论文部分内容阅读
【摘要】本文提出的综合网络管理方案是一种基于Web Services的分布式只能配置网络管理方案,本文研究其框架结构,为现代大规模网络管理和Interact环境下的网络管理,提出来一种实际和有效思路。
【关键词】信息技术,网络管理方案
1.引言
信息时代Pc机、服务器和智能设备星罗棋布。在这样的环境下,网络管理面临主要困难之一是跨网络、跨平台、跨语言传播和使用信息,这是一个面对各种遗留应用、专有标准和异构平台的集成。
分布式网络管理是相对于传统的集中式网络管理模式而言的。传统的集中式网络管理模式已经越来越难以适应现代大规模复杂网络的管理需求,分布式计算在计算能力上的巨大优势,使网络管理越来越走向分布式管理的道路。
另外,在网络配置方面,随着网络技术的不断发展,网络体系的规模日益庞大,拓扑结构越来越复杂,网络部件的异构性更加突出,这些因素决定了网络管理在整个网络中的地位变得尤为重要。传统的网管配置是基于静态策略,必须顶先确定网络设备的物理位置及功能要求,然后再由网管人员人为地将它们纳人管理系统,这种管理方式已经不能适应现代网络的动态变化,而智能配置管理能很好地解决这样的问题。
因此,分布式智能配置管理是未来大型网络管理的发展趋势,我们称之为综合网络管理体系,本文提出一种综合网络管理体系及其实现方案。
2.综合网管框架
随着Intemet的迅猛发展和各个行业信息化进程的推进,各个单位的网络建设力度也随之明显加大。许多企业、学校、科研院所、公司集团都建立了比较完善的园区网络系统,并且通过各种方式接入Intemet。
另外,Internet将信息共享与交流提升到一个前所未有的层次,网内用户在获取、收集和发送信息的速度、数量、多媒体表现形式等方面都得到极大的便利。但是,传统的以太网接人方式由于采用广播机制,其安全性较差,限制了它在公用接人网络中的应用。为了解决这个问题,目前广泛使用PPPoE或WEB Poem的方案,但这两种方案都不能有效地解决认证安全问题。IEEE 802,1委员会提出的802.1X协议,可以在以太网接人交换机上对用户进行认证、授权,从而为运营商提供了一种更实用、更安全的用户管理方式。
统一身份认证与权限管理平台用于管理校务系统所涉及的所有组织机构信息,用户信息、系统角色以及全部的数据资源,对校务系统进行基于角色的资源权限控制。为应用安全在统一身份认证、授权、单点登录和数据传输/存储加密等方面提供保障。
3.认证阶段
(1)客户端su以组播方式发送一个EAP报文发起认证过程(协议标准组播地址为O1-80-C2-oo-oo-o3,锐捷私有组播地址为0)-DO-F8-00-O0-O3)。
(2)交换机收到该报文后,发送一个EAP~Request报文响应客户端的认证请求,要求用户提供用户名信息。
(3)客户端收到EAP-Request之后响应一个EAP-Response报文。将用户名封装在EAP报文中发给交换机。
(4)交换机将客户端送来的EAP-Request报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器。
(5)认证服务器收到RADIUS Access-Request报文后进行验证,如果该用户的相关信息有效,则对该用户发起一次认证挑战(RADIUS Ac.Tess-Challenge),要求用户提供密码。
(6)交换机收到这条RADIUS Access-Challenge报文后,将挑战请求用一条EAP-Challenge Request转发给客户端。
(7)客户端接到挑战请求后,将用户密码进行加密处理,封装在EAP-Challenge Response中返回给交换机。
(8)交换机将用户的EAP-Challenge Response封装为RADIUS Ac•cess-Request报文转发给认证服务器。
(9)认证服务器对用户的密码进行验证,如果验证失败,服务器将返回一条RADIUS Access-Reject报文,拒绝用户的认证请求;如果验证通过,服务器则发送一条RADIUS Access-Accept报文给交换机。
(10)交换机在接到认证服务器发来的RADIUS Access-Accept之后,解除对客户端的访问控制,同时发送一条EAP-Success报文给客户端通知其认证已经成功。
Web服务能够很好地解决Internet环境下更加复杂异构性所带来的问题,更好地完成Internet环境下的分布式计算任务。
它最顶层是通过一种分布式计算技术来实现各个异构网管系统的通信和互操作,以及实现客户端对各个网管系统服务的调用。Web Services具有松散藕合、与平台无关、易于集成等优点,因此。本文提出一种基于Web Services的综合网络管理方案。
4.功能实现
身份认证是在两个主体间相互表明身份,通常的情况是,在单机系统中进入系统的用户通常需要提供用户名和密码来验证访问的用户身份;更一般的情况是,身份认证被用于主机与主机之间或进程与进程之间的双向验证。身份认证是安全管理中最基本的部分,它是访问控制策略实施的基础。基于网络的身份认证大多采用对用户名和密码的检验,它存在着许多的安全隐患。比如用户的密码一般简单而且统一了身份认证与权限管理平台体系缔恂短,很容易招致字典攻击、延时攻击和窜改攻击等。在认证系统设计中,我们采用了一系列的安全手段来加强通讯安全。采用时间同步的方式来防止延迟攻击;传输过程中采用安全加密并基于ssL信道保证密码安全加密过程中加入随机数因子以抵御字典攻击;同时增强认证的力度,我们还引入了证书,在证书的扩展域中加入用户对应的角色,使其和整个服务器的基于角色的访问控制安全管理机制融为一体。
客户在向认证服务器发出请求时,服务器自动发出自身的签名证书(并根据设定发出是否需要客户证书的请求),当用户认可后(并提供自己的签名证书),就可以向认证服务器请求服务;客户向认证服务器发出访问服务请求,认证服务器接受用户的请求后,先启动一个处理线程IP,处理线程首先分析从客户发来的访问请求,查看用户的IP是否被禁止,然后向客户发出登录通知,并等待用户提交登录信息IP用户提交的信息在客户端首先被单向加密,然后在SSL信道送到服务器。处理线程首先根据用户提交的部分信息,从系统库中取出密码然后进行同客户端相同的加密方法,再同用户提交的其他信息进行比照,以验证用户身份。
采用会话密钥是为了加强抵抗攻击的强度,此处服务器的信任可以由服务器的证书来保证;用户通过验证后,服务器同用户间建立会话,并根据用户的身份显示该用户能够访问的服务器链接。用户可以以此进一步进行访问;此后一段时间内,用户的访问不需要密码,就可以访问服务器。当然,对于服务器和用户阉的每次交互都会检查用户会话内容,以保证安全访问。
5.结语
分布式智能配置管理是未来大规模网络管理的发展趋势。本文提出的基于Web Services的分布式网络智能配置方案,适合于复杂异构的大规模网络和Internet环境下的网络管理。随着网络规模和Internet的不断发展,它将会在越来越多的领域得到广泛应用。
【关键词】信息技术,网络管理方案
1.引言
信息时代Pc机、服务器和智能设备星罗棋布。在这样的环境下,网络管理面临主要困难之一是跨网络、跨平台、跨语言传播和使用信息,这是一个面对各种遗留应用、专有标准和异构平台的集成。
分布式网络管理是相对于传统的集中式网络管理模式而言的。传统的集中式网络管理模式已经越来越难以适应现代大规模复杂网络的管理需求,分布式计算在计算能力上的巨大优势,使网络管理越来越走向分布式管理的道路。
另外,在网络配置方面,随着网络技术的不断发展,网络体系的规模日益庞大,拓扑结构越来越复杂,网络部件的异构性更加突出,这些因素决定了网络管理在整个网络中的地位变得尤为重要。传统的网管配置是基于静态策略,必须顶先确定网络设备的物理位置及功能要求,然后再由网管人员人为地将它们纳人管理系统,这种管理方式已经不能适应现代网络的动态变化,而智能配置管理能很好地解决这样的问题。
因此,分布式智能配置管理是未来大型网络管理的发展趋势,我们称之为综合网络管理体系,本文提出一种综合网络管理体系及其实现方案。
2.综合网管框架
随着Intemet的迅猛发展和各个行业信息化进程的推进,各个单位的网络建设力度也随之明显加大。许多企业、学校、科研院所、公司集团都建立了比较完善的园区网络系统,并且通过各种方式接入Intemet。
另外,Internet将信息共享与交流提升到一个前所未有的层次,网内用户在获取、收集和发送信息的速度、数量、多媒体表现形式等方面都得到极大的便利。但是,传统的以太网接人方式由于采用广播机制,其安全性较差,限制了它在公用接人网络中的应用。为了解决这个问题,目前广泛使用PPPoE或WEB Poem的方案,但这两种方案都不能有效地解决认证安全问题。IEEE 802,1委员会提出的802.1X协议,可以在以太网接人交换机上对用户进行认证、授权,从而为运营商提供了一种更实用、更安全的用户管理方式。
统一身份认证与权限管理平台用于管理校务系统所涉及的所有组织机构信息,用户信息、系统角色以及全部的数据资源,对校务系统进行基于角色的资源权限控制。为应用安全在统一身份认证、授权、单点登录和数据传输/存储加密等方面提供保障。
3.认证阶段
(1)客户端su以组播方式发送一个EAP报文发起认证过程(协议标准组播地址为O1-80-C2-oo-oo-o3,锐捷私有组播地址为0)-DO-F8-00-O0-O3)。
(2)交换机收到该报文后,发送一个EAP~Request报文响应客户端的认证请求,要求用户提供用户名信息。
(3)客户端收到EAP-Request之后响应一个EAP-Response报文。将用户名封装在EAP报文中发给交换机。
(4)交换机将客户端送来的EAP-Request报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request报文中发给认证服务器。
(5)认证服务器收到RADIUS Access-Request报文后进行验证,如果该用户的相关信息有效,则对该用户发起一次认证挑战(RADIUS Ac.Tess-Challenge),要求用户提供密码。
(6)交换机收到这条RADIUS Access-Challenge报文后,将挑战请求用一条EAP-Challenge Request转发给客户端。
(7)客户端接到挑战请求后,将用户密码进行加密处理,封装在EAP-Challenge Response中返回给交换机。
(8)交换机将用户的EAP-Challenge Response封装为RADIUS Ac•cess-Request报文转发给认证服务器。
(9)认证服务器对用户的密码进行验证,如果验证失败,服务器将返回一条RADIUS Access-Reject报文,拒绝用户的认证请求;如果验证通过,服务器则发送一条RADIUS Access-Accept报文给交换机。
(10)交换机在接到认证服务器发来的RADIUS Access-Accept之后,解除对客户端的访问控制,同时发送一条EAP-Success报文给客户端通知其认证已经成功。
Web服务能够很好地解决Internet环境下更加复杂异构性所带来的问题,更好地完成Internet环境下的分布式计算任务。
它最顶层是通过一种分布式计算技术来实现各个异构网管系统的通信和互操作,以及实现客户端对各个网管系统服务的调用。Web Services具有松散藕合、与平台无关、易于集成等优点,因此。本文提出一种基于Web Services的综合网络管理方案。
4.功能实现
身份认证是在两个主体间相互表明身份,通常的情况是,在单机系统中进入系统的用户通常需要提供用户名和密码来验证访问的用户身份;更一般的情况是,身份认证被用于主机与主机之间或进程与进程之间的双向验证。身份认证是安全管理中最基本的部分,它是访问控制策略实施的基础。基于网络的身份认证大多采用对用户名和密码的检验,它存在着许多的安全隐患。比如用户的密码一般简单而且统一了身份认证与权限管理平台体系缔恂短,很容易招致字典攻击、延时攻击和窜改攻击等。在认证系统设计中,我们采用了一系列的安全手段来加强通讯安全。采用时间同步的方式来防止延迟攻击;传输过程中采用安全加密并基于ssL信道保证密码安全加密过程中加入随机数因子以抵御字典攻击;同时增强认证的力度,我们还引入了证书,在证书的扩展域中加入用户对应的角色,使其和整个服务器的基于角色的访问控制安全管理机制融为一体。
客户在向认证服务器发出请求时,服务器自动发出自身的签名证书(并根据设定发出是否需要客户证书的请求),当用户认可后(并提供自己的签名证书),就可以向认证服务器请求服务;客户向认证服务器发出访问服务请求,认证服务器接受用户的请求后,先启动一个处理线程IP,处理线程首先分析从客户发来的访问请求,查看用户的IP是否被禁止,然后向客户发出登录通知,并等待用户提交登录信息IP用户提交的信息在客户端首先被单向加密,然后在SSL信道送到服务器。处理线程首先根据用户提交的部分信息,从系统库中取出密码然后进行同客户端相同的加密方法,再同用户提交的其他信息进行比照,以验证用户身份。
采用会话密钥是为了加强抵抗攻击的强度,此处服务器的信任可以由服务器的证书来保证;用户通过验证后,服务器同用户间建立会话,并根据用户的身份显示该用户能够访问的服务器链接。用户可以以此进一步进行访问;此后一段时间内,用户的访问不需要密码,就可以访问服务器。当然,对于服务器和用户阉的每次交互都会检查用户会话内容,以保证安全访问。
5.结语
分布式智能配置管理是未来大规模网络管理的发展趋势。本文提出的基于Web Services的分布式网络智能配置方案,适合于复杂异构的大规模网络和Internet环境下的网络管理。随着网络规模和Internet的不断发展,它将会在越来越多的领域得到广泛应用。