[发明专利]openstack加密链路管理方法和系统

说明书

本发明公开了一种openstack加密链路管理方法和系统。本发明方法首先根据加密链路上隧道数量将网络节点与目标站点间的中间节点进行分层；然后节点发出请求以获取其与所有相邻节点之间的网络延迟，并获取中间节点上已建立的加密隧道数量；再以网络节点为起点，目标站点为终点，综合网络延迟和中间节点上已建立的加密隧道数量作为相邻节点之间的距离，应用A星算法选取使得整条加密链路上距离最小的可连通的中间节点作为加密链路使用的中间节点。本发明能够自动选择在网络延迟和负载均衡方面综合最优的中间节点组成的加密链路，提高了加密链路建立的成功率和可用性。

技术领域

本发明涉及一种openstack加密链路管理方法和系统，属于网络安全、信息处理技术领域。

背景技术

为了增强openstack集群中虚拟机的反跟踪、反溯源能力，专利CN110191105B提供了一种openstack加密链路实现方法及系统。如图1所示，openstack虚拟机通过加密链路访问目标站点，加密链路由网络节点和若干个中间节点组成；一条加密链路中使用哪些中间节点以及中间节点的连接顺序需要在加密链路建立之前预先设定并告知网络节点管理程序。该专利中预先设定加密链路由中间节点1，中间节点2，……，中间节点N按顺序连接而成；网络节点管理程序先控制网络节点连通中间节点1形成一条加密隧道，然后控制中间节点1连通中间节点2形成一条加密隧道，……，依次连通这些加密隧道，形成一条完整的加密链路。

该方案中加密链路的中间节点列表由网络节点上的管理程序定义，通过管理程序可以自由地排列若干中间节点，组成一条新的链路。随着使用规模的扩大，该方案存在如下待改进之处：1、缺乏对具体的链路中间节点选取和管理的方法；2、在所有节点都完成建立连接之前，网络节点管理程序无法预先知道加密链路是否能够完成建立，即中间节点是否都可连通；3、自由选取中间节点时，没有考虑均衡中间节点的网络延迟和其上已建立的加密隧道数量，进而导致中间节点的流量负载不均衡，不能充分利用中间节点的带宽传输能力。

发明内容

发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种openstack加密链路管理方法和系统，实现链路中间节点的自动选取和管理，使得建立的加密链路在网络延迟和负载均衡方面是综合最优的。

技术方案：为实现上述发明目的，本发明提供的一种openstack加密链路管理方法，包括如下步骤：

根据加密链路上加密隧道数量将openstack集群中的网络节点与目标站点间的中间节点进行分层得到多个中间层，每个中间层至少包括一个中间节点；

向网络节点和所有中间节点发出请求以获取其与所有相邻节点之间的网络延迟，并向所有中间节点发出请求以获取其已建立的加密隧道数量；其中网络节点的相邻节点为第一层中间层中所有的中间节点，某一中间节点的相邻节点为其所在中间层指向目标站点的下一层中间层中的所有中间节点，最后一层中间层中的中间节点的相邻节点设为互联网中的指定站点；

以网络节点为起点，目标站点为终点，综合网络延迟和中间节点上已建立的加密隧道数量作为相邻节点之间的距离，网络延迟和已建立的加密隧道数量越大则距离越大，应用A星算法选取使得整条加密链路上距离最小的可连通的中间节点作为加密链路使用的中间节点。

作为优选，不同中间层中的中间节点由用户配置或者随机分配。

作为优选，向节点发出获取网络延迟的请求时，请求中包括相邻节点的IP地址。

作为优选，A星算法中相邻节点之间的距离根据如下算式之一确定：

或者