CN102104550A - 域间路由系统中自治系统间信任关系的建立和维护方法 - Google Patents

Abstract

本发明涉及一种基于贝叶斯估计的域间路由系统中自治系统间信任关系的建立和维护方法。通过以下步骤，完成系统中自治系统间信任关系的建立和维护：（1）参数初始化,即定义并初始化建立自治系统间信任关系所需的参量；（2）域间路由消息真实性的检测，即自治系统系统判定收到的域间路由消息是否与真实的网络拓扑相符，并统计检测结果；（3）基于路由检测的信任度更新，即自治系统根据对来自邻居自治系统的路由消息的检测结果，实时地更新对其的信任度；（4）自治系统信任等级判决，即根据自治系统的当前时刻信任度，把自治系统划分为低、中、高三个信任等级，然后按等级对其发送的路由更新数据包直接丢弃，或者进行检测，或者直接用来更新路由列表。

Description

域间路由系统中自治系统间信任关系的建立和维护方法

技术领域

本发明涉及通信网络安全技术领域，特别是涉及一种基于贝叶斯估计的域间路由系统中自治系统间信任关系的建立和维护方法。

背景技术

边界网关协议(Border Gateway Protocol，BGP)是用来在路由选择域之间交换网络层可达性信息的路由协议，是目前互联网中自治系统(AutonomousSystem，AS)互联互通事实上的标准。由于早期设计时没有考虑到安全因素，因而BGP在安全方面存在着先天的不足：(1)BGP没有为对等体之间的通信提供报文完整性、新鲜性以及对等实体的身份认证；(2)BGP没有验证AS是否有权宣布NLRI，也即没有验证IP地址前缀；(3)BGP没有验证AS宣布的路径属性是否真实。因为这些缺陷，现有的BGP协议容易遭受到前缀劫持攻击、AS-PATH篡改攻击等，不能保证域间路由消息的可信性和可用性，进而严重地威胁域间路由系统乃至整个Internet网络的安全性和可用性。

为避免各种已知攻击，研究人员从操作层面和数据层面两方面来增强BGP协议的安全性。例如，通用的TTL安全机制，利用TCP MD5签名来保证BGP会话的安全机制，从操作层面上增强了BGP协议的安全性。但是，这些安全机制没有考虑内部攻击和错误配置的路由器对协议运行所造成的影响。另外，SBGP、SoBGP、psBGP等一些BGP安全机制，在现有BGP协议的基础上增加了基于公钥密码学的安全体制，从路由数据层面上增强了BGP协议的安全性，保证了域间路由消息的真实性。但这些安全机制几乎都需要公钥基础设施(Public Key Infrastructure，PKI)的支撑。而由于PKI在复杂的互联网系统中部署的困难性以及基于证书认证的安全机制的扩展性局限，至今这些安全机制都没能得到有效地部署。另外，这些安全机制并不能防止持有秘密信息的自治系统发布虚假消息。为此，需要借助信任模型来建立域间路由系统中自治系统之间的信任关系，以此来考察自治系统路由行为的可信性。

信任模型目前被广泛用于电子商务、网格、P2P、AD-Hoc网络等领域，能够有效地抑制恶意行为的重复发生和虚假消息的传播扩散，并且具有激励作用。在已有的信任模型中，基于模糊逻辑的信任模型没有给出如何获得度量参数，基于证据理论的信任模型会产生冲突结果，基于概率的信任模型没有给出如何得到统计数据，因而这些模型在实际中都无法具体应用。另外，由于Internet网络在结构上不同于传感器网络，并且规模上远大于现有的网络，因此不能直接将这些已有的信任模型平移到域间路由系统中应用。

发明内容

本发明针对现有技术不足，提出一种域间路由系统中自治系统间信任关系的建立和维护方法，能够很好地抑制域间虚假路由消息传播扩散。

本发明所采用的技术方案：

域间路由系统中自治系统间信任关系的建立与维护方法，其特征是，在由自治系统构成的域间路由系统中，通过以下步骤，完成系统中自治系统间信任关系的建立和维护：

步骤1.初始化；

首先，定义并初始化以下建立自治系统间信任关系所需的参量：

步骤1.1.直接信任度，指在某一时刻t自治系统AS_i利用邻居自治系统AS_j的历史路由更新数据包数据，对AS_j宣布真实路由消息的一个概率估计，记为DT_i，，j(t)；直接信任度的初始值由自治系统根据与邻居自治系统之间的商业关系来设定；

步骤1.2.间接信任度，指自治系统AS_i对邻居自治系统AS_j的所有其它邻居自治系统在某一时刻t对AS_j的信任度进行加权平均得到的一个值(加权参数因AS_i而异)，记为IT_i，j(t)；间接信任度的初始值为0；

步骤1.3.信任度，指自治系统AS_i对其邻居自治系统AS_j在某一时刻t的直接信任度和间接信任度的加权平均，记为T_i，j(t)；信任度的初始值等于直接信任度的初始值；

步骤1.4.统计信任度，指自治系统AS_i根据某一时刻t往前的一段时间(t-Δ，t)内对来自邻居AS_j的BGP Update报文的检测结果的统计数据，利用贝叶斯估计理论对AS_j在下一个时刻通告真实路由的可能性做出的一个估计，记为ST_i，j(t)。现假设自治系统AS_i从当前时刻t开始往前Δ长时间内对邻居AS_j发送的路由信息共检测了N次。假设X_i，j是模型化AS_j通告真实路由信息的随机总体，

Pr(X_i，j＝1)＝θ，则AS_j发送的N次路由信息是否通过检测所对应的随机变量X_i，j(1)，X_i，j(2)，…，X_i，j(N)是X_i，j的一个简单随机抽样，且AS_j向AS_i发送的真实路由个数

是参数θ的一个充分统计量，服从二项分布

$\mathrm{Pr}(S\left(N\right)=k|\mathrm{\θ})=\left(\begin{array}{c}N\\ k\end{array}\right){\mathrm{\θ}}^k{(1-\mathrm{\θ})}^{N-k},k=\mathrm{0,1},\·\·\·,N$

根据贝叶斯假设，θ的先验分布是均匀分布，则观察到S(N)＝k时其后验分布为

$h\left(\mathrm{\θ}\right|S\left(N\right)=k)=\frac{P_r(S\left(N\right)=k|\mathrm{\θ})}{{{\∫}_0^{1}P}_r(S\left(N\right)=k|\mathrm{\θ})\mathrm{d\θ}}$

$=B(k+1,N-k+1)$

其中B(k+1，N-k+1)是参数为k+1和N-k+1的Beta分布函数。再用贝叶斯估计便可得θ的估计值为

$\widehat{\mathrm{\θ}}=\frac{k+1}{N+2}$

这样，就得到了自治系统AS_i在t时刻对邻居AS_j的统计信任度：

${\mathrm{ST}}_{i,j}\left(t\right)=\widehat{\mathrm{\θ}}=\frac{k+1}{k+2}$

统计信任度的初始值为0；

步骤1.5.信任度门限值，指判定可信任程度的阈值λ₁，λ₂，λ₃；所述λ₁和λ₃取值应偏高，λ₂取值应偏低；λ₁，λ₂，λ₃均是0与1之间的实值；

步骤1.6.信任度增加、降低速率，指对路由更新数据包不进行检测时让信任度增加、降低的速率r_i，j和r′_i，j；所述r_i，j、r′_i，j满足条件：r_i，j＜min{λ₂，λ₃-λ₂}，r′_i，j＜1-λ₃)。

步骤2.路由更新数据包检测结果统计，即自治系统统计固定长时间内对来自邻居自治系统路由更新数据包的检测结果；假设自治系统AS_i在t时刻收到来自邻居自治系统AS_j的一个Update报文，其中的AS-PATH为AS_j，AS_j-1，...AS₀，AS₀是宣布路由更新消息的源自治系统，检测方法如下：

步骤2.1.若j≥1，则令k＝j-1，并执行步骤2.2，否则AS_i查询自己的邻居列表；若发现邻居列表中有AS_j，则判定该路由更新包真实，否则判定该路由更新包虚假，然后执行步骤3；

步骤2.2.AS_i向AS_k发送询问请求，所询问内容结构形式为<AS_k+1，(AS_k-1，…，AS₀)，T_k，k-1(t)>，表示询问AS_k是否有邻居AS_k+1，是否存在从AS_k到AS₀的路由(AS_k-1，AS_k-2，…，AS₀)，以及AS_k对AS_k-1在当前时刻的信任度是多少；

步骤2.3.AS_k查询自己的邻居列表，若有AS_k+1邻居，并且从其路由列表中检索出路径(AS_k-1，AS_k-2…，AS₀)，则向AS_i发送T_k，k-1(t)，否则发送一个错误标识；

步骤2.4.若AS_i收到AS_k发送的错误标识，表示出现了不一致，则停止询问，判定该路由更新包虚假，执行步骤3；

步骤2.5.AS_i按如下方法计算一个累积信任度(Cumulative Trust)：

CT(k)＝CT(k+1)+(1-CT(k+1))T_k，k-1(t)，k＝j-1，j-2，…，1

其中累计信任度的初始值为CT(j)＝T_i，j(t)；若CT(k)≥λ₁，则停止询问，判定该路由真实，执行步骤3；

步骤2.6.若k＞1，令k＝k-1，返回步骤2.2；否则判定该路由虚假，执行步骤3。

步骤3.基于路由检测的信任度更新，即根据对路由更新数据包的检测结果实时地更新对邻居自治系统的信任度：

步骤3.1.直接信任度更新：

步骤3.1.1若自治系统AS_i在t_n时刻检测由邻居自治系统AS_j发送的路由更新数据包，如果该通告通过了路由更新数据包检测，则按照下式更新对AS_j的直接信任度：

DT_i，j(t_n)＝α·DT_i，j(t_n-1)+(1-α)·ST_i，j(t_n)

所述DT_i，，j(t_n-1)是AS_i在t_n-1时刻(前一时刻)对AS_j的直接信任度，ST_i，j(t_n)是根据路由更新数据包检测结果计算出来的t_n时刻AS_i对AS_j的统计信任度，α∈(0，1)是一个加权参数；

步骤3.1.2若自治系统AS_i在t_n时刻检测由邻居自治系统AS_j发送的路由更新数据包，如果该通告没有通过路由更新数据包检测，则按照下式更新对AS_j的直接信任度：

DT_i，j(t_n)＝β×DT_i，j(t_n-1)

所述DT_i，，j(t_n-1)是AS_i在t_n-1时刻(前一时刻)对AS_j的直接信任度，β∈(0，1)是一个惩罚参数；

步骤3.2.间接信任度更新：

步骤3.2.1假设在t_n-1时刻自治系统AS_i对邻居自治系统AS_j的信任度为T_i，，j(t_n-1)，AS_j的邻居集为

其中AS_j对

的信任度为

k＝1，2，…，m，

对AS_j的信任度为

则按照下式更新AS_i对AS_j的间接信任度：

${\mathrm{IT}}_{i,j}\left(t_n\right)=\underset{k=1}{\overset{m}{\mathrm{\&Sigma;}}}\frac{T_{{i,j}_k}\left(t_{n-1}\right)}{{\mathrm{\&Sigma;}}_{k=1}^m{T}_{{i,j}_k}\left(t_{n-1}\right)}{T}_{j_k,j}\left(t_{n-1}\right)$

所述定义为

步骤3.2.2若路由检测没有通过，按照下式更新间接信任度：

IT_i，j(t_n)＝β×IT_i，j(t_n-1)

步骤3.3.信任度更新：假设自治系统AS_i对邻居自治系统AS_j在t_n时刻的直接信任度为DT_i，，j(t_n)，间接信任度为IT_i，，j(t_n)，则AS_i对AS_j在t_n时刻信任度更新为：

T_i，j(t)＝ω·DT_i，j(t)+(1-ω)·IT_i，j(t)

所述ω∈(0，1)是一个加权参数。

步骤4.自治系统信任等级判决，即根据自治系统的当前时刻信任度，把自治系统划分为低、中、高三个信任等级，并分层次处理其发送的路由更新数据包；假设自治系统AS_i在t_n时刻收到邻居AS_j发送的一个Update报文，且对AS_j当前的信任度为T_i，，j(t_n-1)，按照如下方法判决：

步骤4.1.若T_i，j(t_n-1)≤λ₂，则判定AS_j属于低信任等级，AS_i对AS_j发送的路由更新数据包直接丢弃，并且令DT_i，j(t_n)＝DT_i，j(t_n-1)+r_i，j，IT_i，j(t_n)＝IT_i，j(t_n-1)+r_i，j，T_i，j(t_n)＝T_i，j(t_n-1)+r_i，j；

步骤4.2.若λ₂＜T_i，j(t_n-1)≤λ₃，则判定AS_j属于中信任等级，AS_i对AS_j发送的路由更新数据包按步骤2所述检测方法进行检测；若检测通过，AS_i利用该通告进行路由列表更新，否则丢弃该路由更新数据包，同时，按照步骤3所述更新方法更新信任度；

步骤4.3.若T_i，j(t_n-1)＞λ₃，则判定AS_j属于高信任等级，AS_i直接利用AS_j发送的路由更新数据包更新路由列表，同时令DT_i，j(t_n)＝DT_i，j(t_n-1)-r′_i，j，IT_i，j(t_n)＝IT_i，j(t_n-1)-r′_i，j，T_i，j(t_n)＝T_i，j(t_n-1)-r′_i，j。

本发明的积极有益效果：

1、本发明域间路由系统中自治系统间信任关系的建立和维护方法，能抑制域间虚假路由消息的传播扩散，并且与其它BGP安全机制相比，这种处理方法具有很高的处理速率。利用贝叶斯估计理论在信任度量方面理论基础坚实、计算简洁、符合实际的优点，结合基于信任的路由检测方法，通过直接信任和间接信任综合判定一个自治系统的可信度，并依据信任度对自治系统进行信任等级判决，再根据判决结果对该自治系统发送的路由更新数据选择直接丢弃，或者进行检测，或者直接利用。分析表明，本发明域间路由系统中自治系统间信任关系的建立维护方法在IPv6源地址验证体系结构的基础上能够抵抗目前针对BGP协议的主要攻击，保证BGP协议安全性。

2、本发明域间路由系统中自治系统间信任关系的建立和维护方法，是一个局部的信任关系建立和维护方法，即域间路由器只需要建立邻居路由器的信任列表就能保证路由更新数据的可信性，需要较少的存储空间和计算量，因而具有良好的可扩展性和可部署性，能够很好的适用于大规模网络。

附图说明

图1.域间路由系统中自治系统间信任关系的建立流程图；

图2.路由检测算法流程图；

图3.检测结果统计流程图；

图4.基于路由检测的信任度更新流程图；

图5.信任等级判决流程图。

具体实施方式

实施例一：参见图1，本发明域间路由系统中自治系统间信任关系的建立与维护方法，其整体过程可分为四个模块：初始化模块、路由更新数据检测结果统计模块、基于路由检测的信任度更新模块、信任等级判决模块。

所述初始化模块，利用贝叶斯估计理论，定义建立信任关系所需要的各个参数，即直接信任度、间接信任度、信任度、统计信任度、信任度门限值，以及信任度降低、上升速率，并且根据相邻自治系统间的商业关系，对这些参数进行初始化，作为信任度更新的基础；

所述路由更新数据检测结果统计结果，采用信任累积、逐级回溯的方法来判定路由消息是否可信，也即是否反映了真实的网络拓扑结构，并且统计检测结果，以用于统计信任度的计算和信任度的更新；

所述基于路由检测的信任度更新模块，采用迭代和加权平均的方法，利用路由检测结果统计数据，根据每次路由检测结果及时地更新信任度；

所述信任等级判决模块，利用自治系统的信任度，将自治系统按可信程度分为高、中、低三个层次，再分层次处理其发送的路由更新数据，同时也按处理结果更新信任度。

实施例二：参见图1～图5，本实施例以自治系统AS_i与其邻居自治系统AS_j为例，对本发明域间路由系统中自治系统间信任关系的建立与维护方法的技术方案进一步具体描述：

1)初始化模块：

首先，自治系统为每一个的邻居自治系统建立一个信任列表，列表元素包括当前时刻的直接信任度、间接信任度、信任度、统计信任度，以及信任度门限值和信任度降低、上升速率。然后，在初始时刻，自治系统根据与邻居自治系统彼此之间的商业关系以及发送的历史路由数据，设定信任关系建立方法中所需的各个参数的初始值。如同路由策略，这些值的设定完全由本地自治系统自身决定。在下面的举例说明中，简单地设定各个参数如下：λ₁＝0.7，λ₂＝0.2，λ₃＝0.8，r_i，j＝r′_i，j＝0.15，α＝ω＝β＝0.5；若AS_i与AS_j有较好的商业关系，则取DT_i，，j(0)＝T_i，，j(0)＝0.8或者更高，若AS_i与AS_j没有商业关系，则取DT_i，，j(0)＝T_i，，j(0)＝0.2或者更低；IT_i，，j(0)＝0。

2)路由更新数据包检测结果统计模块：

所述路由更新数据包检测结果统计模块分为两部分：路由更新数据包检测和固定时间段内的检测结果统计。

所述路由更新数据包检测按照步骤2所述方法，通过在BGP中增加两种新的报文来实现，记为Query报文和Response报文。在报文格式上，新增两种报文与原BGP的四种报文格式一致；在报文内容上，所述Query报文发送的内容格式为：<Destination Identifier，AS Neighbor，AS-PATH，Sender Identifier>；所述Response报文发送的内容格式为：<Destination Identifier，Trust Value or Error，Sender Identifier>。所述Destination Identifier是发送报文的目的自治系统身份标识(IP地址)，AS Neighbor是一个AS号，AS-PATH是一条自治系统路径，SenderIdentifier是发送报文的源自治系统身份标识，Trust Value是一个信任度值，Error是一个错误标识(如取-1)。下面举例说明Query报文和Response报文在路由检测中的应用。假设自治系统AS_i在t时刻收到来自邻居自治系统AS_j的一个Update报文，其中的AS-PATH为AS_j，AS_j-1，AS_j-2，…，AS₀，AS₀为宣布路由更新消息的源自治系统，检测步骤如下：

步骤1：若j≥1，则令k＝j-1，并跳转至步骤2，否则AS_i查询自己的邻居列表；若发现邻居列表中有AS_j，判定该路由真实，否则判定该路由虚假，检测结束；

步骤2：AS_i向AS_k发送Query报文：<AS_k，AS_k+1，(AS_k-1，…，AS₀)，AS_i>，表示询问AS_k是否有邻居AS_k+1，是否存在从AS_k到AS₀的路由(AS_k-1，AS_k-2，…，AS₀)，以及AS_k对AS_k-1在当前时刻的信任度是多少；

步骤3：AS_k收到报文后检测自己是否有邻居AS_k+1，是否有到AS₀的路由(AS_k-1，AS_k-2…，AS₀)。若两项检测都通过，则AS_k向AS_i发送一个Respond报文：<AS_i，T_k，k-1(t)，AS_k>，否则发送一个标识错误的Respond报文：<AS_i，-1，AS_k>；

步骤4：若AS_i收到AS_k发送的错误标识，表示出现了不一致，则停止询问，判定该路由虚假，检测结束；

步骤5：AS_i按如下方法计算一个累积信任度(Cumulative Trust)：

CT(k)＝CT(k+1)+(1-CT(k+1))T_k，k-1(t)，k＝j-1，j-2，…，1

其中累计信任度的初始值为CT(j)＝T_i，j(t)；若CT(k)≥λ₁，则停止询问，判定该路由真实，检测结束；

步骤6：若k＞1，令k＝k-1，返回步骤2；否则判定该路由虚假，检测结束。

可以看出，利用Query报文和Response报文就可以实现所述路由更新数据包检测。

所述固定时间段内的检测结果统计，指统计在固定长的Δ时间内自治系统对来自某个邻居的路由更新数据包有多少次检测通过，多少次检测没有通过。通过检测结果记录的方法来实现检测结果统计，下面举例说明检测结果记录方法。让AS_i为AS_j维持一个检测结果统计列表，列表元素格式为(t，X_i，j)，t表示检测时间，X_i，j＝1表示检测通过，X_i，j＝0表示检测没有通过。假设在t时刻AS_i需要更新对AS_j的直接信任度时，若在时间段(t-Δ，t)内有记录(t₁，1)，...(t_k，1)，则可统计出有k次路由更新数据包检测通过；若有记录(t′₁，0)，...(t′_s，0)，则可统计出有s次路由更新数据包检测没有通过，总的检测次数为k+s。自治系统需要维护对每个邻居自治系统固定长时间段内的路由检测结果数据。

3)基于路由检测的信任度更新模块：

所述基于路由检测的信任度更新模块，指自治系统在现有信任度的基础上，根据对来自邻居的路由更新数据包的检测结果来更新对该邻居的信任度。假设在t_n时刻AS_i对AS_j发送的路由更新数据进行检测后通过了，并且(t_n-Δ，t_n)时间段内路由检测结果的统计数据为：通过检测k次，没有通过检测s次，则AS_i对AS_j的直接信任度更新为：

${\mathrm{DT}}_{i,j}\left(t_n\right)=\frac{1}{2}{\mathrm{DT}}_{i,j}\left(t_{n-1}\right)+\frac{1}{2}\frac{k+1}{k+s+2}.$

若在t_n时刻AS_i对AS_j发送的路由更新数据包没有通过路由检测，则AS_i对AS_j的直接信任度更新为：DT_i，，j(t_n)＝1/2×DT_i，，j(t_n-1)。AS_i在询问了AS_j和AS_j的邻居集

后可以得到AS_j对

的信任度为

k＝1，2，…，m，

对AS_j的信任度为

然后更新对AS_j的间接信任度：

${\mathrm{IT}}_{i,j}\left(t_n\right)=\underset{k=1}{\overset{m}{\mathrm{\&Sigma;}}}\frac{T_{i,j}\left(t_{n-1}\right)\&times;T_{j,j_k}\left(t_{n-1}\right)}{{\mathrm{\&Sigma;}}_{k=1}^m{T}_{i,j_k}\left(t_{n-1}\right)}{T}_{j_k,j}\left(t_{n-1}\right).$

若在t_n时刻AS_i对AS_j发送的路由更新数据包没有通过路由检测，则AS_i对AS_j的间接信任度更新为：IT_i，，j(t_n)＝1/2×IT_i，，j(t_n-1)。

最后，AS_i对AS_j的信任度更新为：

$T_{i,j}\left(t_n\right)=\frac{1}{2}{\mathrm{DT}}_{i,j}\left(t_n\right)+\frac{1}{2}{\mathrm{IT}}_{i,j}\left(t_n\right).$

4)信任等级判决模块：

所述信任判决模块，指自治系统根据对邻居自治系统当前时刻的信任度，把邻居划分为低、中、高三个层次，对不同信任层次的邻居所发送的路由更新数据包采取不同处理方法。假设自治系统AS_i在t_n时刻收到邻居AS_j发送的一个路由更新数据包，且对AS_j当前的信任度为T_i，，j(t_n-1)，按照如下方法判决：

(1)若T_i，j(t_n-1)≤0.2，则判定AS_j属于低信任层，AS_i对AS_j发送的路由更新数据包直接丢弃，并且令DT_i，j(t_n)＝DT_i，j(t_n-1)+0.15，IT_i，j(t_n)＝IT_i，j(t_n-1)+0.15，T_i，j(t_n)＝T_i，j(t_n-1)+0.15；

(2)若0.2＜T_i，j(t_n-1)≤0.8，则判定AS_j属于中间信任层，AS_i对AS_j发送的路由更新数据包进行路由检测，若检测通过，AS_i利用该通告进行路由列表更新，否则丢弃该路由更新数据包，同时，按照步骤3所述更新信任度；

(3)若T_i，j(t_n-1)＞0.8，则判定AS_j属于高信任层，AS_i直接利用AS_j发送的路由更新数据包更新路由列表，同时令DT_i，j(t_n)＝DT_i，j(t_n-1)-0.15，IT_i，j(t_n)＝IT_i，j(t_n-1)-0.15，T_i，j(t_n)＝T_i，j(t_n-1)-0.15。

下面分析所述域间路由系统中自治系统间信任关系的建立维护方法所具有的安全功能。假设自治系统AS_i在时刻t收到了邻居自治系统AS_j发送的路由更新数据包，其中包含路径属性AS-PATH为AS_j，AS_j-1，AS_j-2，…，AS₀，分两种情况进行讨论：

(1)设AS_j到源自治系统AS₀的真实路由具有形式AS_j，AS′_l，AS′_l-1，…，AS′₁，AS_j-1，…，AS₀，其中AS_j删除了路径中的自治系统AS′_l，AS′_l-1，…，AS′₁，即该路径是被自治系统AS_j进行了缩短路径攻击修改。当AS_j持续发送上述更新数据包后，AS_i将会按照步骤2所述检测方法向节点AS_j-1发送Query报文<AS_j-1，AS_j，(AS_j-2，…，AS₀)，AS_i>。由于AS_j不是自治系统AS_j-1的邻居节点，因此AS_j-1将向AS_i发送Response报文<AS_i，-1，AS_j-1>，从而AS_i将发觉这种攻击，并调整降低对自治系统AS_j的信任度；

(2)设AS_j到源自治系统AS₀的真实路由具有形式AS_j，AS_j-1，…，AS_j-k，AS′_l，AS′_l-1，…，AS′₁，AS_j-k-1…，AS₀，其中AS_j删除了路径中的自治系统AS′_l，AS′_l-1，…，AS′₁。当当AS_j持续发送上述更新数据包后，AS_i将会按照步骤2所述检测方法向节点AS_j-1发送Query报文<AS_j-1，AS_j，(AS_j-2，…，AS₀)，AS_i>。由于AS_j-1没有到AS₀的路由AS_j，AS_j-1，…，AS_j-k，AS_j-k-1…，AS₀，因此AS_j-1将向AS_i发送一个Response报文<AS_i，-1，AS_j-1>，从而AS_i将发觉AS_j进行了缩短路径攻击。

当中间节点进行了延长路径攻击或者是路径篡改攻击时，自治系统通过路由更新数据包检测将会发现不一致，从而察觉到攻击并降低对转发不安全更新数据包的邻居自治系统的信任度，在随后的时间里进一步检测其发送的更新数据包的一致性，甚至是直接丢弃其发送的更新数据包，达到抑制虚假路由信息传播、保证BGP协议安全性的目的。

Claims (5)

1.一种域间路由系统中自治系统间信任关系的建立和维护方法，其特征是，在由自治系统构成的域间路由系统中，通过以下步骤，完成系统中自治系统间信任关系的建立和维护：

(1)参数初始化，即定义并初始化建立自治系统间信任关系所需的参量；

(2)域间路由消息真实性的检测，即自治系统系统判定收到的域间路由消息是否与真实的网络拓扑相符，并统计检测结果；

(3)基于路由检测的信任度更新，即自治系统根据对来自邻居自治系统的路由消息的检测结果，实时地更新对其的信任度；

(4)自治系统信任等级判决，即根据自治系统的当前时刻信任度，把自治系统划分为低、中、高三个信任等级，然后按等级对其发送的路由更新数据包直接丢弃，或者进行检测，或者直接用来更新路由列表。

2.根据权利要求1或2所述的域间路由系统中自治系统间信任关系的建立和维护方法，其特征是，建立自治系统间信任关系所需的参量包括：

直接信任度，指在某一时刻t自治系统AS_i利用邻居自治系统AS_j的历史路由更新数据包数据，对AS_j宣布真实路由消息的一个概率估计，记为DT_i，，j(t)；直接信任度的初始值由自治系统根据与邻居自治系统之间的商业关系来设定；

间接信任度，指自治系统AS_i对邻居自治系统AS_j的所有其它邻居自治系统在某一时刻t对AS_j的信任度进行加权平均得到的一个值，记为IT_i，j(t)；间接信任度的初始值为0；

信任度，指自治系统AS_i对其邻居自治系统AS_j在某一时刻t的直接信任度和间接信任度的加权平均，记为T_i，j(t)；信任度的初始值等于直接信任度的初始值；

统计信任度，指自治系统AS_i根据某一时刻t往前的一段时间(t-Δ，t)内对来自AS_j的BGP Update报文的检测结果的统计数据，利用贝叶斯估计理论对AS_j在下一个时刻通告真实路由的可能性做出的一个估计，记为ST_i，j(t)；若在N次检测中有k次通过检测，则这个估计值为：

${\mathrm{ST}}_{i,j}\left(t\right)=\frac{k+1}{N+2}$

统计信任度的初始值为0；

信任度门限值，指判定可信任程度的阈值λ₁，λ₂，λ₃；所述λ₁和λ₃取值应偏高，λ₂取值应偏低；λ₁，λ₂，λ₃均是0与1之间的实值；

信任度增加、降低速率，指对路由更新数据包不进行检测时让信任度增加、降低的速率r_i，j和r′_i，j；所述r_i，j、r′_i，j满足条件：r_i，j＜min{λ₂，λ₃-λ₂}，r′_i，j＜1-λ₃)。

3.根据权利要求2所述的域间路由系统中自治系统间信任关系的建立和维护方法，其特征是，假设自治系统AS_i在t时刻收到来自邻居自治系统AS_j的一个Update报文，其中的AS-PATH为<AS_j，AS_j-1，…AS₀>，AS₀是宣布路由更新消息的源自治系统，则步骤(2)中，域间路由消息的真实性检测包括如下步骤：

步骤2.1.若j≥1，则令k＝j-1，并执行步骤2.2，否则AS_i查询自己的邻居列表；若发现邻居列表中有AS_j，则判定该路由更新包真实，否则判定该路由更新包虚假，然后执行步骤3；

步骤2.2.AS_i向AS_k发送询问请求，所询问内容结构形式为<AS_k+1，(AS_k-1，…，AS₀)，T_{k， k-1}(t)>，表示询问AS_k是否有邻居AS_k+1，是否存在从AS_k到AS₀的路由(AS_k-1，AS_k-2，…，AS₀)，以及AS_k对AS_k-1在当前时刻的信任度是多少；

步骤2.3.AS_k查询自己的邻居列表，若有AS_k+1邻居，并且从其路由列表中检索出路径(AS_k-1，AS_k-2…，AS₀)，则向AS_i发送T_k，k-1(t)，否则发送一个错误标识；

步骤2.4.若AS_i收到AS_k发送的错误标识，表示出现了不一致，则停止询问，判定该路由更新包虚假，执行步骤(3)；

步骤2.5.AS_i按如下方法计算一个累积信任度(Cumulative Trust)：

CT(k)＝CT(k+1)+(1-CT(k+1))T_k，k-1(t)，k＝j-1，j-2，…，1其中累计信任度的初始值为CT(j)＝T_i，j(t)；若CT(k)≥λ₁，则停止询问，判定该路由真实，执行步骤(3)；

步骤2.6.若k＞1，令k＝k-1，返回步骤2.2；否则判定该路由虚假，执行步骤(3)。

4.根据权利要求3所述的域间路由系统中自治系统间信任关系的建立和维护方法，其特征是，步骤(3)中基于路由真实性检测的信任度更新，包括：

步骤3.1.直接信任度更新：

步骤3.1.1若自治系统AS_i在t_n时刻检测由邻居自治系统AS_j发送的路由更新数据包，如果该通告通过了路由更新数据包检测，则按照下式更新对AS_j的直接信任度：

DT_i，j(t_n)＝α·DT_i，j(t_n-1)+(1-α)·ST_i，j(t_n)

所述DT_i，，j(t_n-1)是AS_i在t_n-1时刻(前一时刻)对AS_j的直接信任度，ST_i，j(t_n)是根据路由更新数据包检测结果计算出来的t_n时刻AS_i对AS_j的统计信任度，α∈(0，1)是一个加权参数；

步骤3.1.2若自治系统AS_i在t_n时刻检测由邻居自治系统AS_j发送的路由更新数据包，如果该通告没有通过路由更新数据包检测，则按照下式更新对AS_j的直接信任度：

DT_i，j(t_n)＝β×DT_i，j(t_n-1)

所述DT_i，，j(t_n-1)是AS_i在t_n-1时刻(前一时刻)对AS_j的直接信任度，β∈(0，1)是一个惩罚参数；

步骤3.2.间接信任度更新：

步骤3.2.1假设在t_n-1时刻自治系统AS_i对邻居自治系统AS_j的信任度为T_i，，j(t_n-1)，AS_j的邻居集为，其中AS_j对

的信任度为

k＝1，2，…，m，

对AS_j的信任度为

，则按照下式更新AS_i对AS_j的间接信任度：

${\mathrm{IT}}_{i,j}\left(t_n\right)=\underset{k=1}{\overset{m}{\mathrm{\&Sigma;}}}\frac{T_{i,j_k}\left(t_{n-1}\right)}{{\mathrm{\&Sigma;}}_{k=1}^m{T}_{i,j_k}\left(t_{n-1}\right)}{T}_{j_k,j}\left(t_{n-1}\right)$

所述定义为

步骤3.2.2若路由检测没有通过，按照下式更新间接信任度：

IT_i，j(t_n)＝β×IT_i，j(t_n-1)

步骤3.3.信任度更新：假设自治系统AS_i对邻居自治系统AS_j在t_n时刻的直接信任度为DT_i，，j(t_n)，间接信任度为IT_i，，j(t_n)，则AS_i对AS_j在t_n时刻信任度更新为：

T_i，j(t)＝ω·DT_i，j(t)+(1-ω)·IT_i，j(t)

所述ω∈(0，1)是一个加权参数。

5.根据权利要求4所述的域间路由系统中自治系统间信任关系的建立和维护方法，其特征是，假设自治系统AS_i在t_n时刻收到邻居AS_j发送的一个Update报文，且对AS_j当前的信任度为T_i，，j(t_n-1)，按照如下步骤判决自治系统信任等级，并分层次处理其发送的路由更新数据包：

步骤4.1.若T_i，j(t_n-1)≤λ₂，则判定AS_j属于低信任等级，AS_i对AS_j发送的路由更新数据包直接丢弃，并且令DT_i，j(t_n)＝DT_i，j(t_n-1)+r_i，j，IT_i，j(t_n)＝IT_i，j(t_n-1)+r_i，j，T_i，j(t_n)＝T_i，j(t_n-1)+r_i，j；

步骤4.2.若λ₂＜T_i，j(t_n-1)≤λ₃，则判定AS_j属于中信任等级，AS_i对AS_j发送的路由更新数据包按步骤(2)所述检测方法进行检测；若检测通过，AS_i利用该通告进行路由列表更新，否则丢弃该路由更新数据包，同时，按照步骤(3)所述更新方法更新信任度；

步骤4.3.若T_i，j(t_n-1)＞λ₃，则判定AS_j属于高信任等级，AS_i直接利用AS_j发送的路由更新数据包更新路由列表，同时令DT_i，j(t_n)＝DT_i，j(t_n-1)-r′_i，j，IT_i，j(t_n)＝IT_i，j(t_n-1)-r′_i，j，T_i，j(t_n)＝T_i，j(t_n-1)-r′_i，j。

Images