[发明专利]用于在加密的通信关系中编址和路由的方法和系统

权利要求书

1.一种用于在两个不同的网络层(2，3)中在网络中加密的通信关 系(1)情况下进行编址和路由的方法，其中所述两个不同的网络层以不 同的路由层彼此分离，其中

具有关联的第一路由层的第一网络层(2)通过至少一个加密设备(4) 相对于具有第二路由层的第二网络层(3)被划界，其中该至少一个加密 设备(4)与所述第一网络层(2)和第二网络层(3)连接，

其中在两个路由层中彼此无关地确定两个网络层(2，3)的网络拓扑 结构并且将其存储在相应的路由表(17)中，以及

其中在所述一个加密设备(4)中的接口(7)设置有从第二路由层中 的设备的地址(8)至第一路由层中的设备的地址(8)一对一的关联。

2.根据权利要求1所述的方法，其特征在于，第一网络层(2)是公 共可访问的并且不安全的网络(9)。

3.根据权利要求1或者2所述的方法，其特征在于，第二网络层(3) 是用于对外屏蔽的机密通信的、非公共可访问的网络。

4.根据权利要求1或者2所述的方法，其特征在于，第一网络层(2) 是公共域而第二网络层(3)是机密域，并且第一路由层的地址(8)被标 记为公共地址而第二路由层的地址(8)被标记为机密地址。

5.根据权利要求1或者2所述的方法，其特征在于，所述加密设备 中的接口(7)中设置的一对一的关联在加密设备(4)运行之前存储在加 密设备(4)中的查找表(6)中。

6.根据权利要求4所述的方法，其特征在于，所述加密设备中的接 口(7)中设置的一对一的关联在加密设备(4)运行之前存储在加密设备 (4)中的查找表(6)中。

7.根据权利要求5所述的方法，其特征在于，在网络运行期间改变 加密设备(4)中的查找表(6)。

8.根据权利要求6所述的方法，其特征在于，与加密设备(4)的分 类无关地在包括所述第一网络层(2)和第二网络层(3)的总网络中生成 用于将机密地址(8)与公共地址(8)关联的映射规则。

9.根据权利要求6所述的方法，其特征在于，作为描述公共和机密 地址(8)之间关系的函数的实现，查找表(6)被预先配置在所有要使用 的加密设备(4)中。

10.根据权利要求6所述的方法，其特征在于，作为描述公共和机密 地址(8)之间关系的函数的实现，查找表(6)在所有要使用的加密设备 (4)中在网络运行期间被动态地更新。

11.根据权利要求6所述的方法，其特征在于，作为描述公共和机密 地址(8)之间关系的函数的实现，查找表(6)的内容仅仅分布在机密域 (3)内。

12.根据权利要求6所述的方法，其特征在于，在查找表(6)内进 行附加的记录，该附加的记录指示了连接到加密设备(4)的除所述第二 网络层(3)之外的其他机密网络。

13.根据权利要求8所述的方法，其特征在于，映射规则基于连接到 网络的设备的唯一的设备标识符。

14.根据权利要求13所述的方法，其特征在于，设备标识符设计为 根据IPv6协议的主机标识符或者媒介访问控制(MAC)地址。

15.一种用于在具有两个彼此分离的不同网络层(2，3)和关联的路 由层的网络内在加密的通信关系(1)中进行编址和路由的系统(11)，

其中具有关联的第一路由层的第一网络层(2)通过至少一个加密设 备(4)而相对于具有关联的第二路由层的第二网络层(3)划界，所述至 少一个加密设备(4)与所述第一网络层(2)和所述第二网络层(3)连 接，

其中第一网络层(2)和第二网络层(3)的网络拓扑结构存储在所述 系统(11)的分离的域(12，13)中的路由表中，以及

其中设计有中间域(15)，该中间域作为具有至第一网络层(2)和第 二网络层(3)的分离的域(12，13)的两个双向通信路径(16)的协议 实例(14)设置在分离的域(12，13)之间。