一種支持SNMP V3的代理平臺設計方案

　?、补芾韺?shí)體USM模塊根據LCD中該用戶(hù)的私密化算法，對SNMP消息中的范圍PDU部分進(jìn)行加密，并將私密化參數填入到SNMP消息中。

　?、彻芾韺?shí)體USM模塊根據LCD中該用戶(hù)的認證算法，認證密鑰，計算出待認證的SNMP消息的認證參數，將該認證參數填充到SNMP V3消息中。

　?、创韺?shí)體的SNMP引擎接收到管理實(shí)體的SNMP　V3消息后，解析出消息中的安全級別、安全模型、用戶(hù)名、認證參數、私密化參數，交付給USM模塊

　?、荡韺?shí)體的USM模塊根據用戶(hù)名查詢(xún)LCD，得到該用戶(hù)的認證算法、認證密鑰，計算出待認證的SNMP消息的認證參數，同原SNMP消息所攜帶的認證參數相比較，如相同則通過(guò)認證，否則認證失敗。

　?、洞韺?shí)體的USM模塊根據SNMP消息中的私密化參數，以及LCD中用戶(hù)的私密化算法，對PDU進(jìn)行解密。

　?、稶SM模塊將通過(guò)認證，并解密的SNMP消息，提供給SNMP引擎進(jìn)一步處理。

　?、复韺?shí)體的SNMP引擎生成了SNMP消息，準備發(fā)送給管理實(shí)體之前的“認證且私密”過(guò)程，與上述過(guò)程類(lèi)似。

　　對于“認證無(wú)私密”的處理過(guò)程，則可省略上述過(guò)程的2、6兩步。

　　VACM的驗證流程

　　在通常的網(wǎng)管實(shí)踐中，常常遇到一系列安全問(wèn)題，如非法的管理者，對某OID進(jìn)行操作;合法的管理者，對某未授權的OID進(jìn)行操作等等。這些問(wèn)題實(shí)際上是代理實(shí)體中的SNMP應用(包括命令應答器，通知生成器)在處理SNMP消息中的PDU時(shí)需要控制的，VACM(基于視圖的訪(fǎng)問(wèn)控制模型)是這樣一種訪(fǎng)問(wèn)控制方案，通過(guò)在代理實(shí)體的VACM MIB定義的用戶(hù)所能訪(fǎng)問(wèn)的MIB視圖的對應關(guān)系，來(lái)決定一個(gè)SNMP協(xié)議操作，是否能夠訪(fǎng)問(wèn)一個(gè)MIB對象。VACM LCD的表格如表1所示。

　　除此之外，IPV4和IPV6的兼容設計、SNMP并發(fā)處理機制等也非常重要。

　　結語(yǔ)

　　支持SNMP V3的代理平臺能提供SNMP消息在網(wǎng)絡(luò )傳輸中的安全保護，支持基于用戶(hù)的安全模型(USM)，提供SNMP消息在代理平臺內部處理時(shí)的安全控制;支持SNM基于視圖的訪(fǎng)問(wèn)控制模型(VACM);支持SNMP消息的并發(fā)處理;并支持在IPV4和IPV6環(huán)境下運行，該代理平臺使網(wǎng)絡(luò )設備的管理更安全、更容易、更有效率。