一种报文传输方法以及相关装置制造方法及图纸

本申请实施例公开了报文传输方法以及接入网关设备。本申请实施例可以应用于控制面和转发面分离的系统架构中，具体可以在接入网关设备上实现，方法包括：接入网关设备根据用户主机特征信息和变化的盐值或用户主机特征信息的比特位随机排序后的特征序列确定报文对应的CAR通道，这样同一个用户主机在不同时间段发送的报文可以进入不同的CAR通道进行传输，因此合法用户主机可以躲避非法用户主机的攻击完成建立会话的过程。攻击完成建立会话的过程。攻击完成建立会话的过程。

【技术实现步骤摘要】
一种报文传输方法以及相关装置


[0001]本申请实施例涉及网络互连协议
，尤其涉及一种报文传输方法以及相关装置。

技术介绍

[0002]接入网关设备(access gateway，AG)一般采用控制面和转发面分离的系统架构，其中，控制面的中央处理器(central processing unit，CPU)处理报文的能力较弱，一旦发生网络攻击，会导致CPU处理繁忙，造成整个网络不稳定。一般情况下，报文从转发面上送到控制面的过程中都会采取承诺访问速率(committed access rate，CAR)限速策略，保证上送CPU报文的流量在CPU处理能力范围内。
[0003]用户主机承诺访问速率(host committed access rate，host
‑
CAR)限速技术是一种防攻击技术，通过限制用户主机上送CPU报文的流量,将用户主机攻击的影响限制在较小范围内。上送CPU报文包括已建立会话的报文和未建立会话的报文，host
‑
CAR限速技术将已建立会话的报文和未建立会话的报文划分到不同的host
‑
CAR区域，对已建立会话的报文，利用已经在转发面生成的用户主机转发表项，对已建立会话的报文进行合法校验来防御非法用户主机的网络攻击。对于未建立会话的报文，由于用户主机还未进行合法性认证，所以无法区分合法用户主机和非法攻击用户主机，接入网关设备对未建立会话的报文不区分用户主机，进行整体CAR限速。接入网关设备根据固定的哈希算法将合法用户主机的未建立会话的报文和非法用户主机的未建立会话的攻击报文散列到不同的CAR通道，当报文的上送速率超过CAR通道限制的阈值，上送速率超出阈值的报文会被丢弃，以达到限制非法用户主机攻击范围的目的。
[0004]但是，当未建立会话的报文的host
‑
CAR区域内出现非法用户主机发送的大量未建立会话的攻击报文时，接入网关设备根据固定的哈希算法散列未建立会话的报文，会造成与非法用户主机的攻击报文散列在同一个CAR通道内的合法用户主机是固定的，非法用户主机的攻击报文的流量很大，流量小的合法用户主机的报文会被CAR限速丢弃，这会导致与非法用户主机的攻击报文散列在同一个CAR通道的合法用户主机发送的所有未建立会话的报文会被攻击报文挤占，合法用户主机发送的所有未建立会话的报文无法完成建立会话过程。

技术实现思路

[0005]本申请实施例提供了一种报文传输方法以及接入网关设备，能够使合法用户主机的报文躲避非法用户主机的攻击完成创建会话的过程。
[0006]本申请实施例第一方面提供了一种报文传输方法：
[0007]首先，接入网关设备获取同一个用户主机发送的第一报文和第二报文，第一报文和第二报文携带该用户主机的用户主机特征信息。第一报文和第二报文是该用户主机在不同时间段发送的报文，第二报文在第一报文之后发送。接入网关设备可以预先获取第一报
文和第二报文再对第一报文和第二报文分别进行传输的处理，也可以获取第一报文并传输第一报文后再获取第二报文并传输第二报文。当处于第一时间段时，接入网关设备可以通过预先确定的第一CAR通道传输第一报文，第一CAR通道是根据第一报文携带的用户主机特征信息和随机生成的第一盐值确定的。当处于第二时间段时，通过预先确定的第二CAR通道传输第二报文，第二CAR通道是根据第二报文携带的用户主机特征信息和随机生成的第二盐值确定的，第二盐值和第一盐值不同。
[0008]可见，将同一用户主机在不同时间段发送的第一报文和第二报文分别在第一CAR通道和第二CAR通道中传输，可以使合法用户主机发送的未建立会话的报文，进入不存在或存在较少由非法用户主机发送的攻击报文的CAR通道内，上送CPU完成建立会话的过程。
[0009]基于第一方面，本申请实施例还提供了第一方面的第一种实施方式：
[0010]接入网关设备提前预设了随机生成盐值的程序，由预设程序随机生成了第一盐值，接入网关设备提前确定了用于确定CAR通道的目标哈希函数，该目标哈希函数不会发生变化，基于该目标哈希函数，接入网关设备根据从第一报文中获取的用户主机特征信息和随机生成的第一盐值确定第一哈希值。第一CAR通道和第二CAR通道都有各自的标识用于区分，并且接入网关设备预先设置了哈希值和CAR通道标识的对应关系。接入网关设备可以根据第一哈希值，确定第一报文对应的第一CAR通道。
[0011]基于第一方面或第一方面第一种实施方式，本申请实施例还提供了第一方面的第二种实施方式：
[0012]接入网关设备根据预设的随机生成盐值的程序，随机生成了第二盐值，第二盐值与第一盐值不同。接入网关设备基于预先确定的目标哈希函数，根据从第二报文中获取的用户主机特征信息和随机生成的第二盐值确定第二哈希值。接入网关设备根据预先确定的哈希值和CAR通道的对应关系和第二哈希值，确定第二报文对应的第二CAR通道。
[0013]可见，本申请实施例根据用户主机特征信息和随机生成的盐值使同一用户主机发送的不同时间的报文进入不同的CAR通道内，由于盐值的字符串较长，随机性较高，可以极大地减小哈希值的重复几率，提高方案的可实现性。
[0014]基于第一方面、第一方面第一种实施方式至第二种实施方式中任一种，本申请实施例还提供了第一方面的第三种实施方式：
[0015]用户主机特征信息包括VLAN标签或MAC地址中的至少一项。
[0016]基于第一方面、第一方面第一种实施方式至第三种实施方式中任一种，本申请实施例还提供了第一方面的第四种实施方式：
[0017]第一报文为上送CPU报文，上送CPU报文为上线交互报文、在线探测报文或协议报文。
[0018]基于第一方面、第一方面第一种实施方式至第三种实施方式中任一种，本申请实施例还提供了第一方面的第四种实施方式：
[0019]第二报文为上送CPU报文，上送CPU报文为上线交互报文、在线探测报文或协议报文。
[0020]本申请实施例第二方面提供了一种报文传输方法：
[0021]接入网关设备获取同一个用户主机发送的第一报文和第二报文，第一报文和第二报文携带该用户主机的用户主机特征信息。第一报文和第二报文是该用户主机在不同时间
段发送的报文，第二报文在第一报文之后发送。接入网关设备可以预先获取第一报文和第二报文再对第一报文和第二报文分别进行传输的处理，也可以获取第一报文并传输第一报文后再获取第二报文传输第二报文。当处于第一时间段时，接入网关设备可以通过预先确定的第一CAR通道传输第一报文。第一CAR通道是接入网关设备根据第一特征序列确定的。接入网关设备预设了对比特位进行随机排序的程序，当处于第一时间段时，该随机排序程序对第一报文携带的用户主机特征信息中包含的至少两个比特位进行随机排序得到了第一特征序列，当处于第二时间段时，该随机排序程序对第二报文携带的用户主机特征信息中包含的至少两个比特位进行随机排序得到了第二特征序列，虽然第二特征序列与第一特本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文传输方法，其特征在于，包括：获取第一报文，其中，所述第一报文携带用户主机特征信息；获取第二报文，其中，所述第二报文携带所述用户主机特征信息；当处于第一时间段时，通过第一承诺访问速率CAR通道传输所述第一报文，其中，所述第一CAR通道为根据所述用户主机特征信息以及第一盐值确定的；当处于第二时间段时，通过第二CAR通道传输所述第二报文，其中，所述第二CAR通道为根据所述用户主机特征信息以及第二盐值确定的，且所述第二盐值与所述第一盐值为不同的盐值。2.根据权利要求1所述的报文传输方法，其特征在于，所述获取第一报文之后，所述通过第一CAR通道传输所述第一报文之前，所述方法还包括：随机生成第一盐值；基于目标哈希函数，根据所述用户主机特征信息和所述第一盐值确定第一哈希值；根据所述第一哈希值确定所述第一报文对应的所述第一CAR通道，所述第一CAR通道与所述第一哈希值具有对应关系。3.根据权利要求1至2中任一项所述的报文传输方法，其特征在于，所述获取第二报文之后，所述通过第二CAR通道传输所述第二报文之前，所述方法还包括：随机生成第二盐值；基于所述目标哈希函数，根据所述用户主机特征信息和所述第二盐值确定第二哈希值；根据所述第二哈希值确定所述第二报文对应的所述第二CAR通道，所述第二CAR通道与所述第二哈希值具有对应关系。4.根据权利要求1至2中任一项所述的报文传输方法，其特征在于，所述用户主机特征信息包括虚拟局域网VLAN标签以及媒体存取控制MAC地址中的至少一项。5.根据权利要求1至2中任一项所述的报文传输方法，其特征在于，所述第一报文为上送CPU报文；所述上送CPU报文为上线交互报文、在线探测报文或协议报文。6.根据权利要求1至2中任一项所述的报文传输方法，其特征在于，所述第二报文为上送CPU报文；所述上送CPU报文为上线交互报文、在线探测报文或协议报文。7.一种报文传输方法，其特征在于，包括：获取第一报文，其中，所述第一报文携带用户主机特征信息，所述用户主机特征信息包括至少两个比特位；获取第二报文，其中，所述第二报文携带所述用户主机特征信息；当处于第一时间段时，通过第一CAR通道传输所述第一报文，其中，所述第一CAR通道为根据第一特征序列确定的，所述第一特征序列为对所述用户主机特征信息中包含的至少两个比特位进行随机排序后得到的；当处于第二时间段时，通过第二CAR通道传输所述第二报文，其中，所述第二CAR通道为根据第二特征序列确定的，所述第二特征序列为对所述用户主机特征信息中包含的至少两个比特位进行随机排序后得到的。
8.根据权利要求7所述的报文传输方法，其特征在于，所述获取第一报文之后，所述通过第一CAR通道传输所述第一报文之前，所述方法还包括：对所述用户主机特征信息中包含的至少两个比特位进行随机排序得到所述第一特征序列；基于目标哈希函数，根据所述第一特征序列确定第一哈希值；根据所述第一哈希值确定所述第一报文对应的所述第一CAR通道，所述第一CAR通道与所述第一哈希值具有对应关系。9.根据权利要求7至8中任一项所述的报文传输方法，其特征在于，所述获取第二报文之后，所述通过第二CAR通道传输所述第二报文之前，所述方法还包括：对所述用户主机特征信息中包含的至少两个比特位进行随机排序得到所述第二特征序列；基于目标哈希函数，根据所述第二特征序列确定第二哈希值；根据所述第二哈希值确定所述第二报文对应的所述第二CAR通道，所述第二CAR通道与所述第二哈希值具有对应关系。10.根据权利要求7至8中任一项所述的报文传输方法，其特征在于，所述用户主机特征信息包括VLAN标签以及MAC地址中的至少一项。11.根据权利要求7至8中任一项所述的报文传输方法，其特征在于，...

【专利技术属性】
技术研发人员：李娟，何智峰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：