状态发生改变时,自行更新并计算出到达所述出口路由器的新的最优的传输路径。
[0042]本发明实施例1除了可以基于OSPF协议实现外,还可以是基于中间系统到中间系统(Intermediate system to intermediate system,简写为:ISIS)协议实现,其中和本实施例方法相关的内容与OSPF协议类似,在此不一一赘述。
[0043]本发明实施例1除了可以基于OSPF协议或ISIS协议实现外,还可以基于距离向量路由协议来实现,具体的,在距离向量路由协议中仅存在有一个网络列表,其中列出了通往各个网络的路径权值(也称为:开销或者距离)和下一跳路由器(也称为:方向),则所述传输路径上各路由器在获取到所述网络列表后,即会按照所述网络列表中的路由器的链路关系传递数据报文。
[0044]本发明实施例通过在现有路由协议的数据报文中增设源前缀的方式,结合路由网络中针对各个路由器设置的安全权值,并将所述安全权值纳入传输路径的计算,从而权衡了最短传输路径和传输路径安全性双项指标,提高了现有的路由网络中数据包的传输安全性。
[0045]为了进一步的阐述本实施例1中,如何实现所述根据所述路径权值和安全权值计算出综合权值最小的传输路径,在一种可行的方案中,如图2所示,具体由以下步骤实现:
[0046]在步骤301中,依据路由器中记录的邻居路由器信息,建立路径二叉树,所述路径二叉树中节点间的距离由所述路径权值表示。
[0047]如图3所示,是根据一种简单路由网络(图3中的I部分)生成的路径二叉树(图3中的II部分)的示意图。其中,I部分中各路由器节点之间的数值为它们之间的路径权值。其中,由于篇幅的问题,该二叉树仅仅列出了比较典型的几条树枝和相应的叶节点。
[0048]在步骤302中,根据所述路径二叉树,计算从入口路由器到出口路由器的一条或者多条传输路径的路径距离。
[0049]以图3所示,其中由路由器a到达路由器e的传输路径可以是a_h-g-f-e,也可以是a-b-c-d-e,还可以是a-h-g-f-d_e等等,通过计算可以结算完成所有可能的传输路径的路径距离,例如:a-h-g-f-e的路径距离为4+8+1+2+10 = 25。
[0050]在步骤303中,获取在相应传输路径上的路由器的安全权值,将所述安全权值累加到对应传输路径的路径距离,得到该传输路径的综合权值。
[0051]以图3所示,假设a-g的安全权值为1,h-1的安全权值为4,并且对应安全权值越大表明路由器的安全性能越差,则在使用最简单的累加求和方式中,传输路径a-h-g-f-e的综合权值=25+4+1+1 = 31 (计算时去掉了入口路由器的安全权值和出口路由器的安全权值),依此类推可以计算得到其它传输路径的综合权值。
[0052]其中,所述将所述安全权值累加到对应传输路径的路径距离,可以是上述例子列举的简单的累加,也可以是根据路径距离和路径安全性的侧重的不同,基于侧重因子的调整,完成所述累加过程,即侧重因子* (路由器I的安全权值+路由器2的安全权值+...+路由器η的安全权值),所述侧重因子可以是由操作人员制定。
[0053]在步骤304中,比较各传输路径的综合权值得到对应最小的传输路径。
[0054]在以图3为例的简单实例中,可以计算得到各传输路径的综合权值最优的,即综合权值最小的传输路径为a-h-g-f-e。
[0055]在基于OSPF协议实现的具体实现方式中,所述步骤301-步骤304的实现,可以是基于现有的最短路径优先(Shortest Path First,简写为:SPF)算法实现,所述SPF算法中仅考虑了所述路径距离一个因素,而通过所述步骤301-步骤304公开的内容的基础上,本领域技术人员能够很容易的建安全权值因素添加到所述SPF算法中,因此,在此不做一一赘述。
[0056]作为本实施例方案的补充,对于所述通过所述传输路径传递所述数据报文,在一种具体实现方式中,针对传输路径上的路由器,在接收到所述数据报文时的处理方法,如图4所示,具体包括以下步骤:
[0057]在步骤401中,接收所述数据报文。
[0058]在步骤402中,获取所述数据报文中携带的源前缀和目的前缀。
[0059]在步骤403中,匹配所述目的前缀和源前缀,以便确认对应所述目的前缀和源前缀的传输路径。
[0060]在可选的方案中,步骤403也可以执行为:匹配所述目的前缀,以便确认对应所述目的前缀的传输路径。
[0061]在基于OSPF协议的实现方式中,所述确认对应所述目的前缀和源前缀的传输路径,具体的是通过重新计算以自身作为二叉树的根节点,重新计算出到达该出口路由器的最优传输路径。该方式可以参考步骤302中具体实现方式,在此不再赘述。
[0062]在步骤404中,校验所述源前缀的安全性,校验通过时向所述传输路径中自身的下游路由器转发所述数据报文。
[0063]其中,所述下游路由器为根据所述传输路径依次排列下来,紧接着当前路由器的下一个路由器。
[0064]在实施例1的步骤202中描述了二维通告响应中携带路由的路径权值和所述安全权值的情况,并且,后续的步骤203和步骤204也是基于该步骤202基础上实现的。因此,本实施例1存在一种扩展的方案,其中,各路由器在接收到二维通告报文时,便对该二维通告报文中携带的源前缀进行安全校验,从而能够实现针对存在安全性问题的入口路由,便采取安全措施,具体的所述步骤202的方法还可以执行为:
[0065]在步骤501中,路由网络中路由器接收到所述二维通告报告。
[0066]具体的,由于入口路由器采用的泛洪方式发送二维通告报告,因此,路由网络中路由器所接收到的二维通告报告可以是来自所述入口路由器,也可以是来自路由网络中其他的路由器。因此,所述路由网络中路由器接收到所述二维通告报告,是其中的一种情况。
[0067]在步骤502中,校验所述源前缀的安全性,并在校验不通过时,返回携带校验不通过信息的二维通告响应给所述入口路由器。
[0068]此时,实施例1中后续的步骤203-204也将不再执行,即所述返回的二维通告响应中将不再携带建立数据链路所需的链路状态信息,于是入口路由器所请求发往出口路由器的数据报将以失败结束。
[0069]本实施例以及相关扩展实现方案中,所述路由网络中的各路由器的安全权值,具体可以是由操作人员根据各路由器的安全等级,设置相应的安全值。
[0070]本实施例中各扩展方案在可选的情况下,都可以作为独立的方案来实现。其中,本实施例步骤201-204所公开的方案主要针对入口路由器在接收到需要发往出口路由器的数据报文,并为此数据报文的发送建立传输路径时的情形,则后续入口路由器连续传输数据报文给所述出口路由器时,则可基于该已经确定的传输路径(当路由器网络的链路状态发生变化时,才需要重新计算传输路径)。
[0071]还需要补充的是,本实施例中给出的路由器安全权值并不局限于路由器自身,所述路由器安全权值还可以受到路由器之间安全性能影响,例如:相同厂家,相同型号的路由器之间传递时,其安全权值便可以设置的更低一些,即更安全。
[0072]实施例2:
[0073]本发明实施例1中提出了一种二维路由协议的实现方法,其主体方案步骤201-204是如何获取一条安全、效率综合最优的传输路径,在其扩展实现方案中也涉及了由路由网络中在其传输路径上的路由器进行安全校验的方案(步骤401-404),然而,实际实现过程中,操作人员所拥有的权限可能仅存在于出口路由器上,而对于传输路径上其他路由器没有设置黑名单的功能(常见于出口路由器作为个人用户使用的路由器时)。因此,本实施例2提出了一种针对出口路由器,如何解决路由器安全性问题的方法,其中,路由网络中的各路由器根据安全等级设置有各自的安全权值,如图5所述,方法包括以下步骤:
[0074]在步骤601中,出口路由器接收传输路径上路由器传递过来的数据报文。
[0075]在步骤602中,获取所述数据报文中携带的源前缀和目的前缀。
[0076]在步骤603中,校验所述源前缀对应的路由器的安全性。
[0077]在步骤604中,确认安全性可靠时,转发所述数据报文给目的终端。
[0078]本扩展实现方式,通过出口路器的安全校验,基于传输路径上目的路由器的拦截,实现了操作人员所设定的不具有可靠安全性的路由器(源前缀)发送过来的数据报文不会抵达目的终端。
[0079]结合本实施例,所述校验所述源前缀的安全性,存在一种可行的方案,如图7所示,具体包括以下步骤:
[0080]在步骤701中,根据所述源前缀,遍历所述出口路由器中存储的黑名单。
[0081]在步骤702中,确定在所述黑名单中是否查找到所述源前缀,查找到时则确认所述源前缀对应的路由器的安全性不可靠的;未查找到所述源前缀时,则确认所述源前缀对应的路由器的安全性是可靠的。
[0082]结合本实施例2还存在一种扩展方案,