技術領域

本發明涉及流量工程領域，尤其涉及的是一種跨域建立保密路徑的方法和系統。

背景技術

控制平面協議中，當TE LSP(Traffic Engineering Label Switched Path，流量工程標簽交換路徑)的連接建立需要跨越多個域(比如，AS(AutonomousSystems，自治域))時，需要由多個域的PCE(Path Computation Element，路徑計算單元)聯合計算得到最優路徑，由于每個PCE只能計算本域內的路徑段，中間域或尾域的PCE計算完本域的路徑結果后會返回給首域PCE，那么中間域或尾域的路徑信息將會泄露給其他域。因此，為了保證域內拓撲及鏈路信息的私密性，IETF標準RFC5553定義了一種保密路徑方法：域內需要保密的路徑段稱為CPS(Confidential Path Segment，保密路徑段)，將CPS的顯式路由信息編碼為PKS(Path Key Subobject，保密路徑子對象)插入路徑計算結果中，當LSP連接建立到達該保密路徑段的當前域時，再對PKS進行解密獲取該保密路徑段的顯式路由信息。

如圖1所示，現有技術跨域建立LSP時，比如，跨兩個自治域建立LSP，從第一個域AS-1的Ingress(首節點)到第二個域AS-2的Egress(尾節點)建立連接，該路徑途中依次經過AS-1域的中間節點A、自治域邊界路由器ASBR1、AS-2域的自治域邊界路由器ASBR2和AS-2域的中間節點B。

跨域建立LSP時首先需要進行路徑計算，在路徑計算過程中，LSP經過的首域首節點Ingress作為PCC(Path Computation Client，路徑計算代理)，請求PCE-1計算最優路徑。由于路徑經過AS-1和AS-2兩個域，需要PCE-1和PCE-2聯合計算。PCE-2為了保證AS-2域內的路徑信息不被AS-1域知曉，將AS-2域內的顯式路徑使用保密路徑方式隱藏，將顯式路徑信息編碼為PKS插入路徑計算結果中，再將含有PKS的路徑計算結果返回給PCE-1，PCE-1再將本域的計算結果和PCE-2的計算結果拼接成完整的最優路徑返回給PCC。

如圖2所示，PCC獲得最優路徑后發起LSP的連接建立過程，PCC發起的Path消息(Path Message，路徑建立消息)中攜帶ERO(Explicit RouteObjects，顯式路由對象)和RRO(Route Record Object，路由記錄對象)，ERO用來攜帶LSP建立將要經過的路由信息，RRO用來記錄LSP已經經過的路由信息，PCC發起LSP連接建立時，將PCE返回的最優路徑計算結果插入ERO，即ERO的路由棧(自棧頂到棧底)為：Ingress-＞A-＞ASBR1-＞ASBR2-＞PKS-＞Egress，RRO的路由棧(自棧頂到棧底)為：空。PCC(Ingress)發送Path消息前，將ERO的路由棧的當前跳路由信息(最上層路徑節點，位于棧頂)取出，插入RRO的棧頂，即PCC(Ingress)向下游節點發送的Path消息中，ERO的路由棧(自棧頂到棧底)為：A-＞ASBR1-＞ASBR2-＞PKS-＞Egress，RRO的路由棧(自棧頂到棧底)為：Ingress。

Path消息沿著ERO的路由棧自棧頂節點向棧底節點依次轉發，節點接收到的ERO的路由棧的棧頂為當前跳路由信息，也即本節點的路由信息，棧頂的下一層為第二層，存儲下一跳路由信息，即當前節點要向其發送Path消息的下游節點路由。節點處理的具體流程如下：節點接收到Path消息后，將ERO的棧頂即本節點的路由信息出棧(ERO的棧頂下移一層)，并將其存入RRO路由棧的棧頂；節點查詢ERO路由棧的棧頂，判斷下一跳路由信息是否為顯式路由信息，如下一跳路由信息是顯式路由信息，則發送Path消息到該節點；如下一跳路由信息不是顯式路由信息，而是保密路徑子對象PKS，則請求本域的PCE解密該PKS，用PCE返回的該PKS對應的顯式路由信息替換ERO的路由棧中保存的該PKS，即將ERO的棧頂即PKS出棧(ERO的棧頂下移一層)，將解密后的顯示路由信息存入ERO路由棧的棧頂，并發送Path消息到該節點。

可以看出，AS-2域中的尾節點(Egress)所接收到的Path消息中，ERO的路由棧(自棧頂到棧底)為：Egress；RRO的路由棧(自棧頂到棧底)為：B-＞ASBR2-＞ASBR1-＞A-＞Ingress。

因此，現有方法在跨域建立保密路徑時，Path消息的RRO中攜帶的全部都是顯式路由信息，因此，路徑經過的首域和中間域的拓撲及路徑信息泄露到了其他域。