專利名稱:使用聚集路由器密鑰轉(zhuǎn)發(fā)數(shù)據(jù)分組的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及用于支持諸如因特網(wǎng)等公共分組交換網(wǎng)絡(luò)中數(shù)據(jù)分組的轉(zhuǎn)發(fā)過程以使得能夠避免不想要的數(shù)據(jù)分組的方法和設(shè)備。
背景技術(shù):
數(shù)字編碼信息在各方之間通過IP (因特網(wǎng)協(xié)議)網(wǎng)絡(luò)的基于分組的傳送用于各種通信服務(wù)�,如電子郵件消息傳遞、因特網(wǎng)瀏覽�����、話音和視頻電話、內(nèi)容流傳送����、游戲等。數(shù)字編碼信息在發(fā)送方布置到數(shù)據(jù)分組中����,分組隨后通過傳送路徑向目標(biāo)接收方傳送。發(fā)送方與接收方之間的傳送路徑可包括各種網(wǎng)絡(luò)���、交換機(jī)�����、網(wǎng)關(guān)����、路由器和接口����。通信方經(jīng)常稱為 “端主機(jī)”,可以是能夠進(jìn)行基于分組的IP通信的任何類型的設(shè)備���,如固定和移動電話����、計算機(jī)、服務(wù)器��、游戲機(jī)等����。在本描述中��,術(shù)語端主機(jī)將概括表示任何此類通信設(shè)備�����。連接到因特網(wǎng)或其它IP網(wǎng)絡(luò)的端主機(jī)一般已被指派有IP地址形式中的轉(zhuǎn)發(fā)身份�,需要該身份用于路由沿傳送路徑引導(dǎo)到該端主機(jī)的任何數(shù)據(jù)分組。一般情況下�,端主機(jī)也已指派有文本串形式中或多或少可理解的名稱,例如���,常規(guī)電子郵件地址或網(wǎng)址����,如 userQoperator. com��,其與實際用戶/端主機(jī)或代表用戶接收消息的另一主機(jī)的指派的 IP地址相關(guān)聯(lián)。包括DNS (域名服務(wù)器)服務(wù)器的層次結(jié)構(gòu)的DNS系統(tǒng)用于檢索特定主機(jī)名稱的當(dāng)前IP地址�����。因此���,端主機(jī)能通過與其通信的主機(jī)名稱來查詢DNS系統(tǒng)��,并且DNS 隨后將通過提供對應(yīng)端主機(jī)的當(dāng)前IP地址來回復(fù)�����。此類查詢有時稱為目的地查詢��、身份查詢或地址查詢�,后者貫穿于本描述使用�����。數(shù)據(jù)分組基本上配置有包含有效負(fù)載數(shù)據(jù)的數(shù)據(jù)字段和報頭字段��,發(fā)送端主機(jī)在報頭字段中插入目標(biāo)端主機(jī)的目的地地址��,即�,從DNS系統(tǒng)獲得的IP地址�。因此����,基于分組報頭字段中的目的地地址,每個數(shù)據(jù)分組沿適合傳送路徑�,通過通常稱為IP路由器的多個網(wǎng)絡(luò)節(jié)點來路由。除簡單地接收和轉(zhuǎn)發(fā)數(shù)據(jù)分組外�,IP路由器也可能夠執(zhí)行其它功能�����,如安全性功能����、分組調(diào)度和地址與協(xié)議的轉(zhuǎn)換。此外�,端主機(jī)可具有過濾器/防火墻功能性,用于例如根據(jù)一般由與端主機(jī)相關(guān)聯(lián)的用戶或管理員所做的設(shè)置來確定應(yīng)接受還是丟棄進(jìn)入的數(shù)據(jù)分組�。IP網(wǎng)絡(luò)中的每個路由器一般情況下包括充當(dāng)分別用于接收和發(fā)送數(shù)據(jù)分組的接口的入口和出口單元。路由器還包括用于基于路由器中定義的轉(zhuǎn)發(fā)表來確定應(yīng)將進(jìn)入的數(shù)據(jù)分組發(fā)送到作為朝向最終目的地的“下一跳”的哪個路由器的路由選擇或轉(zhuǎn)發(fā)功能���。如本領(lǐng)域中公知的���,根據(jù)網(wǎng)絡(luò)拓?fù)浜彤?dāng)前業(yè)務(wù)負(fù)載����,數(shù)據(jù)分組經(jīng)常能沿多個備用路徑來路由�����。借助于對應(yīng)的端口����,在每個路由器中提供到“最近”相鄰路由器的鏈路,并且基于拓?fù)湫畔⒑玩溌沸畔⒌姆职l(fā)���,還在路由器中配置轉(zhuǎn)發(fā)架構(gòu)����。每個端口能具有在其接口上配置的IP地址和IP掩碼�����,并且路由選擇協(xié)議用于在配置過程中在網(wǎng)絡(luò)中的路由器之間分發(fā)此信息�。隨后,每個路由器從分發(fā)的拓?fù)湫畔碛嬎闫渥约旱霓D(zhuǎn)發(fā)表�,包含多個目的地IP 地址和相關(guān)聯(lián)的外出端口。由于每個進(jìn)入的數(shù)據(jù)分組在其報頭中具有目的地IP地址���,因此����,轉(zhuǎn)發(fā)表用于從該IP地址查找轉(zhuǎn)發(fā)表中的適合條目。轉(zhuǎn)發(fā)表的主要功能因此是為每個進(jìn)入分組確定適當(dāng)?shù)耐獬龆丝?�,從而引?dǎo)到下一跳路由器�����。在圖1中��,示出了位于IP網(wǎng)絡(luò)中時常規(guī)IP路由器100的基本結(jié)構(gòu)����。除其它之外�����, IP路由器100包括入口部分100a����、出口部分IOOb和此處示意表示為轉(zhuǎn)發(fā)表IOOc的轉(zhuǎn)發(fā)功能。出口部分IOOb包括分別通向路由器100直接連接到的不同相鄰路由器A���、B�����、C…的多個外出端口 PA�����、PB> Pc…���。任何進(jìn)入的數(shù)據(jù)分組102具有有效負(fù)載字段PL和報頭H�,后者包含用于分組的目的地地址��。轉(zhuǎn)發(fā)表IOOc由多個條目組成���,每個條目包含IP掩碼�����、IP地址和外出端口號��。IP 掩碼可根據(jù)諸如FF. FF. FF. 0或FF. FF. 8. 0等十六進(jìn)制編碼的串來定義��。簡要地說��,通過應(yīng)用邏輯“與”操作���,合并報頭H中的目的地地址和轉(zhuǎn)發(fā)表IOOc中的IP掩碼以便檢測帶有相同IP地址的匹配條目���。此掩蔽機(jī)制的目的是聚集朝向幾個不同目的地的業(yè)務(wù),并且為聚集簡化外出端口的識別�����。實際上����,在比較和匹配目的地地址與條目時,比特掩碼的工作類似于 “通配符”�。一旦找到匹配條目,便能根據(jù)該條目的端口號在外出端口上發(fā)出分組��?��?赡芤褟那耙宦酚善?未示出)轉(zhuǎn)發(fā)到路由器100的進(jìn)入數(shù)據(jù)分組102因此先在入口單元IOOa中接收。隨后�����,基于報頭H中的目的地地址并使用轉(zhuǎn)發(fā)表IOOc和上述邏輯 “與”操作,確定應(yīng)將分組發(fā)送到哪個下一路由器���。在此示例中�����,進(jìn)入分組102具有目的地 IP地址���,該地址在與掩碼合并時,匹配轉(zhuǎn)發(fā)表IOOc中具有端口號Pc的條目的IP地址�。分組102因此在連接到路由器C的對應(yīng)端口上發(fā)出,路由器C在此情況下是下一跳路由器�。如上所述,路由選擇協(xié)議用于在IP網(wǎng)絡(luò)中的路由器之間分發(fā)拓?fù)浜玩溌沸畔?����。?dāng)前使用的路由選擇協(xié)議配置成獲得“彈性”�����,即�,在原始路徑中鏈路或節(jié)點故障的情況下,分組必須在不同的路徑中重新被路由。路由選擇協(xié)議還配置成方便路由器管理��,因為配置路由器一般情況下是煩瑣的任務(wù),該任務(wù)通常最好是得以簡化。因此�,在鏈路或節(jié)點中檢測到故障的情況下�����,路由選擇協(xié)議將重新配置受影響的路由器中的轉(zhuǎn)發(fā)表����,并且同時將信息分發(fā)到路由器�����,由此簡化管理�����。為獲得伸縮性(其在其它情況下在路由選擇架構(gòu)中是固有問題)����,路由選擇過程能使用基于上面分層的比特屏蔽方案的路由的聚集��,這在本領(lǐng)域是公知的,因此不必在此進(jìn)一步描述���。然而�,如下所述�,IP網(wǎng)絡(luò)和因特網(wǎng)的一個主要問題是安全性支持通常不充分。從某種意義上說�,上述彈性有時能夠使通過網(wǎng)絡(luò)傳播分組變得“太容易”。這是因為當(dāng)前路由選擇架構(gòu)和協(xié)議最初設(shè)計用于“友好”環(huán)境��,即�����,假設(shè)在IP網(wǎng)絡(luò)中沒有“非法”或“不道德” 用戶在通信����,并且數(shù)據(jù)分組的傳送無需保護(hù)。不過�����,人們發(fā)現(xiàn)將各種安全性解決方案添加到 IP架構(gòu)以便保護(hù)傳遞的數(shù)據(jù)是必需或合乎需要的���,如在低層上的IP-sec及在更高層上的 TLS (傳輸層安全性)�。這些協(xié)議能夠提供數(shù)據(jù)分組的認(rèn)證和加密。此外�,MPLS (多協(xié)議標(biāo)簽交換)也是用于構(gòu)建第3層VPN(虛擬專用網(wǎng)絡(luò))以確保安全通信的解決方案。在VPN的情況下����,當(dāng)使用內(nèi)部網(wǎng)時,要求專用尋址����,并且稍微將網(wǎng)絡(luò)與公共因特網(wǎng)隔離,使得外部未經(jīng)授權(quán)的主機(jī)不允許到達(dá)并與附連到內(nèi)部網(wǎng)的主機(jī)通信����。在路由選擇協(xié)議中提供安全性的其它以前解決方案包括在路由器之間的安全通信,使得惡意實體不能偷聽���、操縱或模仿路由器�����;路由器端口之間建立IP-sec隧道以保護(hù)路由器之間的分組傳輸��;以及第2層上的鏈路安全性�����,例如����,根據(jù)IEEE 802. IAE或IEEE 802. 10���。也能使用各種使用密碼密鑰的認(rèn)證過程以增強(qiáng)安全性�,如根據(jù)DNSSec(DNS安全性)�、HIP (主機(jī)身份協(xié)議)及CGA (密碼生成的地址)。然而�,雖然針對不想要的業(yè)務(wù)的保護(hù)被用于某些應(yīng)用(例如,對電子郵件的垃圾郵件過濾)���,但在公共IP基礎(chǔ)設(shè)施中通常未提供對抗侵害性的端主機(jī)和不想要的數(shù)據(jù)分組的基本保護(hù)�。由于內(nèi)部轉(zhuǎn)發(fā)身份(即IP地址)以上述方式公開端對端分發(fā)�����,任何端主機(jī)基本上能夠通過因特網(wǎng)將消息和數(shù)據(jù)分組發(fā)送到任何其它端主機(jī)��,導(dǎo)致泛洪�����、垃圾郵件、病毒�����、欺詐和所謂的“拒絕服務(wù)”(DoQ威脅的公知問題���。因此�,通常具有的問題是任何端主機(jī)能在接收端實體完全失控下傳播數(shù)據(jù)分組��,并且諸如因特網(wǎng)等公共分組交換網(wǎng)絡(luò)在IP基礎(chǔ)設(shè)施中沒有防止來自可能惡意或不道德的最終用戶的數(shù)據(jù)分組被路由到接收器的機(jī)制����。但是,在端主機(jī)或鏈路層中能夠添加或多或少復(fù)雜的功能性以便限制連接��,如過濾器/防火墻或諸如此類��。然而���,這些解決方案是“最后的防線”解決方案��,意味著不想要的數(shù)據(jù)分組的傳輸仍能沿整個發(fā)送器-接收器路徑占用網(wǎng)絡(luò)資源���,而分組卻無論如何總是在接收器被丟棄���。在帶有許多端主機(jī)和多個路由器的通信系統(tǒng)中另一個問題是如果使用的安全性解決方案既不能采用上述IP地址的比特掩蔽、也不能采用其等效物來實現(xiàn)路由的聚集��,則路由器中的轉(zhuǎn)發(fā)表將包括數(shù)量巨大的條目��。此類大轉(zhuǎn)發(fā)表處理能夠變得極其復(fù)雜�,要求大量的資源用于存儲�����、處理和通信�����,這一般可導(dǎo)致不希望有的成本和延遲�����。特別是��,如果在路由器中引入密碼安全性機(jī)制���,開銷將例如由于密碼密鑰的管理和/或密碼處理而甚至變得更大����,由此使得路由器中的復(fù)雜性降低變得更加合乎需要。
發(fā)明內(nèi)容
本發(fā)明的目的是解決上面概述的問題的至少一些����。還有一個目的是獲得避免分組交換網(wǎng)絡(luò)中傳送不想要的數(shù)據(jù)分組、同時能夠使用路由器中方便大小的轉(zhuǎn)發(fā)表的機(jī)制�。這些目的和其它目的能通過提供如隨附獨(dú)立權(quán)利要求中定義的方法和設(shè)備而實現(xiàn)。根據(jù)一方面���,提供了一種用于支持分組交換網(wǎng)絡(luò)的路由器中接收的數(shù)據(jù)分組的轉(zhuǎn)發(fā)的方法�����。在此方法中����,基于從密鑰管理器接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令���,在路由器中配置轉(zhuǎn)發(fā)表����。每個聚集路由器密鑰表示目的地或路由器的集合。在收到包括從發(fā)送方密鑰或路由器密鑰所推導(dǎo)的入口標(biāo)記的數(shù)據(jù)分組時���,應(yīng)用匹配函數(shù)到入口標(biāo)記和轉(zhuǎn)發(fā)表中的至少一個條目以便查找匹配的表條目����,所述條目包括候選入口密鑰和外出端口指示��。根據(jù)還包括相關(guān)聯(lián)的聚集有關(guān)的指令的找到的匹配表條目�����,為分組選擇外出端口��。隨后����,根據(jù)匹配的表條目中的聚集有關(guān)的指令來創(chuàng)建出口標(biāo)記�,并且將附加有創(chuàng)建的出口標(biāo)記的分組從選定外出端口發(fā)送到下一跳路由器。根據(jù)另一方面�,提供了一種分組交換網(wǎng)絡(luò)的路由器中的設(shè)備,用于支持接收的數(shù)據(jù)分組的轉(zhuǎn)發(fā)�����。路由器包括轉(zhuǎn)發(fā)單元��,該單元適用于基于從密鑰管理器接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令來配置轉(zhuǎn)發(fā)表,每個聚集路由器密鑰表示目的地的集合�。 路由器還包括入口單元和出口單元,入口單元適用于接收包括從發(fā)送方密鑰或路由器密鑰所推導(dǎo)的入口標(biāo)記的數(shù)據(jù)分組�����,出口單元用于將數(shù)據(jù)分組發(fā)送到下一跳節(jié)點��。轉(zhuǎn)發(fā)單元包括標(biāo)記匹配單元�,標(biāo)記匹配單元適用于將匹配函數(shù)應(yīng)用到接收的入口標(biāo)記和轉(zhuǎn)發(fā)表中包括候選入口密鑰和外出端口指示的至少一個條目以便查找匹配的表條目。標(biāo)記匹配單元還適用于根據(jù)還包括相關(guān)聯(lián)的聚集有關(guān)的指令的找到的匹配表條目���,為分組選擇外出端口��。轉(zhuǎn)發(fā)表還包括標(biāo)記創(chuàng)建單元���,該單元適用于根據(jù)匹配表條目中的聚集有關(guān)的指令來創(chuàng)建出口標(biāo)記,以及將出口標(biāo)記附加到分組�����,分組要由出口單元從選定外出端口發(fā)送到下一跳路由器�。路由器中的上述方法和設(shè)備能夠根據(jù)不同實施例進(jìn)行配置。在一個實施例中,匹配函數(shù)包括應(yīng)用標(biāo)記推導(dǎo)函數(shù)TDF到表條目中的候選入口密鑰以推導(dǎo)候選入口標(biāo)記����。隨后,如果候選入口標(biāo)記滿足與分組中接收的入口標(biāo)記的預(yù)定關(guān)系���,則認(rèn)為找到匹配���。預(yù)定關(guān)系可以是相等,即���,如果候選入口標(biāo)記等于分組中的入口標(biāo)記�����,則認(rèn)為找到匹配。在另一個實施例中���,通過應(yīng)用另一標(biāo)記推導(dǎo)函數(shù)TDF'到匹配表條目中的出口密鑰�����,創(chuàng)建出口標(biāo)記�。接收的數(shù)據(jù)分組可還包含與轉(zhuǎn)發(fā)表中條目或條目集合相關(guān)聯(lián)的密鑰索弓丨,并且密鑰索引用于查找適當(dāng)?shù)囊粋€條目/多個條目以便應(yīng)用匹配函數(shù)����。在進(jìn)一步的實施例中�,通過將從匹配表條目中一個或多個出口密鑰所推導(dǎo)的一個或多個另外的子標(biāo)記并靠著接收的入口標(biāo)記附加到分組以執(zhí)行聚集,或者通過從分組刪除一個或多個另外的子標(biāo)記以執(zhí)行解聚集���,可創(chuàng)建出口標(biāo)記。還可通過在執(zhí)行聚集時應(yīng)用預(yù)定的合并函數(shù)到接收的入口標(biāo)記和一個或多個另外的子標(biāo)記來創(chuàng)建出口標(biāo)記。例如,合并函數(shù)可以是串連或XOR函數(shù)���。目的地密鑰和路由器密鑰的分層方案也可用于執(zhí)行路由的聚集。在該情況下�,通過將接收的入口標(biāo)記換成從匹配表條目中出口密鑰所推導(dǎo)的新標(biāo)記���、以及還添加相關(guān)聯(lián)的聚集信息到出口標(biāo)記,可創(chuàng)建出口標(biāo)記�,其中聚集信息能夠用于確定原始目的地����。上面的分層路由器密鑰方案可借助于函數(shù)f (p,q)從根值(X)生成��,其中ρ是當(dāng)前樹層次上方節(jié)點位置的路由器密鑰值���,以及q是指示當(dāng)前樹層次內(nèi)節(jié)點位置的整數(shù)���。端主機(jī)的目的地密鑰對應(yīng)于樹結(jié)構(gòu)的葉,以及葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰�����。結(jié)果的密鑰方案可由能夠沿從根(X)向下的路徑�、根據(jù)以下鏈(x, f(x)���,f(f(x))�,...���,f(f(...f(x)…)))所計算的密鑰值來組成。根據(jù)仍有的另一方面,在密鑰管理器中提供了一種用于支持分組交換網(wǎng)絡(luò)中在路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的方法。在此方法中,為連接到網(wǎng)絡(luò)中接入路由器的端主機(jī)登記目的地密鑰��,并且確定分別能夠執(zhí)行路由聚集和解聚集的路由器的位置�。還創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集指令����,每個聚集路由器密鑰表示目的地的集合��。隨后���,分發(fā)聚集路由器密鑰和相關(guān)聯(lián)的聚集指令到路由器以便執(zhí)行路由聚集和解聚集,由此使得路由器能夠基于分發(fā)的信息來配置它們自己的轉(zhuǎn)發(fā)表��。根據(jù)仍有的另一方面�,在密鑰管理器中提供了一種用于支持分組交換網(wǎng)絡(luò)中在路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的設(shè)備���。此設(shè)備包括網(wǎng)絡(luò)控制單元,該單元適用于為連接到所述網(wǎng)絡(luò)中接入路由器的端主機(jī)登記目的地密鑰��,并且還適用于確定分別能夠執(zhí)行路由聚集和解聚集的路由器的位置。密鑰管理器設(shè)備還包括密鑰分發(fā)器�,密鑰分發(fā)器適用于創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集指令,每個聚集路由器密鑰表示目的地的集合��。密鑰分發(fā)器還適用于分發(fā)聚集路由器密鑰和相關(guān)聯(lián)的聚集指令到能夠執(zhí)行路由聚集和解聚集的路由器���,由此使得這些路由器能夠基于分發(fā)的信息來配置它們自己的轉(zhuǎn)發(fā)表。密鑰管理器設(shè)備可還包括地址查詢管理器��,地址查詢管理器適用于從查詢端主機(jī)接收有關(guān)目標(biāo)端主機(jī)的地址查詢。地址查詢管理器還適用于通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF至少到與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰來創(chuàng)建發(fā)送方密鑰,以及將創(chuàng)建的發(fā)送方密鑰發(fā)送到查詢端主機(jī)以響應(yīng)地址查詢�。由此���,查詢端主機(jī)能夠通過將從發(fā)送方密鑰生成的發(fā)送方標(biāo)記附加到傳送的數(shù)據(jù)分組���,將數(shù)據(jù)分組傳播到目標(biāo)端主機(jī),發(fā)送方標(biāo)記將傳送的數(shù)據(jù)分組引導(dǎo)到目標(biāo)端主機(jī)。從下面的詳細(xì)描述,本發(fā)明的另外的可能特征和優(yōu)點將變得明白���。
下面將通過示范實施例并參照附圖更詳細(xì)地描述本發(fā)明,其中-圖1是示出根據(jù)現(xiàn)有技術(shù)的IP網(wǎng)絡(luò)中常規(guī)路由器的示意框圖���。-圖2示出從發(fā)送端主機(jī)A到接收端主機(jī)B路由數(shù)據(jù)分組的典型傳送路徑情形����,其中能夠利用本發(fā)明�����。-圖加示出根據(jù)一個實施例的示范轉(zhuǎn)發(fā)表的一部分。-圖3示出一示范網(wǎng)絡(luò)拓?fù)浜蛡魉颓樾?���,其中聚集路由器密鑰用于支持分組的轉(zhuǎn)發(fā)過程。-圖3a和北-c分別示出圖3的傳送情形的分組中能如何保留接收端主機(jī)的最終目的地地址的兩個不同實施例�����。-圖4是根據(jù)進(jìn)一步的實施例示出在轉(zhuǎn)發(fā)從端主機(jī)A發(fā)送的數(shù)據(jù)分組時能夠如何在路由器中使用聚集的框圖����。-圖5是根據(jù)仍有的另一個實施例的流程圖,帶有密鑰管理器支持分組交換網(wǎng)絡(luò)的路由器中數(shù)據(jù)分組的轉(zhuǎn)發(fā)過程而執(zhí)行的過程中的步驟��。-圖6是根據(jù)仍有的另一個實施例的流程圖���,帶有在分組交換網(wǎng)絡(luò)中路由器為執(zhí)行數(shù)據(jù)分組的轉(zhuǎn)發(fā)過程而執(zhí)行的過程中的步驟�����。-圖7是根據(jù)進(jìn)一步的實施例更詳細(xì)示出分組交換網(wǎng)絡(luò)中路由器和密鑰管理器的示意框圖�����。
具體實施例方式本發(fā)明提供一種分組轉(zhuǎn)發(fā)方案�����,該方案在通過轉(zhuǎn)發(fā)架構(gòu)中的安全性解決方案來保護(hù)端主機(jī)免于接收不想要的數(shù)據(jù)分組的同時允許路由的聚集���,所述解決方案避免使用傳送的分組的地址字段中的常規(guī)IP地址���。相反,與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰和與目的地密鑰及網(wǎng)絡(luò)拓?fù)湎嚓P(guān)聯(lián)的預(yù)配置路由器密鑰用于通過IP網(wǎng)絡(luò)來路由數(shù)據(jù)分組��。從上述目的地密鑰和路由器密鑰推導(dǎo)的標(biāo)記被插入傳送的分組的報頭中��,例如���,在地址字段中,并且路由器隨后能夠從分組中的標(biāo)記來確定目的地密鑰或路由器密鑰以執(zhí)行轉(zhuǎn)發(fā)操作�。在使用此類方案時,能夠?qū)⒎纸M路由到正確目的地且同時使得端主機(jī)能夠保護(hù)自身免于不想要的分組的要求將自然暗示使用與所有路由器中各個端主機(jī)相關(guān)聯(lián)的目的地密鑰和轉(zhuǎn)發(fā)表中的對應(yīng)條目����。因此,路由的聚集不能如在使用常規(guī)IP尋址方案時一樣以常規(guī)方式獲得�����。相反,通過在傳送的分組中附加從表示多個路由或目的地的集合的特殊聚集路由器密鑰所推導(dǎo)的標(biāo)記����,獲得路由的聚集。隨后�����,路由器能夠根據(jù)路由器的轉(zhuǎn)發(fā)表中匹配條目中的聚集有關(guān)的指令��,從分組更改���、添加或刪除此類標(biāo)記以分別在該路由器中執(zhí)行聚集或解聚集��。由此����,與其中提供表條目以用于網(wǎng)絡(luò)中每個端主機(jī)的路由器中不采用路由聚集相比�����,通過包括此類聚集路由器密鑰�,能夠降低路由器中轉(zhuǎn)發(fā)表的大小。在此描述中����,“聚集” 暗示朝向增加數(shù)量的目的地的路由選擇��,并且“解聚集”暗示朝向減少數(shù)量的目的地的路由選擇����。圖2中根據(jù)下述實施例示意示出一示范傳送情形��,在通過帶有路由器R的網(wǎng)絡(luò)傳送數(shù)據(jù)分組時基本上涉及了以下節(jié)點連接到接入路由器Rl的發(fā)送端主機(jī)A���、可能可在傳送路徑中使用的多個中間路由器R及接收端主機(jī)B連接到的接入路由器Rx����,接入路由器Rl 由此是網(wǎng)絡(luò)中的“第一跳路由器”�,并且接入路由器Rx是“最后一跳路由器”����。還使用DNS服務(wù)器系統(tǒng)來處理地址查詢Q和一般將路由選擇信息I分發(fā)到路由器�。在下面的描述中,術(shù)語“密鑰管理器”用于概括表示DNS系統(tǒng)或任何其它類似功能單元或系統(tǒng)�����。根據(jù)下面要描述的實施例,安全性解決方案能夠構(gòu)建到網(wǎng)絡(luò)中路由器使用的轉(zhuǎn)發(fā)架構(gòu)的核心協(xié)議中��。通常���,例如如上所述���,通過公共分組交換通信網(wǎng)絡(luò)傳送的任何分組必須通過傳送路徑中路由器的轉(zhuǎn)發(fā)平面中的轉(zhuǎn)發(fā)機(jī)制。通過要在下面描述的在路由器的轉(zhuǎn)發(fā)平面內(nèi)嵌入分組轉(zhuǎn)發(fā)控制機(jī)制��,結(jié)果安全性將在IP基礎(chǔ)結(jié)構(gòu)中有效地實施以控制通過該路由器的任何分組的路由選擇�。簡單地說,使用與目標(biāo)端主機(jī)相關(guān)聯(lián)的預(yù)定義隱式目的地密鑰和與目的地密鑰和網(wǎng)絡(luò)拓?fù)渲新酚善魑恢孟嚓P(guān)聯(lián)的預(yù)配置路由器密鑰���,而不使用顯式IP地址通過IP網(wǎng)絡(luò)來路由數(shù)據(jù)分組���。密鑰管理器因此登記作為數(shù)據(jù)分組的可能接收器的端主機(jī)的此類目的地密鑰。在此過程中�,視實現(xiàn)而定,目的地密鑰可由密鑰管理器來指派��,或者由端主機(jī)來選擇�。密鑰管理器隨后將提供對應(yīng)發(fā)送方密鑰而不是IP地址以響應(yīng)來自查詢端主機(jī)對目標(biāo)端主機(jī)的“地址查詢”或諸如此類�����。在此描述中,術(shù)語“地址查詢”應(yīng)理解為對能夠用于授權(quán)傳遞數(shù)據(jù)分組到目標(biāo)端主機(jī)的信息的任何查詢�����。通過至少應(yīng)用“密鑰推導(dǎo)函數(shù)KDF”到目標(biāo)端主機(jī)的目的地密鑰���,并且也可選擇性地應(yīng)用到查詢端主機(jī)的身份,密鑰管理器創(chuàng)建發(fā)送方密鑰����,這將在下面更詳細(xì)描述���。備選的是,通過應(yīng)用KDF到與目的地密鑰有關(guān)并且可能也與其它端主機(jī)的目的地密鑰有關(guān)的另一密鑰以獲得多個路由或目的地的聚集�����,可創(chuàng)建發(fā)送方密鑰。目標(biāo)端主機(jī)的目的地密鑰因此實際上在提供到查詢端主機(jī)的發(fā)送方密鑰中被“隱藏”�。這能夠通過使用單向函數(shù)或哈希函數(shù)作為KDF來獲得。隨后���,查詢端主機(jī)還通過應(yīng)用“標(biāo)記推導(dǎo)函數(shù)TDF”到發(fā)送方密鑰從獲得的發(fā)送方密鑰來推導(dǎo)發(fā)送方標(biāo)記��,并在與接收目標(biāo)端主機(jī)的至少正在進(jìn)行的數(shù)據(jù)流或會話的每個傳送的數(shù)據(jù)分組的報頭中附加發(fā)送方標(biāo)記�����。發(fā)送方標(biāo)記因此隱式編碼目標(biāo)端主機(jī)的目的地密鑰����。備選的是���,密鑰管理器可推導(dǎo)發(fā)送方標(biāo)記并將它直接輸送到發(fā)送方���。TDF可同樣地是單向函數(shù)或哈希函數(shù)。此外�,密鑰管理器基于登記的目的地密鑰和網(wǎng)絡(luò)拓?fù)鋪韯?chuàng)建不同路由器密鑰,并且將路由器密鑰分發(fā)到IP網(wǎng)絡(luò)中的路由器以形成在路由器中創(chuàng)建轉(zhuǎn)發(fā)表的基礎(chǔ)�����。還根據(jù)網(wǎng)絡(luò)拓?fù)渲械穆酚善魑恢茫_定哪些路由器分別能執(zhí)行路由聚集或解聚集���。不同的準(zhǔn)則能夠用于決定應(yīng)在網(wǎng)絡(luò)拓?fù)渲泻翁巿?zhí)行聚集/解聚集。一種方式是使用表大小作為執(zhí)行聚集的需要的指示符���。然而��,也能夠應(yīng)用各種其它方法以確定聚集/解聚集的放置�,這在本描述的范圍之外���。在一些情況下可確定路由器網(wǎng)絡(luò)的分層樹狀拓?fù)?,使得路由器定位在拓?fù)渲胁煌姆謱蛹墑e����。
通過具有能夠在哪些路由器執(zhí)行聚集或解聚集的詳細(xì)知識,并且還具有已登記目的地密鑰的每個端主機(jī)的網(wǎng)絡(luò)位置�����,密鑰管理器能夠創(chuàng)建“聚集路由器密鑰”����,即,表示多個目的地的集合并且能夠用于網(wǎng)絡(luò)拓?fù)渲胁煌謱訉哟蔚穆酚善髦新酚蛇x擇的密鑰�。這些聚集路由器密鑰由此例如在配置過程中分發(fā)到適當(dāng)路由器。路由器隨后能借助于分發(fā)的路由器密鑰來配置其自己的轉(zhuǎn)發(fā)表����。如上所指出的, 基于其中能夠執(zhí)行聚集或解聚集的網(wǎng)絡(luò)中路由器的位置�����,創(chuàng)建路由器密鑰以降低或限制路由器的轉(zhuǎn)發(fā)表中的條目數(shù)量���,其中�,至少一些分發(fā)的路由器密鑰是與網(wǎng)絡(luò)中多個目的地或路由器的組相關(guān)聯(lián)的聚集路由器密鑰����。密鑰管理器還定義和分發(fā)與每個聚集路由器密鑰相關(guān)聯(lián)的、要包括在包含聚集路由器密鑰的任何轉(zhuǎn)發(fā)表條目的策略字段或諸如此類中的聚集有關(guān)的指令�����。此指令基本上告訴路由器是否及如何執(zhí)行聚集或解聚集(例如��,通過更改分組中現(xiàn)有路由器標(biāo)記����,或者通過分別對/從分組添加或刪除一個或多個路由器標(biāo)記��,根據(jù)下面將更詳細(xì)描述的不同可能實施例)���。可選的是�,密鑰管理器也可分發(fā)密鑰索引以包括在轉(zhuǎn)發(fā)表中,每個密鑰索引與帶有不同路由器密鑰的表中的一行或多行相關(guān)聯(lián)�����,以便以下面要描述的方式有利于轉(zhuǎn)發(fā)操作�����。實際上�����,密鑰管理器基本上能夠?qū)⒚荑€索引指派到每個路由器密鑰�。因此,路由器中的轉(zhuǎn)發(fā)表具有帶有路由器密鑰��、對應(yīng)外出端口和可選密鑰索引的條目�����。帶有聚集路由器密鑰的表條目也在策略字段或諸如此類中包含相關(guān)聯(lián)的聚集有關(guān)的指令,如上所述��,其基本上規(guī)定路由器應(yīng)執(zhí)行聚集或解聚集�。在此描述中����,外出或轉(zhuǎn)發(fā)的分組中的標(biāo)記通常稱為從“出口密鑰”推導(dǎo)的“出口標(biāo)記”,而進(jìn)入或接收分組中的標(biāo)記稱為“入口標(biāo)記”��。此外���,“入口密鑰”是已從其推導(dǎo)收到的入口標(biāo)記的密鑰�。在已收到包含入口標(biāo)記的數(shù)據(jù)分組的路由器執(zhí)行的轉(zhuǎn)發(fā)操作中��,通過例如逐條目使用預(yù)定TDF���,匹配入口標(biāo)記和轉(zhuǎn)發(fā)表中的入口密鑰�����,以及在找到匹配條目時���,選擇該條目中的對應(yīng)外出端口用于發(fā)送分組��。路由器還檢查匹配表條目是否包含聚集有關(guān)的指令���,例如,規(guī)定路由器應(yīng)更改收到的路由器標(biāo)記�����,或者對/從分組添加或刪除一個或多個路由器標(biāo)記��,這將在下面描述����。在外出端口上將分組發(fā)送到下一跳路由器前,將例如從匹配的表條目中顯式出口密鑰所推導(dǎo)的或者根據(jù)相關(guān)聯(lián)聚集有關(guān)的指令所推導(dǎo)的出口標(biāo)記由此附加到分組報頭���。如果在表中未找到匹配條目����,則可根據(jù)預(yù)定義的“默認(rèn)策略”來處理分組�����,例如,規(guī)定丟棄且不再轉(zhuǎn)發(fā)分組�����。在不知道適當(dāng)密鑰的某一未經(jīng)授權(quán)發(fā)送端主機(jī)試圖傳播插入了 “虛假”標(biāo)記的數(shù)據(jù)分組時�����,路由器一般情況下將采用此類策略�����。在下一跳路由器收到分組時�,上述過程基本上將重復(fù)進(jìn)行����。如果使用密鑰索引,則接收的分組的入口標(biāo)記中的密鑰索引將直接指向轉(zhuǎn)發(fā)表中的一個條目或有限的條目集����,由此識別所述條目/多個條目中的入口密鑰。隨后��,路由器能夠?qū)⑸鲜銎ヅ洳僮飨抻诿荑€索引識別的入口密鑰��。以此方式,通過不向未經(jīng)授權(quán)方顯露目的地/發(fā)送方/路由器密鑰����,截獲能夠由他人用于傳播數(shù)據(jù)分組的顯式端主機(jī)地址或身份是不可行的。因此��,除非未經(jīng)授權(quán)方正確“猜測”到有效的密鑰或標(biāo)記(這是極其不可能的)����,否則,基本上能夠避免未經(jīng)請求的數(shù)據(jù)分組到那些端主機(jī)�����。因此在傳送路徑中以下面參照特定示范實施例更詳細(xì)描述的方式由路由器執(zhí)行的轉(zhuǎn)發(fā)操作中��,發(fā)送方和路由器密鑰及可選的密鑰索引是有用的���。此外��,通過為轉(zhuǎn)發(fā)表填充表示目的地組的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令��,轉(zhuǎn)發(fā)操作能夠更有效地進(jìn)行�����,并且轉(zhuǎn)發(fā)表將具有受限大小且不會太大�,特別是在帶有許多端主機(jī)和路由器的網(wǎng)絡(luò)中?��;旧?����,在聚集路由器密鑰已用于在某個路由器生成出口標(biāo)記時�����,后續(xù)路由器的路由選擇任務(wù)得以簡化。然而����,在分組更靠近其目的地傳輸時,聚集可能在某一點不再可能進(jìn)行���。另一方面��,在該點潛在目的地/路由的數(shù)量也將開始減少�,保持了路由選擇的效力���。圖加示出能夠在本文解決方案中使用的轉(zhuǎn)發(fā)表�����,其中����,示范條目或表行示為“X”。 表具有多個列200-210��,包括帶有入口密鑰索引“IKi”的第一列200��,該索引能用于查找一個或多個適當(dāng)條目以便執(zhí)行匹配操作��,即��,匹配附加到進(jìn)入分組的入口標(biāo)記和表中第二列 202中存在的入口密鑰“IK”����。單個入口密鑰索引可指向表中多個條目的集合,而匹配操作能夠限制到這些條目���。第三列204可包含一個或多個出口密鑰“EK”��,一旦找到匹配條目����,便要從這些出口密鑰來創(chuàng)建一個或多個新出口標(biāo)記以便在分組轉(zhuǎn)發(fā)到下一跳路由器時包括在分組中?���?蛇x的第四列206包含要附加到外出數(shù)據(jù)分組的出口密鑰索引“EKi”,該索引實際上將用作由下一跳路由器接收時的入口密鑰索引�。第五列208包含端口號“P”,指示收到的和匹配的分組在朝下一跳路由器發(fā)送時要使用的端口����。最后,如果聚集路由器密鑰用作入口或出口密鑰���,則第六列210包含與聚集路由器密鑰相關(guān)聯(lián)的聚集有關(guān)的指令“Agg”�,其基本上規(guī)定路由器應(yīng)執(zhí)行聚集或解聚集����,并且還規(guī)定應(yīng)如何創(chuàng)建新出口標(biāo)記�����,這將在下面描述。列210可稱為“策略字段”�����,它也可包含各種其它數(shù)據(jù)���,如策略規(guī)則或諸如此類�����,例如�����,“丟掉分組”�����、“使用默認(rèn)端口”���、“從DNS檢索新路由器密鑰”、“請求前一跳路由器明確對自身認(rèn)證”等等��。如果未使用密鑰索引���,則自然將忽略可選列200和206����。圖3中示意示出一示范網(wǎng)絡(luò)拓?fù)浜蛡魉颓樾危渲?����,聚集路由器密鑰用于支持轉(zhuǎn)發(fā)過程�����。多個路由器根據(jù)已知網(wǎng)絡(luò)拓?fù)浠ミB�,在此情況下極大簡化,并且多個端主機(jī)連接到網(wǎng)絡(luò)中的接入路由器��。在此圖中���,只示出一些路由器R1-R7和端主機(jī)A-G���,但實際網(wǎng)絡(luò)一般具有比此處所示數(shù)量大得多的端主機(jī)和路由器。如上所述��,從為端主機(jī)A-G定義的網(wǎng)絡(luò)拓?fù)浜湍康牡孛荑€所確定的以前分發(fā)的路由器密鑰和聚集有關(guān)的指令等���,路由器R1-R7已配置了其自己的轉(zhuǎn)發(fā)表����。在此示例中���,連接到接入路由器Rl的第一端主機(jī)A在第一跳3:1中將目的地為連接到接入路由器R5的另一端主機(jī)B的數(shù)據(jù)分組發(fā)送到R1���。端主機(jī)A已將發(fā)送方標(biāo)記附加到分組,該標(biāo)記已以上述方式從與目的地端主機(jī)B相關(guān)聯(lián)的獲得的發(fā)送方密鑰來推導(dǎo)�,因而專門與端主機(jī)B相關(guān)聯(lián)。隨后�,接收路由器Rl匹配分組中的路由器標(biāo)記和其轉(zhuǎn)發(fā)表中的條目以確定引導(dǎo)到作為下一跳路由器的路由器R2的外出端口。從此圖的網(wǎng)絡(luò)拓?fù)渲心軌蚩吹?,目的地為端主機(jī)B-E的任何端主機(jī)的所有分組能夠在路由器R2中通過與作為下一跳的路由器R3相關(guān)聯(lián)的聚集路由器密鑰來轉(zhuǎn)發(fā),因為R3 能夠?qū)⒎纸M轉(zhuǎn)發(fā)到B-E的所有�����。另一方面�����,目的地為端主機(jī)F和G的分組應(yīng)在路由器R2中通過轉(zhuǎn)而與路由器R4相關(guān)聯(lián)的另一聚集路由器密鑰來轉(zhuǎn)發(fā)����。在此描述中�����,認(rèn)為是與特定路由器“相關(guān)聯(lián)”的路由器密鑰要概括理解為是匹配具有提供到該路由器的路徑的外出端口號的轉(zhuǎn)發(fā)表條目的密鑰��。然而�,應(yīng)注意����,在轉(zhuǎn)發(fā)表中,不一定在哪個出口密鑰與要使用的端口之間存在一對一對應(yīng)關(guān)系�����。實際上���,多個下一跳路由器可用于向目的地的某個集合“S”轉(zhuǎn)發(fā)分組�。例如�����, 在圖3的示例中���,路由器R2能夠經(jīng)R3或R4將分組轉(zhuǎn)發(fā)到D或E����。因此�,不止一個端口可在路由器R2中用于轉(zhuǎn)發(fā)包含從與集合S中目的地相關(guān)聯(lián)的同一出口密鑰所推導(dǎo)的出口標(biāo)記的任何分組。例如����,本地?fù)砣麪顩r可規(guī)定使用特定外出端口而不考慮出口密鑰值。在此示例中�,匹配當(dāng)前收到的分組中發(fā)送方標(biāo)記的Rl中的表條目包含規(guī)定朝向 R3的聚集應(yīng)由路由器Rl來執(zhí)行的聚集有關(guān)的指令。然而��,聚集能夠以其它方式進(jìn)行���,例如���, 由發(fā)送端主機(jī)A在密鑰管理器幫助下進(jìn)行或由傳送路徑中的另一路由器進(jìn)行。因此���,在路由器Rl的匹配表條目中的聚集有關(guān)的指令規(guī)定應(yīng)該通過將已從只與路由器R3相關(guān)聯(lián)而不與端主機(jī)B的更詳細(xì)目的地(且因此與聚集)相關(guān)聯(lián)的聚集路由器密鑰來推導(dǎo)的新出口標(biāo)記附加到分組來執(zhí)行聚集���。然而�����,端主機(jī)B的詳細(xì)目的地必須以某種方式保留在分組中以供以后使用����,這如下面以后所述的能夠以不同方式進(jìn)行�����。路由器Rl隨后將附加有新標(biāo)記的分組在第二跳3:2中發(fā)送到確定的下一跳路由器R2��。在從路由器Rl接收分組時����,路由器R2能夠?qū)⒏郊拥臉?biāo)記與其轉(zhuǎn)發(fā)表中的條目進(jìn)行匹配以確定相應(yīng)地引導(dǎo)到路由器R3的外出端口。在將分組進(jìn)一步發(fā)送到路由器R3前�, 路由器R2應(yīng)執(zhí)行解聚集,即��,根據(jù)在路由器R2的匹配表條目中找到的聚集有關(guān)的指令�����,通過更改分組中的標(biāo)記,使得下一路由器R3用于轉(zhuǎn)發(fā)分組的標(biāo)記從與路由器R5相關(guān)聯(lián)的路由器密鑰來推導(dǎo)��。隨后�,路由器R2在第三跳3:3中將附加有更改的標(biāo)記的分組發(fā)送到路由器R3。備選的是��,路由器R2可將分組發(fā)送到路由器R3而不更改分組中的標(biāo)記�����,其中��,路由器R3能從附加的標(biāo)記推斷分組應(yīng)發(fā)送到路由器R5���。仍有的另一備選是R2通過簡單地刪除指向R3的標(biāo)記、并且只留下直接與目的地B相關(guān)聯(lián)的原始標(biāo)記來執(zhí)行解聚集��。在從路由器R2接收分組時�,路由器R3將附加的標(biāo)記與其轉(zhuǎn)發(fā)表中的條目進(jìn)行匹配以確定相應(yīng)地引導(dǎo)到路由器R5的外出端口。另外�,根據(jù)匹配表條目中找到的聚集有關(guān)的指令,通過更改分組中的標(biāo)記�����,使得下一路由器R5用于轉(zhuǎn)發(fā)分組的標(biāo)記從最終與最終用戶 B相關(guān)聯(lián)的路由器密鑰來推導(dǎo),路由器R3執(zhí)行進(jìn)一步的解聚集�。隨后,路由器R3在第四跳3:4中將附加有更改的標(biāo)記的分組發(fā)送到路由器R5���。由于分組中的標(biāo)記從現(xiàn)在與最終用戶B的最終詳細(xì)目的地地址相關(guān)聯(lián)的路由器密鑰來推導(dǎo)����, 因此�,解聚集已完成,并且分組因此在最終第五跳3:5中最終從路由器R5發(fā)送到端主機(jī)B�。在上述示例中,通過附加從只與路由器R3相關(guān)聯(lián)的密鑰來推導(dǎo)的標(biāo)記����,在路由器 Rl執(zhí)行兩層聚集,并且通過附加從分別與路由器R5和端主機(jī)B相關(guān)聯(lián)的密鑰來推導(dǎo)的標(biāo)記��,在每個路由器R2和R3中執(zhí)行一層解聚集��。由此�����,至少在路由器R2和R3中能夠減少表條目的數(shù)量��,以便基于以上述方式從聚集路由器密鑰推導(dǎo)的標(biāo)記來提供轉(zhuǎn)發(fā)操作。在此上下文中�����,“兩層聚集(two-level aggregation) ”基本上暗示使用與多個目的地組相關(guān)聯(lián)的路由器密鑰��,而一層解聚集暗示將該路由器密鑰更改為與單個目的地組相關(guān)聯(lián)的路由器密鑰���。此外�����,在不進(jìn)行聚集、即“零層聚集”時���,使用與例如端主機(jī)等某個獨(dú)特目的地相關(guān)聯(lián)的路由器密鑰�。概括而言���,“k層聚集”暗示使用與多個(k_l)層聚集的目的地的組相關(guān)聯(lián)的路由器密鑰����。術(shù)語“k層聚集動作(k-level aggregating) ”暗示將路由器密鑰更改為與k層聚集的目的地集合相關(guān)聯(lián)的路由器密鑰�����。減少表條目的數(shù)量應(yīng)相對于其中每個路由器為該路由器處理的所有可能目的地保持密鑰的備選方案來理解。例如���,路由器R3將只需要使用分別與R5和R6相關(guān)聯(lián)的路由選擇的2個聚集密鑰�,而不是包括所有4個可能目的地B-E的4個密鑰���。然而��,視發(fā)送和接收端主機(jī)的網(wǎng)絡(luò)拓?fù)浜臀恢枚?���,能夠使用任何其它聚集和解聚集方案���。例如�,傳送路徑可包括發(fā)送和接收端主機(jī)之間任何數(shù)量的中間路由器���,并且任何層的聚集可在沿路徑的多個連續(xù)路由器中逐步執(zhí)行��,或者優(yōu)選通過在單個路由器引入多層的聚集來執(zhí)行���。此外����,在路徑中的一些路由器中可能不必執(zhí)行聚集或解聚集�,這如上所述由匹配表條目中的聚集有關(guān)的指令來控制。在使用分層網(wǎng)絡(luò)拓?fù)涞那闆r下�,“早期”在傳送路徑中首先為分組執(zhí)行層次結(jié)構(gòu)中“向上”聚集,然后“以后”在路徑中執(zhí)行層次結(jié)構(gòu)中的“向下”解聚集��。所有這些聚集方案共同之處是路由的聚集是為了減少轉(zhuǎn)發(fā)表大小�,而解聚集必須為傳送的分組進(jìn)行以使得能夠識別其最終目的地。本領(lǐng)域技術(shù)人員將認(rèn)識到���,能夠應(yīng)用許多不同方法以識別網(wǎng)絡(luò)拓?fù)渲械哪男┞酚善魑恢谩白钸m合”用于執(zhí)行聚集/解聚集�,但這在此描述的范圍之外�。上面曾提及��,在執(zhí)行聚集時��,接收端主機(jī)的最終目的地地址必須保留在分組中�。如果從例如與目的地集合相關(guān)聯(lián)的聚集路由器密鑰生成的標(biāo)記在其它情況下要簡單地替代從專門與單個目的地相關(guān)聯(lián)的密鑰生成的標(biāo)記,則從此點開始�����,正確的目的地將無法識別。現(xiàn)在將分別參照圖3a和圖北及3c���,更詳細(xì)地描述圖3的傳送情形中能如何進(jìn)行此操作的兩個不同實施例���。即使這些實施例特別參照圖3的傳送示例和網(wǎng)絡(luò)拓?fù)洌绢I(lǐng)域技術(shù)人員將容易理解如何在其它傳送情形和網(wǎng)絡(luò)拓?fù)渲懈爬☉?yīng)用所述機(jī)制和方案���。在借助于圖3a所示的實施例中��,通過合并發(fā)送端主機(jī)A附加到分組的原始標(biāo)記和從聚集路由器密鑰推導(dǎo)的各種添加標(biāo)記來執(zhí)行路由聚集����,每個聚集路由器密鑰實際上與在不同層次的多個端主機(jī)相關(guān)聯(lián)�。在此實施例中,在以前路由器已經(jīng)進(jìn)行了一個或多個層次的聚集時接收的分組的入口標(biāo)記可因此由多個“子標(biāo)記”組成����,而原始標(biāo)記在分組中保持為 “最內(nèi)的”標(biāo)記。隨后���,每個分組接收路由器優(yōu)選要使用“最新”或“最外的”標(biāo)記來確定下一跳��,即��,將該標(biāo)記與轉(zhuǎn)發(fā)表中的候選入口密鑰進(jìn)行匹配�。如果未找到對于最外的標(biāo)記的匹配,則路由器可嘗試下一標(biāo)記�,并以此類推。如果未找到對于任何子標(biāo)記的匹配����,則可根據(jù)默認(rèn)路由選擇策略來丟棄或路由分組。在多個標(biāo)記以此方式用于組成總?cè)肟诨虺隹跇?biāo)記時���,應(yīng)指示在分組內(nèi)何處找到每個單獨(dú)的子標(biāo)記���。例如,每個子標(biāo)記可以用“比特偏移”或諸如此類來開始���,以指示能夠在何處找到下一標(biāo)記��,并且最后標(biāo)記隨后可具有零偏移以指示“無另外標(biāo)記”或類似內(nèi)容。另一可能性是為子標(biāo)記使用路由器事先已知的預(yù)定固定大小�。在任何情況下,標(biāo)記能在分組的報頭中添加��,或者如在圖中所例示的一樣���,在分組的“尾部”或“報尾”中添加���。圖3a示出帶有有效負(fù)載字段和圖3的傳送情形中在不同跳附加的不同標(biāo)記的分組��。因此��,在端主機(jī)A在跳3:1中將分組發(fā)送到第一跳路由器Rl時����,只有表示為“TAG 1” 的從專門與最終用戶B相關(guān)聯(lián)的目的地密鑰推導(dǎo)的原始標(biāo)記附加到其�����。
當(dāng)路由器Rl在跳3:2中將分組發(fā)送到下一路由器R2時�,表示為“TAG 2”和“TAG 3”的兩個另外子標(biāo)記已與原始標(biāo)記一起附加到分組,其中�,TAG 2位于TAG 1的旁邊,TAG 3 位于TAG 2的旁邊�。路由器Rl已根據(jù)匹配表條目中聚集有關(guān)的指令從相應(yīng)聚集路由器密鑰來推導(dǎo)TAG 2和TAG 3。TAG 3是分組的最新或最外的子標(biāo)記�,表示相對于聚集的最高層次路由器密鑰,在此情況下與路由器R3相關(guān)聯(lián)��,并且因此應(yīng)由分組接收路由器R2用于查找下一跳路由器R3�。當(dāng)路由器R2基于TAG 3找到路由器R3時��,通過從分組刪除最外的子標(biāo)記TAG 3 來執(zhí)行解聚集����,留下TAG 2作為在跳3:3中將分組發(fā)送到R3時與路由器R5相關(guān)聯(lián)的最外子標(biāo)記�。類似地,在路由器R3基于TAG 2找到路由器R5時�����,通過從分組刪除最外的子標(biāo)記 TAG 2來執(zhí)行解聚集���,留下原始TAG 1作為在跳3:4中將分組發(fā)送到R5時專門與端主機(jī)B 相關(guān)聯(lián)的原始TAG 1���。通常,在此實施例中通過將從匹配表條目中一個或多個出口密鑰推導(dǎo)的一個或多個另外子標(biāo)記附加到分組來更改接收分組的入口標(biāo)記以執(zhí)行聚集�����,而通過從分組中逐一刪除另外子標(biāo)記來更改總?cè)肟跇?biāo)記以執(zhí)行解聚集��。在上面對圖3a的描述中���,假設(shè)添加的TAG 2和TAG3只與原始TAG 1連續(xù)串連以創(chuàng)建新出口標(biāo)記�。然而���,可能以更集成的方式添加這些子標(biāo)記��,使得通過原始TAG 1和添加的TAG 2和TAG 3的合并來形成新出口標(biāo)記��。通常���,預(yù)定的合并函數(shù)“C”能夠應(yīng)用到接收的入口標(biāo)記和從匹配表條目的一個或多個出口密鑰推導(dǎo)的一個或多個標(biāo)記。函數(shù)C可以是如上所述的串連�,或另一函數(shù),例如�,已知的邏輯10R”函數(shù)。如果在匹配表條目中找到η 個出口密鑰��,則這通常能夠表示為新出口標(biāo)記=C(入口標(biāo)記���,TDF(出口密鑰》�,TDF(出口密鑰2)'"�,TDF(出口密鑰 )) (1)應(yīng)注意,雖然此方案能夠用于節(jié)省通信帶寬���,但它也使匹配操作更復(fù)雜���。例如����,在帶有N個入口密鑰的轉(zhuǎn)發(fā)表中�,要處理由3個經(jīng)XOR運(yùn)算的標(biāo)記合并的入口標(biāo)記,可能需要考慮大致N~3種可能的入口密鑰合并��。同時����,對帶寬的需要大致減少3倍。如上所述��,在找到匹配表條目時���,根據(jù)匹配表條目中的聚集有關(guān)的指令為分組創(chuàng)建新出口標(biāo)記��。例如�����,此指令可規(guī)定執(zhí)行以下任何操作-即使已經(jīng)為最外的標(biāo)記找到匹配��,也將匹配函數(shù)應(yīng)用到“下一”標(biāo)記�����,-使用匹配表條目中的一個或多個出口密鑰來生成分組的一個或多個另外子標(biāo)記以執(zhí)行聚集�,-在將新出口標(biāo)記作為最外的子標(biāo)記附加前刪除零或更多子標(biāo)記以執(zhí)行解聚集��。-應(yīng)用合并函數(shù)C(例如�,串連、邏輯M)R運(yùn)算等)到分組中的接收的入口標(biāo)記和匹配表條目中的一個或多個出口密鑰以執(zhí)行聚集或解聚集��。當(dāng)使用(1)的標(biāo)記合并函數(shù)時���,視用于產(chǎn)生添加的子標(biāo)記的密鑰表示目的地的更大或更小集合而定�����,添加標(biāo)記實際上可能能夠表示“聚集”或“解聚集”�����。因此����,聚集/解聚集可隱含于使用的出口密鑰的“類型”。此外���,有時能夠假設(shè)路徑中的真正第一個路由器對一次性執(zhí)行所有聚集層次有充足的知識�,如上述示例中的路由器R1�,使得在隨后路由器中將只發(fā)生解聚集。在圖3a例示的上述實施例中���,一旦網(wǎng)絡(luò)拓?fù)浜途奂?解聚集點已確定�,則每個目的地或目的地組能夠在技術(shù)上指派有隨機(jī)����、獨(dú)立的目的地和路由器密鑰以便分發(fā)到適當(dāng)路由器。然而��,可能減少需要顯式分發(fā)和管理的密鑰的數(shù)量���,這在借助于圖北和3c聯(lián)合示出的另一實施例中示出���。在此實施例中,通過將發(fā)送端主機(jī)A附加到分組的原始標(biāo)記換成從聚集路由器密鑰推導(dǎo)的新標(biāo)記�,路由器密鑰和目的地密鑰的分層方案用于執(zhí)行在不同層次路由的聚集。一條能用于確定原始目的地的相關(guān)聯(lián)聚集信息也添加到標(biāo)記�����。圖北示出如何借助于函數(shù)f (p,q)能從根值χ生成帶有在樹結(jié)構(gòu)的不同層的節(jié)點的此類分層密鑰方案的示例��,其中����,P是樹中上方節(jié)點位置的路由器密鑰值�,并且q是指示當(dāng)前樹層次內(nèi)節(jié)點位置的整數(shù)。隨后��,結(jié)果密鑰方案將由能夠沿從根向下的路徑��、根據(jù)以下鏈而計算的密鑰值來組成(X����,f(x),f(f(x))��,…�����,f(f(...f(x)…)))����,等等�����。網(wǎng)絡(luò)中各個端主機(jī)的目的地密鑰在正好在此樹結(jié)構(gòu)的底部形成樹上的“葉”的節(jié)
點具有密鑰值���。應(yīng)注意,樹結(jié)構(gòu)不應(yīng)理解為反映物理網(wǎng)絡(luò)拓?fù)?�,而是?yīng)通常視為物理網(wǎng)絡(luò)上的邏輯覆蓋���。具體而言���,所有葉不一定由某個物理端主機(jī)“占據(jù)”。另外����,雖然更高層次(非葉) 密鑰直觀上對應(yīng)于網(wǎng)絡(luò)中的中間節(jié)點,即路由器���,但所有中間節(jié)點不一定確實與物理路由器相關(guān)聯(lián)�����。例如�����,某個路由器R能夠處理例如對應(yīng)于樹的子集等的密鑰的子集����。從此樹結(jié)構(gòu)中任何節(jié)點的f (p,q)的值��,能夠輕松生成該節(jié)點下f值的整個子樹�����。 假設(shè)端主機(jī)的目的地密鑰對應(yīng)于樹結(jié)構(gòu)的葉����,在葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰�。由此密鑰的密碼樹結(jié)構(gòu)能夠疊加在任何分層路由器拓?fù)渖稀T谝粋€可能實施例中�,函數(shù)f可以是單向函數(shù),易于“向前”計算���,但難以“向后”計算�,即“逆轉(zhuǎn)”函數(shù)。雖然圖北所示樹結(jié)構(gòu)是二進(jìn)制��,但使用任何“η進(jìn)制(n-ary) “或其它樹結(jié)構(gòu)生成路由器和目的地密鑰是可能的��,并且本發(fā)明在此方面并無限制�����。因此���,通過將單個密鑰值分發(fā)到路由器���,在該密鑰值下的整個(子)樹能夠由路由器在本地重新構(gòu)建,而無需明確分發(fā)任何另外的密鑰�����。另一方面�����,一個安全性優(yōu)點可能是無法從與“最低層次”路由器或端主機(jī)相關(guān)聯(lián)的密鑰來推斷與“更高層次”路由器(其在概念上可以是更“重要的”路由器)相關(guān)聯(lián)的密鑰���。通過在樹結(jié)構(gòu)中“向上”移動以選擇分組的新出口密鑰來執(zhí)行聚集�����,同時通過在樹中“向下”移動以選擇新出口密鑰來進(jìn)行解聚集����。因此,在通過附加從前一密鑰上方一個或多個樹層次的新密鑰而推導(dǎo)的標(biāo)記為分組執(zhí)行聚集時���,添加的聚集信息應(yīng)基本上指示前一密鑰位于哪個分支����。在使用二進(jìn)制密鑰樹結(jié)構(gòu)的情況下����,此信息可只是每個聚集層次的“左邊”或“右邊”�。在使用η進(jìn)制密鑰樹結(jié)構(gòu)的一般情況下,此信息對于每個聚集層次將包括1 與η之間的整數(shù)�����。例如�,如果路由器在其轉(zhuǎn)發(fā)表中找到密鑰k = f(x,l)的匹配��,并且根據(jù)轉(zhuǎn)發(fā)表中相關(guān)聯(lián)的聚集有關(guān)的指令,應(yīng)通過在樹中從節(jié)點f(x�����,l)向下移動來向目的地解聚集�,則必須確定解聚集應(yīng)向f(f(x,l)�����,a)還是向f(f(x�,l),b)進(jìn)行�,因為f(x,l)是兩者的共同根��。 這能夠通過如上所示在每個聚集步驟添加相關(guān)聯(lián)聚集信息來解決��。因此����,如果在傳送路徑中更早的聚集路由器將f(f(x,l),a)生成的標(biāo)記換成f (x�����, 1)生成的一個標(biāo)記,則路由器能夠?qū)ⅰ癮”作為聚集信息添加到標(biāo)記����。此信息“a”將使得傳送路徑中以后的解聚集路由器能夠從f(x,l)向f(f(x���,l)�����,a)而不是向f(f(x��,l)�,b)解聚集�。通常,每個聚集步驟因此將通過一條聚集信息來擴(kuò)展標(biāo)記大小����。如上所述�,如果函數(shù)f是單向函數(shù),則不可能在樹結(jié)構(gòu)中“向上”計算以執(zhí)行聚集�, 但在樹結(jié)構(gòu)中較容易“向下”計算以執(zhí)行解聚集。這能夠如下解決。假設(shè)網(wǎng)絡(luò)中的路由器具有它應(yīng)執(zhí)行的某一“最高”層次的聚集�����,密鑰能夠分發(fā)到位于樹中足夠高節(jié)點位置的那個路由器以使得該路由器能夠計算該最高節(jié)點位置之下的子樹中的任何節(jié)點值�����,以產(chǎn)生聚集路由器密鑰����。因此,如果路由器被賦予對應(yīng)于某個子樹的根的密鑰�,并且也知道函數(shù)f,則它能為對應(yīng)目的地的聚集來計算該給定根密鑰之下整個子樹中的所有節(jié)點值����。圖3c示出帶有有效負(fù)載字段和在圖3的傳送情形中在不同跳附加的不同標(biāo)記的分組,在此情況下����,使用圖北的分層路由器密鑰方案。在此示例中�,也如下所述將接收分組中的標(biāo)記換成從聚集或解聚集路由器密鑰推導(dǎo)的新標(biāo)記。如圖3a的實施例中一樣���,僅有從專門與端主機(jī)B相關(guān)聯(lián)的目的地密鑰而推導(dǎo)的表示為“TAG ο”的原始標(biāo)記附加到在跳3:1 中從端主機(jī)A發(fā)送到第一跳路由器Rl的分組����。當(dāng)路由器Rl在跳3:2中將分組發(fā)送到下一路由器R2時,根據(jù)匹配表條目中的聚集有關(guān)的指令���,將從兩層聚集路由器密鑰所推導(dǎo)的新標(biāo)記“TAG ij”附加到分組��?��!癟AG ij” 從與路由器R3相關(guān)聯(lián)的路由器密鑰來推導(dǎo),因而能夠由分組接收路由器R2用于找到下一跳路由器R3��。另外的聚集信息“Agg-info ij”也并靠著“TAG ij”附加到分組��,指示分別為兩個層次i和j如何進(jìn)行聚集�,由此能夠?qū)崿F(xiàn)向傳送路徑進(jìn)一步向下的路由器中的正確密鑰的解聚集。如上所述�,聚集信息“a”通常能夠添加到新標(biāo)記,以使得能夠從f (X��,1)向f (f (X��, 1)�,a)解聚集。在此情況下����,“Agg-info i j ”指示兩層聚集,使得解聚集能夠分別在層次i 和j的兩個隨后路由器中執(zhí)行��。具體而言�,“Agg-info ij”將指示從與R3相關(guān)聯(lián)的密鑰開始的路徑經(jīng)R5引導(dǎo)到B。在此二進(jìn)制樹示例中��,在根據(jù)“Agg-info ij”執(zhí)行解聚集時��,應(yīng)沿從R2的兩個“左邊”分支行進(jìn)�����。在路由器R2基于“ TAG i j�,,找到路由器R3時����,通過將“ TAG i j,�,在跳3 3中將分組發(fā)送到R3時換成與路由器R5相關(guān)聯(lián)的新標(biāo)記“TAG i”,執(zhí)行解聚集��。此外,與新標(biāo)記相關(guān)聯(lián)的新聚集信息”Agg-info i”也并靠著“TAG i”添加到分組��,指示如何為層次i進(jìn)行聚集�����,即���,在下一跳3:4中應(yīng)沿“左邊”分支行進(jìn)����。類似地���,在路由器R3基于“TAG i”找到路由器R5時���,通過將以前的“TAG i”在跳3:4中將分組發(fā)送到R5時換成專門與端主機(jī)B相關(guān)聯(lián)的原始“TAG ο”,執(zhí)行進(jìn)一步的解聚集步驟���。通常��,在此實施例中通過根據(jù)聚集指令將接收分組中的標(biāo)記換成從聚集路由器密鑰推導(dǎo)的新標(biāo)記�,并且還附加指示如何進(jìn)行聚集的另外相關(guān)聯(lián)聚集信息���,從而執(zhí)行聚集��。另一方面���,通過將接收分組中的標(biāo)記換成基于分組中的另外聚集信息而確定的新標(biāo)記,執(zhí)行解聚集�。雖然上面的圖;3b-c的實施例基于分層密鑰結(jié)構(gòu),但在圖3a的實施例中使用帶有或多或少隨機(jī)生成的密鑰值的“平坦”密鑰結(jié)構(gòu)或如上所述的分層密鑰結(jié)構(gòu)是可能的����。此外,這兩個實施例也能夠單獨(dú)或結(jié)合使用�。如果為接收的入口標(biāo)記找到匹配表條目,則根據(jù)匹配表條目中聚集有關(guān)的指令為分組創(chuàng)建新出口標(biāo)記�����。假設(shè)密鑰樹中的某個密鑰值k導(dǎo)致了匹配���,則此指令可規(guī)定任何以下操作
-通過使用在樹中k“上方”的某個層次的密鑰以產(chǎn)生新出口標(biāo)記來執(zhí)行聚集��。這一般也暗示在分層密鑰結(jié)構(gòu)的情況下添加聚集信息�����。-根據(jù)分組中的另外聚集信息�,使用在k“下方”某個層次的密鑰以產(chǎn)生出口標(biāo)記來執(zhí)行解聚集。-既不執(zhí)行聚集也不執(zhí)行解聚集���。在此情況下�����,新出口標(biāo)記可使用相同密鑰k或匹配表條目中的顯式出口密鑰來生成�����。此密鑰可以是另一密鑰樹的一部分���,作為另一密鑰樹的一部分來生成,例如�,以用于不同管理域之間的路由選擇,其中��,每個域一般將具有獨(dú)特的密鑰樹�����。通過根據(jù)上述密鑰分層結(jié)構(gòu),簡單地為路由器中的轉(zhuǎn)發(fā)表配置適當(dāng)?shù)某隹诿荑€��, 使用的聚集/解聚集方案也能夠是隱式的����。通過考慮從普通郵寄進(jìn)行的實體信函的傳送的模擬,也能夠進(jìn)一步理解上述聚集機(jī)制��。詳細(xì)的目的地地址最初在信函上顯示��,一般包括街道地址��、城市和國家�,這有效地形成分層尋址方案���。例如�,信函可從美國德克薩斯州發(fā)送到瑞典斯德哥爾摩17大街����。德克薩斯州的接收郵局將立即明白信函發(fā)送到瑞典,但將不需要讀取街道地址和城市的更多詳細(xì)信息�。這能夠意味著信函先發(fā)送到紐約的國際郵政大樓,由其將目的地為瑞典的所有外出郵件發(fā)送到在瑞典哥德堡的國際郵政大樓����。最初���,通過分別只讀取地址中的國家以確定信函的“下一跳”,丟棄城市和街道兩者的層次��,因此已進(jìn)行了兩個層次的聚集�����。參照圖3����,路由器Rl可因此相當(dāng)于在德克薩斯州的郵局,路由器R2可相當(dāng)于在紐約的郵政大樓����,而路由器R3可相當(dāng)于在瑞典哥德堡的郵政大樓等等。作為逐漸解聚集的結(jié)果�,信函的地址中更詳細(xì)的信息隨后將分別在哥德堡和斯德哥爾摩讀取。在此上下文中���,對密鑰樹中多個標(biāo)記和/或路徑信息的需要也能夠理解如下�����。對于不使用多個標(biāo)記的模擬將是只關(guān)注目的地的國家的在德克薩斯州的郵局將在該情況下在轉(zhuǎn)發(fā)該信函前從地址中擦除街道/城市�,并且只保持“瑞典”。雖然信函將到達(dá)瑞典��,但向目的地進(jìn)一步“路由”信函將是不可能的�����。圖4是一個框圖����,根據(jù)一些其它示范實施例示出在分組交換網(wǎng)絡(luò)中能夠如何支持從端主機(jī)A向未示出的目標(biāo)端主機(jī)發(fā)送的數(shù)據(jù)分組的轉(zhuǎn)發(fā)。此過程示為一系列的動作或步驟���,主要涉及端主機(jī)A、密鑰管理器400和在端主機(jī)A與目標(biāo)端主機(jī)之間傳送路徑中某處的路由器402�����。在此示例中��,路由器402采用如下所述的路由的聚集�。在第一步驟4:1中,與各個端主機(jī)B��、C、D�、…相關(guān)聯(lián)的目的地密鑰被登記并存儲在密鑰管理器400中,其中�,每個獨(dú)特的目的地密鑰實際上識別或“定義”對應(yīng)的目的地,即端主機(jī)�。在此過程中,可在端主機(jī)與密鑰管理器400之間的協(xié)定中決定目的地密鑰�����,優(yōu)選在對端主機(jī)認(rèn)證后����。實際上,此步驟能夠替代根據(jù)現(xiàn)有技術(shù)向端主機(jī)指派IP地址�。密鑰管理器400還在步驟4:2中確定分別能夠執(zhí)行聚集和解聚集的路由器的位置。能夠設(shè)想各種不同方式以確定網(wǎng)絡(luò)拓?fù)渲芯奂徒饩奂奈恢?�,例如���,根?jù)轉(zhuǎn)發(fā)表大小和/或通過確定分層網(wǎng)絡(luò)結(jié)構(gòu)��、端主機(jī)的位置等�,然而�,這不必在此處進(jìn)一步描述�。密鑰管理器400還在下一步驟4:3中從上面登記的目的地密鑰來創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令����。如上在描述圖加時所提及的,還可為每個創(chuàng)建的路由器密鑰來定義密鑰索引����。目的地密鑰和路由器密鑰可在分層或“平坦”密鑰結(jié)構(gòu)中布置,然而�,這可利用不同聚集方案,如上所述�����。
隨后��,密鑰管理器400在進(jìn)一步步驟4:4中通常將創(chuàng)建的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令及可選的密鑰索引一起分發(fā)到網(wǎng)絡(luò)中能夠采用聚集的路由器�����,包括此處所示的路由器402���。密鑰管理器400也可將非聚集路由器密鑰和目的地密鑰分發(fā)到一些路由器,但這在本描述中不予考慮�����。隨后,路由器能夠相應(yīng)地配置其自己的轉(zhuǎn)發(fā)表���,包括分發(fā)的聚集路由器密鑰和可選的密鑰索引��,這些將用于轉(zhuǎn)發(fā)進(jìn)入的數(shù)據(jù)分組����,由此創(chuàng)建網(wǎng)絡(luò)中有用的轉(zhuǎn)發(fā)架構(gòu)��。通過使用聚集路由器密鑰�����,因此能夠如上所述避免過大的轉(zhuǎn)發(fā)表��。下面將更詳細(xì)地描述路由器中基于聚集路由器密鑰的轉(zhuǎn)發(fā)操作���。路由器密鑰����、相關(guān)聯(lián)的聚集有關(guān)的指令和可選的密鑰索引的分發(fā)可在配置過程中執(zhí)行��,或者否則例如使用路由選擇協(xié)議來執(zhí)行,如在路由器域中配置常規(guī)轉(zhuǎn)發(fā)架構(gòu)時��,如上所述�����。路由器隨后能夠基于分發(fā)的信息�����,為其轉(zhuǎn)發(fā)表配置包括不同入口和出口密鑰和外出端口的條目����。分發(fā)的路由器密鑰可實際上包括一對入口和出口密鑰。端主機(jī)A想要與目標(biāo)端主機(jī)通信�����,并且在某個點�,在下一步驟4:5中,相應(yīng)地發(fā)送地址查詢或類似內(nèi)容到密鑰管理器400���,例如,如上所述以常規(guī)方式查找目標(biāo)端主機(jī)的電子郵件地址或web地址����。隨后�����,密鑰管理器400可應(yīng)用為目標(biāo)端主機(jī)定義的策略��,確定查詢端主機(jī)是否被授權(quán)發(fā)送數(shù)據(jù)分組到目標(biāo)端主機(jī)�����。假設(shè)端主機(jī)A被授權(quán)�,并且能夠被允許將分組發(fā)送到目標(biāo)端主機(jī)�����,則密鑰管理器 400檢索與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰����,并通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF到至少該目的地密鑰,并且可選地也應(yīng)用到其它數(shù)據(jù)�����,如查詢端主機(jī)的身份�����、時間戳和/或經(jīng)常稱為 “RAND”或“NONCE”的用于隨機(jī)化的隨機(jī)數(shù),從目的地密鑰來創(chuàng)建發(fā)送方密鑰�����。這能夠表示為發(fā)送方密鑰=KDF (目的地密鑰�����,〈其它數(shù)據(jù)>)(2)如果查詢端主機(jī)的身份用作O)中的“其它數(shù)據(jù)”�����,則發(fā)送方密鑰將與該端主機(jī)獨(dú)特地相關(guān)聯(lián)�。KDF可優(yōu)選是密碼函數(shù)或諸如此類。在進(jìn)一步步驟4:6中��,密鑰管理器400隨后將發(fā)送方密鑰提供到端主機(jī)A以響應(yīng)步驟4:5的查詢���,使得端主機(jī)A能夠從其推導(dǎo)發(fā)送方標(biāo)記����,并且將數(shù)據(jù)分組和附加為入口標(biāo)記的發(fā)送方標(biāo)記一起發(fā)送到目標(biāo)端主機(jī)。端主機(jī)A連接到的接入路由器也應(yīng)能夠訪問相同的發(fā)送方密鑰以便在入口標(biāo)記上執(zhí)行匹配操作��,但這在本描述中不予考慮��。端主機(jī)A因此在下一步驟4:7中應(yīng)用預(yù)定義的第一標(biāo)記推導(dǎo)函數(shù)TDF到至少接收的發(fā)送方密鑰����,以創(chuàng)建作為出口標(biāo)記而插入發(fā)送的分組中的發(fā)送方標(biāo)記“TAG”�。就像目的地 IP地址通常根據(jù)現(xiàn)有技術(shù)一樣,出口標(biāo)記能在分組報頭中的目的地字段中插入�����。視實現(xiàn)而定�����,TDF也可應(yīng)用到“其它數(shù)據(jù)”��,如要發(fā)送的分組中包含的有效負(fù)載數(shù)據(jù)���、時間戳和/或用于隨機(jī)化的RAND或NONCE��。這能夠表示為發(fā)送方標(biāo)記=TDF (發(fā)送方密鑰��,〈其它數(shù)據(jù)>)(3)如果分組中的有效負(fù)載包括在“其它數(shù)據(jù)”中���,則發(fā)送方標(biāo)記將對于僅僅該分組是獨(dú)特的���。TDF可以是密碼函數(shù)或諸如此類。端主機(jī)A可已預(yù)配置成在傳送數(shù)據(jù)分組時使用 TDF��,或者TDF可在步驟4:6中與發(fā)送方密鑰一起提交到端主機(jī)A����。此外,TDF也在網(wǎng)絡(luò)中是已知的�����,至少對端主機(jī)A的接入路由器是已知的����。將發(fā)送方標(biāo)記附加到傳送的數(shù)據(jù)分組,這將實際上授權(quán)該分組通過網(wǎng)絡(luò)向其目的地路由�。如果路由器檢測到接收的數(shù)據(jù)分組未包含任何有效標(biāo)記,則分組不能被授權(quán)并且可簡單地丟棄����。因此,如果TDF是“強(qiáng)”密碼函數(shù),則將虛假發(fā)送方標(biāo)記附加到分組的嘗試將極可能不成功���,并且附加有非有效標(biāo)記的任何分組將實際上在轉(zhuǎn)發(fā)過程中被停止�。在進(jìn)一步步驟4 8中�����,最初從端主機(jī)A發(fā)送的數(shù)據(jù)分組在路由器402由入口部分 40 接收�����。入口標(biāo)記“TAG”附加到接收的分組����,并且可選地還附加了入口密鑰索引(如果使用的話)�。分組可從未示出的前一路由器接收,或者直接從端主機(jī)A接收(如果路由器 402是A的接入路由器)����。在路由器402的轉(zhuǎn)發(fā)單元40 通常配置成借助于轉(zhuǎn)發(fā)單元40 中示意示出的轉(zhuǎn)發(fā)表以便找到出口單元402c中的外出端口,為每個進(jìn)入的數(shù)據(jù)分組執(zhí)行轉(zhuǎn)發(fā)操作��。在進(jìn)一步步驟4 9中���,轉(zhuǎn)發(fā)單元402b使用已知的TDF���,為附加的“TAG”和轉(zhuǎn)發(fā)表中不同的入口密鑰IK執(zhí)行匹配操作以便找到表中的匹配條目�。換而言之����,轉(zhuǎn)發(fā)單元300b嘗試一次為表中的一個條目匹配接收的入口標(biāo)記和入口密鑰IK。更詳細(xì)地說���,匹配操作可包括路由器應(yīng)用TDF到轉(zhuǎn)發(fā)表的行中的“候選”入口密鑰以推導(dǎo)候選入口標(biāo)記�����。如果候選入口標(biāo)記滿足與分組中接收的入口標(biāo)記的預(yù)定關(guān)系��,則認(rèn)為找到匹配�����。預(yù)定關(guān)系可以是相等�,即�����,如果候選入口標(biāo)記與分組中的入口標(biāo)記相同,則認(rèn)為找到匹配���。如果兩個標(biāo)記不匹配�,則嘗試表中的下一候選密鑰等等��。如果入口密鑰索引IKi包括在接收分組中���,則只需執(zhí)行對表中包含入口密鑰索引 IKi的一個或多個條目的匹配���。使用入口密鑰索引IKi將因此實際上通過限制表中可能候選入口標(biāo)記的數(shù)量而加快每個接收的數(shù)據(jù)分組的匹配操作��。也可能只使用包括的入口密鑰索引IKi來查找適當(dāng)?shù)亩丝?����,即���,為了安全而不?zhí)行匹配操作����。應(yīng)注意���,在使用聚集的路由器密鑰而不是密鑰索引時���,可能有用的是��,以路由器在表中為匹配而執(zhí)行有序搜索的相同順序���,為路由器的表條目填充對應(yīng)于高(或更高)層次的聚集的密鑰。由此�,能夠盡早找到匹配表條目。如果在步驟4:9中找到匹配條目�����,則在隨后的步驟4:10中該條目中的端口(在此情況下是端口 P(X))被確定為用于分組的適當(dāng)外出端口�。如果在步驟4:9中未找到匹配條目,則在步驟4:10中分組不被授權(quán)且因此將丟棄�,由此停止在此路由器中轉(zhuǎn)發(fā)任何此類分組。步驟4:9的匹配操作將因此授權(quán)分組進(jìn)行進(jìn)一步路由選擇�。由于路由器402采用多個目的地的聚集,因此��,其轉(zhuǎn)發(fā)表包括與表中每個聚集路由器密鑰相關(guān)聯(lián)的聚集有關(guān)的指令�����,該指令從表中的策略字段讀取,如在圖加中的列210 中��。在此情況下��,匹配表條目包含聚集有關(guān)的指令��,并且轉(zhuǎn)發(fā)單元402b因此基于該指令在下一步驟4:11中為分組創(chuàng)建新出口標(biāo)記��。這能夠根據(jù)上面參照圖3a-c所述的任何實施例來進(jìn)行���,因此在使用分層密鑰方案時將接收的標(biāo)記換成新標(biāo)記及相關(guān)聯(lián)的聚集信息�����,或者在使用合并的標(biāo)記時對/從接收的標(biāo)記添加/刪除另外標(biāo)記。另一標(biāo)記推導(dǎo)函數(shù)TDF'也可應(yīng)用到匹配條目中找到的出口密鑰EK以獲得另外或交換的標(biāo)記��。TDF'應(yīng)為下一跳路由器已知以使得能夠在其中進(jìn)行匹配操作�。TDF和 TDF'可以是不同或相等的函數(shù)。新出口標(biāo)記TAG'因此能表示為出口標(biāo)記=TDF'(出口路由器密鑰�,〈其它數(shù)據(jù)>)(4)(4)中的“其它數(shù)據(jù)”可以是分組中包含的有效負(fù)載數(shù)據(jù)和/或用于隨機(jī)化的RAND 或NONCE。新合并或交換的出口標(biāo)記在進(jìn)一步步驟4:12中附加到分組����。如果使用密鑰索引��,則在步驟4:11中在匹配條目中找到的出口密鑰索引EKi也附加到分組�����。附加的EKi隨后將在下一跳路由器中用作查找其轉(zhuǎn)發(fā)表中相關(guān)行的入口密鑰索引IKi以便執(zhí)行匹配操作等��。根據(jù)匹配表條目���,隨后在下一步驟4:13中將分組轉(zhuǎn)發(fā)到出口單元402c的端口 P(X)。最后����,作為下一跳,在端口 P(X)上����,在最后步驟4:14中發(fā)出附加有新出口標(biāo)記TAG' 的分組。隨后���,基本上以如上所述相同的方式�����,下一跳路由器將能夠匹配新入口標(biāo)記TAG' 和其轉(zhuǎn)發(fā)表中的條目以確定下一跳���。圖5是流程圖�,帶有支持分組交換網(wǎng)絡(luò)的路由器中數(shù)據(jù)分組的轉(zhuǎn)發(fā)過程的示范過程中的步驟��,如由例如圖4中的密鑰管理器400的密鑰管理器來執(zhí)行�。在第一步驟500中, 例如����,如上面對于圖4的步驟4:1所述,為連接到網(wǎng)絡(luò)中接入路由器的不同端主機(jī)登記目的地密鑰���。在下一步驟502中��,例如����,如圖4的步驟4:2中一樣���,確定網(wǎng)絡(luò)中能夠分別執(zhí)行路由聚集和解聚集的路由器的位置。在進(jìn)一步步驟504中���,例如�,如圖4的步驟4:3中一樣,基于確定的聚集和解聚集的放置��,創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令�����,每個聚集路由器密鑰一般表示多個目的地的集合�����。在下一步驟506中���,例如�����,如圖4的步驟4 4中一樣����,將上述聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令分發(fā)到分別能夠執(zhí)行路由聚集和解聚集的路由器��。由此����, 這些路由器能夠從分發(fā)的信息配置其自己的轉(zhuǎn)發(fā)表�����。也可將非聚集路由器密鑰和目的地密鑰分發(fā)到一些路由器����,但這在本描述中不予考慮�。步驟500-506能夠在配置過程中或其它情況下執(zhí)行。在進(jìn)一步步驟508中�,在某一點從查詢端主機(jī)接收地址查詢,基本上請求目標(biāo)端主機(jī)的目的地地址或類似內(nèi)容��。地址查詢能以如上述的常規(guī)方式進(jìn)行��,例如�����,涉及目標(biāo)端主機(jī)的電子郵件地址或網(wǎng)址�����。在下一步驟510中��,通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF至少到與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰��,或應(yīng)用到與所述目的地密鑰有關(guān)的密鑰��,創(chuàng)建發(fā)送方密鑰����。在最終步驟512中,密鑰管理器將發(fā)送方密鑰提供到查詢端主機(jī)�,所述發(fā)送方密鑰從與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰來推導(dǎo)。還可檢查查詢端主機(jī)是否被授權(quán)發(fā)送數(shù)據(jù)分組到目標(biāo)端主機(jī)����。如果無授權(quán),則可簡單地拒絕查詢�。由此,基本上以上面對于步驟4:7 所述的方式��,查詢端主機(jī)能夠通過將從接收的發(fā)送方密鑰所推導(dǎo)的發(fā)送方標(biāo)記附加到每個傳送的分組��,將數(shù)據(jù)分組傳播到目標(biāo)端主機(jī)�。圖6是流程圖,帶有用于分組交換網(wǎng)絡(luò)的路由器(例如圖4中的路由器402)中支持接收數(shù)據(jù)分組的轉(zhuǎn)發(fā)過程的示范過程中的步驟�。在第一步驟600中,如圖4的步驟4:4 中一樣�����,由從例如DNS系統(tǒng)的密鑰管理器接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令來配置轉(zhuǎn)發(fā)表。在下一步驟602中�,由路由器接收數(shù)據(jù)分組。分組可能已從相鄰路由器傳送���,或者作為第一跳從發(fā)送端主機(jī)傳送(如果路由器是用于發(fā)送端主機(jī)的接入路由器����,例如�����,如圖4 中的跳3 1中一樣)�。在可選的下一步驟604中,可檢查分組是否包含從密鑰管理器已提供的密鑰推導(dǎo)的入口標(biāo)記����。如果未找到此類入口標(biāo)記,則在此點在進(jìn)一步步驟606中能夠丟棄分組�。另一方面,如果分組包含入口標(biāo)記�����,則在隨后的步驟608中,例如如上面對于圖4 中步驟4:9所述的�����,使用已知的TDF�����,應(yīng)用匹配操作到接收的入口標(biāo)記和轉(zhuǎn)發(fā)表中的不同候選入口標(biāo)記以便在表中查找匹配條目��。如果在轉(zhuǎn)發(fā)表中使用密鑰索引�����,并且密鑰索引也附加到接收的分組����,則在此步驟中能夠使用密鑰索引將匹配操作限制到一個條目或只是幾個條目以便在表中快速查找匹配條目�。在下一步驟610中,確定是否借助于匹配操作在轉(zhuǎn)發(fā)表中找到匹配條目�。如果未找到,則在步驟612中丟棄分組�����。如果找到匹配條目,則在進(jìn)一步步驟614中根據(jù)匹配條目為分組選擇外出端口��。在隨后的步驟616中���,還檢查匹配表條目中是否存在聚集有關(guān)的指令���,該指令因此與匹配表條目中的入口密鑰相關(guān)聯(lián),基本上指令路由器執(zhí)行聚集或解聚集����。如果存在,則根據(jù)上面對于圖3a_c所述的任何實施例��,聚集有關(guān)的指令可因此規(guī)定應(yīng)更改接收的標(biāo)記�, 或者應(yīng)分別對/從分組添加或刪除一個或多個路由器標(biāo)記。如果在條目中未找到此類聚集有關(guān)的指令���,則在可選的步驟618中通過應(yīng)用標(biāo)記推導(dǎo)函數(shù)到匹配表條目中的出口密鑰��,可推導(dǎo)新出口標(biāo)記�。備選的是�,在發(fā)送分組到下一跳路由器時,接收的標(biāo)記可再使用為出口標(biāo)記����。另一方面�����,如果在匹配表條目中存在聚集有關(guān)的指令�,則根據(jù)該指令����,在進(jìn)一步步驟620中創(chuàng)建新出口標(biāo)記���。最終�,在最后示出的步驟622中����,在附加有新出口標(biāo)記的情況下, 分組從確定的端口發(fā)送到下一跳路由器�����。如果使用密鑰索引����,則也可將匹配表條目中的出口密鑰索引附加到分組�����。隨后���,接收下一跳節(jié)點能夠基本上重復(fù)根據(jù)上述步驟600-622的該過程。圖7是邏輯框圖�����,根據(jù)另外的示范實施例更詳細(xì)地示出密鑰管理器700中的設(shè)備和分組交換網(wǎng)絡(luò)中的路由器702中的布置����,其用于支持網(wǎng)絡(luò)中數(shù)據(jù)分組的轉(zhuǎn)發(fā)。密鑰管理器700包括網(wǎng)絡(luò)控制單元700b�����,該單元適用于登記連接到網(wǎng)絡(luò)中接入路由器的端主機(jī)的目的地密鑰�。網(wǎng)絡(luò)控制單元700b還適用于例如基于轉(zhuǎn)發(fā)表大小、分層網(wǎng)絡(luò)結(jié)構(gòu)�、端主機(jī)的位置等來確定網(wǎng)絡(luò)中分別能夠執(zhí)行路由聚集和解聚集的路由器的位置。密鑰管理器700也包括密鑰分發(fā)器700c�����,該密鑰分發(fā)器適用于創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集指令,每個聚集路由器密鑰表示多個目的地的集合�����。密鑰分發(fā)器700c還適用于分發(fā)聚集路由器密鑰和相關(guān)聯(lián)的聚集指令到能夠執(zhí)行路由聚集和解聚集的路由器����, 由此使得這些路由器能夠配置其自己的轉(zhuǎn)發(fā)表。網(wǎng)絡(luò)控制單元700b也可保留指示哪些端主機(jī)被授權(quán)發(fā)送分組到每個登記的端主機(jī)的信息�。此信息可包括為登記的端主機(jī)定義的并確定查詢端主機(jī)是否被授權(quán)發(fā)送數(shù)據(jù)分組到特定目的地的策略。密鑰管理器700還包括地址查詢管理器700a�,該地址查詢管理器適用于從查詢端主機(jī)A接收有關(guān)未示出的目標(biāo)端主機(jī)的地址查詢�。地址查詢管理器700a也適用于通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF至少到與目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰或到與所述目的地密鑰有關(guān)的密鑰來創(chuàng)建發(fā)送方密鑰,并且將創(chuàng)建的發(fā)送方密鑰發(fā)送到查詢端主機(jī)以響應(yīng)地址查詢�。由此,查詢端主機(jī)能夠通過將從發(fā)送方密鑰生成的發(fā)送方標(biāo)記附加到傳送的數(shù)據(jù)分組����, 將數(shù)據(jù)分組傳播到目標(biāo)端主機(jī),發(fā)送方標(biāo)記將傳送的數(shù)據(jù)分組引導(dǎo)到目標(biāo)端主機(jī)��。路由器702包括入口部分704����,該部分適用于從例如網(wǎng)絡(luò)中的另一路由器的相鄰節(jié)點或者直接從發(fā)送端主機(jī)接收數(shù)據(jù)分組P�。入口部分704還可適用于在有效入口標(biāo)記附加到分組時接受分組�,以及在其它情況下在未包括有效入口標(biāo)記時丟棄分組。路由器702還包括轉(zhuǎn)發(fā)單元706��,該轉(zhuǎn)發(fā)單元適用于由從密鑰管理器700中密鑰分發(fā)器700c接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令來配置轉(zhuǎn)發(fā)表�。轉(zhuǎn)發(fā)單元 706還包括轉(zhuǎn)發(fā)表706a和標(biāo)記匹配單元706b,該標(biāo)記匹配單元用于匹配接收的入口標(biāo)記和轉(zhuǎn)發(fā)表706a的條目中的入口密鑰����,以例如分別對于圖4中步驟4:9-4:10和圖6中步驟 608-614所述的方式從匹配表條目來確定分組的外出端口。轉(zhuǎn)發(fā)單元706還包括標(biāo)記創(chuàng)建單元706c����,該標(biāo)記創(chuàng)建單元適用于根據(jù)匹配表條目中存在的聚集有關(guān)的指令為分組創(chuàng)建出口標(biāo)記。路由器702還包括出口部分708���,該部分適用于在創(chuàng)建的新出口標(biāo)記附加到分組的情況下����,將分組從確定的外出端口發(fā)送到下一跳節(jié)點�����,例如,另一相鄰路由器����。應(yīng)注意,圖7只在邏輯意義上示出分別在密鑰管理器700和路由器702中的各種功能單元����。然而,技術(shù)人員實際上可使用任何合適的軟件和硬件部件自由地實現(xiàn)這些功能���。 因此��,本發(fā)明通常不限于密鑰管理器700和路由器702的所示結(jié)構(gòu)��。在此解決方案中����,路由器因此能夠以上述方式將接收的數(shù)據(jù)分組中包括的入口標(biāo)記與轉(zhuǎn)發(fā)表中的路由選擇或入口密鑰進(jìn)行匹配�����,以驗證分組并同時查找正確的外出端口��。 如果在轉(zhuǎn)發(fā)表的條目中找到匹配�����,則將該條目中的端口號確定為用于分組的正確外出端所述實施例能夠?qū)崿F(xiàn)轉(zhuǎn)發(fā)架構(gòu)���,其中����,在路由器中能夠使用可伸縮的轉(zhuǎn)發(fā)表�����。數(shù)據(jù)分組的路由選擇也能夠受到控制以避免泛洪����、垃圾郵件、病毒����、欺詐、DoS攻擊及通常的未經(jīng)請求的業(yè)務(wù)����。雖然本發(fā)明已參照特定示范實施例來描述,但該描述一般僅旨在示出發(fā)明的概念��,并且不應(yīng)視為限制本發(fā)明的范圍。本發(fā)明由隨附權(quán)利要求來定義����。
權(quán)利要求
1.一種支持分組交換網(wǎng)絡(luò)的路由器(402,702)中接收的數(shù)據(jù)分組的轉(zhuǎn)發(fā)的方法��,包括以下步驟-基于從密鑰管理器接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令來配置轉(zhuǎn)發(fā)表���,每個聚集路由器密鑰表示目的地的集合�,_接收包括從發(fā)送方密鑰或路由器密鑰來推導(dǎo)的入口標(biāo)記的數(shù)據(jù)分組����,-應(yīng)用匹配函數(shù)到所接收的入口標(biāo)記和所述轉(zhuǎn)發(fā)表中的至少一個條目以便查找匹配的表條目,所述條目包括候選入口密鑰和外出端口指示����,-根據(jù)還包括相關(guān)聯(lián)的聚集有關(guān)的指令的找到的匹配表條目,為所述分組選擇外出端Π,-根據(jù)所述匹配表條目中的所述聚集有關(guān)的指令���,創(chuàng)建出口標(biāo)記,以及_將附加有所創(chuàng)建的出口標(biāo)記的所述分組從所選擇的外出端口發(fā)送到下一跳路由器��。
2.如權(quán)利要求1所述的方法�����,其中所述匹配函數(shù)包括應(yīng)用標(biāo)記推導(dǎo)函數(shù)TDF到表條目中的所述候選入口密鑰以推導(dǎo)候選入口標(biāo)記,并且如果所述候選入口標(biāo)記滿足與所述分組中所接收的入口標(biāo)記的預(yù)定關(guān)系����,則認(rèn)為找到匹配。
3.如權(quán)利要求2所述的方法����,其中所述預(yù)定關(guān)系是相等,即���,如果所述候選入口標(biāo)記等于所述分組中的所述入口標(biāo)記��,則認(rèn)為找到匹配�。
4.如權(quán)利要求1-3的任一項所述的方法�����,其中通過應(yīng)用另一標(biāo)記推導(dǎo)函數(shù)TDF'到所述匹配表條目中的出口密鑰來創(chuàng)建所述出口標(biāo)記��。
5.如權(quán)利要求1-4的任一項所述的方法�����,其中所接收的數(shù)據(jù)分組還包含與所述轉(zhuǎn)發(fā)表中條目或條目集合相關(guān)聯(lián)的密鑰索引,并且所述密鑰索引用于查找適當(dāng)?shù)囊粋€條目/多個條目以便應(yīng)用所述匹配函數(shù)�。
6.如權(quán)利要求1-5的任一項所述的方法,其中通過將從所述匹配表條目中一個或多個出口密鑰所推導(dǎo)的一個或多個另外的子標(biāo)記并靠著所接收的入口標(biāo)記附加到所述分組以執(zhí)行聚集��,或者通過從所述分組刪除一個或多個另外的子標(biāo)記以執(zhí)行解聚集�,創(chuàng)建所述出 Π標(biāo)記。
7.如權(quán)利要求6所述的方法�����,其中通過在執(zhí)行聚集時應(yīng)用預(yù)定合并函數(shù)(C)到所接收的入口標(biāo)記和所述一個或多個另外的子標(biāo)記�����,創(chuàng)建所述出口標(biāo)記�����。
8.如權(quán)利要求7所述的方法�,其中所述合并函數(shù)是串連或XOR函數(shù)。
9.如權(quán)利要求1-5的任一項所述的方法�,其中目的地密鑰和路由器密鑰的分層方案用于執(zhí)行路由的聚集,并且通過將所接收的入口標(biāo)記換成從所述匹配表條目中的出口密鑰所推導(dǎo)的新標(biāo)記�、以及還添加相關(guān)聯(lián)的聚集信息到所述出口標(biāo)記,創(chuàng)建所述出口標(biāo)記��,其中所述聚集信息能夠用于確定原始目的地����。
10.如權(quán)利要求9所述的方法,其中所述分層路由器密鑰方案借助于函數(shù)f(p����,q)從根值(χ)生成,其中P是當(dāng)前樹層次上方節(jié)點位置的路由器密鑰值��,以及q是指示所述當(dāng)前樹層次內(nèi)節(jié)點位置的整數(shù)�,其中端主機(jī)的目的地密鑰對應(yīng)于所述樹結(jié)構(gòu)的葉,以及所述葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰��。
11.如權(quán)利要求10所述的方法�����,其中結(jié)果的密鑰方案由能夠沿從所述根(χ)向下的路徑�、根據(jù)以下鏈0^3003江00),-,f(f(-f(χ)···)))所計算的密鑰值來組成�����。
12.—種分組交換網(wǎng)絡(luò)的路由器(402����,702)中的設(shè)備���,用于支持所述路由器中接收的數(shù)據(jù)分組的轉(zhuǎn)發(fā),所述設(shè)備包括-轉(zhuǎn)發(fā)單元(40 ��,706)���,適用于基于從密鑰管理器(400�����,700)接收的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令來配置轉(zhuǎn)發(fā)表���,每個聚集路由器密鑰表示目的地的集合,-入口單元(704)�����,適用于接收包括從發(fā)送方密鑰或路由器密鑰所推導(dǎo)的入口標(biāo)記的數(shù)據(jù)分組⑵�,以及-出口單元(708),用于發(fā)送所述數(shù)據(jù)分組(P')到下一跳節(jié)點����,其中所述轉(zhuǎn)發(fā)單元包括-標(biāo)記匹配單元(706b)���,適用于應(yīng)用匹配函數(shù)到所接收的入口標(biāo)記和所述轉(zhuǎn)發(fā)表中至少一個條目以便查找匹配的表條目,所述條目包括候選入口密鑰和外出端口指示��,并且還適用于根據(jù)還包括相關(guān)聯(lián)的聚集有關(guān)的指令的找到的匹配表條目����,為所述分組選擇外出端口��,以及-標(biāo)記創(chuàng)建單元(706c)����,適用于根據(jù)所述匹配表條目中的所述聚集有關(guān)的指令來創(chuàng)建出口標(biāo)記,以及將所述出口標(biāo)記附加到所述分組���,所述分組要由所述出口單元從所選擇的外出端口發(fā)送到下一跳路由器���。
13.如權(quán)利要求12所述的設(shè)備,其中所述標(biāo)記匹配單元還適用于應(yīng)用標(biāo)記推導(dǎo)函數(shù) TDF到每個表條目中的所述候選入口密鑰以推導(dǎo)候選入口標(biāo)記��,其中如果所述候選入口標(biāo)記滿足與所述分組中所接收的入口標(biāo)記的預(yù)定關(guān)系���,則認(rèn)為找到匹配�����。
14.如權(quán)利要求13所述的設(shè)備�,其中所述預(yù)定關(guān)系是相等,即��,如果所述候選入口標(biāo)記等于所述分組中的所述入口標(biāo)記�,則認(rèn)為找到匹配。
15.如權(quán)利要求12-14的任一項所述的設(shè)備����,其中所述標(biāo)記創(chuàng)建單元(706c)還適用于通過應(yīng)用另一標(biāo)記推導(dǎo)函數(shù)TDF'到所述匹配表條目中的出口密鑰來創(chuàng)建所述出口標(biāo)記。
16.如權(quán)利要求12-15的任一項所述的設(shè)備�,其中所述標(biāo)記創(chuàng)建單元(706c)還適用于通過將從所述匹配表條目中一個或多個出口密鑰所推導(dǎo)的一個或多個另外的子標(biāo)記并靠著所接收的入口標(biāo)記附加到所述分組以執(zhí)行聚集,或者通過從所述分組刪除一個或多個另外的子標(biāo)記以執(zhí)行解聚集�,創(chuàng)建所述出口標(biāo)記。
17.如權(quán)利要求16所述的設(shè)備�,其中所述標(biāo)記創(chuàng)建單元(706c)還適用于通過在執(zhí)行聚集時應(yīng)用預(yù)定合并函數(shù)(C)到所接收的入口標(biāo)記和所述一個或多個另外的子標(biāo)記來創(chuàng)建所述出口。
18.如權(quán)利要求17所述的設(shè)備�,其中所述合并函數(shù)是串連或XOR函數(shù)。
19.如權(quán)利要求12-15的任一項所述的設(shè)備�,其中目的地密鑰和路由器密鑰的分層方案用于執(zhí)行路由的聚集,并且所述標(biāo)記創(chuàng)建單元(706c)還適用于通過將所接收的入口標(biāo)記換成從所述匹配表條目中的出口密鑰所推導(dǎo)的新標(biāo)記��、以及還添加相關(guān)聯(lián)的聚集信息到所述出口標(biāo)記,創(chuàng)建所述出口標(biāo)記����,其中所述聚集信息能夠用于確定原始目的地。
20.如權(quán)利要求19所述的設(shè)備���,其中所述分層路由器密鑰方案借助于函數(shù)f(p�����,q)從根值(X)生成,其中P是當(dāng)前樹層次上方節(jié)點位置的路由器密鑰值�,以及q是指示所述當(dāng)前樹層次內(nèi)節(jié)點位置的整數(shù),其中端主機(jī)的目的地密鑰對應(yīng)于所述樹結(jié)構(gòu)的葉����,以及所述葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰。
21.如權(quán)利要求20所述的設(shè)備����,其中結(jié)果的密鑰方案由能夠沿從所述根(χ)向下的路徑、根據(jù)以下鏈0^3003江00)�,-,f(f(-f(χ)-)))所計算的密鑰值來組成。
22.—種支持分組交換網(wǎng)絡(luò)中在路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的方法����,包括由密鑰管理器 (400,700)執(zhí)行的以下步驟-(500)為連接到所述網(wǎng)絡(luò)中接入路由器的端主機(jī)(B���,C,D���,…)登記目的地密鑰���,"(502)確定分別能夠執(zhí)行路由聚集和解聚集的路由器的位置,-(504)創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集指令����,每個聚集路由器密鑰表示目的地的集合,以及-(506)分發(fā)所述聚集路由器密鑰和相關(guān)聯(lián)的聚集指令到所述路由器以用于執(zhí)行路由聚集和解聚集��,由此使得所述路由器能夠基于所分發(fā)的信息來配置它們自己的轉(zhuǎn)發(fā)表�。
23.如權(quán)利要求22所述的方法,還包括以下另外的步驟-從查詢端主機(jī)(A)接收有關(guān)目標(biāo)端主機(jī)的地址查詢���,-通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF至少到與所述目標(biāo)端主機(jī)相關(guān)聯(lián)目的地密鑰��,創(chuàng)建發(fā)送方密鑰���,以及-將所創(chuàng)建的發(fā)送方密鑰發(fā)送到所述查詢端主機(jī)以響應(yīng)所述地址查詢����,由此使得所述查詢端主機(jī)能夠通過將從所述發(fā)送方密鑰生成的發(fā)送方標(biāo)記附加到要傳送的數(shù)據(jù)分組���,將數(shù)據(jù)分組傳播到所述目標(biāo)端主機(jī)����,所述發(fā)送方標(biāo)記將所述數(shù)據(jù)分組引導(dǎo)到所述目標(biāo)端主機(jī)�����。
24.一種在密鑰管理器000����,700)中用于支持分組交換網(wǎng)絡(luò)中在路由器轉(zhuǎn)發(fā)數(shù)據(jù)分組的設(shè)備���,包括-網(wǎng)絡(luò)控制單元(700b)�,適用于為連接到所述網(wǎng)絡(luò)中接入路由器的端主機(jī)登記目的地密鑰����,并且還適用于確定分別能夠執(zhí)行路由聚集和解聚集的路由器的位置,以及-密鑰分發(fā)器(700c)�,適用于創(chuàng)建聚集路由器密鑰和相關(guān)聯(lián)的聚集指令���,每個聚集路由器密鑰表示目的地的集合,以及還適用于分發(fā)所述聚集路由器密鑰和相關(guān)聯(lián)的聚集指令到能夠執(zhí)行路由聚集和解聚集的路由器���,由此使得所述路由器能夠基于所分發(fā)的信息來配置它們自己的轉(zhuǎn)發(fā)表����。
25.如權(quán)利要求M所述的設(shè)備��,還包括地址查詢管理器(700a)�,所述地址查詢管理器適用于從查詢端主機(jī)(A)接收有關(guān)目標(biāo)端主機(jī)的地址查詢,通過應(yīng)用密鑰推導(dǎo)函數(shù)KDF至少到與所述目標(biāo)端主機(jī)相關(guān)聯(lián)的目的地密鑰來創(chuàng)建發(fā)送方密鑰���,以及將所創(chuàng)建的發(fā)送方密鑰發(fā)送到所述查詢端主機(jī)以響應(yīng)所述地址查詢���,由此使得所述查詢端主機(jī)能夠通過將從所述發(fā)送方密鑰生成的發(fā)送方標(biāo)記附加到傳送的數(shù)據(jù)分組,將數(shù)據(jù)分組傳播到所述目標(biāo)端主機(jī)��,所述發(fā)送方標(biāo)記將所述傳送的數(shù)據(jù)分組引導(dǎo)到所述目標(biāo)端主機(jī)�。
全文摘要
用于支持分組交換網(wǎng)絡(luò)的路由器(402,702)中轉(zhuǎn)發(fā)接收的數(shù)據(jù)分組的方法和設(shè)備�。基于從密鑰管理器(400�����,700)收到的聚集路由器密鑰和相關(guān)聯(lián)的聚集有關(guān)的指令,在路由器中配置轉(zhuǎn)發(fā)表(706a)�����。每個聚集路由器密鑰表示目的地的集合���。在收到包括從發(fā)送方密鑰或路由器密鑰所推導(dǎo)的入口標(biāo)記的數(shù)據(jù)分組(P)時���,匹配入口標(biāo)記和轉(zhuǎn)發(fā)表中的條目。根據(jù)還包括相關(guān)聯(lián)的聚集有關(guān)的指令的找到的匹配表條目���,為分組選擇外出端口���。隨后���,根據(jù)聚集有關(guān)的指令來創(chuàng)建出口標(biāo)記�����,并且將附加有創(chuàng)建的出口標(biāo)記的分組從選定外出端口發(fā)送到下一跳路由器���。
文檔編號H04L12/56GK102210126SQ200880131976
公開日2011年10月5日 申請日期2008年11月7日 優(yōu)先權(quán)日2008年11月7日
發(fā)明者A·克薩斯扎爾, L·G·馬格努森, L·韋斯特伯格, M·納斯倫 申請人:愛立信電話股份有限公司