[实用新型]一种基于光层OTDR检测的网络安全装置

说明书

本实用新型公开了一种基于光层OTDR检测的网络安全装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度。本实用新型通过简化SDN结构，并添加OTDR检测模块，使光纤检测结果和网络控制联动成为可能。

技术领域

本实用新型涉及安全通信技术领域，具体是一种基于光层OTDR检测的网络安全装置。

背景技术

OTDR光路检测，利用镭射光波在光纤中行进时会产生散射、折射和反射，计算其微量的光功率反射能量值来测量距离。光时域反射模块所测得的数据，送到IPC模块并和已存在数据库中的参考值数据进行比较及计算，如果对比结果超过设定值，说明光纤入侵产生,产生告警上报给监控中心。

SDN即软件定义网络，主要的特征是对网络的集中控制和转发控制分离。集中控制使得整个网络可在逻辑上被视作是一个整体进行运行和维护，可实现对网络的精确控制。

网络数据安全技术，IP层主要使用IPsec和SSL实现对IP层数据报文进行加密保证信息安全；传输层安全主要使用加密机对数据载荷进行加密。

目前，随着SDN的技术发展，控制器的功能逐渐完善，IP+光技术也逐步完善，控制器除了计算路径，下发表项等SDN特有功能外，也可以将IPsec的功能传统功能进行集成，实现业务统一控制精确管理。但是当前SDN控制器并没有将网络安全的各个模块有机的结合，尤其是被光层入侵时，采取的手段多是断掉业务，即现在网络安全各个层次安全特性大多独立运行，没有针对光纤入侵这个场景形成有机的防御整体。

另外，IPsec等IP层加密机制对安全设备的资源要求很高，尤其是对CPU资源的要求。在现网设备不升级的情况下，无法实现对所有业务使用最长的加密密钥，最短的隧道生存周期。

实用新型内容

本实用新型的目的在于提供一种基于光层OTDR检测的网络安全装置，以解决上述背景技术中提出的问题。

为实现上述目的，本实用新型提供如下技术方案：

一种基于光层OTDR检测的网络安全装置，包括SDN控制器、IP路径计算模块、IPsec控制模块、传输路径计算模块和光纤检测控制器，所述SDN控制器分别与IP路径计算模块、IPsec控制模块、传输路径计算模块、光纤检测控制器连接；所述SDN控制器发送指令给光纤检测控制器，光纤检测控制器对指令进行分析和执行负责光纤入侵检测，将检测到的入侵分成高等级入侵、中等级入侵和低等级入侵三个等级，不同的等级采用不同的安全策略；所述SDN控制器触发传输路径计算模块(即ASON)切换传输层路线；所述SDN控制器触发IP路径计算模块切换IP层路由；所述SDN控制器重置IPsec隧道，同时根据预制策略降低SA生存时间，增加密钥长度。

作为本实用新型的进一步方案：所述高等级入侵通过SDN控制直接切换物理路由，对多次切换后还是检测到入侵则断掉传输，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度。

作为本实用新型的进一步方案：所述中等级入侵通过修改IP层路由，对多次修改后还是检测到入侵可以删除路由，或者重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度。

作为本实用新型的再进一步方案：所述低等级入侵通过重置IPsec隧道并更加频繁的更新密钥和加大密钥长度，增加破解难度。