网络通讯SNMP安全机制比较

导读：网络管理中一般都采用代理/管理站模型，SNMP也是如此。SNMP代理是个软件，他能够回答SNMP管理站关于MIB中定义信息的各种查询。每一个为管理站提供MIB信息的网络设备都有一个SNMP代理，每个代理不仅要控制自己本地的MIB，而且必须控制多个管理站对该MIB的使用。

这种控制包含3个方面：

认证服务：代理能把对MIB的访问限制在授权的管理站?

访问策略：代理能授予不同的管理站不同的访问权限;

转换代理：一个代理能作为其他被管理系统的转换代理，其任务可能包括为其他被管理的系统实现认证服务和访问策略。

所有这几方面都和安全有关，代理需要保护自身及其MIB，使MIB能够拒非法访问。

1.SNMPv1的安全机制

SNMPv1仅仅提供了有限的安全性，即团体的概念。

团体是个在代理上定义的局部概念。一个代理能定义若干个团体，每个团体使用先吃螃蟹的团体名。而每个SNMP团体是个在SNMP代理和多个SNMP管理者之间定义的认证、访问控制和转换代理的关系。

在每条SNMPv1信息中都包括community字段，在该域中填入团体名，团体名起密码的作用。 SNMPv1假设，如果发送者知道这个密码，就认为该信息通过了认证，是可靠的。

一条已通过认证的信息对MIB有何访问权限主要通过访问控制来实现。代理为每一个团体定义了一个SNMPv1团体框架文件，该框架文件包括两部分：

MIB视域： MIB的一个对象子集，每个团体能定义不同的MIB视域，一个视域中的对象集不必属于MIB的单个子树;

SNMP访问模式：集合(只读、读写)的一个元素，每个团体只定义一个访问模式。

SNMP团体和SNMP团体框架文件的结合就成为SNMPv1 访问策略。一个通过了认证的信息必然指定了一个团体，那么他就有自己相应的团体框架文件，且只能对该框架文件中MIB视域的指定对象进行规定的操作(只读或读写)。

2. SNMPv2的安全机制

SNMPv2具有支持分布式网络管理，扩展数据类型，能实现大量数据的同时传输，丰富故障处理能力，增加集合处理功能，加强数据定义语言等特点。

此外， SNMPv2还引入了“上下文(context)”的概念。上下文是个可被SNMPv2实体访问的被管理对象资源的集合，分为本地上下文和远程上下文：本地上下文被标识为一个MIB视域，远程上下文被标识为一个转换代理关系。

使用了上下文的访问控制策略由以下4个元素组成：

目标：SNMP参加者，他按主体方的请求执行管理操作;

主体：SNMP参加者，他请求目标方执行管理操作;

资源：管理操作在其上执行的管理信息，他可表示为一个本地MIB视域或一个代理关系，这一项被称为一个上下文;

权限：对于一个特定的上下文可允许的操作，这些操作用可允许的协议数据单元定义，由目标代表主体执行。

编辑点评：SNMPv2并没有完全实现预期的目标，尤其是安全性能没有得到提高，如：身份验证(如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防)、加密、授权和访问控制、适当的远程安全设置和管理能力等都没有实现。1996年发布的SNMPv2c是 SNMPv2的修改版本，虽然功能增强了，不过安全性能仍没有得到改善，而是继续使用SNMPv1的基于明文密钥的身份验证方式。