一種基于ospf的可信路由方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及路由方法����,具體涉及一種基于OSPF的可信路由方法。
【背景技術(shù)】
[0002] 傳統(tǒng)的OSPF路由方法是一種平面型路由�,且是一種表驅(qū)動(dòng)路由。由于其方法復(fù)雜 度低���、實(shí)現(xiàn)簡(jiǎn)單�����、傳輸效率高和低延遲等特點(diǎn)����,廣泛應(yīng)用于小規(guī)模網(wǎng)路系統(tǒng)節(jié)點(diǎn)選路�。OSPF 路由協(xié)議中����,網(wǎng)絡(luò)的每一個(gè)節(jié)點(diǎn)都會(huì)維護(hù)一張路由表����,以記錄該節(jié)點(diǎn)到網(wǎng)絡(luò)其他節(jié)點(diǎn)的路 由信息。節(jié)點(diǎn)會(huì)定時(shí)廣播拓?fù)湫畔?,各個(gè)節(jié)點(diǎn)根據(jù)收到的拓?fù)湫畔⑦M(jìn)行路由計(jì)算,然后更新 路由表����。
[0003] 傳統(tǒng)的OSPF路由協(xié)議采用表驅(qū)動(dòng)的方式進(jìn)行路由管理,系統(tǒng)傳輸延遲會(huì)因?yàn)闇p 少了節(jié)點(diǎn)路由查找的過程而大大降低�����,且可以立刻知道目標(biāo)節(jié)點(diǎn)是否可達(dá)�。但是,這些優(yōu)點(diǎn) 是在犧牲了大量網(wǎng)絡(luò)資源的基礎(chǔ)上獲得的�����,隨著系統(tǒng)網(wǎng)絡(luò)規(guī)模的增加��,節(jié)點(diǎn)的路由運(yùn)算的 低效率會(huì)大大影響網(wǎng)絡(luò)的整體性能�����。同時(shí),網(wǎng)絡(luò)節(jié)點(diǎn)的可信性沒有保障�,且對(duì)路由針對(duì)性攻 擊沒有控制措施,與安全相關(guān)的路由信息缺乏統(tǒng)一管理機(jī)制����,路由的安全可靠性差�����。
[0004] 常規(guī)的OSPF路由協(xié)議假設(shè)網(wǎng)絡(luò)中所有的節(jié)點(diǎn)都是可信���,系統(tǒng)是在安全的環(huán)境中 運(yùn)行���。因此,沒有采取任何的可信處理和安全防護(hù)�,網(wǎng)絡(luò)節(jié)點(diǎn)的可信性沒有保障,路由信息 缺乏統(tǒng)一管理機(jī)制�����,在惡意節(jié)點(diǎn)加入或者系統(tǒng)遭遇針對(duì)性地路由攻擊時(shí)�����,就會(huì)造成嚴(yán)重的 網(wǎng)絡(luò)故障甚至系統(tǒng)癱瘓。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于提供一種基于OSPF的可信路由方法�,用于解決傳統(tǒng)OSPF路由 方法中由于缺乏可信處理和安全防護(hù)以及路由信息缺乏統(tǒng)一管理從而導(dǎo)致路由的安全可 靠性差的問題。
[0006] 為實(shí)現(xiàn)上述目的�,本發(fā)明的技術(shù)方案為:
[0007] -種基于OSPF的可信路由方法,包括以下步驟:
[0008] 步驟1.采集當(dāng)前網(wǎng)絡(luò)拓?fù)渲懈髀酚晒?jié)點(diǎn)間交互信息�;
[0009] 步驟2.根據(jù)步驟1采集信息,計(jì)算各路由節(jié)點(diǎn)信任估計(jì)值����;
[0010] 步驟3.基于信任估計(jì)值大于預(yù)設(shè)閾值的路由節(jié)點(diǎn),采用OSPF方法進(jìn)行路由計(jì)算�。
[0011] 進(jìn)一步的,所述各路由節(jié)點(diǎn)信任度計(jì)算過程為:
[0012] (1)計(jì)算直接信任估計(jì)值
[0013] 設(shè)定行為交互主體X1����、行為交互客體Xj,對(duì)第u類事件成功概率為:
[0014]
[0015] 其中�,Ps表示第u類事件成功的事件數(shù)量,P f表示第u類事件失敗的事件數(shù)量�����;
[0016] 用Wu表示權(quán)重��,采用加權(quán)疊加計(jì)算得交互主體X i對(duì)交互客體X ;的條件信任度為:
[0017]
[0018] 設(shè)定PJP P 8分別表示完整傳輸和完成傳輸,則計(jì)算得交互主體X i對(duì)交互客體X i 的直接信任估計(jì)值為:
[0019]
[0020] (2)計(jì)算間接彳目任估計(jì)值
[0021] 設(shè)定行為交互主體X1���、行為交互客體Xj與推薦客體構(gòu)成推薦信任關(guān)系樹DT (X J����, 以交互主體X1S根節(jié)點(diǎn)�、所處關(guān)系樹層數(shù)為0 ;交互客體X j所處關(guān)系樹參數(shù)為n、n < 3 ;推 薦者的關(guān)系樹層次為1����、〇〈1〈11�����,推薦權(quán)值基于相鄰實(shí)體間的直接信任估計(jì)值計(jì)算得到���;
[0022] 計(jì)算行為交互主體X1與交互客體X ;之間的間接信任估計(jì)值:
[0023]
[0024] (3)信任風(fēng)險(xiǎn)評(píng)估系數(shù)
[0025] 計(jì)算行為交互主體&與行為交互客體X j的行為交互風(fēng)險(xiǎn)計(jì)算行為交互主體X 1與 行為交互客體\的行為交互風(fēng)險(xiǎn)R(s ^J :
[0026]
[0027] 其中�����,Slj和f ^分別表示一次信任采樣中�����,交互主體X ^艮據(jù)客體X j的行為表現(xiàn)獲 得的交易成功數(shù)和失敗數(shù)�;
[0028] 加入權(quán)重因子α,根據(jù)直接行為交互的風(fēng)險(xiǎn)和間接行為交互的風(fēng)險(xiǎn)�,計(jì)算得到總 體風(fēng)險(xiǎn)大小為:
[0029] R' (Sij^fij) = a *Rd(Sij, fj^ + d-a )*Rk(Sij, fjj)
[0030] 其中,Rd(Slj�����,匕)表示直接行為交互風(fēng)險(xiǎn)�����,R k(Slj���,匕)表示間接行為交互風(fēng)險(xiǎn)���;
[0031] 計(jì)算信任風(fēng)險(xiǎn)評(píng)估系數(shù)為:
[0032]
[0033] (4)計(jì)算彳目任估計(jì)值
[0034] 通過加權(quán)算術(shù)平均法計(jì)算信任估計(jì)值:
[0035]
[0036]
[0037] 分別表示直接信任估計(jì)值、間接信任估計(jì)值以及信任風(fēng)險(xiǎn)評(píng)估系數(shù)的權(quán)重�。
[0038] 本發(fā)明提出一種基于OSPF的可信路由方法T-0SPF,該方法將路由節(jié)點(diǎn)信任度評(píng) 估引入OSPF路由方法中�����,使路由更加安全,在完成路由作用的同時(shí)保證轉(zhuǎn)發(fā)信息的安全�����, 提高路由安全可靠性�����。
【附圖說明】
[0039] 圖1為實(shí)施例中信任分類和信任源關(guān)系示意圖��。
[0040] 圖2為實(shí)施例中行為信任評(píng)估流程示意圖�����。
[0041] 圖3為實(shí)施例中推薦信任關(guān)系樹示意圖���。
[0042] 圖4為實(shí)施例中信任模型實(shí)施流程示意圖。
[0043] 圖5為實(shí)施例中節(jié)點(diǎn)路由更新過程示意圖���。
【具體實(shí)施方式】
[0044] 下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明T-OSPF路由方法作進(jìn)一步闡述�。
[0045] 本實(shí)施例中����,T-OSPF可信路由方法在傳統(tǒng)的OSPF路由方法基礎(chǔ)上加入可信機(jī)制 和安全控制策略形成的新的路由方案一一T-0SPF。根據(jù)當(dāng)前路由協(xié)議的不足����,將設(shè)計(jì)的信 任模型加入到路由方法當(dāng)中����,通過對(duì)路由更新過程和路由維護(hù)過程進(jìn)行改進(jìn)���,增加路由的 安全性以及可達(dá)性��。
[0046] T-OSPF基于OSPF路由方案的網(wǎng)絡(luò)����,采用集中式靜態(tài)方式進(jìn)行路由計(jì)算��,以單源全 路由的思想為各個(gè)節(jié)點(diǎn)進(jìn)行路由計(jì)算����。在加入可信機(jī)制后,整體的路由計(jì)算方式不變�,只是 對(duì)路由信息管理方式和更新機(jī)制進(jìn)行了重新規(guī)劃。且對(duì)網(wǎng)絡(luò)的可信信息采用集中式的服務(wù) 器進(jìn)行管理�����,且路由的計(jì)算以節(jié)點(diǎn)信任度為參考。
[0047] 本發(fā)明中對(duì)網(wǎng)絡(luò)中的可信信息采用專門的服務(wù)器進(jìn)行集中管理��。服務(wù)器的功能主 要包括可信信息的維護(hù)��、可信證書的管理和域內(nèi)節(jié)點(diǎn)可信狀態(tài)的下發(fā)�。可信信息的維護(hù)包 括可信認(rèn)證與信任更新����,可信認(rèn)證指路由器節(jié)點(diǎn)在第一次接入時(shí)服務(wù)器會(huì)對(duì)節(jié)點(diǎn)的身份進(jìn) 行認(rèn)證,信任更新指路由器節(jié)點(diǎn)將可信評(píng)估結(jié)果反饋給服務(wù)器后����,服務(wù)器根據(jù)其接收到的 可信信息更新域內(nèi)節(jié)點(diǎn)的信任信息?����?尚抛C書的管理指服務(wù)器對(duì)身份認(rèn)證通過的路由器節(jié) 點(diǎn)下發(fā)可信證書以及對(duì)證書的維護(hù)���。域內(nèi)節(jié)點(diǎn)可信狀態(tài)的下發(fā)指當(dāng)某個(gè)路由器節(jié)點(diǎn)的可信 度(信任估計(jì)值)低于設(shè)定的可信閥值(本實(shí)施例中可信閥值定為〇. 5)時(shí)將該節(jié)點(diǎn)標(biāo)志為 惡意節(jié)點(diǎn),同時(shí)將此信息通過廣播的方式下發(fā)給所有的路由器(不包括惡意路由器節(jié)點(diǎn))�����。
[0048] 從原理上說明,1.信任模型的設(shè)計(jì)與實(shí)現(xiàn):
[0049] 信任模型是對(duì)信任系統(tǒng)工作方式的一種抽象描述�,本質(zhì)上是一種數(shù)學(xué)模型,是對(duì) 主觀信任進(jìn)行定量分析的方法和規(guī)則集合����。信任模型是基于實(shí)體獲得的各種主客觀證據(jù), 進(jìn)行主觀動(dòng)態(tài)信任評(píng)估��。故信任模型的實(shí)施流程也是從信任信息源(證據(jù))開始的�����,根據(jù) 應(yīng)用場(chǎng)景的不同�����,針對(duì)性地選取信任評(píng)估需要的信任證據(jù)���,然后按照信任評(píng)估規(guī)則對(duì)信任 證據(jù)進(jìn)行匯總和分析����,獲得實(shí)體關(guān)于某項(xiàng)行為屬性的信任度���,最后根據(jù)評(píng)估結(jié)果采取與之 相應(yīng)的可信控制策略�����,以確保應(yīng)用系統(tǒng)的安全可信��。本發(fā)明中的信任模型作用對(duì)象主要是 網(wǎng)絡(luò)實(shí)體����,同時(shí)考慮身份信任和行為信任兩個(gè)因素。根據(jù)相應(yīng)信任模型的特點(diǎn)���,結(jié)合網(wǎng)絡(luò)行 為(接入��、傳輸�����、路由等)可信要求���,設(shè)計(jì)身份與行為相結(jié)合的信任模型,在動(dòng)態(tài)信任環(huán)境 中�����,針對(duì)某個(gè)特定的行為���,信任關(guān)系網(wǎng)絡(luò)中的每個(gè)實(shí)體同時(shí)扮演著參與者和可信第三方的 角色����,實(shí)體在行為信任的評(píng)估過程中��,都是或直接或間接地參與�����。根據(jù)實(shí)體行為信任信息的 來源���,將行為信任分為直接信任和間接信任兩類��?���;趯?shí)體直接證據(jù)獲得的信任為直接信 任�,基于可信第三方實(shí)體推薦的間接證據(jù)獲得的信任為間接信任。此信任模型的信任信息 源與信任分類的關(guān)系示意圖如1所示����。
[0050] I. 1.身份信任過程
[0051] 身份信任指主體關(guān)于客體基于身份憑據(jù)和可信憑據(jù)的主觀信任度,是網(wǎng)絡(luò)實(shí)體信 任模型一個(gè)重要環(huán)節(jié)����。身份信任用于實(shí)體的接入控制和傳輸過程中的報(bào)文可信評(píng)估�����。
[0052] 身份信任在信任評(píng)估中僅僅使用可信與不可信兩種狀態(tài)來表達(dá)����,分別對(duì)應(yīng)接受和 拒絕兩種信任處理方式��。待信任評(píng)估的實(shí)體(終端���,用戶�����,報(bào)文等)在接入網(wǎng)絡(luò)或者傳輸過 程中���,需要向策略執(zhí)行者(網(wǎng)關(guān),防火墻�,路由器等)提出接受請(qǐng)求并提供能夠證明其身份 的可信憑據(jù)(證書,口令��,指紋等)�,策略執(zhí)行者通過預(yù)設(shè)的認(rèn)證規(guī)則直接對(duì)待評(píng)估實(shí)體進(jìn) 行身份驗(yàn)證�,或者轉(zhuǎn)發(fā)接受請(qǐng)求��,由可信認(rèn)證中心對(duì)實(shí)體依次進(jìn)行身份認(rèn)證和可信認(rèn)證����,身 份認(rèn)證過程中主要是基于網(wǎng)絡(luò)給予實(shí)體的身份標(biāo)識(shí)(口令�、密碼等),而可信認(rèn)證過程則是 以可信認(rèn)證中心對(duì)實(shí)體頒發(fā)的可信憑據(jù)(證書等)����,且是唯一的?���?尚耪J(rèn)證中心根據(jù)評(píng)估結(jié) 果,對(duì)實(shí)體的接受請(qǐng)求做出相應(yīng)的策略回應(yīng)���。
[0053] 在身份信任過程可信認(rèn)證中����,通過可信第三方認(rèn)證或者離線認(rèn)證模式來實(shí)現(xiàn)網(wǎng)絡(luò) 用戶以及網(wǎng)絡(luò)設(shè)備可信關(guān)系的建立����、認(rèn)證���、管理和維護(hù)。依賴信任根傳遞的思想建立身份信 任模型��,網(wǎng)絡(luò)中需要專門的CA(認(rèn)證中心)進(jìn)行證書維護(hù)�,且在網(wǎng)絡(luò)中采用多級(jí)CA的方式 進(jìn)行信任維護(hù)。
[0054] 1.2.行為信任過程
[0055] 行為信任指主體對(duì)客體關(guān)于某行為的可靠性�����、執(zhí)行力和信譽(yù)等信任屬性的主觀信 任度����。實(shí)體的行為可信,是一個(gè)動(dòng)態(tài)的概念���。在特定的應(yīng)用環(huán)境中��,系統(tǒng)能對(duì)參與行為交互 的實(shí)體的狀態(tài)����、行為發(fā)生過程以及交互結(jié)果進(jìn)行預(yù)測(cè)性分析和管理控制��,則表示行為可信。 實(shí)體的行為信任評(píng)估包括直接信任評(píng)估和間接信任評(píng)估兩部分�。行為信任模型的信任評(píng)估 是基于實(shí)體丟包率而進(jìn)行的,采用類似貝葉斯公式的概率論知識(shí)對(duì)信任進(jìn)行直接量化���,再 通過鄰接節(jié)點(diǎn)的直接可信度采用多維推理的方式獲得實(shí)體的間接信任值���,考慮到信任評(píng)估 的不確定因素��,在綜合評(píng)估實(shí)體可信度的過程中�����,加入諸如風(fēng)險(xiǎn)之類的不確定附加條件����,以 使實(shí)體的行為信任評(píng)估更加科學(xué)合理。
[0056] 實(shí)體的行為信任評(píng)估過程是建立在各種主客觀信任證據(jù)之上����,交互主體對(duì)直接證 據(jù)按照概率論規(guī)則處理獲得直接信任,通過對(duì)間接證據(jù)進(jìn)行匯總多維推理處理獲得間接信 任�����,基于交互行為的動(dòng)態(tài)評(píng)估流程如2所示。
[0057] (1)直接信任度計(jì)算
[0058] 直接信任度(7����;"):指行為交互主體&根據(jù)所獲得的直接證據(jù),按照信任評(píng)估規(guī)則 獲得的對(duì)行為交互客體\的主觀信任評(píng)估結(jié)果�����。
[0059] 行為信任模型的信任度量可以通過下面的信任度量方法獲得實(shí)體間的直接信任 值��,為了讓信任值在區(qū)間[0�����,1]