第十章 网络管理基础和网络安全性 (1)
10.1 网络管理基础
10.2 数据加密网络管理概述
第一个所使用的网络管理(简称网管)协议称为简单网络管理协议 (SNMP,又称 SNMP第一版或 SNMPv1)
在 80年代,由此设计了两个网络管理协议
一个称为 SNMP第二版 (简称 SNMPv2),它包含了原来的特性,这些特性目前被广泛使用,同时增加很多新特性以克服原先的 SNMP的缺陷;
第二个网管协议称为公共管理信息协议 (简称 CMIP),
它是一个组织得更好的,并且比 SNMPv1和 SNMPv2有更多特性的网管协议。
ISO网络管理模式( 1)
目前国际标准组织 ISO在网络管理的标准化上作了许多工作,它特别定义了网络管理的五个功能域
配置管理:
管理所有的网络设备,含各设备参数的配置与设备帐目的管理;
故障管理:
找出故障的位置并进行恢复;
ISO网络管理模式( 2)
性能管理:
统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划;
安全管理:
限制非法用户窃取或修改网络中的重要数据等;
计费管理:
记录用户使用网络资源的数量,调整用户使用网络资源的配额大小和记帐收费。
配置管理
配置管理的目的
在于随时了解系统网络的拓扑结构,所交换的信息,
包括连接前静态设定的和连接后动态更新的。
配置管理调用以下功能
客体管理功能
状态管理功能
通用状态属性
状况属性
关系管理功能故障管理
故障管理的目标
自动地监测、记录网络故障并通知给用户,以便能使网络有效地运行。
故障管理包含以下几个步骤
判断故障症状
隔离该故障
修复该故障
对所有重要的子系统的故障进行修复
记录故障的监测及其结果性能管理
性能管理的目标
衡量和呈现网络性能的各个方面,使人们可在一个可接受的水平上维护网络的性能。
性能管理包含以下几个步骤
收集网络管理者感兴趣的那些变量的性能参数
分析这些数据,以判断是否处于正常水平
为每个重要的变量决定一个适合的性能门限值,超过该限值就意味着网络的故障安全管理
安全管理的目标
按照本地的指导来控制对网络资源的访问,以保证网络不被侵害(有意识或无意识的),并保证重要的信息不被未授权的用户访问 。
安全管理子系统执行以下几种功能
标识重要的网络资源(包括系统、文件和其他实体)
确定重要的网络资源和用户集间的映射关系
监视对重要网络资源的访问
记录对重要网络资源的非法访问计费管理
计费管理的目标
衡量网络的利用率,以便一个或一组用户可以更有规则地利用网络资源,这样的规则使网络故障减低到最小(因为网络资源可以根据其能力的大小而合理地分配),也可使所有用户对网络的访问更加公平。
典型的网络管理体系结构图公共管理信息协议 CMIP( 1)
CMIP是在 SNMP的基础上设计的,目的是为了克服 SNMP的缺陷,这样,CMIP变为一个复杂的、
庞大的网络管理协议,SNMP有 5个 PDU,而 CMIP
有 11个 PDU。
CMIP也是采用面向对象的技术,这是一种真正的面向对象技术,一个对象不仅仅有数值,还有行为,而 SNMP则只有数值属性。
公共管理信息协议 CMIP( 2)
优点
其灵活性和强大的功能,对象由于有行为,它可以更好地体现被管理网络设施的特性
克服了 SNMPv1的很多缺陷,比如安全性
由于不仅政府提供资助,而且很多大公司也提供资助,这样不仅可以得到充足的经费,而且一旦推出马上可以获得大量地用户:政府和大公司
缺点
CMIP的实现需要大量的资源简单网络管理协议 SNMP( 1)
SNMP的设计思想(十分简单):
它通过 SNMP的 PDU(协议数据单元 )来与被管理的对象交换信息,这些对象有对象所特有的属性和值。
SNMP共有五种 PDU
其中两个用来读取数据,两个用来设置数据,
还有一个用来监视网络上发生的事件,如网络故障报警信息等等简单网络管理协议 SNMP( 2)
优点
最大优点是它的简单性,所以容易设立、容易编程,而且对网络不会造成很大压力
另一个优点是当前已经被广泛使用
另一个好处是它的扩充性
缺点
一个缺点是安全性,为网络黑客的入侵提供了方便之门简单网络管理协议 SNMP( 3)
SNMP网络管理模型简单网络管理协议 SNMP( 4)
SNMP采用简化的面向对象的方法来实现对网络设施的管理,SNMP管理模型由以下四个部分组成
被管对象
被管设施可以是一个网桥、路由器、网络打印机、
TCP连接、路由端口状态等等
网络管理站
网络管理站向网络管理员提供了对网络的管理界面,
所有网络管理功能都在网络管理站上得到体现简单网络管理协议 SNMP( 5)
网络管理信息
代理是被管对象在网络管理环境中的数值体现,被管对象的有关信息保留在代理内部,这些信息就是网络管理信息
网络管理协议
网络管理站通过 SNMP协议与代理通信,这个协议使得网络管理站可以获取代理的信息简单网络管理协议 SNMP( 6)
SNMP协议中的信息用 ASN.1来定义,称为 SMI
( Structure of Management Information),
SMI由三部分组成:模块定义、对象定义和通知定义。
模块定义用来定义网络管理信息模块,使用
MODULE-IDENTITY来定义模块的语法和语义
对象定义用来定义被管对象,使用 OBJECT-TYPE来定义对象的语法和语义
通知定义用来定义网络设施发出的事件信息,用
NOTIFICATION-TYPE来定义通知的语法和语义简单网络管理协议 SNMP( 7)
到目前为止,已经开发了三个版本的 SNMP,它们是 SNMPv1,SNMPv2和 SNMPv3
SNMPv1
最初的版本,通过 RFC1155,RFC1212,RFC1157三个文档进行定义
SNMPv2
SNMPv2在 RFC 1902到 RFC 1907中定义,RFC 1908定义了
SNMPv1和 SNMPv2共存及转换等问题
SNMPv3
SNMPv3由 RFC 2271到 RFC 2275定义,描述了 SNMPv2中所缺乏(或者讲不完善)的安全和管理方面的问题数据加密一般原理( 1)
私有性和加密
一个电子支票可以通过一些高速数学算法对数据进行变换,一般需要使用一个密钥
( key),这个过程称为加密,反之称为解密
数字签名
数字签名可以解决支票的身份鉴别、不可复制性、完整性等问题。
数据加密一般原理( 2)
传统加密体制如图所示:
数据加密一般原理( 3)
传统加密算法:
替换 (substitution)
是一种比较传统的加密算法,加密时,每一个字母都给替换成另一个字母
变换 ( transposition)
另一种传统加密算法,在这种算法中,字母并没有被替换成另一个字母,而是把字母出现的位置进行变换数据加密标准( DES)( 1)
数据加密标准( DES,Data Encryption
Standard)
美国政府于 1977年发表的,DES使用相同的算法来对数据进行加密和解密,所使用的加密密钥和解密密钥是相同的,算法的输入有
64位的明文,使用 56位的密钥,输出是 64位的密文,它使用 16轮的混合操作,目标是彻底地打乱明文的信息,使得密文的每一位都依赖于明文的每一位和密钥的每一位。
数据加密标准( DES)( 2)
DES基本架构公开密钥体制( 1)
加密密钥和解密密钥不同,而且解密密钥不能从加密密钥获得,假设明文为 P,
加密算法为 E(包括密钥),解密算法为
D(包括密钥),要求满足以下三个条件:
D(E(P))=P
从 E推导 D是极其困难的
E不能通过部分明文来解破公开密钥体制( 2)
RSA算法
选择两个大整数 p和 q,一般要求大于 10100
计算 n= p? q 和 z =(p-1)? (q-1)
选择一个与 z互素的整数,记为 d
计算满足下列条件的 e,( e? d) mod z
= 1
公开密钥体制( 3)
在进行加密时,首先可以把待加密的明文分割成一定大小的块 P,这个 P可以看成是一个整数,
要求 0? P? n,我们可以把 P的长度设为 k,
则要求 2k<n
对 P加密就是计算 C = Pe mod n;解密则为 P =
Cd mod n。可以证明在指定范围内的 P,上述等式成立。为了加密,我们需要 e和 n,为了解密,
我们需要 d和 n,这样,加密密钥(即公开密钥)
为( e,n),解密密钥(即秘密密钥)为( d,
n)
习题
10.3
10.1 网络管理基础
10.2 数据加密网络管理概述
第一个所使用的网络管理(简称网管)协议称为简单网络管理协议 (SNMP,又称 SNMP第一版或 SNMPv1)
在 80年代,由此设计了两个网络管理协议
一个称为 SNMP第二版 (简称 SNMPv2),它包含了原来的特性,这些特性目前被广泛使用,同时增加很多新特性以克服原先的 SNMP的缺陷;
第二个网管协议称为公共管理信息协议 (简称 CMIP),
它是一个组织得更好的,并且比 SNMPv1和 SNMPv2有更多特性的网管协议。
ISO网络管理模式( 1)
目前国际标准组织 ISO在网络管理的标准化上作了许多工作,它特别定义了网络管理的五个功能域
配置管理:
管理所有的网络设备,含各设备参数的配置与设备帐目的管理;
故障管理:
找出故障的位置并进行恢复;
ISO网络管理模式( 2)
性能管理:
统计网络的使用状况,根据网络的使用情况进行扩充,确定设置的规划;
安全管理:
限制非法用户窃取或修改网络中的重要数据等;
计费管理:
记录用户使用网络资源的数量,调整用户使用网络资源的配额大小和记帐收费。
配置管理
配置管理的目的
在于随时了解系统网络的拓扑结构,所交换的信息,
包括连接前静态设定的和连接后动态更新的。
配置管理调用以下功能
客体管理功能
状态管理功能
通用状态属性
状况属性
关系管理功能故障管理
故障管理的目标
自动地监测、记录网络故障并通知给用户,以便能使网络有效地运行。
故障管理包含以下几个步骤
判断故障症状
隔离该故障
修复该故障
对所有重要的子系统的故障进行修复
记录故障的监测及其结果性能管理
性能管理的目标
衡量和呈现网络性能的各个方面,使人们可在一个可接受的水平上维护网络的性能。
性能管理包含以下几个步骤
收集网络管理者感兴趣的那些变量的性能参数
分析这些数据,以判断是否处于正常水平
为每个重要的变量决定一个适合的性能门限值,超过该限值就意味着网络的故障安全管理
安全管理的目标
按照本地的指导来控制对网络资源的访问,以保证网络不被侵害(有意识或无意识的),并保证重要的信息不被未授权的用户访问 。
安全管理子系统执行以下几种功能
标识重要的网络资源(包括系统、文件和其他实体)
确定重要的网络资源和用户集间的映射关系
监视对重要网络资源的访问
记录对重要网络资源的非法访问计费管理
计费管理的目标
衡量网络的利用率,以便一个或一组用户可以更有规则地利用网络资源,这样的规则使网络故障减低到最小(因为网络资源可以根据其能力的大小而合理地分配),也可使所有用户对网络的访问更加公平。
典型的网络管理体系结构图公共管理信息协议 CMIP( 1)
CMIP是在 SNMP的基础上设计的,目的是为了克服 SNMP的缺陷,这样,CMIP变为一个复杂的、
庞大的网络管理协议,SNMP有 5个 PDU,而 CMIP
有 11个 PDU。
CMIP也是采用面向对象的技术,这是一种真正的面向对象技术,一个对象不仅仅有数值,还有行为,而 SNMP则只有数值属性。
公共管理信息协议 CMIP( 2)
优点
其灵活性和强大的功能,对象由于有行为,它可以更好地体现被管理网络设施的特性
克服了 SNMPv1的很多缺陷,比如安全性
由于不仅政府提供资助,而且很多大公司也提供资助,这样不仅可以得到充足的经费,而且一旦推出马上可以获得大量地用户:政府和大公司
缺点
CMIP的实现需要大量的资源简单网络管理协议 SNMP( 1)
SNMP的设计思想(十分简单):
它通过 SNMP的 PDU(协议数据单元 )来与被管理的对象交换信息,这些对象有对象所特有的属性和值。
SNMP共有五种 PDU
其中两个用来读取数据,两个用来设置数据,
还有一个用来监视网络上发生的事件,如网络故障报警信息等等简单网络管理协议 SNMP( 2)
优点
最大优点是它的简单性,所以容易设立、容易编程,而且对网络不会造成很大压力
另一个优点是当前已经被广泛使用
另一个好处是它的扩充性
缺点
一个缺点是安全性,为网络黑客的入侵提供了方便之门简单网络管理协议 SNMP( 3)
SNMP网络管理模型简单网络管理协议 SNMP( 4)
SNMP采用简化的面向对象的方法来实现对网络设施的管理,SNMP管理模型由以下四个部分组成
被管对象
被管设施可以是一个网桥、路由器、网络打印机、
TCP连接、路由端口状态等等
网络管理站
网络管理站向网络管理员提供了对网络的管理界面,
所有网络管理功能都在网络管理站上得到体现简单网络管理协议 SNMP( 5)
网络管理信息
代理是被管对象在网络管理环境中的数值体现,被管对象的有关信息保留在代理内部,这些信息就是网络管理信息
网络管理协议
网络管理站通过 SNMP协议与代理通信,这个协议使得网络管理站可以获取代理的信息简单网络管理协议 SNMP( 6)
SNMP协议中的信息用 ASN.1来定义,称为 SMI
( Structure of Management Information),
SMI由三部分组成:模块定义、对象定义和通知定义。
模块定义用来定义网络管理信息模块,使用
MODULE-IDENTITY来定义模块的语法和语义
对象定义用来定义被管对象,使用 OBJECT-TYPE来定义对象的语法和语义
通知定义用来定义网络设施发出的事件信息,用
NOTIFICATION-TYPE来定义通知的语法和语义简单网络管理协议 SNMP( 7)
到目前为止,已经开发了三个版本的 SNMP,它们是 SNMPv1,SNMPv2和 SNMPv3
SNMPv1
最初的版本,通过 RFC1155,RFC1212,RFC1157三个文档进行定义
SNMPv2
SNMPv2在 RFC 1902到 RFC 1907中定义,RFC 1908定义了
SNMPv1和 SNMPv2共存及转换等问题
SNMPv3
SNMPv3由 RFC 2271到 RFC 2275定义,描述了 SNMPv2中所缺乏(或者讲不完善)的安全和管理方面的问题数据加密一般原理( 1)
私有性和加密
一个电子支票可以通过一些高速数学算法对数据进行变换,一般需要使用一个密钥
( key),这个过程称为加密,反之称为解密
数字签名
数字签名可以解决支票的身份鉴别、不可复制性、完整性等问题。
数据加密一般原理( 2)
传统加密体制如图所示:
数据加密一般原理( 3)
传统加密算法:
替换 (substitution)
是一种比较传统的加密算法,加密时,每一个字母都给替换成另一个字母
变换 ( transposition)
另一种传统加密算法,在这种算法中,字母并没有被替换成另一个字母,而是把字母出现的位置进行变换数据加密标准( DES)( 1)
数据加密标准( DES,Data Encryption
Standard)
美国政府于 1977年发表的,DES使用相同的算法来对数据进行加密和解密,所使用的加密密钥和解密密钥是相同的,算法的输入有
64位的明文,使用 56位的密钥,输出是 64位的密文,它使用 16轮的混合操作,目标是彻底地打乱明文的信息,使得密文的每一位都依赖于明文的每一位和密钥的每一位。
数据加密标准( DES)( 2)
DES基本架构公开密钥体制( 1)
加密密钥和解密密钥不同,而且解密密钥不能从加密密钥获得,假设明文为 P,
加密算法为 E(包括密钥),解密算法为
D(包括密钥),要求满足以下三个条件:
D(E(P))=P
从 E推导 D是极其困难的
E不能通过部分明文来解破公开密钥体制( 2)
RSA算法
选择两个大整数 p和 q,一般要求大于 10100
计算 n= p? q 和 z =(p-1)? (q-1)
选择一个与 z互素的整数,记为 d
计算满足下列条件的 e,( e? d) mod z
= 1
公开密钥体制( 3)
在进行加密时,首先可以把待加密的明文分割成一定大小的块 P,这个 P可以看成是一个整数,
要求 0? P? n,我们可以把 P的长度设为 k,
则要求 2k<n
对 P加密就是计算 C = Pe mod n;解密则为 P =
Cd mod n。可以证明在指定范围内的 P,上述等式成立。为了加密,我们需要 e和 n,为了解密,
我们需要 d和 n,这样,加密密钥(即公开密钥)
为( e,n),解密密钥(即秘密密钥)为( d,
n)
习题
10.3