一種支持SNMP V3的代理平臺設計方案

　　3.關鍵技術實現方法

　　3.1 USM認證與私密化流程:

　　USM是SNMP V3代理框架中安全子系統中的一種基于用戶的安全模型，來解決SNMP消息在網絡傳輸過程中可能遭受的安全威脅.USM對應三種安全級別,分別是:無認證無私密化，認證無私密化和認證且私密化.USM認證與私密化過程如下:

　　1：管理實體選擇的安全級別為 “認證且私密”，安全模型為“USM”，管理實體需要在LCD中選擇一個與本安全級別匹配的用戶名。

　　2：管理實體USM模塊根據根據LCD中該用戶的私密化算法，對SNMP消息中的范圍PDU部分進行加密，并將私密化參數填入到SNMP消息中。

　　3：管理實體USM模塊根據LCD中該用戶的認證算法，認證密鑰，計算出待認證的SNMP消息的認證參數，將該認證參數填充到SNMP V3消息中。

　　4：代理實體的SNMP引擎接收到管理實體的SNMP　V3消息后，解析出消息中的安全級別，安全模型，用戶名，認證參數，私密化參數，交付給USM模塊

　　5：代理實體的USM模塊根據用戶名查詢LCD，得到該用戶的認證算法，認證密鑰，計算出待認證的SNMP消息的認證參數，同原SNMP消息所攜帶的認證參數相比較，如相同則通過認證，否則認證失敗。

　　6：代理實體的USM模塊根據SNMP消息中的私密化參數，以及LCD中用戶的私密化算法，對范圍PDU進行解密。

　　7：USM模塊將通過認證，并解密的SNMP消息，提供給SNMP引擎進一步處理。

　　8：代理實體的SNMP引擎生成了SNMP消息，準備發送給管理實體之前的“認證且私密”過程，與上述過程類似。

　　對于“認證無私密”的處理過程，則可省略上述過程的2,6兩步。

　　3.2 VACM的驗證流程

　　在通常的網管實踐中，常常遇到一系列安全問題,如非法的管理者，對某OID進行操作;

　　合法的管理者，對某未授權的OID進行操作;合法的管理者，對某授權的OID進行未授權的操作等等.這些問題實際上是代理實體中的SNMP應用(包括命令應答器，通知生成器)在處理SNMP消息中的PDU時需要控制的，VACM(基于視圖的訪問控制模型)是這樣一種訪問控制方案,通過在代理實體的VACM MIB定義的用戶所能訪問的MIB視圖的對應關系，來決定一個SNMP協議操作，是否能夠訪問一個MIB對象。VACM LCD的表格如下表所示:

　　表1:VACM LCD所包含的表格

　　VACM的驗證流程如下:

　　1：在vacmSecurityToGroupTable表中查找由securityName和securityModel的組合所確定的請求訪問操作的用戶是否是這個SNMP引擎所配置的某個組的成員，若存在則返回組名groupName。不存在則報告錯誤(noGroupName)

　　2:在vacmContextTable中查詢contextName,如果不存在，則報告錯誤(noSuchContext)

　　3：使用vaemAeeessTable將groupName、contextName以及securityModel、securityLevel的組合映射到一個MIB視圖，將要使用的MIB視圖取決于ViewType。MIB視圖定義的是該用戶可以訪問的MIB變量。

　　4: 根據MIB視圖，利用vacmViewTreeFamilyTable表檢查是否可以訪問PDU變量綁定中的MIB對象。

　　3.3 IPV4和IPV6的兼容設計

　　為了使代理實體同時支持與IPV4和IPV6管理實體的交互，需要代理實體運行的環境，運行IPV4和IPV6雙協議棧，同時，代理實體作為一個IPV6服務器或客戶端存在。

　　對于一個IPV6的雙棧服務器來說，其與IPV4，IPV6客戶端的交互過程為：對于IPV4客戶端，向IPV6服務器的IPV4地址發送請求。其發送的IP報文，在IPV6服務器中，被交付給IPV4協議棧，在上行時，客戶端的IPV4地址，被映射成IPV6地址，并由IPV6服務器應用處理，IPV6服務器在向IPV4客戶端返回信息時，下行時，選擇IPV4協議棧。對于IPV6客戶端，則向IPV6服務器的IPV6地址發送請求，其發送的IP報文，在IPV6服務器中，被交付給IPV6處理。由以上分析可知，代理實體作為IPV6服務器，可以處理IPV4，IPV6客戶端(管理實體)的請求。條件是，IPV6服務器需要配置IPV4，IPV6地址。IPV4客戶端訪問代理實體時，需要使用其IPV4地址。

　　當代理實體為IPV6客戶端，與IPV4，IPV6服務器的交互情況為:對于IPV6客戶端，向IPV4服務器的IPV4地址發送請求之前，需要將IPV4服務器的IPV4地址映射成IPV6地址。其發送的IP報文，在IPV6客戶端中，被交付給IPV4協議棧，在上行時，客戶端的IPV4地址，被映射成IPV6地址，并由IPV6客戶端應用處理。對于IPV6客戶端，向IPV6服務器的IPV6地址發送請求，其發送的IP報文，在IPV6客戶機中使用IPV6協議棧。由以上分析可知，代理實體作為IPV6客戶機，可以與IPV4，IPV6服務器(管理實體)交互，條件是，代理實體作為IPV6客戶機與IPV4服務器交互時，需要使用IPV4服務器的IPV4地址映射的IPV6地址。