本发明专利技术涉及一种基于SDN架构的BGP路由可信验证方法,其步骤为:第一步,构建基于SDN架构的BGP路由可信验证环境;第二步,集中控制点采集BGP邻居信息;第三步,集中控制点集中检测异常,验证BGP路由是否可信,若BGP路由可信,结束,若BGP路由不可信,进入第四步;第四步,集中控制点生成阻断异常的安全策略;第五步,集中控制点下发安全策略阻断异常路由;第六步,集中控制点验证异常路由是否被阻断,方法是:代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。与现有BGP路由可信验证方法相比,本发明专利技术能够降低部署开销、提高异常检测性能和实时性、闭环控制阻断异常、向前兼容高可扩展、使系统整体性价比大幅提升。
【技术实现步骤摘要】
一种基于SDN架构的BGP路由可信验证方法
本专利技术主要涉及到网络安全领域,特指一种基于SDN(SoftwareDefinedNetwork,软件定义网络)架构的BGP(BorderGatewayProtocol,边界网关协议)路由可信验证方法。
技术介绍
域间路由安全对于整个互联网的安全具有重要的意义。增强域间路由安全的关键之一就是提高域间路由协议的安全性。BGP协议作为当前唯一的域间路由协议,其安全性是整个Internet路由系统安全的关键。而BGP路由是否可信又是保证BGP协议安全的基础,然而在BGP设计之初,并没有充分考虑可信路由问题,只有一些简单的认证机制保证安全。在目前复杂的网络环境下,这种简单的认证机制既不能确保路由信息的可靠性,也不能满足可信路由的需求。BGP路由可信的核心问题就是确保信息发布的可靠性,其中最重要的就是源地址信息和路径属性,至今提出的多种BGP路由可信方法,多数都采用基于信息认证的数字签名认证方法,包括对源地址签名、路径属性签名、路由策略签名来保证信息的安全可信。这种方法存在以下不足:在数字签名认证方法中,要求每台设备都有公钥和私钥两种密钥,密钥产生、分配、维护工作繁琐,密钥系统难以部署,开销很大;而随着网络规模增大,网络设备成指数级增长,大大增加了密钥系统的部署管理难度,降低了系统的整体性价比。因此,数字签名认证方法代价太大,难于部署。另一种常见的保证BGP路由可信的方法是采用BGP路由检测系统检测路由异常,这种方法存在以下不足:1、已有的路由安全监测系统只提供异常发现和报警服务,没有阻断异常功能,即没有形成自动的反馈控制。与此同时,在监测异常时,需要参考已有异常类型知识库确定系统是否存在异常,这种方法依赖于知识库的准确性和完整性,且只能检测异常,没有自动反馈机制。2、已有的路由安全监测系统只有在网络应用所需服务得不到保证、网络状态出现波动的情况下才能检测出异常,这种被动异常监测不具备很好的实时性和前瞻性,难以满足目前网络安全的实时性需求。3、已有的路由安全监测系统种类繁多、各成体系,系统之间互通性差,难以兼容。且系统大多只向后兼容,不具备向前兼容的特性。
技术实现思路
本专利技术要解决的技术问题就在于:针对现有技术存在的问题,本专利技术提供一种基于SDN架构的BGP路由可信验证方法,该方法能够降低部署开销、提高异常检测性能和实时性、闭环控制阻断异常、向前兼容高可扩展、使系统整体性价比大幅提升。为解决上述技术问题,本专利技术采用以下技术方案:一种基于SDN架构的BGP路由可信验证方法,实施步骤如下:1.一种基于SDN架构的BGP路由可信验证方法,其特征在于,实施步骤如下:第一步,构建基于SDN架构的BGP路由可信验证环境,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;第二步、集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型;第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信;第五步、集中控制点下发安全策略阻断异常路由;第六步、集中控制点验证异常路由是否被阻断,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。作为本专利技术的进一步改进,所述第二步集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型,具体流程为:2.1使用YANG数据建模语言对BGP邻居信息表进行建模,得到YANG模型,包括以下步骤:2.1.1定义邻居为一个容器节点聚集所有的邻居信息;2.1.2定义邻居表中每一行的条目为一个列节点,并用邻居ID唯一标识;2.1.3定义条目中的每个属性为一个叶子节点;2.2集中控制点向代理发送配置请求,请求获取BGP邻居信息表,包括以下步骤:2.2.1集中控制点收到请求BGP邻居信息的命令后,自动生成XML格式的配置请求;2.2.2集中控制点通过NETCONF协议将配置请求发往代理;2.3代理响应集中控制点的请求,将邻居信息表发送给集中控制点,包括以下步骤:2.3.1代理收到集中控制点的配置请求后,通过对BGP协议进程进行读操作,获取BGP邻居信息表;2.3.2代理将BGP邻居信息表用XML进行编码,然后通过NETCONF协议发往集中控制点。所述第三步集中控制点集中检测异常,验证BGP路由是否可信,具体流程为:3.1集中控制点从代理收到XML编码的BGP邻居信息表后,从XML中解析出邻居信息,存储于邻居信息数据库中;3.2集中控制点管辖范围内所有运行BGP的路由器的邻居信息都采集完成后,得到邻居信息数据库;然后,对比分析邻居信息数据库,判断互为邻居的路由器是否存在对方的邻居表中,验证BGP路由是否可信:如果互为邻居的路由器存在于对方的邻居表中,则BGP路由可信,结束;否则,此BGP路由不可信,进入第四步。所述第四步集中控制点生成阻断异常的安全策略,具体流程为:4.1集中控制点检测到某路由器的BGP邻居表中存在多余的邻居信息,则生成安全路由策略删除该邻居信息以阻断异常路由;4.2集中控制点根据NETCONF协议规范以及第一步的YANG模型,将安全路由策略转换成XML编码的配置文件。所述第五步集中控制点下发安全策略阻断异常路由,具体流程为:5.1集中控制点生成XML编码的安全路由策略之后,通过标准的NETCONF协议将其发送给代理;5.2代理收到安全路由策略之后,与BGP协议进程交互,通过对BGP邻居信息表进行写操作,执行安全路由策略,删除多余的邻居。与现有技术相比,本专利技术的优点在于:1、本专利技术在每台路由器上部署一个代理,代理自动采集路由信息、集中检测异常并下发安全路由策略阻断异常,这种集中闭环控制结构能够形成自动的反馈控制,确保路由安全可信。2、本专利技术第三步集中控制点随时请求路由信息并进行异常检测,与传统的监测系统相比,具有更高的实时性。3、本专利技术第三步在采集完BGP邻居信息表之后,对BGP邻居信息表进行对比分析判断,验证BGP是否可信。与传统的数字签名认证方法相比,大大提高了可信路由的验证效率;同时本专利技术只需要在每台路由器上部署一个代理,与传统的安全增强协议机制相比,大大降低了部署开销。4、本专利技术采用NETCONF协议,提供认证、数据完整性、机密性和应答保护等机制确保BGP邻居信息安全传输;采用YANG数据建模语言,可以更好地描述数据之间的层次性和限制关系。同时NETCONF协议和YANG数据建模语言作为下一代网络管理的既定标准,使得本专利技术具有更好的通用性和可扩展性。附图说明图1是本专利技术方法的流程示意图;图2是本专利技术具体应用时的系统结构示意图;图3是本专利技术具体应用时的设计实现模块示意图;图4是本专利技术YANG语言对BGP邻居建模示意图;图5是本专利技术具体应用时的拓扑示意图;图6是本专利技术具体应用时的配置示意图;图7是本专利技术具体应本文档来自技高网...
【技术保护点】
一种基于SDN架构的BGP路由可信验证方法,其特征在于,实施步骤如下:第一步,构建基于SDN架构的BGP路由可信验证环境,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;第二步、集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型;第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信;第五步、集中控制点下发安全策略阻断异常路由;第六步、集中控制点验证异常路由是否被阻断,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。
【技术特征摘要】
1.一种基于SDN架构的BGP路由可信验证方法,其特征在于,实施步骤如下:第一步,构建基于SDN架构的BGP路由可信验证环境,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;第二步、集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型;第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信;第五步、集中控制点下发安全策略阻断异常路由;第六步、集中控制点验证异常路由是否被阻断,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。2.根据权利要求1所述的基于SDN架构的BGP路由可信验证方法,其特征在于,所述第二步集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型,具体流程为:2.1使用YANG数据建模语言对BGP邻居信息表进行建模,得到YANG模型,包括以下步骤:2.1.1定义邻居为一个容器节点聚集所有的邻居信息;2.1.2定义邻居表中每一行的条目为一个列节点,并用邻居ID唯一标识;2.1.3定义条目中的每个属性为一个叶子节点;2.2集中控制点向代理发送配置请求,请求获取BGP邻居信息表,包括以下步骤:2.2.1集中控制点收到请求BGP邻居信息的命令后,自动生成XML格式的配置请求;2.2.2集中控制点通过NETCONF协议将配置请求发往代理;2.3代理...
【专利技术属性】
技术研发人员:邓文平,王宝生,曾皓,苏金树,陈曙晖,胡宁,郦苏丹,王宏,陶静,彭伟,唐竹,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。