一种路由器的智能安全防护方法技术

本发明专利技术适用于数据通信领域，提供了一种路由器的智能安全防护方法，包括：在控制平面生成协议控制表、协议流量统计表和邻居关系表；在转发平面生成与协议控制表对应的转发控制表；在路由器中对对应的协议控制表与转发控制表进行同步和维护，协议控制表为协议数据报文的过滤规则表，转发平面根据该过滤规则对协议数据报文进行控制；协议流量控制表用于对控制平面收到协议数据报文后对报文对应的协议控制表中对应条目进行流量统计；邻居关系表用于记录控制平面确定的邻居是否可信。通过控制平面与转发平面的结合，控制平面设置转发平面的过滤规则表，转发平面根据该表对协议报文进行控制，保护易受攻击的控制平面。

【技术实现步骤摘要】
-种路由器的智能安全防护方法
本专利技术属于数据通信领域，尤其涉及。
技术介绍
传统路由协议需要将拓扑结构对外暴露，给各种攻击提供了便利，同时在网络设 备路由器上实现网络欺骗、攻击等造成的伤害，比基于应用层的安全伤害更大，同时隐蔽性 更强。网络设备中的路由器一般采用控制面和转发面分离的架构，这种架构比较灵活，但由 于控制面数据量相对较小，其CPU处理能力相对较弱，一旦受到攻击，会导致网络设备的异 常，进而造成整个网络的拥塞和不稳定。另外，利用网络层设备的标准网络协议，进行邻居 仿冒很容易，会导致网络拓扑的信息泄漏，同时标准格式的网络协议报文，容易受到攻击。 路由器业务，从逻辑上分为控制面和转发面： 控制面及其流量：所有由象路由协议或其他控制协议，这种用来动态创建并维护 网络的控制协议发送和接收的数据，称为控制面流量。如由〇SPF、BGP、VRRP、ARP这些协议 生成的流量。 转发面（数据面）及其流量：所有出于传输目的而需要底层网络的终端用户数据 都归类到转发面。这种流量只是简单地向目的地转发。典型的，网络上主机和服务器会发 送接收这种流量。如YouTube和Google之间的流量，及用户访问它们的流量。 路由器要想对收到的数据报文作出正确地转发决定，必须要有一张能实时反映网 络拓扑，甚至流量状况的路由表。控制平面通过路由协议，就是让路由器能够拥有一张这样 的路由表。路由器转发面和控制面相互配合，才能更好的完成转发任务。二者的关系如图 1所示。 从互联网安全方面考虑，互联网体系结构在设计之时假设网络成员都是可信的， 并未充分考虑网络成员不可信带来的安全威胁。互联网一个核心的安全问题是：路由设备 的路由协议在建立邻居关系时，并不对邻居的真实性进行任何验证。随着互联网越来越开 放，网络成员的可信性无法得到保证，而路由协议报文源的真实性难以验证，进而使得转发 平面的数据包转发至不可信的邻居。 另外，网络设备受到控制信息的攻击，不仅要消耗大量带宽，很容易造成网络拥 塞，而且会导致网络传输设备不能正常工作，并且导致网络不稳定。 综上，基于路由器自身的安全防护，解决对端可信、防欺骗和防攻击等问题，对于 保证整个网络的安全运行具有重要的作用，但是由于传统路由器的天然缺陷，使得路由器 支持安全路由方面显得力不从心。
技术实现思路
本专利技术实施例的目的在于提供，以解决现有路由 器技术不支持安全路由的问题。 本专利技术实施例是这样实现的，，所述方法包括以 下步骤： 本专利技术实施例提供的的有益效果包括：通过控制 平面与转发平面的结合，在路由器上实现可靠的安全防护，控制平面设置转发平面的过滤 规则表，转发平面根据该表对协议报文进行控制，以保护易受攻击的控制平面，同时控制平 面根据接收的协议报文，对邻居进行验证和判断，对转发平面下发可信的转发表项，避免路 由器将数据信息路由到不可信邻居上，造成数据的失窃。 路由协议安全防护过程中，基于源地址验证生成和维护各种安全防护表项；路由 器中协议启动时，通过安全防护表项实现路由协议的安全建立邻居关系；路由协议运行过 程中，通过安全防护表项中的会话机制，保证路由协议同步路由信息的快速传输；通过对源 端的检查，实现对路由协议邻居的防假冒验证；路由器在遭遇其他设备非法假冒时，通过免 费ARP信息进行更新，防止被假冒；路由协议运行过程中，遭遇协议报文攻击时，通过自动 调整安全防护表项中收发协议包的门限机制，智能动态防护；路由协议安全防护过程中，多 个协议实现的安全防护表项条目之间的优先级划分和管理，实现路由器的启动阶段、协议 邻居建立阶段、正常工作阶段、协议停止阶段和假冒时的防护。 【附图说明】 为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例或现有技术描述 中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些 实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些 附图获得其他的附图。 图1是本专利技术提供的路由器控制平面和转发平面交互图； 图2是为多个路由器互联的结构示意图； 图3是本专利技术实施例提供的路由器控制平面智能安全防护处理方法流程图； 图4是本专利技术实施例提供的路由器转发平面智能安全防护处理方法流程图； 图5是本专利技术实施例提供的路由器控制平面假冒防护处理的流程图； 图6是本专利技术实施例提供的路由器控制平面防攻击处理流程图。 【具体实施方式】 为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对 本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并 不用于限定本专利技术。 为了说明本专利技术所述的技术方案，下面通过具体实施例来进行说明。 本专利技术提供的，包括： 在控制平面生成协议控制表、协议流量统计表和邻居关系表；在转发平面生成与 协议控制表对应的转发控制表。 在路由器中对对应的协议控制表与转发控制表进行同步和维护，该协议控制表为 协议数据报文的过滤规则表，转发平面根据该过滤规则对协议数据报文进行控制。 协议流量控制表用于对控制平面收到协议数据报文后对该报文对应的协议控制 表中对应条目进行流量统计。 邻居关系表用于记录控制平面确定的邻居是否可信。 本专利技术提供的，通过控制平面与转发平面的结 合，在路由器上实现可靠的安全防护，控制平面设置转发平面的过滤规则表，转发平面根据 该表对协议报文进行控制，以保护易受攻击的控制平面，同时控制平面根据接收的协议报 文，对邻居进行验证和判断，对转发平面下发可信的转发表项，避免路由器将数据信息路由 到不可信邻居上，造成数据的失窃。 实施例一 在本专利技术实施例中，协议控制表与转发平面的转发控制表基本一致，控制平面对 转发平面的转发控制表进行维护并动态生成和删除，转发控制表主要用于在转发平面设置 指定协议报文及其动作，协议控制表主要用于查找和配置。 控制平面通过协议控制表实现安全防护规则的下发，转发平面在收到数据报文 后，首先匹配安全防护规则表，如果匹配成功，按照该过滤规则指定的操作进行处理，如果 匹配不成功，按照普通的数据进行转发。 协议控制表需要在路由器软件中作为所有协议的基本接口表，保存和设置相应条 目，同时下发到转发控制表，作为协议报文处理的依据。具体的，协议控制表表项包含的内 容以及相应大小如表一所示： 本文档来自技高网...

【技术保护点】
一种路由器的智能安全防护方法，其特征在于，所述方法包括：在控制平面生成协议控制表、协议流量统计表和邻居关系表；在转发平面生成与协议控制表对应的转发控制表；在路由器中对所述对应的协议控制表与转发控制表进行同步和维护，所述协议控制表为协议数据报文的过滤规则表，转发平面根据该过滤规则对所述协议数据报文进行控制；所述协议流量控制表用于对所述控制平面收到所述协议数据报文后对所述报文对应的协议控制表中对应条目进行流量统计；所述邻居关系表用于记录所述控制平面确定的邻居是否可信。

【技术特征摘要】
1. 一种路由器的智能安全防护方法，其特征在于，所述方法包括： 在控制平面生成协议控制表、协议流量统计表和邻居关系表；在转发平面生成与协议 控制表对应的转发控制表； 在路由器中对所述对应的协议控制表与转发控制表进行同步和维护，所述协议控制表 为协议数据报文的过滤规则表，转发平面根据该过滤规则对所述协议数据报文进行控制； 所述协议流量控制表用于对所述控制平面收到所述协议数据报文后对所述报文对应 的协议控制表中对应条目进行流量统计； 所述邻居关系表用于记录所述控制平面确定的邻居是否可信。2. 如权利要求1所述的方法，其特征在于，所述协议控制表的内容包括：索引、绑定接 口、目的IP、源IP、协议类型、源端口号、目的端口号、对端MAC、动作、限速值、优先级和生成 方式；所述转发控制表包括：索引、绑定接口、目的IP、源IP、协议类型、源端口号、目的端口 号、对端MAC、动作、限速值和优先级； 所述索引为与所述协议流量统计表进行关联的系列号； 所述绑定接口表示条目绑定的物理接口； 所述目的IP和所述源IP分别表示各类协议包的目的IP地址和各类协议对端邻居的 IP地址； 所述协议类型表示IPv4包头中的协议类型字段； 所述源端口号和目的端口号分别表示TCP或者UDP报文中TCP头或者UDP头中的源端 口号和目的端口号； 所述对端MAC表示收到的协议报文中发送端设备的MAC地址； 所述动作表示对满足匹配的报文采取的动作，包括：丢弃、限速送CPU和不限速送 CPU ； 所述限速值表示所述动作中需要限速送CPU的报文设置的速率值； 所述优先级表示条目在转发控制表中的优先级； 所述生成方式表示条目的生成方式； 所述协议控制表的生成方式包括：默认生成、手动配置、路由协议生成和检测到攻击时 自动生成； 所述默认生成为在路由器接口上，使能任何协议时，生成优先级最低的默认生成条目， 用于初始的协议包送至所述控制平面； 所述手动配置为在路由器网管中在所述协议控制表中添加静态条目； 所述路由协议生成为在路由协议相互协商建立邻居过程中，确定对端邻居是可信时， 动态生成一条包含对端IP地址和MAC地址的协议控制条目； 所述检测到攻击时自动生成为当路由器安全防护任务检测到其他设备发送非法的协 议报文，或者发送的协议报文异常时，或者在邻居可信检测失败时，生成拒绝接收所述邻居 的协议报文条目。3. 如权利要求1所述的方法，其特征在于，所述协议流量统计表的内容包括：索引、绑 定接口、协议种类、无效报文计数、无效报文速率、协议报文计数和协议报文速率； 所述索引表示与所述协议控制表进行关联的系列号； 所述绑定接口表示条目绑定的物理接口； 所述协议种类表示下发的协议种类； 所述无效报文计数和所述协议报文计数分别表示所述控制平面的协议收到无效的协 议报文和协议报文的次数； 所述无效报文平均速率和所述协议报文平均速率分别表示所述无效报文平均和所述 协议报文接收的速率； 所述无效报文速率=上一周期无效报文速率xo. 5+0. 5X无效报文计数/轮循周期； 所述协议报文速率=上一周期协议报文速率X〇. 5+0. 5X协议报文计数/轮循周期； 所述协议流量统计表的生成方式包括：在所述控制平面收到协议报文时，对相应的协 议控制表中对应条目进行的流量统计，及在判断受到了攻击时，动态生成安全防护条目进 行防护。4. 如权利要求1所述的方法，其特征在于，所述邻居关系表包含的内容包括：对端MAC、 对端IP地址、MAC验证标识、可信标志、验证次数和静默时间； 所述对端MAC表示收到协议报文发送端设备的MAC地址，与所述协议控制表中对端MAC 进行关联； 所述对端IP表示收到协议报文发送端设备的IP地址，与所述协议控制表中源IP进行 关联； 所述MAC验证标识表示对端MAC是否验证可信；...

【专利技术属性】
技术研发人员：汪学舜，余少华，朱国胜，戴锦友，
申请(专利权)人：武汉烽火网络有限责任公司，
类型：发明
国别省市：湖北;42