联 系在一起，经济全球化已经成为未来经济的发展趋势。伴随着经济全球化的发展，信息 化作为现代人类革命性的新技术随之快速发展，为全球化发展带来了更多便利。随着信 息化技术的不断更新和全球经济的进一步发展，电子商务作为现代网络技术和管理技术 结合的一种新兴的生产力方式也得到了很好发展，而且更加彻底地改变着现代经济发展 的格局，使得各经济实体之间更加紧密结合，促进经济的快速发展。2 0 0 9 年电子商务成 为了我国国民经济发展中最大的亮点之一，电子商务市场规模增长迅猛，其中b 2 b 运 营商的市场营业额同比增加了2 0 ，增长速度与往年相近，c 2 c 的市场规模相比2 0 0 8 年增长一倍。而在2 0 0 9 年增长最为迅猛的是b 2 c 的市场规模，全年的市场总交易量达 第一章绪论 到2 0 0 8 年全年的2 倍以上。电子商务在自身取得高速发展的同时，在国民经济中的影 响也越来越大，超过5 0 的企业搭建了b 2 b 、b 2 c 类电子商务网。在消费领域，2 0 0 9 年中国网络购物交易额在社会消费品零售总额中的比重超过2 ，网络购物对国内零售 市场的影响日益明显。网络安全作为电子商务发展的重要部分，已经成为阻碍电子商务 正常发展的主要因素。电子商务的安全问题主要有：安全漏洞、病毒感染、黑客攻击、 网络仿冒以及其它方面的各种不可预测的威胁。从计算机信息系统的角度看，电子商务 系统的安全是由系统实体安全、系统运行安全和系统信息安全3 个部分来组成的【2 1 ，有 效的网络管理可以减少电子商务的安全问题。 目前，各种电子商务、电子政务以及e r p 和c r m 等计算机信息管理系统已经在企 业中开始应用，今天的网络管理远非只是管理网络的可用性，更深的延伸为保证网络处 于安全状态并不被攻击。网络的低效、故障、停顿和瘫痪，会直接造成这些企业运营的 低效、故障、停顿和瘫痪，从而会造成巨大经济、声誉等各种损失，信息化社会的企业、 政府等各类组织和借助网络享受便利的人们，呼唤便捷、高效、稳定和安全的网络，网 络服务质量、网络安全等成为网络管理的焦点【3 】。然而网络技术人员的匮乏，以及越来 越多的复杂网络产品、高速增长的网络用户，以及病毒的肆虐和黑客的横行都给网络安 全带来了巨大的挑战【4 】。今天网络管理人员，迫切的需要技术先进、功能强大的网络管 理平台，帮助他们提高维护网络的效率，确保网络的安全，从而使企业得以健康、稳定 的发展。 因此对于现代企业来说，保证网络正常、安全、高效的运行显得尤为重要，随着网 络技术的快速发展，网络的复杂性和异构性不断增加，除了要依靠网络设备本身和网络 架构之外，网络管理是一个重要环节【列。网络管理质量会直接影响到网络运行的质量， 网络管理工作与网络建设一样重要，网络管理是保证计算机网络，特别是大型计算机网 络正常运行的关键因素。网络的监控管理需要一个与之对应的网络监控系统，实时查看 全网的状态，检查网络性能为什么会出现瓶颈，并且最好具有自动报警显示功能，以保 证高效可靠的运转。网络管理系统已经成为网络必不可少的部分。 网络管理指的是对网络性能进行监测和控制，并提供有效、可靠、安全、经济的服 务，网络管理要完成两个任务：一是对网络性能的监测，二是对网络进行控制【6 l 。通过 性能监测获取各种主要网络设备的性能指标值，然后根据这些数据判断网络的运行状 态，发现网络的行为规律，有利于进行网络规划、发现和排除故障、分析网络总体运行 状态【7 】。对于网络管理系统中的性能监测，要求对整个网络的设备的各种主要性能进行 2 西北大学硕l 学位论文 监测，监测对象数量多、类型广，监测系统要处理和存储大量的数据，并提供快速、直 观、简洁的呈现效果【引。通过控制可以对网络资源进行合理的配置，优化网络性能，保 证网络的服务质量，监测是控制的前提，控制是监测的结果【9 】。 社区电子服务是电子商务发展中的产物之一，是网络飞速发展的信息领域的高科技 成果，其异构性和复杂性使之可以看成为一个电子商务的典型范例。社区电子服务以为 广大客户提供了便捷的服务为主要特点，是一个综合性服务系统。社区电子服务的发展 是通过设立业务节点、市级节点和省级节点来构建整个业务网络，随着社区电子服务化 服务模式的不断推广和规模的不断扩大，社区电子服务所依托的网络环境也发生了显著 的变化：一方面伴随着社区电子服务基础网络规模的扩大，越来越多的新业务被移植到 基础网络环境中来与现有业务进行整合；另一方面社区电子服务的业务也越来越依赖于 基础网络，任何网络的故障都会对社区电子服务质量造成严重影响，因此要实现能够保 障社区电子服务业务稳定运行的网络环境，就必须建设一套与之相适应的网络管理系统 来提高基础网络的安全可靠性。 目前网络管理系统解决方案大致可以分为两类：一类是国际知名企业提供的综合解 决方案，如c i s c o 公司的c i s c o w o r k s 、h p 公司的o p e n v i e w 、i b m 的t i v o l i 、s u n 公司 的s o l s t i c ee n t e r p r i s em a n a g e r 等。另一类是国内逐步发展起来的软件网络管理系统。对 于如c i s c o 公司的c i s c o w o r k s 等这类网络监控产品来说，这些产品，经过多年在实际应 用中不断完善，功能更加强大，产品线丰富灵活，可以满足各种不同需求的解决方案。 但是，许多企业在网络部署时购买了这些产品，而其实际使用频率逐渐下降，究其原因， 一是由于这些软件功能的强大和完备，随之对应的操作复杂度上升，要想发挥出整个产 品优势，对系统管理人员专业知识储备要求较高：二是投入与收益不成比例，这些产品 一般价格昂贵，部署在企业网络中许多功能却不能发挥应有的作用。最主要的原因还是 针对不同用户网络的差异化定制不够，不同的用户对于网络管理系统的需求有很多共同 点，但是同时也存在着个性化差异，而这些完备系统往往由于自身体系庞大而不能满足 这些网络的个体差异要求。由于我国国产的网络管理软件目前还处于初级阶段，经验缺 乏，现有的应用软件存在诸多不足，一是产品的可扩展性较差，跨平台能力弱。二是大 多系统由代码驱动，在网络管控方面显得力不从心，难以适应当前动态网络的发展要求。 三是应用范围狭窄，很难满足大中型网络的运维需要。 要解决社区电子服务质量的问题，就必须掌握整个社区电子的服务网络环境。社区 电子服务基础环境是一个以v p n ( v i r t u a lp r i v a t en e t w o r k ) 网络为核心的网络体系，而且 3 第一章绪论 运行在其上的社区电子服务化服务同样也具备自身特点的业务系统，这对于选择网络管 理系统来讲，就必须与社区电子服务基础网络的需求及特点相适应，而综合现有的网络 管理产品都难以达到对v p n 网络业务较为完备的安全服务及监控管理功能，并且又不 占有v p n 有限的资源增加业务网络的负载等方面的要求。本课题以解决此问题基础上 展开研究，建立一个适应社区电子服务的安全服务监控平台，以保证社区电子服务业务 正常运行。 1 3 国内外现状 在网络管理领域，为了提高网络管理系统的效率及其可靠性，国内外许多组织进行 了大量的研究和系统开发工作，许多商品化的网络管理平台被推出，国外较具影响力的 如有：c i s c o 公司的c i s c o w o r k s 、h p 公司的o p e n v i e w 、i b m 的t i v o l i 、s u n 公司的s o l s t i c e e n t e r p r i s em a n a g e r 等。 c i s c o 公司的c i s c o w o r k s 网络管理软件含有故障管理工具，该工具能够发现故障发 生在网络的什么地方，能维护并检查错误日志，形成故障统计，接受错误监测报告并作 出反应【1 0 l 。c i s c o w o r k s 可以对c i s c o 的交换机、路由器等网络设备提供w e b 的管理， 由于网络流量的开销较小，可以减少管理网络时间，减小故障率。c i s c o w o r k s 建立管理 内部网的c i s c o 管理连接，具有支持新的或增强网络功能的插入模块，提供第三方管理 工具的集成连接。 h p 公司的o p e n v i e w 是一个真正兼容的、跨平台的、一套优秀的面向业务的开放 式、模块化的企业网络管理软件，h po p e n v i e w 支持s n m p ( s i m p l en e t w o r km a n g e m e n t p r o t o c 0 1 ) 、s n m pv 2 、d c e r p c 、h u p s 和c m i p 等管理标准，它包含完整的网络系统 管理功能，提供完整的网络管理解决方案，用户在建立自己的网络管理系统时，可以使 用网络管理平台提供的各种服务来处理被管对象，不需要考虑具体的管理协议，通过底 层的网络管理协议进行重新开发，作为开放式的软件平台【1 l 】，耶o p e n v i e w 网络管理平 台上可以集成数百家第三方开发的网络管理系统，满足企业网络管理的需求。 m 的t i v o l i 是采用面向对象设计，通过在系统管理产品的底层提供组件服务的管 理平台为整个t i v o l i 系统管理产品服务。t i v o l i 组件服务提供给所有的t i v o l i 管理工具 和第三方开发的应用程序一套公用服务，这些基本的服务是安全管理、任务库、调度服 务数据加密、对象调用、数据存储、权限分派和d h c p ( d y n a m i ch o s tc o n f i g u r a t i o n p r o t o c 0 1 ) ) 艮务等，同时还提供规则域和规则管理机制，用来定义和使用分布式环境中的 4 西北火学硕e 学位论文 各种资源，t i v o l i 组件服务基于面向对象技术，把所有管理资源作为管理对象，为管理 应用提供更新的、实际的系统模型【1 2 】。 s u n 公司的s o l s t i c ee n t e r p r i s em a n a g e r 是一个分布式的管理应用平台，既提供了对 计算机数据网的管理开发，也提供了对电信网络管理应用平台的开发，它是一个具有安 全性的、多用户的面向未来的分布式网络管理平台，它提供了一种完全和开放的基准， 允许设备制造商和服务提供商实现在任何地方管理任何事物，它是一种特别为庞大而分 散的企业设计的先进管理平台【13 1 。 我国自主开发的网络管理软件主要有：锐捷网络的r g r i l l b m c 、北京游龙科技 的s i t e v i e w 等软件。 锐捷公司的r g r i l l b m c 是锐捷网络基于多年网络p 基础设施研发经验，面向网 络融合与虚拟化趋势打造的可分布式部署、兼容大规模复杂异构口网络和i t 计算环境 的可扩展网络业务运行管理平台。它基于标准开放的信息建模技术，实时分布式计算平 台和s o a 架构实现，能够通过灵活丰富的管理协议对接各种主流p 基础设施，包括多 厂家d 网络设备，口存储设备，中间件，服务器，数据库和关键应用系统，并提供强 大的事件管理，拓扑关联分析和性能监控组件。 s i t e v i e w 实现全面深度监测，内置上千种各类专门的监测器，采用插件外挂方式与 系统集成，用户还能通过m s l 语言快速开发自己应用系统专门的监测器，实现无所不 能的监测。通过与v i s i o 的完美结合，既可反映服务器、网络设备等网络基础架构的连 通状况，也可反映应用流、数据库、中间件的运行情况。表现力极其丰富，多层次的网 络拓扑图可很好的满足不同层面管理人员直观了解系统运行状况的需求。及时提供短 信、邮件、声音、脚本等警报方式，并能根据用户需求自动生成各种美观的图形、图表 分析报告。 整体上来讲，我国网络管理软件相对比较少，网络管理水平落后于发达的国家，随 着网络规模的不断扩大，网络结构越来越复杂和网络的异构性增强，网络管理需要向智 能化发展，所以网络管理水平的提升空间比较大。 1 4 本文所做的工作和论文结构 本文是以社区电子服务网络环境为研究对象，以实现整个网络高效运行为目标，设 计并实现一个对v p n 拨号用户进行安全准入、对内外网进行监控以及报警的社区电子 服务网络安全监控平台。从系统架构来讲本系统是属于基于c s 的b s 混合架构，c s 5 第帝绪论 架构主要是从系统监控来讲，在社区电子服务网络安全监控平台中，监控服务器和监控 对象之间是一种c s 架构，是指各业务节点通过拨号客户端连接到v p n 设备上；b s 架构是从社区电子服务网络安全监控平台自身而言，管理人员通过浏览器可以查看网络 的运行状况，并进行相应的设置，优化网络结构，保证网络的高效稳定的运行。本文所 做重点工作根据社区电子服务的网络特点，采用基于s n m p 协议的网络管理技术，实现 对拨入v p n 用户安全准入、对整个网络设备实行监控和网络故障报警、实现以监控历 史数据为依据的v p n 设备组的负载均衡，本文主要内容有( 1 ) 研究背景以及国内外研 究现状( 2 ) 相关理论知识研究( 3 ) 社区电子服务网络安全监控平台设计( 3 ) 社区电 子服务网络安全监控平台的实现( 4 ) 社区电子服务网络安全监控平台测试以及结果分 析 本文总共五章，各章内容如下： 第一章课题的研究背景及其国内外现状，以及本文所作的工作。 第二章对本文涉及到的相关理论进行介绍和研究。 第三章从系统的需求分析、网络部署、系统设计目标、系统设计原则等方面做了详 细阐述。 第四章介绍系统中作者参与的主要模块实现过程。 第五章设计详细的系统测试方案，对系统性能进行测试。 6 西北大学硕：t 学位论文 2 1s n m p 概述 第二章相关理论知识研究 在t c p i p 发展初期，由于网络规模较小，网络管理的重要性被忽视，随着t c p i p 协议的广泛应用和网络规模不断扩大，网络管理问题同益凸显，急需要一种通行的网络 管理标准和相应的工具对网络进行高效的管理，网络管理协议应运而生。网络管理协议 定义了网络管理者与代理间的通信方法，在网络管理协议产生之前，网络管理人员要学 习从不同网络设备获取数据的方法，即使是相同功能的设备，不同厂商提供数据采集方 法大相径庭，各个生产厂家用专门的方法收集数据，这样网络管理方式浪费人力和财力， 所以制定一种标准的网络协议紧迫性越来越突出，出现了s n m p 协议。s n m p 是一种网 络管理规范的集合，s n m p 由最早的s n m pv l 发展到今天的s 舯v 3 。 网络管理协议最早的版本是s n m pv l ，s n m pv l 虽然解决了网络管理的复杂问题， 但是一开始没有考虑安全问题，当s n m p 被用于异构性和结构性复杂较强的大型网络 时，在安全方面的问题集中的暴露出来1 4 】。为了弥补安全性不足，s n m p v 2 针对s n m p v 1 在管理大型网络上的不足，对s n m p 进行了一系列的扩充，使之具有如下的特点： 增加了管理进程和管理进程之间的信息交换机制，从而支持分布式网络管理。 扩展了数据类型。 实现了大量数据同时传输，使效率和性能都有所提高。 增强了网络故障处理能力。 可在多种协议上运行。 增加了基于s n m p s e c 安全机制的安全特性。 虽然s n m pv 2 与s n m pv l 相比安全方面有所改进，但是当s n m pv 2 在实际应用 中，发现s n m pv 2 的安全机制存在严重的缺陷，最为突出的是安全性能没有提高，如 身份验证、信息的完整性分析、重复操作的预防、数据加密、授权访问控制、安全配置 和管理能力等涉及安全性的重要内容都没有实现【1 5 】。 针对上述问题，s n m p 的设计者对s n m pv 2 又做了进一步的改进，使其发展的 s n m pv 3 ，s n m pv 3 是在s n m pv 2 基础之上增3 n - f 安全和管理机制的协议【1 6 】，它实现 了s n m pv 2 没有实现的各个目标： 为s n m p 的文档定义了组织结构，使s n m p 协议走向成熟； 7 第二章相关理论知识研究 通过数据完整性的检查，保护数据在传输过程中没有被篡改或毁坏，传输顺序没有 被恶意改变。 消息时序性限制，如果消息在一个指定的时间范围外产生，则拒绝接受。 定义了统一的s n m p 管理体系结构，可以简单的实现功能的增加和修改； 总结了对s n m p 安全特性的需求，并强调安全与管理的结合。 具有很强的适应性，既可以管理网络又可以满足大型复杂网络的管理需求。 2 1 1s n m p 管理模型 s n m p ， ， r 一- - 一- - 一- 一一1 ，- 一一一一一一、 i ： ：用户接口 ： 被管理设备被管理设备 被管理设备 图1s n m p 网络管理模型 图1 是s n m p 的管理模型，在s n m p 管理模型中有四个基本组成部分：管理者、 管理代理、管理协议和管理信息库，如图l 。对被管实体的管理与维护是通过网络管理 协议，管理者和代理者之间通过s n m p 网络管理协议通信，s n m p 是一种异步的请求 响应协议，在s n m p 中包括了四种基本的操作； g e t 操作用于读取指定的网络管理信息； g e t n e x t 操作用于读取下一个管理信息； s e t 操作用于对管理信息进行设置； 8 西北人学硕i ：学位论文 t r a p 操作用于发送重要事件发生。 在这四个操纵中，前三个请求是由管理者发起给管理代理，最后一个由代理发给管 理者。 管理者一般是一个独立的设备，它是网络管理员和网络管理系统的接口。一般位于 主干节点，运行在网络管理中心工作站上，将网络管理员的命令转化成对被管对象实体 的监视与控制，并负责接收来自代理的信息反馈。管理者要求管理代理定期收集被管理 设备相关的重要信息，而管理进程定期查询管理代理收集到的有关被管理设备的运行状 态、配置及性能等信息。通过对信息的分析确定被管理网络设备、部分网络、或整个网 络运行状态是否正常以便进行某种网络管理操作。 管理代理指的是用于跟踪、检测被管理实体状态的特殊软件或者硬件。实际上管理 者把任务转交给管理代理来执行的，管理代理安装运行在被管实体上，每个代理都拥有 本地的管理信息库，负责接收和响应管理者的命令，管理代理将命令翻译、验证操作的 可执行性，通过直接与相应的功能实体通信来执行管理任务，并向管理者返回相应的信 息。 m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ，信息管理库) 是网络管理协议访问的管理对 象数据库，它包括s n m p 可以通过网络设备上代理进行设置的变量，m m 指明了网络 元素所维持的变量，即能够被管理进程查询和设置的信息，这些信息按照不同的组划分 为s y s t e m 、i n t e r f a c e 、a t 、i p 等【1 7 】【1 8 】。由于网络设备种类的复杂多样，为了保证m i b 信 息的对应设备的唯一性，m m 采用和域名解析系统相似的树形结构，它的根在最上面， 根没有名字，在这个树形结构里，s n m p 协议消息通过遍历m 毋树形目录中的节点 o l d ( o b j e c ti d e n t i f i e r ) 1 9 】【2 0 1 来访问网络中的设备，m i b 中的每个节点被指定为一个数字 ( 非负数) ，同一层的节点用不同的数字区分，这些数字有标准组织制定，m i b 树中的任 何一个节点由其所处的位置来命名，同一层的数字都不相同，这样到达某一个节点的路 可以由树根到此节点经过的数字串来表示，这个数字串成为对应m i b 对象的对象标示 符。 2 1 2a s n 1 、b e r 、s m i 、m m 、p d u 的关系 图2 表示a s n 1 、b e r 、s m i 、m i b 、p d u 之间的关系 9 第二章相关理论知识研究 图2a s n 1 、b e r 、s m i 、m i b 、p d u 的关系图 a s n 1 ( a b s t r a c ts y n t a xn o t a t i o no n e ) 是由c c i t t 和i s o 共同开发的标准高级的数据 语言，描述数据类型、结构、组织及编码方法。包括语法符号和编码规则。它与应用层 一起使用，可以在系统间进行数据传输，当一个应用想发一个数据结构是，它可以将数 据结构与其对应得a s n 1 标识一起传给表示层【2 l 】。 在a s n 1 中每一个数据类型都有一个标签，标签有类型和值，数据类型是由标签的 类型和值唯一确定，这种机制在数据编码中有用，标签的类型有四种，分别是通用标签、 应用标签、上下文专用标签、私有标签。数据类型有2 0 多种，这些类型可以分为四大 类，分别是简单类型、构造类型、标签类型、其他类型。 基本编码规贝, l j ( b a s i ce n c o d i n gr u l e s ，b e r ) ，用a s n 1 表示的的变量必须转换为串 行的字节流才能在网路中传输，转换文本a s n 1 语法到机读代码的算法，称为基本编码 规则。b e r 的传输语法格式是t l v 三元组， 。标签 字段是关于标签类别和编码格式的信息，长度是字段包含实际的数据长度；值字段包含 实际的数据【2 2 1 。t l v 每个域都是一系列的八位位组，对于构造结构，其中v 还可以是 t v l 三元组。 s m i ( s t r u c t u r eo fm a n a g e m e n ti n f o r m a t i o n ) 是由a s n 1 的s n m p 管理信息的表示方 法，为m m 对象的描述和协议交换提供了数据表示手段，是一种定义和构造m i b 的通 用框架【2 3 1 。s m a 规定用到的a s n 1 类型、宏、符号等。s m i 是a s n 1 类型、宏、符号 等。s m i 是a s n 1 一个子集和超集。 m i b 定义代理进程中所有可被查询和修改的参数【2 4 】。上文已详细介绍，不在赘述。 1 0 西北人学硕卜学位论文 p d u ( p r o t o c o ld a t au n i t ) 它是网络中的传送的数据包，是s n m p 的协议数据单元， p d u 是基本通信的格式，使用a s n 1 描述，使用e b r 编码，通过传输协议传送【2 5 】。 2 1 3s n m p 的报文格式 s n m p 定义了5 个协议单元p d u ( 即s n m p 报文) ，用于管理进程和代理之间的信 息交换。图3 所示为封装成u d p 数据报的5 种操作的s n m p 报文格式，一个s n m p 报 文共有三部分组成，公共的s n m p 首部、g e t s e t 首部和变量绑定。 图3s n m p 报文格式 2 1 4s p 的特点 简单：s n m p 协议自身以及其管理信息结构、管理信息库都非常简单，容易实现， 系统开销小。 可扩展性：如果在被管理的网络中出现新的被管理实体时，只需要定义新的m m 及其相应的管理代理，通过标准化的标准原语和m i b 格式，可以获得每个变量的值。 广泛应用：所有厂家的设备对s n m p 协议支持力度大。几乎所有的设备都提供了基 于s n m p 的网络管理功能。 2 2 t o o l 研究 第一二章相关理论知识研究 任何一个系统的数据库是系统查询应用的基础，数据的查询效率是衡量一个系统的 重要指标，影响系统的查询速度主要有：数据库的逻辑结构设计、数据库管理系统自身 等因素。对于社区电子服务网络安全监控平台来说如果监控对象较多，需要处理大量的 数据，如果将其全部写入数据库将会产生三个问题。其一安全服务监控平台监控对象比 较多，这样数据的存储量比较大，由于社区电子服务网络安全监控平台是基于s n m p 的轮询机制采集数据，轮询时间间隔不能太长，这样会使数据库的操作频繁。如果数据 库的负载较重时，导致了社区电子服务网络安全监控平台的性能下降；其二将采集来的 大量数据以快速、直观、简洁的图像形式显示在浏览器中指定的位置，实现起来比较麻 烦。其三由于安全监控的轮询数据量比较大，硬件存储能力有限，硬件存储不能满足长 时间的数据存储需求，所以定时的需要管理人员对数据库中的一些没用的数据进行清 理，而对于监控采集的数据来说，没有必要保存所有的历史数据，只需保存近期半年或 者一年的数据即可，如果对这些数据进筛选和删除，工作量比较大。 使用r r d t o o l ( r o u n dr o b i nd a t a b a s et 0 0 1 ) 可以解决上面所述的三个问题，文献 【2 6 ，2 7 对r r d t o o l 做了详细的介绍。r r d t o o l 是由t o b i a so e t h i k e r 开发的开源软件， 它使用r r d ( r o u n dr o b i nd a t a b a s ) 作为存储格式，r o u n dr o b i n 是一种存储数据的方式， 使用固定大小的空间来存储数据，并有一个指针指向新的数据的位置，用于存储数据的 空间可以看成一个圆，上面有很多刻度，这些刻度的位置就代表存储的地方。r r d t o o l 提供了创建数据库、存储数据、提取数据、创建w e b 浏览器中显示的p n g 格式的格式 图像，这些p n g 格式图像是基于存储在其中的数据生成的。 2 2 1r r d t o o l 特点 r r d t o o l 与其它数据库相比具有如下的特点： 1 ) r r