论文部分内容阅读
随着Internet的高速发展,网络规模与日俱增,拓扑结构也愈发复杂,使得Internet对网络基础设施的依赖性大大提高。路由协议是Internet基础设施的核心,在路由协议的规定下路由信息得以传递、更新,路由器通过收集整合这些路由信息来构建路由表从而提供报文转发的服务。如果没有正确的路由信息,数据在网络中的传输面临着低效乃至失败的威胁。由于网络中路由器以一种协作的方式进行工作,相互之间通过传递、交换各自的路由信息以获得整个网络的路由信息,但是在这些路由信息在传递、交换的过程中缺乏保护机制,面临着被篡改、伪造等威胁。OSPF (Open Shortest Path First)路由协议是伴随着Internet快速发展而出现的一种内部网关协议,为各大设备商实施应用,已经成网络部署中使用最广泛的域内路由协议之一。本文首先从四个方面对OSPF路由协议的安全性进行了分析,在此基础上提出OSPF路由协议自身机制的潜在漏洞,并对漏洞进行了全面论述。然后,结合这些潜在漏洞,提出了针对OSPF五类基本协议报文的可行攻击方法,并对不同攻击方法对网络造成的危害进行了论述。为了提高OSPF路由协议的安全性,提出了抵抗针对这些漏洞实施的各种攻击的解决方案。最后,通过分析数字签名OSPF方案的可施行性,提出了一种基于数字签名的OSPF路由协议的改进方案,并通过实例对该方案的运行原理进行了详细论述。由于数字签名采用公钥加密算法,在大型网络下,随着路由信息的增加,数字签名算法计算开销也大大提高,而且密钥的管理、维护也提高了系统开销。本文从两方面对OSPF路由协议泛洪机制进行改进优化,一方面通过限制Network Summary LSA在非骨干网络中泛洪,区域边界路由器根据非骨干网络中对区域外服务请求情况,只泛洪与请求相应的Network Summary LSA;另一方面为AS External LSA引入调节因子,对于内部路由开销可以忽略的外部路径路由信息不再向网络中泛洪,路由器通过将报文直接转发给AS边界路由器来实现对外部网络的访问。基于数字签名的OSPF路由协议改进方案实现了计算复杂度、存储开销以及带宽占用的降低。