[发明专利]一种软件定义网络控制通道的安全保障方法

说明书

本发明提供一种软件定义网络控制通道的安全保障方法，通过在软件定义网络的控制层和数据层之间部署的量子密钥层，保障软件定义网络控制通道的安全；本发明还提供一种在软件定义网络中部署量子密钥层的方法。本发明提供的上述两种方法，通过在软件定义网络的控制层和数据层之间部署量子密钥层，由量子密钥层基于量子密钥分发技术提供量子密钥资源，由控制器分配量子密钥资源并结合一次一密的加密算法进行加密，从而使软件定义网络控制通道所需的量子密钥资源由量子密钥分发技术提供，控制通道中的控制信令由一次一密的加密算法进行加密，保证了软件定义网络控制通道理论上的绝对安全。

技术领域

本发明涉及信息安全技术领域，更具体地，涉及一种软件定义网络控制通道的安全保障方法。

背景技术

软件定义网络(Software Defined Network，简称为SDN)，是一种新型网络创新架构，通过其南向接口将网络设备控制层与数据层分离开来，并通过开放控制接口将抽象后的网络资源提供给应用层，实现网络的可编程性和集中化网络控制，构建面向业务应用的灵活、开放、智能的网络体系架构。

软件定义网络的网络体系架构如图1所示，软件定义网络控制层的控制器与数据层的网络节点之间的控制信令传输通道称为控制通道，控制器通过控制通道传输控制信令，集中管理数据层的网络节点，控制通道的控制信令采用IP路由的方式逐跳转发，在其传输和转发过程中可能出现被窃听、截获等安全性问题，拥有敏感控制信令传输的控制通道遭受窃听将会造成难以估量的损失。目前实用化的软件定义网络控制通道大多未使用安全保密手段，仅少数用于研究的软件定义网络控制通道可能会使用经典的安全保密手段。

目前的软件定义网络控制通道未使用安全保密手段或者仅使用经典的安全保密手段，其基本处于不设防的状态或者网络安全防护能力存在不足，且在密钥分发过程中可能被窃听和破解，无法确保软件定义网络控制通道的安全。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种软件定义网络控制通道的安全保障方法。

根据本发明的一个方面，提供一种软件定义网络控制通道的安全保障方法，该方法包括：通过在软件定义网络的控制层和数据层之间部署的量子密钥层，保障软件定义网络控制通道的安全。

其中，量子密钥层包括量子密钥分发终端和量子密钥分发链路；量子密钥分发终端位于控制层的控制器和数据层的网络节点处，控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间通过量子密钥分发链路连接。

其中，控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间形成量子密钥池，用于存储对应的量子密钥分发终端之间生成的量子密钥；控制器控制量子密钥池给对应的控制器和网络节点之间的控制通道分配量子密钥。

其中，量子密钥分发链路包括量子信道和经典信道。

其中，量子密钥层还包括量子中继器，量子中继器位于量子信道上。

其中，控制器处的量子密钥分发终端通过光时分复用技术实现与不同网络节点处的量子密钥分发终端之间的量子通信。

其中，该方法还包括：控制器实时控制量子密钥分发终端生成量子密钥，以保证量子密钥池中存储的量子密钥量大于对应控制通道所需的量子密钥量。

其中，控制通道所需的量子密钥量根据业务经过网络节点时所需控制信令的数据量确定。

本发明的另一方面，提供一种在软件定义网络中部署量子密钥层的方法，该方法包括：在软件定义网络的控制器和网络节点处部署量子密钥分发终端；在控制器处的量子密钥分发终端与网络节点处的量子密钥分发终端之间部署量子密钥分发链路，量子密钥分发链路包括量子信道和经典信道。