资源描述:
《基于lsu的数字签名ospf的分析》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、基于LSU的数字签名OSPF的分析 摘要:OSPF是一种基于链路状态的内部X关路由协议。本文分析了OSPF路由协议存在的漏洞以及防范措施,重点探讨了基于LSU的数字签名技术。 关键词:OSPF;漏洞;数字签名 一OSPF协议概述 OSPF(OpenShortestPathFirst)作为目前互联X络应用最为广泛的内部X关路由协议,主要提供自治系统(AutonomousSystem,AS)内的动态选择路由。它是一种典型的链路状态协议,不同于距离向量协议(如RIP等)。OSPF主要有以下特性: 适应范围广——支持各种
2、规模的X络,最大可支持数百台路由器。 快速收敛——X络拓扑结构发生变化后立刻发送更新报文,使这一变化在自治系统中同步。 无自环——由于OSPF根据收集到的链路状态用SPF算法计算路由,从算法本身保证了不会生成自环路由。 区域划分——允许将自治系统划分成区域,区域间传送的路由信息被进一步抽象,从而减少了占用的X络带宽。 等价路由——支持到同一目的地的多条等价路由。 二OSPF的漏洞分析 2.1存在的漏洞 OSPF路由协议虽然采取了多种安全机制来保护其不受侵犯,但是这些安全机制并非能让OSPF路由协议成为一个绝对安全
3、的协议,它还存在相当多的漏洞。 1、空验证和简单口令验证的安全漏洞分析 当验证类型字段置为0时,即表示该报文为空验证。空验证时验证字段的值可为任意值,路由器在发送和接收该报文时不做任何额外的身份验证处理,接收方只要校验和无误便接收该OSPF报文并将其中的LSA加入到链路状态数据库中。这一验证类型可以认为是没有任何的安全性的。当使用简单口令验证时,验证类型字段置为1,64位的验证字段中存放的是简单口令验证用的口令。简单口令验证的报文是以明文的形式传输的,这其中也包括口令。接收方只要确定校验和正确且验证字段的口令等于预先约定的
4、值即可接收。这一方案对于在传输过程中的窃听者,没有任何的安全性可言。窃听者可以很轻松地监听到口令,然后伪造OSPF报文并发送出去,扰乱正常的路由秩序。 2、加密验证的漏洞 加密验证可预防外部窃听、重播、修改路由消息及阻塞协议报文传输等攻击。但是外部的攻击者还可以通过发送恶意报文来耗尽路由器的资源,使得路由器由于一直应付这样的恶意攻击而陷入一种更加脆弱的境界。 3、协议中的其它威胁 (1)最大年龄攻击: 在OSPF路由协议中,由于LSA的Age字段在经过任何一个路由器的时候都需要修改其值,因此它一般不被验证字段的MD5
5、摘要所覆盖。攻击者可轻松利用该漏洞在LSA的传播过程中将其截获并修改LSA的Age为MaxAge。一旦一个LSA的Age字段被修改为MaxAge,就可引起路由器链路状态数据库中LSA的早熟,LSDB过早的将LSA剔除导致LSDB中路由信息的缺失。 (2)针对序列号的攻击: 由于OSPF的LSA是采用泛洪的方式传播的,因此在泛洪途中区域中的入侵者或错误路由器都可以对LSA信息发起攻击,篡改其内容。针对序列号的攻击有两种,序列号加一攻击和最大序列号攻击。 (3)分块X络攻击: 如果使虚假LSA不被泛洪给该LSA的合法生成者
6、,则该LSA的合法生成者就不会启动其自反击机制来纠正该LSA。假设有一个被入侵的路由器所处的位置可以将区域分为两个子区域,则攻击者就可以只向其中的一个子区域以另一个子区域中的某路由器的身份注入虚假LSA,而不向另一个子区域注入LSA,这显然就可以达到欺骗的效果。 2.2漏洞防范策略 1、针对空验证和简单口令验证漏洞的防范策略 采用密码验证类型来解决对OSPF报文任意修改、甚至生成新报文的漏洞,并且验证类型时,每个OSPF路由器发出的报文都包含32位无符号非递减加密序列号,在所有邻居路由器中都存放着当前该路由器的最新加密序
7、列号,并要求接收到的OSPF报文的加密序列号必须大于或等于存储在路由器中的加密序列号。 2、针对密码验证漏洞的防范策略 密码验证虽然是三种验证方案中最为安全的一种方案,但是它还远没有达到牢不可破的程度。密码验证方案中,LSU报文的头部仍然是以明文的形式在X络中传播,这给恶意攻击者以很大的机会篡改LSU报文。另外,采用MD5算法并非绝对安全,中国山东大学的科学家已经破解出MD5算法。再者,维护、管理密钥的成本较高。本文建议在此验证类型的基础上,结合数字签名保护机制来确保OSPF路由协议的安全。这样的防护可以有效的防备大部分的
8、威胁。本文在后面将提出一种基于LSU的报文数字签名方案,可以实现上述功能。 三基于LSU的数字签名OSPF 基于LSU的数字签名方案与OSPF路由协议报文的加密验证机制的有机结合,有效防止了一系列的威胁、攻击。具体分析如下: 1.内部的恶意路由器篡改LSA链路状态信息。
