安全路由認(rèn)證機(jī)理及一種基于RIP協(xié)議的實(shí)現(xiàn)方案研究.pdf

1、路由是網(wǎng)絡(luò)基礎(chǔ)功能模塊之一。在網(wǎng)絡(luò)路由的初期設(shè)計(jì)與應(yīng)用中，并沒有考慮作為路由體系結(jié)構(gòu)之一的路由協(xié)議的安全性。目前對(duì)路由安全的研究主要側(cè)重于路由源認(rèn)證和路由消息完整性兩個(gè)方面，缺乏對(duì)特定路由的建立與授權(quán)以及對(duì)傳輸服務(wù)的路由路徑核驗(yàn)等方面的研究。
　　本文對(duì)路由信息協(xié)議RIP進(jìn)行了深入的研究，并以此為基礎(chǔ)提出了一種路由認(rèn)證方案。此方案由預(yù)處理階段、路由建立階段、回溯表更新階段以及路由回溯階段的多個(gè)算法組成，可實(shí)現(xiàn)IP數(shù)據(jù)包根據(jù)可信路由

2、器進(jìn)行傳輸，并且在傳輸完成后，目的節(jié)點(diǎn)對(duì)路由路徑進(jìn)行校驗(yàn)和依據(jù)認(rèn)證信息判斷通信路徑的正確性。
　　本文引入偽隨機(jī)序列原理實(shí)現(xiàn)路由認(rèn)證。在報(bào)文完整性認(rèn)證方面，路由器能夠利用預(yù)先共享的安全參數(shù)，生成128比特的序列片段，作為生成安全哈希函數(shù)值的密鑰。為了保護(hù)路由消息在傳輸過程中不被泄露，對(duì)路由響應(yīng)報(bào)文的目的地址和下一跳地址通過流密碼的方式進(jìn)行加密，加密密鑰由偽隨機(jī)序列片段構(gòu)成。本文設(shè)計(jì)的路由回溯表更新過程將路由路徑上的IP地址與偽隨機(jī)

3、序列的一個(gè)特定狀態(tài)綁定，并將綁定信息保存在路由器本地。
　　本文在RIP報(bào)文的基礎(chǔ)上，設(shè)計(jì)了三種新的報(bào)文格式以及一種數(shù)據(jù)結(jié)構(gòu)。分別是回溯表更新報(bào)文、回溯請(qǐng)求報(bào)文、回溯響應(yīng)報(bào)文和回溯表。當(dāng)路由器建立好本地路由表之后，如果路由表有所改變就啟動(dòng)更新回溯表過程。每個(gè)路由器都根據(jù)回溯表更新報(bào)文中的信息將對(duì)應(yīng)上一跳節(jié)點(diǎn)的地址信息保存在回溯表中。通信階段結(jié)束之后，接收方能夠通過身份認(rèn)證、消息認(rèn)證以及路由回溯請(qǐng)求和響應(yīng)等實(shí)現(xiàn)對(duì)IP數(shù)據(jù)包傳輸路徑的

4、路由認(rèn)證。為此，本文提出了兩種路由回溯模式。模式一是由目的節(jié)點(diǎn)向上一跳發(fā)送路由回溯請(qǐng)求，上一跳響應(yīng)之后獲取上一跳上游節(jié)點(diǎn)的地址，再依次向上回溯，直至完成路由認(rèn)證。模式二中，目的節(jié)點(diǎn)只需要向自己的上一跳節(jié)點(diǎn)發(fā)送路由回溯請(qǐng)求報(bào)文，上一跳節(jié)點(diǎn)負(fù)責(zé)將回溯請(qǐng)求向上傳遞并對(duì)目的節(jié)點(diǎn)進(jìn)行響應(yīng)。目的節(jié)點(diǎn)收到來自路徑上所有路由器的回溯響應(yīng)報(bào)文之后，解密出地址信息，根據(jù)報(bào)文中的距離字段重構(gòu)出路由路徑。
　　在通信階段，本文借鑒IP追蹤的思想，每個(gè)路由