CN101616340B - 一种基于自动交换光网络的安全光路建立方法 - Google Patents

Abstract

本发明提供了一种基于自动交换光网络的安全光路建立方法，涉及自动交换光网络控制平面中光通路或光连接的建立。本发明使用综合的波长预留策略，通过数字签名和消息反馈等安全机制，对GMPLS RSVP-TE消息中的重要对象进行完整性保护，能防止内部节点的恶意或自私行为。另外，根据自动交换光网络中路由模块和信令模块强耦合的特点，本发明设计了相应的密钥管理机制，采用OSPF-TE的PKLSA消息分发光路建立过程中所需的节点公钥证书。该方法在保证光通路安全建立的同时，具有光通路建立快、攻击检测时间短、消息负载较低的特点，特别适用于自动交换光网络中控制平面中光连接的安全建立。

Description

一种基于自动交换光网络的安全光路建立方法

技术领域：

本发明属于自动交换光网络ASON中信令和路由技术领域，尤其涉及ASON网络中光通路的安全建立。通过该方法可保证光通路的安全建立，同时具有较低的连接阻塞概率、较短的光通路建立时间、较低的消息负载。

背景技术：

自动交换光网络ASON(Automatically Switching Optical Networks)是下一代光网络的主流技术，它在传统的光网络上引入了控制平面的概念，使光网络在选路和信令的控制下能够实现自动交换的功能，同时也使得ASON在多厂商设备异构网络互联的环境下能够提供传统光网络所不具备的许多功能，例如端到端连接、自动流量工程、网状网的自动保护与恢复以及光虚拟专用网(OVPN)等。因此，对于ASON控制平面技术的研究成为光传输领域的新方向。

ASON网络控制平面的基本功能是呼叫和连接控制，同时它采用了IETF提出的GMPLS作为其核心协议，如信令协议、路由协议和链路管理协议等。其中，信令协议采用RSVP-TE和CR-LDP，主要用于分布式连接的建立、维护和拆除；路由协议采用OSPF-TE和IS-IS-TE，它们主要为连接的建立提供路由服务；链路资源管理协议采用LMP，对控制信道和传送链路进行验证和维护。在ASON中，由于各平面的功能和特点不同，它们面临的安全问题也不一样。在基于GMPLS的自动交换光网络中，信令机制的引入在增加网络智能性的同时，也带来了新的安全隐患，包括主动攻击和被动攻击两大类，下面结合GMPLS RSVP-TE信令协议，对光路建立过程中面临的安全问题进行分析。

(1)主动攻击

①未授权光标记交换路径的建立

在ASON中，一个未授权的客户网络或网元将产生大量的光连接请求消息，引起RSVP-TE协议对光标记交换路径的建立过程，最后导致不必要的资源预留和正常光连接阻塞率的提高。

②信令消息篡改

在RSVP-TE协议中，外部或内部攻击者将截获到的RSVP-TE信息(如PATH或RESV消息)进行修改之后再将信息传给原定的接收者，修改的内容可以是固定不变对象，如PATH消息中的通用标签请求对象和RESV消息中的通用标签对象等。也可以是需更新变化对象，如PATH消息中的QoS参数对象等，从而破坏光路建立过程，阻塞相应地光连接请求或者降低相应的服务质量。

③重放攻击

重放攻击是指攻击者将截获到的RSVP-TE消息经过一段时间后再传给信息的接收者，达到破坏或欺骗的目的。

④伪造攻击

伪造攻击是指发送方并没有发送RSVP-TE信息给接收方，而接收方收到的信息是第三方即攻击者伪造的，如果接收方不能通过有效办法发现这一情况，那就有可能会出现严重的后果。例如攻击者可以伪造合法PathTear、ResvErr消息，使相应交换网元释放波长等资源的预留，影响光通路的建立和维护。

⑤拒绝服务攻击

拒绝服务(DoS)攻击是指攻击者使用某些策略或手段使传送网元不能使用或不可利用。例如，攻击者通过不正常手段或滥发PATH或RESV消息使光链路上的波长等资源耗尽，以达到降低通信性能或破坏通信的目的。并且，这种攻击经过多个交换网元后攻击效果很可能被放大，以致使单个自治域或整个光传送网络的服务质量大大降低。

(2)被动攻击

①窃听攻击

因为传送控制信息的网络(控制网络)一般是和数据传送网络物理上分离的网络，当然也可以是同一个网络。当信令信息在控制网络传输过程中，攻击者可能通过相关设施截获这些信号，分析出消息的内容，从而达到窃听的目的，这也是发动其它相关攻击的第一步。因为这种攻击并不会导致通信有任何改变，所以它们非常难以检测。

②通信量分析

通信量分析是指攻击者截获信令消息后，即使无法从消息中提取出信息，但仍然有可能观察出这些信令消息的模式，测定出光通信终端的位置和标识，观察出被交换消息的频率和长度。这些消息对猜测正在发生的通信的性质是有用的。对付通信量分析攻击应该重在防范而不是检测。

目前，关于ASON安全问题的研究刚刚起步，2008年IETF公布了GMPLS网络安全草案，该草案从用户和服务提供商的角度描述了包括信令技术在内的光网络控制平面的安全威胁和整体防范对策。文献(吴启武，周贤伟，尹志忠.基于GMPLS的智能光网络安全问题研究.光通信技术[J]，2008，23(6)：10-14)描述了智能光网络中的安全问题，建立了相应的安全威胁模型和提出了相应的安全防范策略。另外，目前针对RSVP信令协议安全机制的研究已经取得了一定的进展。例如，在RFC 2747中提出了一种依赖于RSVP内在完整性对象支持的Hop-by-Hop保护机制，可提供完整性检测和重放保护，但它不能解决内部攻击问题且性能开销较大。文献(Wu T L，Wu S F，and Gong F M.Securing QoS：Threats to RSVP Messages and TheirCountermeasures[C].in：Proc.Of IWQoS，IEEE，1999，62-64)提出了一种SDS/CD(SelectiveDigital Signature with Conflict Detection)攻击防范对策，即通过使用数字签名和完整性检测，实现对RSVP消息的端到端保护，它解决了Hop-by-Hop保护机制中不能防范的内部攻击问题。但是SDS/CD没有解决重放攻击和RESV中Rspec对象的实时性反馈问题，并且缺少相应的密钥管理机制。文献(Talwar V，Nahrstedt K，and Gong F.RSVP-SQOS：a secure RSVP protocol[C].In：Proc.of IEEE International Conference on Multimedia and Expo(ICME2001)，Tokyo，2001，579-582)提出了一种RSVP-SQoS安全协议，使RSVP消息在子网内和子网间经历不同的安全保护。与Hop-by-Hop保护机制和SDS/CD方法相比，它是在性能上介于这两者之间的一个折衷安全解决方案，其扩展性较强但开销较大。另外，在国内外专利中暂时还没有涉及光网络控制平面安全技术的发明专利。

综上所述，一方面目前针对信令协议RSVP的安全机制还很不完善，且难以在安全性和性能之间取得一种可接受的平衡。因此，随着DWDM技术的发展，光网络传输的信息量十分巨大，如何以较小的代价来安全准确地建立一条从源端到目的端之间的光通路，成了构建下一代光网络的关键因素，也正是本发明要解决的关键问题。

发明内容：

本发明的目的在于提供一种基于自动交换光网络的安全光路建立方法，以较小的代价保证源端到目的端之间光通路建立的安全。为了达到这一目标，本发明针对ASON光路建立过程中面临的安全威胁，利用攻击预防和入侵检测的原理，克服现有解决方案的不足，提出了一种高效的安全光路建立方法(SLEM，Secure Lightpath Establishment Method)。该方法在保证光通路安全建立的同时，具有光通路建立快、攻击检测时间短、消息负载较低的特点。下面分别对SLEM中的波长预留策略、密钥管理过程、安全光路建立过程进行描述。

一、波长预留策略

波长预留策略基本可分为前向波长预留和后向波长预留两大类。针对这两类预留策略的不足，目前有人提出了综合的波长预留策略，这种策略充分利用了前向预留和后向预留的优点，性能较为理想。SLEM通过改进现有的综合波长预留策略，入口节点开始尝试预留空闲波长集合中的某个波长，如果到下游节点发现此波长仍然可用，继续保持预留。一旦发现此波长被占用，中间节点则向各上游节点发送信令消息来取消相应波长的预留，为其它的连接请求提供更多的波长资源预留机会，然后重新按照后向波长预留过程处理，且在此过程中不再做其他波长的预留。

二、安全光路建立过程

安全光路建立方法SLEM利用攻击预防和入侵检测的原理，对RSVP-TE消息中的不变对象进行数字签名及验证，使用消息反馈机制对Adspec和Rspec等重要可变QoS对象实施对节点的恶意或自私行为检测，下面对SLEM过程进行描述。

(1)波长交换网络的入口节点(Ingress Node)接收到来自客户网络的连接请求以后，计算显示路由和确定空闲波长，并用本节点的私钥对PATH消息中的恒定不变对象如序列号Number、业务流特征参数Tspec等进行数字签名，并将与描述QoS相关的Adspec、空闲波长集合、显示路由等可变对象封装在PATH中。在将PATH消息发往下一个节点的同时，从空闲波长集合中选出一空闲波长λ^*进行预留，并对已经预留的波长λ^*作特定标记。

(2)当中间节点收到PATH消息后，执行下面的攻击检测与波长预留过程。其中，对PATH_ERR消息也实施同样的数字签名保护。其中，Find-PublicKey()表示在本地数据库中查找公钥，Verify-Signature()表示数字签名验证。其步骤如图3所示。

/＊攻击检测与波长预留过程＊/STEP 1：IF(Find-PublicKey(NodeID)＝TRUE)THENPK＝Find-PublicKey(NodeID)；ELSEGOTO STEP4；END IFSTEP 2：IF Message sequence is not new THENGOTO STEP4；END IFSTEP 3：IF(Verify-Signature(PATH，PK)＝TRUE)THEN/*波长预留策略开始*/L_S＝Receive_Label_Set∩Node_Label_Set；IFλ＊is free in L_S THENReservation λ＊ Successfully；ELSESend PATH_ERR to up node for wavelength release；END IF/*波长预留策略结束*/Update PATH QoS Object like Adspec；Forward PATH Message to down node；ELSE

GOTO STEP 4；END IFSTEP 4：Send security warning to local PDP；Decide whether send PATH_ERR and terminate the LightPath Setup ornot；/＊过程结束＊/

(3)当出口节点(Egress Node)收到PATH消息后，执行(2)中的攻击检测过程。若检测通过，出口节点继续判断特定波长λ^*是否空闲，若λ^*空闲，则选择此波长进行交叉连接操作，否则出口节点选择一个空闲波长开始交叉连接操作。最后，出口节点使用自己的私钥对Adspec(PATH)、空闲波长、Rspec等不变对象进行数字签名，然后封装在RESV消息中，向出口节点方向发送。

(4)当中间节点收到此RESV消息后，除了先执行(2)中攻击检测之外，同时检测收到的Adspec(PATH)对象值是否等于或小于自己转发给下游的封装在PATH消息中的Adspec(PATH)对象值，因为过大的Adspec很可能是攻击节点的引诱行为。若检测通过且RESV指示的波长空闲，中间节点将使用已经预留的波长或携带的空闲波长进行交叉连接操作。若指示的波长已占用或交叉连接失败，中间节点则向出口节点方向发送RESV_ERR消息，通知出口节点此波长的连接建立失败，同时告知返回路径上的其它节点进行相关资源的释放。其流程如图4所示。

(5)在中间节点处，若当一个流有多个接收者且多个接收者到发送者的路径汇集在一起时，可以把这些接收者的所要求的预留参数合并起来，即合并多个RESV消息，那么这个中间节点应将挑选出一个Rspec(RESV)值最大的RESV消息，并转发给上游节点，并进行合并标识。

(6)当RESV消息到达入口节点后，先执行与(4)中的类似攻击检测过程。若攻击检测通过且不存在预留合并的情况，那么此次光通路已经安全的成功建立。若验证通过且存在预留合并的情况，入口节点先利用建立好的光通路进行数据的传输，然后利用本节点的私钥对收到的Rspec(RESV)和其它不变对象进行数字签名，封装在RESV_CONFIRM消息中，并赋予此类RESV_CONFIRM消息以较高的转发优先权。中间节点收到此类消息后，对RESV_CONFIRM消息进行(2)中的攻击检测，并比较收到的Rspec(RESV)对象值是否大于或等于自己转发给上游的封装在RESV消息中的Rspec(RESV)对象值。若检测未通过，则发送警告消息给本地的策略决定中心，由其来确定是否丢弃此RESV_CONFIRM消息或发送连接拆卸的Tear消息。若检测通过，则继续转发，直至出口节点。

三、密钥管理过程

密钥管理作为一种技术和过程，它能够在光网络节点间提供密钥关系的建立和维护。SLEM协议使用基于公钥基础设施(PKI，Public Key Infrastructure)的密钥管理方案，其中主要的密钥管理过程描述如下：

(1)密钥产生阶段。在本协议中，每个光网络节点按照数字签名算法产生自己所需的公钥和私钥。并向证书机构(CA，Certificate Authority)申请CA签名的公钥证书，以保证公钥的真实性。

(2)密钥分发阶段。考虑到ASON中路由模块和信令模块强耦合的特点，所述方法利用OSPF-TE路由协议的特点，采用PKLSA(Public Key Link State Advertisement)类型的报文来分发每个节点的公钥证书，公钥证书到达每个节点后，如果对CA的签名验证通过，节点将此证书保存至该节点的公钥数据库中。PKLSA报文的格式如图2所示。

(3)密钥更新阶段。在密钥更新中，本方法采用定时更新和事件激活相结合的方式来引发密钥更新操作。

(4)密钥存储阶段。设计了一种类似数据库的PublicCertMap的数据结构来存储收到的每个节点的公钥证书，利用它可以灵活地删除、插入、查找、更新证书。对私钥采取加密和保护存储。

四、安全光路建立方法分析

下面将对SLEM的安全性、时间复杂度和消息复杂度进行分析。

1)安全性分析

①完整性保护。SLEM通过对消息中不变对象的消息摘要进行数字签名及验证，来检测来自外部和内部的消息篡改攻击，进行消息完整性保护。

②防止内部节点的恶意行为。SLEM使用了对重要可变对象实施反馈比较的机制，保证客户网络获得的真实的QoS，防止内部节点对重要QoS参数的恶意篡改。

③重放保护。通过递增消息序列号的使用，可防止RSVP-TE消息的重放攻击。

④防止伪造消息。协议使用了基于数字签名的消息源认证机制，可确认消息来自正确的发送方。

2)复杂度分析

(1)时间复杂度

设N为ASON中的节点个数，n为内部恶意节点(修改可变对象)距离入口节点的跳数，L为PATH消息中空闲波长的个数，T_t为网络中经历一跳所需的平均时间，T_p为节点内部前向处理和后向处理过程的平均处理时间，包括数字签名、波长预留、光交叉连接建立或配置等。为了简单起见，这里假设节点的数字签名过程及签名验证过程的所需时间相同。这样，一个光通路建立所需时间T为消息传输时间和消息处理时间之和。

①光通路建立时间。SLEM的光通路最短建立时间T＝(2×N-2)×T_t+(2×N-1)×T_p，即一次信令发起和响应过程可成功完成光路的建立。光通路最长建立时间T＝(2×N-2)×T_t+(2×N-1)×T_p+(N-2)×2×(L-2)×T_t+(N-2)×2×(L-2)×T_p＝(4×N×L-2×N-4×L+6)×T_t+(4×N×L-2×N-4×L+7)×T_p。

②攻击检测时间。设n为篡改可变对象的恶意节点距离入口节点的跳数。若恶意节点篡改可变对象的内容，则攻击检测时间T＝(2×N-n-1)×T_t+(2×N-n)×T_p，即当反馈消息到达恶意节点的前一个节点后，便可以检测出恶意节点的非法篡改行为。若恶意节点篡改不变对象的内容，则攻击检测时间T≤T_t+T_p，即在下一个节点的攻击检测过程中便可检测出此攻击。

因为T_t和T_p均为统计后的平均时间，即为常量，所以SLEM光通路建立的时间复杂度和攻击检测的时间复杂度均为O(N)，其中N为网络中节点个数。

(2)消息复杂度

由于SLEM充分利用了原有RSVP-TE信令协议的消息及过程，没有增加额外的信令消息，只是对信令消息进行了扩展，所以在信令基本协议部分，与原来的RSVP-TE相比，其消息复杂度保持不变。但在所需的相关密钥管理中，本协议使用了OSPF-TE路由协议的PKLSA报文，由于PKLSA利用了OSPF-TE消息泛洪的特点，这样网络中PKLSA消息交换的复杂度至多为O(N*N)，其中N为网络中节点的个数。

综上所述，该方法在保证光通路安全建立的同时，具有光通路建立快、攻击检测时间短、消息负载较低的特点。

附图说明：

图1扩展的ASON控制平面功能模块之间的关系图。

图2设计的PKLSA消息的格式。

图3前向过程的攻击检测流程。

图4后向过程的攻击检测流程。

图5波长前向成功预留的情形。

图6波长后向成功预留的情形。

具体实施方式：

目标网络的每个节点在初始化时通过运行OSPF-TE协议已经得到了其它节点的公钥信息。在光路建立过程中，图5描述的是一种理想的情况，该情形中所有节点都合法，不存在对QoS相关的Adspec和Rspec等可变对象的恶意篡改行为，并且前向波长成功。

在光路建立过程中，图6描述的是由于在节点C处检测到前向波长预留失败或检测到不变对象的完整性遭到破坏，而发送PATH_ERR消息。在后继过程，由于在节点B处利用携带的波长建立交叉连接失败或检测到不变对象的完整性遭到破坏，而发送RESV_ERR消息。在图5和图6中，若遇到预留合并的情况，还必须通过RESV_CONFIRM消息来检测合并节点是否选择了Rspec值最大的RESV消息进行转发。

在具体实施中，各消息报文的内容如下：

PATH::＝((Seri，other constant object)privA，Adspec，Lable_set(i))。

PATH_ERR::＝(Seri，other constant object)privC

RESV::＝((Seri，λ^*，Adspec，Rspec，other constant object)privD)

RESV_ERR::＝(Seri，other constant object)privB

RESV_CONF::＝((Num，Rspec，other constant object)privA)

另外，ASON中的节点个数N为4，设C节点为内部恶意节点，即距离入口节点的跳数n为2，PATH消息中空闲波长的个数L为5，为网络中经历一跳所需的平均时间Tt为0.1秒，节点内部前向处理和后向处理过程的平均处理时间Tp为0.2秒。

①光通路建立时间。SLEM的最小光通路建立时间T＝(2×N-2)×Tt+(2×N-1)×Tp＝(2×4-2)×0.1+(2×4-1)×0.2＝2.0秒，最大建立时间T＝(4×N×L-2×N-4×L+2)×Tt+(4×N×L-2×N-4×L+3)×Tp＝58×Tt+59×Tp＝17.6秒。

②攻击检测时间。因为修改可变对象的恶意节点距离入口节点的跳数n为2，则攻击检测时间T＝(2×N-n-1)×Tt+(2×N-n)×Tp＝1.7秒。若恶意节点修改不变对象的内容，则攻击检测时间T≤Tt+Tp＝0.3。可见SLEM的时间复杂度为线性阶O(0.3)，复杂度较低。

(2)消息复杂度

由于SLEM充分利用了原有RSVP-TE信令协议的消息，没有增加额外的信令消息，只是对信令消息进行了扩展。在密钥管理中，使用了OSPF-TE路由协议的PKLSA报文，这样波长交换网络将至少需要额外产生4个PKLSA报文和7个相应的ACK报文。

Claims (3)

1.一种基于自动交换光网络的安全光路建立方法，其特征在于：方法包括以下步骤：

步骤一、通过密钥管理，节点波长交换网络的入口节点接收到来自客户网络的连接请求以后，计算显示路由和确定空闲波长，并用本节点的私钥对PATH消息中的恒定不变对象进行数字签名，并将与描述QoS相关的可变对象封装在PATH中，在将PATH消息发往下一个节点的同时，从空闲波长集合中选出一空闲波长λ^*进行预留，并对已经预留的波长λ^*作特定标记；

步骤二、当中间节点收到PATH消息后，执行攻击检测与波长预留过程，其中，对PATH_ERR消息实施数字签名保护；

步骤三、当出口节点收到PATH消息后，执行攻击检测过程，若检测通过，出口节点继续判断特定波长λ^*是否空闲，若λ^*空闲，则选择此波长进行交叉连接操作；若λ^*没有空闲，则出口节点选择一个空闲波长开始交叉连接操作；出口节点使用自己的私钥对不变对象进行数字签名，然后封装在RESV消息中，向出口节点方向发送；

步骤四、当中间节点收到此RESV消息后，执行攻击检测过程，同时检测收到的Adspec(PATH)对象值是否等于或小于自己转发给下游的封装在PATH消息中的Adspec(PATH)对象值；若检测通过且RESV指示的波长空闲，中间节点将使用已经预留的波长或携带的空闲波长进行交叉连接操作；若指示的波长已占用或交叉连接失败，中间节点则向出口节点方向发送RESV_ERR消息，通知出口节点此波长的连接建立失败，同时告知返回路径上的其它节点进行相关资源的释放；

步骤五、在中间节点处，若当一个流有多个接收者且多个接收者到发送者的路径汇集在一起时，把这些接收者的所要求的预留参数合并起来，那么这个中间节点将挑选出一个Rspec(RESV)值最大的RESV消息，并转发给上游节点，并进行合并标识；

步骤六、当RESV消息到达入口节点后，执行攻击检测过程，若攻击检测通过且不存在预留参数合并的情况，那么此次光通路已经安全的成功建立，若检测通过且存在预留参数合并的情况，入口节点先利用建立好的光通路进行数据的传输，然后利用本节点的私钥对收到的Rspec(RESV)和其它不变对象进行数字签名，封装在RESV_CONFIRM消息中，并赋予此类RESV_CONFIRM消息以较高的转发优先权；中间节点收到此类消息后，对RESV_CONFIRM消息执行攻击检测过程，并比较收到的Rspec(RESV)对象值是否大于或等于自己转发给上游的封装在RESV消息中的Rspec(RESV)对象值；若检测未通过，则发送警告消息给本地的策略决定中心，由其来确定是否丢弃此RESV_CONFIRM消息或发送连接拆卸的Tear消息；若检测通过，则继续转发，直至出口节点。

2.如权利要求1所述方法，其特征在于：所述步骤一中，除对不变对象进行了数字签名外，同时使用了综合的波长预留策略。

3.如权利要求1所述方法，其特征在于：所述步骤二中，攻击检测所需的节点公钥，根据自动交换光网络中路由模块和信令模块强耦合的特点，这些公钥通过OSPF-TE的PKLSA报文来进行传递。

Images