如何在SNMP4J中使用非对称密钥或证书身份验证?

时间:2017-05-19 21:33:07

标签: java authentication snmp encryption-asymmetric snmp4j

我正在开发一个项目,希望能够使用证书或密钥作为SNMPv3的身份验证方法。我们正在使用java库SNMP4J

在我的研究中,我发现SNMP使用TLS / DTLS进行消息加密,并且据称也用于身份验证。 Source 1 | Source 2 | Source 3

查看SNMP4J的小文档,我发现它允许使用TLS证书加密流量。但我不确定如何使用公钥/私钥对进行身份验证。 TLS Traffic Encryption Example | SNMP4J Documentation

任何帮助都将不胜感激。

1 个答案:

答案 0 :(得分:0)

我能够使用示例TLS Traffic Encryption Example中描述的类似方法进行身份验证。

正如人们所希望的那样,我可以确认SNMP4J使用Java属性javax.net.ssl.keystorejavax.net.ssl.keyStorePasswordjavax.net.ssl.trustStorejavax.net.ssl.trustStorePassword中设置的密钥库。

以下是我对示例所做的更改,以使其正常工作。

需要在CertifiedTarget构造函数中设置别名(或文档中的安全名称),以便它知道要使用哪个证书。

 CertifiedTarget ct = new CertifiedTarget(new OctetString(alias));

必须设置安全级别,否则SNMP代理将进行投诉并且验证失败。

 ct.setSecurityLevel(SecurityLevel.AUTH_PRIV);

SecurityCallback主题DN必须与服务器证书主题完全匹配,否则将拒绝所有响应。

 securityCallback.addAcceptedSubjectDN("EMAILADDRESS=admin@net-snmp.org, CN=snmpagent, OU=Development, O=Net-SNMP, L=Davis, ST=CA, C=US");

最后,您必须使用地址注册服务器公共证书别名(安全名称)。

 securityCallback.addLocalCertMapping(ct.getAddress(), "snmpagent");

它看起来像这样。

// Set java keystore manually
System.setProperty("javax.net.ssl.keyStore", KEYSTORE_DIR);
System.setProperty("javax.net.ssl.keyStorePassword", "changeit");
System.setProperty("javax.net.ssl.trustStore", KEYSTORE_DIR);
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

// create the TLS transport mapping:
TLSTM transport = new TLSTM();

// set the security callback (only required for command responder,
// but also recommended for command generators) -
// the callback will be configured later:
DefaultTlsTmSecurityCallback securityCallback = new DefaultTlsTmSecurityCallback();
((TLSTM) transport).setSecurityCallback(securityCallback);
MessageDispatcher md = new MessageDispatcherImpl();
// we need MPv3 for TLSTM:
MPv3 mpv3 = new MPv3();
md.addMessageProcessingModel(mpv3);

Snmp snmp = new Snmp(md, transport);

// create and initialize the TransportSecurityModel TSM:
SecurityModels.getInstance().addSecurityModel(new TSM(new OctetString(mpv3.getLocalEngineID()), false));

// do not forget to listen for responses:
snmp.listen();

CertifiedTarget ct = new CertifiedTarget(new OctetString("alias"));
ct.setVersion(SnmpConstants.version3);
ct.setSecurityModel(SecurityModel.SECURITY_MODEL_TSM);
ct.setAddress(GenericAddress.parse(myAddress));
ct.setSecurityLevel(SecurityLevel.AUTH_PRIV);

securityCallback.addAcceptedSubjectDN("EMAILADDRESS=admin@net-snmp.org, CN=snmpagent, OU=Development, O=Net-SNMP, L=Davis, ST=CA, C=US");
securityCallback.addLocalCertMapping(ct.getAddress(), "snmpagentalias");

PDU pdu = new ScopedPDU();
pdu.add(new VariableBinding(new OID(someOid)));
pdu.setType(PDU.GET);

ResponseEvent response = snmp.send(pdu, ct);

您还必须确保所有证书都已正确配置,以便实际获取它们。

作为旁注,在发现我的团队时,我发现了SNMP4J在TLS处理中的一些错误,主要是在传输层。这似乎是一个时间问题(竞争条件可能?),它将获取SNMP数据但随后忽略它。我们通过设置CertifiedTarget超时并重试非常高来绕过它。当我们获得更多信息时,我们将正式报告此事。