可信路由技術解析
加入技術交流群
(1)空間隔離保護
應區分接入網和核心網,分別引入不同的標志空間,在核心網和接入網間部署邊界路由設備,提供基于標志的映射服務,從而使路由規模的變化獨立于用戶網絡規模的大小,使網絡具有更好的可擴展性,同時充分保證核心網絡設備的安全。
(2)身份與位置分離
應將節點的身份與位置信息分離,建立全網統一的身份與位置映射機制,實現映射信息安全、快捷的在線管理,實現節點位置的隱私性保護以及節點移動情況下的持續連接,從而滿足用戶越來越強的移動性以及隱私性需求。
應采用必要的身份鑒別機制以及路由消息的安全傳輸機制,確保路由節點的身份的真實性,路由可達性信息的保密性、完整性;實現網絡路由節點間多路機制,同時應提供路由的備份以及快速恢復能力,從而使網絡具有更加安全可靠的服務能力。
(4)服務質量保證
應采用集中和分布式相結合的方式,充分提取網絡資源利用狀態,針對不同的業務應用及其服務質量需求,提供滿足需求的更高粒度區分的路由。
(5)網絡安全防護
應建立健全全網分布式安全檢測防護系統,實現網絡傳輸和網絡狀態的綜合分析,同時提供一定的網絡錯誤診斷能力和行之有效的安全管理機制及策略,使網絡路由機制具有更好的可控可管性。
3 可信路由參考機制
3.1 可信路由體系結構模型
基于以上對可信路由理論技術的研究,本節提出了一種可信路由體系結構模型,新結構采用不同的網絡標志分別代表主機的身份信息和位置信息,并且把原IP網的單一地址空間劃分為兩個不同的標志空間,兩個標志空間內分別采用不同的路由方式,并形成相對獨立的路由空間,兩個標志(路由)空間之間通過標志映射的方法完成尋址和選路。新網絡結構劃分為接入網和核心網,包含兩種標志:接入標志和交換路由標志。接入標志代表了終端的身份信息,只能在接入網使用,而交換路由標志代表了終端的位置信息,只能在核心層使用。新路由體系結構采用“間接通信”模式連接兩個標志空間:在接入網采用接入標志轉發數據,而在核心網采用內部的交換路由標志替代接入標志轉發;接入網負責各種通信終端的接入,核心網進行控制管理和交換路由。新可信路由體系結構如圖1所示。
在上述的可信路由體系結構參考模型中,接入網與核心網的分離,使得接入網的動態變化不會出現在的核心網上,保證了核心網的相對穩定;接入網的多家鄉、流量工程等也不會引起核心網的路由表的增長和不穩定。代表用戶身份的接入標志不會在核心網上傳播,使得其他用戶不能通過截獲核心網的信息分析用戶的身份,保證了用戶身份的隱私性;也不可能通過用戶的身份來截獲他們的信息,保證了用戶信息的安全性。同時,接入網內的終端無法知道核心網內的網絡設施的交換路由標志或是其他終端的交換路由標志;接入網內的終端也就無法針對核心網的網絡設施或是某一終端進行攻擊,保證了核心網網絡設施和數據的安全性。新路由結構仍分為域內路由和域間路由兩部分。
3.2 可信域內路由
新可信路由體系結構域內路由采用集中式和分布式路由相結合的方式,如圖2所示。在每個域內用一個可信路由管理服務器作為集中可信路由管理層;其他基礎網絡設備組成分布式交換路由層。交換路由層除運行傳統的鏈路狀態協議外進行路由轉發外,還通過全局流標簽的轉發的方式進行轉發。
可信路由管理服務器和交換路由器組成公鑰基礎設施(PKI)結構,可信路由管理器作為可信第三方,負責認證域內的交換路由器的認證,并分配公私鑰。交換路由器之間通過簽名機制對路由通告相互認證。可信路由管理服務同時收集域內的網絡狀況,為相應的數據流分配全局流標簽,同時在相應的交換路由上建立起流標簽轉發表,使數據路在轉發路徑上快速轉發。這種方式保留了傳統單路徑路由的路由尋址方式的同時,增加了域內網絡資源的統一調度和管理機制,可以為不同的數據流在不同的條件下,建立不同的轉發路徑,避免網絡擁塞,保證服務質量,增加網絡的可用性,保證了網絡的可控可管性。
3.3 可信域間路由
新可信路由體系結構域間路由采用的是基于自認證(Self-certifying)的自治域號的多路徑路由方式,如圖3所示。因為域間路由更多的是體現了自治域之間的商業競爭關系,無法建立起基于可信第三方的PKI結構,采用基于自認證的自治域號路由就很好的解決地址欺騙的問題。每個域的自治域號為其公鑰的Hash值,通過這種命名體系,保證了地址的不可欺騙、抵賴性。再建立起互信后,每對互信自治域之間再建立基于私鑰體制的后續通告加密算法,這樣可以加快解密的效率。
路由的通告路徑時,每個自治域根據策略可通告多條路徑,保證每個自治域的獨立性和路由的可控制性。通告中包含完整的路徑信息,保證了豐富的路由策略。每個域建立多路徑的轉發表,發送端通過源路由的方式進行域間選路。發送數據前,發送端的可信路由管理通過可信路由管理層與路徑上的其他域內的可信路由管理器協商服務等級、流量等消息。同時在每個包頭加入認證消息,用作去其他域的授權和認證數據包。
4 可信路由關鍵技術研究
4.1 映射可擴展技術
接入網與核心網分離以及節點身份與位置分離縱然使得網絡路由機制得到良好的可擴展性,但大量接入標志和交換路由標志的映射信息的存儲及維護無疑帶來了映射系統自身的可擴展性問題。解決好大規模映射信息存儲,更新頻率以及查詢時延等問題,仍是未來可信路由需要研究的關鍵技術之一。
評論