CN101517986A - 用于在加密的通信关系中编址和路由的方法和系统 - Google Patents
用于在加密的通信关系中编址和路由的方法和系统 Download PDFInfo
- Publication number
- CN101517986A CN101517986A CNA2007800337969A CN200780033796A CN101517986A CN 101517986 A CN101517986 A CN 101517986A CN A2007800337969 A CNA2007800337969 A CN A2007800337969A CN 200780033796 A CN200780033796 A CN 200780033796A CN 101517986 A CN101517986 A CN 101517986A
- Authority
- CN
- China
- Prior art keywords
- network
- layer
- address
- secret
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/03—Topology update or discovery by updating link state protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/52—Multiprotocol routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于在网络的至少两个不同的网络层(2,3)中在加密通信关系(1)的情况下进行编址和路由的方法和系统(11),其中所述至少两个不同的网络层以不同的路由层彼此分离。具有关联的第一路由层的第一网络层(2)通过至少一个加密设备(4)而相对于具有第二路由层的第二网络层(3)划界。在所述至少两个路由层中,彼此无关地确定两个网络层(2,3)的网络拓扑结构并且将其存储在相应的路由表(17)中。在所述至少一个加密设备(4)中的接口(7)设置有从第二路由层的地址(8)至第一路由层的地址(8)一对一的关联,以便有效地从第一网络层(2)导出第二网络层(3)的拓扑结构。
Description
未来的无线电设备将比目前的无线电设备具有明显更为灵活的应用可能性。这通过“软件限定的无线电(SDR)”的概念来实现。SDR提供了如下可能性:无线电方法(波形)作为软件来加载,并且波形和无线电设备的配置灵活地通过软件控制来改变。现代的无线电传输方法在此也可以支持根据网际协议(IP)标准来传输数据包。这能够实现利用标准IP应用和已知的也被用于互联网的概念。
根据安全要求,敏感的信息必须能够加密地传输(通信安全,COMSEC)。这例如可以通过使用IPsec标准来实现,该IPsec标准在S.Kent,K.Seo所著的“Security Architecture for the Internet Protocol”(IETF RFC 4301,2005年12月)中进行了描述。
该标准能够针对被加密的信息实现两种不同的传输方法:传输模式和隧道模式,如在图1中所示的那样。在传输模式中,只加密IP包中的有用数据,而IP报头(尤其是具有发送方和接收方的IP地址的IP报头)并不被修改。在隧道模式中,加密整个原始IP包并且添加新的报头。新的报头包括加密设备的地址作为源地址,而不包括原始源节点的地址。同样,在新的报头中的目标地址是解密设备的目标地址而不是真正的接收设备的目标地址。由此可以有效地防止潜在的攻击者能够借助源地址和目标地址检测通信方之间发生的通信。该潜在的攻击者看到仅仅数据在这两个加密设备之间交换。数据传输的实际的终端用户对该潜在的攻击者而言保持隐藏。
对于安全性重要的和机密的通信,使用隧道模式。通过隧道模式形成两个彼此完全分离的网络层。红色层是机密层。只有授权的人员能访问红色网络。而黑色网络是公共接入网络,并且由此归类为不安全的。来自红色网络的机密信息仅允许通过黑色网络加密地传输。由于严格使用隧道模式,所以这些网络开头不具有彼此的信息。从红色网络层来看的隧道模式是至另一红色网络的透明的隧道并且隐藏了其后面存在的黑色网络层。图1表明了该状况。用户A和D不知道可能存在的附加的网络用户X和Y,其中这些附加的网络用户参与了在B和C之间的数据的传送。
然而,这种完全分离也对整个网络架构有不利的影响。在加密设备中,必须有哪些红色网络被连接到黑色解密设备的信息。这是必需的,由此可以在隧道模式的情况下将合适的黑色目标地址登记到新生成的IP报头中。
在通信网络中包括有多个网络用户。如图2中所示,多个终端设备可以使用相同的加密设备。每个加密设备都具有机密红色地址和公开黑色地址。机密子网的终端设备将数据以不加密的方式发送给加密设备。该加密设备在隧道模式中将数据加密,并且将数据通过不安全的通信连接传送给接收的加密设备。在那里,数据被解密并且传送给接收方。
网络的加密设备的黑色地址自动通过具有地址自动配置的协议来确定。为了在黑色网络层级中路由,使用传统的路由协议。信令信息的交换负责在黑色网络内的拓扑的相容性。而对于终端设备的连接,必须也能够在红色网络与黑色网络之间交换数据。这又以知晓加密设备的黑色地址与红色地址之间的地址映射为前提。而所使用的IPsec隧道模式阻止了已知的黑色地址直接映射到红色地址上。
由此,在两个网络中共同的并且同时的路由不再可能。为了在两个加密设备之间自动地交换红色网络的路由信息,例如可以使用IPsec发现协议(IPsec-Discovery-Protokoll)。
为了更好地理解根据本发明所提出的解决方案和目前现有技术的解决方案的问题,以下给出了对IP网络的编址的简要介绍。
为了能够在全球互联网中在两个用户之间发送数据,需要唯一地标识终端用户。于是,传送节点可以按照目标地址确定发送方和接收方之间的最佳路径,而发送方不必知道确切的路径。为了能够唯一地标识用户,地址由网络标识符和设备标识符构成。该网络标识符标识用户所处的网络,而设备标识符确定了网络中的各个用户。在此,完整地址通过将两个地址部分彼此组合来形成,如图3中所表示的那样。
网络内的所有设备都使用相同的网络标识符,而设备标识符各不相同。因此,一旦终端用户进行了网络切换,则该终端用户就需要改变其网络标识符。这是必需的,由此不必用信号为互联网中的每个传送节点通知终端设备的新连接,而是根据网络标识符可以直接推断出网络。终端设备的网络标识符对全局网络内的路由是必需的。
设备标识符对所有参与该网络的设备应当是特有的并且是唯一的。该设备标识符例如基于网卡的MAC地址,但也可以根据其他参数来生成。由此,借助设备标识符已经可以唯一地标识设备。该设备标识符是恒定的并且不随时间改变。
由于黑色网络的路由协议,所以加密设备只知道所有参与该网络的用户的黑色地址。为了能够建立在分别处于红色网络中的终端用户之间的安全连接,首先必须在解密设备的黑色地址与连接到该解密设备的红色网络之间进行唯一的和机密的分配。红色和黑色地址的分配可以借助IPsec发现协议来确定。该协议的流程图在图4中示出并且描述了借助证书的认证。然而,该认证也可能借助事先交换的密钥(预共享密钥,PSK)来进行,而在此并未进一步描述。
为了获取在加密设备的黑色和红色地址之间的机密的映射,加密设备A将“问候试探(Hello Probe)”消息发送给特别为此而设置的多播地址。由此,所有参与该网络的用户都获得该消息。该消息包含加密设备A的具有认证机构的有效签名的安全证书。附加地,该证书还包含加密设备A的密钥。在获得该消息之后,加密设备B借助认证机构的根证书(Root-Zertifikat)来检查证书的真实性,并且借助加密设备A的签名或者密钥来认证该证书。在成功认证之后,加密设备B将“问候答复(HelloReply)”消息回送给加密设备A。该“问候答复”消息包含加密设备B的相同的信息。在通过加密设备A检验这些信息之后,开始安全关联(SA)的协商,在该协商中尤其是确定所使用的加密算法以及认证和密钥的有效性持续时间。由于通信方目前并不知晓对方的红色地址,所以SA协商不能在IPsec隧道模式中进行,而是必须在IPsec传输模式中进行。在此,数据包的IP报头在加密设备之间以未加密的方式传输,并且仅数据报的实际内容被加密。在SA协商成功之后,加密设备可以将其红色地址以加密方式在IPsec传输模式中传输。在此之后,才可能建立加密设备之间的隧道连接。
为了能够与另一红色网络的特定的用户通信,首先必须在这两个红色网络之间建立防窃听的隧道。这需要关于负责相应终端设备的加密设备和与此相连的红色网络的知识。由于IPsec发现协议仅仅支持与每个单个的加密设备进行映射信息的顺序交换,所以必须在所有加密设备之间成对地建立隧道,以便获取网络中所有加密设备的地址分配的完整的知识。由此,在最差的情况下,为了建立至目前未知的红色用户的连接,必须以所有可能的加密设备来使用IPsec发现协议。因此,对源的加密设备的开销随着加密设备的数目N线性增加:开销~O(N)。对于将新的加密设备及其连接的网络合并到总网络中,因此必须借助任何其他的加密设备执行IPsec发现协议。由此,总网络的潜在信令开销以O(N2)增加。
除了开销之外,为了在自己的网络中标识红色终端设备,IPsec发现协议同样必须在网络切换时被执行。如所描述的那样,在网络切换时改变网络标识符,由此也改变了加密设备的完整地址。由此,连接到该加密设备上的终端设备在新的网络中不再可以被标识。因此,又必须借助新的网络的任何其他的加密设备执行IPsec发现协议,以便所有加密设备相互都知晓相应的秘密地址分配,并且由此同样知晓终端设备连接到其上的红色网络。
该特性在无线电网络中是特别关键的。在具有有限的无线电资源的环境中,由于IPsec发现协议导致的增加的信令开销在其中拓扑结构经常改变的高动态的环境中是特别关键的。附加地,特别是在无线电环境中会出现单个终端设备的频繁的网络切换,即加密设备连同终端设备一起的频繁的网络切换。在此所需的IPsec发现协议的执行的数目还会进一步加重无线电资源的负荷,由此在无线电环境中,隧道加密模式的应用的有意义的通信不再是可能的,因为信令数据通信量极大地增加。
因此,本发明的任务是提出一种用于安全通信的方法和系统,该方法能够以低的信令开销实现高的数据安全性和系统的可用性。
该任务在方法方面通过权利要求1的特征来解决,而在系统方面通过权利要求15的特征来解决。从属权利要求包含根据本发明的方法或者根据本发明的系统的有利的改进方案。
通过本发明提出了一种用于基于红色网络地址与黑色设备标识符之间唯一的关联获得当前路由信息的有效方法。该关联例如可以通过唯一的函数或者通过查找表来描述。该方法避免了为了获得当前的红色网络拓扑结构和相应的路由信息而进行信令消息和路由消息的费时和加重资源负荷的交换。这些信息可以借助黑色设备标识符与红色网络地址的唯一的关联直接由已知的黑色网络拓扑结构来导出。如果设备以其在黑色网络中的黑色设备标识符而被已知,则可以通过关联立即推断出连接到该用户的红色网络。
查找表的概念利用了首先事先配置并且存储在加密设备中的、针对黑色设备标识符与红色网络之间的关联的表。通过使用根据本发明的方法,可以省去使用IPsec发现协议,并且避免了为了在用户的红色网络之间交换路由信息而需要的信令传输。尤其是在具有有限的无线电资源的无线电环境中,可以通过省去IPsec发现协议而明显地提高无线电网络的可用性。
以下参照附图描述了本发明的实施例。其中:
图1示出了IPsec中的传输模式和隧道模式;
图2示出了在使用IPsec隧道模式时的网络的拓扑结构;
图3示出了IP网络中的编址方案;
图4示出了IP发现协议的流程图;
图5示出了加密设备中的、用于在黑色和红色地址之间映射的查找表;
图6示出了具有查找表的加密设备的内部结构;
图7示出了机密网络内的隧道模式;以及
图8示出了根据本发明的、用于在加密的通信关系中编址和路由的系统的实施例。
由于通过加密设备4使机密红色网络层(以下简称为红色网络层)与黑色公共网络层(以下简称为黑色网络层)分离,所以首先在这两个网络层中必须彼此独立地将网络拓扑结构映射到相应路由器的路由表17中。因为黑色路由表17基本上包含了关于黑色公共网络2的用户的所有信息,所以通过使用这些信息也可以在红色机密侧减少信令消息。这可以通过引入唯一的关联来实现,该唯一的关联描述了在黑色公开设备标识符与红色机密网络地址8之间的关系。这种映射描述了哪些红色网络通过加密设备连接到具有某个黑色设备标识符的黑色侧。关于具有各自的黑色设备标识符的设备的可到达性的知识由此能够实现对连接到其上的红色网络的说明。
该概念例如可以通过在所有参与的加密设备4中的预先配置的表或者通过唯一的映射例如数学函数来实现。作为映射规则的基础,使用设备的唯一的黑色标识符。这种设备标识符的例子是对应于IPv6协议的主机ID或者MAC地址。
在黑色公共地址中得到不同的图像。在黑色公共网络2内,所有用户必须使用相同的网络标识符。由于网络的切换,该网络标识符改变。由此,黑色公共网络标识符不适于标识加密设备4。然而,唯一的设备标识符例如基于48比特MAC地址的IPv6接口ID能够实现在任意网络环境中标识加密设备4。
由此,借助黑色设备标识符可以标识在红色侧3的所连接的网络。图5举例地示出了黑色(非机密)和红色(机密)地址部分8之间的关系。由于对加密设备4的安全性要求,所以查找表6或路由表17的信息绝不允许分布在黑色公共网络2中,而是只允许在加密设备4内分析。
由此,用于在每个加密设备4中建立表的信息必须在运行之前被预先配置。由于加密设备4连同与其相连的网络(例如在无线电网络中)的移动性以及被包含到不同的区域网络中,所以表条目的数目会变大。因此,在加密设备4中必须设置足够的存储器,以便能够容纳这些表格。
借助查找表6中的附加的条目,可以标记和知悉其他连接到加密设备4上的红色机密网络3。这在图5中例如是路由器R6上的网络w。
其他的网络通常可以通过在各自网络内的网络通道
来到达。网络通道的地址在此借助协议在网络中公布。由此,每个用户可以借助网络通道的黑色非机密地址识别网络通道。而如果网络通道定位在加密设备4的红色机密网络3内,则地址的简单的信号表示是不可能的。在查找表6内负责网络通道的加密设备4的附加信息避开了该问题。用于检测网络通道的附加的信令由此是多余的。建立至重要的网络用户的隧道因此毫无疑问是可能的。
除了避免了在网络内高的信令通信量之外,使用查找表6的概念也能够实现维持黑色公共网络和红色机密网络2、3的实时的一致性。一旦黑色路由协议认识到黑色网络2中的用户的不可到达性,则这可以用信号通知加密设备4。这又可以借助表来推断不可到达的用户的红色机密地址8。由此,可以直接更新红色终端设备的路由表17。因此,数据包可以直接在红色路由器内被拒绝。因此可以完全省去在连接到不同加密设备的红色网络之间的路由信息交换。红色机密网络3自动地并且在短时之后识别黑色公共网络2的基本拓扑结构。
在描述了查找表6的原理结构之后,以下将借助查找表6来说明数据处理和信息获取的大致过程。
图6示出了加密设备4的示意性结构。加密设备4的黑色公共侧2连续地从黑色公共层2中获取路由信息,即网络信息18。借助其他加密设备4的被交换的黑色公共设备标识符,管理过程19可以在查找表中标识分别相连的红色机密网络3。网络信息18将管理过程19传送给红色机密层3。由此,加密设备4获得关于所连接的其他红色网络3的可到达性信息。
红色机密路由器17由此立即能够识别所有潜在可到达的红色网络3。黑色公共层2的拓扑结构实时映射到红色网络3的拓扑结构上。由此,一方面可以节约许多信令开销,另一方面可以立即识别特定的加密设备及其连接的终端设备的不可到达性,并且必要时适当地对此做出反应。在加密设备内的加密过程20负责解密至红色机密层3的数据包并且加密至黑色层2的数据包。
该方法的第二优点在加密来自红色机密层的红色机密数据时得到。加密过程20可以借助查找表6立即推断出目标终端设备的主管解密设备。IPsec发现协议的高开销的执行可以被取消。只要解密设备被记录在查找表6中并且与该网络连接,则数据流实际上可以没有延迟地被加密并且进一步输送。
为了使查找表6的大小最小化,连接到加密设备4上的红色机密网络3可以使用分等级的编址。这意味着,即使附加的路由器分离了各个网络,所有设备的地址也源自相同的地址范围。由此,可以避免如图5中所示的那样对于加密设备需要多个表条目。通过分等级的编址,加密设备4的所有被连接的终端设备可以在地址条目8下概括并且记录到查找表6中。
附加地,还可能在加密设备4之间周期性地交换查找表6。对此,加密设备4必须与另一加密设备4建立防窃听的隧道。通过该隧道于是可以调整表6。这具有的优点是,还可以在加密设备4的运行时间期间改变表6的配置。由此,例如在网关21处的加密设备4可以在网络中分配附加的红色机密网络地址。此外,在运行之前所需的配置开销可以被最小化,因为也可以在运行期间访问查找表6的信息。
在进行IPsec发现协议时必需的信令是有影响的。特别是在具有有限的数据传输率的无线电环境中,这附加地减小了可供使用的传输容量。通过在加密设备4中使用预先配置的查找表6,可以完全省去使用IPsec发现协议。所连接的红色机密网络3可以在短时之后借助查找表6根据黑色非机密网络2的拓扑结构导出。这附加地减少了网络资源的浪费,因为解密设备及连接其上的红色网络的不可到达性已在发送设备中或者在加密设备4中被识别。
此外,如果使用对红色机密网络10的分等级的编址,则可以进一步减小所需的查找表6的大小。借助各个加密设备4之间的表6的交换,另外在运行期间的调整也是可能的。由此,可以明显地减小运行之前的配置开销,因为并非所有条目都必须被预先配置。
图7示出了两个红色机密网络3之间的隧道模式,其中在加密的通信关系1中实施根据本发明的用于编址和路由的方法。在两个终端用户之间的连接或通信关系延伸到两个不同的彼此分离的网络层2、3上,其中与网络层2、3关联的路由层彼此不同。这两个网络层2、3与其路由层的划界通过加密设备4来进行,该加密设备连接到第一网络层2和第二网络层3,该第一网络层是公共可访问的并且不安全的黑色网络,第二网络层是非公共可访问的红色网络。
在第二路由层中,分别确定当前的网络拓扑结构,其中网络层2、3中之一的网络拓扑结构的确定与第二网络层3、2的网络拓扑结构的确定无关地进行,其中该第二网络层被用于对外屏蔽的机密通信;并且该网络拓扑结构被存储在相应的路由表17中。在此,在整个网络中存在的加密设备4内的接口7设置有第二路由层的地址8至第一路由层的地址8的一对一的关联,使得路径发现也可能超出两个网络层2、3的边界。这也表示在图2中。
第一网络层2是公共域,例如固定网络或者全球范围内运营的移动无线电网络的一部分,例如UMTS(通用无线通信系统)或者GSM(全球移动通信系统)网络的一部分,而第二网络层3是机密域,例如对外屏蔽的公司网络等等,其中相应的地址8在路由层上同样划分成公共地址8和机密地址8。
在加密设备4本身中,在网络运行期间设置有可更新的查找表6,该查找表被预先配置。接口7起到在公共和机密网络层2、3之间的受控的通道的作用,并且因此也起到在公共和机密路由层之间的边界的作用。
图8示出了根据本发明的系统11的一个实施例,该系统在具有至少两个彼此分离的、不同的网络层2、3的总网络内在加密的通信关系1中用于进行编址和路由。在此,黑色网络层2通过至少一个加密设备4而相对于第二网络层3划界。两个网络层的网络拓扑结构存储在根据本发明的系统11的分离域12、13中的路由器17的路由表中。
在域12、13之间设置有协议实例14作为中间域15,其中协议实例14分别具有至两个域12、13之一的双向通信路径16并且例如根据IPsec标准来实现。第一网络层2在总网络内定义为公共域2并且对应于公共可访问的网络2,如例如固定网络或者移动无线电网络。在总网络内的第二网络层3设计为机密域并且对应于例如非公共的、被屏蔽的网络3,例如对应于公司网络或者物流网络。在相应的网络层2、3或关联的路由层中的地址可以作为公共地址和机密地址8而彼此区分。
在根据IPv6标准的实施例中,在未加密侧12以及在加密侧13,路由器17都连接到协议实例14,其中路由器17也包括路由表。
在根据本发明的系统11的加密侧12的路由器17通过限定的传输方法与公共网络2相连,使得借助该网络可以建立通信连接,因为所实施的传输方法与公共网络2的传输方法兼容。
此外,在该实施例中,在加密侧13上实施MANET(移动自组网络)协议而在未加密侧12上实施IGP协议(内部网关协议)用于更新关联的路由表6,其中作为IGP设置有OSPF(开放最短路径优先)算法。通过根据本发明的系统11的未加密侧的IPv6路由器17,设计了将IP有用数据例如数字化的语音或者图像传输到机密非公共可访问的网络3。
本发明并不限于所描述的实施例。所有所描述的或者所示的特征在本发明的范围内可以任意地彼此组合。
Claims (26)
1.一种用于在至少两个不同的网络层(2,3)中在网络中加密的通信关系(1)情况下进行编址和路由的方法,其中所述至少两个不同的网络层以不同的路由层彼此分离,其中
具有关联的第一路由层的第一网络层(2)分别通过至少一个加密设备(4)相对于具有第二路由层的第二网络层(3)被划界,
其中在至少两个路由层中彼此无关地确定两个网络层(2,3)的网络拓扑结构并且将其存储在相应的路由表(17)中,以及
其中在所述至少一个加密设备(4)中的接口(7)设置有从第二路由层的地址(8)至第一路由层的地址(8)一对一的关联。
2.根据权利要求1所述的方法,其特征在于,第一网络层(2)是公共可访问的并且不安全的网络(9)。
3.根据权利要求1或者2所述的方法,其特征在于,第二网络层(3)是用于对外屏蔽的机密通信的、非公共可访问的网络。
4.根据权利要求1至3中任一项所述的方法,其特征在于,第一网络层(2)是公共域而第二网络层(3)是机密域,并且第一路由层的地址(8)被标记为公共地址而第二路由层的地址(8)被标记为机密地址。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在公共和机密网络层(2,3)之间或者在公共和机密路由层之间的接口(7)在加密设备(4)运行之前存储在加密设备(4)中的查找表(6)中。
6.根据权利要求5所述的方法,其特征在于,在网络运行期间改变加密设备(4)中的查找表(6)。
7.根据权利要求5或者6所述的方法,其特征在于,机密路由表的更新借助加密设备(4)中的查找表(6)从第一公共网络层(2)的本地存在的、时间上可变的信息获得。
8.根据权利要求7所述的方法,其特征在于,与加密设备(4)的分类无关地在总网络中生成用于将机密地址(8)与公共地址(8)关联的映射规则。
9.根据权利要求5至7中任一项所述的方法,其特征在于,作为描述公共和机密地址(8)之间关系的函数的实现,查找表(6)被预先配置在所有要使用的加密设备(4)中。
10.根据权利要求5至7中任一项所述的方法,其特征在于,作为描述公共和机密地址(8)之间关系的函数的实现,查找表(6)在所有要使用的加密设备(4)中在网络运行期间被动态地更新。
11.根据权利要求5至7中任一项所述的方法,其特征在于,作为描述公共和机密地址(8)之间关系的函数的实现,查找表(6)的内容仅仅分布在机密域(3)内。
12.根据权利要求5至7或者9至11中任一项所述的方法,其特征在于,可选地在查找表(6)内进行附加的记录,该附加的记录指示了连接到加密设备(4)的其他机密网络。
13.根据权利要求7或者8所述的方法,其特征在于,映射规则的基础是连接到网络的设备的唯一的设备标识符。
14.根据权利要求13所述的方法,其特征在于,设备标识符设计为根据IPv6协议的主机标识符或者媒介访问控制(MAC)地址。
15.一种用于在具有至少两个彼此分离的不同网络层(2,3)和关联的路由层的网络内在加密的通信关系(1)中进行编址和路由的系统(11),
其中具有关联的第一路由层的第一网络层(2)分别通过至少一个加密设备(4)而相对于具有第二路由层的第二网络层(3)划界,
其中两个网络层(2,3)的网络拓扑结构存储在所述系统(11)的分离的域(12,13)中,以及
其中设计有中间域(15),该中间域作为具有两个双向通信路径(16)的协议实例(14)设置在分离的域(12,13)之间。
16.根据权利要求15所述的系统,其特征在于,公共可访问的部分网络设计为第一网络层(2)并且定义为公共域。
17.根据权利要求15或者16所述的系统,其特征在于,非公共的、屏蔽的部分网络设计为第二网络层(3)并且定义为机密域。
18.根据权利要求15至17中任一项所述的系统,其特征在于,第一路由层的地址(8)作为公共地址而第二路由层的地址(8)作为机密地址能够彼此区分。
19.根据权利要求15至18中任一项所述的系统,其特征在于,协议实例(14)在中间域中根据IPsec标准或者根据其他加密方法来实施。
20.根据权利要求15至19中任一项所述的系统,其特征在于,在第一域(12)中在未加密侧以及在第二域(13)中在加密侧,包括路由表(17)的路由器(17)分别连接到协议实例(14)上。
21.根据权利要求15至20中任一项所述的系统,其特征在于,路由器(17)在加密侧(13)通过限定的传输方法与公共网络(2)建立通信连接。
22.根据权利要求21所述的系统,其特征在于,传输方法与公共网络(2)兼容。
23.根据权利要求15至22中任一项所述的系统,其特征在于,在加密侧(13)实施移动自组网络(MANET)协议以便更新关联的路由表(17)。
24.根据权利要求15至23中任一项所述的系统,其特征在于,在未加密侧(12)实施内部网关协议(IGP)。
25.根据权利要求24所述的系统,其特征在于,在内部网关协议中实施开放最短路径优先(OSPF)算法,用于更新关联的路由表(6)。
26.根据权利要求20所述的系统,其特征在于,通过未加密侧(12)的路由器(17)将有用数据以未加密的方式传输到机密的、非公共可访问的网络(3)中。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102006043156 | 2006-09-14 | ||
| DE102006043156.1 | 2006-09-14 | ||
| DE102007001831.4 | 2007-01-12 | ||
| DE102007001831A DE102007001831A1 (de) | 2006-09-14 | 2007-01-12 | Verfahren und System zur Adressierung und zum Routing bei verschlüsselten Kommunikationsbeziehungen |
| PCT/EP2007/007675 WO2008031515A1 (de) | 2006-09-14 | 2007-09-03 | Verfahren und system zur adressierung und zum routing bei verschlüsselten kommunikationsbeziehungen |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101517986A true CN101517986A (zh) | 2009-08-26 |
| CN101517986B CN101517986B (zh) | 2015-08-19 |
Family
ID=39105169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200780033796.9A Expired - Fee Related CN101517986B (zh) | 2006-09-14 | 2007-09-03 | 用于在加密的通信关系中编址和路由的方法和系统 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8085797B2 (zh) |
| EP (1) | EP2062400B1 (zh) |
| CN (1) | CN101517986B (zh) |
| DE (1) | DE102007001831A1 (zh) |
| ES (1) | ES2395860T3 (zh) |
| IL (1) | IL193132A (zh) |
| NO (1) | NO337810B1 (zh) |
| WO (1) | WO2008031515A1 (zh) |
| ZA (1) | ZA200806142B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656803A (zh) * | 2015-11-02 | 2017-05-10 | 华为技术有限公司 | 一种更新路由表项的方法、装置及系统 |
| CN109155779A (zh) * | 2016-02-12 | 2019-01-04 | 杰皮优艾欧有限公司 | 移动安全卸载器 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8850219B2 (en) * | 2010-05-13 | 2014-09-30 | Salesforce.Com, Inc. | Secure communications |
| US8762706B2 (en) * | 2011-04-11 | 2014-06-24 | International Business Machines Corporation | Computer systems, methods and program product for multi-level communications |
| US9755946B2 (en) * | 2015-01-06 | 2017-09-05 | Verizon Patent And Licensing Inc. | Confidentially determining route diversity for network routes |
| US10326796B1 (en) | 2016-04-26 | 2019-06-18 | Acalvio Technologies, Inc. | Dynamic security mechanisms for mixed networks |
| US9979750B2 (en) | 2016-04-26 | 2018-05-22 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6751729B1 (en) * | 1998-07-24 | 2004-06-15 | Spatial Adventures, Inc. | Automated operation and security system for virtual private networks |
| US20020083344A1 (en) * | 2000-12-21 | 2002-06-27 | Vairavan Kannan P. | Integrated intelligent inter/intra networking device |
| US20020186698A1 (en) * | 2001-06-12 | 2002-12-12 | Glen Ceniza | System to map remote lan hosts to local IP addresses |
| US7274684B2 (en) * | 2001-10-10 | 2007-09-25 | Bruce Fitzgerald Young | Method and system for implementing and managing a multimedia access network device |
| US20030135616A1 (en) * | 2002-01-11 | 2003-07-17 | Carrico Sandra Lynn | IPSec Through L2TP |
| US8976798B2 (en) * | 2002-01-28 | 2015-03-10 | Hughes Network Systems, Llc | Method and system for communicating over a segmented virtual private network (VPN) |
| US20040203797A1 (en) * | 2002-09-05 | 2004-10-14 | Jeremy Burr | Method and apparatus for communications using distributed services in a mobile ad hoc network (MANET) |
| US7848259B2 (en) * | 2003-08-01 | 2010-12-07 | Opnet Technologies, Inc. | Systems and methods for inferring services on a network |
| US20050157730A1 (en) * | 2003-10-31 | 2005-07-21 | Grant Robert H. | Configuration management for transparent gateways in heterogeneous storage networks |
| JP2005310025A (ja) * | 2004-04-26 | 2005-11-04 | Hitachi Ltd | ストレージ装置、計算機システムおよびイニシエータ認可方法 |
| US7978708B2 (en) * | 2004-12-29 | 2011-07-12 | Cisco Technology, Inc. | Automatic route tagging of BGP next-hop routes in IGP |
| US8037303B2 (en) * | 2006-03-13 | 2011-10-11 | Cisco Technology, Inc. | System and method for providing secure multicasting across virtual private networks |
-
2007
- 2007-01-12 DE DE102007001831A patent/DE102007001831A1/de not_active Withdrawn
- 2007-09-03 EP EP07802090A patent/EP2062400B1/de active Active
- 2007-09-03 US US12/279,958 patent/US8085797B2/en active Active
- 2007-09-03 WO PCT/EP2007/007675 patent/WO2008031515A1/de active Application Filing
- 2007-09-03 ES ES07802090T patent/ES2395860T3/es active Active
- 2007-09-03 CN CN200780033796.9A patent/CN101517986B/zh not_active Expired - Fee Related
-
2008
- 2008-07-15 ZA ZA2008/06142A patent/ZA200806142B/en unknown
- 2008-07-29 IL IL193132A patent/IL193132A/en active IP Right Grant
- 2008-09-04 NO NO20083832A patent/NO337810B1/no unknown
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656803A (zh) * | 2015-11-02 | 2017-05-10 | 华为技术有限公司 | 一种更新路由表项的方法、装置及系统 |
| WO2017076279A1 (zh) * | 2015-11-02 | 2017-05-11 | 华为技术有限公司 | 一种更新路由表项的方法、装置及系统 |
| CN106656803B (zh) * | 2015-11-02 | 2019-01-15 | 华为技术有限公司 | 一种更新路由表项的方法、装置及系统 |
| CN109155779A (zh) * | 2016-02-12 | 2019-01-04 | 杰皮优艾欧有限公司 | 移动安全卸载器 |
| CN109155779B (zh) * | 2016-02-12 | 2021-06-11 | 杰皮优艾欧有限公司 | 移动安全卸载器 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL193132A0 (en) | 2009-02-11 |
| US8085797B2 (en) | 2011-12-27 |
| ES2395860T3 (es) | 2013-02-15 |
| EP2062400B1 (de) | 2012-11-14 |
| NO20083832L (no) | 2008-09-04 |
| WO2008031515A1 (de) | 2008-03-20 |
| CN101517986B (zh) | 2015-08-19 |
| ZA200806142B (en) | 2009-12-30 |
| EP2062400A1 (de) | 2009-05-27 |
| NO337810B1 (no) | 2016-06-27 |
| US20090097416A1 (en) | 2009-04-16 |
| DE102007001831A1 (de) | 2008-03-27 |
| IL193132A (en) | 2013-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7042879B2 (en) | Method and apparatus for transferring a communication session | |
| US7231664B2 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
| US7908475B2 (en) | Method and apparatus for transferring a communicaton session | |
| US8181014B2 (en) | Method and apparatus for protecting the routing of data packets | |
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| US9602485B2 (en) | Network, network node with privacy preserving source attribution and admission control and device implemented method therfor | |
| JP3263878B2 (ja) | 暗号通信システム | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| CN110087236A (zh) | 用于通过无线网络与匿名主机建立安全通信会话的协议 | |
| CN101517986B (zh) | 用于在加密的通信关系中编址和路由的方法和系统 | |
| EP1560396A2 (en) | Method and apparatus for handling authentication on IPv6 network | |
| US20050025160A1 (en) | System and method for grouping multiple VLANs into a single 802.11 IP multicast domain | |
| US20090034738A1 (en) | Method and apparatus for securing layer 2 networks | |
| CN103685467A (zh) | 一种物联网互联互通平台及其通信方法 | |
| US20030037235A1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
| CN102132532A (zh) | 用于避免不需要的数据分组的方法和装置 | |
| CN101854244B (zh) | 一种三段式安全网络架构建立和保密通信方法及其系统 | |
| CN102905199B (zh) | 一种组播业务实现方法及其设备 | |
| US20030131123A1 (en) | Method and apparatus for conveying a security context in addressing information | |
| US7969933B2 (en) | System and method for facilitating a persistent application session with anonymity between a mobile host and a network host | |
| CN103916849A (zh) | 用于无线局域网通信的方法和设备 | |
| Lee et al. | Cross-layered architecture for securing IPv6 ITS communication: example of pseudonym change | |
| Lee et al. | Design of secure arp on MACsec (802.1 Ae) | |
| Simsek | Blind packet forwarding in a hierarchical level-based locator/identifier split | |
| CN113242136A (zh) | 一种基于国密认证的安全白盒网络装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150819 Termination date: 20200903 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |