一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法制造方法及圖紙

本發(fā)明專利技術(shù)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體的涉及一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法，裝置包括：虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由Openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。本發(fā)明專利技術(shù)具有感知動態(tài)調(diào)度路由協(xié)議執(zhí)行體的管理機制，可有效應(yīng)對針對路由漏洞和后門所發(fā)起的攻擊，且使得外來攻擊難以持續(xù)發(fā)起有效攻擊，有效的提高了網(wǎng)絡(luò)路由的安全性能；通過利用不同路由協(xié)議執(zhí)行體的異構(gòu)特性，使得網(wǎng)絡(luò)有效應(yīng)對漏洞與后門的威脅，能更好保證網(wǎng)絡(luò)運行的魯棒性、彈性和生存能力。

【技術(shù)實現(xiàn)步驟摘要】
一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法
本申請涉及網(wǎng)絡(luò)安全
，更具體地說，涉及一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法。
技術(shù)介紹
路由器在網(wǎng)絡(luò)數(shù)據(jù)分組交換中扮演著重要的角色，通過路由查找和數(shù)據(jù)轉(zhuǎn)發(fā)，實現(xiàn)端到端的互連互通。由于路由器的特殊地位，針對其漏洞和后門的攻擊會導(dǎo)致整個網(wǎng)絡(luò)運行異常甚至癱瘓。因此，路由器的安全防護(hù)成為網(wǎng)絡(luò)空間安全的重要內(nèi)容。近年來，路由器廠商因為漏洞和后門引發(fā)的安全事件層出不窮。如2016年6月，Netgear路由器存在能泄露登錄管理界面密碼的漏洞。而現(xiàn)有的路由保護(hù)機制一般為被動防御，在應(yīng)對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力，因此急需一種安全可靠的路由實現(xiàn)方法及裝置。
技術(shù)實現(xiàn)思路
本專利技術(shù)針對現(xiàn)有技術(shù)的路由保護(hù)機制存在一般為被動防御，在應(yīng)對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力等問題，提出一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置及方法。本專利技術(shù)的技術(shù)方案是：一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由Openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，虛擬層：包含n個路由平面，每個路由平面由多個VM組成，各個路由平面的VM之間通過OVS相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源；控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件；數(shù)據(jù)轉(zhuǎn)發(fā)層：由OpenFlow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述虛擬層的每個VM上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置VM，將路由轉(zhuǎn)發(fā)表轉(zhuǎn)換為流表。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述路由服務(wù)器：用于配置上層的虛擬環(huán)境，將底層交換機與上層的VM之間建立一一對應(yīng)關(guān)系，負(fù)責(zé)接收來自控制層的網(wǎng)絡(luò)事件，負(fù)責(zé)控制層與上層路由平面之間的信息交互，將底層拓?fù)渥兓畔⑥D(zhuǎn)發(fā)到相應(yīng)的VM上，將路由更新消息轉(zhuǎn)換為流表信息下發(fā)到控制層。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述感知器：實時監(jiān)測感知上層各路由平面的運行狀態(tài)并進(jìn)行異常監(jiān)測，并根據(jù)監(jiān)測結(jié)果修改路由協(xié)議執(zhí)行體的安全等級，若安全等級發(fā)生變化則將該變化信息通告給調(diào)度器。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度策略庫：包含多種調(diào)度策略供調(diào)度器選擇，如定時切換以及觸發(fā)式切換。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度器：依據(jù)設(shè)定的調(diào)度模式從調(diào)度策略庫中選擇相應(yīng)的調(diào)度策略，基于感知器的感知結(jié)果對上層路由平面進(jìn)行調(diào)度管理。一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，包括以下步驟：根據(jù)先驗知識初始化n個OSPF協(xié)議執(zhí)行體的安全等級；選定安全等級最高的OSPF協(xié)議執(zhí)行體的輸出作為流表更新源；根據(jù)感知器的檢測結(jié)果更新各個路由執(zhí)行體的安全等級，然后將感知信息轉(zhuǎn)發(fā)到調(diào)度器中；調(diào)度器根據(jù)感知結(jié)果，選擇相應(yīng)的策略，對路由協(xié)議執(zhí)行體進(jìn)行動態(tài)調(diào)度；根據(jù)調(diào)度結(jié)果更新流表并下發(fā)。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，所述初始化包括：控制層收集底層物理網(wǎng)絡(luò)的拓?fù)湫畔ⅲ宦酚煞?wù)器和VM上的路由代理協(xié)作完成VM與底層的交換機的一一對應(yīng)關(guān)系；隨機選擇某一路由平面的輸出作為流表更新源。本專利技術(shù)的有益效果是：本專利技術(shù)具有感知動態(tài)調(diào)度路由協(xié)議執(zhí)行體的管理機制，可有效應(yīng)對針對路由漏洞和后門所發(fā)起的攻擊，且使得外來攻擊難以持續(xù)發(fā)起有效攻擊，有效的提高了網(wǎng)絡(luò)路由的安全性能。本專利技術(shù)通過利用不同路由協(xié)議執(zhí)行體的異構(gòu)特性，綜合各自的安全優(yōu)勢，并結(jié)合感知動態(tài)的調(diào)度方法，使得網(wǎng)絡(luò)有效應(yīng)對漏洞與后門的威脅，能更好保證網(wǎng)絡(luò)運行的魯棒性、彈性和生存能力，從而提升了網(wǎng)絡(luò)路由的安全性能。附圖說明圖1為本專利技術(shù)的裝置布置示意圖；圖2為本專利技術(shù)的一種動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法流程圖；圖3為本專利技術(shù)的一種系統(tǒng)初始化流程圖；圖4為本專利技術(shù)的一種報文處理流程圖；圖中，1為虛擬層，2為調(diào)度管理層，3為控制層，4為數(shù)據(jù)轉(zhuǎn)發(fā)層。具體實施方式實施例1：結(jié)合圖1-圖4，一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由Openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，虛擬層：包含n個路由平面，每個路由平面由多個VM組成，各個路由平面的VM之間通過OVS相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；虛擬層的每個VM上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置VM，將路由轉(zhuǎn)發(fā)表轉(zhuǎn)換為流表。調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源。路由服務(wù)器：用于配置上層的虛擬環(huán)境，將底層交換機與上層的VM之間建立一一對應(yīng)關(guān)系，負(fù)責(zé)接收來自控制層的網(wǎng)絡(luò)事件，負(fù)責(zé)控制層與上層路由平面之間的信息交互，將底層拓?fù)渥兓畔⑥D(zhuǎn)發(fā)到相應(yīng)的VM上，將路由更新消息轉(zhuǎn)換為流表信息下發(fā)到控制層。感知器：實時監(jiān)測感知上層各路由平面的運行狀態(tài)并進(jìn)行異常監(jiān)測，并根據(jù)監(jiān)測結(jié)果修改路由協(xié)議執(zhí)行體的安全等級，若安全等級發(fā)生變化則將該變化信息通告給調(diào)度器。調(diào)度策略庫：包含多種調(diào)度策略供調(diào)度器選擇，如定時切換以及觸發(fā)式切換。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，所述調(diào)度器：依據(jù)設(shè)定的調(diào)度模式從調(diào)度策略庫中選擇相應(yīng)的調(diào)度策略，基于感知器的感知結(jié)果對上層路由平面進(jìn)行調(diào)度管理。控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件。數(shù)據(jù)轉(zhuǎn)發(fā)層：由OpenFlow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，包括以下步驟：步驟101：根據(jù)先驗知識初始化n個OSPF協(xié)議執(zhí)行體的安全等級；步驟102：選定安全等級最高的OSPF協(xié)議執(zhí)行體的輸出作為流表更新源；步驟103：根據(jù)感知器的檢測結(jié)果更新各個路由執(zhí)行體的安全等級，然后將感知信息轉(zhuǎn)發(fā)到調(diào)度器中；步驟104：調(diào)度器根據(jù)感知結(jié)果，選擇相應(yīng)的策略，對路由協(xié)議執(zhí)行體進(jìn)行動態(tài)調(diào)度；步驟105：根據(jù)調(diào)度結(jié)果更新流表并下發(fā)。所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)方法，所述初始化包括：步驟201：控制層收集底層物理網(wǎng)絡(luò)的拓?fù)湫畔ⅲ徊襟E202：路由服務(wù)器和VM上的路由代理協(xié)作完成VM與底層的交換機的一一對應(yīng)關(guān)系；步驟203：隨機選擇某一路由平面的輸出作為流表更新源本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】
一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，其特征在于：虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由Openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，虛擬層：包含n個路由平面，每個路由平面由多個VM組成，各個路由平面的VM之間通過OVS相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源；控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件；數(shù)據(jù)轉(zhuǎn)發(fā)層：由OpenFlow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。

【技術(shù)特征摘要】
1.一種基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，包括虛擬層、調(diào)度管理層、控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層，其特征在于：虛擬層負(fù)責(zé)路由計算生成路由轉(zhuǎn)發(fā)表，控制層通過應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能，調(diào)度管理層負(fù)責(zé)監(jiān)控虛擬層運行，并基于感知結(jié)果動態(tài)調(diào)度路由協(xié)議執(zhí)行體的輸出，數(shù)據(jù)轉(zhuǎn)發(fā)層由Openflow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)；其中，虛擬層：包含n個路由平面，每個路由平面由多個VM組成，各個路由平面的VM之間通過OVS相連組成虛擬網(wǎng)絡(luò)與底層物理網(wǎng)絡(luò)分別一一對應(yīng)；調(diào)度管理層：由路由服務(wù)器、調(diào)度器、感知器、調(diào)度策略庫四部分組成，負(fù)責(zé)監(jiān)控上層虛擬網(wǎng)絡(luò)運行狀態(tài)，并基于感知結(jié)果動態(tài)調(diào)度路由平面的路由輸出作為流表的更新源；控制層：提供網(wǎng)絡(luò)的可編程接口，通過編寫應(yīng)用程序完成控制和管理網(wǎng)絡(luò)的功能；收集底層物理拓?fù)浜徒粨Q機狀態(tài)信息并將該信息轉(zhuǎn)發(fā)到路由服務(wù)器；接收流表更新，過濾轉(zhuǎn)發(fā)到路由服務(wù)器的相關(guān)事件；數(shù)據(jù)轉(zhuǎn)發(fā)層：由OpenFlow交換機組成，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)。2.根據(jù)權(quán)利要求1所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，其特征在于：所述虛擬層的每個VM上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置VM，將路由轉(zhuǎn)發(fā)表轉(zhuǎn)換為流表。3.根據(jù)權(quán)利要求1所述的基于SDN的動態(tài)路由協(xié)議執(zhí)行體實現(xiàn)裝置，其特征在于：所述路由服務(wù)器：用于配置上層的虛擬環(huán)境，將底層交換機與上層的VM之間建立一一對應(yīng)關(guān)系，負(fù)責(zé)接收來自控制層的網(wǎng)絡(luò)事件，負(fù)責(zé)控制層與上層路由...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：陳鴻昶，艾健健，程國振，扈紅超，劉文彥，霍樹民，趙碩，李錦玲，
申請(專利權(quán))人：中國人民解放軍信息工程大學(xué)，
類型：發(fā)明
國別省市：河南,41