[发明专利]网络安全路由方法和系统

权利要求书

1.一种网络安全路由方法，其特征在于，该方法包括：

对功能域内各个节点中的每个节点进行安全值初始化处理，确定每个节点对应的各个域内接口的安全值；

按照常规路由规则，在预设周期内最大化遍历可能路径；

基于所述安全值按照预设的带内信令规则对所述各个节点上参与安全路由的路径进行收敛处理，得到路径安全值；

基于所述路径安全值，将筛选的关键业务流量按照路由转发策略进行安全路由转发。

2.根据权利要求1所述的方法，其特征在于，所述预设的带内信令规则，包括：

对于功能域内各节点的出向流量，基于路由表待转发的出向数据包和节点类型，更新数据包的前向安全值编码和后向安全值编码；

对于功能域内各节点的入向流量，按照路由表条目和节点类型，更新数据包的前向安全值编码和后向安全值编码。

3.根据权利要求2所述的方法，其特征在于，对于功能域内各节点的出向流量，基于路由表待转发的出向数据包和节点类型，更新数据包的前向安全值编码和后向安全值编码，包括：

命中路由表待转发的出向数据包，将数据包的前向安全值编码与命中的所述出向数据包的前向安全值进行比较，选择较小值更新数据包的前向安全值编码；

当所述待转发数据包由所述节点类型为边界节点向域内节点转发时，通过路由表的后向安全值更新所述数据包的后向安全值编码。

4.根据权利要求2所述的方法，其特征在于，对于功能域内各节点的入向流量，按照路由表条目和节点类型，更新数据包的前向安全值编码和后向安全值编码，包括：

接收来自域内节点的数据包；

按源IP地址搜索路由表条目，将所述数据包的后向安全值编码和命中路由的前向安全值记录进行比较，选择较小值更新所述命中的路由表项对应的前向安全值编码；

对于所述节点类型为边界节点从域内节点发送至域外的数据包时，通过所述数据包的前向安全值编码更新所述命中的路由表项对应的后向安全值编码。

5.根据权利要求1所述的方法，其特征在于，基于所述路径安全值，将筛选的关键业务流量按照路由转发策略进行安全路由转发，包括：

判断路由协议的路由表中是否存在多条等价路径，所述等价路径具有相同的起始地和目的地；

若不存在多条等价路径时，节点按照命中的路由表进行安全路由转发；

若存在多条等价路径时，根据所述路径安全值和所述关键业务流量进行安全路由转发。

6.根据权利要求5所述的方法，其特征在于，所述路径安全值包括前向安全值，根据所述路径安全值和所述关键业务流量进行安全路由转发，包括：

当所述关键业务流量小于预设流量阈值且需要安全路由时，按照所述多条等价路径中前向安全值记录当前最优的路径进行安全路由转发；

当所述关键业务流量不小于预设流量阈值且需要负载均衡时，按照所述多条等价路径中多路负载均衡的方式进行路由转发。

7.根据权利要求1所述的方法，其特征在于，基于所述路径安全值，将筛选的关键业务流量按照路由转发策略进行安全路由转发，包括：

将所述关键业务流量进行封装处理，得到待转发的第一域外数据包数据包，第一域外数据包为从第一域外节点传输至第二域外节点的通信数据；

第一域外节点将所述待转发的第一域外数据包发送至第一边界节点；

所述第一边界节点按照预设的带内信令规则，更新所述待转发的第一域外数据包的前向安全值编码和后向安全值编码，得到第一更新数据包并通过对应的域内接口将所述第一更新数据包发送至域内节点；

所述域内节点接收所述第一更新数据包，并按照所述预设的带内信令规则，得到第二更新数据包发送至第二边界节点；

所述第二边界节点接收所述第二更新数据包，并按照所述预设的带内信令规则，得到第三更新数据包发送至第二域外节点。