一種支持SNMP V3的代理平臺設計方案

　　摘要：SNMP是目前TCP/IP網絡中應用最為廣泛的網絡管理協議，SNMP V3是其最新版本，需要被各類網絡設備的代理平臺所支持。本文提出了一種支持SNMP V3的網絡設備代理平臺的設計方案，重點討論了代理平臺的結構、SNMP V3消息的處理機制以及關鍵技術的實現方法。

　　關鍵詞：SNMP V3;代理平臺;USM;VACM引言

　　簡單網絡管理協議(SNMP)是目前TCP/IP網絡中應用最為廣泛的網絡管理協議。目前SNMP協議主要包括三個版本：SNMP V1、SNMP V2以及最新的SNMP V3。SNMP V3采用了新的SNMP擴展框架，解決了SNMP協議以前版本在安全性和管理方面表現不理想的問題，支持SNMP V3是網絡設備的趨勢。網絡設備通過代理平臺處理SNMP協議，設計一種支持SNMPV3的代理平臺，對于路由器、交換機等網絡設備具有重要意義。

　　代理平臺的結構和SNMP V3處理機制

　　代理平臺的結構

　　基于SNMP的管理體系架構中，存在著SNMP管理實體(系統網管)和SNMP代理實體(被管網元)兩種基本元素。管理實體和代理實體按系統功能可進一步細分為SNMP引擎和SNMP應用，見圖1的SNMP管理體系架構。

　　SNMP引擎主要實現SNMP的協議相關的處理，包括SNMP消息的收發，SNMP消息的解析，SNMP的PDU處理等工作。在一個管理域的范圍內，一個SNMP引擎snmpEngineID作為唯一標識。SNMP引擎中，針對V1、V2、V3版SNMP消息，提供三種消息處理模型，當SNMP消息進入SNMP引擎后，根據SNMP消息的版本號，將SNMP消息分派給不同的消息處理模型處理。

　　SNMP應用主要實現不同的管理功能(如配置，性能，告警管理)。在代理實體，主要存在著命令應答器(用于對SNMP引擎接受到的SNMP請求，產生SNMP應答)，通知生成器(用于代理實體主動產生的TRAP，通知的生成)兩種應用。

　　SNMP V3消息處理機制

　　SNMP V3消息中加入了安全級別、安全模型、安全參數、訪問OID的上下文名和訪問OID的contextEngineID等參數。在SNMP引擎的V3消息處理模型的消息處理過程中，需要引入安全子系統，用于清除SNMP消息被篡改，消息源偽裝，SNMP消息隱私暴露，SNMP消息過時等問題;需要加入訪問控制子系統，防止對未授權的OID進行非法操作。

　　SNMP引擎在接收到傳入的SNMP V3消息后，先通過安全子系統USM模塊的處理，將SNMP消息被解析成SNMP PDU;然后SNMP PDU經過訪問控制子系統的VACM模塊和命令應答器，經過處理生成應答PDU，然后交給安全子系統USM模塊產生SNMP V3應答消息。對于通知生成器，在原始通知提交到SNMP引擎后，先經過訪問控制子系統VACM模塊的處理，通過后再交給安全子系統USM模塊，加工成SNMP V3消息，最后由SNMP引擎發送出去。

　　在SNMP引擎中，USMS模塊和VACM模塊運行之前，需要在本地配置數據庫(LCD)中配置相關參數。管理實體與代理實體的USM配置需要保持一致，為了實現數據的同步，代理實體提供訪問USM，VACM的LCD的SNMP訪問接口，以實現對USM、VACM的遠程配置。

　　關鍵技術實現方法

　　USM認證與私密化流程:

　　USM是SNMP V3代理框架中安全子系統中的一種基于用戶的安全模型，來解決SNMP消息在網絡傳輸過程中可能遭受的安全威脅。USM對應三種安全級別，分別是：無認證無私密化，認證無私密化和認證且私密化。USM認證與私密化過程如下：

　　⒈管理實體選擇的安全級別為 “認證且私密”，安全模型為“USM”，管理實體需要在LCD中選擇一個與本安全級別匹配的用戶名。