基于分层PCE的多域光网络安全光树建立方法及系统与流程

本发明涉及一种基于分层pce的多域光网络安全光树建立方法及系统。

背景技术：

当前光通信技术和实时流媒体组播应用飞速发展，利用光网络组播方式传输信息变得越来越广泛，如何建立和维护一个满足安全需求的组播树成为多域光网络中十分重要的问题。

2010年，ietf(theinternetengineeringtaskforce，国际互联网工程任务组)在rfc(requestforcomments，请求评议文档)5920中描述在gmpls(generalizedmulti-protocollabelswitching，多标签交换协议)的组播过程中面临的各种安全威胁，提出防御技术以及检测和报告机制，但并未提及安全建立组播树的方案；现有技术中提出恢复满足时延约束的光树的方法，但是并未有相关机制应对光网络组播中存在的安全问题；另外相关文献通过对基于rsvp-te(resourcereservationprotocol-trafficengineering，基于流量工程的资源预留协议)协议可靠性机制的具体分析，讨论rsvp-te协议可能面临的安全问题，并提出了相应的对策，但以上两者均未形成相关的组播协议；此外，提出了通过并行方式创建光路的方法，能够有效节约资源配置时间，但该协议为单播协议，不能实现安全组播的目的。

技术实现要素：

针对上述现有技术中存在的问题，本发明提出了一种基于分层pce的多域光网络安全光树建立方法，能够实现组播树的安全建立，在阻塞率与光树建立时延方面表现良好。

为了实现上述目的，本发明采用如下技术方案：

一种基于分层pce的多域光网络安全光树建立方法，包括以下步骤：

步骤1，光网络中的源节点接收到组播连接请求，源节点发送建树请求r1至源节点所在域的cpce，cpce子路径计算单元；

步骤2，源节点所在域的cpce接收建树请求r1并利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；源节点所在域的cpce将建树请求r1发送至ppce，ppce为父路径计算单元；

步骤3，ppce接收到源节点所在域的cpce发送的建树请求r1后，利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求r1与最优的抽象组播树路由信息形成建树请求r2，ppce将建树请求r2发送到该最优的抽象组播树路由信息所经过的域中的cpce；

步骤4，最优的抽象组播树路由信息所经过的每个域中的cpce计算得到域内组播树路由信息；域内组播树路由信息和建树请求r2形成建树请求r3；各个域中的cpce将建树请求r3发送至ppce；

步骤5，确定分配波长；将步骤4中得到的所有的域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求r4；ppce将建树请求r4发送到管理源节点或分支节点的cpce中；

步骤6，步骤5中的管理源节点或者分支节点的cpce接收到建树请求r4后，利用tcp-ao机制对建树请求r4进行源认证；管理源节点或者分支节点的cpce分别从建树请求r4中读取严格组播树路由信息，管理源节点的cpce截取所在域中的源节点至分支节点之间的路由信息，该路由信息与分配波长生成建树请求r5，管理源节点的cpce将建树请求r5发送给源节点；管理分支节点的cpce截取所在域中的分支节点之间的路由信息，该路由信息与分配的波长生成建树请求r5，管理分支节点的cpce将建树请求r5发送给各个分支节点；

步骤7，源节点和各个分支节点接收到建树请求r5后，利用tcp-ao机制对建树请求r5进行源认证，分别得到源节点至分支节点之间的路由信息和各个分支节点之间的路由信息，且均得到分配波长；源节点和各个分支节点启动rsvp-te协议，分别将路由信息和波长信息形成path消息，并将path消息发送至下游节点；

步骤8，当下游节点接收到path消息后，判断分配波长在该下游节点与下一节点之间的链路上是否被占用，若未被占用，则将path消息传到下一节点；若被占用，则返回步骤5；

步骤9，步骤8中传送过程中的所有尾节点接收到path消息后，利用tcp-ao机制对path消息进行源认证，生成resv消息，沿步骤8中的传送路径反向传递至上游的源节点和各个分支节点，并按照分配的波长完成相邻节点之间的链路上的波长配置；

步骤10，源节点和所有分支节点接收到resv消息后，各自生成确认消息，将确认消息发送至各自所在域的cpce；cpce将确认消息转发至ppce；ppce确认收到所有的确认消息后，ppce向源节点所在域的cpce发送建树成功消息，源节点所在域的cpce发送建树成功消息至源节点；源节点即可开始组播发送数据。

本发明的另一个方面提供一种基于分层pce的多域光网络安全光树建立系统，包括接收建树请求r1模块、发送建树请求r1模块、形成建树请求r2模块、形成建树请求r3模块、形成建树请求r4模块、形成建树请求r5模块、path消息形成模块、传送path消息模块、生成resv消息模块和确认消息生成模块，其中，

接收建树请求r1模块，用于实现以下功能：

光网络中的源节点接收到组播连接请求，源节点发送建树请求r1至源节点所在域的cpce；

发送建树请求r1模块，用于实现以下功能：

源节点所在域的cpce接收建树请求r1并利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；源节点所在域的cpce将建树请求r1发送至ppce；

形成建树请求r2模块，用于实现以下功能：

ppce接收到源节点所在域的cpce发送的建树请求r1后，利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求r1与最优的抽象组播树路由信息形成建树请求r2，ppce将建树请求r2发送到该最优的抽象组播树路由信息所经过的域中的cpce；

形成建树请求r3模块，用于实现以下功能：

最优的抽象组播树路由信息所经过的每个域中的cpce计算得到域内组播树路由信息；域内组播树路由信息和建树请求r2形成建树请求r3；各个域中的cpce将建树请求r3发送至ppce；

形成建树请求r4模块，用于实现以下功能：

确定分配波长；将形成建树请求r3模块，中得到的所有的域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求r4；ppce将建树请求r4发送到管理源节点或分支节点的cpce中；

形成建树请求r5模块，用于实现以下功能：

形成建树请求r4模块中的管理源节点或者分支节点的cpce接收到建树请求r4后，利用tcp-ao机制对建树请求r4进行源认证；管理源节点或者分支节点的cpce分别从建树请求r4中读取严格组播树路由信息，管理源节点的cpce截取所在域中的源节点至分支节点之间的路由信息，该路由信息与分配波长生成建树请求r5，管理源节点的cpce将建树请求r5发送给源节点；管理分支节点的cpce截取所在域中的分支节点之间的路由信息，该路由信息与分配的波长生成建树请求r5，管理分支节点的cpce将建树请求r5发送给各个分支节点；

path消息形成模块，用于实现以下功能：

源节点和各个分支节点接收到建树请求r5后，利用tcp-ao机制对建树请求r5进行源认证，分别得到源节点至分支节点之间的路由信息和各个分支节点之间的路由信息，且均得到分配波长；源节点和各个分支节点启动rsvp-te协议，分别将路由信息和波长信息形成path消息，并将path消息发送至下游节点；

传送path消息模块，用于实现以下功能：

当下游节点接收到path消息后，判断分配波长在该下游节点与下一节点之间的链路上是否被占用，若未被占用，则将path消息传到下一节点；若被占用，则进入形成建树请求r4模块；

生成resv消息模块，用于实现以下功能：

传送path消息模块中传送过程中的所有尾节点接收到path消息后，利用tcp-ao机制对path消息进行源认证，生成resv消息，沿步骤8中的传送路径反向传递至上游的源节点和各个分支节点，并按照分配的波长完成相邻节点之间的链路上的波长配置；

确认消息生成模块，用于实现以下功能：

源节点和所有分支节点接收到resv消息后，各自生成确认消息，将确认消息发送至各自所在域的cpce；cpce将确认消息转发至ppce；ppce确认收到所有的确认消息后，ppce向源节点所在域的cpce发送建树成功消息，源节点所在域的cpce发送建树成功消息至源节点；源节点即可开始组播发送数据。

与现有技术相比，本发明具有以下技术效果：在保证自身安全性的同时，可实现多域光网络安全光树的计算与建立，并具有较低的阻塞率和较小的光树建立时延。

下面结合附图和实施例对本发明的方案作进一步详细地解释和说明。

附图说明

图1是组播请求数目与平均阻塞率的关系图；

图2是域数量与平均阻塞率的关系图；

图3是网络负载与平均光树建立时间的关系；

图4是网络信令数与网络运行时间的关系。

具体实施方式

本发明的基于分层pce的多域光网络安全光树建立方法，本发明中源节点与目的节点不在一个域内，具体包括以下步骤：

步骤1，光网络中的源节点接收到客户网络的组播连接请求，源节点发送建树请求r1至源节点所在域的cpce；

步骤2，源节点所在域的cpce接收建树请求r1并利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证，目的节点与源节点不在一个域内，此建树请求r1为跨域建树请求，源节点所在域的cpce将建树请求r1发送至ppce；

步骤3，ppce接收到源节点所在域的cpce发送的建树请求r1后，利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；根据源节点所在域和目的节点所在域，采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求r1与最优的抽象组播树路由信息形成建树请求r2，ppce将建树请求r2发送到该最优的抽象组播树路由信息所经过的域中的cpce。

步骤4，最优的抽象组播树路由信息所经过的每个域中的cpce计算得到域内组播树路由信息；域内组播树路由信息和建树请求r2形成建树请求r3；各个域中的cpce将建树请求r3发送至ppce；

步骤5，采用首次命中算法得到分配波长，可选地，此处也可采用最大利用算法或者最小利用算法得到分配波长；将步骤4中得到的每个域中的cpce计算得到的各个域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求r4；ppce将建树请求r4发送到管理源节点或分支节点的cpce中；

步骤6，步骤5中的管理源节点或者分支节点的cpce接收到建树请求r4后，利用tcp-ao机制对建树请求r4进行源认证；

每个cpce从建树请求r4中读取严格组播树路由信息，管理源节点的cpce截取该cpce所在域中的源节点至分支节点之间的路由信息，该路由信息与分配波长生成建树请求r5，管理源节点的cpce将建树请求r5发送给源节点；管理分支节点的cpce截取该管理分支节点的cpce所在域中的分支节点之间的路由信息，该路由信息与分配的波长生成建树请求r5，管理分支节点的cpce将建树请求r5发送给各个分支节点。

步骤7，源节点和各个分支节点接收到建树请求r5后，利用tcp-ao机制对建树请求r5进行源认证，分别得到源节点至分支节点之间的路由信息和各个分支节点之间的路由信息，且均得到分配波长；源节点和各个分支节点启动rsvp-te协议，分别将路由信息和波长信息形成path消息，并将path消息发送至下游节点。

步骤8，当下游节点接收到path消息后，判断分配的波长在该下游节点与下一节点之间的链路上是否被占用，若未被占用，则将path消息传到下一节点；若被占用，则返回步骤5。

步骤9，步骤8中传送过程中的所有尾节点接收到path消息后，利用tcp-ao机制对path消息进行源认证，生成resv消息，沿步骤8中的传送路径反向传递至上游的源节点和各个分支节点，并按照分配的波长完成相邻节点之间的链路上的波长配置。

步骤10，源节点和所有分支节点接收到resv消息后，各自生成确认消息，将确认消息发送至所在域的cpce；cpce将确认消息转发至ppce；ppce确认收到全部的确认消息后，说明波长资源配置完毕，ppce向源节点所在域的cpce发送建树成功消息，源节点所在域的cpce发送建树成功消息至源节点；源节点即可开始组播发送数据。

本发明的另一个方面提供一种基于分层pce的多域光网络安全光树建立系统，包括接收建树请求r1模块、发送建树请求r1模块、形成建树请求r2模块、形成建树请求r3模块、形成建树请求r4模块、形成建树请求r5模块、path消息形成模块、传送path消息模块、生成resv消息模块和确认消息生成模块，其中，

接收建树请求r1模块，用于实现以下功能：

光网络中的源节点接收到组播连接请求，源节点发送建树请求r1至源节点所在域的cpce；

发送建树请求r1模块，用于实现以下功能：

源节点所在域的cpce接收建树请求r1并利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；源节点所在域的cpce将建树请求r1发送至ppce；

形成建树请求r2模块，用于实现以下功能：

ppce接收到源节点所在域的cpce发送的建树请求r1后，利用基于嵌套哈希链的双向认证方法对建树请求r1进行身份认证，并利用tcp-ao机制对建树请求r1进行源认证；采用基于人工免疫与信任度的多域光网络安全组播路由计算算法计算得到最优的抽象组播树路由信息；建树请求r1与最优的抽象组播树路由信息形成建树请求r2，ppce将建树请求r2发送到该最优的抽象组播树路由信息所经过的域中的cpce；

形成建树请求r3模块，用于实现以下功能：

最优的抽象组播树路由信息所经过的每个域中的cpce计算得到域内组播树路由信息；域内组播树路由信息和建树请求r2形成建树请求r3；各个域中的cpce将建树请求r3发送至ppce；

形成建树请求r4模块，用于实现以下功能：

确定分配波长；将形成建树请求r3模块，中得到的所有的域内组播树路由信息组合形成严格组播树路由信息；严格组播树路由信息和分配波长形成建树请求r4；ppce将建树请求r4发送到管理源节点或分支节点的cpce中；

形成建树请求r5模块，用于实现以下功能：

形成建树请求r4模块中的管理源节点或者分支节点的cpce接收到建树请求r4后，利用tcp-ao机制对建树请求r4进行源认证；管理源节点或者分支节点的cpce分别从建树请求r4中读取严格组播树路由信息，管理源节点的cpce截取所在域中的源节点至分支节点之间的路由信息，该路由信息与分配波长生成建树请求r5，管理源节点的cpce将建树请求r5发送给源节点；管理分支节点的cpce截取所在域中的分支节点之间的路由信息，该路由信息与分配的波长生成建树请求r5，管理分支节点的cpce将建树请求r5发送给各个分支节点；

path消息形成模块，用于实现以下功能：

源节点和各个分支节点接收到建树请求r5后，利用tcp-ao机制对建树请求r5进行源认证，分别得到源节点至分支节点之间的路由信息和各个分支节点之间的路由信息，且均得到分配波长；源节点和各个分支节点启动rsvp-te协议，分别将路由信息和波长信息形成path消息，并将path消息发送至下游节点；

传送path消息模块，用于实现以下功能：

当下游节点接收到path消息后，判断分配波长在该下游节点与下一节点之间的链路上是否被占用，若未被占用，则将path消息传到下一节点；若被占用，则进入形成建树请求r4模块；

生成resv消息模块，用于实现以下功能：

传送path消息模块中传送过程中的所有尾节点接收到path消息后，利用tcp-ao机制对path消息进行源认证，生成resv消息，沿步骤8中的传送路径反向传递至上游的源节点和各个分支节点，并按照分配的波长完成相邻节点之间的链路上的波长配置；

确认消息生成模块，用于实现以下功能：

源节点和所有分支节点接收到resv消息后，各自生成确认消息，将确认消息发送至各自所在域的cpce；cpce将确认消息转发至ppce；ppce确认收到所有的确认消息后，ppce向源节点所在域的cpce发送建树成功消息，源节点所在域的cpce发送建树成功消息至源节点；源节点即可开始组播发送数据。

实施例

本发明采用基于ns-2的多域光网络仿真系统ssans验证本发明(pb-pce)的有效性。本发明的光路请求以泊松分布生成，连接时间满足指数分布；网络负载单位为erl(erlang)；设置w个波长，波长的带宽为2.5gbps；设置占总数量为5％的恶意节点随机进行攻击。仿真结果如下：

(1)连接阻塞率

图1是在域数量为10的情况下进行的仿真实验，给出了阻塞率随组播请求数量的影响；图2是在网络负载为100erlang的情况下进行的仿真实验，给出了域数量对平均连接阻塞率的影响。

分析图1的仿真实验可知，在光网络波长数w分别设置为10，15，20的情况下，随着组播请求数量的增加，连接阻塞率都在明显上升，而当波长数目增加后，连接阻塞率有显著改善。

分析图2的仿真实验可以得到以下结果，在光网络波长数w分别设置为10，15，20的情况下，当域数量增长时，连接阻塞率增长较为平稳。这是由于在本发明中采用了并行分支建树方式进行组播树的建立，有效减少了波长争用带来的资源冲突，且应用多种安全机制制裁了恶意行为，能够提高连接的效率。在波长数增加后，连接阻塞率有所下降。

(2)组播树建立时间

在波长数为10的条件下，对光树建立的时延受到网络负载的影响情况进行仿真。图3给出了网络负载对平均光树建立时间的影响。

分析图3的仿真结果可以得到，在域数量d分别设置为5，10，15的情况下，当光网络的负载增加时，在负载小的时候增长较为缓慢，当高负载运行时开始线性增加。这是由于在本发明的方法中采用了分支并行建树方法，在低负载时域数量的增加不会导致光树建立时间的显著增加；而在负载过高的情形中，路由及波长分配等业务运算及建树请求消息数目超出了pce的承载力，且由于消息量增加带来的资源紧张也会造成光树建立时间快速增加；但由于安全波长分配机制能够合理分配资源有效避免波长冲突，光树建立时延仍在可接受范围内。

(3)消息负载

在域数量为10，波长数为10的条件下进行仿真，图4给出了信令数网络运行时间的关系。

从图4中可以看出，在网络负载l分别设置为50erl，100erl的情况下，当光网络的域数量增加时，信令数均随时间呈线性增长。但是在负载为150erl时，光网络波长资源紧张，需要发出大量信令调用多个模块减轻整个网络压力，因此在负载150erl时信令总数增长较快，但仍在光网络可承受范围内。