基于分层PCE的多域光网络安全光路建立协议制造技术

本发明专利技术公开了基于分层PCE的多域光网络安全光路建立协议，针对多域光网络光路建立过程中存在的安全问题及其综合效率不高的问题，结合信任模型和密钥管理方案，采用全局优化的多域可信路径选择、可用波长计算和波长分配策略，利用基于TLS的双向身份认证、基于TCP‑AO的源认证、基于身份密码学的加密与数字签名技术以及基于Path‑Key的隐私保护机制，设计了一种新的基于全局优化的多域光网络安全光路建立协议GO‑PCE(Global Optimizing secure light‑path protocol based PCE in multi‑domain optical network)，可满足机密性、完整性、真实性、不可抵赖性、新鲜性和私有性等安全服务需求，相比SD‑PCE和pH‑PCE光路建立协议，具有较低的阻塞率和较短的光路建立时延。

【技术实现步骤摘要】
基于分层PCE的多域光网络安全光路建立协议
本专利技术涉及多域光网络
，具体涉及一种基于分层PCE的多域光网络安全光路建立协议。
技术介绍
2009年，IETF在RFC5520中提出了多域光网络光路建立的安全性需求，但是没有提出了相关的有效解决方案。2009年，北京科技大学周贤伟教授等提出了一种的ASON安全光路建立协议，但是该协议只适合应用于单域的光网络中。2004年孙卫强在文献[34]中提出了一种基于混合模式的跨域光路建立协议CLEP，2014年王宗伟[35]提出了一种基于SD-PCE和pH-PCE的跨域光路的建立方案，同年邱在猛[36]也提出了基于PCE的光网络的跨域解决方案，但此三者种方案均未考虑安全因素。因此，跨域光网络安全光路建立问题亟待解决。
技术实现思路
针对上述现有技术中存在的不足，本专利技术提出了基于分层PCE的多光域网络安全光路建立协议，该协议用于规划源节点到目的节点的安全路径，其中在光网络中设有多个路由器，每个路由器代表一个节点，任选一节点作为源节点，任选一节点作为目的节点，其特征在于，包括以下步骤：步骤一，根据光网络建立基于分层PCE的多域光网络模型多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；步骤二，在多域光网络模型的基础上，建立多域光网络拓扑图G：G＝(M,E)其中，M表示光网络中的节点集合；E为M中的节点构成的链路集合；步骤三，建立多域光网络安全光路协议在协议中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；步骤31，域路径的计算；所述域路径是指：从源节点到目的节点经过的所有域的集合组成的链路；步骤32，全局波长的分配(1)划分域内波长集合和域间波长集合；Step1，cPCEi将cPCEi管理的所有波长集合U(i)从小到大进行排列；i表示自治域个数，i＝1,2,...,s，s为大于等于2的自然数。将U(i)中的波长去除，得到cPCEi自主管理的波长集合U′in；j≠i,j＝1,2,...,s；Step2，设初始分配比β＝0.1，pPCE将中的波长从小到大排列，前β比例的波长划分在Uin(i)中，后(1-β)比例的波长划分到Uout(i)中，Uout(i)由pPCE用于跨域光路建立，Uout(i)波长的使用必须经pPCE授权给cPCE，再由cPCE授权给节点；所述Uin(i)为域内波长集合，Uout(i)为域间波长集合；Step3，cPCEi对在业务统计周期时间Tstastic内处理的第i个自治域的域内业务量Min(i)和在Tstastic内处理的整个光网络中的业务量Mall(i)进行统计，通过式(1)，得到新的分配比例β：Step4，在下一个业务统计周期时，pPCE将β值下发各cPCE，各cPCE将按照后(1-β)比例的波长划分在Uout(i)内，用于跨域光路建立；前β比例的波长资源划分在Uin(i)中，用于域内光路建立；(2)波长子域的划分cPCEi根据Uin(i)中的每个波长的使用情况，依次以Uin(i)中的每个波长作为当前波长λ1，划分λ1的波长子域；Step1，寻找该cPCEi自治域中已使用λ1的跨域路径段，将已使用λ1的跨域路径段经过的节点划分到波长子域λ1-1；Step2，cPCEi将波长子域λ1-1中的节点去除，将剩余节点中每一个连通部分的节点划分到一个波长子域，得到λ1-2，…，λ1-a；a为大于等于2的自然数；步骤33，高速光路的建立：Step1，pPCE在Uout(i)中选取的波长作为高速波长用来建立抽象高速路由，cPCE不得将高速波长分配给域内光路建立使用；抽象高速路由在域内由域的物理边界节点组成的环状链路建立，在域间由网关节点之间的连线相连建立；Step2，若头域cPCE和尾域cPCE计算的域内路径段及可用波长，可以找到匹配的抽象高速路由则pPCE直接通知头域cPCE可以利用高速路由建立高速光路。进一步地，所述步骤31中域路径的计算包括三个约束条件：(1)域内光路建立不需其他域参与；(2)使用更少的域完成光路建立；(3)结合每个域的策略因素。进一步地，若头域cPCE和尾域cPCE计算的域内路径段及可用波长，无法找到匹配的抽象高速路由时，则使用优化方法来建立光路，具体过程如下：步骤34，光路可用波长的计算Step1，cPCE计算路径段可用波长将每个自治域中的路径段可用波长数据结构定义为：(路径段头节点，路径段尾节点：头尾节点可使用波长的集合)；cPCEi通过查找路径段可用波长数据结构，得到头尾节点可使用波长的集合，即为空闲波长集合；Step2，pPCE计算光路可用波长①pPCE下发域路径给相关域的cPCEi；所述相关域是指，域路径经过的自治域；(a)若pPCE给域路径的头域cPCEi下发域路径，则该头域cPCEi计算头节点到下游域的所有网关节点之间的路径段可用波长；(b)若pPCE给域路径的尾域cPCEi下发域路径，要求尾域cPCEi计算尾节点到上游域的所有网关节点之间的路径段可用波长；(c)pPCE给域路径的中间域cPCEi下发路径段，要求该cPCEi计算所有上游域网关节点到下游域网关节点之间的路径段可用波长；②cPCE计算出路径段可用波长后，统计每个节点的可用波长，然后将光路的路径段可用波长数据与节点可用波长数据传递给pPCE；③pPCE收到所有相关域的cPCE对同一光路发来的光路的路径段可用波长数据与节点可用波长数据集合后，得到该光路所有的路径段及其可用波长；④pPCE将该光路所有的路径段及其可用波长拼接为光路可用波长图：将路径段的波长集合记在连线上，从头节点开始，将连线上的波长向下游连接线合并，计算该光路可用波长，合并规则如下：(a)任选一连线作为当前连线，若当前连线没有上游连线，则该当前连线可进行波长合并，即为可合并上游连线；(b)若该可合并上游连线与下游连线串联，则将该下游连线的波长集合修改为：该可合并上游连线波长与下游连线波长的交集，删除该可合并上游连线；(c)若多个可合并的上游连线在同一节点汇聚，且该节点的多个可合并的上游连线均能够合并波长时，将该节点的任一下游连线的波长修改为：所有可合并的上游连线波长的并集与该下游连线波长的交集，当该节点下游的所有连线均合并了波长后，删除该节点所有可合并的上游连线；步骤35，通过步骤34得到的光路可用波长，指派波长及网关节点；(1)建立光网络同步的建路周期设一个建路周期在t0时刻到t4时刻完成，下一周期的t0时刻等于本周期的t4时刻；(2)波长指派pPCE在一个建路周期内接收并处理了所有cPCE提交的光路可选波长后，整合为一张光路可选波长表，表中包括光路的标识LinkID，请求提交时间LinkTime，光路径过的域的集合LinkDom，光路建立可选的波长LinkCourse，可选波长的数量CourseNumber；pPCE依据光路可选波长表，给光路指派波长，具体过程如下：①pPCE按照光路排序的先后顺序对光路可选波长进行分配：(a)按CourseCount排序，CourseCount值大的排序在前；(b)当CourseCount相同时，把LinkCourse相本文档来自技高网...

【技术保护点】
基于分层PCE的多光域网络安全光路建立协议，该协议用于规划源节点到目的节点的安全路径，其中在光网络中设有多个路由器，每个路由器代表一个节点，任选一节点作为源节点，任选一节点作为目的节点，其特征在于，包括以下步骤：步骤一，根据光网络建立基于分层PCE的多域光网络模型多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；步骤二，在多域光网络模型的基础上，建立多域光网络拓扑图G：G＝(M,E)其中，M表示光网络中的节点集合；E为M中的节点构成的链路集合；步骤三，建立多域光网络安全光路协议在协议中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；步骤31，域路径的计算；所述域路径是指：从源节点到目的节点经过的所有域的集合组成的链路；步骤32，全局波长的分配(1)划分域内波长集合和域间波长集合；Step1，cPCE

【技术特征摘要】
1.基于分层PCE的多光域网络安全光路建立协议，该协议用于规划源节点到目的节点的安全路径，其中在光网络中设有多个路由器，每个路由器代表一个节点，任选一节点作为源节点，任选一节点作为目的节点，其特征在于，包括以下步骤：步骤一，根据光网络建立基于分层PCE的多域光网络模型多域光网络模型的每个子域中配有一个子路径计算单元cPCE，整个模型中配有一个父路径计算单元pPCE，节点分布于子域中；步骤二，在多域光网络模型的基础上，建立多域光网络拓扑图G：G＝(M,E)其中，M表示光网络中的节点集合；E为M中的节点构成的链路集合；步骤三，建立多域光网络安全光路协议在协议中，将步骤二建立的超图模型分为PCE层和自治域层，其中PCE层包括cPCE以及pPCE，自治域层包括各个子域；步骤31，域路径的计算；所述域路径是指：从源节点到目的节点经过的所有域的集合组成的链路；步骤32，全局波长的分配(1)划分域内波长集合和域间波长集合；Step1，cPCEi将cPCEi管理的所有波长集合U(i)从小到大进行排列；i表示自治域个数，i＝1,2,...,s，s为大于等于2的自然数。将U(i)中的波长去除，得到cPCEi自主管理的波长集合U′in；j≠i,j＝1,2,...,s；Step2，设初始分配比β＝0.1，pPCE将中的波长从小到大排列，前β比例的波长划分在Uin(i)中，后(1-β)比例的波长划分到Uout(i)中，Uout(i)由pPCE用于跨域光路建立，Uout(i)波长的使用必须经pPCE授权给cPCE，再由cPCE授权给节点；所述Uin(i)为域内波长集合，Uout(i)为域间波长集合；Step3，cPCEi对在业务统计周期时间Tstastic内处理的第i个自治域的域内业务量Min(i)和在Tstastic内处理的整个光网络中的业务量Mall(i)进行统计，通过式(1)，得到新的分配比例β：Step4，在下一个业务统计周期时，pPCE将β值下发各cPCE，各cPCE将按照后(1-β)比例的波长划分在Uout(i)内，用于跨域光路建立；前β比例的波长资源划分在Uin(i)中，用于域内光路建立；(2)波长子域的划分cPCEi根据Uin(i)中的每个波长的使用情况，依次以Uin(i)中的每个波长作为当前波长λ1，划分λ1的波长子域；Step1，寻找该cPCEi自治域中已使用λ1的跨域路径段，将已使用λ1的跨域路径段经过的节点划分到波长子域λ1-1；Step2，cPCEi将波长子域λ1-1中的节点去除，将剩余节点中每一个连通部分的节点划分到一个波长子域，得到λ1-2，…，λ1-a；a为大于等于2的自然数；步骤33，高速光路的建立：Step1，pPCE在Uout(i)中选取的波长作为高速波长用来建立抽象高速路由，cPCE不得将高速波长分配给域内光路建立使用；抽象高速路由在域内由域的物理边界节点组成的环状链路建立，在域间由网关节点之间的连线相连建立；Step2，若头域cPCE和尾域cPCE计算的域内路径段及可用波长，可以找到匹配的抽象高速路由则pPCE直接通知头域cPCE可以利用高速路由建立高速光路。2.如权利要求1所述的多光域网络安全光路建立协议，其特征在于，所述步骤31中域路径的计算包括三个约束条件：(1)域内光路建立不需其他域参与；(2)使用更少的域完成光路建立；(3)结合每个域的策略因素。3.如权利要求1所述的多光域网络安全光路建立协议，其特征在于，若步骤33中的头域cPCE和尾域cPCE计算的域内路径段及可用波长，无法找到匹配的抽象高速路由时，则使用优化方法来建立光路，具体过程如下：步骤34，光路可用波长的计算Step1，cPCE计算路径段可用波长将每个自治域中的路径段可用波长数据结构定义为：(路径段头节点，路径段尾节点：头尾节点可使用波长的集合)；cPCEi通过查找路径段可用波长数据结构，得到头尾节点可使用波长的集合，即为空闲波长集合；Step2，pPCE计算光路可用波长①pPCE下发域路径给相关...

【专利技术属性】
技术研发人员：吴启武，姜灵芝，耿新元，文闻，
申请(专利权)人：中国人民武装警察部队工程大学，
类型：发明
国别省市：陕西,61