支持可信度分级的路由计算方法
【技术领域】
[0001] 本发明涉及互联网技术领域,特别涉及一种支持可信度分级的路由计算方法。
【背景技术】
[0002] 现今高度互联的网络世界中,安全性问题正在面临巨大挑战,恶意者攻击手段变 化多端,病毒木马造成的危害不断升级,美国网络安全技术供应商赛门铁克在年度互联网 安全威胁报告中指出,2013年是大规模数据外泄之年,2014年零日漏洞数量创历史新高,重 大安全隐患频频登上头条,2015年移动恶意程序数量持续上涨,勒索软件兴起等安全威胁 影响更加深远。互联网安全脆弱性从某种意义上来说是由其开放性带来的,开放性导致网 络的复杂性,安全边界的不确定性,安全产品依靠见招拆招升级不断,结果防火墙越砌越 高、入侵检测越做越复杂、恶意代码库越做越大,安全投入随之不断增加,信息系统的使用 效率却大大降低,这些问题造成网络安全管理和维护非常困难,难以实现统一的安全可信 机制。
【发明内容】
[0003] 本发明旨在至少在一定程度上解决上述相关技术中的技术问题之一。
[0004] 为此,本发明的目的在于提出一种支持可信度分级的路由计算方法,该方法具有 收敛速度较快、获取可信属性额外开销较小、灵活适应不同网络环境即适用范围广的优点。
[0005] 为了实现上述目的,本发明的实施例提出了一种支持可信度分级的路由计算方 法,包括以下步骤:S1:对各网络节点和连接链路的可信安全属性进行等级值划分和初始 化,以分别得到各网络节点和连接链路的可信等级值,其中,所述可信等级值为大于或等于 〇的整数;S2:所述路由计算方法与网络路由协议聚合,并基于链路状态协议发现具有可信 安全属性的邻居,并建立可信邻接关系,并向所有形成可信邻接关系的网络节点发送可信 等级值通告;S3:所述形成可信邻接关系的网络节点接收所述可信等级值通告,并将所述可 信等级值通告存储在具有可信安全属性的链路状态数据库中,并以洪泛方式将所述可信等 级值通告转发扩散至全网中支持可信安全属性的网络节点,所述支持可信安全属性的网络 节点对所述具有可信安全属性的链路状态数据库进行同步以得到全网可信拓扑;S4:根据 可信度分级路由计算方法计算一个网络节点到其它各网络节点在不同可信度参考值〇条 件下的可信最佳路径;S5:所述网络节点各自基于可信度分级路由计算方法获得路径结果, 并根据所述路径结果生成可信路由表;以及S6:判断所述全网可信拓扑是否发生变化,如果 是,则发生变化的位置向外发送新的可信等级值通告,以促使全网进行具有可信安全属性 的链路状态数据库的更新,并跳转至所述步骤S3继续执行,以实现可信路由表重算。
[0006] 根据本发明实施例的支持可信度分级的路由计算方法,对参与网络活动的各网络 角色(包括网络用户、网络节点、连接链路等)进行可信安全属性等级值划分,并结合实际网 络运行状态完成可信安全属性全网同步,最后按照计算方法给出贴合用户期望的最佳可信 路径。该方法可以在集中式控制网络环境下,依据全网可信拓扑进行求解,也能够在分散式 管理网络环境下,轻松与网络路由协议实现聚合,获取可信属性的额外开销较小,计算方法 收敛速度较快,为数据传输提供可控保障实现安全交付奠定基础,进一步为新一代安全可 信网络体系架构提供技术支撑。
[0007] 另外,根据本发明上述实施例的支持可信度分级的路由计算方法还可以具有如下 附加的技术特征:
[0008] 在一些示例中,其中,所述连接链路为直接相邻网络节点之间的链路,所述各连接 链路的可信等级值分别由所述连接链路对应两个端节点的可信安全属性来确定,并将所述 两个端节点中可信等级值较小的值作为所述连接链路的可信等级值。
[0009] 在一些示例中,所述S4进一步包括:从所述网络节点中选取起始点和目的点,并判 断所述起始点到目的点之间是否存在安全交付路径;如果所述起始点到目的点之间存在安 全交付路径,则从所有连接所述起始点和目的点的安全交付路径中获取交付代价总和最小 的安全交付路径,并将所述交付代价总和最小的安全交付路径作为可信最佳路径。
[0010] 在一些示例中,其中,如果能够找到连接所述起始点和目的点的路径,并且满足所 述路径上各链路可信等级值link-C均不低于该路径的可信度参考值〇,则判定所述起始点 到目的点之间存在安全交付路径,其中,? >0。
[0011] 在一些示例中,通过如下公式得到最小交付代价总和:
[0013]其中,link-c表示连接起始点到目的点的某一条路径Path上各链路的可信等级 值,Cost表示该路径上各链路花销:
表示该路径上各链路的交付代价 表示该路径Path上所有链路的交付代价总和。
[0014]在一些示例中,所述S4进一步包括:S41:扫描所述一个网络节点Ra及其它各网络 节点可信等级值C的不同取值,将小于或等于所述网络节点Ra的可信等级值CRA的所有取值 记入集合Z= {cp},其中,q)#〇; S42:在所述集合Z中提取一项未处理的路径可信度参考值明,并 根据所述聘对所述全网可信拓扑进行预处理,并得到预处理结果拓扑T(cp山S43:根据所述 预处理结果拓扑T((p0,采用最小交付代价求解方法计算所述网络节点Ra与其它各网络节点 之间最小交付代价E和以Ra为起始点的可信最佳路径结果Path,并记录对应可信度参考值 机的相关路径结果;S44:判断集合Z中是否存在参考值f:未被处理,如果存在,则跳转至所述 步骤S42继续处理,否则,计算完毕,并输出最终的所述网络节点Ra到其它各网络节点在不 同可信度参考值?条件下的可信最佳路径。
[0015] 在一些示例中,根据所述弥对所述全网可信拓扑进行预处理,进一步包括:执行链 路花销Cost和链路可信等级值link-C二元参数比值结果向下取整计算得到邻接关系相应
i其中,在所述全网可信拓扑中的链路花销Cost的值为%以及link-C值低于可信度 参考值取情况下,将预处理结果直接置为
[0016] 在一些示例中,还包括:如果所述网络节点Ra与另一个网络节点之间在可信度参 考值你条件下不存在安全交付路径,则将可信度参考值取条件下所述网络节点Ra与所述另 一个网络节点之间最小交付代价E置为~,且将所述网络节点RA到所述另一个网络节点的 可信最佳路径结果Path置为空\在一些示例中,计算所述网络节点Ra与其它各网络节点之 间最小交付代价E,具体包括:a.将所述网络节点Ra加入已选节点集N,将其它网络节点加入 待选节点集Nother,初始化所述网络节点Ra到其它各网络节点的路径结果估计情况为安全交 付不可达,并将最小交付代价E分别置为~;b.根据所述预处理拓扑__「你)中的可信连接关系 以及所述路径结果估计情况,在待选节点集Notha中寻找与所述网络节点Ra之间交付代价E 最小的节点Rx,并记录<Ra、Rx>的最小交付代价E<ra、rx>,对应更新所述Ra和Rx的路径结果估 计,并将网络节点Rx加入已选节点集N,其中,所述节点Rx到所述节点Ra的路径结果估计只允 许途径已选节点集N中的已选节点;C .依次判断待选节点集Nothei?中其余节点允许途径最新 节点集N条件下,到Ra的路径结果估计是否发生变化,如果路径结果估计从不可达变为可达 或者最小交付代价E减小,则更新对应节点间估计结果;d.判断待选节点集Nottei?是否为空, 如果不为空,则跳转至所述步骤b,否则,求解完毕,并输出在可信度参考值取条件下网络节 点Ra与其它各网络节点之间最小交付代价E和以Ra为起始点的最佳路径结果Path。
[0017] 在一些示例中,所述b进一步包括:如果所述待选节点集Nother中的剩余节点与Ra之 间最小交付代价E均为〇〇,则将待选节点集Noth中的剩余节点全部加入所述已选节点集N。
[0018] 在一些示例中,所述c进一步包括:如果一个节点与Ra之间最小交付代价E条件下 有多条路径,则选择路径途径节点数少的一条,如果路径途径节点数也相同,则选择单纯路 径代价和最小的一条。 Path
[0019] 本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0020] 本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得 明显和容易理解,其中:
[0021] 图1是根据本发明一个实施例的支持可信度分级的路由计算方法的流程图;
[0022] 图2是本发明一个实施例的当前网络拓扑结构和运行状态示意图;
[0023] 图3是本发明一个实施例的当前网络环境下获得的全网可信拓扑的示意图;
[0024] 图4是根据本发明一个实施例的预处理结果拓扑的示意图;
[0025] 图5是根据本发明另一个实施例的预处理结果拓扑示意图;以及 [0026]图6是本发明又一个实施例的预处理结果拓扑示意图。
【具体实施方式】
[0027] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同