CN107135152B - 一种分组传送网中传输关键信息的安全加固方法 - Google Patents

一种分组传送网中传输关键信息的安全加固方法 Download PDF

Info

Publication number
CN107135152B
CN107135152B CN201710261471.1A CN201710261471A CN107135152B CN 107135152 B CN107135152 B CN 107135152B CN 201710261471 A CN201710261471 A CN 201710261471A CN 107135152 B CN107135152 B CN 107135152B
Authority
CN
China
Prior art keywords
node
data
sending
receiving
key information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710261471.1A
Other languages
English (en)
Other versions
CN107135152A (zh
Inventor
丁明吉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 34 Research Institute
Original Assignee
CETC 34 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 34 Research Institute filed Critical CETC 34 Research Institute
Priority to CN201710261471.1A priority Critical patent/CN107135152B/zh
Publication of CN107135152A publication Critical patent/CN107135152A/zh
Application granted granted Critical
Publication of CN107135152B publication Critical patent/CN107135152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本发明为一种分组传送网中传输关键信息的安全加固方法,步骤如下:1、确定信息收发方向的不同传输路径;2、接收节点约定关键信息数据间插、交织及加密方式;3、数据封装形成N个数据包并间插形成n个新数据包;4、收发节点建立网络连接;5、新数据包加MPLS标签和顺序号;6、交织和加密处理;7、发送节点按发送方向路径传输处理后的数据包;8、接收节点解密解交织及反间插还原关键信息数据包。本发明数据间插使一个数据包中不再有序地包含完整的数据段,打乱了各数据包中包含的信息;即使传输链路被窃听数据包被截获,也不会造成数据泄密;发送和接收方向的物理路径不同,有效增强了分组传送网传输关键信息的安全和保密性。

Description

一种分组传送网中传输关键信息的安全加固方法
技术领域
本发明涉及通信领域,具体为适用于MPLS-TP的一种分组传送网中传输关键信息的安全加固方法。
背景技术
MPLS为多协议标签交换,是英语Multi-Protocol Label Switching的缩写,TP为传输协议,为英语Transport Profile的缩写。基于MPLS-TP技术的分组传送网,即PTN(Packet Transport Network)网络是适应通信业务IP化、网络分组化的当前的主流技术,由IETF/ITU-T负责相关标准的制定。MPLS-TP技术对多协议标签交换、伪线(MPLS/PW)技术进行了简化和改造,引入了传送网分层、OAM和线性保护等概念,符合传送网的需求。作为一种面向连接的分组传送技术,MPLS-TP由数据平面、管理平面和控制平面组成,建立了端到端的、面向连接的分组传送管道。在传送网络中,MPLS-TP将客户信号映射进MPLS帧并利用MPLS机制(例如标签交换、标签堆栈)进行转发,通过查找标签转发表,进行相应的标签操作,转发数据包。同时增加了传送层的基本功能,例如连接和性能监测、生存性、管理和控制。
在分组传送网PTN中,有些数据信息为网络关键敏感信息,如重要用户(政要或公众人物)个人隐私资料、银行系统金融数据等,这类关键敏感信息在传输过程中必须保证安全、保密。但目前的分组传送网中尚未有针对此类信息传输过程的特殊的安全加固手段,无法确保重要的关键信息在传输过程中不会被截获,或者他人截获了传输中的此类信息也无法识别,以防止关键信息的泄密。为了切实维护重要网络用户的权益,需要开发一种分组传送网中传输关键信息的安全加固方法。
发明内容
本发明的目的是克服现有基于MPLS-TP的分组传送网PTN在传输重要用户关键信息的过程中存在的失泄密隐患问题,设计一种分组传送网中传输关键信息的安全加固方法,采用的安全保密手段包括逻辑层面的间插、交织及加密技术对数据包进行重组后发送,还有物理层面的采用不同的发送和接收传输路径,增加信息截获的难度,提高基于PTN网络传输关键信息的安全性和保密性。
本发明提供的一种分组传送网中传输关键信息的安全加固方法,主要步骤如下:
步骤1、确定信息收发的传输路径
当基于MPLS-TP的分组传送网PTN网络节点进行关键信息的传输时,由发送节点发起关键信息传输的请求,发送节点和接收节点分别确定各自的发送方向和接收方向网络路径,且发送方向和接收方向网络路径不相同。
当网络节点进行关键信息的传输时,发送节点和接收节点根据整个分组传送网的拓扑结构,计算二者之间的等价多路径(ECMP),得到发送节点和接收节点间的信息传输可用路由集合。发送节点和接收节点依据链路空闲程度以及跨越的节点数量确定各自不同的发送和接收网络路径,保证两个节点间的信息发送和接收方向所经过的物理路径不同。
步骤2、发送节点和接收节点之间的约定
步骤1完成后,发送节点通过步骤1确定的发送方向网络路径告知接收节点将要进行关键信息的传输;接收节点收到发送节点的告知后通过步骤1确定的接收方向网络路径向发送节点发送确认消息,并发送对关键信息进行数据间插方式、交织的顺序规律及数据包加密的加/解密算法的约定。
步骤3、数据包封装和数据间插
发送节点将关键信息数据封装形成N个数据包,根据步骤2接收节点约定的数据间插方式,发送节点对这N个数据包进行数据间插形成n个新数据包。
步骤4、建立网络连接
发送节点通过标签分发协议(LDP)按步骤1确定的发送方向路径建立与接收节点的网络连接。发送节点与相邻节点之间通过扩展的标签分发协议交互,包括:
相邻节点发现消息,确认相邻节点为直连对等节点;进行标签分发方式的常规参数协商;
向相邻节点请求分配标签;
相邻节点接受请求,为网络节点分配标签;
会话结束,拆除连接。
步骤5、新数据包的MPLS标签和顺序号
发送节点为步骤3间插处理后的n个新数据包封装,加上多协议标签交换(MPLS)标签,并依次加贴顺序号。接收节点在收到数据包以后按该顺序号辨别数据包的顺序。
步骤6、交织和加密处理
根据步骤2接收节点约定的交织的顺序规律及数据包加密的加/解密算法,发送节点对步骤5处理后的n个新数据包进行交织和加密处理。
步骤7、关键数据信息的发送
发送节点按步骤1确定的发送方向网络路径传输步骤6处理后的数据包。
发送节点查询网络路由信息表,通过扩展的标签分发协议与下一跳节点建立联系,并进行数据传输标签的分发。下一跳节点收到数据包后,识别MPLS标签并查阅路由信息表,如果目的节点为本节点时,则进行数据的接收处理;如果目的节点不是本节点,则根据路由信息表为数据包打上新的标签并发送到相邻的下一跳节点。以此类推,直至目的接收节点收到加密后的关键信息数据包。
步骤8、接收节点解密还原关键信息数据包
接收节点收到关键信息数据包后,首先依据步骤2约定的加密规律进行数据包的解密操作,然后依据约定的反交织矩阵及数据间插顺序规律,完成数据的解交织及反间插操作,最终恢复得到原始的关键信息数据包;传输过程结束。
步骤2所述数据间插包括数据包间插、信元间插及字节间插,最佳方案为字节间插,即比特间插。
与现有技术相比,本发明一种分组传送网中传输关键信息的安全加固方法的优点为:1、在发送节点对关键信息采用数据间插处理方式,特别是比特间插方式,使得一个数据包中不再有序地包含完整的数据段,每个数据段被有规律的分散到不同的新的数据包中,在一个数据包中不可能得到完整的数据段信息;而且间插处理以后,还要进行交织、加密处理,进一步打乱了数据包中包含的信息;即使发送方向传输链路被窃听而导致数据包被截获,只要不知道间插、交织的顺序规律,就无法反向重组恢复数据信息,不会造成数据的泄密;2、发送和接收方向的物理路径不同,间插、交织的顺序规律和加/解密算法的约定是由接收节点在接收方向的不同物理路径上传送给发送节点的,因此即使发送方向传输链路被窃听,也不能得到二节点之间的约定,大大降低了数据包被破译的可能性,有效增强了在分组传送网网路中传输关键信息的安全性和保密性能;3、本方法利用现有网络设备易于实现,改动小,可实现平滑升级,实现在开放的通信网上利用标签引导数据高速、高效并安全的传输。
附图说明
图1为本分组传送网中传输关键信息的安全加固方法实施例的流程图;
图2为本分组传送网中传输关键信息的安全加固方法实施例步骤1的网络路径示意图;
图3为本分组传送网中传输关键信息的安全加固方法实施例步骤3比特间插处理得到长数据段过程示意图;
图4为本分组传送网中传输关键信息的安全加固方法实施例步骤3比特间插得到的长数据段分为新数据包的过程示意图;
图5为本分组传送网中传输关键信息的安全加固方法实施例步骤5新数据包加MPLS标签和顺序号的过程示意图。
具体实施方式
下面将结合附图和实施例对本发明进行详细具体描述。
本分组传送网中传输关键信息的安全加固方法实施例的流程如图1所示,主要步骤如下:
步骤1、确定信息收发的传输路径
当基于MPLS-TP的分组传送网PTN网络节点进行关键信息的传输时,由发送节点发起关键信息传输的请求,发送节点和接收节点分别确定各自的发送方向和接收方向网络路径,且发送方向和接收方向网络路径不相同。
根据计算二者之间的等价多路径(ECMP)、得到发送节点和接收节点间的信息传输可用路由集合,保证两个节点间的信息发送和接收方向所经过的物理路径不同。
本例整个分组传送网的拓扑结构如图2所示,共包含10个分组传送网网络节点,采用MESH组网的方式实现网络互联。选定节点1为发送节点,节点7为接收节点。节点1至节点7的数据传输方向为发送方向,节点7至节点1的数据传输方向为接收方向。基于等价多路径(ECMP)技术,得到两个节点间的等价路径集合,包括路径1-5-6-7,路径1-5-6-4-7,路径1-2-3-4-7,路径1-2-6-10-7,路径1-8-9-10-7,路径1-8-3-4-7等等。发送节点和接收节点依据链路空闲程度和跨越节点数量的约束条件进行具体路径的选择,本例发送节点根据跳数最少的原则选择发送方向路径1-5-6-7,图2内实线箭头表示发送方向路径;接收节点根据链路实际带宽利用率最低的原则选择接收方向路径7-4-3-8-1,图2内虚线箭头表示接收方向路径。
步骤2、发送节点和接收节点之间的约定
步骤1完成后,发送节点通过步骤1确定的发送方向网络路径告知接收节点将要进行关键信息的传输;接收节点收到发送节点的告知后通过步骤1确定的接收方向网络路径向发送节点发送确认消息,并发送对关键信息进行数据间插方式、交织的顺序规律及数据包加密的加/解密算法的约定。在本实施例中选用比特间插。
步骤3、数据包封装和数据间插
作为发送节点的节点1将关键信息数据封装形成N个数据包,每个数据包均有n个字节。如图3左侧所示,数据包1包含字节11、12……1n,数据包2包含字节21、22……2n,……数据包N包含字节N1、N2……Nn。
根据步骤2接收节点约定的数据间插方式,发送节点对这N个数据包进行比特间插形成n个新数据包。
如图3所示,比特间插依次取关键信息的数据包1的第一个比特11,数据包2的第一个比特21,至数据包N的第一个比特N1,再取数据包1的第二个比特12,数据包2的第二个比特22,至数据包N的第二个比特N2;如此循环,直至数据包1的第n个比特1n,数据包2的第n个比特2n,至数据包N的第n个比特Nn,构成N×n个比特的长数据段,如图3右侧的数据段。
如图4所示,图4左侧为长数据段,按每个数据包N个字节将所得的长数据段顺序分段成如图4右侧的n个间插后的新数据包。
各新的数据包按规律掺和了各原数据包中的字节。间插处理后,各原数据包中的关键信息被分散于n个新数据包内,得到任何一个或多个新数据包无法得到待传输关键信息部分词或段的信息。即使得到完整的n个新数据包,如不掌握间插规律,也很难破解重组出关键信息。
步骤4、建立网络连接
发送节点通过标签分发协议(LDP)按步骤1确定的发送方向路径建立与接收节点的网络连接。发送节点与相邻节点之间通过扩展的标签分发协议交互,以作为发送节点的节点1与相邻节点5之间的网络连接为例,具体步骤如下:
41、节点1和节点5为相邻节点,二者发现对方消息,确认对方为直连对等节点;进行标签分发方式的常规参数协商;
42、节点1向节点5请求分配标签;
43、节点5接受请求,为节点1分配标签;二节点间进行数据传输;
44、会话结束,拆除节点1和5之间的链接。
其它节点之间的连接与其相似。
步骤5、新数据包的MPLS标签和顺序号
如图5所示,发送节点为步骤3间插处理后的n个新数据包封装,加上MPLS标签,并依次加贴顺序号。
步骤6、交织和加密处理
根据步骤2接收节点约定的交织的顺序规律及数据包加密的加/解密算法,发送节点对步骤5处理后的n个新数据包进行交织和加密处理。所述交织和加密处理为通用的通信技术,不再详述。
步骤7、关键数据信息的发送
发送节点按步骤1确定的发送方向网络路径传输步骤6处理后的数据包。
发送节点查询网络路由信息表,通过扩展的标签分发协议与下一跳节点建立联系,并进行数据传输标签的分发。下一跳节点收到数据包后,识别MPLS标签并查阅路由信息表,如果目的节点为本节点时,则进行数据的接收处理;如果目的节点不是本节点,则根据路由信息表为数据包打上新的标签并发送到相邻的下一跳节点。以此类推,直至目的接收节点收到加密后的关键信息数据包。
步骤8、接收节点解密还原关键信息数据包
作为接收节点的网络节点7收到关键信息数据包后,首先依据自身留存的步骤2约定的加密规律进行数据包的解密操作,然后依据约定的反交织矩阵完成数据的解交织处理,恢复得到图5中所示步骤6封装加标签和顺序号后的数据包。
去掉各数据包的包头MPLS转发标签,根据各数据包的顺序号,恢复得到图4所示的间插处理后的n个新数据包。
根据事先约定的比特间插规律,进行反间插操作,最终恢复得到原始的关键信息数据包;传输过程结束。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。

Claims (6)

1.一种分组传送网中传输关键信息的安全加固方法,主要步骤如下:
步骤1、确定信息收发的传输路径
当基于MPLS-TP的分组传送网的网络节点进行关键信息的传输时,由发送节点发起关键信息传输的请求,发送节点和接收节点分别确定各自的发送方向和接收方向网络路径,且发送方向和接收方向网络路径不相同;
步骤2、发送节点和接收节点之间的约定
步骤1完成后,发送节点通过步骤1确定的发送方向网络路径告知接收节点将要进行关键信息的传输;接收节点收到发送节点的告知后通过步骤1确定的接收方向网络路径向发送节点发送确认消息,并发送对关键信息进行数据间插方式、交织的顺序规律及数据包加密的加/解密算法的约定;
步骤3、数据包封装和数据间插
发送节点将关键信息数据封装形成N个数据包,根据步骤2接收节点约定的数据间插方式,发送节点对这N个数据包进行数据间插形成n个新数据包;
步骤4、建立网络连接
发送节点通过标签分发协议按步骤1确定的发送方向路径建立与接收节点的网络连接;
步骤5、新数据包的MPLS标签和顺序号
发送节点为步骤3间插处理后的n个新数据包封装,加上多协议标签交换标签,并依次加贴顺序号;
步骤6、交织和加密处理
根据步骤2接收节点约定的交织的顺序规律及数据包加密的加/解密算法,发送节点对步骤5处理后的n个新数据包进行交织和加密处理;
步骤7、关键数据信息的发送
发送节点按步骤1确定的发送方向网络路径传输步骤6处理后的数据包;
步骤8、接收节点解密还原关键信息数据包
接收节点收到关键信息数据包后,首先依据步骤2约定的加密规律进行数据包的解密操作,然后依据约定的反交织矩阵及数据间插顺序规律,完成数据的解交织及反间插操作,最终恢复得到原始的关键信息数据包;
传输过程结束。
2.根据权利要求1所述的一种分组传送网中传输关键信息的安全加固方法,其特征在于:
所述步骤1当网络节点进行关键信息的传输时,发送节点和接收节点根据整个分组传送网的拓扑结构,计算二者之间的等价多路径,得到发送节点和接收节点间的信息传输可用路由集合;发送节点和接收节点依据链路空闲程度以及跨越的节点数量确定各自不同的发送和接收网络路径,保证两个节点间的信息发送和接收方向所经过的物理路径不同。
3.根据权利要求1所述的一种分组传送网中传输关键信息的安全加固方法,其特征在于:
步骤2所述数据间插包括数据包间插、信元间插及字节间插。
4.根据权利要求1所述的一种分组传送网中传输关键信息的安全加固方法,其特征在于:
步骤2所述数据间插为字节间插。
5.根据权利要求1所述的一种分组传送网中传输关键信息的安全加固方法,其特征在于:
所述步骤4建立网络连接时发送节点与相邻节点之间通过扩展的标签分发协议交互,包括:
相邻节点发现消息,确认相邻节点为直连对等节点;进行标签分发方式的常规参数协商;
向相邻节点请求分配标签;
相邻节点接受请求,为网络节点分配标签;
会话结束,拆除连接。
6.根据权利要求1所述的一种分组传送网中传输关键信息的安全加固方法,其特征在于:
所述步骤7中发送节点发送关键数据信息时,发送节点查询网络路由信息表,通过扩展的标签分发协议与下一跳节点建立联系,并进行数据传输标签的分发;下一跳节点收到数据包后,识别MPLS标签并查阅路由信息表,如果目的节点为本节点时,则进行数据的接收处理;如果目的节点不是本节点,则根据路由信息表为数据包打上新的标签并发送到相邻的下一跳节点;以此类推,直至目的接收节点收到加密后的关键信息数据包。
CN201710261471.1A 2017-04-20 2017-04-20 一种分组传送网中传输关键信息的安全加固方法 Active CN107135152B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710261471.1A CN107135152B (zh) 2017-04-20 2017-04-20 一种分组传送网中传输关键信息的安全加固方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710261471.1A CN107135152B (zh) 2017-04-20 2017-04-20 一种分组传送网中传输关键信息的安全加固方法

Publications (2)

Publication Number Publication Date
CN107135152A CN107135152A (zh) 2017-09-05
CN107135152B true CN107135152B (zh) 2021-01-05

Family

ID=59714962

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710261471.1A Active CN107135152B (zh) 2017-04-20 2017-04-20 一种分组传送网中传输关键信息的安全加固方法

Country Status (1)

Country Link
CN (1) CN107135152B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110601878B (zh) * 2019-08-28 2022-02-01 孙红波 一种构建隐身网络的方法
CN113382013B (zh) * 2021-06-21 2022-12-09 国网宁夏电力有限公司电力科学研究院 一种基于能源大数据的数据挖掘系统
CN113965508B (zh) * 2021-12-22 2022-08-02 北京华云安信息技术有限公司 双路径数据传输方法、电子设备和计算机可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101425879A (zh) * 2008-12-12 2009-05-06 北京邮电大学 一种基于t-mpls分组传送网的tdm/pw空时分集方法
CN102487352A (zh) * 2010-12-02 2012-06-06 中兴通讯股份有限公司 业务分配方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9210089B2 (en) * 2013-10-21 2015-12-08 Cisco Technology, Inc. LSP ping/trace over MPLS networks using entropy labels

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101425879A (zh) * 2008-12-12 2009-05-06 北京邮电大学 一种基于t-mpls分组传送网的tdm/pw空时分集方法
CN102487352A (zh) * 2010-12-02 2012-06-06 中兴通讯股份有限公司 业务分配方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PTN网络中标签转表应用技术研究;丁明吉;《中国电子科学研究院学报》;20160228(第1期);全文 *

Also Published As

Publication number Publication date
CN107135152A (zh) 2017-09-05

Similar Documents

Publication Publication Date Title
US7236597B2 (en) Key transport in quantum cryptographic networks
US10356054B2 (en) Method for establishing a secure private interconnection over a multipath network
Huang et al. Building reliable MPLS networks using a path protection mechanism
Bryant et al. Remote loop-free alternate (LFA) fast reroute (FRR)
US7710902B2 (en) Path diversity for customer-to-customer traffic
CN102571426B (zh) 一种双归保护方法和装置
US8576708B2 (en) System and method for link protection using shared SRLG association
US20190306131A1 (en) Method for establishing a secure private interconnection over a multipath network
CN104065576B (zh) 一种动态mpls卫星网络中的标签交换方法
US20060098587A1 (en) System and method for retrieving computed paths from a path computation element using encrypted objects
Cho et al. Independent directed acyclic graphs for resilient multipath routing
CN102132525A (zh) 用于建立业务连接及相关监控连接的方法
CN107135152B (zh) 一种分组传送网中传输关键信息的安全加固方法
CN1909448B (zh) 在mpls vpn网络中实现端到端加密传输的方法
CN114095423B (zh) 基于mpls的电力通信骨干网数据安全防护方法及系统
Gopalan et al. Fast recovery from link failures in ethernet networks
CN113676391A (zh) 一种数据传输方法、装置、通信节点和存储介质
Alouneh et al. MPLS technology in wireless networks
WO2013000384A1 (zh) 一种网络配置方法、环形网络系统和一种节点
Xie et al. An improved ring protection method in MPLS-TP networks
CN115865845A (zh) 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法
CN112235318B (zh) 实现量子安全加密的城域网系统
Alouneh et al. A Multiple LSPs Approach to Secure Data in MPLS Networks.
Yasukawa et al. An analysis of scaling issues in mpls-te core networks
Bahattab RETRACTED ARTICLE: A Survey on Packet Switching Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant