路由协议中密钥管理协议的研究与实现
2011-08-15永城职业学院电子信息工程系张伟民
永城职业学院电子信息工程系 于 童 张伟民
路由协议中密钥管理协议的研究与实现
永城职业学院电子信息工程系 于 童 张伟民
随着移动通信网络的发展,基于网际协议化的应用趋势也更加明显,从而使路由设备的地位和作用越来越重要。而早期的网络设计者偏重于实现网络的基本功能,却忽略了网络的安全要素,在设计路由设备及路由协议时缺少对安全的考虑,从而导致安全机制的缺失和不足。
一、路由安全设计
1.路由安全的重要性。针对路由安全问题的重要性及其存在的问题,相关的国际标准组织将路由安全研究提上了日程,并积极制定和推动相关标准来实现路由的安全。IETF互联网架构组认为使用最小的代价达到最大破坏效果的攻击是对路由基础设施的高效攻击。由此可见路由安全在网络架构中的重要性。
2.路由安全的研究目标。路由协议在因特网中的地位十分关键且重要,路由协议的安全是保证因特网稳定的重要基础。本研究的目标是根据路由协议的特点,设计路由协议中的自动化密钥管理协议,为路由协议的身份认证机制提供加密密钥。
3.路由安全的具体工作。具体的工作包括:分析路由协议的脆弱性及目前已有的安全机制,找出路由协议目前安全机制部署的不足;研究IPsec协议族中使用的密钥管理协议IKEv2和GDOI,考虑路由协议中所需的SA(安全联盟)以及路由协议所处的网络架构的特点,对这2种密钥管理协议进行扩展,设计出针对路由协议的密钥管理协议。
二、路由协议中密钥管理协议的设计
1.密钥管理协议的设计。目前,IKEv2主要用于单播协议的密钥管理,GDOI主要用于组播协议的密钥管理。可以看出,由于单播协议和组播协议的区别,它们所需要的SA也存在着区别。因此,针对不同的网络架构需要设计不同的密钥管理协议。在路由协议中,既有发送单播报文的BGP协议,又有发送组播报文的RIP协议,还有既发送单播报文又发送组播报文的OSPF协议。考虑并不针对特定的路由协议来设计方案,而是对所有的路由协议设计统一的方案。因此,在设计时需要同时考虑到单播和组播的情况,要分别设计出适用于单播和组播的密钥管理协议。
2.RPKMP。由于重新设计一个新的协议过于复杂,本文,笔者提出的方案主要是在IKEv2和GDOI协议的基础上进行改动,设计出适用于路由协议的密钥管理协议RPKMP。
三、RPKMP的设计
1.基于单播的RPKMP的设计。设计针对IKEv2的扩展包括2个部分工作:第一部分工作,在IKEv2的原有SA载荷中增加与路由协议相关的字段;第二部分工作,在IKEv2报头中的ExchangeType(交换类型)字段中增加交换类型。基于单播的RPKMP的设计主要适用于点对点(Point-to-point)、非广播多点传送(NonbroadcastMultiaccess,NBMA)和点到多点(Point-to-multipoint)等网络类型。
2.基于组播的RPKMP的设计。路由协议中密钥管理协议的设计不能仅考虑端对端密钥的协商,还需要考虑组密钥的协商。只有当一个组共享一个会话密钥并在一端发起加密的组播报文时,该组的其他成员才能使用该共享密钥验证加密报文。组密钥的协商是一个十分复杂的过程,目前现有的组密钥管理协议大多是基于IETFmsec工作组提出的组播组安全架构来设计的,通过一个中心点控制器GC/KS(组控制器/密钥服务器)向组员发送组密钥加密密钥和组会话密钥。由于重新设计一个协议较为复杂,且需要较长的时间来测试该设计的可用性,因此,本文,笔者所提出的基于路由协议组播报文发送的RPKMP的设计,仍然使用现有的协议。
3.路由协议中密钥管理协议RPKMP的设计。主要包括路由协议密钥管理协议框架的设计,基于单播的RPKMP的设计,基于组播的RPKMP的设计等。基于组播的RPKMP的设计是在现有的组播密钥管理协议GDOI的基础上添加了1个GC/KS选举协议,使得GDOI协议可以在路由协议所处的广播网络中使用。在本文中,笔者对路由协议的实现使用了开源quagga软件包,quagga软件包也可以实现目前常用的路由协议,由于它的开源性,对其中路由协议的实现可做任何的改动。这就方便工作人员在路由协议中添加新的接口,从而与RPSA数据库和KMP进程进行交互。
四、测试环境
1.测试环境。由于实验条件所限,要在1台物理机上构造多个虚拟机来完成基本测试。每台虚拟机上都运行FreeBSD8.0系统。在测试单播RPKMP系统时,同时运行2台虚拟机,一台虚拟机的IP地址设为192.168.64.128,另一台虚拟机的IP地址设为192.168.64.129。在测试GC/KS选举模块时,又添加了1台新虚拟机,IP地址设为192.168.64.130,可使3台虚拟机运行在一个广播网络上,实现一个基本的广播网络环境。
2.基于单播RPKMP系统的测试。通过配置文件可以看出,此时OSPF协议运行在非广播网络中,并配置邻居路由器的IP地址为192.168.64.128,在配置中运行OSPF协议的路由器发送单播报文。
3.GC/KS选举模块的测试。由于wireshake协议分析软件不能对新设计的协议报文进行分析,所以需要通过在程序中添加调试信息来观察GC/KS的选举过程,对完成GC/KS选举模块的测试。
