计算机网络管理第2版云红艳高磊杜祥军赵志刚第五章简单网络管理协议课件教学.pptVIP

PPT研究院 POWERPOINT ACADEMY N：用于查询标量对象 R：用于查询表对象 * * * 1．基于用户的安全模型（USM） SNMPv3把对网络协议的安全威胁分为主要的和次要的两类。标准规定安全模块必须提供防护的4种主要威胁如下： 修改信息、假冒、修改报文流、消息泄露。 2种次要威胁如下： 拒绝服务、通信分析。 因此，RFC 2574把安全协议分为以下3个模块：时间序列模块，提供对报文延迟和重放的防护；认证模块，提供完整性和数据源认证；加密模块，防止报文内容的泄露。 （1）时间序列模块。 在每一次通信中有一个SNMP引擎被指定为是有权威的（Anthoritative，AU），而通信对方则是无权威的（Non-Anthoritative，NA）。 有权威的SNMP引擎维持一个时钟值，无权威的SNMP引擎跟踪这个时钟值，并保持与之松散同步。 时钟由两个变量组成：snmpEngineBoots即SNMP引擎重启动的次数；snmpEngineTime即SNMP引擎最近一次重启动后经过的秒数。 （1）时间序列模块。 SNMP引擎首次安装时置这两个变量的值为0。SNMP引擎重启动一次，snmpEngineBoots增值一次，同时snmpEngineTime被置0并重新开始计时。如果snmpEngineTime增加到了最大值 2147483647，则snmpEngineBoots加1，而snmpEngineTime回零，就像 SNMP引擎重新启动过一样。 （1）时间序列模块。 发现过程是由无权威的SNMP引擎（NA）向有权威的SNMP引擎（AU）发送一个Request 报文，其中 msgAuthoritativeEngineID=AU 的snmpEngineID； msgAnthoritativeEngineBoots=0； msgAuthoritativeEngineTime=0。 而有权威的SNMP引擎返回一个Report报文，其中 msgAuthoritativeEngineID=AU 的snmpEngineID； msgAuthoritativeEngineBoots=snmpEngineBoots msgAuthoritativeEngineTime = snmpEngineTime （1）时间序列模块。 于是，无权威的SNMP引擎把发现过程中得到的msgAuthoritativeEngineBoots 和 msgAuthoritativeEngineTime 值存储在本地配置数据库中，分别记为BootsL和TimeL。 当有权威的SNMP引擎收到一个认证报文时，从其中提取 msgAuthoritativeEngineBoots 和 msgAuthoritativeEngineTime 字段的新值，分别记为 BootsA和TimeA。如果下列条件之一成立，则认为该报文在时间窗口之外，具体条件包括：BootsL为最大值2147483647；BootsA与BootsL的值不同；TimeA与TimeL的值相差大于±150s。 （1）时间序列模块。 当无权威的SNMP 引擎收到一个认证报文时，从其中提取msgAuthoritativeEngineBoots 和 msgAuthoritativeEngineTime字段的新值，分别记为 BootsA和TimeA。如果下列条件之一成立 ? BootsA大于BootsL； ? BootsA等于BootsL，而TimeA 大于TimeL。 则引起下面的重同步过程 ? 置BootsL = BootsA； ? 置TimeL = TimeA。 （1）时间序列模块。 当无权威的SNMP引擎收到一个认证报文时，如果下列条件之一成立，则认为该报文在时间窗口之外，具体条件包括：BootsL为最大值2147483647；BootsA小于BootsL的值；BootsA与BootsL的值相等，而TimeA小于TimeL的值150s。 值得注意的是，时间序列的验证必须使用认证协议，否则从报文中得到的 msgAuthoritativeEngineBoots和msgAuthoritativeEngineTime就不可靠了。 （2）认证和加密模块。 ① HMAC-MD5-96协议。 ② HMAC-SHA-96认证协议。 ③ CBC-DES对称加密协议。 ④ 密钥的局部化。 ⑤ 密钥的更新。 2．基于视图的访问控制（VACM）模型 当一个SNMP实体处理检索（Get或Getnext等）或修改（Set）请求时，都要检查是否允许访问指定的管理对象，以及是否允许执行请求的操作。另外，当SNMP实体生成通知报文时，也要用到访问控制机制，以决定把消息发送给谁。在VACM模型中要用