CN102811196B - 自动交换光网络中的网络安全保护方法、装置和系统 - Google Patents
自动交换光网络中的网络安全保护方法、装置和系统 Download PDFInfo
- Publication number
- CN102811196B CN102811196B CN201110142387.0A CN201110142387A CN102811196B CN 102811196 B CN102811196 B CN 102811196B CN 201110142387 A CN201110142387 A CN 201110142387A CN 102811196 B CN102811196 B CN 102811196B
- Authority
- CN
- China
- Prior art keywords
- network element
- network
- ason
- authentication code
- dangerous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种自动交换光网络中的网络安全保护方法、装置和系统。涉及通信技术领域;解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。该方法包括:在检测到攻击行为时,锁定发出所述攻击行为的危险网元;自动对所述危险网元威胁到的可信任域中的网元进行加密。本发明提供的技术方案适用于自动交换光网络,实现了自动高效的网元通信加密。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种自动交换光网络(ASON:AutomaticSwitched Optical Network)中的网络安全保护方法、装置和系统。
背景技术
ASON是近年来光网络领域研究的热点,是用控制平面(CP:Control Plane)来控制完成自动交换和连接控制的光传送网,遵循国际电信联盟(TIU-T)标准G.8080。
自动交换光网络的诸多应用功能,如业务建立,动态重路由、软重路由、业务删除等都是借助协议实现的,其中最常用的是OSPF(开放式最短路径优先)协议和RSVP(资源预留协议)协议。网元通过OSPF泛洪获取全网TE链路信息,通过RSVP协议建立LSR(标签交换路径)从而完成业务端到端的建立,某种程度上说,协议是ASON功能的开关,协议交互是否正常决定了ASON功能是否可用。
自动交换光网络借助协议的同时,也带来了一些安全方面的隐患,OSPF、RSVP等协议的交互是否是私有的,能否在公网上截获相关报文,是否能构造报文以假乱真,某一个ASON网元被破解,是否能对整个网络实施瘫痪式攻击,能否隔离被破解的网元......种种安全问题都是用户非常关切的,对于一些特殊行业的用户,如军队更是如此。如何解决这些问题,是ASON技术的重要研究课题。
现有技术是当网络异常时,采用协议加密的方式防范攻击。具体步骤是,首先人工判定危险网元(被破解的网元,或有攻击或欺骗等恶意行为的网元),然后对正常网络逐一手工设置协议认证码,用认证码切断正常网元和危险网元的联系通道来隔离攻击源。认证码相同的网元协议可以正常交互,认证码不同或一方有认证码一方无认证码的网元之间协议不能正常交互。现有技术提供了隔离网络中被破解网元的手段,但也有很多缺陷。首先,需要人为判断全网中的危险网元,不具备实时性,可能当危险网元攻击ASON造成很大损失后才发现,导致补救措施滞后;第二,网络规模很大的情况下,逐个设置认证码费时费力,效率低下,如果想隔离成多个子网,改动的数据量更多,更容易出错。综上,现有技术中使用人工判定危险网元并设置协议认证码,响应速度慢,保护效率低下,安全保护效果较差。
发明内容
本发明提供了一种ASON中的网络安全保护方法、装置和系统,解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。
一种ASON中的网络安全保护方法,包括:
在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的,所述攻击行为包括以下所列行为中的一种或任意多种的组合:
更改网元的协议参数、大范围实施资源预留、更改控制平面邻居关系、一次性发起大批量业务建立、发大量的报文阻塞ASON控制通道。
优选的,所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括:
自动生成适用于所述可信任域的协议认证码;
以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
优选的,上述自动交换光网络中的网络安全保护方法还包括:
所述可信任域内的网元在接收到携带有所述协议认证码的广播时,采用所述协议认证码进行加密。
优选的,上述自动交换光网络中的网络安全保护方法还包括:
反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。
本发明还提供了一种自动交换光网络中的网络安全保护装置,包括:
监控模块,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
处理模块,用于自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的,所述处理模块包括:
认证码生成单元,用于自动生成适用于所述可信任域的协议认证码;
广播单元,用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
优选的,上述网络安全保护装置还包括:
反馈模块,用于反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。
本发明还提供了一种自动交换光网络中的网络安全保护系统,该系统包括自动交换光网络中的网络安全保护装置和该装置保护下的可信任域,所述可信任域包括至少一个网元,所述自动交换光网络中的网络安全保护装置通过所述可信息域中的接入网元接入所述可信任域;
所述自动交换光网络中的网络安全保护装置,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的所述可信任域中的网元进行加密。
优选的,所述自动交换光网络中的网络安全保护装置自动对所述危险网元威胁到的所述可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码,以协议广播的方式将所述协议认证码通知所述可信任域内的网元;
所述可信任域中的网元,用于在接收到所述自动交换光网络中的网络安全保护装置发送的携带有所述协议认证码的广播时,采用所述协议认证码进行加密。
本发明提供了一种ASON中的网络安全保护方法、装置和系统,在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的可信任域中的网元进行加密,由系统自动完成替代了人工设置,响应速度快,加密效率高,解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。
附图说明
图1为本发明的实施例一提供的一种ASON中的网络安全保护装置的结构示意图;
图2为图1中处理模块102的内部结构示意图;
图3为本发明的实施例一提供的又一种ASON中的网络安全保护装置的结构示意图;
图4为本发明的实施例一提供的一种ASON中的网络安全保护系统的结构示意图;
图5为本发明的实施例二提供的一种ASON中的网络安全保护方法的流程图。
具体实施方式
现有技术中使用人工判定危险网元并设置协议认证码,响应速度慢,保护效率低下,安全保护效果较差。
为了解决上述问题,本发明的实施例提出了一种ASON中的网络安全保护方法、装置和系统,支持内置安全策略判定危险网元,并能自动生成协议认证码加密网络中的正常网元,免除了诸多繁琐的人工操作,保证了攻击防御的实时性,增强了网络的安全性,提升了用户管理网络的效率。
下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种ASON中的网络安全保护装置,该装置的结构如图1所示,包括:
监控模块101,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
处理模块102,用于自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的,所述处理模块102的结构如图2所示,包括:
认证码生成单元1021,用于自动生成适用于所述可信任域的协议认证码;
广播单元1022,用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
优选的,上述ASON中的网络安全保护装置如图3所示,还包括:
反馈模块103,用于反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。
本发明实施例还提供了一种ASON中的网络安全保护系统,该系系结构如图4所示,包括上述ASON中的网络安全保护装置401和该装置保护下的可信任域402,所述可信任域402包括至少一个网元,所述ASON中的网络安全保护装置401通过所述可信息域中的接入网元403接入所述可信任域;
所述ASON中的网络安全保护装置401,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的所述可信任域402中的网元进行加密。
优选的,所述ASON中的网络安全保护装置401自动对所述危险网元威胁到的所述可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码,以协议广播的方式将所述协议认证码通知所述可信任域402内的网元;
所述可信任域402中的网元,用于在接收到所述ASON中的网络安全保护装置401发送的携带有所述协议认证码的广播时,采用所述协议认证码进行加密。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种ASON中的网络安全保护方法,该方法使用本发明的实施例一中提供的ASON中的网络安全保护装置,以本发明的实施例一提供的ASON中的网络安全保护系统为应用环境,ASON中的网络安全保护装置上置有一个网络接口,通过该网络接口,ASON中的网络安全保护装置直连至ASON中任意一个网元,再通过该网元访问整个ASON,直连的网元称为接入网元。结合本发明的实施例一,使用本发明实施例提供的ASON中的网络安全保护方法完成自动检测危险网元并对可信任域中的网元进行加密的流程如图5所示,包括:
步骤501、在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
本步骤中,监控模块负责实时监控ASON的运行状况。当网络中出现攻击行为时,监控模块根据内置安全策略锁定危险网元并通知处理模块自动加密可信任域(可信任域是指ASON中除了危险网元之外的网元集),保护可信任域中的网元免受危险网元的攻击。监控模块的内置安全策略是一组危险网元攻击行为的判定条件,包括但不限于以下所列行为的一种或多种的组合:
1、更改网元的协议参数,如ospf hello消息间隔,rsvp restart time等;
2、大范围实施资源预留,更改控制平面和传送平面资源归属;
3、更改控制平面邻居关系;
4、一次性发起大批量业务建立,如导致网络容量达到50%以上;
5、发大量的报文阻塞ASON控制通道等。
优选的,对ASON中攻击行为的检测可由外部操作人员控制启动。
步骤502、自动对所述危险网元威胁到的可信任域中的网元进行加密;
处理模块负责自动加密可信任域,以保护可信任域的安全。当网络中出现危险网元时,处理模块接收监控模块的通知,自动生成适用于所述可信任域的协议认证码,并以协议广播的方式通知可信任域内的网元采用最新协议认证码加密,从而隔离危险网元。
所述可信任域内的网元在接收到携带有所述协议认证码的广播时,即采用所述协议认证码对后续的通信进行加密,与任何网元通信都通过该协议认证码认证,只有同一认证码才能互相通信,互相通信成功后即可认定对方是可信任的网元。
可选的,可信任域内的网元还可以在通过该协议认证码加密成功后,向所述网络安全保护装置反馈加密成功。
步骤503、反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功;
本步骤,可向用户反馈网络运行状态,是否存在危险网元,是否自动加密成功等。
本发明的实施例提供的ASON中的网络安全保护装置和系统,能够与本发明的实施例提供的一种处理单元ASON中的网络安全保护方法相结合,在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的可信任域中的网元进行加密,由系统自动完成替代了人工设置,响应速度快,加密效率高,解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。根据内置安全策略判定ASON中的危险网元,并在可信任域(网络中除开危险网元的网元集合)内以广播的方式自动加密网络,从而达到隔离危险网元,保护正常网元不受攻击的效果。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
Claims (7)
1.一种自动交换光网络中的网络安全保护方法,其特征在于,包括:
在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
自动对所述危险网元威胁到的可信任域中的网元进行加密;
所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括:
自动生成适用于所述可信任域的协议认证码;
以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
2.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,所述攻击行为包括以下所列行为中的一种或任意多种的组合:
更改网元的协议参数、大范围实施资源预留、更改控制平面邻居关系、一次性发起大批量业务建立、发大量的报文阻塞自动交换光网络ASON控制通道。
3.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,该方法还包括:
所述可信任域内的网元在接收到携带有所述协议认证码的广播时,采用所述协议认证码进行加密。
4.根据权利要求1所述的自动交换光网络中的网络安全保护方法,其特征在于,该方法还包括:
反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。
5.一种自动交换光网络中的网络安全保护装置,其特征在于,包括:
监控模块,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元;
处理模块,用于自动对所述危险网元威胁到的可信任域中的网元进行加密;
所述处理模块包括:
认证码生成单元,用于自动生成适用于所述可信任域的协议认证码;
广播单元,用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
6.根据权利要求5所述的自动交换光网络中的网络安全保护装置,其特征在于,该装置还包括:
反馈模块,用于反馈网络运行状态,所述网络运行状态包括是否存在危险网元及是否自动加密成功。
7.一种自动交换光网络中的网络安全保护系统,其特征在于,该系统包括自动交换光网络中的网络安全保护装置和该装置保护下的可信任域,所述可信任域包括至少一个网元,所述自动交换光网络中的网络安全保护装置通过所述可信任域中的接入网元接入所述可信任域;
所述自动交换光网络中的网络安全保护装置,用于在检测到攻击行为时,锁定发出所述攻击行为的危险网元,并自动对所述危险网元威胁到的所述可信任域中的网元进行加密;
所述自动交换光网络中的网络安全保护装置自动对所述危险网元威胁到的所述可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码,以协议广播的方式将所述协议认证码通知所述可信任域内的网元;
所述可信任域中的网元,用于在接收到所述自动交换光网络中的网络安全保护装置发送的携带有所述协议认证码的广播时,采用所述协议认证码进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110142387.0A CN102811196B (zh) | 2011-05-30 | 2011-05-30 | 自动交换光网络中的网络安全保护方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110142387.0A CN102811196B (zh) | 2011-05-30 | 2011-05-30 | 自动交换光网络中的网络安全保护方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102811196A CN102811196A (zh) | 2012-12-05 |
| CN102811196B true CN102811196B (zh) | 2016-12-21 |
Family
ID=47234774
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110142387.0A Expired - Fee Related CN102811196B (zh) | 2011-05-30 | 2011-05-30 | 自动交换光网络中的网络安全保护方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102811196B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656984B (zh) * | 2016-10-31 | 2019-10-01 | 美的智慧家居科技有限公司 | 局域网内设备的安全操控方法、系统及其设备 |
| CN109039612B (zh) * | 2018-09-11 | 2021-03-12 | 北京智芯微电子科技有限公司 | 软件定义光网络的安全交互方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2363743A1 (en) * | 2000-11-28 | 2002-05-28 | Hubbell Incorporated | Fault interrupter using microcontroller for fault sensing and automatic self-testing |
| CN101515827A (zh) * | 2009-03-31 | 2009-08-26 | 中兴通讯股份有限公司 | 一种自动交换光网络业务错联阻错的方法及系统 |
| CN101547102A (zh) * | 2008-11-26 | 2009-09-30 | 邵峰晶 | 一种内部网络化的新型计算机体系结构及装置 |
| CN101616340A (zh) * | 2009-07-31 | 2009-12-30 | 北京科技大学 | 一种基于自动交换光网络的安全光路建立方法 |
| CN101621427A (zh) * | 2008-07-04 | 2010-01-06 | 阿尔卡特朗讯 | 用于通信网络的防入侵方法和系统 |
| CN101883298A (zh) * | 2010-06-30 | 2010-11-10 | 烽火通信科技股份有限公司 | 自动交换光网络中控制平面故障隔离的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
-
2011
- 2011-05-30 CN CN201110142387.0A patent/CN102811196B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2363743A1 (en) * | 2000-11-28 | 2002-05-28 | Hubbell Incorporated | Fault interrupter using microcontroller for fault sensing and automatic self-testing |
| CN101621427A (zh) * | 2008-07-04 | 2010-01-06 | 阿尔卡特朗讯 | 用于通信网络的防入侵方法和系统 |
| CN101547102A (zh) * | 2008-11-26 | 2009-09-30 | 邵峰晶 | 一种内部网络化的新型计算机体系结构及装置 |
| CN101515827A (zh) * | 2009-03-31 | 2009-08-26 | 中兴通讯股份有限公司 | 一种自动交换光网络业务错联阻错的方法及系统 |
| CN101616340A (zh) * | 2009-07-31 | 2009-12-30 | 北京科技大学 | 一种基于自动交换光网络的安全光路建立方法 |
| CN101883298A (zh) * | 2010-06-30 | 2010-11-10 | 烽火通信科技股份有限公司 | 自动交换光网络中控制平面故障隔离的方法 |
Non-Patent Citations (3)
| Title |
|---|
| 吴启武等.基于GMPLS的智能光网络安全问题研究.《光通信技术》.2008,(第6期), * |
| 基于智能光网络的链路管理安全机制研究;刘涛等;《光通信技术》;20090815(第8期);第28-31页 * |
| 赵永利.多层多域智能光网络关键技术研究.《万方学位论文库》.2010, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102811196A (zh) | 2012-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AlDairi | Cyber security attacks on smart cities and associated mobile technologies | |
| CN103283202B (zh) | 用于针对恶意软件的网络级保护的系统和方法 | |
| Gan et al. | Internet of things security analysis | |
| CN101111053B (zh) | 移动网络中防御网络攻击的系统和方法 | |
| CN101496025B (zh) | 用于向移动设备提供网络安全的系统和方法 | |
| Schmoyer et al. | Wireless intrusion detection and response: a classic study using main-in-the-middle attack | |
| CN114448727B (zh) | 基于工业互联网标识解析体系的信息处理方法及系统 | |
| Qiu et al. | Study on Security and Privacy in 5G‐Enabled Applications | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和系统 | |
| CN101595694A (zh) | 用于无线网络的入侵预防系统 | |
| CN102970276B (zh) | 基于隔离技术的电力专用移动终端安全工作的实现方法 | |
| KR101480443B1 (ko) | 하이브리드 망 분리 시스템 및 그 방법 | |
| CN102811196B (zh) | 自动交换光网络中的网络安全保护方法、装置和系统 | |
| Wang et al. | A data plane security model of SR-BE/TE based on zero-trust architecture | |
| Liang et al. | Collaborative intrusion detection as a service in cloud computing environment | |
| Guo et al. | A novel medical internet of things perception system based on visual image encryption and intrusion detection | |
| Alkaeed et al. | Distributed framework via block-chain smart contracts for smart grid systems against cyber-attacks | |
| Gandotra et al. | Identifying security requirements hybrid technique | |
| Metere et al. | An Overview of Cyber Security and Privacy on the Electric Vehicle Charging Infrastructure | |
| Grottke et al. | WAP: Models and metrics for the assessment of critical-infrastructure-targeted malware campaigns | |
| Hossain-McKenzie et al. | Cybersecurity of networked microgrids: Challenges potential solutions and future directions | |
| AMMARI et al. | MOBILE SECURITY: SECURITY MECHANISMS AND PROTECTION OF MOBILE APPLICATIONS. | |
| EP3361696A1 (en) | A method for securely exchanging link discovery information | |
| Das et al. | Smart City Vulnerabilities: An Overview | |
| Subrahmanyam et al. | Network security architecture for demand response/sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161221 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |