本發明涉及網絡安全技術領域，具體的涉及一種基于SDN的動態路由協議執行體實現裝置及方法，裝置包括：虛擬層、調度管理層、控制層和數據轉發層，虛擬層負責路由計算生成路由轉發表，控制層通過應用程序完成控制和管理網絡的功能，調度管理層負責監控虛擬層運行，并基于感知結果動態調度路由協議執行體的輸出，數據轉發層由Openflow交換機組成，實現網絡數據分組的轉發。本發明具有感知動態調度路由協議執行體的管理機制，可有效應對針對路由漏洞和后門所發起的攻擊，且使得外來攻擊難以持續發起有效攻擊，有效的提高了網絡路由的安全性能；通過利用不同路由協議執行體的異構特性，使得網絡有效應對漏洞與后門的威脅，能更好保證網絡運行的魯棒性、彈性和生存能力。

技術領域

本申請涉及網絡安全技術領域，更具體地說，涉及一種基于SDN的動態路由協議執行體實現裝置及方法。

背景技術

路由器在網絡數據分組交換中扮演著重要的角色，通過路由查找和數據轉發，實現端到端的互連互通。由于路由器的特殊地位，針對其漏洞和后門的攻擊會導致整個網絡運行異常甚至癱瘓。因此，路由器的安全防護成為網絡空間安全的重要內容。近年來，路由器廠商因為漏洞和后門引發的安全事件層出不窮。如2016年6月，Netgear路由器存在能泄露登錄管理界面密碼的漏洞。

而現有的路由保護機制一般為被動防御，在應對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力，因此急需一種安全可靠的路由實現方法及裝置。

發明內容

本發明針對現有技術的路由保護機制存在一般為被動防御，在應對上述安全威脅時還存在很大不足，對未知的漏洞與后門無能無力等問題，提出一種基于SDN的動態路由協議執行體實現裝置及方法。

本發明的技術方案是：一種基于SDN的動態路由協議執行體實現裝置，包括虛擬層、調度管理層、控制層和數據轉發層，虛擬層負責路由計算生成路由轉發表，控制層通過應用程序完成控制和管理網絡的功能，調度管理層負責監控虛擬層運行，并基于感知結果動態調度路由協議執行體的輸出，數據轉發層由Openflow交換機組成，實現網絡數據分組的轉發；其中，

虛擬層：包含n個路由平面，每個路由平面由多個VM組成，各個路由平面的VM之間通過OVS相連組成虛擬網絡與底層物理網絡分別一一對應；

調度管理層：由路由服務器、調度器、感知器、調度策略庫四部分組成，負責監控上層虛擬網絡運行狀態，并基于感知結果動態調度路由平面的路由輸出作為流表的更新源；

控制層：提供網絡的可編程接口，通過編寫應用程序完成控制和管理網絡的功能；收集底層物理拓撲和交換機狀態信息并將該信息轉發到路由服務器；接收流表更新，過濾轉發到路由服務器的相關事件；

數據轉發層：由OpenFlow交換機組成，實現網絡數據分組的轉發。

所述的基于 SDN的動態路由協議執行體實現裝置，所述虛擬層的每個VM上運行路由平臺和路由代理，通過路由平臺計算路由，路由代理用于管理和配置VM，將路由轉發表轉換為流表。

所述的基于 SDN的動態路由協議執行體實現裝置，所述路由服務器：用于配置上層的虛擬環境，將底層交換機與上層的VM之間建立一一對應關系，負責接收來自控制層的網絡事件，負責控制層與上層路由平面之間的信息交互，將底層拓撲變化信息轉發到相應的VM上，將路由更新消息轉換為流表信息下發到控制層。

所述的基于 SDN的動態路由協議執行體實現裝置，所述感知器：實時監測感知上層各路由平面的運行狀態并進行異常監測，并根據監測結果修改路由協議執行體的安全等級，若安全等級發生變化則將該變化信息通告給調度器。

所述的基于 SDN的動態路由協議執行體實現裝置，所述調度策略庫：包含多種調度策略供調度器選擇，如定時切換以及觸發式切換。