摘要 摘要 簡單網(wǎng)絡(luò)管理協(xié)議( s n m p ) 是目前t c p i p 協(xié)議簇中的網(wǎng)絡(luò)管理協(xié)議，它提 供了一種監(jiān)控和管理計算機(jī)網(wǎng)絡(luò)中各種設(shè)備資源的方法，且該方法簡單易行，獲 得了眾多廠商的支持，得到了廣泛推廣。s n m p 發(fā)展至今已經(jīng)歷了s n m p v l ， s n m p v 2 及s n m f v 3 等三個版本。但是，s n m i v l 與s n m p v 2 在安全性方面存在 著明顯不足，為此，s n m p v 3 在其基礎(chǔ)之上大大加強(qiáng)了安全性和用戶管理性，提 出了基于用戶的安全模式( u s m ) 和基于視圖的訪問控制模式( v a c m ) 。u s m 用 于防止信息篡改、偽裝、以及滯延和重復(fù)發(fā)送。v a c m 則負(fù)責(zé)控制用戶訪問被管 對象的權(quán)限。 本課題承擔(dān)s n m p v 3 系統(tǒng)a g e n t 端新增安全特性實(shí)現(xiàn)的研究任務(wù)，采用統(tǒng)一 的網(wǎng)絡(luò)管理體制，結(jié)合s n m p v 3 提出的安全功能，設(shè)計出了一個與s n m p v l 、 s n m p v 2 兼容的s n m p v 3 新增安全特性的實(shí)現(xiàn)方案。通過編碼、調(diào)試實(shí)現(xiàn)了u s m 和v a c m 的安全功能，設(shè)計測試方案并通過全面測試。 本文主要工作包括以下內(nèi)容： 1 深入分析s n m p v 3 的相關(guān)標(biāo)準(zhǔn)文檔，并與s n m p v l 、s n m p v 2 進(jìn)行對比， 準(zhǔn)確把握u s m 和蛇m 的功能特點(diǎn)。 2 分析s n m p v 3 系統(tǒng)的安全特性需求，根據(jù)s n m p v 3 系統(tǒng)的邏輯結(jié)構(gòu)，給 出了s n m p v 3 系統(tǒng)的u s m 和v a c m 兩項功能的實(shí)現(xiàn)方案。 3 詳細(xì)設(shè)計s n m p v 3 系統(tǒng)的u s m 和v a c m 兩項功能的模塊化實(shí)現(xiàn)流程， 并通過編寫相應(yīng)的代碼以及進(jìn)行調(diào)試，實(shí)現(xiàn)s n m p v 3 系統(tǒng)的安全新特性。 4 設(shè)計u s m 和v a c m 功能的測試方案，在集成環(huán)境上對u s m 和蛇m 功能進(jìn)行測試，并通過分析測試結(jié)果來驗證編寫的代碼成功實(shí)現(xiàn)了s n m p v 3 系統(tǒng) 的安全新特性。 本課題的研究成果為實(shí)現(xiàn)功能復(fù)雜的s n m p v 3 的完整系統(tǒng)奠定了良好的基 礎(chǔ)。 關(guān)鍵字：簡單網(wǎng)絡(luò)管理，基于用戶的安全模式，基于視圖的訪問控制模式 a b s t r a c t s i m p l e n e t w o r k m a n a g e m e n tp r o t o c o l ( s n m p ) i st h ep r e s e n t n e t w o r k m a n a g e m e n tp r o t o c o li nt c p i ps t a c k s n m pp r o v i d e sam e t h o dt om o n i t o ra n d s u p e r v i s et h ev a r i o u sd e v i c e sa n dr e s o u r c e si nt h ec o m p u t e rn e t w o r k s b e c a u s eo fi t s s i m p l i c i t y , s n m pi sw i d cs p r e a da n ds u p p o r t e db ym a n ym a n u f a c t u r e r s t h e r ea r ct h r e e v e r s i o i 塢o fs n m pw m c ha r es n m p v l s n m p v 2a n ds n m p v 3 t oo v e r c o m et h el a c k o fs e c u f i t yi ns n m p v la n ds n m p v 2 ，s n m p v 3i sg r e a t l yi m p r o v e di ni t ss e c u r i t ya n d u s e rm a n a g e m e n t ，a n di tm a k e su s eo ft h eu s e r - b a s e ds e c u r i t ym o d e ( u s m ) a n dt h e v i e w - b a s e da c c e s sc o n t r o lm o d e ( v a c m ) u s mc o u l db eu s e dt oa v o i dt h e m o d i f i c a t i o no fi n f o r m a t i o n ，m a s q u e r a d e ，d i s c l o s u r e , a n dd e l a yo rr e p l a yo fm e s s a g e s v a c mc o u l db eu s e dt oc h e c kw h e t h e ras p e c i f i ct y p eo fa c c e s s ( r e a d ，w r i t e ，n o t i f y ) t oa p a r t i c u l a ro b j e c ti sa l l o w e d t h ep r o j e c td e t a i l e dd e s c r i b e di nt m sp a p e ri sm a i n l ya b o u tt h ei m p l e m e n t a t i o no f t h es e c u r i t yf e a t u r e so ft h ea g e n ts i d ei ns n m p v 3s y s t e m t h ed e s i g na d o p t sa n u n i f o r mn e t w o r km a n a g e m e n ta r c h i t e c t u r e ，g i v e sa l l i m p l e m e n t a t i o np l a no ft h e s n m p v 3s e c u r i t yf e a t u r e sw h i c hi sc o m p a t i b l ew i t hs n m p v la n ds n m p v 2 t h eu s m a n dv a c m s e c u r i t yf u n c t i o nw a si m p l e m e n t e db yc o d i n ga n dd e b u g g i n g t h et e s t i n g p l a ni sd e s i g n e di nt h i sp a p e ra n d t h es y s t e mt e s th a sb e e np a s s e d t h em a i nw o r ki nt h i sp a p e ri sl i s t e db e l o w ： 1 a n a l y z e st h es n m p v 3s t a n d a r d s ，c o m p a r e si tw i t hs n m p v la n ds n m p v 2 ，a n d u n d e r s t a n d st h ef u n c t i o nf c a t u r e so fu s ma n dv a c m 2 a n a l y z e st h es e c u r i t yf e a t u r e si ns n m p v 3s y s t e m ，g i v e so u tt h eu s ma n d v a c m i m p l e m e n t a t i o np l a na c c o r d i n g t ot h es n m p v 3s y s t e ml o g i c a la r c h i t e c t u r e 3 d e s i g n st h eu s ma n dv a c m sf u n c t i o n a lb l o c k sa n di m p l e m e n t a t i o nf l o w s ， i m p l e m e n t st h es n m p v 3s y s t e ms e c u r i t yf e a t u r e st h r o u g ht h ec o d ec o m p i l i n ga n d d e b u g g i n g 4 d e s i g n st h eu s ma n dv a c mt e s t i n gp l a n , t e s t su s ma n dv a c mf u n c t i o n si n t h ei n t e g r a t e d e n v i r o n m e n t , s u c c e s s f u l l yi m p l e m e n t st h es n m p v 3s y s t e m sn e w a b s t r a c t s e c u r i t yf e a t u r e st h r o u g ha n a l y z i n gt h et e s t i n gr e s u l t s k e yw o r d s ：s n m p v 3 ，u s m , v a c m 圖目錄 圖目錄 圖2 1 “m a n a g e r a g e n t ”結(jié)構(gòu)的參考模型4 圖2 - 2s n m p 協(xié)議操作5 圖2 - 3s n m p 實(shí)體邏輯結(jié)構(gòu)圖 圖2 - 4 消息處理子系統(tǒng)邏輯結(jié)構(gòu)圖7 圖2 - 5 安全子系統(tǒng)邏輯結(jié)構(gòu)圖 圖2 - 6 訪問控制子系統(tǒng)邏輯結(jié)構(gòu)圖8 圖2 - 7s n m pa g e n t 邏輯結(jié)構(gòu)圖9 圖2 - 8 a g e n t 內(nèi)部各子系統(tǒng)之間的交互圖1 1 圖2 - 9s n m p v 3 消息結(jié)構(gòu)圖。1 2 圖2 1 0g e t r e q u e s t - p d u ，g e t n e x t r e q u e s t p d u ，s e t r e q u e s t p d u ，i n f o r m r e q u e s t - p d u 格j 目e 1 4 圖2 1 1g e t b u l k r e q u e s t p d u 格式1 4 圖2 - 1 2r c s p o n s c - p d u 格式一1 4 圖2 - 1 3s n m p v 2 - t r a p p d u 格式1 4 圖2 - 1 4v a r i a b l e b i n d i n g s 的格式1 4 圖舢1 訪問控制處理流程3 0 圖5 - 1u s m 模塊邏輯結(jié)構(gòu)圖3 5 圖5 - 2 妃m 訪問控制流程5 6 圖6 - 1s n m p v 3 安全新特性的集成測試環(huán)境。7 0 圖6 - 2 ( a ) 路由器配置命令 7 1 圖6 - 2 ( b ) 網(wǎng)管工作站的屬性設(shè)置7 2 圖6 - 2 ( c ) 網(wǎng)管工作站發(fā)送的s n m pg e t 消息7 2 圖6 - 2 ( d ) 路由器返回的r e s p o n s e 消息。7 3 圖6 - 3 ( a ) 路由器配置命令7 3 圖6 - 3 ( b ) 網(wǎng)管工作站的屬性設(shè)置 7 4 圖6 - 3 ( e ) 網(wǎng)管工作站發(fā)送的s n m pg e t 消息。7 4 圖6 - 3 ( d ) 路由器返回的r e s p o n s e 消息7 5 圖6 - 4 ( a ) 路由器配置命令 圖目錄 圖6 - 4 ( b ) 網(wǎng)管工作站的屬性設(shè)置 圖6 - 4 ( c ) 網(wǎng)管工作站發(fā)送的s n m pg e t 消息。 圖6 4 ( d ) 路由器返回的r e s p o n s e 消息 圖6 5 ( a ) 路由器配置命令 圖6 5 ( b ) 網(wǎng)管工作站的屬性設(shè)置 圖6 5 ( c ) 網(wǎng)管工作站發(fā)送的s n m pg e t 消息。 圖6 - 5 ( d ) 路由器返回的r e s p o n s e 消息 7 6 7 7 侶藹四為 表目錄 表5 1 表5 2 表5 3 表5 4 表5 5 表5 - 6 表5 7 表5 8 表5 - 9 表5 1 0 表5 1 1 表5 1 2 表5 1 3 表5 1 4 表5 1 5 表5 1 6 表目錄 輸入模塊的輸入 輸出模塊的輸出3 6 權(quán)威引擎i d 生成模塊的輸入 3 7 權(quán)威引擎i d 生成模塊的輸出。3 7 密鑰生成模塊的輸入3 7 密鑰生成模塊的輸出3 7 身份認(rèn)證子模塊的輸入3 7 身份認(rèn)證子模塊的輸出3 8 時間窗校驗子模塊的輸入3 8 時間窗校驗子模塊的輸出3 8 解密子模塊的輸入3 8 解密子模塊的輸出3 9 加密子模塊的輸入一3 9 加密子模塊的輸出3 9 u s m 模塊相關(guān)全局變量4 1 v a c m 模塊主要全局變量5 4 x 縮略語 c b c c m i p d e s h m a c m d 5 m i b n m s o i d s h a s n m p s n m p v l s n m p 心 s n m p v 3 u s m 縮略語 c i p h e rb l o c kc h a i n i n g c o m m o n m a n a g e m e n ti n f o r m a t i o np r o t o c o l d a t ae n c r y p t i o ns t a n d a r d k e y e d - h a s h i n g f o rm e s s a g ea u t h e n t i c a t i o n m e s s a g e - d i g e s ta l g o r i t h m5 m a n a g e m e n ti n f o r m a t i o nb a s e n e t w o r km a n a g e m e n ts t a t i o n o b j e c ti d e n t i f i e r s e c u r eh a s h a l g o r i t h m s i m p l en e t w o r km a n a g e m e n tp r o t o c o l v e r s i o n1o f s i m p l en e t w o r km a n a g e m e n t p r o t o c o l v e r s i o n2o fs i m p l en e t w o r km a n a g e m e n t p r o t o c o l v e r s i o n3o fs i m p l en e t w o r k m a n a g e m e n t p r o t o c o l u s e r - b a s e ds e c u r i t ym o d e l v a c mv i e w - b a s e da c c e s sc o n t r o lm o d e l 密碼塊鏈 通用管理信息協(xié)議 數(shù)據(jù)加密標(biāo)準(zhǔn) 消息認(rèn)證的鍵控散 列 信息摘要算法 管理信息庫 網(wǎng)絡(luò)管理站 對象標(biāo)識符 安全散列算法 簡單網(wǎng)絡(luò)管理協(xié)議 簡單網(wǎng)絡(luò)管理協(xié)議 第一版 簡單網(wǎng)絡(luò)管理協(xié)議 第二版 簡單網(wǎng)絡(luò)管理協(xié)議 第三版 基于用戶的安全模 式 基于視圖的訪問控 制模式 獨(dú)創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工 作及取得的研究成果。據(jù)我所知，除了文中特別加以標(biāo)注和致謝的地 方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含 為獲得電子科技大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。 與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明 確的說明并表示謝意。 簽名：童墮魚日期：2 田年f 月易日 關(guān)于論文使用授權(quán)的說明 本學(xué)位論文作者完全了解電子科技大學(xué)有關(guān)保留、使用學(xué)位論文 的規(guī)定，有權(quán)保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和磁 盤廠允許論文被查閱和借閱。本人授權(quán)電子科技大學(xué)可以將學(xué)位論文 的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或 掃描等復(fù)制手段保存、匯編學(xué)位論文。 ( 保密的學(xué)位論文在解密后應(yīng)遵守此規(guī)定) 簽名：童亟 塹導(dǎo)師簽名： 日期：年月日 第一章緒論 i i 研究意義 第一章緒論 隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)規(guī)模變得越來越龐大，結(jié)構(gòu)越來越復(fù)雜， 提供的服務(wù)也越來越多，因此網(wǎng)絡(luò)管理也就變得越來越重要。對應(yīng)于兩大主要的 網(wǎng)絡(luò)模型i s o o s i 體系和t c p i p 體系，網(wǎng)絡(luò)管理協(xié)議也存在著與之對應(yīng)的通用管 理信息協(xié)議( c m i p ) 和簡單網(wǎng)絡(luò)管理協(xié)議( s n m 但) 。其中，c m i p 為運(yùn)行在o s i 協(xié)議集上的開放系統(tǒng)提供了一個網(wǎng)絡(luò)管理框架。它是一個完全面向?qū)ο蟮脑O(shè)計，應(yīng) 用了面向?qū)ο蟮乃懈拍?，精心設(shè)計，功能強(qiáng)大，但復(fù)雜的實(shí)現(xiàn)及由此帶來的過高的 成本是其最大的缺點(diǎn)，因此在實(shí)際應(yīng)用中并沒有得到廣泛使用。而s n m p 以其簡單、 靈活的特點(diǎn)得到了廣泛應(yīng)用。 s n m p 提供了一種對多個供應(yīng)商可協(xié)同操作的網(wǎng)絡(luò)管理方法，可對網(wǎng)絡(luò)上支持 s n m p 協(xié)議的工作站、交換機(jī)、路由器等設(shè)備進(jìn)行監(jiān)控和管理。由于它的簡單性 和靈活性，s n m p 迅速流行起來，成為第一個被廣泛使用的網(wǎng)絡(luò)管理協(xié)議。自s n m p 出現(xiàn)以來，至今已經(jīng)歷了三個版本，即s n m p v l ，s n m p v 2 和s n m p v 3 。但s n m p v l 和s n m p v 2 在安全和訪問控制方面存在明顯不足：沒有提供驗證和加密功能，使 得s n m p 消息被篡改、被重復(fù)發(fā)送和被竊取的可能性相當(dāng)高；訪問控制僅僅依賴 于消息中的團(tuán)體名( c o m m u n i t y ) 字段，通常設(shè)備制造商默認(rèn)讀操作的團(tuán)體名為 p u b l i c ，寫操作的團(tuán)體名為p r i v a t e ，運(yùn)營商在使用設(shè)備時通常保持默認(rèn)的設(shè)置，使 得惡意攻擊很容易發(fā)生。即使團(tuán)體名經(jīng)過重新設(shè)置，未作加密處理的消息也可能 被人偵聽，使得沒有權(quán)限的管理者非法獲取讀寫權(quán)限。 因此，最新的s n m p v 3 在前兩個版本的基礎(chǔ)上大大加強(qiáng)了安全性和用戶可控 制性，提出了基于用戶的安全模式( u s m ) 和基于視圖的訪問控制模式( v a c m ) 。 u s m 可以防止消息被篡改，用戶被偽裝，以及消息被滯延和重復(fù)發(fā)送，以此提供 消息級別的安全。而v a c m 則可提供p d u 級別的安全，它負(fù)責(zé)控制用戶可以訪問 的被管對象，以及可以進(jìn)行的訪問操作。 但是，新增的安全特性大大增加了s n m p v 3 實(shí)現(xiàn)的復(fù)雜度；同時由于不支持 s n m p v 3 的陳舊設(shè)備的廣泛存在，出現(xiàn)了s n m p 三個版本共存的情景。因此，認(rèn) 電子科技大學(xué)碩士學(xué)位論文 真研究s n m p v 3 的安全新特性的實(shí)現(xiàn)，以及s n m p v 3 支持s n i m p v l 和s n m p v 2 的兼容性是極具實(shí)際應(yīng)用價值的。 1 2 研究現(xiàn)狀 為解決網(wǎng)絡(luò)管理中存在的信息篡改、偽裝、竊聽、滯延與重復(fù)發(fā)送等安全威 脅，i e t f 的s n m p v 3t 作組提出了基于用戶的安全模式和基于視圖的訪問控制 模式來提高s n m p v 3 的安全性能，并先后發(fā)布了關(guān)于u s m 和v a c m 的標(biāo)準(zhǔn)文檔 r f c 3 4 1 4 e 1 1 和r f c 3 4 1 5 2 1 以此作為各設(shè)備商實(shí)現(xiàn)s n m p v 3 安全薪特性的指導(dǎo)性文 檔。 為滿足人們對網(wǎng)絡(luò)管理日益增長的安全需求并搶奪新市場，各設(shè)備提供商， 例如毋m 、腫等都致力于開發(fā)高安全性的，并具有s n m p v l 和s m m ，2 兼容性 支持的s n m p v 3 產(chǎn)品。目前已成功推出了產(chǎn)品s n m ps e c u r i t yp a c k 。該產(chǎn)品對僅 支持s n m p v l 和或s n m p v 2 的s n m p 管理站設(shè)備進(jìn)行擴(kuò)展以支挎s n m p v 3 的安 全特性，并提供基于m d 5 和s h a 的用戶認(rèn)證機(jī)制，以及基于d e s c b c 的加密機(jī) 制，同時也可實(shí)現(xiàn)支持a e s 或3 d e s 。 此外，在i n t e m e t 上也出現(xiàn)關(guān)于s n m p v 3 的開源代碼，例如著名的n e t - s n m p 。 n e t - s n m p 是一系列用于在m v 4 或m v 6 網(wǎng)絡(luò)中實(shí)現(xiàn)s n m p v l 、s n m p v 2 和s n m p v 3 的應(yīng)用軟件。本課題便是基于n e t - s n m p 提供的a g e n t 端s n m p v 3 開源代碼，并 結(jié)合實(shí)際應(yīng)用環(huán)境進(jìn)行修改移植的。 1 3 課題預(yù)期目標(biāo) 本課題初期擬定的目標(biāo)是：根據(jù)s n m p v 3 提出的新的體系結(jié)構(gòu)，遵循統(tǒng)一的 網(wǎng)絡(luò)管理機(jī)制，在原有s n m p v l v 2 代碼基礎(chǔ)上設(shè)計s n m p v 3 的u s m 和v a c m 功 能模塊。但根據(jù)對原有代碼和n e t - s n m p 開源代碼的認(rèn)真分析，如果直接在原有 s n m p v l v 2 代碼基礎(chǔ)上添加s n m p v 3 相關(guān)代碼，難度會比較大，同時也不利于以 后新增功能的擴(kuò)展。因此，決定將原有的s n m p v l v 2 代碼全部廢棄，根據(jù)s n m p v 3 提出的新的體系結(jié)構(gòu)來重新實(shí)現(xiàn)s n m pa g e n t ，在此基礎(chǔ)之上來設(shè)計并實(shí)現(xiàn) s n m p v 3 系統(tǒng)的u s m 和v a c m 功能模塊。擬通過需求分析、概要設(shè)計、詳細(xì)設(shè) 計、編碼、調(diào)試并測試的開發(fā)步驟，將u s m 和v a c m 的安全與管理特性應(yīng)用于 s n m p v 3 系統(tǒng)，使其具有防止信息篡改、偽裝、竊聽、滯延與重復(fù)發(fā)送等安全功 2 第一章緒論 能，以及控制用戶訪問權(quán)限的管理功能。 具體來講，擬通過研究s n m p v 3 的u s m 和v a c m 的功能需求，結(jié)合設(shè)備自 身特點(diǎn)和統(tǒng)一的網(wǎng)絡(luò)管理機(jī)制，概要設(shè)計出實(shí)現(xiàn)u s m 和v a c m 功能模塊的解決 方案；依據(jù)此方案詳細(xì)設(shè)計功能子模塊和代碼實(shí)現(xiàn)流程，并設(shè)計主要的數(shù)據(jù)結(jié)構(gòu)； 編碼、調(diào)試來實(shí)現(xiàn)u s m 和v a c m 模塊的功能；設(shè)計測試方案進(jìn)行測試，并交付 使用。 1 4 論文安排 本文內(nèi)容安排根據(jù)課題預(yù)期目標(biāo)，共分為七章，其中第二、三、四、五、六 章是本文的主要工作。全文章節(jié)安排如下： 第一章論述本課題的研究意義，研究現(xiàn)狀，以及預(yù)期目標(biāo)； 第二章研究本課題的主要理論依據(jù)，包括s n m p 協(xié)議概述，s n m p v 3 體系架 構(gòu)，s n m p v 3 消息結(jié)構(gòu)以及s n m p v 3p d u ； 第三章深入分析s n m p v 3 的新增安全特性，包括其安全需求，安全框架以及 關(guān)鍵技術(shù)。 第四章設(shè)計s n m p v 3 系統(tǒng)安全新特性的解決方案，詳細(xì)設(shè)計u s m 和v a c m 各項功能： 第五章為s n m p v 3 系統(tǒng)安全新特性的實(shí)現(xiàn)，包括u s m 和v a c m 兩大模塊的 各項具體功能的設(shè)計和代碼實(shí)現(xiàn)流程，以及主要數(shù)據(jù)結(jié)構(gòu)、命令接1 2 1 和功能函數(shù) 的設(shè)計與實(shí)現(xiàn)； 第六章為u s m 和v a c m 兩大模塊的功能測試： 第七章為全文工作總結(jié)。 3 電子科技大學(xué)碩士學(xué)位論文 2 1s n m p 協(xié)議概述 第二章s n m p v 3 協(xié)議概述 s n m p 是t c p i p 協(xié)議簇中的應(yīng)用層協(xié)議，使用u d p 端口1 6 1 1 6 2 進(jìn)行數(shù)據(jù) 傳送，它提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。s n m p 網(wǎng)絡(luò)管 理模型采用“m a n a g e r a g e n t ”燃j t 3 。 m a n a 窯e ri 。 s n m p m e s s a g e a g e n t 電k一 n m s h m s ：n e t w o r km a n a g e m e n ts t a t i o n ，網(wǎng)絡(luò)管理站 m d ：m a n a g e dd c v i ，被管設(shè)備 m a n a g e r ：管理器 a g e n t ：代理 m i b ：m a n a g e m e n ti n f o r m a t i o nb a s e 。管理信息庫 s n m pm e s s a g e ：s n m p 消息 m d 圖2 - 1 “m a n a g e r a g e n t 結(jié)構(gòu)的參考模型 一個支持s n m p 網(wǎng)絡(luò)管理的系統(tǒng)包含以下四個基本要素： 兩個s n m p 實(shí)體：m a n a g e r ( 管理者) 與a g e n t ( 代理) 。 網(wǎng)絡(luò)管理協(xié)議：s n m p 協(xié)議。 管理信息：管理信息庫( m i b ) 。 在s n m p 管理體系中，被管資源的各個方面的數(shù)據(jù)變量被抽象為不同的被管對象， 該被管資源所維護(hù)的全部被管對象的集合被組織為m i b 。a g e n t 是可以安裝在任何 被管理設(shè)備( p c 機(jī)，工作站，服務(wù)器，網(wǎng)橋，路由器等) 中的軟件模塊，負(fù)責(zé)維 護(hù)本地m i b ，以及響應(yīng)m a n a g e r 發(fā)來的命令，此外還可以主動向m a n a g e r 通報重 要事件的發(fā)生。m a n a g e r 作為管理者，可以讀取和設(shè)置a g e n t 所維護(hù)的m i b 中的 被管對象的值。管理協(xié)議則用于在s n m p 實(shí)體之間，如m a n a g e r 與a g e n t 之間， 4 第二章s n m p v 3 協(xié)議概述 m a n a g e r 與m 粕a g c r 之間，傳送協(xié)議消息【4 】嘲嘲。 s n m p 協(xié)議發(fā)展至今，共有以下六種操作1 7 1i s 9 1 ： c e t 一、，一匡 ? 。一+ 一r e s p ?！?m a n a g e ra g e n t g e t n e x t ，h + 圄 s e t 卜、- + _ _ 一。一”r 。8 9 ?！?m a n a g e ra g e n t ，+ 一r e s p o n s e m 觚a g e f螂m 8 喇 g e t b “1 l 【+ + ：+ 一r e 踟s e m a n a g e r a k e n t t r a p ，d 一 a g e n t h l f o 珊+ 、，+ 一，+ 一r e s p 。讎 m a n a g e r m a n a g e r 圖2 - 2 s n m p 協(xié)議操作 g e t ：m a n a g e r 讀取a g e n t 處所維護(hù)的某一指定被管對象的值。 g e t n e x t ：m a n a g e r 讀取a g e n t 處所維護(hù)的某一指定被管對象的后繼被管對象 的值。 g e t b u l k ：m a n a g e r 讀取a g e n t 處所維護(hù)的某一指定被管對象的多個后繼對象 的值。 s e t ：m a n a g e r 設(shè)置a g e n t 處所維護(hù)的被管對象的值。 t r a p ：a g e n t 向m a n a g e r 通報重要事件。 i n f o r m ：用于m a n a g e r 之間交互管理信息。 s n m p v l 、s n m p v 2 以及s n m p v 3 的體系結(jié)構(gòu)是一致的，都采用 “m a n a g e r a g e n t 結(jié)構(gòu)的網(wǎng)絡(luò)管理模型，其體系架構(gòu)中都包含了相同的四個基本要 素。它們的主要區(qū)別則是不斷完善、日益豐富而強(qiáng)大的功能。 5 電子科技大學(xué)碩士學(xué)位論文 2 2s n m p v 3 體系結(jié)構(gòu) s n m p v 3 是建立在s n m p 、，1 和s n m p 、r 2 的基礎(chǔ)上的最新成果。它為s n m p 的 文檔定義了更為完備的組織結(jié)構(gòu)，表明s n m p 系列協(xié)議正在變得更為成熟；它定 義了統(tǒng)一的s n m p 管理體系結(jié)構(gòu)，采用模塊化的設(shè)計思想，便于簡單地實(shí)現(xiàn)功能 的增加與修改；它總結(jié)了網(wǎng)絡(luò)界對s n m p 安全特性要求的發(fā)展，強(qiáng)調(diào)安全與管理 的內(nèi)在結(jié)合，因此可以認(rèn)為s n m p v 3 是安全與管理特性增強(qiáng)了的s n m p v 2 ；此外， 它具有很強(qiáng)的適應(yīng)性，既可以為最簡單的網(wǎng)絡(luò)實(shí)現(xiàn)基本的管理功能，又能滿足大 型復(fù)雜網(wǎng)絡(luò)的管理需求。 s n m p v 3 提出了一個新的s n m p 體系架構(gòu)，這個體系架構(gòu)為各種基于s n m p 的 管理系統(tǒng)提供了一個通用的實(shí)現(xiàn)模型。s n m p v 3 將網(wǎng)絡(luò)看成由許多分散的相互作用 的s n m p 實(shí)體構(gòu)成，這些實(shí)體或者是a g e n t ，或是m a n a g e r ，或者是兩者的結(jié)合。通 過s n m p 實(shí)體之間的相互作用來實(shí)現(xiàn)對網(wǎng)絡(luò)及其資源的檢測和控制。其中，每個 s n m p 實(shí)體由一個s n m p 引擎和若干個s n m p 應(yīng)用構(gòu)成，如圖2 - 3 所示。在一個管理 域中，s n m p e n g i n e l d 唯一標(biāo)識一個s n m p i j i 擎。在不同管理域中的兩s n m p 弓i 擎允 許有相同的s n m p e n g i n e l d 。由于s n m p 實(shí)體和s n m p ：j 擎是一一對應(yīng)的，所以 s n m p e n 百n e d 也用來唯一標(biāo)識一個s n m p 實(shí)體 4 1 。 圖2 - 3s n m p 實(shí)體邏輯結(jié)構(gòu)圖 2 2 1s n m p 引擎 s n m p 引擎是s n m p 實(shí)體的核心部分，主要負(fù)責(zé)消息的接收和發(fā)送，認(rèn)證和 6 第二章s n m p v 3 協(xié)議概述 加密，以及對被管對象的訪問控制。s n m p 引擎與包含它的s n m p 實(shí)體之間是一 一對應(yīng)的關(guān)系。s n m p 引擎包括以下四個部分1 4 j ： 調(diào)度器：是s n m p 引擎的關(guān)鍵部件，每個s n m p 引擎只有一個調(diào)度器，它允 許s n m p 引擎同時支持多種版本的s n m p 消息。其功能包括向網(wǎng)絡(luò)發(fā)送或從 網(wǎng)絡(luò)接受s n m p 消息；確定s n m p 消息的版本，與相應(yīng)的消息處理模塊互通： 為s n m p 應(yīng)用提供抽象服務(wù)接口，向其傳遞p d u 或是接收其欲發(fā)送給其它 s n m p 實(shí)體的p d u 。 消息處理子系統(tǒng)：負(fù)責(zé)準(zhǔn)備要發(fā)送出去的消息，以及從接收到的消息里提取相 關(guān)數(shù)據(jù)。消息處理子系統(tǒng)可包含一個或多個消息處理模塊，如圖2 - 4 所示。每 個消息處理模塊定義一個特定版本的s n m p 消息格式，功能包括形成報文格 式和從報文中提取數(shù)據(jù)。 圖2 4 消息處理子系統(tǒng)邏輯結(jié)構(gòu)圖 安全子系統(tǒng)：提供消息的認(rèn)證和加密等安全服務(wù)。安全子系統(tǒng)可包含一個或多 個安全模塊，如圖2 - 5 所示。每個安全模塊定義了所要防范的網(wǎng)絡(luò)威脅，以及 所使用的安全協(xié)議，如認(rèn)證和加密。s n m p v 3 目前只定義了基于用戶的安全模 式，以后根據(jù)具體需要，可定義其它的安全模式。 圖2 - 5 安全子系統(tǒng)邏輯結(jié)構(gòu)圖 訪問控制子系統(tǒng)：通過一個或多個訪問控制模塊來提供基于s n m pp d u 的內(nèi) 容授權(quán)服務(wù)，如圖2 - 6 所示。每個訪問控制模塊定義特定的訪問控制策略來判 7 電子科技大學(xué)碩士學(xué)位論文 斷對m i b 的訪問是否被允許。s n m p v 3 目前只定義了基于視圖的訪問控制模 式，以后根據(jù)具體需要，可定義其它的訪問控制模式。 2 2 2s n m p 應(yīng)用 圖2 - 6 訪問控制子系統(tǒng)邏輯結(jié)構(gòu)圖 s n m p 應(yīng)用負(fù)責(zé)處理p d u ，完成p d u 指定的網(wǎng)管操作，存取m i b 。s n m p 應(yīng)用包括以下五種應(yīng)用1 4 1 1 0 l ： 命令發(fā)生器：用于監(jiān)測和控制被管對象。即產(chǎn)生g e t 、g e t n e x t 、g e t b u l k 、s e t 、 i n f o r m 請求p d u ，并發(fā)送給調(diào)度器。 命令響應(yīng)器：收到命令發(fā)生器發(fā)來的請求p d u 后，結(jié)合訪問控制模塊判斷 是否允許執(zhí)行其請求的操作，如果允許，則查詢或設(shè)置m m 中被管對象的值， 并產(chǎn)生相應(yīng)的響應(yīng)p d u 。 通告產(chǎn)生器：用于觸發(fā)異步消息，即用于m a n a g e r 之間傳遞管理信息， 或是a g e n t 主動向m a n a g e r 報告重要事件。 通告接收器：用于處理異步消息。 代理轉(zhuǎn)發(fā)器：在s n m p 實(shí)體之問轉(zhuǎn)發(fā)消息。 2 2 3s n m p a g e n t 結(jié)構(gòu) 一個s n m p a g e n t 通常包含一個或多個命令響應(yīng)器，以及可選的通告接收器和 通告產(chǎn)生器。與m a n a g e r 的引擎不同的是，a g e n t 的引擎包括了訪問控制子系統(tǒng)。 本課題主要依據(jù)s n m pa g e n t 邏輯結(jié)構(gòu)圖來實(shí)現(xiàn)s n m p v 3 的新增安全特性，即實(shí) 現(xiàn)s n m pa g e n t 邏輯結(jié)構(gòu)圖中帶陰影的u s e r - b a s e ds e c u r i t ym o d e l 和v i e w - b a s e d a c c e s sc o n t r o lm o d e l 兩個模塊【4 1 。 8 第二章s n m p v 3 協(xié)議概述 圖2 - 7s n m p a g e n t 邏輯結(jié)構(gòu)圖 圖2 - 8 顯示了a g e n t 內(nèi)部的各相關(guān)子系統(tǒng)如何通過相互作用來處理接收到的 消息，以及產(chǎn)生并發(fā)送響應(yīng)消息。具體包括了三個部分； 1 命令響應(yīng)器注冊其能處理的p d u 類型。 9 電子科技大學(xué)碩士學(xué)位論文 2 調(diào)度器、消息處理模塊、安全模塊配合處理接收到的請求消息，并將請求p d u 傳遞給命令響應(yīng)器進(jìn)行如下處理： ( a ) 檢查請求p d u 的內(nèi)容。該p d u 的操作類型必須符合之前命令相應(yīng)器所注 冊的類型。 c o ) 調(diào)用訪問控制子系統(tǒng)的服務(wù)原語i s a c c e s s a l l o w e d 來判斷是否允許進(jìn)行 p d u 里所請求的操作。 ( c ) 如果訪問被允許，命令響應(yīng)器就執(zhí)行請求p d u 里要求的操作，并準(zhǔn)備響應(yīng) p d u ：反之，命令響應(yīng)器則準(zhǔn)備表示操作失敗的響應(yīng)p d u 。 3 命令響應(yīng)器將響應(yīng)p d u 發(fā)送給調(diào)度器，再由調(diào)度器、消息處理模塊、安全模 塊配合產(chǎn)生并發(fā)送響應(yīng)消息。 圖中，箭頭上標(biāo)注的服務(wù)原語表示對該服務(wù)原語所提供的服務(wù)的一次調(diào)用；沒有 標(biāo)注的箭頭則表示調(diào)用的結(jié)果返回，并且陰影表示了調(diào)用與其返回的對應(yīng)關(guān)系。 第二章s f i m p v 3 協(xié)議概述 r e g i s t e r c o n t e x t e n g i n e l d r e c e i v es n m 口 m e s s a g ef r o m n e t w o r k p r e p a r e d a t e e i e m e n t s 岬c s i n c o m 佃g m s g p r o c e s s p d u r e t u r n r e s p o n s e p d u p m p a 弛r e s p o n m 髑s a 薩。 g e n e m t e 鼬s p o n m 鴨 se上 s n m p m e s s a g et on e t w o r kl 圖2 - 8 a g e n t 內(nèi)部各子系統(tǒng)之間的交互圖 1 1 電子科技大學(xué)碩士學(xué)位論文 2 j s n m p v 3 消息 2 3 1s n m p v 3 消息格式 按照r f c3 4 1 2 對s n m p v 3 消息格式的描述，s n m p v 3 消息由版本信息、頭部 數(shù)據(jù)、安全參數(shù)，以及s c o p e d p d u 四部分組成。 喜 2 = 喜 g 巴 雖 昌 菪 鼉 蠶 耄 螢 m s g v e 髂i o n m s g t o m s g m a x s i z e m s g f l a g s m s g s e c u r i t y m o d e l 、 m s g a u t h o r i t a t i v e e n g i 【n e e d m s g a u t h o r i t a t i v e e u l g i n e b o o t s m s g a u t h o r i t a t i v e e n g i 【n e t i m e m s g u s e r n a m e m s g a u t h e n t i e a t i o n p a r a m e t e r s m s g p r i v a c y p a r a m e t e r s 、 c o n t e x t e n g i n e l d c o n t e x t n a m e p d u h e a d e r d a t a m s g s e c u r i t y p a r a m e t e r s ( g e n e r a t e d p r o c e s s e db y u s e r - b a s e ds e c u r i t ym o d e l ) s c o p e d p d u q a i n t e x to re n c r y p t e d ) 圖2 - 9s n m p v 3 消息結(jié)構(gòu)圖 m s g v e r s i o n ：設(shè)置為s n m p v 3 ( 3 ) ，表示該消息是一個s n m p v 3 消息。 m s g l d ：用于通信的兩個s n m p 實(shí)體唯一標(biāo)識對請求與響應(yīng)消息，該請求消 息與響應(yīng)消息擁有相同的m s g i d 值。 m s g m a x s i z e ：消息發(fā)送者能支持的消息最大字節(jié)數(shù)，也是該實(shí)體能接收的最 第二章s n m p v 3 協(xié)議概述 大字節(jié)數(shù)。其取值范圍為4 8 4 字節(jié)( 2 “3 1 1 ) 字節(jié)。 m s g f l a 鍪：一個八位組，目前包含了三個標(biāo)志位：r e p o r t a b l e f l a g 、a u t h f l a g 季d p r i v f l a g ，用于控制消息的處理行為。a u t h f l a g 署t l p r i v f l a g 合起來就定義了安全 級別( s e c u d t y l e v e l ) ，目前有三種安全級別：不認(rèn)證不加密( n o a u t h n o p f i v ) 、 認(rèn)證不加密( a u t h n o p d v ) 、既認(rèn)證又加密( a u t h p f i v ) ，其安全級別依次提高。 m s g s e e u r i t v m o d e l ：標(biāo)識發(fā)送端使用的安全模式，且接收端只有使用同樣的安 全模式才能處理該消息。s n m p 的不同版本有不同的安全模式，目前主要有 s n m p v l ( 1 ) ，s t q m v v 2 c ( 2 ) ，u s m 0 1 。對于s n m p v 3 消息，其安全模式為u s m 。 m s g a u t h o r i t a t i v e e n g i n e l d ：表示參與消息交互的權(quán)威引擎的s n m p e n g i n e l d 值。 權(quán)威引擎是指不需要響應(yīng)的消息( 如t r a p ，r e s p o n s e ) 的發(fā)送引擎，或是需要 響應(yīng)的消息( 如g e t ，g e t n e x t ，g e t b u l k ，s e t ，i n f o r m ) 的接收引擎。 m s g a u t h o r i t a l i v e