梁洪泉，吳 巍

（1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081）

增強(qiáng)RSVP-TE協(xié)議下的可信連接建立方法*

梁洪泉，吳 巍

（1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081）

針對(duì)可信網(wǎng)絡(luò)中亟需解決的可信連接建立方法展開研究，以增強(qiáng)型RSVP-TE可信連接控制協(xié)議為基礎(chǔ)，結(jié)合可信度量、基于CPK的協(xié)議安全認(rèn)證及可信路由等技術(shù)，提出了一種具備節(jié)點(diǎn)可信度、帶寬和優(yōu)先級(jí)保障的可信連接建立方法，最終為數(shù)據(jù)在網(wǎng)絡(luò)中的傳送提供高安全可信的信息傳輸服務(wù)。仿真實(shí)驗(yàn)結(jié)果表明，該方法能夠靈敏準(zhǔn)確地反映節(jié)點(diǎn)狀態(tài)變化和惡意攻擊，能夠有效地保證網(wǎng)絡(luò)連接的安全可信性，具有良好的動(dòng)態(tài)響應(yīng)和抗攻擊能力。

組合公鑰；基于流量工程擴(kuò)展的資源預(yù)留協(xié)議；可信連接；可信度量

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的空前發(fā)展，人們對(duì)其提出了更高的服務(wù)質(zhì)量保障要求，但是其與生俱來(lái)的 “盡力而為”體系架構(gòu)正面臨著嚴(yán)峻的安全和服務(wù)質(zhì)量保證等重大挑戰(zhàn)。

可信連接技術(shù)的研究指在IP、MPLS技術(shù)體制的基礎(chǔ)上，從控制面突破可信連接關(guān)鍵技術(shù)，為服務(wù)質(zhì)量保障和流量工程提供基本的底層支撐。將基于流量工程擴(kuò)展的資源預(yù)留協(xié)議RSVP-TE（Resource Reservation Protocol-Traffic Engineering）［1］作為可信連接控制協(xié)議，并在此基礎(chǔ)上進(jìn)行可信增強(qiáng)，結(jié)合可信度量、基于組合公鑰CPK（Combined PublicKey）的協(xié)議安全認(rèn)證及可信路由等技術(shù)，建立具備節(jié)點(diǎn)可信度、帶寬和優(yōu)先級(jí)保障的可信連接標(biāo)記交換通道，提供高安全可信的網(wǎng)絡(luò)服務(wù)，有效抵御敵方攻擊和內(nèi)部破壞。因此，研究可信連接建立方法具有重要意義。

2 相關(guān)工作

當(dāng)前互聯(lián)網(wǎng)的可信連接技術(shù)大多是針對(duì)用戶側(cè)的可信接入問(wèn)題展開研究，已有成果包括：可信計(jì)算平臺(tái)聯(lián)盟TCG（Trusted Computing Group）的可信網(wǎng)絡(luò)連接TNC（Trusted Network Connection）規(guī)范［2］、思科的網(wǎng)絡(luò)接入控制NAC（Network Access Control）技術(shù)［3］、微軟的網(wǎng)絡(luò)接入保護(hù)NAP（Network Access Protection）技術(shù)［4］以及國(guó)內(nèi)的TCA（Trusted Connection Architecture）［5］技術(shù)等。TNC、NAP和NAC技術(shù)具有很大的相似性，主要思路都是從用戶側(cè)著手，通過(guò)實(shí)現(xiàn)制定的安全策略，對(duì)終端系統(tǒng)進(jìn)行狀態(tài)評(píng)估及安全性檢測(cè)，在接入網(wǎng)絡(luò)時(shí)通過(guò)數(shù)字簽名、加解密等技術(shù)進(jìn)行身份驗(yàn)證，從而拒絕不安全系統(tǒng)的接入；同時(shí)，這三種技術(shù)又各有側(cè)重，NAC側(cè)重于接入設(shè)備，NAP側(cè)重于終端和接入服務(wù)器，TNC則側(cè)重于可信計(jì)算。文獻(xiàn)［6］針對(duì)TNC的發(fā)展歷程、體系結(jié)構(gòu)、消息流程及相關(guān)規(guī)范等內(nèi)容進(jìn)行了分析，指出了其優(yōu)點(diǎn)與局限性。文獻(xiàn)［7］針對(duì)TNC架構(gòu)存在的安全缺陷，提出了一種可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型。文獻(xiàn)［8］提出了一種基于動(dòng)態(tài)鄰接信任熵的安全路由算法，但是該算法在路由計(jì)算時(shí)僅考慮了安全性，粒度較粗，難以滿足流量工程需求。文獻(xiàn)［9，10］分別提出了多種可信度量模型，但均未對(duì)可信連接的建立方法展開深入研究。

綜上所述，當(dāng)前可信連接的研究大多是從用戶側(cè)考慮問(wèn)題，既未結(jié)合網(wǎng)絡(luò)狀態(tài)和交互行為進(jìn)行節(jié)點(diǎn)可信度的動(dòng)態(tài)評(píng)估，也未從整體上確立可信連接的建立方法，因此難以滿足用戶對(duì)安全可信性以及服務(wù)保障的細(xì)粒度要求。

本文針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境提出了一種適用于網(wǎng)絡(luò)側(cè)尤其是核心網(wǎng)絡(luò)側(cè)的可信連接建立方法，旨在提高網(wǎng)絡(luò)連接的可信、可管、可控以及動(dòng)態(tài)調(diào)整能力。該方法將增強(qiáng)型RSVP-TE作為可信連接控制協(xié)議，結(jié)合可信度量、基于CPK的協(xié)議安全認(rèn)證及可信路由等技術(shù)，建立具備可信度、帶寬和優(yōu)先級(jí)保障的可信連接標(biāo)記交換通道，保障數(shù)據(jù)在網(wǎng)絡(luò)中高效安全傳輸。

3 增強(qiáng)RSVP-TE的可信連接建立方法

可信連接建立方法的主要研究?jī)?nèi)容包括：可信度量模型、安全認(rèn)證機(jī)制、可信路由及可信連接控制協(xié)議等。其基本原理是：利用可信度量模型對(duì)網(wǎng)絡(luò)實(shí)體進(jìn)行可信度計(jì)算并借助可信路由進(jìn)行可信列表擴(kuò)散，可信路由協(xié)議生成包含可信度和帶寬信息的鏈路狀態(tài)數(shù)據(jù)庫(kù)和最短路徑樹；利用安全認(rèn)證機(jī)制保障節(jié)點(diǎn)間協(xié)議傳輸?shù)陌踩?；利用可信連接控制協(xié)議建立以可信度為基礎(chǔ)，綜合考慮帶寬和優(yōu)先級(jí)的端到端的可信連接，為數(shù)據(jù)的可靠傳送提供通道。

3.1 可信度量模型

可信度量模型以人際社會(huì)關(guān)系信任模型為基礎(chǔ)，研究網(wǎng)絡(luò)節(jié)點(diǎn)間的可信關(guān)系，主要考慮靜態(tài)的實(shí)體身份可信和動(dòng)態(tài)的實(shí)體行為可信兩部分。其中，實(shí)體身份可信是可信度量模型的基礎(chǔ)，目前大多由內(nèi)嵌至設(shè)備且可完全信任的可信根模塊通過(guò)對(duì)其自身的身份及完整性的靜態(tài)評(píng)估決定，對(duì)于身份可信的實(shí)體，允許其入網(wǎng)并分配基本的訪問(wèn)控制權(quán)限，此外，采用基于CPK的認(rèn)證機(jī)制能夠通過(guò)簽名運(yùn)算來(lái)保證協(xié)議交互對(duì)等體的身份可信；實(shí)體行為可信通過(guò)逐層分解與細(xì)化，將復(fù)雜網(wǎng)絡(luò)行為的可信度量問(wèn)題轉(zhuǎn)化為客觀、可測(cè)量、可計(jì)算的基于交互證據(jù)的評(píng)估問(wèn)題，能夠提供比靜態(tài)的實(shí)體身份可信更細(xì)粒度的安全保障。

可信度量模型的組成如圖1所示。

Figure 1 Composition of the trusted evaluation module圖1 可信度量模型組成

（1）證據(jù)庫(kù)：本地用于存儲(chǔ)經(jīng)過(guò)預(yù)處理和規(guī)范化后的有效證據(jù)；

（2）知識(shí)庫(kù)：本地用于存儲(chǔ)并負(fù)責(zé)更新可信度量的策略與先驗(yàn)知識(shí)；

（3）可信認(rèn)知模塊：包括交互證據(jù)采集、數(shù)據(jù)融合、特征提取及規(guī)范化四部分。將所有證據(jù)量化為［0，1］區(qū)間上沿正向遞增的無(wú)量綱值；

（4）可信度量評(píng)估模塊：包括模塊初始化、直接、間接以及綜合可信度量四部分；

（5）可信決策模塊：依據(jù)各鄰接實(shí)體的綜合可信度量值，維護(hù)本地可信關(guān)系列表，并對(duì)后續(xù)證據(jù)的采集產(chǎn)生指導(dǎo)；

（6）可信管理模塊：負(fù)責(zé)對(duì)其它模塊的管理。

定義1 直接可信度量DTD（Direct Trusted Degree） 原實(shí)體與目標(biāo)實(shí)體直接產(chǎn)生交互，根據(jù)目標(biāo)實(shí)體的身份認(rèn)證以及行為結(jié)果直接獲得目標(biāo)實(shí)體的度量值。

定義2 間接可信度量IDTD（Indirect Trusted Degree） 通過(guò)其他中間推薦實(shí)體，間接獲得目標(biāo)實(shí)體的度量值。

定義3 綜合可信度量GTD（Global Trusted Degree） 由目標(biāo)實(shí)體的直接可信度量和間接可信度量綜合得出。

綜合可信度的計(jì)算公式如下：

其中，xi與xj分別表示本實(shí)體和目標(biāo)實(shí)體；EW表示有效歷史交互證據(jù)窗口；ew表示在EW中xi與xj之間的有效證據(jù)；C（ew，t）表示時(shí)刻t之前實(shí)體xi與xj交互的上下文條件；ΔC=C（EW，t）—C（EW，t—1）；λ，δ∈［0，1］分別表示時(shí)效和懲罰因子；w1和w2分別表示直接和間接可信度的權(quán)重，且w1+w2=1；GTD（xi，xj，C（ew，t），t）表示在時(shí)刻t的有效歷史交互證據(jù)條件下實(shí)體xi對(duì)xj的可信度量，且GTD（xi，xj，C（ew，t），t）∈［0，1］。通常令w1∈（0.5，1］，使綜合可信度總是優(yōu)先相信自己的直接判斷；另外，當(dāng)證據(jù)充足時(shí)，無(wú)須考慮第三方推薦，從而能夠盡可能地降低風(fēng)險(xiǎn)，這符合人類社會(huì)的認(rèn)知習(xí)慣?？尚哦攘康挠?jì)算在文獻(xiàn)［10］中進(jìn)行了詳細(xì)說(shuō)明及仿真實(shí)驗(yàn)，仿真結(jié)果表明其能夠適用于可信度量的計(jì)算。

3.2 基于CPK的協(xié)議安全認(rèn)證機(jī)制

采用基于CPK的認(rèn)證機(jī)制實(shí)現(xiàn)協(xié)議實(shí)體之間信息的安全傳送，保證數(shù)據(jù)傳輸?shù)耐暾院驼鎸?shí)性。

基于CPK的數(shù)字簽名的工作原理為：數(shù)據(jù)包發(fā)送前，首先進(jìn)行安全散列，并使用該節(jié)點(diǎn)ID對(duì)應(yīng)的私鑰進(jìn)行簽名運(yùn)算，生成簽名數(shù)據(jù)，附在數(shù)據(jù)包中發(fā)送到對(duì)端；節(jié)點(diǎn)接收到數(shù)據(jù)包后，首先取出數(shù)據(jù)包中攜帶的節(jié)點(diǎn)ID，并使用廢棄節(jié)點(diǎn)列表檢驗(yàn)該ID的有效性。對(duì)于有效節(jié)點(diǎn)，根據(jù)其ID在公鑰矩陣中映射出的公鑰，對(duì)收到數(shù)據(jù)包中的簽名數(shù)據(jù)進(jìn)行驗(yàn)證運(yùn)算，未通過(guò)驗(yàn)證的節(jié)點(diǎn)ID要反饋到可信度量模塊。

為了防止協(xié)議消息中的重要信息在傳輸中泄露，采用對(duì)稱密鑰加密機(jī)制實(shí)現(xiàn)節(jié)點(diǎn)間協(xié)議的安全發(fā)送和接收；采用基于CPK的密鑰協(xié)商技術(shù)，實(shí)現(xiàn)節(jié)點(diǎn)間會(huì)話密鑰的協(xié)商?；贑PK的密鑰協(xié)商過(guò)程為：通信雙方分別產(chǎn)生自己的種子密鑰，并發(fā)送到對(duì)方；雙方各自利用自己的私鑰和對(duì)方的公鑰，對(duì)種子密鑰進(jìn)行運(yùn)算計(jì)算出會(huì)話密鑰。因此，基于CPK的密鑰協(xié)商過(guò)程并不在網(wǎng)絡(luò)中傳遞會(huì)話密鑰，而是通信雙方通過(guò)本地計(jì)算得到，且密鑰協(xié)商只需要一次信息交互即可完成，保證了密鑰傳遞的安全性。

3.3 可信路由技術(shù)

本文主要是對(duì)開放最短路徑優(yōu)先OSPF（Open Shortest Path First）路由協(xié)議的Hello和鏈路狀態(tài)通告LSA（Link State Advertisement）報(bào)文進(jìn)行可信改造，使其攜帶節(jié)點(diǎn)的可信度及帶寬信息；通過(guò)鄰居發(fā)現(xiàn)、鏈路狀態(tài)信息泛洪機(jī)制建立統(tǒng)一的包含節(jié)點(diǎn)可信度和帶寬信息的鏈路狀態(tài)數(shù)據(jù)庫(kù)，通過(guò)受限最短路徑優(yōu)先CSPF（Constrained Shortest Path First）計(jì)算滿足可信度和帶寬要求的路徑；當(dāng)節(jié)點(diǎn)/鏈路故障或節(jié)點(diǎn)可信度的變化超出閾值時(shí)，驅(qū)動(dòng)可信路由的重新計(jì)算以及可信連接的更新；最終形成可信路由擴(kuò)散、更新及計(jì)算機(jī)制。

HPLC法同時(shí)測(cè)定復(fù)方羅布麻片Ⅰ中硫酸雙肼屈嗪和3種維生素的含量 ………………………………… 徐 碩等（5）：607

3.4 增強(qiáng)RSVP-TE協(xié)議下的可信連接控制協(xié)議

3.4.1 RSVP-TE的可信改造

以標(biāo)準(zhǔn)的RSVP-TE為基礎(chǔ)對(duì)其進(jìn)行可信增強(qiáng)，將其作為可信連接控制協(xié)議。通過(guò)CPK認(rèn)證機(jī)制，對(duì)協(xié)議消息提供認(rèn)證保護(hù)；采用基于CPK安全認(rèn)證的可信連接標(biāo)記管理技術(shù)，防止有限的連接標(biāo)記空間被惡意占用，避免標(biāo)記欺騙；將標(biāo)記分配和釋放的認(rèn)證過(guò)程與可信連接控制協(xié)議有機(jī)結(jié)合，減小系統(tǒng)開銷。

增強(qiáng)RSVP-TE的狀態(tài)轉(zhuǎn)移如圖2所示，通過(guò)增強(qiáng)型RSVP-TE完成交互協(xié)議加固、協(xié)議對(duì)等實(shí)體的認(rèn)證以及協(xié)議處理。與傳統(tǒng)的連接控制協(xié)議相比，在接收時(shí)增加了基于CPK的協(xié)議消息源認(rèn)證過(guò)程，其中，Path和Resv是最重要的兩個(gè)消息，如果攻擊者頻繁發(fā)送Path和Resv消息，則存在中繼鏈路帶寬耗盡，連接標(biāo)記被大量占用，最終無(wú)法建立正常連接的風(fēng)險(xiǎn)。因此，需要對(duì)Path或Resv消息源進(jìn)行基于CPK的安全認(rèn)證，在消息中增加專用的CPK協(xié)議認(rèn)證對(duì)象，確保收到的協(xié)議消息來(lái)自可信的對(duì)等體。同時(shí)，Path和Resv消息在連接建立后的鏈路維護(hù)過(guò)程中，可以選擇不再使用認(rèn)證機(jī)制，以減少系統(tǒng)開銷。另外，為了對(duì)認(rèn)證沖突進(jìn)行有效控制，采取分層分域的方法，將復(fù)雜網(wǎng)絡(luò)劃分為骨干域和其他非骨干域兩層。非骨干域通過(guò)骨干域?qū)崿F(xiàn)互聯(lián)互通，一方面能夠有效減小沖突范圍，降低沖突發(fā)生的概率；另一方面，對(duì)沖突管理采取排隊(duì)處理機(jī)制，進(jìn)一步避免沖突發(fā)生。

Figure 2 State transition diagram of the enhanced RSVP-TE圖2 增強(qiáng)RSVP-TE的狀態(tài)轉(zhuǎn)移圖

在可信連接拆除過(guò)程中也面臨同樣的問(wèn)題，攻擊者仿冒入口節(jié)點(diǎn)發(fā)送Path Tear消息來(lái)拆除可信連接，因此Path Tear消息同樣需要對(duì)消息源進(jìn)行基于CPK的協(xié)議安全認(rèn)證。為防止消息在傳送過(guò)程中被竊取，對(duì)協(xié)議消息中的關(guān)鍵對(duì)象進(jìn)行加密，主要包括LABEL_REQUEST、EXPLICIT_ ROUTE、SESSION、SENDER_TEMPLATE和SESSION_ATTRIBUTE等對(duì)象。由于消息中的關(guān)鍵對(duì)象格式都是變長(zhǎng)的，在整體長(zhǎng)度較短的情況下，可采用整體加密；當(dāng)長(zhǎng)度較長(zhǎng)時(shí)，可對(duì)其關(guān)鍵對(duì)象進(jìn)行加密，以減少協(xié)議開銷。

控制協(xié)議信息流如圖3所示，安全認(rèn)證執(zhí)行模塊接收到CPK安全認(rèn)證模塊發(fā)送的簽名信息，放入RSVP-TE協(xié)議預(yù)留字段中，發(fā)送到其它節(jié)點(diǎn)；接收CPK安全認(rèn)證協(xié)議認(rèn)證結(jié)果，通知RSVPTE協(xié)議處理模塊并根據(jù)結(jié)果決定是否繼續(xù)向下游節(jié)點(diǎn)發(fā)送協(xié)議消息；接收CPK安全認(rèn)證模塊發(fā)送的會(huì)話密鑰，對(duì)RSVP-TE協(xié)議進(jìn)行加密傳輸?？尚哦攘揩@取模塊根據(jù)可信度量模塊對(duì)鄰居節(jié)點(diǎn)的度量結(jié)果，判斷是否與下游節(jié)點(diǎn)繼續(xù)進(jìn)行協(xié)議消息的交互和處理。標(biāo)記管理模塊對(duì)可信連接標(biāo)記信息進(jìn)行管理并處理RSVP-TE模塊發(fā)送的標(biāo)記請(qǐng)求和標(biāo)記釋放消息，完成連接標(biāo)記的分配和釋放操作。

Figure 3 Information stream of the control protocol圖3 控制協(xié)議信息流圖

3.4.2 可信連接的度量

定義4 設(shè)集合N=｛N1，N2，…，Nn｝表示整個(gè)網(wǎng)絡(luò)的n個(gè)節(jié)點(diǎn)，Ns、Nd∈N分別代表源節(jié)點(diǎn)和目的節(jié)點(diǎn)且s≠d，若構(gòu)成網(wǎng)絡(luò)連接的各節(jié)點(diǎn)能夠滿足信息傳輸?shù)谋Ｃ苄?、完整性和可用性要求，并提供端到端可預(yù)期、可管理的安全可信服務(wù)，則稱TC（Ns，Nd）=｛Ns，…，Nd｝為節(jié)點(diǎn)Ns與Nd之間的可信連接TC（Trusted Connection）。

定義5 設(shè)DTC（Ns，Nd，GTD，BW，PRI）表示在節(jié)點(diǎn) Ns和Nd間滿足可信度、帶寬和優(yōu)先級(jí)要求的可信連接的度量，其公式如下：

其中，Gtdi∈［0，1］表示節(jié)點(diǎn)i的綜合可信度量，Bwi∈［0，1］表示節(jié)點(diǎn)i與下一跳節(jié)點(diǎn)間的鏈路帶寬，PRI∈［0，1］表示業(yè)務(wù)優(yōu)先級(jí)，wa、wb和wc分別表示GTD、BW和PRI的權(quán)重，且wa+wb+ wc=1。DTC∈［0，Max］，Max為系統(tǒng)設(shè)定的上限值。若在Ns和Nd間 存在 多條滿 足要 求的 路徑時(shí)，優(yōu)先選擇可信連接度量值最小的路徑；若存在多條最小可信連接度量值相同的路徑時(shí)，優(yōu)先選擇跳數(shù)最少的路徑。

3.4.3 可信連接的建立及更新

在可信連接建立前，首先由OSPF協(xié)議以鏈路狀態(tài)數(shù)據(jù)庫(kù)為依據(jù)，利用CSPF計(jì)算滿足可信度和帶寬要求的最短路徑樹并形成路由表；其次，可信連接的建立由用戶節(jié)點(diǎn)所連接的邊緣交換路由器發(fā)起，RSVP-TE協(xié)議綜合考慮業(yè)務(wù)的優(yōu)先級(jí)，根據(jù)OSPF協(xié)議計(jì)算的最優(yōu)路徑進(jìn)行標(biāo)記分配，在標(biāo)記交換通路建立的過(guò)程中按照用戶要求進(jìn)行路徑沿途的帶寬預(yù)留，最終建立滿足可信度量、帶寬和優(yōu)先級(jí)要求的可信連接通路?？尚胚B接的更新存在兩種方式，其一是主動(dòng)更新，即可信連接的建立時(shí)間超出其固有的生存周期；其二是被動(dòng)更新，即當(dāng)前可信連接通路中發(fā)生鏈路失效或者業(yè)務(wù)需求突然發(fā)生變化導(dǎo)致當(dāng)前連接難以滿足。可信連接的更新機(jī)制使其具有一定的動(dòng)態(tài)調(diào)整能力。可信連接的建立及更新流程如圖4所示。

4 仿真實(shí)驗(yàn)及分析

基于OPNET 14.5構(gòu)建的仿真場(chǎng)景由38個(gè)核心路由器、2個(gè)接入路由器和2個(gè)用戶節(jié)點(diǎn)組成，所有核心路由器組成單個(gè)路由域。業(yè)務(wù)由Src產(chǎn)生，經(jīng)由整個(gè)網(wǎng)絡(luò)后到達(dá)Dest。仿真參數(shù)、事件設(shè)置分別見表1和表2。仿真實(shí)驗(yàn)主要通過(guò)對(duì)可信連接的關(guān)鍵技術(shù)指標(biāo)（標(biāo)記交換路徑LSP（Label Switch Path）的端到端時(shí)延、建立時(shí)間及恢復(fù)時(shí)間等）進(jìn)行分析與驗(yàn)證，包括兩個(gè)方面：

（1）有效性：驗(yàn)證本方法是否能夠正確地反映節(jié)點(diǎn)行為和狀態(tài)變化；

（2）動(dòng)態(tài)響應(yīng)能力：當(dāng)網(wǎng)絡(luò)受到攻擊時(shí)，將采用標(biāo)準(zhǔn)型與增強(qiáng)型（增強(qiáng)的OSPF和RSVP-TE）的可信連接建立方法進(jìn)行對(duì)比，驗(yàn)證本方法的動(dòng)態(tài)響應(yīng)能力。

Figure 5 Simulation scenario圖5 仿真場(chǎng)景

Table 1 Simulation parameters表1 參數(shù)設(shè)置

Figure 4 Process of trusted connection establishment圖4 可信連接建立流程

Table 2 Important event settings表2 重要事件設(shè)置

4.1 實(shí)驗(yàn)1：有效性

根據(jù)表1和表2對(duì)場(chǎng)景1進(jìn)行配置。將表2中實(shí)驗(yàn)1的仿真事件結(jié)合圖6a進(jìn)行分析，在整個(gè)仿真中共發(fā)生了三次LSP建鏈請(qǐng)求：300 s業(yè)務(wù)產(chǎn)生時(shí)、500 s LER1?LSR3鏈路故障時(shí)和900 s LER1?LSR2鏈路故障時(shí)；LSP鏈路恢復(fù)共發(fā)生了兩次：500 s和900 s LSP故障并重建時(shí)。在［300 s，500 s）以及（900 s，1 800 s］的可信連接LSP為圖5a中標(biāo)識(shí)的實(shí)線LER1?LSR3?LER2，［500 s，900 s］的可信連接LSP為圖5a中標(biāo)識(shí)的虛線LER1?LSR2?LER 2。另外，LSP的時(shí)延抖動(dòng)主要發(fā)生在500 s和900 s LSP故障并重新建立時(shí)，最終LSP的端到端時(shí)延在［0.003 205 s，0.003 413 s］，因此具有良好的時(shí)效性。整個(gè)仿真過(guò)程與預(yù)期一致，驗(yàn)證了本方法的有效性。

4.2 實(shí)驗(yàn)2：動(dòng)態(tài)響應(yīng)能力

根據(jù)表1和表2對(duì)場(chǎng)景2進(jìn)行配置。將標(biāo)準(zhǔn)型和增強(qiáng)型的可信連接建立方法進(jìn)行對(duì)比（如圖6b所示），同時(shí)將實(shí)驗(yàn)1和實(shí)驗(yàn)2進(jìn)行對(duì)比（如圖6c所示），驗(yàn)證本方法的動(dòng)態(tài)響應(yīng)能力。

將表2中實(shí)驗(yàn)2的仿真事件結(jié)合圖6b進(jìn)行分析，在整個(gè)仿真中，標(biāo)準(zhǔn)型方法僅在300 s發(fā)起了一次LSP建鏈請(qǐng)求，當(dāng)攻擊發(fā)生時(shí)并未作出響應(yīng)，LSP的端到端時(shí)延約為0.012 5 s；增強(qiáng)型方法在此過(guò)程中共發(fā)生了四次LSP建鏈請(qǐng)求：300 s業(yè)務(wù)產(chǎn)生、500 s LSR20被攻擊、700 s LSR17被攻擊和900 s LSR2被攻擊時(shí)；LSP鏈路恢復(fù)共發(fā)生了三次：500 s、700 s和900 s LSP故障并重建。在［300 s，500 s）的LSP為圖5b中的粗實(shí)線，在［500 s，700 s）的LSP為圖5b中的細(xì)實(shí)線，在［700 s，900 s）的LSP為圖5b中的粗虛線，在［900 s，1 800 s］的LSP為圖5b中的細(xì)虛線。LSP的時(shí)延抖動(dòng)主要發(fā)生在500 s、700 s和900 s LSP故障并重建時(shí)，最終LSP的端到端時(shí)延在［0.012 611 s，0.014 393 s］，因此該方法具有較好的動(dòng)態(tài)響應(yīng)能力和時(shí)效性。

Figure 6 Simulation results圖6 仿真結(jié)果

如圖6c所示，當(dāng)節(jié)點(diǎn)規(guī)模由6增至42時(shí)，將實(shí)驗(yàn)1和實(shí)驗(yàn)2進(jìn)行對(duì)比：LSP的平均建立時(shí)間約增加了1.46倍，由0.013 s增至0.032 s；LSP的平均恢復(fù)時(shí)間增加了約1.55倍，由0.033 s增至0.084 s；LSP的平均端到端時(shí)延增加了約3.1倍，由0.003 27 s增至0.013 5 s。因此，增強(qiáng)RSVPTE協(xié)議下的可信連接建立方法在網(wǎng)絡(luò)規(guī)模一定的情況下具有良好的動(dòng)態(tài)響應(yīng)能力和時(shí)效性。

4.3 實(shí)驗(yàn)結(jié)論

通過(guò)仿真實(shí)驗(yàn)得出，增強(qiáng)型的可信連接建立方法與標(biāo)準(zhǔn)方法相比，并未明顯增加系統(tǒng)的復(fù)雜性，在性能方面，略微增加了協(xié)議開銷和網(wǎng)絡(luò)時(shí)延，該方法在網(wǎng)絡(luò)規(guī)模一定的情況下具有良好的動(dòng)態(tài)響應(yīng)能力和時(shí)效性。另外，對(duì)于復(fù)雜網(wǎng)絡(luò)，為降低系統(tǒng)復(fù)雜度及過(guò)多的資源消耗，一方面采用增量法，當(dāng)可信度量的變化超出設(shè)定增量時(shí)，重新驅(qū)動(dòng)路由擴(kuò)散與收斂，有效降低協(xié)議交互頻繁度以及路由震蕩；另一方面采用分層分域法，將復(fù)雜網(wǎng)絡(luò)進(jìn)行分層分域處理，有效減小協(xié)議交互范圍以及域內(nèi)路由表規(guī)模，加速路由計(jì)算并降低管理開銷。綜上所述，將增量和分層分域法相結(jié)合，有利于處理復(fù)雜網(wǎng)絡(luò)下的可信連接建立問(wèn)題。

5 結(jié)束語(yǔ)

本文提出了基于增強(qiáng)RSVP-TE協(xié)議下的可信連接建立方法，通過(guò)可信度量、基于CPK的協(xié)議安全認(rèn)證及可信路由等技術(shù)，建立具備節(jié)點(diǎn)可信度、帶寬和優(yōu)先級(jí)保障的可信連接標(biāo)記交換通道，以提供高安全可信的網(wǎng)絡(luò)傳輸服務(wù)。仿真結(jié)果表明本方法在增強(qiáng)信息傳輸安全可信性的同時(shí)并未明顯增加系統(tǒng)的開銷和復(fù)雜性，其在動(dòng)態(tài)不確定網(wǎng)絡(luò)環(huán)境下具有快速建立可信標(biāo)記交換路徑的能力，為網(wǎng)絡(luò)側(cè)可信問(wèn)題的研究奠定了良好的基礎(chǔ)。

［1］ IETF RFC3209，RSVP-TE：Extensions to RSVP for LSP Tunnels［S］.2001.

［2］ Trusted Computing Group.TCG trusted network connect TNC architecture for interoperability specification version 1. 4［S］.2009.

［3］ Network admission control introduction［EB/OL］.［2007-12-16］.http：∥www.cisco.com/en/US/netsol/ns466/networking_solutions_package.html.

［4］ Introduction to network access protection［EB/OL］.［2008-02-01］.http：∥technet.microsoft.com/en-us/network/ cc984252.aspx.

［5］ Trusted Connect Architecture Specification Group.Trusted computing specifications Part 5：Trusted connect architecture ［S］.2010.（in Chinese）

［6］ Zhang Huan-guo，Chen Lu，Zhang Li-qiang.Research on trusted network connection［J］.Chinese Journal of Computer，2010，33（4）：706-717.（in Chinese）

［7］ Ma Zhuo，Ma Jian-feng，Li Xing-hua，et al.Provable security model for trusted network connect protocol［J］.Chinese Journal of Computer，2011，34（9）：1669-1678.（in Chinese）

［8］ Han Ting，Luo Shou-shan，Xin Yang.Study on security routing algorithm based on dynamic adjacent trust［J］.Journal on Communications，2013，34（6）：191-200.（in Chinese）

［9］ Melaye D，Demazeau Y.Bayesian dynamic trust model［C］∥Proc of Multi-Agent Systems and Applications IV，LNCS 3690，2005：480-489.

［10］ Liang Hong-quan，Wu Wei.Research of trust evaluation model based on dynamic Bayesian network［J］.Journal on Communications，2013，34（9）：68-76.（in Chinese）

附中文參考文獻(xiàn)：

［5］ 可信連接架構(gòu)規(guī)范工作組.可信計(jì)算規(guī)范第5部分：可信連接架構(gòu)［S］.2010.

［6］ 張煥國(guó)，陳璐，張立強(qiáng).可信網(wǎng)絡(luò)連接研究［J］.計(jì)算機(jī)學(xué)報(bào)，2010，33（4）：706-717.

［7］ 馬卓，馬建峰，李興華，等.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型［J］.計(jì)算機(jī)學(xué)報(bào)，2011，34（9）：1669-1678.

［8］ 韓挺，羅守山，辛陽(yáng).基于動(dòng)態(tài)鄰接信任模型的安全路由算法研究［J］.通信學(xué)報(bào)，2013，34（6）：191-200.

［10］ 梁洪泉，吳巍.基于動(dòng)態(tài)貝葉斯網(wǎng)絡(luò)的可信度量模型研究［J］.通信學(xué)報(bào)，2013，34（9）：68-76.

梁洪泉（1981），男，河北石家莊人，博士生，高級(jí)工程師，研究方向?yàn)榭尚啪W(wǎng)絡(luò)。E-mail：lianghongquan_1981@163.com

LIANG Hong-quan，born in 1981，PhD candidate，senior engineer，his research interest includes trusted network.

吳巍（1956 ），男，重慶人，研究員，研究方向?yàn)橥ㄐ啪W(wǎng)技術(shù)。E-mail：13903112190 @139.com

WU Wei，born in 1956，research fellow，his research interest includes communication network.

A trusted connection establishment method based on enhanced RSVP-TE

LIANG Hong-quan，WU Wei
（1.The 54th Research Institute of China Electronics Technology Group Corporation，Shijiazhuang 050081；
2.Science and Technology on Information Transmission and Dissemination in Communication Networks Laboratory，Shijiazhuang 050081，China）

Trusted connection establishment methods are critical for trusted networks.Based on enhanced RSVP-TE trusted connection control protocol，combined with trusted evaluation，CPK-based protocol security authentication and trusted routing，we propose a trusted connection establishment method which guarantees trusted evaluation，bandwidth and priority，and in turn information transmission services with high security are provided during data transmission in the network.Simulation results show that the proposed method can reflect the changes in node status，find out the malicious attacks effectively and sensitively，and guarantee the security and credibility of network connection with dynamic response capability and anti-attack capability.

CPK；RSVP-TE；trusted connection；trusted evaluation

TP393

A

10.3969/j.issn.1007-130X.2015.08.010

1007-130X（2015）08-1479-07

2014-09-11；

2014-12-16

國(guó)防基礎(chǔ)科研計(jì)劃基金資助項(xiàng)目（B1120131046）；國(guó)家863計(jì)劃資助項(xiàng)目（2015A015701）

通信地址：050081河北省石家莊市中山西路589號(hào)

Address：589 Zhongshan Rd West，Shijiazhuang 050081，Hebei，P.R.China