【技术实现步骤摘要】
一种基于分布式PCE的多域光网络安全光树建立系统及方法
本专利技术涉及多域光网络组播光树建立系统及方法,具体涉及一种基于分布式PCE的多域光网络安全光树建立系统及方法。
技术介绍
随着光网络技术和视频监控等流媒体业务的飞速发展,人们在光层进行组播形式的业务越来越普遍。然而光层组播树建立过程中面临着身份假冒攻击、消息篡改、重放攻击等安全威胁,因此,如何建立一个满足安全需求的多域光网络组播树至关重要。针对多域光网络安全组播树的建立,国内外取得了一些研究成果。在RFC5520和RFC5920中对多域光网络跨域光路的建立进行安全性需求分析,并给出了相应的安全防御技术,但是没有具体涉及组播树如何建立的方法。文献(周贤伟,吴启武,王建萍,等.一种高效的ASON安全光路建立协议[J].光子学报,2009,38(8):2071-2076.)提出了一种性能优于RSVP-TE信令协议的安全光路建立协议,但它只适用于单域光网络且只适用于单播。文献(吴启武,姜灵芝.多层多域智能光网络安全关键技术研究[J].光通信技术,2012,36(12):1-5.)对多域光网络中的安全路由、安全信令进行分析总结,并给出了其未来的发展方向。文献(王宗伟.基于分层PCE的光网络跨域并行建路方法研究[D].成都电子科技大学,2012.)在分层PCE架构下,改变各PCE依次计算的方式,而采用并行计算的方法,大大减少了建路的时延和阻塞率,但是该方案只适用于单播且没有考虑安全因素。文献(F.Li,DouZheng,JinhuaHu,D.RenandJ.Zha...
【技术保护点】
1.一种基于分布式PCE的多域光网络安全光树建立系统,用于在分布式PCE的多域光网络中建立安全光树,其特征在于,所述的系统包括安全服务模块、信任管理模块以及密钥管理模块;/n所述的安全服务模块用于在安全光树建立时,提供消息加密解密、身份认证、源认证、隐私保护以及数字签名服务;/n所述的信任管理模块用于在安全光树建立时,提供信任值计算服务;/n所述的密钥管理模块用于在安全光树建立时,完成密钥的产生、分发和更新;/n其中所述的安全服务模块包括消息加密解密单元、身份认证单元、源认证单元、隐私保护单元以及数字签名子单元;/n所述的消息加密解密单元用于使用会话密钥、PCE层组密钥、自治域层组密钥进行消息加密或解密;/n所述的身份认证单元用于采用身份认证机制进行身份认证;/n所述的源认证单元用于采用组播源认证机制对消息进行源认证;/n所述的隐私保护单元用于对组播树进行加解密;/n所述的数字签名单元用于利用私钥或公钥进行数字签名。/n
【技术特征摘要】
1.一种基于分布式PCE的多域光网络安全光树建立系统,用于在分布式PCE的多域光网络中建立安全光树,其特征在于,所述的系统包括安全服务模块、信任管理模块以及密钥管理模块;
所述的安全服务模块用于在安全光树建立时,提供消息加密解密、身份认证、源认证、隐私保护以及数字签名服务;
所述的信任管理模块用于在安全光树建立时,提供信任值计算服务;
所述的密钥管理模块用于在安全光树建立时,完成密钥的产生、分发和更新;
其中所述的安全服务模块包括消息加密解密单元、身份认证单元、源认证单元、隐私保护单元以及数字签名子单元;
所述的消息加密解密单元用于使用会话密钥、PCE层组密钥、自治域层组密钥进行消息加密或解密;
所述的身份认证单元用于采用身份认证机制进行身份认证;
所述的源认证单元用于采用组播源认证机制对消息进行源认证;
所述的隐私保护单元用于对组播树进行加解密;
所述的数字签名单元用于利用私钥或公钥进行数字签名。
2.如权利要求1所述的基于分布式PCE的多域光网络安全光树建立系统,其特征在于,所述的消息加密解密单元包括会话密钥加解密子单元、PCE层组密钥加解密子单元以及自治域层组密钥加解密子单元;
所述的会话密钥加解密子单元用于使用会话密钥进行消息加密或解密;
所述的PCE层组密钥加解密子单元用于使用PCE层组密钥进行消息加密或解密;
所述的自治域层组密钥加解密子单元用于使用自治域层组密钥进行消息加密或解密。
3.如权利要求1所述的基于分布式PCE的多域光网络安全光树建立系统,其特征在于,所述的身份认证单元采用身份认证机制进行身份认证时,采用基于自证明公钥和椭圆曲线的身份认证方法进行身份认证,所述的身份认证方法具体包括:
待认证节点A将自己的公钥PA和身份标识IDA发送给认证节点B;
认证节点B选择一个随机数b,计算c=b·G并发送给待认证节点A;G为椭圆曲线上的n阶基点,n为正整数,认证节点B同时计算r′=b·PA+h(IDA)·G+((PA+((PA+h(IDA))modn)·P1,其中h(IDA)为身份标识IDA的单向散列函数,modn表示除以n的余数,P1表示待认证节点A与认证节点B所在域PCE的公钥;
待认证节点A用自身的私钥SA与认证节点B发来的c进行计算r=SA·c,并将结果发送给认证节点B;
认证节点B收到r后验证是否满足r′=r,若满足等式,则认证节点B认可待认证节点A的身份,认证通过。
4.如权利要求1所述的基于分布式PCE的多域光网络安全光树建立系统,其特征在于,所述的源认证子单元采用组播源认证机制对消息进行源认证时,采用基于TCP-AO的组播源认证方法进行认证。
5.如权利要求1所述的基于分布式PCE的多域光网络安全光树建立系统,其特征在于,所述的隐私保护子单元对组播树进行加解密时,采用改进Path-Key的路径段隐藏方法进行加密,具体包括:
源节点通过PCEP通信协议向源节点所在域的PCE发起组播树请求,源节点所在域的PCE判断目的节点是否在本域中,若不在,通过多域光网络中其他域的PCE相互协作,获得目的节点所在的域;源节点所在域的PCE根据目的节点所在的域进行域间路由计算,获得域间路径;源节点所在域的PCE告知目的节点所在域的PCE开始计算各自的域内路径;
目的节点所在域的PCE获得各自的域内路径后,采用各自的公钥对各自的域内路径进行加密,并将加密后的域内路径发送给源节点所在域的PCE;
源节点所在域的PCE收到加密后的域内路径后与域间路径进行拼接,获得完整路径后发送给目的节点所在域的PCE;
采用改进Path-Key的路径段隐藏方法进行解密,具体包括:
目的节点所在域的PCE采用PCE层组密钥对所述的完整路径进行解密,然后根据路径密钥子对象中的PCE编号解析自身路径段,从而得到完整组播树。
6.一种基于分布式PCE的多域光网络安全光树建立方法,其特征在于,利用如权利要求1-5任一项权利要求所述的基于分布式PCE的多域光网络安全光树建立系统,在分布式PCE的多域光网络中建立从源节点至目的节点的安全光树,其中所述的多域光网络中包括多个域,每个域包括一个PCE,源节点所在域的PCE为源域PCE;
所述的方法按照以下步骤执行:
步骤1、目的节点调用身份认证单元对源节点进行身份认证,若认证通过,则生成组播建树请求;否则组播树建立失败,中断通信;
源节点调用会话密钥加解密子单元对所述的组播建树请求进行加密,获得加密后的组播建树请求;
步骤2、源域PCE调用身份认证单元对源节点进行身份认证,若认证通过,则调用会话密钥加解密子单元对所述的加密后的组播建树请求进行解密,获得组播建树请求;若认证失败,则生成错误消息发送给源节点,并中断与源节点的连接;
源域PCE调用源认证单元对所述的组播建树请求进行源认证,认证通过则寻找目的节点所在的域后执行步骤3,否则生成错误消息后中断通信;
步骤3、目的节点所在域的PCE调用身份认证子单元对源域PCE进行身份认证,若认证通过,则目的节点所在域的PCE调用源认证单元对组播建树请求进行组播源认证,若认证失败则生成错误消息后中断通信;若认证通过后,目的节点所在域的PCE首先调用会话密钥加解密子单元对组播建树请求进行加密后进行路由计算,若计算成功,则获得一条抽象组播树;若计算失败,则生成错误消息后中断通信;
源域PCE调用PCE层组密钥加解密子单元对所述的抽象组播树进行加密,获得加密后的抽象组播树,将所述加密后的抽象组播树发送给其他域的PCE,所述的其他域为多域光网络中除源节点所在域以外的每一个域;
步骤4、每个其他域的PCE对所述的加密后的抽象组播树调用PCE层组密钥加解密子单元进行解密,获得抽象组播树;
每个其他域的PCE从所述的抽象组播树中计算获得各自的域内严格组播树;
每个其他域的PCE对各自的域内路径进行波长选择,获得每个其他域的域内路径可用波长信息;
每个其他域的PCE调用隐私保护单元对各自的域内严格组播树进行加密后与各自域内路径可用波长信息进行整合,获得计算消息;
每个其他域的PCE调用PCE层组密钥加解密子单元对所述的计算消息进行加密后,获得加密后的计算消息发送到源域PCE;
步骤5、源域PCE调用PCE层组密钥...
【专利技术属性】
技术研发人员:吴启武,周阳,姜灵芝,甘波,
申请(专利权)人:中国人民武装警察部队工程大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。