29462011,Vol.32,No.9计算计机算工机程工与程设与设计计CoCmopmupteurteErnEgningeinereienrginagnadnDdeDsiegsnign基于可信计算技术的OSPF路由协议研究李兆斌1，韩挺2，池亚平1，方勇1(1.北京电子科技学院通信工程系，北京100070；2.西安电子科技大学计算机学院，陕西西安710071)摘要：为了解决目前路由安全方案中只对路由器身份进行认证，而未对路由器平台的完整性进行验证的问题，在基于LSU数字签名的OSPF协议基础上，借鉴可信计算的完整性度量思想，提出了一种新的可信路由协议TC-OSPF(OSPFbasedontru-stedcomputing)。分析了LSU数字签名过程，指出了在LSU签名过程中加入路由平台完整性度量的可行性，在此基础上设计了具有完整性度量功能的LSU报文结构。安全性分析表明，TC-OSPF协议不仅可以对路由器身份进行认证，同时也能对路由平台的完整性进行验证。仿真实验结果表明，TC-OSPF在保证了OSPF协议安全性的同时也兼顾了路由性能。关键词：安全路由;开放式最短路径优先协议;链路状态更新数据包;可信计算;完整性中图法分类号：TP393.03文献标识码：A文章编号：1000-7024(2011)09-2946-04StudyofOSPFbasedontrustedcomputingLIZhao-bin1,HANTing2,CHIYa-ping1,FANGYong1(1.DepartmentofCommunication,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,China;2.SchoolofComputerScienceandTechnology,XidianUniversity,Xi’an710071,China)Abstract：Inordertoslovetheproblemsonpresentedroutingsecuresolutionsonlytoresolvetheidentityauthentication,butnoresolvetheintegrityverification.Inordertoconquerlimitationsabove-mentioned,anewtrustedroutingprotocolisproposedthatisbasedontrustedcomputingandthedigitalsignatureOSPFusingLSU.ThenewprotocolcanbecalledTC-OSPF(OSPFbasedontrustedcom-puting).Firstly,theLSUdigitalsignatureprocessisanalysedandthefeasibilitycanbegivenforaddingtherouterplatformintegritymeasurementtotheLSUdigitalsignatureprocess.Then,LSUpacketisdesignedwhichcanmeasureintegrityofrouterplatform.ThesecurityanalysisshowsthatTC-OSPFcanresolvenotonlytheidentityauthentication,butalsotheintegrityverification.ThesimulationresultsshowthattheTC-OSPFcanachievethegoalofOSPFsecuritycompatiblewithroutingperformance.Keywords：securerouting;OSPF;LSUpacket;trustedcomputing;integrity带该LSA到达目的路由器，因此文献[7]提出了基于LSU报文0引言的数字签名改进方案。基于LSU的OSPF中的签名数据只包OSPF协议是一种广泛应用的内部网关协议，但OSPF协含了LSU的头部信息，从而避开了LSA数字签名方案中的庞议设计之初并没有过多考虑安全因素，只是采用了简单的认大数据信息，可以有效降低数字签名时的系统开销[8]。证方式[1-3]。在当前复杂的网络环境中，这种简单的认证方式上述各种采用数字签名保护的OSPF方案都只解决了路并不能够保证路由信息来源的准确性，已不能满足路由安全由器实体间的身份认证问题，并未考虑路由器平台完整性是的需求。否可信，即路由器的软硬件状态是否符合预期配置、是否被恶为解