新版基于OSPF协议可信路由技术研究及实现汇编摘要：随着可信网络普及，可信路由技术作为可信网络基础技术也成为研究的热点。本文以OSPF协议为基础，通过分析可信网络的技术需求，得出OSPF路由协议需要改进的两个方面：更换更有效的协议认证机制和增加可信路径计算功能。通过对协议格式和路径算法的分析，得出基于CPK的认证方法和基于CSPF的可信路径算法。该文给出了OSPF可信路由软件方案设计以及编码实现。并将软件加载到OpenNet软件中进行了仿真验证。关键词：OSPF可信路由签名认证CSPF中图分类号：***文献标识码：*文章编号：*-*(*)*-*-*随着互联网安全问题的日益突出，网络安全威胁频次、影响规模明显增大。人们普遍对网络安全失去信心，严重影响到互联网络的应用。因此建设可信互联网，提供可信的网络服务，才能满足各方用户的需求。作为“可信互连网”安全防护关键技术之一，可信路由技术越来越多地受到学术界的关注，也成为可信网络领域的一个重要研究方向。OSPF[1]协议是一种应用十分广泛的内部网关路由协议。目前大部分商用路由器都支持该协议。OSPF协议在通信网络应用包括两部分：路由信息扩散形成路由表用于数据转发；利用CSPF（受限最短路径优先）算法计算满足Qos的路径[2]。如何改进OSPF路由协议报文格式以及路由算法，使其能够应用到可信网络中，成为OSPF协议可信技术研究的重点。1可信网络环境分析在如图1可信网络中，各通信节点都对与之相邻节点有一个信任度评估，信任评估结果称为可信度量值（图1）。信任评估的方法有多种，其中一种方法称为基于身份的评估。基于身份的信任采用静态验证机制来决定是否给一个实体授权。常用的技术：当两个实体A与B进行交互时，首先需要对对方的身份进行验证。即，信任的首要前提是对对方身份的确认，否则与虚假、恶意的实体进行交互，很有可能导致损失。所以应用于可信网络中的OSPF路由协议首先要具有身份认证能力。计算可信传输路径是可信网络的另一重要应用。可信传输路径是指设置或计算出某条路径，该路径上所有的通信节点都满足可信度量的要求。目前OSPF协议可以采用CSPF算法来完成Qos路径计算的能力。Qos路径中包含了诸如带宽、时延等诸多数据传输的要求。可以将节点可信度量值的要求也加入路径计算中，作为其中的一个约束条件。这样计算出的传输路径具有可信属性。2OSPF协议可信改进方案设计2.1OSPF认证机制OSPF协议的报文头格式如表1所示。原型采用三种类型的认证，用Autype字段三个值表示：0不认证；1简单认证；2MD5密码认证[3]。其中0和1安全性较差，而MD5认证目前也被破解，所以采用原有的认证机制并不可靠。基于此，可信路由协议增加一种认证类型CPK认证[4]，Autype字段添3。相比于现有的PKI、IBE认证，基于标识的CPK认证体制不需要第三方证明、不需要数据库的在线支持，可用单芯片实现，在规模性、经济性、可行性、运行效率上具有无法比拟的优势，适合在可信网络中应用。Authentication字段原用于存储MD5签名，长度为64bit。现在为了适应CPK认证，扩展为128bit用于存储CPK签名。认证处理流程如（图2）所示。2.2CSPF可信传输路径计算路由器通过组织本地链路的TE-LSA，反映本地链路的流量工程参数，然后利用OSPF协议的扩散机制将其在区域内扩散。从而建立一个全网的TED。当链路的流量参数发生变化时，路由器会重新组织其TE-LSA并进行扩散。这种扩散机制同样适用于可信度量值扩散。因此，可以增加一种linkTLV的子TLV类型10，长度为4byte，用以传递设备的可信度量。解决了可信度量值扩散的问题，还需要设计基于CSPF可信度量算法[6]：3方案实现OSPF可信路由软件模块组成如（图3）所示。OSPF协议处理：处理与协议对等体之间交互的OSPF协议消息，包括hello、DD、LSR、LSU等消息。链路状态库：存放网络的拓扑信息。可信度量数据库：存放网络各节点的可信度量值。CSPF路径计算：依据链路状态库和可信度量数据库进行受限路径计算。CPK[7]安全认证模块：完成对OSPF协议消息的摘要、签名以及签名认证功能。Socket通信：将OSPF协议消息封装为Socket套接字来进行发送或接收。用户模块：设置可信传输路径参数，包括路径的可信度量值、...