一種支持SNMP V3的代理平臺(tái)設(shè)計(jì)方案

　?、补芾韺?shí)體USM模塊根據(jù)LCD中該用戶的私密化算法，對(duì)SNMP消息中的范圍PDU部分進(jìn)行加密，并將私密化參數(shù)填入到SNMP消息中。

　?、彻芾韺?shí)體USM模塊根據(jù)LCD中該用戶的認(rèn)證算法，認(rèn)證密鑰，計(jì)算出待認(rèn)證的SNMP消息的認(rèn)證參數(shù)，將該認(rèn)證參數(shù)填充到SNMP V3消息中。

　?、创韺?shí)體的SNMP引擎接收到管理實(shí)體的SNMP　V3消息后，解析出消息中的安全級(jí)別、安全模型、用戶名、認(rèn)證參數(shù)、私密化參數(shù)，交付給USM模塊

　?、荡韺?shí)體的USM模塊根據(jù)用戶名查詢LCD，得到該用戶的認(rèn)證算法、認(rèn)證密鑰，計(jì)算出待認(rèn)證的SNMP消息的認(rèn)證參數(shù)，同原SNMP消息所攜帶的認(rèn)證參數(shù)相比較，如相同則通過認(rèn)證，否則認(rèn)證失敗。

　?、洞韺?shí)體的USM模塊根據(jù)SNMP消息中的私密化參數(shù)，以及LCD中用戶的私密化算法，對(duì)PDU進(jìn)行解密。

　?、稶SM模塊將通過認(rèn)證，并解密的SNMP消息，提供給SNMP引擎進(jìn)一步處理。

　?、复韺?shí)體的SNMP引擎生成了SNMP消息，準(zhǔn)備發(fā)送給管理實(shí)體之前的“認(rèn)證且私密”過程，與上述過程類似。

　　對(duì)于“認(rèn)證無私密”的處理過程，則可省略上述過程的2、6兩步。

　　VACM的驗(yàn)證流程

　　在通常的網(wǎng)管實(shí)踐中，常常遇到一系列安全問題，如非法的管理者，對(duì)某OID進(jìn)行操作;合法的管理者，對(duì)某未授權(quán)的OID進(jìn)行操作等等。這些問題實(shí)際上是代理實(shí)體中的SNMP應(yīng)用(包括命令應(yīng)答器，通知生成器)在處理SNMP消息中的PDU時(shí)需要控制的，VACM(基于視圖的訪問控制模型)是這樣一種訪問控制方案，通過在代理實(shí)體的VACM MIB定義的用戶所能訪問的MIB視圖的對(duì)應(yīng)關(guān)系，來決定一個(gè)SNMP協(xié)議操作，是否能夠訪問一個(gè)MIB對(duì)象。VACM LCD的表格如表1所示。

　　除此之外，IPV4和IPV6的兼容設(shè)計(jì)、SNMP并發(fā)處理機(jī)制等也非常重要。

　　結(jié)語

　　支持SNMP V3的代理平臺(tái)能提供SNMP消息在網(wǎng)絡(luò)傳輸中的安全保護(hù)，支持基于用戶的安全模型(USM)，提供SNMP消息在代理平臺(tái)內(nèi)部處理時(shí)的安全控制;支持SNM基于視圖的訪問控制模型(VACM);支持SNMP消息的并發(fā)處理;并支持在IPV4和IPV6環(huán)境下運(yùn)行，該代理平臺(tái)使網(wǎng)絡(luò)設(shè)備的管理更安全、更容易、更有效率。