計算機(jī)通信與網(wǎng)絡(luò)第10章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全技術(shù)

計算機(jī)通信與網(wǎng)絡(luò)

ComputerCommunications&Networks第八章網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全南京郵電大學(xué)計算機(jī)學(xué)院“計算機(jī)通信與網(wǎng)絡(luò)”國家精品課程組網(wǎng)絡(luò)管理8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要

8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對網(wǎng)絡(luò)資源進(jìn)行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網(wǎng)絡(luò)的一些需求，如實時運(yùn)行性能，服務(wù)質(zhì)量等。網(wǎng)絡(luò)管理常簡稱為網(wǎng)管。我們可以看到，網(wǎng)絡(luò)管理并不是指對網(wǎng)絡(luò)進(jìn)行行政上的管理。8.1網(wǎng)絡(luò)管理的基本概念一、網(wǎng)絡(luò)管理的發(fā)展及邏輯結(jié)構(gòu)1、網(wǎng)絡(luò)管理方法的演變?nèi)斯し稚⒐芾恚盒实?，易出差錯。計算機(jī)化集中管理：引入計算機(jī)技術(shù)，實現(xiàn)網(wǎng)絡(luò)信息的自動采集、集中和管理，提高了管理效率和可靠性。8.1網(wǎng)絡(luò)管理的基本概念2、網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu)被管對象：抽象的網(wǎng)絡(luò)資源管理進(jìn)程：主要由軟件模塊構(gòu)成，對網(wǎng)絡(luò)中的對象進(jìn)行全面的管理和控制管理協(xié)議：負(fù)責(zé)在管理系統(tǒng)與被管對象之間傳送操作命令和解釋操作命令8.1網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理功能按作用可分為三部分操作：包括運(yùn)行狀態(tài)顯示、操作控制、告警、統(tǒng)計、計費(fèi)數(shù)據(jù)的收集與存儲、安全控制等管理：包括網(wǎng)絡(luò)配置、軟件管理、計費(fèi)和賬單生成、服務(wù)分配、數(shù)據(jù)收集、網(wǎng)絡(luò)數(shù)據(jù)報告、性能分析、支持工具及人員、資產(chǎn)、規(guī)劃管理等維護(hù)：包括網(wǎng)絡(luò)測試、故障告警、統(tǒng)計報告、故障定位、服務(wù)恢復(fù)、網(wǎng)絡(luò)測試工具等因此，網(wǎng)管系統(tǒng)也可稱網(wǎng)絡(luò)的操作管理和維護(hù)系統(tǒng)8.1網(wǎng)絡(luò)管理的基本概念3、Internet網(wǎng)絡(luò)管理邏輯模型網(wǎng)絡(luò)元素：抽象的被管網(wǎng)絡(luò)資源管理代理：管理操作的執(zhí)行機(jī)構(gòu)外部代理：管理進(jìn)程和被管設(shè)備之間的協(xié)議翻譯代理8.1網(wǎng)絡(luò)管理的基本概念二、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化基于ISO的OSI參考模型的標(biāo)準(zhǔn)：公共管理信息協(xié)議(CMIP，CommonManagementInformationProtocol)簡化網(wǎng)絡(luò)管理協(xié)議(SNMP，SimpleNetworkManagementProtocol)基于TCP/IP的公共管理(CMOT)協(xié)議8.1網(wǎng)絡(luò)管理的基本概念基于ISO的OSI參考模型的標(biāo)準(zhǔn)：X.700系列建議M.3000電信管理網(wǎng)（TMN）系列建議

8.1網(wǎng)絡(luò)管理的基本概念

8.2網(wǎng)絡(luò)管理的主要功能8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.2網(wǎng)絡(luò)管理的主要功能

1、配置管理

ConfigurationManagement初始化網(wǎng)絡(luò)，配置網(wǎng)絡(luò)，以提供網(wǎng)絡(luò)服務(wù)。目的是實現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)。設(shè)置系統(tǒng)中有關(guān)路由操作的參數(shù)對被管對象或被管對象組名字的管理初始化或關(guān)閉被管對象根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)有關(guān)信息獲取系統(tǒng)重要變化的信息更改系統(tǒng)的配置8.2網(wǎng)絡(luò)管理的主要功能2、性能管理PerformanceManagement對網(wǎng)絡(luò)性能、資源利用率及有關(guān)通信活動進(jìn)行分析，以幫助網(wǎng)絡(luò)管理人員評價網(wǎng)絡(luò)資源及相關(guān)通信活動的情況和效率。有效的性能管理能優(yōu)化網(wǎng)絡(luò)的性能，最大限度地滿足不同層次用戶對網(wǎng)絡(luò)的需求。8.2網(wǎng)絡(luò)管理的主要功能性能管理的典型功能收集統(tǒng)計信息維護(hù)并檢查系統(tǒng)狀態(tài)日志確定自然和人工狀態(tài)下系統(tǒng)的性能改變系統(tǒng)操作模式以進(jìn)行系統(tǒng)性能管理的操作8.2網(wǎng)絡(luò)管理的主要功能3、故障管理FaultManagement網(wǎng)絡(luò)管理最基本的功能，主要對網(wǎng)絡(luò)設(shè)備和服務(wù)器故障進(jìn)行檢測、診斷，故障排除、維修及報告。硬件故障：故障診斷程序、故障診斷設(shè)備，或人工查錯。軟件故障：人工分析，邏輯分析儀電纜故障：測試軟件、人工測試8.2網(wǎng)絡(luò)管理的主要功能4、計費(fèi)管理AccountManagement記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價。可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價，以及已使用的資源。計費(fèi)管理是對網(wǎng)絡(luò)資源和通信資源的使用進(jìn)行計費(fèi)，對用戶的訪問活動建立詳細(xì)記錄。計費(fèi)系統(tǒng)還具有安全管理功能。8.2網(wǎng)絡(luò)管理的主要功能5、安全管理SecurityManagement網(wǎng)絡(luò)中的主要安全問題網(wǎng)絡(luò)數(shù)據(jù)的私有性網(wǎng)絡(luò)訪問授權(quán)訪問控制網(wǎng)絡(luò)安全管理的任務(wù)保護(hù)網(wǎng)絡(luò)上的信息不被泄露和修改限制沒有授權(quán)的用戶和具有破壞作用的用戶對網(wǎng)絡(luò)的訪問控制合法用戶只能訪問自己訪問權(quán)限內(nèi)資源8.2網(wǎng)絡(luò)管理的主要功能網(wǎng)絡(luò)管理五大功能的關(guān)系網(wǎng)絡(luò)管理業(yè)務(wù)功能上雖然分為五個方面，但這五個方面是互相影響的。性能管理與配置管理有關(guān)性能管理與故障管理有關(guān)故障管理與安全管理有關(guān)安全管理與計費(fèi)管理有關(guān)

8.1網(wǎng)絡(luò)管理的基本概念8.2網(wǎng)絡(luò)管理的主要功能

8.3網(wǎng)絡(luò)管理協(xié)議內(nèi)容綱要8.3網(wǎng)絡(luò)管理協(xié)議一、網(wǎng)絡(luò)管理協(xié)議的產(chǎn)生和發(fā)展在網(wǎng)絡(luò)管理中，一般采用管理者－代理模型。如果各個廠商提供的管理者和代理之間的通信方式各不相同，將會大大影響網(wǎng)絡(luò)管理系統(tǒng)的通用性，影響不同廠商的設(shè)備之間的互連。因此需要制定一個管理者和代理之間通信的標(biāo)準(zhǔn)，這就是網(wǎng)絡(luò)管理協(xié)議。8.3網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議是一個通信標(biāo)準(zhǔn)，簡稱為網(wǎng)管協(xié)議。需要注意的是，不是網(wǎng)管協(xié)議本身來管理網(wǎng)絡(luò)。網(wǎng)管協(xié)議就是管理程序和代理程序之間進(jìn)行通信的規(guī)則。網(wǎng)絡(luò)管理員利用網(wǎng)管協(xié)議通過管理站對網(wǎng)絡(luò)中的被管設(shè)備進(jìn)行管理。

8.3網(wǎng)絡(luò)管理協(xié)議管理程序和代理程序按客戶-服務(wù)器方式工作。管理程序運(yùn)行客戶程序，向某個代理程序發(fā)出請求（或命令），代理程序運(yùn)行服務(wù)器程序，返回響應(yīng)（或執(zhí)行某個動作）。在網(wǎng)管系統(tǒng)中往往是一個（或少數(shù)幾個）客戶程序與很多的服務(wù)器程序進(jìn)行交互。8.3網(wǎng)絡(luò)管理協(xié)議主要的網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議主要有三種：基于OSI參考模型的公共管理信息服務(wù)和公共管理信息協(xié)議（CMIS/CMIP）?；赥CP/IP體系的簡單網(wǎng)絡(luò)管理協(xié)議SNMP?；赥CP/IP體系的CMIP8.3網(wǎng)絡(luò)管理協(xié)議二、公共管理信息協(xié)議為了保證異構(gòu)型網(wǎng)絡(luò)設(shè)備之間可以互相交換管理信息，ISO制定了兩個管理信息通信的標(biāo)準(zhǔn)：ISO9595ITU-TX.710公共管理信息服務(wù)(CMIS)和ISO9596ITU-TX.711公共管理信息協(xié)議(CMIP)。8.3網(wǎng)絡(luò)管理協(xié)議1、管理信息的通信在ISO的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中，應(yīng)用層中與網(wǎng)絡(luò)管理應(yīng)用有關(guān)的實體稱為系統(tǒng)管理應(yīng)用實體(SAME)，它主要由以下三個關(guān)鍵元素組成:聯(lián)系控制服務(wù)元素(ACSE)：負(fù)責(zé)建立和拆除兩個系統(tǒng)之間應(yīng)用層的通信聯(lián)系。遠(yuǎn)程操作服務(wù)元素(ROSE)：負(fù)責(zé)建立和釋放應(yīng)用層的連接。公共管理信息服務(wù)元素(CMISE)：負(fù)責(zé)網(wǎng)絡(luò)管理信息在網(wǎng)絡(luò)管理實體之間的邏輯通信?；贑MISE的管理信息通信的層次結(jié)構(gòu)8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議2、公共管理信息服務(wù)元素CMISE主要用于控制網(wǎng)絡(luò)管理系統(tǒng)中網(wǎng)絡(luò)管理實體間有關(guān)管理信息的交換。CMISE的定義分為接口和協(xié)議兩部分。接口用于指定提供的服務(wù)，協(xié)議用于指定協(xié)議數(shù)據(jù)單元(PDU)的格式和相關(guān)過程。CMISE提供七類服務(wù)：8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議3、公共管理信息協(xié)議CMIP是ISO制定的網(wǎng)絡(luò)管理協(xié)議(即ISO9596/ITU-TX.711)。它所支持的服務(wù)正是CMISE的各種服務(wù)。協(xié)議數(shù)據(jù)單元(PDU)的語法和語義是按照ASN.1規(guī)則定義的。CMIP是一個相當(dāng)復(fù)雜和詳細(xì)的網(wǎng)絡(luò)管理協(xié)議，其功能結(jié)構(gòu)如下頁圖所示：8.3網(wǎng)絡(luò)管理協(xié)議8.3網(wǎng)絡(luò)管理協(xié)議三、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）1、SNMP協(xié)議SNMP是適用于互聯(lián)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理框架，首先考慮的是TCP/IP協(xié)議集?，F(xiàn)在也已經(jīng)在其他協(xié)議棧上運(yùn)行，但只是在沒有TCP/IP協(xié)議棧時才這樣。SNMP采用管理進(jìn)程－代理進(jìn)程模型，管理協(xié)議在應(yīng)用層上運(yùn)行。SNMPv1是非常成功的，它在簡單化、靈活性和擴(kuò)展性等方面達(dá)到理想的平衡。8.3網(wǎng)絡(luò)管理協(xié)議SNMP的功能結(jié)構(gòu)：8.3網(wǎng)絡(luò)管理協(xié)議SNMP的指導(dǎo)思想SNMP最重要的指導(dǎo)思想就是盡可能簡單。SNMP的基本功能包括監(jiān)視網(wǎng)絡(luò)性能、檢測分析網(wǎng)絡(luò)差錯和配置網(wǎng)絡(luò)設(shè)備等。在網(wǎng)絡(luò)正常工作時，SNMP可實現(xiàn)統(tǒng)計、配置、和測試等功能。當(dāng)網(wǎng)絡(luò)出故障時，可實現(xiàn)各種差錯檢測和恢復(fù)功能。SNMP是在TCP/IP基礎(chǔ)上的網(wǎng)絡(luò)管理協(xié)議，但也可擴(kuò)展到其他類型網(wǎng)絡(luò)設(shè)備上。SNMP的特點(diǎn)和組成SNMP是用標(biāo)準(zhǔn)化方法定義的，增加了框架的靈活性和可擴(kuò)展性。SNMPv1是基于Internet標(biāo)準(zhǔn)，其中定義了3個主要部件：管理信息結(jié)構(gòu)（SMI）：描述管理信息的標(biāo)準(zhǔn)符號。管理信息庫（MIB）：包含待管理的各種變量。MIB定義的通用化格式支持對每一個新的待管理服務(wù)定義其特定的MIB組，使廠家有標(biāo)準(zhǔn)方法以定義其專用的管理對象。管理協(xié)議，也稱SNMP。SNMP的典型配置SNMPUDPIP管理進(jìn)程網(wǎng)絡(luò)接口網(wǎng)絡(luò)管理員MIB管理站路由器SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)因特網(wǎng)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口TCPFTP等用戶進(jìn)程主機(jī)SNMPUDPIP代理進(jìn)程網(wǎng)絡(luò)接口8.3網(wǎng)絡(luò)管理協(xié)議SNMP的管理站和委托代理整個系統(tǒng)必須有一個管理站。管理進(jìn)程和代理進(jìn)程利用SNMP報文進(jìn)行通信，而SNMP報文又使用UDP來傳送。若網(wǎng)絡(luò)元素使用的不是SNMP而是另一種網(wǎng)絡(luò)管理協(xié)議，SNMP協(xié)議就無法控制該網(wǎng)絡(luò)元素。這時可使用委托代理(proxyagent)。委托代理能提供如協(xié)議轉(zhuǎn)換和過濾操作等功能對被管對象進(jìn)行管理。8.3網(wǎng)絡(luò)管理協(xié)議管理信息庫MIB管理信息庫MIB是一個網(wǎng)絡(luò)中所有可能的被管對象的集合的數(shù)據(jù)結(jié)構(gòu)。只有在MIB中的對象才是SNMP所能夠管理的。SNMP的管理信息庫采用和域名系統(tǒng)DNS相似的樹形結(jié)構(gòu)，它的根在最上面，根沒有名字。管理信息庫的對象命名樹舉例

根iso(1)ccitt(0)joint-iso-ccitt(2)memberbody(2)dod(6)internet(1)mgmt(2)directory(1)experimental(3)private(4)enterprises(1).4.1mib-2(1).2.1system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)………………………standard(0)registrationauthority(1)identifiedorganization(3)snmpv2(6)security(5)……8.3網(wǎng)絡(luò)管理協(xié)議管理信息庫包括三部分：管理信息庫的訪問服務(wù)提供訪問管理信息庫中受管對象信息的編程接口。管理信息庫的構(gòu)造服務(wù)提供將應(yīng)用中受管資源表示成受管對象的定義手段。（面向?qū)ο蟮姆椒ǎ┕芾硇畔斓闹С址?wù)提供管理信息庫信息的永久存儲及存儲資源的管理。（采用基于結(jié)構(gòu)化查詢語言）8.3網(wǎng)絡(luò)管理協(xié)議SNMP的探詢操作探詢操作——SNMP管理進(jìn)程定時向被管理設(shè)備周期性地發(fā)送探詢信息。探詢的好處是：可使系統(tǒng)相對簡單。能限制通過網(wǎng)絡(luò)所產(chǎn)生的管理信息通信量。探詢管理協(xié)議不夠靈活，所能管理的設(shè)備數(shù)目不能太多。探詢的開銷也較大。如探詢頻繁而并未得到有用的報告，則通信線路和計算機(jī)資源就被浪費(fèi)了。8.3網(wǎng)絡(luò)管理協(xié)議陷阱(trap)SNMP不是完全的探詢協(xié)議，它允許不經(jīng)過詢問就能發(fā)送某些信息。這種信息稱為陷阱，表示它能夠捕捉“事件”。當(dāng)被管對象的代理檢測到有事件發(fā)生時，就檢查其門限值。代理只向管理進(jìn)程報告達(dá)到某些門限值的事件（即過濾）。過濾的好處是：僅在嚴(yán)重事件發(fā)生時才發(fā)送陷阱；陷阱信息很簡單且所需字節(jié)數(shù)很少。

8.3網(wǎng)絡(luò)管理協(xié)議SNMP是有效的網(wǎng)絡(luò)管理協(xié)議使用探詢（至少是周期性地）以維持對網(wǎng)絡(luò)資源的實時監(jiān)視，同時也采用陷阱機(jī)制報告特殊事件，使得SNMP成為一種有效的網(wǎng)絡(luò)管理協(xié)議。SNMP具有網(wǎng)絡(luò)管理所要求的主要管理功能。8.3網(wǎng)絡(luò)管理協(xié)議SNMP使用的端口SNMP使用無連接的UDP，因此在網(wǎng)絡(luò)上傳送SNMP報文的開銷較小。但UDP不保證可靠交付。在運(yùn)行代理程序的服務(wù)器端用熟知端口161來接收get或set報文和發(fā)送響應(yīng)報文（與熟知端口通信的客戶端使用臨時端口）。運(yùn)行管理程序的客戶端則使用熟知端口162來接收來自各代理的trap報文。8.3網(wǎng)絡(luò)管理協(xié)議SNMPv1規(guī)定了五種協(xié)議數(shù)據(jù)單元PDU（即SNMP報文），用來在管理進(jìn)程和代理之間的交換。SNMP的操作只有兩種基本的管理功能，即：(1)“讀”操作，用get報文來檢測各被管對象的狀況；(2)“寫”操作，用set報文來改變各被管對象的狀況。SNMPv1的協(xié)議數(shù)據(jù)單元類型

PDUPDU名稱用途編號0get-request用來查詢一個或多個變量的值1get-next-request允許在MIB樹上檢索下一個 變量，此操作可反復(fù)進(jìn)行

get-reponse

對

get/set報文作出響應(yīng)，并 提供差錯碼、差錯狀態(tài)等信息3set-request對一個或多個變量值進(jìn)行設(shè)置4trap 向管理進(jìn)程報告代理中發(fā)生的 事件SNMPv1的報文格式

UDP數(shù)據(jù)報IP數(shù)據(jù)報SNMP報文get/set報文IP首部UDP首部SNMPPDU版本共同體PDU類型(0~3)差錯索引差錯狀態(tài)(0~5)請求標(biāo)識符名名值值…trap首部變量綁定20字節(jié)8字節(jié)PDU類型(4)名值…企業(yè)代理的IP地址trap類型(0~6)特定代碼時間戳值名get/set首部變量綁定trap報文8.3網(wǎng)絡(luò)管理協(xié)議SNMP報文的組成版本共同體(community)SNMPPDU——由三個部分組成PDU類型get/set首部或trap首部變量綁定(variable-bindings)（變量綁定指明一個或多個變量的名和對應(yīng)的值）。

8.3網(wǎng)絡(luò)管理協(xié)議get/set首部的字段請求標(biāo)識符(requestID)差錯狀態(tài)(errorstatus)差錯索引(errorindex)8.3網(wǎng)絡(luò)管理協(xié)議trap首部的字段企業(yè)(enterprise)陷阱類型特定代碼(specific-code)時間戳(timestamp)8.3網(wǎng)絡(luò)管理協(xié)議管理信息結(jié)構(gòu)SMI

(StructureofManagementInformation)

標(biāo)準(zhǔn)指明了所有的MIB變量必須使用抽象語法記法1（ASN.1）來定義。ASN.1有兩個主要特點(diǎn)：一個是人們閱讀的文檔中使用的記法，另一個是同一信息在通信協(xié)議中使用的緊湊編碼表示。這種記法使得數(shù)據(jù)的含義不存在任何可能的二義性。8.3網(wǎng)絡(luò)管理協(xié)議“語法”實際上就是“符號串解釋方法”。局部語法用于數(shù)據(jù)在端系統(tǒng)中的存儲。傳送語法用于數(shù)據(jù)在線路上的傳輸。抽象語法是協(xié)議設(shè)計者所使用的工具，用于將設(shè)計者的思想記錄下來，便于交流和討論。計算機(jī)通信的最終目的是傳遞數(shù)據(jù)的語義。因此一個數(shù)據(jù)無論采用何種表示方式，其語義不應(yīng)改變。8.3網(wǎng)絡(luò)管理協(xié)議OSI采用兩次轉(zhuǎn)換語法的方法，即由發(fā)送方和接收方共同協(xié)作完成語法轉(zhuǎn)換。為此，定義了“傳送語法”(transfersyntax)。發(fā)送方把符合自己局部語法的比特串轉(zhuǎn)換為符合傳送語法的比特串，接收方再把此比特串轉(zhuǎn)換為符合自己局部語法的比特串。在采用這種標(biāo)準(zhǔn)的傳送語法時，不僅要傳送數(shù)據(jù)對象的“值信息”，還需要傳送關(guān)于該對象的“類型信息”。ASN.1(AbstractSyntaxNotationOne)

ASN.1是一種數(shù)據(jù)類型描述語言，具有類似于面向?qū)ο蟪绦蛟O(shè)計語言中所提供的類型機(jī)制。ASN.1可定義任意復(fù)雜結(jié)構(gòu)的數(shù)據(jù)類型，而不同的數(shù)據(jù)類型之間還可以有繼承關(guān)系。實際上到目前為止并沒有第二個抽象語法記法出現(xiàn)。因此ASN.1似應(yīng)寫為ASN。抽象語法只描述數(shù)據(jù)的結(jié)構(gòu)形式且與具體的編碼格式無關(guān)，同時也不涉及這些數(shù)據(jù)結(jié)構(gòu)在計算機(jī)內(nèi)如何存放。8.3網(wǎng)絡(luò)管理協(xié)議基本編碼規(guī)則BER(BasicEncodingRule)ISO在制訂ASN.1語言的同時也為它定義了一種標(biāo)準(zhǔn)的編碼方案，即基本編碼規(guī)則BER。BER指明了每種數(shù)據(jù)類型中每個數(shù)據(jù)的值的表示。發(fā)送端用BER編碼，可將用ASN.1所表述的報文轉(zhuǎn)換成惟一的比特序列。接收端用BER進(jìn)行解碼，得到該比特序列所表示的ASN.1報文。ASN.1的兩個標(biāo)準(zhǔn)

(1)抽象語法記法1(ASN.1)ISO8824ITU-TX.208(2)ASN.1的基本編碼規(guī)則BERISO8825ITU-TX.209ASN.1和ASN.1基本編碼規(guī)則的區(qū)別就是：ASN.1是用來定義各種應(yīng)用協(xié)議數(shù)據(jù)單元的數(shù)據(jù)類型的工具，是描述抽象語法的一種語言。ASN.1基本編碼規(guī)則用于描述各應(yīng)用協(xié)議數(shù)據(jù)單元類型所代表的數(shù)據(jù)值。8.3網(wǎng)絡(luò)管理協(xié)議抽象語法記法ASN.1的要點(diǎn)(1)標(biāo)識符（即值的名或字段名）、數(shù)據(jù)類型名和模塊名由大寫或小寫字母、數(shù)字、以及連字符組成。(2)ASN.1固有的數(shù)據(jù)類型全部由大寫字母組成。(3)用戶自定義的數(shù)據(jù)類型名和模塊名的第一個字母用大寫，后面至少要有一個非大寫字母。8.3網(wǎng)絡(luò)管理協(xié)議抽象語法記法ASN.1的要點(diǎn)(4)標(biāo)識符(identifier)的第一個字母用小寫，后面可用數(shù)字、連字符以及一些大寫字母以增加可讀性。(5)多個空格或空行都被認(rèn)為是一個空格。(6)注釋由兩個連字符(--)表示開始，由另外兩個連字符或行結(jié)束符表示結(jié)束。ASN.1把數(shù)據(jù)類型分為簡單類型和構(gòu)造類型兩種。ASN.1的部分類型分類標(biāo)記類型名稱主要特點(diǎn)簡UNIVERSAL2INTEGER取整數(shù)值單UNIVERSAL4OCTETSTRING取八位位組序列值類UNIVERSAL5NULL只取空值的型UNIVERSAL6OBJECTIDENTIFIER與信息對象相關(guān)聯(lián)的值的集合

構(gòu)UNIVERSAL16SEQUENCE取值為多個數(shù)據(jù)類型的按序組成的值造UNIVERSAL16SEQUENCE-OF取值為同一數(shù)據(jù)類型的按序組成的值類無標(biāo)記CHOICE可選擇多個數(shù)據(jù)類型中的某一個數(shù)據(jù)類型型無標(biāo)記ANY可描述事先還不知道的任何類型的任何值8.3網(wǎng)絡(luò)管理協(xié)議標(biāo)記(tab)ASN.1規(guī)定每一個數(shù)據(jù)類型應(yīng)當(dāng)有一個能夠惟一被識別的標(biāo)記，以便能無二義性地標(biāo)識各種數(shù)據(jù)類型。標(biāo)記有兩個分量，一個分量是標(biāo)記的類(class)，另一個分量是非負(fù)整數(shù)。標(biāo)記共劃分為以下的四類(class)

(1)通用類(Universal)——由ASN.1分配給所定義的最常用的一些數(shù)據(jù)類型，它與具體的應(yīng)用無關(guān)。(2)應(yīng)用類(Application-wide)——與某個特定應(yīng)用相關(guān)聯(lián)的類型（被其他標(biāo)準(zhǔn)所定義）。(3)上下文類(Context-specific)——上下文所定義的類型，它屬于一個應(yīng)用的子集。(4)專用類(Private)——保留為一些廠家所定義的類型，在ASN.1標(biāo)準(zhǔn)中未定義。ASN.1的基本編碼規(guī)則

TLV方法進(jìn)行編碼——把各種數(shù)據(jù)元素表示為以下三個字段組成的八位位組序列：(1)T字段，即標(biāo)識符八位位組(identifieroctet)，用于標(biāo)識標(biāo)記。(2)L字段，即長度用八位位組(lengthoctet)，用于標(biāo)識后面V字段的長度。(3)V字段，即內(nèi)容八位位組(contentoctet)，用于標(biāo)識數(shù)據(jù)元素的值。8.3網(wǎng)絡(luò)管理協(xié)議幾點(diǎn)說明(1)編碼一律用十六進(jìn)制數(shù)來表示。(2)要特別注意在V字段中出現(xiàn)的嵌套。(3)頂級和二級結(jié)點(diǎn)合并成子標(biāo)識符。若頂級結(jié)點(diǎn)和二級結(jié)點(diǎn)的值分別為X和Y，子網(wǎng)得出的子標(biāo)識符的值為40XY。這樣就得出sysDescr在進(jìn)行編碼時的對象標(biāo)識符為.（即占兩個字符的1.3壓縮為占一個字符的43），節(jié)省了一個字符的空間。8.3網(wǎng)絡(luò)管理協(xié)議幾點(diǎn)說明(4)最后得到的用十六進(jìn)制表示的編碼如下所示：302902010004067075626C6963A01C020405AE5602020100020100300E300C06082B060102010101000500這就是作為UDP用戶數(shù)據(jù)報的數(shù)據(jù)部分的一個完整的SNMP報文。8.3網(wǎng)絡(luò)管理協(xié)議SNMPv2和SNMPv3SNMP的主要缺點(diǎn)是：(1)不能有效地傳送大塊的數(shù)據(jù)(2)不能將網(wǎng)絡(luò)管理的功能分散化(3)安全性不夠好SNMPv21996年發(fā)布IETF發(fā)布了8個SNMPv2文檔[RFC1901~1908]。但SNMPv2在安全方面的設(shè)計過分復(fù)雜，使得有些人不愿意接受它。SNMPv2增加了get-bulk-request命令，可一次從路由器的路由表中讀取許多行的信息。SNMPv2的get命令允許返回部分的變量值，這就提高了效率，減少了網(wǎng)絡(luò)上的通信量。SNMPv2增加了一個inform命令和一個管理進(jìn)程到管理進(jìn)程的MIB(manager-to-managerMIB)。使用這種inform命令可以使管理進(jìn)程之間互相傳送有關(guān)的事件信息而不需要經(jīng)過請求。這樣的信息則定義在管理進(jìn)程到管理進(jìn)程的MIB中。SNMPv2采用了分散化的管理方法。在一個網(wǎng)絡(luò)中可以有多個頂級管理站，叫做管理服務(wù)器。SNMPv31998年1月IETF發(fā)表了SNMPv3的有關(guān)文檔[RFC2271-2275]。僅隔15個月后就更新為[RFC2571-2575]。SNMPv3最大的改進(jìn)就是安全特性。也就是說，只有被授權(quán)的人員才有資格執(zhí)行網(wǎng)絡(luò)管理的功能（如關(guān)閉某一條鏈路）和讀取有關(guān)網(wǎng)絡(luò)管理的信息（如讀取一個配置文件的內(nèi)容）。網(wǎng)絡(luò)安全內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證訪問控制虛擬專用網(wǎng)高層安全1、計算機(jī)網(wǎng)絡(luò)安全性的威脅因素2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)3、安全服務(wù)與安全機(jī)制網(wǎng)絡(luò)安全概述計算機(jī)網(wǎng)絡(luò)上的通信面臨以下四種威脅：(1)截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。(2)中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。(3)篡改——故意篡改網(wǎng)絡(luò)上傳送的報文。(4)偽造——偽造信息在網(wǎng)絡(luò)上傳送。截獲信息的攻擊稱為被動攻擊，更改信息和拒絕用戶使用資源攻擊稱為主動攻擊。網(wǎng)絡(luò)安全概述1、計算機(jī)網(wǎng)絡(luò)安全性的威脅因素網(wǎng)絡(luò)安全概述1、計算機(jī)網(wǎng)絡(luò)安全性的威脅因素對網(wǎng)絡(luò)的被動攻擊和主動攻擊截獲篡改偽造中斷被動攻擊主動攻擊目的站源站源站源站源站目的站目的站目的站在被動攻擊中，攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。主動攻擊是指攻擊者對某個連接中通過的PDU進(jìn)行各種處理。更改報文流拒絕報文服務(wù)偽造連接初始化

網(wǎng)絡(luò)安全概述1、計算機(jī)網(wǎng)絡(luò)安全性的威脅因素對網(wǎng)絡(luò)的被動攻擊和主動攻擊可靠性——可靠性主要表現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面，是網(wǎng)絡(luò)系統(tǒng)安全的最基本要求之一?？捎眯浴捎眯灾饕脕砗饬烤W(wǎng)絡(luò)系統(tǒng)面向用戶的安全性能。可用性還要求網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用，并且當(dāng)網(wǎng)絡(luò)部分受損或需要降級使用時仍能為授權(quán)用戶提供有效服務(wù)。網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)可用性還應(yīng)包括一下功能：身份識別、確認(rèn)以及訪問控制功能業(yè)務(wù)流控制功能。路由選擇控制功能審計跟蹤功能網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)保密性保密性要求網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用。常用的保密手段主要有兩種：物理保密信息加密網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)完整性 完整性要求網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變。網(wǎng)絡(luò)信息在存儲及傳輸過程中要保持不變，不能被偶然或蓄意地進(jìn)行刪除、修改、偽造、亂序、重放、插入等操作，防止網(wǎng)絡(luò)信息被破壞或丟失。網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)保障網(wǎng)絡(luò)信息完整性的主要方法有：協(xié)議檢錯及糾錯編碼數(shù)字簽名公證網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)不可抵賴性 不可抵賴性即不可否認(rèn)性。在網(wǎng)絡(luò)系統(tǒng)的信息交互過程中，所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。不可抵賴性通過相關(guān)的算法實現(xiàn)，利用信息源證據(jù)可以防止發(fā)信方否認(rèn)已發(fā)送信息的行為；利用遞交接收證據(jù)可以防止收信方事后否認(rèn)已經(jīng)接收的信息。網(wǎng)絡(luò)安全概述2、計算機(jī)網(wǎng)絡(luò)安全的目標(biāo)安全服務(wù)ISO7498-2描述了五種可選的安全服務(wù)：身份鑒別服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)不可否認(rèn)性服務(wù)網(wǎng)絡(luò)安全概述3、安全服務(wù)與安全機(jī)制安全機(jī)制與上述安全服務(wù)相關(guān)的安全機(jī)制有八種：加密機(jī)制訪問控制機(jī)制數(shù)字簽名機(jī)制數(shù)據(jù)完整性機(jī)制網(wǎng)絡(luò)安全概述3、安全服務(wù)與安全機(jī)制身份鑒別機(jī)制數(shù)據(jù)流填充機(jī)制路由控制機(jī)制公證機(jī)制內(nèi)容綱要

網(wǎng)絡(luò)安全概述

數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證訪問控制虛擬專用網(wǎng)高層安全網(wǎng)絡(luò)安全概述一般的數(shù)據(jù)加密模型1、對稱密鑰密碼系統(tǒng)2、非對稱密鑰密碼系統(tǒng)數(shù)據(jù)加密技術(shù)所謂對稱密鑰密碼系統(tǒng)，即加密密鑰與解密密鑰是相同的密碼體制。這種加密系統(tǒng)又稱為對稱密鑰系統(tǒng)。1、對稱密鑰密碼系統(tǒng)對稱密鑰密碼系統(tǒng)概念數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)序列碼體制是將明文X看成是連續(xù)的比特流(或字符流)x1x2…，并且用密鑰序列Kk1k2…中的第i個元素ki對明文中的xi進(jìn)行加密，即1、對稱密鑰密碼系統(tǒng)

序列密碼體制EK(X)=Ek1(x1)Ek2(x2)…它將明文劃分成固定的n比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進(jìn)行一系列的線性或非線性的變化而得到密文——分組密碼。分組密碼算法的一個重要特點(diǎn)就是：當(dāng)給定一個密鑰后，若明文分組相同，那么所變換出密文分組也相同。分組密碼的一個重要優(yōu)點(diǎn)是不需要同步

1、對稱密鑰密碼系統(tǒng)分組密碼數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組密碼。在加密前，先對整個明文進(jìn)行分組。每一個組長為64bit。然后對每一個64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64bit密文數(shù)據(jù)。最后將各組密文串接起來，即得出整個的密文。使用的密鑰為64bit（實際密鑰長度為56bit，有8bit用于奇偶校驗)。1、對稱密鑰密碼系統(tǒng)數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密標(biāo)準(zhǔn)DES1、對稱密鑰密碼系統(tǒng)

DES加密算法的實現(xiàn)過程數(shù)據(jù)加密技術(shù)DES

的保密性僅取決于對密鑰的保密，而算法是公開的。至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界第一個公認(rèn)的實用密碼算法標(biāo)準(zhǔn)。目前較為嚴(yán)重的問題是DES的密鑰的長度。已經(jīng)設(shè)計出來搜索DES密鑰的專用芯片。

1、對稱密鑰密碼系統(tǒng)

DES的保密性數(shù)據(jù)加密技術(shù)公開密鑰密碼體制使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計算上是不可行的”密碼體制。公開密鑰密碼體制的產(chǎn)生主要是因為兩個方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求。現(xiàn)有三種公開密鑰密碼體制，其中最著名的是RSA體制，它基于數(shù)論中大數(shù)分解問題的體制2、非對稱密鑰密碼系統(tǒng)公開密鑰密碼體制的特點(diǎn)數(shù)據(jù)加密技術(shù)在公開密鑰密碼體制中，加密密鑰(即公開密鑰)PK是公開信息，而解密密鑰(即秘密密鑰)SK是需要保密的。加密算法

E和解密算法

D也是公開的。雖然秘密密鑰SK是由公開密鑰PK決定的，但卻不能根據(jù)PK計算出SK。2、非對稱密鑰密碼系統(tǒng)加密密鑰與解密密鑰數(shù)據(jù)加密技術(shù)任何加密方法的安全性取決于密鑰的長度，以及攻破密文所需的計算量。公開密鑰密碼體制并不具有比傳統(tǒng)加密體制更加優(yōu)越之處。由于目前公開密鑰加密算法的開銷較大，在可見的將來還看不出來要放棄傳統(tǒng)的加密方法。公開密鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時更為簡單。2、非對稱密鑰密碼系統(tǒng)公開密鑰密碼體制與傳統(tǒng)加密體制數(shù)據(jù)加密技術(shù)(1)發(fā)送者用加密密鑰PK對明文X加密后，在接收者用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK(EPK(X))X解密密鑰是接收者專用的秘密密鑰，對其他人都保密。此外，加密和解密的運(yùn)算可以對調(diào)，即EPK(DSK(X))X2、非對稱密鑰密碼系統(tǒng)公開密鑰算法的特點(diǎn)數(shù)據(jù)加密技術(shù)(2)加密密鑰是公開的，但不能用它來解密，即DPK(EPK(X))X(3)在計算機(jī)上可容易地產(chǎn)生成對的PK和SK。(4)從已知的PK實際上不可能推導(dǎo)出SK，即從PK到SK是“計算上不可能的”。(5)加密和解密算法都是公開的。2、非對稱密鑰密碼系統(tǒng)公開密鑰算法的特點(diǎn)數(shù)據(jù)加密技術(shù)RSA公開密鑰密碼體制所根據(jù)的原理是：根據(jù)數(shù)論，尋求兩個大素數(shù)比較簡單，而將它們的乘積分解開則極其困難。每個用戶有兩個密鑰：加密密鑰PK

{e,n}和解密密鑰SK

{d,n}。2、非對稱密鑰密碼系統(tǒng)

RSA公開密鑰密碼體制數(shù)據(jù)加密技術(shù)用戶把加密密鑰公開，使得系統(tǒng)中任何其他用戶都可使用，而對解密密鑰中的d則保密。N為兩個大素數(shù)p和q之積（素數(shù)p和q一般為100位以上的十進(jìn)數(shù)），e和d滿足一定的關(guān)系。當(dāng)敵手已知e和n時并不能求出d。數(shù)據(jù)加密技術(shù)

RSA公開密鑰密碼體制2、非對稱密鑰密碼系統(tǒng)若用整數(shù)X表示明文，用整數(shù)Y表示密文（X和Y均小于n），則加密和解密運(yùn)算為：加密：YXemodn

解密：XYdmodn

數(shù)據(jù)加密技術(shù)

RSA——（1）加密算法2、非對稱密鑰密碼系統(tǒng)①計算n。用戶秘密地選擇兩個大素數(shù)p和q，計算出n

pq。n稱為RSA算法的模數(shù)。明文必須能夠用小于n的數(shù)來表示。實際上n是幾百比特長的數(shù)。②計算(n)。用戶再計算出n的歐拉函數(shù)(n)(p

1)(q

1)

(n)定義為不超過n并與n互素的數(shù)的個數(shù)。③選擇e。用戶從[0,(n)1]中選擇一個與(n)互素的數(shù)e作為公開的加密指數(shù)。數(shù)據(jù)加密技術(shù)

RSA——（2）密鑰的產(chǎn)生2、非對稱密鑰密碼系統(tǒng)④計算d。用戶計算出滿足下式的ded

1mod(n)

作為解密指數(shù)。⑤得出所需要的公開密鑰和秘密密鑰：公開密鑰（即加密密鑰）PK

{e,n}秘密密鑰（即解密密鑰）SK

{d,n}數(shù)據(jù)加密技術(shù)

RSA——（2）密鑰的產(chǎn)生2、非對稱密鑰密碼系統(tǒng)設(shè)選擇了兩個素數(shù)，p

7,q

11。計算出n

pq

71177。計算出(n)(p

1)(q

1)60。從[0,59]中選擇一個與60互素的數(shù)e。選e

53。然后根據(jù):53d

1mod60解出d。不難得出，d

17,因為ed

5317901156011mod60。于是，公開密鑰PK(e,n){53,77},秘密密鑰SK{17,77}。數(shù)據(jù)加密技術(shù)

RSA——正確性的例子說明

2、非對稱密鑰密碼系統(tǒng)對明文進(jìn)行加密。先把明文劃分為分組，使每個明文分組的二進(jìn)制值不超過n,即不超過77。設(shè)明文X8。用公開密鑰加密時，先計算Xe(mod77)853(mod77)50。這就是對應(yīng)于明文8的密文Y的值。在用秘密密鑰SK{17,77}進(jìn)行解密時，先計算Yd(mod77)5017(mod77)8。此余數(shù)即解密后應(yīng)得出的明文X。數(shù)據(jù)加密技術(shù)

RSA——正確性的例子說明

2、非對稱密鑰密碼系統(tǒng)內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)

用戶身份認(rèn)證訪問控制虛擬專用網(wǎng)高層安全用戶身份認(rèn)證身份認(rèn)證(Authentication)是建立安全通信的前提條件。用戶身份認(rèn)證是通信參與方在進(jìn)行數(shù)據(jù)交換前的身份鑒定過程，以確定通信的參與方有無合法的身份。身份認(rèn)證協(xié)議是一種特殊的通信協(xié)議，它定義了參與認(rèn)證服務(wù)的通信方在身份認(rèn)證的過程中需要交換的所有消息的格式、語義和產(chǎn)生的次序，常采用加密機(jī)制來保證消息的完整性、保密性。用戶身份認(rèn)證假設(shè)在A和B之間有一個共享的秘密密鑰KAB，當(dāng)A要求與B進(jìn)行通信時，可采用如下方法：1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證(1)A向B發(fā)送自己的身份標(biāo)識。(2)B收到A的身份標(biāo)識后，為了證實確實是A發(fā)出的，于是選擇一個隨機(jī)的大數(shù)RB用明文發(fā)給A。(3)A收到RB后用共享的秘密密鑰KAB對RB進(jìn)行加密，然后將密文發(fā)回給B；B收到密文后就能確信對方是A，因為除此以外無人知道密鑰KAB。(4)此時A尚無法確定對方是否為B，所以A也選擇一個隨機(jī)大數(shù)RA，用明文發(fā)給B。(5)B收到后用KAB對RA進(jìn)行加密，然后將密文發(fā)回給A，A收到密文后也確信對方就是B；至此用戶認(rèn)證完畢。1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證上述認(rèn)證過程如圖所示：1、基于共享秘密密鑰的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于公開密鑰算法的用戶認(rèn)證的典型過程如下圖所示：2、基于公開密鑰算法的用戶認(rèn)證協(xié)議用戶身份認(rèn)證A選擇一個隨機(jī)數(shù)RA，用B的公開密鑰EB對A的標(biāo)識符和RA進(jìn)行加密，將密文發(fā)給B。為了確定密文確實來自A，B解開密文后選擇一個隨機(jī)數(shù)RB和一個會話密鑰KS，用A的公開密鑰EA對RA、RB和KS進(jìn)行加密，將密文發(fā)回給A。A解開密文，只要其中的RA是本方剛才發(fā)給B的，則該密文一定發(fā)自B，且這是一個最新的報文而不是一個復(fù)制品。此后A再用KS對RB進(jìn)行加密表示確認(rèn)；B解開密文即可確定這一定是A發(fā)來的（因為其他人無法知道KS和RB）。2、基于公開密鑰算法的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于密鑰分發(fā)中心(KDC，KeyDistributionCenter)用戶認(rèn)證的必要條件是KDC的權(quán)威性和安全性要有保障，并為網(wǎng)絡(luò)用戶所信任。每個用戶和KDC之間都有一個共享的秘密密鑰，系統(tǒng)中所有的用戶認(rèn)證工作、針對各用戶的秘密密鑰和會話密鑰的管理都必須通過KDC來進(jìn)行。3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證基于密鑰分發(fā)中心的用戶認(rèn)證過程如下圖所示：3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證A用戶要求與B用戶進(jìn)行通信，A可選擇一個會話密鑰KS，然后用與KDC共享的密鑰KA對B的標(biāo)識和KS進(jìn)行加密，并將密文和A的標(biāo)識一起發(fā)給KDC；KDC收到后，用與A共享的密鑰KA將密文解開，此時KDC可以確信數(shù)據(jù)是A發(fā)來的。KDC重新構(gòu)造一個報文，放入A的標(biāo)識和會話密鑰KS，并用與B共享的密鑰KB加密報文，將密文發(fā)給B；B用密鑰KB將密文解開，此時B可以確信這是KDC發(fā)來的，并且獲知了A希望用KS與它進(jìn)行會話。3、基于密鑰分發(fā)中心的用戶認(rèn)證協(xié)議用戶身份認(rèn)證數(shù)字簽名是通信雙方在網(wǎng)上交換信息時采用公開密鑰法對所收發(fā)的信息進(jìn)行確認(rèn)，以此來防止偽造和欺騙的一種身份認(rèn)證方法。數(shù)字簽名系統(tǒng)的基本功能有：接收方通過文件中附加的發(fā)送方的簽名信息能認(rèn)證發(fā)送方的身份；發(fā)送方無法否認(rèn)曾經(jīng)發(fā)送過的簽名文件：接收方不可能偽造接收到的文件的內(nèi)容。4、數(shù)字簽名用戶身份認(rèn)證使用公開密鑰算法的數(shù)字簽名，其加密算法和解密算法除了要滿足D[E(P)]=P外，還必須滿足E[D(P)]=P，即加密過程和解密過程是可逆的。RSA算法就具有這樣的特性。使用公開密鑰算法的數(shù)字簽名的過程如下頁圖所示：4、數(shù)字簽名用戶身份認(rèn)證基于公開密鑰算法的數(shù)字簽名過程4、數(shù)字簽名用戶身份認(rèn)證當(dāng)A要向B發(fā)送簽名的報文P時，由于A知道自己的私鑰DA和B的公鑰EB，它先用私鑰DA對明文P進(jìn)行簽字，即DSKA(P)，然后用B的公鑰EB對DSKA(P)加密，向B發(fā)送EPKB[DSKA(P)]。B收到A發(fā)送的密文后，先用私鑰DSKB解開密文，將DSKA(P)復(fù)制一份放在安全的場所，然后用A的公鑰EPKA將DSKA(P)解開，取出明文P。4、數(shù)字簽名用戶身份認(rèn)證上述算法符合數(shù)字簽名系統(tǒng)的基本功能要求：A不可否認(rèn)當(dāng)A發(fā)送過簽名的報文后試圖否認(rèn)給B發(fā)過P時，B可以出示DSKA(P)作為證據(jù)。因為B沒有A的私鑰DSKA，除非A確實發(fā)過DSKA(P)，否則B是不會有這樣一份密文的。通過第三方(公證機(jī)構(gòu))，只要用A的公鑰：EPKA解開DSKA(P)，就可以判斷A是否發(fā)送過簽名文件，證實B說的是否是真話。4、數(shù)字簽名用戶身份認(rèn)證上述算法符合數(shù)字簽名系統(tǒng)的基本功能要求：B不可偽造如B將P偽造為P’，則B不可能在第三方的面前出示DSKA(P’)，這證明了B偽造了P。4、數(shù)字簽名用戶身份認(rèn)證5、報文摘要使用一個單向的哈希(Hash)函數(shù)，對任意長度的明文進(jìn)行計算，生成一個固定長度的比特串，然后僅對該比特串進(jìn)行加密。這樣的處理方法通常稱為報文摘要(MD，MessageDigests)，常用的算法有MD5和SHA(SourceHashAlgorithm)。用戶身份認(rèn)證5、報文摘要報文摘要必須滿足以下三個條件：給定明文P，很容易計算出MD(P)。給出MD(P)，很難反推出明文P。任何人不可能產(chǎn)生出具有相同報文摘要的兩個不同的報文。用戶身份認(rèn)證5、報文摘要在公開密鑰密碼系統(tǒng)中，使用報文摘要進(jìn)行數(shù)字簽名的過程是：A首先對明文P計算出MD(P)，再用私鑰SKA對MD(P)進(jìn)行數(shù)字簽名，連同P一起發(fā)送給B。B先備份密文DSKA[MD(P)]，然后用A的公鑰PKA解開密文，取出MD(P)。B對收到的報文P進(jìn)行摘要計算，若結(jié)果和A送來的MD(P)相同，則P可信，否則說明P在傳輸過程中被篡改過。當(dāng)A試圖否認(rèn)發(fā)送過P時，B可向仲裁方出示P和DA[MD(P)]來證明自己確實收到過P。內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證

訪問控制虛擬專用網(wǎng)高層安全訪問控制1、訪問控制基本原理在計算機(jī)系統(tǒng)中設(shè)立安全機(jī)制的最初目的就是為了控制用戶對系統(tǒng)資源的訪問，稱為授權(quán)(Authorization)。訪問控制有兩種不同類型：自主訪問控制(DAC，DiscretionaryAccessControl)強(qiáng)制訪問控制(MAC，MandatoryAccessControl)。訪問控制1、訪問控制基本原理訪問控制的具體實現(xiàn)方法訪問控制表訪問控制表(ACL，AccessControlList)是一種傳統(tǒng)的授權(quán)控制機(jī)制，用稀疏矩陣表示，以客體為索引。每個客體對應(yīng)有個ACL，指出每個主體可對其實施的操作。這種方法便于客體的訪問控制，但不利于主體訪問權(quán)限的維護(hù)，因為若要調(diào)整一個主體的訪問權(quán)限，必須要各個ACL中去搜索。訪問控制1、訪問控制基本原理訪問控制的具體實現(xiàn)方法權(quán)力表權(quán)力表也是一種稀疏矩陣表示法，但是以主體為索引，包含了每個主體可訪問的對象和操作權(quán)限，按列來處理矩陣，由引用監(jiān)控器驗證訪問表提供的權(quán)力表和訪問者的身份來確定是否授予訪問者相應(yīng)的操作權(quán)限。這種方法的優(yōu)缺點(diǎn)正好和ACL相反，在分布式系統(tǒng)中，可允許主體只進(jìn)行一次授權(quán)就可獲得它的權(quán)力表，而不必在會話期間不斷地對各個分布的系統(tǒng)進(jìn)行授權(quán)申請和處理。防火墻是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。1、防火墻(firewall)防火墻防火墻內(nèi)的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”(trustednetwork)，而將外部的因特網(wǎng)稱為“不可信賴的網(wǎng)絡(luò)”(untrustednetwork)。防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。1、防火墻(firewall)防火墻1、防火墻(firewall)防火墻防火墻在互連網(wǎng)絡(luò)中的位置G內(nèi)聯(lián)網(wǎng)可信賴的網(wǎng)絡(luò)不可信賴的網(wǎng)絡(luò)分組過濾路由器

R分組過濾路由器

R應(yīng)用網(wǎng)關(guān)外局域網(wǎng)內(nèi)局域網(wǎng)防火墻因特網(wǎng)內(nèi)部網(wǎng)防火墻的功能有兩個：阻止和允許?！白柚埂本褪亲柚鼓撤N類型的通信量通過防火墻(從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來)“允許”的功能與“阻止”恰好相反。防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。1、防火墻(firewall)防火墻防火墻的功能IP級防火墻——多基于報文過濾(PacketFilter)技術(shù)實現(xiàn)。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

應(yīng)用級防火墻——從應(yīng)用程序來進(jìn)行接入控制。通常又稱為代理(Proxy)防火墻，是通過分別連接內(nèi)外部網(wǎng)絡(luò)的代理主機(jī)實現(xiàn)防火墻的功能1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

鏈路級防火墻——工作原理和組成結(jié)構(gòu)和應(yīng)用級防火墻類似，但它并不針對專門的應(yīng)用協(xié)議，而是一種通用的TCP(或UDP)的連接中繼服務(wù)，并在此基礎(chǔ)上實現(xiàn)防火墻的功能。1、防火墻(firewall)防火墻防火墻技術(shù)一般分為三類

內(nèi)容綱要

網(wǎng)絡(luò)安全概述數(shù)據(jù)加密技術(shù)用戶身份認(rèn)證

訪問控制

虛擬專用網(wǎng)高層安全虛擬專用網(wǎng)什么是虛擬專用網(wǎng)虛擬專用網(wǎng)(VPN，VirtualPrivacyNetwork)是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(尤其是Internet)連接而成的邏輯上的虛擬子網(wǎng)。簡言之，它是一種建立在開放性網(wǎng)絡(luò)平臺上的專有網(wǎng)絡(luò)。VPN的定義允許一個給定的站點(diǎn)是一個或者多個VPN的一部分，即VPN可以是交疊的。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防信息被泄露、篡改和復(fù)制。虛擬專用網(wǎng)什么是虛擬專用網(wǎng)VPN分為直接模式和隧道模式。直接模式VPN使用IP和編址來建立對VPN上傳輸?shù)臄?shù)據(jù)的直接控制，對數(shù)據(jù)加密；采用基于用戶身份的鑒別，而不是基于IP地址的。隧道模式使用IP幀作為隧道發(fā)送分組。大多數(shù)VPN都運(yùn)行在IP骨干網(wǎng)上，數(shù)據(jù)加密通常有三種方法：使用具有加密功能的防火墻、使用帶有加密功能的路由器和使用單獨(dú)的加密設(shè)備。虛擬專用網(wǎng)什么是虛擬專用網(wǎng)目前，在七層OSI參考模型層次結(jié)構(gòu)的基礎(chǔ)上，主要有下列幾種隧道協(xié)議用于構(gòu)建VPN：點(diǎn)到點(diǎn)隧道協(xié)議(PPTP，Point-to-PointTunnelingProtocol)；第二層隧道協(xié)議(L2TP，Layer2TunnelProtocol)；IP安全協(xié)議(IPSec，IPSecurityProtocol)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)在第二層上可以支持封裝IP協(xié)議及非IP協(xié)議(如IPX、AppleTalk等)。PPTP的工作原理是：網(wǎng)絡(luò)協(xié)議將待發(fā)送的數(shù)據(jù)加上協(xié)議特定的控制信息組成數(shù)據(jù)報(DataPacket)進(jìn)行交換。PPTP的工作對于用戶來說是透明的，用戶關(guān)心的只是需要傳送的數(shù)據(jù)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議PPTP的工作方式是在TCP/IP數(shù)據(jù)報中封裝原始分組，例如包括控制信息在內(nèi)的整個IPX分組都將成為TCP/IP數(shù)據(jù)報中的“數(shù)據(jù)”區(qū)，然后通過因特網(wǎng)進(jìn)行傳輸；另一端的軟件分析收到的數(shù)據(jù)報，去除增加的PPTP控制信息，將其還原成IPX分組并發(fā)送給IPX協(xié)議進(jìn)行常規(guī)處理。這一處理過程稱為隧道(Tunneling)。虛擬專用網(wǎng)1、點(diǎn)到點(diǎn)隧道協(xié)議使用PPTP對于原有的網(wǎng)絡(luò)安全性并沒有大的影響，因為原有LAN的廣泛的例行安全檢查可以照樣進(jìn)行?？蛻舳讼到y(tǒng)除了最底層通信接口模塊外，通常不需要其他特殊軟、硬件，可以提供平臺獨(dú)立性。另外，PPTP還可以通過對原始分組的壓縮、數(shù)據(jù)加密等手段來保證網(wǎng)絡(luò)通信的安全性。虛擬專用網(wǎng)2、第二層隧道協(xié)議第二層隧道協(xié)議(L2TP)工作原理虛擬專用網(wǎng)2、第二層隧道協(xié)議第二層隧道協(xié)議(L2TP)工作過程客戶端(SOHO或移動用戶)撥號到本地因特網(wǎng)服務(wù)運(yùn)行商(ISP)的L2TP接入集中器的局端(POP，PointofPresence)，通過IP網(wǎng)的L2TP隧道連到L2TP網(wǎng)絡(luò)服務(wù)器、遠(yuǎn)程鑒別用戶撥入服務(wù)(RADIUS，RemoteAuthenticationDialInUserService)服務(wù)器上。RADIUS是一個維護(hù)用戶配置文件的數(shù)據(jù)庫，用來鑒定用戶，包括口令和訪問優(yōu)先權(quán)。代理RADIUS功能允許在Internet服務(wù)提供者(ISP)的接入點(diǎn)(POP)設(shè)備上接入客戶的RADIUS服務(wù)器，獲得必要的用戶配置文件信息。虛擬專用網(wǎng)3、IP安全協(xié)議什么是IP安全協(xié)議(IPSec)Internet工程任務(wù)組標(biāo)準(zhǔn)化的IP安全協(xié)議(IPSec，IPsecurityProtocol)是簡化的端到端安全協(xié)議所具有的特定的安全機(jī)制。它在第三層執(zhí)行對稱或非對稱加密，Layer3VPN在IP中封裝了IP(IPoverIP)，并提供鑒別和檢錯?？稍贗PSec網(wǎng)絡(luò)服務(wù)器上建立IPSec隧道，其工作原理如圖所示：虛擬專用網(wǎng)3、IP安全協(xié)議IP安全協(xié)議的工作原理虛擬專用網(wǎng)3、IP安全協(xié)議IP安全協(xié)議(IPSec)使用兩種機(jī)制保證通信安全頭部鑒別(AH，AuthenticationHeader)：提供認(rèn)證和數(shù)據(jù)完整性；封裝安全凈負(fù)荷(ESP，EncapsulationSecurityPayload)：實現(xiàn)保密通信。虛擬專用網(wǎng)3、IP安全協(xié)議IPSec是一種對IP數(shù)據(jù)包進(jìn)行加密和鑒別的技術(shù)，因此必須有密鑰的管理和交換功能。在用IPSec建立安全傳輸通路前，通信雙方需要事先協(xié)商所要采用的安全策略，包括加密算法、密鑰、密鑰生存期等。協(xié)商完畢才表示雙方已建立了一個安全關(guān)聯(lián)(SA，SecurityAssociation)，已確定了IPSec要執(zhí)行的處理。虛擬專用網(wǎng)3、IP安全協(xié)議IPSec協(xié)議分三個部分：封裝安全凈負(fù)荷(ESP，EncapstllationSecurityPayload)鑒別報頭(AH，AuthenticationHeader)Internet密鑰交換(IKE，InternetKeyExchange)虛擬專用網(wǎng)3、IP安全協(xié)議ESP協(xié)議主要用來處理對IP數(shù)據(jù)包的加密，并對鑒別提供某種程度的支持。AH只涉及鑒別，不涉及加密，它除了對IP的有效負(fù)載進(jìn)行鑒別外，還可對IP報頭實施鑒別。IKE協(xié)議主要是對密鑰交換進(jìn)行管理。IPSec的封裝安全凈載荷(ESP)允許選擇數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)或三重DES(3DES)作為密鑰交換時的加密方法，這兩種標(biāo)準(zhǔn)都提供了嚴(yán)格的保密性及強(qiáng)大的驗證功能。虛擬專用網(wǎng)3、IP安全協(xié)議IP安全性的優(yōu)點(diǎn)是它的透明性，即安全服務(wù)不需要對應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動。標(biāo)準(zhǔn)的IPSECVPN的智能包認(rèn)證技術(shù)能保護(hù)隧道免受許多電子欺騙的攻擊，還具備各廠商產(chǎn)品互操作的能力。IPSec的主要缺點(diǎn)是僅支持IP，IP層對屬于不同進(jìn)程的包不作區(qū)別。IP層非常適合提供基于主機(jī)的安全服務(wù)，相應(yīng)的安全協(xié)議可用來建立安全的IP通道和虛擬專用網(wǎng)。高層安全由于IP網(wǎng)的“盡力而為”理念，TCP/IP協(xié)議非常簡潔，沒有加密、身份認(rèn)證等安全特性，因此需要在TCP之上建立一個安全通信層次以便向上層應(yīng)用提供安全通信的機(jī)制。高層安全1、傳輸層安全傳輸層網(wǎng)關(guān)在兩個通信節(jié)點(diǎn)之間代為傳遞TCP連接并進(jìn)行控制，這個層次一般稱作傳輸層安全。常見的傳輸層安全技術(shù)有：安全套接層(SSL)協(xié)議SOCKS安全RPC等。高層安全1、傳輸層安全SSL結(jié)構(gòu)分為兩個層次：SSL協(xié)商子層(上層)和SSL記錄子層(下層)，如圖所示：高層安全1