增強RSVP-TE協議下的可信連接建立方法*

梁洪泉，吳 巍

（1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.通信網信息傳輸與分發技術重點實驗室，河北 石家莊 050081）

增強RSVP-TE協議下的可信連接建立方法*

梁洪泉，吳 巍

（1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.通信網信息傳輸與分發技術重點實驗室，河北 石家莊 050081）

針對可信網絡中亟需解決的可信連接建立方法展開研究，以增強型RSVP-TE可信連接控制協議為基礎，結合可信度量、基于CPK的協議安全認證及可信路由等技術，提出了一種具備節點可信度、帶寬和優先級保障的可信連接建立方法，最終為數據在網絡中的傳送提供高安全可信的信息傳輸服務。仿真實驗結果表明，該方法能夠靈敏準確地反映節點狀態變化和惡意攻擊，能夠有效地保證網絡連接的安全可信性，具有良好的動態響應和抗攻擊能力。

組合公鑰；基于流量工程擴展的資源預留協議；可信連接；可信度量

1 引言

隨著互聯網技術的空前發展，人們對其提出了更高的服務質量保障要求，但是其與生俱來的 “盡力而為”體系架構正面臨著嚴峻的安全和服務質量保證等重大挑戰。

可信連接技術的研究指在IP、MPLS技術體制的基礎上，從控制面突破可信連接關鍵技術，為服務質量保障和流量工程提供基本的底層支撐。將基于流量工程擴展的資源預留協議RSVP-TE（Resource Reservation Protocol-Traffic Engineering）［1］作為可信連接控制協議，并在此基礎上進行可信增強，結合可信度量、基于組合公鑰CPK（Combined PublicKey）的協議安全認證及可信路由等技術，建立具備節點可信度、帶寬和優先級保障的可信連接標記交換通道，提供高安全可信的網絡服務，有效抵御敵方攻擊和內部破壞。因此，研究可信連接建立方法具有重要意義。

2 相關工作

當前互聯網的可信連接技術大多是針對用戶側的可信接入問題展開研究，已有成果包括：可信計算平臺聯盟TCG（Trusted Computing Group）的可信網絡連接TNC（Trusted Network Connection）規范［2］、思科的網絡接入控制NAC（Network Access Control）技術［3］、微軟的網絡接入保護NAP（Network Access Protection）技術［4］以及國內的TCA（Trusted Connection Architecture）［5］技術等。TNC、NAP和NAC技術具有很大的相似性，主要思路都是從用戶側著手，通過實現制定的安全策略，對終端系統進行狀態評估及安全性檢測，在接入網絡時通過數字簽名、加解密等技術進行身份驗證，從而拒絕不安全系統的接入；同時，這三種技術又各有側重，NAC側重于接入設備，NAP側重于終端和接入服務器，TNC則側重于可信計算。文獻［6］針對TNC的發展歷程、體系結構、消息流程及相關規范等內容進行了分析，指出了其優點與局限性。文獻［7］針對TNC架構存在的安全缺陷，提出了一種可證明安全的可信網絡連接協議模型。文獻［8］提出了一種基于動態鄰接信任熵的安全路由算法，但是該算法在路由計算時僅考慮了安全性，粒度較粗，難以滿足流量工程需求。文獻［9，10］分別提出了多種可信度量模型，但均未對可信連接的建立方法展開深入研究。

綜上所述，當前可信連接的研究大多是從用戶側考慮問題，既未結合網絡狀態和交互行為進行節點可信度的動態評估，也未從整體上確立可信連接的建立方法，因此難以滿足用戶對安全可信性以及服務保障的細粒度要求。

本文針對復雜網絡環境提出了一種適用于網絡側尤其是核心網絡側的可信連接建立方法，旨在提高網絡連接的可信、可管、可控以及動態調整能力。該方法將增強型RSVP-TE作為可信連接控制協議，結合可信度量、基于CPK的協議安全認證及可信路由等技術，建立具備可信度、帶寬和優先級保障的可信連接標記交換通道，保障數據在網絡中高效安全傳輸。

3 增強RSVP-TE的可信連接建立方法

可信連接建立方法的主要研究內容包括：可信度量模型、安全認證機制、可信路由及可信連接控制協議等。其基本原理是：利用可信度量模型對網絡實體進行可信度計算并借助可信路由進行可信列表擴散，可信路由協議生成包含可信度和帶寬信息的鏈路狀態數據庫和最短路徑樹；利用安全認證機制保障節點間協議傳輸的安全性；利用可信連接控制協議建立以可信度為基礎，綜合考慮帶寬和優先級的端到端的可信連接，為數據的可靠傳送提供通道。

3.1 可信度量模型

可信度量模型以人際社會關系信任模型為基礎，研究網絡節點間的可信關系，主要考慮靜態的實體身份可信和動態的實體行為可信兩部分。其中，實體身份可信是可信度量模型的基礎，目前大多由內嵌至設備且可完全信任的可信根模塊通過對其自身的身份及完整性的靜態評估決定，對于身份可信的實體，允許其入網并分配基本的訪問控制權限，此外，采用基于CPK的認證機制能夠通過簽名運算來保證協議交互對等體的身份可信；實體行為可信通過逐層分解與細化，將復雜網絡行為的可信度量問題轉化為客觀、可測量、可計算的基于交互證據的評估問題，能夠提供比靜態的實體身份可信更細粒度的安全保障。

可信度量模型的組成如圖1所示。

Figure 1 Composition of the trusted evaluation module圖1 可信度量模型組成

（1）證據庫：本地用于存儲經過預處理和規范化后的有效證據；

（2）知識庫：本地用于存儲并負責更新可信度量的策略與先驗知識；

（3）可信認知模塊：包括交互證據采集、數據融合、特征提取及規范化四部分。將所有證據量化為［0，1］區間上沿正向遞增的無量綱值；

（4）可信度量評估模塊：包括模塊初始化、直接、間接以及綜合可信度量四部分；

（5）可信決策模塊：依據各鄰接實體的綜合可信度量值，維護本地可信關系列表，并對后續證據的采集產生指導；

（6）可信管理模塊：負責對其它模塊的管理。

定義1 直接可信度量DTD（Direct Trusted Degree） 原實體與目標實體直接產生交互，根據目標實體的身份認證以及行為結果直接獲得目標實體的度量值。

定義2 間接可信度量IDTD（Indirect Trusted Degree） 通過其他中間推薦實體，間接獲得目標實體的度量值。

定義3 綜合可信度量GTD（Global Trusted Degree） 由目標實體的直接可信度量和間接可信度量綜合得出。

綜合可信度的計算公式如下：

其中，xi與xj分別表示本實體和目標實體；EW表示有效歷史交互證據窗口；ew表示在EW中xi與xj之間的有效證據；C（ew，t）表示時刻t之前實體xi與xj交互的上下文條件；ΔC=C（EW，t）—C（EW，t—1）；λ，δ∈［0，1］分別表示時效和懲罰因子；w1和w2分別表示直接和間接可信度的權重，且w1+w2=1；GTD（xi，xj，C（ew，t），t）表示在時刻t的有效歷史交互證據條件下實體xi對xj的可信度量，且GTD（xi，xj，C（ew，t），t）∈［0，1］。通常令w1∈（0.5，1］，使綜合可信度總是優先相信自己的直接判斷；另外，當證據充足時，無須考慮第三方推薦，從而能夠盡可能地降低風險，這符合人類社會的認知習慣。可信度量的計算在文獻［10］中進行了詳細說明及仿真實驗，仿真結果表明其能夠適用于可信度量的計算。

3.2 基于CPK的協議安全認證機制

采用基于CPK的認證機制實現協議實體之間信息的安全傳送，保證數據傳輸的完整性和真實性。

基于CPK的數字簽名的工作原理為：數據包發送前，首先進行安全散列，并使用該節點ID對應的私鑰進行簽名運算，生成簽名數據，附在數據包中發送到對端；節點接收到數據包后，首先取出數據包中攜帶的節點ID，并使用廢棄節點列表檢驗該ID的有效性。對于有效節點，根據其ID在公鑰矩陣中映射出的公鑰，對收到數據包中的簽名數據進行驗證運算，未通過驗證的節點ID要反饋到可信度量模塊。

為了防止協議消息中的重要信息在傳輸中泄露，采用對稱密鑰加密機制實現節點間協議的安全發送和接收；采用基于CPK的密鑰協商技術，實現節點間會話密鑰的協商。基于CPK的密鑰協商過程為：通信雙方分別產生自己的種子密鑰，并發送到對方；雙方各自利用自己的私鑰和對方的公鑰，對種子密鑰進行運算計算出會話密鑰。因此，基于CPK的密鑰協商過程并不在網絡中傳遞會話密鑰，而是通信雙方通過本地計算得到，且密鑰協商只需要一次信息交互即可完成，保證了密鑰傳遞的安全性。

3.3 可信路由技術

本文主要是對開放最短路徑優先OSPF（Open Shortest Path First）路由協議的Hello和鏈路狀態通告LSA（Link State Advertisement）報文進行可信改造，使其攜帶節點的可信度及帶寬信息；通過鄰居發現、鏈路狀態信息泛洪機制建立統一的包含節點可信度和帶寬信息的鏈路狀態數據庫，通過受限最短路徑優先CSPF（Constrained Shortest Path First）計算滿足可信度和帶寬要求的路徑；當節點/鏈路故障或節點可信度的變化超出閾值時，驅動可信路由的重新計算以及可信連接的更新；最終形成可信路由擴散、更新及計算機制。

HPLC法同時測定復方羅布麻片Ⅰ中硫酸雙肼屈嗪和3種維生素的含量 ………………………………… 徐 碩等（5）：607

3.4 增強RSVP-TE協議下的可信連接控制協議

3.4.1 RSVP-TE的可信改造

以標準的RSVP-TE為基礎對其進行可信增強，將其作為可信連接控制協議。通過CPK認證機制，對協議消息提供認證保護；采用基于CPK安全認證的可信連接標記管理技術，防止有限的連接標記空間被惡意占用，避免標記欺騙；將標記分配和釋放的認證過程與可信連接控制協議有機結合，減小系統開銷。

增強RSVP-TE的狀態轉移如圖2所示，通過增強型RSVP-TE完成交互協議加固、協議對等實體的認證以及協議處理。與傳統的連接控制協議相比，在接收時增加了基于CPK的協議消息源認證過程，其中，Path和Resv是最重要的兩個消息，如果攻擊者頻繁發送Path和Resv消息，則存在中繼鏈路帶寬耗盡，連接標記被大量占用，最終無法建立正常連接的風險。因此，需要對Path或Resv消息源進行基于CPK的安全認證，在消息中增加專用的CPK協議認證對象，確保收到的協議消息來自可信的對等體。同時，Path和Resv消息在連接建立后的鏈路維護過程中，可以選擇不再使用認證機制，以減少系統開銷。另外，為了對認證沖突進行有效控制，采取分層分域的方法，將復雜網絡劃分為骨干域和其他非骨干域兩層。非骨干域通過骨干域實現互聯互通，一方面能夠有效減小沖突范圍，降低沖突發生的概率；另一方面，對沖突管理采取排隊處理機制，進一步避免沖突發生。

Figure 2 State transition diagram of the enhanced RSVP-TE圖2 增強RSVP-TE的狀態轉移圖

在可信連接拆除過程中也面臨同樣的問題，攻擊者仿冒入口節點發送Path Tear消息來拆除可信連接，因此Path Tear消息同樣需要對消息源進行基于CPK的協議安全認證。為防止消息在傳送過程中被竊取，對協議消息中的關鍵對象進行加密，主要包括LABEL_REQUEST、EXPLICIT_ ROUTE、SESSION、SENDER_TEMPLATE和SESSION_ATTRIBUTE等對象。由于消息中的關鍵對象格式都是變長的，在整體長度較短的情況下，可采用整體加密；當長度較長時，可對其關鍵對象進行加密，以減少協議開銷。

控制協議信息流如圖3所示，安全認證執行模塊接收到CPK安全認證模塊發送的簽名信息，放入RSVP-TE協議預留字段中，發送到其它節點；接收CPK安全認證協議認證結果，通知RSVPTE協議處理模塊并根據結果決定是否繼續向下游節點發送協議消息；接收CPK安全認證模塊發送的會話密鑰，對RSVP-TE協議進行加密傳輸。可信度量獲取模塊根據可信度量模塊對鄰居節點的度量結果，判斷是否與下游節點繼續進行協議消息的交互和處理。標記管理模塊對可信連接標記信息進行管理并處理RSVP-TE模塊發送的標記請求和標記釋放消息，完成連接標記的分配和釋放操作。

Figure 3 Information stream of the control protocol圖3 控制協議信息流圖

3.4.2 可信連接的度量

定義4 設集合N=｛N1，N2，…，Nn｝表示整個網絡的n個節點，Ns、Nd∈N分別代表源節點和目的節點且s≠d，若構成網絡連接的各節點能夠滿足信息傳輸的保密性、完整性和可用性要求，并提供端到端可預期、可管理的安全可信服務，則稱TC（Ns，Nd）=｛Ns，…，Nd｝為節點Ns與Nd之間的可信連接TC（Trusted Connection）。

定義5 設DTC（Ns，Nd，GTD，BW，PRI）表示在節點 Ns和Nd間滿足可信度、帶寬和優先級要求的可信連接的度量，其公式如下：

其中，Gtdi∈［0，1］表示節點i的綜合可信度量，Bwi∈［0，1］表示節點i與下一跳節點間的鏈路帶寬，PRI∈［0，1］表示業務優先級，wa、wb和wc分別表示GTD、BW和PRI的權重，且wa+wb+ wc=1。DTC∈［0，Max］，Max為系統設定的上限值。若在Ns和Nd間 存在 多條滿 足要 求的 路徑時，優先選擇可信連接度量值最小的路徑；若存在多條最小可信連接度量值相同的路徑時，優先選擇跳數最少的路徑。

3.4.3 可信連接的建立及更新

在可信連接建立前，首先由OSPF協議以鏈路狀態數據庫為依據，利用CSPF計算滿足可信度和帶寬要求的最短路徑樹并形成路由表；其次，可信連接的建立由用戶節點所連接的邊緣交換路由器發起，RSVP-TE協議綜合考慮業務的優先級，根據OSPF協議計算的最優路徑進行標記分配，在標記交換通路建立的過程中按照用戶要求進行路徑沿途的帶寬預留，最終建立滿足可信度量、帶寬和優先級要求的可信連接通路。可信連接的更新存在兩種方式，其一是主動更新，即可信連接的建立時間超出其固有的生存周期；其二是被動更新，即當前可信連接通路中發生鏈路失效或者業務需求突然發生變化導致當前連接難以滿足。可信連接的更新機制使其具有一定的動態調整能力。可信連接的建立及更新流程如圖4所示。

4 仿真實驗及分析

基于OPNET 14.5構建的仿真場景由38個核心路由器、2個接入路由器和2個用戶節點組成，所有核心路由器組成單個路由域。業務由Src產生，經由整個網絡后到達Dest。仿真參數、事件設置分別見表1和表2。仿真實驗主要通過對可信連接的關鍵技術指標（標記交換路徑LSP（Label Switch Path）的端到端時延、建立時間及恢復時間等）進行分析與驗證，包括兩個方面：

（1）有效性：驗證本方法是否能夠正確地反映節點行為和狀態變化；

（2）動態響應能力：當網絡受到攻擊時，將采用標準型與增強型（增強的OSPF和RSVP-TE）的可信連接建立方法進行對比，驗證本方法的動態響應能力。

Figure 5 Simulation scenario圖5 仿真場景

Table 1 Simulation parameters表1 參數設置

Figure 4 Process of trusted connection establishment圖4 可信連接建立流程

Table 2 Important event settings表2 重要事件設置

4.1 實驗1：有效性

根據表1和表2對場景1進行配置。將表2中實驗1的仿真事件結合圖6a進行分析，在整個仿真中共發生了三次LSP建鏈請求：300 s業務產生時、500 s LER1?LSR3鏈路故障時和900 s LER1?LSR2鏈路故障時；LSP鏈路恢復共發生了兩次：500 s和900 s LSP故障并重建時。在［300 s，500 s）以及（900 s，1 800 s］的可信連接LSP為圖5a中標識的實線LER1?LSR3?LER2，［500 s，900 s］的可信連接LSP為圖5a中標識的虛線LER1?LSR2?LER 2。另外，LSP的時延抖動主要發生在500 s和900 s LSP故障并重新建立時，最終LSP的端到端時延在［0.003 205 s，0.003 413 s］，因此具有良好的時效性。整個仿真過程與預期一致，驗證了本方法的有效性。

4.2 實驗2：動態響應能力

根據表1和表2對場景2進行配置。將標準型和增強型的可信連接建立方法進行對比（如圖6b所示），同時將實驗1和實驗2進行對比（如圖6c所示），驗證本方法的動態響應能力。

將表2中實驗2的仿真事件結合圖6b進行分析，在整個仿真中，標準型方法僅在300 s發起了一次LSP建鏈請求，當攻擊發生時并未作出響應，LSP的端到端時延約為0.012 5 s；增強型方法在此過程中共發生了四次LSP建鏈請求：300 s業務產生、500 s LSR20被攻擊、700 s LSR17被攻擊和900 s LSR2被攻擊時；LSP鏈路恢復共發生了三次：500 s、700 s和900 s LSP故障并重建。在［300 s，500 s）的LSP為圖5b中的粗實線，在［500 s，700 s）的LSP為圖5b中的細實線，在［700 s，900 s）的LSP為圖5b中的粗虛線，在［900 s，1 800 s］的LSP為圖5b中的細虛線。LSP的時延抖動主要發生在500 s、700 s和900 s LSP故障并重建時，最終LSP的端到端時延在［0.012 611 s，0.014 393 s］，因此該方法具有較好的動態響應能力和時效性。

Figure 6 Simulation results圖6 仿真結果

如圖6c所示，當節點規模由6增至42時，將實驗1和實驗2進行對比：LSP的平均建立時間約增加了1.46倍，由0.013 s增至0.032 s；LSP的平均恢復時間增加了約1.55倍，由0.033 s增至0.084 s；LSP的平均端到端時延增加了約3.1倍，由0.003 27 s增至0.013 5 s。因此，增強RSVPTE協議下的可信連接建立方法在網絡規模一定的情況下具有良好的動態響應能力和時效性。

4.3 實驗結論

通過仿真實驗得出，增強型的可信連接建立方法與標準方法相比，并未明顯增加系統的復雜性，在性能方面，略微增加了協議開銷和網絡時延，該方法在網絡規模一定的情況下具有良好的動態響應能力和時效性。另外，對于復雜網絡，為降低系統復雜度及過多的資源消耗，一方面采用增量法，當可信度量的變化超出設定增量時，重新驅動路由擴散與收斂，有效降低協議交互頻繁度以及路由震蕩；另一方面采用分層分域法，將復雜網絡進行分層分域處理，有效減小協議交互范圍以及域內路由表規模，加速路由計算并降低管理開銷。綜上所述，將增量和分層分域法相結合，有利于處理復雜網絡下的可信連接建立問題。

5 結束語

本文提出了基于增強RSVP-TE協議下的可信連接建立方法，通過可信度量、基于CPK的協議安全認證及可信路由等技術，建立具備節點可信度、帶寬和優先級保障的可信連接標記交換通道，以提供高安全可信的網絡傳輸服務。仿真結果表明本方法在增強信息傳輸安全可信性的同時并未明顯增加系統的開銷和復雜性，其在動態不確定網絡環境下具有快速建立可信標記交換路徑的能力，為網絡側可信問題的研究奠定了良好的基礎。

［1］ IETF RFC3209，RSVP-TE：Extensions to RSVP for LSP Tunnels［S］.2001.

［2］ Trusted Computing Group.TCG trusted network connect TNC architecture for interoperability specification version 1. 4［S］.2009.

［3］ Network admission control introduction［EB/OL］.［2007-12-16］.http：∥www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html.

［4］ Introduction to network access protection［EB/OL］.［2008-02-01］.http：∥technet.microsoft.com/en-us/network/ cc984252.aspx.

［5］ Trusted Connect Architecture Specification Group.Trusted computing specifications Part 5：Trusted connect architecture ［S］.2010.（in Chinese）

［6］ Zhang Huan-guo，Chen Lu，Zhang Li-qiang.Research on trusted network connection［J］.Chinese Journal of Computer，2010，33（4）：706-717.（in Chinese）

［7］ Ma Zhuo，Ma Jian-feng，Li Xing-hua，et al.Provable security model for trusted network connect protocol［J］.Chinese Journal of Computer，2011，34（9）：1669-1678.（in Chinese）

［8］ Han Ting，Luo Shou-shan，Xin Yang.Study on security routing algorithm based on dynamic adjacent trust［J］.Journal on Communications，2013，34（6）：191-200.（in Chinese）

［9］ Melaye D，Demazeau Y.Bayesian dynamic trust model［C］∥Proc of Multi-Agent Systems and Applications IV，LNCS 3690，2005：480-489.

［10］ Liang Hong-quan，Wu Wei.Research of trust evaluation model based on dynamic Bayesian network［J］.Journal on Communications，2013，34（9）：68-76.（in Chinese）

附中文參考文獻：

［5］ 可信連接架構規范工作組.可信計算規范第5部分：可信連接架構［S］.2010.

［6］ 張煥國，陳璐，張立強.可信網絡連接研究［J］.計算機學報，2010，33（4）：706-717.

［7］ 馬卓，馬建峰，李興華，等.可證明安全的可信網絡連接協議模型［J］.計算機學報，2011，34（9）：1669-1678.

［8］ 韓挺，羅守山，辛陽.基于動態鄰接信任模型的安全路由算法研究［J］.通信學報，2013，34（6）：191-200.

［10］ 梁洪泉，吳巍.基于動態貝葉斯網絡的可信度量模型研究［J］.通信學報，2013，34（9）：68-76.

梁洪泉（1981），男，河北石家莊人，博士生，高級工程師，研究方向為可信網絡。E-mail：lianghongquan_1981@163.com

LIANG Hong-quan，born in 1981，PhD candidate，senior engineer，his research interest includes trusted network.

吳巍（1956 ），男，重慶人，研究員，研究方向為通信網技術。E-mail：13903112190 @139.com

WU Wei，born in 1956，research fellow，his research interest includes communication network.

A trusted connection establishment method based on enhanced RSVP-TE

LIANG Hong-quan，WU Wei
（1.The 54th Research Institute of China Electronics Technology Group Corporation，Shijiazhuang 050081；
2.Science and Technology on Information Transmission and Dissemination in Communication Networks Laboratory，Shijiazhuang 050081，China）

Trusted connection establishment methods are critical for trusted networks.Based on enhanced RSVP-TE trusted connection control protocol，combined with trusted evaluation，CPK-based protocol security authentication and trusted routing，we propose a trusted connection establishment method which guarantees trusted evaluation，bandwidth and priority，and in turn information transmission services with high security are provided during data transmission in the network.Simulation results show that the proposed method can reflect the changes in node status，find out the malicious attacks effectively and sensitively，and guarantee the security and credibility of network connection with dynamic response capability and anti-attack capability.

CPK；RSVP-TE；trusted connection；trusted evaluation

TP393

A

10.3969/j.issn.1007-130X.2015.08.010

1007-130X（2015）08-1479-07

2014-09-11；

2014-12-16

國防基礎科研計劃基金資助項目（B1120131046）；國家863計劃資助項目（2015A015701）

通信地址：050081河北省石家莊市中山西路589號

Address：589 Zhongshan Rd West，Shijiazhuang 050081，Hebei，P.R.China