位于域内的网络节点(NB1)适用于从另一节点接收分组,该分组具有编码有关域内路由的信息的分组中布隆过滤器或布隆过滤器等效。节点以相对于用于添加链路到布隆过滤器或布隆过滤器等效的操作是线性的方式可反向地修改分组中布隆过滤器或布隆过滤器等效。随后,节点将其报头包含修改的布隆过滤器或布隆过滤器的分组转发到另一节点(NA1)。本发明专利技术允许在域(域B)中安全的基于布隆过滤器的路由选择,同时要求仅在域边界的路由器(NB1)是安全路由器。域中的其它路由器(NB2,NB3,NB4)可按常规操作,并且可以是安全路由器或不安全路由器。修改可以是比特置换。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及网络中的分组转发。具体地说,它涉及在分组报头中包含转发信息使得网络节点可根据分组报头中的转发信息来确定应沿哪个链路(哪些链路)转发分组的方法。
技术介绍
布隆过滤器(bloom filter)是熟知的空间高效数据结构,它应答集成员查询并带有某一概率的错误肯定(false positive)。在试图解决下一代网络面临的许多实现约束(例如,Gbps速度、日益复杂的任务、更大的系统、高速存储器可用性等)中,在PCT/EP2008/061167和PCT/EP2008/063647中已提议在分组报头中为不同目的(路由选择、安全性、责任性等)使用小型布隆过滤器。这些文档中陈述的主要思想是一种基于分组报头中 的小型布隆过滤器和链路标识符的新颖、空间和计算高效的源路由选择和分组转发机制。PCT/EP 2008/061167和PCT/EP2008/063647中表述的基本思想是赋予网络中的每个链路编码为比特字符串的一个名称(或“链路标识符标志”),并且通过在包括的所有链路上计算按比特或,命名路径。此类布置确保分组通过指定路径(或树)转发。在此文档中,我们将在这些类型的应用中使用的位于分组报头中的布隆过滤器称为分组中布隆过滤器(in-packet Bloom Filter, iBF)。从某种意义上来说,与例如Broder和Mitzenmacher在因特网数学(2002)卷I (4)485 — 509页的布隆过滤器的网络应用调查(Network Applications of Bloom Filters: A Survey. Internet Mathematics (2002)vol. I (4) pp. 485-509)中的所著文献中先前所述的传统基于BF的方案相比,iBF遵照反向方案。布隆过滤器的一个特征是它可给出“错误肯定”一 S卩,在查询布隆过滤器以确定特殊链路是否是其名称被编码到布隆过滤器中的链路之一时,布隆过滤器查询可不正确地返回应答“是”。在基于布隆过滤器的路由选择中出现错误肯定时,结果是分组另外遍历一个或多个链路,这些链路未被编码在布隆过滤器中并且未预期沿其发送分组。一般情况下,为最小化错误肯定的概率,与链路名称中I的数量相比,布隆过滤器的长度需要是大的。PCT/EP 2008/061167和PCT/EP2008/063647中所述的基本方案使用静态链路标识符。PCT/EP 2009/062785中描述了一种安全变体。这是基于“快速(on-the-fly)”计算链路标识符的思想,例如,基于分组中的信息和对每个路由器秘密的信息,例如,根据以下等式O=F (K, I, C) 其中,K是仅路由器和拓扑管理器知道的密钥,I是从分组所取的对会话独特的信息(如发送方和目的地IP地址和端口号或公布标识符(publication identifier)),以及C是与处理有关的上下文特定信息,如用于输入和输出链路的本地标识符。根据PCT/EP2009/062785的原理操作的路由器将在本文中称为“安全路由器”。PCT/SE 2010/050001还使得能够将iBF连系到每分组独特的数据。对于路径通过多个域的情况,尤其需要转发安全性。因此,为使iBF切实可在此类多域环境(例如,端对端或域间路径/树)中使用,转发必须是安全的。然而,基本iBF的安全性并不足够,并且为获得转发安全性,所有转发单元使用安全路由器会是必要的。这是因为构造iBF的方式一如果在路径上只有一个安全路由器,则攻击者会相对易于猜测需要如何修改iBF,以便促使安全路由器错误地将它向路径转发。在此意义上,iBF不在网络中的任何特殊点提供绝对安全性,并且转而采用纵深防御。每个安全跳给出一个概率安全性,并且具有多个安全跳使得发送不想要的业务变得极其困难。然而,提供和操作在PCT/EP 2009/062785中描述的类型的安全路由器比简单的“不安全”路由器更昂贵。此外,安全路由器(如果要有效)要求每会话或每分组处理。如果能够实现安全路由选择而无需每个路由器是安全路由器,则这会是优选的,因为这会降低成本,并且也会使得在现有网络中应用基于iBF的路由选择变得更容易。 另外,例如出于安全性原因,一些网络使用要求滤除错误肯定。作为一个示例,如果运营商在其网络中使用基于iBF的路由选择,则它将不想为一个客户处理的业务在另一客户的网络中结束,因为这可能导致安全性破坏(security breach)(这已被标识为MPLS客户的主要安全顾虑)。然而,使用每会话或每分组iBF意味着每个流或每个分组具有分开的iBF,这意味着过滤表的增长和错误肯定的风险增大(例如,参阅Luyuan Fang编辑的MPLS和 GMPLS 网络的安全性框架,因特网草案 draft-ietf-mpls-mpls-and-gmpls-security-framework-07. txt (Luyuan Fang, ed. Security Framework for MPLS and GMPLS Networks,Internet draft draft-ietf-mpls-mpls-and-gmpls-security-framework-07. txt)X基于iBF的路由选择中错误肯定造成的另外问题是“循环”和流重复的问题。在连续的路由选择节点的一系列错误肯定造成分组执行环路并返回到iBF指定的多播树中的边界路由器时“循环”发生。在此类情况下,分组返回到边界路由器时,其iBF将匹配与以前完全相同的链路一并且因此分组将不可避免地绕环路反复发送,直至它达到其跳计数限制(TTL)时它被丢弃。每一轮的循环造成分组的附加副本被转发到居于边界路由器的子树中的所有接收方,其可以是相当多的资源浪费。
技术实现思路
本专利技术的第一方面提供位于域内的网络节点。节点适用于从另一节点接收分组,分组具有编码有关域内路由的信息的分组中布隆过滤器或布隆过滤器等效。节点以相对于用于添加链路到布隆过滤器或布隆过滤器等效的操作是线性的方式可反向地修改分组中布隆过滤器或布隆过滤器等效。随后,节点将其报头包含修改的布隆过滤器或布隆过滤器的分组转发到另一节点。节点可将分组转发到在另一域中的另一节点。这是节点是负责将分组从一个域转发到另一域的边界节点的情况(如,图5中的节点NB1,其将分组从域B转发到域A)。由于节点在转发分组到另一域前修改分组中布隆过滤器或布隆过滤器等效,因此,本专利技术使得在受信任网络核心内采用简单的不安全路由器变得可能,并且仅要求在域边界执行复杂的操作。在图5的示例中,例如,域B中的节点NB2、NB3和NB4可采用简单的非安全路由器。备选地,节点可将分组转发到在域中的另一节点。由于节点在转发分组前修改分组中布隆过滤器或布隆过滤器等效,因此,如果在连续转发节点的一系列误报将造成分组执行环路,则在分组返回到该节点时,分组中包含的分组中布隆过滤器或布隆过滤器等效将与原始在该节点接收分组时分组中包含的分组中布隆过滤器或布隆过滤器等效不同。分组将因此不再绕环路转发。本专利技术因此在防止分组绕环路反复发送上是有效的。本专利技术的第二方面提供与域相关联并适用于生成布隆过滤器或布隆过滤器等效的网络节点,布隆过滤器或布隆过滤器等效编码有关本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.01.29 US 61/299,4931.一种网络节点,所述网络节点位于域内并适用于 从另一节点接收分组,所述分组具有编码有关所述域内路由的信息的分组中布隆过滤器或布隆过滤器等效; 可反向地修改所述分组中布隆过滤器或布隆过滤器等效;以及 将其报头包含所修改的布隆过滤器或布隆过滤器的分组转发到另一节点; 其中所述节点适用于以相对于用于添加链路到所述布隆过滤器或布隆过滤器等效的操作是线性的方式可反向地修改所述分组中布隆过滤器或布隆过滤器等效。2.如权利要求I中要求保护的节点,其中将所述分组转发到另一节点包括将所述分组转发到另一域中的另一节点。3.如权利要求I中要求保护的节点,其中将所述分组转发到另一节点包括将所述分组转发到所述域中的另一节点。4.一种网络节点,所述网络节点与域相关联并适用于 生成编码有关网络的域内路由的信息的布隆过滤器或布隆过滤器等效; 可反向地修改所述布隆过滤器或布隆过滤器等效;以及 将所修改的布隆过滤器或布隆过滤器转发到另一节点以便包括在要从所述另一节点发送的分组的报头中; 其中所述节点适用于以相对于用于添加链路到所述布隆过滤器或布隆过滤器等效的操作是线性的方式可反向地修改所述布隆过滤器或布隆过滤器等效。5.如任何前面权利要求中要求保护的节点,并且适用于修改所述布隆过滤器或布隆过滤器等效以便不大量增大所述布隆过滤器或布隆过滤器等效中“I”的数量。6.如任何前面权利要求中要求保护的节点,并且适用于通过应用比特置换到所述布隆过滤器或布隆过滤器等效来修改所述布隆过滤器或布隆过滤器等效。7.如权利要求6中要求保护的节点,并且适用于通过应用随机或伪随机比特置换到所述布隆过滤器或布隆过滤器等效来修改所述布隆过滤器或布隆过滤器等效。8.如权利要求6或7中要求保护的节点,并且适用于通过应用取决于至少密钥和会话标识符之一的比特置换来修改所述布隆过滤器或布隆过滤器等效。9.如权利要求I到8中任一项中要求保护的节点,并且适用于还通过加密所述布隆过滤器或布隆过滤器等效来修改所述布隆过滤器或布隆过滤器等效。10.如权利要求9中要求保护的节点,并且适用于在加密所述布隆过滤器或布隆过滤器等效前级联所述布隆过滤器或布隆过滤器和t个预指定的比特(其中,t是正整数)。11.一种网络节点,所述网络节点位于域内并适用于 从另一节点接收具有包含分组中布隆过滤器或布隆过滤器等效的分组报头的分组,所述分组中布隆过滤器或布隆过滤器等效包含路由选择信息,已应用修改到所述分组中布...
【专利技术属性】
技术研发人员:M萨雷拉,M纳斯伦,P尼坎德,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。