IS-IS认证
产生原因
随着Internet网络的不断发展,网络中交互的各种数据、语音和视频信息越来越多,同时新兴的电子商务、网上会议、网上拍卖、视频点播、远程教学等服务也在逐渐兴起。这些服务大多对信息安全性提出了较高的要求。运营商必需确保数据报文不被攻击者窥视和篡改,并且要防止非法用户对内部资源或私有信息的访问。IS-IS认证通常应用在需要对报文进行保护的区域或接口上,用来保证报文传输的安全性。通过IS-IS认证方式,可以增强系统的安全性,为运营商提供安全的网络服务。
相关概念
认证的分类
根据报文的种类,认证可以分为以下三类:
接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证。
区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证。
路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证。
根据报文的认证方式,可以分为以下四类:
简单认证:将配置的密码直接加入报文中,这种加密方式安全性较其他两种方式低。
MD5认证:通过将配置的密码进行MD5算法加密之后再加入报文中,提高密码的安全性。
Keychian认证:通过配置随时间变化的密码链表来进一步提升网络的安全性。
HMAC-SHA256认证:通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性。
实现过程
IS-IS认证是基于网络安全性的要求而实现的一种加密手段,通过在IS-IS报文中增加认证字段对报文进行加密。当本地ME设备接收到远端ME设备发送过来的IS-IS报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
IS-IS通过TLV的形式携带认证信息,认证的TLV格式及含义如下所示:
Type:认证报文的类型值,1字节。其中ISO定义认证报文的类型值为10,IP定义认证报文的类型值为133。
Length:认证TLV值的长度,1字节。
Value:认证的具体内容,其中包括了认证的类型和认证的密码,1~254字节。其中,认证的类型为1字节,具体定义如下:
0:保留的类型
1:简单认证
3:通用认证,目前通用认证只支持HMAC-SHA256认证
54:MD5认证
255:路由域私有认证
接口认证
Hello报文使用的认证密码保存在接口下,发送带认证TLV的认证报文,互相连接的ME设备接口必须配置相同的口令。
区域认证
区域内的每一台ME设备都必须使用相同的认证模式和具有共同的钥匙串。
路由域认证
IS-IS域内的每一台L2和L1/L2类型的ME设备都必须使用相同模式的认证,并使用共同的钥匙串。
对于区域和路由域认证,可以设置为SNP和LSP分开认证。
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都进行认证检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文携带认证TLV,但不对收到的SNP报文进行检查。
本地发送的LSP报文携带认证TLV,对收到的LSP报文进行认证检查;发送的SNP报文不携带认证TLV,也不对收到的SNP报文进行认证检查。
本地发送的LSP报文和SNP报文都携带认证TLV,对收到的LSP报文和SNP报文都不进行认证检查。
上一页
