許勝

摘要：在現(xiàn)實(shí)世界中，隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展，互聯(lián)網(wǎng)安全問(wèn)題也日益突出，網(wǎng)絡(luò)威脅倍增。OSPF協(xié)議作為重要的內(nèi)部網(wǎng)關(guān)協(xié)議，其安全性影響到整個(gè)自治系統(tǒng)的安全。本文將圍繞互聯(lián)網(wǎng)安全為中心，以O(shè)SPF協(xié)議為基礎(chǔ)，通過(guò)分析可信網(wǎng)絡(luò)的技術(shù)條件，得出OSPF路由協(xié)議需要改進(jìn)的方面。

關(guān)鍵詞：可信網(wǎng)絡(luò)環(huán)境;TCG OSPF協(xié)議

中圖分類號(hào)：TP393 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）15-0038-02

隨著互聯(lián)網(wǎng)的不斷發(fā)展，互聯(lián)網(wǎng)安全問(wèn)題日益突出。在此情形下，民眾逐漸對(duì)互聯(lián)網(wǎng)失去信心。因此，重建可信互聯(lián)網(wǎng)，提供值得信任的網(wǎng)絡(luò)服務(wù)的任務(wù)變得無(wú)比迫切。作為重建可信互聯(lián)網(wǎng)環(huán)節(jié)中的至關(guān)重要的一環(huán)，可信路由技術(shù)越來(lái)越受到關(guān)注，也逐漸成為一個(gè)重要的研究方向。

1 可信網(wǎng)絡(luò)環(huán)境分析及漏洞分析

1.1 可信網(wǎng)絡(luò)環(huán)境分析

日前，網(wǎng)絡(luò)安全越來(lái)越成為一個(gè)重要的問(wèn)題，人們也越來(lái)越注重自身的網(wǎng)絡(luò)安全。聯(lián)系具有多樣性和客觀性?？尚啪W(wǎng)絡(luò)像是一把雙刃劍，既給我們帶來(lái)極大的便利，許多東西已經(jīng)可以借助互聯(lián)網(wǎng)來(lái)完成。然而在可信網(wǎng)絡(luò)給我們極大便利的同時(shí)，也給我們帶來(lái)巨大的威脅。由于可信網(wǎng)絡(luò)的滲透性以及侵略性，我們的個(gè)人信息極端泄漏。在此情況下，許多不法分子利用可信網(wǎng)絡(luò)的這一特性竊取公民的個(gè)人信息，實(shí)施犯罪行為。例如現(xiàn)在已經(jīng)成為我們?nèi)粘Ｉ钜徊糠值囊苿?dòng)支付，我們利用移動(dòng)支付來(lái)進(jìn)行購(gòu)物、消費(fèi)、出行。移動(dòng)支付與我們的財(cái)產(chǎn)安全息息相關(guān)。但是移動(dòng)支付必須依靠可信網(wǎng)絡(luò)才能完成，也就是說(shuō)可信網(wǎng)絡(luò)是移動(dòng)支付的基礎(chǔ)，沒(méi)有可信網(wǎng)絡(luò)，移動(dòng)支付根本就不可能完成。在此情形下，可信網(wǎng)絡(luò)的安全性就顯得格外重要了，一旦可信網(wǎng)絡(luò)的安全性得不到保證，我們的財(cái)產(chǎn)安全就會(huì)受到威脅。而一旦可信網(wǎng)絡(luò)出現(xiàn)了漏洞，我們的財(cái)產(chǎn)安全勢(shì)必會(huì)出現(xiàn)問(wèn)題。在當(dāng)今這種局勢(shì)下，我們要注重可信網(wǎng)絡(luò)的安全性建設(shè)。

1.2 可信網(wǎng)絡(luò)環(huán)境的漏洞

隨著互聯(lián)網(wǎng)的發(fā)展，互聯(lián)網(wǎng)交易已經(jīng)從“可信度”進(jìn)化到“可操作”。這就對(duì)了一個(gè)可行的互聯(lián)網(wǎng)環(huán)境提出了一個(gè)更加嚴(yán)苛的要求以及更加嚴(yán)峻的問(wèn)題。同時(shí)也給可信網(wǎng)絡(luò)的發(fā)展指定了方向——可信應(yīng)用環(huán)境的平臺(tái)。目前可信網(wǎng)絡(luò)存在的漏洞主要有兩個(gè)部分，一個(gè)部分是來(lái)自網(wǎng)絡(luò)游客的惡意攻擊。這部分網(wǎng)民利用可信網(wǎng)絡(luò)平臺(tái)存在的漏洞，對(duì)其他網(wǎng)絡(luò)用戶進(jìn)行攻擊。而它們的工作原理就是，可信網(wǎng)絡(luò)依靠的區(qū)塊鏈原理?？尚啪W(wǎng)絡(luò)以區(qū)塊鏈為基礎(chǔ)。區(qū)塊鏈的單主鏈結(jié)構(gòu)，導(dǎo)致計(jì)算機(jī)的計(jì)算能力無(wú)法突破上限也無(wú)法擴(kuò)容。而且可信網(wǎng)絡(luò)的區(qū)塊鏈只是用來(lái)儲(chǔ)存和計(jì)算，根本無(wú)法為其提供很多的生活功用，也就是說(shuō)，可信網(wǎng)絡(luò)的區(qū)塊鏈技術(shù)根本無(wú)法滿足人們的日常生活需要。以大多數(shù)產(chǎn)品為例，通過(guò)主鏈加側(cè)鏈的設(shè)計(jì)結(jié)構(gòu)，完成區(qū)塊鏈與設(shè)計(jì)師們?cè)O(shè)計(jì)的預(yù)期方案的結(jié)合，將所有網(wǎng)絡(luò)數(shù)據(jù)經(jīng)過(guò)安全可信的渠道上傳，達(dá)到安全的核心目的。在互聯(lián)網(wǎng)交易已經(jīng)成為人們生活一部分的方面來(lái)說(shuō)，可信網(wǎng)絡(luò)的重要性也在逐漸升溫。不斷地發(fā)展與完善區(qū)塊鏈將為可信應(yīng)用環(huán)境的產(chǎn)生提供有力的安全保障[1]。

2 OSPF協(xié)議可信改進(jìn)方案設(shè)計(jì)

2.1 OSPF協(xié)議可信方案

OSPF（Open Shortest Path First）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議（Interior Gateway Protocol）用于在單一自治系統(tǒng)（Autonomous System）內(nèi)決策路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。OSPF協(xié)議憑借它獨(dú)特的設(shè)計(jì)構(gòu)思出的最短路徑，為網(wǎng)絡(luò)環(huán)境的安全性提供了一定的保障，保障了數(shù)據(jù)之間的安全傳輸以及安全流動(dòng)。而其他協(xié)議的路徑普遍都比較長(zhǎng)，數(shù)據(jù)傳輸距離長(zhǎng)，在這傳輸期間，不少惡意網(wǎng)民可以利用這些傳輸文件的時(shí)間，破解用戶使用密碼，以此來(lái)進(jìn)入用戶的系統(tǒng)界面，破壞用戶的傳輸過(guò)程，并入侵用戶的個(gè)人信息系統(tǒng)，以此來(lái)對(duì)用戶的個(gè)人信息進(jìn)行入侵，以此來(lái)?yè)p害用戶的利益。OSPF協(xié)議因?yàn)樗姆ò父鞣矫鎯?nèi)容明確，項(xiàng)目的背景和需求，總體設(shè)計(jì)網(wǎng)絡(luò)規(guī)劃，產(chǎn)品選型，實(shí)施和售后服務(wù)，網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)是以后在工作中，非常重要的一點(diǎn)，熟悉的掌握網(wǎng)絡(luò)構(gòu)思與計(jì)劃階段、分析與設(shè)計(jì)階段、實(shí)施階段、運(yùn)行與維護(hù)階段 等各個(gè)階段的相關(guān)事宜，打造出具有高可用性，高安全性，高可靠性，易管理性等性能的網(wǎng)絡(luò)設(shè)計(jì)。首先，在合適的路由器上使用路由匯總（查詢?cè)谑盏絽R總路由的路由器結(jié)束，僅當(dāng)路由表有與被查詢的網(wǎng)絡(luò)完全匹配的路由時(shí)，遠(yuǎn)程路由器才會(huì)進(jìn)一步傳播查詢）。然后，將遠(yuǎn)程路由器設(shè)置有末節(jié)EIGRP路由器。同理，如果把右側(cè)的OSPF路由注入RIP，那么router后面跟的是RIP，redistribute后面跟的是OSPF，在這里要注意的是還要跟上metric值。如果沒(méi)有跟上metric值，在R1上是不會(huì)把路由注入RIP中的。Eigrp路由的passive-interface配置命令，用于將特定接口設(shè)置為被動(dòng)狀態(tài)，default將所有路由器接口設(shè)置為被動(dòng)狀態(tài)。如果不想把接口一個(gè)一個(gè)進(jìn)行宣告的話，可以先把所有接口都passive掉，然后再把不需要進(jìn)行宣告的接口no passive即可。Eigrp數(shù)據(jù)包查詢：當(dāng)某條路由丟失，向鄰居查詢有關(guān)路由信息，通?？拷M播方式發(fā)送，有時(shí)也用單播重傳;可靠地發(fā)送。應(yīng)答：響應(yīng)查詢分組，單播;可靠地發(fā)送。確認(rèn)：實(shí)質(zhì)是以單播方式發(fā)送的hello包（不包含數(shù)據(jù)），但包含確認(rèn)號(hào)。用來(lái)確認(rèn)更新、查詢和應(yīng)答。ACK本身不需確認(rèn)。設(shè)置靜態(tài)路由，Destination Address 要填寫Vlan1 的網(wǎng)關(guān)地址即：172.16.18.254，Next Hop 要填寫Vlan2 網(wǎng)段192.168.2.0，目的是為Vlan1 和Vlan2 兩個(gè)網(wǎng)段內(nèi)的計(jì)算機(jī)跨網(wǎng)訪問(wèn)創(chuàng)建一個(gè)路由轉(zhuǎn)接表。Vlan1 內(nèi)的計(jì)算機(jī)如果要訪問(wèn)Vlan2 網(wǎng)段的計(jì)算要?jiǎng)t可以通過(guò)設(shè)定的網(wǎng)關(guān)：172.168.18.254 由靜態(tài)路由轉(zhuǎn)到Vlan2 網(wǎng)段內(nèi);如果Vlan1 網(wǎng)段要訪問(wèn)外面廣域網(wǎng)，則其網(wǎng)關(guān)：172.16.18.254 就會(huì)將其轉(zhuǎn)到其上層路由：172.168.18.1 來(lái)完成其網(wǎng)段內(nèi)的訪問(wèn)請(qǐng)求。完全末梢區(qū)域（totally stubby area）：LSA3是ABR通過(guò)計(jì)算LSA1和LSA2轉(zhuǎn)化而成的，可以進(jìn)一步配置成完全末梢區(qū)域，阻擋LSA3，生成O IA*0/0。完全末梢區(qū)域是一種對(duì)末梢區(qū)域的改進(jìn)，進(jìn)一步精簡(jiǎn)路由表。五類LSA：自治系統(tǒng)外LSA。AS External LSA 由ASBR生成，用于描述OSPF自治系統(tǒng)外的目標(biāo)網(wǎng)段信息鏈路狀態(tài)ID是目的地址的IP網(wǎng)絡(luò)號(hào)。外部路由通過(guò)重發(fā)布，引入OSPF路由域，相應(yīng)信息（路由條目），由ASBR以LSA5的形式生成然后進(jìn)入OSPF路由域;缺省情況下，LSA5生成路由用OE2表示，可強(qiáng)行指定為OE1;OE2開銷=外部開銷，OE1開銷=外部開銷+內(nèi)部開銷;LSA5不允許進(jìn)入特殊區(qū)域（Stub存根區(qū)和NSSA區(qū)）。四類LSA：也即ASBR匯總LSA。ASBR匯總LSA由ABR生成，用于描述ABR能夠到達(dá)的ASBR它的鏈路狀態(tài)ID為目的ASBR的Router ID。三類LSA：也即網(wǎng)絡(luò)匯總LSA。

2.2 OSPF協(xié)議的工作漏洞

OSPF協(xié)議是動(dòng)態(tài)協(xié)議，無(wú)法為整個(gè)網(wǎng)絡(luò)路由表提供一個(gè)可信、穩(wěn)定、有效的網(wǎng)絡(luò)環(huán)境。不少惡意網(wǎng)絡(luò)用戶可以利用OSPF協(xié)議的動(dòng)態(tài)性、不穩(wěn)定性來(lái)進(jìn)行入侵。因?yàn)榫W(wǎng)絡(luò)環(huán)境不穩(wěn)定，路由器所輸送的電波頻段也不經(jīng)相同，不法分子可以利用這些電波的差異性來(lái)捕捉，以此來(lái)實(shí)現(xiàn)入侵。

而且OSPF協(xié)議沒(méi)有認(rèn)證機(jī)制，路由器與路由器之間沒(méi)有驗(yàn)證方式，一旦兩個(gè)路由器相連接，他們的各種數(shù)據(jù)信息都會(huì)共享，成為整個(gè)鏈接域的公開的秘密，一旦有而已的網(wǎng)絡(luò)用戶潛入，很多信息將會(huì)泄露無(wú)疑，在這個(gè)鏈接域的網(wǎng)民的個(gè)人信息就會(huì)泄露無(wú)遺。這種設(shè)計(jì)機(jī)制存在著巨大的弊端。認(rèn)證機(jī)制是保護(hù)網(wǎng)民合法權(quán)益的最低底線，如果連底線都沒(méi)有了，網(wǎng)絡(luò)安全就更加是無(wú)法得到保障的巨大難題。因此，OSPF協(xié)議應(yīng)當(dāng)不斷完善自己，為自己設(shè)置一個(gè)認(rèn)證機(jī)制。認(rèn)知機(jī)制可以篩選那些惡意的網(wǎng)絡(luò)用戶，提高網(wǎng)絡(luò)的準(zhǔn)入門檻，保障網(wǎng)民的個(gè)人信息和財(cái)產(chǎn)安全。

2.3 OSPF協(xié)議的改進(jìn)方案設(shè)計(jì)

2.3.1 設(shè)立文明退出機(jī)制

如果路由器在退出OSPF協(xié)議的運(yùn)行時(shí)，直接關(guān)閉進(jìn)程，而沒(méi)有同他的鄰居進(jìn)行必要的聯(lián)絡(luò)和通告的話，將會(huì)對(duì)他周圍的OSPF路由選擇區(qū)域造成不同程度的損害。使用文明退出機(jī)制時(shí)，運(yùn)行OSPF協(xié)議的路由器應(yīng)當(dāng)首先沖刷出由它的OSPF協(xié)議所創(chuàng)建的所有的LSA，此時(shí)，該LSA的沖刷也將引起SPF計(jì)算更新，從而清除了它的路由表中的無(wú)效的路由信息，整個(gè)OSPF路由區(qū)域同該關(guān)閉路由器關(guān)聯(lián)的鏈路狀態(tài)信息和路由信息都得到了沖刷和更新。

2.3.2 建立鄰接關(guān)系

在路由器之間建立鄰接關(guān)系后，成為鄰接關(guān)系的路由器之間，會(huì)定期生成自己的LSA，并將LSA加入自己的連接狀態(tài)數(shù)據(jù)庫(kù)中。這時(shí)鄰接路由器之間建立主從關(guān)系，通過(guò)交換DD包，同步彼此的連接狀態(tài)數(shù)據(jù)庫(kù)。對(duì)于未更新的LSA列表，從機(jī)向主機(jī)發(fā)送LSR請(qǐng)求包，主機(jī)收到LSR請(qǐng)求包之后通過(guò)發(fā)送LSU更新包，將請(qǐng)求的最新LSA的信息列表發(fā)送給從機(jī)，從機(jī)接受LSAck的確認(rèn)包，這時(shí)鄰接路由器的連接狀態(tài)之間就完全同步，鄰接路由器之間也就達(dá)到了萬(wàn)全鄰接的狀態(tài)。在鄰接狀態(tài)下，每一個(gè)路由器在進(jìn)入正常工作狀態(tài)之后，會(huì)進(jìn)入到主要的兩個(gè)工作處理之中[3]。

3結(jié)語(yǔ)

基于OSPF協(xié)議的可信路由技術(shù)能有效地利用平臺(tái)參數(shù)值進(jìn)行平臺(tái)完整性驗(yàn)證，這樣能有效發(fā)現(xiàn)路由器是否被惡意侵占或者路由平臺(tái)自身是否發(fā)生錯(cuò)誤，從而能夠有效地保證路由器自身平臺(tái)的完整性不被破壞。

參考文獻(xiàn)：

[1] 黃沈煒.OSPF路由技術(shù)原理及網(wǎng)絡(luò)設(shè)計(jì)探討[J].中國(guó)新通信，2017（13）：105-106.

[2] 趙景召，周若鵬.OSPF原理分析及在城域網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2009（29）：8152+8159.

[3] 邢麗平，陳侃，張冰松.OSPF多進(jìn)程線路切換技術(shù)研究[J].數(shù)字技術(shù)與應(yīng)用，2018（7）：62-65.

【通聯(lián)編輯：光文玲】