用于避免不需要的数据分组的方法和装置制造方法及图纸

本发明专利技术提供了用于控制分组交换网中的数据分组传输的方法和装置。当第一终端主机(A)向DNS系统(300)发送针对第二终端主机的地址查询时，如果第一终端主机(A)被授权向第二终端主机发送分组，所述DNS系统通过提供根据针对第二终端主机注册的目的地键创建的发送方键，做出响应。从而，如果被授权，则第一终端主机能够通过将根据发送方键生成的发送方标签(TAG)作为入口标签附着至每个所传输的数据分组，将数据分组传播至第二终端主机。网络中的路由器(302)将接收到的分组中的入口标签与转发表中的表项进行匹配，并根据匹配表项在输出端口(X)上发出分组。否则，如果在表中未找到匹配项，则路由器丢弃该分组。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总体涉及一种用于控制公共分组交换网(如互联网)中的数据分组传输以 便可以避免不需要的数据分组的方法和装置。
技术介绍
数字编码的信息通过IP(互联网协议)网络在不同方之间的基于分组的传输用 于多种通信服务，如电子邮件消息收发、互联网浏览、语音和视频电话、内容流传输、游戏等 等。在发送方处将数字编码的信息配置于数据分组中，然后通过传输路径向目标接收方传 输该数据分组。发送方和接收方之间的传输路径可以包括各种网络、交换机、网关、路由器 和接口。通信方通常被称作“终端主机”，其可以是能够进行基于分组的IP通信的任何类型 的装置，如固定和移动电话、计算机、服务器、游戏台等。在本说明书中，术语“终端主机”将 一般地表示任何这样的通信装置。典型地，与互联网或其他IP网络相连接的终端主机已被分配了转发标识，该转发 标识具有将以该终端主机为导向的任何数据分组沿传输路径进行路由所需的IP地址的形 式。典型地，终端主机还已被分配了以文本字符串的形式存在的或多或少可理解的名称，例 如传统的电子邮件地址或Web地址，如userOooerator. com,其与实际用户/终端主机或代 表该用户接收消息的某其他主机的所分配的IP地址相关联。包括DNS (域名服务器)服务 器层级的DNS系统用于取回特定主机名称的当前IP地址。因此，终端主机可以向DNS系统 查询要与之通信的主机名称，然后，DNS将通过提供对应终端主机的当前IP地址来进行应 答。这种类型的查询有时称作目的地查询、标识查询或地址查询，在整个本说明书中使用后 者ο数据分组基本上是利用包含有效载荷数据在内的数据字段以及首部字段来配置 的，其中，发送终端主机将目标终端主机的目的地地址(即，从DNS系统获得的IP地址)插 入该首部字段中。因此，基于分组的首部字段中的目的地地址，将每个数据分组沿合适的传 输路径路由通过多个网络节点(一般称作IP路由器)。除了简单地接收和转发数据分组外，IP路由器还可能能够执行其他功能，如安全 功能、分组调度、以及地址和协议的转换。此外，终端主机可以具有过滤器/防火墙功能， 用于例如根据典型地由与终端主机相关联的用户或管理员进行的设置，确定是应当接纳还 是应当丢弃传入的数据分组。典型地，IP网络中的每个路由器包括入口单元和出口单元，分别充当用于接收 和发送数据分组的接口。路由器还包括路由或转发功能，用于基于路由器中定义的转发 表，确定应当将传入的数据分组发送至哪个路由器作为“下一跳”。如本领域公知的，通常可 以根据网络拓扑和当前业务负载将数据分组沿多个备选路径进行路由。通过对应的端口，在每个路由器中提供到“最近的”相邻路由器的链路，并且，基于 拓扑信息和链路信息的分发，还在路由器中配置了转发架构。每个端口可以在其接口上配 置IP地址和IP掩码，路由协议用于在配置过程中在网络中的路由器之间分发该信息。然后，根据所分发的拓扑信息，每个路由器计算其自身的转发表，包含多个目的地IP地址和 关联的传出端口。由于每个传入数据分组在其首部中具有目的地IP地址，因此使用转发 表，根据该IP地址，在转发表中查找合适的表项。因此，转发表的主要功能是针对每个传 入分组，确定导向至下一跳路由器的适当的传出端口。在图1中，示出了传统IP路由器100在位于IP网络中时的基本结构。其中，IP路 由器100包括入口部分100a、出口部分100b、以及这里由转发表IOOc示意性地表示的转发 功能。出口部分IOOb包括多个传出端口 PA、PB、Pc……，分别导向至与路由器100直接相 连的不同的相邻路由器A、B、C……。任何传入数据分组102具有有效载荷字段PL和首部 H，后者包含分组的目的地地址。转发表IOOc由多个表项构成，其中每个表项包含IP掩码、IP地址和传出端口号。 IP掩码可以是以诸如FF. FF. FF. 0或FF. FF. 8. 0等十六进制的编码字符串来定义的。简要 地说，通过应用逻辑“与”运算，将首部H中的目的地地址与转发表IOOc中的IP掩码进行组 合，以检测具有相同IP地址的匹配表项。该掩码机制的目的在于对去往多个不同目的地 的业务进行聚合(aggregate)；以及针对该聚合，简化传出端口的标识。事实上，当将目的 地地址与表项进行比较和匹配时，比特掩码与“通配符”的作用类似。一旦找到匹配表项， 就可以根据该表项的端口号，在传出端口上发出分组。因此，在入口单元IOOa处首先接收可能已从前一路由器(未示出)转发至路由器 100的传入数据分组102。然后，基于首部H中的目的地地址并使用转发表IOOc和上述逻 辑“与”运算，确定应当将分组发送至哪个下一路由器。在本示例中，传入分组102的目的 地IP地址在与掩码进行组合时，与转发表IOOc中具有端口号Pc的表项的IP地址。因此， 在与路由器C相连接的对应端口上发出分组102。如上所述，路由协议用于在IP网络中的路由器之间分发拓扑和链路信息。当前使 用的路由协议被配置为获得“恢复力(resilience) ”，即，在原始路径中发生链路或节点故 障的情况下，必须在不同路径中对分组进行重新路由。路由协议还被配置为便于路由器管 理，这是由于典型地对路由器进行配置是一般期望被简化的麻烦的任务。因此，在检测到链 路或节点的故障的情况下，路由协议将对受影响的路由器中的转发表进行重新配置，同时 将信息分发给路由器，从而简化管理。为了获得可扩缩性，其中可扩缩性依旧是路由架构中 的固有问题，路由处理可以基于层级比特掩码方案使用业务聚合，这是本领域公知的，此处 不必进一步描述。然而，IP网络和互联网中的主要问题是如以下所解释的，安全性支持一般是不 足的。在某种意义上，上述恢复力有时可能使分组“太容易”通过网络。这是由于当前路由 架构和协议最初是针对“友好”环境而设计的，即，假定在IP网络中没有“违法的”或“恶意 的”用户进行通信，并且数据分组传输不必保护。然而，已经发现，必须或期望给IP架构增 加各种安全方案，以保护所通信的数据，如低层上的IP-sec以及更高层上的TLS (传输层安 全性)。这些协议可以提供对数据分组的认证和加密。此外，MPLS(多协议标签交换)是 用于构建层3VPN(虚拟专用网)以确保安全通信的方案。在VPN的情况下，当使用内联网 时，需要专用寻址，并且网络在某种程度上与公共互联网隔离，使得不允许外部未授权主机 到达并与附着至内联网的主机进行通信。用于在路由协议中提供安全性的其他现有技术方案包括在路由器之间进行安全通信，使得没有违法的实体能够窃听、操纵或模仿路由器；在路由器端口之间建立IP-sec 隧道，以保护路由器之间的分组传输；以及层2的链路安全性，例如根据IEEE 802. IAE或 IEEE 802. 10。还可以使用采用密码密钥的各种认证过程，例如，根据DNSSec (DNS安全性)、 HIP(主机标识协议)和CGA(密码生成地址)，以便增强安全性。然而，尽管针对特定应用 采取保护以对抗不需要的业务(例如，对电子邮件的垃圾邮件过滤)，但是一般地，尚未在 公共IP基础设施中提供对抗侵犯终端主机以及不需要的数据分组的基本保护。由于以上述方式端到端地公开分发内部转发标识(即IP地址)，因本文档来自技高网...

【技术保护点】
１．一种控制分组交换网中的数据分组传输的方法，包括由网络中的路由器（３０２、７０２）执行的以下步骤：接收包括入口标签的数据分组，所述入口标签是使用路由器已知的第一标签导出函数ＴＤＦ由发送方键或路由器键导出的；对接收到的入口标签以及转发表中的至少一个表项执行匹配操作，所述表项包括入口键和对应的传出端口号，使用所述第一ＴＤＦ来确定接收到的入口标签是否与所述表项中的入口键相匹配；以及如果在转发表中找到了匹配表项，则将分组从匹配表项中指示的传出端口发送至下一跳节点，如果未找到匹配表项，则丢弃所述分组。

【技术特征摘要】
【国外来华专利技术】1.一种控制分组交换网中的数据分组传输的方法，包括由网络中的路由器(302、702) 执行的以下步骤接收包括入口标签的数据分组，所述入口标签是使用路由器已知的第一标签导出函数 TDF由发送方键或路由器键导出的；对接收到的入口标签以及转发表中的至少一个表项执行匹配操作，所述表项包括入口 键和对应的传出端口号，使用所述第一 TDF来确定接收到的入口标签是否与所述表项中的 入口键相匹配；以及如果在转发表中找到了匹配表项，则将分组从匹配表项中指示的传出端口发送至下一 跳节点，如果未找到匹配表项，则丢弃所述分组。2.根据权利要求1所述的方法，其中，每个匹配操作包括将第一TDF应用于转发表的 行中的候选入口键，以导出候选入口标签，并且，如果所述候选入口标签与所述分组中的接 收到的入口标签满足预定关系，则视为找到匹配。3.根据权利要求2所述的方法，其中，所述预定关系是相等，即，如果所述候选入口标 签与所述分组中的入口标签相同，则视为找到匹配。4.根据权利要求1至3中任一项所述的方法，其中，出口标签是通过将第二标签导出函 数TDF’应用于匹配表项中的出口键来创建的，所述出口标签在被发送至所述下一跳节点时 附着至所述数据分组。5.根据权利要求1至4中任一项所述的方法，其中，接收到的数据分组还包含指向转发 表中的表项或表项集合的键索引，所述键索引用于针对匹配操作寻找合适的表项。6.一种分组交换网的路由器(302、702)中的装置，用于控制网络中的数据分组传输， 所述装置包括入口单元(704)，适于接收包括入口标签的数据分组(P)，所述入口标签是使用路由器 已知的第一标签导出函数TDF由发送方键或路由器键导出的；标签匹配单元(706b)，适于对接收到的入口标签以及转发表中的至少一个表项执行匹 配操作，所述表项包括入口键和对应的传出端口号，使用所述第一 TDF来确定接收到的入 口标签是否与所述表项中的入口键相匹配；以及出口单元(708)，用于将数据分组(P’)发送至下一跳节点，其中，如果在转发表中找到 匹配表项，则从匹配表项中指示的传出端口发送所述数据分组，如果未找到匹配表项，则丢 弃所述分组。7.根据权利要求6所述的装置，还包括标签创建单元(706c)，适于通过将第二标签导 出函数TDF’应用于所述匹配表项中的出口键来创建出口标签，以及在所述数据分组被发送 至所述下一跳节点时将所述出口标签附着至所述数据分组。8.—种控制分组交换网中的数据分组传输的方法，包括由DNS系统(300、700)执行的 以下步骤针对网络中的终端主机(B、C、D……)注册目的地键；将路由器键分发给网络中的路由器(302)，每个路由器键是由表示终端主机的所注册 的目的地键和/或由网络拓扑信息导出的；从第一终端主机(A)接收与第二终端主机有关的地址查询；通过将键导出函数KDF至少应用于与第二终端主机相关联的目的地键来创建发送方键；响应于所述地址查询，将所创建的发送方键发送至第一终端主机，从而使第一终端主 机能够通过将根据所述发送方键生成的发送方标签附着至所传输的数据分组来将数据分 组传播至第二终端主机，所述发送方标签将所传输的分组导向至第二终端主机。9.根据权利要求8所述的方法，其中，为了处理查询，需要对第一终端主机进行认证， 并且，如果第一终端主机未经认证，则拒绝所述查询。10.根据权利要求9所述的方法，其中，第一终端主机需要经由DHCP的授权，并且，仅当 ...

【专利技术属性】
技术研发人员：安德拉斯·塞萨，马茨·内斯隆德，拉斯·韦斯特伯格，拉斯·麦格纳森，
申请(专利权)人：艾利森电话股份有限公司，
类型：发明
国别省市：SE