[发明专利]基于分层PCE的多域光网络安全光树建立方法及系统

摘要

本发明公开一种基于分层PCE的多域光网络安全光树建立方法及系统，针对多域光网络组播路由协议中存在的安全威胁，利用嵌套哈希链和信任模型理论，设计了相应的安全性机制，并通过优化原有的光树计算与光树建立过程，实现多域光网络安全光树的建立；该方法在保证自身安全性的同时，可实现多域光网络安全光树的计算与建立，并具有较低的阻塞率和较小的光树建立时延。

主权项

1.一种基于分层PCE的多域光网络安全光树建立方法，其特征在于，包括以下步骤：步骤1，光网络中的源节点接收到组播连接请求，源节点发送建树请求R1至源节点所在域的cPCE；步骤2，源节点所在域的cPCE接收建树请求R1并利用基于嵌套哈希链的双向认证方法对建树请求R1进行身份认证，并利用TCP‑AO机制对建树请求R1进行源认证；源节点所在域的cPCE将建树请求R1发送至pPCE；步骤3，pPCE接收到源节点所在域的cPCE发送的建树请求R1后，利用基于嵌套哈希链的双向认证方法对建树请求R1进行身份认证，并利用TCP‑AO机制对建树请求R1进行源认证；采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求R1与最优的抽象组播树路由信息形成建树请求R2，pPCE将建树请求R2发送到该最优的抽象组播树路由信息所经过的域中的cPCE；步骤4，最优的抽象组播树路由信息所经过的每个域中的cPCE计算得到域内组播树路由信息；域内组播树路由信息和建树请求R2形成建树请求R3；各个域中的cPCE将建树请求R3发送至pPCE；步骤5，确定分配波长；将步骤4中得到的所有的域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求R4；pPCE将建树请求R4发送到管理源节点或分支节点的cPCE中；步骤6，步骤5中的管理源节点或者分支节点的cPCE接收到建树请求R4后，利用TCP‑AO机制对建树请求R4进行源认证；管理源节点或者分支节点的cPCE分别从建树请求R4中读取严格组播树路由信息，管理源节点的cPCE截取所在域中的源节点至分支节点之间的路由信息，该路由信息与分配波长生成建树请求R5，管理源节点的cPCE将建树请求R5发送给源节点；管理分支节点的cPCE截取所在域中的分支节点之间的路由信息，该路由信息与分配的波长生成建树请求R5，管理分支节点的cPCE将建树请求R5发送给各个分支节点；步骤7，源节点和各个分支节点接收到建树请求R5后，利用TCP‑AO机制对建树请求R5进行源认证，分别得到源节点至分支节点之间的路由信息和各个分支节点之间的路由信息，且均得到分配波长；源节点和各个分支节点启动RSVP‑TE协议，分别将路由信息和波长信息形成PATH消息，并将PATH消息发送至下游节点；步骤8，当下游节点接收到PATH消息后，判断分配波长在该下游节点与下一节点之间的链路上是否被占用，若未被占用，则将PATH消息传到下一节点；若被占用，则返回步骤5；步骤9，步骤8中传送过程中的所有尾节点接收到PATH消息后，利用TCP‑AO机制对PATH消息进行源认证，生成RESV消息，沿步骤8中的传送路径反向传递至上游的源节点和各个分支节点，并按照分配的波长完成相邻节点之间的链路上的波长配置；步骤10，源节点和所有分支节点接收到RESV消息后，各自生成确认消息，将确认消息发送至各自所在域的cPCE；cPCE将确认消息转发至pPCE；pPCE确认收到所有的确认消息后，pPCE向源节点所在域的cPCE发送建树成功消息，源节点所在域的cPCE发送建树成功消息至源节点；源节点即可开始组播发送数据。