本发明专利技术给出一种在开放可编程路由器管理协议中可有效抵御来自重定向包拒绝服务攻击同时又可防护控制协议消息对重定向包产生阻塞的方法。本方法在转发器内将协议消息输入到两个通道:重定向包消息通道和转发器自己产生的控制协议消息通道,再被连接到一个协议消息调度器上。通过管理控制协议消息向该调度策略以及拒绝服务攻击和重定向包被阻塞的事件监测策略,使该调度器能够及时报告并有效抵御该类事件的发生。本发明专利技术可用于各种开放可编程结构的路由器管理控制协议中。
【技术实现步骤摘要】
一种开放可编程结构的路由器管理控制协议
本专利技术涉及数据交换和通信协议,更具体而言本专利技术涉及在开放可编程路由器中控制器和转发器间进行信息交换的方法。
技术介绍
随着网络技术的发展,对路由器的要求也越来越高,开放可编程结构的路由器由于其高度的灵活性和和优越的性能而得到了广泛研究。开放可编程路由器的典型结构如图1所示,该结构由两类模块组成:控制器和转发器,一个开放可编程路由器内有至少一个控制器,也可以再有多个冗余用的控制器,有可多达几百个的转发器,转发器和控制器间的信息交换通过使用开放可编程路由器管理控制协议完成,以实现控制器对转发器的管理和控制。控制器和转发器间的连接可以经由一跳网络如以太网也可以经由多跳网络如互联网实现。转发器中包含有对IP数据包进行处理和转发的各种资源如分类器、调度器、路由模块等,这些资源模块都是向控制器开放的,控制器可以通过管理控制协议实现对转发器中资源模块的管理和编程控制,以实现各种需要的路由器功能,如路由转发、QoS控制等。转发器内的结构如图2所示,协议伺服器完成协议解析、执行等任务。转发器内的资源被表示成具有各种不同逻辑功能的资源模块,典型的资源模块有分类器、米表、调度器、最长前缀IPv4或IPv6路由转发模块等。资源模块的功能和性能可以通过控制器经由开放可编程路由器管理控制协议进行管理和控制。管理控制方式是按照管理控制协议规定的协议数据单元(PDU)格式在控制器和转发器之间交换协议消息,包括:a.控制器向转发器发送用于转发器状态或资源能力查询的协议消息,转发器回送关于其状态或资源能力的应答协议消息;b.控制器向转发器发送用于转发器中资源的控制和管理的协议消息;c.控制器或转发器相互向对方发送报告事件的协议消息。图1所示的开放可编程结构路由器的安全问题是至关重要的问题。和传统路由器结构相比,开放可编程路由器需要考虑特殊的抵御拒绝服务(DoS)攻击的安全性要求。该DoS攻击来自于以下情况:在许多情况下,转发器需把来自于网络接口的IP数据包传送到控制器让控制器进行进一步处理,如路由协议使用的IP数据包以及一些SNMP网络管理命令使用的数据包等。这些被转发到控制器的数据包被称为重定向数据包或简称为重定向包,重定向包-->通常也是被封装成协议消息的形式发送给控制器的。恶意的攻击者可以试图通过伪装发送大量的重定向数据包到控制器,这就有可能使转发器和控制器间的通信通道被阻塞而瘫痪、进而使控制器和转发器间不能进行正常信息交流而使控制器失去对转发器的控制。这也就可能导致整个系统不能作一个路由器正常工作。抵御来自重定向包的DoS攻击是开放可编程结构路由器的管理控制协议需要解决的重要技术问题。图1所示的开放可编程结构路由器的另一个重要问题是系统的可靠性。和传统路由器结构相比,开放可编程路由器需要考虑一个特殊的可靠性要求。该可靠性要求来自于以下情况:如上所述,从转发器发送到控制器的信息包含两类:转发器自己产生的协议消息和重定向包消息。这两种消息是被混合在一起通过通信通道传到控制器。前述恶意攻击者可能试图通过发送大量重定向包进行DoS攻击,但另一方面,假如系统设计不当,也有可能产生转发器产生的控制协议消息由于在某些情况下数据量过大,进而阻塞重定向包通道,使之不能被及时发送到控制器,由于重定向包大多是关于系统的数据如路由协议使用的数据,它们具有实时的要求,所以阻塞重定向包通道也将导致开放可编程结构路由器系统工作不正常。目前关于实用的开放可编程路由器的研究主要在互联网工程任务组织IETF的ForCES(即Forwarding and Control Element Separation,转发器和控制器分离)工作组中进行。互联网协议RFC3654中规定了ForCES结构路由器的需求(Requirements),互联网协议RFC3746规定了ForCES结构路由器的框架(Framework)。IETF ForCES工作组正在制定关于转发器中各个资源模块的具体描述模型的“ForCES Forwarding Element(FE)Model”的协议草案。同时IETF ForCES工作组也正在制定用于ForCES结构路由器的管理控制协议即“ForCES协议规范”的互联网协议草案,该工作目前正在进行中。但到目前为止,“ForCES协议规范”还没有给出一种有效的和完整的抵御来自重定向包DoS攻击的方法,也没有给出防止重定向包被阻塞的任何方法。互联网上曾有关于开放可编程路由器抵御来自重定向包DoS攻击方法的讨论,但未见有关于防止重定向包被阻塞方法的讨论。抵御来自重定向包DoS攻击方法的讨论主要有以下一些方法观点:a.通过重定向包消息通道和控制协议消息通道在转发器和控制器间连接的传输协议层的通信通道上被分离的方法,例如使用TCP传输协议通道传输控制协议消息,而用UDP传输协议通道传输重定向包消息。但有实验结果证明这种分离并不能够抵御重定向包DoS攻击,因为UDP通道在被攻击时仍完全可能会阻塞掉TCP通道,除非这两个通道同时在物理层上也被分开,即转发器和控制器间的消息传输在物理层上使用两个通道,但这在开放可编程路由器的实现中是不可取的,有时也是不可能的,比如转发器和控制器间通过互联网连接-->的情况。b.通过使用转发器内诸如滤波等资源模块预先对重定向包进行处理,在DoS攻击发生时对发给控制器的重定向包进行抑制。该方法在DoS攻击发生时确实能够进行抵御,但存在一个重要的问题,即很难较好地判断何时发生了DoS攻击,因为该方法可以用来判断发生DoS攻击的信息只有重定向包自身的信息,而没有被攻击的控制协议消息通道的状况信息。该方法的另一个缺点是无法防止上述的控制协议消息反过来可能对重定向包消息的阻塞情况。除“ForCES协议规范”外,目前没有发现其它有关开放可编程结构路由器的管理控制协议的研究和专利。
技术实现思路
本专利技术针对现有技术存在的问题给出一种在开放可编程路由器管理协议中安全和可靠地进行控制器和转发器间协议消息交换的方法,该方法可以具体用来有效抵御来自重定向包DoS攻击同时又可以防护控制协议消息对重定向包产生阻塞。为实现上述目的采取的技术方案如下:一种开放可编程结构的路由器管理控制协议,它是一种用于开放可编程路由器中控制器和转发器间进行信息交换的方法,包括:a.控制器向转发器发送用于转发器状态或资源能力查询的协议消息,转发器回送关于其状态或资源能力的应答协议消息;b.控制器向转发器发送用于转发器中资源的控制和管理的协议消息;c.控制器或转发器相互向对方发送报告事件的协议消息。其特征在于包含以下的方法步骤:a.转发器发给控制器的协议消息在转发器内先被输入到两个通道:重定向包消息通道和转发器自己产生的控制协议消息通道,再被连接到转发器内的协议消息调度器上,经过调度器的调度,两类协议消息被放在一个信道上发送到控制器;b.控制器通过协议消息向转发器内的协议消息调度器设置调度策略;c.控制器通过协议消息向转发器内的协议消息调度器设置调度器对两个通道的协议消息及调度状态的监测策略;d.当调度器监测到监测策略设定的状态时,协议消息调度器向控制器发送该状态被满足的事件报告协议消息;e.控制器在接收到该事件报告协议消息后,向转发器本文档来自技高网...
【技术保护点】
一种开放可编程结构的路由器管理控制协议,它是一种用于开放可编程路由器中控制器和转发器间进行信息交换的方法,包括:a.控制器向转发器发送用于转发器状态或资源能力查询的协议消息,转发器回送关于其状态或资源能力的应答协议消息;b. 控制器向转发器发送用于转发器中资源的控制和管理的协议消息;c.控制器或转发器相互向对方发送报告事件的协议消息。其特征在于包含以下的方法步骤:a.转发器发给控制器的协议消息在转发器内先被输入到两个通道:重定向包消息通道 和转发器自己产生的控制协议消息通道,再被连接到转发器内的协议消息调度器上,经过调度器的调度,两类协议消息被放在一个信道上发送到控制器;b.控制器通过协议消息向转发器内的协议消息调度器设置调度策略;c.控制器通过协议消息向转发 器内的协议消息调度器设置调度器对两个通道的协议消息及调度状态的监测策略;d.当调度器监测到监测策略设定的状态时,协议消息调度器向控制器发送该状态被满足的事件报告协议消息;e.控制器在接收到该事件报告协议消息后,向转发器内的协 议消息调度器重新设置能够消除已出现状态的调度策略,进而达到有效抑制该状态出现的目的。...
【技术特征摘要】
1、一种开放可编程结构的路由器管理控制协议,它是一种用于开放可编程路由器中控制器和转发器间进行信息交换的方法,包括:a.控制器向转发器发送用于转发器状态或资源能力查询的协议消息,转发器回送关于其状态或资源能力的应答协议消息;b.控制器向转发器发送用于转发器中资源的控制和管理的协议消息;c.控制器或转发器相互向对方发送报告事件的协议消息。其特征在于包含以下的方法步骤:a.转发器发给控制器的协议消息在转发器内先被输入到两个通道:重定向包消息通道和转发器自己产生的控制协议消息通道,再被连接到转发器内的协议消息调度器上,经过调度器的调度,两类协议消息被放在一个信道上发送到控制器;b.控制器通过协议消息向转发器内的协议消息调度器设置调度策略;c.控制器通过协议消息向转发器内的协议消息调度器设置调度器对两个通道的协议消息及调度状态的监测策略;d.当调度器监测到监测策略设...
【专利技术属性】
技术研发人员:王伟明,董黎刚,王光明,
申请(专利权)人:浙江工商大学,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。