一种软件定义网络的域内源地址的验证方法技术

本发明专利技术提供了一种软件定义网络的域内源地址的验证方法，涉及软件定义网络技术领域，路由器采集待发送数据，所述待发送数据包括域内源地址；所述路由器基于预设置的传输协议，将待发送数据封装为所述传输协议对应的格式，得到封装数据；所述路由器基于所述传输协议，传输所述封装数据；网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送；上层的网络应用程序验证所接收到的数据中的域内源地址。将CPF移植到一个融入了软件定义网络体系结构思想的网络环境中以解决现有技术中CPF兼容性差的技术问题。

A Verification Method for Intra-domain Source Address of Software Defined Network

The invention provides a method for verifying the intra-domain source address of a software-defined network, which relates to the field of software-defined network technology. The router collects the data to be sent, which includes the intra-domain source address. The router encapsulates the data to be sent into the corresponding format of the transmission protocol based on the preset transmission protocol, and obtains the encapsulated data. The transmission protocol transmits the encapsulated data; the network controller receives the encapsulated data, unpacks and processes it accordingly, and pushes the processed data to the upper network application program; and the upper network application program verifies the intra-domain source address of the received data. Porting CPF into a network environment incorporating the idea of software defined network architecture can solve the technical problems of poor CPF compatibility in existing technologies.

【技术实现步骤摘要】
一种软件定义网络的域内源地址的验证方法
本专利技术涉及软件定义网络领域，尤其是涉及一种软件定义网络的域内源地址的验证方法。
技术介绍
由于现行的TCP/IP协议在转发报文时对其源地址不进行检查，因此报文的源地址很容易被伪造。目前互联网上存在大量的伪造源地址攻击，很多种网络攻击都会利用到伪造源地址技术。因此，无论是在网络安全方面，还是网路管理和计量方面，伪造源地址都带来严重的问题。为了避免源地址伪造攻击并保证网络中源地址信息的可靠性，学术界和工业界提出了一系列源地址验证的方法。2008年清华大学提出了一种“基于真实IPv6的网络寻址体系结构”(SourceAddressValidationArchitecture，简称SAVA)，该体系结构根据网络各层不同特点，将源地址验证工作自底向上分为三个层次：接入子网，域内，域间，并分别针对这三个层次提出了轻量级的源地址验证解决方案。其中，SAVA在域内层采用了一种基于集中计算路径的域内源地址验证方法(CalculatingPathForwarding，简称CPF)。CPF可以克服目前广泛应用的预先过滤类的源地址验证方法中由于非对称性造成的假阳性问题。但是，由于CPF中使用到的各种协议不统一，不规范，导致对其进行开发的难度大，导致CPF兼容性差。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种软件定义网络的域内源地址的验证方法，将CPF移植到一个融入了软件定义网络体系结构思想的网络环境中以解决现有技术中CPF兼容性差的技术问题。本专利技术提供了一种软件定义网络的域内源地址的验证方法，该验证方法包括：路由器采集待发送数据，所述待发送数据包括域内源地址；所述路由器基于预设置的传输协议，将待发送数据封装为所述传输协议对应的格式，得到封装数据；所述路由器基于所述传输协议，传输所述封装数据；网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送；上层的网络应用程序验证所接收到的数据中的域内源地址。优选的，所述待发送数据包括接口信息、接口地址信息、路由信息和采样数据。优选的，所述域内源地址包含在所述接口地址信息、所述路由信息和所述采样数据中。优选的，在网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送之前，还包括：建立所述网络控制器与上层的网络应用程序之间的连接。优选的，建立所述网络控制器与上层的网络应用程序之间的连接包括：上层的网络应用程序使用注册信息，通过所述网络控制器的接口向所述网络控制器申请注册推送信息服务；所述网络控制器接收到所述注册信息后，在本地注册推送信息服务。优选的，网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送包括：所述网络控制器接收到所述封装数据；针对所述封装数据中的采样数据，所述网络控制器将所述采样数据提取，将一个或多个采样数据封装为向上层的网络应用程序推送的采样报文数据；针对所述封装数据中的接口信息、接口地址信息和路由信息，所述网络控制器检测是否有更新，若有则将更新的信息封装入路由接口表更新数据，更新完整路由接口表数据，向上层的网络应用程序推送所述路由接口表更新数据和所述完整路由接口表数据。优选的，上层的网络应用程序验证所接收到的数据中的域内源地址之前，还包括：上层的网络应用程序向所述网络控制器发出路由器信息请求消息，获取域内全部路由器的路由表和接口表；上层的网络应用程序基于各接口表信息，建立子网前缀表、邻居表和连接表；上层的网络应用程序基于所述子网前缀表、所述邻居表和所述连接表，计算出过滤表，所述过滤表包括源地址前缀。优选的，上层的网络应用程序验证所接收到的数据中的域内源地址包括：上层的网络应用程序提取采样报文数据中的域内源地址；上层的网络应用程序基于过滤表中的源地址前缀，验证采样报文数据中的域内源地址。优选的，与所述传输协议对应的格式为类型长度值格式。优选的，所述网络控制器与上层的网络应用程序之间通过端口通信。综上，本专利技术提供了一种软件定义网络的域内源地址的验证方法，该验证方法中路由器采取包括域内源地址的待发送数据，并将待发送数据依据预设置的传输协议进行封装，得到封装数据，向网络控制器发送。网络控制器接收到封装数据之后进行相应处理，最终上层的网络应用程序得到来自路由器的数据，并可验证数据中的域内源地址的真伪。从而可将CPF移植入软件定义网络中，有效地解决了CPF兼容性差的技术问题，有效地运用了CPF可以克服目前广泛应用的预先过滤类的源地址验证方法中由于非对称性造成的假阳性问题。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚的说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要的附图做简单的介绍：图1为本专利技术实施例提供的软件定义网络的结构示意图；图2为本专利技术实施例提供的软件定义网络的域内源地址的验证方法流程示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供了一种软件定义网络的域内源地址的验证方法，如图1所示，该软件定义网络包括网络应用程序、网络控制器和路由器。如图2所示，该验证方法包括：步骤S1、路由器采集待发送数据，待发送数据包括域内源地址。本专利技术实施例可以在传统的商业路由器内新增加一个OpenFlow模块，将现有的路由器进行升级。该OpenFlow模块负责与路由器内部的其他模块例如路由协议、采样协议、访问控制列表等进行集成，采集各个来自各个模块的数据。这些来自各个模块的待发送数据大致包括接口信息、接口地址信息、路由信息，还包括采样数据。其中，待发送数据中含有域内源地址，域内源地址本身属于接口地址信息，但是路由信息和采样数据中也会有域内源地址的存在。但是域内源地址在各信息中设置的用途不相同。步骤S2、路由器基于预设置的传输协议，将待发送数据封装为传输协议对应的格式，得到封装数据。路由器在采集到各个模块的数据之后，将这些数据通过封装，转化为类型长度值(Type-Length-Value，简称TLV)格式的数据。TLV格式是指每一个域都由类型(Type)、长度(Length)和数据(Value)三元组组成，其中数据内又可由多个子TLV组成。这种层次化格式极其灵活，很方便进行扩展。由于本专利技术实施例所基于的CPF只是一个网络应用实例，实际需要的信息格式仅限于路由表、接口表等，但是由于众多的上层的网络应用程序可能需要不同的数据类型。基于此考虑，本专利技术实施例采用了易于扩展的TLV格式来实现软件定义网络(SoftwareDefinedNetwork，简称SDN)中OpenFlow协议的扩展。在此扩展中，本专利技术实施例定义了CPF所需要的本文档来自技高网...

【技术保护点】
1.一种软件定义网络的域内源地址的验证方法，其特征在于，包括：路由器采集待发送数据，所述待发送数据包括域内源地址；所述路由器基于预设置的传输协议，将待发送数据封装为所述传输协议对应的格式，得到封装数据；所述路由器基于所述传输协议，传输所述封装数据；网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送；上层的网络应用程序验证所接收到的数据中的域内源地址。

【技术特征摘要】
1.一种软件定义网络的域内源地址的验证方法，其特征在于，包括：路由器采集待发送数据，所述待发送数据包括域内源地址；所述路由器基于预设置的传输协议，将待发送数据封装为所述传输协议对应的格式，得到封装数据；所述路由器基于所述传输协议，传输所述封装数据；网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送；上层的网络应用程序验证所接收到的数据中的域内源地址。2.根据权利要求1所述的验证方法，其特征在于，所述待发送数据包括接口信息、接口地址信息、路由信息和采样数据。3.根据权利要求2所述的验证方法，其特征在于，所述域内源地址包含在所述接口地址信息、所述路由信息和所述采样数据中。4.根据权利要求3所述的验证方法，其特征在于，在网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程序推送之前，还包括：建立所述网络控制器与上层的网络应用程序之间的连接。5.根据权利要求4所述的验证方法，其特征在于，建立所述网络控制器与上层的网络应用程序之间的连接包括：上层的网络应用程序使用注册信息，通过所述网络控制器的接口向所述网络控制器申请注册推送信息服务；所述网络控制器接收到所述注册信息后，在本地注册推送信息服务。6.根据权利要求5所述的验证方法，其特征在于，网络控制器接收所述封装数据，解封并进行相应处理，将处理后的数据向上层的网络应用程...

【专利技术属性】
技术研发人员：毕军，张梦豪，李冠宇，高凯，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京,11