[发明专利]CoLoR架构下多种安全检验机制相结合的边界路由器

说明书

本发明公开了CoLoR架构下多种安全检验机制相结合的边界路由器，将网络域内与域间路由进行分离，域内分配本地路径标识，域间采用自治域号进行路径标识，同时在域间引入路径标识（PID），通过路由器内核协议栈，实现路由的数据包封装、解封、转发以及失效时的快速收敛。该类型边界路由器的功能主要体现在控制层与转发层两大部分。

技术领域

本发明属于网络边界路由器领域，具体涉及CoLoR架构下多种安全检验机制相结合的边界路由器。

背景技术

近年来，随着互联网的飞速发展，网络普及率不断提升，不同网络自治域间的数据传递离不开边界路由器。传统的边界路由器存在可扩展性、安全性以及移动性等方面的不足，已不能通过补丁的方式满足日益增长的网络需求。因此，研究设计一种新型的网络边界路由器是十分有必要的。本发明是CoLoR架构下多种安全检验机制相结合的边界路由器，其中CoLoR架构能够更好地兼容异构网络，允许使用不同协议与路由机制的自治域网络实现数据流通，采用PID校验与TOKEN校验相结合，并对边界路由器的缓存结构进行了优化设计，一方面提高了边界路由器的兼容性与功能性，另一方面更好地保障了网络安全与效率。

现有的边界路由器可分为三类。第一类是基于IP与状态信息的边界路由器，由于IP相关技术已经成熟，该边界路由器能很好地解决IP网络中路由的可扩展性，再加上路由体系中记录下的数据包状态信息(PIT)能有效定位数据包的沿途路径，网络安全性得到基本保障。第二类是基于布隆过滤体系结构的边界路由器，该路由器传递数据包中均包含LinkID进行哈希加密后的信息，通过LinkID加密信息验证数据有效性以及转发合理性。第三类是基于路径标识的多路径域间路由机制的边界路由器，可以实现基于路径标识PID的数据包传输，实现链路失效时的重新收敛，且不同网络自治域可以使用不同的路由体系与机制，该类边界路由器支持原路由与多路径连接，能很好地将不同网络接起来。

发明内容

解决的技术问题：针对上述现有路由器一般采用Pathlet Routing架构或者FII架构，若不附加一些安全防护设施的话，仍较容易遭遇DDOS攻击，而且现有路由器采用本地路径标识，自治域号、域间路径标识以及内核协议栈等实现路由数据包封装、解封以及转发，所以数据包的附加字段信息较多，但其缓存功能较弱，有时会由于数据包过载而发生缓存溢出问题，影响数据包的转发成功率等技术问题，为了解决这些问题，本发明提出了CoLoR架构下多种安全检验机制相结合的边界路由器，其核心思想是将网络域内与域间路由进行分离，域内分配本地路径标识，域间采用自治域号进行路径标识，同时在域间引入路径标识(PID)，通过路由器内核协议栈，实现路由的数据包封装、解封、转发以及失效时的快速收敛。该类型边界路由器的功能主要体现在控制层与转发层两大部分。

技术方案：

CoLoR架构下多种安全检验机制相结合的边界路由器，所述边界路由器采用的是CoLoR架构，由两大组成部分，分别是控制平面部分与数据平面部分，控制平面部分负责边界路由器中的密码、路由表项、校验以及缓存管理，数据平面部分负责协议转换以及数据包的接收发送；CoLoR数据包从网口进入边界路由器中，先根据域内协议对数据包进行解封装处理；再分析判定CoLoR数据包的具体类型，不同类型的数据包进入不同的处理流程；将网络域内与域间路由进行分离，域内分配本地路径标识，域间采用自治域号进行路径标识，同时在域间引入路径标识PID，通过路由器内核协议栈，实现路由的数据包封装、解封、转发以及失效时的快速收敛；CoLoR架构下多种安全检验机制相结合的边界路由器的功能包括控制层与转发层两大部分。

进一步的，所述控制层通过检查路径向量协议(BGP协议)中的AS_PATH属性避免形成环路，引入路径标识(PID)和下一路径标识(NEXT_PID)通告多条路径；其中，PID标识是源AS与目的AS间经过的所有AS号的哈希值。

进一步的，所述转发层为内核协议栈的网络层，传输的数据包头由传统数据包头、PID、AS以及Local Identifier构成。