专利名称:一种基于信任度的QoS路由选路方法
技术领域:
本发明涉及一种网络传输中的安全可信要求及提供适当的QoS服务的路由系统 选路方法的研究,尤其涉及一种基于信任度的QoS路由选路方法,属于网络通信中路由方 法技术领域。
背景技术:
网络技术和应用的飞速发展使得互联网的普及程度越来越高,互联网内容的共享 度也越来越高,但与此同时对路由器的转发处理也提出了更高的要求,网络的高共享度也 带来了一些不安全的因素,例如系统的用户未经授权却取得了本该对其隐藏的信息;安全 机制被绕过;用户假扮其他授权用户的行为,责任被归咎于错误的人;在通信线路上侦听 从而获得机密性数据;节点间通信的数据遭到破坏等,在路由节点之间引入信任度的概念 可以在路由器的转发过程中减少一些不安全因素的发生。
发明内容
本发明所要解决的技术问题是针对上述背景技术中存在的网络不安全因素,提出 一种基于信任度的QoS路由选路方法,提供在复杂网路环境下的较为安全可信的分组转发 及提供一定的QoS服务,实现路由器按照分组所属业务类型进行选路。本发明为了解决上述技术问题采用以下技术方案
一种基于信任度的QoS路由选路方法,该方法包括节点的加入退出、报文的传输、信任 度的计算、路由表的结构设计;
其中节点的加入退出的路由协议采用距离向量协议,每个节点通过和相邻节点通信来 得到网络中其余节点的信息;
报文的传输过程采用分拆和组装的形式,将不同部分的报文通过不同的路径转发; 信任度的计算过程中每个节点只负责将报文转发给自己的邻居节点,并只对自己的邻 居节点进行信任度的搜集评估;
路由表的结构为目标节点、下一跳节点、下一跳节点可信度及路径长度;其中在下一 跳节点可信度的要求中加入QoS指标。进一步的,本发明的基于信任度的QoS路由选路方法中节点的加入退出的具体步 骤为
节点的加入;
当网络中某节点加入时,该节点首先向其相邻节点发送路由信息,相邻节点再将它们 自身的路由信息发送给该节点,然后这些相邻节点再把该节点的路由信息发送给它们的相 邻节点,从而将路由更新信息扩散; 节点的退出;
当网络中某节点希望退出时,该退出节点先将离开信息发送给自己的相邻节点,相邻 节点接收到该离开信息,首先将自己路由表中该离开节点的路由信息设为0,同时将该退出节点的离开信息相继发送到其余的相邻节点;
其余的每个相邻节点在收到该退出节点的离开信息时,首先将忽略所有关于该节点的 路由信息,直至该节点发现跟自己相邻的节点一段时间没有响应,则认为该节点已退出,然 后将该退出节点的离开信息传播给自己的其余相邻节点。进一步的,本发明的基于信任度的QoS路由选路方法中报文的分拆和组装的具体 步骤为将报文在发送端按固定长度分拆成数条,按照选路要求独立选路分别转发,再在接 收端进行报文组装;
接收端收到报文返回确认报文至发送端,如果接收端检测到存在报文丢失或报文被篡 改而无法还原,则通知发送端重新传输丢失的报文。进一步的,本发明的基于信任度的QoS路由选路方法中信任度的计算包括接收方 信任度计算模式和发送方信任度计算模式;
A,接收方信任度计算模式中,信任度的搜集和评估由信息接收方完成,具体的过程
为
信息发送方在发送信息时采用MD5算法对报文进行信息摘录,并对摘录信息进行加 密,将加密后的摘录信息随原文一同发送;
信息接收方解密摘录信息后进行摘录验证;如果验证结果显示该信息路径中存在恶意 节点对信息篡改,信息接收方将此次交互视为失败并更新其上一跳节点的信任度矢量,同 时路径上所有节点都对其上一跳节点的信任度矢量进行更新;
B,发送方信任度计算模式,信任度的搜集和评估由信息发送方完成,具体的过程为 信息接收方在接收到信息发送方的信息后将该信息转发,若该信息路径中存在恶意节 点,即信息接收方没有将该信息转发,信息发送方在规定时间内未收到信息接收方返回的 确认报文,则信息发送方将此次交互视为失败并更新下一跳节点信任度矢量,同时路径上 所有节点都对该下一跳节点信任度矢量进行更新。本发明的基于信任度的QoS路由选路方法中路由表与传统的路由表设计基本一 致,分为如下四项目标节点、下一跳节点、下一跳节点可信度、路径长度,此外路由表将所 有能够到达的目标节点路径的下一跳节点全部列出,下一跳节点路径选择根据可信度在所 有可达路径中随机选择,本方法中可信度主要包括所传分组业务类型的识别、时延、带宽等 指标,利用相关的业务识别的算法对IP协议TOS字段进行约定,路由器根据约定优先按照 可信度随机选路;例如对于语音类业务,优先分配时延较小的路径进行转发;节点在发送 信息前首先根据信任度来随机选择下一跳节点,并在发送报文中加入源节点到目的节点的 路径信息,中间节点收到消息后以同样的方式进行消息转发,同时将自身节点名加入传输 路径,为了防止出线循环路由,若发现下一跳节点与收到的路径信息中节点重合,则重新选 择下一跳节点;
本发明采用以上技术方案具有以下技术效果
第一,为了防止中间节点成为恶意节点,报文的转发过程采用分拆和组装的形式,将不 同部分的报文通过不同的路径转发,则即使存在恶意节点也很难收集全部报文,提高了转 发的安全性;
第二,报文的分拆和组装可以有效的防止恶意节点的窃听;
第三,信任度的计算模型中每个节点只对自己的邻居节点进行信任度的搜集评估,并不将邻居节点的信任度信息扩散出去;
第四,为了抑制反弹效应和防止恶意节点反复加入退出网络破坏网络可用性,每个节 点在收到某节点退出消息的一段时间内,将忽略所有关于该节点的路由信息;
第五,在发送方信任度计算模式,可有效抑制路由失效及恶意节点伪造ACK报文。第六,路由表的设计在可信度要求中加入业务类型的识别,业务带宽的需要等QoS 指标,从而提供一定的QoS服务。综上所述,本发明可以在复杂的网络环境下让路由器根据下一跳的信任度、路径 长度、业务带宽等做出安全性较高、有一定服务保证的选路。
图1是基于信任度的QoS路由系统的框图及路由表项。图2是节点加入过程图。图3是节点退出过程图。图4是节点定期检测示意图。图5是报文分拆传输示意图。
具体实施例方式下面结合附图对本发明做进一步的详细解释
如图1所示,本方法适用于对分组转发有一定安全要求的网络环境。为了实现分组转 发的安全可信,采取了将待转发分组拆分成多个分组单独转发待接收方重新组装的方法, 为了进一步避免路径中恶意节点的篡改、丢包等恶意行为,引入了节点的信任度模型,节点 记录与相邻节点的转发记录,恶意行为视为转发失败将影响信任度。最后为了提供有限的 QoS服务,在路由表中加入服务类型码一项,分组在识别出预定的服务后根据路径情况设置 不同的优先级进行转发。为适应网络情况的不断变化,需设计相应的算法处理节点的加入、退出等变动。本 方法中通过节点间相互检测各相邻节点来获知节点更新的情况;节点的信任度计算模型借 鉴了当下P2P网络的信任度计算模型,每一次转发成功记录将增加节点的信任度而失败记 录则会降低相应节点的信任度;以下结合图2至图5详细介绍各个步骤的方法。1、节点的加入。每个节点在加入系统之前都将自己加入一个固定的多播组,以某 个固定的TTL用组播发送加入消息,如果在其报文TTL可达范围内存在已加入系统的节点, 则节点返回消息,并将新节点加入路由表,新节点收到消息后,同样将返回消息的节点加入 其路由表,此外,收到信息的节点将新节点的加入信息传播到整个网络;图2是节点加入过 程图,网络中初始有三个节点1、2、3,当节点4加入时,4发送请求信息给节点2、3,节点2、 3将自己知道的关于1的路由信息返回给4,之后节点2、3再将节点4的路由信息发送给节 点1,从而将路由更新信息扩散。节点加入算法
1、收到相邻节点信息;
2、SWITCH(信息类型);
3、CASE加入信息4、将发送节点加入路由表;
5、向发送节点返回ACK;
6、向所有相邻节点广播路由更新信息;
7、CASEACK 信息
8、将发送节点加入路由表;
9、CASE路由更新信息
10、更新路由表;
11、向其他所有相邻节点广播路由更新信息;
2、节点的退出。节点退出之前首先在域内发送退出信息的组播报文,接收到信息的节 点将路由表中该节点路由信息设为不可达,同时将该节点的退出信息广播到整个网络;图 3是节点退出过程图,网络中节点4希望退出时,向节点2、3发送离开信息,节点2、3收到信 息后先将自己路由表中节点4的路由信息设为不可达,然后相继将节点4的离开信息发送 给节点1,节点4退出网络;若网络中存在恶意节点,不断反复加入和退出将破坏网络可用 性,因此每个节点可在收到某节点退出信息的一段时间内忽略所有该节点的加入信息。节点退出算法
1、收到相邻节点信息;
2、SWITCH(信息类型);
3、CASE离开信息
4、在路由表中改写离开节点路由项;
5、向相邻节点发送节点离开信息;
6、CASE加入信息
7、若距上次接受到该点信息大于预定值,在路由表中改写离开节点路由项,向相邻节 点发送节点加入信息;
8、否则忽略该节点请求不处理;
若某个节点一段时间一直没有响应,则相邻节点认为该节点已断线,于是将该点退出信息向相邻节点广播;图4是节点定期检测示意图,当节点4断线时,节点2发现节点4长 期没有响应,于是认为节点4已退出,向节点1发送通知信息,于是整个网络路由表更新,节 点4退出网络。3、信任度的计算。在节点信任度的计算中,节点对相邻节点的信任度记录并不将 节点信任度传播出去;比如现有的P2P信任度模型中节点信任度的计算,通常是根据消息 发送方发出消息返回的结果进行评估,若未收到返回结果或检测到节点有篡改行为,将影 响节点的信任度评估,恶意节点将在多次降低信任度的过程中被排除出路由转发路径。本方法将信任度分为4级,分别为_1、0、1、2,-1表示恶意节点,1、 2依次表示正常节点、较可信节点,新加入的节点初始信任度为0,每个节点 都根据和邻居节点通信的结果评估邻居节点的信任度水平,计算公式为 Γβ =T0^a, T0为本节点对节点η的初始信任度,ΤΛ为本节点对节点η的信任度计算更新后
的信任度,α为调节参数(-1、0、1),如果信任度矢量中1的个数超过一半(较可信),则β为
1 (增加信任度),若1的个数少于2个(视为恶意节点),则Λ为-1 (减少信任度),其他为0
4、路由表的设计。路由器在精确识别和分类数据包的业务类型之后,要对它进行标注 处理,以便确保网络上的交换机或路由器等网络设备可以对该应用数据包按优先级进行可 信路由。根据制定的安全/QoS策略所对应的业务类别与相应的优先等级,参照RFC2474和 RFC2475中的DS字段(即IPv4中的TOS和IPv6中的流标签八位组),设定六位区分服务编 码点域,标志相应的DSCP值(可把业务优先级定义为O — 63级)。当前路由器和后续的路 由器就可根据设定的DSCP值和可信路由策略之间的对应关系作相应的业务流量控制和策 略路由处理。传统的路由表项一般包括目标节点、下一跳节点以及路径长度,基于信任度的QoS 路由表还将信任度及分组的业务类型码作为路由表项;路由表在转发分组时根据各节点由 现有信任度模型计算的信任度,赋以高优先级给信任度高的路径;根据IP协议TOS字段的 DSCP值预先约定所传分组的几种业务类型,在分组转发时按最符合业务类型的路径予以转 发;若符合条件(信任度、业务类型)的下一跳节点多于一个,则在其中随机选路进行转发; 定义节点被选择的概率为,则信任度越大的节点被选中的概率也越大同时恶意节点
不被选中,令巧,假设当前可选节点有三个A、B、C,信任度分别为_1、1、
3,则被选中的概率为巧 = 0,,巧(0)=0_66 ,这样就保证了按信任度随机
选路;不同的优先级标志对应不同的安全/QoS路由策略,利用网络设备所支持的DSCP标记 值(或IP优先级),实现可信路由,阻断恶意攻击和区分服务的目的。其中,分组在第一跳的 路由器中分类标记,所有后继的路由器按照标记以及对应的策略处理该分组,无需再次识 别分类,可提高处理速度。5,报文的分拆和组装。大多数时候节点之间的通信需要经过中间节点的转发,如 果中间节点成为恶意节点的话,可以轻易的进行信息窃听和信息篡改;若将报文在发送端 按固定长度分拆成数条,在封装进IP数据包,按照选路要求独立选路分别转发,再在接收 端进行组装可以有效的防止恶意节点的窃听;这在现有的IP协议中已可简单实现;接收端 收到报文返回ACK,如果接受方检测到存在报文丢失或报文被篡改而无法还原,则通知发方 重新传输丢失的报文,报文分拆传输如图5所示。
权利要求
1.一种基于信任度的QoS路由选路方法,其特征在于该方法包括节点的加入退出、报 文的传输、信任度的计算、路由表的结构设计;其中节点的加入退出的路由协议采用距离向量协议,每个节点通过和相邻节点通信来 得到网络中其余节点的信息;报文的传输过程采用分拆和组装的形式,将不同部分的报文通过不同的路径转发; 信任度的计算过程中每个节点只负责将报文转发给自己的邻居节点,并只对自己的邻 居节点进行信任度的搜集评估;路由表的结构为目标节点、下一跳节点、下一跳节点可信度及路径长度;其中在下一 跳节点可信度的要求中加入QoS指标。
2.根据权利要求1所述的基于信任度的QoS路由选路方法,其特征在于所述节点的 加入退出的具体步骤为节点的加入;当网络中某节点加入时,该节点首先向其相邻节点发送路由信息,相邻节点再将它们 自身的路由信息发送给该节点,然后这些相邻节点再把该节点的路由信息发送给它们的相 邻节点,从而将路由更新信息扩散; 节点的退出;当网络中某节点希望退出时,该退出节点先将离开信息发送给自己的相邻节点,相邻 节点接收到该离开信息,首先将自己路由表中该离开节点的路由信息设为0,同时将该退 出节点的离开信息相继发送到其余的相邻节点;其余的每个相邻节点在收到该退出节点的离开信息时,首先将忽略所有关于该节点的 路由信息,直至该节点发现跟自己相邻的节点一段时间没有响应,则认为该节点已退出,然 后将该退出节点的离开信息传播给自己的其余相邻节点。
3.根据权利要求1所述的基于信任度的QoS路由选路方法,其特征在于所述报文的 分拆和组装的具体步骤为将报文在发送端按固定长度分拆成数条,按照选路要求独立选 路分别转发,再在接收端进行报文组装;接收端收到报文返回确认报文至发送端,如果接收端检测到存在报文丢失或报文被篡 改而无法还原,则通知发送端重新传输丢失的报文。
4.根据权利要求1所述的基于信任度的QoS路由选路方法,其特征在于所述信任度 的计算包括接收方信任度计算模式和发送方信任度计算模式;A,接收方信任度计算模式中,信任度的搜集和评估由信息接收方完成,具体的过程为信息发送方在发送信息时采用MD5算法对报文进行信息摘录,并对摘录信息进行加 密,将加密后的摘录信息随原文一同发送;信息接收方解密摘录信息后进行摘录验证;如果验证结果显示该信息路径中存在恶意 节点对信息篡改,信息接收方将此次交互视为失败并更新其上一跳节点的信任度矢量,同 时路径上所有节点都对其上一跳节点的信任度矢量进行更新;B,发送方信任度计算模式,信任度的搜集和评估由信息发送方完成,具体的过程为 信息接收方在接收到信息发送方的信息后将该信息转发,若该信息路径中存在恶意节 点,即信息接收方没有将该信息转发,信息发送方在规定时间内未收到信息接收方返回的确认报文,则信息发送方将此次交互视为失败并更新下一跳节点信任度矢量,同时路径上 所有节点都对该下一跳节点信任度矢量进行更新。
全文摘要
本发明提出了一种基于信任度的路由选择方法,该方法由节点的加入退出、报文的传输、信任度的计算、路由表的设计几部分组成。节点的加入退出采用距离向量协议,每个节点通过和邻居节点通信得到其余节点的信息;报文的转发过程采用拆分和重组的形式,将不同部分的报文通过不同的路径转发;信任度的计算模型中每个节点只负责将报文转发给自己的邻居节点,只对自己的邻居节点进行信任度的搜集评估;本发明在可信度要求中加入业务类型的识别、业务带宽的需要等QoS指标,可以在复杂的网络环境下让路由器根据下一跳的信任度、路径长度、业务带宽等做出安全性较高、有一定服务保证的选路决策。
文档编号H04L12/56GK102006284SQ201010527158
公开日2011年4月6日 申请日期2010年11月2日 优先权日2010年11月2日
发明者周井泉, 宁向延, 张基宏, 张顺颐, 谈玲 申请人:南京邮电大学