網絡安全協(xié)議網絡管理協(xié)議ppt課件

1、.Internet安全體系網絡管理協(xié)議.網絡管理協(xié)議 網絡管理協(xié)議：應用層協(xié)議 支持配置管理配置管理、審計審計和事件記錄事件記錄等管理功能，并且為診斷網絡問題提供了工具 包括工作站、服務器、網卡、路由器、網橋和集線器等構成網絡的硬件設備的管理.網絡管理協(xié)議：Internet SNMP Internet網絡管理協(xié)議的標準 TCP/IP協(xié)議族的一部分 SNMP設計時的目標： 功能簡單化 易擴充性 結構獨立性 健壯性.網絡管理協(xié)議：Internet SNMP SNMP體系結構模型網絡管理網絡管理 應用應用 網絡管理站網絡管理站網絡要素網絡要素SNMP實體實體SNMP實體實體管理管理代理代理MIBVi

2、ewSNMP.為什么要使用管理代理？ .網絡管理協(xié)議：Internet SNMP 管理信息庫MIB 通過網絡管理協(xié)議可以訪問的信息 使用一個層次型,結構化的形式 管理站通過檢索MIB目標的值來實現(xiàn)監(jiān)視任務，通過改變特定對象的值來改變管理代理的配置.網絡管理協(xié)議：Internet SNMP 管理站 充當網絡管理人員進入網絡系統(tǒng)的接口,監(jiān)視和控制網絡 與在不同的被管理節(jié)點中的代理通信，并且顯示這些代理狀態(tài)的中心設備。 管理數(shù)據分析,故障恢復等的應用程序集 把網絡管理人員的要求轉換為對網絡中遠程要素實際監(jiān)視和控制.網絡管理協(xié)議：Internet SNMP 管理站和管理代理通過網絡管理協(xié)議進行聯(lián)接.協(xié)

3、議主要包括功能: Get Set Notify IP UDP SNMP管理器 網絡相關協(xié)議 管理應用程序GetRequestGetNextRequestSetRequestGetResponse Trap IP UDP SNMP代理 網絡相關協(xié)議 SNMP管理對象GetRequestGetNextRequestSetRequestGetResponse Trap 管理資源SNMP管理站SNMP代理應用管理對象SNMP消息網絡或因特網SNMP協(xié)議與其它協(xié)議之間的關系. SNMPv1的安全特征 代理對MIB的控制 身份認證服務 訪問策略 代理服務 共同體和共同體名稱SNMPv1.SNMPv1 認證

4、服務 只為認證提供普通的方案。從管理器到代理的每條消息（獲取或發(fā)送請求）都包括一個共同體的名稱。該名稱作為口令，如果發(fā)送方知道口令，該條消息就被確認是可信的。.SNMPv1 訪問策略 訪問控制有兩個方面的內容：1）SNMP MIB 視圖：MIB中對象的子集 為每個共同體定義不同的MIB視圖 視圖中的對象集合不需要屬于MIB的單個子樹2）SNMP 訪問模式： READ-ONLY/READ-WRITE 每個共同體中都定義了訪問模式.SNMPv1 SNMPv1的不足 缺乏對分布式網絡管理的支持，不支持管理站-管理站之間的通信，它不允許一個管理系統(tǒng)去了解由另一個管理系統(tǒng)管理的設備和網絡的狀況。 功能缺

5、陷：基于一種主動輪詢的監(jiān)視機制，輪詢間隔短時對網絡性能影響很大，不適合大規(guī)模的網絡管理; 安全缺陷.SNMPv1 SNMPv1的安全缺陷 欺騙 修改信息 信息泄漏.SNMPv2 -分布式網絡管理 .SNMPv2 SNMPv2功能的改進 增加了兩條新命令 Inform GetBulk.SNMPv3. SNMPv3 的安全特征 SNMPv3 不是獨立的取代SNMPv1 或SNMPv2 的協(xié)議，定義為一種安全能力而與SNMPv2或SNMPv1 聯(lián)合使用。 SNMPv3 可以被看成是附加了安全和管理能力的SNMPv2。 RFC2570 到2575 描述了整體的SNMPv3。SNMPv3.SNMP協(xié)議體

6、系結構 IPUDP 消息處理消息處理 SNMPv3 USM）PDU 處理（處理（SNMPv1 SNMPv2） SNMP PDU V3-MH UDP-H IP-H V3-MH SNMP PDU UDP-H V3-MH SNMP PDU SNMP PDU.SNMPv3 SNMP體系結構 SNMP實體 實體是代理、管理器或兩者的結合 每個SNMP實體包括一個單獨的SNMP引擎 SNMP引擎 SNMP引擎實現(xiàn)發(fā)送和接收消息的功能，認證和加密解密消息，控制對管理對象的訪問 SNMP引擎和所支持的應用程序都是定義成離散模塊的集合. 典型SNMP管理器 命令生成器程序 通知始發(fā)器程序 通知接收器程序 SNM

7、P管理器引擎管理器引擎 調度程序調度程序 消息處理子系統(tǒng)消息處理子系統(tǒng) 安全子系統(tǒng)安全子系統(tǒng)SNMP體系結構.SNMP體系結構 典型SNMP代理 命令響應器應用程序 通知始發(fā)器應用程序 代理轉發(fā)器應用程序 代理引擎代理引擎 調度程序調度程序 消息處理子系統(tǒng)消息處理子系統(tǒng) 安全子系統(tǒng)（安全子系統(tǒng)（USM） 訪問控制子系統(tǒng)（訪問控制子系統(tǒng)（VACM）.1. SNMPv3調度程序 對于傳出的PDU，調度程序從應用程序接收PDU。對每個PDU，調度程序確定消息處理需要的類型(v1,v2或v3),傳送給消息處理子系統(tǒng)中合適的處理模塊。消息處理子系統(tǒng)返回一條包含了該PDU和正確消息報頭的消息，調度程序把消

8、息映像到傳輸層 對傳入的消息，調度程序把它發(fā)送給合適的消息處理模塊。消息處理子系統(tǒng)返回在該條消息中獲得的PDU。調度程序把其送給合適的應用程序.2. SNMPv3消息處理模型 負責從調度程序接收PDU,封裝進消息,調用USM在消息報頭插入安全相關的參數(shù) 接收傳來的消息,調用USM處理消息報頭的安全相關參數(shù),對調度程序分配封裝的PDU.3. SNMPv3用戶安全模型 基于用戶的安全模型 USM提供了身份認證和保密服務 USM設計是為了防范以下主要威脅: 信息的修改 偽裝 消息流修改 泄密 USM不能防范以下兩種威脅: 拒絕服務 通信分析.3. SNMPv3用戶安全模型 USM privKey和a

9、uthKey 認證：使用HMAC-MD5-96或HMAC-SHA-96 加密：使用DES CBC模式.HMAC回顧.MD5描述 Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, Ron Rivest 完成MD5 (RFC 1321) 在最近數(shù)年之前,MD5是最主要的hash算法 現(xiàn)行美國標準SHA-1以MD5的前身MD4為基礎.MD5描述 輸入：任意長度的報文 輸入分組長度：512 bit 輸出：128 bit 報文.安全散列函數(shù)(SHA) SHA是美國NIST和NSA共同設計的安全散列算法(Secure Hash Algor

10、ithm)，用于數(shù)字簽名標準DSS(Digital Signature Standard)。 SHA1于1995年發(fā)布 SHA1的輸入：長度小于264位的消息 輸出：160位的消息摘要。.3. SNMPv3用戶安全模型 USM HMAC-MD5-96:算法生成128位的輸出,被截成96位 HMAC-SHA-96:算法生成160位的輸出,被截成96位.密碼分組鏈接回顧.3. SNMPv3用戶安全模型 USM 使用DES中的CBC加密.16字節(jié)的PrivKey輸入 前8個字節(jié)作為DES的密鑰.每個8位位組的最低位被忽略 CBC 模式需要一個64位的IV.PrivKey的最后8個字節(jié)用于生成這個IV

11、.3. SNMPv3用戶安全模型 USM時限機制 防止消息延遲和消息重放 只有在消息使用了身份認證服務，并通過認證后才使用同步操作或時限的檢查。要確認參數(shù)值是正確的 時間窗口的限制：根據給定時鐘的精確性，來回的通信延遲和時鐘用來同步的頻率來確定窗口大小 msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgAuthoritativeEngineID contextEngineID contextName PDU消息處理模型消息處理模型生成或處理生成或處理用戶安全模型用戶安全模型(USM)生成或處理生成或處理限定范圍的限定范圍的PDU(

12、明文或加密的明文或加密的)加密的作用域加密的作用域認證的作用域認證的作用域使用使用USM的的SNMPv3消息格式消息格式.4. SNMPv3訪問控制模型 VACM 基于視圖的訪問控制模式 特征 VACM確定是否允許遠程主體對本地MIB中管理對象的訪問 VACM使用MIB 來定義對該代理的訪問策略；訪問策略可以遠程配置.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級別, 上下文, MIB視圖, 訪問策略 組：由多個元組組成。給定組的所有主體的訪問權力是一樣的 安全級別：組的訪問權力不同，取決于包含請求的消息的安全級別。例如，對于某些敏感對象，代理也許要求其請求和其應答都通過私有服務

13、進行通信.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級別, 上下文, MIB視圖, 訪問策略 MIB上下文是MIB中實例對象的命名子集。特征： 由contextEngineID唯一標識的SNMP實體，可以保留多個上下文 對象或對象實例可能出現(xiàn)在多個上下文中 存在多個上下文時，為了標識單個對象實例，除了其對象實例和類型外，還必須標識contextName 和contextEngineID.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級別, 上下文, MIB視圖, 訪問策略 MIB視圖 MIB視圖根據集合或系列或子樹的概念定義，每個子樹或者包含在視圖之內或者排斥在視圖之外 子樹是在MIB命名層次中的節(jié)點，并加上其所有下屬元素 每次進入vacmAccessTable相關的是3個MIB 視圖，分別對應于讀，寫，通知訪問.訪問控制過