OSI网络安全理框架.docVIP

OSI网络安全管理框架　　OSI网络管理框架是ISO在1979年开始制定的，也是国际上最早制定的网络管理标准。在ISO制定的0SI网络管理标准中，管理协议是通用管理信息协议(CommonManagementInformationProtocol,CMIP)，所提供的管理服务是通用管理信息服务(CommonManagementInformationProtocolService,CMIS)。尽管由于种种原因CMIP的应用部署远没有达到1988年开始制定的SNMP那样成功，但它是大多数通信服务提供商和政府机构主要采纳和参考的网络管理框架。 　　1、系统管理体系结构 　　传统的网络管理是本地性和物理性的，即复用设备、交换机、路由器等资源要通过物理作业进行本地管理。技术人员在现场连接仪器、操作按钮、监视和改变网络资源的状态。在新的管理框架屮，将网络资源的状态和活动用数据加以定义以后，远程监控系统中需要的功能就成为一组简单的数据库操作功能(即建立、提取、更新、删除功能)。远程监控管理框架已经成为处理网络不断增加的复杂件的主要工具。在基于远程监控的管理框架下，0SI开放系统管理体系结构作为建立网络管理系统的基本指南，图1显示了这个体系结构。 　　系统管理体系结构的核心是一对相互通信的系统管理实体。它采取一种独特的方式使两个管理进程之间相互作用。即管理进程与一个远程系统相互作用，去实现对远程资源的控制。在这种简单的体系结构中，一个系统中的管理进程担当管理者角色，而另一个系统的对等实体(进程)担当代理者角色，代理者负责提供对被管资源的信息进行访问。前者被称为管理系统，后者被称为被管系统。 　　在OSI系统管理模型中，对网络资源的信息描述是非常重要的，在系统管理层面上，物理资源本身只被作为信息源来对待，在通过通信接口交换信息时，必须对所交换的信息有相冋的理解。因此，提供公共信息模型.是实现系统管理模铟的关键。公共信息模型采用面向对象技术，提出了被管对象的概念来描述被管资源。被管对象对外提供一个管理接口，通过这个接口，可以对被管对象执行操作，或将被管对象内部发生的随机事件用通报的形式向外发出。在系统管理体系结构中，管理荠角色与代理各角色不是同定的，而是由每次通信的过程所决定的。 　　担当管理者角色的进程向担当代理者角色的进程发出操作请求，担当代理者角色的进程对被管对象进行操作并将被管对象发送的通报传句管理者，即管理者和代理者之间的信道支持两类数据传送服务：管理操作(山管理者发向代理者)和通报(由代理者发向管理者)。因此，两个管理应用实体(进程)间角色的划分完全依赖于传送的管理数据类别和传送方向。系统管理体系结构还确定了管理者和代理者建立联系以后可以交换的两类信息。 　　第一类用于建立管理环境，标识实体在联系期间是只能以一种角色(管理者或者代理者)操作，还是可以以两种角色操作;第二类标识系统管理功能中.元，用来指出与数据交换有关的功能，限定两个实体间数据交换的范围。 　　代理者除提供被管对象接口与开放式通信接口之间的映射外，还提供管理支持服务。特别是为了操作的同步和控制对被管对象的访问，它支持对系统屮的被管对象组的寻址。它还能选择性地过滤要执行的操作或者控制通报所产生的数据流。代理者提供的这些支持特性本身也能得到管理，这种管理能力通过对被管对象的操作来实现。1991年，iso批准了两个支持功能作为同际标准，即事件报告功能和日志控制功能的管理。随后，访问控制和吋间表功能也被标准化。 　　2、公共管理信息协议 　　要实现对远程管理信息的访问，需要有通信协议，这种协议被称为管理信息通信协议。对此，OSI提出了公共管理信息协议。在CMIP屮，应用层屮与系统管理应用有关的实体被称为系统管理应用实体(SystemManagementApplicationEntity,SMAE)。SMAE有3个元素：连接控制服务元素(AssociationControlServiceElement,ACSE)、远程操作服务元素(RemoteOperationServiceElement,ROSE)，及公共管理信息服务元素(CommonManagementInformationServiceElement,CMISE)。 　　(1)公共管理信息服务 　　0S1管理信息采用连接型协议传送，管理者和代理者是一对对等实体，通过调用CM1SE来交换管理信息。CMISE提供的服务访问点支持管理者和代理者之间的联系。CMISE利用ACSE和ROSE来实现管理信息服务。CMISE与管理者、代理者以及0S1应用层的其他协议之间的关系如图2所示。 　　CM1SE提供的公共管理信息服务完成管理者与代理者之间的通信，这是实现所有管理功能的前提。通过CMISE可以完成获取数据、设置和复位数