29462011,Vol.32,No.9计算计机算工机程工与程设与设计计CoCmopmupteurteErnEgningeinereienrginagnadnDdeDsiegsnign 基于可信计算技术的OSPF路由协议研究 李兆斌1，韩挺2，池亚平1，方勇1 (1.北京电子科技学院通信工程系，北京100070；2.西安电子科技大学计算机学院，陕西西安710071) 摘要：为了解决目前路由安全方案中只对路由器身份进行认证，而未对路由器平台的完整性进行验证的问题，在基于LSU 数字签名的OSPF协议基础上，借鉴可信计算的完整性度量思想，提出了一种新的可信路由协议TC-OSPF(OSPFbasedontru- stedcomputing)。分析了LSU数字签名过程，指出了在LSU签名过程中加入路由平台完整性度量的可行性，在此基础上设计 了具有完整性度量功能的LSU报文结构。安全性分析表明，TC-OSPF协议不仅可以对路由器身份进行认证，同时也能对路由 平台的完整性进行验证。仿真实验结果表明，TC-OSPF在保证了OSPF协议安全性的同时也兼顾了路由性能。 关键词：安全路由;开放式最短路径优先协议;链路状态更新数据包;可信计算;完整性 中图法分类号：TP393.03文献标识码：A文章编号：1000-7024(2011)09-2946-04 StudyofOSPFbasedontrustedcomputing LIZhao-bin1,HANTing2,CHIYa-ping1,FANGYong1 (1.DepartmentofCommunication,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,China; 2.SchoolofComputerScienceandTechnology,XidianUniversity,Xi’an710071,China) Abstract：Inordertoslovetheproblemsonpresentedroutingsecuresolutionsonlytoresolvetheidentityauthentication,butnoresolve theintegrityverification.Inordertoconquerlimitationsabove-mentioned,anewtrustedroutingprotocolisproposedthatisbasedon trustedcomputingandthedigitalsignatureOSPFusingLSU.ThenewprotocolcanbecalledTC-OSPF(OSPFbasedontrustedcom- puting).Firstly,theLSUdigitalsignatureprocessisanalysedandthefeasibilitycanbegivenforaddingtherouterplatformintegrity measurementtotheLSUdigitalsignatureprocess.Then,LSUpacketisdesignedwhichcanmeasureintegrityofrouterplatform.The securityanalysisshowsthatTC-OSPFcanresolvenotonlytheidentityauthentication,butalsotheintegrityverification.Thesimulation resultsshowthattheTC-OSPFcanachievethegoalofOSPFsecuritycompatiblewithroutingperformance. Keywords：securerouting;OSPF;LSUpacket;trustedcomputing;integrity 带该LSA到达目的路由器，因此文献[7]提出了基于LSU报文 0引言 的数字签名改进方案。基于LSU的OSPF中的签名数据只包 OSPF协议是一种广泛应用的内部网关协议，但OSPF协含了LSU的头部信息，从而避开了LSA数字签名方案中的庞 议设计之初并没有过多考虑安全因素，只是采用了简单的认大数据信息，可以有效降低数字签名时的系统开销[8]。 证方式[1-3]。在当前复杂的网络环境中，这种简单的认证方式上述各种采用数字签名保护的OSPF方案都只解决了路 并不能够保证路由信息来源的准确性，已不能满足路由安全由器实体间的身份认证问题，并未考虑路由器平台完整性是 的需求。否可信，即路由器的软硬件状态是否符合预期配置、是否被恶 为解