本发明专利技术公开了一种内生安全光网络上网络业务的通信方法及内生安全光网络。该方法包括:通过当前IP路由器,获取所有网络业务的业务属性信息,并传递给对应的当前加解密终端;通过当前加解密终端,根据各业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密;通过当前光通信节点,将同一波长通道承载的所有待传输网络业务传输至相对应下一跳IP路由器;将下一跳IP路由器作为新的当前IP路由器,返回继续执行业务属性信息的获取操作,直至所有网络业务完成通信。本发明专利技术实施例,通过加解密终端以及各业务属性信息,以进行网络业务的通信,有效节省密钥资源,解决了安全级别低、密钥资源利用率低的问题。钥资源利用率低的问题。钥资源利用率低的问题。
【技术实现步骤摘要】
内生安全光网络上网络业务的通信方法及内生安全光网络
[0001]本专利技术实施例涉及网络安全
,尤其涉及一种内生安全光网络上网络业务的通信方法及内生安全光网络。
技术介绍
[0002]大数据时代,业务的网络化应用已成为一种趋势,而承载着机密和敏感信息的业务数据包在网络通信过程中如果被窃取,将会造成难以估量的损失,由此网络通信安全得到越来越多的重视。其中,内生安全光通信技术是近几年较为流行的网络安全通信技术。
[0003]图1给出了基于内生安全光通信技术所构建内生安全光网络的网络架构图,如图1所示,由互联网协议(Internet Protocol,IP)路由器组成的IP层110和基于波分复用(Wavelength Division Multiplexing,WDM)技术的光通信节点组成的光层120,其中,IP层110的一个IP路由器与光层120的一个光通信节点对应。网络业务是光网络承载的主要业务之一,光层120通过为其提供“端到端”的可靠光通道来保证网络业务的服务质量。通过将多个低速网络业务汇聚到一个高速的光通道上有利于提高网络的吞吐量和网络的资源(如:WDM光转发器)利用率,进而降低网络的成本。图1还给出了网络业务在内生安全光网络上的通信过程,可以看出,具有相同源节点和不同宿节点的网络业务1、网络业务2和网络业务3通过IP端口和WDM光转发器汇聚到同一个波长通道上,并在每一个网络业务宿节点处的IP路由器上分离出对应的IP业务。
[0004]在网络通信安全上,内生安全光网络不依赖任何附加的密钥分发链路,主要利用物理层链路属性来完成密钥协商,最终节点之间产生的密钥存储在对应节点加密终端的密钥存储模块中。然而,现有基于物理层安全的网络业务安全通信机制较为僵化,其仅适用于少量的专用网络业务安全通信,且为网络业务分配密钥与加解密的过程仅在网络业务的源宿节点完成,未考虑骨干网承载的全网网络业务的复杂多样性特点,容易造成密钥资源的紧缺,密钥资源的利用率较低,使得网络业务安全通信的等待时延和阻塞率大大增加,严重影响了光网络的性能。
技术实现思路
[0005]本专利技术提供一种内生安全光网络上网络业务的通信方法及内生安全光网络,以实现内生安全光网络上所有网络业务的安全通信。
[0006]第一方面,本专利技术实施例提供了一种内生安全光网络上网络业务的通信方法,所述内生安全光网络的IP层和光层分别包括设定数量的IP路由器和光通信节点,每个IP路由器对应一个加解密终端及一个光通信节点,该方法包括:
[0007]通过当前IP路由器,接收到网络业务后,获取所有网络业务的业务属性信息,并传递给对应的当前加解密终端;
[0008]通过所述当前加解密终端,根据各所述业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密;
[0009]通过当前光通信节点,将同一波长通道承载的所有待传输网络业务传输至相对应下一跳IP路由器;
[0010]将所述下一跳IP路由器作为新的当前IP路由器,返回继续执行业务属性信息的获取操作,直至所有网络业务完成通信。
[0011]第二方面,本专利技术实施例还提供了一种内生安全光网络,该内生安全光网络包括:IP层和光层,所述IP层和光层分别包括设定数量的IP路由器和光通信节点,每个IP路由器对应一个加解密终端及一个光通信节点;
[0012]一个IP路由器作为当前IP路由器,所对应加解密终端及光通信节点分别作为当前加解密终端和当前光通信节点;
[0013]所述当前IP路由器,用于接收到网络业务后,获取所有网络业务的业务属性信息,并传递给对应的当前加解密终端;
[0014]所述当前加解密终端,用于根据各所述业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密;
[0015]所述当前光通信节点,用于将同一波长通道承载的所有待传输网络业务传输至相对应下一跳IP路由器,且下一跳IP路由器作为新的当前IP路由器。
[0016]本专利技术实施例所提供的技术方案中,首先通过当前IP路由器,接收到网络业务后,获取所有网络业务的业务属性信息,并传递给对应的当前加解密终端;然后通过当前加解密终端,根据各业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密;之后通过当前光通信节点,将同一波长通道承载的所有待传输网络业务传输至相对应下一跳IP路由器;最后将下一跳IP路由器作为新的当前IP路由器,返回继续执行业务属性信息的获取操作,直至所有网络业务完成通信。本专利技术实施例,通过加解密终端,根据各业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密,以进行网络业务的通信,解决了现有IP业务安全通信中安全级别低、密钥资源利用率低的问题,有效节省了密钥资源。且充分利用了分段链路的密钥资源,减少了远距离链路密钥资源的使用,有利于在节省密钥资源、提高密钥资源利用率的同时完成内生安全光网络上所有IP业务的安全通信。与现有技术相比,所采用的内生安全光网络上网络业务的通信方法,考虑到骨干网承载的全网IP业务的复杂多样性的特点,解决了密钥资源的利用率低的问题,一定程度上减少了IP业务安全通信的等待时延和阻塞率,有效提升了光网络的性能。
附图说明
[0017]图1给出了基于内生安全光通信技术所构建内生安全光网络的网络架构图;
[0018]图2给出了现有技术中内生安全光网络上网络业务的通信过程示意图;
[0019]图3为本专利技术实施例一提供的一种内生安全光网络上网络业务的通信方法的流程图;
[0020]图4为本专利技术实施例二提供的一种内生安全光网络上网络业务的通信方法的流程图;
[0021]图5为本专利技术实施例三提供的一种内生安全光网络上IP业务安全通信示意图;
[0022]图6为本专利技术实施例三提供的一种内生安全光网络上IP业务的安全通信方法的流
程示意图;
[0023]图7为本专利技术实施例三提供的一种内生安全光网络上IP业务安全通信方法的流程图;
[0024]图8为本专利技术实施例四提供的一种内生安全光网络的结构示意图。
具体实施方式
[0025]下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部结构。
[0026]为便于验证现有技术中内生安全光网络上网络业务的通信过程,图2给出了现有技术中内生安全光网络上网络业务的通信过程示意图,如图2所示,内生安全光通信节点之间利用物理层链路属性来完成密钥协商,最终节点之间产生的密钥存储在对应节点加解密终端的密钥存储模块中。当网络业务到达源节点后,网络业务源宿节点对应加密终端的密钥存储模块为网络业务分配密钥,加解密终端基于密钥对网络业务进行加密,加密后的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内生安全光网络上网络业务的通信方法,其特征在于,所述内生安全光网络的IP层和光层分别包括设定数量的IP路由器和光通信节点,每个IP路由器对应一个加解密终端及一个光通信节点,所述方法包括:通过当前IP路由器,接收到网络业务后,获取所有网络业务的业务属性信息,并传递给对应的当前加解密终端;通过所述当前加解密终端,根据各所述业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密;通过当前光通信节点,将同一波长通道承载的所有待传输网络业务传输至相对应下一跳IP路由器;将所述下一跳IP路由器作为新的当前IP路由器,返回继续执行业务属性信息的获取操作,直至所有网络业务完成通信。2.根据权利要求1所述的方法,其特征在于,所述通过所述当前加解密终端,根据各所述业务属性信息,确定同一波长通道下所有待传输网络业务传输至相对应下一跳IP路由器所需的安全密钥并加密,包括:通过所述当前加解密终端,针对同一波长通道承载的所有待传输网络业务,从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期;按照各所述传输路径以及传输跳数,确定所述波长通道下所有待传输网络业务对应的下一跳IP路由器;基于各所述密钥长度及密钥更新周期,确定所述波长通道对应的最大密钥长度和最小密钥更新周期;基于所述最大密钥长度和最小密钥更新周期,确定所述波长通道下所有待传输网络业务到达所述下一跳IP路由器所需的安全密钥;采用所述安全密钥结合高级加密标准加密算法,对所述波长通道下所有待传输网络业务加密。3.根据权利要求1所述的方法,其特征在于,还包括:通过当前IP路由器,基于各所述业务属性信息中的宿节点信息,确定各波长通道下对应的待传输网络业务。4.根据权利要求3所述的方法,其特征在于,所述通过当前IP路由器,基于各所述业务属性信息中的宿节点信息,确定各波长通道下对应的待传输网络业务,包括:通过当前IP路由器,确定在业务层上关联的各业务节点,并获得各业务节点的业务节点信息;针对同一波长通道下承载的每个网络业务,从所对应业务属性信息中提取宿节点信息,并将所述宿节点信息与各所述业务节点信息比对;如果未存在相匹配的业务节点信息,则将所述网络业务确定为所属波长通道下的待传输网络业务。5.根据权利要求4所述的方法,其特征在于,在将所述宿节点信息与各所述业务节点信息比对之后,还包括:如果存在相匹配的业务节点信息,则确定所匹配业务节点信息对应的目标业务节点为所述网络业务的宿节点,将所述网络业务传输至所述目标业务节点,以完成网络通信。
6.根据权利要求1
‑
【专利技术属性】
技术研发人员:李大伟,林亦雷,肖云杰,冯晨,刘莹,汤皓岚,
申请(专利权)人:国网上海市电力公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。