OSPF路由協議安全性探討

郭方平

【摘要】 在拓撲結構越來越復雜的互聯網之中，路由協議的安全性對于改善網絡質量所發揮出的作用越來越明顯。文中主要就OSPF路由協議的安全機制進行了分析，并探討了OSPF路由協議的安全性完善措施。

【關鍵詞】 OSPF協議 安全性 報文驗證

OSPF全稱為Open Shortest Path First，屬于內部網關協議，在如今的互聯網之中應用最為廣泛。OSPF本身具有一定的安全性，但是其本身所具備的安全性卻并不能夠完全勝任新形勢下的網絡安全要求。為此，我們必須要加強對OSPF協議安全性的研究，在在此基礎上強化OSPF安全性。

一、OSPF安全機制

1.1 層次化路由結構

利用OSPF路由協議可以將自治網絡劃分成為多個區域，在每一個劃分之后的區域之中都存在有獨立的鏈路狀態數據庫，并各自獨立執行鏈路狀態路由算法。這就可以讓本區域中的拓撲結構對區域之外的網絡進行隱藏，并可以讓自治系統在交換、傳播路由信息的時候的網絡流量得到減少，促進收斂速度的加速。

1.2 具有可靠的泛洪機制

在OSPF協議之中采用LSU報文來對路由信息進行攜帶，并運用協議本身所定義的泛洪機制讓區域之中的路由器的鏈路狀態數據庫保持良好的一致性，讓路由選擇一致性得到保障。LSA是OSPF路由協議中路由協議的最小單元，由路由器生成，并在其中包含了LSA的路由器的標識信息，根據這個標識之下的機制，讓OSPF擁有一定自我糾錯的能力。

1.3 優良的報文驗證機制

OSPF的報文之中包含了認證類型以及認證數據字段。當前，在OSPF路由協議中主要有密碼認證、空認證以及明文認證這三種認證模式。其中，明文認證是將口令通過明文的方式來進行傳輸，只要可以訪問到網絡的人都可以獲得這個口令，很容易讓OSPF路由域的安全受到威脅。而密碼認證則能夠提供良好的安全性。為接入同一個網絡或者是子網的路由器配置一個共享密碼，然后這些路由器所發送的每一個OSPF報文都會攜帶一個建立在這個共享密碼基礎之上的信息摘要。通過MD5算法以及OSPF的報文來生成相應的信息摘要，當路由器接收到這個報文之后，根據路由器上配置的共享密碼以及接收到的這個報文來生成一個信息摘要，并將所生成的信息摘要和接收到的信息摘要進行對比，如果兩者一致那么就接收，如果不一致則丟棄。

二、OSPF路由協議安全性完善措施

相對來講OSPF的安全性較高，在很多時候外部對其進行攻擊都是因為OSPF路由沒有啟用密碼認證機制或者是攻擊者對密碼破譯之后所實現的。當然即使是啟用了密碼認證也可以利用重放攻擊的方式來進行攻擊。要加強其安全性需要注意以下幾點：

2.1 對于空驗證與簡單口令驗證的防范

對于空驗證和簡單口令驗證帶來的安全問題，可以啟用密碼驗證來進行防范。當啟用密碼驗證之后，OSPF報文會產生一個無符號非遞減的加密序列號。在附近的所有鄰居路由器中會存放該路由器的最新加密序列號。對于鄰居路由器所收到的報文的加密序列號需要大于或者等于所存儲的加密序列號，如果不滿足該要求則丟棄。

2.2 對于密碼驗證漏洞的防范

在三種驗證方案之中密碼驗證是最為安全的一種，但是也并不是牢不可破的。即使是啟用了密碼驗證也不代表所有報文內容都是經過加密后傳輸的，其中LSU報文頭部仍然會采用明文，這就存在被攻擊者篡改的可能性。即使是采用的MD5算法也并不是絕對安全，例如中國山東大學的科學家就已經破解了MD5算法。對密鑰進行管理與維護需要較高成本，所以可以考慮和其他成本較低的方式進行結合，例如數字簽名技術。這樣可以對大部分的威脅進行有效的抵御。

但是用于生成與驗證簽名的開銷也是非常巨大的。一個路由器需要驗證簽名的數量會受到很多因素的影響，例如網絡之中路由器的數量、對網絡區域的劃分、鏈路狀態信息的變化以及刷新頻率等等。在OSPF之中，因為每一條外部子網絡徑存在有單獨的鏈路狀態信息描述，因此在網絡之中就有可能存在有成千上萬條這一類鏈路狀態信息。因此，還需要考慮到緩解這些信息對于路由器性能的影響。通常情況下采用的方法是在路由器之上采用額外的硬件，對OSPF路由協議進行改進，周期性或者是按需進行驗證簽名。在當前的研究方向是在利用密碼體制安全性的同時，利用有效的入侵檢測技術讓OSPF的安全性得到保證。

三、結語

作為一種應用非常廣泛的路由協議OSPF的安全性受到廣泛的關注，雖然其本身具有一定的安全性，但是卻難以滿足當前網絡安全形勢的需要。為此我們需要加強對OSPF安全性的研究，并積極思考如何對其安全性進行完善。

參考文獻

[1] 柳強，黃天章，郭海龍.基于OSPF協議可信路由技術研究及實現[J].數字技術與應用，2013，（04）：48-49

[2] 湯川.淺談OSPF協議[J].數字技術與應用，2013，（02）：47