高網(wǎng)管的有關(guān)應(yīng)用

1、snmpv3snmpv3分析一、 snmp的安全問題二、snmpv3協(xié)議框架三、 snmpv3安全機(jī)制一、 snmp snmp的安全問題snmp制定之初并沒有過多地考慮其安全性。這使其早期版本存在安全隱患。隨著網(wǎng)絡(luò)安全的日趨重要在snmp的發(fā)展過程中也出現(xiàn)了一些安全方面的增強(qiáng)方案。這些方案雖然沒有形成統(tǒng)一的標(biāo)準(zhǔn)也沒有得到廣泛應(yīng)用但是對后來snmpv3的形成具有借鑒意義。一、 snmp snmp的安全問題1snmp早期版本的安全機(jī)制及其缺陷snmpv1存在一些明顯的缺陷，其中之一就是忽視了安全問題。snmpv1只提出了基于團(tuán)體(community)的安全機(jī)制。一個(gè)snmp團(tuán)體是一個(gè)snmp代理和

2、任意一組snmp管理站之間的一種關(guān)系，它定義了認(rèn)證和訪問控制的特性。團(tuán)體是定義在代理上的一個(gè)本地概念。代理為每一個(gè)必要的認(rèn)證和訪問控制特性的聯(lián)合建立一個(gè)團(tuán)體，每個(gè)團(tuán)體擁有唯一一個(gè)名字。團(tuán)體之中的管理站必須使用該團(tuán)體的團(tuán)體名進(jìn)行g(shù)et和set操作。一、 snmp snmp的安全問題（1）認(rèn)證服務(wù)認(rèn)證服務(wù)用于保證通信是可信的。在snmp消息中，認(rèn)證服務(wù)將向消息接收者保證該消息的確是從它所聲明的來源發(fā)出的。snmp僅提供了一種很簡單的認(rèn)證方式：從管理站發(fā)往代理的每個(gè)消息都包括一個(gè)團(tuán)體名，起口令的 作用。如果該團(tuán)體名存在于代理已知的團(tuán)體名列表中，則該消息被認(rèn)為是可信的，接收該消息。否則，消息不可信，丟

3、棄該消息。一、 snmp snmp的安全問題（2）訪問控制策略通過定義團(tuán)體，代理可以限制它的mib只能被選定的一組管理站訪問。而通過定義多于一個(gè)的團(tuán)體，代理能夠?yàn)椴煌墓芾碚咎峁┎煌膍ib訪問權(quán)限。但是，團(tuán)體名 通常以明文形式隨snmp報(bào)文傳輸。對于熟悉snmp的人來說，可以很容易地從網(wǎng)絡(luò)上捕獲的snmp報(bào)文中分析得到團(tuán)體名，從而盜用某些權(quán)限、進(jìn)行非法的操作。一、 snmp snmp的安全問題2 snmp面臨的安全威脅在實(shí)際中廣泛使用的snmpv1/v2c采用以明文傳輸?shù)膱F(tuán)體名作為認(rèn)證手段。這種脆弱的保護(hù)機(jī)制使得snmp面臨著一系列安全威脅。這些威脅包括：（1）偽裝一些未授權(quán)的實(shí)體可以偽裝為

4、已授權(quán)實(shí)體的身份，去執(zhí)行只有授權(quán)實(shí)體才可以執(zhí)行的管理操作，從而獲得額外的特權(quán)。一、 snmp snmp的安全問題（2）信息更改一個(gè)實(shí)體可以更改由另一授權(quán)實(shí)體產(chǎn)生的正在傳輸?shù)膱?bào)文，從而導(dǎo)致越權(quán)的管理操作。這種威脅的本質(zhì)就是未授權(quán)的實(shí)體可以修改任何管理參數(shù)包括配置、操作和計(jì)費(fèi)方面的參數(shù)。一、 snmp snmp的安全問題（3）信息泄漏實(shí)體可以觀測管理者與代理之間的信息交換，從而獲得管理對象的值，并獲知所報(bào)告的事件。例如，通過觀測更改口令的set命令，可以使攻擊者獲知新口令的內(nèi)容。一、 snmp snmp的安全問題（4）消息流更改snmp被設(shè)計(jì)成在無連接的協(xié)議上運(yùn)行。因此，snmp消息有可能被重排、

5、延遲或者重放（復(fù)制），從而導(dǎo)致越權(quán)的管理操作。例如，一個(gè)重新啟動設(shè)備的消息可能被復(fù)制，并在將來某一時(shí)刻重放，導(dǎo)致非授權(quán)的操作。一、 snmp snmp的安全問題（5）拒絕服務(wù)阻止管理者與代理之間的信息交換，或阻止通信設(shè)備的正常使用和管理。這種攻擊或者是阻止所有發(fā)往特定目的站點(diǎn)的消息、或者是對網(wǎng)絡(luò)進(jìn)行破壞使其不能運(yùn)行、或者是發(fā)送大量消息使網(wǎng)絡(luò)過載從而降低其性能。（6）流量分析分析管理者和代理之間信息交換的一般模式。二、snmpv3snmpv3協(xié)議框架1 snmpv3的體系結(jié)構(gòu)snmpv3定義了新的體系結(jié)構(gòu)，并在其中包含了對snmpv1和snmpv2的兼容，即這個(gè)新的體系結(jié)構(gòu)也適用于snmpv1及

6、snmpv2，彌補(bǔ)了snmp沒有完整體系結(jié)構(gòu)的缺點(diǎn)。在snmpv3中，管理進(jìn)程與代理統(tǒng)稱為snmp實(shí)體（entity）。snmp實(shí)體由snmp協(xié)議引擎（engine）和應(yīng)用程序（application）組成。snmp實(shí)體包含一系列模塊，模塊之間相互作用來提供服務(wù)。二、snmpv3snmpv3協(xié)議框架二、snmpv3snmpv3協(xié)議框架（1） snmp協(xié)議引擎snmp協(xié)議引擎負(fù)責(zé)執(zhí)行snmp協(xié)議操作，為各類snmp應(yīng)用程序提供服務(wù)。每個(gè)snmp協(xié)議引擎由一個(gè)snmp協(xié)議引擎id來標(biāo)識。在整體上執(zhí)行兩種功能：二、snmpv3snmpv3協(xié)議框架從snmp應(yīng)用中接收流出的pdu執(zhí)行必要的處理，包括插

7、入鑒別代碼和加密，然后把pdu封裝到用于傳輸?shù)南⒅腥?。從傳輸層接收流進(jìn)的pdu，執(zhí)行必要的處理，包括鑒別和解密，然后從消息取出pdu，并把pdu傳送到適當(dāng)?shù)膕nmp應(yīng)用中去。二、snmpv3snmpv3協(xié)議框架（2）snmp協(xié)議引擎包含如下模塊：調(diào)度器調(diào)度器是同應(yīng)用程序及消息處理模型進(jìn)行交互，負(fù)責(zé)snmp消息的分發(fā)、傳輸和接收。每個(gè)snmpv3協(xié)議引擎含有一個(gè)調(diào)度器，它可以對多種版本的snmp消息提供支持。二、snmpv3snmpv3協(xié)議框架其主要功能如下：接收和發(fā)送snmp消息根據(jù)消息的版本號，將其交給相應(yīng)的消息處理模型處理從消息中得到snmp pdu，傳給應(yīng)用程序從應(yīng)用程序接收需發(fā)送的s

8、nmp pdu二、snmpv3snmpv3協(xié)議框架消息處理子系統(tǒng)消息處理子系統(tǒng)由一個(gè)或多個(gè)消息處理模型組成主要負(fù)責(zé)完成以下功能：準(zhǔn)備要發(fā)送的消息從接收到的消息中提取數(shù)據(jù)二、snmpv3snmpv3協(xié)議框架消息處理子系統(tǒng)包括snmpv1、snmpv2c、snmpv3等消息處理模型，分別處理不同版本的消息。消息處理模型定義了特定版本的snmp消息的格式，以及如何對該版本的snmp消息進(jìn)行解析、從中提取數(shù)據(jù)和如何構(gòu)造該版本的snmp消息。二、snmpv3snmpv3協(xié)議框架安全子系統(tǒng)安全子系統(tǒng)提供snmp消息的認(rèn)證和加密服務(wù)。它可以包含多個(gè)安全模型，標(biāo)準(zhǔn)協(xié)議使用的安全模型為rfc3414定義的基于用

9、戶的安全模型（usm)。用戶也可以定義自己的安全模型。安全模型要指出它所防范的安全威脅、服務(wù)的目標(biāo)和為提供安全服務(wù)所采用的安全協(xié)議。安全協(xié)議的內(nèi)容包括一系列安全機(jī)制和為實(shí)現(xiàn)安全服務(wù)所定義的mib對象等。二、snmpv3snmpv3協(xié)議框架訪問控制子系統(tǒng)訪問控制子系統(tǒng)通過一個(gè)或多個(gè)訪問控制模型提供確認(rèn)對被管理對象的訪問是否合法的服務(wù)。snmpv3默認(rèn)的訪問控制模型為rfc3415所描述的基于視圖的訪問控制模型(vacm)。訪問控制模型還可以定義訪問控制處理過程中使用的mib模塊，以實(shí)現(xiàn)對訪問控制策略的遠(yuǎn)程配置。二、snmpv3snmpv3協(xié)議框架（3）snmp應(yīng)用程序snmp應(yīng)用程序利用snmp

10、協(xié)議引擎提供的服務(wù)完成特定的網(wǎng)絡(luò)管理任務(wù)。不同snmp實(shí)體的應(yīng)用程序相互間通過snmp消息進(jìn)行通信。應(yīng)用程序主要包括以下幾類：二、snmpv3snmpv3協(xié)議框架命令產(chǎn)生器：產(chǎn)生snmp請求消息并處理對這些請求的響應(yīng)。命令響應(yīng)器:提供對snmp請求消息的應(yīng)答。通知產(chǎn)生器:產(chǎn)生和發(fā)送異步的通知消息。通知接收器：接收并處理異步的通知消息。當(dāng)通知消息需要確認(rèn)時(shí)通知接收器應(yīng)用程序還需生成相應(yīng)的應(yīng)答消息。委托轉(zhuǎn)發(fā)器：用于在網(wǎng)管實(shí)體之間轉(zhuǎn)發(fā)網(wǎng)管消息。二、snmpv3snmpv3協(xié)議框架2 snmpv3協(xié)議操作三、 snmpv3 snmpv3安全機(jī)制snmpv3的安全機(jī)制包括：認(rèn)證、加密、訪問控制 1基于用

11、戶的安全模型：snmpv3提出了四個(gè)安全目標(biāo)：（1）對每一個(gè)接收到的snmp消息進(jìn)行認(rèn)證檢查，確認(rèn)其在傳輸過程中沒有被修改(包括非故意修改)，即數(shù)據(jù)完整性認(rèn)證。三、 snmpv3 snmpv3安全機(jī)制（2）提供對發(fā)送消息的用戶的身份認(rèn)證，防止偽裝用戶。（3）提供對過時(shí)消息的檢測，防止消息的重定向、延遲或重發(fā)。（4）必要時(shí)提供對消息的加密保護(hù)，避免管理信息的暴露。三、 snmpv3 snmpv3安全機(jī)制為實(shí)現(xiàn)上述目標(biāo)，snmpv3采用了基于用戶的安全模型（usm）。定義了usm的規(guī)范，包括:鑒別:提供數(shù)據(jù)整體性和數(shù)據(jù)發(fā)送源鑒別。消息鑒別代碼hmac和散列函數(shù)md_5或sha-1一起來提供鑒別。及

12、時(shí)性:保護(hù)消息在傳輸過程中不被延時(shí)或重播。保密:保護(hù)消息有效內(nèi)容不被泄密。三、 snmpv3 snmpv3安全機(jī)制發(fā)現(xiàn):定義一個(gè)snmp引擎獲得關(guān)于另一個(gè)snmp引擎的信息的過程。密鑰管理:定義了密鑰產(chǎn)生、更新和使用的過程。三、 snmpv3 snmpv3安全機(jī)制基本概念：（1）用戶snmpv3用戶是一個(gè)發(fā)出snmp操作的實(shí)體，可以是一個(gè)或一些管理員，或是執(zhí)行網(wǎng)管操作的應(yīng)用程序等。用戶的身份和目標(biāo)代理的相關(guān)配置一起決定了將要調(diào)用的安全機(jī)制認(rèn)證、加密和訪問控制等。三、 snmpv3 snmpv3安全機(jī)制（2）權(quán)威的snmp協(xié)議引擎為了防御重放、延遲等攻擊，在參與通信的snmp協(xié)議引擎中應(yīng)有一方被

13、指定為權(quán)威的snmp協(xié)議引擎。當(dāng)一個(gè)snmp消息需要應(yīng)答時(shí)，消息接收方的snmp協(xié)議引擎就是權(quán)威的snmp協(xié)議引擎當(dāng)snmp消息不需要應(yīng)答時(shí)，則消息發(fā)送方的snmp協(xié)議引擎是權(quán)威的snmp協(xié)議引擎。相應(yīng)的，通信中另一方的snmp協(xié)議引擎被稱為非權(quán)威的snmp協(xié)議引擎。三、 snmpv3 snmpv3安全機(jī)制（3）本地化密鑰usm的認(rèn)證和加密機(jī)制需要在通信的兩個(gè)協(xié)議引擎之間共享認(rèn)證密鑰和加密密鑰。為了簡化密鑰的管理，snmpv3允許管理員不直接指定每個(gè)用戶的實(shí)際密鑰，而是為用戶配置口令（password）?？诹罱?jīng)過處理生成中間密鑰，然后再由中間密鑰和權(quán)威引擎id一起進(jìn)行密鑰的本地化，將中間密鑰轉(zhuǎn)

14、換成用戶相對于某個(gè)權(quán)威引擎的本地化密鑰，以區(qū)別于用戶在其它snmp協(xié)議引擎上的密鑰。這樣即使已知某個(gè)用戶對應(yīng)某個(gè)snmp協(xié)議引擎的密鑰，也不能猜測出該用戶對應(yīng)其它snmp協(xié)議引擎的密鑰。三、 snmpv3 snmpv3安全機(jī)制2認(rèn)證usm采用hmac（keyed-hashing for message authentication）來實(shí)現(xiàn)消息的數(shù)據(jù)完整性和數(shù)據(jù)源身份認(rèn)證。它使用一個(gè)安全的hash函數(shù)和一個(gè)認(rèn)證密鑰來生成消息的身份鑒別碼。標(biāo)準(zhǔn)協(xié)議使用md5和sha1作為hash函數(shù)，并截取hash值的前96比特作為有效認(rèn)證碼，因此被相應(yīng)地稱為hmac-md5-96認(rèn)證協(xié)議和hmac-sha-96

15、認(rèn)證協(xié)議。三、 snmpv3 snmpv3安全機(jī)制（1）數(shù)據(jù)完整性認(rèn)證通信的兩個(gè)snmp實(shí)體共享一個(gè)認(rèn)證密鑰。發(fā)送方在發(fā)送snmp消息之前利用認(rèn)證密鑰和hash函數(shù)為snmp消息計(jì)算認(rèn)證碼并將認(rèn)證碼插入到消息中一起傳輸。接收方收到該消息后使用同樣的方法計(jì)算該消息的認(rèn)證碼。得到的認(rèn)證碼如果與消息附帶的認(rèn)證碼相同即說明該消息在傳輸過程中未被修改。對snmp消息的認(rèn)證確保了消息數(shù)據(jù)的完整性，從而防止對網(wǎng)管信息的更改攻擊。三、 snmpv3 snmpv3安全機(jī)制（2）數(shù)據(jù)源認(rèn)證由于認(rèn)證碼的產(chǎn)生與使用的認(rèn)證密鑰相關(guān)，而認(rèn)證密鑰與用戶有著一一對應(yīng)的關(guān)系。如果不知道用戶的認(rèn)證密鑰就無法以該用戶的身份生成正確

16、的認(rèn)證碼。所以通過比較認(rèn)證碼就能夠確認(rèn)數(shù)據(jù)源身份的真實(shí)性。數(shù)據(jù)源認(rèn)證能防止偽裝攻擊。三、 snmpv3 snmpv3安全機(jī)制（3）及時(shí)性認(rèn)證提供對報(bào)文延遲和重發(fā)的保護(hù)。在snmp報(bào)文中設(shè)置一個(gè)時(shí)間戳記來進(jìn)行時(shí)間檢查。該時(shí)間戳記值預(yù)先測定，若信息在以該時(shí)間戳記為中心的某一個(gè)窗口到達(dá)，則認(rèn)為未被延時(shí)。窗口一般默認(rèn)為150秒。及時(shí)檢查只有在對報(bào)文進(jìn)行認(rèn)證時(shí)才執(zhí)行。它可以防止消息流更改攻擊。三、 snmpv3 snmpv3安全機(jī)制3加密為了防止信息泄露，usm對snmpv3報(bào)文負(fù)載進(jìn)行加 密 保 護(hù) 。 報(bào) 文 負(fù) 載 是 指 由 上 下 文 引 擎 i d（contextengineid）、上下文名

17、(contextname)和snmp協(xié)議數(shù)據(jù)單元（pdu）組成的范圍協(xié)議數(shù)據(jù)單元（scopedpdu）。標(biāo)準(zhǔn)協(xié)議通過密碼塊鏈接模式的數(shù)據(jù)加密標(biāo)準(zhǔn)（cbc-des）為報(bào)文負(fù)載提供保護(hù)。使用加密功能的通信雙方共享一個(gè)私有秘密值。該秘密值包含加密密鑰和其它信息（如cbc模式所需的初始化向量（iv）的預(yù)設(shè)值pre-iv）。并可采用一個(gè)“salt”值，用于每次加密時(shí)改變初始化向量。報(bào)文的接收方使用這個(gè)共享私有秘密值得出加密密鑰，并利用pre-iv和報(bào)文中攜帶的“salt”值計(jì)算得出初始化向量，以解密數(shù)據(jù)。三、 snmpv3 snmpv3安全機(jī)制加密功能可以有效地防止信息泄露。經(jīng)過加密處理的snmpv3消

18、息即使被非法獲取，攻擊方因?yàn)椴恢烂荑€也不能提取其中的網(wǎng)管信息。snmpv3規(guī)定，如果使用加密功能，則必須同時(shí)使用認(rèn)證功能。三、 snmpv3 snmpv3安全機(jī)制4 snmpv3中的加密、認(rèn)證算法和過程三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全

19、機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制三、 snmpv3 snmpv3安全機(jī)制6基于視圖的訪問控制模型（vacm）安全性的另一個(gè)主要內(nèi)容是訪問控制。在snmpv1和snmpv2c中主要采取了基于團(tuán)體的訪問控制機(jī)制。snmpv3引入了更加安全靈活的訪問控制方式基于視圖的訪問控制模型（vacm）。它使得管理員可以對snmp協(xié)議引擎進(jìn)行配置，控制管理站對管理信息的訪問。三、 snmpv3 snmpv3安全機(jī)制對mib中管理對象的訪問控制主要有兩部分內(nèi)容：（1）限制用戶只能訪問全部管理對象的一部分。（2）是限制用戶對該部份管理對象只能進(jìn)行限定的操作三、 s

20、nmpv3 snmpv3安全機(jī)制6.1基本概念（1）snmp上下文（snmp context）snmp上下文，簡稱上下文（context）是snmp實(shí)體可訪問的管理信息(對象實(shí)例)的集合。一條管理信息可以存在于多個(gè)上下文中。一個(gè)snmp實(shí)體可訪問多個(gè)上下文。由于一種管理對象類型在一個(gè)管理域中可能存在多個(gè)對象實(shí)例，因此可能出現(xiàn)在一個(gè)管理域中不能唯一的標(biāo)識出一個(gè)對象實(shí)例的情況。針對這種情況可將一個(gè)管理域劃分為多個(gè)范圍，即“上下文”。在上下文中可以單獨(dú)標(biāo)識出一個(gè)實(shí)例。通常，一個(gè)上下文可以是一個(gè)物理設(shè)備，或是一個(gè)邏輯設(shè)備，或是一個(gè)物理設(shè)備的一部分，也可以是多個(gè)設(shè)備的組合。三、 snmpv3 snmpv

21、3安全機(jī)制（2）視圖子樹（view subtree）一個(gè)視圖子樹代表一個(gè)管理對象實(shí)例的集合，這些管理對象實(shí)例的對象標(biāo)識符含有相同的前綴。一個(gè)視圖子樹由該子樹中所有對象實(shí)例都具有的最長對象標(biāo)識符前綴來標(biāo)記。例如：1.2.3.4.1、1.2.3.4.2、1.2.3.4.3同屬于一個(gè)視圖子樹1.2.3.4。三、 snmpv3 snmpv3安全機(jī)制（3）視圖樹家族（viewtreefamily）視圖樹家族可以看作一系列結(jié)構(gòu)相似的視圖子樹的集合。一個(gè)視圖樹家族包含一個(gè)對象標(biāo)識符（稱為家族名）和一個(gè)位串（稱為家族掩碼）。家族掩碼是一個(gè)二進(jìn)制串，指示家族名中某一個(gè)子標(biāo)識對家族的定義是否有意義。掩碼的每一位對

22、應(yīng)于一個(gè)子標(biāo)識位置最高位對應(yīng)第一個(gè)子標(biāo)識、次高位對應(yīng)第二個(gè)子標(biāo)識，以此類推。三、 snmpv3 snmpv3安全機(jī)制一個(gè)管理對象若能與某個(gè)特定的視圖樹家族相匹配（match即包含于該視圖樹家族中），則必須滿足兩個(gè)條件：一是管理對象的標(biāo)識符包含的子標(biāo)識至少與該視圖樹家族名的子標(biāo)識一樣多二是當(dāng)家族掩碼的某一位為1時(shí)，該對象的對象標(biāo)識符在該位置上的子標(biāo)識與家族名在對應(yīng)位置上的子標(biāo)識必須相等。掩碼為0的位對應(yīng)的子標(biāo)識則可以視作通配符處理。三、 snmpv3 snmpv3安全機(jī)制若家族掩碼的位數(shù)小于對應(yīng)家族名的子標(biāo)識數(shù)目，則默認(rèn)用比特1擴(kuò)展家族掩碼的長度。如果對一個(gè)家族名指定一個(gè)長度為0的掩碼，這種擴(kuò)展

23、規(guī)則將導(dǎo)致使用一個(gè)所有位均為1的掩碼，即家族名的所有子標(biāo)識都需進(jìn)行匹配。三、 snmpv3 snmpv3安全機(jī)制例如：一個(gè)視圖樹家族的家族名為1.2.3.4，家族掩碼為1010（二進(jìn)制）。則任何具有1.x.3.y形式前綴（x、y為任意子標(biāo)識）的管理對象，如1.1.3.4、1.2.3.4、1.2.3.1、1.1.3.1等，都能與這個(gè)視圖樹家族匹配。三、 snmpv3 snmpv3安全機(jī)制（4）mib視圖（mib view）mib視圖是全部mib管理對象的一個(gè)子集。由于mib是以樹狀結(jié)構(gòu)定義的，因此mib視圖可以方便地用一系列視圖子樹來定義。vacm用視圖樹家族來代表一系列視圖子樹，再基于視圖樹家

24、族來定義mib視圖。一個(gè)簡單的mib視圖可以被定義成一個(gè)視圖樹家族，而復(fù)雜的mib視圖可以由許多視圖樹家族組成。三、 snmpv3 snmpv3安全機(jī)制這些視圖樹家族可以包含（included）于mib視圖之內(nèi)，或是排除（excluded）在該mib視圖之外。包含于某個(gè)視圖之內(nèi)的視圖樹家族所代表的視圖子樹的全部葉結(jié)點(diǎn)就是該視圖所包含的管理對象集合。三、 snmpv3 snmpv3安全機(jī)制6.2vacm的工作原理vacm定義了一組根據(jù)用戶身份來確定其訪問權(quán)限的服務(wù)機(jī)制主要處理誰能夠訪問網(wǎng)絡(luò)管理信息以及它能訪問到哪些管理信息。三、 snmpv3 snmpv3安全機(jī)制vacm首先定義了組(group

25、)的概念。一個(gè)組是一個(gè)集合，由零到多個(gè)對組成，以組名表示。每個(gè)至多只能屬于一個(gè)組，它們被作為訪問控制模塊進(jìn)行訪問權(quán)限檢查的輸入?yún)?shù)。訪問權(quán)限的分配是按組進(jìn)行的，對每個(gè)組可以分配不同的訪問權(quán)限。三、 snmpv3 snmpv3安全機(jī)制vacm的訪問權(quán)限定義分為兩個(gè)部分：一是指明某個(gè)組的用戶能夠訪問哪些管理對象二是指明該組的用戶能對這些管理對象進(jìn)行何種操作（讀/寫/通告）。三、 snmpv3 snmpv3安全機(jī)制用戶可以訪問的管理對象通過一個(gè)mib視圖來指明。通常，可定義一個(gè)mib視圖來包含所有的管理對象，而定義其它mib視圖則只包含部分的管理信息。這樣就可以根據(jù)需要限制某些用戶只能訪問某個(gè)特定的視圖。三、 snmpv3 snmpv3安全機(jī)制用戶對管理信息可能執(zhí)行的操作有讀、寫、通知三種類型。通過指明每個(gè)組在每種操作下可見的視圖就定義了每個(gè)組對特定的管理對象能夠進(jìn)行何種操作。此外snmpv3定義了不同的安全級別包括無認(rèn)證無加密、認(rèn)證但無加密、認(rèn)證并加密。執(zhí)行訪問控制檢查時(shí)用戶的安全級別也作為輸入?yún)?shù)。同一個(gè)組名在不同的安全級別下可以分配不同的訪問權(quán)限。三、 snmpv3 snmpv3安全機(jī)制由上可知，使某個(gè)視圖對某個(gè)組的用戶在某種操作下可見的過程就是為組授權(quán)的過程，可以描述為以下幾步：（1）將具有相同權(quán)限的用戶劃分到同一個(gè)組當(dāng)中（2）明確該組的每種操作有權(quán)訪問的對象即每種操作