[发明专利]自动交换光网络中的网络安全保护方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种自动交换光网络(ASON：Automatic Switched Optical Network)中的网络安全保护方法、装置和系统。

背景技术

ASON是近年来光网络领域研究的热点，是用控制平面(CP：Control Plane)来控制完成自动交换和连接控制的光传送网，遵循国际电信联盟(TIU-T)标准G.8080。

自动交换光网络的诸多应用功能，如业务建立，动态重路由、软重路由、业务删除等都是借助协议实现的，其中最常用的是OSPF(开放式最短路径优先)协议和RSVP(资源预留协议)协议。网元通过OSPF泛洪获取全网TE链路信息，通过RSVP协议建立LSR(标签交换路径)从而完成业务端到端的建立，某种程度上说，协议是ASON功能的开关，协议交互是否正常决定了ASON功能是否可用。

自动交换光网络借助协议的同时，也带来了一些安全方面的隐患，OSPF、RSVP等协议的交互是否是私有的，能否在公网上截获相关报文，是否能构造报文以假乱真，某一个ASON网元被破解，是否能对整个网络实施瘫痪式攻击，能否隔离被破解的网元......种种安全问题都是用户非常关切的，对于一些特殊行业的用户，如军队更是如此。如何解决这些问题，是ASON技术的重要研究课题。

现有技术是当网络异常时，采用协议加密的方式防范攻击。具体步骤是，首先人工判定危险网元(被破解的网元，或有攻击或欺骗等恶意行为的网元)，然后对正常网络逐一手工设置协议认证码，用认证码切断正常网元和危险网元的联系通道来隔离攻击源。认证码相同的网元协议可以正常交互，认证码不同或一方有认证码一方无认证码的网元之间协议不能正常交互。现有技术提供了隔离网络中被破解网元的手段，但也有很多缺陷。首先，需要人为判断全网中的危险网元，不具备实时性，可能当危险网元攻击ASON造成很大损失后才发现，导致补救措施滞后；第二，网络规模很大的情况下，逐个设置认证码费时费力，效率低下，如果想隔离成多个子网，改动的数据量更多，更容易出错。综上，现有技术中使用人工判定危险网元并设置协议认证码，响应速度慢，保护效率低下，安全保护效果较差。

发明内容

本发明提供了一种ASON中的网络安全保护方法、装置和系统，解决了现有技术中使用人工判定危险网元并设置协议认证码安全保护效果较差的问题。

一种ASON中的网络安全保护方法，包括：

在检测到攻击行为时，锁定发出所述攻击行为的危险网元；

自动对所述危险网元威胁到的可信任域中的网元进行加密。

优选的，所述攻击行为包括以下所列行为中的一种或任意多种的组合：

更改网元的协议参数、大范围实施资源预留、更改控制平面邻居关系、一次性发起大批量业务建立、发大量的报文阻塞ASON控制通道。

优选的，所述自动对所述危险网元威胁到的可信任域中的网元进行加密包括：

自动生成适用于所述可信任域的协议认证码；

以协议广播的方式将所述协议认证码通知所述可信任域内的网元。

优选的，上述自动交换光网络中的网络安全保护方法还包括：

所述可信任域内的网元在接收到携带有所述协议认证码的广播时，采用所述协议认证码进行加密。

优选的，上述自动交换光网络中的网络安全保护方法还包括：

反馈网络运行状态，所述网络运行状态包括是否存在危险网元及是否自动加密成功。

本发明还提供了一种自动交换光网络中的网络安全保护装置，包括：

监控模块，用于在检测到攻击行为时，锁定发出所述攻击行为的危险网元；

处理模块，用于自动对所述危险网元威胁到的可信任域中的网元进行加密。

优选的，所述处理模块包括：

认证码生成单元，用于自动生成适用于所述可信任域的协议认证码；

广播单元，用于以协议广播的方式将所述协议认证码通知所述可信任域内的网元。

优选的，上述网络安全保护装置还包括：

反馈模块，用于反馈网络运行状态，所述网络运行状态包括是否存在危险网元及是否自动加密成功。

本发明还提供了一种自动交换光网络中的网络安全保护系统，该系统包括自动交换光网络中的网络安全保护装置和该装置保护下的可信任域，所述可信任域包括至少一个网元，所述自动交换光网络中的网络安全保护装置通过所述可信息域中的接入网元接入所述可信任域；