[发明专利]一种用于轻量级安全自组织控制平面的网络设备及方法

说明书

一种网络设备，包括发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(Autonomic Control Plane，ACP)网络的一部分。所述网络设备还包括处理器，所述处理器与所述发送器和所述接收器耦合。所述处理器从应用接收请求，以发起与目标网络节点的连接。所述处理器还从所述应用接收报文，以向所述目标网络节点传输。当所述应用中的所述报文未加密时，所述处理器在不通知所述应用的情况下对所述未加密报文进行端到端加密。所述发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

相关申请案的交叉参考

本申请要求于2018年3月2日提交的发明名称为“轻量级安全自组织控制平面(Lightweight Secure Autonomic Control Plane)”的第15/910,947号美国非临时专利申请案的优先权，其内容以引用的方式并入本文中，如全文再现一般。

背景技术

网络可用于与各种业务进行通信。在许多情况下，用户希望这种通信以安全的方式进行，以防止未经授权方进行访问。但是，安全性的提高增大了通信的复杂性。通信复杂性增大可能使某些网络组件不可用，需要对网络组件进行复杂配置，和/或降低总体通信速度。因此，通信网络设计应该平衡安全需求和通信需求，以便创建一个在执行通信任务时既相当安全又相当有效的网络。

发明内容

在一个实施例中，本发明包括一种网络设备，包括：发送器和接收器，用于与一个或多个网络节点建立安全连接，所述一个或多个网络节点为自组织控制平面(AutonomicControl Plane，ACP)网络的一部分；处理器，与所述发送器和所述接收器耦合，所述处理器用于：从应用接收请求，以发起与目标网络节点的连接；从所述应用接收报文，以向所述目标网络节点传输；当所述应用中的所述报文未加密时，在不通知所述应用的情况下对所述未加密报文进行端到端加密；使发送器通过所述ACP网络向所述目标网络节点发送所述加密报文。

可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于当所述应用中的报文已由所述应用加密时，不再对所述报文加密。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器根据传输层安全(transport layersecurity，TLS)协议、数据报传输层安全(datagram transport layer security，dTLS)协议或其组合对所述未加密报文加密。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立安全连接包括：向所述网络节点发送加密的本地链路主动发现(discovery unsolicited link local，DULL)通用自组织信令协议(GenericAutonomic Signaling Protocol，GRASP)发现消息；建立安全的传输层安全(transportlayer security，TLS)连接进行认证；解封认证网络节点对应的端口。可选地，根据上述任一方面，在所述方面的另一种实现方式中，与一个或多个网络节点建立安全连接还包括与相邻网络节点建立组播本地链路通信连接。可选地，根据上述任一方面，所述方面的另一种实现方式提供的网络设备，其中，所述处理器还用于在使用ACP路由表发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述ACP路由表通过接收ACP路由协议泛洪的所述ACP网络中的网络节点的虚拟路由转发(Virtual Routing and Forwarding，VRF)地址来填充。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于在使用地址映射服务发起与所述目标网络节点的连接之前，确定所述目标网络节点通过所述ACP网络可达，从而确定所述目标网络节点的ACP虚拟路由转发(Virtual Routing andForwarding，VRF)地址。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述地址映射服务：使用所述发送器在所述ACP网络中泛洪ACP通用自组织信令协议(GenericAutonomic Signaling Protocol，GRASP)发现消息；使用所述接收器响应于所述GRASP发现消息，在GRASP响应消息中接收所述目标网络节点的所述VRF。可选地，根据上述任一方面，所述方面的另一种实现方式提供权利要求1所述的网络设备，其中，通过所述ACP网络向所述目标网络节点发送所述加密报文包括：标记所述加密报文以指示所述ACP网络中的成员关系；封锁除标记报文和ACP网络发现报文外的所有报文。可选地，根据上述任一方面，在所述方面的另一种实现方式中，通过所述ACP网络向所述目标网络节点发送所述加密报文包括通过以下方式组播所述加密报文：与多个相邻网络节点创建多个安全端到端连接；在所述安全端到端连接上单播所述加密报文。可选地，根据上述任一方面，在所述方面的另一种实现方式中，所述处理器还用于通过以下方式保护所述安全连接免受中间人攻击：与所述ACP网络中的相邻网络节点交换接口发送/接收报文/字节计数器和对应的时戳；当发送报文计数器与接收报文计数器在指定时间段内的差值超过误差阈值时，确定入侵者。