CN112075065B - 一种用于轻量级安全自组织控制平面的网络设备及方法 - Google Patents

Abstract

一种网络设备，包括发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分。所述网络设备还包括处理器，所述处理器与所述发送器和所述接收器耦合。所述处理器从应用接收请求，以发起与目标网络节点的连接。所述处理器还从所述应用接收报文，以向所述目标网络节点传输。当所述应用中的所述报文未加密时，所述处理器在不通知所述应用的情况下对所述未加密报文进行端到端加密。所述发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

Description

一种用于轻量级安全自组织控制平面的网络设备及方法

相关申请案的交叉参考

本申请要求于2018年3月2日提交的发明名称为“轻量级安全自组织控制平面(Lightweight Secure Autonomic Control Plane)”的第15/910,947号美国非临时专利申请案的优先权，其内容以引用的方式并入本文中，如全文再现一般。

背景技术

网络可用于与各种业务进行通信。在许多情况下，用户希望这种通信以安全的方式进行，以防止未经授权方进行访问。但是，安全性的提高增大了通信的复杂性。通信复杂性增大可能使某些网络组件不可用，需要对网络组件进行复杂配置，和/或降低总体通信速度。因此，通信网络设计应该平衡安全需求和通信需求，以便创建一个在执行通信任务时既相当安全又相当有效的网络。

发明内容

在一个实施例中，本发明包括一种网络设备，包括：发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(AutonomicControl Plane，ACP)网络的一部分；处理器，与所述发送器和所述接收器耦合，所述处理器用于：从应用接收请求，以发起与目标网络节点的连接；从所述应用接收报文，以向所述目标网络节点传输；当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；使发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于当所述应用中的报文已由所述应用加密时，不再对所述报文加密。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器根据传输层安全(transport layersecurity，TLS)协议、数据报传输层安全(datagram transport layer security，dTLS)协议或其组合对所述未加密报文加密。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立安全连接包括：向所述网络节点发送加密的本地链路主动发现(discovery unsolicited link local，DULL)通用自组织信令协议(GenericAutonomic Signaling Protocol，GRASP)发现消息；建立安全的传输层安全(transportlayer security，TLS)连接进行认证；解封认证网络节点对应的端口。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立安全连接还包括与相邻网络节点建立组播本地链路通信连接。可选地，根据上述任一方面，所述方面的另一种实现方式提供的网络设备，其中，所述处理器还用于在使用ACP路由表发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述ACP路由表通过接收ACP路由协议泛洪的所述ACP网络中的网络节点的虚拟路由转发(Virtual Routing and Forwarding，VRF)地址来填充。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于在使用地址映射服务发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达，从而确定所述目标网络节点的ACP虚拟路由转发(Virtual Routing andForwarding，VRF)地址。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述地址映射服务：使用所述发送器在所述ACP网络中泛洪ACP通用自组织信令协议(GenericAutonomic Signaling Protocol，GRASP)发现消息；使用所述接收器响应于所述GRASP发现消息，在GRASP响应消息中接收所述目标网络节点的所述VRF。可选地，根据上述任一方面，所述方面的另一种实现方式提供权利要求1所述的网络设备，其中，通过所述ACP网络向所述目标网络节点发送所述加密报文包括：标记所述加密报文以指示所述ACP网络中的成员关系；封锁除标记报文和ACP网络发现报文外的所有报文。可选地，根据上述任一方面，在所述方面的另一种实现方式中，通过所述ACP网络向所述目标网络节点发送所述加密报文包括通过以下方式组播所述加密报文：与多个相邻网络节点创建多个安全端到端连接；在所述安全端到端连接上单播所述加密报文。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于通过以下方式保护所述安全连接免受中间人攻击：与所述ACP网络中的相邻网络节点交换接口发送/接收报文/字节计数器和对应的时戳；当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，确定入侵者。

在一个实施例中，本发明包括一种在网络设备中实现的方法，所述方法包括：发送器和接收器与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分；处理器从应用接收请求，以发起与目标网络节点的连接；所述处理器从所述应用接收报文，以向所述目标网络节点传输；当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；所述发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述未加密报文为用于ACP路由协议的本地链路组播报文，对所述未加密报文进行端到端加密包括：将所述非加密报文转换为单播报文列表；根据数据报传输层安全(datagram transport layersecurity，dTLS)协议，对所述单播报文加密；将所述加密后的单播报文作为本地链路单播发送给相邻网络节点。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立所述安全连接包括：根据加密的本地链路主动发现(discoveryunsolicited link local，DULL)通用自组织信令协议(Generic Autonomic SignalingProtocol，GRASP)，对所述ACP网络中的相邻网络节点进行认证。可选地，根据上述任一方面，在所述方面的另一种实现方式中，通过以下方式保护所述安全连接免受中间人攻击：与所述ACP网络中的相邻网络节点交换报文计数器和对应的时戳；当发送报文计数器与接收报文计数器在指定时间段内的差值超过根据精度公差计算的误差阈值时，确定入侵者。

在一个实施例中，本发明包括一种非瞬时性计算机可读介质，包括被网络设备使用的计算机程序产品，其中，所述计算机程序产品包括存储在所述非瞬时性计算机可读介质中的计算机可执行指令，当处理器执行所述计算机可执行指令时，所述网络设备：与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(AutonomicControl Plane，ACP)网络的一部分；从应用接收请求，以发起与目标网络节点的连接；从所述应用接收报文，以向所述目标网络节点传输；当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；通过所述ACP网络向所述目标网络节点发送所述加密报文。

可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述未加密报文根据数据报传输层安全(datagram transport layer security，dTLS)协议加密并作为本地链路互联网协议第六版(Internet protocol version six，IPv6)低功耗有损网络(Routing Protocol For Low Power and Lossy Network，RPL)路由协议组播报文进行传输。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立所述安全连接包括：根据通用自组织信令协议(Generic Autonomic SignalingProtocol，GRASP)，对所述ACP网络中的相邻网络节点进行认证。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述计算机可执行指令还使所述网络设备通过以下方式保护所述安全连接免受中间人攻击：与所述ACP网络中的相邻网络节点交换报文计数器和对应的时戳；当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，确定入侵者。

为清楚起见，上述任一实施例可以与上述其它任一或多个实施例结合以创建本发明范围内的新实施例。

这些和其它特征将结合附图和权利要求书从以下详细描述中更清楚地理解。

附图说明

为了更透彻地理解本发明，现参阅结合附图和具体实施方式而描述的以下简要说明，其中的相同附图标记表示相同部分。

图1为示例性多层网络的示意图。

图2为根据自组织控制平面(Autonomic Control Plane，ACP)规范配置的网络设备的各层的示例性功能的示意图。

图3为根据轻量级安全自组织控制平面(Lightweight Secured AutonomicControl Plane，LS-ACP)协议配置的多层网络设备的示例功能的示意图。

图4为LS-ACP网络的示例性实现方式的示意图。

图5为LS-ACP网络中的示例性转发平面实现方式的示意图。

图6为LS-ACP网络中操作的示例性网络设备的示意图。

图7为操作传输shim发起方的示例性方法的流程图。

图8为操作传输shim响应方的示例性方法的流程图。

图9为用于执行流量对比的示例性LS-ACP设备的示意图。

图10为执行流量对比的示例性方法的流程图。

图11为维护LS-ACP网络安全性的示例性方法的流程图。

具体实施方式

首先应理解，尽管下文提供一项或多项实施例的说明性实施方案，但所公开的系统和/或方法可使用任何数目的技术来实施，无论该技术是当前已知还是现有的。本发明决不应限于下文所说明的说明性实施方案、附图和技术，包括本文所说明并描述的示例性设计和实施方案，而是可在所附权利要求书的范围以及其等效物的完整范围内修改。

自组织网络基础设施(Autonomic Network Infrastructure)是互联网工程任务组(Internet Engineering Task Force，IETF)自组织网络综合模型和方法(AutonomicNetworking Integrated Model and Approach，ANIMA)工作组之前正在开发的一个示例通信网络范例。ANI使用ACP，ACP是一个安全、零接触和不可破坏的逐跳虚拟带内网络，可与软件定义网络(Software Defined Network，SDN)和其它分布式自组织网络部署等各种网络设计结合使用。ACP使用各种安全程序。例如，ACP对ACP报文进行逐跳加密。ACP还使用安全信令协议，如互联网协议安全(Internet Protocol Security，IPsec)和/或数据报传输层安全(datagram transport layer security，dTLS)协议。这种安全模型为ACP提供了完整的分区安全上下文。但是，逐跳安全模型在某些情况下可能不易部署。例如，许多网络设备可能不支持足够的性能、可扩展加密和/或硬件加速来实现ACP。因此，各种注重成本的设备可能无法成功地支持ACP。

本文公开了一种运行基于LS-ACP的网络的机制。虽然LS-ACP网络中不具有符合ACP协议的设备，但仍然能够提供网络安全性。即使用户应用没有正确地使用安全程序的情况下，LS-ACP网络也能够提供端对端应用级安全性。运行LS-ACP的网络设备在启动时与相邻网络节点建立安全连接，仅用于相互认证和相关控制，不用于保护用户数据。例如，网络设备可以在启动时在所有端口上传输通用自组织信令协议(Generic AutonomicSignaling Protocol，GRASP)发现消息，以对符合LS-ACP协议的相邻网络节点进行认证。然后，网络设备与符合LS-ACP协议的节点建立组播本地链路通信通道，以进行这种相互认证。LS-ACP网络节点标记LS-ACP网络流量，以区别于非LS-ACP流量。在相互认证通过之前，网络设备通过丢弃不需要进行认证的带LS-ACP标记的报文来维护LS-ACP网络的安全性。作为策略的选择，LS-ACP网络也可以在相互认证成功之前丢弃未标记的报文。网络设备运行强制传输shim，因此应用不需要实现新功能以通过LS-ACP运行。具体地，强制传输shim使用支持应用的套接字(socket)通信请求的发起方(例如，在用户发起请求时、在特定条件下)。然后，发起方确定是否正确配置应用请求使用端到端安全性。如果不是，则发起方在不会通知/更改应用配置的情况下(如果可能的话)配置端到端安全性。发起方还确定套接字通信请求是通过LS-ACP虚拟路由和转发(Virtual Routing and Forwarding，VRF)地址还是仅仅通过非LS-ACP网络地址寻址到远程网络节点。如果没有提供LS-ACP地址，发起方会尽可能为远程网络节点确定合适的LS-ACP地址，因为通过LS-ACP网络的流量比通过LS-ACP网络外的流量更可靠。在一些示例中，网络设备可以维护LS-ACP路由表，该LS-ACP路由表将LS-ACP网络中的LS-ACP地址和网络节点的网络地址相关联。这些LS-ACP路由表可由通过LS-ACP网络泛洪的GRASP响应消息填充，所述响应消息包含对应节点的VRF地址和网络地址。在其它示例中，可根据需要使用地址映射服务。具体地，可以在从应用请求时发送GRASP发现消息，GRASP响应消息可以由地址映射服务直接发送而不进行泛洪。在任何情况下，当远程网络节点符合LS-ACP协议时，强制传输shim确定远程网络节点的VRF，并通过该LS-ACP VRF建立组播通信。当远程网络节点不符合LS-ACP协议时，强制传输shim将报文路由到LS-ACP网络外。发起方还检查应用中的报文，以确定是否已配置应用进行端到端加密。当应用正确地加密时，强制传输shim会按原样在ACP网络中转发这些报文。例如，当报文未加密时，强制传输shim在传输之前使用传输层安全(Transport Layer Security，TLS)协议和/或dTLS协议对这些报文加密。强制shim发起方不仅适用于应用流量，也适用于LS-ACP使用的协议。例如，强制shim发起方在LS-ACP和互联网协议第六版(Internet protocol version six，IPv6)低功耗有损网络(Routing Protocol For Low Power and Lossy Network，RPL)等路由协议应用GRASP。与应用流量不同，配置这些路由协议使用本地链路多播报文。这些报文通过初始GRASP发现建立的安全传输连接进行复制。即使应用程序或LS-ACP协议不知道这些安全特性，该方案确保所有报文在可能的情况下通过LS-ACP网络加密和转发。还可以自动配置网络设备保护LS-ACP网络中的经过认证的邻居连接免受中间人攻击。在一些示例中，网络设备可以依赖于网络设备中的计数机制周期性地与LS-ACP网络中的相邻网络节点交换报文计数器和对应时戳。当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，网络设备可以检测到添加(提取)额外报文的入侵者。

图1为示例性多层网络100的示意图。网络100包括转发平面130、控制平面120和管理平面110。转发平面130，也可以称为数据平面，包括互联的通信节点131的网络。通信节点131可以包括路由器、交换机、虚拟路由器、虚拟交换机和/或能够在节点131之间转发通信报文和/或帧的任何其它组件。转发平面130使用各种协议以根据节点131地址和/或端口连接在转发平面130上传送报文。控制平面120控制转发平面130的操作。控制平面120使用各种控制节点121来管理这种通信。例如，控制平面120的节点121可以配置各种发现协议，以确定并向节点131通知其它节点131的地址和连接。因此，控制平面120可以向转发平面130指示任何希望传送报文的动作，然后转发平面130可以根据这些指令进行通信。应注意，一些物理组件可能采用多个平面的功能，因此可以在多个平面上运行。例如，路由器可以转发数据和管理路由协议，并因此充当通信节点131和控制节点121。管理平面110管理控制平面120和转发平面130的操作。例如，管理平面110可以运行处理所传送的报文和/或生成额外响应报文的各种应用。例如，管理平面110可以使用管理节点111，管理节点111接收、处理和/或生成新报文，以进行进一步通信。管理节点111还可以重新配置网络100以改变用户需求、改变资源分配、执行运行和维护任务以及配置使用控制平面120和转发平面130的通信会话等。因此，网络100的应用可以在管理节点111上运行。与转发平面130和控制平面120一样，节点111可以使用多个平面的功能，因此，在一些示例中，单个硬件组件可以充当节点111、121和/或131。

图2为根据自组织控制平面(Autonomic Control Plane，ACP)规范配置的网络设备200的各层的示例性功能的示意图。由网络设备200组创建的ACP网络用于在网络100中创建单独的虚拟网络。该虚拟网络包括独立的控制平面实例和转发平面实例，与网络的物理转发平面在逻辑上是分开的。ACP虚拟网络和物理网络可以共享管理平面110。ACP虚拟网络为不同网络设备中的管理节点111之间的通信以及不同网络设备中的管理节点111与控制节点121之间的通信提供安全可靠的连接。

ACP网络设备200包括网络100等网络中支持ACP VRF的功能。ACP网络设备200包括管理平面210功能(例如，应用)，执行运行、管理和维护(operations,administration,andmanagement，OAM)以及充当自组织服务代理(Autonomic Service Agent，ASA)的一部分。这些功能可以在节点111上使用以实现管理平面110。例如，管理平面210可以包括简单网络管理协议(Simple Network Management Protocol，SNMP)211应用、域名系统(Domain NameSystem，DNS)213应用、网络配置协议(Network Configuration Protocol，Netconf)215应用、动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)217应用、网络时间协议(Network Time Protocol，NTP)219应用等。应注意，列出的应用是示例性的，并且可以在管理平面210中使用许多其它应用。在本示例中，SNMP 211是一种用于组织与互联网协议(internet protocol，IP)网络中的网络节点相关的信息，并修改这些信息以控制这些网络节点的行为的应用。DNS 213是一种将域名转换为映射到对应网络节点的IP地址的应用，从而允许用户通过互联网与请求的服务进行通信。Netconf 215是一种用于在网络设备/节点中安装、更改和/或删除配置的应用。DHCP 217是一种用于动态地为网络节点分配地址和其它网络参数，以允许这些节点与其它IP网络进行通信的应用。NTP 219是一种用于管理分组交换网络中计算机系统之间的时钟同步的应用。可以看到，管理平面210功能管理ACP网络设备200的整体操作，并可以管理ACP网络中对应网络节点中的操作。

ACP网络设备200还包括控制平面220功能。这些功能可以用于控制报文路由，因此可以在节点121中使用以实现控制平面120。例如，控制平面220可以包括ACP证书221功能、ACP GRASP 223功能、本地链路主动发现(Discovery Unsolicited Link Local，DULL)GRASP发现225功能和RPL路由227功能。应注意，列出的功能是示例，并且许多其它路由功能可以在控制平面220中使用。ACP证书221功能用于存储和传送网络节点间的证书，以及对这些证书进行认证。ACP证书221功能用于建立ACP网络节点之间的信任关系。增强的安全性适用于非信任的网络节点(例如，报文可能被接收节点封锁/丢弃，直到认证开始)。ACP GRASP223功能创建与相邻受信任节点的GRASP通信实例。例如，ACP GRASP 223功能与已根据ACP证书221功能(作为ACP网络的一部分)进行认证的邻居节点进行网络报文通信，并丢弃未进行正确认证的网络节点的报文。ACP GRASP 223功能可以通过单播(例如，点对点通信)和/或通过本地链路多播(例如，向共享公共链路的接收器组进行报文多播，接收器是邻居节点，和/或是公共GRASP实例的一部分)进行通信。ACP GRASP 223功能还可以根据需要执行服务发现和/或向相邻网络节点泛洪对应的报文。DULL GRASP发现225功能用于发现其它符合ACP协议的网络节点。例如，DULL GRASP发现225功能可以与相邻网络节点进行通信以发现对应地址和/或根据ACP证书221功能发起与这些网络节点的认证。因此，DULL GRASP发现225功能可以发起将其它网络节点认证为公共GRASP实例的过程，以便由ACP GRASP 223功能进行进一步通信。RPL路由227功能用于为ACP网络中的网络节点生成和/或维护虚拟地址集。因此，RPL路由227功能允许在网络中创建一个或多个虚拟网络。属于ACP网络一部分的经过认证的网络节点从RPL路由227功能接收虚拟地址。因此，RPL路由227功能向其它路由功能指示报文在物理网络中进行路由，同时保持在经过认证的ACP网络中的方式。

ACP网络设备200还包括转发平面230功能。这些功能可以用于根据控制平面220的信息转发报文，因此可以在节点131中使用以实现控制平面130。例如，转发平面230可以包括IPv6 VRF转发231功能和IPsec/dTLS 233功能。应注意，列出的功能是示例，并且许多其它路由功能可以在转发平面230中使用。IPv6 VRF转发231功能用于使用与目标网络节点关联的VRF地址，在ACP网络中通过本地端口将报文转发到目标设备。这些VRF地址可以从RPL路由227功能中获取。IPsec/dTLS 233功能通过IPv6 VRF转发231功能对通过ACP网络转发的所有流量加密。

当网络中的所有设备都符合ACP协议并正确配置时，ACP网络为网络流量提供高级别的安全性。但是，ACP网络存在一些缺点。例如，不管报文是否已被管理平面210中的应用加密，转发平面230可以强制网络中每一跳131对报文进行额外的加密和解密。此外，当管理平面210应用没有正确配置目标节点的VRF地址时，ACP网络可能无法正确路由报文。在这种情况下，由于RPL路由227功能在没有可识别的VRF地址的情况下无法路由报文，因此这些报文可能被丢弃。如下所述，网络设备300通过网络设备200等ACP网络设备操作的ACP网络解决了这些问题和其它问题。

图3为根据轻量级安全自组织控制平面(Lightweight Secured AutonomicControl Plane，LS-ACP)协议配置的多层网络设备300的示例功能的示意图。网络设备300与ACP网络设备200类似，但网络设备300提供轻量级安全性，轻量级安全性表示系统复杂度较低，硬件要求较低。因此，网络设备300在较低复杂度的低功率系统上实现。例如，网络设备300为特定通信提供最佳可能的安全性，而不是丢弃任何不符合最低安全标准的通信。此外，网络设备300对不安全的通信实施安全性，而不是简单地阻止它们。

网络设备300包括与管理平面210基本类似的管理平面310。例如，管理平面310可包括SNMP 311、DNS 313、Netconf 315、DHCP 317和/或NTP 319，可基本类似于SNMP 211、DNS 213、Netconf 215、DHCP 217和/或NTP 219。管理平面310还可包括用于根据需要操作网络(如网络100)的其它应用。

网络设备300还包括强制传输shim 340。某些应用(例如SNMP 311、DNS 313、Netconf 315和/或DHCP 317)原本可以不使用端到端加密。因此，当向转发平面330转发这些应用的报文进行通信时，报文可以是未加密的。应用的报文通过强制传输shim 340进行转发。强制传输shim 340是为未加密报文提供加密的功能。例如，强制传输shim 340可以为传输控制协议(Transmission Control Protocol，TCP)报文提供TLS加密，并为用户数据报协议(User Datagram Protocol，UDP)报文提供dTLS加密。强制传输shim 340可以公开提供这种加密。换句话说，强制传输shim 340可以在不通知对应应用/服务/ASA等的情况下(例如，无需修改SNMP 311、DNS 313、Netconf 315、DHCP 317、NTP 319等源/目标应用的二进制编程)为报文提供端到端加密。当报文被转发到目标设备的对应应用时，强制传输shim 340可以在通过网络进行通信之后对这些报文进行解密。此外，强制传输shim 340可以不再对已经由源应用加密的报文加密。这种方法平衡了安全需求，而不需要额外的系统资源对已经足够安全的报文进行过度加密。

网络设备300还包括与管理平面220类似的管理平面320。控制平面320包括与RPL路由227功能基本类似的RPL路由327功能。除下文所述，控制平面320还包括LS-ACP证书321功能、加密的本地链路主动发现(discovery unsolicited link local，DULL)GRASP 325功能、LS-ACP GRASP 323功能和/或RPL路由327功能，分别类似于ACP证书221功能、DULLGRASP 225功能、ACP GRASP 223功能和/或RPL路由227功能。

LS-ACP证书321使用域证书，该域证书可以通过各种方法(例如引导远程安全密钥基础设施(Bootstrapping Remote Secure Key Infrastructure，BSKI))提供。如果设备支持LS-ACP，则设备的LS-ACP证书321功能可以使用具有LS-ACP密钥值的证书域信息字段来指示这种功能/兼容性。换句话说，LS-ACP证书321功能确保认证设备操作强制传输shim340、控制平面320和转发平面330，而不操作控制平面220和转发平面230。因此，LS-ACP证书与ACP证书221不相符，因此保护ACP域的安全性免受连接到安全性稍低的LS-ACP设备的影响。

DULL GRASP发现325功能用于发现其它符合LS-ACP协议的网络节点。DULL GRASP发现325功能可能不使用目标值进行指示，该目标值指示ACP网络中支持的加密选项。DULLGRASP发现325功能可以向邻居节点发送发现报文。当DULL GRASP发现325功能发现另一个LS-ACP邻居时，DULL GRASP发现325建立与邻居节点的安全TLS连接，用于认证。DULL GRASP发现325功能通过TLS连接与邻居节点交换LS-ACP证书321，然后根据收到的LS-ACP证书321对邻居节点进行认证。DULL GRASP发现325功能和/或LS-ACP GRASP 323功能还可以采用LS-ACP标记，以通过LS-ACP虚拟局域网(virtual local area network，VLAN)发送和接收具有两个节点的本地链路IPv6地址的报文。DULL-GRASP TLS运行的TCP端口可以在NULL-GRASP邻居发现期间通过GRASP定位器信令元素进行静态预定义或协商。

LS-ACP GRASP 323功能在LS-ACP网络内部维护GRASP实例，支持全网服务和目标性通告、发现和协商。可以从ACP网络节点之间的逐跳TLS、IPsec和/或dTLS连接创建LS-ACPGRASP 323实例。对于LS-ACP GRASP 323，使用LS-ACP证书321对TLS连接进行相互认证。LS-ACP GRASP邻居集是一组邻居，它们之间存在一个可操作的(例如，经过认证和有效的)DULL-GRASP TLS连接。LS-ACP GRASP TLS报文可以携带LS-ACP报文标记，如电器与电子工程师学会(Institute of Electrical and Electronics Engineer，IEEE)802.1q VLAN标记。LS-ACP GRASP 323功能监视接口的链路状态，并在接口在网络层1或网络层2出现故障时(例如，以太网链路故障时)断开TLS连接。这样做是为了强制进行重新认证，以在一定程度上降低中间人攻击的风险。LS-ACP GRASP 323功能通过DULL-GRASP LS-ACP连接使用频繁的有效报文来确定经过认证LS-ACP邻居仍然通过接口可达。因此，断开连接但链路状态不可见会改变断开DULL-ACP TLS连接的结果。

RPL路由327功能对指示采用逐跳互联网控制消息协议第6版(Internet ControlMessage Protocol version 6，ICMPv6)消息编码，这种编码本身并不安全。但是，在ACP网络中，RPL路由327消息是安全的，因为通过由ACP GRASP功能创建和维护的安全逐跳转发通道来承载RPL指示报文。这些通道不是专门为RPL创建的，而是通过ACP网络承载流量。例如，这些通道承载SNMP 211、DNS 213、Netconf 215、DHCP 217和/或NTP 219等管理平面210服务中的流量。在LS-ACP中，RPL通过为LS-ACP RPL生成的逐跳dTLS连接集进行操作，方式与为RPL构建的LS-ACP-GRASP通信的TLS连接的方式相同。例如，可为每个主动DULL-GRASP邻居生成一个dTLS连接，用于传送RPL路由327报文。这些dTLS连接的UDP端口可以是预先确定的，也可以是通过DULL-GRASP目标值参数逐个邻居进行动态通信。由于RPL路由327报文是互联网控制消息协议(Internet Control Message Protocol，ICMP)数据包报文，因此可以使用dTLS。如下面更详细地讨论，将RPL路由327的本地链路IP多播报文复制到所有RPLdTLS连接。为了对LS-ACP操作RPL，RPL的dTLS封装可以使用与ICMP/dTLS封装322功能关联并针对RPL动态链接的shim库。shim库重载套接字功能(例如，套接字、绑定、侦听、连接、发送、接收等)，使得RPL为发送/接收RPL指示报文而打开的ICMP数据报套接字自动封装到dTLS中，而无需进一步了解或更改RPL路由327功能。上述情况是可能的，因为RPL路由327功能不需要知道TLS认证，因为可以使用LS-ACP证书321自动执行这种认证。

控制平面320还包括ICMP/dTLS封装322功能。如上所述，ACP网络使用RPL路由327功能来创建路由表。该路由协议的报文采用ICMPv6报文头，采用本地链路IPv6组播。ICMP/dTLS封装322功能通过dTLS封装这些ICMPv6 RPL报文。此外，ICMP/dTLS封装322功能将本地链路范围的IPv6 RPL组播报文复制到本地链路RPL邻居节点的dTLS连接中。

控制平面320还包括流量计数329功能。如上所述，LS-ACP数据流量由LS-ACP网络进行端到端加密，而不是进行逐跳加密。因此，不能保证接口中收到的流量实际上来自经过NULL-GRASP认证的LS-ACP邻居。例如，攻击者可以充当中间人，通过添加恶意报文攻击通过LS-ACP可达的设备。流量计数329功能通过使两个LS-ACP邻居比较各自接口中的收发报文计数，可以解决这种中间人攻击。也就是说，网络设备可以确定发送报文计数和时戳。然后，可以将该信息转发到LS-ACP邻居节点，以便与对应于时戳的时间段内的接收报文计数进行比较。由于软件从硬件中检索计数器所用的时间以及邻居节点之间同步检索计数器的时间点的复杂性，报文计数可能不准确。因此，阈值/余量可以保持不变。当发送报文计数比接收报文计数的少量大于阈值/余量时，可以提醒LS-ACP节点或操作方有攻击。然后，节点可以提醒管理平面310中的应用以发起适当的动作(例如，封锁报文、断开对应的链路、提醒管理员等)。通过依赖于路由器和交换机的硬件支持的报文和字节计数器，流量计数329功能可以在不产生额外的硬件要求的情况下解决此类攻击。

网络设备300还包括与管理平面230类似的管理平面330。转发平面330包括与IPv6VRF转发231功能基本类似的IPv6 VRF转发331功能。转发平面330还包括标记335功能。标记335功能不使用ACP网络设备200中使用的安全通道协议，而是在LS-ACP流量中使用标记，这些标记通过LS-ACP接口承载。标记用于区分LS-ACP流量和通用数据平面流量。标记可以由控制平面320中的DULL-GRASP静态定义或协商。例如，标记335功能可以包括VLAN标记。在具体示例中，可以通过将ACP本地链路IPv6报文复制到所有安全通道中，从安全通道形成虚拟ACP接口。在这种情况下，可以在进入LS-ACP网络之前将静态VLAN标记应用于报文。然后，可以使用IPv6 VRF转发331功能通过与LS-ACP VRF相连的VLAN转发报文，从而通过对应的TLS/dTLS连接进行安全路由。但是，当没有对应的DULL-GRASP TLS连接可用时，IPv6 VRF转发331功能可能会封锁从接口中LS-ACP VRF发送或接收的数据报文。在这种情况下，对于LS-ACP TLS，期望/允许没有带LS-ACP标记的报文存在。LSP-ACP TLS报文是具有本地节点本地链路IPv6地址、静态TCP端口号或动态选择的端口号以及本地节点和远程节点指示的GRASP的TCP报文。除非链路上存在经过认证的邻居，通过这种方式封锁LS-ACP流量可以建立轻量级的安全机制，保护流量的添加。

网络设备300解决了ACP网络设备200的几个问题。即，由于系统配置不当和/或硬件限制或成本过高，ACP网络的实际部署可能无法通过IPsec或dTLS等安全通道协议来支持对ACP报文进行逐跳加密。这是因为ACP网络中的链路可能在许多远程ACP节点之间传输大量的ACP流量，可能需要加密的硬件/微码加速来支持这种性能。许多网络设备(例如路由器/交换机)不具有这种硬件加密支持功能。为了避免进行逐跳加密，LS-ASP网络设备300采用若干组件，这些组件使整个LS-ACP网络的所有流量进行完全端到端加密。当使用这种dTLS和TLS端到端加密时，只有产生流量的应用可以执行加密。在这种情况下，可以仅以针对这种应用设置的性能级执行加密，可以允许由执行应用的同一CPU执行加密。为了避免必须显式地修改这些ACP应用和组件，这些机制在应用不知情的情况下根据需要自动地执行端到端加密。

总之，网络设备300采用DULL GRASP发现325、LS-ACP证书321和LS-ACP GRASP 323来认证邻居节点，并创建和/或维护与这些邻居的安全TLS/dTLS连接。然后，当应用的报文尚未加密时，强制传输shim 340对这些报文公开加密。然后，加密的报文被标记并通过这些安全连接进行转发。这样可以保证报文是端到端加密的，保证LS-ACP网络的安全性。流量计数329有助于保护LS-ACP网络以防止恶意报文。因此，网络设备300提供轻量级的安全方案，在不需要大量硬件资源的情况下为设备提供安全性。此外，网络设备300在可能时提供安全性，同时在没有安全路径可用时通过通用网络转发报文。下面的图讨论了实现上文讨论的功能的网络和/或对应网络设备(如网络设备300)的特定部署。

图4是LS-ACP网络400的示例实现方式的示意图。网络400可以在网络100上操作并实现网络设备300的功能。网络400包括一个或多个应用412，所述一个或多个应用412可以类似于管理平面310的应用。一些应用412可以访问TLS/dTLS库414。TLS/dTLS库414可以包含支持应用级通信加密的信息。例如，TLS/dTLS库414可以是开源安全套接字层(Opensource Secure Socket Layer，OpenSSL)库。能够访问TLS/dTLS库414的应用412可以生成报文并用于TLS/dTLS库414来对生成的报文加密。其他应用412可以生成用于通过网络400传输的未加密报文。向数据平面VRF 430转发加密报文和未加密报文两者，以通过网络400进行通信。然而，此类报文通过传输shim 440转发。

传输shim 440用于实现强制传输shim 340。传输shim 440包括发起方441、响应方443和TLS/dTLS shim 445。发起方441由准备传送报文的网络设备(例如，发送器)使用，而响应方443和TLS/dTLS shim 445由用作通信目的地的网络设备(例如，通讯节点)使用。发起方441是用于从源应用412发起通信的功能。发起方441检查来自应用412的报文以确定报文的目标VRF。当已将报文引导到特定的本地VRF时，使用本地LS-ACP VRF 420和/或本地数据平面VRF 430将报文转发到目标节点处的等效VRF。当将报文引导到默认VRF时，发起方411将报文重新引导到合适的本地ACP VRF，所述发起方411然后可以将报文引导到目标节点处的对应VRF。首先，发起方441确定目标网络地址是否经由LS-ACP网络400可达。当目的地不可达时，报文可以在不需要附加的安全性的情况下通过通用网络进行转发。当目的地可达时，发起方441可以引导本地LS-ACP VRF 420以发起与目标节点处的对应VRF的通信。另外，发起方441检查报文以确定报文是否已加密。如果源应用412已对报文加密，则报文可以作为加密报文传送。否则，发起方441可以引导LS-ACP VRF 420以在发送之前对报文进行端到端加密。

LS-ACP网络400还包括实现控制平面320和转发平面330的功能的LS-ACP VRF420。具体地，多个LS-ACP VRF 420在网络400中的多个物理节点上操作。LS-ACP VRF 420包括基本上类似于LS-ACP证书321功能的LS-ACP证书421功能。因此，LS-ACP证书421功能与DULL GRASP发现功能一起允许操作LS-ACP VRF 420的任何网络设备/节点与一个或多个邻居网络节点建立安全连接，所述网络设备/节点还操作单独的LS-ACP VRF 420，作为LS-ACP网络400的一部分。此类通信可以经由发送器和/或接收器发生，并且可以在对应设备在网络中启动时发生。当多个节点经由此过程彼此认证时，LS-ACP网络400开始运行。在某些情况下，此种安全连接可以经由与相邻网络节点的组播链路本地通信连接建立。

在对相关网络设备进行认证后，LS-ACP VRF 420可以接收来自源应用412的请求以发起与远程网络节点的连接。换句话说，LS-ACP VRF 420接收由传输shim 440经由发起方441处理的向远程网络节点发送的报文。

LS-ACP VRF 420取决于示例使用路由协议424、路由表426和/或转发表428。路由协议424可以是用于通过LS-ACP网络传送报文的任何路由协议，诸如RPL路由327功能。路由表426是LS-ACP路由表，并且可以填充LS-ACP网络中网络节点的VRF地址和/或此类节点的对应物理网络地址(例如，IPv6网络地址)。转发表428是LS-ACP转发表，并且可以填充LS-ACP网络中网络节点的VRF地址以及端口转发信息，所述端口转发信息指示哪个物理端口可以将消息引导到与对应VRF地址相关联的网络节点。路由表426和转发表428可以根据几种机制进行填充，这取决于期望的实现方式。在一些实现方式中，在LS-ACP网络中的节点上使用的路由协议424可以通过LS-ACP网络(例如，通过到所有经过认证的LS-ACP网络节点的安全连接)泛洪网络节点的VRF地址和对应的物理地址。在此种情况下，路由表426和转发表428可以基于此类泛洪信息进行填充。在其他情况下，路由表426和转发表428可以由地址映射系统451填充。地址映射系统451可以在单独的节点上操作并维护包含LS-ACP网络中所有经过认证的节点的物理地址和VRF地址的数据库(例如，当新节点经认证以访问LS-ACP网络时，可以经由发送信号来通知地址映射系统451)。当使用地址映射系统451时，LS-ACP网络可以不泛洪VRF地址。相反，节点可以在从源应用412接收报文以进行传输时从地址映射系统451请求目标节点的VRF。

根据LS-ACP转发表428和/或数据平面VRF 430管理报文转发。数据平面VRF 430包含IPv6转发表436和/或IPv4转发表438，所述IPv6转发表436和/或IPv4转发表438包含支持通过网络转发报文的地址。路由协议424和路由表426用作在地址映射系统451中创建表项的机制。换句话说，地址映射系统451用于将本地节点LS-ACP和数据平面地址转发到路由协议424。然后，路由协议424可以将此类信息分发到网络中操作路由协议424的实例的其他节点。每个路由协议424将此类信息存储在对应路由表426中。因此，当发起方441从地址映射系统451请求VRF地址时，地址映射系统451可以从路由表426中获得此类信息。然后，可以视需要将VRF附加到报文，并且LS-ACP转发表428和/或数据平面VRF 430可以向目标节点转发报文。

上文在网络设备作为报文源的功能方面对图4进行了讨论。下文在报文目标功能方面对图4进行讨论。具体地，目标节点处的数据平面VRF 430接收报文，并向传输shim 440转发报文，以传递到在目标网络节点上运行的应用412。报文由传输shim中的响应方443接收。响应方443是侦听对应套接字以进行通信活动的功能。当接收到报文时，响应方443确定目标应用412是否正在使用加密。当目标应用412正在使用加密时，响应方443直接将报文转发到目标应用412以进行解密。当目标应用412未在使用加密时，响应方443经由TLS/dTLSshim 445库向目标应用412转发报文。TLS/dTLS shim 445是用于透明加密/解密的库。目标节点处的TLS/dTLS shim 445用于在向目标应用412转发报文之前对报文进行解密。以此方式，传输shim 440以对应用412透明的方式对报文进行端到端加密。然而，如果应用412使用端到端加密，则在传输期间使用此种加密，而不给系统带来附加的加密负担。

应注意，网络400的设计实现了若干目标。例如，如果目标节点通过LS-ACP VRF420可达，则网络400确保应用为其流量自动选择LS-ACP VRF 420。另外，网络400确保当此类应用使用LS-ACP VRF 420时为应用流量自动选择端到端加密。另外，传统应用412可以用于根据网络400进行操作。此类传统设备可以在具有或不具有应用层端到端传输层安全性的情况下通过LS-ACP网络操作网络应用。所公开的机制可以支持经由一个或多个VRF发起和响应传输层连接的应用。例如，某些传统应用无法显式地选择哪个VRF用于连接，只能经由默认VRF进行连接。这些应用称为非VRF感知应用。尽管如此，但是这些应用可以响应从不同VRF接收到的连接。因此，非VRF感知应用可以接收来自LS-ACP VRF的连接，但是无法通过LS-ACP VRF发起连接。网络400为非VRF感知应用提供此类能力。在其他情况下，应用可以是VRF感知的，并且可以选择使用哪个VRF来发起传输连接。然而，为发起的连接选择LS-ACPVRF可能只有基于运营商配置才能完成，这在某些情况下可能不会发生。VRF感知应用可以包括每当运营商尚未为连接配置特定的VRF时使用的默认VRF。在大多数情况下，不应将LS-ACP设置为默认VRF，因为并非所有通过默认VRF可达的设备也可以通过LS-ACP VRF达到。因此，网络400允许非VRF感知应用自动使用LS-ACP，并且允许VRF感知应用使用LS-ACP，而不需要运营商显式地提供配置(例如，允许运营商使用默认VRF)。

还应注意，各种应用可以或可以不使用端到端加密。如果应用确实支持端到端加密，则应用的配置可能需要显式配置密钥材料，并选择对每个对等项使用哪种密钥材料。网络400允许不支持端到端加密的应用使用LS-ACP网络。另外，网络400允许支持端到端加密的应用使用LS-ACP网络，即使此类应用尚未配置为正确使用端到端加密。这允许此类应用依赖于从LS-ACP传输层shim自动提供的端到端加密。

如上所述，当应用412在不指示VRF的情况下发起连接时，由传输shim 440执行LS-ACP的自动选择。这种情况的发生可能是因为应用412是VRF不感知的或者是VRF感知的并且使用默认VRF。作为响应方443，通过记住报文的传入VRF，并且对同一连接的回程报文使用相同的VRF来选择VRF。在一种机制中，发起方441通过检查应用412指示的响应方443的地址来确定是否使用LS-ACP连接。如果地址是IPv6类型，则传输shim 440/发起方441检查LS-ACP VRF 420的路由表426，以确定该地址是否可达。如果地址可达，则通过LS-ACP建立连接，但是在任何其他情况下不建立连接。当使用此机制时，发起方441应指示响应方443的地址，所述地址经由LS-ACP VRF 420可达。在第二种机制中，发起方441可以将响应方443的地址指示为默认VRF。地址映射系统451用于允许发起方441确定响应方443的LS-ACP VRF地址，即使应用412仅指示默认VRF中的响应方443的地址。在特定示例中，在响应方443上操作的地址映射服务451将响应方443的默认VRF地址作为附加信息注入LS-ACP路由协议424中，使得响应方443的VRF地址包括在发起方441路由表426中，并与响应方443LS-ACP地址的路由相关联。应注意，在ACP网络中，路由表426可以为每个ACP设备的地址前缀维护单独的路由表项。由于响应方443的VRF地址视为关联信息，因此路由表426不会将此信息作为附加路由安装到转发表428中，因此不会增加对转发表428和/或内存的需求。相反，该信息仅在LS-ACP节点的路由表426中可用。

另外，每当发起方确定响应方地址的可达性时，发起方与路由协议424通信，所述路由协议424查阅路由表426。如果发现响应方443地址作为路由表项的附加信息，则返回该路由表项的基地址。然后，发起方441将响应方443地址更改为该地址，并使用LS-ACP VRF420进行连接。否则，发起方441保持响应方443地址不变并使用默认VRF。在第二种机制中，地址映射系统451不经由路由协议424将默认VRF的映射泛洪到LS-ACP地址，而是使用查找机制，每当441决定确定响应方443的地址的可达性时，所述查找机制使用主动查找。当很少查找到响应方443的地址时，第二种机制可能是有益的，因为对于系统需求而言，这种情况会使映射的泛洪在计算上昂贵。

为了提供基于地址映射系统451的请求和答复，可以使用GRASP。默认VRF地址可以编码为目标名称。在此种情况下，地址映射系统451可以发送通过LS-ACP网络泛洪的GRASP消息发现(M_DISCOVERY)消息。响应方443以GRASP多重响应(M_RESPOND)进行响应，以传递响应方443的LS-ACP地址，在M_DISCOVERY消息中指示所述响应方443的默认VRF。然后，发起方441可以通过将响应方443的物理地址替换为习得的LS-ACP响应方443的VRF地址来使用LS-ACP网络进行连接。否则，发起方441可以使用默认VRF并且保持响应方443的地址不变。LS-ACP网络400使得通过LS-ACP的所有应用流量进行端到端加密。为了使此操作对于应用412不可见，使用TLS/dTLS shim 445库来重载套接字应用编程接口(applicationprogramming interface，API)的功能，以使用TLS对TCP套接字的流量和使用dTLS对UDP流量的流量自动加密。另外，认证使用LS-ACP证书421。

图5是LS-ACP网络中的示例转发平面500实现方式的示意图。例如，转发平面500可以用作转发平面130、330和/或430的子集。转发平面500描绘LS-ACP网络中的特定情况。具体地，应用可以转发未加密组播报文(例如，链路本地组播报文)。在此种情况下，从应用转发单个报文，其意图是将此类报文的多个副本发送到多个目的地。这可以称为点到多点(point to multi-point，P2MP)通信。这也可能作为多点到多点(multi-point to multi-point，MP2MP)场景的一部分发生。

转发平面500包含标记为A1-A3、B和C1-C3的多个节点。节点B描绘为组播通信的源。节点A1-A3是第一组播组501的接收器组，并且节点C1-C3是第二组播组502的接收器组。例如，在节点B上操作的LS-ACP VRF可以接收未加密的组播报文，以经由LS-ACP路由协议对第一组播组501通信。在此种情况下，LS-ACP VRF应准备对组播报文的每个副本进行端到端加密。为了完成此种操作，LS-ACP VRF将第一组播组501的未加密报文组转换为引导到第一组播组501的接收器(例如，节点A1-A3)的单播报文列表。然后，根据对应的加密协议(诸如TLS、DTLS等)对单播报文加密。然后，将单播报文转发到节点B处的数据平面VRF，以对节点A1-A3通信。然后，数据平面VRF对单播报文进行标记，并将加密后的单播报文作为链路本地单播发送到相邻网络节点A1-A3。同样地，源节点B可以接收跨第二组播组502发送的报文。以类似方式，LS-ACP VRF通过与相邻网络节点C1-C3建立多个安全的端到端连接来组播报文。然后，LS-ACP VRF和/或数据平面VRF对报文加密，并使用单播通过安全的端到端连接将加密报文发送到第二组播组502的节点C1-C3。

图6是用于在LS-ACP网络中操作的示例网络设备600的示意图，所述示例网络设备600诸如网络100、300、400和/或转发平面500中的网络节点/设备。网络设备600可以是通过LS-ACP网络发送报文的任何设备。因此，网络设备600可以操作应用、传输shim、LS-ACP VRF和/或数据平面VRF，如上所述。因此，网络设备600可以用于实现或支持本文描述的方案/特征/方法中的任一种。本领域的技术人员将认识到，术语网络设备涵盖广泛范围的设备，其中网络设备600仅仅是示例。出于清楚讨论的目的，包括网络设备600，但绝不意在将本发明的应用限于特定的网络设备实施例或网络设备实施例的类别。本发明中描述的特征/方法中的至少一些可以在网络装置或组件(诸如网络设备600)中实现。例如，本公开中的特征/方法可以使用硬件、固件和/或安装在硬件上运行的软件来实现。网络设备600可以是通过网络传输电信号和/或光信号的任何设备，例如，交换机、路由器、网桥、服务器、客户端等。如图6所示，网络设备600可以包括收发器(Tx/Rx)610，所述收发器可以是发送器、接收器或其组合。Tx/Rx 610可以分别耦合到用于从其他节点发送和/或接收帧的多个下行端口620(例如，下行接口)，和用于从其他节点发送和/或接收帧的多个上行端口650(例如，上行接口)。处理器630可以耦合到Tx/Rx 610以处理数据信号和/或确定将数据信号发送到哪些节点。处理器630可以包括一个或多个多核处理器和/或内存设备632，所述一个或多个多核处理器和/或内存设备632可以用作数据存储器、缓冲器等。处理器630可以实施为通用处理器，或者可以是一个或多个专用集成电路(application specific integrated circuit，ASIC)和/或数字信号处理器(digital signal processor，DSP)的一部分。网络设备600可以包括LS-ACP模块614，其可以用于操作传输shim、LS-ACP VRF、数据平面VRF和/或任何关联组件。因此，LS-ACP模块614可以使用DULL GRASP与其他节点中的LS-ACP模块建立安全连接。LS-ACP模块614还可以从应用接收未加密报文，并在将此类报文通过LS-ACP网络经由Tx/Rx 610传输到其他节点之前对此类报文进行端到端加密。LS-ACP模块614可以实现为通用处理器、现场可编程门阵列(field programmable gate array，FPGA)、专用集成电路(Application Specific Integrated Circuit，ASIC)、数字信号处理器(Digital SignalProcessor，DSP)、微控制器等。在替代实施例中，LS-ACP模块614可以作为存储在内存设备632中的可以由处理器630执行的指令(例如，作为计算机程序产品)在处理器630中实现，和/或部分地在处理器630中和部分地在内存设备632中实现。下行端口620和/或上行端口650可以包含电和/或光发送和/或接收组件。

图7是用于在网络100、300、400、转发平面500和/或网络设备600中操作传输shim发起方(诸如发起方411)的示例方法700的流程图。发起方采用方法700执行目标节点ACPVRF的自动选择和对应用层透明的自动加密。具体地，方法700允许传输shim发起方选择何时执行加密，诸如TLS和/或dTLS。

在方框701处，发起方接收对目的地的套接字连接请求。具体地，传输shim中的发起方从应用接收连接请求，这可以在网络管理平面中操作。连接请求可以根据LS-ACP网络中的物理网络地址(例如，IP和/或介质访问控制(Media Access Control，MAC)地址)或VRF地址来指示目标节点。在方框703处，发起方确定请求是引导到ASP VRF还是正在使用物理地址。当请求已引导到ASP VRF时，方法700进行到方框705，这将在下文中讨论。当请求未引导到ASP VRF时，方法700进行到方框704，以自动选择ASP VRF地址(如果此地址可用)。

在方框704处，方法700确定目的地是否经由ACP网络可达。例如，发起方可以与路由协议和/或路由/转发表通信，以确定目标VRF地址和经由LS-ACP网络到达目标节点的路由/端口。作为另一示例，发起方可以与地址映射系统通信，以确定到达目标节点的VRF地址和网络路由/端口。当由于不存在路由或由于目标节点不符合LS-ACP而经由ACP无法到达目标节点时，方法700进行到方框708，并且不执行特殊处理。换句话说，报文通过网络发送到目标节点，而不需要使用LS-ACP和任何对应的安全性。当目标节点经由LS-ACP网络可达时，方法700进行到方框706。在方框706处，经由LS-ACP网络与目标节点交换连接建立报文(例如，由路由协议功能发送和/或接收)。这样的结果是在源节点与目标节点之间通过LS-ACP建立安全连接，以进行进一步通信。然后，方法700进行到方框705。

在方框705处，方法700确定应用是否已对报文执行加密，例如TLS和/或dTLS。当应用不使用加密时，方法700进行到方框707，并且例如使用TLS和/或dTLS对通过连接发送的报文进行端到端加密。当应用已对报文进行端到端加密时，方法700进行到方框709，并允许应用在发送报文时执行端到端加密。因此，当应用已对来自应用的报文加密时，源节点不执行附加的加密。

方法700允许传输shim放弃拦截连接，并对已知已经使用足够端到端加密的应用执行透明加密(例如，经由如OpenSSL的TLS/dTLS库)。这可以通过配置或通过识别应用对加密库链接来实现。应注意，在网络设备中未感知到不同VRF的应用通常可以接受来自多个VRF的连接。方法700确保传输shim仅在连接在LS-ACP VRF之间以及因此在两个符合LS-ACP的节点之间的情况下才执行加密。这允许系统取决于对涉及的设备的约束而提供最佳可能的安全性。

图8是用于在网络100、300、400、转发平面500和/或网络设备600中操作传输shim响应方(诸如响应方443)的示例方法800的流程图。响应方在目标节点上操作，并且使用方法800来响应与使用方法700的源节点处的发起方的通信。

在方框801处，响应方侦听套接字，以通过LS-ACP网络进行通信。当接收到报文时，方法800进行到方框803。在方框803处，响应方确定接收到的报文是否来自LS-ACP VRF，例如通过确定报文源和/或目的地是引导到VRF地址还是引导到物理网络地址。如果报文不来自LS-ACP VRF，则报文错误地尝试访问LS-ACP网络，并且被丢弃。在此种情况下，方法800返回到方框801。当消息来自LS-ACP VRF时，方法800进行到方框805。

在方框805处，响应方确定报文是由应用加密的还是由源处的传输shim进行透明加密。与方法700一样，这可以基于配置和/或基于对源应用的识别来完成。当应用已对报文加密时，在方框809处允许应用执行端到端加密。换句话说，响应方可以在不对报文解密的情况下将报文转发到目标节点处的应用。这允许目标节点应用管理解密。当应用尚未对报文加密时，在方框807处使用传输shim中的解密库来对报文/连接解密(例如，使用TLS和/或dTLS)。在此种情况下，传输shim对报文进行解密并将报文转发到应用。这允许加密/解密由传输shim透明地管理，而不需要源或目的地处的应用涉及保持连接。

图9是用于执行流量比较的示例LS-ACP设备900的示意图。LS-ACP设备900可以作为网络100、300、400和/或转发平面500中的源、目的和/或源或目的地之间的任何节点。LS-ACP设备900的功能可以在对应节点的控制和/或转发平面中实现(例如，其可以进一步操作上文讨论的在传输shim、管理平面等中的功能)。如上所述，LS-ACP网络使用端到端加密。在逐跳加密的情况下，中间人攻击者可以在相互认证的LS-ACP邻居之间注入、修改和/或删除报文。LS-ACP设备900使用可以在网络平台上本地实现的机制。应注意，发现恶意活动的准确度取决于硬件的准确度。所公开的流量比较机制可以限于跨点到点链路的LS-ACP邻居关系。如果相反多于两个相互认证的LS-ACP邻居经由多点以太网彼此连接，则可能无法直接应用该机制。

LS-ACP设备900使用可以基本上类似于LS-ACP证书421的域名证书功能909。LS-ACP设备900还分别以类似于LS-ACP GRASP 323功能和ICMP/dTLS封装322功能的方式使用DULL GRASP 903功能来维护与相邻节点的认证，以及使用TLS 905功能来保护通信。LS-ACP设备900还使用流量计数901功能。流量计数901维护通过每个端口发送的报文和通过每个端口接收的报文的计数器。具体地，流量计数901跟踪LS-ACP邻居之间点到点链路上的通信，并维护已发送字节计数器、已发送报文计数器、已接收字节计数器和/或已接收报文计数器。流量计数901还维护时钟以测量间隔并以特定间隔执行操作。因此，LS-ACP设备900用于比较链路的发送侧的已发送报文/字节与链路的接收侧上的已接收报文/字节。取决于计数器检索的准确度和间隔的确定，比较计数器的准确度会有所不同。示例设备可以使用一微秒准确时间间隔和计数器检索。在一微秒间隔内，在100千兆比特每秒(Gigabits persecond，Gbps)链路上可能仅有一个1500字节的报文在发送。即使中间人攻击者在30秒间隔内对总报文/字节的单一更改也能被检测到。许多已部署的链路比先前的示例更慢，因此需要的准确度甚至更低。另外，攻击者需要创建比检测阈值更多的报文更改(例如，注入更多的报文)，以维持有问题的攻击。

因此，流量计数901经由TLS 905保护的DULL GRASP 903连接来维护并与邻居节点交换计数器。为了保证通过LS-ACP网络进行的交换尽可能快，可以通过接口以最高优先级发送/排队DULL GRASP ACP流量，这样确保此类报文不会被其他竞争报文延迟。LS-ACP设备900可以使用以下方法1000来执行流量比较并检测中间人攻击者。

图10是例如通过上文讨论的任何网络中的LS-ACP设备900执行流量比较的示例方法1000的流程图。具体地，方法1000允许相邻网络设备保护安全连接免受中间人攻击。方法1000在通过LS-ACP点到点链路连接的一对LS-ASP设备(此处标示为LS-ACP设备A和LS-ACP设备B)之间操作。

在方框1001处，设备A确定设备A在第一时间(标示为T1)处跨到设备B的链路的已发送和/或已接收字节和/或报文的计数器。在方框1003处，设备A向设备B发送如在方框1001处确定的设备A的计数器和T1的时戳。在方框1005处，设备B确定设备B跨到设备A的链路的已发送和/或已接收字节和/或报文的计数器。这在第二时间(标示为T2)处发生。在方框1007处，设备A接收设备B的计数器和T2的时戳。因此，设备A与ACP网络中的相邻网络节点设备B交换接口已发送/已接收报文/字节计数器和对应的时戳。

在方框1009处，设备A以与方框1001类似的方式在时间T3处确定设备A的计数器。在方框1011处，设备A将设备A的已发送计数器和时戳与设备B处的已接收计数器和时戳进行比较。当在指定时间段内已发送报文计数器和已接收报文计数器的差值超过错误阈值时，设备A可以确定入侵者已对网络进行了更改。设备B也可以执行类似的分析。设备A和/或B可以在检测到入侵者时向应用和/或管理员发出警报。设备也可以视需要拆除连接和/或丢弃报文。

应注意，图10在某些示例中示出了整个过程的四分之一。节点之间的计数器的重复交换使得确定更准确。方法1000允许设备A为本地和远程设备B上检索计数器的不准确度建立基线。然后，使用建立的基线来选择准确度公差。准确度公差是一个阈值，所述阈值指示已发送报文计数器与接收报文计数器之间基于相关设备的基线准确度的可接受的偏差。当已发送计数器与已接收计数器之间的差异(或反之亦然)超出准确度公差时，对应的设备可以确定已经发生攻击。例如，设备A可以在30秒后重复方法1000，从而在比T1、T2、T3晚约30秒的时间T1’、T2’和T3’处建立计数器。在此种情况下，设备B在观察间隔内接收到的字节/报文数为T2’处的B字节/报文数–T2处的B字节/报文数。另外，设备A在观察间隔内发送的字节/报文数为T1’处的字节/报文数和T3’处的字节/报文数的中位数减去T1处的字节/报文数和T3处的字节/报文数的中位数。在此种情况下，设备A在观察间隔内对字节/包的测量的误差为：在T3’处的字节/报文数–在T1处的字节/报文数减去在T1’处的字节/报文数–在T3处的字节/报文数。如果已接收值超过已发送值加或减误差(例如，在报文或字节计数器上)，则设备A可以假定入侵者正在添加、删除或修改报文。同样地，设备B可以与设备A执行相同的操作，以确定设备B发送到设备A的报文可能存在的中间人攻击。

图11是LS-ACP网络中维护安全性的示例方法1100的流程图。方法1100使用上文讨论的机制，并且为了清楚起见，提供作为此类机制的总结。因此，方法1100可以用于网络100、300、400、转发平面500和/或网络设备600和/或900。另外，方法1100可以采用上文讨论的任何方法，诸如方法700、800和/或1000，以执行方法1100中的对应方框。

为了清楚起见，从称为网络设备的源节点的角度描述方法1100。方法1100可以在此种网络设备开始操作并准备连接到LS-ACP网络时开始。在方框1101处，网络设备准备与LS-ACP网络中的其他网络节点建立安全连接。具体地，网络设备在各种接口上发送DULLGRASP发现消息，以确定相邻网络节点的存在。然后，网络设备从此类节点接收发现响应。

在方框1103处，网络设备与相邻节点建立安全连接。这种安全连接允许安全认证。连接可以通过TLS、dTLS和/或本文讨论的任何其他安全协议来保护。

在方框1105处，网络设备通过审查安全认证连接上的对应LS-ACP证书来认证邻居节点。然后，可以解封对应于经过认证的网络节点的端口。应注意，封锁端口阻止除DULLGRASP发现相关报文之外的报文的通信。这样确保只有经过认证的端口上的节点才能访问LS-ACP网络。完成方框1105后，网络设备是LS-ACP网络的一部分，并且可以在对应的VRF地址上发送/接收报文。

在方框1107处，可以从应用接收报文。网络设备可以执行透明的端到端加密和/或确定如上文讨论的目标节点VRF地址。目标VRF地址可以经由若干机制确定。在一个示例中，可以通过LS-ACP网络上泛洪LS-ACP GRASP消息。这些消息可以包括物理网络地址和对应的VRF地址两者。另外，远程节点可以通过泛洪包含远程节点的物理地址和VRF地址的GRASP响应消息来响应此类消息。这样允许网络上的节点(包括网络设备)侦听此类流量并填充对应的VRF路由/转发表。在另一示例中，源网络设备可以泛洪LS-ACP GRASP消息，以请求目标节点的VRF。然后，目标节点可以经由单播直接向源网络设备发送GRASP响应消息。GRASP响应消息包含目标节点的VRF，因此允许源网络设备经由LS-ACP网络将报文路由到目标节点。在又一示例中，源网络设备查询地址映射系统，所述地址映射系统维护LS-ACP网络中的节点的VRF地址的完整视图。地址映射系统可以通过泛洪GRASP消息并接收响应、通过在连接时从节点接收VRF地址等来维护此种视图。

在为报文建立适当的连接和加密后，方法1100进行到方框1109。在方框1109处，源网络设备开始通过LS-ACP网络向远程网络节点发送加密报文。具体地，源网络设备例如使用VLAN或其他报文标记对加密报文进行标记，以指示LS-ACP网络中的成员关系。然后，使用如在方框1107处确定的目标节点的VRF地址，将标记后的报文转发到目标节点。

在方框1111处，除了已标记报文和LS-ACP网络发现报文，诸如GRASP发现报文和/或响应外，网络设备会封锁经过认证的节点上的所有报文。此方法通过丢弃不是来自试图加入LS-ACP网络的节点或来自已在LS-ACP网络中的节点的报文来维护LS-ACP网络的安全性。方框1111可以在网络设备操作期间连续操作。

另外，在方框1113处，网络设备可以与相邻节点交换计数器，以发现中间人攻击。根据上文关于LS-ACP设备900和/或方法1000的讨论，可以交换和检查此类计数器。计数器交换和比较也可以在网络设备操作期间连续操作。

一种网络设备，包括：发送器装置和接收器装置，以与作为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分的一个或多个网络节点建立安全连接，以及处理器装置，耦合到发送器装置和接收器装置，所述处理器意在：从应用接收请求以发起与目标网络节点的连接，接收来自应用的报文以向目标网络节点发送，当未对来自应用的报文加密时，对未加密报文进行端到端加密而无需通知所述应用，以及使发送器通过ACP网络向目标网络节点发送加密报文。

一种在网络设备中实现的方法，所述方法包括：用于与作为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分的一个或多个网络节点建立安全连接的装置，用于从应用接收请求以发起与目标网络节点的连接的装置，用于接收来自应用的报文以向目标网络节点发送的装置，当未对来自应用的报文加密时，用于对未加密报文进行端到端加密而无需通知应用的装置，以及用于通过ACP网络向目标网络节点发送加密报文的装置。

虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或范围的情况下，所公开的系统和方法可以以多种其他特定形式来体现。当前的示例应视为说明性而非限制性的，且意图不限于本文所给出的细节。例如，可以在另一系统中结合或集成各种元件或组件，或者可以省略或不实现某些特征。

另外，在不偏离本发明的范围的情况下，各种实施例中描述及图示为独立或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。示出或论述为耦合或直接耦合或彼此通信的其他项可以彼此连接或者可以采用电方式、机械方式或其他方式通过某一接口、设备或中间部件间接地耦合或通信。其他变化、替代和改变的示例可以由本领域的技术人员在不脱离本文精神和所公开的范围的情况下确定。

Claims (20)

1.一种网络设备，其特征在于，包括：

发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面ACP网络的一部分；

处理器，与所述发送器和所述接收器耦合，所述处理器用于：

从应用接收请求，以发起与目标网络节点的连接；

从所述应用接收报文，以向所述目标网络节点传输；

当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；

使发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

2.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于，当所述应用中的报文已由所述应用加密时，不再对所述报文加密。

3.根据权利要求1所述的网络设备，其特征在于，所述处理器根据传输层安全TLS协议、数据报传输层安全dTLS协议或其组合对所述未加密报文加密。

4.根据权利要求1所述的网络设备，其特征在于，与一个或多个网络节点建立安全连接包括：

向所述网络节点发送加密的本地链路主动发现DULL通用自组织信令协议GRASP发现消息；

建立安全的传输层安全TLS连接进行认证；

解封认证网络节点对应的端口。

5.根据权利要求1所述的网络设备，其特征在于，与一个或多个网络节点建立安全连接还包括与相邻网络节点建立组播本地链路通信连接。

6.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于在使用ACP路由表发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达。

7.根据权利要求6所述的网络设备，其特征在于，所述ACP路由表通过接收ACP路由协议泛洪的所述ACP网络中的网络节点的虚拟路由转发VRF地址来填充。

8.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于在使用地址映射服务发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达，从而确定所述目标网络节点的ACP虚拟路由转发VRF地址。

9.根据权利要求8所述的网络设备，其特征在于，所述地址映射服务：

使用所述发送器在所述ACP网络中泛洪ACP通用自组织信令协议GRASP发现消息；

使用所述接收器响应于所述GRASP发现消息，在GRASP响应消息中接收所述目标网络节点的所述VRF。

10.根据权利要求1所述的网络设备，其特征在于，通过所述ACP网络向所述目标网络节点发送所述加密报文包括：

标记所述加密报文以指示所述ACP网络中的成员关系；

封锁除标记报文和ACP网络发现报文外的所有报文。

11.根据权利要求1所述的网络设备，其特征在于，通过所述ACP网络向所述目标网络节点发送所述加密报文包括通过以下方式组播所述加密报文：

与多个相邻网络节点创建多个安全端到端连接；

在所述安全端到端连接上单播所述加密报文。

12.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于通过以下方式保护所述安全连接免受中间人攻击：

与所述ACP网络中的相邻网络节点交换接口发送/接收报文/字节计数器和对应的时戳；

当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，确定入侵者。

13.一种在网络设备中实现的方法，其特征在于，所述方法包括：

发送器和接收器与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面ACP网络的一部分；

处理器从应用接收请求，以发起与目标网络节点的连接；

所述处理器从所述应用接收报文，以向所述目标网络节点传输；

当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；

所述发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

14.根据权利要求13所述的方法，其特征在于，所述未加密报文为用于ACP路由协议的本地链路组播报文，对所述未加密报文进行端到端加密包括：

将所述非加密报文转换为单播报文列表；

根据数据报传输层安全dTLS协议，对所述单播报文加密；

将所述加密后的单播报文作为本地链路单播发送给相邻网络节点。

15.根据权利要求13所述的方法，其特征在于，与一个或多个网络节点建立所述安全连接包括：根据加密的本地链路主动发现DULL通用自组织信令协议GRASP，对所述ACP网络中的相邻网络节点进行认证。

16.根据权利要求13所述的方法，其特征在于，还包括通过以下方式保护所述安全连接免受中间人攻击：

与所述ACP网络中的相邻网络节点交换报文计数器和对应的时戳；

当发送报文计数器与接收报文计数器在指定时间段内的差值超过根据精度公差计算的误差阈值时，确定入侵者。

17.一种非瞬时性计算机可读介质，其特征在于，包括被网络设备使用的计算机程序产品，其中，所述计算机程序产品包括存储在所述非瞬时性计算机可读介质中的计算机可执行指令，当处理器执行所述计算机可执行指令时，所述网络设备：

与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面ACP网络的一部分；

从应用接收请求，以发起与目标网络节点的连接；

从所述应用接收报文，以向所述目标网络节点传输；

当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；

通过所述ACP网络向所述目标网络节点发送所述加密报文。

18.根据权利要求17所述的非瞬时性计算机可读介质，其特征在于，所述未加密报文根据数据报传输层安全dTLS协议加密并作为本地链路互联网协议第六版IPv6低功耗有损网络RPL路由协议组播报文进行传输。

19.根据权利要求17所述的非瞬时性计算机可读介质，其特征在于，与一个或多个网络节点建立所述安全连接包括：根据通用自组织信令协议GRASP，对所述ACP网络中的相邻网络节点进行认证。

20.根据权利要求17所述的非瞬时性计算机可读介质，其特征在于，所述计算机可执行指令还使所述网络设备通过以下方式保护所述安全连接免受中间人攻击：

与所述ACP网络中的相邻网络节点交换报文计数器和对应的时戳；

当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，确定入侵者。

Images