轻量级安全自组织控制平面制造技术

一种网络设备，包括发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分。所述网络设备还包括处理器，所述处理器与所述发送器和所述接收器耦合。所述处理器从应用接收请求，以发起与目标网络节点的连接。所述处理器还从所述应用接收报文，以向所述目标网络节点传输。当所述应用中的所述报文未加密时，所述处理器在不通知所述应用的情况下对所述未加密报文进行端到端加密。所述发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

【技术实现步骤摘要】
【国外来华专利技术】轻量级安全自组织控制平面相关申请案的交叉参考本申请要求于2018年3月2日提交的专利技术名称为“轻量级安全自组织控制平面(LightweightSecureAutonomicControlPlane)”的第15/910,947号美国非临时专利申请案的优先权，其内容以引用的方式并入本文中，如全文再现一般。关于由联邦政府赞助研究或开发的声明不适用参考缩微胶片附录不适用
技术介绍
网络可用于与各种业务进行通信。在许多情况下，用户希望这种通信以安全的方式进行，以防止未经授权方进行访问。但是，安全性的提高增大了通信的复杂性。通信复杂性增大可能使某些网络组件不可用，需要对网络组件进行复杂配置，和/或降低总体通信速度。因此，通信网络设计应该平衡安全需求和通信需求，以便创建一个在执行通信任务时既相当安全又相当有效的网络。
技术实现思路
在一个实施例中，本专利技术包括一种网络设备，包括：发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(AutonomicControlPlane，A本文档来自技高网...

【技术保护点】
1.一种网络设备，其特征在于，包括：/n发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分；/n处理器，与所述发送器和所述接收器耦合，所述处理器用于：/n从应用接收请求，以发起与目标网络节点的连接；/n从所述应用接收报文，以向所述目标网络节点传输；/n当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；/n使发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。/n

【技术特征摘要】
【国外来华专利技术】20180302 US 15/910,9471.一种网络设备，其特征在于，包括：
发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(AutonomicControlPlane，ACP)网络的一部分；
处理器，与所述发送器和所述接收器耦合，所述处理器用于：
从应用接收请求，以发起与目标网络节点的连接；
从所述应用接收报文，以向所述目标网络节点传输；
当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；
使发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。


2.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于，当所述应用中的报文已由所述应用加密时，不再对所述报文加密。


3.根据权利要求1所述的网络设备，其特征在于，所述处理器根据传输层安全(transportlayersecurity，TLS)协议、数据报传输层安全(datagramtransportlayersecurity，dTLS)协议或其组合对所述未加密报文加密。


4.根据权利要求1所述的网络设备，其特征在于，与一个或多个网络节点建立安全连接包括：
向所述网络节点发送加密的本地链路主动发现(discoveryunsolicitedlinklocal，DULL)通用自组织信令协议(GenericAutonomicSignalingProtocol，GRASP)发现消息；
建立安全的传输层安全(transportlayersecurity，TLS)连接进行认证；
解封认证网络节点对应的端口。


5.根据权利要求1所述的网络设备，其特征在于，与一个或多个网络节点建立安全连接还包括与相邻网络节点建立组播本地链路通信连接。


6.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于在使用ACP路由表发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达。


7.根据权利要求6所述的网络设备，其特征在于，所述ACP路由表通过接收ACP路由协议泛洪的所述ACP网络中的网络节点的虚拟路由转发(VirtualRoutingandForwarding，VRF)地址来填充。


8.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于在使用地址映射服务发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达，从而确定所述目标网络节点的ACP虚拟路由转发(VirtualRoutingandForwarding，VRF)地址。


9.根据权利要求8所述的网络设备，其特征在于，所述地址映射服务：
使用所述发送器在所述ACP网络中泛洪ACP通用自组织信令协议(GenericAutonomicSignalingProtocol，GRASP)发现消息；
使用所述接收器响应于所述GRASP发现消息，在GRASP响应消息中接收所述目标网络节点的所述VRF。


10.根据权利要求1所述的网络设备，其特征在于，通过所述ACP网络向所述目标网络节点发送所述加密报文包括：
标记所述加密报文以指示所述ACP网络中的成员关系；
封锁除标记报文和ACP网络发现报文外的所有报文。


11.根据权利要求1所述的网络设备，其特征在于，通过所述ACP网络向所述目标网络节点发送所述加密报文包括通过以下方式组播所述加密报文：
与多个相邻网络节点创建多个安全端到端连接；
在所述安全端到端连接上单播所述加密报文。


12.根据权利要求1所述的网络设备，其特征在于，所述处理器还用于通过以下方式保护所述安全连接免受中间人攻击：
与所述ACP网络中的相邻网络...

【专利技术属性】
技术研发人员：托尔莱斯·埃克特，蒋胜，刘冰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44