一种流量处置方法、装置、设备及计算机可读存储介质与流程

1.本发明涉及网络安全技术领域，特别是涉及一种流量处置方法、装置、设备及计算机可读存储介质。


背景技术：

2.随着5g、云计算、物联网、大数据等新一代信息技术快速发展，网络信息服务的业务场景日趋多样化，传统基于专用硬件设备的计算、存储、网络等服务资源部署方式，面临部署方案复杂、迁移成本高、后期维护难度大等问题。特别地，基于专用硬件的网络安全设备(如防火墙、加解密、入侵检测等)在部署中面临以下现实挑战：一是安全能力固化，无法根据网络环境变化动态调整；二是安全功能更新难度大，多种专有安全设备的升级周期长、维护成本高、更换流程繁琐，难以及时应对网络安全攻击；三是安全功能重叠，不同安全厂商提供的安全设备功能不尽相同，在同一网络中部署多个厂商的不同安全设备，存在安全功能重叠、安全功能冗余浪费的问题。
3.网络功能虚拟化(nfv，network function virtualization)是一种基于虚拟化技术的网络功能部署方法，在通用的硬件上以虚拟化的方式提供网络服务，能实现资源的组合重构与快速迁移。nfv技术的应用，能提升网络服务维护升级的便利性，大幅度降低网络信息运营成本。服务功能链(sfc，service function chain)是nfv的一类应用，是指由构建一条连接多个虚拟网络功能网元(vnf)的虚拟链路，为流量设置固定的源目节点，实现顺序串行的网络服务。网络安全服务功能链(ns-sfc，network security service function chain)是利用sfc技术来实现安全服务的部署，sfc中的vnf为具有特定功能的虚拟安全资源。ns-sfc部署方式较为灵活，既可以作为独立的安全管理和服务模块部署在网络中，也可以与现有的网络编排融合，将安全网元和安全编排规则嵌入到网络编排系统中。
4.ns-sfc作为独立安全服务的一般部署过程为，首先具体业务场景定义并实例化一组安全功能，如vfw(virtual firewall，虚拟防火墙)、vids(virtual intrusion detection system，虚拟入侵检测系统)、vips(virtual intrusion prevention system，虚拟入侵防御系统)等，构建虚拟链路，配置相应的针对特定数据包或网络流量的安全服务策略，形成若干sfc。当业务流量进入后，根据流量分类器策略将流量牵引至既有的sfc中，为现有网络提供端到端的安全服务。
5.现有ns-sfc部署方案存在的问题为：一是服务链无法动态调整，缺少配置灵活性。服务链在虚拟功能实例化和安全策略配置后就不发生改变，简单分类后的同一种类流量总会经过同一条服务链，无法根据实际流量安全处置情况动态调整安全服务。如果按照既定的顺序串接的方式处置，数据包可能会经过不必要的安全网元，引起服务资源浪费；二是安全服务功能的选择规则不明确。对于网络安全服务来说，安全服务功能本身不是相互独立的，许多服务功能有一个严格的使用顺序，安全功能服务选择链的顺序复杂、繁琐。
6.综上所述，如何有效地解决数据包可能会经过不必要的安全网元，引起服务资源浪费，安全功能服务选择链的顺序复杂、繁琐等问题，是目前本领域技术人员急需解决的问
题。


技术实现要素：

7.本发明的目的是提供一种流量处置方法，该方法避免了经过不必要的安全网元，节省了安全服务资源，实现了安全高效自动化处置；本发明的另一目的是提供一种流量处置装置、设备及计算机可读存储介质。
8.为解决上述技术问题，本发明提供如下技术方案：
9.一种流量处置方法，包括：
10.对接收到的初始流量包进行解析，得到目标流量类型；
11.根据所述目标流量类型确定初始网元；
12.利用所述初始网元对所述初始流量包进行安全处置操作，得到安全处置结果和当前流量包；
13.根据所述安全处置结果确定所述目标网元对应的下一跳网元；
14.利用所述下一跳网元对所述当前流量包进行安全处置操作。
15.在本发明的一种具体实施方式中，根据所述目标流量类型确定初始网元，包括：
16.根据所述目标流量类型确定安全服务功能列表；
17.根据所述安全服务功能列表确定所述初始网元。
18.在本发明的一种具体实施方式中，根据所述安全处置结果确定所述目标网元对应的下一跳网元，包括：
19.根据所述安全服务功能列表确定安全功能服务器依赖关系；
20.结合所述安全处置结果和所述安全功能服务器依赖关系确定所述目标网元对应的下一跳网元。
21.在本发明的一种具体实施方式中，结合所述安全处置结果和所述安全功能服务器依赖关系确定所述目标网元对应的下一跳网元，包括：
22.根据所述安全处置结果和所述安全功能服务器依赖关系确定所述安全服务功能列表中各网元分别对应的选择权重；
23.根据各所述网元分别对应的选择权重确定所述目标网元对应的下一跳网元。
24.在本发明的一种具体实施方式中，在根据所述目标流量类型确定安全服务功能列表之后，还包括：
25.将所述安全服务功能列表封装至所述初始流量包的头部，得到网络服务报头；
26.根据所述安全服务功能列表确定所述初始网元，包括：
27.从所述网络服务报头中读取所述安全服务功能列表；
28.根据所述安全服务功能列表确定所述初始网元。
29.在本发明的一种具体实施方式中，在得到安全处置结果和当前流量包之后，还包括：
30.将所述安全处置结果存储至所述网络服务报头；
31.根据所述安全处置结果确定所述目标网元对应的下一跳网元，包括：
32.从所述网络服务报头中读取所述安全处置结果；
33.根据所述安全处置结果确定所述目标网元对应的下一跳网元。
34.在本发明的一种具体实施方式中，还包括：
35.当所述安全处置结果为流量已完成处置时，从所述网络服务报头中读取预存储的目的端口；其中，所述网络服务报头中预存储有所述初始流量包对应的源端口、目的端口、源ip地址、目的ip地址以及传输层协议；
36.将所述当前流量包牵引至所述目的端口。
37.一种流量处置装置，包括：
38.流量类型获得模块，用于对接收到的初始流量包进行解析，得到目标流量类型；
39.初始网元确定模块，用于根据所述目标流量类型确定初始网元；
40.第一安全处置模块，用于利用所述初始网元对所述初始流量包进行安全处置操作，得到安全处置结果和当前流量包；
41.下一跳网元确定模块，用于根据所述安全处置结果确定所述目标网元对应的下一跳网元；
42.第二安全处置模块，用于利用所述下一跳网元对所述当前流量包进行安全处置操作。
43.一种流量处置设备，包括：
44.存储器，用于存储计算机程序；
45.处理器，用于执行所述计算机程序时实现如前所述流量处置方法的步骤。
46.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前所述流量处置方法的步骤。
47.本发明所提供的流量处置方法，对接收到的初始流量包进行解析，得到目标流量类型；根据目标流量类型确定初始网元；利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包；根据安全处置结果确定目标网元对应的下一跳网元；利用下一跳网元对当前流量包进行安全处置操作。
48.由上述技术方案可知，通过根据安全服务需求和安全处置结果的动态构建服务功能路径方式，安全服务链不再是预先编排、固定的，而是根据当前业务和安全处置结果进行灵活调整，实现安全服务动态灵活编排。避免了经过不必要的安全网元，节省了安全服务资源。能够根据当前流量包的安全服务需求决定下一跳的安全网元，整个过程由预先编排程序自动化决策，降低了安全功能服务选择链的顺序复杂、繁琐程度，实现了安全高效自动化处置。
49.相应的，本发明还提供了与上述流量处置方法相对应的流量处置装置、设备和计算机可读存储介质，具有上述技术效果，在此不再赘述。
附图说明
50.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
51.图1为本发明实施例中流量处置方法的一种实施流程图；
52.图2为本发明实施例中一种安全功能服务系统的结构框图；
53.图3为本发明实施例中流量处置方法的另一种实施流程图；
54.图4为本发明实施例中一种安全功能服务链的逻辑示意图；
55.图5为本发明实施例中一种流量处置装置的结构框图；
56.图6为本发明实施例中一种流量处置设备的结构框图；
57.图7为本实施例提供的一种流量处置设备的具体结构示意图。
具体实施方式
58.为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
59.参见图1，图1为本发明实施例中流量处置方法的一种实施流程图，该方法可以包括以下步骤：
60.s101：对接收到的初始流量包进行解析，得到目标流量类型。
61.当接收到待处置的初始流量包时，对接收到的初始流量包进行解析，得到目标流量类型。流量类型可以包括办公流量、访问流量等。
62.s102：根据目标流量类型确定初始网元。
63.参见图2，图2为本发明实施例中一种安全功能服务系统的结构框图。预先根据业务场景对安全服务功能的需求和计算资源容量约束，在虚拟化基础设施(vim)上实例化配置虚拟安全服务(vnf)，并构建vnf到服务功能转发器的虚拟链路vl，形成具有n个安全功能服务网元的安全资源池{vnfi}0≤i≤n和虚拟链路集合{vli}0≤i≤n，确保安全功能服务网元与服务功能转发器的逻辑连接。初始流量包从流量入口进入流量分类器，再经过服务功能转发器转发至相应的网元进行流量处置，最后将处置后得到的当前流量包通过流量出口输出。
64.在解析得到初始流量包所属的目标流量类型之后，根据目标流量类型确定初始网元。可以利用分类器根据目标流量类型确定初始网元，如当根据目标流量类型确定需要进行流量包加密时，将具备加密功能的网元确定为初始网元；当根据目标流量类型确定需要进行流量包阻断时，将具备阻断功能的网元确定为初始网元。
65.s103：利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包。
66.在确定得到初始网元之后，利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包。如当初始网元为具备加密功能的网元时，利用初始网元对初始流量包进行加密操作，得到密文形式的当前流量包。
67.s104：根据安全处置结果确定目标网元对应的下一跳网元。
68.在得到安全处置结果和当前流量包之后，根据安全处置结果确定当前流量包所需的安全服务功能，根据定当前流量包所需的安全服务功能确定目标网元对应的下一跳网元。
69.s105：利用下一跳网元对当前流量包进行安全处置操作。
70.在根据安全处置结果确定出目标网元对应的下一跳网元之后，利用下一跳网元对
当前流量包进行安全处置操作。从而根据当前业务和安全处置结果进行灵活调整，实现安全服务动态灵活编排。避免了经过不必要的安全网元，节省了安全服务资源。能够根据当前流量包的安全服务需求决定下一跳的安全网元，整个过程由预先编排程序自动化决策，降低了安全功能服务选择链的顺序复杂、繁琐程度，实现了安全高效自动化处置。
71.由上述技术方案可知，通过根据安全服务需求和安全处置结果的动态构建服务功能路径方式，安全服务链不再是预先编排、固定的，而是根据当前业务和安全处置结果进行灵活调整，实现安全服务动态灵活编排。避免了经过不必要的安全网元，节省了安全服务资源。能够根据当前流量包的安全服务需求决定下一跳的安全网元，整个过程由预先编排程序自动化决策，降低了安全功能服务选择链的顺序复杂、繁琐程度，实现了安全高效自动化处置。
72.需要说明的是，基于上述实施例，本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考，相应的有益效果也可相互参照，在下文的改进实施例中不再一一赘述。
73.参见图3，图3为本发明实施例中流量处置方法的另一种实施流程图，该方法可以包括以下步骤：
74.s301：对接收到的初始流量包进行解析，得到目标流量类型。
75.s302：根据目标流量类型确定安全服务功能列表。
76.在解析得到初始流量包所属的目标流量类型之后，根据目标流量类型确定安全服务功能列表。安全服务功能列表中包含对初始流量包进行处置可能所需的各网元信息。
77.s303：根据安全服务功能列表确定初始网元。
78.在根据目标流量类型确定出安全服务功能列表之后，根据安全服务功能列表确定初始网元。如安全服务功能列表中各网元按照预先经验总结得到的安全功能服务器依赖关系对各网元进行初排序，将初排序结果中排在最前面的网元确定为初始网元。
79.在本发明的一种具体实施方式中，在步骤s302之后，该方法还可以包括以下步骤：
80.将安全服务功能列表封装至初始流量包的头部，得到网络服务报头；
81.相应的，步骤s303可以包括以下步骤：
82.步骤一：从网络服务报头中读取安全服务功能列表；
83.步骤二：根据安全服务功能列表确定初始网元。
84.为方便描述，可以将上述几个步骤结合起来进行说明。
85.在根据目标流量类型确定出安全服务功能列表之后，将安全服务功能列表封装至初始流量包的头部，得到网络服务报头(network service header，nsh)。当进行初始网元确定时，从网络服务报头中读取安全服务功能列表，根据安全服务功能列表确定初始网元。
86.s304：利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包。
87.s305：将安全处置结果存储至网络服务报头。
88.在利用初始网元对初始流量包进行安全处置操作，得到安全处置结果之后，将安全处置结果存储至网络服务报头，如可以将安全处置结果以元数据形式存放至网络服务报头。
89.s306：根据安全服务功能列表确定安全功能服务器依赖关系。
90.安全服务功能列表中各网元存在相应的依赖关系，在将安全处置结果存储至网络服务报头之后，根据安全服务功能列表确定安全功能服务器依赖关系。
91.s307：从网络服务报头中读取安全处置结果。
92.当需要进行下一跳网元确定时，从网络服务报头中读取安全处置结果。
93.s308：结合安全处置结果和安全功能服务器依赖关系确定目标网元对应的下一跳网元。
94.在读取到安全处置结果之后，结合安全处置结果和安全功能服务器依赖关系确定目标网元对应的下一跳网元。通过结合安全处置结果和安全功能服务器依赖关系双方面确定下一跳网元，较大地提升了确定出的下一跳网元的准确性。
95.在本发明的一种具体实施方式中，步骤s308可以包括以下步骤：
96.步骤一：根据安全处置结果和安全功能服务器依赖关系确定安全服务功能列表中各网元分别对应的选择权重；
97.步骤二：根据各网元分别对应的选择权重确定目标网元对应的下一跳网元。
98.为方便描述，可以将上述两个步骤结合起来进行说明。
99.参见图4，图4为本发明实施例中一种安全功能服务链的逻辑示意图。在源节点与目标节点之间存在由各网元构成的多条服务功能链sfc。在分别获取到安全处置结果和安全功能服务器依赖关系之后，根据安全处置结果和安全功能服务器依赖关系确定安全服务功能列表中各网元分别对应的选择权重，由于网络中可能存在不同的流量包导入，可以结合安全处置结果和各网元分别对应的网元分叉数确定各网元分别对应的选择权重，根据各网元分别对应的选择权重确定目标网元对应的下一跳网元。将具备多叉的网元顺序前移，利用网元的分叉优先对流量分类，减少后续汇聚网元的个数。
100.如可以通过以下步骤计算下一跳网元：
101.步骤1：计算{vnfj}
0≤j≤m
中每个网元的依赖关系权重{d(vnfj)}
0≤j≤m
。
102.函数d(x)的具体计算过程为：
103.(1)如果则d(x)＝1，计算停止；
104.(2)如果那么d(x)＝∑
y∈s(x)
d(y)。
105.其中s(x)为{vnfj}
0≤j≤m
中与网元x有下级依赖关系的元素集合。
106.步骤2：选取{d(vnfj)}
0≤j≤m
中的最大值d(vnfk)。
107.步骤3：确定vnfk为下一跳安全功能服务。
108.s309：利用下一跳网元对当前流量包进行安全处置操作。
109.s310：当安全处置结果为流量已完成处置时，从网络服务报头中读取预存储的目的端口。
110.其中，网络服务报头中预存储有初始流量包对应的源端口、目的端口、源ip地址、目的ip地址以及传输层协议。
111.预先在网络服务报头存储初始流量包对应的源端口、目的端口、源ip地址、目的ip地址以及传输层协议。当安全处置结果为流量已完成处置时，从网络服务报头中读取预存储的目的端口。
112.s311：将当前流量包牵引至目的端口。
113.在从网络服务报头中读取到预存储的目的端口之后，将当前流量包牵引至目的端
口，从而完成整个流量处置过程。当安全处置结果为流量阻断时，则生成处置报告，流程终止。
114.相应于上面的方法实施例，本发明还提供了一种流量处置装置，下文描述的流量处置装置与上文描述的流量处置方法可相互对应参照。
115.参见图5，图5为本发明实施例中一种流量处置装置的结构框图，该装置可以包括：
116.流量类型获得模块51，用于对接收到的初始流量包进行解析，得到目标流量类型；
117.初始网元确定模块52，用于根据目标流量类型确定初始网元；
118.第一安全处置模块53，用于利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包；
119.下一跳网元确定模块54，用于根据安全处置结果确定目标网元对应的下一跳网元；
120.第二安全处置模块55，用于利用下一跳网元对当前流量包进行安全处置操作。
121.由上述技术方案可知，通过根据安全服务需求和安全处置结果的动态构建服务功能路径方式，安全服务链不再是预先编排、固定的，而是根据当前业务和安全处置结果进行灵活调整，实现安全服务动态灵活编排。避免了经过不必要的安全网元，节省了安全服务资源。能够根据当前流量包的安全服务需求决定下一跳的安全网元，整个过程由预先编排程序自动化决策，降低了安全功能服务选择链的顺序复杂、繁琐程度，实现了安全高效自动化处置。
122.在本发明的一种具体实施方式中，初始网元确定模块52包括：
123.服务列表确定子模块，用于根据目标流量类型确定安全服务功能列表；
124.初始网元确定子模块，根据安全服务功能列表确定初始网元。
125.在本发明的一种具体实施方式中，下一跳网元确定模块54包括：
126.依赖关系确定子模块，用于根据安全服务功能列表确定安全功能服务器依赖关系；
127.下一跳网元确定子模块，用于结合安全处置结果和安全功能服务器依赖关系确定目标网元对应的下一跳网元。
128.在本发明的一种具体实施方式中，下一跳网元确定子模块包括：
129.选择权重确定单元，用于根据安全处置结果和安全功能服务器依赖关系确定安全服务功能列表中各网元分别对应的选择权重；
130.下一跳网元确定单元，用于根据各网元分别对应的选择权重确定目标网元对应的下一跳网元。
131.在本发明的一种具体实施方式中，该装置还可以包括：
132.网络服务报头获得模块，用于在根据目标流量类型确定安全服务功能列表之后，将安全服务功能列表封装至初始流量包的头部，得到网络服务报头；
133.初始网元确定子模块包括：
134.服务列表读取单元，用于从网络服务报头中读取安全服务功能列表；
135.初始网元确定单元，用于根据安全服务功能列表确定初始网元。
136.在本发明的一种具体实施方式中，该装置还可以包括：
137.处置结果存储模块，用于在得到安全处置结果和当前流量包之后，将安全处置结
果存储至网络服务报头；
138.下一跳网元确定模块54包括：
139.安全处置结果读取子模块，用于从网络服务报头中读取安全处置结果；
140.下一跳网元确定子模块，用于根据安全处置结果确定目标网元对应的下一跳网元。
141.在本发明的一种具体实施方式中，该装置还可以包括：
142.端口读取模块，用于当安全处置结果为流量已完成处置时，从网络服务报头中读取预存储的目的端口；其中，网络服务报头中预存储有初始流量包对应的源端口、目的端口、源ip地址、目的ip地址以及传输层协议；
143.流量包牵引模块，用于将当前流量包牵引至目的端口。
144.相应于上面的方法实施例，参见图6，图6为本发明所提供的流量处置设备的示意图，该设备可以包括：
145.存储器332，用于存储计算机程序；
146.处理器322，用于执行计算机程序时实现上述方法实施例的流量处置方法的步骤。
147.具体的，请参考图5，图5为本实施例提供的一种流量处置设备的具体结构示意图，该流量处置设备可因配置或性能不同而产生比较大的差异，可以包括处理器(central processing units，cpu)322(例如，一个或一个以上处理器)和存储器332，存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中，存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地，处理器322可以设置为与存储器332通信，在流量处置设备301上执行存储器332中的一系列指令操作。
148.流量处置设备301还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。
149.上文所描述的流量处置方法中的步骤可以由流量处置设备的结构实现。
150.相应于上面的方法实施例，本发明还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下步骤：
151.对接收到的初始流量包进行解析，得到目标流量类型；根据目标流量类型确定初始网元；利用初始网元对初始流量包进行安全处置操作，得到安全处置结果和当前流量包；根据安全处置结果确定目标网元对应的下一跳网元；利用下一跳网元对当前流量包进行安全处置操作。
152.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
153.对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不做赘述。
154.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
155.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。