OSPF路由協(xié)議安全性分析與研究.pdf

1、隨著Internet的高速發(fā)展，網(wǎng)絡(luò)規(guī)模與日俱增，拓撲結(jié)構(gòu)也愈發(fā)復(fù)雜，使得Internet對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的依賴性大大提高。路由協(xié)議是Internet基礎(chǔ)設(shè)施的核心，在路由協(xié)議的規(guī)定下路由信息得以傳遞、更新，路由器通過收集整合這些路由信息來構(gòu)建路由表從而提供報文轉(zhuǎn)發(fā)的服務(wù)。如果沒有正確的路由信息，數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸面臨著低效乃至失敗的威脅。由于網(wǎng)絡(luò)中路由器以一種協(xié)作的方式進行工作，相互之間通過傳遞、交換各自的路由信息以獲得整個網(wǎng)絡(luò)的路由信

2、息，但是在這些路由信息在傳遞、交換的過程中缺乏保護機制，面臨著被篡改、偽造等威脅。
　　 OSPF（Open Shortest Path First）路由協(xié)議是伴隨著Internet快速發(fā)展而出現(xiàn)的一種內(nèi)部網(wǎng)關(guān)協(xié)議，為各大設(shè)備商實施應(yīng)用，已經(jīng)成網(wǎng)絡(luò)部署中使用最廣泛的域內(nèi)路由協(xié)議之一。本文首先從四個方面對OSPF路由協(xié)議的安全性進行了分析，在此基礎(chǔ)上提出OSPF路由協(xié)議自身機制的潛在漏洞，并對漏洞進行了全面論述。然后，結(jié)合這些潛在

3、漏洞，提出了針對OSPF五類基本協(xié)議報文的可行攻擊方法，并對不同攻擊方法對網(wǎng)絡(luò)造成的危害進行了論述。為了提高OSPF路由協(xié)議的安全性，提出了抵抗針對這些漏洞實施的各種攻擊的解決方案。最后，通過分析數(shù)字簽名OSPF方案的可施行性，提出了一種基于數(shù)字簽名的OSPF路由協(xié)議的改進方案，并通過實例對該方案的運行原理進行了詳細論述。由于數(shù)字簽名采用公鑰加密算法，在大型網(wǎng)絡(luò)下，隨著路由信息的增加，數(shù)字簽名算法計算開銷也大大提高，而且密鑰的管理、維護

4、也提高了系統(tǒng)開銷。本文從兩方面對OSPF路由協(xié)議泛洪機制進行改進優(yōu)化，一方面通過限制Network Summary LSA在非骨干網(wǎng)絡(luò)中泛洪，區(qū)域邊界路由器根據(jù)非骨干網(wǎng)絡(luò)中對區(qū)域外服務(wù)請求情況，只泛洪與請求相應(yīng)的Network Summary LSA；另一方面為AS External LSA引入調(diào)節(jié)因子，對于內(nèi)部路由開銷可以忽略的外部路徑路由信息不再向網(wǎng)絡(luò)中泛洪，路由器通過將報文直接轉(zhuǎn)發(fā)給AS邊界路由器來實現(xiàn)對外部網(wǎng)絡(luò)的訪問。基于數(shù)字簽