CN101534225A

CN101534225A - 一种检测路由信息真实性的方法和装置

Info

Publication number: CN101534225A
Application number: CN200910000067A
Authority: CN
Inventors: 张建辉; 王滨; 黄慧群; 刘勤让; 陈文平; 扬琴; 申涓; 郭虹
Original assignee: PLA Information Engineering University
Current assignee: Naval University of Engineering PLA; PLA Information Engineering University
Priority date: 2009-01-05
Filing date: 2009-01-05
Publication date: 2009-09-16
Anticipated expiration: 2029-01-05
Also published as: CN101534225B

Abstract

一种检测路由信息真实性的方法和装置。一种检测路由信息真实性的方法实施例，包括：设置虚假路由信息计数器并初始化；检测被检测节点发送给检测节点的路由信息中的单条路由信息，当检测到单条路由信息为虚假路由信息时，虚假路由信息计数器加1；当虚假路由信息计数器的数据超过预定阈值，判定所述被检测节点是欺骗节点，所述被检测节点发送给检测节点的路由信息为虚假路由信息；当所述路由信息中单条路由信息检测完毕，虚假路由信息计数器的数据没有超过预定阈值，判定所述被检测节点是诚实节点，所述被检测节点发送给检测节点的路由信息为真实路由信息。本发明实施例使得检测邻居节点发送的路由消息真实性的方法简单有效。

Description

一种检测路由信息真实性的方法和装置

技术领域

本发明涉及计算机网络技术领域，特别涉及一种检测路由信息真实性的方法和装置。

背景技术

路由协议是路由器之间的通信协议，能够实现路由器之间路由信息的共享。路由协议允许路由器之间相互交换和维护各自路由信息，更新维护动态路由表使之正确反映网络的拓扑结构变化，并由路由器根据量度标准来决定最佳路径，实现对网络数据的转发。

目前小型网络中大量使用的是距离向量协议，距离向量由路由量度metric来表示，目前广泛使用的距离向量协议有RIP、IGRP等。距离向量协议路由器定期向相邻的路由器发送它们的整个路由选择信息表，相邻的路由器接收路由选择信息表后，在此基础上建立自己的路由选择信息表再发送给它的相邻路由器。

真实的路由信息是保障网络可用的重要因素，虚假的路由信息，使得网络中报文的传输缺乏效率，甚至不能抵达目的地，严重时会导致网络陷于瘫痪，因此节点需要检测邻居节点发送的路由信息的正确性。

在距离向量协议中，虚假路由信息包括短距虚假路由信息和长距虚假路由信息。短距虚假路由信息是指在宣告路由信息中宣告自己到达目的节点的距离短于真实距离，导致了其他节点就会将该节点选为自己到达目的节点的下一跳，这样该节点就可以发起各种攻击，例如黑洞攻击、劫持会议攻击等；长距虚假路由信息是在宣告路由信息中宣告自己达到目的节点的距离大于真实的距离，使得该节点避免被其他节点选为到达目的节点的下一跳，这样节点可以减少信息传输，导致不公平的利用网络的链路资源，甚至会引起网络链路的拥塞。

为抵抗这种虚假路由信息所带来的危害，加强距离向量协议安全性，需要对邻居节点发送过来的路由信息进行真实性检测。现有技术中检测路由信息真实性的方法有：

基于建立主路由信息库的方法，该方法需要节点提前已知网络的拓扑，将收到的路由消息与离线预先计算好的主路由消息数据库进行比较来对路由更新消息进行检测，这种方法的缺点是需要节点已知网络的拓扑，并且不能有效的阻止虚假路由信息。

基于节点信任度的方法，该方法需要建立信任模型，要求节点对其邻居节点进行信誉评估，并且依据节点的信誉值决定是否接受该节点发送过来的路由更新消息。该方法的缺点是需要通过建立信任模型来实现检测。

从上述内容可以看出，现有技术需要节点已知网络的拓扑结构或在现有距离向量协议的基础上通过建立信任模型来实现检测，对邻居节点发送的路由信息的检测方法比较复杂。

发明内容

本发明实施例的目的是提供一种检测路由信息真实性的方法和装置，使得检测邻居节点发送的路由消息真实性的方法简单有效。

为解决上述技术问题，本发明实施例提供一种检测路由信息真实性的方法是这样实现的：

一种检测路由信息真实性的方法，包括：

设置虚假路由信息计数器并初始化；

检测被检测节点发送给检测节点的路由信息中的单条路由信息，当检测到单条路由信息为虚假路由信息时，虚假路由信息计数器加1；

当虚假路由信息计数器的数据超过预定阈值，判定所述被检测节点是欺骗节点，所述被检测节点发送给检测节点的路由信息为虚假路由信息；当所述路由信息中单条路由信息检测完毕，虚假路由信息计数器的数据没有超过预定阈值，判定所述被检测节点是诚实节点，所述被检测节点发送给检测节点的路由信息为真实路由信息。

优选地，所述方法中，所述检测被检测节点发送给检测节点的路由信息中的单条路由信息包括：

A1：判断检测节点与被检测节点是否有预定数量的共同邻居节点，如果有预定数量的共同邻居，从路由信息数据库RIB中获取所述共同邻居节点的路由信息，生成比对信息；如果没有预定数量的共同邻居，检测节点发送路由表请求信息至被检测节点的邻居节点，获取被检测节点的邻居节点的路由信息，生成比对信息；

A2：统计比对信息中大于或小于被检测节点到达目的节点的度量一跳的信息个数，获得统计数据；

A3：如果统计数据不超过预定值，则所述单条路由信息为真实路由信息；如果统计数据超过预定值，则所述单条路由信息为虚假路由信息。

优选地，所述方法中，所述步骤A1之前进一步包括：

生成路由信息数据库RIB。

优选地，所述方法中，所述生成比对信息为生成被检测节点的邻居节点分别到被检测节点的目的节点的度量。

优选地，所述方法中，所述判定所述被检测节点是欺骗节点之后进一步包括：

生成警告信息发送至被检测节点的邻居节点；

检测节点提取警告信息中的欺骗节点，判断所述欺骗节点是否为检测节点的邻居节点，如果是，则被检测节点发送给检测节点的路由信息为虚假路由信息；如果所述欺骗节点不是检测节点的邻居节点，则丢弃所述警告信息，其中所述检测节点为被检测节点的邻居节点。

一种检测路由信息真实性的装置，包括：

检测模块，用于检测被检测节点发送给检测节点的路由信息中的单条路由信息；

虚假路由信息计数器，用于当所述检测模块检测到单条路由信息为虚假路由信息时，虚假路由信息计数器加1；

判断模块，用于判断虚假路由信息计数器的数据是否超过预定阈值，当虚假路由信息计数器的数据超过预定阈值，判定所述被检测节点是欺骗节点，所述被检测节点发送给检测节点的路由信息为虚假路由信息；当所述路由信息中单条路由信息检测完毕，虚假路由信息计数器的数据没有超过预定阈值，判定所述被检测节点是诚实节点，所述被检测节点发送给检测节点的路由信息为真实路由信息。

优选地，所述装置中，所述检测模块包括：

第一判断模块，用于判断检测节点与被检测节点是否有预定数量的共同邻居节点，根据判断结果获取被检测节点的邻居节点的路由信息；如果有预定数量的共同邻居，从路由信息数据库RIB中获取所述共同邻居的路由信息；如果没有预定数量的共同邻居，检测节点发送路由表请求信息至被检测节点的邻居节点，获取被检测节点的邻居节点的路由表；

比对信息生成模块，用于根据所述第一判断模块获取的被检测节点的邻居节点的路由信息，生成比对信息，所述比对信息为被检测节点的邻居节点分别到被检测节点的目的节点的度量；

统计模块，用于统计比对信息中大于或小于被检测节点到达目的节点的度量一跳的信息个数，获得统计数据；

第二判断模块，用于判断所述统计数据是否超过预定值，如果不超过预定值，则所述单条路由信息为真实路由信息；如果超过预定值，则所述单条路由信息为虚假路由信息。

优选地，所述装置中，其特征在于，进一步包括：

生成模块，用于生成路由信息数据库RIB。

优选地，所述装置中，进一步包括：

警告信息生成模块，用于当被检测节点为欺骗节点时生成警告信息，发送至被检测节点的邻居节点；

提取模块，用于检测节点提取所述警告信息中的欺骗节点，其中所述检测节点为所述被检测节点的邻居节点；

判断模块，用于判断所述欺骗节点是否为检测节点的邻居节点，如果是，则被检测节点发送给检测节点的路由信息为虚假路由信息；如果不是，则丢弃所述警告信息。

由以上本发明实施例提供的技术方案可见，本发明实施例逐条对被检测节点发送给检测节点的路由信息中的单条路由信息进行检测，判断路由信息中单条虚假路由信息个数是否超过预定阈值，如果超过，则被检测节点为欺骗节点，被检测节点发送给检测节点的路由信息为虚假路由信息，否则为真实路由信息。本发明实施例无需改变现有的距离向量协议就实现了对邻居节点发送的路由信息的真实性的检测，简单且有效。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种检测路由信息真实性方法的流程图；

图2为本发明实施例提供的单条路由信息检测的流程图；

图3为本发明实施例提供的检测路由信息真实性方法的实施例流程图；

图4为本发明实施例提供的一种检测路由信息真实性装置的示意图；

图5为本发明实施例提供的检测路由信息真实性装置中检测模块示意图。

具体实施方式

本发明实施例提供一种检测路由信息真实性的方法和装置。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

以下介绍本发明实施例提供的一种检测路由信息真实性的一方法实施例，图1示出了该实施例的流程图，包括：

步骤101：生成路由信息数据库(RIB，Routing Information Base)；

每一个节点都有一个路由信息数据库RIB，路由信息数据库RIB中保存着最近收到的所有邻居节点发送的最新路由信息。路由选择程序将从路由信息数据库RIB中选择最佳路由，然后保存进路由表。路由信息数据库RIB中路由信息的保存格式为(dest_id，neighbour，nexthop，cost)，其中，dest_id为节点的目的节点的地址；neighbour为节点的邻居节点；nexthop为节点的邻居节点到达目的节点的下一跳；cost是邻居节点到达目的节点的距离。

步骤102：设置虚假路由信息计数器并初始化；

步骤103：获取被检测节点发送给检测节点的路由信息，检测所述路由信息中的单条路由信息；

获取被检测节点发送给检测节点的路由信息，所述被检测节点为检测节点的邻居节点，所述路由信息为路由信息表，然后，检测所述路由信息中的单条路由信息的真实性，当检测到单条路由信息为虚假路由信息时，虚假路由信息计数器加1；

单条路由信息的检测流程如图2所示，包括：

步骤201：判断被检测节点与检测节点之间是否有预定数量的共同邻居节点，根据判断结果获取被检测节点的邻居节点的路由信息，生成比对信息；

如果被检测节点与检测节点之间有预定数量的共同邻居节点，从路由信息数据库RIB中获取所述共同邻居节点的路由信息，生成比对信息；

如果被检测节点与检测节点之间没有预定数量的共同邻居节点，检测节点发送路由信息表请求信息至被检测节点的邻居节点，获得被检测节点的邻居节点的路由信息，生成比对信息；

所述预定数量是按照不同的安全需求定义的，最低要求为3个。所述比对信息为被检测节点的邻居节点分别到达被检测节点的目的节点的度量。

步骤202：统计比对信息中大于或小于被检测节点到达目的节点的度量一跳的信息个数，获得统计数据；

如果为真实的路由消息，被检测节点的邻居节点到达被检测节点的目的节点的度量要么比被检测节点多一跳，即被检测节点的邻居节点将被检测节点作为到达目的节点的下一跳；要么被检测节点的邻居节点到达被检测节点的目的节点的度量比被检测节点少一跳，即被检测节点将被检测节点的邻居节点作为到达目的节点的下一跳。

如果被检测节点的邻居节点到达目的节点的度量比被检测节点到达目的节点的度量大于一跳的话，则被检测节点发送的路由消息为虚假路由信息，且为短距虚假路由消息；如果被检测节点的邻居节点到达目的节点的度量比被检测节点到达目的节点的度量小于一跳的话，则被检测节点发送的路由消息为虚假路由信息，且为长距虚假路消息。

步骤203：如果统计数据不超过预定值，则所述单条路由信息为真实路由信息；如果统计数据超过预定值，则所述单条路由信息为虚假路由信息。

统计数据为比对信息中大于或小于被检测节点到达目的节点的度量一跳的信息个数，即统计数据为判断被检测节点发送的路由信息为虚假路由信息的个数。不能通过被检测节点的一个邻居节点就判断被检测节点发出的路由信息就是虚假路由信息，应该通过被检测节点的多个邻居节点都判断被检测节点发出的路由信息为虚假路由信息时才能判断所述单条路由信息为虚假路由信息，即将统计数据与预定值比较，如果统计数据不超过预定值，则所述单条路由信息为真实路由信息；如果统计数据超过预定值，则所述单条路由信息为虚假路由信息。

所述预定值为单条路由信息安全阈值，是用户根据网络安全的需求和网络的抗毁度来设定的，通常可以设置为3。

步骤104：判断虚假路由信息计数器的数据是否超过预定阈值，如果超过，判定所述被检测节点是欺骗节点；如果所述路由信息中单条路由信息检测完毕且虚假路由信息计数器的数据没有超过预定阈值，判定所述被检测节点是诚实节点。

检测被检测节点发送给检测节点的路由信息表中的单条路由信息，如果所述单条路由信息为真实路由信息，则继续检测路由信息中其他的单条路由信息；如果所述单条路由信息为虚假路由信息，则虚假路由信息计数器加1。

如果虚假路由信息计数器的数据超过预定阈值，判定所述被检测节点是欺骗节点，则被检测节点发送给检测节点的路由信息为虚假路由信息，此时，无论被检测节点发送给检测节点的路由信息中的单条路由信息有没有全部检测完，都停止单条路由信息的检测；如果当被检测节点发送给检测节点的路由信息中的单条路由信息全部检测完毕且虚假路由信息计数器的数据也没有超过预定阈值时，判定所述被检测节点为诚实节点。

所述预定阈值为欺骗节点判定阈值，是用户根据网络安全的需求和网络的抗毁度来设定的。

图3为本发明实施例提供实现上述方法流程的一优选实施例，如图3所示，检测节点V₀接收节点V_M发送的路由信息，对V_M发送的路由信息的真实性进行检测，包括：

步骤301：节点V₀检测节点V_M发送的路由信息中的单条路由信息(D_i，V_N，C)；

其中，D_i(i＝1，2，...，N-2，N为网络中的节点个数)为V_M的目的节点，V_N为V_M到达目的节点的下一跳，C为V_M到达目的节点的度量，即跳数。

生成比对信息，所述比对信息为节点V_M的邻居节点到达目的节点D_i的度量，即跳数：

(1)V₀查找路由信息数据库RIB中V₀的邻居节点和V_M也为邻居的节点，记为N＝{N₁，N₂，...，N_n}；

(2)如果n<3执行步骤(3)，否则查看{N₁，N₂，...，N_n}到达目的节点D_i的路由信息中对应的度量C_Di＝{C_i1，C_i2，...，C_in}，i＝1，2，...，N-2，其中D_i表示目的节点，N为网络中的节点个数；

(3)如果n<3，V₀执行下面的操作：

(a)V₀向节点V_M的邻居节点发出路由表请求信息，要求V_M的邻居节点将其路由信息发送给节点V₀；

(b)V₀根据收到的路由信息，得到V_M的邻居节点集合N＝{N₁，N₂，...，N_m}和到达目的节点D_i的路由信息中对应的度量C_Di＝{C_i1，C_i2，...，C_im}。

生成比对信息后，将被检测节点V_M的路由信息中到达目的节点的度量C和比对信息中的度量C_Di进行逐个的对比，对于每一个目的节点统计C_Di>C+1和C_Di<C-1(i＝1，2，...，n)成立的C_Di的个数，当统计数据不超过单条路由信息安全阈值T_ui＝3条时，那么判定该条路由消息为真实路由信息，否则为虚假路由消息；如此，完成节点V_M发送给节点V₀的路由信息中的所有单条路由信息(D_i，V_N，C)的检测。

步骤302：当检测到节点V_M发送给节点V₀的路由信息中的某一单条路由信息为虚假路由信息时，虚假路由信息计数器C_Ma加1；

步骤303：如果C_Ma>T_fe，执行步骤304；当节点V_M路由信息中的所有单条路由信息都检测完毕，且C_Ma不大于T_fe，执行步骤305；

其中，T_fe为是用户根据网络安全的需求和网络的抗毁度来设定的欺骗节点判定阈值。

步骤304：判定节点V_M为欺骗节点，则节点V_M发送给节点V₀的路由信息为虚假路由信息，结束检测；

步骤305：判定节点V_M为诚实节点，则节点V_M发送给节点V₀的路由信息为真实路由信息，结束检测。

当被检测节点被判定为欺骗节点后，本发明实施例进一步包括下面的相应处理过程：

(1)当被检测节点被判定为欺骗节点后，被检测节点生成警告信息发送至被检测节点的所有邻居节点；

(2)检测节点作为被检测节点的一个邻居节点，收到警告信息后，提取警告信息中的欺骗节点；

(3)检测节点判断所提取的欺骗节点是否为自己的邻居节点，如果不是，则直接丢弃所述警告信息；如果是，则判定被检测节点发送给自身的路由信息为虚假路由信息，进行相应后续处理，相应后续处理不再本发明实施例研究范围之内，为现有技术，在此不作过多描述。

本发明实施例可以应用于现有的距离向量协议，如RIP协议，当本发明实施例应用于距离向量路由协议时，通过对短距虚假路由信息和长距虚假路由信息进行有效的检测，并且无需改变现有的距离向量协议，直接对现有的距离向量协议中传输的路由信息进行检测，实现了简单有效地检测邻居节点发送过来路由消息的真实性。

以下介绍本发明实施例提供的一种检测路由信息真实性的一装置实施例，图4示出了该实施例的示意图，如图4所示，所述检测路由信息真实性的装置包括：

虚假路由信息计数器开始使用前先进行初始化。

其中，所述检测模块如图5所示包括：

第一判断模块，用于判断检测节点与被检测节点是否有预定数量的共同邻居节点，根据判断结果获取被检测节点的邻居节点的路由信息；如果有预定数量的共同邻居，从路由信息数据库RIB中获取所述共同邻居的路由信息；如果没有预定数量的共同邻居，检测节点发送路由表请求信息至被检测节点的邻居节点，获取被检测节点的邻居节点的路由信息；

所述预定阈值为单条路由信息安全阈值，是用户根据网络安全的需求和网络的抗毁度来设定的，通常可以设置为3。

所述检测路由信息真实性的装置进一步包括生成模块，用于生成路由信息数据库RIB。

其中，每一个节点都有一个路由信息数据库RIB，路由信息数据库RIB中保存着最近收到的所有邻居节点发送的最新路由信息。路由选择程序将从路由信息数据库RIB中选择最佳路由，然后保存进路由表。路由信息数据库RIB中路由信息的保存格式为(dest_id，neighbour，nexthop，cost)，其中，dest_id为节点的目的节点的地址；neighbour为节点的邻居节点；nexthop为节点的邻居节点到达目的节点的下一跳；cost是邻居节点到达目的节点的距离。

本发明实施例提供的一种检测路由信息真实性的装置进一步包括：

警告信息生成模块，用于当被检测节点被判定为欺骗节点时生成警告信息，发送至被检测节点的邻居节点；

提取模块，用于检测节点提取所述警告信息中的欺骗节点，其中所述检测节点为所述被检测节点的邻居节点，其中检测节点为被检测节点的邻居节点之一；

本领域的技术人员可以理解，可以使用许多不同的工艺和技术中的任意一种来表示信息、消息和信号。例如，本发明实施例中提到过的信息可以表示为电压、电流、电磁波、磁场或磁性粒子、光场或以上任意组合。

本领域的技术人员还可以进一步应能意识到，结合所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims

1、一种检测路由信息真实性的方法，其特征在于，包括：

设置虚假路由信息计数器并初始化；

2、根据权利要求1所述的方法，其特征在于，所述检测被检测节点发送给检测节点的路由信息中的单条路由信息包括：

A1：判断检测节点与被检测节点是否有预定数量的共同邻居节点，如果有预定数量的共同邻居节点，从路由信息数据库RIB中获取所述共同邻居节点的路由信息，生成比对信息；如果没有预定数量的共同邻居，检测节点发送路由表请求信息至被检测节点的邻居节点，获取被检测节点的邻居节点的路由信息，生成比对信息；

3、根据权利要求2所述的方法，其特征在于，所述步骤A1之前进一步包括：

生成路由信息数据库RIB。

4、根据权利要求2或3所述的方法，其特征在于，所述生成比对信息为生成被检测节点的邻居节点分别到被检测节点的目的节点的度量。

5、根据权利要求1至3任一项所述的方法，其特征在于，所述判定所述被检测节点是欺骗节点之后进一步包括：

生成警告信息发送至被检测节点的邻居节点；

6、一种检测路由信息真实性的装置，其特征在于，包括：

7、根据权利要求6所述的装置，其特征在于，所述检测模块包括：

8、根据权利要求7所述的装置，其特征在于，进一步包括：

生成模块，用于生成路由信息数据库RIB。

9、根据权利要求6至8任一项所述的装置，其特征在于，进一步包括：