CN104735060A - 路由器及其数据平面信息的验证方法和验证装置 - Google Patents
路由器及其数据平面信息的验证方法和验证装置 Download PDFInfo
- Publication number
- CN104735060A CN104735060A CN201510101429.4A CN201510101429A CN104735060A CN 104735060 A CN104735060 A CN 104735060A CN 201510101429 A CN201510101429 A CN 201510101429A CN 104735060 A CN104735060 A CN 104735060A
- Authority
- CN
- China
- Prior art keywords
- packet
- chained list
- information
- data
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0078—Avoidance of errors by organising the transmitted data in a format specifically designed to deal with errors, e.g. location
- H04L1/0079—Formats for control data
- H04L1/0081—Formats specially adapted to avoid errors in the feedback channel
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0078—Avoidance of errors by organising the transmitted data in a format specifically designed to deal with errors, e.g. location
- H04L1/0079—Formats for control data
- H04L1/0082—Formats for control data fields explicitly indicating existence of error in data being transmitted, e.g. so that downstream stations can avoid decoding erroneous packet; relays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/1607—Details of the supervisory signal
- H04L1/1628—List acknowledgements, i.e. the acknowledgement message consisting of a list of identifiers, e.g. of sequence numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种路由器数据平面信息的验证方法,该验证方法包括以下步骤:对路由器的输入接口接收的数据包添加标记信息;根据摘要策略对数据包进行信息摘要,并将信息摘要存入输入接口的输入数据包摘要链表中;在数据包被转发之前,根据数据包的标记信息和信息摘要对数据包进行匹配,如果根据匹配结果判断输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及根据异常数据链表生成告警信息以进行提示。本发明的路由器数据平面信息的验证方法,可以保证路由器转发数据过程中输入、输出的一致性,方法简单。本发明还公开了一种路由器数据平面信息的验证装置和具有该验证装置的路由器。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及一种路由器数据平面信息的验证方法和验证装置,以及具有该验证装置的路由器。
背景技术
路由器是网络数据处理与传输的枢纽,保证路由器的数据安全对于构建安全可信网络至关重要。目前,各大路由交换设备厂商广泛采用模块化的开发方法,路由交换设备内部主要分为控制平面和数据平面,控制平面运行不同类型的路由协议,动态生成路由表,数据平面主要包括输入接口、交换结构和输出接口。
数据平面对数据包进行高速转发,但通常不对其安全性进行验证,它所发送的报文可能既不是来自于上游路由交换设备,也非控制平面产生的控制报文。例如,控制平面的恶意构件将与该路由转发相关的敏感信息(如路由转发表项等),通过数据平面将报文发送至特定目的地,从而造成敏感信息泄露。因此,路由器功能模块由于设计缺陷或遭受攻击都可能导致数据处理异常。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的在于提出一种路由器数据平面信息的验证方法,该验证方法可以保证路由器转发数据过程中输入、输出的一致性,方法简单。
本发明的另一个目的在于提出一种路由器数据平面信息的验证装置和具有该验证装置的路由器。
为达到上述目的,本发明一方面实施例提出一种路由器数据平面信息的验证方法,该验证方法包括以下步骤:对路由器的输入接口接收的数据包添加标记信息;根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及根据所述异常数据链表生成告警信息以进行提示。
根据本发明实施例的路由器数据平面信息的验证方法,通过对路由器接口转发数据包进行信息摘要,并存入输入数据摘要链表,其中,主要的资源消耗来自输入数据包摘要链表的建立、存储和更新,所以只需占用很少的系统资源,方法简单,几乎不影响路由器性能,通过对即将转发出的数据包进行匹配验证,可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,在数据包异常时,进行告警提示,从而数据转发过程中异常行为可以及时发现。
具体地,所述标记信息包括接口号标记信息和时间戳信息。所述信息摘要包括序列号、生存时间、所述时间戳、源IP和目的IP。
另外,上述验证方法还包括:实时地对所述输入数据包摘要链表进行更新。
进一步地,所述实时地对所述输入数据包摘要链表进行更新具体包括:当所述输入数据包正常被丢弃时,删除所述输入数据包摘要链表中所述输入数据包对应的节点;或者当所述数据包正常分片时,在所述数据包分片之前删除所述输入数据包摘要链表中所述数据包对应的节点,并将分片之后的新数据包的信息摘要存入所述输入数据包摘要链表中;或者当所述路由器的控制平面接收、使用并丢弃控制平面报文之后,删除所述输入数据包摘要链表中所述数据包对应的节点。
进一步地,在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表,具体包括:根据所述数据包的所述接口号标记信息查找对应的输入数据包摘要链表;根据所述数据包的所述序列号、时间戳查找对应的输入数据包摘要链表中所述数据包对应的节点;判断节点信息是否与所述数据包的信息摘要匹配;如果完全匹配,则删除所述输入数据包摘要链表中所述数据包对应的节点;如果不匹配,则将所述数据包对应的节点存入非法转发数据链表。
另外,上述验证方法还包括:根据所述数据包的所述生存时间判断所述数据包对应所述输入数据包摘要链表中的节点是否被有效删除;如果所述节点未被有效删除,则将所述数据包对应的节点存入非法丢弃数据链表。
进一步地,根据所述异常数据链表生成告警信息以进行提示具体包括:判断所述非法转发数据链表或者所述非法丢弃数据链表中的链表信息是否大于预设阈值;如果是,则生成告警信息以进行提示。
为达到上述目的,本发明另一方面实施例提出一种路由器数据平面信息的验证装置,该验证装置包括:标记模块,用于对路由器的输入接口接收的数据包添加标记信息;策略控制模块,用于根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;匹配模块,用于在所述数据包被转发之前根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,并在根据匹配结果判断所述输入数据包发生异常时,将发生异常的数据包的信息摘要存入异常数据链表;告警模块,用于根据所述异常数据链表生成告警信息以进行提示。
根据本发明实施例的路由器数据平面信息的验证装置,通过策略控制模块对路由器接口转发数据包进行信息摘要,并存入输入数据摘要链表,其中,主要的资源消耗来自输入数据包摘要链表的建立、存储和更新,所以只需占用很少的系统资源,几乎不影响路由器性能,通过匹配模块对即将转发出的数据包进行匹配验证,可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,在数据包异常时,通过告警模块进行告警提示,从而数据转发过程中异常行为可以及时发现。
另外,所述验证装置还包括更新模块,所述更新模块用于实时地对所述输入数据包摘要链表进行更新。
为达到上述目的,本发明的再一方面实施例还提出一种路由器,该路由器包括上述方面实施例所述的数据平面信息的验证装置。
根据本发明实施例的路由器,通过上述方面实施例的数据平面信息的验证装置可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,数据转发过程中异常行为可以及时发现。
附图说明
图1是根据本发明的一个实施例的路由器数据平面信息的验证方法的流程图;
图2是根据本发明的一个具体实施例的输入数据摘要链表中的节点的数据结构示意图;
图3是根据本发明的一个具体实施例的路由器数据平面信息的验证方法的流程图;
图4是根据本发明的另一个具体实施例的路由器数据平面信息的验证方法的实现过程的示意图;
图5是根据本发明的一个实施例的路由器数据平面信息的验证装置的功能框图;
图6是根据本发明的另一个实施例的路由器数据平面信息的验证装置的功能框图;
图7是根据本发明的一个实施例的路由器的框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参照附图描述根据本发明实施例的路由器数据平面信息的验证方法和验证装置以及具有该验证装置的路由器。
首先对本发明实施例的路由器数据平面信息的验证方法进行说明。
图1为根据本发明的一个实施例的路由器数据平面信息的验证方法的流程图,如图1所示,该验证方法包括以下步骤:
S1,对路由器的输入接口接收的数据包添加标记信息。
具体地,每个接口都对输入数据的IP数据包包头的选项部分添加标记信息,例如接口号标记、时间戳两项数据,此两项数据在路由器的整个数据转发过程中是不可更改的,
S2,根据摘要策略对数据包进行信息摘要,并将信息摘要存入输入接口的输入数据包摘要链表中。
需要说明的是,每个输入接口维护一张输入数据包摘要链表,网络管理员可以配置各个接口的输入数据包摘要链表信息摘要策略。对于路由器所有流入的数据包,根据配置的摘要策略对数据包进行信息摘要,数据包的信息摘要作为节点存入对应的输入数据包摘要链表中,如图2所示,为输入数据包摘要链表中的节点的数据结构的示意图,输入数据包摘要链表中的每个节点即数据包的信息摘要包括序列号、生存时间、时间戳、源IP和目的IP五个基本元素,其中,序列号可以循环使用,最大值需要大于输入数据包摘要链表可能的最大长度,时间戳通常是一个字符序列,唯一地标识某一刻的时间。生存时间为向上层提供了一个接口,其它验证模块可以修改此标记来延长个别节点的生存时间,以执行更加复杂、耗时的验证程序。
另外,数据包的标记信息是不能更改的,在路由器的出接口处,可以根据标记信息查找输入数据包摘要链表的相应节点,对数据包的来源接口即输入接口进行验证。
S3,在数据包被转发之前,根据数据包的标记信息和信息摘要对数据包进行匹配,如果根据匹配结果判断输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表。
具体地,对输入数据包添加标记信息以及根据摘要策略提取信息摘要,并将信息摘要存入对应的输入数据摘要链表中,并对输出数据流量进行验证以保证输出时与输入时信息一致。
在本发明的一个实施例中,根据数据包的标记信息和信息摘要对数据包进行匹配以验证,具体地,根据数据包的接口号标记信息查找对应的输入数据包摘要链表,每个接口具有对应的输入数据摘要链表,进而根据数据包的序列号、时间戳查找对应的输入数据包摘要链表中数据包对应的节点,输入数据摘要链表中不同的节点对应不同的序列号和时间戳。判断节点信息是否与数据包的信息摘要匹配,即判断存有的节点信息也就是数据包刚输入时的信息摘要是否与当前对应的即将输出的数据包的信息摘要匹配,如果两者完全匹配,则删除输入数据包摘要链表中数据包对应的节点;如果不匹配,则认为数据包异常,则将数据包对应的节点存入非法转发数据链表。
另外,在本发明的另一个实施例中,可以根据输入数据包摘要链表的超时信息判断数据包是否异常,具体地,根据数据包的信息摘要中的生存时间判断数据包对应输入数据包摘要链表中的节点是否被有效删除;如果节点未被有效删除,则将数据包对应的节点存入非法丢弃数据链表。输入数据包摘要链表中的每个节点具有一定的生存时间,超时即超过生存时间的数据包未被及时删除,则说明发生了异常行为导致数据包被非法丢弃,此时应将输入数据包摘要链表中的相应节点加入非法丢弃数据链表中。
总而言之,在数据包被发送出之前,对数据包进行验证,当与初始数据不完全匹配时,则将异常的数据包存入异常数据链表中。
S4,根据异常数据链表生成告警信息以进行提示。
例如,根据非法丢弃数据链表和非法转发数据链表生成告警信息,具体地,可以对非法丢弃数据链表信息和非法转发数据链表信息设置阈值,判断非法转发数据链表或者非法丢弃数据链表中的链表信息是否大于预设阈值,例如判断异常数据链表中的节点数是否大于预设个数,如果是,则生成告警信息以进行提示。例如当超出预设阈值时向上层提交,并发送给指定的网络管理员,进而网络管理员可以根据接收到的信息更新信息摘要策略以防止误警,或对路由器的功能模块进行安全检查。
可以看出,本发明实施例的验证方法,针对路由器转发过程中数据包可能被篡改的关键信息进行摘要,保证了转发过程中输入、输出的一致性。同时充分考虑了该方法对路由器的性能影响,尽可能简单地实现数据平面信息真实性的验证,降低了整个规范实施过程中的资源消耗。此外,本发明提供了有效接口,可与其它验证方式配合完成更多验证功能,总之,本发明实施例的路由器数据平面信息的验证方法,路由器数据平面的行为得到了规范,保证了数据包输入接口的可溯性和关键标识的真实性,异常行为会被及时发现。
另外,在本发明的一个实施例中,还可以实时地对输入数据包摘要链表进行更新,例如,对输入数据包摘要链表中的节点进行动态实时地增加和删除,具体地,可以根据数据包的丢弃或者分片或者控制平面报文的接收、丢弃和新控制报文的生成更新数据包摘要链表,下面将分别从几个实施例中说明。
实施例1,当输入数据包正常被丢弃时,删除输入数据包摘要链表中输入数据包对应的节点。例如,一部分输入数据包因包头校验和错误、TTL(Time To Live)记数到0、包头长度错误等正常原因被丢弃时,删除输入数据包摘要链表中该数据包对应的节点。
实施例2,当数据包正常分片即因正常原因需要分片时,在数据包分片之前删除输入数据包摘要链表中数据包对应的节点,并将分片之后的新数据包的信息摘要存入输入数据包摘要链表中。
实施例3,当路由器的控制平面接收、使用并丢弃控制平面报文之后,删除输入数据包摘要链表中数据包对应的节点。具体地,控制平面接收、使用并丢弃某控制平面报文后删除输入数据包摘要链表中对应节点。本地控制平面报文生成后,对数据包添加接口号标记、时间戳,并对该数据包进行信息摘要,插入输入数据包摘要链表,其中接口号标记指定特殊值,例如“本地”。其中,乐意理解的是,控制平面报文的接收和生成存在非法行为的可能,因此对控制平面行为也需要进一步的规范,但是控制平面行为安全性不在本发明的讨论范围之内。
作为具体实施例,如图3参照图4所示,路由器数据平面信息的验证方法的基本过程包括以下步骤:
S30,配置数据包信息摘要策略。
S31,接收数据包并存入路由器缓存。
S32,为接收的数据包添加标记信息。
例如,添加接口号信息和时间戳信息。
S33,根据摘要策略采集数据包信息摘要。
如图4中的S1-Sn,并将摘要信息存入对应的输入数据摘要链表。
S34,更新输入数据摘要链表。
S35,判断数据包是否被正常丢弃。
如果是,则返回步骤S34,如果否,则进入步骤S36。
S36,判断数据包是否被分片。
如果是,则返回步骤S34,否则进入步骤S37。
S37,判断是否生成控制平面报文。
如果是,则返回步骤S34,否则进入步骤S38。
S38,对出流量信息摘要匹配。
S39,更新异常行为统计/告警。
根据上述对本发明的路由数据平面信息的验证方法的说明,下面以一个具体实施例对验证过程进行详细说明。如图4所示,假设某数据包由接口S0进入路由器,最后经接口S1输出,路由器通过上述验证方法对该数据包进行数据平面信息真实性检查,且接口S0和S1不运行其它验证程序,故输入数据包摘要链表信息摘要策略均使用默认配置。
具体地,如图4所示,若数据包校验和计算正确,则为数据包包头的选项部分添加接口号标记(S0)、时间戳两项数据。提取数据包的信息摘要,包括时间戳、源IP、目的IP存入接口S0的输入数据包摘要链表中形成一个新节点,输入数据包摘要链表中的单个节点的数据结构如图2所示。
在路由器正常的数据转发过程中,监听数据包行为,若数据包因包头数据出错等原因被丢弃时,删除输入数据包摘要链表中该数据包对应的节点。若数据包被当前路由器分片,则删除输入数据包摘要链表中该数据包对应的节点,提取分片产生的新数据包摘要信息,加入到接口S0的输入数据包摘要链表中。检查该数据包是否为控制平面报文,如果是,则删除输入数据包摘要链表中的对应节点,如果不是,经过路由表的查找,数据包将会被匹配到某个出接口,本实施例中为接口S1。
进一步地,在数据包被转发出去之前,从数据包包头的选项部分的接口号标记中可知该数据包来源为接口S0,进而到接口S0的输入数据包摘要链表中对该数据包的摘要信息进行匹配,保证数据包未被恶意篡改,即可从本例的S1接口正常发出。如果发生了不匹配的情况,则将输入数据摘要链表中的该节点信息加入非法转发数据链表。另外,如果输入数据包摘要链表中任一节点不能在生存时间内被有效删除,则说明发生了非法丢弃,将相应节点加入非法丢弃数据链表。
进而可以根据非法转发数据链表或者非法丢弃数据链表,将监听信息和告警信息发送至路由器的其他功能模块,并向上层提交,阻止异常数据转发,并发送给指定的网络管理员,进而更新摘要策略或者对路由器的功能模块进行安全检查。
概括地说,本发明实施例的路由器数据平面信息的验证方法,对数据平面信息进行摘要和验证,保证了数据包输入接口的可溯性和关键标识的真实性。为每个接口维护一张输入数据包摘要链表结构,并为异常信息建立非法丢弃、非法转发数据链表。每个接口都对自己传入流量的IP数据包进行标记,添加接口号标记、时间戳。对于正常的转发、过滤行为,实时对相应的输入数据包摘要链表进行更新。对于异常的转发、过滤行为,将相应数据存入非法丢弃数据链表或非法转发数据链表。其中,主要的资源消耗来自输入数据包摘要链表建立、存储和更新,但该链表每一节点仅需保存有限的数据包关键信息,并且有限的路由器缓存容量决定了各接口对应链表的长度也是有限的,所以对路由器的性能影响很小。
为实现上述实施例,本发明另一方面实施例提出一种路由器数据平面信息的验证装置。
图5为根据本发明的一个实施例的路由器数据平面信息的验证装置的功能框图,如图5所示,该数据平面信息的验证装置100包括标记模块10、策略控制模块20、匹配模块30和告警模块40。
其中,标记模块10用于对路由器的输入接口接收的数据包添加标记信息。策略控制模块20用于根据摘要策略对数据包进行信息摘要,并将信息摘要存入输入接口的输入数据包摘要链表中;匹配模块30用于在数据包被转发之前根据数据包的标记信息和信息摘要对数据包进行匹配,并在根据匹配结果判断输入数据包发生异常时,将发生异常的数据包的信息摘要存入异常数据链表;告警模块40用于根据异常数据链表生成告警信息以进行提示。
根据本发明实施例的路由器数据平面信息的验证装置100,通过策略控制模块20对路由器接口转发数据包进行信息摘要,并存入输入数据摘要链表,其中,主要的资源消耗来自输入数据包摘要链表的建立、存储和更新,所以只需占用很少的系统资源,几乎不影响路由器性能,通过匹配模块30对即将转发出的数据包进行匹配验证,可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,在数据包异常时,通过告警模块40进行告警提示,从而数据转发过程中异常行为可以及时发现。
另外,如图6所示,该验证装置100还包括更新模块50,更新模块50用于实时地对输入数据包摘要链表进行更新。具体地,可以根据数据包的丢弃或者分片或者控制平面报文的接收、丢弃和新控制报文的生成更新数据包摘要链表。
本发明的再一方面实施例还提出一种路由器。
如图7所示,本发明实施例的路由器1000包括上述方面实施例的数据平面信息的验证装置100。
根据本发明实施例的路由器1000,通过上述方面实施例的数据平面信息的验证装置100可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,数据转发过程中异常行为可以及时发现。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (11)
1.一种路由器数据平面信息的验证方法,其特征在于,包括以下步骤:
对路由器的输入接口接收的数据包添加标记信息;
根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;
在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及
根据所述异常数据链表生成告警信息以进行提示。
2.如权利要求1所述的路由器数据平面信息的验证方法,其特征在于,所述标记信息包括接口号标记信息和时间戳信息。
3.如权利要求2所述的路由器数据平面信息的验证方法,其特征在于,所述信息摘要包括序列号、生存时间、所述时间戳、源IP和目的IP。
4.如权利要求1所述的路由器数据平面信息的验证方法,其特征在于,还包括:
实时地对所述输入数据包摘要链表进行更新。
5.如权利要求4所述的路由器数据平面信息的验证方法,其特征在于,所述实时地对所述输入数据包摘要链表进行更新具体包括:
当所述输入数据包正常被丢弃时,删除所述输入数据包摘要链表中所述输入数据包对应的节点;或者
当所述数据包正常分片时,在所述数据包分片之前删除所述输入数据包摘要链表中所述数据包对应的节点,并将分片之后的新数据包的信息摘要存入所述输入数据包摘要链表中;或者
当所述路由器的控制平面接收、使用并丢弃控制平面报文之后,删除所述输入数据包摘要链表中所述数据包对应的节点。
6.如权利要求3所述的路由器数据平面信息的验证方法,其特征在于,在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表,具体包括:
根据所述数据包的所述接口号标记信息查找对应的输入数据包摘要链表;
根据所述数据包的所述序列号、时间戳查找对应的输入数据包摘要链表中所述数据包对应的节点;
判断节点信息是否与所述数据包的信息摘要匹配;
如果完全匹配,则删除所述输入数据包摘要链表中所述数据包对应的节点;
如果不匹配,则将所述数据包对应的节点存入非法转发数据链表。
7.如权利要求6所述的路由器数据平面信息的验证方法,其特征在于,还包括:
根据所述数据包的所述生存时间判断所述数据包对应所述输入数据包摘要链表中的节点是否被有效删除;
如果所述节点未被有效删除,则将所述数据包对应的节点存入非法丢弃数据链表。
8.如权利要求7所述的路由器数据平面信息的验证方法,其特征在于,根据所述异常数据链表生成告警信息以进行提示具体包括:
判断所述非法转发数据链表或者所述非法丢弃数据链表中的链表信息是否大于预设阈值;
如果是,则生成告警信息以进行提示。
9.一种路由器数据平面信息的验证装置,其特征在于,包括:
标记模块,用于对路由器的输入接口接收的数据包添加标记信息;
策略控制模块,用于根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;
匹配模块,用于在所述数据包被转发之前根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,并在根据匹配结果判断所述输入数据包发生异常时,将发生异常的数据包的信息摘要存入异常数据链表;和
告警模块,用于根据所述异常数据链表生成告警信息以进行提示。
10.如权利要求9所述的路由器数据平面信息的验证装置,其特征在于,还包括:
更新模块,用于实时地对所述输入数据包摘要链表进行更新。
11.一种路由器,其特征在于,包括如权利要求9或10所述的数据平面信息的验证装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510101429.4A CN104735060B (zh) | 2015-03-09 | 2015-03-09 | 路由器及其数据平面信息的验证方法和验证装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510101429.4A CN104735060B (zh) | 2015-03-09 | 2015-03-09 | 路由器及其数据平面信息的验证方法和验证装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104735060A true CN104735060A (zh) | 2015-06-24 |
| CN104735060B CN104735060B (zh) | 2018-02-09 |
Family
ID=53458495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510101429.4A Active CN104735060B (zh) | 2015-03-09 | 2015-03-09 | 路由器及其数据平面信息的验证方法和验证装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104735060B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827634A (zh) * | 2016-05-09 | 2016-08-03 | 清华大学 | 安全路由交换方法、系统及优化判断方法 |
| CN111431732A (zh) * | 2020-02-11 | 2020-07-17 | 西安交通大学 | 一种对计算机网络数据平面进行增量验证的方法与系统 |
| WO2021169304A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 网络设备、数据处理方法、装置、系统及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414730A (zh) * | 2002-05-22 | 2003-04-30 | 华为技术有限公司 | 验证数据安全传输的方法 |
| CN101286997A (zh) * | 2008-06-05 | 2008-10-15 | 北京中星微电子有限公司 | 数据可靠性验证方法、系统及发送设备和接收设备 |
| US20100195513A1 (en) * | 2009-02-04 | 2010-08-05 | National Taiwan University | Packet inspection device and method |
| CN102075404A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 一种报文检测方法及装置 |
| US20120166637A1 (en) * | 2006-05-25 | 2012-06-28 | Cisco Technology, Inc. | Method, device and medium for determining operations performed on a packet |
| CN103064988A (zh) * | 2013-02-01 | 2013-04-24 | 北京华环电子股份有限公司 | 一种异常数据的检测方法及装置 |
| US20130156035A1 (en) * | 2011-12-19 | 2013-06-20 | Electronics And Telecommunications Research Institute | Method and system for domain based packet forwarding |
| CN103580956A (zh) * | 2013-11-05 | 2014-02-12 | 北京锐安科技有限公司 | 一种检测数据完整性的方法及装置 |
-
2015
- 2015-03-09 CN CN201510101429.4A patent/CN104735060B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1414730A (zh) * | 2002-05-22 | 2003-04-30 | 华为技术有限公司 | 验证数据安全传输的方法 |
| US20120166637A1 (en) * | 2006-05-25 | 2012-06-28 | Cisco Technology, Inc. | Method, device and medium for determining operations performed on a packet |
| CN101286997A (zh) * | 2008-06-05 | 2008-10-15 | 北京中星微电子有限公司 | 数据可靠性验证方法、系统及发送设备和接收设备 |
| US20100195513A1 (en) * | 2009-02-04 | 2010-08-05 | National Taiwan University | Packet inspection device and method |
| CN102075404A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 一种报文检测方法及装置 |
| US20130156035A1 (en) * | 2011-12-19 | 2013-06-20 | Electronics And Telecommunications Research Institute | Method and system for domain based packet forwarding |
| CN103064988A (zh) * | 2013-02-01 | 2013-04-24 | 北京华环电子股份有限公司 | 一种异常数据的检测方法及装置 |
| CN103580956A (zh) * | 2013-11-05 | 2014-02-12 | 北京锐安科技有限公司 | 一种检测数据完整性的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 廖志芳: "基于交换机的IPV6源地址验证的研究与实现", 《华南理工大学》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827634A (zh) * | 2016-05-09 | 2016-08-03 | 清华大学 | 安全路由交换方法、系统及优化判断方法 |
| CN105827634B (zh) * | 2016-05-09 | 2019-06-28 | 清华大学 | 安全路由交换方法、系统及优化判断方法 |
| CN111431732A (zh) * | 2020-02-11 | 2020-07-17 | 西安交通大学 | 一种对计算机网络数据平面进行增量验证的方法与系统 |
| WO2021169304A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 网络设备、数据处理方法、装置、系统及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104735060B (zh) | 2018-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yazdinejad et al. | P4-to-blockchain: A secure blockchain-enabled packet parser for software defined networking | |
| Lee | Reducing Complexity of Large-Scale Network Configuration Management | |
| CN109274524B (zh) | 一种基于联盟区块链的设备管理与共享系统 | |
| US7760730B2 (en) | Rule set verification | |
| US10313233B2 (en) | Method for routing data, computer program, network controller and network associated therewith | |
| US20050276262A1 (en) | Rule set conflict resolution | |
| Garcia-Alfaro et al. | MIRAGE: a management tool for the analysis and deployment of network security policies | |
| CN110784495B (zh) | 基于区块链的大数据集群系统的发现与配置信息管理方法 | |
| CN110535654B (zh) | 基于区块链的并行系统部署方法、装置和计算机设备 | |
| CN104935593A (zh) | 数据报文的传输方法及装置 | |
| KR102132539B1 (ko) | 블록체인 기반의 안전한 소프트웨어 정의 네트워킹 시스템 및 그 방법 | |
| CN113395208B (zh) | 一种基于区块链的bgp路由泄露检测方法及系统 | |
| CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
| CN104735060A (zh) | 路由器及其数据平面信息的验证方法和验证装置 | |
| Al-Shaer et al. | ConfigChecker: A tool for comprehensive security configuration analytics | |
| CN109120419A (zh) | 光网络单元onu版本的升级方法、装置及存储介质 | |
| CN104901829A (zh) | 基于动作编码的路由数据转发行为一致性验证方法及装置 | |
| Xiang et al. | Modeling and verifying the topology discovery mechanism of OpenFlow controllers in software-defined networks using process algebra | |
| CN105376197A (zh) | 实现层次化网络抽象的方法和系统 | |
| US9742660B2 (en) | Validating a routing function | |
| CN112437065B (zh) | Sdn环境下基于图形表示的策略冲突检测及解决方法 | |
| CN112804252B (zh) | 一种用户管理系统 | |
| Lee et al. | NetPiler: Detection of ineffective router configurations | |
| Narain et al. | Network configuration validation | |
| CN104378288A (zh) | 基于路由交换范式的构件组装方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |