CN101808031A - 一种路由器的可信改造方法 - Google Patents
一种路由器的可信改造方法 Download PDFInfo
- Publication number
- CN101808031A CN101808031A CN201010115687A CN201010115687A CN101808031A CN 101808031 A CN101808031 A CN 101808031A CN 201010115687 A CN201010115687 A CN 201010115687A CN 201010115687 A CN201010115687 A CN 201010115687A CN 101808031 A CN101808031 A CN 101808031A
- Authority
- CN
- China
- Prior art keywords
- packet
- router
- trusted
- trust
- trust value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于信任值的路由器的可信改造方法,主要针对IP数据包包头中的ToS字段(IPv4)或者TC(IPv6)字段携带的信任值和该包的来源,按照信任策略的指导进行信任值的动态调整,并依据信任值的高低由路由器进行相关的报文分类、入队管理、队列调度以及可能的丢包管制操作,目的是优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,从而使整个网络更加可信、安全。
Description
技术领域
本发明涉及IP网络的通信安全领域,特别是涉及一种路由器的可信改造及流量控制方案。该方法根据IP网络中的IP数据包包头字段携带的信任值信息,对网络中的IP数据包进行标记,分类,排队和必要的丢包等操作,以保证网络的安全和可信。
背景技术
随着信任特别是信任管理技术研究的不断升温,网络安全正向着网络可信方向发展,未来网络安全是增加行为可信的可信网络,这也是网络安全研究领域近年来取得的一个新的共识。信任管理技术通过对信任关系特性、信任模型和信任关系的维护手段的研究,试图通过网络交互达到传统交互手段同样的信任水平。信任是简化IP网络中复杂的信任关系管理问题的有效手段,信任关系建模和管理技术解决了IP网络应用中自主实体之间的信任关系的建立、维护和管理的问题,并利用信任和信誉机制规范了分布式应用中的实体行为,达到了信任、激励和惩戒的作用。
目前对于信任管理技术的研究还仅仅停留在建模与优化的阶段,并没有出现一个比较具有现实意义的信任管理基础设施的方案与实现,来满足网络的安全与信任需求。特别是对于网络中最重要的物理连接设备——路由器,目前并没有一个将信任管理这个新的研究方向和思路用于路由器以保证网络在连接和传输过程中的安全可信的方案。
在此实际情况下,将信任管理用于路由器和网络的安全可信保障上,研究通过信任管理基础设施,保证网络中的路由器之间的可信,继而通过这些可信路由器之间的通信建立可信路由,从而保证整个网络中路由的可信和数据包的可信。这是本发明试图解决的问题。
发明内容
本发明主要解决的问题在于提供一种路由器的可信改造方法。主要基于IP网络中的IP数据包包头字段携带的信任值信息,对网络中的IP数据包进行标记,分类,排队和必要的丢包等操作,优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,从而使整个网络更加可信、安全。
为部署本发明提供的这种可信路由器,将每一个城域网设定为一个信任域,对于特大型的城域网,可以将它划分为多个信任域。每个信任域的包含接入层路由器、汇聚层路由器和核心层路由器。可信路由器主要工作于用户接入层和汇聚层。为保证网络的传输速度,网络的核心层不进行相关的信任与流量控制工作,只负责包的交换和转发。
所述信任域中除了现有IP网络的控制中心之外,需要加入一个信任管理系统中心(TrustManagement System,TMS)。TMS的主要职能是管理域内所有可信路由器及其他安全设施,为其授权和相互间信任关系进行定义与更新,主要形式是信任证书。
所述信任证书是由TMS分发的,针对每一个设备的特制证书。它的主要内容包含设备ID、所属信任域、身份、信任值、证书认证机构、证书签名等主要内容。证书中携带的信任值是定期更新的,并且与设备在网络中的行为有关。由设备定期向TMS下载。
所述可信路由器上运行的是由Linux系统进行裁剪之后的特制系统。可信路由器之间通过改造的可信路由协议建立邻接关系,并与TMS进行注册挂接和通信保持。
所述可信路由器主要包含两部分:信任控制块(Trust Control Block,TCB)部分和路由与流量控制块(Rout ing and Traffic Control,RTCB)部分。
所述信任控制块(TCB)部分,用于信任策略的形成。采集当前网络性能与网络实时状况参数,与路由协议部分和TMS进行交互,接受路由协议和TMS以及本地控制台的实时控制命令,融合成具体的信任策略,指挥可信路由器的流量控制与路由。
所述信任策略,用于反映本地路由器对于到达本地的网络数据包的可信度的认可。它的形成主要基于数据包的源端结点和目的结点在网络中的既往历史行为(由TMS提供)、上一跳邻接路由器与其本身的既往历史协作行为(由本地和可信路由协议提供)、以及网络当前状况(由TMS提供)等三个方面。它用于具体指挥可信路由器的路由与流量控制。
所述路由与流量控制块(RTCB)部分,用于进行具体的路由与流量控制的实施,达到优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素等最终设计目标。其主要包括报分标记、报分分类、报分排队和丢包管制四个子模块。
附图说明下面结合附图和具体实施方式,对本发明做进一步的详细说明。
附图1是本发明的总体结构图。
附图2是本发明的信任策略形成图。
附图3是本发明的排队队列示意图。
具体实施方式
附图1是本发明的总体结构图。所述信任控制块(TCB)部分的网络测量与流量监测子模块,主要是针对与此路由器建立邻接关系的路由器,参数主要包括:端到端可达性、端到端延迟、端到端丢包率、吞吐率、链路流量等。这些参数使用fping工具和ntop以及linux本身提供的IP统计功能等来获取。得到这些参数之后,路由器保留一份在本地,并定期将其上传给TMS供TMS和本路由器的邻居路由器在需要的时候使用。
附图2是本发明的信任策略形成图。所述信任控制块的信任策略,用于向可信路由器发布具体的路由策略,指挥其进行流量控制与路由。它主要根据数据包的来源、上一跳路由器、下一跳路由器、目的用户以及数据包协议,根据这五方在网络中过往行为的记录,动态调整本地路由器应该对此类数据包进行转发时的控制策略。
所述可信路由器的流量与路由控制部分用于可信路由器具体实施对到达的数据包的进栈、路由、出栈、排队等的控制。基于IP网络IPv4数据包包头服务类型(Type of Service,TOS)字段或者IPv6数据包的通信类别(Traffic Class,TC)字段携带的信任值进行流量控制。包头的信任值在数据包由用户主机经过接入层路由器进入网络时,由接入层路由器进行初始化。
所述包含信任值的IP数据包到达可信路由器之后,可信路由器依据其信任值和该包的来源按照信任策略的指导进行信任值的动态调整,并依据信任值的高低由可信路由器进行相关的报文分类、入队管理、队列调度以及可能的丢包管制操作。这部分的功能主要是利用iproute2工具包来实现和操控的。
所述可信路由器的报文标记子模块,用于对进入路由器的IP数据包,依据本地路由器对其来源路由器的信任策略,对数据包包头的信任值字段进行必要的调整和修正,将本地认可的信任值写入其中,表现出本地路由器对该数据包可信程度的判断。此部分的实现由C代码实现,利用netfilter提供的框架,将数据包从内核空间钩到用户空间,读取本地信任策略,修改信任值,写回数据包IP包头,重新计算数据包校验和,并重新传回内核空间进行数据包的转发。
所述报文分类模块是对进入路由器的IP数据包进行分类处理的程序。其采用U32分类器对到达的IP数据包进行指定字段的匹配(源MAC地址,源目的地址,源端口,目的地址,目的端口,TOS字段等),按照预先制定的信任策略将不同信任值的IP数据包送入不同的队列,供丢包管制与报文排队子模块进行处理。
所述丢包管制模块主要的功能是为了防止网络中可能出现的拥塞,在出口流量队列中采取的一种基于RED的提前丢包算法,通过主动地提前地丢包行为,将网络中信任值较低的IP数据包以一定的比率丢弃掉,以减少网络负载,降低网络拥塞出现的可能,优先保证信任值高的IP数据包的通过和最终到达目的地,使得网络更加安全可信。
所述队列管理模块的主要功能是依据信任值调整IP数据包的出队顺序,主要实现:设置N个优先级不同的出口队列,在数据包分类之后,将信任值高的数据包放入出口优先级高的队列中;同时还实现在优先权相对较低的队列中进行RED算法的主动丢包。
附图3是可以采用的一种数据包排队机制示意。比如,在实现IPv4的网络时,利用IP包头的TOS字段的前三位的优先级字段,将数据包分为3大类8小类。信任值为6-7的数据包输入信任值较高的大类,3-5的属于中等的大类,0-2的数据较低的大类。将信任值最高的6和7的数据包过滤至附图中最上面的类1:21,为了防止这个类过度的消耗带宽资源而饿死其他队列,在这里采用一个令牌桶(TBF)队列规定对其限速。将信任值为3-5和0-2的数据包分别放入1:31和1:40这两个类。这两个类和前面的1:21三个类是一个优先权队列规定,1:21最高,1:40最低,1:31居中。而1:31和1:40这两个队列分别是两个GRED队列规定,他们各自配置了三个虚拟队列,对应各种的三类不同信任值的数据包。这样,在每一个GRED类中实现针对信任值不同而丢包概率不同的RED丢包算法。在出队队列的平均队列长度在RED算法的最小阀值和最大阀值之间时,信任值与数据包被丢弃的概率成反比,信任值越高的数据包被丢掉的概率越小。
当然,随着本地CLI命令,路由协议以及TMS的通信,他们都可以对路由器的流量控制行为进行调整,表现在信任策略的形成上,从而影响路由和包转发的具体实施。
并且,队列管理还可以有其他的算法可供选择,这里只是举出一个示意图。只要达到最终使得优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,使整个网络更加可信、安全的目标即可。
Claims (8)
1.一种基于信任值的路由器的可信改造方法,其特征在于针对数据包包头携带的信任值及路由器的信任策略,能够优先保证信任值较高的数据包的传输速度和可靠性,并会主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素。
2.如权利1所述的路由器的可信改造方法,其特征在于其在普通路由器的基础之上,有一个信任控制模块,该模块负责管理与域中的信任管理系统(TMS)、可信路由协议和本地控制的通信接口,并组织融合成信任策略,以指挥具体的路由决策与实施;同时还负责监测网络的实时状况,探测各项网络参数,并向路由协议和信任管理中心定期汇报。
3.如权利1所述的路由器的可信改造方法,其特征在于其上运行的经过改造的可信路由协议。
4.如权利1所述的路由器的可信改造方法,其特征在于路由器的完整的包转发过程包括报文标记、报文分类、丢包管制和报文排队四个步骤,并且这四步都受到信任控制模块和信任策略的控制。
5.如权利4所述的报文标记方案,其特征在于对到达的数据包,将根据信任策略更新其报文的信任值,即TOS字段(IPv4)或者TC字段(IPv6)。
6.如权利4所述的报文分类方案,其特征在于到达的不同信任值的数据包根据信任策略被分到不同的流对应的类中。
7.如权利4所述的丢包管制方案,其特征在于不同信任值等级的数据包丢包的概率不同,丢包只有在队列长度达到一定的阈值时才进行,且信任值等级越低,丢包概率越大。
8.如权利4所述的报文排队方案,其特征在于不同信任值等级的数据包出队的顺序和速度不同,信任值等级越高的数据包,优先级别越高。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010115687A CN101808031A (zh) | 2010-03-02 | 2010-03-02 | 一种路由器的可信改造方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010115687A CN101808031A (zh) | 2010-03-02 | 2010-03-02 | 一种路由器的可信改造方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101808031A true CN101808031A (zh) | 2010-08-18 |
Family
ID=42609653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010115687A Pending CN101808031A (zh) | 2010-03-02 | 2010-03-02 | 一种路由器的可信改造方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101808031A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035831A (zh) * | 2010-11-26 | 2011-04-27 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
CN102299851A (zh) * | 2011-09-01 | 2011-12-28 | 潘薇 | 通过对ip数据包“免疫封装”进行标识核验的方法 |
CN106878172A (zh) * | 2017-01-10 | 2017-06-20 | 清华大学 | 可信路由系统中路由器可信分级动态调整方法 |
CN109286594A (zh) * | 2017-07-19 | 2019-01-29 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
CN110177024A (zh) * | 2019-05-06 | 2019-08-27 | 北京奇安信科技有限公司 | 热点设备的监控方法及客户端、服务端、系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1423870A (zh) * | 2000-04-14 | 2003-06-11 | 詹姆斯B·乔伊斯 | 用于探试性防火墙的方法和装置 |
US20050081058A1 (en) * | 2003-10-09 | 2005-04-14 | International Business Machines Corporation | VLAN router with firewall supporting multiple security layers |
CN1642145A (zh) * | 2005-01-07 | 2005-07-20 | 清华大学 | 支持区分服务带服务质量扩展的ip转发方法 |
CN101217396A (zh) * | 2007-12-29 | 2008-07-09 | 华中科技大学 | 一种基于信任模型的Ad hoc网络入侵检测方法及系统 |
CN101599897A (zh) * | 2009-06-10 | 2009-12-09 | 南京邮电大学 | 一种基于应用层检测的对等网络流量控制方法 |
-
2010
- 2010-03-02 CN CN201010115687A patent/CN101808031A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1423870A (zh) * | 2000-04-14 | 2003-06-11 | 詹姆斯B·乔伊斯 | 用于探试性防火墙的方法和装置 |
US20050081058A1 (en) * | 2003-10-09 | 2005-04-14 | International Business Machines Corporation | VLAN router with firewall supporting multiple security layers |
CN1642145A (zh) * | 2005-01-07 | 2005-07-20 | 清华大学 | 支持区分服务带服务质量扩展的ip转发方法 |
CN101217396A (zh) * | 2007-12-29 | 2008-07-09 | 华中科技大学 | 一种基于信任模型的Ad hoc网络入侵检测方法及系统 |
CN101599897A (zh) * | 2009-06-10 | 2009-12-09 | 南京邮电大学 | 一种基于应用层检测的对等网络流量控制方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035831A (zh) * | 2010-11-26 | 2011-04-27 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
CN102035831B (zh) * | 2010-11-26 | 2013-07-24 | 北京邮电大学 | 一种基于两跳回复的bgp协议改造方法 |
CN102299851A (zh) * | 2011-09-01 | 2011-12-28 | 潘薇 | 通过对ip数据包“免疫封装”进行标识核验的方法 |
CN106878172A (zh) * | 2017-01-10 | 2017-06-20 | 清华大学 | 可信路由系统中路由器可信分级动态调整方法 |
CN106878172B (zh) * | 2017-01-10 | 2019-08-09 | 清华大学 | 可信路由系统中路由器可信分级动态调整方法 |
CN109286594A (zh) * | 2017-07-19 | 2019-01-29 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
CN110061918A (zh) * | 2019-04-18 | 2019-07-26 | 广西大学 | 一种自治域间路由安全性评估方法和装置 |
CN110177024A (zh) * | 2019-05-06 | 2019-08-27 | 北京奇安信科技有限公司 | 热点设备的监控方法及客户端、服务端、系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106100990B (zh) | 一种基于sdn架构的通信网络多维度资源调控方法和系统 | |
CN102075444B (zh) | 一种保障多类型业务服务质量的网络系统及方法 | |
US10680964B1 (en) | Rate limiting in a multi-chassis environment by exchanging information between peer network elements | |
CN100512215C (zh) | 使用分布式网络处理的数据交换设备和方法 | |
CN101808031A (zh) | 一种路由器的可信改造方法 | |
CN101815032B (zh) | 基于一体化网络安全服务架构的信息分类隔离方法 | |
CN105897575A (zh) | 一种sdn下基于多约束路径计算策略的路径计算方法 | |
CN101127691A (zh) | 一种在网络处理器上实现的基于流的策略路由的方法 | |
CN102195819A (zh) | 一种网络设备及其业务流量监管方法 | |
CN102014075B (zh) | 流量监管方法和装置 | |
CN104994033A (zh) | 一种资源动态管理的SDN网络QoS保障方法 | |
CN107864061A (zh) | 一种在私有云中虚拟机端口限速和镜像的方法 | |
CN106961387A (zh) | 一种基于转发路径自迁移的链路型DDoS防御方法及系统 | |
CN101958829B (zh) | 一种路由发布方法、装置及系统 | |
CN107770085A (zh) | 一种网络负载均衡方法、设备及系统 | |
CN102469019A (zh) | 一种包交换网络中聚合链路带宽的分配方法及装置 | |
CN101127723B (zh) | 多协议标签交换三层虚拟专用网服务质量保障方法 | |
CN101094153A (zh) | 在发送站与接收站之间传递数据的方法和设备 | |
CN102594676A (zh) | 桥端口扩展网络及其拥塞控制方法、端口扩展器和控制桥 | |
CN101789949A (zh) | 一种实现负荷分担的方法和路由设备 | |
CN102932268A (zh) | 一种数据报文转发方法和装置 | |
CN102984081A (zh) | 网络设备中报文处理方法及系统 | |
KR20140050461A (ko) | 오픈 플로우 스위치와 컨트롤러를 사용한 가상망 구현 방법 및 그 장치 | |
CN1294723C (zh) | 移动ip突发流量的缓解调节方法 | |
CN108366015A (zh) | 用于软件定义网络的路由算法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100818 |