一种用于光子防火墙的连续光信号采样和还原方法技术

本发明专利技术提供了一种用于光子防火墙的连续光信号采样和还原方法。首先根据光子防火墙的安全配置确定采样周期Tc和采样时间Ts，1×2快速光开关按Tc和Ts将连续光信号分为两部分，常规信号进入光纤延迟线缓存，采样信号分光，一路送入模式匹配，另一路功率补偿后在副光纤延迟线缓存。常规信号和已补偿的采样信号同时输入2×1快速光开关，控制模块根据安全策略和模式匹配结果进行安全操作判断，若无安全威胁2×1快速光开关拼接采样信号和常规信号，还原连续光信号；否则其丢弃采样信号，输出常规信号。本法只针对部分光信号进行入侵检测和安全防护，操作简单，适用于采用面向端到端连接模式的光网络；提高光子防火墙的效率和处理速率。

A method of continuous optical signal sampling and recovery for photon firewall

The present invention provides a continuous optical signal sampling and reduction method for a photon firewall. According to the security configuration of the firewall photon to determine the sampling period Tc and sampling time Ts, 1 * 2 optical switch according to Tc and Ts continuous light signal is divided into two parts, the conventional signal into the optical fiber delay line buffer, sampling signal light, the way into the pattern matching, a power compensation after delay line buffer in the side of fiber. The conventional signal and the compensated signal simultaneously input 2 * 1 optical switch control module, according to the security strategy and pattern matching results for safe operation judgment, if there is no security threat 2 * 1 optical switch splicing sampling signal and the normal signal, reducing the continuous light signal; otherwise it is discarded sampling signal, conventional signal output. This method is only for partial optical signal intrusion detection and security protection, simple operation, suitable for the use of end to end connection mode of optical network; improve the efficiency of the photon firewall and processing rate.

【技术实现步骤摘要】
一种用于光子防火墙的连续光信号采样和还原方法
本专利技术涉及光纤通信系统光网络安全领域，具体涉及一种用于光子防火墙的连续光信号采样和还原方法，实现光域的入侵检测和安全防护。
技术介绍
光网络作为整个通信系统中的物理链路层，因其传输介质封闭、电磁绝缘性能好、频带宽、传输速度快等特点，光网络在传统上被认为具有较高的安全性保障。因而光网络在传输、交换及管控等方面研究和设计缺乏对光层信息安全的关注和研究。因此现有的光网络建设时主要考虑透明开放和互联互通，一般只考虑保证网络生存性的拓扑网络设计，没有考虑采取保证信息物理安全的网络安全措施。比如目前的自动交换光网络(ASON)的智能控制和管理等技术均未涉及到对恶意、隐蔽攻击的防范，不具有抵御入侵攻击和防御窃听的能力。但随着光纤通信中的入侵、窃听技术与设备的发展和进步，近年来针对光网络的攻击与破坏事件不断曝光，让人们看到光网络安全存在很大隐患。在大容量高速率的光传输系统中，数据封装格式和速率等信息特征是恒定可预知的，入侵窃听等攻击会造成大量数据出错或泄漏。因此，迫切需要研究光网络抗攻击技术。目前光网络的安全策略主要在电层实现，包括电子防火墙、入侵检测系统等。电层抗攻击技术虽然能够有效过滤多种类型的干扰和入侵攻击信号，但是，当前基于离线信息处理的电子抗攻击技术受限于电子系统的处理速率瓶颈，无法满足40Gbps以上的高速光信号的实时安全监测需求。随着光纤通信技术的不断发展，超100Gbps的全光信息处理已成为未来光网络的必然趋势，在电层抗攻击技术完全无法用于如此高速的光信号的实时安全监测。另外，高速电子信号处理系统中的光电转换成本高、处理速度慢且处理带宽小，这些缺陷使得电层的入侵检测和安全防御不能适应光网络高速、大容量、低时延的光信号传输特征，即仅依靠电层抗攻击技术无法保证高速光信号的安全。为此研制开发了在光层直接进行基于信息内容、传输模式、编码方式、调制格式等不同特征的入侵检测和安全防御。利用全光信息处理技术的高速率、高能效优势，结合光层安全策略，实现全光防火墙，保障全光网络的信息安全。目前的光子防火墙利用全光模式匹配机制直接在光域进行光网络所承载信息的识别和分析，甄别出隐藏的网络入侵和攻击，依据已设定的安全策略选择相应的防御手段，实现光域的入侵检测和安全防护，具有处理速度快、效率高、容量大的优点。目前，现网中已部署的光网络主要采用面向连接的传输模式，例如SDH体制、OTN体制等，网络管理者需要事先为每个到达的业务利用控制平面的路由和信令协议建立一条端到端的光路，待业务传输完毕，控制平面再拆掉此条光路，释放节点和链路上的资源。由于现网中光网络传输体制为先建立端到端的光路，光子防火墙不得不对所有光信号进行入侵检测，严重制约了光子防火墙的工作效率。但目前还没有针对连续光信号的采样和还原方法，如何实现光子防火墙面向连续光信号的入侵检测和安全防护成为首先克服的难题。
技术实现思路
本专利技术的目的是设计一种用于光子防火墙的连续光信号采样和还原方法，针对面向连接的光网络，本方法进行周期性采样，对采样信号进行入侵检测和安全防护，光子防火墙无需对一条端到端的光路连接中的所有光信号进行入侵检测，极大地提高光子防火墙的效率和处理速率。本专利技术设计的一种用于光子防火墙的连续光信号采样和还原方法，所述光子防火墙包括控制模块和模式匹配模块，模式匹配模块存储设置与网络威胁和攻击相关的字段，本专利技术输入的连续光信号进入1×2快速光开关，控制模块按设定采样周期Tc和采样时间Ts控制1×2快速光开关操作对连续光信号进行采样，采样时一路输出为常规信号，经光纤延迟线后接入2×1快速光开关的一个输入端，1×2快速光开关的另一路输出为采样信号，采样信号接入分光器进行两路分光，一路输入光子防火墙的模式匹配模块，另一路接入掺铒光纤放大器(EDFA)进行功率补偿，再经副光纤延迟线后接入2×1快速光开关的另一个输入端，模式匹配模块对进入的连续的光信号的采样信号与存储的字段进行模式匹配检测，其匹配结果接入控制模块，控制模块根据模式的结果进行判断是否存在潜在的网络威胁和攻击，发送安全操作控制信号到2×1快速光开关。当在采样信号中没有检测到任何网络威胁和攻击，控制模块令2×1快速光开关进行采样信号和常规信号的拼接，还原连续光信号后输出；当模式匹配模块在采样信号中检测到相匹配的字段，控制模块判断采样信号中隐藏有潜在的网络威胁和攻击，控制模块令2×1快速光开关丢弃采样信号，只输出常规信号。具体运行步骤如下：Ⅰ、确定采样周期Tc和采样时间Ts光子防火墙的控制模块根据已有的安全配置，确定1×2快速光开关的采样周期Tc和采样时间Ts，Ts≤Tc。采样周期Tc和采样时间Ts决定针对连续光信号的检测力度，对于潜在安全威胁比较大的业务，采用较短的1～10帧的采样周期和相对较长的采样时间。采样周期Tc，取决于被采样通信数据的速率和帧格式，通信速率较高、帧长度较短的Tc相应短一些，为微秒级到纳秒级；通信速率低的，放宽到毫秒级；Tc越长，需要的光纤延迟线越长。Ts＝(0.1～1)Tc，为提高检测效率，较佳方案为Ts＝(0.1～0.5)Tc。Ⅱ、连续光信号采样控制模块按设定的采样周期Tc和采样时间Ts操作1×2快速光开关，令其对连续光信号进行采样，采样时1×2快速光开关输出两路光信号，一路是时间长度为Ts、周期为Tc的采样信号，另一路为常规信号，连续光信号中取出采样信号以后剩余的部分即为常规信号。Ⅲ、常规信号常规信号经光纤延迟线缓存，其后接入2×1快速光开关的一个输入端。由于光子防火墙对采样信号进行模式匹配和安全检测需要消耗一定的时间，为了拼接常规信号和采样信号以还原连续光信号，本专利技术利用光纤延迟线对常规信号进行缓存，使常规信号和采样信号能同时进入2×1快速光开关；Ⅳ、采样信号采样信号首先接入一个分光器进行两路分光，一路采样信号进入到模式匹配模块进行模式匹配，另一路采样信号先进行功率补偿再进入副光纤延迟线缓存，之后接入2×1快速光开关的另一个输入端；所述分光器将一部分采样信号送入光子防火墙的模式匹配模块进行模式匹配，另一部分的采样信号进行功率补偿后进入光纤延迟线，以优先满足送入模式匹配模块的光信号在模式匹配所需的光功率确定两部分光束的比例。Ⅴ、模式匹配光子防火墙的模式匹配模块根据其存储的与网络威胁和攻击相关的字段对采样信号进行模式匹配，当在采样信号中出现相匹配的字段，说明采样信号中隐藏有潜在的网络威胁和攻击，模式匹配模块发送信号到控制模块，控制模块根据匹配的结果发送安全操作控制信号到2×1快速光开关；Ⅵ、连续光信号的还原和安全操作常规信号和已补偿的采样信号同时输入到2×1快速光开关；当在采样信号中没有检测到任何网络威胁和攻击，控制模块令2×1快速光开关进行采样信号和常规信号的拼接，连续光信号还原后输出；当模式匹配模块在采样信号中检测到相匹配的字段，控制模块判断采样信号中隐藏有潜在的网络威胁和攻击，控制模块令2×1快速光开关丢弃采样信号，只输出常规信号。与现有技术相比，本专利技术一种用于光子防火墙的连续光信号采样和还原方法的有益效果为：1、对连续光信号的周期采样和信号还原，实现了只针对部分光信号的入侵检测和安全防护，操作简单，适用于采用面向端到端连接模本文档来自技高网...

【技术保护点】
一种用于光子防火墙的连续光信号采样和还原方法，所述光子防火墙包括控制模块和模式匹配模块，模式匹配模块存储设置与网络威胁和攻击相关的字段，其特征在于:输入的连续光信号进入1×2快速光开关，控制模块按设定采样周期Tc和采样时间Ts控制1×2快速光开关操作对连续光信号进行采样，采样时一路输出为常规信号，经光纤延迟线后接入2×1快速光开关的一个输入端，1×2快速光开关的另一路输出为采样信号，采样信号接入分光器进行两路分光，一路输入光子防火墙的模式匹配模块，另一路接入掺铒光纤放大器进行功率补偿，再经副光纤延迟线后接入2×1快速光开关的另一个输入端，模式匹配模块对进入的连续的光信号的采样信号与存储的字段进行模式匹配检测，其匹配结果接入控制模块，控制模块根据模式的结果进行判断是否存在潜在的网络威胁和攻击，发送安全操作控制信号到2×1快速光开关；当在采样信号中没有检测到任何网络威胁和攻击，控制模块令2×1快速光开关进行采样信号和常规信号的拼接，还原连续光信号后输出；当模式匹配模块在采样信号中检测到相匹配的字段，控制模块判断采样信号中隐藏有潜在的网络威胁和攻击，控制模块令2×1快速光开关丢弃采样信号，只输出常规信号。...

【技术特征摘要】
1.一种用于光子防火墙的连续光信号采样和还原方法，所述光子防火墙包括控制模块和模式匹配模块，模式匹配模块存储设置与网络威胁和攻击相关的字段，其特征在于:输入的连续光信号进入1×2快速光开关，控制模块按设定采样周期Tc和采样时间Ts控制1×2快速光开关操作对连续光信号进行采样，采样时一路输出为常规信号，经光纤延迟线后接入2×1快速光开关的一个输入端，1×2快速光开关的另一路输出为采样信号，采样信号接入分光器进行两路分光，一路输入光子防火墙的模式匹配模块，另一路接入掺铒光纤放大器进行功率补偿，再经副光纤延迟线后接入2×1快速光开关的另一个输入端，模式匹配模块对进入的连续的光信号的采样信号与存储的字段进行模式匹配检测，其匹配结果接入控制模块，控制模块根据模式的结果进行判断是否存在潜在的网络威胁和攻击，发送安全操作控制信号到2×1快速光开关；当在采样信号中没有检测到任何网络威胁和攻击，控制模块令2×1快速光开关进行采样信号和常规信号的拼接，还原连续光信号后输出；当模式匹配模块在采样信号中检测到相匹配的字段，控制模块判断采样信号中隐藏有潜在的网络威胁和攻击，控制模块令2×1快速光开关丢弃采样信号，只输出常规信号。2.根据权利要求1所述的用于光子防火墙的连续光信号采样和还原方法，其特征在于具体运行步骤如下：Ⅰ、确定采样周期Tc和采样时间Ts光子防火墙的控制模块根据已有的安全配置，确定1×2快速光开关的采样周期Tc和采样时间Ts，Ts≤Tc；Ⅱ、连续光信号采样控制模块按设定的采样周期Tc和采样时间Ts操作1×2快速光开关，令其对连续光信号进行采样，采样时1×2快速光开关输出两路光信号，一路是时间长度为Ts、周期为Tc的采样信号，另一路为常规信号，连续光信号中取出采样信号以后剩余的部分即为常规信号；Ⅲ、常规信号常规信号经光纤延迟...

【专利技术属性】
技术研发人员：罗青松，李新，刘志强，黄善国，底楠，岳耀笠，尹珊，覃波，赵灏，
申请(专利权)人：中国电子科技集团公司第三十四研究所，
类型：发明
国别省市：广西,45