【技術實現步驟摘要】
本專利技術涉及網絡通信,具體的說是一種提升專網安全的算力零信任安全隧道方法和系統。
技術介紹
1、在算力網絡、移動通信網絡領域,各種類型的轉發面隧道通常要求通信雙方先建立隧道,再進行數據的轉發。這種建立隧道的方式對于隧道端點較多的場景而言,存在一些顯著的問題和挑戰:
2、1、n平方條隧道問題:當節點數量較多時,如果每兩個節點之間都需要建立一條獨立的隧道,那么總的隧道數量將是節點數的平方(n^2)。這會導致隧道數量呈指數級增長,極大地增加了管理和配置的復雜性.
3、2、資源消耗問題:隧道的建立、管理和維護都需要消耗主機和網絡資源。隨著隧道數量的增加,這些資源的消耗也會相應增加,可能導致系統性能下降或資源不足。
4、3、隧道管理復雜性:節點的主機協議棧需要針對各種隧道類型(如gre/ipsec/vxlan等)、承載業務(l2、l3)等分配隧道實例、轉發表、接口/ip、業務流解析、封裝等資源。這進一步增加了隧道管理的復雜性和冗余性。
5、4、轉發面功能趨同問題:在異構網絡中,不同元設備實施轉控分離后,轉發面功能可能趨于相同,但控制面功能也可能趨同。這雖然有助于實現異構網絡的統一化,但也帶來了新的挑戰,例如,如何確保不同設備之間的兼容性和互操作性。
6、為了解決這些問題,業界正在探索新的技術和方法。
技術實現思路
1、本專利技術針對目前技術發展的需求和不足之處,提供一種提升專網安全的算力零信任安全隧道方法和系統。
2、
3、一種提升專網安全的算力零信任安全隧道方法,其包括如下步驟:
4、s1、將各隧道端節點向統一的控制中心進行注冊,并在控制面進行隧道端點信息的認證;
5、s2、選擇路由協議,進行業務層路由信息、算力信息、網絡信息的通告;通過路由協議,節點根據實際需求進行算力網絡的調度;
6、s3、當算力網絡中的源節點收到來自終端的上行業務報文時,源節點根據overlay的路由信息為報文添加隧道封裝,并在封裝中加入綜合加密鑒權的安全標識信息,然后發送出去;目的節點在收到隧道封裝的報文后,根據隧道源地址和安全標識格式進行“粗略”分類,并對符合預設安全特征的報文進行安全標識信息的校驗,以完成隧道和安全兩個維度的認證;
7、一旦報文通過了安全校驗,目的節點就會移除其隧道封裝,并將原始的業務報文路由到算力服務進行處理;當算力服務的下行業務到達目的節點時:目的節點為下行業務添加新的隧道封裝,并路由到指定節點;隨后,當指定節點收到這個下行業務的報文時,移除隧道封裝,并將業務報文轉發給終端。
8、可選的,所涉及步驟s1的具體實現流程如下:
9、s1.1、新節點注冊請求:當一個新節點希望加入算力網絡時,該新節點首先需要向控制中心發送一個注冊請求,所述注冊請求中包含節點身份、安全認證信息和公鑰;
10、s1.2、注冊響應:控制中心收到注冊請求后,首先驗證新節點的節點身份和安全認證信息,并在驗證通過準備一個響應,所述響應中包含有算力網絡中先前已注冊節點的相關信息;
11、s1.3、安全隧道認證:使用控制中心提供的響應信息,新節點與算力網絡中先前已注冊的節點建立“虛擬”安全隧道;
12、s1.4、信息通告:新節點注冊成功后,控制中心將新節點的信息通告給算力網絡中先前已注冊的所有節點。
13、進一步可選的,執行步驟s1后:
14、(1)控制面連接與安全認證:在控制中心與各節點之間建立控制面連接,并完成安全認證;
15、(2)“虛擬”安全隧道的自動建立:在完成控制面的安全認證后,各節點間將自動完成“虛擬”安全隧道的建立;
16、(3)業務層面的算力路由通告:結合業務層面的算力路由通告,各節點將具備業務層面的路由信息和安全隧道封裝功能。
17、可選的,選擇集中式路由協議、分布式路由協議、策略路由或本地命令行配置,進行業務層路由信息、算力信息、網絡信息的通告,其中:
18、集中式路由協議包括pce和netconf兩種,pcep用于傳送路徑計算請求和響應,netconf提供一種機制來安裝、刪除、修改和查詢數據,用于設備配置和管理;
19、分布式路由協議包括bgp和igpigp兩種,bgp作為邊界網關協議,用于自治系統之間的路由信息交換;igp又包括ospf和isis,用于自治系統內部的路由信息交換;
20、策略路由基于用戶定義的策略來進行路由決策,能靈活地控制數據包的走向;
21、本地命令行配置直接在網絡設備上通過命令行界面進行配置。
22、可選的,執行步驟s3,根據安全需求的不同,采用嚴格模式或松散模式進行報文的安全認證,其中:
23、對于嚴格模式,將逐包進行安全認證,這一過程中,網絡設備會對每個接收到的報文都進行獨立的安全認證;
24、對于松散模式,建立流表,網絡設備首先對數據流的第一個報文進行嚴格的安全認證,一旦第一個報文認證通過,后續的報文將基于建立的流表進行抽檢;如果抽檢發現不合格的報文,將執行預定的策略。
25、第二方面,本專利技術提供一種提升專網安全的算力零信任安全隧道系統,解決上述技術問題采用的技術方案如下:
26、一種提升專網安全的算力零信任安全隧道系統,其包括:
27、控制中心,用于接收各隧道端節點的注冊請求,并在控制面進行隧道端點信息的認證過程;
28、選擇通告模塊,用于選擇路由協議,進行業務層路由信息、算力信息、網絡信息的通告,還用于通過選擇的路由協議,輔助節點根據實際需求進行算力網絡的調度;
29、網絡調度模塊,用于根據選擇的路由協議輔助節點根據實際需求進行算力網絡的調度;
30、報文處理模塊,用于在算力網絡中的源節點收到來自終端的上行業務報文時,根據overlay的路由信息為報文添加隧道封裝,并在封裝中加入綜合加密鑒權的安全標識信息,然后發送出去;
31、分類校驗模塊,用于在目的節點收到隧道封裝的報文后,根據隧道源地址和安全標識格式進行“粗略”分類,并對符合預設安全特征的報文進行安全標識信息的校驗,以完成隧道和安全兩個維度的認證;
32、封裝移除模塊,用于在報文通過安全校驗后移除報文中的隧道封裝,并將原始的業務報文路由到算力服務進行處理;
33、路由處理模塊,用于將原始的業務報文路由到相應的算力服務,在算力服務的下行業務到達時為下行業務添加新的隧道封裝,并路由到指定節點;
34、移除轉發模塊,用于在指定節點收到下行業務的報文時移除隧道封裝,并將業務報文轉發給終端。
35、可選的,所涉及控制中心接收各隧道端節點的注冊請求,并在控制面進行隧道端點信息的認證過程,這一過程具體包括如下實本文檔來自技高網...
【技術保護點】
1.一種提升專網安全的算力零信任安全隧道方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,所述步驟S1的具體實現流程如下:
3.根據權利要求2所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,執行步驟S1后:
4.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,選擇集中式路由協議、分布式路由協議、策略路由或本地命令行配置,進行業務層路由信息、算力信息、網絡信息的通告,其中:
5.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,執行步驟S3,根據安全需求的不同,采用嚴格模式或松散模式進行報文的安全認證,其中:
6.一種提升專網安全的算力零信任安全隧道系統,其特征在于,其包括:
7.根據權利要求6所述的一種提升專網安全的算力零信任安全隧道系統,其特征在于,所述控制中心接收各隧道端節點的注冊請求,并在控制面進行隧道端點信息的認證過程,這一過程具體包括如下實現流程:
8.根據權利要求
9.根據權利要求6所述的一種提升專網安全的算力零信任安全隧道系統,其特征在于,所述選擇通告模塊選擇集中式路由協議、分布式路由協議、策略路由或本地命令行配置,進行業務層路由信息、算力信息、網絡信息的通告,其中:
10.根據權利要求6所述的一種提升專網安全的算力零信任安全隧道系統,其特征在于,所述分類校驗模塊根據安全需求的不同,采用嚴格模式或松散模式進行報文的安全認證,其中:
...【技術特征摘要】
1.一種提升專網安全的算力零信任安全隧道方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,所述步驟s1的具體實現流程如下:
3.根據權利要求2所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,執行步驟s1后:
4.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,選擇集中式路由協議、分布式路由協議、策略路由或本地命令行配置,進行業務層路由信息、算力信息、網絡信息的通告,其中:
5.根據權利要求1所述的一種提升專網安全的算力零信任安全隧道方法,其特征在于,執行步驟s3,根據安全需求的不同,采用嚴格模式或松散模式進行報文的安全認證,其中:
6.一種提升專網安全的算力零信任安全隧道系統,其特征在于,其包括:...
【專利技術屬性】
技術研發人員:樊斌峰,胡青陽,趙臻,
申請(專利權)人:浪潮通信技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。