CN112468448A - 通信网络的处理方法、装置、电子设备和可读存储介质 - Google Patents
通信网络的处理方法、装置、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN112468448A CN112468448A CN202011224618.8A CN202011224618A CN112468448A CN 112468448 A CN112468448 A CN 112468448A CN 202011224618 A CN202011224618 A CN 202011224618A CN 112468448 A CN112468448 A CN 112468448A
- Authority
- CN
- China
- Prior art keywords
- node
- node device
- message
- node equipment
- hop count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种通信网络的处理方法、装置、电子设备和计算机可读存储介质,涉及计算机技术领域。其中,通信网络的处理方法包括:向待验证的第二节点设备发送验证报文;接收第二节点设备根据验证报文反馈的回应报文;提取回应报文中第二节点设备的度量值;在基于第二节点设备的度量值将第二节点设备鉴别为可信时,向第二节点设备发送与鉴别结果对应的确认报文,以确认第二节点设备可信。通过本公开的技术方案,能够防止非可信设备接入网络,并基于第一节点设备与第二节点设备建立可信网络,提高了网络的安全性。
Description
技术领域
本公开涉及网络技术领域,尤其涉及一种通信网络的处理方法、装置、电子设备和计算机可读存储介质。
背景技术
中心-分支型网络是一种网络拓扑结构,网络拓扑包括中心节点与分支节点,每一个分支节点都通过一条或多条通信链路与中心节点相连,一个分支节点与中心节点或另一个分支节点间数据传输即由这些通信链路进行承载。
现有网络技术中,由于业务网络可能运行在非法接入的网络节点上,从而导致网络安全风险。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种通信网络的处理方法、装置、电子设备和计算机可读存储介质,至少在一定程度上提高通信网络中数据传输的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的第一方面,提供一种通信网络的处理方法,应用于第一节点设备,包括:向待验证的第二节点设备发送验证报文;接收所述第二节点设备根据所述验证报文反馈的回应报文;提取所述回应报文中所述第二节点设备的度量值;在基于所述第二节点设备的度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送与鉴别结果对应的确认报文,以确认所述第二节点设备可信。
在本公开的一个实施例中,还包括:提取所述回应报文中所述第二节点设备的标识;所述在基于所述设备度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送对应的确认报文包括:确定与所述标识匹配的基准值在检测到所述度量值与所述基准值一致时,确定所述第二节点设备鉴别可信,生成所述确认报文并发送给所述第二节点设备。
在本公开的一个实施例中,所述验证报文包括报文跳数,所述回应报文还包括所述第二节点设备根据所述报文跳数反馈的端口标识与传输跳数,所述方法还包括:提取所述回应报文中的所述端口标识与所述传输跳数;在所述第一节点设备与所述第二节点设备之间形成多个链路时,基于所述端口标识与所述传输跳数配置所述多个链路中的所述传输链路;以及根据所述第二节点设备的标识、所述端口标识与所述传输跳数生成对应于所述第二节点设备的邻居信息,并添加至所述确认报文中。
在本公开的一个实施例中,在向待验证的第二节点设备发送验证报文之后,所述方法还包括:若未接收到所述回应报文,并且检测到未接收到的次数大于或等于预设次数,确定与所述第二节点之间的链路失效,并删除所述邻居信息。
根据本公开的第二方面,提供一种通信网络的处理方法,应用于第二节点设备,包括:接收第一节点设备发送的验证报文;根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值;基于所述度量值生成回应报文;将所述回应报文发送至所述第一节点设备,以由所述第一节点设备基于所述度量值对所述第二节点设备进行可信鉴别;接收所述第一节点设备根据鉴别结果发送的确认报文,以根据所述确认报文确认所述第二节点设备可信。
在本公开的一个实施例中,所述根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值包括:调用可信防护部件对所述第二节点设备中的计算部件进行度量,以生成所述度量值。
在本公开的一个实施例中,在接收第一节点设备发送的验证报文之后,所述方法还包括:提取所述验证报文中的报文跳数;在检测到接收端口的跳数大于所述报文跳数,将所述第二节点设备相对于所述第一节点设备的传输跳数更新为所述报文跳数;将所述报文跳数加1,并记为更新跳数,将所述验证报文中的所述报文跳数更新为所述更新跳数;在检测到所述第二节点设备具有跳数大于所述更新跳数的端口时,将所述验证报文通过所述端口转发至第三节点设备,以对所述第三节点设备进行可信鉴别。
在本公开的一个实施例中,通信网络的处理方法还包括:判断最小化的欧式距离的计算结果是否大于1;若判定最小化的欧式距离的计算结果大于1,则将最小化的欧式距离的计算结果设置为1。
在本公开的一个实施例中,在接收第一节点设备发送的验证报文之后,所述方法还包括:提取所述验证报文中的邻居信息;在检测到所述邻居信息中描述的其它节点设备为所述第二节点设备的邻居时,根据所述邻居信息中的状态标识更新所述其它节点设备的可信状态;在检测到所述邻居信息中描述的其它节点设备不是所述第二节点设备的邻居时,从所述邻居信息中删除所述其它节点设备的信息。
根据本公开的第三方面,提供一种通信网络的处理装置,应用于第一节点设备,包括:发送模块,用于向待验证的第二节点设备发送验证报文;接收模块,用于接收所述第二节点设备根据所述验证报文反馈的回应报文;提取模块,用于提取所述回应报文中所述第二节点设备的度量值;所述发送模块还用于:在基于所述第二节点设备的度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送与鉴别结果对应的确认报文,以确认所述第二节点设备可信。
根据本公开的第四方面,提供一种通信网络的处理装置,应用于第二节点设备,包括:接收模块,用于接收第一节点设备发送的验证报文;可信度量模块,用于根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值;生成模块,用于基于所述度量值生成回应报文;发送模块,用于将所述回应报文发送至所述第一节点设备,以由所述第一节点设备基于所述度量值对所述第二节点设备进行可信鉴别;所述接收模块还用于:接收所述第一节点设备根据鉴别结果发送的确认报文,以根据所述确认报文确认所述第二节点设备可信。
根据本公开的第五方面,提供一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述第一方面的实施例中任意一项的通信网络的处理方法。
根据本公开的第六方面,提供一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述第二方面的实施例中任意一项的通信网络的处理方法。
根据本公开的第七方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意一项的通信网络的处理方法。
本公开的实施例所提供的通信网络的处理方案,通过在第一节点设备与第二节点设备之间以报文的形式进行数据交互,实现验证请求、验证回应以及验证确认过程的处理,第二节点设备的验证回应中包括自身的度量值,以在基于第二节点设备的度量值将第二设备鉴别为可信时,确定第二节点设备为可信的节点设备,从而能够防止非可信设备接入网络,并基于第一节点设备与第二节点设备建立可信网络,提高了网络的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种通信网络的处理系统结构的示意图;
图2示出本公开实施例中一种通信网络的处理方法的流程图;
图3示出本公开实施例中另一种通信网络的处理方法的流程图;
图4示出本公开实施例中通信网络结构的示意图;
图5示出本公开实施例中一种通信网络的处理装置的示意图;
图6示出本公开实施例中另一种通信网络的处理装置的示意图;
图7示出本公开实施例中一种电子设备的示意图;
图8示出本公开实施例中另一种电子设备的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本申请提供的方案,通过检测第二节点设备是否为可信的节点设备,从而能够防止非可信设备接入网络,并在确定第二节点设备可信时,基于第一节点设备与第二节点设备建立可信网络,提高了网络的安全性。
为了便于理解,下面首先对本申请涉及到的几个名词进行解释。
网络节点设备:简称节点设备,完成网络系统中数据传输功能的通信设备,数据通信网络中通常指路由器、交换机等设备,包括但不限于中心节点设备与第二节点设备。
中心节点设备:简称中心节点,位于网络系统中心位置,它能够与网络系统中的所有其它节点设备建立直接或间接的通信通道。
第二节点设备:简称分支节点,位于网络边缘或是中心与边缘通信路径之间,用作网络业务接入点或转发中心节点与其它分支节点业务流量。
上游链路:第二节点设备直接或间接连接到中心节点设备的链路。
上游端口:第二节点设备中形成上游链路对应的本地端口。
下游链路:中心节点设备或第二节点设备用于直接连接其他第二节点设备的链路。
下游端口:中心节点设备或第二节点设备上形成下游链路对应的本地端口。
本申请实施例提供的方案涉及计算机视觉技术的图形处理和图像识别等技术,具体通过如下实施例进行说明。
图1示出本公开实施例中一种通信网络的处理系统的结构示意图,包括中心-分支型网络。
中心-分支型网络包括中心服务器、一个或多个中心节点设备和多个第二节点设备,为了提高网络系统安全性和可靠性,第二节点设备能够通过多条传输链路与中心节点设备连接,节点设备之间根据二层以太协议连接成一个网络。
可选的,上述的网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(MetropolitanArea Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(HyperText Mark-upLanguage,HTML)、可扩展标记语言(Extensible MarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(SecureSocket Layer,SSL)、传输层安全(Transport LayerSecurity,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(Internet ProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
下面,将结合附图及实施例对本示例实施方式中的通信网络的处理方法的各个步骤进行更详细的说明。
图2示出本公开实施例中一种通信网络的处理方法流程图。本公开实施例提供的方法可以由任意具备计算处理能力的电子设备执行,例如如图1中的终端120和/或中心-分支型网络。在下面的举例说明中,以终端120为执行主体进行示例说明。
本公开的通信网络的处理方案,分别在第一节点设备与第二节点设备上执行,其中,第一节点设备为上述的中心节点设备,第二节点设备为上述的第二节点设备。
如图2所示,第一节点设备执行通信网络的处理方法,包括以下步骤:
步骤S202,向待验证的第二节点设备发送验证报文。
其中,在进行报文发送之前,需要将通信网络中的一台或多台设备设置为中心节点,通信网络支持的中心节点数目原则上不受限制,中心节点作为可信网络的根节点,在配置IP地址后与中心服务器进行通信。
另外,第二节点设备可以为直接与第一节点设备相连的设备,此时,第二节点设备相对第一节点设备的跳数为1,第二节点设备还可以为通过其它节点设备与第一节点设备相连的设备,此时,第二节点设备相对第一节点设备的跳数大于1。
第一节点设备与第二节点设备上可以设置多个端口,因此可以分别形成上行传输链路与下行传输链路。
步骤S204,接收第二节点设备根据验证报文反馈的回应报文。
其中,第二节点设备能够根据接收到的验证报文进行自身的设备度量,并生成度量值,度量值加载在回应报文中反馈给中心节点。
步骤S206,提取回应报文中第二节点设备的度量值。
其中,通过提取度量值,以基于度量值确定第二节点设备是否可信。
步骤S208,在基于第二节点设备的度量值将第二节点设备鉴别为可信时,向第二节点设备发送与鉴别结果对应的确认报文,以确认第二节点设备可信。
其中,对第二节点设备的可信鉴别可以在第一节点设备上执行,也可以由上游的中心服务器执行。
具体地,基于第一节点设备与第二节点设备形成的通信网络,能够运行轻量级通信协议,该轻量级通信协议通过在第一节点设备与第二节点设备之间、以及两个第二节点设备之间定期交互“验证报文”、“回应报文”和“确认报文”,第一节点设备作为可信的根节点接收第二节点设备的回应报文,并能够与中心管理服务器通信完成对第二节点设备的可信鉴别。
在该实施例中,通过在第一节点设备与第二节点设备之间以报文的形式进行数据交互,实现验证请求、验证回应以及验证确认过程的处理,第二节点设备的验证回应中包括自身的度量值,以在基于第二节点设备的度量值将第二设备鉴别为可信时,确定第二节点设备为可信的节点设备,从而能够防止非可信设备接入网络,并基于第一节点设备与第二节点设备建立可信网络,提高了网络的安全性。
在本公开的一个实施例中,还包括:提取回应报文中第二节点设备的标识;在基于设备度量值将第二节点设备鉴别为可信时,向第二节点设备发送对应的确认报文包括:确定与标识匹配的基准值在检测到度量值与基准值一致时,确定第二节点设备鉴别可信,生成确认报文并发送给第二节点设备。
其中,可信鉴别过程可以基于可信执行环境完成。
在一种优选的实施过程中,中心服务器依据预先配置的策略对第一节点设备转交的第二节点设备信息进行可信鉴别,并将鉴别结果发回第一节点设备。第一节点设备收到鉴别结果后,发送对应的“确认报文”到对应的第二节点设备。
在该实施例中,在中心服务器端和/或在第一节点设备上,对第二节点设备的可信鉴别过程为:预存第二节点设备的标识与对应的基准值,在提取到第二节点设备的标识时,基于标识查找对应的基准值,并进一步检测接收到的度量值与基准值是否一致,在检测一致时,表明第二节点设备可信,在检测不一致时,表明第二节点设备不可信,并将第二节点设备从通信网络中删除,即不允许第二节点设备的通信链路传输数据,以保证建立的通信网络的安全性。
在本公开的一个实施例中,验证报文包括报文跳数,回应报文还包括第二节点设备根据报文跳数反馈的端口标识与传输跳数,方法还包括:提取回应报文中的端口标识与传输跳数;在第一节点设备与第二节点设备之间形成多个链路时,基于端口标识与传输跳数配置多个链路中的传输链路;以及根据第二节点设备的标识、端口标识与传输跳数生成对应于第二节点设备的邻居信息,并添加至确认报文中。
具体地,节点设备同时处理通信报文,根据报文、通信端口的跳数关系确定节点设备的上游端口、下游邻居信息学习、下游邻居转发表构建等。
采用第一节点设备C1与第一节点设备C2标识两个第一节点设备,将端口对应C1、C2的跳数值设置为无穷大,具体实现中可设置“65535”。即为Pc1-hop=65535,Pc2-hop=65535。
将端口链路相对于两个中心节点的角色设置为“未知”,具体实现中可设置为“-1”,即为Pc1-R=-1,Pc1-R=-1。
完成上述初始化处理后,第一节点设备即可启动发起验证处理流程,分支节点予以配合,以下以第一节点设备C1为例本公开的方案(第一节点设备C2处理流程与C1相同)。
具体地,中心节点设备C1向所有可用端口周期性发送“验证报文”,该报文中包含“跳数”字段,该字段设置值为“0x01”,代表传输跳数为1,进而通过接收第二节点设备的反馈结果,完成可信鉴别。
在该实施例中,验证报文中还包括报文跳数,回应报文中还包括第二节点设备的传输报文以及端口标识,端口标识表示第二节点设备的上行端口,在确定第二节点设备可信后,建立通信网络,并基于端口标识与传输跳数生成第二节点色设备的邻居信息,从而能够实现由第一节点设备到第二节点设备的数据流由各节点的邻居表指示进行转发,由第二节点设备到第一节点设备的数据流由各第二节点设备的主上行端口指示进行转发,以实现通信网络中最有传输路径的选择。
具体地,邻居信息的具体结构如表1所示。
表1
在本公开的一个实施例中,在向待验证的第二节点设备发送验证报文之后,方法还包括:若未接收到回应报文,并且检测到未接收到的次数大于或等于预设次数,确定与第二节点之间的链路失效,并删除邻居信息。
在该实施例中,第一节点设备周期性地向第二节点设备发送验证报文,如果多次未收到第二节点设备反馈的回应报文,则表明第二节点设备通信异常,此时通过删除该节点设备的邻居信息,以取消与第二节点设备之间的传输链路,禁止第二节点设备收发信息。
基于上述方案,通过第一节点设备发送验证报文,第二节点设备基于验证报文反馈回应报文,第一节点设备又基于回应报文生成确认报文,在实现自动建立可信的通信网络的同时,并简化特定网络结构中分支与中心间路径选择自动选择,以及链路故障的自动感知及恢复,进而提高网络控制功能集中度的要求。
如图3所示,第一节点设备执行通信网络的处理方法,包括以下步骤:
步骤S302,接收第一节点设备发送的验证报文。
步骤S304,根据验证报文执行第二节点设备的可信度量,并生成度量值。
步骤S306,基于度量值生成回应报文。
步骤S308,二节点设备进行可信鉴别;接收第一节点设备根据鉴别结果发送的确认报文。
步骤S310,以根据确认报文确认第二节点设备可信。
在该实施例中,通过第二节点设备自身的可信度量,第一节点设备与第二节点设备通过协议报文交互后即可形成到达到第一节点设备的转发路径、达到下游的第二节点设备的转发路径,只有经过第一节点设备可信鉴别完成的第二节点设备才能加入到通信网络中,从而能够防止非可信设备接入网络,并基于第一节点设备与第二节点设备建立可信网络,提高了网络的安全性。
具体地,当第一节点设备向第二节点设备发送数据报文时,第一节点设备及路径上的各第二节点设备根据本地转发表进行逐跳转发,直至目的节点,反之由第二节点设备向第一节点设备发送数据报文时,路径上的各第二节点设备根据本设备上游端口进行逐跳转发,直至第一节点设备。
在本公开的一个实施例中,根据验证报文执行第二节点设备的可信度量,并生成度量值包括:调用可信防护部件对第二节点设备中的计算部件进行度量,以生成度量值。
在该实施例中,调用可信防护部件实现可信引导程序的加载,通过加载可信引导程序,引导提取可信执行环境中的度量校验操作,以采用可信执行环境中的度量校验操作对系统启动过程进行度量校验,并得到度量值,以确保系统启动过程可信。
在本公开的一个实施例中,在接收第一节点设备发送的验证报文之后,方法还包括:提取验证报文中的报文跳数;在检测到接收端口的跳数大于报文跳数,将第二节点设备相对于第一节点设备的传输跳数更新为报文跳数;将报文跳数加1,并记为更新跳数,将验证报文中的报文跳数更新为更新跳数;在检测到第二节点设备具有跳数大于更新跳数的端口时,将验证报文通过端口转发至第三节点设备,以对第三节点设备进行可信鉴别。
具体地,与中心节点设备C1直连的第二节点设备接收到“验证报文”,处理过程包括:
比较报文接收端口的传输跳数Pc1-hop与报文跳数Fhop,如果Pc1-hop〉Fhop,则设置端口相对于第一节点设备C1的跳数值Pc1-hop:Pc1-hop=Fhop;对报文跳数字段递增1,即Fhop加1,以将验证报文继续发送给下一个第二节点设备。
比较传输跳数Pc1-hop与报文跳数Fhop,如果Pc1-hop>=Fhop,则将“验证报文”由端口Pi发送出去,否则不由该端口转发此报文。
如果Pc1-hop<Fhop,表明不存在连接于该第二节点设备的下一个第二节点设备,则直接丢弃此报文。
第二节点设备接收到由第一节点设备发送的“验证报文”,经过处理后,对应接收报文的各端口相对于第一节点设备的跳数即可确定,在此基础上,第二节点设备即可向第一节点设备通告检测结果,即检测回应,处理流程如下(以第一节点设备C1为例,其它第一节点设备处理方法相同):
作为选择最优传输链路的实现过程,第二节点设备Bi比较所有端口的Pc1-hop,选取跳数值最小的端口(存在多个跳数值相同且最小的端口时,选择端口序号最小者)作为连通第一节点设备C1的主端口,记为PmC1,该端口对应的链路作为连通第一节点设备C1的主链路,记为LmC1。按照上述方法选择另一个端口作为连接第一节点设备C1的备端口,记为PsC1;该端口对应的链路作为连通第一节点设备C1的备链路,记为LsC1。
通过端口PmC1,由链路LmC1发送“检测回应协议报文”。其中“上行链路标识”字段设置为PmC1端口对应的标识ImC1,“上行链路角色”字段设置为“主”,“传输跳数”字段设置为0x01(初始值),“设备ID”字段设置为分支节点设备ID,“平台完整性度量”字段设置为上述平台完整性度量值,“签名”字段设置为用平台身份密钥对上述“设备ID”字段和“平台完整性度量”字段的签名。
通过端口PsC1,由链路LsC1发送“检测回应协议报文”。其中“上行链路标识”字段设置为PsC1端口对应的标识IsC1,“上行链路角色”字段设置为“备”,“传输跳数”字段设置为0x01(初始值)。“设备ID”字段设置为分支节点设备ID,“平台完整性度量”字段设置为上述平台完整性度量值,“签名”字段设置为用平台身份密钥对上述“设备ID”字段和“平台完整性度量”字段的签名。
在该实施例中,通过确定最优传输链路,能够提高节点设备零配置下,可信网络路径自动发现和传输通道自动建立的能力。
在本公开的一个实施例中,在接收第一节点设备发送的验证报文之后,方法还包括:提取验证报文中的邻居信息;在检测到邻居信息中描述的其它节点设备为第二节点设备的邻居时,根据邻居信息中的状态标识更新其它节点设备的可信状态;在检测到邻居信息中描述的其它节点设备不是第二节点设备的邻居时,从邻居信息中删除其它节点设备的信息。
在该实施例中,第二节点设备接收到确认报文后,检测确认报文中记载的邻居节点设备是否为自己的“邻居”,如果是,则根据报文中标识的可信状态更新邻居表,如果该邻居可信鉴别失败,则从邻居表中删除该邻居,以通过更新通信网络,保证通信网络的可靠性。
下面结合图4、表2至表5,对本公开的通信网络的处理方案进行具体描述。
(1)检测请求处理流程。
如图4所示,第一节点设备C1包括端口周期性由端口Pc1-1、Pc1-2发送验证报文,第一节点设备C2周期性由端口Pc2-1发送验证报文。
第二节点设备B3,对其接收第一节点设备C1、第一节点设备C2发送的“验证报文”处理如下(其它第二节点设备处理流程类似,此处不再展开):
B3由端口PB3-1接收到跳数为2、来自于C1的“验证报文”,设置端口PB3-1相对于C1的跳数为2,记为:PB3-1-C1-hop=2。
B3将由端口PB3-1接收到来自第一节点设备C1的“验证报文”跳数字段递增为3,并由端口PB3-1发送给B4。
B3由端口PB3-2接收到跳数为3、来自第一节点设备C1的“验证报文”;由端口PB3-2接收到跳数为3、来自第一节点设备C2的“验证报文”。端口PB3-2相对于C1的跳数为3,相对于C2的跳数为3,记为:PB3-2-C1-hop=3、PB3-1-C2-hop=3。
完成上述报文接收、处理后,B3即可按照既定规则(跳数值作为优先,跳数相同时端口序号小者优先)选择主/备端口及主/备链路,结果如下:
相对于第一节点设备C1:主端口PB3-1(跳数:2),主链路LB3-1。
相对于第一节点设备C1:备端口PB3-2(跳数:3),主链路LB3-2。
相对于第一节点设备C2:主端口PB3-2(跳数:3),主链路LB3-2。
(2)检测请求处理流程。
第二节点设备B3完成主/备端口、链路选择后,即可向第一节点设备报告选择结果,具体地,第二节点设备B3周期性通过主端口PB3-1向第一节点设备C1发送“回应报文”,报文内容如表2所示。
表2
第二节点设备B3通过端口PB3-2向第一节点设备C1发送“回应报文”,报文内容如表3所示。
表3
同样地,B3也通过端口PB3-2向第一节点设备C2发送“回应报文”。
由第二节点设备B3到第一节点设备C1、第一节点设备C2路径上的经过其它的第二节点设备、第一节点设备按照邻居学习过程,完成与B3对应的邻居表构建,其中,表4示出了第一节点设备C1与第二节点设备B3之间的邻居信息,表5示出了第一节点设备C2与第二节点设备B3之间的邻居信息。
表4
表5
(3)检测确认处理流程。
节点C1接收到第二节点设备B3的回应报文后,提取“源设备ID”、“平台完整性”和“签名”字段,并提交到中心服务器,由中心服务器进行第二节点设备B3的可信鉴别,并将结果发送给节点C1。C1根据结果更新自身转发表中关于B3的可信状态,并将次结果发送“检测确认协议报文”到第二节点设备B3,沿途第二节点设备同样根据此报文更新自身关于B3的可信状态。
第二节点设备、第一节点设备通过周期性交互“验证报文”、“检测回应协议报文”和“确认报文”即可对各节点管理的主/备上行端口/链路、邻居信息进行刷新,保持网络节点的可信,避免由于超时导致信息老化失效。交互周期、连续交互超时次数的设定不影响本发明技术特点,因此不做约定。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图5来描述根据本发明的这种实施方式的通信网络的处理装置500。图5所示的通信网络的处理装置500仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
通信网络的处理装置500以硬件模块的形式表现。通信网络的处理装置500的组件可以包括但不限于:发送模块502,用于向待验证的第二节点设备发送验证报文;接收模块504,用于接收第二节点设备根据验证报文反馈的回应报文;提取模块506,用于提取回应报文中第二节点设备的度量值;发送模块502还用于:在基于第二节点设备的度量值将第二节点设备鉴别为可信时,向第二节点设备发送与鉴别结果对应的确认报文,以确认第二节点设备可信。
下面参照图6来描述根据本发明的这种实施方式的通信网络的处理装置600。图6所示的通信网络的处理装置600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
通信网络的处理装置600以硬件模块的形式表现。通信网络的处理装置500的组件可以包括但不限于:接收模块602,用于接收第一节点设备发送的验证报文;可信度量模块604,用于根据验证报文执行第二节点设备的可信度量,并生成度量值;生成模块606,用于基于度量值生成回应报文;发送模块608,用于将回应报文发送至第一节点设备,以由第一节点设备基于度量值对第二节点设备进行可信鉴别;接收模块610,用于接收第一节点设备根据鉴别结果发送的确认报文,以根据确认报文确认第二节点设备可信。
如图7所示,根据本发明的这种实施方式的一种电子设备70,电子设备以通用计算设备的形式表现。电子设备70的组件可以包括但不限于:上述至少一个处理器702、上述至少一个存储器704、连接不同系统组件(包括存储器704和处理器702)的总线706。
其中,存储单元存储有程序代码,程序代码可以被处理器702执行,使得处理器702执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理器702可以执行如图2中所示的步骤S202、S204、S206和S208,以及本公开的通信网络的处理方法中限定的其他步骤。
如图8所示,根据本发明的这种实施方式的另一种电子设备80,电子设备以通用计算设备的形式表现。电子设备80的组件可以包括但不限于:上述至少一个处理器802、上述至少一个存储器804、连接不同系统组件(包括存储器804和处理器802)的总线806。
其中,存储单元存储有程序代码,程序代码可以被处理器802执行,使得处理器802执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理器802可以执行如图3中所示的步骤S302、S304、S306、S308和S310,以及本公开的通信网络的处理方法中限定的其他步骤。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (13)
1.一种通信网络的处理方法,应用于第一节点设备,其特征在于,包括:
向待验证的第二节点设备发送验证报文;
接收所述第二节点设备根据所述验证报文反馈的回应报文;
提取所述回应报文中所述第二节点设备的度量值;
在基于所述第二节点设备的度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送与鉴别结果对应的确认报文,以确认所述第二节点设备可信。
2.根据权利要求1所述的通信网络的处理方法,其特征在于,还包括:
提取所述回应报文中所述第二节点设备的标识;
所述在基于所述设备度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送对应的确认报文包括:
确定与所述标识匹配的基准值;
在检测到所述度量值与所述基准值一致时,确定所述第二节点设备鉴别可信,生成所述确认报文并发送给所述第二节点设备。
3.根据权利要求2所述的通信网络的处理方法,其特征在于,所述验证报文包括报文跳数,所述回应报文还包括所述第二节点设备根据所述报文跳数反馈的端口标识与传输跳数,所述方法还包括:
提取所述回应报文中的所述端口标识与所述传输跳数;
在所述第一节点设备与所述第二节点设备之间形成多个链路时,基于所述端口标识与所述传输跳数配置所述多个链路中的所述传输链路;以及
根据所述第二节点设备的标识、所述端口标识与所述传输跳数生成对应于所述第二节点设备的邻居信息,并添加至所述确认报文中。
4.根据权利要求3所述的通信网络的处理方法,其特征在于,在向待验证的第二节点设备发送验证报文之后,所述方法还包括:
若未接收到所述回应报文,并且检测到未接收到的次数大于或等于预设次数,确定与所述第二节点之间的链路失效,并删除所述邻居信息。
5.一种通信网络的处理方法,应用于第二节点设备,其特征在于,包括:
接收第一节点设备发送的验证报文;
根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值;
基于所述度量值生成回应报文;
将所述回应报文发送至所述第一节点设备,以由所述第一节点设备基于所述度量值对所述第二节点设备进行可信鉴别;
接收所述第一节点设备根据鉴别结果发送的确认报文,以根据所述确认报文确认所述第二节点设备可信。
6.根据权利要求5所述的通信网络的处理方法,其特征在于,所述根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值包括:
调用可信防护部件对所述第二节点设备中的计算部件进行度量,以生成所述度量值。
7.根据权利要求5或6所述的通信网络的处理方法,其特征在于,在接收第一节点设备发送的验证报文之后,所述方法还包括:
提取所述验证报文中的报文跳数;
在检测到接收端口的跳数大于所述报文跳数,将所述第二节点设备相对于所述第一节点设备的传输跳数更新为所述报文跳数;
将所述报文跳数加1,并记为更新跳数,将所述验证报文中的所述报文跳数更新为所述更新跳数;
在检测到所述第二节点设备具有跳数大于所述更新跳数的端口时,将所述验证报文通过所述端口转发至第三节点设备,以对所述第三节点设备进行可信鉴别。
8.根据权利要求7所述的通信网络的处理方法,其特征在于,在接收第一节点设备发送的验证报文之后,所述方法还包括:
提取所述验证报文中的邻居信息;
在检测到所述邻居信息中描述的其它节点设备为所述第二节点设备的邻居时,根据所述邻居信息中的状态标识更新所述其它节点设备的可信状态;
在检测到所述邻居信息中描述的其它节点设备不是所述第二节点设备的邻居时,从所述邻居信息中删除所述其它节点设备的信息。
9.一种通信网络的处理装置,应用于第一节点设备,其特征在于,包括:
发送模块,用于向待验证的第二节点设备发送验证报文;
接收模块,用于接收所述第二节点设备根据所述验证报文反馈的回应报文;
提取模块,用于提取所述回应报文中所述第二节点设备的度量值;
所述发送模块还用于:在基于所述第二节点设备的度量值将所述第二节点设备鉴别为可信时,向所述第二节点设备发送与鉴别结果对应的确认报文,以确认所述第二节点设备可信。
10.一种通信网络的处理装置,应用于第二节点设备,其特征在于,包括:
接收模块,用于接收第一节点设备发送的验证报文;
可信度量模块,用于根据所述验证报文执行所述第二节点设备的可信度量,并生成度量值;
生成模块,用于基于所述度量值生成回应报文;
发送模块,用于将所述回应报文发送至所述第一节点设备,以由所述第一节点设备基于所述度量值对所述第二节点设备进行可信鉴别;
所述接收模块还用于:接收所述第一节点设备根据鉴别结果发送的确认报文,以根据所述确认报文确认所述第二节点设备可信。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~4中任意一项所述的通信网络的处理方法。
12.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求5~8中任意一项所述的通信网络的处理方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~8中任意一项所述的通信网络的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011224618.8A CN112468448B (zh) | 2020-11-05 | 2020-11-05 | 通信网络的处理方法、装置、电子设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011224618.8A CN112468448B (zh) | 2020-11-05 | 2020-11-05 | 通信网络的处理方法、装置、电子设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468448A true CN112468448A (zh) | 2021-03-09 |
| CN112468448B CN112468448B (zh) | 2023-08-08 |
Family
ID=74826223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011224618.8A Active CN112468448B (zh) | 2020-11-05 | 2020-11-05 | 通信网络的处理方法、装置、电子设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468448B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
| CN115551124A (zh) * | 2022-09-15 | 2022-12-30 | Oppo广东移动通信有限公司 | 一种组网方法、装置、设备以及计算机存储介质 |
| CN117201042A (zh) * | 2023-11-02 | 2023-12-08 | 成都理工大学 | 基于节点信息可信度计量的设备自动化验证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| CN104469772A (zh) * | 2014-12-29 | 2015-03-25 | 迈普通信技术股份有限公司 | 一种网点设备认证方法、装置及认证系统 |
| CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
| CN108111419A (zh) * | 2017-12-28 | 2018-06-01 | 迈普通信技术股份有限公司 | 一种路径选择的方法及装置 |
| US20200053609A1 (en) * | 2016-10-26 | 2020-02-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless Device, Radio Network Nodes and Methods Performed Therein for Handling Neighbour Relationships in a Wireless Network |
-
2020
- 2020-11-05 CN CN202011224618.8A patent/CN112468448B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| CN104469772A (zh) * | 2014-12-29 | 2015-03-25 | 迈普通信技术股份有限公司 | 一种网点设备认证方法、装置及认证系统 |
| US20200053609A1 (en) * | 2016-10-26 | 2020-02-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless Device, Radio Network Nodes and Methods Performed Therein for Handling Neighbour Relationships in a Wireless Network |
| CN107766724A (zh) * | 2017-10-17 | 2018-03-06 | 华北电力大学 | 一种可信计算机平台软件栈功能架构的构建方法 |
| CN108111419A (zh) * | 2017-12-28 | 2018-06-01 | 迈普通信技术股份有限公司 | 一种路径选择的方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499948A (zh) * | 2021-12-23 | 2022-05-13 | 麒麟软件有限公司 | 一种Linux防火墙动态策略处理方法、装置及存储介质 |
| CN115551124A (zh) * | 2022-09-15 | 2022-12-30 | Oppo广东移动通信有限公司 | 一种组网方法、装置、设备以及计算机存储介质 |
| CN117201042A (zh) * | 2023-11-02 | 2023-12-08 | 成都理工大学 | 基于节点信息可信度计量的设备自动化验证方法 |
| CN117201042B (zh) * | 2023-11-02 | 2024-01-02 | 成都理工大学 | 基于节点信息可信度计量的设备自动化验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468448B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468448B (zh) | 通信网络的处理方法、装置、电子设备和可读存储介质 | |
| US11750589B2 (en) | System and method for secure application communication between networked processors | |
| EP3494682B1 (en) | Security-on-demand architecture | |
| US9124639B2 (en) | Managing command compliance in internetworking devices | |
| US9104836B2 (en) | Dynamically mapping network trust relationships | |
| US8792504B1 (en) | Methods and apparatus to configure network nodes supporting virtual connections | |
| EP3497912B1 (en) | Securely constructing a network fabric | |
| CN111988214B (zh) | 用于在vpn网关处建立vpn连接的方法和系统 | |
| US11736531B1 (en) | Managing and monitoring endpoint activity in secured networks | |
| WO2017005163A1 (zh) | 基于无线通信的安全认证装置 | |
| CN112350939B (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
| US20200177544A1 (en) | Secure internet gateway | |
| Cheng et al. | Reaching Consensus with Byzantine Faulty Controllers in Software‐Defined Networks | |
| Tsumak | Securing BGP using blockchain technology | |
| Salazar-Chacón et al. | OpenSDN Southbound Traffic Characterization: Proof-of-Concept Virtualized SDN-Infrastructure | |
| US20210160756A1 (en) | Communication device, communication method, data structure, and computer program | |
| KR20190111532A (ko) | 다중 홉 기반의 통신 네트워크에서 접속 제어를 위한 통신 노드의 동작 방법 | |
| CN115277532B (zh) | 基于服务链的数据报文转发方法及电子设备 | |
| CN113411245B (zh) | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 | |
| KR102587055B1 (ko) | 인공지능 기반 컴퓨터 이상 탐지 시스템 | |
| JP3806105B2 (ja) | 通信装置、通信方法、および通信プログラム | |
| CN115834237A (zh) | 下发访问控制列表策略的方法、装置、设备、介质及系统 | |
| JP2024503599A (ja) | 高度に利用可能なフローのための通信チャネル状態情報の同期 | |
| CN114301690A (zh) | 动态网络隔离方法及装置、存储介质、终端设备 | |
| WO2009003742A1 (en) | An apparatus for establishing trust in data associated with a data processing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |