CN117155599A - 服务链构建方法、业务访问方法、相关装置、设备及介质 - Google Patents
服务链构建方法、业务访问方法、相关装置、设备及介质 Download PDFInfo
- Publication number
- CN117155599A CN117155599A CN202310769495.3A CN202310769495A CN117155599A CN 117155599 A CN117155599 A CN 117155599A CN 202310769495 A CN202310769495 A CN 202310769495A CN 117155599 A CN117155599 A CN 117155599A
- Authority
- CN
- China
- Prior art keywords
- service
- security
- security service
- user
- registration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 238000010276 construction Methods 0.000 title claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 46
- 230000006855 networking Effects 0.000 claims abstract description 25
- 238000012502 risk assessment Methods 0.000 claims abstract description 12
- 238000012795 verification Methods 0.000 claims description 30
- 230000001360 synchronised effect Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 5
- 230000000875 corresponding effect Effects 0.000 description 64
- 230000008569 process Effects 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008447 perception Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种服务链构建方法、业务访问方法、相关装置、设备及介质。SRv6组网中的分布式网关在实施服务链构建方法时,接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息和网络环境信息;根据所述用户信息,对所述用户进行风险评估处理,得到所述用户的风险等级;获取所述SRv6组网支持的安全服务的服务资源状态和安全服务的注册信息;根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;将所述安全服务链发送给所述用户。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种服务链构建方法、业务访问方法、相关装置、设备及介质。
背景技术
传统集中式的安全管控技术缺乏足够的灵活性,而且随着网络威胁攻击越来越复杂,特别是从漏洞的发现到利用,攻击时间大大缩短,往往不能够及时响应各类风险威胁;分布式安全相关技术日益受到安全界关注,已将分布式决策列为网络安全重点发展趋势,并提出网络安全网格等新技术概念,引导推动分布式安全相关技术发展。分布式安全核心在安全权力和责任下层到各个主体,每个主体可根据自身的威胁和业务情况,自主决策自身的安全策略和响应机制,从而实现更敏捷的安全;然而当前分布式安全技术受限于网络协议异构,如云数中心网络基于IP/VxLAN实现,而运营商网络基于MPLS LDP/TE/SR承载,用户侧则基于资产保护需求在网络边界进行地址转换,使得异构网络边界必须通过代理进行转换,这样一来,往往不能够实现端到端的安全自主,必须在不同网络边界进行安全决策权力转换。
而随着IPv6部署的推进,特别是SRv6技术的引入,打破了云数中心网络、运营商网络和用户终端的网络边界障碍,实现了端到端的网络基础协议统一,真正实现了云网边端网络转发大统一,可实现更加广泛安全资源的共享和调度,从而使得分布式安全有了新的技术解决思路。
目前,在分布式安全中引入SRv6技术时,是将安全业务作为一个SRv6链路中的转发节点,需要由控制器或者头节点来统一编排安全资源和计算路径,当安全业务和网络拓扑非常复杂时,控制器的计算负担会非常重,容易造成单点故障;一旦集中式控制器被劫持,容易导致流量路径被恶意编排引导,进而导致控制器无法及时感知业务安全需求和网络拓扑的变化,使得安全风险威胁响应存在滞后。
发明内容
有鉴于此,本申请提供一种服务链构建方法、业务访问方法、相关装置、设备及介质,用以按照业务安全需求和网络拓扑构建服务链,及时响应安全风险威胁,避免流量被恶意编排的情况发生。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种服务链构建方法,应用于SRv6组网中的分布式网关中,所述方法,包括:
接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息;
根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级;
获取所述SRv6组网支持的安全服务的注册信息;
根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;
将所述安全服务链发送给所述用户。
根据本申请的第二方面,提供一种业务访问方法,应用于SRv6组网中的头节点中,所述方法,包括:
接收用户发送的业务报文,所述业务报文包括基于本申请第一方面所提供的方法构建的安全服务链;
按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
根据本申请的第三方面,提供一种服务链构建装置,设置于SRv6组网中的分布式网关中,所述装置,包括:
接收模块,用于接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息;
评估模块,用于根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级;
获取模块,用于获取所述SRv6组网支持的安全服务的注册信息;
构建模块,用于根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;
发送模块,用于将所述安全服务链发送给所述用户。
根据本申请的第四方面,提供一种业务访问装置,设置于SRv6组网中的头节点中,所述装置,包括:
接收模块,用于接收用户发送的业务报文,所述业务报文包括基于本申请第一方面所提供的方法构建的安全服务链;
转发模块,用于按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
根据本申请的第五方面,提供一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的服务链构建方法、业务访问方法、相关装置、设备及介质中,分布式网关在用户触发用于业务访问的业务请求报文时,会对用户进行风险评估,然后根据得到的用户的风险等级、当前获取到的安全服务的服务资源状态和安全服务的注册信息来构建安全服务链,使得构建的安全服务链不仅能够兼顾用户的风险情况,而且还可以考虑到SRv6组网中安全服务的变化(网络拓扑)。进一步地,使得用户在进行业务资源访问时,不仅不会存在访问流量被恶意编排的问题,而且也能够更加业务安全自身的需要实现业务访问的流量的自主编排,提升了安全感知力。
附图说明
图1是本申请实施例提供的一种服务链构建方法的流程示意图;
图2是本申请实施例提供的一种服务链构建方法的应用场景的架构示意图;
图3是本申请实施例提供的一种安全服务的注册逻辑示意图;
图4是本申请实施例提供的一种业务访问方法的流程示意图;
图5a是本申请实施例提供的一种SRv6组网的架构图;
图5b是本申请实施例提供的另一种SRv6组网的架构图;
图6是本申请实施例提供的一种服务链构建装置的结构示意图;
图7是本申请实施例提供的一种业务访问装置的结构示意图;
图8是本申请实施例提供的一种实施服务链构建方法或业务访问方法的网络设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的服务链构建方法进行详细地说明。
参见图1,图1是本申请提供的一种服务链构建方法的流程图,该方法可以应用于SRv6组网中的分布式网关中,上述分布式网关在实施上述方法时,可包括如下所示步骤:
S101、接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息。
本步骤中,为了避免集中式编排而导致了安全风险响应滞后的情况的发生,本实施例提出,由分布式网关进行编排,而且是在用户触发业务访问请求时执行进行流量编排的安全服务链的构建。基于此,结合图2所示的架构图进行说明,当图2中的用户需要访问SRv6组网中的业务资源时,会先向分布式网关发送业务请求报文,然后在该业务请求报文中携带该用户的用户信息。
S102、根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级。
本步骤中,由于本申请是用于安全访问,而不同的用户可能需要执行的安全防护不同,相应地,不同的网络环境所需要执行的安全防护也不同,因此,为了对用户执行针对性的安全防护,本实施例提出,会基于用户的用户信息和网络环境信息对用户进行风险评估处理,从而得到用户的风险等级。其中,风险等级与安全防护呈正相关,即,风险等级越高,则表明用户的业务报文存在安全风险的可能性越大,相应需要执行的安全防护越严格;反之,风险等级越低,表明用户的业务报文存在的安全风险越小,相应地,可能只需要执行基础的安全防护。
而用户的用户信息直接影响用户的风险等级,如若用户属于SRv6组网的内网用户,则表明其为可信的,此时则只需要执行一些基本的安全防护即可;而若用户属于外网用户,则为了SRv6组网的安全性,则就需要执行更高安全的安全防护。此外,作为内网用户,用户在内网中的级别越高,则可能需要执行的安全防护越高,级别越低则可能需要执行一些普通的安全防护。同理上述网络环境信息也直接影响用户的风险等级,例如,网络环境信息所表征的网络环境越差,则可能需要执行更严格的安全防护,而网络环境信息所表征的网络环境较好,则可能只需要执行普通的安全防护等等。因此,基于上述描述,可以设置对应的风险评估规则,以设置用户信息、网络环境信息与风险等级之间的映射关系,从而在得到用户的用户信息及网络环境信息时,就可以基于上述风险评估规则,对用户进行风险评估处理,从而得到用户的风险等级。
需要说明的是,上述用户信息可以但不限于包括用户的用户名等等,若用户属于内网用户,则用户信息还可以包括用户所属部门、用户等级等等。上述网络环境信息为当前SRv6组网的环境信息,可以从业务请求报文中的协议中确定。该网络环境信息可以但不限于包括网络质量、网络链路情况、丢包率等等。
S103、获取所述SRv6组网支持的安全服务的服务资源状态和安全服务的注册信息。
本步骤中,SRv6组网中设置有用于对组网中的业务资源进行安全访问的安全服务的网络安全设备,每个网络安全设备用于基于所提供的安全服务对接收到的业务报文执行对应的安全防护处理。而每个分布式网关中会记录SRv6组网中各安全服务的服务资源状态,因此,分布式网关在对用户进行风险评估后,会从本地获取各安全服务的服务资源状态;此外,为了构建安全服务的安全服务链,还需要获取每个安全服务的注册信息。
可选地,上述安全服务可以但不限于为fw安全服务、waf安全服务、IPS安全服务、应用审计安全服务、DLP安全服务等等。
S104、根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识。
本步骤中,为了避免控制器在构建服务链时而导致的无法满足业务安全需求及无法及时感知网络拓扑的变化,本实施例提出,由对接业务资源的分布式网关来构建安全服务链,即,由接入业务资源之前的最后一跳设备(分布式网关)来负责安全服务链的构建。由于分布式网关能够及时了解所对接的各业务资源,因此,能够根据业务资源的安全需求来进行安全服务链的构建。
此外,在构建安全服务链时,还考虑了访问该业务资源的用户的风险等级,由此一来,还能根据用户的风险情况配置对应防护级别的安全服务链;再者,考虑到安全服务可能会发生变化而导致网络拓扑的变化,因此,本实施例在构建安全服务链时,也会获取安全服务的服务资源状态以及安全服务的注册信息,从而也就能感知到SRv6组网中提供安全服务的网络安全设备是否发生变化,进而可以确认网络拓扑是否发生变化;而且,即使网络拓扑发生变化,也能够根据当前的网络拓扑(当前获取到的安全服务的注册信息、服务资源状态)构建安全服务链。
S105、将所述安全服务链发送给所述用户。
本步骤中,在基于步骤S104构建得到用户的安全服务链后,就可以将构建的安全服务链发生给用户,以便后续用户在进行业务资源访问时,能够按照安全服务链对用户的业务报文执行对应的安全防护操作。
通过实施本申请提供的服务链构建方法,分布式网关在用户触发用于业务访问的业务请求报文时,会对用户进行风险评估,然后根据得到的用户的风险等级、当前获取到的安全服务的服务资源状态和安全服务的注册信息来构建安全服务链,使得构建的安全服务链不仅能够兼顾用户的风险情况,而且还可以考虑到SRv6组网中安全服务的变化(网络拓扑)。进一步地,使得用户在进行业务资源访问时,不仅不会存在访问流量被恶意编排的问题,而且也能够更加业务安全自身的需要实现业务访问的流量的自主编排,提升了安全感知力。
可选地,基于上述实施例,本实施例中,可以按照下述过程执行步骤S103中获取SRv6组网支持的安全服务的注册信息的步骤:向安全服务注册设备获取所述SRv6组网支持的每个安全服务的服务资源状态和注册信息,其中,每个安全服务预先在所述安全服务注册设备上进行注册;若无法从所述安全服务注册设备获取到安全服务的注册信息,则基于本地的网关地址列表,从其他分布式网关获取每个安全服务的服务资源状态和注册信息。
具体地,SRv6组网中设置有安全服务注册设备,用于管理SRv6组网中的各安全服务;结合图3所示的注册逻辑示意图为例进行说明,图3中m和n的具体取值可以根据实际情况而定。用于提供安全服务的网络安全设备预先会向安全服务注册设备进行注册,由此,各网络安全设备会将自身所提供的安全服务的注册信息上报给安全服务注册设备。由此一来,安全服务注册设备会获取到SRv6组网中当前各网络安全设备所分别提供的安全服务的注册信息。这样一来,分布式网关就可以从安全服务注册设备处获取向安全服务注册设备注册的各安全服务的注册信息。
需要说明的是,同一个安全服务可能对应至少一个网络安全设备,即可能存在由至少一个网络安全设备来提供该安全服务。
可选地,上述网络安全设备可以但不限于为:fw设备、waf设备、IPS设备、应用审计设备和DLP设备等等。
可选地,上述安全服务的注册信息可以但不限于包括IP地址、网络链路信息、服务功能编码和安全服务功能参数、可用状态等安全属性。在此基础上,当同一个安全服务由多个网络安全设备分别提供时,则安全服务注册设备上会记录该安全服务的多个注册信息,以IP地址进行区分,以便安全服务注册设备能够监控到各网络安全设备各自所提供的安全服务的注册信息。进一步地,分布式网关从安全服务注册设备获取到的注册信息可以为在线的网络安全设备上报的对应安全服务的注册信息。
此外,各网络安全设备可以定期或者实时向安全服务注册设备上报自身的服务资源状态,以便安全服务注册设备及时进行记录。而且,当网络安全设备故障或者发生其他无法提供安全服务的情况时,安全服务注册设备可以通过网络安全设备无法上报而确认该网络安全设备无法提供对应安全服务,或者安全服务注册设备也可以通过主动探测的方式确认网络安全设备是否在线。相应地,分布式网关从安全服务注册设备获取到的是当前能够提供安全服务的网络安全设备发送的、该网络安全设备所提供的安全服务的服务资源状态。
需要说明的是,上述安全服务的IP地址为预先配置的,即预先为各安全服务分配网络地址范围和区域。
值得注意的是,安全服务注册设备中可以维护一个安全服务列表,该表里记录了各安全服务的服务资源状态。在此基础上,分布式网关在从安全服务注册设备上获取同步信息时,安全服务注册设备可以将该安全服务列表反馈给该分布式网关;进一步地,上述安全服务列表还可以记录各安全服务的注册信息,这样一来,分布式网关就可以基于安全注册设备反馈的安全服务列表获取到注册信息和服务资源状态。具体来说,上述安全服务列表的存储结构为:以每个安全服务的安全服务标识为关键字key,以该安全服务的服务资源状态和注册信息作为value。
此外,实际应用中,可能存在安全服务注册设备因故障等原因无法与分布式网关交互的情况,进而导致无法从安全服务注册设备同步到服务资源状态和注册信息。有鉴于此,本实施例提出,分布式网关设备可以从其他分布式网关设备来获取安全服务的服务资源状态及安全服务的注册信息。具体来说,由于其他分布式网关设备也会实施图1所示的流程,相应地,也会向安全服务注册设备或者其他分布式网关设备获取安全服务的服务资源状态和注册信息,因此,本分布式网关设备也就能从其他分布式网关设备处获取到其他分布式网关获取到的上述服务资源状态和注册信息,从而可以防止单点同步失效的问题发生。
值得注意的是,上述安全服务的服务资源状态可以但不限于包括吞吐率、会话数等等,以表征当前安全服务的可用性或者空闲情况。
具体来说,每个分布式网关会在本地维护一个网关地址列表,然后可以从网关地址列表中,选择至少一个网关地址,从选择的网关地址对应的分布式网关获取该分布式网关本地同步得到的上述服务资源状态和注册信息。
进一步地,为了更好地保证获取到的服务资源状态和注册信息是准确地,本实施例提出的可以按照下述过程执行步骤S103:获取其他分布式网关的校验数据,每个校验数据为对应分布式网关对同步到的安全服务的服务资源状态和注册信息进行完整性校验得到的;根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息。
具体来说,一种可能的实施方式中,上述校验数据包括校验码,则可以按照下述过程执行根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息的步骤:获取其他分布式网关的校验码,每个校验码为对应分布式网关对同步到的安全服务的注册信息进行完整性校验得到的;统计各校验码的出现次数;向出现次数最多的校验码对应的任一分布式网关获取安全服务的服务资源状态和注册信息。
具体地,每个分布式网关每次在从安全服务注册设备同步到服务资源状态和注册信息后,均会基于获取到的信息生成一个校验码;这样一来,当前分布式网关在从其他分布式网关获取服务资源状态和注册信息之前,会先从其他分布式网关获取最新生成校验码;这样,分布式网关就可以对获取到的各校验码进行统计,从而得到不同的校验码的统计次数,即上述出现次数。而若某个校验码的出现次数越多,则表明该校验码对应的分布式网关获取到的信息是准确地。因此,当前分布式网关就可以得到统计次数最多的校验码;然后当前分布式网关就可以选择该校验码对应的任一个分布式网关获取上述服务资源状态和注册信息。
需要说明的是,当出现至少两个校验码的出现次数相同,则分布式网关可以从其中任选一个校验码,然后向选择出的校验码对应的任一个分布式网关同步获取上述服务资源状态和注册信息。可选地,若至少两个校验码包括当前分布式网关本地计算得到的校验码,则该分布式网关可以确认本地存储的服务资源状态和注册信息是准确地,即不再向其他分布式网关同步上述内容。
可选地,本实施例还提供了另一种可能的实施方式,上述其他分布式网关的校验数据包括时间戳、哈希值、校验码;其中,时间戳为该分布式网关从所述安全服务注册设备同步完注册信息的时间;哈希值包括同步的所述注册信息的第一哈希值和所述时间戳的第二哈希值;所述校验码包括对所述第一哈希值进行签名得到的第一校验码和对所述第二哈希值进行签名得到的第二校验码;在此基础上,可以按照下述过程来执行根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息的步骤:从各校验数据中筛选出哈希值和校验码均相同的目标校验数据;根据各目标校验数据中的时间戳,向最近的时间戳对应的分布式网关同步安全服务的服务资源状态和注册信息。
具体地,当前分布式网关在从其他分布式网关同步注册信息等内容之前,会基于本地维护的网关地址列表,选取设定数量(可以根据实际情况而定)的地址,然后向选取出的地址对应的分布式网关同步上述校验数据,一方面可以减少流量带宽的占用,另一方面通过校验各校验数据,能够检测出时间戳来源的真实性和注册信息等内容的完整性。例如选取了3个分布式网关:分布式网关1~分布式网关3,从这3个网关获得的校验数据分别为校验数据1、校验数据2和校验数据3;在此基础上,可以筛选出校验码和哈希值均相同的目标校验数据,如校验数据1和校验数据2中的哈希值相同且校验码相同,然后就可以对校验数据1和校验数据2中的时间戳进行排序处理,即比较校验数据1和校验数据2中的时间戳,若校验数据1的时间戳1晚于校验数据2的时间戳2,则可以确认时间戳1属于最近的时间戳,然后就可以向时间戳1对应的分布式网关1同步注册信息和服务资源状态。
值得注意的是,再一种可能的实施例中,每个分布式网关还可以设置一个时效性规则,如设置一个时间筛选条件。在此基础上,还可以按照下述过程执行根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息的步骤:根据各校验数据中的时间戳,选择时间戳满足时间筛选条件的第一校验数据,然后对第一目标校验数据中的哈希值、校验码进行校验处理,从而从第一校验数据中得到校验通过的目标校验数据;进而向该目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息。
可选地,上述时间筛选条件可以但不限于为筛选出距离当前时间点在设定时间范围的时间戳等等。
需要说明的是,在对第一目标校验数据中的哈希值、校验码进行校验处理的大致过程为:向第一校验数据对应的分布式网关获取注册信息,然后利用本地的哈希算法对获取到的注册信息进行哈希计算处理,从而得到第一目标哈希值;利用本地存储的哈希算法对时间戳进行哈希计算处理,得到第二目标哈希值,同时然后就可以将第一目标哈希值与第一校验数据中的第一哈希值进行比对处理,同时将第二目标哈希值与第一校验数据中的第二哈希值进行比对处理;若均比对一致,则再利用本地的签名算法对第一目标哈希值和第二目标哈希值分别进行签名处理,从而得到第一目标校验码和第二目标校验码;然后就可以将第一目标校验码与第一校验数据中的第一校验码进行比对处理,并将第二目标校验码与第一校验数据中的第二校验码进行比对处理;若均比对一致,则确认第一校验数据校验通过,属于上述满足同步条件的目标校验数据。若上述任一比对不一致,则确认第一校验数据校验不通过。
此外,若不存在在上述设定时间范围内的时间戳,则分布式网关可以按照各安全服务的地址范围进行扫描处理,以主动发现安全服务注册设备故障期在线和下线的安全服务。然后主动监测各安全服务的服务资源状态和注册信息,以更新本地存储的各安全服务的服务资源状态和注册信息,从而得到最新且最准确地的注册信息和服务资源状态。进一步地,该分布式网关可以记录更新完成时的时间戳,并计算获取完所述注册信息的时间戳和所述注册信息进行分别哈希计算,分别得到时间戳的哈希值和注册信息的哈希值;分别对所述时间戳的哈希值和所述注册信息的哈希值进行签名处理,得到时间戳的校验码和注册信息的校验码,以供其他分布式网关同步校验使用。
值得注意的是,本申请通过引入安全服务注册设备,从安全服务注册设备处同步所需内容,可以大大提高信息同步效率,而且也能减轻各分布式网关的处理压力。而且由于安全服务注册设备故障是极少情况发生的,因此,分布式网关只有在无法从安全服务注册设备(故障恢复期间)和其他分布式网络同步注册信息等内容时,才会触发上述主动扫描流程。
此外,若在安全服务注册设备故障发生之前,已经从该安全服务注册设备同步到注册信息等数据,若在安全服务注册设备故障期间,存在新上线和/或下线的安全服务,为了保证信息的准确性,本实施例提出,分布式网络设备也可以根据安全服务的地址范围,主动对安全服务进行扫描处理,以确认是否存在新上线的安全服务,或者下线的安全服务,进而更新本地的安全服务的注册信息和服务资源状态。或者采用从其他分布式网关同步,基于时间戳来识别最新获取到的注册信息(从安全服务注册设备同步和主动扫描获取)和服务资源状态,由于其他分布式网关此时已经获取到了,故无需再主动扫描,只需要对其他分布式网关获取同步信息之前,进行校验即可。其校验方式可以参考上述描述,此处不再一一详细说明。
基于上述任一实施例,本实施例在执行步骤S103之后,还包括下述过程:对获取完所述注册信息的时间戳和所述注册信息进行分别哈希计算,分别得到时间戳的哈希值和注册信息的哈希值;分别对所述时间戳的哈希值和所述注册信息的哈希值进行签名处理,得到时间戳的校验码和注册信息的校验码。
具体地,分布式网关在从安全服务注册设备同步到注册信息等时,待同步完成后,会记录同步完成时的时间戳,即上述获取完注册信息的时间戳。然后对该时间戳与同步到的注册信息分别进行哈希计算处理,从而得到2个哈希值,即时间戳的哈希值、注册信息的哈希值;然后再将这两个哈希值分别进行签名处理,从而得到该分布式网关对本次同步到的信息进行完整性校验的校验码,即时间戳的校验码和注册信息的校验码,以便其他分布式网关当从该分布式网关同步注册信息等内容时进行完整性校验。值得注意的是,其他分布式网关在从安全服务注册设备同步完上述内容后,计算校验码的方式也可以参考上述描述,此处不再一一赘述。
值得注意的是,上述网络安全设备需要支持SRv6功能,若网络安全设备本身不支持SRv6功能,则可以在该网络安全设备中配置SRv6代理,以便网络安全设备在后续执行对应安全服务对应的安全防护功能后,能够按照SRv6协议进行业务报文的转发。
可选地,基于上述任一实施例,本实施例中,可以按照下述过程执行步骤S104:利用设定安全服务匹配规则对用户的风险等级、所述服务资源状态和所述注册信息进行处理,得到满足用户的风险等级且能够提供安全服务的目标安全服务;利用目标安全服务构建安全服务链。
具体来说,上述设定安全服务匹配规则为每个风险等级设置服务资源状态条件,由此一来,就可以先从基于用户的风险等级匹配出对应的服务资源状态条件,记为目标服务资源状态条件;然后再根据当前同步获得的各安全服务的服务资源状态,确定满足上述目标服务资源状态条件的安全服务,进而根据各安全服务的注册信息,得到上述确定出的各安全服务的注册信息,进而构建上述安全服务链。
可选地,在实施步骤S104时,还可以先基于用户的业务请求报文所请求的业务来确定该用户在进行访问该业务时所必须的目标安全服务,然后再基于确定出的目标安全服务、以及用户的风险等级、服务资源状态和注册信息,来构建安全服务链;例如,若用户1请求访问的业务为业务1,则基于业务与所必须的安全服务之间的对应关系,可以确定出业务1对应的安全服务,如确定的安全服务包括安全服务1、安全服务2、安全服务3。然后再根据用户的风险等级与安全服务之间的对应关系,可以进一步确定用户1的风险等级对应的安全服务:安全服务2、安全服务4、安全服务5。由此一来,可以得到用户1访问业务1时,需要执行的安全服务包括安全服务1、安全服务2、安全服务3、安全服务4和安全服务5。由于同一个安全服务可能由不同的网络安全设备提供服务支持,因此,可以进一步基于获取到的各安全服务的服务资源状态和注册信息,来筛选出服务资源状态满足安全服务条件的安全服务1~安全服务5,从而就可以将筛选出的安全服务1~安全服务5(目标安全服务)构建安全服务链,该安全服务链可以包括目标安全服务的安全服务标识和对应的IP地址。
至此,通过实施上述任一实施例,将安全服务的编排下放到业务资源方的分布式网关,由分布式网关在接收到用户需要业务访问而触发的业务请求报文后,根据用户的风险情况、所请求访问的业务的自身安全需求和当前SRv6组网中的网络拓扑情况构建安全服务链,以便让用户在进行业务访问时,按照构建的安全服务链对业务报文进行编排,不仅实现了安全自主管理,而且提升了安全敏捷响应能力。此外,由于不需要控制器统一构建安全服务链,从而也就减轻了控制器的处理压力,而且也避免了控制器集中处理而存在的因被劫持而导致的流量被恶意编排的情况发生。
基于同一发明构思,本实施例还提供了一种业务访问方法,参考图4所示的业务访问方法的流程示意图,该方法可以应用于图5a所示的SRv6组网中的头节点中,该头结点在实施上述业务访问方法时,可以按照下述步骤实施:
S401、接收用户发送的业务报文。
其中,上述业务报文包括基于分布式网关按照上述任一实施例构建的安全服务链。
本步骤中,分布式网关在按照上述任一实施例构建得到安全服务链后,会将安全服务链发送给用户。这样,用户在进行业务访问时,就需要在业务报文中携带该安全服务链,以便头节点基于该安全服务链获得对应的网络访问路径。
实际应用中,该用户一般只需要在进行同一业务访问的首个业务报文中携带上述安全服务链,以便头节点能得到基于该安全服务链的网络访问路径并进行记录。这样一来,用户后续的业务报文到达头节点后,头节点只需要按照上述网络访问路径进行转发处理,因此,用户在构建该业务的后续的业务报文时,后续的业务报文不需要携带构建的安全服务链。
需要说明的是,该头节点可以理解为安全服务链的入口节点,例如,该入口节点可以但不限于为安全服务链的首个安全服务对应的网络安全设备,也可以为除网络安全设备之外的网络设备等。
S402、按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
本步骤中,头节点在获得业务报文后,就可以从业务报文中解析出安全服务链,然后基于该安全服务链获取对应的网络访问路径,然后就可以按照SRv6协议对业务报文进行重新封装处理。例如,基于网络访问路径涉及的设备的IP地址构成Segment list,从而构建得到SRv6格式的业务报文,然后将其转发给网络访问路径中的设备,这样,网络访问路径中的每个网络安全设备在接收到上述业务报文后,就可以基于其所提供的安全服务对业务报文执行安全防护处理。
通过提供上述业务访问方法,用户在进行业务访问时,会携带分布式网关反馈的安全服务链,这样,头节点在接收到携带安全服务链的业务报文后,就可以基于该安全服务链对应的网络访问路径转发该业务报文,进而用于提供安全服务的网络安全设备就可以对业务报文执行对应的安全服务,从而也就实现了按照业务的实际安全需求进行编排处理,实现了安全的自主管理,而且由于不需要控制器统一构建安全服务链,从而也就减轻了控制器的处理压力,而且也避免了控制器集中处理而存在的因被劫持而导致的流量被恶意编排的情况发生。
可选地,基于上述实施例,本实施例中,上述安全服务链对应的网络访问路径的确定方法可以包括下述两种方式:
方式一、
按照下述过程获得上述安全服务链对应的网络访问路径:向SRv6组网中的控制器发送所述安全服务链,以由所述控制器基于所述安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;从SRv6 TE policy中选择所述网络访问路径。
具体地,上述控制器支持SRv6 TE policy功能,故控制器在接收到上述安全服务链后,可以基于该安全服务链计算出SRv6 TE policy,该SRv6 TE policy包括符合业务质量标准的至少一个候选路径,每个候选路径中的设备包括上述安全服务链中支持目标安全服务的网络安全设备。此外,该SRv6 TE policy还包括每条候选路径的优先级,头节点基于各候选路径的优先级,从各候选路径中选择出网络访问路径。
方式二:按照下述过程得到上述安全服务链对应的网络访问路径:根据安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;从所述SRv6 TE policy中选择所述网络访问路径。
具体地,头节点本身也支持SRv6 TE policy功能,因此,在接收到用户的业务报文时,也可以基于业务报文中的安全服务链计算SRv6 TE policy,计算过程与控制器侧类似,此处不再详细赘述。
基于此,通过采用SRv6 TE policy,能够按照构建的安全服务链为用户进行业务访问的业务报文进行安全防护处理,不仅提升了安全服务能力,而且实现了安全服务的解耦合服务化供给。
此外,本申请中,安全服务链编排由业务资源侧的分布式网关构建,只需要关注业务的安全性,不需要关注SRv6组网中的网络性能指标;而网络访问路径由SRv6组网中的控制器或者头节点计算得到,此时只需要关注安全服务的网络性能指标,这样,也就实现了安全服务链编排和网络访问路径计算的解耦,服务链构建和路径计算可独立上线部署,不会造成对各自任务的影响。
可选地,基于上述任一实施例,本实施例中,每个安全服务对应的网络安全设备在接收到业务报文后,可以进行签名校验处理,同时还可以对网络访问路径中前几跳网络安全设备在执行对应安全服务处理后的业务处理情况进行验证。
每个网络安全设备在执行对应的安全服务后,会将安全服务结果携带在业务报文中,然后转发给下一跳设备。在此基础上,当业务报文到达业务资源方---资源服务器时,资源服务器可以对业务报文中安全服务结果进行校验处理,以及还可以对业务报文的处理顺序进行校验处理,然后根据校验结果确认是否响应用户的业务访问。例如,校验结果均校验通过时,则响应用户。
为了更好地理解本实施例,以图5b所示的SRv6组网为例进行说明,若分布式网关基于用户的业务访问构建的安全服务链包括安全服务1---安全服务3---安全服务5,相应地,图5b中,由网络安全设备1支持安全服务1,网络安全设备2支持安全服务3,网络安全设备3支持安全服务5。
当用户接入到该组网中SRv6头节点时,该用户可以将业务报文发送给该SRv6头节点,这样,SRv6头节点就可以从业务报文中解析出前述安全服务链,然后将该安全服务链发送给控制器,然后接收控制器基于安全服务链计算得到的SRv6 TE policy,然后该SRv6头节点就可以基于上述SRv6 TE policy选择一条候选路径,作为网络访问路径。如选择的网络访问路径为:SRv6头节点---网络安全设备1---网络节点----网络安全设备2---网络安全设备3----分布式网关等。进而,SRv6头节点就可以基于上述网络访问路径构建Segmentlist,从而基于Segment list对业务报文进行重新封装处理,得到SRv6格式的业务报文。进而SRv6头节点就可以将该业务报文转发给网络安全设备1,这样,网络安全设备1就可以基于安全服务1对业务报文执行对应的安全防护处理;待处理完成后,网络安全设备1再将业务报文转发给网络节点,由于网络节点不支持安全服务,故网络节点只需要对业务报文执行转发处理,以将其转发给网络安全设备2,进而由网络安全设备2基于安全服务3对业务报文执行对应的安全防护处理,以此类推,进而在业务报文到达分布式网关时,分布式网关就可以在按照自身的业务处理逻辑对业务报文进行处理后,若允许放行,就可以将业务报文转发给用户所请求的业务的资源服务器,从而实现对业务资源的访问。
基于同一发明构思,本申请还提供了与上述服务链构建方法对应的服务链构建装置。该服务链构建装置的实施具体可以参考上述对服务链构建方法的描述,此处不再一一论述。
参见图6,图6是本申请一示例性实施例提供的一种服务链构建装置,设置于SRv6组网中的分布式网关中,所述装置,包括:
接收模块601,用于接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息;
评估模块602,用于根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级;
获取模块603,用于获取所述SRv6组网支持的安全服务的注册信息;
构建模块604,用于根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;
发送模块605,用于将所述安全服务链发送给所述用户。
通过提供上述服务链构建装置,在用户触发用于业务访问的业务请求报文时,会对用户进行风险评估,然后根据得到的用户的风险等级、当前获取到的安全服务的服务资源状态和安全服务的注册信息来构建安全服务链,使得构建的安全服务链不仅能够兼顾用户的风险情况,而且还可以考虑到SRv6组网中安全服务的变化(网络拓扑)。进一步地,使得用户在进行业务资源访问时,不仅不会存在访问流量被恶意编排的问题,而且也能够更加业务安全自身的需要实现业务访问的流量的自主编排,提升了安全感知力。
可选地,上述获取模块603,具体用于向安全服务注册设备获取所述SRv6组网支持的每个安全服务的服务资源状态和注册信息,其中,每个安全服务预先在所述安全服务注册设备上进行注册;若无法从所述安全服务注册设备获取到安全服务的注册信息,则基于本地的网关地址列表,从其他分布式网关获取每个安全服务的服务资源状态和注册信息。
进一步地,上述获取模块603,具体用于获取其他分布式网关的校验数据,每个校验数据为对应分布式网关对同步到的安全服务的服务资源状态和注册信息进行完整性校验得到的;根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息。
进一步地,本实施例中,上述其他分布式网关的校验数据包括时间戳、哈希值、校验码;其中,所述时间戳为该分布式网关从所述安全服务注册设备同步完注册信息的时间;所述哈希值包括同步的所述注册信息的第一哈希值和所述时间戳的第二哈希值;所述校验码包括对所述第一哈希值进行签名得到的第一校验码和对所述第二哈希值进行签名得到的第二校验码;
在此基础上,上述获取模块603,具体用于从各校验数据中筛选出哈希值和校验码均相同的目标校验数据;根据各目标校验数据中的时间戳,向最近的时间戳对应的分布式网关同步安全服务的服务资源状态和注册信息。
可选地,本实施例提供的服务链构建装置,还可以包括:
哈希计算模块(图中未示出),用于在所述获取模块603向安全服务注册设备获取所述SRv6组网支持的每个安全服务的服务资源状态和注册信息之后,对获取完所述注册信息的时间戳和所述注册信息进行分别哈希计算,分别得到时间戳的哈希值和注册信息的哈希值;
签名处理模块(图中未示出),用于分别对所述时间戳的哈希值和所述注册信息的哈希值进行签名处理,得到时间戳的校验码和注册信息的校验码。
基于同一发明构思,本申请还提供了与上述业务访问方法对应的业务访问装置。该业务访问装置的实施具体可以参考上述对业务访问方法的描述,此处不再一一论述。
参见图7,图7是本申请一示例性实施例提供的一种业务访问装置,设置于SRv6组网中的头节点中,所述装置,包括:
接收模块701,用于接收用户发送的业务报文,所述业务报文包括基于本申请上述任一实施例提供的服务链构建方法构建的安全服务链;
转发模块702,用于按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
通过提供上述业务访问装置,用户在进行业务访问时,会携带分布式网关反馈的安全服务链,这样,头节点在接收到携带安全服务链的业务报文后,就可以基于该安全服务链对应的网络访问路径转发该业务报文,进而用于提供安全服务的网络安全设备就可以对业务报文执行对应的安全服务,从而也就实现了按照业务的实际安全需求进行编排处理,实现了安全的自主管理,而且由于不需要控制器统一构建安全服务链,从而也就减轻了控制器的处理压力,而且也避免了控制器集中处理而存在的因被劫持而导致的流量被恶意编排的情况发生。
可选地,基于上述实施例,本实施例提供的业务访问装置,还可以包括:
发送模块(图中未示出),用于向所述SRv6组网中的控制器发送所述安全服务链,以由所述控制器基于所述安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;
第一选择模块(图中未示出),用于从所述SRv6 TE policy中选择所述网络访问路径。
可选地,本实施例提供的业务访问装置,还可以包括:
创建模块(图中未示出),用于根据所述安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;
第二选择模块(图中未示出),用于从所述SRv6 TE policy中选择所述网络访问路径。
此外,本申请实施例提供了一种网络设备,该网络设备可以但不限于为上述分布式网关或SRv6组网中的头结点。如图8所示,该网络设备包括处理器801和机器可读存储介质802,机器可读存储介质802存储有能够被处理器801执行的计算机程序,处理器801被计算机程序促使执行本申请任一实施例所提供的服务链构建方法,或执行本申请上述任一实施例所提供的业务访问方法。此外,该网络设备还包括通信接口803和通信总线804,其中,处理器801,通信接口803,机器可读存储介质802通过通信总线804完成相互间的通信。
上述网络设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述网络设备与其他设备之间的通信。
上述机器可读存储介质802可以为存储器,该存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous DynamicRandom Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
对于网络设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种服务链构建方法,其特征在于,应用于SRv6组网中的分布式网关中,所述方法,包括:
接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息;
根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级;
获取所述SRv6组网支持的安全服务的注册信息;
根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;
将所述安全服务链发送给所述用户。
2.根据权利要求1所述的方法,其特征在于,获取所述SRv6组网支持的安全服务的注册信息,包括:
向安全服务注册设备获取所述SRv6组网支持的每个安全服务的服务资源状态和注册信息,其中,每个安全服务预先在所述安全服务注册设备上进行注册;
若无法从所述安全服务注册设备获取到安全服务的注册信息,则基于本地的网关地址列表,从其他分布式网关获取每个安全服务的服务资源状态和注册信息。
3.根据权利要求2所述的方法,其特征在于,基于本地的网关地址列表,从其他分布式网关获取安全服务的服务资源状态和注册信息,包括:
获取其他分布式网关的校验数据,每个校验数据为对应分布式网关对同步到的安全服务的服务资源状态和注册信息进行完整性校验得到的;
根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息。
4.根据权利要求3所述的方法,其特征在于,所述其他分布式网关的校验数据包括时间戳、哈希值、校验码;其中,所述时间戳为该分布式网关从所述安全服务注册设备同步完注册信息的时间;所述哈希值包括同步的所述注册信息的第一哈希值和所述时间戳的第二哈希值;所述校验码包括对所述第一哈希值进行签名得到的第一校验码和对所述第二哈希值进行签名得到的第二校验码;
根据各校验数据,向满足同步条件的目标校验数据对应的分布式网关同步安全服务的服务资源状态和注册信息,包括:
从各校验数据中筛选出哈希值和校验码均相同的目标校验数据;
根据各目标校验数据中的时间戳,向最近的时间戳对应的分布式网关同步安全服务的服务资源状态和注册信息。
5.根据权利要求2所述的方法,其特征在于,在向安全服务注册设备获取所述SRv6组网支持的每个安全服务的服务资源状态和注册信息之后,还包括:
对获取完所述注册信息的时间戳和所述注册信息进行分别哈希计算,分别得到时间戳的哈希值和注册信息的哈希值;
分别对所述时间戳的哈希值和所述注册信息的哈希值进行签名处理,得到时间戳的校验码和注册信息的校验码。
6.一种业务访问方法,其特征在于,应用于SRv6组网中的头节点中,所述方法,包括:
接收用户发送的业务报文,所述业务报文包括基于权利要求1~5任一项所述的方法构建的安全服务链;
按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
7.根据权利要求6所述的方法,其特征在于,所述安全服务链对应的网络访问路径的确定方法为:
向所述SRv6组网中的控制器发送所述安全服务链,以由所述控制器基于所述安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;
从所述SRv6 TE policy中选择所述网络访问路径。
8.根据权利要求6所述的方法,其特征在于,所述安全服务链对应的网络访问路径的确定方法为:
根据所述安全服务链创建SRv6 TE policy,所述SRv6 TE policy包括所述安全服务链对应的候选路径;
从所述SRv6 TE policy中选择所述网络访问路径。
9.一种服务链构建装置,其特征在于,设置于SRv6组网中的分布式网关中,所述装置,包括:
接收模块,用于接收用户的业务请求报文,所述业务请求报文携带所述用户的用户信息;
评估模块,用于根据所述用户信息和网络环境信息,对所述用户进行风险评估处理,得到所述用户的风险等级;
获取模块,用于获取所述SRv6组网支持的安全服务的注册信息;
构建模块,用于根据所述风险等级、所述服务资源状态和所述注册信息,构建安全服务链,所述安全服务链包含用于编排所述用户用于业务访问的业务报文的目标安全服务的安全服务标识;
发送模块,用于将所述安全服务链发送给所述用户。
10.一种业务访问装置,其特征在于,设置于SRv6组网中的头节点中,所述装置,包括:
接收模块,用于接收用户发送的业务报文,所述业务报文包括基于权利要求1~5任一项所述的方法构建的安全服务链;
转发模块,用于按照所述安全服务链对应的网络访问路径转发所述业务报文,以使所述业务报文依次被执行安全服务链对应的安全服务。
11.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的计算机程序,所述处理器被所述计算机程序促使执行权利要求1-5任一项所述的方法,或者执行权利要求6~8任一项所述的方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有计算机程序,在被处理器调用和执行时,所述计算机程序促使所述处理器执行权利要求1-5任一项所述的方法,或者执行权利要求6~8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310769495.3A CN117155599A (zh) | 2023-06-26 | 2023-06-26 | 服务链构建方法、业务访问方法、相关装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310769495.3A CN117155599A (zh) | 2023-06-26 | 2023-06-26 | 服务链构建方法、业务访问方法、相关装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117155599A true CN117155599A (zh) | 2023-12-01 |
Family
ID=88908825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310769495.3A Pending CN117155599A (zh) | 2023-06-26 | 2023-06-26 | 服务链构建方法、业务访问方法、相关装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117155599A (zh) |
-
2023
- 2023-06-26 CN CN202310769495.3A patent/CN117155599A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10148536B2 (en) | Fast detection and remediation of unmanaged assets | |
US8687638B2 (en) | Methods and apparatus to distribute network IP traffic | |
US9794281B1 (en) | Identifying sources of network attacks | |
EP2056559B1 (en) | Method and system for network simulation | |
US8903973B1 (en) | Parallel distributed network management | |
US7912055B1 (en) | Method and apparatus for configuration and analysis of network multicast routing protocols | |
US11044184B2 (en) | Data packet loss detection | |
US8848522B2 (en) | Telecommunications system and server apparatus | |
Amadeo et al. | SDN-managed provisioning of named computing services in edge infrastructures | |
CN112217781A (zh) | 用于分析面向服务的通信的方法及设备 | |
EP2385656B1 (en) | Method and system for controlling data communication within a network | |
CN117155599A (zh) | 服务链构建方法、业务访问方法、相关装置、设备及介质 | |
Venâncio et al. | Nfv-rbcast: Enabling the network to offer reliable and ordered broadcast services | |
US8065727B2 (en) | Monitoring network service affecting events, taking action, and automating subscriber notification | |
US10833981B1 (en) | Method, device, and system for providing hot reservation for in-line deployed network functions with multiple network interfaces | |
West et al. | dNextG: A Zero-Trust Decentralized Mobile Network User Plane | |
Liu et al. | pMeasure: A peer-to-peer measurement infrastructure for the Internet | |
Kang et al. | Reducing the attack surface of edge computing IoT networks via hybrid routing using dedicated nodes | |
Tomic et al. | Implementation and efficiency analysis of composite DNS-metric for dynamic server selection | |
WO2023198174A1 (en) | Methods and systems for predicting sudden changes in datacenter networks | |
Caiazza et al. | TCP‐based traceroute: An evaluation of different probing methods | |
WO2024185495A1 (ja) | エッジノード、コアネットワークノード、通信方法、及びプログラム | |
Kotonya et al. | A differentiation-aware fault-tolerant framework for web services | |
Aldabbas et al. | Intelligent transmission control layer for efficient node management in SDN | |
Chauhan et al. | 3 Named Data Networking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |