本发明专利技术提供了一种自动交换光网络中的网络安全保护方法、装置和系统。涉及通信技术领域;解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。该方法包括:在检测到攻击行为时,锁定发出所述攻击行为的危险网元;自动对所述危险网元威胁到的可信任域中的网元进行加密。本发明专利技术提供的技术方案适用于自动交换光网络,实现了自动高效的网元通信加密。
【技术实现步骤摘要】
自动交换光网络中的网络安全保护方法、装置和系统
本专利技术涉及通信
,尤其涉及一种自动交换光网络(ASON:AutomaticSwitchedOpticalNetwork)中的网络安全保护方法、装置和系统。
技术介绍
ASON是近年来光网络领域研究的热点,是用控制平面(CP:ControlPlane)来控制完成自动交换和连接控制的光传送网,遵循国际电信联盟(TIU-T)标准G.8080。自动交换光网络的诸多应用功能,如业务建立,动态重路由、软重路由、业务删除等都是借助协议实现的,其中最常用的是OSPF(开放式最短路径优先)协议和RSVP(资源预留协议)协议。网元通过OSPF泛洪获取全网TE链路信息,通过RSVP协议建立LSR(标签交换路径)从而完成业务端到端的建立,某种程度上说,协议是ASON功能的开关,协议交互是否正常决定了ASON功能是否可用。自动交换光网络借助协议的同时,也带来了一些安全方面的隐患,OSPF、RSVP等协议的交互是否是私有的,能否在公网上截获相关报文,是否能构造报文以假乱真,某一个ASON网元被破解,是否能对整个网络实施瘫痪式攻击,能否隔离被破解的网元......种种安全问题都是用户非常关切的,对于一些特殊行业的用户,如军队更是如此。如何解决这些问题,是ASON技术的重要研究课题。现有技术是当网络异常时,采用协议加密的方式防范攻击。具体步骤是,首先人工判定危险网元(被破解的网元,或有攻击或欺骗等恶意行为的网元),然后对正常网络逐一手工设置协议认证码,用认证码切断正常网元和危险网元的联系通道来隔离攻击源。认证码相同的网元协议可以正常交互,认证码不同或一方有认证码一方无认证码的网元之间协议不能正常交互。现有技术提供了隔离网络中被破解网元的手段,但也有很多缺陷。首先,需要人为判断全网中的危险网元,不具备实时性,可能当危险网元攻击ASON造成很大损失后才发现,导致补救措施滞后;第二,网络规模很大的情况下,逐个设置认证码费时费力,效率低下,如果想隔离成多个子网,改动的数据量更多,更容易出错。综上,现有技术中使用人工判定危险网元并设置协议认证码,响应速度慢,保护效率低下,安全保护效果较差。
技术实现思路
本专利技术提供了一种ASON中的网络安全保护方法、装置和系统,解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。一种ASON中的网络安全保护方法,包括:在检测到攻击行为时,锁定发出所述攻击行为的危险网元;自动对所述危险网元威胁到的可信任域中的网元进行加密。优选的,所述攻击行为包括以下所列行为中的一种或任意多种的组合:更改网元的协议参数、大范围实施资源预留、更改控制平面邻居关系、一次性发起大批量业务建立、发大量的报文阻塞ASON控制通道。优选的,所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括:自动生成适用于所述可信任域的协议认证码;以协议广播的方式将所述协议认证码通知所述可信任域内的网元。优选的,上述自动交换光网络中的网络安全保护方法还包括:所述可信任域内的网元在接收到携带有所述协议认证码的广播时,采用所述协议认证码进行加密。优选的,上述自动交换光网络中的网络安全保护方法还包括:反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。本专利技术还提供了一种自动交换光网络中的网络安全保护装置,包括:监控模块,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;处理模块,用于自动对所述危险网元威胁到的可信任域中的网元进行加密。优选的,所述处理模块包括:认证码生成单元,用于自动生成适用于所述可信任域的协议认证码;广播单元,用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。优选的,上述网络安全保护装置还包括:反馈模块,用于反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。本专利技术还提供了一种自动交换光网络中的网络安全保护系统,该系统包括自动交换光网络中的网络安全保护装置和该装置保护下的可信任域,所述可信任域包括至少一个网元,所述自动交换光网络中的网络安全保护装置通过所述可信息域中的接入网元接入所述可信任域;所述自动交换光网络中的网络安全保护装置,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的所述可信任域中的网元进行加密。优选的,所述自动交换光网络中的网络安全保护装置自动对所述危险网元威胁到的所述可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码,以协议广播的方式将所述协议认证码通知所述可信任域内的网元;所述可信任域中的网元,用于在接收到所述自动交换光网络中的网络安全保护装置发送的携带有所述协议认证码的广播时,采用所述协议认证码进行加密。本专利技术提供了一种ASON中的网络安全保护方法、装置和系统,在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的可信任域中的网元进行加密,由系统自动完成替代了人工设置,响应速度快,加密效率高,解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。附图说明图1为本专利技术的实施例一提供的一种ASON中的网络安全保护装置的结构示意图;图2为图1中处理模块102的内部结构示意图;图3为本专利技术的实施例一提供的又一种ASON中的网络安全保护装置的结构示意图;图4为本专利技术的实施例一提供的一种ASON中的网络安全保护系统的结构示意图;图5为本专利技术的实施例二提供的一种ASON中的网络安全保护方法的流程图。具体实施方式现有技术中使用人工判定危险网元并设置协议认证码,响应速度慢,保护效率低下,安全保护效果较差。为了解决上述问题,本专利技术的实施例提出了一种ASON中的网络安全保护方法、装置和系统,支持内置安全策略判定危险网元,并能自动生成协议认证码加密网络中的正常网元,免除了诸多繁琐的人工操作,保证了攻击防御的实时性,增强了网络的安全性,提升了用户管理网络的效率。下文中将结合附图对本专利技术的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。首先结合附图,对本专利技术的实施例一进行说明。本专利技术实施例提供了一种ASON中的网络安全保护装置,该装置的结构如图1所示,包括:监控模块101,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;处理模块102,用于自动对所述危险网元威胁到的可信任域中的网元进行加密。优选的,所述处理模块102的结构如图2所示,包括:认证码生成单元1021,用于自动生成适用于所述可信任域的协议认证码;广播单元1022,用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。优选的,上述ASON中的网络安全保护装置如图3所示,还包括:反馈模块103,用于反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。本专利技术实施例还提供了一种ASON中的网络安全保护系统,该系系结构如图4所示,包括上述ASON中的网络安全保护装置401和该装置保护下的可信任域402,所述可信任域402包括至少一个网元,所述ASON中的网络安全保护装置401通过所述可信息域中的接入网元403接入所述可信任域;所述ASON中的网络安全保护装置本文档来自技高网...
【技术保护点】
一种自动交换光网络中的网络安全保护方法,其特征在于,包括:在检测到攻击行为时,锁定发出所述攻击行为的危险网元;自动对所述危险网元威胁到的可信任域中的网元进行加密。
【技术特征摘要】
1.一种自动交换光网络中的网络安全保护方法,其特征在于,包括:在检测到攻击行为时,锁定发出所述攻击行为的危险网元;自动对所述危险网元威胁到的可信任域中的网元进行加密;所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括:自动生成适用于所述可信任域的协议认证码;以协议广播的方式将所述协议认证码通知所述可信任域内的网元。2.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,所述攻击行为包括以下所列行为中的一种或任意多种的组合:更改网元的协议参数、大范围实施资源预留、更改控制平面邻居关系、一次性发起大批量业务建立、发大量的报文阻塞自动交换光网络ASON控制通道。3.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,该方法还包括:所述可信任域内的网元在接收到携带有所述协议认证码的广播时,采用所述协议认证码进行加密。4.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,该方法还包括:反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。5.一种自动交换光网络中的网络安全保护装置,其特征在于,包括:监控模块,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;处理模块,用于自动对所述危险网元威...
【专利技术属性】
技术研发人员:曾召军,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。