[发明专利]IS-IS路由协议异构功能等价体并行归一化装置及方法

摘要

本发明属于网络空间安全防护技术领域，具体的涉及一种IS‑IS路由协议异构功能等价体并行归一化装置及方法，装置内部有多个IS‑IS协议异构等价体并行运行，等价体的运行状态是不断动态随机的变化的，而对外部而言，始终只能看到一个设备在运行，无法发现内部的变化，在保证原有路由功能不变的条件下，充分利用动态性、多样性、随机性来隐藏等价体内部存在的各种漏洞和后门，在发现等价体异常后，可迅速进行切换使得原有攻击失去目标，使得攻击者很难建立起持续可靠的攻击链，极大的降低了系统被攻击成功的概率。通过进一步引入多模判决机制，对多执行体的输出结果进行多模判决输出，可有效防止路由篡改等攻击。通过上述手段，相较传统路由设备，本装置显著提高了在路由控制平面上的抗攻击能力。

主权项

1.一种IS‑IS路由协议异构功能等价体并行归一化方法，其特征在于：包括以下步骤：步骤一：协议代理器处理所有进出的IS‑IS协议报文，并对各个异构功能等价体和外部设备的协议交互过程进行干预处理，以实现并行归一化的目标；其中，所述协议代理器对各个异构功能等价体和外部设备的协议交互过程进行干预处理包括：所述协议代理器生成多个对外通讯的逻辑接口，对每个逻辑接口都生成一个管理副本，称为broker，broker管理本接口和外部的协议通讯过程，其中，每个逻辑接口都和所有等价体的一个固定接口组对应，broker作为对应等价体接口组代理对外呈现一个固定的虚拟MAC地址；步骤二：冗余控制器维护所有等价体的运行状态，完成worker和inspector的角色切换，并根据异常处理切换策略控制内部等价体角色切换；其中，worker指对外呈现的等价体，inspector指对外隐藏的等价体；步骤三：输出代理器对所有等价体路由输出经过进行多模判决输出，产生一致性的输出结果。