相同的。
2.最大程度的防止了最大年龄攻击:在标准 ospf 中,maxage 字段是 lsa 中最容易受到攻击的地方,这是由于 maxage 的特殊性而造成的。在签名的 lsu 中添加了 is maxage 字段用于判断该 lsu 中是否携带了最大年龄的 lsa。本文提出的这种方案有效地阻止了入侵者对年龄字段的修改,一旦年龄字段修改为 maxage,则路由器在接收该 lsu 报文后的验证过程中通过比对消息摘要时可发现篡改,从而抛弃该 lsu。这在一定程度上阻止了针对 lsa 的最大年龄攻击。但是,有些入侵者将 lsa 的 age 字段修改为一个很接近maxage 的值,这种情况本方案将很难对此进行判别并作出应对,目前来看也没有有效的应对措施。这种攻击方式从一定程度上加快了路由器更新 lsa 的速度,消耗了一定的资源,却无特别大的威胁,应该在可以容忍的范围之内。
基于 lsu 的数字签名 ospf 机制的效率可以从计算时间、网络带宽和存储三方面来分析。
时间:数字签名保护的 ospf 协议其核心内容就是对一定的内容进行数字签名。这一过程包括求不定长度的数据的 hash 序列、使用不对称密钥加解密数据。实验在一台amd duron 750mhz 256m memory 配置的 pc 仿真的路由器上进行,系统为 cygwin 仿真的 unix 操作系统。采用 rsaref2 库算法得到如下的结果:对于一个 16 比特的数据,使用 512-bit 的 key 产生和验证一个数字签名数据需要耗时 0.47 秒和 0.023 秒。事实上本文采用的 hash 函数计算出的散列值长度为 128 比特,也就是说系统在产生和验证该数字签名时需要耗费的时间可能还要多。
网络带宽:数字签名保护的 ospf 协议相对于标准 ospf,其多占用的网络带宽主要体现在以下几个方面:1、lsu 中数字签名保护数据使得 lsu 的长度增大,直接增大了网络中数据的传输量。2、数字签名体制中 key 的分发与管理,这包括 pklsa 的传播以及相应的应答等。这些额外的网络带宽负载与网络的容量相比都是极其微小的。
存储:数字签名的 ospf路由器都需要存放自身的私钥和区域中其它路由器的公钥,这一部分存储空间大小一定程度上决定于 area 的大小。而对于数字签名的 lsu 或 lsa,在接受 lsu 报文后通过验证后会将这些报文中的 lsa 存入链路状态数据库之中,这与普通的 ospf 路由器无异,不会将额外的签名信息保存下来占用空间。而对于那些不能通过验证的 lsa 则抛弃不用。
参考文献
[1]钟廷龙,李鑫,郭云飞. ospf 路由协议安全性分析[j]. 微计算机信息, 2005
[2] 杨静, ospf 路由协议的安全分析及其漏洞分析,山东大学学报,2003
[3] 谢蒂,杨静. 一种低代价、可靠的 ospf 验证机制[j] 计算机应用,2003
上一页 [1] [2]