可信路由技术解析

的解决方案，未来路由机制的监管以及高效配置机制尚需完善。

(4)路由服务质量研究

现有互联网所提供的是“尽力而为”的转发服务，在这种服务模型下，所有的业务流被“一视同仁”公平地竞争网络资源，业务流传输的可靠性、延迟性等服务质量要求得不到任何保证。对此，IETF先后提出了集成服务[20]和区分服务[21]两种服务质量体系结构，然而这两种方案在可扩展性和公平性等方面各有不足。多协议标签交换(MPLS)[22]将IP路由控制和第二层交换的简单性无缝地集成起来，在不改变用户现有网络的情况下能提供高速、安全、多业务统一的网络平台。尽管当前MPLS被广泛使用，但其在网络传输效率，网络兼容性，配置复杂性，网络成本以及服务质量颗粒度等方面的不足，还不足以满足当前多种业务的发展要求。

总之，当前网络路由机制在安全、可靠、可控、可管等网络可信问题的研究上，上述提到的各个研究方案主要停留在理论或应用的某个局部目标，他们所作的只是现有网络路由可信任问题的点滴修补，尚没有形成完整的、系统的可充分满足用户和网络需求的路由理论体系，因而也就未能从根本上解决网络路由的可信任问题。

2 可信路由内涵

可信系统的概念最早由J.P. Anderson教授在20世纪70年代初期提出，最初只被用于描述信息的可用性、完整性和机密性。后来当其被应用到网络时，传统的路由机制在安全性，可靠性，可控可管等方面暴露了诸多问题。我们说一个系统是可信的，通常是指系统的行为和结果是可预期的。推而广之，可信路由是指网络在任何情况下，都能按照用户及网络运营者的预期为用户提供安全、可靠、可控可管的、满足用户网络服务质量需求的路由。为此，可信路由的设计要求应包含以下几方面：

(1)空间隔离保护

应区分接入网和核心网，分别引入不同的标志空间，在核心网和接入网间部署边界路由设备，提供基于标志的映射服务，从而使路由规模的变化独立于用户网络规模的大小，使网络具有更好的可扩展性，同时充分保证核心网络设备的安全。

(2)身份与位置分离

应将节点的身份与位置信息分离，建立全网统一的身份与位置映射机制，实现映射信息安全、快捷的在线管理，实现节点位置的隐私性保护以及节点移动情况下的持续连接，从而满足用户越来越强的移动性以及隐私性需求。

(3)可信路由寻址

应采用必要的身份鉴别机制以及路由消息的安全传输机制，确保路由节点的身份的真实性，路由可达性信息的保密性、完整性;实现网络路由节点间多路机制，同时应提供路由的备份以及快速恢复能力，从而使网络具有更加安全可靠的服务能力。

(4)服务质量保证

应采用集中和分布式相结合的方式，充分提取网络资源利用状态，针对不同的业务应用及其服务质量需求，提供满足需求的更高粒度区分的路由。

(5)网络安全防护

应建立健全全网分布式安全检测防护系统，实现网络传输和网络状态的综合分析，同时提供一定的网络错误诊断能力和行之有效的安全管理机制及策略，使网络路由机制具有更好的可控可管性。

3 可信路由参考机制

3.1 可信路由体系结构模型

基于以上对可信路由理论技术的研究，本节提出了一种可信路由体系结构模型，新结构采用不同的网络标志分别代表主机的身份信息和位置信息，并且把原IP网的单一地址空间划分为两个不同的标志空间，两个标志空间内分别采用不同的路由方式，并形成相对独立的路由空间，两个标志(路由)空间之间通过标志映射的方法完成寻址和选路。新网络结构划分为接入网和核心网，包含两种标志：接入标志和交换路由标志。接入标志代表了终端的身份信息，只能在接入网使用，而交换路由标志代表了终端的位置信息，只能在核心层使用。新路由体系结构采用“间接通信”模式连接两个标志空间：在接入网采用接入标志转发数据，而在核心网采用内部的交换路由标志替代接入标志转发;接入网负责各种通信终端的接入，核心网进行控制管理和交换路由。新可信路由体系结构如图1所示。

在上述的可信路由体系结构参考模型中，接入网与核心网的分离，使得接入网的动态变化不会出现在的核心网上，保证了核心网的相对稳定;接入网的多家乡、流量工程等也不会引起核心网的路由表的增长和不稳定。代表用户身份的接入标志不会在核心网上传播，使得其他用户不能通过截获核心网的信息分析用户的身份，保证了用户身份的隐私性;也不可能通过用户的身份来截获他们的信息，保证了用户信息的安全性。同时，接入网内的终端无法知道核心网内的网络设施的交换路由标志或是其他终端的交换路由标志;接入网内的终