申请/专利权人：中交信通网络科技有限公司

申请日：2019-04-02

公开（公告）日：2024-02-13

公开（公告）号：CN109995424B

主分类号：H04B10/071

分类号：H04B10/071;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.02.13#授权;2019.08.02#实质审查的生效;2019.07.09#公开

摘要：本发明公开了一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器；所述SDN控制器触发IP路径计算模块切换IP层路由。本发明在SDN架构中引入光纤入侵检测后，不需要升级现网安全设备，实时监控链路的入侵情况，同时将检测结果反馈给SDN控制器，控制器通过调整传输层路径，IP层路径和加密手段规避入侵或者增加破解难度，实现整网的安全性。

主权项：1.一种基于光层OTDR检测的网络安全方法，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，其特征在于，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述SDN控制器触发传输路径计算模块ASON切换传输层路线；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度；其工作流程分为流程一、流程二和流程三，具体如下：1流程一为重新计算传输层路径，流程一第一步为OTDR检测到光纤入侵，记录被入侵的光纤信息，光纤检测控制器根据数据库信息分析，并将信息上报给SDN控制器，流程一第二步为SDN控制器分析上报信息，根据已定义的安全策略，将出问题的光纤信息下发给传输路径计算模块，流程一第三步为传输路径计算模块通过传输路径计算模块ASON自动计算传输路径，传输路径计算模块ASON根据光纤资源信息重新计算路径生成传输层路径信息，计算过程中不使用已经标记入侵的光纤链路；在执行完流程一第三步后，传输路径计算模块通过SDN控制器通知光纤检测控制器新生成传输层路径信息的链路信息，光纤检测控制器根据链路信息重新检查是否有入侵，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限，如果传输层有备用路由的时候，能够直接使用备用路由，当备用路由也有入侵时，能直接进入流程一第三步，如果没有备用路由则直接进入流程一第三步；2流程二为重新计算IP层路径，流程二第一步和流程一第一步相同，流程二第二步为SDN控制器根据已定义的安全策略，通知IP路径计算模块需要重新计算IP层路由，流程二第三步为IP路径计算模块将原有路由设置为不可用，重新计算主用路由，在执行完流程二第三步后，IP路径计算模块通知SDN控制器生成新的IP路由，SDN控制器根据新的IP路由信息，确定新的传输层路径链路信息，通知光纤检测控制器新生成传输层路径的链路信息，光纤检测控制器根据链路信息重新检查入侵信息，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限；3流程三为重置IPsec隧道，流程三第一步同流程一第一步相同，流程三第二步为SDN控制器根据已定义的安全策略，通知IPsec控制模块重置IPsec隧道，流程三第三步为IPsec控制模块选择需要重置的IPsec隧道，同时降低SA生存时间。

全文数据：一种基于光层OTDR检测的网络安全方法和装置技术领域本发明涉及安全通信技术领域，具体是一种基于光层OTDR检测的网络安全方法和装置。背景技术OTDR光路检测，利用镭射光波在光纤中行进时会产生散射、折射和反射，计算其微量的光功率反射能量值来测量距离。光时域反射模块所测得的数据，送到IPC模块并和已存在数据库中的参考值数据进行比较及计算，如果对比结果超过设定值，说明光纤入侵产生,产生告警上报给监控中心。SDN即软件定义网络，主要的特征是对网络的集中控制和转发控制分离。集中控制使得整个网络可在逻辑上被视作是一个整体进行运行和维护，可实现对网络的精确控制。网络数据安全技术，IP层主要使用IPsec和SSL实现对IP层数据报文进行加密保证信息安全；传输层安全主要使用加密机对数据载荷进行加密。目前，随着SDN的技术发展，控制器的功能逐渐完善，IP+光技术也逐步完善，控制器除了计算路径，下发表项等SDN特有功能外，也可以将IPsec的功能传统功能进行集成，实现业务统一控制精确管理。但是当前SDN控制器并没有将网络安全的各个模块有机的结合，尤其是被光层入侵时，采取的手段多是断掉业务，即现在网络安全各个层次安全特性大多独立运行，没有针对光纤入侵这个场景形成有机的防御整体。另外，IPsec等IP层加密机制对安全设备的资源要求很高，尤其是对CPU资源的要求。在现网设备不升级的情况下，无法实现对所有业务使用最长的加密密钥，最短的隧道生存周期。发明内容本发明的目的在于提供一种基于光层OTDR检测的网络安全方法和装置，以解决上述背景技术中提出的问题。为实现上述目的，本发明提供如下技术方案：一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，其特征在于，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述SDN控制器触发传输路径计算模块即ASON切换传输层路线；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度。一种基于光层OTDR检测的网络安全方法，其工作流程分为流程一、流程二和流程三，具体如下：1流程一为重新计算传输层路径，流程一第一步为OTDR检测到光纤入侵，记录被入侵的光纤信息，光纤检测控制器根据数据库信息分析，并将信息上报给SDN控制器，流程一第二步为SDN控制器分析上报信息，根据已定义的安全策略，将出问题的光纤信息下发给传输路径计算模块，流程一第三步为传输路径计算模块主要通过ASON自动计算传输路径，ASON模块根据光纤资源信息重新计算路径生成传输层路径信息，计算过程中不使用已经标记入侵的光纤链路；在执行完流程一第三步后，传输路径计算模块通过SDN控制器通知光纤检测控制器新生成传输层路径信息的链路信息，光纤检测控制器根据链路信息重新检查是否有入侵，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限，如果传输层有备用路由的时候，可以直接使用备用路由，当备用路由也有入侵时，可直接进入流程一第三步，如果没有备用路由则直接进入流程一第三步；2流程二为重新计算IP层路径，流程二第一步和流程一第一步相同，流程二第二步为SDN控制器根据已定义的安全策略，通知IP路径计算模块需要重新计算IP层路由，流程二第三步为IP路径计算模块将原有路由设置为不可用可以使用将对应COST值设置为最大的方式，重新计算主用路由，在执行完流程二第三步后，IP路径计算模块通知SDN控制器生成新的IP路由，SDN控制器根据新的IP路由信息，确定新的传输层路径链路信息，通知光纤检测控制器新生成传输层路径的链路信息，光纤检测控制器根据链路信息重新检查入侵信息，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限；3流程三为重置IPsec隧道，流程三第一步同流程一第一步相同，流程三第二步为SDN控制器根据已定义的安全策略，通知IPsec控制器重置IPsec隧道，流程三第三步为IP控制器选择需要重置的IPsec隧道，同时降低SA生存时间。为支撑上述工作流程需要新定义如下数据结构：1定义入侵光纤信息的数据结构；2扩展路由表信息，添加“是否收到入侵标识位”；3扩展IPsec的SA信息，添加“是否收到入侵标识位”。与现有技术相比，本发明具有如下特征：1通过OTDR检测网络入侵，将检测到的入侵分成高中低三个等级，不同的等级采用不同的安全策略：对于高等级入侵，通过SDN控制直接切换物理路由，对多次切换后还是检测到入侵则断掉传输，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度；对于中等级的入侵，修改IP层路由，对多次修改后还是检测到入侵可以删除路由，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度；对于低等级的入侵，可以重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度。2SDN控制器触发传输路径计算模块即ASON切换传输层路线；通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器；将该段光纤在SDN控制器中设置成不可用后，SDN控制器触发传输路径计算模块重新计算路由。3SDN控制器触发IP路径计算模块切换IP层路由；通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器；将该段光纤在SDN控制器中设置成不可用后，映射到对应的传输路径，进而映射到IP路径，SDN控制器触发IP路径计算模块将被入侵的路径设置为不可用并重新计算路由。4通过SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度；在没有入侵时，可以使用较长的SA生存时间和较短的密钥长度，以降低IPsec对计算资源的使用率；通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器；将该段光纤在SDN控制器中设置成不可用后，映射到对应的传输路径，进而映射到IP路径，进一步映射到IPsec对应的隧道，SDN控制器触发IPsec模块重置IPsec隧道，并缩短SA的生存时间。本发明在SDN架构中引入光纤入侵检测后，不需要升级现网安全设备，实时监控链路的入侵情况，同时将检测结果反馈给SDN控制器，控制器通过调整传输层路径，IP层路径和加密手段规避入侵或者增加破解难度，实现整网的安全性，最终达到是光纤入侵行为失效。附图说明图1为一种基于光层OTDR检测的网络安全方法和装置的结构示意图。图2为一种基于光层OTDR检测的网络安全方法和装置的工作流程总述示意图。图3为一种基于光层OTDR检测的网络安全方法和装置中流程一的流程图。图4为一种基于光层OTDR检测的网络安全方法和装置中流程二的流程图。图5为一种基于光层OTDR检测的网络安全方法和装置中流程三的流程图。图6为一种基于光层OTDR检测的网络安全方法和装置中SDN控制器上存储传输路径信息架构图。图7为一种基于光层OTDR检测的网络安全方法和装置中光纤入侵距监测点的距离L架构图。图8为一种基于光层OTDR检测的网络安全方法和装置中IP路站被入侵时的架构示意图。图9为传统的SDN典型架构图。具体实施方式下面结合具体实施方式对本专利的技术方案作进一步详细地说明。请参阅图1-8，一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器；所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接。所述SDN控制器发生指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述高等级入侵通过SDN控制直接切换物理路由，对多次切换后还是检测到入侵则断掉传输，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度；所述中等级入侵通过修改IP层路由，对多次修改后还是检测到入侵可以删除路由，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度；所述低等级入侵通过重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度。所述SDN控制器触发传输路径计算模块即ASON切换传输层路线,通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器；将该段光纤在SDN控制器中设置成不可用后，SDN控制器触发传输路径计算模块重新计算路由。所述SDN控制器触发IP路径计算模块切换IP层路由,通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器,将该段光纤在SDN控制器中设置成不可用后，映射到对应的传输路径，进而映射到IP路径，SDN控制器触发IP路径计算模块将被入侵的路径设置为不可用并重新计算路由。所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度；在没有入侵时，可以使用较长的SA生存时间和较短的密钥长度，以降低IPsec对计算资源的使用率,通过OTDR告警信息获取入侵的精确位置，并告知SDN控制器,将该段光纤在SDN控制器中设置成不可用后，映射到对应的传输路径，进而映射到IP路径，进一步映射到IPsec对应的隧道，SDN控制器触发IPsec模块重置IPsec隧道，并缩短SA的生存时间。通过简化SDN结构，并添加OTDR检测模块，使光纤检测结果和网络控制联动成为可能；通过OTDR检测结果根据业务将光纤入侵进行分级，并关联对应的安全措施，生成安全策略；定义光纤检测结果数据结构，便于光纤入侵检测结果的传递；扩展路由表属性，增加入侵计数属性，便于路由层面体现入侵情况；扩展IPsecSA属性，增加入侵计数属性，便于IPsec层面体现入侵情况。本发明所述的基于光层OTDR检测的网络安全方法和装置的预置条件有安全等级定义、安全动作定义和安全策略定义，安全等级定义的安全级别所对应的内容可以根据客户业务进行定义，安全级别分为三个入侵等级，三个入侵等级分别为Level1、Level2和Level3，Level1、Level2和Level3分别表示低危险、中危险和高危险，安全动作定义分为三个动作，第一动作为传输重新规划传输层路径，第二动作为IP层重新计算IP路由，第三动作为IPsec重置IPsec隧道，同时降低SA生存时间，安全策略定义是根据实际业务需要定义if-then结构的安全策略，例如如果出现入侵安全等级Level2的情况下执行第二动作。本使用新型所述的基于光层OTDR检测的网络安全方法和装置的工作流程分为流程一、流程二和流程三。如图3所示，流程一为重新计算传输层路径，流程一第一步为OTDR检测到光纤入侵，记录被入侵的光纤信息，光纤检测控制器根据数据库信息分析，并将信息上报给SDN控制器，流程一第二步为SDN控制器分析上报信息，根据已定义的安全策略，将出问题的光纤信息下发给传输路径计算模块，流程一第三步为传输路径计算模块主要通过ASON自动计算传输路径，ASON模块根据光纤资源信息重新计算路径生成传输层路径信息，计算过程中不使用已经标记入侵的光纤链路；在执行完流程一第三步后，传输路径计算模块通过SDN控制器通知光纤检测控制器新生成传输层路径信息的链路信息，光纤检测控制器根据链路信息重新检查是否有入侵，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限，如果传输层有备用路由的时候，可以直接使用备用路由，当备用路由也有入侵时，可直接进入流程一第三步，如果没有备用路由则直接进入流程一第三步。如图4所示，流程二为重新计算IP层路径，流程二第一步和流程一第一步相同，流程二第二步为SDN控制器根据已定义的安全策略，通知IP路径计算模块需要重新计算IP层路由，流程二第三步为IP路径计算模块将原有路由设置为不可用可以使用将对应COST值设置为最大的方式，重新计算主用路由，在执行完流程二第三步后，IP路径计算模块通知SDN控制器生成新的IP路由，SDN控制器根据新的IP路由信息，确定新的传输层路径链路信息，通知光纤检测控制器新生成传输层路径的链路信息，光纤检测控制器根据链路信息重新检查入侵信息，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限。如图5所示，流程三为重置IPsec隧道，流程三第一步同流程一第一步相同，流程三第二步为SDN控制器根据已定义的安全策略，通知IPsec控制器重置IPsec隧道，流程三第三步为IP控制器选择需要重置的IPsec隧道，同时降低SA生存时间。为支撑上述工作流程需要新定义如下数据结构：1定义入侵光纤信息的数据结构，指明入侵的光纤和传输层路由之间的对应关系，在OTDR中检测到入侵后，会测试出光纤入侵距离测试点的距离L，根据SDN上的传输路径信息，定位受到入侵的光纤段。SDN控制器上存储传输路径如图6所示，路径起点终点信息如表1所示：表1传输层路径ID传输路径起点名称传输路径终点名称1光站1光站5传输路径上的光站信息如表2所示：表2如图7所示，距光站1的OTDR检测仪的距离为L的点有入侵时；光纤入侵距监测点的距离信息如表3所示：表3入侵ID检测仪所在光站信息入侵点至检测仪器的距离1光站1L再根据以上的信息计算被入侵的传输路径信息，具体如表4所示：表4被入侵传输路径ID是否收到入侵标识位入侵点至检测仪器的距离1是L2扩展路由表信息，添加“是否收到入侵标识位”，说明当前路由上的路径已经被入侵。如图8所示，在SDN控制器上存储IP层路由的IP路站被入侵时，其在SDN控制器上存储IP层路由径信息如表5所示：表5再根据以上信息计算出被入侵的IP层网段信息，如表6所示：表6路由网段ID被入侵的传输层路径ID是否被入侵11是3扩展IPsec的SA信息，添加“是否收到入侵标识位”，说明当前IPsec隧道使用的路径已经被入侵，在SDN控制器上存储IPsec隧道信息，如表7所示：表7隧道ID是否收到入侵标识位被入侵的路由网段ID1是1在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本发明中的具体含义。上面对本专利的较佳实施方式作了详细说明，但是本专利并不限于上述实施方式，在本领域的普通技术人员所具备的知识范围内，还可以在不脱离本专利宗旨的前提下作出各种变化。

权利要求：1.一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，其特征在于，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述SDN控制器触发传输路径计算模块即ASON切换传输层路线；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度。2.一种基于光层OTDR检测的网络安全方法，其工作流程分为流程一、流程二和流程三，具体如下：1流程一为重新计算传输层路径，流程一第一步为OTDR检测到光纤入侵，记录被入侵的光纤信息，光纤检测控制器根据数据库信息分析，并将信息上报给SDN控制器，流程一第二步为SDN控制器分析上报信息，根据已定义的安全策略，将出问题的光纤信息下发给传输路径计算模块，流程一第三步为传输路径计算模块主要通过ASON自动计算传输路径，ASON模块根据光纤资源信息重新计算路径生成传输层路径信息，计算过程中不使用已经标记入侵的光纤链路；在执行完流程一第三步后，传输路径计算模块通过SDN控制器通知光纤检测控制器新生成传输层路径信息的链路信息，光纤检测控制器根据链路信息重新检查是否有入侵，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限，如果传输层有备用路由的时候，可以直接使用备用路由，当备用路由也有入侵时，可直接进入流程一第三步，如果没有备用路由则直接进入流程一第三步；2流程二为重新计算IP层路径，流程二第一步和流程一第一步相同，流程二第二步为SDN控制器根据已定义的安全策略，通知IP路径计算模块需要重新计算IP层路由，流程二第三步为IP路径计算模块将原有路由设置为不可用可以使用将对应COST值设置为最大的方式，重新计算主用路由，在执行完流程二第三步后，IP路径计算模块通知SDN控制器生成新的IP路由，SDN控制器根据新的IP路由信息，确定新的传输层路径链路信息，通知光纤检测控制器新生成传输层路径的链路信息，光纤检测控制器根据链路信息重新检查入侵信息，如果新生成传输层路径的链路上没有入侵则确认链路可用，如果还是检测到入侵则重复以上步骤，直到生成可用传输层路径或者达到重新计算路径次数的上限；3流程三为重置IPsec隧道，流程三第一步同流程一第一步相同，流程三第二步为SDN控制器根据已定义的安全策略，通知IPsec控制器重置IPsec隧道，流程三第三步为IP控制器选择需要重置的IPsec隧道，同时降低SA生存时间。3.根据权利要求2所述的一种基于光层OTDR检测的网络安全方法，为支撑上述工作流程需要新定义如下数据结构：1定义入侵光纤信息的数据结构；2扩展路由表信息，添加“是否收到入侵标识位”；3扩展IPsec的SA信息，添加“是否收到入侵标识位”。

百度查询： 中交信通网络科技有限公司 一种基于光层OTDR检测的网络安全方法和装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD