[发明专利]基于分层PCE的多域光网络安全光路建立协议

摘要

本发明公开了基于分层PCE的多域光网络安全光路建立协议，针对多域光网络光路建立过程中存在的安全问题及其综合效率不高的问题，结合信任模型和密钥管理方案，采用全局优化的多域可信路径选择、可用波长计算和波长分配策略，利用基于TLS的双向身份认证、基于TCP‑AO的源认证、基于身份密码学的加密与数字签名技术以及基于Path‑Key的隐私保护机制，设计了一种新的基于全局优化的多域光网络安全光路建立协议GO‑PCE(Global Optimizing secure light‑path protocol based PCE in multi‑domain optical network)，可满足机密性、完整性、真实性、不可抵赖性、新鲜性和私有性等安全服务需求，相比SD‑PCE和pH‑PCE光路建立协议，具有较低的阻塞率和较短的光路建立时延。

主权项

1.基于分层PCE的多光域网络安全光路建立协议的系统，该协议用于规划源节点到目的节点的安全路径，其中在光网络中设有多个路由器，每个路由器代表一个节点，任选一节点作为源节点，任选一节点作为目的节点，其特征在于，包括以下步骤：步骤一，根据光网络建立基于分层PCE的多域光网络模型多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；步骤二，在多域光网络模型的基础上，建立多域光网络拓扑图G：G＝(M,E)其中，M表示光网络中的节点集合；E为M中的节点构成的链路集合；步骤三，建立多域光网络安全光路协议在协议中，将步骤二建立的多域光网络拓扑图G分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；步骤31，域路径的计算；所述域路径是指：从源节点到目的节点经过的所有域的集合组成的链路；步骤32，全局波长的分配(1)划分域内波长集合和域间波长集合；Step1，cPCE_i将cPCE_i管理的所有波长集合U(i)从小到大进行排列；i表示自治域个数，i＝1,2,...,s，s为大于等于2的自然数；将U(i)中的波长去除，得到cPCE_i自主管理的波长集合U_i′_n；j≠i,j＝1,2,...,s，表示cPCE_i被pPCE管理的域内波长的集合；Step2，设初始分配比β＝0.1，pPCE将中的波长从小到大排列，前β比例的波长划分在U_in(i)中，后(1‑β)比例的波长划分到U_out(i)中，U_out(i)由pPCE用于跨域光路建立，U_out(i)波长的使用必须经pPCE授权给cPCE，再由cPCE授权给节点；所述U_in(i)为域内波长集合，U_out(i)为域间波长集合；Step3，cPCE_i对在业务统计周期时间T_stastic内处理的第i个自治域的域内业务量M_in(i)和在T_stastic内处理的整个光网络中的业务量M_all(i)进行统计，通过式(1)，得到新的分配比例β：Step4，在下一个业务统计周期时，pPCE将β值下发各cPCE，各cPCE将按照后(1‑β)比例的波长划分在U_out(i)内，用于跨域光路建立；前β比例的波长资源划分在U_in(i)中，用于域内光路建立；(2)波长子域的划分cPCE_i根据U_in(i)中的每个波长的使用情况，依次以U_in(i)中的每个波长作为当前波长λ1，划分λ1的波长子域；Step1，寻找该cPCE_i自治域中已使用λ1的跨域路径段，将已使用λ1的跨域路径段经过的节点划分到波长子域λ_1‑1；Step2，cPCE_i将波长子域λ_1‑1中的节点去除，将剩余节点中每一个连通部分的节点划分到一个波长子域，得到λ_1‑2，…，λ_1‑a；a为大于等于2的自然数；步骤33，高速光路的建立：Step1，pPCE在U_out(i)中选取的波长作为高速波长用来建立抽象高速路由，cPCE不得将高速波长分配给域内光路建立使用；抽象高速路由在域内由域的物理边界节点组成的环状链路建立，在域间由网关节点之间的连线相连建立；Step2，若头域cPCE和尾域cPCE计算的域内路径段及可用波长，可以找到匹配的抽象高速路由则pPCE直接通知头域cPCE可以利用高速路由建立高速光路。