基于OSPF协议可信路由技术研究及实现

摘要：随着可信网络普及，可信路由技术作为可信网络基础技术也成为研究的热点。本文以OSPF协议为基础，通过分析可信网络的技术需求，得出OSPF路由协议需要改进的两个方面：更换更有效的协议认证机制和增加可信路径计算功能。通过对协议格式和路径算法的分析，得出基于CPK的认证方法和基于CSPF的可信路径算法。该文给出了OSPF可信路由软件方案设计以及编码实现。并将软件加载到OpenNet软件中进行了仿真验证。

关键词：OSPF 可信路由 签名认证 CSPF

中图分类号：TP393.04 文献标识码：A 文章编号：1007-9416（2013）04-0048-02

随着互联网安全问题的日益突出，网络安全威胁频次、影响规模明显增大。人们普遍对网络安全失去信心，严重影响到互联网络的应用。因此建设可信互联网，提供可信的网络服务，才能满足各方用户的需求。作为“可信互连网”安全防护关键技术之一，可信路由技术越来越多地受到学术界的关注，也成为可信网络领域的一个重要研究方向。

OSPF[1]协议是一种应用十分广泛的内部网关路由协议。目前大部分商用路由器都支持该协议。OSPF协议在通信网络应用包括两部分：路由信息扩散形成路由表用于数据转发；利用CSPF（受限最短路径优先）算法计算满足Qos的路径[2]。如何改进OSPF路由协议报文格式以及路由算法，使其能够应用到可信网络中，成为OSPF协议可信技术研究的重点。

1 可信网络环境分析

在如图1可信网络中，各通信节点都对与之相邻节点有一个信任度评估，信任评估结果称为可信度量值（图1）。

信任评估的方法有多种，其中一种方法称为基于身份的评估。基于身份的信任采用静态验证机制来决定是否给一个实体授权。常用的技术：当两个实体A与B进行交互时，首先需要对对方的身份进行验证。即，信任的首要前提是对对方身份的确认，否则与虚假、恶意的实体进行交互，很有可能导致损失。所以应用于可信网络中的OSPF路由协议首先要具有身份认证能力。

计算可信传输路径是可信网络的另一重要应用。可信传输路径是指设置或计算出某条路径，该路径上所有的通信节点都满足可信度量的要求。目前OSPF协议可以采用CSPF算法来完成Qos路径计算的能力。Qos路径中包含了诸如带宽、时延等诸多数据传输的要求。可以将节点可信度量值的要求也加入路径计算中，作为其中的一个约束条件。这样计算出的传输路径具有可信属性。

2 OSPF协议可信改进方案设计

2.1 OSPF认证机制

OSPF协议的报文头格式如表1所示。

原型采用三种类型的认证，用Autype字段三个值表示：0不认证；1 简单认证；2 MD5密码认证[3]。其中0和1安全性较差，而MD5认证目前也被破解，所以采用原有的认证机制并不可靠。基于此，可信路由协议增加一种认证类型CPK认证[4]，Autype字段添3。

相比于现有的PKI、IBE认证，基于标识的CPK认证体制不需要第三方证明、不需要数据库的在线支持，可用单芯片实现，在规模性、经济性、可行性、运行效率上具有无法比拟的优势，适合在可信网络中应用。

Authentication字段原用于存储MD5签名，长度为64bit。现在为了适应CPK认证，扩展为128bit用于存储CPK签名。

认证处理流程如（图2）所示。

2.2 CSPF可信传输路径计算

路由器通过组织本地链路的TE-LSA，反映本地链路的流量工程参数，然后利用OSPF协议的扩散机制将其在区域内扩散。从而建立一个全网的TED。当链路的流量参数发生变化时，路由器会重新组织其TE-LSA并进行扩散。

这种扩散机制同样适用于可信度量值扩散。因此，可以增加一种link TLV的子TLV类型10，长度为4byte，用以传递设备的可信度量。

解决了可信度量值扩散的问题，还需要设计基于CSPF可信度量算法[6]：

3 方案实现

OSPF可信路由软件模块组成如（图3）所示。

OSPF协议处理：处理与协议对等体之间交互的OSPF协议消息，包括hello、DD、LSR、LSU等消息。

链路状态库：存放网络的拓扑信息。

可信度量数据库：存放网络各节点的可信度量值。

CSPF路径计算：依据链路状态库和可信度量数据库进行受限路径计算。

CPK[7]安全认证模块：完成对OSPF协议消息的摘要、签名以及签名认证功能。

Socket通信：将OSPF协议消息封装为Socket套接字来进行发送或接收。

用户模块：设置可信传输路径参数，包括路径的可信度量值、带宽、时延等。

操作系统：采用VxWorks6.6实时嵌入式操作系统，实现上述各软件模块的消息队列、定时器、任务调度等功能。

4 试验验证

仿真1：可信传输路径计算

仿真2：抗毁性测试

在仿真1计算的传输路径基础上，调整Router 8的度量值为0.5。查看HopListShow模块，发现可信传输路径发生变化，变化部分如图4中Path 2所标注路径。证明OSPF可信路由技术可以传递度量值变化，进而触发可信传输路径重新计算。获取满足可信度量的新路径（图4）。

5 结语

基于OSPF协议的可信路由技术解决了两个问题：通信节点可信度量扩散问题和可信传输路径建立问题。可信度量扩散使得网络中任何一点都可以获取其它节点的可信度量值。而基于CSPF的可信路径计算提出了一种有效可信路由决策算法。基于CPK的协议认证机制，使得OSPF协议完整性、不可抵赖性得到保证。进一步提高协议的安全防护等级。同时，基于OSPF协议的实现可信路由技术也可运用于其它同类型路由协议中，改进的方法类似。

参考文献

[1]IETF RFC2328：OSPF Version 2.1998年4月.

[2]IETF RFC2676：QoS Routing Mechanisms and OSPF Extensions.1999年8月.

[3]杨静，谢蒂，王雷.OSPF路由协议的安全分析及其漏洞分析.山东大学学报（工学版），第33卷第5期.2003.

[4]，王绍棣，王汝传等.携带数字签名的OSPF路由协议安全研究南京邮电学院学报2005.

[5]IETF RFC2370：OSPF Opaque LSA Option.1998年7月.

[6]陈胜宇，江美意.OSPF协议及路由表的算法实现.湖北邮电技术，2002.