本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更具體地說，涉及一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法。

背景技術(shù)：

路由器在網(wǎng)絡(luò)數(shù)據(jù)分組交換中扮演著重要的角色，通過路由查找和數(shù)據(jù)轉(zhuǎn)發(fā)，實現(xiàn)端到端的互連互通。由于路由器的特殊地位，針對其漏洞和后門的攻擊會導(dǎo)致整個網(wǎng)絡(luò)運行異常甚至癱瘓。因此，路由器的安全防護成為網(wǎng)絡(luò)空間安全的重要內(nèi)容。近年來，路由器廠商因為漏洞和后門引發(fā)的安全事件層出不窮。如2016年6月，netgear路由器存在能泄露登錄管理界面密碼的漏洞。

而現(xiàn)有的路由保護機制一般為被動防御，在應(yīng)對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力，因此急需一種安全可靠的路由實現(xiàn)方法及裝置。

技術(shù)實現(xiàn)要素：

本發(fā)明針對現(xiàn)有技術(shù)的路由保護機制存在一般為被動防御，在應(yīng)對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力等問題，提出一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法。

本發(fā)明的技術(shù)方案是：一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，

虛擬層：包含n個路由平面，每個路由平面由多個vm組成，各個路由平面的vm之間通過ovs相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；

調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源；

控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件；

數(shù)據(jù)轉(zhuǎn)發(fā)層：由openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述虛擬層的每個vm上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置vm，將路由轉(zhuǎn)發(fā)表轉(zhuǎn)換為流表。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述路由服務(wù)器：用于配置上層的虛擬環(huán)境，將底層交換機與上層的vm之間建立一一對應(yīng)關(guān)系，負(fù)責(zé)接收來自控制層的網(wǎng)絡(luò)事件，負(fù)責(zé)控制層與上層路由平面之間的信息交互，將底層拓?fù)渥兓畔⑥D(zhuǎn)發(fā)到相應(yīng)的vm上，將路由更新消息轉(zhuǎn)換為流表信息下發(fā)到控制層。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述感知器：實時監(jiān)測感知上層各路由平面的運行狀態(tài)并進行異常監(jiān)測，并根據(jù)監(jiān)測結(jié)果修改路由協(xié)議執(zhí)行體的安全等級，若安全等級發(fā)生變化則將該變化信息通告給調(diào)度器。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度策略庫：包含多種調(diào)度策略供調(diào)度器選擇，如定時切換以及觸發(fā)式切換。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度器：依據(jù)設(shè)定的調(diào)度模式從調(diào)度策略庫中選擇相應(yīng)的調(diào)度策略，基于感知器的感知結(jié)果對上層路由平面進行調(diào)度管理。

一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，包括以下步驟：

根據(jù)先驗知識初始化n個ospf協(xié)議執(zhí)行體的安全等級；

選定安全等級最高的ospf協(xié)議執(zhí)行體的輸出作為流表更新源；

根據(jù)感知器的檢測結(jié)果更新各個路由執(zhí)行體的安全等級，然后將感知信息轉(zhuǎn)發(fā)到調(diào)度器中；

調(diào)度器根據(jù)感知結(jié)果，選擇相應(yīng)的策略，對路由協(xié)議執(zhí)行體進行動態(tài)調(diào)度；

根據(jù)調(diào)度結(jié)果更新流表并下發(fā)。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，所述初始化包括：

控制層收集底層物理網(wǎng)絡(luò)的拓?fù)湫畔ⅲ?/p>

路由服務(wù)器和vm上的路由代理協(xié)作完成vm與底層的交換機的一一對應(yīng)關(guān)系；

隨機選擇某一路由平面的輸出作為流表更新源。

本發(fā)明的有益效果是：本發(fā)明具有感知動態(tài)調(diào)度路由協(xié)議執(zhí)行體的管理機制，可有效應(yīng)對針對路由漏洞和后門所發(fā)起的攻擊，且使得外來攻擊難以持續(xù)發(fā)起有效攻擊，有效的提高了網(wǎng)絡(luò)路由的安全性能。本發(fā)明通過利用不同路由協(xié)議執(zhí)行體的異構(gòu)特性，綜合各自的安全優(yōu)勢，并結(jié)合感知動態(tài)的調(diào)度方法，使得網(wǎng)絡(luò)有效應(yīng)對漏洞與后門的威脅，能更好保證網(wǎng)絡(luò)運行的魯棒性、彈性和生存能力，從而提升了網(wǎng)絡(luò)路由的安全性能。

附圖說明

圖1為本發(fā)明的裝置布置示意圖；

圖2為本發(fā)明的一種動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法流程圖；

圖3為本發(fā)明的一種系統(tǒng)初始化流程圖；

圖4為本發(fā)明的一種報文處理流程圖；

圖中，1為虛擬層，2為調(diào)度管理層，3為控制層，4為數(shù)據(jù)轉(zhuǎn)發(fā)層。

具體實施方式

實施例1：結(jié)合圖1-圖4，一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，

虛擬層：包含n個路由平面，每個路由平面由多個vm組成，各個路由平面的vm之間通過ovs相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；虛擬層的每個vm上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置vm，將路由轉(zhuǎn)發(fā)表轉(zhuǎn)換為流表。

調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源。

路由服務(wù)器：用于配置上層的虛擬環(huán)境，將底層交換機與上層的vm之間建立一一對應(yīng)關(guān)系，負(fù)責(zé)接收來自控制層的網(wǎng)絡(luò)事件，負(fù)責(zé)控制層與上層路由平面之間的信息交互，將底層拓?fù)渥兓畔⑥D(zhuǎn)發(fā)到相應(yīng)的vm上，將路由更新消息轉(zhuǎn)換為流表信息下發(fā)到控制層。

感知器：實時監(jiān)測感知上層各路由平面的運行狀態(tài)并進行異常監(jiān)測，并根據(jù)監(jiān)測結(jié)果修改路由協(xié)議執(zhí)行體的安全等級，若安全等級發(fā)生變化則將該變化信息通告給調(diào)度器。

調(diào)度策略庫：包含多種調(diào)度策略供調(diào)度器選擇，如定時切換以及觸發(fā)式切換。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度器：依據(jù)設(shè)定的調(diào)度模式從調(diào)度策略庫中選擇相應(yīng)的調(diào)度策略，基于感知器的感知結(jié)果對上層路由平面進行調(diào)度管理。

控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件。

數(shù)據(jù)轉(zhuǎn)發(fā)層：由openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。

一種基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，包括以下步驟：

步驟101：根據(jù)先驗知識初始化n個ospf協(xié)議執(zhí)行體的安全等級；

步驟102：選定安全等級最高的ospf協(xié)議執(zhí)行體的輸出作為流表更新源；

步驟103：根據(jù)感知器的檢測結(jié)果更新各個路由執(zhí)行體的安全等級，然后將感知信息轉(zhuǎn)發(fā)到調(diào)度器中；

步驟104：調(diào)度器根據(jù)感知結(jié)果，選擇相應(yīng)的策略，對路由協(xié)議執(zhí)行體進行動態(tài)調(diào)度；

步驟105：根據(jù)調(diào)度結(jié)果更新流表并下發(fā)。

所述的基于sdn的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，所述初始化包括：

步驟201：控制層收集底層物理網(wǎng)絡(luò)的拓?fù)湫畔ⅲ?/p>

步驟202：路由服務(wù)器和vm上的路由代理協(xié)作完成vm與底層的交換機的一一對應(yīng)關(guān)系；

步驟203：隨機選擇某一路由平面的輸出作為流表更新源。

具體的，一種報文處理方法，這里假設(shè)已經(jīng)選定一路由平面，且系統(tǒng)的初始化已經(jīng)完成。

該流程包括：

步驟301：交換機接收到數(shù)據(jù)報文，對該報文進行解析以確定具體的轉(zhuǎn)發(fā)去向；

具體地，若報文為協(xié)議報，則將數(shù)據(jù)報文轉(zhuǎn)發(fā)到上層的相對應(yīng)的vm上進行后續(xù)協(xié)議的交互處理；若報文為一般的數(shù)據(jù)報，查找并匹配流表項，若存在相應(yīng)的流表項，則執(zhí)行相應(yīng)的動作；若無對應(yīng)的流表項，則將該事件消息通過控制器轉(zhuǎn)發(fā)到路由服務(wù)器，服務(wù)器向路由平面發(fā)起流表請求；

步驟302：路由平面的路由代理收到流表請求，通過當(dāng)前的路由表查找相關(guān)表項并將該表項轉(zhuǎn)換為流表項。

步驟303：路由服務(wù)器接收來自路由平面的流表更新項，并將其轉(zhuǎn)發(fā)到控制器，控制器下發(fā)該流表項到對應(yīng)的交換機。