【技术实现步骤摘要】
【国外来华专利技术】用于为时间感知的端到端分组流网络提供网络安全性的方法和装置
本专利技术涉及分组网络中的数据传输。本专利技术特别地涉及用于受保护的时间感知的分组流网络中的数据业务的端到端和/或分段加密和/或认证的方法和装置。
技术介绍
在诸如监测高压线路之类的任务关键系统的网络或其他工业自动化控制系统(IACS)的网络中,许多应用仍然依赖于传统的面向连接的技术。对于应用设计的更高层,发送方和接收方之间的关系能被视为直接有线数据链路。当研究像操纵高速列车、控制空中交通或高压线路自动化等应用时,作用方和反应方之间的直接确定性关系大大简化了系统设计的更高层,并有助于当今的高整体系统可靠性。出于诸如增加的灵活性之类的各种原因,可能期望执行通过分组网络的数据传输,对于任务关键网络也是如此。在这种情况下,时分复用(TDM)网络中固有的数据完整性可能不再存在。在某种程度上,例如对于非敌对环境,多路径标签交换传送子集(MPLS-TP)允许利用面向连接的范例的一些优点。尽管如此,在过载情形和发生故障期间,端到端数据路径或链路不能被看作直接有线连接。分组网络的强大操控能力(像来往于流中删除、复制和添加分组)提供了关于网络攻击的非常重大的危险。将期望给通过定时确定性分组网络诸如MPLS-TP之类的的端到端路径提供增强的安全性。
技术实现思路
本专利技术的目的是要提供对于分组网络中的数据传输的给予增强的安全性改进的方法、装置和系统。特别地,目的是要提供操作以提供定时确定性分组网络中的加密和/或认证数据传输同时提供对网络攻击的高鲁棒性的改进的方法、装置和系统。根据示范性实施例,提供了用于跨复杂和网状网络 ...
【技术保护点】
1.一种提供通过分组网络中的端到端数据路径的安全通信的方法,其中所述分组网络是包括执行分组处置的多个分组引擎(12,22,32;61‑64;141,142;161,162;211‑214)的定时确定性分组网络,所述方法包括:由多个密码引擎(14,24,43;71‑74;143‑146;163‑166;221‑224)执行至少一个网络安全性功能,其中所述多个密码引擎(14,24,43;71‑74;143‑146;163‑166;221‑224)中的每个密码引擎分别与所述多个分组引擎(12,22,32;61‑64;141,142;161,162;211‑214)中的相应分组引擎关联,并与所述相应分组引擎分开提供,其中所述密码引擎(14,24,43;71‑74;143‑146;163‑166;221‑224)中的至少一些被分别提供在:与所述分组网络的端点节点关联的相应分组引擎(12,22,32;61‑64;141,142;161,162;211‑214)和所述端点节点的网络面向的端口之间,或者与所述端点节点关联的所述相应分组引擎(12,22,32;61‑64;141,142;161,162; ...
【技术特征摘要】
【国外来华专利技术】2017.03.08 US 62/468808;2017.03.08 US 62/468845;201.一种提供通过分组网络中的端到端数据路径的安全通信的方法,其中所述分组网络是包括执行分组处置的多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)的定时确定性分组网络,所述方法包括:由多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)执行至少一个网络安全性功能,其中所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)中的每个密码引擎分别与所述多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)中的相应分组引擎关联,并与所述相应分组引擎分开提供,其中所述密码引擎(14,24,43;71-74;143-146;163-166;221-224)中的至少一些被分别提供在:与所述分组网络的端点节点关联的相应分组引擎(12,22,32;61-64;141,142;161,162;211-214)和所述端点节点的网络面向的端口之间,或者与所述端点节点关联的所述相应分组引擎(12,22,32;61-64;141,142;161,162;211-214)和连接到所述端点节点的第一传输节点(55-58)之间;并且由密码引擎和密钥管理器CEKM(44)集中控制所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)。2.如权利要求1所述的方法,还包括:由集中式分组流路径管理器PFPM(42)设立所述分组网络的所述端到端数据路径的端点节点(140;53,54)和中间传输节点(160;55-58),可选地,其中所述PFPM(42)通信地连接到所述分组网络的所有端点节点(140;53,54)和中间传输节点(160;55-58)。3.如权利要求2所述的方法,其中所述CEKM(44)在第一服务器上被执行,而所述PFPM(42)在不同于所述第一服务器的第二服务器上被执行。4.如权利要求2或3所述的方法,还包括:约束由所述CEKM(44)向所述PFPM(42)提供的信息。5.如权利要求3或4所述的方法,还包括:由所述CEKM(44)发现所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)的硬件定义的标识符,以及由所述CEKM(44)向所述PFPM(42)提供所述硬件定义的标识符,其中所述CEKM(44)仅向所述PFPM(42)提供所述硬件定义的标识符和警报。6.如权利要求2至5中的任一项所述的方法,其中所述CEKM(44)从所述PFPM(42)接收与端到端数据路径的数据流拓扑相关的信息,以用于配置所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224),可选地,其中与所述数据流拓扑相关的所述信息包括隧道标识符、MPLS标签和方向。7.如权利要求2至6中的任一项所述的方法,其中所述CEKM(44)和所述PFPM(42)经由安全信道进行通信。8.如前述权利要求中的任一项所述的方法,其中所述CEKM(44)通信地连接到所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)中的每一个,并经由安全协议与所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)中的每一个进行通信以用于配置所述密码引擎(14,24,43;71-74;143-146;163-166;221-224)和/或用于通知。9.如前述权利要求中的任一项所述的方法,还包括:由所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)中的密码引擎,使用位窗口从数据分组中选择位,所述位窗口是可编程的,其中根据可编程的位窗口选择的所述位标识将由所述密码引擎处理的数据分组,可选地,其中所述位窗口在端到端数据路径的进入节点和退出节点处不同,并且可选地,其中在所述CEKM(44)和所述PFPM(42)之间交换的信息被用于配置所述位窗口。10.如前述权利要求中的任一项所述的方法,还包括:由分组引擎(12,22,32;61-64;141,142;161,162;211-214)对进入密码引擎的数据分组进行预成形,以确保所述数据分组在通过所述密码引擎时在业务流中的位置保持不变,其中所述数据分组被预成形,使得当所述数据分组离开所述密码引擎时,进入所述密码引擎的所述数据分组的时间戳记信息仍然有效。11.如前述权利要求中的任一项所述的方法,其中所述多个分组引擎(12,22,32;61-64;141,142;161,162;211-214)和所述多个密码引擎(14,24,43;71-74;143-146;163-166;221-224)使用公共全局信息身份来确保数据分组的全局标识属于相同业务流,可选地,其中所述全局信息身份指示多协议标签交换MPLS隧道。12.如前述权利要求中的任一项所述的方法,其中数据分组由密码引擎(14,24,43;71-74;163-166;221,224)紧接在离开关联的分组引擎(12,22...
【专利技术属性】
技术研发人员:W施帕恩,JD扎罗特,
申请(专利权)人:ABB瑞士股份有限公司,
类型:发明
国别省市:瑞士,CH
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。