[发明专利]一种多模态网络控制-数据平面一致性校验方法及装置

说明书

本发明提供一种多模态网络控制‑数据平面一致性校验方法及装置。该方法包括在多模态网络控制平面中加载一致性校验组件，在多模态网络数据平面加载探针生成组件和日志采样组件；其中，探针生成组件向网络注入探测流量，使探测流量经数据平面完成转发；日志采样组件对经数据平面完成转发输出的探测流量进行采样、解析和整理，将整理结果发送至一致性校验组件；一致性校验组件将控制平面中的网络配置信息解析结果与日志采样组件生成的整理结果进行比对，以完成校验工作；其中，所述网络配置信息解析结果和日志采样组件生成的整理结果采用相同的文件格式。本发明可完成控制平面和数据平面的一致性校验，为多模态网络承载多种业务提供安全支撑。

技术领域

本发明涉及新型网络架构领域，尤其涉及一种多模态网络控制-数据平面一致性校验方法及装置。

背景技术

多模态智慧网络支持寻址路由、交换模式、互连方式、网元形态、传输协议等的全维度定义和多模态呈现，其数据层采用灵活可定义的方式，以提供对各模态业务的数据平面支撑。可定义的数据平面因其可编程能力与报文处理的灵活性，解决了网络体系结构中长期存在的协议支持固化、网络功能单一等诸多挑战，为设计新型数据平面功能提供了一种新的解决方案，在新型网络架构中得到了广泛部署。然而，可定义的数据平面为高效部署新型网络架构带来便利的同时，自身也存在着种种安全风险。

近年来，控制平面与数据平面一致性校验问题引起了业界关注，如何保证设计的新型网络结构下，数据平面对流量的处理过程符合控制平面配置的流规则要求，成为新型网络结构领域的研究热潮。但目前相关研究多聚焦于针对可编程程序的一致性校验，这种方式回避了数据平面处理数据流时实际可能出现的种种导致流规则不一致的安全漏洞，与运行时一致性校验相比过于粗粒度。实际上，这些静态的校验方法（通常基于对程序编译时的断言检查），没有任何的数据包输入，仅仅根据程序的逻辑进行判断，容易误报错误。运行时的不同输入可能触发未知的或异常的行为，比如对无效数据包头的处理。

发明内容

针对控制平面与数据平面在运行时可能出现的一致性安全隐患问题，本发明提供了一种多模态网络控制-数据平面一致性校验方法及装置，在多模态网络控制平面中引入一致性校验组件，用于分析比对控制器配置的流规则与数据平面探测结果；在多模态数据平面注入主动探针来探测并记录数据平面当前执行的流策略，进而与控制平面配置信息比对，完成一致性校验，为多模态网络承载多种业务提供安全支撑。

一方面，本发明提供一种多模态网络控制-数据平面一致性校验方法，在多模态网络控制平面中加载一致性校验组件，在多模态网络数据平面加载探针生成组件和日志采样组件，所述方法包括：

步骤1：探针生成组件向网络注入探测流量，使探测流量经数据平面完成转发；

步骤2：日志采样组件对经数据平面完成转发输出的探测流量进行采样、解析和整理，将整理结果发送至一致性校验组件；

步骤3：一致性校验组件将控制平面中的网络配置信息解析结果与日志采样组件生成的整理结果进行比对，以完成校验工作；其中，所述网络配置信息解析结果和日志采样组件生成的整理结果采用相同的文件格式。

进一步地，步骤1具体包括：

探针生成组件从数据平面获取数据包格式，然后生成一组符合数据包格式的短帧探针作为探测流量；其中，所述数据包格式是由控制平面的模态控制器下发至数据平面的。

进一步地，步骤2中，将整理结果发送至一致性校验组件之前，还包括：

日志采样组件对采样的所有短帧探针的整理结果采用统计学方法进行整合，形成一份用于指示数据平面流规则执行情况和状态信息的日志文件，将所述日志文件作为最终的整理结果。

进一步地，步骤2中的整理过程包括：

日志采样组件整理与关键流规则对应的关键字段值的变化信息，以及数据平面对与关键流规则对应的关键字段进行操作的记录信息，形成整理结果。