专利名称:一种路由器的可信改造方法
技术领域:
本发明涉及IP网络的通信安全领域,特别是涉及一种路由器的可信改造及流量 控制方案。该方法根据IP网络中的IP数据包包头字段携带的信任值信息,对网络中的IP 数据包进行标记,分类,排队和必要的丢包等操作,以保证网络的安全和可信。
背景技术:
随着信任特别是信任管理技术研究的不断升温,网络安全正向着网络可信方向发 展,未来网络安全是增加行为可信的可信网络,这也是网络安全研究领域近年来取得的一 个新的共识。信任管理技术通过对信任关系特性、信任模型和信任关系的维护手段的研究, 试图通过网络交互达到传统交互手段同样的信任水平。信任是简化IP网络中复杂的信任 关系管理问题的有效手段,信任关系建模和管理技术解决了 IP网络应用中自主实体之间 的信任关系的建立、维护和管理的问题,并利用信任和信誉机制规范了分布式应用中的实 体行为,达到了信任、激励和惩戒的作用。目前对于信任管理技术的研究还仅仅停留在建模与优化的阶段,并没有出现一个 比较具有现实意义的信任管理基础设施的方案与实现,来满足网络的安全与信任需求。特 别是对于网络中最重要的物理连接设备——路由器,目前并没有一个将信任管理这个新的 研究方向和思路用于路由器以保证网络在连接和传输过程中的安全可信的方案。在此实际情况下,将信任管理用于路由器和网络的安全可信保障上,研究通过信 任管理基础设施,保证网络中的路由器之间的可信,继而通过这些可信路由器之间的通信 建立可信路由,从而保证整个网络中路由的可信和数据包的可信。这是本发明试图解决的 问题。
发明内容
本发明主要解决的问题在于提供一种路由器的可信改造方法。主要基于IP网络 中的IP数据包包头字段携带的信任值信息,对网络中的IP数据包进行标记,分类,排队和 必要的丢包等操作,优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主 动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,从而使 整个网络更加可信、安全。为部署本发明提供的这种可信路由器,将每一个城域网设定为一个信任域,对于 特大型的城域网,可以将它划分为多个信任域。每个信任域的包含接入层路由器、汇聚层路 由器和核心层路由器。可信路由器主要工作于用户接入层和汇聚层。为保证网络的传输速 度,网络的核心层不进行相关的信任与流量控制工作,只负责包的交换和转发。所述信任域中除了现有IP网络的控制中心之外,需要加入一个信任管理系统中 心(TrustManagement System,TMS)。TMS的主要职能是管理域内所有可信路由器及其他安 全设施,为其授权和相互间信任关系进行定义与更新,主要形式是信任证书。所述信任证书是由TMS分发的,针对每一个设备的特制证书。它的主要内容包含
3设备ID、所属信任域、身份、信任值、证书认证机构、证书签名等主要内容。证书中携带的信 任值是定期更新的,并且与设备在网络中的行为有关。由设备定期向TMS下载。所述可信路由器上运行的是由Linux系统进行裁剪之后的特制系统。可信路由器 之间通过改造的可信路由协议建立邻接关系,并与TMS进行注册挂接和通信保持。所述可信路由器主要包含两部分信任控制块(Trust Control Block, TCB)部分 和路由与流量控制块(Rout ing and Traffic Control, RTCB)部分。所述信任控制块(TCB)部分,用于信任策略的形成。采集当前网络性能与网络实 时状况参数,与路由协议部分和TMS进行交互,接受路由协议和TMS以及本地控制台的实时 控制命令,融合成具体的信任策略,指挥可信路由器的流量控制与路由。所述信任策略,用于反映本地路由器对于到达本地的网络数据包的可信度的认 可。它的形成主要基于数据包的源端结点和目的结点在网络中的既往历史行为(由TMS提 供)、上一跳邻接路由器与其本身的既往历史协作行为(由本地和可信路由协议提供)、以 及网络当前状况(由TMS提供)等三个方面。它用于具体指挥可信路由器的路由与流量控 制。所述路由与流量控制块(RTCB)部分,用于进行具体的路由与流量控制的实施,达 到优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,主动地延迟或丢弃信 任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素等最终设计目标。其主要包 括报分标记、报分分类、报分排队和丢包管制四个子模块。
下面结合附图和具体实施方式
,对本发明做进一步的详细说明。附图1是本发明的总体结构图。附图2是本发明的信任策略形成图。附图3是本发明的排队队列示意图。
具体实施例方式附图1是本发明的总体结构图。所述信任控制块(TCB)部分的网络测量与流量监 测子模块,主要是针对与此路由器建立邻接关系的路由器,参数主要包括端到端可达性、 端到端延迟、端到端丢包率、吞吐率、链路流量等。这些参数使用fping工具和ntop以及 linux本身提供的IP统计功能等来获取。得到这些参数之后,路由器保留一份在本地,并定 期将其上传给TMS供TMS和本路由器的邻居路由器在需要的时候使用。附图2是本发明的信任策略形成图。所述信任控制块的信任策略,用于向可信路 由器发布具体的路由策略,指挥其进行流量控制与路由。它主要根据数据包的来源、上一跳 路由器、下一跳路由器、目的用户以及数据包协议,根据这五方在网络中过往行为的记录, 动态调整本地路由器应该对此类数据包进行转发时的控制策略。所述可信路由器的流量与路由控制部分用于可信路由器具体实施对到达的数据 包的进栈、路由、出栈、排队等的控制。基于IP网络IPv4数据包包头服务类型(Type of Service, T0S)字段或者IPv6数据包的通信类别(Traffic Class, TC)字段携带的信任值 进行流量控制。包头的信任值在数据包由用户主机经过接入层路由器进入网络时,由接入 层路由器进行初始化。所述包含信任值的IP数据包到达可信路由器之后,可信路由器依据其信任值和该包的来源按照信任策略的指导进行信任值的动态调整,并依据信任值的高低由可信路由 器进行相关的报文分类、入队管理、队列调度以及可能的丢包管制操作。这部分的功能主要 是利用iproutd工具包来实现和操控的。所述可信路由器的报文标记子模块,用于对进入路由器的IP数据包,依据本地路 由器对其来源路由器的信任策略,对数据包包头的信任值字段进行必要的调整和修正,将 本地认可的信任值写入其中,表现出本地路由器对该数据包可信程度的判断。此部分的实 现由C代码实现,利用netfilter提供的框架,将数据包从内核空间钩到用户空间,读取本 地信任策略,修改信任值,写回数据包IP包头,重新计算数据包校验和,并重新传回内核空 间进行数据包的转发。所述报文分类模块是对进入路由器的IP数据包进行分类处理的程序。其采用U32 分类器对到达的IP数据包进行指定字段的匹配(源MAC地址,源目的地址,源端口,目的地 址,目的端口,T0S字段等),按照预先制定的信任策略将不同信任值的IP数据包送入不同 的队列,供丢包管制与报文排队子模块进行处理。所述丢包管制模块主要的功能是为了防止网络中可能出现的拥塞,在出口流量队 列中采取的一种基于RED的提前丢包算法,通过主动地提前地丢包行为,将网络中信任值 较低的IP数据包以一定的比率丢弃掉,以减少网络负载,降低网络拥塞出现的可能,优先 保证信任值高的IP数据包的通过和最终到达目的地,使得网络更加安全可信。所述队列管理模块的主要功能是依据信任值调整IP数据包的出队顺序,主要实 现设置N个优先级不同的出口队列,在数据包分类之后,将信任值高的数据包放入出口优 先级高的队列中;同时还实现在优先权相对较低的队列中进行RED算法的主动丢包。附图3是可以采用的一种数据包排队机制示意。比如,在实现IPv4的网络时,利 用IP包头的T0S字段的前三位的优先级字段,将数据包分为3大类8小类。信任值为6-7 的数据包输入信任值较高的大类,3-5的属于中等的大类,0-2的数据较低的大类。将信任 值最高的6和7的数据包过滤至附图中最上面的类1:21,为了防止这个类过度的消耗带宽 资源而饿死其他队列,在这里采用一个令牌桶(TBF)队列规定对其限速。将信任值为3-5 和0-2的数据包分别放入1:31和1:40这两个类。这两个类和前面的1:21三个类是一个 优先权队列规定,1 21最高,1 40最低,1 31居中。而1 31和1 40这两个队列分别是两个 GRED队列规定,他们各自配置了三个虚拟队列,对应各种的三类不同信任值的数据包。这 样,在每一个GRED类中实现针对信任值不同而丢包概率不同的RED丢包算法。在出队队列 的平均队列长度在RED算法的最小阀值和最大阀值之间时,信任值与数据包被丢弃的概率 成反比,信任值越高的数据包被丢掉的概率越小。当然,随着本地CLI命令,路由协议以及TMS的通信,他们都可以对路由器的流量 控制行为进行调整,表现在信任策略的形成上,从而影响路由和包转发的具体实施。并且,队列管理还可以有其他的算法可供选择,这里只是举出一个示意图。只要达 到最终使得优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延 迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,使整个网络更 加可信、安全的目标即可。
权利要求
一种基于信任值的路由器的可信改造方法,其特征在于针对数据包包头携带的信任值及路由器的信任策略,能够优先保证信任值较高的数据包的传输速度和可靠性,并会主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素。
2.如权利1所述的路由器的可信改造方法,其特征在于其在普通路由器的基础之上, 有一个信任控制模块,该模块负责管理与域中的信任管理系统(TMS)、可信路由协议和本地 控制的通信接口,并组织融合成信任策略,以指挥具体的路由决策与实施;同时还负责监测 网络的实时状况,探测各项网络参数,并向路由协议和信任管理中心定期汇报。
3.如权利1所述的路由器的可信改造方法,其特征在于其上运行的经过改造的可信路 由协议。
4.如权利1所述的路由器的可信改造方法,其特征在于路由器的完整的包转发过程包 括报文标记、报文分类、丢包管制和报文排队四个步骤,并且这四步都受到信任控制模块和 信任策略的控制。
5.如权利4所述的报文标记方案,其特征在于对到达的数据包,将根据信任策略更新 其报文的信任值,即TOS字段(IPv4)或者TC字段(IPv6)。
6.如权利4所述的报文分类方案,其特征在于到达的不同信任值的数据包根据信任策 略被分到不同的流对应的类中。
7.如权利4所述的丢包管制方案,其特征在于不同信任值等级的数据包丢包的概率不 同,丢包只有在队列长度达到一定的阈值时才进行,且信任值等级越低,丢包概率越大。
8.如权利4所述的报文排队方案,其特征在于不同信任值等级的数据包出队的顺序和 速度不同,信任值等级越高的数据包,优先级别越高。
全文摘要
一种基于信任值的路由器的可信改造方法,主要针对IP数据包包头中的ToS字段(IPv4)或者TC(IPv6)字段携带的信任值和该包的来源,按照信任策略的指导进行信任值的动态调整,并依据信任值的高低由路由器进行相关的报文分类、入队管理、队列调度以及可能的丢包管制操作,目的是优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,从而使整个网络更加可信、安全。
文档编号H04L29/06GK101808031SQ20101011568
公开日2010年8月18日 申请日期2010年3月2日 优先权日2010年3月2日
发明者孙斌, 李道丰, 杨义先, 杨榆, 毛元奎, 谷利泽, 郑世慧, 陈波 申请人:北京邮电大学