在 SNMP4J 中如何使用非对称密钥或证书认证?

How do you use asymmetric keys or certificate authentication in SNMP4J?

我正在从事一个项目,希望能够使用证书或密钥作为 SNMPv3 的身份验证方法。我们正在使用 java 库 SNMP4J

在我的研究过程中,我发现 SNMP 使用 TLS/DTLS 进行消息加密,据推测也用于身份验证。 Source 1 | Source 2 | Source 3

查看 SNMP4J 的小文档,我发现它允许使用 TLS 证书来加密流量。但我不确定身份验证是如何完成的,如果可能的话,使用 public/private 密钥对。 TLS Traffic Encryption Example | SNMP4J Documentation

如有任何帮助,我们将不胜感激。

我能够使用示例 TLS Traffic Encryption Example 中描述的类似方法进行身份验证。

正如人们对示例所期望的那样,我可以确认 SNMP4J 使用 Java 属性 javax.net.ssl.keystorejavax.net.ssl.keyStorePassword、[=17 中设置的密钥库=], 和 javax.net.ssl.trustStorePassword.

下面是我对示例所做的更改以使其正常工作。

需要在 CertifiedTarget 构造函数中设置别名(或文档中的安全名称),以便它知道要使用哪个证书。

 CertifiedTarget ct = new CertifiedTarget(new OctetString(alias));

必须设置安全级别,否则 SNMP 代理将抱怨并导致身份验证失败。

 ct.setSecurityLevel(SecurityLevel.AUTH_PRIV);

SecurityCallback 主题 DN 必须完全匹配服务器证书主题,否则它将拒绝所有响应。

 securityCallback.addAcceptedSubjectDN("EMAILADDRESS=admin@net-snmp.org, CN=snmpagent, OU=Development, O=Net-SNMP, L=Davis, ST=CA, C=US");

最后,您必须使用地址注册服务器 public 证书别名(安全名称)。

 securityCallback.addLocalCertMapping(ct.getAddress(), "snmpagent");

组合在一起看起来像这样。

// Set java keystore manually
System.setProperty("javax.net.ssl.keyStore", KEYSTORE_DIR);
System.setProperty("javax.net.ssl.keyStorePassword", "changeit");
System.setProperty("javax.net.ssl.trustStore", KEYSTORE_DIR);
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

// create the TLS transport mapping:
TLSTM transport = new TLSTM();

// set the security callback (only required for command responder,
// but also recommended for command generators) -
// the callback will be configured later:
DefaultTlsTmSecurityCallback securityCallback = new DefaultTlsTmSecurityCallback();
((TLSTM) transport).setSecurityCallback(securityCallback);
MessageDispatcher md = new MessageDispatcherImpl();
// we need MPv3 for TLSTM:
MPv3 mpv3 = new MPv3();
md.addMessageProcessingModel(mpv3);

Snmp snmp = new Snmp(md, transport);

// create and initialize the TransportSecurityModel TSM:
SecurityModels.getInstance().addSecurityModel(new TSM(new OctetString(mpv3.getLocalEngineID()), false));

// do not forget to listen for responses:
snmp.listen();

CertifiedTarget ct = new CertifiedTarget(new OctetString("alias"));
ct.setVersion(SnmpConstants.version3);
ct.setSecurityModel(SecurityModel.SECURITY_MODEL_TSM);
ct.setAddress(GenericAddress.parse(myAddress));
ct.setSecurityLevel(SecurityLevel.AUTH_PRIV);

securityCallback.addAcceptedSubjectDN("EMAILADDRESS=admin@net-snmp.org, CN=snmpagent, OU=Development, O=Net-SNMP, L=Davis, ST=CA, C=US");
securityCallback.addLocalCertMapping(ct.getAddress(), "snmpagentalias");

PDU pdu = new ScopedPDU();
pdu.add(new VariableBinding(new OID(someOid)));
pdu.setType(PDU.GET);

ResponseEvent response = snmp.send(pdu, ct);

您还必须确保所有证书都已正确配置,以便实际使用它们。

作为旁注,在发现这个问题的过程中,我和我的团队发现了 SNMP4J 处理 TLS 中的几个错误,主要是在传输层。这似乎是一个时间问题(可能是竞争条件?),它将获取 SNMP 数据但随后忽略它。我们能够通过设置 CertifiedTarget 超时和非常高的重试来绕过它。当我们有更多信息时,我们将正式报告此事。