[发明专利]用于为时间感知的端到端分组流网络提供网络安全性的方法和装置

说明书

为了提供通过包括执行分组处置的多个分组引擎(61‑64)的定时确定性分组网络中的端到端数据路径或端到端路径的分段的安全通信，密码引擎(71‑74)与分组引擎分开提供。密码引擎(71‑74)操作以执行至少一个网络安全性功能。密码引擎和密钥管理器(44)提供对于多个密码引擎(71‑74)的中央控制。集中式分组流路径管理器PFPM(42)可以设立分组网络的端到端数据路径的端点节点和中间传输节点。

技术领域

本发明涉及分组网络中的数据传输。本发明特别地涉及用于受保护的时间感知的分组流网络中的数据业务的端到端和/或分段加密和/或认证的方法和装置。

背景技术

在诸如监测高压线路之类的任务关键系统的网络或其他工业自动化控制系统(IACS)的网络中，许多应用仍然依赖于传统的面向连接的技术。对于应用设计的更高层，发送方和接收方之间的关系能被视为直接有线数据链路。当研究像操纵高速列车、控制空中交通或高压线路自动化等应用时，作用方和反应方之间的直接确定性关系大大简化了系统设计的更高层，并有助于当今的高整体系统可靠性。

出于诸如增加的灵活性之类的各种原因，可能期望执行通过分组网络的数据传输，对于任务关键网络也是如此。在这种情况下，时分复用(TDM)网络中固有的数据完整性可能不再存在。在某种程度上，例如对于非敌对环境，多路径标签交换传送子集(MPLS-TP)允许利用面向连接的范例的一些优点。尽管如此，在过载情形和发生故障期间，端到端数据路径或链路不能被看作直接有线连接。分组网络的强大操控能力(像来往于流中删除、复制和添加分组)提供了关于网络攻击的非常重大的危险。

将期望给通过定时确定性分组网络诸如MPLS-TP之类的的端到端路径提供增强的安全性。

发明内容

本发明的目的是要提供对于分组网络中的数据传输的给予增强的安全性改进的方法、装置和系统。特别地，目的是要提供操作以提供定时确定性分组网络中的加密和/或认证数据传输同时提供对网络攻击的高鲁棒性的改进的方法、装置和系统。

根据示范性实施例，提供了用于跨复杂和网状网络拓扑确定性地传输加密和认证数据分组的方法和装置。对于这样的诸如多路径标签交换传送应用(MPLS-TP)网络之类的网络，提供了受保护的端到端路径与它们相应的网络安全冗余数据链路端点的一致关联。

出于安全性原因，两个子系统—负责通过分组网络的路径的分组交换子系统和网络安全性(或加密)子系统—可以保持强分离，但仍然同步。动态协议可用来支持从网络安全性子系统到分组交换子系统的有限信息交换。这允许两个子系统在网络操作的所有标准和异常状态期间保持同步。

在示范性实施例中，不需要分组添加，并且在加密步骤期间能保持对于所有分组的相同延迟。执行加密/解密和/或认证的密码引擎可以将控制信息添加到先前已经由与密码引擎分开的分组引擎生成的虚设分组。当需要时，分组引擎还可以扩大分组间间隙，以便避免可能以别的方式由对于加密分组的密码引擎加密信息插入需要产生的任何扰动。这增强了像多路径标签交换(MPLS)的协议或用于定时确定性分组传输的其它协议，以真正实现网络安全。

在示范性实施例中，受保护的MPLS-TP端到端服务设立可以与相应的网络安全冗余加密端点(也称为密码引擎)链接。网络安全性管理和MPLS路径管理的清晰分离以及经由硬件的设计中的约束(其可能限制MPLS和网络安全性子系统之间的信息交换)可以避免从客户端节点到密码引擎中或到网络安全性子系统的另一个组件中的任何入侵。