[发明专利]一种转发流表的内生安全实现装置与方法

说明书

本发明公开了一种转发流表的内生安全实现装置与方法，控制单元通过不同执行体基于不同算法分别计算当前网络设备的转发流表，并根据业务流属性为各转发流表分配统一的流标识ID，分配完成后将各转发流表下发到安全处理单元；安全处理单元通过比较不同转发流表来检测各执行体的安全性，并根据检测结果将安全执行体生成的转发流表下发到数据平面；数据平面接收到数据包之后根据关键字段计算流标识ID，并基于该流标识ID从收到的安全转发流表中查找相应的条目，进行数据包的转发。本发明基于不同算法生成转发流表的动态异构冗余，避免了单一算法易受攻击、不可信的问题，以更优的异构方式实现网络设备的内生安全。

技术领域

本发明属于数据通信技术领域，更具体地，涉及一种转发流表的内生安全实现装置与方法。

背景技术

随着互联网深入渗透进生产和生活，尤其是车联网、远程医疗、工业网络等对于网络安全可信提出了更高的要求，但当前使用的TCP/IP协议体系在设计之初是面向一个小规模、彼此信任的“熟人网络”，既没有考虑在不可信的网络和终端的环境下如何建立可信通信，也没有充分考虑如何在具有安全风险的网络中进行安全可靠的通信。这导致当前互联网通过不断增加“安全补丁”的方式叠加局部的安全功能，而不具备完整、内生的安全可信能力。一方面，如何组合这些碎片化的方案形成一套完整的安全可信体系是很难完成的任务；另一方面，这些方案在提出时也没有全局地考虑与其他方案的兼容性以及整体解决方案的完整性。

网络内生安全要求网络设备可以实现安全性和可信性，如何在现有网络技术的基础上实现确定性网络的内生安全，使得网络设备逐跳确保业务的安全传输，是本领域技术人员亟待解决的问题。在确定性网络中，传统的内生安全通常基于多个流表生成执行体和单一算法来实现，即不同执行体采用相同算法分别计算出转发流表，依据相同算法生成的流表应该一致的原则，对不同转发流表中的各条目分别进行逐条比较，针对每个业务流判断受到攻击的条目，从而以被动防御的方式实现内生安全。

然而，当多个执行体采用相同算法时，在网络中可能会受到针对某一算法的攻击，则多个执行体可能同时受到针对某一算法的攻击而导致不安全；例如，如果网络中存在针对OSPF(Open Shortest Path First，即开放式最短路径优先)路由算法的攻击，而不同执行体都使用OSPF路由算法，则多个执行体都可能受到攻击而不安全。另外，简单算法(或者说确切的算法，例如OSPF路由算法)只能针对简单转发流表的计算，不能针对带有约束参数的转发流表计算；在网络设备中，带有约束参数的转发流表的计算难度较大，目前尚无确切的算法可以计算，大多采用启发式算法，难以证明其准确性，导致即便采用相同的算法，不同软件实例计算的流表结果也可能并不相同，不再满足“相同算法生成的流表应该一致”的原则，很可能会难以区分攻击和计算差异，从而影响网络设备内生安全的实现。

综上可知，如果采用传统的单一算法实现转发流表内生安全的动态异构冗余，往往存在不可信、易受攻击的问题，影响网络设备的内生安全；而且，传统方法在进行流表比较时仅通过逐条比较判断受到攻击的条目，这种方法只能实现被动防御，不能判断出安全执行体以及受到攻击的执行体并进行溯源，也就无法有效实现网络设备的内生安全。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种转发流表的内生安全实现装置与方法，其目的在于基于不同算法生成转发流表，并通过不同算法生成流表之间的比较确定安全执行体和受到攻击的执行体，实现网络设备的内生安全，由此解决单一算法易受攻击、不可信的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种转发流表的内生安全实现装置，包括控制单元、安全处理单元和数据平面；

所述控制单元用于通过不同执行体基于不同算法分别计算当前网络设备的转发流表，并根据业务流属性为各转发流表分配统一的流标识ID，分配完成后将各转发流表下发到所述安全处理单元；其中，所述转发流表包括流标识ID在内的一个或多个表项，每个业务对应转发流表的一个条目；