CN113347095B - 基于分段路由技术的规避路由路径选择方法及装置 - Google Patents

基于分段路由技术的规避路由路径选择方法及装置 Download PDF

Info

Publication number
CN113347095B
CN113347095B CN202110879913.5A CN202110879913A CN113347095B CN 113347095 B CN113347095 B CN 113347095B CN 202110879913 A CN202110879913 A CN 202110879913A CN 113347095 B CN113347095 B CN 113347095B
Authority
CN
China
Prior art keywords
routing
path
segment
sar
evasion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110879913.5A
Other languages
English (en)
Other versions
CN113347095A (zh
Inventor
郭得科
崔思晨
任棒棒
罗来龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202110879913.5A priority Critical patent/CN113347095B/zh
Publication of CN113347095A publication Critical patent/CN113347095A/zh
Application granted granted Critical
Publication of CN113347095B publication Critical patent/CN113347095B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/12Shortest path evaluation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于分段路由技术的规避路由路径选择方法及装置,该方法包括:分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;检测网络安全服务级别;在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型进行求解,获得最优段规避路由路径;在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法获取最优段规避路由路径;在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法获取最优段规避路由路径。本发明在降低路由成本的同时起到网路流量安全保护的作用,并且能够有效提高路由路径选择效率。

Description

基于分段路由技术的规避路由路径选择方法及装置
技术领域
本发明涉及路由技术领域,尤其涉及一种基于分段路由技术的规避路由路径选择方法及装置。
背景技术
随着互联网的迅猛发展,人们线上进行活动越来越流行,这使得流量日益增长,相应地,人们越来越关注数据安全性和隐私性,为了减少泄露敏感信息的风险,通常会使用匿名通信来保护用户的表示信息,以及使用加密技术来确保攻击者无法翻译所拦截的数据,但是随着解密技术的发展和计算能力的提高,加密数据面临着被解密的风险,此外匿名通信技术还面临着一些挑战,如延迟增加、易受攻击和计算复杂等问题。
防御攻击者的更好方式是避免攻击,毫无疑问地,在完全可信任的网络中传输数据包具有最高的安全级别,人们可以在私有自治***中建立一个完全受信任的网络,但是在公共互联网则不可能。因此,为了解决网络中某些路由可能会被劫持进而导致数据泄露的问题,迫切需要提出一种可以避开所有已知不可信节点的路由路径的方法。
目前,有人提出了AR(Avoidance Routing,规避路由)来将流量路由到目标,且无需经过不受信任的网络区域。但在AR中,必须部署中间节点来中继数据包以跳过不可信节点,这会带来额外的部署和运营开销,进而增加路由成本,同时会限制路由路径的选择并降低网络的灵活性。
发明内容
本发明实施例的目的在于提供一种基于分段路由技术的规避路由路径选择方法及装置,以达到降低路由成本,并降低流量被劫持风险的目的。
基于上述目的,本发明实施例提供一种基于分段路由技术的规避路由路径选择方法,包括:
分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径。
优选地,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;其中,所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
优选地,所述构建多段规避路由模型,包括:
对网络进行建模,构建网络图
Figure 701691DEST_PATH_IMAGE001
;其中,
Figure 779368DEST_PATH_IMAGE002
是路由器集合,
Figure 687282DEST_PATH_IMAGE003
为无向链路集合,
Figure 166804DEST_PATH_IMAGE004
为链路权重集合,
Figure 603602DEST_PATH_IMAGE005
为不受信任路由器集合;
将任意一个流量
Figure 434155DEST_PATH_IMAGE006
表征为三元组,具体表示为
Figure 635108DEST_PATH_IMAGE007
;其中,
Figure 969138DEST_PATH_IMAGE008
为源节点,
Figure 576836DEST_PATH_IMAGE009
为目的节点,
Figure 894685DEST_PATH_IMAGE010
为流量大小;
根据构建的所述网络图
Figure 613243DEST_PATH_IMAGE011
和表征为三元组的所述流量
Figure 332937DEST_PATH_IMAGE007
,定义多段规避路由;其中,所述多段规避路由定义为,所述流量
Figure 111537DEST_PATH_IMAGE006
在所述网络
Figure 651103DEST_PATH_IMAGE012
中沿着一条段路由路径
Figure 438930DEST_PATH_IMAGE013
路由;其中,所述段路由路径最多包含
Figure 747552DEST_PATH_IMAGE014
个段,且每个段中均不包含在所述不受信任路由器集合
Figure 962633DEST_PATH_IMAGE005
中的不受信任路由器;
对所述网络图
Figure 723915DEST_PATH_IMAGE015
进行预处理,获得目标图
Figure 315434DEST_PATH_IMAGE016
根据所述目标图
Figure 478562DEST_PATH_IMAGE016
对多段规避路由问题进行建模,构建多段规避路由模型;所述多段规避路由模型具体表示为:
Figure 864544DEST_PATH_IMAGE017
Figure 378702DEST_PATH_IMAGE018
Figure 508332DEST_PATH_IMAGE019
Figure 525966DEST_PATH_IMAGE020
Figure 348429DEST_PATH_IMAGE021
其中,
Figure 84303DEST_PATH_IMAGE022
为连接节点
Figure 14695DEST_PATH_IMAGE023
和节点
Figure 886836DEST_PATH_IMAGE024
的链路,且
Figure 880200DEST_PATH_IMAGE025
Figure 103370DEST_PATH_IMAGE026
为链路
Figure 574803DEST_PATH_IMAGE027
的权重;
Figure 832609DEST_PATH_IMAGE028
为二进制变量,用于判断链路
Figure 731295DEST_PATH_IMAGE027
是否属于最短路径,若链路
Figure 441762DEST_PATH_IMAGE027
属于最短路径,则
Figure 451306DEST_PATH_IMAGE029
,否则
Figure 563619DEST_PATH_IMAGE030
Figure 633206DEST_PATH_IMAGE031
Figure 830969DEST_PATH_IMAGE032
分别表示流出和流入节点
Figure 378625DEST_PATH_IMAGE023
的链路
Figure 611023DEST_PATH_IMAGE027
的集合;且所述多段规避路由模型的约束条件包含流量守恒约束、流出度约束和跳数约束。
优选地,所述构建具有完整网络信息的段规避路由算法,包括:
构建
Figure 585933DEST_PATH_IMAGE033
函数,所述
Figure 536571DEST_PATH_IMAGE034
函数用于查找每一次迭代的所有SAR路径,并构建候选SAR路径集合
Figure 622339DEST_PATH_IMAGE035
,其中
Figure 443664DEST_PATH_IMAGE036
表示在所述候选SAR路径集合
Figure 120633DEST_PATH_IMAGE037
中具有
Figure 27409DEST_PATH_IMAGE038
个段的第
Figure 913938DEST_PATH_IMAGE023
个SAR路径;
通过所述
Figure 120929DEST_PATH_IMAGE034
函数获取
Figure 437641DEST_PATH_IMAGE014
次迭代的候选SAR路径集合,构成SAR路径第一总集
Figure 97292DEST_PATH_IMAGE039
从所述候选SAR路径第一总集
Figure 524862DEST_PATH_IMAGE040
中选择路由成本最低的路径作为最优SAR路径。
优选地,所述构建
Figure 524042DEST_PATH_IMAGE041
函数,包括:
获取多级图
Figure 277235DEST_PATH_IMAGE042
,其中,
Figure 158603DEST_PATH_IMAGE043
为第
Figure 389864DEST_PATH_IMAGE044
层所有节点的集合,
Figure 40288DEST_PATH_IMAGE045
为所有边的集合,且第0层和第l层分别表征源节点
Figure 229961DEST_PATH_IMAGE046
和目的节点
Figure 598626DEST_PATH_IMAGE047
基于所述多级图
Figure 899157DEST_PATH_IMAGE048
,从第0层开始,依次为第
Figure 404088DEST_PATH_IMAGE044
层的每一个节点随机选择多个子节点添加到第
Figure 499083DEST_PATH_IMAGE049
层,并更新未选中节点集合
Figure 355043DEST_PATH_IMAGE050
,直至达到第
Figure 925177DEST_PATH_IMAGE051
层,将第
Figure 550194DEST_PATH_IMAGE052
层的所有节点连接到第
Figure 81669DEST_PATH_IMAGE051
层;
检测从源节点
Figure 159347DEST_PATH_IMAGE046
到目的节点
Figure 67260DEST_PATH_IMAGE047
的每条路径是否为安全无环的SAR路径,若是,则将该条路径添加到所述候选SAR路径集合
Figure 546783DEST_PATH_IMAGE053
优选地,所述构建具有部分网络信息的段规避路由算法,包括:
根据最短路径中最后一个不信任节点
Figure 249159DEST_PATH_IMAGE054
获取安全节点集
Figure 814133DEST_PATH_IMAGE055
,并获取源节点
Figure 994579DEST_PATH_IMAGE046
的邻居节点集
Figure 594187DEST_PATH_IMAGE056
根据所述邻居节点集
Figure 467465DEST_PATH_IMAGE056
和所述安全节点集
Figure 519735DEST_PATH_IMAGE057
生成包含一类候选路径和二类候选路径的SAR路径第二总集
Figure 503871DEST_PATH_IMAGE058
控制所述源节点
Figure 957987DEST_PATH_IMAGE046
沿着所述SAR路径第二总集
Figure 2166DEST_PATH_IMAGE059
中的每一候选条路径发送探针,检查每条候选路径是否经过不信任节点,若经过,则删除该条候选路径;
从仅包含安全路径的所述SAR路径第二总集
Figure 541732DEST_PATH_IMAGE059
中选择路由成本最低的路径作为最优SAR路径。
优选地,所述构建具有部分网络信息的段规避路由算法,还包括:
定义安全节点,流量
Figure 329559DEST_PATH_IMAGE060
沿着网络
Figure 638181DEST_PATH_IMAGE012
中最短路径
Figure 853261DEST_PATH_IMAGE061
路由,若从中间节点
Figure 614544DEST_PATH_IMAGE062
到目的节点
Figure 206062DEST_PATH_IMAGE063
的最短路径不包含不信任节点,则将所述中间节点
Figure 366261DEST_PATH_IMAGE062
定义为安全节点。
优选地,所述检测网络安全服务级别,包括:
获取满足预设规避条件的流量的占比率;
在所述流量的占比率达到第一等级阈值时,确定所述网络安全服务级别为高安全等级;
在所述流量的占比率达到第二等级阈值时,确定所述网络安全服务级别为中安全等级;
在所述流量的占比率达到第三等级阈值时,确定所述网络安全服务级别为低安全等级。
优选地,所述第一等级阈值、所述第二等级阈值和所述第三等级阈值分别为90%、60%和40%。
此外,本发明实施例还提供一种基于分段路由技术的规避路由路径选择装置,包括:
模型算法构建模块,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块,用于检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块,用于在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块,用于在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块,用于在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径。
由上述可知,本发明实施例提供的基于分段路由技术的规避路由路径选择方法,首先构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法,然后根据不同的网络安全服务级别需求,选择利用优化求解器求解多段规避路由模型的方式、具有完整网络信息的段规避路由算法以及具有部分网络信息的段规避路由算法中任意一种方式,获得最优段规避路由路径,以实现流量保护。本实施例提供的基于分段路由技术的规避路由路径选择方法,在降低路由成本的同时起到网路流量安全保护的作用,此外还可以提高路由路径选择效率,并保证网络的灵活性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例中基于分段路由技术的规避路由路径选择方法的流程图;
图2为本发明一实施例中的段规避路由的示例图;
图3为本发明一实施例中的多级图的示例图;
图4为本发明一实施例中C-SAR算法的示例图;
图5为本发明一实施例中P-SAR算法的示例图;
图6为本发明一实施例中基于分段路由技术的规避路由路径选择装置的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
本发明中涉及的部分名词解释如下:
AR:Avoidance Routing,规避路由;
SR:Segment Routing,段路由;
SAR:段规避路由;
n-SAR:多段规避路由;
C-SAR:具有完整网络信息的段规避路由;
P-SAR:具有部分网络信息的段规避路由。
如图1所示,本发明一实施例提供的一种基于分段路由技术的规避路由路径选择方法,具体包括以下步骤:
步骤S10,分别构建多段规避路由模型(n-SAR模型)、具有完整网络信息的段规避路由算法(C-SAR算法)和具有部分网络信息的段规避路由算法(P-SAR算法)。
在本实施例中,n-SAR模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型。
C-SAR算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出。
P-SAR算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找SAR路径第二总集中所有的非安全路径,并将非安全路径从SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
图2举例说明了如何利用SR技术引导一个从路由器A到路由器K的流量绕过不受信任的路由器F。假定默认路由协议采用最短路径
Figure 752243DEST_PATH_IMAGE064
作为路由路径,为了绕过不受信任的路由器F,只需将段路由标头添加到数据包标头中,再沿着新的逻辑路径
Figure 266401DEST_PATH_IMAGE065
引导流量。当路由器B接收到来自路由器A的数据包时,路由器B会激活相应的分段K并将数据包引导至路径
Figure 396031DEST_PATH_IMAGE066
,在本实施例中将这种基于SR技术的规避路由定义为SAR。
进一步地,在本实施例的一方面,针对如何寻找最优的SAR路径问题,构建n-SAR模型,以在后续步骤中通过求解n-SAR模型获得最优SAR路径。而在本实施例的另一方面,针对完整网络信息和部分网络信息这两种情况,构建不同的SAR算法来获取最优SAR路径。
在一优选实施例中,步骤S10中构建多段规避路由模型,包括以下步骤:
步骤S1011,对网络进行建模,构建网络图
Figure 413665DEST_PATH_IMAGE067
;其中,
Figure 236128DEST_PATH_IMAGE068
是路由器集合,可以包含网络中所有的路由器
Figure 972003DEST_PATH_IMAGE069
Figure 374165DEST_PATH_IMAGE070
为无向链路集合,网络路由器集合
Figure 777465DEST_PATH_IMAGE071
中的路由器
Figure 505249DEST_PATH_IMAGE069
通过无向链路集合
Figure 728420DEST_PATH_IMAGE070
中的链路
Figure 199853DEST_PATH_IMAGE072
连接;
Figure 457659DEST_PATH_IMAGE073
为链路权重集合,无向链路集合
Figure 90765DEST_PATH_IMAGE070
中的任一条链路
Figure 66812DEST_PATH_IMAGE072
在链路权重集合
Figure 76356DEST_PATH_IMAGE073
中对应一个权重
Figure 188668DEST_PATH_IMAGE074
Figure 258256DEST_PATH_IMAGE075
为不受信任路由器集合,包含网络中所有的不受信任的路由器,且每一个不受信任的路由器对应一个不可信节点。
步骤S1012,将任意一个流量
Figure 456019DEST_PATH_IMAGE060
表征为三元组,具体表示为
Figure 269254DEST_PATH_IMAGE076
;其中,
Figure 501652DEST_PATH_IMAGE046
为源节点,
Figure 473632DEST_PATH_IMAGE077
为目的节点,
Figure 424270DEST_PATH_IMAGE078
为流量大小。
步骤S1013,根据构建的网络图
Figure 775617DEST_PATH_IMAGE067
和表征为三元组的流量
Figure 862522DEST_PATH_IMAGE079
,定义多段规避路由(n-SAR);其中,n-SAR定义为,流量
Figure 8332DEST_PATH_IMAGE080
在网络
Figure 180688DEST_PATH_IMAGE012
中沿着一条段路由路径
Figure 601305DEST_PATH_IMAGE081
路由;其中,该段路由路径最多包含
Figure 277137DEST_PATH_IMAGE014
个段,且每个段中均不包含在
Figure 859428DEST_PATH_IMAGE082
中的不受信任路由器。
步骤S1014,对网络图
Figure 519079DEST_PATH_IMAGE083
进行预处理,获得目标图
Figure 212229DEST_PATH_IMAGE084
可理解的,在网络中,存在许多子路径的数量小于最大段数
Figure 273726DEST_PATH_IMAGE014
,且不包含所有不信任节点的SAR路径,此时,可以将n-SAR问题定义为如何找到具有最低路由成本的最优SAR路径。
进一步地,为了对定义的n-SAR问题进行建模,可以先将网络图
Figure 292497DEST_PATH_IMAGE085
转化为一个完全图
Figure 908286DEST_PATH_IMAGE086
,其中,网路路由集合
Figure 405127DEST_PATH_IMAGE087
由无向链路集合
Figure 321130DEST_PATH_IMAGE088
相连,每一个链路
Figure 245224DEST_PATH_IMAGE089
表示从节点
Figure 879468DEST_PATH_IMAGE090
Figure 179999DEST_PATH_IMAGE091
的最短路径,
Figure 684930DEST_PATH_IMAGE092
表示最短路径
Figure 45504DEST_PATH_IMAGE093
的花费;再从完全图
Figure 632955DEST_PATH_IMAGE094
中删除不信任节点以及不信任节点相关的链路,得到目标图
Figure 737178DEST_PATH_IMAGE095
,此时,可以将n-SAR问题转化为找到一条从源节点
Figure 362194DEST_PATH_IMAGE046
到目的节点
Figure 893669DEST_PATH_IMAGE077
跳数小于最大跳数
Figure 971347DEST_PATH_IMAGE014
,并且费用最小的路径。
步骤S1015,根据目标图
Figure 613681DEST_PATH_IMAGE095
对n-SAR问题进行建模,构建n-SAR模型。
在本实施例中,n-SAR模型具体表示为:
Figure 358783DEST_PATH_IMAGE096
(1)
Figure 795581DEST_PATH_IMAGE097
(2)
Figure 360554DEST_PATH_IMAGE098
(3)
Figure 806579DEST_PATH_IMAGE099
(4)
Figure 406187DEST_PATH_IMAGE100
(5)
公式(1),
Figure 279466DEST_PATH_IMAGE101
为连接节点
Figure 66156DEST_PATH_IMAGE090
和节点
Figure 315872DEST_PATH_IMAGE102
的链路,且
Figure 769987DEST_PATH_IMAGE103
Figure 814166DEST_PATH_IMAGE026
为链路
Figure 88153DEST_PATH_IMAGE104
的权重;
Figure 875980DEST_PATH_IMAGE028
为二进制变量,用于判断链路
Figure 184602DEST_PATH_IMAGE101
是否属于最短路径,若链路
Figure 399682DEST_PATH_IMAGE104
属于最短路径,则
Figure 426544DEST_PATH_IMAGE105
,否则
Figure 483974DEST_PATH_IMAGE106
Figure 178261DEST_PATH_IMAGE107
Figure 298664DEST_PATH_IMAGE108
分别表示流出和流入节点
Figure 547242DEST_PATH_IMAGE090
的链路
Figure 676872DEST_PATH_IMAGE101
的集合;公式(2)为流量守恒约束;公式(3)为流出度约束,用于确保每个节点的流出度不超过1;公式(3)为跳数约束,用于确保最短路径的路径跳数小于最大段数。
可理解的,在本实施例中将n-SAR问题转化为跳数约束最短路径问题,并对n-SAR问题公式化为n-SAR模型,利用n-SAR模型可以获得最优SAR路径,进而实现降低路由成本,保护流量的目的,可以避免路由器被劫持而导致数据泄露的问题。
在一优选实施例中,步骤S10中构建具有完整网络信息的段规避路由算法,包括以下步骤:
步骤S1021,构建选择函数
Figure 960086DEST_PATH_IMAGE034
,该
Figure 516970DEST_PATH_IMAGE034
函数用于查找每一次迭代的所有SAR路径,并构建候选SAR路径集合
Figure 518424DEST_PATH_IMAGE109
,其中
Figure 186165DEST_PATH_IMAGE110
表示在候选SAR路径集合
Figure 323886DEST_PATH_IMAGE111
中具有
Figure 51670DEST_PATH_IMAGE112
个段的第
Figure 540420DEST_PATH_IMAGE090
个候选SAR路径。
步骤S1022,通过
Figure 11853DEST_PATH_IMAGE034
函数获取
Figure 269659DEST_PATH_IMAGE014
次迭代的候选SAR路径集合,构成SAR路径第一总集
Figure 902766DEST_PATH_IMAGE113
,其中SAR路径第一总集
Figure 878812DEST_PATH_IMAGE114
包含所有被选中的SAR路径。
步骤S1023,从候选SAR路径第一总集
Figure 888356DEST_PATH_IMAGE114
中选择路由成本最低的路径作为最优SAR路径。
可理解的,对于大型网络,为了提高找到最优SAR路径的效率,根据完整网络信息(包含路由器的地址、链路状态和不受信任的路由器)构建C-SAR算法,该C-SAR算法通过随机选择节点来扩展下游段。
为了满足跳数约束,即公式(4),C-SAR算法设置
Figure 669DEST_PATH_IMAGE014
次迭代,并通过
Figure 70256DEST_PATH_IMAGE115
函数在第
Figure 268019DEST_PATH_IMAGE112
Figure 81254DEST_PATH_IMAGE116
)次迭代中获取至少一个具有
Figure 48073DEST_PATH_IMAGE112
个段的SAR路径,并根据所有的SAR路径生成第
Figure 309070DEST_PATH_IMAGE112
次迭代对应的候选SAR路径集合
Figure 994129DEST_PATH_IMAGE109
。进一步地,对每一次迭代对应的候选SAR路径集合进行相加,得到SAR路径第一总集
Figure 345476DEST_PATH_IMAGE113
,最后C-SAR算法在
Figure 432380DEST_PATH_IMAGE114
中选择路由成本最低的路径作为最终解决方案。
作为优选,上述构建
Figure 109349DEST_PATH_IMAGE041
函数具体包括以下步骤:
步骤一,获取多级图
Figure 16126DEST_PATH_IMAGE042
,其中
Figure 171163DEST_PATH_IMAGE043
为第
Figure 112575DEST_PATH_IMAGE117
Figure 694866DEST_PATH_IMAGE118
)层所有节点的集合,
Figure 354517DEST_PATH_IMAGE119
为所有边的集合,且第0(
Figure 47667DEST_PATH_IMAGE120
)层和第l(
Figure 109163DEST_PATH_IMAGE121
)层分别代表源节点
Figure 596777DEST_PATH_IMAGE046
和目的节点
Figure 743724DEST_PATH_IMAGE077
步骤二,基于多级图
Figure 240565DEST_PATH_IMAGE122
,从第0层开始,依次为第
Figure 156568DEST_PATH_IMAGE117
层的每一个节点随机选择多个子节点添加到第
Figure 80662DEST_PATH_IMAGE123
层,并更新未选中节点集合
Figure 449326DEST_PATH_IMAGE050
,直至达到第
Figure 484278DEST_PATH_IMAGE112
层,将第
Figure 520367DEST_PATH_IMAGE124
层的所有节点连接到第
Figure 615362DEST_PATH_IMAGE112
层。
步骤三,检测从源节点
Figure 202814DEST_PATH_IMAGE046
到目的节点
Figure 307036DEST_PATH_IMAGE077
的每条路径是否为安全无环的SAR路径,若是,则将该条路径添加到候选SAR路径集合
Figure 932053DEST_PATH_IMAGE125
如图3所示,在本实施例中使用多级图
Figure 197949DEST_PATH_IMAGE126
寻找所有的具有
Figure 541205DEST_PATH_IMAGE112
个段的SAR路径,从多级图
Figure 183539DEST_PATH_IMAGE122
的第0层开始,按照顺序将上一层的节点添加到下一层,为了降低算法的复杂度,可以为在
Figure 663062DEST_PATH_IMAGE127
层中的每个节点随机选择
Figure 99860DEST_PATH_IMAGE128
个子节点(
Figure 930413DEST_PATH_IMAGE129
为在
Figure 110858DEST_PATH_IMAGE130
中未选中的节点集合,
Figure 710467DEST_PATH_IMAGE131
为向下取整函数),并将选中的节点添加到第
Figure 318166DEST_PATH_IMAGE123
层对应的节点集合
Figure 636015DEST_PATH_IMAGE132
中。 进一步地,在找到第
Figure 885730DEST_PATH_IMAGE123
层的所有节点后,更新未选中节点集合
Figure 74266DEST_PATH_IMAGE050
,并当达到第
Figure 852866DEST_PATH_IMAGE112
层时,将第
Figure 658011DEST_PATH_IMAGE133
层的所有节点连接到第
Figure 445839DEST_PATH_IMAGE112
层。最后,检测从源节点
Figure 754460DEST_PATH_IMAGE046
到目的节点
Figure 969541DEST_PATH_IMAGE077
的每条路径是否为安全无环的SAR路径,若符合要求,则将其添加到
Figure 996403DEST_PATH_IMAGE125
;若不符合要求,则将其标记为非安全的SAR路径。
在本实施例中,C-SAR算法的算法描述如下:
算法1:具有完整网络信息的段规避路由
输入:
Figure 53833DEST_PATH_IMAGE134
,从源节点
Figure 482540DEST_PATH_IMAGE046
到目的节点
Figure 134102DEST_PATH_IMAGE135
的流量
Figure 382680DEST_PATH_IMAGE136
,最大段数
Figure 512310DEST_PATH_IMAGE137
输出:流量
Figure 795524DEST_PATH_IMAGE136
的段规避路径
Figure 352407DEST_PATH_IMAGE138
1:初始化SAR路径第一总集
Figure 88282DEST_PATH_IMAGE139
Figure 21603DEST_PATH_IMAGE140
2:for
Figure 159323DEST_PATH_IMAGE141
do
3:
Figure 887108DEST_PATH_IMAGE142
Figure 110279DEST_PATH_IMAGE143
Figure 581712DEST_PATH_IMAGE144
4:从
Figure 573938DEST_PATH_IMAGE145
选择花费最小的路径作为段规避路径
Figure 738203DEST_PATH_IMAGE146
其中,
Figure 448670DEST_PATH_IMAGE142
1:初始化
Figure 458215DEST_PATH_IMAGE147
Figure 570527DEST_PATH_IMAGE148
Figure 640114DEST_PATH_IMAGE149
2:for
Figure 837878DEST_PATH_IMAGE150
do
3: if
Figure 651113DEST_PATH_IMAGE151
then
4: 将
Figure 883511DEST_PATH_IMAGE152
作为在
Figure 121070DEST_PATH_IMAGE153
中所有节点的子节点
5: else
6: for
Figure 806129DEST_PATH_IMAGE154
do
7: 从
Figure 157476DEST_PATH_IMAGE155
中随机选择
Figure 244381DEST_PATH_IMAGE156
个节点作为节点
Figure 655770DEST_PATH_IMAGE157
的子节点并将这些节点加入
Figure 828126DEST_PATH_IMAGE158
8:
Figure 717584DEST_PATH_IMAGE159
Figure 658996DEST_PATH_IMAGE160
9:返回在
Figure 506866DEST_PATH_IMAGE161
中从
Figure 166517DEST_PATH_IMAGE046
Figure 859667DEST_PATH_IMAGE162
所有的安全无环路径
可理解的,在本实施例中,通过构建的C-SAR算法来获取最优SAR路径,对于大型网络,可以有效提高最优路径的选择效率。
在一优选实施例中,步骤S10中构建具有部分网络信息的段规避路由算法,包括以下步骤:
步骤S1031,根据最短路径(SP路径)中最后一个不信任节点
Figure 655585DEST_PATH_IMAGE054
获取安全节点集
Figure 408777DEST_PATH_IMAGE163
,并获取源节点
Figure 555724DEST_PATH_IMAGE046
的邻居节点集
Figure 52565DEST_PATH_IMAGE164
步骤S1032,根据邻居节点集
Figure 968568DEST_PATH_IMAGE164
和安全节点集
Figure 627083DEST_PATH_IMAGE057
生成包含一类候选路径和二类候选路径的SAR路径第二总集
Figure 261326DEST_PATH_IMAGE165
。其中,该一类候选路具有两个段,且将
Figure 296278DEST_PATH_IMAGE166
作为中间节点,可以表示为
Figure 332368DEST_PATH_IMAGE167
;该二类候选路径具有三个段,且将
Figure 161783DEST_PATH_IMAGE168
Figure 280393DEST_PATH_IMAGE169
作为中间节点,可以表示为
Figure 119036DEST_PATH_IMAGE170
步骤S1033,控制源节点 沿着SAR路径第二总集 中的每一候选条路径发送探针,检查每条候选路径是否经过不信任节点,若经过,则删除该条候选路径;若不经过,则保留该条路径。
步骤S1034,从仅包含安全路径的SAR路径第二总集
Figure 744053DEST_PATH_IMAGE165
中选择路由成本最低的路径作为最优SAR路径。
可理解的,为了降低获取完整网络信息的难度,基于部分网络信息(仅包含路由器网络地址)构建P-SAR算法,在P-SAR算法中,源节点
Figure 9949DEST_PATH_IMAGE046
通过定期向邻居节点
Figure 353206DEST_PATH_IMAGE171
和目的节点
Figure 261119DEST_PATH_IMAGE047
发送探针,获得路径中的路由器网络地址,进而根据路径中的路由器网络地址,找到流量的SAR路径。
P-SAR算法的算法描述如下:在网络中,流量
Figure 740642DEST_PATH_IMAGE006
沿着最短路径
Figure 443019DEST_PATH_IMAGE172
经过了一些不信任节点,若检测到节点
Figure 7992DEST_PATH_IMAGE054
是最短路径中的最后一个不受信任的节点,则从节点
Figure 454017DEST_PATH_IMAGE054
开始,按照顺序获取节点,直至获取到目的节点
Figure 788046DEST_PATH_IMAGE047
的前一个节点
Figure 661324DEST_PATH_IMAGE173
,构成安全节点集
Figure 713594DEST_PATH_IMAGE174
进一步地,获取源节点
Figure 697731DEST_PATH_IMAGE046
的所有邻居节点
Figure 151846DEST_PATH_IMAGE171
构成邻居节点集
Figure 196025DEST_PATH_IMAGE164
,并使用邻居节点集
Figure 735591DEST_PATH_IMAGE164
和安全节点集
Figure 523418DEST_PATH_IMAGE175
生成两种不同路径类型的候选SAR路径,分别为包含两个段的一类候选路径
Figure 832040DEST_PATH_IMAGE176
和包含三个段的二类候选路径
Figure 47120DEST_PATH_IMAGE177
。在由
Figure 73982DEST_PATH_IMAGE176
Figure 399921DEST_PATH_IMAGE177
组合构成SAR路径第二总集
Figure 825699DEST_PATH_IMAGE177
之后,源节点
Figure 946102DEST_PATH_IMAGE046
可以沿着
Figure 725839DEST_PATH_IMAGE177
中的任意一条候选路径发送探针,检查每条候选路径是否经过不信任节点,若候选路径经过不信任节点,则将这条候选路径从
Figure 589890DEST_PATH_IMAGE177
中删除。最后,从仅包含安全路径(即未经过不信任节点的候选路径)的SAR路径第二总集
Figure 873104DEST_PATH_IMAGE177
中选择路由成本最低的路径作为最优SAR路径输出。
可理解的,在本实施例中通过构建的P-SAR算法来获取最优SAR路径,无需获取完整网络信息,可以在降低信息收集难度的同时,保证最优的方案效果。
在一优选实施例中,步骤S1031之前,也即构建P-SAR算法之前,还包括以下步骤:
步骤S1035,定义安全节点,流量
Figure 429987DEST_PATH_IMAGE080
沿着网络
Figure 431441DEST_PATH_IMAGE012
中最短路径
Figure 364762DEST_PATH_IMAGE178
路由,若从中间节点
Figure 236903DEST_PATH_IMAGE179
到目的节点
Figure 964687DEST_PATH_IMAGE047
的最短路径不包含不信任节点,则将中间节点
Figure 453438DEST_PATH_IMAGE179
定义为安全节点。
步骤S20,检测网络安全服务级别;其中,网络安全服务级别分为高安全等级、中安全等级和低安全等级。
在本实施例中,根据满足预设规避条件的流量的占比率和安全等级对应的等级阈值来确定网络安全服务级别。其中,预设规避条件是指,成功规避网络中的不信任节点。
作为优选,步骤S20包括以下步骤:
步骤S201,获取满足预设规避条件的流量的占比率。
步骤S202,在流量的占比率达到第一等级阈值时,确定网络安全服务级别为高安全等级。
步骤S203,在流量的占比率达到第二等级阈值时,确定网络安全服务级别为中安全等级。
步骤S204,在流量的占比率达到第三等级阈值时,确定网络安全服务级别为低安全等级。
也即,判断可以成功规避网络中的不信任节点的流量的占比率是否达到第一等级阈值,若是,则确定网络完全服务级别为高安全等级。若否,则进一步判断可以成功规避网络中的不信任节点的流量的占比率是否达到第二等级阈值,若是,则确定网络完全服务级别为中安全等级。若否,则最后判断可以成功规避网络中的不信任节点的流量的占比率是否达到第三等级阈值,若是,则确定网络完全服务级别为低安全等级。若否,则确定当前网络为高风险网络,并自动禁止流量在高风险网络中路由。其中,第一等级阈值、第二等级阈值和第三等级阈值分别为90%、60%和40%。
步骤S30,在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型(n-SAR模型)进行求解,获得最优段规避路由路径。
作为优选,在网络安全服务级别为高安全等级时,利用优化求解器CPLEX对n-SAR模型进行求解,获得最优SAR路径。其中,CPLEX为商业版的优化引擎,可以用于求解大规模的线性规划、二次规划、带约束的二次规划、二阶锥规划等四类基本问题,以及相应的混合整数规划问题。可理解的,利用优化求解器CPLEX对n-SAR模型进行求解,也即根据CPLEX软件,将n-SAR模型转译为计算机语言,借助计算机来求解。
在其他实施例中,可以利用其他的优化求解器,例如LINGO、MOSEK等对n-SAR模型进行求解,来获取最优解决方案。其中,LINGO为交互式的线性和通用优化求解器,可以用于求解非线性规划,也可以用于一些线性和非线性方程组的求解等;MOSEK为数学优化求解器,可以用于快速求解二次规划、二阶锥规划和半正定规划问题。
步骤S40,在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法(C-SAR算法)获取最优段规避路由路径。
作为优选,在网络安全服务级别为中安全等级时,通过步骤S1021至步骤S1023构建的C-SAR算法,来获取最优SAR路径。
图4举例说明了如何利用SAR算法为一个节点到另一个节点的流量选择一条SAR路径。在
Figure 924870DEST_PATH_IMAGE180
时,首先随机选择
Figure 917097DEST_PATH_IMAGE181
个节点(E和G)作为源节点A的子节点,然后选择
Figure 81362DEST_PATH_IMAGE182
个随机节点B作为节点E的节点,另一个随机节点J作为节点G的子节点。通过这种方式,可以获得的候选SAR路径分别为
Figure 526250DEST_PATH_IMAGE183
Figure 535794DEST_PATH_IMAGE184
。由于路径
Figure 913686DEST_PATH_IMAGE185
在原始图形中有一个循环,因此候选SAR路径集
Figure 717694DEST_PATH_IMAGE186
可理解的,在C-SAR算法中,为了找到所有段数不超过最大段数
Figure 181036DEST_PATH_IMAGE187
的候选SAR路径,
Figure 994272DEST_PATH_IMAGE188
函数需要为每个父节点随机选择
Figure 961091DEST_PATH_IMAGE189
个子节点,因此候选路径的数量不超过
Figure 201579DEST_PATH_IMAGE190
Figure 883709DEST_PATH_IMAGE191
为路由器集合
Figure 500635DEST_PATH_IMAGE192
中的节点数量。此时,找出路由成本最低的路径需要进行
Figure 321960DEST_PATH_IMAGE193
对比,这样C-SAR算法的总时间复杂度为
Figure 733350DEST_PATH_IMAGE194
步骤S50,在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法(P-SAR算法)获取最优段规避路由路径。
作为优选,在网络安全服务级别为低安全等级时,通过步骤S1031至步骤S1034构建的P-SAR算法,获取最优SAR路径。
图5举例说明了如何利用P-SAR算法为一个节点到另一个节点的流量选择一条SAR路径。从节点A到节点K的流量
Figure 905705DEST_PATH_IMAGE195
需要绕过不信任节点F,可以得到源节点A的邻居节点集合
Figure 795164DEST_PATH_IMAGE196
和安全节点集合
Figure 2154DEST_PATH_IMAGE197
。基于根据以上信息,可以得到一类候选路径
Figure 318866DEST_PATH_IMAGE198
,包含
Figure 978518DEST_PATH_IMAGE199
Figure 671667DEST_PATH_IMAGE200
,和二类候选路径
Figure 733164DEST_PATH_IMAGE201
,包含
Figure 486356DEST_PATH_IMAGE202
Figure 633304DEST_PATH_IMAGE203
。最后从这四个路径中,选择理由成本最低的路径
Figure 864565DEST_PATH_IMAGE204
作为最优SAR路径。
可理解的,在P-SAR算法中,节点有不超过
Figure 780569DEST_PATH_IMAGE193
个邻居,最短路径的长度小于
Figure 704662DEST_PATH_IMAGE193
,因此,P-SAR算法总时间复杂度为
Figure 338906DEST_PATH_IMAGE205
综上所述,本实施例提供的基于分段路由技术的规避路由路径选择方法,首先构建多段规避路由模型(SAR模型)、具有完整网络信息的段规避路由算法(C-SAR算法)和具有部分网络信息的段规避路由算法(P-SAR算法),然后根据不同的网络安全服务级别需求,选择利用优化求解器求解多段规避路由模型的方式、具有完整网络信息的段规避路由算法以及具有部分网络信息的段规避路由算法中任意一种方式,获得最优段规避路由路径,进而实现降低路由成本,保护流量的目的,可以避免路由器被劫持而导致数据泄露的问题。本实施例提供的基于分段路由技术的规避路由路径选择方法,降低路由成本的同时起到网路流量安全保护的作用,此外还可以提高路径选择效率,并保证网络的灵活性。
如图6所示,此外,本发明一实施例还提供了一种基于分段路由技术的规避路由路径选择装置,包括模型算法构建模块110、安全级别检测模块120、模型求解模块130、C-SAR算法模块140和P-SAR算法模块150。其中,
模型算法构建模块110,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块120,用于检测网络安全服务级别;该网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块130,用于在网络安全服务级别为高安全等级时,通过优化求解器对多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块140,用于在网络安全服务级别为中安全等级时,通过具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块150,用于在网络安全服务级别为低安全等级时,通过具有部分网络信息的段规避路由算法获取最优段规避路由路径。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
进一步地,所述模型算法构建模块110包括n-SAR模型构建模块、C-SAR算法构建模块、P-SAR算法构建模块。
进一步地,所述模型算法构建模块110中的n-SAR模型构建模块包含网络建模单元、流量表征单元、网络图预处理单元和n-SAR模型单元;其中,
网络建模单元,用于对网络进行建模,构建网络图
Figure 373858DEST_PATH_IMAGE206
;其中,
Figure 144368DEST_PATH_IMAGE207
是路由器集合,
Figure 239363DEST_PATH_IMAGE208
为无向链路集合,
Figure 360903DEST_PATH_IMAGE209
为链路权重集合,
Figure 665457DEST_PATH_IMAGE210
为不受信任路由器集合;
流量表征单元,用于将任意一个流量
Figure 290474DEST_PATH_IMAGE211
表征为三元组,具体表示为
Figure 556370DEST_PATH_IMAGE212
;其中,
Figure 634048DEST_PATH_IMAGE046
为源节点,
Figure 541961DEST_PATH_IMAGE135
为目的节点,
Figure 21484DEST_PATH_IMAGE213
为流量大小;
网络图预处理单元,用于根据构建的网络图
Figure 458281DEST_PATH_IMAGE206
和表征为三元组的流量
Figure 288834DEST_PATH_IMAGE212
,定义多段规避路由;其中,多段规避路由定义为,流量
Figure 203700DEST_PATH_IMAGE214
在网络
Figure 68888DEST_PATH_IMAGE012
中沿着一条段路由路径
Figure 942166DEST_PATH_IMAGE081
路由;其中,该段路由路径最多包含
Figure 994436DEST_PATH_IMAGE014
个段,且每个段中均不包含在不受信任路由器集合
Figure 978572DEST_PATH_IMAGE215
中的不受信任路由器;
网络图预处理单元,用于对网络图
Figure 432687DEST_PATH_IMAGE216
进行预处理,获得目标图
Figure 476867DEST_PATH_IMAGE016
n-SAR模型单元,用于根据目标图
Figure 16433DEST_PATH_IMAGE217
对多段规避路由问题进行建模,构建多段规避路由模型。
进一步地,所述模型算法构建模块110中的C-SAR算法构建模块包含选择函数构建单元、第一总集获取单元和第一路径获取单元;其中,
选择函数构建单元,用于构建选择函数
Figure 538681DEST_PATH_IMAGE034
,该
Figure 112882DEST_PATH_IMAGE034
函数用于查找每一次迭代的所有SAR路径,并构建候选SAR路径集合
Figure 327962DEST_PATH_IMAGE109
,其中
Figure 109753DEST_PATH_IMAGE218
表示在候选SAR路径集合
Figure 435692DEST_PATH_IMAGE125
中具有
Figure 864399DEST_PATH_IMAGE038
个段的第
Figure 984802DEST_PATH_IMAGE219
个候选SAR路径;
第一总集获取单元,用于通过
Figure 764539DEST_PATH_IMAGE034
函数获取
Figure 894169DEST_PATH_IMAGE014
次迭代的候选SAR路径集合,构成SAR路径第一总集
Figure 911804DEST_PATH_IMAGE220
,其中SAR路径第一总集
Figure 734266DEST_PATH_IMAGE221
包含所有被选中的SAR路径;
第一路径路径选择单元,用于从候选SAR路径第一总集
Figure 470141DEST_PATH_IMAGE221
中选择路由成本最低的路径作为最优SAR路径。
进一步地,所述模型算法构建模块110中的P-SAR算法构建模块包含节点集构建单元、第二总集获取单元、探针检查单元和第二路径选择单元;其中,
节点集构建单元,用于根据最短路径中最后一个不信任节点
Figure 872303DEST_PATH_IMAGE054
获取安全节点集
Figure 275603DEST_PATH_IMAGE222
,并获取源节点
Figure 3388DEST_PATH_IMAGE046
的邻居节点集
Figure 226559DEST_PATH_IMAGE223
第二总集获取单元,用于根据邻居节点集
Figure 697991DEST_PATH_IMAGE223
和安全节点集
Figure 955797DEST_PATH_IMAGE224
生成包含一类候选路径和二类候选路径的SAR路径第二总集
Figure 588904DEST_PATH_IMAGE225
探针检查单元,用于控制源节点
Figure 250436DEST_PATH_IMAGE046
沿着SAR路径第二总集
Figure 728822DEST_PATH_IMAGE225
中的每一候选条路径发送探针,检查每条候选路径是否经过不信任节点,若经过,则删除该条候选路径;
第二路径选择单元,用于从仅包含安全路径的SAR路径第二总集
Figure 44397DEST_PATH_IMAGE225
中选择路由成本最低的路径作为最优SAR路径。
进一步地,所述模型算法构建模块110中的P-SAR算法构建模块还包含安全节点定义单元;
安全节点定义单元,用于定义安全节点,流量
Figure 113984DEST_PATH_IMAGE226
沿着网络
Figure 46168DEST_PATH_IMAGE012
中最短路径
Figure 859403DEST_PATH_IMAGE227
路由,若从中间节点
Figure 91801DEST_PATH_IMAGE228
到目的节点
Figure 66710DEST_PATH_IMAGE162
的最短路径不包含不信任节点,则将中间节点
Figure 751770DEST_PATH_IMAGE228
定义为安全节点。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明实施例的,不同方面的许多其它变化,为了简明它们没有在细节中提供。
本发明实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (9)

1.一种基于分段路由技术的规避路由路径选择方法,其特征在于,包括:
分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径;
其中,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
2.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建多段规避路由模型,包括:
对网络进行建模,构建网络图
Figure 818867DEST_PATH_IMAGE001
;其中,
Figure 16630DEST_PATH_IMAGE002
是路由器集合,
Figure 829866DEST_PATH_IMAGE003
为无向链路集合,
Figure 999947DEST_PATH_IMAGE004
为链路权重集合,
Figure 240435DEST_PATH_IMAGE005
为不受信任路由器集合;
将任意一个流量
Figure 925495DEST_PATH_IMAGE006
表征为三元组,具体表示为
Figure 276842DEST_PATH_IMAGE007
;其中,
Figure 363746DEST_PATH_IMAGE008
为源节点,
Figure 772206DEST_PATH_IMAGE009
为目的节点,
Figure 944562DEST_PATH_IMAGE010
为流量大小;
根据构建的所述网络图
Figure 99600DEST_PATH_IMAGE011
和表征为三元组的所述流量
Figure 775432DEST_PATH_IMAGE012
,定义多段规避路由;其中,所述多段规避路由定义为,所述流量
Figure 623302DEST_PATH_IMAGE006
在所述网络
Figure 17374DEST_PATH_IMAGE013
中沿着一条段路由路径
Figure 710524DEST_PATH_IMAGE014
路由;其中,所述段路由路径最多包含
Figure 772021DEST_PATH_IMAGE015
个段,且每个段中均不包含在所述不受信任路由器集合
Figure 259634DEST_PATH_IMAGE016
中的不受信任路由器;
Figure 406581DEST_PATH_IMAGE017
Figure 903422DEST_PATH_IMAGE018
分别为源节点和目的节点;
对所述网络图
Figure 553846DEST_PATH_IMAGE019
进行预处理,获得目标图
Figure 743519DEST_PATH_IMAGE020
根据所述目标图
Figure 846604DEST_PATH_IMAGE021
对多段规避路由问题进行建模,构建多段规避路由模型;所述多段规避路由模型具体表示为:
Figure 147135DEST_PATH_IMAGE022
Figure 917645DEST_PATH_IMAGE023
Figure 278219DEST_PATH_IMAGE024
Figure 868601DEST_PATH_IMAGE025
Figure 707244DEST_PATH_IMAGE026
其中,
Figure 329330DEST_PATH_IMAGE027
为连接节点
Figure 860806DEST_PATH_IMAGE028
和节点
Figure 938483DEST_PATH_IMAGE029
的链路,且
Figure 580817DEST_PATH_IMAGE030
Figure 60340DEST_PATH_IMAGE031
为链路
Figure 762717DEST_PATH_IMAGE032
的权重;
Figure 327690DEST_PATH_IMAGE033
为二进制变量,用于判断链路
Figure 773715DEST_PATH_IMAGE034
是否属于最短路径,若链路
Figure 107745DEST_PATH_IMAGE032
属于最短路径,则
Figure 715443DEST_PATH_IMAGE035
,否则
Figure 33292DEST_PATH_IMAGE036
Figure 283008DEST_PATH_IMAGE037
Figure 471544DEST_PATH_IMAGE038
分别表示流出和流入节点
Figure 515723DEST_PATH_IMAGE028
的链路
Figure 55289DEST_PATH_IMAGE034
的集合;且所述多段规避路由模型的约束条件包含流量守恒约束、流出度约束和跳数约束。
3.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建具有完整网络信息的段规避路由算法,包括:
构建
Figure 577537DEST_PATH_IMAGE039
函数,所述
Figure 151738DEST_PATH_IMAGE039
函数用于查找每一次迭代的所有SAR路径,并构建候选SAR路径集合
Figure 835660DEST_PATH_IMAGE040
,其中
Figure 862522DEST_PATH_IMAGE041
表示在所述候选SAR路径集合
Figure 188461DEST_PATH_IMAGE042
中具有
Figure 372097DEST_PATH_IMAGE043
个段的第
Figure 758079DEST_PATH_IMAGE028
个SAR路径;
Figure 272237DEST_PATH_IMAGE013
为网络图,
Figure 401867DEST_PATH_IMAGE044
为流量;
通过所述
Figure 685081DEST_PATH_IMAGE039
函数获取
Figure 241964DEST_PATH_IMAGE045
次迭代的候选SAR路径集合,构成SAR路径第一总集
Figure 977839DEST_PATH_IMAGE046
从所述候选SAR路径第一总集
Figure 911160DEST_PATH_IMAGE047
中选择路由成本最低的路径作为最优SAR路径。
4.根据权利要求3所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建
Figure 48880DEST_PATH_IMAGE039
函数,包括:
获取多级图
Figure 511086DEST_PATH_IMAGE048
,其中,
Figure 999836DEST_PATH_IMAGE049
为从第0层和第
Figure 205689DEST_PATH_IMAGE043
层取并集,
Figure 870020DEST_PATH_IMAGE050
为第
Figure 768706DEST_PATH_IMAGE051
层所有节点的集合,
Figure 744752DEST_PATH_IMAGE052
为所有边的集合,且第0层和第l层分别表征源节点
Figure 488717DEST_PATH_IMAGE053
和目的节点
Figure 601030DEST_PATH_IMAGE054
基于所述多级图
Figure 667687DEST_PATH_IMAGE055
,从第0层开始,依次为第
Figure 865450DEST_PATH_IMAGE056
层的每一个节点随机选择多个子节点添加到第
Figure 678685DEST_PATH_IMAGE057
层,并更新未选中节点集合
Figure 645504DEST_PATH_IMAGE058
,直至达到第
Figure 151572DEST_PATH_IMAGE043
层,将第
Figure 571052DEST_PATH_IMAGE059
层的所有节点连接到第
Figure 187978DEST_PATH_IMAGE043
层;
检测从源节点
Figure 9304DEST_PATH_IMAGE053
到目的节点
Figure 686273DEST_PATH_IMAGE060
的每条路径是否为安全无环的SAR路径,若是,则将该条路径添加到所述候选SAR路径集合
Figure 593049DEST_PATH_IMAGE061
5.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建具有部分网络信息的段规避路由算法,包括:
根据最短路径中最后一个不信任节点
Figure 748087DEST_PATH_IMAGE062
获取安全节点集
Figure 689498DEST_PATH_IMAGE063
,并获取源节点
Figure 537368DEST_PATH_IMAGE053
的邻居节点集
Figure 931440DEST_PATH_IMAGE064
;其中,
Figure 624590DEST_PATH_IMAGE065
为目的节点
Figure 420508DEST_PATH_IMAGE066
的前一个节点;
根据所述邻居节点集
Figure 173700DEST_PATH_IMAGE064
和所述安全节点集
Figure 320648DEST_PATH_IMAGE067
生成包含一类候选路径和二类候选路径的SAR路径第二总集
Figure 817488DEST_PATH_IMAGE068
控制所述源节点
Figure 733491DEST_PATH_IMAGE008
沿着所述SAR路径第二总集
Figure 392006DEST_PATH_IMAGE069
中的每一候选条路径发送探针,检查每条候选路径是否经过不信任节点,若经过,则删除该条候选路径;
从仅包含安全路径的所述SAR路径第二总集
Figure 23320DEST_PATH_IMAGE069
中选择路由成本最低的路径作为最优SAR路径。
6.根据权利要求5所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述构建具有部分网络信息的段规避路由算法,还包括:
定义安全节点,流量
Figure 58272DEST_PATH_IMAGE070
沿着网络
Figure 94361DEST_PATH_IMAGE071
中最短路径
Figure 189356DEST_PATH_IMAGE072
路由,若从中间节点
Figure 45317DEST_PATH_IMAGE073
到目的节点
Figure 149539DEST_PATH_IMAGE074
的最短路径不包含不信任节点,则将所述中间节点
Figure 508976DEST_PATH_IMAGE073
定义为安全节点。
7.根据权利要求1所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述检测网络安全服务级别,包括:
获取满足预设规避条件的流量的占比率;
在所述流量的占比率达到第一等级阈值时,确定所述网络安全服务级别为高安全等级;
在所述流量的占比率达到第二等级阈值时,确定所述网络安全服务级别为中安全等级;
在所述流量的占比率达到第三等级阈值时,确定所述网络安全服务级别为低安全等级。
8.根据权利要求7所述的基于分段路由技术的规避路由路径选择方法,其特征在于,所述第一等级阈值、所述第二等级阈值和所述第三等级阈值分别为90%、60%和40%。
9.一种基于分段路由技术的规避路由路径选择装置,其特征在于,包括:
模型算法构建模块,用于分别构建多段规避路由模型、具有完整网络信息的段规避路由算法和具有部分网络信息的段规避路由算法;
安全级别检测模块,用于检测网络安全服务级别;所述网络安全服务级别分为高安全等级、中安全等级和低安全等级;
模型求解模块,用于在所述网络安全服务级别为高安全等级时,通过优化求解器对所述多段规避路由模型进行求解,获得最优段规避路由路径;
C-SAR算法模块,用于在所述网络安全服务级别为中安全等级时,通过所述具有完整网络信息的段规避路由算法获取最优段规避路由路径;
P-SAR算法模块,用于在所述网络安全服务级别为低安全等级时,通过所述具有部分网络信息的段规避路由算法获取最优段规避路由路径;
其中,所述多段规避路由模型为,以跳数和路由成本为约束条件,以跳数小于最大段数且路由成本最低为目标函数的数学模型;
所述具有完整网络信息的段规避路由算法为,根据获取到的每一次迭代的候选SAR路径集合构建SAR路径第一总集,并从所述SAR路径第一总集中选择路由成本最低的路径作为最优SAR路径输出;所述最优SAR路径为最优段规避路由路径;
所述具有部分网络信息的段规避路由算法为,根据获取到的安全节点集和源节点的邻居节点集构建包含两种路径类型的SAR路径第二总集,并通过探针检测法查找所述SAR路径第二总集中所有的非安全路径,并将所述非安全路径从所述SAR路径第二总集删除之后选择路由成本最低的路径作为最优SAR路径输出。
CN202110879913.5A 2021-08-02 2021-08-02 基于分段路由技术的规避路由路径选择方法及装置 Active CN113347095B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110879913.5A CN113347095B (zh) 2021-08-02 2021-08-02 基于分段路由技术的规避路由路径选择方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110879913.5A CN113347095B (zh) 2021-08-02 2021-08-02 基于分段路由技术的规避路由路径选择方法及装置

Publications (2)

Publication Number Publication Date
CN113347095A CN113347095A (zh) 2021-09-03
CN113347095B true CN113347095B (zh) 2021-11-05

Family

ID=77480663

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110879913.5A Active CN113347095B (zh) 2021-08-02 2021-08-02 基于分段路由技术的规避路由路径选择方法及装置

Country Status (1)

Country Link
CN (1) CN113347095B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205289B (zh) * 2021-10-22 2023-03-24 清华大学 一种分段路由网络中考虑故障的流量工程计算方法和装置
US11968232B2 (en) 2021-12-08 2024-04-23 Juniper Networks, Inc. Forwarding network traffic associated with a security classification via a routing path associated with the security classification
CN115333947B (zh) * 2022-08-03 2024-04-16 北京视界云天科技有限公司 基于引导的路由优化方法、装置、计算机设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281247A (zh) * 2013-05-09 2013-09-04 北京交通大学 一种数据中心网络的通用路由方法及***
CN112910778A (zh) * 2021-02-03 2021-06-04 北京明未科技有限公司 网络安全路由方法和***

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10182000B2 (en) * 2016-08-03 2019-01-15 Cisco Technology, Inc. Loop detection and avoidance for segment routed traffic engineered paths
CN108848033B (zh) * 2018-06-26 2021-11-09 深圳创维数字技术有限公司 一种规避路由冲突的方法、装置及存储介质
US10567293B1 (en) * 2018-08-23 2020-02-18 Cisco Technology, Inc. Mechanism to coordinate end to end quality of service between network nodes and service provider core

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103281247A (zh) * 2013-05-09 2013-09-04 北京交通大学 一种数据中心网络的通用路由方法及***
CN112910778A (zh) * 2021-02-03 2021-06-04 北京明未科技有限公司 网络安全路由方法和***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Fast Recovery for Single Link Failure with Segment Routing in SDNs;Shishuang Wang 等;《2019 IEEE 21st International Conference on High Performance Computing and Communications》;20191003;全文 *
Quality of Service Sensitive Routing for Software Defined Network Using Segment Routing;Ohmmar Min Mon 等;《2018 18th International Symposium on Communications and Information Technologies (ISCIT)》;20181227;全文 *
一种SDN中基于SR的多故障恢复与规避机制;黄建洋 等;《电子学报》;20171130;第45卷(第11期);全文 *

Also Published As

Publication number Publication date
CN113347095A (zh) 2021-09-03

Similar Documents

Publication Publication Date Title
CN113347095B (zh) 基于分段路由技术的规避路由路径选择方法及装置
US11785080B1 (en) Decentralized ledger system and method for enterprises
US20180324218A1 (en) Learning network topology and monitoring compliance with security goals
CN103858386B (zh) 用于通过优化的决策树执行包分类的方法和装置
Seyfollahi et al. MFO-RPL: A secure RPL-based routing protocol utilizing moth-flame optimizer for the IoT applications
US20230261873A1 (en) Verifiable computation for cross-domain information sharing
Wu et al. A high efficient node capture attack algorithm in wireless sensor network based on route minimum key set
Tudosi et al. Secure network architecture based on distributed firewalls
Sahraneshin et al. Securing communications between things against wormhole attacks using TOPSIS decision-making and hash-based cryptography techniques in the IoT ecosystem
Hakiri et al. A Blockchain architecture for SDN-enabled tamper-resistant IoT networks
Bose et al. Bounding the locality of distributed routing algorithms
Yang et al. Traffic-driven epidemic spreading on scale-free networks with tunable degree distribution
Vairagade et al. Secure Internet of Things network using light‐weighted trust and blockchain‐powered PoW framework
KR101966366B1 (ko) 토르 네트워크에서의 악의적 사용자 탐지 시스템 및 그 방법
Roos et al. Dealing with dead ends: Efficient routing in darknets
Fukushima et al. Minimum disclosure routing for network virtualization and its experimental evaluation
Babu et al. Comparative study of MANET routing protocols
Asif et al. Optimization based spectral partitioning for node criticality assessment
Lent et al. Strengthening the security of cognitive packet networks
Ilakkiya et al. A novel DAG-blockchain structure for trusted routing in secure MANET-IoT environment
CN109787896B (zh) 一种用于通信链路构建的节点选择方法及设备
Choudhary et al. FATMLPGS: Design of a fault-aware trust establishment model for low-power IoT deployments via generic lightweight sidechains
Liu et al. 3S: three‐signature path authentication for BGP security
Kotenko et al. The genetic approach for design of virtual private networks
Song et al. A game theoretical approach to gateway selections in multi-domain wireless networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant