郭方平

【摘要】 在拓?fù)浣Y(jié)構(gòu)越來(lái)越復(fù)雜的互聯(lián)網(wǎng)之中，路由協(xié)議的安全性對(duì)于改善網(wǎng)絡(luò)質(zhì)量所發(fā)揮出的作用越來(lái)越明顯。文中主要就OSPF路由協(xié)議的安全機(jī)制進(jìn)行了分析，并探討了OSPF路由協(xié)議的安全性完善措施。

【關(guān)鍵詞】 OSPF協(xié)議 安全性 報(bào)文驗(yàn)證

OSPF全稱為Open Shortest Path First，屬于內(nèi)部網(wǎng)關(guān)協(xié)議，在如今的互聯(lián)網(wǎng)之中應(yīng)用最為廣泛。OSPF本身具有一定的安全性，但是其本身所具備的安全性卻并不能夠完全勝任新形勢(shì)下的網(wǎng)絡(luò)安全要求。為此，我們必須要加強(qiáng)對(duì)OSPF協(xié)議安全性的研究，在在此基礎(chǔ)上強(qiáng)化OSPF安全性。

一、OSPF安全機(jī)制

1.1 層次化路由結(jié)構(gòu)

利用OSPF路由協(xié)議可以將自治網(wǎng)絡(luò)劃分成為多個(gè)區(qū)域，在每一個(gè)劃分之后的區(qū)域之中都存在有獨(dú)立的鏈路狀態(tài)數(shù)據(jù)庫(kù)，并各自獨(dú)立執(zhí)行鏈路狀態(tài)路由算法。這就可以讓本區(qū)域中的拓?fù)浣Y(jié)構(gòu)對(duì)區(qū)域之外的網(wǎng)絡(luò)進(jìn)行隱藏，并可以讓自治系統(tǒng)在交換、傳播路由信息的時(shí)候的網(wǎng)絡(luò)流量得到減少，促進(jìn)收斂速度的加速。

1.2 具有可靠的泛洪機(jī)制

在OSPF協(xié)議之中采用LSU報(bào)文來(lái)對(duì)路由信息進(jìn)行攜帶，并運(yùn)用協(xié)議本身所定義的泛洪機(jī)制讓區(qū)域之中的路由器的鏈路狀態(tài)數(shù)據(jù)庫(kù)保持良好的一致性，讓路由選擇一致性得到保障。LSA是OSPF路由協(xié)議中路由協(xié)議的最小單元，由路由器生成，并在其中包含了LSA的路由器的標(biāo)識(shí)信息，根據(jù)這個(gè)標(biāo)識(shí)之下的機(jī)制，讓OSPF擁有一定自我糾錯(cuò)的能力。

1.3 優(yōu)良的報(bào)文驗(yàn)證機(jī)制

OSPF的報(bào)文之中包含了認(rèn)證類型以及認(rèn)證數(shù)據(jù)字段。當(dāng)前，在OSPF路由協(xié)議中主要有密碼認(rèn)證、空認(rèn)證以及明文認(rèn)證這三種認(rèn)證模式。其中，明文認(rèn)證是將口令通過(guò)明文的方式來(lái)進(jìn)行傳輸，只要可以訪問(wèn)到網(wǎng)絡(luò)的人都可以獲得這個(gè)口令，很容易讓OSPF路由域的安全受到威脅。而密碼認(rèn)證則能夠提供良好的安全性。為接入同一個(gè)網(wǎng)絡(luò)或者是子網(wǎng)的路由器配置一個(gè)共享密碼，然后這些路由器所發(fā)送的每一個(gè)OSPF報(bào)文都會(huì)攜帶一個(gè)建立在這個(gè)共享密碼基礎(chǔ)之上的信息摘要。通過(guò)MD5算法以及OSPF的報(bào)文來(lái)生成相應(yīng)的信息摘要，當(dāng)路由器接收到這個(gè)報(bào)文之后，根據(jù)路由器上配置的共享密碼以及接收到的這個(gè)報(bào)文來(lái)生成一個(gè)信息摘要，并將所生成的信息摘要和接收到的信息摘要進(jìn)行對(duì)比，如果兩者一致那么就接收，如果不一致則丟棄。

二、OSPF路由協(xié)議安全性完善措施

相對(duì)來(lái)講OSPF的安全性較高，在很多時(shí)候外部對(duì)其進(jìn)行攻擊都是因?yàn)镺SPF路由沒(méi)有啟用密碼認(rèn)證機(jī)制或者是攻擊者對(duì)密碼破譯之后所實(shí)現(xiàn)的。當(dāng)然即使是啟用了密碼認(rèn)證也可以利用重放攻擊的方式來(lái)進(jìn)行攻擊。要加強(qiáng)其安全性需要注意以下幾點(diǎn)：

2.1 對(duì)于空驗(yàn)證與簡(jiǎn)單口令驗(yàn)證的防范

對(duì)于空驗(yàn)證和簡(jiǎn)單口令驗(yàn)證帶來(lái)的安全問(wèn)題，可以啟用密碼驗(yàn)證來(lái)進(jìn)行防范。當(dāng)啟用密碼驗(yàn)證之后，OSPF報(bào)文會(huì)產(chǎn)生一個(gè)無(wú)符號(hào)非遞減的加密序列號(hào)。在附近的所有鄰居路由器中會(huì)存放該路由器的最新加密序列號(hào)。對(duì)于鄰居路由器所收到的報(bào)文的加密序列號(hào)需要大于或者等于所存儲(chǔ)的加密序列號(hào)，如果不滿足該要求則丟棄。

2.2 對(duì)于密碼驗(yàn)證漏洞的防范

在三種驗(yàn)證方案之中密碼驗(yàn)證是最為安全的一種，但是也并不是牢不可破的。即使是啟用了密碼驗(yàn)證也不代表所有報(bào)文內(nèi)容都是經(jīng)過(guò)加密后傳輸?shù)?，其中LSU報(bào)文頭部仍然會(huì)采用明文，這就存在被攻擊者篡改的可能性。即使是采用的MD5算法也并不是絕對(duì)安全，例如中國(guó)山東大學(xué)的科學(xué)家就已經(jīng)破解了MD5算法。對(duì)密鑰進(jìn)行管理與維護(hù)需要較高成本，所以可以考慮和其他成本較低的方式進(jìn)行結(jié)合，例如數(shù)字簽名技術(shù)。這樣可以對(duì)大部分的威脅進(jìn)行有效的抵御。

但是用于生成與驗(yàn)證簽名的開(kāi)銷也是非常巨大的。一個(gè)路由器需要驗(yàn)證簽名的數(shù)量會(huì)受到很多因素的影響，例如網(wǎng)絡(luò)之中路由器的數(shù)量、對(duì)網(wǎng)絡(luò)區(qū)域的劃分、鏈路狀態(tài)信息的變化以及刷新頻率等等。在OSPF之中，因?yàn)槊恳粭l外部子網(wǎng)絡(luò)徑存在有單獨(dú)的鏈路狀態(tài)信息描述，因此在網(wǎng)絡(luò)之中就有可能存在有成千上萬(wàn)條這一類鏈路狀態(tài)信息。因此，還需要考慮到緩解這些信息對(duì)于路由器性能的影響。通常情況下采用的方法是在路由器之上采用額外的硬件，對(duì)OSPF路由協(xié)議進(jìn)行改進(jìn)，周期性或者是按需進(jìn)行驗(yàn)證簽名。在當(dāng)前的研究方向是在利用密碼體制安全性的同時(shí)，利用有效的入侵檢測(cè)技術(shù)讓OSPF的安全性得到保證。

三、結(jié)語(yǔ)

作為一種應(yīng)用非常廣泛的路由協(xié)議OSPF的安全性受到廣泛的關(guān)注，雖然其本身具有一定的安全性，但是卻難以滿足當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的需要。為此我們需要加強(qiáng)對(duì)OSPF安全性的研究，并積極思考如何對(duì)其安全性進(jìn)行完善。

參考文獻(xiàn)

[1] 柳強(qiáng)，黃天章，郭海龍.基于OSPF協(xié)議可信路由技術(shù)研究及實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2013，（04）：48-49

[2] 湯川.淺談OSPF協(xié)議[J].數(shù)字技術(shù)與應(yīng)用，2013，（02）：47