本發(fā)明涉及信息安全技術(shù)領(lǐng)域，更具體地，涉及一種軟件定義網(wǎng)絡(luò)控制通道的安全保障方法。

背景技術(shù)：

軟件定義網(wǎng)絡(luò)(softwaredefinednetwork，簡稱為sdn)，是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，通過其南向接口將網(wǎng)絡(luò)設(shè)備控制層與數(shù)據(jù)層分離開來，并通過開放控制接口將抽象后的網(wǎng)絡(luò)資源提供給應(yīng)用層，實現(xiàn)網(wǎng)絡(luò)的可編程性和集中化網(wǎng)絡(luò)控制，構(gòu)建面向業(yè)務(wù)應(yīng)用的靈活、開放、智能的網(wǎng)絡(luò)體系架構(gòu)。

軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)體系架構(gòu)如圖1所示，軟件定義網(wǎng)絡(luò)控制層的控制器與數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點之間的控制信令傳輸通道稱為控制通道，控制器通過控制通道傳輸控制信令，集中管理數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點，控制通道的控制信令采用ip路由的方式逐跳轉(zhuǎn)發(fā)，在其傳輸和轉(zhuǎn)發(fā)過程中可能出現(xiàn)被竊聽、截獲等安全性問題，擁有敏感控制信令傳輸?shù)目刂仆ǖ涝馐芨`聽將會造成難以估量的損失。目前實用化的軟件定義網(wǎng)絡(luò)控制通道大多未使用安全保密手段，僅少數(shù)用于研究的軟件定義網(wǎng)絡(luò)控制通道可能會使用經(jīng)典的安全保密手段。

目前的軟件定義網(wǎng)絡(luò)控制通道未使用安全保密手段或者僅使用經(jīng)典的安全保密手段，其基本處于不設(shè)防的狀態(tài)或者網(wǎng)絡(luò)安全防護能力存在不足，且在密鑰分發(fā)過程中可能被竊聽和破解，無法確保軟件定義網(wǎng)絡(luò)控制通道的安全。

技術(shù)實現(xiàn)要素：

為了克服上述問題或者至少部分地解決上述問題，本發(fā)明提供一種軟件定義網(wǎng)絡(luò)控制通道的安全保障方法。

根據(jù)本發(fā)明的一個方面，提供一種軟件定義網(wǎng)絡(luò)控制通道的安全保障方法，該方法包括：通過在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署的量子密鑰層，保障軟件定義網(wǎng)絡(luò)控制通道的安全。

其中，量子密鑰層包括量子密鑰分發(fā)終端和量子密鑰分發(fā)鏈路；量子密鑰分發(fā)終端位于控制層的控制器和數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點處，控制器處的量子密鑰分發(fā)終端和網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間通過量子密鑰分發(fā)鏈路連接。

其中，控制器處的量子密鑰分發(fā)終端和網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間形成量子密鑰池，用于存儲對應(yīng)的量子密鑰分發(fā)終端之間生成的量子密鑰；控制器控制量子密鑰池給對應(yīng)的控制器和網(wǎng)絡(luò)節(jié)點之間的控制通道分配量子密鑰。

其中，量子密鑰分發(fā)鏈路包括量子信道和經(jīng)典信道。

其中，量子密鑰層還包括量子中繼器，量子中繼器位于量子信道上。

其中，控制器處的量子密鑰分發(fā)終端通過光時分復(fù)用技術(shù)實現(xiàn)與不同網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間的量子通信。

其中，該方法還包括：控制器實時控制量子密鑰分發(fā)終端生成量子密鑰，以保證量子密鑰池中存儲的量子密鑰量大于對應(yīng)控制通道所需的量子密鑰量。

其中，控制通道所需的量子密鑰量根據(jù)業(yè)務(wù)經(jīng)過網(wǎng)絡(luò)節(jié)點時所需控制信令的數(shù)據(jù)量確定。

本發(fā)明的另一方面，提供一種在軟件定義網(wǎng)絡(luò)中部署量子密鑰層的方法，該方法包括：在軟件定義網(wǎng)絡(luò)的控制器和網(wǎng)絡(luò)節(jié)點處部署量子密鑰分發(fā)終端；在控制器處的量子密鑰分發(fā)終端與網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間部署量子密鑰分發(fā)鏈路，量子密鑰分發(fā)鏈路包括量子信道和經(jīng)典信道。

其中，在控制器處的量子密鑰分發(fā)終端與網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間部署量子密鑰分發(fā)鏈路之后，還包括：測量量子密鑰分發(fā)鏈路的長度；在該長度超過了量子通信傳輸距離的量子密鑰分發(fā)終端之間的量子信道上部署量子中繼器。

本發(fā)明提供的一種軟件定義網(wǎng)絡(luò)控制通道的安全保障方法，通過在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署量子密鑰層，由量子密鑰層基于量子密鑰分發(fā)技術(shù)提供量子密鑰資源，由控制器分配量子密鑰資源并結(jié)合一次一密的加密算法進行加密，從而使軟件定義網(wǎng)絡(luò)控制通道所需的量子密鑰資源由量子密鑰分發(fā)技術(shù)提供，控制通道中的控制信令由一次一密的加密算法進行加密，保證了軟件定義網(wǎng)絡(luò)控制通道理論上的絕對安全。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)中的軟件定義網(wǎng)絡(luò)架構(gòu)的示意圖；

圖2為根據(jù)本發(fā)明實施例的部署量子密鑰層的軟件定義網(wǎng)絡(luò)架構(gòu)的示意圖；

圖3為根據(jù)本發(fā)明實施例的量子密鑰分發(fā)原理的示意圖；

圖4為根據(jù)本發(fā)明實施例的量子密鑰動態(tài)分配方法的流程圖；

圖5為根據(jù)本發(fā)明實施例的在軟件定義網(wǎng)絡(luò)中部署量子密鑰層的方法的流程圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

在本發(fā)明的一個實施例中，提供一種軟件定義網(wǎng)絡(luò)控制通道的安全保障方法，該方法包括：通過在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署的量子密鑰層，保障軟件定義網(wǎng)絡(luò)控制通道的安全。

具體的，現(xiàn)有技術(shù)中的軟件定義網(wǎng)絡(luò)架構(gòu)主要包括控制層和數(shù)據(jù)層，軟件定義網(wǎng)絡(luò)的控制層中包含有控制器，該控制器通過開放控制接口將抽象后的網(wǎng)絡(luò)資源提供給應(yīng)用層，軟件定義網(wǎng)絡(luò)的數(shù)據(jù)層包含若干網(wǎng)絡(luò)節(jié)點，控制層的控制器與數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點之間的控制信令傳輸通道稱為控制通道，控制器通過控制通道傳輸控制信令，集中管理數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點，控制通道的控制信令采用ip路由的方式逐跳轉(zhuǎn)發(fā)。

在現(xiàn)有技術(shù)中的軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署量子密鑰層，形成的軟件定義網(wǎng)絡(luò)架構(gòu)的示意圖如圖2所示。量子密鑰層部署在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間，量子密鑰層基于量子密鑰分發(fā)技術(shù)生成量子密鑰資源，量子密鑰分發(fā)技術(shù)可以保證密鑰分發(fā)的理論上無條件安全。量子密鑰分發(fā)技術(shù)的安全性由“測量塌縮理論”、“海森堡測不準(zhǔn)原理”及“量子不可克隆定律”的量子力學(xué)基本定律保證。控制層的控制器還具有給控制通道分配量子密鑰資源以及給控制通道中的控制信令加密的功能，其中，該加密的算法是基于一次一密的加密算法。

本實施例通過在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署量子密鑰層，由量子密鑰層基于量子密鑰分發(fā)技術(shù)提供量子密鑰資源，由控制器分配量子密鑰資源并結(jié)合一次一密的加密算法進行加密，從而使軟件定義網(wǎng)絡(luò)控制通道所需的量子密鑰資源由量子密鑰分發(fā)技術(shù)提供，控制通道中的控制信令由一次一密的加密算法進行加密，保證了軟件定義網(wǎng)絡(luò)控制通道理論上的絕對安全。

基于以上實施例，量子密鑰層包括量子密鑰分發(fā)終端和量子密鑰分發(fā)鏈路；量子密鑰分發(fā)終端位于控制層的控制器和數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點處，控制器處的量子密鑰分發(fā)終端和網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間通過量子密鑰分發(fā)鏈路連接；控制器處的量子密鑰分發(fā)終端和網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間形成量子密鑰池，用于存儲對應(yīng)的量子密鑰分發(fā)終端之間生成的量子密鑰；控制器控制量子密鑰池給對應(yīng)的控制器和網(wǎng)絡(luò)節(jié)點之間的控制通道分配量子密鑰。其中，量子密鑰分發(fā)鏈路包括量子信道和經(jīng)典信道。

具體的，量子密鑰分發(fā)技術(shù)主要是基于一對量子密鑰分發(fā)終端以及連接該一對量子密鑰分發(fā)終端的量子密鑰分發(fā)鏈路，實現(xiàn)為網(wǎng)絡(luò)中一對網(wǎng)絡(luò)節(jié)點分發(fā)量子密鑰，其中，量子密鑰分發(fā)終端集成了量子信息發(fā)送及量子信息接收的功能，量子密鑰分發(fā)鏈路包括量子信道和經(jīng)典信道。例如，如圖3所示，以量子發(fā)送終端為alice，量子接收終端為bob為例。量子發(fā)送終端alice通過量子信道發(fā)送量子信號給量子接收終端bob，并通過兩者之間的經(jīng)典信道進行交互協(xié)商，以確認最終的安全量子密鑰，目前的量子密鑰分發(fā)技術(shù)主要是通過alice與bob之間進行點對點的量子密鑰分發(fā)。

本實施例中，控制層的控制器處的量子密鑰分發(fā)終端和數(shù)據(jù)層的網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端組成一對量子密鑰分發(fā)終端，結(jié)合連接該一對量子密鑰分發(fā)終端的量子密鑰分發(fā)鏈路，實現(xiàn)為該控制器和該網(wǎng)絡(luò)節(jié)點分發(fā)量子密鑰，其中，控制器處的量子密鑰分發(fā)終端主要體現(xiàn)量子信息發(fā)送功能，網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端主要體現(xiàn)量子信息接收功能。軟件定義網(wǎng)絡(luò)中控制器處的量子密鑰分發(fā)終端和數(shù)據(jù)層的所有網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端，以及連接控制器處的量子密鑰分發(fā)終端與所有網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端的量子密鑰分發(fā)鏈路，構(gòu)成量子密鑰層。

控制器處的量子密鑰分發(fā)終端和網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間形成量子密鑰池(quantumkeypool，簡稱為qkp)，用于存儲對應(yīng)的量子密鑰分發(fā)終端之間生成的量子密鑰；控制器控制量子密鑰池給對應(yīng)的控制器和網(wǎng)絡(luò)節(jié)點之間的控制通道分配量子密鑰，并根據(jù)一次一密的加密算法給控制通道中的控制信令加密。

基于以上實施例，量子密鑰層還包括量子中繼器，量子中繼器位于量子信道上。

具體的，根據(jù)不同的量子密鑰分發(fā)鏈路的長度，選擇具有不同量子通信傳輸性能的量子密鑰分發(fā)終端，以保證較低的誤碼率和時延等，但是長跨距情況下量子密鑰分發(fā)終端不能滿足量子通信的要求，在這種情況下，可以利用量子中繼器延長量子通信傳輸距離，量子中繼器需位于量子信道上，用以延長量子通信傳輸距離并保證較低的誤碼率和時延。

基于以上實施例，控制器處的量子密鑰分發(fā)終端通過光時分復(fù)用技術(shù)實現(xiàn)與不同網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間的量子通信。

具體的，本實施例中的光時分復(fù)用(opticaltimedivisionmultiplexing，簡稱為otdm)技術(shù)，根據(jù)網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端的數(shù)量，將控制器處的量子密鑰分發(fā)終端的量子信道劃分成若干個時序，并將劃分的時序分配給每對量子密鑰分發(fā)終端，每對量子密鑰分發(fā)終端之間的量子通信僅在劃分給該對量子密鑰分發(fā)終端的時序內(nèi)進行，從而保證為不同的量子密鑰池均能生成足夠的量子密鑰資源。量子密鑰分發(fā)終端之間的通信交互需要借助現(xiàn)有的波分復(fù)用(wavelengthdivisionmultiplexing，簡稱為wdm)網(wǎng)絡(luò)承載以節(jié)省成本并可實現(xiàn)簡便部署，由于wdm網(wǎng)絡(luò)中的帶寬資源有限，大量的波長資源需要用于承載海量的業(yè)務(wù)信息，因此，只預(yù)留c波段(1530-1565nm)的兩個波長通道用于量子密鑰分發(fā)終端之間通信所需要的經(jīng)典信道和量子信道。

基于以上實施例，控制器實時控制量子密鑰分發(fā)終端生成量子密鑰，以保證量子密鑰池中存儲的量子密鑰量大于對應(yīng)控制通道所需的量子密鑰量，其中，控制通道所需的量子密鑰量根據(jù)業(yè)務(wù)經(jīng)過網(wǎng)絡(luò)節(jié)點時所需控制信令的數(shù)據(jù)量確定。

具體的，軟件定義網(wǎng)絡(luò)控制層的控制器實時監(jiān)控在一定預(yù)設(shè)時間段內(nèi)，量子密鑰池中剩余的密鑰量和與該量子密鑰池對應(yīng)的控制通道所需的量子密鑰量，以保證前者大于后者，若前者小于后者，則控制器控制啟動該量子密鑰池對應(yīng)的一對量子密鑰分發(fā)終端生成量子密鑰，并注入到該量子密鑰池中。

例如，如圖4所示，數(shù)據(jù)傳輸業(yè)務(wù)到達后，軟件定義網(wǎng)絡(luò)的控制器接收到安全通信請求，利用控制器記錄業(yè)務(wù)每次傳輸?shù)脑此薰?jié)點(1.1)，計算并選擇業(yè)務(wù)的傳輸路徑(1.2)，記錄業(yè)務(wù)需要經(jīng)過的網(wǎng)絡(luò)節(jié)點(1.3)?？刂仆ǖ赖目刂菩帕畈捎胕p路由跳轉(zhuǎn)的方式傳輸轉(zhuǎn)發(fā)，不同源宿節(jié)點間的業(yè)務(wù)根據(jù)其經(jīng)過網(wǎng)絡(luò)節(jié)點數(shù)量和位置的不同需要發(fā)送具有不同數(shù)據(jù)量的控制信令。

根據(jù)記錄的業(yè)務(wù)源宿節(jié)點和業(yè)務(wù)經(jīng)過的網(wǎng)絡(luò)節(jié)點，查找所需的所有控制通道，然后查找對應(yīng)的量子密鑰池(2.1)，計算每個控制通道的控制信令所需的量子密鑰量nc(2.2)，判斷每個控制通道對應(yīng)的量子密鑰池的量子密鑰余量是否大于nc(2.3)，若量子密鑰余量不足則控制量子密鑰池對應(yīng)的一對量子密鑰分發(fā)終端生成量子密鑰(2.4)，否則，控制器控制量子密鑰池分配對應(yīng)的量子密鑰量給對應(yīng)的控制通道(2.5)。同時，為了保障控制通道的絕對安全，控制通道中控制信令的加密使用經(jīng)過嚴格證明理論上絕對安全的一次一密加密算法，控制通道中傳輸?shù)目刂菩帕罴用芩璧拿荑€量應(yīng)不小于控制通道的控制信令的數(shù)據(jù)量。

本實施例通過控制器實時監(jiān)控量子密鑰的使用情況，必要時控制量子密鑰分發(fā)終端生成量子密鑰，以保證量子密鑰的充足性，從而保證了量子密鑰動態(tài)分配的順利實施。

本發(fā)明的又一實施例，如圖5，提供一種在軟件定義網(wǎng)絡(luò)中部署量子密鑰層的方法，包括：s51，在軟件定義網(wǎng)絡(luò)的控制器和網(wǎng)絡(luò)節(jié)點處部署量子密鑰分發(fā)終端；s52，在控制器處的量子密鑰分發(fā)終端與網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間部署量子密鑰分發(fā)鏈路，量子密鑰分發(fā)鏈路包括量子信道和經(jīng)典信道。

其中，在控制器處的量子密鑰分發(fā)終端與網(wǎng)絡(luò)節(jié)點處的量子密鑰分發(fā)終端之間部署量子密鑰分發(fā)鏈路之后，還包括：測量量子密鑰分發(fā)鏈路的長度；在該長度超過了量子通信傳輸距離的量子密鑰分發(fā)終端之間的量子信道上部署量子中繼器。

具體的，首先根據(jù)軟件定義網(wǎng)絡(luò)網(wǎng)絡(luò)拓撲確定網(wǎng)絡(luò)節(jié)點數(shù)量，位置以及控制器的位置，在確定的位置上部署量子密鑰分發(fā)終端；然后根據(jù)控制器的位置和網(wǎng)絡(luò)節(jié)點的位置，在控制器的位置和網(wǎng)絡(luò)節(jié)點的位置之間選擇合適的路徑，用于部署量子密鑰分發(fā)鏈路；通常量子信道是光纖鏈路，經(jīng)典信道是普通的數(shù)據(jù)鏈路，在選擇部署路徑時可基于光纖鏈路的部署成本考慮，以最低的成本部署光纖鏈路，而在部署數(shù)據(jù)鏈路時，可基于最為便捷的方式進行部署。

其中，在部署完光纖鏈路后，測量控制器所在位置與網(wǎng)絡(luò)節(jié)點所在位置之間的距離，該距離相當(dāng)于控制器所在位置與網(wǎng)絡(luò)節(jié)點所在位置之間光纖鏈路的長度，如果該長度超過了量子通信傳輸距離，需要利用量子中繼器延長量子通信傳輸距離，則在該光纖鏈路上部署量子中繼器，以保證較低的誤碼率和時延等。

明顯的，為了保證量子密鑰層能夠?qū)崿F(xiàn)其功能，基于以上部署方法在對量子密鑰層進行部署后，還包括但不限于以下內(nèi)容：將在控制器處部署的量子密鑰分發(fā)終端連接至控制器；將在網(wǎng)絡(luò)節(jié)點處部署的量子密鑰分發(fā)終端連接至網(wǎng)絡(luò)節(jié)點處的相關(guān)設(shè)備；在控制器處部署的量子密鑰分發(fā)終端與網(wǎng)絡(luò)節(jié)點處部署的量子密鑰分發(fā)終端之間設(shè)置量子密鑰池；給控制器增加新的功能，以控制量子密鑰分發(fā)終端生成量子密鑰，和控制量子密鑰池給對應(yīng)的控制通道分配量子密鑰，以及通過一次一密的加密算法給控制通道中的控制信令加密；給量子密鑰池注入足夠的量子密鑰等等。

本實施例通過在軟件定義網(wǎng)絡(luò)的控制層和數(shù)據(jù)層之間部署量子密鑰層，由量子密鑰層基于量子密鑰分發(fā)技術(shù)提供量子密鑰資源，由控制器分配量子密鑰資源并結(jié)合一次一密的加密算法進行加密，從而使軟件定義網(wǎng)絡(luò)控制通道所需的量子密鑰資源由量子密鑰分發(fā)技術(shù)提供，控制通道中的控制信令由一次一密的加密算法進行加密，保證了軟件定義網(wǎng)絡(luò)控制通道理論上的絕對安全。

最后說明的是：以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。