基于OSPF協議可信路由技術研究及實現

許勝

摘要：在現實世界中，隨著計算機網絡不斷發展，互聯網安全問題也日益突出，網絡威脅倍增。OSPF協議作為重要的內部網關協議，其安全性影響到整個自治系統的安全。本文將圍繞互聯網安全為中心，以OSPF協議為基礎，通過分析可信網絡的技術條件，得出OSPF路由協議需要改進的方面。

關鍵詞：可信網絡環境;TCG OSPF協議

中圖分類號：TP393 ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）15-0038-02

隨著互聯網的不斷發展，互聯網安全問題日益突出。在此情形下，民眾逐漸對互聯網失去信心。因此，重建可信互聯網，提供值得信任的網絡服務的任務變得無比迫切。作為重建可信互聯網環節中的至關重要的一環，可信路由技術越來越受到關注，也逐漸成為一個重要的研究方向。

1 可信網絡環境分析及漏洞分析

1.1 可信網絡環境分析

日前，網絡安全越來越成為一個重要的問題，人們也越來越注重自身的網絡安全。聯系具有多樣性和客觀性。可信網絡像是一把雙刃劍，既給我們帶來極大的便利，許多東西已經可以借助互聯網來完成。然而在可信網絡給我們極大便利的同時，也給我們帶來巨大的威脅。由于可信網絡的滲透性以及侵略性，我們的個人信息極端泄漏。在此情況下，許多不法分子利用可信網絡的這一特性竊取公民的個人信息，實施犯罪行為。例如現在已經成為我們日常生活一部分的移動支付，我們利用移動支付來進行購物、消費、出行。移動支付與我們的財產安全息息相關。但是移動支付必須依靠可信網絡才能完成，也就是說可信網絡是移動支付的基礎，沒有可信網絡，移動支付根本就不可能完成。在此情形下，可信網絡的安全性就顯得格外重要了，一旦可信網絡的安全性得不到保證，我們的財產安全就會受到威脅。而一旦可信網絡出現了漏洞，我們的財產安全勢必會出現問題。在當今這種局勢下，我們要注重可信網絡的安全性建設。

1.2 可信網絡環境的漏洞

隨著互聯網的發展，互聯網交易已經從“可信度”進化到“可操作”。這就對了一個可行的互聯網環境提出了一個更加嚴苛的要求以及更加嚴峻的問題。同時也給可信網絡的發展指定了方向——可信應用環境的平臺。目前可信網絡存在的漏洞主要有兩個部分，一個部分是來自網絡游客的惡意攻擊。這部分網民利用可信網絡平臺存在的漏洞，對其他網絡用戶進行攻擊。而它們的工作原理就是，可信網絡依靠的區塊鏈原理。可信網絡以區塊鏈為基礎。區塊鏈的單主鏈結構，導致計算機的計算能力無法突破上限也無法擴容。而且可信網絡的區塊鏈只是用來儲存和計算，根本無法為其提供很多的生活功用，也就是說，可信網絡的區塊鏈技術根本無法滿足人們的日常生活需要。以大多數產品為例，通過主鏈加側鏈的設計結構，完成區塊鏈與設計師們設計的預期方案的結合，將所有網絡數據經過安全可信的渠道上傳，達到安全的核心目的。在互聯網交易已經成為人們生活一部分的方面來說，可信網絡的重要性也在逐漸升溫。不斷地發展與完善區塊鏈將為可信應用環境的產生提供有力的安全保障[1]。

2 OSPF協議可信改進方案設計

2.1 OSPF協議可信方案

OSPF（Open Shortest Path First）是一個內部網關協議（Interior Gateway Protocol）用于在單一自治系統（Autonomous System）內決策路由。與RIP相對，OSPF是鏈路狀態路由協議，而RIP是距離向量路由協議。OSPF協議憑借它獨特的設計構思出的最短路徑，為網絡環境的安全性提供了一定的保障，保障了數據之間的安全傳輸以及安全流動。而其他協議的路徑普遍都比較長，數據傳輸距離長，在這傳輸期間，不少惡意網民可以利用這些傳輸文件的時間，破解用戶使用密碼，以此來進入用戶的系統界面，破壞用戶的傳輸過程，并入侵用戶的個人信息系統，以此來對用戶的個人信息進行入侵，以此來損害用戶的利益。OSPF協議因為他的法案各方面內容明確，項目的背景和需求，總體設計網絡規劃，產品選型，實施和售后服務，網絡規劃設計是以后在工作中，非常重要的一點，熟悉的掌握網絡構思與計劃階段、分析與設計階段、實施階段、運行與維護階段 等各個階段的相關事宜，打造出具有高可用性，高安全性，高可靠性，易管理性等性能的網絡設計。首先，在合適的路由器上使用路由匯總（查詢在收到匯總路由的路由器結束，僅當路由表有與被查詢的網絡完全匹配的路由時，遠程路由器才會進一步傳播查詢）。然后，將遠程路由器設置有末節EIGRP路由器。同理，如果把右側的OSPF路由注入RIP，那么router后面跟的是RIP，redistribute后面跟的是OSPF，在這里要注意的是還要跟上metric值。如果沒有跟上metric值，在R1上是不會把路由注入RIP中的。Eigrp路由的passive-interface配置命令，用于將特定接口設置為被動狀態，default將所有路由器接口設置為被動狀態。如果不想把接口一個一個進行宣告的話，可以先把所有接口都passive掉，然后再把不需要進行宣告的接口no passive即可。Eigrp數據包查詢：當某條路由丟失，向鄰居查詢有關路由信息，通常靠組播方式發送，有時也用單播重傳;可靠地發送。應答：響應查詢分組，單播;可靠地發送。確認：實質是以單播方式發送的hello包（不包含數據），但包含確認號。用來確認更新、查詢和應答。ACK本身不需確認。設置靜態路由，Destination Address 要填寫Vlan1 的網關地址即：172.16.18.254，Next Hop 要填寫Vlan2 網段192.168.2.0，目的是為Vlan1 和Vlan2 兩個網段內的計算機跨網訪問創建一個路由轉接表。Vlan1 內的計算機如果要訪問Vlan2 網段的計算要則可以通過設定的網關：172.168.18.254 由靜態路由轉到Vlan2 網段內;如果Vlan1 網段要訪問外面廣域網，則其網關：172.16.18.254 就會將其轉到其上層路由：172.168.18.1 來完成其網段內的訪問請求。完全末梢區域（totally stubby area）：LSA3是ABR通過計算LSA1和LSA2轉化而成的，可以進一步配置成完全末梢區域，阻擋LSA3，生成O IA*0/0。完全末梢區域是一種對末梢區域的改進，進一步精簡路由表。五類LSA：自治系統外LSA。AS External LSA 由ASBR生成，用于描述OSPF自治系統外的目標網段信息鏈路狀態ID是目的地址的IP網絡號。外部路由通過重發布，引入OSPF路由域，相應信息（路由條目），由ASBR以LSA5的形式生成然后進入OSPF路由域;缺省情況下，LSA5生成路由用OE2表示，可強行指定為OE1;OE2開銷=外部開銷，OE1開銷=外部開銷+內部開銷;LSA5不允許進入特殊區域（Stub存根區和NSSA區）。四類LSA：也即ASBR匯總LSA。ASBR匯總LSA由ABR生成，用于描述ABR能夠到達的ASBR它的鏈路狀態ID為目的ASBR的Router ID。三類LSA：也即網絡匯總LSA。

2.2 OSPF協議的工作漏洞

OSPF協議是動態協議，無法為整個網絡路由表提供一個可信、穩定、有效的網絡環境。不少惡意網絡用戶可以利用OSPF協議的動態性、不穩定性來進行入侵。因為網絡環境不穩定，路由器所輸送的電波頻段也不經相同，不法分子可以利用這些電波的差異性來捕捉，以此來實現入侵。

而且OSPF協議沒有認證機制，路由器與路由器之間沒有驗證方式，一旦兩個路由器相連接，他們的各種數據信息都會共享，成為整個鏈接域的公開的秘密，一旦有而已的網絡用戶潛入，很多信息將會泄露無疑，在這個鏈接域的網民的個人信息就會泄露無遺。這種設計機制存在著巨大的弊端。認證機制是保護網民合法權益的最低底線，如果連底線都沒有了，網絡安全就更加是無法得到保障的巨大難題。因此，OSPF協議應當不斷完善自己，為自己設置一個認證機制。認知機制可以篩選那些惡意的網絡用戶，提高網絡的準入門檻，保障網民的個人信息和財產安全。

2.3 OSPF協議的改進方案設計

2.3.1 設立文明退出機制

如果路由器在退出OSPF協議的運行時，直接關閉進程，而沒有同他的鄰居進行必要的聯絡和通告的話，將會對他周圍的OSPF路由選擇區域造成不同程度的損害。使用文明退出機制時，運行OSPF協議的路由器應當首先沖刷出由它的OSPF協議所創建的所有的LSA，此時，該LSA的沖刷也將引起SPF計算更新，從而清除了它的路由表中的無效的路由信息，整個OSPF路由區域同該關閉路由器關聯的鏈路狀態信息和路由信息都得到了沖刷和更新。

2.3.2 建立鄰接關系

在路由器之間建立鄰接關系后，成為鄰接關系的路由器之間，會定期生成自己的LSA，并將LSA加入自己的連接狀態數據庫中。這時鄰接路由器之間建立主從關系，通過交換DD包，同步彼此的連接狀態數據庫。對于未更新的LSA列表，從機向主機發送LSR請求包，主機收到LSR請求包之后通過發送LSU更新包，將請求的最新LSA的信息列表發送給從機，從機接受LSAck的確認包，這時鄰接路由器的連接狀態之間就完全同步，鄰接路由器之間也就達到了萬全鄰接的狀態。在鄰接狀態下，每一個路由器在進入正常工作狀態之后，會進入到主要的兩個工作處理之中[3]。

3結語

基于OSPF協議的可信路由技術能有效地利用平臺參數值進行平臺完整性驗證，這樣能有效發現路由器是否被惡意侵占或者路由平臺自身是否發生錯誤，從而能夠有效地保證路由器自身平臺的完整性不被破壞。

參考文獻：

[1] 黃沈煒.OSPF路由技術原理及網絡設計探討[J].中國新通信，2017（13）：105-106.

[2] 趙景召，周若鵬.OSPF原理分析及在城域網中的應用[J].電腦知識與技術，2009（29）：8152+8159.

[3] 邢麗平，陳侃，張冰松.OSPF多進程線路切換技術研究[J].數字技術與應用，2018（7）：62-65.

【通聯編輯：光文玲】