[发明专利]一种基于光层OTDR检测的网络安全方法和装置

说明书

本发明公开了一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器；所述SDN控制器触发IP路径计算模块切换IP层路由。本发明在SDN架构中引入光纤入侵检测后，不需要升级现网安全设备，实时监控链路的入侵情况，同时将检测结果反馈给SDN控制器，控制器通过调整传输层路径，IP层路径和加密手段规避入侵或者增加破解难度，实现整网的安全性。

技术领域

本发明涉及安全通信技术领域，具体是一种基于光层OTDR检测的网络安全方法和装置。

背景技术

OTDR光路检测，利用镭射光波在光纤中行进时会产生散射、折射和反射，计算其微量的光功率反射能量值来测量距离。光时域反射模块所测得的数据，送到IPC模块并和已存在数据库中的参考值数据进行比较及计算，如果对比结果超过设定值，说明光纤入侵产生,产生告警上报给监控中心。

SDN即软件定义网络，主要的特征是对网络的集中控制和转发控制分离。集中控制使得整个网络可在逻辑上被视作是一个整体进行运行和维护，可实现对网络的精确控制。

网络数据安全技术，IP层主要使用IPsec和SSL实现对IP层数据报文进行加密保证信息安全；传输层安全主要使用加密机对数据载荷进行加密。

目前，随着SDN的技术发展，控制器的功能逐渐完善，IP+光技术也逐步完善，控制器除了计算路径，下发表项等SDN特有功能外，也可以将IPsec的功能传统功能进行集成，实现业务统一控制精确管理。但是当前SDN控制器并没有将网络安全的各个模块有机的结合，尤其是被光层入侵时，采取的手段多是断掉业务，即现在网络安全各个层次安全特性大多独立运行，没有针对光纤入侵这个场景形成有机的防御整体。

另外，IPsec等IP层加密机制对安全设备的资源要求很高，尤其是对CPU资源的要求。在现网设备不升级的情况下，无法实现对所有业务使用最长的加密密钥，最短的隧道生存周期。

发明内容

本发明的目的在于提供一种基于光层OTDR检测的网络安全方法和装置，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于光层OTDR检测的网络安全方法和装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，其特征在于，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述SDN控制器触发传输路径计算模块(即ASON)切换传输层路线；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度。

一种基于光层OTDR检测的网络安全方法，其工作流程分为流程一、流程二和流程三，具体如下：