自动交换光网络中的网络安全保护方法、 装置和系统 【技术领域】
本 发 明 涉 及 通 信 技 术 领 域, 尤 其 涉 及 一 种 自 动 交 换 光 网 络 (ASON : Automatic Switched Optical Network) 中的网络安全保护方法、 装置和系统。背景技术
ASON 是近年来光网络领域研究的热点, 是用控制平面 (CP : Control Plane) 来控 制完成自动交换和连接控制的光传送网, 遵循国际电信联盟 (TIU-T) 标准 G.8080。
自动交换光网络的诸多应用功能, 如业务建立, 动态重路由、 软重路由、 业务删除 等都是借助协议实现的, 其中最常用的是 OSPF( 开放式最短路径优先 ) 协议和 RSVP( 资源 预留协议 ) 协议。网元通过 OSPF 泛洪获取全网 TE 链路信息, 通过 RSVP 协议建立 LSR( 标 签交换路径 ) 从而完成业务端到端的建立, 某种程度上说, 协议是 ASON 功能的开关, 协议交 互是否正常决定了 ASON 功能是否可用。
自动交换光网络借助协议的同时, 也带来了一些安全方面的隐患, OSPF、 RSVP 等 协议的交互是否是私有的, 能否在公网上截获相关报文, 是否能构造报文以假乱真, 某一个 ASON 网元被破解, 是否能对整个网络实施瘫痪式攻击, 能否隔离被破解的网元 ...... 种种 安全问题都是用户非常关切的, 对于一些特殊行业的用户, 如军队更是如此。 如何解决这些 问题, 是 ASON 技术的重要研究课题。
现有技术是当网络异常时, 采用协议加密的方式防范攻击。 具体步骤是, 首先人工 判定危险网元 ( 被破解的网元, 或有攻击或欺骗等恶意行为的网元 ), 然后对正常网络逐一 手工设置协议认证码, 用认证码切断正常网元和危险网元的联系通道来隔离攻击源。认证 码相同的网元协议可以正常交互, 认证码不同或一方有认证码一方无认证码的网元之间协 议不能正常交互。现有技术提供了隔离网络中被破解网元的手段, 但也有很多缺陷。首先, 需要人为判断全网中的危险网元, 不具备实时性, 可能当危险网元攻击 ASON 造成很大损失 后才发现, 导致补救措施滞后 ; 第二, 网络规模很大的情况下, 逐个设置认证码费时费力, 效 率低下, 如果想隔离成多个子网, 改动的数据量更多, 更容易出错。 综上, 现有技术中使用人 工判定危险网元并设置协议认证码, 响应速度慢, 保护效率低下, 安全保护效果较差。 发明内容 本发明提供了一种 ASON 中的网络安全保护方法、 装置和系统, 解决了现有技术中 使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。
一种 ASON 中的网络安全保护方法, 包括 :
在检测到攻击行为时, 锁定发出所述攻击行为的危险网元 ;
自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的, 所述攻击行为包括以下所列行为中的一种或任意多种的组合 :
更改网元的协议参数、 大范围实施资源预留、 更改控制平面邻居关系、 一次性发起 大批量业务建立、 发大量的报文阻塞 ASON 控制通道。
优选的, 所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括 :
自动生成适用于所述可信任域的协议认证码 ;
以协议广播的方式将所述协议认证码通知所述可信任域内的网元。
优选的, 上述自动交换光网络中的网络安全保护方法还包括 :
所述可信任域内的网元在接收到携带有所述协议认证码的广播时, 采用所述协议 认证码进行加密。
优选的, 上述自动交换光网络中的网络安全保护方法还包括 :
反馈网络运行状态, 所述网络运行状态包括是否存在危险网元及是否自动加密成 功。
本发明还提供了一种自动交换光网络中的网络安全保护装置, 包括 :
监控模块, 用于在检测到攻击行为时, 锁定发出所述攻击行为的危险网元 ;
处理模块, 用于自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的, 所述处理模块包括 :
认证码生成单元, 用于自动生成适用于所述可信任域的协议认证码 ;
广播单元, 用于以协议广播的方式将所述协议认证码通知所述可信任域内的网 元。 优选的, 上述网络安全保护装置还包括 :
反馈模块, 用于反馈网络运行状态, 所述网络运行状态包括是否存在危险网元及 是否自动加密成功。
本发明还提供了一种自动交换光网络中的网络安全保护系统, 该系统包括自动交 换光网络中的网络安全保护装置和该装置保护下的可信任域, 所述可信任域包括至少一个 网元, 所述自动交换光网络中的网络安全保护装置通过所述可信息域中的接入网元接入所 述可信任域 ;
所述自动交换光网络中的网络安全保护装置, 用于在检测到攻击行为时, 锁定发 出所述攻击行为的危险网元, 并自动对所述危险网元威胁到的所述可信任域中的网元进行 加密。
优选的, 所述自动交换光网络中的网络安全保护装置自动对所述危险网元威胁到 的所述可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码, 以 协议广播的方式将所述协议认证码通知所述可信任域内的网元 ;
所述可信任域中的网元, 用于在接收到所述自动交换光网络中的网络安全保护装 置发送的携带有所述协议认证码的广播时, 采用所述协议认证码进行加密。
本发明提供了一种 ASON 中的网络安全保护方法、 装置和系统, 在检测到攻击行为 时, 锁定发出所述攻击行为的危险网元, 并自动对所述危险网元威胁到的可信任域中的网 元进行加密, 由系统自动完成替代了人工设置, 响应速度快, 加密效率高, 解决了现有技术 中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。
附图说明
图 1 为本发明的实施例一提供的一种 ASON 中的网络安全保护装置的结构示意 图;图 2 为图 1 中处理模块 102 的内部结构示意图 ; 图 3 为本发明的实施例一提供的又一种 ASON 中的网络安全保护装置的结构示意 图 4 为本发明的实施例一提供的一种 ASON 中的网络安全保护系统的结构示意 图 5 为本发明的实施例二提供的一种 ASON 中的网络安全保护方法的流程图。图;
图;
具体实施方式
现有技术中使用人工判定危险网元并设置协议认证码, 响应速度慢, 保护效率低 下, 安全保护效果较差。
为了解决上述问题, 本发明的实施例提出了一种 ASON 中的网络安全保护方法、 装 置和系统, 支持内置安全策略判定危险网元, 并能自动生成协议认证码加密网络中的正常 网元, 免除了诸多繁琐的人工操作, 保证了攻击防御的实时性, 增强了网络的安全性, 提升 了用户管理网络的效率。
下文中将结合附图对本发明的实施例进行详细说明。需要说明的是, 在不冲突的 情况下, 本申请中的实施例及实施例中的特征可以相互任意组合。
首先结合附图, 对本发明的实施例一进行说明。
本发明实施例提供了一种 ASON 中的网络安全保护装置, 该装置的结构如图 1 所 示, 包括 :
监控模块 101, 用于在检测到攻击行为时, 锁定发出所述攻击行为的危险网元 ;
处理模块 102, 用于自动对所述危险网元威胁到的可信任域中的网元进行加密。
优选的, 所述处理模块 102 的结构如图 2 所示, 包括 :
认证码生成单元 1021, 用于自动生成适用于所述可信任域的协议认证码 ;
广播单元 1022, 用于以协议广播的方式将所述协议认证码通知所述可信任域内的 网元。
优选的, 上述 ASON 中的网络安全保护装置如图 3 所示, 还包括 :
反馈模块 103, 用于反馈网络运行状态, 所述网络运行状态包括是否存在危险网元 及是否自动加密成功。
本发明实施例还提供了一种 ASON 中的网络安全保护系统, 该系系结构如图 4 所 示, 包括上述 ASON 中的网络安全保护装置 401 和该装置保护下的可信任域 402, 所述可信任 域 402 包括至少一个网元, 所述 ASON 中的网络安全保护装置 401 通过所述可信息域中的接 入网元 403 接入所述可信任域 ;
所述 ASON 中的网络安全保护装置 401, 用于在检测到攻击行为时, 锁定发出所述 攻击行为的危险网元, 并自动对所述危险网元威胁到的所述可信任域 402 中的网元进行加 密。
优选的, 所述 ASON 中的网络安全保护装置 401 自动对所述危险网元威胁到的所述 可信任域中的网元进行加密具体为自动生成适用于所述可信任域的协议认证码, 以协议广 播的方式将所述协议认证码通知所述可信任域 402 内的网元 ;
所述可信任域 402 中的网元, 用于在接收到所述 ASON 中的网络安全保护装置 401发送的携带有所述协议认证码的广播时, 采用所述协议认证码进行加密。
下面结合附图, 对本发明的实施例二进行说明。
本发明实施例提供了一种 ASON 中的网络安全保护方法, 该方法使用本发明的实 施例一中提供的 ASON 中的网络安全保护装置, 以本发明的实施例一提供的 ASON 中的网络 安全保护系统为应用环境, ASON 中的网络安全保护装置上置有一个网络接口, 通过该网络 接口, ASON 中的网络安全保护装置直连至 ASON 中任意一个网元, 再通过该网元访问整个 ASON, 直连的网元称为接入网元。结合本发明的实施例一, 使用本发明实施例提供的 ASON 中的网络安全保护方法完成自动检测危险网元并对可信任域中的网元进行加密的流程如 图 5 所示, 包括 :
步骤 501、 在检测到攻击行为时, 锁定发出所述攻击行为的危险网元 ;
本步骤中, 监控模块负责实时监控 ASON 的运行状况。当网络中出现攻击行为时, 监控模块根据内置安全策略锁定危险网元并通知处理模块自动加密可信任域 ( 可信任域 是指 ASON 中除了危险网元之外的网元集 ), 保护可信任域中的网元免受危险网元的攻击。 监控模块的内置安全策略是一组危险网元攻击行为的判定条件, 包括但不限于以下所列行 为的一种或多种的组合 : 1、 更改网元的协议参数, 如 ospf hello 消息间隔, rsvp restart time 等 ;
2、 大范围实施资源预留, 更改控制平面和传送平面资源归属 ;
3、 更改控制平面邻居关系 ;
4、 一次性发起大批量业务建立, 如导致网络容量达到 50%以上 ;
5、 发大量的报文阻塞 ASON 控制通道等。
优选的, 对 ASON 中攻击行为的检测可由外部操作人员控制启动。
步骤 502、 自动对所述危险网元威胁到的可信任域中的网元进行加密 ;
处理模块负责自动加密可信任域, 以保护可信任域的安全。当网络中出现危险网 元时, 处理模块接收监控模块的通知, 自动生成适用于所述可信任域的协议认证码, 并以协 议广播的方式通知可信任域内的网元采用最新协议认证码加密, 从而隔离危险网元。
所述可信任域内的网元在接收到携带有所述协议认证码的广播时, 即采用所述协 议认证码对后续的通信进行加密, 与任何网元通信都通过该协议认证码认证, 只有同一认 证码才能互相通信, 互相通信成功后即可认定对方是可信任的网元。
可选的, 可信任域内的网元还可以在通过该协议认证码加密成功后, 向所述网络 安全保护装置反馈加密成功。
步骤 503、 反馈网络运行状态, 所述网络运行状态包括是否存在危险网元及是否自 动加密成功 ;
本步骤, 可向用户反馈网络运行状态, 是否存在危险网元, 是否自动加密成功等。
本发明的实施例提供的 ASON 中的网络安全保护装置和系统, 能够与本发明的实 施例提供的一种处理单元 ASON 中的网络安全保护方法相结合, 在检测到攻击行为时, 锁定 发出所述攻击行为的危险网元, 并自动对所述危险网元威胁到的可信任域中的网元进行加 密, 由系统自动完成替代了人工设置, 响应速度快, 加密效率高, 解决了现有技术中使用人 工判定危险网元并设置协议认证码安全保护效果较差的问题。 根据内置安全策略判定 ASON 中的危险网元, 并在可信任域 ( 网络中除开危险网元的网元集合 ) 内以广播的方式自动加
密网络, 从而达到隔离危险网元, 保护正常网元不受攻击的效果。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程 序流程来实现, 所述计算机程序可以存储于一计算机可读存储介质中, 所述计算机程序在 相应的硬件平台上 ( 如系统、 设备、 装置、 器件等 ) 执行, 在执行时, 包括方法实施例的步骤 之一或其组合。
可选地, 上述实施例的全部或部分步骤也可以使用集成电路来实现, 这些步骤可 以被分别制作成一个个集成电路模块, 或者将它们中的多个模块或步骤制作成单个集成电 路模块来实现。这样, 本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置 / 功能模块 / 功能单元可以采用通用的计算装置来实现, 它们可以集中在单个的计算装置上, 也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置 / 功能模块 / 功能单元以软件功能模块的形式实现并作为 独立的产品销售或使用时, 可以存储在一个计算机可读取存储介质中。上述提到的计算机 可读取存储介质可以是只读存储器, 磁盘或光盘等。
任何熟悉本技术领域的技术人员在本发明揭露的技术范围内, 可轻易想到变化或 替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护范围应以权利要求所述的保 护范围为准。