本申请涉及网络安全,尤其涉及一种基于意图的网络安全路径计算方法、设备及存储介质。
背景技术:
1、当前多域sdn网络中的跨域路由安全问题无法得到妥善解决,许多网络安全平台仅仅是用于安全设备的配置,无法提供网络安全路径计算;现有的方式大多是通过广播形式扩散再逐步获取路径,亦或基于原本访问路径进行访问,这样使得跨域网络路径无法有效的评估和优化,安全性也得不到保证,而且对于不同的安全需求的意图采用同样防护,使得路径获取缓慢且不稳定。而由于硬件的限制,单个sdn网络的规模必然不会很大,以传统方式进行跨域路由即使存在sdn控制器也终究无法获取网络全局情况,构建中心式的网络控制器不仅消耗巨大且计算压力巨大,反馈时效也不一定能够得到保证,并且存在一定的系统性风险,由于控制器单点失效、受到恶意攻击等威胁,由一个控制器计算出的路径信息无法保证跨域通信的安全可靠。
技术实现思路
1、本申请的主要目的在于提供一种基于意图的网络安全路径计算方法、设备及存储介质,旨在提供一种高效、安全且完美适配用户意图的网络安全路径计算方法。
2、为实现上述目的,第一方面,提供一种基于意图的网络安全路径计算方法,适用于算力网络安全平台,所述算力网络安全平台包括多个网络节点,算力网络安全平台设有若干子网,所述网络节点隶属于对应的子网,各个子网均配置有子网控制器,所述算力网络安全平台连接算网大脑,所述算网大脑配置有总控模块和意图获取模块,所述意图获取模块,所述方法包括如下步骤:
3、s100、算网大脑通过意图获取模块获取用户的意图信息,所述意图信息包括源节点、目的节点以及安全等级要求;
4、s200、算网大脑根据所述意图信息进行意图拆解,以生成若干意图拆解方案,根据所述意图拆解方案生成若干意图全局路径;其中,所述意图拆解方案包括分片子网信息,所述分片子网信息包括由源节点至目的节点所经过的子网对应的子网标识集合以及边际节点信息;根据所述意图拆解方案生成若干意图全局路径具体步骤包括:
5、s210、算网大脑根据意图拆解方案中分片子网信息确定相应的子网控制器,通过确定的子网控制器生成或更新所述意图拆解方案对应的各个分片子网拓扑;其中,所述分片子网拓扑储存的数据包括节点数据和链路数据,所述链路数据包括链路的节点信息以及链路使能标识,所述节点数据包括节点子网标识和状态标识,所述状态标识包括安全事件标识、设备更新标识、故障标识中的一种或多种;
6、s220、在各个所述分片子网拓扑进行安全设备标注,并根据链路两端节点的状态标识以及链路使能标识确定链路使能情况;
7、s230、进行分片子网拓扑中使能链路的权值计算;权值计算步骤如下:
8、s231、获取分片子网拓扑中所有链路的链路安全评分;所述链路安全评分基于链路涉及的安全设备标注以及链路两端节点的安全事件标识计算得到;
9、s232、根据各个安全等级要求对应的链路安全评分-安全系数映射关系确定链路的安全系数;s233、基于链路的负载情况获取链路的负载系数,基于链路的负载系数和安全系数计算链路权值;
10、s240根据所述意图拆解方案对应的各个分片子网拓扑和分片子网信息中的边际节点信息并结合链路权值计算最小生成树以生成若干对应的分片子网路径;所述分片子网路径中所有链路的相邻节点均属于同一子网;
11、s250、算网大脑的总控模块基于所述意图拆解方案对应的各个分片子网拓扑生成该意图拆解方案对应的意图全局拓扑,基于意图全局拓扑和链路权值确定对应的跨子网链路,并通过分片子网路径和跨子网链路合成若干意图全局路径;
12、s300、将所有意图全局路径通过路径权值对比进行择优选取确定唯一全局路径。
13、作为优选,步骤s300之后还包括:
14、s400、算网大脑将所述唯一全局路径发下至相关子网控制器,子网控制器根据接收的唯一全局路径确定其对应子网内的起始节点,以及,位于后续的下一个子网的子网标识,根据确定的子网标识调取对应的安全策略在确定的起始节点处进行下发。
15、作为优选,所述安全策略配置有安全限制,所述安全限制包括时效限制、次数限制、目的节点限制中的一种或多种。
16、作为优选,所述链路安全评分基于安全设备评分和安全事件评分计算得到,所述安全设备评分基于链路两端节点的安全设备情况得到,所述安全事件评分基于基于链路两端节点的安全事件情况得到。
17、作为优选,所述安全设备标注包括内嵌式安全设备标识和旁挂式安全设备标识,内嵌式安全设备标识和旁挂式安全设备标识预设不同的安全设备评分。
18、第二方面,本申请实施例还提供一种计算机设备,包括一个或多个处理器;
19、存储器,用于存储一个或多个程序,
20、当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上述第一方面所述的方法。
21、第三方面,本申请实施例还提供一种存储有计算机程序的存储介质,该程序被处理器执行时实现如上述第一方面所述的方法。
22、本发明的有益效果在于:
23、通过子网分片计算网络安全路径在进行分片路径合并获取唯一路径,路径计算效率高,路径计算耗时少,且仅通过本子网的子网控制器进行分片路径计算,安全程度更高;
24、将用户的安全意图体现在路径的权值计算之中,相同的链路安全评分在用户不同的安全等级要求下能够得到不同的安全系数进而影响链路的权值,以使得每次链路的权值计算因用户不同的安全等级要求而异,进而在路径计算时能够依据用户不同的安全等级要求得到不同的网络安全路径,更加符合用户需求,路径计算更加智能化;
25、通过意图信息进行意图拆解将用户的意图拆分计算,提升效率,再将相关的分片子网拓扑进行合成形成意图全局拓扑,仅计算和更新相关部分子网数据,避免了计算整体拓扑时的无用消耗,更加高效的获取网络安全路径。
1.一种基于意图的网络安全路径计算方法,其特征在于,适用于算力网络安全平台,所述算力网络安全平台包括多个网络节点,算力网络安全平台设有若干子网,所述网络节点隶属于对应的子网,各个子网均配置有子网控制器,所述算力网络安全平台连接算网大脑,所述算网大脑配置有总控模块和意图获取模块,所述意图获取模块,所述方法包括如下步骤:
2.根据权利要求1所述的一种基于意图的网络安全路径计算方法,其特征在于,步骤s300之后还包括:
3.根据权利要求1所述的一种基于意图的网络安全路径计算方法,其特征在于,所述安全策略配置有安全限制,所述安全限制包括时效限制、次数限制、目的节点限制中的一种或多种。
4.根据权利要求1所述的一种基于意图的网络安全路径计算方法,其特征在于,所述链路安全评分基于安全设备评分和安全事件评分计算得到,所述安全设备评分基于链路两端节点的安全设备情况得到,所述安全事件评分基于链路两端节点的安全事件情况得到。
5.根据权利要求1所述的一种基于意图的网络安全路径计算方法,其特征在于,所述安全设备标注包括内嵌式安全设备标识和旁挂式安全设备标识,内嵌式安全设备标识和旁挂式安全设备标识预设不同的安全设备评分。
6.一种计算机设备,其特征在于,一个或多个处理器;
7.一种存储有计算机程序的存储介质,其特征在于,该程序被处理器执行时实现如权利要求1至5所述的方法。