本发明专利技术公开了一种通信方法及装置,其中通信方法包括:网络设备接收SDN控制器下发的SID认证信息库;网络设备提取LSDB中的路由信息和设备标识;根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表;本发明专利技术通过在控制器侧实现SID认证信息的集中管理和下发,定义了认证信息所包含的字段和内容,并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。SID信息的合法性。SID信息的合法性。
【技术实现步骤摘要】
通信方法及装置
[0001]本专利技术涉及网络通信领域,特别涉及一种SR网络中通信方法及装置。
技术介绍
[0002]由于SID信息通过IGP协议的扩展进行泛洪和学习,因此SR域内的路由器节点会学习到SR域内所有节点产生的Prefix
‑
SID、Node
‑
SID和Adjacency
‑
SID。SR域中任何一个设备新接入了未授信的设备,并使能IGP for SR,会导致SR网络拓扑和Prefix
‑
SID、Node
‑
SID和Adjacency
‑
SID泄露给未授信的设备;此外,部分网络设备可能被攻击者攻破,或者存在后门,此时攻击者就可以收集到SR域内各节点生成的Prefix
‑
SID、Node
‑
SID和Adjacency
‑
SID。在SR域内网络中,如果SID信息被攻击者恶意使用,可以构造控制面的SID欺骗,导致业务流程异常甚至中断。
[0003]参照图1,在SR网络域中,各节点按照网络拓扑关系,通过IGP for SR实现控制面的协商和业务表项生成,某业务正常流量路径为1
‑2‑3‑
6;节点7作为SR域的未授信设备,或者节点7被攻击者管理面攻破、或者节点7存在恶意后门程序时,由于节点7和节点3之间存在IGP for SR的协议邻居,因此节点7可以获取整个SR网络域的拓扑信息以及各节点和链路的SID信息;节点7了解到节点3邻居节点6的SID为6,故意构造重复的SID信息6,通过IGP for SR的协议扩展,攻击节点7将Node
‑
SID 6通告给节点3;节点3接收到重复的Node
‑
SID 6,路径3
‑
6的metric等于50,而路径3
‑
7的metric等于20,进行择优排序时优选metric低的路径,因此Node
‑
SID 6生成的MPLS标签表的下一跳为设备7;此后经过设备3的SR MPLS数据包,当MPLS栈顶标签为对应Node
‑
SID 6的标签时,原来预计转发到节点6的流量,将被转发到节点7,流量路径变为1
‑2‑3‑
7,流量被恶意牵引,导致业务中断或被窃取信息。
[0004]上述场景描述的攻击节点,通过正常的IGP for SR扩展来通告路由前缀和SID信息,协议泛洪和协议选路层面完全符合协议的标准和规范,从单个节点看路由表项和MPLS表项等信息也完全正确;但是从整个SR网络域看,业务流量已经被影响,严重影响到了SR网络域内业务的安全。控制面IGP for SR协议的认证、加密,能保证两两节点之间协议通道的安全,防止协议信息被窃取,以及防止被攻击者伪造协议报文进行攻击;无法保证通过IGP for SR通告的SID信息是否合法和正确可信。
技术实现思路
[0005]为了解决上述问题,本专利技术提供一种能够解决SR域的未授信设备接入、设备管理面被攻破、存在恶意后门程序等情况下的安全问题,保证了SR域内通过IGP for SR扩散的信息是安全和可信的,提升分段路由功能的完整性的通信方法及装置。
[0006]为了实现上述目的,本专利技术一方面提供一种通信方法,应用于SR网络,包括:
[0007]网络设备接收SDN控制器下发的SID认证信息库;所述SID认证信息库包括注册的网络设备的SID值、路由前缀、以及设备标识;
[0008]网络设备提取LSDB中的路由信息和设备标识;
[0009]根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;
[0010]提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表。
[0011]作为优选的一种技术方案,所述SID认证信息库中的信息由网络管理者手工导入。
[0012]作为优选的一种技术方案,当SR网络运行的是OSPF协议时,使用Router ID作为设备标识;当SR网络运行的是ISIS协议时,使用System ID作为设备标识。
[0013]作为优选的一种技术方案,所述Router ID为32比特无符号整数。
[0014]作为优选的一种技术方案,所述System ID为48比特无符号整数。
[0015]作为优选的一种技术方案,当SID认证信息库的信息发生变更时,SDN控制器更新SID认证信息库,并将更新后的SID认证信息库下发给网络设备。
[0016]作为优选的一种技术方案,SDN控制器更新SID认证信息库,进一步包括:SDN控制器向网络设备发送RPC请求,同步SID认证信息,网络设备处理完后,给控制器发送回应消息。
[0017]作为优选的一种技术方案,SDN控制器在netconf协议下使用YANG模型对SID认证信息库更新。
[0018]另一方面,本专利技术还提供一种通信装置,应用于SR网络,包括:
[0019]接收单元,用于接收SDN控制器下发的SID认证信息库;所述SID认证信息库包括注册的网络设备的SID值、路由前缀、以及设备标识;
[0020]提取单元,用于提取LSDB中的路由信息和设备标识;
[0021]第一确定单元,用于根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;
[0022]第二确定单元,用于提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表。
[0023]本专利技术在不改变SDN网络架构的情况下,通过在控制器侧实现SID认证信息的集中管理和下发,定义了认证信息所包含的字段和内容,并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性,从网络设备的控制面保证了SID信息的安全性,防止控制面SID欺骗而导致的攻击。
附图说明
[0024]图1是现有技术中的数据流通示意图;
[0025]图2是本专利技术一实施例提供的一种通信方法的流程图;
[0026]图3是本专利技术一实施例提供的一实际场景下的网络架构图;
[0027]图4是本专利技术一实施例提供的一实际场景下的数据流通示意图;
[0028]图5是本专利技术一实施例提供的另一实际场景下的网络架构图;
[0029]图6是本专利技术一实施例提供的另一实际场景下的数据流通示意图;
[0030]图7是本专利技术一实施例提供的一种通信装置的结构图。
具体实施方式
[0031]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通信方法,应用于SR网络,其特征在于,包括:网络设备接收SDN控制器下发的SID认证信息库;所述SID认证信息库包括注册的网络设备的SID值、路由前缀、以及设备标识;网络设备提取LSDB中的路由信息和设备标识;根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表。2.根据权利要求1所述的通信方法,其特征在于:所述SID认证信息库中的信息由网络管理者手工导入。3.根据权利要求1所述的通信方法,其特征在于:当SR网络运行的是OSPF协议时,使用Router ID作为设备标识;当SR网络运行的是ISIS协议时,使用System ID作为设备标识。4.根据权利要求3所述的通信方法,其特征在于:所述Router ID为32比特无符号整数。5.根据权利要求3所述的通信方法,其特征在于:所述System ID为48比特无符号整数。6.根据权利要求1所述的通信方法,其特征在于:当SID认证信息库的信息发生变更时,SDN控制器更新SID认证信息库,并将更新后的SID认证信息库下发给网络设备。7.根据权利要求6所述的通信方法,其特征在于,SDN控制器更新SID认证信息库,进一步包括:SDN控制器向网络设备发送RPC请求,同步SID认证信息,网络设备处理完后,给控制器发送回应消息。8.根据权利...
【专利技术属性】
技术研发人员:唐寅,江逸茗,张进,马海龙,张凯,
申请(专利权)人:国家数字交换系统工程技术研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。