一種可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法
【專利摘要】本發(fā)明公開(kāi)了一種可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法,本發(fā)明方法分為網(wǎng)絡(luò)控制信息的采集與處理和網(wǎng)絡(luò)控制策略的解析與執(zhí)行兩個(gè)部分���。首先�����,在可信可控網(wǎng)絡(luò)模型及相關(guān)理論的驗(yàn)證思路指導(dǎo)下�,基于可信可控網(wǎng)絡(luò)各種決策機(jī)制的需要�,確定控制信息采集的內(nèi)容。通過(guò)分析不同時(shí)間粒度對(duì)信息采集的影響��,確定控制信息的時(shí)間粒度和傳輸格式�。在此基礎(chǔ)上存儲(chǔ)并處理控制信息,形成統(tǒng)一的控制信息訪問(wèn)接口����;其次,設(shè)計(jì)通用的網(wǎng)絡(luò)控制策略格式���,解析并執(zhí)行各種控制機(jī)制所產(chǎn)生的網(wǎng)絡(luò)控制策略�����,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的有效控制�����。
【專利說(shuō)明】
-種可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域�����,設(shè)及網(wǎng)絡(luò)控制機(jī)制��,具體設(shè)及一種可信可控網(wǎng)絡(luò)控 制機(jī)制實(shí)現(xiàn)方法��。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的迅猛發(fā)展����,互聯(lián)網(wǎng)呈現(xiàn)出了網(wǎng)絡(luò)規(guī)模快速膨脹����、網(wǎng)絡(luò)異構(gòu)性W及服 務(wù)多樣化的發(fā)展趨勢(shì)��,互聯(lián)網(wǎng)的最初的設(shè)計(jì)理念、網(wǎng)絡(luò)架構(gòu)W及關(guān)鍵技術(shù)受到了新業(yè)務(wù)和 新應(yīng)用的挑戰(zhàn)�����。綜合上述發(fā)展趨勢(shì)��,互聯(lián)網(wǎng)的使用目的已經(jīng)從W教育科研為核屯���、目的的"公 益"性質(zhì)����,轉(zhuǎn)向了 W盈利為核屯����、目的的"商業(yè)"性質(zhì),用戶群體從"自律"的科研人員轉(zhuǎn)向普通 大眾����,應(yīng)用環(huán)境從"數(shù)據(jù)"為主走向音視頻。當(dāng)前互聯(lián)網(wǎng)環(huán)境已經(jīng)發(fā)生了巨大的變化���,傳統(tǒng)互 聯(lián)網(wǎng)的體系結(jié)構(gòu)和設(shè)計(jì)理念日益暴露出嚴(yán)重的不足���,互聯(lián)網(wǎng)在可控性和可信性上暴露出嚴(yán) 重的問(wèn)題�。
[0003] 針對(duì)運(yùn)些問(wèn)題��,人們開(kāi)展了下一代網(wǎng)絡(luò)的研究���,提出了諸多下一代網(wǎng)絡(luò)體系結(jié)構(gòu) 方法����。雖然尚未對(duì)下一代網(wǎng)絡(luò)體系機(jī)構(gòu)的具體形態(tài)達(dá)成共識(shí)��,但是在"下一代網(wǎng)絡(luò)必須實(shí)現(xiàn) 可信可控"的目標(biāo)上取得了較為廣泛的一致:其中可信是目標(biāo)�����,即網(wǎng)絡(luò)能夠提供給用戶可信 賴的服務(wù);而可控是實(shí)現(xiàn)可信的手段之一��,實(shí)現(xiàn)可控就是要保證網(wǎng)絡(luò)系統(tǒng)的行為及其結(jié)果 是可W預(yù)期的����,能夠做到網(wǎng)絡(luò)狀態(tài)可監(jiān)測(cè)、決策行為結(jié)果可評(píng)估����、異常行為可處理,能夠?qū)?設(shè)備�����、協(xié)議和機(jī)制的控制參數(shù)進(jìn)行自適應(yīng)優(yōu)化配置���,使得網(wǎng)絡(luò)的數(shù)據(jù)傳輸�����、資源分配和用戶 服務(wù)的過(guò)程及結(jié)果是可W預(yù)期的����。
[0004] 項(xiàng)目組在前期的研究工作基礎(chǔ)上提出了可信可控網(wǎng)絡(luò)體系結(jié)構(gòu)����,其主要思想就是 實(shí)現(xiàn)控制平面和數(shù)據(jù)平面剝離并與管理平面集成為統(tǒng)一的決策平面,并要求網(wǎng)絡(luò)為決策平 面提供統(tǒng)一的視圖�����?��?尚趴煽鼐W(wǎng)絡(luò)體系結(jié)構(gòu)在不破壞現(xiàn)有的層體系結(jié)構(gòu)基礎(chǔ)上增 加一個(gè)可信可控四層邏輯結(jié)構(gòu)���,進(jìn)而重建一個(gè)新的網(wǎng)絡(luò)體系結(jié)構(gòu)����,旨在實(shí)現(xiàn)網(wǎng)絡(luò)可信可控���。 在此基礎(chǔ)上��,項(xiàng)目組研究了路由決策�����、預(yù)警分析����、資源控制等網(wǎng)絡(luò)控制機(jī)制�����,并進(jìn)行了仿真 驗(yàn)證�。為了將運(yùn)些控制機(jī)制應(yīng)用到網(wǎng)絡(luò)中,需要設(shè)計(jì)一種通用的網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法���。
[0005] 雖然業(yè)界已經(jīng)存在很多網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法�,但是已有的實(shí)現(xiàn)方法很少對(duì)底層 路由控制進(jìn)行修改���,然而可信可控網(wǎng)絡(luò)模型及相關(guān)理論的驗(yàn)證需要對(duì)路由轉(zhuǎn)發(fā)進(jìn)行控制����, 所W現(xiàn)有的實(shí)驗(yàn)方法不適合用來(lái)驗(yàn)證可信可控網(wǎng)絡(luò)模型及相關(guān)理論�。其次已有的控制機(jī)制 實(shí)現(xiàn)方法僅僅針對(duì)某一種或者某一類型的控制機(jī)制,不能夠廣泛適用于諸多控制機(jī)制�,缺 乏通用性。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明目的是�����,針對(duì)已有的網(wǎng)絡(luò)控制機(jī)制存在的問(wèn)題�����,設(shè)計(jì)一種可信可控網(wǎng)絡(luò)控 制機(jī)制實(shí)現(xiàn)方法�,將網(wǎng)絡(luò)的狀態(tài)信息作為控制的依據(jù),W支持各種決策機(jī)制的控制決策�����。統(tǒng) 一制定控制機(jī)制所生成的策略格式����,便于對(duì)底層網(wǎng)絡(luò)的管理���。
[0007] 本發(fā)明的技術(shù)方案是:一種可信可控網(wǎng)絡(luò)控制機(jī)制,主要包括W下步驟:
[0008] 1�����、確定支持控制機(jī)制進(jìn)行決策的網(wǎng)絡(luò)基本狀態(tài)信息包括自治域相關(guān)的信息�����、路由 器相關(guān)的信息����、網(wǎng)卡相關(guān)的信息W及連接相關(guān)的信息。確定自治域相關(guān)的信息的采集的時(shí) 間粒度為天����。同理可確定連接相關(guān)的信息采集的時(shí)間粒度為秒,路由器相關(guān)的信息采集的 時(shí)間粒度為分鐘���。
[0009] 2��、通過(guò)解析Linux操作系統(tǒng)命令ifconfig的輸出可W得到網(wǎng)卡發(fā)送的數(shù)據(jù)的字節(jié) 數(shù)���。在兩個(gè)不同的時(shí)刻采集網(wǎng)卡所發(fā)送的數(shù)據(jù)的數(shù)量�,除W運(yùn)兩個(gè)不同時(shí)刻的時(shí)間間隔��,可 W得到網(wǎng)卡的轉(zhuǎn)發(fā)速率�。通過(guò)解析Linux操作系統(tǒng)命令ifconfig的輸出可W得到網(wǎng)卡上丟 失數(shù)據(jù)包的數(shù)量,在兩個(gè)不同的時(shí)刻采集網(wǎng)卡的丟包數(shù)量����,除W運(yùn)兩個(gè)不同時(shí)刻之間轉(zhuǎn)發(fā) 的數(shù)據(jù)包數(shù)量�����,可W得到網(wǎng)卡的丟包率��。一條連接的帶寬由兩端網(wǎng)卡的速率決定��,取兩端網(wǎng) 卡速率的較小值作為連接的帶寬�����。
[0010] 3�����、基于Ponder策略描述語(yǔ)言,將四元組作為控制策略的格式�,即(subject, target,condition�,action),其中sub ject即主體����,其含義是管理人員或控制模塊;target 即客體��,其含義是執(zhí)行策略的被管設(shè)備;condition即條件���,其含義是策略動(dòng)作執(zhí)行需要滿 足的要求;action即動(dòng)作���,其含義是策略主體被允許在策略客體上執(zhí)行的操作。實(shí)現(xiàn)動(dòng)作函 數(shù)的動(dòng)態(tài)加載���,同時(shí)將動(dòng)作函數(shù)W動(dòng)作函數(shù)庫(kù)的形式組織存放����。接收到控制機(jī)制所生成的 控制策略后����,將控制策略中的5址〇6��。1:�、化巧61:��、(:〇]1(1;[1:;[0]1���、4(31:;[0]1四個(gè)字段解析出來(lái)��。
[0011] 4��、對(duì)解析到的策略數(shù)據(jù)進(jìn)行處理����,取出其中的Condi tion字段和Action字段����,并將 動(dòng)作函數(shù)文件保存到本地文件夾中�。然后根據(jù)動(dòng)作函數(shù)文件的類型,選擇加載動(dòng)態(tài)連接庫(kù) 還是調(diào)用可執(zhí)行腳本����。
[0012] 本發(fā)明的有益效果是:本發(fā)明方法與現(xiàn)有技術(shù)相比,有如下優(yōu)點(diǎn):
[0013] 1�、現(xiàn)有的網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法基于現(xiàn)有TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)而構(gòu)建�,并沒(méi)有修 改底層路由控制機(jī)制�,無(wú)法實(shí)現(xiàn)可信可控網(wǎng)絡(luò)中的控制機(jī)制,而本發(fā)明方法支持可信可控 網(wǎng)絡(luò)控制機(jī)制���,有效實(shí)現(xiàn)可信可控網(wǎng)絡(luò)中的控制機(jī)制�。
[0014] 2����、本發(fā)明具有通用性,支持多種控制機(jī)制��,并不局限于特定類型的控制機(jī)制�����,為可 信可控網(wǎng)絡(luò)的進(jìn)一步發(fā)展提供支撐���。
【附圖說(shuō)明】
[0015] 圖1控制機(jī)制示意圖���。
[0016] 圖2可信可控網(wǎng)絡(luò)控制機(jī)制的控制信息采集示意圖。
[0017] 圖3可信可控網(wǎng)絡(luò)控制機(jī)制的控制策略定義格式����。
【具體實(shí)施方式】
[0018] 下面結(jié)合附圖及【具體實(shí)施方式】對(duì)本發(fā)明再做進(jìn)一步說(shuō)明���。
[0019] 路由決策機(jī)制為了構(gòu)建自治域的拓?fù)洌枰灾斡蛳嚓P(guān)的信息�����、路由器相關(guān)的信 息��、路由器與路由器之間的連接的信息���,而連接與網(wǎng)卡相關(guān)�����,所W還需要網(wǎng)卡相關(guān)的信息���。 自治域相關(guān)的信息包括自治域內(nèi)的路由器的數(shù)量;路由器相關(guān)的信息包括路由器的ID����、路 由器所屬的自治域編號(hào)、路由器的運(yùn)行狀態(tài);連接相關(guān)的信息包括連接兩端網(wǎng)卡的信息�����、連 接的狀態(tài)、連接的延遲����;網(wǎng)卡的信息包括網(wǎng)卡的狀態(tài)、網(wǎng)卡的IP地址�����、網(wǎng)卡的MAC地址���、網(wǎng)卡 所屬的路由器ID���。
[0020] 預(yù)警分析為了監(jiān)測(cè)網(wǎng)絡(luò)的運(yùn)行狀態(tài),不僅需要獲得路由決策機(jī)制需要的所有信 息�,還需要底層網(wǎng)絡(luò)更詳細(xì)的狀態(tài)信息。運(yùn)些更詳細(xì)的狀態(tài)信息包括:自治域信息的刷新時(shí) 間����、路由器的注冊(cè)時(shí)間、路由器狀態(tài)更新時(shí)間�、網(wǎng)卡的注冊(cè)時(shí)間、網(wǎng)卡的轉(zhuǎn)發(fā)速率����、網(wǎng)卡狀態(tài) 的刷新時(shí)間����、網(wǎng)卡的包丟失率�、網(wǎng)卡的包隊(duì)列長(zhǎng)度、連接的帶寬���、連接狀態(tài)的修改時(shí)間��、連接 注冊(cè)的時(shí)間�。
[0021] 資源控制模塊為了對(duì)底層網(wǎng)絡(luò)進(jìn)行控制���,需要獲取預(yù)警分析機(jī)制所需要的所有信 息�����。
[0022] 綜上所述����,支持控制機(jī)制進(jìn)行決策的網(wǎng)絡(luò)基本狀態(tài)信息包括自治域相關(guān)的信息����、 路由器相關(guān)的信息����、網(wǎng)卡相關(guān)的信息W及連接相關(guān)的信息��。
[0023] 根據(jù)控制信息需求分析����,確定信息采集的內(nèi)容��。主要包括如下幾個(gè)方面:
[0024] ?自治域的信息��。主要包括自治域編號(hào)�、自治域中的路由器的個(gè)數(shù),W及首次獲取 此自治域信息的時(shí)間���。
[0025] ?器的工作狀態(tài)��、路由器工作狀態(tài)的最后更新時(shí)間�。
[00%] ?網(wǎng)卡相關(guān)的信息����。包括網(wǎng)卡所屬路由器的編號(hào)、網(wǎng)卡的IP地址�����、網(wǎng)卡的MAC地址、 網(wǎng)卡的注冊(cè)時(shí)間���、網(wǎng)卡的工作狀態(tài)��、網(wǎng)卡的包轉(zhuǎn)發(fā)速率�、網(wǎng)卡的丟包率��、網(wǎng)卡上正在排隊(duì)的 數(shù)據(jù)包的隊(duì)列長(zhǎng)度��,W及W上幾種信息的最后更新時(shí)間�。
[0027] ?連接相關(guān)的信息。連接相關(guān)的信息包括連接兩端的網(wǎng)卡的IP地址����、連接的注冊(cè) 時(shí)間、連接的帶寬��、連接的延遲����、連接的狀態(tài)W及連接信息最后更新的時(shí)間。
[0028] 控制信息的采集粒度可使用W下方法確定:分析控制信息的變化頻率��,對(duì)變化頻 繁的信息采用較細(xì)的時(shí)間粒度進(jìn)行采集,例如網(wǎng)卡相關(guān)的信息時(shí)時(shí)刻刻都在變化�,因此確 定網(wǎng)卡相關(guān)信息采集的時(shí)間粒度為秒;對(duì)變化不頻繁的信息使用較粗的時(shí)間粒度進(jìn)行采 集����,例如自治域相關(guān)的信息很少發(fā)生變化,因此確定自治域相關(guān)的信息的采集的時(shí)間粒度 為天�。同理可確定連接相關(guān)的信息采集的時(shí)間粒度為秒,路由器相關(guān)的信息采集的時(shí)間粒 度為分鐘�。
[0029] 包括自治域編號(hào)、自治域的路由器數(shù)目��、自治域信息的更新時(shí)間在內(nèi)的自治域的 信息無(wú)法直接采集得到�,只能通過(guò)自治域管理員手動(dòng)輸入的方式獲得。
[0030] 路由器相關(guān)的信息中的路由器的編號(hào)����、路由器認(rèn)證密碼、路由器的別名�����、路由器的 設(shè)備類型��、路由器所在的自治域的編號(hào)�����,可W由管理員手動(dòng)寫入到路由器的配置文件中,同 時(shí)還應(yīng)寫入控制信息數(shù)據(jù)庫(kù)中����,而路由器的工作狀態(tài)、路由器工作狀態(tài)的更新時(shí)間則需要 動(dòng)態(tài)更新�����。對(duì)于路由器的工作狀態(tài)����,可W通過(guò)定時(shí)刷新的方式進(jìn)行更新,在更新路由器工作 狀態(tài)的同時(shí)����,獲取當(dāng)前的時(shí)間作為路由器工作狀態(tài)的更新時(shí)間。
[0031] 網(wǎng)卡相關(guān)的信息中可W直接采集到的信息包括網(wǎng)卡所屬路由器的編號(hào)�、網(wǎng)卡的物 理地址、和網(wǎng)卡的注冊(cè)時(shí)間��、網(wǎng)卡的工作狀態(tài)���、網(wǎng)卡的IP地址���、網(wǎng)卡上數(shù)路由器相關(guān)的信息���。 主要包括兩個(gè)方面的信息:一方面是路由器的配置信息,另一方面是路由器的狀態(tài)信息��。路 由器的配置信息包括路由器的編號(hào)���、路由器認(rèn)證密碼、路由器的別名���、路由器的設(shè)備類型�、 路由器所在的自治域的編號(hào)。路由器的狀態(tài)信息主要有路由器的注冊(cè)時(shí)間、路由數(shù)據(jù)包的 隊(duì)列長(zhǎng)度��、網(wǎng)卡注冊(cè)時(shí)間��、網(wǎng)卡信息的刷新時(shí)間���,運(yùn)些信息的采集方法如下所示:網(wǎng)卡所屬 路由器的編號(hào)通過(guò)讀取路由器的配置文件得到。網(wǎng)卡的工作狀態(tài)通過(guò)讀取路由器的操作系 統(tǒng)文件(如/proc/net/dev)或使用系統(tǒng)命令ifconfig可W得到網(wǎng)卡的工作狀態(tài)���。網(wǎng)卡物理 地址通過(guò)讀取路由器操作系統(tǒng)配置文件(如Fedoral2Linux操作系統(tǒng)上的文件/etc/udev/ rules .d/70-persistent-net .rules)或者使用系統(tǒng)命令ifconfig得到��。網(wǎng)卡IP地址使用系 統(tǒng)命令ifconfig讀取�����。網(wǎng)卡上正在排隊(duì)的數(shù)據(jù)包的隊(duì)列長(zhǎng)度由操作系統(tǒng)命令ifconfig得 到���。使用操作系統(tǒng)命令ifconfig可W得到網(wǎng)卡的數(shù)據(jù)轉(zhuǎn)發(fā)的字節(jié)數(shù)�。也可W通過(guò)讀取操作 系統(tǒng)文件(如/proc/net/dev)獲得�����。采集包丟失數(shù)量的方法與采集數(shù)據(jù)轉(zhuǎn)發(fā)數(shù)量的方法相 同�����。運(yùn)行實(shí)用程序mii-tool并讀取其輸出可W得到網(wǎng)卡的帶寬���。當(dāng)網(wǎng)卡進(jìn)行注冊(cè)時(shí)�����,讀取當(dāng) 前的系統(tǒng)時(shí)間作為網(wǎng)卡的注冊(cè)時(shí)間��。每次提交網(wǎng)卡信息時(shí)�����,讀取當(dāng)前的系統(tǒng)時(shí)間作為網(wǎng)卡 信息的刷新時(shí)間��。
[0032] 各種控制機(jī)制所需要的控制信息中的大部分都可W通過(guò)采集直接得到����,但有一部 分控制信息必須對(duì)采集到的信息做處理才可W得到。通過(guò)解析Linux操作系統(tǒng)命令 ifconfig的輸出可W得到網(wǎng)卡發(fā)送的數(shù)據(jù)的字節(jié)數(shù)�����。在兩個(gè)不同的時(shí)刻采集網(wǎng)卡所發(fā)送的 數(shù)據(jù)的數(shù)量���,除W運(yùn)兩個(gè)不同時(shí)刻的時(shí)間間隔,可W得到網(wǎng)卡的轉(zhuǎn)發(fā)速率����。設(shè)網(wǎng)卡在tl時(shí)刻 之前發(fā)送了 si字節(jié)的數(shù)據(jù),在t2時(shí)刻之前發(fā)送了 s2字節(jié)的數(shù)據(jù)��,則網(wǎng)卡的轉(zhuǎn)發(fā)速率fs如公 式1所示����,其中si和s2的單位為秒��,fs的單位為字節(jié)每秒�����。
[0033]
(公式 1)
[0034] 通過(guò)解析Linux操作系統(tǒng)命令ifconfig的輸出可W得到網(wǎng)卡上丟失數(shù)據(jù)包的數(shù) 量����,在兩個(gè)不同的時(shí)刻采集網(wǎng)卡的丟包數(shù)量��,除W運(yùn)兩個(gè)不同時(shí)刻之間轉(zhuǎn)發(fā)的數(shù)據(jù)包數(shù)量�����, 可W得到網(wǎng)卡的丟包率�。設(shè)在tl時(shí)刻采集到的丟包數(shù)量為dropl,數(shù)據(jù)包的轉(zhuǎn)發(fā)數(shù)量為 fwtotall;在t2時(shí)刻采集到的丟包數(shù)量為化op2,數(shù)據(jù)包的轉(zhuǎn)發(fā)數(shù)量為fwtotal2,則網(wǎng)卡的 丟包率rate_hop如公式2所不�����,其中化opl��、化op2��、fwtatall��、fwtotal2的單位為個(gè),rate_ 化op沒(méi)有單位�����。
[0035]
(慾式 2)
[0036] -條連接的帶寬由兩端網(wǎng)卡的速率決定��,取兩端網(wǎng)卡速率的較小值作為連接的帶 寬�����。設(shè)一端網(wǎng)卡的帶寬為bwl����,另一端網(wǎng)卡的帶寬為bw2,則連接的帶寬bwlink如公式3所示��, 其中bwl�����、bw2的單位是Mb/s����,即兆比特每秒。
[0037] bwli址=min(bwl ,bw2) (公式3)
[0038] 由于控制機(jī)制各不相同��,它們關(guān)注網(wǎng)絡(luò)的方面不同,執(zhí)行的動(dòng)作也不同����,為了對(duì)網(wǎng) 絡(luò)進(jìn)行控制,需要統(tǒng)一控制機(jī)制所生成的策略格式���,便于對(duì)底層網(wǎng)絡(luò)的管理���。
[0039] 基于化nder策略描述語(yǔ)言,將四元組作為控制策略的格式����,即(subject, target, condition�,action),其中subject即主體�,其含義是管理人員或控制模塊;target即客體�, 其含義是執(zhí)行策略的被管設(shè)備;condition即條件���,其含義是策略動(dòng)作執(zhí)行需要滿足的要 求;action即動(dòng)作���,其含義是策略主體被允許在策略客體上執(zhí)行的操作��。
[0040] 控制策略的字符串形式的格式如圖3所示�,關(guān)鍵字Subject����、化rget、Condition和 八���。1:;[0]1標(biāo)識(shí)了策略中的四個(gè)元組���,運(yùn)四個(gè)元組被置于(3〇]1化〇1口〇1;[。7和6]1(1(3〇]1化〇1口〇1;[巧 之間�,conholpoli巧和endconholpoli巧共同標(biāo)記了策略的起始和終止。Subject部分的 值CONTROLMOmJLE-ADMIN是一個(gè)字符串�����,指明了策略的主體為特定的管理人員���;Target部分 的值DEVICE_N0是一個(gè)數(shù)字,指明了客體的設(shè)備編號(hào)�;Condition部分的內(nèi)容C0NDITI0N_ EXPRESSION為條件表達(dá)式,它是控制信息約束的組合,例如下述條件表達(dá)式:
[0041 ] QUEUEAVG< = 1000&&F0RWARDSP邸D〉= 100000
[004^ 通過(guò)使用邏輯與運(yùn)算符"&&"�����,組合了兩個(gè)控制信息約束��,QUEUEAVG和 F0RWARDSP邸D都是在設(shè)備上可W直接讀到的控制信息����,其中第一個(gè)約束的含義為網(wǎng)卡隊(duì)列 平均長(zhǎng)度小于等于1000,第二個(gè)約束的含義為網(wǎng)卡轉(zhuǎn)發(fā)速率大于等于100000字節(jié)每秒,整 個(gè)條件表達(dá)式的含義為網(wǎng)卡隊(duì)列平均長(zhǎng)度小于等于1000且網(wǎng)卡轉(zhuǎn)發(fā)速率大于等于100000 字節(jié)每秒��;Action部分的內(nèi)容包含兩部分����,第一部分指明了策略動(dòng)作函數(shù)的名字,即 ACT 10麗ΑΜΕ��,第二部分指明了策略動(dòng)作函數(shù)的參數(shù)列表���,即ACT10NARGUMENT1���、……、 ACTIONARGUMENTNo
[0043] 動(dòng)作函數(shù)庫(kù)可W采用文件目錄的形式進(jìn)行組織�����。創(chuàng)建文件夾存放與不同類型的設(shè) 備相對(duì)應(yīng)的動(dòng)作函數(shù)。假設(shè)某設(shè)備類型為device_type�,所W在動(dòng)作函數(shù)庫(kù)的文件夾下創(chuàng)建 文件夾device_type存放與該類型的設(shè)備相對(duì)應(yīng)的動(dòng)作函數(shù)文件。動(dòng)作函數(shù)文件有兩種類 型�����,一種是動(dòng)態(tài)鏈接庫(kù)�,另一種是腳本程序,通過(guò)文件后綴名可W區(qū)分運(yùn)兩種動(dòng)作函數(shù)文 件���。
[0044] 為了將控制策略中的Subject���、化rget、Condition����、Action四個(gè)字段解析出來(lái),首 先解析Target得到網(wǎng)絡(luò)設(shè)備的編號(hào)��,利用網(wǎng)絡(luò)設(shè)備的編號(hào)����,從控制信息數(shù)據(jù)庫(kù)中查詢獲取 網(wǎng)絡(luò)設(shè)備的設(shè)備類型,利用Action中的函數(shù)名字和網(wǎng)絡(luò)設(shè)備的類型從動(dòng)作函數(shù)庫(kù)中獲取動(dòng) 作函數(shù)文件�。W策略的化rget為參數(shù),從控制信息數(shù)據(jù)庫(kù)中查詢?nèi)〉每腕w上正常工作的網(wǎng) 卡的IP地址(如果有多塊網(wǎng)卡����,則取查詢結(jié)果中的第一個(gè)網(wǎng)卡的IP)。并將策略Condition�����、 Action字段W及動(dòng)作函數(shù)文件傳送給相應(yīng)網(wǎng)絡(luò)設(shè)備(傳送需要使用從控制信息數(shù)據(jù)庫(kù)中查 詢得到的IP地址)���。
[0045] 策略解析的過(guò)程如下:
[0046] 1.策略解析模塊按照下列次序?qū)ο⑦M(jìn)行解析:
[0047] 分別取出Subject�����、Ta;rget��、Condition�、Action四個(gè)字段�,存放在相應(yīng)的變量中。 [004引2. W化rget字段作為參數(shù)�����,在控制信息數(shù)據(jù)庫(kù)中查詢得到化rget所對(duì)應(yīng)的設(shè)備類 型,利用Action中函數(shù)的名字和網(wǎng)絡(luò)設(shè)備的類型從動(dòng)作函數(shù)庫(kù)中獲取動(dòng)作函數(shù)文件����。
[0049] 3. W化rget字段作為參數(shù),在控制信息數(shù)據(jù)庫(kù)中查詢得到相應(yīng)設(shè)備上正常工作的 網(wǎng)卡的IP地址����,如果存在多塊網(wǎng)卡,則取查詢結(jié)果集合中的第一塊網(wǎng)卡的IP地址���。
[0化0] 4.利用步驟3中查詢得到的IP地址�����,將Condition��、Action兩個(gè)字段和動(dòng)作函數(shù)文 件發(fā)送給化rget上的策略執(zhí)行模塊����。
[0051] 控制策略執(zhí)行模塊需要接收策略解析模塊輸出的已解析的策略數(shù)據(jù)���,取出其中的 Condition字段和Action字段���,并將動(dòng)作函數(shù)文件保存到本地文件夾中���,然后執(zhí)行W下操 作:
[0052] 1.檢測(cè)條件字段的值是否為N化L�,如果為NU化,則進(jìn)行下一步�����;如果非N化L�,則通 過(guò)查詢的方式檢測(cè)條件字段中條件表達(dá)式中的各個(gè)控制信息約束是否使得條件表達(dá)式為 真,如果不為真�����,則繼續(xù)檢測(cè);如果為真����,則進(jìn)行下一步。
[0053] 2.如果動(dòng)作函數(shù)文件為動(dòng)態(tài)連接庫(kù)�����,貝陽(yáng)日載此動(dòng)態(tài)連接庫(kù)����,W動(dòng)作函數(shù)名為參數(shù) 取出其中的函數(shù)�����,將動(dòng)作函數(shù)字段中的參數(shù)部分作為字符串傳遞給此函數(shù)并執(zhí)行����。如果動(dòng) 作函數(shù)文件是可執(zhí)行腳本��,則將動(dòng)作函數(shù)字段中的參數(shù)部分作為可執(zhí)行腳本的命令行參 數(shù)���,調(diào)用腳本�。
[0054]本發(fā)明還可有其他多種實(shí)施方式��,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉 本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形��,運(yùn)些相應(yīng)的改變和變形都應(yīng) 屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍�����。
【主權(quán)項(xiàng)】
1. 一種可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法�����,其特征包括:將網(wǎng)絡(luò)的狀態(tài)信息作為控制的 依據(jù),以支持各種決策機(jī)制的控制決策���,統(tǒng)一制定控制機(jī)制所生成的策略格式���,便于對(duì)底層 網(wǎng)絡(luò)的管理;具體步驟如下: 1) 分析控制機(jī)制的控制信息需求���,確定控制信息內(nèi)容����,針對(duì)不同控制信息設(shè)定采集時(shí) 間粒度和方法���; 2) 對(duì)于不能直接采集的控制信息�,處理采集的信息以得到控制信息���; 3) 預(yù)先定義一組描述控制決策的規(guī)則�����,即控制策略��,并對(duì)控制策略進(jìn)行解析����; 4) 根據(jù)已解析的控制策略數(shù)據(jù),依據(jù)動(dòng)作函數(shù)執(zhí)行控制策略�。2. 根據(jù)權(quán)利要求1所描述的可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法,其特征在于:所述步驟1) 中支持控制機(jī)制進(jìn)行決策的網(wǎng)絡(luò)基本狀態(tài)信息包括自治域相關(guān)的信息����、路由器相關(guān)的信 息、網(wǎng)卡相關(guān)的信息以及連接相關(guān)的信息��,確定自治域相關(guān)的信息的采集的時(shí)間粒度為天�����, 同理可確定連接相關(guān)的信息采集的時(shí)間粒度為秒����,路由器相關(guān)的信息采集的時(shí)間粒度為分 鐘。3. 根據(jù)權(quán)利要求1所描述的可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法���,其特征在于:所述步驟2) 控中不能直接采集到的制信息包括網(wǎng)卡的轉(zhuǎn)發(fā)速率���、網(wǎng)卡上的丟包率和連接的帶寬;通過(guò) 解析Linux操作系統(tǒng)命令ifconfig的輸出可以得到網(wǎng)卡發(fā)送的數(shù)據(jù)的字節(jié)數(shù);在兩個(gè)不同 的時(shí)刻采集網(wǎng)卡所發(fā)送的數(shù)據(jù)的數(shù)量�,除以這兩個(gè)不同時(shí)刻的時(shí)間間隔��,可以得到網(wǎng)卡的 轉(zhuǎn)發(fā)速率;通過(guò)解析Linux操作系統(tǒng)命令ifconfig的輸出可以得到網(wǎng)卡上丟失數(shù)據(jù)包的數(shù) 量���,在兩個(gè)不同的時(shí)刻采集網(wǎng)卡的丟包數(shù)量����,除以這兩個(gè)不同時(shí)刻之間轉(zhuǎn)發(fā)的數(shù)據(jù)包數(shù)量����, 可以得到網(wǎng)卡的丟包率;一條連接的帶寬由兩端網(wǎng)卡的速率決定�����,取兩端網(wǎng)卡速率的較小 值作為連接的帶寬��。4. 根據(jù)權(quán)利要求1所描述的可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法�,其特征在于:所述步驟3) 具體包括:基于Ponder策略描述語(yǔ)言,將四元組作為控制策略的格式�����,即(sub ject,target�����, condition�����,action)���,其中subject即主體�,其含義是管理人員或控制模塊;target即客體�����, 其含義是執(zhí)行策略的被管設(shè)備����;condition即條件,其含義是策略動(dòng)作執(zhí)行需要滿足的要 求;action即動(dòng)作���,其含義是策略主體被允許在策略客體上執(zhí)行的操作���。5. 根據(jù)權(quán)利要求1所描述的可信可控網(wǎng)絡(luò)控制機(jī)制實(shí)現(xiàn)方法����,其特征在于:所述步驟4) 中對(duì)解析到的策略數(shù)據(jù)進(jìn)行處理�����,取出其中的condition字段和action字段����,并將動(dòng)作函數(shù) 文件保存到本地文件夾中,然后根據(jù)動(dòng)作函數(shù)文件的類型�,選擇加載動(dòng)態(tài)連接庫(kù)還是調(diào)用 可執(zhí)行腳本。
【文檔編號(hào)】H04L12/24GK105871593SQ201610162123
【公開(kāi)日】2016年8月17日
【申請(qǐng)日】2016年3月21日
【發(fā)明人】李偉, 羅軍舟, 蔣健, 吳保川, 丁文江
【申請(qǐng)人】東南大學(xué), 焦點(diǎn)科技股份有限公司