一种面向光网络的安全传输方法及装置

技术领域

本发明涉及通信技术领域，具体涉及一种面向光网络的安全传输方法及装置。

背景技术

光网络是一种利用光信号在设备之间传输数据的技术，具有传输速度高、传输距离长等特点，目前，使用光网络传输已经成为普遍发展趋势。

随着光网络占用越来越多的通信流量和关键任务应用，许多种通信服务根据用户内容或应用程序敏感性，对光网络的安全性要求越来越高。但，光通信系统的物理层很容易受到窃听、中断和其他类型的攻击，基于此，如何提高光网络通信的安全性正在变的非常重要。

发明内容

本发明提出了一种面向光网络的安全传输方法及装置，用以解决现阶段关于局部安全光网络中的安全服务供应问题。

第一方面，本公开提供了一种面向光网络的安全传输方法，包括：

获取光网络的拓扑信息；

接收目标连接请求，所述目标连接请求包括源节点和目标节点；

根据所述拓扑信息、所述目标连接请求包括的源节点和目标节点，以及所述目标连接请求对应的带宽确定所述目标连接请求对应的候选路径集；

计算所述候选路径集中每条路径的安全指数，每条路径的安全指数用于表征相应路径的安全程度；

当所述目标连接请求的安全等级为有安全需求时，按照所述安全指数从所述候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。

第二方面，本公开提供了一种面向光网络的安全传输装置，包括：

获取模块，用于获取光网络的拓扑信息；

接收模块，用于接收目标连接请求，所述目标连接请求包括源节点和目标节点；

确定模块，用于根据所述拓扑信息、所述目标连接请求包括的源节点和目标节点，以及所述目标连接请求对应的带宽确定所述目标连接请求对应的候选路径集；

计算模块，用于计算所述候选路径集中每条路径的安全指数，每条路径的安全指数用于表征相应路径的安全程度；

选择模块，用于当所述目标连接请求的安全等级为有安全需求时，按照所述安全指数从所述候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。

第三方面，本公开提供了一种电子设备，包括：

至少一个处理器；以及与所述至少一个处理器通信连接的存储器；

其中，所述存储器存储有可被所述至少一个处理器执行的一个或多个计算机程序，一个或多个所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上述的面向光网络的安全传输方法。

第四方面，本公开提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在被处理器执行时实现如上述的面向光网络的安全传输方法。

根据本发明提出的一种面向光网络的安全传输方法及装置，首先要获取光网络的拓扑信息，然后接收目标连接请求，所述目标连接请求包括源节点和目标节点，再根据所述拓扑信息、所述目标连接请求包括的源节点和目标节点，以及所述目标连接请求对应的带宽确定所述目标连接请求对应的候选路径集，计算所述候选路径集中每条路径的安全指数，每条路径的安全指数用于表征相应路径的安全程度，当所述目标连接请求的安全等级为有安全需求时，按照所述安全指数从所述候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。本发明充分考虑相邻路由节点之间传输的设备是否具有安全属性，进而衡量端到端连接的安全性，进一步为具有不同安全需求的服务选择合适的路径。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。

在附图中：

图1示出了本发明实施例一提供的一种面向光网络的安全传输方法的流程图。

图2示出了本发明提供的光网络的拓扑图。

图3示出了本发明实施例二提供的一种面向光网络的安全传输装置的示意图。

图4示出了本发明实施例三提供的一种电子设备的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本公开的技术方案，以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

在不冲突的情况下，本公开各实施例及实施例中的各特征可相互组合。

如本文所使用的，术语“和/或”包括一个或多个相关列举条目的任何和所有组合。

本文所使用的术语仅用于描述特定实施例，且不意欲限制本公开。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由……制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。

除非另外限定，否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。

实施例一

图1示出了本发明实施例一提供的一种面向光网络的安全传输方法的流程图，参照图1，该方法包括：

步骤S100：获取光网络的拓扑信息。

其中，本发明根据给定的光网络，建立该光网络的拓扑图，该拓扑图中可以呈现该光网络的拓扑信息，该光网络例如可以通过算法：G＝(V,E)来表示。其中，拓扑图G中V代表节点集，表示该光网络中所包含的所有节点，E代表该光网络的链路集，每条链路表示该光网络中的各节点组成的一条传输路径。

示例性的，如图2所示，为一种可选光网络的拓扑图，该拓扑图中的“①”、“②”……

步骤S110：接收目标连接请求。

其中，光网络安全传输设备接收到终端设备发送的目标连接请求，该目标连接请求中包括源节点和目标节点。一些实现方式中，该目标连接请求中还可以包括该目标连接请求所需的带宽和该目标连接请求对应的安全需求等级等信息。

示例性的，该目标连接请求例如可以表示为r(s,d,w,t)，其中，目标连接请求r表示的是从源节点s节点到目标节点d节点，所需带宽为w，安全需求等级是t的请求。

其中，安全需求等级t例如可以分为三类：无需求型安全服务(t＝No-safe)，部分需求安全服务(t＝Try-safe)和绝对型安全服务(t＝Must-safe)。

例如，在一个具体的示例中，接收到的目标连接请求为r(2,6,100,Must-safe)，即表示本次接收到的是从节点2到节点6，所需带宽为100的绝对型安全服务连接请求。

基于此，一些实现方式中，在接收目标连接请求之后，可以根据该目标连接请求的安全需求等级t，确定该目标连接请求的安全等级，进而，按照目标连接请求的安全等级，确定目标连接请求的匹配的传输路径。

步骤S120：根据拓扑信息、目标连接请求包括源节点和目标节点，以及目标连接请求对应的带宽确定目标连接请求对应的候选路径集。

其中，拓扑信息如步骤S100中所述，目标连接请求的目标连接请求包括源节点和目标节点、以及目标连接请求对应的带宽如步骤S110中所述。本发明可以从拓扑信息中确定目标连接请求的源节点到目标节点的至少两条路径，得到第一路径集，进而，从所述第一路径集中选择与所述目标连接请求对应的带宽相匹配的路径组成所述候选路径集。

具体的，根据步骤S110所述，目标连接请求包括源节点s和目标节点d，其中，源节点s和目标节点d可以是光网络拓扑图节点集V中任意不同的两个节点，例如，源节点为图2中的节点2，目标节点为图2中的节点6。基于此，可以从光网络拓扑图的链路集E中确定源节点s到目标节点d的所有路径，该所有路径组成第一路径集。

需要指出的是，目标连接请求具备带宽要求，而第一路径集中可能包括与目标连接请求的带宽要求不匹配的路径，基于此，可以根据带宽从第一路径集中筛选出满足目标连接请求带宽要求的路径，以将选择出的路径作为候选路径集。其中，满足目标连接请求带宽要求的路径是指，带宽大于目标连接请求带宽的路径。

示例性的，可以遍历比较第一路径集中每个第一路径的带宽与目标连接请求的要求带宽，若第一路径的带宽大于目标连接请求的要求带宽，则将该第一路径作为候选路径，以得到候选路径集。若第一路径的带宽小于目标连接请求的要求带宽，则将该第一路径不做处理。

步骤S130：计算候选路径集中每条路径的安全指数。

其中，每条路径的安全指数用于表征相应路径的安全程度。

根据步骤S110的描述可知，目标连接请求的安全等级为无需求型安全服务、部分需求安全服务和绝对型安全服务中的一个，无论目标连接请求的安全等级是哪一种，本发明均可以按照每条候选路径的安全指数选择与目标连接请求匹配的路径。

示例性的，安全指数可以是安全索引值。

步骤S140：当目标连接请求的安全等级为有安全需求时，按照安全指数从候选路径集中选择安全性最高的候选路径作为目标连接请求对应的传输路径。

其中，在确定目标连接请求的安全等级是部分需求安全服务或绝对型安全服务时，说明目标连接请求的安全等级为有安全需求，而当目标连接请求的安全等级为无需求型安全服务时，说明目标连接请求的安全等级为无安全需求。

可选的，当目标连接请求的安全等级为有安全需求时，计算候选路径集中每条路径的安全指数，按照安全指数从候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。

可选的，当目标连接请求的安全等级为无安全需求时，计算候选路径集中每条路径的安全指数，按照安全指数从候选路径集中选择安全性最低的候选路径作为所述目标连接请求对应的传输路径。

根据步骤S130的描述，安全指数是安全索引值。示例性的，当安全等级为有安全需求时，安全指数是坏索引(bad index，BI)值；当安全等级为无安全需求时，安全指数可以是正向索引值。

进一步的，若目标连接请求中安全需求等级为有安全需求时，可以从所述候选路径集中选择坏索引值最小的候选路径作为所述目标连接请求对应的传输路径；若目标连接请求中安全需求等级为无安全需求时，从所述候选路径集中选择正向索引值最小的候选路径作为所述目标连接请求对应的传输路径。

进一步的，若按照安全索引值确定至少两条与目标连接请求对应的传输路径，则取节点数最少的一条候选路径作为与所述目标连接请求对应的传输路径。

例如，当所述目标连接请求的安全等级为有安全需求时，当候选路径集中安全性最高(即坏索引值最小)的候选路径包括至少两条时，将节点数最少的候选路径作为所述目标连接请求对应的传输路径。

示例性的，任意场景中，当存在两条及以上满足安全需求的候选路径时，可以按路径包含的节点数从小到大排列，之后，选择节点数最小的候选路径作为目标连接请求对应的传输路径。

可见，采用本实现方式，首先要获取光网络的拓扑信息，然后接收目标连接请求，所述目标连接请求包括源节点和目标节点，再根据所述拓扑信息、所述目标连接请求包括的源节点和目标节点，以及所述目标连接请求对应的带宽确定所述目标连接请求对应的候选路径集，计算所述候选路径集中每条路径的安全指数，每条路径的安全指数用于表征相应路径的安全程度，当所述目标连接请求的安全等级为有安全需求时，按照所述安全指数从所述候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。本发明充分考虑相邻路由节点之间传输的设备是否具有安全属性，进而衡量端到端连接的安全性，进一步为具有不同安全需求的服务选择合适的路径。

实施例二

针对上述实现方法，本发明还提供了执行上述方法的软件、硬件及其结合实现的装置和设备。

图3示出了本发明实施例二提供的一种面向输装置的示意图。参照图3，包括：获取模块31、接收模块32、确定模块33、计算模块34以及选择模块35。各模块/单元用于执行上述图1所示方法中全部或部分实施例的步骤。

例如，获取模块31，用于获取光网络的拓扑信息；接收模块32，用于接收目标连接请求，所述目标连接请求包括源节点和目标节点；确定模块33，用于根据所述拓扑信息、所述目标连接请求包括的源节点和目标节点，以及所述目标连接请求对应的带宽确定所述目标连接请求对应的候选路径集；计算模块34，用于计算所述候选路径集中每条路径的安全指数，每条路径的安全指数用于表征相应路径的安全程度；选择模块35，用于当所述目标连接请求的安全等级为有安全需求时，按照所述安全指数从所述候选路径集中选择安全性最高的候选路径作为所述目标连接请求对应的传输路径。

其中，获取模块主要用于获取给定光网络的拓扑信息。

接收模块接收终端设备发送的目标连接请求，目标连接请求内容包括源节点信息、目标节点信息、要求带宽以及安全需求服务信息。相应的，接收模块在收到目标连接请求后，会将解析后的目标连接请求内容发送给确定模块。

确定模块根据目标连接请求的源节点和目标节点，在给定光网络的链路范围内确定第一路径集，以目标连接请求的要求带宽为第一筛选条件，在第一路径集中筛选符合带宽要求的路径作为候选路径，形成候选路径集。其中，第一路径集是给定光网络拓扑信息中满足源节点和目标节点的所有路径方案的集合；其中，候选路径集是满足目标连接请求要求带宽的所有路径方案的集合。

接着，计算模块会计算候选路径集中每条路径的安全指数，其中，每条路径的安全指数用于表征相应路径的安全程度。

然后，选择模块结合安全指数，根据不同的安全需求选择不同的筛选条件来确定与目标连接请求安全需求对应的传输路径。其中，安全需求为有安全需求时，选择安全性最高的路径，即选择通过坏索引值最小的路径作为与目标连接请求对应的传输路径；其中，安全需求为无安全需求时，选择安全性最低的路径，即选择通过正向索引值最小的路径作为与目标连接请求对应的传输路径。

最后，经过带宽和安全需求的两轮筛选，如果存在两条及以上满足目标连接请求要求的候选路径，通过计算每条候选路径总跳数，选择总跳数最小的候选路径,即路径中包含节点最少的路径作为与目标连接请求对应的传输路径。

具体的，详见图1示意的方法实施例的描述，此处不详述。

通过上述方式，借助光网络安全传输设备中获取模块、接收模块、确定模块、计算模块以及选择模块的协同合作，可以根据终端设备发送的目标连接请求来自动匹配合适的传输路径，既考虑了局部安全光网络新场景，又对光网络传输制定了不同分级的安全服务，符合当今时代的光网络发展趋势。

实施例三

图4示出了本发明实施例三提供的一种电子设备的结构示意图，本发明具体实施例并不对电子设备的具体实现做限定。参照图4，该电子设备包括：

至少一个处理器401；与至少一个处理器通信连接的存储器402；通信接口403；以及通信总线404。

其中：

处理器401、存储器402、以及通信接口403通过通信总线404完成相互间的通信。

通信接口403，用于与其它设备比如客户端或其它服务器等的网元通信。

存储器402存储有可被至少一个处理器401执行的一个或多个计算机程序405，一个或多个计算机程序405被上述至少一个处理器401执行，以使至少一个处理器401能够执行如上述的通信对讲方法实施例中对应的各项操作。

实施例四

本申请实施例四提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的虚拟场景中的对象加载方法。可执行指令具体可以用于使得处理器执行上述方法实施例中对应的各个操作。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读存储介质上，计算机可读存储介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。

如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读程序指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM)、静态随机存取存储器(SRAM)、闪存或其他存储器技术、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读程序指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这里所描述的计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，所述计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包(Software DevelopmentKit，SDK)等等。

这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算

机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的5每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序

执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、0以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的

基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本文已经公开了示例实施例，并且虽然采用了具体术语，但它们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领

域技术人员显而易见的是，除非另外明确指出，否则可单独使用与特定实施例相5结合描述的特征、特性和/或元素，或可与其他实施例相结合描述的特征、特性

和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本公开的范围的情况下，可进行各种形式和细节上的改变。