SNMPv3协议.pptVIP

SNMPv3消息的基本结构 SNMPv3消息分为4个部分：版本、全局头部、安全参数与PDU部分 SNMPv3消息的主要字段（1） 字段名 数据类型 用途说明 msgVersion INTEGER SNMP协议版本 msgID INTEGER 消息标识符 msgMaxSize INTEGER 消息最大长度 msgFlag OCTET STRING 标志位 msgSecurityModel INTEGER 安全模型 msgAuthoriativeEngineID SnmpEngineID 权威引擎标识符 msgAuthoriativeEngineBoots INTEGER 权威引擎启动次数 SNMPv3消息的主要字段（2） 字段名 数据类型 用途说明 msgAuthoriativeEngineTime INTEGER 权威引擎时间 msgUserName OCTET STRING 用户名 msgAuthenticationParameters OCTET STRING 认证参数 msgPrivacyParameters OCTET STRING 加密参数 contextEngineID SnmpEngineID 上下文引擎标识符 contextName OCTET STRING 上下文名 data OCTET STRING 数据部分 SNMPv3的安全级别 不认证与不加密（NoAuthNoPriv） 只认证但不加密（AuthNoPriv） 认证与加密（AuthNoPriv） 3.2 USM的工作原理 数据认证服务：由认证模块实现，防止SNMP消息篡改或伪造， 数据加密服务：由加密模块实现，防止SNMP消息窃听或泄漏 数据时序性服务：由时序模块实现，防止SNMP消息延迟、重发与重排序 数据认证的工作原理 USM模型支持的认证协议 HMAC-MD5-96：用MD5算法作为散列函数，将128位的认证密钥作为HMAC算法的输入，并从生成的128位输出中截取96位作为摘要 HMAC-SHA-96：用SHA-1算法作为散列函数，将160位的认证密钥作为HMAC算法的输入，并从生成的160位输出中截取96位作为摘要 发送方的摘要计算过程 authKey后附加48个0x00，生成extendedAuthKey 64个0x36生成iPAD，将iPAD与extendedAuthKey异或，生成K1 64个0x5C生成oPAD，将oPAD与extendedAuthKey异或，生成K2 wholeMsg后附加K1，计算第一个MD5摘要 第一个MD5摘要后附加K2，计算第二个MD5摘要 第二个MD5摘要前12字节生成摘要，并保存在msgAuthenticationParameters字段中 接收方的摘要计算过程 authKey后附加48个0x00，生成extendedAuthKey 64个0x36生成iPAD，将iPAD与extendedAuthKey异或，生成K1 64个0x5C生成oPAD，将oPAD与extendedAuthKey异或，生成K2 wholeMsg后附加K1，计算第一个MD5摘要 第一个MD5摘要后附加K2，计算第二个MD5摘要 第二个MD5摘要前12字节生成摘要，并与msgAuthenticationParameters字段值比较 认证密钥的生成过程 反复输入用户密码，必要时截取最后字符，直到生成一个长220的digest0 digest0用MD5或SHA-1生成digest1，MD5生成digest1为16字节，SHA-1生成digest1为20字节 digest1后附加权威引擎标识符，再附加digest1生成digest2 对digest2用MD5或SHA-1生成digest3，MD5生成digest3为16字节，SHA-1生成digest3为20字节， 这就是认证密钥 认证密钥的更新方法 USM用usmUserTable中的keyChange对象，管理器SetRequest该对象后，代理自动更新密钥 发送方的处理过程：在随机数R后附加旧密钥，用MD5或SHA-1生成摘要，保存在T中；将T与新密钥异或生成delta；在R后附加delta，发送到接收方 接收方的处理过程：在R后面附加旧密钥，用MD5或SHA-1生成摘要，保存在T中；将T与delta异或生成新密钥 数据加密的工作原理 发送方的数据加密过程 加密数据必须是8字节的整数倍，如果不符合条件必须进行填充 加密数据被分割成8字节的明文块 第一个明文块与初始化向量异或生成密文块，其它明文块与前一个密文块异或生成密文块，直至所有明文块处理完毕 接收方的数据解密过程 计算解密数据的长度，如果解密数据不是8字节整数倍，说明得到的解密数据出错 解密数据被分割成