[发明专利]网络中的分组路由选择

说明书

技术领域

本发明涉及网络中的分组转发。具体地说，它涉及其中在分组报头中包含转发信息、以便网络节点可从分组报头中的转发信息来确定应沿哪个（哪些）链路转发分组的方法。

背景技术

因特网是基于开放的“不安全”逐跳路由选择，其中，每个路由器基于分组中携带的目的地IP地址（以及有时其它报头信息），基本上分别为每个分组做出路由选择判定。在此类联网环境内，任何端节点（主机）能够发送分组到任何其它端节点，仅受诸如防火墙或状态保留网络地址转换器(NAT)等特定额外网络元件施加的安全性措施影响。网络在网络内的节点（路由器）不能从接收器确实想接收业务的意义上验证业务是否“被授权”的意义上是“不安全的”。

因此，众所周知，因特网模型易受各种不想要的业务攻击，诸如公知的分布式服务拒绝(DDoS)攻击，其中，多个所谓的“bot”端节点将不想要的分组发送到攻击目标。因此，诸如移动IPv6协议等更新的因特网协议已在它们不为发送不想要的业务开启新可能性的此类方式中被设计。

在因特网中，并且更一般而言基于开放式“不安全的”逐跳路由选择方案的任何网络中，端对端移动性信令安全性要求（弱）端对端认证和反向可路由性测试[Aura2004]（Tuomas Aura、Pekka Nikander和Gonzalo Camarillo的“Effects of Mobility and Multihoming on Transport-Layer Security,”(Proceedings of IEEE Symposium on Security and Privacy, Berkeley/Oakland, California, 2004年5月9-12日, IEEE Computer Society)）和[RFC 4225]（P. Nikander、J. Arkko、T. Aura、G. Montenegro、E. Nordmark的“Mobile IP Version 6 Route Optimization Security Design Background”(RFC4225, Internet Engineering Task Force, 2005年12月)）。需要端对端认证属性以确保移动性信令始发于移动主机本身。要求进行反向可路由性测试是为了确保移动主机在它声称为其新位置的IP地址可到达。这对于防止不诚实的移动主机（的集合）声称在它们未处于的位置、由此造成无辜的邻近主机（by-host）发送不想要的业务到攻击目标是重要的。

移动IP [RFC 3775]（Johnson、D.、Perkins、C和J. Arkko的“Mobility Support in IPv6”(RFC 3775, 2004年6月)）和HIP [RFC 5201]（Moskowitz、Nikander、Jokela、Henderson的“Host Identity Protocol”( RFC 5201, Internet Engineering Task Force, 2008年4月)）及[RFC5202]（Nikander、Henderson、Vogt、Arkko的“End-Host Mobility and Multihoming with the Host Identity Protocol”( RFC 5206, Internet Engineering Task Force, 2008年4月)）提议了两种用于因特网范围移动性信令的稍微不同的解决方案。

PCT/EP 2008/061167和PCT/EP 2009/62785提议了一种基于包括布隆（Bloom）过滤器到分组报头中的新分组转发方法。这些分组中布隆过滤器（下文称为“iBF”）各自编码分组可采用及通过网络将采用的特定路径。每个转发节点检查分组报头中的iBF和其它字段，从其确定分组接下来需要转发通过的链路。

通常，iBF方案能够在以下意义上视为优于基于IP的逐跳路由选择和转发方法：在iBF方案中，转发标识符被绑定到发送器的位置，并且可选地也绑定到从发送器到接收器的特定路径、特定流或甚至各个分组，如PCT/SE2010/050001中所公开的。因此，虽然IP地址能够用于从任何位置发送任何业务到IP地址指示的接收器（位置），但iBF能够用于从特定位置只发送特定业务到iBF指示的接收器（位置）。从该意义上而言，通常能够说iBF方法比IP逐跳方法是更“安全的”。