CN110113291A - 用于在业务功能链域之间进行互通的方法和设备 - Google Patents
用于在业务功能链域之间进行互通的方法和设备 Download PDFInfo
- Publication number
- CN110113291A CN110113291A CN201810101927.2A CN201810101927A CN110113291A CN 110113291 A CN110113291 A CN 110113291A CN 201810101927 A CN201810101927 A CN 201810101927A CN 110113291 A CN110113291 A CN 110113291A
- Authority
- CN
- China
- Prior art keywords
- domain
- grouping
- chain
- business
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及用于在业务功能链(即业务链)域之间进行互通的方法和设备。在一些实施例中,提供了一种通信方法。该通信方法包括:在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;将第一分组转换为第二分组,第二分组包括第一业务链与第二业务链之间的第一互通信息,第一互通信息包括指示第二分组为互通分组的标志、第一逻辑节点的地址、第二分组的第一流标识符、第一业务路径标识符以及与第二业务链相关联的元数据;将第二分组发送至第二域中的第二逻辑节点;以及从第二逻辑节点接收针对元数据的响应。
Description
技术领域
本公开的实施例一般涉及网络领域,并且具体地涉及用于在业务 功能链(即业务链)域之间进行互通的方法、设备和计算机可读存储 介质。
背景技术
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和业务链 (SFC)等技术的出现,网络运营者能够进行网络改造以使得网络可 编程并且降低成本。因此,基于这些技术能快速和方便地部署各种应 用。
为了抵御快速增长和演进的网络攻击(例如,恶意软件、分布式 拒绝业务和身份假冒等),需要针对具有不同安全需求的应用动态地、 灵活地且自适应地提供个性化的安全业务或功能。然而,传统安全设 施(例如,防火墙、入侵检测系统、深度分组检测等)的实现基于硬 件的中间件,并且部署在网络中的固定位置。因此,传统安全设施难 以满足基于上述技术的应用的不同安全需求。
然而,安全业务可能部署在不同的域中,而现有的业务链技术无 法支持这种跨不用的域的业务链。因此,需要一种支持在不同业务提 供商管理和操作的多个域之间来提供互通的技术方案。
发明内容
下面给出了对各实施例的简要概述,以提供对各种实施例的一些 方面的基本理解。注意,发明内容部分并非旨在标识关键元素的要点 或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概 念,作为对后述更具体描述的前序。
根据一些实施例,提供了一种通信方法。该方法包括:在第一域 中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相 关联的第一分组;将所述第一分组转换为第二分组,所述第二分组包 括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一 互通信息包括指示所述第二分组为互通分组的标志、所述第一逻辑节 点的地址、所述第二分组的第一业务路径标识符、所述第二分组的第 一流标识符以及与所述第二业务链相关联的元数据;将所述第二分组 发送至所述第二域中的第二逻辑节点;以及从所述第二逻辑节点接收 针对所述元数据的响应。
根据一些实施例,提供了一种通信方法。该方法包括:在第二域 中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从 所述第二分组中获取与所述第二域中的第二业务链相关联的元数据; 将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分 组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二 业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相 关联的元数据;将所述第五分组转发给所述第二业务链内的第四逻辑 节点;以及从所述第二业务链内的第五逻辑节点接收第六分组,所述 第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述 元数据的响应。
根据一些实施例,提供了一种用于在业务功能链域之间进行互通 的设备,包括:处理器;以及存储器,所述存储器存储有指令,所述 指令在被所述处理器执行时使所述设备:在第一域中的第一业务链的 第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组; 将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链 与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示 所述第二分组为互通分组的标志、所述第一逻辑节点的地址、所述第 二分组的第一业务路径标识符、所述第二分组的第一流标识符以及与 所述第二业务链相关联的元数据;将所述第二分组发送至所述第二域 中的第二逻辑节点;以及从所述第二逻辑节点接收针对所述元数据的 响应。
根据一些实施例,提供了一种用于在业务功能链域之间进行互通 的设备,包括:处理器;以及存储器,所述存储器存储有指令,所述 指令在被所述处理器执行时使所述设备:在第二域中的第二逻辑节点 处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获 取与所述第二域中的第二业务链相关联的元数据;将所述第二分组转 换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的 标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、 所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;将 所述第五分组转发给所述第二业务链内的第四逻辑节点;以及从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述 第二流标识符、所述第二业务路径标识符以及针对所述元数据的响 应。
根据一些实施例,提供了一种计算机可读存储介质,其上存储有 计算机程序,所述程序被处理器执行时实现一种方法。该方法包括: 在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二 业务链相关联的第一分组;将所述第一分组转换为第二分组,所述第 二分组包括所述第一业务链与所述第二业务链之间的第一互通信息, 所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第 一逻辑节点的地址、所述第二分组的第一业务路径标识符、所述第二 分组的第一流标识符以及与所述第二业务链相关联的元数据;将所述 第二分组发送至所述第二域中的第二逻辑节点;以及从所述第二逻辑 节点接收针对所述元数据的响应。
根据一些实施例,提供了一种计算机可读存储介质,其上存储有 计算机程序,所述程序被处理器执行时实现一种方法。该方法包括: 在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通 分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的 元数据;将所述第二分组转换为第五分组,所述第五分组包括指示所 述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、 所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二 业务链相关联的元数据;将所述第五分组转发给所述第二业务链内的 第四逻辑节点;以及从所述第二业务链内的第五逻辑节点接收第六分 组,所述第六分组包括所述第二流标识符、第二业务路径标识符以及 针对所述元数据的响应。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开实 施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它 特征将通过以下的描述变得容易理解。
附图说明
从下文的公开内容和权利要求中,本发明的目的、优点和其他特 征将变得更加明显。这里仅出于示例的目的,参考附图来给出优选实 施例的非限制性描述,在附图中:
图1示出根据本公开的实施例的用于提供安全业务的系统的示例 性架构图;
图2示出根据本公开的实施例的用于提供安全业务的系统的另一 示例性架构图;
图3示出根据本公开的实施例的用于提供安全业务的系统的示例 性框图;
图4示出根据本公开的实施例的用于提供智能交通业务的系统的 示意性框图;
图5示出根据本公开的实施例的用于为智能交通业务提供安全业 务的系统的示例性框图;
图6示出根据本公开的实施例的用于为智能交通业务提供安全业 务的系统的示例性框图;
图7示出了根据现有技术的网络业务报头的示意图;
图8示出了根据本公开的实施例的扩展的网络业务报头的示意 图;
图9a-9e示出在图5所示的实施例中的多个节点处网络业务报头 的示意图;
图10a-10f示出在图6所示的实施例中的多个节点处网络业务报 头的示意图;
图11示出根据本公开的实施例的用于在业务功能链域之间进行 互通的方法的流程图;
图12示出根据本公开的实施例的用于在业务功能链域之间进行 互通的方法的流程图;以及
图13示出可以用来实施本公开的实施例的示例设备的示意性框 图。
在各个附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
在以下描述中,出于说明的目的而阐述许多细节。然而,本领域 普通技术人员将认识到可以在不使用这些具体细节的情况下实现本 发明。因此,本发明不旨在于受限于所示实施例、而是将被赋予与本 文描述的原理和特征一致的最宽的范围。
应当理解,术语“第一”、“第二”等仅被用来将一个元素与另一个 元素区分开来。而实际上第一元素也能够被称为第二元素,反之亦然。 另外还应当理解“包括”,“包含”仅被用来说明所陈述的特征、元素、 功能或者部件的存在,然而并不排除存在一个或者多个其他的特征、 元素、功能或者部件。
标准[b-IETF RFC 7665]定义了业务功能链(SFC)包括安全业务 链(SSC),SSC定义了一组有序的安全功能和安全策略,其可以应 用于通过分类所选择的分组和/或流。SSC使安全业务提供商能够管 理和运行独立的安全业务,并提供可以集成到其他业务(例如,智能 交通系统(ITS)、视频业务和定位业务)中的定制安全业务。通过 这种方式,业务提供商(例如,ITS业务提供商、视频业务提供商、 位置业务提供商等)可以主要关注于其自己的基本业务逻辑,并从安 全业务提供商获得专业的安全业务,以提供给最终用户。
图1示出了根据本公开的实施例的用于提供安全业务的系统100 的示意性架构图。系统100可以包括一个或者多个控制器,该一个或 多个控制器可以被分布在一个或者多个物理主机和/或虚拟主机上。例 如,如图1所示,系统100可以包括安全业务链(SSC)控制器102。 应当理解,图1中所示的系统100的架构仅为示例性的,其不用于限 制本公开的实施例的功能和范围。
如图1所示,SSC控制器102可以与数据平面上的各个节点进行 通信,并对数据平面上的各个节点进行配置。例如,数据平面可以包 括分类器104、安全业务转发器(SFF)111、112和相应的业务功能 (SF)121和122。图1还示出了一个示例性的安全业务链,其路径为:分类器104->SFF 111->SF 121->SFF 111->SFF 112->SF 122。 系统100是独立的SSC,其可以使安全业务提供商可以自己管理和运 行独立的安全业务。
图2示出了根据本公开的一个实施例的用于提供安全业务的系统 200的示意性架构图。在系统200中,SFC域与SSC域彼此互通以提 供端到端的业务/应用。例如,在SFC域内包括第一业务链,并在SSC 域内包括第二业务链,第二业务链被整合到第一业务链中以提供端到 端的业务/应用。应当理解,尽管图2仅示出了两个不同的域,但是系 统200也可以包括更多域,本公开在此不受限制。
在图2的示例中,SFC域可以与SSC域互通以提供端到端的业务 /应用。例如,整合的业务链的路径可以是:分类器208->SFF 221-> SF 231->SFF 221->SFF 222->分类器258->SFF 262->SF 272-> SFF 262->SFF 261->SF 271->SFF 261->分类器258->SFF 222-> SF 232->SFC代理223->SFC非感知SF->SFC代理223。
安全业务链包括两种类型,一种是非面向用户的SSC,其既不特 定于用户,也不是特定的业务逻辑。非面向用户的SSC可以提供各种 安全业务,包括分组过滤、入侵检测和防御以及通过安全设备(例如, 防火墙、入侵检测系统(IDS)和入侵防御系统(IPS))进行流量清 理等。另一种是面向用户的SSC,其特定于用户和/或特定的业务逻 辑,通过与SFC控制器配合,以特定顺序集成到SFC中。例如,在 开始访问业务之前,最终用户必须经过认证和授权。面向用户的SSC 提供安全业务(例如,认证、授权和每个用户的加密/解密等)以实现更高安全级别的保护。图1所示的独立SSC可以应用于非面向用户的 SSC,并且图2所示的互通SSC既可以应用于如图1所示的独立SSC, 也可以应用于如图2所示的互通SSC。
端到端业务/应用的交付通常需要各种业务功能,这些功能可以在 主机中实施,由不同的管理组织或业务提供商来管理和操作。这些主 机可能位于地理位置分散的网络中。此外,由第三可信方(例如,安 全业务提供商)提供诸如用于端到端业务/应用的认证和分组过滤的安 全保护。因此,有必要支持SSC与其他SFC的互通。
图3示出了根据本公开的一个实施例的支持SFC与SSC的互通 的架构。如图3所示,一些逻辑功能与[b-IETF RFC 7665]具有相同的 定义。例如,这些逻辑功能可以是SFC域302的分类器(例如分类器 308)、SFF(例如SFF 321-32N和SFF 361-363)、SF(例如SF 331-33N 和安全功能371-373)。
在一些实施例中,为了支持SSC与SFC的互通,可以设置两个 新的逻辑功能(即,互通代理306、356和互通功能310、360),并 且还可以对在SSC域350内的分类器进行扩展(即,互通分类器358)。
如图3所示,互通代理306和356可以分别在SSC控制器304 和SFC控制器352中实现。在一些实施例中,互通代理306或356 可以确定端到端业务/应用的交付是否需要业务功能链与其他域中的 SFC进行互通。
在一些实施例中,互通代理306或356可以管理与之互通的SFC 域的注册。例如,SFC控制器304的互通代理306可以管理SSC域 350的注册。注册信息包括但不限于SFC域302的标识符、SFC域302 的域名、SFC控制器304的地址(例如IP地址)和端口、SFC域302 的功能描述等。另外,应当理解,由于SSC是一种类型的SFC,因此SSC控制器352的互通代理356也可以以相似的方式进行配置。应当 理解,尽管这里示出了SFC与SSC的互通,其他任何适当类型的SFC 之间的互通也可以以类似方式进行实现,本公开在此不受限制。为了 简单起见,现在以SFC域302为例进行描述,应当理解,以下内容也 同样适用于SSC域350。
在一些实施例中,互通代理306可以管理SFC目录的注册与其他 SFC域的交互。注册信息包括但不限于SFC域的标识符、SFC的标 识符、SFC的名称,SFC的业务功能、SFC的功能描述、待联系的互 通功能等。
在一些实施例中,互通代理306可以构建整合或组合的业务链(或 组合业务转发路径SFP),该业务链可以跨越不同的SFC域。例如, 不同的SFC域可以部署在同一地理位置但由不同业务提供商管理。备 选地,不同SFC域也可以部署在不同的地理位置并由不同的业务提供 商来管理。例如,SFC控制器304可以将SFC域302中的业务链与 SSC域350中的安全业务链组合在一起,这可以通过互通功能来实现。
在一些实施例中,互通代理306可以与SFC目录一起更新与其交 互的SFC控制器的注册信息。可以使用两种可能的机制来更新注册信 息,即主动获取更新和推送更新。例如,SFC控制器304可以定期从 SSC域350主动获取SSC目录的更新注册信息。当然,SSC域350 中的SSC控制器352可以在有更新的情况下,将其注册状态与SSC 目录一起报告给SFC控制器304。
在一些实施例中,互通代理306可以配置互通功能以发现与之交 互的SFC域。例如,SFC控制器304可以配置互通功能310来发现 SSC域350。
在一些实施例中,互通代理306可以构建[b-IETF RFC 7665]中定 义的通用SFP和这里定义的互通SFP。例如,SSC域350中的SSC 控制器352可以构建互通SFP并配置互通分类器358以支持SSC与 SFC进行互通。
为了方便描述互通功能310,首先结合图7和图8来介绍网络业 务报头(NSH)及其扩展。为了简单起见,以下将如图7所示的[b-IETF draft-ietf-sfc-nsh]中定义的NSH称为通用NSH,将具有通用NSH的 分组称为通用分组或非互通分组,将如图8所示的NSH称为互通NSH,并将具有互通NSH的分组称为互通分组。
为了简化描述,图8以MD类型=0x1(即固定长度上下文报头) 的NSH为例进行说明。当然,图8的示例也可以适用于MD类型=0x2 (即可变长度上下文报头)的NSH。此外,还省略了与这里定义的 SFC功能无关的一些安全方面,例如如何在SFC域之间或甚至在一个SFC域内传输时为NSH提供机密性和完整性,如何封装扩展NSH等。
图7示出了在[IETF draft-ietf-sfc-nsh]中定义的MD类型=0x1(即 固定长度上下文头)的IETF SFC NSH。如图7所示,在NSH基础报 头中具有5个未分配的位,标记为“U”。这5个未分配位中的任意 一个可以用来表示这个NSH是通用NSH还是在这里定义的互通NSH。例如,第二个未分配位可以用来表示该NSH是一个互通NSH, 如图8所示,这一位被示出为“IW”。标志字段“IW”设置为“1” 意味着它是互连的NSH。标志字段“IW”设置为“0”意味着它不是 互通NSH。
通用NSH中具有四个固定长度上下文报头,其中一个或多个可 用于支持SFC与SSC的互通。例如,如图8所示,互通NSH在标志 字段IW处指示该分组是互通分组还是通用分组,并且固定长度上下 文报头1和固定长度上下文报头2可以包括相关联的元数据。例如, 固定上下文报头1可以包括流标识符和SFC互通功能的地址(例如, IP地址),该地址可以在互通SFC完成之后,指示将被传送回SFC 互通功能的流/分组。固定上下文报头2可以包括与特定业务(例如, 安全业务、支付业务等)相关联的元数据。
在一些实施例中,互通功能310可以支持发现与之互通的SFC域。 例如,互通功能310可以发现支持安全业务的SSC域350,并且互通 功能360可以发现SFC域302。为了简化起见,在这里不讨论相关的 注册和发现机制。
在一些实施例中,互通功能310可以支持互通NSH,将通用NSH 转换为互通NSH,并且将互通NSH转换为通用NSH。在一些实施例 中,互通功能310和360管理两个SFC域之间互通SFC的映射。在 一些实施例中,互通功能310和360可以具有SFF的功能。
互通分类器358可以支持[b-IETF RFC 7665]中定义的功能。在一 些实施例中,互通分类器358可以根据互通NSH的标志字段“IW”, 确定该分组是互通SFC还是通用SFC。
在一些实施例中,互通分类器358可以管理通用SFP和互通SFP。 在一些实施例中,互通分类器358可以响应发送SFC互通请求的互通 功能。例如,SFC域的互通功能310将SFC互通请求发送到安全业务 的SSC域。在SSC域中提供安全业务后,SSC域中的互通分类器358应当将响应转发到SFC域中的互通功能310。
如图3所示,可以在同一主机上部署互通分类器358和互通功能 360,以进行简化。现在将结合图3来描述互通的过程。在该示例中, 端到端业务/应用需要SFC与SSC交互以获得安全保护。
在从业务/应用接收SFC请求时,SFC控制器304创建包括需要 与SSC域350互通的SSC请求的业务链(例如,SFC1)。然后,将 相关的分类策略反映到分类器308中,相关的SFP转发策略将反映到 SFC域302的相应的互通功能310和SFF 321-32N中。SFC控制器304 可以使用各种已知的或者将来开发的方法来创建业务链SFC1。
在SFC域302中,一个流/分组通过分类器308和相应的SFF, 最后到达互通功能310。互通功能310在接收到该流/分组后,构建如 图8所示的互通NSH,存储与SSC域350互通的业务链SFC1的映射 信息。这些映射信息可以包括但不限于:SFC域302中的互通流ID、SFC域中的业务路径标识符(SPI)和业务索引(SI)、SSC域ID、 SSC域中互通分类器2和互通功能2的IP地址、固定长度上下文报 头1和2中的元数据)。然后,互通功能310将具有互通NSH的流/ 分组转发到SSC域的互通分类器358和互通功能360。如图3所示, 互通分类器358和互通功能360可以部署在同一主机上。
在从SSC域302的互通功能310接收到互通NSH的分组/流时, SSC域中的互通分类器358认识到这是互通SSC请求,并根据如图8 所示的固定长度上下文报头2中的元数据选择相应的互通安全业务链 (例如,SSC_1)。如果互通分类器358发现该流/分组没有适当或活 跃的互通SSC,则互通分类器358与SSC控制器352通信以创建互通 SSC。
SSC域350中的互通功能360存储SSC与SFC互通的映射信息, 例如,SSC域350中的互通流ID、SSC域350中的SPI和SI、SFC 域ID、SFC域中的互通流ID、SFC域中的SPI&SI、IP地址、SFC 域中的互通功能310、固定长度上下文报头1和2中的元数据等。将 互通NSH转换为通用NSH,并将保持在固定长度上下文报头1和/ 或2中的元数据。
互通分类器358根据相应的SFP将该流/分组与通用NSH转发到 SSC域中的下一跳。通用NSH的分组/流通过SSC域350所需的安全 功能和SFF,然后根据SFP返回到互通分类器358。
当在SSC域350中从SFF接收到具有通用NSH的流/包时,互通 分类器358认识到这是一个互通的SSC。互通功能360查找映射信息, 发现该SSC的下一跳是SFC域中的互通功能310。互通功能360将通 用NSH转换为互通NSH。
互通分类器358将该流/分组与互通NSH转发到SFC域302中的 互通功能310。SFC域302中的互通功能310将互通NSH转换为通用 NSH,并将其转发到SFC域中业务链SFC1的下一跳。此时,SFC与 SSC的互通已完成。
现在将结合紧急车辆(SV)提速这一特定场景来描述根据本公开 的实施例的示例方法。然而,应当理解,这仅仅是出于便于描述的目 的。本公开的实施例还可以被应用到其他物联网场景中,并且本公开 的范围在此方面不受限制。
在当前社会中,公共安全和灾难救援业务(诸如,紧急医疗业务、 消防和反恐等)越来越重要。然而,诸如救护车、消防车和警车这样 的SV可能会遭遇交通拥堵,从而导致向市民传递的救援业务或公共 安全业务的延迟。因此,有必要提供SV提速业务以提高交通效率和 安全性。
图4示出了一种可能的SFC(称为ITS SFC1),其示出了如何提 供SV提速业务:分类器408->SFF 421->交通自动化编排431-> SFF 421->SFF 423->SV提速433->SFF 423->SFF424->动态地 图业务434->SFF 424->SFF 423->SV提速433->SFF 423->SFF 421->交通自动化编排431。另外,图4中还示出了SFF 422和公交 车道优化432,为了简单起见,未对其进行详细描述。
当紧急车辆执行任务时,紧急车辆的ITS终端向分类器408发送 提速请求。分类器408选择业务转发路径(SFP)并将请求转发到交 通自动化编排431,继而转发到SV提速433。SV提速433向动态地 图业务434发送路由请求。动态地图业务根据静态地图和路侧单元(RSU,例如交通信号灯和测速计)的状态来生成若干路线选项,包 括道路和车道的标识符,然后向SV提速433发送相应的响应。SV 提速433根据标准(例如,拥堵情况和距离远近)从路线选项中选择 最佳路线,并且通知交通自动化编排431向安装有ITS终端的其他车 辆广播提速占道消息(道路ID和占道的车道ID)。普通车辆收到该 占道消息之后,检查其当前位置,并且如果正在使用占道的车道,则 将该车道让出。然后,紧急车辆可以使用占道的车道。一旦紧急车辆 到达目的地,紧急车辆的ITS终端就可以向SV提速433发送提速释 放信息,以释放占道的车道。
图4还示出了另一个可能的SFC(称为ITS SFC2),该SFC支 持ITS业务通知城市交通管理业务来控制交通灯。该SFC的路径如下: 交通自动化编排431->SFF 421->SFF 425->城市交通管理业务 435。交通自动化编排431不断检查路线中的拥堵状态。如果拥堵较 高,则向城市交通管理业务435处发送提速RSU命令,以将交通灯 控制为绿灯和/或减少红灯时间,从而减少路线中的拥堵。
如上所述,为了提供紧急车辆提速业务,可以创建如图4所示的ITS SFC1和/或ITSSFC2。另外,城市交通管理业务也可能被部署在 由城市交警部门管理的不同的SFC域中。因此,在ITS SFC域与管理 城市交通管理业务的另一个SFC域之间,也可能需要互通。然而,为了简化描述,在这里假设城市交通管理业务也部署在ITS SFC域中。
SV提速业务是一种智能交通业务(ITS)。可能有攻击者冒充合 法用户访问SV提速业务。另外,请求中也可以被注入病毒或恶意软 件,并发送到城市交通管理业务处以控制交通灯。因此,可以执行用 于ITS业务的安全策略,例如对用户和ITS终端进行认证,对针对城 市交通管理业务的请求进行攻击检测和流量清理。
为了说明SSC与SFC的互通,假定ITS SFC域和SSC域由不同 的业务提供商管理。另一方面,SSC域可以与除SFC域之外的其他 SFC域互通。还假设这两个SFC域的底层网络可以支持SFC。
图5示出了根据本公开的一个实施例的在SV提速业务中进行认 证的示意图。为了减轻/防止假冒攻击,在用户访问SV提速业务之前 可以对用户进行认证。为了描述SSC域如何与SFC域互通,假定认 证业务由可信的第三方(例如,政府、公共安全部门等)来提供。
如图5所示,可以将ITS SFC域内的SFC1与SSC域内的SSC1 相结合来提供认证。两者相结合之后的路径如下:分类器508->SFF 521->交通自动化编排531->SFF 521->互通功能510->互通分类 器558和互通功能560->SFF 561->认证571->SFF 561->互通分 类器558和互通功能560-互通功能510->SFF 523->SV提速533 ->SFF 523->SFF 524->动态地图业务534->SFF 524->SFF 523-> SV提速533->SFF 523->SFF 521->交通自动化编排531。
另外,图5还示出了SFF 522和公交车道优化522、SFF 562和分 布式拒绝服务攻击(DDOS)清除器572。为了简单起见,没有对这 些模块进行详细描述。
在一些实施例中,可以将ITS SFC域的SFC域标识符设置为 SFC_D001,将SSC域的SFC域标识符设置为SFC_D002。另外,还 可以将互通分类器558和互通功能560部署在同一主机上,以进行简 化。
在一些实施例中,ITS SFC控制器504中的互通代理506可以管 理表1中SSC域的注册:
表1
| SFC域ID | SFC域名 | IP地址 | 描述 |
| SFC_D002 | SSC域 | 192.168.0.1 | 安全 |
根据ITS安全要求,ITS SFC控制器504中的互通代理506可以 管理表2中的SSC控制器552的逻辑SSC。例如,在一个实施例中, ITS业务可以需要两个逻辑SSC,分别是SSC1(认证)和SSC2(深 度分组检测(DPI)->流量清理)。
表2
ITS SFC控制器504中的互通代理506配置互通功能510,以支 持SFC域502与SSC域550互通。互通功能510管理表3和表4中 SFC交互信息的映射。
表3
表4
对于SFC域的注册信息更新与SSC互通,ITS SFC控制器504 中的互通代理506可以定期从SSC域550获取更新的注册信息,或者 SSC控制器552中的互通代理556在有更新时报告其注册状态。因此, 上表1将相应更新。
以下结合图5来描述ITS SFC域502与SSC域550的互通的流程。 互通功能510在接收到来自交通自动化编排531的分组/流时,构建互 通NSH,如图9a所示。应当理解,这里没有示出与SFC互通无关的 其他字段的值。如图9a所示,该互通NSH包括指示该分组为互通分组的标志(IW)、流标识符(IW_001)、互通功能510的IP地址 (301.108.9.12)以及与安全业务链(SSC1)相关联的元数据。
互通功能510可以存储如表3所示的映射信息,并将具有互通 NSH的分组/流转发给互通分类器558和互通功能560。
互通分类器558根据分组/流内的上下文报头2内的元数据来选择 选择SSC1,同时指示认证571将分组/流返回给互通分类器558和互 通功能560。互通功能560将互通NSH转换为通用NSH,如图9b所 示。该通用NSH包括指示该分组为通用分组的标志(U)、流标识符(IW_025)、互通分类器580和互通功能560的IP地址(201.108.10.1) 以及与安全业务链(SSC1)相关联的元数据。
互通分类器558和互通功能560可以存储如表4所示的映射信息, 并将具有通用NSH的分组/流转发给认证671。
认证571通过固定上下文报头2中的“认证:用户名/凭据”来对 用户进行认证。然后,使用“认证:成功/失败”来更新字段“固定长 度上下文报头2”。更新后的NSH如图9c所示。该通用NSH包括指 示该分组为通用分组的标志(U)、流标识符(IW_025)、互通分类 器580和互通功能560的IP地址(201.108.10.1)以及针对元数据的 响应。
认证571通过检查固定长度上下文报头1的字段,可以确定互通 分类器558和互通功能560的地址,然后将分组/流转发给互通分类器 558和互通功能560。互通分类器558和互通功能560可以将普通NSH 转换为互通NSH,如图9d所示。该互通NSH包括指示该分组为互通 分组的标志(IW)、流标识符(IW_001)、互通功能510的IP地址 (301.108.9.12)以及针对元数据的响应。
互通分类器558和互通功能560将具有互通NSH的分组/流转发 到互通功能510。互通功能510将互通NSH转换为通用NSH,如图 9e所示。该通用NSH包括指示该分组为通用分组的标志(U)以及 针对元数据的响应。
互通功能510通过SFF 523将具有通用NSH的分组/流转发到SV 提速533。后续操作与图4所示的操作详细,不再进行详细描述。
图6示出了根据本公开的一个实施例的用于流量清洗的操作的示 意图。图6与图5具有相同的架构,区别仅在于使用了不同的业务功 能链。
根据图4所示的ITS SFC2,交通自动化编排会持续检查路线中的 拥堵状态。如果拥堵较高,则向城市交通管理业务发送提速RSU命 令,控制交通灯为绿灯或减少红灯时间,以减少道路拥堵。
然而,攻击者可能会将病毒或恶意软件注入到城市交通管理业务 的提速RSU命令中。因此,在将该命令转发给城市交通管理业务之 前,需要对进行提速RSU命令的流/分组进行病毒或恶意软件扫描、 检测和清除。这可以通过将图6中的ITS SFC2与SSC2相结合来实现。
SFC2与SSC2相结合之后的路径如下:交通自动化编排531-> SFF 521->互通功能510->互通分类器558和互通功能560->SFF 563 ->DPI 573->SFF 563->SFF 564->流量清洗574->SFF 564->互通 分类器558和互通功能560->SFC互通功能510->SFF5 525->城市交通管理业务。
互通功能510在接收到来自交通自动化编排531的分组/流时,互 通功能510构建一个互通NSH,如图10a所示。该互通NSH包括指 示该分组为互通分组的标志(IW)、流标识符(IW_002)、互通功 能510的IP地址(301.108.9.12)以及与安全业务链(SSC2)相关联 的元数据。
互通功能510存储如表3所示的映射信息,并将具有互通NSH 的流/分组转发给互通分类器558和互通功能560。
根据互通NSH的上下文报头2内的元数据,互通分类器558选 择SSC2,并指示SF(DPI或流量清理)应当将流/分组返回给互通分 类器558和互通功能560。互通功能560将互通NSH转换为通用NSH, 如图10b所示。该通用NSH包括指示该分组为互通分组的标志(U)、流标识符(IW_026)、互通分类器580和互通功能560的IP地址 (201.108.10.1)以及与安全业务链(SSC2)相关联的元数据。
互通分类器558和互通功能560可以保存如表4所示的映射信息, 并将分组/流转发给DPI 573。
根据“过滤规则:病毒名称”,DPI 573扫描分组/流,检测分组 /流中是否有病毒。如果没有病毒,DPI 573会将分组/流转发给互通分 类器558和互通功能560。如果有病毒,DPI 573会将分组/流转发到 流量清理574。然后通过流量清理从病毒分组中删除病毒。之后,流 量清洗将清理后的分组/流转发给互通分类器558和互通功能560。
如果DPI确定没有病毒,则将NSH更新为图10c所示。该通用 NSH包括指示该分组为互通分组的标志(U)、流标识符(IW_026)、 互通分类器580和互通功能560的IP地址(201.108.10.1)以及针对 元数据的响应(无病毒)。
在流量清洗574对病毒进行清洗之后,可以将NSH更新为如图 10d所示。该通用NSH包括指示该分组为互通分组的标志(U)、流 标识符(IW_026)、互通分类器580和互通功能560的IP地址 (201.108.10.1)以及针对元数据的响应(病毒已去除)。
DPI 573或流量清理574检查固定长度上下文报头1字段,查找 互通分类器558和互通功能560的地址,然后将分组/流转发到互通分 类器558和互通功能560。互通分类器558和互通功能560将普通NSH 转换为互通NSH,如图10e所示。该互通NSH包括指示该分组为互 通分组的标志(IW)、流标识符(IW_002)、互通功能510的IP地 址(301.108.9.12)以及针对元数据的响应(没有病毒或病毒已去除)。
互通分类器558和互通功能560将互通NSH的流量/报文转发到 ITS的SFC域502内的互通功能510。互通功能510将互通NSH转换 为通用NSH,如图10f所示。该通用NSH包括指示该分组为通用分 组的标志(U)以及针对元数据的响应。互通功能510将具有该通用 NSH的分组/流转发给城市交通管理业务。
图11示出了根据本公开的一个实施例的用于在不同域之间进行 互通的方法1100的流程图。方法1100可以在例如图3所示的互通功 能310或者图5-图6的互通功能510处实现。
在框1102,在第一域中的第一业务链的第一逻辑节点接收与第二 域中的第二业务链相关联的第一分组。例如,在SFC域502中的第一 业务链(SFC1)的互通功能510接收与SSC域550中的第二业务链 (SSC1)相关联的第一分组。第一分组为通用分组。在一些实施例中, 第二域是安全业务链域,如图3、图5和图6所示。应当理解,第二 域也可以是其他类型的业务链域,例如计费链域或服务质量(QoS) 域。
在框1104,第一逻辑节点将第一分组转换为第二分组,第二分组 是互通分组,包括第一业务链与第二业务链之间的第一互通信息。第 一互通信息包括指示第二分组为互通分组的标志、第一逻辑节点的地 址、第二分组的第一流标识符、第二分组的第一业务路径标识符以及 与第二业务链相关联的元数据。例如,第二分组可以包括如图9a和 图10a所示的互通NSH。
在框1106,第一逻辑节点将第二分组发送至第二域中的第二逻辑 节点。例如,互通逻辑节点510将第二分组发送至SSC域550中的互 通分类器558和互通功能560。
在框1108,第一逻辑节点从第二逻辑节点接收针对元数据的响 应。例如,如果元数据是用于认证的元数据,则响应可以是认证成功 或失败的指示。
在一些实施例中,第一逻辑节点还可以存储第一业务链与第二业 务链之间的映射信息。该映射信息包括以下至少一项:第二分组的第 一流标识符、第二分组的第一业务路径标识符、第二域的标识符、第 二逻辑节点的地址以及与第二业务链相关联的元数据。该映射信息可 以如表3所示。
在一些实施例中,第一逻辑节点可以从第二逻辑节点接收第三分 组,第三分组包括所述第一业务链与所述第二业务链之间的第二互通 信息,第二互通信息包括所述第一流标识符、第一业务路径标识符以 及针对元数据的响应。第三分组可以包括如图9d和图10e所示的扩 展NSH。在一些实施例中,第二业务链还可以对第二分组的有效载荷 进行处理。相应地,第三分组包括经第二业务链处理的有效载荷。例 如,在如图6所示的流量清洗的实施例中,第二业务链(SSC2)可以 将第二分组中的病毒去除,从而第三分组的有效载荷将具有从第二分 组的有效载荷中去除病毒的有效载荷。
在一些实施例中,第一逻辑节点将第三分组转换为第四分组,第 四分组包括指示第四分组为非互通分组的标志以及针对元数据的响 应。例如,第一逻辑节点可以将互通分组转换为通用分组。第一逻辑 节点可以向第一业务链内的第三逻辑节点发送第四分组。第四分组可 以包括如图9e和图10f所示的通用NSH。
图12示出了根据本公开的一个实施例的用于在不同域之间进行 互通的方法1200的流程图。方法1200可以在例如图3所示的互通分 类器358和互通功能360或者图5-图6所示的互通分类器558和互通 功能560处实现。
在框1202,第二域的第二逻辑节点确定所接收的第二分组是否为 互通分组。例如,第二逻辑节点可以是如图5或图6所示的互通分类 器558和互通功能560。例如,可以通过查看标志字段来确定该分组 是否为互通分组。第二分组可以包括如图9a或图10a所示的互通NSH。在一些实施例中,所述第二域是安全业务链(SSC)域。应当 理解,第二域也可以是其他类型的业务链域,例如计费链域或服务质 量(QoS)域。
如果确定第二分组是互通分组,则方法1200前进至框1204。在 框1204,第二逻辑节点从第二分组中获取与第二域中的第二业务链相 关联的元数据。例如,互通分类器558和互通功能560可以从第二分 组获取与SSC域550中的第二业务链(例如,SSC1)相关联的元数 据。例如,在业务链SSC1是用于认证的情况下,元数据可以包括用 户名/认证凭据等信息。
在框1206,第二逻辑节点将第二分组转换为第五分组。第五分组 为通用分组,包括指示第五分组为非互通分组的标志、第五分组的第 二流标识符、第五分组的第二业务路径标识符、第二逻辑节点的地址 以及与第二业务链相关联的元数据。第五分组可以包括如图9b或图 10b所示的通用NSH。
在框1208,第二逻辑节点将第五分组转发给第二业务链内的第四 逻辑节点。第四逻辑节点可以是图5所示的SFF 561或者图6所示的 SFF 563。
在框1210,第二逻辑节点从第二业务链内的第五逻辑节点接收第 六分组,第六分组包括所述第二流标识符、第二业务路径标识符以及 针对所述元数据的响应。第五逻辑节点和第六逻辑节点可以是同一个 节点,也可以是不同的节点。例如,在图5所示的示例中,第五逻辑 节点和第六逻辑节点均为SFF 561,而在图6所示的示例中,第五逻 辑节点为SFF561,而第六逻辑节点为SFF 564或者SFF 561。第六分 组可以包括如图9c所示的通用NSH,或者包括如图10c或10d所示 的通用NSH。在一些实施例中,第二业务链还可以对第二分组的有效 载荷进行处理。相应地,第六分组包括经第二业务链处理的有效载荷。 例如,在图6所示的实施例中,第二业务链(SSC2)可以将第二分组 中的病毒去除,从而第六分组的有效载荷将具有从第二分组的有效载 荷中去除病毒的有效载荷。
在一些实施例中,第二逻辑节点还可以存储第二业务链与第一域 内的第一业务链之间的映射信息。映射信息包括以下至少一项:在所 述第一域内的第一流标识符、第二分组的第一流标识符、第二分组的 第一业务路径标识符、在所述第二域内的第二流标识符、第二业务路 径标识符、第二分组来源的所述第一域内的第一逻辑节点的地址以及 与所述第二业务链相关联的元数据。
在一些实施例中,第二逻辑节点将所述第六分组转换为第三分 组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通 信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述 第一业务路径标识符、所述第一流标识符以及与针对元数据的响应。 第二逻辑节点基于所述映射信息来确定所述第一逻辑节点的地址。第 二逻辑节点将所述第三分组发送至所述第一逻辑节点。例如,第三分 组可以包括如图9d所示的互通NSH,或者包括如图10e所示的互通 NSH。在一些实施例中,第二业务链还可以对第二分组的有效载荷进 行处理。相应地,第三分组包括经第二业务链处理的有效载荷。例如, 在图6所示的实施例中,第二业务链(SSC2)可以将第二分组中的病 毒去除,从而第三分组的有效载荷将具有从第二分组的有效载荷中去 除病毒的有效载荷。
在一些实施例中,响应于确定所述第二域内不包括所述第二业务 链,向控制器发送请求以在所述第二域内创建所述第二业务链。
图13示出了可以用来实施本公开的实施例的示例设备1300的示 意性框图。如图所示,设备1300包括中央处理单元(CPU)1301, 其可以根据存储在只读存储器(ROM)1302中的计算机程序指令或 者从存储单元1308加载到随机访问存储器(RAM)1303中的计算机 程序指令,来执行各种适当的动作和处理。在RAM 1303中,还可存 储设备1300操作所需的各种程序和数据。CPU 1301、ROM 1302以 及RAM 1303通过总线1304彼此相连。输入/输出(I/O)接口1305 也连接至总线1304。
设备1300中的多个部件连接至I/O接口1305,包括:输入单元1306,例如键盘、鼠标等;输出单元1307,例如各种类型的显示器、 扬声器等;存储单元1308,例如存储盘、光盘等;以及通信单元1309, 例如网卡、调制解调器、无线通信收发机等。通信单元1309允许设备1300通过诸如因特网的计算机网络和/或各种电信网络与其他设备 交换信息/数据。
上文所描述的各个过程和处理,例如方法1100和/或1200,可由 处理单元1301执行。例如,在一些实施例中,方法1100和/或1200 可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如 存储单元1308。在一些实施例中,计算机程序的部分或者全部可以经 由ROM 1302和/或通信单元1309而被载入和/或安装到设备1300上。 当计算机程序被加载到RAM 1303并由CPU 1301执行时,可以执行 上文描述的方法1100和/或1200的一个或多个动作。
本公开可以是方法、装置、系统和/或计算机程序产品。计算机程 序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各 个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使 用的指令的有形设备。计算机可读存储介质例如可以是——但不限 于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导 体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具 体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取 存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器 (EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩 盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、 机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以 及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解 释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过 波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、 或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质 下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广 域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜 传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计 算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络 接口从网络接收计算机可读程序指令,并转发该计算机可读程序指 令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集 架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、 状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码 或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类 似的编程语言。计算机可读程序指令可以完全地在用户计算机上执 行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分 在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或 服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任 意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算 机,或者,可以连接到外部计算机(例如利用因特网业务提供商来通 过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的 状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程 门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行 计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序 产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图 和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以 由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或 其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这 些指令在通过计算机或其它可编程数据处理装置的处理单元执行时, 产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作 的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介 质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特 定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品, 其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作 的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处 理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或 其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使 得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实 现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、 方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点 上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的 一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现 规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所 标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连 续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序 执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的 每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的 功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与 计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非 穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实 施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许 多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地 解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者 使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (26)
1.一种通信方法,包括:
在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;
将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第二分组的第一业务路径标识符、所述第一逻辑节点的地址、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;
将所述第二分组发送至所述第二域中的第二逻辑节点;以及
从所述第二逻辑节点接收针对所述元数据的响应。
2.根据权利要求1所述的方法,还包括:
将所述第一业务链与所述第二业务链之间的映射信息存储在所述第一逻辑节点处,所述映射信息包括以下至少一项:
所述第二分组的第一业务路径标识符,
所述第二分组的第一流标识符,
所述第二域的标识符,
所述第二逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
3.根据权利要求1所述的方法,其中从所述第二逻辑节点接收针对所述元数据的响应包括:
从所述第二逻辑节点接收第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的第二互通信息,所述第二互通信息包括所述第一业务路径标识符、第一流标识符以及针对所述元数据的所述响应。
4.根据权利要求3所述的方法,还包括:
将所述第三分组转换为第四分组,所述第四分组包括指示所述第四分组为非互通分组的标志以及针对所述元数据的所述响应;以及
向所述第一业务链内的第三逻辑节点发送所述第四分组。
5.根据权利要求1所述的方法,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
6.根据权利要求3所述的方法,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
7.一种通信方法,包括:
在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;
将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二域内的第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;
将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及
从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述元数据的响应。
8.根据权利要求7所述的方法,还包括:
存储所述第二业务链与第一域内的第一业务链之间的映射信息,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
所述第二分组的第一业务路径标识符,
所述第一域的标识符,
在所述第二域内的第二流标识符,
在所述第二域内的第二业务路径标识符,
所述第二分组来源的所述第一域内的第一逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
9.根据权利要求8所述的方法,还包括:
将所述第六分组转换为第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的响应;
基于所述映射信息来确定所述第一逻辑节点的地址;以及
将所述第三分组发送至所述第一逻辑节点。
10.根据权利要求7所述的方法,还包括:
响应于确定所述第二域内不包括所述第二业务链,向控制器发送请求以在所述第二域内创建所述第二业务链。
11.根据权利要求7所述的方法,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
12.根据权利要求9所述的方法,其中所述第二分组包括第一有效载荷,并且所述第三分组包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
13.一种用于在业务功能链域之间进行互通的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;
将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第二分组的第一业务路径标识符、所述第一逻辑节点的地址、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;
将所述第二分组发送至所述第二域中的第二逻辑节点;以及
从所述第二逻辑节点接收针对所述元数据的响应。
14.根据权利要求13所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第一业务链与所述第二业务链之间的映射信息存储在所述第一逻辑节点处,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
所述第二分组的第一业务路径标识符,
所述第二域的标识符,
所述第二逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
15.根据权利要求13所述的设备,其中从所述第二逻辑节点接收针对所述元数据的响应包括:
从所述第二逻辑节点接收第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的第二互通信息,所述第二互通信息包括所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的所述响应。
16.根据权利要求15所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第三分组转换为第四分组,所述第四分组包括指示所述第四分组为非互通分组的标志以及针对所述元数据的所述响应;以及
向所述第一业务链内的第三逻辑节点发送所述第四分组。
17.根据权利要求13所述的设备,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
18.根据权利要求15所述的设备,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
19.一种用于在业务功能链域之间进行互通的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;
将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;
将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及
从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二业务路径标识符、第二流标识符以及针对所述元数据的响应。
20.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
存储所述第二业务链与第一域内的第一业务链之间的映射信息,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
第二分组的第一业务路径标识符,
所述第一域的标识符,
在所述第二域内的第二流标识符,
在所述第二域内的第二业务路径标识符,
所述第二分组来源的所述第一域内的第一逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
21.根据权利要求20所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第六分组转换为第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的响应;
基于所述映射信息来确定所述第一逻辑节点的地址;以及
将所述第三分组发送至所述第一逻辑节点。
22.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
响应于确定所述第二域内不包括所述第二业务链,向控制器发送请求以在所述第二域内创建所述第二业务链。
23.根据权利要求19所述的设备,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
24.根据权利要求21所述的设备,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
25.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1-6中任一项所述的方法。
26.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求7-12中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810101927.2A CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
| US15/733,425 US11258701B2 (en) | 2018-02-01 | 2019-02-01 | Method and device for interworking between service function chain domains |
| PCT/CN2019/074450 WO2019149273A1 (en) | 2018-02-01 | 2019-02-01 | Method and device for interworking between service function chain domains |
| EP19747854.8A EP3738278A4 (en) | 2018-02-01 | 2019-02-01 | METHOD AND DEVICE FOR COOPERATION BETWEEN SERVICE FUNCTION CHAIN DOMAINS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810101927.2A CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110113291A true CN110113291A (zh) | 2019-08-09 |
| CN110113291B CN110113291B (zh) | 2020-10-13 |
Family
ID=67479081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810101927.2A Active CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11258701B2 (zh) |
| EP (1) | EP3738278A4 (zh) |
| CN (1) | CN110113291B (zh) |
| WO (1) | WO2019149273A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
| US9531590B2 (en) | 2014-09-30 | 2016-12-27 | Nicira, Inc. | Load balancing across a group of load balancers |
| US9774537B2 (en) | 2014-09-30 | 2017-09-26 | Nicira, Inc. | Dynamically adjusting load balancing |
| US10516568B2 (en) | 2014-09-30 | 2019-12-24 | Nicira, Inc. | Controller driven reconfiguration of a multi-layered application or service model |
| US10609091B2 (en) | 2015-04-03 | 2020-03-31 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
| US10805181B2 (en) | 2017-10-29 | 2020-10-13 | Nicira, Inc. | Service operation chaining |
| US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
| US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
| US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
| US11042397B2 (en) | 2019-02-22 | 2021-06-22 | Vmware, Inc. | Providing services with guest VM mobility |
| US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
| US11140218B2 (en) * | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
| US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
| US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
| US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
| US11277331B2 (en) | 2020-04-06 | 2022-03-15 | Vmware, Inc. | Updating connection-tracking records at a network edge using flow programming |
| US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
| CN114928530B (zh) * | 2022-04-24 | 2024-04-09 | 中国工商银行股份有限公司 | 链路信息采集方法及相关装置 |
| CN115051836B (zh) * | 2022-05-18 | 2023-08-04 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102598720A (zh) * | 2009-11-13 | 2012-07-18 | 三星电子株式会社 | 执行和提供域服务的方法和装置 |
| WO2016041606A1 (en) * | 2014-09-19 | 2016-03-24 | Nokia Solutions And Networks Oy | Chaining of network service functions in a communication network |
| US20160164825A1 (en) * | 2014-12-04 | 2016-06-09 | Cisco Technology, Inc. | Policy Implementation Based on Data from a Domain Name System Authoritative Source |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105337852B (zh) * | 2014-07-03 | 2019-11-05 | 华为技术有限公司 | 更新业务流报文的处理方式的方法及装置 |
| US9537752B2 (en) | 2014-07-14 | 2017-01-03 | Cisco Technology, Inc. | Encoding inter-domain shared service paths |
| CN105681198B (zh) | 2014-11-21 | 2018-11-20 | 华为技术有限公司 | 一种业务链处理方法、设备及系统 |
| US9531850B2 (en) | 2014-12-04 | 2016-12-27 | Cisco Technology, Inc. | Inter-domain service function chaining |
| US10958481B2 (en) | 2016-04-29 | 2021-03-23 | Hewlett Packard Enterprise Development Lp | Transforming a service packet from a first domain to a second domain |
-
2018
- 2018-02-01 CN CN201810101927.2A patent/CN110113291B/zh active Active
-
2019
- 2019-02-01 WO PCT/CN2019/074450 patent/WO2019149273A1/en unknown
- 2019-02-01 US US15/733,425 patent/US11258701B2/en active Active
- 2019-02-01 EP EP19747854.8A patent/EP3738278A4/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102598720A (zh) * | 2009-11-13 | 2012-07-18 | 三星电子株式会社 | 执行和提供域服务的方法和装置 |
| WO2016041606A1 (en) * | 2014-09-19 | 2016-03-24 | Nokia Solutions And Networks Oy | Chaining of network service functions in a communication network |
| CN107078957A (zh) * | 2014-09-19 | 2017-08-18 | 诺基亚通信公司 | 通信网络中的网络服务功能的链接 |
| US20160164825A1 (en) * | 2014-12-04 | 2016-06-09 | Cisco Technology, Inc. | Policy Implementation Based on Data from a Domain Name System Authoritative Source |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019149273A1 (en) | 2019-08-08 |
| EP3738278A4 (en) | 2021-10-27 |
| CN110113291B (zh) | 2020-10-13 |
| US11258701B2 (en) | 2022-02-22 |
| US20200358696A1 (en) | 2020-11-12 |
| EP3738278A1 (en) | 2020-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113291A (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
| US8713628B2 (en) | Method and system for providing cloud based network security services | |
| CN111684775B (zh) | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 | |
| ES2768049T3 (es) | Procedimientos y sistemas para asegurar y proteger repositorios y directorios | |
| EP2947845A1 (en) | Border property validation for named data networks | |
| JP5451901B2 (ja) | 公共設備でネットワークにアクセスする方法及びシステム | |
| Wasicek | The future of 5G smart home network security is micro-segmentation | |
| CN101540755A (zh) | 一种修复数据的方法、系统和装置 | |
| US9338137B1 (en) | System and methods for protecting confidential data in wireless networks | |
| US20230208817A1 (en) | Policy based personally identifiable information leakage prevention in cloud native enviroments | |
| CN108418776B (zh) | 用于提供安全业务的方法和设备 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| Petho et al. | Analysis of security vulnerability levels of in-vehicle network topologies applying graph representations | |
| CN102447626A (zh) | 具有策略驱动路由的主干网 | |
| US11681813B2 (en) | System and method for enforcing context-based data transfer and access | |
| KR102224454B1 (ko) | 네트워크 트래픽 제어 방법, 장치, 시스템 및 컴퓨터 프로그램 | |
| Karthick et al. | Formalization and analysis of a resource allocation security protocol for secure service migration | |
| US20070204018A1 (en) | Method and system for obviating redundant actions in a network | |
| CN115065548A (zh) | 一种增强型网络安全接入区数据管控系统及方法 | |
| KR101911913B1 (ko) | 서비스 기능 체이닝 방법 및 이를 위한 장치 | |
| JP6511013B2 (ja) | Sfcシステム、および、sfc制御方法 | |
| WO2023150531A1 (en) | Cloud-link adaptor of a multi-cloud infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |