专利名称:用于避免不需要的数据分组的方法和装置的制作方法
技术领域:
本发明总体涉及一种用于控制公共分组交换网(如互联网)中的数据分组传输以 便可以避免不需要的数据分组的方法和装置。
背景技术:
数字编码的信息通过IP(互联网协议)网络在不同方之间的基于分组的传输用 于多种通信服务,如电子邮件消息收发、互联网浏览、语音和视频电话、内容流传输、游戏等 等。在发送方处将数字编码的信息配置于数据分组中,然后通过传输路径向目标接收方传 输该数据分组。发送方和接收方之间的传输路径可以包括各种网络、交换机、网关、路由器 和接口。通信方通常被称作“终端主机”,其可以是能够进行基于分组的IP通信的任何类型 的装置,如固定和移动电话、计算机、服务器、游戏台等。在本说明书中,术语“终端主机”将 一般地表示任何这样的通信装置。典型地,与互联网或其他IP网络相连接的终端主机已被分配了转发标识,该转发 标识具有将以该终端主机为导向的任何数据分组沿传输路径进行路由所需的IP地址的形 式。典型地,终端主机还已被分配了以文本字符串的形式存在的或多或少可理解的名称,例 如传统的电子邮件地址或Web地址,如userOooerator. com,其与实际用户/终端主机或代 表该用户接收消息的某其他主机的所分配的IP地址相关联。包括DNS (域名服务器)服务 器层级的DNS系统用于取回特定主机名称的当前IP地址。因此,终端主机可以向DNS系统 查询要与之通信的主机名称,然后,DNS将通过提供对应终端主机的当前IP地址来进行应 答。这种类型的查询有时称作目的地查询、标识查询或地址查询,在整个本说明书中使用后 者ο数据分组基本上是利用包含有效载荷数据在内的数据字段以及首部字段来配置 的,其中,发送终端主机将目标终端主机的目的地地址(即,从DNS系统获得的IP地址)插 入该首部字段中。因此,基于分组的首部字段中的目的地地址,将每个数据分组沿合适的传 输路径路由通过多个网络节点(一般称作IP路由器)。除了简单地接收和转发数据分组外,IP路由器还可能能够执行其他功能,如安全 功能、分组调度、以及地址和协议的转换。此外,终端主机可以具有过滤器/防火墙功能, 用于例如根据典型地由与终端主机相关联的用户或管理员进行的设置,确定是应当接纳还 是应当丢弃传入的数据分组。典型地,IP网络中的每个路由器包括入口单元和出口单元,分别充当用于接收 和发送数据分组的接口。路由器还包括路由或转发功能,用于基于路由器中定义的转发 表,确定应当将传入的数据分组发送至哪个路由器作为“下一跳”。如本领域公知的,通常可 以根据网络拓扑和当前业务负载将数据分组沿多个备选路径进行路由。通过对应的端口,在每个路由器中提供到“最近的”相邻路由器的链路,并且,基于 拓扑信息和链路信息的分发,还在路由器中配置了转发架构。每个端口可以在其接口上配 置IP地址和IP掩码,路由协议用于在配置过程中在网络中的路由器之间分发该信息。然后,根据所分发的拓扑信息,每个路由器计算其自身的转发表,包含多个目的地IP地址和 关联的传出端口。由于每个传入数据分组在其首部中具有目的地IP地址,因此使用转发 表,根据该IP地址,在转发表中查找合适的表项。因此,转发表的主要功能是针对每个传 入分组,确定导向至下一跳路由器的适当的传出端口。在图1中,示出了传统IP路由器100在位于IP网络中时的基本结构。其中,IP路 由器100包括入口部分100a、出口部分100b、以及这里由转发表IOOc示意性地表示的转发 功能。出口部分IOOb包括多个传出端口 PA、PB、Pc……,分别导向至与路由器100直接相 连的不同的相邻路由器A、B、C……。任何传入数据分组102具有有效载荷字段PL和首部 H,后者包含分组的目的地地址。转发表IOOc由多个表项构成,其中每个表项包含IP掩码、IP地址和传出端口号。 IP掩码可以是以诸如FF. FF. FF. 0或FF. FF. 8. 0等十六进制的编码字符串来定义的。简要 地说,通过应用逻辑“与”运算,将首部H中的目的地地址与转发表IOOc中的IP掩码进行组 合,以检测具有相同IP地址的匹配表项。该掩码机制的目的在于对去往多个不同目的地 的业务进行聚合(aggregate);以及针对该聚合,简化传出端口的标识。事实上,当将目的 地地址与表项进行比较和匹配时,比特掩码与“通配符”的作用类似。一旦找到匹配表项, 就可以根据该表项的端口号,在传出端口上发出分组。因此,在入口单元IOOa处首先接收可能已从前一路由器(未示出)转发至路由器 100的传入数据分组102。然后,基于首部H中的目的地地址并使用转发表IOOc和上述逻 辑“与”运算,确定应当将分组发送至哪个下一路由器。在本示例中,传入分组102的目的 地IP地址在与掩码进行组合时,与转发表IOOc中具有端口号Pc的表项的IP地址。因此, 在与路由器C相连接的对应端口上发出分组102。如上所述,路由协议用于在IP网络中的路由器之间分发拓扑和链路信息。当前使 用的路由协议被配置为获得“恢复力(resilience) ”,即,在原始路径中发生链路或节点故 障的情况下,必须在不同路径中对分组进行重新路由。路由协议还被配置为便于路由器管 理,这是由于典型地对路由器进行配置是一般期望被简化的麻烦的任务。因此,在检测到链 路或节点的故障的情况下,路由协议将对受影响的路由器中的转发表进行重新配置,同时 将信息分发给路由器,从而简化管理。为了获得可扩缩性,其中可扩缩性依旧是路由架构中 的固有问题,路由处理可以基于层级比特掩码方案使用业务聚合,这是本领域公知的,此处 不必进一步描述。然而,IP网络和互联网中的主要问题是如以下所解释的,安全性支持一般是不 足的。在某种意义上,上述恢复力有时可能使分组“太容易”通过网络。这是由于当前路由 架构和协议最初是针对“友好”环境而设计的,即,假定在IP网络中没有“违法的”或“恶意 的”用户进行通信,并且数据分组传输不必保护。然而,已经发现,必须或期望给IP架构增 加各种安全方案,以保护所通信的数据,如低层上的IP-sec以及更高层上的TLS (传输层安 全性)。这些协议可以提供对数据分组的认证和加密。此外,MPLS(多协议标签交换)是 用于构建层3VPN(虚拟专用网)以确保安全通信的方案。在VPN的情况下,当使用内联网 时,需要专用寻址,并且网络在某种程度上与公共互联网隔离,使得不允许外部未授权主机 到达并与附着至内联网的主机进行通信。用于在路由协议中提供安全性的其他现有技术方案包括在路由器之间进行安全通信,使得没有违法的实体能够窃听、操纵或模仿路由器;在路由器端口之间建立IP-sec 隧道,以保护路由器之间的分组传输;以及层2的链路安全性,例如根据IEEE 802. IAE或 IEEE 802. 10。还可以使用采用密码密钥的各种认证过程,例如,根据DNSSec (DNS安全性)、 HIP(主机标识协议)和CGA(密码生成地址),以便增强安全性。然而,尽管针对特定应用 采取保护以对抗不需要的业务(例如,对电子邮件的垃圾邮件过滤),但是一般地,尚未在 公共IP基础设施中提供对抗侵犯终端主机以及不需要的数据分组的基本保护。由于以上述方式端到端地公开分发内部转发标识(即IP地址),因此任何终端主 机基本上都能够通过互联网向任何其他终端主机发送消息和数据分组,从而导致洪泛、垃 圾邮件、病毒、诈骗和所谓“拒绝服务”(DoS)威胁的公知问题。因此,已经普遍出现以下问 题任何终端主机可以在完全不受接收终端主机的控制的情况下传播数据分组,以及诸如 互联网之类的公共分组交换网在IP基础设施中不具有用于防止将来自潜在违法或恶意的 终端用户的数据分组路由至接收方的机制。尽管在终端用户处或在链路层中可以增加或多或少复杂的功能,例如过滤器/防 火墙等,以限制连接。然而,这些方案是“最后一道防线”方案,意味着尽管无论如何在接收 方丢弃了分组,但是不需要的数据分组的传输仍可消耗沿整个发送器-接收器路径的网络 资源。
发明内容
本发明的目的是解决上述问题中的至少一些。此外,本发明的目的是获得一种用 于避免在分组交换网中传输不需要的数据分组的机制。这些目的以及其他目的是可以通过 提供根据在所附独立权利要求中限定的方法和装置来实现的。根据一方面,提供了一种路由器中的方法,用于控制分组交换网中的数据分组传 输。当接收到包括使用路由器已知的第一标签导出函数TDF由发送方键或路由器键导出的 入口标签在内的数据分组时,对接收到的入口标签以及转发表中的至少一个表项执行匹配 操作。表项包括入口键和对应的传出端口号。所述匹配操作是使用第一 TDF确定接收到的 入口标签是否与表项中的入口键相匹配来执行的。如果找到了匹配表项,则将分组从所述 匹配表项中指示的传出端口发送至下一跳节点。否则,如果未找到匹配表项,则丢弃所述分 组。在一个实施例中,每个匹配操作包括将第一 TDF应用于转发表的行中的候选入 口键,以导出候选入口标签。如果所述候选入口标签与所述分组中的接收到的入口标签满 足预定关系,则视为找到匹配。所述预定关系可以是相等,即,如果所述候选入口标签与所 述分组中的入口标签相等,则视为找到匹配。在另一实施例中,出口标签是通过将第二标签导出函数TDF’应用于匹配表项中的 出口键来创建的,所述出口标签在被发送至所述下一跳节点时附着至所述数据分组。在另一实施例中,接收到的数据分组还包含指向转发表中的表项或表项集合的键 索引,所述键索引用于针对匹配操作寻找合适的表项。根据另一方面,提供了一种分组交换网的路由器中的装置,用于控制网络中的数 据分组传输。所述路由器装置包括入口单元,适于接收具有使用路由器已知的第一标签导 出函数TDF由发送方键或路由器键导出的入口标签的数据分组。此外,标签匹配单元适于对接收到的入口标签以及转发表中的至少一个表项执行匹配操作,所述表项包括入口键和 对应的传出端口号,使用第一 TDF来确定接收到的入口标签是否与所述表项中的入口键相 匹配。所述路由器装置还包括出口单元,用于将数据分组发送至下一跳节点,其中,如果在 转发表中找到匹配表项,则从匹配表项中指示的传出端口发送所述数据分组,否则,丢弃所 述分组。在一个实施例中,所述装置还包括标签创建单元,适于通过将第二标签导出函数 TDF'应用于所述匹配表项中的出口键来创建出口标签,以及在所述数据分组被发送至所述 下一跳节点时将所述出口标签附着至所述数据分组。根据另一方面,在DNS系统中提供了一种方法,用于控制分组交换网中的数据分 组传输。针对终端主机注册目的地键,并将路由器键分发给网络中的路由器,每个路由器键 是由表示终端主机的所注册的目的地键和/或由网络拓扑信息导出的。当从第一终端主机 接收到与第二终端主机有关的地址查询时,通过将键导出函数KDF至少应用于与第二终端 主机相关联的目的地键来创建发送方键。然后,将所述发送方键发送至第一终端主机,从而 使第一终端主机能够通过将由所述发送方键生成的发送方标签附着至所传输的数据分组 来将数据分组传播至第二终端主机,所述发送方标签将所述分组导向至第二终端主机。在一个实施例中,为了处理查询,需要对第一终端主机进行认证,并且,如果第一 终端主机未经认证,则拒绝所述查询。第一终端主机可能需要经由DHCP的授权,那么,DHCP 服务器可以仅当第一终端主机经由DHCP授权时,才向第一终端主机提供查询DNSS服务器 系统的方式。在另一实施例中,将针对第二终端主机而定义的策略应用于所述查询,以确定第 一终端主机是否被授权将数据分组发送至第一终端主机,并且如果第一终端主机未被授 权,则拒绝所述查询。在其他实施例中,所述发送方键是通过将KDF还应用于第一终端主机的标识和/ 或时间戳和/或应用于随机数来创建的。路由器键可以根据网络拓扑以及单个终端主机或 多个终端主机的集合相对于网络拓扑的位置来表示那些终端主机。键索引可以被分发给网 络中的路由器,每个键索引标识路由器键中的至少一个。根据另一方面,在DNS服务器系统中提供了一种装置,用于控制分组交换网中的 数据分组传输。DNS装置包括主机数据库,用于注册与终端主机相关联的目的地键;以及 路由器键管理器,适于将路由器键分发给路由器,每个路由器键是由表示终端主机的目的 地键和/或由网络拓扑信息导出的。所述DNS装置还包括地址查询管理器,适于从第一终 端主机接收与第二终端主机有关的地址查询,通过将键导出函数至少应用于与第二终端主 机相关联的目的地键来创建发送方键,并响应于地址查询,将所述发送方键发送至第一终 端主机。从而,第一终端主机能够通过将根据所述发送方键生成的发送方标签附着至所传 输的数据分组,将数据分组传播至第二终端主机,所述发送方标签将所述分组导向至第二 终端主机。根据另一方面,在由第一终端主机使用的终端主机设备中提供了一种方法,用于 实现对分组交换网中的数据分组传输的控制。将针对第二终端主机的地址查询发送至DNS 系统。响应于此,从所述DNS系统接收由与第二终端主机相关联的目的地键导出的发送方 键,所述发送方键是通过将键导出函数KDF至少应用于与第二终端主机相关联的目的地键导出的。通过将标签导出函数TDF至少应用于接收到的发送方键来创建发送方标签。将所 创建的发送方标签附着至以第二终端主机为导向的数据分组,所述数据分组被发送至第一 跳路由器。在一个实施例中,响应于所述查询,还从所述DNS系统接收用于标识第一跳路由 器的转发表中的一个或多个路由器键的键索引,并且,所述键索引被附着至由第一终端主 机传输至第二终端主机的数据分组。所述发送方标签可以通过将TDF还应用于至少分组中 的有效载荷的一部分和/或应用于随机数来创建。根据另一方面,在终端主机设备中提供了一种装置,由第一终端主机使用,用于实 现对分组交换网中的数据分组传输的控制。所述装置包括地址查询单元,适于将针对第二 终端主机的地址查询发送至DNS系统,并从所述DNS系统接收由第二终端主机的目的地键 导出的发送方键。所述装置还包括标签创建单元,适于通过将标签导出函数TDF至少应用 于接收到的发送方键来创建发送方标签;以及分组发送单元,适于将所述发送方标签附着 至数据分组,然后将所述数据分组发送至第一跳路由器。通过以下具体实施方式
,本发明的其他可能的特征和优点将变得显而易见。
现在将通过示例实施例并参照附图来更详细地描述本发明,附图中图1是示意了根据现有技术的、IP网络中的传统路由器的示意框图。图2示意了可利用本发明的、将数据分组从发送终端主机A路由至接收终端主机 B的典型传输路径情形。图加示意了根据一个实施例的示例转发表的一部分。图3是示意了根据其他实施例的、发送终端主机A如何可以在第一跳路由器中传 播数据分组的框图。图4是根据另一实施例的、由DNS服务器系统执行的、控制分组交换网中数据分组 传输的过程中的步骤的流程图。图5是根据另一实施例的、由分组交换网中的分组发送终端主机执行的、实现对 数据分组传输的控制的过程中的步骤的流程图。图6是根据另一实施例的、由分组交换网中的路由器执行的、控制数据分组传输 的过程中的步骤的流程图。图7是更详细地示意了根据其他实施例的、分组交换网中的DNS服务器系统和路 由器的示意框图。图8是更详细地示意了根据另一实施例的终端用户装置的示意框图。
具体实施例方式本发明提供了一种机制,用于对通过分组交换网沿发送终端主机和接收终端主机 之间的传输路径的数据分组传输进行控制。具体地,可以采用以下描述的方式保护终端主 机免于接收不需要的数据分组。图2中示意性地示出了典型的传输路径情形,其中,在根据 下述实施例传输数据分组时基本涉及以下节点与第一跳路由器队相连接的发送终端主机 A、可潜在地用于传输路径中的多个中间路由器R、以及与接收终端主机B相连接的最后一跳路由器Rx ;还涉及DNS服务器系统,用于处理地址查询Q,以及一般地将路由信息1分发 给路由器。根据下述实施例,可以将安全性方案构建至由网络中的路由器使用的转发架构的 核心协议中。一般地,如上所述的,通过公共分组交换IP网络而传输的任何分组必须经过 传输路径中的路由器的转发平面中的转发机制。通过将分组转发控制机制嵌入路由器中的 转发平面内(如下所述),将有效地在IP基础设施中实施所得到的安全性,以控制对经过该 路由器的任何分组的路由。简要地说,使用与目标终端主机相关联的预定义的隐式目的地键以及与目的地键 和网络拓扑相关联的预先配置的路由器键,而不使用用于将数据分组路由通过IP网络的 显式IP地址。因此,DNS系统针对作为数据分组潜在接收方的终端主机注册这种目的地键, 并响应于来自查询终端主机的针对目标终端主机的“地址查询”等,提供对应的发送方键而 不是IP地址。在本说明书中,术语“地址查询”应当被理解为针对可用于授权将数据分组 通信至目标终端主机的信息的任何查询。发送方键是通过将“键导出函数KDF”至少应用于 目的地键,以及可选地还应用于查询终端主机的标识来创建的,以下将对其进行更详细的 描述。因此,在发送方键中有效地“隐藏” 了目的地键。然后,查询终端主机还通过将“标签导出函数TDF”应用于发送方键来从所获得的 发送方键导出发送方标签,并将该发送方标签插入至少正在进行的与接收目标终端主机的 数据流或会话的每个所传输的数据分组的首部中。因此,该发送方标签隐式地对目标终端 主机的目的地键进行编码。此外,DNS系统基于所注册的目的地键和/或网络拓扑来创建不同的路由器键,并 将路由器键分发给IP网络中的路由器。然后,路由器通过所分发的路由器键来配置其转发 表。如上所示,所创建的路由器键可以依赖于网络拓扑,其中,路由器键可以指向网络中的 目的地或路由器组以实现聚合,从而减小路由器中的转发表大小。可选地,DNS系统还可以 分发键索引以包括在转发表中,每个键索引指向表中具有不同路由器键的一行或多行,以 便于采用如下描述的方式进行转发操作。实际上,DNS系统基本上可以将键索引分配给每 个路由器键。因此,路由器中的转发表的表项具有路由器键、对应的传出端口、以及可选的键索 引。在每个所传输的数据分组的首部中包括标签而不是IP地址,该标签是通过根据分组是 从发送终端主机发送的还是由路由器转发的,将TDF应用于发送方键和/或路由器键来创 建的。在本说明书中,所发送或转发的分组中的标签一般称作由“出口键”导出的“出口标 签”,而接收到的分组中的标签称作“入口标签”。此外,“入口键”是由其导出了接收到的入 口标签的那个键。在由已接收到包含入口标签在内的数据分组的路由器执行的转发操作中,将入口 标签与转发表中的入口键相匹配,并且,如果找到匹配表项,则选择该表项中的对应传出端 口以发出分组。在传出端口上向下一跳路由器发出分组之前,还将由匹配表项中的出口键 导出的新出口标签附着至分组首部。备选地,当根据执行转发操作的路由器中的转发表配 置将分组转发至下一跳路由器时,可以重用接收到的分组的入口标签作为出口标签(即, 不改变分组中的标签)。如果在表中未找到匹配表项,则可以根据“缺省策略”来处理分组(例如,指示丢弃分组并且不再转发该分组)。典型地,如果不知道适当键的一些未经授权的发送终端主机 试图传播插入有“伪”标签的数据分组,则路由器将采用这种策略。当下一跳路由器接收到该分组时,基本上将重复上述过程。如果使用键索引,则 接收到的分组的入口标签中的键索引将直接指向一个表项,或指向转发表中的有限表项集 合,从而标识表项中的入口键。然后,路由器可以将上述匹配操作限制于由该键索引标识的 入口键。这样,通过不向未授权方暴露目的地/发送方/路由器键,不可能截获可由其他主 机用于传播数据分组的显示终端主机地址或标识。因此,可以避免向那些终端主机发送未 经请求的数据分组。因此,发送方和路由器键以及可选的键索引在由传输路径中的路由器 执行的转发操作中是有用的,以下参照具体示例实施例对其方式进行更详细地描述。然而, 应当注意,对这种键和标签的使用不必排除对用于路由数据分组的传统IP地址的使用,并 且,可以在相同网络中很好地实现传统IP地址路由和本发明的键/标签路由。图加示意了可在本方案中使用的转发表,其中,示例表项或表行由“X”表示。该 表具有多个列200-210,包括具有入口键索引“Iki”的第一列200,入口键索引“Iki”可以 用于查找一个或多个适当的表项以执行匹配操作,即,将附着至传入分组的入口标签与表 中的第二列202中出现的入口键“IK”相匹配。单个入口键索引可以指向表中的、匹配操作 可以被局限于此的多个表项的集合。第三列204包含出口键“EK”,一旦找到匹配表项,就要根据该出口键“EK”来创建 新出口标签以包括在所转发的分组中。第四列206包含要附着至传出数据分组的出口键索 弓丨“EKi”,其实际上将被用作在由下一跳路由器接收到时的入口键索引。第五列208包含端 口号“P”,该端口号“P”指示要在其上向下一跳路由器发出接收到的并且匹配的分组的端最后,可选的第六列210可以包含各种附加数据“D”,可以是策略规则等,例如 “丢掉分组”、“使用缺省端口”、“使用聚合……”、“从DNS取回新的路由器键”、“请求前一跳 路由器显式地认证自身”等。如果未使用键索引,则将自然省略列200和206。此外,可以 在传输路径中的两个或更多个路由器上未改变地使用相同的标签作为出口和入口标签。在 这种情况下,可以忽视列204和206,并且,接收具有入口标签的数据分组的每个路由器可 以简单地通过将入口标签与列202中的入口键相匹配以在列208中找到合适的传出端口。 然后,将入口标签重用为出口标签,并且,如果使用键索引,那么在将分组转发至下一跳路 由器时,键索引也不改变。备选地,出口键EK可以与入口键IK相等,但仍执行对出口标签 的新计算,例如包括如以下更详细描述的用于随机化出口标签的新随机数(nonce)。图3是示意了根据一些示例实施例的、在具有特定网络拓扑的分组交换网中如何 可以控制从终端主机A向目标终端主机(未示出)发送的数据分组的传输的框图。该过程 被示为主要涉及终端主机A、与终端主机A直接相连接的DNS系统300和第一跳路由器302 的一系列动作或步骤。在第一步骤3 :1中,将与各个终端主机B、C、D……相关联的目的地键注册和存储 至DNS系统300中,其中,每个唯一目的地键实际上标识或“定义”对应的目的地,即终端主 机。在该过程中,可以在终端主机和DNS系统之间的协定中确定目的地键,优选地在对终端 主机进行认证之后确定目的地键。实际上,该步骤可以替代根据现有技术的将IP地址分配给终端主机。此外,在层级系统中不必布置目的地键,并且可以使用“平坦的”命名结构。DNS系统300还在下一步骤3 :2中由以上注册的目的地键和网络拓扑导出路由器 键,并且还可以针对每个路由器键定义键索引。每个路由器键可以是由目的地键或由聚合 目的地键的集合导出的,所述聚合基于网络拓扑和对应终端主机的位置。如果使用键索引, 则每个键索引标识路由器键或路由器键的集合。然后,DNS系统300 —般在另一步骤3 3 中将路由器键和可选的键索引分发给网络的路由器域中的路由器,包括这里示出的路由器 302。接着,路由器能够相应地配置其自身的转发表,包括将用于转发传入数据分组的 所分发的路由器键和可选键索引,从而创建网络中有用的转发架构。该转发操作将在稍后 进行更详细的描述。基本上,包括在佳入数据分组中的标签是与作为路由器键的入口键相 对应的入口标签,而包括在佳也数据分组中的标签是与作为路由器键的出口键相对应的出 口标签。因此,路由器键可以是入口键或出口键,或者包括这两者。如上所述,路由器键还可以表示单个目的地或者多个目的地的聚合集合。在后一 种情况下,转发表中的表项的数目将实质性地减少。如果使用键索引,则可以以稍后描述的 方式便于将传入分组的入口键与转发表中的路由器键进行匹配的操作。可以在配置过程或以其他方式(例如,使用路由协议,如当在如上所述的路由器 域中配置传统转发架构时)执行对与目的地键和网络拓扑相关联的路由器键以及可选的 键索引的分发。然后,路由器可以基于所分发的路由器键和其他拓扑信息,利用包括不同入 口和出口键以及传出端口在内的表项,配置其转发表。所分发的路由器键事实上可以包括 入口键和出口键。特定键服务器可以负责将路由器键分发给域中的路由器,尽管这里为了 简明而被示意为由DNS系统302进行的动作。然而,路由器键的分发可以以不同方式进行, 例如,以由来自终端主机的地址查询触发的更加动态的方式,或者以稍后将对其进行描述 的、响应于来自路由器的查询的方式。返回至图3的示例,终端主机A期望与目标终端主机进行通信,并且在某时刻,在 下一步骤3:4中,相应地以如上所述的传统方式向DNS系统300发送地址查询等,例如查阅 目标终端主机的电子邮件地址或web地址。可选地,DNS系统302然后可以将针对目标终 端主机而定义的策略应用于该查询,以确定查询终端主机是否被授权向目标终端主机发送 数据分组。还可以应用其他策略(例如,指示通信的路由),以使用特定运营商网络和/或 避开另一运营商网络,或使用特定服务,或将分组重新定向至另一接收方等等。假定终端主机A得到授权并可以被允许向目标终端主机发送分组,那么DNS系统 300取回与目标终端主机相关联的目的地键,并在接下来的步骤3 :5中根据目的地键来创 建发送方键。发送方键是通过将键导出函数KDF至少应用于目的地键以及可选地还应用于 其他数据(如查询终端主机的标识、时间戳和/或用于随机化的随机数(通常称作“RAND” 或“NONCE”))来创建的。这可以表达为Sender_key = KDF(Destination_key,〈其他数据 >)(1)如果使用查询终端主机的标识作为(1)中的“其他数据”,则发送方键将与该终端 主机唯一地关联。优选地,KDF可以是密码函数等。然后,在另一步骤3 :6中,DNS系统300响应于步骤3 4的查询,向终端主机A提 供发送方键,使得终端主机A可以由其导出发送方标签并将附着有该发送方标签作为入口标签的数据分组发送至目标终端主机。终端主机A的第一跳路由器302还需要能够访问相 同的发送方键,以对入口标签执行匹配操作,该入口标签是由发送终端主机生成的发送方 标签。这可以在包括下述三个示例在内的不同备选选项中实现。假定使用键索引,并且DNS系统知道将使用哪个第一跳路由器,那么 DNS系统300还可以在步骤3 6中向终端主机A提供预定义的键索引,该键索引与先前分 发的路由器键(即,与目标终端主机的目的地相对应的键)相关。因此,该键索引指向第一 跳路由器302的转发表中的正确的行或行集合,提供与合适下一跳路由器相连接的传出端第二诜项路由器302可以在来自DNS系统300的、终端主机A已向目标终端主机 发出地址查询的通知中接收在步骤3 :5中创建的发送方键,或者路由器302可以在从终端 主机A接收到第一数据分组时从DNS系统取得发送方键。然后,路由器302将通过添加发 送方键以及还添加用于指示网络拓扑与业务目的地之间的关系的附加信息,重新配置其转 发表,此处不必对此进一步描述。第三诜项DNS系统300在步骤3 6中包括如在数据分组的所生成的发送方标签 中要包括的、向终端主机A提供的发送方键的加密拷贝。这可以使用与“Kerberos”类似的 方案而进行,其中,DNS系统300利用(仅)路由器已知的特定加密密钥来对发送方键的拷 贝进行加密。为了向目标终端主机发送数据分组,在下一步骤3:7中,终端主机A将预定义的第 一标签导出函数TDF至少应用于接收到的发送方键,以便创建要作为出口标签插入所传输 的分组中的发送方标签“TAG”。根据实现,TDF还可以被应用于诸如包含在所要发送的分组 中的有效载荷数据、时间戳、和/或用于随机化的RAND或NONCE之类的“其他数据”。这可 以表达为Sender_tag = TDF (Sender_key, < 其他数据 >)(2)如果在“其他数据”中包括分组中的有效载荷,则发送方标签对于该分组将是唯 一的。TDF可以是密码函数等。终端主机A可能已经被预先配置为在传输数据分组时使用 TDF,或者在步骤3 :6中可以将TDF与发送方键一起提交给终端主机A。此外,TDF也是网络 中(至少对于第一跳路由器302是)已知的。根据不同选项,要使用的TDF可以是预定的 经协商的参数(例如,预先配置的网络范围内的以及带外的),或者,终端主机A可以从网络 中已知的预定TDF集合中选择要使用的TDF,然后将该TDF的预定标识符包括在标签自身 中。如果在以上步骤3 :6中从DNS系统300接收到对应的键索引,则终端主机A还可 以将该对应的键索引包括在发送方标签中,以及,如果使用以上第三选项,则终端主机A还 可以将发送方键的Kerberos加密拷贝包括在发送方标签中。将发送方标签附着至所传输 的数据分组将有效地授权该分组通过网络被路由至其目的地。如果路由器检测到所接收到 的数据分组不包含任何有效发送方标签,则不能对该分组进行授权并可以简单地丢弃该分 组。在另一步骤3 8中,终端主机A向目标终端主机发送附着有所创建的发送方标签 “TAG”作为出口标签的数据分组,在使用键索引和其他数据时还可能发送它们,由路由器 302处的入口部分30 进行接收。可以将发送方标签插入分组首部中的目的地字段中,正如传统地根据现有技术对目的地IP地址所进行的操作那样。当在路由器302处作为传入 分组接收到发送方标签“TAG”时,发送方标签“TAG”是入口标签,并且如果使用键索引,则 键索引是入口键索引。到目前为止,已经假定,终端主机A被授权发送分组,此外,从遵照上述实施例的 意义上讲(例如,根据三个选项之一),A是符合的。然而,还应当想到,当发送终端主机未 被授权发送分组和/或不符合,并简单地尝试在没有DNS的协助下生成有效发送方标签时 的情况。然而,通过适当地选择TDF作为强密码函数,任何这种伪造尝试将最可能是不成功 的,从而能够被忽视。在本说明书中,假定终端主机A被授权且是符合的。作为第一跳路由器,路由器302必须能够检测根据其创建了所附着的发送方标签 的发送方键。这可以例如根据上述不同选项实现,以下对其进一步讨论在第一诜项中如果DNS系统300可以预测终端主机A要使用的第一跳路由器的 标识,则DNS系统300可以简单地导出发送方键,使得第一跳路由器还能够使用其转发表中 的现有表项,或使得路由器可以使用已在转发表中提供的聚合目的地。在第二诜项中第一跳路由器302显式地从DNS系统300接收发送方键,例如通过 在步骤3 8中接收到分组时或在步骤3 4-3 6之后来自DNS系统300的通知中取得发送 方键。然后,可以将该键高速缓存在路由器中(例如作为对由表的更新),以准备从A接收 其他分组。在第三诜项中使用上沭Kerberos方法,其中,DNS系统300在步骤3 :6中包括向 终端主机A提供的、通过例如路由器已知的“组加密密钥” KR加密的发送方键的拷贝。然 后,终端主机A将该加密拷贝包括在所生成的发送方/入口标签中,其中,第一跳路由器可 以通过使用KR进行解密来取回发送方键。路由器302处的转发单元30 —般被配置为通过在转发单元30 中示意性地示 出的转发表,对每个传入数据分组执行转发操作,以找到出口单元302c中的传出端口。在 另一步骤3:9中,转发单元300b使用已知的第一标签导出函数TDF,对所附着的入口标签 “TAG”和转发表中的不同入口键IK执行匹配操作,以在表中找到匹配表项。换言之,转发单 元300b试图在表中一次针对一个表项将接收到的入口标签与入口键IK进行匹配。应当注 意,在第一跳路由器中,表中的入口键将大部分与发送方键相对应。更详细地,匹配操作可以包括路由器将TDF应用于转发表的行中的“候选”入口 键,以导出候选入口标签。如果该候选入口标签与分组中的入口标签满足预定关系,则视为 找到匹配。该预定关系可以是相等,即,如果该候选入口标签与分组中的入口标签相同,则 视为找到匹配。如果两个标签不匹配,则尝试表中的下一候选键,以此类推。如果在接收到 的分组中包括入口键索引Ui,则仅必须对表中包含该入口键索引Iki在内的一个或多个 表项执行匹配操作。因此,使用入口键索引Iki将有效地加速对每个接收到的数据分组的 匹配操作。如果在步骤3 9中找到匹配表项,则在接下来的步骤3 10中将该表项中的端口 (在这种情况下是端口 POO)确定为分组的传出端口。如果在步骤3 :9中未找到匹配表项, 则不对分组进行授权,因而将在步骤3 :10中丢弃该分组,从而停止转发任何这种分组。执 行匹配操作将有效地验证分组以用于进一步传输。如果使用键索引,则可以仅通过键索引 来找到合适端口并转发分组,尽管优选地为了安全性仍可以执行步骤3 9的匹配操作。
在下一步骤3 :11中,在以上找到要在转发操作中授权的分组之后,转发单元302b 将第二标签导出函数TDF’应用于匹配表项中的出口键EK,以获得附着至分组的新出口标 签“TAG’”。如果下一跳路由器将也对该分组执行匹配操作,则下一跳路由器应当知道TDF’ 以实现匹配操作。TDF和TDF’可以是不同的或相等的函数。因此,新出口标签TAG’可以被 表达为Egress_tag = TDF,(Egress router_key, < 其他数据 (3)(3)中的“其他数据”可以是包含在所要发送的分组中的有效载荷数据和/或用于 随机化的RAND或NONCE。如果使用键索引,则在步骤3 :11中还将匹配表项的出口键索引EKi附着至该分 组,例如在分组首部的目的地字段中。然后,将在下一跳路由器中使用所附着的EKi作为入 口键索引IKi,以在其转发表中找到相关行,从而执行匹配操作,以此类推。如上所述,可以 在两个或更多个连续路由器之间使用未改变的入口 /出口标签,从而基本上省略以上步骤 3 =Ilo接着,在接下来的步骤3 :12中将分组转发至出口单元302c的端口 P(X)。最后, 在最后一个步骤3 13中,在端口 P (χ)上发出附着有新出口标签TAG’的分组,作为下一跳。 然后,下一跳路由器将能够将新入口标签TAG’与其转发表中的表项进行匹配,以采用与如 上所述相同的方式确定下一跳。传输路径中与目标终端主机相连接的最后一个路由器Y可 以不应用TDF来根据步骤3 11创建新出口标签,这是由于目标终端主机根本不需要读取目 的地字段。在步骤3 3中分发的、形成路由器中的转发表的基础的路由器键可以由DNS系统 300定义如下Router_key = KDF (Destination_key, < ^ftk^SI (4)在的示例中,路由器键表示具有所讨论的目的地键的单个目的地,S卩,终端主 机。然而,如果使用聚合,则路由器键可以根据网络拓扑和那些终端主机/目的地的位置来 表示多个目的地(即,终端主机)的集合。但是,这种聚合的路由器键的创建是本发明范围 之外的内容。此外,可以将标记、首部扩展等附着至数据分组,以指示分组的结构或格式, 即,关于入口标签以及可选地还关于键索引。还可以添加另外的安全性,以采用以下方式在DNS系统处对查询终端主机进行授 权最初,当终端主机向DNS系统发送地址查询时(例如在以上步骤3 :2中),终端主机针 对这种查询,必须知道DNS系统的地址或对应的目的地标识。DNS地址可以是公知的地址, 但其也可以仅从作为本领域公知节点的DHCP (动态主机配置协议)服务器获得。在一个实 施例中,DHCP服务器提供了进行查询所需的DNS的标签,其仅能在经由DHCP认证和授权之 后由主机获得。如果地址查询缺少DNS的所需标签,则将拒绝查询,并防止查询终端主机向 目标终端主机发送分组。这样,可以通过仅允许针对DNS/DHCP授权的终端主机在路由器中 的转发过程中传播数据分组,来避免未经请求的数据分组。图4是由DNS服务器系统(例如,图3中的DNS系统300)执行的、控制分组交换 网中的数据分组传输的示例过程中的步骤的流程图。在第一步骤400中,针对不同终端主 机注册目的地键,并将由目的地键和网络拓扑导出的路由器键分发给网络中的路由器。实 际上,可以从DNS系统或从相关联的键服务器等分发路由器键。可以在配置过程中或以其他方式执行步骤400。在下一步骤402中,在某时刻从第一终端主机接收到地址查询,基本上请求目标 第二终端主机的目的地地址等。可以以例如如上所述的传统方式进行地址查询,例如,查阅 目标终端主机的电子邮件地址或web地址。在另一步骤404中,如果第一终端主机被授权向第二终端主机发送数据分组,则 DNS系统通过将键导出函数KDF至少应用于与第二终端主机相关联的目的地键来创建发送 方键。如果未被授权,则可以简单地拒绝查询。KDF可以被进一步应用于其他数据,如,应 用于第一终端主机的标识,以使发送方键对于第一终端主机来说是唯一的,例如根据上述 (1)。可选地,如上所述,为了处理该查询,可能需要经由DHCP对第一终端主机进行认证。还可以应用针对第二终端主机而定义的策略,以确定查询终端主机是否被授权向 第二终端主机发送数据分组。如果第一终端主机未被授权,则DNS系统可以拒绝该查询,如 步骤404所示。在本示例中,第一终端主机实际上被授权向第二终端主机发送数据分组。如 以上针对步骤3 :4所述,还可以应用其他策略,如使用优选路由或避免非优选路由、使用特 定服务、功能或服务质量级别、将分组重定向至另一接收方等等。在最后的步骤406中,DNS系统响应于步骤402的查询,向第一终端主机发送所创 建的发送方键。从而,第一终端主机能够通过将标签导出函数TDF应用于接收到的发送方 键以基本上采用以上针对步骤3 7所述的方式获得发送方标签,来向第二终端主机传播数 据分组,然后,将所获得的发送方标签附着至每个所传输的分组。图5是由分组发送第一终端主机(例如图3中的终端主机A)执行的、实现对分组 交换网中的数据分组路由的控制的示例过程中的步骤的流程图。在第一步骤500中,与图 3中的步骤3 4相对应,第一终端主机向DNS系统发送针对第二终端主机的地址查询。响 应于此,第一终端主机在与图3中的步骤3 :6相对应的下一步骤502中从DNS系统接收由 第二终端主机的目的地键导出的发送方键。还可能与发送方键一起,接收到指向第一跳路 由器的转发表中的合适表项或行的键索引。在接下来的步骤504中,与图3中的步骤3 :7相对应,第一终端主机通过将预定义 的TDF应用于接收到的发送方键来创建发送方标签。最后,第一终端主机在与图3中的步 骤3 :8相对应的步骤506中将所创建的发送方标签附着至通过网络传输的一个或多个数据 分组。然后,第一跳路由器将能够基本上以上述方式,通过将接收到的发送方标签与其转发 表中的表项进行匹配,确定合适的传出端口。图6是由网络中的路由器(例如,图3中的路由器302)执行的、控制分组交换网 中的数据分组传输的示例过程中的步骤的流程图。在第一步骤600中,路由器接收数据分 组。该分组可能已从相邻路由器或从作为第一跳的发送终端主机传输。在可选的下一步骤602中,可以检查该分组是否包含由DNS系统已提供的发送方 键生成的入口标签,例如,如以上针对步骤3 :7和步骤3 :6所述。如果未找到这种入口标 签,则可以在另一步骤604中丢弃该分组。另一方面,如果该分组包含入口标签,则在接下 来的步骤606中,使用如以上针对步骤3 :9所述的已知标签导出函数,对接收到的入口标签 和转发表中的不同入口键执行匹配操作,以便在表中找到匹配表项。如果在转发表中使用 键索引并且还将键索引附着至接收到的分组,则可以在该步骤中使用键索引将匹配操作限 制于一个表项或仅几个表项,并快速地在表中找到正确表项。
在下一步骤608中,确定是否通过匹配操作在转发表中找到匹配键,例如以针对 图3中的步骤3:9所述的方式。如果未找到,则在步骤610中丢弃该分组。如果找到匹配 表项,则在另一步骤612中选择匹配表项中的端口作为分组的传出端口。然后,在步骤614 中,通过将标签导出函数应用于匹配表项中的出口键来创建出口标签。最后,在最后一个所 示步骤616中,将附着有所创建的新出口标签的分组从所确定的端口发送至下一跳节点。如果使用键索引,则还可以将匹配表项中的出口键索引附着至该分组。然后,接收 下一跳节点能够基本上重复根据以上步骤610-616的过程。如以上针对步骤3:11所述,可 以在两个或更多个连续路由器之间不改变入口/出口标签。因此,根据实现,可以不必在传 输路径中的所有路由器中执行步骤614,在这种情况下,在步骤616中发送附着有接收到的 入口标签并且其被重用为出口标签的分组。图7是更详细地示意了根据其他示例实施例的、DNS服务器系统700中的装置以及 分组交换网中的路由器702中的用于控制网络中的数据分组传输的布置的逻辑框图。DNS 服务器系统700包括地址查询管理器700a,适于从第一终端主机接收地址查询Q,所述地 址查询Q基本上请求针对目标第二终端主机的有用的发送方键。DNS服务器系统700还包 括主机数据库700b,用于一般地注册与终端主机相关联的目的地键。具体地,主机数据库 700b适于提供针对第二终端主机注册的目的地键。主机数据库700b还可以保持用于指示 哪些终端主机被授权向每个所注册的终端主机发送分组的信息。该信息可以包括针对所 注册的终端主机而定义的策略,并确定查询终端主机是否被授权向特定目的地发送数据分 组。DNS服务器系统700还包括路由器键管理器700c,适于创建路由器键以及可选的 键索引,并将它们分发给网络中的路由器,包括路由器702。地址查询管理器700a还适于通 过将KDF至少应用于第二终端主机的目的地键来创建发送方键,并响应于地址查询Q,向第 一终端主机提供发送方键。从而,第一终端主机能够通过根据接收到的发送方键创建发送 方标签并将发送方标签附着至被传输至第二终端主机的每个数据分组,向第二终端主机传 播数据分组。接收到的发送方键可以仅对特定会话或数据流有效,使得第一终端主机必须 获得用于与第二终端用户的任何其他会话或数据流的新发送方键。因此,在特定会话或数 据流中将以上发送方标签附着至分组。路由器702包括入口部分704,适于从相邻节点(如网络中的另一路由器)或者 直接从发送终端主机接收数据分组P。入口部分704还可以适于在有效入口标签被附着至 分组的情况下接纳该分组,以及在未包括有效入口标签的情况下丢弃该分组。路由器702还包括转发单元706,转发单元706包括转发表706a和标签匹配单元 70 ,标签匹配单元70 用于将接收到的入口标签与转发表706a中的入口键进行匹配,以 确定分组的传出端口,例如,分别采用针对图3中的步骤3 :9-3 10以及针对图6中的步骤 606-612所述的方式。转发单元706还包括标签创建单元706c,用于创建分组的出口标 签。路由器702还包括出口部分708,适于将分组从所确定的传出端口发送至下一跳节点 (如另一相邻路由器),其中,所创建的新出口标签附着至该分组。图8是更详细地示意了根据另一实施例的、实现对分组交换网中的数据分组传输 的控制的终端用户装置800中的装置的示意框图。终端用户装置800包括地址查询单元 800a,适于将针对第二终端主机的地址查询“Q”发送至DNS系统“DNS”,并响应于该查询,从DNS系统接收由已针对第二终端主机注册的目的地键导出的发送方键。终端用户装置800还包括标签创建单元800b,适于通过将标签导出函数TDF至 少应用于接收到的发送方键来创建发送方标签;以及分组发送单元800c,适于将发送方标 签附着至数据分组P,然后将数据分组P发送至第一跳路由器R1。应当注意,图7和8仅在逻辑意义上分别示意了 DNS系统700、路由器702和终端 用户装置800中的各个功能单元。然而,本领域技术人员实际上可以自由使用任何合适的 软件和硬件手段来实现这些功能。因此,本发明一般不限于DNS服务器系统700、路由器702 和终端用户装置800的所示结构。在该方案中,路由器从而可以以上述方式将包括在接收到的数据分组中的入口标 签与转发表中的路由或入口键进行匹配,以验证分组,同时找到正确的传出端口。如果在转 发表的表项中找到匹配,则将该表项中的端口号确定为分组的正确传出端口。所描述的实施例实现了在路由器中可使用可扩缩转发表的转发架构。还可以控制 数据分组的路由以避免洪泛、垃圾邮件、病毒、诈骗、DoS攻击以及一般的未经请求的业务。 尽管参照特定示例实施例描述了本发明,但说明书一般仅意在示意本发明的概念而不应被 视为限制本发明的范围。本发明由所附权利要求限定。
权利要求
1.一种控制分组交换网中的数据分组传输的方法,包括由网络中的路由器(302、702) 执行的以下步骤接收包括入口标签的数据分组,所述入口标签是使用路由器已知的第一标签导出函数 TDF由发送方键或路由器键导出的;对接收到的入口标签以及转发表中的至少一个表项执行匹配操作,所述表项包括入口 键和对应的传出端口号,使用所述第一 TDF来确定接收到的入口标签是否与所述表项中的 入口键相匹配;以及如果在转发表中找到了匹配表项,则将分组从匹配表项中指示的传出端口发送至下一 跳节点,如果未找到匹配表项,则丢弃所述分组。
2.根据权利要求1所述的方法,其中,每个匹配操作包括将第一TDF应用于转发表的 行中的候选入口键,以导出候选入口标签,并且,如果所述候选入口标签与所述分组中的接 收到的入口标签满足预定关系,则视为找到匹配。
3.根据权利要求2所述的方法,其中,所述预定关系是相等,即,如果所述候选入口标 签与所述分组中的入口标签相同,则视为找到匹配。
4.根据权利要求1至3中任一项所述的方法,其中,出口标签是通过将第二标签导出函 数TDF’应用于匹配表项中的出口键来创建的,所述出口标签在被发送至所述下一跳节点时 附着至所述数据分组。
5.根据权利要求1至4中任一项所述的方法,其中,接收到的数据分组还包含指向转发 表中的表项或表项集合的键索引,所述键索引用于针对匹配操作寻找合适的表项。
6.一种分组交换网的路由器(302、702)中的装置,用于控制网络中的数据分组传输, 所述装置包括入口单元(704),适于接收包括入口标签的数据分组(P),所述入口标签是使用路由器 已知的第一标签导出函数TDF由发送方键或路由器键导出的;标签匹配单元(706b),适于对接收到的入口标签以及转发表中的至少一个表项执行匹 配操作,所述表项包括入口键和对应的传出端口号,使用所述第一 TDF来确定接收到的入 口标签是否与所述表项中的入口键相匹配;以及出口单元(708),用于将数据分组(P’)发送至下一跳节点,其中,如果在转发表中找到 匹配表项,则从匹配表项中指示的传出端口发送所述数据分组,如果未找到匹配表项,则丢 弃所述分组。
7.根据权利要求6所述的装置,还包括标签创建单元(706c),适于通过将第二标签导 出函数TDF’应用于所述匹配表项中的出口键来创建出口标签,以及在所述数据分组被发送 至所述下一跳节点时将所述出口标签附着至所述数据分组。
8.—种控制分组交换网中的数据分组传输的方法,包括由DNS系统(300、700)执行的 以下步骤针对网络中的终端主机(B、C、D……)注册目的地键;将路由器键分发给网络中的路由器(302),每个路由器键是由表示终端主机的所注册 的目的地键和/或由网络拓扑信息导出的;从第一终端主机(A)接收与第二终端主机有关的地址查询;通过将键导出函数KDF至少应用于与第二终端主机相关联的目的地键来创建发送方键;响应于所述地址查询,将所创建的发送方键发送至第一终端主机,从而使第一终端主 机能够通过将根据所述发送方键生成的发送方标签附着至所传输的数据分组来将数据分 组传播至第二终端主机,所述发送方标签将所传输的分组导向至第二终端主机。
9.根据权利要求8所述的方法,其中,为了处理查询,需要对第一终端主机进行认证, 并且,如果第一终端主机未经认证,则拒绝所述查询。
10.根据权利要求9所述的方法,其中,第一终端主机需要经由DHCP的授权,并且,仅当 第一终端主机经由DHCP授权时,DHCP服务器才向第一终端主机提供查询DNS服务器系统 的方式。
11.根据权利要求8至10中任一项所述的方法,其中,将针对第二终端主机而定义的策 略应用于所述查询,以确定第一终端主机是否被授权将数据分组发送至第二终端主机,并 且如果第一终端主机未被授权,则拒绝所述查询。
12.根据权利要求8至11中任一项所述的方法,其中,所述发送方键是通过将KDF还应 用于第一终端主机的标识和/或时间戳、和/或应用于随机数来创建的。
13.根据权利要求8至12中任一项所述的方法,其中,所述路由器键根据网络拓扑以及 单个终端主机或多个终端主机的集合相对于所述网络拓扑的位置来表示那些终端主机。
14.根据权利要求8至13中任一项所述的方法,其中,键索引被分发给网络中的所述路 由器,所述键索引中的每一个标识所述路由器键中的至少一个。
15.一种DNS服务器系统(300、700)中的用于控制分组交换网中的数据分组传输的装 置,所述装置包括主机数据库(700b),用于注册与终端主机相关联的目的地键;路由器键管理器(700c),适于将路由器键分发给网络中的路由器(702),每个路由器 键是由表示终端主机的目的地键和/或由网络拓扑信息导出的;以及地址查询管理器(700a),适于从第一终端主机接收与第二终端主机有关的地址查询 (Q),通过将键导出函数至少应用于与第二终端主机相关联的目的地键来创建发送方键,并 响应于地址查询,将所述发送方键发送至第一终端主机,从而使第一终端主机能够通过将 根据所述发送方键生成的发送方标签附着至所传输的数据分组,将数据分组传播至第二终 端主机,所述发送方标签将所传输的数据分组导向至第二终端主机。
16.一种实现对分组交换网中的数据分组传输的控制的方法,包括由第一终端主机所 使用的终端主机设备(A、800)执行的以下步骤将针对第二终端主机的地址查询发送至DNS系统(300、700);响应于所述地址查询,从所述DNS系统接收发送方键,所述发送方键是通过将键导出 函数KDF至少应用于第二终端主机的所述目的地键,由与第二终端主机相关联的目的地键 导出的;通过将标签导出函数TDF至少应用于接收到的发送方键来创建发送方标签;将所创建的发送方标签附着至以第二终端主机为导向的数据分组;以及将所述数据分组发送至第一跳路由器(302、R1)。
17.根据权利要求16所述的方法,其中,响应于所述查询,还从所述DNS系统接收用于 标识第一跳路由器的转发表中的一个或多个路由器键的键索引,并且,所述键索引被附着至由第一终端主机传输至第二终端主机的数据分组。
18.根据权利要求16或17所述的方法,其中,所述发送方标签是通过将TDF还应用于 至少分组中的有效载荷的一部分和/或应用于随机数来创建的。
19.一种终端主机设备(A、800)中的装置,由第一终端主机使用,用于实现对分组交换 网中的数据分组传输的控制,所述装置包括地址查询单元(800a),适于将针对第二终端主机的地址查询(Q)发送至DNS系统 (300,700),并响应于所述查询,从所述DNS系统接收由第二终端主机的目的地键导出的发 送方键;标签创建单元(800b),适于通过将标签导出函数TDF至少应用于接收到的发送方键来 创建发送方标签;以及分组发送单元(800c),适于将所述发送方标签附着至数据分组(P),然后将所述数据 分组发送至第一跳路由器(302、R1)。
全文摘要
本发明提供了用于控制分组交换网中的数据分组传输的方法和装置。当第一终端主机(A)向DNS系统(300)发送针对第二终端主机的地址查询时,如果第一终端主机(A)被授权向第二终端主机发送分组,所述DNS系统通过提供根据针对第二终端主机注册的目的地键创建的发送方键,做出响应。从而,如果被授权,则第一终端主机能够通过将根据发送方键生成的发送方标签(TAG)作为入口标签附着至每个所传输的数据分组,将数据分组传播至第二终端主机。网络中的路由器(302)将接收到的分组中的入口标签与转发表中的表项进行匹配,并根据匹配表项在输出端口(X)上发出分组。否则,如果在表中未找到匹配项,则路由器丢弃该分组。
文档编号H04L12/56GK102132532SQ200880130849
公开日2011年7月20日 申请日期2008年8月22日 优先权日2008年8月22日
发明者安德拉斯·塞萨, 拉斯·韦斯特伯格, 拉斯·麦格纳森, 马茨·内斯隆德 申请人:艾利森电话股份有限公司