專利名稱:在多個mpls網(wǎng)絡(luò)上的數(shù)據(jù)加密的制作方法
在多個MPLS網(wǎng)絡(luò)上的數(shù)據(jù)加密
背景技術(shù):
為了在一組網(wǎng)絡(luò)上加密數(shù)據(jù)����,可以由每個網(wǎng)絡(luò)執(zhí)行IP層上的數(shù)據(jù) 加密,由此導(dǎo)致多層加密��。每層數(shù)據(jù)加密添加了必須通過網(wǎng)絡(luò)發(fā)送的 額外數(shù)據(jù)�,由此增加了通過網(wǎng)絡(luò)發(fā)送數(shù)據(jù)所必需的時間量。而且�,即 使僅僅執(zhí)行一種類型的數(shù)據(jù)加密,大量信息也被添加到加密的數(shù)據(jù)的 分組報頭���,由此增加了網(wǎng)絡(luò)設(shè)備所需要的處理�����。
圖l是圖示可以在其中實施在此描述的系統(tǒng)和方法的示例性系統(tǒng)
的圖2是圖1的多協(xié)議標(biāo)簽交換(MPLS)加密設(shè)備的示例圖�����; 圖3示出可以存儲在圖2的示例性MPLS加密設(shè)備內(nèi)的示例性數(shù)據(jù) 表���;以及
圖4A-4C是圖示由圖1的系統(tǒng)執(zhí)行的示例性處理的流程圖�����。
具體實施例方式
下面的示例性實施例的詳細描述參考附圖�����。在不同的附圖中的相 同附圖標(biāo)記可以指相同或者相似的元件��。而且����,下面的詳細描述不限 制所述實施例����。在此所述的系統(tǒng)和方法可以在一組不可信賴MPLS網(wǎng)絡(luò) 上提供數(shù)據(jù)加密。
圖l是圖示可以在其中實施在此描述的系統(tǒng)和方法的示例性系統(tǒng) 100的圖�����。在一種實施方式中,系統(tǒng)100可以包括�����,例如通過一組鏈路 111連接的 一 組網(wǎng)絡(luò)設(shè)備110 ��,其可以形成MPLS網(wǎng)絡(luò)120-1和120-2(統(tǒng)稱 為"MPLS網(wǎng)絡(luò)120")����。系統(tǒng)100還可以包括一組MPLS加密器130-1����、 130-2 和130-3(統(tǒng)稱為"MPLS加密器130")、 一組網(wǎng)絡(luò)140-l和140-2(統(tǒng)稱為"網(wǎng)絡(luò)140")和一組客戶端設(shè)備150-l和150-2(統(tǒng)稱為"客戶端設(shè)備 150")�。應(yīng)當(dāng)理解在系統(tǒng)100中所示的部件的數(shù)目是示例性的。在實踐 中��,系統(tǒng)100可以包括比圖1中所示的更多或者更少的部件����。
網(wǎng)絡(luò)設(shè)備110可以包括任何網(wǎng)絡(luò)設(shè)備,諸如計算機�、路由器、交換 機���、網(wǎng)絡(luò)接口卡(NIC)�、集線器、橋接器等�����。在一種實施方式中��,網(wǎng)絡(luò) 設(shè)備110可以包括標(biāo)簽交換路由器(LSR)�����。網(wǎng)絡(luò)設(shè)備110可以包括一個或 多個輸入端口和輸出端口����,這些端口允許到其他網(wǎng)絡(luò)設(shè)備110的通信。 可以經(jīng)由鏈路111連接網(wǎng)絡(luò)設(shè)備110����。鏈路lll可以包括允許網(wǎng)絡(luò)設(shè)備 IIO之間的通信的一個或多個路徑,諸如有線��、無線和/或光連接�����。例如 被配置為LSR的網(wǎng)絡(luò)設(shè)備可以從MPLS加密器130接收數(shù)據(jù)報。"數(shù)據(jù)報"
可以包括任何類型或者形式的數(shù)據(jù)�,諸如分組或者非分組數(shù)據(jù)。每個 網(wǎng)絡(luò)設(shè)備110可以沿著標(biāo)簽交換路徑(LSP)被配置為LSR�����,并且可以基于 MPLS報頭(例如����,MPLS墊片(shim)報頭)中承載的標(biāo)簽來作出轉(zhuǎn)發(fā)決 定�。即,數(shù)據(jù)報轉(zhuǎn)發(fā)過程可以基于標(biāo)簽交換的概念��。以這種方式�,LSP 可以識別數(shù)據(jù)報穿過MPLS網(wǎng)絡(luò)120所采用的網(wǎng)絡(luò)設(shè)備110和鏈路111的 具體路徑??梢岳缬擅總€網(wǎng)絡(luò)設(shè)備110沿著LSP轉(zhuǎn)發(fā)標(biāo)記的數(shù)據(jù)報, 直到所述標(biāo)記的數(shù)據(jù)報最后到達MPLS加密器130�, MPLS加密器130可 以被配置為出口LSR。出口MPLS加密器130或者在MPLS加密器130之 前的LSR(例如���,網(wǎng)絡(luò)設(shè)備1 IO)可以從數(shù)據(jù)報移除MPLS報頭����。
為了優(yōu)化路由或者路徑選擇過程,LSP的物理路徑可以不限于執(zhí)行 內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)的一個或多個路由器所選擇以到達目的地的最短路 徑����。可以使用顯式路由來限定LSP的物理路徑���。顯式路由可以是限定LSP 的物理路徑的����、預(yù)先配置的網(wǎng)絡(luò)設(shè)備110(即�,LSR)的序列。顯式路由 可以允許不遵從通過傳統(tǒng)的IP路由(例如����,通過IGP)建立的最短路徑路 由的物理路徑被限定。例如��,顯式路由可以用于對網(wǎng)絡(luò)120中的擁塞點 周圍的業(yè)務(wù)進行路由���,用于優(yōu)化整個網(wǎng)絡(luò)120的資源利用�����,并且/或者用 于滿足網(wǎng)絡(luò)和管理策略限制�����。網(wǎng)絡(luò)120可以包括可以形成如上所述的MPLS網(wǎng)絡(luò)的通過鏈路111
互連的一組網(wǎng)絡(luò)設(shè)備IIO��。雖然在每個網(wǎng)絡(luò)120中示出了四個網(wǎng)絡(luò)設(shè)備 llO和五個鏈路lll�����,可以在其他實施方式中使用更多或者更少的網(wǎng)絡(luò) 設(shè)備110和鏈路111���。網(wǎng)絡(luò)120還可以包括協(xié)助通過網(wǎng)絡(luò)120轉(zhuǎn)發(fā)數(shù)據(jù)的 其他設(shè)備(未示出)。
MPLS加密器130可以包括用于接收��、加密和在網(wǎng)絡(luò)之間發(fā)送數(shù)據(jù) 的一個或多個設(shè)備���。在一種實施方式中���,MPLS加密器130可以被配置 為網(wǎng)絡(luò)120的入口LSR(數(shù)據(jù)報的進入點)、禾P/或出口LSR(數(shù)據(jù)報的退出 點)��。MPLS加密器130可以接收數(shù)據(jù)報���,并且可以基于多種因素來將數(shù) 據(jù)報分類到轉(zhuǎn)發(fā)等價類(FEC)中�。FEC可以包括可以被同樣地看作用于 轉(zhuǎn)發(fā)目的的數(shù)據(jù)報集合,并且可以被映射到單個標(biāo)簽���。數(shù)據(jù)報可以被 封裝在MPLS報頭中�����,所述MPLS報頭可以包含短的���、固定長度的、局 部指配的標(biāo)簽���,所述標(biāo)簽可以基于FEC����。 MPLS加密器130可以利用 MPLS報頭將數(shù)據(jù)報轉(zhuǎn)發(fā)到下一跳的LSR�����,例如到下一個網(wǎng)絡(luò)設(shè)備IIO�����。
網(wǎng)絡(luò)140可以包括一個或多個網(wǎng)絡(luò),所述網(wǎng)絡(luò)包括網(wǎng)際協(xié)議(IP)網(wǎng) 絡(luò)����、城域網(wǎng)(MAN)、廣域網(wǎng)(WAN)��、局域網(wǎng)(LAN)或者網(wǎng)絡(luò)的組合�。在 一種實施方式中,網(wǎng)絡(luò)140可以被稱為專用或者可信賴網(wǎng)絡(luò)���。網(wǎng)絡(luò)140 還可以包括用于向/從其他連接的網(wǎng)絡(luò)設(shè)備發(fā)送/接收數(shù)據(jù)的設(shè)備����,諸如 交換機�、路由器、防火墻����、網(wǎng)關(guān)和/或服務(wù)器(未示出)�����。
網(wǎng)絡(luò)140可以是硬連線的���,使用有線導(dǎo)體和/或光纖��;并且/或者網(wǎng) 絡(luò)140可以是無線的��,使用自由空間光傳輸路徑和/或射頻(RF)傳輸路 徑�。在此所述的網(wǎng)絡(luò)140和/或在網(wǎng)絡(luò)140上工作的設(shè)備的實施方式不限 于任何特定的數(shù)據(jù)類型和/或協(xié)議。
客戶端設(shè)備150可以包括允許用戶與其他用戶建立數(shù)據(jù)連接以及 語音和/或視頻呼叫的一個或多個設(shè)備�����?����?蛻舳嗽O(shè)備150可以包括個人計 算機���、膝上型計算機���、個人數(shù)字助理(PDA)、電話設(shè)備和/或其他類型的通信設(shè)備���。
在圖1中以虛線示出的界線160可以限定可信賴和不可信賴網(wǎng)絡(luò)
(例如���,網(wǎng)絡(luò)120和140)及設(shè)備之間的界線��。例如�����,網(wǎng)絡(luò)140可以被稱為 "可信賴"網(wǎng)絡(luò)�����,客戶端設(shè)備150可以被稱為"可信賴"客戶�,并且網(wǎng) 絡(luò)120可以被稱為"不可信賴"網(wǎng)絡(luò)�����。例如���,可信賴網(wǎng)絡(luò)可以是專用網(wǎng) 絡(luò)�,并且不可信賴網(wǎng)絡(luò)可以是公共網(wǎng)絡(luò)���,諸如因特網(wǎng)��。
圖2是單個MPLS加密器130的示例圖。MPLS加密器130可以包括輸 入端口210�、交換機制220�、輸出端口230��、控制單元240和加密引擎280����。 界線160(如也在圖1中以虛線示出的一樣)可以限定MPLS加密器130的 可信賴和不可信賴部分之間的界線。例如���,在線160之上的輸入端口 210����、交換機制220����、輸出端口230和控制單元240可以被稱為"可信賴" 輸入端口210-T、"可信賴"交換機制220�、"可信賴"輸出端口230-T 和"可信賴"控制單元240-T。同樣����,在線160之下的輸入端口210、交 換機制220��、輸出端口230和控制單元240可以被稱為"不可信賴"輸入 端口210-U�����、"不可信賴"交換機制220-U、"不可信賴"輸出端口230-U 和"不可信賴"控制單元240-U��。加密引擎280可以對從MPLS加密器130 的可信賴和不可信賴側(cè)接收到的數(shù)據(jù)執(zhí)行加密和解密��。
輸入端口210可以連接到網(wǎng)絡(luò)120和140以接收數(shù)據(jù)���。例如����,可信賴 輸入端口210-T可以從諸如網(wǎng)絡(luò)140-1的可信賴網(wǎng)絡(luò)接收數(shù)據(jù)�,并且不可 信賴輸入端口210-U可以從諸如網(wǎng)絡(luò)120-1的不可信賴網(wǎng)絡(luò)接收數(shù)據(jù)。輸 入端口210可以包括用于執(zhí)行數(shù)據(jù)鏈路層封裝和解封裝的邏輯��。輸入端 口210還可以包括用于向交換機制220轉(zhuǎn)發(fā)所接收到的數(shù)據(jù)的邏輯�。輸 入端口210可以從網(wǎng)絡(luò)120和140接收數(shù)據(jù),并且可以運行數(shù)據(jù)鏈路級協(xié) 議和/或多種更高級的協(xié)議�����。
交換機制220可以從輸入端口210接收數(shù)據(jù)���,并且確定到輸出端口 230的連接�����。交換機制220可以被控制單元240控制����,以便向可信賴輸出端口230-T切換數(shù)據(jù)或者向不可信賴輸出端口230-U切換數(shù)據(jù)����。可以使 用許多不同的技術(shù)來實施交換機制220�。例如,可以使用總線��、交叉開 關(guān)(crossbar)和/或共享存儲器來實施交換機制220���??偩€可以鏈接輸 入端口210和輸出端口230���。交叉開關(guān)可以提供通過每個交換機制220的 多個同時的數(shù)據(jù)路徑�����。在共享存儲器方案中���,進入的數(shù)據(jù)報可以被存 儲在共享存儲器內(nèi)���,并且可以切換指向數(shù)據(jù)報的指針。交換機制220還 可以向加密引擎280提供數(shù)據(jù)�����,用于如下所述的數(shù)據(jù)加密和解密�。
輸出端口230可以連接到網(wǎng)絡(luò)120和140用于數(shù)據(jù)傳輸。例如��,可信 賴輸出端口230-T可以輸出將通過諸如網(wǎng)絡(luò)140-l的可信賴網(wǎng)絡(luò)發(fā)送的 數(shù)據(jù)��,并且不可信賴輸出端口230-U可以輸出將通過諸如網(wǎng)絡(luò)120-l的不 可信賴網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)�����。輸出端口230可以包括執(zhí)行支持優(yōu)先權(quán)和保證 的調(diào)度算法的邏輯�,并且可以運行數(shù)據(jù)鏈路級協(xié)議和/或多個更高級的 協(xié)議。
控制單元240可以控制交換機制220以經(jīng)由加密引擎280將輸入端 口210互連到輸出端口230�。例如,不可信賴控制單元240-U可以使不可 信賴交換機制220-U能夠經(jīng)由加密引擎280將不可信賴輸入端口210-U 連接到不可信賴輸出端口230-U����。在另一個示例中���,可信賴控制單元 240-T可以使可信賴交換機制220-T能夠?qū)碜钥尚刨囕斎攵丝?10-T的 傳輸通過加密引擎280引導(dǎo)至不可信賴交換機制220-U,以連接到不可 信賴輸出端口230-U��。在又一個示例中�����,可信賴控制單元240-T還可以 使可信賴交換機制220-T能夠?qū)⒖尚刨囕斎攵丝?10-T連接到可信賴輸 出端口230-T�����?�?刂茊卧?40還可以實施路由協(xié)議���,并且/或者運行軟件 來配置網(wǎng)絡(luò)120和140之間的傳輸?��?刂茊卧?40可以進一步控制MPLS 加密器130之間的通信���。例如,控制單元240可以控制用于協(xié)商LSP標(biāo)簽 和加密協(xié)議的傳輸。
在一種實施方式中���,每個控制單元240可以包括傳輸保護250����、處 理器260和存儲器270����。傳輸保護250可以包括可以引導(dǎo)或者禁止可信賴
1和不可信賴網(wǎng)絡(luò)之間的傳輸?shù)挠布蛙浖C制。例如�,傳輸保護250可
以將來自可信賴網(wǎng)絡(luò)140的傳輸通過交換機制220和加密引擎280引導(dǎo) 至不可信賴網(wǎng)絡(luò)120。傳輸保護250也可以阻止來自不可信賴網(wǎng)絡(luò)120的 傳輸進入可信賴網(wǎng)絡(luò)140�。處理器260可以包括微處理器或者處理邏輯, 其可以解析和執(zhí)行指令���。存儲器270可以包括隨機存取存儲器(RAM)�、 只讀存儲器(ROM)設(shè)備���、磁和/或光記錄介質(zhì)及其對應(yīng)驅(qū)動器����、和/或可 以存儲由處理器260執(zhí)行的信息和指令的另一類型的靜態(tài)和/或動態(tài)存 儲設(shè)備�����。存儲器270也可以存儲標(biāo)簽信息庫(LIB),其可以包含一組LSP 標(biāo)簽和加密協(xié)議信息��,如下所述���。
加密引擎280可以對可能從其他MPLS加密器130發(fā)送或者接收的 數(shù)據(jù)進行加密和解密����。加密引擎280可以包括一個或多個存儲程序�,該 存儲程序包括用于加密和解密數(shù)據(jù)的加密協(xié)議�����。如下所述��,為了建立 通過網(wǎng)絡(luò)120的LSP���, MPLS加密器130的可信賴和不可信賴側(cè)的每一側(cè) 可以在存儲器270中建立LIB����,其可以將數(shù)據(jù)映射到外出LSP標(biāo)簽����。參考 圖3���,例如,數(shù)據(jù)表或者LIB310可以被存儲在MPLS加密器130的可信賴 側(cè)的可信賴存儲器270-T中����,并且可以在表中包含兩個相關(guān)聯(lián)的列。數(shù) 據(jù)表或者LIB 320可以被存儲在MPLS加密器130的不可信賴側(cè)的不可信 賴存儲器270-U中���,并且可以在表中包含四個相關(guān)聯(lián)的列��。
在一個示例中�,數(shù)據(jù)表310可以用于將從可信賴網(wǎng)絡(luò)140-1接收到 的數(shù)據(jù)映射到LSP標(biāo)簽���,用于通過不可信賴網(wǎng)絡(luò)120-1的傳輸�。數(shù)據(jù)表 310可以包括加密列330和LSP出列340���。數(shù)據(jù)表310的加密列330可以包 含識別定義的加密程序和/或協(xié)議的信息��。例如��,加密列330可以包括 "E1" �、 "E2" 、 "E3"和"E4"�,其可以表示識別可以被存儲在加 密引擎280內(nèi)的四個不同加密協(xié)議的信息。
LSP出列340可以包含與通過網(wǎng)絡(luò)120-1的連接相關(guān)聯(lián)的LSP標(biāo)簽����。 每個LSP標(biāo)簽可以與加密列330中的對應(yīng)加密協(xié)議相關(guān)聯(lián),其中���,在加 密列330中的對應(yīng)加密協(xié)議可以用于數(shù)據(jù)加密���。例如,LSP出列340可以存儲LSP標(biāo)簽"LSP1" �、 "LSP2" ��、 "LSP3"禾口 "LSP4���,��,����,其可以用 于建立通過不可信賴網(wǎng)絡(luò)120-1的連接���。例如����,可以使用加密協(xié)議"E3" 來加密從可信賴網(wǎng)絡(luò)140-1接收到的數(shù)據(jù),并且LSP標(biāo)簽"LSP3"可以 被應(yīng)用于加密的數(shù)據(jù)�,用于通過不可信賴網(wǎng)絡(luò)120-1的傳輸。
數(shù)據(jù)表320可以包括LSP入列350���、加密入列360����、加密出列370和 LSP出列380�����。數(shù)據(jù)表320可以用于將從第一不可信賴網(wǎng)絡(luò)(例如��,網(wǎng)絡(luò) 120-1)接收到的����、具有進入LSP標(biāo)簽和進入加密協(xié)議的數(shù)據(jù)映射到外出 加密協(xié)議和外出LSP標(biāo)簽,用于通過第二不可信賴網(wǎng)絡(luò)(例如���,網(wǎng)絡(luò)120-2) 的傳輸��。
數(shù)據(jù)表320的LSP入列350可以包含識別通過不可信賴輸入端口 210-U接收到的LSP標(biāo)簽的信息���。例如�����,LSP入歹U350可以存儲LSP標(biāo)簽 "LSP5" �����、 "LSP6" �����、 "LSP7"和"LSP8"���,其可以識別可以從不可 信賴網(wǎng)絡(luò)120-1接收到的LSP標(biāo)簽。具有LSP入列350中的LSP標(biāo)簽的進 入數(shù)據(jù)可以被映射到LSP出歹[J380中的對應(yīng)外出LSP標(biāo)簽����。
數(shù)據(jù)表320的加密入列360可以包含識別進入加密協(xié)議的信息�����。例 如,加密入列360可以存儲"E1" �����、 "E2" ��、 "E3"和"E4"�����,其可以 表示識別可以被存儲在加密引擎280中的四個不同加密程序和/或協(xié)議 的信息�。
數(shù)據(jù)表320的加密出列370可以包含識別外出加密程序和/或協(xié)議 的信息。例如���,加密出列370可以存儲"E2"�����、 "E3"��、 "E4"和"E1"����, 其可以表示識別可以被存儲在加密引擎280中的四個不同加密協(xié)議的信息。
LSP出歹U380可以包含用于標(biāo)記數(shù)據(jù)以用于通過不可信賴網(wǎng)絡(luò) 120-2的傳輸?shù)腖SP標(biāo)簽���。例如�����,LSP出歹U380可以存儲LSP標(biāo)簽"LSP9"��、 "LSP10" �、 "LSP11"和"LSP12"�����,其可以用于通過不可信賴網(wǎng)絡(luò)120-2來發(fā)送數(shù)據(jù)��。例如��,如果通過不可信賴端口230-U從不可信賴網(wǎng)絡(luò) 120-1接收到具有進入標(biāo)簽"LSP7"和加密協(xié)議"E3"的數(shù)據(jù)��,則可以 使用加密協(xié)議"E3"解密所述數(shù)據(jù)����,使用對應(yīng)加密協(xié)議"E4"重新加 密所述數(shù)據(jù),并且可以將外出標(biāo)簽"LSP11"應(yīng)用到所述數(shù)據(jù)���,以用于 通過不可信賴網(wǎng)絡(luò)120-2的傳輸�。提供圖3中所示的MPLS加密器130的可 信賴和不可信賴側(cè)中的LIB數(shù)據(jù)表僅僅用于解釋的目的����。數(shù)據(jù)表310和 320可以包括除圖3中所示以外的其他信息?��?梢匀缫韵聟⒖紙D4A-4C所 述的來創(chuàng)建數(shù)據(jù)表310和320中的條目��。
使用數(shù)據(jù)表310��,經(jīng)由可信賴輸入端口210-T接收到的數(shù)據(jù)可以在 被發(fā)送到不可信賴輸出端口230-U以通過不可信賴網(wǎng)絡(luò)120發(fā)送之前�����, 經(jīng)過加密引擎280加密��。使用數(shù)據(jù)表320���,經(jīng)由不可信賴輸入端口210-U 從不可信賴網(wǎng)絡(luò)120-1接收到的數(shù)據(jù)可以被加密引擎280解密和重新加 密,并且被發(fā)送到不可信賴輸出端口230-U����,以通過不可信賴網(wǎng)絡(luò)120-2 發(fā)送。
在數(shù)據(jù)己經(jīng)被MPLS加密器130加密、標(biāo)記和輸出之后��,網(wǎng)絡(luò)設(shè)備 IIO可以基于所應(yīng)用的LSP標(biāo)簽來將所述數(shù)據(jù)作為數(shù)據(jù)報通過MPLS網(wǎng) 絡(luò)120沿著鏈接111轉(zhuǎn)發(fā)��。LSP標(biāo)簽可以在每個網(wǎng)絡(luò)設(shè)備110處被交換成 新標(biāo)簽��。以這種方式�,LSP標(biāo)簽可以識別數(shù)據(jù)報穿過MPLS網(wǎng)絡(luò)120可能 采用的網(wǎng)絡(luò)設(shè)備1 IO和鏈路111的具體路徑。
在此所述的MPLS加密器130可以執(zhí)行特定的操作�,如下詳細描述。 每個MPLS加密器130可以響應(yīng)于處理器260執(zhí)行在諸如存儲器270的計 算機可讀介質(zhì)中包含的軟件指令而執(zhí)行這些操作����。
可以將所述軟件指令從另一個計算機可讀介質(zhì),諸如數(shù)據(jù)存儲設(shè) 備���,或者經(jīng)由通信接口從另一個設(shè)備讀入到存儲器270中���。在存儲器270 中包含的軟件指令可以使得處理器260執(zhí)行如下所述的過程。作為替代 方式�����,可以使用硬連線電路來替代軟件指令或者與其結(jié)合��,以實施符合各個實施例的原理的過程。因此�,符合示例性實施例的原理的實施 方式不限于硬件電路和軟件的任何具體組合����。
圖4A-4C圖示了由系統(tǒng)100執(zhí)行的示例性處理400。例如�,在一種實 施方式中,處理400可以在可信賴客戶端�,諸如可信賴客戶端150-1向可 信賴網(wǎng)絡(luò),諸如網(wǎng)絡(luò)140-1發(fā)送數(shù)據(jù)時開始(行為405)����。例如,可信賴客 戶端150-l可能期望與可信賴客戶端150-2進行通信��,并且建立到可信賴 客戶端150-2的連接����。然后,可信賴網(wǎng)絡(luò)140-1可以向MPLS加密器130-1 發(fā)送數(shù)據(jù)(行為410)����。響應(yīng)于接收到該數(shù)據(jù),MPLS加密器130-1可以向 MPLS加密器130-3發(fā)送加密請求信號(行為415)�。例如�,MPLS加密器 130-l可以向MPLS加密器130-3發(fā)送指示特定加密協(xié)議的信號���。
在接收到這個加密請求信號時��,MPLS加密器130-l和130-3可以協(xié) 商第一加密協(xié)議���,并且確定第一LSP標(biāo)簽(行為420)。例如�,MPLS加密 器130-3可以訪問存儲器270,以確定所存儲的加密協(xié)議并且啟用LSP標(biāo) 簽。然后����,MPLS加密器130-3可以向MPLS加密器130-1發(fā)送響應(yīng)(行為 425)。該響應(yīng)可以包括確認可以被用于通過網(wǎng)絡(luò)120-1在加密器130-1和 130-3之間通信的第一加密協(xié)議和第一LSP標(biāo)簽的信息���。例如��,MPLS加 密器130-3可以利用指示加密協(xié)議"E3"和LSP標(biāo)簽"LSP3"的信息來 響應(yīng)MPLS加密器130-1��,加密協(xié)議"E3"禾卩LSP標(biāo)簽"LSP3"可以被 存儲在數(shù)據(jù)表310中��,如圖3中所示��。
為了通過網(wǎng)絡(luò)120-2發(fā)送數(shù)據(jù)�����,MPLS加密器130-3可以向MPLS加 密器130-2發(fā)送加密請求信號(行為430)�����。在接收到加密請求信號時�, MPLS加密器130-2和130-3可以協(xié)商第二加密協(xié)議��,并且確定第二LSP 標(biāo)簽(行為435)(圖4B)�����。例如�,MPLS加密器130-2可以訪問存儲器270, 以確定所存儲的加密協(xié)議���,并且啟用LSP標(biāo)簽�����。然后��,MPLS加密器130-2 可以向MPLS加密器130-3發(fā)送響應(yīng)(行為440)����。所述響應(yīng)可以包括指示 第二加密協(xié)議和第二LSP標(biāo)簽的信息,所述信息可以用于通過網(wǎng)絡(luò) 120-2在加密器130-3和130-2之間的通信��。例如���,MPLS加密器130-2可以利用指示加密協(xié)議"E4"和LSP標(biāo)簽"LSP11"的信息來響應(yīng)MPLS加 密器130-3�,所述加密協(xié)議"E4"和LSP標(biāo)簽"LSP11"可以被存儲在 MPLS加密器130-3的數(shù)據(jù)表320中���。
MPLS加密器130-1可以使用第一加密協(xié)議來加密來自可信賴客戶 端140-1的數(shù)據(jù)(行為445)�。例如����,加密引擎280可以使用如在數(shù)據(jù)表310 中指示的第一協(xié)商的加密協(xié)議(例如,"E3")(如在行為420中所確定的) 來加密數(shù)據(jù)�。在加密了所述數(shù)據(jù)之后,可以應(yīng)用在行為420中協(xié)商的LSP 標(biāo)簽�,并且可以發(fā)送數(shù)據(jù)(行為450)。例如�����,使用數(shù)據(jù)表310���, MPLS加 密器130-1可以將LSP標(biāo)簽"LSP3"應(yīng)用到利用加密協(xié)議"E3"加密的 數(shù)據(jù)���。MPLS加密器130-3可以接收和解密所發(fā)送的數(shù)據(jù)(行為455)�。例 如���,使用數(shù)據(jù)表320���,可以使用加密協(xié)議"E3"來解密在LSP標(biāo)簽"LSP7" 上接收到的數(shù)據(jù)。 一旦數(shù)據(jù)被解密��,可以使用第二加密協(xié)議來加密該 數(shù)據(jù)(行為460)���。例如,可以使用在數(shù)據(jù)表320內(nèi)存儲的(如在行為435中 協(xié)商的)加密協(xié)議"E4"���。
在利用第二加密協(xié)議加密后���,LSP標(biāo)簽可以被應(yīng)用,并且數(shù)據(jù)可以 被發(fā)送(行為465)���。例如���,使用數(shù)據(jù)表320的相關(guān)聯(lián)的列370和380�, MPLS 加密器130-3可以應(yīng)用協(xié)商的加密協(xié)議和LSP標(biāo)簽用于到MPLS加密器 130-2的傳輸���。例如��,可以將LSP標(biāo)簽"LSP11"應(yīng)用到可以被發(fā)送并且 使用加密協(xié)議"E4"加密的數(shù)據(jù)�����。由MPLS加密器130-3發(fā)送的數(shù)據(jù)可 以被MPLS加密器130-2接收和解密(行為470)�。例如�����,MPLS加密器130-2 可以使用在行為435中確定的并且在數(shù)據(jù)表320內(nèi)存儲的協(xié)商的加密協(xié) 議來解密所接收到的數(shù)據(jù)��。在解密后��,所述數(shù)據(jù)然后可以被發(fā)送到可 信賴客戶端140-2(行為475)��。
以這種方式�,處理400可以提供用于通過一組不可信賴網(wǎng)絡(luò)120在 兩個可信賴網(wǎng)絡(luò)(140-l和140-2)之間的通信的數(shù)據(jù)加密。也應(yīng)當(dāng)明白, 處理400是示例性的����,并且例如,在可信賴網(wǎng)絡(luò)140之間可以包括多于 兩個不可信賴MPLS網(wǎng)絡(luò)120����。在這種情況下,如上所述的示例性行為也可以被應(yīng)用到所有網(wǎng)絡(luò)�。例如,MPLS加密器130-2可以與下一個 MPLS加密器130協(xié)商加密協(xié)議和LSP標(biāo)簽��,以在另一個不可信賴網(wǎng)絡(luò) 120上建立LSP連接����。
在其他實施例中,可以使用單個加密協(xié)議來加密來自可信賴網(wǎng)絡(luò) 140-1的數(shù)據(jù)�。例如��,MPLS加密器130-l可以與MPLS加密器130-3協(xié)商 加密協(xié)議����,并且可以加密從可信賴網(wǎng)絡(luò)140-1接收到的數(shù)據(jù)。加密的數(shù) 據(jù)可以被標(biāo)記并且被發(fā)送到MPLS加密器130-3��。例如,MPLS加密器 130-3可以與MPLS加密器130-2協(xié)商��,來使用可以由MPLS加密器130-1 使用的相同加密協(xié)議��。例如��,MPLS加密器130-3可以將LSP標(biāo)簽應(yīng)用到 從MPLS加密器130-1接收到的數(shù)據(jù)����,以向MPLS加密器130-2發(fā)送所接收 到的數(shù)據(jù),而不解密和重新加密所接收到的數(shù)據(jù)��。
在進一步的其他實施例中�,單個不可信賴網(wǎng)絡(luò)120可以例如在可信 賴網(wǎng)絡(luò)140-l和140-2之間。在這個示例性實施例中���,可以要求兩個MPLS 加密器130�����,并且可以協(xié)商單個加密協(xié)議和LSP�。
前面對示例性實施例的描述提供了說明和描述��,但是不意在是窮 盡性的�����,或者將所述實施例限于所公開的確切形式。修改和改變根據(jù) 上述的教程是可能的�����,或者可以從實施例的實踐被獲得�。
而且,雖然已經(jīng)參考圖4A-4C的流程圖描述了一系列行為��,但是符 合實施例的原理的行為次序可以在其他實施方式中不同��。而且��,可以 并行地執(zhí)行非附屬行為���。
可以通過附圖中說明的實施方式中的軟件��、固件和硬件的許多不 同形式來實施如上所述的實施例���。用于實施在此所述的實施例的實際 軟件代碼或者專門的控制硬件不是本發(fā)明的限制�����。因此,未參考具體 軟件代碼描述了實施例的操作和行為一一將理解人們能夠根據(jù)此處的 描述來設(shè)計軟件和控制硬件以實施所述實施例��。除非明確地說明��,在本申請中使用的元件�����、行為或者指令都不應(yīng) 當(dāng)被解釋為對于在此所述的系統(tǒng)和方法是關(guān)鍵或者必要的��。而且�,在 此使用的不加數(shù)量詞的項目意在包括一個或多個項目。當(dāng)僅意指一個 項目時�����,使用術(shù)語"一個"或者類似的語言��。而且��,短語"基于"意 在表示"至少部分地基于"�,除非另外明確地說明。
權(quán)利要求
1.一種方法��,包括與網(wǎng)絡(luò)設(shè)備協(xié)商加密協(xié)議���;從可信賴客戶端設(shè)備接收數(shù)據(jù)���;利用所述協(xié)商的加密協(xié)議來加密所接收到的數(shù)據(jù)����;以及將標(biāo)簽交換路徑(LSP)標(biāo)簽應(yīng)用于所述加密的數(shù)據(jù)���,用于通過多協(xié)議標(biāo)簽交換(MPLS)網(wǎng)絡(luò)到所述網(wǎng)絡(luò)設(shè)備的傳輸���。
2. 根據(jù)權(quán)利要求1所述的方法,進一步包括 從所述網(wǎng)絡(luò)設(shè)備接收指示所述協(xié)商的加密協(xié)議的信號�����。
3. 根據(jù)權(quán)利要求2所述的方法��,進一步包括 基于從所述網(wǎng)絡(luò)設(shè)備接收到的信號從存儲器中選擇所述協(xié)商的加密協(xié)議��。
4. 根據(jù)權(quán)利要求1所述的方法�,進一步包括 與所述網(wǎng)絡(luò)設(shè)備協(xié)商所述LSP標(biāo)簽。
5. 根據(jù)權(quán)利要求l所述的方法����,其中,所述可信賴客戶端設(shè)備處 于可信賴網(wǎng)絡(luò)中���,并且所述MPLS網(wǎng)絡(luò)是不可信賴網(wǎng)絡(luò)�����。
6. —種網(wǎng)絡(luò)設(shè)備��,包括存儲器�����,用于存儲多個加密協(xié)議����;以及 邏輯���,被配置用于向第二網(wǎng)絡(luò)設(shè)備發(fā)送請求����,以協(xié)商加密協(xié)議�����, 基于來自所述第二網(wǎng)絡(luò)設(shè)備的響應(yīng)從所述存儲器中選擇所述 加密協(xié)議中的一個,從可信賴客戶端設(shè)備接收數(shù)據(jù)�,利用所選擇的加密協(xié)議來加密所接收到的數(shù)據(jù),以及將標(biāo)簽交換路徑(LSP)標(biāo)簽應(yīng)用于所述加密的數(shù)據(jù)�����,用于通過不可信賴多協(xié)議標(biāo)簽交換(MPLS)網(wǎng)絡(luò)到所述第二網(wǎng)絡(luò)設(shè)備的傳輸��。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備����,其中,所述邏輯進一步被配置用于與所述第二網(wǎng)絡(luò)設(shè)備協(xié)商所述LSP標(biāo)簽��。
8. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備����,其中,所述協(xié)商的LSP標(biāo)簽 被存儲在所述存儲器中�。
9. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備,其中�����,所述可信賴客戶端設(shè) 備處于可信賴網(wǎng)絡(luò)中。
10. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備���,其中�,所述邏輯進一步被 配置用于將從輸入端口接收到的數(shù)據(jù)通過加密引擎切換到輸出端口�。
11. 一種系統(tǒng)���,包括 第一網(wǎng)絡(luò)設(shè)備���; 第二網(wǎng)絡(luò)設(shè)備;以及第三網(wǎng)絡(luò)設(shè)備�,其中,所述第一網(wǎng)絡(luò)設(shè)備被配置用于與第二網(wǎng)絡(luò)設(shè)備協(xié)商第一加密協(xié)議和第一標(biāo)簽交換路徑(LSP)標(biāo)簽����,從可信賴網(wǎng)絡(luò)接收數(shù)據(jù),以及利用所述第一協(xié)商的加密協(xié)議來加密所接收到的數(shù)據(jù)�����,并且 應(yīng)用所述第一 LSP標(biāo)簽��,用于所述加密的數(shù)據(jù)到所述第二網(wǎng)絡(luò)設(shè)備的 傳輸�,并且其中,所述第二網(wǎng)絡(luò)設(shè)備被配置用于從所述第一網(wǎng)絡(luò)設(shè)備接收所述加密的數(shù)據(jù),利用所述第一協(xié)商的加密協(xié)議來解密所接收到的數(shù)據(jù)�����, 與所述第三網(wǎng)絡(luò)設(shè)備協(xié)商第二加密協(xié)議和第二 LSP標(biāo)簽���, 利用所述第二加密協(xié)議來重新加密所述解密的數(shù)據(jù)���,以及 應(yīng)用所述第二 LSP標(biāo)簽,用于所述重新加密的數(shù)據(jù)到所述第 三網(wǎng)絡(luò)設(shè)備的傳輸����。
12. 根據(jù)權(quán)利要求11所述的系統(tǒng),其中��,所述第一網(wǎng)絡(luò)設(shè)備進一 步被配置用于將所述第一協(xié)商的LSP存儲在存儲器中���。
13. 根據(jù)權(quán)利要求12所述的系統(tǒng)�����,其中��,所述第一網(wǎng)絡(luò)設(shè)備進一步被配置用于從多個加密協(xié)議中選擇所述第一協(xié)商的加密協(xié)議��。
14. 根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中,從所述可信賴網(wǎng)絡(luò)接收到的數(shù)據(jù)是從可信賴客戶端設(shè)備發(fā)送的�����。
15. 根據(jù)權(quán)利要求11所述的方法���,其中,所述第二網(wǎng)絡(luò)設(shè)備進一 步被配置用于將所述第一和第二協(xié)商的加密協(xié)議存儲在存儲器中�����。
16. —種網(wǎng)絡(luò)設(shè)備��,包括存儲器�����,用于存儲多個加密協(xié)議���;以及 邏輯�,被配置用于與第一網(wǎng)絡(luò)設(shè)備協(xié)商第一加密協(xié)議��,與第二網(wǎng)絡(luò)設(shè)備協(xié)商第二加密協(xié)議,從所述第一網(wǎng)絡(luò)設(shè)備接收加密的數(shù)據(jù)���,利用所述第一加密協(xié)議來解密所接收到的數(shù)據(jù)�����,并且利用所述第 二加密協(xié)議來重新加密所述數(shù)據(jù)�,以及應(yīng)用標(biāo)簽交換路徑(LSP)標(biāo)簽�����,用于所述重新加密的數(shù)據(jù)到所述第二網(wǎng)絡(luò)設(shè)備的傳輸��。
17. 根據(jù)權(quán)利要求16所述的網(wǎng)絡(luò)設(shè)備�����,其中���,所述邏輯進一步被 配置用于與所述第一網(wǎng)絡(luò)設(shè)備協(xié)商第一 LSP標(biāo)簽�����。
18. 根據(jù)權(quán)利要求17所述的網(wǎng)絡(luò)設(shè)備�,其中,所述邏輯進一步被配置用于與所述第二網(wǎng)絡(luò)設(shè)備協(xié)商第二 LSP標(biāo)簽�。
19. 根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)設(shè)備,其中��,所述第一和第二LSP 標(biāo)簽被存儲在所述存儲器中�。
20. 根據(jù)權(quán)利要求16所述的網(wǎng)絡(luò)設(shè)備,其中��,所述邏輯進一步被配置用于從所述存儲器中選擇所述第一和第二加密協(xié)議��。
全文摘要
一個網(wǎng)絡(luò)設(shè)備與另一個網(wǎng)絡(luò)設(shè)備協(xié)商加密協(xié)議���,從可信賴客戶端設(shè)備接收數(shù)據(jù),利用協(xié)商的加密協(xié)議來加密所接收到的數(shù)據(jù)��,并且將標(biāo)簽交換路徑(LSP)標(biāo)簽應(yīng)用于加密的數(shù)據(jù)����,用于通過不可信賴多協(xié)議標(biāo)簽交換(MPLS)網(wǎng)絡(luò)到所述網(wǎng)絡(luò)設(shè)備的傳輸。
文檔編號G06F15/16GK101606142SQ200780045841
公開日2009年12月16日 申請日期2007年12月10日 優(yōu)先權(quán)日2006年12月11日
發(fā)明者丹尼爾·M·伍德 申請人:聯(lián)合網(wǎng)絡(luò)系統(tǒng)有限責(zé)任公司