CN110113291B - 用于在业务功能链域之间进行互通的方法和设备 - Google Patents
用于在业务功能链域之间进行互通的方法和设备 Download PDFInfo
- Publication number
- CN110113291B CN110113291B CN201810101927.2A CN201810101927A CN110113291B CN 110113291 B CN110113291 B CN 110113291B CN 201810101927 A CN201810101927 A CN 201810101927A CN 110113291 B CN110113291 B CN 110113291B
- Authority
- CN
- China
- Prior art keywords
- packet
- chain
- domain
- interworking
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Abstract
本公开的实施例涉及用于在业务功能链(即业务链)域之间进行互通的方法和设备。在一些实施例中,提供了一种通信方法。该通信方法包括:在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;将第一分组转换为第二分组,第二分组包括第一业务链与第二业务链之间的第一互通信息,第一互通信息包括指示第二分组为互通分组的标志、第一逻辑节点的地址、第二分组的第一流标识符、第一业务路径标识符以及与第二业务链相关联的元数据;将第二分组发送至第二域中的第二逻辑节点;以及从第二逻辑节点接收针对元数据的响应。
Description
技术领域
本公开的实施例一般涉及网络领域,并且具体地涉及用于在业务功能链(即业务链)域之间进行互通的方法、设备和计算机可读存储介质。
背景技术
随着网络功能虚拟化(NFV)、软件定义网络(SDN)和业务链(SFC)等技术的出现,网络运营者能够进行网络改造以使得网络可编程并且降低成本。因此,基于这些技术能快速和方便地部署各种应用。
为了抵御快速增长和演进的网络攻击(例如,恶意软件、分布式拒绝业务和身份假冒等),需要针对具有不同安全需求的应用动态地、灵活地且自适应地提供个性化的安全业务或功能。然而,传统安全设施(例如,防火墙、入侵检测系统、深度分组检测等)的实现基于硬件的中间件,并且部署在网络中的固定位置。因此,传统安全设施难以满足基于上述技术的应用的不同安全需求。
然而,安全业务可能部署在不同的域中,而现有的业务链技术无法支持这种跨不用的域的业务链。因此,需要一种支持在不同业务提供商管理和操作的多个域之间来提供互通的技术方案。
发明内容
下面给出了对各实施例的简要概述,以提供对各种实施例的一些方面的基本理解。注意,发明内容部分并非旨在标识关键元素的要点或描述各种实施例的范围。其唯一目的在于以简化形式呈现一些概念,作为对后述更具体描述的前序。
根据一些实施例,提供了一种通信方法。该方法包括:在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第一逻辑节点的地址、所述第二分组的第一业务路径标识符、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;将所述第二分组发送至所述第二域中的第二逻辑节点;以及从所述第二逻辑节点接收针对所述元数据的响应。
根据一些实施例,提供了一种通信方法。该方法包括:在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述元数据的响应。
根据一些实施例,提供了一种用于在业务功能链域之间进行互通的设备,包括:处理器;以及存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第一逻辑节点的地址、所述第二分组的第一业务路径标识符、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;将所述第二分组发送至所述第二域中的第二逻辑节点;以及从所述第二逻辑节点接收针对所述元数据的响应。
根据一些实施例,提供了一种用于在业务功能链域之间进行互通的设备,包括:处理器;以及存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二流标识符、所述第二业务路径标识符以及针对所述元数据的响应。
根据一些实施例,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现一种方法。该方法包括:在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第一逻辑节点的地址、所述第二分组的第一业务路径标识符、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;将所述第二分组发送至所述第二域中的第二逻辑节点;以及从所述第二逻辑节点接收针对所述元数据的响应。
根据一些实施例,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现一种方法。该方法包括:在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述元数据的响应。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
从下文的公开内容和权利要求中,本发明的目的、优点和其他特征将变得更加明显。这里仅出于示例的目的,参考附图来给出优选实施例的非限制性描述,在附图中:
图1示出根据本公开的实施例的用于提供安全业务的系统的示例性架构图;
图2示出根据本公开的实施例的用于提供安全业务的系统的另一示例性架构图;
图3示出根据本公开的实施例的用于提供安全业务的系统的示例性框图;
图4示出根据本公开的实施例的用于提供智能交通业务的系统的示意性框图;
图5示出根据本公开的实施例的用于为智能交通业务提供安全业务的系统的示例性框图;
图6示出根据本公开的实施例的用于为智能交通业务提供安全业务的系统的示例性框图;
图7示出了根据现有技术的网络业务报头的示意图;
图8示出了根据本公开的实施例的扩展的网络业务报头的示意图;
图9a-9e示出在图5所示的实施例中的多个节点处网络业务报头的示意图;
图10a-10f示出在图6所示的实施例中的多个节点处网络业务报头的示意图;
图11示出根据本公开的实施例的用于在业务功能链域之间进行互通的方法的流程图;
图12示出根据本公开的实施例的用于在业务功能链域之间进行互通的方法的流程图;以及
图13示出可以用来实施本公开的实施例的示例设备的示意性框图。
在各个附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
在以下描述中,出于说明的目的而阐述许多细节。然而,本领域普通技术人员将认识到可以在不使用这些具体细节的情况下实现本发明。因此,本发明不旨在于受限于所示实施例、而是将被赋予与本文描述的原理和特征一致的最宽的范围。
应当理解,术语“第一”、“第二”等仅被用来将一个元素与另一个元素区分开来。而实际上第一元素也能够被称为第二元素,反之亦然。另外还应当理解“包括”,“包含”仅被用来说明所陈述的特征、元素、功能或者部件的存在,然而并不排除存在一个或者多个其他的特征、元素、功能或者部件。
标准[b-IETF RFC 7665]定义了业务功能链(SFC)包括安全业务链(SSC),SSC定义了一组有序的安全功能和安全策略,其可以应用于通过分类所选择的分组和/或流。SSC使安全业务提供商能够管理和运行独立的安全业务,并提供可以集成到其他业务(例如,智能交通系统(ITS)、视频业务和定位业务)中的定制安全业务。通过这种方式,业务提供商(例如,ITS业务提供商、视频业务提供商、位置业务提供商等)可以主要关注于其自己的基本业务逻辑,并从安全业务提供商获得专业的安全业务,以提供给最终用户。
图1示出了根据本公开的实施例的用于提供安全业务的系统100的示意性架构图。系统100可以包括一个或者多个控制器,该一个或多个控制器可以被分布在一个或者多个物理主机和/或虚拟主机上。例如,如图1所示,系统100可以包括安全业务链(SSC)控制器102。应当理解,图1中所示的系统100的架构仅为示例性的,其不用于限制本公开的实施例的功能和范围。
如图1所示,SSC控制器102可以与数据平面上的各个节点进行通信,并对数据平面上的各个节点进行配置。例如,数据平面可以包括分类器104、安全业务转发器(SFF)111、112和相应的业务功能(SF)121和122。图1还示出了一个示例性的安全业务链,其路径为:分类器104->SFF 111->SF 121->SFF 111->SFF 112->SF 122。系统100是独立的SSC,其可以使安全业务提供商可以自己管理和运行独立的安全业务。
图2示出了根据本公开的一个实施例的用于提供安全业务的系统200的示意性架构图。在系统200中,SFC域与SSC域彼此互通以提供端到端的业务/应用。例如,在SFC域内包括第一业务链,并在SSC域内包括第二业务链,第二业务链被整合到第一业务链中以提供端到端的业务/应用。应当理解,尽管图2仅示出了两个不同的域,但是系统200也可以包括更多域,本公开在此不受限制。
在图2的示例中,SFC域可以与SSC域互通以提供端到端的业务/应用。例如,整合的业务链的路径可以是:分类器208->SFF 221->SF 231->SFF 221->SFF 222->分类器258->SFF 262->SF 272->SFF 262->SFF 261->SF 271->SFF 261->分类器258->SFF 222->SF232->SFC代理223->SFC非感知SF->SFC代理223。
安全业务链包括两种类型,一种是非面向用户的SSC,其既不特定于用户,也不是特定的业务逻辑。非面向用户的SSC可以提供各种安全业务,包括分组过滤、入侵检测和防御以及通过安全设备(例如,防火墙、入侵检测系统(IDS)和入侵防御系统(IPS))进行流量清理等。另一种是面向用户的SSC,其特定于用户和/或特定的业务逻辑,通过与SFC控制器配合,以特定顺序集成到SFC中。例如,在开始访问业务之前,最终用户必须经过认证和授权。面向用户的SSC提供安全业务(例如,认证、授权和每个用户的加密/解密等)以实现更高安全级别的保护。图1所示的独立SSC可以应用于非面向用户的SSC,并且图2所示的互通SSC既可以应用于如图1所示的独立SSC,也可以应用于如图2所示的互通SSC。
端到端业务/应用的交付通常需要各种业务功能,这些功能可以在主机中实施,由不同的管理组织或业务提供商来管理和操作。这些主机可能位于地理位置分散的网络中。此外,由第三可信方(例如,安全业务提供商)提供诸如用于端到端业务/应用的认证和分组过滤的安全保护。因此,有必要支持SSC与其他SFC的互通。
图3示出了根据本公开的一个实施例的支持SFC与SSC的互通的架构。如图3所示,一些逻辑功能与[b-IETF RFC 7665]具有相同的定义。例如,这些逻辑功能可以是SFC域302的分类器(例如分类器308)、SFF(例如SFF 321-32N和SFF 361-363)、SF(例如SF 331-33N和安全功能371-373)。
在一些实施例中,为了支持SSC与SFC的互通,可以设置两个新的逻辑功能(即,互通代理306、356和互通功能310、360),并且还可以对在SSC域350内的分类器进行扩展(即,互通分类器358)。
如图3所示,互通代理306和356可以分别在SSC控制器304和SFC控制器352中实现。在一些实施例中,互通代理306或356可以确定端到端业务/应用的交付是否需要业务功能链与其他域中的SFC进行互通。
在一些实施例中,互通代理306或356可以管理与之互通的SFC域的注册。例如,SFC控制器304的互通代理306可以管理SSC域350的注册。注册信息包括但不限于SFC域302的标识符、SFC域302的域名、SFC控制器304的地址(例如IP地址)和端口、SFC域302的功能描述等。另外,应当理解,由于SSC是一种类型的SFC,因此SSC控制器352的互通代理356也可以以相似的方式进行配置。应当理解,尽管这里示出了SFC与SSC的互通,其他任何适当类型的SFC之间的互通也可以以类似方式进行实现,本公开在此不受限制。为了简单起见,现在以SFC域302为例进行描述,应当理解,以下内容也同样适用于SSC域350。
在一些实施例中,互通代理306可以管理SFC目录的注册与其他SFC域的交互。注册信息包括但不限于SFC域的标识符、SFC的标识符、SFC的名称,SFC的业务功能、SFC的功能描述、待联系的互通功能等。
在一些实施例中,互通代理306可以构建整合或组合的业务链(或组合业务转发路径SFP),该业务链可以跨越不同的SFC域。例如,不同的SFC域可以部署在同一地理位置但由不同业务提供商管理。备选地,不同SFC域也可以部署在不同的地理位置并由不同的业务提供商来管理。例如,SFC控制器304可以将SFC域302中的业务链与SSC域350中的安全业务链组合在一起,这可以通过互通功能来实现。
在一些实施例中,互通代理306可以与SFC目录一起更新与其交互的SFC控制器的注册信息。可以使用两种可能的机制来更新注册信息,即主动获取更新和推送更新。例如,SFC控制器304可以定期从SSC域350主动获取SSC目录的更新注册信息。当然,SSC域350中的SSC控制器352可以在有更新的情况下,将其注册状态与SSC目录一起报告给SFC控制器304。
在一些实施例中,互通代理306可以配置互通功能以发现与之交互的SFC域。例如,SFC控制器304可以配置互通功能310来发现SSC域350。
在一些实施例中,互通代理306可以构建[b-IETF RFC 7665]中定义的通用SFP和这里定义的互通SFP。例如,SSC域350中的SSC控制器352可以构建互通SFP并配置互通分类器358以支持SSC与SFC进行互通。
为了方便描述互通功能310,首先结合图7和图8来介绍网络业务报头(NSH)及其扩展。为了简单起见,以下将如图7所示的[b-IETF draft-ietf-sfc-nsh]中定义的NSH称为通用NSH,将具有通用NSH的分组称为通用分组或非互通分组,将如图8所示的NSH称为互通NSH,并将具有互通NSH的分组称为互通分组。
为了简化描述,图8以MD类型=0x1(即固定长度上下文报头)的NSH为例进行说明。当然,图8的示例也可以适用于MD类型=0x2(即可变长度上下文报头)的NSH。此外,还省略了与这里定义的SFC功能无关的一些安全方面,例如如何在SFC域之间或甚至在一个SFC域内传输时为NSH提供机密性和完整性,如何封装扩展NSH等。
图7示出了在[IETF draft-ietf-sfc-nsh]中定义的MD类型=0x1(即固定长度上下文头)的IETF SFC NSH。如图7所示,在NSH基础报头中具有5个未分配的位,标记为“U”。这5个未分配位中的任意一个可以用来表示这个NSH是通用NSH还是在这里定义的互通NSH。例如,第二个未分配位可以用来表示该NSH是一个互通NSH,如图8所示,这一位被示出为“IW”。标志字段“IW”设置为“1”意味着它是互连的NSH。标志字段“IW”设置为“0”意味着它不是互通NSH。
通用NSH中具有四个固定长度上下文报头,其中一个或多个可用于支持SFC与SSC的互通。例如,如图8所示,互通NSH在标志字段IW处指示该分组是互通分组还是通用分组,并且固定长度上下文报头1和固定长度上下文报头2可以包括相关联的元数据。例如,固定上下文报头1可以包括流标识符和SFC互通功能的地址(例如,IP地址),该地址可以在互通SFC完成之后,指示将被传送回SFC互通功能的流/分组。固定上下文报头2可以包括与特定业务(例如,安全业务、支付业务等)相关联的元数据。
在一些实施例中,互通功能310可以支持发现与之互通的SFC域。例如,互通功能310可以发现支持安全业务的SSC域350,并且互通功能360可以发现SFC域302。为了简化起见,在这里不讨论相关的注册和发现机制。
在一些实施例中,互通功能310可以支持互通NSH,将通用NSH转换为互通NSH,并且将互通NSH转换为通用NSH。在一些实施例中,互通功能310和360管理两个SFC域之间互通SFC的映射。在一些实施例中,互通功能310和360可以具有SFF的功能。
互通分类器358可以支持[b-IETF RFC 7665]中定义的功能。在一些实施例中,互通分类器358可以根据互通NSH的标志字段“IW”,确定该分组是互通SFC还是通用SFC。
在一些实施例中,互通分类器358可以管理通用SFP和互通SFP。在一些实施例中,互通分类器358可以响应发送SFC互通请求的互通功能。例如,SFC域的互通功能310将SFC互通请求发送到安全业务的SSC域。在SSC域中提供安全业务后,SSC域中的互通分类器358应当将响应转发到SFC域中的互通功能310。
如图3所示,可以在同一主机上部署互通分类器358和互通功能360,以进行简化。现在将结合图3来描述互通的过程。在该示例中,端到端业务/应用需要SFC与SSC交互以获得安全保护。
在从业务/应用接收SFC请求时,SFC控制器304创建包括需要与SSC域350互通的SSC请求的业务链(例如,SFC1)。然后,将相关的分类策略反映到分类器308中,相关的SFP转发策略将反映到SFC域302的相应的互通功能310和SFF 321-32N中。SFC控制器304可以使用各种已知的或者将来开发的方法来创建业务链SFC1。
在SFC域302中,一个流/分组通过分类器308和相应的SFF,最后到达互通功能310。互通功能310在接收到该流/分组后,构建如图8所示的互通NSH,存储与SSC域350互通的业务链SFC1的映射信息。这些映射信息可以包括但不限于:SFC域302中的互通流ID、SFC域中的业务路径标识符(SPI)和业务索引(SI)、SSC域ID、SSC域中互通分类器2和互通功能2的IP地址、固定长度上下文报头1和2中的元数据)。然后,互通功能310将具有互通NSH的流/分组转发到SSC域的互通分类器358和互通功能360。如图3所示,互通分类器358和互通功能360可以部署在同一主机上。
在从SSC域302的互通功能310接收到互通NSH的分组/流时,SSC域中的互通分类器358认识到这是互通SSC请求,并根据如图8所示的固定长度上下文报头2中的元数据选择相应的互通安全业务链(例如,SSC_1)。如果互通分类器358发现该流/分组没有适当或活跃的互通SSC,则互通分类器358与SSC控制器352通信以创建互通SSC。
SSC域350中的互通功能360存储SSC与SFC互通的映射信息,例如,SSC域350中的互通流ID、SSC域350中的SPI和SI、SFC域ID、SFC域中的互通流ID、SFC域中的SPI&SI、IP地址、SFC域中的互通功能310、固定长度上下文报头1和2中的元数据等。将互通NSH转换为通用NSH,并将保持在固定长度上下文报头1和/或2中的元数据。
互通分类器358根据相应的SFP将该流/分组与通用NSH转发到SSC域中的下一跳。通用NSH的分组/流通过SSC域350所需的安全功能和SFF,然后根据SFP返回到互通分类器358。
当在SSC域350中从SFF接收到具有通用NSH的流/包时,互通分类器358认识到这是一个互通的SSC。互通功能360查找映射信息,发现该SSC的下一跳是SFC域中的互通功能310。互通功能360将通用NSH转换为互通NSH。
互通分类器358将该流/分组与互通NSH转发到SFC域302中的互通功能310。SFC域302中的互通功能310将互通NSH转换为通用NSH,并将其转发到SFC域中业务链SFC1的下一跳。此时,SFC与SSC的互通已完成。
现在将结合紧急车辆(SV)提速这一特定场景来描述根据本公开的实施例的示例方法。然而,应当理解,这仅仅是出于便于描述的目的。本公开的实施例还可以被应用到其他物联网场景中,并且本公开的范围在此方面不受限制。
在当前社会中,公共安全和灾难救援业务(诸如,紧急医疗业务、消防和反恐等)越来越重要。然而,诸如救护车、消防车和警车这样的SV可能会遭遇交通拥堵,从而导致向市民传递的救援业务或公共安全业务的延迟。因此,有必要提供SV提速业务以提高交通效率和安全性。
图4示出了一种可能的SFC(称为ITS SFC1),其示出了如何提供SV提速业务:分类器408->SFF 421->交通自动化编排431->SFF 421->SFF 423->SV提速433->SFF 423->SFF424->动态地图业务434->SFF 424->SFF 423->SV提速433->SFF 423->SFF421->交通自动化编排431。另外,图4中还示出了SFF 422和公交车道优化432,为了简单起见,未对其进行详细描述。
当紧急车辆执行任务时,紧急车辆的ITS终端向分类器408发送提速请求。分类器408选择业务转发路径(SFP)并将请求转发到交通自动化编排431,继而转发到SV提速433。SV提速433向动态地图业务434发送路由请求。动态地图业务根据静态地图和路侧单元(RSU,例如交通信号灯和测速计)的状态来生成若干路线选项,包括道路和车道的标识符,然后向SV提速433发送相应的响应。SV提速433根据标准(例如,拥堵情况和距离远近)从路线选项中选择最佳路线,并且通知交通自动化编排431向安装有ITS终端的其他车辆广播提速占道消息(道路ID和占道的车道ID)。普通车辆收到该占道消息之后,检查其当前位置,并且如果正在使用占道的车道,则将该车道让出。然后,紧急车辆可以使用占道的车道。一旦紧急车辆到达目的地,紧急车辆的ITS终端就可以向SV提速433发送提速释放信息,以释放占道的车道。
图4还示出了另一个可能的SFC(称为ITS SFC2),该SFC支持ITS业务通知城市交通管理业务来控制交通灯。该SFC的路径如下:交通自动化编排431->SFF 421->SFF 425->城市交通管理业务435。交通自动化编排431不断检查路线中的拥堵状态。如果拥堵较高,则向城市交通管理业务435处发送提速RSU命令,以将交通灯控制为绿灯和/或减少红灯时间,从而减少路线中的拥堵。
如上所述,为了提供紧急车辆提速业务,可以创建如图4所示的ITS SFC1和/或ITSSFC2。另外,城市交通管理业务也可能被部署在由城市交警部门管理的不同的SFC域中。因此,在ITS SFC域与管理城市交通管理业务的另一个SFC域之间,也可能需要互通。然而,为了简化描述,在这里假设城市交通管理业务也部署在ITS SFC域中。
SV提速业务是一种智能交通业务(ITS)。可能有攻击者冒充合法用户访问SV提速业务。另外,请求中也可以被注入病毒或恶意软件,并发送到城市交通管理业务处以控制交通灯。因此,可以执行用于ITS业务的安全策略,例如对用户和ITS终端进行认证,对针对城市交通管理业务的请求进行攻击检测和流量清理。
为了说明SSC与SFC的互通,假定ITS SFC域和SSC域由不同的业务提供商管理。另一方面,SSC域可以与除SFC域之外的其他SFC域互通。还假设这两个SFC域的底层网络可以支持SFC。
图5示出了根据本公开的一个实施例的在SV提速业务中进行认证的示意图。为了减轻/防止假冒攻击,在用户访问SV提速业务之前可以对用户进行认证。为了描述SSC域如何与SFC域互通,假定认证业务由可信的第三方(例如,政府、公共安全部门等)来提供。
如图5所示,可以将ITS SFC域内的SFC1与SSC域内的SSC1相结合来提供认证。两者相结合之后的路径如下:分类器508->SFF521->交通自动化编排531->SFF 521->互通功能510->互通分类器558和互通功能560->SFF 561->认证571->SFF 561->互通分类器558和互通功能560-互通功能510->SFF 523->SV提速533->SFF 523->SFF 524->动态地图业务534->SFF 524->SFF 523->SV提速533->SFF 523->SFF 521->交通自动化编排531。
另外,图5还示出了SFF 522和公交车道优化522、SFF 562和分布式拒绝服务攻击(DDOS)清除器572。为了简单起见,没有对这些模块进行详细描述。
在一些实施例中,可以将ITS SFC域的SFC域标识符设置为SFC_D001,将SSC域的SFC域标识符设置为SFC_D002。另外,还可以将互通分类器558和互通功能560部署在同一主机上,以进行简化。
在一些实施例中,ITS SFC控制器504中的互通代理506可以管理表1中SSC域的注册:
表1
SFC域ID | SFC域名 | IP地址 | 描述 |
SFC_D002 | SSC域 | 192.168.0.1 | 安全 |
根据ITS安全要求,ITS SFC控制器504中的互通代理506可以管理表2中的SSC控制器552的逻辑SSC。例如,在一个实施例中,ITS业务可以需要两个逻辑SSC,分别是SSC1(认证)和SSC2(深度分组检测(DPI)->流量清理)。
表2
ITS SFC控制器504中的互通代理506配置互通功能510,以支持SFC域502与SSC域550互通。互通功能510管理表3和表4中SFC交互信息的映射。
表3
表4
对于SFC域的注册信息更新与SSC互通,ITS SFC控制器504中的互通代理506可以定期从SSC域550获取更新的注册信息,或者SSC控制器552中的互通代理556在有更新时报告其注册状态。因此,上表1将相应更新。
以下结合图5来描述ITS SFC域502与SSC域550的互通的流程。互通功能510在接收到来自交通自动化编排531的分组/流时,构建互通NSH,如图9a所示。应当理解,这里没有示出与SFC互通无关的其他字段的值。如图9a所示,该互通NSH包括指示该分组为互通分组的标志(IW)、流标识符(IW_001)、互通功能510的IP地址(301.108.9.12)以及与安全业务链(SSC1)相关联的元数据。
互通功能510可以存储如表3所示的映射信息,并将具有互通NSH的分组/流转发给互通分类器558和互通功能560。
互通分类器558根据分组/流内的上下文报头2内的元数据来选择选择SSC1,同时指示认证571将分组/流返回给互通分类器558和互通功能560。互通功能560将互通NSH转换为通用NSH,如图9b所示。该通用NSH包括指示该分组为通用分组的标志(U)、流标识符(IW_025)、互通分类器580和互通功能560的IP地址(201.108.10.1)以及与安全业务链(SSC1)相关联的元数据。
互通分类器558和互通功能560可以存储如表4所示的映射信息,并将具有通用NSH的分组/流转发给认证671。
认证571通过固定上下文报头2中的“认证:用户名/凭据”来对用户进行认证。然后,使用“认证:成功/失败”来更新字段“固定长度上下文报头2”。更新后的NSH如图9c所示。该通用NSH包括指示该分组为通用分组的标志(U)、流标识符(IW_025)、互通分类器580和互通功能560的IP地址(201.108.10.1)以及针对元数据的响应。
认证571通过检查固定长度上下文报头1的字段,可以确定互通分类器558和互通功能560的地址,然后将分组/流转发给互通分类器558和互通功能560。互通分类器558和互通功能560可以将普通NSH转换为互通NSH,如图9d所示。该互通NSH包括指示该分组为互通分组的标志(IW)、流标识符(IW_001)、互通功能510的IP地址(301.108.9.12)以及针对元数据的响应。
互通分类器558和互通功能560将具有互通NSH的分组/流转发到互通功能510。互通功能510将互通NSH转换为通用NSH,如图9e所示。该通用NSH包括指示该分组为通用分组的标志(U)以及针对元数据的响应。
互通功能510通过SFF 523将具有通用NSH的分组/流转发到SV提速533。后续操作与图4所示的操作详细,不再进行详细描述。
图6示出了根据本公开的一个实施例的用于流量清洗的操作的示意图。图6与图5具有相同的架构,区别仅在于使用了不同的业务功能链。
根据图4所示的ITS SFC2,交通自动化编排会持续检查路线中的拥堵状态。如果拥堵较高,则向城市交通管理业务发送提速RSU命令,控制交通灯为绿灯或减少红灯时间,以减少道路拥堵。
然而,攻击者可能会将病毒或恶意软件注入到城市交通管理业务的提速RSU命令中。因此,在将该命令转发给城市交通管理业务之前,需要对进行提速RSU命令的流/分组进行病毒或恶意软件扫描、检测和清除。这可以通过将图6中的ITS SFC2与SSC2相结合来实现。
SFC2与SSC2相结合之后的路径如下:交通自动化编排531->SFF 521->互通功能510->互通分类器558和互通功能560->SFF 563->DPI 573->SFF 563->SFF 564->流量清洗574->SFF 564->互通分类器558和互通功能560->SFC互通功能510->SFF5 525->城市交通管理业务。
互通功能510在接收到来自交通自动化编排531的分组/流时,互通功能510构建一个互通NSH,如图10a所示。该互通NSH包括指示该分组为互通分组的标志(IW)、流标识符(IW_002)、互通功能510的IP地址(301.108.9.12)以及与安全业务链(SSC2)相关联的元数据。
互通功能510存储如表3所示的映射信息,并将具有互通NSH的流/分组转发给互通分类器558和互通功能560。
根据互通NSH的上下文报头2内的元数据,互通分类器558选择SSC2,并指示SF(DPI或流量清理)应当将流/分组返回给互通分类器558和互通功能560。互通功能560将互通NSH转换为通用NSH,如图10b所示。该通用NSH包括指示该分组为互通分组的标志(U)、流标识符(IW_026)、互通分类器580和互通功能560的IP地址(201.108.10.1)以及与安全业务链(SSC2)相关联的元数据。
互通分类器558和互通功能560可以保存如表4所示的映射信息,并将分组/流转发给DPI 573。
根据“过滤规则:病毒名称”,DPI 573扫描分组/流,检测分组/流中是否有病毒。如果没有病毒,DPI 573会将分组/流转发给互通分类器558和互通功能560。如果有病毒,DPI573会将分组/流转发到流量清理574。然后通过流量清理从病毒分组中删除病毒。之后,流量清洗将清理后的分组/流转发给互通分类器558和互通功能560。
如果DPI确定没有病毒,则将NSH更新为图10c所示。该通用NSH包括指示该分组为互通分组的标志(U)、流标识符(IW_026)、互通分类器580和互通功能560的IP地址(201.108.10.1)以及针对元数据的响应(无病毒)。
在流量清洗574对病毒进行清洗之后,可以将NSH更新为如图10d所示。该通用NSH包括指示该分组为互通分组的标志(U)、流标识符(IW_026)、互通分类器580和互通功能560的IP地址(201.108.10.1)以及针对元数据的响应(病毒已去除)。
DPI 573或流量清理574检查固定长度上下文报头1字段,查找互通分类器558和互通功能560的地址,然后将分组/流转发到互通分类器558和互通功能560。互通分类器558和互通功能560将普通NSH转换为互通NSH,如图10e所示。该互通NSH包括指示该分组为互通分组的标志(IW)、流标识符(IW_002)、互通功能510的IP地址(301.108.9.12)以及针对元数据的响应(没有病毒或病毒已去除)。
互通分类器558和互通功能560将互通NSH的流量/报文转发到ITS的SFC域502内的互通功能510。互通功能510将互通NSH转换为通用NSH,如图10f所示。该通用NSH包括指示该分组为通用分组的标志(U)以及针对元数据的响应。互通功能510将具有该通用NSH的分组/流转发给城市交通管理业务。
图11示出了根据本公开的一个实施例的用于在不同域之间进行互通的方法1100的流程图。方法1100可以在例如图3所示的互通功能310或者图5-图6的互通功能510处实现。
在框1102,在第一域中的第一业务链的第一逻辑节点接收与第二域中的第二业务链相关联的第一分组。例如,在SFC域502中的第一业务链(SFC1)的互通功能510接收与SSC域550中的第二业务链(SSC1)相关联的第一分组。第一分组为通用分组。在一些实施例中,第二域是安全业务链域,如图3、图5和图6所示。应当理解,第二域也可以是其他类型的业务链域,例如计费链域或服务质量(QoS)域。
在框1104,第一逻辑节点将第一分组转换为第二分组,第二分组是互通分组,包括第一业务链与第二业务链之间的第一互通信息。第一互通信息包括指示第二分组为互通分组的标志、第一逻辑节点的地址、第二分组的第一流标识符、第二分组的第一业务路径标识符以及与第二业务链相关联的元数据。例如,第二分组可以包括如图9a和图10a所示的互通NSH。
在框1106,第一逻辑节点将第二分组发送至第二域中的第二逻辑节点。例如,互通逻辑节点510将第二分组发送至SSC域550中的互通分类器558和互通功能560。
在框1108,第一逻辑节点从第二逻辑节点接收针对元数据的响应。例如,如果元数据是用于认证的元数据,则响应可以是认证成功或失败的指示。
在一些实施例中,第一逻辑节点还可以存储第一业务链与第二业务链之间的映射信息。该映射信息包括以下至少一项:第二分组的第一流标识符、第二分组的第一业务路径标识符、第二域的标识符、第二逻辑节点的地址以及与第二业务链相关联的元数据。该映射信息可以如表3所示。
在一些实施例中,第一逻辑节点可以从第二逻辑节点接收第三分组,第三分组包括所述第一业务链与所述第二业务链之间的第二互通信息,第二互通信息包括所述第一流标识符、第一业务路径标识符以及针对元数据的响应。第三分组可以包括如图9d和图10e所示的扩展NSH。在一些实施例中,第二业务链还可以对第二分组的有效载荷进行处理。相应地,第三分组包括经第二业务链处理的有效载荷。例如,在如图6所示的流量清洗的实施例中,第二业务链(SSC2)可以将第二分组中的病毒去除,从而第三分组的有效载荷将具有从第二分组的有效载荷中去除病毒的有效载荷。
在一些实施例中,第一逻辑节点将第三分组转换为第四分组,第四分组包括指示第四分组为非互通分组的标志以及针对元数据的响应。例如,第一逻辑节点可以将互通分组转换为通用分组。第一逻辑节点可以向第一业务链内的第三逻辑节点发送第四分组。第四分组可以包括如图9e和图10f所示的通用NSH。
图12示出了根据本公开的一个实施例的用于在不同域之间进行互通的方法1200的流程图。方法1200可以在例如图3所示的互通分类器358和互通功能360或者图5-图6所示的互通分类器558和互通功能560处实现。
在框1202,第二域的第二逻辑节点确定所接收的第二分组是否为互通分组。例如,第二逻辑节点可以是如图5或图6所示的互通分类器558和互通功能560。例如,可以通过查看标志字段来确定该分组是否为互通分组。第二分组可以包括如图9a或图10a所示的互通NSH。在一些实施例中,所述第二域是安全业务链(SSC)域。应当理解,第二域也可以是其他类型的业务链域,例如计费链域或服务质量(QoS)域。
如果确定第二分组是互通分组,则方法1200前进至框1204。在框1204,第二逻辑节点从第二分组中获取与第二域中的第二业务链相关联的元数据。例如,互通分类器558和互通功能560可以从第二分组获取与SSC域550中的第二业务链(例如,SSC1)相关联的元数据。例如,在业务链SSC1是用于认证的情况下,元数据可以包括用户名/认证凭据等信息。
在框1206,第二逻辑节点将第二分组转换为第五分组。第五分组为通用分组,包括指示第五分组为非互通分组的标志、第五分组的第二流标识符、第五分组的第二业务路径标识符、第二逻辑节点的地址以及与第二业务链相关联的元数据。第五分组可以包括如图9b或图10b所示的通用NSH。
在框1208,第二逻辑节点将第五分组转发给第二业务链内的第四逻辑节点。第四逻辑节点可以是图5所示的SFF 561或者图6所示的SFF 563。
在框1210,第二逻辑节点从第二业务链内的第五逻辑节点接收第六分组,第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述元数据的响应。第五逻辑节点和第六逻辑节点可以是同一个节点,也可以是不同的节点。例如,在图5所示的示例中,第五逻辑节点和第六逻辑节点均为SFF 561,而在图6所示的示例中,第五逻辑节点为SFF561,而第六逻辑节点为SFF 564或者SFF 561。第六分组可以包括如图9c所示的通用NSH,或者包括如图10c或10d所示的通用NSH。在一些实施例中,第二业务链还可以对第二分组的有效载荷进行处理。相应地,第六分组包括经第二业务链处理的有效载荷。例如,在图6所示的实施例中,第二业务链(SSC2)可以将第二分组中的病毒去除,从而第六分组的有效载荷将具有从第二分组的有效载荷中去除病毒的有效载荷。
在一些实施例中,第二逻辑节点还可以存储第二业务链与第一域内的第一业务链之间的映射信息。映射信息包括以下至少一项:在所述第一域内的第一流标识符、第二分组的第一流标识符、第二分组的第一业务路径标识符、在所述第二域内的第二流标识符、第二业务路径标识符、第二分组来源的所述第一域内的第一逻辑节点的地址以及与所述第二业务链相关联的元数据。
在一些实施例中,第二逻辑节点将所述第六分组转换为第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述第一业务路径标识符、所述第一流标识符以及与针对元数据的响应。第二逻辑节点基于所述映射信息来确定所述第一逻辑节点的地址。第二逻辑节点将所述第三分组发送至所述第一逻辑节点。例如,第三分组可以包括如图9d所示的互通NSH,或者包括如图10e所示的互通NSH。在一些实施例中,第二业务链还可以对第二分组的有效载荷进行处理。相应地,第三分组包括经第二业务链处理的有效载荷。例如,在图6所示的实施例中,第二业务链(SSC2)可以将第二分组中的病毒去除,从而第三分组的有效载荷将具有从第二分组的有效载荷中去除病毒的有效载荷。
在一些实施例中,响应于确定所述第二域内不包括所述第二业务链,向控制器发送请求以在所述第二域内创建所述第二业务链。
图13示出了可以用来实施本公开的实施例的示例设备1300的示意性框图。如图所示,设备1300包括中央处理单元(CPU)1301,其可以根据存储在只读存储器(ROM)1302中的计算机程序指令或者从存储单元1308加载到随机访问存储器(RAM)1303中的计算机程序指令,来执行各种适当的动作和处理。在RAM 1303中,还可存储设备1300操作所需的各种程序和数据。CPU 1301、ROM 1302以及RAM 1303通过总线1304彼此相连。输入/输出(I/O)接口1305也连接至总线1304。
设备1300中的多个部件连接至I/O接口1305,包括:输入单元1306,例如键盘、鼠标等;输出单元1307,例如各种类型的显示器、扬声器等;存储单元1308,例如存储盘、光盘等;以及通信单元1309,例如网卡、调制解调器、无线通信收发机等。通信单元1309允许设备1300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如方法1100和/或1200,可由处理单元1301执行。例如,在一些实施例中,方法1100和/或1200可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元1308。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1302和/或通信单元1309而被载入和/或安装到设备1300上。当计算机程序被加载到RAM 1303并由CPU 1301执行时,可以执行上文描述的方法1100和/或1200的一个或多个动作。
本公开可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是——但不限于——电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网业务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (26)
1.一种通信方法,包括:
在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;
将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第二分组的第一业务路径标识符、所述第一逻辑节点的地址、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;
将所述第二分组发送至所述第二域中的第二逻辑节点;以及
从所述第二逻辑节点接收针对所述元数据的响应,所述响应与安全有关。
2.根据权利要求1所述的方法,还包括:
将所述第一业务链与所述第二业务链之间的映射信息存储在所述第一逻辑节点处,所述映射信息包括以下至少一项:
所述第二分组的第一业务路径标识符,
所述第二分组的第一流标识符,
所述第二域的标识符,
所述第二逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
3.根据权利要求1所述的方法,其中从所述第二逻辑节点接收针对所述元数据的响应包括:
从所述第二逻辑节点接收第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的第二互通信息,所述第二互通信息包括所述第一业务路径标识符、第一流标识符以及针对所述元数据的所述响应。
4.根据权利要求3所述的方法,还包括:
将所述第三分组转换为第四分组,所述第四分组包括指示所述第四分组为非互通分组的标志以及针对所述元数据的所述响应;以及
向所述第一业务链内的第三逻辑节点发送所述第四分组。
5.根据权利要求1所述的方法,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
6.根据权利要求3所述的方法,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
7.一种通信方法,包括:
在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;
将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二域内的第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;
将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及
从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二流标识符、第二业务路径标识符以及针对所述元数据的响应,所述响应与安全有关。
8.根据权利要求7所述的方法,还包括:
存储所述第二业务链与第一域内的第一业务链之间的映射信息,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
所述第二分组的第一业务路径标识符,
所述第一域的标识符,
在所述第二域内的第二流标识符,
在所述第二域内的第二业务路径标识符,
所述第二分组来源的所述第一域内的第一逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
9.根据权利要求8所述的方法,还包括:
将所述第六分组转换为第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的响应;
基于所述映射信息来确定所述第一逻辑节点的地址;以及
将所述第三分组发送至所述第一逻辑节点。
10.根据权利要求7所述的方法,还包括:
响应于确定所述第二域内不包括所述第二业务链,向控制器发送请求以在所述第二域内创建所述第二业务链。
11.根据权利要求7所述的方法,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
12.根据权利要求9所述的方法,其中所述第二分组包括第一有效载荷,并且所述第三分组包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
13.一种用于在业务功能链域之间进行互通的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
在第一域中的第一业务链的第一逻辑节点处,接收与第二域中的第二业务链相关联的第一分组;
将所述第一分组转换为第二分组,所述第二分组包括所述第一业务链与所述第二业务链之间的第一互通信息,所述第一互通信息包括指示所述第二分组为互通分组的标志、所述第二分组的第一业务路径标识符、所述第一逻辑节点的地址、所述第二分组的第一流标识符以及与所述第二业务链相关联的元数据;
将所述第二分组发送至所述第二域中的第二逻辑节点;以及
从所述第二逻辑节点接收针对所述元数据的响应,所述响应与安全有关。
14.根据权利要求13所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第一业务链与所述第二业务链之间的映射信息存储在所述第一逻辑节点处,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
所述第二分组的第一业务路径标识符,
所述第二域的标识符,
所述第二逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
15.根据权利要求13所述的设备,其中从所述第二逻辑节点接收针对所述元数据的响应包括:
从所述第二逻辑节点接收第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的第二互通信息,所述第二互通信息包括所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的所述响应。
16.根据权利要求15所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第三分组转换为第四分组,所述第四分组包括指示所述第四分组为非互通分组的标志以及针对所述元数据的所述响应;以及
向所述第一业务链内的第三逻辑节点发送所述第四分组。
17.根据权利要求13所述的设备,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
18.根据权利要求15所述的设备,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
19.一种用于在业务功能链域之间进行互通的设备,包括:
处理器;以及
存储器,所述存储器存储有指令,所述指令在被所述处理器执行时使所述设备:
在第二域中的第二逻辑节点处,响应于确定所接收的第二分组为互通分组,从所述第二分组中获取与所述第二域中的第二业务链相关联的元数据;
将所述第二分组转换为第五分组,所述第五分组包括指示所述第五分组为非互通分组的标志、在所述第二域内的第二流标识符、所述第二业务路径标识符、所述第二逻辑节点的地址以及与所述第二业务链相关联的元数据;
将所述第五分组转发给所述第二业务链内的第四逻辑节点;以及
从所述第二业务链内的第五逻辑节点接收第六分组,所述第六分组包括所述第二业务路径标识符、第二流标识符以及针对所述元数据的响应,所述响应与安全有关。
20.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
存储所述第二业务链与第一域内的第一业务链之间的映射信息,所述映射信息包括以下至少一项:
所述第二分组的第一流标识符,
第二分组的第一业务路径标识符,
所述第一域的标识符,
在所述第二域内的第二流标识符,
在所述第二域内的第二业务路径标识符,
所述第二分组来源的所述第一域内的第一逻辑节点的地址,以及
与所述第二业务链相关联的元数据。
21.根据权利要求20所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
将所述第六分组转换为第三分组,所述第三分组包括所述第一业务链与所述第二业务链之间的互通信息,所述互通信息包括指示所述第三分组为互通分组的标志、所述第一业务路径标识符、所述第一流标识符以及针对所述元数据的响应;
基于所述映射信息来确定所述第一逻辑节点的地址;以及
将所述第三分组发送至所述第一逻辑节点。
22.根据权利要求19所述的设备,其中所述指令在被所述处理器执行时还使所述设备:
响应于确定所述第二域内不包括所述第二业务链,向控制器发送请求以在所述第二域内创建所述第二业务链。
23.根据权利要求19所述的设备,其中所述第二域是安全业务链域、计费链域或服务质量(QoS)链域。
24.根据权利要求21所述的设备,其中所述第二分组包括第一有效载荷,并且第三分组还包括第二有效载荷,所述第二有效载荷是经所述第二业务链处理的所述第一有效载荷。
25.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1-6中任一项所述的方法。
26.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求7-12中任一项所述的方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810101927.2A CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
US15/733,425 US11258701B2 (en) | 2018-02-01 | 2019-02-01 | Method and device for interworking between service function chain domains |
EP19747854.8A EP3738278A4 (en) | 2018-02-01 | 2019-02-01 | METHOD AND DEVICE FOR COOPERATION BETWEEN SERVICE FUNCTION CHAIN DOMAINS |
PCT/CN2019/074450 WO2019149273A1 (en) | 2018-02-01 | 2019-02-01 | Method and device for interworking between service function chain domains |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810101927.2A CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110113291A CN110113291A (zh) | 2019-08-09 |
CN110113291B true CN110113291B (zh) | 2020-10-13 |
Family
ID=67479081
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810101927.2A Active CN110113291B (zh) | 2018-02-01 | 2018-02-01 | 用于在业务功能链域之间进行互通的方法和设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11258701B2 (zh) |
EP (1) | EP3738278A4 (zh) |
CN (1) | CN110113291B (zh) |
WO (1) | WO2019149273A1 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9225638B2 (en) | 2013-05-09 | 2015-12-29 | Vmware, Inc. | Method and system for service switching using service tags |
US10225137B2 (en) | 2014-09-30 | 2019-03-05 | Nicira, Inc. | Service node selection by an inline service switch |
US9774537B2 (en) | 2014-09-30 | 2017-09-26 | Nicira, Inc. | Dynamically adjusting load balancing |
US9825810B2 (en) | 2014-09-30 | 2017-11-21 | Nicira, Inc. | Method and apparatus for distributing load among a plurality of service nodes |
US10594743B2 (en) | 2015-04-03 | 2020-03-17 | Nicira, Inc. | Method, apparatus, and system for implementing a content switch |
US10797966B2 (en) | 2017-10-29 | 2020-10-06 | Nicira, Inc. | Service operation chaining |
US10797910B2 (en) | 2018-01-26 | 2020-10-06 | Nicira, Inc. | Specifying and utilizing paths through a network |
US10805192B2 (en) | 2018-03-27 | 2020-10-13 | Nicira, Inc. | Detecting failure of layer 2 service using broadcast messages |
US11595250B2 (en) | 2018-09-02 | 2023-02-28 | Vmware, Inc. | Service insertion at logical network gateway |
US11467861B2 (en) | 2019-02-22 | 2022-10-11 | Vmware, Inc. | Configuring distributed forwarding for performing service chain operations |
US11140218B2 (en) * | 2019-10-30 | 2021-10-05 | Vmware, Inc. | Distributed service chain across multiple clouds |
US11283717B2 (en) | 2019-10-30 | 2022-03-22 | Vmware, Inc. | Distributed fault tolerant service chain |
US11223494B2 (en) | 2020-01-13 | 2022-01-11 | Vmware, Inc. | Service insertion for multicast traffic at boundary |
US11659061B2 (en) | 2020-01-20 | 2023-05-23 | Vmware, Inc. | Method of adjusting service function chains to improve network performance |
US11153406B2 (en) | 2020-01-20 | 2021-10-19 | Vmware, Inc. | Method of network performance visualization of service function chains |
US11438257B2 (en) | 2020-04-06 | 2022-09-06 | Vmware, Inc. | Generating forward and reverse direction connection-tracking records for service paths at a network edge |
US11734043B2 (en) | 2020-12-15 | 2023-08-22 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
US11611625B2 (en) | 2020-12-15 | 2023-03-21 | Vmware, Inc. | Providing stateful services in a scalable manner for machines executing on host computers |
CN114928530B (zh) * | 2022-04-24 | 2024-04-09 | 中国工商银行股份有限公司 | 链路信息采集方法及相关装置 |
CN115051836B (zh) * | 2022-05-18 | 2023-08-04 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102598720A (zh) * | 2009-11-13 | 2012-07-18 | 三星电子株式会社 | 执行和提供域服务的方法和装置 |
WO2016041606A1 (en) * | 2014-09-19 | 2016-03-24 | Nokia Solutions And Networks Oy | Chaining of network service functions in a communication network |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105337852B (zh) * | 2014-07-03 | 2019-11-05 | 华为技术有限公司 | 更新业务流报文的处理方式的方法及装置 |
US9537752B2 (en) | 2014-07-14 | 2017-01-03 | Cisco Technology, Inc. | Encoding inter-domain shared service paths |
CN105681198B (zh) * | 2014-11-21 | 2018-11-20 | 华为技术有限公司 | 一种业务链处理方法、设备及系统 |
US20160164826A1 (en) * | 2014-12-04 | 2016-06-09 | Cisco Technology, Inc. | Policy Implementation at a Network Element based on Data from an Authoritative Source |
US9531850B2 (en) * | 2014-12-04 | 2016-12-27 | Cisco Technology, Inc. | Inter-domain service function chaining |
US10958481B2 (en) | 2016-04-29 | 2021-03-23 | Hewlett Packard Enterprise Development Lp | Transforming a service packet from a first domain to a second domain |
-
2018
- 2018-02-01 CN CN201810101927.2A patent/CN110113291B/zh active Active
-
2019
- 2019-02-01 EP EP19747854.8A patent/EP3738278A4/en active Pending
- 2019-02-01 US US15/733,425 patent/US11258701B2/en active Active
- 2019-02-01 WO PCT/CN2019/074450 patent/WO2019149273A1/en unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102598720A (zh) * | 2009-11-13 | 2012-07-18 | 三星电子株式会社 | 执行和提供域服务的方法和装置 |
WO2016041606A1 (en) * | 2014-09-19 | 2016-03-24 | Nokia Solutions And Networks Oy | Chaining of network service functions in a communication network |
CN107078957A (zh) * | 2014-09-19 | 2017-08-18 | 诺基亚通信公司 | 通信网络中的网络服务功能的链接 |
Also Published As
Publication number | Publication date |
---|---|
US11258701B2 (en) | 2022-02-22 |
US20200358696A1 (en) | 2020-11-12 |
CN110113291A (zh) | 2019-08-09 |
EP3738278A1 (en) | 2020-11-18 |
EP3738278A4 (en) | 2021-10-27 |
WO2019149273A1 (en) | 2019-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113291B (zh) | 用于在业务功能链域之间进行互通的方法和设备 | |
CN109565500B (zh) | 按需安全性架构 | |
JP7373560B2 (ja) | 相乗的なdnsセキュリティ更新 | |
CA2543260C (en) | Tunneled security groups | |
US8555056B2 (en) | Method and system for including security information with a packet | |
US7873038B2 (en) | Packet processing | |
US20150229618A1 (en) | System and Method for Securing Source Routing Using Public Key based Digital Signature | |
US10798071B2 (en) | IPSEC anti-relay window with quality of service | |
KR20140059818A (ko) | 네트워크 환경 분리 | |
CN108418776B (zh) | 用于提供安全业务的方法和设备 | |
CN108924049B (zh) | 流规格路由调度方法及装置 | |
Hu et al. | A framework for security on demand | |
CN117501671A (zh) | 使用路由来源授权(ROA)进行边界网关协议(BGP)FlowSpec发起授权 | |
Karmakar et al. | On the design and implementation of a security architecture for end to end services in software defined networks | |
Hares | Network Working Group S. Hyun Internet-Draft J. Jeong Intended status: Standards Track Sungkyunkwan University Expires: September 6, 2018 J. Park ETRI | |
Park et al. | Network Working Group S. Hyun Internet-Draft Chosun University Intended status: Standards Track J. Jeong Expires: January 3, 2019 Sungkyunkwan University |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |