本发明专利技术公开了一种路由器数据平面信息的验证方法,该验证方法包括以下步骤:对路由器的输入接口接收的数据包添加标记信息;根据摘要策略对数据包进行信息摘要,并将信息摘要存入输入接口的输入数据包摘要链表中;在数据包被转发之前,根据数据包的标记信息和信息摘要对数据包进行匹配,如果根据匹配结果判断输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及根据异常数据链表生成告警信息以进行提示。本发明专利技术的路由器数据平面信息的验证方法,可以保证路由器转发数据过程中输入、输出的一致性,方法简单。本发明专利技术还公开了一种路由器数据平面信息的验证装置和具有该验证装置的路由器。
【技术实现步骤摘要】
本专利技术属于网络通信
,尤其涉及一种路由器数据平面信息的验证方法和验证装置,以及具有该验证装置的路由器。
技术介绍
路由器是网络数据处理与传输的枢纽,保证路由器的数据安全对于构建安全可信网络至关重要。目前,各大路由交换设备厂商广泛采用模块化的开发方法,路由交换设备内部主要分为控制平面和数据平面,控制平面运行不同类型的路由协议,动态生成路由表,数据平面主要包括输入接口、交换结构和输出接口。数据平面对数据包进行高速转发,但通常不对其安全性进行验证,它所发送的报文可能既不是来自于上游路由交换设备,也非控制平面产生的控制报文。例如,控制平面的恶意构件将与该路由转发相关的敏感信息(如路由转发表项等),通过数据平面将报文发送至特定目的地,从而造成敏感信息泄露。因此,路由器功能模块由于设计缺陷或遭受攻击都可能导致数据处理异常。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本专利技术的一个目的在于提出一种路由器数据平面信息的验证方法,该验证方法可以保证路由器转发数据过程中输入、输出的一致性,方法简单。本专利技术的另一个目的在于提出一种路由器数据平面信息的验证装置和具有该验证装置的路由器。为达到上述目的,本专利技术一方面实施例提出一种路由器数据平面信息的验证方法,该验证方法包括以下步骤:对路由器的输入接口接收的数据包添加标记信息;根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及根据所述异常数据链表生成告警信息以进行提示。根据本专利技术实施例的路由器数据平面信息的验证方法,通过对路由器接口转发数据包进行信息摘要,并存入输入数据摘要链表,其中,主要的资源消耗来自输入数据包摘要链表的建立、存储和更新,所以只需占用很少的系统资源,方法简单,几乎不影响路由器性能,通过对即将转发出的数据包进行匹配验证,可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,在数据包异常时,进行告警提示,从而数据转发过程中异常行为可以及时发现。具体地,所述标记信息包括接口号标记信息和时间戳信息。所述信息摘要包括序列号、生存时间、所述时间戳、源IP和目的IP。另外,上述验证方法还包括:实时地对所述输入数据包摘要链表进行更新。进一步地,所述实时地对所述输入数据包摘要链表进行更新具体包括:当所述输入数据包正常被丢弃时,删除所述输入数据包摘要链表中所述输入数据包对应的节点;或者当所述数据包正常分片时,在所述数据包分片之前删除所述输入数据包摘要链表中所述数据包对应的节点,并将分片之后的新数据包的信息摘要存入所述输入数据包摘要链表中;或者当所述路由器的控制平面接收、使用并丢弃控制平面报文之后,删除所述输入数据包摘要链表中所述数据包对应的节点。进一步地,在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表,具体包括:根据所述数据包的所述接口号标记信息查找对应的输入数据包摘要链表;根据所述数据包的所述序列号、时间戳查找对应的输入数据包摘要链表中所述数据包对应的节点;判断节点信息是否与所述数据包的信息摘要匹配;如果完全匹配,则删除所述输入数据包摘要链表中所述数据包对应的节点;如果不匹配,则将所述数据包对应的节点存入非法转发数据链表。另外,上述验证方法还包括:根据所述数据包的所述生存时间判断所述数据包对应所述输入数据包摘要链表中的节点是否被有效删除;如果所述节点未被有效删除,则将所述数据包对应的节点存入非法丢弃数据链表。进一步地,根据所述异常数据链表生成告警信息以进行提示具体包括:判断所述非法转发数据链表或者所述非法丢弃数据链表中的链表信息是否大于预设阈值;如果是,则生成告警信息以进行提示。为达到上述目的,本专利技术另一方面实施例提出一种路由器数据平面信息的验证装置,该验证装置包括:标记模块,用于对路由器的输入接口接收的数据包添加标记信息;策略控制模块,用于根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;匹配模块,用于在所述数据包被转发之前根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,并在根据匹配结果判断所述输入数据包发生异常时,将发生异常的数据包的信息摘要存入异常数据链表;告警模块,用于根据所述异常数据链表生成告警信息以进行提示。根据本专利技术实施例的路由器数据平面信息的验证装置,通过策略控制模块对路由器接口转发数据包进行信息摘要,并存入输入数据摘要链表,其中,主要的资源消耗来自输入数据包摘要链表的建立、存储和更新,所以只需占用很少的系统资源,几乎不影响路由器性能,通过匹配模块对即将转发出的数据包进行匹配验证,可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,在数据包异常时,通过告警模块进行告警提示,从而数据转发过程中异常行为可以及时发现。另外,所述验证装置还包括更新模块,所述更新模块用于实时地对所述输入数据包摘要链表进行更新。为达到上述目的,本专利技术的再一方面实施例还提出一种路由器,该路由器包括上述方面实施例所述的数据平面信息的验证装置。根据本专利技术实施例的路由器,通过上述方面实施例的数据平面信息的验证装置可以保证数据输入和输出的一致性,保证数据包输入接口的可溯性和关键标识的真实性,数据转发过程中异常行为可以及时发现。【附图说明】图1是根据本专利技术的一个实施例的路由器数据平面信息的验证方法的流程图;图2是根据本专利技术的一个具体实施例的输入数据摘要链表中的节点的数据结构示意图;图3是根据本专利技术的一个具体实施例的路由器数据平面信息的验证方法的流程图;图4是根据本专利技术的另一个具体实施例的路由器数据平面信息的验证方法的实现过程的示意图;图5是根据本专利技术的一个实施例的路由器数据平面信息的验证装置的功能框图;图6是根据本专利技术的另一个实施例的路由器数据平面信息的验证装置的功能框图;图7是根据本专利技术的一个实施例的路由器的框图。【具体实施方式】下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种路由器数据平面信息的验证方法,其特征在于,包括以下步骤:对路由器的输入接口接收的数据包添加标记信息;根据摘要策略对所述数据包进行信息摘要,并将所述信息摘要存入所述输入接口的输入数据包摘要链表中;在所述数据包被转发之前,根据所述数据包的标记信息和信息摘要对所述数据包进行匹配,如果根据匹配结果判断所述输入数据包发生异常,则将发生异常的数据包的信息摘要存入异常数据链表;以及根据所述异常数据链表生成告警信息以进行提示。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐恪,孔庆春,沈蒙,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。