中航工業(yè)西安航空計(jì)算技術(shù)研究所 張 成

江海職業(yè)技術(shù)學(xué)院 張 乾

陜西應(yīng)用物理化學(xué)研究所 任 偉

武漢烽火眾智數(shù)字技術(shù)有限責(zé)任公司 張方兵

1.引言

隨著計(jì)算機(jī)技術(shù)對(duì)高速數(shù)據(jù)通信的需要日益增長(zhǎng)，美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)(ANSI)研究了用于連接各種IO設(shè)備的高速串行數(shù)據(jù)傳輸?shù)腇C協(xié)議[1]。路由技術(shù)是FC網(wǎng)絡(luò)運(yùn)作組織的核心，而FSPF(Fabric Shortest Path First)[2]是基于鏈路狀態(tài)的路徑選擇協(xié)議，可以較好的解決FC網(wǎng)絡(luò)擴(kuò)展的問(wèn)題，成為當(dāng)前廣泛應(yīng)用的FC網(wǎng)絡(luò)路由協(xié)議。

在FC網(wǎng)絡(luò)中，仍然迫切需要提高路由協(xié)議的安全性[3]，本文介紹了該協(xié)議的研究情況，全面分析了FSPF協(xié)議的安全性，并給出了加強(qiáng)安全性的建議。

2.FSPF協(xié)議的工作原理

FSPF是基于鏈路狀態(tài)的路徑選擇協(xié)議，交換機(jī)的鏈路狀態(tài)的集合構(gòu)成整個(gè)交換網(wǎng)的拓?fù)鋽?shù)據(jù)庫(kù)，F(xiàn)SPF協(xié)議基于該數(shù)據(jù)庫(kù)，計(jì)算從一個(gè)交換機(jī)到交換網(wǎng)內(nèi)其他所有交換機(jī)的最短路徑。FSPF由4部分組成：Hello協(xié)議，用來(lái)確定與鄰居交換機(jī)的聯(lián)通性；可復(fù)制的拓?fù)鋽?shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)是由鏈路狀態(tài)報(bào)告(LSR)組成的集合，它是FSPF的核心；計(jì)算最短路徑的算法[4]，可以考慮優(yōu)先圖最短路徑的各種算法；拓?fù)鋽?shù)據(jù)庫(kù)更新機(jī)制。FSPF協(xié)議工作步驟見(jiàn)表1所示。

2.1 FSPF協(xié)議幀

FSPF協(xié)議中主要發(fā)送的網(wǎng)絡(luò)協(xié)議幀有：Hello幀，LSR幀，LSU幀。

Hello幀的內(nèi)容包含F(xiàn)SPF頭以及明確的Hello協(xié)議參數(shù)。LSR幀的內(nèi)容包含F(xiàn)SPF頭及明確的LSR參數(shù)，包含了所有交換機(jī)級(jí)聯(lián)鏈路(ISL)信息。LSU幀是鏈路狀態(tài)更新序列，LSU幀的內(nèi)容包含F(xiàn)SPF頭和明確的LSU參數(shù)，包含了LSR總數(shù)等信息。

2.2 拓?fù)鋽?shù)據(jù)庫(kù)的更新

交換機(jī)完成所有鄰居的初始數(shù)據(jù)庫(kù)同步后，當(dāng)發(fā)生ISL的上下線和Hello超時(shí)時(shí)，需要發(fā)送LSR來(lái)保持?jǐn)?shù)據(jù)庫(kù)的同步。另外連接在交換網(wǎng)中的交換機(jī)必須周期性的發(fā)送LSR以防止被從數(shù)據(jù)庫(kù)中刪除。當(dāng)交換機(jī)需要發(fā)布新的LSR時(shí)，這個(gè)LSR以可靠的泛洪方式發(fā)送。

在數(shù)據(jù)庫(kù)更新階段，每個(gè)交換機(jī)用泛洪法向鄰居發(fā)送它的整個(gè)拓?fù)鋽?shù)據(jù)庫(kù)。拓?fù)鋽?shù)據(jù)庫(kù)的LSR在FSPF的鏈路狀態(tài)更新(LSU)序列中發(fā)送。一個(gè)LSU可能包含0個(gè)或者多個(gè)LSR，不帶LSR的LSU用來(lái)通知它的鄰居數(shù)據(jù)庫(kù)傳送已經(jīng)完成。

3.FSPF協(xié)議的安全性

作為一個(gè)廣泛應(yīng)用的FC網(wǎng)絡(luò)路由協(xié)議，F(xiàn)SPF協(xié)議的設(shè)計(jì)充分考慮了安全性。

3.1 通信加密

FSPF協(xié)議具備通信加密的功能。FSPF協(xié)議中有一個(gè)安全鑰分配服務(wù)器，然后通過(guò)安全鑰的分布認(rèn)證，保證交換機(jī)之間可以安全的交換加密數(shù)據(jù)。安全鑰分布的服務(wù)按照下面的流程進(jìn)行的。

首先，每個(gè)交換機(jī)有一個(gè)唯一的私有鑰，稱為“分布鑰”，在服務(wù)器中也有副本。分布鑰長(zhǎng)度較長(zhǎng)，一般在70-90比特，使用加密算法將它生成一個(gè)密鑰，長(zhǎng)度較短，一般在40-75比特，用來(lái)對(duì)通信數(shù)據(jù)加密。

發(fā)送方向安全鑰分配服務(wù)器發(fā)送一個(gè)KEY_REQUEST請(qǐng)求，指明了發(fā)送方，響應(yīng)地址標(biāo)識(shí)符和一個(gè)唯一的請(qǐng)求標(biāo)識(shí)符。服務(wù)器證實(shí)這個(gè)請(qǐng)求，并且對(duì)發(fā)送方、響應(yīng)方和該請(qǐng)求生成一個(gè)密鑰。然后服務(wù)器使用發(fā)送方的分布鑰將密鑰、唯一的請(qǐng)求標(biāo)識(shí)符和響應(yīng)方標(biāo)識(shí)符進(jìn)行加密，它也用響應(yīng)方分布鑰對(duì)密鑰和發(fā)送方標(biāo)識(shí)符進(jìn)行加密，最后把這些作為對(duì)KEY_REQUEST的答復(fù)發(fā)給發(fā)送方。

發(fā)送方收到該答復(fù)，用它的分布鑰對(duì)答復(fù)進(jìn)行解密，獲取密鑰、答復(fù)方標(biāo)識(shí)和唯一的請(qǐng)求標(biāo)識(shí)符。然后它把一個(gè)加密標(biāo)識(shí)符，響應(yīng)方密鑰加密的密鑰和發(fā)送方標(biāo)識(shí)符發(fā)送給響應(yīng)方，響應(yīng)方解密信息，獲得密鑰和發(fā)送方的標(biāo)識(shí)符。

為了認(rèn)證密鑰來(lái)源是否正確，響應(yīng)方生成一個(gè)不同的唯一標(biāo)識(shí)符，用密鑰對(duì)其進(jìn)行加密，并發(fā)送給對(duì)方。發(fā)送方用密鑰進(jìn)行解密，并對(duì)獲取的標(biāo)識(shí)符進(jìn)行減一操作，再用密鑰重新加密發(fā)送給響應(yīng)方。當(dāng)響應(yīng)方解密收到的值，發(fā)現(xiàn)比原值少1，則確信密鑰正確，從而開(kāi)始進(jìn)行雙向的安全通信。

3.2 協(xié)議檢驗(yàn)

在FSPF協(xié)議幀接收過(guò)程中，要經(jīng)過(guò)嚴(yán)格的檢驗(yàn)，F(xiàn)C幀頭、FSPF協(xié)議幀頭和FSPF具體協(xié)議幀頭。這種接收的檢驗(yàn)過(guò)程，增強(qiáng)了協(xié)議通信的安全性，具體處理流程如圖1所示。

圖1 FSPF協(xié)議幀檢驗(yàn)流程

表1 FSPF協(xié)議工作步驟

3.3 可靠的泛洪法

在網(wǎng)絡(luò)運(yùn)行過(guò)程中，為了同步拓?fù)鋽?shù)據(jù)庫(kù)，F(xiàn)SPF使用泛洪法對(duì)全網(wǎng)發(fā)布鏈路狀態(tài)更新LSU。每個(gè)交換機(jī)收到消息后，將其承載的鏈路狀態(tài)記錄與自己的副本數(shù)據(jù)庫(kù)的內(nèi)容比較。如果收到的LSR比存在的新，就代替數(shù)據(jù)庫(kù)中的舊的實(shí)例，如果交換機(jī)數(shù)據(jù)庫(kù)中沒(méi)有這個(gè)LSR，那么保存收到的這個(gè)實(shí)例。每個(gè)LSR都有一個(gè)年齡域和一個(gè)實(shí)體號(hào)域。實(shí)體號(hào)域值越大，LSR實(shí)例越新；年齡域值越小，LSR越新。

在泛洪法的整個(gè)過(guò)程中，每個(gè)交換機(jī)只使用來(lái)自最初信息發(fā)布者通告的未經(jīng)加工的信息，而不是來(lái)自其鄰居整合過(guò)的信息。這種信息獨(dú)立，有助于使用身份認(rèn)證來(lái)驗(yàn)證消息源的可靠性。

3.4 網(wǎng)絡(luò)分區(qū)

FSPF協(xié)議支持分層路由方式，就是將全局網(wǎng)絡(luò)劃分為一個(gè)主干區(qū)和其他若干自治區(qū)域(AR)，劃分架構(gòu)見(jiàn)圖2。每個(gè)AR內(nèi)交換機(jī)發(fā)布的鏈路狀態(tài)更新只能在該AR內(nèi)傳播，每個(gè)AR的邊界交換機(jī)(BSW)連接起來(lái)組成主干區(qū)。當(dāng)某個(gè)AR內(nèi)交換機(jī)的安全受到威脅時(shí)，產(chǎn)生的危害對(duì)于整個(gè)網(wǎng)絡(luò)來(lái)說(shuō)是很有限的，其他AR的功能仍然正常，這也為FSPF提供了一定的安全性。

圖2 FSPF網(wǎng)絡(luò)分區(qū)架構(gòu)

4.FSPF協(xié)議的脆弱性

雖然FSPF路由協(xié)議自身的安全機(jī)制使得對(duì)FSPF的攻擊較難實(shí)施，但是它并不足夠安全，仍存在著很多薄弱環(huán)節(jié)可以被攻擊者利用。

4.1 內(nèi)部攻擊

在FSPF協(xié)議的安全性中，網(wǎng)絡(luò)分區(qū)機(jī)制主要是盡力減小攻擊的影響范圍域，它不能杜絕攻擊，且無(wú)法發(fā)出告警。而且若攻擊者入侵到一個(gè)AR，它就可以偽裝成該自治系統(tǒng)的邊界交換機(jī)，從而進(jìn)一步攻擊所有的AR。

4.2 幻影交換機(jī)

虛構(gòu)一個(gè)自治系統(tǒng)中本不存在的交換機(jī)使其它交換機(jī)認(rèn)為好像存在這么一個(gè)交換機(jī)，這樣的交換機(jī)稱為幻影交換機(jī)。以幻影交換機(jī)的身份注入大量虛假信息。然而需要注意的是該交換機(jī)并不一定會(huì)參與最短路徑的計(jì)算，除非該幻影交換機(jī)能夠和某個(gè)交換機(jī)形成鄰接關(guān)系。

4.3 驗(yàn)證的漏洞

FSPF協(xié)議通信過(guò)程中使用密鑰長(zhǎng)度為40-75比特，假設(shè)整個(gè)網(wǎng)絡(luò)被安全的管理并且沒(méi)有被侵人，密鑰沒(méi)有暴露。由信息論表明：英語(yǔ)每8比特字符其平均信息嫡只有1.3，如果管理者選擇英語(yǔ)字母作為密鑰，以MD5加密認(rèn)證機(jī)制為例，則40-75比特密鑰的信息嫡相當(dāng)?shù)停粽咦疃嘈枰獢?shù)天就能破解。而FSPF協(xié)議在密鑰變更方面并沒(méi)有規(guī)定，很多時(shí)候3個(gè)月、半年才變換一次，有的甚至從來(lái)不變化。因此，當(dāng)一個(gè)攻擊者獲得一條Hello協(xié)議幀，他就很有可能破解該密鑰，并在隨后侵人整個(gè)路由域?？梢?jiàn)FSPF協(xié)議通信過(guò)程中的驗(yàn)證方式并不足夠安全。

4.4 利用Hello協(xié)議幀的攻擊

FSPF交換機(jī)定期向外發(fā)送Hello協(xié)議幀，用以發(fā)現(xiàn)鄰居和維護(hù)鄰接交換機(jī)之間的關(guān)系。假如Hello協(xié)議幀中域ID、Hello超時(shí)等參數(shù)錯(cuò)誤，會(huì)使該Hello協(xié)議幀被鄰居交換機(jī)丟棄，造成鄰居下線。如果被攻擊者攻破了FSPF的驗(yàn)證體系，攻擊者就可以修改Hello協(xié)議幀中的某些參數(shù)來(lái)達(dá)到攻擊的效果，從而直接在鏈路上阻絕Hello協(xié)議幀。

4.5 拒絕服務(wù)攻擊

通過(guò)不間斷的大量發(fā)送各種類型的FSPF協(xié)議幀，很可能造成被攻擊交換機(jī)的資源耗竭，而無(wú)法正常工作。例如向鄰居交換機(jī)發(fā)送包含過(guò)長(zhǎng)鄰居列表的超大Hello協(xié)議幀，鄰居交換機(jī)將需為鄰居列表上的每個(gè)鄰居創(chuàng)建鄰居結(jié)構(gòu)，而消耗大量的資源。

5.小結(jié)

以上分析表明FSPF協(xié)議并不足夠安全，一旦一個(gè)交換機(jī)被破壞或者被欺騙，將存在拒絕服務(wù)攻擊數(shù)據(jù)丟失、網(wǎng)絡(luò)整體性破壞和信息被嗅探等攻擊。在應(yīng)用FSPF協(xié)議的網(wǎng)絡(luò)中應(yīng)該采用積極的主動(dòng)防護(hù)和檢測(cè)機(jī)制來(lái)增加FSPF協(xié)議的安全。例如采用數(shù)字簽名策略、經(jīng)常更新密鑰防止密碼驗(yàn)證的攻擊；設(shè)計(jì)適當(dāng)?shù)娜肭謾z測(cè)系統(tǒng)來(lái)告警和阻止對(duì)FSPF協(xié)議的攻擊；結(jié)合電子法律使用網(wǎng)絡(luò)取證系統(tǒng)，采取法律手段主動(dòng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

[1]孫曉葵,尹政,王勝學(xué).兩種網(wǎng)絡(luò)存儲(chǔ)方式NAS、SAN比較和分析[J].福建電腦,2005,12.

[2]Fabric Shortest Path First(FSPF).Rev2.0.America 1998.

[3]呂欣.我們國(guó)家信息網(wǎng)絡(luò)安全現(xiàn)狀與趨勢(shì)[J].信息安全與通信保密,2007,2.

[4]周炯槃.通訊網(wǎng)理論基礎(chǔ)[M].2009.