解説書 Vol.1

[目次][用語][索引][前へ][次へ]


8.5.6 認証

OSPFでは,ルータ間の経路情報の交換時に情報を送信したルータが同じ管理下にあることを検証するために,認証を使用できます。認証を使用することで,OSPFの経路情報を送信されることによる経路制御上の攻撃から,認証管理下にあるルータを保護できます。認証方式には,平文パスワードによる認証とMD5による認証があります。

<この項の構成>
(1) 平文パスワード認証
(2) MD5認証

(1) 平文パスワード認証

平文パスワード認証では,第一認証鍵と第二認証鍵を定義することができます。経路情報の送信時は,認証鍵をそのままパスワードとして埋め込んで送信します。このとき,パスワードとして使用する認証鍵は第一認証鍵です。経路情報の受信時は,両方の鍵を使用します。経路情報中のパスワードと,定義してある認証鍵のどれかが一致した場合,認証に成功したとみなします。認証に失敗した情報は破棄します。

(2) MD5認証

MD5認証では,経路情報に基づくMD5アルゴリズムによるメッセージダイジェストを比較することで,情報を認証します。MD5認証のデータフローを次の図に示します。

図8-39 MD5認証のデータフロー

[図データ]

経路情報の送信時には,認証鍵,認証鍵のID,および経路情報自体から,MD5ハッシュアルゴリズムを使用してメッセージダイジェストを生成し,これを経路情報とともに送信します。送信時の認証鍵には,現在の時刻を送信有効期間に含んでいる認証鍵を使用します。現在の時刻を送信有効期間に含む認証鍵が複数ある場合,送信有効開始時刻が現在時刻に最も近い認証鍵を使用します。有効な認証鍵が一つも存在しない場合は,最後に有効だった認証鍵を継続して使用します。

経路情報の受信時には,現在の時刻を受信有効期間に含んでいる認証鍵のうち,経路情報中に含まれる認証鍵のID番号と同じID番号の認証鍵をすべて試します。この認証鍵を使用し,送信時と同様の手順を経てメッセージダイジェストを生成し,どれかの認証鍵から生成したメッセージダイジェストが経路情報とともに受信したメッセージダイジェストと一致した場合,認証に成功したとみなします。受信した情報について有効な鍵をすべて使用しても認証に成功しなかった場合は,この情報の認証に失敗したものとみなします。認証に失敗した情報は破棄します。

認証鍵の定義には,認証鍵自体と,認証鍵のID番号を必ず指定します。さらに,認証鍵に時刻の制限が必要な場合は受信有効期間および送信有効期間をそれぞれ開始時刻と終了時刻で定義できます。

[目次][前へ][次へ]


[他社商品名称に関する表示]

Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.