跳到主要内容

1.4. Module Organization (模块组织)

1.4. Module Organization (模块组织)

本节描述基于用户的安全模型的组织和文档结构。

Document Structure (文档结构)

基于用户的安全模型 (USM) 在本文档中按照以下组织方式进行规定:

  1. 第 1 节 提供安全模型的介绍, 包括威胁、目标、约束和安全服务。

  2. 第 2 节 定义模型的元素, 包括用户、重放保护、时间同步、消息格式和服务。

  3. 第 3 节 描述处理消息的过程, 包括生成传出消息和处理传入消息。

  4. 第 4 节 描述用于学习权威 SNMP 引擎的 snmpEngineID 的发现机制。

  5. 第 5 节 包含使用 SMIv2 语法的完整 MIB 模块定义 (SNMP-USER-BASED-SM-MIB)。此 MIB 模块定义:

    • 用户配置对象 (usmUserTable)
    • 统计对象 (usmStats)
    • 一致性声明

  6. 第 6 节 规定 HMAC-MD5-96 认证协议。

  7. 第 7 节 规定 HMAC-SHA-96 认证协议。

  8. 第 8 节 规定 CBC-DES 隐私协议。

  9. 第 9 节 讨论知识产权考虑。

  10. 第 10 节 提供致谢。

  11. 第 11 节 包含安全考虑, 包括推荐实践、用户定义指导、一致性要求、报告使用和 MIB 访问控制。

  12. 第 12 节 列出规范性和信息性参考文献。

  13. 附录 A 提供详细的实现指导, 包括算法和示例。

  14. 附录 B 记录从 RFC 2574 的更改。

Relationship to Other SNMPv3 Documents (与其他 SNMPv3 文档的关系)

基于用户的安全模型是 SNMPv3 架构的一部分。它与其他 SNMPv3 文档的关系如下:

  • RFC 3411 - "简单网络管理协议 (SNMP) 管理框架的架构描述": 定义总体架构和安全模型接口。

  • RFC 3412 - "简单网络管理协议 (SNMP) 的消息处理和分发": 定义消息处理子系统如何调用 USM。

  • RFC 3413 - "简单网络管理协议 (SNMP) 应用": 定义使用 USM 进行安全的应用。

  • RFC 3415 - "简单网络管理协议 (SNMP) 的基于视图的访问控制模型 (VACM)": 与 USM 配合工作以提供完整的安全性 (USM 提供认证和隐私, VACM 提供授权)。

  • RFC 3416 - "简单网络管理协议 (SNMP) 的协议操作版本 2": 定义 PDU 格式, 包括 USM 使用的报告-PDU。

  • RFC 3417 - "简单网络管理协议 (SNMP) 的传输映射": 定义如何传输由 USM 保护的 SNMP 消息。

  • RFC 3418 - "简单网络管理协议 (SNMP) 的管理信息库 (MIB)": 定义 SNMP-FRAMEWORK-MIB 和 SNMP-MPD-MIB, USM 依赖于它们。

Layered Architecture (分层架构)

USM 在 SNMPv3 架构中的位置如下:

+------------------------------------------------------------+
|                    SNMP 应用                               |
|  (命令生成器、命令响应器、通知发起者、                      |
|   通知接收器、代理转发器)                                   |
+------------------------------------------------------------+
|                   分发器                                   |
|  (消息处理、PDU 分发、传输映射)                             |
+------------------------------------------------------------+
|                安全子系统                                  |
|  +------------------------------------------------------+  |
|  |         基于用户的安全模型 (USM)                      |  |
|  |  - 认证 (HMAC-MD5-96, HMAC-SHA-96)                  |  |
|  |  - 隐私 (CBC-DES)                                   |  |
|  |  - 时间同步                                          |  |
|  |  - 发现                                             |  |
|  +------------------------------------------------------+  |
+------------------------------------------------------------+
|                访问控制子系统                              |
|  +------------------------------------------------------+  |
|  |      基于视图的访问控制模型 (VACM)                    |  |
|  +------------------------------------------------------+  |
+------------------------------------------------------------+

消息处理子系统调用 USM 以:

  • 为传出消息提供安全服务
  • 验证传入消息的安全服务
  • 报告与安全相关的错误

MIB Module Organization (MIB 模块组织)

SNMP-USER-BASED-SM-MIB 模块组织为几个功能组:

  1. usmStats 组: 用于监控 USM 操作和检测安全问题的统计计数器。

  2. usmUser 组: 用户的配置和管理, 包括:

    • 用户标识
    • 认证和隐私协议
    • 密钥管理

  3. 一致性组 (Conformance Group): 定义 USM 实现的合规性要求。

Protocol Organization (协议组织)

认证和隐私协议被指定为单独的部分 (第 6、7 和 8 节), 以允许:

  1. 每个协议的清晰规范
  2. 将来轻松添加新协议
  3. 将协议实现为模块化组件
  4. 对每个协议进行独立审查和分析

每个协议部分包括:

  • 协议描述
  • 算法规范
  • 特定于该协议的安全考虑
最后 更新