网卡链路层组间路由安全级别审核方法及系统技术方案

本发明专利技术涉及网卡链路层组间路由安全级别审核方法及系统，包括如下所述网卡被配置为接收端时的监控安全级别处理步骤：解析发送端发来的报文的以太网帧的安全级别信息域，得到所述发送端的安全级别信息，所述安全级别信息包括组间安全级别和组内安全级别；将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较，判断所述发送端组间安全级别和组内安全级别是否符合安全要求；如果符合安全要求，判断所述报文为

【技术实现步骤摘要】
网卡链路层组间路由安全级别审核方法及系统


[0001]本专利技术属于网卡
，特别涉及一种网卡链路层组间路由安全级别审核方法及系统
。

技术介绍

[0002]局域网络（内网）被广泛用来连接个人计算机和消费类电子设备，使它们能够共享资源和交换信息，当局域网被用于公司时，它们就称为企业网络
。
现有内网的路由机制的实现是依靠硬路由或者软硬结合的软路由来实现的，路由协议包括距离矢量算法
RIP(Routing Information Protocol)
路由协议
V1V2
和
OSPF( Open Shortest Path First)
路由协议等
。
然而，现有内网路由机制对路由功能模块自身的并没有一个安全保护机制，虚假的路由更新信息可能被执行，这将易导致网络报文被路由到恶意目标主机或被丢弃掉；另外，内网的普通网络报文达到路由器后，被路由器路由后发往目标设备，这个过程缺乏智能的负载均衡优化处理和路由安全保护机制，既增加了路由器流量负荷又增加了报文被恶意路由到安全级别较高的设备或者是恶意目标设备的风险，因此，第一需要解决对路由更新协议报文（此处没有涉及到对普通报文的路由）的风险防控；第二需要解决对普通报文路由的安全防控和负载均衡实现机制
。

技术实现思路

[0003]为了解决本专利技术所提出的至少一个技术问题，本专利技术的第一方面提供了一种网卡链路层组间路由安全级别审核方法，该方法包括如下所述网卡被配置为接收端时的监控安全级别处理步骤：解析发送端发来的
RIP
报文（协议报文）的以太网帧的安全级别信息域，得到所述发送端的安全级别信息，所述安全级别信息包括组间安全级别和组内安全级别；将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较，判断所述发送端组间安全级别和组内安全级别是否符合安全要求；如果不符合安全要求，废弃所述发送端发来的所述报文，或者判断所述报文为普通报文并为所述普通报文确定目标路由器；如果符合安全要求，判断所述报文为
RIP
报文并为所述
RIP
报文移除以太网帧的安全级别信息域，再将移除了安全级别信息域的以太网帧上传给网络层协议栈
。
[0004]本专利技术的第二个方面提供了一种网卡链路层组间路由安全级别审核系统，所述网卡包括至少一个处理器；以及存储器，其存储有指令，当通过至少一个处理器来执行该指令时，实施按照前述的方法的步骤
。
[0005]本专利技术的有益效果在于，在网卡数据链路层对以太网帧提前实施路由安全级别审核，既提高了内网路由器自身抵抗攻击和欺骗的防御能力，也加强了网络报文路由的安全性和可靠性，实际测试中至少可以减少
90%
的路由器
RIP
攻击
。
附图说明
[0006]图1现有技术局域网拓扑图；图2包括安全路由网卡的局域网拓扑图；图3一些实施例的网卡被配置为接收端时的监控安全级别处理步骤流程图；图
4 一些实施例的网卡被配置为所述发送端时的追加安全级别处理步骤流程图；图5一些实施例的发送端网卡追加安全级别处理流程图；图6‑1一些实施例的接收端监控安全级别处理流程图1；图6‑2一些实施例的接收端监控安全级别处理流程图2；图7‑1一些实施例的动态加权轮询机制的详细过程图1；图7‑2一些实施例的动态加权轮询机制的详细过程图2；图8一些实施例的链路层组间路由安全级别审核系统示意图
。
具体实施方式
[0007]虽然本专利技术实施例阐述了许多细节，但应当理解，本专利技术公开的一些方面可在没有这些细节的情况下被实施
。
在其他情况下，未详细示出熟知的通讯协议
、
电路等技术，以免模糊对该描述的理解
。
[0008]术语解释：链路层为
OSI
模型的第二层，即数据链路层
。
[0009]网卡即网络适配器，属于数据链路层设备
。
[0010]协议栈（
Protocol stack
），又称协议堆叠，是计算机网络协议套件的一个具体的软件实现
。
[0011]组间 是指局域网内部门安全级别相同或不同的各个部门（组）的计算机设备之间通讯，以企业为例，比如研发部跟总经办之间就是安全级别相同的组间，再比如研发部跟生产部就是安全级别不同的组间
。
[0012]如图1所示，为已知的局域网的拓扑图，包括网络中心
、
若干组间路由器和组内路由器，以及若干配置了普通网卡的计算机设备，网络中心包括中心路由器，以企业内网为例，企业内网普通网络报文达到中心路由器后，被中心路由器路
、
组间路由器
、
组内路由器等路由后发往目标计算机设备
。
已知的内网的路由机制的实现是依靠硬路由或者软硬结合的软路由来实现的，本专利技术不做具体限定，路由协议包括距离矢量算法
RIP(Routing Information Protocol)
路由协议
V1V2
和
OSPF( Open Shortest Path First)
路由协议等
。
然而，现有内网路由机制对路由功能模块自身的并没有一个安全保护机制，虚假的路由更新信息可能被执行，这将易导致网络报文被路由到恶意目标主机或被丢弃掉
。
另外，内网的普通网络报文达到路由器后，被路由器路由后发往目标计算机设备，这个过程缺乏智能的负载均衡优化处理和路由安全保护机制，既增加了路由器流量负荷又增加了报文被恶意路由到安全级别较高的计算机设备或者是恶意目标计算机设备
。
[0013]本专利技术的构思在于提供了一种替代普通网卡的配置了链路层组间路由安全级别审核方法和系统的网卡（简称安全路由网卡），如图2所示，内网中的计算机设备被配置了安全路由网卡
。
[0014]下面通过具体实施例介绍链路层组间路由安全级别审核方法和系统
。
[0015]在一些实施例中，如图3所示，网卡链路层组间路由安全级别审核方法为，包括如下所述网卡被配置为接收端时的监控安全级别处理步骤：
S1
：解析发送端发来的
RIP
报文的以太网帧的安全级别信息域，得到所述发送端的安全级别信息，所述安全级别信息包括组间安全级别和组内安全级别；
S2
：将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较，判断所述发送端组间安全级别和组内安全级别是否符合安全要求；
S3
：如果不符合安全要求，废弃所述发送端发来的所述报文，或者判断所述报文为普通报文并为所述普通报文确定目标路由器；
S4
：如果符合安全要求，判断所述报文为
RIP
报文并为所述
RIP
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网卡链路层组间路由安全级别审核方法，其特征在于，该方法包括如下所述网卡被配置为接收端时的监控安全级别处理步骤：解析发送端发来的报文的以太网帧的安全级别信息域，得到所述发送端的安全级别信息，所述安全级别信息包括组间安全级别和组内安全级别；将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较，判断所述发送端组间安全级别和组内安全级别是否符合安全要求；如果不符合安全要求，废弃所述发送端发来的所述报文，或者判断所述报文为普通报文并为所述普通报文确定目标路由器；如果符合安全要求，判断所述报文为
RIP
报文并为所述
RIP
报文移除以太网帧的安全级别信息域，再将移除了安全级别信息域的以太网帧上传给网络层协议栈
。2.
如权利要求1所述的网卡链路层组间路由安全级别审核方法，其特征在于，该方法包括如下所述网卡被配置为所述发送端时的追加安全级别处理步骤：将安全级别信息标识追加到所述
RIP
报文的以太网帧得到具有安全级别信息域的以太网帧；所述安全级别信息标识包括组间安全级别标识和组内安全级别标识；将与所述具有安全级别信息域的以太网帧相应的所述
RIP
报文发送给所述接收端
。3.
如权利要求2所述的网卡链路层组间路由安全级别审核方法，其特征在于，所述发送端的所述安全级别信息标识还包括安全级别前导标识；所述接收端解析发送端发来的
RIP
报文的以太网帧的安全级别信息域，得到所述发送端的安全级别前导信息；比较所述发送端的安全级别前导信息与所述接收端的安全级别前导信息是否一致；如果一致，再将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较；如果不一致，废弃所述发送端发来的所述
RIP
报文
。4.
如权利要求3所述的网卡链路层组间路由安全级别审核方法，其特征在于，所述网卡配置有
MAC
地址与安全级别前导标识
、
组间安全级别和组内安全级别的对照表
。5.
如权利要求1～4任一项所述的网卡链路层组间路由安全级别审核方法，其特征在于，所述网卡被配置为网卡路由器，所述网卡路由器在局域网内实现组内路由和
/
或组间路由
。6.
如权利要求5所述的网卡链路层组间路由安全级别审核方法，其特征在于，所述接收端被配置为当前网卡路由器；所述路由安全级别包括组间安全级别和组内安全级别；将所述发送端的所述组间安全级别和所述组内安全级别与所述当前网卡路由器的所述路由安全级别比较，判断所述发送端组间安全级别和组内安全级别是否符合安全要求；如果所述发送端的所述组间安全级别和所述组内安全级别分别小于所述当前网卡路由器的所述组间安全级别和所述组内安全级别，则判断为不符合安全要求；如果所述发送端的所述组间安全级别和所述组内安全级别分别大于或等于所述当前网卡路由器的所述组间安全级别和所述组内安全级别，则判断为符合安全要求
。7.
如权利要求6所述的网卡链路层组间路由安全级别审核方法，其特征在于，为所述发送端发来的所述普通报文确定目标路由器的算法为加权轮询算法，所述加权轮询算法包括如下步骤：
加载
N
台所述路由器信息
S
，
S={S0,S1,S2,
…
,S
n
‑1}
，其中，
S0表示内网中的第1台网卡路由器
、S1表示内网中的第2台网卡路由器
、S2表示内网中的第3台网卡路由器
、S
n
‑1表示内网中的第
n
台网卡路由器；加载
N
台所述网卡路由器的默认权重
W
；
W ={W0,W1,W2,
…
,W
n
‑1}
，其中，
W0表示内网中的第1台网卡路由器的默认权重
、W1表示内网中的第2台网卡路由器的默认权重
、W2表示内网中的第3台网卡路由器的...

【专利技术属性】
技术研发人员：请求不公布姓名，
申请(专利权)人：北京光润通科技发展有限公司，
类型：发明
国别省市：