（计算机应用技术专业论文）基于策略的snmpv3网络管理的研究.pdf

华中科技大学硕士学位论文 摘要 基于策略的网络管理以整个网络为管理对象，能解决传统网络管理不能解决的 一些问题，正逐渐成为一种新的网络管理方案。因此将策略管理和传统的s n m p 管理 结合起来，提出了基于策略的s n m p v 3 网络安全管理系统模型。 本模型由策略编辑工具、策略代理、策略服务器以及策略数据库四部分组成。 其中，策略编辑工具是供管理员编辑和监控策略的应用系统，为管理员提供一个易 于使用的编辑界面，并将编辑好的策略转成一定格式存于策略数据库中。策略代理 与具体的被管网络设备关联，按照策略服务器规定的策略执行网络配置和管理；策 略服务器是整个系统的决策中心，它负责存取策略数据库中的策略，并根据策略信 息做出决策，然后将相应的策略分配至策略代理执行；策略数据库存储着相应管理 域内的策略，并能对系统中的策略进行汇总。 依据网络实际应用的特点，对模型进行了层次化设计，从而提高了系统的灵活 性和可扩展性。将网络管理策略映射到s n m p 框架结构中，通过对访问控制子系统 m i b 库的设计，实现策略管理对s n m p v 3 的支持。同时在分析s n m p v 3 协议安全机制 的基础上，研究了一种对s n m p v 3 协议安全性进行改进的重播保护方法，保证了网络 管理的安全性。 通过理论分析、模型设计和原型实现的研究，结果表明，这种基于策略的s n m p v 3 网络安全管理系统不仅在理论上是可行的，而且在实践上也是可实现的，有着良好 的应用前景。 关键词：策略网络管理简单网络管理协议安全 华中科技大学硕士学位论文 a b s t r a c t t h ep o l i c y b a s e dn e t w o r km a n a g e m e n tm e c h a n i s mt a r g e t sa tt h ew h o l en e t w o r k s i n c ei tc a l ls o l v et h ep r o b l e m st h a ta r ei r r e s o l u b l ef o rt r a d i t i o n a ln e t w o r km a n a g e m e n t s y s t e m s ，t h ep o l i c y - b a s e dn e t w o r km a n a g e m e n ti sb e c o m i n gan e w n e t w o r km a n a g e m e n t s o l u t i o n b yc o m b i n i n g t h e p o l i c y b a s e d n e t w o r k m a n a g e m e n t w i t ht r a d i t i o n a l s n m p b a s e dn e t w o r km a n a g e m e n t , t h es e c i l r e p o l i c y b a s e dn e t w o r km a n a g e m e n t p r o t o t y p ei sp r o p o s c d t h ep o l i c y - b a s e dn e t w o r km a n a g e m e n ts y s t e mc o n s i s t so f f o u re s s e n t i a lc o m p o n e n t s ， t h ep o l i c ym a n a g e m e a tt o o l ，p o l i c ys e r v e r , p o l i c ya g e n ta n dt h ep o l i c yr e p o s i t o r y t h e p o l i c ya g e n ti s a t t a c h e dw i t hc o n c r e t en e t w o r kd e v i c e s i tc o n f i g u r e sa n dm a n a g e s n e t w o r kd e v i c e sb a s e do nt h ep r e d e f i n e dr u l e so fp o l i c ys e r v e r t h ep o l i c ys e r v e ri st h e n e x u so ft h ew h o l es y s t e m ，w h i c hm a k e sd e c i s i o n sb yf e t c h i n gr u l e sf i o mp o l i c y r e p o s i t o r ya n dd i s p a t c h e se a c hr u l et ot h ec o r r e s p o n d i n gp o l i c ya g e n t t h ep o l i c y r e p o s i t o r yi sad i r e c t o r ya n d o rs t o r a g es e r v i c ew h e r ep o l i c i e sa n dr e l a t e di n f o r m a t i o na r e s t o r e d t h ep o l i c ym a n a g e m e n tt o o li sa l la p p l i c a t i o ns e tw h i c hc a l lb eu s e dt ov i e wa n d e d i tt h ep o l i c i e s i th a sag r a p h i cu s e ri n t e r f a c ea n di s r e s p o n s i b l ef o rc o n v e r t i n gt h e f o r m a t so f p o l i c i e ss ot h a tt l l e yc a l lb es t o r e di nt h ep o l i c yr e p o s i t o r y a c c o r d i n gt ot h ep r a c t i c a lc h a r a c t e r i s t i co fn e t w o r km a n a g e m e n t , t h i sp r o t o t y p ei s d e s i g n e dw i t hl a y e r e da r c h i t e c t u r es ot h a ti tc a l lb ei m p l e m e n t e dw i t hh i g h e rf l e x i b i l i t y a n ds c a l a b i l i t y b ym a p p i n gn e t w o r km a n a g e m e mp o l i c i e st ot h es n m p v 3f r a m e w o r k ， b a s e do nt h ed e s i g no f v a c mm m ，t h ep o l i c y - b a s e dn e t w o r km a n a g e m e n ts y s t e mi sa b l e t os u p p o r ts n m p v 3p r o t o c 0 1 i na d d i t i o n , t h es e c u r i t yo fs n m p v 3p r o t o c o li sa m l y z e d a n da nh n p r o v e dr e b r o a d c a s tp r o t e c t i o nm e c h a n i s mi sp r o p o s e dt o 翻x ：u 坞t h en e t w o r k m a n a g e m e n t t h o u g ht h et h e o r e t i ca n a l y s i s a n dp r o t o t y p e i m p l e m e n t a t i o n , t h ep o l i c y - b a s e d u 华中科技大学硕士学位论文 n e t w o r ks e c u r i t ym a n a g e m e n ts y s t e mi sp r o v e dt ob ef e a s i b l eb o t ht h e o r e t i c a l l ya n d p r a c t i c a l l y i tm a yh a v eag o o dp r o s p e c tf o rt h en e x tg e n e r a t i o nn e t w o r km a n a g e m e n t f i e l d k e yw o r d s ：p o l i c y b a s e d n e t w o r km a n a g e m e n ts n m p v 3 s e c u r i t y u l 独创性声明 y 1 0 1 7 4 1 5 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中己经标明引用的内容外，本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体，均己在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名； 日期：拥6 年f 月 关于论文使用授权的说明 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口 本论文属于在 不保密团 ( 请在以上方框内打“”) 学位论文作者签名： 年解密后适用本授权书。 指导老师鼢弘。缓步 日期：矽；年，月j 日 日期：弘一多年f 月j 日 左了 铆日 ， 华中科技大学硕士学位论文 1 1 网络管理的发展 1 绪论 随着计算机技术和i n t e m e t 的发展，企业和政府部门开始大觏模地建立网络来推 动电子商务和电子政务的发展，伴随着网络业务和应用的丰富，对计算机网络的管 理与维护也就变得至关重要。一般来说，网络管理就是通过规划、配置、监视、分 析、扩充和控制计算机网络来保证网络服务的有效实现。使网络能正常高效地运行。 其目的很明确，就是使网络中的资源得到更加有效的利用。它应维护网络的正常运 行，当网络出现故障时能及时报告和处理，并协调、保持网络统一的高效运行等。 国际标准化组织( i s o ) 在i s o i e c 7 4 9 8 4 中定义并描述了开放系统互连参考模型 ( o s i ) 管理的术语和概念，提出了一个o s i 管理的结构并描述了o s i 管理应有的行 为。开放系统互连管理是指这样一些功能，它们控制、协调、监视o s i 环境下的一 些资源，这些资源保证o s i 环境下的通信。 计算机网络规模的不断扩大，组成复杂性的不断增加，使得对网络的要求越来 越高，传统的网络管理没有统一的标准和模式，主要依靠管理员的经验或根据某些 简单的管理协议来实现，无法对系统实现科学的、标准化的管理；而且各种管理机 制间缺乏互操作性，使得系统中的一致性受到威胁；同时，通信技术的飞速发展和 广泛应用使得网络规模更加庞大，系统的复杂性和异构性更加突出，传统的网络管 理面临着更多的问题。 基于策略的网络管理( p o l i c y - b a s e dn e t w o r km a n a g e m e m ) t 1 】指网络管理是基于策 略的实施来实现的。策略是一组规则的集合，规则包括条件和行为，满足规则中的 条件时执行规则中定义的行为，策略规则形式为1 fc o n d i t i o n t h e n a c t i o n 。基于 策略的网络管理把网络作为一个整体来管理和控制，使网络管理操作遵从业务提供 商的商业需要和商业规则。从网络管理员的角度来管理网络，以管理的角度出发定 义策略，然后把这些策略分发至d 网元上去实施。管理策略是管理智能的抽象，与具 华中科技大学硕士学位论文 体的网元无关，因此保证了可靠性和一致性。基于策略的网络管理，使得在网络服 务的条件下无需重新编程，只要修改相应的管理策略就能改变管理系统的行为和属 性，这样提高了网管系统的可伸缩性。 目前基于策略的网络管理可以分为两种：基于策略的集中式网络管理和分布式 网络管理【2 】。集中式网络管理模型的优点在于结构简单。由于管理站单一，从而使得 从一点就能够对所有的网络资源进行策略管理，方便了网络管理员进行操作。相对 于集中式网络管理模型，分布式网络管理模型有其不能比拟的优势，这主要体现在 支持网络的层次管理，使得网络管理系统具有良好的层次性和易扩充性，但是缺点 也比较突出，相对集中式管理，如何同步策略管理整个网络资源是个富有挑战性的 问题。如果取两者的优点进行结合，显然可以使系统性能得到更大的提升。 1 2 策略管理概念 简单地说，策略p ，4 1 是一个或多个规则的集合，这些规则描述了当指定条件满足 时执行的动作。 在网络环境里，策略规则指明了根据管理原则，用户访问网络资源和服务所必 须满足的条件或限定。因此，策略的两个最基本的元素是规则和动作。策略的三个 最主要的功能是： 决策：根据策略设定的目标状态比较当前的网络状态，从而决定应如何达到所 设定的目标状态。 执行：通过一系列的管理指令，实现预定的策略状态。这些管理指令将改变设 备配置。 监控：通过主动或被动的方式，不断地检测网络及各个设备的健康状况，检测 策略是否得到了正确盼抛牙。 决策通过静态的、动态的数据，判断应选择的策略以及策略执行的步骤；执行包 括对策略的解释和执行；监控则是对策略一致性的审核，以及监控策略的执行状态。 策略在网络环境中表现为三个层次，如图1 1 所示： 2 华中科技大学硕士学位论文 囤1 , 1 策略的体系结构 网络层视图是对网络拓扑、连接、端到端的性能状态以及网络的活动状态的一 个直观的、高层次的透视。网络视图集成了不同节点的视图，这些节点对应于在各 个网络节点上需实现的策略目标和需求。节点视图由策略规则组成，策略规则是控 制网络节点的最基本的指令。 为了解决上述问题，策略管理系统应该具备如下特性： 集中式网络配置：不必逐个登录到各个设备上，网络管理员只需连接到中心策 略管理系统上，便可以进行策略的配置【5 】。这并不意味着只有一个策略系统，对于大 型网络，具有多个管理域，因此也需要多个策略系统，分别控制着部分设备，并保 证域间的一致性。统一的业务规划的实施，要求统一的策略系统必须以中心处理的 方式进行，通常是基于存储用户和应用的属性及其相互关系的目录。 将网络作为一个整体系统来管理：策略系统应该提供系统级的网络视图，显示 策略或参数实施后的影响。例如，当管理员指定某种应用需要得到某一级别的服务。 策略系统便应该对每一个可能的结点进行正确的参数设置。将网络视为一个系统， 保证了不同设备问参数设置的一致性，减少了网络失败或性能下降的机率。 不需要技术性很强的策略定义：人们总是愿意从业务规划的角度来考虑人、应 用、位置、时间等的关联，而不是采用技术术语，比如“加权公平队列”或“帧中继流 量整形”。因此最理想的方式是，管理员在定义策略的时候，使用非技术性词汇，再 由策略系统将其自动地转换为相应的策略机制。 华中科技大学硕士学位论文 方便使用，屏蔽复杂性：多数管理员不会使用q o s ( 网络服务质量) 特性，除 非q o s 策略管理变得更加直接。通过易于为人们所理解的接口来实现对网络行为的 管理是非常必要的，管理者根本不需要去理会那些复杂的q o s 机制。 因此，策略管理系统应该能够简化管理和配置，保证业务规划在网络上的实现。 虽然策略管理大多都针对q o s ，但还有许多其它的网络策略，比如安全策略， 与q o s 策略管理一样，同样需要将各种安全机制( 例如防火墙、加密、认证等) 与 安全策略联系起来。 1 3 基于策略的网络安全管理 传统的安全管理关注具体的安全功能和网络实体，管理员先要对防火墙、虚拟 专用网v p n ( v i r t u a lp r i v a t e n e t w o r k ) 服务器等设备进行配置，相应的安全功能由这些 设备来实现。而这些设备只具备某一部分安全功能，整个网络的安全机制需要所有 设备共同协作来实现。因此，如何保护数据在网络中安全传输、维护服务器的安全、 确保用户的合法性就需要一个从整体到部分的安全策略来管理。基于策略的安全管 理“1 主要体现在通过策略实现资源的访问控制和信息的加密。 1 ) 访问控制策略是指在安全策略层次上，利用策略规则对用户进行授权、认证、 角色分配，使得只有合法用户才能享用网络提供的服务和资源。访问控制策略有以 下几种： ( 1 ) 自主访问控制d a c ( d i s c r e t i o n a r y a c c e s s c o n t r 0 1 ) 策略是指访问客体( 资源所 有者) 设置系统参数以决定哪些访问主体( 用户、进程) 有权访问其资源，访问主 体可以把被赋予的权限转交给其它主体。 ( 2 ) 强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 策略是指由管理员统一制定 资源的访问权限，当访阔主体和访闯客体的安全属性相匹配时才能进行资源访问。 它基于能自动实施的策略规则，并将访问主体和访问客体分为不同的级别。 ( 3 ) 基于角色的访问控制r b a c ( r o l eb a s e da c c e s sc o n t r 0 1 ) 策略是指通过分配 和取消角色来完成访问主体权限的授予和取消。管理人员为每种角色配置合适的访 4 华中科技大学硕士学位论文 问权限，然后根据访问主体的不同特点为其赋予不同的角色。整个访问控制过程就 被分成两个关联部分；访问权限与角色相关联，角色再与访问主体关联，这样就实 现了访问主体与访问权限的逻辑分离。 2 ) 信息加密策略的目的是保护网络中传输的各类数据，网络加密常用的方法有 链路加密、端到端加密。信息的加密可以通过具体的协议来实现，例如网络层的i p s e c 协议m ，它在网络层对数据包进行安全处理，能实现端到端的安全加密，常被用作 v p n 的隧道协议。因特网工程任务组i e 制定了一组i p s e c 和安全策略的草案嗍， 这组草案定义了基于i p s e c 的策略信息模型、基于i p s e c 的策略信息库、基于i p s e c 和因特网密钥协议的管理信息库、安全策略描述语言、安全策略协议、安全策略数 据库模型、安全策略系统框架。 因此，基于策略的管理有以下优点： ( 1 ) 系统要求改变时，只需改变或增加新的策略，而不用重新编写程序，就能适 应变化的要求。 ( 2 ) 可以根据不同的服务类型以及动态信息灵活的分配资源，使资源的利用率达 到最大。 ( 3 ) 可以根据不同的使用者进行策略的转换，方便用户的要求，提高系统的可扩 展性和可维护性。 ( 4 ) 可以减少对管理员的依赖，提高系统的智能化程度。 1 4 国内外研究现状 由于策略管理的优势，吸引了很多科研机构组织和企业厂家的兴趣。i e t f 相继 发表了很多策略管理的草案，并且很多厂家也推出了自己的产品。 在国外，b a y n e t w o r k s 公司攉出了o p f i v i t y 网络管理系统，实行基于策略的网络 技术战略。网管人员可以根据当前网络的情况，动态地给用户、团体以及应用分配 资源，并且可以系统的制定规则，通过b a y n e t w o r k s 公司的全线产品为其提供安全 服务和q o s 服务。h p 公司与i e t f 的p o l i c y 和q o s 工作组推出了基于策略的网络管 理软件p o l i c ye x p e r t l 0 ，它支持c o p s r s v p 等协议，通过策略控制带宽保证用户的 华中科技大学硕士学位论文 服务，提供修改、编辑、存储以及实施策略的图形接口，实现对异构网络的管理。 在国内，天融信公司也积极推出了v p n 安全集中管理系统s c m l 9 1 ，可以对整个 v p n 网络进行集中策略管理。由s c m 执行统一的安全策略，并监控整个网络的运行 状态，使得v p n 系统能够自动统一管理，同时自动保持策略的一致性，大大简化了 管理，提高了效率。 但是，这些基于策略的网络管理系统，大部分都是针对特定业务的管理，没有一 个对整个异构网络的统一管理，而且绝大部分产品都不能支持s n m p v 3 协议，这样 就使得策略管理在企业的实际应用实施中需要抛弃原有的网络管理软件，重新开发 新的系统来适应这种管理，从而限制了网络策略管理系统的应用。 芷是在分析了目前企业应用中出现的这种管理闯题后，在论文中提出种将基 于策略网络管理系统和基于s n m p v 3 的网络管理系统结合起来的方法，实现一种在 策略管理中支持s n m p v 3 协议的新的网络安全管理模型，这种模型能有效地解决当 前网络管理中的问题，同时又能兼顾原有的网络管理系统，为企业节约成本的同时， 也提高了管理效率。 1 5 主要研究内容 论文中将对基于策略的网络管理进行深入的研究。提出一种将基于策略的网络 管理和基于s n m p v 3 的网络管理结合起来的两络安全管理模型，设计并实现基于策 略的s n m p v 3 网络安全管理的原型。具体地说，本课题主要进行以下几个方面的工 作： ( 1 ) 分析目前的基于策略的网络管理技术及其现状。提出一种新的基于策略的网 络管理模型。 ( 2 ) 深入研究s n m p 和策略管理通讯的各种相关协议，并对s n m p v 3 的安全性 提出改进方案。 ( 3 ) 详细设计本模型的系统体系结构及各个功能模块，并实现具体的策略管理基 本模块功能。 6 华中科技大学硕士学位论文 2 基于策略的网络管理系统分析 2 1 基于策略的网管系统结构 i e t f 提出的基于策略的管理框架包括四个部分；策略管理工具、茇略决策点、 策略执行点和策略仓库，如图2 1 所示： l d a p 图2 1基于策略的网络管理系统结构 ( 1 ) 策略管理工具( m a n a g e m e n tt o o l s ) 提供图形用户接口，是管理员制定策略、 管理策略的窗口。 ( 2 ) 策略仓库( r e p o s i t o r y ) 伟 ：j ：存储策略信息，能对系统中的策略进行汇总。它可 以是目录服务器或数据库服务器，除了储存管理员已经编辑好的策略信息，还可以 存储其它的网络信息和系统参数。 ( 3 ) 策略决策点p d p ( p o l i c yd e c i s i o np o i n t ) 通常也被称为策略服务器，是整个系 统的决策中心。它负责存取策略仓库中的策略，并根据策略信息做出决策，然后将 相应的策略分配至策略执行点。策略决策点还能检测策略的变化和冲突，从而采取 应对措施。 ( 4 ) 策略执行点p e p ( p o l i c ye n f o r c e m e n tp o i n t ) 是接受策略管理的网络实体，通常 也被称作策略客户端。它可以是路由器、交换机、防火墙等网络设备，负责执行由 策略决策点分配来的策略。同时它还向策略决策点发送信息，使策略决策点知道网 7 华中科技大学硕士学位论文 络的变化以及策略的执行情况。 2 2 策略核心信息模型 “策略”是一个抽象的概念，网络管理中的策略代表了管理员既定的管理目标， 而实旌这些高层次的目标有赖于各种低层次的网络实体的协助，所以必须有某种转 换机制将抽象的目标与具体的网络实体结合起来。因特网工程任务组( 1 e t f ) 和分布式 管理任务组( d m t f ) 提出了策略核心信息模型( p o l i e yc o r ei n f o r m a t i o nm o d e l ) 1 1 0 1 ，该模 型对策略的概念进行了解释，并采用面向对象的“类”( c l a s s ) 结构对组成策略的各要素 进行具体的描述，以便于网络实体对策略的理解。 策略是一套指导和决定如何管理、分配和控制网络资源的业务规m j l ( r u l e ) ，这些 规则描述了在特定的情况( c o n d i t i o n ) 下应采取哪些行为( a c t i o n ) 。举一个简单的例子， 如果企业网内的注册用户想获得网内的高质量视频业务，根据这一需求，相应的策 略可定义如下： p o t i c y ；为合法用户提供赢质量视频业务； r u l e ：i f a n d 业务i n 视频业务 a n d t h e n 。 策略之间不是相互独立的，两是存在着包含、组合等关系，多个策略可以组合 成策略组，多个策略组可以组成更大、更复杂的策略组。复杂的策略可以由简单的 策略组合而成，这使得策略的制定和管理更加简单。 在策略核心信息模型中利用面向对象的“类的概念，对各个策略要素进行具体 描述。所谓类是指具有某些相同功能和属性的对象( o b j e c t ) 的集合，它是对具体对象 的抽象。类都具有自身特定的功能和属性，这是类互相区别的标志，也是类的具体 含义。类可以有多个子类，子类扩展了父类的功能和属性。 以上这种抽象到具体的构造体系很适合策略核心信息模型中类的构造。策略核 心信息模型中，策略、规则、c o n d i t i o n 以及a c t i o n 都可以作为类，而规则可以作为 策略的子类，c o n d i t i o n 和a c t i o n 则作为规则的子类。每个类都可以被相应的功能和 8 华中科技大学硕士学位论文 属性具体描述，同时可以根据情况增加辅助( a u x i l i a r y ) 子类来对类的描述进行补充。 2 3 策略管理通信协议 根据前面基于策略的网络管理系统结构分析，实现基于策略的网络管理主要由 四大功能模块组成：策略管理工具、策略决策点、策略执行点和策略数据库。 以上各个模块都是一个独立的子系统，为了实现模块问的策略信息交换，i e t f 定义了一些协议来实现模块间的通信。l d a p l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ) 协议用于策略数据库和其它子系统之阃策略信息的传输，在p d p 和p e p 之间可用 c o p s ( c o n u n o no p e np o l i c ys e r v i c e ) 协议、s n m p 来进行策略信息的传输。 下面将详细分析各个模块之间的通讯协议，以寻求一种最佳的协议来完成基于 策略的网络安全管理系统模型设计。 2 3 1l d a p 目录访问协议 l d a p ( l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c 0 1 ) 1 1 , 1 2 轻量级目录访问协议，它 是基于i s o 的x 5 0 0 标准的简化版本，并且可以根据需要自行定制。与x 5 0 0 不同， l d a p 能够支持t c p i p 协议，这对于i n t e r n e t 上的应用是必须的。l d a p 具有“推”、 “拉”两种通信方式，内置访问控制功能。目前，l d a p 的标准化工作已经基本完成 且得到了很多供应商的大力支持和推广，其核心规范在r f c 中都得到了定义，它通 过四种基本的模型完整地描述了目录存储、访问控制以及目录数据的操作处理。 l d a p 具有如下三大优点： ( 1 ) 直接运行于t c p 之上，省去了o s i 对话层与表示层连接建立与包处理的开 销。t c p i p 实现的近乎全球可用性意味着l d a p 可在大多数系统上运行。 ( 2 ) l d a p 在两个方面简化了x 5 0 0 的功能模型：它省去了r e a d 和l i s t 操作，用 s e a r c h 操作仿真它们，省去了x 5 0 0 的一些深奥的及极少使用的服务控制与安全特性 ( 比如s i g n 操作，不过在v 3 中留有扩展接口) ，这使得l d a p 易于实现。 ( 3 ) 尽管x 5 0 0 和l d a p 都使用a s n 1 编码协议元素，但l d a p 使用的是a s n 1 中的b e r ( b a s i ce n c o d i n gr u l e s ) ，其特异名与数据元素直接编码成原始 9 华中科技大学硕士学位论文 o c t e t s 删g 。x 5 0 0 甚至对简单的数据元素都使用复杂的、高度结构化的编码， 因此l d a p 降低了编码与解码的难度。l d a p 将一个值的语法知识提交给应用程序 而不是低层协议子程序。 基于l d a p 的网络管理除了弥补传统数据库存储方式的不足以外，下述特征使 得它在i n t e r a c t 网络环境下能够发挥出更大的作用； ( 1 ) 基于条目的访问权限控制。这是基于最小数据存储单位的客户访问权限控 制，它能够极大地提高系统的安全级别。 ( 2 ) l d a p 信息的加密传输。这是防止非法用户窃听信息的一种有效手段。 ( 3 ) 支持多值属性。即允许条目的某些属性同时取多个数值，这不但方便了条目 查询，而且可以减少冗余条目的存储。 从以上l d a p 的分析得出，对于数据需要从不同地方读取，但是不需要经常更 新的信息存储，采用l d a p 服务器来存储安全策略规则是一个比较好的选择。 2 3 2c o p s 公共开放策略服务协议 c o p s ( c o m m o no p e np o l i c ys e r v i c e ) n “4 1 公共开放策略服务协议是i e t f 为了统 一q o s 管理专门提出的一个新协议。它在策略服务器和策略实施者之间采用t c p 连 接交换策略请求和策略决定。 c o p s 协议在策略服务器即策略决策点( p d p ) 及其客户即策略执行点( p e p ) 之间 协调策略信息的交换。c o p s 协议具有以下主要特点； ( 1 ) 协议使用了客户服务器模型，在这个模型中p e p 发出策略请求、策略更新、 策略删除的信息给远端p d p ，p d p 将其决定返回给p e p 。 ( 2 ) 协议使用t c p 作为传输层协议，可以提供可靠的报文交换。 ( 3 ) 请求决定声明被客户与服务器共享。p e p 发出的策略请求被远端p d p 存储 或者记忆直到被p e p 删除。同时，对于己经在p d p 存储的请求声明，p d p 可以在任 何时候异步地产生策略决定。 c o p s 的工作原理如下： 在p e p 中维护一个已配置策略存储区，每个表项对应一个请求声明，里面存储 i o 华中科技大学硕士学位论文 了唯一标识此请求声明的客户句柄、与策略请求有关的信息、以及策略决策中返回 的优先级。每当来了一个i p 包，就先在已配置策略存储区中查找。如果有相应的表 项，就直接返回优先级；如果没有，则发送请求报文给p d p 。如果p e p 收到了p d p 发来的决定报文，就取出策略决定的优先级，填入已配置策略存储区。如果某个表 项对应的请求声明长期未被使用，则删除这个表项，且发送删除请求声明报文给 p d p 。 p d p 中维护着一个p d p 策略存储区，它与p e p 的已配置策略存储区存有相同的 内容。当收到p e p 的请求报文，就在p d p 策略存储区中加一个表项，填入相关策略 信息，然后向策略服务器操作模块发消息，请求策略决策，收到策略决策后再向p e p 发送决策报文。每当收到p e p 发来的删除请求声明报文，则删除相应的表项。如果 接收到策略服务器操作模块的策略更新消息，就将对应表项中的优先级更新，再发 出未经请求的决定报文给p e p ，更新策略。如果p d p 策略存储区中的策略长期未被 更新，则主动发消息给策略服务器操作模块询问，然后再发未经请求的决定报文给 p e p ，更新策略。 p e p 和p d p 中都要维护一些定时器。为了防止死锁，p e p 在发出客户打开报文、 请求报文、p d p 在发出决定报文以后，都要设置相应的定时器。收到对方应该回送 的报文以后，将相应的定时器复位。如果定时器超时，则应重发相应的报文。为了 实现保持存活操作，p e p 和p d p 都要设置定时器k at u n e r ，每当收到对方发来的任 何报文，k at i m e r 都被复位。p e p 在k at u n e r 达到k at i m e r 定义值的1 4 到3 4 内，随机产生k a 报文发往p d p ，然后p d p 回送k a 报文。如果任何一方k a t i m e r 超时，则认为连接丢失。另外，保存在p e p 的已配置策略存储区和p d p 策略存储区 中的每个条目都有一个属性表示最近利用的时间。双方各自有个定时器来触发对这 些最近利用时阉的定期检查。p e p 发现有较长时间没有利用的条目就向策略服务器 发出删除请求申明报文，并将其删除。如果p d p 的某个条目的时间值太久，则主动 向策略服务器操作模块请求策略。 华中科技大学硕士学位论文 2 3 3s n m p 简单网络管理协议 s n m p ( s i m p l y n e t w o r km a n a g e m e n tp r o t o c 0 1 ) 【1 5 】是l e t f 定义的标准，用来管理网 络设备和获得外围设备信息，属于t c m p 协议栈的一部分，具有协议独立性。利用 s n m p ，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络 状态、修改网络设备配置、接收网络事件警告等。其最大的优势是设计简单，几乎 所有的网络管理人员都喜欢使用。 s n m p 的体系结构大致由以下几部分组成：管理站，管理代理，管理信息库( m i b ) 和网络管理协议。s n m p 是一个应用层协议，主要完成以下功能： ( 1 ) g e t 功能：管理站获取代理的m i b 对象值； ( 2 ) s e t 功能：管理站设置代理的m i b 对象值； ( 3 ) t r a p 功能：代理向管理站通知重要事件。 根据对以上通讯协议的分析得出，将c o p s 协议用于基于策略的网络安全管理 中，存在着以下一些方面的不足之处【16 1 7 】： ( 1 ) 需要各个设备厂商支持一个新的协议c o p s 。 ( 2 ) 用策略信息库p i b ( p o l i e yi n f o r m a t i o nb a s e ) 来存储策略，p i b 是类似于s n m p 中的m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 。 ( 3 ) 任意时刻，都只能有一个p d p 对设备进行访问，面s n m p 则可以提供多个 管理站同时访问设备。 ( 4 ) c o p s 没有很好的认证加密机制来保证数据的安全性，需要配合网络层的其 他协议，如i p s c c 等来实现数据的安全传输，这样势必影响系统的整体性能。 因此选择s n m p 协议来实现p d p 和p e p 之间的策略通讯，使用s n m p 的主要优 点在于： ( 1 ) 网络配置方法可继续使用在基于策略的网络管理操作中。 ( 2 ) 使用基于策略的对象监控有助于进行错误检测和恢复处理 在下一章中将会对s n m p 协议框架进行整体的分析，在此不赘述。 华中科技大学硕士学位论文 2 4 本章小结 在本章中，首先介绍了基于策略的网络管理系统结构，然后在此基础上给出了策 略核心信息模型，最后是对策略管理结构中的策略通讯协议进行了分析，并在比较 了c o p s 和s n m p 协议后，选取了s n m p 协议作为策略服务器和策略代理之间的通 讯协议。 华中科技大学硕士学位论文 3 简单网络管理协议s n m p 分析 3 1s n m p 协议安全机制比较 筒单网络管理协议s n m p ( s i m p l yn e t w o r km a n a g e m e n tp r o t o c 0 1 ) 是目前t c p i p 网络中应用最为广泛的网络管理协议。从最初的s n m p v l 到后来的s n m p v 2 ，再发 展到现有的s n m p v 3 ，每一阶段s n m p 在安全性和功能上都有较大的提高，安全机 制也各有其特点。 3 1 1s n m p v l 的安全机制 s n m p v l 1 8 l 对安全性仅仅提供了有限的能力，即“团体”的概念。团体是一个 在代理上定义的局部概念。一个代理可以定义若干个团体，每个团体使用唯一的团 体名。而每个s n m p 团体是在一个s n m p 代理和多个s n m p 管理者之间定义的认证、 访问控制和转换代理的关系。在每条s n m p v l 信息中都包括c o m m u n i t y 字段，在该 域中填入团体名。团体名起了一个密码的作用。s n m p v1 假设如果发送者知道了这 个密码，那么就认为该信息通过了认证，是可靠的。 条已经通过认证的信息，它对m i b 具有什么样的访问类别，这主要通过访问 控制来实现。代理为每一个团体定义了一个s n m p vl 团体框架文件。该框架文件包 括两部分： ( 1 ) m i b 视域。m i b 的一个对象子集。每个团体可以定义不同的m i b 视域，一 个视域中的对象集不必属于m i b 的单个子树。 ( s n m p 访问模式。集合( 只读、读写) 的一个元素。每个团体只定义一个访 问模式。一个s n m p 团体和一个s n m p 团体框架文件的结合就构成一个s n m p vl 访问策略。 一个通过了认证的信息必然指定了一个团体，那么它就有自己相应的团体框架 文件，且只能对该框架文件中m l b 视域的指定对象进行规定的操作( 只读或读写) 。 1 4 华中科技大学硕士学位论文 3 1 2s n m p v 2 的安全机制 s n m p v 2 功能比s n m p v1 有了较大的增强。s n m p v 2 t 1 卅具有以下特点： ( 1 ) 支持分布式网络管理。 ( 2 ) 扩展了数据类型。 ( 3 ) 可以实现大量数据的同时传输，提高了效率和性能。 ( 4 ) 丰富了故障处理能力。 ( 5 ) 增加了集合处理能力。 ( 6 ) 加强了数据定义语言。 另外，s n m p v 2 还引入了“上下文”的概念。上下文是一个可被s n m p v 2 实体访 问的被管理对象资源集合，分为本地上下文和远程上下文。本地s n m p v 2 上下文被 标识为一个m m 视域；远程s n m p v 2 上下文被标识成一个转换代理关系。使用上下 文后，一个访问控制策略由四个元素组成： ( 1 ) 目标：一个s n m p 参加者，它按主体方的请求执行管理操作。 ( 2 ) 主体：一个s n m p 参加者，它请求目标方执行管理操作。 ( 3 ) 资源：请求的管理操作在其上执行的管理信息，它可以标识为一个本地m i b 视域或一个代理关系，这一项被称为一个上下文。 ( 4 ) 权限：对于一个特定的上下文可允许的操作，这些操作可允许的协议数据单 元定义，由目标代表主体执行。 但是，s n m p v 2 并没有完全实现预期的目标，尤其是安全性能没有得到提高， 如：身份验证( 用户初始接入时的身份验证、信息完整性的分析、重复操作的预防) 、 加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。1 9 9 6 年发 布的s n m p v 2 c 是s n m p v 2 的修改版本，功能增强了，但是安全性能仍然没有得到 改善，仍然继续使用s n m p v l 的基于明文密钥的身份验证方式。 3 1 3s i 帅v 3 安全机制 i e t fs n m p v 3 工作组于1 9 9 8 年元月提出了互联网建议r f c 2 2 7 1 - 2 2 7 5 ，正式形 成s n m p v 31 2 0 l ，这一系列文件定义了包含s n m p v l 、s n m p v 2 所有功能在内的体 华中科技大学硕士学位论文 系框架和包含验证服务和加密服务在内的全新的安全机制，同时还规定了套专门 的网络安全和访问控制规则。可以说，s n m p v 3 是在s n m p v 2 基础之上增加了安全 和管理机制。 s n m p v 3 主要有3 个模块： ( 1 ) 信息处理和控制模块。它负责信息的产生和分析，并判断信息在传输过程中 是否要经过代理服务器等。 ( 2 ) 本地处理模块。主要功能是进行访问控制，处理打包的数据和中断。 ( 3 ) 用户安全模块。提供身份验证和数据保密服务。 与s n m p v l 和s n m t n , 2 相比，s n m p v 3 增加了三个新的安全机制：身份验证、 加密和访问控制。 3 2 s n m p v 3 协议框架 从概念上，s n m p v 3 是s n m p 的扩展，它解决了管理和安全性两个主要问题， r f c 2 5 7 1 定义了s n m p v 3 的主要目标是支持一种可容易扩充的模块化体系结构【2 1 1 ， 如果有了新的安全协议，可以把它们定义为单独的模块扩充到s n m p v 3 中。这样， s n m p v 3 框架将作为一个标准，保持较长的生存期