中文版網(wǎng)絡(luò)管理安全課件

1、中文版網(wǎng)絡(luò)管理安全中文版網(wǎng)絡(luò)管理安全2SET概述SET 參與者: 圖 7.8 ( in book) 給出了SET系統(tǒng)，包括：持卡者（Cardholder）: 在電子環(huán)境中，消費(fèi)者與公司客戶是通過網(wǎng)上的個(gè)人計(jì)算機(jī)與商家發(fā)生聯(lián)系的。 持卡者是由發(fā)卡機(jī)構(gòu)簽發(fā)的支付卡。4SET概述SET 參與者:354SET 概述商家（Merchant）: 商家是能夠售賣貨物或服務(wù)給持卡者的個(gè)人或組織。 通常，這些貨物或服務(wù)是通過Web網(wǎng)址或電子郵件提供的。能夠接受支付卡業(yè)務(wù)的商家必須與代理商具有業(yè)務(wù)聯(lián)系。發(fā)卡機(jī)構(gòu)（Issuer）: 發(fā)卡機(jī)構(gòu)是能夠?yàn)槌挚ㄈ颂峁┲赂豢ǖ慕鹑跈C(jī)構(gòu)（如銀行）。通常，帳號通過郵件或個(gè)人申請開

2、設(shè)。6SET 概述商家（Merchant）: 商家是能夠售賣貨物5SET 概述代理商（Acquirer）: 代理商是為商家建立帳戶并處理支付卡認(rèn)證與支付事務(wù)的金融機(jī)構(gòu)。 代理商的作用是幫助商家對給定卡上帳號的有效性和容許支付的信用限額進(jìn)行認(rèn)證，同時(shí)為商家提供電子轉(zhuǎn)賬支付。7SET 概述代理商（Acquirer）: 代理商是為商6SET概述支付網(wǎng)關(guān)（Payment gateway）: 支付網(wǎng)關(guān)是由代理或指定的第三方運(yùn)作的專門處理商家支付信息的功能設(shè)施。支付網(wǎng)關(guān)介于 SET 和現(xiàn)有的銀行卡支付網(wǎng)絡(luò)之間 完成認(rèn)證和支付功能。8SET概述支付網(wǎng)關(guān)（Payment gateway）: 7SET概述認(rèn)證機(jī)

3、構(gòu) (CA): 認(rèn)證機(jī)構(gòu)是一個(gè)為持卡者、商家和支付網(wǎng)關(guān)簽發(fā)X.509v3公鑰證書的可信實(shí)體。 SET 的成功很大程度上是因?yàn)?CA 基礎(chǔ)設(shè)施的存在及其發(fā)揮的重要作用。9SET概述認(rèn)證機(jī)構(gòu) (CA): 認(rèn)證機(jī)構(gòu)是一個(gè)為持卡者8雙重簽名In summary(雙重簽名的簡化概念):1, 商家受到 OI 并驗(yàn)證簽名。2, 銀行收到 PI 并驗(yàn)證簽名。3, 消費(fèi)者把 OI 和 PI 聯(lián)系起來并能夠證明這種聯(lián)系。10雙重簽名In summary(雙重簽名的簡化概念):9概述SNMP的基本概念 SNMPv1 的社區(qū)設(shè)施11概述SNMP的基本概念 10概述SNMP的基本概念 SNMPv1 的社區(qū)設(shè)施12概述S

4、NMP的基本概念 11網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)由一組網(wǎng)絡(luò)監(jiān)測與控制工具組成， 它集成了以下幾個(gè)特點(diǎn)：具有單個(gè)操作界面，擁有功能強(qiáng)大且用戶友好的命令集 以實(shí)現(xiàn)大部分身之所有的網(wǎng)絡(luò)管理任務(wù)。13網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)由一組網(wǎng)絡(luò)監(jiān)測與控制工具組成12網(wǎng)絡(luò)管理體系結(jié)構(gòu)需要最少的分立設(shè)備。也就是說，網(wǎng)絡(luò)管理所需要的大部分軟硬件被集成到現(xiàn)有的用戶設(shè)備中。14網(wǎng)絡(luò)管理體系結(jié)構(gòu)需要最少的分立設(shè)備。也就是說，網(wǎng)絡(luò)管理所13網(wǎng)絡(luò)管理體系結(jié)構(gòu)應(yīng)用于 SNMP中的網(wǎng)絡(luò)管理模型 包括以下幾個(gè)主要元素：管理站（Management station）管理代理（Management agent）管理信息庫（Mana

5、gement information base）網(wǎng)絡(luò)管理協(xié)議（Network management protocol）15網(wǎng)絡(luò)管理體系結(jié)構(gòu)應(yīng)用于 SNMP中的網(wǎng)絡(luò)管理模型 包括以14網(wǎng)絡(luò)管理體系結(jié)構(gòu) 管理站 通常是單機(jī)設(shè)備，但是也可能是實(shí)現(xiàn)功能的共享系統(tǒng)。無論在哪種情況下，管理戰(zhàn)斗充當(dāng)著網(wǎng)絡(luò)管理器和網(wǎng)絡(luò)管理系統(tǒng)之間接口的角色。16網(wǎng)絡(luò)管理體系結(jié)構(gòu) 管理站 通常是單機(jī)設(shè)備，但是也可能是實(shí)15網(wǎng)絡(luò)管理體系結(jié)構(gòu)管理代理是網(wǎng)絡(luò)管理系統(tǒng)中的另一個(gè)主動部件。 網(wǎng)絡(luò)主機(jī)、網(wǎng)橋、路由器、網(wǎng)絡(luò)集線器等一些網(wǎng)絡(luò)關(guān)鍵平臺均可以配備SNMP，從而可以通過網(wǎng)絡(luò)管理系統(tǒng)被管理站管理起來。管理代理負(fù)責(zé)應(yīng)答管理站發(fā)出的信息請

6、求和操作請求，也可以將重要信息以異步方式主動提供給管理站。17網(wǎng)絡(luò)管理體系結(jié)構(gòu)管理代理是網(wǎng)絡(luò)管理系統(tǒng)中的另一個(gè)主動部件16網(wǎng)絡(luò)管理體系結(jié)構(gòu)為了管理網(wǎng)絡(luò)中的資源， SNMP使用客體來描述每個(gè)資源。 客體的本質(zhì)是數(shù)據(jù)變量，它描述管理代理在某一方面的屬性?？腕w的集合構(gòu)成了MIB（management information base)18網(wǎng)絡(luò)管理體系結(jié)構(gòu)為了管理網(wǎng)絡(luò)中的資源， SNMP使用客體17網(wǎng)絡(luò)管理體系結(jié)構(gòu)管理站和代理通過網(wǎng)絡(luò)管理協(xié)議進(jìn)行互聯(lián). TCP/IP網(wǎng)絡(luò)管理 使用 SNMP協(xié)議。 這個(gè)協(xié)議具有以下幾個(gè)關(guān)鍵功能：Get: 管理站用來檢索代理上的客體值19網(wǎng)絡(luò)管理體系結(jié)構(gòu)管理站和代理通過網(wǎng)

7、絡(luò)管理協(xié)議進(jìn)行互聯(lián). 18網(wǎng)絡(luò)管理體系結(jié)構(gòu)Set: 管理站用來設(shè)置代理上的客體值Notify: 代理用來向管理站通知重要事件20網(wǎng)絡(luò)管理體系結(jié)構(gòu)Set: 管理站用來設(shè)置代理上的客體值19網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu) SNMP 規(guī)范于1988年發(fā)布，并迅速成為主要的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。 許多廠商都提供基于SNMP協(xié)議的單機(jī)形式的網(wǎng)絡(luò)管理工作站 ，多數(shù) 網(wǎng)橋、路由器、工作站、以及 PC機(jī)的廠商提供 SNMP 代理包， 從而使得它們的產(chǎn)品可以接受 SNMP 管理站的管理。21網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu) SNMP 規(guī)范于1988年發(fā)布，并20網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)SNMP協(xié)議的三個(gè)規(guī)范：基于TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理信息的

8、結(jié)構(gòu)與標(biāo)識 (RFC 1155): 描述在MIB中如何被定義為管理客體。 基于 TCP/IP的互聯(lián)網(wǎng)中網(wǎng)絡(luò)管理的管理信息庫: MIB-II (RFC 1213): 描述 MIB中所包含的被管客體簡單網(wǎng)絡(luò)管理協(xié)議 (RFC 1157): 定義用于管理這些客體的協(xié)議22網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)SNMP協(xié)議的三個(gè)規(guī)范：21網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)SNMP 是一個(gè)應(yīng)用層協(xié)議，它是 TCP/IP 協(xié)議簇的一部分。它使用RFC 768中定義的用戶數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol UDP）進(jìn)行操作。23網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)SNMP 是一個(gè)應(yīng)用層協(xié)議，它是 T22網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)圖 8.1

9、 (in book) 闡明了SNMP的協(xié)議文本。24網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)圖 8.1 (in book) 闡明232524網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)從管理站發(fā)出的 三種類型的消息來代表一個(gè)管理應(yīng)用程序 ：GetRequest, GetNextRequest and SetRequest. 代理用 GetResponse消息來確認(rèn)這三種消息，該消息被傳遞給管理應(yīng)用程序。26網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)從管理站發(fā)出的 三種類型的消息來代表25網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)因?yàn)?SNMP 使用無連接的 UDP協(xié)議，因此SNMP 自身也是無連接協(xié)議。 也就是說，在管理站和代理之間不用維護(hù)連接。相反，它們之間的每次數(shù)據(jù)交換都是獨(dú)

10、立的事務(wù)。27網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)因?yàn)?SNMP 使用無連接的 UDP26委托代理為了能夠管理那些沒有實(shí)現(xiàn)SNMP的設(shè)備，人們提出了委托代理的概念。在這個(gè)方案中，一個(gè) SNMP 代理可以作為一個(gè)或者更多其它設(shè)備的委托代理; 這也就是說，SNMP 代理從當(dāng)了真正被代理的設(shè)備的角色。28委托代理為了能夠管理那些沒有實(shí)現(xiàn)SNMP的設(shè)備，人們提出27委托代理圖 8.2 (p255, in book) 顯示了這種協(xié)議經(jīng)常采用的一種體系結(jié)構(gòu)。 管理站查詢相關(guān)設(shè)備信息時(shí)，它將查詢消息發(fā)送給這個(gè)設(shè)備的委托代理。委托代理將每一條查詢消息轉(zhuǎn)換為代理設(shè)備所使用的管理協(xié)議后發(fā)送給這個(gè)設(shè)備的委托代理。當(dāng)委托代理收到對查

11、詢應(yīng)答時(shí)，它會將應(yīng)答轉(zhuǎn)發(fā)給管理站。29委托代理圖 8.2 (p255, in book) 顯示283029SNMPv2SNMP 的強(qiáng)大之處在于它的簡單性。 SNMP 在工具包中提供了一組基本的網(wǎng)絡(luò)管理工具，這些工具既易于實(shí)現(xiàn)又易于配置?？墒?，隨著 用戶開始越來越依賴于 SNMP ， 而不斷地增加它的工作量來管理不斷膨脹的網(wǎng)絡(luò)，SNMP的缺陷也變得特別明顯。這些缺陷可以分為以下三類：缺少對分布式網(wǎng)絡(luò)管理的支持31SNMPv2SNMP 的強(qiáng)大之處在于它的簡單性。 SNM30SNMPv2功能不足安全性不足1993年發(fā)布的 SNMPv2解決了前兩種缺陷, 1996年又發(fā)布了修訂版。SNMPv3中解決了

12、安全性不足的問題。32SNMPv2功能不足31分布式網(wǎng)絡(luò)管理在傳統(tǒng)的集中式管理方案中，在配置中有一臺主機(jī)扮演著網(wǎng)絡(luò)管理站的角色； 除此之外，還可能會有一到兩臺主機(jī)作為備用管理站。網(wǎng)絡(luò)中的其他設(shè)備 包括代理軟件和MIB， 用于管理站進(jìn)行監(jiān)測和控制。33分布式網(wǎng)絡(luò)管理在傳統(tǒng)的集中式管理方案中，在配置中有一臺主32分布式網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò) 規(guī)模的不斷擴(kuò)大和流量的不斷增加，這種 集中式系統(tǒng)難以運(yùn)轉(zhuǎn)。因?yàn)楣芾碚境惺芰颂蟮膲毫?，而且代理設(shè)備的報(bào)告必須穿過整個(gè)網(wǎng)絡(luò)才能單打管理中心，從而造成 網(wǎng)絡(luò)流量過大。在這種環(huán)境下，采用分布式管理方式更為可行 (如圖 8.3所示).34分布式網(wǎng)絡(luò)管理隨著網(wǎng)絡(luò) 規(guī)模的不斷擴(kuò)

13、大和流量的不斷增加，333534分布式網(wǎng)絡(luò)管理SNMPv2既可支持 高度集中的網(wǎng)絡(luò)管理策略，也可以支持分布式的網(wǎng)絡(luò)管理策略。在第二種情況下，一些系統(tǒng)同時(shí)作為管理站和代理運(yùn)行。 當(dāng)作為代理時(shí)，系統(tǒng)接受上層管理系統(tǒng)的命令。其中一些命令訪問該代理的本地 MIB. 36分布式網(wǎng)絡(luò)管理SNMPv2既可支持 高度集中的網(wǎng)絡(luò)管理策35功能增強(qiáng)圖 8.1 (in book) 列出了SNMPv2協(xié)議中的新增功能。 37功能增強(qiáng)圖 8.1 (in book) 列出了SNMPv363837功能增強(qiáng)表8.1 列舉了SNMPv2協(xié)議中的新增功能。 表中的兩個(gè)協(xié)議均定義為使用 協(xié)議用戶數(shù)據(jù)單元 (PDU)通信的一組命令。

14、 在 SNMPv1中，有5中命令。SNMPv2 中除了包含 SNMPv1 中的所有命令之外還增加了兩條命令。 其中最重要的是一條 Inform 命令。 這條命令在管理站之間發(fā)生。類似于Trap命令，Inform命令中也可以包含與發(fā)送端所處環(huán)境或發(fā)生的事件相關(guān)的信息。39功能增強(qiáng)表8.1 列舉了SNMPv2協(xié)議中的新增功能。 38功能增強(qiáng)另一條新命令 GetBulk， 使用這條命令，管理器可以一次性檢索大量數(shù)據(jù)。 特別地，GetBulk 命令的設(shè)計(jì)目的是為了使用一條命令來傳輸一個(gè)完整的表格。40功能增強(qiáng)另一條新命令 GetBulk， 使用這條命令，管39概述SNMP的基本定義 SNMPv1 的社

15、區(qū)設(shè)施 41概述SNMP的基本定義 40共同體和共同體名稱 與其他分布式類似， 網(wǎng)絡(luò)管理包含多個(gè)應(yīng)用實(shí)體之間通過應(yīng)用層協(xié)議所進(jìn)行的交互。在 SNMP 網(wǎng)絡(luò)管理中， 應(yīng)用實(shí)體是指使用SNMP的管理器 應(yīng)用程序 和 代理應(yīng)用程序。42共同體和共同體名稱 與其他分布式類似， 網(wǎng)絡(luò)管理包含多個(gè)41共同體和共同體名稱我們還需要把SNMP網(wǎng)絡(luò)管理 看作是在一個(gè)代理和一組管理器之間的關(guān)系。每一個(gè)代理控制本地 MIB ，而且必須能夠支持多個(gè)管理器對 對本地 MIB的使用。 這個(gè)控制包括一下三個(gè)方面:認(rèn)證服務(wù)（Authentication service）: 代理希望只有通過認(rèn)證的管理器才能訪問 MIB 。43

16、共同體和共同體名稱我們還需要把SNMP網(wǎng)絡(luò)管理 看作是在42共同體和共同體名稱訪問策略（Access policy）: 代理希望對不同 的管理器賦予不同的訪問權(quán)限。委托代理服務(wù)（Proxy service）: 代理可以作為其他代理的委托代理。 這可能包含為委托代理系統(tǒng)中的其他代理實(shí)現(xiàn)認(rèn)證服務(wù)和（或者）訪問策略。44共同體和共同體名稱訪問策略（Access policy）43共同體和共同體名稱SNMP 共同體 是 一個(gè) SNMP 代理和 SNMP 一組管理器之間的關(guān)系，共同體定義了認(rèn)證、訪問控制和委托代理特性。代理為每個(gè)共同體定義了唯一的共同體名 (在該代理中), 共同體內(nèi)部的管理器都會被提供一

17、個(gè)共同體名， 并且必須在所有的讀取或者設(shè)置操作中使用該共同體名。45共同體和共同體名稱SNMP 共同體 是 一個(gè) SNMP 44認(rèn)證服務(wù) SNMPv1 認(rèn)證服務(wù)的目的 是向接收者保證SNMPv1 消息來自與該接受者所要求的源。SNMPv1 只提供了一個(gè)價(jià)值不高的認(rèn)證方案。 每一個(gè)管理器發(fā)送給代理的消息 (get 或者 put 請求) 都必須包含一個(gè)共同體名。這個(gè)名字作為口令，如果消息發(fā)送者知道口令則認(rèn)為消息是可信的。46認(rèn)證服務(wù) SNMPv1 認(rèn)證服務(wù)的目的 是向接收者保證S45訪問策略 通過定義共同體, 代理可以將它的 MIB 訪問限制于一組選定的管理器。通過使用多個(gè)共同體，代理能夠?yàn)椴煌?/p>

18、的管理器提供不同種類的 MIB 訪問。 訪問控制包括兩個(gè)方面：47訪問策略 通過定義共同體, 代理可以將它的 MIB 訪問46訪問策略SNMP MIB 視圖：MIB里客體的子集。對于每一個(gè)共同體代理，可以為其定義不同的 MIB 視圖。 視圖中的一組客體可以不在同一棵 MIB子樹中。SNMP 訪問模式: 集合 READ-ONLY, READ-WRITE中的一個(gè)元素。 每一個(gè)共同體都定義了一個(gè)訪問模式。48訪問策略SNMP MIB 視圖：MIB里客體的子集。對于47訪問策略 MIB 視圖 和訪問模式的組合被稱為 SNMP 共同體配置。 因此， 共同體配置由一個(gè)定義在代理中的 MIB子集 ，和對那些客體的訪問模式。49訪問策略 MIB 視圖 和訪問模式的組合被稱為 SNMP48訪問策略 共同體配置和每個(gè)代理定義的共同體相關(guān)聯(lián)。SNMP 共同體和 SNMP 配置合稱為SNMP 訪問策略。 圖 8.4 (in book) 描述了前面剛介紹的這些概念。50訪問策略 共同體配置和每個(gè)