一种路由器的可信改造方法 【技术领域】
本发明涉及IP网络的通信安全领域,特别是涉及一种路由器的可信改造及流量控制方案。该方法根据IP网络中的IP数据包包头字段携带的信任值信息,对网络中的IP数据包进行标记,分类,排队和必要的丢包等操作,以保证网络的安全和可信。
背景技术
随着信任特别是信任管理技术研究的不断升温,网络安全正向着网络可信方向发展,未来网络安全是增加行为可信的可信网络,这也是网络安全研究领域近年来取得的一个新的共识。信任管理技术通过对信任关系特性、信任模型和信任关系的维护手段的研究,试图通过网络交互达到传统交互手段同样的信任水平。信任是简化IP网络中复杂的信任关系管理问题的有效手段,信任关系建模和管理技术解决了IP网络应用中自主实体之间的信任关系的建立、维护和管理的问题,并利用信任和信誉机制规范了分布式应用中的实体行为,达到了信任、激励和惩戒的作用。
目前对于信任管理技术的研究还仅仅停留在建模与优化的阶段,并没有出现一个比较具有现实意义的信任管理基础设施的方案与实现,来满足网络的安全与信任需求。特别是对于网络中最重要的物理连接设备——路由器,目前并没有一个将信任管理这个新的研究方向和思路用于路由器以保证网络在连接和传输过程中的安全可信的方案。
在此实际情况下,将信任管理用于路由器和网络的安全可信保障上,研究通过信任管理基础设施,保证网络中的路由器之间的可信,继而通过这些可信路由器之间的通信建立可信路由,从而保证整个网络中路由的可信和数据包的可信。这是本发明试图解决的问题。
【发明内容】
本发明主要解决的问题在于提供一种路由器的可信改造方法。主要基于IP网络中的IP数据包包头字段携带的信任值信息,对网络中的IP数据包进行标记,分类,排队和必要的丢包等操作,优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,从而使整个网络更加可信、安全。
为部署本发明提供的这种可信路由器,将每一个城域网设定为一个信任域,对于特大型的城域网,可以将它划分为多个信任域。每个信任域的包含接入层路由器、汇聚层路由器和核心层路由器。可信路由器主要工作于用户接入层和汇聚层。为保证网络的传输速度,网络的核心层不进行相关的信任与流量控制工作,只负责包的交换和转发。
所述信任域中除了现有IP网络的控制中心之外,需要加入一个信任管理系统中心(TrustManagement System,TMS)。TMS的主要职能是管理域内所有可信路由器及其他安全设施,为其授权和相互间信任关系进行定义与更新,主要形式是信任证书。
所述信任证书是由TMS分发的,针对每一个设备的特制证书。它的主要内容包含设备ID、所属信任域、身份、信任值、证书认证机构、证书签名等主要内容。证书中携带的信任值是定期更新的,并且与设备在网络中的行为有关。由设备定期向TMS下载。
所述可信路由器上运行地是由Linux系统进行裁剪之后的特制系统。可信路由器之间通过改造的可信路由协议建立邻接关系,并与TMS进行注册挂接和通信保持。
所述可信路由器主要包含两部分:信任控制块(Trust Control Block,TCB)部分和路由与流量控制块(Rout ing and Traffic Control,RTCB)部分。
所述信任控制块(TCB)部分,用于信任策略的形成。采集当前网络性能与网络实时状况参数,与路由协议部分和TMS进行交互,接受路由协议和TMS以及本地控制台的实时控制命令,融合成具体的信任策略,指挥可信路由器的流量控制与路由。
所述信任策略,用于反映本地路由器对于到达本地的网络数据包的可信度的认可。它的形成主要基于数据包的源端结点和目的结点在网络中的既往历史行为(由TMS提供)、上一跳邻接路由器与其本身的既往历史协作行为(由本地和可信路由协议提供)、以及网络当前状况(由TMS提供)等三个方面。它用于具体指挥可信路由器的路由与流量控制。
所述路由与流量控制块(RTCB)部分,用于进行具体的路由与流量控制的实施,达到优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素等最终设计目标。其主要包括报分标记、报分分类、报分排队和丢包管制四个子模块。
附图说明下面结合附图和具体实施方式,对本发明做进一步的详细说明。
附图1是本发明的总体结构图。
附图2是本发明的信任策略形成图。
附图3是本发明的排队队列示意图。
【具体实施方式】
附图1是本发明的总体结构图。所述信任控制块(TCB)部分的网络测量与流量监测子模块,主要是针对与此路由器建立邻接关系的路由器,参数主要包括:端到端可达性、端到端延迟、端到端丢包率、吞吐率、链路流量等。这些参数使用fping工具和ntop以及linux本身提供的IP统计功能等来获取。得到这些参数之后,路由器保留一份在本地,并定期将其上传给TMS供TMS和本路由器的邻居路由器在需要的时候使用。
附图2是本发明的信任策略形成图。所述信任控制块的信任策略,用于向可信路由器发布具体的路由策略,指挥其进行流量控制与路由。它主要根据数据包的来源、上一跳路由器、下一跳路由器、目的用户以及数据包协议,根据这五方在网络中过往行为的记录,动态调整本地路由器应该对此类数据包进行转发时的控制策略。
所述可信路由器的流量与路由控制部分用于可信路由器具体实施对到达的数据包的进栈、路由、出栈、排队等的控制。基于IP网络IPv4数据包包头服务类型(Type of Service,TOS)字段或者IPv6数据包的通信类别(Traffic Class,TC)字段携带的信任值进行流量控制。包头的信任值在数据包由用户主机经过接入层路由器进入网络时,由接入层路由器进行初始化。
所述包含信任值的IP数据包到达可信路由器之后,可信路由器依据其信任值和该包的来源按照信任策略的指导进行信任值的动态调整,并依据信任值的高低由可信路由器进行相关的报文分类、入队管理、队列调度以及可能的丢包管制操作。这部分的功能主要是利用iproute2工具包来实现和操控的。
所述可信路由器的报文标记子模块,用于对进入路由器的IP数据包,依据本地路由器对其来源路由器的信任策略,对数据包包头的信任值字段进行必要的调整和修正,将本地认可的信任值写入其中,表现出本地路由器对该数据包可信程度的判断。此部分的实现由C代码实现,利用netfilter提供的框架,将数据包从内核空间钩到用户空间,读取本地信任策略,修改信任值,写回数据包IP包头,重新计算数据包校验和,并重新传回内核空间进行数据包的转发。
所述报文分类模块是对进入路由器的IP数据包进行分类处理的程序。其采用U32分类器对到达的IP数据包进行指定字段的匹配(源MAC地址,源目的地址,源端口,目的地址,目的端口,TOS字段等),按照预先制定的信任策略将不同信任值的IP数据包送入不同的队列,供丢包管制与报文排队子模块进行处理。
所述丢包管制模块主要的功能是为了防止网络中可能出现的拥塞,在出口流量队列中采取的一种基于RED的提前丢包算法,通过主动地提前地丢包行为,将网络中信任值较低的IP数据包以一定的比率丢弃掉,以减少网络负载,降低网络拥塞出现的可能,优先保证信任值高的IP数据包的通过和最终到达目的地,使得网络更加安全可信。
所述队列管理模块的主要功能是依据信任值调整IP数据包的出队顺序,主要实现:设置N个优先级不同的出口队列,在数据包分类之后,将信任值高的数据包放入出口优先级高的队列中;同时还实现在优先权相对较低的队列中进行RED算法的主动丢包。
附图3是可以采用的一种数据包排队机制示意。比如,在实现IPv4的网络时,利用IP包头的TOS字段的前三位的优先级字段,将数据包分为3大类8小类。信任值为6-7的数据包输入信任值较高的大类,3-5的属于中等的大类,0-2的数据较低的大类。将信任值最高的6和7的数据包过滤至附图中最上面的类1:21,为了防止这个类过度的消耗带宽资源而饿死其他队列,在这里采用一个令牌桶(TBF)队列规定对其限速。将信任值为3-5和0-2的数据包分别放入1:31和1:40这两个类。这两个类和前面的1:21三个类是一个优先权队列规定,1:21最高,1:40最低,1:31居中。而1:31和1:40这两个队列分别是两个GRED队列规定,他们各自配置了三个虚拟队列,对应各种的三类不同信任值的数据包。这样,在每一个GRED类中实现针对信任值不同而丢包概率不同的RED丢包算法。在出队队列的平均队列长度在RED算法的最小阀值和最大阀值之间时,信任值与数据包被丢弃的概率成反比,信任值越高的数据包被丢掉的概率越小。
当然,随着本地CLI命令,路由协议以及TMS的通信,他们都可以对路由器的流量控制行为进行调整,表现在信任策略的形成上,从而影响路由和包转发的具体实施。
并且,队列管理还可以有其他的算法可供选择,这里只是举出一个示意图。只要达到最终使得优先保证更可信的IP数据包在网络中的传输可靠性和传输速度,并主动地延迟或丢弃信任值较低的数据包以面对潜在的网络拥塞和攻击等不安全因素,使整个网络更加可信、安全的目标即可。