メインコンテンツまでスキップ

1.4. Module Organization (モジュール構成)

1.4. Module Organization (モジュール構成)

このセクションでは, ユーザーベースセキュリティモデルの構成とドキュメント化の方法について説明します。

Document Structure (ドキュメント構造)

ユーザーベースセキュリティモデル (USM) は, このドキュメントで以下の構成に従って規定されています:

  1. セクション 1 では, 脅威, 目標, 制約, セキュリティサービスを含む, セキュリティモデルの紹介を提供します。

  2. セクション 2 では, ユーザー, リプレイ保護, 時刻同期, メッセージ形式, サービスを含む, モデルの要素を定義します。

  3. セクション 3 では, 送信メッセージの生成と受信メッセージの処理の両方について, メッセージ処理の手順を説明します。

  4. セクション 4 では, 権威ある SNMP エンジンの snmpEngineID を学習するためのディスカバリーメカニズムを説明します。

  5. セクション 5 には, SMIv2 構文を使用した完全な MIB モジュール定義 (SNMP-USER-BASED-SM-MIB) が含まれています。この MIB モジュールは以下を定義します:

    • ユーザー構成オブジェクト (usmUserTable)
    • 統計オブジェクト (usmStats)
    • 適合性ステートメント

  6. セクション 6 は HMAC-MD5-96 認証プロトコルを指定します。

  7. セクション 7 は HMAC-SHA-96 認証プロトコルを指定します。

  8. セクション 8 は CBC-DES プライバシープロトコルを指定します。

  9. セクション 9 は知的財産に関する考慮事項を議論します。

  10. セクション 10 は謝辞を提供します。

  11. セクション 11 には, 推奨される実践, ユーザー定義ガイダンス, 適合性要件, レポート使用法, MIB アクセス制御を含む, セキュリティ考慮事項が含まれています。

  12. セクション 12 は規範的および参考的な参照文献をリストします。

  13. 付録 A は, アルゴリズムと例を含む, 詳細な実装ガイダンスを提供します。

  14. 付録 B は RFC 2574 からの変更を文書化します。

Relationship to Other SNMPv3 Documents (他の SNMPv3 ドキュメントとの関係)

ユーザーベースセキュリティモデルは SNMPv3 アーキテクチャの一部です。他の SNMPv3 ドキュメントとの関係は以下の通りです:

  • RFC 3411 - "簡易ネットワーク管理プロトコル (SNMP) 管理フレームワークを記述するためのアーキテクチャ": 全体的なアーキテクチャとセキュリティモデルインターフェースを定義します。

  • RFC 3412 - "簡易ネットワーク管理プロトコル (SNMP) のメッセージ処理とディスパッチング": メッセージ処理サブシステムによって USM がどのように呼び出されるかを定義します。

  • RFC 3413 - "簡易ネットワーク管理プロトコル (SNMP) アプリケーション": セキュリティに USM を使用するアプリケーションを定義します。

  • RFC 3415 - "簡易ネットワーク管理プロトコル (SNMP) のビューベースアクセス制御モデル (VACM)": USM と連携して完全なセキュリティを提供します (USM は認証とプライバシーを提供し, VACM は承認を提供します)。

  • RFC 3416 - "簡易ネットワーク管理プロトコル (SNMP) のプロトコル操作バージョン 2": USM が使用するレポート-PDU を含む PDU 形式を定義します。

  • RFC 3417 - "簡易ネットワーク管理プロトコル (SNMP) のトランスポートマッピング": USM によって保護された SNMP メッセージがどのように転送されるかを定義します。

  • RFC 3418 - "簡易ネットワーク管理プロトコル (SNMP) の管理情報ベース (MIB)": USM が依存する SNMP-FRAMEWORK-MIB と SNMP-MPD-MIB を定義します。

Layered Architecture (階層化アーキテクチャ)

USM は SNMPv3 アーキテクチャに以下のように適合します:

+------------------------------------------------------------+
|                    SNMP アプリケーション                    |
|  (コマンドジェネレーター, コマンドレスポンダー,             |
|   通知発信者, 通知受信者, プロキシ転送者)                   |
+------------------------------------------------------------+
|                   ディスパッチャー                         |
|  (メッセージ処理, PDU ディスパッチング, トランスポートマッピング) |
+------------------------------------------------------------+
|                セキュリティサブシステム                     |
|  +------------------------------------------------------+  |
|  |         ユーザーベースセキュリティモデル (USM)        |  |
|  |  - 認証 (HMAC-MD5-96, HMAC-SHA-96)                  |  |
|  |  - プライバシー (CBC-DES)                           |  |
|  |  - 時刻同期                                         |  |
|  |  - ディスカバリー                                    |  |
|  +------------------------------------------------------+  |
+------------------------------------------------------------+
|                アクセス制御サブシステム                     |
|  +------------------------------------------------------+  |
|  |      ビューベースアクセス制御モデル (VACM)            |  |
|  +------------------------------------------------------+  |
+------------------------------------------------------------+

USM はメッセージ処理サブシステムによって以下の目的で呼び出されます:

  • 送信メッセージにセキュリティサービスを提供する
  • 受信メッセージのセキュリティサービスを検証する
  • セキュリティ関連のエラーを報告する

MIB Module Organization (MIB モジュール構成)

SNMP-USER-BASED-SM-MIB モジュールは, いくつかの機能グループに編成されています:

  1. usmStats グループ: USM 操作を監視し, セキュリティ問題を検出するための統計カウンター。

  2. usmUser グループ: ユーザーの構成と管理, 以下を含みます:

    • ユーザー識別
    • 認証およびプライバシープロトコル
    • 鍵管理

  3. 適合性グループ (Conformance Group): USM 実装のコンプライアンス要件を定義します。

Protocol Organization (プロトコル構成)

認証およびプライバシープロトコルは個別のセクション (6, 7, 8) として指定されており, 以下を可能にします:

  1. 各プロトコルの明確な仕様
  2. 将来の新しいプロトコルの追加の容易さ
  3. モジュール化されたコンポーネントとしてのプロトコルの実装
  4. 各プロトコルの独立したレビューと分析

各プロトコルセクションには以下が含まれます:

  • プロトコルの説明
  • アルゴリズム仕様
  • そのプロトコルに特有のセキュリティ考慮事項
最終更新