计算机网络SNMPv3体系结构

1.SNMPv3协议的组成

在SNMPv1、v2中，实现SNMP协议功能的进程称之为协议引擎（或称协议机）。SNMPv3中，实现SNMP协议功能的整个软件称之为协议实体，SNMP引擎只是协议实体的一部分。实体是体系结构的一种实现，由一个SNMP引擎和一个或几个有关的SNMP应用（SNMP Application）组成。图9-10表示了SNMPv3协议的实体结构。

图9-10 SNMPv3协议的体系结构

RFC2271定义的SNMPv3体系结构，体现模块化设计，SNMP引擎和支持的应用被定义为一系列独立模块。SNMP由组成实体的模块数量而决定，每个实体仅仅是模块的不同组合，每个模块具有相对的独立性，当改进或替换某一模块时，不会影响整个结构，这样可简单实现功能的增加或修改。

SNMPv3实体由SNMP引擎和若干相关联的应用模块组成。应用模块主要有：命令生成器、通告接收器、委托代理转发器、命令应答器、通告产生器及其他的一些应用。各自功能如下。

●SNMP引擎：用于发送和接受消息、鉴别消息、对消息进行解密和加密，对管理对象的访问进行控制等服务。SNMP引擎由报文分拣器、安全处理子系统、报文处理子系统和访问控制子系统组成。

●SNMPv3命令生成器：监控和操作管理数据。一般在管理进程一方实现。

●通告产生器：其功能是发送异步的通知报文（Inform Request，Trap等）。

●通告接收器：接收并处理异步的通知报文，通常在管理进程一方实现。

●委托代理转发器：向不支持SNMP的设备转发报文，通常在管理代理一方实现。

2.SNMPv3体系结构特点

体现模块化设计思想，可简单地实现功能的增加和修改。(www.xing528.com)

●适应性强：适用多种操作环境，既可管理最简单网络实现基本管理功能，又能提供强大的网管功能，满足复杂网络的管理需求。

●扩充性好：可以根据需要增加模块。

●安全性好：具有多种安全处理模块。

3.SNMPv3模块的组成

SNMPv3由信息处理和控制模块、本地处理模块和用户安全模块4部分所组成。

（1）信息处理和控制模块

信息处理和控制模块在RFC 2272中定义，它负责信息的产生和分析，并判断信息在传输过程中是否要经过代理服务器等。信息产生过程中，该模块接收来自调度器的PDU，然后由用户安全模块在信息头中加入安全参数。分析接收信息时，先由用户安全模块处理信息头中的安全参数，然后将解包后的PDU送给调度器处理。

（2）本地处理模块

本地处理模块的功能主要是进行访问控制，处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，它在PDU这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分。访问控制的策略必须预先设定。SNMPv3通过使用带有不同参数的原语来灵活地确定访问控制方式。

（3）用户安全模块

与SNMPv1和SNMPv2相比，SNMPv3增加了3个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，而用户安全模块则提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。实现这个功能要求管理站和代理必须共享同一密钥。管理站使用密钥计算验证码（它是信息的函数），然后将其加入信息中，而代理则使用同一密钥从接收的信息中提取出验证码，从而得到信息。加密的过程与身份验证类似，也需要管理站和代理共享同一密钥来实现信息的加密和解密。

SNMPv3使用私钥（privKey）和验证密钥（authKey）来实现身份验证和加密的功能。