一种路由设备服务可信属性定义方法与可信路由协议设计

doi:10.3969/j.issn.1671-1122.2015.01.005

信息网络安全 ›› 2015, Vol. 15 ›› Issue (1): 24-31.doi: 10.3969/j.issn.1671-1122.2015.01.005

一种路由设备服务可信属性定义方法与可信路由协议设计

赵玉东(), 徐恪, 朱亮

清华大学计算机科学与技术系,北京100084

收稿日期:2014-11-14 出版日期:2015-01-10 发布日期:2015-07-05
作者简介:
作者简介：赵玉东（1974-）,男,内蒙古,博士研究生,主要研究方向：网络安全、新一代互联网体系结构;徐恪（1974-）,男,江苏,博士生导师,教授,博士,主要研究方向：新一代互联网体系结构、高性能路由器体系结构、P2P与应用层网络、新一代互联网路由协议、网络安全等;朱亮（1982-）,男,安徽,博士研究生,主要研究方向：网络安全、新一代互联网体系结构。
基金资助:
国家自然科学基金[61170292, 61472212, 61161140454];国家科技重大专项[2012ZX03005001];国家重点基础研究发展计划（国家973项目）[2012CB315803];国家高技术研究发展计划（国家863项目）[2013AA013302]

Yu-dong ZHAO(), Ke XU, Liang ZHU

Department of Computer Science and Technology, Tsinghua University, Beijing 100084, China

Received:2014-11-14 Online:2015-01-10 Published:2015-07-05

摘要/Abstract

摘要：

受主观意志和研发能力影响,路由设备生产商难以严格按其对用户承诺提供路由产品,导致设备及其组件中可能存在漏洞与后门,这将给核心网络带来严重的安全威胁。文章为此提出一种路由设备服务可信属性的定义和动态测量方法,并设计相应的可信路由协议,以优化核心网络服务可信属性,促进网络信息传输安全。文章首先分析核心网络范围内网络服务可信属性与信息传输安全的关系,论证通过量化路由设备服务可信属性,同时基于该属性设计可信路由协议,可实现设备资源受限条件下信息传输安全效益的最大化。其次引入“信任度”的概念定义路由设备服务可信属性,在设计基于设备信任度和当前互联网在用路由协议的域内域间可信路由协议的基础上,理论证明上述协议下最优可信路由的存在。接着提出一种基于分组可信路由与实际转发路径一致性检测的路由设备信任度动态量化技术。最后构造可信路由网络模型,检测可信路由协议的安全效益及其对传统路由开销的影响,结果显示可信路由可显著增加信息传输的安全性,其带来的传统路由开销的增长及路由变化的频率与幅度可容忍。

关键词: 服务可信属性, 核心网络, 信息安全, 信任度路由

Abstract:

Influenced by subjective will and development capability, manufacturers can hardly keep their promise to provide users the expected routers. Therefore there might be bugs and backdoor hidden inside routers or components. This may seriously threat security in core network. This paper presents a method to define and dynamically quantize the trustworthy attribute of router service, designs the trustworthy routing protocols, in order to optimize the trustworthy attribute of core network service. This paper first analyses the relationship between trustworthy attribute and communication security of core network , demonstrates that a core network can maximize its ability of secure communication by quantizing its routers’ trustworthy attributes, together with designing trustworthy routing protocols. Secondly, this paper uses the word of ‘trustworthy-degree’ to define the trustworthy attributes of routers, by designing intra-domain and inter-domain trustworthy routing protocols based on the trustworthy-degrees of the routers and the routing protocols of the Internet in use , proves theoretically the existence of the optimal trustworthy routing. Then this paper proposes the dynamic quantization technique of the routers’ trustworthy-degrees by detecting the uniformity between the trustworthy routing roads and the actual forward roads of packets. Finally, this paper builds a network model of trustworthy routing to detect the security benefit of trustworthy routing protocols and the impact to the traditional routing costs. The result shows that the trustworthy routing can distinctly improve the communication security of core networks, and the increasement of traditional routing costs and the frequency and the range of routing change are tolerable.

Key words: trustworthy attribute of service, core network, information security, trustworthy routing-degree

中图分类号:

TP309

赵玉东, 徐恪, 朱亮. 一种路由设备服务可信属性定义方法与可信路由协议设计[J]. 信息网络安全, 2015, 15(1): 24-31.

Yu-dong ZHAO, Ke XU, Liang ZHU. [J]. Netinfo Security, 2015, 15(1): 24-31.

图/表 9

图1

图2

图3

图4

图5

图6

图7

图8

图9

参考文献 16

[1]	Wikipedia. PRISM (surveillance program) [EB/OL]., 2014-10-31.
[2]	南华早报.斯诺登:美国政府长期窃取中国大陆及香港网络信息[EB/OL]. , 2013-6-12.
[3]	林闯,汪洋,李泉林. 网络安全的随机模型方法与评价技术[J].计算机学报,2005,28(12):1943-1956.
[4]	林闯,彭学海.可信网络研究[J].计算机学报,2005,28(5):751-758.
[5]	林闯,王元卓,田立勤.可信网络的发展及其面对的技术挑战[J].中兴通讯技术,2008,14(1):14-41.
[6]	罗安安,林闯,王元卓,等.可信网络连接的安全量化分析与协议改进[J].计算机学报,2009,32(5):887-898.
[7]	林闯,王元卓.基于随机博弈模型的网络安全分析与评价[M].北京:清华大学出版社,2012.
[8]	李小勇,桂小林,毛倩,等.基于行为监控的自适应动态信任度测模型[J]. 计算机学报,2009,32(4):664-674.
[9]	李小勇,桂小林.可信网络中基于多维决策属性的信任量化模型[J].计算机学报, 2009 ,32(3):405-416.
[10]	徐恪,朱亮,朱敏. 互联网地址安全体系与关键技术[J]. 软件学报, 2014,25(1):78-97.
[11]	徐恪,朱敏,林闯.互联网体系结构评估模型、机制及方法研究综述[J]. 计算机学报,2012,35(10):1985-2006.
[12]	Pierre Francois, Clarence Filsfils, John Evans, et al.Achieving SubSecond IGP Convergence in Large IP Networks[C]//Proc.SIGCOMM, 2005, 35(2):35-44.
[13]	Joao Luıs Sobrinho.Network Routing with Path Vector Protocols: Theory and Applications[C]// Proc.SIGCOMM,2003:49-60
[14]	张焕国,罗捷,金刚,等.可信计算研究进展[J]. 武汉大学学报, 2006,52(5):513-518.
[15]	张焕国,陈璐,张立强.可信网络连接研究[J].计算机学报,2010,33(1):706-717.
[16]	徐恪,徐明伟,陈文龙.高级计算机网络[M]. 北京:清华大学出版社,2012.

一种路由设备服务可信属性定义方法与可信路由协议设计

RichHTML

可视化

摘要/Abstract

引用本文

使用本文

图/表 9

参考文献 16

相关文章 15

编辑推荐

Metrics

本文评价

[1]	周艺华, 吕竹青, 杨宇光, 侍伟敏. 基于区块链技术的数据存证管理系统[J]. 信息网络安全, 2019, 19(8): 8-14.
[2]	黎琳, 张旭霞. zk-snark的双线性对的国密化方案[J]. 信息网络安全, 2019, 19(10): 10-15.
[3]	李月, 姜玮, 季佳华, 段德忠. 一种基于虚拟化平台的安全外包技术研究[J]. 信息网络安全, 2018, 18(5): 82-88.
[4]	李月, 姜玮, 季佳华, 段德忠. 一种基于虚拟化平台的安全外包技术研究[J]. 信息网络安全, 2018, 18(5): 82-88.
[5]	陈妍, 戈建勇, 赖静, 陆臻. 云上信息系统安全体系研究[J]. 信息网络安全, 2018, 18(4): 79-86.
[6]	吕从东, 韩臻. 基于IP模型的云计算安全模型[J]. 信息网络安全, 2018, 18(11): 27-32.
[7]	亢保元, 王佳强, 邵栋阳, 李春青. 一种适用于异构Ad Hoc无线传感器网络的身份认证与密钥共识协议[J]. 信息网络安全, 2018, 18(1): 23-30.
[8]	顾春华, 高远, 田秀霞. 安全性优化的RBAC访问控制模型[J]. 信息网络安全, 2017, 17(5): 74-79.
[9]	黄强, 王高剑, 米文智, 汪伦伟. 集中统一的可信计算平台管理模型研究及其应用[J]. 信息网络安全, 2017, 17(4): 9-14.
[10]	梁中, 周嘉坤, 朱汉, 陈波. 基于安全本体的信息安全知识聚合技术研究[J]. 信息网络安全, 2017, 17(4): 78-85.
[11]	周靖哲, 陈长松. 云计算架构的网络信息安全对策分析[J]. 信息网络安全, 2017, 17(11): 74-79.
[12]	苏琦, 王玮, 刘荫, 于展鹏. 电力行业的信息安全防护方案研究[J]. 信息网络安全, 2017, 17(11): 84-88.
[13]	黄娜娜, 万良, 邓烜堃, 易辉凡. 一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 信息网络安全, 2017, 17(10): 55-62.
[14]	张磊, 于东升, 杨军, 胡继明. 基于私有云模式的信息安全监管策略研究[J]. 信息网络安全, 2017, 17(10): 86-89.
[15]	王昱镔, 陈思, 程楠. 工业控制系统信息安全防护研究[J]. 信息网络安全, 2016, 16(9): 35-39.