【技术实现步骤摘要】
网络安全路由方法和系统
[0001]本专利技术一般涉及网络安全
,具体涉及网络安全路由方法和系统。
技术介绍
[0002]随着因特网的普及以及多媒体等高带宽需求业务的不断发展,IP业务呈现爆炸性的增长,随之使得IP网络的带宽资源显得越来越紧张,为了更好的利用网络资源和提供更好的服务质量,保证许多关键应用的数据在IP网络中的传输安全非常重要。
[0003]目前,相关技术通过对传输的数据包加密、数据完整性验证、数据签名等的身份验证来保证数据传输过程中的安全,当通过逐跳范式路由(Hop
‑
by
‑
hop Paradigm)和流量工程路由等路由算法进行网络安全路由时,可以将安全风险度加入该路由算法中。
[0004]然而,对传输的数据包进行身份验证需要额外的端系统配合,需要一定的实施成本和协议代价,且并非所有网络中的数据都适用,逐跳范式路由无法从宏观上选择最优的安全路径,流量工程路由中采用的约束型路由需要采用复杂的运营核心网的转发技术,其不仅对用户技术能力和维护运营有极高的要求...
【技术保护点】
【技术特征摘要】
1.一种网络安全路由方法,其特征在于,该方法包括:对功能域内各个节点中的每个节点进行安全值初始化处理,确定每个节点对应的各个域内接口的安全值;按照常规路由规则,在预设周期内最大化遍历可能路径;基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理,得到路径安全值;基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发。2.根据权利要求1所述的方法,其特征在于,所述预设的带内信令规则,包括:对于功能域内各节点的出向流量,基于路由表待转发的出向数据包和节点类型,更新数据包的前向安全值编码和后向安全值编码;对于功能域内各节点的入向流量,按照路由表条目和节点类型,更新数据包的前向安全值编码和后向安全值编码。3.根据权利要求2所述的方法,其特征在于,对于功能域内各节点的出向流量,基于路由表待转发的出向数据包和节点类型,更新数据包的前向安全值编码和后向安全值编码,包括:命中路由表待转发的出向数据包,将数据包的前向安全值编码与命中的所述出向数据包的前向安全值进行比较,选择较小值更新数据包的前向安全值编码;当所述待转发数据包由所述节点类型为边界节点向域内节点转发时,通过路由表的后向安全值更新所述数据包的后向安全值编码。4.根据权利要求2所述的方法,其特征在于,对于功能域内各节点的入向流量,按照路由表条目和节点类型,更新数据包的前向安全值编码和后向安全值编码,包括:接收来自域内节点的数据包;按源IP地址搜索路由表条目,将所述数据包的后向安全值编码和命中路由的前向安全值记录进行比较,选择较小值更新所述命中的路由表项对应的前向安全值编码;对于所述节点类型为边界节点从域内节点发送至域外的数据包时,通过所述数据包的前向安全值编码更新所述命中的路由表项对应的后向安全值编码。5.根据权利要求1所述的方法,其特征在于,基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发,包括:判断路由协议的路由表中是否存在多条等价路径,所述等价路径具有相同的起始地和目的地;若不存在多条等价路径时,节点按照命中的路由表进行安全路由转发;若存在多条等价路径时,根据所述路径安全值和所述关键业务流量进行安全路由转发。6.根据权利要求5所述的方法,其特征在于,所述路径安全值包括前向安全值,根据所述路径安全值和所述关键业务流量进行安全路由转发,包括:当所述关键业务流量小于预设流量阈值且需要安全路由时,按照所述多条等价路径中前向安全值记录当前最优的路径进行安全路由转发;当所述关键业务流量不小于预设流量阈值且需要负载均衡时,按照所述多条等价路径中多路负载均衡的方式进行路由转发。
7.根据权利要求1所述的方法,其特征在于,基于所述路径安全值,将筛选的关键业务流量按照路由转发策略进行安全路由转发,包括:将所述关键业务流量进行封装处理,得到待转发的第一域外数据包数据包,第一域外数据包为从第一域外节点传输至第二域外节点的通信数据;第一域外节点将所述待转发的第一域外数据包发送至第一边界节点;所述第一边界节点按照预设的带内信令规则,更新所述待转发的第一域外数据包的前向安全值编码和后向安全值编码,得到第一更新数据包并通过对应的域内接口将所述第一更新数据包发送至域内节点;所述域内节点接收所述第一...
【专利技术属性】
技术研发人员:魏雅菲,
申请(专利权)人:北京明未科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。