[发明专利]面向广域能源互联网的光网络轻量级安全信令交互方法

摘要

本发明公开了属于电力通信技术领域的一种面向广域能源互联网的光网络轻量级安全信令交互方法。所述方法在RSVP‑TE信令协议的基础上，采用改进数字签名与消息反馈相结合的方法，对光网络的RSVP‑TE信令交互的安全性进行优化，以增强光网络信令交互的安全性，实现面向能源互联业务的光网络端到端的可信连接；在信令交互过程中，采用数字签名机制对RSVP‑TE消息中的不变参数进行数字签名保护，采用消息反馈机制对可变参数进行节点恶意行为检测。本发明能够有效提高多域光网络对能源互联网业务交互的安全性，实现完整性保护、内部攻击防护、重放攻击防护和伪造消息防护，且保证了较好的业务连接的成功率，为面向能源互联网的光网络提供重要的安全保证。

主权项

1.一种面向广域能源互联网的光网络轻量级安全信令交互方法，其特征在于，所述方法在RSVP‑TE信令协议的基础上，采用改进数字签名与消息反馈相结合的方法，对光网络的RSVP‑TE信令交互的安全性进行优化，以增强光网络信令交互的安全性，实现面向能源互联业务的光网络端到端的可信连接；在信令交互过程中，依据攻击预防和入侵检测原理，采用数字签名机制对RSVP‑TE消息中的不变参数进行数字签名保护，采用消息反馈机制对可变参数进行节点恶意行为检测，具体交互过程如下：步骤1：由源节点接收客户网络组播连接请求，使用路由模块计算光路径,并将计算结果与可变参数封装在PATH中；步骤2：将INTEGRITY中Flags对象的第2个保留标记位的值设置为0，使用私钥对PATH消息中的不变参数进行数字签名，并转发PATH消息至中间节点；步骤3：当中间节点收到PATH消息后,若检测到INTEGRITY中Flags对象的第2个标记位的值为0，则进行攻击检测，同时修改PATH中的可变参数值并转发PATH消息至目的节点；步骤4：当目的节点收到PATH消息后,若检测到INTEGRITY中Flags对象的第2个标记位的值为0，则进行攻击检测，若检测通过，使用私钥对INTEGRITY对象进行解密,提取出会话密钥,对不变参数进行数字签名,再封装到RESV中转发至源节点；步骤5：当中间节点收到RESV消息后，进行攻击检测，同时判断收到的PATH对象值是否等于或小于转发给下游封装在PATH消息中的PATH对象值，若检测通过,中间节点使用波长进行交叉连接操作,否则向本地的策略决定中心发出相应安全警告；步骤6：当RESV消息到达源节点后,首先进行攻击检测，若检测通过,源节点首先利用建立好的光路径进行数据的传输，使用私钥对收到的RESV和不变参数进行数字签名,再封装到RESV CONFIRM消息中，赋予其高转发优先权后进行转发；步骤7：当中间节点收到RESV CONFIRM消息后,对RESV CONFIRM消息进行攻击检测，并判断收到的RESV对象值是否大于或等于转发给上游封装在RESV消息中的RESV对象值，若检测未通过，则发送警告消息给本地的策略决定中心，确定是否丢弃此RESV CONFIRM消息或发送连接拆卸的消息，若检测通过,则继续转发,直至到达目的节点。