路由器及其數(shù)據(jù)平面信息的驗(yàn)證方法和驗(yàn)證裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種路由器數(shù)據(jù)平面信息的驗(yàn)證方法和驗(yàn)證裝置,以及具有該驗(yàn)證裝置的路由器。
【背景技術(shù)】
[0002]路由器是網(wǎng)絡(luò)數(shù)據(jù)處理與傳輸?shù)臉屑~,保證路由器的數(shù)據(jù)安全對(duì)于構(gòu)建安全可信網(wǎng)絡(luò)至關(guān)重要。目前,各大路由交換設(shè)備廠商廣泛采用模塊化的開發(fā)方法,路由交換設(shè)備內(nèi)部主要分為控制平面和數(shù)據(jù)平面,控制平面運(yùn)行不同類型的路由協(xié)議,動(dòng)態(tài)生成路由表,數(shù)據(jù)平面主要包括輸入接口、交換結(jié)構(gòu)和輸出接口。
[0003]數(shù)據(jù)平面對(duì)數(shù)據(jù)包進(jìn)行高速轉(zhuǎn)發(fā),但通常不對(duì)其安全性進(jìn)行驗(yàn)證,它所發(fā)送的報(bào)文可能既不是來(lái)自于上游路由交換設(shè)備,也非控制平面產(chǎn)生的控制報(bào)文。例如,控制平面的惡意構(gòu)件將與該路由轉(zhuǎn)發(fā)相關(guān)的敏感信息(如路由轉(zhuǎn)發(fā)表項(xiàng)等),通過數(shù)據(jù)平面將報(bào)文發(fā)送至特定目的地,從而造成敏感信息泄露。因此,路由器功能模塊由于設(shè)計(jì)缺陷或遭受攻擊都可能導(dǎo)致數(shù)據(jù)處理異常。
【發(fā)明內(nèi)容】
[0004]本發(fā)明旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問題之一。為此,本發(fā)明的一個(gè)目的在于提出一種路由器數(shù)據(jù)平面信息的驗(yàn)證方法,該驗(yàn)證方法可以保證路由器轉(zhuǎn)發(fā)數(shù)據(jù)過程中輸入、輸出的一致性,方法簡(jiǎn)單。
[0005]本發(fā)明的另一個(gè)目的在于提出一種路由器數(shù)據(jù)平面信息的驗(yàn)證裝置和具有該驗(yàn)證裝置的路由器。
[0006]為達(dá)到上述目的,本發(fā)明一方面實(shí)施例提出一種路由器數(shù)據(jù)平面信息的驗(yàn)證方法,該驗(yàn)證方法包括以下步驟:對(duì)路由器的輸入接口接收的數(shù)據(jù)包添加標(biāo)記信息;根據(jù)摘要策略對(duì)所述數(shù)據(jù)包進(jìn)行信息摘要,并將所述信息摘要存入所述輸入接口的輸入數(shù)據(jù)包摘要鏈表中;在所述數(shù)據(jù)包被轉(zhuǎn)發(fā)之前,根據(jù)所述數(shù)據(jù)包的標(biāo)記信息和信息摘要對(duì)所述數(shù)據(jù)包進(jìn)行匹配,如果根據(jù)匹配結(jié)果判斷所述輸入數(shù)據(jù)包發(fā)生異常,則將發(fā)生異常的數(shù)據(jù)包的信息摘要存入異常數(shù)據(jù)鏈表;以及根據(jù)所述異常數(shù)據(jù)鏈表生成告警信息以進(jìn)行提示。
[0007]根據(jù)本發(fā)明實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證方法,通過對(duì)路由器接口轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行信息摘要,并存入輸入數(shù)據(jù)摘要鏈表,其中,主要的資源消耗來(lái)自輸入數(shù)據(jù)包摘要鏈表的建立、存儲(chǔ)和更新,所以只需占用很少的系統(tǒng)資源,方法簡(jiǎn)單,幾乎不影響路由器性能,通過對(duì)即將轉(zhuǎn)發(fā)出的數(shù)據(jù)包進(jìn)行匹配驗(yàn)證,可以保證數(shù)據(jù)輸入和輸出的一致性,保證數(shù)據(jù)包輸入接口的可溯性和關(guān)鍵標(biāo)識(shí)的真實(shí)性,在數(shù)據(jù)包異常時(shí),進(jìn)行告警提示,從而數(shù)據(jù)轉(zhuǎn)發(fā)過程中異常行為可以及時(shí)發(fā)現(xiàn)。
[0008]具體地,所述標(biāo)記信息包括接口號(hào)標(biāo)記信息和時(shí)間戳信息。所述信息摘要包括序列號(hào)、生存時(shí)間、所述時(shí)間戳、源IP和目的IP。
[0009]另外,上述驗(yàn)證方法還包括:實(shí)時(shí)地對(duì)所述輸入數(shù)據(jù)包摘要鏈表進(jìn)行更新。
[0010]進(jìn)一步地,所述實(shí)時(shí)地對(duì)所述輸入數(shù)據(jù)包摘要鏈表進(jìn)行更新具體包括:當(dāng)所述輸入數(shù)據(jù)包正常被丟棄時(shí),刪除所述輸入數(shù)據(jù)包摘要鏈表中所述輸入數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn);或者當(dāng)所述數(shù)據(jù)包正常分片時(shí),在所述數(shù)據(jù)包分片之前刪除所述輸入數(shù)據(jù)包摘要鏈表中所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn),并將分片之后的新數(shù)據(jù)包的信息摘要存入所述輸入數(shù)據(jù)包摘要鏈表中;或者當(dāng)所述路由器的控制平面接收、使用并丟棄控制平面報(bào)文之后,刪除所述輸入數(shù)據(jù)包摘要鏈表中所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn)。
[0011]進(jìn)一步地,在所述數(shù)據(jù)包被轉(zhuǎn)發(fā)之前,根據(jù)所述數(shù)據(jù)包的標(biāo)記信息和信息摘要對(duì)所述數(shù)據(jù)包進(jìn)行匹配,如果根據(jù)匹配結(jié)果判斷所述輸入數(shù)據(jù)包發(fā)生異常,則將發(fā)生異常的數(shù)據(jù)包的信息摘要存入異常數(shù)據(jù)鏈表,具體包括:根據(jù)所述數(shù)據(jù)包的所述接口號(hào)標(biāo)記信息查找對(duì)應(yīng)的輸入數(shù)據(jù)包摘要鏈表;根據(jù)所述數(shù)據(jù)包的所述序列號(hào)、時(shí)間戳查找對(duì)應(yīng)的輸入數(shù)據(jù)包摘要鏈表中所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn);判斷節(jié)點(diǎn)信息是否與所述數(shù)據(jù)包的信息摘要匹配;如果完全匹配,則刪除所述輸入數(shù)據(jù)包摘要鏈表中所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn);如果不匹配,則將所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn)存入非法轉(zhuǎn)發(fā)數(shù)據(jù)鏈表。
[0012]另外,上述驗(yàn)證方法還包括:根據(jù)所述數(shù)據(jù)包的所述生存時(shí)間判斷所述數(shù)據(jù)包對(duì)應(yīng)所述輸入數(shù)據(jù)包摘要鏈表中的節(jié)點(diǎn)是否被有效刪除;如果所述節(jié)點(diǎn)未被有效刪除,則將所述數(shù)據(jù)包對(duì)應(yīng)的節(jié)點(diǎn)存入非法丟棄數(shù)據(jù)鏈表。
[0013]進(jìn)一步地,根據(jù)所述異常數(shù)據(jù)鏈表生成告警信息以進(jìn)行提示具體包括:判斷所述非法轉(zhuǎn)發(fā)數(shù)據(jù)鏈表或者所述非法丟棄數(shù)據(jù)鏈表中的鏈表信息是否大于預(yù)設(shè)閾值;如果是,則生成告警信息以進(jìn)行提示。
[0014]為達(dá)到上述目的,本發(fā)明另一方面實(shí)施例提出一種路由器數(shù)據(jù)平面信息的驗(yàn)證裝置,該驗(yàn)證裝置包括:標(biāo)記模塊,用于對(duì)路由器的輸入接口接收的數(shù)據(jù)包添加標(biāo)記信息;策略控制模塊,用于根據(jù)摘要策略對(duì)所述數(shù)據(jù)包進(jìn)行信息摘要,并將所述信息摘要存入所述輸入接口的輸入數(shù)據(jù)包摘要鏈表中;匹配模塊,用于在所述數(shù)據(jù)包被轉(zhuǎn)發(fā)之前根據(jù)所述數(shù)據(jù)包的標(biāo)記信息和信息摘要對(duì)所述數(shù)據(jù)包進(jìn)行匹配,并在根據(jù)匹配結(jié)果判斷所述輸入數(shù)據(jù)包發(fā)生異常時(shí),將發(fā)生異常的數(shù)據(jù)包的信息摘要存入異常數(shù)據(jù)鏈表;告警模塊,用于根據(jù)所述異常數(shù)據(jù)鏈表生成告警信息以進(jìn)行提示。
[0015]根據(jù)本發(fā)明實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證裝置,通過策略控制模塊對(duì)路由器接口轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行信息摘要,并存入輸入數(shù)據(jù)摘要鏈表,其中,主要的資源消耗來(lái)自輸入數(shù)據(jù)包摘要鏈表的建立、存儲(chǔ)和更新,所以只需占用很少的系統(tǒng)資源,幾乎不影響路由器性能,通過匹配模塊對(duì)即將轉(zhuǎn)發(fā)出的數(shù)據(jù)包進(jìn)行匹配驗(yàn)證,可以保證數(shù)據(jù)輸入和輸出的一致性,保證數(shù)據(jù)包輸入接口的可溯性和關(guān)鍵標(biāo)識(shí)的真實(shí)性,在數(shù)據(jù)包異常時(shí),通過告警模塊進(jìn)行告警提示,從而數(shù)據(jù)轉(zhuǎn)發(fā)過程中異常行為可以及時(shí)發(fā)現(xiàn)。
[0016]另外,所述驗(yàn)證裝置還包括更新模塊,所述更新模塊用于實(shí)時(shí)地對(duì)所述輸入數(shù)據(jù)包摘要鏈表進(jìn)行更新。
[0017]為達(dá)到上述目的,本發(fā)明的再一方面實(shí)施例還提出一種路由器,該路由器包括上述方面實(shí)施例所述的數(shù)據(jù)平面信息的驗(yàn)證裝置。
[0018]根據(jù)本發(fā)明實(shí)施例的路由器,通過上述方面實(shí)施例的數(shù)據(jù)平面信息的驗(yàn)證裝置可以保證數(shù)據(jù)輸入和輸出的一致性,保證數(shù)據(jù)包輸入接口的可溯性和關(guān)鍵標(biāo)識(shí)的真實(shí)性,數(shù)據(jù)轉(zhuǎn)發(fā)過程中異常行為可以及時(shí)發(fā)現(xiàn)。
【附圖說(shuō)明】
[0019]圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證方法的流程圖;
[0020]圖2是根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的輸入數(shù)據(jù)摘要鏈表中的節(jié)點(diǎn)的數(shù)據(jù)結(jié)構(gòu)示意圖;
[0021]圖3是根據(jù)本發(fā)明的一個(gè)具體實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證方法的流程圖;
[0022]圖4是根據(jù)本發(fā)明的另一個(gè)具體實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證方法的實(shí)現(xiàn)過程的示意圖;
[0023]圖5是根據(jù)本發(fā)明的一個(gè)實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證裝置的功能框圖;
[0024]圖6是根據(jù)本發(fā)明的另一個(gè)實(shí)施例的路由器數(shù)據(jù)平面信息的驗(yàn)證裝置的功能框圖;
[0025]圖7是根據(jù)本發(fā)明的一個(gè)實(shí)施例的路由器的框圖。
【具體實(shí)施方式】
[0026]下面詳細(xì)描述本發(fā)明的實(shí)施例,所述實(shí)施例的示例在附圖中示出,其