[发明专利]基于分层PCE的多域光网络安全光树建立方法及系统

说明书

本发明公开一种基于分层PCE的多域光网络安全光树建立方法及系统，针对多域光网络组播路由协议中存在的安全威胁，利用嵌套哈希链和信任模型理论，设计了相应的安全性机制，并通过优化原有的光树计算与光树建立过程，实现多域光网络安全光树的建立；该方法在保证自身安全性的同时，可实现多域光网络安全光树的计算与建立，并具有较低的阻塞率和较小的光树建立时延。

技术领域

本发明涉及一种基于分层PCE的多域光网络安全光树建立方法及系统。

背景技术

当前光通信技术和实时流媒体组播应用飞速发展，利用光网络组播方式传输信息变得越来越广泛，如何建立和维护一个满足安全需求的组播树成为多域光网络中十分重要的问题。

2010年，IETF(The Internet Engineering Task Force，国际互联网工程任务组)在RFC(Request For Comments，请求评议文档)5920中描述在GMPLS(Generalized Multi-Protocol Label Switching，多标签交换协议)的组播过程中面临的各种安全威胁，提出防御技术以及检测和报告机制，但并未提及安全建立组播树的方案；现有技术中提出恢复满足时延约束的光树的方法，但是并未有相关机制应对光网络组播中存在的安全问题；另外相关文献通过对基于RSVP-TE(Resource Reservation Protocol-Traffic Engineering，基于流量工程的资源预留协议)协议可靠性机制的具体分析，讨论RSVP-TE协议可能面临的安全问题，并提出了相应的对策，但以上两者均未形成相关的组播协议；此外，提出了通过并行方式创建光路的方法，能够有效节约资源配置时间，但该协议为单播协议，不能实现安全组播的目的。

发明内容

针对上述现有技术中存在的问题，本发明提出了一种基于分层PCE的多域光网络安全光树建立方法，能够实现组播树的安全建立，在阻塞率与光树建立时延方面表现良好。

为了实现上述目的，本发明采用如下技术方案：

一种基于分层PCE的多域光网络安全光树建立方法，包括以下步骤：

步骤1，光网络中的源节点接收到组播连接请求，源节点发送建树请求R1至源节点所在域的cPCE，cPCE子路径计算单元；

步骤2，源节点所在域的cPCE接收建树请求R1并利用基于嵌套哈希链的双向认证方法对建树请求R1进行身份认证，并利用TCP-AO机制对建树请求R1进行源认证；源节点所在域的cPCE将建树请求R1发送至pPCE，pPCE为父路径计算单元；

步骤3，pPCE接收到源节点所在域的cPCE发送的建树请求R1后，利用基于嵌套哈希链的双向认证方法对建树请求R1进行身份认证，并利用TCP-AO机制对建树请求R1进行源认证；采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求R1与最优的抽象组播树路由信息形成建树请求R2，pPCE将建树请求R2发送到该最优的抽象组播树路由信息所经过的域中的cPCE；

步骤4，最优的抽象组播树路由信息所经过的每个域中的cPCE计算得到域内组播树路由信息；域内组播树路由信息和建树请求R2形成建树请求R3；各个域中的cPCE将建树请求R3发送至pPCE；

步骤5，确定分配波长；将步骤4中得到的所有的域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求R4；pPCE将建树请求R4发送到管理源节点或分支节点的cPCE中；