新闻中心

EEPW首页>手机与无线通信>设计应用> 可信路由技术解析

可信路由技术解析

作者: 时间:2012-05-25 来源:网络 收藏

(1)空间隔离保护

应区分接入网和核心网,分别引入不同的标志空间,在核心网和接入网间部署边界路由设备,提供基于标志的映射服务,从而使路由规模的变化独立于用户网络规模的大小,使网络具有更好的可扩展性,同时充分保证核心网络设备的安全。

(2)身份与位置分离

应将节点的身份与位置信息分离,建立全网统一的身份与位置映射机制,实现映射信息安全、快捷的在线管理,实现节点位置的隐私性保护以及节点移动情况下的持续连接,从而满足用户越来越强的移动性以及隐私性需求。

(3)可信路由寻址

应采用必要的身份鉴别机制以及路由消息的安全传输机制,确保路由节点的身份的真实性,路由可达性信息的保密性、完整性;实现网络路由节点间多路机制,同时应提供路由的备份以及快速恢复能力,从而使网络具有更加安全可靠的服务能力。

(4)服务质量保证

应采用集中和分布式相结合的方式,充分提取网络资源利用状态,针对不同的业务应用及其服务质量需求,提供满足需求的更高粒度区分的路由。

(5)网络安全防护

应建立健全全网分布式安全检测防护系统,实现网络传输和网络状态的综合分析,同时提供一定的网络错误诊断能力和行之有效的安全管理机制及策略,使网络路由机制具有更好的可控可管性。

3可信路由参考机制

3.1可信路由体系结构模型

基于以上对可信路由理论技术的研究,本节提出了一种可信路由体系结构模型,新结构采用不同的网络标志分别代表主机的身份信息和位置信息,并且把原IP网的单一地址空间划分为两个不同的标志空间,两个标志空间内分别采用不同的路由方式,并形成相对独立的路由空间,两个标志(路由)空间之间通过标志映射的方法完成寻址和选路。新网络结构划分为接入网和核心网,包含两种标志:接入标志和交换路由标志。接入标志代表了终端的身份信息,只能在接入网使用,而交换路由标志代表了终端的位置信息,只能在核心层使用。新路由体系结构采用“间接通信”模式连接两个标志空间:在接入网采用接入标志转发数据,而在核心网采用内部的交换路由标志替代接入标志转发;接入网负责各种通信终端的接入,核心网进行控制管理和交换路由。新可信路由体系结构如图1所示。

500_400-1328871471_b4bc4388.jpg

在上述的可信路由体系结构参考模型中,接入网与核心网的分离,使得接入网的动态变化不会出现在的核心网上,保证了核心网的相对稳定;接入网的多家乡、流量工程等也不会引起核心网的路由表的增长和不稳定。代表用户身份的接入标志不会在核心网上传播,使得其他用户不能通过截获核心网的信息分析用户的身份,保证了用户身份的隐私性;也不可能通过用户的身份来截获他们的信息,保证了用户信息的安全性。同时,接入网内的终端无法知道核心网内的网络设施的交换路由标志或是其他终端的交换路由标志;接入网内的终端也就无法针对核心网的网络设施或是某一终端进行攻击,保证了核心网网络设施和数据的安全性。新路由结构仍分为域内路由和域间路由两部分。

3.2 可信域内路由

新可信路由体系结构域内路由采用集中式和分布式路由相结合的方式,如图2所示。在每个域内用一个可信路由管理服务器作为集中可信路由管理层;其他基础网络设备组成分布式交换路由层。交换路由层除运行传统的链路状态协议外进行路由转发外,还通过全局流标签的转发的方式进行转发。

500_400-1328871518_872c3d21.jpg

可信路由管理服务器和交换路由器组成公钥基础设施(PKI)结构,可信路由管理器作为可信第三方,负责认证域内的交换路由器的认证,并分配公私钥。交换路由器之间通过签名机制对路由通告相互认证。可信路由管理服务同时收集域内的网络状况,为相应的数据流分配全局流标签,同时在相应的交换路由上建立起流标签转发表,使数据路在转发路径上快速转发。这种方式保留了传统单路径路由的路由寻址方式的同时,增加了域内网络资源的统一调度和管理机制,可以为不同的数据流在不同的条件下,建立不同的转发路径,避免网络拥塞,保证服务质量,增加网络的可用性,保证了网络的可控可管性。

3.3 可信域间路由

新可信路由体系结构域间路由采用的是基于自认证(Self-certifying)的自治域号的多路径路由方式,如图3所示。因为域间路由更多的是体现了自治域之间的商业竞争关系,无法建立起基于可信第三方的PKI结构,采用基于自认证的自治域号路由就很好的解决地址欺骗的问题。每个域的自治域号为其公钥的Hash值,通过这种命名体系,保证了地址的不可欺骗、抵赖性。再建立起互信后,每对互信自治域之间再建立基于私钥体制的后续通告加密算法,这样可以加快解密的效率。

500_400-1328871523_b13d3490.jpg

路由的通告路径时,每个自治域根据策略可通告多条路径,保证每个自治域的独立性和路由的可控制性。通告中包含完整的路径信息,保证了丰富的路由策略。每个域建立多路径的转发表,发送端通过源路由的方式进行域间选路。发送数据前,发送端的可信路由管理通过可信路由管理层与路径上的其他域内的可信路由管理器协商服务等级、流量等消息。同时在每个包头加入认证消息,用作去其他域的授权和认证数据包。

4 可信路由关键技术研究

4.1 映射可扩展技术

接入网与核心网分离以及节点身份与位置分离纵然使得网络路由机制得到良好的可扩展性,但大量接入标志和交换路由标志的映射信息的存储及维护无疑带来了映射系统自身的可扩展性问题。解决好大规模映射信息存储,更新频率以及查询时延等问题,仍是未来可信路由需要研究的关键技术之一。


上一页 1 2 3 下一页

关键词:解析技术路由可信

评论


相关推荐

技术专区

关闭