基于SNMPv3的网络管理系统的安全性研究

基于SNMPv3的网络管理系统的安全性研究

殷卫红[1]2008年在《网络管理系统的研究与开发》文中研究表明网络管理系统是网络的重要组成部分,是保证通信网高效、可靠、经济和安全地运行的重要支撑手段。简单网络管理协议SNMP由于其简单和易于实现,己经成为网络管理领域事实上的行业标准。SNMP发展至今已经历了SNMPv1、SNMPv2及SNMPv3等叁个版本。但SNMPv1与SNMPv2在安全性方面存在着明显不足,为此,SNMPv3在其基础之上大大加强了安全性和用户管理性,提出了基于用户的安全模式(USM)和基于视图的访问控制模式(VACM)。USM用于防止信息篡改、伪装、以及滞延和重复发送。VACM则负责控制用户访问被管对象的权限。本文首先是对网络管理系统的技术背景,系统架构进行了简要的说明和归类,针对SNMPv1、SNMPv2的不足之处,将主要研究方向定在SNMPv3的安全新特性的实现,以及SNMPv3对SNMPv1和SNMPv2兼容性的实现。第二章是对网络管理的综述,主要包括网络管理的参考模型、网络管理基本要素和网络管理技的目的等基本概念,这些都是网络管理的基础,也是网络管理技术从经验型向工程型转换的基础。第叁、四章是研究本课题的主要理论依据,介绍了SNMP网络管理框架,原理以及它的安全体系,并系统分析了存在的安全漏洞以及相关的新标准,在对SNMPv3体系结构以及相应的MIB进行了系统地分析的基础上,着重研究和探讨了SNMPv1、v2、v3共存环境下,如何解决SNMP网管安全性问题,提出一种基于Proxy的解决方案,使得原有的SNMPv1,v2 Agent很方便的具有v3的安全特性,最终使得整个网络的管理的安全性得到保障。第五章提出了具有良好可扩展性的解决方案,并给出了具体关键技术的实现细节和测试结果分析。最后,关于下一步工作的方向进行了简要的讨论。

化鹏[2]2007年在《SNMP协议安全性分析与实践》文中研究说明网络技术正在飞速发展,这使得网络规模更加庞大、结构更加复杂、支持的用户更多,各种安全隐患也表现出来,而在一些特殊的领域,由于网络管理的安全性差,使得网络中传输的信息缺乏有效的保护措施,造成无法估计的损失。分析原因看出,网络管理的安全性差是造成安全隐患的一个重要的方面。因此如何实施高效安全的网络管理,是一个重要的问题。在当前的网管体系结构中,SNMP已成为事实上的标准,所以SNMP的安全性对网络的安全性起着重要的作用。本文从SNMP的安全机制分析其安全隐患。根据某部队在网络管理方面存在容易受到窃听、重放、假冒、窜改等攻击问题,针对以上隐患,提出一套基于SNMPv3的网络管理模型,并通过叁个不同版本的SNMP协议对模型进行安全性测试。测试结果说明了不同版本的SNMP协议的安全性。最后总结SNMPv3在使用中的总体情况,并说明其发展方向。

高悦翔[3]2003年在《基于SNMPv3的网络管理系统的安全性研究》文中研究指明随着计算机网络的迅速普及和发展,计算机网络的规模越来越大,结构也越来越复杂,要保障它的可靠运行也越来越难,所以需要一个完善的、功能强大的网络管理系统来保证计算机网络的可靠和稳定运行。自90年代初以来,网络界普遍采用SNMP(简单网络管理协议)来管理网络。众厂商的网络设备,大多数加载了SNMP网管代理程序用来配置和监控设备的运行状况。这样,通过使用SNMP协议进行数据传输,即使设备安置在偏僻遥远的地方,管理人员也可以使用网管站对它们进行集中管理。SNMP已经成为事实上的网络管理标准。SNMP在90年代初得到了迅猛的发展,但是同时也暴露出了明显的不足,如缺乏管理者之间的通信,大数据量传输能力不足,尤其是缺乏安全性。在SNMPv2中对前两项不足做了改进,但是安全性能没有得到提高,如:身份验证、加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。IETF SNMPv3工作组于1998年提出了互联网建议RFC 2271-2275,正式形成SNMPv3。这一系列文件定义了包含SNMPv1、SNMPv2所有功能在内的体系框架和包含验证服务和加密服务在内的全新的安全机制,同时还规定了一套专门的网络安全和访问控制规则。可以说,SNMPv3是在SNMPv2基础之上增加了安全和管理机制。然而在现有的网络设备中,大多数设备只支持SNMPv2,而没有支持到SNMPv3。由于SNMPv2的安全性没有得到提高,SNMPv2的管理能力也被大大削弱。针对以上问题,本文立足于应用型研究。首先对SNMPv3的构架及工作原理进行了细致的分析,并深入研究了SNMPv3中的安全机制。然后根据SNMPv3的基本原理,基于客户机/服务器模型,建立了四个基本模块来进行了基于SNMPv3的网络管理系统的安全性的探索及实践。通过研究表明,虽然SNMPv3增加了网络管理的复杂性,但是SNMPv3具有健壮的安全性,弥补了目前网络管理中应用最多的SNMPv1或SNMPv2的安全缺陷。

王慧莉[4]2004年在《基于策略的SNMPV3网络安全管理研究》文中研究指明基于策略的网络管理以整个网络为管理对象,能解决传统网络管理不能解决的一些问题,正逐渐成为一种新的网络管理方案。因此将策略管理和传统的SNMP管理结合起来,提出了基于策略的SNMPv3网络安全管理系统模型。本模型由策略编辑工具、策略代理、策略服务器以及策略数据库四部分组成。其中,策略代理与具体的被管网络设备关联,按照策略服务器规定的策略执行网络配置和管理;策略服务器是整个系统的决策中心,它负责存取策略数据库中的策略,并根据策略信息做出决策,然后将相应的策略分配至策略代理执行;策略数据库存储着相应管理域内的策略,并能对系统中的策略进行汇总;策略编辑工具是供管理员编辑和监控策略的应用系统,为管理员提供一个易于使用的编辑界面,并将编辑好的策略转成一定格式存于策略数据库中。依据网络实际应用的特点,对模型进行了层次化设计,从而提高了系统的灵活性和可扩展性。将网络管理策略映射于SNMPv3框架结构中,通过对访问控制子系统MIB库的设计,实现策略管理对SNMPv3协议的支持。同时在分析SNMPv3协议安全机制的基础上,提出了一种对SNMPv3协议安全性进行改进的重播保护方法,保证了网络管理的安全性。通过理论分析、模型设计和原型实现的研究,结果表明,这种基于策略的SNMPv3网络安全管理系统不仅在理论上是可行的,而且在实践上也是可实现的,有着良好的应用前景。

唐浩[5]2005年在《支持高性能IPv4/IPv6路由器的一体化网络管理结构》文中指出传统的网络管理结构一般直接采用SNMP协议提出的网络管理基本模型。随着计算机网络的迅速发展,该模型管理方式单一、扩展能力较差、应对极端情况能力不足以及管理安全性不高等方面的弱点日趋突出。作为IPv6骨干网络的重要组成部分,高性能IPv4/IPv6路由器迫切需要新型的网络管理系统。其网络管理系统在解决以上问题的基础上,还必须支持IPv4/IPv6双协议栈的网络管理,并保证较高的安全性能。 本文的主要研究内容是支持高性能IPv4/IPv6路由器的网络管理结构。课题研究得到了国家863计划信息技术领域通信技术主题的重大项目“高性能IPv6路由器基础平台及实验系统”项目和“可扩展到T比特的高性能IPv4/v6路由器基础平台及实验系统”的资助。本文在分析SNMP基本原理的基础上,结合IPv4/IPv6路由器网络管理系统的设计问题,提出了支持IPv4/IPv6双栈路由器的新型网络管理结构。该结构解决了网络管理系统管理方式单一、扩展能力较差等方面的问题,并提高了路由器网络管理的安全性能。 本文所做的主要工作如下: 研究了网络管理技术的国内外研究现状和技术发展趋势,分析了网络管理系统的总体结构,对网络管理系统的模块进行了划分,提出了支持高性能IPv4/IPv6路由器的一体化网络管理结构INMF。该结构为多种管理接入方式提供统一的接口,并对系统的运行信息和配置文件进行集中的管理。详细分析了INMF的设计思想和具体实现方法。 分析了一体化网络管理结构中网络管理工作站的结构模型,提出了一种基于消息服务器的网络管理工作站结构,采用消息服务器来负责系统内部的通信,提高了内部通信效率和系统的可扩展性;分析了网络管理代理的结构,给出了支持SNMPv3框架的代理结构。 研究了IPv6和SNMPv3协议的主要特点及功能,指出在实际开发网络管理系统时支持IPv6和SNMPv3协议的关键点,并在实现的基础上进行了相应的测试。 综合分析了SNMP协议在消息加密、认证和访问控制方面的安全特性,重点研究了SNMPv3协议定义的USM和VACM安全模型,深入探讨了基于INMF的高性能IPv4/v6路由器网络管理安全策略。

赵小录[6]2014年在《SNMPv3在商业交换机中的研究与应用》文中研究说明商业交换机作为一种电信号转发的网络设备,可以为任意接入该设备的多个网络节点提供独享的信号通路,并因共享工作模式等特点而迅速发展。目前,商业交换机的管理大多是各生产厂商针对自己的设备编写相应的管理软件来实现。但随着网络用户的逐渐增加,商业交换机使用规模的不断扩大,人们开始寻求一种简单高效方法对处于网络环境中的商业交换机进行统一管理。但不同厂商、不同型号的商业交换机带来的异构性给统一管理又带来很多困难。并且在网络环境复杂多变的今天,网络信息安全更是社会发展的重要保证。因而如何通过网络对商业交换机进行统一管理,同时又能保证管理信息的安全性,成为当今研究的热点话题。简单网络管理协议SNMP是因特网工程任务组制定的标准化网络管理协议,以其实现简单、扩展性好、健壮性强等特点得到了广泛认可,是目前应用最为广泛的网络管理协议。同时SNMP更是威胁安全的十大首要因素之一。目前SNMP协议出现诸多版本,但由于先前的SNMP版本PDU的负载信息未经加密处理,所以容易被攻击者获取信息内容,从而进行网络监听、代理攻击、操控设备等网络攻击。近几年提出的SNMPV3则在以前SNMP的基础上添加了一套安全访问控制机制,解决了一直忧虑的SNMP安全问题。但是2012年以前的网络产品,可能根本不支持SNMPv3;甚至有些较新的设备也只支持SNMPv2或SNMPv1.因为根据RFC3411~RFC3415规范,SNMPv3并没有明确如何管理和分发SNMP所使用的密钥,导致SNMPv3无法和已经存在的管理接口定义的安全模块进行很好的整合,所以大量设备厂商仍采用SNMPv1、SNMPv2协议,这样就又造成了安全回退。本文的研究目标则是通过参考RFC3411-RFC3415规范,在商业交换机为硬件平台的基础上实现SNMPv3协议的应用,解决不同类型商业交换机带来的统一管理困难,并且解决SNMPv3密钥管理和分发的缺陷问题,实现SNMPv3的安全机制。主要工作包括:1、提出当前通过SNMP进行网络管理存在的问题,并研究SNMPv3协议新增的安全机制对设备管理带来的影响;2、研究SNMP的管理模型、结构体系和管理信息结构,着重研究SNMPv3的协议体系以及在安全性方面的改进;3、设计并实现SNMPv3管理信息与Trap信息的处理模块与MIB管理模块。并在交换机系统平台中嵌入SNMPv3代理,实现通过SNMPv3协议对远程交换机进行统一管理,解决设备异构性导致的统一管理困难,并通过添加USM和VACM安全机制实现对设备的安全访问和控制操作;4、设计基于SNMPv3协议的商业交换机网管系统的架构以及各个功能模块的实现方式,实现通过网管系统对嵌入代理的交换机进行配置管理、性能管理和失效管理。最后通过测试验证,说明SNMPv3在商业交换机中得以成功运用,并且做出工作总结指出存在的不足和有待进一步研究解决的问题。

刘大鹏[7]2003年在《SNMP协议的安全性分析及应用研究》文中研究表明网络管理的提出是为了在网络规模不断壮大、网络设备越来越多样化的条件下保证计算机网络安全、稳定的运行。当今世界上有叁种网络管理框架,分别为电信管理网TMN(Telecommunications Management Network)、公共管理信息协议CMIP(Common Management Information Protocol)和简单网络管理协议SNMP(Simple Network Management Protocol)。而SNMP由于其简单、实用的特点而被大多数的厂商所支持,已成为事实上的Internet网络管理标准。 SNMP目前被广泛应用于TCP/IP网络及设备管理。但是在最初设计时为了到达其简单性的目标,而没有提供足够强大的安全机制,从而限制了它的应用。论文在第叁章首先分别讨论了SNMPv1协议、SNMPv2协议和SNMPv3协议的安全机制的内容及其发展过程,然后指出一个新发现的SNMP安全漏洞,并设计对此漏洞进行攻击的程序。在本章的最后提出了以下保护运行SNMP协议的网络不受攻击的措施:利用防火墙进行边界网络过滤;在内部网络中拦截不正常的SNMP访问;修改缺省的共同体字符串;物理隔离SNMP数据包。 SNMP作为网络管理协议的一种,利用其进行网络管理系统的开发是它的主要作用。而作为网络管理系统的一个重要组成部分,拓扑发现是配置管理的核心,故障管理的基础,因此拓扑发现算法的设计在整个网管系统中占有举足轻重的地位。在论文的第四部分首先指出常见的利用SNMP实现网络拓扑发现算法的缺点和不足,然后针对存在的问题提出一种新的改进算法。在本章的最后介绍了另外一种利用RIP(选路信息协议)进行拓扑发现的算法,并对两种拓扑发现算法在不同网络规模下的效率的进行比较。利用RIP进行拓扑发现的算法在中小型的互联网中的执行速度因为其并行执行的原因优于SNMP,但在大型网络中将会因耗费大量的资源而容易出现问题,在此情况下使用SNMP进行拓扑发现的算法比较适合。

毛江梅[8]2005年在《基于SNMP v3网管系统的实现》文中认为计算计网络在社会生活的各个领域发挥着越来越重要的作用。计算机网络规模的不断地扩大,结构的越来越复杂,要求有一个完善的计算机网络管理系统来完成计算机网络管理的各项任务,以及保证计算机网络能够高效并且稳定地运行。 随着计算机网络的不断发展,我们发现:网络管理的职能就是控制一个复杂的计算机网络,使之具有最高效能和生产力的过程。90年代初以来,网络界普遍采用SNMP简单网络管理协议来管理网络。在各种各样的网络设备中,大多数加载了SNMP网管代理程序,监控配置设备的运行状况,因此研究基于SNMP协议的网络管理系统是一个有重要意义的方向。 SNMP是基于TCP/IP协议体系的主流网络管理技术。目前使用最多的SNMPv1和SNMPv2c,未对网管系统本身的安全作系统周密的考虑,存在着较大的安全隐患,易受到篡改、假冒、窃听等攻击。SNMPv3应网管系统自身的安全需求而生,提出了基于用户的安全模型(USM)与基于视图的访问控制模型(VACM),构建了一个开放性的安全框架。 而SNMPv3定义了包含SNMPv1、SNMPv2所有功能在内的体系框架和包含验证服务与加密服务在内的全新的安全机制,同时还规定了一套专门的网络安全和访问控制规则。 本文在此主要介绍基于SNMP V3的网管系统的实现,通过SNMP v3协议和代理技术完成对通讯设备的监控,实现故障管理、配置管理、性能管理及部分的帐务管理和安全管理,并以通讯设备面板显示器和管理界面形式显示出来。 在本文的第一章,主要介绍了本方案编写目的、网络管理系统建设的背景。

陈岳[9]2006年在《SNMPv3设计、实现及在安全网络管理平台中的应用》文中提出近年来,通信网和计算机网络不断飞速发展,给全世界的人们带来了极大的方便。同时,网络自身也变得越来越庞大复杂,对网络的管理与控制已经成为网络研究建设的重要内容之一。Internet工程任务组(IETF)提出的简单网络管理协议(SNMP)是一种基于TCP/IP的网络管理技术。由于其简单易用的特点,SNMP得到了广泛的应用,成为了事实上的计算机网络管理国际标准。SNMP的早期版本在得到迅猛发展的同时也暴露出了明显的不足,其中一个主要缺陷是缺乏安全机制。在网络安全越来越重要的今天,网络管理系统的安全已经成为一个不能忽视的问题。制定一套既能确保网络管理安全又不对网络管理效率产生严重影响的网管协议成为一个迫切需要解决的问题。于是,以强调安全性为主题的简单网络管理协议第叁版(SNMPv3)也就应运而生了。SNMPv3是SNMP协议的最新版本。它在前面版本的基础上定义了一套安全与访问控制机制,解决了一直困扰SNMP的安全问题,并且为SNMP定义了完整的体系结构。它既能够满足安全网络管理的需要,又保持了简单易用的特点。本文首先对网络管理的基本问题和目前主要的网络管理协议进行了概述,着重介绍了SNMP协议的产生、发展及其体系结构,并对相关的安全问题进行了论述。接着,本文对SNMPv3协议进行了研究与分析,介绍了SNMPv3的体系结构、消息构成及协议操作;并结合对网络管理面临的安全威胁的分析,着重说明了SNMPv3新增的认证、加密和访问控制等安全机制。然后,本文给出了一个VxWorks操作系统下SNMPv3代理的实现方案,介绍了其组成结构与功能流程,并对其中的SNMPv3消息处理、基于用户的安全模型(USM)、基于视图的访问控制模型(VACM)、通知机制、SNMPv3远程配置等功能模块的设计实现进行了详细说明。在此基础上,本文将实现的SNMPv3代理应用到一个实际的安全网络管理平台中,为其提供了安全保证。此外,基于SNMPv3的安全性,本文还为该平台增加了密钥分配功能,进一步加强了它的管理能力。最后,本文设计了一系列实验对所实现系统的功能进行了验证,对业界普遍关注的SNMPv3性能问题作了测试和分析,并提出了一些对今后进一步工作的构想。

邓皓文[10]2015年在《支持数据加密的SNMP网络管理方法的研究与实现》文中认为随着通信技术与计算机网络技术的快速发展,网络规模变得日益庞大,在此背景下,SNMP网络管理协议因其简单、灵活、易用等特点而得到了广泛应用。但SNMPv1与SNMPv2的报文加密机制薄弱,在传输过程中很容易被窃取。SNMPv3在第二代SNMP协议基础上做了扩展,但由于协议的局限性,但仍存在不小的安全缺陷。本文研究了SNMP的网络管理体系以及SNMP的协议内容,并在此基础上对SNMP的安全机制进行深入研究,分析出SNMP存在的的安全问题,结合非对称加密的安全机制,设计出一种支持数据加密的SNMP网络管理方法。论文的主要工作成果如下:1.设计了支持数据加密的SNMP网络管理模型-——SSDE。模型利用非对称加密技术的安全机制对SNMP存在的安全缺陷进行弥补,通过在SNMPPDU中的绑定变量数据进行加密,保证了SNMP信息在传输过程中不被窃取、篡改。2.实现了基于SSDE模型的SNMP数据安全传输流程。SSDE模型分为3个模块:密钥管理模块、数据加解密模块、SNMP传输模块。论文详细阐述了各个模块的构造和工作流程,介绍了模型的开发环境以及各个模块的实现细节,并分析了模型可应对的网络安全问题。3.对SSDE模型进行功能和性能的评测,并分析了评测结果。论文从数据传输流程方面做了功能性评测,对响应时间做了对比性能评测。评测结果表明,本论文提出的方法可以实现SNMP数据进行安全传输,功能较为完善,性能良好。本论文提出的支持数据加密的SNMP网络管理方法利用非对称加密算法RSA弥补了传统SNMP的安全缺陷,有效解决了SNMP数据包在传输过程中易窃取、篡改、冒充等问题。

参考文献:

[1]. 网络管理系统的研究与开发[D]. 殷卫红. 同济大学. 2008

[2]. SNMP协议安全性分析与实践[D]. 化鹏. 国防科学技术大学. 2007

[3]. 基于SNMPv3的网络管理系统的安全性研究[D]. 高悦翔. 重庆大学. 2003

[4]. 基于策略的SNMPV3网络安全管理研究[D]. 王慧莉. 华中科技大学. 2004

[5]. 支持高性能IPv4/IPv6路由器的一体化网络管理结构[D]. 唐浩. 中国人民解放军信息工程大学. 2005

[6]. SNMPv3在商业交换机中的研究与应用[D]. 赵小录. 广东工业大学. 2014

[7]. SNMP协议的安全性分析及应用研究[D]. 刘大鹏. 郑州大学. 2003

[8]. 基于SNMP v3网管系统的实现[D]. 毛江梅. 四川大学. 2005

[9]. SNMPv3设计、实现及在安全网络管理平台中的应用[D]. 陈岳. 电子科技大学. 2006

[10]. 支持数据加密的SNMP网络管理方法的研究与实现[D]. 邓皓文. 北京邮电大学. 2015

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于SNMPv3的网络管理系统的安全性研究
下载Doc文档

猜你喜欢