支持SNMP V3的代理平臺(tái)的設(shè)計(jì)方案

  簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。目前SNMP協(xié)議主要包括三個(gè)版本：SNMP V1、SNMP V2以及最新的SNMP V3。SNMP V3采用了新的SNMP擴(kuò)展框架，解決了SNMP協(xié)議以前版本在安全性和管理方面表現(xiàn)不理想的問題，支持SNMP V3是網(wǎng)絡(luò)設(shè)備的趨勢。網(wǎng)絡(luò)設(shè)備通過代理平臺(tái)處理SNMP協(xié)議，設(shè)計(jì)一種支持SNMPV3的代理平臺(tái)，對于路由器
路由器

　　路由器是用來連接不同網(wǎng)絡(luò)或網(wǎng)段的裝置，它能夠根據(jù)信道的情況自動(dòng)選擇并設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號。路由器構(gòu)成了 Internet的骨架。路由器的處理速度與可靠性直接影響著網(wǎng)絡(luò)互連的速度與質(zhì)量。 [全文]

、交換機(jī)
交換機(jī)
　　交換機(jī)的英文名稱為“Switch”，它是網(wǎng)絡(luò)節(jié)點(diǎn)上話務(wù)承載裝置、交換級、控制和信令設(shè)備以及其他功能單元的集合體。交換機(jī)能把用戶線路、電信電路和(或)其他要互連的功能單元根據(jù)單個(gè)用戶的請求連接起來。 它是集線器的升級換代產(chǎn)品，從外觀上來看，它與集線器基本上沒有多大區(qū)別，都是帶有多個(gè)端口的長方體。交換機(jī)是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動(dòng)完成的方法把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。 [全文]

等網(wǎng)絡(luò)設(shè)備具有重要意義。

　　代理平臺(tái)的結(jié)構(gòu)和SNMP V3處理機(jī)制

　　代理平臺(tái)的結(jié)構(gòu)

　　基于SNMP的管理體系架構(gòu)中，存在著SNMP管理實(shí)體(系統(tǒng)網(wǎng)管)和SNMP代理實(shí)體(被管網(wǎng)元)兩種基本元素。管理實(shí)體和代理實(shí)體按系統(tǒng)功能可進(jìn)一步細(xì)分為SNMP引擎和SNMP應(yīng)用，見圖1的SNMP管理體系架構(gòu)。

圖1 SNMP管理體系架構(gòu)

　　SNMP引擎主要實(shí)現(xiàn)SNMP的協(xié)議相關(guān)的處理，包括SNMP消息的收發(fā)，SNMP消息的解析，SNMP的PDU處理等工作。在一個(gè)管理域的范圍內(nèi)，一個(gè)SNMP引擎snmpEngineID作為唯一標(biāo)識。SNMP引擎中，針對V1、V2、V3版SNMP消息，提供三種消息處理模型，當(dāng)SNMP消息進(jìn)入SNMP引擎后，根據(jù)SNMP消息的版本號，將SNMP消息分派給不同的消息處理模型處理。

　　SNMP應(yīng)用主要實(shí)現(xiàn)不同的管理功能(如配置，性能，告警管理)。在代理實(shí)體，主要存在著命令應(yīng)答器(用于對SNMP引擎接受到的SNMP請求，產(chǎn)生SNMP應(yīng)答)，通知生成器(用于代理實(shí)體主動(dòng)產(chǎn)生的TRAP，通知的生成)兩種應(yīng)用。

　　SNMP V3消息處理機(jī)制

　　SNMP V3消息中加入了安全級別、安全模型、安全參數(shù)、訪問OID的上下文名和訪問OID的cONtextEngineID等參數(shù)。在SNMP引擎的V3消息處理模型的消息處理過程中，需要引入安全子系統(tǒng)，用于清除SNMP消息被篡改，消息源偽裝，SNMP消息隱私暴露，SNMP消息過時(shí)等問題;需要加入訪問控制子系統(tǒng)，防止對未授權(quán)的OID進(jìn)行非法操作。

　　SNMP引擎在接收到傳入的SNMP V3消息后，先通過安全子系統(tǒng)USM模塊的處理，將SNMP消息被解析成SNMP PDU;然后SNMP PDU經(jīng)過訪問控制子系統(tǒng)的VACM
CM

　　電纜調(diào)制解調(diào)器（Cable Modem）是一種可以通過有線電視網(wǎng)絡(luò)進(jìn)行高速數(shù)據(jù)接入的裝置。 CM一般有兩個(gè)接口，一個(gè)是用來連接室內(nèi)墻上的有線電視端口，另一個(gè)是標(biāo)準(zhǔn)的10BASET以太網(wǎng)接口，同用戶的計(jì)算機(jī)或是集線器相連，CM本身不單純是調(diào)制解調(diào)器，他是MODEM、調(diào)諧器、加/解密設(shè)備、橋接器、網(wǎng)絡(luò)接口卡、SNMP代理和以太網(wǎng)集線器的功能于一身。

模塊和命令應(yīng)答器，經(jīng)過處理生成應(yīng)答PDU，然后交給安全子系統(tǒng)USM模塊產(chǎn)生SNMP V3應(yīng)答消息。對于通知生成器，在原始通知提交到SNMP引擎后，先經(jīng)過訪問控制子系統(tǒng)VACM模塊的處理，通過后再交給安全子系統(tǒng)USM模塊，加工成SNMP V3消息，最后由SNMP引擎發(fā)送出去。

　　在SNMP引擎中，USMS模塊和VACM模塊運(yùn)行之前，需要在本地配置數(shù)據(jù)庫(LCD
LCD

　　LCD（Liquid Crystal Display），即液晶顯示屏。LCD是平面超薄的顯示設(shè)備，它由一定數(shù)量的彩色或黑白像素組成，放置于光源或者反射面前方。液晶顯示器功耗很低，因此倍受工程師青睞，適用于使用電池的電子設(shè)備。它的主要原理是以電流刺激液晶分子產(chǎn)生點(diǎn)、線、面配合背部燈管構(gòu)成畫面。單色的LCD已經(jīng)基本退出市場，彩色LCD主要又分為 STN 和 TFT 兩種，其中TFT（Thin Film Transistor）LCD，又稱為主動(dòng)式電晶薄膜晶體管液晶顯示屏，也就是被很多人俗稱的真彩液晶顯示屏；DSTN(Dual-ScnTwistedNematic)LCD，即雙掃瞄液晶顯示屏。 [全文]

)中配置相關(guān)參數(shù)。管理實(shí)體與代理實(shí)體的USM配置需要保持一致，為了實(shí)現(xiàn)數(shù)據(jù)的同步，代理實(shí)體提供訪問USM，VACM的LCD
LCD
　　LCD（Liquid Crystal Display），即液晶顯示屏。LCD是平面超薄的顯示設(shè)備，它由一定數(shù)量的彩色或黑白像素組成，放置于光源或者反射面前方。液晶顯示器功耗很低，因此倍受工程師青睞，適用于使用電池的電子設(shè)備。它的主要原理是以電流刺激液晶分子產(chǎn)生點(diǎn)、線、面配合背部燈管構(gòu)成畫面。單色的LCD已經(jīng)基本退出市場，彩色LCD主要又分為 STN 和 TFT 兩種，其中TFT（Thin Film Transistor）LCD，又稱為主動(dòng)式電晶薄膜晶體管液晶顯示屏，也就是被很多人俗稱的真彩液晶顯示屏；DSTN(Dual-ScnTwistedNematic)LCD，即雙掃瞄液晶顯示屏。

的SNMP訪問接口，以實(shí)現(xiàn)對USM、VACM的遠(yuǎn)程配置。

　　關(guān)鍵技術(shù)實(shí)現(xiàn)方法

　　USM認(rèn)證與私密化流程：

　　USM是SNMP V3代理框架中安全子系統(tǒng)中的一種基于用戶的安全模型，來解決SNMP消息在網(wǎng)絡(luò)傳輸過程中可能遭受的安全威脅。USM對應(yīng)三種安全級別，分別是：無認(rèn)證無私密化，認(rèn)證無私密化和認(rèn)證且私密化。USM認(rèn)證與私密化過程如下：

　?、惫芾韺?shí)體選擇的安全級別為 “認(rèn)證且私密”，安全模型為“USM”，管理實(shí)體需要在LCD中選擇一個(gè)與本安全級別匹配的用戶名。

　　⒉管理實(shí)體USM模塊根據(jù)LCD中該用戶的私密化算法，對SNMP消息中的范圍PDU部分進(jìn)行加密，并將私密化參數(shù)填入到SNMP消息中。

　?、彻芾韺?shí)體USM模塊根據(jù)LCD中該用戶的認(rèn)證算法，認(rèn)證密鑰，計(jì)算出待認(rèn)證的SNMP消息的認(rèn)證參數(shù)，將該認(rèn)證參數(shù)填充到SNMP V3消息中。

　?、创韺?shí)體的SNMP引擎接收到管理實(shí)體的SNMP　V3消息后，解析出消息中的安全級別、安全模型、用戶名、認(rèn)證參數(shù)、私密化參數(shù)，交付給USM模塊

　?、荡韺?shí)體的USM模塊根據(jù)用戶名查詢LCD，得到該用戶的認(rèn)證算法、認(rèn)證密鑰，計(jì)算出待認(rèn)證的SNMP消息的認(rèn)證參數(shù)，同原SNMP消息所攜帶的認(rèn)證參數(shù)相比較，如相同則通過認(rèn)證，否則認(rèn)證失敗。

　?、洞韺?shí)體的USM模塊根據(jù)SNMP消息中的私密化參數(shù)，以及LCD中用戶的私密化算法，對PDU進(jìn)行解密。

　?、稶SM模塊將通過認(rèn)證，并解密的SNMP消息，提供給SNMP引擎進(jìn)一步處理。

　?、复韺?shí)體的SNMP引擎生成了SNMP消息，準(zhǔn)備發(fā)送給管理實(shí)體之前的“認(rèn)證且私密”過程，與上述過程類似。

　　對于“認(rèn)證無私密”的處理過程，則可省略上述過程的2、6兩步。

　　VACM的驗(yàn)證流程

　　在通常的網(wǎng)管實(shí)踐中，常常遇到一系列安全問題，如非法的管理者，對某OID進(jìn)行操作;合法的管理者，對某未授權(quán)的OID進(jìn)行操作等等。這些問題實(shí)際上是代理實(shí)體中的SNMP應(yīng)用(包括命令應(yīng)答器，通知生成器)在處理SNMP消息中的PDU時(shí)需要控制的，VACM(基于視圖的訪問控制模型)是這樣一種訪問控制方案，通過在代理實(shí)體的VACM MIB定義的用戶所能訪問的MIB視圖的對應(yīng)關(guān)系，來決定一個(gè)SNMP協(xié)議操作，是否能夠訪問一個(gè)MIB對象。VACM LCD的表格如表1所示。

表1 VACM LCD的表格

　　除此之外，IPV4和IPV6的兼容設(shè)計(jì)、SNMP并發(fā)處理機(jī)制等也非常重要。

　　結(jié)語

　　支持SNMP V3的代理平臺(tái)能提供SNMP消息在網(wǎng)絡(luò)傳輸中的安全保護(hù)，支持基于用戶的安全模型(USM)，提供SNMP消息在代理平臺(tái)內(nèi)部處理時(shí)的安全控制;支持SNM基于視圖的訪問控制模型(VACM);支持SNMP消息的并發(fā)處理;并支持在IPV4和IPV6環(huán)境下運(yùn)行，該代理平臺(tái)使網(wǎng)絡(luò)設(shè)備的管理更安全、更容易、更有效率。