网络安全协议网络管理协议ppt课件

1、.Internet安全体系网络管理协议.网络管理协议 网络管理协议：应用层协议 支持配置管理配置管理、审计审计和事件记录事件记录等管理功能，并且为诊断网络问题提供了工具 包括工作站、服务器、网卡、路由器、网桥和集线器等构成网络的硬件设备的管理.网络管理协议：Internet SNMP Internet网络管理协议的标准 TCP/IP协议族的一部分 SNMP设计时的目标： 功能简单化 易扩充性 结构独立性 健壮性.网络管理协议：Internet SNMP SNMP体系结构模型网络管理网络管理 应用应用 网络管理站网络管理站网络要素网络要素SNMP实体实体SNMP实体实体管理管理代理代理MIBVi

2、ewSNMP.为什么要使用管理代理？ .网络管理协议：Internet SNMP 管理信息库MIB 通过网络管理协议可以访问的信息 使用一个层次型,结构化的形式 管理站通过检索MIB目标的值来实现监视任务，通过改变特定对象的值来改变管理代理的配置.网络管理协议：Internet SNMP 管理站 充当网络管理人员进入网络系统的接口,监视和控制网络 与在不同的被管理节点中的代理通信，并且显示这些代理状态的中心设备。 管理数据分析,故障恢复等的应用程序集 把网络管理人员的要求转换为对网络中远程要素实际监视和控制.网络管理协议：Internet SNMP 管理站和管理代理通过网络管理协议进行联接.协

3、议主要包括功能: Get Set Notify IP UDP SNMP管理器 网络相关协议 管理应用程序GetRequestGetNextRequestSetRequestGetResponse Trap IP UDP SNMP代理 网络相关协议 SNMP管理对象GetRequestGetNextRequestSetRequestGetResponse Trap 管理资源SNMP管理站SNMP代理应用管理对象SNMP消息网络或因特网SNMP协议与其它协议之间的关系. SNMPv1的安全特征 代理对MIB的控制 身份认证服务 访问策略 代理服务 共同体和共同体名称SNMPv1.SNMPv1 认证

4、服务 只为认证提供普通的方案。从管理器到代理的每条消息（获取或发送请求）都包括一个共同体的名称。该名称作为口令，如果发送方知道口令，该条消息就被确认是可信的。.SNMPv1 访问策略 访问控制有两个方面的内容：1）SNMP MIB 视图：MIB中对象的子集 为每个共同体定义不同的MIB视图 视图中的对象集合不需要属于MIB的单个子树2）SNMP 访问模式： READ-ONLY/READ-WRITE 每个共同体中都定义了访问模式.SNMPv1 SNMPv1的不足 缺乏对分布式网络管理的支持，不支持管理站-管理站之间的通信，它不允许一个管理系统去了解由另一个管理系统管理的设备和网络的状况。 功能缺

5、陷：基于一种主动轮询的监视机制，轮询间隔短时对网络性能影响很大，不适合大规模的网络管理; 安全缺陷.SNMPv1 SNMPv1的安全缺陷 欺骗 修改信息 信息泄漏.SNMPv2 -分布式网络管理 .SNMPv2 SNMPv2功能的改进 增加了两条新命令 Inform GetBulk.SNMPv3. SNMPv3 的安全特征 SNMPv3 不是独立的取代SNMPv1 或SNMPv2 的协议，定义为一种安全能力而与SNMPv2或SNMPv1 联合使用。 SNMPv3 可以被看成是附加了安全和管理能力的SNMPv2。 RFC2570 到2575 描述了整体的SNMPv3。SNMPv3.SNMP协议体

6、系结构 IPUDP 消息处理消息处理 SNMPv3 USM）PDU 处理（处理（SNMPv1 SNMPv2） SNMP PDU V3-MH UDP-H IP-H V3-MH SNMP PDU UDP-H V3-MH SNMP PDU SNMP PDU.SNMPv3 SNMP体系结构 SNMP实体 实体是代理、管理器或两者的结合 每个SNMP实体包括一个单独的SNMP引擎 SNMP引擎 SNMP引擎实现发送和接收消息的功能，认证和加密解密消息，控制对管理对象的访问 SNMP引擎和所支持的应用程序都是定义成离散模块的集合. 典型SNMP管理器 命令生成器程序 通知始发器程序 通知接收器程序 SNM

7、P管理器引擎管理器引擎 调度程序调度程序 消息处理子系统消息处理子系统 安全子系统安全子系统SNMP体系结构.SNMP体系结构 典型SNMP代理 命令响应器应用程序 通知始发器应用程序 代理转发器应用程序 代理引擎代理引擎 调度程序调度程序 消息处理子系统消息处理子系统 安全子系统（安全子系统（USM） 访问控制子系统（访问控制子系统（VACM）.1. SNMPv3调度程序 对于传出的PDU，调度程序从应用程序接收PDU。对每个PDU，调度程序确定消息处理需要的类型(v1,v2或v3),传送给消息处理子系统中合适的处理模块。消息处理子系统返回一条包含了该PDU和正确消息报头的消息，调度程序把消

8、息映像到传输层 对传入的消息，调度程序把它发送给合适的消息处理模块。消息处理子系统返回在该条消息中获得的PDU。调度程序把其送给合适的应用程序.2. SNMPv3消息处理模型 负责从调度程序接收PDU,封装进消息,调用USM在消息报头插入安全相关的参数 接收传来的消息,调用USM处理消息报头的安全相关参数,对调度程序分配封装的PDU.3. SNMPv3用户安全模型 基于用户的安全模型 USM提供了身份认证和保密服务 USM设计是为了防范以下主要威胁: 信息的修改 伪装 消息流修改 泄密 USM不能防范以下两种威胁: 拒绝服务 通信分析.3. SNMPv3用户安全模型 USM privKey和a

9、uthKey 认证：使用HMAC-MD5-96或HMAC-SHA-96 加密：使用DES CBC模式.HMAC回顾.MD5描述 Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, Ron Rivest 完成MD5 (RFC 1321) 在最近数年之前,MD5是最主要的hash算法 现行美国标准SHA-1以MD5的前身MD4为基础.MD5描述 输入：任意长度的报文 输入分组长度：512 bit 输出：128 bit 报文.安全散列函数(SHA) SHA是美国NIST和NSA共同设计的安全散列算法(Secure Hash Algor

10、ithm)，用于数字签名标准DSS(Digital Signature Standard)。 SHA1于1995年发布 SHA1的输入：长度小于264位的消息 输出：160位的消息摘要。.3. SNMPv3用户安全模型 USM HMAC-MD5-96:算法生成128位的输出,被截成96位 HMAC-SHA-96:算法生成160位的输出,被截成96位.密码分组链接回顾.3. SNMPv3用户安全模型 USM 使用DES中的CBC加密.16字节的PrivKey输入 前8个字节作为DES的密钥.每个8位位组的最低位被忽略 CBC 模式需要一个64位的IV.PrivKey的最后8个字节用于生成这个IV

11、.3. SNMPv3用户安全模型 USM时限机制 防止消息延迟和消息重放 只有在消息使用了身份认证服务，并通过认证后才使用同步操作或时限的检查。要确认参数值是正确的 时间窗口的限制：根据给定时钟的精确性，来回的通信延迟和时钟用来同步的频率来确定窗口大小 msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgAuthoritativeEngineID contextEngineID contextName PDU消息处理模型消息处理模型生成或处理生成或处理用户安全模型用户安全模型(USM)生成或处理生成或处理限定范围的限定范围的PDU(

12、明文或加密的明文或加密的)加密的作用域加密的作用域认证的作用域认证的作用域使用使用USM的的SNMPv3消息格式消息格式.4. SNMPv3访问控制模型 VACM 基于视图的访问控制模式 特征 VACM确定是否允许远程主体对本地MIB中管理对象的访问 VACM使用MIB 来定义对该代理的访问策略；访问策略可以远程配置.4. SNMPv3访问控制模型 VACM的元素 组, 安全级别, 上下文, MIB视图, 访问策略 组：由多个元组组成。给定组的所有主体的访问权力是一样的 安全级别：组的访问权力不同，取决于包含请求的消息的安全级别。例如，对于某些敏感对象，代理也许要求其请求和其应答都通过私有服务

13、进行通信.4. SNMPv3访问控制模型 VACM的元素 组, 安全级别, 上下文, MIB视图, 访问策略 MIB上下文是MIB中实例对象的命名子集。特征： 由contextEngineID唯一标识的SNMP实体，可以保留多个上下文 对象或对象实例可能出现在多个上下文中 存在多个上下文时，为了标识单个对象实例，除了其对象实例和类型外，还必须标识contextName 和contextEngineID.4. SNMPv3访问控制模型 VACM的元素 组, 安全级别, 上下文, MIB视图, 访问策略 MIB视图 MIB视图根据集合或系列或子树的概念定义，每个子树或者包含在视图之内或者排斥在视图之外 子树是在MIB命名层次中的节点，并加上其所有下属元素 每次进入vacmAccessTable相关的是3个MIB 视图，分别对应于读，写，通知访问.访问控制过