CN101606142B - 在多个mpls网络上的数据加密 - Google Patents
在多个mpls网络上的数据加密 Download PDFInfo
- Publication number
- CN101606142B CN101606142B CN2007800458412A CN200780045841A CN101606142B CN 101606142 B CN101606142 B CN 101606142B CN 2007800458412 A CN2007800458412 A CN 2007800458412A CN 200780045841 A CN200780045841 A CN 200780045841A CN 101606142 B CN101606142 B CN 101606142B
- Authority
- CN
- China
- Prior art keywords
- data
- network equipment
- network
- label
- cryptographic protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一个网络设备与另一个网络设备协商加密协议,从可信赖客户端设备接收数据,利用协商的加密协议来加密所接收到的数据,并且将标签交换路径(LSP)标签应用于加密的数据,用于通过不可信赖多协议标签交换(MPLS)网络到所述网络设备的传输。
Description
背景技术
为了在一组网络上加密数据,可以由每个网络执行IP层上的数据加密,由此导致多层加密。每层数据加密添加了必须通过网络发送的额外数据,由此增加了通过网络发送数据所必需的时间量。而且,即使仅仅执行一种类型的数据加密,大量信息也被添加到加密的数据的分组报头,由此增加了网络设备所需要的处理。
附图说明
图1是图示可以在其中实施在此描述的系统和方法的示例性系统的图;
图2是图1的多协议标签交换(MPLS)加密设备的示例图;
图3示出可以存储在图2的示例性MPLS加密设备内的示例性数据表;以及
图4A-4C是图示由图1的系统执行的示例性处理的流程图。
具体实施方式
下面的示例性实施例的详细描述参考附图。在不同的附图中的相同附图标记可以指相同或者相似的元件。而且,下面的详细描述不限制所述实施例。在此所述的系统和方法可以在一组不可信赖MPLS网络上提供数据加密。
图1是图示可以在其中实施在此描述的系统和方法的示例性系统100的图。在一种实施方式中,系统100可以包括,例如通过一组链路111连接的一组网络设备110,其可以形成MPLS网络120-1和120-2(统称为“MPLS网络120”)。系统100还可以包括一组MPLS加密器130-1、130-2和130-3(统称为“MPLS加密器130”)、一组网络140-1和140-2(统称为“网络140”)和一组客户端设备150-1和150-2(统称为“客户端设备150”)。应当理解在系统100中所示的部件的数目是示例性的。在实践中,系统100可以包括比图1中所示的更多或者更少的部件。
网络设备110可以包括任何网络设备,诸如计算机、路由器、交换机、网络接口卡(NIC)、集线器、桥接器等。在一种实施方式中,网络设备110可以包括标签交换路由器(LSR)。网络设备110可以包括一个或多个输入端口和输出端口,这些端口允许到其他网络设备110的通信。可以经由链路111连接网络设备110。链路111可以包括允许网络设备110之间的通信的一个或多个路径,诸如有线、无线和/或光连接。例如被配置为LSR的网络设备可以从MPLS加密器130接收数据报。“数据报”可以包括任何类型或者形式的数据,诸如分组或者非分组数据。每个网络设备110可以沿着标签交换路径(LSP)被配置为LSR,并且可以基于MPLS报头(例如,MPLS垫片(shim)报头)中承载的标签来作出转发决定。即,数据报转发过程可以基于标签交换的概念。以这种方式,LSP可以识别数据报穿过MPLS网络120所采用的网络设备110和链路111的具体路径。可以例如由每个网络设备110沿着LSP转发标记的数据报,直到所述标记的数据报最后到达MPLS加密器130,MPLS加密器130可以被配置为出口LSR。出口MPLS加密器130或者在MPLS加密器130之前的LSR(例如,网络设备110)可以从数据报移除MPLS报头。
为了优化路由或者路径选择过程,LSP的物理路径可以不限于执行内部网关协议(IGP)的一个或多个路由器所选择以到达目的地的最短路径。可以使用显式路由来限定LSP的物理路径。显式路由可以是限定LSP的物理路径的、预先配置的网络设备110(即,LSR)的序列。显式路由可以允许不遵从通过传统的IP路由(例如,通过IGP)建立的最短路径路由的物理路径被限定。例如,显式路由可以用于对网络120中的拥塞点周围的业务进行路由,用于优化整个网络120的资源利用,并且/或者用于满足网络和管理策略限制。
网络120可以包括可以形成如上所述的MPLS网络的通过链路111互连的一组网络设备110。虽然在每个网络120中示出了四个网络设备110和五个链路111,可以在其他实施方式中使用更多或者更少的网络设备110和链路111。网络120还可以包括协助通过网络120转发数据的其他设备(未示出)。
MPLS加密器130可以包括用于接收、加密和在网络之间发送数据的一个或多个设备。在一种实施方式中,MPLS加密器130可以被配置为网络120的入口LSR(数据报的进入点)、和/或出口LSR(数据报的退出点)。MPLS加密器130可以接收数据报,并且可以基于多种因素来将数据报分类到转发等价类(FEC)中。FEC可以包括可以被同样地看作用于转发目的的数据报集合,并且可以被映射到单个标签。数据报可以被封装在MPLS报头中,所述MPLS报头可以包含短的、固定长度的、局部指配的标签,所述标签可以基于FEC。MPLS加密器130可以利用MPLS报头将数据报转发到下一跳的LSR,例如到下一个网络设备110。
网络140可以包括一个或多个网络,所述网络包括网际协议(IP)网络、城域网(MAN)、广域网(WAN)、局域网(LAN)或者网络的组合。在一种实施方式中,网络140可以被称为专用或者可信赖网络。网络140还可以包括用于向/从其他连接的网络设备发送/接收数据的设备,诸如交换机、路由器、防火墙、网关和/或服务器(未示出)。
网络140可以是硬连线的,使用有线导体和/或光纤;并且/或者网络140可以是无线的,使用自由空间光传输路径和/或射频(RF)传输路径。在此所述的网络140和/或在网络140上工作的设备的实施方式不限于任何特定的数据类型和/或协议。
客户端设备150可以包括允许用户与其他用户建立数据连接以及语音和/或视频呼叫的一个或多个设备。客户端设备150可以包括个人计算机、膝上型计算机、个人数字助理(PDA)、电话设备和/或其他类型的通信设备。
在图1中以虚线示出的界线160可以限定可信赖和不可信赖网络(例如,网络120和140)及设备之间的界线。例如,网络140可以被称为“可信赖”网络,客户端设备150可以被称为“可信赖”客户,并且网络120可以被称为“不可信赖”网络。例如,可信赖网络可以是专用网络,并且不可信赖网络可以是公共网络,诸如因特网。
图2是单个MPLS加密器130的示例图。MPLS加密器130可以包括输入端口210、交换机制220、输出端口230、控制单元240和加密引擎280。界线160(如也在图1中以虚线示出的一样)可以限定MPLS加密器130的可信赖和不可信赖部分之间的界线。例如,在线160之上的输入端口210、交换机制220、输出端口230和控制单元240可以被称为“可信赖”输入端口210-T、“可信赖”交换机制220、“可信赖”输出端口230-T和“可信赖”控制单元240-T。同样,在线160之下的输入端口210、交换机制220、输出端口230和控制单元240可以被称为“不可信赖”输入端口210-U、“不可信赖”交换机制220-U、“不可信赖”输出端口230-U和“不可信赖”控制单元240-U。加密引擎280可以对从MPLS加密器130的可信赖和不可信赖侧接收到的数据执行加密和解密。
输入端口210可以连接到网络120和140以接收数据。例如,可信赖输入端口210-T可以从诸如网络140-1的可信赖网络接收数据,并且不可信赖输入端口210-U可以从诸如网络120-1的不可信赖网络接收数据。输入端口210可以包括用于执行数据链路层封装和解封装的逻辑。输入端口210还可以包括用于向交换机制220转发所接收到的数据的逻辑。输入端口210可以从网络120和140接收数据,并且可以运行数据链路级协议和/或多种更高级的协议。
交换机制220可以从输入端口210接收数据,并且确定到输出端口230的连接。交换机制220可以被控制单元240控制,以便向可信赖输出端口230-T切换数据或者向不可信赖输出端口230-U切换数据。可以使用许多不同的技术来实施交换机制220。例如,可以使用总线、交叉开关(crossbar)和/或共享存储器来实施交换机制220。总线可以链接输入端口210和输出端口230。交叉开关可以提供通过每个交换机制220的多个同时的数据路径。在共享存储器方案中,进入的数据报可以被存储在共享存储器内,并且可以切换指向数据报的指针。交换机制220还可以向加密引擎280提供数据,用于如下所述的数据加密和解密。
输出端口230可以连接到网络120和140用于数据传输。例如,可信赖输出端口230-T可以输出将通过诸如网络140-1的可信赖网络发送的数据,并且不可信赖输出端口230-U可以输出将通过诸如网络120-1的不可信赖网络发送的数据。输出端口230可以包括执行支持优先权和保证的调度算法的逻辑,并且可以运行数据链路级协议和/或多个更高级的协议。
控制单元240可以控制交换机制220以经由加密引擎280将输入端口210互连到输出端口230。例如,不可信赖控制单元240-U可以使不可信赖交换机制220-U能够经由加密引擎280将不可信赖输入端口210-U连接到不可信赖输出端口230-U。在另一个示例中,可信赖控制单元240-T可以使可信赖交换机制220-T能够将来自可信赖输入端口210-T的传输通过加密引擎280引导至不可信赖交换机制220-U,以连接到不可信赖输出端口230-U。在又一个示例中,可信赖控制单元240-T还可以使可信赖交换机制220-T能够将可信赖输入端口210-T连接到可信赖输出端口230-T。控制单元240还可以实施路由协议,并且/或者运行软件来配置网络120和140之间的传输。控制单元240可以进一步控制MPLS加密器130之间的通信。例如,控制单元240可以控制用于协商LSP标签和加密协议的传输。
在一种实施方式中,每个控制单元240可以包括传输保护250、处理器260和存储器270。传输保护250可以包括可以引导或者禁止可信赖和不可信赖网络之间的传输的硬件和软件机制。例如,传输保护250可以将来自可信赖网络140的传输通过交换机制220和加密引擎280引导至不可信赖网络120。传输保护250也可以阻止来自不可信赖网络120的传输进入可信赖网络140。处理器260可以包括微处理器或者处理逻辑,其可以解析和执行指令。存储器270可以包括随机存取存储器(RAM)、只读存储器(ROM)设备、磁和/或光记录介质及其对应驱动器、和/或可以存储由处理器260执行的信息和指令的另一类型的静态和/或动态存储设备。存储器270也可以存储标签信息库(LIB),其可以包含一组LSP标签和加密协议信息,如下所述。
加密引擎280可以对可能从其他MPLS加密器130发送或者接收的数据进行加密和解密。加密引擎280可以包括一个或多个存储程序,该存储程序包括用于加密和解密数据的加密协议。如下所述,为了建立通过网络120的LSP,MPLS加密器130的可信赖和不可信赖侧的每一侧可以在存储器270中建立LIB,其可以将数据映射到外出LSP标签。参考图3,例如,数据表或者LIB 310可以被存储在MPLS加密器130的可信赖侧的可信赖存储器270-T中,并且可以在表中包含两个相关联的列。数据表或者LIB 320可以被存储在MPLS加密器130的不可信赖侧的不可信赖存储器270-U中,并且可以在表中包含四个相关联的列。
在一个示例中,数据表310可以用于将从可信赖网络140-1接收到的数据映射到LSP标签,用于通过不可信赖网络120-1的传输。数据表310可以包括加密列330和LSP出列340。数据表310的加密列330可以包含识别定义的加密程序和/或协议的信息。例如,加密列330可以包括“E1”、“E2”、“E3”和“E4”,其可以表示识别可以被存储在加密引擎280内的四个不同加密协议的信息。
LSP出列340可以包含与通过网络120-1的连接相关联的LSP标签。每个LSP标签可以与加密列330中的对应加密协议相关联,其中,在加密列330中的对应加密协议可以用于数据加密。例如,LSP出列340可以存储LSP标签“LSP1”、“LSP2”、“LSP3”和“LSP4”,其可以用于建立通过不可信赖网络120-1的连接。例如,可以使用加密协议“E3”来加密从可信赖网络140-1接收到的数据,并且LSP标签“LSP3”可以被应用于加密的数据,用于通过不可信赖网络120-1的传输。
数据表320可以包括LSP入列350、加密入列360、加密出列370和LSP出列380。数据表320可以用于将从第一不可信赖网络(例如,网络120-1)接收到的、具有进入LSP标签和进入加密协议的数据映射到外出加密协议和外出LSP标签,用于通过第二不可信赖网络(例如,网络120-2)的传输。
数据表320的LSP入列350可以包含识别通过不可信赖输入端口210-U接收到的LSP标签的信息。例如,LSP入列350可以存储LSP标签“LSP5”、“LSP6”、“LSP7”和“LSP8”,其可以识别可以从不可信赖网络120-1接收到的LSP标签。具有LSP入列350中的LSP标签的进入数据可以被映射到LSP出列380中的对应外出LSP标签。
数据表320的加密入列360可以包含识别进入加密协议的信息。例如,加密入列360可以存储“E1”、“E2”、“E3”和“E4”,其可以表示识别可以被存储在加密引擎280中的四个不同加密程序和/或协议的信息。
数据表320的加密出列370可以包含识别外出加密程序和/或协议的信息。例如,加密出列370可以存储“E2”、“E3”、“E4”和“E1”,其可以表示识别可以被存储在加密引擎280中的四个不同加密协议的信息。
LSP出列380可以包含用于标记数据以用于通过不可信赖网络120-2的传输的LSP标签。例如,LSP出列380可以存储LSP标签“LSP9”、“LSP10”、“LSP11”和“LSP12”,其可以用于通过不可信赖网络120-2来发送数据。例如,如果通过不可信赖端口230-U从不可信赖网络120-1接收到具有进入标签“LSP7”和加密协议“E3”的数据,则可以使用加密协议“E3”解密所述数据,使用对应加密协议“E4”重新加密所述数据,并且可以将外出标签“LSP11”应用到所述数据,以用于通过不可信赖网络120-2的传输。提供图3中所示的MPLS加密器130的可信赖和不可信赖侧中的LIB数据表仅仅用于解释的目的。数据表310和320可以包括除图3中所示以外的其他信息。可以如以下参考图4A-4C所述的来创建数据表310和320中的条目。
使用数据表310,经由可信赖输入端口210-T接收到的数据可以在被发送到不可信赖输出端口230-U以通过不可信赖网络120发送之前,经过加密引擎280加密。使用数据表320,经由不可信赖输入端口210-U从不可信赖网络120-1接收到的数据可以被加密引擎280解密和重新加密,并且被发送到不可信赖输出端口230-U,以通过不可信赖网络120-2发送。
在数据已经被MPLS加密器130加密、标记和输出之后,网络设备110可以基于所应用的LSP标签来将所述数据作为数据报通过MPLS网络120沿着链接111转发。LSP标签可以在每个网络设备110处被交换成新标签。以这种方式,LSP标签可以识别数据报穿过MPLS网络120可能采用的网络设备110和链路111的具体路径。
在此所述的MPLS加密器130可以执行特定的操作,如下详细描述。每个MPLS加密器130可以响应于处理器260执行在诸如存储器270的计算机可读介质中包含的软件指令而执行这些操作。
可以将所述软件指令从另一个计算机可读介质,诸如数据存储设备,或者经由通信接口从另一个设备读入到存储器270中。在存储器270中包含的软件指令可以使得处理器260执行如下所述的过程。作为替代方式,可以使用硬连线电路来替代软件指令或者与其结合,以实施符合各个实施例的原理的过程。因此,符合示例性实施例的原理的实施方式不限于硬件电路和软件的任何具体组合。
图4A-4C图示了由系统100执行的示例性处理400。例如,在一种实施方式中,处理400可以在可信赖客户端,诸如可信赖客户端150-1向可信赖网络,诸如网络140-1发送数据时开始(行为405)。例如,可信赖客户端150-1可能期望与可信赖客户端150-2进行通信,并且建立到可信赖客户端150-2的连接。然后,可信赖网络140-1可以向MPLS加密器130-1发送数据(行为410)。响应于接收到该数据,MPLS加密器130-1可以向MPLS加密器130-3发送加密请求信号(行为415)。例如,MPLS加密器130-1可以向MPLS加密器130-3发送指示特定加密协议的信号。
在接收到这个加密请求信号时,MPLS加密器130-1和130-3可以协商第一加密协议,并且确定第一LSP标签(行为420)。例如,MPLS加密器130-3可以访问存储器270,以确定所存储的加密协议并且启用LSP标签。然后,MPLS加密器130-3可以向MPLS加密器130-1发送响应(行为425)。该响应可以包括确认可以被用于通过网络120-1在加密器130-1和130-3之间通信的第一加密协议和第一LSP标签的信息。例如,MPLS加密器130-3可以利用指示加密协议“E3”和LSP标签“LSP3”的信息来响应MPLS加密器130-1,加密协议“E3”和LSP标签“LSP3”可以被存储在数据表310中,如图3中所示。
为了通过网络120-2发送数据,MPLS加密器130-3可以向MPLS加密器130-2发送加密请求信号(行为430)。在接收到加密请求信号时,MPLS加密器130-2和130-3可以协商第二加密协议,并且确定第二LSP标签(行为435)(图4B)。例如,MPLS加密器130-2可以访问存储器270,以确定所存储的加密协议,并且启用LSP标签。然后,MPLS加密器130-2可以向MPLS加密器130-3发送响应(行为440)。所述响应可以包括指示第二加密协议和第二LSP标签的信息,所述信息可以用于通过网络120-2在加密器130-3和130-2之间的通信。例如,MPLS加密器130-2可以利用指示加密协议“E4”和LSP标签“LSP11”的信息来响应MPLS加密器130-3,所述加密协议“E4”和LSP标签“LSP11”可以被存储在MPLS加密器130-3的数据表320中。
MPLS加密器130-1可以使用第一加密协议来加密来自可信赖客户端140-1的数据(行为445)。例如,加密引擎280可以使用如在数据表310中指示的第一协商的加密协议(例如,“E3”)(如在行为420中所确定的)来加密数据。在加密了所述数据之后,可以应用在行为420中协商的LSP标签,并且可以发送数据(行为450)。例如,使用数据表310,MPLS加密器130-1可以将LSP标签“LSP3”应用到利用加密协议“E3”加密的数据。MPLS加密器130-3可以接收和解密所发送的数据(行为455)。例如,使用数据表320,可以使用加密协议“E3”来解密在LSP标签“LSP7”上接收到的数据。一旦数据被解密,可以使用第二加密协议来加密该数据(行为460)。例如,可以使用在数据表320内存储的(如在行为435中协商的)加密协议“E4”。
在利用第二加密协议加密后,LSP标签可以被应用,并且数据可以被发送(行为465)。例如,使用数据表320的相关联的列370和380,MPLS加密器130-3可以应用协商的加密协议和LSP标签用于到MPLS加密器130-2的传输。例如,可以将LSP标签“LSP11”应用到可以被发送并且使用加密协议“E4”加密的数据。由MPLS加密器130-3发送的数据可以被MPLS加密器130-2接收和解密(行为470)。例如,MPLS加密器130-2可以使用在行为435中确定的并且在数据表320内存储的协商的加密协议来解密所接收到的数据。在解密后,所述数据然后可以被发送到可信赖客户端140-2(行为475)。
以这种方式,处理400可以提供用于通过一组不可信赖网络120在两个可信赖网络(140-1和140-2)之间的通信的数据加密。也应当明白,处理400是示例性的,并且例如,在可信赖网络140之间可以包括多于两个不可信赖MPLS网络120。在这种情况下,如上所述的示例性行为也可以被应用到所有网络。例如,MPLS加密器130-2可以与下一个MPLS加密器130协商加密协议和LSP标签,以在另一个不可信赖网络120上建立LSP连接。
在其他实施例中,可以使用单个加密协议来加密来自可信赖网络140-1的数据。例如,MPLS加密器130-1可以与MPLS加密器130-3协商加密协议,并且可以加密从可信赖网络140-1接收到的数据。加密的数据可以被标记并且被发送到MPLS加密器130-3。例如,MPLS加密器130-3可以与MPLS加密器130-2协商,来使用可以由MPLS加密器130-1使用的相同加密协议。例如,MPLS加密器130-3可以将LSP标签应用到从MPLS加密器130-1接收到的数据,以向MPLS加密器130-2发送所接收到的数据,而不解密和重新加密所接收到的数据。
在进一步的其他实施例中,单个不可信赖网络120可以例如在可信赖网络140-1和140-2之间。在这个示例性实施例中,可以要求两个MPLS加密器130,并且可以协商单个加密协议和LSP。
前面对示例性实施例的描述提供了说明和描述,但是不意在是穷尽性的,或者将所述实施例限于所公开的确切形式。修改和改变根据上述的教程是可能的,或者可以从实施例的实践被获得。
而且,虽然已经参考图4A-4C的流程图描述了一系列行为,但是符合实施例的原理的行为次序可以在其他实施方式中不同。而且,可以并行地执行非附属行为。
可以通过附图中说明的实施方式中的软件、固件和硬件的许多不同形式来实施如上所述的实施例。用于实施在此所述的实施例的实际软件代码或者专门的控制硬件不是本发明的限制。因此,未参考具体软件代码描述了实施例的操作和行为——将理解人们能够根据此处的描述来设计软件和控制硬件以实施所述实施例。
除非明确地说明,在本申请中使用的元件、行为或者指令都不应当被解释为对于在此所述的系统和方法是关键或者必要的。而且,在此使用的不加数量词的项目意在包括一个或多个项目。当仅意指一个项目时,使用术语“一个”或者类似的语言。而且,短语“基于”意在表示“至少部分地基于”,除非另外明确地说明。
Claims (16)
1.一种用于通过多协议标签交换(MPLS)网络发送数据的方法,该方法包括:
由第一加密设备与第二加密设备协商加密协议;
由所述第一加密设备与所述第二加密设备协商标签交换路径(LSP)标签;
由所述第一加密设备从可信赖客户端设备接收数据;
由所述第一加密设备利用所述协商的加密协议来加密所接收到的数据;
由所述第一加密设备将所述标签交换路径标签应用于所述加密的数据;以及
由所述第一加密设备将所述加密的数据通过所述多协议标签交换网络发送到所述第二加密设备。
2.根据权利要求1所述的方法,进一步包括:
从所述第二加密设备接收指示所述协商的加密协议的信号。
3.根据权利要求2所述的方法,进一步包括:
基于从所述第二加密设备接收到的信号从存储器中选择所述协商的加密协议。
4.根据权利要求1所述的方法,其中,所述可信赖客户端设备处于可信赖网络中,并且所述多协议标签交换网络是不可信赖网络。
5.一种用于通过不可信赖多协议标签交换(MPLS)网络发送数据的网络设备,其中多个加密协议存储在该网络设备的存储器中,该网络设备包括:
用于向第二网络设备发送请求以协商所述多个加密协议中的加密协议的装置,
用于与所述第二网络设备协商标签交换路径(LSP)标签的装置,
用于基于来自所述第二网络设备的响应从所述存储器中选择所述加密协议中的一个的装置,
用于从可信赖客户端设备接收数据的装置,
用于利用所选择的加密协议来加密所接收到的数据的装置,以及
用于将所述标签交换路径标签应用于所述加密的数据以用于通过所述不可信赖多协议标签交换网络到所述第二网络设备的传输的装置。
6.根据权利要求5所述的网络设备,其中,所述协商的标签交换路径标签被存储在所述存储器中。
7.根据权利要求5所述的网络设备,其中,所述可信赖客户端设备处于可信赖网络中。
8.根据权利要求5所述的网络设备,还包括:
用于将从输入端口接收到的数据通过加密引擎切换到输出端口的装置。
9.一种用于相对于数据来协商加密协议以及标签交换路径(LSP)标签的系统,该系统包括:
第一网络设备;
第二网络设备;以及
第三网络设备,
其中,所述第一网络设备被配置用于:
与第二网络设备协商第一加密协议和第一标签交换路径标签,
从可信赖网络接收数据,以及
利用所协商的所述第一加密协议来加密所接收到的数据,并且应用所述第一标签交换路径标签,用于所述加密的数据到所述第二网络设备的传输,并且
其中,所述第二网络设备被配置用于:
从所述第一网络设备接收所述加密的数据,
利用所协商的所述第一加密协议来解密所接收到的数据,
与所述第三网络设备协商第二加密协议和第二标签交换路径标签,其中对所述第二加密协议的协商发生在所述第一网络设备利用所协商的所述第一加密协议来加密所接收到的数据并且应用所述第一标签交换路径标签之前,
利用所述第二加密协议来重新加密所述解密的数据,以及
应用所述第二标签交换路径标签,用于所述重新加密的数据到所述第三网络设备的传输。
10.根据权利要求9所述的系统,其中,所述第一网络设备进一步被配置用于:
将所协商的所述第一标签交换路径标签存储在存储器中。
11.根据权利要求10所述的系统,其中,所述第一网络设备进一步被配置用于:
从多个加密协议中选择所协商的所述第一加密协议。
12.根据权利要求9所述的系统,其中,从所述可信赖网络接收到的数据是从可信赖客户端设备发送的。
13.根据权利要求9所述的系统,其中,所述第二网络设备进一步被配置用于:
将所协商的所述第一和第二加密协议存储在存储器中。
14.一种用于相对于数据来协商加密协议以及标签交换路径(LSP)标签的网络设备,其中多个加密协议存储在该网络设备的存储器中,所述网络设备包括:
用于与第一网络设备协商第一加密协议的装置,
用于与所述第一网络设备协商第一标签交换路径标签的装置,
用于与第二网络设备协商第二加密协议的装置,
用于与所述第二网络设备协商第二标签交换路径标签的装置,
用于从所述第一网络设备接收加密的数据的装置,其中所接收的数据包括所协商的第一标签交换路径标签,
用于利用所述第一加密协议来解密所接收到的数据,并且利用所述第二加密协议来重新加密所述数据的装置,以及
用于对所述重新加密的数据应用所述第二标签交换路径标签以用于所述重新加密的数据到所述第二网络设备的传输的装置。
15.根据权利要求14所述的网络设备,其中,所述第一和第二标签交换路径标签被存储在所述存储器中。
16.根据权利要求14所述的网络设备,还包括:
用于从所述存储器中选择所述第一和第二加密协议的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/609,103 | 2006-12-11 | ||
| US11/609,103 US8332639B2 (en) | 2006-12-11 | 2006-12-11 | Data encryption over a plurality of MPLS networks |
| PCT/US2007/086929 WO2008073870A1 (en) | 2006-12-11 | 2007-12-10 | Operating data processing apparatus for setting a state of a user application |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101606142A CN101606142A (zh) | 2009-12-16 |
| CN101606142B true CN101606142B (zh) | 2013-04-10 |
Family
ID=39498043
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800458412A Expired - Fee Related CN101606142B (zh) | 2006-12-11 | 2007-12-10 | 在多个mpls网络上的数据加密 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8332639B2 (zh) |
| CN (1) | CN101606142B (zh) |
| HK (1) | HK1136883A1 (zh) |
| WO (1) | WO2008073870A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010045672A1 (en) * | 2008-10-20 | 2010-04-29 | Alcatel Lucent | Network security method and apparatus |
| CN102780558A (zh) * | 2012-04-28 | 2012-11-14 | 华为终端有限公司 | 数据加密、传输方法、算法分配方法、设备和系统 |
| GB2529454A (en) * | 2014-08-20 | 2016-02-24 | Starleaf Ltd | An electronic system for forming a control channel between an electronic device and a videotelephone device |
| CN107846567B (zh) * | 2017-11-02 | 2020-12-29 | 苏州科达科技股份有限公司 | 一种srtp能力协商方法及会议终端 |
| US11210430B2 (en) * | 2019-04-02 | 2021-12-28 | Dell Products L.P. | System and method to negotiate encryption responsibilities between an encryption capable controller and a self encrypting drive |
| JP2022170435A (ja) * | 2021-04-28 | 2022-11-10 | キヤノン株式会社 | 情報処理装置とその制御方法、及びプログラム |
| US11882029B2 (en) | 2022-05-13 | 2024-01-23 | Juniper Networks, Inc. | Securing multiprotocol label switching (MPLS) payloads |
| US20240089105A1 (en) * | 2022-09-12 | 2024-03-14 | Capital One Services, Llc | Systems and methods for user control and exclusion of cryptographic tokenized data |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1593033A (zh) * | 2002-02-01 | 2005-03-09 | 思科技术公司 | 应用一次性密码本安全地储存和传送数据的方法和系统 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6742015B1 (en) | 1999-08-31 | 2004-05-25 | Accenture Llp | Base services patterns in a netcentric environment |
| JP3790655B2 (ja) * | 2000-03-06 | 2006-06-28 | 富士通株式会社 | ラベルスイッチネットワークシステム |
| EP1133132B1 (en) | 2000-03-10 | 2007-07-25 | Alcatel Lucent | Method to perfom end-to-end authentication, and related customer premises network termination and access network server |
| US6622050B2 (en) | 2000-03-31 | 2003-09-16 | Medtronic, Inc. | Variable encryption scheme for data transfer between medical devices and related data management systems |
| US7788354B2 (en) * | 2000-07-28 | 2010-08-31 | Siddhartha Nag | End-to-end service quality in a voice over Internet Protocol (VoIP) Network |
| US7209473B1 (en) * | 2000-08-18 | 2007-04-24 | Juniper Networks, Inc. | Method and apparatus for monitoring and processing voice over internet protocol packets |
| CA2385999A1 (en) * | 2001-05-15 | 2002-11-15 | Tropic Networks Inc. | Method and system for allocating and controlling labels in multi-protocol label switched networks |
| US7477657B1 (en) * | 2002-05-08 | 2009-01-13 | Juniper Networks, Inc. | Aggregating end-to-end QoS signaled packet flows through label switched paths |
| US20030212768A1 (en) | 2002-05-09 | 2003-11-13 | Gateway, Inc. | System and method for centralizing and synchronizing network configuration data |
| GB0215013D0 (en) * | 2002-06-28 | 2002-08-07 | Nokia Corp | Communications system and method |
| US7417950B2 (en) * | 2003-02-03 | 2008-08-26 | Ciena Corporation | Method and apparatus for performing data flow ingress/egress admission control in a provider network |
| US7386630B2 (en) * | 2003-04-30 | 2008-06-10 | Nokia Corporation | Using policy-based management to support Diffserv over MPLS network |
| US20050223111A1 (en) * | 2003-11-04 | 2005-10-06 | Nehru Bhandaru | Secure, standards-based communications across a wide-area network |
| US20050177749A1 (en) * | 2004-02-09 | 2005-08-11 | Shlomo Ovadia | Method and architecture for security key generation and distribution within optical switched networks |
| US7821929B2 (en) * | 2004-04-05 | 2010-10-26 | Verizon Business Global Llc | System and method for controlling communication flow rates |
| JP2005340937A (ja) * | 2004-05-24 | 2005-12-08 | Fujitsu Ltd | Mplsネットワーク及びその構築方法 |
| US7676838B2 (en) * | 2004-07-26 | 2010-03-09 | Alcatel Lucent | Secure communication methods and systems |
| US7886145B2 (en) * | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
| US20060123225A1 (en) * | 2004-12-03 | 2006-06-08 | Utstarcom, Inc. | Method and system for decryption of encrypted packets |
| US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
| US8331243B2 (en) * | 2006-02-24 | 2012-12-11 | Rockstar Consortium USLP | Multi-protocol support over Ethernet packet-switched networks |
| US20070206602A1 (en) * | 2006-03-01 | 2007-09-06 | Tellabs San Jose, Inc. | Methods, systems and apparatus for managing differentiated service classes |
| US20070274286A1 (en) * | 2006-05-24 | 2007-11-29 | Ranganathan Krishnan | Overhead reduction in an ad-hoc wireless network |
| US20080101367A1 (en) * | 2006-10-31 | 2008-05-01 | Weinman Joseph B | Method and apparatus for providing security policy based route selection |
-
2006
- 2006-12-11 US US11/609,103 patent/US8332639B2/en active Active
-
2007
- 2007-12-10 CN CN2007800458412A patent/CN101606142B/zh not_active Expired - Fee Related
- 2007-12-10 WO PCT/US2007/086929 patent/WO2008073870A1/en active Application Filing
-
2010
- 2010-02-26 HK HK10102085.0A patent/HK1136883A1/xx not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1593033A (zh) * | 2002-02-01 | 2005-03-09 | 思科技术公司 | 应用一次性密码本安全地储存和传送数据的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080137845A1 (en) | 2008-06-12 |
| CN101606142A (zh) | 2009-12-16 |
| WO2008073870A1 (en) | 2008-06-19 |
| US8332639B2 (en) | 2012-12-11 |
| HK1136883A1 (en) | 2010-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101606142B (zh) | 在多个mpls网络上的数据加密 | |
| US11374848B2 (en) | Explicit routing with network function encoding | |
| US10404600B2 (en) | Mechanism and apparatus for path protection when using compressed segment routing label stacks | |
| US9036467B1 (en) | Method for accelerating failover of VPN traffic in an MPLS provider network | |
| US7236597B2 (en) | Key transport in quantum cryptographic networks | |
| CN106105130B (zh) | 一种在源路由中提供熵源的方法和设备 | |
| US8279864B2 (en) | Policy based quality of service and encryption over MPLS networks | |
| CN112189323A (zh) | 使用安全分段标识符进行分段路由 | |
| CN107040462A (zh) | 路由方法和中间路由器 | |
| Li et al. | Improving SDN scalability with protocol-oblivious source routing: A system-level study | |
| CN107113239A (zh) | 包混淆和包转发 | |
| CN110352586B (zh) | 用于保留网络中的数据分组的相对定时和排序的方法和装置 | |
| EP3861690B1 (en) | Securing mpls network traffic | |
| US20170366461A1 (en) | Techniques for decreasing multiprotocol label switching entropy label overhead | |
| CN107135152B (zh) | 一种分组传送网中传输关键信息的安全加固方法 | |
| CN103368844B (zh) | Mpls网络中的报文处理方法及标签交换路由器 | |
| Gomes et al. | KAR: Key-for-any-route, a resilient routing system | |
| CN102387027B (zh) | 一种网络配置方法、环形网络系统和一种节点 | |
| US7269639B1 (en) | Method and system to provide secure in-band management for a packet data network | |
| CN101558401A (zh) | 在多个mpls网络上的服务质量和加密 | |
| CN102415061A (zh) | 分组洪水控制 | |
| Huang et al. | Congestion aware fast link failure recovery of SDN network based on source routing | |
| CN115865845A (zh) | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 | |
| US6842788B1 (en) | Computing and using resource colors for composite links | |
| WO2018054197A1 (en) | Method and apparatus for path selecting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1136883 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: VERIZON SERVICES ORG INC. Free format text: FORMER OWNER: FED NETWORK SYSTEMS LLC Effective date: 20130621 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130621 Address after: new jersey Patentee after: Verizon Services Org Inc. Address before: Virginia Patentee before: Fed Network Systems LLC |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1136883 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130410 Termination date: 20141210 |
|
| EXPY | Termination of patent right or utility model |