CN107241346A - 一种用于光子防火墙的模式匹配域的划分和识别方法 - Google Patents

一种用于光子防火墙的模式匹配域的划分和识别方法 Download PDF

Info

Publication number
CN107241346A
CN107241346A CN201710551940.3A CN201710551940A CN107241346A CN 107241346 A CN107241346 A CN 107241346A CN 201710551940 A CN201710551940 A CN 201710551940A CN 107241346 A CN107241346 A CN 107241346A
Authority
CN
China
Prior art keywords
signal
light
service
business
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710551940.3A
Other languages
English (en)
Other versions
CN107241346B (zh
Inventor
黄善国
罗青松
李新
底楠
刘志强
岳耀笠
郭秉礼
覃波
赵灏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
CETC 34 Research Institute
Original Assignee
CETC 34 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 34 Research Institute filed Critical CETC 34 Research Institute
Priority to CN201710551940.3A priority Critical patent/CN107241346B/zh
Publication of CN107241346A publication Critical patent/CN107241346A/zh
Application granted granted Critical
Publication of CN107241346B publication Critical patent/CN107241346B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/70Photonic quantum communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Optics & Photonics (AREA)
  • Optical Communication System (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明为一种用于光子防火墙的模式匹配域的划分和识别方法,发送端对光信号业务分类,调制时在业务间插入业务特征光,在模式匹配域间插入域特征光。接收端光子防火墙对光信号采样得常规和采样信号,采样信号再分光为采样检测和采样还原信号。常规信号和采样还原信号延迟后接入2×1光开关。采样检测信号依次接入业务特征光和域特征光识别模块,识别的业务类型和到达时间送入安全操作模块,后者据此激活对应的模式匹配模块。模式匹配域被送入模式匹配模块与本地光信号进行模式匹配,匹配结果送安全操作模块,此结果控制2×1光开关将采样还原信号丢弃或与常规信号拼接后输出。本法保证光子防火墙快速高效地检测连续光信号的入侵和安全防护。

Description

一种用于光子防火墙的模式匹配域的划分和识别方法
技术领域
本发明涉及光纤通信系统光网络安全领域,具体为一种用于光子防火墙的模式匹配域的划分和识别方法,以实现光子防火墙的入侵检测和安全防护。
背景技术
光网络作为整个通信系统中的物理链路层,因其传输介质封闭绝缘,信号速率和可靠性高等特点,传统意义上被认为具有较高的安全性保障,因此光网络中的业务传输的安全防护措施通常只在电层实现。光网络可以承载多种类型的业务,包括语音、视频、数据等。为提高光网络的承载效率和进行一些运维操作,通常将最原始的信息进行封装,加入管控信息组成一个消息体,然后再调制成光信号,利用光网络进行信息传递,例如SDH、OTN等。传统电层防火墙的入侵检测和安全防护通常是识别消息体中特定的字段,例如来源IP地址、来源端口号、目的IP地址或端口号、服务类型等,然后根据网络管理者配置的特定规则进行入侵检测的识别,对有安全威胁的消息体按照相对应的规则进行操作。电层防火墙的入侵检测需要进行电-光和光-电的转化,光电转化具有成本高、处理速度慢、处理带宽小等缺陷,仅仅在电层对传输数据进行入侵检测和安全防护,不能适应光网络高速、大容量、低时延的传输特征。随着光通信技术的迅猛发展,预计近5-10年,光网络单信道的传输容量将达到1Tbps,面对如此高速的信息传递,仅仅依赖电层的入侵检测和安全防护将远远不能满足高速、大容量光网络的安全需要。并且光网络作为承载网,需要对上层业务信息进行封装、调制/解调、复用/解复用、路由等一系列操作,安全威胁可能隐藏在任意一个环节,迫切需要在光层能够直接进行基于业务内容、传输模式、编码方式、调制格式等不同特征的入侵检测和安全防护。同时,由于光网络长期采用透明开放的管控模式,并不关心数据内容、数据特征、数据用途,任凭有害数据肆意挥霍着频谱资源,迫切需要在光层建设一堵安全可靠的防火墙,阻隔所有有害数据。当前,光网络安全问题已成为网络安全领域不可忽视的区域。
光子防火墙作为一种重要的光层入侵检测和安全防护技术储备,可广泛应用于广域骨干网、城域网等光纤接入网,对各种入侵信息进行鉴别过滤,保障光信息传输的安全。但是目前的光子防火墙的研究仅仅针对光突发交换传输模式的光包,对光包进行模式匹配和安全操作。然而目前骨干网、城域网、本地网、校园网等中已部署的光网络主要采用基于电路交换的传输模式(包括SDH、OTN等),光网络中传输的是连续光信号。为实现面向连续光信号的入侵检测,基于模式匹配的光子防火墙首先需要对连续的光信号进行模式匹配域的划分,进行连续光信号的离散化,然后对已经离散化的光片段进行模式匹配,基于模式匹配的结果,根据已部署的安全策略进行针对此光片段的安全操作。连续光信号的模式匹配域的划分需要综合考虑光子防火墙的安全策略和业务的类型,同时,光子防火墙需要快速地识别模式匹配域,以提高对连续光信号进行模式匹配的效率。目前还没有针对连续光信号的模式匹配域的划分和识别方法,此为实现光子防火墙面向连续光信号的入侵检测面临的首位难题之一。
发明内容
本发明的目的是设计一种用于光子防火墙的模式匹配域的划分和识别方法,在发送端对光网络承载的光信号业务分类,调制时在相邻的业务间插入业务特征光,在模式匹配域间插入域特征光。接收端的光子防火墙的1×2光开关对连续光信号进行采样,输出常规信号和采样信号,采样信号在分光器之后分为两部分,分别为采样检测信号和采样还原信号。常规信号和采样还原信号经不同的光纤延迟线接入2×1光开关。采样检测信号接入业务特征光识别模块和域特征光识别模块,根据采样检测信号中的业务特征光识别不同的业务信号送入安全操作模块,安全操作模块根据不同业务特征光激活对应的模式匹配模块,根据域特征光识别模式匹配域位置,将其送入模式匹配模块,与本地光信号进行模式匹配,匹配结果送至安全操作模块,安全操作模块控制2×1光开关按匹配结果将采样还原信号丢弃或与常规信号拼接后输出。
本发明设计的一种用于光子防火墙的模式匹配域的划分和识别方法,各类业务加载于光发送端的连续光信号,光信号经光纤链路传输至接收端,接收端的输入端口设置光子防火墙。
在发送端对光信号进行预处理,对光网络承载的光信号业务分类,并划分每类业务的模式匹配域。激光器调制时在相邻的业务类间插入业务特征光,在同一业务的模式匹配域前后插入域特征光,以快速识别模式匹配域,提高模式匹配的效率和灵活性。
接收端连续光信号先进入光子防火墙被检测。所述光子防火墙包括1×2光开关,分光器,业务光识别模块、域特征光识别模块,模式匹配模块和安全操作模块。连续光信号进入光子防火墙后,1×2光开关先对其进行采样,输出常规信号和采样信号,采样信号送入分光器分为两部分,分别为采样检测信号和采样还原信号。常规信号和采样还原信号经不同的光纤延迟线后接入2×1光开关。采样检测信号依次进入业务特征光识别模块、域特征光识别模块和模式匹配模块,业务特征光识别模块检测到业务特征光即将业务特征光的起始时间及类型发送到安全操作模块、安全操作模块将对应该业务类型的模式匹配模块激活;当域特征光识别模块检测到域特征光时,将域特征光标注的该业务的模式匹配域送入安全操作模块已选择的模式匹配模块。模式匹配模块实施相对应的模式匹配,即对不同模式匹配域字段的属性进行模式匹配的重构。匹配结果送入安全操作模块,安全操作模块根据匹配结果进行安全操作,将采样还原信号丢弃或与常规信号拼接后输出。
本发明一种用于光子防火墙的模式匹配域的划分和识别方法的具体步骤如下:
发送端部分、对光信号的预处理
Ⅰ、业务分类
在发送端对所有光网络承载的业务进行分类。对于某一传输速率和编码格式的业务光信号,按照业务的特性进行分类,主要包括语音业务、视频业务和IP业务三大类;语音业务和视频业务大类又划分为地址类和服务类;IP业务大类划分为IP地址类、端口类和服务类三类。即共计7种业务类型。
Ⅱ、模式匹配域的划分
对每类业务进行模式匹配域的划分;即从同一类的业务数据中抽取一段或多段与模式识别的本地光信号长度相等的业务数据作为模式匹配域。不同的业务类型对应的数据长度不同,划分的模式匹配域个数不同,如地址类或端口类数据较短,其模式匹配域可能只有一段。
Ⅲ、插入业务特征光和域特征光
激光器对各业务光信号进行调制时,在相邻的业务类之间插入业务特征光,每一种业务类型对应一种业务特征光,7种业务类型对应7种不同的业务特征光。
在同一业务的相邻模式匹配域之间插入域特征光。域特征光标注该模式匹配域的起始位和终止位,区分相邻的模式匹配域。
接收端部分、光子防火墙检测连续光信号
Ⅳ、采样
在发送端插入了业务特征光和域特征光的连续光信号经光纤链路传输到接收端,先进入光子防火墙的1×2光开关,1×2光开关对连续光信号采样,输出常规信号和采样信号,常规信号经主光纤延迟线接入2×1光开关,采样信号接入分光器;
Ⅴ、分光
分光器将所接收的连续光信号采样信号分为两路,一路为采样还原信号,经光纤延迟线接入2×1光开关,另一路为采样检测信号,送入业务特征光识别模块;分光器的分光比优先满足模式匹配所需要的采样检测信号的光功率;
Ⅵ、业务特征光检测
业务特征光识别模块在输入端口中检测到业务特征光时,记录业务特征光的到达时间,将该时间和其识别的该业务类型一并发送给安全操作模块,不同类型的业务字段有不同业务特征,对应不同的模式匹配模块;安全操作模块根据当前检测到的业务类型激活对应的模式匹配模块准备工作,同时控制连接7个模式匹配模块的光开关连通相关光路;业务特征光识别模块将后续的连续光采样检测信号送入域特征光识别模块;同时业务特征光识别模块监听下一个业务特征光的到达。
Ⅶ、域特征光检测
当域特征光识别模块在输入端口中检测到域特征光时,将该域特征光后的模式匹配域经光开关送入相应的模式匹配模块,同时监听下一个域特征光的到达;直至完成本业务类的各模式匹配域均输入到与之匹配的模式匹配模块;
Ⅷ、模式匹配
两个相邻的域特征光之间的模式匹配域的业务信号即用于模式匹配的业务字段;模式匹配模块将采样检测信号的模式匹配域与本地的光信号进行模式匹配,并将匹配结果发送到安全操作模块。
本地光信号是所述模式匹配模块内存储的、对应某一类型业务的模式匹配域信号特征的字符串,不同类型的业务有不同的模式匹配模块,配有不同的本地光信号。
接收端针对某种传输速率和编码格式的业务光信号的7种业务类型配置对应的一套模式匹配模块。当业务光信号的传输速率和编码格式改变时,接收端更换另一套对应的模式匹配模块。
Ⅸ安全操作
安全操作模块根据业务特征光识别模块输出的该业务的起始时间,划分出该业务的时域,当连续光的采样检测信号中的模式匹配域与本地光信号匹配时,模式匹配模块向安全操作模块发送“匹配”信号,安全操作模块判断将该业务信号安全,控制2×1光开关将步骤Ⅴ分光器分出的经光纤延迟线缓存的采样常规信号与光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号拼接后输出,反之,若模式匹配模块向安全操作模块发送“不匹配”信号,安全操作模块判断将该业务信号不安全,控制2×1光开关将该业务的采样还原信号丢弃,只输出光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号。
与现有技术相比,本发明一种用于光子防火墙的模式匹配域的划分和识别方法的有益效果为:1、利用模式匹配电路对光信号中的特性信息进行识别,然后根据模式匹配电路的输出结果进行入侵检测和安全防护,并不需要进行电-光和光-电的转化,检测迅速准确;2、发送端在相邻的业务之间插入业务特征光,接收端根据业务特征光可快速方便地区分不同的业务;发送端在同一业务的相邻模式匹配域之间插入域特征光,接收端可快速划分和识别连续光信号的模式匹配作用域,用于与本地光信号的指定字段进行模式匹配,迅速判断采样信号中是否隐藏有潜在的网络威胁和攻击;实施简单有效;3、光网络管理者可以根据网络安全需求,动态地增加模式匹配域和模式匹配模块,不需要对光子防火墙进行复杂的调整。
附图说明
图1为本用于光子防火墙的模式匹配域的划分和识别方法实施例的光子防火墙在光网络中的部署示意图;
图2为图1中光子防火墙的整体架构示意图;
图3为本用于光子防火墙的模式匹配域的划分和识别方法实施例的业务特征光和域特征光在连续光信号中的分布情况示意图;
图4为本用于光子防火墙的模式匹配域的划分和识别方法实施例的流程图。
具体实施方式
本用于光子防火墙的模式匹配域的划分和识别方法实施例,光网络各光节点的前端配置光子防火墙,如图1所示,对所有输入端的光信号进行入侵检测和安全防护。各类业务加载于光发送端的连续光信号,光信号经光纤链路传输至接收端,接收端的输入端口设置光子防火墙。
图2所示为本实施例的接收端光子防火墙的整体架构,图中实线表示光信号传输,虚线表示电信号传输。本例光子防火墙包括1×2光开关,分光器,业务光识别模块、域特征光识别模块,7个模式匹配模块和安全操作模块。连续光信号Sin进入光子防火墙后,1×2光开关先对其进行采样,输出常规信号S1和采样信号S2,采样信号S2送入分光器分为两部分,分别为采样检测信号S22和采样还原信号S21。常规信号S1和采样还原信号S21分别经主光纤延迟线和光纤延迟线后接入2×1光开关。采样检测信号S22依次进入业务特征光识别模块、域特征光识别模块和模式匹配模块,业务特征光识别模块检测到业务特征光即将业务特征光的起始时间及类型发送到安全操作模块、安全操作模块将对应该业务类型的模式匹配模块激活;当域特征光识别模块检测到域特征光时,将域特征光标注的该业务的模式匹配域送入安全操作模块已选择的模式匹配模块。模式匹配模块实施相对应的模式匹配,即对不同模式匹配域字段的属性进行模式匹配的重构。匹配结果送入安全操作模块,安全操作模块根据匹配结果进行安全操作,将采样还原信号丢弃或与常规信号拼接后输出。
本例用于光子防火墙的模式匹配域的划分和识别方法的流程图如图4所示,图中实线表示光信号传输,虚线表示电信号传输。具体步骤如下:
发送端部分、对光信号的预处理,如图4左侧所示:
Ⅰ、业务分类
在发送端对所有光网络承载的业务进行分类。对于某一传输速率和编码格式的业务光信号,按照业务的特性进行分类,主要包括语音业务、视频业务和IP业务三大类;语音业务和视频业务大类又划分为地址类和服务类;IP业务大类划分为IP地址类、端口类和服务类三类。即共计7种业务类型。
Ⅱ、模式匹配域的划分
对每类业务进行模式匹配域的划分;即从同一类的业务数据中抽取一段或多段与模式识别的本地光信号长度相等的业务数据作为模式匹配域。不同的业务类型对应的数据长度不同,划分的模式匹配域个数不同,如地址类或端口类数据较短,其模式匹配域可能只有一段。
Ⅲ、插入业务特征光和域特征光
激光器对各业务光信号进行调制时,在相邻的业务类之间插入业务特征光,每一种业务类型对应一种业务特征光,7种业务类型对应不同的7种业务特征光。图3所示为连续光信号中的两个业务光信号Sa和Sb,较宽的矩形条表示业务特征光,不同业务类型插入的业务特征光不同。
在同一业务的相邻模式匹配域之间插入域特征光,图3中用较窄的矩形条表示。域特征光标注该模式匹配域的起始位和终止位,区分相邻的模式匹配域。图3中Sa分为三个等长的模式匹配域A1、A2和A3,Sb只抽取了一个模式匹配域B1。
接收端部分、光子防火墙检测连续光信号,如图4右侧所示:
Ⅳ、采样
在发送端插入了业务特征光和域特征光的连续光信号经光纤链路传输到接收端,先进入光子防火墙的1×2光开关,1×2光开关对连续光信号采样,输出常规信号S1和采样信号S2,常规信号S1经主光纤延迟线接入2×1光开关,采样信号S2接入分光器;
Ⅴ、分光
分光器将所接收的连续光信号采样信号S2分为两路,一路为采样还原信号S21,经光纤延迟线接入2×1光开关,另一路为采样检测信号S22,送入业务特征光识别模块;分光器的分光比优先满足模式匹配所需要的采样检测信号S22的光功率;
Ⅵ、业务特征光检测
业务特征光识别模块在输入端口中检测到业务特征光时,记录业务特征光的到达时间,将该时间和其识别的该业务类型一并发送给安全操作模块,不同类型的业务字段有不同业务特征,对应不同的模式匹配模块;安全操作模块根据当前检测到的业务类型激活对应的模式匹配模块准备工作,同时控制连接7个模式匹配模块的光开关连通相关光路;业务特征光识别模块将后续的连续光采样检测信号送入域特征光识别模块;同时业务特征光识别模块监听下一个业务特征光的到达。
Ⅶ、域特征光检测
当域特征光识别模块在输入端口中检测到域特征光时,将该域特征光后的模式匹配域经光开关送入相应的模式匹配模块,同时监听下一个域特征光的到达;直至完成本业务类的各模式匹配域均输入到与之匹配的模式匹配模块;
Ⅷ、模式匹配
两个相邻的域特征光之间的模式匹配域的业务信号即用于模式匹配的业务字段;模式匹配模块将采样检测信号的模式匹配域与本地的光信号进行模式匹配,并将匹配结果发送到安全操作模块。
本地光信号是所述模式匹配模块内存储的、对应某一类型业务的模式匹配域信号特征的字符串,不同类型的业务有不同的模式匹配模块,配有不同的本地光信号。
接收端针对某种传输速率和编码格式的业务光信号的7种业务类型配置对应的一套模式匹配模块。当业务光信号的传输速率和编码格式改变时,接收端更换另一套对应的模式匹配模块。
Ⅸ、安全操作
安全操作模块根据业务特征光识别模块输出的该业务的起始时间,划分出该业务的时域,当连续光的采样检测信号S22中的模式匹配域与本地光信号匹配时,模式匹配模块向安全操作模块发送“匹配”信号,安全操作模块判断将该业务信号安全,控制2×1光开关将步骤Ⅴ分光器分出的经光纤延迟线缓存的采样常规信号与光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号拼接后输出,反之,若模式匹配模块向安全操作模块发送“不匹配”信号,安全操作模块判断将该业务信号不安全,控制2×1光开关将该业务的采样还原信号丢弃,只输出光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。

Claims (5)

1.一种用于光子防火墙的模式匹配域的划分和识别方法,各类业务加载于光发送端的连续光信号,光信号经光纤链路传输至接收端,接收端的输入端口设置光子防火墙;其特征在于:
在发送端对光信号进行预处理,对光网络承载的光信号业务分类,并划分每类业务的模式匹配域;激光器调制时在相邻的业务类间插入业务特征光,在同一业务的模式匹配域前后插入域特征光;
接收端连续光信号先进入光子防火墙被检测;所述光子防火墙包括1×2光开关,分光器,业务光识别模块、域特征光识别模块,模式匹配模块和安全操作模块;连续光信号进入光子防火墙后,1×2光开关先对其进行采样,输出常规信号和采样信号,采样信号送入分光器分为两部分,分别为采样检测信号和采样还原信号;常规信号和采样还原信号经不同的光纤延迟线后接入2×1光开关;采样检测信号依次进入业务特征光识别模块、域特征光识别模块和模式匹配模块,业务特征光识别模块检测到业务特征光即将业务特征光的起始时间及类型发送到安全操作模块、安全操作模块将对应该业务类型的模式匹配模块激活;当域特征光识别模块检测到域特征光时,将域特征光标注的该业务的模式匹配域送入安全操作模块已选择的模式匹配模块;模式匹配模块实施相对应的模式匹配,即对不同模式匹配域字段的属性进行模式匹配的重构;匹配结果送入安全操作模块,安全操作模块根据匹配结果进行安全操作,将采样还原信号丢弃或与常规信号拼接后输出。
2.根据权利要求1所述的用于光子防火墙的模式匹配域的划分和识别方法,其特征在于具体步骤如下:
发送端部分、对光信号的预处理
Ⅰ、业务分类
在发送端对所有光网络承载的业务进行分类;对于某一传输速率和编码格式的业务信号,按照业务的特性进行分类;
Ⅱ、模式匹配域的划分
对每类业务进行模式匹配域的划分;即从同一类的业务数据中抽取一段或多段与模式识别的本地光信号长度相等的业务数据作为模式匹配域;不同的业务类型对应的数据长度不同,划分的模式匹配域个数不同;
Ⅲ、插入业务特征光和域特征光
激光器对各业务光信号进行调制时,在相邻的业务类之间插入业务特征光,每一种业务类型对应一种业务特征光,7种业务类型对应7种不同的业务特征光;
在同一业务的相邻模式匹配域之间插入域特征光;域特征光标注该模式匹配域的起始位和终止位,区分相邻的模式匹配域;
接收端部分、光子防火墙检测连续光信号
Ⅳ、采样
在发送端插入了业务特征光和域特征光的连续光信号经光纤链路传输到接收端,先进入光子防火墙的1×2光开关,1×2光开关对连续光信号采样,输出常规信号和采样信号,常规信号经主光纤延迟线接入2×1光开关,采样信号接入分光器;
Ⅴ、分光
分光器将所接收的连续光信号采样信号分为两路,一路为采样还原信号,经光纤延迟线接入2×1光开关,另一路为采样检测信号,送入业务特征光识别模块;分光器的分光比优先满足模式匹配所需要的采样检测信号的光功率;
Ⅵ、业务特征光检测
业务特征光识别模块在输入端口中检测到业务特征光时,记录业务特征光的到达时间,将该时间和其识别的该业务类型一并发送给安全操作模块,不同类型的业务字段有不同业务特征,对应不同的模式匹配模块;安全操作模块根据当前检测到的业务类型激活对应的模式匹配模块准备工作,同时控制连接7个模式匹配模块的光开关连通相关光路;业务特征光识别模块将后续的连续光采样检测信号送入域特征光识别模块;同时业务特征光识别模块监听下一个业务特征光的到达;
Ⅶ、域特征光检测
当域特征光识别模块在输入端口中检测到域特征光时,将该域特征光后的模式匹配域经光开关送入相应的模式匹配模块,同时监听下一个域特征光的到达;直至完成本业务类的各模式匹配域均输入到与之匹配的模式匹配模块;
Ⅷ、模式匹配
两个相邻的域特征光之间的模式匹配域的业务信号即用于模式匹配的业务字段;模式匹配模块将采样检测信号的模式匹配域与本地的光信号进行模式匹配,并将匹配结果发送到安全操作模块;
Ⅸ、安全操作
安全操作模块根据业务特征光识别模块输出的该业务的起始时间,划分出该业务的时域,当连续光的采样检测信号中的模式匹配域与本地光信号匹配时,模式匹配模块向安全操作模块发送“匹配”信号,安全操作模块判断将该业务信号安全,控制2×1光开关将步骤Ⅴ分光器分出的经光纤延迟线缓存的采样常规信号与光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号拼接后输出,反之,若模式匹配模块向安全操作模块发送“不匹配”信号,安全操作模块判断将该业务信号不安全,控制2×1光开关将该业务的采样还原信号丢弃,只输出光子防火墙的1×2光开关输出的经主光纤延迟线缓存的常规信号。
3.根据权利要求2所述的用于光子防火墙的模式匹配域的划分和识别方法,其特征在于:
所述步骤Ⅰ按照业务的特性进行的分类主要包括语音业务、视频业务和IP业务三大类;语音业务和视频业务大类又划分为地址类和服务类;IP业务大类划分为IP地址类、端口类和服务类三类;即共计7种业务类型。
4.根据权利要求3所述的用于光子防火墙的模式匹配域的划分和识别方法,其特征在于:
所述步骤Ⅷ中的本地光信号是所述模式匹配模块内存储的、对应某一类型业务的某类模式匹配域信号特征的字符串,不同类型的业务有不同的模式匹配域,配有不同的本地光信号。
5.根据权利要求4所述的用于光子防火墙的模式匹配域的划分和识别方法,其特征在于:
所述步骤Ⅷ接收端针对某种传输速率和编码格式的业务光信号的7种业务类型配置对应的一套模式匹配模块;当业务光信号的传输速率和编码格式改变时,接收端更换另一套对应的模式匹配模块。
CN201710551940.3A 2017-07-07 2017-07-07 一种用于光子防火墙的模式匹配域的划分和识别方法 Active CN107241346B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710551940.3A CN107241346B (zh) 2017-07-07 2017-07-07 一种用于光子防火墙的模式匹配域的划分和识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710551940.3A CN107241346B (zh) 2017-07-07 2017-07-07 一种用于光子防火墙的模式匹配域的划分和识别方法

Publications (2)

Publication Number Publication Date
CN107241346A true CN107241346A (zh) 2017-10-10
CN107241346B CN107241346B (zh) 2020-03-24

Family

ID=59990310

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710551940.3A Active CN107241346B (zh) 2017-07-07 2017-07-07 一种用于光子防火墙的模式匹配域的划分和识别方法

Country Status (1)

Country Link
CN (1) CN107241346B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109831424A (zh) * 2019-01-23 2019-05-31 北京邮电大学 一种光网络二进制序列匹配方法及装置
CN110650134A (zh) * 2019-09-20 2020-01-03 腾讯科技(深圳)有限公司 一种信号处理方法、装置、电子设备以及存储介质
CN114944874A (zh) * 2022-03-23 2022-08-26 北京邮电大学 面向16qam信号的并行全光快速模式匹配装置以及方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515944A (zh) * 2008-02-22 2009-08-26 华为技术有限公司 一种p2p业务接入方法、系统和装置
CN102394885A (zh) * 2011-11-09 2012-03-28 中国人民解放军信息工程大学 基于数据流的信息分类防护自动化核查方法
CN103841096A (zh) * 2013-09-05 2014-06-04 北京科能腾达信息技术股份有限公司 自动调整匹配算法的入侵检测方法
US8767526B1 (en) * 2010-12-27 2014-07-01 Juniper Networks, Inc. Supplicant framework to handle clientless devices on a dot1x platform
CN105095624A (zh) * 2014-05-15 2015-11-25 中国电子科技集团公司第三十四研究所 一种光纤传感振动信号的识别方法
US20150341121A1 (en) * 2012-12-28 2015-11-26 Juniper Networks, Inc. Detection and alignment of xy skew
CN103139184B (zh) * 2011-12-02 2016-03-30 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN205142274U (zh) * 2015-12-04 2016-04-06 成都思迈信通科技有限公司 一种应用于交通行业的安全防护装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515944A (zh) * 2008-02-22 2009-08-26 华为技术有限公司 一种p2p业务接入方法、系统和装置
US8767526B1 (en) * 2010-12-27 2014-07-01 Juniper Networks, Inc. Supplicant framework to handle clientless devices on a dot1x platform
CN102394885A (zh) * 2011-11-09 2012-03-28 中国人民解放军信息工程大学 基于数据流的信息分类防护自动化核查方法
CN103139184B (zh) * 2011-12-02 2016-03-30 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
US20150341121A1 (en) * 2012-12-28 2015-11-26 Juniper Networks, Inc. Detection and alignment of xy skew
CN103841096A (zh) * 2013-09-05 2014-06-04 北京科能腾达信息技术股份有限公司 自动调整匹配算法的入侵检测方法
CN105095624A (zh) * 2014-05-15 2015-11-25 中国电子科技集团公司第三十四研究所 一种光纤传感振动信号的识别方法
CN205142274U (zh) * 2015-12-04 2016-04-06 成都思迈信通科技有限公司 一种应用于交通行业的安全防护装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
SLITI M,ET.AL: "《A Novel Optical Firewall Architecture for Burst Switched Networks》", 《12TH INTERNATIONAL CONFERENCE ON TRANSPARENT OPTICAL NETWORKS. IEEE》 *
WEBB R P,ET.AL: "《All-Optical Header Processing in a 42.6 Gbs Optoelectronic Firewall》", 《IEEE JOURNAL OF SELECTED TOPICS IN QUANTUM ELECTRONICS》 *
罗青松等: "《光网络安全现状及关键技术研究》", 《中国电子科学研究院学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109831424A (zh) * 2019-01-23 2019-05-31 北京邮电大学 一种光网络二进制序列匹配方法及装置
CN110650134A (zh) * 2019-09-20 2020-01-03 腾讯科技(深圳)有限公司 一种信号处理方法、装置、电子设备以及存储介质
CN114944874A (zh) * 2022-03-23 2022-08-26 北京邮电大学 面向16qam信号的并行全光快速模式匹配装置以及方法

Also Published As

Publication number Publication date
CN107241346B (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
EP0491495A1 (en) Optical packet field coding
Rohde et al. Robustness of DPSK direct detection transmission format in standard fibre WDM systems
CA2123220C (en) Optical processing system
CN107241346A (zh) 一种用于光子防火墙的模式匹配域的划分和识别方法
US7389045B2 (en) Apparatus and method for monitoring and compensating an optical signal
US7292784B2 (en) High speed optical routing apparatus and method
CN104868969B (zh) 一种基于斯托克斯分析的非正交偏振复用信号传输方法
SE9203332L (sv) Särskiljande av förbindelser
Personick Evolving toward the next-generation internet: Challenges in the path forward
CN100539734C (zh) 利用频率报头的光分组交换的装置、系统和方法
US7596316B2 (en) Method of sending packet-formed information optically using different wave-lengths for address and useful information
CN105763245A (zh) 一种光收发模块
CN107395579B (zh) 一种用于光子防火墙的连续光信号采样和还原方法
CN203423700U (zh) 一种复用解复用装置
CN101110761B (zh) 波长偏振混合标记的光分组交换系统
CN106506064A (zh) 一种三维无源光接入网实现多重保护及扩展功能的系统及方法
Wonglumsom et al. HORNET-a packet-switched WDM network: Optical packet transmission and recovery
Poggiolini et al. Theory of subcarrier encoding of packet headers in quasi-all-optical broadband WDM networks
US20060098631A1 (en) Center-side terminal of optical network capable of carrying out processing depending on subscriber number
Shieh et al. Demonstration of output-port contention resolution in a WDM switching node based on all-optical wavelength shifting and subcarrier-multiplexed routing-control headers
US20050129405A1 (en) Method and arrangement for signaling in a network comprising nodes with optical ports
JP3768413B2 (ja) 光ネットワークにおける光パケット引落し・挿入方法とその装置
CN109379136A (zh) 一种光纤传输系统及信息传输的方法
CN109600214A (zh) 使用频率相关的时延模块作为硬秘钥的混沌通信系统
Wonglumsom et al. HORNET-a packet-switched WDM metropolitan area ring network: optical packet transmission and recovery, queue depth, and packet latency

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200423

Address after: 100000 Beijing city Haidian District Xitucheng Road No. 10

Co-patentee after: NO. 34 RESEARCH INSTITUTE OF CHINA ELECTRONICS TECHNOLOGY GROUP CORPORATION (CETC)

Patentee after: Beijing University of Posts and Telecommunications

Address before: 541004 No. 98, Liuhe Road, Guilin, the Guangxi Zhuang Autonomous Region

Patentee before: NO. 34 RESEARCH INSTITUTE OF CHINA ELECTRONICS TECHNOLOGY GROUP CORPORATION (CETC)