CN114244842A - 一种安全资源调度方法、装置、电子设备及存储介质 - Google Patents
一种安全资源调度方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114244842A CN114244842A CN202111590610.8A CN202111590610A CN114244842A CN 114244842 A CN114244842 A CN 114244842A CN 202111590610 A CN202111590610 A CN 202111590610A CN 114244842 A CN114244842 A CN 114244842A
- Authority
- CN
- China
- Prior art keywords
- target
- terminal
- resource
- scheduling
- target terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000003860 storage Methods 0.000 title claims abstract description 20
- 230000015654 memory Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 17
- 230000006835 compression Effects 0.000 claims description 6
- 238000007906 compression Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000002955 isolation Methods 0.000 abstract description 9
- 230000009545 invasion Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种安全资源调度方法、装置、电子设备及存储介质,基于预设的编址方法,为目标终端分配包含有资源订阅指示信息以及所属网络信息的目标地址信息,在安全资源调度时,能够通过读取到的目标地址信息,解析获得相应的资源订阅指示信息以及终端标识,从而快速从终端标识相匹配的目标资源池中,确定出至少一个待调度的目标安全资源,基于上述方式,不仅大大提升了安全资源的调度效率,还避免了传统租户网络中,对边缘网关造成的强侵入性问题,在方便网络地址管理的同时,保证了多租户间的数据隔离,确保了同一租户网络下,各租户之间数据独立,进一步保障了多租户环境下的网络数据安全。
Description
技术领域
本发明涉及安全服务领域,尤其涉及一种安全资源调度方法、装置、电子设备及存储介质。
背景技术
在第4版互联网协议(Internet Protocol Version 4,IPv4)中,每个加入互联网的终端设备均被分配一个唯一的32位IPv4地址,以快速认证相应的终端身份,而随着互联网的快速发展,智能终端的日益普及,可供分配的地址资源数目严重不足,使得互联网的应用和发展受到制约,为解决这一问题,第6版互联网协议(Internet Protocol Version 6,IPv6)随之产生,得到了较为广泛地应用。
进一步的,在包含多租户的IPv6混合云网络中,可以通过部署DHCPv6(DynamicHost Configuration Protocol for IPv6,一种支持IPv6的动态主机配置协议)的安全服务平台,来为每个私有IPv6网络中,相应的各个终端设备分别分配唯一的IPv6地址,并根据预设的服务策略表项,将网络中的各个安全资源分别调度至相应IPv6地址的终端设备,从而在多租户间彼此数据隔离的基础下,对配置的各个安全资源进行合理、有序的分发、调度,以保障网络数据安全。
然而,基于上述方式,需要在每次安全资源调度的过程中,提前根据服务策略表项查找相应的IPv6地址,当调度的安全资源数目较多时,则需要根据查找到的各个IPv6地址,对相应的各个安全资源调度任务进行有序编排,并逐一执行,使得相关技术下,针对多租户的安全资源调度往往需要耗费较长的处理时间,即安全资源调度的效率较低。
发明内容
本申请实施例提供一种安全资源调度方法、装置、电子设备及存储介质,用于提高多租户网络下的安全资源调度效率。
第一方面,本申请实施例提供一种安全资源调度方法,包括:
接收目标终端发送的调度请求,其中,调度请求至少包含:目标终端的目标地址信息。
对目标地址信息进行解析,获得目标终端的终端标识,以及目标终端的资源订阅指示信息。
基于终端标识,从预设的安全资源池集合中,确定出目标终端相应的目标资源池,并基于资源订阅指示信息,从目标资源池中,选取相匹配的至少一个目标安全资源。
将至少一个目标安全资源发送至目标终端,实现目标终端的安全资源调度。
第二方面,本申请实施例提供一种安全资源调度装置,包括:
通信模块,用于接收目标终端发送的调度请求,其中,调度请求至少包含:目标终端的目标地址信息。
解析模块,用于对目标地址信息进行解析,获得目标终端的终端标识,以及目标终端的资源订阅指示信息。
匹配模块,用于基于终端标识,从预设的安全资源池集合中,确定出目标终端相应的目标资源池,并基于资源订阅指示信息,从目标资源池中,选取相匹配的至少一个目标安全资源。
调度模块,用于将至少一个目标安全资源发送至目标终端,实现目标终端的安全资源调度。
在一种可选的实施例中,在接收目标终端发送的调度请求之前,通信模块还用于:
接收目标终端发送的地址请求报文,地址请求报文至少包括:目标终端的终端标识,以及目标终端所属目标网络的网络标识。
基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息。
对终端标识、网络标识及资源订阅指示信息进行编码,获得相应的编码信息,并在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息。
将目标地址信息发往目标终端。
在一种可选的实施例中,地址请求报文还包括:目标终端的目标认证码;则基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息时,通信模块具体用于:
基于终端标识及预设的认证密钥,生成相应的本地认证码。
当确定本地认证码与目标认证码一致时,基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息。
在一种可选的实施例中,在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息时,通信模块具体用于:
在目标终端的原始地址信息中添加编码信息,获得相应的候选地址信息。
基于预设的压缩规则,对候选地址信息进行压缩,获得相应的目标地址信息。
在一种可选的实施例中,获得目标终端相应的目标地址信息之后,通信模块还用于:
在预设的分配记录文件中,确定并记录与终端标识相应的地址分配结果。
在一种可选的实施例中,将至少一个目标安全资源发送至目标终端后,调度模块还用于:
基于至少一个目标安全资源,以及目标地址信息中,网络标识,生成针对目标网络的资源调度日志。
第三方面,本申请实施例还提供了一种电子设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现上述第一方面中的任一种安全资源调度方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面的安全资源调度方法。
第五方面,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品在被计算机调用时,使得所述计算机执行如第一方面所述的方法。
本申请实施例提供一种安全资源调度方法、装置、电子设备及存储介质,基于预设的编址方法,为目标终端分配包含有资源订阅指示信息以及所属网络信息的目标地址信息,则在安全资源调度时,能够通过读取到的目标地址信息,解析获得相应的资源订阅指示信息以及终端标识,从而快速从终端标识相匹配的目标资源池中,确定出至少一个待调度的目标安全资源,基于上述方式,不仅大大提升了安全资源的调度效率,保证了多租户网络下,系统的安全处理及响应的效率,另一方面,这种利用IPv6编址特性的安全资源调度方式,避免了传统IPv4租户网络中,对边缘网关造成的强侵入性问题,在方便网络地址管理的同时,保证了多租户间的数据隔离,确保了同一租户网络下,各租户之间数据独立,进一步保障了多租户环境下的网络数据安全。
附图说明
图1为本申请实施例提供的一种安全资源调度场景架构图;
图2为本申请实施例提供的一种地址分配方法流程图;
图3为本申请实施例提供的一种地址分配方法的逻辑示意图;
图4为本申请实施例提供的一种地址分配交互时序图;
图5为本申请实施例提供的一种安全资源调度方法流程图;
图6a,图6b分别为本申请实施例提供的一种安全资源调度场景示例图;
图7为本申请实施例提供的一种安全资源调度装置示意图;
图8为本申请实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
为提升多租户网络下的资源调度效率,本申请实施例提供一种安全资源调度方法、装置、电子设备及存储介质,基于预设的编址方法,为目标终端分配包含有资源订阅指示信息以及所属网络信息的目标地址信息,则在安全资源调度时,能够通过读取到的目标地址信息,解析获得相应的资源订阅指示信息以及终端标识,从而快速从终端标识相匹配的目标资源池中,确定出至少一个待调度的目标安全资源,基于上述方式,不仅大大提升了安全资源的调度效率,保证了多租户网络下,系统的安全处理及响应的效率,另一方面,这种利用IPv6编址特性的安全资源调度方式,避免了传统IPv4租户网络中,对边缘网关造成的强侵入性问题,在方便网络地址管理的同时,保证了多租户间的数据隔离,确保了同一租户网络下,各租户之间数据独立,进一步保障了多租户环境下的网络数据安全。
为便于理解,首先对本申请实施例进行描述的过程中出现的部分名词或术语作如下解释:
IPv6地址(Internet Protocol Version 6,第6版网际协议地址):通常以冒号十六进制的方式进行表示,分为单播地址、组播地址及任意播地址三类,其中,单播地址可分为全球单播地址(公网地址)、本地链路地址、站点本地地址、回环地址、未指定地址及内嵌IPv4地址,本申请实施例中,采用RFC(Request for Comments Document,互联网服务标准)定义的IPv6全球单播地址的编址格式,为目标终端分配相应的目标地址信息。
IPv6地址压缩:为了简化IPv6的表示,可以压缩每个IPv6地址段的前导0,例如,针对IPv6地址:2001:0410:0000:0000:FB00:1400:5000:45FF,对其压缩后,可得:2001:410:0000:0000:FB00:1400:5000:45FF,进一步的,若地址段中包含连续的0,则其进行压缩并使用::进行替代,为保证地址还原的准确性,定义一个IPv6地址中只能包含一个::,则对上述压缩地址进一步进行压缩,IPv6地址可表示为:2001:410:::FB00:1400:5000:45FF。
DHCPv6(Dynamic Host Configuration Protocol for IPv6):一种针对IPv6编址方案设计,为主机分配IPv6地址/前缀和其他网络配置参数的一种有状态协议。
下面结合附图,对本申请实施例提供的安全资源调度方法作出进一步地阐述、说明:
参阅图1所示,为本申请实施例提供的一种可能的应用场景示意图,包括服务平台100以及终端设备110,其中,每个终端设备110分别属于相应的私有IPv6网络,终端设备110包括但不限于手机、平板电脑、笔记本电脑、台式电脑、电子书阅读器、智能语音交互设备、智能家电、车载终端等设备;终端设备上可以安装有与安全资源调度相关的客户端,该客户端可以是软件(例如浏览器),也可以是网页、小程序等,服务平台100则是与软件或是网页、小程序等相对应的后台服务器,或者是专门用于进行安全资源调度的服务器,本申请不做具体限定。服务平台100可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
基于上述应用场景描述,参阅图2所示,在安全资源调度之前,基于预设的编址规则,为加入所示多租户网络中的目标终端分配相应的目标地址信息,其中,目标终端可表示为上述终端设备110中的任意一个,其中,目标地址信息的分配方法,具体包括:
S201:接收目标终端发送的地址请求报文。
具体的,地址请求报文至少包括:目标终端的终端标识,以及目标终端所属目标租户网络的网络标识,可选的,采用DHCPv6协议,为目标终端预定义唯一的DUID,该DUID具体包括目标终端自身的MAC地址、目标终端侧生成的认证码,还可以包括其他信息,例如,目标终端所属目标租户网络的网络标识(如,企业编码,企业分支编码)等,则服务平台通过接收目标终端发送的携带DUID的地址请求报文(如,DHCP报文等),能够确定所示多租户网络下新增相应的目标终端,从而为目标终端分配相应的目标地址信息。
S202:基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息。
进一步的,服务平台通过地址请求报文中携带的网络标识,确定相匹配的目标调度策略,其中,目标调度策略表示目标终端所属企业或企业分支所订阅的安全服务内容,将目标调度策略按照地址格式进行编译,以确定相应的资源订阅指示信息。
可选的,地址请求报文中还包括:目标终端相应的目标识别码,则在步骤S202中,可通过预设的认证密钥,对获得的目标终端的终端标识进行编码,生成相应的本地认证码,以基于目标识别码及本地认证码,确认终端身份,当本地认证码与目标识别码一致时,确认目标终端认证通过,则进一步的,基于网络标识,确定相应的目标调度策略,并获得相应的资源订阅指示信息。
S203:对终端标识、网络标识及资源订阅指示信息进行编码,获得相应的编码信息,并在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息。
具体的,由于IPv6地址通常表示为一个128bit的十六进制数组,因此,合理、高效的编址规则设计,有助于外部相关人员对目标地址信息进行快速、有效地识别,并达到高度管理的效果。
参阅下表1所示,RFC定义的IPv6全球单播地址编址格式可表示为:
表1
| 7bit | 1bit | 40bit | 16bit | 64bit |
| Prefix | L | Global ID | Subnet ID | Interface ID |
其中,前48bit为运营商固定分配地址,表示一个汇总的路由前缀,并与其后的16bit组织机构分配地址共同构成子网前缀,例如,规定2001:BCFF:FEA6::/48表示一个IPv6路由前缀,2001:BCFF:FEA6:6C01::/64表示一个IPv6子网前缀;最后的64bit为接口标识符分配地址,表示为未来网络适配器的MAC地址,例如0260:47FF:FEA4:2401等。
本申请实施例中,为明确目标终端的所属网络情况(例如,所属企业或所属企业分支等),以及目标终端的资源订阅指示信息(例如,所订阅的安全服务资源的指示信息),对全球单播地址中,16bit的组织结构分配地址以及64bit的接口标识分配地址进行重新划分定义,具体的,参阅下表2所示:
表2
| n bit | 16-n bit | m bit | 64-m bit |
| Enterprise ID | Enterprise Branch ID | Service ID | Terminal ID |
由表2可知,本申请实施例中,将16bit的组织机构分配地址进一步划分为n bit的企业编码以16-n bit及企业分支编码,以及将64bit接口标识符分配地址进一步划分为mbit资源订阅指示信息以及64-m bit的终端标识,在一种可选的实施例中,设定n为10,m为10,则所述多租户网络中,最多可对1024个企业,64个企业分支进行唯一性标识,其中,资源订阅指示信息则表示目标终端或者目标终端所属目标企业(企业分支),相应的订阅服务内容,例如,若资源订阅指示信息表示为0000000000,则表示所属目标企业(分支)无订阅服务,若资源订阅指示信息表示为1000000000,则表示所述目标企业(分支)订阅相应的第一项服务。
参阅图3所示,为上述编址规则的逻辑示意图,则基于上述重定义IPv6编址格式,对终端标识、网络标识及资源订阅指示信息进行编码,获得相应的16bit+64bit的编码信息,并在目标终端的48bit的原始地址信息中添加编码信息,获得相应的目标地址信息。
例如,在一种可选的实施例中,为目标终端预定义唯一DUID作为终端标识,以及确定目标终端相应的企业编码以及企业分支编码,基于企业订阅的安全服务,对资源订阅指示信息进行编码后,在原运营商固定分配地址的基础上,添加相应的编码信息,并采用IPv6地址压缩规则,进行压缩表示,从而为目标终端分配重定义包含有企业信息以及订阅服务信息的IPv6单播地址。
基于上述编码规则,为目标终端分配包含企业编码、企业分支编码、资源订阅编码以及终端标识编码的唯一目标地址信息,则通过对该目标地址信息进行解析,能够使服务平台决策相应的安全资源调度,同时,利用IPv6编址特性,有效满足了多租户网络环境下的安全服务隔离需求,从而进一步保证了网络数据安全。
S204:将目标地址信息发往目标终端。
进一步的,在目标终端的目标地址信息确定后,将相应的地址分配结果,记录在预设的分配记录文件中,其中,分配记录文件用于记录目标终端的终端标识与上述地址分配结果之间的对应关系,并将地址分配结果发送至目标终端,实现针对目标终端的单播地址分配。
参阅图4所示,为更清楚的对上述实施过程进行阐述、说明,提供一种地址分配的交互时序图,该流程主要用于介绍目标终端与用于地址分配的服务平台之间的交互逻辑,该方法的具体实施流程如下:
S401:目标终端向服务平台发送地址请求报文,其中,地址请求报文至少包括目标终端的终端标识。
S402:服务平台接收目标终端发送的地址请求报文,并基于地址请求报文中携带的网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略。
S403:服务平台对目标调度策略进行编译,获得相应的资源订阅指示信息并对终端标识、网络标识及资源订阅指示信息进行编码,获得相应的编码信息,以及在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息。
S404:服务平台将目标地址信息发往目标终端。
基于上述操作,为目标终端分配相应的终端地址后,参阅图5所示,本申请实施例提出一种安全资源调度方法,包括:
S501:接收目标终端发送的调度请求。
可选的,调度请求至少包含:目标终端的目标地址信息,即目标终端已分配的单播地址信息。
例如,在一种可选的实施例中,假设目标终端的调度请求中,包含定义的目标地址信息,为2001:410:::FB00:1400:5000:45FF。
S502:对目标地址信息进行解析,获得目标终端的终端标识,以及目标终端的资源订阅指示信息。
基于上述步骤所述的IPv6重定义编码规则,对确定的目标地址信息进行解析,具体的,对目标地址信息中,65+m~128bit的64-m bit信息进行解析,其中,设定m=10,则基于解析的54bit信息,获得目标终端的终端标识,以及对目标地址信息中,65~65+m bit的mbit信息进行解析,获得相应的资源订阅指示信息,在一种可选的实施例中,也可进一步对目标地址信息中,48~48+n bit的n bit信息进行解析,以及对48+n~64bit的16-n bit信息进行解析,获得相应的企业编码以及企业分支编码,以确定目标终端所属目标网络的网络标识,使得目标地址信息既能够对目标终端起到唯一性标识的作用,同时也能基于实际业务需求,解析出相应的业务服务数据,具有一定的可延展性。
S503:基于终端标识,从预设的安全资源池集合中,确定出目标终端相应的目标资源池,并基于资源订阅指示信息,从目标资源池中,选取相匹配的至少一个目标安全资源。
为了满足网络安全隔离的需求,保证不同企业、不同分支下的网络数据相互独立,通过预先设置的不同企业、不同分支的路由策略,为每个企业或企业分支分配独立的安全资源池,确保相应的资源调度在安全隔离的基础下进行,可选的,基于解析出的终端标识,确定相应的目标资源池。
在一种可能的实施例中,还可基于解析出的企业编码或者企业分支编码等,确定目标终端相应的目标资源池,本申请对此不作具体限制,进一步的,基于解析出的资源订阅指示信息,确定目标终端所属企业或企业分支的安全服务订阅内容,例如,若资源订阅指示信息为1000000001,则确定所属企业或企业分支订阅第一项及第十项安全服务,从而从目标资源池中,选取与第一项及第十项安全服务相匹配的各个目标安全资源。
S504:将至少一个目标安全资源发送至目标终端,实现目标终端的安全资源调度。
基于上述步骤,从目标终端的所属目标资源池中,确定待调度的至少一个目标安全资源,则将各个目标安全资源发送至目标终端,保证在网络安全隔离的基础下,实现了目标终端的安全资源调度,大大提升了资源的调度效率。
参阅图6a,图6b所示,为本申请实施例提供的场景示意图,其中,设置n=8,m=16,使目标地址信息中分别含有8bit的企业编号以及16bit的资源订阅指示信息,且所示目标终端所属A企业A分支,当进行安全资源调度时,所示目标终端发送携带目标地址信息的调度请求,则所示安全调度服务器对目标地址信息进行解析后,从相应的资源池中确定目标安全资源并返回目标终端,大大提升了安全资源的调度效率。
参阅图7所示,本申请实施例提供一种安全资源调度装置,包括通信模块701,解析模块702,匹配模块703以及调度模块704,其中:
通信模块701,用于接收目标终端发送的调度请求,其中,调度请求至少包含:目标终端的目标地址信息。
解析模块702,用于对目标地址信息进行解析,获得目标终端的终端标识,以及目标终端的资源订阅指示信息。
匹配模块703,用于基于终端标识,从预设的安全资源池集合中,确定出目标终端相应的目标资源池,并基于资源订阅指示信息,从目标资源池中,选取相匹配的至少一个目标安全资源。
调度模块704,用于将至少一个目标安全资源发送至目标终端,实现目标终端的安全资源调度。
在一种可选的实施例中,在接收目标终端发送的调度请求之前,通信模块701还用于:
接收目标终端发送的地址请求报文,地址请求报文至少包括:目标终端的终端标识,以及目标终端所属目标网络的网络标识。
基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息。
对终端标识、网络标识及资源订阅指示信息进行编码,获得相应的编码信息,并在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息。
将目标地址信息发往目标终端。
在一种可选的实施例中,地址请求报文还包括:目标终端的目标认证码;则基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息时,通信模块701具体用于:
基于终端标识及预设的认证密钥,生成相应的本地认证码。
当确定本地认证码与目标认证码一致时,基于网络标识,从预设的调度策略集合中,确定目标终端相应的目标调度策略,对目标调度策略进行编译,获得相应的资源订阅指示信息。
在一种可选的实施例中,在目标终端的原始地址信息中添加编码信息,获得相应的目标地址信息时,通信模块701具体用于:
在目标终端的原始地址信息中添加编码信息,获得相应的候选地址信息。
基于预设的压缩规则,对候选地址信息进行压缩,获得相应的目标地址信息。
在一种可选的实施例中,获得目标终端相应的目标地址信息之后,通信模块701还用于:
在预设的分配记录文件中,确定并记录与终端标识相应的地址分配结果。
在一种可选的实施例中,将至少一个目标安全资源发送至目标终端后,调度模块704还用于:
基于至少一个目标安全资源,以及目标地址信息中,网络标识,生成针对目标网络的资源调度日志。
与上述申请实施例基于同一发明构思,本申请实施例中还提供了一种电子设备,该电子设备可以用于安全资源调度。在一种实施例中,该电子设备可以是服务器,也可以是终端设备或其他电子设备。在该实施例中,电子设备的结构可以如图8所示,包括存储器801,通讯接口803以及一个或多个处理器802。
存储器801,用于存储处理器802执行的计算机程序。存储器801可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器801可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器801也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器801是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器801可以是上述存储器的组合。
处理器802,可以包括一个或多个中央处理单元(Central Processing Unit,CPU)或者为数字处理单元等。处理器802,用于调用存储器801中存储的计算机程序时实现上述安全资源调度方法。
通讯接口803用于与终端设备和其他服务器进行通信。
本申请实施例中不限定上述存储器801、通讯接口803和处理器802之间的具体连接介质。本申请实施例在图8中以存储器801和处理器802之间通过总线804连接,总线804在图8中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线804可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的任一种安全资源调度方法。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本申请的一个方面,本申请还提供了一种计算机程序产品,所述计算机程序产品在被计算机调用时,使得所述计算机执行如第一方面所述的方法。
本申请实施例提供一种安全资源调度方法、装置、电子设备及存储介质,基于预设的编址方法,为目标终端分配包含有资源订阅指示信息以及所属网络信息的目标地址信息,则在安全资源调度时,能够通过读取到的目标地址信息,解析获得相应的资源订阅指示信息以及终端标识,从而快速从终端标识相匹配的目标资源池中,确定出至少一个待调度的目标安全资源,基于上述方式,不仅大大提升了安全资源的调度效率,保证了多租户网络下,系统的安全处理及响应的效率,另一方面,这种利用IPv6编址特性的安全资源调度方式,避免了传统IPv4租户网络中,对边缘网关造成的强侵入性问题,在方便网络地址管理的同时,保证了多租户间的数据隔离,确保了同一租户网络下,各租户之间数据独立,进一步保障了多租户环境下的网络数据安全。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种安全资源调度方法,其特征在于,包括:
接收目标终端发送的调度请求,所述调度请求至少包含:所述目标终端的目标地址信息;
对所述目标地址信息进行解析,获得所述目标终端的终端标识,以及所述目标终端的资源订阅指示信息;
基于所述终端标识,从预设的安全资源池集合中,确定出所述目标终端相应的目标资源池,并基于所述资源订阅指示信息,从所述目标资源池中,选取相匹配的至少一个目标安全资源;
将所述至少一个目标安全资源发送至所述目标终端,实现所述目标终端的安全资源调度。
2.如权利要求1所述的方法,其特征在于,所述接收目标终端发送的调度请求之前,还包括:
接收目标终端发送的地址请求报文,所述地址请求报文至少包括:所述目标终端的终端标识,以及所述目标终端所属目标网络的网络标识;
基于所述网络标识,从预设的调度策略集合中,确定所述目标终端相应的目标调度策略,对所述目标调度策略进行编译,获得相应的资源订阅指示信息;
对所述终端标识、所述网络标识及所述资源订阅指示信息进行编码,获得相应的编码信息,并在所述目标终端的原始地址信息中添加所述编码信息,获得相应的目标地址信息;
将所述目标地址信息发往所述目标终端。
3.如权利要求2所述的方法,其特征在于,所述地址请求报文还包括:所述目标终端的目标认证码;
则所述基于所述网络标识,从预设的调度策略集合中,确定所述目标终端相应的目标调度策略,对所述目标调度策略进行编译,获得相应的资源订阅指示信息,所述方法包括:
基于所述终端标识及预设的认证密钥,生成相应的本地认证码;
当确定所述本地认证码与所述目标认证码一致时,基于所述网络标识,从预设的调度策略集合中,确定所述目标终端相应的目标调度策略,对所述目标调度策略进行编译,获得相应的资源订阅指示信息。
4.如权利要求2或3所述的方法,其特征在于,所述在所述目标终端的原始地址信息中添加所述编码信息,获得相应的目标地址信息,包括:
在所述目标终端的原始地址信息中添加所述编码信息,获得相应的候选地址信息;
基于预设的压缩规则,对所述候选地址信息进行压缩,获得相应的目标地址信息。
5.如权利要求2或3所述的方法,其特征在于,所述获得所述目标终端相应的目标地址信息之后,还包括:
在预设的分配记录文件中,确定并记录与所述终端标识相应的地址分配结果。
6.如权利要求1-3任一项所述的方法,其特征在于,所述将所述至少一个目标安全资源发送至所述目标终端后,还包括:
基于所述至少一个目标安全资源,以及所述目标地址信息中,所述网络标识,生成针对所述目标网络的资源调度日志。
7.一种安全资源调度装置,其特征在于,包括:
通信模块,用于接收目标终端发送的调度请求,所述调度请求至少包含:所述目标终端的目标地址信息;
解析模块,用于对所述目标地址信息进行解析,获得所述目标终端的终端标识,以及所述目标终端的资源订阅指示信息;
匹配模块,用于基于所述终端标识,从预设的安全资源池集合中,确定出所述目标终端相应的目标资源池,并基于所述资源订阅指示信息,从所述目标资源池中,选取相匹配的至少一个目标安全资源;
调度模块,用于将所述至少一个目标安全资源发送至所述目标终端,实现所述目标终端的安全资源调度。
8.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的安全资源调度方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一所述方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品在被计算机调用时,使得所述计算机执行如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590610.8A CN114244842B (zh) | 2021-12-23 | 2021-12-23 | 一种安全资源调度方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111590610.8A CN114244842B (zh) | 2021-12-23 | 2021-12-23 | 一种安全资源调度方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244842A true CN114244842A (zh) | 2022-03-25 |
| CN114244842B CN114244842B (zh) | 2023-07-25 |
Family
ID=80762072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111590610.8A Active CN114244842B (zh) | 2021-12-23 | 2021-12-23 | 一种安全资源调度方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244842B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578427A (zh) * | 2023-07-13 | 2023-08-11 | 北京中电普华信息技术有限公司 | 资源设备调度方法、电子设备和计算机可读介质 |
| CN117395139A (zh) * | 2023-12-13 | 2024-01-12 | 广州嘉为科技有限公司 | 一种双栈网络主机纳管系统、方法、电子设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006059216A1 (en) * | 2004-12-01 | 2006-06-08 | Nokia Corporation | Method and system for providing wireless data network interworking |
| CN101355488A (zh) * | 2007-07-25 | 2009-01-28 | 中国移动通信集团公司 | 网络发起的消息类业务中控制流量的方法和系统 |
| WO2016018578A1 (en) * | 2014-07-31 | 2016-02-04 | Qualcomm Incorporated | Method to prevent iv6 prefix exhaustion |
| US20160344687A1 (en) * | 2015-05-22 | 2016-11-24 | International Business Machines Corporation | Multi-tenant aware dynamic host configuration protocol (dhcp) mechanism for cloud networking |
| CN108156275A (zh) * | 2017-12-20 | 2018-06-12 | 北京金山云网络技术有限公司 | Ip地址分配方法、装置、电子设备及存储介质 |
| CN108183977A (zh) * | 2018-03-09 | 2018-06-19 | 清华大学 | 一种通过IPv6互联网动态分配IPv4公有地址的方法及装置 |
| US20180176176A1 (en) * | 2016-12-21 | 2018-06-21 | International Business Machines Corporation | Dns resolution of overlapping domains in a mutli-tenant computing environment |
| CN108429822A (zh) * | 2018-02-12 | 2018-08-21 | 新华三技术有限公司 | 通信系统、IPv6地址分配方法、装置及分布式网关 |
| CN110581902A (zh) * | 2019-09-06 | 2019-12-17 | 迈普通信技术股份有限公司 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
| CN111355731A (zh) * | 2020-02-28 | 2020-06-30 | 北京奇艺世纪科技有限公司 | 资源访问的方法、装置、资源访问系统、设备及存储介质 |
| CN111953809A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种管理资源地址的方法、装置、设备及系统 |
| CN112291382A (zh) * | 2020-09-29 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种ip地址分配方法及装置 |
| US20210173710A1 (en) * | 2019-12-09 | 2021-06-10 | Nutanix, Inc. | Security-aware scheduling of virtual machines in a multi-tenant infrastructure |
-
2021
- 2021-12-23 CN CN202111590610.8A patent/CN114244842B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006059216A1 (en) * | 2004-12-01 | 2006-06-08 | Nokia Corporation | Method and system for providing wireless data network interworking |
| CN101355488A (zh) * | 2007-07-25 | 2009-01-28 | 中国移动通信集团公司 | 网络发起的消息类业务中控制流量的方法和系统 |
| WO2016018578A1 (en) * | 2014-07-31 | 2016-02-04 | Qualcomm Incorporated | Method to prevent iv6 prefix exhaustion |
| US20160344687A1 (en) * | 2015-05-22 | 2016-11-24 | International Business Machines Corporation | Multi-tenant aware dynamic host configuration protocol (dhcp) mechanism for cloud networking |
| CN107615716A (zh) * | 2015-05-22 | 2018-01-19 | 国际商业机器公司 | 用于云联网的多租户感知动态主机配置协议(dhcp)机制 |
| US20180176176A1 (en) * | 2016-12-21 | 2018-06-21 | International Business Machines Corporation | Dns resolution of overlapping domains in a mutli-tenant computing environment |
| CN108156275A (zh) * | 2017-12-20 | 2018-06-12 | 北京金山云网络技术有限公司 | Ip地址分配方法、装置、电子设备及存储介质 |
| CN108429822A (zh) * | 2018-02-12 | 2018-08-21 | 新华三技术有限公司 | 通信系统、IPv6地址分配方法、装置及分布式网关 |
| CN108183977A (zh) * | 2018-03-09 | 2018-06-19 | 清华大学 | 一种通过IPv6互联网动态分配IPv4公有地址的方法及装置 |
| CN110581902A (zh) * | 2019-09-06 | 2019-12-17 | 迈普通信技术股份有限公司 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
| US20210173710A1 (en) * | 2019-12-09 | 2021-06-10 | Nutanix, Inc. | Security-aware scheduling of virtual machines in a multi-tenant infrastructure |
| CN111355731A (zh) * | 2020-02-28 | 2020-06-30 | 北京奇艺世纪科技有限公司 | 资源访问的方法、装置、资源访问系统、设备及存储介质 |
| CN111953809A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种管理资源地址的方法、装置、设备及系统 |
| CN112291382A (zh) * | 2020-09-29 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种ip地址分配方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578427A (zh) * | 2023-07-13 | 2023-08-11 | 北京中电普华信息技术有限公司 | 资源设备调度方法、电子设备和计算机可读介质 |
| CN116578427B (zh) * | 2023-07-13 | 2023-09-19 | 北京中电普华信息技术有限公司 | 资源设备调度方法、电子设备和计算机可读介质 |
| CN117395139A (zh) * | 2023-12-13 | 2024-01-12 | 广州嘉为科技有限公司 | 一种双栈网络主机纳管系统、方法、电子设备及存储介质 |
| CN117395139B (zh) * | 2023-12-13 | 2024-02-27 | 广州嘉为科技有限公司 | 一种双栈网络主机纳管系统、方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244842B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677405B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN114244842B (zh) | 一种安全资源调度方法、装置、电子设备及存储介质 | |
| CN111934918A (zh) | 对同一容器集群内的容器实例的网络隔离方法和装置 | |
| EP3664372A1 (en) | Network management method and related device | |
| CN108401037B (zh) | 用户终端和设备的绑定方法、装置和系统 | |
| CN113225407B (zh) | 一种设备标识信息管理方法、装置、电子设备及存储介质 | |
| CN110012118B (zh) | 一种提供网络地址转换nat服务的方法及控制器 | |
| CN102035899B (zh) | 基于IPv6的局域网内的地址确定方法与装置 | |
| CN115277138B (zh) | 一种强制访问控制方法及装置 | |
| CN106357838A (zh) | 一种ip地址的分配方法和装置 | |
| CN113163028B (zh) | 一种业务数据传输方法、装置及系统 | |
| CN104065688B (zh) | 一种调用底层服务的方法及装置 | |
| CN109634908A (zh) | 数据关联方法、数据处理设备及存储介质 | |
| US9929951B1 (en) | Techniques for using mappings to manage network traffic | |
| CN110545336B (zh) | Ip地址替换方法、装置、计算机设备和存储介质 | |
| CN111262771B (zh) | 虚拟私有云通信系统、系统配置方法及控制器 | |
| CN115314558B (zh) | 算力网络中的资源分配方法及装置、存储介质、电子设备 | |
| CN113014680A (zh) | 一种宽带接入的方法、装置、设备和存储介质 | |
| CN107547684B (zh) | 一种IPv6地址分配方法和装置 | |
| CN106936643B (zh) | 一种设备联动方法以及终端设备 | |
| CN115801727A (zh) | 域名解析方法、装置、电子设备和存储介质 | |
| CN105939278B (zh) | 一种流量处理方法及装置 | |
| CN112583949A (zh) | 一种vpc访问公网的方法和vpc设备 | |
| CN107820222B (zh) | 管理多租户的方法及装置 | |
| JP7524563B2 (ja) | Ipアドレス割付方法、ipアドレス割付装置、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240105 Address after: 610015 China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan Patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai 5 storey building Patentee before: NSFOCUS Technologies Group Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
| TR01 | Transfer of patent right |