论文摘要：一种基于PKI/数字证书的SNMPv3安全模式

随着网络应用的不断深入，各类网络安全设备被广泛的应用到网络体系结构的各个层次，其管理工作显得十分重要。SNMPv3是事实上的互联网络管理的标准，它的安全子系统采用基于用户的安全模式USM，提供消息的加密和认证等服务，但是USM在协议安全性等方面存在严重不足，无法满足网络安全设备管理的要求。本文提出了一种基于PKI/数字证书的安全模式PKISM，它有效的解决了USM存在的问题，使得SNMP网络管理系统在整体安全性等方面获得了很大的提升，提高了系统的可用性。PKISM利用PKI/数字证书技术，设计实现了PKI系统的建立、SNMP实体身份标识、身份认证、身份更新和取消以及访问管理等五个方面，完成了对SNMPv3用户身份在生命周期内的完整管理。PKISM设计了安全握手过程进行PKISM会话的建立，这个过程实现了认证和加密协议组的协商，保证了算法的安全强度；实现了密钥的安全生成、交换和更新，达到了一次一密的效果；SNMP通信双方的身份也在握手过程中得到了认证。本文也论述了会话的恢复和复制机制以及会话结束的方法。PKISM重新定义了SNMPv3报文安全参数的格式，详细论述了报文的发送方和接收方处理报文所需要完成的工作流程。并且设计了XML格式映射表并结合VACM实现了访问控制的方法。通过从协议的安全属性和对于常见网络攻击的抵御情况等两方面进行分析，我们得到的结论是PKISM的安全性满足了设计目标。通过定量的实验我们评估了PKISM的会话建立握手过程对系统性能的影响。总体来说，PKISM虽然带来了少量的系统性能延迟，但是它相比USM在安全性、易管理性和可扩展性方面都得有了巨大的提升，满足了网络安全设备的管理要求。