CN103051540B - 一种跨域建立保密路径的方法和系统 - Google Patents
一种跨域建立保密路径的方法和系统 Download PDFInfo
- Publication number
- CN103051540B CN103051540B CN201210547747.XA CN201210547747A CN103051540B CN 103051540 B CN103051540 B CN 103051540B CN 201210547747 A CN201210547747 A CN 201210547747A CN 103051540 B CN103051540 B CN 103051540B
- Authority
- CN
- China
- Prior art keywords
- domain
- node
- pks
- path
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000011144 upstream manufacturing Methods 0.000 claims abstract description 13
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000009191 jumping Effects 0.000 abstract 2
- 230000005540 biological transmission Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 6
- 101100244111 Dictyostelium discoideum stlA gene Proteins 0.000 description 3
- 101100185019 Mycobacterium bovis (strain ATCC BAA-935 / AF2122/97) pks15/1 gene Proteins 0.000 description 3
- 101150084980 PKS1 gene Proteins 0.000 description 3
- 101100136769 Sarocladium schorii aspks1 gene Proteins 0.000 description 3
- 101100006464 Arabidopsis thaliana CIPK10 gene Proteins 0.000 description 2
- 101100496017 Arabidopsis thaliana CIPK15 gene Proteins 0.000 description 2
- 101100013508 Gibberella fujikuroi (strain CBS 195.34 / IMI 58289 / NRRL A-6831) FSR1 gene Proteins 0.000 description 2
- 101100056018 Homo sapiens ARAF gene Proteins 0.000 description 2
- 101000908015 Homo sapiens Putative inactive carboxylesterase 4 Proteins 0.000 description 2
- 101100238658 Mycobacterium tuberculosis (strain ATCC 25618 / H37Rv) msl3 gene Proteins 0.000 description 2
- 101150028297 PKS2 gene Proteins 0.000 description 2
- 101150086937 PKS3 gene Proteins 0.000 description 2
- 102100023322 Putative inactive carboxylesterase 4 Human genes 0.000 description 2
- 102100029437 Serine/threonine-protein kinase A-Raf Human genes 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了跨域建立保密路径的方法,包括:首域首节点将ERO的路由栈中的当前跳路由信息和本地预先保存的本域的PKS先后保存在RRO的路由栈中,所述PKS后保存;下游节点接收到上游节点发送的Path消息后,如判断出本节点是中间域首节点,则将收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找收到的RRO的路由栈中存储时间最晚的一个PKS,将在栈中保存时间晚于该PKS的所有路由信息出栈。本发明能够避免跨域建立保密路径时将路径经过的首域和中间域的拓扑及路径信息泄露到其他域。本发明还公开了跨域建立保密路径的系统。
Description
技术领域
本发明涉及流量工程领域,尤其涉及的是一种跨域建立保密路径的方法和系统。
背景技术
控制平面协议中,当TE LSP(Traffic Engineering Label Switched Path,流量工程标签交换路径)的连接建立需要跨越多个域(比如,AS(AutonomousSystems,自治域))时,需要由多个域的PCE(Path Computation Element,路径计算单元)联合计算得到最优路径,由于每个PCE只能计算本域内的路径段,中间域或尾域的PCE计算完本域的路径结果后会返回给首域PCE,那么中间域或尾域的路径信息将会泄露给其他域。因此,为了保证域内拓扑及链路信息的私密性,IETF标准RFC5553定义了一种保密路径方法:域内需要保密的路径段称为CPS(Confidential Path Segment,保密路径段),将CPS的显式路由信息编码为PKS(Path Key Subobject,保密路径子对象)插入路径计算结果中,当LSP连接建立到达该保密路径段的当前域时,再对PKS进行解密获取该保密路径段的显式路由信息。
如图1所示,现有技术跨域建立LSP时,比如,跨两个自治域建立LSP,从第一个域AS-1的Ingress(首节点)到第二个域AS-2的Egress(尾节点)建立连接,该路径途中依次经过AS-1域的中间节点A、自治域边界路由器ASBR1、AS-2域的自治域边界路由器ASBR2和AS-2域的中间节点B。
跨域建立LSP时首先需要进行路径计算,在路径计算过程中,LSP经过的首域首节点Ingress作为PCC(Path Computation Client,路径计算代理),请求PCE-1计算最优路径。由于路径经过AS-1和AS-2两个域,需要PCE-1和PCE-2联合计算。PCE-2为了保证AS-2域内的路径信息不被AS-1域知晓,将AS-2域内的显式路径使用保密路径方式隐藏,将显式路径信息编码为PKS插入路径计算结果中,再将含有PKS的路径计算结果返回给PCE-1,PCE-1再将本域的计算结果和PCE-2的计算结果拼接成完整的最优路径返回给PCC。
如图2所示,PCC获得最优路径后发起LSP的连接建立过程,PCC发起的Path消息(Path Message,路径建立消息)中携带ERO(Explicit RouteObjects,显式路由对象)和RRO(Route Record Object,路由记录对象),ERO用来携带LSP建立将要经过的路由信息,RRO用来记录LSP已经经过的路由信息,PCC发起LSP连接建立时,将PCE返回的最优路径计算结果插入ERO,即ERO的路由栈(自栈顶到栈底)为:Ingress->A->ASBR1->ASBR2->PKS->Egress,RRO的路由栈(自栈顶到栈底)为:空。PCC(Ingress)发送Path消息前,将ERO的路由栈的当前跳路由信息(最上层路径节点,位于栈顶)取出,插入RRO的栈顶,即PCC(Ingress)向下游节点发送的Path消息中,ERO的路由栈(自栈顶到栈底)为:A->ASBR1->ASBR2->PKS->Egress,RRO的路由栈(自栈顶到栈底)为:Ingress。
Path消息沿着ERO的路由栈自栈顶节点向栈底节点依次转发,节点接收到的ERO的路由栈的栈顶为当前跳路由信息,也即本节点的路由信息,栈顶的下一层为第二层,存储下一跳路由信息,即当前节点要向其发送Path消息的下游节点路由。节点处理的具体流程如下:节点接收到Path消息后,将ERO的栈顶即本节点的路由信息出栈(ERO的栈顶下移一层),并将其存入RRO路由栈的栈顶;节点查询ERO路由栈的栈顶,判断下一跳路由信息是否为显式路由信息,如下一跳路由信息是显式路由信息,则发送Path消息到该节点;如下一跳路由信息不是显式路由信息,而是保密路径子对象PKS,则请求本域的PCE解密该PKS,用PCE返回的该PKS对应的显式路由信息替换ERO的路由栈中保存的该PKS,即将ERO的栈顶即PKS出栈(ERO的栈顶下移一层),将解密后的显示路由信息存入ERO路由栈的栈顶,并发送Path消息到该节点。
可以看出,AS-2域中的尾节点(Egress)所接收到的Path消息中,ERO的路由栈(自栈顶到栈底)为:Egress;RRO的路由栈(自栈顶到栈底)为:B->ASBR2->ASBR1->A->Ingress。
因此,现有方法在跨域建立保密路径时,Path消息的RRO中携带的全部都是显式路由信息,因此,路径经过的首域和中间域的拓扑及路径信息泄露到了其他域。
发明内容
本发明所要解决的技术问题是提供一种跨域建立保密路径的方法和系统,避免跨域建立保密路径时将路径经过的首域和中间域的拓扑及路径信息泄露到其他域。
为了解决上述技术问题,本发明提供了一种跨域建立保密路径的方法,该方法包括:
首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
进一步地,上述方法还具有以下特点:
下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点。
进一步地,上述方法还具有以下特点:
所述PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特;
所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域;或者,
所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域。
进一步地,上述方法还具有以下特点:
首域首节点在向下游节点发送Path消息之前,还包括:在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。
进一步地,上述方法还具有以下特点:
判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
为了解决上述技术问题,本发明还提供了一种跨域建立保密路径的系统,包括:
首域首节点处理模块,用于首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
下游节点判断模块,用于下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
下游节点RRO修改模块,用于如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
进一步地,上述系统还具有以下特点:
下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点。
进一步地,上述系统还具有以下特点:
所述PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特;
所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域;或者,
所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域。
进一步地,上述系统还具有以下特点:
首域首节点处理模块,还用于首域首节点在向下游节点发送Path消息之前,在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。
进一步地,上述系统还具有以下特点:
判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
与现有技术相比,本发明提供的一种跨域建立保密路径的方法和系统,首域首节点和中间域首节点将ERO的路由栈中的当前跳路由信息和本域的PKS先后保存在RRO的路由栈中,所述PKS后保存,首域尾节点和中间域尾节点查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将在栈中保存时间晚于该PKS的所有路由信息出栈。本发明能够避免跨域建立保密路径时将路径经过的首域和中间域的拓扑及路径信息泄露到其他域。
附图说明
图1为现有技术的跨域建立保密路径的路径示意图。
图2为现有技术中Path消息的传递示意图。
图3为本发明实施例的一种跨域建立保密路径的方法流程图。
图4为图3中一种判断本节点的类型的方法流程图。
图5为本发明实施例的PKS编码示意图。
图6为本发明应用示例中3域9点环境跨域建立保密路径的路径示意图。
图7为本发明实施例的一种跨域建立标签交换路径的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图3所示,本发明实施例提供了一种跨域建立标签交换路径的方法,该方法包括:
S10,首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
S20,下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
S30,如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
该方法进一步包括下述特征:
其中,首域首节点在向下游节点发送路径建立Path消息之前,还包括:首域首节点在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。具体地:首域首节点请求首域的路径计算单元PCE计算最优路径,PCE返回跨域的路径计算结果(其中中间域及尾域的保密路径段已编码为PKS),同时将首域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。首域首节点创建路径建立Path消息,其中携带ERO和RRO,将PCE返回的路径计算结果以栈的方式插入ERO中,形成路由栈;
其中,如图4所示,下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点;
其中,判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
其中,PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特,原Path Key字段改为15位比特表示;所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域,或者,所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域;
图5所示为本发明中PKS编码的示意图,其中,L,Type,Length,PCE-ID与现有技术中PKS编码定义相同,A比特是本发明对PKS编码的扩展,使用PKS编码中原路径密钥PathKey字段的最高位比特,原Path Key字段改为15位比特表示。
其中,标签交换路径经过的其他节点(首域中间节点、中间域中间节点、尾域内的所有节点),采用现有技术中的方法处理,也即,节点将接收到的ERO的路由栈中的当前跳路由信息存入RRO的路由栈。
应用示例
如图6所示,3域9点场景中,需要在Ingress和Egress之间建立跨越3个域、9个节点的端到端业务,3个域为自治域,为了保证域内拓扑的私密性,PCE-1,PCE-2和PCE-3分别将本域内的保密路径段加密成保密路径子对象PKS1,PKS2和PKS3。首域首节点Ingress作为路径计算代理PCC向路径计算单元PCE-1请求计算最优路径,PCE-1与PCE-2和PCE-3联合计算后,向Ingress返回首域的保密路径子对象PKS1及最优路径计算结果(其中携带有PKS2和PKS3)。Ingress在本地保存PKS1,并将路径计算结果插入ERO中,即为Ingress->A->B->C->PKS2->E->F->PKS3->Egress。
下表1为各节点接收到的Path消息的ERO的路由栈的信息,以及RRO的路由栈的信息:
表1
如上述表1所示,对于标签交换路径经过的首域首节点、中间域首节点、首域或者中间域的尾节点,采用本发明的方法修改RRO:首域首节点将ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在所述RRO的路由栈中,所述PKS后保存;中间域首节点将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;
首域尾节点或者中间域尾节点查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
对于标签交换路径经过的其他节点(首域中间节点、中间域中间节点、尾域内的所有节点),采用现有技术中的方法修改RRO,也即,将接收到的ERO的路由栈中的当前跳路由信息存入RRO的路由栈。
如图7所示,本发明还提供了一种跨域建立保密路径的系统,包括:
首域首节点处理模块,用于首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
下游节点判断模块,用于下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
下游节点RRO修改模块,用于如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
该系统进一步包括下述特征:
其中,下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点。
其中,所述PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特;
所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域;或者,
所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域。
其中,首域首节点处理模块,还用于首域首节点在向下游节点发送Path消息之前,在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。
其中,判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
上述实施例提供的一种跨域建立保密路径的方法和系统,首域首节点和中间域首节点将ERO的路由栈中的当前跳路由信息和本域的PKS先后保存在RRO的路由栈中,所述PKS后保存,首域尾节点和中间域尾节点查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将在栈中保存时间晚于该PKS的所有路由信息出栈。本发明能够避免跨域建立保密路径时将路径经过的首域和中间域的拓扑及路径信息泄露到其他域。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种跨域建立保密路径的方法,该方法包括:
首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
2.如权利要求1所述的方法,其特征在于:
下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点。
3.如权利要求2所述的方法,其特征在于:
所述PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特;
所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域;或者,
所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域。
4.如权利要求1或2所述的方法,其特征在于:
首域首节点在向下游节点发送Path消息之前,还包括:在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。
5.如权利要求2所述的方法,其特征在于:
判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
6.一种跨域建立保密路径的系统,包括:
首域首节点处理模块,用于首域首节点将显式路由对象ERO的路由栈中的当前跳路由信息和本地预先保存的本域的保密路径子对象PKS先后保存在路由记录对象RRO的路由栈中,所述PKS后保存,向下游节点发送携带ERO和RRO的路径建立Path消息;
下游节点判断模块,用于下游节点接收到上游节点发送的Path消息后,判断本节点的类型;
下游节点RRO修改模块,用于如判断出本节点是中间域首节点,则将接收到的ERO的路由栈中的当前跳路由信息和本域的PKS先后存入RRO的路由栈,所述PKS后保存;如判断出本节点是首域或中间域的尾节点,则查找接收到的RRO的路由栈中存储时间最晚的一个PKS,将所述RRO的路由栈中保存时间晚于该PKS的所有路由信息出栈。
7.如权利要求6所述的系统,其特征在于:
下游节点接收到上游节点发送的Path消息后,判断本节点的类型,包括:
本节点判断接收到的ERO的路由栈中的下一跳路由信息是否为PKS,如果所述下一跳路由信息是PKS,则判断所述PKS的当前域类型标识是否为尾域,如果不是尾域,则判断本节点是中间域首节点;如果所述下一跳路由信息不是PKS,则判断本节点是否为本域的尾节点,如果本节点是本域的尾节点,则判断接收到的ERO的路由栈中的下一跳路由信息是否为空,如果所述下一跳路由信息不是空,则判断自身为首域或中间域的尾节点。
8.如权利要求7所述的系统,其特征在于:
所述PKS的当前域类型标识使用PKS编码中原路径密钥Path Key字段的最高位比特;
所述当前域类型标识取值为0时表示PKS所在的当前域为尾域,取值为1时表示PKS所在的当前域为首域或中间域;或者,
所述当前域类型标识取值为1时表示PKS所在的当前域为尾域,取值为0时表示PKS所在的当前域为首域或中间域。
9.如权利要求6或7所述的系统,其特征在于:
首域首节点处理模块,还用于首域首节点在向下游节点发送Path消息之前,在路径计算过程中请求本域的路径计算单元PCE将本域的保密路径段编码为PKS并返回,首域首节点在收到所述PKS后将其保存在本地。
10.如权利要求6所述的系统,其特征在于:
判断本节点是否为本域的尾节点,通过查询本地的路由配置信息进行判断。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210547747.XA CN103051540B (zh) | 2012-12-17 | 2012-12-17 | 一种跨域建立保密路径的方法和系统 |
| PCT/CN2013/082141 WO2014094449A1 (zh) | 2012-12-17 | 2013-08-23 | 一种跨域建立保密路径的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210547747.XA CN103051540B (zh) | 2012-12-17 | 2012-12-17 | 一种跨域建立保密路径的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103051540A CN103051540A (zh) | 2013-04-17 |
| CN103051540B true CN103051540B (zh) | 2017-11-28 |
Family
ID=48064045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210547747.XA Active CN103051540B (zh) | 2012-12-17 | 2012-12-17 | 一种跨域建立保密路径的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103051540B (zh) |
| WO (1) | WO2014094449A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051540B (zh) * | 2012-12-17 | 2017-11-28 | 中兴通讯股份有限公司 | 一种跨域建立保密路径的方法和系统 |
| CN106850430A (zh) * | 2015-12-03 | 2017-06-13 | 华为技术有限公司 | 一种域间路由方法、装置及网络侧设备 |
| CN112910778A (zh) * | 2021-02-03 | 2021-06-04 | 北京明未科技有限公司 | 网络安全路由方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1957568A (zh) * | 2004-05-20 | 2007-05-02 | 阿尔卡特公司 | 用于配置跨域电信服务的开放式服务发现和路由选择机制 |
| CN101399771A (zh) * | 2007-09-28 | 2009-04-01 | 阿尔卡特朗讯公司 | 在多域网络内传达风险信息 |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051540B (zh) * | 2012-12-17 | 2017-11-28 | 中兴通讯股份有限公司 | 一种跨域建立保密路径的方法和系统 |
-
2012
- 2012-12-17 CN CN201210547747.XA patent/CN103051540B/zh active Active
-
2013
- 2013-08-23 WO PCT/CN2013/082141 patent/WO2014094449A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1957568A (zh) * | 2004-05-20 | 2007-05-02 | 阿尔卡特公司 | 用于配置跨域电信服务的开放式服务发现和路由选择机制 |
| CN101399771A (zh) * | 2007-09-28 | 2009-04-01 | 阿尔卡特朗讯公司 | 在多域网络内传达风险信息 |
| CN101997876A (zh) * | 2010-11-05 | 2011-03-30 | 重庆大学 | 基于属性的访问控制模型及其跨域访问方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103051540A (zh) | 2013-04-17 |
| WO2014094449A1 (zh) | 2014-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3493491B1 (en) | Packet forwarding method and device | |
| Farrel et al. | A framework for inter-domain multiprotocol label switching traffic engineering | |
| US9860161B2 (en) | System and method for computing a backup ingress of a point-to-multipoint label switched path | |
| US8908501B2 (en) | Procedures for finding a backup ingress of a point-to-multipoint label switched path | |
| US7496105B2 (en) | System and method for retrieving computed paths from a path computation element using encrypted objects | |
| EP2978176B1 (en) | Packet processing method and router | |
| US8848705B2 (en) | System and method for finding point-to-multipoint label switched path crossing multiple domains | |
| JP2022186731A (ja) | 伝送経路故障を処理するための方法と装置、及びシステム | |
| Filsfils et al. | Segment routing use cases | |
| US20110134802A1 (en) | Determining A Routing Tree For Networks With Different Routing Protocols | |
| EP3780514B1 (en) | Tunnel setup method, apparatus, and system | |
| US20110090913A1 (en) | Apparatus and method of controlling lsp of rsvp-te protocol using label with availability of end-to-end range | |
| US10462045B1 (en) | Topology independent fast reroute for node and SRLG local protection | |
| CN111490937B (zh) | 一种建立跨域转发路径的方法、装置及系统 | |
| CN103051540B (zh) | 一种跨域建立保密路径的方法和系统 | |
| US10397093B2 (en) | Method for acquiring cross-domain separation paths, path computation element and related storage medium | |
| US9998807B2 (en) | Method and apparatus for establishing trail network | |
| CN107347034B (zh) | 链路信息的处理方法及装置、系统 | |
| WO2017162202A1 (zh) | 链路状态信息处理 | |
| WO2018095438A1 (zh) | 等价多路径ecmp处理方法及装置 | |
| US9258221B2 (en) | System and method for rapid protection of RSVP based LSP | |
| CN101640888A (zh) | 快速重路由资源预留认证方法、装置及系统 | |
| CN109729006B (zh) | 一种报文处理方法和装置、计算机可读存储介质 | |
| Farrel et al. | RFC 4726: A Framework for Inter-Domain Multiprotocol Label Switching Traffic Engineering | |
| CN115834463A (zh) | 路径计算方法、装置、网络控制器和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |