CN109039612B - 软件定义光网络的安全交互方法及系统 - Google Patents

软件定义光网络的安全交互方法及系统 Download PDF

Info

Publication number
CN109039612B
CN109039612B CN201811056952.XA CN201811056952A CN109039612B CN 109039612 B CN109039612 B CN 109039612B CN 201811056952 A CN201811056952 A CN 201811056952A CN 109039612 B CN109039612 B CN 109039612B
Authority
CN
China
Prior art keywords
message
optical switching
security
controller
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811056952.XA
Other languages
English (en)
Other versions
CN109039612A (zh
Inventor
甄岩
王立城
白晖峰
郑利斌
霍超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd, Beijing Smartchip Microelectronics Technology Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN201811056952.XA priority Critical patent/CN109039612B/zh
Publication of CN109039612A publication Critical patent/CN109039612A/zh
Application granted granted Critical
Publication of CN109039612B publication Critical patent/CN109039612B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0005Switch and router aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种软件定义光网络的安全交互方法及系统,安全交互方法包括如下步骤:接收分组进入消息;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计安全威胁程度;如果威胁程度高于门限,则触发PKI模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计安全威胁程度。

Description

软件定义光网络的安全交互方法及系统
技术领域
本发明是关于通信领域,特别是关于一种软件定义光网络的安全交互方法及系统。
背景技术
软件定义网络(SDN)作为一种基于软件定义思想的开放式网络架构及技术体系,其核心在于网络节点的控制与转发功能相互分离,数据层设备只保留简单的转发功能。通过控制器对网络的集中化控制,能实现底层物理网络对上层网络应用的开放透明。得益于灵活、高效、可编程的技术优势,SDN可以实现网络的能化控制。基于SDN思想的软件定义光网络(Software Defined Optical Network,SDON)架构主要分为数据转发平面、控制平面和应用平面。其中,控制平面和数据转发平面互相分离。控制信道与数据平面的数据传输信道相互独立,通过控制平面的信令协议交互,实现对数据传输业务连接的高效控制。作为SDON的核心环节,控制平面的可信连接技术日益受到重视。可信连接是指在光传送网技术体制的基础上,建立具备节点可信度、带宽和优先级保障的业务连接,提供高安全可信的网络服务,有效抵御安全攻击和内部破坏。
在光网络多业务QoS差异化的背景下,软件定义光网络的通信安全问题具有一定的复杂性,更容易受到涉及光网络的所有层面的安全攻击。在典型的软件定义光网络中,OpenFlow协议用于光通道创建、拆除和修改等操作的具体执行。通过OpenFlow协议交互,软件定义光网络得以完成复杂的光网络路由计算和控制,所以OpenFlow协议交互是软件定义光网络的关键技术之一。由于OpenFlow协议的开放性,软件定义光网络在交互过程中,面临着一定的安全风险,主要包括:窃听攻击、阻塞攻击、消息篡改、重放攻击以及通信量分析等。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容
本发明的目的在于提供一种软件定义光网络的安全交互方法,其能够使业务连接的信令交互过程获得更好的安全保障。
本发明的另一目的在于提供一种软件定义光网络的安全交互系统。
为实现上述目的,本发明提供了一种软件定义光网络的安全交互方法,软件定义光网络的安全交互方法由控制器执行,软件定义光网络的安全交互方法包括如下步骤:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限,则触发PKI模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
在一优选的实施方式中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
本发明还提供了一种软件定义光网络的安全交互系统,包括:控制器;和多个光交换节点;其中,控制器被配置为:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限则触发PKI模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
在一优选的实施方式中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
与现有技术相比,本发明的软件定义光网络的安全交互方法及系统具有如下优点:本发明充分利用软件定义光网络现有的OpenFlow协议进行安全性加强,结合PKI安全认证机制设计了OpenFlow协议安全交互流程,以实现面向多业务软件定义光网络的端到端的安全可信连接。本发明所提出的软件定义光网络的安全交互方法为轻量级安全信令优化方法,与传统机制相比能够使业务连接的信令交互过程获得更好的安全保障,同时也有效缓解了安全攻击条件下的网络业务阻塞率问题,实现了软件定义光网络端到端的可信连接。
附图说明
图1是根据本发明一实施方式的安全交互方法流程图。
图2是根据本发明一实施方式的安全交互系统结构示意图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,本发明的安全交互方法包括如下步骤:
步骤101:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;
步骤102:响应于接收到分组进入消息,触发攻击检测;
步骤103:如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
步骤104:如果威胁程度高于门限则触发PKI模块进行私钥更新;
步骤105:如果没有检测到安全攻击,则用控制器的私钥进行解密;
步骤106:调用路由模块计算出光路由;
步骤107:将路由的相关信息封装在改变状态消息的流表项中;
步骤108:使用第一光交换节点的私钥对改变状态消息中的信息进行加密;
步骤109:接收告警信息或者回复消息;
步骤110:如果接收到回复消息,则进行攻击检测;
步骤111:如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及
步骤112:如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
其中,控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
上述方案中,其中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
如图2所示,本发明还提供了一种软件定义光网络的安全交互系统,安全交互系统采用软件定义光网络的典型架构,该安全交互系统包括:控制器201;和支持OpenFlow协议的多个光交换节点202a~202h。其中,控制器201被配置为:接收分组进入消息,其中,分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;响应于接收到分组进入消息,触发攻击检测;如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;如果威胁程度高于门限则触发PKI模块进行私钥更新;如果没有检测到安全攻击,则用控制器的私钥进行解密;调用路由模块计算出光路由;将路由的相关信息封装在改变状态消息的流表项中;使用第一光交换节点的私钥对改变状态消息中的信息进行加密;接收告警信息或者回复消息;如果接收到回复消息,则进行攻击检测;如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;其中,控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,控制器的公钥被分发给多个光交换节点,光交换节点的私钥被上报给控制器。
上述方案中,改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
在一优选的实施方式中,其中,使用第一光交换节点的私钥对改变状态消息中的信息进行加密包括:使用第一光交换节点的私钥对改变状态消息中的ID号以及业务流特征参数进行加密。
在一优选的实施方式中,其中,告警信息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;以及如果检测出安全攻击,则向控制器发送告警信息。
在一优选的实施方式中,其中,回复消息是由第一光交换节点基于如下步骤发送的:响应于接收到改变状态消息,触发攻击检测;如果没有检测到安全攻击,则由第一光交换节点的私钥进行解密并生成回复消息,其中,回复消息中封装有进行过数字签名的波长标签;以及向控制器发送回复消息。
安全交互系统中的控制器和所有的光交换节点内部都集成了PKI安全认证模块,负责对接收到的OpenFlow协议消息进行攻击检测与解密,以及对发送的OpenFlow协议消息进行加解密。因此,本发明将PKI安全认证与OpenFlow协议安全交互两者相结合,能够充分利用软件定义光网络现有的OpenFlow协议进行安全性加强,并结合PKI安全认证机制设计了OpenFlow协议安全交互流程,以实现面向多业务软件定义光网络的端到端的安全可信连接。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。

Claims (10)

1.一种软件定义光网络的安全交互方法,其特征在于,所述软件定义光网络的安全交互方法由控制器执行,所述软件定义光网络的安全交互方法包括如下步骤:
接收分组进入消息,其中,所述分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;
响应于接收到所述分组进入消息,触发攻击检测;
如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
如果威胁程度高于门限,则触发PKI模块进行私钥更新;
如果没有检测到安全攻击,则用所述控制器的私钥对改变状态消息进行解密;
调用路由模块计算出光路由;
将路由的信息封装在所述改变状态消息的流表项中;
使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密;
接收告警信息或者回复消息;
如果接收到回复消息,则进行攻击检测;
如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;以及
如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
其中,所述控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,所述控制器的公钥被分发给多个光交换节点,所述光交换节点的私钥被上报给控制器。
2.如权利要求1所述的软件定义光网络的安全交互方法,其特征在于,其中,所述改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
3.如权利要求2所述的软件定义光网络的安全交互方法,其特征在于,其中,使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密包括:使用所述第一光交换节点的私钥对所述改变状态消息中的ID号以及业务流特征参数进行加密。
4.如权利要求3所述的软件定义光网络的安全交互方法,其特征在于,其中,所述告警信息是由第一光交换节点基于如下步骤发送的:
响应于接收到所述改变状态消息,触发攻击检测;以及
如果检测出安全攻击,则向所述控制器发送所述告警信息。
5.如权利要求4所述的软件定义光网络的安全交互方法,其特征在于,其中,所述回复消息是由第一光交换节点基于如下步骤发送的:
响应于接收到所述改变状态消息,触发攻击检测;
如果没有检测到安全攻击,则由所述第一光交换节点的私钥对所述改变状态消息进行解密并生成回复消息,其中,所述回复消息中封装有进行过数字签名的波长标签;以及
向所述控制器发送所述回复消息。
6.一种软件定义光网络的安全交互系统,其特征在于,所述软件定义光网络的安全交互系统包括:
控制器;和
多个光交换节点;
其中,所述控制器被配置为:
接收分组进入消息,其中,所述分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的;
响应于接收到所述分组进入消息,触发攻击检测;
如果检测出安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
如果威胁程度高于门限则触发PKI模块进行私钥更新;
如果没有检测到安全攻击,则用所述控制器的私钥对改变状态消息进行解密;
调用路由模块计算出光路由;
将路由的信息封装在所述改变状态消息的流表项中;
使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密;
接收告警信息或者回复消息;
如果接收到回复消息,则进行攻击检测;
如果没有检测到安全攻击,则通过已经建立的光路径传输业务数据;
如果检测到安全攻击,则记录本次安全攻击,取消业务连接请求,并统计软件定义光网络的安全威胁程度;
其中,所述控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的,所述控制器的公钥被分发给多个光交换节点,所述光交换节点的私钥被上报给控制器。
7.如权利要求6所述的软件定义光网络的安全交互系统,其特征在于,其中,所述改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。
8.如权利要求7所述的软件定义光网络的安全交互系统,其特征在于,其中,使用所述第一光交换节点的私钥对所述改变状态消息中的信息进行加密包括:使用所述第一光交换节点的私钥对所述改变状态消息中的ID号以及业务流特征参数进行加密。
9.如权利要求8所述的软件定义光网络的安全交互系统,其特征在于,其中,所述告警信息是由第一光交换节点基于如下步骤发送的:
响应于接收到所述改变状态消息,触发攻击检测;以及
如果检测出安全攻击,则向所述控制器发送所述告警信息。
10.如权利要求9所述的软件定义光网络的安全交互系统,其特征在于,其中,所述回复消息是由第一光交换节点基于如下步骤发送的:
响应于接收到所述改变状态消息,触发攻击检测;
如果没有检测到安全攻击,则由所述第一光交换节点的私钥对所述改变状态消息进行解密并生成回复消息,其中,所述回复消息中封装有进行过数字签名的波长标签;以及
向所述控制器发送所述回复消息。
CN201811056952.XA 2018-09-11 2018-09-11 软件定义光网络的安全交互方法及系统 Active CN109039612B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811056952.XA CN109039612B (zh) 2018-09-11 2018-09-11 软件定义光网络的安全交互方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811056952.XA CN109039612B (zh) 2018-09-11 2018-09-11 软件定义光网络的安全交互方法及系统

Publications (2)

Publication Number Publication Date
CN109039612A CN109039612A (zh) 2018-12-18
CN109039612B true CN109039612B (zh) 2021-03-12

Family

ID=64620878

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811056952.XA Active CN109039612B (zh) 2018-09-11 2018-09-11 软件定义光网络的安全交互方法及系统

Country Status (1)

Country Link
CN (1) CN109039612B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111708650B (zh) * 2020-06-10 2023-03-28 中国工商银行股份有限公司 一种业务应用系统高可用性分析方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616340A (zh) * 2009-07-31 2009-12-30 北京科技大学 一种基于自动交换光网络的安全光路建立方法
CN102811196A (zh) * 2011-05-30 2012-12-05 中兴通讯股份有限公司 自动交换光网络中的网络安全保护方法、装置和系统
CN103716305A (zh) * 2013-12-13 2014-04-09 上海斐讯数据通信技术有限公司 一种用于无源光网络系统的智能防攻击方法
WO2015103297A1 (en) * 2013-12-30 2015-07-09 Sonus Networks, Inc. Network communication methods and apparatus
CN105245981A (zh) * 2015-10-15 2016-01-13 上海斐讯数据通信技术有限公司 软件定义吉比特无源光网络流表控制协议封装方法及装置
CN105409157A (zh) * 2013-07-29 2016-03-16 阿尔卡特朗讯 用于光网络的自适应业务加密
CN106357622A (zh) * 2016-08-29 2017-01-25 北京工业大学 基于软件定义网络的网络异常流量检测防御系统
CN107360479A (zh) * 2017-07-17 2017-11-17 电子科技大学 一种多址接入无源光网络的加密方法
CN107360105A (zh) * 2016-05-10 2017-11-17 中兴通讯股份有限公司 Sdn管理控制的方法、装置及系统、olt

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616340A (zh) * 2009-07-31 2009-12-30 北京科技大学 一种基于自动交换光网络的安全光路建立方法
CN102811196A (zh) * 2011-05-30 2012-12-05 中兴通讯股份有限公司 自动交换光网络中的网络安全保护方法、装置和系统
CN105409157A (zh) * 2013-07-29 2016-03-16 阿尔卡特朗讯 用于光网络的自适应业务加密
CN103716305A (zh) * 2013-12-13 2014-04-09 上海斐讯数据通信技术有限公司 一种用于无源光网络系统的智能防攻击方法
WO2015103297A1 (en) * 2013-12-30 2015-07-09 Sonus Networks, Inc. Network communication methods and apparatus
CN105245981A (zh) * 2015-10-15 2016-01-13 上海斐讯数据通信技术有限公司 软件定义吉比特无源光网络流表控制协议封装方法及装置
CN107360105A (zh) * 2016-05-10 2017-11-17 中兴通讯股份有限公司 Sdn管理控制的方法、装置及系统、olt
CN106357622A (zh) * 2016-08-29 2017-01-25 北京工业大学 基于软件定义网络的网络异常流量检测防御系统
CN107360479A (zh) * 2017-07-17 2017-11-17 电子科技大学 一种多址接入无源光网络的加密方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"一种基于通信节点身份认证的安全绑定机制的研究";李向丽等;《计算机应用与软件》;20150115;第32卷(第1期);第294-308页 *
"基于SDN的接入网安全技术研究";张磊;《中国优秀硕士学位论文全文数据库信息科技辑》;20150415;第I136-207页 *
"面向数据中心光互联的软件定义组网与集成控制研究";杨辉;《中国博士学位论文全文数据库信息科技辑》;20150415;第I136-73页 *

Also Published As

Publication number Publication date
CN109039612A (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
US10187209B2 (en) Cumulative schemes for network path proof of transit
EP3254418B1 (en) Packet obfuscation and packet forwarding
US8112622B2 (en) Chaining port scheme for network security
EP2277296B1 (en) Method and system for providing trustworthiness of communication
CN101800753B (zh) 基于一体化网络安全服务架构的综合安全防护方法
EP3457658A2 (en) Dynamic user-configurable virtual private network
US11799659B2 (en) Method, architecture and devices for the realization of an encrypted communication protocol of encrypted data packets named ‘Transport Encrypted Protocol’ (TEP)
CA3014341A1 (en) Secure and disruption-tolerant communications for unmanned underwater vehicles
US20210243172A1 (en) Methods to strengthen cyber-security and privacy in a deterministic internet of things
CN107078898A (zh) 一种在多路径网络上建立安全私人互连的方法
US9015825B2 (en) Method and device for network communication management
US20160021224A1 (en) Stealth Packet Communications
CN110383280A (zh) 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置
Szymanski The “cyber security via determinism” paradigm for a quantum safe zero trust deterministic internet of things (IoT)
Rothenberg et al. Self-routing denial-of-service resistant capabilities using in-packet Bloom filters
US20200128042A1 (en) Communication method and apparatus for an industrial control system
EP2811715B1 (en) Systems and methods for intermediate message authentication in a switched-path network
Aguado et al. Quantum cryptography networks in support of path verification in service function chains
CN109039612B (zh) 软件定义光网络的安全交互方法及系统
O’Raw et al. Securing the industrial Internet of Things for critical infrastructure (IIoT-CI)
Alston et al. Neutralizing interest flooding attacks in named data networks using cryptographic route tokens
CN109150829A (zh) 软件定义云网络可信数据分发方法、可读存储介质和终端
Nadia et al. Cryptography techniques within SCADA system-asurvey
Zaman et al. Towards SDN and blockchain based IoT countermeasures: a survey

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant