SNMPv3访问控制机制的研究及在路由器中的实现

论文摘要

高性能核心路由器是互联网的关键设备,对它的管理至关重要。SNMP（Simple Network Management Protocol,简单网络管理协议）是互联网的标准管理协议。管理信息库是SNMP网络管理的重要组成部分,也是管理的基础。从SNMPv1到SNMPv2,虽然功能上不断完善,但始终没有解决管理信息的安全问题,恶意攻击和错误操作很容易就能破坏敏感的管理信息,造成网管系统的失常甚至瘫痪。 SNMPv3的出现弥补了前版本的安全缺陷,重新定义了SNMP的安全体系结构,在其中加入了访问控制功能,对操作管理信息的管理主体进行授权、对访问请求作权限检查。SNMPv3定义的VACM（View-based Access Control Model,基于视图的访问控制模型）将访问策略分成上下文、主体组、通信安全模型、通信安全级别、操作类型等多个概念,既灵活又强大,但不能防止管理主体在权限范围内对管理信息的随意修改和失误操作。依托国家863重大课题“可扩展到T比特的高性能IPv4/v6路由器基础平台及实验系统”,本文研究了SNMPv3 VACM模型的访问控制机制,分析了其存在的缺陷,即对管理主体在权限范围内恶意或失误操作管理信息无能为力,并针对此缺陷用审计记录功能扩展了VACM,最后在T比特路由器网管系统中实现它。本文主要做了如下工作: 综述了网络管理的一般结构,分析了SNMP网络管理的体系结构、模型和工作方式。分析了网络管理信息的重要性、威胁、和对管理信息进行访问控制的必要性,研究了SNMPv1/v2c的安全缺陷和v3的安全体系结构。研究了基于视图的访问控制模型（VACM）,详细分析了其授权方式和访问决策逻辑,并针对其不能阻止授权范围内的职权滥用和失误操作的安全缺陷,提出了具有审计记录功能的VACM扩展模型。最后分析了实现VACM扩展模型的几项关键技术,在T比特路由器中实现。

论文目录

摘要

Abstract

第一章绪论

1.1 课题背景

1.2 课题主要工作和内容

1.3 论文结构

第二章网络管理和SNMP

2.1 网络管理综述

2.1.1 网络管理系统的产生

2.1.2 网络管理的功能

2.1.3 网络管理系统的结构

2.2 SNMP网络管理

2.2.1 SNMP的发展过程

2.2.2 SNMP网络管理模型和协议结构

2.2.3 SNMP管理信息

2.2.4 SNMP协议操作

第三章网管安全与SNMPv3的安全体系结构

3.1 网络管理信息的重要性和安全威胁

3.2 SNMPv3的安全体系结构

3.2.1 SNMPv1、v2的安全缺陷和v3的发展

3.2.2 SNMPv3的实体结构

3.2.3 SNMPv3相关概念和消息格式

3.2.4 安全子系统

3.2.5 访问控制子系统

第四章 SNMPv3访问控制机制的研究与扩展

4.1 访问控制基本原理

4.2 SNMPv3访问控制的主、客体和主体认证

4.3 基于视图的访问控制模型的分析

4.3.1 VACM的基本要素

4.3.2 VACM的访问策略及与SNMPv1、v2“共同体”策略的比较

4.3.3 VACM MIB和授权

4.3.4 访问控制处理

4.4 对VACM的审计扩展

4.4.1 访问控制与审计

4.4.2 VACM的缺陷及扩展方法

4.4.3 扩充VACM MIB

4.4.4 审计记录的管理

4.4.5 扩充后的访问控制处理逻辑

第五章 VACM扩展模型在T比特路由器中的实现

5.1 T比特路由器网络管理系统结构

5.1.1 T比特路由器总体结构

5.1.2 T比特路由器主控软件结构

5.1.3 T比特路由器网管系统结构

5.2 实现VACM的关键技术

5.2.1 访问权限表的查询

5.2.2 MIB视图的查询

5.2.3 对VACM MIB的访问

5.2.4 审计记录的维护

5.3 在路由器中的实现

5.3.1 SNMP代理的实现

5.3.2 模块划分

5.3.3 相关数据结构和宏定义

5.3.4 主要函数和流程

5.3.6 测试和分析

结束语

致谢

参考文献

SNMPv3访问控制机制的研究及在路由器中的实现

论文摘要

论文目录

相关论文文献

猜你喜欢