一种分组传送网中传输关键信息的安全加固方法与流程

本发明涉及通信领域，具体为适用于mpls-tp的一种分组传送网中传输关键信息的安全加固方法。

背景技术：

mpls为多协议标签交换，是英语multi-protocollabelswitching的缩写，tp为传输协议，为英语transportprofile的缩写。基于mpls-tp技术的分组传送网，即ptn(packettransportnetwork)网络是适应通信业务ip化、网络分组化的当前的主流技术，由ietf/itu-t负责相关标准的制定。mpls-tp技术对多协议标签交换、伪线(mpls/pw)技术进行了简化和改造，引入了传送网分层、oam和线性保护等概念，符合传送网的需求。作为一种面向连接的分组传送技术，mpls-tp由数据平面、管理平面和控制平面组成，建立了端到端的、面向连接的分组传送管道。在传送网络中，mpls-tp将客户信号映射进mpls帧并利用mpls机制(例如标签交换、标签堆栈)进行转发，通过查找标签转发表，进行相应的标签操作，转发数据包。同时增加了传送层的基本功能，例如连接和性能监测、生存性、管理和控制。

在分组传送网ptn中，有些数据信息为网络关键敏感信息，如重要用户(政要或公众人物)个人隐私资料、银行系统金融数据等，这类关键敏感信息在传输过程中必须保证安全、保密。但目前的分组传送网中尚未有针对此类信息传输过程的特殊的安全加固手段，无法确保重要的关键信息在传输过程中不会被截获，或者他人截获了传输中的此类信息也无法识别，以防止关键信息的泄密。为了切实维护重要网络用户的权益，需要开发一种分组传送网中传输关键信息的安全加固方法。

技术实现要素：

本发明的目的是克服现有基于mpls-tp的分组传送网ptn在传输重要用户关键信息的过程中存在的失泄密隐患问题，设计一种分组传送网中传输关键信息的安全加固方法，采用的安全保密手段包括逻辑层面的间插、交织及加密技术对数据包进行重组后发送，还有物理层面的采用不同的发送和接收传输路径，增加信息截获的难度，提高基于ptn网络传输关键信息的安全性和保密性。

本发明提供的一种分组传送网中传输关键信息的安全加固方法，主要步骤如下：

步骤1、确定信息收发的传输路径

当基于mpls-tp的分组传送网ptn网络节点进行关键信息的传输时，由发送节点发起关键信息传输的请求，发送节点和接收节点分别确定各自的发送方向和接收方向网络路径，且发送方向和接收方向网络路径不相同。

当网络节点进行关键信息的传输时，发送节点和接收节点根据整个分组传送网的拓扑结构，计算二者之间的等价多路径(ecmp)，得到发送节点和接收节点间的信息传输可用路由集合。发送节点和接收节点依据链路空闲程度以及跨越的节点数量确定各自不同的发送和接收网络路径，保证两个节点间的信息发送和接收方向所经过的物理路径不同。

步骤2、发送节点和接收节点之间的约定

步骤1完成后，发送节点通过步骤1确定的发送方向网络路径告知接收节点将要进行关键信息的传输；接收节点收到发送节点的告知后通过步骤1确定的接收方向网络路径向发送节点发送确认消息，并发送对关键信息进行数据间插方式、交织的顺序规律及数据包加密的加/解密算法的约定。

步骤3、数据包封装和数据间插

发送节点将关键信息数据封装形成n个数据包，根据步骤2接收节点约定的数据间插方式，发送节点对这n个数据包进行数据间插形成n个新数据包。

步骤4、建立网络连接

发送节点通过标签分发协议(ldp)按步骤1确定的发送方向路径建立与接收节点的网络连接。发送节点与相邻节点之间通过扩展的标签分发协议交互，包括：

相邻节点发现消息，确认相邻节点为直连对等节点；进行标签分发方式的常规参数协商；

向相邻节点请求分配标签；

相邻节点接受请求，为网络节点分配标签；

会话结束，拆除连接。

步骤5、新数据包的mpls标签和顺序号

发送节点为步骤3间插处理后的n个新数据包封装，加上多协议标签交换(mpls)标签，并依次加贴顺序号。接收节点在收到数据包以后按该顺序号辨别数据包的顺序。

步骤6、交织和加密处理

根据步骤2接收节点约定的交织的顺序规律及数据包加密的加/解密算法，发送节点对步骤5处理后的n个新数据包进行交织和加密处理。

步骤7、关键数据信息的发送

发送节点按步骤1确定的发送方向网络路径传输步骤6处理后的数据包。

发送节点查询网络路由信息表，通过扩展的标签分发协议与下一跳节点建立联系，并进行数据传输标签的分发。下一跳节点收到数据包后，识别mpls标签并查阅路由信息表，如果目的节点为本节点时，则进行数据的接收处理；如果目的节点不是本节点，则根据路由信息表为数据包打上新的标签并发送到相邻的下一跳节点。以此类推，直至目的接收节点收到加密后的关键信息数据包。

步骤8、接收节点解密还原关键信息数据包

接收节点收到关键信息数据包后，首先依据步骤2约定的加密规律进行数据包的解密操作，然后依据约定的反交织矩阵及数据间插顺序规律，完成数据的解交织及反间插操作，最终恢复得到原始的关键信息数据包；传输过程结束。

步骤2所述数据间插包括数据包间插、信元间插及字节间插，最佳方案为字节间插，即比特间插。

与现有技术相比，本发明一种分组传送网中传输关键信息的安全加固方法的优点为：1、在发送节点对关键信息采用数据间插处理方式，特别是比特间插方式，使得一个数据包中不再有序地包含完整的数据段，每个数据段被有规律的分散到不同的新的数据包中，在一个数据包中不可能得到完整的数据段信息；而且间插处理以后，还要进行交织、加密处理，进一步打乱了数据包中包含的信息；即使发送方向传输链路被窃听而导致数据包被截获，只要不知道间插、交织的顺序规律，就无法反向重组恢复数据信息，不会造成数据的泄密；2、发送和接收方向的物理路径不同，间插、交织的顺序规律和加/解密算法的约定是由接收节点在接收方向的不同物理路径上传送给发送节点的，因此即使发送方向传输链路被窃听，也不能得到二节点之间的约定，大大降低了数据包被破译的可能性，有效增强了在分组传送网网路中传输关键信息的安全性和保密性能；3、本方法利用现有网络设备易于实现，改动小，可实现平滑升级，实现在开放的通信网上利用标签引导数据高速、高效并安全的传输。

附图说明

图1为本分组传送网中传输关键信息的安全加固方法实施例的流程图；

图2为本分组传送网中传输关键信息的安全加固方法实施例步骤1的网络路径示意图；

图3为本分组传送网中传输关键信息的安全加固方法实施例步骤3比特间插处理得到长数据段过程示意图；

图4为本分组传送网中传输关键信息的安全加固方法实施例步骤3比特间插得到的长数据段分为新数据包的过程示意图；

图5为本分组传送网中传输关键信息的安全加固方法实施例步骤5新数据包加mpls标签和顺序号的过程示意图。

具体实施方式

下面将结合附图和实施例对本发明进行详细具体描述。

本分组传送网中传输关键信息的安全加固方法实施例的流程如图1所示，主要步骤如下：

步骤1、确定信息收发的传输路径

当基于mpls-tp的分组传送网ptn网络节点进行关键信息的传输时，由发送节点发起关键信息传输的请求，发送节点和接收节点分别确定各自的发送方向和接收方向网络路径，且发送方向和接收方向网络路径不相同。

根据计算二者之间的等价多路径(ecmp)、得到发送节点和接收节点间的信息传输可用路由集合，保证两个节点间的信息发送和接收方向所经过的物理路径不同。

本例整个分组传送网的拓扑结构如图2所示，共包含10个分组传送网网络节点，采用mesh组网的方式实现网络互联。选定节点1为发送节点，节点7为接收节点。节点1至节点7的数据传输方向为发送方向，节点7至节点1的数据传输方向为接收方向。基于等价多路径(ecmp)技术，得到两个节点间的等价路径集合，包括路径1-5-6-7，路径1-5-6-4-7，路径1-2-3-4-7，路径1-2-6-10-7，路径1-8-9-10-7，路径1-8-3-4-7等等。发送节点和接收节点依据链路空闲程度和跨越节点数量的约束条件进行具体路径的选择，本例发送节点根据跳数最少的原则选择发送方向路径1-5-6-7，图2内实线箭头表示发送方向路径；接收节点根据链路实际带宽利用率最低的原则选择接收方向路径7-4-3-8-1，图2内虚线箭头表示接收方向路径。

步骤2、发送节点和接收节点之间的约定

步骤1完成后，发送节点通过步骤1确定的发送方向网络路径告知接收节点将要进行关键信息的传输；接收节点收到发送节点的告知后通过步骤1确定的接收方向网络路径向发送节点发送确认消息，并发送对关键信息进行数据间插方式、交织的顺序规律及数据包加密的加/解密算法的约定。在本实施例中选用比特间插。

步骤3、数据包封装和数据间插

作为发送节点的节点1将关键信息数据封装形成n个数据包，每个数据包均有n个字节。如图3左侧所示，数据包1包含字节11、12……1n,数据包2包含字节21、22……2n,……数据包n包含字节n1、n2……nn。

根据步骤2接收节点约定的数据间插方式，发送节点对这n个数据包进行比特间插形成n个新数据包。

如图3所示，比特间插依次取关键信息的数据包1的第一个比特11，数据包2的第一个比特21，至数据包n的第一个比特n1，再取数据包1的第二个比特12，数据包2的第二个比特22，至数据包n的第二个比特n2；如此循环，直至数据包1的第n个比特1n，数据包2的第n个比特2n，至数据包n的第n个比特nn，构成n×n个比特的长数据段，如图3右侧的数据段。

如图4所示，图4左侧为长数据段，按每个数据包n个字节将所得的长数据段顺序分段成如图4右侧的n个间插后的新数据包。

各新的数据包按规律掺和了各原数据包中的字节。间插处理后，各原数据包中的关键信息被分散于n个新数据包内，得到任何一个或多个新数据包无法得到待传输关键信息部分词或段的信息。即使得到完整的n个新数据包，如不掌握间插规律，也很难破解重组出关键信息。

步骤4、建立网络连接

发送节点通过标签分发协议(ldp)按步骤1确定的发送方向路径建立与接收节点的网络连接。发送节点与相邻节点之间通过扩展的标签分发协议交互，以作为发送节点的节点1与相邻节点5之间的网络连接为例，具体步骤如下：

41、节点1和节点5为相邻节点，二者发现对方消息，确认对方为直连对等节点；进行标签分发方式的常规参数协商；

42、节点1向节点5请求分配标签；

43、节点5接受请求，为节点1分配标签；二节点间进行数据传输；

44、会话结束，拆除节点1和5之间的链接。

其它节点之间的连接与其相似。

步骤5、新数据包的mpls标签和顺序号

如图5所示，发送节点为步骤3间插处理后的n个新数据包封装，加上mpls标签，并依次加贴顺序号。

步骤6、交织和加密处理

根据步骤2接收节点约定的交织的顺序规律及数据包加密的加/解密算法，发送节点对步骤5处理后的n个新数据包进行交织和加密处理。所述交织和加密处理为通用的通信技术，不再详述。

步骤7、关键数据信息的发送

发送节点按步骤1确定的发送方向网络路径传输步骤6处理后的数据包。

发送节点查询网络路由信息表，通过扩展的标签分发协议与下一跳节点建立联系，并进行数据传输标签的分发。下一跳节点收到数据包后，识别mpls标签并查阅路由信息表，如果目的节点为本节点时，则进行数据的接收处理；如果目的节点不是本节点，则根据路由信息表为数据包打上新的标签并发送到相邻的下一跳节点。以此类推，直至目的接收节点收到加密后的关键信息数据包。

步骤8、接收节点解密还原关键信息数据包

作为接收节点的网络节点7收到关键信息数据包后，首先依据自身留存的步骤2约定的加密规律进行数据包的解密操作，然后依据约定的反交织矩阵完成数据的解交织处理，恢复得到图5中所示步骤6封装加标签和顺序号后的数据包。

去掉各数据包的包头mpls转发标签，根据各数据包的顺序号，恢复得到图4所示的间插处理后的n个新数据包。

根据事先约定的比特间插规律，进行反间插操作，最终恢复得到原始的关键信息数据包；传输过程结束。

上述实施例，仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例，本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。