国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于在包括虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)中通信的方法和包括虛擬網(wǎng)絡(luò)實(shí)體的通信節(jié)點(diǎn)與流程

      文檔序號(hào):11935260閱讀:401來源:國知局
      用于在包括虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)中通信的方法和包括虛擬網(wǎng)絡(luò)實(shí)體的通信節(jié)點(diǎn)與流程

      本發(fā)明涉及一種用于在網(wǎng)絡(luò)中,特別地在無線網(wǎng)絡(luò)中通信的方法。

      本發(fā)明例如與室外照明網(wǎng)絡(luò)相關(guān),其中,多個(gè)網(wǎng)絡(luò)共存并且共享相同的介質(zhì)和協(xié)議。



      背景技術(shù):

      在網(wǎng)絡(luò)中,特別地,在戶外照明網(wǎng)絡(luò)中,專用于不同服務(wù)的多個(gè)網(wǎng)絡(luò)可能共存。

      這里考慮例如使用如圖1所描繪的6LoWPAN協(xié)議棧的受約束的網(wǎng)絡(luò)。在根據(jù)OSI模型描述的該示例性協(xié)議棧中,層1,物理層基于802.15.4 PHY,層2,數(shù)據(jù)層包括802.15.4 MAC和802.15.4安全子層。在該示例中,利用RPL或MPL協(xié)議在層3處執(zhí)行路由。

      這種網(wǎng)絡(luò)可以大規(guī)模部署,即,在智能城市背景中或在智能建筑中使用的城市范圍的物聯(lián)網(wǎng)(IoT)部署。如圖2所描繪的,正在研究的智能城市提供多種服務(wù),該服務(wù)諸如光控制、應(yīng)急系統(tǒng)、業(yè)務(wù)控制、廢物管理或環(huán)境數(shù)據(jù)收集。

      這些網(wǎng)絡(luò)必須被設(shè)計(jì)成以使得不同應(yīng)用可以安全地重用基礎(chǔ)設(shè)施以用于不同目的,即,而不影響正常的網(wǎng)絡(luò)操作或其安全性。傳統(tǒng)上,不同的組織部署、操作并且維護(hù)它們的網(wǎng)絡(luò)以提供某些服務(wù),從而導(dǎo)致多個(gè)6LoWPAN,該多個(gè)6LoWPAN重疊、共享物理空間但由于如圖2中的管理和安全原因,而彼此完全隔離(isolate)。

      然而,可能感興趣的是設(shè)計(jì)這些網(wǎng)絡(luò)以使得能夠?qū)崿F(xiàn)在其上不同應(yīng)用可以共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施的多租用城市范圍或智能建筑網(wǎng)絡(luò)?,F(xiàn)有網(wǎng)絡(luò)針對(duì)不同應(yīng)用的重用將允許公共網(wǎng)狀網(wǎng)絡(luò),其中,可以使用公共但是具有不同用途的基礎(chǔ)設(shè)施來完成通信。這可以帶來現(xiàn)有資源的更好使用,更快地部署新應(yīng)用和更大的網(wǎng)絡(luò)靈活性。例如,在物理6LoWPAN的減少和現(xiàn)有的物理網(wǎng)絡(luò)的目的多樣化的情況下,可以利用新應(yīng)用的網(wǎng)絡(luò)部署、維護(hù)成本和上市時(shí)間,即,智能儀表的推出可以通過重用可能容納新的設(shè)備的現(xiàn)有的城市范圍網(wǎng)絡(luò)但是執(zhí)行不同應(yīng)用和功能來更快完成。在該示例中,考慮城市范圍網(wǎng)絡(luò),然而,類似的方案也可以應(yīng)用于諸如BACS、鄰域網(wǎng)(NAN)或HAN之類的其它網(wǎng)絡(luò)。更進(jìn)一步地,還需要提供對(duì)威脅的預(yù)防、檢測(cè)或避免。

      在圖2的示例中,具有不同安全簡檔或來自不同供應(yīng)商的應(yīng)用在網(wǎng)絡(luò)中共存,并且可能潛在地干擾彼此的性能。進(jìn)一步,需要提高網(wǎng)絡(luò)的各種部件的安全性,并且通過將其在網(wǎng)絡(luò)中的擴(kuò)展(spreading)限制到各種應(yīng)用來限制攻擊的范圍。



      技術(shù)實(shí)現(xiàn)要素:

      本發(fā)明的目的是提出一種用于在網(wǎng)絡(luò)中通信的方法,該方法使得能夠重用網(wǎng)絡(luò)的不同應(yīng)用的基礎(chǔ)設(shè)施。

      本發(fā)明的另一目的是提出一種使得能夠在不涉及高復(fù)雜性或計(jì)算能力的情況下隔離不同應(yīng)用網(wǎng)絡(luò)的方法。

      為此,上文所提及的目標(biāo)可以通過權(quán)利要求1所定義的方法和權(quán)利要求6所定義的通信節(jié)點(diǎn)來解決。

      因而,提供了通過共享獨(dú)立操作的不同邏輯域(例如,應(yīng)用域)之間的物理資源來共享和重用現(xiàn)有網(wǎng)絡(luò)(例如,6LoWPAN)的手段。這可能允許不同的網(wǎng)絡(luò)用途,同時(shí)利用在啟用IoT的智能城市中的隔離網(wǎng)絡(luò)劃分,來確保其正確行為。這些劃分可以在共享網(wǎng)絡(luò)內(nèi)重疊,并且不僅必須允許數(shù)據(jù)通信獨(dú)立性,而且還允許諸如路由和尋址之類的獨(dú)立網(wǎng)絡(luò)機(jī)制。這些邏輯域?qū)⒃试S隔離網(wǎng)絡(luò)故障,約束對(duì)網(wǎng)絡(luò)的特定使用的訪問并且保護(hù)特定網(wǎng)絡(luò)業(yè)務(wù)和基礎(chǔ)設(shè)施。該方案可以應(yīng)用于包括Wi-Fi網(wǎng)狀網(wǎng)絡(luò)或具有設(shè)備到設(shè)備通信能力的下一代蜂窩網(wǎng)絡(luò)的若干網(wǎng)絡(luò)。

      為了實(shí)現(xiàn)這一點(diǎn),在本發(fā)明的各種實(shí)施例中提出在網(wǎng)絡(luò)中使用網(wǎng)絡(luò)節(jié)點(diǎn)中的一些所屬的至少一個(gè)虛擬網(wǎng)絡(luò)(例如,取決于這些節(jié)點(diǎn)涉及哪些應(yīng)用)。所考慮的虛擬網(wǎng)絡(luò)的每個(gè)通信節(jié)點(diǎn)可以基于以下各項(xiàng)中的至少一項(xiàng)來標(biāo)識(shí)數(shù)據(jù)分組是否屬于其虛擬網(wǎng)絡(luò):

      -用于數(shù)據(jù)分組的密碼密鑰;

      -存在于第一數(shù)據(jù)分組中的密碼密鑰標(biāo)識(shí)符;或者

      -存在于第一數(shù)據(jù)分組中的個(gè)人區(qū)域網(wǎng)絡(luò)標(biāo)識(shí)符。

      可替代地,在數(shù)據(jù)分組是例如由通信節(jié)點(diǎn)本身生成的傳出數(shù)據(jù)分組的情況下,基于發(fā)送方地址和/或目的地址來標(biāo)識(shí)虛擬網(wǎng)絡(luò)。這些地址可以是IP地址,例如,IPv6地址。本發(fā)明的實(shí)施例基于如下一般思想:簡化虛擬網(wǎng)絡(luò)彼此隔離的方式,并且在本發(fā)明的一些示例中將該隔離帶入?yún)f(xié)議棧的可能的最低層。這導(dǎo)致低復(fù)雜性,以用于實(shí)現(xiàn)本發(fā)明的節(jié)點(diǎn)。進(jìn)一步地,密碼密鑰(或其標(biāo)識(shí)符)或PAN標(biāo)識(shí)符的使用使得能夠與其它節(jié)點(diǎn)向后兼容。

      根據(jù)本發(fā)明的另一方面,提出了一種記錄介質(zhì),其存儲(chǔ)計(jì)算機(jī)程序,當(dāng)其在計(jì)算機(jī)上執(zhí)行時(shí),使得能夠執(zhí)行本發(fā)明的第一方面的方法。

      參照以下所描述的實(shí)施例,本發(fā)明的這些和其它方面將變得顯而易見的并且得以闡明。

      附圖說明

      現(xiàn)在,將參照附圖,通過示例對(duì)本發(fā)明進(jìn)行更詳細(xì)地描述,其中

      -已經(jīng)被描述的圖1表示說明性的常規(guī)協(xié)議棧。

      -圖2是其中實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)。

      -圖3表示根據(jù)本發(fā)明的實(shí)施例的協(xié)議棧。

      -圖4是表示根據(jù)本發(fā)明的實(shí)施例的網(wǎng)絡(luò)的框圖。

      -圖5是表示根據(jù)本發(fā)明的實(shí)施例的網(wǎng)絡(luò)中的調(diào)試方法的各種階段的框圖。

      -圖6是表示根據(jù)本發(fā)明的實(shí)施例的接收傳入數(shù)據(jù)分組的方法的流程圖。

      -圖7和圖8是表示根據(jù)本發(fā)明的實(shí)施例的傳輸傳出數(shù)據(jù)分組的方法的流程圖。

      -圖9是表示根據(jù)本發(fā)明的實(shí)施例的用于控制網(wǎng)絡(luò)中的帶寬的方法的流程圖。

      具體實(shí)施方式

      本發(fā)明涉及一種包括多個(gè)通信節(jié)點(diǎn)的網(wǎng)絡(luò)。在本發(fā)明的示例中,該網(wǎng)絡(luò)包括鏈接到不同服務(wù)的各種應(yīng)用。借助于(thanks to)下文所描述的本發(fā)明的實(shí)施例,不同的服務(wù)可以重用基礎(chǔ)設(shè)施,同時(shí)維護(hù)它們之間的邏輯隔離。

      作為說明,現(xiàn)在將描述的本發(fā)明的實(shí)施例是針對(duì)(aim at)各種以下目標(biāo)。

      這些實(shí)施例所針對(duì)的第一方面是網(wǎng)絡(luò)的安全性。作為示例,IEEE 802.15.4安全子層提供用于其它通信協(xié)議的基本網(wǎng)絡(luò)安全性。它是針對(duì)保護(hù)以防廣泛范圍的網(wǎng)絡(luò)威脅以及引起網(wǎng)絡(luò)故障或提供缺陷服務(wù)從而阻礙其正常運(yùn)行的情形。除了由確保網(wǎng)絡(luò)范圍數(shù)據(jù)保密性、認(rèn)證和完整性的6LoWPAN網(wǎng)絡(luò)安全機(jī)制提供的網(wǎng)絡(luò)安全性之外,它還針對(duì)不僅在正常操作期間而且在諸如路由攻擊或拒絕服務(wù)(DoS)攻擊之類的不同的攻擊下,提供增強(qiáng)的網(wǎng)絡(luò)安全性和可用性。更進(jìn)一步地,必須使新的矢量攻擊和現(xiàn)有威脅的影響最小化。

      此外,這些實(shí)施例中的一些實(shí)施例是針對(duì)作為服務(wù)質(zhì)量(QoS)的第二方面。根據(jù)具有虛擬網(wǎng)絡(luò)的思想,不同的網(wǎng)絡(luò)劃分共享相同的物理介質(zhì)和受約束的設(shè)備,因此它們中的一個(gè)中的這樣的資源的濫用或過度使用可以影響共享資源并且最終影響整個(gè)網(wǎng)絡(luò)的QoS。由于將在下文中所描述的實(shí)施例中的一些實(shí)施例,網(wǎng)絡(luò)擁塞或異?;顒?dòng)不應(yīng)該在其它劃分中具有任何影響,因此保持它們的獨(dú)立性。帶寬控制機(jī)制可以提高網(wǎng)絡(luò)安全性,從而避免共享資源的濫用和過度使用,并且將網(wǎng)絡(luò)效應(yīng)限定在網(wǎng)絡(luò)的特定部分中。此外,網(wǎng)絡(luò)的操作可以通過發(fā)布規(guī)則來增強(qiáng)以有效地使用設(shè)備和網(wǎng)絡(luò)的資源,從而適應(yīng)不同劃分的可用帶寬。

      由本發(fā)明的實(shí)施例確保的另一方面是互操作性。理想地,不知曉新功能性的設(shè)備應(yīng)當(dāng)至少能夠?qū)崿F(xiàn)標(biāo)準(zhǔn)特征并且安全地工作,同時(shí)根據(jù)本發(fā)明的實(shí)施例的設(shè)備利用新功能性。

      最終,所提出的實(shí)施例在操作上是有效的,并且限制附加的開銷量和復(fù)雜性。因此,小網(wǎng)絡(luò)開銷是非常合期望的特征。更進(jìn)一步地,loT由具有非常異構(gòu)的資源的設(shè)備形成,實(shí)施例甚至允許高度受約束的設(shè)備以根據(jù)那些有限的處理和存儲(chǔ)器資源來參與。存儲(chǔ)器約束適用于代碼尺寸(ROM)和數(shù)據(jù)尺寸(RAM)兩者。

      本發(fā)明更尤其地專用于一種在網(wǎng)絡(luò)中通信的通信節(jié)點(diǎn)的方法。這樣的網(wǎng)絡(luò)可以是包括多個(gè)節(jié)點(diǎn)的6LoWPAN網(wǎng)絡(luò)。根據(jù)本發(fā)明的各種實(shí)施例,網(wǎng)絡(luò)的通信節(jié)點(diǎn)屬于各種虛擬網(wǎng)絡(luò)。對(duì)于標(biāo)識(shí)第一數(shù)據(jù)分組是否屬于所考慮的虛擬網(wǎng)絡(luò)的通信節(jié)點(diǎn),可以以最低可能級(jí)別進(jìn)行標(biāo)識(shí),以減少實(shí)現(xiàn)的復(fù)雜性。如將在本發(fā)明的實(shí)施例中更詳細(xì)地所解釋的,該標(biāo)識(shí)可以基于以下各項(xiàng)的一項(xiàng)和/或另一項(xiàng):

      -用于數(shù)據(jù)分組的密碼密鑰;

      -存在于第一數(shù)據(jù)分組中的密碼密鑰標(biāo)識(shí)符;

      -存在于第一數(shù)據(jù)分組中的個(gè)人區(qū)域網(wǎng)絡(luò)標(biāo)識(shí)符;或者

      -用于第一數(shù)據(jù)分組的密碼密鑰和發(fā)送方網(wǎng)絡(luò)地址的組合。

      根據(jù)本發(fā)明的第一實(shí)施例,網(wǎng)絡(luò)包括虛擬網(wǎng)絡(luò),以下被稱為VNet。該描述將基于6LoWPAN,然而其可以適于其它類型的網(wǎng)絡(luò)協(xié)議,諸如Wi-Fi網(wǎng)狀網(wǎng)絡(luò)或具有設(shè)備到設(shè)備通信能力的下一代蜂窩網(wǎng)絡(luò)。

      VNet被定義為6LoWPAN網(wǎng)絡(luò)的邏輯分區(qū),以使得每個(gè)邏輯分區(qū)(網(wǎng)絡(luò)劃分)內(nèi)的通信是獨(dú)立的并且與其它網(wǎng)絡(luò)隔離。更進(jìn)一步地,不同VNet之間的通信只能通過可以與幾個(gè)VNet通信的特定路由器來完成。每個(gè)VNet駐留在主6LoWPAN網(wǎng)絡(luò)內(nèi),并且可以針對(duì)智能城市中的特定用途或服務(wù)進(jìn)行定制。VNet可以不分離(disjoint),但它們可以共享網(wǎng)絡(luò)的部分。

      6LoWPAN中的VNET將使得隔離的邏輯網(wǎng)絡(luò)能夠在與描述的前序部分中所描述的場景相類似的場景中共享相同的部署和物理設(shè)備。這將允許網(wǎng)絡(luò)運(yùn)營商通過重用強(qiáng)大的設(shè)備、隔離網(wǎng)絡(luò)的關(guān)鍵部分、分租現(xiàn)有部署而不影響QoS或甚至擴(kuò)展網(wǎng)絡(luò)覆蓋,來更好地使用現(xiàn)有部署的資源。例如,如果諸如6LBR之類的一些網(wǎng)絡(luò)資源可以支持多個(gè)服務(wù),則可以更好地利用它們。網(wǎng)絡(luò)部署是昂貴的,因此如果其用途不約束于單個(gè)目的或公司,則它們是可以被優(yōu)化的有價(jià)值的資產(chǎn)。通過允許使用相同物理設(shè)備的多個(gè)VNet,我們使得能夠?qū)崿F(xiàn)對(duì)現(xiàn)有部署更好的使用??赡艿膱鼍安患s束于智能城市,而是可以包括諸如BACS或HAN之類的其它網(wǎng)絡(luò)部署。

      因?yàn)榛诂F(xiàn)有標(biāo)準(zhǔn)協(xié)議的方案將使得能夠使用大量的通信節(jié)點(diǎn)并且確?;ゲ僮餍裕运欠浅S欣?。為了實(shí)現(xiàn)該愿景,在本發(fā)明的實(shí)施例中考慮以盡可能最低的級(jí)別隔離不同的VNet。這使得能夠?qū)崿F(xiàn)不同的應(yīng)用域并且以基本級(jí)別來隔離它們。

      在圖3上表示該示例的協(xié)議棧。IEEE 802.15.4安全機(jī)制保護(hù)6LoWPAN的鏈路層和上層。它們可以通過將特定VNet與相同的6LoWPAN中的其它VNet隔離,來潛在地減輕潛在威脅的影響和升級(jí)。附加地,層3機(jī)制用于提供并發(fā)和獨(dú)立的路由結(jié)構(gòu)。不同的RPL全局實(shí)例被綁定到它們特定的VNet,以便允許在受約束的網(wǎng)絡(luò)內(nèi)的并發(fā)路由結(jié)構(gòu),并且最終向每個(gè)VNet提供路由獨(dú)立性。RPL被用于創(chuàng)建IPv6在VNet內(nèi)路由消息所需的路由表;(i)來自VNet本身內(nèi)的設(shè)備,或通過來自(ii)VNet外部或(iii)6LoWPAN外部的適當(dāng)?shù)腞PL根設(shè)備。因此,在具有鏈路層安全性和RPL機(jī)制的組合的相同物理6LoWPAN內(nèi)啟用邏輯隔離域,或者借助于如圖3所描繪的VNET策略征詢(questrate)該邏輯隔離域。

      關(guān)于鏈路層安全機(jī)制,VNet提供有密碼獨(dú)立性,該密碼獨(dú)立性涉及向網(wǎng)絡(luò)中的每個(gè)VNet提供不同的安全機(jī)制(例如,不同的密鑰材料)。因?yàn)楸C苄詸z查、認(rèn)證檢查和完整性檢查是VNet特定的并且每個(gè)VNet的業(yè)務(wù)也將被加密隔離,所以這可以提高VNet安全性。更進(jìn)一步地,設(shè)備折衷效應(yīng)可以僅被約束于某些VNet。最后,因?yàn)橹挥型ㄟ^確保密碼檢查的正確性才能將業(yè)務(wù)檢查為屬于特定VNet,所以它可以提高操作效率,從而允許有效的VNet特定的策略檢查。例如,VNet范圍的密鑰將允許消息完整性代碼(MIC)檢查以確保發(fā)送方被允許進(jìn)入VNet??商娲?,VNet特定的成對(duì)密鑰方案允許設(shè)備檢查先前的條件并且附加地對(duì)通信設(shè)備進(jìn)行身份認(rèn)證。成對(duì)密鑰方案也可以應(yīng)用于網(wǎng)絡(luò)本身,從而允許設(shè)備對(duì)之間的安全鏈路。盡管涉及更高的資源需求,但是使用成對(duì)密鑰提供更高的彈性(resilience)。

      此外,可以使用具有由IEEE 802.15.4-2006規(guī)范提供的最高安全程度的密碼原語,也就是CCM模式中的AES-128,以提供保密性和數(shù)據(jù)真實(shí)性。可以考慮綁定到每個(gè)VNet的網(wǎng)絡(luò)范圍的密鑰或成對(duì)的密鑰。雖然后者提供有基于逐跳幀保護(hù)的改進(jìn)的安全性,但是它們還具有比網(wǎng)絡(luò)范圍的密鑰更高的密鑰管理復(fù)雜性、通信開銷和存儲(chǔ)器足跡(footprint)。其它網(wǎng)絡(luò)可以使用與CCM模式的AES不同的其它類型的加密和認(rèn)證算法。

      在下文中,考慮VNet范圍的密鑰,以提供密碼手段來檢查VNet成員資格的正確性并且在每個(gè)設(shè)備的基礎(chǔ)上保護(hù)VNet業(yè)務(wù)。這使得VNet能夠作為鏈路層構(gòu)造;設(shè)備僅能夠成功地發(fā)送并且接收這些設(shè)備針對(duì)其具有適當(dāng)?shù)拿荑€材料的幀。更進(jìn)一步地,多個(gè)并發(fā)路由結(jié)構(gòu)可以綁定到每個(gè)VNet。附加地,作為保證VNet獨(dú)立操作的手段,層3構(gòu)造與鏈路層(層2)構(gòu)造直接有關(guān)。

      在L2處使用成對(duì)密鑰并且這些成對(duì)密鑰獨(dú)立于VNET的情況下,在L2處交換的消息需要包括鏈接到VNET的標(biāo)識(shí)符。該標(biāo)識(shí)符允許處理傳入消息的節(jié)點(diǎn)執(zhí)行傳入消息的源驗(yàn)證,然后通過檢查將鄰居節(jié)點(diǎn)映射到它們所在的VNET的VNET策略,來驗(yàn)證消息的發(fā)送方是否被允許在給定VNET中發(fā)送消息。如果使用VNET密鑰或成對(duì)的VNET密鑰,則該策略對(duì)于密碼驗(yàn)證是隱式的。

      預(yù)期鏈路層網(wǎng)絡(luò)范圍的密鑰(在這種情況下,作為VNet范圍的密鑰)和獨(dú)立于層3的路由機(jī)制的組合滿足除QoS之外的所有需要的功能性,其可以使用特定的鏈路層或?qū)?策略來解決。

      圖4示出了根據(jù)本發(fā)明的該實(shí)施例操作的網(wǎng)絡(luò)。在該圖4上,不同的VNet(VNet A和Vnet B)在6LoWPAN網(wǎng)絡(luò)中共存。設(shè)備D可以屬于多個(gè)VNet并且在它們之間或者經(jīng)由路由器(在這里是6LoWPAN邊界路由器(6LBR))與因特網(wǎng)主機(jī)H進(jìn)行通信。

      為了創(chuàng)建這樣的網(wǎng)絡(luò),需要執(zhí)行通信節(jié)點(diǎn)的調(diào)試。該調(diào)試根據(jù)圖5所圖示的幾個(gè)階段完成。使用鏈路層和路由機(jī)制使得能夠?qū)崿F(xiàn)其調(diào)試和操作階段期間的6LoWPAN中的VNet。

      如圖5(a)所描繪的,假設(shè)啟用VNet的網(wǎng)絡(luò)具有用于網(wǎng)絡(luò)調(diào)試的開放但受控的默認(rèn)VNet,所有設(shè)備都可訪問該默認(rèn)VNet。該VNet僅用于向加入設(shè)備提供本地IP連接性,以便與網(wǎng)絡(luò)控制器通信,這些加入設(shè)備被假定為用于適當(dāng)實(shí)例的RPL根。然后,如圖5(b)所描繪的,控制器可以創(chuàng)建安全關(guān)聯(lián)并且傳輸適當(dāng)?shù)陌踩珣{證以在附加的VNet中操作。后者可以使用DTLS協(xié)議完成以相互進(jìn)行身份驗(yàn)證,其通過安全信道提供安全E2E VNet策略分發(fā)的安全保證。在此之后,如圖5(c)所描繪的,加入設(shè)備可以成功地加入適當(dāng)?shù)牟僮鱒Net。

      在一些情形中,只有網(wǎng)絡(luò)中的一些節(jié)點(diǎn)將具有支持多個(gè)VNET(整個(gè)聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一部分)的能力,同時(shí)其它節(jié)點(diǎn)(例如,給定應(yīng)用垂直的端節(jié)點(diǎn),例如,智能能源)將只想要重用網(wǎng)絡(luò)基礎(chǔ)設(shè)施。在這種情況下,給定應(yīng)用垂直的節(jié)點(diǎn)將基于諸如具有中繼能力的PAN/EAP或DTLS之類的協(xié)議來進(jìn)行網(wǎng)絡(luò)接入過程,該節(jié)點(diǎn)允許在實(shí)際網(wǎng)絡(luò)加入之前聯(lián)系網(wǎng)絡(luò)運(yùn)營商。網(wǎng)絡(luò)運(yùn)營商然后將驗(yàn)證加入設(shè)備的身份并且向加入設(shè)備分配所分配的VNET的對(duì)應(yīng)網(wǎng)絡(luò)參數(shù)。網(wǎng)絡(luò)運(yùn)營商還可以在基礎(chǔ)設(shè)施節(jié)點(diǎn)中創(chuàng)建VNET,以使給定應(yīng)用垂直的加入節(jié)點(diǎn)可以通過其自己的VNET進(jìn)行通信。

      在以下示例中,將詳述如何針對(duì)并發(fā)VNet、VNet路由和尋址機(jī)制提供網(wǎng)絡(luò)分段和隔離以及如何在設(shè)備操作階段期間使得能夠?qū)崿F(xiàn)分布式帶寬控制機(jī)制。簡化的生命周期不直接處理離開VNet的設(shè)備,而是假設(shè)一般的VNet密鑰更新不包括適當(dāng)?shù)脑O(shè)備。這可以通過使用具有控制器(網(wǎng)絡(luò)運(yùn)營商)的控制VNet和E2E安全關(guān)聯(lián)來實(shí)現(xiàn),但是它可以進(jìn)一步集成到使用更好的組密鑰管理機(jī)制和有效的參數(shù)分布的其它生命周期備選方案中。

      為了在鏈路層確定幀屬于哪個(gè)VNet,可以利用幾種機(jī)制。所考慮的第一選項(xiàng)是要使用內(nèi)部標(biāo)記機(jī)制。該機(jī)制將在IEEE 802.15.4幀上添加特定字段。然而,這種方案的主要缺點(diǎn)是它要求新的非標(biāo)準(zhǔn)字段的規(guī)范,這些字段在沒有顯式VNet支持的情況下不會(huì)被設(shè)備識(shí)別。因此,這種方案沒有實(shí)現(xiàn)我們的互操作性目標(biāo)。假定網(wǎng)狀網(wǎng)絡(luò)中的設(shè)備還可以充當(dāng)路由器,則要求所有可能的路由器都支持新的功能性。以下討論的選項(xiàng)是重用現(xiàn)有標(biāo)準(zhǔn)特征但是當(dāng)多個(gè)VNet被設(shè)備識(shí)別時(shí)擴(kuò)展它們功能性的選項(xiàng)。這種方案的優(yōu)點(diǎn)是,嚴(yán)格使用標(biāo)準(zhǔn)特征的設(shè)備能夠成為沒有任何邏輯改變的VNet中的一個(gè)VNet的一部分。相反,目標(biāo)在于同時(shí)成為多于一個(gè)的VNet中的一部分的設(shè)備需要適應(yīng)其協(xié)議邏輯以便管理并發(fā)的VNet。我們專注于存在于IEEE 802.15.4標(biāo)準(zhǔn)中的兩個(gè)字段的適用性。

      第一個(gè)是PAN-ID,其是每個(gè)獨(dú)立的個(gè)人區(qū)域網(wǎng)(PAN)所選擇的唯一號(hào)碼。該P(yáng)AN-ID允許使用短地址在網(wǎng)絡(luò)內(nèi)的設(shè)備之間進(jìn)行通信,并且使得能夠在跨獨(dú)立網(wǎng)絡(luò)的設(shè)備之間進(jìn)行傳輸。

      所考慮的第二字段是密鑰標(biāo)識(shí)符。它是輔助安全報(bào)頭的可變長度子字段,其標(biāo)識(shí)用于幀的密碼保護(hù)的密鑰。其允許不同密鑰發(fā)起方的唯一標(biāo)識(shí)和不同的密鑰索引以支持網(wǎng)絡(luò)中的不同的并發(fā)密鑰材料。與先前的方法相反,所有VNet共享被指定為相同6LoWPAN的一部分的相同的PAN-ID。不同的VNet由它們的幀的密鑰標(biāo)識(shí)符來區(qū)分。因此,設(shè)備可以僅偵聽特定的6LoWPAN,并且忽略其余幀。然后,設(shè)備可以取決于在幀中使用的密鑰標(biāo)識(shí)符來區(qū)分不同的VNet,并且使用用于驗(yàn)證幀的適當(dāng)密鑰(如果可用的話)。使用密鑰標(biāo)識(shí)符在每個(gè)幀的基礎(chǔ)上添加一些額外的比特。

      在密鑰管理和存儲(chǔ)器用途方面,假定在任何情況下,具有鏈路層隔離要求的設(shè)備對(duì)于每個(gè)VNet需要具有不同的密鑰,則兩種方案均有類似的要求。使用不同PAN標(biāo)識(shí)符的方案具有更多的過濾/信道選擇復(fù)雜性,而使用密鑰標(biāo)識(shí)符的方案具有稍高的網(wǎng)絡(luò)開銷。更進(jìn)一步地,后者不考慮PAN-ID而操作。其簡單性以增加由于密鑰標(biāo)識(shí)符字段導(dǎo)致的一些每幀開銷為代價(jià);但是它將VNet規(guī)范封裝到MAC層(層2),而不對(duì)物理層(層1)進(jìn)行任何改變。該方案還提供了一種更通用的方案來區(qū)分VNet,該方案可以在大型部署中添加、合并或刪除VNet的同時(shí)提供更高的靈活性。

      優(yōu)選地,VNet因此在密鑰標(biāo)識(shí)符上不同,但是可以使用相同的PAN-ID。因?yàn)槠浜唵涡圆⑶乙驗(yàn)樗裱瓎蝹€(gè)6LoWPAN的多個(gè)虛擬分區(qū)的設(shè)計(jì)概念(也就是具有相同的PAN-ID的網(wǎng)絡(luò)的邏輯子劃分),所以該選項(xiàng)是有利的。IEEE 802.15.4網(wǎng)絡(luò)范圍的密鑰用作VNet范圍的密鑰,并且它們的密鑰標(biāo)識(shí)符指定密鑰所屬的VNet及其版本。因此,密鑰源用作VNet標(biāo)識(shí)符。

      在IEEE 802.15.4中,密鑰標(biāo)識(shí)符是指定用于保護(hù)特定幀的幀的子字段。它被劃分為密鑰源和密鑰索引。密鑰源可以用于指定密鑰所屬的VNet,并且指定作為密鑰版本號(hào)的密鑰索引。這允許在單個(gè)網(wǎng)絡(luò)(由不同的密鑰源所表示的)中共存多個(gè)VNet并且允許通過密鑰索引升級(jí)(即,密鑰版本號(hào))獨(dú)立地在每個(gè)VNet中完成的密鑰刷新。具有來自一個(gè)或多個(gè)VNet的密鑰材料的設(shè)備可以識(shí)別不同的密鑰源并且能夠使用適當(dāng)?shù)拿荑€材料1安全地處理這樣的消息。相反,假定安全檢查失敗,則來自不具有正確密鑰材料的設(shè)備的消息由下一跳鄰居丟棄。在不支持VNet的設(shè)備的情況下,它仍然可以是單個(gè)VNet的一部分。只要它支持來自IEEE標(biāo)準(zhǔn)的密鑰標(biāo)識(shí)符模式,這就是可能的。設(shè)備能夠處理針對(duì)其已知適當(dāng)?shù)拿荑€材料的受保護(hù)消息,其使得該方案適合于一些設(shè)備可能不能支持VNet邏輯的場景。例如,非常受約束的或舊的設(shè)備。如果使用專用VNET進(jìn)行調(diào)試,則在網(wǎng)絡(luò)調(diào)試期間,支持單個(gè)VNet的設(shè)備仍然可以與控制器通信,但是一旦它們加入另一個(gè)VNet,則無法進(jìn)行該操作。相反,啟用VNet的設(shè)備仍然可以使用默認(rèn)VNet,以便允許未來加入設(shè)備到達(dá)網(wǎng)絡(luò)控制器。如果使用PANA/EAP或另一應(yīng)用級(jí)協(xié)議的網(wǎng)絡(luò)訪問過程,則設(shè)備可以總是到達(dá)應(yīng)用層處的控制器。

      在本發(fā)明的各種示例中,因?yàn)樵试S由密鑰源字段(4字節(jié))定義的多個(gè)VNet(高達(dá)232個(gè))和密鑰索引字段(1字節(jié))中的多個(gè)密鑰索引,所以可以假設(shè)密鑰標(biāo)識(shí)符模式值為2。由于其較高的尺寸和由此而來的每個(gè)分組開銷,密鑰標(biāo)識(shí)符模式3較少被考慮,即使如果在相同網(wǎng)絡(luò)中要并發(fā)使用多于232個(gè)VNet可以使用它。使用模式1不包括密鑰源字段,但是替代地利用默認(rèn)密鑰源從密鑰索引得到適當(dāng)?shù)拿荑€??梢允褂妹荑€索引來指定幀的VNet。但是,因?yàn)橹匾氖潜3稚?jí)密鑰的能力以防它們被折衷,所以這種方案不太優(yōu)選用于VNet。典型地,這使用網(wǎng)絡(luò)中不同密鑰版本的密鑰索引來完成。當(dāng)查看來自多于一個(gè)VNet的業(yè)務(wù)時(shí),不知曉VNet邏輯的設(shè)備可能將較小的密鑰索引誤解析是在網(wǎng)絡(luò)中使用的舊密鑰。

      在圖6中描繪了用于正確標(biāo)識(shí)并且檢查作為特定VNet的一部分的傳入幀的VNet邏輯。在接收到IEEE 802.15.4幀時(shí),VNet邏輯使用密鑰源子字段(1)。密鑰源用作VNet標(biāo)識(shí)符,并且確定幀屬于哪個(gè)VNet。如果接收設(shè)備已知VNet,則用于這種VNet的適當(dāng)?shù)拿荑€材料被加載到IEEE 802.15.4安全子層(2)上。然后,如由IEEE 802.15.4標(biāo)準(zhǔn)安全字段(3)所指令的,檢查該幀;取決于安全字段,可以不同地保護(hù)幀,例如,默認(rèn)VNet甚至不被保護(hù)。成功后,如果需要,則幀被傳遞到上層協(xié)議用于進(jìn)一步處理(4)。如果檢查在(3)中失敗或在(1)中沒有找到合適的VNet,則假定幀無效并且丟棄。因此,在鏈路層處區(qū)分不同的VNet,并且使用鏈路層密碼機(jī)制來隔離并且保護(hù)它們的幀。

      能夠訪問一個(gè)或多個(gè)VNet的設(shè)備能夠正確地發(fā)送并且接收安全鏈路層消息,該設(shè)備保護(hù)安全鏈路層消息并且確保其有效性。在下文中,我們描述作為層3中的鏈路層構(gòu)造和路由構(gòu)造的VNet之間的關(guān)系以啟用VNet。為了使跨層從屬性最小化,該設(shè)計(jì)優(yōu)先使用僅從緊鄰層可獲得的協(xié)議信息。理想地,上層協(xié)議應(yīng)該不知曉在鏈路層發(fā)生的情況,反之亦然。主要原因是遵守當(dāng)前的標(biāo)準(zhǔn)定義和協(xié)議用途,更進(jìn)一步地,它導(dǎo)致更容易的應(yīng)用設(shè)計(jì)和協(xié)議適用。

      假定在鏈路層中完成VNet隔離,則不同的VNet必須被上層看作為獨(dú)立的網(wǎng)絡(luò),這些網(wǎng)絡(luò)中的每個(gè)網(wǎng)絡(luò)具有它們自己的路由結(jié)構(gòu)。除非該設(shè)備還可以訪問它們,否則因?yàn)樯蠈硬粫?huì)接收旨在用于其它VNet的任何消息,所以應(yīng)這樣做。即使在可訪問多于一個(gè)VNet的設(shè)備中,各個(gè)VNet行為應(yīng)該保持相互獨(dú)立,以便維護(hù)隔離和網(wǎng)絡(luò)分段。

      路由機(jī)制必須知曉不同的VNet及其獨(dú)立性。更進(jìn)一步地,上層協(xié)議需要一種機(jī)制來選擇消息將被發(fā)送到的VNet。因此,VNet不僅應(yīng)當(dāng)獨(dú)立地在鏈路層處而且在上層邏輯處起作用。

      因此,提出了一種例如在層2處的鏈路層構(gòu)造(VNet)和層3構(gòu)造(即,IPv6及其對(duì)應(yīng)的機(jī)制)之間的綁定。RPL全局實(shí)例允許相同網(wǎng)絡(luò)中的不同路由結(jié)構(gòu)。然后,每個(gè)VNet可以具有其對(duì)應(yīng)的RPL實(shí)例,該RPL實(shí)例要用于在這種VNet中路由消息。可以基于諸如MPL等之類的其它路由協(xié)議來創(chuàng)建類似的方案。

      RPL規(guī)范沒有詳細(xì)說明如何并發(fā)使用RPL實(shí)例。該方案不僅允許鏈路層隔離,而且允許每個(gè)VNet中的不同路由結(jié)構(gòu)和地址空間。RPL路由機(jī)制和結(jié)構(gòu)可以用于分發(fā)網(wǎng)絡(luò)配置參數(shù)。例如,DIO消息可以攜帶PIO。PIO是被用于在IPv6無狀態(tài)地址自動(dòng)配置(SLAAC)的DODAG內(nèi)部,分發(fā)使用中的前綴。

      這準(zhǔn)許向加入VNet的設(shè)備自動(dòng)分配IPv6地址;但是用于IP地址分配和網(wǎng)絡(luò)配置的其它過程(諸如6LoWPAN的鄰居發(fā)現(xiàn)優(yōu)化)也是可能的。因此,6LoWPAN外部的主機(jī)可以與不同VNet中的設(shè)備通信。設(shè)備具有多個(gè)IPv6全局地址,該多個(gè)IPv6全局地址具有確定VNet(和RPL實(shí)例)的不同的前綴。

      通信節(jié)點(diǎn)可以具有用于管理網(wǎng)狀網(wǎng)絡(luò)內(nèi)的不同路由結(jié)構(gòu)的多個(gè)RPL實(shí)例。它們中的每一個(gè)與它們?cè)?LoWPAN內(nèi)部的它們自己的子網(wǎng)絡(luò)上的對(duì)應(yīng)的IPv6地址相關(guān)聯(lián)。這樣,上層協(xié)議能夠取決于消息的目標(biāo)VNet使用不同的IPv6地址,并且這些消息使用不同的路由結(jié)構(gòu)(RPL實(shí)例)。VNet策略包括相關(guān)聯(lián)的RPL實(shí)例,以使鏈路層被綁定到其相應(yīng)的層3結(jié)構(gòu)。

      因此,當(dāng)傳出消息到達(dá)鏈路層時(shí),需要特定VNet邏輯來標(biāo)識(shí)要用于傳出業(yè)務(wù)的適當(dāng)?shù)腣Net。如之前所參照的,希望通過特定VNet發(fā)送數(shù)據(jù)的上層協(xié)議必須選擇適當(dāng)?shù)脑碔Pv6地址來使用。上層協(xié)議或6LoWPAN之外的設(shè)備所使用的地址是IPv6全局地址,并且可以選擇與IPv6前綴匹配的他們對(duì)應(yīng)的RPL實(shí)例(和VNet)。然后,傳出幀到達(dá)鏈路層,其中,該傳出幀使用適當(dāng)?shù)拿荑€材料而被保護(hù)并且被發(fā)送到下一跳。

      如圖7所示,當(dāng)設(shè)備使用IPv6全局地址和VNet發(fā)送消息(傳出業(yè)務(wù))時(shí),標(biāo)識(shí)三種可能的業(yè)務(wù)類型。從設(shè)備的角度來看,該類型是:已生成的業(yè)務(wù)、已路由的業(yè)務(wù)和VNet間業(yè)務(wù)。值得注意的是,因?yàn)橄乱惶⒉皇躀EEE 802.15.4鏈路層的保護(hù),所以不考慮要在下一跳中的6LoWPAN外部(或VNet外部)路由的業(yè)務(wù)。如果那些消息需要保證安全(secure),則可以考慮用于常規(guī)因特網(wǎng)業(yè)務(wù)的其它方案,諸如IPsec或DTLS。

      所生成的業(yè)務(wù)直接從通信節(jié)點(diǎn)本身發(fā)送。該業(yè)務(wù)已經(jīng)在通信節(jié)點(diǎn)中生成,并且例如具有屬于通信節(jié)點(diǎn)的IPv6全局地址作為源地址。

      路由業(yè)務(wù)起源于一些其它主機(jī),并且使用所考慮的設(shè)備到達(dá)其最后目的,例如,設(shè)備#1通過設(shè)備#2發(fā)送消息。該消息由設(shè)備#2接收并且在鏈路級(jí)上被檢查。然后,IPv6基于由RPL提供的路由表處理該消息以確定下一跳鄰居。在這種情況下,當(dāng)消息被VNet層接收時(shí),消息被成功處理,因此優(yōu)選選項(xiàng)是要假設(shè)與其源地址相關(guān)聯(lián)的VNet是已知的。如果假設(shè)是正確的,則設(shè)備能夠僅基于幀的源地址找到合適的VNet。這對(duì)于發(fā)起于源地址VNet內(nèi)部的業(yè)務(wù)是對(duì)的。如果那不可能的,則假定消息在接收時(shí)由VNet層正確處理,備選方案要定位與目的地址相關(guān)聯(lián)的VNet。這種情況發(fā)生在從VNet外部路由到VNet內(nèi)的某個(gè)設(shè)備的業(yè)務(wù),例如,來自因特網(wǎng)的業(yè)務(wù)。

      最后的業(yè)務(wù)類型是VNet間業(yè)務(wù),其發(fā)生在非常特定的設(shè)備中,即,路由器設(shè)備,其是多于一個(gè)VNet的RPL根。這些設(shè)備可以接收要從一個(gè)VNet路由到另一個(gè)VNet的業(yè)務(wù)。例如,設(shè)備可以將業(yè)務(wù)從VNet#1路由到VNet#2,反之亦然。通信節(jié)點(diǎn)能夠使用目的地址來確定適當(dāng)?shù)腣Net。

      為了維護(hù)VNet路由隔離,不允許正常設(shè)備將消息轉(zhuǎn)發(fā)到除了在其上接收到消息的VNet之外的不同VNet。因此,這種業(yè)務(wù)必須被發(fā)送到由消息的源地址(如果可能的話)確定的VNet,否則被發(fā)送到目的地址,這實(shí)際上將這種業(yè)務(wù)視為路由業(yè)務(wù)。

      如之前所解釋的,參與不同VNet的設(shè)備可以具有多個(gè)IPv6地址,IPv6地址中的每個(gè)通過不同的RPL實(shí)例而被路由,并且在某個(gè)VNet內(nèi)被隔離。出于其簡單性并且容易與RPL機(jī)制組合,考慮將IPv6地址分配給不同VNet上的每個(gè)設(shè)備的機(jī)制被假設(shè)為SLAAC。因此,接收DIO消息的設(shè)備可以獲知在該實(shí)例中(IPv6前綴)使用的定向非循環(huán)圖(DAG)前綴,并且為該VNet分配其唯一的IPv6地址。其它方法也是可能的。例如,使用PANA/EAP或DTLS來聯(lián)系網(wǎng)絡(luò)運(yùn)營商并且加入網(wǎng)絡(luò)的設(shè)備可以直接在應(yīng)用層處與其余的VNET參數(shù)一起接收其IP地址。

      IPv6地址結(jié)構(gòu)取決于網(wǎng)絡(luò)運(yùn)營商,在這里我們例示IPv6子網(wǎng)絡(luò)綁定到特定VNet的方案,以便更容易在IP級(jí)區(qū)分VNet。在示例中,6LoWPAN網(wǎng)絡(luò)可以使用將網(wǎng)絡(luò)與因特網(wǎng)橋接的邊界路由器與因特網(wǎng)通信,該邊界路由器例如是6LoWPAN邊界路由器(6LBR)。6LBR(例如,由ISP)分配有可以從其分配許多子網(wǎng)的/48范圍內(nèi)的IPv6地址。網(wǎng)絡(luò)運(yùn)營商已經(jīng)定義了默認(rèn)VNet(VNet A),其覆蓋整個(gè)6LoWPAN并且已經(jīng)被綁定到通告(advertise)以“A”結(jié)尾的IPv6前綴的RPL實(shí)例。例如,該VNet可以用作網(wǎng)絡(luò)管理和配置VNet,網(wǎng)絡(luò)運(yùn)營商通過網(wǎng)絡(luò)管理和配置VNet完全控制網(wǎng)絡(luò);或作為用于自動(dòng)調(diào)試的開放式VNet。

      更進(jìn)一步地,另外兩個(gè)VNet可以被配置成通告分別以“B”和“C”結(jié)尾的前綴,VNet B和VNet C。兩個(gè)VNet均從租(sub-rent)給第三方公司,該第三方公司然后可以重用網(wǎng)絡(luò)的某些部分。在此設(shè)置中,所有VNet共享充當(dāng)多個(gè)RPL實(shí)例的RPL根的相同設(shè)備。這可以簡化不同VNet之間的通信。

      在相同的示例中,三個(gè)不同設(shè)備的IPv6地址被視為VNet IPv6尋址的說明性示例。假設(shè)設(shè)備1,2和3具有分別以1,2和3結(jié)尾的鏈路本地地址,以便簡化示例。設(shè)備1屬于VNet A和VNet B,因此能夠接收包含用于那些VNet的前綴信息的DIO消息,并且因此在初始網(wǎng)絡(luò)設(shè)置過程之后形成兩個(gè)RPL實(shí)例的一部分。一旦網(wǎng)絡(luò)被設(shè)置,設(shè)備1就基于分別用于VNet A和VNet B的不同的VNet前綴(即,2001:0db8:0000:000A::1和2001:0db8:0000:000B::1)來配置兩個(gè)不同的IPv6地址。與其通信的另一設(shè)備可以使用它們中的任一個(gè)來尋址它,并且消息在適當(dāng)?shù)腣Net內(nèi)被路由以及隔離。

      類似地,使用其3個(gè)IPv6地址中的一個(gè),設(shè)備2可以在所有的VNet中到達(dá),并且設(shè)備3可以在VNet A和VNet C中到達(dá)。先前的地址基于所通告的網(wǎng)絡(luò)前綴和鏈路本地地址使用SLAAC進(jìn)行配置。

      即使已經(jīng)關(guān)注每個(gè)設(shè)備的約束,也值得注意的是,在該示例中,進(jìn)一步的應(yīng)用級(jí)(application-wise)的約束可以應(yīng)用于更高級(jí)別,例如,OS級(jí)別。例如,設(shè)備2可以將在VNet A范圍內(nèi)的IP的存在隱藏到不是來自網(wǎng)絡(luò)運(yùn)營商或者不具有正確的OS準(zhǔn)許的應(yīng)用。

      但是,到目前為止所考慮的業(yè)務(wù)不包括由某些IPv6子層操作(諸如網(wǎng)絡(luò)設(shè)置)產(chǎn)生的業(yè)務(wù)。用于這些機(jī)制的IPv6地址是不與任何VNet共享IPv6前綴的鏈路本地地址。例如,這發(fā)生在諸如SLAAC(其是鄰居發(fā)現(xiàn)協(xié)議的部件)或其它基于IPv6的協(xié)議(比如RPL或DHCPv6)之類的機(jī)制。值得注意的是,鏈路本地地址不提供要用于VNet標(biāo)識(shí)的有意義的信息,因此需要使用來自上層的額外信息的另一機(jī)制。

      來自不同VNet的業(yè)務(wù)不能通過它們的鏈路本地地址區(qū)分。為了提供用于鏈路本地業(yè)務(wù)的VNet標(biāo)識(shí),需要使用上層信息。6LoWPAN網(wǎng)絡(luò)中的鏈路本地業(yè)務(wù)的典型源是由負(fù)責(zé)向網(wǎng)絡(luò)設(shè)備提供全局IP地址的IPv6子層所生成的業(yè)務(wù)。RPL業(yè)務(wù)要用于設(shè)置路由結(jié)構(gòu)以及用于分發(fā)前綴信息以執(zhí)行無狀態(tài)地址自動(dòng)配置(SLAAC)操作。在圖8中描繪了標(biāo)識(shí)過程,并且還可以擴(kuò)展到利用鏈路本地地址的其它協(xié)議(例如,6LoWPAN的優(yōu)化鄰居發(fā)現(xiàn))。

      RPL業(yè)務(wù)由三種消息組成:DODAG信息征詢(DIS)、目的通告對(duì)象(DAO)和DODAG信息對(duì)象(DIO)消息。最后兩個(gè)消息用于設(shè)置路由結(jié)構(gòu)并且傳播網(wǎng)絡(luò)路由參數(shù),該參數(shù)諸如路由、定時(shí)器值、RPL實(shí)例ID或DODAG ID。因此,即使DAO消息和DIO消息具有鏈路本地地址作為源和目的,它們也屬于特定的RPL實(shí)例。發(fā)送這種消息的設(shè)備可以從其所屬的VNet的消息字段(諸如RPL實(shí)例ID或DODAG ID)中獲知。通過定義,因?yàn)镈IS消息正在探測(cè)消息以從相鄰設(shè)備征詢可用的RPL信息,所以該DIS消息沒有綁定到任何DODAG或RPL實(shí)例。因此,在不做出某些假設(shè)的情況下這些消息不能被路由到特定VNet。

      DIS消息的VNet標(biāo)識(shí)取決于網(wǎng)絡(luò)配置,并且要最終由網(wǎng)絡(luò)運(yùn)營商確定。DIS消息可以分配為僅發(fā)送到先前指定的默認(rèn)VNet,或者它們甚至可以發(fā)送到設(shè)備已知的所有VNet。當(dāng)適當(dāng)?shù)拿荑€材料可用時(shí),這極大地阻礙了快速加入新VNet的能力。因此,只有在沒有其它VNet可用時(shí),設(shè)備才能將DIS消息發(fā)送到默認(rèn)VNet。

      一旦設(shè)備在默認(rèn)VNet中具有IP連接性,則它可以與網(wǎng)絡(luò)控制器通信,以便接收適當(dāng)?shù)腣Net參數(shù)(策略),以安全地使用受保護(hù)的VNet。每個(gè)VNet都有其策略,即定義其行為和功能的一組規(guī)則、約束和被允許的行為。

      可以區(qū)分兩種策略,即,稱之為鏈路層安全參數(shù)的那些策略和將VNet綁定到RPL的并且定義它們?nèi)绾谓换サ哪切┎呗浴?/p>

      在接收到用于除了默認(rèn)VNet之外的特定VNet這樣的策略之后,設(shè)備可以正確地從其發(fā)送并且接收消息,從而進(jìn)入其操作階段。更進(jìn)一步地,在維護(hù)期間,設(shè)備仍然可以使用默認(rèn)VNet和E2E安全連接與控制器通信。值得注意的是,不啟用VNet邏輯的設(shè)備仍然可以使用默認(rèn)VNet來獲取額外的VNet策略,但是失去與默認(rèn)VNet的連接性。通過使用標(biāo)準(zhǔn)機(jī)制和字段來促進(jìn)非VNet設(shè)備的集成。

      考慮基于IEEE 802.15.4協(xié)議的鏈路層安全參數(shù),但是它可以擴(kuò)展到諸如802.11之類的其它鏈路層。第一配置參數(shù)是VNet在MAC子層中提供的安全級(jí)別。指定有效值,并且提供用于不同的密鑰尺寸的數(shù)據(jù)真實(shí)性和/或保密性。例如,所提供的最大安全級(jí)別是在CCM操作模式中使用AES-128位提供數(shù)據(jù)加密和真實(shí)性的安全級(jí)別。另一配置參數(shù)是密鑰標(biāo)識(shí)符模式,如先前所解釋的,可以設(shè)想使用模式2作為默認(rèn)值。

      更進(jìn)一步地,VNet具有相關(guān)聯(lián)的密鑰源值,其充當(dāng)VNet標(biāo)識(shí)符字段。最后但同樣重要的是,VNet還需要指定要用于安全操作的密鑰材料。在我們的設(shè)計(jì)中,這是VNet范圍的密鑰??商娲兀琕NET需要指定哪些相鄰設(shè)備與哪個(gè)VNET相關(guān)聯(lián),以使在基于L2處的成對(duì)密鑰的設(shè)備認(rèn)證之后,其可以驗(yàn)證設(shè)備是否被允許在給定的VNET中交換信息。

      RPL相關(guān)參數(shù)確定VNet如何與RPL協(xié)議交互。VNet具有作為配置參數(shù)的RPL實(shí)例ID,該參數(shù)確定與其業(yè)務(wù)相關(guān)聯(lián)的RPL實(shí)例。更進(jìn)一步地,還可以將給予RPL DAG信息征詢(DIS)消息的處理指定到RPL實(shí)例ID。如更早所解釋的,DIS消息不能直接綁定到特定VNet,因此確定在VNet中是否允許DIS消息的配置參數(shù)是方便的。

      更進(jìn)一步地,還有影響VNet但是對(duì)RPL特定的并且是DODAG標(biāo)識(shí)符的另一重要參數(shù),該重要參數(shù)在RPL設(shè)置過程中被通告并且在SLAAC中用作分配IPv6地址的網(wǎng)絡(luò)前綴。

      在本發(fā)明的變型中,還提出了一種分布式機(jī)制,以確保整個(gè)網(wǎng)絡(luò)的QoS,通過這種方式使得可以控制公共網(wǎng)絡(luò)的VNet使用,并且將負(fù)面影響約束到某些VNet和/或網(wǎng)絡(luò)的區(qū)域。所采用的方案已經(jīng)關(guān)注于提供具有盡可能少的狀態(tài)并且使用很少的配置參數(shù)來執(zhí)行輕量計(jì)算的可擴(kuò)展和輕量方案。QoS機(jī)制的執(zhí)行在可信設(shè)備上或在整個(gè)網(wǎng)絡(luò)上的設(shè)備的可信部分上本地完成。如果設(shè)備的可信部分與上層正確隔離(例如,借助于沙箱技術(shù)),則設(shè)備的可信部分可以是最低層(L2和L3)。假定相鄰設(shè)備檢測(cè)到違反QoS策略并且相應(yīng)地行動(dòng),則惡意設(shè)備的影響被局部化并且限定在網(wǎng)絡(luò)區(qū)域中。

      所考慮的變型必須確保不同的VNet公平地共享公共網(wǎng)絡(luò)資源或允許對(duì)其中一些網(wǎng)絡(luò)資源施加限制,以使它們不會(huì)過度影響整個(gè)網(wǎng)絡(luò)。例如,默認(rèn)VNet可能僅在初始調(diào)試階段期間允許高數(shù)據(jù)速率,或者由于合同條件,某些VNet可能需要在帶寬方面受到約束。更進(jìn)一步地,所考慮的業(yè)務(wù)是具有可變比特率(VBR),該業(yè)務(wù)在網(wǎng)絡(luò)業(yè)務(wù)中是典型的。

      業(yè)務(wù)基于其VNet ID進(jìn)行分類和控制,應(yīng)用策略由網(wǎng)絡(luò)運(yùn)營商分發(fā),并且由VNet中的最大數(shù)據(jù)速率和最大突發(fā)尺寸組成。突發(fā)尺寸是在可以暫時(shí)違反速率約束的單個(gè)發(fā)送中所允許的最大業(yè)務(wù)量。所使用的業(yè)務(wù)調(diào)度是先進(jìn)先出(FIFO),并且丟棄違反策略的那些分組來完成業(yè)務(wù)整形。值得注意的是,強(qiáng)大的設(shè)備還可以在丟棄惡意數(shù)據(jù)分組之前,在一段時(shí)間內(nèi)對(duì)它們進(jìn)行排隊(duì),但這種方案是出于其簡單性而被采用。由于受約束的網(wǎng)絡(luò)的限制,所丟棄的分組剛好看起來是丟失的。

      此外,它可以被認(rèn)為是令牌桶帶寬控制機(jī)制,該機(jī)制將被應(yīng)用為VNet特定的策略,并且由已經(jīng)啟用該邏輯的設(shè)備在每一跳中本地執(zhí)行。因?yàn)檫x擇令牌桶機(jī)制對(duì)于具有突發(fā)模式和VBR的業(yè)務(wù)是簡單且有效的,所以選擇選擇令牌桶機(jī)制,選擇令牌桶機(jī)制可以使用非常少的配置參數(shù)來執(zhí)行并且具有非常小的處理需求。為了將令牌桶原理應(yīng)用于IEEE 802.15.4業(yè)務(wù),我們將帶寬控制機(jī)制指定為VNet特定的QoS策略。策略適用于例如要由設(shè)備發(fā)送的所有數(shù)據(jù)(所生成的業(yè)務(wù)和路由的業(yè)務(wù)兩者)。更詳細(xì)說明的策略也是可行的。在發(fā)送消息之前,我們檢查它是否違反令牌桶策略(例如,每個(gè)要發(fā)送的比特的令牌或每個(gè)幀的令牌)。如果檢查正確,則減去所需的令牌并且發(fā)送消息。附加地,VNet策略可以由設(shè)備的可信/調(diào)節(jié)層執(zhí)行,特別地,使用VNet范圍的密鑰在鏈路層執(zhí)行。因此,帶寬控制機(jī)制被認(rèn)為是放置在鏈路層處。這樣,在業(yè)務(wù)被發(fā)送到公共網(wǎng)絡(luò)之前,該控制適用于每個(gè)VNet所有可能的業(yè)務(wù)。但是,因?yàn)閹捒刂茩C(jī)制也被綁定到特定VNet,所以它們可以在諸如RPL路由機(jī)制之類的其它層中執(zhí)行。但是,我們丟棄它以收集鏈路層處的所有VNet特定的邏輯,并且因?yàn)檫@樣,所以鏈路層幀的完整尺寸是已知的。RPL內(nèi)的令牌桶將僅能夠利用IPv6消息尺寸工作,其不考慮由IEEE 802.15.4幀及其安全機(jī)制導(dǎo)致的開銷。

      在圖9中描繪了用于VNet的所提出的帶寬控制機(jī)制的邏輯,其中,上層協(xié)議觸發(fā)要發(fā)送的一些幀。VNet邏輯標(biāo)識(shí)適當(dāng)?shù)腣Net,但在保證幀安全并且發(fā)送幀之前,其檢查帶寬策略是否正確(圖9中的帶寬控制層)。在檢查成功的情況下,即,在適當(dāng)VNet中對(duì)于這樣的幀存在足夠的令牌,則保護(hù)并且發(fā)送消息。否則,丟棄該消息。

      如先前所討論的,其它變型可以用于6LoWPAN VNet的設(shè)計(jì)。

      VNet特定的約束可以用作涵蓋性術(shù)語,以收集應(yīng)用于特定VNet的一組規(guī)則、約束和被允許的行為。這些可以緩解網(wǎng)絡(luò)管理并且改善其行為,例如,利用確定允許哪些設(shè)備進(jìn)入VNet的約束改善網(wǎng)絡(luò)分段。它們可以用于指定要對(duì)VNet策略執(zhí)行的安全參數(shù)。

      例如,在VNet內(nèi)僅允許加密業(yè)務(wù)或某個(gè)安全級(jí)別。更進(jìn)一步地,可以利用行為不端的設(shè)備的黑名單來改善設(shè)備折衷彈性。VNet特定的約束的實(shí)現(xiàn)被執(zhí)行作為VNet策略,該VNet策略將它們封裝并且可以在不同的層中實(shí)現(xiàn),例如,作為鏈路層中的ACL,作為RPL特定的規(guī)則或在IP層中。即使它可以增強(qiáng)網(wǎng)絡(luò)管理,取決于其實(shí)現(xiàn),檢查所有幀的策略正確性可能也非常低效。

      在先前所描述的實(shí)施例中,已經(jīng)關(guān)注應(yīng)用在每個(gè)設(shè)備方式上的VNet約束。這暗示了某個(gè)VNet只能訪問被授權(quán)這樣做的那些設(shè)備,例如,路燈可以訪問“路燈VNet”,同時(shí)交通燈和停車傳感器則不能訪問。相反,我們基于應(yīng)用程序策略排除了VNet訪問。這些應(yīng)用于更高級(jí)別上,并且它們約束用戶級(jí)應(yīng)用或協(xié)議對(duì)不同VNet的訪問。例如,如果路燈具有光控應(yīng)用和亮度數(shù)據(jù)收集應(yīng)用,則第一個(gè)將被授權(quán)訪問路燈控制VNet,同時(shí)第二個(gè)將被授權(quán)訪問數(shù)據(jù)收集VNet,該數(shù)據(jù)收集VNet僅允許向中央服務(wù)器報(bào)告數(shù)據(jù)。

      這兩個(gè)策略之間的差異很重要,因?yàn)樗梢詷O大影響啟用這兩個(gè)策略的不同機(jī)制的適用性、復(fù)雜性和效率。設(shè)備策略更適合在諸如鏈路層密鑰、路由、IP過濾器或QoS過濾器(級(jí)別3)之類的較低層協(xié)議中實(shí)現(xiàn)。它們?cè)陧攲由希╫n top)覆蓋所有協(xié)議層,并且可以是盡可能有效,從而避免不必要的處理和資源使用。但是,應(yīng)用策略更適合于更高級(jí)別的機(jī)制,諸如OS上的不同應(yīng)用權(quán)限、虛擬機(jī)約束、容器、沙箱或其它安全架構(gòu)。假定應(yīng)用不知曉網(wǎng)絡(luò)結(jié)構(gòu)或邏輯,則應(yīng)用約束本身無法直接直接管理網(wǎng)絡(luò)分段或隔離。在完全集中的方案中,網(wǎng)絡(luò)運(yùn)營商可以應(yīng)用完全集中的管理方法來解決這個(gè)問題。

      但是,與其它機(jī)制結(jié)合地,其可以通過防止應(yīng)用行為不當(dāng)而允許提高QoS。這可以通過資源管理器或應(yīng)用沙箱來訪問設(shè)備或網(wǎng)絡(luò)資源實(shí)現(xiàn)。

      應(yīng)用控制(比如前述的那些)可以幫助網(wǎng)絡(luò)約束特定應(yīng)用或協(xié)議如何使用不同的VNet。它們的互操作性和效率高度取決于它們的實(shí)現(xiàn)。例如,不同路由結(jié)構(gòu)中的VNet可以鏈接到不同的應(yīng)用簡檔。主要缺點(diǎn)是RPL安全機(jī)制僅授予針對(duì)RPL特定的控制策略的保護(hù),因此,諸如應(yīng)用數(shù)據(jù)或甚至其它ICMPv6消息之類的其它業(yè)務(wù)可能被攔截、偽造或甚至注入到另一VNet中。更進(jìn)一步地,消息的驗(yàn)證必須在上層中完成,其禁止盡快檢測(cè)到無效幀。

      上級(jí)中的應(yīng)用策略將要求相當(dāng)多的存儲(chǔ)器和復(fù)雜性來使得能夠?qū)崿F(xiàn)ACL或類似的機(jī)制。成對(duì)的方案以更高的成本提供更高的安全性。

      在先前的示例中,基于密鑰標(biāo)識(shí)符來標(biāo)識(shí)VNet。然而,其它選項(xiàng)也是相關(guān)的,例如,可以使用PAN標(biāo)識(shí)符。IEEE 802.15.4標(biāo)準(zhǔn)將個(gè)人局域網(wǎng)(PAN)-ID定義為設(shè)備在其上操作的PAN的標(biāo)識(shí)符,其在不相關(guān)聯(lián)的設(shè)備上具有特殊值,該特殊值允許設(shè)備監(jiān)聽所有PAN-ID。使用不同PAN-ID使得每個(gè)VNet本身被指定為新的PAN。也就是說,該方案形成在一些設(shè)備中重疊的多個(gè)6LoWPAN,而不是將6LoWPAN劃分成不同的邏輯子劃分。其是根據(jù)IEEE 802.15.4標(biāo)準(zhǔn)的多PAN環(huán)境的規(guī)范。

      在這種情況下,當(dāng)設(shè)備要支持多個(gè)VNet,該設(shè)備將必須監(jiān)聽來自多于一個(gè)的PAN-ID的消息??赡芡ㄟ^進(jìn)行IEEE 802.15.4標(biāo)準(zhǔn)的開放閱讀來完成這些,從而與單個(gè)macPANid變量相反地在多個(gè)PAN中并行進(jìn)行。設(shè)備需要在軟件上過濾不需要的VNet/PAN-ID。

      這種方法需要一些額外的軟件過濾努力,并且有時(shí),在正常操作期間監(jiān)聽多個(gè)信道的能力,如同當(dāng)VNet恰好處于不同的信道中,它是個(gè)恒定的信道掃描一樣。由于效率的原因,通過迫使所有VN網(wǎng)絡(luò)處于相同的信道中可以避免這種情況。

      并發(fā)VNet的數(shù)目受到PAN-ID 16位字段的限制,該P(yáng)AN-ID 16位字段也潛在由相鄰網(wǎng)絡(luò)使用。因此,創(chuàng)建新的VNet要求確保新的PAN不與相鄰PAN-ID沖突,以避免網(wǎng)絡(luò)沖突,這在大規(guī)模部署中可能不容易。

      例如,城市范圍的網(wǎng)絡(luò)可以跨越大的地理區(qū)域,在更高數(shù)目個(gè)不同標(biāo)識(shí)符處于使用中的情況下,這可能以更高的概率引入這樣的標(biāo)識(shí)符沖突,從而在最壞場景下潛在地觸發(fā)全網(wǎng)PAN-ID改變。

      要指出的是,本發(fā)明不限于6LoWPAN,而是可以應(yīng)用于其它協(xié)議棧。

      通過研究附圖、公開內(nèi)容和所附權(quán)利要求,本領(lǐng)域技術(shù)人員在實(shí)踐要求保護(hù)的本發(fā)明時(shí)可以理解和實(shí)現(xiàn)所公開的實(shí)施例的其它變型。在權(quán)利要求中,詞語“包括”不排除其它元件或步驟,并且不定冠詞“一”或“一個(gè)”不排除多個(gè)。在相互不同的從屬權(quán)利要求中記載某些措施的純粹事實(shí)并不指示不能使用這些措施的組合以獲益。

      前面的描述詳述了本發(fā)明的某些實(shí)施例。然而,將領(lǐng)會(huì),無論前述內(nèi)容在文本中出現(xiàn)多么詳細(xì),本發(fā)明可以以許多方式實(shí)踐,因此不限于所公開的實(shí)施例。應(yīng)當(dāng)指出,當(dāng)描述本發(fā)明的某些特征或方面時(shí),使用特定術(shù)語不應(yīng)被認(rèn)為暗示該術(shù)語在本文中被重新定義為被限制為包括與該術(shù)語相關(guān)聯(lián)的本發(fā)明的特征或方面的任何特定特點(diǎn)。

      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1