域內(nèi)路由協(xié)議安全可信機(jī)制研究與實(shí)現(xiàn).pdf

1、隨著Internet技術(shù)的普及和迅速發(fā)展，各種網(wǎng)絡(luò)服務(wù)（云計(jì)算、電子商務(wù)、物聯(lián)網(wǎng)、視頻會(huì)議等）已經(jīng)和我們的日常工作和生活緊密相連，但I(xiàn)nternet中IGP協(xié)議路由安全可信機(jī)制還不夠完善。運(yùn)行IGP的路由器通過鏈路狀態(tài)數(shù)據(jù)庫同步來獲得整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，但是在這些鏈路狀態(tài)路由信息在數(shù)據(jù)同步過程中保護(hù)機(jī)制不健全，面臨著被攻擊等威脅。針對(duì)IGP路由協(xié)議的攻擊呈現(xiàn)出增長的趨勢(shì)，所以研究IGP路由協(xié)議的安全可信機(jī)制非常重要。
　　本文對(duì)O

2、SPF和IS-IS兩種域內(nèi)路由協(xié)議在工作機(jī)制、收斂性、可擴(kuò)展性和安全性方面進(jìn)行了深入的對(duì)比研究，得出OSPF和IS-IS兩種協(xié)議的優(yōu)缺點(diǎn)和適用性。OSPF具有更豐富的路由策略、多種區(qū)域類型、協(xié)議數(shù)據(jù)包和電路類型，更適合中小型網(wǎng)絡(luò)和企業(yè)使用。IS-IS相對(duì)簡單、穩(wěn)定和可擴(kuò)展性好，在巨量路由條目的情況下，IS-IS的處理比OSPF更有效率，更適合網(wǎng)絡(luò)運(yùn)營商和ISP部署。另外，通過實(shí)驗(yàn)測(cè)試，在相同網(wǎng)絡(luò)環(huán)境條件下，OSPF和集成IS-IS收斂時(shí)

3、間基本在5.6秒左右，兩種協(xié)議的收斂時(shí)間基本相等，如果除去5秒的SPF計(jì)算等待時(shí)間，OSPF比集成IS-IS的收斂時(shí)間快10％左右。
　　在OSPF協(xié)議的路由安全可信機(jī)制方面，一方面，采用基于LSA數(shù)字簽名與認(rèn)證技術(shù)來進(jìn)行路由器鏈路狀態(tài)數(shù)據(jù)庫的同步，增強(qiáng)路由信息的安全性，另一方面，基于最新的類SDN架構(gòu)-I2RS（Interface torouting system）網(wǎng)絡(luò)架構(gòu)提出了一種新的OSPF集中可信驗(yàn)證框架。在該框架下，路由

4、器內(nèi)部實(shí)現(xiàn)一個(gè)可信驗(yàn)證代理，路由器RIB Manager向可信代理開放IGP協(xié)議路由信息的北向接口，并定義接口功能，接口數(shù)據(jù)交互報(bào)文格式，實(shí)現(xiàn)可信代理模塊對(duì)OSPF進(jìn)程中路由信息的讀寫操作?？尚糯戆崖酚尚畔魉徒o遠(yuǎn)端的集中路由可信驗(yàn)證服務(wù)器，路由集中可信驗(yàn)證對(duì)路由域內(nèi)所有路由器上的路由信息進(jìn)行數(shù)據(jù)一致性驗(yàn)證，對(duì)受外部入侵者篡改、插入等虛假路由信息向可信代理下發(fā)反饋的路由策略，可信代理模塊進(jìn)行相應(yīng)操作，從而形成對(duì)路由信息的閉環(huán)控制結(jié)構(gòu)。