软件定义光网络的安全交互方法及系统与流程
本发明是关于通信领域,特别是关于一种软件定义光网络的安全交互方法及系统。
背景技术
软件定义网络(sdn)作为一种基于软件定义思想的开放式网络架构及技术体系,其核心在于网络节点的控制与转发功能相互分离,数据层设备只保留简单的转发功能。通过控制器对网络的集中化控制,能实现底层物理网络对上层网络应用的开放透明。得益于灵活、高效、可编程的技术优势,sdn可以实现网络的能化控制。基于sdn思想的软件定义光网络(softwaredefinedopticalnetwork,sdon)架构主要分为数据转发平面、控制平面和应用平面。其中,控制平面和数据转发平面互相分离。控制信道与数据平面的数据传输信道相互独立,通过控制平面的信令协议交互,实现对数据传输业务连接的高效控制。作为sdon的核心环节,控制平面的可信连接技术日益受到重视。可信连接是指在光传送网技术体制的基础上,建立具备节点可信度、带宽和优先级保障的业务连接,提供高安全可信的网络服务,有效抵御安全攻击和内部破坏。
在光网络多业务qos差异化的背景下,软件定义光网络的通信安全问题具有一定的复杂性,更容易受到涉及光网络的所有层面的安全攻击。在典型的软件定义光网络中,openflow协议用于光通道创建、拆除和修改等操作的具体执行。通过openflow协议交互,软件定义光网络得以完成复杂的光网络路由计算和控制,所以openflow协议交互是软件定义光网络的关键技术之一。由于openflow协议的开放性,软件定义光网络在交互过程中,面临着一定的安全风险,主要包括:窃听攻击、阻塞攻击、消息篡改、重放攻击以及通信量分析等。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现要素:
本发明的目的在于提供一种软件定义光网络的安全交互方法,其能够使业务连接的信令交互过程获得更好的安全保障。
本发明的另一目的在于提供一种软件定义光网络的安全交互系统。
为实现上述目的,本发明提供了一种软件定义光网络的安全交互方法,软件定义光网络的安全交互方法由控制器执行,软件定义光网络的安全交互方法包括如下步骤:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限,则触发pki模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用pki的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
在一优选的实施方式中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的id号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
本发明还提供了一种软件定义光网络的安全交互系统,包括:控制器;和多个光交换节点;其中,控制器被配置为:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限则触发pki模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用pki的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
在一优选的实施方式中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的id号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
与现有技术相比,本发明的软件定义光网络的安全交互方法及系统具有如下优点:本发明充分利用软件定义光网络现有的openflow协议进行安全性加强,结合pki安全认证机制设计了openflow协议安全交互流程,以实现面向多业务软件定义光网络的端到端的安全可信连接。本发明所提出的软件定义光网络的安全交互方法为轻量级安全信令优化方法,与传统机制相比能够使业务连接的信令交互过程获得更好的安全保障,同时也有效缓解了安全攻击条件下的网络业务阻塞率问题,实现了软件定义光网络端到端的可信连接。
附图说明
图1是根据本发明一实施方式的安全交互方法流程图。
图2是根据本发明一实施方式的安全交互系统结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,本发明的安全交互方法包括如下步骤:
步骤101:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;
步骤102:响应于接收到分组进入消息,触发攻击检测;
步骤103:如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
步骤104:如果威胁程度高于门限则触发pki模块进行私钥更新;
步骤105:如果没有检测到安全攻击,则用控制器的私钥进行解密;
步骤106:调用路由模块计算出光路由;
步骤107:将路由的相关信息封装在改变状态消息的流表项中;
步骤108:使用第一光交换节点的私钥对改变状态消息中的信息进行加密;
步骤109:接收告警信息或者回复消息;
步骤110:如果接收到回复消息,则进行攻击检测;
步骤111:如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及
步骤112:如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
其中,控制器和光交换节点的公钥和私钥是运用pki的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
上述方案中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的id号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
如图2所示,本发明还提供了一种软件定义光网络的安全交互系统,安全交互系统采用软件定义光网络的典型架构,该安全交互系统包括:控制器201;和支持openflow协议的多个光交换节点202a~202h。其中,控制器201被配置为:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限则触发pki模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用pki的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
上述方案中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的id号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
安全交互系统中的控制器和所有的光交换节点内部都集成了pki安全认证模块,负责对接收到的openflow协议消息进行攻击检测与解密,以及对发送的openflow协议消息进行加解密。因此,本发明将pki安全认证与openflow协议安全交互两者相结合,能够充分利用软件定义光网络现有的openflow协议进行安全性加强,并结合pki安全认证机制设计了openflow协议安全交互流程,以实现面向多业务软件定义光网络的端到端的安全可信连接。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。
- 还没有人留言评论。精彩留言会获得点赞!