可信路由技術(shù)

路由體系及理論作為互聯(lián)網(wǎng)的核心支撐，在當前網(wǎng)絡(luò )需求下，迫切需要得到進(jìn)一步的擴充和完善。未來(lái)的路由機制應該具有新的特性，使得網(wǎng)絡(luò )能夠適應規模增大而具有良好的可擴展性;使得網(wǎng)絡(luò )使用者和運營(yíng)者有更大的操作空間而具有較好的靈活性;使得網(wǎng)絡(luò )能夠充分應對各種網(wǎng)絡(luò )攻擊而具有更好安全性;使得網(wǎng)絡(luò )能夠滿(mǎn)足不同業(yè)務(wù)的需求而具有更好的服務(wù)質(zhì)量保證等，這些關(guān)鍵點(diǎn)已經(jīng)為越來(lái)越多的科研工作者所認同。為此，世界各國政府或研究機構都在制訂和實(shí)施相應的研究計劃，如美國的GENI[1]和FIND[2]計劃，歐盟的FIRE[3]計劃，中國的國家高技術(shù)研究發(fā)展計劃(“863”)和國家重點(diǎn)基礎研究發(fā)展規劃(“973”)等，力圖建立新的路由體系理論及機制使未來(lái)網(wǎng)絡(luò )充分滿(mǎn)足上述需求。

　　1 路由理論相關(guān)研究

　　當前針對路由理論的研究之一首先體現在路由體系結構方面，著(zhù)重解決路由規模的可擴展性問(wèn)題。為此，互聯(lián)網(wǎng)結構委員會(huì )(IAB)于2006年10月在荷蘭舉辦了首次“路由與地址工作組會(huì )議”。會(huì )議重點(diǎn)討論并確定造成互聯(lián)網(wǎng)路由可擴展性問(wèn)題的主要因素，形成了清晰的描述互聯(lián)網(wǎng)路由可擴展問(wèn)題的文檔，該文檔分析了導致全局路由表的規?？焖僭鲩L(cháng)的幾個(gè)重要原因、阻礙路由器技術(shù)快速發(fā)展的約束條件以及互聯(lián)網(wǎng)地址結構中所存在的局限性。該文檔已于2007年9月正式成為RFC標準(RFC4984)[4]。

　　目前，因特網(wǎng)研究任務(wù)組IRTF成立了路由研究工作組RRG，主要進(jìn)行互聯(lián)網(wǎng)路由可擴展問(wèn)題的研究。目前RRG工作組中的提案包括AIRA、APT、CRIO、LISP、IPvLX、IVIP、Six/One、TAMARA和TRRP等[5]?？v觀(guān)這些研究方案，其主要核心思想都是要將通信中節點(diǎn)的身份標志與位置標志相分離，解決傳統互聯(lián)網(wǎng)IP地址語(yǔ)義重載的局限性，只不過(guò)對現有網(wǎng)絡(luò )路由機制的變動(dòng)程度有所不同而已。但目前RRG工作組中的各種技術(shù)方案尚停留在討論階段，缺少必要的試驗或仿真加以支持。

　　除此，解決當前互聯(lián)網(wǎng)路由可擴展問(wèn)題的提案還有NIRA[6]、HLP[7]、ROFL[8]、AIP[9]等。NIRA為主機提供了一種通過(guò)不同地址來(lái)選擇不同路由路徑的機制，通過(guò)嚴格的分等級地址分配策略，NIRA可以改善路由的可擴展性問(wèn)題。HLP是作為BGP的替代協(xié)議提出的一種路由協(xié)議，同時(shí)采用了鏈路狀態(tài)和路徑向量?jì)煞N方式，是一種混合式分等級的路由協(xié)議，在一定程度上可以解決路由可擴展問(wèn)題。ROFL是一種完全基于平面標簽的新穎路由方式，其有效性和實(shí)用性還有待進(jìn)一步的研究和驗證。AIP采用自認證的地址層次結構試圖解決網(wǎng)絡(luò )欺騙以及路由安全等問(wèn)題，但也仍處于討論和研究階段。

　　對傳統路由理論技術(shù)的研究，也一直是學(xué)術(shù)界關(guān)注的熱點(diǎn)，目前的研究主要體現以下幾個(gè)方面：

　　(1)路由安全性研究

　　現有互聯(lián)網(wǎng)中的路由協(xié)議在設計之初，僅考慮到網(wǎng)絡(luò )目的的一個(gè)方面，即為網(wǎng)絡(luò )中的節點(diǎn)或應用提供路由的可達性信息，而且這種路由可達性信息的交互傳送建立在網(wǎng)絡(luò )節點(diǎn)處于一個(gè)互相可信任的團體環(huán)境中的假定條件之下，而這種假定條件在現有的網(wǎng)絡(luò )中已難以時(shí)時(shí)成立?，F有互聯(lián)網(wǎng)大量路由安全事件的發(fā)生，使得人們不得不重新考慮路由機制的安全性。早在2002年，文獻[10]就系統指出了域間路由協(xié)議BGP存在的安全缺陷。盡管關(guān)于提升BGP安全的方案S-BGP[11]，soBGP[12]等被陸續被提出，但到目前尚未真正實(shí)施。

　　(2)路由可靠性研究

　　現有互聯(lián)網(wǎng)中的路由協(xié)議，對一個(gè)給定的前綴只能查找到唯一的一條“最佳”路徑到達目的端。當網(wǎng)絡(luò )的節點(diǎn)在遭受攻擊或者出現鏈路故障時(shí)，現有的路由協(xié)議不具備良好的保護機制和快速恢復能力，很難提供穩定可靠的網(wǎng)絡(luò )服務(wù)。在路由可靠性研究方面，文獻[13]和文獻[14]分別給出了快速重路由和多拓撲路由機制;文獻[15]在避讓失效節點(diǎn)和鏈路提供域間路由多樣性等方面進(jìn)行了探索研究;文獻[16]則給出可供用戶(hù)選擇的路徑多樣性方案。這些工作給路由可靠性研究指出了前進(jìn)的方向。

　　(3)路由可控可管性研究

　　現有的路由機制對網(wǎng)絡(luò )中可能出現的諸如個(gè)別節點(diǎn)癱瘓導致的路由中斷，個(gè)別節點(diǎn)或系統的加入引起的路由紊亂，P2P流量肆意占用帶寬、各種網(wǎng)絡(luò )病毒的感染傳播和攻擊引起的網(wǎng)絡(luò )資源緊缺等不規則網(wǎng)絡(luò )行為，很難做到及時(shí)探測、快速定位追蹤以及及時(shí)合理的處理不規則網(wǎng)絡(luò )行為;此外，網(wǎng)絡(luò )節點(diǎn)眾多，規模龐大，也給網(wǎng)絡(luò )配置管理帶來(lái)一定的復雜性。文獻[17]對網(wǎng)絡(luò )中可能存在的域間路由流量劫持的探測技術(shù)進(jìn)行了研究，文獻[18]給出了推導企業(yè)網(wǎng)絡(luò )故障定位的方法，文獻[19]則建議利用專(zhuān)門(mén)信道進(jìn)行網(wǎng)絡(luò )路由的管理。盡管如此，有關(guān)路由的可控可管性尚未形成行之有效的解決方案，未來(lái)路由機制的監管以及高效配置機制尚需完善。

　　(4)路由服務(wù)質(zhì)量研究

　　現有互聯(lián)網(wǎng)所提供的是“盡力而為”的轉發(fā)服務(wù)，在這種服務(wù)模型下，所有的業(yè)務(wù)流被“一視同仁”公平地競爭網(wǎng)絡(luò )資源，業(yè)務(wù)流傳輸的可靠性、延遲性等服務(wù)質(zhì)量要求得不到任何保證。對此，IETF先后提出了集成服務(wù)[20]和區分服務(wù)[21]兩種服務(wù)質(zhì)量體系結構，然而這兩種方案在可擴展性和公平性等方面各有不足。多協(xié)議標簽交換(MPLS)[22]將IP路由控制和第二層交換的簡(jiǎn)單性無(wú)縫地集成起來(lái)，在不改變用戶(hù)現有網(wǎng)絡(luò )的情況下能提供高速、安全、多業(yè)務(wù)統一的網(wǎng)絡(luò )平臺。盡管當前MPLS被廣泛使用，但其在網(wǎng)絡(luò )傳輸效率，網(wǎng)絡(luò )兼容性，配置復雜性，網(wǎng)絡(luò )成本以及服務(wù)質(zhì)量顆粒度等方面的不足，還不足以滿(mǎn)足當前多種業(yè)務(wù)的發(fā)展要求。

　　總之，當前網(wǎng)絡(luò )路由機制在安全、可靠、可控、可管等網(wǎng)絡(luò )可信問(wèn)題的研究上，上述提到的各個(gè)研究方案主要停留在理論或應用的某個(gè)局部目標，他們所作的只是現有網(wǎng)絡(luò )路由可信任問(wèn)題的點(diǎn)滴修補，尚沒(méi)有形成完整的、系統的可充分滿(mǎn)足用戶(hù)和網(wǎng)絡(luò )需求的路由理論體系，因而也就未能從根本上解決網(wǎng)絡(luò )路由的可信任問(wèn)題。

　　2 可信路由內涵

　　可信系統的概念最早由J.P. Anderson教授在20世紀70年代初期提出，最初只被用于描述信息的可用性、完整性和機密性。后來(lái)當其被應用到網(wǎng)絡(luò )時(shí)，傳統的路由機制在安全性，可靠性，可控可管等方面暴露了諸多問(wèn)題。我們說(shuō)一個(gè)系統是可信的，通常是指系統的行為和結果是可預期的。推而廣之，可信路由是指網(wǎng)絡(luò )在任何情況下，都能按照用戶(hù)及網(wǎng)絡(luò )運營(yíng)者的預期為用戶(hù)提供安全、可靠、可控可管的、滿(mǎn)足用戶(hù)網(wǎng)絡(luò )服務(wù)質(zhì)量需求的路由。為此，可信路由的設計要求應包含以下幾方面：

　　(1)空間隔離保護

　　應區分接入網(wǎng)和核心網(wǎng)，分別引入不同的標志空間，在核心網(wǎng)和接入網(wǎng)間部署邊界路由設備，提供基于標志的映射服務(wù)，從而使路由規模的變化獨立于用戶(hù)網(wǎng)絡(luò )規模的大小，使網(wǎng)絡(luò )具有更好的可擴展性，同時(shí)充分保證核心網(wǎng)絡(luò )設備的安全。

　　(2)身份與位置分離

　　應將節點(diǎn)的身份與位置信息分離，建立全網(wǎng)統一的身份與位置映射機制，實(shí)現映射信息安全、快捷的在線(xiàn)管理，實(shí)現節點(diǎn)位置的隱私性保護以及節點(diǎn)移動(dòng)情況下的持續連接，從而滿(mǎn)足用戶(hù)越來(lái)越強的移動(dòng)性以及隱私性需求。

　　(3)可信路由尋址

　　應采用必要的身份鑒別機制以及路由消息的安全傳輸機制，確保路由節點(diǎn)的身份的真實(shí)性，路由可達性信息的保密性、完整性;實(shí)現網(wǎng)絡(luò )路由節點(diǎn)間多路機制，同時(shí)應提供路由的備份以及快速恢復能力，從而使網(wǎng)絡(luò )具有更加安全可靠的服務(wù)能力。

　　(4)服務(wù)質(zhì)量保證

　　應采用集中和分布式相結合的方式，充分提取網(wǎng)絡(luò )資源利用狀態(tài)，針對不同的業(yè)務(wù)應用及其服務(wù)質(zhì)量需求，提供滿(mǎn)足需求的更高粒度區分的路由。

　　(5)網(wǎng)絡(luò )安全防護

　　應建立健全全網(wǎng)分布式安全檢測防護系統，實(shí)現網(wǎng)絡(luò )傳輸和網(wǎng)絡(luò )狀態(tài)的綜合分析，同時(shí)提供一定的網(wǎng)絡(luò )錯誤診斷能力和行之有效的安全管理機制及策略，使網(wǎng)絡(luò )路由機制具有更好的可控可管性。

　　3 可信路由參考機制

　　3.1 可信路由體系結構模型

　　基于以上對可信路由理論技術(shù)的研究，本節提出了一種可信路由體系結構模型，新結構采用不同的網(wǎng)絡(luò )標志分別代表主機的身份信息和位置信息，并且把原IP網(wǎng)的單一地址空間劃分為兩個(gè)不同的標志空間，兩個(gè)標志空間內分別采用不同的路由方式，并形成相對獨立的路由空間，兩個(gè)標志(路由)空間之間通過(guò)標志映射的方法完成尋址和選路。新網(wǎng)絡(luò )結構劃分為接入網(wǎng)和核心網(wǎng)，包含兩種標志：接入標志和交換路由標志。接入標志代表了終端的身份信息，只能在接入網(wǎng)使用，而交換路由標志代表了終端的位置信息，只能在核心層使用。新路由體系結構采用“間接通信”模式連接兩個(gè)標志空間：在接入網(wǎng)采用接入標志轉發(fā)數據，而在核心網(wǎng)采用內部的交換路由標志替代接入標志轉發(fā);接入網(wǎng)負責各種通信終端的接入，核心網(wǎng)進(jìn)行控制管理和交換路由。新可信路由體系結構如圖1所示。

　　在上述的可信路由體系結構參考模型中，接入網(wǎng)與核心網(wǎng)的分離，使得接入網(wǎng)的動(dòng)態(tài)變化不會(huì )出現在的核心網(wǎng)上，保證了核心網(wǎng)的相對穩定;接入網(wǎng)的多家鄉、流量工程等也不會(huì )引起核心網(wǎng)的路由表的增長(cháng)和不穩定。代表用戶(hù)身份的接入標志不會(huì )在核心網(wǎng)上傳播，使得其他用戶(hù)不能通過(guò)截獲核心網(wǎng)的信息分析用戶(hù)的身份，保證了用戶(hù)身份的隱私性;也不可能通過(guò)用戶(hù)的身份來(lái)截獲他們的信息，保證了用戶(hù)信息的安全性。同時(shí)，接入網(wǎng)內的終端無(wú)法知道核心網(wǎng)內的網(wǎng)絡(luò )設施的交換路由標志或是其他終端的交換路由標志;接入網(wǎng)內的終端也就無(wú)法針對核心網(wǎng)的網(wǎng)絡(luò )設施或是某一終端進(jìn)行攻擊，保證了核心網(wǎng)網(wǎng)絡(luò )設施和數據的安全性。新路由結構仍分為域內路由和域間路由兩部分。

3.2 可信域內路由

　　新可信路由體系結構域內路由采用集中式和分布式路由相結合的方式，如圖2所示。在每個(gè)域內用一個(gè)可信路由管理服務(wù)器作為集中可信路由管理層;其他基礎網(wǎng)絡(luò )設備組成分布式交換路由層。交換路由層除運行傳統的鏈路狀態(tài)協(xié)議外進(jìn)行路由轉發(fā)外，還通過(guò)全局流標簽的轉發(fā)的方式進(jìn)行轉發(fā)。

　　可信路由管理服務(wù)器和交換路由器組成公鑰基礎設施(PKI)結構，可信路由管理器作為可信第三方，負責認證域內的交換路由器的認證，并分配公私鑰。交換路由器之間通過(guò)簽名機制對路由通告相互認證?？尚怕酚晒芾矸?wù)同時(shí)收集域內的網(wǎng)絡(luò )狀況，為相應的數據流分配全局流標簽，同時(shí)在相應的交換路由上建立起流標簽轉發(fā)表，使數據路在轉發(fā)路徑上快速轉發(fā)。這種方式保留了傳統單路徑路由的路由尋址方式的同時(shí)，增加了域內網(wǎng)絡(luò )資源的統一調度和管理機制，可以為不同的數據流在不同的條件下，建立不同的轉發(fā)路徑，避免網(wǎng)絡(luò )擁塞，保證服務(wù)質(zhì)量，增加網(wǎng)絡(luò )的可用性，保證了網(wǎng)絡(luò )的可控可管性。

　　3.3 可信域間路由

　　新可信路由體系結構域間路由采用的是基于自認證(Self-certifying)的自治域號的多路徑路由方式，如圖3所示。因為域間路由更多的是體現了自治域之間的商業(yè)競爭關(guān)系，無(wú)法建立起基于可信第三方的PKI結構，采用基于自認證的自治域號路由就很好的解決地址欺騙的問(wèn)題。每個(gè)域的自治域號為其公鑰的Hash值，通過(guò)這種命名體系，保證了地址的不可欺騙、抵賴(lài)性。再建立起互信后，每對互信自治域之間再建立基于私鑰體制的后續通告加密算法，這樣可以加快解密的效率。

　　路由的通告路徑時(shí)，每個(gè)自治域根據策略可通告多條路徑，保證每個(gè)自治域的獨立性和路由的可控制性。通告中包含完整的路徑信息，保證了豐富的路由策略。每個(gè)域建立多路徑的轉發(fā)表，發(fā)送端通過(guò)源路由的方式進(jìn)行域間選路。發(fā)送數據前，發(fā)送端的可信路由管理通過(guò)可信路由管理層與路徑上的其他域內的可信路由管理器協(xié)商服務(wù)等級、流量等消息。同時(shí)在每個(gè)包頭加入認證消息，用作去其他域的授權和認證數據包。

　　4 可信路由關(guān)鍵技術(shù)研究

　　4.1 映射可擴展技術(shù)

　　接入網(wǎng)與核心網(wǎng)分離以及節點(diǎn)身份與位置分離縱然使得網(wǎng)絡(luò )路由機制得到良好的可擴展性，但大量接入標志和交換路由標志的映射信息的存儲及維護無(wú)疑帶來(lái)了映射系統自身的可擴展性問(wèn)題。解決好大規模映射信息存儲，更新頻率以及查詢(xún)時(shí)延等問(wèn)題，仍是未來(lái)可信路由需要研究的關(guān)鍵技術(shù)之一。

　　4.2 路由信任機制

　　解決路由機制的可信問(wèn)題，首先需要解決路由節點(diǎn)之間的信任問(wèn)題。只有參與路由的網(wǎng)絡(luò )節點(diǎn)彼此信任，才能確保網(wǎng)絡(luò )節點(diǎn)后續的網(wǎng)絡(luò )行為以及傳送的信息的真實(shí)性、可用性。其次，路由消息傳輸的安全在可信路由機制中，也是不可或缺的組成部分，是保證路由信息可用性的前提。

　　4.3 多徑路由技術(shù)

　　在現有網(wǎng)絡(luò )中運行的路由協(xié)議及算法通常只能根據一種規則選取一條到目的的路由條目，只是理論上保證路由是連通的。一旦該條鏈路上的節點(diǎn)失效，路由協(xié)議將面臨較長(cháng)的收斂過(guò)程，導致的可靠性差。未來(lái)的可信路由要同時(shí)提供多條備份路徑，并且可以在鏈路失效和拓撲變化時(shí)，進(jìn)行了快速切換，增加路由的可靠性。研究基于多個(gè)下一跳的多徑路由技術(shù)，對于提高可信路由機制的可靠性非常重要。

　　4.4 服務(wù)質(zhì)量保證

　　當前用戶(hù)服務(wù)需求的多樣性對網(wǎng)絡(luò )路由機制提出了更高的粒度需求。新的可信路由機制需要將用戶(hù)業(yè)務(wù)的服務(wù)質(zhì)量要求盡量無(wú)失真地映射到路由機制中，為用戶(hù)提供最大限度質(zhì)量需求保證的路由。研究適用普適服務(wù)要求的，能充分滿(mǎn)足業(yè)務(wù)帶寬、延遲、抖動(dòng)和丟包率等服務(wù)質(zhì)量要求的路由機制，對體現路由的可信具有重要意義。

　　4.5 路由監測管理技術(shù)

　　可信路由機制要求網(wǎng)絡(luò )行為和結果是可以預期的，保證給用戶(hù)提供滿(mǎn)足其業(yè)務(wù)需求的網(wǎng)絡(luò )傳送服務(wù)。因此在可信路由機制下，首先要做到網(wǎng)絡(luò )狀態(tài)的可監測性，而且具備對異常網(wǎng)絡(luò )行為的快速診斷、追蹤定位以及自我修復能力，其次，高效的配置管理也是可信路由機制追求的目標。

　　5 結束語(yǔ)

　　本文并據此給出了一套適合未來(lái)網(wǎng)絡(luò )需求的可信路由參考機制，最后對可信路由涉及的關(guān)鍵技術(shù)進(jìn)行了研究和探討。