OSPFv3认证
OSPFv3 IPSec认证
随着网络的迅速发展,对网络安全性的要求也变得越来越重要。网络中传递的路由协议报文可以被窃取、改变或者伪造,对报文的攻击可能导致网络中断,因此需要对报文进行保护。
标准协议没有定义对OSPFv3的认证机制。因此OSPFv3报文中不会携带任何认证信息。
标准协议定义了通过IPSec机制来达到对OSPFv3报文认证的目的。
IPSec协议族是IETF(Internet Engineering Task Force)制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信双方在IP层通过加密与数据源认证等方式,来保证数据包在网络上传输时的私有性、完整性、真实性和防重放。
私有性(Confidentiality)指对数据进行加密保护,用密文的形式传送。
完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。
真实性(Data authentication)指认证数据源,以保证数据来自真实的发送者。
防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。
IPSec通过报文头认证AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)这两个安全协议来实现上述目标。
AH是报文头认证协议,主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,然而,AH并不加密所保护的数据报。
AH的数据加载在下面这些报文字段中:
- 版本号
- 报文头长度
- 报文长度
- 认证
- 协议
- 源和目的地址
- 可选项
ESP是封装安全载荷协议,它除提供AH协议的所有功能之外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。ESP协议允许对报文同时进行加密和认证,也可以只加密,或者只认证。
OSPFv3认证追踪
在OSPFv3认证追踪出现之前,OSPFv3只能使用IPSec进行认证。但是在一些特殊的网络环境中,比如移动自组网MANET(Mobile ad hoc network),IPSec很难部署和维护。基于上述原因,标准协议定义了OSPFv3认证追踪(Authentication Trailer for OSPFv3)来对OSPFv3进行认证保护。
OSPFv3认证是基于网络安全性的要求而实现的一种加密手段,通过在OSPFv3报文中增加认证字段对报文进行加密。当本地设备接收到远端设备发送过来的OSPFv3报文,如果发现认证密码不匹配,则将收到的报文进行丢弃,达到自我保护的目的。
根据认证的范围,可以分为以下几类:
区域认证
在OSPFv3区域视图下配置,对本区域的所有接口下的报文进行认证。
进程认证
在OSPFv3视图下配置,对本进程的所有报文进行认证。
接口认证
在接口视图下配置,对本接口的所有报文进行认证。
OSPFv3使用HMAC-SHA256对报文进行认证。HMAC-SHA256认证是通过将配置的密码进行HMAC-SHA256算法加密之后再加入报文中,提高密码的安全性。
OSPFv3在报文中携带认证信息,在报文头部携带认证类型,在报文尾部携带认证信息。
认证类型包括:
1:简单认证
2:密文认证
OSPFv3认证追踪组网应用
配置要求:
在同一网络中的多台设备,当配置的接口认证完全相同,才能建立OSPFv3邻居。
如果多台设备在同一个区域中,必须将区域认证配置成完全相同。
