一種支持SNMP V3的代理平臺(tái)設(shè)計(jì)方案

　　摘要：SNMP是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議，SNMP V3是其最新版本，需要被各類(lèi)網(wǎng)絡(luò)設(shè)備的代理平臺(tái)所支持。本文提出了一種支持SNMP V3的網(wǎng)絡(luò)設(shè)備代理平臺(tái)的設(shè)計(jì)方案，重點(diǎn)討論了代理平臺(tái)的結(jié)構(gòu)、SNMP V3消息的處理機(jī)制以及關(guān)鍵技術(shù)的實(shí)現(xiàn)方法。

　　關(guān)鍵詞：SNMP V3;代理平臺(tái);USM;VACM引言

　　簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。目前SNMP協(xié)議主要包括三個(gè)版本：SNMP V1、SNMP V2以及最新的SNMP V3。SNMP V3采用了新的SNMP擴(kuò)展框架，解決了SNMP協(xié)議以前版本在安全性和管理方面表現(xiàn)不理想的問(wèn)題，支持SNMP V3是網(wǎng)絡(luò)設(shè)備的趨勢(shì)。網(wǎng)絡(luò)設(shè)備通過(guò)代理平臺(tái)處理SNMP協(xié)議，設(shè)計(jì)一種支持SNMPV3的代理平臺(tái)，對(duì)于路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備具有重要意義。

　　代理平臺(tái)的結(jié)構(gòu)和SNMP V3處理機(jī)制

　　代理平臺(tái)的結(jié)構(gòu)

　　基于SNMP的管理體系架構(gòu)中，存在著SNMP管理實(shí)體(系統(tǒng)網(wǎng)管)和SNMP代理實(shí)體(被管網(wǎng)元)兩種基本元素。管理實(shí)體和代理實(shí)體按系統(tǒng)功能可進(jìn)一步細(xì)分為SNMP引擎和SNMP應(yīng)用，見(jiàn)圖1的SNMP管理體系架構(gòu)。

　　SNMP引擎主要實(shí)現(xiàn)SNMP的協(xié)議相關(guān)的處理，包括SNMP消息的收發(fā)，SNMP消息的解析，SNMP的PDU處理等工作。在一個(gè)管理域的范圍內(nèi)，一個(gè)SNMP引擎snmpEngineID作為唯一標(biāo)識(shí)。SNMP引擎中，針對(duì)V1、V2、V3版SNMP消息，提供三種消息處理模型，當(dāng)SNMP消息進(jìn)入SNMP引擎后，根據(jù)SNMP消息的版本號(hào)，將SNMP消息分派給不同的消息處理模型處理。

　　SNMP應(yīng)用主要實(shí)現(xiàn)不同的管理功能(如配置，性能，告警管理)。在代理實(shí)體，主要存在著命令應(yīng)答器(用于對(duì)SNMP引擎接受到的SNMP請(qǐng)求，產(chǎn)生SNMP應(yīng)答)，通知生成器(用于代理實(shí)體主動(dòng)產(chǎn)生的TRAP，通知的生成)兩種應(yīng)用。

　　SNMP V3消息處理機(jī)制

　　SNMP V3消息中加入了安全級(jí)別、安全模型、安全參數(shù)、訪問(wèn)OID的上下文名和訪問(wèn)OID的contextEngineID等參數(shù)。在SNMP引擎的V3消息處理模型的消息處理過(guò)程中，需要引入安全子系統(tǒng)，用于清除SNMP消息被篡改，消息源偽裝，SNMP消息隱私暴露，SNMP消息過(guò)時(shí)等問(wèn)題;需要加入訪問(wèn)控制子系統(tǒng)，防止對(duì)未授權(quán)的OID進(jìn)行非法操作。

　　SNMP引擎在接收到傳入的SNMP V3消息后，先通過(guò)安全子系統(tǒng)USM模塊的處理，將SNMP消息被解析成SNMP PDU;然后SNMP PDU經(jīng)過(guò)訪問(wèn)控制子系統(tǒng)的VACM模塊和命令應(yīng)答器，經(jīng)過(guò)處理生成應(yīng)答PDU，然后交給安全子系統(tǒng)USM模塊產(chǎn)生SNMP V3應(yīng)答消息。對(duì)于通知生成器，在原始通知提交到SNMP引擎后，先經(jīng)過(guò)訪問(wèn)控制子系統(tǒng)VACM模塊的處理，通過(guò)后再交給安全子系統(tǒng)USM模塊，加工成SNMP V3消息，最后由SNMP引擎發(fā)送出去。

　　在SNMP引擎中，USMS模塊和VACM模塊運(yùn)行之前，需要在本地配置數(shù)據(jù)庫(kù)(LCD)中配置相關(guān)參數(shù)。管理實(shí)體與代理實(shí)體的USM配置需要保持一致，為了實(shí)現(xiàn)數(shù)據(jù)的同步，代理實(shí)體提供訪問(wèn)USM，VACM的LCD的SNMP訪問(wèn)接口，以實(shí)現(xiàn)對(duì)USM、VACM的遠(yuǎn)程配置。

　　關(guān)鍵技術(shù)實(shí)現(xiàn)方法

　　USM認(rèn)證與私密化流程:

　　USM是SNMP V3代理框架中安全子系統(tǒng)中的一種基于用戶(hù)的安全模型，來(lái)解決SNMP消息在網(wǎng)絡(luò)傳輸過(guò)程中可能遭受的安全威脅。USM對(duì)應(yīng)三種安全級(jí)別，分別是：無(wú)認(rèn)證無(wú)私密化，認(rèn)證無(wú)私密化和認(rèn)證且私密化。USM認(rèn)證與私密化過(guò)程如下：

　?、惫芾韺?shí)體選擇的安全級(jí)別為 “認(rèn)證且私密”，安全模型為“USM”，管理實(shí)體需要在LCD中選擇一個(gè)與本安全級(jí)別匹配的用戶(hù)名。