安全路由交换方法、系统及优化判断方法

文档序号:10473728阅读:269来源:国知局
安全路由交换方法、系统及优化判断方法【专利摘要】本发明公开了一种安全路由交换方法、系统及优化判断方法,交换方法包括步骤:采集进入路由交换设备前所有分组的第一特征三元组;采集经过路由交换设备发出分组的第二特征三元组,在第一特征三元组集合中查找与第二特征三元组匹配的第一特征三元组;若找到匹配的第一特征三元组,当路由交换设备为边界路由交换设备,且向外网转发分组时,审核目的IP地址是否符合输出接口的指向;若找不到,当第二特征三元组中源IP地址不是路由交换设备本身时,禁止该分组输出;当第二特征三元组中源IP地址是路由交换设备本身时,审核路由交换设备是否具备向目的IP地址对应设备发送分组的权限。本发明具有如下优点:对流量窃听攻击的防护性极高。【专利说明】安全路由交换方法、系统及优化判断方法
技术领域
[0001]本发明属于网络安全领域,具体设及一种安全路由交换方法、系统及优化判断方法。【
背景技术
】[0002]多年来,利用路由设备漏桐在核屯、网络窃听用户数据的攻击行为一直严重威胁网络用户信息安全,而用户和网络运营商W往低估了此类攻击的危害。2013年6月,"棱镜(PRISM)"计划曝光显示该项目通过直接攻击互联网大型路由设备,即可获取数十万计算机流量,凸显出提高信息在核屯、网络传输安全的重要意义。[0003]从棱镜口曝光的文档看,路由交换设备存在安全漏桐是核屯、网络信息泄露的内在原因。攻击者利用漏桐远程控制路由交换设备,当Alice发往Bob的分组流经图1所示的漏桐设备則寸,原始分组继续沿中黑色粗曲线所示的正常路径发送,但R备份分组内容,并利用异常路由交换行为将备份分组发送给攻击者Eve,其发送方式包括:1、伪造新报文,将备份分组目的IP地址篡改为Eve;2、篡改备份分组内容,该方式不会直接造成攻击者接收备份分组,但可用W规避运营商识别窃听分组;3、错误输出接口,此时备份分组沿着错误链路③输出设备,当R为链接Eve与核屯、网络的边界设备时,该行为也可造成用户信息泄露。[0004]利用漏桐实施的流量窃听攻击不仅成本低、危害大,还具有顽固、隐蔽、单向等特点。顽固体现在不但设备使用者难W识别漏桐,受研发人员认知水平和编码水平限制,设备供应商自身也难W根除漏桐。隐蔽指图1中=种异常路由交换行为与正常路由交换行为有较强的相似性,网络运营商难W实现二者区分。攻击者单方面掌握设备漏桐,导致网络攻防双方漏桐利用严重失衡。上述特点决定利用漏桐窃听用户信息的网络攻击行为难W被用户及运营商识别和约束,当前尚缺少理论上安全完备、通用TCP/IP网络而又可设计实现的解决方案。【
发明内容】[0005]本发明旨在阻止上述=种异常分组输出网络。[0006]为此,本发明的第一个目的在于提出一种安全路由交换方法。[0007]本发明的第二个目的在于提出一种安全路由交换系统。[000引本发明的第=个目的在于优化异常分组判断方法,增加安全路由交换系统的工作效率。[0009]为了实现上述目的,本发明的实施例公开了一种安全路由交换方法,包括W下步骤:A:采集进入路由交换设备前所有分组的第一特征=元组,其中,所述第一特征=元组包括第一源IP地址、第一目的IP地址和第一载荷;B:采集经过所述路由交换设备发出分组的第二特征=元组,其中,第二特征=元组包括第二源IP地址、第二目的IP地址和第二载荷,在所述第一特征=元组集合中查找与所述第二特征=元组匹配的第一特征=元组,如果找到匹配则进入步骤C;C:当所述路由交换设备不是边界路由交换设备时,转发所述第一特征=元组,其中,所述边界设备为与外网之间连接的路由交换设备;当所述路由交换设备为边界路由交换设备时,所述路由交换设备向外网转发消息时,审核所述第二目的IP地址是否符合输出接口的指向,如果符合,转发所述分组,如果不符合,拒绝转发所述分组;如果找到匹配则进入步骤D;D:当第二特征=元组中源IP地址不是所述路由交换设备本身时,禁止该分组输出所述路由交换设备;当第二特征=元组中源IP地址是所述路由交换设备本身时,审核所述路由交换设备是否具备向所述第二特征=元组中目的IP地址对应设备发送分组的权限,如果有权限,转发所述分组,如果没有权限,拒绝转发所述分组。[0010]为了实现上述目的,本发明的实施例公开了一种安全路由交换检测系统,包括:信息采集模块,设置与路由交换系统的信息入口前端和信息出口后端,所述信息采集模块用于获取输入到所述路由交换设备的第一特征=元组和从所述路由交换设备输出的第二特征=元组,并将所述第一特征=元组和所述第二特征=元组均传送给决策模块,其中,所述第一特征=元组包括第一源IP地址、第一目的IP地址和第一载荷,所述第二特征=元组包括第二源IP地址、第二目的IP地址和第二载荷;信息匹配模块,用于根据所述第一特征=元组和所述第二特征=元组进行信息匹配,并将匹配结果发送至决策模块;W及决策模块,用于根据所述匹配结果决定是否转发消息。[0011]本发明具有如下优点:对流量窃听攻击的防护性极高;在100%放行合法分组的同时,识别和约束99.92%W上的窃听分组,其检测性能可满足当前网络需求。[0012]另外,根据本发明上述实施例的安全路由交换系统,还可W具有如下附加的技术特征:[0013]进一步地,还包括边界路由交换设备判断模块,用于判断所述路由交换设备是否为边界路由交换设备,其中,所述边界设备为与外网之间连接的路由交换设备,所述决策模块用于根据所述匹配结果决定是否转发消息进一步包括:如果所述匹配结果为所述第二源特征=元组在第一特征=元组集合中找到匹配,当所述路由交换设备不是边界路由交换设备时,转发所述消息;当所述路由交换设备为边界路由交换设备时,所述路由交换设备向外网转发消息时,审核所述第二目的IP地址是否符合输出接口的指向,如果符合,转发所述消息,如果不符合,拒绝转发所述消息;[0014]如果所述匹配结果为所述第二特征=元组在第一特征=元组集合中找不到匹配,当所述输出分组源IP地址不是路由交换设备本身时,拒绝转发所述消息;当所述输出分组源IP地址是路由交换设备本身时,审核所述路由交换设备是否具备向所述第二特征=元组中目的IP地址对应设备发送所述消息的权限,如果有权限,转发所述消息,如果没有权限,拒绝转发所述消息。[0015]为了实现上述目的,本发明的实施例公开了一种安全路由交换的优化判断方法,包括权利要求上述安全路由交换检测系统,还包括第一分组输入记录表,所述方法包括W下步骤:初始状态下所述第一分组输入记录表全表置0;获取所述第一特征=元组,利用预设化Sh算法计算输入的所述第一特征S元组的第一摘要,选取所述摘要第一预设位置和第一预设长度作为第一摘要,选取所述摘要第一预设位置和第一预设长度作为第一摘要结果,根据所述摘要结果将所述第一分组输入记录表中对应位置置1;获取所述第二特征=元组,利用所述预设化Sh算法计算输入的所述第二特征S元组的第二摘要,选取所述第二摘要所述第一预设位置和所述第一预设长度作为第二摘要结果;在所述第一分组输入记录表中查找所述第二摘要结果对应位置的状态,如果该位置状态为1,则找到该输出分组的输入源,否则判断该输出分组无源。[0016]根据本发明实施例的安全路由交换的优化判断方法,大幅提高安全路由系统的效率和准确性。[0017]另外,根据本发明上述实施例的安全路由交换的优化判断方法,还可W具有如下附加的技术特征:[0018]进一步地,所述第一分组输入记录表每隔2P清零并重新启动,其中P为输入记录表的更新周期,且P大于所述第一特征=元组和所述第二特征=元组在所述路由交换设备中生存时间。[0019]进一步地,还包括第二分组输入记录表,所述第二分组记录表与所述第一分组记录表同步记录数据,所述第一分组输入记录表和所述第二分组输入记录表分别在时间节点2iXP和(2i+l)XP清零重启,其中,i为0或正整数,如果所述第一分组记录表和所述第二分组记录表相应位置均为0,则判断所述第二特征=元组在所述第一特征=元组中找不到匹配。[0020]本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。【附图说明】[0021]本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:[0022]图1为现有技术中流量窃听攻击的主要手段的示意图。[0023]图2是本发明一个实施例的路由交换范式检测流程图。[0024]图3是本发明一个实施例的范式设备模型结构图[0025]图4是本发明一个实施例的输出分组范式检测模型结构图。[0026]图5是本发明一个实施例的输入输出分组特征码快速匹配算法图。[0027]图6是本发明一个实施例的20次模拟窃听分组通过范式检测的数量。[0028]图7是本发明一个实施例的不同长度分组对应的范式检测周期。【具体实施方式】[0029]下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。[0030]在本发明的描述中,需要理解的是,术语"中屯、"、"纵向横向上"、"下"、"前"、"后V'左'、"右V'竖曹'、"水甲V'顶'、"底V'胖V'外"等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、W特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语"第一"、"第二"仅用于描述目的,而不能理解为指示或暗示相对重要性。[0031]在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语"安装"、"相连"、"连接"应做广义理解,例如,可W是固定连接,也可W是可拆卸连接,或一体地连接;可W是机械连接,也可W是电连接;可W是直接相连,也可W通过中间媒介间接相连,可W是两个元件内部的连通。对于本领域的普通技术人员而言,可W具体情况理解上述术语在本发明中的具体含义。[0032]参照下面的描述和附图,将清楚本发明的实施例的运些和其他方面。在运些描述和附图中,具体公开了本发明的实施例中的一些特定实施方式,来表示实施本发明的实施例的原理的一些方式,但是应当理解,本发明的实施例的范围不受此限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。[0033]W下结合附图描述根据本发明实施例的安全路由交换方法、交换系统及优化判断方法。[0034]-种安全路由交换方法,其特征在于,包括W下步骤:[0035]A:采集分组进入路由交换设备前的第一特征=元组,其中,第一特征=元组包括第一源IP地址、第一目的IP地址和第一载荷;[0036]B:采集经过路由交换设备发出分组的第二特征=元组,其中,第二特征=元组包括第二源IP地址、第二目的IP地址和第二载荷,在第一特征=元组集合中查找与第二特征=元组匹配的第一特征=元组,[0037]如果找到匹配则进入步骤C;[0038]C:当路由交换设备不是边界路由交换设备时,转发第一特征=元组,其中,边界设备为与外网之间连接的路由交换设备;[0039]当路由交换设备为边界路由交换设备时,路由交换设备向外网转发消息时,审核第二目的IP地址是否符合输出接口的指向,[0040]如果符合,转发分组,[0041]如果不符合,拒绝转发分组;[0042]如果找到匹配则进入步骤D;[0043]D:当第二特征=元组中源IP地址不是路由交换设备本身时,禁止该分组输出路由交换设备;[0044]当第二特征=元组中源IP地址是路由交换设备本身时,审核路由交换设备是否具备向第二特征=元组中目的IP地址对应设备发送分组的权限,[0045]如果有权限,转发分组,[0046]如果没有权限,拒绝转发分组。[0047]一种安全路由交换检测系统,包括:[0048]信息采集模块,设置于路由交换系统的信息入口前端和信息出口后端,信息采集模块用于旁路获取输入到路由交换设备的第一特征=元组和从路由交换设备输出的第二特征=元组,并将第一特征=元组和第二特征=元组均传送给决策模块,其中,第一特征=元组包括第一源IP地址、第一目的IP地址和第一载荷,第二特征立元组包括第二源IP地址、第二目的IP地址和第二载荷;[0049]信息匹配模块,用于根据第一特征=元组和第二特征=元组进行信息匹配,并将匹配结果发送至决策模块;W及[0050]决策模块,用于根据匹配结果决定是否转发消息。[0051]在本发明的一个实施例中,安全路由交换检测系统还包括边界路由交换设备判断模块。判断模块用于判断路由交换设备是否为边界路由交换设备,其中,边界设备为与外网直接连接的路由交换设备,决策模块用于根据匹配结果决定是否转发消息进一步包括:[0052]如果匹配结果为第二源特征=元组在第一特征=元组集合中找到匹配,当路由交换设备不是边界路由交换设备时,转发消息;当路由交换设备为边界路由交换设备时,路由交换设备向外网转发消息时,审核第二目的IP地址是否符合输出接口的指向,[0053]如果符合,转发消息,[0054]如果不符合,拒绝转发消息;[0055]如果匹配结果为第二源特征=元组在第一特征=元组集合中找不到匹配,当输出分组源IP地址不是路由交换设备本身时,拒绝转发消息;当输出分组源IP地址是路由交换设备本身时,审核路由交换设备是否具备向第二特征=元组中目的IP地址对应设备发送消息的权限,[0056]如果有权限,转发消息,[0057]如果没有权限,拒绝转发消息。[0058]-种安全路由交换的优化判断方法,包括上述的安全路由交换检测系统,还包括第一分组输入记录表,方法包括W下步骤:[0059]初始状态下第一分组输入记录表全表置0;[0060]获取第一特征S元组,利用预设化Sh算法计算输入的第一特征S元组的第一摘要,选取摘要第一预设位置和第一预设长度作为第一摘要结果,根据摘要结果将第一分组输入记录表中对应位置置1。[0061]获取第二特征S元组,利用预设化Sh算法计算输入的第二特征S元组的第二摘要,选取第二摘要第一预设位置和第一预设长度作为第二摘要结果。[0062]在第一分组输入记录表中查找第二摘要结果对应位置的状态,如果该位置状态为1,则找到该输出分组的输入源,否则判断该输出分组无源。[0063]在本发明的一个实施例中,第一分组输入记录表每隔2P清零并重新启动,其中P为输入记录表的更新周期,且P大于第一特征=元组和第二特征=元组在路由交换设备中生存时间。[0064]在本发明的一个实施例中,安全路由交换的优化判断方法还包括第二分组输入记录表,第二分组记录表与第一分组记录表同步记录数据,第一分组输入记录表和第二分组输入记录表分别在时间节点2iXp和(2i+l)Xp清零重启,其中,i为0或正整数:[00化]如果第一分组记录表和第二分组记录表相应位置均为0,则判断第二特征=元组在第一特征=元组集合中找不到匹配。[0066]为使本领域技术人员进一步理解本发明,将通过W下实施例进行详细说明。[0067]步骤1:面向流量窃听攻击的路由交换安全范式[0068]步骤1.1:路由交换安全范式设计[0069]本发明所提范式由3个路由交换分组输出规则组成,用W识别设备异常行为,具体规则如下:[0070]规则I(Rl)对封装载荷的分组,当源IP地址不是路由设备本身时,W特征=元组<源IP地址、目的IP地址、载荷〉为匹配特征,输出分组有源;[0071]规则2(R2)缺省状态下不允许路由设备向客户端主机发送自产分组,如确需发送需经访问权限审核;[0072]规则3(R3)边界路由设备向外网直接转发分组时,分组的目的IP地址符合输出接口的指向。[0073]作为在研863项目《地址驱动网络关键技术和验证》的关键支撑技术之一,本发明所提范式体系对流量窃听攻击的安全完备性得到严格论证。[0074]步骤1.2:路由交换范式检测流程[0075]如图2所示,路由交换范式检测流程包括输入分组=元组特征采集和分组输出行为结果范式检测两个模块组成。[0076]步骤1.2.1:特征采集模块判断流入待考察路由设备R的分组是否包含载荷,对包含载荷分组提取<源1?地址、目的IP地址、载荷〉=元组信息,并将其录入输入分组特征=元组数据库。[0077]步骤1.2.2:分组输出行为结果范式检测模块采集输出分组特征=元组,并到输入数据库中查找特征匹配的输入源。对有源输出,若R为边界设备,且输出接口指向端系统,检测系统根据端系统地址前缀与分组目的IP地址的一致性判断设备服务行为是否符合范式。对无源分组,其唯一可行场景为路由设备向端系统传送数据,检测系统根据端系统是否为设备授权访问目标判断该行为是否符合范式。[0078]步骤2:范式设备模型[0079]步骤2.1:范式设备模型结构[0080]如图3所示,范式设备由传统路由交换设备和范式检测系统两部分串接组成,其中检测系统主要包括信息采集模块和分组输出决策模块。[0081]步骤2.2:信息采集模块[0082]信息采集模块由一条旁路链路构成,设置于传统路由交换设备前端,负责旁路获取输入传统设备的分组的特征=元组,并传送给决策模块。[0083]步骤2.3:范式检测系统[0084]范式检测系统由基于路由交换范式检测流程设计的忍片,W及存储输入分组特征=元组数据库的内存构成,它负责提取输出分组的特征=元组,并通过在输入分组特征=元组数据库中查找匹配,判断分组输出行为是否符合范式,同时禁止违反范式的分组输出设备。[00化]步骤3:输出分组范式检测模型[0086]步骤3.1:输出分组范式检测模型结构[0087]如图4所示,输出分组范式检测模型由信息采集模块和分组输出检测模块组成,[0088]步骤3.2:信息采集模块[0089]信息采集模块由目标设备R的所有"邻居"路由交换设备构成,向服务器旁路发送全部输入输出R的分组。[0090]步骤3.3:分组输出检测模块[0091]分组输出检测模块由一台具备路由交换范式检测功能的服务器构成,该服务器位于传统路由设备后端,与构成信息采集模块的R的所有邻居设备旁路直连。[0092]模块首先记录信息采集模块发送到R的输入分组,并检测输出分组是否遵循范式,从而判断范式设备中的范式检测系统是否符合设计要求。[0093]步骤3.4:输出分组范式检测模型的其它应用[0094]在识别违反范式分组的前提下,检测模块中的服务器通过记录流量窃听分组,可W即时感知攻击、核对攻击者拟窃听用户流量的内容,同时定位攻击者接收端主机。[00M]步骤4:范式设备检测效率优化[0096]步骤4.1:范式设备检测效率优化的必要性[0097]相比传统设备,范式设备不可避免地增加了额外的存储、计算和通信开销,表一列举了=条规则的开销,其中输入输出分组特征码快速匹配占用较高存储、计算和通信开销,可能严重影响范式设备检测效率,其它开销均可忽略,因此必须设计快速匹配算法。[0098]步骤4.2:-种基于摘要结果查表实现的快速匹配算法[0099]如图5所示,范式检测系统维护一张固定长度的分组输入记录表化blel,初始状态下全表置0,对每一输入分组,系统利用固定化Sh算法计算输入S元特征组摘要I-digest,选取摘要固定位置和长度(例如第65到第94位的30比特)作为摘要结果I-digest-result,并将记录表中I-digest-result对应位置置1。对于输出分组,系统同样计算并提取输出S元组摘要结果0-digest-result,并在table1中查找该0-digest-result对应位置的状态,如果该位置状态为1,则找到该输出分组的输入源,否则判断该输出分组无源。[0100]随着输入分组数量的增加,tablel的重量不断增大,可能增大范式检测结果的假阴性(攻击分组因禪合被判定为合法分组),tablel每隔2P清零并重新启动,其中P为输入记录表的更新周期,要求P大于分组在设备中生存时间。[0101]为防止tablel更新过程中最新合法分组被误判为非法分组,系统维护图5中的另一张分组输入记录表化ble2,tablel和化ble2分别在时间节点2iXp和(2i+l)Xp(i=0,1,2,…)清零重启,若输出分组摘要结果在两表相应位置的值均为0,则判断该分组没有输入匹配。[0102]步骤5:范式设备模型及范式检测模型特性分析[0103]步骤5.1:模型的通用性[0104]本发明设计的范式设备模型及检测模型均由传统路由交换设备和范式检测系统两部分串接组成,其中范式检测系统不直接干扰传统设备的路由交换行为,只对传统设备的路由交换行为结果进行范式检测,因此范式设备模型及范式检测模型通用于TCP/IP网络。[0105]步骤5.2:模型的可设计性[0106]本发明所提范式检测系统由3个分组输出规则组成,运=个规则均在当前技术条件下可设计实现。[0107]由于范式检测系统与传统设备相互独立,网络运营商可W分别向不同生产商定制传统设备和范式检测系统;另外检测模型结构简单,检测流程无需网络互动,有利于高可信检测系统设计。[0108]步骤5.3:模型对流量窃听攻击的安全完备性[0109]本发明所提范式体系对流量窃听攻击的安全完备性被严格论证;由于正常分组与窃听分组=元特征组不同,本发明所提范式系统可对二者精确区分;注意为提高范式检测效率,步骤4设计了一种基于摘要结果查表实现的快速匹配算法,运可能导致正常分组被判断违反规则(假阳性),W及攻击分组符合规则(假阴性)的情况发生,步骤則尋对此进行评估。[0110]步骤6:范式设备功能评估[0111]步骤6.1:理论分析[0112]步骤6.1.1:假阳性结果分析[0113]对任意输入分组,假定其输入时间为IT,其输出时间为OT,令化=[PXi,PX(i+1)),则必存在ia=0,l,2,…),使得ITe化。由P>T知OTeQT,口+P],则或OTe化,或OTe化+1,因此任一时刻化blel和化ble2中至少一表记录了该分组特征S元组的摘要结果,即正常分组被系统做出假阳性判断的概率为0。[0114]步骤6.1.2:假阴性结果分析[0115]影响范式检测结果假阴性的因素包括设备的吞吐率Ou化ut、分组输入记录摘要表的更新周期PW及规模化ize,当Ou化Ut=10化PS,P=0.5秒时,去重后两摘要表记录的最大输入分组数量[0116]输入分组对摘要表更新过程服从](0,1)分布,因此两表至少有一表摘要结果为1的期望值[0117]此时任一输出分组W偶合方式通过匹配校验的最大概率为833010/IG=0.07758%,即检测系统对攻击分组做出假阴性判断的最高概率不超过0.07758%,即范式检测系统对攻击分组的正确检测率不低于99.92%。此时假阴性判断分组个数为0.07758%*833010=647个[011引步骤6.2:仿真验证[0119]步骤6.2.1:仿真实验模型[0120]本发明利用X86系统仿真范式模型的工作流程,采用MD5作为hash算法,并选择特征=元组摘要值的第65到第94字节作为摘要结果,实验用1,250,450个分组来自实际环境中的真实流量。[0121]步骤6.2.2:假阳性实验结果[0122]所有分组全部通过范式验证,验证了理论分析结果的正确性。[0123]步骤6.2.2:假阴性实验结果[0124]本发明基于该仿真系统实施两种攻击,第一种攻击把前833,333个分组的目的IP地址篡改为10个随机IP地址,第二种攻击在第一种攻击的基础上,把所有载荷按字节取反。图6给出两种攻击中窃听分组通过范式检测的数量,结果符合步骤6.1.2的理论分析。[0125]步骤7:范式设备性能评估[0126]本发明利用步骤6.2设计的仿真实验模型对范式设备检测周期进行评估,图7给出不同分组长度条件下的实验测试结果。结果显示在不超过1500字节的前提下,分组长度对范式检测周期的影响不明显。W均值16.30微秒作为检测周期,系统范式检测效率随分组长度不同在31.4Mbps到736.2Mbps。[0127]实验用X86系统的处理器为Intel巧-2410双核处理器,RAM容量4G,不低于该配置的检测系统可开发。[0128]考虑到本发明采用软件平台基于通用处理器设计,而不是当前汇聚层网络路由设备广泛采用的专用忍片和FPGA设计的硬件平台,因此实际范式设备性能远大于实验结果,其检测性能可满足当前多数网络需求。[0129]另外,本发明实施例的安全路由交换方法、交换系统及优化判断方法的其它构成W及作用对于本领域的技术人员而言都是已知的,为了减少冗余,不做寶述。[0130]在本说明书的描述中,参考术语"一个实施例"、"一些实施例"、"示例"、"具体示例"、或"一些示例"等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可W在任何的一个或多个实施例或示例中W合适的方式结合。[0131]尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可W理解:在不脱离本发明的原理和宗旨的情况下可W对运些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同限定。【主权项】1.一种安全路由交换方法,其特征在于,包括以下步骤:A:采集分组进入路由交换设备前的第一特征三元组,其中,所述第一特征三元组包括第一源IP地址、第一目的IP地址和第一载荷;B:采集经过所述路由交换设备发出分组的第二特征三元组,其中,第二特征三元组包括第二源IP地址、第二目的IP地址和第二载荷,在所述第一特征三元组集合中查找与所述第二特征三元组匹配的第一特征三元组,如果找到匹配则进入步骤C;C:当所述路由交换设备不是边界路由交换设备时,转发所述第一特征三元组,其中,所述边界设备为与外网之间连接的路由交换设备;当所述路由交换设备为边界路由交换设备时,所述路由交换设备向外网转发消息时,审核所述第二目的IP地址是否符合输出接口的指向,如果符合,转发所述分组,如果不符合,拒绝转发所述分组;如果找到匹配则进入步骤D;D:当第二特征三元组中源IP地址不是所述路由交换设备本身时,禁止该分组输出所述路由交换设备;当第二特征三元组中源IP地址是所述路由交换设备本身时,审核所述路由交换设备是否具备向所述第二特征三元组中目的IP地址对应设备发送分组的权限,如果有权限,转发所述分组,如果没有权限,拒绝转发所述分组。2.-种安全路由交换检测系统,其特征在于,包括:信息采集模块,设置于路由交换系统的信息入口前端和信息出口后端,所述信息采集模块用于旁路获取输入到所述路由交换设备的第一特征三元组和从所述路由交换设备输出的第二特征三元组,并将所述第一特征三元组和所述第二特征三元组均传送给决策模块,其中,所述第一特征三元组包括第一源IP地址、第一目的IP地址和第一载荷,所述第二特征三元组包括第二源IP地址、第二目的IP地址和第二载荷;信息匹配模块,用于根据所述第一特征三元组和所述第二特征三元组进行信息匹配,并将匹配结果发送至决策模块;以及决策模块,用于根据所述匹配结果决定是否转发消息。3.根据权利要求2所述的系统,其特征在于,还包括边界路由交换设备判断模块,用于判断所述路由交换设备是否为边界路由交换设备,其中,所述边界设备为与外网直接连接的路由交换设备,所述决策模块用于根据所述匹配结果决定是否转发消息进一步包括:如果所述匹配结果为所述第二源特征三元组在第一特征三元组集合中找到匹配,当所述路由交换设备不是边界路由交换设备时,转发所述消息;当所述路由交换设备为边界路由交换设备时,所述路由交换设备向外网转发消息时,审核所述第二目的IP地址是否符合输出接口的指向,如果符合,转发所述消息,如果不符合,拒绝转发所述消息;如果所述匹配结果为所述第二源特征三元组在第一特征三元组集合中找不到匹配,当所述输出分组源IP地址不是路由交换设备本身时,拒绝转发所述消息;当所述输出分组源IP地址是路由交换设备本身时,审核所述路由交换设备是否具备向所述第二特征三元组中目的IP地址对应设备发送所述消息的权限,如果有权限,转发所述消息,如果没有权限,拒绝转发所述消息。4.一种安全路由交换的优化判断方法,其特征在于,包括权利要求2或3所述的安全路由交换检测系统,还包括第一分组输入记录表,所述方法包括以下步骤:初始状态下所述第一分组输入记录表全表置〇;获取所述第一特征三元组,利用预设Hash算法计算输入的所述第一特征三元组的第一摘要,选取所述摘要第一预设位置和第一预设长度作为第一摘要结果,根据所述摘要结果将所述第一分组输入记录表中对应位置置1;获取所述第二特征三元组,利用所述预设Hash算法计算输入的所述第二特征三元组的第二摘要,选取所述第二摘要所述第一预设位置和所述第一预设长度作为第二摘要结果;在所述第一分组输入记录表中查找所述第二摘要结果对应位置的状态,如果该位置状态为1,则找到该输出分组的输入源,否则判断该输出分组无源。5.根据权利要求4所述的方法,其特征在于,所述第一分组输入记录表每隔2P清零并重新启动,其中P为输入记录表的更新周期,且P大于所述第一特征三元组和所述第二特征三元组在所述路由交换设备中生存时间。6.根据权利要求5所述的方法,其特征在于,还包括第二分组输入记录表,所述第二分组记录表与所述第一分组记录表同步记录数据,所述第一分组输入记录表和所述第二分组输入记录表分别在时间节点2iXP和(2i+1)XP清零重启,其中,i为0或正整数,如果所述第一分组记录表和所述第二分组记录表相应位置均为〇,则判断所述第二特征三元组在所述第一特征三元组集合中找不到匹配。【文档编号】H04L12/701GK105827634SQ201610302385【公开日】2016年8月3日【申请日】2016年5月9日【发明人】徐恪,赵玉东,吴建平,沈蒙,陈文龙【申请人】清华大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1