中文版网络管理安全课件

1、中文版网络管理安全中文版网络管理安全2SET概述SET 参与者: 图 7.8 ( in book) 给出了SET系统，包括：持卡者（Cardholder）: 在电子环境中，消费者与公司客户是通过网上的个人计算机与商家发生联系的。 持卡者是由发卡机构签发的支付卡。4SET概述SET 参与者:354SET 概述商家（Merchant）: 商家是能够售卖货物或服务给持卡者的个人或组织。 通常，这些货物或服务是通过Web网址或电子邮件提供的。能够接受支付卡业务的商家必须与代理商具有业务联系。发卡机构（Issuer）: 发卡机构是能够为持卡人提供致富卡的金融机构（如银行）。通常，帐号通过邮件或个人申请开

2、设。6SET 概述商家（Merchant）: 商家是能够售卖货物5SET 概述代理商（Acquirer）: 代理商是为商家建立帐户并处理支付卡认证与支付事务的金融机构。 代理商的作用是帮助商家对给定卡上帐号的有效性和容许支付的信用限额进行认证，同时为商家提供电子转账支付。7SET 概述代理商（Acquirer）: 代理商是为商6SET概述支付网关（Payment gateway）: 支付网关是由代理或指定的第三方运作的专门处理商家支付信息的功能设施。支付网关介于 SET 和现有的银行卡支付网络之间 完成认证和支付功能。8SET概述支付网关（Payment gateway）: 7SET概述认证机

3、构 (CA): 认证机构是一个为持卡者、商家和支付网关签发X.509v3公钥证书的可信实体。 SET 的成功很大程度上是因为 CA 基础设施的存在及其发挥的重要作用。9SET概述认证机构 (CA): 认证机构是一个为持卡者8双重签名In summary(双重签名的简化概念):1, 商家受到 OI 并验证签名。2, 银行收到 PI 并验证签名。3, 消费者把 OI 和 PI 联系起来并能够证明这种联系。10双重签名In summary(双重签名的简化概念):9概述SNMP的基本概念 SNMPv1 的社区设施11概述SNMP的基本概念 10概述SNMP的基本概念 SNMPv1 的社区设施12概述S

4、NMP的基本概念 11网络管理体系结构网络管理系统由一组网络监测与控制工具组成， 它集成了以下几个特点：具有单个操作界面，拥有功能强大且用户友好的命令集 以实现大部分身之所有的网络管理任务。13网络管理体系结构网络管理系统由一组网络监测与控制工具组成12网络管理体系结构需要最少的分立设备。也就是说，网络管理所需要的大部分软硬件被集成到现有的用户设备中。14网络管理体系结构需要最少的分立设备。也就是说，网络管理所13网络管理体系结构应用于 SNMP中的网络管理模型 包括以下几个主要元素：管理站（Management station）管理代理（Management agent）管理信息库（Mana

5、gement information base）网络管理协议（Network management protocol）15网络管理体系结构应用于 SNMP中的网络管理模型 包括以14网络管理体系结构 管理站 通常是单机设备，但是也可能是实现功能的共享系统。无论在哪种情况下，管理战斗充当着网络管理器和网络管理系统之间接口的角色。16网络管理体系结构 管理站 通常是单机设备，但是也可能是实15网络管理体系结构管理代理是网络管理系统中的另一个主动部件。 网络主机、网桥、路由器、网络集线器等一些网络关键平台均可以配备SNMP，从而可以通过网络管理系统被管理站管理起来。管理代理负责应答管理站发出的信息请

6、求和操作请求，也可以将重要信息以异步方式主动提供给管理站。17网络管理体系结构管理代理是网络管理系统中的另一个主动部件16网络管理体系结构为了管理网络中的资源， SNMP使用客体来描述每个资源。 客体的本质是数据变量，它描述管理代理在某一方面的属性。客体的集合构成了MIB（management information base)18网络管理体系结构为了管理网络中的资源， SNMP使用客体17网络管理体系结构管理站和代理通过网络管理协议进行互联. TCP/IP网络管理 使用 SNMP协议。 这个协议具有以下几个关键功能：Get: 管理站用来检索代理上的客体值19网络管理体系结构管理站和代理通过网

7、络管理协议进行互联. 18网络管理体系结构Set: 管理站用来设置代理上的客体值Notify: 代理用来向管理站通知重要事件20网络管理体系结构Set: 管理站用来设置代理上的客体值19网络管理协议体系结构 SNMP 规范于1988年发布，并迅速成为主要的网络管理标准。 许多厂商都提供基于SNMP协议的单机形式的网络管理工作站 ，多数 网桥、路由器、工作站、以及 PC机的厂商提供 SNMP 代理包， 从而使得它们的产品可以接受 SNMP 管理站的管理。21网络管理协议体系结构 SNMP 规范于1988年发布，并20网络管理协议体系结构SNMP协议的三个规范：基于TCP/IP网络的网络管理信息的

8、结构与标识 (RFC 1155): 描述在MIB中如何被定义为管理客体。 基于 TCP/IP的互联网中网络管理的管理信息库: MIB-II (RFC 1213): 描述 MIB中所包含的被管客体简单网络管理协议 (RFC 1157): 定义用于管理这些客体的协议22网络管理协议体系结构SNMP协议的三个规范：21网络管理协议体系结构SNMP 是一个应用层协议，它是 TCP/IP 协议簇的一部分。它使用RFC 768中定义的用户数据报协议（User Datagram Protocol UDP）进行操作。23网络管理协议体系结构SNMP 是一个应用层协议，它是 T22网络管理协议体系结构图 8.1

9、 (in book) 阐明了SNMP的协议文本。24网络管理协议体系结构图 8.1 (in book) 阐明232524网络管理协议体系结构从管理站发出的 三种类型的消息来代表一个管理应用程序 ：GetRequest, GetNextRequest and SetRequest. 代理用 GetResponse消息来确认这三种消息，该消息被传递给管理应用程序。26网络管理协议体系结构从管理站发出的 三种类型的消息来代表25网络管理协议体系结构因为 SNMP 使用无连接的 UDP协议，因此SNMP 自身也是无连接协议。 也就是说，在管理站和代理之间不用维护连接。相反，它们之间的每次数据交换都是独

10、立的事务。27网络管理协议体系结构因为 SNMP 使用无连接的 UDP26委托代理为了能够管理那些没有实现SNMP的设备，人们提出了委托代理的概念。在这个方案中，一个 SNMP 代理可以作为一个或者更多其它设备的委托代理; 这也就是说，SNMP 代理从当了真正被代理的设备的角色。28委托代理为了能够管理那些没有实现SNMP的设备，人们提出27委托代理图 8.2 (p255, in book) 显示了这种协议经常采用的一种体系结构。 管理站查询相关设备信息时，它将查询消息发送给这个设备的委托代理。委托代理将每一条查询消息转换为代理设备所使用的管理协议后发送给这个设备的委托代理。当委托代理收到对查

11、询应答时，它会将应答转发给管理站。29委托代理图 8.2 (p255, in book) 显示283029SNMPv2SNMP 的强大之处在于它的简单性。 SNMP 在工具包中提供了一组基本的网络管理工具，这些工具既易于实现又易于配置。可是，随着 用户开始越来越依赖于 SNMP ， 而不断地增加它的工作量来管理不断膨胀的网络，SNMP的缺陷也变得特别明显。这些缺陷可以分为以下三类：缺少对分布式网络管理的支持31SNMPv2SNMP 的强大之处在于它的简单性。 SNM30SNMPv2功能不足安全性不足1993年发布的 SNMPv2解决了前两种缺陷, 1996年又发布了修订版。SNMPv3中解决了

12、安全性不足的问题。32SNMPv2功能不足31分布式网络管理在传统的集中式管理方案中，在配置中有一台主机扮演着网络管理站的角色； 除此之外，还可能会有一到两台主机作为备用管理站。网络中的其他设备 包括代理软件和MIB， 用于管理站进行监测和控制。33分布式网络管理在传统的集中式管理方案中，在配置中有一台主32分布式网络管理随着网络 规模的不断扩大和流量的不断增加，这种 集中式系统难以运转。因为管理站承受了太大的压力，而且代理设备的报告必须穿过整个网络才能单打管理中心，从而造成 网络流量过大。在这种环境下，采用分布式管理方式更为可行 (如图 8.3所示).34分布式网络管理随着网络 规模的不断扩

13、大和流量的不断增加，333534分布式网络管理SNMPv2既可支持 高度集中的网络管理策略，也可以支持分布式的网络管理策略。在第二种情况下，一些系统同时作为管理站和代理运行。 当作为代理时，系统接受上层管理系统的命令。其中一些命令访问该代理的本地 MIB. 36分布式网络管理SNMPv2既可支持 高度集中的网络管理策35功能增强图 8.1 (in book) 列出了SNMPv2协议中的新增功能。 37功能增强图 8.1 (in book) 列出了SNMPv363837功能增强表8.1 列举了SNMPv2协议中的新增功能。 表中的两个协议均定义为使用 协议用户数据单元 (PDU)通信的一组命令。

14、 在 SNMPv1中，有5中命令。SNMPv2 中除了包含 SNMPv1 中的所有命令之外还增加了两条命令。 其中最重要的是一条 Inform 命令。 这条命令在管理站之间发生。类似于Trap命令，Inform命令中也可以包含与发送端所处环境或发生的事件相关的信息。39功能增强表8.1 列举了SNMPv2协议中的新增功能。 38功能增强另一条新命令 GetBulk， 使用这条命令，管理器可以一次性检索大量数据。 特别地，GetBulk 命令的设计目的是为了使用一条命令来传输一个完整的表格。40功能增强另一条新命令 GetBulk， 使用这条命令，管39概述SNMP的基本定义 SNMPv1 的社

15、区设施 41概述SNMP的基本定义 40共同体和共同体名称 与其他分布式类似， 网络管理包含多个应用实体之间通过应用层协议所进行的交互。在 SNMP 网络管理中， 应用实体是指使用SNMP的管理器 应用程序 和 代理应用程序。42共同体和共同体名称 与其他分布式类似， 网络管理包含多个41共同体和共同体名称我们还需要把SNMP网络管理 看作是在一个代理和一组管理器之间的关系。每一个代理控制本地 MIB ，而且必须能够支持多个管理器对 对本地 MIB的使用。 这个控制包括一下三个方面:认证服务（Authentication service）: 代理希望只有通过认证的管理器才能访问 MIB 。43

16、共同体和共同体名称我们还需要把SNMP网络管理 看作是在42共同体和共同体名称访问策略（Access policy）: 代理希望对不同 的管理器赋予不同的访问权限。委托代理服务（Proxy service）: 代理可以作为其他代理的委托代理。 这可能包含为委托代理系统中的其他代理实现认证服务和（或者）访问策略。44共同体和共同体名称访问策略（Access policy）43共同体和共同体名称SNMP 共同体 是 一个 SNMP 代理和 SNMP 一组管理器之间的关系，共同体定义了认证、访问控制和委托代理特性。代理为每个共同体定义了唯一的共同体名 (在该代理中), 共同体内部的管理器都会被提供一

17、个共同体名， 并且必须在所有的读取或者设置操作中使用该共同体名。45共同体和共同体名称SNMP 共同体 是 一个 SNMP 44认证服务 SNMPv1 认证服务的目的 是向接收者保证SNMPv1 消息来自与该接受者所要求的源。SNMPv1 只提供了一个价值不高的认证方案。 每一个管理器发送给代理的消息 (get 或者 put 请求) 都必须包含一个共同体名。这个名字作为口令，如果消息发送者知道口令则认为消息是可信的。46认证服务 SNMPv1 认证服务的目的 是向接收者保证S45访问策略 通过定义共同体, 代理可以将它的 MIB 访问限制于一组选定的管理器。通过使用多个共同体，代理能够为不同的

18、的管理器提供不同种类的 MIB 访问。 访问控制包括两个方面：47访问策略 通过定义共同体, 代理可以将它的 MIB 访问46访问策略SNMP MIB 视图：MIB里客体的子集。对于每一个共同体代理，可以为其定义不同的 MIB 视图。 视图中的一组客体可以不在同一棵 MIB子树中。SNMP 访问模式: 集合 READ-ONLY, READ-WRITE中的一个元素。 每一个共同体都定义了一个访问模式。48访问策略SNMP MIB 视图：MIB里客体的子集。对于47访问策略 MIB 视图 和访问模式的组合被称为 SNMP 共同体配置。 因此， 共同体配置由一个定义在代理中的 MIB子集 ，和对那些客体的访问模式。49访问策略 MIB 视图 和访问模式的组合被称为 SNMP48访问策略 共同体配置和每个代理定义的共同体相关联。SNMP 共同体和 SNMP 配置合称为SNMP 访问策略。 图 8.4 (in book) 描述了前面刚介绍的这些概念。50访问策略 共同体配置和每个