本發(fā)明涉及通信領(lǐng)域，具體為適用于mpls-tp的一種分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法。

背景技術(shù)：

mpls為多協(xié)議標(biāo)簽交換，是英語multi-protocollabelswitching的縮寫，tp為傳輸協(xié)議，為英語transportprofile的縮寫?；趍pls-tp技術(shù)的分組傳送網(wǎng)，即ptn(packettransportnetwork)網(wǎng)絡(luò)是適應(yīng)通信業(yè)務(wù)ip化、網(wǎng)絡(luò)分組化的當(dāng)前的主流技術(shù)，由ietf/itu-t負責(zé)相關(guān)標(biāo)準(zhǔn)的制定。mpls-tp技術(shù)對多協(xié)議標(biāo)簽交換、偽線(mpls/pw)技術(shù)進行了簡化和改造，引入了傳送網(wǎng)分層、oam和線性保護等概念，符合傳送網(wǎng)的需求。作為一種面向連接的分組傳送技術(shù)，mpls-tp由數(shù)據(jù)平面、管理平面和控制平面組成，建立了端到端的、面向連接的分組傳送管道。在傳送網(wǎng)絡(luò)中，mpls-tp將客戶信號映射進mpls幀并利用mpls機制(例如標(biāo)簽交換、標(biāo)簽堆棧)進行轉(zhuǎn)發(fā)，通過查找標(biāo)簽轉(zhuǎn)發(fā)表，進行相應(yīng)的標(biāo)簽操作，轉(zhuǎn)發(fā)數(shù)據(jù)包。同時增加了傳送層的基本功能，例如連接和性能監(jiān)測、生存性、管理和控制。

在分組傳送網(wǎng)ptn中，有些數(shù)據(jù)信息為網(wǎng)絡(luò)關(guān)鍵敏感信息，如重要用戶(政要或公眾人物)個人隱私資料、銀行系統(tǒng)金融數(shù)據(jù)等，這類關(guān)鍵敏感信息在傳輸過程中必須保證安全、保密。但目前的分組傳送網(wǎng)中尚未有針對此類信息傳輸過程的特殊的安全加固手段，無法確保重要的關(guān)鍵信息在傳輸過程中不會被截獲，或者他人截獲了傳輸中的此類信息也無法識別，以防止關(guān)鍵信息的泄密。為了切實維護重要網(wǎng)絡(luò)用戶的權(quán)益，需要開發(fā)一種分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的是克服現(xiàn)有基于mpls-tp的分組傳送網(wǎng)ptn在傳輸重要用戶關(guān)鍵信息的過程中存在的失泄密隱患問題，設(shè)計一種分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法，采用的安全保密手段包括邏輯層面的間插、交織及加密技術(shù)對數(shù)據(jù)包進行重組后發(fā)送，還有物理層面的采用不同的發(fā)送和接收傳輸路徑，增加信息截獲的難度，提高基于ptn網(wǎng)絡(luò)傳輸關(guān)鍵信息的安全性和保密性。

本發(fā)明提供的一種分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法，主要步驟如下：

步驟1、確定信息收發(fā)的傳輸路徑

當(dāng)基于mpls-tp的分組傳送網(wǎng)ptn網(wǎng)絡(luò)節(jié)點進行關(guān)鍵信息的傳輸時，由發(fā)送節(jié)點發(fā)起關(guān)鍵信息傳輸?shù)恼埱?，發(fā)送節(jié)點和接收節(jié)點分別確定各自的發(fā)送方向和接收方向網(wǎng)絡(luò)路徑，且發(fā)送方向和接收方向網(wǎng)絡(luò)路徑不相同。

當(dāng)網(wǎng)絡(luò)節(jié)點進行關(guān)鍵信息的傳輸時，發(fā)送節(jié)點和接收節(jié)點根據(jù)整個分組傳送網(wǎng)的拓撲結(jié)構(gòu)，計算二者之間的等價多路徑(ecmp)，得到發(fā)送節(jié)點和接收節(jié)點間的信息傳輸可用路由集合。發(fā)送節(jié)點和接收節(jié)點依據(jù)鏈路空閑程度以及跨越的節(jié)點數(shù)量確定各自不同的發(fā)送和接收網(wǎng)絡(luò)路徑，保證兩個節(jié)點間的信息發(fā)送和接收方向所經(jīng)過的物理路徑不同。

步驟2、發(fā)送節(jié)點和接收節(jié)點之間的約定

步驟1完成后，發(fā)送節(jié)點通過步驟1確定的發(fā)送方向網(wǎng)絡(luò)路徑告知接收節(jié)點將要進行關(guān)鍵信息的傳輸；接收節(jié)點收到發(fā)送節(jié)點的告知后通過步驟1確定的接收方向網(wǎng)絡(luò)路徑向發(fā)送節(jié)點發(fā)送確認消息，并發(fā)送對關(guān)鍵信息進行數(shù)據(jù)間插方式、交織的順序規(guī)律及數(shù)據(jù)包加密的加/解密算法的約定。

步驟3、數(shù)據(jù)包封裝和數(shù)據(jù)間插

發(fā)送節(jié)點將關(guān)鍵信息數(shù)據(jù)封裝形成n個數(shù)據(jù)包，根據(jù)步驟2接收節(jié)點約定的數(shù)據(jù)間插方式，發(fā)送節(jié)點對這n個數(shù)據(jù)包進行數(shù)據(jù)間插形成n個新數(shù)據(jù)包。

步驟4、建立網(wǎng)絡(luò)連接

發(fā)送節(jié)點通過標(biāo)簽分發(fā)協(xié)議(ldp)按步驟1確定的發(fā)送方向路徑建立與接收節(jié)點的網(wǎng)絡(luò)連接。發(fā)送節(jié)點與相鄰節(jié)點之間通過擴展的標(biāo)簽分發(fā)協(xié)議交互，包括：

相鄰節(jié)點發(fā)現(xiàn)消息，確認相鄰節(jié)點為直連對等節(jié)點；進行標(biāo)簽分發(fā)方式的常規(guī)參數(shù)協(xié)商；

向相鄰節(jié)點請求分配標(biāo)簽；

相鄰節(jié)點接受請求，為網(wǎng)絡(luò)節(jié)點分配標(biāo)簽；

會話結(jié)束，拆除連接。

步驟5、新數(shù)據(jù)包的mpls標(biāo)簽和順序號

發(fā)送節(jié)點為步驟3間插處理后的n個新數(shù)據(jù)包封裝，加上多協(xié)議標(biāo)簽交換(mpls)標(biāo)簽，并依次加貼順序號。接收節(jié)點在收到數(shù)據(jù)包以后按該順序號辨別數(shù)據(jù)包的順序。

步驟6、交織和加密處理

根據(jù)步驟2接收節(jié)點約定的交織的順序規(guī)律及數(shù)據(jù)包加密的加/解密算法，發(fā)送節(jié)點對步驟5處理后的n個新數(shù)據(jù)包進行交織和加密處理。

步驟7、關(guān)鍵數(shù)據(jù)信息的發(fā)送

發(fā)送節(jié)點按步驟1確定的發(fā)送方向網(wǎng)絡(luò)路徑傳輸步驟6處理后的數(shù)據(jù)包。

發(fā)送節(jié)點查詢網(wǎng)絡(luò)路由信息表，通過擴展的標(biāo)簽分發(fā)協(xié)議與下一跳節(jié)點建立聯(lián)系，并進行數(shù)據(jù)傳輸標(biāo)簽的分發(fā)。下一跳節(jié)點收到數(shù)據(jù)包后，識別mpls標(biāo)簽并查閱路由信息表，如果目的節(jié)點為本節(jié)點時，則進行數(shù)據(jù)的接收處理；如果目的節(jié)點不是本節(jié)點，則根據(jù)路由信息表為數(shù)據(jù)包打上新的標(biāo)簽并發(fā)送到相鄰的下一跳節(jié)點。以此類推，直至目的接收節(jié)點收到加密后的關(guān)鍵信息數(shù)據(jù)包。

步驟8、接收節(jié)點解密還原關(guān)鍵信息數(shù)據(jù)包

接收節(jié)點收到關(guān)鍵信息數(shù)據(jù)包后，首先依據(jù)步驟2約定的加密規(guī)律進行數(shù)據(jù)包的解密操作，然后依據(jù)約定的反交織矩陣及數(shù)據(jù)間插順序規(guī)律，完成數(shù)據(jù)的解交織及反間插操作，最終恢復(fù)得到原始的關(guān)鍵信息數(shù)據(jù)包；傳輸過程結(jié)束。

步驟2所述數(shù)據(jù)間插包括數(shù)據(jù)包間插、信元間插及字節(jié)間插，最佳方案為字節(jié)間插，即比特間插。

與現(xiàn)有技術(shù)相比，本發(fā)明一種分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法的優(yōu)點為：1、在發(fā)送節(jié)點對關(guān)鍵信息采用數(shù)據(jù)間插處理方式，特別是比特間插方式，使得一個數(shù)據(jù)包中不再有序地包含完整的數(shù)據(jù)段，每個數(shù)據(jù)段被有規(guī)律的分散到不同的新的數(shù)據(jù)包中，在一個數(shù)據(jù)包中不可能得到完整的數(shù)據(jù)段信息；而且間插處理以后，還要進行交織、加密處理，進一步打亂了數(shù)據(jù)包中包含的信息；即使發(fā)送方向傳輸鏈路被竊聽而導(dǎo)致數(shù)據(jù)包被截獲，只要不知道間插、交織的順序規(guī)律，就無法反向重組恢復(fù)數(shù)據(jù)信息，不會造成數(shù)據(jù)的泄密；2、發(fā)送和接收方向的物理路徑不同，間插、交織的順序規(guī)律和加/解密算法的約定是由接收節(jié)點在接收方向的不同物理路徑上傳送給發(fā)送節(jié)點的，因此即使發(fā)送方向傳輸鏈路被竊聽，也不能得到二節(jié)點之間的約定，大大降低了數(shù)據(jù)包被破譯的可能性，有效增強了在分組傳送網(wǎng)網(wǎng)路中傳輸關(guān)鍵信息的安全性和保密性能；3、本方法利用現(xiàn)有網(wǎng)絡(luò)設(shè)備易于實現(xiàn)，改動小，可實現(xiàn)平滑升級，實現(xiàn)在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效并安全的傳輸。

附圖說明

圖1為本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例的流程圖；

圖2為本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例步驟1的網(wǎng)絡(luò)路徑示意圖；

圖3為本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例步驟3比特間插處理得到長數(shù)據(jù)段過程示意圖；

圖4為本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例步驟3比特間插得到的長數(shù)據(jù)段分為新數(shù)據(jù)包的過程示意圖；

圖5為本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例步驟5新數(shù)據(jù)包加mpls標(biāo)簽和順序號的過程示意圖。

具體實施方式

下面將結(jié)合附圖和實施例對本發(fā)明進行詳細具體描述。

本分組傳送網(wǎng)中傳輸關(guān)鍵信息的安全加固方法實施例的流程如圖1所示，主要步驟如下：

步驟1、確定信息收發(fā)的傳輸路徑

當(dāng)基于mpls-tp的分組傳送網(wǎng)ptn網(wǎng)絡(luò)節(jié)點進行關(guān)鍵信息的傳輸時，由發(fā)送節(jié)點發(fā)起關(guān)鍵信息傳輸?shù)恼埱?，發(fā)送節(jié)點和接收節(jié)點分別確定各自的發(fā)送方向和接收方向網(wǎng)絡(luò)路徑，且發(fā)送方向和接收方向網(wǎng)絡(luò)路徑不相同。

根據(jù)計算二者之間的等價多路徑(ecmp)、得到發(fā)送節(jié)點和接收節(jié)點間的信息傳輸可用路由集合，保證兩個節(jié)點間的信息發(fā)送和接收方向所經(jīng)過的物理路徑不同。

本例整個分組傳送網(wǎng)的拓撲結(jié)構(gòu)如圖2所示，共包含10個分組傳送網(wǎng)網(wǎng)絡(luò)節(jié)點，采用mesh組網(wǎng)的方式實現(xiàn)網(wǎng)絡(luò)互聯(lián)。選定節(jié)點1為發(fā)送節(jié)點，節(jié)點7為接收節(jié)點。節(jié)點1至節(jié)點7的數(shù)據(jù)傳輸方向為發(fā)送方向，節(jié)點7至節(jié)點1的數(shù)據(jù)傳輸方向為接收方向。基于等價多路徑(ecmp)技術(shù)，得到兩個節(jié)點間的等價路徑集合，包括路徑1-5-6-7，路徑1-5-6-4-7，路徑1-2-3-4-7，路徑1-2-6-10-7，路徑1-8-9-10-7，路徑1-8-3-4-7等等。發(fā)送節(jié)點和接收節(jié)點依據(jù)鏈路空閑程度和跨越節(jié)點數(shù)量的約束條件進行具體路徑的選擇，本例發(fā)送節(jié)點根據(jù)跳數(shù)最少的原則選擇發(fā)送方向路徑1-5-6-7，圖2內(nèi)實線箭頭表示發(fā)送方向路徑；接收節(jié)點根據(jù)鏈路實際帶寬利用率最低的原則選擇接收方向路徑7-4-3-8-1，圖2內(nèi)虛線箭頭表示接收方向路徑。

步驟2、發(fā)送節(jié)點和接收節(jié)點之間的約定

步驟1完成后，發(fā)送節(jié)點通過步驟1確定的發(fā)送方向網(wǎng)絡(luò)路徑告知接收節(jié)點將要進行關(guān)鍵信息的傳輸；接收節(jié)點收到發(fā)送節(jié)點的告知后通過步驟1確定的接收方向網(wǎng)絡(luò)路徑向發(fā)送節(jié)點發(fā)送確認消息，并發(fā)送對關(guān)鍵信息進行數(shù)據(jù)間插方式、交織的順序規(guī)律及數(shù)據(jù)包加密的加/解密算法的約定。在本實施例中選用比特間插。

步驟3、數(shù)據(jù)包封裝和數(shù)據(jù)間插

作為發(fā)送節(jié)點的節(jié)點1將關(guān)鍵信息數(shù)據(jù)封裝形成n個數(shù)據(jù)包，每個數(shù)據(jù)包均有n個字節(jié)。如圖3左側(cè)所示，數(shù)據(jù)包1包含字節(jié)11、12……1n,數(shù)據(jù)包2包含字節(jié)21、22……2n,……數(shù)據(jù)包n包含字節(jié)n1、n2……nn。

根據(jù)步驟2接收節(jié)點約定的數(shù)據(jù)間插方式，發(fā)送節(jié)點對這n個數(shù)據(jù)包進行比特間插形成n個新數(shù)據(jù)包。

如圖3所示，比特間插依次取關(guān)鍵信息的數(shù)據(jù)包1的第一個比特11，數(shù)據(jù)包2的第一個比特21，至數(shù)據(jù)包n的第一個比特n1，再取數(shù)據(jù)包1的第二個比特12，數(shù)據(jù)包2的第二個比特22，至數(shù)據(jù)包n的第二個比特n2；如此循環(huán)，直至數(shù)據(jù)包1的第n個比特1n，數(shù)據(jù)包2的第n個比特2n，至數(shù)據(jù)包n的第n個比特nn，構(gòu)成n×n個比特的長數(shù)據(jù)段，如圖3右側(cè)的數(shù)據(jù)段。

如圖4所示，圖4左側(cè)為長數(shù)據(jù)段，按每個數(shù)據(jù)包n個字節(jié)將所得的長數(shù)據(jù)段順序分段成如圖4右側(cè)的n個間插后的新數(shù)據(jù)包。

各新的數(shù)據(jù)包按規(guī)律摻和了各原數(shù)據(jù)包中的字節(jié)。間插處理后，各原數(shù)據(jù)包中的關(guān)鍵信息被分散于n個新數(shù)據(jù)包內(nèi)，得到任何一個或多個新數(shù)據(jù)包無法得到待傳輸關(guān)鍵信息部分詞或段的信息。即使得到完整的n個新數(shù)據(jù)包，如不掌握間插規(guī)律，也很難破解重組出關(guān)鍵信息。

步驟4、建立網(wǎng)絡(luò)連接

發(fā)送節(jié)點通過標(biāo)簽分發(fā)協(xié)議(ldp)按步驟1確定的發(fā)送方向路徑建立與接收節(jié)點的網(wǎng)絡(luò)連接。發(fā)送節(jié)點與相鄰節(jié)點之間通過擴展的標(biāo)簽分發(fā)協(xié)議交互，以作為發(fā)送節(jié)點的節(jié)點1與相鄰節(jié)點5之間的網(wǎng)絡(luò)連接為例，具體步驟如下：

41、節(jié)點1和節(jié)點5為相鄰節(jié)點，二者發(fā)現(xiàn)對方消息，確認對方為直連對等節(jié)點；進行標(biāo)簽分發(fā)方式的常規(guī)參數(shù)協(xié)商；

42、節(jié)點1向節(jié)點5請求分配標(biāo)簽；

43、節(jié)點5接受請求，為節(jié)點1分配標(biāo)簽；二節(jié)點間進行數(shù)據(jù)傳輸；

44、會話結(jié)束，拆除節(jié)點1和5之間的鏈接。

其它節(jié)點之間的連接與其相似。

步驟5、新數(shù)據(jù)包的mpls標(biāo)簽和順序號

如圖5所示，發(fā)送節(jié)點為步驟3間插處理后的n個新數(shù)據(jù)包封裝，加上mpls標(biāo)簽，并依次加貼順序號。

步驟6、交織和加密處理

根據(jù)步驟2接收節(jié)點約定的交織的順序規(guī)律及數(shù)據(jù)包加密的加/解密算法，發(fā)送節(jié)點對步驟5處理后的n個新數(shù)據(jù)包進行交織和加密處理。所述交織和加密處理為通用的通信技術(shù)，不再詳述。

步驟7、關(guān)鍵數(shù)據(jù)信息的發(fā)送

發(fā)送節(jié)點按步驟1確定的發(fā)送方向網(wǎng)絡(luò)路徑傳輸步驟6處理后的數(shù)據(jù)包。

發(fā)送節(jié)點查詢網(wǎng)絡(luò)路由信息表，通過擴展的標(biāo)簽分發(fā)協(xié)議與下一跳節(jié)點建立聯(lián)系，并進行數(shù)據(jù)傳輸標(biāo)簽的分發(fā)。下一跳節(jié)點收到數(shù)據(jù)包后，識別mpls標(biāo)簽并查閱路由信息表，如果目的節(jié)點為本節(jié)點時，則進行數(shù)據(jù)的接收處理；如果目的節(jié)點不是本節(jié)點，則根據(jù)路由信息表為數(shù)據(jù)包打上新的標(biāo)簽并發(fā)送到相鄰的下一跳節(jié)點。以此類推，直至目的接收節(jié)點收到加密后的關(guān)鍵信息數(shù)據(jù)包。

步驟8、接收節(jié)點解密還原關(guān)鍵信息數(shù)據(jù)包

作為接收節(jié)點的網(wǎng)絡(luò)節(jié)點7收到關(guān)鍵信息數(shù)據(jù)包后，首先依據(jù)自身留存的步驟2約定的加密規(guī)律進行數(shù)據(jù)包的解密操作，然后依據(jù)約定的反交織矩陣完成數(shù)據(jù)的解交織處理，恢復(fù)得到圖5中所示步驟6封裝加標(biāo)簽和順序號后的數(shù)據(jù)包。

去掉各數(shù)據(jù)包的包頭mpls轉(zhuǎn)發(fā)標(biāo)簽，根據(jù)各數(shù)據(jù)包的順序號，恢復(fù)得到圖4所示的間插處理后的n個新數(shù)據(jù)包。

根據(jù)事先約定的比特間插規(guī)律，進行反間插操作，最終恢復(fù)得到原始的關(guān)鍵信息數(shù)據(jù)包；傳輸過程結(jié)束。

上述實施例，僅為對本發(fā)明的目的、技術(shù)方案和有益效果進一步詳細說明的具體個例，本發(fā)明并非限定于此。凡在本發(fā)明的公開的范圍之內(nèi)所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍之內(nèi)。