技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，具體涉及一種基于信任管理系統(tǒng)的IP路由協(xié)議的可信改造方法。

背景技術(shù)

互聯(lián)網(wǎng)的廣泛使用對(duì)信息的安全保護(hù)提出了巨大挑戰(zhàn)。路由協(xié)議用于在路由器間分發(fā)關(guān)于網(wǎng)絡(luò)拓?fù)涞男畔ⅲ酚善鞲鶕?jù)拓?fù)湫畔ふ业阶罴崖酚桑瑢?shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種數(shù)據(jù)包的轉(zhuǎn)發(fā)。路由信息的正確與否嚴(yán)重影響著網(wǎng)絡(luò)中報(bào)文傳輸?shù)男剩踔聊軌蛴绊憟?bào)文使之無法到達(dá)目的地，嚴(yán)重時(shí)甚至?xí)拐麄€(gè)網(wǎng)絡(luò)陷于癱瘓。安全的路由協(xié)議是保證網(wǎng)絡(luò)安全的重要因素之一，因此對(duì)于路由協(xié)議的安全改造成為了當(dāng)前研究的熱點(diǎn)之一。

OSPF協(xié)議是一種典型的鏈路狀態(tài)路由協(xié)議，用于在一個(gè)自治系統(tǒng)內(nèi)的路由器之間傳遞路由消息并發(fā)布路由信息。使用OSPF協(xié)議的路由器之間彼此交換信息并保存整個(gè)網(wǎng)絡(luò)的鏈路狀態(tài)信息到鏈路狀態(tài)數(shù)據(jù)庫中，從而根據(jù)鏈路狀態(tài)數(shù)據(jù)庫描繪出整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，計(jì)算出每個(gè)路由器以其自身為根節(jié)點(diǎn)的最短路徑樹，從而形成路由表。由于OSPF協(xié)議具有優(yōu)秀的網(wǎng)絡(luò)可擴(kuò)展性和快速匯聚的特點(diǎn)，目前已被廣泛運(yùn)用，但這并不代表OSPF協(xié)議具有抵御惡意攻擊的能力。OSPF協(xié)議的正確運(yùn)行完全依賴于對(duì)于鄰居路由器及其信息的信任，但這種信任是盲目的，路由器不可避免地會(huì)傳播偶然的或有預(yù)謀的錯(cuò)誤路由信息，路由協(xié)議本身存在著容易受攻擊的安全漏洞。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種基于信任管理系統(tǒng)的IP路由協(xié)議的可信改造方法，該方法在OSPF協(xié)議基礎(chǔ)上，對(duì)整個(gè)協(xié)議的工作過程進(jìn)行適當(dāng)?shù)母脑欤诓挥绊慜SPF協(xié)議原有擴(kuò)展性和快速匯聚性能的基礎(chǔ)上，添加以信任值為評(píng)估機(jī)制的路由器之間的信任評(píng)估策略，根據(jù)這一策略計(jì)算可信最短路徑樹，生成可信路由表。可信路由表中的distance值融合了路由器之間的信任值。

本發(fā)明提出的技術(shù)問題是這樣解決的：提供一種基于信任管理系統(tǒng)的IP路由協(xié)議的可信改造方法，其實(shí)現(xiàn)過程包括以下步驟：

1)路由器申請(qǐng)注冊(cè)入網(wǎng)：路由器接入網(wǎng)之前需要向信任管理系統(tǒng)(TrustManagementSystem)申請(qǐng)注冊(cè)，獲取自己的信任證書。

2)路由器發(fā)送Hello消息探知鄰居：每個(gè)路由器需要得到所有鄰居的信任證書，并從中獲取鄰居的綜合信任值，信任證書的載體是hello消息包，每個(gè)路由器設(shè)置一個(gè)計(jì)時(shí)器，用來定時(shí)向鄰居發(fā)送一次hello消息(消息中包括從信任管理系統(tǒng)TMS獲取的信任證書)，從而來維持鄰居間的鄰接關(guān)系。

3)計(jì)算對(duì)鄰居路由器的總信任值：每個(gè)路由器獲取五個(gè)參數(shù)(鏈路流量、丟包率、延時(shí)、包的轉(zhuǎn)發(fā)率、包的可信度)，計(jì)算出對(duì)鄰居路由器的主觀信任值，再與綜合信任值計(jì)算出總的信任值，總的信任值用來參與路由表的計(jì)算。

4)計(jì)算可信路由表：路由協(xié)議的核心是計(jì)算路由表，在3)中已經(jīng)計(jì)算出對(duì)鄰居路由器的總信任值，然后把總信任值填入Router_LSA的16bit的metric字段中，每個(gè)路由器生成自身的Router_LSA，然后同步連接狀態(tài)數(shù)據(jù)庫，計(jì)算可信最短路徑樹，生成可信路由表。

5)信任值定時(shí)更新：路由器定期將本路由器中存儲(chǔ)的各鄰居路由器的主觀信任值上報(bào)給TMS，由TMS進(jìn)行各路由器的信任值更新。

附圖說明

圖1是信任管理系統(tǒng)TMS與路由器之間的整體系統(tǒng)架構(gòu)圖；

圖2是路由器申請(qǐng)注冊(cè)入網(wǎng)并獲取信任證書示意圖；

圖3是信任值定時(shí)更新示意圖；

圖4是路由器之間發(fā)送Hello消息維持鄰接狀態(tài)示意圖；

圖5是路由器的數(shù)據(jù)庫存儲(chǔ)示意圖；

圖6是總信任值計(jì)算過程示意圖；

圖7是整個(gè)IP網(wǎng)路由協(xié)議的可信路由表改造方法的業(yè)務(wù)流程圖。

具體實(shí)施方式

下面結(jié)合附圖說明和具體實(shí)施方式，對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說明。

針對(duì)OSPF路由協(xié)議存在的容易受攻擊的安全漏洞，本發(fā)明提出了一種相應(yīng)的改進(jìn)方案：一種基于信任值的IP網(wǎng)路由協(xié)議的可信路由表改造方法。圖1是本方案中在路由器之間以及路由器與信任管理系統(tǒng)之間使用信任值以及信任證書的核心機(jī)制。圖7是本核心機(jī)制在整個(gè)協(xié)議工作過程中所體現(xiàn)出來的業(yè)務(wù)流程。

本發(fā)明適用于通用意義上的IP網(wǎng)絡(luò)環(huán)境，發(fā)明中所提出的可信最短路徑樹以及可信路由表的建立，將有效避免錯(cuò)誤路由信息的傳播，實(shí)現(xiàn)路由協(xié)議的可信改造。

1、實(shí)現(xiàn)過程需要的一些定義

[定義1]：信任證書