一种基于信任证书管理的可信OSPF协议

作     者：尹本兵 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：徐国爱

授予年度：2012年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：OSPF协议 信任证书 信任值 可信路由表 

摘      要：现有的OSPF协议使用广泛但存在许多安全漏洞,攻击者可以利用一些漏洞伪造一台路由器或者入侵到一台正常的路由器进行各种攻击行为,从而对整个网络进行攻击。针对上述问题,本论文提出了一种新的可信OSPF协议,协议中引入了可信第三方TMS,每个AS域中都有一个TMS来做为整个AS域的一个信任管理中心,TMS负责维护整个域中所有路由器的信任证书。TMS中加入了防火墙、漏洞扫描器、病毒库等安全设备,一方面用来测量所需的各种网络参数,另一方面用来及时检测到各种攻击。 TMS定期向AS域内的所有路由器下发更新的信任证书,在一定时间内维持路由器的信任水平。论文中同时引入了信任值的概念,信任值包括以下几项：主观信任值、综合信任值、总信任值。信任值是与路由器相关的实体对路由器的信任评价。 在上述方案基础上,主要对OSPF协议做出以下可信改造：加入路由器注册过程;增加一种带有信任证书的Hello包;增加了路由器对收到的Hello包的判断以及对带有信任证书的Hello包的处理过程;增加了主观信任值、总信任值的计算和定时上报主观信任值的过程;将总信任值进行转换用来代替原OSPF协议中的cost值,将改造后的cost值填入到Router-LSA的metric字段中。 根据上述方案,本论文已实现了一个基于Quagga的原型系统,系统中包括一个TMS、一台漏洞扫描器、一台病毒服务器、一台IDS设备、一台防火墙,经测试发现,本论文所设计的可信OSPF协议能有效的防止不合法路由器的注册和已注册路由器的攻击行为。