内生安全光网络上网络业务的通信方法及内生安全光网络与流程

1.本发明实施例涉及网络安全技术领域，尤其涉及一种内生安全光网络上网络业务的通信方法及内生安全光网络。


背景技术：

2.大数据时代，业务的网络化应用已成为一种趋势，而承载着机密和敏感信息的业务数据包在网络通信过程中如果被窃取，将会造成难以估量的损失，由此网络通信安全得到越来越多的重视。其中，内生安全光通信技术是近几年较为流行的网络安全通信技术。
3.图1给出了基于内生安全光通信技术所构建内生安全光网络的网络架构图，如图1所示，由互联网协议(internet protocol，ip)路由器组成的ip层110和基于波分复用(wavelength division multiplexing,wdm)技术的光通信节点组成的光层120，其中，ip层110的一个ip路由器与光层120的一个光通信节点对应。网络业务是光网络承载的主要业务之一，光层120通过为其提供“端到端”的可靠光通道来保证网络业务的服务质量。通过将多个低速网络业务汇聚到一个高速的光通道上有利于提高网络的吞吐量和网络的资源(如：wdm光转发器)利用率，进而降低网络的成本。图1还给出了网络业务在内生安全光网络上的通信过程，可以看出，具有相同源节点和不同宿节点的网络业务1、网络业务2和网络业务3通过ip端口和wdm光转发器汇聚到同一个波长通道上，并在每一个网络业务宿节点处的ip路由器上分离出对应的ip业务。
4.在网络通信安全上，内生安全光网络不依赖任何附加的密钥分发链路，主要利用物理层链路属性来完成密钥协商，最终节点之间产生的密钥存储在对应节点加密终端的密钥存储模块中。然而，现有基于物理层安全的网络业务安全通信机制较为僵化，其仅适用于少量的专用网络业务安全通信，且为网络业务分配密钥与加解密的过程仅在网络业务的源宿节点完成，未考虑骨干网承载的全网网络业务的复杂多样性特点，容易造成密钥资源的紧缺，密钥资源的利用率较低，使得网络业务安全通信的等待时延和阻塞率大大增加，严重影响了光网络的性能。


技术实现要素：

5.本发明提供一种内生安全光网络上网络业务的通信方法及内生安全光网络，以实现内生安全光网络上所有网络业务的安全通信。
6.第一方面，本发明实施例提供了一种内生安全光网络上网络业务的通信方法，所述内生安全光网络的ip层和光层分别包括设定数量的ip路由器和光通信节点，每个ip路由器对应一个加解密终端及一个光通信节点，该方法包括：
7.通过当前ip路由器，接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端；
8.通过所述当前加解密终端，根据各所述业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密；
9.通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器；
10.将所述下一跳ip路由器作为新的当前ip路由器，返回继续执行业务属性信息的获取操作，直至所有网络业务完成通信。
11.第二方面，本发明实施例还提供了一种内生安全光网络，该内生安全光网络包括：ip层和光层，所述ip层和光层分别包括设定数量的ip路由器和光通信节点，每个ip路由器对应一个加解密终端及一个光通信节点；
12.一个ip路由器作为当前ip路由器，所对应加解密终端及光通信节点分别作为当前加解密终端和当前光通信节点；
13.所述当前ip路由器，用于接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端；
14.所述当前加解密终端，用于根据各所述业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密；
15.所述当前光通信节点，用于将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器，且下一跳ip路由器作为新的当前ip路由器。
16.本发明实施例所提供的技术方案中，首先通过当前ip路由器，接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端；然后通过当前加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密；之后通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器；最后将下一跳ip路由器作为新的当前ip路由器，返回继续执行业务属性信息的获取操作，直至所有网络业务完成通信。本发明实施例，通过加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密，以进行网络业务的通信，解决了现有ip业务安全通信中安全级别低、密钥资源利用率低的问题，有效节省了密钥资源。且充分利用了分段链路的密钥资源，减少了远距离链路密钥资源的使用，有利于在节省密钥资源、提高密钥资源利用率的同时完成内生安全光网络上所有ip业务的安全通信。与现有技术相比，所采用的内生安全光网络上网络业务的通信方法，考虑到骨干网承载的全网ip业务的复杂多样性的特点，解决了密钥资源的利用率低的问题，一定程度上减少了ip业务安全通信的等待时延和阻塞率，有效提升了光网络的性能。
附图说明
17.图1给出了基于内生安全光通信技术所构建内生安全光网络的网络架构图；
18.图2给出了现有技术中内生安全光网络上网络业务的通信过程示意图；
19.图3为本发明实施例一提供的一种内生安全光网络上网络业务的通信方法的流程图；
20.图4为本发明实施例二提供的一种内生安全光网络上网络业务的通信方法的流程图；
21.图5为本发明实施例三提供的一种内生安全光网络上ip业务安全通信示意图；
22.图6为本发明实施例三提供的一种内生安全光网络上ip业务的安全通信方法的流
程示意图；
23.图7为本发明实施例三提供的一种内生安全光网络上ip业务安全通信方法的流程图；
24.图8为本发明实施例四提供的一种内生安全光网络的结构示意图。
具体实施方式
25.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
26.为便于验证现有技术中内生安全光网络上网络业务的通信过程，图2给出了现有技术中内生安全光网络上网络业务的通信过程示意图，如图2所示，内生安全光通信节点之间利用物理层链路属性来完成密钥协商，最终节点之间产生的密钥存储在对应节点加解密终端的密钥存储模块中。当网络业务到达源节点后，网络业务源宿节点对应加密终端的密钥存储模块为网络业务分配密钥，加解密终端基于密钥对网络业务进行加密，加密后的网络业务通过ip路由器和wdm光转发器汇聚到波长通道上，网络业务到达宿节点处通过wdm光转发器和ip路由器后对该ip业务进行解密。高级加密标准(advanced encryption standard,aes)加密算法比信息论安全的一次一密加密算法的加密效率和实用化程度更高，且其加密后业务的安全性可满足当前的安全需求。上述介绍的基于内生安全光通信的网络业务安全通信过程主要适用于少量的专用网络业务(如：政务、金融部门的网络业务)，难以适配骨干网承载的复杂多样性的网络业务，且容易造成密钥资源的紧缺。
27.有鉴于此，本技术提出了一种内生安全光网络上网络业务的通信方法，充分利用了分段链路的密钥资源，减少了远距离链路密钥资源的使用，有利于在节省密钥资源、提高密钥资源利用率的同时完成内生安全光网络上所有网络业务的安全通信。且考虑到骨干网承载的全网网络业务的复杂多样性的特点，有效提升了光网络的性能。
28.实施例一
29.图3为本发明实施例一提供的一种内生安全光网络上网络业务的通信方法的流程图，本实施例可适用于对内生安全光网络上所有网络业务的安全通信时的情况，该方法可以由一种内生安全光网络来执行，该内生安全光网络的ip层和光层分别包括设定数量的ip路由器和光通信节点，每个ip路由器对应一个加解密终端及一个光通信节点，具体包括如下步骤：
30.s310、通过当前ip路由器，接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端。
31.其中，当前ip路由器可以理解为当前正在通信的ip路由器。当前ip路由器可以读取每一个数据包中的地址然后决定如何传送。其中，网络业务可以理解为ip路由器接收到的网路业务。示例性的，网络业务可以为ip业务；也可以为网络之间端到端的双向实时通信时所产生的网络业务，本实施例在此不做限制。
32.在本实施例中，业务属性信息可以理解为所传输的网络业务的业务属性信息。示例性的，业务属性信息可以为同一个波长通道承载的所有网络业务到达某个节点后，所记录的网络业务的源节点的信息；也可以为网络业务请求中的密钥长度和密钥更新周期信
息；还可以为网络业务中的传输路径以及传输跳数的信息，本实施例在此不做限制。
33.需要说明的是，当前加解密终端可以理解为当前ip路由器所对应的加解密终端，把重要的数据变为乱码进行加密传送，到达目的地节点后再用相同或不同的手段还原以解密。当前加解密终端中包含算法和密钥，将普通的信息或者可以理解的信息与一串数字(密钥)结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。通过适当的密钥加密，一定程度上保证了网络的信息通信安全。
34.在本实施例中，每个ip路由器均有一个相对应的加解密终端及一个相对应的光通信节点。示例性的，对于ip路由器a，相对应的加解密终端为加解密终端a，相对应的光通信节点为光通信节点a；对于ip路由器b，相对应的加解密终端为加解密终端b，相对应的光通信节点为光通信节点b；对于ip路由器c，相对应的加解密终端为加解密终端c，相对应的光通信节点为光通信节点c；本实施例在此不做限制。
35.在本实施例中，可以在当前ip路由器接收到网络业务后，获取所有网络业务的业务属性信息，并将业务属性信息传递给对应的当前加解密终端。
36.s320、通过当前加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密。
37.其中，待传输网络业务可以理解为等待传输的网络业务。
38.在本实施例中，待传输网络业务来自同一波长通道，然后经过相同或不同的波长通道传输不同网络业务到相同或不同的宿节点。其中，宿节点可以理解为充当信宿接受数据包的网络节点。示例性的，由同一个波长通道承载的网络业务1、网络业务2和网络业务3均到达源节点a。其中，网络业务1和网络业务2的宿节点为光通信节点b，网络业务3的宿节点为光通信节点c，则可知，网络业务1和网络业务2在传输时的波长通道为一个波长通道w1传输至光通信节点b，网络业务3首先采用波长通道w1传输至光通信节点b，然后采用波长通道w2传输至光通信节点c。
39.在本实施例中，下一跳ip路由器可以理解为当前ip路由器所对应的下一个ip路由器。示例性的，网络业务1和网络业务2的源节点均为ip路由器a，宿节点均为ip路由器c，则网络业务1和网络业务2的源节点可以理解为当前ip路由器，下一跳ip路由器即为ip路由器c。
40.在本实施例中，在获取所有网络业务的业务属性信息，传递给对应的当前加解密终端后，可以通过当前加解密终端，以及根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密。其中，安全密钥可以理解为是一种参数，是在同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器时，将传输的网络业务进行加密或将加密的网络业务进行解密的算法中输入的参数。其中，加密可以理解为以某种特殊的算法改变原有的信息数据，加密可以使未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。
41.需要说明的是，通过当前加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密的方式可以为首先通过当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期，然后按照各传输路径以及传输跳数，以确定波长通道下所有待传输网络业务对应的下一跳ip路由器，基于各密钥长
度及密钥更新周期，确定波长通道对应的最大密钥长度和最小密钥更新周期，基于最大密钥长度和最小密钥更新周期，确定波长通道下所有待传输网络业务到达所述下一跳ip路由器所需的安全密钥，最后采用安全密钥结合高级加密标准加密算法，对波长通道下所有待传输网络业务加密；也可以为从服务设备中获取唯一标识字符串，然后生成数据密钥，接着根据加密算法及宏定义对数据密钥进行加密，并根据预设的散列函数及所获取设备的mac地址和用户密码对数据密钥进行动态加密。本实施例在此不做限制。
42.s330、通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器。
43.其中，当前光通信节点可以理解为当前ip路由器所对应的光通信节点。
44.在本实施例中，在确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密后，可以通过当前ip路由器所对应的当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器。
45.需要说明的是，通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器的方式可以为首先通过当前光通信节点，将同一波长通道承载的所有待传输网络业务由当前光通信节点传输至相应的下一光通信节点，然后通过对应的下一加解密终端对所有待传输业务解密，并传输至相应的下一跳ip路由器；也可以为首先接收数据流，确定数据流由路由器到达数据流下一跳地址的至少两条传输链路，然后将数据流分担在各个传输链路上，并发送到下一跳地址。本实施例再次不做限制。
46.s340、将下一跳ip路由器作为新的当前ip路由器，返回继续执行业务属性信息的获取操作，直至所有网络业务完成通信。
47.在本实施例中，在将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器之后，可以将下一跳ip路由器作为新的当前ip路由器，然后返回继续重复执行业务属性信息的获取操作，直至所有网络业务完成通信。
48.本发明实施例所提供的技术方案中，首先通过当前ip路由器，接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端；然后通过当前加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密；通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器；最后将下一跳ip路由器作为新的当前ip路由器，返回继续执行业务属性信息的获取操作，直至所有网络业务完成通信。本发明实施例，通过加解密终端，根据各业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密，以进行网络业务的通信，解决了现有ip业务安全通信中安全级别低、密钥资源利用率低的问题，有效节省了密钥资源。且充分利用了分段链路的密钥资源，减少了远距离链路密钥资源的使用，有利于在节省密钥资源、提高密钥资源利用率的同时完成内生安全光网络上所有ip业务的安全通信。与现有技术相比，所采用的内生安全光网络上网络业务的通信方法，考虑到骨干网承载的全网ip业务的复杂多样性的特点，解决了密钥资源的利用率低的问题，一定程度上减少了ip业务安全通信的等待时延和阻塞率，有效提升了光网络的性能。
49.可选的，内生安全光网络上网络业务的通信方法，还包括：
50.通过当前ip路由器，基于各业务属性信息中的宿节点信息，确定各波长通道下对
应的待传输网络业务。
51.其中，宿节点信息可以理解为所传输的网络业务的业务终端节点信息。示例性的，宿节点信息可以为ip地址；也可以为终端的某些标示性信息，本实施在此不做限制。
52.需要说明的是，通过当前ip路由器，基于各业务属性信息中的宿节点信息，确定各波长通道下对应的待传输网络业务的方式可以为首先通过当前ip路由器，确定在业务层上关联的各业务节点，并获得各业务节点的业务节点信息，然后针对同一波长通道下承载的每个网络业务，从所对应业务属性信息中提取宿节点信息，并将宿节点信息与各业务节点信息比对，若未存在相匹配的业务节点信息，则将网络业务确定为所属波长通道下的待传输网络业务；也可以为首先根据预设时间内已传输数据帧之间的非数据传输段的长度确定下一预设时间内待传输数据帧的分片长度，然后将下一预设时间内待传输数据帧按照分片长度进行分片，最后将下一预设时间内分片后的待传输数据帧通过波长通道进行传输；本实施例在此不做限制。
53.可选的，通过当前ip路由器，基于各业务属性信息中的宿节点信息，确定各波长通道下对应的待传输网络业务，包括：
54.通过当前ip路由器，确定在业务层上关联的各业务节点，并获得各业务节点的业务节点信息；
55.针对同一波长通道下承载的每个网络业务，从所对应业务属性信息中提取宿节点信息，并将宿节点信息与各业务节点信息比对；
56.如果未存在相匹配的业务节点信息，则将网络业务确定为所属波长通道下的待传输网络业务。
57.其中，业务节点信息可以理解为所传输业务的每个节点信息。例如可以是，每个业务节点的ip地址信息等等。
58.在本实施例中，首先通过当前ip路由器，确定在业务层上关联的各业务节点，并获得各业务节点的业务节点信息，然后针对同一波长通道下承载的每个网络业务，从所对应业务属性信息中提取宿节点信息，并将宿节点信息与各业务节点信息比对，如果不存在相匹配的业务节点信息，则将网络业务确定为所属波长通道下的待传输网络业务；如果存在相匹配的业务节点信息，则该业务节点信息网络业务完成通信。
59.可选的，在将宿节点信息与各业务节点信息比对之后，还包括：
60.如果存在相匹配的业务节点信息，则确定所匹配业务节点信息对应的目标业务节点为网络业务的宿节点，将网络业务传输至所述目标业务节点，以完成网络通信。
61.其中，目标业务节点可以理解为各个业务节点信息所对应的网络终端的节点信息。
62.在本实施例中，在将宿节点信息与各业务节点信息比对之后，若存在相匹配的业务节点信息，则可以确定所匹配业务节点信息对应的目标业务节点为网络业务的宿节点，此时将网络业务传输至目标业务节点，以完成网络通信。
63.实施例二
64.图4为本发明实施例二提供的一种内生安全光网络上网络业务的通信方法的流程图。本实施例在上述各实施例地基础上，进一步进行了细化。具体可以包含如下步骤：
65.s410、通过当前ip路由器，接收到网络业务后，获取所有网络业务的业务属性信
息，并传递给对应的当前加解密终端。
66.在本实施例中，可以通过当前ip路由器，在接收到网络业务后，获取所有网络业务的业务属性信息，然后将业务属性信息传递给对应的当前加解密终端。
67.具体的，通过当前加解密终端并根据各业务属性信息，可以确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密，具体步骤为s420至s460。
68.s420、通过当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期。
69.其中，传输路径可以理解为网络业务由源节点到宿节点所经过不同的路由器进行报文转发时，所构成的相应的传输路径。
70.在本实施例中，传输跳数可以理解为网络业务进行传输时到达宿节点所需的跳数。其中，跳数可以理解为一个数值。示例性的，传输跳数可以为2跳；可以为4跳；也可以为5跳；本实施例在此不做限制。例如，网络业务1从源节点a中间经过2个ip路由器到达宿节点，则此时的传输跳数为3跳。
71.在本实施例中，密钥长度可以理解为一个加密算法的安全性上限。不同的网络业务所对应的密钥长度可以是相同的，也可以是不同。示例性的，网络业务1、网络业务2和网络业务3的密钥长度可以分别为l1、l2和l3，其中，l1、l2和l3的大小顺序可以为l1《l2《l3；也可以为l3《l2《l1；也可以为l1《l3《l2等等，本实施例在此不做限制。
72.可以知道的是，密钥长度越大，业务加密后被暴力破解的难度越大，业务安全等级越高。密钥长度可以根据密钥更新周期进行定期更换，以提高破解难度。示例性的，密钥长度为256bit、512bit、1024bit、2048bit等等时，2048bit时的密钥长度安全性最高。
73.可以理解的是，密钥更新周期可以理解为在ip路由器上写入的保护ip路由器的机制，可以有效避免暴力猜测密码。不同的网络业务所对应的密钥更新周期可以是相同的，也可以是不同。示例性的，针对不同的网络业务1、网络业务2和网络业务3的密钥更新周期可以分别为t1、t2和t3，其中，t1、t2和t3的大小顺序可以为t1《t2《t3；也可以为t2《t1《t3；还可以为t3《t1《t2等等，本实施例在此不做限制。在本实施例中，在对ip路由器设置加密时，密钥更新周期可以根据经验进行设定，也可以由用户自己定义；本实施例在此不做限制。
74.在本实施例中，在将获取所有网络业务的业务属性信息，传递给对应的当前加解密终端之后，可以通过当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期，以确定波长通道下所有待传输网络业务对应的下一跳ip路由器。
75.s430、按照各传输路径以及传输跳数，确定波长通道下所有待传输网络业务对应的下一跳ip路由器。
76.在本实施例中，可以按照各传输路径以及传输跳数，确定波长通道下所有待传输网络业务对应的下一跳ip路由器。
77.s440、基于各密钥长度及密钥更新周期，确定波长通道对应的最大密钥长度和最小密钥更新周期。
78.在本实施例中，最大密钥长度可以理解为密钥长度值最大时的密钥长度，也即安全性最高时密钥长度。示例性的，网络业务1、网络业务2和网络业务3的密钥长度可以分别
为l1、l2、l3，其中，l1《l2《l3，则此时网络业务对应的l3即为最大密钥长度。
79.可以知道的是，最小密钥更新周期可以理解为密钥更新周期中，更新周期最小的密钥更新周期。示例性的，网络业务1、网络业务2和网络业务3的密钥长度可以分别为t1、t2、t3，其中，t1《t2《t3，则此时网络业务1对应的t1即为最小密钥更新周期。
80.在本实施例中，在从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期之后，可以基于各密钥长度及密钥更新周期，以确定波长通道对应的最大密钥长度和最小密钥更新周期。
81.s450、基于最大密钥长度和最小密钥更新周期，确定波长通道下所有待传输网络业务到达下一跳ip路由器所需的安全密钥。
82.在本实施例中，基于最大密钥长度和最小密钥更新周期，可以确定波长通道下所有待传输网络业务到达下一跳ip路由器所需的安全密钥。
83.需要说明的是，待传输网络业务到达下一跳ip路由器所需的安全密钥与大传输网络所要到达的宿节点相关。待传输网络业务中，到达同一宿节点的待传输网络业务，其安全密钥是相同的；到达不同的宿节点的待传输网络业务，其安全密钥在相同的传输通道中是相同的，在另一部分传输通道中是不相同的。示例性的，若网络业务1、网络业务2和网络业务3的宿节点均为光通信节点c，到达下一跳ip路由器均为ip路由器c，波长通道在光通信节点a与光通信节点c间承载的网络业务1、网络业务2和网络业务3的最大密钥长度请求为l3、最小密钥更新周期请求为t1，加解密终端a和加密终端c根据密钥长度l3和密钥更新周期t1给网络业务1、网络业务2和网络业务3分配相同的密钥k1-2-3；若网络业务1和网络业务2为同一宿节点为均光通信节点b，网络业务3的宿节点为光通信节点c(从源节点a经过光通信节点b到达光通信节点c)，波长通道在光通信节点a与节点b间承载的网络业务1、网络业务2和网络业务3的最大密钥长度请求为l3、最小密钥更新周期请求为t1，波长通道在光通信节点b与光通信节点c间承载的网络业务3的最大密钥长度请求为l3、最小密钥更新周期请求为t3，则从源节点a开始到光通信节点b的过程中，加解密终端a和加解密终端b，根据密钥长度l3和密钥更新周期t1给网络业务1、网络业务2和网络业务3分配是相同的密钥k1-2-3，加解密终端b和加解密终端c根据密钥长度l3和密钥更新周期t3给网络业务3分配对应的密钥k3。
84.s460、采用安全密钥结合高级加密标准加密算法，对波长通道下所有待传输网络业务加密。
85.其中，高级加密标准加密算法可以理解为可以支持更大范围的区块和密钥长度的加密法。示例性的，高级加密标准加密算法的区块长度固定为128位时，密钥长度则可以是128，192或256位。
86.在本实施例中，确定波长通道下所有待传输网络业务到达下一跳ip路由器所需的安全密钥之后，可以将安全密钥结合高级加密标准加密算法，对波长通道下所有待传输网络业务加密。
87.具体的，可以通过当前光通信节点，将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器，具体步骤可为s470至s480。
88.s470、通过当前光通信节点，将同一波长通道承载的所有待传输网络业务由当前光通信节点传输至相应的下一光通信节点，以通过对应的下一加解密终端对所有待传输业
务解密，并传输至相应的下一跳ip路由器。
89.其中，下一光通信节点为下一跳ip路由器对应的光通信节点，下一加解密终端为下一跳ip路由器对应的加解密终端。
90.在本实施例中，采用安全密钥结合高级加密标准加密算法，对波长通道下所有待传输网络业务加密之后，可以通过当前光通信节点，将同一波长通道承载的所有待传输网络业务由当前光通信节点传输至相应的下一光通信节点，以通过对应的下一加解密终端对所有待传输业务解密，并传输至相应的下一跳ip路由器。
91.本发明实施例所提供的技术方案中，首先通过当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期，然后按照各传输路径以及传输跳数，确定波长通道下所有待传输网络业务对应的下一跳ip路由器，基于各密钥长度及密钥更新周期，确定波长通道对应的最大密钥长度和最小密钥更新周期；根据最大密钥长度和最小密钥更新周期，确定波长通道下所有待传输网络业务到达下一跳ip路由器所需的安全密钥，采用安全密钥结合高级加密标准加密算法，对波长通道下所有待传输网络业务加密，最后通过当前光通信节点，将同一波长通道承载的所有待传输网络业务由当前光通信节点传输至相应的下一光通信节点，以通过对应的下一加解密终端对所有待传输业务解密，并传输至相应的下一跳ip路由器。本发明实施例，通过当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期，以基于所获取的传输路径、传输跳数、密钥长度以及密钥更新周期，完成所有网络业务的安全通信，进一步解决了现有网络业务安全通信中安全级别低、密钥资源利用率低的问题，有利于在节省密钥资源、提高密钥资源利用率的同时完成内生安全光网络上所有网络业务的安全通信。
92.实施例三
93.图5为本发明实施例三提供的一种内生安全光网络上ip业务安全通信示意图。当多个由同一个波长通道承载的ip业务进入到源节点a，此处的源节点a可以理解为ip路由器a，如果要实现多个由同一个波长通道承载的ip业务的完整通信，内生安全光网络上ip业务安全通信方法的具体实施例整个过程可以如本实施例三所示。需要说明的是，ip业务表示网络业务，如图5所示，该内生安全光网络包含ip层510和光层520，其中，ip层和光层分别包括设定数量的ip路由器和内生安全光通信节点。考虑在多个ip业务经过ip路由器之后与复用进同一个波长通道之前为骨干网中的ip业务分配密钥进行加密，再将加密后的多个ip业务复用进同一个波长通道中传输。其中，多个ip业务具有相同或不同的宿节点，在每一个ip业务宿节点处解密出其与前一个ip业务的宿节点间同一个波长通道承载的所有ip业务、分离出对应宿节点为目的节点的ip业务并加密剩余的ip业务继续汇聚进同一个波长通道中传输；若经过的节点不是任意一个ip业务的宿节点，则直接经过光层520中的设备而不进行ip层510操作。
94.图6为本发明实施例三提供的一种内生安全光网络上ip业务的安全通信方法的流程示意图。如图6所示，主要包括以下步骤：
95.s610、记录业务属性。
96.具体的，记录业务属性包含s611至s614。
97.s611、记录所有ip业务的源宿节点。
98.内生安全光网络上由同一个波长通道承载的所有ip业务到达某个节点后，记录所有ip业务的源宿节点。
99.s612、记录所有ip业务请求的密钥长度和密钥更新周期。
100.s613、记录所有ip业务的传输路径和跳数。
101.s614、按跳数由小到大顺序对ip业务进行排序，该顺序即为每个ip业务到达对应宿节点的顺序。
102.s620、安全密钥分配。
103.具体的，安全密钥分配包含s621至s623。
104.s621、根据s614中所有ip业务到达宿节点的顺序，查找每个ip业务的宿节点与前一个ip业务的宿节点间对应的密钥存储模块。
105.s622、查询每个ip业务的宿节点与前一个ip业务的宿节点间波长通道承载的所有ip业务的最大密钥长度请求和最小密钥更新周期请求。
106.s623、根据最大密钥长度和最小密钥更新周期请求，密钥存储模块给每个ip业务的宿节点与前一个ip业务的宿节点间波长通道承载的所有ip业务分配相同的密钥。
107.s630、业务安全通信。
108.具体的，业务安全通信包含s631至s638。
109.s631、源节点处的所有ip业务通过ip路由器进入加解密终端。
110.s632、利用s623分配的密钥和aes加密算法进行加密。
111.根据s614中所有ip业务到达宿节点的顺序，每个ip业务的宿节点与前一个ip业务的宿节点间波长通道承载的所有ip业务利用s623分配的密钥和aes加密算法进行加密。
112.s633、查询承载每个ip业务的宿节点与前一个ip业务的宿节点间所有ip业务的波长通道。
113.s634、利用波长通道将其承载的所有ip业务传输至每个ip业务对应的宿节点。
114.根据s614中所有ip业务到达宿节点的顺序，利用波长通道将其承载的所有ip业务传输至每个ip业务对应的宿节点。
115.s635、在每个ip业务的宿节点处利用步骤2.3分配的密钥和aes加密算法解密出其与前一个ip业务的宿节点间波长通道承载的所有ip业务。
116.s636、对应宿节点为目的节点的ip业务通过加解密终端进入ip路由器。
117.s637、是否所有的ip业务均到达对应的宿节点。
118.s638、若ip业务未全到达宿节点则转至s632，若ip业务全到达宿节点则完成所有ip业务的安全通信。
119.图7为本发明实施例三提供的一种内生安全光网络上ip业务安全通信方法的流程图。当多个由同一个波长通道承载的ip业务进入到源节点a，此处的源节点a可以理解为ip路由器a，如果要实现实现如图7所示的完整的通信，内生安全光网络上ip业务安全通信方法的具体实施例整个过程可以为：
120.由同一个波长通道承载的ip业务1、业务2和业务3均到达源节点a；ip业务1和ip业务2的宿节点为光通信节点c、ip业务3的宿节点为光通信节点d；ip业务1、ip业务2和ip业务3的密钥长度请求分别为l1、l2和l3(l1《l2《l3)；ip业务1、ip业务2和ip业务3的密钥更新周期请求分别为t1、t2和t3(t1《t2《t3)；ip业务1、ip业务2和ip业务3的跳数分别为2、2和3；ip业务
1、ip业务2和ip业务3到达对应宿节点的顺序为先到达光通信节点c再到达光通信节点d。查找光通信节点c与光通信节点a间加解密终端c的密钥存储模块和加解密终端a的密钥存储模块、光通信节点d与光通信节点c间加解密终端d的密钥存储模块和加解密终端c的密钥存储模块；波长通道在光通信节点a与光通信节点c间承载的ip业务1、ip业务2和ip业务3的最大密钥长度请求为l3、最小密钥更新周期请求为t1，波长通道在光通信节点c与光通信节点d间承载的ip业务3的最大密钥长度请求为l3、最小密钥更新周期请求为t3；加解密终端a的密钥存储模块和加解密终端c的密钥存储模块根据密钥长度l3和密钥更新周期t1给ip业务1、ip业务2和ip业务3分配相同的密钥k
1-2-3
，加解密终端c的密钥存储模块和加解密终端d的密钥存储模块根据密钥长度l3和密钥更新周期t3给ip业务3分配对应的密钥k3。
121.源节点处的ip业务1、ip业务2和ip业务3通过ip路由器进入加解密终端；ip业务1、ip业务2和ip业务3利用密钥k
1-2-3
和aes加密算法进行加密；查询承载ip业务1、ip业务2和ip业务3的波长通道w1；利用波长通道w1将ip业务1、ip业务2和ip业务3传输至节点c；利用密钥k
1-2-3
和aes加密算法解密出ip业务1、ip业务2和ip业务3；ip业务1和ip业务2通过加解密终端进入ip路由器完成安全通信。ip业务3利用密钥k3和aes加密算法进行加密；查询承载ip业务3的波长通道w2；利用波长通道w2将ip业务3传输至节点d；利用密钥k3和aes加密算法解密出ip业务3；ip业务3通过加解密终端进入ip路由器完成安全通信。
122.实施例四
123.图8为本发明实施例四提供的一种内生安全光网络的结构示意图，本实施例所提供的一种内生安全光网络可以通过软件和/或硬件来实现，可应用于光通信节点，实现本发明实施例中的内生安全光网络上网络业务的通信方法。如图8所示，该内生安全光网络包括：
124.ip层810和光层820，所述ip层810和光层820分别包括设定数量的ip路由器和光通信节点，每个ip路由器对应一个加解密终端及一个光通信节点；
125.一个ip路由器作为当前ip路由器，所对应加解密终端及光通信节点分别作为当前加解密终端和当前光通信节点；
126.所述当前ip路由器，用于接收到网络业务后，获取所有网络业务的业务属性信息，并传递给对应的当前加解密终端；
127.所述当前加解密终端，用于根据各所述业务属性信息，确定同一波长通道下所有待传输网络业务传输至相对应下一跳ip路由器所需的安全密钥并加密；
128.所述当前光通信节点，用于将同一波长通道承载的所有待传输网络业务传输至相对应下一跳ip路由器，且下一跳ip路由器作为新的当前ip路由器。
129.可选的，所述当前加解密终端具体用于：
130.通过所述当前加解密终端，针对同一波长通道承载的所有待传输网络业务，从相应业务属性信息中提取传输路径、传输跳数、密钥长度以及密钥更新周期；
131.按照各所述传输路径以及传输跳数，确定所述波长通道下所有待传输网络业务对应的下一跳ip路由器；
132.基于各所述密钥长度及密钥更新周期，确定所述波长通道对应的最大密钥长度和最小密钥更新周期；
133.基于所述最大密钥长度和最小密钥更新周期，确定所述波长通道下所有待传输网
络业务到达所述下一跳ip路由器所需的安全密钥；
134.采用所述安全密钥结合高级加密标准加密算法，对所述波长通道下所有待传输网络业务加密。
135.可选的，所述当前ip路由器，还用于：
136.基于各所述业务属性信息中的宿节点信息，确定各波长通道下对应的待传输网络业务。
137.可选的，所述当前光通信节点，具体用于：
138.将同一波长通道承载的所有待传输网络业务由当前光通信节点传输至相应的下一光通信节点，以通过对应的下一加解密终端对所有待传输业务解密，并传输至相应的下一跳ip路由器；
139.所述下一光通信节点为所述下一跳ip路由器对应的光通信节点，所述下一加解密终端为所述下一跳ip路由器对应的加解密终端。
140.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。