專利名稱:一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)交換和通信協(xié)議,更具體而言本發(fā)明涉及在開放可編程路由器中控制器和轉(zhuǎn)發(fā)器間進(jìn)行信息交換的方法�����。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�����,對路由器的要求也越來越高,開放可編程結(jié)構(gòu)的路由器由于其高度的靈活性和和優(yōu)越的性能而得到了廣泛研究����。開放可編程路由器的典型結(jié)構(gòu)如圖1所示,該結(jié)構(gòu)由兩類模塊組成控制器和轉(zhuǎn)發(fā)器��,一個(gè)開放可編程路由器內(nèi)有至少一個(gè)控制器�,也可以再有多個(gè)冗余用的控制器,有可多達(dá)幾百個(gè)的轉(zhuǎn)發(fā)器�����,轉(zhuǎn)發(fā)器和控制器間的信息交換通過使用開放可編程路由器管理控制協(xié)議完成�,以實(shí)現(xiàn)控制器對轉(zhuǎn)發(fā)器的管理和控制?����?刂破骱娃D(zhuǎn)發(fā)器間的連接可以經(jīng)由一跳網(wǎng)絡(luò)如以太網(wǎng)也可以經(jīng)由多跳網(wǎng)絡(luò)如互聯(lián)網(wǎng)實(shí)現(xiàn)���。轉(zhuǎn)發(fā)器中包含有對IP數(shù)據(jù)包進(jìn)行處理和轉(zhuǎn)發(fā)的各種資源如分類器����、調(diào)度器、路由模塊等�����,這些資源模塊都是向控制器開放的����,控制器可以通過管理控制協(xié)議實(shí)現(xiàn)對轉(zhuǎn)發(fā)器中資源模塊的管理和編程控制����,以實(shí)現(xiàn)各種需要的路由器功能,如路由轉(zhuǎn)發(fā)���、QoS控制等��。
轉(zhuǎn)發(fā)器內(nèi)的結(jié)構(gòu)如圖2所示�,協(xié)議伺服器完成協(xié)議解析����、執(zhí)行等任務(wù)。轉(zhuǎn)發(fā)器內(nèi)的資源被表示成具有各種不同邏輯功能的資源模塊�����,典型的資源模塊有分類器、米表��、調(diào)度器�����、最長前綴IPv4或IPv6路由轉(zhuǎn)發(fā)模塊等�����。資源模塊的功能和性能可以通過控制器經(jīng)由開放可編程路由器管理控制協(xié)議進(jìn)行管理和控制����。管理控制方式是按照管理控制協(xié)議規(guī)定的協(xié)議數(shù)據(jù)單元(PDU)格式在控制器和轉(zhuǎn)發(fā)器之間交換協(xié)議消息,包括a.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器狀態(tài)或資源能力查詢的協(xié)議消息����,轉(zhuǎn)發(fā)器回送關(guān)于其狀態(tài)或資源能力的應(yīng)答協(xié)議消息;b.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器中資源的控制和管理的協(xié)議消息�;c.控制器或轉(zhuǎn)發(fā)器相互向?qū)Ψ桨l(fā)送報(bào)告事件的協(xié)議消息。
圖1所示的開放可編程結(jié)構(gòu)路由器的安全問題是至關(guān)重要的問題���。和傳統(tǒng)路由器結(jié)構(gòu)相比�����,開放可編程路由器需要考慮特殊的抵御拒絕服務(wù)(DoS)攻擊的安全性要求��。該DoS攻擊來自于以下情況在許多情況下��,轉(zhuǎn)發(fā)器需把來自于網(wǎng)絡(luò)接口的IP數(shù)據(jù)包傳送到控制器讓控制器進(jìn)行進(jìn)一步處理��,如路由協(xié)議使用的IP數(shù)據(jù)包以及一些SNMP網(wǎng)絡(luò)管理命令使用的數(shù)據(jù)包等��。這些被轉(zhuǎn)發(fā)到控制器的數(shù)據(jù)包被稱為重定向數(shù)據(jù)包或簡稱為重定向包����,重定向包通常也是被封裝成協(xié)議消息的形式發(fā)送給控制器的��。惡意的攻擊者可以試圖通過偽裝發(fā)送大量的重定向數(shù)據(jù)包到控制器����,這就有可能使轉(zhuǎn)發(fā)器和控制器間的通信通道被阻塞而癱瘓、進(jìn)而使控制器和轉(zhuǎn)發(fā)器間不能進(jìn)行正常信息交流而使控制器失去對轉(zhuǎn)發(fā)器的控制�。這也就可能導(dǎo)致整個(gè)系統(tǒng)不能作一個(gè)路由器正常工作。抵御來自重定向包的DoS攻擊是開放可編程結(jié)構(gòu)路由器的管理控制協(xié)議需要解決的重要技術(shù)問題���。
圖1所示的開放可編程結(jié)構(gòu)路由器的另一個(gè)重要問題是系統(tǒng)的可靠性����。和傳統(tǒng)路由器結(jié)構(gòu)相比,開放可編程路由器需要考慮一個(gè)特殊的可靠性要求��。該可靠性要求來自于以下情況如上所述����,從轉(zhuǎn)發(fā)器發(fā)送到控制器的信息包含兩類轉(zhuǎn)發(fā)器自己產(chǎn)生的協(xié)議消息和重定向包消息。這兩種消息是被混合在一起通過通信通道傳到控制器��。前述惡意攻擊者可能試圖通過發(fā)送大量重定向包進(jìn)行DoS攻擊���,但另一方面����,假如系統(tǒng)設(shè)計(jì)不當(dāng)�����,也有可能產(chǎn)生轉(zhuǎn)發(fā)器產(chǎn)生的控制協(xié)議消息由于在某些情況下數(shù)據(jù)量過大���,進(jìn)而阻塞重定向包通道��,使之不能被及時(shí)發(fā)送到控制器���,由于重定向包大多是關(guān)于系統(tǒng)的數(shù)據(jù)如路由協(xié)議使用的數(shù)據(jù)���,它們具有實(shí)時(shí)的要求,所以阻塞重定向包通道也將導(dǎo)致開放可編程結(jié)構(gòu)路由器系統(tǒng)工作不正常���。
目前關(guān)于實(shí)用的開放可編程路由器的研究主要在互聯(lián)網(wǎng)工程任務(wù)組織IETF的ForCES(即Forwarding and Control Element Separation�����,轉(zhuǎn)發(fā)器和控制器分離)工作組中進(jìn)行�?�;ヂ?lián)網(wǎng)協(xié)議RFC3654中規(guī)定了ForCES結(jié)構(gòu)路由器的需求(Requirements)����,互聯(lián)網(wǎng)協(xié)議RFC3746規(guī)定了ForCES結(jié)構(gòu)路由器的框架(Framework)�。IETF ForCES工作組正在制定關(guān)于轉(zhuǎn)發(fā)器中各個(gè)資源模塊的具體描述模型的“ForCES Forwarding Element(FE)Model”的協(xié)議草案。同時(shí)IETF ForCES工作組也正在制定用于ForCES結(jié)構(gòu)路由器的管理控制協(xié)議即“ForCES協(xié)議規(guī)范”的互聯(lián)網(wǎng)協(xié)議草案���,該工作目前正在進(jìn)行中����。但到目前為止,“ForCES協(xié)議規(guī)范”還沒有給出一種有效的和完整的抵御來自重定向包DoS攻擊的方法���,也沒有給出防止重定向包被阻塞的任何方法�。
互聯(lián)網(wǎng)上曾有關(guān)于開放可編程路由器抵御來自重定向包DoS攻擊方法的討論�,但未見有關(guān)于防止重定向包被阻塞方法的討論。抵御來自重定向包DoS攻擊方法的討論主要有以下一些方法觀點(diǎn)a.通過重定向包消息通道和控制協(xié)議消息通道在轉(zhuǎn)發(fā)器和控制器間連接的傳輸協(xié)議層的通信通道上被分離的方法���,例如使用TCP傳輸協(xié)議通道傳輸控制協(xié)議消息�,而用UDP傳輸協(xié)議通道傳輸重定向包消息��。但有實(shí)驗(yàn)結(jié)果證明這種分離并不能夠抵御重定向包DoS攻擊�,因?yàn)閁DP通道在被攻擊時(shí)仍完全可能會(huì)阻塞掉TCP通道,除非這兩個(gè)通道同時(shí)在物理層上也被分開��,即轉(zhuǎn)發(fā)器和控制器間的消息傳輸在物理層上使用兩個(gè)通道��,但這在開放可編程路由器的實(shí)現(xiàn)中是不可取的�,有時(shí)也是不可能的,比如轉(zhuǎn)發(fā)器和控制器間通過互聯(lián)網(wǎng)連接的情況����。
b.通過使用轉(zhuǎn)發(fā)器內(nèi)諸如濾波等資源模塊預(yù)先對重定向包進(jìn)行處理,在DoS攻擊發(fā)生時(shí)對發(fā)給控制器的重定向包進(jìn)行抑制��。該方法在DoS攻擊發(fā)生時(shí)確實(shí)能夠進(jìn)行抵御,但存在一個(gè)重要的問題����,即很難較好地判斷何時(shí)發(fā)生了DoS攻擊,因?yàn)樵摲椒梢杂脕砼袛喟l(fā)生DoS攻擊的信息只有重定向包自身的信息�����,而沒有被攻擊的控制協(xié)議消息通道的狀況信息�。該方法的另一個(gè)缺點(diǎn)是無法防止上述的控制協(xié)議消息反過來可能對重定向包消息的阻塞情況。
除“ForCES協(xié)議規(guī)范”外����,目前沒有發(fā)現(xiàn)其它有關(guān)開放可編程結(jié)構(gòu)路由器的管理控制協(xié)議的研究和專利。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)存在的問題給出一種在開放可編程路由器管理協(xié)議中安全和可靠地進(jìn)行控制器和轉(zhuǎn)發(fā)器間協(xié)議消息交換的方法�,該方法可以具體用來有效抵御來自重定向包DoS攻擊同時(shí)又可以防護(hù)控制協(xié)議消息對重定向包產(chǎn)生阻塞。
為實(shí)現(xiàn)上述目的采取的技術(shù)方案如下一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議�����,它是一種用于開放可編程路由器中控制器和轉(zhuǎn)發(fā)器間進(jìn)行信息交換的方法����,包括a.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器狀態(tài)或資源能力查詢的協(xié)議消息��,轉(zhuǎn)發(fā)器回送關(guān)于其狀態(tài)或資源能力的應(yīng)答協(xié)議消息;b.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器中資源的控制和管理的協(xié)議消息�;c.控制器或轉(zhuǎn)發(fā)器相互向?qū)Ψ桨l(fā)送報(bào)告事件的協(xié)議消息。
其特征在于包含以下的方法步驟a.轉(zhuǎn)發(fā)器發(fā)給控制器的協(xié)議消息在轉(zhuǎn)發(fā)器內(nèi)先被輸入到兩個(gè)通道重定向包消息通道和轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息通道����,再被連接到轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器上,經(jīng)過調(diào)度器的調(diào)度����,兩類協(xié)議消息被放在一個(gè)信道上發(fā)送到控制器;b.控制器通過協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器設(shè)置調(diào)度策略����;c.控制器通過協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器設(shè)置調(diào)度器對兩個(gè)通道的協(xié)議消息及調(diào)度狀態(tài)的監(jiān)測策略;d.當(dāng)調(diào)度器監(jiān)測到監(jiān)測策略設(shè)定的狀態(tài)時(shí)����,協(xié)議消息調(diào)度器向控制器發(fā)送該狀態(tài)被滿足的事件報(bào)告協(xié)議消息;e.控制器在接收到該事件報(bào)告協(xié)議消息后����,向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器重新設(shè)置能夠消除已出現(xiàn)狀態(tài)的調(diào)度策略,進(jìn)而達(dá)到有效抑制該狀態(tài)出現(xiàn)的目的���。
其中的協(xié)議消息調(diào)度器工作在管理控制協(xié)議層�����,即所調(diào)度的信息是轉(zhuǎn)發(fā)器將發(fā)送到控制器的管理控制協(xié)議消息����;調(diào)度器的監(jiān)測策略包含監(jiān)測來自重定向包的拒絕服務(wù)攻擊的策略,使所述方法用于抵御來自重定向包的拒絕服務(wù)攻擊�����;調(diào)度器的監(jiān)測策略還包含監(jiān)測控制協(xié)議消息通道對重定向包消息通道阻塞的策略�,使所述方法用于防止控制協(xié)議消息通道對重定向包消息通道產(chǎn)生阻塞。
本發(fā)明的顯著優(yōu)點(diǎn)本發(fā)明的方法提供了開放可編程路由器結(jié)構(gòu)的管理控制協(xié)議中抵御來自重定向包拒絕服務(wù)攻擊的有效方法���,同時(shí)還提供了協(xié)議中防止轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息阻塞重定向包消息的方法�,可以很好地提高開放可編程路由器結(jié)構(gòu)的管理控制協(xié)議的安全性和可靠性�����。該方法經(jīng)過實(shí)驗(yàn)驗(yàn)證是切實(shí)有效的�,目前實(shí)現(xiàn)該方法相同目的的其它方法很少�����,與已知的網(wǎng)絡(luò)上有關(guān)討論提到的技術(shù)相比,本發(fā)明至少具有三個(gè)優(yōu)點(diǎn)一是本方法同時(shí)實(shí)現(xiàn)了抵御來拒絕服務(wù)攻擊和防止重定向包消息被阻塞的目的��,其中后者未見其它任何方法實(shí)現(xiàn)�;二是本方法不依賴于控制器和轉(zhuǎn)發(fā)器之間的傳輸協(xié)議類型和信息通道類型,所有任務(wù)都在協(xié)議消息層上完成�,也就是說,不管控制器和轉(zhuǎn)發(fā)器間在信息傳輸層采用何種協(xié)議���,本發(fā)明提供的方法都能達(dá)到以上兩個(gè)目的�。三是本發(fā)明的方法簡單靈活��、完整有效���,很容易被采用����,在已有的開放可編程路由器管理控制協(xié)議中經(jīng)過簡單擴(kuò)充即可實(shí)現(xiàn)�,有很好的應(yīng)用前景。
圖1是現(xiàn)有開放可編程路由器結(jié)構(gòu)示意2是轉(zhuǎn)發(fā)器結(jié)構(gòu)示意3是本發(fā)明協(xié)議伺服模塊內(nèi)結(jié)構(gòu)功能聯(lián)接示意4是本發(fā)明技術(shù)方案實(shí)施方式的流程5是協(xié)議消息的基本結(jié)構(gòu)6是“調(diào)度策略”協(xié)議消息的協(xié)議數(shù)據(jù)單元(PDU)格式7是“DoS攻擊監(jiān)測策略”協(xié)議消息的PDU格式8是“DoS攻擊事件”協(xié)議消息的PDU格式9是“重定向包通道阻塞監(jiān)測策略”協(xié)議消息的PDU格式10是“重定向包通道阻塞事件”協(xié)議消息的PDU格式圖具體實(shí)施方式
參照附圖進(jìn)一步說明實(shí)現(xiàn)一種在開放可編程路由器管理協(xié)議中有效抵御來自重定向包拒絕服務(wù)(DoS)攻擊的方法和防止控制協(xié)議消息反過來對重定向包產(chǎn)生阻塞的方法�,用以提高開放可編程路由器管理控制協(xié)議工作的安全性和可靠性。其實(shí)施方式如下�。
如圖2所示是轉(zhuǎn)發(fā)器的結(jié)構(gòu)模型,轉(zhuǎn)發(fā)器內(nèi)包括一個(gè)協(xié)議伺服器模塊,它是轉(zhuǎn)發(fā)器中的協(xié)議處理模塊�,其主要是完成協(xié)議消息接收、解析��、產(chǎn)生����、發(fā)送以及實(shí)現(xiàn)協(xié)議安全性和可靠性等功能;如圖3所示是轉(zhuǎn)發(fā)器內(nèi)協(xié)議伺服器模塊內(nèi)結(jié)構(gòu)功能聯(lián)接的模型示意圖�����。在該模型中�,由轉(zhuǎn)發(fā)器發(fā)往控制器的管理控制協(xié)議消息被分成兩類來自轉(zhuǎn)發(fā)器網(wǎng)絡(luò)接口的重定向包協(xié)議消息和轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息。這兩類協(xié)議消息被放入兩個(gè)信息通道重定向數(shù)據(jù)包被封裝成協(xié)議消息后放入重定向包協(xié)議消息通道��,轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息被放入控制協(xié)議消息通道�����。這兩個(gè)消息通道被分別連接到轉(zhuǎn)發(fā)器協(xié)議伺服器模塊內(nèi)的協(xié)議消息調(diào)度器上��。該協(xié)議消息調(diào)度器是工作在開放可編程路由器管理控制協(xié)議層���,也即它所調(diào)度的信息是該管理控制協(xié)議消息����。協(xié)議消息調(diào)度器按照由控制器設(shè)置的調(diào)度策略工作�,兩類協(xié)議消息在協(xié)議消息調(diào)度器內(nèi)按照該調(diào)度策略又被合并在一起并通過協(xié)議消息收發(fā)模塊被發(fā)送到控制器中。調(diào)度策略是把輸入的幾路消息流合并成一路消息流的方法�����?��?赡艿恼{(diào)度策略包括先來先服務(wù)(FCFS)���、輪轉(zhuǎn)調(diào)度(Round Robin,RR)��、基于優(yōu)先級調(diào)度(Priority-Based)的輪轉(zhuǎn)調(diào)度和基于速率控制(Limited-Rate-Based)的輪轉(zhuǎn)調(diào)度等���。協(xié)議消息調(diào)度器同時(shí)具有監(jiān)測協(xié)議消息以及統(tǒng)計(jì)協(xié)議消息調(diào)度狀況的功能�,通過控制器向該調(diào)度器發(fā)送有關(guān)監(jiān)測策略����,例如用于監(jiān)測來自重定向包的DoS攻擊的監(jiān)測策略和用于監(jiān)測重定向包消息通道被控制協(xié)議消息通道阻塞的監(jiān)測策略,該協(xié)議消息調(diào)度器就可以在監(jiān)測到這些狀態(tài)時(shí)向控制器發(fā)送相關(guān)的事件報(bào)告協(xié)議消息�,控制器在接收到該事件報(bào)告協(xié)議消息后�����,將向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器重新設(shè)置能夠消除已出現(xiàn)的狀態(tài)的調(diào)度策略��,進(jìn)而達(dá)到抑制該狀態(tài)出現(xiàn)的目的�����;圖4顯示了本發(fā)明技術(shù)方案實(shí)施方式的流程圖��。本發(fā)明技術(shù)方案被具體應(yīng)用于防御來自重定向包的DoS攻擊和防止控制協(xié)議消息通道阻塞重定向包消息通道的實(shí)施方式如下�。
防御來自重定向包DoS攻擊方法的實(shí)施方式a.控制器發(fā)送協(xié)議消息到轉(zhuǎn)發(fā)器以設(shè)置轉(zhuǎn)發(fā)器內(nèi)協(xié)議伺服器內(nèi)的協(xié)議消息調(diào)度器的調(diào)度策略�����。
b.控制器發(fā)送協(xié)議消息到轉(zhuǎn)發(fā)器以設(shè)置轉(zhuǎn)發(fā)器內(nèi)協(xié)議伺服器內(nèi)的協(xié)議消息調(diào)度器的DoS攻擊監(jiān)測策略���,DoS攻擊監(jiān)測策略是指什么狀態(tài)下調(diào)度器認(rèn)為產(chǎn)生了來自重定向包的DoS攻擊�����。監(jiān)測策略可以根據(jù)重定向包消息的流量上限或者“非法”重定向協(xié)議消息的特征等制定����。
c.當(dāng)調(diào)度器根據(jù)DoS檢測策略監(jiān)測到有DoS攻擊時(shí),將向控制器發(fā)送DoS攻擊事件的協(xié)議消息���。該事件協(xié)議消息中也可以同時(shí)包含有關(guān)DoS攻擊者的信息���,如攻擊者的IP地址等����。
d.控制器在收到DoS攻擊事件的協(xié)議消息后,使用協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器重新設(shè)置更合適的調(diào)度策略���,以有效抑制來自于重定向包消息通道的該DoS攻擊��。
防止轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息阻塞重定向包消息通道方法的實(shí)施方式a.控制器發(fā)送協(xié)議消息到轉(zhuǎn)發(fā)器以設(shè)置轉(zhuǎn)發(fā)器內(nèi)協(xié)議伺服器內(nèi)的協(xié)議消息調(diào)度器的調(diào)度策略��。
b.控制器發(fā)送協(xié)議消息到轉(zhuǎn)發(fā)器以設(shè)置轉(zhuǎn)發(fā)器內(nèi)協(xié)議消息調(diào)度器的用于監(jiān)測重定向包消息通道被阻塞的監(jiān)測策略�����,監(jiān)測策略可以根據(jù)重定向包消息的流量下限以及控制協(xié)議消息的流量上限等特征制定����。
c.當(dāng)調(diào)度器根據(jù)設(shè)置的監(jiān)測策略監(jiān)測到有重定向包消息通道被阻塞的情況發(fā)生時(shí)��,將向控制器發(fā)送報(bào)告該事件的協(xié)議消息。
d.控制器在收到該事件的協(xié)議消息后����,使用協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器重新設(shè)置更合適的調(diào)度策略,以消除重定向包消息通道被阻塞的情況���。
所述實(shí)施方式可以在正在制定的開放可編程路由器管理控制協(xié)議“ForCES協(xié)議規(guī)范”的基礎(chǔ)上更具體實(shí)現(xiàn)�����,也可以在其它開放可編程路由器管理控制協(xié)議中具體實(shí)現(xiàn)���,需要做的只是在這些協(xié)議已有的協(xié)議消息的基礎(chǔ)上擴(kuò)充定義幾個(gè)用于本發(fā)明方法的協(xié)議消息即可。
以實(shí)施本發(fā)明中抵御來自重定向包DoS攻擊方法和防止重定向包消息通道被轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息阻塞的方法為實(shí)施例說明如下�。
一條開放可編程路由器管理控制協(xié)議的協(xié)議消息的基本結(jié)構(gòu)如圖5所示,它由兩部分組成一個(gè)消息頭和一個(gè)緊跟的消息體���。消息頭中包含該消息的類型�����、消息長度���、消息發(fā)送者和消息接收者標(biāo)識號等信息�����。
實(shí)施本發(fā)明中抵御來自重定向包DoS攻擊的方法和防止重定向包消息通道被阻塞的方法需擴(kuò)充的相關(guān)協(xié)議消息有·“調(diào)度策略”協(xié)議消息���,由控制器發(fā)往轉(zhuǎn)發(fā)器用以設(shè)置協(xié)議消息調(diào)度器的調(diào)度策略;·“DoS攻擊監(jiān)測策略”協(xié)議消息�,由控制器發(fā)往轉(zhuǎn)發(fā)器,用以設(shè)置協(xié)議消息調(diào)度器中來自重定向包通道DoS攻擊的監(jiān)測策略�����;·“重定向包通道阻塞監(jiān)測策略”協(xié)議消息�����,由控制器發(fā)往轉(zhuǎn)發(fā)器�����,用以設(shè)置協(xié)議消息調(diào)度器中重定向包消息通道被控制協(xié)議消息阻塞的監(jiān)測策略�;·“DoS攻擊事件”協(xié)議消息��,由轉(zhuǎn)發(fā)器發(fā)往控制器����,用來報(bào)告來自重定向包消息通道的DoS攻擊事件的發(fā)生�;·“重定向包通道阻塞事件”協(xié)議消息���,由轉(zhuǎn)發(fā)器發(fā)往控制器��,用來報(bào)告重定向包協(xié)議消息被控制協(xié)議消息阻塞的事件的發(fā)生�。
圖6是“調(diào)度策略”協(xié)議消息的協(xié)議數(shù)據(jù)單元(PDU)格式的一個(gè)實(shí)施例�����。其中各個(gè)PDU的意義是調(diào)度策略類型=1先來先服務(wù)調(diào)度策略��,該策略無需設(shè)置策略屬性�����;=2輪轉(zhuǎn)調(diào)度策略���,無策略屬性�;=3基于優(yōu)先級的輪轉(zhuǎn)調(diào)度策略��,在優(yōu)先級屬性中設(shè)置優(yōu)先級;=4基于流速控制的輪轉(zhuǎn)調(diào)度策略���,在重定向包通道最大限制流速屬性和控制協(xié)議通道最大限制流速屬性中設(shè)置對兩個(gè)通道的流速限制�。
=5基于流速控制和優(yōu)先級的輪轉(zhuǎn)調(diào)度策略���,在優(yōu)先級屬性中設(shè)置優(yōu)先級�,在重定向包通道最大限制流速屬性和控制協(xié)議通道最大限制流速屬性中設(shè)置對兩個(gè)通道的流速限制����。
優(yōu)先級屬性=0無優(yōu)先級,=1控制協(xié)議消息通道高優(yōu)先級��,重定向包通道低優(yōu)先級=2控制協(xié)議消息通道低優(yōu)先級�����,重定向包通道高優(yōu)先級重定向包通道最大限制流速屬性=0到100中的整數(shù)值�,表示該通道最大限制的流速占調(diào)度器總的可用輸出通道流速的百分比值���。
控制協(xié)議通道最大限制流速屬性=0到100中的整數(shù)值��,表示該通道最大限制的流速占調(diào)度器總的可用輸出通道流速的百分比值��。
圖7是“DoS攻擊監(jiān)測策略”協(xié)議消息PDU格式的一個(gè)實(shí)施例��。在該實(shí)施例中���,使用監(jiān)測重定向數(shù)據(jù)包消息流速大于或等于一個(gè)設(shè)定流速的持續(xù)時(shí)間來判定是否發(fā)生了DoS攻擊���。
其中各個(gè)PDU的意義是監(jiān)測策略類型=0不監(jiān)測=1當(dāng)重定向包消息流速大于或等于設(shè)定的流速的持續(xù)時(shí)間超過設(shè)定的時(shí)間閥值時(shí),監(jiān)測的事件成立�,其中,監(jiān)測流速在監(jiān)測流速屬性中設(shè)定��,監(jiān)測時(shí)間閥值在監(jiān)測時(shí)間閥值屬性中設(shè)定���。
監(jiān)測流速屬性=0到100中的整數(shù)值�����,表示該監(jiān)測流速占調(diào)度器總的可用輸出通道流速的百分比值����。這里設(shè)定的流速不應(yīng)該超過“調(diào)度策略”中設(shè)定的最大限制流速���,否則將不能夠起到監(jiān)測作用�����。
監(jiān)測時(shí)間閥值屬性=以秒為單位的時(shí)間表示�����。
圖8是“DoS攻擊事件”協(xié)議消息PDU格式的一個(gè)實(shí)施例�。當(dāng)重定向包協(xié)議消息的流速狀況符合“DoS攻擊監(jiān)測策略”的設(shè)定條件時(shí),轉(zhuǎn)發(fā)器將向控制器發(fā)送該格式的“DoS攻擊事件”協(xié)議消息�。其中各個(gè)PDU的意義是攻擊信息類型所附的攻擊信息的信息類型=0沒有所附的攻擊信息=1所附的攻擊信息是攻擊者IP包頭=2所附的攻擊信息是攻擊者TCP包頭=3所附的攻擊信息是攻擊者UDP包頭消息長度=攻擊信息屬性長度+4,以字節(jié)數(shù)表示��。
攻擊信息屬性攻擊者信息���。
當(dāng)控制器接收到轉(zhuǎn)發(fā)器發(fā)送的“DoS攻擊事件”協(xié)議消息���,控制器可以重新設(shè)置調(diào)度策略來有效地抵御來自于重定向包協(xié)議消息的DoS攻擊。根據(jù)消息中的攻擊信息提供的IP包頭���、TCP包頭或UDP包頭等的內(nèi)容還可以進(jìn)一步在轉(zhuǎn)發(fā)器資源模塊層采取如直接濾除具有該信息特征的數(shù)據(jù)包等措施,以更有效地抑制來自于重定向包協(xié)議消息的DoS攻擊�����。
圖9是“重定向包通道阻塞監(jiān)測策略”協(xié)議消息PDU格式的一個(gè)實(shí)施例。其中各個(gè)PDU的意義是監(jiān)測策略類型=0不監(jiān)測=1當(dāng)控制消息通道流速大于或等于設(shè)定的流速的持續(xù)時(shí)間超過設(shè)定的時(shí)間閥值���,而且重定向包通道流速小于或等于設(shè)定的流速的持續(xù)時(shí)間超過設(shè)定的時(shí)間閥值時(shí)���,該監(jiān)測事件成立。其中����,監(jiān)測流速在各自的監(jiān)測流速屬性中設(shè)定,監(jiān)測時(shí)間閥值在各自的監(jiān)測時(shí)間閥值屬性中設(shè)定�����。
控制消息通道監(jiān)測流速屬性=0到100中的整數(shù)值����,表示該監(jiān)測流速占調(diào)度器總的可用輸出通道流速的百分比值。
控制消息通道監(jiān)測時(shí)間閥值屬性=以秒為單位的時(shí)間表示�。
重定向包通道監(jiān)測流速屬性=0到100中的整數(shù)值,表示該監(jiān)測流速占調(diào)度器總的可用輸出通道流速的百分比值��。
重定向包通道監(jiān)測時(shí)間閥值屬性=以秒為單位的時(shí)間表示�����。
圖10是“重定向包通道阻塞事件”協(xié)議消息的PDU格式的一個(gè)實(shí)施例。當(dāng)協(xié)議調(diào)度器中協(xié)議消息的流速狀況符合“重定向包通道阻塞監(jiān)測策略”設(shè)定的條件時(shí)�,轉(zhuǎn)發(fā)器將向控制器發(fā)送該格式的“重定向包通道阻塞事件”協(xié)議消息。該P(yáng)DU格式中��,只有一個(gè)空的32位數(shù)據(jù)�����,表示該事件沒有更多可以告知的信息�����。
當(dāng)控制器接收到轉(zhuǎn)發(fā)器發(fā)送的“重定向包通道阻塞事件”協(xié)議消息��,控制器可以重新設(shè)置調(diào)度策略來有效地防止重定向包通道被阻塞的情況�����,例如可以通過調(diào)整調(diào)度策略使重定向包具有與控制協(xié)議消息相同的調(diào)度優(yōu)先級的方法��,使重定向包能被更及時(shí)地調(diào)度發(fā)送到控制器�。
權(quán)利要求
1.一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議,它是一種用于開放可編程路由器中控制器和轉(zhuǎn)發(fā)器間進(jìn)行信息交換的方法��,包括a.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器狀態(tài)或資源能力查詢的協(xié)議消息����,轉(zhuǎn)發(fā)器回送關(guān)于其狀態(tài)或資源能力的應(yīng)答協(xié)議消息;b.控制器向轉(zhuǎn)發(fā)器發(fā)送用于轉(zhuǎn)發(fā)器中資源的控制和管理的協(xié)議消息���;c.控制器或轉(zhuǎn)發(fā)器相互向?qū)Ψ桨l(fā)送報(bào)告事件的協(xié)議消息����。其特征在于包含以下的方法步驟a.轉(zhuǎn)發(fā)器發(fā)給控制器的協(xié)議消息在轉(zhuǎn)發(fā)器內(nèi)先被輸入到兩個(gè)通道重定向包消息通道和轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息通道���,再被連接到轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器上�,經(jīng)過調(diào)度器的調(diào)度�����,兩類協(xié)議消息被放在一個(gè)信道上發(fā)送到控制器�;b.控制器通過協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器設(shè)置調(diào)度策略;c.控制器通過協(xié)議消息向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器設(shè)置調(diào)度器對兩個(gè)通道的協(xié)議消息及調(diào)度狀態(tài)的監(jiān)測策略�����;d.當(dāng)調(diào)度器監(jiān)測到監(jiān)測策略設(shè)定的狀態(tài)時(shí)��,協(xié)議消息調(diào)度器向控制器發(fā)送該狀態(tài)被滿足的事件報(bào)告協(xié)議消息����;e.控制器在接收到該事件報(bào)告協(xié)議消息后���,向轉(zhuǎn)發(fā)器內(nèi)的協(xié)議消息調(diào)度器重新設(shè)置能夠消除已出現(xiàn)狀態(tài)的調(diào)度策略,進(jìn)而達(dá)到有效抑制該狀態(tài)出現(xiàn)的目的�。
2.如權(quán)利要求1所述一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議,其特征在于其中的協(xié)議消息調(diào)度器工作在管理控制協(xié)議層����,即所調(diào)度的信息是轉(zhuǎn)發(fā)器將發(fā)送到控制器的管理控制協(xié)議消息。
3.如權(quán)利要求1所述一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議���,其特征還在于其中的調(diào)度器的監(jiān)測策略包含監(jiān)測來自重定向包的拒絕服務(wù)攻擊的策略��,使所述方法用于抵御來自重定向包的拒絕服務(wù)攻擊�。
4.如權(quán)利要求1所述一種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議����,其特征還在于其中的調(diào)度器的監(jiān)測策略包含監(jiān)測控制協(xié)議消息通道對重定向包消息通道阻塞的策略,使所述方法用于防止控制協(xié)議消息通道對重定向包消息通道產(chǎn)生阻塞���。
全文摘要
本發(fā)明給出一種在開放可編程路由器管理協(xié)議中可有效抵御來自重定向包拒絕服務(wù)攻擊同時(shí)又可防護(hù)控制協(xié)議消息對重定向包產(chǎn)生阻塞的方法���。本方法在轉(zhuǎn)發(fā)器內(nèi)將協(xié)議消息輸入到兩個(gè)通道重定向包消息通道和轉(zhuǎn)發(fā)器自己產(chǎn)生的控制協(xié)議消息通道��,再被連接到一個(gè)協(xié)議消息調(diào)度器上。通過管理控制協(xié)議消息向該調(diào)度策略以及拒絕服務(wù)攻擊和重定向包被阻塞的事件監(jiān)測策略��,使該調(diào)度器能夠及時(shí)報(bào)告并有效抵御該類事件的發(fā)生�。本發(fā)明可用于各種開放可編程結(jié)構(gòu)的路由器管理控制協(xié)議中。
文檔編號H04L12/56GK1588945SQ200410053909
公開日2005年3月2日 申請日期2004年8月18日 優(yōu)先權(quán)日2004年8月18日
發(fā)明者王偉明, 董黎剛, 王光明 申請人:浙江工商大學(xué)