CN114237883A - 一种安全服务链创建方法、报文传输方法、装置及设备 - Google Patents

一种安全服务链创建方法、报文传输方法、装置及设备 Download PDF

Info

Publication number
CN114237883A
CN114237883A CN202111505113.3A CN202111505113A CN114237883A CN 114237883 A CN114237883 A CN 114237883A CN 202111505113 A CN202111505113 A CN 202111505113A CN 114237883 A CN114237883 A CN 114237883A
Authority
CN
China
Prior art keywords
message
path
message transmission
service chain
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111505113.3A
Other languages
English (en)
Inventor
王思覃
王辉
韩闯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111505113.3A priority Critical patent/CN114237883A/zh
Publication of CN114237883A publication Critical patent/CN114237883A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Abstract

本公开涉及一种安全服务链创建方法、报文传输方法、装置及设备,通过为网元实例之间创建报文传输路径,其中为分布于不同服务器中的相邻网元实例间创建单播通道,使得控制业务报文能够按照既定通道直接传输至目标网元实例,避免了服务器间通信时总是出现泛洪情况的问题,从而减少了对交换机资源和服务器资源的消耗,提升了服务链的性能;通过在安全服务链当中设置选择组,对业务报文的流向进行调控,使得选择组之后的网元各实例负载均衡,避免了实例性能浪费,进一步提高了安全服务链的性能。

Description

一种安全服务链创建方法、报文传输方法、装置及设备
技术领域
本公开涉及云安全技术领域,尤其涉及一种安全服务链创建方法、报文传输方法、装置及设备。
背景技术
服务链是一种引导网络业务报文按次序通过服务节点的技术,引导网络业务报文按照要求的顺序通过服务节点进行处理和转发。
在虚拟局域网(Virtual Local Area Network,VLAN)中,服务链中的虚拟机根据VLAN ID相连接,资源池会修改业务流量数据包的VLAN ID,并将修改后的该业务流量数据包发送给所有网元,但只有拥有与修改后的业务流量数据包VLAN ID一致的某个网元实例会对业务流量数据包进行接收并处理,因此在服务链中会出现泛洪现象,且需要对VLAN ID进行维护,给交换机和资源池服务器带来不必要的性能损耗。
发明内容
为了解决上述技术问题,本公开提供了一种安全服务链创建方法、报文传输方法、装置及设备。
第一方面,本公开提供了一种安全服务链创建方法,其特征在于,包括:
确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;
将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
第二方面,本公开还提供了一种报文传输方法,其特征在于,该报文传输方法适用于第一方面中任一安全服务链创建方法所创建出的安全服务链,所述报文传输方法包括:
在报文传输路径的交叉处,从报文输入路径中获取业务报文;
为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;
将所述业务报文发送至所述目标报文输出路径。
第三方面,本公开还提供了一种安全服务链创建装置,其特征在于,所述装置包括:
第一确定模块,用于确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;
路径构建模块,用于将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
第四方面,本公开还提供了一种报文传输装置,其特征在于,所述报文传输装置适用于第三方面中所述安全服务链创建装置所创建出的安全服务链,所述报文传输装置包括:
获取模块,用于在报文传输路径的交叉处,从报文输入路径中获取业务报文;
第二确定模块,用于为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;
发送模块,用于将所述业务报文发送至所述目标报文输出路径。
第五方面,本公开还提供了一种电子设备,包括:处理器和存储器;
处理器通过调用存储器存储的程序或指令,用于执行上述任一方法的步骤。
第六方面,本公开还提供了一种计算机可读存储介质,计算机可读存储介质存储程序或指令,程序或指令使计算机执行上述任一方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:通过为网元实例之间创建报文传输路径,其中为分布于不同服务器中的相邻网元实例间创建单播通道,使得控制业务报文能够按照既定通道直接传输至目标网元实例,避免了服务器间通信时总是出现泛洪情况的问题,从而减少对交换机和服务器资源的消耗,提升了服务链的性能;通过在安全服务链当中设置选择组,对业务报文的流向进行调控,使得选择组之后的网元各实例负载均衡,避免了实例性能浪费,进一步提高了安全服务链的性能。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种安全服务链的示意图;
图2为本公开实施例提供的另一种安全服务链的示意图;
图3为本公开实施例提供的一种安全服务链应用场景的示意图;
图4为本公开实施例提供的一种安全服务链创建方法流程图;
图5为本公开另一实施例提供的安全服务链创建方法流程图;
图6为本公开实施例提供的一种报文传输方法流程图;
图7为本公开实施例提供的一种安全服务链创建装置结构示意图;
图8为本公开实施例提出的一种报文传输装置的结构示意图;
图9为本公开实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是一种安全服务链的示意图,如图1所示,IN为业务报文入口,OUT为业务报文出口,业务报文从入口IN进入,先经过网元100,再经过网元200,最后从出口OUT发出。需要说明的是,在实际情况中可能有任意数量的网元组成一条服务链,为便于描述,以下公开实施例仅以具有两个网元的服务链为例进行说明。
图2是另一种安全服务链的示意图。由于单个网元的的性能存在上限,当网元无法满足处理业务报文的需求时,对于同一个网元可以并排运行多个实例,即使用同样的网元镜像和配置运行多个虚拟机,以提升服务链的整体性能。如图2所示,实例11与实例12均为网元100进行镜像和配置所运行的实例,实例21与实例22均为网元200进行镜像和配置所运行的实例,每个实例在处理业务报文的过程中所起的作用均与其对应的网元一致,例如,实例11在服务链中相当于网元100,实例12在服务链中相当于网元100,实例21在服务链中相当于网元200,实例22在服务链中相当于网元200。在业务报文处理过程中,业务报文从入口IN进入,先经过实例11与实例12其中之一,再经过实例21与实例22之一,最后从出口OUT发出。
需要说明的是,在实际情况中,网元实例的数量可依据服务器资源和服务链性能需求而确定,本公开实施例对此不做限定。为便于描述,以下公开实施例仅以每个网元均运行两个实例的情况为例进行说明。
图3为本公开实施例提供的一种安全服务链应用场景的示意图。如图3所示,实例11与实例21布置于服务器110上,实例12与实例22布置于服务器210上。需要说明的是,任一实例都可以设置在任意的服务器上,本公开实施例对此不做限定。图4为本公开实施例提供的一种安全服务链创建方法流程图,该方法可适用于如图3所示的应用场景中,可以理解的是,本公开实施例提供的安全服务链创建方法还可以应用于其他场景中。
下面结合图3所示的应用场景,对图4所示的安全服务链创建方法进行介绍,该方法包括的具体步骤如下:
S401、确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数。
资源池可以配置池内服务器的各种参数,将报文输出端口和报文输入端口设置在一个或多个服务器上,并将网元运行实例布置在任意数量个服务器上。例如,将报文输入端口设置在服务器110上,将报文输出端口设置在服务器210上,将网元100的实例11与网元200的实例21设置在服务器110上,将网元100的实例12与网元200的实例22设置在服务器210上。可以理解的是,网元的数量以及每个网元的实例数量均可以任意设置,且每个网元的实例数量可以各不相同,每个实例均可以设置在任一服务器上,且每个服务器上运行的实例数量也可以不同。
S402、将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
报文从报文输入端口进入,需要按一定顺序经过预设数量的网元,即报文在安全服务链中的一次传输过程中,从报文输入端口开始按一定逻辑顺序依次经过预设数量的网元运行实例,最后从报文输出端口输出。在此过程中,报文输入端口、报文输出端口以及各运行实施例均为该安全服务链中的报文逻辑节点。为完成报文传输,在每两个相邻报文逻辑节点之间构建报文传输路径。例如,在图3所示的场景中,需要分别构建报文输入端口至实例11、报文输入端口至实例12、实例11至实例21、实例11至实例22、实例21至报文传输出口、实例22至报文传输出口的报文传输路径。其中,由于报文输入端口与实例11同在服务器110中,因此报文从报文输入端口输入,可以直接基于服务器110进入实施例11,相应地,实例11至实例21、实例12至实例22、实例22至报文输出端口均可以基于服务器110或服务器210直接传输。由于报文输入端口与实例12不在同一服务器上,因此若业务报文需要从报文输入端口发送至实例12,则需要在服务器110与服务器210之间建立单播通道,用于传输报文,相应地,实例12至实例21、实例11至实例22、实例21至报文输出端口之间需要分别建立单播通道用于传输报文。具体地,该单播通道可以基于虚拟扩展局域网(VirtualeXtensible Local Area Network,VXLAN)技术建立,或通用路由封装(General RoutingEncapsulation,GRE)技术建立,或使用其他适用的隧道技术建立。
本公开实施例通过确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。通过为网元实例之间创建报文传输路径,其中为分布于不同服务器中的相邻网元实例间创建单播通道,使得控制业务报文能够按照既定通道直接传输至目标网元实例,避免了服务器间通信时总是出现泛洪情况的问题,从而减少了对交换机资源和服务器资源的消耗,提升了服务链的性能。
在上述实施例的基础上,若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:在各所述报文逻辑节点所处服务器中创建通信端口;为所创建的通信端口指定通信对象的通信端口标识和通道标识,以形成单播通道;所述单播通道所连接的两个通信端口的标识一致;基于隧道技术沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径。
如前所述,每两个不在同一台服务器上的相邻报文逻辑节点间需要建立一个单播通道,例如可以是基于VXLAN技术建立的单播通道。建立一个单播通道时,资源池会在单播通道所连接的两个服务器分别创建通信端口并分配通信端口标识,并为该单播通道分配一个专用标识,基于此在服务器间建立单播通道。例如,在图3所示的场景中,由于有报文输入端口至实例12、实例12至实例21、实例11至实例22、实例21至报文输出端口四条传输路径需要建立跨服务器的单播通道,资源池为这四条单播通道分别分配不同的通道标识,为两个服务器分别分别创建四个通信端口,分配四对通信端口标识,并指定服务器110和服务器210分别作为各自的通信对象,其中,每一对端口标识用于分别位于两个服务器上的通信端口互相认证,即同一单播通道两端所连接的通信端口标识相同,为一对通信端口标识。资源池根据服务器110和服务器210的地址、四对通信端口的标识以及四个通道标识,在服务器110与服务器120之间建立四条单播通道。其中,通道301用于连接报文输入端口至实例12,通道302用于连接实例11至实例22,通道303用于连接实例11至实例22,通道304用于连接实例21至报文输出端口。
本公开实施例通过若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:在各所述报文逻辑节点所处服务器中创建通信端口;为所创建的通信端口指定通信对象的通信端口标识和通道标识,以形成单播通道;所述单播通道所连接的两个通信端口的标识一致;基于隧道技术沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径。通过在具有相邻两个报文逻辑节点的不同服务器之间基于VXLAN隧道技术创建单播通道,只需要服务器之间能够相互通信即可实现跨服务器的安全服务链报文传输,而无需使所有服务器连接在同一个二层网络中,解决了安全服务链架构时的限制,提高了资源池部署的灵活性。
另外,由于报文通过VXLAN单播通道传输时,是对报文的数据包做用户数据报协议(User Datagram Protocol,UDP)封装并传输,而并不影响其本身的VLAN ID,从而无需对数据包的VLAN ID进行维护,可以灵活处理报文。
图5为本公开另一实施例提供的安全服务链创建方法流程图,如图5所示,该方法包括:
S501、确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数。
S502、将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
具体地,S501~S502和S401~S402的实现过程和原理一致,此处不再赘述。
S503、在报文传输路径的交叉处创建选择组,沿报文传输方向,指向所述选择组的报文传输路径为报文输入路径,远离所述选择组的报文传输路径为报文输出路径,其中,所述选择组用于从所述报文输入路径中获取业务报文。
S504、为所述业务报文从至少两个报文输出路径中确定目标报文输出路径并将所述业务报文发送至所述目标报文输出路径。
从任一报文逻辑节点发出的业务报文可能会有多个流向,例如,在图3所示的场景中,从报文输入端口进入的业务报文可能有两个流向,一是基于服务器直接传输至实例11,或者经过单播通道301传输至实例12;类似地,从实例11中发出的报文也可能有两个流向,一是基于服务器直接传输至实例21,或者经过单播通道302传输至实例22。因此,在所述多个流向的交叉处也即多条路径交叉处创建选择组,用来确定业务报文的流向。在实际情况中,是由资源池为服务器中的网桥配置选择组功能,例如为开放虚拟交换(Open vSwitch,OVS)的网桥上配置选择组。选择组连接报文输入路径,用于接收从上一个实例中发出的报文,连接多个报文输出路径,用于将上一个实例中发出的报文发送至相邻逻辑节点之一。其中,沿报文传输方向,指向选择组的报文传输路径为报文输入路径,远离选择组的报文传输路径为报文输出路径。报文从报文输入端口进入服务器后,首先经过一个选择组,这个动作是资源池指定的,即报文从报文输入端口进入后,必须先经过选择组,才能进入之后的报文逻辑节点。类似地,除最后一个网元实例发出的报文可以直接传输至报文输出端口,其余每一个报文逻辑节点发出的报文,如果有多个可能的流向,都需要先经过一个选择组,才能进入下一个报文逻辑节点。
资源池为服务器中的网桥配置选择组功能时,同时配置了该选择组的预设算法。选择组基于该预设算法,对从报文输入路径获取的报文进行计算,根据计算结果为报文选择合适的报文输出路径,并将报文从所选择的报文输出路径发送至下一个报文逻辑节点。
本公开实施例通过在报文传输路径的交叉处创建选择组,沿报文传输方向,指向所述选择组的报文传输路径为报文输入路径,远离所述选择组的报文传输路径为报文输出路径,其中,所述选择组用于从所述报文输入路径中获取业务报文;为所述业务报文从至少两个报文输出路径中确定目标报文输出路径并将所述业务报文发送至所述目标报文输出路径。通过选择组对业务报文流向的调控,对网元多个实例的负载进行调节,使各个实例达到负载均衡的效果,进一步提升了服务链的性能。
图6是本公开实施例提供的一种报文传输方法流程图,本方法可适用于如图3所示的应用场景,或是由上述任一安全服务链创建方法实施例所创建出的安全服务链。该方法可以由选择组来执行,该方法包括以下步骤:
S601、在报文传输路径的交叉处,从报文输入路径中获取业务报文。
S602、计算所述业务报文对应的哈希值。
S603、基于所述哈希值,为所述业务报文从至少两个报文输出路径中确定目标报文输出路径。
S604、将所述业务报文发送至所述目标报文输出路径。
事先规定选择组的预设算法,例如哈希值为奇数的业务报文进入第一报文输出路径,发送至第一实例,哈希值为偶数的业务报文进入第二报文输出路径,发送至第二实例。可以理解的是,所述预设算法可以由安全服务链维护人员根据实际情况设置,本公开实施例对此不做限定。选择组在报文传输路径的交叉处,通过报文输入路径获取业务报文,并计算该业务报文的哈希值,基于上述预设算法为业务报文确定目标报文输出路径,并将业务报文发送至目标报文输出路径。例如,选择组从报文输入路径获取从报文输入端口进入的业务报文,计算其哈希值,并确定该报文的目标报文输出路径是报文输入端口至实例11或者是报文输入端口至实例12,并将报文从目标报文输出路径发送至实例11或实例12。类似的,选择组从报文输入路径获取从实例11输出的业务报文,计算其哈希值,并确定该报文的目标报文输出路径是实例11至实例21或者是实例11至实例22,并将报文从目标报文输出路径发送至实例21或实例22。类似的,选择组从报文输入路径获取从实例12输出的业务报文,计算其哈希值,并确定该报文的目标报文输出路径是实例12至实例21或者是实例12至实例22,并将报文从目标报文输出路径发送至实例21或实例22。最后,从实例21或实例22输出的业务报文传输至报文输出端口输出,此次业务报文在安全服务链中的传输结束。
本公开实施例通过在报文传输路径的交叉处,从报文输入路径中获取业务报文;计算所述业务报文对应的哈希值;基于所述哈希值,为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;将所述业务报文发送至所述目标报文输出路径。通过在安全服务链当中设置选择组,对业务报文的流向进行调控,使得选择组之后的网元各实例负载均衡,避免了实例性能浪费,有效提高了安全服务链的性能。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
图7为本公开实施例提出的一种安全服务链创建装置的结构示意图,如图7所示,安全服务链创建装置700包括:第一确定模块710、路径构建模块720;其中,第一确定模块710用于确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;路径构建模块720用于将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
可选的,路径构建模块720还用于若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:在各所述报文逻辑节点所处服务器中创建通信端口;为所创建的通信端口指定通信对象的通信端口标识和通道标识,以形成单播通道;所述单播通道所连接的两个通信端口的标识一致。
可选的,路径构建模块720还用于若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:若相邻两个报文逻辑节点被布置于不同服务器中,基于隧道技术沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径。
可选的,安全服务链创建装置700还包括选择组创建模块730,用于在报文传输路径的交叉处创建选择组,沿报文传输方向,指向所述选择组的报文传输路径为报文输入路径,远离所述选择组的报文传输路径为报文输出路径,其中,所述选择组用于从所述报文输入路径中获取业务报文;为所述业务报文从至少两个报文输出路径中确定目标报文输出路径并将所述业务报文发送至所述目标报文输出路径。
图8为本公开实施例提出的一种报文传输装置的结构示意图,如图8所示,报文传输装置800包括:获取模块810、第二确定模块820、发送模块830;其中,获取模块810用于在报文传输路径的交叉处,从报文输入路径中获取业务报文;第二确定模块820用于为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;发送模块830用于将所述业务报文发送至所述目标报文输出路径。
可选的,第二确定模块820还用于计算所述业务报文对应的哈希值;基于所述哈希值,为所述业务报文从至少两个报文输出路径中确定目标报文输出路径。
以上实施例公开的装置能够实现以上各方法实施例公开的方法的流程,具有相同或相应的有益效果。为避免重复,在此不再赘述。
图9为本公开实施例提供的电子设备的硬件结构示意图,如图9所示,该电子设备可以包括手机、PAD等智能终端,该电子设备包括:
一个或多个处理器901,图9中以一个处理器901为例;
存储器902;
所述电子设备还可以包括:输入装置903和输出装置904。
所述电子设备中的处理器901、存储器902、输入装置903和输出装置904可以通过总线或者其他方式连接,图9中以通过总线连接为例。
存储器902作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的安全服务链创建方法或报文传输方法对应的程序指令/模块(例如,附图7所示的第一确定模块710、路径构建模块720和选择组创建模块730)。处理器901通过运行存储在存储器902中的软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的安全服务链创建方法或报文传输方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置903可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置904可包括显示屏等显示设备。
本公开实施例还提供一种包含计算机可读存储介质,该计算机可读存储介质存储程序或指令,该程序或指令使计算机执行行时用于执行一种安全服务链创建方法,或报文传输方法。
可选的,该计算机可执行指令在由计算机处理器执行时还可以用于执行本公开任意实施例所提供的安全服务链创建方法或报文传输方法的技术方案。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种安全服务链创建方法,其特征在于,包括:
确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;
将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
2.根据权利要求1所述的方法,其特征在于,若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:
在各所述报文逻辑节点所处服务器中创建通信端口;
为所创建的通信端口指定通信对象的通信端口标识和通道标识,以形成单播通道;所述单播通道所连接的两个通信端口的标识一致。
3.根据权利要求2所述的方法,其特征在于,若相邻两个报文逻辑节点被布置于不同服务器中,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,包括:
若相邻两个报文逻辑节点被布置于不同服务器中,基于隧道技术沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径。
4.根据权利要求1所述的方法,其特征在于,还包括:
在报文传输路径的交叉处创建选择组,沿报文传输方向,指向所述选择组的报文传输路径为报文输入路径,远离所述选择组的报文传输路径为报文输出路径,其中,所述选择组用于从所述报文输入路径中获取业务报文;
为所述业务报文从至少两个报文输出路径中确定目标报文输出路径并将所述业务报文发送至所述目标报文输出路径。
5.一种报文传输方法,其特征在于,所述报文传输方法适用于权利要求1-4中任一安全服务链创建方法所创建出的安全服务链,所述报文传输方法包括:
在报文传输路径的交叉处,从报文输入路径中获取业务报文;
为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;
将所述业务报文发送至所述目标报文输出路径。
6.根据权利要求5所述的报文传输方法,其特征在于,
所述为所述业务报文从至少两个报文输出路径中确定目标报文输出路径,包括:
计算所述业务报文对应的哈希值;
基于所述哈希值,为所述业务报文从至少两个报文输出路径中确定目标报文输出路径。
7.一种安全服务链创建装置,其特征在于,所述装置包括:
第一确定模块,用于确定构建安全服务链的报文输入端口、报文输出端口以及M个网元,其中任一所述网元包括N个并联设置的运行实例,M大于或等于2,且M为正整数,N大于或等于1,且N为正整数;
路径构建模块,用于将所述报文输入端口、所述报文输出端口以及各所述运行实例均作为所述安全服务链的报文逻辑节点,沿报文传输方向,在相邻两个报文逻辑节点之间构建报文传输路径,其中,布置于不同服务器中的所述报文逻辑节点之间的报文传输路径为单播通道。
8.一种报文传输装置,其特征在于,所述报文传输装置适用于权利要求7中所述安全服务链创建装置所创建出的安全服务链,所述报文传输装置包括:
获取模块,用于在报文传输路径的交叉处,从报文输入路径中获取业务报文;
第二确定模块,用于为所述业务报文从至少两个报文输出路径中确定目标报文输出路径;
发送模块,用于将所述业务报文发送至所述目标报文输出路径。
9.一种电子设备,其特征在于,包括:处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1-4或权利要求5-6任一项所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1-4或权利要求5-6任一项所述方法的步骤。
CN202111505113.3A 2021-12-10 2021-12-10 一种安全服务链创建方法、报文传输方法、装置及设备 Pending CN114237883A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111505113.3A CN114237883A (zh) 2021-12-10 2021-12-10 一种安全服务链创建方法、报文传输方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111505113.3A CN114237883A (zh) 2021-12-10 2021-12-10 一种安全服务链创建方法、报文传输方法、装置及设备

Publications (1)

Publication Number Publication Date
CN114237883A true CN114237883A (zh) 2022-03-25

Family

ID=80754594

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111505113.3A Pending CN114237883A (zh) 2021-12-10 2021-12-10 一种安全服务链创建方法、报文传输方法、装置及设备

Country Status (1)

Country Link
CN (1) CN114237883A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932270A (zh) * 2012-11-27 2013-02-13 无锡城市云计算中心有限公司 支持网络安全业务的负载均衡方法和设备
CN107852368A (zh) * 2015-07-14 2018-03-27 微软技术许可有限责任公司 用于网络服务的高度可用的服务链
CN111355666A (zh) * 2018-12-21 2020-06-30 瞻博网络公司 促进针对计算机网络中的服务链的流对称
CN112104566A (zh) * 2020-09-18 2020-12-18 网易(杭州)网络有限公司 一种负载均衡的处理方法和装置
CN113422731A (zh) * 2021-06-22 2021-09-21 恒安嘉新(北京)科技股份公司 一种负载均衡输出方法、装置、汇聚分流设备和介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932270A (zh) * 2012-11-27 2013-02-13 无锡城市云计算中心有限公司 支持网络安全业务的负载均衡方法和设备
CN107852368A (zh) * 2015-07-14 2018-03-27 微软技术许可有限责任公司 用于网络服务的高度可用的服务链
CN111355666A (zh) * 2018-12-21 2020-06-30 瞻博网络公司 促进针对计算机网络中的服务链的流对称
CN112104566A (zh) * 2020-09-18 2020-12-18 网易(杭州)网络有限公司 一种负载均衡的处理方法和装置
CN113422731A (zh) * 2021-06-22 2021-09-21 恒安嘉新(北京)科技股份公司 一种负载均衡输出方法、装置、汇聚分流设备和介质

Similar Documents

Publication Publication Date Title
US10742447B2 (en) Connecting to multiple cloud instances in a telecommunications network
CN107896195B (zh) 服务链编排方法、装置及服务链拓扑结构系统
US9838873B2 (en) Secure wireless local area network (WLAN) for data and control traffic
CN110601906B (zh) 一种基于区块链的数据传输方法及装置
Xu et al. Approximation and online algorithms for NFV-enabled multicasting in SDNs
US9755959B2 (en) Dynamic service path creation
EP3985924A1 (en) Multicast method, apparatus, device and system for multicast group of virtual network group
EP3509253A1 (en) Inter-cloud communication method and related device, inter-cloud communication configuration method and related device
CN106254235B (zh) 一种负荷分担的方法及其设备
US10523657B2 (en) Endpoint privacy preservation with cloud conferencing
US10505976B2 (en) Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic
EP3337093B1 (en) Optimizing information related to a route and/or a next hop for multicase traffic
EP3264672B1 (en) Selective verification of signatures by network nodes
CN113890767A (zh) 网络接入方法、装置、设备及存储介质
Qu et al. Reliability-aware multi-source multicast hybrid routing in softwarized networks
US10177973B2 (en) Communication apparatus, communication method, and communication system
CN109286563B (zh) 一种数据传输的控制方法和装置
EP2924925A1 (en) Communication system, virtual-network management device, communication node, and communication method and program
Guler et al. Blockchain-enhanced cross-ISP spectrum assignment framework in SDONs: SpectrumChain
Thai et al. Towards load-balanced service chaining by hash-based traffic steering on softswitches
CN109391650B (zh) 一种建立会话的方法及装置
CN110995829B (zh) 实例调用方法、装置及计算机存储介质
CN114237883A (zh) 一种安全服务链创建方法、报文传输方法、装置及设备
US20160269325A1 (en) Method, apparatus, and system for controlling forwarding of service data in virtual network
Wang et al. NSV-GUARD: constructing secure routing paths in software defined networking

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220325

RJ01 Rejection of invention patent application after publication