CN110247803B

CN110247803B - 一种针对网络管理协议SNMPv3的协议优化架构及其方法

Info

Publication number: CN110247803B
Application number: CN201910535156.2A
Authority: CN
Inventors: 陈源; 张金波; 冯贇霖
Original assignee: Chengdu Jiweilian Group Co ltd
Current assignee: Chengdu Jiweilian Group Co ltd
Priority date: 2019-06-20
Filing date: 2019-06-20
Publication date: 2022-05-20
Anticipated expiration: 2039-06-20
Also published as: CN110247803A

Abstract

本发明公开了一种针对网络管理协议SNMPv3的协议优化架构及其方法，属于网络安全协议技术领域，解决现有技术中，基于SNMPv3的存在的握手不支持密钥协商和证书认证，导致协议部署极为不方便，适应性差，此外，SNMPv3协议的握手不提供数据完整性和机密性服务，握手报文通过明文传输，存在关键参数泄露的风险。本发明包括：协议加密模块：用于对通信和握手中的协议报文进行数据加密；协议认证模块：负责对通信和握手中的协议报文进行数据认证；协议握手模块：基于协议加密模块和协议认证模块进行安全握手；协议通信模块：基于协议加密模块、协议认证模块和协议握手模块进行通信报文传输。本发明用于协议优化。

Description

一种针对网络管理协议SNMPv3的协议优化架构及其方法

技术领域

一种针对网络管理协议SNMPv3的协议优化架构及其方法，用于协议优化，属于网络安全协议技术领域。

背景技术

当今时代是信息技术的时代，信息技术的发展很好地促进了生产力的发展，同时也极大地改善了人们的生活质量。在当今信息技术领域，网络管理是一个应用十分广泛的技术，已经渗透到了各行各业，与企业、政府部门和教育机构的日常运作和管理息息相关。良好、安全、高效的网络管理是所有这些机构中的信息设备正常运行的保障，同时也为我们的机构运行提供了极大地便利。除此之外，网络管理在保障机构设备正常运行的同时，也要提供安全管控，风险控制，访问控制等更加安全可靠的机制来确保管理系统的安全性。

网络管理技术经过多年的发展已经日趋成熟，己经形成了两个主要的技术标准：SNMP和CMIP标准。简单网络管理协议SNMP标准是于20世纪80年代由Internet工作委员会提出，经过多年的发展，由于它的简单性和易用性，逐渐被广大的硬件厂商和软件厂商所支持。而CMIP标准由国际标准化组织于20世纪70年代首先提出，该标准建立在开放系统互联的参考模型基础上，虽然相对于SNMP提出较早，但是由于CMIP结构复杂，该标准目前还只是一个理论上的技术标准，支持的厂商和产品相比SNMP要少很多。

到了20世纪90年代，为了提升路由器管理的效率，第一代SNMP即SNMPv1应运而生，一经推出，SNMP就因为其简单实用的特点而得到了人们的广泛青睐，此后随着时代发展，逐步成为了实际上的行业默认网络管理协议，并逐渐的向安全性方向发展。在RMON协议颁布之后，RMON就成为了网络流量的统计者。且RMON通过采取轮询的方式从而避免了网络的拥堵。然而时代在进步，随着互联网的高速发展，越来越多的问题摆在了相关技术人员面前。在网络愈发复杂的大背景下，SNMP在安全方面的隐患开始日益凸显，而且愈发严重，国际组织于是开始着手于SNMP安全性的研究工作，之后提出了SNMPsec。对数据进行了保护，加强了数据的保密性。但由于兼容性不高，其应用很受限制。随后，第二代协议，即SNMPv2被提了出来，该协议基于SNMPvl，在他的基础上进行了一些改进，同时将SNMPsec和RMON的优点结合在一起，对安全性问题予以了更多的设计，增加了数据传输的能力，提升了效率。对故障的处理能力大大强化。即使如此其安全机制问题也依然存在，在互联网行业的广泛呼吁下，国际组织针对SNMPv2再次进行了更加深入的研究，在它的基础上提出了SNMPv2c，继续对安全机制问题进行研究改善。不久之后，第三代协议SNMPv3就被提了出来，在第一代和第二代的基础上对安全性问题进行了大量的研究，大大提升了数据的安全性，同时支持数据加密，身份认证，访问控制等机制。虽然第三代协议仍旧存在一些问题，比如DES的可破解性，基于对称加密体系的密钥管理不方便等，但是由于它相较之前两个版本对安全性和兼容性问题都有很好的解决，因此得到了十分广泛的应用。

目前来看，虽然SNMP在网络管理领域已经独领风骚，基于SNMP的网络管理技术层出不穷，但是仔细调研目前比较流行的网管技术，大多数主要还是以数据采集工作为主，目前的网络中运行的各式各样的系统，除了硬件设备，有的还需要对应用层进行管理，如何满足管理设备的多样性从而弥补SNMP协议在这一方面的不足始终是网络管理技术的一大研究主题。此外，当前主要的网络管理都是基于SNMPv3的USM安全模型，该模型传递消息采用的是DES加密技术，而该技术早已能够被破解，因SNMPv3模型中存在的握手不支持密钥协商和证书认证，导致协议部署极为不方便，适应性差，此外，SNMPv3协议的握手不提供数据完整性和机密性服务，握手报文通过明文传输，存在关键参数泄露的风险。故而如何提高SNMP安全性也一直是业界不断研究的目标。

在通常的网络管理过程中，系统除了要对各个节点设备进行常规的管理操作外，还需要能够做到对故障的及时发现和应急处理，由于对于不同的设备和程序，故障的定义各不相同，因而如何尽可能的满足客户需要，做出一个能够更加广泛通用的网络管理系统也一直在考验着业界研究人员。

发明内容

针对上述研究的问题，本发明的目的在于提供一种针对网络管理协议SNMPv3的协议优化的架构及其方法，解决现有技术中，基于SNMPv3的存在的握手不支持密钥协商和证书认证，导致协议部署极为不方便，适应性差，此外，SNMPv3协议的握手不提供数据完整性和机密性服务，握手报文通过明文传输，存在关键参数泄露的风险。

为了达到上述目的，本发明采用如下技术方案：

一种针对网络管理协议SNMP v3的协议优化架构，包括：

协议加密模块：用于对通信和握手中的协议报文进行数据加密；

协议认证模块：用于对通信和握手中的协议报文进行数据认证；

协议握手模块：用于基于协议加密模块和协议认证模块进行安全握手；

协议通信模块：用于基于协议加密模块、协议认证模块和协议握手模块进行通信报文传输。

进一步，所述协议加密模块利用AES-CCM算法来对协议报文中的scopedPDU字段进行加密。

进一步，所述协议认证模块采用AES-CCM算法来生成scopedPDU的认证码。

进一步，所述协议握手模块的具体握手流程如下：

在AgentHello报文中，代理端写入用于密钥协商的参数以及自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求，其中，用于密钥协商的参数，即密钥协商参数为P_c、基点G、阶N和椭圆曲线E，其中，P_c＝R_c×G，R_c为生成的随机数；

当管理端收到最终AgentHello报文后，一方面记录代理端密钥协商参数P_c、基点G、阶N和椭圆曲线E，另一方面生成自己的密钥协商参数Ps、基点G、阶N和椭圆曲线E，通过通信双方的密钥协商参数，利用椭圆曲线密钥协商算法来确定会话密钥K，随后开始生成ManagerHello报文，管理端将自己的密钥协商参数、随机生成的加密向量IV、证书填入ManagerHello报文，得到第一次填入后的ManagerHello报文，再利用自身私钥对第一次填入后的ManagerHello报文进行签名，签名后填入第一次填入后的ManagerHello报文，得到第二次填入后的ManagerHello报文；基于协议认证模块利用会话密钥K生成最终AgentHello报文和第二次填入后的ManagerHello报文的哈希消息认证码HMAC，将哈希消息认证码HMAC分别填入第二次填入后的ManagerHello报文中的对应字段，得到第三次填入后的ManagerHello报文；最后，基于协议加密模块利用会话密钥K和加密向量IV来对第三次填入后的ManagerHello报文中密钥协商参数和加密向量以外的其他字段进行加密，完成最终ManagerHello报文的生成；

代理端在接收到最终ManagerHello报文后，通过获取管理端的自己的密钥协商参数来生成会话密钥K，对最终ManagerHello报文进行解密，解密后，对其中的证书、签名和哈希消息认证码HMAC字段分别进行验证，从而确定管理端身份合法；管理端身份合法后，随后生成Auth报文，将时间同步参数，即原有的SNMP协议中存在的时间同步参数、自身证书和签名填入Auth报文中，得到第一次填入后的Auth报文，然后基于协议认证模块利用会话密钥K和加密向量IV来生成最终AgentHello和第一次填入后的Auth报文的哈希消息认证码HMAC，将哈希消息认证码HMAC填入第一次填入后的Auth报文中，得到第二次填入后的Auth报文，最后，基于协议加密模块利用会话密钥K和加密向量IV来对第二次填入后的Auth报文进行加密，得到最终Auth报文，将最终Auth报文后发送给管理端；管理端在接收到最终Auth报文后完成证书的验证和保存，至此，协议握手完成。

进一步，所述协议通信模块的具体协议通信流程如下：

管理端和代理端在完成安全握手，即完成会话密钥协商后，利用会话协商好的密钥来进行通信，即通信过程中会利用协议握手模块进行握手得到的会话密钥K和加密向量IV进行通信双方的通信，其生成报文的步骤如下：

报文结构为包括全局消息域、安全参数域和scopedPDU的通信报文；

管理端的通信报文生成流程如下：

根据网络管理所需生成对应的包含多个Vb的PDU，将PDU填入scopedPDU的PDU域，其中，Vb表示协议中的每一个操作；

填充scopedPDU中的msgContextEngineID和msgContexName参数，用于通过视图访问控制模型VACM进行访问控制；

随机生成加密向量IV，利用协议加密模块和协议认证模块中的AES-CCM算法和协议握手模块进行握手得到管理端的会话密钥K以及加密向量IV来对scopedPDU进行加密和认证，将加密后的密文填入通信报文的scopePDU，然后将管理端生成的消息认证码填入安全参数域的msgAuthenticationParameters字段，同时将加密向量IV填入msgPrivacyParameters字段；

在安全参数域中的msgUserName字段填入基于证书的安全模型CSM的UserName，用于通过视图访问控制模型VACM进行访问控制；

在安全参数域中的msgAuthoritativeEngineID字段填入对应于证书的证书序列号，用于标识简单网络管理协议SNMPv3实体；

在安全参数域中的msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段上填入时间认证参数，用于时间同步认证；

填充全局消息域中的msgid，用于确认报文合法性；SNMPv3报文发送顺序是管理端发送请求，代理端回复，其中，请求报文和回复报文中msgid必须一致；

填充全局消息域中的msgversion字段、msgsecuritymodel字段和msgflags字段，即将msgversion置为4，msgsecuritymodel置为SNMPv3_SECURITY_MODEL_CSM，表示简单网络管理协议中基于证书的安全模型CSM，Msgflags置为SNMPv3 v3_AUTHFLAG|SNMPv3v3_PRIVFLAG，表示该报文需要认证与加密；

经过上述处理后，完成通信报文生成；

代理端在接受到管理端发来的通信报文后，执行以下操作：

利用管理端通信报文中msgPrivacyParameters字段中的加密向量IV以及协议握手模块得到的代理端的会话密钥K来对scopedPDU进行解密，同时通过msgAuthenticationParameters字段来进行完整性认证；

利用安全参数域中的msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段进行时间同步认证；

从scopedPDU中获取PDU，获取PDU中每个Vb对应的请求request；

通过msgUserName字段、msgContextEngineID和msgContexName来进行视图访问控制模型VACM访问控制，以此判断每个请求request是否可行，若可行，则执行，否则，返回错误码；

代理端在完成通信报文的处理后，执行通信报文所要求的操作，然后生成请求request报文，回复给管理端。

一种针对网络管理协议SNMP v3的协议优化方法，包括如下步骤：

S1：基于数据加密和数据认证进行安全握手；

S2：安全握手后，基于数据加密和数据认证和安全握手进行通信报文传输。

进一步，所述步骤S1的具体步骤为：

S1.1：在AgentHello报文中，代理端写入用于密钥协商的参数以及自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求，其中，用于密钥协商的参数，即密钥协商参数为P_c、基点G、阶N和椭圆曲线E，其中，P_c＝R_c×G，R_c为生成的随机数；

S1.2：当管理端收到最终AgentHello报文后，一方面记录代理端密钥协商参数P_c、基点G、阶N和椭圆曲线E，另一方面生成自己的密钥协商参数Ps、基点G、阶N和椭圆曲线E，通过通信双方的密钥协商参数，利用椭圆曲线密钥协商算法来确定会话密钥K，随后开始生成ManagerHello报文，管理端将自己的密钥协商参数、随机生成的加密向量IV、证书填入ManagerHello报文，得到第一次填入后的ManagerHello报文，再利用自身私钥对第一次填入后的ManagerHello报文进行签名，签名后填入第一次填入后的ManagerHello报文，得到第二次填入后的ManagerHello报文；利用会话密钥K生成最终AgentHello报文和第二次填入后的ManagerHello报文的哈希消息认证码HMAC，将哈希消息认证码HMAC分别填入第二次填入后的ManagerHello报文中的对应字段，得到第三次填入后的ManagerHello报文；最后，利用会话密钥K和加密向量IV来对第三次填入后的ManagerHello报文中密钥协商参数和加密向量以外的其他字段进行加密，完成最终ManagerHello报文的生成；

S1.3：代理端在接收到最终ManagerHello报文后，通过获取管理端的自己的密钥协商参数来生成会话密钥K，对最终ManagerHello报文进行解密，解密后，对其中的证书、签名和哈希消息认证码HMAC字段分别进行验证，从而确定管理端身份合法；管理端身份合法后，随后生成Auth报文，将时间同步参数，即原有的SNMP协议中存在的时间同步参数、自身证书和签名填入Auth报文中，得到第一次填入后的Auth报文，然后利用会话密钥K和加密向量IV来生成最终AgentHello和第一次填入后的Auth报文的哈希消息认证码HMAC，将哈希消息认证码HMAC填入第一次填入后的Auth报文中，得到第二次填入后的Auth报文，最后，利用会话密钥K和加密向量IV来对第二次填入后的Auth报文进行加密，得到最终Auth报文，将最终Auth报文后发送给管理端；管理端在接收到最终Auth报文后完成证书的验证和保存，至此，协议握手完成。

进一步，所述步骤S1.1的具体步骤为：

代理端生成所选用的椭圆曲线E，阶N和基点G的x，y坐标，然后生成随机数Rc，计算Pc＝Rc×G，将Pc和G，阶N，椭圆曲线E一起填入AgentHello报文的KeyShare字段，在msgUserName字段填入自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求；

所述步骤S1.2的具体步骤为：

管理端收到最终AgentHello报文后，一方面记录代理端密钥协商参数P_c、基点G、阶N和椭圆曲线E，另一方面生成自己的密钥协商参数Ps、基点G、阶N和椭圆曲线E，其中，Ps＝Rs×G，Rs为管理端生成的随机数，通过通信双方的密钥协商参数，利用椭圆曲线密钥协商算法来确定会话密钥K，即利用Rs×Pc得到会话密钥K；由管理端生成ManagerHello报文，在KeyShare字段填入Ps、基点G、阶N和椭圆曲线E；同时基于管理端生成的ManagerHello报文，将管理端的证书填入Certificate字段，填入证书后，设置CertificateRequest字段，用于请求代理端发送证书，随机生成的加密向量IV，写入msgPrivacyParameters字段，得到第一次填入后的ManagerHello报文；再使用管理端私钥对第一次填入后的ManagerHello报文进行签名，然后填充到CertificateVerify字段，即得到第二次填入后的ManagerHello报文：

利用AES-CCM算法和会话密钥K生成最终AgentHello报文和第二次填入后的ManagerHello报文的哈希消息认证码HMAC，填充到finish字段，即得到第三次填入后的ManagerHello报文；

利用AES-CCM算法和会话密钥K和加密向量IV对第三次填入后的ManagerHello报文中密钥协商参数和加密向量IV以外的其他字段进行加密，完成最终ManagerHello报文的生成；

所述步骤S1.3的具体步骤为：

代理端在接收到最终ManagerHello报文后，通过获取管理端的密钥协商参数Ps、基点G、阶N和椭圆曲线E来生成会话密钥K，即利用Rs×Pc得到会话密钥K，对最终ManagerHello报文进行解密，解密后，对其中的证书、签名和哈希消息认证码HMAC字段分别进行验证，从而确定管理端身份合法；

确定管理端身份合法后，代理端生成Auth报文，代理端填入时间同步参数，即msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段；代理端将自己的证书填入Certificate字段；代理端利用自身私钥对Auth报文进行签名，填入CertificateVerify字段，即得到第一次填入后的Auth报文；

代理端利用会话密钥K生成最终AgentHello和第一次填入后的Auth报文的哈希消息认证码HMAC，填入报文的finish字段中；

代理端利用最终ManagerHello报文中递交的加密向量IV和会话密钥K对报文中的密钥协商参数以外的字段进行加密，完成最终Auth报文生成；

将最终Auth报文发送给管理端，管理端在接收到最终Auth报文后，首先利用加密向量lV和会话密钥K来对最终Auth报文进行解密，解密后，利用其中的时间同步参数即msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段来进行时间同步认证，时间同步认证后对其中的证书、签名、哈希消息认证码HMAC分别进行认证，即实现代理端的身份认证，最后完成握手流程。

进一步，所述步骤S2的具体步骤为：

管理端的通信报文生成流程如下：

填充全局消息域中的msgversion字段、msgsecuritymodel字段和msgflags字段，即将msgversion置为4，msgsecuritymodeI置为SNMPv3_SECURITY_MODEL_CSM，表示简单网络管理协议中基于证书的安全模型CSM，Msgflags置为SNMPv3 v3_AUTHFLAG|SNMPv3v3_PRIVFLAG，表示该报文需要认证与加密；

经过上述处理后，完成通信报文生成；

代理端在接受到管理端发来的通信报文后，执行以下操作：

利用管理端通信报文中msgPrivacyParameters字段中的加密向量IV以及安全握手得到的代理端的会话密钥K来对scopedPDU进行解密，同时通过msgAuthenticationParameters字段来进行完整性认证；

从scopedPDU中获取PDU，获取PDU中每个Vb对应的请求request；

进一步，将优化后的网络管理协议SNMP v3融入公钥基础设施PKI体系中。

本发明同现有技术相比，其有益效果表现在：

一、本发明中的改进后的握手支持密钥协商和证书认证，对协议部署极为方便，适用性广，此外，本发明的握手提供数据完整性和机密性服务，握手报文不通过明文传输，不会存在关键参数泄露的风险；

二、本发明利用了支持AEAD(加密与认证模式)的加密算法AES-128-CCM，可以在加密的同时进行认证，很好的保证了数据机密性；

三、本发明在握手阶段就支持数据加密，保证了握手报文的数据机密性，提高了协议的安全性；

四、本发明将原有的简单网络管理协议SNMPv3协议与现在的主流公钥基础设施PKI机制相结合，很好地提高了它的兼容性和扩展性。

附图说明

图1是本发明的总体架构图，其中，通信模块即指协议通信模块，握手模块即指协议握手模块，加密模块即指协议加密模块，认证模块即指协议认证模块；

图2为本发明中用会话密钥K进行加密的示意图；

图3为本发明中的握手报文；

图4为本发明中提供验证与加密服务的三种类型；

图5为本发明中msgSecurityModel字段的主要取值；

图6为本发明中的通信报文。

具体实施方式

下面将结合附图及具体实施方式对本发明作进一步的描述。

因此，以目前已有的技术为基础，从应用特性出发，构建满足特定运行环境的网络管理系统架构具有重要的现实意义。本发明是参考国内外成熟的网络管理技术，在充分分析目前主要网络管理需求的基础上，即目前所要解决的技术问题的基础上，设计和实现一个具有一定通用性，扩展性，安全性和便捷性的网络管理技术架构。

在安全握手中都是基于握手报文进行填充，握手报文如图3所示，安全握手如下：

一、AgentHello

首先由代理端向管理端发起握手请求，在握手请求client hello中，我们首先基于握手报文进行全局消息域的填充；

在全局消息填充阶段，我们首先将协议的msgversion设置成4，表示这是基于简单网络管理协议SNMPv3版本，然后设置msgMaxSize，根据是否需要提供验证与加密服务来设置msgflags值，其中包括三种类型，如图4所示；

握手双方将根据msgFlags的类型来决定提供什么样的服务，最后对msgSecurityModel字段进行设置，该字段主要取值如图5所示；

代理端将该字段设置成SNMPv3(简单网络管理协议)_SECURITY_MODEL_CSM(基于证书的安全模型)，表示本会话采用CSM(基于证书的安全模型)模型来确保消息的安全性。

最后，代理端生成所选用的椭圆曲线E，阶N和基点G的x，y坐标，然后生成随机数Rc，计算Pc＝Rc×G，将Pc和G，阶N，椭圆曲线E一起填入AgentHello报文的KeyShare字段：

将全局消息域设置完成后，我们将对安全参数域基于证书的安全模型CSM的ecurityParameters进行设置。安全参数域如图6所示：

在AgentHello握手消息中，需要填充安全参数域中的msgUserName，将代理端用户名填入该字段。

上述填充中，除密钥协商参数填充外，其他都是现有技术的填充方式。

综上，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求。

二、ManagerHello

管理端收到最终AgentHello报文后，一方面记录代理端密钥协商参数(Pc和G，阶N，椭圆曲线E)，另一方面生成自己的密钥协商参数Ps、基点G、阶N和椭圆曲线E，其中，Ps＝Rs×G，Rs为管理端生成的随机数，通过通信双方的密钥协商参数利用椭圆曲线密钥协商算法来确定会话密钥K，即利用Rs×Pc得到会话密钥K；由管理端生成ManagerHello报文，在KeyShare字段填入Ps、基点G、阶N和椭圆曲线E；同时基于管理端生成的ManagerHello报文，将管理端的证书填入Gertificate字段，填入证书后，设置CertificateRequest字段，用于请求代理端发送证书，随机生成的加密向量IV，写入msgPrivacyParameters字段，得到第一次填入后的ManagerHello报文；再使用管理端私钥对第一次填入后的ManagerHello报文进行签名，然后填充到CertificateVerify字段，即得到第二次填入后的ManagerHello报文；

协议认证模块利用会话密钥K生成最终AgentHello报文和第二次填入后的ManagerHello报文的哈希消息认证码HMAC，填充到finish字段，即得到第三次填入后的ManagerHello报文；

协议加密模块利用会话密钥K和加密向量IV对第三次填入后的ManagerHello报文中密钥协商参数和加密向量IV以外的其他字段进行加密，完成最终ManagerHello报文的生成；

三、Auth

确定管理端身份合法后，设置msgversion为7，表示该报文为Auth报文，代理端生成Auth报文，代理端填入时间同步参数，即msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段；代理端将自己的证书填入Certificate字段；代理端利用自身私钥对Auth报文进行签名，填入CertificateVerify字段，即得到第一次填入后的Auth报文；

将最终Auth报文发送给管理端，管理端在接收到最终Auth报文后，首先利用加密向量IV和会话密钥K来对最终Auth报文进行解密，解密后随后利用其中的时间同步参数即msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段来进行时间同步认证，时间同步认证后对其中的证书、签名、哈希消息认证码HMAC分别进行认证，即实现代理端的身份认证，最后完成握手流程。

安全握手后：

管理端和代理端在完成安全握手，即会话密钥协商后，就可以利用会话协商好的密钥来进行通信，即通信过程中会利用协议握手模块进行握手得到的会话密钥K和安全参数中的加密向量IV进行通信双方的通信，基于如图6所示的通信报文进行通信，其生成报文的步骤如下：

管理端的通信报文生成流程如下：

填充scopedPDU中的msgContextEnginelD和msgContexName参数，用于通过视图访问控制模型VACM进行访问控制；

随机生成加密向量IV，利用协议加密模块和协议认证模块中的AES-CCM算法和协议握手模块进行握手得到管理端的会话密钥K以及加密向量lV来对scopedPDU进行加密和认证，将加密后的密文填入通信报文的scopePDU，然后将管理端生成的消息认证码填入安全参数域的msgAuthenticationParameters字段，同时将加密向量IV填入msgPrivacyParameters字段；

经过上述处理后，完成通信报文生成；

代理端在接受到管理端发来的通信报文后，执行以下操作：

从scopedPDU中获取PDU，获取PDU中每个Vb对应的请求request；

综上所述，本发明还可将优化后的网络管理协议SNMP v3融入公钥基础设施PKI体系中。

以上仅是本发明众多具体应用范围中的代表性实施例，对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案，均落在本发明权利保护范围之内。

Claims

1.一种针对网络管理协议SNMP v3的协议优化系统，其特征在于，包括：

协议通信模块：用于基于协议加密模块、协议认证模块和协议握手模块进行通信报文传输；

所述协议握手模块的具体握手流程如下：

在AgentHello报文中，代理端写入用于密钥协商的参数以及自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求，其中，用于密钥协商的参数，即密钥协商参数为P_c、基点G、阶N和椭圆曲线E，其中，P_c=R_c×G，R_c为生成的随机数；

2.根据权利要求1所述的一种针对网络管理协议SNMP v3的协议优化系统，其特征在于，所述协议加密模块利用AES-CCM算法来对协议报文中的scopedPDU字段进行加密。

3.根据权利要求1所述的一种针对网络管理协议SNMP v3的协议优化系统，其特征在于，所述协议认证模块采用AES-CCM算法来生成scopedPDU的认证码。

4.根据权利要求1所述的一种针对网络管理协议SNMP v3的协议优化系统，其特征在于，所述协议通信模块的具体协议通信流程如下：

管理端的通信报文生成流程如下：

在安全参数域中的msgAuthoritativeEngineBoots 字段和msgAuthoritativeEngineTime字段上填入时间认证参数，用于时间同步认证；

填充全局消息域中的msgversion字段、msgsecuritymodel字段和msgflags字段，即将msgversion置为4，msgsecuritymodel置为SNMPv3_SECURITY_MODEL_CSM，表示简单网络管理协议中基于证书的安全模型CSM，Msgflags置为SNMPv3 v3_AUTHFLAG|SNMPv3 v3_PRIVFLAG，表示通信报文需要认证与加密；

经过上述处理后，完成通信报文生成；

代理端在接受到管理端发来的通信报文后，执行以下操作：

利用安全参数域中的msgAuthoritativeEngineBoots 字段和msgAuthoritativeEngineTime字段进行时间同步认证；

从scopedPDU中获取PDU，获取PDU中每个Vb对应的请求request；

5.一种基于权利要求1-4任一项所述的一种针对网络管理协议SNMP v3的协议优化系统的方法，其特征在于：包括如下步骤：

S1：基于数据加密和数据认证进行安全握手；

6.根据权利要求5所述的方法，其特征在于：所述步骤S1的具体步骤为：

S1.1：在AgentHello报文中，代理端写入用于密钥协商的参数以及自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求，其中，用于密钥协商的参数，即密钥协商参数为P_c、基点G、阶N和椭圆曲线E，其中，P_c=R_c×G，R_c为生成的随机数；

7.根据权利要求6所述的方法，其特征在于：所述步骤S1.1的具体步骤为：

代理端生成所选用的椭圆曲线E，阶N和基点G的x,y坐标，然后生成随机数Rc,计算Pc=Rc×G，将Pc和G，阶N，椭圆曲线E一起填入AgentHello报文的KeyShare字段，在msgUserName字段填入自身用户名，完成最终AgentHello报文生成，得到最终AgentHello报文后，由代理端发起握手请求；

所述步骤S1.2的具体步骤为：

管理端收到最终AgentHello报文后，一方面记录代理端密钥协商参数P_c、基点G、阶N和椭圆曲线E，另一方面生成自己的密钥协商参数 Ps、基点G、阶N和椭圆曲线E，其中，Ps=Rs×G，Rs为管理端生成的随机数，通过通信双方的密钥协商参数，利用椭圆曲线密钥协商算法来确定会话密钥K，即利用Rs×Pc得到会话密钥K；由管理端生成ManagerHello报文，在KeyShare字段填入Ps、基点G、阶N和椭圆曲线E；同时基于管理端生成的ManagerHello报文，将管理端的证书填入Certificate字段，填入证书后，设置CertificateRequest字段，用于请求代理端发送证书，随机生成的加密向量IV，写入msgPrivacyParameters字段，得到第一次填入后的ManagerHello报文；再使用管理端私钥对第一次填入后的ManagerHello报文进行签名，然后填充到CertificateVerify字段，即得到第二次填入后的ManagerHello报文；

所述步骤S1.3的具体步骤为：

确定管理端身份合法后，代理端生成Auth报文，代理端填入时间同步参数，即msgAuthoritativeEngineBoots 字段和msgAuthoritativeEngineTime字段；代理端将自己的证书填入Certificate字段；代理端利用自身私钥对Auth报文进行签名，填入CertificateVerify字段，即得到第一次填入后的Auth报文；

将最终Auth报文发送给管理端，管理端在接收到最终Auth报文后，首先利用加密向量IV和会话密钥K来对最终Auth报文进行解密，解密后，利用其中的时间同步参数即msgAuthoritativeEngineBoots字段和msgAuthoritativeEngineTime字段来进行时间同步认证，时间同步认证后对其中的证书、签名、哈希消息认证码HMAC分别进行认证，即实现代理端的身份认证，最后完成握手流程。

8.根据权利要求5或7任一项所述的方法，其特征在于，所述步骤S2的具体步骤为：

管理端的通信报文生成流程如下：

经过上述处理后，完成通信报文生成；

代理端在接受到管理端发来的通信报文后，执行以下操作：

从scopedPDU中获取PDU，获取PDU中每个Vb对应的请求request；

9.根据权利要求8所述的方法，其特征在于，将优化后的网络管理协议SNMP v3融入公钥基础设施PKI体系中。