[发明专利]一种基于自治系统多维属性的网络带宽分配方法

说明书

本发明公开一种基于自治系统多维属性的网络带宽分配方法，包括网络权证建立过程和可用性指数的计算与更新过程。本方法权证在途经自治域之间通过逐跳的形式建立，同时根据本地存储并更新的各个自治域可用性指数，用户所需的接入带宽得以分配。在可用性指数的计算与更新过程中，详细考虑了多个维度的自治域网络属性，从而保证了具有延展性的用户层面带宽接入，以及具有公平性的源自治域层面带宽分配。该发明通过网络带宽分配技术，将有效提升当前数据中心网络对于DDoS攻击的免疫力，保障数据中心的服务性能与高可用性。

技术领域

本发明涉及自治系统网络带宽分配领域，具体涉及一种基于自治系统多维属性的网络带宽分配方法。

背景技术

云计算服务的蓬勃发展促进了网络数据中心的广泛部署与应用。然而，分布式拒绝服务(DDoS)攻击依旧是数据中心设施最具危害性的一项威胁。作为有效的DDoS防御手段之一，权证防御技术被提出并得到了逐步的发展。在权证方案中，接收者通过对某一发送者的数据流进行明确的授权，将该数据流的优先权进行保证。优先权通过发送者的权证进行反映，而每一权证由在数据传输路径上生成的一系列密码令牌，以及对应于每个数据流的受保障带宽所组成。

基于权证技术，数据中心网络可以实现有效的DDoS防护，合法的、携带权证的数据流隔离了未授权的恶意流。然而，如何在授权的数据流之间对网络带宽进行可延展的分配，依然是一项困难的问题――当世界范围内数以百万计的僵尸用户作为潜在的带宽竞争者时，基于每一数据流或者每个用户的带宽分配粒度显然无法保障DDoS防护的延展性。

为了在流的产生源头将其遏制，引入自治系统/自治域(AS，Autonomous System)概念的方案于近期被提出，并被认为是实现具有延展性权证方案的可行途径。但本质上现有技术使用了基于源自治域的均分策略来解决带宽分配问题，这一方式在提供AS层面的公平性上显得过于粗糙。例如，不同的自治域可能包含了数量上具有显著性差异的用户群体，对这些自治域进行网络资源均分显然不合情理。在缺乏对自治域本身进行全面评估的情况下，自治域层面的DDoS攻击防御效果将会大打折扣。因此对自治域的多维度网络属性进行全方位的研究并改进，对设计高性能的权证方案变得格外重要。

发明内容

为解决上述问题，本发明提供一种基于自治系统多维属性的网络带宽分配方法。

本发明的技术方案是：一种基于自治系统多维属性的网络带宽分配方法，包括网络权证建立过程和可用性指数的计算与更新过程；

所述网络权证建立过程包括以下步骤：

S1-1：发送者进行发送数据包的初始化；

S1-2：当数据包由源自治域发送至数据中心自治域时，途经自治域依次实施准入控制过程，并生成对应于该申请的网络权证；该步骤中本地尚未使用的网络带宽将根据每个源自治域的可用性指数被加权平均分配；

S1-3：依照基于可用性指数的加权平均分配结果，每个叶子节点将被给予一个可接入带宽的上界值；每个自治域可用带宽将被其内部产生的所有数据发送者共享；如果正在申请的数据流符合准入控制要求，即该申请所需带宽没有超过共享的平均上界值，则该申请所需带宽将在途经自治域被暂时性地分配，同时途经自治域为该申请生成权证密码令牌；若所有途经自治域都批准了该申请，则数据中心自治域将生成最终权证；

S1-4：数据中心自治域将新生成的权证发送回请求用户，以确认权证的申请；当收到新生成权证的时候，每个途经自治域将最终为该用户分配相应的带宽；

所述可用性指数的计算与更新过程包括以下步骤：

S2-1：当发送者带宽申请数据包到达路径上某一自治域时，会首先在该自治域的可用性指数表中，查询是否有申请包中源自治域标识符所对应的可用性指数，若存在，则根据该自治域的可用性指数表中实时的可用性指数，通过准入控制模块进行准入控制的过程；