自考“計算機網(wǎng)絡(luò)管理”知識重點（5）

網(wǎng)絡(luò)管理中的安全問題

網(wǎng)絡(luò)中的安全機制：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證技術(shù)

3.管理信息結(jié)構(gòu)，要求達到領(lǐng)會層次

對象的定義

表的定義、索引和操作

通告的定義和作用

4.管理信息庫，要求達到簡單應(yīng)用層次

System組增加的新對象

SNMP組對象與SNMPv2操作的關(guān)系

MIB對象組的作用

一致性聲明的主要內(nèi)容

接口組增加的對象及應(yīng)用

5.SNMPv2的操作，要求達到簡單應(yīng)用層次

SNMPv2的報文結(jié)構(gòu)和交換序列

SNMPv2協(xié)議數(shù)據(jù)單元的功能和操作

SNMPv2管理站之間的通信機制

6.SNMPv2的實現(xiàn)，要求達到領(lǐng)會層次

可利用的種種傳輸服務(wù)

SNMPv2與OSI的兼容性

在 TCP/IP網(wǎng)絡(luò)中實現(xiàn)OSI系統(tǒng)管理功能的方法

SNMP的局限性

知識重點

（一） SNMP的演變

1.SNMP的發(fā)展

當(dāng)初提出 SNMP 的目的識作為彌補網(wǎng)絡(luò)管理協(xié)議發(fā)展階段之間空缺的一種臨時性措施。 SNMP 出現(xiàn)后顯示了許多優(yōu)點。最主要的優(yōu)點是：簡單、容易實現(xiàn)，而且是基于人們熟悉的 SGMP （ Simple Gateway Monitoring Protocol ）協(xié)議，已有相當(dāng)多的操作經(jīng)驗。在 1998 年，為了適應(yīng)當(dāng)時緊迫的網(wǎng)絡(luò)管理需要，確定了網(wǎng)絡(luò)管理標(biāo)準(zhǔn)開發(fā)的雙軌制策略。

？SNMP可以滿足當(dāng)前的網(wǎng)絡(luò)管理需要，用語管理配置簡單的網(wǎng)絡(luò)，并且在將來以平穩(wěn)地過度到新地網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。

？OSI網(wǎng)絡(luò)管理（即CMOT）作為長期地解決辦法，可以應(yīng)付未來更復(fù)雜地網(wǎng)絡(luò)的配置，提供更全面的管理功能。但是需要較長的開發(fā)過程，以及開發(fā)商和用戶接受的過程。

為了修補SNMP的安全缺陷，1992年7月出現(xiàn)了一個新標(biāo)準(zhǔn)——安全SNMP（S-SNMP），這個協(xié)議增強了安全方面的功能：

。用報文摘要算法 MD5保證數(shù)據(jù)完整性和進行數(shù)據(jù)源認(rèn)證。

。用時間戳對報文排序。

。用 DES算法提供數(shù)據(jù)加密功能。

但是，S-SNMP沒有改進SNMP在功能和效率方面的其他缺點。幾乎與此同時，有任又提出了另外一個協(xié)議SMP（Simple Management Protocol），這個協(xié)議由8個文件組成（非RFC），它對SNMP的擴充表現(xiàn)在下列方面：

。適用范圍： SMP可以管理任意資源，不僅是網(wǎng)絡(luò)資源，還可用于應(yīng)用管理，系統(tǒng)管理?？蓪崿F(xiàn)管理站之間的通信，也提供了更明確更靈活的描述框架，可以描述一致性要求和實現(xiàn)能力。在SMP中管理信息的擴展性得到了增強。

。復(fù)雜程度、速度和效率：保持了 SNMP的簡單性，更容易實現(xiàn)，并提供了數(shù)據(jù)塊傳送能力，因而速度和效率更高。

。安全設(shè)施：結(jié)合了 S-SNMP提供的安全功能。

。兼容性：可以運行在 TCP/IP網(wǎng)絡(luò)上，也適合OSI系統(tǒng)和運行其他通信協(xié)議的網(wǎng)絡(luò)。

在對 S-SNMP和SMP討論的過程中，Internet研究人員達成了如下的共識：必須擴展SNMP的功能，并增強其安全設(shè)施，使用戶和制造商盡快地從原來的SNMP過渡到第二代SNMP，于是S-SNMP被放棄，決定以SMP為基礎(chǔ)開發(fā)SNMP第二版，即SNMPv2.IETF組織了兩個工作組。一個負(fù)責(zé)協(xié)議功能和管理信息庫的擴展，另一個負(fù)責(zé)SNMP的安全方面，1992年10月正式開始工作。這兩個組的工作進展非常之快，功能組的工作在1992年12月完成，安全組在1993年完成。后來又經(jīng)過幾年的實驗和論證，新的RFC文件集合在1996年完成。然而就在新的RFC文件發(fā)布時有人發(fā)現(xiàn)安全方面存在重要缺陷，而改進安全設(shè)施的工作又遲遲沒有進展。后來決定丟掉安全功能，把增加的其他功能作為新標(biāo)準(zhǔn)頒布，并保留了SNMPv1的報文封裝格式，因而叫做基于團體名的SNMP（Community-base SNMP），簡稱SNMPv2C.

（二）網(wǎng)絡(luò)安全問題

1.計算機網(wǎng)絡(luò)的安全威脅

為了理解對計算機網(wǎng)絡(luò)的安全威脅，我們首先定義安全需求。計算機和網(wǎng)絡(luò)需要以下 3 方面的安全性：

。保密性（ secrecy）：計算機中的信息只能由授予訪問權(quán)限的用戶讀?。ò@示、打印等，也包含暴露信息存在的事實）。

。數(shù)據(jù)完整性（ integrity）：計算機系統(tǒng)中的信息資源只能被授予權(quán)限的用戶修改。

?？衫眯裕?availability）：具有訪問權(quán)限的用戶在需要時可以利用計算機系統(tǒng)中的信息資源。

2.網(wǎng)絡(luò)管理中的安全問題

由于網(wǎng)絡(luò)管理時分布在網(wǎng)絡(luò)商的應(yīng)用程序和數(shù)據(jù)庫的集合，各種安全威脅都可能影響網(wǎng)絡(luò)管理系統(tǒng)，造成管理系統(tǒng)失效或發(fā)出了錯誤的管理指令，破壞了計算機網(wǎng)絡(luò)的正常運行。對于網(wǎng)絡(luò)管理特別有 3 個安全方面的威脅值得提出：

。偽裝的用戶：沒有得到授權(quán)的一般用戶企圖訪問網(wǎng)絡(luò)管理應(yīng)用和管理信息。

。假冒的管理程序：無關(guān)的計算機系統(tǒng)可能偽裝成網(wǎng)絡(luò)管理站實施管理功能。

。侵入管理站和代理之間的信息交換過程：網(wǎng)絡(luò)入侵者通過觀察網(wǎng)絡(luò)活動竊取了敏感的管理信息，更嚴(yán)重的危害時可能篡改管理信息，或中斷管理站和代理之間的通信。

系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機制的集合組成。

3. 安全機制

數(shù)據(jù)加密時防止未經(jīng)授權(quán)的用戶訪問敏感信息的手段，這就是人們通常理解的安全措施，也是其他安全方法的基礎(chǔ)。研究數(shù)據(jù)加密的科學(xué)叫做密碼學(xué)（ Cryptography ），它又分為設(shè)計密碼體制的密碼編碼學(xué)和破譯密碼的密碼分析學(xué)。密碼學(xué)有著悠久而光輝的歷史，古代的軍事家已經(jīng)用密碼傳遞軍事情報了，而現(xiàn)代計算機的應(yīng)用和計算機科學(xué)的發(fā)展又為這一古老的科學(xué)注入了新的活力?，F(xiàn)代密碼學(xué)是經(jīng)典密碼學(xué)的進一步發(fā)展和完善。由于加密和解密此消彼長的斗爭永遠(yuǎn)不會停止，這門科學(xué)還在迅速發(fā)展之中。

認(rèn)證——防止主動攻擊的方法

認(rèn)證又分為實體認(rèn)證和消息認(rèn)證兩種。實體認(rèn)證是識別通信雙方的身份，防止假冒，可以使用數(shù)字簽名的方法。消息認(rèn)證是驗證消息在傳遞或存儲過程中沒有被篡改，通常使用消息摘要的方法。

數(shù)字簽名——防止否認(rèn)的方法

與人們手寫簽名作用一樣，數(shù)字簽名系統(tǒng)向通信雙方提供服務(wù)，使得 A 向 B 發(fā)送簽名的消息 P ，以便

I. B 可以驗證消息 P 確實來源于 A

II. A 以后步能否認(rèn)發(fā)送過

III. B 不能編造或改變消息 P

（三）管理信息結(jié)構(gòu)

SNMPv2 的管理信息結(jié)構(gòu)是在總結(jié) SNMP 應(yīng)用經(jīng)驗的基礎(chǔ)上對 SNMPv1 SMI 進行了擴充，提供了更精致更嚴(yán)格的規(guī)范，規(guī)定了新的管理對象和 MIB 的文檔，可以說是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 個關(guān)鍵的概念。

。對象的定義

。概念表

。通知的定義

。信息模塊

（四）管理信息庫

SNMPv2 MIB 擴展和細(xì)化了 MIB-2 中定義的管理對象，又增加了新的管理對象。

I.系統(tǒng)組

II.SNMP 組

III.MIB 組

IV.適合性聲明

V.接口組

（五）SNMPv2協(xié)議和操作

SNMPv2提供了3種訪問管理信息的方法：

。管理站和代理之間的請求 /響應(yīng)通信，這種方法與SNMPv1是一樣的。

。管理站和管理站之間的請求 /響應(yīng)通信，這種方法是SNMPv2特有的，可以由一個管理站把有關(guān)管理信息告訴另外一個管理站。

。代理系統(tǒng)到管理站的非確認(rèn)通訊，即由代理向管理站發(fā)送陷入報文，報告出現(xiàn)的異常情況。 SNMPv2中也有對應(yīng)的通信方式。

（六）SNMPv2的實現(xiàn)

1.傳輸層映像

SNMP是應(yīng)用層協(xié)議，通過傳輸層服務(wù)訪問通信網(wǎng)絡(luò)。SNMPv2規(guī)范定義了可以使用5種傳輸層服務(wù)，這5種傳輸層映射是：

。 UDP：用戶數(shù)據(jù)報協(xié)議；

。 CLNS：OSI無連接的傳輸服務(wù)；

。 CONS：OSI面向連接的傳輸服務(wù)；

。 DDP：AppleTalk的DDP傳輸服務(wù)；

。 IPX：Novell公司的網(wǎng)間分組交換協(xié)議。

2.與 OSI的兼容性

為發(fā)使 SNMPv2能與OSI系統(tǒng)互操作，可以使用RFC1006在TCP/IP網(wǎng)絡(luò)之上的模擬ISO的TPO傳輸服務(wù)，通過RFC1006，OSI的電子郵件、系統(tǒng)管理等應(yīng)用程序都可以通過運行在TCP/IP失望落上。RFC1006提供的TPO使最簡單的面向連接的傳輸協(xié)議，只提供連接的佳麗和釋放等基本操作，不支持錯誤檢測，也不支持傳輸服務(wù)Qos.RFC1006對TPO也有所增強，主要是在連接建立階段可以交換少量數(shù)據(jù)，支持加急投送服務(wù)，支持特長協(xié)議數(shù)據(jù)單元（默認(rèn)為65531）等。

3.TCP/IP網(wǎng)絡(luò)的系統(tǒng)管理

SNMP 的管理信息庫 MIB 主要是根據(jù)協(xié)議分組的，并沒有按照 OSI 的系統(tǒng)掛零你功能域分類。雖然實現(xiàn) SNMP 協(xié)議的網(wǎng)絡(luò)管理產(chǎn)品都有自己的使用方法，但是在應(yīng)用管理對象功能方面并沒有統(tǒng)一的分類標(biāo)準(zhǔn)。

MIB 對象駐在各種代理系統(tǒng)中，這些對象中的數(shù)據(jù)應(yīng)報告給有關(guān)信息的系統(tǒng)管理功能實體，同時協(xié)議或設(shè)備專用的管理信息也應(yīng)該歸屬于相應(yīng)的系統(tǒng)管理功能域。如何合理地分布各種管理對象，以有利于系統(tǒng)管理功能的實現(xiàn)，是設(shè)計網(wǎng)絡(luò)管理應(yīng)用時值得認(rèn)真決策的重要問題。

一般來說，不是每個代理都要實現(xiàn)所有的 MIB 對象，但是各種聯(lián)網(wǎng)設(shè)備中的代理程序應(yīng)該提出這種設(shè)備需要的管理對象，例如路由器專用的管理信息庫。委托代理是一種十分靈活的管理機制，如果可能，以委托代理實現(xiàn)專用網(wǎng)絡(luò)設(shè)備的管理信息收集和系統(tǒng)管理功能應(yīng)該是最好的選擇。