基于STiP模型的安全路由方法及系统与流程

本发明涉及通信领域，尤其涉及一种基于STiP(安全可信网络协议，Secure and Trusted internet Protocol)模型的安全路由方法及系统。

背景技术：

目前，以TCP/IP协议为核心技术的Internet(因特网)得到了飞速发展，正在全面改变人们的生产生活方式。网络技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。地址和路由系统是当前Internet体系结构的核心，在安全性上，由于现有的TCP/IP协议不具备地址真实性鉴别等内在的安全机制，导致攻击源头和攻击者身份难以追查。路由设备基于目的地址转发分组，对数据包的来源不做验证，大量基于地址伪造的攻击行为无法跟踪，造成源地址欺骗、路由劫持、拒绝服务等大量攻击的发生，严重威胁网络的安全。

技术实现要素：

本发明旨在至少克服上述缺陷之一提供一种基于STiP模型的安全路由方法及系统。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明的一个方面提供了一种基于STiP模型的安全路由方法，包括：本端路由器接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；本端路由器将本端待转发数据包发送至对端路由器，其中，本端待转发数据包至少包括本端数据包以及本端签名，本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的；对端路由器接收本端待转发数据包，查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中，与本端路由器的路由位置标识绑定的绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥；对端路由器利用本端路由器的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。

另外，本端路由器接收本端数据包包括：前端路由器接收前端数据包，将前端待转发数据包发送至本端路由器，其中，前端待转发数据包至少包括前端数据包以及前端签名，前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的；本端路由器接收前端待转发数据包，查询本地映射表，获取与前端路由器的路由位置标识绑定的绑定信息，其中，与前端路由器的路由位置标识绑定的绑定信息至少包括：前端路由器的路由位置标识以及前端路由器的公钥；本端路由器利用前端路由器的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。

另外，对端路由器将对端数据包外发包括：对端路由器将对端待转发数据包发送至后端路由器，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的；后端路由器接收对端待转发数据包，查询本地映射表，获取与对端路由器的路由位置标识绑定的绑定信息，其中，与对端路由器的路由位置标识绑定的绑定信息至少包括：对端路由器的路由位置标识以及对端路由器的公钥；后端路由器利用对端路由器的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。

另外，方法还包括：全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路由节点中的每个路由器在本地提交事务。

另外，全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求包括：全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器，其中，全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；全局路由节点中的每个路由器在本地提交事务包括：全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。

另外，方法还包括：全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。

本发明另一方面提供了一种基于STiP模型的安全路由系统，包括：本端路由器，用于接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；将本端待转发数据包发送至对端路由器，其中，本端待转发数据包至少包括本端数据包以及本端签名，本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的；对端路由器，用于接收本端待转发数据包，查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中，与本端路由器的路由位置标识绑定的绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥，利用本端路由器的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。

另外，系统还包括：前端路由器；本端路由器，通过如下方式接收本端数据包：前端路由器，用于接收前端数据包，将前端待转发数据包发送至本端路由器，其中，前端待转发数据包至少包前端数据包以及前端签名，前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的；本端路由器，还用于接收前端待转发数据包，查询本地映射表，获取与前端路由器的路由位置标识绑定的绑定信息，其中，与前端路由器的路由位置标识绑定的绑定信息至少包括：前端路由器的路由位置标识以及前端路由器的公钥，利用前端路由器的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。

另外，系统还包括：后端路由器；对端路由器通过如下方式将对端数据包外发包括：对端路由器，还用于将对端待转发数据包发送至后端路由器，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的；后端路由器，用于接收对端待转发数据包，查询本地映射表，获取与对端路由器的路由位置标识绑定的绑定信息，其中，与对端路由器的路由位置标识绑定的绑定信息至少包括：对端路由器的路由位置标识以及对端路由器的公钥，利用对端路由器的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。

另外，全局的路由节点中任意一个路由器，用于接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路由节点中的每个路由器，用于在本地提交事务。

另外，全局的路由节点中任意一个路由器通过如下方式接收全局的路由节点中任意另一个路由器发送的操作请求：全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器，其中，全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；全局路由节点中的每个路由器通过如下方式在本地提交事务：全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。

另外，全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。

由上述本发明提供的技术方案可以看出，通过本发明提供的基于STiP模型的安全路由方法及系统，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种基于STiP模型的安全路由系统的结构示意图；

图2为本发明实施例提供的另一种基于STiP模型的安全路由系统的结构示意图；

图3为本发明实施例提供的又一种基于STiP模型的安全路由系统的结构示意图；

图4为本发明实施例提供的再一种基于STiP模型的安全路由系统的结构示意图；

图5为本发明实施例提供的基于STiP模型的安全路由方法的流程图。

具体实施方式

下面结合附图对本发明的实施方式进行详细说明。

首先先对本发明基于的STip模型进行说明，本发明实施例提供的基于STiP模型的通信系统，包括：IP地址相互独立的接入网以及骨干网，其中，接入网包括多个终端主机(其中至少包括本端终端主机以及对端终端主机)以及至少一个接入认证服务器(其中至少包括与本端终端主机连接的本端接入认证服务器)。当然作为本发明的一种可选实施方式，至少一个接入认证服务器还还可以包括与对端终端主机连接的对端接入认证服务器。骨干网包括多个路由器(其中至少包括以下实施例中描述的本端路由器101以及对端路由器102)等，本端路由器101可以连接本端接入认证服务器，也可以作为全局路由中的一个节点连接以下实施例中描述的前端路由器103，对端路由器102可以连接对端终端主机，在具有对端接入认证服务器的情况下，对端路由器102也可以连接对端接入认证服务器，也可以作为全局路由中的一个节点连接以下实施例中描述的后端路由器104。这在本发明中并不做限制。同时，本领域技术人员可以理解的是，上述连接可以为有线连接也可以为无线连接，

以下，对骨干网中的路由节点进行详细说明：

图1示出了本发明实施例提供的基于STiP模型的安全路由系统的结构示意图，参见图1，本发明实施例提供的基于STiP模型的安全路由系统，包括：

本端路由器101，用于接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；将本端待转发数据包发送至对端路由器102，其中，本端待转发数据包至少包本端数据包以及本端签名，本端签名为本端路由器101利用本端路由器101的私钥对本端数据包进行签名得到的；

对端路由器102，用于接收本端待转发数据包，查询本地映射表，获取与本端路由器101的路由位置标识绑定的绑定信息，其中，与本端路由器101的路由位置标识绑定的绑定信息至少包括：本端路由器101的路由位置标识以及本端路由器101的公钥，利用本端路由器101的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。

由此可见，通过本发明提供的基于STiP模型的安全路由系统，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

具体地，骨干网内的各个路由器要检查数据包是否是伪造的或者经过篡改的，因此，路由器收到由接入认证服务器或者上一个路由节点转发的数据包后封装源和目的RLOC(路由位置标识，Routing Locator)地址，然后将签名后的数据包路由转发。

作为本发明实施例的一种可选实施方式，全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。具体地，通过在第一个接入认证服务器本地缓存的映射表中加入源安全主机标识符的哈希值的绑定记录，以及在最后一个接入认证服务器本地缓存的映射表中加入源安全主机标识符的哈希值与第一个路由器的路由位置标识的绑定记录，可以提高路由效率，同时可以追溯源主机的来源。

同时，由于每一个路由器都可能是接入网接入骨干网的路由器，每一个收到的数据包都有可能来自于全局路由中的任何一个节点，因此，需要每个路由器都应能获取到全局路由中所有的路由器的公钥。由于骨干网中路由器的数量是一定的，因此在每个骨干网的路由器均可以保存和维护全局一致的RLOC地址和公钥的绑定信息。本发明实施例采用了去中心化密钥管理方式，路由器自己生成公私钥对，骨干网每个路由器共同维护一个全局一致的<地址，公钥>表，每个RLOC上的<地址，公钥>数据都是一致的。骨干网所有路由器可以分为Leader和Follower两种角色，Leader是对<地址，公钥>记录的所有操作提议的唯一调度者和处理者，在任一时刻不存在多于1个的Leader，Leader角色并不与某个骨干网路由器永久绑定，在Leader无法连通后，骨干网会重新选举出新的Leader。Follower是骨干网内除Leader外存活的路由节点，可发起对<地址，公钥>记录的事务操作请求，并将请求转发给Leader，还参与Leader发起的提议投票，在检测不到Leader心跳后投票重选Leader。因此，作为本发明实施例的一个可选实施方式，全局的路由节点中任意一个路由器，用于接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路由节点中的每个路由器，用于在本地提交事务。由此方便进行密钥管理。

当有新的路由节点加入时，该节点首先会在本地生成一对密钥，该节点的公钥和分配的RLOC地址会被提交到Leader，Leader会将添加<地址，公钥>记录的事务提议通知到全局的路由节点，并发起对该提议的投票，Leader收到过半投票后会通知全局的路由节点在本地提交该事务，新的路由节点成功加入到骨干网中。骨干网内对<地址，公钥>记录的更新和删除事务的执行过程同上。因此，作为本发明实施例的一个可选实施方式，全局的路由节点中任意一个路由器通过如下方式接收全局的路由节点中任意另一个路由器发送的操作请求：全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器，其中，全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；全局路由节点中的每个路由器通过如下方式在本地提交事务：全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。由此方便增加新的路由节点。

此外，报文中数据部分的安全可以使用现有体系结构中传输层的加密协议来完成。

作为本发明实施例的一个可选实施方式，如果本端路由器101并未直接连接接入认证服务器，仅是全局路由中的中间节点，此时，本端路由器101还可以对上一个节点进行身份认证，以保证安全性，参见图2，系统还包括：前端路由器103；本端路由器101，通过如下方式接收本端数据包：前端路由器103，用于接收前端数据包，将前端待转发数据包发送至本端路由器101，其中，前端待转发数据包至少包括前端数据包以及前端签名，前端签名为前端路由器103利用前端路由器103的私钥对前端数据包进行签名得到的；本端路由器101，还用于接收前端待转发数据包，查询本地映射表，获取与前端路由器103的路由位置标识绑定的绑定信息，其中，与前端路由器103的路由位置标识绑定的绑定信息至少包括：前端路由器103的路由位置标识以及前端路由器的公钥，利用前端路由器103的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。当然，在本实施例中，前端路由器103可以为全局路由节点中的中间节点，也可以为全局路由节点中第一个接收源终端主机发送的数据包的路由器，在此不再赘述。

作为本发明实施例的一个可选实施方式，如果对端路由器102并未直接连接终端主机或接入认证服务器，仅是全局路由中的中间节点，此时，对端路由器102还需要被下一个节点进行身份认证，以保证安全性，参见图3，系统还包括：后端路由器104；对端路由器102通过如下方式将对端数据包外发包括：对端路由器102，还用于将对端待转发数据包发送至后端路由器104，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器102利用对端路由器102的私钥对对端数据包进行签名得到的；后端路由器104，用于接收对端待转发数据包，查询本地映射表，获取与对端路由器102的路由位置标识绑定的绑定信息，其中，与对端路由器102的路由位置标识绑定的绑定信息至少包括：对端路由器102的路由位置标识以及对端路由器的公钥，利用对端路由器102的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。当然，在本实施例中，后端路由器104可以为全局路由节点中的中间节点，也可以为全局路由节点中向目的终端主机发送数据包的路由器，在此不再赘述。

当然，作为本发明的一个可选实施方式，本端路由器101与对端路由器102均未直接连接终端主机或接入认证服务器，均为全局路由中的中间节点，此时，本端路由器101需要对上一个节点进行身份认证，对端路由器102需要被下一个节点进行身份认证，以保证安全性，因此，系统结构还可以参见图4，具体可以参照对图2和图3的相关描述，在此不再赘述。

图5示出了本发明实施例提供的一种基于STiP模型的安全路由方法的流程图，本发明实施例提供的基于STiP模型的安全路由方法应用于上述系统，以下仅对本发明实施例提供的基于STiP模型的安全路由方法进行简单说明，其他未尽事宜，具体参见上述系统的相关说明。参见图5，本发明实施例提供的基于STiP模型的安全路由方法包括：

S501，本端路由器接收本端数据包，其中，本端数据包封装有源路由位置标识和目的路由位置标识，源路由位置标识为全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识，目的路由位置标识为全局路由节点中向目的终端主机发送数据包的路由器的路由位置标识；

S502，本端路由器将本端待转发数据包发送至对端路由器，其中，本端待转发数据包至少包括本端数据包以及本端签名，本端签名为本端路由器利用本端路由器的私钥对本端数据包进行签名得到的；

S503，对端路由器接收本端待转发数据包，查询本地映射表，获取与本端路由器的路由位置标识绑定的绑定信息，其中，与本端路由器的路由位置标识绑定的绑定信息至少包括：本端路由器的路由位置标识以及本端路由器的公钥；

S504，对端路由器利用本端路由器的公钥验证本端待转发数据包的真伪，若检验通过，将对端数据包外发，其中，对端数据包至少包括本端数据包。

由此可见，通过本发明提供的基于STiP模型的安全路由方法，可以从源头上解决源地址欺骗、身份安全等网络安全问题，从而有利于构建自主可控、安全可信的互联网环境。

作为本发明实施例的一个可选实施方式，本端路由器接收本端数据包包括：前端路由器接收前端数据包，将前端待转发数据包发送至本端路由器，其中，前端待转发数据包至少包括前端数据包以及前端签名，前端签名为前端路由器利用前端路由器的私钥对前端数据包进行签名得到的；本端路由器接收前端待转发数据包，查询本地映射表，获取与前端路由器的路由位置标识绑定的绑定信息，其中，与前端路由器的路由位置标识绑定的绑定信息至少包括：前端路由器的路由位置标识以及前端路由器的公钥；本端路由器利用前端路由器的公钥验证前端待转发数据包的真伪，若检验通过，则至少将前端数据包作为本端数据包。由此，当本端路由器并未直接连接接入认证服务器，仅是全局路由中的中间节点时，本端路由器还可以对上一个节点进行身份认证，以保证安全性。

作为本发明实施例的一个可选实施方式，对端路由器将对端数据包外发包括：对端路由器将对端待转发数据包发送至后端路由器，其中，对端待转发数据包至少包括对端数据包以及对端签名，对端签名为对端路由器利用对端路由器的私钥对对端数据包进行签名得到的；后端路由器接收对端待转发数据包，查询本地映射表，获取与对端路由器的路由位置标识绑定的绑定信息，其中，与对端路由器的路由位置标识绑定的绑定信息至少包括：对端路由器的路由位置标识以及对端路由器的公钥；后端路由器利用对端路由器的公钥验证对端待转发数据包的真伪，若检验通过，将后端数据包外发，其中，后端数据包至少包括对端数据包。由此，当对端路由器并未直接连接终端主机或接入认证服务器，仅是全局路由中的中间节点，此时，对端路由器还需要被下一个节点进行身份认证，以保证安全性。

作为本发明实施例的一个可选实施方式，方法还包括：全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求，向全局路由节点中的每个路由器发送投票请求，当接收的投票结果为通过的响应达到预设个数后，向全局路由节点中的每个路由器发送与操作请求对应的事务提交通知；全局路由节点中的每个路由器在本地提交事务。由此方便进行密钥管理。

作为本发明实施例的一个可选实施方式，全局的路由节点中任意一个路由器接收全局的路由节点中任意另一个路由器发送的操作请求包括：全局的路由节点中任意另一个路由器生成自身的公私钥对，并将全局的路由节点中任意另一个路由器的绑定信息携带在操作请求中发送至全局路由节点中的任意一个路由器，其中，全局的路由节点中任意另一个路由器的绑定信息至少包括：全局的路由节点中任意另一个路由器的路由位置标识以及与全局的路由节点中任意另一个路由器的路由位置标识生成的公钥；全局路由节点中的每个路由器在本地提交事务包括：全局路由节点中的每个路由器在本地提交全局的路由节点中任意另一个路由器的绑定信息。由此方便增加新的路由节点。

作为本发明实施例的一个可选实施方式，方法还包括：全局路由节点中第一个接收源终端主机发送的数据包的路由器还保存源安全主机标识符以及源安全主机标识符的哈希值的绑定记录；全局路由节点中向目的终端主机发送数据包的路由器还保存源安全主机标识符的哈希值与全局路由节点中第一个接收源终端主机发送的数据包的路由器的路由位置标识的绑定记录。由此，可以提高路由效率，同时可以追溯源主机的来源。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上的实施例仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通工程技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明的权利要求书确定的保护范围内。