CN117081823A - 一种机载多节点的通信控制方法 - Google Patents
一种机载多节点的通信控制方法 Download PDFInfo
- Publication number
- CN117081823A CN117081823A CN202311117376.6A CN202311117376A CN117081823A CN 117081823 A CN117081823 A CN 117081823A CN 202311117376 A CN202311117376 A CN 202311117376A CN 117081823 A CN117081823 A CN 117081823A
- Authority
- CN
- China
- Prior art keywords
- logic
- virtual
- network
- security domain
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 48
- 238000004891 communication Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000007246 mechanism Effects 0.000 claims abstract description 46
- 238000013507 mapping Methods 0.000 claims abstract description 44
- 238000002955 isolation Methods 0.000 claims abstract description 24
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 230000002776 aggregation Effects 0.000 claims description 8
- 238000004220 aggregation Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 238000000638 solvent extraction Methods 0.000 claims description 6
- 230000009466 transformation Effects 0.000 claims description 6
- 238000012797 qualification Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 16
- 230000008569 process Effects 0.000 abstract description 13
- 230000003993 interaction Effects 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 17
- 238000013461 design Methods 0.000 description 10
- 238000011217 control strategy Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000011426 transformation method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种机载多节点的通信控制方法,将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符,将其与虚拟逻辑子网标识符进行映射得到映射结果,根据映射结果和网络规划分别对业务系统、主控板卡、交换板卡以及机载网络接入点进行虚拟逻辑子网部署,通过业务系统监听虚拟网络接口业务请求并进行合法性判定,根据六元组信息并结合操作系统内核模块和用户空间接口实现路由/转发控制。能够解决终端设备与业务系统间交互过程无法实现跨节点通信隔离的问题,实现了端到端交互过程精细化管理,通过设计虚拟逻辑子网实现机载多节点通信过程端到端的网络隔离。
Description
技术领域
本申请涉及通信控制技术领域,具体而言,涉及一种机载多节点的通信控制方法。
背景技术
在终端设备接入机载网络后,由于非授权应用软件访问机载网络和业务系统时会造成系统资源浪费,同时也会伴随着非法用户/软件对业务系统进行篡改、窃取、劫持等攻击行为,使得机载业务系统在网络层面的安全性不能够得到保障。
因此,如何控制用户访问行为、防止非法用户访问业务系统,保障业务系统的安全性成为本领域技术人员不得不考虑的众多问题之一。
发明内容
本申请的目的在于,为了克服现有的技术缺陷,提供了一种机载多节点的通信控制方法,解决终端设备与业务系统间交互过程无法实现跨节点通信隔离的问题,实现了端到端交互过程精细化、量化管理。
本申请目的通过下述技术方案来实现:
第一方面,本申请提出了一种机载多节点的通信控制方法,所述方法应用于机载网络架构,所述机载网络架构包括机载路由/转发设备、机载网络接入点、终端设备以及业务系统,所述机载路由/转发设备包括主控板卡和交换板卡,所述方法包括:
将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符;
按照标识符映射机制将所述逻辑安全域标识符与虚拟逻辑子网标识符进行映射得到映射结果;
根据所述映射结果和网络规划分别对所述业务系统、所述主控板卡、所述交换板卡以及所述机载网络接入点进行虚拟逻辑子网部署;
在部署完成之后,通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求,对所述虚拟网络接口业务请求进行合法性判定;
在判定合格的情况下,根据六元组信息,结合操作系统内核模块和用户空间接口对所述机载路由/转发设备中的业务流进行转发实现路由/转发控制。
在一种可能的实施方式中,所述逻辑安全域划分机制的规则为:
根据业务系统访问属性为每个终端设备定义逻辑安全域,逻辑安全域使用全机的数值标识,所述数值标识为逻辑安全域标识符;
若所述逻辑安全域标识符的数量超限,则对所述逻辑安全域标识符对应的逻辑安全域进行分组合并;
若在分组合并之后超限,将机载网络分隔为多个物理隔离子网,对所述物理隔离子网进行逻辑安全域划分;
若终端设备具备相同的业务系统访问属性,将所述终端设备划分至同一逻辑安全域组,所述逻辑安全域组使用同一个逻辑安全域标识符。
在一种可能的实施方式中,当所述终端设备和所述机载网络接入点为有线连接时,根据终端设备连接的固定式总线端口来确定终端设备所属的逻辑安全域;
当所述终端设备和所述机载网络接入点为无线连接时,根据终端设备连接的无线信号标识符来确定终端设备所属的逻辑安全域。
在一种可能的实施方式中,所述标识符映射机制的规则为:
采用虚拟逻辑子网标识符表示虚拟逻辑子网;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围一致,将逻辑安全域标识符作为虚拟逻辑子网标识符使用;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且无重叠数值区间时,采用线性变换将逻辑安全域标识符映射至虚拟逻辑子网标识符;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且有重叠数值区间时,采用自定义变换将逻辑安全域标识符映射至虚拟逻辑子网标识符。
在一种可能的实施方式中,根据所述映射结果和网络规划对所述业务系统进行部署的步骤,包括:
当所述业务系统承载单个虚拟逻辑子网业务且处于非虚拟化部署方式时,将所述业务系统设置为主机模式并与所述交换板卡连接;
当所述业务系统承载单个虚拟逻辑子网业务且处于虚拟化部署方式时,将所述业务系统驻留在虚拟化容器中,并使用虚拟网络接口与所述主控板卡的桥节点进行绑定;
当所述业务系统承载多个虚拟逻辑子网业务且处于非虚拟化部署方式时,将所述业务系统设置为汇聚/混杂模式并与所述交换板卡连接;
当所述业务系统承载多个虚拟逻辑子网业务且处于虚拟化部署方式时,使用多个虚拟网络接口将虚拟化容器中的业务系统与主控板卡的桥节点进行绑定。
在一种可能的实施方式中,根据所述映射结果和网络规划对所述主控板卡进行部署的步骤,包括:
在所述主控板卡上创建虚拟逻辑子网所对应的桥节点;
在所述主控板卡的物理网络接口上创建虚拟逻辑子网所对应的虚拟网络接口;
将虚拟网络接口和桥节点作为虚拟逻辑子网的网关节点进行部署。
在一种可能的实施方式中,根据所述映射结果和网络规划对所述交换板卡进行部署的步骤,包括:
将交换板卡与主控板卡之间的物理网络接口设置为汇聚/混杂模式;
将交换板卡和机载无线接入点之间的端口配置虚拟逻辑子网标识符,所述虚拟逻辑子网标识符与主控板卡的虚拟逻辑子网标识符保持一致。
在一种可能的实施方式中,根据所述映射结果和网络规划对所述机载网络接入点进行部署的步骤,包括:
在所述机载网络接入点以有线方式接入终端设备且承载多个虚拟逻辑子网业务的情况下,通过所述机载网络接入点接收带有逻辑子网标识符的报文;
在所述机载网络接入点以无线方式接入终端设备且交互单个虚拟逻辑子网业务时,将连接方式设置为主机模式,在交互多个虚拟逻辑子网业务时将连接方式设置为汇聚/混杂模式。
在一种可能的实施方式中,通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求并对所述业务请求进行处理的步骤,包括:
通过所述业务系统检查虚拟网络接口发送的业务请求是否来自对应的逻辑虚拟子网;
若不是来自对应的逻辑虚拟子网则丢弃业务请求。
在一种可能的实施方式中,所述六元组信息包括源网络地址、目的网络地址、源端口、目的端口、传输层协议类型以及报文优先级。
上述本申请主方案及其各进一步选择方案可以自由组合以形成多个方案,均为本申请可采用并要求保护的方案;且本申请,(各非冲突选择)选择之间以及和其他选择之间也可以自由组合。本领域技术人员在了解本申请方案后根据现有技术和公知常识可明了有多种组合,均为本申请所要保护的技术方案,在此不做穷举。
本申请的有益效果在于:
第一、逻辑安全域划分机制、逻辑安全域与虚拟逻辑子网标识符映射机制,解决终端设备与业务系统间交互过程无法实现跨节点通信隔离的问题,实现了端到端交互过程精细化、量化管理。
第二、端到端的虚拟逻辑子网设计和管理机制、业务系统分域处理机制,通过设计虚拟逻辑子网(VLSN)打破在单设备上实施隔离无法实现端到端通信隔离的限制,解决了终端设备与业务系统间跨多节点通信过程安全隔离、非法用户篡改、窃取、劫持等网络安保等问题,实现了机载多节点通信过程端到端的网络隔离,提升了通信安全性。
第三、基于业务流的通信转发控制机制,针对有状态的路由/转发过程,减少了机载路由/转发设备为维护通信会话状态的额外资源消耗,实现了内核级快速路由/转发,降低了硬件资源消耗,提升了路由/转发效率。
附图说明
图1示出了本申请实施例提出的机载网络架构的结构示意图。
图2为本申请实施例提出的非虚拟化部署方式的结构示意图。
图3为本申请实施例提出的虚拟化部署方式的结构示意图。
图4示出了本申请实施例提出的机载多节点的通信控制方法的流程示意图。
图5示出了本申请实施例提出的虚拟化部署方式的逻辑安全域划分示意图。
图6示出了本申请实施例提出的业务系统承载单个虚拟逻辑子网业务的示意图。
图7示出了本申请实施例提出的业务系统承载多个虚拟逻辑子网业务的示意图。
图8示出了本申请实施例提出的主控板卡桥节点、虚接口划分方式的示意图。
图9示出了本申请实施例提出的交换板卡端口划分方式的示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了满足民机项目控制用户的访问行为,防止非法用户访问业务系统,保障业务系统的安全需求,本申请实施例提出了一种机载多节点的通信控制方法,能够实现从机载网络接入点到业务系统间端到端的通信业务流隔离和基于业务流的精细化受控转发。在解决终端设备接入机载网络之后,还能够解决非授权应用软件访问机载网络和业务系统造成的系统资源浪费,阻止了非法用户/软件访问业务系统进行篡改、窃取、劫持等攻击行为,从网络层面提升了机载业务系统的安全性。
请参照图1,图1示出了本申请实施例提出的机载网络架构的结构示意图,包括机载路由/转发设备、机载网络接入点、终端设备以及业务系统,机载路由/转发设备包括主控板卡和交换板卡,机载网络接入点与终端设备能够通过有线/无线的方式连接。在有线连接时经固定式总线端口接入机载网络(包括但不限于以太网),在无线连接时经机载无线接入点接入机载网络(包括但不限于WiFi)。
机载网络架构的部署方式有两种,分别为非虚拟化部署方式和虚拟化部署方式。图2为本申请实施例提出的非虚拟化部署方式的结构示意图,图3为本申请实施例提出的虚拟化部署方式的结构示意图,在非虚拟化部署方式中存在多个业务系统,每个业务系统均放置于独立设备中,而在虚拟化部署方式中,每个业务系统分别位于主控板卡中的虚拟化容器中,经主控板卡的桥节点和虚拟网络接口与其他设备连接。
本申请实施例提出的机载多节点的通信控制方法结合非虚拟化部署方式和虚拟化部署方式,在虚拟化部署方式中,交换板卡与机载网络接入点进行有线连接(包括但不限于以太网),还可以经设备内部高速总线与主控板卡及驻留在虚拟化容器中业务系统连接。主控板卡除数据路由和转发控制外,提供虚拟化容器所需计算、存储及网络等资源。经设备内部高速总线与交换板卡连接。
在非虚拟化部署方式中,交换板卡与机载网络接入点、业务系统设备进行有线连接(包括但不限于以太网),经设备内部高速总线与主控板卡连接。主控板卡用于数据路由和转发控制的功能。
因此,民机机载业务系统具备分布式部署特性、终端设备的接入方式具备有线/无线多样性、终端设备与业务系统间存在跨多节点通信网络架构。
为满足控制用户访问行为、防止非法用户访问业务系统,保障机载业务系统安全的需求,请参考图4,图4示出了本申请实施例提出的机载多节点的通信控制方法的流程示意图,应用于上述的机载网络架构中,该方法主要采用五个机制,分别为逻辑安全域划分机制、逻辑安全域与虚拟逻辑子网标识符映射机制、端到端虚拟逻辑子网设计和管理机制、业务系统分域处理机制、基于业务流的通信转发控制机制,每个机制对应着一个步骤。通信控制方法包括以下各个步骤:
S100、将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符。
其中逻辑安全域划分机制的规则为:
根据终端设备对业务系统访问属性定义逻辑安全域,逻辑安全域使用全机的数值标识,数值标识为逻辑安全域标识符;
若逻辑安全域标识符的数量超限,则对逻辑安全域标识符对应的逻辑安全域进行分组合并;
若在分组合并之后超限,将机载网络分隔为多个物理隔离子网,对物理隔离子网进行逻辑安全域划分;
若终端设备具备相同的业务系统访问属性,将终端设备划分至同一逻辑安全域组,逻辑安全域组使用同一个逻辑安全域标识符。
对基于终端设备访问的业务系统按照接入机载网络的方式进行逻辑安全域划分,是为了将终端设备与业务系统间交互的业务流进行量化区分和管理。
在逻辑安全域划分机制中,需要为每个接入机载网络的终端设备定义独立的逻辑安全域(LSZ:Logical Safety Zone),逻辑安全域使用全机唯一的数值标识(逻辑安全域标识符LSZ_ID),单架飞机逻辑安全域标识符(LSZ_ID)的数量由虚拟逻辑子网标识符(VLSN_ID)数量进行限制,若超限,需对逻辑安全域实施分组/合并,若分组/合并后仍超限,需将机载网络划分为若干物理隔离子网,面向每个物理隔离子网进行逻辑安全域划分。具备相同业务系统访问属性的终端设备允许划分至同一个逻辑安全域组,逻辑安全域组仍使用LSZ_ID标识。不同接入方式(有线/无线)终端设备原则上划分至不同逻辑安全域。
可选的,当终端设备和机载网络接入点为有线连接时,根据终端设备连接的固定式总线端口来确定终端设备所属的逻辑安全域;
当终端设备和机载网络接入点为无线连接时,根据终端设备连接的无线信号标识符来确定终端设备所属的逻辑安全域。
在有线方式连接时,根据终端设备连接的固定式总线端口来确定其所属的逻辑安全域,例如,以太网有线接入时,为该固定式总线端口定义全机唯一标识(PORT_ID),建立PORT_ID到LSZ_ID映射关系来划分该终端设备所属逻辑安全域,值得说明的是,PORT_ID可指代单个物理接口,也可指代一组具备交换功能的物理接口。
在无线方式连接时,根据终端设备连接的无线信号标识符来确定其所属的逻辑安全域,例如,WiFi无线接入时,建立服务集标识符(SSID)到LSZ_ID的映射关系来划分该终端设备所属的逻辑安全域。
此外,本申请实施例还能够按照不同接入方式、不同终端设备划分至相同逻辑安全域、按照相同终端设备的不同网络接口划分至不同逻辑安全域。任何业务系统均允许为多个逻辑安全域提供服务。
按照虚拟化部署方式进行部署时,以终端设备采用以太网有线、WiFi无线接入为例,对逻辑安全域划分机制进行描述。除非特殊说明,非虚拟化部署方式逻辑安全域划分机制与虚拟化部署方式一致。请参照图5,图5示出了本申请实施例提出的虚拟化部署方式的逻辑安全域划分示意图,并结合表1:
表1
以终端设备001为例,其与1端口进行通信,1端口通过P1连接至背板总线,通过交换板、虚接口1、桥节点1与虚拟化容器Service_00A进行连接来划分逻辑安全域,其余终端设备的逻辑安全域划分与终端设备001相同,在此并不进行详细说明。
S200、按照标识符映射机制将逻辑安全域标识符与虚拟逻辑子网标识符进行映射得到映射结果。
标识符映射机制的规则为:
采用虚拟逻辑子网标识符表示虚拟逻辑子网;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围一致,将逻辑安全域标识符作为虚拟逻辑子网标识符使用;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且无重叠数值区间时,采用线性变换将逻辑安全域标识符映射至虚拟逻辑子网标识符;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且有重叠数值区间时,采用自定义变换将逻辑安全域标识符映射至虚拟逻辑子网标识符。
利用基于逻辑安全域划分机制得到的逻辑安全域标识符能够计算出终端设备与业务系统间业务流种类(需要进行分域隔离的业务流数量)。本申请实施例通过设计虚拟逻辑子网(VLSN)打破在单设备上实施隔离无法实现端到端通信隔离的限制,实现机载网络接入点、交换板卡、主控板卡、业务系统网络统一设计和管理。虚拟逻辑子网实现技术包括但不限于IEEE802.1Q协议定义的虚拟局域网(VLAN)技术。
在逻辑安全域与虚拟逻辑子网标识符映射机制中,每个虚拟逻辑子网采用虚拟逻辑子网标识符(VLSN_ID)表示,VLSN_ID数值范围由实现虚拟逻辑子网的具体技术而定;
当逻辑安全域标识符(LSZ_ID)与VLSN_ID数值范围一致时,将LSZ_ID作为VLSN_ID使用;
当LSZ_ID与VLSN_ID数值范围不一致且无重叠数值区间时,采用线性变换方法将LSZ_ID映射到VLSN_ID;
当LSZ_ID与VLSN_ID数值范围不一致且有重叠数值区间时,采用自定义方式将LSZ_ID映射到VLSN_ID数值范围,映射过程需保证LSZ_ID与VLSN_ID间映射的唯一性。
映射完成后,需进行虚拟逻辑子网(VLSN)网络地址规划,每个VLSN必须有独立的网络地址段并且禁止重叠。根据虚拟逻辑子网具体实现技术,网络地址段定义方式各异,如采用VLAN技术,则网络地址规划遵循IP协议的定义方式。
S300、根据映射结果和网络规划分别对业务系统、主控板卡、交换板卡以及机载网络接入点进行虚拟逻辑子网部署。
端到端虚拟逻辑子网设计和管理机制:基于逻辑安全域标识符(LSZ_ID)与虚拟逻辑子网标识符(VLSN_ID)间映射结果,能够进行对全机虚拟逻辑子网(VLSN)进行标识,按照端到端虚拟逻辑子网设计和管理机制对业务系统、主控板卡、交换板卡、机载网络接入点等四类节点进行部署。
可选的,根据映射结果和网络规划对业务系统进行部署的步骤,包括:
当业务系统承载单个虚拟逻辑子网业务且处于非虚拟化部署方式时,将业务系统设置为主机模式并与交换板卡连接;
当业务系统承载单个虚拟逻辑子网业务且处于虚拟化部署方式时,将业务系统驻留在虚拟化容器中,并使用虚拟网络接口与主控板卡的桥节点进行绑定;
当业务系统承载多个虚拟逻辑子网业务且处于非虚拟化部署方式时,将业务系统设置为汇聚/混杂模式并与交换板卡连接;
当业务系统承载多个虚拟逻辑子网业务且处于虚拟化部署方式时,使用多个虚拟网络接口将虚拟化容器中的业务系统与主控板卡的桥节点进行绑定。
当承载单个虚拟逻辑子网业务时,在非虚拟化部署方式下业务系统设备必须以主机模式(即:报文不携带VLSN_ID)连接至交换板卡。例如采用以太网通信,必须采用Access模式;在虚拟化部署方式下将业务系统驻留在虚拟化容器中,容器需使用虚拟网络接口(Virtual Addr_A)与主控板卡上桥节点绑定,如图6所示,图6示出了本申请实施例提出的业务系统承载单个虚拟逻辑子网业务的示意图。
当承载多个虚拟逻辑子网业务时,在非虚拟化部署方式中业务系统设备必须以汇聚/混杂模式(即:报文携带VLSN_ID)连接至交换板卡,如果采用以太网通信,必须采用Trunk/Hybrid模式;在虚拟化部署方式中驻留在虚拟化容器中的业务系统需使用多个虚拟网络接口(Virtual Addr_A、Virtual Addr_B、Virtual Addr_C)分别与主控板卡各桥节点绑定,各虚拟网络接口分别处理来自不同虚拟逻辑子网的业务,如图7所示,图7示出了本申请实施例提出的业务系统承载多个虚拟逻辑子网业务的示意图。
可选的,根据映射结果和网络规划对主控板卡进行部署的步骤,包括:
在主控板卡上创建虚拟逻辑子网所对应的桥节点;
在主控板卡的物理网络接口上创建虚拟逻辑子网所对应的虚拟网络接口;
将虚拟网络接口和桥节点作为虚拟逻辑子网的网关节点进行部署。
除非特殊说明,虚拟逻辑子网(VLSN)设计和管理机制同时适用于非虚拟化、虚拟化部署方式。请参照图8,图8示出了本申请实施例提出的主控板卡桥节点、虚接口划分方式的示意图。主控板卡虚拟逻辑子网设计和管理机制遵循如下规则:
第一、主控板卡需创建各VLSN对应的桥节点,桥节点可作为端到端VLSN的网关节点,拥有该VLSN所属网络的地址,如桥节点#1所示;
第二、主控板卡物理网络接口需创建每个VLSN对应的虚拟网络接口(虚接口)并与桥节点绑定,虚接口可在单个或多个物理网络接口创建,如虚接口#1、#2在eth0创建,虚接口#3在eth1创建;
第三、虚接口和桥节点均可作为VLSN网关节点,原则上,选取其一作为网关节点即可,但允许二者同时作为网关节点,均拥有VLSN所属网络的地址,如#1、#2、#3所示;
第四、主控板卡与交换板卡间物理网络接口连接方式必须为汇聚/混杂模式(即:报文携带VLSN_ID),如物理网络接口eth0、eth1与交换板卡间连接关系所示;
第五、主控板卡桥节点、虚接口数量均不允许超过实现VLSN所采用的具体技术限制。
可选的,根据映射结果和网络规划对交换板卡进行部署的步骤,包括:
将交换板卡与主控板卡之间的物理网络接口设置为汇聚/混杂模式;
将交换板卡和机载无线接入点之间的端口配置虚拟逻辑子网标识符,虚拟逻辑子网标识符与主控板卡的虚拟逻辑子网标识符保持一致。
除非特殊说明,虚拟逻辑子网(VLSN)设计和管理机制同时适用于非虚拟化、虚拟化部署方式。请参照图9,图9示出了本申请实施例提出的交换板卡端口划分方式的示意图,交换板卡虚拟逻辑子网设计和管理机制遵循如下规则:
第一、交换板卡与主控板卡间物理网络接口连接方式必须为汇聚/混杂模式(即:报文中携带VLSN_ID),交换板卡与主控板卡eth0、eth1间连接模式;
第二、交换板卡与固定式总线端口、机载无线接入点间端口需配置为其所属VLSN_ID,若该端口只交互单个VLSN业务必须为主机模式(即:报文不携带VLSN_ID),若该端口交互多个VLSN业务必须为汇聚/混杂模式(即:报文携带VLSN_ID)。如图6Port_1~Port_4所示;
第三、交换板卡配置的各VLSN_ID必须与主控板卡同一虚拟逻辑子网的VLSN_ID一致。
可选的,根据映射结果和网络规划对机载网络接入点进行部署的步骤,包括:
在机载网络接入点以有线方式接入终端设备且承载多个虚拟逻辑子网业务的情况下,通过机载网络接入点接收带有逻辑子网标识符的报文;
在机载网络接入点以无线方式接入终端设备且交互单个虚拟逻辑子网业务时,将连接方式设置为主机模式,在交互多个虚拟逻辑子网业务时将连接方式设置为汇聚/混杂模式。
若以有线方式接入且承载单个虚拟逻辑子网业务时,终端设备网络接口无需任何配置;若以有线方式接入且承载多个虚拟逻辑子网业务时,终端设备发送报文应携带所属虚拟逻辑子网标识符(VLSN_ID),且必须与交换板上同一虚拟逻辑子网VLSN_ID一致。
若以无线方式接入时,机载无线接入点与交换板卡间若只交互单个虚拟逻辑子网业务则必须为主机模式(交互报文中不携带VLSN_ID),若交换多个虚拟逻辑子网业务则必须为汇聚/混杂模式(报文中携带VLSN_ID);机载无线接入点的无线侧应根据不同的无线信号标识符配置为不同的VLSN,且其VLSN_ID必须与交换板卡上同一虚拟逻辑子网的VLSN_ID一致。
S400、在部署完成之后,通过业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求,对虚拟网络接口业务请求进行合法性判定。
可选的,通过业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求并对业务请求进行处理的步骤,包括:
通过业务系统检查虚拟网络接口发送的业务请求是否来自对应的逻辑虚拟子网;
若不是来自对应的逻辑虚拟子网则丢弃业务请求。
业务系统分域处理机制:终端设备与业务系统间交互数据被划分为独立的虚拟逻辑子网业务流。业务系统在处理来自虚拟逻辑子网请求时,应仅处理合法业务流并丢弃非法业务流。除非特殊说明,下述规则同时适用于非虚拟化部署方式和虚拟化部署方式。
在非虚拟化部署方式中,业务系统驻留的设备应根据其服务的虚拟逻辑子网创建不同的虚拟网络接口,各虚拟网络接口分别与设备物理网络接口绑定,虚拟网络接口的标识符必须与其服务的虚拟逻辑子网标识符(VLSN_ID)一致。
在虚拟化部署方式中,业务系统驻留的容器应根据其服务的虚拟逻辑子网在容器内创建不同的虚拟网络接口,各虚拟网络接口必须与主控板卡上与其在同一个虚拟逻辑子网的桥节点建立绑定关系。
业务系统应根据其服务的虚拟逻辑子网,监听对应的虚拟网络接口业务请求并处理。不同虚拟网络接口报文所携带的源端网络地址应当与该虚拟逻辑子网(VLSN)所属网络地址段一致,若请求报文源地址与该VLSN所属网段地址不一致,则认为该报文非法,业务系统软件应丢弃该请求报文。
S500、在判定合格的情况下,在判定合格的情况下,根据六元组信息,结合操作系统内核模块和用户空间接口对所述机载路由/转发设备中的业务流进行转发实现路由/转发控制。
基于业务流的通信转发控制机制:经机载路由/转发设备转发的数据根据其六元组信息被区分为独立业务流,六元组信息包括源网络地址、目的网络地址、源端口、目的端口、传输层协议类型以及报文优先级。其中源网络地址(src_addr):不同虚拟逻辑子网(VLSN)分配了不同网络地址段且在同一架飞机内部不同VLSN的网络地址段不允许出现重叠;目的网络地址(dst_addr):同源网络地址描述;源端口(src_port):报文传输层头部携带的源端口信息,端口取值范围受其实现虚拟逻辑子网的具体技术确定;目的端口(dst_port):同源端口描述;传输层协议类型:传输层协议类型受实现虚拟逻辑子网的具体技术确定;报文优先级:报文头部的优先级字段用于标识该报文传输优先级,取值范围受其实现虚拟逻辑子网的具体技术确定。
基于前述机制完成划分的六元组信息,利用操作系统netfilter内核模块及其用户空间接口实现内核级路由/转发控制,包括对各类表、不同表中各类链的操作。其中:
表:含raw表、mangle表、filter表、nat表;
链,其中:raw表:含PREROUTING、OUTPUT链;
mangle表:含PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING链;
filter表:含INPUT、OUTPUT、FORWARD链;
nat表:含PREROUTING、OUTPUT、POSTROUTING链。
基于业务流的通信转发控制机制包含两类控制行为:一方面是机载路由/转发设备中业务系统发送的数据;另一方面是机载路由/转发设备从外部接收、需转发至其它设备的数据。基于业务流的通信转发控制机制遵循如下规则:
raw表:PREROUTING、OUTPUT链不进行任何转发控制,采用全业务流放行策略;
mangle表:PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING链不进行任何转发控制,实施全业务流放行策略;
filter表:
INPUT链:需在INPUT主链上定义报文目的地址为机载路由/转发设备的转发控制策略。原则上,机载路由/转发设备是数据的路由/转发节点,其他设备无需与该节点中的系统交互,因此,主链建议实施全业务流丢弃策略;允许在INPUT链上创建自定义子链,对报文目的地址为机载路由/转发设备的特定业务流(如系统管理/维护等业务流)在子链上实施放行策略。
FORWARD链:为实现转发控制精细化管理,避免未知/非法业务流经机载路由/转发设备转发,原则上,FORWARD主链建议实施全业务流丢弃策略;允许在FORWARD链上创建自定义子链,对系统已知/合法业务流在子链上实施放行策略。
OUTPUT链需在OUTPUT链上定义机载路由/转发设备上业务系统触发的报文转发控制策略。原则上,机载路由/转发设备是报文路由/转发节点,其他设备无需与该节点中的系统交互,因此,主链建议实施全业务流丢弃策略;允许在OUTPUT链上创建自定义子链,对机载路由/转发设备上业务系统触发的特定业务流在子链上实施放行策略,此转发控制策略用于与filter表INPUT链自定义子链转发控制策略相匹配。
nat表:PREROUTING、OUTPUT链不进行任何转发控制,实施全业务流放行策略;允许POSTROUTING链上创建自定义子链,主链实施全业务流放行策略。自定义子链上,实施基于业务流六元组的源地址转换(SNAT)转发控制策略;
转发控制策略制定规则:
需为虚拟逻辑子网(VLSN)业务流分别制定转发控制策略;
自定义子链的转发控制策略须充分利用前述各类信息字段,原则是使控制的业务流为该虚拟逻辑子网的最小集;
需综合利用业务流六元组、报文接收网络接口名称、报文发送网络接口名称、硬件地址等信息制定转发控制策略;
需支持业务流六元组、报文接收网络接口名称、报文发送网络接口名称、硬件地址等字段模糊匹配,如,使用“*”表示所有值,使用“1025-6042”表示取值范围,使用“tyepA、typeB、typeC”表示枚举值。
与现有技术相比,本申请实施例具有以下有益效果:
第一、逻辑安全域划分机制、逻辑安全域与虚拟逻辑子网标识符映射机制,解决终端设备与业务系统间交互过程无法实现跨节点通信隔离的问题,实现了端到端交互过程精细化、量化管理。
第二、端到端的虚拟逻辑子网设计和管理机制、业务系统分域处理机制,通过设计虚拟逻辑子网(VLSN)打破在单设备上实施隔离无法实现端到端通信隔离的限制,解决了终端设备与业务系统间跨多节点通信过程安全隔离、非法用户篡改、窃取、劫持等网络安保等问题,实现了机载多节点通信过程端到端的网络隔离,提升了通信安全性。
第三、基于业务流的通信转发控制机制,针对有状态的路由/转发过程,减少了机载路由/转发设备为维护通信会话状态的额外资源消耗,实现了内核级快速路由/转发,降低了硬件资源消耗,提升了路由/转发效率。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种机载多节点的通信控制方法,其特征在于,所述方法应用于机载网络架构,所述机载网络架构包括机载路由/转发设备、机载网络接入点、终端设备以及业务系统,所述机载路由/转发设备包括主控板卡和交换板卡,所述方法包括:
将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符;
按照标识符映射机制将所述逻辑安全域标识符与虚拟逻辑子网标识符进行映射得到映射结果;
根据所述映射结果和网络规划分别对所述业务系统、所述主控板卡、所述交换板卡以及所述机载网络接入点进行虚拟逻辑子网部署;
在部署完成之后,通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求,对所述虚拟网络接口业务请求进行合法性判定;
在判定合格的情况下,根据六元组信息,结合操作系统内核模块和用户空间接口对所述机载路由/转发设备中的业务流进行转发实现路由/转发控制。
2.如权利要求1所述的通信控制方法,其特征在于,所述逻辑安全域划分机制的规则为:
根据终端设备对业务系统访问属性定义逻辑安全域,逻辑安全域使用全机的数值标识,所述数值标识为逻辑安全域标识符;
若所述逻辑安全域标识符的数量超限,则对所述逻辑安全域标识符对应的逻辑安全域进行分组合并;
若在分组合并之后超限,将机载网络分隔为多个物理隔离子网,对所述物理隔离子网进行逻辑安全域划分;
若终端设备具备相同的业务系统访问属性,将所述终端设备划分至同一逻辑安全域组,所述逻辑安全域组使用同一个逻辑安全域标识符。
3.如权利要求2所述的通信控制方法,其特征在于,当所述终端设备和所述机载网络接入点为有线连接时,根据终端设备连接的固定式总线端口来确定终端设备所属的逻辑安全域;
当所述终端设备和所述机载网络接入点为无线连接时,根据终端设备连接的无线信号标识符来确定终端设备所属的逻辑安全域。
4.如权利要求1所述的通信控制方法,其特征在于,所述标识符映射机制的规则为:
采用虚拟逻辑子网标识符表示虚拟逻辑子网;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围一致,将逻辑安全域标识符作为虚拟逻辑子网标识符使用;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且无重叠数值区间时,采用线性变换将逻辑安全域标识符映射至虚拟逻辑子网标识符;
当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且有重叠数值区间时,采用自定义变换将逻辑安全域标识符映射至虚拟逻辑子网标识符。
5.如权利要求1所述的通信控制方法,其特征在于,根据所述映射结果和网络规划对所述业务系统进行部署的步骤,包括:
当所述业务系统承载单个虚拟逻辑子网业务且处于非虚拟化部署方式时,将所述业务系统设置为主机模式并与所述交换板卡连接;
当所述业务系统承载单个虚拟逻辑子网业务且处于虚拟化部署方式时,将所述业务系统驻留在虚拟化容器中,并使用虚拟网络接口与所述主控板卡的桥节点进行绑定;
当所述业务系统承载多个虚拟逻辑子网业务且处于非虚拟化部署方式时,将所述业务系统设置为汇聚/混杂模式并与所述交换板卡连接;
当所述业务系统承载多个虚拟逻辑子网业务且处于虚拟化部署方式时,使用多个虚拟网络接口将虚拟化容器中的业务系统与主控板卡的桥节点进行绑定。
6.如权利要求1所述的通信控制方法,其特征在于,根据所述映射结果和网络规划对所述主控板卡进行部署的步骤,包括:
在所述主控板卡上创建虚拟逻辑子网所对应的桥节点;
在所述主控板卡的物理网络接口上创建虚拟逻辑子网所对应的虚拟网络接口;
将虚拟网络接口和桥节点作为虚拟逻辑子网的网关节点进行部署。
7.如权利要求1所述的通信控制方法,其特征在于,根据所述映射结果和网络规划对所述交换板卡进行部署的步骤,包括:
将交换板卡与主控板卡之间的物理网络接口设置为汇聚/混杂模式;
将交换板卡和机载无线接入点之间的端口配置虚拟逻辑子网标识符,所述虚拟逻辑子网标识符与主控板卡的虚拟逻辑子网标识符保持一致。
8.如权利要求1所述的通信控制方法,其特征在于,根据所述映射结果和网络规划对所述机载网络接入点进行部署的步骤,包括:
在所述机载网络接入点以有线方式接入终端设备且承载多个虚拟逻辑子网业务的情况下,通过所述机载网络接入点接收带有逻辑子网标识符的报文;
在所述机载网络接入点以无线方式接入终端设备且交互单个虚拟逻辑子网业务时,将连接方式设置为主机模式,在交互多个虚拟逻辑子网业务时将连接方式设置为汇聚/混杂模式。
9.如权利要求1所述的通信控制方法,其特征在于,通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求并对所述业务请求进行处理的步骤,包括:
通过所述业务系统检查虚拟网络接口发送的业务请求是否来自对应的逻辑虚拟子网;
若不是来自对应的逻辑虚拟子网则丢弃业务请求。
10.如权利要求1所述的通信控制方法,其特征在于,所述六元组信息包括源网络地址、目的网络地址、源端口、目的端口、传输层协议类型以及报文优先级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311117376.6A CN117081823A (zh) | 2023-08-31 | 2023-08-31 | 一种机载多节点的通信控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311117376.6A CN117081823A (zh) | 2023-08-31 | 2023-08-31 | 一种机载多节点的通信控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117081823A true CN117081823A (zh) | 2023-11-17 |
Family
ID=88704014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311117376.6A Pending CN117081823A (zh) | 2023-08-31 | 2023-08-31 | 一种机载多节点的通信控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117081823A (zh) |
-
2023
- 2023-08-31 CN CN202311117376.6A patent/CN117081823A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2491684B1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
EP1438670B1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
US8370834B2 (en) | Routing across a virtual network | |
US8989187B2 (en) | Method and system of scaling a cloud computing network | |
JP2020162146A (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
CN1855873B (zh) | 用于实现高可用性虚拟局域网的方法和系统 | |
US9331936B2 (en) | Switch fabric support for overlay network features | |
US7483971B2 (en) | Method and apparatus for managing communicatively coupled components using a virtual local area network (VLAN) reserved for management instructions | |
EP2615782A1 (en) | Computer system and communication method in computer system | |
US20010042213A1 (en) | System and method for implementing network security policies on a common network infrastructure | |
CN108632098A (zh) | 流分类器、业务路由触发器、报文处理的方法和系统 | |
US8798046B2 (en) | Methods and apparatus for providing unique MAC address to individual node for fibre channel over Ethernet (FCoE) traffic | |
CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
EP2446592A2 (en) | Method and apparatus for simulating ip multinetting | |
CN105721487B (zh) | 信息处理方法及电子设备 | |
CN103595551A (zh) | 基于mqc实现网络虚拟化的网络管理方法和装置 | |
US7024686B2 (en) | Secure network and method of establishing communication amongst network devices that have restricted network connectivity | |
Ranjbar et al. | Domain isolation in a multi-tenant software-defined network | |
US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
CN101364877B (zh) | 安全策略配置方法及其装置 | |
RU2310994C2 (ru) | Фильтр для разделения трафика | |
CN117081823A (zh) | 一种机载多节点的通信控制方法 | |
CN115150106B (zh) | 一种物理机的安全防护方法及网络节点设备 | |
CN114978563A (zh) | 一种封堵ip地址的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |