《[2017年整理](中文版)第八章 网络管理安全》由会员分享,可在线阅读,更多相关《[2017年整理](中文版)第八章 网络管理安全(52页珍藏版)》请在金锄头文库上搜索。
1、第八章网络管理安全网络管理安全主讲:郑丽娟 石家庄铁道大学信息科学与技术学院1内容回顾n1,理解SET 的participants的含义;n2,理解dual signature(双重签名) 的含义和目的;2SET概述nSET 参与者:图 7.8 ( in book) 给出了SET系统,包括:n持卡者(Cardholder): 在电子环境中,消费者 与公司客户是通过网上的个人计算机与商家发生联 系的。 持卡者是由发卡机构签发的支付卡。34SET 概述n商家(Merchant): 商家是能够售卖货物或服务给 持卡者的个人或组织。 通常,这些货物或服务是通 过Web网址或电子邮件提供的。能够接受支付
2、卡业 务的商家必须与代理商具有业务联系。n发卡机构(Issuer): 发卡机构是能够为持卡人提 供致富卡的金融机构(如银行)。通常,帐号通过 邮件或个人申请开设。5SET 概述n代理商(Acquirer): 代理商是为商家建立帐户并 处理支付卡认证与支付事务的金融机构。 代理商的 作用是帮助商家对给定卡上帐号的有效性和容许支 付的信用限额进行认证,同时为商家提供电子转账 支付。6SET概述n支付网关(Payment gateway): 支付网关是由 代理或指定的第三方运作的专门处理商家支付信息 的功能设施。支付网关介于 SET 和现有的银行卡 支付网络之间 完成认证和支付功能。7SET概述n认
3、证机构 (CA): 认证机构是一个为持卡者、商家 和支付网关签发X.509v3公钥证书的可信实体。 SET 的成功很大程度上是因为 CA 基础设施的存在 及其发挥的重要作用。8双重签名nIn summary(双重签名的简化概念):n1, 商家受到 OI 并验证签名。n2, 银行收到 PI 并验证签名。n3, 消费者把 OI 和 PI 联系起来并能够证明这种联 系。9概述概述nSNMP的基本概念 nSNMPv1 的社区设施10概述概述nSNMP的基本概念 nSNMPv1 的社区设施11网络管理体系结构n网络管理系统由一组网络监测与控制工具组成, 它集 成了以下几个特点:n具有单个操作界面,拥有功
4、能强大且用户友好的命 令集 以实现大部分身之所有的网络管理任务。12网络管理体系结构n需要最少的分立设备。也就是说,网络管理所需要 的大部分软硬件被集成到现有的用户设备中。13网络管理体系结构n应用于 SNMP中的网络管理模型 包括以下几个主要元 素:n管理站(Management station)n管理代理(Management agent)n管理信息库(Management information base)n网络管理协议(Network management protocol)14网络管理体系结构n 管理站 通常是单机设备,但是也可能是实现功能的共 享系统。无论在哪种情况下,管理战斗充当
5、着网络管 理器和网络管理系统之间接口的角色。15网络管理体系结构n管理代理是网络管理系统中的另一个主动部件 。 网络主机、网桥、路由器、网络集线器等一 些网络关键平台均可以配备SNMP,从而可以 通过网络管理系统被管理站管理起来。n管理代理负责应答管理站发出的信息请求和操 作请求,也可以将重要信息以异步方式主动提 供给管理站。16网络管理体系结构n为了管理网络中的资源, SNMP使用客体来描述每个 资源。 客体的本质是数据变量,它描述管理代理在某 一方面的属性。 n客体的集合构成了MIB(management information base)17网络管理体系结构n管理站和代理通过网络管理协议
6、进行互联. TCP/IP网络管 理 使用 SNMP协议。 这个协议具有以下几个关键功能:nGet: 管理站用来检索代理上的客体值18网络管理体系结构nSet: 管理站用来设置代理上的客体值nNotify: 代理用来向管理站通知重要事件19网络管理协议体系结构 nSNMP 规范于1988年发布,并迅速成为主要的网络管 理标准。 许多厂商都提供基于SNMP协议的单机形式 的网络管理工作站 ,多数 网桥、路由器、工作站、以 及 PC机的厂商提供 SNMP 代理包, 从而使得它们的 产品可以接受 SNMP 管理站的管理。20网络管理协议体系结构nSNMP协议的三个规范:n基于TCP/IP网络的网络管理
7、信息的结构与标识 (RFC 1155): 描述在MIB中如何被定义为管理客体 。 n基于 TCP/IP的互联网中网络管理的管理信息库: MIB-II (RFC 1213): 描述 MIB中所包含的被管 客体n简单网络管理协议 (RFC 1157): 定义用于管理这 些客体的协议21网络管理协议体系结构nSNMP 是一个应用层协议,它是 TCP/IP 协议簇的一 部分。它使用RFC 768中定义的用户数据报协议( User Datagram Protocol UDP)进行操作。22网络管理协议体系结构n图 8.1 (in book) 阐明了SNMP的协议文本。2324网络管理协议体系结构n从管理
8、站发出的 三种类型的消息来代表一个管理应用 程序 :GetRequest, GetNextRequest and SetRequest. n代理用 GetResponse消息来确认这三种消息,该消息 被传递给管理应用程序。25网络管理协议体系结构n因为 SNMP 使用无连接的 UDP协议,因此SNMP 自 身也是无连接协议。 也就是说,在管理站和代理之间 不用维护连接。n相反,它们之间的每次数据交换都是独立的事务。26委托代理n为了能够管理那些没有实现SNMP的设备,人们提出 了委托代理的概念。 n在这个方案中,一个 SNMP 代理可以作为一个或者更 多其它设备的委托代理; 这也就是说,SNM
9、P 代理从 当了真正被代理的设备的角色。27委托代理n图 8.2 (p255, in book) 显示了这种协议经常采用的一 种体系结构。 管理站查询相关设备信息时,它将查询 消息发送给这个设备的委托代理。n委托代理将每一条查询消息转换为代理设备所使用的 管理协议后发送给这个设备的委托代理。当委托代理 收到对查询应答时,它会将应答转发给管理站。2829SNMPv2nSNMP 的强大之处在于它的简单性。 SNMP 在工具包中提供了一组基本的网络管理工具, 这些工具既易于实现又易于配置。n可是,随着 用户开始越来越依赖于 SNMP , 而不断地增加它的工作量来管理不断膨胀的网 络,SNMP的缺陷也
10、变得特别明显。这些缺陷 可以分为以下三类:n缺少对分布式网络管理的支持30SNMPv2n功能不足n安全性不足n1993年发布的 SNMPv2解决了前两种缺陷, 1996年又发布了修订版。nSNMPv3中解决了安全性不足的问题。31分布式网络管理n在传统的集中式管理方案中,在配置中有一台 主机扮演着网络管理站的角色; 除此之外,还 可能会有一到两台主机作为备用管理站。n网络中的其他设备 包括代理软件和MIB, 用 于管理站进行监测和控制。32分布式网络管理n随着网络 规模的不断扩大和流量的不断增加, 这种 集中式系统难以运转。因为管理站承受了 太大的压力,而且代理设备的报告必须穿过整 个网络才能
11、单打管理中心,从而造成 网络流量 过大。n在这种环境下,采用分布式管理方式更为可行 (如图 8.3所示).3334分布式网络管理nSNMPv2既可支持 高度集中的网络管理策略,也可以 支持分布式的网络管理策略。n在第二种情况下,一些系统同时作为管理站和代理运 行。 当作为代理时,系统接受上层管理系统的命令。 其中一些命令访问该代理的本地 MIB. 35功能增强n图 8.1 (in book) 列出了SNMPv2协议中的新增功能。 3637功能增强n表8.1 列举了SNMPv2协议中的新增功能。 表中的两 个协议均定义为使用 协议用户数据单元 (PDU)通信的 一组命令。 在 SNMPv1中,有
12、5中命令。nSNMPv2 中除了包含 SNMPv1 中的所有命令之外还增 加了两条命令。 其中最重要的是一条 Inform 命令。 这条命令在管理站之间发生。类似于Trap命令, Inform命令中也可以包含与发送端所处环境或发生的 事件相关的信息。38功能增强n另一条新命令 GetBulk, 使用这条命令,管理器可以 一次性检索大量数据。 特别地,GetBulk 命令的设计 目的是为了使用一条命令来传输一个完整的表格。39概述概述nSNMP的基本定义 nSNMPv1 的社区设施 40共同体和共同体名称 n与其他分布式类似, 网络管理包含多个应用实体之间 通过应用层协议所进行的交互。 n在 S
13、NMP 网络管理中, 应用实体是指使用SNMP的管 理器 应用程序 和 代理应用程序。41共同体和共同体名称n我们还需要把SNMP网络管理 看作是在一个代 理和一组管理器之间的关系。每一个代理控制 本地 MIB ,而且必须能够支持多个管理器对 对本地 MIB的使用。 n这个控制包括一下三个方面:n认证服务(Authentication service): 代 理希望只有通过认证的管理器才能访问 MIB 。42共同体和共同体名称n访问策略(Access policy): 代理希望对不同 的 管理器赋予不同的访问权限。n委托代理服务(Proxy service): 代理可以作为 其他代理的委托代理
14、。 这可能包含为委托代理系统 中的其他代理实现认证服务和(或者)访问策略。43共同体和共同体名称nSNMP 共同体 是 一个 SNMP 代理和 SNMP 一组管理器之间的关系,共同体定义了认证、 访问控制和委托代理特性。n代理为每个共同体定义了唯一的共同体名 (在 该代理中), 共同体内部的管理器都会被提供一 个共同体名, 并且必须在所有的读取或者设置 操作中使用该共同体名。44认证服务 nSNMPv1 认证服务的目的 是向接收者保证 SNMPv1 消息来自与该接受者所要求的源。nSNMPv1 只提供了一个价值不高的认证方案。 每一个管理器发送给代理的消息 (get 或者 put 请求) 都必
15、须包含一个共同体名。这个名字作 为口令,如果消息发送者知道口令则认为消息 是可信的。45访问策略 n通过定义共同体, 代理可以将它的 MIB 访问限制于一 组选定的管理器。n通过使用多个共同体,代理能够为不同的的管理器提 供不同种类的 MIB 访问。 访问控制包括两个方面:46访问策略nSNMP MIB 视图:MIB里客体的子集。对于每一 个共同体代理,可以为其定义不同的 MIB 视图。 视图中的一组客体可以不在同一棵 MIB子树中。nSNMP 访问模式: 集合 READ-ONLY, READ- WRITE中的一个元素。 每一个共同体都定义了 一个访问模式。47访问策略 nMIB 视图 和访问
16、模式的组合被称为 SNMP 共同体配 置。 n因此, 共同体配置由一个定义在代理中的 MIB子集 ,和对那些客体的访问模式。48访问策略 n共同体配置和每个代理定义的共同体相关联。SNMP 共同体和 SNMP 配置合称为SNMP 访问策略。 图 8.4 (in book) 描述了前面刚介绍的这些概念。4950委托代理服务 n共同体概念在支持委托代理服务上是很有用的 。回想一下, 委托代理是代表其他设备实现网 络管理的SNMP 代理。 一般来讲, 其他设备 是外来的,这意味着它们不支持 TCP/IP 和 SNMP。n在某些情况下,被代理系统也可能支持 SNMP 而委托代理则用于把代理设备和网络管理习题 之间的交互减到最少。51本次课需要大家重点掌握的知识点n1,解SNMP 所包括的4个关键元素;n2,理解SNMP代理的功能;52
