CN113347095B - 基于分段路由技术的规避路由路径选择方法及装置 - Google Patents
基于分段路由技术的规避路由路径选择方法及装置 Download PDFInfo
- Publication number
- CN113347095B CN113347095B CN202110879913.5A CN202110879913A CN113347095B CN 113347095 B CN113347095 B CN 113347095B CN 202110879913 A CN202110879913 A CN 202110879913A CN 113347095 B CN113347095 B CN 113347095B
- Authority
- CN
- China
- Prior art keywords
- routing
- path
- segment
- sar
- evasion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于分段路由技术的规避路由路径选择方法及装置,该方法包括:分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;检测网络安全服务级别;在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型进行求解,获得最优段规避路由路径;在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法获取最优段规避路由路径;在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法获取最优段规避路由路径。本发明在降低路由成本的同时起到网路流量安全保护的作用,并且能够有效提高路由路径选择效率。
Description
技术领域
本发明涉及路由技术领域,尤其涉及一种基于分段路由技术的规避路由路径选择方法及装置。
背景技术
随着互联网的迅猛发展,人们线上进行活动越来越流行,这使得流量日益增长,相应地,人们越来越关注数据安全性和隐私性,为了减少泄露敏感信息的风险,通常会使用匿名通信来保护用户的表示信息,以及使用加密技术来确保攻击者无法翻译所拦截的数据,但是随着解密技术的发展和计算能力的提高,加密数据面临着被解密的风险,此外匿名通信技术还面临着一些挑战,如延迟增加、易受攻击和计算复杂等问题。
防御攻击者的更好方式是避免攻击,毫无疑问地,在完全可信任的网络中传输数据包具有最高的安全级别,人们可以在私有自治***中建立一个完全受信任的网络,但是在公共互联网则不可能。因此,为了解决网络中某些路由可能会被劫持进而导致数据泄露的问题,迫切需要提出一种可以避开所有已知不可信节点的路由路径的方法。
目前,有人提出了AR(Avoidance Routing,规避路由)来将流量路由到目标,且无需经过不受信任的网络区域。但在AR中,必须部署中间节点来中继数据包以跳过不可信节点,这会带来额外的部署和运营开销,进而增加路由成本,同时会限制路由路径的选择并降低网络的灵活性。
发明内容
本发明实施例的目的在于提供一种基于分段路由技术的规避路由路径选择方法及装置,以达到降低路由成本,并降低流量被劫持风险的目的。
基于上述目的,本发明实施例提供一种基于分段路由技术的规避路由路径选择方法,包括:
分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径。
优选地,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;其中,所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
优选地,所述构建多段规避路由模型,包括:
根据构建的所述网络图和表征为三元组的所述流量,定义多段规避路由;其中,所述多段规避路由定义为,所述流量在所述网络中沿着一条段路由路径路由;其中,所述段路由路径最多包含个段,且每个段中均不包含在所述不受信任路由器集合中的不受信任路由器;
其中,为连接节点和节点的链路,且;为链路的权重;为二进制变量,用于判断链路是否属于最短路径,若链路属于最短路径,则,否则;、分别表示流出和流入节点的链路的集合;且所述多段规避路由模型的约束条件包含流量守恒约束、流出度约束和跳数约束。
优选地,所述构建具有完整网络信息的段规避路由算法,包括:
优选地,所述构建具有部分网络信息的段规避路由算法,包括:
优选地,所述构建具有部分网络信息的段规避路由算法,还包括:
优选地,所述检测网络安全服务级别,包括:
获取满足预设规避条件的流量的占比率;
在所述流量的占比率达到第一等级阈值时,确定所述网络安全服务级别为高安全等级;
在所述流量的占比率达到第二等级阈值时,确定所述网络安全服务级别为中安全等级;
在所述流量的占比率达到第三等级阈值时,确定所述网络安全服务级别为低安全等级。
优选地,所述第一等级阈值、所述第二等级阈值和所述第三等级阈值分别为90%、60%和40%。
此外,本发明实施例还提供一种基于分段路由技术的规避路由路径选择装置,包括:
模型算法构建模块,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块,用于检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块,用于在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块,用于在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块,用于在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径。
由上述可知,本发明实施例提供的基于分段路由技术的规避路由路径选择方法,首先构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法,然后根据不同的网络安全服务级别需求,选择利用优化求解器求解多段规避路由模型的方式、具有完整网络信息的段规避路由算法以及具有部分网络信息的段规避路由算法中任意一种方式,获得最优段规避路由路径,以实现流量保护。本实施例提供的基于分段路由技术的规避路由路径选择方法,在降低路由成本的同时起到网路流量安全保护的作用,此外还可以提高路由路径选择效率,并保证网络的灵活性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例中基于分段路由技术的规避路由路径选择方法的流程图;
图2为本发明一实施例中的段规避路由的示例图;
图3为本发明一实施例中的多级图的示例图;
图4为本发明一实施例中C-SAR算法的示例图;
图5为本发明一实施例中P-SAR算法的示例图;
图6为本发明一实施例中基于分段路由技术的规避路由路径选择装置的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
本发明中涉及的部分名词解释如下:
AR:Avoidance Routing,规避路由;
SR:Segment Routing,段路由;
SAR:段规避路由;
n-SAR:多段规避路由;
C-SAR:具有完整网络信息的段规避路由;
P-SAR:具有部分网络信息的段规避路由。
如图1所示,本发明一实施例提供的一种基于分段路由技术的规避路由路径选择方法,具体包括以下步骤:
步骤S10,分别构建多段规避路由模型(n-SAR模型)、具有完整网络信息的段规避路由算法(C-SAR算法)和具有部分网络信息的段规避路由算法(P-SAR算法)。
在本实施例中,n-SAR模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型。
C-SAR算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出。
P-SAR算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找SAR路径第二总集中所有的非安全路径,并将非安全路径从SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
图2举例说明了如何利用SR技术引导一个从路由器A到路由器K的流量绕过不受信任的路由器F。假定默认路由协议采用最短路径作为路由路径,为了绕过不受信任的路由器F,只需将段路由标头添加到数据包标头中,再沿着新的逻辑路径引导流量。当路由器B接收到来自路由器A的数据包时,路由器B会激活相应的分段K并将数据包引导至路径,在本实施例中将这种基于SR技术的规避路由定义为SAR。
进一步地,在本实施例的一方面,针对如何寻找最优的SAR路径问题,构建n-SAR模型,以在后续步骤中通过求解n-SAR模型获得最优SAR路径。而在本实施例的另一方面,针对完整网络信息和部分网络信息这两种情况,构建不同的SAR算法来获取最优SAR路径。
在一优选实施例中,步骤S10中构建多段规避路由模型,包括以下步骤:
步骤S1011,对网络进行建模,构建网络图;其中,是路由器集合,可以包含网络中所有的路由器;为无向链路集合,网络路由器集合中的路由器通过无向链路集合中的链路连接;为链路权重集合,无向链路集合中的任一条链路在链路权重集合中对应一个权重;为不受信任路由器集合,包含网络中所有的不受信任的路由器,且每一个不受信任的路由器对应一个不可信节点。
步骤S1013,根据构建的网络图和表征为三元组的流量,定义多段规避路由(n-SAR);其中,n-SAR定义为,流量在网络中沿着一条段路由路径路由;其中,该段路由路径最多包含个段,且每个段中均不包含在中的不受信任路由器。
进一步地,为了对定义的n-SAR问题进行建模,可以先将网络图转化为一个完全图,其中,网路路由集合由无向链路集合相连,每一个链路表示从节点到的最短路径,表示最短路径的花费;再从完全图中删除不信任节点以及不信任节点相关的链路,得到目标图,此时,可以将n-SAR问题转化为找到一条从源节点到目的节点跳数小于最大跳数,并且费用最小的路径。
在本实施例中,n-SAR模型具体表示为:
公式(1),为连接节点和节点的链路,且;为链路的权重;为二进制变量,用于判断链路是否属于最短路径,若链路属于最短路径,则,否则;、分别表示流出和流入节点的链路的集合;公式(2)为流量守恒约束;公式(3)为流出度约束,用于确保每个节点的流出度不超过1;公式(3)为跳数约束,用于确保最短路径的路径跳数小于最大段数。
可理解的,在本实施例中将n-SAR问题转化为跳数约束最短路径问题,并对n-SAR问题公式化为n-SAR模型,利用n-SAR模型可以获得最优SAR路径,进而实现降低路由成本,保护流量的目的,可以避免路由器被劫持而导致数据泄露的问题。
在一优选实施例中,步骤S10中构建具有完整网络信息的段规避路由算法,包括以下步骤:
可理解的,对于大型网络,为了提高找到最优SAR路径的效率,根据完整网络信息(包含路由器的地址、链路状态和不受信任的路由器)构建C-SAR算法,该C-SAR算法通过随机选择节点来扩展下游段。
为了满足跳数约束,即公式(4),C-SAR算法设置次迭代,并通过函数在第( )次迭代中获取至少一个具有个段的SAR路径,并根据所有的SAR路径生成第次迭代对应的候选SAR路径集合。进一步地,对每一次迭代对应的候选SAR路径集合进行相加,得到SAR路径第一总集,最后C-SAR算法在中选择路由成本最低的路径作为最终解决方案。
如图3所示,在本实施例中使用多级图寻找所有的具有个段的SAR路径,从多级图的第0层开始,按照顺序将上一层的节点添加到下一层,为了降低算法的复杂度,可以为在层中的每个节点随机选择个子节点(为在中未选中的节点集合,为向下取整函数),并将选中的节点添加到第层对应的节点集合中。 进一步地,在找到第层的所有节点后,更新未选中节点集合,并当达到第层时,将第层的所有节点连接到第层。最后,检测从源节点到目的节点的每条路径是否为安全无环的SAR路径,若符合要求,则将其添加到;若不符合要求,则将其标记为非安全的SAR路径。
在本实施例中,C-SAR算法的算法描述如下:
算法1:具有完整网络信息的段规避路由
5: else
可理解的,在本实施例中,通过构建的C-SAR算法来获取最优SAR路径,对于大型网络,可以有效提高最优路径的选择效率。
在一优选实施例中,步骤S10中构建具有部分网络信息的段规避路由算法,包括以下步骤:
步骤S1032,根据邻居节点集和安全节点集生成包含一类候选路径和二类候选路径的SAR路径第二总集。其中,该一类候选路具有两个段,且将作为中间节点,可以表示为;该二类候选路径具有三个段,且将和作为中间节点,可以表示为。
步骤S1033,控制源节点 沿着SAR路径第二总集 中的每一候选条路径发送探针,检查每条候选路径是否经过不信任节点,若经过,则删除该条候选路径;若不经过,则保留该条路径。
可理解的,为了降低获取完整网络信息的难度,基于部分网络信息(仅包含路由器网络地址)构建P-SAR算法,在P-SAR算法中,源节点通过定期向邻居节点和目的节点发送探针,获得路径中的路由器网络地址,进而根据路径中的路由器网络地址,找到流量的SAR路径。
P-SAR算法的算法描述如下:在网络中,流量沿着最短路径经过了一些不信任节点,若检测到节点是最短路径中的最后一个不受信任的节点,则从节点开始,按照顺序获取节点,直至获取到目的节点的前一个节点,构成安全节点集。
进一步地,获取源节点的所有邻居节点构成邻居节点集,并使用邻居节点集和安全节点集生成两种不同路径类型的候选SAR路径,分别为包含两个段的一类候选路径和包含三个段的二类候选路径。在由和组合构成SAR路径第二总集之后,源节点可以沿着中的任意一条候选路径发送探针,检查每条候选路径是否经过不信任节点,若候选路径经过不信任节点,则将这条候选路径从中删除。最后,从仅包含安全路径(即未经过不信任节点的候选路径)的SAR路径第二总集中选择路由成本最低的路径作为最优SAR路径输出。
可理解的,在本实施例中通过构建的P-SAR算法来获取最优SAR路径,无需获取完整网络信息,可以在降低信息收集难度的同时,保证最优的方案效果。
在一优选实施例中,步骤S1031之前,也即构建P-SAR算法之前,还包括以下步骤:
步骤S20,检测网络安全服务级别;其中,网络安全服务级别分为高安全等级、中安全等级和低安全等级。
在本实施例中,根据满足预设规避条件的流量的占比率和安全等级对应的等级阈值来确定网络安全服务级别。其中,预设规避条件是指,成功规避网络中的不信任节点。
作为优选,步骤S20包括以下步骤:
步骤S201,获取满足预设规避条件的流量的占比率。
步骤S202,在流量的占比率达到第一等级阈值时,确定网络安全服务级别为高安全等级。
步骤S203,在流量的占比率达到第二等级阈值时,确定网络安全服务级别为中安全等级。
步骤S204,在流量的占比率达到第三等级阈值时,确定网络安全服务级别为低安全等级。
也即,判断可以成功规避网络中的不信任节点的流量的占比率是否达到第一等级阈值,若是,则确定网络完全服务级别为高安全等级。若否,则进一步判断可以成功规避网络中的不信任节点的流量的占比率是否达到第二等级阈值,若是,则确定网络完全服务级别为中安全等级。若否,则最后判断可以成功规避网络中的不信任节点的流量的占比率是否达到第三等级阈值,若是,则确定网络完全服务级别为低安全等级。若否,则确定当前网络为高风险网络,并自动禁止流量在高风险网络中路由。其中,第一等级阈值、第二等级阈值和第三等级阈值分别为90%、60%和40%。
步骤S30,在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型(n-SAR模型)进行求解,获得最优段规避路由路径。
作为优选,在网络安全服务级别为高安全等级时,利用优化求解器CPLEX对n-SAR模型进行求解,获得最优SAR路径。其中,CPLEX为商业版的优化引擎,可以用于求解大规模的线性规划、二次规划、带约束的二次规划、二阶锥规划等四类基本问题,以及相应的混合整数规划问题。可理解的,利用优化求解器CPLEX对n-SAR模型进行求解,也即根据CPLEX软件,将n-SAR模型转译为计算机语言,借助计算机来求解。
在其他实施例中,可以利用其他的优化求解器,例如LINGO、MOSEK等对n-SAR模型进行求解,来获取最优解决方案。其中,LINGO为交互式的线性和通用优化求解器,可以用于求解非线性规划,也可以用于一些线性和非线性方程组的求解等;MOSEK为数学优化求解器,可以用于快速求解二次规划、二阶锥规划和半正定规划问题。
步骤S40,在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法(C-SAR算法)获取最优段规避路由路径。
作为优选,在网络安全服务级别为中安全等级时,通过步骤S1021至步骤S1023构建的C-SAR算法,来获取最优SAR路径。
图4举例说明了如何利用SAR算法为一个节点到另一个节点的流量选择一条SAR路径。在时,首先随机选择个节点(E和G)作为源节点A的子节点,然后选择个随机节点B作为节点E的节点,另一个随机节点J作为节点G的子节点。通过这种方式,可以获得的候选SAR路径分别为和。由于路径在原始图形中有一个循环,因此候选SAR路径集。
可理解的,在C-SAR算法中,为了找到所有段数不超过最大段数的候选SAR路径,函数需要为每个父节点随机选择个子节点,因此候选路径的数量不超过,为路由器集合中的节点数量。此时,找出路由成本最低的路径需要进行对比,这样C-SAR算法的总时间复杂度为。
步骤S50,在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法(P-SAR算法)获取最优段规避路由路径。
作为优选,在网络安全服务级别为低安全等级时,通过步骤S1031至步骤S1034构建的P-SAR算法,获取最优SAR路径。
图5举例说明了如何利用P-SAR算法为一个节点到另一个节点的流量选择一条SAR路径。从节点A到节点K的流量需要绕过不信任节点F,可以得到源节点A的邻居节点集合和安全节点集合。基于根据以上信息,可以得到一类候选路径,包含和,和二类候选路径,包含和。最后从这四个路径中,选择理由成本最低的路径作为最优SAR路径。
综上所述,本实施例提供的基于分段路由技术的规避路由路径选择方法,首先构建多段规避路由模型(SAR模型)、具有完整网络信息的段规避路由算法(C-SAR算法)和具有部分网络信息的段规避路由算法(P-SAR算法),然后根据不同的网络安全服务级别需求,选择利用优化求解器求解多段规避路由模型的方式、具有完整网络信息的段规避路由算法以及具有部分网络信息的段规避路由算法中任意一种方式,获得最优段规避路由路径,进而实现降低路由成本,保护流量的目的,可以避免路由器被劫持而导致数据泄露的问题。本实施例提供的基于分段路由技术的规避路由路径选择方法,降低路由成本的同时起到网路流量安全保护的作用,此外还可以提高路径选择效率,并保证网络的灵活性。
如图6所示,此外,本发明一实施例还提供了一种基于分段路由技术的规避路由路径选择装置,包括模型算法构建模块110、安全级别检测模块120、模型求解模块130、C-SAR算法模块140和P-SAR算法模块150。其中,
模型算法构建模块110,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块120,用于检测网络安全服务级别;该网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块130,用于在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块140,用于在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块150,用于在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法获取最优段规避路由路径。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
进一步地,所述模型算法构建模块110包括n-SAR模型构建模块、C-SAR算法构建模块、P-SAR算法构建模块。
进一步地,所述模型算法构建模块110中的n-SAR模型构建模块包含网络建模单元、流量表征单元、网络图预处理单元和n-SAR模型单元;其中,
网络图预处理单元,用于根据构建的网络图和表征为三元组的流量,定义多段规避路由;其中,多段规避路由定义为,流量在网络中沿着一条段路由路径路由;其中,该段路由路径最多包含个段,且每个段中均不包含在不受信任路由器集合中的不受信任路由器;
进一步地,所述模型算法构建模块110中的C-SAR算法构建模块包含选择函数构建单元、第一总集获取单元和第一路径获取单元;其中,
进一步地,所述模型算法构建模块110中的P-SAR算法构建模块包含节点集构建单元、第二总集获取单元、探针检查单元和第二路径选择单元;其中,
进一步地,所述模型算法构建模块110中的P-SAR算法构建模块还包含安全节点定义单元;
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明实施例的,不同方面的许多其它变化,为了简明它们没有在细节中提供。
本发明实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (9)
1.一种基于分段路由技术的规避路由路径选择方法,其特征在于,包括:
分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径;
其中,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
2.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建多段规避路由模型,包括:
根据构建的所述网络图和表征为三元组的所述流量,定义多段规避路由;其中,所述多段规避路由定义为,所述流量在所述网络中沿着一条段路由路径路由;其中,所述段路由路径最多包含个段,且每个段中均不包含在所述不受信任路由器集合中的不受信任路由器;、分别为源节点和目的节点;
7.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述检测网络安全服务级别,包括:
获取满足预设规避条件的流量的占比率;
在所述流量的占比率达到第一等级阈值时,确定所述网络安全服务级别为高安全等级;
在所述流量的占比率达到第二等级阈值时,确定所述网络安全服务级别为中安全等级;
在所述流量的占比率达到第三等级阈值时,确定所述网络安全服务级别为低安全等级。
8.根据权利要求7所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述第一等级阈值、所述第二等级阈值和所述第三等级阈值分别为90%、60%和40%。
9.一种基于分段路由技术的规避路由路径选择装置,其特征在于,包括:
模型算法构建模块,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块,用于检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块,用于在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块,用于在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块,用于在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径;
其中,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110879913.5A CN113347095B (zh) | 2021-08-02 | 2021-08-02 | 基于分段路由技术的规避路由路径选择方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110879913.5A CN113347095B (zh) | 2021-08-02 | 2021-08-02 | 基于分段路由技术的规避路由路径选择方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113347095A CN113347095A (zh) | 2021-09-03 |
CN113347095B true CN113347095B (zh) | 2021-11-05 |
Family
ID=77480663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110879913.5A Active CN113347095B (zh) | 2021-08-02 | 2021-08-02 | 基于分段路由技术的规避路由路径选择方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113347095B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114205289B (zh) * | 2021-10-22 | 2023-03-24 | 清华大学 | 一种分段路由网络中考虑故障的流量工程计算方法和装置 |
US11968232B2 (en) | 2021-12-08 | 2024-04-23 | Juniper Networks, Inc. | Forwarding network traffic associated with a security classification via a routing path associated with the security classification |
CN115333947B (zh) * | 2022-08-03 | 2024-04-16 | 北京视界云天科技有限公司 | 基于引导的路由优化方法、装置、计算机设备和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281247A (zh) * | 2013-05-09 | 2013-09-04 | 北京交通大学 | 一种数据中心网络的通用路由方法及*** |
CN112910778A (zh) * | 2021-02-03 | 2021-06-04 | 北京明未科技有限公司 | 网络安全路由方法和*** |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10182000B2 (en) * | 2016-08-03 | 2019-01-15 | Cisco Technology, Inc. | Loop detection and avoidance for segment routed traffic engineered paths |
CN108848033B (zh) * | 2018-06-26 | 2021-11-09 | 深圳创维数字技术有限公司 | 一种规避路由冲突的方法、装置及存储介质 |
US10567293B1 (en) * | 2018-08-23 | 2020-02-18 | Cisco Technology, Inc. | Mechanism to coordinate end to end quality of service between network nodes and service provider core |
-
2021
- 2021-08-02 CN CN202110879913.5A patent/CN113347095B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281247A (zh) * | 2013-05-09 | 2013-09-04 | 北京交通大学 | 一种数据中心网络的通用路由方法及*** |
CN112910778A (zh) * | 2021-02-03 | 2021-06-04 | 北京明未科技有限公司 | 网络安全路由方法和*** |
Non-Patent Citations (3)
Title |
---|
Fast Recovery for Single Link Failure with Segment Routing in SDNs;Shishuang Wang 等;《2019 IEEE 21st International Conference on High Performance Computing and Communications》;20191003;全文 * |
Quality of Service Sensitive Routing for Software Defined Network Using Segment Routing;Ohmmar Min Mon 等;《2018 18th International Symposium on Communications and Information Technologies (ISCIT)》;20181227;全文 * |
一种SDN中基于SR的多故障恢复与规避机制;黄建洋 等;《电子学报》;20171130;第45卷(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113347095A (zh) | 2021-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113347095B (zh) | 基于分段路由技术的规避路由路径选择方法及装置 | |
US11785080B1 (en) | Decentralized ledger system and method for enterprises | |
US20180324218A1 (en) | Learning network topology and monitoring compliance with security goals | |
CN103858386B (zh) | 用于通过优化的决策树执行包分类的方法和装置 | |
Seyfollahi et al. | MFO-RPL: A secure RPL-based routing protocol utilizing moth-flame optimizer for the IoT applications | |
US20230261873A1 (en) | Verifiable computation for cross-domain information sharing | |
Wu et al. | A high efficient node capture attack algorithm in wireless sensor network based on route minimum key set | |
Tudosi et al. | Secure network architecture based on distributed firewalls | |
Sahraneshin et al. | Securing communications between things against wormhole attacks using TOPSIS decision-making and hash-based cryptography techniques in the IoT ecosystem | |
Hakiri et al. | A Blockchain architecture for SDN-enabled tamper-resistant IoT networks | |
Bose et al. | Bounding the locality of distributed routing algorithms | |
Yang et al. | Traffic-driven epidemic spreading on scale-free networks with tunable degree distribution | |
Vairagade et al. | Secure Internet of Things network using light‐weighted trust and blockchain‐powered PoW framework | |
KR101966366B1 (ko) | 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법 | |
Roos et al. | Dealing with dead ends: Efficient routing in darknets | |
Fukushima et al. | Minimum disclosure routing for network virtualization and its experimental evaluation | |
Babu et al. | Comparative study of MANET routing protocols | |
Asif et al. | Optimization based spectral partitioning for node criticality assessment | |
Lent et al. | Strengthening the security of cognitive packet networks | |
Ilakkiya et al. | A novel DAG-blockchain structure for trusted routing in secure MANET-IoT environment | |
CN109787896B (zh) | 一种用于通信链路构建的节点选择方法及设备 | |
Choudhary et al. | FATMLPGS: Design of a fault-aware trust establishment model for low-power IoT deployments via generic lightweight sidechains | |
Liu et al. | 3S: three‐signature path authentication for BGP security | |
Kotenko et al. | The genetic approach for design of virtual private networks | |
Song et al. | A game theoretical approach to gateway selections in multi-domain wireless networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |