等级OSPF网的安全保护方案.docVIP

等级OSPF网的安全保护方案 　　摘 要：开放式最短路径优先（OSPF）协议作为目前大规模网络应用最广泛的自治域内路由协议，其安全不仅仅关系到自治域内，同时也关系到自治域外乃至整个网络的正常运行。传统的基于非对称性加密算法的数字签名解决方案能够实现端到端的安全验证，但是却忽略了点对点的方式，而且存储量和额外开销也一直是急需解决的问题。基于对称性加密算法，提出了适宜于OSPF等级区域的安全防护方案HSOSPF（Hierarchical SecureOSPF）。HSOSPF扩充了OSPF网原有的二层等级结构，设计了合理、高效的密钥分配与管理方案，克服了传统非对称性密码方案的不足，降低了密钥存储量和系统开销，提高了网内安全通信的实时性。 　　关键词：开放式最短路径优先协议；自治域内；对称加密算法；等级结构；存储量；实时性 　　中图分类号： TP393.08 　　文献标志码：A 　　0 引言 　　网络中的路由器通过路由方式将信息从源地点传递到其他目的地，从而连通世界的每个角落。不同的一组组路由器和网络群组成了各自的自治系统（Autonomous System， AS），并在统一的管理机制下通过路由协议交换路由信息。著名的边界网关协议BGP-4（Border Gateway Protocol）[1]承担了AS之间的信息传递；而自治系统内部，则利用内部网关协议（Internal Gateway Protocol， IGP）来传递路由信息，例如路由信息协议（Router Information Protocol，RIP）[2]，开放式最短路径优先（Open Shortest Path First，OSPF）[3]协议和中间系统到中间系统（Intermediate System to Intermediate System，ISIS）路由协议[4]。OSPF是使用最为广泛，且更适合于大规模网络的内部网关路由协议。目前使用的OSPF v2从1998年出现一直沿用到现在，不仅仅在AS内部的网络通信中担任着重要的角色，而且通过BGP发言者能够影响AS外部的路由信息交换。然而路由器节点作为OSPF网络中的公开实体，非常易于遭受攻击者的侵袭，从而影响局部网络甚至是整个网络的正常运行。 　　从攻击者的来源来看，攻击者可以分为内部攻击者和外部攻击者[5]。内部攻击者是指攻击者本身已被视为参与路由信息交换的可信实体（合法路由器），这个实体可以是通过任何方式获得OSPF网络身份认证的共享密码的实体，也可以是由于本身的配置或操作错误所致的具有安全漏洞的实体。外部攻击者则不是路由信息交换的参与者，也不持有身份认证的共享密钥。外部攻击者能够通过窃听路由信息获取网络的拓扑结构，假冒成合法的参与者注入错误路由信息或利用不断重发导致拒绝服务（Denial of Service，DoS）等方式对OSPF网络造成威胁。而内部攻击者由于其本身已被视为合法的成员，所以可以更容易假冒成其他路由器发布错误信息。肆意篡改路由引入错误的信息，泄露信息或者发起DoS攻击等也都是内部攻击者经常使用的手段。 　　保证网络的安全性，其实就是保证网络信息的机密性（confidentiality）、完整性（integrity）以及可用性（availability）。机密性是指防止将信息泄露给未被授权的合法实体；完整性包括了数据源的真实性以及信息内容的完整性，即数据源是否真实可信，且传输过程中是否遭受肆意篡改；可用性是指被授权的合法实体能否及时获取所需信息并使用的能力。最为熟知的DoS攻击就是破坏网络可用性的手段之一。针对可用性大多采取的解决方案都是被动性的入侵检测系统（Intrusion Detection System， IDS）和防御系统等。本文所提出的OSPF安全解决方案是基于对称性密码算法的主动防御方案，着重讨论信息的机密性和完整性，达到防止攻击者获取网络信息和操控路由的目的。 　　1 相关工作 　　OSPF自诞生以来，就其安全漏洞已经出现了一系列相关解决方案。OSPF v2本身设计的认证机制――哈希消息认证码（Hashed Message Authentication Code， HMAC）[6-7]通过单项哈希函数从OSPF协议包和共享密钥计算相应的摘要，并追加在协议包尾部。HMAC能够防止攻击者对信息的伪造和篡改，从而保证信息的完整性。但是这种认证机制并不能够保证信息的机密性，完整性方面也仅仅是实现了端到端的方式，而忽略了点到点的方式。1997年文献[8]提出了基于数字签名的安全解决方案，利用非对称性密码学理论保证信息的机密性和完整性。文献[9-10]也是基于数字签名技术的OSPF安全方案，但这些方案仅仅停留于端到端的方式，并存在着系统计算开销、通信实时性以