本發明公開了一種軟件定義光網絡的安全交互方法及系統，安全交互方法包括如下步驟：接收分組進入消息；響應于接收到分組進入消息，觸發攻擊檢測；如果檢測出安全攻擊，則記錄本次安全攻擊，取消業務連接請求，并統計安全威脅程度；如果威脅程度高于門限，則觸發PKI模塊進行私鑰更新；如果沒有檢測到安全攻擊，則用控制器的私鑰進行解密；計算出光路由；將路由的相關信息封裝在改變狀態消息的流表項中；使用第一光交換節點的私鑰對改變狀態消息中的信息進行加密；接收告警信息或者回復消息；如果沒有檢測到安全攻擊，則通過已經建立的光路徑傳輸業務數據；以及如果檢測到安全攻擊，則記錄本次安全攻擊，取消業務連接請求，并統計安全威脅程度。

技術領域

本發明是關于通信領域，特別是關于一種軟件定義光網絡的安全交互方法及系統。

背景技術

軟件定義網絡(SDN)作為一種基于軟件定義思想的開放式網絡架構及技術體系，其核心在于網絡節點的控制與轉發功能相互分離，數據層設備只保留簡單的轉發功能。通過控制器對網絡的集中化控制，能實現底層物理網絡對上層網絡應用的開放透明。得益于靈活、高效、可編程的技術優勢，SDN可以實現網絡的能化控制?；赟DN思想的軟件定義光網絡(Software Defined Optical Network，SDON)架構主要分為數據轉發平面、控制平面和應用平面。其中，控制平面和數據轉發平面互相分離?？刂菩诺琅c數據平面的數據傳輸信道相互獨立，通過控制平面的信令協議交互，實現對數據傳輸業務連接的高效控制。作為SDON的核心環節，控制平面的可信連接技術日益受到重視?？尚胚B接是指在光傳送網技術體制的基礎上，建立具備節點可信度、帶寬和優先級保障的業務連接，提供高安全可信的網絡服務，有效抵御安全攻擊和內部破壞。

在光網絡多業務QoS差異化的背景下，軟件定義光網絡的通信安全問題具有一定的復雜性，更容易受到涉及光網絡的所有層面的安全攻擊。在典型的軟件定義光網絡中，OpenFlow協議用于光通道創建、拆除和修改等操作的具體執行。通過OpenFlow協議交互，軟件定義光網絡得以完成復雜的光網絡路由計算和控制，所以OpenFlow協議交互是軟件定義光網絡的關鍵技術之一。由于OpenFlow協議的開放性，軟件定義光網絡在交互過程中，面臨著一定的安全風險，主要包括：竊聽攻擊、阻塞攻擊、消息篡改、重放攻擊以及通信量分析等。

公開于該背景技術部分的信息僅僅旨在增加對本發明的總體背景的理解，而不應當被視為承認或以任何形式暗示該信息構成已為本領域一般技術人員所公知的現有技術。

發明內容

本發明的目的在于提供一種軟件定義光網絡的安全交互方法，其能夠使業務連接的信令交互過程獲得更好的安全保障。

本發明的另一目的在于提供一種軟件定義光網絡的安全交互系統。

為實現上述目的，本發明提供了一種軟件定義光網絡的安全交互方法，軟件定義光網絡的安全交互方法由控制器執行，軟件定義光網絡的安全交互方法包括如下步驟：接收分組進入消息，其中，分組進入消息是由第一光交換節點響應于接收到來自業務終端的連接請求而發送的；響應于接收到分組進入消息，觸發攻擊檢測；如果檢測出安全攻擊，則記錄本次安全攻擊，取消業務連接請求，并統計軟件定義光網絡的安全威脅程度；如果威脅程度高于門限，則觸發PKI模塊進行私鑰更新；如果沒有檢測到安全攻擊，則用控制器的私鑰進行解密；調用路由模塊計算出光路由；將路由的相關信息封裝在改變狀態消息的流表項中；使用第一光交換節點的私鑰對改變狀態消息中的信息進行加密；接收告警信息或者回復消息；如果接收到回復消息，則進行攻擊檢測；如果沒有檢測到安全攻擊，則通過已經建立的光路徑傳輸業務數據；以及如果檢測到安全攻擊，則記錄本次安全攻擊，取消業務連接請求，并統計軟件定義光網絡的安全威脅程度；其中，控制器和光交換節點的公鑰和私鑰是運用PKI的數字簽名算法產生的，控制器的公鑰被分發給多個光交換節點，光交換節點的私鑰被上報給控制器。

在一優選的實施方式中，其中，改變狀態信息中還封裝有業務質量參數、路由參數以及可用波長參數。