一种云网络中IPv6流量的安全传输方法和装置与流程

一种云网络中ipv6流量的安全传输方法和装置
技术领域
1.本技术涉及资源调度技术领域，具体涉及一种云网络中ipv6流量的安全传输方法和装置。


背景技术：

2.ipv6作为下一代网络的基础技术协议，ipv6具有更大的地址空间，ipv6使用更小的路由表，具有更快路由器转发数据包的速度。而云数据中心ipv6出公网的方式有路由出局和ndrpoxy出局，由于ipv6网段太多，需要在出口网关设备上配置的回程路由太多，大部分云运营商选择ipv6 ndproxy的方式进行出局。如果邻居请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机，那么连接它们的具有代理功能的设备就可以代答该请求，回应邻居公告报文，这个过程称作nd代理(nd proxy)。nd proxy功能屏蔽了分离的物理网络这一事实，使用户使用起来，好像在同一个物理网络上。
3.现有技术中，采用ipv6 ndproxy进行通信过程中，数据中心内部的务器更容易被攻击，数据中心内部的ipv6地址暴露更容易被定位，并且ipv6出局流量无法做到基于流量类型进行安全定义。


技术实现要素：

4.本技术针对现有的问题，提出了一种云网络中ipv6流量的安全传输方法和装置，具体技术方案如下：
5.在本技术的第一方面，提供一种云网络中ipv6流量的安全传输方法，方法包括：
6.虚拟交换机获取虚拟机发送的第一业务流量报文；
7.所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；
8.所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；
9.所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。
10.可选地，所述对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文的步骤，包括：
11.对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；
12.利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
13.可选地，所述利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签的步骤包括：
14.利用预设进程定位所述报文头的流量数据片段；
15.在所述流量数据片段的保留字段添加安全转移标签。
16.可选地，所述将所述第二业务流量报文发送至租户网关的步骤，包括：
17.所述虚拟交换机与所述租户网关之间建立可扩展虚拟局域网络隧道，并通过所述可扩展虚拟局域网络隧道将所述第二业务流量报文发送至所述租户网关。
18.可选地，所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文的步骤，包括：
19.对所述第二业务流量报文进行解析，获得所述第二业务流量报文的源ip地址和安全转移标签；
20.根据所述源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；
21.在所述源ip地址与筛选策略的匹配情况的情况下，根据所述安全转移标签将所述源ip地址转换为安全地址池中的安全地址；
22.根据所述安全地址进行安全流量路径配置，并生成所述回复报文。
23.可选地，所述安全地址池是通过以下步骤获得的：
24.在外网网关地址的规划阶段，预留一个子网段作为安全地址池，其中所述安全地址池利用随机加密算法将所述源ip地址转换为所述安全地址。
25.可选地，根据所述安全地址进行安全流量路径配置的步骤，包括：
26.将所述安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，所述配置参数包括：转换类型、协议号、目的地址以及老化时间。
27.可选地，所述根据所述回复报文，与外网网关进行业务流量数据交互的步骤，包括：
28.将所述回复报文发送至所述外网网关；
29.所述外网网关对所述邻居请求进行解析，并生成反馈报文；
30.请求所述租户网关的硬件地址，并根据所述硬件地址将所述反馈报文发送至所述租户网关；
31.所述租户网关将所述反馈报文转发至所述虚拟机。
32.在本技术的第二方面，提供一种云网络中ipv6流量的安全传输装置，装置包括：
33.第一发送模块，用于虚拟交换机获取虚拟机发送的第一业务流量报文；
34.第二发送模块，用于所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；
35.请求报文生成模块，用于所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；
36.交互模块，用于所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。
37.可选地，所述第二发送模块，包括：
38.解析子模块，用于对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；
39.标识子模块，用于利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
40.可选地，所述第二发送模块，还包括：
41.报文头确定子模块，用于对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；
42.标识标签添加子模块，用于利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
43.可选地，标识标签添加子模块包括：
44.定位单元，用于利用预设进程定位所述报文头的流量数据片段；
45.标签添加单元，用于在所述流量数据片段的保留字段添加安全转移标签。
46.可选地，所述第二发送模块，还包括：
47.报文发送模块，用于所述虚拟交换机与所述租户网关之间建立可扩展虚拟局域网络隧道，并通过所述可扩展虚拟局域网络隧道将所述第二业务流量报文发送至所述租户网关。
48.可选地，请求报文生成模块包括：
49.第二业务流量报文解析子模块，用于对所述第二业务流量报文进行解析，获得所述第二业务流量报文的源ip地址和安全转移标签；
50.执行子模块，用于根据所述源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；
51.安全地址生成子模块，用于在所述源ip地址与筛选策略的匹配情况的情况下，根据所述安全转移标签将所述源ip地址转换为安全地址池中的安全地址；
52.配置子模块，用于根据所述安全地址进行安全流量路径配置，并生成所述回复报文。
53.可选地，配置子模块，包括：
54.将所述安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，所述配置参数包括：转换类型、协议号、目的地址以及老化时间。
55.可选地，交互模块包括：
56.回复报文发送子模块，用于将所述回复报文发送至所述外网网关；
57.反馈报文生成子模块，用于所述外网网关对所述邻居请求进行解析，并生成反馈报文；
58.反馈报文发送子模块，用于请求所述租户网关的硬件地址，并根据所述硬件地址将所述反馈报文发送至所述租户网关；
59.反馈报文转发子模块，用于所述租户网关将所述反馈报文转发至所述虚拟机。
60.在本技术的第三方面，提供一种电子设备，该设备包括存储器和处理器，存储器中存储有计算机程序，处理器执行计算机程序，实现如上述第一方面的方法。
61.在本技术的第四方面，提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，处理器执行计算机程序，实现上述第一方面的方法。
62.本技术具有以下有益效果：本技术的实施例中，首先，虚拟交换机获取虚拟机发送的第一业务流量报文，然后，虚拟交换机对第一业务流量报文进行改造，为第一业务流量报文添加标识标签，生成第二业务流量报文，并将第二业务流量报文发送至租户网关。最后，租户网关根据标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文，并根据回复报文，与外网网关进行业务流量数据交互。在本技术中，改进和利用了ipv6报文的
流量类型字段的保留字段的处理流程，定义了ipv6流量打标签过程、定义了安全转换地址、安全转换表项及通过租户网关安全转换的处理过程，实现了云网络数据中心ipv6流量安全出局，保证了数据的安全性。
附图说明
63.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
64.图1为现有云网络中ndproxy组网架构示意图；
65.图2为本技术实施例方案涉及的硬件运行环境的电子设备结构示意图；
66.图3为根据一示例性实施例示出的一种云网络中ipv6流量的安全传输方法的流程图；
67.图4为根据一示例性实施例示出的原始ipv6报头及流量类型字段的结构示意图；
68.图5为根据一示例性实施例示出的改造后的ipv6头中流量类型字段的结构；
69.图6为根据一示例性实施例示出的安全转换标签的码表图；
70.图7为根据一示例性实施例示出虚拟交换机对ipv6报文的打标签处理流程图；
71.图8为根据一示例性实施例示出租户网关对收到的报文处理流程图；
72.图9为根据一示例性实施例示出的安全转换表项模板示意图；
73.图10为根据一示例性实施例示出虚拟机的ipv6流量安全出局的过程示意图；
74.图11为根据一示例性实施例示出的一种云网络中ipv6流量的安全传输装置的框图。
具体实施方式
75.为使本技术的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本技术作进一步详细的说明。显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
76.相关技术中，大多数云厂商的网络虚拟化技术是vxlan(可扩展虚拟局域网络)技术。云平台结合sdn(软件定义网络点)的架构让网络虚拟化更加便捷和方便。使网络进行切片，整个架构如图1所示。网络虚拟化使两个租户完全可以使用相同的网络地址，并进行数据流量的隔离，任何一个租户和应用都不会感知或捕获到其他虚拟网络内部的流量。
77.基于ipv6 ndproxy的通信过程包括：nd代理功能在租户网关上开启，且vm的ipv6网段属于外网网关的网段。流量出外网，vm的ipv6流量通过vxlan封装后到达租户网关，租户网关解封装后通过ipv6默认路由转发报文到外网网关后正常出局；外网回程流量，回程应答流量到达外网网关后，外网网关发现目的ip与自己同网段ns请求目的ip的mac地址。租户网关开启了nd代理，na代答自己的mac地址给外网网关，这样就把流量成功转发到了租户网关，租户网关查主机表发送到目的vm，完成整个通信过程。
78.然而数据中心内部vm的ipv6地址通过ipv6传输报文暴露在公网中，容易被抓包发现，网络黑客针对该ipv6地址进行恶意攻击，常见的网络攻击比如ddos、cc、nd欺骗、病毒攻击均是基于ip地址暴露引发的攻击，并且ip地址是可以直接反映所在的城市，通过一定的
技术侦察，还能得到更加详细的地址，继而暴露服务器的地理位置。而传统的网络安全解决方案流量安全只能做到是基于整个网络的，无法做到根据某个虚拟机流量类型的定制化的安全解决方案。也就是说无法对细分的tcp、udp流量进行不同的安全出局定义及防护。
79.针对上述问题，本技术实施例提供的具体构思为：通过对ipv6报头中流量类型字段中最后2个比特位的改造和应用，定义了标签字段，优化了ndproxy通信流程，实现了基于虚拟机的ipv6流量类型为颗粒度的安全出公网解决方案。使虚拟机流量按照流量类型及源地址转换策略进行不同的标签标记，在租户网关上进行源地址安全转换，保护了数据中心内服务器的地址，避免了服务器地址在公网上暴露。
80.参照图2，图2为本技术实施例方案涉及的硬件运行环境的电子设备结构示意图。
81.如图2所示，该电子设备可以包括：处理器2001，例如中央处理器(central processing unit，cpu)，通信总线2002、用户接口2003，网络接口2004，存储器2005。其中，通信总线2002用于实现这些组件之间的连接通信。用户接口2003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口2003还可以包括标准的有线接口、无线接口。网络接口2004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器2005可以是高速的随机存取存储器(random access memory，ram)存储器，也可以是稳定的非易失性存储器(non-volatile memory，n虚拟机)，例如磁盘存储器。存储器2005可选的还可以是独立于前述处理器2002的存储装置。
82.本领域技术人员可以理解，图2中示出的结构并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
83.如图2所示，作为一种存储介质的存储器2005中可以包括操作装置、数据存储模块、网络通信模块、用户接口模块以及电子程序。
84.在图2所示的电子设备中，网络接口2004主要用于与网络服务器进行数据通信；用户接口2003主要用于与用户进行数据交互；本发明电子设备中的处理器2001、存储器2005可以设置在电子设备中，电子设备通过处理器2001调用存储器2005中存储的云网络中ipv6流量的安全传输装置，并执行本技术实施例提供的云网络中ipv6流量的安全传输方法。
85.参照图3，基于前述硬件运行环境，本技术的实施例提供了一种云网络中ipv6流量的安全传输方法，包括以下步骤：
86.s301：虚拟交换机获取虚拟机发送的第一业务流量报文。
87.在本实施方式中，整个方案对虚拟机发出的ipv6流量的标记过程，首先，虚拟机发出的原始ipv6报文(第一业务流量报文)到虚拟交换机上。
88.s302：虚拟交换机对第一业务流量报文进行改造，为第一业务流量报文添加标识标签，生成第二业务流量报文，并将第二业务流量报文发送至租户网关。
89.在本实施方式中，虚拟交换机在接收到第一业务流量报文后，需要解决标识标签定义的问题以及标识标签打在哪里及如何打问题，其具体的实现步骤包括：
90.s302-1：对第一业务流量报文进行解析，确定第一业务流量报文的报文头；
91.s302-2：利用预设进程对报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
92.s302-2-1：利用预设进程定位报文头的流量数据片段。
93.s302-2-2：在流量数据片段的保留字段添加安全转移标签。
94.s302-3：虚拟交换机与租户网关之间建立可扩展虚拟局域网络隧道，并通过可扩展虚拟局域网络隧道将第二业务流量报文发送至租户网关。
95.在s302-1至s302-3的实施方式中，首先对于标签定义的问题，在原始的ipv6报头的结构，如附图4所示，其中流量类型字段一共占1个字节，对于服务类型字段的定义，把前6个bit位定义为dscp，用于流量标记和服务质量业务。最后2个bit位是cu保留字段(cu，current unused)。在本技术中，对流量类型字段进行改造，主要是把没有定义的最后2个bit定义为security transfer label，即安全转移标签，其改造后的如附图5所示。这样ipv6头中就有了标识不同ipv6流量及源地址转换策略的安全转移标签，只要对ipv6头的中流量类型字段进行分析就可以得到ipv6报文是否需要进行安全转换，实现源地址的差异化保护。安全转移标签l只有2个bit，可以实现4种差异化的安全转换策略制定。安全转换标签的码表具体定义如图6所示，stl＝00代表虚拟机发出的ipv6流量正常转发，不做任何安全转换。stl＝01代表虚拟机发出的所有ipv6流量均进行安全地址转换，源地址转换为安全地址。stl＝10代表虚拟机发出ipv6、四层协议号为tcp的流量均进行安全地址转换，源地址转换为安全地址。stl＝11代表虚拟机发出ipv6、四层协议号为udp的流量均进行安全地址转换，源地址转换为安全地址。
96.而对于标识标签打在哪里以及如何打的问题，整个方案对是虚拟机发出的ipv6流量的标记过程。控制层希望对虚拟机的ipv6流量进行安全转换定制，控制器通过openflow下发流表给虚拟交换机，通过netconf下发配置给租户网关，虚拟交换机与租户网关建立虚拟局域网络隧道。而虚拟交换机对ipv6报文的打标签处理流程的如图7所示，首先，虚拟机的流量在虚拟交换机上在隧道封装之前匹配虚拟交换机的安全策略流表跳转的下一跳，然后判断下一跳接口是否为可扩展虚拟局域网络接口，如果是可扩展虚拟局域网络接口，则由虚拟交换机的openvswitch.ko进程对报文进行安全标签标记，修改被封装报文的源ip，在源ip的流量类型的最后两个比特位打上安全转移标签，从而生成第二业务流量报文。然后对该第二业务流量报文进行可扩展虚拟局域网封装，然后将封装后的第二业务流量报文发送到租户网关上；若下一跳接口不是可扩展虚拟局域网络接口，则直接执行转发报文到下一个节点的步骤。
97.s303：租户网关根据标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文。
98.在本实施方式中，需要解决租户网关如何依靠标识标签转换为安全地址及流量路径问题，其具体的步骤可以为：
99.s303-1：对第二业务流量报文进行解析，获得第二业务流量报文的源ip地址和安全转移标签；
100.s303-2：根据源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；
101.s303-3：在源ip地址与筛选策略的匹配情况的情况下，根据安全转移标签将源ip地址转换为安全地址池中的安全地址；
102.s303-4：根据安全地址进行安全流量路径配置，并生成回复报文；
103.在s303-1至s303-4的实施方式中，租户网关在接收到二业务流量报文之后，其进行处理的过程如图8所示，首先，携带标识标签的第二业务流量报文到达租户网关后，发现
外层的目的ip与租户网关自身的目的ip相同，则进行报文解封装。解封装后，检查该报文的源ip能否匹配上租户网关上配置的ndproxy表项，即筛选策略。如果该报文可以匹配上ndproxy表项，则代表该报文可以进行nd代理。然后，租户网关的协议栈对该报文的源ip进行检测，并根据该报文源ip中的stl值进行安全地址转换，把原始报文的源ip转换为定义好的安全地址池中随机一个ip地址，在租户网关进行安全转换的时候，首个流量包触发生成安全表项，并进行定时保活，后续报文直接匹配安全进行转发，不再走转换检查全路径。若报文不可以匹配上ndproxy表项，则直接执行转发报文到下一个节点的步骤。
104.在一种可行的实施方式中，安全地址池是通过以下步骤获得的：
105.在外网网关地址的规划阶段，预留一个子网段作为安全地址池。
106.在本实施方式中，对于安全地址的定义，安全地址必须是一个没有真正配置到租户网关上的地址，这个地址只能用来创建转换表项；同时，安全地址必须是与外网网关地址是同网段的，这样才能实现回程查nd代理表项。用户在规划外网网关地址的时候，预留一个子网段作为安全地址池；该安全地址池生成随机转换后的安全地址，这样就完成了安全地址的定义，并且安全地址池利用随机加密算法将源ip地址转换为安全地址。
107.在一种可行的实施方式中，根据安全地址进行安全流量路径配置的步骤，包括：
108.将安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，配置参数包括：转换类型、协议号、目的地址以及老化时间。
109.在本实施方式中，如图9所示，安全转换表项模板包括转换类型(标志是安全转换st)，协议号。标志是对哪种协议报文进行转换，all表示所有报文、tcp表示tcp流量、udp表示udp流量。安全地址，表示在安全地址池中生成的转换后的地址。目的地址，原始报文的目的地址，表项设置目的地址是为了回程流量能够反向匹配安全转换表项。老化时间，老化时间设置定时器默认60s，可以配置调整定时器时间，当流量60s内没有匹配刷新表项，转换表项自动老化。
110.作为示例的，编号为a的虚拟机发出的第一业务流量报文ipv6-vm1，目的ip是destination-ipv6-1的tcp流量和udp流量，携带的stl＝10的报文通过租户网关的时。租户网关的协议栈发现该报源ip是可以匹配上ndproxy表项的，对流量的首个流量包进行检测发现stl＝10，触发生成安全转换表项，后续的tcp流量匹配生成的安全规则进行地址转换，源地址转换为security-ipv6-1。对非tcp报文，比如裸ip报文、udp报文不做转换正常转发，这样依据流量安全策略需求，只对所有流量中的tcp流量做了安全地址转换，只保护了tcp流量；同理，检测发现stl＝01，说明用户需要对vm发出的所有报文均进行源地址安全转换，tgw会把所有ipv6流量的源ip转换为安全地址池中随机一个地址，然后进行出局，保护了源地址避免暴露到公网中。
111.s304：租户网关根据回复报文，与外网网关进行业务流量数据交互。
112.在本实施方式中，而在经过源地址转换之后，得到回复报文，并与外网网关进行业务流量数据交互的步骤包括：
113.s304-1：将回复报文发送至外网网关；
114.s304-2：外网网关对邻居请求进行解析，并生成反馈报文；
115.s304-3：请求租户网关的硬件地址，并根据硬件地址将反馈报文发送至租户网关；
116.s304-4：租户网关将反馈报文转发至虚拟机
117.在s304-1至s304-4的实施方式中，到回复报文达外网网关后，外网网关进行解析，发现目的ip与自身是同一网段，发送报文请求该目的ip的硬件地址。租户网关代理回复自身的硬件地址。外网网关收到回复后，发送反馈报文到租户网关。在租户网关上，反向匹配安全转换表项，把目的ip转换为真正的虚拟机ipv6地址。租户网关查主机表转发反馈报文到真正的虚拟机上。
118.在本技术中，通过改进和利用了ipv6报文的流量类型字段的保留字段及设备装置的处理流程，定义了ipv6流量打标签过程、定义了安全转换地址、安全转换表项及通过租户网关安全转换的处理过程，实现了云网络数据中心ipv6流量安全出局。
119.下面将以一个完整的实施例来对本技术的方案进行说明，如图10所示的封装格式及流量路径示意图，首先，在虚拟机的宿主机与租户网关之间建立可扩展虚拟局域网络隧道，然后流量在虚拟交换机上进行扩展虚拟局域网络封装时，同时修改原始报文源ip的stl值。然后，流量到达租户网关后，解封装检查源ip是否匹配ndproxy表项，如果匹配就检查stl值并进行触发安全表项生成，后续报文就匹配安全表项进行源地址转换，转换后的报文查路由转发到外网网关出局。回程流量，回复报文流量到达外网网关后，发现目的ip与自身是同一网段，发送邻居请求报文请求该目的ip的硬件地址。租户网关代理回复自身的硬件地址。外网网关收到回复后，转发报文到租户网关。在租户网关上，反向匹配安全转换表项，把目的ip转换为真正的虚拟机ipv6地址。
120.参照图11，图11是根据一示例性实施例示出的一种云网络中ipv6流量的安全传输装置1100的框图，如图11所示，该装置1100包括：
121.第一发送模块1101，用于虚拟交换机获取虚拟机发送的第一业务流量报文；
122.第二发送模块1102，用于虚拟交换机对第一业务流量报文进行改造，为第一业务流量报文添加标识标签，生成第二业务流量报文，并将第二业务流量报文发送至租户网关；
123.请求报文生成模块1103，用于租户网关根据标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；
124.交互模块1104，用于租户网关根据回复报文，与外网网关进行业务流量数据交互。
125.在一种可行的实施方式中，第二发送模块1102，包括：
126.解析子模块，用于对第一业务流量报文进行解析，确定第一业务流量报文的报文头；
127.标识子模块，用于利用预设进程对报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
128.在一种可行的实施方式中，第二发送模块1102，还包括：
129.报文头确定子模块，用于对第一业务流量报文进行解析，确定第一业务流量报文的报文头；
130.标识标签添加子模块，用于利用预设进程对报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。
131.在一种可行的实施方式中，标识标签添加子模块包括：
132.定位单元，用于利用预设进程定位报文头的流量数据片段；
133.标签添加单元，用于在流量数据片段的保留字段添加安全转移标签。
134.在一种可行的实施方式中，第二发送模块，还包括：
135.报文发送模块，用于虚拟交换机与租户网关之间建立可扩展虚拟局域网络隧道，并通过可扩展虚拟局域网络隧道将第二业务流量报文发送至租户网关。
136.在一种可行的实施方式中，请求报文生成模块1103包括：
137.第二业务流量报文解析子模块，用于对第二业务流量报文进行解析，获得第二业务流量报文的源ip地址和安全转移标签；
138.执行子模块，用于根据源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；
139.安全地址生成子模块，用于在源ip地址与筛选策略的匹配情况的情况下，根据安全转移标签将源ip地址转换为安全地址池中的安全地址；
140.配置子模块，用于根据安全地址进行安全流量路径配置，并生成回复报文。
141.在一种可行的实施方式中，配置子模块，包括：
142.将安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，配置参数包括：转换类型、协议号、目的地址以及老化时间。
143.在一种可行的实施方式中，交互模块包括：
144.回复报文发送子模块，用于将回复报文发送至外网网关；
145.反馈报文生成子模块，用于外网网关对邻居请求进行解析，并生成反馈报文；
146.反馈报文发送子模块，用于请求租户网关的硬件地址，并根据硬件地址将反馈报文发送至租户网关；
147.反馈报文转发子模块，用于租户网关将反馈报文转发至虚拟机。
148.需要说明的是，本实施例中的云网络中ipv6流量的安全传输装置中各模块是与前述实施例中的云网络中ipv6流量的安全传输方法中的各步骤一一对应，因此，本实施例的具体实施方式可参照前述云网络中ipv6流量的安全传输方法的实施方式，这里不再赘述。
149.基于同一发明构思，本技术的实施例还提供一种电子设备，电子设备包括：
150.至少一个处理器；以及，
151.与至少一个处理器通信连接的存储器；其中，
152.存储器存储有可被至少一个处理器执行的计算机程序，计算机程序被至少一个处理器执行，以使至少一个处理器能够执行云网络中ipv6流量的安全传输方法。
153.基于同一发明构思，本技术的实施例还提供一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器执行时实现电路板云网络中ipv6流量的安全传输方法。
154.基于同一发明构思，本技术的实施例还提供一种计算机程序产品，计算机程序产品在被处理器时，实现云网络中ipv6流量的安全传输方法。
155.在一些实施例中，计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、闪存、磁表面存储器、光盘、或cd-rom等存储器；也可以是包括上述存储器之一或任意组合的各种设备。计算机可以是包括智能终端和服务器在内的各种计算设备。
156.在一些实施例中，可执行指令可以采用程序、软件、软件模块、脚本或代码的形式，按任意形式的编程语言(包括编译或解释语言，或者声明性或过程性语言)来编写，并且其可按任意形式部署，包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
157.作为示例，可执行指令可以但不一定对应于文件装置中的文件，可以可被存储在
保存其它程序或数据的文件的一部分，例如，存储在超文本标记语言(html，hyper text markup language)文档中的一个或多个脚本中，存储在专用于所讨论的程序的单个文件中，或者，存储在多个协同文件(例如，存储一个或多个模块、子程序或代码部分的文件)中。
158.作为示例，可执行指令可被部署为在一个计算设备上执行，或者在位于一个地点的多个计算设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算设备上执行。
159.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
160.以上对所提供的一种云网络中ipv6流量的安全传输方法，进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。

技术特征：
1.一种云网络中ipv6流量的安全传输方法，其特征在于，所述方法包括：虚拟交换机获取虚拟机发送的第一业务流量报文；所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。2.根据权利要求1所述的云网络中ipv6流量的安全传输方法，其特征在于，所述对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文的步骤，包括：对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。3.根据权利要求1所述的云网络中ipv6流量的安全传输方法，其特征在于，所述利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签的步骤包括：利用预设进程定位所述报文头的流量数据片段；在所述流量数据片段的保留字段添加安全转移标签。4.根据权利要求1所述的云网络中ipv6流量的安全传输方法，其特征在于，所述将所述第二业务流量报文发送至租户网关的步骤，包括：所述虚拟交换机与所述租户网关之间建立可扩展虚拟局域网络隧道，并通过所述可扩展虚拟局域网络隧道将所述第二业务流量报文发送至所述租户网关。5.根据权利要求1所述的云网络中ipv6流量的安全传输方法，其特征在于，所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文的步骤，包括：对所述第二业务流量报文进行解析，获得所述第二业务流量报文的源ip地址和安全转移标签；根据所述源ip地址与筛选策略的匹配情况，执行不同的第二业务流量报文处理策略；在所述源ip地址与筛选策略的匹配情况的情况下，根据所述安全转移标签将所述源ip地址转换为安全地址池中的安全地址；根据所述安全地址进行安全流量路径配置，并生成所述回复报文。6.根据权利要求5所述的云网络中ipv6流量的安全传输方法，其特征在于，所述安全地址池是通过以下步骤获得的：在外网网关地址的规划阶段，预留一个子网段作为安全地址池，其中所述安全地址池利用随机加密算法将所述源ip地址转换为所述安全地址。7.根据权利要求5所述的云网络中ipv6流量的安全传输方法，其特征在于，根据所述安全地址进行安全流量路径配置的步骤，包括：将所述安全地址与配置参数，输入安全转换表项模板，生成安全流量路径配置文件，其中，所述配置参数包括：转换类型、协议号、目的地址以及老化时间。8.根据权利要求1所述的云网络中ipv6流量的安全传输方法，其特征在于，所述根据所
述回复报文，与外网网关进行业务流量数据交互的步骤，包括：将所述回复报文发送至所述外网网关；所述外网网关对所述邻居请求进行解析，并生成反馈报文；请求所述租户网关的硬件地址，并根据所述硬件地址将所述反馈报文发送至所述租户网关；所述租户网关将所述反馈报文转发至所述虚拟机。9.一种云网络中ipv6流量的安全传输装置，其特征在于，所述装置包括：第一发送模块，用于虚拟交换机获取虚拟机发送的第一业务流量报文；第二发送模块，用于所述虚拟交换机对所述第一业务流量报文进行改造，为所述第一业务流量报文添加标识标签，生成第二业务流量报文，并将所述第二业务流量报文发送至租户网关；请求报文生成模块，用于所述租户网关根据所述标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文；交互模块，用于所述租户网关根据所述回复报文，与外网网关进行业务流量数据交互。10.根据权利要求9所述的云网络中ipv6流量的安全传输装置，其特征在于，所述第二发送模块，包括：解析子模块，用于对所述第一业务流量报文进行解析，确定所述第一业务流量报文的报文头；标识子模块，用于利用预设进程对所述报文头的源ip地址进行修改，并添加标识标签，并进行可扩展虚拟局域网封装，生成第二业务流量报文。

技术总结
本申请公开了一种云网络中IPv6流量的安全传输方法和装置，包括首先，虚拟交换机获取虚拟机发送的第一业务流量报文，然后，虚拟交换机对第一业务流量报文进行改造，为第一业务流量报文添加标识标签，生成第二业务流量报文，并将第二业务流量报文发送至租户网关。最后，租户网关根据标识标签，对第二业务流量报文执行对应的安全转换策略，生成回复报文，并根据回复报文，与外网网关进行业务流量数据交互。在本申请中，改进和利用了IPv6报文的流量类型字段的保留字段的处理流程，定义了IPv6流量打标签过程、定义了安全转换地址、安全转换表项及通过租户网关安全转换的处理过程，实现了云网络数据中心IPv6流量安全出局，保证了数据的安全性。据的安全性。据的安全性。


技术研发人员：白雁飞
受保护的技术使用者：天翼云科技有限公司
技术研发日：2023.01.06
技术公布日：2023/8/14