一种机载多节点的通信控制方法技术

本申请公开一种机载多节点的通信控制方法，将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符，将其与虚拟逻辑子网标识符进行映射得到映射结果，根据映射结果和网络规划分别对业务系统

【技术实现步骤摘要】
一种机载多节点的通信控制方法


[0001]本申请涉及通信控制
，具体而言，涉及一种机载多节点的通信控制方法
。

技术介绍

[0002]在终端设备接入机载网络后，由于非授权应用软件访问机载网络和业务系统时会造成系统资源浪费
,
同时也会伴随着非法用户
/
软件对业务系统进行篡改
、
窃取
、
劫持等攻击行为，使得机载业务系统在网络层面的安全性不能够得到保障
。
[0003]因此，如何控制用户访问行为
、
防止非法用户访问业务系统，保障业务系统的安全性成为本领域技术人员不得不考虑的众多问题之一
。

技术实现思路

[0004]本申请的目的在于，为了克服现有的技术缺陷，提供了一种机载多节点的通信控制方法，解决终端设备与业务系统间交互过程无法实现跨节点通信隔离的问题，实现了端到端交互过程精细化
、
量化管理
。
[0005]本申请目的通过下述技术方案来实现：
[0006]第一方面，本申请提出了一种机载多节点的通信控制方法，所述方法应用于机载网络架构，所述机载网络架构包括机载路由
/
转发设备
、
机载网络接入点
、
终端设备以及业务系统，所述机载路由
/
转发设备包括主控板卡和交换板卡，所述方法包括：
[0007]将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符；
[0008]按照标识符映射机制将所述逻辑安全域标识符与虚拟逻辑子网标识符进行映射得到映射结果；
[0009]根据所述映射结果和网络规划分别对所述业务系统
、
所述主控板卡
、
所述交换板卡以及所述机载网络接入点进行虚拟逻辑子网部署；
[0010]在部署完成之后，通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求，对所述虚拟网络接口业务请求进行合法性判定；
[0011]在判定合格的情况下，根据六元组信息，结合操作系统内核模块和用户空间接口对所述机载路由
/
转发设备中的业务流进行转发实现路由
/
转发控制
。
[0012]在一种可能的实施方式中，所述逻辑安全域划分机制的规则为：
[0013]根据业务系统访问属性为每个终端设备定义逻辑安全域，逻辑安全域使用全机的数值标识，所述数值标识为逻辑安全域标识符；
[0014]若所述逻辑安全域标识符的数量超限，则对所述逻辑安全域标识符对应的逻辑安全域进行分组合并；
[0015]若在分组合并之后超限，将机载网络分隔为多个物理隔离子网，对所述物理隔离子网进行逻辑安全域划分；
[0016]若终端设备具备相同的业务系统访问属性，将所述终端设备划分至同一逻辑安全
域组，所述逻辑安全域组使用同一个逻辑安全域标识符
。
[0017]在一种可能的实施方式中，当所述终端设备和所述机载网络接入点为有线连接时，根据终端设备连接的固定式总线端口来确定终端设备所属的逻辑安全域；
[0018]当所述终端设备和所述机载网络接入点为无线连接时，根据终端设备连接的无线信号标识符来确定终端设备所属的逻辑安全域
。
[0019]在一种可能的实施方式中，所述标识符映射机制的规则为：
[0020]采用虚拟逻辑子网标识符表示虚拟逻辑子网；
[0021]当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围一致，将逻辑安全域标识符作为虚拟逻辑子网标识符使用；
[0022]当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且无重叠数值区间时，采用线性变换将逻辑安全域标识符映射至虚拟逻辑子网标识符；
[0023]当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且有重叠数值区间时，采用自定义变换将逻辑安全域标识符映射至虚拟逻辑子网标识符
。
[0024]在一种可能的实施方式中，根据所述映射结果和网络规划对所述业务系统进行部署的步骤，包括：
[0025]当所述业务系统承载单个虚拟逻辑子网业务且处于非虚拟化部署方式时，将所述业务系统设置为主机模式并与所述交换板卡连接；
[0026]当所述业务系统承载单个虚拟逻辑子网业务且处于虚拟化部署方式时，将所述业务系统驻留在虚拟化容器中，并使用虚拟网络接口与所述主控板卡的桥节点进行绑定；
[0027]当所述业务系统承载多个虚拟逻辑子网业务且处于非虚拟化部署方式时，将所述业务系统设置为汇聚
/
混杂模式并与所述交换板卡连接；
[0028]当所述业务系统承载多个虚拟逻辑子网业务且处于虚拟化部署方式时，使用多个虚拟网络接口将虚拟化容器中的业务系统与主控板卡的桥节点进行绑定
。
[0029]在一种可能的实施方式中，根据所述映射结果和网络规划对所述主控板卡进行部署的步骤，包括：
[0030]在所述主控板卡上创建虚拟逻辑子网所对应的桥节点；
[0031]在所述主控板卡的物理网络接口上创建虚拟逻辑子网所对应的虚拟网络接口；
[0032]将虚拟网络接口和桥节点作为虚拟逻辑子网的网关节点进行部署
。
[0033]在一种可能的实施方式中，根据所述映射结果和网络规划对所述交换板卡进行部署的步骤，包括：
[0034]将交换板卡与主控板卡之间的物理网络接口设置为汇聚
/
混杂模式；
[0035]将交换板卡和机载无线接入点之间的端口配置虚拟逻辑子网标识符，所述虚拟逻辑子网标识符与主控板卡的虚拟逻辑子网标识符保持一致
。
[0036]在一种可能的实施方式中，根据所述映射结果和网络规划对所述机载网络接入点进行部署的步骤，包括：
[0037]在所述机载网络接入点以有线方式接入终端设备且承载多个虚拟逻辑子网业务的情况下，通过所述机载网络接入点接收带有逻辑子网标识符的报文；
[0038]在所述机载网络接入点以无线方式接入终端设备且交互单个虚拟逻辑子网业务时，将连接方式设置为主机模式，在交互多个虚拟逻辑子网业务时将连接方式设置为汇聚
/
混杂模式
。
[0039]在一种可能的实施方式中，通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求并对所述业务请求进行处理的步骤，包括：
[0040]通过所述业务系统检查虚拟网络接口发送的业务请求是否来自对应的逻辑虚拟子网；
[0041]若不是来自对应的逻辑虚拟子网则丢弃业务请求
。
[0042]在一种可能的实施方式中，所述六元组信息包括源网络地址
、
目的网络地址
、
源端口
、
目的端口
、
传输层协议类型以及报文优先级
。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种机载多节点的通信控制方法，其特征在于，所述方法应用于机载网络架构，所述机载网络架构包括机载路由
/
转发设备
、
机载网络接入点
、
终端设备以及业务系统，所述机载路由
/
转发设备包括主控板卡和交换板卡，所述方法包括：将终端设备和业务系统之间的业务流按照逻辑安全域划分机制进行逻辑安全域划分得到多个逻辑安全域标识符；按照标识符映射机制将所述逻辑安全域标识符与虚拟逻辑子网标识符进行映射得到映射结果；根据所述映射结果和网络规划分别对所述业务系统
、
所述主控板卡
、
所述交换板卡以及所述机载网络接入点进行虚拟逻辑子网部署；在部署完成之后，通过所述业务系统监听归属于不同虚拟逻辑子网的虚拟网络接口业务请求，对所述虚拟网络接口业务请求进行合法性判定；在判定合格的情况下，根据六元组信息，结合操作系统内核模块和用户空间接口对所述机载路由
/
转发设备中的业务流进行转发实现路由
/
转发控制
。2.
如权利要求1所述的通信控制方法，其特征在于，所述逻辑安全域划分机制的规则为：根据终端设备对业务系统访问属性定义逻辑安全域，逻辑安全域使用全机的数值标识，所述数值标识为逻辑安全域标识符；若所述逻辑安全域标识符的数量超限，则对所述逻辑安全域标识符对应的逻辑安全域进行分组合并；若在分组合并之后超限，将机载网络分隔为多个物理隔离子网，对所述物理隔离子网进行逻辑安全域划分；若终端设备具备相同的业务系统访问属性，将所述终端设备划分至同一逻辑安全域组，所述逻辑安全域组使用同一个逻辑安全域标识符
。3.
如权利要求2所述的通信控制方法，其特征在于，当所述终端设备和所述机载网络接入点为有线连接时，根据终端设备连接的固定式总线端口来确定终端设备所属的逻辑安全域；当所述终端设备和所述机载网络接入点为无线连接时，根据终端设备连接的无线信号标识符来确定终端设备所属的逻辑安全域
。4.
如权利要求1所述的通信控制方法，其特征在于，所述标识符映射机制的规则为：采用虚拟逻辑子网标识符表示虚拟逻辑子网；当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围一致，将逻辑安全域标识符作为虚拟逻辑子网标识符使用；当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且无重叠数值区间时，采用线性变换将逻辑安全域标识符映射至虚拟逻辑子网标识符；当逻辑安全域标识符和虚拟逻辑子网标识符的数值范围不一致且有重叠数值区间时，采用自定义变换将逻辑安全域标识符映射至虚拟逻辑子网标识符
。5.
如权利要求1所...

【专利技术属性】
技术研发人员：苟江，田伟，雷智华，
申请(专利权)人：中国电子科技集团公司第十研究所，
类型：发明
国别省市：