網(wǎng)絡(luò)安全理論與技術(shù)10-網(wǎng)絡(luò)安全與管理

第10章網(wǎng)絡(luò)安全與管理隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大和網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的到來(lái)，維護(hù)網(wǎng)絡(luò)的可靠運(yùn)行和保障通信信息的安全越來(lái)越受到人們的重視。第10.1～10.5節(jié)介紹網(wǎng)絡(luò)安全技術(shù)，包括對(duì)稱密鑰密碼體制與DES算法、公開(kāi)密鑰密碼體制與RSA算法、數(shù)字簽名和報(bào)文摘要、Internet各層網(wǎng)絡(luò)安全技術(shù)以及防火墻技術(shù)。第10.6～10.9節(jié)介紹網(wǎng)絡(luò)管理技術(shù)，主要針對(duì)廣泛使用的SNMP網(wǎng)絡(luò)管理系統(tǒng)，它涉及3個(gè)規(guī)范：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）、管理信息結(jié)構(gòu)（SMI）和管理信息庫(kù)（MIB）。10.1網(wǎng)絡(luò)安全概述10.1.1網(wǎng)絡(luò)安全的重要性（1）網(wǎng)絡(luò)經(jīng)濟(jì)業(yè)務(wù)容易引入惡意攻擊；（2）攻擊者很容易進(jìn)入開(kāi)放的Internet；（3）網(wǎng)絡(luò)安全服務(wù)是Internet一個(gè)薄弱環(huán)節(jié)：①一般協(xié)議都沒(méi)有提供數(shù)據(jù)源的認(rèn)證；②沒(méi)有為數(shù)據(jù)提供強(qiáng)有力的完整性保護(hù)；③沒(méi)有為數(shù)據(jù)提供加密性保護(hù)；④還存在著針對(duì)網(wǎng)絡(luò)協(xié)議的其他攻擊，如拒絕服務(wù)攻擊（denial-of-serviceattack）、重放攻擊（replayattack）等。10.1.2網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全服務(wù)1．網(wǎng)絡(luò)攻擊①截取（interception），通過(guò)監(jiān)控網(wǎng)絡(luò)或搭線竊聽(tīng)等手段截取網(wǎng)上傳輸?shù)男畔ⅲ@是對(duì)訪問(wèn)控制的攻擊。②篡改（Modification），截獲傳輸?shù)男畔⒉⒋鄹钠鋬?nèi)容后再進(jìn)行傳輸，這嚴(yán)重破壞了數(shù)據(jù)的完整性。③偽造（fabrication），攻擊者假冒合法用戶偽造信息在網(wǎng)上傳送。④中斷（interruption），使系統(tǒng)中斷，不正常工作甚至癱瘓。2．網(wǎng)絡(luò)安全結(jié)構(gòu)

ISO7498-2網(wǎng)絡(luò)安全結(jié)構(gòu)（SecurityArchitecture，SA）：①身份認(rèn)證（authentication）②訪問(wèn)控制（accesscontrol③數(shù)據(jù)保密（dataconfidentiality）④數(shù)據(jù)完整（dataintegrity）⑤不可否認(rèn)（nonrepudiation）10.2兩種密碼體制10.2.1密碼學(xué)基礎(chǔ)1．相關(guān)術(shù)語(yǔ)①密碼學(xué)（cryptology）：包括密碼編碼學(xué)（cryptography）和密碼分析學(xué)（cryptanalysis）②明文（plaintext）和密文（ciphertext）③加密（encryption）和解密（decryption）④密鑰（key）2．早期的密碼體制

（1）替換密碼（substitutioncipher）

timebombwillblowupatfivezoskhushcorrhrucavgzloyk（2）變位密碼（transpositioncipher）

tmbaeiwiolpebluvmwofiblt3．現(xiàn)代密碼體制①對(duì)稱密鑰密碼體制（symmetrickeycryptography）②公開(kāi)密鑰密碼體制（publickeycryptography）4．Kerckoff原則加密和解密算法是公開(kāi)的，而密鑰是保密的。

5．窮舉攻擊和計(jì)算上不可破譯窮舉攻擊（exhausiveattack）:通過(guò)搜索整個(gè)密鑰空間破譯密鑰。實(shí)用的密碼體制一般都是計(jì)算上不可破譯的，而不是理論上不可破譯的。10.2.2對(duì)稱密鑰密碼體制與DES算法1．對(duì)稱密鑰密碼體制

解密時(shí)使用的解密密鑰和加密時(shí)使用的加密密鑰是通信雙方共享的同一密鑰，稱為共享密鑰（sharedkey）。C=EK（P）P=DK（C）DK（EK（P））=P

圖10.1對(duì)稱密鑰密碼體制2．?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)（DES）

塊密碼（blockcipher）算法，明文被分成

64比特的塊，逐塊進(jìn)行加密。密鑰長(zhǎng)64比特，有效長(zhǎng)度是56比特，種子密鑰還要生成16個(gè)48比特的密鑰在加密過(guò)程中使用。圖10.2DES加密算法

（1）初始置換（InitialPermutation，IP）

IP（P）將P的排列順序變換，打亂其ASCII碼字劃分的關(guān)系。圖10.3-1初始置換

（2）16次迭代加密

Li

=Ri－1

Ri

=Li－1⊕f（Ri－1，Ki）（3）左右交換將L16R16左右交換，得R16L16。（4）逆置換IP-1圖10.3-2逆置換

DES的解密過(guò)程和加密過(guò)程使用的算法相同，輸入密文C，但以逆順序生成16個(gè)密鑰，即K16K15…K1，輸出將是明文P。DES算法主要使用異或、置換、查表、循環(huán)移位等初級(jí)運(yùn)算，硬件和軟件運(yùn)算都很快，可以用于大量數(shù)據(jù)的加密。

3．DES的發(fā)展（1）DES-CBC

DES實(shí)際上就是一種長(zhǎng)度為64比特的塊替代，工作在電子代碼本（ElectronicCodeBook，ECB）模式。它有一個(gè)明顯缺點(diǎn)：相同的明文塊生成相同的密文塊。DES-CBC（DESCipherBlockChaining）在塊之間引入了關(guān)聯(lián)性，相同的明文塊則生成不同的密文塊。圖10.4DES-CBC加密解密過(guò)程（2）三重DES

DES的另一個(gè)問(wèn)題是密鑰的長(zhǎng)度較短。三重DES（TripleDES）加密算法使用兩個(gè)密鑰，長(zhǎng)度為112比特。加密：C=EK1（DK2（EK1（P）））解密：P=DK1（EK2（DK1（C）））4．對(duì)稱密鑰密碼體制的其他加密算法國(guó)際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）：使用128比特的密鑰。Rijndael算法：使用128～256比特的密鑰。10.2.3公開(kāi)密鑰密碼體制與RSA算法1．公開(kāi)密鑰密碼體制使用一對(duì)不相同的加密密鑰與解密密鑰，也稱為非對(duì)稱密鑰密碼體制。

加解密算法：公鑰（PublicKey，PK）私鑰（PrivateKey）DSK（EPK（P））＝P圖10.5公開(kāi)密鑰密碼體制公開(kāi)密鑰密碼體制加密和解密使用不同的密鑰，有以下特點(diǎn)：①加密密鑰是公開(kāi)的，但不能解密，即：

DPK（EPK（P））≠P；②解密密鑰是接收者專用的秘密密鑰，對(duì)其他人必須保密；③加密和解密算法都是公開(kāi)的；④加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK（DSK（P））＝P；⑤從PK推導(dǎo)出SK在計(jì)算上是不可能的。2．RSA算法（1）RSA算法說(shuō)明①密鑰加密密鑰：PK={e，n}解密密鑰：SK={d，n}②密鑰生成方法計(jì)算n，秘密地選擇兩個(gè)大素?cái)?shù)p和q，計(jì)算：

n

=

pq計(jì)算歐拉函數(shù)φ（n）：

φ（n）=（p－1）（q－1）選擇e，從［0，φ(n)－1］中選擇一個(gè)與φ(n)

互素的數(shù)e；計(jì)算d，計(jì)算出滿足下式的d作為解密指數(shù)：

e×d

=1modφ(n)得出公共密鑰PK和秘密密鑰SK：PK＝{e，n}，

SK＝{d，n}。③加密和解密運(yùn)算：

加密：C=Pemodn

解密：P=Cd

modn

（2）RSA算法示例①先生成密鑰：選擇兩個(gè)素?cái)?shù)，設(shè)為p=3，q=11，計(jì)算出n=pq=3×11=33；計(jì)算φ(n)=(p－1)（q－1）=2×10=20；從［0，φ(n)－1］=［0，19］中選擇一個(gè)與20互素的數(shù)e，選e=7；根據(jù)式（10.5），有7d＝1mod20，解出d=3；于是得出密鑰：PK＝{e，n}={7，33}，SK＝{d，n}={3，33}。②加密和解密:將明文劃分為一個(gè)個(gè)分組，使得每個(gè)明文分組的二進(jìn)制值不超過(guò)n，即不超過(guò)33。設(shè)明文的一個(gè)分組為P=9。用公開(kāi)密鑰PK={7，33}加密，C=15。用秘密密鑰SK＝{3，33}解密，P=9。（3）實(shí)用中的密鑰長(zhǎng)度對(duì)于當(dāng)前的計(jì)算機(jī)水平，只要選擇1024比特

長(zhǎng)的密鑰就可以認(rèn)為是計(jì)算上無(wú)法破譯的。3．應(yīng)用場(chǎng)合

對(duì)稱密碼體制如DES算法主要使用一些初級(jí)運(yùn)算，硬件和軟件運(yùn)算都很快，常常用于大量數(shù)據(jù)的加密。公鑰密碼體制如RSA算法涉及大整數(shù)指數(shù)運(yùn)算，計(jì)算量非常大，加密、解密速度慢，很少用于大量數(shù)據(jù)的加密，而廣泛用于密鑰分發(fā)。公鑰密碼體制有私鑰和公鑰兩個(gè)密鑰，更容易實(shí)現(xiàn)數(shù)字簽名。10.3數(shù)字簽名和報(bào)文摘要10.3.1數(shù)字簽名

（digitalsignature）

1．?dāng)?shù)字簽名的特點(diǎn)①報(bào)文認(rèn)證，即接收者能夠核實(shí)報(bào)文確實(shí)是由發(fā)送者簽發(fā)；②報(bào)文完整性，即報(bào)文無(wú)法被中途竊取者和接收者所篡改、偽造；③不可否認(rèn)，即發(fā)送者事后無(wú)法否認(rèn)是他簽發(fā)的報(bào)文。2．基于公開(kāi)密鑰算法的數(shù)字簽名3．加密的數(shù)字簽名圖10.6采用公開(kāi)密鑰算法的數(shù)字簽名10.3.2報(bào)文摘要1．報(bào)文摘要產(chǎn)生的背景2．報(bào)文摘要及其特點(diǎn)

報(bào)文摘要是由發(fā)送的整個(gè)報(bào)文映射的一個(gè)短的位串。是一種單向的散列函數(shù)（one-wayHashfunction），對(duì)于輸入的一個(gè)可變長(zhǎng)度的位串P，輸出長(zhǎng)度固定的位串MD（P），一般是128～512比特。報(bào)文經(jīng)過(guò)散列運(yùn)算可以看成是沒(méi)有密鑰運(yùn)算的加密處理。

報(bào)文摘要算法應(yīng)具備如下特點(diǎn)：①給定一個(gè)報(bào)文P，容易計(jì)算MD（P），但反過(guò)來(lái)，給定一個(gè)報(bào)文摘要X，想由X找到一個(gè)P使得MD（P）=X，在計(jì)算上是不可行的；②若想找到任意兩個(gè)報(bào)文P和P’，使得MD（P）=MD（P’），在計(jì)算上也是不可行的。因此，一個(gè)明文報(bào)文P的報(bào)文摘要MD（P）可以充分地代表P。3．使用報(bào)文摘要的數(shù)字簽名

報(bào)文認(rèn)證碼（MessageAuthenticationCode，MAC）：MAC=DSK-A（MD（P））圖10.7使用報(bào)文摘要的數(shù)字簽名

使用報(bào)文摘要的數(shù)字簽名:對(duì)MD（P）進(jìn)行了數(shù)字簽名，因?yàn)镸D（P）能充分地代表P，所以對(duì)P來(lái)說(shuō)，同樣也起到了數(shù)字簽名安全性的3個(gè)作用，然而它帶來(lái)一個(gè)很大的優(yōu)點(diǎn)，僅對(duì)短的報(bào)文摘要MD（P）而不是對(duì)整個(gè)報(bào)文P進(jìn)行數(shù)字簽名，可以大大節(jié)省處理時(shí)間。4．MD5和SHA-1MD5：128比特的MAC。安全散列算法（SecureHashAlgorithm，

SHA）：MAC為160比特，新版本是SHA-1。10.4Internet網(wǎng)絡(luò)安全技術(shù)

10.4.1網(wǎng)絡(luò)層安全技術(shù)IP安全（IPSecurity，IPSec）：①安全協(xié)議，包括認(rèn)證首部（AuthenticationHeader，AH）和封裝安全載荷（EncapsulatingSecurityPayload，ESP）；②安全關(guān)聯(lián)（SecurityAssociation，SA）；③密鑰交換（InternetKeyExchange，IKE）；④認(rèn)證和加密算法。1．安全協(xié)議AH和ESP（1）AH和ESP提供的安全服務(wù)AH提供IP數(shù)據(jù)報(bào)的源站認(rèn)證和數(shù)據(jù)報(bào)完整性檢驗(yàn)，但不提供數(shù)據(jù)報(bào)加密。封裝安全載荷（ESP）實(shí)現(xiàn)IP數(shù)據(jù)報(bào)的源站認(rèn)證和數(shù)據(jù)報(bào)完整性檢驗(yàn)，還可以實(shí)現(xiàn)數(shù)據(jù)報(bào)的加密。（2）AH和ESP格式圖10.8AH和ESP格式（3）IPsec應(yīng)用模式①傳輸模式（transportmode）圖10.9傳輸模式中的AH和ESP②隧道模式（tunnelmode）

IPinIP形式圖10.10隧道模式中的AH和ESP2．安全關(guān)聯(lián)（SA）SA是通信對(duì)等方之間對(duì)安全要素的一種協(xié)定，指定進(jìn)行安全通信的參數(shù)。安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD中存儲(chǔ)SA的參數(shù)：①序號(hào)計(jì)數(shù)器，用于生成AH/ESP首部中的序號(hào)；②AH認(rèn)證算法和所需的密鑰；③ESP認(rèn)證算法和所需的密鑰；④ESP加密算法、密鑰、初始向量（IV）；⑤IPSec協(xié)議操作模式（傳輸/隧道模式）；⑥SA的生存期（TimeToLive，TTL）。3．因特網(wǎng)密鑰交換IKE

IKE是自動(dòng)進(jìn)行SA的創(chuàng)建、管理和刪除的協(xié)議。定義了通信雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享會(huì)話密鑰的方式。10.4.2傳輸層安全技術(shù)安全插口層(SecureSocketLayer，SSL)協(xié)議秘密通信技術(shù)（PrivateCommunicationTechnology，PCT）傳輸層安全協(xié)議（TransportLayerSecurity，

TLS）1.TLS提供的安全服務(wù)①TLS可以通過(guò)公鑰密碼技術(shù)進(jìn)行身份認(rèn)證；②TLS連接是保密性的，協(xié)商一個(gè)會(huì)話密鑰，用于數(shù)據(jù)的加密傳輸；③TLS連接是可靠的，傳輸中含有數(shù)據(jù)完整性的檢驗(yàn)碼。2.TLS工作機(jī)制TLS協(xié)議工作在傳輸層，在TCP之上，應(yīng)用層之下。對(duì)TCP的安全擴(kuò)充，但不包括UDP。TLS由兩層協(xié)議組成，上層主要是TLS握手協(xié)議，還有密碼變更規(guī)范協(xié)議和報(bào)警協(xié)議，下層是TLS記錄協(xié)議。TLS握手協(xié)議與密碼變更規(guī)范協(xié)議及報(bào)警協(xié)議用于建立安全連接，協(xié)商記錄層的安全參數(shù)，進(jìn)行身份認(rèn)證和報(bào)告錯(cuò)誤信息等。TLS記錄協(xié)議使用安全連接，封裝高層協(xié)議的數(shù)據(jù)。圖10.11TLS記錄協(xié)議的操作過(guò)程10.4.3應(yīng)用層安全技術(shù)1．安全電子郵件（1）安全電子郵件概述S/MIME（SecureMIME）PGP（PrettyGoodPrivacy）PEM（Privacy-EnhancedMail）（2）PGP應(yīng)用示例圖10.12PGP加密過(guò)程2．WWW安全標(biāo)準(zhǔn)HTTPS：基于SSL，實(shí)際上是HTTPoverSSL。目前流行的WWW服務(wù)器，NetscapeNavigator和InternetExplorer等流行的瀏覽器都支持HTTPS。SHTTP：它是HTTP的安全增強(qiáng)版本，可以對(duì)文檔進(jìn)行加密、完整性檢驗(yàn)和數(shù)字簽名等。3．通用安全服務(wù)API

通過(guò)中間件（middleware）實(shí)現(xiàn)所有的身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制等安全功能，并通過(guò)一個(gè)通用的安全服務(wù)應(yīng)用程序接口向應(yīng)用程序提供這些安全服務(wù)，使得應(yīng)用程序不作修改就可以使用不同的安全服務(wù)。通用安全服務(wù)應(yīng)用程序接口（GenericSecurityServiceAPI，GSS-API）。10.5防火墻10.5.1概述防火墻（firewall）是在一個(gè)單位的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制策略的系統(tǒng)，防止未經(jīng)授權(quán)的通信進(jìn)/出內(nèi)部網(wǎng)絡(luò)。防火墻主要使用應(yīng)用包過(guò)濾技術(shù)和代理服務(wù)技術(shù)，應(yīng)用這兩種技術(shù)以及它們的組合，可以形成各種結(jié)構(gòu)的防火墻系統(tǒng)。防火墻技術(shù)在不斷發(fā)展，向綜合技術(shù)方向發(fā)展。10.5.2防火墻技術(shù)1．包過(guò)濾技術(shù)由包過(guò)濾路由器（packetfilteringrouter）實(shí)現(xiàn)，包過(guò)濾路由器位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處，根據(jù)IP和TCP/UDP的首部進(jìn)行IP包的過(guò)濾，工作在IP層。根據(jù)某種安全政策配置IP包過(guò)濾表。允許或阻攔來(lái)自或去往某些IP地址或端口的訪問(wèn)。優(yōu)點(diǎn)是結(jié)構(gòu)和實(shí)現(xiàn)簡(jiǎn)單，但其訪問(wèn)控制只能控制到IP地址和端口級(jí)，無(wú)法做到用戶級(jí)別的身份認(rèn)證和訪問(wèn)控制。2．代理服務(wù)技術(shù)由應(yīng)用網(wǎng)關(guān)（applicationgateway）實(shí)現(xiàn)，也稱為代理服務(wù)器（proxyserver）。工作在網(wǎng)絡(luò)的應(yīng)用層，通過(guò)應(yīng)用代理服務(wù)程序?qū)?yīng)用層數(shù)據(jù)進(jìn)行安全控制和信息過(guò)濾，還有用戶級(jí)的認(rèn)證、日志、計(jì)費(fèi)等功能。應(yīng)用網(wǎng)關(guān)只能針對(duì)特定的應(yīng)用構(gòu)建，內(nèi)部網(wǎng)絡(luò)通常需要有多個(gè)應(yīng)用網(wǎng)關(guān)。優(yōu)點(diǎn)在于用戶級(jí)的身份認(rèn)證、日志記錄和賬號(hào)管理，其缺點(diǎn)是要想提供全面的安全保證，就要對(duì)每一項(xiàng)服務(wù)都要建立對(duì)應(yīng)的應(yīng)用網(wǎng)關(guān)。3．防火墻技術(shù)示例圖10.13防火墻的例子10.5.3防火墻系統(tǒng)1．防火墻系統(tǒng)的結(jié)構(gòu)①包過(guò)濾防火墻（packetfilteringfirewall）；②雙穴主機(jī)網(wǎng)關(guān)防火墻（dual-homedgatewayfirewall）；③屏蔽主機(jī)網(wǎng)關(guān)防火墻（screenedhostgatewayfirewall）；④屏蔽子網(wǎng)防火墻（screenedsubnetfirewall）。2．包過(guò)濾防火墻

圖10.14包過(guò)濾防火墻3．雙穴主機(jī)網(wǎng)關(guān)防火墻

雙穴主機(jī)，裝有兩塊網(wǎng)卡，分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。雙穴主機(jī)作為堡壘主機(jī)，運(yùn)行各種應(yīng)用代理服務(wù)程序，提供網(wǎng)絡(luò)安全控制。圖10.15雙穴主機(jī)網(wǎng)關(guān)防火墻4．屏蔽主機(jī)網(wǎng)關(guān)防火墻

內(nèi)部網(wǎng)絡(luò)通過(guò)一臺(tái)包過(guò)濾路由器連接到外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)上再設(shè)置一臺(tái)堡壘主機(jī)運(yùn)行應(yīng)用網(wǎng)關(guān)代理服務(wù)程序。包過(guò)濾路由器和堡壘主機(jī)一起構(gòu)成屏蔽主機(jī)網(wǎng)關(guān)防火墻。堡壘主機(jī)配置成外部網(wǎng)絡(luò)唯一的可訪問(wèn)點(diǎn)。

圖10.16屏蔽主機(jī)網(wǎng)關(guān)防火墻5．屏蔽子網(wǎng)防火墻

在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)獨(dú)立的周邊子網(wǎng)，使用內(nèi)部包過(guò)濾路由器和外部包過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接，周邊子網(wǎng)中設(shè)有一臺(tái)堡壘主機(jī)。在兩個(gè)包過(guò)濾路由器上都可以設(shè)置過(guò)濾規(guī)則，堡壘主機(jī)運(yùn)行應(yīng)用代理服務(wù)程序，進(jìn)行網(wǎng)絡(luò)服務(wù)代理。周邊子網(wǎng)又稱為非軍事區(qū)（DeMilitarzedZone，DMZ）。圖10.17屏蔽子網(wǎng)防火墻

DMZ可以放置提供對(duì)外公共信息的服務(wù)器，包含內(nèi)部信息的服務(wù)器應(yīng)放在內(nèi)部網(wǎng)絡(luò)。屏蔽子網(wǎng)防火墻提供了三道紡線?？缭椒阑饓Φ臄?shù)據(jù)流須經(jīng)過(guò)DMZ的外部包過(guò)濾路由器、堡壘主機(jī)和內(nèi)部包過(guò)濾路由器這三道紡線才能到達(dá)內(nèi)部網(wǎng)絡(luò)，因此有很好的安全性能。10.6網(wǎng)絡(luò)管理概述

10.6.1網(wǎng)絡(luò)管理的功能

ISO提出了網(wǎng)絡(luò)系統(tǒng)管理的5項(xiàng)功能域：①故障管理（faultmanagement）②配置管理（configurationmanagement）③性能管理（performancemanagement）④安全管理（securitymanagement）⑤計(jì)費(fèi)管理（accountingmanagement）10.6.2SNMP網(wǎng)絡(luò)管理系統(tǒng)及其組成簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）SNMP網(wǎng)絡(luò)管理系統(tǒng)包含兩類設(shè)備：網(wǎng)絡(luò)管理站和被管理的網(wǎng)絡(luò)設(shè)備。管理站運(yùn)行的軟件是管理器（manager），被管理網(wǎng)絡(luò)設(shè)備運(yùn)行的軟件稱為管理代理，簡(jiǎn)稱代理（agent）。管理器和代理之間的通信協(xié)議是SNMP，運(yùn)行于傳輸層的UDP之上。圖10.18SNMP網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)10.6.3SNMP網(wǎng)絡(luò)管理規(guī)范

SNMP網(wǎng)絡(luò)管理系統(tǒng)的規(guī)范由以下3個(gè)部分組成：①簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）；②管理信息結(jié)構(gòu)（StructureofManagementInformation，SMI）；③管理信息庫(kù)（ManagementInformationBase，MIB）。10.7簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議10.7.1SNMPv1報(bào)文及其交互方式SNMPv1報(bào)文兩種交互方式：polling和trap。表10.2SNMPv1的5種報(bào)文10.7.2SNMPv1報(bào)文格式圖10.19SNMPv1報(bào)文格式表10.3 差錯(cuò)狀態(tài)描述表10.4trap類型描述10.7.3SNMPv2和SNMPv3SNMPv2和SNMPv3對(duì)SNMPv1的不足進(jìn)行了改進(jìn)。SNMPv2的主要改進(jìn)：支持分布式網(wǎng)絡(luò)管理。當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí)，SNMPv1僅用一個(gè)管理站進(jìn)行集中式管理是不適應(yīng)的。SNMPv2可以有一個(gè)或多個(gè)頂級(jí)管理器，稱為管理服務(wù)器，它們可以直接管理網(wǎng)絡(luò)中的部分代理進(jìn)程，也可以通過(guò)中間管理進(jìn)程間接管理。中間管理進(jìn)程具有管理器和代理雙重角色。

SNMPv3的主要改進(jìn)：增強(qiáng)網(wǎng)絡(luò)管理的安全性。SNMPv1只是通過(guò)共同體字段作為管理器和代理之間的明文口令實(shí)現(xiàn)初級(jí)的安全策略。SNMPv3采用了基于用戶的安全模型（User-basedSecurityModel，USM）和基于視圖的訪問(wèn)控制模式（View-basedAccessControlModel，VACM）。10.8管理信息結(jié)構(gòu)10.10.1名稱和對(duì)象命名樹(shù)1.名稱用于標(biāo)識(shí)被管理對(duì)象，用對(duì)象標(biāo)識(shí)符(OBJECT

IDENTIFIER)命名，由授權(quán)機(jī)構(gòu)進(jìn)行管理和分配。分級(jí)結(jié)構(gòu)的命名體系，類似于DNS的域名命名樹(shù)。所有結(jié)點(diǎn)從根開(kāi)始分成若干級(jí)，同級(jí)的結(jié)點(diǎn)都用一個(gè)不同的整數(shù)編號(hào)。整數(shù)編號(hào)自高到低逐級(jí)向下用小數(shù)點(diǎn)連接排列的整數(shù)序列，稱為對(duì)象標(biāo)識(shí)符。對(duì)象標(biāo)識(shí)符還對(duì)應(yīng)一個(gè)用小數(shù)點(diǎn)連接的文字名。2．對(duì)象命名樹(shù)對(duì)象標(biāo)識(shí)符空間構(gòu)成一個(gè)對(duì)象命名樹(shù)（objectnamingtree）。每個(gè)可能的對(duì)象都可以放到樹(shù)上一個(gè)唯一的位置。對(duì)象命名樹(shù)構(gòu)成了全世界范圍內(nèi)一個(gè)全局性的可管理的結(jié)構(gòu)化的對(duì)象標(biāo)識(shí)符空間。MIB對(duì)象集合只是其中的子樹(shù)（subtree）。圖10.20對(duì)象命名樹(shù)

ifMtu:MIB被管理對(duì)象的一個(gè)例子:..1.4ernet.mgmt.erface.ifTable.ifEntry.ifMtu10.10.2語(yǔ)法語(yǔ)法用來(lái)定義對(duì)象類型的數(shù)據(jù)類型。SMI使用ASN.1來(lái)定義數(shù)據(jù)類型，也增加了一些新的定義。表10.5SMI指定的數(shù)據(jù)類型續(xù)表

10.10.3編碼

基本編碼