基于OSPF协议可信路由技术研究及实现

许胜

摘要：在现实世界中，随着计算机网络不断发展，互联网安全问题也日益突出，网络威胁倍增。OSPF协议作为重要的内部网关协议，其安全性影响到整个自治系统的安全。本文将围绕互联网安全为中心，以OSPF协议为基础，通过分析可信网络的技术条件，得出OSPF路由协议需要改进的方面。

关键词：可信网络环境;TCG OSPF协议

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2019）15-0038-02

随着互联网的不断发展，互联网安全问题日益突出。在此情形下，民众逐渐对互联网失去信心。因此，重建可信互联网，提供值得信任的网络服务的任务变得无比迫切。作为重建可信互联网环节中的至关重要的一环，可信路由技术越来越受到关注，也逐渐成为一个重要的研究方向。

1 可信网络环境分析及漏洞分析

1.1 可信网络环境分析

日前，网络安全越来越成为一个重要的问题，人们也越来越注重自身的网络安全。联系具有多样性和客观性。可信网络像是一把双刃剑，既给我们带来极大的便利，许多东西已经可以借助互联网来完成。然而在可信网络给我们极大便利的同时，也给我们带来巨大的威胁。由于可信网络的渗透性以及侵略性，我们的个人信息极端泄漏。在此情况下，许多不法分子利用可信网络的这一特性窃取公民的个人信息，实施犯罪行为。例如现在已经成为我们日常生活一部分的移动支付，我们利用移动支付来进行购物、消费、出行。移动支付与我们的财产安全息息相关。但是移动支付必须依靠可信网络才能完成，也就是说可信网络是移动支付的基础，没有可信网络，移动支付根本就不可能完成。在此情形下，可信网络的安全性就显得格外重要了，一旦可信网络的安全性得不到保证，我们的财产安全就会受到威胁。而一旦可信网络出现了漏洞，我们的财产安全势必会出现问题。在当今这种局势下，我们要注重可信网络的安全性建设。

1.2 可信网络环境的漏洞

随着互联网的发展，互联网交易已经从“可信度”进化到“可操作”。这就对了一个可行的互联网环境提出了一个更加严苛的要求以及更加严峻的问题。同时也给可信网络的发展指定了方向——可信应用环境的平台。目前可信网络存在的漏洞主要有两个部分，一个部分是来自网络游客的恶意攻击。这部分网民利用可信网络平台存在的漏洞，对其他网络用户进行攻击。而它们的工作原理就是，可信网络依靠的区块链原理。可信网络以区块链为基础。区块链的单主链结构，导致计算机的计算能力无法突破上限也无法扩容。而且可信网络的区块链只是用来储存和计算，根本无法为其提供很多的生活功用，也就是说，可信网络的区块链技术根本无法满足人们的日常生活需要。以大多数产品为例，通过主链加侧链的设计结构，完成区块链与设计师们设计的预期方案的结合，将所有网络数据经过安全可信的渠道上传，达到安全的核心目的。在互联网交易已经成为人们生活一部分的方面来说，可信网络的重要性也在逐渐升温。不断地发展与完善区块链将为可信应用环境的产生提供有力的安全保障[1]。

2 OSPF协议可信改进方案设计

2.1 OSPF协议可信方案

OSPF（Open Shortest Path First）是一个内部网关协议（Interior Gateway Protocol）用于在单一自治系统（Autonomous System）内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。OSPF协议凭借它独特的设计构思出的最短路径，为网络环境的安全性提供了一定的保障，保障了数据之间的安全传输以及安全流动。而其他协议的路径普遍都比较长，数据传输距离长，在这传输期间，不少恶意网民可以利用这些传输文件的时间，破解用户使用密码，以此来进入用户的系统界面，破坏用户的传输过程，并入侵用户的个人信息系统，以此来对用户的个人信息进行入侵，以此来损害用户的利益。OSPF协议因为他的法案各方面内容明确，项目的背景和需求，总体设计网络规划，产品选型，实施和售后服务，网络规划设计是以后在工作中，非常重要的一点，熟悉的掌握网络构思与计划阶段、分析与设计阶段、实施阶段、运行与维护阶段 等各个阶段的相关事宜，打造出具有高可用性，高安全性，高可靠性，易管理性等性能的网络设计。首先，在合适的路由器上使用路由汇总（查询在收到汇总路由的路由器结束，仅当路由表有与被查询的网络完全匹配的路由时，远程路由器才会进一步传播查询）。然后，将远程路由器设置有末节EIGRP路由器。同理，如果把右侧的OSPF路由注入RIP，那么router后面跟的是RIP，redistribute后面跟的是OSPF，在这里要注意的是还要跟上metric值。如果没有跟上metric值，在R1上是不会把路由注入RIP中的。Eigrp路由的passive-interface配置命令，用于将特定接口设置为被动状态，default将所有路由器接口设置为被动状态。如果不想把接口一个一个进行宣告的话，可以先把所有接口都passive掉，然后再把不需要进行宣告的接口no passive即可。Eigrp数据包查询：当某条路由丢失，向邻居查询有关路由信息，通常靠组播方式发送，有时也用单播重传;可靠地发送。应答：响应查询分组，单播;可靠地发送。确认：实质是以单播方式发送的hello包（不包含数据），但包含確认号。用来确认更新、查询和应答。ACK本身不需确认。设置静态路由，Destination Address 要填写Vlan1 的网关地址即：172.16.18.254，Next Hop 要填写Vlan2 网段192.168.2.0，目的是为Vlan1 和Vlan2 两个网段内的计算机跨网访问创建一个路由转接表。Vlan1 内的计算机如果要访问Vlan2 网段的计算要则可以通过设定的网关：172.168.18.254 由静态路由转到Vlan2 网段内;如果Vlan1 网段要访问外面广域网，则其网关：172.16.18.254 就会将其转到其上层路由：172.168.18.1 来完成其网段内的访问请求。完全末梢区域（totally stubby area）：LSA3是ABR通过计算LSA1和LSA2转化而成的，可以进一步配置成完全末梢区域，阻挡LSA3，生成O IA*0/0。完全末梢区域是一种对末梢区域的改进，进一步精简路由表。五类LSA：自治系统外LSA。AS External LSA 由ASBR生成，用于描述OSPF自治系统外的目标网段信息链路状态ID是目的地址的IP网络号。外部路由通过重发布，引入OSPF路由域，相应信息（路由条目），由ASBR以LSA5的形式生成然后进入OSPF路由域;缺省情况下，LSA5生成路由用OE2表示，可强行指定为OE1;OE2开销=外部开销，OE1开销=外部开销+内部开销;LSA5不允许进入特殊区域（Stub存根区和NSSA区）。四类LSA：也即ASBR汇总LSA。ASBR汇总LSA由ABR生成，用于描述ABR能够到达的ASBR它的链路状态ID为目的ASBR的Router ID。三类LSA：也即网络汇总LSA。

2.2 OSPF协议的工作漏洞

OSPF协议是动态协议，无法为整个网络路由表提供一个可信、稳定、有效的网络环境。不少恶意网络用户可以利用OSPF协议的动态性、不稳定性来进行入侵。因为网络环境不稳定，路由器所输送的电波频段也不经相同，不法分子可以利用这些电波的差异性来捕捉，以此来实现入侵。

而且OSPF協议没有认证机制，路由器与路由器之间没有验证方式，一旦两个路由器相连接，他们的各种数据信息都会共享，成为整个链接域的公开的秘密，一旦有而已的网络用户潜入，很多信息将会泄露无疑，在这个链接域的网民的个人信息就会泄露无遗。这种设计机制存在着巨大的弊端。认证机制是保护网民合法权益的最低底线，如果连底线都没有了，网络安全就更加是无法得到保障的巨大难题。因此，OSPF协议应当不断完善自己，为自己设置一个认证机制。认知机制可以筛选那些恶意的网络用户，提高网络的准入门槛，保障网民的个人信息和财产安全。

2.3 OSPF协议的改进方案设计

2.3.1 设立文明退出机制

如果路由器在退出OSPF协议的运行时，直接关闭进程，而没有同他的邻居进行必要的联络和通告的话，将会对他周围的OSPF路由选择区域造成不同程度的损害。使用文明退出机制时，运行OSPF协议的路由器应当首先冲刷出由它的OSPF协议所创建的所有的LSA，此时，该LSA的冲刷也将引起SPF计算更新，从而清除了它的路由表中的无效的路由信息，整个OSPF路由区域同该关闭路由器关联的链路状态信息和路由信息都得到了冲刷和更新。

2.3.2 建立邻接关系

在路由器之间建立邻接关系后，成为邻接关系的路由器之间，会定期生成自己的LSA，并将LSA加入自己的连接状态数据库中。这时邻接路由器之间建立主从关系，通过交换DD包，同步彼此的连接状态数据库。对于未更新的LSA列表，从机向主机发送LSR请求包，主机收到LSR请求包之后通过发送LSU更新包，将请求的最新LSA的信息列表发送给从机，从机接受LSAck的确认包，这时邻接路由器的连接状态之间就完全同步，邻接路由器之间也就达到了万全邻接的状态。在邻接状态下，每一个路由器在进入正常工作状态之后，会进入到主要的两个工作处理之中[3]。

3结语

基于OSPF协议的可信路由技术能有效地利用平台参数值进行平台完整性验证，这样能有效发现路由器是否被恶意侵占或者路由平台自身是否发生错误，从而能够有效地保证路由器自身平台的完整性不被破坏。

参考文献：

[1] 黄沈炜.OSPF路由技术原理及网络设计探讨[J].中国新通信，2017（13）：105-106.

[2] 赵景召，周若鹏.OSPF原理分析及在城域网中的应用[J].电脑知识与技术，2009（29）：8152+8159.

[3] 邢丽平，陈侃，张冰松.OSPF多进程线路切换技术研究[J].数字技术与应用，2018（7）：62-65.

【通联编辑：光文玲】