LDP安全机制

LDP安全机制
为了提高LDP报文的安全性，MPLS提供了三种保护机制：LDP MD5认证、LDP Keychain认证和LDP GTSM。
LDP Keychain认证是比LDP MD5认证更安全的加密认证，对于同一邻居，只能选择其中一个加密认证；而LDP GTSM用来防止设备受到非法LDP报文的攻击，其可以与前面两个配合使用。
LDP MD5认证
MD5（Message-Digest Algorithm 5）是RFC1321定义的国际标准摘要密码算法。MD5的典型应用是针对一段信息计算出对应的信息摘要，从而防止信息被篡改。MD5信息摘要是通过不可逆的字符串变换算法产生的，结果唯一。因此，不管信息内容在传输过程中发生任何形式的改变，只要重新计算就会产生不同的信息摘要，接收端就可以由此判定收到的是一个不正确的报文。
LDP MD5应用其对同一信息段产生唯一摘要信息的特点来实现LDP报文防篡改校验，比一般意义上TCP校验和更为严格。其实现过程如下：
（1）LDP会话消息在经TCP发出前，会在TCP头后面填充一个唯一的信息摘要再发出。而这个信息摘要就是把TCP头、LDP会话消息以及用户设置的密码一起作为原始信息，通过MD5算法计算出的。
（2）当接收端收到这个TCP报文时，首先会取得报文的TCP头、信息摘要、LDP会话消息，并结合TCP头、LDP会话消息以及本地保存的密码，利用MD5计算出信息摘要，然后与报文携带的信息摘要进行比较，从而检验报文是否被篡改过。

在用户设置密码时有明文和密文两种形式选择，这里的明文密文是对用户设置的密码在配置文件中的记录形式而言的。明文就是直接在配置文件中记录用户设置的字符串，密文就是在配置文件中记录经过特殊算法加密后的字符串。但无论用户选择密码记录形态是明文还是密文形式，参与摘要计算时都是直接使用用户输入的字符串，也就是说加密算法计算出的密码并不会参与MD5摘要计算。由于明文和密文的转化算法各厂商私有，此种实现做到了转换算法对其他厂商设备透明。

LDP Keychain认证
Keychain是一种增强型加密算法，类似于MD5，Keychain也是针对同一段信息计算出对应的信息摘要，实现LDP报文防篡改校验。
Keychain允许用户定义一组密码，形成一个密码串，并且分别为每个密码指定加解密算法（包括MD5，SHA-1等）及密码使用的有效时间。在收发报文时，系统会按照用户的配置选出一个当前有效的密码，并按照与此密码相匹配的加密解密算法以及密码的有效时间，进行发送时加密和接收时解密报文。此外，系统可以依据密码使用的有效时间，自动完成有效密码的切换，避免了长时间不更改密码导致的密码易破解问题。
Keychain的密码、所使用的加解密算法以及密码使用的有效时间可以单独配置，形成一个Keychain配置节点，每个Keychain配置节点至少需要配置一个密码，并指定加解密算法。

LDP GTSM
通用TTL安全保护机制GTSM（Generalized TTL Security Mechanism）是一种通过检查IP报文头中的TTL值是否在一个预先定义好的范围内来实现对IP业务进行保护的机制。使用GTSM的两个前提：
    设备之间正常报文的TTL值确定
    报文的TTL值很难被修改
LDP GTSM是GTSM在LDP方面的具体应用。
GTSM通过判定报文的TTL值，确定报文是否有效，从而保护设备免受攻击。LDP GTSM是对相邻或相近（基于只要跳数确定的原则）设备间的LDP消息报文应用此种机制。用户预先在各设备上设定好针对其他设备报文的有效范围，使能GTSM，这样当相应设备之间应用LDP时，如果LDP消息报文的TTL不符合之前设置的范围要求，设备就认为此报文为非法攻击报文予以丢弃，进而实现对上层协议的保护。