郭方平
【摘要】 在拓?fù)浣Y(jié)構(gòu)越來越復(fù)雜的互聯(lián)網(wǎng)之中,路由協(xié)議的安全性對于改善網(wǎng)絡(luò)質(zhì)量所發(fā)揮出的作用越來越明顯。文中主要就OSPF路由協(xié)議的安全機制進行了分析,并探討了OSPF路由協(xié)議的安全性完善措施。
【關(guān)鍵詞】 OSPF協(xié)議 安全性 報文驗證
OSPF全稱為Open Shortest Path First,屬于內(nèi)部網(wǎng)關(guān)協(xié)議,在如今的互聯(lián)網(wǎng)之中應(yīng)用最為廣泛。OSPF本身具有一定的安全性,但是其本身所具備的安全性卻并不能夠完全勝任新形勢下的網(wǎng)絡(luò)安全要求。為此,我們必須要加強對OSPF協(xié)議安全性的研究,在在此基礎(chǔ)上強化OSPF安全性。
一、OSPF安全機制
1.1 層次化路由結(jié)構(gòu)
利用OSPF路由協(xié)議可以將自治網(wǎng)絡(luò)劃分成為多個區(qū)域,在每一個劃分之后的區(qū)域之中都存在有獨立的鏈路狀態(tài)數(shù)據(jù)庫,并各自獨立執(zhí)行鏈路狀態(tài)路由算法。這就可以讓本區(qū)域中的拓?fù)浣Y(jié)構(gòu)對區(qū)域之外的網(wǎng)絡(luò)進行隱藏,并可以讓自治系統(tǒng)在交換、傳播路由信息的時候的網(wǎng)絡(luò)流量得到減少,促進收斂速度的加速。
1.2 具有可靠的泛洪機制
在OSPF協(xié)議之中采用LSU報文來對路由信息進行攜帶,并運用協(xié)議本身所定義的泛洪機制讓區(qū)域之中的路由器的鏈路狀態(tài)數(shù)據(jù)庫保持良好的一致性,讓路由選擇一致性得到保障。LSA是OSPF路由協(xié)議中路由協(xié)議的最小單元,由路由器生成,并在其中包含了LSA的路由器的標(biāo)識信息,根據(jù)這個標(biāo)識之下的機制,讓OSPF擁有一定自我糾錯的能力。
1.3 優(yōu)良的報文驗證機制
OSPF的報文之中包含了認(rèn)證類型以及認(rèn)證數(shù)據(jù)字段。當(dāng)前,在OSPF路由協(xié)議中主要有密碼認(rèn)證、空認(rèn)證以及明文認(rèn)證這三種認(rèn)證模式。其中,明文認(rèn)證是將口令通過明文的方式來進行傳輸,只要可以訪問到網(wǎng)絡(luò)的人都可以獲得這個口令,很容易讓OSPF路由域的安全受到威脅。而密碼認(rèn)證則能夠提供良好的安全性。為接入同一個網(wǎng)絡(luò)或者是子網(wǎng)的路由器配置一個共享密碼,然后這些路由器所發(fā)送的每一個OSPF報文都會攜帶一個建立在這個共享密碼基礎(chǔ)之上的信息摘要。通過MD5算法以及OSPF的報文來生成相應(yīng)的信息摘要,當(dāng)路由器接收到這個報文之后,根據(jù)路由器上配置的共享密碼以及接收到的這個報文來生成一個信息摘要,并將所生成的信息摘要和接收到的信息摘要進行對比,如果兩者一致那么就接收,如果不一致則丟棄。
二、OSPF路由協(xié)議安全性完善措施
相對來講OSPF的安全性較高,在很多時候外部對其進行攻擊都是因為OSPF路由沒有啟用密碼認(rèn)證機制或者是攻擊者對密碼破譯之后所實現(xiàn)的。當(dāng)然即使是啟用了密碼認(rèn)證也可以利用重放攻擊的方式來進行攻擊。要加強其安全性需要注意以下幾點:
2.1 對于空驗證與簡單口令驗證的防范
對于空驗證和簡單口令驗證帶來的安全問題,可以啟用密碼驗證來進行防范。當(dāng)啟用密碼驗證之后,OSPF報文會產(chǎn)生一個無符號非遞減的加密序列號。在附近的所有鄰居路由器中會存放該路由器的最新加密序列號。對于鄰居路由器所收到的報文的加密序列號需要大于或者等于所存儲的加密序列號,如果不滿足該要求則丟棄。
2.2 對于密碼驗證漏洞的防范
在三種驗證方案之中密碼驗證是最為安全的一種,但是也并不是牢不可破的。即使是啟用了密碼驗證也不代表所有報文內(nèi)容都是經(jīng)過加密后傳輸?shù)?,其中LSU報文頭部仍然會采用明文,這就存在被攻擊者篡改的可能性。即使是采用的MD5算法也并不是絕對安全,例如中國山東大學(xué)的科學(xué)家就已經(jīng)破解了MD5算法。對密鑰進行管理與維護需要較高成本,所以可以考慮和其他成本較低的方式進行結(jié)合,例如數(shù)字簽名技術(shù)。這樣可以對大部分的威脅進行有效的抵御。
但是用于生成與驗證簽名的開銷也是非常巨大的。一個路由器需要驗證簽名的數(shù)量會受到很多因素的影響,例如網(wǎng)絡(luò)之中路由器的數(shù)量、對網(wǎng)絡(luò)區(qū)域的劃分、鏈路狀態(tài)信息的變化以及刷新頻率等等。在OSPF之中,因為每一條外部子網(wǎng)絡(luò)徑存在有單獨的鏈路狀態(tài)信息描述,因此在網(wǎng)絡(luò)之中就有可能存在有成千上萬條這一類鏈路狀態(tài)信息。因此,還需要考慮到緩解這些信息對于路由器性能的影響。通常情況下采用的方法是在路由器之上采用額外的硬件,對OSPF路由協(xié)議進行改進,周期性或者是按需進行驗證簽名。在當(dāng)前的研究方向是在利用密碼體制安全性的同時,利用有效的入侵檢測技術(shù)讓OSPF的安全性得到保證。
三、結(jié)語
作為一種應(yīng)用非常廣泛的路由協(xié)議OSPF的安全性受到廣泛的關(guān)注,雖然其本身具有一定的安全性,但是卻難以滿足當(dāng)前網(wǎng)絡(luò)安全形勢的需要。為此我們需要加強對OSPF安全性的研究,并積極思考如何對其安全性進行完善。
參考文獻
[1] 柳強,黃天章,郭海龍.基于OSPF協(xié)議可信路由技術(shù)研究及實現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用,2013,(04):48-49
[2] 湯川.淺談OSPF協(xié)議[J].數(shù)字技術(shù)與應(yīng)用,2013,(02):47