专利名称:基于信任管理系统的ip路由协议的可信改造方法
技术领域:
本发明涉及通信技术领域,具体涉及一种基于信任管理系统的IP路由协议的可 信改造方法。
背景技术:
互联网的广泛使用对信息的安全保护提出了巨大挑战。路由协议用于在路由器间 分发关于网络拓扑的信息,路由器根据拓扑信息寻找到最佳路由,实现对网络中各种数据 包的转发。路由信息的正确与否严重影响着网络中报文传输的效率,甚至能够影响报文使 之无法到达目的地,严重时甚至会使整个网络陷于瘫痪。安全的路由协议是保证网络安全 的重要因素之一,因此对于路由协议的安全改造成为了当前研究的热点之一。OSPF协议是一种典型的链路状态路由协议,用于在一个自治系统内的路由器之间 传递路由消息并发布路由信息。使用OSPF协议的路由器之间彼此交换信息并保存整个网 络的链路状态信息到链路状态数据库中,从而根据链路状态数据库描绘出整个网络的拓扑 结构,计算出每个路由器以其自身为根节点的最短路径树,从而形成路由表。由于OSPF协 议具有优秀的网络可扩展性和快速汇聚的特点,目前已被广泛运用,但这并不代表OSPF协 议具有抵御恶意攻击的能力。OSPF协议的正确运行完全依赖于对于邻居路由器及其信息的 信任,但这种信任是盲目的,路由器不可避免地会传播偶然的或有预谋的错误路由信息,路 由协议本身存在着容易受攻击的安全漏洞。
发明内容
本发明所要解决的技术问题是提供一种基于信任管理系统的IP路由协议的可信 改造方法,该方法在OSPF协议基础上,对整个协议的工作过程进行适当的改造,在不影响 OSPF协议原有扩展性和快速汇聚性能的基础上,添加以信任值为评估机制的路由器之间 的信任评估策略,根据这一策略计算可信最短路径树,生成可信路由表。可信路由表中的 distance值融合了路由器之间的信任值。本发明提出的技术问题是这样解决的提供一种基于信任管理系统的IP路由协 议的可信改造方法,其实现过程包括以下步骤1)路由器申请注册入网路由器接入网之前需要向信任管理系统 (TrustManagementSystem)申请注册,获取自己的信任证书。2)路由器发送Hello消息探知邻居每个路由器需要得到所有邻居的信任证书, 并从中获取邻居的综合信任值,信任证书的载体是hello消息包,每个路由器设置一个计 时器,用来定时向邻居发送一次hello消息(消息中包括从信任管理系统TMS获取的信任 证书),从而来维持邻居间的邻接关系。3)计算对邻居路由器的总信任值每个路由器获取五个参数(链路流量、丢包率、 延时、包的转发率、包的可信度),计算出对邻居路由器的主观信任值,再与综合信任值计算 出总的信任值,总的信任值用来参与路由表的计算。
5
4)计算可信路由表路由协议的核心是计算路由表,在3)中已经计算出对邻居路 由器的总信任值,然后把总信任值填入R0uter_LSA的16bit的metric字段中,每个路由 器生成自身的R0uter_LSA,然后同步连接状态数据库,计算可信最短路径树,生成可信路由表。5)信任值定时更新路由器定期将本路由器中存储的各邻居路由器的主观信任 值上报给TMS,由TMS进行各路由器的信任值更新。
图1是信任管理系统TMS与路由器之间的整体系统架构图;图2是路由器申请注册入网并获取信任证书示意图;图3是信任值定时更新示意图;图4是路由器之间发送Hello消息维持邻接状态示意图;图5是路由器的数据库存储示意图;图6是总信任值计算过程示意图;图7是整个IP网路由协议的可信路由表改造方法的业务流程图。
具体实施例方式下面结合
和具体实施方式
,对本发明做进一步的详细说明。针对OSPF路由协议存在的容易受攻击的安全漏洞,本发明提出了一种相应的改 进方案一种基于信任值的IP网路由协议的可信路由表改造方法。图1是本方案中在路由 器之间以及路由器与信任管理系统之间使用信任值以及信任证书的核心机制。图7是本核 心机制在整个协议工作过程中所体现出来的业务流程。本发明适用于通用意义上的IP网络环境,发明中所提出的可信最短路径树以及 可信路由表的建立,将有效避免错误路由信息的传播,实现路由协议的可信改造。 1、实现过程需要的一些定义[定义1]信任证书由信任管理系统(TMS)对路由器的客观评价,对该路由器的信任程度的客观反 映,包含该路由器的信任值、信任有效期、应用类型等信任信息。信任证书与路由器的具体 行为和时间密切相关,是动态变化的,生命周期很短。信任证书将路由器标识和信任信息绑 定在一起,由信任管理系统(TMS)审核并签发。[定义2]信任证书的有效期限每个路由器的信任证书都有自己的有效期限,定期获取邻居路由器的信任证书, 如果收到邻居的信任证书过期,而没有重新收到新的信任证书,路由器则会解除与此邻居 的邻接关系。[定义3]综合信任值由信任管理系统(TMS)通过一定的模型计算而得出的每个路由器本身的一个信 任值,主要包括IDS数据,漏洞扫描数据,防火墙数据等。按照策略要求,定期启动安全设备 扫描域内各个路由器,获取这些数据。每个路由器在获取信任证书的同时,得到自己的综合 信任值,这个值用来让邻居计算对自己的总信任值,从而计算可信最短路径树和可信路由
6表。[定义4]主观信任值路由器通过一定的模型计算而得出的对邻居路由器的一个信任值,计算主观信任 值需要的参数有链路流量、丢包率、延时、包的转发率以及包的可信度。按照策略要求,路由 器定时修改计算主观信任值的五个参数以保持信息的可靠性和实时性。[定义5]总信任值路由器通过一定的模型将对邻居路由器的主观信任值和邻居自身的综合信任值 结合起来计算得到的信任值,总信任值用来参与可信路由表的计算。步骤1路由器申请注册入网,如图2所示1)路由器接入网之前需要向信任管理系统TMS申请注册;2)路由器在向信任管理系统申请注册的同时需要进行初始化操作,通过上报基本 配置信息获取初始信任值;3)信任管理系统TMS向申请注册入网的路由器发送确认信息,并颁发该路由器的 信任证书。步骤2信任值定时更新,如图3所示1)每个路由器都会实时对邻居路由器产生主观信任值,主观信任值是信任管理系 统TMS用来计算每个路由器的综合信任值的组成部分;2)每个路由器启动一个计时器,定期向信任管理系统TMS汇报对邻居路由器的主 观信任值;3)信任管理系统TMS通过一定的模型计算出综合信任值;4)信任管理系统TMS把新的信任证书发送给每个路由器,路由器得到信任证书之 后,通过hello消息将信任证书发给邻居,从而导致重新生成Router_LSA,重新同步连接状 态数据库,重新计算可信最短路径树,重新生成可信路由表,从而实现了信任值的更新。步骤3路由器发送Hello消息探知邻居,如图4所示1)路由器收到信任管理系统TMS颁发的信任证书后,将信任证书包含在Hello消 息包中发送给邻居由器;2)接收邻居路由器发送过来的Hello消息包,查看其中的信任证书及其有效期 限,信任证书存在并且仍然有效才能维持邻居关系,保证路由顺利进行,如果Hello包中没 有信任证书或者信任证书失效,则取消与该邻居的邻接关系;3)路由器从信任证书中获取邻居路由器的综合信任值,保存到存储数据库中;4)如果信任证书中的综合信任值有变化,则重新生成Router_LSA,重新同步连接 状态数据库,重新计算可信路由表。步骤4路由器的数据库存储,如图5所示1)路由协议中每个路由器有自己的存储数据库,除了路由协议中数据库的原始内 容外,还需要建立综合信任值表,计算邻居路由器的主观信任值所需要的五个参数(链路 流量、丢包率、延时、发送到邻居的包的转发率和接收来自邻居的包的可信度)。2)将路由器自身以及所有邻居路由器的Mac地址也都保存到数据库中,从而判断 数据包是从哪个邻居路由器发送过来的。步骤5计算对邻居路由器的总信任值,如图6所示
1)邻接路由器间信任值计算 T(i ^ j, t) = α nLinkstateT(i — j,t) + α 2iDirT(i ^ j, t)其中LinkstateTG — j, t)被指为t时刻路由器i到路由器j的链路信任值; DirT(i — j, t)表示t时刻路由器i对路由器j的直接信任值。2)链路信任值计算LinkstateT(i 一 j, t) = Compute_Trust(Throughput_Link, LossRatio_Link, Latency)其中ComputeJrustO函数是信任值计算函数(可根据具体情况来确定),此时里 面的参数分别是通信链路上的链路流量、丢包率和延时。3)路由器直接信任值计算DirT (i — j, t) = Compute_Trust (Throughput_Rj, LossRatio_Rj, Latency_Rj)其中ComputeJrustO函数是信任值计算函数(可根据具体情况来确定),此时里 面的参数分别是路由器Rj的链路流量、丢包率、延时。
步骤6计算可信路由表,整个流程如图7所示
1)每个路由器生成自身的Router_LSA;
2)将计算出的对邻居路由器的总信任值填入Router_LSA的16bit的metric字段
中;3)将加入了总信任值的Router_LSA加入到DD包中,与邻居路由器进行数据库交 换,同步连接状态数据库;4)在建立最短路径树时,修改Dijkstra算法,非邻接的路由器之间通过推荐信任 来计算信任值,最后建立可信最短路径树。计算可信最短路径树过程中可能会涉及到路由 表项的改变,及时更新路由表项;5)随着路由表项的不断更新最终生成可信路由表。
8
权利要求
一种基于信任管理系统的IP路由协议的可信改造方法。其特征在于在OSPF协议基础上,对整个协议的工作过程进行适当的可信改造,在不影响OSPF协议原有扩展性和快速汇聚性能的基础上,添加以信任值为评估机制的路由器之间的信任评估策略,根据这一策略计算可信最短路径树,生成可信路由表。可信路由表中的distance值融合了路由器之间的信任值。
2.如权利1所述的对OSPF路由协议工作过程的可信改造,其实现过程包括以下步骤1)路由器申请注册入网路由器接入网之前需要向信任管理系统(TrustManagement System)申请注册入网,获取自己的信任证书。2)路由器发送Hello消息探知邻居每个路由器需要得到所有邻居的信任证书,并从 中获取邻居的综合信任值,信任证书的载体是hello消息包,每个路由器设置一个计时器, 用来在信任证书的有效期限内定时向邻居发送一次hello消息(消息中包含从信任管理系 统TMS获取的信任证书),从而来维持邻居间的邻接关系。3)计算对邻居路由器的总信任值每个路由器获取五个参数(链路流量、丢包率、延 时、包的转发率、包的可信度),计算出对邻居路由器的主观信任值,再与综合信任值计算出 总的信任值,总的信任值用来参与路由表的计算。4)计算可信路由表路由协议的核心是计算路由表,在3)中已经计算出对邻居路由器 的总信任值,然后把总信任值填入R0uter_LSA的16bit的metric字段中,每个路由器生成 自身的Router_LSA,然后同步连接状态数据库,计算可信最短路径树,生成可信路由表。5)信任值定时更新路由器定期将本路由器中存储的各邻居路由器的主观信任值上 报给TMS,由TMS进行各路由器的信任值更新。
3.如权利2所述的信任证书、信任证书的有效期限、综合信任值、总信任值的特征为信任证书是信任管理系统(TMS)对路由器的客观评价,对该路由器的信任程度的客观反映。包含该路由器的信任值、信任有效期、应用类型等信任信息。信任证书与路由器的 具体行为和时间密切相关,是动态变化的,生命周期很短。信任证书将路由器标识和信任信 息绑定在一起,由信任管理系统(TMS)审核并签发。信任证书的有效期限每个路由器的信任证书都有自己的有效期限,路由器将定期获 取邻居路由器的信任证书,一旦邻居的信任证书过期,则解除与此邻居路由器的邻接关系。综合信任值由信任管理系统(TMS)通过一定的模型计算得出的每个路由器本身的一 个信任值,主要包括IDS数据,漏洞扫描数据,防火墙数据等。按照策略要求,定期启动安全 设备扫描域内各个路由器,获取这些数据。综合信任值通过信任证书传递,路由器通过与 TMS通信获得综合信任值,并通过信任证书使用hello消息传递给邻居,邻居路由器使用综 合信任值计算对该路由器的总信任值,从而计算可信最短路径树和可信路由表。主观信任值路由器通过一定的模型计算得出的对邻居路由器的一个信任值,计算主 观信任值需要的参数有链路流量、丢包率、延时、包的转发率以及包的可信度。按照策略要 求,路由器定时修改计算主观信任值的五个参数以保持信息的可靠性和实时性。链路流量路由器中单位时间内流过的数据包。丢包率每个路由器都有一个计数器,统计单位时间内发送给某个邻居的包Pa和某个 邻居接收到的包pk,丢包率代=^e-。延时每个数据包都有时间戳,用来计算到达邻居路由器所需的时间。包的转发率单位时间内路由器转发的来自邻居路由器的数据包与接收到的该邻居路 由器发送的所有包的比率。包的可信度设置一个策略,单位时间内接收到来自某个邻居路由器的包超过一定的 界限,则认为是攻击,将调整对该邻居路由器的信任值,降低该邻居路由器发送的数据包的 可信度。总信任值路由器通过一定的模型将对邻居路由器的主观信任值和邻居自身的综合信 任值结合起来计算得到的信任值,总信任值用来参与可信路由表的计算。
4.如权利2所述的路由器申请注册入网的特征为1)路由器接入网之前需要向信任管理系统TMS申请注册;2)路由器在向信任管理系统申请注册的同时需要进行初始化操作,通过上报基本配置 信息获取初始信任值;3)信任管理系统TMS向申请注册入网的路由器发送确认信息,并颁发该路由器的信任 证书。
5.如权利2所述路由器发送Hello消息探知邻居的特征为1)路由器收到信任管理系统TMS颁发的信任证书后,将信任证书包含在Hello消息包 中,向邻居路由器发送Hello消息;2)接收邻居路由器发送过来的Hello消息包,查看其中的信任证书及其有效期限,信 任证书存在并且仍然有效才能维持邻居关系,保证路由顺利进行,如果Hello包中没有信 任证书或者信任证书失效,则取消与该邻居的邻接关系;3)路由器从信任证书中获取邻居路由器的综合信任值,保存到存储数据库中;4)如果信任证书中的综合信任值有变化,则重新生成R0uter_LSA,重新同步连接状态 数据库,重新计算可信路由表。
6.如权利2所述计算对邻居路由器的总信任值的特征为1)邻接路由器间信任值计算T(i ^ j, t) = α nLinkstateT(i — j,t) + α 2iDirT(i ^ j, t)其中LinkstateT (i — j, t)被指为t时刻路由器i到路由器j的链路信任值; DirT(i — j, t)表示t时刻路由器i对路由器j的直接信任值。2)链路信任值计算LinkstateT(i 一 j, t) = Compute_Trust(Throughput_Link, LossRatio_Link, Latency)其中ComputejrustO函数是信任值计算函数(可根据具体情况来确定),此时里面的 参数分别是通信链路上的链路流量、丢包率和延时。3)路由器直接信任值计算DirT (i 一 j,t) = Compute_Trust (Throughput_Rj,LossRatio_Rj,Latency_Rj)其中ComputejrustO函数是信任值计算函数(可根据具体情况来确定),此时里面的 参数分别是路由器Rj的链路流量、丢包率、延时。
7.如权利2所述计算可信路由表的特征为1)每个路由器生成自身的Router_LSA ;2)将计算出的对邻居路由器的总信任值填入Router_LSA的16bit的metric字段中;3)将加入了总信任值的R0uter_LSA加入到DD包中,与邻居路由器进行数据库交换,同 步连接状态数据库;4)在建立最短路径树时,修改Dijkstra算法,非邻接的路由器之间通过推荐信任来计 算信任值,最后建立可信最短路径树。计算可信最短路径树过程中可能会涉及到路由表项 的改变,及时更新路由表项;5)随着路由表项的不断更新最终生成可信路由表。
8.如权利2所述的信任值定时更新的特征为1)每个路由器都会实时对邻居路由器产生主观信任值,主观信任值是信任管理系统 TMS用来计算每个路由器的综合信任值的组成部分;2)每个路由器启动一个计时器,定期向信任管理系统TMS汇报对邻居路由器的主观信 任值;3)信任管理系统TMS通过一定的模型计算出综合信任值;信任管理系统TMS把新的信任证书发送给每个路由器,路由器得到信任证书之后,通 过hello消息将信任证书发给邻居,从而导致重新生成Router_LSA,重新同步连接状态数 据库,重新计算可信最短路径树,重新生成可信路由表,从而实现了信任值的更新。
全文摘要
本发明公开了一种基于信任管理系统的IP路由协议的可信改造方法,该方法包括以下步骤①每个路由器加入网络之前,需要向信任管理系统注册,信任管理系统发送对应的信任证书给路由器。②路由器之间通过hello消息传递信任证书,没有信任证书的路由器不被建立邻接关系,保证网络中的所有路由器都有自己的信任证书。每个路由器建立数据库,保存综合信任值、计算主观信任值所需要的参数、主观信任值以及所有邻居路由器的MAC地址。③把综合信任值和主观信任值输入一个模型计算路由器对邻居路由器的总信任值,修改链路状态通告Router_LSA包的metric字段为总信任值。④同步连接状态数据库,在建立最短路径树时,修改Dijkstra算法,非邻接的路由器之间通过推荐信任来计算信任值,最后建立可信最短路径树,形成可信路由表。⑤每个路由器定期向信任管理系统上报对邻居路由器的主观信任值,同时获取计算主观信任值所需要的参数,定时更新每个路由器的信任证书,将信任证书过期的路由器剔除出网络,从而维护整个网络拓扑结构。
文档编号H04L29/06GK101888328SQ201010115699
公开日2010年11月17日 申请日期2010年3月2日 优先权日2010年3月2日
发明者孙斌, 李道丰, 杨榆, 谷利泽, 郑世慧, 郭玲玲, 钮心忻, 陈波 申请人:北京邮电大学