SNMP V3 技术支持 总结性.ppt

视图访问控制模型 使用VACM主要是基于以下几点考虑： 访问控制 访问控制在一个SNMP实体处理另一个实体的获取或编辑操作时使用， VACM定义了一系列的服务，用于应用程序检查访问权限。应用程序应该调用合适的服务做访问检查。 本地配置数据存储 为了实现这个模型，SNMP实体需要保存访问权限和策略的信息，这些信息是LCD的一部分。为了允许远程配置SNMP实体的LCD，部分的LCD内容需要能被当作管理对象访问 模型元素 组 安全等级 上下文 MIB视图 访问策略 组 组是一系列0个或多个securityModel、 securityName的集合，集合中的对象对相同的管理目标拥有访问权。一个组定义访问权限供所有属于这个组的securityName使用。securityModel和securityName的组合至少映射到一个组。一个组使用一个groupName标识 访问控制模型假设securityName已经被鉴别。 访问权限检查时，VACM使用securityModel和securityName作为访问控制模型的输入。使用securityModel和securityName决定groupName，进而知道相应的访问权限 安全等级 不同访问权限的取值有noAuthNoPriv、authNoPriv和authPriv。secutiryLevel指示要进行的访问权限检查的级别 VACM定义了一个vacmContextTable，列出了本地有效的contextName 上下文 Context（上下文）是VACM中管理的对象、基本控制单元，一般一个物理或逻辑上的设备为一个Context MIB视图 为了给不同的组设置不同的访问范围，引人MIB视图的概念。MIB视图由MIB子树的集合构成，每个子树要么包含在视图内，要么不包含在视图内。在此提出MIB子树的概念，MIB子树是MIB树中的一个节点加上所有从属于它的对象及对象实例，它们都有一个公共前缀，即该节点的OID。根据访问类型的不同，每个组可以定义三个MIB视图： 读视图(ReadViewName) 写视图(WriteViewName) 通告视图(NotifyViewName) 它们分别定义当访问操作为读／写／通告时的视图 访问策略 VACM用来判断是否执行用户请求的操作，访问决策的确定取决于以下几个因素： (1) 提出访问请求的用户(secufityName)。不同的用户根据其所属组的权限确定其访问权限。 (2) SNMP消息中请求通信时所用的安全等级(securityLeve1)。 (3) 处理请求消息的安全模型(securityModel)。 (4) 请求的MIB上下文(contextName)。 (5) 访问所请求的具体对象实例(OID)。 (6) 所请求的访问类型——读／写／通告(viewType)。SNMP的Get操作为读访问，set操作为写访问，Trap／Inform操作为通告访问 调用原语 isAccessAllowed 参数 securityModel 安全模式 securityName 安全名称 securityLevel 安全级别 viewType 视图类型 contextName 变量所在的上下文名称 variableName 管理对象的OID 返回值 accessAllowed notInView发现视图，但访问未被授权 noSuchView没有发现视图，vacmAccessTable没有相应的行 noSuchContext没有发现视图，vacmContextTable没有相应的行 noGroupName没有发现视图，vacmSecurityToGroupTable中没有发现securityModel和securityName匹配的行 noAccessEntry未发现视图，vacmAccessTable中没有配置contextName,groupName,securityModel和securityLevel匹配的行 otherError其它 VACM决策 OID与子树 MIB是以树状结构进行存储的。树的节点表示被管理对象，它可以用从根开始的一 条路径唯一地识别，这条路径就称为OID）。如图2所示。管理对象system可以用 一串数字{1.3.6.1.2.1.1}唯一标识，这串数字就是system的OID。 子树可以用该子树根节点的OID来标识。如以private为根节点的子树的OID为 private的OID——{1.3.6.1.4} 子树掩码 子树掩码可以和子树OID共同来确定一个视图的范围。子树掩码用十六进制格式表示，转化成二进制后，每个比特位对应OID中的一个小节，其中， 1 表示精确匹配，即要访问的节点OID 与MIB 对象子树OID 对应小节的值必须相等