[发明专利]一种传统路由器拟态化改造的装置及方法

说明书

本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法，该装置包括：传统路由器，作为路由计算主执行体；多个异构路由计算执行体，作为路由计算副执行体；数据分合路单元，用于对输入数据进行操作后分流转发，并将来自不同单元的数据进行合路输出；输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及中央控制单元，用于管理其他单元。本发明通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。

技术领域

本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法。

背景技术

路由器作为国际互联网的基础性核心设备，逐渐成为网络攻击的重点目标。路由器内部软硬件存在的漏洞和预置后门已经对网络安全产生了严重影响。攻击者可以基于路由器漏洞和预置后门进行路由计算攻击和注入虚假路由，导致路由器瘫痪或者实施中间人攻击。随着技术的发展，上述攻击方法也在不断翻新，仅仅通过修补路由协议漏洞、附加安全机制等手段已经很难彻底地解决路由器的安全问题。而移动目标防御、拟态防御等一系列新技术的出现，采用动态异构冗余架构抵御未知漏洞后门攻击成为一种增强网络设备可靠性和安全性的核心技术。

发明内容

本发明的目的是提供一种传统路由器拟态化改造的装置及方法，通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种传统路由器拟态化改造的装置，包括：

传统路由器，作为路由计算主执行体，并将路由计算结果提交给中央控制单元；

多个异构路由计算执行体，作为路由计算副执行体，独立完成路由协议消息处理和路由计算，并将路由计算结果提交给中央控制单元；

数据分合路单元，用于对输入数据进行操作后分流转发，并将来自于不同单元的数据进行合路输出；

输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及

中央控制单元，用于管理其它单元，从传统路由器和多个异构路由计算执行体读取系统信息进行状态监控和获取路由信息并进行裁决；综合状态和裁决信息，动态管理和调度各个执行体，并对输入/输出分发策略进行调整。

进一步地，所述中央控制单元包括多模裁决单元和负反馈调度单元；

所述多模裁决单元，从传统路由器和多个异构路由计算执行体获取路由并进行比对裁决，按照择多裁决方法，对不一致的路由进行修正；

所述负反馈调度单元，按照裁决结果和策略，动态调度各个执行体。

进一步地，所述传统路由器、多个异构路由计算执行体、数据分合路单元、输入/出分发代理单元和中央控制单元均包含一个管理通道接口和若干个数据通道接口；

管理通道接口方面：各个单元的管理通道接口通过内部交换连接到中央控制单元；

数据通道接口方面：每个异构路由计算执行体配置一个数据接口，传统路由器配置N个数据接口，输入/出分发代理单元配置两个接口，分别定义为U接口和D接口；数据分合路单元配置2N+2+n个接口，其中N个外连接口用于外连其它路由器，N个内连接口用于内连传统路由器的N个接口，并建立一一映射，n个接口用于连接n个异构路由计算执行体，2个接口用于连接输入/出分发代理单元的两个接口。

本发明还提供了一种基于上述的传统路由器拟态化改造的装置的方法，包括以下步骤：

步骤A，中央控制单元通过管理通道接口启动传统路由器和异构路由计算执行体，并基于系统配置信息，对所有路由计算单元进行配置；