网络设备监控实现及SNMP协议(4)

身份验证：身份验证是指Agent或NMS接到信息时首先必须确认信息是否来自有权限的NMS或Agent并且信息在传输过程中未被改变。RFC2104中定义了HMAC，这是一种使用安全哈希函数和密钥来产生信息验证码的有效工具，在互联网中得到了广泛的应用。SNMP使用的HMAC可以分为两种：HMAC-MD5-96和HMAC-SHA-96。前者的哈希函数是MD5，使用128位authKey作为输入。后者的哈希函数是SHA-1，使用160位authKey作为输入。
加密：加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。加密的过程与身份验证类似，也需要管理站和代理共享同一密钥来实现信息的加密和解密。SNMP使用以下三种加密算法：DES、3DES、AES
VACM：对用户组或者团体名实现基于视图的访问控制。用户必须首先配置一个视图，并指明权限。用户可以在配置用户或者用户组或者团体名的时候，加载这个视图达到限制读写操作、Inform或Trap的目的。
SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致，唯一的区别是SNMPv3增加了身份验证和加密处理。下面以Get操作为例介绍下SNMPv3的工作原理。
假定NMS想要获取被管理设备MIB节点sysContact的值，使用认证加密方式，过程下图所示：

NMS：向Agent发送不带安全参数的Get请求报文，向Agent获取Context EngineID、Context Name和安全参数。
Agent：响应NMS的请求，并向NMS反馈请求的参数。
NMS：再次向Agent发送Get请求报文，报文中各字段的设置如下：
版本：SNMP v3版本。
报头数据：指明采用认证、加密方式。
安全参数：NMS通过配置的算法计算出认证参数和加密参数，并填入相应字段。
PDU：将获取的Context EngineID和Context Name填入相应字段，PDU类型设置为Get，绑定变量填入MIB节点名sysContact，并使用已配置的加密算法对PDU进行加密。