简单网络管理协议SNMP的发展与研究综述

简单网络管理协议简单网络管理协议 SNMP 的发展与研究综述的发展与研究综述 摘要 阐述了简单网络管理协议的发展历程 分析了不同版本协议的特点 与缺点 对未来网络管理协议的发展趋势进行了初步研究和探讨 关键词 网络管理 简单网络管理协议 SNMPvl SNMPv2 SNMPv3 1 SNMP 概述概述 网络管理用于管理一个复杂的阿络 使网络能够高教能地供用户使用 网 络管理协议提供了一种通用的管理网络的方法和手段 简单网络管理协议 SNMP 是建立在 TCPaP 网络上的公共网络管理协议 它定义了用于交换管理 信息的协议 管理信息的表示格式 分布系统的组织框架 由 Manager 和 Ag eat 构成 和一种特定的储存管理信息的数据库 MIB 它的发展经过了几个阶段 2 第 第 1 代简单网络管理协议代简单网络管理协议 SNMPvl 1988 年 SNMPvl 首次在 ffcll57 中被正式接受 确认为一个标准的基于 TCP IP 网络的管理协议 2 1 体系结构体系结构 SNMPvl 采用了管理者 代理的结构模型 代理位于被管理的设备上 每 个代理管理一个特殊的数据库 称为管理信息库 MIB 按照规定的格式存放着 可供管理的设备信息 SNMP 代理收集并维护本地信息 回答管理者对于 MIB 的查询请求或报告异常事件 并能根据管理者的指令修改本地配置或参数 管 理者依据得到的信息对被管理者作出相应的管理和控制 代理和管理者之间的 关系如图 1 所示 图 1 代理和管理之问的关系 管 理 者主机 代 理 主 机 代 理 主 机 2 2 工作原理工作原理 SNMPvl 的代理和管理者通过标准消息格式进行通讯 SNMP 使用无连接 的用户数据报协议 UDP 作为传输层协议 SNMPvl 的消息格式如下 版本团体名SNMP PDU SNMPvl 包括 5 种消息类型 GetRequest 管理站用 GetResquest 从代理的 MIB 库中检索信息 GetResponse 代理用此消息回复来自管理者的 Request 消 息 管理者可以用 GetnextRequest 和 GetRequest 结合起来取得 MIB 库中一个表 的对象值 使用 SetRequest 消息管理者可以对代理设备的参数进行远程配置 SNMPTrap 消息是当出现特定事件时 代理发送给管理者的非请求消息 2 3 安全机制安全机制 SNMP 的安全机制包括两个方面 即认证服务和访问策略 认证服务限制 只有授权的管理者才可以访问 MIB SNMPvl 仅提供简单的认证服务 它通过包 含在消息头的一个团体名来保证避信是授权的 访问镱略规定了不同的管理者 对 MIB 的不同访问特权 它通过给特定的管理者指定特定的管理对象子集 称为 MIBView 和特定的访问模式 只读或读写 来确定管理者可以访问的 MIB 元素 2 4 SNMPvl 的缺陷的缺陷 SNMPvl 既存在着功能上的不足 也存在着安全方面的缺陷 功能上的不足 在于 首先 它不能存取大量的数据 其次 它不支持强制性的命令 它只能 通过 setreque t 命令设置特定的对象值来问接地触发一个事件 这种方式缺少 灵活性 第 3 它的管理信息库的模式有限 不真正支持鄢些基于对限制或者 类型复杂的管理查询的应用程序 第 4 它不支持管理者到管理者之问的通信 第 5 它只定义了在 IP 网络上的实现 安全方面的缺陷包括 SNMP PDU 只提供 简单的基于团体名的认证 并且 SNMP 的陷阱没有认证 这样就造成了很大的 安全隐患 3 第 第 2 代网络管理协议代网络管理协议 1993 年首次提出了第 2 代网络管理协议 SNMPv2 SNMPv2 主要是基于安 全 SNMP 和 smp 它不仅对 SNMPvl 进行了大量的功能增强 而且在安全性上也 有所增强 SNMPv2 对 SNMPvI 的增强体现在以下一些方面 1 在管理信息结构 SMI 的定义上 SNMPv2 在 SNMPvl 的基础上进行了很 大的扩展 SNMPv2SMI 扩充了原有的对象数据类型 增加了许多新的数据类型 强了关于对象的文档说明 修改了对对象的访问权限 使之为子集 不可访问 只读 读写 读生成 四者之一 这就使得对对象的定义更加精确 此外 SNMPv2 还扩充了表操作 在 MIB 中增加了用于行生成和行删除的对象 rowsstatus 在表的定义中增加了 augments 子句 使得可以不重写表的定义增 加表的列数 这样对表的操作更加方便 2 它提供了管理者 管理者的能力 SNMPv2 规范中不仅定义了用于系统 管理的 M B 而且增加了一个 管理者对管理者 M2M MIB 使用 管理者对 管理者 能力 允许一个系统中有多个管理者 形成分布式管理结构 在分布 式管理结构中 一些系统可以既充当管理者又充当代理 作为管理者 它们收 集关于下级代理的信息 作为代理 它们一方面回答上级管理者提出的关于它 自身信息的访问 另一方面还要完成关于它的下级代理的总结性信息的访问 3 在协议结构上 SNMPv2 增加了两种 PDU 类型 GetbulkRequest 和 InformRequ est GetbulkRequestPDU 允许管理者一次从代理得到大批管理信息 从而减少交换信息的救数 弥补了 SNMPvl 不能高效检索大量信息的不足 InformRequestPDU 用于实现管理者与管理者之问的通讯 一个管理者通过 lnfof mRequestPDU 将管理信息传送给另一个管理者 实现 SNMPv2 提供的管 理者 管理者能力 4 它在安全性方面也有了根大的扩展 SNMPv2 为保证数据的完整性和机 密性并解决源认证问题 引入了一些新的对象 并采用了 MD5 消息摘要算法和 DES 数据加密算法 具体实现如下 首先 从安全模型上 SNMPv2 增加了参加者 patty MIB View 上下文等 对象 SNMP 参加者由一个唯一的参加者标识 认证协议及相关参数 加密协 议及相关参数 MIBV3ew 和该参加者的逻辑网络信息等元素构成 每个 SNMP 实体包含一个或多个参加者 SNMP 实体以参加者的身份和别的实体通讯 它 可能执行的操作局限于该参加者的操作集 MIB View 是用子树集合的方式定义 了 MIB 库中对象的一个子集 上下文标识了 SNMP 实体可以访问的 MIB View 子 集 SNIdPv2 的访问控制策略由 4 个元素构成 即目标参加者 源参加者 上 下文和可被允许的操作 其次 在协议操作方面 也有根大变动 SNMPv2 修 改了 SNMPvl 的消息头格式 SNMPv2 的消息格式 PriDstAuthInfoDstpartvSrcPartvContextPDU 当一个 SNMP 实体需要向另一个实体发送一个秘密消息时 形成一个 SNMPMgmtCom 值 包含了消息的目的参加者 DstParty 源参加者 SroParty 相 关的上下文 context 和相应的 PDU 根据接收方的时间戳 DstTimestamp 发送 方的时间戳 SrcTimestamp 和消息摘要 Digest 组成 Authlnfo 部分 对 SNMPM gmtCom 和 AuthInfo 部分加密 将目的方参加者标识符 PrivDst 附在消息头上发 出 目的方实体接收到此消息后 检查是否与消息头的目的方参加者标识符匹 配 解密 Auttdnfo 部分 检查时间戳 计算消息摘要是否匹配 判断消息的可 靠性 检查消息引用的上下文是否存在 检查访问权限 如果请求被允许 成 功接收该消息 进行相应操作 尽管 SNMPv2 较之 SNMPvl 无论在功能上还是安全性上都有了很大改进 但是它还是存在着一些不足和缺陷 SNMPv2 的消息结构和安全模型都过于单 一 缺少灵活性 不适合在不同的环境中使用 同时 SNMPv2 的安全机制也 不够完善 缺乏基于用户的安全策略 4 第 第 3 代网络管理协议代网络管理协议 SNMPv3 于 1998 年 1 月在 RFC2271 RFC2275 里发布 SNMPv3 涵盖了 SNMPvI SNMPv2 的所有功能 并在此基础上增加了安全性 它没有定义新的 PDU 格式 而是描述了一种目前和将来版本的 SNMP 版本都适用的体系结构 特定的信息结构和安全特性 4 1 体系结构体系结构 SNMPv3 将网络看成由许多分布的 互相作用的实体构成 这些实体或者 是代理 或是管理者 或者两者都是 其中每个实体又是由一些相互作用的模 块集组成 这种模块化的体系结构的好处在于 可以适用于不同的操作环境 既可以为一些小的网络提供小的 简单的功能 又可为管理大的两络提供一些 额外的功能 各个模块可以单独修改或升级 可以采用不同的安全模型 每个 SNMp 实体包含一个简单的 SNMP 引擎 引擎的主要功能为 接收来自 SNMP 应用程序的 PDU 对之处理 包括插入认证码 加密处理等 再将处理过的 PDU 封装到报文中向下层发送 接收来自传输层的报丈 执行认证和解密处理 后 将 PDU 从报文中取出交给适当的 SNMP 应用程序 对于准备发送的 PDU 来自上层应用程序 调度程序根据消息类型 S NMPvl SNMPv2 SNMPv3 将 PDU 交蛤消息处理子系统中相应的消息处理模 块娃理 消息处理子系统处理完该 PDU 后 将其封装到含有合适消息头的消息 中返回给调度程序 调度程序再将此消息交给传输层传送 对于接收到的消息 来自传输层 调度程序照样先将它们交给合适的消息处理模块处理 消息处理 模块返回的消息中的 PDU 调度程序再将此 PDU 交给合适的上层应用程序 消息处理子系统接收来自调度程序的消息 PDL 拆去 加上 合适的消息头 得到相应的 PDU 消息 后返回给调度程序 消息处理子系统允许对于不同 SNMP 版本支持不同的信息格式 安全子系统执行认证和加密功能 消息处理子系统将每一个输出消息传递 给安全子系统 安全子系统根据要求可能会加密整个 PDU 或消息头的一部分 产生认证码插入包头 再将处理过的消息返回给消息处理子系统 类似的 安 全子系统也需要处理输入消息 执行认证和解密后返回给消息子系统 安全子 系统可支持不同的安全模型 目前使用的是 RFC2274 中定义的基于用户的安全 模型 存取控制子系统只存在于代理实体中 它的主要功能是提供对 MIB 的存取 控制的授权服务 存取控制子系统也可以支持多个存取控制模型 目前使用的 是基于视图的存取控制模型 4 2 消息结构消息结构 SNMPv3 的消息格式与 SNMPv1 和 SNMPv2 的格式都不一样 它将消息头分 得更细 使之包含了更多与安全有关的信息 SNMPv3 消息可以分解为 3 个主 要部分 消息处理模块部分 用户安全模块部分 PDU 部分 消息处理模块部 分由消息处理模块产生或处理 它包括以下一些域 消息版本 SNMPv3 消息 ID 用于唯一标调一个消息 消息最大大小 标调 指定淳消息是否需要回应 加密和诅证 安全模型 可以指定为 SNMPvl SNMFv2c 或 SNMPv3 用户安全模块部分由用户安全模块产生或处理 它包括的域为 授权引擎 ID 用于唯一标识一个授权引擎 其中授权引擎指接收一个需要回应的消息 如 Get GetNext Set Infom 的引擎或发送一个不需要回应的消息的引擎 授权 引擎启动时间 授权引擎的时间 用于确定消息的有效性 准备交换消息的主体 认证参数 空或 HMAC 消息认证码 加密参数 空或 DESCBC 算法的 值 PDU 部 分由上下文引擎 ID 上下文名 PDU 3 个域构成 加密操作是针对这个部分进 行的 4 3 安全特性安全特性 SNMPv3 的安全特性包括两个方面 认证和存取控制 1 认证 认证主要是针对 SNMP 消息进行的 SNMPv3 的认证功能由基于用 户的安全模型 USM 来完成 USM 的操作过程如下 当发送一个消息时 如果 需要加密 则对 PDU 部分加密并设置加密参披 否则将加密参数置空 然后如 果需要认证 则对整个消息执行认证并将得到的认证码设置成认证参数 否则 将认证参数清空 对于接收的消息 如果需要认证 则首先根据认证码进行认证 然后检查 消息是否在有效时限内 最后将 PDU 部分解密返回明文 2 存取控制 存取控制是定义在 SNMPPDU 级的安全功能 存取控制由基 于视图的存取控制模型 VACM 定义 它定义了代理的存取控制锥略 决定是否 允许一个远程主体 Pdncipal 存取本她的管理信息库中的对象值 井使得远程配 置成为可能 VACIVl 模型包括 5 个元紊 组 Groups 队的集合 安 全级别 决定对 MIB 的存取权限 上下文 Conttext MIB 中对象实例的子集 MIB 视图 MIB View 对象 实倒的特定集合 存取策略 其中存取策略的决定 又依赖于以下因素 主体一不同的主体决定了不同的存取需求 安全级别一不 同类型的消息具有不同的安全级别 安全模型一根据不同的安全模型来处理消 息 上下文 特定的对象实例 存取类型 读 写 通知 存取控制过程如下 一个 SNMP 应用程序通过 IsAccessAllowed 原语激活 VACM 输入参数为安全模型 安全名