Руководство по технологиям объединенных сетей Cisco (953103), страница 182
Текст из файла (страница 182)
Рис. 58.5. Компоненты устройства протокола БЬМР 900 Часть Ч! И. Управление сетями Каждый тип устройства БХМР имеет модуль БММР и различные модули приложений. Например, менеджер ЯЧМР должен включать в себя устройство с приложениями генератора команд и/или получателя уведомлений. Агент БММР должен включать в себя ответчика на команды и/или приложения инициатора уведомлений. Устройство БММР имеет один модуль БХМР, который обеспечивает службы отправки, получения и обработки сообщений, аутентификации и шифрования сообщений, а также службу управлении доступом к управляемым объектам.
Зти службы обеспечиваются следующим образом: ° Диспетчер допускает одновременную поддержку нескольких версий сообщений ЯЧМР в модуле БНМР. Он посылает и получает сообщения ЯЧМР и распределяет модули данных протокола БХМР между приложениями протокола БНМР. В том случае, когда необходимо подготовить сообщение БХМР или извлечь данные из сообщения БХМР, диспетчер передаст решение этих задач обрабатывающей сообщения модели, учитывающей версию сообщения; эта модель находится в подсистеме обработки сообщений. ° Подсистема обработки сообщений является частью модуля ЯЧМР, которая взаимодействует с диспетчером в процессе обработки сообщений БХМР конкретной версии. Потенциально она содержит несколько моделей обработки сообщений для версий БХМРтЗ, БХМРт2, БХМРч) и других. ° Подсистема обеспечения безопасности обеспечивает службы зашиты, такие как аутентификация и сохранение конфиденциальности.
° Подсистема управления доступом обеспечивает службы авторизации, которые позволяют устройствам получать различиыс уровни доступа к управляемым объектам. Ниже привслсны модули приложений. ° Генератор команд осуществляет мониторинг и обрабатывает управляющие данные. Он также генерирует и обрабатывает ответы модулей РОГ.) команд век, авемвке, авевц1к и вве. ° Обработчик команд обеспечивает доступ к данным управления. Он получает модули РОЕ) вышеупомянутых типов (сгеггерированпыс ответчиком команд), генерирует ответное сообщение и отправляет его инициатору запроса.
° Инициатор уведомления инициирует асинхронные сообщения. Он осуществляет мониторинг системы, а после этого, в зависимости от заданных ему конфигурациейфункций, генерирует сообщение ткар или хвхохта и отсылает его заранее определенным устройствам получателей. ° Получатель уведомления обрабатывает асинхронные сообщения.
Он просматривает проходящие по сети данные с целью обнаружения сообшенийуведомлений, сообщений команды тавр и информационных сообщений. Если полученное сообщение является информационным, то он посылает ответ его инициатору. ° Прокси-устройство пересылки пересылает сообщения Б)чМР между устройствами. Реализация приложения прокси-пересылки не является обязательной и осуществляется по желанию пользователя. Глава 58.
Протокол Зп)МР 901 Архитектура безопасности Документы ВРС, определяющие протокол БММРчЗ, описывают проблемы безопасности на двух разных этапах: приема/передачи сообщений и обработки содержания сообщений. В документах ВЕС для протокола БХМРчЗ термин "безопасность" применяется по отношению к аспектам безопасности на уровне сообщений, а термин "управление доступом" — по отношению к вопросам безопасности протокольных операций. Типичными функциями обеспечения безопасности на уровне сообщений являются аутентификация, шифрование и проверка срока давности.
В процессе обработки сообщения может потребоваться управление доступом. Оно ограничивает доступ к управляемым объектам для выполнения операций над ними. Модель управления доступом (Ассезз Сопгго! Моде)) определяет механизмы, которые принимают решение о том, разрешен ли доступ к управляемому объекту. Для поддержки служб безопасности и управления доступом в протоколе ЯХМР применяется понятие ириицилааа (дплс(вв().
Под принципалом понимается устройство, от имени которого предоставляются службы или происходит обработка. Принципал может быть отдельным субъектом, выполняющим определенную роль, набором таких субъектов, каждый из которых выполняет определенную функцию, приложением или набором приложений, а также комбинацией вышеупомянутых. Идентификационные данные принципала используются для задания функций безопасности, которые будут использоваться при осуществлении связи с агентом. Архитектура протокола БХМРтЗ определяет три уровня обеспечения безопасности: отсутствие аутентификации и обеспечения конфиденциальности, аутентификацию и отсутствие обеспечения конфиденциальности, а также аутентификацию и обеспечение конфиденциальности.
Модель защиты сети дпя отдельного пользователя Модель обеспечения безопасности протокола БХМР поддерживает следующие службы: обеспечение целостности данных, аутентификация источника, обеспечение конфиденциальности, проверка срока давности и ограниченную защиту от атаки воспроизведения. Для решения этих задач в версии ЯХМРтЗ используется понятие авторитетного БХМР-устройства, которое является одной из частей процесса передачи сообщения. Для определения того, что является авторитетным устройством, используются два правила: ° Если полезная нагрузка сообщения требует подтверждения или ответа (модули Р(З(), требующие подтверждения: аве, еавивкв, аввви1к, вве или хлевов), то авторитетным устройством является получатель. ° Если полезная нагрузка сообщения на требует ответа (модули Р0(), не требующие подтверждения: дввроввв, дереке или ткар), то авторитетным устройством является отправитель.
При отправке БХМР-сообщения устройство отправителя включает в него набор индикаторов ограничения времени, а получатель оценивает их лля того, чтобы определить, является ли это сообщение новым. Срок давности сообщения определяется по часам, которые поддерживаются авторитетным устройством. Каждое сообщение также 902 Часть МП. Управление сетями включает в себя идентификатор, уникальный для авторитетного устройства ЗХМР, логически связанного с отправителем сообщения или предполагаемыми получателем.
Для каждого отправленного сообщения ()ВМ включает в заголовок несколько параметров безопасности, которые оцениваются ()ЯМ-процессом на стороне получателя. Эти параметры содержат информацию о пользователе, протоколе авторизации, ключе авторизации, авторитетном устройстве, протоколе обеспечения конфиденциальности и времени отправки. Для этой модели обеспечения безопасности устройства БХМР должны иметь предварительную информацию обо всех пользователях, которые имеют авторизацию на проведение операций по управлению. КРС 3414, Пег-6азег( $есиг(гу Моде! аког ЮАгМРгЗ, определяет приведенные ниже требования. ° В качестве протокола аутентификации должен поддерживаться протокол НМАС-М(35-96. ° В качестве протокола аутентификации должен также поддерживаться протокол НМАС-БНА-96, а в будущем возможна поддержка дополнительных или заменяющих вышеупомянутые протоколов аутентификации.
Слелует отметить, что протокол НМАС-М(35-96 использует М05 (см. КРС 1321, Меззаде 13(асяс 5) в качестве хэш-функции для основанного на хэш-функции режима кода аутентификации сообщения (Наз)с-(мзед Меззаяе Ацс)сепг)сас(оп Соде — НМАС). Протокол М(35-96 осуществляет усечение выходных данных до 96 битов. Протокол НМАСБНА-96 делает то же самое, однако использует в качестве хэш-функции БНА (ЯНАХ1$Т). Протокол НМАС (см. КРС 2104) представляет собой механизм аутентификации сообщения, а М(35 и БНА используются в качестве криптографических хэш-функций.
В аспекте обеспечения конфиденциальности определяется использование симметричного шифрования СВС-13ЕБ вместе с моделью безопасности для конкретного пользователя. В будущем могут быть также определены в качестве дополнительных или заменяющих другие протоколы обеспечения конфиденциальности. СВС-1)ЕБ представляет собой режим стандарта шифрования данных (Паса Епсгурсюп бсапдагд— 1)ЕБ) с объединением шифровых блоков, который, в случае поступающего запроса, ()БМ использует для шифрования отправляемого сообщения и предотвращения чтения содержимого этого сообщения третьими сторонами. Модель управления доступом на основе Ч1ечч Как определяется в КРС 3415, )гАСМуог ггсе Б)гМР, подсистема управления доступом устройства ЯХМР проверяет, разрешен ли запрашиваемый тип доступа (ген, счпсе, пос(су) к дашюму объекту (!пмапсе). Когда устройство БХМР обрабатывает запрос на извлечение данных (Сгес, СгесХехс, ОесВц!х) или запрос на модификацию (Бес), оно должно осуществлять контроль доступа.
Например, приложение ответчика на команды применяет контроль доступа при обработке запроса, которое оно получает от приложения-генератора запроса. Перед отправкой ЯММР-сообщения- уведомления (инициированного приложением создающим уведомление) устройство протокола ЯЧМР также должно выполнить контроль доступа. Управление доступом конфигурируется группой пользователей, при этом каждая группа может включать в себя нескольких пользователей. Политика обеспечения безопасности должна быть предварительно сконфигурирована на устройствах БХМР, осуществляющих управление доступом.
Для выработки политики управления доступом 9ОЗ Глава 58. Протокол ЗХМР администратор сначала определяет, какой тип операции может быть использовав этой группой (кеаеГ, исаев или поедяу). После этого администратор определяет права доступа к этой операции. Например, агент может быть сконфигурирован таким образом, что ои дает группе пользователей право чтения только одной базы М1В (или части базы М1В). Ои может быть также сконфигурирован так, чтобы другая группа пользователей получила право записи в несколько М1В-объектов.
Управление посредством ЗММР БХМР является протоколом распределенного управления. Система может функциоиировать исключительио как ХМБ или в качестве агента, или выполнять обе эти функции. В последнем случае другая ХМБ может потребовать, чтобы устройства управлялись системными запросами, чтобы предоставлялись краткие сводки о получеииой информации или чтобы система сообщала о сохраняемой локальной управляющей информации. Справочные данные протокола ЗММР: форматы сообщений ЗММР Сообщения БХМРч2 состоят из заголовка и модуля РЕП/.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
