一种面向多路径的数据安全传输方法、设备和系统

1.本文涉及通信技术领域，尤指一种面向多路径的数据安全传输方法、设备和系统。


背景技术：

2.随着信息化时代的来临，通信网络系统成为了多种行业中不可或缺的基础设施。网络编码技术允许网络中间节点对输入信息进行编码操作，相比于传统的存储
‑
转发机制，通过信息流的组合提升网络吞吐量。多路径路由在源节点与目的节点间建立多条传输路径，有效对抗单路径路由失效问题，保证数据传输的可靠性。


技术实现要素：

3.本技术提供了一种面向多路径的数据安全传输方法、设备和系统，该方法采用结合数据包级冗余编码和多路径路由的传输机制，保证网络传输的可靠性，提升网络传输效率。
4.本技术提供了一种面向多路径的数据安全传输方法，方法包括：
5.获取待传输的数据，发送传输数据请求；
6.将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；
7.对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端；
8.其中，该传输路径是根据所述传输数据请求所建立的。
9.一种示例性的实施例中，所述传输路径根据以下方式确定：
10.安全管控中心接收所述传输数据请求；
11.安全管控中心根据所述传输数据请求和当前网络环境中的各个节点时延信息、网络拥塞状况、节点安全状态、告警信息，利用路径最优化算法生成多条传输路径。
12.一种示例性的实施例中，所述多条传输路径是逻辑层级相互独立、物理层级为相同公共路由设备的传输路径。
13.一种示例性的实施例中，冗余编码为最大距离可分码的编码方式。
14.一种示例性的实施例中，所述生成多个冗余编码数据包的方式为：
15.将所划分的多个数据包根据编码系数进行线性组合生成冗余编码数据包；
16.其中，编码系数是从伽罗华域中随机选取的系数；
17.所述编码系数存储在每个冗余编码数据包中。
18.一种示例性的实施例中，所述冗余编码数据包传输到目的端以供所述目的端执行如下操作：
19.目的端对所接收到的每个冗余编码数据包分别进行如下的译码操作；
20.当译码操作的结果正常时，获得该冗余编码数据包对应的原始传输数据；
21.当译码操作的结果异常时，针对传输该冗余编码数据包的传输路径发送告警信息至安全管控中心。
22.一种示例性的实施例中，所述译码操作的结果异常包括以下一种或多种：无法进行译码、译码结果与该传输路径上待传输信息不一致。
23.一种示例性的实施例中，所述发送告警信息至安全管控中心以供所述安全管控中心执行如下操作：
24.安全管控中心根据告警信息将异常传输路径中的各个节点进行标记；
25.当任一节点的标记次数达到预先设置的阈值时，将包含该节点的传输路径反馈给安全管控中心。
26.本技术还提供了一种面向多路径的数据安全传输设备，所述设备包括：传输封装解封模块、数据包编码译码模块；
27.传输封装解封装模块，用于获取待传输的数据，发送传输数据请求；
28.冗余编码译码模块，用于将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；
29.传输封装解封装模块，还用于对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端；
30.其中，该传输路径是根据所述传输数据请求所建立的。
31.本技术还提供了一种面向多路径的数据安全传输系统，该传输系统包括：数据源端、目的端、传输节点、安全管控中心。
32.与相关技术相比，本技术一种面向多路径的数据安全传输方法、设备和系统，方法包括：获取待传输的数据，发送传输数据请求；将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端；其中，该传输路径是根据所述传输数据请求所建立的。通过本发明的技术方案，采用结合数据包级冗余编码和多路径路由的传输机制，保证网络传输的可靠性，提升网络传输效率。
33.本技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术而了解。本技术的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
34.附图用来提供对本技术技术方案的理解，并且构成说明书的一部分，与本技术的实施例一起用于解释本技术的技术方案，并不构成对本技术技术方案的限制。
35.图1为本技术实施例的面向多路径的数据安全传输方法流程图；
36.图2为一些示例性实施例中通信网络的逻辑视图示意图；
37.图3为本技术实施例的面向多路径的数据安全设备示意图。
具体实施方式
38.本技术描述了多个实施例，但是该描述是示例性的，而不是限制性的，并且对于本领域的普通技术人员来说显而易见的是，在本技术所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合，并在具体实施方式中进行了讨论，但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情
况以外，任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用，或可以替代任何其它实施例中的任何其他特征或元件。
39.本技术包括并设想了与本领域普通技术人员已知的特征和元件的组合。本技术已经公开的实施例、特征和元件也可以与任何常规特征或元件组合，以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合，以形成另一个由权利要求限定的独特的发明方案。因此，应当理解，在本技术中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此，除了根据所附权利要求及其等同替换所做的限制以外，实施例不受其它限制。此外，可以在所附权利要求的保护范围内进行各种修改和改变。
40.此外，在描述具有代表性的实施例时，说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而，在该方法或过程不依赖于本文所述步骤的特定顺序的程度上，该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的，其它的步骤顺序也是可能的。因此，说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外，针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤，本领域技术人员可以容易地理解，这些顺序可以变化，并且仍然保持在本技术实施例的精神和范围内。
41.一些技术中，存在以下问题：
42.1)tcp/ip协议对于数据包传输错误采用重传的方式，传输效率低，且无法保证确定性时延要求。此外，该tcp/ip协议传输方式无法定位到存在安全风险的设备，使得相同的安全问题在下一次传输中仍然存在；
43.2)现有的多路径编码路由在中间节点处也进行网络编码，引入额外的编译码时延和网络开销，不适用于延时要求高的通信系统。采用并行多路径调度算法，下一跳地址不确定且需要进行实时判断，该种方式需要中间节点的性能要求较高。
44.3)现有的多路径路传输系统多为单独服务于网络传输效率提升或网络安全性保障，没有做到在提升网络传输效率的同时，保证网络安全风险的可控。基于一些技术中所存在的问题，本技术提供一种多路径路数据安全传输方，可以实现网络拥塞感知，提升网络传输效率。
45.本公开实施例提供了一种数据传输方法，如图1所示，方法包括步骤s100
‑
s120，具体如下：
46.s100.获取待传输的数据，发送传输数据请求；
47.s110.将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；
48.s120.对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端。
49.在本实施例中，该数据传输方法应用在一种通信网络系统中，该通信网络系统，如图2所示的逻辑视图，包括：信源s、信宿d、安全管控中心和多条链路即传输路径。
50.在本实施例中，该传输路径是根据传输数据请求所建立的。
51.一种示例性的实施例中，传输路径根据以下方式确定：安全管控中心接收所述传输数据请求；安全管控中心根据所述传输数据请求和当前网络环境中的各个节点时延信息、网络拥塞状况、节点安全状态、告警信息，利用路径最优化算法生成多条传输路径。传输
过程中，经过数据包级冗余编码后的数据包组，随机选取一条传输路径进行数据传输，无需考虑路径安全状态。
52.一种示例性的实施例中，多条传输路径是逻辑层级相互独立、物理层级为相同公共路由设备的传输路径。
53.在步骤s110中，将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包。
54.一种示例性的实施例中，冗余编码为最大距离可分码的编码方式，例如冗余编码为rs编解码的方式。
55.一种示例性的实施例中，生成多个冗余编码数据包的方式为：将所划分的多个数据包根据编码系数进行线性组合生成冗余编码数据包；其中，编码系数是从伽罗华域中随机选取的系数；所述编码系数存储在每个冗余编码数据包的包头中。例如：将k＝4个数据包进行冗余编码得到n＝6个编码后数据包并进行传输，方法描述为：从给定伽罗华域中随机选取6组线性无关的系数，每组4个，作为编码系数(记为a1
‑
4,b1
‑
4,c1
‑
4,d1
‑
4,e1
‑
4,f 1
‑
4)。将每组的编码系数与原数据包做矩阵乘法(例：m1＝a1*m1+a2*m2+a3*m3+a4*m4)，即得到一个编码后数据包，同时将该系数存储在编码后数据包的包头，以便后续译码时使用。共选取6组线性无关的编码系数，因此可以获得6个编码后数据包(m1,m2,m3,m4,m5,m6)。在本实施例中，传输中数据包组作为最小传输单元在网络中传输，目的节点接收到数据包组并译码获得原始数据包。可对抗网络传输过程中的数据丢包，而无需重传。
56.一种示例性的实施例中，冗余编码数据包传输到目的端以供所述目的端执行如下操作：目的端对所接收到的每个冗余编码数据包分别进行如下的译码操作；当译码操作的结果正常时，获得该冗余编码数据包对应的原始传输数据；当译码操作的结果异常时，针对传输该冗余编码数据包的传输路径发送告警信息至安全管控中心。
57.一种示例性的实施例中，译码操作的结果异常包括以下一种或多种：无法进行译码、译码结果与该传输路径上待传输信息不一致。由于传输过程中只存在数据包丢包错误，因此，能够完整收到n个数据包，即可正确译码。若接收到有丢包的数据包组，则通过监督矩阵(g*h
t
＝1)无法获得译码结果或有误的结果(h秩＜n)，这两种情况可由校正子与接收到数据包的矩阵乘法操作判断出。统称为译码结果和传输信息不一致。在达到传输时延上限后，目的节点开始执行译码操作，具体方式描述为：目的节点分离出数据包中的编码系数矩阵，通过矩阵乘法运算，得到传输信息。对于由于丢包导致无法译码以及译码结果与传输信息不符的路径，即判断为异常传输路径，并将判断结果告警至安全管控中心。
58.一种示例性的实施例中，发送告警信息至安全管控中心以供所述安全管控中心执行如下操作：安全管控中心根据告警信息将异常传输路径中的各个节点进行标记；当任一节点的标记次数达到预先设置的阈值时，将包含该节点的传输路径反馈给安全管控中心。
59.上述实施例中，1)采用结合数据包级冗余编码和多路径路由的传输机制，在部分中间节点不可靠时，目的节点依旧可以获得正确信息，保证网络传输的可靠性；异常数据包无需重传，保证网络时延可控，提升网络传输效率。
60.2)通过路径传输状态异常检测告警方法和设备安全状态异常检测方法，检测、识别、分析、定位异常设备，保证网络中部分中间节点被攻击，不影响整体安全。
61.下面用一个示例说明上述实施例。
62.针对某一个数据(例如文件、音视频等)，设其数据总长为m比特，按每m比特长度为一个分组，划分为k个数据包。从k个数据包编码成n个数据包，其编码方法如下：
63.(1)每个数据包包含m＝m/k比特信息，记为采用mds码进行编码，以rs码为例，编码系数选取自gf(2
q
)，将每个数据包中信息划分成[m/q]个符号，每个符号对应q比特，记为或写作：
[0064][0065]
(2)取每组第j个符号，即以(n，k)rs系统码方式进行编码，可得编码后符号，记为重组编码后符号，并获得编码后数据包：
[0066][0067]
由于按照系统码的方式进行编码，因此冗余对应b中第k+1至n行。
[0068]
(3)将选取的本原元α存储在数据包中，随数据包一同发送。数据包格式为：
[0069][0070]
在译码阶段：
[0071]
(1)当达到设定时间上限后，接收端开始译码，对于接收到数据包组：
[0072][0073]
(未接收到的数据包对应行记为0)
[0074]
(2)取每组第j个符号，即以(n，k)rs码方式进行译
码，经重组译码后符号，获得传输数据包。
[0075][0076]
(3)通过rs码具备的检错和纠错能力，实现对正确传输的数据包、丢包、数据包传输有误、无法正确译码四种情况的判断，即：
[0077]
第一种情况：
[0078]
a
′
与c按行做对比，可获知正确传输的数据包，对应正确传输路径；
[0079]
第二种情况：
[0080]
接收数据包组c中的全零行，对应传输路径中出现数据包丢包；
[0081]
第三种情况：
[0082]
a
′
与c按行做对比出现个别符号位错误，对应传输路径中出现非丢包类型的差错；
[0083]
第四重情况：
[0084]
c秩小于k，无法正确译码，此时数据包丢包过多。
[0085]
本公开实施例还提供了一种面向多路径的数据安全传输设备，包括：传输封装解封模块、数据包编码译码模块；传输封装解封装模块用于获取待传输的数据，发送传输数据请求；冗余编码译码模块用于将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；传输封装解封模块还用于对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端；其中，该传输路径是根据所述传输数据请求所建立的。
[0086]
下面用一个示例说明上述实施例。
[0087]
一种面向多路径的数据安全传输设备，如图3所示，所述设备包括传输封装解封模块、数据包编码译码模块和数据缓冲区。
[0088]
在该传输设备中，传输封装解封模块用于接收数据包和发送数据包，还用于对每个冗余编码数据包从预先生成的多条传输路径中选择一条传输路径将相应的冗余编码数据包传输到目的端；其中，该传输路径是根据所述传输数据请求所建立的。具体的是接收数据包后，还用于执行如下操作：
①
封装功能：将冗余编码数据包和本原元数据包封装为ip包；
②
解封装功能：从ip包解封为编码数据包和本原元数据包。冗余编码译码模块是将待传输的数据划分为多个数据包，并进行冗余编码生成多个冗余编码数据包；具体的是用于处理数据分组和加冗余的，即
①
编码功能，从原始数据包编码为冗余编码数据包；
②
译码功能：从冗余编码数据包恢复为原始数据包。在该传输设备中还包括数据缓冲区，该数据缓冲区是把中间运算结果缓存起来，比如说未收全的编码数据包或者未发送完的ip数据包。
[0089]
本公开实施例还提供了一种面向多路径的数据安全传输系统，该数据传输系统包括：数据源端、目的端、传输节点、安全管控中心。
[0090]
数据源端用于接收呆传输数据，并数据包级冗余编码，并将冗余编码后数据包进行转发；
[0091]
传输节点用于按照预设的路径进行转发数据包；
[0092]
目的端用于接收数据包并开始译码，并获得正确传输信息；目的节点根据译码结果判断出无法接收到传输数据包及接收到传输数据包有误的路径，并将这两类异常路径的判断结果作为告警信息上报至安全管控中心；
[0093]
安全管控中心对收集到的目的节点告警信息进行分析，标记异常路径中各个传输节点。被标记次数越多的节点，其存在安全风险的概率越大。在下一次多路径路由生成时，安全管控中心则减少此类节点在传输路径中的使用。
[0094]
下面用一个示例说明数据传输的过程。
[0095]
步骤1.安全管控中心收到用户的数据传输请求，根据当前网络环境的拥塞状态、资源余量以及节点安全状态，利用路径最优化算法生成m条传输路径，该m条传输路径逻辑层级相互独立，物理层级存在公共路由设备。
[0096]
步骤2.一组待传输数据，划分为k个数据包，利用数据包级冗余编码生成n个数据包，对于每1个新数据包，随机选取一条传输路径到目的端；
[0097]
步骤3.在达到预先设置的通信时延上限后，目的端根据收集到的数据包开始译码，并获得正确传输信息；
[0098]
步骤4.目的端根据译码结果判断出无法接收到传输数据包及接收到传输数据包有误的路径，并将这两类异常路径的判断结果作为告警信息上报至安全管控中心；
[0099]
步骤5.安全管控中心对收集到的目的端告警信息进行分析，标记异常路径中各个传输节点。被标记次数越多的节点，其存在安全风险的概率越大。在下一次多路径路由生成时，安全管控中心则减少此类节点在传输路径中的使用。
[0100]
上述示例性实施例中，可以获得以下的技术效果：
[0101]
1)中间传输节点不进行网络编码，只进行数据转发，该中间传输节点可以是普通的路由器设备或通用的路由器设备是；信源端采用数据包级冗余编码，可以降低传输时延和网络开销；
[0102]
2)采用结合数据包级冗余编码和多路径路由的传输机制，无需重传即可保证网络传输可靠性，同时实现网络时延可控；
[0103]
3)建立终端译码检测告警、安全中心收集分析机制。实现异常路径检测与识别，异常态势信息上报与分析，安全设备异常状态检测与定位，减少系统安全风险的累积。
[0104]
本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd
‑
rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他
磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。