CN113595964A - 连接跟踪同步方法、装置、介质及设备 - Google Patents
连接跟踪同步方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN113595964A CN113595964A CN202010367140.8A CN202010367140A CN113595964A CN 113595964 A CN113595964 A CN 113595964A CN 202010367140 A CN202010367140 A CN 202010367140A CN 113595964 A CN113595964 A CN 113595964A
- Authority
- CN
- China
- Prior art keywords
- synchronization message
- connection
- message
- synchronization
- connection tracking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Abstract
本申请涉及一种连接跟踪同步方法、装置、介质及设备。本申请的连接跟踪同步方法能够实现网路中,相互连接的中间设备的连接跟踪项的同步机制,具体地,对于相互连接的第一设备和第二设备,第一设备生成并向第二设备发送第一同步消息,第二设备接收到第一同步消息后,删除第二设备中与第一设备中被删除的连接跟踪项对应的连接跟踪项,在该方案中,第一设备能够及时发布老化的连接跟踪项,便于第二设备及时同步删除,以减少无效连接跟踪项占用的存储资源,提升用户的上网体验。
Description
技术领域
本申请涉及一种连接跟踪同步方法、装置、介质及设备。
背景技术
在Linux等平台中,连接跟踪是十分重要的功能,防火墙的生效就是通过连接跟踪来实现的。顾名思义,连接跟踪是用于记录和跟踪连接的状态,除了实现了防火墙功能,还能够实现网络地址转换(Network Address Translation,NAT),因此连接跟踪是Linux系统网络安全的基石。
一般来说,在系统中,连接跟踪表的容量是有上限的(例如,普通路由器中的连接跟踪表的容量上限一般是8192条),接跟踪表的容量与系统中集成的RAM的大小相关。连接跟踪表达到上限后,就无法再建立新的连接,报文会被连接跟踪装置丢弃,这时,上层的应用程序可能会重传报文,造成用户感知的时延变大,网络体验不好。因此,系统需要根据一定的规则来定期删除一些老旧的连接跟踪项(在本文中,连接跟踪项的删除可以称为“老化”),以保证网络的通畅。
发明内容
本申请的目的在于提供一种连接跟踪同步方法、装置、介质以及系统,能够在多中间设备间及时同步删除老化的连接跟踪项,减少设备中的无效连接跟踪项占用的存储资源,提升用户的上网体验。
本申请的第一方面提供了一种连接跟踪同步方法,包括:第一设备生成第一同步消息,第一同步消息用于指示接收该第一同步消息的第二设备删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项;和第一设备向第二设备发送第一同步消息,其中,该第一设备可以以广播、单播或组播等各种方式向第二设备发送该第一同步消息。即在该方案中,第一设备在删除了连接跟踪项后,向与第一设备连接的第二设备发送同步消息,以向第二设备通知第一设备连接跟踪项的删除情况,以便第二设备提前删除相同的老化的连接跟踪项,减少无效的连接跟踪项占用的存储资源,提升用户的上网体验。
在上述第一方面的一种可能的实现中,第一设备生成第一同步消息,可以包括:第一设备定时生成第一同步消息。即第一设备定时发送第一同步消息,以通知第二设备定时与第一设备同步删除相应的连接跟踪项。
在上述第一方面的一种可能的实现中,第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成第一同步消息。
在上述第一方面的一种可能的实现中,第一同步消息可以包括第一设备中删除的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第一方面的一种可能的实现中,第一同步消息也可以包括第一设备中当前保留的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第一方面的一种可能的实现中,第一同步消息还可以包括加密信息和/或数字签名,其中,加密信息能够被接收第一同步消息的第二设备解密,以提高通信的安全性,第二设备能够校验数字签名,以验证消息来源是否可靠以及消息的完整性。
在上述第一方面的一种可能的实现中,该方法还可以包括,第一设备接收第二设备发送的第二同步消息,并根据第二同步消息删除该第一设备中与第二设备中被删除的连接跟踪项对应的连接跟踪项。即设备之间可以相互发送同步消息,更有效的同步老化或着无效的连接跟踪项。
在上述第一方面的一种可能的实现中,第二同步消息还包括加密信息和/或数字签名;该方法还可以包括:第一设备对收到的第二同步消息进行解密和/或签名校验,并在解密后和/或签名校验通过后执行删除连接跟踪项。
在上述第一方面的一种可能的实现中,所述第一设备为路由器,所述第二设备为光调制解调器;或所述第一设备为光调制解调器,所述第二设备为路由器。
本申请的第二方面提供了一种连接跟踪同步方法,包括:第一设备生成并向第二设备发送第一同步消息;第二设备接收第一同步消息,并根据第一同步消息删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项,其中,该第一设备可以以广播、单播或组播等各种方式向第二设备发送该第一同步消息。即在该方案中,第一设备在删除了连接跟踪项后,向与第一设备连接的第二设备发送同步消息,以向第二设备通知第一设备连接跟踪项的删除情况,以便第二设备提前删除相同的老化的连接跟踪项,减少无效的连接跟踪项占用的存储资源,提升用户的上网体验。
在上述第二方面的一种可能的实现中,第一设备生成第一同步消息,可以包括:第一设备定时生成第一同步消息;或者第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成第一同步消息。
在上述第二方面的一种可能的实现中,第一同步消息可以包括第一设备中被删除的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第二方面的一种可能的实现中,第一同步消息也可以包括第一设备中当前保留的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第二方面的一种可能的实现中,第一同步消息还可以包括加密信息和/或数字签名;该方法还可以包括:第二设备对收到的第一同步消息进行解密和/或签名校验,并在解密后和/或签名校验通过后,删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项。以提高通信的安全性,验证消息来源是否可靠以及消息的完整性。
在上述第二方面的一种可能的实现中,所述第一设备以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
在上述第二方面的一种可能的实现中,所述第一设备为路由器,所述第二设备为光调制解调器;或所述第一设备为光调制解调器,所述第二设备为路由器。
本申请的第三方面提供了一种用于第一设备的连接跟踪同步装置,包括:
消息处理模块,用于生成第一同步消息,第一同步消息用于使得接收该第一同步消息的第二设备删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项;消息收发模块,用于向第二设备发送第一同步消息。
该连接跟踪同步装置可以设置在各种级联方式组网的设备之中,使设备能够及时发布老化的连接跟踪项,便于其他设备及时同步删除,或者接收其他设备发来的消息,以获取其他设备中老化的连接跟踪项的信息,以便及时删除无效的连接跟踪项,以减少无效连接跟踪占用资源,提升用户的上网体验。
在上述第三方面的一种可能的实现中,消息收发模块还可以用于:接收来自第二设备的第二同步消息;所述消息处理模块还用于根据所述第二同步消息,删除该第一设备中与第二设备中删除的连接跟踪项对应的连接跟踪项。。
在上述第三方面的一种可能的实现中,第一同步消息可以包括第一设备中被删除的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第三方面的一种可能的实现中,第一同步消息也可以包括第一设备中当前保留的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第三方面的一种可能的实现中,消息处理模块,还可以用于:对与第一设备中的连接跟踪项相关的信息进行加密和/或签名;和/或对接收到的第二同步消息进行解密和/或签名校验。以提高通信的安全性,验证消息来源是否可靠以及消息的完整性。
在上述第三方面的一种可能的实现中,消息处理模块,可以用于定时生成第一同步消息。
在上述第三方面的一种可能的实现中,消息处理模块,也可以用于在第一设备中被删除的连接跟踪项的数量达到预设的老化数量阈值后生成第一同步消息。
此外,在一些实施例中,也可以在第一设备中出现连接跟踪项的删除后,立即广播消息,以使第一设备与第二设备之间能够实时同步。
在上述第三方面的一种可能的实现中,所述消息收发模块以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
本申请的第四方面提供了一种连接跟踪同步系统,其特征在于,包括第一设备和第二设备,其中,第一设备用于生成并向第二设备发送第一同步消息;第二设备用于接收第一同步消息,并根据第一同步消息删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项。即在该方案中,第一设备在删除了连接跟踪项后,向与第一设备连接的第二设备发送同步消息,以向第二设备通知第一设备连接跟踪项的删除情况,以便第二设备提前删除相同的老化的连接跟踪项,减少无效的连接跟踪项占用的存储资源,提升用户的上网体验。
在上述第四方面的一种可能的实现中,第一设备生成第一同步消息,包括:第一设备定时生成第一同步消息;或者第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成第一同步消息。
在上述第四方面的一种可能的实现中,第一同步消息包括第一设备中删除的连接跟踪项的相关信息;或者第一同步消息包括第一设备中当前保留的连接跟踪项的相关信息。可以理解,连接跟踪项的相关信息为能够标识连接跟踪项的信息。例如,连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的一个或多个。
在上述第四方面的一种可能的实现中,所述第一设备以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
在上述第四方面的一种可能的实现中,所述第一设备为路由器,所述第二设备为光调制解调器;或所述第一设备为光调制解调器,所述第二设备为路由器。
本申请的第五方面提供了一种设备,包括:存储器和处理器,存储器中存储有指令,处理器用于读取并执行存储器中的指令,以使得控制终端执行前述第一方面提供的方法。
本申请的第六方面提供了一种机器可读介质,该机器可读介质中可以存储有指令,该指令被机器运行时,机器可以执行如前述第一方面提供的方法。
此外,在不同的设备中,实现记录和跟踪连接的状态这一功能的表项可能会有不同的名称,上述本申请的第一至第六方面提供的各种实施方式也可以用于带有各种名称的记录和跟踪连接的状态的表项。例如,在核心网路由器之间,实现记录和跟踪连接的状态这一功能的表格通常被称为“流表”,那么,上述本申请的第一至第六方面提供的各种实施方式也可以用于实现核心网中作为邻居的路由设备之间的流表的表项同步;再如,在一些实施例中,实现记录和跟踪连接的状态这一功能的表会被称为“会话表(session table)”,同样,上述本申请的第一至第六方面提供的各种实施方式也可以用于实现设备之间的会话表的表项同步。
附图说明
图1示出了根据本申请的实施例的多级组网的场景示例。
图2示出了根据本申请的实施例的连接跟踪表示例。
图3示出了根据本申请的实施例的连接跟踪同步方法示例。
图4示出了根据本申请的实施例的同步模块的结构示意图。
图5示出了根据本申请的实施例的连接跟踪同步模块的处理流程图。
图6示出了根据本申请的一些实施例的示例计算系统示意图。
图7示出了根据本申请的实施例的一种片上系统(SoC)的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。可以理解的是,此处描述的具体实施例仅仅是为了解释本申请,而非对本申请的限定。此外,为了便于描述,附图中仅示出了与本申请相关的部分而非全部的结构或过程。
本申请的说明性实施例包括但不限于连接跟踪同步方法、装置、介质及设备等。
应注意的是,在本说明书中,相似的标号和字母在下面的附图中表示类似项。根据本申请一些实施例,在图1和其余附图中,参考数字后面的字母,例如“400a”表示对具有该特定参考数字的元素的引用,而没有后续字母的参考数字,例如“400”,表示对带有该参考数字的元素的实施方式的一般引用。
目前的上网环境中,多级组网是一种很常见的组网方式。图1示出了一种多级组网的场景示例。
如图1所示,诸如笔记本电脑400a、手机400b和多功能事务机400c等的各种电子设备400要接入运营商提供的网络100,通常需要经过路由器300、调制解调器200等中间设备,以级联组网的方式接入网络100。在本申请的一些实施例中,级联组网可以指:在两个设备之间,第一设备的广域网(Wide area network,WAN)接口以有线或无线方式连接到第二设备的局域网(local area network,LAN)接口,且第一设备的WAN侧地址由第二设备来分配(通常是通过DHCP协议来分配),那么,第一设备与第二设备之间便是级联组网。例如,在图1中,路由器300的WAN接口可以连接到调制解调器200的LAN接口,路由器300与调制解调器200之间便是级联组网。
其中,调制解调器200用以实现通信所需的调制和解调,一方面,调制解调器200可以将路由器300发来的数字信号调制成可以通过电话线或者光缆等传输的模拟信号;另一方面,调制解调器200把从运营商提供的网络100输入的模拟信号转换成相应的数字信号,发送给相应的路由器300等。
根据本申请的一些实施例,调制解调器200可以包括但不限于,基带调制解调器和光调制解调器(也称为光调制解调器或单端口光端机)等。基带调制解调器可以把数字信号转换为可沿普通电话线等线缆上传送的脉冲信号,以及将线缆上的脉冲信号转换为计算机可读的数字信号。光调制解调器可以应用于光纤通信,光纤通信频带宽、容量大,因而发展成为当今信息传输的主要形式。光调制解调器可以包括E1光调制解调器、以太网光调制解调器、V35光端机等。E1光调制解调器是经过光纤来传输E1信号,以太网光调制解调器是经过光纤来传输2M以太网信号,V35光调制解调器是经过光纤来传输V35信号。光调制解调器与基带调制解调器的不同之处在于光调制解调器接入的是传输光信号的光纤,将光电信号进行转换后接入路由器。
路由器300则通常连接在调制解调器200的局域网(local area network,LAN)侧。路由器300在网络中起到网关的作用,用于读取每一个数据包中的地址并决定如何传送,对不同的网络之间的数据包进行存储、分组转发等处理。在网络通信中,路由器可以判断网络地址以及选择IP路径,以在网络环境中构建灵活的链接系统,通过不同的数据分组以及介质访问方式对各个子网进行链接。路由器300用于为用户的各种电子设备400提供网络接口,例如提供WIFI接入热点等。
电子设备400可以包括各种能够通过网络实现与云端或者其他设备交互的设备,包括各种控制终端或智能设备,例如图1中示出的笔记本电脑400a、手机400b和多功能事务机400c等。在各种实施方式中,电子设备400的示例还可以包括:智能体重(脂)称、智能电灯、智能风扇、智能电视、智能冰箱、智能音箱、智能扫地机器人等各种智能的家居电器设备;或者智能打印机、智能空调、智能投影等各种智能办公设备;以及台式机、膝上型计算机、平板计算机、手机、移动电子邮件设备、便携式游戏机、便携式音乐播放器、读取器设备、头戴式显示器等各种终端设备等。在一些实施方式中,电子设备400也可以是能够由用户穿戴的可穿戴设备。例如,电子设备400可以是智能手表、手环、首饰或眼镜等,或者作为手表、手环、首饰或眼镜等的一部分。
在多级组网方式中,各个中间设备(例如图1所示的路由器300和调制解调器200)通常都会分别维护一张连接跟踪表,用于记录和跟踪连接的状态。
根据本申请的一些实施例,图2示出了连接跟踪表的一个示例,连接跟踪表中可以包括多条(图2中示出了三条)连接跟踪项,每条连接跟踪项记录并跟踪一条连接的状态,包括:网际协议版本、地址族号、协议类型、老化时间、连接状态、该连接的上行链路信息和下行链路信息、数据流状态等。
网际协议版本记录了网际互连协议的版本,例如网际协议版本4(InternetProtocol version 4,ipv4)和网际协议版本6(Internet Protocol version 6,ipv6)等。
地址族号标识了底层是使用的哪种通信协议来递交数据,例如ipv4可以标识为2,ipv6可以标识为10。
协议类型记录了连接所采用的通信协议类型,通信协议类型包括但不限于:传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User DatagramProtocol,UDP)等。
老化时间代表该连接的老化剩余时间,通常以秒为单位。在连接跟踪表中,连接跟踪项的老化时间可能跟协议类型和状态等有关:例如,通常,TCP连接具有11种状态,对于TCP连接的各种不同状态,老化时间便会相差很大:比如,在三次握手成功后,如果一直没有数据流通过该连接,那么老化时间可能为5天;而一条TCP连接的一端向另一端发送Fin报文后,老化时间可能为2分钟;再如,在UDP连接中,双向流的老化时间可能为3分钟;单向流的老化时间可能为30秒。对于连接跟踪表中记录的一条连接,如果一直没有新的数据流通过该连接,连接跟踪项中记录的老化时间这一项记录的数值会随着时间逐渐减小,直至归零后,该连接跟踪项被删除(即老化)。然而,如果在老化时间逐渐减小的过程中,有新的数据流通过该连接,那么老化时间先变为该状态下的最大值,然后再逐渐减小。例如,对于图2所示的连接跟踪表中记录的第一条连接,连接状态为“ESTABLISHED”,代表该连接为三次握手成功状态,当有新的数据流通过该连接时,老化时间将从当前记录的430660(秒)变为432000(秒),即5天。
老化时间除了与上文提到的协议类型和连接状态有关外,也与系统配置有关,同种业务在不同的系统中老化时间可能不同,例如,在不同的Linux内核版本中,老化时间可能会有区别。再者,在一些系统中,老化时间可以自定义设置。
连接状态记录的是TCP连接的各种状态,例如前文所述的“ESTABLISHED”代表该TCP连接为三次握手成功状态,“SYN_SENT”代表SYN已经发送给对方,正在等待对方回应ACK等。
上行链路信息和下行链路信息记录了该连接的两个方向的数据流的源IP地址、目的IP地址、源端口、目的端口和报文统计,其中报文统计记录了通过该连接的数据包的数量和累计字节数。
数据流状态则记录了当前数据流是单向流还是双向流,例如,“ASSURED”可以用于表示双向流,而“UNREPLIED”则可以用于表示单向流。
可以理解,图2示出的连接跟踪表仅作为示例说明连接跟踪表中记录的一些内容,在不同的实施例中,连接跟踪表可以记录比图示更多或更少的内容,例如,可以在连接跟踪表中增加扩展字段,记录与该连接相关的其他有用信息。
连接跟踪表的大小通常与设备中集成的RAM的大小有关。例如,根据本申请的一些实施例,在图1所示的组网方式中,光调制解调器200和路由器300中可以运行嵌入式系统,由于成本原因,光调制解调器200中集成的RAM可能比较小,约64MB,默认的连接跟踪项上限约为4096条;而路由器300中集成的RAM可为128MB,默认的连接跟踪数量约为8192条。
在现有技术中,路由器300和调制解调器200中任何一方的连接跟踪表达到上限,都会造成网络出现异常,要么卡顿严重,要么无法上网。例如TCP老化时间较长,TCP连接异常断开(没有发送Fin报文)后,连接跟踪老化时间可以为5天,那么,在经过一段时间的运行后,各种业务建立的TCP连接,可能会很快将光调制解调器200的连接跟踪表占满。这种情况下,需要通过光调制解调器200访问网络的笔记本电脑400a等设备都将无法访问网络,影响用户体验。
本申请的实施例提供一种同步机制,使设备间同步老化无用的连接跟踪项,减少老化等待的时间,减少无效连接跟踪占用资源,提升用户的上网体验。
下面以路由器300和光调制解调器200之间的连接跟踪同步为例,结合图3说明根据本申请的实施例的连接跟踪同步方法。可以理解,该方法不仅可以应用于路由器300和光调制解调器200之间,也可以应用于其他处于路由模式并以级联方式组网的设备之间。
如图3所示,连接跟踪同步系统中可以包括光调制解调器200和路由器300,在光调制解调器200与路由器300之间,彼此定期公告连接跟踪项老化信息,以减少无用的老化超时等待,将无用的连接跟踪项提前删除。
S1:路由器300监测自身连接跟踪项的状态,例如,可以在发生连接跟踪项老化事件时,记录老化事件。
S2:路由器300发布同步消息,以向与路由器300连接的光调制解调器200发送与路由器300的连接跟踪项相关的信息,该同步消息可以以广播、单播或者组播等的形式发送。根据本申请的一些实施例,该同步消息可以包括路由器300中最近老化的连接跟踪项的信息,以便光调制解调器200根据收到的老化信息删除光调制解调器200中与之对应的连接跟踪项;或者,根据本申请的一些实施例,该同步消息也可以包括路由器300当前保留的连接跟踪项的信息,以便光调制解调器200根据收到的保留连接跟踪项的信息删除光调制解调器200中除了与之对应的连接跟踪项之外的连接跟踪项。
根据本申请的一些实施例,在路由器300中,可以设置消息发布定时器,由消息发布定时器设定阈值时间,并在消息发布定时器超时后,由路由器300生成同步消息,并以广播的形式发送。例如,可以设置10秒的消息发布定时器,并每10秒广播一次最近10秒时间内老化的连接跟踪项,以更高效地实现同步老化。根据本申请的另一些实施例,也可以设置老化计数器,以统计老化连接跟踪项的数量,并在老化连接跟踪项的数量达到老化计数器中预设的老化数量阈值后,由路由器300生成同步消息,并以广播等的形式发送,而后老化计数器清零并再次开始计数。上述两种方式都可以减少同步消息的发布次数,避免频繁发送消息。根据本申请的另一些实施例,也可以在老化事件发生后,立即广播同步消息,以使设备间能够实时同步。
S3:光调制解调器200接收路由器300发来的同步消息,可以进行鉴权,以验证消息来源是否可靠以及同步消息的完整性,鉴权可以通过密钥验证,签名验证等方式进行。鉴权机制的引入可以提高通信安全性,使得消息不易被攻击。鉴权通过后,光调制解调器200解析该同步消息,根据该同步消息中的最近被删除的连接跟踪项的信息,或者当前保留的连接跟踪项的信息,执行光调制解调器200中的连接跟踪项的删除动作。在同步消息被路由器300定时发布的情况下,可能会出现阈值时间内没有连接跟踪项老化的情形,如果同步消息中显示最近路由器300没有连接跟踪项老化,那么光调制解调器200也相应地不执行删除动作。
根据本申请的一些实施例,解析该同步消息时也可以不包括鉴权机制,以提高连接跟踪的同步效率。接收同步消息的光调制解调器200可以静默接收,而无需回复确认消息。
光调制解调器200侧同样可以执行S4-S5来监测自身连接跟踪项的变化,记录该老化事件,并发布同步消息,以使得与之连接的中间设备执行相应的连接跟踪项的删除。该过程与S1-S2的过程类似。
同样,与S3类似,S6:路由器300接收到光调制解调器200发来的同步消息,进行鉴权后,解析该同步消息并执行光调制解调器200中的连接跟踪项的删除动作。
根据本申请的一些实施例,以同步消息中包括路由器300中最近老化的连接跟踪项的信息为例,同步消息可包含一条或多条老化的连接的五元组信息(源IP地址、目的IP地址、源端口、目的端口、协议类型),以便接收同步消息的设备可以进行精确匹配并执行删除动作。根据本申请的另一些实施例,该同步消息也可只包含五元组信息中的某一个或多个成员,以便接收同步消息的设备进行模糊匹配,比如,同步消息中可以仅包含目的IP地址,接收同步消息的设备可以匹配包含该目的IP地址的所有连接并执行删除动作。
根据本申请的一些实施例,可以将同步消息设置为不可转发,使得同步消息的接收者收到同步消息后,不可转发给其他设备。
此外,图3所示的各种操作以最有助于理解说明性实施例的方式被描述,然而,上面结合图3描述的顺序不应被解释为暗示这些操作必须依赖上述描述的顺序,S1-S3的操作与S4-S6的操作可以被并行地实施或者以不同的顺序实施。例如,路由器300和光调制解调器200可以分别监测自身连接跟踪项的变化,并各自设置定时器来分别定时发布同步消息。
光调制解调器200与路由器300之间的连接跟踪同步可以通过在光调制解调器200和路由器300上分别运行连接跟踪同步装置410来实现。
根据本申请的一些实施例,下面结合图4和图5来详细描述光调制解调器200与路由器300利用连接跟踪同步装置来进行连接跟踪同步的方法。
图4示出了根据本申请的实施例的连接跟踪同步装置410的示意图。
如图4所示,连接跟踪同步装置410可以包括消息处理模块418和消息收发模块417,其中,消息处理模块418可以进一步包括:连接跟踪管理单元411、消息鉴权单元412、消息解析单元413、秘钥管理单元414、消息签名单元415和消息封装单元416。连接跟踪同步装置410可以设置于光调制解调器200和路由器300等设备中,并通过连接跟踪管理单元411与设备中的连接跟踪装置420耦合。
消息收发模块417可以用于收发同步消息。在本申请的实施例中,同步消息收发方式不作限定,可以采用TCP或者UDP等各种通信协议来进行同步消息的收发。
消息处理模块418可以用于生成并处理待发送的同步消息,或将接收到的同步消息进行解析等处理。
其中,连接跟踪管理单元411可以用于监测连接跟踪项的状态,以及利用同步消息的解析结果来删除无效的连接跟踪项等。
消息封装单元416可以用于根据连接跟踪管理单元411监测到的连接跟踪项的变化,进行封装,得到封装消息,以发送给其他主机。
当连接跟踪管理单元411监测到连接跟踪项被删除(即“老化”)时,收集被删除的连接跟踪项或者现有连接跟踪项的信息并发送给消息封装单元416,以便消息封装单元416封装消息。根据本申请的一些实施例,消息封装单元416封装的消息可以包括最近被删除的连接跟踪项的信息,或者包括当前保留的连接跟踪项的信息。为了提高效率,减少同步消息的发送数量,消息封装单元416可以在被删除的连接跟踪项积累到一定的数量,或者经过一定的时间后,再开始封装消息。例如上文上述,可以设置定时器或者老化计数器,以定时封装消息来发送或者统计的老化连接跟踪项的数量达到预设的老化数量阈值后再发送。
消息签名单元415可以用于对封装消息进行加密和/或签名,得到待发送的同步消息。
根据本申请的一些实施例,可以先对消息封装单元416封装得到的明文的封装消息的消息体进行加密,得到密文消息体,再对密文消息体进行签名。加密的内容为整个封装消息的消息体。根据本申请的一些实施例,对封装消息进行加密的加密方式可以为数据加密标准(Data Encryption Standard,DES),三重数据加密标准(Triple DES,3DES),加密标准(Advanced Encryption Standard,AES)等对称加密算法(symmetrickey algorithms);或者RSA、Elgamal、背包算法等非对称加密算法(asymmetric key algorithms)。以AES算法为例,AES算法可以包括多种模式,例如但不限于:电子密码本(Electronic Code Book,ECB)模式,加密块链(Cipher Block Chaining,CBC)模式,加密反馈(Cipher FeedBackMode,CFB)模式,输出反馈(Output FeedBack,OFB)模式等。AES方式加密效率较高,加密密钥为管理员预置的方式,此外,由于AES是对称加密,所以在接收端也需要预置相同的密钥。
签名为附加在消息上的一些数据,或是对消息所作的变换。这种数据或变换使得消息的接收者可以确认消息的来源和完整性,防止消息被伪造。基于公钥密码体制和私钥密码体制都可以获得数字签名,实际应用中主要是基于公钥密码体制的数字签名,包括普通数字签名和特殊数字签名等。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Des/DSA、椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名等。根据本申请的一些实施例,对加密后的封装消息进行签名的方式可以包括:通过哈希算法(例如SHA-256)对消息密文进行摘要提取,得到消息摘要(也称指纹),然后用RSA的私钥对消息摘要进行加密,从而得到数字签名。那么,消息收发模块417发送的同步消息便可以包括对封装消息的消息体加密后得到的密文消息体和数字签名。
根据本申请的另一些实施例,可以直接对消息封装单元416封装得到的封装消息的消息体进行摘要提取,得到消息摘要,然后用自己的私钥对消息摘要进行加密,得到数字签名。然后将明文的封装消息的消息体和数字签名的组合作为同步消息,通过消息收发模块417发送出去。
根据本申请的又一些实施例,为了保密,也可在对明文的封装消息的消息体进行签名后,可以将明文的封装消息的消息体和数字签名作为一个整体,再进行加密(例如通过AES等),得到密文,随后把密文作为同步消息发送出去。
密钥管理单元414可以用于管理会话的加解密密钥和/或签名密钥等。需要进行连接跟踪同步的双方可以都预置可信根证书,并以该证书作为所有设备相互信任和对同步消息鉴权的基础,然后以该可信根证书为基础,各自生成自己的加解密密钥和/或签名密钥,例如,RSA密钥对等。
消息鉴权单元412可以用于对本主机接收到的同步消息进行解密和签名校验。
当接收到同步消息后,消息鉴权单元412可以去寻找同步消息的发送方的公钥进行校验,校验通过后,再进行其他后续动作。如果找不到同步消息的发送方的公钥,则向发送方请求公钥,并将同步消息缓存一段时间,待收到公钥后再进一步处理。
在收到的同步消息是通过先对明文的封装消息的消息体进行对称加密得到密文消息体后,再对密文消息体进行签名得到的情况下,消息鉴权单元412使用同步消息的发送方的公钥将数字签名解密,此外,使用同样的哈希算法(例如上文提到的SHA-256)再次对该同步消息中的密文消息体进行哈希运算,并与解密数字签名得到的消息摘要对比,如果一致,说明同步消息没有被篡改。
在收到的同步消息是明文的封装消息的消息体和数字签名的情况下,可以使用同步消息的发送方的公钥将数字签名解密,此外,使用同样的哈希算法(例如上文提到的SHA-256)再次对该同步消息中的明文的封装消息的消息体进行哈希运算,并与解密数字签名得到的消息摘要对比,如果一致,说明同步消息没有被篡改。
在收到的同步消息是通过先对明文的封装消息的消息体进行签名,随后再对明文的封装消息的消息体和签名一同加密的情况下,消息鉴权单元412可以先解密,得到一个明文的消息体和签名。然后用公钥解密签名,得到一个消息摘要,同时消息鉴权单元412也对明文的消息体进行摘要提取,得到第二个消息摘要,比较这两个消息摘要是否相同,如果相同,则说明消息没有被篡改,是可信的,否则是不可信的。
在消息鉴权单元412对接收到的同步消息进行解密和签名校验过程中,如果签名校验不通过,或者解密失败,可以丢弃该同步消息。
消息解析单元413可以用于解析消息鉴权单元412鉴权后的消息,以获取同步消息的发送方最近删除的连接跟踪项的信息,或者同步消息的发送方当前保留的连接跟踪项的信息,并通知连接跟踪管理单元411来删除相关的连接跟踪项。
可以理解的是,上述结合图4描述的本申请的实施例示意的结构并不构成对连接跟踪同步装置410的具体限定。在本申请另一些实施例中,连接跟踪同步装置410可以包括比图示更多或更少的单元,或者组合某些单元,或者拆分某些单元,或者具有不同的单元模块布置。例如,在一些实施方式中,连接跟踪同步装置410中可以不包括消息鉴权单元412和消息签名单元415,即直接将消息封装单元416封装后的封装消息作为同步消息发出,而对于接收到的同步消息,则不经鉴权而直接通过消息解析单元413进行解析。此外,图示的单元模块可以以硬件,软件或软件和硬件的组合实现。
如上所述,光调制解调器200与路由器300等设备之间的连接跟踪同步可以通过在设备上分别运行连接跟踪同步装置410来实现。运行有连接跟踪同步装置410的设备既可以作为消息发送方发布同步消息,也可以作为消息接收方接收来自其他设备的同步消息并执行相关连接跟踪项的删除。图5示出了同步消息的收发双方利用图4所示的连接跟踪同步装置410进行连接跟踪同步的工作流程。
首先,S501:消息发送方510根据自身设置(例如:通信协议的类型、状态以及系统配置等)来执行连接跟踪项的删除。
S502:消息发送方510利用连接跟踪同步装置410来监测连接跟踪项的老化情况,并根据监测到的连接跟踪项的老化情况来生成同步消息。
S503-S504:消息发送方510利用连接跟踪同步装置410对生成的同步消息进行加密和签名。
S505:消息发送方510将加密签名后的同步消息广播发送。
S521:消息接收方520监听并接收消息发送方510发送的同步消息。消息接收方520可以静默接收,而无需回复确认消息。
S522-S523:消息接收方520利用连接跟踪同步装置410寻找消息发送方510的公钥对接收到的同步消息进行签名校验(即,鉴权)和解密,以确认消息发送方510和接收的同步消息的完整性。如果签名校验不通过,或者解密失败,则可以丢弃该同步消息。否则,继续到S524。
S524:消息接收方520利用连接跟踪同步装置410解析接收到的同步消息,以获取消息发送方510最近删除的连接跟踪项的信息,或者消息发送方510当前保留的连接跟踪项的信息。
S525:消息接收方520根据解析同步消息得到的信息来删除相关的连接跟踪项。例如,根据收到的消息发送方510的老化的连接跟踪项的信息来删除本机与之对应的连接跟踪项,或者根据收到的消息发送方510的保留的连接跟踪项的信息来删除本机中除了与之对应的连接跟踪项之外的连接跟踪项,从而实现消息发送方510与消息接收方520之间的连接跟踪项的同步老化。
上述结合图1至图5描述的本申请的实施例,能够有效的解决由于各个中间设备中维护的连接跟踪表的状态和数量不一致、老化机制不一致等导致的连接跟踪项老化不同步的问题,进而提升用户的上网体验。
在连接跟踪项状态不同步的情况下,极容易出现同一业务的连接在某一级设备中已被删除,而在与之相连的其他设备中仍然存在的现象。例如,在一些情况下中,如果没有同步老化机制,某网络业务可能在路由器300中的连接跟踪项丢失,而在光调制解调器200中的连接跟踪项仍然存在,这种情况下,该网络连接已然失效,光调制解调器200中的连接跟踪项已然无用,但是仍然占据光调制解调器200的内存资源,并且需要等待其达到老化时间后才会被删除,造成光调制解调器200的内存资源的浪费,并且使得光调制解调器200中的连接跟踪项数量极易达到上限,影响上网体验。
在这种情况下,可以通过增大内存,以使得连接跟踪项总数上限扩大,减缓连接跟踪项占满的机率;或者缩短连接跟踪项的老化时间,加快老化速度来解决问题。然而,一方面,增大RAM会增加硬件成本,而另一方面,由于连接跟踪的老化时间跟业务的相关性很强,某些业务的连接跟踪项如果老化太快,会引发上网体验问题,并且这两种方案均不能从根本上解决设备间的连接跟踪表不同步的问题。
而本申请的实施例提供的方案,能够提供一种连接跟踪同步机制,在光调制解调器与路由器等中间设备之间,定期公告连接跟踪项的老化信息,使得设备中一些无用的连接跟踪项无需再等待预定的老化时间,而是可以根据收到的同步消息被提前删除,进而降低无效连接跟踪占用的资源,提升用户的上网体验。
下面结合图6描述根据本申请的一些实施例的示例计算系统600。该示例计算系统600可以被实现在上面结合图1至图4所描述的光调制解调器200或路由器300中,或者作为图5中所示的消息发送方510或消息接收方520。在各种实施例中,系统600可具有比图6所示的更多或更少的组件和/或不同的架构。
在一个实施例中,系统600可以包括一个或多个处理器604,与处理器604中的至少一个连接的系统控制逻辑608,与系统控制逻辑608连接的系统内存612,与系统控制逻辑608连接存储器616(例如非易失性存储器(non-volatile memory,NVM)),以及与系统控制逻辑608连接的网络接口620。
处理器604可以包括一个或多个单核或多核处理器。处理器604可以包括通用处理器和专用处理器(例如,图形处理器,应用处理器,基带处理器等)的任何组合。在一些情况下,处理器604可以被配置为执行上述结合图1至图4所描述的光调制解调器200或路由器300所执行的各种操作。
用于某个实施例的系统控制逻辑608可以包括任何合适的接口控制器,以向处理器604中的至少一个和/或与系统控制逻辑608通信的任何合适的设备或组件提供任何合适的接口。
用于某个实施例的系统控制逻辑608可以包括一个或多个存储器控制器以提供连接到系统内存612的接口。系统内存612可以用于加载和存储数据和/或指令,例如,对于系统600,用于某个实施例的系统内存612可以包括任何合适的易失性存储器,例如合适的随机存取存储器(random-access memory,RAM)或动态随机存取存储器(dynamic randomaccess memory,DRAM)。
存储器616可以包括用于存储数据和/或指令的一个或多个有形的、非暂时性计算机可读介质。例如,存储器616可以包括的任何合适的非易失性存储器和/或任何合适的非易失性存储设备,例如闪存、硬盘驱动器(hard disk drive,HDD),固态硬盘(solid-statedrive,SSD),光盘(compact disk,CD)驱动器,和/或数字通用光盘(digital versatiledisk,DVD)驱动器等。
存储器616可以包括安装系统600的装置上的一部分存储资源,或者它可以由设备访问,但不一定是设备的一部分。例如,可以经由网络接口620通过网络访问存储器616。
特别地,系统内存612和存储器616可以分别包括:指令624的暂时和永久副本。指令624可以包括:由处理器604中的至少一个执行时导致系统600实施上文所述的方法的指令。在各种实施例中,指令624或硬件、固件和/或其软件组件可另外地/替代地置于系统控制逻辑608,网络接口620和/或处理器604中。
网络接口620可以包括收发器,用于为系统600提供无线电接口,进而通过一个或多个网络与任何其他合适的设备(如前端模块,天线等)进行通信。在各种实施例中,网络接口620可以与系统600的其他组件集成。例如,网络接口可以包括处理器604的处理器,系统内存612的内存,存储器616的存储器,和/或具有指令的固件设备(未示出),所述指令为由处理器604中的至少一个执行时导致系统600实施如图1至图4所描述的光调制解调器200或路由器300所执行的方法的指令。
网络接口620可以进一步包括任何合适的硬件和/或固件,以提供多输入多输出无线电接口。例如,用于某个实施例的网络接口620可以是网络适配器,无线网络适配器,电话调制解调器和/或无线调制解调器。
对于一个实施例,处理器604中的至少一个可以与用于系统控制逻辑608的一个或多个控制器的逻辑封装在一起。对于一个实施例,处理器604中的至少一个可以与用于系统控制逻辑608的一个或多个控制器的逻辑封装在一起,以形成系统封装(SiP)。对于一个实施例,处理器604中的至少一个可以与用于系统控制逻辑608的一个或多个控制器的逻辑集成在一起。对于一个实施例,处理器604中的至少一个可以与用于系统控制逻辑608的一个或多个控制器的逻辑集成在一起,以形成片上系统(SoC)。
系统600可以进一步包括:输入/输出(I/O)设备632。I/O设备632可以包括,被设计为使得用户能够与系统600进行交互的用户界面;被设计为使得外围组件也能够与系统600交互的外围组件接口;和/或被设计为用于确定与系统600相关的环境条件和/或位置信息的传感器等。
在各种实施例中,用户界面可包括但不限于显示器(例如,液晶显示器、触摸屏显示器等)、扬声器、麦克风、一个或多个相机(例如,静止图像相机和/或摄像机)、手电筒/闪光灯(例如、发光二极管闪光灯)和键盘。
在各种实施例中,外围组件接口可以包括但不限于非易失性存储器端口、音频插孔和电源接口。
在各种实施例中,传感器可包括但不限于陀螺仪传感器,加速度计,近程传感器,环境光线传感器和定位单元。定位单元还可以是网络接口620的一部分或与网络接口620交互,以与定位网络的组件(例如,全球定位系统(GPS)卫星)进行通信。
根据本申请的实施例,图7示出了一种片上系统(System on Chip,SoC)700的框图。在图7中,虚线框是SoC的可选特征。在图7中,SoC700可以包括:互连单元750,其被耦合至应用处理器710;系统代理单元770;总线控制器单元780;集成存储器控制器单元740;一组或一个或多个协处理器720,其可包括集成图形逻辑、图像处理器、音频处理器和视频处理器;静态随机存取存储器(SRAM)单元730;直接存储器存取(DMA)单元760。在一个实施例中,协处理器720可以包括专用处理器,诸如例如网络或通信处理器、压缩引擎、GPGPU、高吞吐量MIC处理器、或嵌入式处理器等等。
本申请公开的各实施例可以被实现在硬件、软件、固件或这些实现方法的组合中。本申请的实施例可实现为在可编程系统上执行的计算机程序或程序代码,该可编程系统可以包括至少一个处理器、存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备以及至少一个输出设备。
可将程序代码应用于输入指令,以执行本申请描述的各功能并生成输出信息。可以按已知方式将输出信息应用于一个或多个输出设备。为了本申请的目的,处理系统包括具有诸如例如数字信号处理器(DSP)、微控制器、专用集成电路(ASIC)或微处理器之类的处理器的任何系统。
程序代码可以用高级程序化语言或面向对象的编程语言来实现,以便与处理系统通信。在需要时,也可用汇编语言或机器语言来实现程序代码。事实上,本申请中描述的机制不限于任何特定编程语言的范围。在任一情形下,该语言可以是编译语言或解释语言。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合形式来实现。所公开的实施例还可以以承载或储存在一个或多个瞬态或非瞬态的机器可读(例如,计算机可读)存储介质上的指令或程序形式实现,其可以由一个或多个处理器等读取和执行。当指令或程序被机器运行时,机器可以执行前述的各种方法。例如,指令可以通过网络或其他计算机可读介质分发。因此,机器可读介质可以包括但不限于,用于以机器(例如,计算机)可读的形式存储或传输信息的任何机制,例如,软盘,光盘,光盘只读存储器(CD-ROMs),磁光盘,只读存储器(ROM),随机存取存储器(RAM),可擦除可编程只读存储器(EPROM),电子式可清除程序化只读存储器(EEPROM),磁卡或光卡,或者用于通过电、光、声或其他形式信号(例如,载波、红外信号、数字信号等)传输网络信息的闪存或有形的机器可读存储器。因此,机器可读介质包括任何形式的适合于存储或传输电子指令或机器(例如,计算机)可读信息的机器可读介质。
因此,本申请的各实施例还包括非瞬态的有形机器可读介质,该介质包含指令或包含设计数据,诸如硬件描述语言(HDL),它定义本文中描述的结构、电路、装置、处理器和/或系统特征。这些实施例也被称为程序产品。
根据本申请的一些实施例,为了实现上述本申请实施例提供的方法中的各功能,图1至图4所描述的光调制解调器200或路由器300等各种设备可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
此外,上述以光调制解调器200与路由器300之间的连接跟踪同步为例介绍了本申请的一些实施例,然而,本领域技术人员应当了解,上述实施例中提供的方案也可应用于其他中间设备之间,例如,两个路由器之间等。
此外,在不同的设备或系统中,实现记录和跟踪连接的状态这一功能的表项可能会有不同的名称,或者内容会有些许差别。本申请的实施例中以“连接跟踪项”这个名称为例介绍了本申请的各种实施例,但这并不是对本申请的限制,本领域技术人员应当理解,本申请中的“连接跟踪项”可以通用地指代各种实现连接状态的记录和追踪功能的表项,即,上述结合附图描述的各种实施方式可以用于各种记录和跟踪连接的状态的表项。例如,在核心网路由器之间,实现记录和跟踪连接的状态这一功能的表格通常被称为“流表”,那么,上述本申请的各种实施方式也可以用于实现核心网中作为邻居的路由设备之间的流表表项同步。再如,在一些实施例中,实现记录和跟踪连接的状态这一功能的表会被称为“会话表(session table)”,同样,上述本申请的各种实施方式也可以用于实现设备之间的会话表的表项同步等。
应当理解的是,虽然在本文中可能使用了术语“第一”、“第二”等等来描述各个特征,但是这些特征不应当受这些术语限制。使用这些术语仅仅是为了进行区分,而不能理解为指示或暗示相对重要性。举例来说,在不背离示例性实施例的范围的情况下,第一特征可以被称为第二特征,并且类似地第二特征可以被称为第一特征。
此外,各种操作将以最有助于理解说明性实施例的方式被描述为多个彼此分离的操作;然而,描述的顺序不应被解释为暗示这些操作必须依赖描述的顺序,其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序也可以被重新安排。当所描述的操作完成时,所述处理可以被终止,但是还可以具有未包括在附图中的附加操作。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
说明书中对“一个实施例”,“实施例”,“说明性实施例”等的引用表示所描述的实施例可以包括特定特征、结构或性质,但是每个实施例也可能或不是必需包括特定的特征、结构或性质。而且,这些短语不一定是针对同一实施例。此外,当结合具体实施例描述特定特征,本领域技术人员的知识能够影响到这些特征与其他实施例的结合,无论这些实施例是否被明确描述。
除非上下文另有规定,否则术语“包含”、“具有”和“包括”是同义词。短语“A/B”表示“A或B”。短语“A和/或B”表示“(A)、(B)或(A和B)”。
如本文所使用的,术语“模块”可以指代,作为其中的一部分,或者包括:用于运行一个或多个软件或固件程序的存储器(共享、专用或组),专用集成电路(ASIC),电子电路和/或处理器(共享、专用或组),组合逻辑电路,和/或提供所述功能的其他合适组件。
在附图中,可能以特定布置和/或顺序示出了一些结构或方法特征。然而,应当理解的是,这样的特定布置和/或排序不是必需的。而是,在一些实施例中,这些特征可以以不同于说明性附图中所示的方式和/或顺序来进行说明。另外,特定附图中所包含得结构或方法特征并不意味着所有实施例都需要包含这样的特征,在一些实施例中,可以不包含这些特征,或者可以将这些特征与其他特征进行组合。
上面结合附图对本申请的实施例做了详细说明,但本申请技术方案的使用不仅仅局限于本专利实施例中提及的各种应用,各种结构和变型都可以参考本申请技术方案轻易地实施,以达到本文中提及的各种有益效果。在本领域普通技术人员所具备的知识范围内,在不脱离本申请宗旨的前提下做出的各种变化,均应归属于本申请专利涵盖范围。
Claims (36)
1.一种连接跟踪同步方法,其特征在于,包括:
第一设备生成第一同步消息,所述第一同步消息用于指示接收该第一同步消息的第二设备删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项;和
所述第一设备向所述第二设备发送所述第一同步消息。
2.根据权利要求1所述的方法,其特征在于,所述第一设备生成第一同步消息,包括:
所述第一设备定时生成所述第一同步消息。
3.根据权利要求1所述的方法,其特征在于,所述第一设备生成第一同步消息,包括:
所述第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成所述第一同步消息。
4.根据权利要求1所述的方法,其特征在于,所述第一同步消息包括所述第一设备中删除的所述连接跟踪项的相关信息。
5.根据权利要求1所述的方法,其特征在于,所述第一同步消息包括所述第一设备中当前保留的连接跟踪项的相关信息。
6.根据权利要求4或5所述的方法,其特征在于,连接跟踪项的相关信息包括所述连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的至少一个。
7.根据权利要求1所述的方法,其特征在于,所述第一同步消息还包括加密信息和/或数字签名。
8.根据权利要求1所述的方法,其特征在于,所述第一设备以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
9.根据权利要求1所述的方法,其特征在于,还包括,
所述第一设备接收第二设备发送的第二同步消息;
所述第一设备根据接收的所述第二同步消息,删除该第一设备中与第二设备中删除的连接跟踪项对应的连接跟踪项。
10.根据权利要求9所述的方法,其特征在于,
所述第二同步消息还包括加密信息和/或数字签名;并且
所述方法还包括:
所述第一设备对收到的所述第二同步消息进行解密和/或签名校验,并在解密后和/或签名校验通过后执行所述删除。
11.根据权利要求1至10中任意一项所述的方法,其特征在于,
所述第一设备为路由器,所述第二设备为光调制解调器;或
所述第一设备为光调制解调器,所述第二设备为路由器。
12.一种连接跟踪同步方法,其特征在于,包括:
第一设备生成并向第二设备发送第一同步消息;
第二设备接收所述第一同步消息,并根据所述第一同步消息删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项。
13.根据权利要求12所述的方法,其特征在于,所述第一设备生成第一同步消息,包括:
所述第一设备定时生成所述第一同步消息;或者
所述第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成所述第一同步消息。
14.根据权利要求12所述的方法,其特征在于,所述第一同步消息包括所述第一设备中删除的连接跟踪项的相关信息。
15.根据权利要求12所述的方法,其特征在于,所述第一同步消息包括所述第一设备中当前保留的连接跟踪项的相关信息。
16.根据权利要求14或15所述的方法,其特征在于,所述连接跟踪项的相关信息包括连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的至少一个。
17.根据权利要求12所述的方法,其特征在于,
所述第一同步消息还包括加密信息和/或数字签名;
所述方法还包括:
所述第二设备对收到的所述第一同步消息进行解密和/或签名校验,并在解密后和/或签名校验通过后,删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项。
18.根据权利要求12所述的方法,其特征在于,
所述第一设备以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
19.根据权利要求12至18中任意一项所述的方法,其特征在于,
所述第一设备为路由器,所述第二设备为光调制解调器;或
所述第一设备为光调制解调器,所述第二设备为路由器。
20.一种用于第一设备的连接跟踪同步装置,其特征在于,包括:
所述消息处理模块,用于生成第一同步消息,所述第一同步消息用于使得接收该第一同步消息的第二设备删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项;
所述消息收发模块,用于向所述第二设备发送所述第一同步消息。
21.根据权利要求20所述的装置,其特征在于,所述消息收发模块还用于接收来自第二设备的第二同步消息;
所述消息处理模块还用于根据所述第二同步消息,删除该第一设备中与第二设备中删除的连接跟踪项对应的连接跟踪项。
22.根据权利要求20所述的装置,其特征在于,所述第一同步消息包括所述第一设备中删除的连接跟踪项的相关信息。
23.根据权利要求20所述的装置,其特征在于,所述第一同步消息包括所述第一设备中当前保留的连接跟踪项的相关信息。
24.根据权利要22或23所述的装置,其特征在于,所述连接跟踪项的相关信息包括连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的至少一个。
25.根据权利要求21所述的装置,其特征在于,所述消息处理模块还用于:
对与所述第一同步消息进行加密和/或签名;和/或
对接收到的所述第二同步消息进行解密和/或签名校验。
26.根据权利要求20所述的装置,其特征在于,所述消息处理模块定时生成所述第一同步消息。
27.根据权利要求20所述的装置,其特征在于,所述消息处理模块在所述第一设备中删除的连接跟踪项的数量达到预设的老化数量阈值后生成所述第一同步消息。
28.根据权利要求20所述的装置,其特征在于,
所述消息收发模块以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
29.一种连接跟踪同步系统,其特征在于,包括第一设备和第二设备,其中,
所述第一设备用于生成并向第二设备发送第一同步消息;
所述第二设备用于接收所述第一同步消息,并根据所述第一同步消息删除该第二设备中与第一设备中删除的连接跟踪项对应的连接跟踪项。
30.根据权利要求29所述的系统,其特征在于,所述第一设备生成第一同步消息包括:
所述第一设备定时生成所述第一同步消息;或者
所述第一设备在删除的第一设备中的连接跟踪项的数量达到预设的老化数量阈值后生成所述第一同步消息。
31.根据权利要求29所述的系统,其特征在于,所述第一同步消息包括所述第一设备中删除的连接跟踪项的相关信息;或者
所述第一同步消息包括所述第一设备中当前保留的连接跟踪项的相关信息。
32.根据权利要求31所述的系统,其特征在于,所述连接跟踪项的相关信息包括连接跟踪项所表示的连接的源IP地址、目的IP地址、源端口、目的端口、协议类型中的至少一个。
33.根据权利要求29所述的系统,其特征在于,所述第一设备以广播、单播或组播的方式向所述第二设备发送所述第一同步消息。
34.根据权利要求29至33中任意一项所述的系统,其特征在于,
所述第一设备为路由器,所述第二设备为光调制解调器;或
所述第一设备为光调制解调器,所述第二设备为路由器。
35.一种设备,其特征在于,包括:
存储器,所述存储器中存储有指令,和
处理器,用于使所述设备读取并执行所述存储器中的指令,以执行如权利要求1至11中任意一项所述的方法。
36.一种机器可读介质,其特征在于,所述机器可读介质中存储有指令,该指令被机器运行时,所述机器执行如权利要求1至11中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010367140.8A CN113595964B (zh) | 2020-04-30 | 2020-04-30 | 连接跟踪同步方法、装置、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010367140.8A CN113595964B (zh) | 2020-04-30 | 2020-04-30 | 连接跟踪同步方法、装置、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113595964A true CN113595964A (zh) | 2021-11-02 |
| CN113595964B CN113595964B (zh) | 2023-02-10 |
Family
ID=78237617
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010367140.8A Active CN113595964B (zh) | 2020-04-30 | 2020-04-30 | 连接跟踪同步方法、装置、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113595964B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422616A (zh) * | 2022-01-29 | 2022-04-29 | 杭州迪普科技股份有限公司 | 数据通讯方法、客户端、服务器及系统 |
| CN114827015A (zh) * | 2022-04-29 | 2022-07-29 | 深圳爱捷云科技有限公司 | 一种数据转发方法和虚拟化云网络架构 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101410819A (zh) * | 2005-12-30 | 2009-04-15 | 阿卡麦科技公司 | 用于任意数据流的可靠高吞吐量高性能的传输和路由机制 |
| CN101426026A (zh) * | 2008-09-17 | 2009-05-06 | 北京六维世纪网络技术有限公司 | 一种多服务器间数据同步的方法及系统 |
| CN104601470A (zh) * | 2015-01-21 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种流表处理方法及装置 |
| CN108011958A (zh) * | 2017-12-06 | 2018-05-08 | 新华三技术有限公司 | 网络设备及mac地址表同步方法 |
| CN109474531A (zh) * | 2018-12-24 | 2019-03-15 | 安徽皖兴通信息技术有限公司 | 一种分组接入网络交换表项删除同步的方法 |
| WO2019085923A1 (zh) * | 2017-10-31 | 2019-05-09 | 华为技术有限公司 | 数据处理方法、装置及计算机 |
-
2020
- 2020-04-30 CN CN202010367140.8A patent/CN113595964B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101410819A (zh) * | 2005-12-30 | 2009-04-15 | 阿卡麦科技公司 | 用于任意数据流的可靠高吞吐量高性能的传输和路由机制 |
| CN101426026A (zh) * | 2008-09-17 | 2009-05-06 | 北京六维世纪网络技术有限公司 | 一种多服务器间数据同步的方法及系统 |
| CN104601470A (zh) * | 2015-01-21 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种流表处理方法及装置 |
| WO2019085923A1 (zh) * | 2017-10-31 | 2019-05-09 | 华为技术有限公司 | 数据处理方法、装置及计算机 |
| CN108011958A (zh) * | 2017-12-06 | 2018-05-08 | 新华三技术有限公司 | 网络设备及mac地址表同步方法 |
| CN109474531A (zh) * | 2018-12-24 | 2019-03-15 | 安徽皖兴通信息技术有限公司 | 一种分组接入网络交换表项删除同步的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422616A (zh) * | 2022-01-29 | 2022-04-29 | 杭州迪普科技股份有限公司 | 数据通讯方法、客户端、服务器及系统 |
| CN114827015A (zh) * | 2022-04-29 | 2022-07-29 | 深圳爱捷云科技有限公司 | 一种数据转发方法和虚拟化云网络架构 |
| CN114827015B (zh) * | 2022-04-29 | 2024-04-02 | 深圳爱捷云科技有限公司 | 一种数据转发方法和虚拟化云网络架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113595964B (zh) | 2023-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10785020B2 (en) | Hardware offload for QUIC connections | |
| WO2018014723A1 (zh) | 密钥管理方法、装置、设备及系统 | |
| CN113271579B (zh) | 蓝牙设备控制方法、客户端、计算机设备和可读存储介质 | |
| US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
| US9544767B2 (en) | Encryption key updates in wireless communication systems | |
| US20230017263A1 (en) | Key Negotiation Method and Electronic Device | |
| US7386717B2 (en) | Method and system for accelerating the conversion process between encryption schemes | |
| CN113595964B (zh) | 连接跟踪同步方法、装置、系统、设备及介质 | |
| US9872175B2 (en) | Packet processing method, apparatus, and system | |
| WO2019129201A1 (en) | Session management for communications between a device and a dtls server | |
| CN114095195B (zh) | 用于安全套接字层代理的自适应控制的方法、网络设备以及非瞬态计算机可读介质 | |
| WO2017148419A1 (zh) | 数据传输方法及服务器 | |
| US20230388339A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| US20190045442A1 (en) | Transmission/ reception device with wake-up radio resistant to attacks by denial of sleep | |
| CN106209401A (zh) | 一种传输方法及装置 | |
| US20060222181A1 (en) | Method for transporting real-time audio and video data | |
| CN107343001B (zh) | 数据处理方法及装置 | |
| US20230239279A1 (en) | Method and apparatus for security communication | |
| JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
| WO2021027035A1 (zh) | 一种网络安全IPsec的加速处理方法及系统 | |
| Liu et al. | An ICN-based Secure Task Cooperation Scheme in Challenging Wireless Edge Networks | |
| US11962575B2 (en) | Data transmission method, communication processing method, device, and communication processing program | |
| WO2020157928A1 (ja) | データ送信方法、通信処理方法、装置、および通信処理プログラム | |
| KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
| CN115967511A (zh) | 加解密方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |