通过思科路由器提高OSPF安全性2

通过思科路由器提高OSPF安全性2

　消息摘要认证相对来说，要比简单密码认证安全的多。因为消息摘要认证是加密的认证。再每一个路由器上都配置一个密钥与一个密钥ID。如果路由器采用OSPF协议的话，则其就会采用一个基于OSPF的算法，并结合密钥、密钥ID来创建一个消息摘要。然后路由器会把这个消息摘要加入到OSPF分组的后面。很简单密码认证不同，不需要再链路上交换密钥。如此的话，即使不法攻击者有链路分析工具的话，也无法取得这个密钥信息。为此，可以有效提高这个密钥的安全性。消息摘要认证主要广泛用于操作系统、网络设备的登陆认证上，如Unix、各类BSD系统登录密码、数字签名等诸多方，或者思科的网络设备中。如在UNIX系统中用户的密码是以消息摘要认证经哈希运算后存储在文件系统中。当用户登录的时候，系统把用户输入的密码进行消息摘要认证与哈希运算，然后再去和保存在文件系统中的消息摘要认证值进行比较，进而确定输入的密码是否正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。在思科路由器等网络设备中，身份认证过程也是如此。这就可以避免用户的密码被具有系统管理员权限的用户知道。消息摘要认证将任意长度的“字节串”映射为一个128bit的大整数，并且是通过该128bit反推原始字符串是困难的，换句话说就是，即使你看到源程序和算法描述，也无法将一个消息摘要认证的值变换回原始的字符串，从数学原理上说，是因为原始的字符串有无穷多个，这有点象不存在反函数的数学函数。所以，要遇到了消息摘要认证密码的问题，比较好的办法是：你可以用这个系统中的消息摘要认证函数重新设一个密码，把生成的一串密码的Hash值覆盖原来的Hash值就行了。而不用去想着如何破解。破解基本上是不可能的。除非你的运气真的特别好，给你蒙对了。可以说，消息摘要认证被破解比中500万的几率还要小500万倍。所以，消息摘要认证比简单密码认证安全程度要高的多。