（计算机系统结构专业论文）统一网络安全管理的分析与设计.pdf

华中科技大学硕士学位论文 摘要 ( 【网络规模的不断增大，使网络管理难度越来越大。安全设备功能的冲突和重叠 造成了资源的浪费，引入了新的寅全问题。统一规范的网络安全管理的研究日益成 为网络安全领域的关注热点。y ， 统一网络安全管理从提高网络管理的规范性、自身的安全性及安全审计的能力 等角度来论述网络安全管理的整体方案。 网络管理存在的安全问题包括加密验证、身份认证和访问控制等。通过分析当 前事实上的网管标准s n m p 的安全特性，提出了采用p k i 机制改善网络管理安全性 的方案。设计了用公钥认证体系对网络管理进行身份验证，对管理的会话密钥进行 加密传输的安全机制，从而保证网络管理中通信双方的身份安全。 实现标准的安全管理m i b 库可对整个网络安全环境制定统一的管理政策，将不 同厂商、不同设备的复杂管理改进成统一的管理，避免安全漏洞和冲突。系统以当 前应用广泛的安全产品防火墙、v p n 网关、公钥体系、入侵检测系统为对象， 制定了通用、统一的m i b 。并在防火墙产品f w 3 0 0 0 和f w 4 0 0 0 中实现了统一的 m ，提供给管理员强大而方便的安全管理工具。 利用已有的网络管理机制设计了一种进行关联审计的方式，为整个统一安全管 理系统提供完整的责任追究机制，消除管理的安全隐患。 、 关键词： 网络 彭二单网络管理协& ；公钥基 出曙箱：管理信百磊；安坌备计 华中科技大学硕士学位论文 a b s t r a c t w i d e l ye x p a n d i n gn e t w o r k s c a l ea n di n c r e a s i n gh e t e r o g e n e i t ym a k en e t w o r k 。 m a n a g e m e n tam u c h m o r ed i f f i c u l tt a s k a l s ow a s t eo fr e s o u r c e sr e s u l t i n gf r o mo v e r l a p o fs e c u r i t ye q u i p m e n tf u n c t i o n si m p o r tn e ws e c u r i t yi s s u e s t h u st h er e s e a r c ho nt h e ! u n i f o r mn e t w o r k s e c u r i t ym a n a g e m e n t f o r m so n eo f t h eh o tt o p i c si nc o m p u t e rf i e l d u n i f o r mn e t w o r ks e c u r i t ym a n a g e m e n ts y s t e mp r o p o s e dt h a tr e s e a r c ho nn e t w o n m a n a g e m e n t s h o u l ds t a r t e dw i t hi m p r o v e m e n to f t h e u n i f o r m i t y ，s e c a r i t ya n d a u d i t t h es e c u r i t yp r o b l e mo fn e t w o nm a n a g e m e n ti n c l u d e se n c r y p t i o n ，a u t h e n t i c a t i o n a n da c c e s sc o n t r 0 1 b ya n a l y z e st h es e c u r i t yf e a t u r e so fs n m p 弱t h ef a c t u a ln e t w o r k m a n a g e m e n ts t a n d a r d ，w cs u g g e s tt h a tp i e dm e c h a n i s ms h o u l db e e ni n d u c t e da n d a l s o d e s i g ns e c u r i t ym e c h a n i s mf o rs e c u r et r a n s m i s s i o no fs e s s i o nk e y si n c i p h e rw h i c h a u t h e n t i c a t e st h ei d e n t i t yu s i n gp u b l i ck e ya u t h e n t i c a t i o n h e n c ei d e n t i t ys e c u r i t yf o r b o t hc o m m u n i c a t i o n p a r t si nn e t w o r km a n a g e m e n t i sg u a r a n t e e d b yd e p l o y i n gt h eu n i f o r mm a n a g e m e n tp o l i c yf o rt h ew h o l en e t w o r ks e c u r i t y e n v i r o n m e n t ，s t a n d a r ds e c u r i t ym a n a g e m e n tm i bc a nb eb u i l t t h i s w a yc o m p l e x m a n a g e m e n tf o rd i f f e r e n td e v i c e sc a l lb ei m p r o v e di n t oa nu n i f o r mm a n a g e m e n ta n d s e c u r i t y t h r e a t sa n dc o n f l i c t sc a nb ep r e v e n t e d t h et h e s i s a l s ob u i l da nu n i v e r s a l ， u n i f o r mm mf o rt h ec u r r e n tw i d e l yu s e ds e c u r i t yp r o d u c t ss u c ha sf i r e w a l l s ，v p n s ，p k i a n di d s i no u rr e s e a r c hw o r k ，t h ef i r e w a l lf w 3 0 0 0a n df w 4 0 0 0 p r o d u c t si m p l e m e n ta n u n i f o r mm ml i b r a r ya n d p r o v i d e a p o w e r f u l a n d e a s i l y u s e dt o o lk i t sf o rt h e a d m i n i s t r a t o r s t h et h e s i sa l s od e s i g n sa l la s s o c i a t e dn e t w o r ka u d i ts y s t e mu s i n ge x i s t e dn e t w o r k m a n a g e m e n t m e c h a n i s m sw h i c hc a l lp r o v i d em e c h a n i s m sf o rl o c a t i n g r e s p o n s i b i l i t i e si n 1 t h ew h o l eu n i f o r m s e c u r i t ym a n a g e m e n ts y s t e ma n dr e s o l v eh i d d e ns e c u r i t yt r o u b l e s k e yw o r d s ：n e t w o r km a n a g e m e n t ；s n m p ；p i g ；m i b ；s e c u r i t ya u d i t i i 华中科技大学硕士学位论文 1 绪言 1 1 网络管理的发展 近年来，随着网络技术的迅猛发展，计算机网络正日益渗透到人类生活的各个 方面，连接全球一百多个国家的国际互联网( i n t e m e t ) 就是一个突出代表。当前计 算机网络的发展特点是规模不断扩大，复杂性不断增加，异构程度越来越高。一个 网络往往由若干个大大小小的子网组成，集成了多种网络系统( n o s ) 平台，并且 包括了不同厂家、公司的网络设备和通信设备等。同时，网络中还有许多网络软件 提供各种服务。随着用户对网络性能要求的提高，如果没有一个高效的管理系统对 网络系统进行管理，那么就很难保证向用户提供满意的服务。 网络管理是网络发展中一个很重要的技术【1 1 ，对网络发展有着很大的影响，并 已成为现代信息网络中最重要的问题之一。它的重要性已经在各个方面得到了体 现，并为越来越多的人所认识。 国际上最著名的国际标准化组织i s o 对网络管理的标准化工作始于1 9 7 9 年， 主要针对o s i ( 开放系统互连) 七层协议的传输环境而设计，其成果是c m i s ( 公共管 理信息服务，c o m m o nm a n a g e m e n ti n f o r m a t i o ns e r v i c e ) 和c m i p ( 公共管理信息协议， c o m m o n m a n a g e m e n ti n f o r m a t i o n p r o t o c o l 、【2 3 】。 1 9 8 6 年管理i n t e r a c t 策略方向的i n t e m e t 体系结构委员会i a b ( i n t e m e t a r c h i t e c t u r eb o a r d ) 意识到i n t e r a c t 将会迅速增长，因而i a b 领导了工程任务组m t f ( i n t e m e t e n g i n e e r i n g t a s k f o r c e ) 分短期和长期任务开发管理i n t e m e t 的框架结构。 i e t f 分成三个组：第一组负责管理主干网的日常操作，他们重点开发了一个管理信 息库m i b ( m a n a g e m e n t i n f o r m a t i o nb a s e ) 。第二组负责开发了一个称为s n m p 的前 身即s g m p ( s i m p l eg a t e w a ym o n i t o r i n gp r o t o c 0 1 ) 3 1 。后来s g m p 作为s n m p 协议 的基础重点制定了s n m p 网络管理协议，最后i a b 选择了s n m p 作为管理i n t e m e t 的短期方案。它最大的特点是简单性，其可伸缩性、扩展性、健壮性( r o b u s t ) 也得 到广泛的认可。第三组在i s o 的c m i s c m i p 基础上，按照o s i 的网络管理策略， 华中科技大学硕士学位论文 在t c p i p 上开发了c m o t ( c o m m o nm a n a g e m e n ti n f o r m a t i o ns e r v i c e sa n d p r o t o c o l o v e r t c p i p ) 为将来的网管原型提供一个可实现的框架。 到目前为止，流行的网络管理模型主要有集中式网络管理模型和分布式网络管 理模型两大类。集中式管理模型的优点在于结构简单。由于管理站单一，从而使 得从一点就能够处理所有的网络信息、网络报警和事件，并能够访问所有的管理应 用，方便网络管理员进行操作。相对于集中式网络管理模型，分布式网络管理模型 具有一些很明显的优势，这主要体现在支持网络的层次管理，使得网络管理系统具 有良好的可伸缩性。 1 2 网络管理系统的体系结构 网络管理系统的概念模型见图1 1 所示用。 祓懈被黻备被黻备 图1 1 网络管理系统概念模型 2 华中科技大学硕士学位论文 。 1 网络管理站( n e t w o r km a n a g e r ) 管理站一般是一个单机设备或者是一个共享的网络的一员”6 1 。无论是哪种情 况，管理站都是网络管理员与网络管理系统的接口。管理站一般包括以下几个方面： ( 1 ) 拥有一套数据分析、故障发现等的管理软件； ( 2 ) 提供网络管理员监视和控制网络的接口； ( 3 ) 能将网络管理员的命令转换成对远程元素的监视和控制： ( 4 ) 能从网上所有的被管实体的m 中提取信息数据库。 2 管理代理( m a n a g e da g e n t ) 网络管理代理是驻留在网络设备中的软件模块，这里的设备可以是i n 工作 站、网络打印机，也可以是其它的网络设备。管理代理软件可以获得本地设备的运 转状态、设备特性、系统配置等相关信息。管理代理就象是每个被管理设备的信息 经纪人，它们完成网络管理器布置的采集信息的任务。管理代理所起的作用是，充 当管理系统与管理代理驻留设备之间的中介，通过控制设备的管理信息库( m m ) 中的信息来管理该设备。管理代理可以把网络管理器发出的命令按照标准的网络格 式进行转化，收集所需的信息，之后返回正确的响应。 路由器、交换器、集线器等许多网络设备的管理代理一般是由原网络设备制造 商提供的，它可以作为底层系统的一部分、也可以作为可选的升级模块。设备厂商 决定他们的管理代理可以控制哪些m i b 对象。 3 管理信息库( m i b ) 管理信息库( m m ) 定义了一种数据对象，它可以被网络管理系统控制。m i b 是一个信息存储库，这里包括了数千个数据对象，网络管理员可以通过直接控制这 些数据对象去控制、配置或监控网络设备。网络管理系统可以通过网络管理代理软 件来控制m m 数据对象。不管到底有多少个m m 数据对象，管理代理都需要维持 它们的一致性，这也是管理代理软件的任务之一。现在已经定义几种通用的标准管 理信息数据库，这些数据库中包括了必须在网络设备中支持的特殊对象，所以这几 华中科技大学硕士学位论文 种m i b 可以支持简单网络管理协议( s 舳) 。使用最广泛、最通用的m i b 是m i b i i 。 为了利用不同的网络组件和技术，又开发了一些其它种类的m b 。 4 公共网络管理协议( n e t w o r km a n a g e m e n t p r o t o c 0 1 ) 公共网络管理协议定义网络管理站与被管代理间的通信方法( 7 】，规定了管理信 息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。目前有影响的 网络管理协议是s n m p ( s i m p l e n e t w o r k m a n a g e m e n t p r o t o c 0 1 ) 和c m i s c m i p ( t h e c o m m o nm a n a g e m e n ti n f o r m a t i o ns e r v i c e p r o t o c 0 1 ) 。它们代表了目前两大网络管理 解决方案。其中，s n m p 流传最广，应用最多，获得支持最广泛，已经成为事实上 的工、i k 标准。 1 3 简单网络管理协议( s n m p ) 简介 简单网络管理协议( s 心) 的工作始于1 9 8 8 年( g ”，是由最初的简单网关监控协 议s g m p 发展而来的。s n m p 是建立在t c p i p 网络上的公共网络管理协议。它定 义了用于交换管理信息的协议、管理信息的表示格式、分布系统的组织框架( 由 m a n a g e r 和a g e n t 构成) 和一种特定的储存管理信息的数据库( m b ) 。s n m p 的设计 本着简单性( s i m p l i c i t y ) 和扩展性( e x t e n s i b i l i t y ) 的原则，扩展性主要是通过将管理信 息模型与协议、被管理对象的详细规定( m i b ) 分离而实现；简单性则是通过信息类 型的限制、请求相应机制而取得。因此s n m p 得到了广泛的应用，是目前t c p f l p 网络中应用最为广泛的网络管理协议，并成为网络管理事实上的标准。目前绝大多 数网络设备如：交换机、路由器、服务器都支持s n m p 协议。 s n m p 协议应该包括五个部分。 ( 1 ) 管理节点( m a n a g e m e n tn o d e ) ： ( 2 ) 管理站( m a i l a g e m e n ts t a t i o n ) ： ( 3 ) 管理信息库m i b ( m a n a g e m e n t i n f o r m a t i o n b a s e ) ： ( 4 ) 管理信息结构s m i ( s t r u c t u r eo f m a n a g e m e n ti n f o r m a t i o n ) ： 4 华中科技大学硕士学位论文 ( 5 ) 管理协议( m a n a g e m e n tp r o t o c 0 1 ) 。 1 4 网络安全管理国内外发展状况 与网络技术本身日新月异的发展相比，网络管理技术的进步显得有点步履维 艰。功能单一、配置复杂、缺乏标准、耗资巨大是广大用户普遍不满的主要原因。 其安全性问题变得日益突出呻i 。同时网络管理支持的网络设备不全，尤其缺乏对交 换机以及新型网络安全设备及相关服务的有效支持。同时由于安全设备功能的冲突 和重叠造成资源的浪费，有可能引入新的问题。 正是在这个背景下，统一的网络安全管理的研究日益成为学术界和产业界关注 的热点。 目前，国内外网管产品开发商们都在想方设法研究改进措施。h p 公司网管系 列产品o p e n v i e w 不但支持更多类型的网络设备i l “，还能对交换机进行管理，并得 到了4 0 0 多家硬件厂商的支持。 还有一些厂商通过其他办法来实现网络的第二层管理。e n m i t ye y e 公司的网管 产品将第二层管理特性与网络性能分析相结合。 网络管理产品的技术标准迟迟不能确立【1 2 1 ，给厂商和用户带来了很多麻烦，作 为一种过渡，很多厂商在产品研发中正向一种“概念信息模型”靠拢，并通过x i m l 语言实现不同厂家产品的沟通。 网络管理的智能化也是现在研究的一个方向，s m a r t s 公司已在其i n c h a r g e 系列 网管产品中加入人工智能技术。 国内在网络安全管理方面缺乏扎实地研究和真正实用的产品，大多数部门迫切 需要自主版权的通用产品，采用符合中国国情的加密、认证、验证机制保证网络管 理的安全与实用性。我们认为，网络安全管理的研究设计方面，有较大的发展空间、 建立安全网络管理不只是对安全设各、安全软件进行管理，而是针对网络环境 中所有设备的统一安全管理，管理员可以对网络中所有信息进行综合考虑，保证网 络安全、可靠的运行。 华中科技大学硕士学位论文 2网络管理安全机制分析 2 1 网络管理的功能 国际标准化组织( i s o ) 在i s o i e c7 4 9 8 4 文档中定义了网络管理的五大功能 f i l l “，并被广泛接受。这五大功能是： ( 1 ) 故障管理 故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网 络。当网络中某个组成失效时，网络管理器必须迅速查找到故障并能及时给予排除。 不过，通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂， 特别是由多个网络共同引起的时候。在此情况下，一般先将网络修复，然后再分析 网络故障的原因。分析故障原因对于防止类似故障的再次发生相当重要。网络故障 管理包括故障检测、隔离和纠正三方面。 对网络故障的检测，是依据对网络组成部件状态的检测，不严重的简单故障通 常被记录在错误日志中，并不作特别处理。而严重一些的故障则需要通过网络管理 器，即所谓的“报警”。一般地，网络管理器应根据有关信息对报警进行处理、排除 故障。当故障比较复杂时，网络管理器应能执行一些诊断测试来辨别故障原因。 ( 2 ) 计费管理 计费管理用于记录网络资源的使用情况，目的是控制和监测网络操作的费用和 代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要 的费用和代价，以及已经使用的资源。网络管理员还可规定用户使用的最大费用， 从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外， 当用户为了一个通信目的需要使用多个网络中的资源时，计费管理能计算出总费 用。 ( 3 ) 配置管理 配置管理用于配置网络、优化网络。配置管理是一组对辨别、定义、控制和监 视组成一个网络的对象所必要的相关功能。目的是为了实现某个特定功能或者使网 6 华中科技大学硕士学位论文 络性能达到最优。 ( 4 ) 性能管理 性能管理用于对系统运行及通信效率等系统性能进行评价，其能力包括监视和 分析被管网络及其所提供服务的性能机制。其分析的结果可能会触发某个诊断测试 过程或重新配置网络以维持网络的性能。性能管理收集、分析有关被管网络当前的 数据信息，并维持和分析性能日志。 ( 5 ) 安全管理 安全管理一直是网络系统的薄弱环节之- - 1 5 , 1 6 ，而用户对网络安全的要求往往 又相当高，因此网络安全管理就显得非常重要。网络中主要存在以下几大安全问题： ( a ) 网络数据私有性( 保护网络数据不被侵入者非法获取) ： ( b ) 授权( 防止侵入者在网络上发送错误信息) ； ( c ) 访问控制( 控制对网络资源的访问) 。 相应地，网络安全管理包括对授权机制、访问机制、加密和加密关键字的管理， 另外还要维护和检查安全日志，包括： ( a ) 创建、删除、控制安全服务和机制： ( b ) 与安全相关信息的分布、与安全相关事件的报告。 2 2 网络管理安全风险 网络管理面临的安全威胁包括七个方面 1 7 18 j 。 ( 1 ) 信息更改：一个实体可以更改由另一授权实体产生的正在传输的消息，以 至于导致越权的管理操作，包括对象值的设定。这种威胁的本质就是未授权的实体 可以修改任何管理参数，包括与配置、操作和计费方面的参数。 ( 2 ) 伪装： 一些未授权的实体可以通过假装具有已授权实体的身份，去执行只 有授权实体才可以执行的管理操作，从而获得额外的特权。 华中科技大学硕士学位论文 ( 3 ) 消息序列的更改： 大多数网络管理协议被设计成在无连接的协议上运行。 对于协议的安全性的一种威胁就是消除可能被重排、迟延或者重放( 复制) ，从而 导致越权的管理操作。例如，一个重新启动设备的消息可能被复制，并在将来某一 时刻重放，导致非授权的操作。 ( 4 ) 泄漏：实体可以观测管理者与受管代理之间的信息交换，从而获得管理对 象的值，并获知所报告的事件。 ( 5 ) 服务拒绝：阻止管理者与代理的信息交换：阻止或禁止通信设备的正常使 用和管理。这种攻击或者是阻止所有发往特定目的站点的消息、或者是对这个网络 进行破坏使网络不能运行、或者是通过大量消息使网络过载从而降低其性能。 ( 6 ) 流量分析：分析管理者和代理之间信息交换的一般模式。 ( 7 ) 统计数据的信息推理：统计管理者和代理之间信息的数据，并进行推理， 从而分析可能交互的操作。 2 3 网络管理安全机制 2 3 1 安全管理域和不安全管理域 图21 ”安全管理域与不安全管理域。 华中科技大学硕士学位论文 通常，m a n a g e r 对被管设备进行管理，形成管理域，我们将在局域网内形成的 管理域定义为“安全管理域”【”1 ，而跨越i n t e m e t 进行管理的区域定义为“不安全 管理域”，如图2 1 ，当m a n a g e r 在“不安全管理域”中进行网络管理时，被管设备 就面临着m a n a g e r 身份伪装、管理消息内容篡改、管理消息顺序改变等安全性威胁。 为此，需要有一种机制来提供m a n a g e r 身份验证、管理内容完整性校验以及m a n a g e r 有效管理权限判断等安全保证，这正是安全策略研究的范畴。 安全策略是网络管理员关于其管理域安全目标的描述【2 0 1 。在安全策略中应列出 管理域中的资源；可能对资源进行访问的用户以及他们的访问类型；域中全部实体 必须遵守的规则等。 安全策略往往通过不同的安全域( s e c u r i t yd o m a i n ) 分级分层进行实施，特定的 安全域有其特定的安全策略，但一个安全域的安全策略应适用于其全部的子域 ( s u b d o m a i n s ) 。属于不同安全域的实体要进行安全的交互，必须保证其系统在安全 策略、安全服务和安全机制上的兼容性。 2 3 2 网络管理的加密机制 加密机制分别对信息内容和信息流量流向进行保护。 加密机制所使用的密码算法有两大类】： ( 1 ) 对称加密算法 对于这种算法，知道了加密密钥就意味着知道了解密密钥，反之亦然。 ( 2 ) 非对称密钥加密算法 对于这种算法，知道了加密密钥并不意味着也知道解密密钥。反之亦然。这种 算法的两个密钥有时称之为“公开密钥”和“私有密钥”。 网络管理的加密机制实现要求管理站和代理必须共享同一密钥。也就是采用的 对称加密算法。管理站和代理使用这一密钥来实现信息的加密和解密。 华中科技大学硕士学位论文 s n m p v 3 使用私钥( p r i v k e y ) 来实现加密功能。加密时采用数据加密标准e s ) 的密码组链接( c b c ) 码，使用1 2 8 位的p r i v k e y 作为输入。 2 3 3 网络管理的身份鉴别机制 身份鉴别作为整个网络管理系统的第一道岗哨，起着十分重要的作用。当一个 用户要访问网络中的某一服务时，安全系统必须首先对用户的身份进行鉴别，然后 才根据鉴别的结果进行访问控制、数据加密、数据完整性保护等其他服务。网络安 全体系结构中，鉴别服务作为一种最基本的安全服务，为其它安全服务的有效实施 创造了必要的前提条件。 网络管理中的身份鉴别是指代理( 管理站) 接到信息时首先必须确认信息是否 来自有权的管理站( 代理) 并且信息在传输过程中未被改变的过程。实现这个功能 要求管理站和代理必须共享同一密钥。管理站使用密钥计算验证码( 它是信息的函 数) ，然后将其加入信息中，而代理则使用同一密钥从接收的信息中提取出验证码， 从而得到信息。 在身份验证中，r f c2 1 0 4 定义了h m a c ，这是一种使用安全哈希函数和密钥 来产生信息验证码的有效工具，在互联网中得到了广泛的应用。s n m p 使用的 h m a c 可以分为两种：h m a c m d 5 9 6 和h m a c s h a - 9 6 。前者的哈希函数是m d 5 ， 使用1 2 8 位a u t h k e y 作为输入。后者的哈希函数是s h a 1 ，使用1 6 0 位a u t h k e y 作 为输入。 2 3 4 网络管理的授权与访问策略 访问控制就是要对访问的申请、批准、执行、撤销全过程进行控制，访问控制 决定一个用户或程序是否有权对某一特定资源或协同内容执行一个特定的操作( 如 共享、修改、签字等) 以确保只有合法用户的合法访问才能批准，且被批准的访问 只能执行授权的操作。 1 0 华中科技大学硕士学位论文 访问控制的目标是防止对网络资源作非授权的访问和防止非授权对计算机网 络的各种操作的使用。 访问控制分为四类： ( 1 ) 基于访问控制表的访问控制机制； ( 2 ) 基于能力的访问控制机制： ( 3 ) 基于标签的访问控制机制； ( 4 ) 基于上下文的访问控制机制。 访问控制策略是至关重要的，它决定了访问控制判决控制。 网络管理中的访问控制是指通过设置代理的有关信息，使不同的管理站的管理 进程在访问代理时具有不同的权限。 现在的网络管理中常用的控制策略有两种： ( 1 ) 限定管理站可以向代理发出的命令，这是一种基于能力的访问控制机制。 在s n m p 中，管理站取值( g e t ) 和设值( s e t ) 用不同的共同体( c o m m u n i t y ) f 相当于 访问口令) 与代理通讯，从而实现部分访问控制功能。 ( 2 ) 确定管理站可以访问代理的m m 的具体部分，这是一种基于访问控制表的 访问控制机制。 s n m p 有超级管理员和网络管理员的区分，超级管理员所在的管理站可以访问 系统中的所有m m 库，而网络管理员所在的管理站只能访问部分m i b 库。 2 4 网络安全管理系统评价标准 、 评价和设计一个网络安全管理系统，应该从四个方面考虑( 2 2 l ： ( 1 ) 可扩容性( s c a l a b i l i t y ) ：一个安全管理系统必须能随着信息和网络资源的 增长与覆盖面的扩大提供相同或更好的安全保障。 华中科技大学硕士学位论文 ( 2 ) 灵活扩展一眭( f l e x i b i l i t y - e x t e n s i b i l i t y ) ： 当某一方面新技术出现时，已有的 系统能融合新的改变。 ( 3 )同现有信息和技术基础结构集成： 也就是一个安全网管系统应设计成与 已经建立的技术基础结构相兼容。 ( 4 ) 受保护信息的安全。l 生( s e c u r i t y o fr e s e r v e di n f o r m a t i o n ) ：对敏感信息必须 保证安全传输和安全的访问控制。 2 5 小结 网络安全管理系统需要考虑到现有信息和技术基础结构的集成汹j ，因此在设计 时可采用目前应用广泛的s n m p 协议f 2 4 1 。 网络安全管理系统通过对s n m p 协议的支持，将最大限度的保护用户现有的投 资降低管理员的学习难度。同时由于系统以s n m p 协议为基础，使整个网络情况 以一种统一的方式呈现在管理员面前，极大的方便了管理和监控。 对于一般的网络设备、s n m p 已经制定了较为全面的管理内容，形成了现行的 m 璐一i i 。同时，从系统的可扩容性和灵活扩展性考虑，s n m p 协议支持厂商自定义 m i b 。 但是由于网络安全设备的特殊性和迅速发展，目前仍然没有标准的管理协议。 大量的厂商都采用了自定义的管理软件，采用自定义的管理协议，甚至对相同的管 理对象采用了不同的称呼，导致安全设备管理上的混乱，安全政策制定的不统一。 因此，对于管理员有迫切的需求对所有安全设备指定统一的管理方式，针对同类的 安全设备制定抽象、基本的管理信息库( m i b ) 定义规范，并允许不同厂商的扩展。 网络安全管理系统极重要的一个方面是需考虑到受保护信息的安全性，安全管 理信息是为用户和网络管理信息提供安全的基本保证，通常包括密钥、安全机制的 选择、域间( i n t e r - d o m a i n ) 安全磋商( n e g o t i a t i o n ) 信息等，安全管理信息自身的安全 必须得到足够的保证。 华中科技大学硕士学位论文 网络安全管理系统涉及安全设备的管理，管理上的漏洞将导致很大的安全风 险，所以必须实现更加可靠的安全机制。 同时，对于网络管理的一些信息，系统应该提供统一的审计手段，提供完善的 责任追究机制，解决目前普遍存在的管理隐患。 1 3 华中科技大学硕士学位论文 3 基于p k i 的网络安全管理机制设计 3 1p k i 公开密钥体系 要真正实现网络中上信息传输的安全，就必须满足机密性、真实性、完整性、 不可抵赖性的四大要求，p k i 技术正是在这个背景下孕育而生的。 p k i ( p u b l i ck e y i n f r a n s t r u c t u r e ，公钥基础结构) ，是一种完全符合x 5 0 9 标准的 密钥管理平台阱】，它能够为所有网络应用透明地提供采用加密和数字签名等密码服 务所必需的密钥和证书管理。 3 1 1p kj 的基本组成 完整的p k i 系统必须具有权威认证机关c a ( c e t i f i c a t e a u t h o r i t y ) 、数字证书库、 密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分，构建p k i 也将围 绕着这五大系统来着手构建口6 1 。 ( 1 ) 认证机关( c a ) 即数字证书的申请及签发机关，c a 必须具备权威性的特征。 ( 2 ) 数字证书库 用于存储已签发的数字证书及公钥，用户可由此获得所需的其它用户的证书及 公钥。 ( 3 ) 密钥备份及恢复系统 如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数 据丢失。为避免这种情况，p k i 提供备份与恢复密钥的机制。但须注意，密钥的备 份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签 名私钥为确保其唯一性而不能够进行备份。 1 4 华中科技大学硕士学位论文 r 4 1 证书作废系统 证书作废处理系统是p k i 的一个必备的组件。与日常生活中的各种身份证件一 样，证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。 为实现这一点，p k i 必须提供作废证书的一系列机制。 ( 5 ) 应用接口 p k i 的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个 完整的p k i 必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、 可信的方式与p k i 交互，确保安全网络环境的完整性和易用性。 3 1 2p k l 的本质特征 原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥 与加密密钥相同。采用此加密技术用于网络传输数据加密，则不可避免地出现安全 漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三 方在截获加密数据的同时，只需再截取相应密钥即可将数据解密或进行非法篡改。 区别于原有的单密钥加密技术，p k i 采用非对称的加密算法，即由原文加密成 密文的密钥不同于由密文解密为原文的密钥，以避免第三方获取密钥后将密文解 密。 通常来说，c a 是证书的签发机构，它是p k i 的核心 2 7 】。众所周知，构建密码 服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥( 即私钥和公 钥) ，私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上 传送，故公钥体制的密钥管理主要是针对公钥的管理问题，目前较好的解决方案是 数字证书机制。 、 数字证书是公开密钥体系的一种密钥管理媒介。它是一种权威性的电子文档， 形同网络计算环境中的一种身份证，用于证明某一主体( 如人、服务器等) 的身份 以及其公开密钥的合法性，又称为数字d 。数字证书由一对密钥及用户信息等数据 华中科技大学硕士学位论文 共同组成，并写入一定的存储介质内，确保用户信息不被非法读取及篡改。 3 2s n m p 安全机制及改进 3 2 1s n m p v l 安全机制及缺陷 s n m p 的安全机制包括两个方面，即认证服务和访问策略。认证服务限制只有 授权的管理者才可以访问m ，s n m p v l 仅提供简单的认证服务，它通过包含在消 息头的一个团体名来保证通信是授权的。访问策略规定了不同的管理者对m i b 的不 同访问特权，它通过给特定的管理者指定特定的管理对象子集( 称为m mv i e w ) 和特 定的访问模式( 只读或读写) 来确定管理者可以访问的m 田元素。 s n m p v i 安全机制的实现是使用c o m m u n i t y 进行明文鉴别。c o m m u n i t y 本身被 放入到消息中，不进行任何的加密。c o m m u n i t y 用于识别不同的管理实体，所以 c o m m u n i t y 是代理与不同的管理者之间的关系。它是代理与不同的管理者交互的钥 匙，代理根据c o m m u n i t y 授予管理者访问m 库的权限。当管理者使用合法的 c o m m u n i t y 发送消息给代理时，代理就给管理者创建一个访问环境处理管理者的请 求。但是代理根本无法鉴别发送消息的管理者是否有权限使用这个c o m m u n i t y ，即 对管理者的身份不作任何鉴别。 这就暗示着知道一个c o m m u n i t y 会是一种潜在的危险。c o m r m m i t y 在消息中不 作任何的加密，使用简单的截包工具就可以获得c o m m u n i t y 。一旦c o m m u n i t y 被非 法管理者窃取，它就可以利用c o m m u n i t y 冒充合法的管理者执行协议对该 c o m m u n i t y 授权的所有操作。由于这个原因一些s n m p 生产商承认实现s e t r e q u e s t 是很危险的。 并且s n m p t r a p 没有认证，这样就造成了很大的安全隐患。所以s n m p v l 的安 全性是非常有限的。 华中科技大学硕士学位论文 3 2 2s n m p v 2 安全机制改进 针对安全性问题，s n m p v 2 对s n m p v l 有了很大的扩展，主要体现在以下几个 方面【2 8 】： ( 1 ) 增加了验证机制：s n m p v 2 使用m d 5 验证算法，提供对报文完整性、发送 者身份合法性的验证： f 2 ) 增加了加密机制：s n m p v 2 使用d e s 对称加密算法，提供报文的机密性： f 3 1 增加了“时间戳”算法：防止报文遭受重发或延迟。 s n m p v 2 的管理框架由管理模型、参与者m ( p a r t y m i b ) 和安全协议组成。安 全协议基于两种著名的算法：m d 5 ( 数字签名算法) 和d e s ( 数据加密标准) 。这两种 算法可以有效的防止身份冒充、信息篡改、信息泄漏和信息顺序改变等。 s n m p v 2 标准中增加了一种叫做p a r t y 的实体。p a r t y 是具有网络管理功能的最 小实体。它的功能是一个s n m p v 2e n t i t y ( 管理实体) 所能完成的全部功能的一个 子集。每个m a n a g e r 和a g e n t 上都分别有多个p a r t y 。每个站点上的各个p a r t y 彼此 是平等的关系，各自完成自己的功能。实际的信息交换都发生在p a r t y 与p a r t y 之间 ( 在每个发送的报文里，都要指定发送方和接受方的p a r t y ) 。每个p a r t y 都有一个唯 一的标识符、一个验证算法和参数以及一个加密算法和参数。p a r t y 的引入增加了系 统的灵活性和安全性，可以赋予不同的人员以不同的管理权限。s n m p v 2 中的三种 安全性机制：验证机制、加密机制和访问控制机制。这些机制都工作在p a r t y 一级， 而不是m a n a g e r a g e n t 一级。 如果发送方、接受方的两个p a r t y 都采用了验证机制，它就包含与验证有关的 信息，否则它为空。验证的过程如下：发送方和接受方的p a r t y 都分别有一个验证 用的密钥和一个验证用的算法。报文发送前，发送方先将密钥值填入d i g e s t 域，作 为报文的前缀。然后根据验证算法，对报文中d i g e s t 域以后的报文数据进行计算， 计算出一个摘要值( d i g e s t ) ，再用摘要值取代密钥，填入报文中的d i g e s t 域。接受 方收到报文后，先将报文中的摘要值取出来，暂存在一个位置，然后用发送方的密 钥放入报文中的d i g e s t 。将这两个摘要值进行比较，如果一样，就证明发送方确实 7 华中科技大学硕士学位论文 是s r c p a r t y 域中指明的那个p a r t y ，报文是合法的。如果不一样，接受方断定发送方 非法。验证机制可以防止非法用户“冒充”某个合法的p a r t y 来进行破坏a s n m p v 2 的另一大改进是可以对通信报文进行加密，以防止监听者窃取报文内 容。除了p r i v d s t 域外，报文的其余部分可以被加密。 尽管s n m p v 2 较之s n m p v i ，无论在功能上还是安全性上都有了很大改进，但 是它还是存在着一些不足和缺陷。s n m p v 2 的消息结构和安全模型都过于单一，缺 少灵活性，不适合在不同环境中使用。由于p a r t y 与s n m p 处理实体的各个方面都 有关，从而导致即使要获得一个最简单的管理功能，s n m p v 2 的应用程序也不得不 支持整个p a r t y 结构，因此实现起来比较复杂。同时，s n m p v 2 的安全机制也不够 完善，缺乏基于用户的安全策略。 3 2 3s n m p v 3 安全特性 s n - t v d ) v l 和v 2 缺乏安全功能【2 9 】，特别是在鉴另l j ( a u t h e n t i c a t i o n ) 和私有( p r i v a c y ) 方面。s n m p v l 框架中仅定义了一个共同体，它代表了一组被管设备，每个设备可 以拥有一个s n m p 共同体名表，该表能使网关工作站控制s n m p 对设备的访问， 但是代理( a g e n t ) 并不核实发送者是否使用了授权的共同体名，事实上，根本就不检 查管理者的身份。就是说，知道了一个合法的共同体名就是一种潜在的危险。而共 同体名没有加密，普通的工具就可以用来分析。s n m p v 2 指定初期尽管也考虑了一 些安全机制，如摘要鉴别、时标鉴别、加密和授权，但是在最后定型的r f c l 9 0 1 1 9 0 8 中仅使用相似于s n m n ，l 的“共同体名”。为了弥补安全性缺陷，i e t fs n m p v 3 工 作组于1 9