软件定义光网络的安全交互方法及系统技术方案

本发明专利技术公开了一种软件定义光网络的安全交互方法及系统，安全交互方法包括如下步骤：接收分组进入消息；响应于接收到分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用控制器的私钥进行解密；计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用第一光交换节点的私钥对改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计安全威胁程度。

【技术实现步骤摘要】
软件定义光网络的安全交互方法及系统
本专利技术是关于通信领域，特别是关于一种软件定义光网络的安全交互方法及系统。
技术介绍
软件定义网络(SDN)作为一种基于软件定义思想的开放式网络架构及技术体系，其核心在于网络节点的控制与转发功能相互分离，数据层设备只保留简单的转发功能。通过控制器对网络的集中化控制，能实现底层物理网络对上层网络应用的开放透明。得益于灵活、高效、可编程的技术优势，SDN可以实现网络的能化控制。基于SDN思想的软件定义光网络(SoftwareDefinedOpticalNetwork，SDON)架构主要分为数据转发平面、控制平面和应用平面。其中，控制平面和数据转发平面互相分离。控制信道与数据平面的数据传输信道相互独立，通过控制平面的信令协议交互，实现对数据传输业务连接的高效控制。作为SDON的核心环节，控制平面的可信连接技术日益受到重视。可信连接是指在光传送网技术体制的基础上，建立具备节点可信度、带宽和优先级保障的业务连接，提供高安全可信的网络服务，有效抵御安全攻击和内部破坏。在光网络多业务QoS差异化的背景下，软件定义光网络的通信安全问题具有一定的复杂性，更容易受到涉及光网络的所有层面的安全攻击。在典型的软件定义光网络中，OpenFlow协议用于光通道创建、拆除和修改等操作的具体执行。通过OpenFlow协议交互，软件定义光网络得以完成复杂的光网络路由计算和控制，所以OpenFlow协议交互是软件定义光网络的关键技术之一。由于OpenFlow协议的开放性，软件定义光网络在交互过程中，面临着一定的安全风险，主要包括：窃听攻击、阻塞攻击、消息篡改、重放攻击以及通信量分析等。公开于该
技术介绍
部分的信息仅仅旨在增加对本专利技术的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现思路
本专利技术的目的在于提供一种软件定义光网络的安全交互方法，其能够使业务连接的信令交互过程获得更好的安全保障。本专利技术的另一目的在于提供一种软件定义光网络的安全交互系统。为实现上述目的，本专利技术提供了一种软件定义光网络的安全交互方法，软件定义光网络的安全交互方法由控制器执行，软件定义光网络的安全交互方法包括如下步骤：接收分组进入消息，其中，分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；响应于接收到分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用控制器的私钥进行解密；调用路由模块计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用第一光交换节点的私钥对改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果接收到回复消息，则进行攻击检测；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；其中，控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的，控制器的公钥被分发给多个光交换节点，光交换节点的私钥被上报给控制器。在一优选的实施方式中，其中，改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。在一优选的实施方式中，其中，使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括：使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。在一优选的实施方式中，其中，告警信息是由第一光交换节点基于如下步骤发送的：响应于接收到改变状态消息，触发攻击检测；以及如果检测出安全攻击，则向控制器发送告警信息。在一优选的实施方式中，其中，回复消息是由第一光交换节点基于如下步骤发送的：响应于接收到改变状态消息，触发攻击检测；如果没有检测到安全攻击，则由第一光交换节点的私钥进行解密并生成回复消息，其中，回复消息中封装有进行过数字签名的波长标签；以及向控制器发送回复消息。本专利技术还提供了一种软件定义光网络的安全交互系统，包括：控制器；和多个光交换节点；其中，控制器被配置为：接收分组进入消息，其中，分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；响应于接收到分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；如果威胁程度高于门限则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用控制器的私钥进行解密；调用路由模块计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用第一光交换节点的私钥对改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果接收到回复消息，则进行攻击检测；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；其中，控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的，控制器的公钥被分发给多个光交换节点，光交换节点的私钥被上报给控制器。在一优选的实施方式中，其中，改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。在一优选的实施方式中，其中，使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括：使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。在一优选的实施方式中，其中，告警信息是由第一光交换节点基于如下步骤发送的：响应于接收到改变状态消息，触发攻击检测；以及如果检测出安全攻击，则向控制器发送告警信息。在一优选的实施方式中，其中，回复消息是由第一光交换节点基于如下步骤发送的：响应于接收到改变状态消息，触发攻击检测；如果没有检测到安全攻击，则由第一光交换节点的私钥进行解密并生成回复消息，其中，回复消息中封装有进行过数字签名的波长标签；以及向控制器发送回复消息。与现有技术相比，本专利技术的软件定义光网络的安全交互方法及系统具有如下优点：本专利技术充分利用软件定义光网络现有的OpenFlow协议进行安全性加强，结合PKI安全认证机制设计了OpenFlow协议安全交互流程，以实现面向多业务软件定义光网络的端到端的安全可信连接。本专利技术所提出的软件定义光网络的安全交互方法为轻量级安全信令优化方法，与传统机制相比能够使业务连接的信令交互过程获得更好的安全保障，同时也有效缓解了安全攻击条件下的网络业务阻塞率问题，实现了软件定义光网络端到端的可信连接。附图说明图1是根据本专利技术一实施方式的安全交互方法流程图。图2是根据本专利技术一实施方式的安全交互系统结构示意图。具体实施方式下面结合附图，对本专利技术的具体实施方式进行详细描述，但应当理解本专利技术的保护范围并不受具体实施方式的限制。除非另有其它明确表示，否则在整个说明书和权利要求书中，术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分，而并未排除其它元件或其它组成部分。如图1所示，本专利技术的安全交互方法包括如下步骤：步骤101：接收分组进入消息，其中，分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；步骤102本文档来自技高网...

【技术保护点】
1.一种软件定义光网络的安全交互方法，其特征在于，所述软件定义光网络的安全交互方法由控制器执行，所述软件定义光网络的安全交互方法包括如下步骤：接收分组进入消息，其中，所述分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；响应于接收到所述分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用所述控制器的私钥进行解密；调用路由模块计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果接收到回复消息，则进行攻击检测；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；其中，所述控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的，所述控制器的公钥被分发给多个光交换节点，所述光交换节点的私钥被上报给控制器。

【技术特征摘要】
1.一种软件定义光网络的安全交互方法，其特征在于，所述软件定义光网络的安全交互方法由控制器执行，所述软件定义光网络的安全交互方法包括如下步骤：接收分组进入消息，其中，所述分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；响应于接收到所述分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用所述控制器的私钥进行解密；调用路由模块计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果接收到回复消息，则进行攻击检测；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；其中，所述控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的，所述控制器的公钥被分发给多个光交换节点，所述光交换节点的私钥被上报给控制器。2.如权利要求1所述的软件定义光网络的安全交互方法，其特征在于，其中，所述改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。3.如权利要求2所述的软件定义光网络的安全交互方法，其特征在于，其中，使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密包括：使用所述第一光交换节点的私钥对所述改变状态消息中的ID号以及业务流特征参数进行加密。4.如权利要求3所述的软件定义光网络的安全交互方法，其特征在于，其中，所述告警信息是由第一光交换节点基于如下步骤发送的：响应于接收到所述改变状态消息，触发攻击检测；以及如果检测出安全攻击，则向所述控制器发送所述告警信息。5.如权利要求4所述的软件定义光网络的安全交互方法，其特征在于，其中，所述回复消息是由第一光交换节点基于如下步骤发送的：响应于接收到所述改变状态消息，触发攻击检测；如果没有检测到安全攻击，则由所述第一光交换节点的私钥进行解密并生成回复消息，其中，所述回复消息中封装有进行过数字签名的波长标签；以及向所述控制器发送所述回复消...

【专利技术属性】
技术研发人员：甄岩，王立城，白晖峰，郑利斌，霍超，
申请(专利权)人：北京智芯微电子科技有限公司，国网信息通信产业集团有限公司，
类型：发明
国别省市：北京,11