一种软件定义广域网中多形态路径文件安全递送方法

摘要

本发明公开了一种软件定义广域网(SD‑WAN)中多形态路径文件安全递送方法，包括用于根据文件与通信信道的信息分散路由算法，还包括：文件分组基于信道的性能(通信性能，安全性能)进行最优化的分配，当一个文件用于传递时，根据当前可用信道的数量及通信性能选择文件分片的递送路径，接收端在收到文件片后给与反馈，接收端根据反馈可以动态调整路由路径，从而达到通信性能与安全性的协调和最优化。本发明还公开了基于该系统的可靠性通信方法，以及通信的扩展方法。本发明提供了一种能够灵活扩展分组通信网多路径文件安全递送方法，当路径变化时，不需进行大范围的数据路径调整与迁移。

说明书

技术领域

本发明涉及通信技术领域，特别是多路径传输的系统及方法。

背景技术

随着软件定义网络应用范围的不断扩大，软件定义广域网应用呈现出快速的增长，政府组织、企事业单位将其网络逐渐转换为软件定义网络。软件定义网络提供了基于策略的路由模式，其集中式管理平台使得网络实现了零接触部署以及快速建网，并减少了网络运维的负担。软件化使得网络可以更好的支持创新并实现新应用的快速实施。同时网络经过多年的建设，网络的复杂性日益提高，在远程分支通信之间通常存在着多条通信路径(出于可靠性，灵活性，经济性或带宽的考虑)。因此，利用多样性的通信方式实现网络通信的经济、可靠、安全的数据传递正成为数据通信市场主流。

IDA(Information Dispersal Algorithm，信息分散算法)是一种分布式系统中的数据文件安全存储方法。该方法中，将一个容量大小为L的文件F进行编码，编码后文件被分割为n个无法辨识的片段F1,F2,…Fn，每个片段的尺寸大小为L/m(m

IDA的核心是其生产矩阵Gm*n，首先，原始文件F被分为m段S1，S2，…, Sm,每段大小为L/m。然后，m段被编码为n个无法识别的片段F1, F2,…,Fn。其使用的方法为：

(S1,S2,..,Sm)Gm*n＝(F1,F2,…,Fn)

由于仅需要m个片段就可以重新构建文件F，因此，IDA对于网络传输中的丢包具有很好的抵御能力。但是其在安全传输上如不加以注意可导致信息泄露。这是由于在G选择不当的情况下，如果窃听者获取部分的片段也可以拼凑出文件 F的部分内容，从而产生信息的泄露。因此，在G的选择需要进行慎重的筛选。

在这种筛选模式下，G的产生存在极大的局限性，其不仅增加了计算量，而且使得G的被破解的概率变得大。特别是在传统端到端通信中，由于其传输路径仅仅局限在一条最优路径(譬如最短路径优先)，当窃听者获得此路径上任一节点，则意味着IDA不能提供任何有意义的安全防护措施。

发明内容

本发明的目的在于提供一种可靠、安全、高效的端到端数据文件递送系统，当网络出现窃听，或着路径失败时，可以有效的保护文件信息不泄露并且递送性能可靠、高效。

为实现上述目的，本发明的实施例提供了一种多路径文件递送系统，包括用于数据文件发送端向网络控制器发出文件递送请求，请求包括递送文件的大小，接收方，服务质量要求等信息，网络控制器为完成接收到的请求，进一步包括：

至少一个索引服务器，用于维护数据文件和数据文件递送的路径的索引表，并接受所述文件发送端的服务请求，根据路由策略生产路径集合，将路径集合的信息返回给所述文件发送端，完成递送请求响应。

至少一个网络控制器，用于响应文件递送请求，并根据路由策略服务器产生可用路径集合。

本发明的实施例还提供了一种基于所述文件递送系统的分组通信方法，包括：

获取文件递送的路径集合；

根据所述获取的路径集合，确定文件分片所要递送路径的范围，向选定的路径发送文件分片；

所述分片可用的递送路径可以是一条或者一条以上，最终路径的选择采用基于安全的哈希负载均衡；

路由策略服务器通知文件发送端响应的路径集合。

本发明的实施例还提供了一种基于UDP(用户数据报)协议的可扩展可靠端到端传输层协议。包括：

发送端缓存未确认的文件分片；

发送端根据所接收的文件分片确认帧清除已接收的文件分片，确定文件可以重构后，停止文件递送；

所述文件分片确认帧为选择性确认帧，该确认帧的索引用于区分文件所划分的n个片段，接收端收到一个文件分片后，将该文件分片的索引通过确认帧返给发送端。

所述接收端在接收到的文件片数目达到m后，即重构文件F，并发送结束文件递送帧给发送端。

本发明的实施例还提供了一种基于哈希负载均衡的一致性重传算法，包括：

当发送n个文件分片后，仍未收到接收端停止文件传递的确认帧时，所述文件发送端启动文件片重传，此时，根据发送缓存区中尚未确认的文件片段可以获知这些片段选择传递的路径出现性能问题(延迟大、拥塞或者链路失败)，此时这些文件片段需要重新选择新的路径进行(备用路径)进行递送，并向网络控制器报告。

本发明的实施例还提供了一种基于IDA的路径映射方法，包括：

当文件片段选择路径时，采用哈希负载均衡方法，这里均衡的依据是路径的带宽与延迟的乘积。这是由于通过IDA分片后，接收方需要接收到m片文件即可重构文件，这些文件片段不需有序。同时，为了保证IDA安全性，在路径的映射中要防止可重构部分文件的小于m的文件片段选择使用同一条路径传递。

本发明实施例基于软件定义网络，通过逻辑集中的网络控制器响应文件递送请求，接受文件服务请求后基于策略生成可用路径集合给文件发送端，各文件发送端负责将文件分片，并依据哈希均衡算法将分片发送到映射路径中，并且保存未经确认的文件分片。接收端收到文件分片后返给发送端确认帧给发送端，在接收到m个文件分片后即可重构文件，并发文件接收已完成帧给发送端，通知其停止发送。该系统具有良好的可扩展性，一方面，如果需要在系统中增加新的文件发送端，只需要上报自己的ID，系统会根据其接入的网络交换机，部署响应的 vCPE为其服务。所有工作均有vCPE完成，对于发送端该过程是透明的，vCPE 可以根据应用的情况进行灵活的部署与配给，vCPE的迁移不涉及到具体的文件传输服务。

附图说明

图1为本发明实施例提供的一种多路径文件安全递送系统结构图。

图2为本发明实施例中基于图1所示文件安全递送系统的数据传递方法流程图。

图3为本发明实施例中基于图1所示文件安全递送系统的路径选择方法流程图。

图4为本发明实施例提供的在系统中增加新的文件接收确认的时序示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

本实施例提供了一种软件定义广域网的多路径文件安全递送系统，其结构如图1所示，其中包括：

多路径文件安全递送应用(APP)，用于根据发送端提出的文件递送请求，计算可用的端到端的可用路径集合，并维护此集合。该路径集合实际上时根据文件发送端与接收端的位置，然后应用(APP)根据当前的网络状态计算得到发送端到接收端的多路径集合。

网络控制器，用于维护监控网络状态，接收来自网络设备的请求，根据路由策略构建通信路径，并通知路由服务请求方。在一个较佳的实施例中，当发送端的文件递送请求被网络控制器监控到，其将该请求递送到应用(APP)，APP接收到文件递送请求服务生成可用的多路径集合也通过网络控制返给vCPE。通常网络控制器除了完成APP的指令外，还需要完成基本的路由服务与网络状态收集以及网络维护工作。

发送端或接收端至少连接到一个vCPE，vCPE用于将选择的路径映射到建立的路径集合，并将来自发送端或接收端的数据发送到网络中。

进一步地，vCPE周期向网络控制器或应用APP上报不同路径的通信性能(延迟、负载等)情况，应用APP根据各路径的通信性能，调整路径的负载参数，使得文件分片可以优先通过延迟小，带宽大的路径传递。当然，也可采用应用(APP) 定期到各vCPE读取状态信息的方式；当性能参数变化较大的时候，vCPE也可以立即主动上报相应信息。

所述文件系统，具有可靠、高效和安全特性。当网络传递的路径出现中断或由于负载变化导致路径延迟增大时，系统可以敏捷的将通信转移到其它路径，延迟到达的数据仍可以作为有效数据重构文件，当一条或多条路径被窃听，只要其获取的文件片小于重构文件所需的m个，其仍无法有效重构出有效的信息。因此，该系统重传率低，可有效利用低性能路径进行数据传输，并且可以抵御窃听等网络攻击。

基于以上文件递送系统的路径选择方法如图2所示，包括以下步骤：

步骤201、发送端需要进行文件递送时，将发送文件递送请求，该请求由vCPE 识别，并转发为网络控制器，网络控制器在接收到此请求后，触发多路径安全递送服务APP。

步骤202、多路径安全递送服务APP在接收到文件递送请求时，计算文件的递送路径集合。路径集合的选择依据包括文件的大小，当前的网络状态等，生成的路径集合中的每条路径中附带的权重因子和时间因子。文件递送过程中，权重因子和时间因子可以使得发送出的数据成为构建文件的有效数据并且充分利用网络的带宽来有效递送文件。

权重因子表述的是路径可用于发送负载的多少，依据权重因子，可使得文件均匀的分布在路径集合中。

时间因子则是该路径在时间上优先使用的级别。在实施例中，对于一条延迟大的路径其时间因子优先级高于延迟小的路径。依据时间因子，可以充分利用延迟大的路径有效的传递文件数据。

步骤203、也就是在递送文件时，发送端将文件分解为n个片段，n个片段中的m个片段即可重构文件，这n个片段通过key值，基于一定的散列函数，获得其散列码。散列函数接受文件片段的键值，计算出该键的唯一散列码，然后再将此散列码映射到路径集合列表的范围内。

为使文件片均匀的发送到路径空间上，同时使计算尽可能简单，以节省计算时间，本发明根据分片生成矩阵，构造出相应的散列函数。

散列函数的列表空间和路径集合列表空间之间存在多对一的关系映射，一条路径其对应的散列值个数与其权重因子成正比。

实施例中的所构造的散列函数采用直接定址法，但并不局限于此。直接定址法是以关键字key本身以及分片生成矩阵带来的分片关联作为散列地址的方法。对应的散列函数为：

h(key)＝key+C

若C为0，则片生成矩阵本身可提供少于m分片，不能构建部分文件信息的特性。

这种方法计算最简单，并且没有冲突发生，若有冲突发生，则表明是关键字错误。它适应于文件分片序列号分布连续的情况。

步骤204、文件片通过不同的路径到达接收端，接收端接收到文件片后即返给发送端确认帧，发送端根据此确认帧删除缓存中对应的文件分片。由于多路径传输性能的不同，接收端接收到的文件片序列与其发送序列不同，因此文件片确认帧为选择性应答。发送端则依次将缓存中的n个文件片依次发送到选定的路径中，缓存中存储的已发送文件片由于接收到的确认帧而删除，这种机制可以有效的减少重发现象的发生。当接收端接收到m个文件片时，意味着其已经可以完整的重构文件，此时，要返给发送端停止发送文件应答帧。发送端在接收到m个确认帧或者文件终止应答帧，停止发送未确认的文件片，文件传输完成。

以上流程就完成了数据文件的递送过程，在这种方法中，多路径安全递送服务APP能够根据网络状态和发送接收位置计算获取可用的路径集合，而且在文件的整个传递过程中监控这些路径集合，并依据网络状态进行动态的调整。发送端根据路径集合的数量，权重因子，时间因子可以灵活的将文件分片发放到选中的路径中，并且在整个过程中文件片的重发延迟到整体待发送文件片发送轮转后才进行，有效的减少了不必要的重传。整个文件发送只需要确认接收方正确收到m 个文件片即可，这些文件片与其在n个分片中的位置无关，从而使得分片的传递对于路径间的传递延迟变得不敏感。

基于图1所示文件递送系统的路径选择方法如图3所示，包括以下步骤：

步骤301、根据文件片头部通过一致性散列操作，选定要发送的路径。vCPE 接收到文件片时，对于文件片的key值，基于与前述相同的散列函数，获取其散列码。根据该散列码，能够获知负责递送该文件片的路径。

步骤302、vCPE选定发送的路径，将路径信息返回发送端，发送端检测此路径是否和已发送在此路径的文件片可部分重构文件信息，如果不存在，返回立即发送信息，否则，进行二次散列，从而找到避免由于部分重构带来的安全性下降。

步骤303、文件片根据选定的路径发送数据信息。

基于图1所示的文件递送系统，如果需要在网络系统状态变化时增加或者减少路径集合，其扩展流程非常简单敏捷。路径增加有APP监控到网络中出现更优的路径时，直接下达到vCPE即可。当vCPE发现某条路径不可用时，则自动将此路径设置未挂起状态，并将此信息立即上报网络控制器和APP。

此外，基于图1所示的文件递送系统，如果使用的多路径集合存在延迟不同，带宽不同时，可以优化的使用延迟大的路径和带宽大的路径，从而使得整个文件的传递更具高效性。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。