（计算机应用技术专业论文）网管系统中的安全管理研究与应用.pdf

堕型奎兰堡主翌壅圭兰些笙奎16 s 直2 4 2 网管系统中的安全管理研究与应用 计算机应用专业 研究生周莲指导老师朱宏 摘要： 网络管理系统中的安全管理有两层含义，即网络的安全管理和安全的网络 管理。相应地，安全管理子系统的功能也可分为两部分，一是网络管理系统本 身的安全，二是被管网络对象的安全。针对目前网管系统中的安全管理的不足 和对安全管理的巨大需求，本文以重庆弼通信息港的i p 弼管项目为背景，设计 并实现了该网络管理系统的安全管理解决方案。 本文首先讨论了安全管理的需求和功能，以及常用的安全管理策略。安全 管理采用信息安全措施保护网络中的系统、数据以及业务，其目的在于最大限 度的防范对网络的侵扰和破坏，以及在受到侵扰和破坏后将损失减到最低。其 次，对目前网络管理系统中的常见解决方案的安全性进行了讨论分析，包括对 简单网络管理协议和常见网络管理系统技术平台的安全性分析，并提出了针对 性的解决方法。最后，设计并实现了基于j 2 e e 分布式安全框架的该网管系统 的安全管理解决方案。 考虑到采用专用网络来实现安全管理的昂贵费用，因此，整个安全管理解 决方案直接采用被管理的网络来实现安全管理。在安全管理解决方案中，对所 管理网络的安全，在局域网边界采用防御措施( 如防火墙、网络防病毒系统以 及入侵检测系统等) 来防止来自网络外部的攻击。对网管系统本身的安全，首 先采用身份验证技术将非法用户拒绝在系统之外，然后使用安全拦截器框架为 系统的安全管理提供统一服务，也为所有的e j b 访问提供一个单一的访问点， 便于系统的更新；系统采用严格的访问控制策略，不仅实现了基于角色的安全 访问控制，还从时间、地域等方面对系统加强了安全管理：最后在实现中，系 四川大学硕士研究生毕业论文 统使用了安全代理框架，使得该i p 网管系统的安全管理具备足够的灵活性与扩 展性。 该方案已在重庆网通信息港的i p 网络管理系统中得到了成功的应用。 关键字：网络管理；安全管理；s n m p ；j 2 e e ；j a a s ；j s s e i l 一一堕型查堂婴圭堡壅皇望些堡苎 t h er e s e a r c ha n d a p p l i c a t i o no fs e c u r i t ym a n a g e m e n t i nn e t w o r k m a n a g e m e n ts y s t e m m a j o r c o m p u t e r a p p l i c a t i o n t e c h n o l o g y g r a d u a t ez h o ul i a n a d v i s o rz h u h o n g a b s t r a e t ： g e n e r a l l ys p e a k i n g ，t h es e c u r i t ym a n a g e m e n to ft h en e t w o r km a n a g e m e n t s y s t e mi n c l u d e st w oa s p e c t s ，w h i c ha r et h es e c u r i t yo ft h en e t w o r km a n a g e m e n t s y s t e mi t s e l fa n dt h es e c u r i t yo ft h em a n a g e dn e t w o r ko b j e c t c o n s i d e r i n gt h e s c a r c i t yo fs e c u r i t ym a n a g e m e n ti nn e t w o r km a n a g e m e n ts y s t e mt o d a ya n da n di t s h u g en e e d s ，t h ed e s i g na n di m p l e m e n t i o no ft h es e c u r i t ys o l u t i o nt ot h en e t w o r k m a n a g e m e n t i sp r o p o s e df o rt h e c h o n g q i n g i n f o r m a t i o nh a r b o r p r o j e c t i nt h i sp a p e r t h ep a p e rf i r s ti n t r o d u c e st h er e q u i r e m e n ta n ds e v e r a lp o l i c yo ft h es e c u r i t y m a n a g e m e n t s e c u r i t ym a n a g e m e n t t a k e ss e c u r em e a s u r et op r o t e c tt h es y s t e m ，d a t a a n db u s i n e s si nt h en e t w o r k ，i ti n t e n d st op r e v e n tt h en e t w o r kf r o mi n t r u d i n ga n d d e s t r o y i n ga n d r e d u c et h el o s sa ta g r e a t e s te x t e n ta f t e rt h en e t w o r k h a sb e e ni n t r u d e d s e c o n d l y , t h ep a p e ra n a l y z e st h es e c u r i t yo f t h ep o p u l a rs o l u t i o ni nt o d a y sn e t w o r k m a n a g e m e n ts y s t e m ，i n c l u d i n gt h es e c u r i t yo f s n m p a n dt h es e c u r i t yo f t h ep o p u l a r t e c h n o l o g yp l a t f o r mf o rt h en e t w o r km a n a g e m e n ts y s t e mw i t hr e l e v a n ts t e p s f i n a l l y , b a s e do nj 2 e es e c u r i t yf r a m e w o r k ，t h ed e s i g na n di m p l e m e n t a t i o no ft h es e c u r i t y m a n a g e m e n ts u b s y s t e m a r eg i v e ni nd e t a i l c o n s i d e r i n gt h ee x p e n s i v ec o s tt of u l f i l lt h es e c u r i t ym a n a g e m e n tw i i hs p e c i a l n e t w o r k ，t h em a n a g e m e n ts 1 ) , et h a tm a n a g e st h en e t w o r kw i t ht h em a n a g e dn e t w o r k i t s e l fi sa d o p t e d f o rt h es e c u r i t yo ft h e m a n a g e dn e t w o r k ，t h es o l u t i o np r e v e n t st h e i n t r a n e tf r o ma t t a c k sb yt a k i n gs u c h p r o t e c tm e a s u r ea sf i r e w a l l ，a n t i v i r u ss o f t w a r e a n di n t r u s i o nd e t e c t i o ns y s t e m f o rt h es e c u r i t yo ft h en e t w o r k m a n a g e m e n ts y s t e m 1 l i 四川大学硕士研究生毕业论文 i t s e l f , i d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g yi sf i r s ta d o p t e dt or e f u s et h ei l l e g a lu s e rt o e n l c rt h es y s t e m , a n dt h e nt h es y s t e mu n i f o r ms i ，i c ei sp r o v i d e d b yu s i n gs e c u r i t y i n t e r c e p t i o nf r a r n e w o r k as i n g l ea c c e s sp o i n tf o r a l lt h ee j bi nt h es y s t e mh a sb e e n p r o v i d e d r i g i da c c e s sc o n t r o ls t r a t e g yi st a k e ni nt h i ss o l u t i o n ；n o to n l yr o l eb a s e d a c c e s sc o n t r o lh a sb e e ni m p l e m e n t e db u ta l s ot h es e c u r i t ym a n a g e m e n th a sb e e n s t r e n g t h e n e df r o mt h o s ea s p e c t ss u c ha st i m e ，r e g i o na n ds oo n f i n a l l y , s e c u r i t y p r o x yf r a m e w o r ki sa d o p t e dt on l a l ( et h es e c u r i t ym a n a g e m e n to f t h ei pn e t w o r k m a n a g e m e n ts y s t e m m o r ef l e x i b l ea n d e x p a n s i b l e t h i ss o l u t i o nh a sa l r e a d yb e e na p p l i e dt ot h ec h o n g q i n gi n f o r m a 矗o nh a r b o ri p s u c c e s s f u l l y k e y w o r d s ：n e t w o r k m a n a g e m e n t ；s e c u r i t ym a n a g e m e n t ；s n m p ；j 2 e e ； j a a s ；j s s e i v 四j i i 大学硕士研究生毕业论文 1 引言 1 1 背景介绍 随着互联网的发展，网络环境变得越来越复杂，不同系统平台和不同厂 家生产的设备给网络管理人员带来了前所未有的挑战，采用高性能、高稳定性 的网管系统对网络进行灵活、方便的管理往往能够提高企业的竞争能力。而安 全性往往是网络的薄弱环节之一，尤其是现在攻击者的知识也在日趋成熟，攻 击工具和攻击手段也日趋复杂多样，网络安全便作为一个无法回避的问题呈现 在人们的面前。 本人在成都天盟公司实习期间，参与了i p 网管系统的研发工作。该系统 主要针对重庆网通信息港的网络管理的需要。重庆网通信息港是采用以太网为 主要接入方式，全i p 的一个城域网。随着网络规模的不断扩大复杂和用户数 量的不断增加，网络的异常情况也越来越影响网络的正常运营。因此急需一个 全面、安全、灵活的网络管理系统来提高网络的管理质量和响应，实现运营级 的网络管理运行和维护。在有效地为管理部门和生产部门提供服务的同时，还 必须确保不影响重庆网通信息港网络的安全，可靠和稳定的运行。也就是说， 我们必须保障各类网络管理数据信息的一致性、完整性和私有性，防止外部对 网管系统内部重要信息的窃听、篡改和破坏。 1 2 安全管理需求 目前的网管系统一般都是带内管理( 即采用被管理的网络来实现网络的管 理，网管数据和业务数掘在相同的链路中传输，而不是采用专用的网络来实现 网络管理) ，并且大多数的网管系统采用的网管协议都是s n m p ( 简单网络管 理协议) ，因为它简单并且容易实现，可是正是因为它的简单性，使得它在安 全性方面还有不少的缺陷。这就是说不仅网络本身存在着安全问题，网管系统 也存在着安全问题。网络管理系统中存储和传输的管理和控制信息对于网络的 四川大学硕士研究生毕业论文 运行和管理至关重要，一旦出现信息泄漏、被篡改和被伪造，将给网络造成灾 难性的破坏。因此，网络管理系统必须确保自身的安全。虽然随着攻击的增加， 所相应提出的安全技术也在增加，但是如何采用合适的安全技术构建一个全 面、纵深的安全解决方案仍然是一个很值得研究的问题。 1 3 本文工作 本文工作具体如下： 对网络管理系统中的安全管理的需求、功能以及常用的安全策略进行了分 析研究。 分析研究了简单网络管理协议( s n m p ) 三个版本的安全性； 对常用的实现网管系统的技术平台( 如j a v a 、c o r b a 和w e b 技术等) 的 安全性进行了分析，并针对性的提出了安全解决方法。 结合j 2 e e 分布式安全框架，并以重庆网通信息港的i p 网管项目为背景， 针对网络管理系统的安全和所管理的网络的安全，设计并实现了该网管系 统的安全管理方案。 2 四川大学硕士研究生毕业论文 2 网管系统的安全管理综述 网管系统的安全管理有两层含义，即网络的安全管理和安全的网络管理。 相应的，网管系统中的安全管理按照管理的级别来说，一般也分为两级：网络 管理系统自身的安全和它所管理的网络的安全。 2 1 安全管理概述 安全管理采用信息安全措旌保护网络中的系统、数据以及业务，其目的是 提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据以及系统免 受侵扰和破坏。它的作用在于最大限度的防范以及在受到侵扰和破坏后将损失 减到最低。网管系统中的安全管理与其它管理功能( 即故障管理、性能管理、 配置管理和计费管理) 有着密切的关系。安全管理要调用配置管理中的系统服 务对网络中的安全设施进行控制和维护：当发现有安全方面的故障时，要向故 障管理通报安全故障事件以便进行故障诊断和维护；安全管理功能还要接收计 费管理发来的与访问权限有关的计费数据和访问事件通报。 网管系统中安全管理有两层含义，即网络的安全管理和安全的网络管理。 因此，安全管理子系统的功能也可分为两个部分，一是网络管理系统本身的安 全，二是被管网络对象的安全。顾名思义，网络安全管理的首要功能是确保各 被管网络资源( 包括路由器等网络互连设备和主机、服务器等端系统及网络服 务) 本身的安全，以及它们之间进行数据通信的安全。另外一方面，网络管理 系统存储和传输的管理和控制信息对网络的运行和管理至关重要，一旦出现信 息泄漏、被篡改和被伪造，将给网络造成灾难性的破坏。因此，作为可以被用 来攻击被管系统的管理系统必须确保自身的安全。当然，网络管理系统也是一 种特殊的被管对象。 安全管理的主要作用有以下几点： ( 1 ) 采用多层防卫手段，将受到侵扰和破坏的概率降到最低； ( 2 ) 提供迅速检测非法使用和非法入侵受保护点的手段，检查跟踪入侵 者的活动： 四川太学硕士研究生毕业论文 ( 3 ) 提供恢复被破坏的数据和系统的手段，尽量降低损失； ( 4 ) 提供查获侵入者的手段。 相应地，网络安全管理也包括对授权机制、访问机制、加密和加密关键 字的管理，另外还要维护和检查安全日志。 2 2 安全管理的策略 在网络中主要有以下几大安全问题：网络数据的私有性( 保护网络数据不 被侵入者非法获取) ：授权( 防止侵入者在网络上发送错误信息) ；访问控制( 控 制对网络资源的访问) 。要实现网络安全管理的目的，就必须采用各种安全技 术对网络中的重要或者敏感的信息和设备进行可靠的保护。对不同层次的网络 应用和网络服务，可以采用各种不同的网络安全策略。针对这些安全问题，可 以伎用以下相应的安全策略来解决。 2 2 1 数据加密策略 2 2 1 1 数据加密原理 日日 图2 - 1基本加密模型 通常一个完整的密码体制要包括如下五个要素m 、c 、置、e 、d 4 四川大学硕士研究生毕业论文 1 m 是可能明文的有限集称为明文空间： 2 c 是可能密文的有限集称为密文空间： 3 k 是一切可能密钥构成的有限集称为密钥空间； 4 对于密钥空间的任一密钥有一个加密算法和相应的解密算法使得 e k ( m ) 一 c 暑d d k ( c ) - m 分别为加密解密函数满足d k ( e k ( x ) ) = x ，这里ze m 。 一个密码体制要是实际可用的必须满足如下特性 1 每一个加密函数e k e d 每一个解密函数敬都能有效地计算： 2 破译者取得密文后将不能在有效的时间内破解出密钥碱明文x ， 3 ，一个密码系统是安全的必要条件是穷举密钥搜索将是不可行的即密钥 空间非常大。 2 2 1 ，2 数据加密算法分类与分析 1 、对称密码算法 对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同 的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密 算法。d e s ( d a t ae n c r y p t i o ns t a n d a r d ，数据加密标准) 是对称加密算法中 使用最多的。 d e s 算法是i b m 公司于1 9 7 5 年研究成功并公开发表的一种基于对称密 码体系的算法。其基本的原理是用一个6 4 位字长的密钥( 实际是5 6 位加8 位 效验、分组后通过1 6 次的左移得到1 6 个子密钥，然后通过1 6 次的迭代运算去 加密一个6 4 位的数据块，从而得到加密后的数据。 优点：保密强度高，计算开销小，处理速度快。 缺点：密钥管理困难 四川大学硕士研究生毕业论文 x - t ( 萄 ，一甏( 刁 y = j 笔o r ) 七4 0 0 z 一，( ) ，) 一发送方- k 一接收方 图2 2 对称密码算法流程 2 、非对称密码算法 加密密钥与解密密钥不同，不可能由加密密钥解出解密密钥。每个用户都 有两个密钥：一个在信息团体内公开称公钥，一个由用户秘密保存，称为私钥。 非对称算法原理( r s a ) ：公开密钥算法即非对称算法保密技术是7 0 年代 末，由美国斯坦福大学几位学者发明的，以他们的名字( r i v e s t 、s h a m i r 、 a d e l m a n ) 命名为r s a 密码算法。它与传统所采用的d e s 保密算法中的对数据保 密防篡改不同，r s a 可以做到对发送过的信息，具有抗抵赖性( 即不可否认性) ， 用于数字签名、数字信对等技术。 r s a 算法要求是一对数字，一个叫公开密钥( p u b l i ck e y ) ，一个叫私人密 钥( p r i v a t eke y ) ，其中私钥由个人所有，保密公钥可以公开。要传送信息时， 可用对方的公钥对信息加密上网发送对方收到这个信息要靠他的私钥解密； 或者发送方用自己的私钥加密，接收方用发送方的公钥解密。 优点：便于密钥管理、分发、便于签字签名。 缺点：计算开销大，处理速度慢。 6 四川大学硕士研究生毕业论文 收卉蛰锅 c 发方私钥) 收方私明 馐痨喙钥) 2 2 知( 寸 y ，2 b ( 幻；y 。，a 锄c d 七，r ( 一 z 。，r 0 0 一发滢方+ h 一剖妨_ + 图2 - 3 非对称密码算法流程 3 、散列算法 散列就是将任意的数据字符串转换成定长结果。原始的长度可能变化很 大，但结果总是相同长度，在密码使用中通常为1 2 8 或1 6 0 位。散列广泛用 于填充快速精确匹配搜索的索引；在技术上有各种散列函数，但概念上从密码 编码角度来说是完全相同的。 散列函数只能单向工作，对于检索明文的目的，它毫无作用。然而，它提 供了一种数字标识，这种数字标识仅特定于一个消息，如果纯消息文本有任何 更改( 甚至包括添加或除去一个空格) ，该标识也将更改。散列函数在这方面 确实做得很好，这意味着可以使用一个适当的散列函数来确认给定的消息未被 更改。这个散列值称为消息摘要。 优点：计算速度快，结果长度统一。 2 2 2 访问控制策略 来自外部的攻击我们一般可以通过防火墙来进行防御，然而防火墙对于来 自内部的攻击却无能为力，因此，我们需要对网络资源进行相应的访问控制， 限制用户对特定网络资源的访问，以此防范来自网络内部的攻击。 心大学顶士研究生毕业论文 2 2 2 i 访问控制的基本概念 访问控制的实质是对资源使用的限制。最典型的访问控制手段是锁，资源 拥有者可以将资源锁上，并掌握钥匙，使得没有钥匙的人无法访问该资源。但 是拥有钥匙的人并不一定是资源合法的使用者，因为钥匙可以通过非法手段获 取，所以访问控制要和其他一些安全机制配合使用才能提供完备的服务。 计算机系统中所有可以控制的资源均可以抽象为客体( o b j e c t ) ，对客体实 施动作的实体称为主体( s u b j e c t ) ，主体对客体实施动作需要得到授权。这些 授权对于主体可以表示为访问权限，对于客体可以表示为访问模式。显然，访 问权限是访问模式的子集。 访问控制用于限制主体在网络内对客体所允许执行的动作，用户在通过鉴 别以后还要通过访问控制才能在网内执行特定的操作。访问控制通过系统中的 参照器来实施，整个网络中的访问控制的总体结构如图2 5 所示： 2 2 2 2 访问控制的分类 图2 4 访问控制总体结构 根掘实现的理念不同，访问控制可以分为以下两种： 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) ：用来保护系统确定 的对象，对此对象用户不能进行更改。也就是说，系统独立于用户行 为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属 性。这样的访问控制规则通常对数据和用户按照安全等级划分标签， 3 四川大学硕士研究生毕业论文 访问控制机制通过比较安全标签来确定是授予还是拒绝用户对资源的 访问。强制访问控翩避行了很强的等级划分，所以经常用于军事用途。 图2 5 强制访问控制 在强制访问控制系统中，所有主体( 如用户、进程等) 和客体( 如文件、 数据等) 都被分配了安全标签，安全标签标识一个安全等级。访问控制执行时 对主体和客体的安全级别进行比较，低安全级别的主体不能访问高安全级别的 客体。 自主访问控制d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常 d a c 通过授权列表( 或访问控制列表) 来限定哪些主体针对哪些客体可以执行 什么操作，可以非常灵活地对策略进行调整。由于其易用性与可扩展性，自主 访问控制机制经常被用于商业系统。 自主访问控制中，用户可以针对被保护对象制定自己的保护策略。每个主 体拥有一个用户名并属于一个组或具有一个角色；每个客体都拥有一个限定主 体对其访问权限的访问控制列表( a c l ) ；每次访问发生时都会基于访问控制 列表检查用户标识以实现对其访问权限的控制。 由于自主访问控制机制易于扩展和理解，它被广泛运用于各种商业环境 巾。大多数系统都基于该机制来实现访问控制，如主流操作系统( w i n d o w sn t s e r v e r 、u n i x 系统) 、防火墙等。 基于角色的访问控制r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 这种方法是对自主控制和强制控制机制的改进，它确保只有通过授权的用 户才能访问特定的数据和资源，它是基于用户在系统中所起的作用来规定其访 叫川大学硕士研究生毕业论文 问权限。这个作用( 即角色r o l e ) 可以被定义为与一个特定活动相关联的一 组动作和责任。例如担任系统管理员的用户便有维护系统文件的责任和权限， 而不管这个用户是谁。 图2 6r b a o 的基本模型 这种方式提供了三种授权管理的控制途径： 改变客体的访问权限：提供了层次化的管理结构，由于访问权限是客体的 属性，所以角色的定义可以用面向对象的方法来表示，并可以用类和继承等概 念来表示角色之间的关系。 改变角色的访问权限：具有提供最小权限的能力，由于可以按照角色的具 体要求来定义对客体的访问权限，因此具有针对性，不出现多余的访问权限， 从而降低了不安全性。 改变主体所担任的角色：具有责任分离的能力，不同角色的访问权限可以 相互限制，即定义角色的人不一定能够担任这个角色，因此具有更高的安全性。 四川大学顶士研究生毕业论文 3 网管系统解决方案的安全性分析 网络管理系统一般采用管理者代理模型来进行网络管理，管理者和代理 之间通过网络管理协议进行通信，而各种网络管理协议以及网络管理系统的技 术平台都有着自己的安全特点，在接下来的章节中，我们将讨论集中简单网络 管理协议和几种网管系统技术平台的安全性并针对提出一些解决的方法。 3 1 网络管理协议安全性分析 目前常用的网络管理协议有s n m p ( s i m p l e n e t w o r k m a n a g e m e n t p r o t o c o l ， 简单网络管理协议) 、c m i p ( c o m m o n m a n a g e m e n t i n f o r m a t i o n p r o t o c o l ，公共 管理信息协议) 以及r m o n ( r e m o t em o n i t o r i n g ，远程监控) 等，而针对t c p i p 协议的s n m p 协议因为其简单得到了广泛的应用，成为事实上的工业标准。 然而正是因为其简单性，s n m p 协议本身存在着很较多的安全缺陷，采用它来 进行网络管理我们需要施加额外的安全机制来保证网管系统的安全。 3 1 1 简单网络管理协议 s n m p 是由i a b ( i n t e r n e ta r c h i t e c t u r eb o a r d ，i n t e m e t 体系结构委员会) 制定，在r f c1 1 5 7 中定义，它是基于t c p f l p 协议的网络的管理标准。由于 它满足了人们长久以来对通用网络管理标准的需求，而且本身简单明了，实现 起来比较容易，所以得到了众多网络管理产品厂家的支持，已经成为事实上的 网络管理协议的工业标准。 s n m p 由三部分组成：管理信息结构( s t r u c t u r eo fm a n a g e m e n t i n f o r m a t i o n ，s m i ) 、管理信息库( m a n a g e m e n ti n f o r m a t i o nb a s e ，m i b ) 和 s n m p 通信协议。 基于s n m p 的网络管理采用代理管理站模型，s n m p 通信协议负责代理 四川大学硕士研究生毕业论文 和管理站之间的通信。s n m p 通信协议是一种应用层的无连接协议，代理和管 理站之间通过消息的方式交互信息。它定义了数据包的类型和三种协议操作： g e t 、s e t 和t r 印。g e t 是从被管理的网络设备中获得管理信息的基本方式，是 s n m p 中使用频率最高的一个：s e t 是一个特权命令，可以通过它来改变被管 理设备的配置和控制设备的运行状态；t r a p 命令则用于当有特别的问题发生 时被管理设备主动通知管理站。 一条s n m p 报文由三个部分组成：版本域( v e r s i o nf i e l d ) 、团体域 ( e o m m u n i t yf i e l d ) 和s n m p 协议数据单元域( s n m pp r o t o c o ld a t au n i t f i e l d ) ，数据包的长度不是固定的。 版本域：这个域用来说明现在使用的是哪个版本的s n m p 协议。 团体域：团体( c o m m u n i t y ) 是s n m p v l 的基本的安全机制，用于实现s n m p 管理站访问s n m p 代理时的身份验证。团体名( c o l u n i t yn a m e ) 是管理代理 的口令，管理站被允许访问数据对象的前提就是管理站知道网管代理的口令。 如果把管理代理配置成可以执行t r a p 命令，当网络管理员用个错误的团体 名查询管理代理时，系统就发送一个a u t e n t i c a t i o n f a i l u r et r a p 报文。 协议数据单元域：s n m p v l 的p d u 有五种类型，有些是报文请求( r e q u e s t ) ， 有些则是响应( r e s p o n s e ) 。它们包括：6 e t r e q u e s t 、6 e t n e x t r e q u e s t 、 s e t r e q u e s t 、g e t r e s p o n s e 、t r a p 。s n m p v 2 又增加了两种p d u ：g e t b u l k r e q u e s t 和i n f o r m r e a u e s t 。 3 1 2s n m p 的安全性分析 s n m p 是用得最多、撮广的网络管理协议，但是s n m p 本身还是存在着不 少的安全缺陷，接下来我们就分析一下s n m p 协议的安全性。 3 1 2 1 s n m pv l 的安全 生4 4 - s n m pv 1 对于安全性仅仅提供有限和基本的能力。也就是团体的概念。 团体是一个代理和多个管理者之间的一种认证、代理和访问控制管理，是一种 叫川大学硕士研究生毕业论文 类似密码的东西，它能够支持普通的鉴别。允许访问的团体名是在被管理设备 - - n 定义的，由于团体是定义在代理上的一个本地概念，代理需要为每一个必 要的认证、访问控制和代理特性的联合建立一个团体。每一个团体被赋予个 唯一的名字，管理者只能通过代理认可的团体名来行使其访问权。团体之中的 管理者必须使用该团体的团体名来进行g e t 和s e t 操作。通常个网管代理定 义两种团体：一个用于可以读取的管理对象( 具有只读或读写权限的对象) ， 另一个用于可以修改的管理对象( 具有读写权限的对象) 。团体可以是一个设 备的m i b 内的任何对象的集合，而不必是一棵单一的m m 树。由于团体名的 有效范围仅仅局限于定义它的代理系统中，所以一个管理者可能以不同的名字 出现在不同的代理中，即管理者可以用不同的名字对不同的代理实施相同的访 问权限。反之，如果两个代理定义了同一个团体名，也并不意味着它们属于同 一个团体。 在每条s n m p v l 信息中都包括有c o m m u n i t y 字段，在该字段中填入起密 码作用的团体名。s n m p v l 假设，如果发送者知道这个密码，就认为该信息 通过了认证，是可靠的。一条已通过认证的信息对m i b 的访问权限主要是通 过访问控制来实现。代理为每一个团体定义了一个s n m p v l 团体框架文件， 该框架文件包括两部分： m i b 视域：m i b 的一个对象子集，每个团体可以定义不同的m i b 视 域，一个视域中的对象集不必属于m i b 的单个子树； s n m p 访问模式：集合( 只读、读写) 的一个元素，每个团体只定义 一个访问模式。 s n m p 团体和s n m p 团体框架文件的结合就成为s n m p v l 访问策略。一 个通过了认证的信息必然指定了一个团体，那么它就有自己相应的团体框架文 件，且只能对该框架文件中m i b 视域的指定对象进行规定的操作( 只读或读 写) 。 s n m pv l 仅仅用团体名来实现代理和管理站通信过程中的认证和访问控 制，而团体名则是以明文的方式在网上传输的，很容易被窃取或者修改从而让 黑客获得对被访问设备的访问控制权，进而造成对整个网络管理的安全威胁。 有很多s n m p v l 产品设备的厂商甚至不得不为此而取消了s e t 协议操作把网 四川大学硕士研究生事业论文 络管理功能缩减为只有监视功能，不能对设备进行配置，这大大缩减了网络管 理的功能。 3 1 2 2s n i d pv 2 的安全性分析 由于s n m pv l 存在着缺乏安全措施、无数据源认证以及不能防止偷听等 安全缺陷，1 9 9 2 年出现了一个新的标准s - s n m p ( s e c u r i t ys n m p ) ，这个协议 增强了几个安全方面的功能： 数据完整性：s s n m p 使用了一个消息摘要算法，它在s n m p 消息合 适的部分计算出1 2 8 位的摘要。这些摘要和消息合并到起，就可以 确保无改动发生。消息还包括时间戳，其值基于管理者和代理之间松 弛的同步时钟的维护，消息接收者用时间戳验证消息是最近发出来 的，并确定多个消息的正确排序。时间戳还可以用于检测消息的重放。 s s n m p 使用m d 5 消息摘要算法。 数据起源认证：消息摘要在s n m p 消息的合适部分计算后，一秘密 值就附在消息的前面。该计算所用的数值必须事先告知发送者和接受 者，并且不包括在消息内。秘密值的使用可以防止第三者把正确的摘 要加到伪造的消息上。 数据机密性：s - s n m p 使用d e s 算法对s n m p 消息的一个合适的部 分进行加密来提供机密性。 虽然s - s n m p 在安全性方面做了很多改进，加强了安全性，但是它与原 本的s n m p 并不兼容，两者的消息头的格式不一样，并且对s n m p 在功能和 效率等方面的其它缺点并没有做出改善，因此，s n m p v 2 进入到开发的日程。 s n m pv 2 主要在管理信息结构、管理者之间的通信能力和协议操作三个方面 进行了改进，在安全机制上面并没有完全采用s - s n m p 的安全机制，丽是有 所改变主要表现在以下一个方面： 上下文信息：在s n m pv 2 的消息头里面包含一个上下文的参数信息， 通过这个参数来实现管理站在代理上操作的访问控制： 时钟同步算法：当一个消息被传输时，它同时包含了发送方和接收方 1 4 四川大学硕士研究生毕业论文 的时钟的值。在收到消息后，根据消息参照源的时间戳对消息的及时 性进行认证。 然而，s n m p v 2 仍然采用了s n m pv l 的明文密钥传输方式和身份验证方 式，也就是说该版本仍然存在着同s n m p v l 类似的安全缺陷。 3 ，1 2 3s b f pv 3 的安全性分析 s n m pv 3 是s n m p 的最新版本，于1 9 9 8 年由i e t f ( i n t e m e t e n g i n e e r i n g t a s kf o r c e ，i n t e r n e t 工程任务组) s n m p v 3 工作组提出，在安全性方面有了很 大的改善，与s n m p v l 和s n m p v 2 相比，s n m p v 3 增加了4 个新的安全机制： 身份验证、加密、访问控制和实时性。它有两个不同的网络管理安全模块。一 个是r f c 2 5 7 4 定义的基于用户的安全模型u s m ( t h eu s e r b a s e ds e c u r i t y m o d e l ) ，它提供了消息验证、实时性和加密等安全服务。另一个是r f c 2 5 7 5 定义的基于视图的访问控制模型v a c m ( t h ev i e w - b a s e da c c e s sc o n t r o l m o d e l ) ，它决定是否允许访问一个管理对象。 一、基于用户的安全模型 基于用户的安全模型的目标：为每一个接收到的s n m p 消息在网络中传 送的过程中没有被修改提供验证；对接收到的s n m p 信息提供对用户的身份 认证：为需要或包含管理信息并且是非近期产生的被接收的s n m p 消息提供 监测；必要时，为每一个接收的s n m p 消息提供保护，确保其内容不被泄漏。 在这一模块中定义的安全协议被分成三个不同的模块，每一模块都有其特 殊的职责。身份认证模块提供数据完整性和数据源认证的安全服务；实时模块 为消息延迟和消息回复提供保护：保密模块则是为避免有效载荷信息的泄漏提 供保护。 1 实时模块 为了避免消息不回复、延迟和重定向，在每一对通信实体中，其中的一个 被设计为授权的s n m p 引擎。使用同步机制，一个非授权引擎维持一个与它 所通信授权引擎的时间估计值。这种估计值是被放在一个输出的消息中，是接 收这个消息的授权引擎决定输入信息是否是近期的。只有在消息是被认证并且 四川火学硕士研究生毕业论文 完整的时候，才启用实时机制，这样保证了实时值是正确的。 2 身份认证 身份验证是指代理( 管理站) 接到信息时必须首先确认信息是否来自授权 的管理站( 代理) ，以及信息在传输过程中是否被改变。这个功能的实现要求 管理站和代理必须共享同一密钥。管理站使用密钥计算验证码，然后将其加入 信息中，而代理则使用同一密钥从接收的信息中提取出验证码，从而得到信息。 3 保密协议 u s m 保密工具使管理者和代理能够加密消息，防止消息被第三方偷听。 管理者实体和代理实体必须共享一个密钥。当一个主体和远端引擎之间申请保 密时，他们之间所有的消息传送都要通过数据加密标准d e s 来加密。发送实 体使用d e s 算法和它的密钥来加密整个消息，并且把它发送到接收实体，接 收实体使用相同的算法和密钥来解密。这样双方必须配置共享的密钥。 二、基于视图的访问控制模型 基于视图的访问控制模型v a c m 在代理连接不同管理者的过程中。为代 理的m i b 提供不同访问级别。对一个特殊的管理者实体，一个代理实体可以 用两种方法来限制到它自己的m i b 的访问。第一种方法，它可以限制只允许 访问它的m i b 确定部分。第二种方法，代理可以限定主体可使用m i b 部分的 操作范围。代理使用访问控制策略必须提前设置，它主要由一个带有授权管理 者的访问权限表组成。 v a c m 定义了群、安全级别、上下文、m i b 视图和访问策略这五个实现 访问控制机制的单元。v a c m 实现抽象业务接口时安全名和安全模型首先被 映射为群名，安全模型和安全等级以及包含s n m p 消息中的操作而后被映射 到一个视图名。一个m i b 视图定义为几个视图子树的集合。而一个视图子树 是一系列具有共同o i d 前缀的m i b 对象实例。检查要通过s n m p 操作的变量 足甭祚通过视图名识别的m i b 视图内来决定是否允许访问。如果变量名和 m i b 视图t 扣的一个原数匹配，则允许访问，否则不允许访问。 v a c m 群用于减少多个安全名和安全模型对的结构登记项。然而，v a c m 并不允许一个安全名或安全模型成为多个群的共用成员。v a c m 不允许重新 使用视图子树定义。也就是说，尽管被两个不同的v a c m 群使用的视图仅有 1 6 i ! 目川火学硕士研究生毕业论文 点不同，那么也需要完全的一系列视图子树定义。 三、s n m p v 3 存在的问题 尽管s n m p v 3 完善了s n m p v l 和s n m p v 2 中存在的很多问题，但是 s n m p v 3 还是有它的不足，主要表现在以下方面： 1 对于那些拒绝服务类型的攻击，攻击者阻止管理和代理间的通信，第 三方在这些攻击上侦察节点间消息的流量模式，由于人们总是把通常的网络错 误和拒绝服务攻击联系起来，因此，此类攻击的威胁是很难避免的。 2 最显而易见的一个s n m p v 3 攻击是与对称密码和密钥的使用有关。必 须要仔细考虑和计划密钥管理，并且给特殊用户的密钥分配必须在本地执行。 3 d e s 加密算法安全性比较弱，s n m p v 3 将会用3 d e s 算法来代替简单 d e s 加密算法。 4 在u s m 中使用h m a c 来实现消息认证和完整性功能。然而，哈希算 法的输出被删节了1 2 0 c t 。由于m a c 的删节而削弱了h m a c 的安全。 5 作为消息确认的实时机制存在缺陷。如果攻击者想重复攻击或延迟攻 击，将会有1 5 0 秒的时间供他使用，并且实时机制无法识别异常的发生。同时 管理和被管理节点之间的时钟也是易被攻击的弱点，攻击可以搞乱时钟机制并 且完成重复或延迟的攻击。 3 1 2 4 分析总结 由于s n m p 是位于传输层之上的应用层协议，它是利用i p 协议提供的服 务来实现代理和管理站的通信，而i p 协议服务本身就是不安全的，并且s n m p 协议自身也存在着很多不安全的因素，这就导致了基于s n m p 的网络管理本 身是不安全的，虽然现在的最新版本s n m p v 3 提供了比较好的安全模型，但 是它自身还是有些缺陷，并且，对于现有很多网络设备还不支持它。鉴于以 上原因，所以我们要为网络管理添加安全机制，保证网管系统本身的安全( 也 就是说要实现管