關(guān)于路由的安全性、服務(wù)質(zhì)量及監(jiān)測管理技術(shù)的研究

隨著科學(xué)技術(shù)的不斷發(fā)展，信息成為推動社會發(fā)展的巨大動力，信息傳播的載體——信息網(wǎng)絡(luò)尤其是互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ骱蜕畈豢苫蛉钡?a href="http://ttokpm.com/v/tag/1301/" target="_blank">通信平臺。然而，隨著網(wǎng)絡(luò)用戶數(shù)的不斷增加，無論是網(wǎng)絡(luò)規(guī)模還是路由條目數(shù)量都經(jīng)歷著前所未有的加速增長，同時用戶的服務(wù)需求也呈現(xiàn)出多樣化的發(fā)展趨勢，傳統(tǒng)互聯(lián)網(wǎng)“盡力而為”轉(zhuǎn)發(fā)的設(shè)計理念在現(xiàn)實網(wǎng)絡(luò)環(huán)境下暴露出越來越多的缺陷，很難滿足包括路由規(guī)?？蓴U展性、流量工程、路由備份及多路選擇、路由安全性以及網(wǎng)絡(luò)服務(wù)質(zhì)量保障等方面日益苛刻的需求。

路由體系及理論作為互聯(lián)網(wǎng)的核心支撐，在當(dāng)前網(wǎng)絡(luò)需求下，迫切需要得到進一步的擴充和完善。未來的路由機制應(yīng)該具有新的特性，使得網(wǎng)絡(luò)能夠適應(yīng)規(guī)模增大而具有良好的可擴展性；使得網(wǎng)絡(luò)使用者和運營者有更大的操作空間而具有較好的靈活性；使得網(wǎng)絡(luò)能夠充分應(yīng)對各種網(wǎng)絡(luò)攻擊而具有更好安全性；使得網(wǎng)絡(luò)能夠滿足不同業(yè)務(wù)的需求而具有更好的服務(wù)質(zhì)量保證等，這些關(guān)鍵點已經(jīng)為越來越多的科研工作者所認同。為此，世界各國政府或研究機構(gòu)都在制訂和實施相應(yīng)的研究計劃，如美國的GENI[1]和FIND[2]計劃，歐盟的FIRE[3]計劃，中國的國家高技術(shù)研究發(fā)展計劃（“863”）和國家重點基礎(chǔ)研究發(fā)展規(guī)劃（“973”）等，力圖建立新的路由體系理論及機制使未來網(wǎng)絡(luò)充分滿足上述需求。

1 路由理論相關(guān)研究

當(dāng)前針對路由理論的研究之一首先體現(xiàn)在路由體系結(jié)構(gòu)方面，著重解決路由規(guī)模的可擴展性問題。為此，互聯(lián)網(wǎng)結(jié)構(gòu)委員會（IAB）于2006年10月在荷蘭舉辦了首次“路由與地址工作組會議”。會議重點討論并確定造成互聯(lián)網(wǎng)路由可擴展性問題的主要因素，形成了清晰的描述互聯(lián)網(wǎng)路由可擴展問題的文檔，該文檔分析了導(dǎo)致全局路由表的規(guī)?？焖僭鲩L的幾個重要原因、阻礙路由器技術(shù)快速發(fā)展的約束條件以及互聯(lián)網(wǎng)地址結(jié)構(gòu)中所存在的局限性。該文檔已于2007年9月正式成為RFC標準（RFC4984）[4]。

目前，因特網(wǎng)研究任務(wù)組IRTF成立了路由研究工作組RRG，主要進行互聯(lián)網(wǎng)路由可擴展問題的研究。目前RRG工作組中的提案包括AIRA、APT、CRIO、LISP、IPvLX、IVIP、Six/One、TAMARA和TRRP等[5]?？v觀這些研究方案，其主要核心思想都是要將通信中節(jié)點的身份標志與位置標志相分離，解決傳統(tǒng)互聯(lián)網(wǎng)IP地址語義重載的局限性，只不過對現(xiàn)有網(wǎng)絡(luò)路由機制的變動程度有所不同而已。但目前RRG工作組中的各種技術(shù)方案尚停留在討論階段，缺少必要的試驗或仿真加以支持。

除此，解決當(dāng)前互聯(lián)網(wǎng)路由可擴展問題的提案還有NIRA[6]、HLP[7]、ROFL、AIP等。NIRA為主機提供了一種通過不同地址來選擇不同路由路徑的機制，通過嚴格的分等級地址分配策略，NIRA可以改善路由的可擴展性問題。HLP是作為BGP的替代協(xié)議提出的一種路由協(xié)議，同時采用了鏈路狀態(tài)和路徑向量兩種方式，是一種混合式分等級的路由協(xié)議，在一定程度上可以解決路由可擴展問題。ROFL是一種完全基于平面標簽的新穎路由方式，其有效性和實用性還有待進一步的研究和驗證。AIP采用自認證的地址層次結(jié)構(gòu)試圖解決網(wǎng)絡(luò)欺騙以及路由安全等問題，但也仍處于討論和研究階段。

對傳統(tǒng)路由理論技術(shù)的研究，也一直是學(xué)術(shù)界關(guān)注的熱點，目前的研究主要體現(xiàn)以下幾個方面：

（1）路由安全性研究

現(xiàn)有互聯(lián)網(wǎng)中的路由協(xié)議在設(shè)計之初，僅考慮到網(wǎng)絡(luò)目的的一個方面，即為網(wǎng)絡(luò)中的節(jié)點或應(yīng)用提供路由的可達性信息，而且這種路由可達性信息的交互傳送建立在網(wǎng)絡(luò)節(jié)點處于一個互相可信任的團體環(huán)境中的假定條件之下，而這種假定條件在現(xiàn)有的網(wǎng)絡(luò)中已難以時時成立?，F(xiàn)有互聯(lián)網(wǎng)大量路由安全事件的發(fā)生，使得人們不得不重新考慮路由機制的安全性。早在2002年，文獻[10]就系統(tǒng)指出了域間路由協(xié)議BGP存在的安全缺陷。盡管關(guān)于提升BGP安全的方案S-BGP[11]，soBGP[12]等被陸續(xù)被提出，但到目前尚未真正實施。

（2）路由可靠性研究

現(xiàn)有互聯(lián)網(wǎng)中的路由協(xié)議，對一個給定的前綴只能查找到唯一的一條“最佳”路徑到達目的端。當(dāng)網(wǎng)絡(luò)的節(jié)點在遭受攻擊或者出現(xiàn)鏈路故障時，現(xiàn)有的路由協(xié)議不具備良好的保護機制和快速恢復(fù)能力，很難提供穩(wěn)定可靠的網(wǎng)絡(luò)服務(wù)。在路由可靠性研究方面，文獻[13]和文獻[14]分別給出了快速重路由和多拓撲路由機制；文獻[15]在避讓失效節(jié)點和鏈路提供域間路由多樣性等方面進行了探索研究；文獻[16]則給出可供用戶選擇的路徑多樣性方案。這些工作給路由可靠性研究指出了前進的方向。

（3）路由可控可管性研究

現(xiàn)有的路由機制對網(wǎng)絡(luò)中可能出現(xiàn)的諸如個別節(jié)點癱瘓導(dǎo)致的路由中斷，個別節(jié)點或系統(tǒng)的加入引起的路由紊亂，P2P流量肆意占用帶寬、各種網(wǎng)絡(luò)病毒的感染傳播和攻擊引起的網(wǎng)絡(luò)資源緊缺等不規(guī)則網(wǎng)絡(luò)行為，很難做到及時探測、快速定位追蹤以及及時合理的處理不規(guī)則網(wǎng)絡(luò)行為；此外，網(wǎng)絡(luò)節(jié)點眾多，規(guī)模龐大，也給網(wǎng)絡(luò)配置管理帶來一定的復(fù)雜性。文獻[17]對網(wǎng)絡(luò)中可能存在的域間路由流量劫持的探測技術(shù)進行了研究，文獻[18]給出了推導(dǎo)企業(yè)網(wǎng)絡(luò)故障定位的方法，文獻[19]則建議利用專門信道進行網(wǎng)絡(luò)路由的管理。盡管如此，有關(guān)路由的可控可管性尚未形成行之有效的解決方案，未來路由機制的監(jiān)管以及高效配置機制尚需完善。

（4）路由服務(wù)質(zhì)量研究

現(xiàn)有互聯(lián)網(wǎng)所提供的是“盡力而為”的轉(zhuǎn)發(fā)服務(wù)，在這種服務(wù)模型下，所有的業(yè)務(wù)流被“一視同仁”公平地競爭網(wǎng)絡(luò)資源，業(yè)務(wù)流傳輸?shù)目煽啃?、延遲性等服務(wù)質(zhì)量要求得不到任何保證。對此，IETF先后提出了集成服務(wù)[20]和區(qū)分服務(wù)[21]兩種服務(wù)質(zhì)量體系結(jié)構(gòu)，然而這兩種方案在可擴展性和公平性等方面各有不足。多協(xié)議標簽交換（MPLS）[22]將IP路由控制和第二層交換的簡單性無縫地集成起來，在不改變用戶現(xiàn)有網(wǎng)絡(luò)的情況下能提供高速、安全、多業(yè)務(wù)統(tǒng)一的網(wǎng)絡(luò)平臺。盡管當(dāng)前MPLS被廣泛使用，但其在網(wǎng)絡(luò)傳輸效率，網(wǎng)絡(luò)兼容性，配置復(fù)雜性，網(wǎng)絡(luò)成本以及服務(wù)質(zhì)量顆粒度等方面的不足，還不足以滿足當(dāng)前多種業(yè)務(wù)的發(fā)展要求。

總之，當(dāng)前網(wǎng)絡(luò)路由機制在安全、可靠、可控、可管等網(wǎng)絡(luò)可信問題的研究上，上述提到的各個研究方案主要停留在理論或應(yīng)用的某個局部目標，他們所作的只是現(xiàn)有網(wǎng)絡(luò)路由可信任問題的點滴修補，尚沒有形成完整的、系統(tǒng)的可充分滿足用戶和網(wǎng)絡(luò)需求的路由理論體系，因而也就未能從根本上解決網(wǎng)絡(luò)路由的可信任問題。

2 可信路由內(nèi)涵

可信系統(tǒng)的概念最早由J.P. Anderson教授在20世紀70年代初期提出，最初只被用于描述信息的可用性、完整性和機密性。后來當(dāng)其被應(yīng)用到網(wǎng)絡(luò)時，傳統(tǒng)的路由機制在安全性，可靠性，可控可管等方面暴露了諸多問題。我們說一個系統(tǒng)是可信的，通常是指系統(tǒng)的行為和結(jié)果是可預(yù)期的。推而廣之，可信路由是指網(wǎng)絡(luò)在任何情況下，都能按照用戶及網(wǎng)絡(luò)運營者的預(yù)期為用戶提供安全、可靠、可控可管的、滿足用戶網(wǎng)絡(luò)服務(wù)質(zhì)量需求的路由。為此，可信路由的設(shè)計要求應(yīng)包含以下幾方面：

（1）空間隔離保護

應(yīng)區(qū)分接入網(wǎng)和核心網(wǎng)，分別引入不同的標志空間，在核心網(wǎng)和接入網(wǎng)間部署邊界路由設(shè)備，提供基于標志的映射服務(wù)，從而使路由規(guī)模的變化獨立于用戶網(wǎng)絡(luò)規(guī)模的大小，使網(wǎng)絡(luò)具有更好的可擴展性，同時充分保證核心網(wǎng)絡(luò)設(shè)備的安全。

（2）身份與位置分離

應(yīng)將節(jié)點的身份與位置信息分離，建立全網(wǎng)統(tǒng)一的身份與位置映射機制，實現(xiàn)映射信息安全、快捷的在線管理，實現(xiàn)節(jié)點位置的隱私性保護以及節(jié)點移動情況下的持續(xù)連接，從而滿足用戶越來越強的移動性以及隱私性需求。

（3）可信路由尋址

應(yīng)采用必要的身份鑒別機制以及路由消息的安全傳輸機制，確保路由節(jié)點的身份的真實性，路由可達性信息的保密性、完整性；實現(xiàn)網(wǎng)絡(luò)路由節(jié)點間多路機制，同時應(yīng)提供路由的備份以及快速恢復(fù)能力，從而使網(wǎng)絡(luò)具有更加安全可靠的服務(wù)能力。

（4）服務(wù)質(zhì)量保證

應(yīng)采用集中和分布式相結(jié)合的方式，充分提取網(wǎng)絡(luò)資源利用狀態(tài)，針對不同的業(yè)務(wù)應(yīng)用及其服務(wù)質(zhì)量需求，提供滿足需求的更高粒度區(qū)分的路由。

（5）網(wǎng)絡(luò)安全防護

應(yīng)建立健全全網(wǎng)分布式安全檢測防護系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)狀態(tài)的綜合分析，同時提供一定的網(wǎng)絡(luò)錯誤診斷能力和行之有效的安全管理機制及策略，使網(wǎng)絡(luò)路由機制具有更好的可控可管性。

3 可信路由參考機制

3.1 可信路由體系結(jié)構(gòu)模型

基于以上對可信路由理論技術(shù)的研究，本節(jié)提出了一種可信路由體系結(jié)構(gòu)模型，新結(jié)構(gòu)采用不同的網(wǎng)絡(luò)標志分別代表主機的身份信息和位置信息，并且把原IP網(wǎng)的單一地址空間劃分為兩個不同的標志空間，兩個標志空間內(nèi)分別采用不同的路由方式，并形成相對獨立的路由空間，兩個標志（路由）空間之間通過標志映射的方法完成尋址和選路。新網(wǎng)絡(luò)結(jié)構(gòu)劃分為接入網(wǎng)和核心網(wǎng)，包含兩種標志：接入標志和交換路由標志。接入標志代表了終端的身份信息，只能在接入網(wǎng)使用，而交換路由標志代表了終端的位置信息，只能在核心層使用。新路由體系結(jié)構(gòu)采用“間接通信”模式連接兩個標志空間：在接入網(wǎng)采用接入標志轉(zhuǎn)發(fā)數(shù)據(jù)，而在核心網(wǎng)采用內(nèi)部的交換路由標志替代接入標志轉(zhuǎn)發(fā)；接入網(wǎng)負責(zé)各種通信終端的接入，核心網(wǎng)進行控制管理和交換路由。新可信路由體系結(jié)構(gòu)如圖1所示。

在上述的可信路由體系結(jié)構(gòu)參考模型中，接入網(wǎng)與核心網(wǎng)的分離，使得接入網(wǎng)的動態(tài)變化不會出現(xiàn)在的核心網(wǎng)上，保證了核心網(wǎng)的相對穩(wěn)定；接入網(wǎng)的多家鄉(xiāng)、流量工程等也不會引起核心網(wǎng)的路由表的增長和不穩(wěn)定。代表用戶身份的接入標志不會在核心網(wǎng)上傳播，使得其他用戶不能通過截獲核心網(wǎng)的信息分析用戶的身份，保證了用戶身份的隱私性；也不可能通過用戶的身份來截獲他們的信息，保證了用戶信息的安全性。同時，接入網(wǎng)內(nèi)的終端無法知道核心網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)施的交換路由標志或是其他終端的交換路由標志；接入網(wǎng)內(nèi)的終端也就無法針對核心網(wǎng)的網(wǎng)絡(luò)設(shè)施或是某一終端進行攻擊，保證了核心網(wǎng)網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)的安全性。新路由結(jié)構(gòu)仍分為域內(nèi)路由和域間路由兩部分。

3.2 可信域內(nèi)路由

新可信路由體系結(jié)構(gòu)域內(nèi)路由采用集中式和分布式路由相結(jié)合的方式，如圖2所示。在每個域內(nèi)用一個可信路由管理服務(wù)器作為集中可信路由管理層；其他基礎(chǔ)網(wǎng)絡(luò)設(shè)備組成分布式交換路由層。交換路由層除運行傳統(tǒng)的鏈路狀態(tài)協(xié)議外進行路由轉(zhuǎn)發(fā)外，還通過全局流標簽的轉(zhuǎn)發(fā)的方式進行轉(zhuǎn)發(fā)。

可信路由管理服務(wù)器和交換路由器組成公鑰基礎(chǔ)設(shè)施（PKI）結(jié)構(gòu)，可信路由管理器作為可信第三方，負責(zé)認證域內(nèi)的交換路由器的認證，并分配公私鑰。交換路由器之間通過簽名機制對路由通告相互認證。可信路由管理服務(wù)同時收集域內(nèi)的網(wǎng)絡(luò)狀況，為相應(yīng)的數(shù)據(jù)流分配全局流標簽，同時在相應(yīng)的交換路由上建立起流標簽轉(zhuǎn)發(fā)表，使數(shù)據(jù)路在轉(zhuǎn)發(fā)路徑上快速轉(zhuǎn)發(fā)。這種方式保留了傳統(tǒng)單路徑路由的路由尋址方式的同時，增加了域內(nèi)網(wǎng)絡(luò)資源的統(tǒng)一調(diào)度和管理機制，可以為不同的數(shù)據(jù)流在不同的條件下，建立不同的轉(zhuǎn)發(fā)路徑，避免網(wǎng)絡(luò)擁塞，保證服務(wù)質(zhì)量，增加網(wǎng)絡(luò)的可用性，保證了網(wǎng)絡(luò)的可控可管性。

3.3 可信域間路由

新可信路由體系結(jié)構(gòu)域間路由采用的是基于自認證（Self-certifying）的自治域號的多路徑路由方式，如圖3所示。因為域間路由更多的是體現(xiàn)了自治域之間的商業(yè)競爭關(guān)系，無法建立起基于可信第三方的PKI結(jié)構(gòu)，采用基于自認證的自治域號路由就很好的解決地址欺騙的問題。每個域的自治域號為其公鑰的Hash值，通過這種命名體系，保證了地址的不可欺騙、抵賴性。再建立起互信后，每對互信自治域之間再建立基于私鑰體制的后續(xù)通告加密算法，這樣可以加快解密的效率。

路由的通告路徑時，每個自治域根據(jù)策略可通告多條路徑，保證每個自治域的獨立性和路由的可控制性。通告中包含完整的路徑信息，保證了豐富的路由策略。每個域建立多路徑的轉(zhuǎn)發(fā)表，發(fā)送端通過源路由的方式進行域間選路。發(fā)送數(shù)據(jù)前，發(fā)送端的可信路由管理通過可信路由管理層與路徑上的其他域內(nèi)的可信路由管理器協(xié)商服務(wù)等級、流量等消息。同時在每個包頭加入認證消息，用作去其他域的授權(quán)和認證數(shù)據(jù)包。

4 可信路由關(guān)鍵技術(shù)研究

4.1 映射可擴展技術(shù)

接入網(wǎng)與核心網(wǎng)分離以及節(jié)點身份與位置分離縱然使得網(wǎng)絡(luò)路由機制得到良好的可擴展性，但大量接入標志和交換路由標志的映射信息的存儲及維護無疑帶來了映射系統(tǒng)自身的可擴展性問題。解決好大規(guī)模映射信息存儲，更新頻率以及查詢時延等問題，仍是未來可信路由需要研究的關(guān)鍵技術(shù)之一。

4.2 路由信任機制

解決路由機制的可信問題，首先需要解決路由節(jié)點之間的信任問題。只有參與路由的網(wǎng)絡(luò)節(jié)點彼此信任，才能確保網(wǎng)絡(luò)節(jié)點后續(xù)的網(wǎng)絡(luò)行為以及傳送的信息的真實性、可用性。其次，路由消息傳輸?shù)陌踩诳尚怕酚蓹C制中，也是不可或缺的組成部分，是保證路由信息可用性的前提。

4.3 多徑路由技術(shù)

在現(xiàn)有網(wǎng)絡(luò)中運行的路由協(xié)議及算法通常只能根據(jù)一種規(guī)則選取一條到目的的路由條目，只是理論上保證路由是連通的。一旦該條鏈路上的節(jié)點失效，路由協(xié)議將面臨較長的收斂過程，導(dǎo)致的可靠性差。未來的可信路由要同時提供多條備份路徑，并且可以在鏈路失效和拓撲變化時，進行了快速切換，增加路由的可靠性。研究基于多個下一跳的多徑路由技術(shù)，對于提高可信路由機制的可靠性非常重要。

4.4 服務(wù)質(zhì)量保證

當(dāng)前用戶服務(wù)需求的多樣性對網(wǎng)絡(luò)路由機制提出了更高的粒度需求。新的可信路由機制需要將用戶業(yè)務(wù)的服務(wù)質(zhì)量要求盡量無失真地映射到路由機制中，為用戶提供最大限度質(zhì)量需求保證的路由。研究適用普適服務(wù)要求的，能充分滿足業(yè)務(wù)帶寬、延遲、抖動和丟包率等服務(wù)質(zhì)量要求的路由機制，對體現(xiàn)路由的可信具有重要意義。

4.5 路由監(jiān)測管理技術(shù)

可信路由機制要求網(wǎng)絡(luò)行為和結(jié)果是可以預(yù)期的，保證給用戶提供滿足其業(yè)務(wù)需求的網(wǎng)絡(luò)傳送服務(wù)。因此在可信路由機制下，首先要做到網(wǎng)絡(luò)狀態(tài)的可監(jiān)測性，而且具備對異常網(wǎng)絡(luò)行為的快速診斷、追蹤定位以及自我修復(fù)能力，其次，高效的配置管理也是可信路由機制追求的目標。

5 結(jié)束語

隨著網(wǎng)絡(luò)規(guī)模增大，用戶移動，多宿主，網(wǎng)絡(luò)流量工程廣泛使用以及用戶業(yè)務(wù)需求多樣化的發(fā)展趨勢，傳統(tǒng)路由體系理論無法從根本上解決路由的可信任問題，亟待新的可信路由理論體系出現(xiàn)，從而為用戶以及網(wǎng)絡(luò)運營者提供充分滿足其需求的可信任路由。

因此，本文在對當(dāng)前路由理論研究現(xiàn)狀介紹和總結(jié)的基礎(chǔ)上，給出了未來可信路由機制的內(nèi)涵，并據(jù)此給出了一套適合未來網(wǎng)絡(luò)需求的可信路由參考機制，最后對可信路由涉及的關(guān)鍵技術(shù)進行了研究和探討。