（计算机系统结构专业论文）基于策略的snmpv3网络安全管理研究.pdf

华中科技大学硕士学位论文 摘要 基于策略的网络管理以整个网络为管理对象，能解决传统网络管理不能解决的一 些问题，正逐渐成为一种新的网络管理方案。因此将策略管理和传统的s n m p 管理结 合起来，提出了基于策略的s n m p v 3 网络安全管理系统模型。 本模型由策略编辑工具、策略代理、策略服务器以及策略数据库四部分组成。其 中，策略代理与具体的被管网络设备关联，按照策略服务器规定的策略执行网络配置 和管理；策略服务器是整个系统的决策中心，它负责存取策略数据库中的策略，并根据 策略信息做出决策，然后将相应的策略分配至策略代理执行；策略数据库存储着相应 管理域内的策略，并能对系统中的策略进行汇总；策略编辑工具是供管理员编辑和监 控策略的应用系统，为管理员提供一个易于使用的编辑界面，并将编辑好的策略转成 一定格式存于策略数据库中。 依据网络实际应用的特点，对模型进行了层次化设计，从而提高了系统的灵活性 和可扩展性。将网络管理策略映射于s n m p v 3 框架结构中，通过对访问控制子系统 m i b 库的设计，实现策略管理对s n m p v 3 协议的支持。同时在分析s n m p v 3 协议安 全机制的基础上，提出了。种对s n m p v 3 协议安全性进行改进的重播保护方法，保证 了网络管理的安全性。 通过理论分析、模型设计和原型实现的研究，结果表明，这种基于策略的s n m p v 3 网络安全管理系统不仅在理论上是可行的，而且在实践上也是可实现的，有着良好的 应用前景。 关键词：策略，网络管理，简单网络管理协议，安全 i 华中科技大学硕士学位论文 a b s t r a c t t h ep o l i c y b a s e dn e t w o r km a n a g e m e n tm e c h a n i s mt a r g e t sa tt h ew h o l en e t w o r k s i n c ei tc a ns o l v et h ep r o b l e m st h a ta r ei r r e s o l u b l ef o rt r a d i t i o n a ln e t w o r km a n a g e m e n t s y s t e m s ，t h ep o l i c y - b a s e dn e t w o r km a n a g e m e n ti sb e c o m i n gan e w n e t w o r km a n a g e m e n t s o l u t i o n b yc o m b i n i n g t h e p o l i c y b a s e d n e t w o r k m a n a g e m e n t w i t ht r a d i t i o n a l s n m p b a s e dn e t w o r k m a n a g e m e n t ，t h e s e c u r e p o l i c y - b a s e d n e t w o r k m a n a g e m e n t p r o t o t y p e i sp r o p o s e d t h e p o l i c y b a s e dn e t w o r km a n a g e m e n ts y s t e m c o n s i s t so ff o u re s s e n t i a lc o m p o n e n t s ， t h ep o l i c ym a n a g e m e n tt o o l ，p o l i c ys e r v e r , p o l i c ya g e n ta n dt h ep o l i c yr e p o s i t o r y t h e p o l i c ya g e n t i sa t t a c h e dw i t hc o n c r e t en e t w o r kd e v i c e s i tc o n f i g u r e sa n d m a n a g e s n e t w o r k d e v i c e sb a s e do nt h ep r e d e f i n e dr u l e s o f p o l i c ys e r v e r t h ep o l i c ys e r v e r i st h en e x u so f t h e w h o l e s y s t e m ，w h i c hm a k e sd e c i s i o n sb yf e t c h i n g r u l e sf r o mp o l i c y r e p o s i t o r y a n d d i s p a t c h e se a c hr u l et ot h ec o r r e s p o n d i n gp o l i c ya g e n t t h ep o l i c yr e p o s i t o r y i sad i r e c t o r y a n d o r s t o r a g e s e r v i c ew h e r ep o l i c i e sa n dr e l a t e di n f o r m a t i o na r es t o r e d t h ep o l i c y m a n a g e m e n t t o o li sa na p p l i c a t i o ns e tw h i c hc a nb eu s e dt ov i e wa n de d i tt h ep o l i c i e s i t h a sag r a p h i cu s e ri n t e r f a c ea n di sr e s p o n s i b l ef o rc o n v e r t i n gt h ef o r m a t so f p o l i c i e ss ot h a t t h e y c a r lb es t o r e di nt h ep o l i c y r e p o s i t o r y a c c o r d i n gt o t h ep r a c t i c a lc h a r a c t e r i s t i co fn e t w o r km a n a g e m e n t ，t h i sp r o t o t y p ei s d e s i g n e dw i t hl a y e r e da r c h i t e c t u r es ot h a ti tc a l lb ei m p l e m e n t e dw i t hh i g h e rf l e x i b i l i t ya n d s c a l a b i l i t y b ym a p p i n gn e t w o r km a n a g e m e n tp o l i c i e st ot h es n m p v 3f r a m e w o r k ，b a s e d o n t h ed e s i g no fv a c m m i b ，t h ep o l i c y b a s e dn e t w o r km a n a g e m e n ts y s t e mi sa b l et os u p p o r t s n m p v 3p r o t o c 0 1 i n a d d i t i o n ，t h es e c u r i t yo fs n m p v 3p r o t o c o l i s a n a l y z e da n d a n i m p r o v e d r e b r o a d c a s t p r o t e c t i o n m e c h a n i s mi s p r o p o s e d t os e c u r et h en e t w o r k m a n a g e m e n t t h r o u g ht h e t h e o r e t i c a n a l y s i s a n d p r o t o t y p ei m p l e m e n t a t i o n ，t h ep c q c y b a s e d n e t w o r ks e c u r i t y m a n a g e m e n ts y s t e m i s p r o v e d t ob ef e a s i b l eb o t h t h e o r e t i c a l l y a n d p r a c t i c a l l y i tm a y h a v ea g o o dp r o s p e c tf o rt h en e x tg e n e r a t i o nn e t w o r km a n a g e m e n t f i e l d k e yw o r d s ：p o l i c y - b a s e d ，n e t w o r km a n a g e m e n t ，s n m p v 3 ，s e c u r i t y i i 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 喜髫荔 日期：跏弘年4 月2 罗日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于， 不保密囱。 ( 请在以上方框内打“4 ”) 学位论文作者签名： 皇莛莉 同期：僻眵月留同 指剥币签谚选，一，u 7 日期：冽年丫月斫日 华中科技大学硕士学位论文 1 1 网络管理的发展 1 绪论 随着计算机技术和i n t e m e t 的发展，企业和政府部门开始大规模的建立网络来推 动电子商务和电子政务的发展，伴随着网络业务和应用的丰富，对计算机网络的管理 与维护也就变得至关重要。一般来说，网络管理就是通过某种方式对网络进行管理， 使网络能正常高效地运行。其目的很明确，就是使网络中的资源得到更加有效的利用。 它应维护网络的正常运行，当网络出现故障时能及时报告和处理，并协调、保持网络 系统的高效运行等。国际标准化组织( i s o ) 在i s o i e c 7 4 9 8 4 中定义并描述了开放系统 互连o s i 管理的术语和概念。提出了一个o s i 管理的结构并描述了o s i 管理应有的行 为。丌放系统互连管理是指这样一些功能，它们控制、协调、监视o s i 环境下的一些 资源，这些资源保证o s i 环境下的通信。 计算机网络规模的不断扩大，组成复杂性的不断增加，使得对网络的要求越来越 高，传统的网络管理没有统一的标准和模式，主要依靠管理员的经验或根据某些简单 的管理协议来实现，而且各种管理机制间缺乏互操作性；同时，通信技术的飞速发展 和广泛应用使得网络规模更加庞大，系统的复杂性和异构性更加突出，传统的网络管 理面临着更多的问题。 基于策略的网络管t 里( p o l i c y b a s e d n e t w o r k m a t m g e m e n t ) 1 】指网络管理是基于策略 的实施来实现的，策略是一组规则的集合，规则包括条件和行为，满足规则中的条件 时执行规则中定义的行为，策略规则形式为 i fc o n d i t i o n t h e n a c t i o n 。基于策略的 网络管理把网络作为一个整体来管理和控制，使网络管理操作遵从业务提供商的商业 需要和商业规则。从网络管理员的角度来管理网络，以管理的角度出发定义策略，然 后把这些策略分发到网元上去实施，管理策略是管理智能的抽象，与具体的网元无关， 因此保证了可靠性和一致性。基于策略的网络管理，使得在网络服务的条件下无需重 新编程，只要修改相应的管理策略就能改变管理系统的行为和属性，这样提高了网管 系统的可伸缩性。 目前基于策略的网络管理可以分为两种，基于策略的集中式网络管理和分布式网 络管理【2 1 。集中式管理模型的优点在于结构简单。由于管理站单一，从而使得从- - 一点 就能够对所有的网络资源进行策略管理，方便了网络管理员进行操作。相对于集中式 1 华中科技大学硕士学位论文 网络管理模型，分布式网络管理模型有其不能比拟的优势，这主要体现在支持网络的 层次管理，使得网络管理系统具有良好的层次性和易扩充性，但是缺点也比较突出， 相对集中式管理，如何同步策略管理整个网络资源是个富有挑战性的问题。如果取两 者的优点进行结合，显然可以使系统性能得到更大的提升。 1 2 策略管理概念 简单的说，策略o ，4 1 是一个或多个规则的集合，这些规则描述了当指定条件满足时 执行的动作。 在网络环境里，策略规则指明了根据管理原则，用户访问网络资源和服务所必须 满足的条件或限定。因此，策略的两个最基本的元素是规则和动作。策略的三个最主 要的功能是： 决策：根据策略设定的目标状态比较当前的网络状态，从而决定应如何达到所设 定的目标状态。 执行：通过一系列的管理指令，实现预定的策略状态。这些管理指令将改变设备 的配置。 监控：通过主动或被动的方式，不断的检测网络及各个设备的健康状况，检测策 略是否得到了正确的执行。 决策通过静态的、动态的数据，判断应选择的策略以及策略执行的步骤；执行包 括对策略的解释和执行，监控则是对策略一致性的审核，以及策略的执行状态。 策略在网络环境中表现为三个层次，如图1 1 所示： ，1 磊百、 j、 ! 竺堕塑型：! ! ! 里塑：! ! 竺! 图i 1 策略的体系结构 嘲络层视图是对网络拓扑、连接、端到端的性能状态以及网络的活动状态的一个 直观的、高层次的透视。网络视图集成了不同节点的视图，这些节点对应于在各个网 络节点| 二需实现的策略目标和需求。节点视图由策略规则组成，策略规则是控制网络 2 华中科技大学硕士学位论文 节点的最基本的指令。 为了解决上述问题，策略管理系统应该具备如下特性： 集中式网络配置：不必逐个登录到各个设备上，网络管理员只需连接到中心策略 管理系统上，便可以进行策略的配置【5 】。这并不意味着只有一个策略系统，对于大型 网络，具有多个管理域，因此也需要多个策略系统，分别控制着部分设备，并保证域 间的一致性。统一的业务规划的实施要求统一的策略系统必须以中心处理的方式进 行，通常是基于存储用户和应用的属性及其相互关系的目录。 将网络作为一个整体系统来管理：策略系统应该提供系统级的网络视图，显示策 略或参数实旌后的影响。例如，当管理员指定某种应用需要得到某一级别的服务，策 略系统便应该对每一个可能的结点进行正确的参数设置。将网络视为一个系统，保证 了不同设备问参数设置的一致性，减少了网络失败或性能下降的机率。 不需要技术性很强的策略定义：人们总是愿意从业务规划的角度来考虑人、应用、 位置、时间等的关联，而不是采用技术术语，比如“加权公平队列”或“帧中继流量 整形”。因此最理想的方式是，管理员在定义策略的时候，使用非技术性词汇，再由 策略系统将其自动地转换为相应的策略机制。 方便使用，屏蔽复杂性：多数管理员不会使用q o s 特性，除非q o s 策略管理变 得更加直接。通过易于为人们所理解的接口来实现对网络行为的管理是非常必要的， 管理者根本不需要去理会那些复杂的q o s 机制。 因此，策略管理系统应该能够简化管理和配置，保证业务规划在网络上的实现。 虽然策略管理大多都针对q o s ，但还有许多其它的网络策略，比如安全策略，与 q o s 策略管理一样，同样需要将各种安全机制( 例如防火墙、加密、认证等1 与安全策 略联系起来。 1 3 基于策略的网络安全管理 传统的安全管理关注具体的安全功能和网络实体，管理员先要对防火墙、虚拟专 用网v p n ( v i r t u a l p r i v a t e n e t w o r k ) i 务器等设备进行配置，相应的安全功能由这些设 备来实现。而这些设备只具备某一部分安全功能，整个网络的安全机制需要所有设备 共同协作来实现。因此，如何保护数据在网络中安全传输，维护服务器的安全，确保 用户的合法性都需要一个从整体到部分的安全策略来管理。基于策略的安全管理【6 】主 要体现在通过策略实现资源的访问控制和信息的加密。 华中科技大学硕士学位论文 访问控制策略是指在安全策略层次上，利用策略规则对用户进行授权、认证、角 色分配，使得只有合法用户才能享用网络提供的服务和资源。访问控制策略有以下几 种： 自主访问控制d a c ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 策略是指访问客体( 资源所有者) 设置系统参数以决定哪些访问主体( 用户、进程) 有权访问其资源，访问主体可以把被 赋予的权限转交给其它主体。 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 策略是指由管理员统一制定资源 的访问权限，当访问主体和访问客体的安全属性相匹配时才能进行资源访问。它基于 能自动实施的策略规则，并将访问主体和访问客体分为不同的级别。 基于角色的访问控制r b a c ( r o l eb a s e da c c e s sc o n t r 0 1 ) 策略是指通过分配和取消 角色来完成访问主体权限的授予和取消。管理人员为每种角色配置合适的访问权限， 然后根据访问主体的不同特点为其赋予不同的角色。整个访问控制过程就被分成两个 关联部分：访问权限与角色相关联，角色再与访问主体关联，这样就实现了访问主体 与访问权限的逻辑分离。 信息加密策略的目的是保护网络中传输的各类数据，网络加密常用的方法有链路 加密、端到端加密。信息的加密可以通过具体的协议来实现，例如网络层的i p s e c 协 议【7 1 ，它在网络层对数据包进行安全处理，能实现端到端的安全加密，常被用作v p n 的隧道协议。i e t f 制定了一组i p s e c 和安全策略的草案【8 】，这组草案定义了基于i p s e c 的策略信息模型、基于i p s e c 的策略信息库、基于i p s e c 和因特网密钥协议的管理信 息库、安全策略描述语言、安全策略协议、安全策略数据库模型、安全策略系统框架。 1 4 国内外研究现状 由于策略管理的优势，吸引了很多科研机构组织和企业厂家的兴趣。i e t f 相继 发表了很多策略管理的草案，并且很多厂家也推出了自己的产品。 在国外，b a y n e t w o r k s 公司推出了o p t i v i t y 网络管理系统，实行基于策略的网络 技术战略。网管人员可以根据当前网络的情况，动态的给用户、团体以及应用分配资 源，并且可以系统的制定规则，通过b a y n e t w o r k s 公司的全线产品为其提供安全服务 和q o s 服务。h p 公司与i e t f 的p o l i c y 和o o s 工作组推出了基于策略的网络管理软 什p o l i c ye x p e r t l 0 ，它支持c o p s 、r s v p 等协议，通过策略控制带宽保证用户的服 务之类，提供修改、编辑、存储以及实施策略的图形接口，实现对异构网络的管理。 4 华中科技大学硕士学位论文 在国内，天融信公司也积极推出了v p n 安全集中管理系统s c m e 9 1 ，可以对整个 v p n 网络进行集中策略管理。由s c m 执行统一的安全策略，并监控整个网络的运行 状态，使得v p n 系统能够自动统一管理，同时自动保持策略的一致性，大大简化了 管理，提高了效率。 但是，这些基于策略的网络管理系统，大部分都是针对特定业务的管理，没有一 个对整个异构网络的统一管理，而且绝大部分产品都不能支持s n m p v 3 协议，这样就 使得策略管理在企业的实际应用实施中需要抛弃原有的网络管理软件，重新开发新的 系统来适应这种管理，从而限制了网络策略管理系统的应用。 正是在分析了目前企业应用中出现的这种管理问题后，本文提出一种将基于策略 的网络管理系统和基于s n m p v 3 的网络管理系统结合起来的方法，实现一种在策略管 理中支持s n m p v 3 协议的新的网络安全管理模型，这种模型能有效的解决当前网络管 理中的问题，同时又能兼顾原有的网络管理系统，为企业节约成本的同时，也提高了 管理效率。 1 5 主要研究内容 本文将对基于策略的网络管理进行深入的研究。提出了一种将基于策略的网络管 理和基于s n m p v 3 的网络管理结合起来的网络安全管理模型，设计并实现基于策略的 s n m p v 3 网络安全管理的原型，最后对系统原型进行性能分析。具体地说，本课题主 要进行以下几个方面的工作： ( 1 ) 分析目前的基于策略的网络管理技术及其现状。提出一种新的基于策略的 网络管理模型； ( 2 ) 深入研究s n m p 和策略管理通讯的各种相关协议，并对s n m p v 3 的安全性 提出了改进方案； ( 3 ) 详细设计本模型的系统体系结构及各个功能模块，并实现了具体的策略管 理基本模块功能； ( 4 ) 利用信息论的数学公式对模型进行了理沦证明，并得出论证结论。 5 华中科技大学硕士学位论文 2 基于策略的网络管理系统分析 2 1 基于策略的网管系统结构 i e t f 提出的基于策略的管理框架包括四个部分：策略管理工具、策略决定点、 策略执行点和策略仓库，如图2 1 所示： 策略表示 图2 1 基于策略的网络管理系统结构 ( 1 ) 策略管理工具( m a n a g e m e n tt o o l s ) 是供管理员编辑策略和监控策略的应用 系统。它可以为管理员提供一个易于使用的编辑界面( 如g u i ) 来编辑策略，并将编辑 好的策略转成一定格式，存于策略仓库中。同时它还可以对策略进行检查和确认，以 确保在整合策略的构成时不会发生冲突。 ( 2 ) 策略仓库( r e p o s i t o r y ) 用于存储策略信息，能对系统中的策略进行汇总。它 可以是目录服务器或数据库服务器，除了储存管理员已经编辑好的策略信息，还可以 存储其它的网络信息和系统参数。 ( 3 ) 策略决策点p d p ( p o l i c y d e c i s i o n p o i n t ) 通常也被称为策略服务器，是整个系 统的决策中心。它负责存取策略仓库中的策略，并根据策略信息做出决策，然后将相 应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突，从而采取应对 措施。 华中科技大学硕士学位论文 ( 4 ) 策略执行点p e p ( p o l i c ye n f o r c e m e n tp o i n t ) 是接受策略管理的网络实体，通 常也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备，负责执行由 策略决策点分配来的策略。同时它还向策略决策点发送信息，使策略决策点知道网络 的变化以及策略的执行情况。 2 2 策略核心信息模型 “策略”是一个抽象的概念，网络管理中的策略代表了管理员既定的管理目标，而 实施这些高层次的目标有赖于各种低层次的网络实体的协助，所以必须有某种转换机 制将抽象的目标与具体的网络实体结合起来。因特网工程任务组( i e t f ) 和分布式管理 任务组( d m t f ) 提出了策略核心信息模型( p o l i c y c o r ei n f o r m a t i o nm o d e l ) u ，该模型对 策略的概念进行了解释，并采用面向对象的“类”( c l a s s ) 结构对组成策略的各要素进行 具体的描述，以便于网络实体对策略的理解。 策略是一套指导和决定如何管理、分配和控制网络资源的业务规n ( r u l e ) ，这些 规则描述了在特定的情况( c o n d i t i o n ) 下应采取那些行为( a c t i o n ) 。举一个简单的例子， 如果企业网内的注册用户想获得网内的高质量视频业务，根据这一需求，相应的策略 可定义如下： p o l i c y ：为合法用户提供高质量视频业务； r u l e ：i f a n d a n d t h e n 。 策略之间不是相互独立的，而是存在着包含、组合等关系，多个策略可以组合成 策略组，多个策略组可以组成更大、更复杂的策略组。复杂的策略可以由简单的策略 组合而成，这使得策略的制定和管理更加简单。 在策略核心信息模型中利用面向对象的“类”的概念，对各个策略要素进行具体描 述。所谓类是指具有某些相同功能和属性的对象( o b j e c t ) 的集合，它是对具体对象的抽 象。类都具有自身特定的功能和属性，这是类互相区别的标志，也是类的具体含义。类 可以有多个子类，子类扩展了父类的功能和属性。 以上这种抽象到具体的构造体系很适合策略核心信息模型中类的构造。策略核心 信息模型中，策略、规则、c o n d i t i o n 以及a c t i o n 都可以作为类，而规则可以作为策 略的子类，c o n d i t i o n 和a c t i o n 则作为规则的子类。每个类都可以被相应的功能和属 性具体描述，同时可以根据情况增加辅助( a u x i l i a r y ) 子类来对类的描述进行补充。 华中科技大学硕士学位论文 2 3 策略管理通信协议 根据前面基于策略的网络管理系统结构分析，实现基于策略的网络管理主要出四 大功能模块组成：策略管理工具、策略决定点、策略执行点和策略数据库。 以上各个模块都是一个独立的子系统，为了实现模块间的策略信息交换，i e t f 定义了一些协议来实现模块间的通信。l d a p ( l i g h tw e i g h td i r e c t o r y a c c e s s p r o t o c 0 1 ) 协议用于策略数据库和其它子系统之间策略信息的传输：在p d p 和p e p 之间可用 c o p s ( c o m m o n o p e np o l i c ys e r v i c e ) 协议、s n m p 、c l i 来进行策略信息的传输。 下面将详细分析各个模块之间的通讯协议，以寻求一种最佳的协议来完成基于策 略的网络安全管理系统模型设计。 2 3 1l d a p 目录访问协议 l d a p ( l i g h t w c i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ) 1 1 , 1 2 一轻量级目录访问协议，它是基 于i s o 的x 5 0 0 标准的简化舨本并且可以根据需要自行定制。与x 5 0 0 不同，l d a p 能够支持t c p i p 协议，这对于i n t e m e t 上的应用是必须的。目前，l d a p 的标准化工 作已经基本完成且得到了很多供应商的大力支持和推广，其核心规范在r f c 中都得 到了定义，它通过四种基本的模型完整地描述了目录存储、访问控制以及目录数据的 操作处理。 l d a p 具有如下三个最大的优点： ( 1 ) 直接运行予t c p 之上，省去了o s i 对话层与表示层连接建立与包处理的开 销。t c p i p 实现的近乎全球可用性意味着l d a p 可在大多数系统上运行。 ( 2 ) l d a p 在两个方面简化了x 5 0 0 的功能模型：它省去了r e a d 和l i s t 操作，用 s e a r c h 操作仿真它们，省去了x 5 0 0 的一些深奥的及极少使用的服务控制与安全特性 ( 比如s i g n 操作，不过在v 3 中留有扩展接口) ，这使得l d a p 易于实现。 ( 3 ) 尽管x 5 0 0 和l d a p 都使用a s n 1 编码协议元素，但l d a p 使用的是a s n 1 中的b e r ( b a s i ce n c o d i n gr u l e s ) ，其特异名与数据元素直接编码成原始o c t e t s t r i n g ，x 5 0 0 甚至对简单的数据元素都使用复杂的、高度结构化的编码，因此l d a p 降低了编码与解码的难度。l d a p 将一个值的语法知识提交给应用程序而不是低层协 议子程序。 基于l d a p 的网络管理除了弥补传统数据库存储方式的不足以外，下述特征使得 它在i n t e r n e t 网络环境下能够发挥出更大的作用。 华中科技大学硕士学位论文 ( 1 ) 基于条目的访问权限控制。这是基于最小数据存储单位的客户访问权限控 制，它能够极大地提高系统的安全级别。 ( 2 ) l d a p 信息的加密传输。这是防止非法用户窃听信息的一种有效手段。 ( 3 ) 支持多值属性。即允许条目的某些属性同时取多个数值，这不但方便了条 目查询，而且可以减少冗余条目的存储。 从以上l d a p 的分析得出，对于数据需要从不同地方读取，但是不需要经常更新 的信息存储，采用l d a p 服务器来存储安全策略规则是一个比较好的选择。 2 3 2c o p s 公共开放策略服务协议 c o p s ( c o m m o n o p e n p o l i c ys e r v i c e ) 1 3 1 4 1 是e i e t f 为t 统- - q o s 管理专门提出的一 个新协议。它在策略服务器和策略实施者之间采用t c p 连接交换策略请求和策略决 定。 c o p s 协议在策略服务器即策略决定者( p d p ) 及其客户即策略执行者( p e p ) 之间协 调策略信息的交换。c o p s 协议具有以下主要特点： ( 1 ) 协议使用了客户服务器模型，在这个模型中p e p 发出策略请求、策略更新、 策略删除的信息给远端p d p ，p d p 将其决定返回给p e p 。 ( 2 ) 协议使用t c p 作为传输层协议，可以提供可靠的报文交换。 ( 3 ) 请求决定声明被客户与服务器共享。p e p 发出的策略请求被远端p d p 存储 或者记忆直到被p e p 删除。同时，对于已经在p d p 存储的请求声明，p d p 可以在任何 时候异步的产生策略决定。 c o p s 的一般工作原理如下： 在p e p 中维护一个已配置策略存储区，每个表项对应一个请求声明，里面存储了 唯一标识此请求声明的客户旬柄，与策略请求有关的信息，以及策略决定中返回的优 先级。每当来了个i p 包，就先在已配置策略存储区中查找。如果有相应的表项， 就直接返回优先级；如果没有，则发送请求报文给p d p 。如果p e p 收到了p d p 发来 的决定报文，就取出策略决定的优先级，填入已配置策略存储区。如果某个表项对应 的请求声明长期未被使用，则删除这个表项，且发送删除请求声明报文给p d p 。 p d p 中维护着一个p d p 策略存储区，它与p e p 的已配置策略存储区存有相同的 内容。当收到p e p 的请求报文，就在p d p 策略存储区中加一个表项，填入相关策略 信息，然后向策略服务器操作模块发消息，请求策略决定，收到策略决定后再向p e p 发送决定报文。每当收到p e p 发来的删除请求声明报文，则删除相应的表项。如果接 华中科技大学硕士学位论文 收到策略服务器操作模块的策略更新消息，就将对应表项中的优先级更新，再发出未 经请求的决定报文给p e p ，更新策略。如果p d p 策略存储区中的策略长期未被更新， 则主动发消息给策略服务器操作模块询问，然后再发未经请求的决定报文给p e p ，更 新策略。 p e p 和p d p 中都要维护一些定时器。为了防止死锁，p e p 在发出客户打开报文、 请求报文，p d p 在发出决定报文以后，都要设置相应的定时器。收到对方应该回送的 报文以后，将相应的定时器复位。如果定时器超时，则应重发相应的报文。为了实现 保持存活操作，p e p 和p d p 都要设置k at i m e r 。每当收到对方发来的任何报文，k a t i m e r 都被复位。p e p 在k a t i m e r 达到k a t i m e r 定义值的1 4 到3 4 之间内随机产生 k a 报文发往p d p ，然后p d p 回送k a 报文。如果任何一方k at i m e r 超时，则认为 连接丢失。另外，保存在p e p 的已配置策略存储区和p d p 策略存储区中的每个条目 都有一个属性表示最近利用的时间。双方各自有个定时器来触发对这些最近利用时间 的定期检查。p e p 发现有较长时间没有利用的条目就向策略服务器发出删除请求申明 报文，并将其删除。如果p d p 的某个条目的时间值太久，则主动向策略服务器操作模 块请求策略。 2 3 3 s n m p 简单网络管理协议 s n m p ( s i m p l y n e t w o r k m a n a g e m e n tp r o t o c 0 1 ) l 5 i 是i e t f 定义的标准，用来管理网 络设备和获得外围设备信息，属于t c p i p 的一部分，具有协议独立性。利用s n m p ，一 个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改 网络设备配置、接收网络事件警告等。其最大的优势是设计简单，几乎所有的网络管 理人员都喜欢使用。 s n m p 的体系结构大致由以下几部分组成：管理站，管理代理，管理信息库( m i b ) 和网络管理协议；s n m p 是一个应用层协议，主要完成以下功能： ( 1 ) g e t 功能：管理站获取代理的m i b 对象值； ( 2 ) s e t 功能：管理站设置代理的m m 对象值； ( 3 ) t r a p 功能：代理向管理站通知重要事件。 根据对以上通讯协议的分析得出，将c o p s 协议用于基于策略的网络安全管理中， 存在着以下一些方面的不足之处 1 6 , 1 7 1 ： ( 1 ) 需要各个设备厂商支持一个新的协议c o p s 。 ( 2 ) 用p i b ( p o l i c yi n f o r m a t i o nb a s e ) 来存储策略，p i b 是类似于s n m p 中的 华中科技大学硕士学位论文 m i b ( m a n a g e m e n t i n f o r m a t i o nb a s e ) 。 ( 3 ) 任意时刻，都只能有一个p d p 对设备进行访问，而s n m p 则可以提供多个 管理站同时访问设备。 ( 4 ) c o p s 没有很好的认证加密机制来保证数据的安全性，需要配合网络层的其 他协议如i p s e c 等来实现数据的安全传输，这样势必影响系统的整体性能。 因此我们选择s n m p 协议来实现p d p 和p e p 之间的策略通讯，使用s n m p 的主 要优点在于： ( 1 ) 传统的网络配置方法可继续使用在基于策略的网络管理操作中； ( 2 ) 使用基于策略的对象监控有助于进行错误检测和恢复处理。 我们在下一章中将会对s n m p 协议框架进行整体的分析，在此不赘述。 2 4 本章小结 在本章中，我们首先介绍了基于策略的网络管理系统结构，然后在此基础上给出 了策略核心信息模型，最后是对策略管理结构中的策略通讯协议进行了分析，并在比 较了c o p s 和s n m p 协议后，选取了s n m p 协议作为策略服务器和策略代理之间的 通讯协议。 l l 华中科技大学硕士学位论文 3 网络管理协议s n m p 分析 3 1s n m p 协议安全机制比较 s n m p ( s i m p l e n e t w o r km a n a g ep r o t o c 0 1 ) 是目前t c p i p 网络中应用最为广泛的网 络管理协议。从最初的s n m p v l 到后来的s n m p v 2 ，再发展到现有的s n m p v 3 ，每一 阶段s n m p 在安全性和功能上都有较大的提高，安全机制也各有其特点。 3 1 1s n m l l 的安全机制 s n m p v l 1 8 1 对安全性仅仅提供了有限的能力，即团体的概念。团体是一个在代理 上定义的局部概念。一个代理可以定义若干个团体，每个团体使用唯一的团体名。而 每个s n m p 团体是在一个s n m p 代理和多个s n m p 管理者之间定义的认证、访问控 制和转换代理的关系。在每条s n m p v l 信息中都包括c o m m u n i t y 字段，在该域中填入 团体名。团体名起了一个密码的作用。s n m p v l 假设如果发送者知道了这个密码，那 么就认为该信息通过了认证，是可靠的。 一条已经通过认证的信息，它对m i b 具有什么样的访问类别，这主要通过访问 控制来实现。代理为每一个团体定义了一个s n m p v l 团体框架文件。该框架文件包括 两部分： ( 1 ) m i b 视域。m i b 的一个对象子集。每个团体可以定义不同的m i b 视域，一 个视域中的对象集不必属于m i b 的单个子树。 ( 2 ) s n m p 访问模式。集合( 只读、读写) 的一个元素。每个团体只定义一个访问 模式。 一个s n m p 团体和一个s n m p 团体框架文件的结合就成为一个s n m p v l 访问策 略。一个通过了认证的信息必然指定了一个团体，那么它就有自己相应的团体框架文 件一e 1 只能对该框架文件中m i b 视域的指定对象进行规定的操作( 只读或读写) 。 3 1 2 s n m p v 2 的安全机制 s n m p v 2 功能性比s n m p v l 有了较大的增强。s n m p v 2 1 9 1 具有以下特点： ( 1 ) 支持分布式网络管理； ( 2 ) 扩展了数据类型； ( 3 ) 可以实现大量数据的同时传输，提高了效率和性能； 1 2 华中科技大学硕士学位论文 ( 4 ) 丰富了故障处理能力； ( 5 ) 增加了集合处理功能； ( 6 ) 加强了数据定义语言。 另外，s n m p v 2 还引入了“上下文”的概念。上下文是一个可被s n m p v 2 实体访 问的被管理对象资源集合，分为本地上下文和远程上下文。本地s n m p v 2 上下文被标 识为一个m i b 视域；远程s n m p v 2 上下文被标识成一个转换代理关系。使用上下文 后，一个访问控制策略由四个元素组成： ( 1 ) 目标：一个s n m p 参加者，它按主体方的请求执行管理操作。 ( 2 ) 主体：一个s n m p 参加者，它请求目标方执行管理操作。 ( 3 ) 资源：请求的管理操作在其上执行的管理信息，它可以标识为一个本地m i b 视域或一个彳弋理关系，这一项被称为一个上下文。 ( 4 ) 权限：对于一个特定的上下文可允许的操作，这些操作可允许的协议数据 单元定义，由目标代表主体执行。 但是，s n m p v 2 并没有完全实现预期的目标，尤其是安全性能没有得到提高，如： 身份验证( 用户初始接入时的身份验证、信息完整性的分析、重复操作的预防) 、加密、 授权和访问控制、适当的远程安全配置和管理能力等都没有实现。1 9 9 6 年发布的 s n m p v 2 c 是s n m p v 2 的修改版本，功能增强了，但是安全性能仍然没有得到改善， 仍然继续使用s n m p v l 的基于明文密钥的身份验证方式。 3 1 3 s n m p v 3 安全机制 i e t fs n m p v 3 工作组于1 9 9 8 年元月提出了互联网建议r f c 2 2 7 1 - 2 2 7 5 ，正式形成 s n m p v 3 1 2 。这一系列文件定义了包含s n m p v l 、s n m p v 2 所有功能在内的体系框架 和包含验证服务和加密服务在内的全新的安全机制，同时还规定了套专门的网络安 全和访问控制规则。可以说，s n m p v 3 是在s n m p v 2 基础之上增加了安全和管理机制。 s n m p v 3 主要有3 个模块： ( 1 ) 信息处理和控制模块。它负责信息的产生和分析，并判断信息在传输过程 中是否要经过代理服务器等。 ( 2 ) 本地处理模块。主要功能是进行访问控制，处理打包的数据和中断。 ( 3 ) 用户安全模块。提供身份验证和数据保密服务。 与s n m p v l 和s n m p v 2 相比，s n m p v 3 增；5 n t z 个新的安全机制：身份验证、 加密番j 访问控制。 华中科技大学硕士学位论文 3 2s n m p v 3 协议框架 从概念上，s n m p v 3 是s n m p 的扩展，它解决了管理和安全性两个主要问题。 r f c 2 5 7 1 定义了s n m p v 3 的主要目标是支持一种可容易扩充的模块化体系结构 2 l 】， 如果有了新的安全协议，可以把它们定义为单独的模块扩充到s n m p v 3 中。这样， s n m p v 3 框架将作为一个标准，保持较长的生存期。 s n m p 代理和s n m p 管理器现在统称s n m p 实体，s n m p 实体由两部分组成： s n m p 引擎和s n m p 应用程序。 3 2 1s n m p 引擎 s n m p 引擎由调度程序、消息处理子系统、安全子系统、访问控制子系统四部分 组成