Anderson、可信路由技术

 　　路由体系及理论作为互联网的核心支撑，在当前网络需求下，迫切需要得到进一步的扩充和完善。未来的路由机制应该具有新的特性，使得网络能够适应规模增大而具有良好的可扩展性;使得网络使用者和运营者有更大的操作空间而具有较好的灵活性;使得网络能够充分应对各种网络攻击而具有更好安全性;使得网络能够满足不同业务的需求而具有更好的服务质量保证等，这些关键点已经为越来越多的科研工作者所认同。为此，世界各国政府或研究机构都在制订和实施相应的研究计划，如美国的GENI[1]和FIND[2]计划，欧盟的FIRE[3]计划，中国的国家高技术研究发展计划(“863”)和国家重点基础研究发展规划(“973”)等，力图建立新的路由体系理论及机制使未来网络充分满足上述需求。

　　1 路由理论相关研究

　　当前针对路由理论的研究之一首先体现在路由体系结构方面，着重解决路由规模的可扩展性问题。为此，互联网结构委员会(IAB)于2006年10月在荷兰举办了首次“路由与地址工作组会议”。会议重点讨论并确定造成互联网路由可扩展性问题的主要因素，形成了清晰的描述互联网路由可扩展问题的文档，该文档分析了导致全局路由表的规模快速增长的几个重要原因、阻碍路由器技术快速发展的约束条件以及互联网地址结构中所存在的局限性。该文档已于2007年9月正式成为RFC标准(RFC4984)[4]。

　　目前，因特网研究任务组IRTF成立了路由研究工作组RRG，主要进行互联网路由可扩展问题的研究。目前RRG工作组中的提案包括AIRA、APT、CRIO、LISP、IPvLX、IVIP、Six/One、TAMARA和TRRP等[5]。纵观这些研究方案，其主要核心思想都是要将通信中节点的身份标志与位置标志相分离，解决传统互联网IP地址语义重载的局限性，只不过对现有网络路由机制的变动程度有所不同而已。但目前RRG工作组中的各种技术方案尚停留在讨论阶段，缺少必要的试验或仿真加以支持。

　　除此，解决当前互联网路由可扩展问题的提案还有NIRA[6]、HLP[7]、ROFL[8]、AIP[9]等。NIRA为主机提供了一种通过不同地址来选择不同路由路径的机制，通过严格的分等级地址分配策略，NIRA可以改善路由的可扩展性问题。HLP是作为BGP的替代协议提出的一种路由协议，同时采用了链路状态和路径向量两种方式，是一种混合式分等级的路由协议，在一定程度上可以解决路由可扩展问题。ROFL是一种完全基于平面标签的新颖路由方式，其有效性和实用性还有待进一步的研究和验证。AIP采用自认证的地址层次结构试图解决网络欺骗以及路由安全等问题，但也仍处于讨论和研究阶段。

　　对传统路由理论技术的研究，也一直是学术界关注的热点，目前的研究主要体现以下几个方面：

　　(1)路由安全性研究

　　现有互联网中的路由协议在设计之初，仅考虑到网络目的的一个方面，即为网络中的节点或应用提供路由的可达性信息，而且这种路由可达性信息的交互传送建立在网络节点处于一个互相可信任的团体环境中的假定条件之下，而这种假定条件在现有的网络中已难以时时成立。现有互联网大量路由安全事件的发生，使得人们不得不重新考虑路由机制的安全性。早在2002年，文献[10]就系统指出了域间路由协议BGP存在的安全缺陷。尽管关于提升BGP安全的方案S-BGP[11]，soBGP[12]等被陆续被提出，但到目前尚未真正实施。

　　(2)路由可靠性研究

　　现有互联网中的路由协议，对一个给定的前缀只能查找到唯一的一条“最佳”路径到达目的端。当网络的节点在遭受攻击或者出现链路故障时，现有的路由协议不具备良好的保护机制和快速恢复能力，很难提供稳定可靠的网络服务。在路由可靠性研究方面，文献[13]和文献[14]分别给出了快速重路由和多拓扑路由机制;文献[15]在避让失效节点和链路提供域间路由多样性等方面进行了探索研究;文献[16]则给出可供用户选择的路径多样性方案。这些工作给路由可靠性研究指出了前进的方向。

　　(3)路由可控可管性研究

　　现有的路由机制对网络中可能出现的诸如个别节点瘫痪导致的路由中断，个别节点或系统的加入引起的路由紊乱，P2P流量肆意占用带宽、各种网络病毒的感染传播和攻击引起的网络资源紧缺等不规则网络行为，很难做到及时探测、快速定位追踪以及及时合理的处理不规则网络行为;此外，网络节点众多，规模庞大，也给网络配置管理带来一定的复杂性。文献[17]对网络中可能存在的域间路由流量劫持的探测技术进行了研究，文献[18]给出了推导企业网络故障定位的方法，文献[19]则建议利用专门信道进行网络路由的管理。尽管如此，有关路由的可控可管性尚未形成行之有效的解决方案，未来路由机制的监管以及高效配置机制尚需完善。

　　(4)路由服务质量研究

　　现有互联网所提供的是“尽力而为”的转发服务，在这种服务模型下，所有的业务流被“一视同仁”公平地竞争网络资源，业务流传输的可靠性、延迟性等服务质量要求得不到任何保证。对此，IETF先后提出了集成服务[20]和区分服务[21]两种服务质量体系结构，然而这两种方案在可扩展性和公平性等方面各有不足。多协议标签交换(MPLS)[22]将IP路由控制和第二层交换的简单性无缝地集成起来，在不改变用户现有网络的情况下能提供高速、安全、多业务统一的网络平台。尽管当前MPLS被广泛使用，但其在网络传输效率，网络兼容性，配置复杂性，网络成本以及服务质量颗粒度等方面的不足，还不足以满足当前多种业务的发展要求。

　　总之，当前网络路由机制在安全、可靠、可控、可管等网络可信问题的研究上，上述提到的各个研究方案主要停留在理论或应用的某个局部目标，他们所作的只是现有网络路由可信任问题的点滴修补，尚没有形成完整的、系统的可充分满足用户和网络需求的路由理论体系，因而也就未能从根本上解决网络路由的可信任问题。

　　2 可信路由内涵

　　可信系统的概念最早由J.P. Anderson教授在20世纪70年代初期提出，最初只被用于描述信息的可用性、完整性和机密性。后来当其被应用到网络时，传统的路由机制在安全性，可靠性，可控可管等方面暴露了诸多问题。我们说一个系统是可信的，通常是指系统的行为和结果是可预期的。推而广之，可信路由是指网络在任何情况下，都能按照用户及网络运营者的预期为用户提供安全、可靠、可控可管的、满足用户网络服务质量需求的路由。为此，可信路由的设计要求应包含以下几方面：

　　(1)空间隔离保护

　　应区分接入网和核心网，分别引入不同的标志空间，在核心网和接入网间部署边界路由设备，提供基于标志的映射服务，从而使路由规模的变化独立于用户网络规模的大小，使网络具有更好的可扩展性，同时充分保证核心网络设备的安全。

　　(2)身份与位置分离

　　应将节点的身份与位置信息分离，建立全网统一的身份与位置映射机制，实现映射信息安全、快捷的在线管理，实现节点位置的隐私性保护以及节点移动情况下的持续连接，从而满足用户越来越强的移动性以及隐私性需求。

　　(3)可信路由寻址

　　应采用必要的身份鉴别机制以及路由消息的安全传输机制，确保路由节点的身份的真实性，路由可达性信息的保密性、完整性;实现网络路由节点间多路机制，同时应提供路由的备份以及快速恢复能力，从而使网络具有更加安全可靠的服务能力。

　　(4)服务质量保证

　　应采用集中和分布式相结合的方式，充分提取网络资源利用状态，针对不同的业务应用及其服务质量需求，提供满足需求的更高粒度区分的路由。

　　(5)网络安全防护

　　应建立健全全网分布式安全检测防护系统，实现网络传输和网络状态的综合分析，同时提供一定的网络错误诊断能力和行之有效的安全管理机制及策略，使网络路由机制具有更好的可控可管性。

　　3 可信路由参考机制

　　3.1 可信路由体系结构模型

　　基于以上对可信路由理论技术的研究，本节提出了一种可信路由体系结构模型，新结构采用不同的网络标志分别代表主机的身份信息和位置信息，并且把原IP网的单一地址空间划分为两个不同的标志空间，两个标志空间内分别采用不同的路由方式，并形成相对独立的路由空间，两个标志(路由)空间之间通过标志映射的方法完成寻址和选路。新网络结构划分为接入网和核心网，包含两种标志：接入标志和交换路由标志。接入标志代表了终端的身份信息，只能在接入网使用，而交换路由标志代表了终端的位置信息，只能在核心层使用。新路由体系结构采用“间接通信”模式连接两个标志空间：在接入网采用接入标志转发数据，而在核心网采用内部的交换路由标志替代接入标志转发;接入网负责各种通信终端的接入，核心网进行控制管理和交换路由。新可信路由体系结构如图1所示。

　　在上述的可信路由体系结构参考模型中，接入网与核心网的分离，使得接入网的动态变化不会出现在的核心网上，保证了核心网的相对稳定;接入网的多家乡、流量工程等也不会引起核心网的路由表的增长和不稳定。代表用户身份的接入标志不会在核心网上传播，使得其他用户不能通过截获核心网的信息分析用户的身份，保证了用户身份的隐私性;也不可能通过用户的身份来截获他们的信息，保证了用户信息的安全性。同时，接入网内的终端无法知道核心网内的网络设施的交换路由标志或是其他终端的交换路由标志;接入网内的终端也就无法针对核心网的网络设施或是某一终端进行攻击，保证了核心网网络设施和数据的安全性。新路由结构仍分为域内路由和域间路由两部分。