路由器及其数据平面信息的验证方法和验证装置

摘要

本发明公开了一种路由器数据平面信息的验证方法，该验证方法包括以下步骤：对路由器的输入接口接收的数据包添加标记信息；根据摘要策略对数据包进行信息摘要，并将信息摘要存入输入接口的输入数据包摘要链表中；在数据包被转发之前，根据数据包的标记信息和信息摘要对数据包进行匹配，如果根据匹配结果判断输入数据包发生异常，则将发生异常的数据包的信息摘要存入异常数据链表；以及根据异常数据链表生成告警信息以进行提示。本发明的路由器数据平面信息的验证方法，可以保证路由器转发数据过程中输入、输出的一致性，方法简单。本发明还公开了一种路由器数据平面信息的验证装置和具有该验证装置的路由器。

说明书

技术领域

本发明属于网络通信技术领域，尤其涉及一种路由器数据平面信息的验证方法和验证 装置，以及具有该验证装置的路由器。

背景技术

路由器是网络数据处理与传输的枢纽，保证路由器的数据安全对于构建安全可信网络 至关重要。目前，各大路由交换设备厂商广泛采用模块化的开发方法，路由交换设备内部 主要分为控制平面和数据平面，控制平面运行不同类型的路由协议，动态生成路由表，数 据平面主要包括输入接口、交换结构和输出接口。

数据平面对数据包进行高速转发，但通常不对其安全性进行验证，它所发送的报文可 能既不是来自于上游路由交换设备，也非控制平面产生的控制报文。例如，控制平面的恶 意构件将与该路由转发相关的敏感信息(如路由转发表项等)，通过数据平面将报文发送至 特定目的地，从而造成敏感信息泄露。因此，路由器功能模块由于设计缺陷或遭受攻击都 可能导致数据处理异常。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个 目的在于提出一种路由器数据平面信息的验证方法，该验证方法可以保证路由器转发数据 过程中输入、输出的一致性，方法简单。

本发明的另一个目的在于提出一种路由器数据平面信息的验证装置和具有该验证装置 的路由器。

为达到上述目的，本发明一方面实施例提出一种路由器数据平面信息的验证方法，该 验证方法包括以下步骤：对路由器的输入接口接收的数据包添加标记信息；根据摘要策略 对所述数据包进行信息摘要，并将所述信息摘要存入所述输入接口的输入数据包摘要链表 中；在所述数据包被转发之前，根据所述数据包的标记信息和信息摘要对所述数据包进行 匹配，如果根据匹配结果判断所述输入数据包发生异常，则将发生异常的数据包的信息摘 要存入异常数据链表；以及根据所述异常数据链表生成告警信息以进行提示。

根据本发明实施例的路由器数据平面信息的验证方法，通过对路由器接口转发数据包 进行信息摘要，并存入输入数据摘要链表，其中，主要的资源消耗来自输入数据包摘要链 表的建立、存储和更新，所以只需占用很少的系统资源，方法简单，几乎不影响路由器性 能，通过对即将转发出的数据包进行匹配验证，可以保证数据输入和输出的一致性，保证 数据包输入接口的可溯性和关键标识的真实性，在数据包异常时，进行告警提示，从而数 据转发过程中异常行为可以及时发现。

具体地，所述标记信息包括接口号标记信息和时间戳信息。所述信息摘要包括序列号、 生存时间、所述时间戳、源IP和目的IP。

另外，上述验证方法还包括：实时地对所述输入数据包摘要链表进行更新。

进一步地，所述实时地对所述输入数据包摘要链表进行更新具体包括：当所述输入数 据包正常被丢弃时，删除所述输入数据包摘要链表中所述输入数据包对应的节点；或者当 所述数据包正常分片时，在所述数据包分片之前删除所述输入数据包摘要链表中所述数据 包对应的节点，并将分片之后的新数据包的信息摘要存入所述输入数据包摘要链表中；或 者当所述路由器的控制平面接收、使用并丢弃控制平面报文之后，删除所述输入数据包摘 要链表中所述数据包对应的节点。

进一步地，在所述数据包被转发之前，根据所述数据包的标记信息和信息摘要对所述 数据包进行匹配，如果根据匹配结果判断所述输入数据包发生异常，则将发生异常的数据 包的信息摘要存入异常数据链表，具体包括：根据所述数据包的所述接口号标记信息查找 对应的输入数据包摘要链表；根据所述数据包的所述序列号、时间戳查找对应的输入数据 包摘要链表中所述数据包对应的节点；判断节点信息是否与所述数据包的信息摘要匹配； 如果完全匹配，则删除所述输入数据包摘要链表中所述数据包对应的节点；如果不匹配， 则将所述数据包对应的节点存入非法转发数据链表。

另外，上述验证方法还包括：根据所述数据包的所述生存时间判断所述数据包对应所 述输入数据包摘要链表中的节点是否被有效删除；如果所述节点未被有效删除，则将所述 数据包对应的节点存入非法丢弃数据链表。

进一步地，根据所述异常数据链表生成告警信息以进行提示具体包括：判断所述非法 转发数据链表或者所述非法丢弃数据链表中的链表信息是否大于预设阈值；如果是，则生 成告警信息以进行提示。

为达到上述目的，本发明另一方面实施例提出一种路由器数据平面信息的验证装置， 该验证装置包括：标记模块，用于对路由器的输入接口接收的数据包添加标记信息；策略 控制模块，用于根据摘要策略对所述数据包进行信息摘要，并将所述信息摘要存入所述输 入接口的输入数据包摘要链表中；匹配模块，用于在所述数据包被转发之前根据所述数据 包的标记信息和信息摘要对所述数据包进行匹配，并在根据匹配结果判断所述输入数据包 发生异常时，将发生异常的数据包的信息摘要存入异常数据链表；告警模块，用于根据所 述异常数据链表生成告警信息以进行提示。

根据本发明实施例的路由器数据平面信息的验证装置，通过策略控制模块对路由器接 口转发数据包进行信息摘要，并存入输入数据摘要链表，其中，主要的资源消耗来自输入 数据包摘要链表的建立、存储和更新，所以只需占用很少的系统资源，几乎不影响路由器 性能，通过匹配模块对即将转发出的数据包进行匹配验证，可以保证数据输入和输出的一 致性，保证数据包输入接口的可溯性和关键标识的真实性，在数据包异常时，通过告警模 块进行告警提示，从而数据转发过程中异常行为可以及时发现。

另外，所述验证装置还包括更新模块，所述更新模块用于实时地对所述输入数据包摘 要链表进行更新。

为达到上述目的，本发明的再一方面实施例还提出一种路由器，该路由器包括上述方 面实施例所述的数据平面信息的验证装置。

根据本发明实施例的路由器，通过上述方面实施例的数据平面信息的验证装置可以保 证数据输入和输出的一致性，保证数据包输入接口的可溯性和关键标识的真实性，数据转 发过程中异常行为可以及时发现。

附图说明

图1是根据本发明的一个实施例的路由器数据平面信息的验证方法的流程图；

图2是根据本发明的一个具体实施例的输入数据摘要链表中的节点的数据结构示意图；

图3是根据本发明的一个具体实施例的路由器数据平面信息的验证方法的流程图；

图4是根据本发明的另一个具体实施例的路由器数据平面信息的验证方法的实现过程 的示意图；

图5是根据本发明的一个实施例的路由器数据平面信息的验证装置的功能框图；

图6是根据本发明的另一个实施例的路由器数据平面信息的验证装置的功能框图；

图7是根据本发明的一个实施例的路由器的框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同 或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描 述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例的路由器数据平面信息的验证方法和验证装 置以及具有该验证装置的路由器。

首先对本发明实施例的路由器数据平面信息的验证方法进行说明。

图1为根据本发明的一个实施例的路由器数据平面信息的验证方法的流程图，如 图1所示，该验证方法包括以下步骤：

S1，对路由器的输入接口接收的数据包添加标记信息。

具体地，每个接口都对输入数据的IP数据包包头的选项部分添加标记信息，例如接口 号标记、时间戳两项数据，此两项数据在路由器的整个数据转发过程中是不可更改的，

S2，根据摘要策略对数据包进行信息摘要，并将信息摘要存入输入接口的输入数据包 摘要链表中。

需要说明的是，每个输入接口维护一张输入数据包摘要链表，网络管理员可以配置各 个接口的输入数据包摘要链表信息摘要策略。对于路由器所有流入的数据包，根据配置的 摘要策略对数据包进行信息摘要，数据包的信息摘要作为节点存入对应的输入数据包摘要 链表中，如图2所示，为输入数据包摘要链表中的节点的数据结构的示意图，输入数据包 摘要链表中的每个节点即数据包的信息摘要包括序列号、生存时间、时间戳、源IP和目的 IP五个基本元素，其中，序列号可以循环使用，最大值需要大于输入数据包摘要链表可能 的最大长度，时间戳通常是一个字符序列，唯一地标识某一刻的时间。生存时间为向上层 提供了一个接口，其它验证模块可以修改此标记来延长个别节点的生存时间，以执行更加 复杂、耗时的验证程序。

另外，数据包的标记信息是不能更改的，在路由器的出接口处，可以根据标记信息查 找输入数据包摘要链表的相应节点，对数据包的来源接口即输入接口进行验证。

S3，在数据包被转发之前，根据数据包的标记信息和信息摘要对数据包进行匹配，如 果根据匹配结果判断输入数据包发生异常，则将发生异常的数据包的信息摘要存入异常数 据链表。

具体地，对输入数据包添加标记信息以及根据摘要策略提取信息摘要，并将信息摘要 存入对应的输入数据摘要链表中，并对输出数据流量进行验证以保证输出时与输入时信息 一致。

在本发明的一个实施例中，根据数据包的标记信息和信息摘要对数据包进行匹配以验 证，具体地，根据数据包的接口号标记信息查找对应的输入数据包摘要链表，每个接口具 有对应的输入数据摘要链表，进而根据数据包的序列号、时间戳查找对应的输入数据包摘 要链表中数据包对应的节点，输入数据摘要链表中不同的节点对应不同的序列号和时间戳。 判断节点信息是否与数据包的信息摘要匹配，即判断存有的节点信息也就是数据包刚输入 时的信息摘要是否与当前对应的即将输出的数据包的信息摘要匹配，如果两者完全匹配， 则删除输入数据包摘要链表中数据包对应的节点；如果不匹配，则认为数据包异常，则将 数据包对应的节点存入非法转发数据链表。

另外，在本发明的另一个实施例中，可以根据输入数据包摘要链表的超时信息判断数 据包是否异常，具体地，根据数据包的信息摘要中的生存时间判断数据包对应输入数据包 摘要链表中的节点是否被有效删除；如果节点未被有效删除，则将数据包对应的节点存入 非法丢弃数据链表。输入数据包摘要链表中的每个节点具有一定的生存时间，超时即超过 生存时间的数据包未被及时删除，则说明发生了异常行为导致数据包被非法丢弃，此时应 将输入数据包摘要链表中的相应节点加入非法丢弃数据链表中。

总而言之，在数据包被发送出之前，对数据包进行验证，当与初始数据不完全匹配时， 则将异常的数据包存入异常数据链表中。

S4，根据异常数据链表生成告警信息以进行提示。

例如，根据非法丢弃数据链表和非法转发数据链表生成告警信息，具体地，可以对非 法丢弃数据链表信息和非法转发数据链表信息设置阈值，判断非法转发数据链表或者非法 丢弃数据链表中的链表信息是否大于预设阈值，例如判断异常数据链表中的节点数是否大 于预设个数，如果是，则生成告警信息以进行提示。例如当超出预设阈值时向上层提交， 并发送给指定的网络管理员，进而网络管理员可以根据接收到的信息更新信息摘要策略以 防止误警，或对路由器的功能模块进行安全检查。

可以看出，本发明实施例的验证方法，针对路由器转发过程中数据包可能被篡改的关 键信息进行摘要，保证了转发过程中输入、输出的一致性。同时充分考虑了该方法对路由 器的性能影响，尽可能简单地实现数据平面信息真实性的验证，降低了整个规范实施过程 中的资源消耗。此外，本发明提供了有效接口，可与其它验证方式配合完成更多验证功能， 总之，本发明实施例的路由器数据平面信息的验证方法，路由器数据平面的行为得到了规 范，保证了数据包输入接口的可溯性和关键标识的真实性，异常行为会被及时发现。

另外，在本发明的一个实施例中，还可以实时地对输入数据包摘要链表进行更新，例 如，对输入数据包摘要链表中的节点进行动态实时地增加和删除，具体地，可以根据数据 包的丢弃或者分片或者控制平面报文的接收、丢弃和新控制报文的生成更新数据包摘要链 表，下面将分别从几个实施例中说明。

实施例1，当输入数据包正常被丢弃时，删除输入数据包摘要链表中输入数据包对应的 节点。例如，一部分输入数据包因包头校验和错误、TTL(Time To Live)记数到0、包头 长度错误等正常原因被丢弃时，删除输入数据包摘要链表中该数据包对应的节点。

实施例2，当数据包正常分片即因正常原因需要分片时，在数据包分片之前删除输入数 据包摘要链表中数据包对应的节点，并将分片之后的新数据包的信息摘要存入输入数据包 摘要链表中。

实施例3，当路由器的控制平面接收、使用并丢弃控制平面报文之后，删除输入数据包 摘要链表中数据包对应的节点。具体地，控制平面接收、使用并丢弃某控制平面报文后删 除输入数据包摘要链表中对应节点。本地控制平面报文生成后，对数据包添加接口号标记、 时间戳，并对该数据包进行信息摘要，插入输入数据包摘要链表，其中接口号标记指定特 殊值，例如“本地”。其中，乐意理解的是，控制平面报文的接收和生成存在非法行为的可 能，因此对控制平面行为也需要进一步的规范，但是控制平面行为安全性不在本发明的讨 论范围之内。

作为具体实施例，如图3参照图4所示，路由器数据平面信息的验证方法的基本过程 包括以下步骤：

S30，配置数据包信息摘要策略。

S31，接收数据包并存入路由器缓存。

S32，为接收的数据包添加标记信息。

例如，添加接口号信息和时间戳信息。

S33，根据摘要策略采集数据包信息摘要。

如图4中的S1-Sn，并将摘要信息存入对应的输入数据摘要链表。

S34，更新输入数据摘要链表。

S35，判断数据包是否被正常丢弃。

如果是，则返回步骤S34，如果否，则进入步骤S36。

S36，判断数据包是否被分片。

如果是，则返回步骤S34，否则进入步骤S37。

S37，判断是否生成控制平面报文。

如果是，则返回步骤S34，否则进入步骤S38。

S38，对出流量信息摘要匹配。

S39，更新异常行为统计/告警。

根据上述对本发明的路由数据平面信息的验证方法的说明，下面以一个具体实施例对 验证过程进行详细说明。如图4所示，假设某数据包由接口S0进入路由器，最后经接口 S1输出，路由器通过上述验证方法对该数据包进行数据平面信息真实性检查，且接口S0 和S1不运行其它验证程序，故输入数据包摘要链表信息摘要策略均使用默认配置。

具体地，如图4所示，若数据包校验和计算正确，则为数据包包头的选项部分添加接 口号标记(S0)、时间戳两项数据。提取数据包的信息摘要，包括时间戳、源IP、目的IP 存入接口S0的输入数据包摘要链表中形成一个新节点，输入数据包摘要链表中的单个节点 的数据结构如图2所示。

在路由器正常的数据转发过程中，监听数据包行为，若数据包因包头数据出错等原因 被丢弃时，删除输入数据包摘要链表中该数据包对应的节点。若数据包被当前路由器分片， 则删除输入数据包摘要链表中该数据包对应的节点，提取分片产生的新数据包摘要信息， 加入到接口S0的输入数据包摘要链表中。检查该数据包是否为控制平面报文，如果是，则 删除输入数据包摘要链表中的对应节点，如果不是，经过路由表的查找，数据包将会被匹 配到某个出接口，本实施例中为接口S1。

进一步地，在数据包被转发出去之前，从数据包包头的选项部分的接口号标记中可知 该数据包来源为接口S0，进而到接口S0的输入数据包摘要链表中对该数据包的摘要信息 进行匹配，保证数据包未被恶意篡改，即可从本例的S1接口正常发出。如果发生了不匹配 的情况，则将输入数据摘要链表中的该节点信息加入非法转发数据链表。另外，如果输入 数据包摘要链表中任一节点不能在生存时间内被有效删除，则说明发生了非法丢弃，将相 应节点加入非法丢弃数据链表。

进而可以根据非法转发数据链表或者非法丢弃数据链表，将监听信息和告警信息发送 至路由器的其他功能模块，并向上层提交，阻止异常数据转发，并发送给指定的网络管理 员，进而更新摘要策略或者对路由器的功能模块进行安全检查。

概括地说，本发明实施例的路由器数据平面信息的验证方法，对数据平面信息进行摘 要和验证，保证了数据包输入接口的可溯性和关键标识的真实性。为每个接口维护一张输 入数据包摘要链表结构，并为异常信息建立非法丢弃、非法转发数据链表。每个接口都对 自己传入流量的IP数据包进行标记，添加接口号标记、时间戳。对于正常的转发、过滤 行为，实时对相应的输入数据包摘要链表进行更新。对于异常的转发、过滤行为，将相应 数据存入非法丢弃数据链表或非法转发数据链表。其中，主要的资源消耗来自输入数据包 摘要链表建立、存储和更新，但该链表每一节点仅需保存有限的数据包关键信息，并且有 限的路由器缓存容量决定了各接口对应链表的长度也是有限的，所以对路由器的性能影响 很小。

为实现上述实施例，本发明另一方面实施例提出一种路由器数据平面信息的验证装置。

图5为根据本发明的一个实施例的路由器数据平面信息的验证装置的功能框图，如图5 所示，该数据平面信息的验证装置100包括标记模块10、策略控制模块20、匹配模块30 和告警模块40。

其中，标记模块10用于对路由器的输入接口接收的数据包添加标记信息。策略控制模 块20用于根据摘要策略对数据包进行信息摘要，并将信息摘要存入输入接口的输入数据包 摘要链表中；匹配模块30用于在数据包被转发之前根据数据包的标记信息和信息摘要对数 据包进行匹配，并在根据匹配结果判断输入数据包发生异常时，将发生异常的数据包的信 息摘要存入异常数据链表；告警模块40用于根据异常数据链表生成告警信息以进行提示。

根据本发明实施例的路由器数据平面信息的验证装置100，通过策略控制模块20对路 由器接口转发数据包进行信息摘要，并存入输入数据摘要链表，其中，主要的资源消耗来 自输入数据包摘要链表的建立、存储和更新，所以只需占用很少的系统资源，几乎不影响 路由器性能，通过匹配模块30对即将转发出的数据包进行匹配验证，可以保证数据输入和 输出的一致性，保证数据包输入接口的可溯性和关键标识的真实性，在数据包异常时，通 过告警模块40进行告警提示，从而数据转发过程中异常行为可以及时发现。

另外，如图6所示，该验证装置100还包括更新模块50，更新模块50用于实时地对输 入数据包摘要链表进行更新。具体地，可以根据数据包的丢弃或者分片或者控制平面报文 的接收、丢弃和新控制报文的生成更新数据包摘要链表。

本发明的再一方面实施例还提出一种路由器。

如图7所示，本发明实施例的路由器1000包括上述方面实施例的数据平面信息的验证 装置100。

根据本发明实施例的路由器1000，通过上述方面实施例的数据平面信息的验证装置100 可以保证数据输入和输出的一致性，保证数据包输入接口的可溯性和关键标识的真实性， 数据转发过程中异常行为可以及时发现。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个 或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分， 并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序， 包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的 实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实 现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令 执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行 系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设 备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播 或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用 的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布 线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读 存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式 光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸 或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解 译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机 存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实 施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或 固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下 列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路 的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现 场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可 以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中， 该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各 个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既 可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以 软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读 取存储介质中。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示 例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者 特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述 不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以 在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领 域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进 行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的， 不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例 进行变化、修改、替换和变型。