[发明专利]软件定义光网络的安全交互方法及系统

说明书

本发明公开了一种软件定义光网络的安全交互方法及系统，安全交互方法包括如下步骤：接收分组进入消息；响应于接收到分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用控制器的私钥进行解密；计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用第一光交换节点的私钥对改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计安全威胁程度。

技术领域

本发明是关于通信领域，特别是关于一种软件定义光网络的安全交互方法及系统。

背景技术

软件定义网络(SDN)作为一种基于软件定义思想的开放式网络架构及技术体系，其核心在于网络节点的控制与转发功能相互分离，数据层设备只保留简单的转发功能。通过控制器对网络的集中化控制，能实现底层物理网络对上层网络应用的开放透明。得益于灵活、高效、可编程的技术优势，SDN可以实现网络的能化控制。基于SDN思想的软件定义光网络(Software Defined Optical Network，SDON)架构主要分为数据转发平面、控制平面和应用平面。其中，控制平面和数据转发平面互相分离。控制信道与数据平面的数据传输信道相互独立，通过控制平面的信令协议交互，实现对数据传输业务连接的高效控制。作为SDON的核心环节，控制平面的可信连接技术日益受到重视。可信连接是指在光传送网技术体制的基础上，建立具备节点可信度、带宽和优先级保障的业务连接，提供高安全可信的网络服务，有效抵御安全攻击和内部破坏。

在光网络多业务QoS差异化的背景下，软件定义光网络的通信安全问题具有一定的复杂性，更容易受到涉及光网络的所有层面的安全攻击。在典型的软件定义光网络中，OpenFlow协议用于光通道创建、拆除和修改等操作的具体执行。通过OpenFlow协议交互，软件定义光网络得以完成复杂的光网络路由计算和控制，所以OpenFlow协议交互是软件定义光网络的关键技术之一。由于OpenFlow协议的开放性，软件定义光网络在交互过程中，面临着一定的安全风险，主要包括：窃听攻击、阻塞攻击、消息篡改、重放攻击以及通信量分析等。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本发明的目的在于提供一种软件定义光网络的安全交互方法，其能够使业务连接的信令交互过程获得更好的安全保障。

本发明的另一目的在于提供一种软件定义光网络的安全交互系统。

为实现上述目的，本发明提供了一种软件定义光网络的安全交互方法，软件定义光网络的安全交互方法由控制器执行，软件定义光网络的安全交互方法包括如下步骤：接收分组进入消息，其中，分组进入消息是由第一光交换节点响应于接收到来自业务终端的连接请求而发送的；响应于接收到分组进入消息，触发攻击检测；如果检测出安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；如果威胁程度高于门限，则触发PKI模块进行私钥更新；如果没有检测到安全攻击，则用控制器的私钥进行解密；调用路由模块计算出光路由；将路由的相关信息封装在改变状态消息的流表项中；使用第一光交换节点的私钥对改变状态消息中的信息进行加密；接收告警信息或者回复消息；如果接收到回复消息，则进行攻击检测；如果没有检测到安全攻击，则通过已经建立的光路径传输业务数据；以及如果检测到安全攻击，则记录本次安全攻击，取消业务连接请求，并统计软件定义光网络的安全威胁程度；其中，控制器和光交换节点的公钥和私钥是运用PKI的数字签名算法产生的，控制器的公钥被分发给多个光交换节点，光交换节点的私钥被上报给控制器。

在一优选的实施方式中，其中，改变状态信息中还封装有业务质量参数、路由参数以及可用波长参数。