CN111817966A - 恢复异构执行体可信路由表的方法、装置及介质 - Google Patents

恢复异构执行体可信路由表的方法、装置及介质 Download PDF

Info

Publication number
CN111817966A
CN111817966A CN202010925727.6A CN202010925727A CN111817966A CN 111817966 A CN111817966 A CN 111817966A CN 202010925727 A CN202010925727 A CN 202010925727A CN 111817966 A CN111817966 A CN 111817966A
Authority
CN
China
Prior art keywords
heterogeneous
routing table
recovering
execution
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010925727.6A
Other languages
English (en)
Inventor
胡海洋
郑清彬
郭义伟
冯志峰
吕青松
鲍尚策
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202010925727.6A priority Critical patent/CN111817966A/zh
Publication of CN111817966A publication Critical patent/CN111817966A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/028Dynamic adaptation of the update intervals, e.g. event-triggered updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种恢复异构执行体可信路由表的方法、装置及介质的技术方案,包括:实时监控异构执行体池,当一个或多个异构执行体重新上线时触发路由表的恢复机制:基于恢复机制调用拟态路由器获取对应协议的拟态裁决,根据拟态裁决逆解析出对应的路由表;更新新上线的异构执行体。本发明的有益效果为:对SDN架构下的拟态路由器中的异构执行体重新上线时实现可信路由表的恢复。

Description

恢复异构执行体可信路由表的方法、装置及介质
技术领域
本发明涉及计算机安全领域,具体涉及了一种恢复异构执行体可信路由表的方法、装置及介质。
背景技术
路由是信息交互的大脑,它决定了数据包的转发路径。路由器是通过路由计算实现数据包转发的设备,作为网络基础设施的核心设备,它覆盖了整个互联网的核心层、汇聚层和接入层,其安全性能对整个网络的安全具有决定性的意义。
拟态路由器的拟态防御思想:分离元功能与具体实现结构的耦合关系,构建多个功能等价、异构冗余的多执行体环境,通过动态调度机制建立元功能和执行体的实际映射关系,在保证系统功能不变的条件下,充分利用动态性、多样性、随机性来隐藏执行体内部存在的各种“暗功能”,使得攻击者难以建立起持续可靠的攻击链。进一步引入多模裁决机制,对多执行体的输出结果进行多模裁决输出,确保输出结果的正确性。
传统路由器实现结构中软硬件紧耦合,内部通信接口自定义,要在消息处理路径上插入相应的消息分发或者多模表决模块,从工程角度而言,将难以实现。软件定义网络(Software-defined network-ing,SDN)技术的出现使路由器的控制平面、转发平面的模块化处理成为可能,也为拟态路由器的实现提供了基础。
拟态路由器的工程实现是异构多个执行体环境,分别对同一种路由控制协议(rip、ospf、bgp等)进行计算得到各自的路由表,然后对所有的路由表进行多模裁决,将可信的路由表转化为转发表,最后写入数据转发平面的流表中,业务面板的数据转发根据此流表进行数据的转发。
在这个过程中,异构执行体重新上线后,如何恢复自己的路由表成为一个问题,因为异构执行体之间是不可信的,所以不能直接复制其他执行体的路由表到本机。
发明内容
本发明的目的在于至少解决现有技术中存在的技术问题之一,提供了一种恢复异构执行体可信路由表的方法、装置及介质,对SDN架构下的拟态路由器中的异构执行体重新上线时实现可信路由表的恢复。
本发明的技术方案包括一种恢复异构执行体可信路由表的方法,其特征在于:S100,实时监控异构体执行池,当一个或多个异构执行体重新上线时触发路由表的恢复机制:S200,基于所述恢复机制调用拟态路由器获取对应协议的拟态裁决,根据所述拟态裁决逆解析出对应的路由表;S300,更新新上线的所述异构执行体。
根据所述的恢复异构执行体可信路由表的方法,其中S100包括:通过实时调用openflow交换机的接口获取流表;根据流表使用对应的协议执行复制分发,将所述流表发送至所述异构体执行池;通过所述异构体执行池中的已上线一个或多个异构执行体进行对应的协议处理。
根据所述的恢复异构执行体可信路由表的方法,其中流表用于openflow交换机依次执行输入逻辑、负载语义转换、查表转发及输出逻辑的处理。
根据所述的恢复异构执行体可信路由表的方法,其中S200包括:对经过所述异构体执行池处理后的路由表执行所述拟态裁决,并将经过所述拟态裁决处理的路由表,调用openflow交换机接口进行发送。
根据所述的恢复异构执行体可信路由表的方法,其中恢复机制被配置为:根据所述异构体执行池、所述拟态裁决及复制分发流表所占用的系统资源进行负反馈调度,所述负反馈调度包括动态调度及感知决策。
根据所述的恢复异构执行体可信路由表的方法,其中动态调整包括:根据所述异构体执行池的所述异构执行体数量及其对应的资源消耗,动态分配用于处理所述异构执行体的线程资源。
根据所述的恢复异构执行体可信路由表的方法,其中感知决策包括:根据所述拟态裁决及复制分发所占用的系统资源动态分配对应的处理线程。
本发明的技术方案还包括一种恢复异构执行体可信路由表的装置,该装置包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现任一所述的方法步骤。
本发明的技术方案一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现任一所述的方法步骤。
本发明的有益效果为:对SDN架构下的拟态路由器中的异构执行体重新上线时实现可信路由表的恢复。
附图说明
下面结合附图和实施例对本发明进一步地说明;
图1所示为根据本发明实施方式的总体流程图;
图2所示为根据本发明实施方式的恢复异构执行体可信路由表示意图;
图3所示为根据本发明实施放置的装置介质图。
具体实施方式
本部分将详细描述本发明的具体实施例,本发明之较佳实施例在附图中示出,附图的作用在于用图形补充说明书文字部分的描述,使人能够直观地、形象地理解本发明的每个技术特征和整体技术方案,但其不能理解为对本发明保护范围的限制。
在本发明的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。
在本发明的描述中,对方法步骤的连续标号是为了方便审查和理解,结合本发明的整体技术方案以及各个步骤之间的逻辑关系,调整步骤之间的实施顺序并不会影响本发明技术方案所达到的技术效果。
本发明的描述中,除非另有明确的限定,设置等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
图1所示为根据本发明实施方式的总体流程图。具体包括:S100,实时监控异构体执行池,当一个或多个异构执行体重新上线时触发路由表的恢复机制:S200,基于恢复机制调用拟态路由器获取对应协议的拟态裁决,根据拟态裁决逆解析出对应的路由表;S300,更新新上线的异构执行体。其中S200包括:对经过异构执行池处理后的路由表执行拟态裁决,并将经过拟态裁决的路由表调用openflow交换机对应的接口进行发送。通过用于openflow交换机依次执行输入逻辑、负载语义转换、查表转发及输出逻辑的处理。根据异构体执行池、拟态裁决及复制分发的所占用的系统资源进行负反馈调节,负反馈调度包括动态调整及感知决策。异构执行池的异构执行体数量动态及其对应的资料消耗分配用于处理异构执行体的线程资源。
图2所示为根据本发明实施方式的恢复异构执行体可信路由表示意图。结合图1的技术方案,参考图2,图中异构体执行池包括若干个具有不同功能的异构执行体(如A1,B1,C1,A2,B2,C2),如图在这个过程中,异构执行体重新上线后,如何恢复自己的路由表成为一个问题,因为异构执行体之间是不可信的,所以不能直接复制其他异构执行体的路由表到本机,本发明的技术方案从新上线的异构执行体,从裁决过的流表中,逆解析出路由表。因为流表是已经进行过拟态裁决,所以它是可信的。
图3所示为根据本发明实施放置的装置介质图。装置包括存储器100及处理器200,其中处理器200存储有计算机程序,计算机程序用于执行:实时监控异构体执行池,当一个或多个异构执行体重新上线时触发路由表的恢复机制:基于恢复机制调用拟态路由器获取对应协议的拟态裁决,根据拟态裁决逆解析出对应的路由表;更新新上线的异构执行体。其中,存储器100用于存储数据。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (9)

1.一种恢复异构执行体可信路由表的方法,其特征在于:
S100,实时监控异构体执行池,当一个或多个异构执行体重新上线时触发路由表的恢复机制:
S200,基于所述恢复机制调用拟态路由器获取对应协议的拟态裁决,根据所述拟态裁决逆解析出对应的路由表;
S300,更新新上线的所述异构执行体。
2.根据权利要求1所述的恢复异构执行体可信路由表的方法,其特征在于,所述S100包括:
通过实时调用openflow交换机的接口获取流表;
根据流表使用对应的协议执行复制分发,将所述流表发送至所述异构体执行池;
通过所述异构体执行池中的已上线一个或多个异构执行体进行对应的协议处理。
3.根据权利要求2所述的恢复异构执行体可信路由表的方法,其特征在于,所述流表用于openflow交换机依次执行输入逻辑、负载语义转换、查表转发及输出逻辑的处理。
4.根据权利要求2所述的恢复异构执行体可信路由表的方法,其特征在于,所述S200包括:
对经过所述异构体执行池处理后的路由表执行所述拟态裁决,并将经过所述拟态裁决处理的路由表,调用openflow交换机接口进行发送。
5.根据权利要求1所述的恢复异构执行体可信路由表的方法,其特征在于,所述恢复机制被配置为:根据所述异构体执行池、所述拟态裁决及复制分发流表所占用的系统资源进行负反馈调度,所述负反馈调度包括动态调度及感知决策。
6.根据权利要求5所述的恢复异构执行体可信路由表的方法,其特征在于,所述动态调整包括:根据所述异构体执行池的所述异构执行体数量及其对应的资源消耗,动态分配用于处理所述异构执行体的线程资源。
7.根据权利要求5所述的恢复异构执行体可信路由表的方法,其特征在于,所述感知决策包括:根据所述拟态裁决及复制分发所占用的系统资源动态分配对应的处理线程。
8.一种恢复异构执行体可信路由表的装置,该装置包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7任一所述的方法步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一所述的方法步骤。
CN202010925727.6A 2020-09-07 2020-09-07 恢复异构执行体可信路由表的方法、装置及介质 Pending CN111817966A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010925727.6A CN111817966A (zh) 2020-09-07 2020-09-07 恢复异构执行体可信路由表的方法、装置及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010925727.6A CN111817966A (zh) 2020-09-07 2020-09-07 恢复异构执行体可信路由表的方法、装置及介质

Publications (1)

Publication Number Publication Date
CN111817966A true CN111817966A (zh) 2020-10-23

Family

ID=72860015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010925727.6A Pending CN111817966A (zh) 2020-09-07 2020-09-07 恢复异构执行体可信路由表的方法、装置及介质

Country Status (1)

Country Link
CN (1) CN111817966A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113905011A (zh) * 2021-09-06 2022-01-07 河南信大网御科技有限公司 一种拟态设备Arp表同步方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113905011A (zh) * 2021-09-06 2022-01-07 河南信大网御科技有限公司 一种拟态设备Arp表同步方法及系统
CN113905011B (zh) * 2021-09-06 2023-08-04 河南信大网御科技有限公司 一种拟态设备Arp表同步方法及系统

Similar Documents

Publication Publication Date Title
CN113169940B (zh) 包括分解式网络元件的逻辑路由器
CN110380961B (zh) 一种传统路由器拟态化改造的装置及方法
CN108063813B (zh) 一种集群环境下密码服务网络并行化的方法与系统
CN109885410A (zh) 消息发送方法、装置、计算机设备和存储介质
CN107196807A (zh) 网络中间设备及其部署方法
CN109491668A (zh) 一种sdn/nfv服务部署的拟态防御构架及方法
US10693753B2 (en) Network device snapshots
CN106685733A (zh) 一种fc‑ae‑1553网络快速配置与自动化测试方法
CN105743687B (zh) 节点故障的判断方法及装置
CN110300188A (zh) 数据传输系统、方法和设备
CN115242877B (zh) 面向多K8s集群的Spark协同计算、作业方法及装置
Bhowmik et al. Distributed control plane for software-defined networks: A case study using event-based middleware
CN110932920B (zh) 一种网络拓扑结构
CN111817966A (zh) 恢复异构执行体可信路由表的方法、装置及介质
CN106487598B (zh) 异构冗余Snmp协议多实例实现系统及其实现方法
Kang et al. Resilient resource allocation model in service function chains with diversity and redundancy
CN105379198A (zh) 转发控制方法、驱动器及sdn网络
CN102316035A (zh) 集群路由器系统中前后台通讯及数据安全处理方法
CN108881060A (zh) 一种处理通信报文的方法及装置
Ahmad et al. Protection of centralized SDN control plane from high-rate Packet-In messages
CN106209634B (zh) 地址映射关系的学习方法及装置
CN105591902A (zh) 一种主备切换方法及装置
CN113285995B (zh) 一种基于sdn的微服务请求自适应映射分配系统及方法
Yang et al. Joint optimization of MapReduce scheduling and network policy in hierarchical data centers
CN112788052B (zh) 拟态架构路由交换系统被动防御模块、系统及实现方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201023

RJ01 Rejection of invention patent application after publication