CN112910778A - 网络安全路由方法和系统 - Google Patents
网络安全路由方法和系统 Download PDFInfo
- Publication number
- CN112910778A CN112910778A CN202110148063.1A CN202110148063A CN112910778A CN 112910778 A CN112910778 A CN 112910778A CN 202110148063 A CN202110148063 A CN 202110148063A CN 112910778 A CN112910778 A CN 112910778A
- Authority
- CN
- China
- Prior art keywords
- node
- domain
- data packet
- routing
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/14—Routing performance; Theoretical aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Abstract
本申请公开了一种网络安全路由方法和系统,该方法包括:对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值;按照常规路由规则,在预设周期内最大化遍历可能路径;基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值;基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。该方案能够按照带内信令规则将参与安全路由的路径收敛处理到安全程度最优,进而实现将筛选出的关键业务流量进行全局安全路由转发优化,而且可以集成到用户大部分现网中,适用性广。
Description
技术领域
本发明一般涉及网络安全技术领域,具体涉及网络安全路由方法和系统。
背景技术
随着因特网的普及以及多媒体等高带宽需求业务的不断发展,IP业务呈现爆炸性的增长,随之使得IP网络的带宽资源显得越来越紧张,为了更好的利用网络资源和提供更好的服务质量,保证许多关键应用的数据在IP网络中的传输安全非常重要。
目前,相关技术通过对传输的数据包加密、数据完整性验证、数据签名等的身份验证来保证数据传输过程中的安全,当通过逐跳范式路由(Hop-by-hop Paradigm)和流量工程路由等路由算法进行网络安全路由时,可以将安全风险度加入该路由算法中。
然而,对传输的数据包进行身份验证需要额外的端系统配合,需要一定的实施成本和协议代价,且并非所有网络中的数据都适用,逐跳范式路由无法从宏观上选择最优的安全路径,流量工程路由中采用的约束型路由需要采用复杂的运营核心网的转发技术,其不仅对用户技术能力和维护运营有极高的要求,设备的投入成本高,而且需要对现网完全中断业务进行重构。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种网络安全路由方法和系统。
第一方面,本申请实施例提供了网络安全路由方法,该方法包括:
对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值;
按照常规路由规则,在预设周期内最大化遍历可能路径;
基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值;
基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
第二方面,本申请实施例提供了网络安全路由系统,该系统包括:控制器和功能域内多个节点,所述控制器与所述功能域内多个节点进行通信;
所述控制器用于对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径;以及用于基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,并基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
本申请实施例提供的网路安全路由方法和系统,通过对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径,并基于安全值按照预设的带内信令规则对各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,然后基于路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。该方案实施成本较低,且无需对现网完全终端业务进行重构,能够对功能域内每一个节点和链路进行安全风险定量化,从而按照带内信令规则将参与安全路由的路径收敛处理到安全程度最优,进而实现将筛选出的关键业务流量进行全局安全路由转发优化,而且可以集成到用户大部分现网中,适用性广。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例提供的网络安全路由系统的结构示意图;
图2为本申请实施例提供的网络安全路由方法的流程示意图;
图3为本申请实施例提供的网络安全路由转发的结构示意图;
图4为本申请实施例提供的按照预设的带内信令规则进行路由转发方法的流程示意图;
图5为本申请实施例提供的网络安全路由转发的结构示意图;
图6为本申请实施例提供的网络安全路由转发的结构示意图;
图7为本申请实施例提供的网络安全路由转发的结构示意图;
图8为本申请实施例提供的网络安全路由转发的结构示意图;
图9为本申请实施例提供的网络安全路由转发方法的流程示意图;
图10为本申请实施例提供的网络安全路由转发的结构示意图;
图11为本申请实施例提供的网络安全路由转发的结构示意图;
图12为本申请实施例提供的网络安全路由转发的结构示意图;
图13为本申请实施例提供的网络安全路由转发的结构示意图;
图14为本申请实施例提供的传统的网络安全路由转发的结构示意图;
图15为本申请实施例提供的网络安全路由转发的结构示意图;
图16为本申请实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了便于理解,下面对本申请实施例涉及的一些技术术语进行解释:
功能域:具备功能特性的网络节点和链路的范围。
节点:包括域外节点和功能域内的网络路由节点,其中,功能域内的网络路由节点分为域内节点和域边界节点。
控制器:提供控制和管理功能的网络管理平台。
流量工程:是指将业务映射到现有拓扑上的任务。
如相关技术中提到的,近年来,文件传输在网络应用中占比很大,许多关键应用在网络传输过程中会存在安全风险。相关技术通过对传输的数据包加密、数据完整性验证、数据签名等的身份验证来保证数据传输过程中的安全,但是该方法需要额外的端系统配合,且有一定的实施成本和协议代价,并非适用于所有网络中的数据传输。现有的路由方法可以分为逐跳范式路由((Hop-by-hop Paradigm)和流量工程路由,其路由选径主要集中于最短路径和最佳服务质量路径等选择原则,可以为逐跳式路由协议增加安全作为路径代价,从而得到更安全的路径,而流量工程路由采用约束型路由技术(Constrain-basedRouting),将约束条件作为路径代价指标,通过基于链路状态的最短路径优先算法,计算得到一条到目的地的显示路径(Explicit Route),可以在路径代价中加入安全风险度评估,理论上可以得到一条到目的地满足安全风险最低要求的最佳路径。然而,普通逐跳式路由无法从宏观上选择出最优的安全路径,流量工程路由需要使用多协议白哦及交换(Multi-Protocol Label Switching)或分段路由(Segment Routing)等复杂的运营商核心网的转发技术,其不仅对用户技术能力和维护运营有极高的要求,增加了设备的投入成本,而且还需要对现网完全终端业务进行重构。
基于上述缺陷,本申请提供了一种网络安全路由方法和系统,与相关技术相比,该方案实施成本较低,且无需对现网完全终端业务进行重构,能够对路由转发路径上的每一个节点和链路进行安全风险定量化,从而按照带内信令规则将参与安全路由的路径收敛处理到安全程度最优,进而实现将筛选出的关键业务流量进行全局安全路由转发优化,而且可以集成到用户大部分现网中,适用性广。
图1为本申请实施例提供的一种网络安全路由系统的结构示意图。如图1所示,该网络安全路由系统包括多个域外节点、多个边界节点、多个域内节点和控制器10。其中,功能域内包括多个域内节点和多个边界节点,多个域外节点包括域外节点A、域外节点B,多个边界节点包括边界节点S5、边界节点S6、边界节点S7、边界节点S8,多个域内节点分别为域内节点S1、域内节点S2、域内节点S3、域内节点S4,控制器分别与边界节点、域内节点之间通过无线网络进行数据通信,域外节点与边界节点进行数据通信,域内节点与边界节点进行数据通信。其中,域外节点A可以是第一域外节点20,域外节点B可以是第二域外节点60,边界节点S6可以是第一边界节点30,边界节点S7可以是第二边界节点50,域内节点S4可以是域内节点40。第一边界节点30可以将来自第一域外节点20的第一域外数据包发送至域内节点40,并按照预设的带内信令规则对第一域外数据包进行路由转发至第二边界节点50,并进一步路由转发至第二域外节点60。
可选的,上述的无线网络可以使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合。
上述控制器10可以是一台服务器,也可以是由若干台服务器构成的服务器集群,或者控制器10可以包含一个或多个虚拟化平台,或者控制器10可以是一个云计算服务中心。控制器用于周期性在全网收集计算安全值所需的数据,并将计算结果周期性分发到每一个功能域内节点。其中,当控制器上对参加安全路由流量的分类策略一经创建或变更,则立即通过现有网络配置管理手段向所有域内节点进行同步。
功能域内各节点可以是运行在终端设备上的客户端,该终端设备可以是智能手机、平板电脑以及电子书阅读器等移动终端,智能电视、智能电视机顶盒等智能家居设备,还可以是智能眼镜、智能手表等智能可穿戴设备,本申请实施例对此不进行具体限定。
为了便于理解和说明,下面通过图2至图16详细阐述本申请实施例提供的网络安全路由方法和系统。
图2所示为本申请实施例的网络安全路由方法的流程示意图,该方法可以由用于网络安全路由系统执行。如图2所示,该方法包括:
S101、对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值。
S102、按照常规路由规则,在预设周期内最大化遍历可能路径。
具体的,用户可以预先在控制器上定义流量分类策略,可以获取待转发域外节点间的流量,然后根据该流量分类策略,从获取的待转发域外节点间的流量中筛选出关键业务流量,该关键业务流量为具有安全路由功能的流量。其中,关键业务流量触发安全路由模式,不使用功能域内接口进行转发的域外节点间的流量不触发安全路由转发模式。该流量分类策略可以根据需求进行自定义,本申请对此并不限定,须保证不与安全值编码位置重叠。
路由表的每一条路径都有前向安全值和后向安全值,初始时二者皆为控制器下发的初始值,即前向安全值取路由表项本地下一跳接口安全值,后向安全值取最大值。
路径的安全值为从当前节点到目标网络之间路径上经过的所有域内节点出向接口的安全值中的最低值。该安全值是一个宏观平均状态描述,更新的周期可以较长,如10~30分钟,也可以根据需求将更新安全值设置为事件触发方式,如当控制器检测到超过某个阈值时节点自动向控制器发送请求,以获取最新安全值。
如图3所示,在控制器对功能域内各节点进行安全路由初始化后,每个域内接口根据各项综合评估得到本地安全值,其中,功能域内的每个节点有多个域内接口,如域内节点包括四个接口,边界节点包括三个接口,域内节点的四个接口分别用于与每个边界节点进行通信,边界节点的一个接口用于与域外节点进行通信,其余两个接口分别用于与域内节点进行通信。功能域内的边界节点S5、S6、S7、S8均包括e0、e1、e2接口,域内节点S1、S4均包括e0、e1、e2、e3接口,每个接口对应有前向安全值和后向安全值。如域内节点S1的e0、e1、e2、e3接口分别对应的前向安全值和后向安全值为:e0接口对应的前向安全值和后向安全值为7/7分,e1接口对应的前向安全值和后向安全值为6/7分,e2接口对应的前向安全值和后向安全值为5/7分,e3接口对应的前向安全值和后向安全值为4/7分。假设全局接口都采用了IEEE 802.1AE MACSec,而域内节点S4的e2和e3接口由于配置疏忽导致出流量没有采用MACsec,给予了惩罚性的扣分,体现在安全值核算上e2接口得到3分,e3接口得到1分。
根据各项综合评估得到本地安全值可以是收集功能域内参与路径的节点和网络接口详细信息,集中核算每一个接口的安全值,例如计算安全值是功能域内参与路径的网络接口安全值通过加权平均算法得到的:
其中,xk为第k项归一化安全评估量化指标,fk为第k项指标的权重,
为最终该接口的安全值。xk可以为以下指标的归一化指标:
(1)节点和接口的安全事故历史评价(采用具备半衰恢复期的积分和惩罚机制。可采用满分100分,基于log或其他安全事故审计记录按严重故障、中等故障、轻微故障和一般性告警及逆行不同的分值惩罚,并设置恢复半衰期)。(2)接口本身功能的安全等级,该安全等级由所连接的网络功能属性决定,比如互联网、外联网、内网、涉密网等。(3)接口安全特性的启动情况,如MACsec、IP Source Guard、DHCP Snooping、BPDU Guard、UnicastReverse Path Forwarding等。(4)节点自身系统的脆弱性评估,该脆弱性评估可依据专用的扫描软件或网络节点自身评估工具得出。(5)产品的官方MTTF(Mean Time To Failuer,平均失效间隔)、MTBF(Mean Time To restoration,平均恢复前时间)或MTTR(Mean TimeTo Repair,平均恢复时间)等,该MTTF是指系统平均能够正常运行多长时间,才发生一次故障,MTBF是从新的产品在规定的工作环境条件下开始工作到出现第一个故障的时间的平均值,MTTR是指从出现故障到恢复中间的这段时间。其中,MTBF越长表示可靠性越高、MTTR越短表示易恢复性越好。(6)以及其他影响安全稳定性的可量化因素。
xk可以数量庞大,达到综合安全评估的效果,也可选择几个关键指标进行特别的权重设计,实现基于特定安全合规要求或安全原则的路由等灵活的流量工程策略。
S103、基于安全值按照预设的带内信令规则对各个节点上参与安全路由的路径进行收敛处理,得到路径安全值。
具体的,上述路由转发策略为预先定义的,关键业务流量将会触发流量分类策略,筛选出需要进行安全路由的流量,并基于安全值和如下路由转发策略,确定路由转发路径。
可选的,可以判断路由协议的路由表中是否存在多条等价路径,该等价路径具有相同的起始地和目的地,若不存在多条等价路径时,第一域外节点按照命中的路由表确定路由转发路径;若存在多条等价路径时,按照命中的路由表确定安全路由转发路径,当存在多条等价路径时,根据关键业务流量和安全值确定安全路由转发路径。
需要说明的是,当前路由协议的路由表中没有同目的地的多条等价路径同时存在时,节点按正常命中的路由表转发,即选择到达目的地的唯一最佳路径。
当存在多条等价路径时,根据关键业务流量确定安全路由转发路径的过程中,如果关键业务流量小于预设流量阈值且需要安全路由时,按照多条等价路径中前向安全值记录当前最优的路径确定为安全路由转发路径;如果关键业务流量不小于预设流量阈值且需要负载均衡时,在达到前向安全值容限范围内的多条等价路径中选择安全路由转发路径。
需要说明的是,当前路由协议的路由表中具备到达目的地的多条等价路径时,节点对路径的选择有两种策略:当关键业务流量小且需要绝对保证路径安全程度时,选择等价路径中前向安全值记录当前最优的那条路径为路由转发路径;当关键业务流量大且需要一定程序的负载均衡时,在达到前向安全值容限范围内的多条等价路径中按多路负载均衡的方式确定路由转发路径并派发数据包。
需要说明的是,对数据包的派发方式可以有多种,如果对错序不敏感,可以采用逐包派发(Per-packet Routing);如果对错序敏感,也可以采用基于流派发(Per-flowRouting),可由路由节点现网配置决定。
S104、基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
本步骤中,上述预设的带内信令规则,包括:对于安全路由转发路径中域内各节点的出向流量,基于路由表待转发的出向数据包和节点类型,更新数据包的前向安全值编码和后向安全值编码;对于安全路由转发路径中域内各节点的入向流量,按照路由表条目和节点类型,更新数据包的前向安全值编码和后向安全值编码。
其中,每个数据包携带前向安全值编码和后向安全值编码。
本申请对于编码的封装方式,对于VXLAN编码可使用VXLAN头部封装的保留位,对于普通IP包则可以使用差分服务代码点(Differentiated Services Code Point,简称DSCP)码点或IP Precedence。编码须至少采用6个bit,其中前3bit用于前向安全值编码,后3bit用于后向安全值编码。以3bit安全值为例归一化安全值被分为从0到7共8个等级实现编码,而初始编码值都置为最大值,该最大值为7。
上述带内信令执行规则具体为:(1)对于域外节点通信:对域外节点的通信不采用数据包封装的安全值编码;连接域外节点的网络接口对应的路由表项不记录路径安全值。(2)对域内各节点的出向流量:命中路由表待转发的出向数据包,将对数据包前向安全值编码与命中路由的前向安全值比较,选择较小值刷新数据包的前向安全值编码;对于边界节点向域内转发来自域外数据包时,还需用该条路由表的后向安全值记录刷新数据包的后向安全值编码。(3)对域内各节点的入向流量:接口收到来自域内节点的数据包,按源IP地址搜索路由表条目,比较数据包后向安全值编码和命中路由的前向安全值记录,选择较小值刷新命中的路由表项的前向安全值记录;对于边界节点从域内接收准备发往域外的数据包时,还需用数据包的前向安全值编码刷新前述命中的路由表项的后向安全值记录。
在筛选得到关键业务流量后,然后对关键业务流量进行封装处理,得到数据包,基于安全路由转发路径,按照预设的带内信令规则将该数据包进行安全路由转发。其中,对于分类筛选出的安全路由流量并非从一开始就进入安全路由转发模式,而是延迟一个固定值再执行安全路由,该固定值可在控制器上预先定义,以便延迟期间各节点依靠原有常规路由规则可以在各等价路径上让路径安全值充分收敛,执行安全路由时能够得到更好的决策,其中,该常规路由规则可以是hash方法。
本实施例提供的网路路由方法,通过对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径确定参与安全路由的路径,并基于安全值按照预设的带内信令规则对各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,然后基于路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。该方案实施成本较低,且无需对现网完全终端业务进行重构,能够对功能域内每一个节点和链路进行安全风险定量化,从而按照带内信令规则将参与安全路由的路径收敛处理到安全程度最优,进而实现将筛选出的关键业务流量进行全局安全路由转发优化,而且可以集成到用户大部分现网中,适用性广。
可选的,图4为本申请实施例提供的按照预设的带内信令规则进行路由转发方法的流程示意图。如图4所示,该方法包括:
S201、将关键业务流量进行封装处理,得到待转发的第一域外数据包数据包。
S202、第一域外节点将待转发的第一域外数据包发送至第一边界节点。
S203、所述第一边界节点按照预设的带内信令规则,更新所述待转发的第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将第一更新数据包发送至域内节点。
本步骤中,当筛选得到关键业务流量后,可以对关键业务流量进行封装处理,得到待转发的第一域外数据包,该第一域外数据包为从第一域外节点传输至第二域外节点的通信数据。
第一域外节点将第一域外数据包发送至第一边界节点,第一边界节点按照预设的带内信令规则,更新第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将第一更新数据包发送至域内节点。
S204、域内节点接收第一更新数据包,并按照预设的带内信令规则,得到第二更新数据包发送至第二边界节点。
S205、第二边界节点接收第二更新数据包,并按照预设的带内信令规则,得到第三更新数据包发送至第二域外节点。
域内节点接收第一更新数据包,按照预设的带内信令规则,按源地址搜索路由表条目,并根据路由表条目,更新第一更新数据包的前向安全值编码并保持路由条目的后向安全值记录不变,得到第一中间数据包,然后按照预设的带内信令规则,更新第一中间数据包的前向安全值编码并保持后向安全值编码不变,得到第二更新数据包并将第二更新数据包通过对应的域内接口发送至第二边界节点。
第二边界节点接收第二更新数据包,并按照预设的带内信令规则,得到第三更新数据包发送至第二域外节点。
示例性地,如图5所示,第一域外数据包为从第一域外节点传输至第二域外节点的通信数据,第一域外节点A将第一域外数据包发送至第一边界节点S5,则该第一域外数据包在S5上成为待转发的出向数据包,按照预设的带内信令规则将第一域外数据包前向安全值编码与被命中路由的前向安全值进行比较,用二者的最小值刷新第一域外数据包的前向安全值编码。由于第一域外数据包的前向安全值编码为最大值7,因此将按照所命中的路由表项中的前向安全值刷新第一域外数据包的前向安全值编码和后向安全值编码。由于为第一边界节点S5向域内节点转发来自域外的数据包,还需用该条路由表的后向安全值记录刷新第一域外数据包的后向安全值编码,由于均为初始值7,则后向安全值编码保持不变,从而得到第一更新数据包。其中,在切换为安全路由前的延迟时段内数据包被以常规方式路由,例如可以根据Hash结果从第一边界节点S5的e1接口将第一更新数据包发送至域内节点S4。
请参见如图6所示,域内节点S4接收到第一更新数据包,根据预设的带内信令规则按源IP地址搜索路由表条目,并比较第一更新数据包的前向安全值编码和被命中路由的前向安全值记录,用二者的更小值刷新命中路由的前向安全值记录。其中,对源IP地址的查找与当前路由转发模式须一致,若当前路由转发模式为收敛时段,则采用常规路由转发模式,因此用常规路由表查找方式命中目的地为A、下一跳为e0的表项(集为A/e0),由于第一更新数据包的后向安全值编码处于初始最大值7,因此路由表的的前向安全值记录不会改变,且域内节点S4并非边界节点,因此路由条目的后向安全值记录保持不变,从而得到第一中间数据包。
请参见如图7所示,第一中间数据包在域内节点S4上成为待转发的出向数据包,按照带内信令规则将第一中间数据包的前向安全值编码与被命中路由的前向安全值比较,用二者的最小值刷新第一中间数据包的前向安全值编码,其中,域内节点S4的e2和e3接口由于配置问题,出向流量MACsec无法启用,体现在安全值核算上,因而数据包的前向安全值编码相应更新,且由于域内节点S4并非边界节点,因此,第一中间数据包的后向安全值编码不变,得到第二更新数据包,在切换为安全为安全路由前的延迟时段内数据包被以常规方式路由,例如可以根据Hash结果从域内节点S4的e2接口将第二更新数据包发送至第二边界节点S7。
请参见图8所示,第二边界节点S7接收到域内节点S4的第二更新数据包,按照IP地址搜索路由表条目,比较第二更新数据包的前向安全值编码和被命中路由的前向安全值记录,用二者的更小值刷新命中路由的前向安全值记录,采用源IP地址A的常规路由表查找后命中A/e1表项,由于第二更新数据包后向安全值编码处于初始最大值7,因此路由表的前向安全值记录不会改变,且S7为第二边界节点,因此还需用第二更新数据包的前向安全值编码刷新前述命中的路由条目的后向安全值记录,A/e1表向的后向安全值记录因此修改,从而得到第三更新数据包。
第二边界节点S7接收第三更新数据包,将第三更新数据包通过对应的域内接口转发至第二域外节点B。
鉴于大部分应用业务通信是双向的,回包必然发生,以下为第二域外节点将第二域外数据包转发至第一域外节点的过程,图9为本申请实施例提供的网络安全路由方法的流程示意图。如图9所示,该方法包括:
S301、第二域外节点将获取的第二域外数据包发送至第二边界节点,第二域外数据包为从第二域外节点传输至第一域外节点的通信数据。
S302、第二边界节点按照预设的带内信令规则,更新第二域外数据包的后向安全值编码并保持前向安全值编码不变,得到第四更新数据包并通过对应的域内接口将第四更新数据包发送至域内节点。
S303、域内节点接收第四更新数据包,并按照预设的带内信令规则,得到第五更新数据包发送至第一边界节点。
S304、第一边界节点接收第五更新数据包,并按照预设的带内信令规则,得到第五更新数据包发送至第一域外节点。
具体的,该第二域外数据包为从第二域外节点传输至第一域外节点A的通信数据。第二域外节点将第二域外数据包发送至第二边界节点。第二边界节点按照预设的带内信令规则,更新第二域外数据包的后向安全值编码并保持前向安全值编码不变,得到第四更新数据包并通过对应的域内接口将第四更新数据包发送至域内节点。
域内节点接收第四更新数据包,按照预设的带内信令规则,按源地址搜索路由表条目,然后根据路由表条目,更新第四更新数据包的前向安全值编码并保持路由条目的后向安全值记录不变,得到第二中间数据包,并按照预设的带内信令规则,更新第二中间数据包的前向安全值编码并保持后向安全值编码不变,得到第五更新数据包并将第五更新数据包通过对应的域内接口发送至第一边界节点。
示例性地,如图10所示,从第二域外节点B传输至第一域外节点A的第二域外数据包在第二边界节点S7上成为待转发的出向数据包,按照带内信令规则对该第二域外数据包前向安全值编码与被命中路由的前向安全值比较,用二者的更小值刷新第二域外数据包的前向安全值编码,由于均为7,则保持前向安全值编码不变。由于这是边界节点向域内转发来自域外的数据包,还需用该条路由表的后向安全值刷新第二域外数据包的后向安全值编码,最低安全值3被携带在回包的后向安全值编码内,得到第四更新数据包。在切换为安全路由前的延迟时段内数据包被以常规方式路由,例如可以根据Hash结果从第二边界节点S7的e1接口将第四更新数据包发送至域内节点S4。
请参见图11所示,域内节点S4接收第四更新数据包,按源IP地址搜索路由表条目,比较第四更新数据包的后向安全值编码和被命中路由的前向安全值记录,用二者的更小值刷新命中路由的前向全值记录,IP(B)命中的常规优选路由为B/e2,相应前向安全值记录与数据包后向安全值编码相同,无须更改,即保持前向安全值编码不变。由于域内节点S4不是边界节点,因此路由条目的后向安全值记录保持不变,从而得到第二中间数据包。
请参见图12所示,第二中间数据包在域内节点S4上成为待转发的出向数据包,按照带内信令规则对第二中间数据包的前向安全值编码与被命中路由的前向安全值比较,用二者的更小值刷新第二中间数据包的前向安全值编码,由于域外节点S4不是边界节点,因此第二中间数据包的后向安全值编码保持不变,从而得到第五更新数据包,例如可以根据Hash结果从域内节点S4的e0接口将第五更新数据包发送至第一边界节点S5。
请参见图13所示,第一边界节点S5接收第五更新数据包,按源IP地址搜索路由表条目,比较第五更新数据包的后向安全值编码和被命中路由的前向安全值记录,用二者的更小值刷新命中路由的前向安全值记录,第一边界节点S5源IP(B)的当前常规优选路由B/e1表项的前向安全记录因而被更新。由于S5为边界节点,因此还需用第五更新数据包的前向安全值编码刷新命中的路由条目的后向安全值记录,且相应值因此更改,从而得到第六更新数据包。第一边界节点S5将第六更新数据包通过对应的域内接口转发至第一域外节点A。
图14为域外节点A到域外节点B的关键业务流量的常规路径的结构示意图,如图14所示,域外节点A可以向边界节点S5和边界节点S6发送流量数据包,该流量数据包可以包括其他流量和关键业务流量,边界节点S5和边界节点S6接收该其他流量数据包并将该数据包传输至域内节点S1和域内节点S4,然后域内节点S1和域内节点S4接收其他流量数据包后将其传输至边界节点S7和边界节点S8,使得边界节点S7和边界节点S8将其他流量数据包传输至域外节点B;边界节点S5可以将关键流量数据包发送至域内节点S4,然后域内节点S4接收该关键流量数据包并将其传输至边界节点S7,使得边界节点S7将其他流量数据包传输至域外节点B。
与常规路由方法相比,本实施例通过完整的双向通信,带内信令帮助建立了从第一域外节点A到第二域外节点B的常规路径上以各个节点为起点、第二域外节点B为终点的逐段路径安全值,后续往第二域外节点B的流量改用安全路由模式后将因此会被以更优方式选径,路由表如图15所示,S5上将优选e0出口,S1上将优选e2出口,第一域外节点A到第二域外节点B的流量将如图15所示,新路径将成功避开S4安全风险高的端口。
本例中从第二域外节点B返回第一域外节点A的流量还同时探索了第二域外节B到第一域外节点A路径上的安全值数据并被保留在A端边界节点路由表的后向安全值记录中,后续第一域外节点A对第二域外节点B的通信将会把该信息传递给从第一域外节点A到第二域外节点B沿途各节点上,使第二域外节点B到第一域外节点A的路径能够在以后的转发中被优化。
进一步地,在对安全路由流量进行分类时,都会以网段为单位,如本例中的第一域外节点A和第二域外节点B都会是网段而非端点,在切换到安全路由前的收敛期,源和目的网段中大量IP会被常规路由Hash到不同的等价路径上完成与本例类似带内信令过程,因而路由表中会有更全面的路径安全值评估。并且后续业务的数据包会持续对新路径进行带内信令算法,也使对所有可能路径的评估更全面。最终系统会对分类筛选出的关键业务流量收敛到一个端到端安全程度最优的稳定路径上。
本申请实施例提供的网路路由方法,日常运维复杂度低,不仅无需管理员额外干预即可自主运行,而且无需全网进行协议重构和架构变更,能够针对特定关键应用的流量进行全局、长远的安全风险考量,能够动态适应全局安全状态变化,且不对网络造成额外负担和稳定性风险。
另一方面,可以继续参见图1所示,图1为本申请实施例提供的一种网络安全路由系统的结构示意图。该系统包括:控制器10和功能域内的多个节点。
控制器10用于基于对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径;以及用于基于安全值按照预设的带内信令规则对各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,并基于路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
进一步,该系统还包括第一域外节点20和第二域外节点60,该功能域内多个节点包括域内节点40、第一边界节点30和第二边界节点50;
其中,控制器10分别与第一边界节点30、域内节点40、第二边界节点50进行通信,第一域外节点20与第一边界节点30进行通信,第二域外节点60与第二边界节点50进行通信,域内节点40分别与第一边界节点30、第二边界节点50进行通信;
第一域外节点20用于将待转发的第一域外数据包发送至第一边界节点。
第一边界节点30用于按照预设的带内信令规则,更新待转发的第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将第一更新数据包发送至域内节点;
域内节点40用于接收第一更新数据包,并按照预设的带内信令规则,得到第二更新数据包发送至第二边界节点;
第二边界节点50用于接收第二更新数据包,并按照预设的带内信令规则,得到第三更新数据包发送至第二域外节点;
第二域外节点60用于接收第三更新数据包。
进一步地,第二域外节点60还用于获取第二域外数据包并将第二域外数据包发送至所述第二边界节点;
第二边界节点50还用于按照预设的带内信令规则,更新所述第二域外数据包的后向安全值编码并保持前向安全值编码不变,得到第四更新数据包并通过对应的域内接口将所述第四更新数据包发送至域内节点;
域内节点40还用于接收所述第四更新数据包,并按照预设的带内信令规则,得到第五更新数据包发送至第一边界节点;
第一边界节点30接收第五更新数据包,并按照预设的带内信令规则,得到第五更新数据包发送至第一域外节点;
第一域外节点20用于接收第五更新数据包。
可以理解的是,本实施例的网络安全路由系统的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,在此不再赘述。
综上所述,本申请实施例提供的网路安全路由系统,该系统实施成本较低,且无需对现网完全终端业务进行重构,能够对路由转发路径上的每一个节点和链路进行安全风险定量化,将筛选出的关键业务流量收敛到安全程度最优的安全路由转发路径,并根据预设的带内信令规则对关键业务流量进行全局转发优化,而且可以集成到用户大部分现网中,适用性广。
本申请实施例提供的网络安全路由系统,可以包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如上述的网络安全路由方法。下面参考图16,图16为本申请实施例的终端设备或服务器的计算机系统的结构示意图。
如图16所示,计算机系统1300包括中央处理单元(CPU)1301,其可以根据存储在只读存储器(ROM)1302中的程序或者从存储部分1303加载到随机访问存储器(RAM)1303中的程序而执行各种适当的动作和处理。在RAM 1303中,还存储有系统1300操作所需的各种程序和数据。CPU 1301、ROM1302以及RAM 1303通过总线1304彼此相连。输入/输出(I/O)接口1305也连接至总线1304。
以下部件连接至I/O接口1305:包括键盘、鼠标等的输入部分1306;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1307;包括硬盘等的存储部分1308;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1309。通信部分1309经由诸如因特网的网络执行通信处理。驱动器1310也根据需要连接至I/O接口1305。可拆卸介质1311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1310上,以便于从其上读出的计算机程序根据需要被安装入存储部分1308。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在机器可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1303从网络上被下载和安装,和/或从可拆卸介质1311被安装。在该计算机程序被中央处理单元(CPU)1301执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,前述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器,包括:筛选模块、处理模块、路径确定模块和路由转发模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,筛选模块还可以被描述为“控制器基于预先定义的流量分类策略,从获取的待转发域外节点间的流量中筛选出关键业务流量”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中的。上述计算机可读存储介质存储有一个或者多个程序,当上述前述程序被一个或者一个以上的处理器用来执行描述于本申请的网络安全路由方法:对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值;按照常规路由规则,在预设周期内最大化遍历可能路径;基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值;基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
综上所述,本申请实施例提供的网路路由方法和系统,通过对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径,并基于安全值按照预设的带内信令规则对各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,然后基于路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。该方案实施成本较低,且无需对现网完全终端业务进行重构,能够对功能域内每一个节点和链路进行安全风险定量化,从而按照带内信令规则将参与安全路由的路径收敛处理到安全程度最优,进而实现将筛选出的关键业务流量进行全局安全路由转发优化,而且可以集成到用户大部分现网中,适用性广。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种网络安全路由方法,其特征在于,该方法包括:
对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值;
按照常规路由规则,在预设周期内最大化遍历可能路径;
基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值;
基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
2.根据权利要求1所述的方法,其特征在于,所述预设的带内信令规则,包括:
对于功能域内各节点的出向流量,基于路由表待转发的出向数据包和节点类型,更新数据包的前向安全值编码和后向安全值编码;
对于功能域内各节点的入向流量,按照路由表条目和节点类型,更新数据包的前向安全值编码和后向安全值编码。
3.根据权利要求2所述的方法,其特征在于,对于功能域内各节点的出向流量,基于路由表待转发的出向数据包和节点类型,更新数据包的前向安全值编码和后向安全值编码,包括:
命中路由表待转发的出向数据包,将数据包的前向安全值编码与命中的所述出向数据包的前向安全值进行比较,选择较小值更新数据包的前向安全值编码;
当所述待转发数据包由所述节点类型为边界节点向域内节点转发时,通过路由表的后向安全值更新所述数据包的后向安全值编码。
4.根据权利要求2所述的方法,其特征在于,对于功能域内各节点的入向流量,按照路由表条目和节点类型,更新数据包的前向安全值编码和后向安全值编码,包括:
接收来自域内节点的数据包;
按源IP地址搜索路由表条目,将所述数据包的后向安全值编码和命中路由的前向安全值记录进行比较,选择较小值更新所述命中的路由表项对应的前向安全值编码;
对于所述节点类型为边界节点从域内节点发送至域外的数据包时,通过所述数据包的前向安全值编码更新所述命中的路由表项对应的后向安全值编码。
5.根据权利要求1所述的方法,其特征在于,基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发,包括:
判断路由协议的路由表中是否存在多条等价路径,所述等价路径具有相同的起始地和目的地;
若不存在多条等价路径时,节点按照命中的路由表进行安全路由转发;
若存在多条等价路径时,根据所述路径安全值和所述关键业务流量进行安全路由转发。
6.根据权利要求5所述的方法,其特征在于,所述路径安全值包括前向安全值,根据所述路径安全值和所述关键业务流量进行安全路由转发,包括:
当所述关键业务流量小于预设流量阈值且需要安全路由时,按照所述多条等价路径中前向安全值记录当前最优的路径进行安全路由转发;
当所述关键业务流量不小于预设流量阈值且需要负载均衡时,按照所述多条等价路径中多路负载均衡的方式进行路由转发。
7.根据权利要求1所述的方法,其特征在于,基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发,包括:
将所述关键业务流量进行封装处理,得到待转发的第一域外数据包数据包,第一域外数据包为从第一域外节点传输至第二域外节点的通信数据;
第一域外节点将所述待转发的第一域外数据包发送至第一边界节点;
所述第一边界节点按照预设的带内信令规则,更新所述待转发的第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将所述第一更新数据包发送至域内节点;
所述域内节点接收所述第一更新数据包,并按照所述预设的带内信令规则,得到第二更新数据包发送至第二边界节点;
所述第二边界节点接收所述第二更新数据包,并按照所述预设的带内信令规则,得到第三更新数据包发送至第二域外节点。
8.根据权利要求1所述的方法,其特征在于,基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发,包括:
所述第二域外节点将获取的第二域外数据包发送至所述第二边界节点,所述第二域外数据包为从第二域外节点传输至第一域外节点的通信数据;
所述第二边界节点按照所述预设的带内信令规则,更新所述第二域外数据包的后向安全值编码并保持前向安全值编码不变,得到第四更新数据包并通过对应的域内接口将所述第四更新数据包发送至域内节点;
所述域内节点接收所述第四更新数据包,并按照所述预设的带内信令规则,得到第五更新数据包发送至第一边界节点;
所述第一边界节点接收所述第五更新数据包,并按照所述预设的带内信令规则,得到第五更新数据包发送至第一域外节点。
9.一种网络安全路由系统,其特征在于,所述系统包括:控制器和功能域内的多个节点,所述控制器与所述功能域内多个节点进行通信;
所述控制器用于基于对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值,并按照常规路由规则,在预设周期内最大化遍历可能路径;
以及用于基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值,并基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括第一域外节点和第二域外节点,所述功能域内多个节点包括域内节点、第一边界节点和第二边界节点;
所述控制器分别与所述第一边界节点、域内节点、第二边界节点进行通信,所述第一域外节点与所述第一边界节点进行通信,所述第二域外节点与所述第二边界节点进行通信,所述域内节点分别与所述第一边界节点、所述第二边界节点进行通信;
所述第一域外节点用于将所述待转发的第一域外数据包发送至第一边界节点;
所述第一边界节点用于按照预设的带内信令规则,更新所述待转发的第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将所述第一更新数据包发送至域内节点;
所述域内节点用于接收所述第一更新数据包,并按照所述预设的带内信令规则,得到第二更新数据包发送至第二边界节点;
所述第二边界节点用于接收所述第二更新数据包,并按照所述预设的带内信令规则,得到第三更新数据包发送至第二域外节点。
11.根据权利要求10所述的系统,其特征在于,所述第二域外节点还用于获取第二域外数据包并将所述第二域外数据包发送至所述第二边界节点;
所述第二边界节点还用于按照所述预设的带内信令规则,更新所述第二域外数据包的后向安全值编码并保持前向安全值编码不变,得到第四更新数据包并通过对应的域内接口将所述第四更新数据包发送至域内节点;
所述域内节点还用于接收所述第四更新数据包,并按照所述预设的带内信令规则,得到第五更新数据包发送至第一边界节点;
所述第一边界节点接收所述第五更新数据包,并按照所述预设的带内信令规则,得到第五更新数据包发送至第一域外节点;
所述第一域外节点用于接收所述第五更新数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110148063.1A CN112910778A (zh) | 2021-02-03 | 2021-02-03 | 网络安全路由方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110148063.1A CN112910778A (zh) | 2021-02-03 | 2021-02-03 | 网络安全路由方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112910778A true CN112910778A (zh) | 2021-06-04 |
Family
ID=76121775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110148063.1A Pending CN112910778A (zh) | 2021-02-03 | 2021-02-03 | 网络安全路由方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910778A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347095A (zh) * | 2021-08-02 | 2021-09-03 | 中国人民解放军国防科技大学 | 基于分段路由技术的规避路由路径选择方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297341A (zh) * | 2013-07-04 | 2013-09-11 | 清华大学 | 在域内路由器节点上配置流量的方法 |
| CN103561445A (zh) * | 2013-11-12 | 2014-02-05 | 北京工业大学 | 一种基于网络编码的无线传感网多路径路由方法 |
| WO2014094449A1 (zh) * | 2012-12-17 | 2014-06-26 | 中兴通讯股份有限公司 | 一种跨域建立保密路径的方法和系统 |
| CN105721301A (zh) * | 2016-02-25 | 2016-06-29 | 清华大学 | 支持可信度分级的路由计算方法 |
| CN106375214A (zh) * | 2016-11-10 | 2017-02-01 | 北京邮电大学 | 一种基于sdn的层次化路由路径确定方法及装置 |
| CN106412728A (zh) * | 2016-08-31 | 2017-02-15 | 北京邮电大学 | 攻击感知的多域弹性光网络路由与频谱分配方法和系统 |
| US20170237767A1 (en) * | 2016-02-12 | 2017-08-17 | Time Warner Cable Enterprises Llc | Apparatus and methods for mitigation of network attacks via dynamic re-routing |
| US20180109450A1 (en) * | 2016-10-14 | 2018-04-19 | Cisco Technology, Inc. | Creating and maintaining segment routed traffic engineering policies via border gateway protocol |
| WO2019084859A1 (en) * | 2017-11-02 | 2019-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Data routing method and network element |
-
2021
- 2021-02-03 CN CN202110148063.1A patent/CN112910778A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014094449A1 (zh) * | 2012-12-17 | 2014-06-26 | 中兴通讯股份有限公司 | 一种跨域建立保密路径的方法和系统 |
| CN103297341A (zh) * | 2013-07-04 | 2013-09-11 | 清华大学 | 在域内路由器节点上配置流量的方法 |
| CN103561445A (zh) * | 2013-11-12 | 2014-02-05 | 北京工业大学 | 一种基于网络编码的无线传感网多路径路由方法 |
| US20170237767A1 (en) * | 2016-02-12 | 2017-08-17 | Time Warner Cable Enterprises Llc | Apparatus and methods for mitigation of network attacks via dynamic re-routing |
| CN105721301A (zh) * | 2016-02-25 | 2016-06-29 | 清华大学 | 支持可信度分级的路由计算方法 |
| CN106412728A (zh) * | 2016-08-31 | 2017-02-15 | 北京邮电大学 | 攻击感知的多域弹性光网络路由与频谱分配方法和系统 |
| US20180109450A1 (en) * | 2016-10-14 | 2018-04-19 | Cisco Technology, Inc. | Creating and maintaining segment routed traffic engineering policies via border gateway protocol |
| CN106375214A (zh) * | 2016-11-10 | 2017-02-01 | 北京邮电大学 | 一种基于sdn的层次化路由路径确定方法及装置 |
| WO2019084859A1 (en) * | 2017-11-02 | 2019-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Data routing method and network element |
Non-Patent Citations (1)
| Title |
|---|
| 赵玉东等: "一种路由设备服务可信属性定义方法与可信路由协议设计", <信息网络安全> * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347095A (zh) * | 2021-08-02 | 2021-09-03 | 中国人民解放军国防科技大学 | 基于分段路由技术的规避路由路径选择方法及装置 |
| CN113347095B (zh) * | 2021-08-02 | 2021-11-05 | 中国人民解放军国防科技大学 | 基于分段路由技术的规避路由路径选择方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11811590B2 (en) | Intelligent network | |
| US11876833B2 (en) | Software defined networking moving target defense honeypot | |
| US10708146B2 (en) | Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience | |
| KR101736425B1 (ko) | 통신 네트워크들에 대한 클라우드 컴퓨팅 강화 게이트웨이 | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| EP2932693B1 (en) | Exchange of server status and client information through headers for request management and load balancing | |
| EP1927217B1 (en) | Aggregated resource reservation for data flows | |
| US11082300B2 (en) | Transforming data based on a virtual topology | |
| US9246764B2 (en) | Network service admission control using dynamic network topology and capacity updates | |
| CN105122748A (zh) | 实现链路聚合组的对话敏感收集的方法和系统 | |
| US11140132B1 (en) | Network flow management | |
| US20110137790A1 (en) | Mainframe-based far-distance bicentric transaction information processing method and system | |
| US20150023173A1 (en) | Systems And Methods For Managing A Network | |
| US20200084142A1 (en) | Predictive routing in multi-network scenarios | |
| US20140133302A1 (en) | Tuning routing metrics to reduce maximum link utilization and end-to-end delay violations | |
| US20170366441A1 (en) | Transmitting test traffic on a communication link | |
| US11277342B2 (en) | Lossless data traffic deadlock management system | |
| CN113660158B (zh) | Overlay虚拟链路动态路由的调度方法、服务器及存储介质 | |
| US11929988B2 (en) | Dynamic selection of a VPNC gateway based on user behavior | |
| CN112910778A (zh) | 网络安全路由方法和系统 | |
| US11108666B2 (en) | Latency prediction and network message microtiming | |
| US9749224B2 (en) | Method and apparatus for cloud provisioning of communication services | |
| US20160065453A1 (en) | Cooperatively managing role based quality of service | |
| WO2023064042A1 (en) | Adaptive network attack prediction system | |
| Hongvanthong et al. | A novel four‐tier software‐defined network architecture for scalable secure routing and load balancing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20230707 |