专利名称:在多个mpls网络上的数据加密的制作方法
在多个MPLS网络上的数据加密
背景技术:
为了在一组网络上加密数据,可以由每个网络执行IP层上的数据 加密,由此导致多层加密。每层数据加密添加了必须通过网络发送的 额外数据,由此增加了通过网络发送数据所必需的时间量。而且,即 使仅仅执行一种类型的数据加密,大量信息也被添加到加密的数据的 分组报头,由此增加了网络设备所需要的处理。
图l是图示可以在其中实施在此描述的系统和方法的示例性系统
的图2是图1的多协议标签交换(MPLS)加密设备的示例图; 图3示出可以存储在图2的示例性MPLS加密设备内的示例性数据 表;以及
图4A-4C是图示由图1的系统执行的示例性处理的流程图。
具体实施例方式
下面的示例性实施例的详细描述参考附图。在不同的附图中的相 同附图标记可以指相同或者相似的元件。而且,下面的详细描述不限 制所述实施例。在此所述的系统和方法可以在一组不可信赖MPLS网络 上提供数据加密。
图l是图示可以在其中实施在此描述的系统和方法的示例性系统 100的图。在一种实施方式中,系统100可以包括,例如通过一组链路 111连接的 一 组网络设备110 ,其可以形成MPLS网络120-1和120-2(统称 为"MPLS网络120")。系统100还可以包括一组MPLS加密器130-1、 130-2 和130-3(统称为"MPLS加密器130")、 一组网络140-l和140-2(统称为"网络140")和一组客户端设备150-l和150-2(统称为"客户端设备 150")。应当理解在系统100中所示的部件的数目是示例性的。在实践 中,系统100可以包括比图1中所示的更多或者更少的部件。
网络设备110可以包括任何网络设备,诸如计算机、路由器、交换 机、网络接口卡(NIC)、集线器、桥接器等。在一种实施方式中,网络 设备110可以包括标签交换路由器(LSR)。网络设备110可以包括一个或 多个输入端口和输出端口,这些端口允许到其他网络设备110的通信。 可以经由链路111连接网络设备110。链路lll可以包括允许网络设备 IIO之间的通信的一个或多个路径,诸如有线、无线和/或光连接。例如 被配置为LSR的网络设备可以从MPLS加密器130接收数据报。"数据报"
可以包括任何类型或者形式的数据,诸如分组或者非分组数据。每个 网络设备110可以沿着标签交换路径(LSP)被配置为LSR,并且可以基于 MPLS报头(例如,MPLS垫片(shim)报头)中承载的标签来作出转发决 定。即,数据报转发过程可以基于标签交换的概念。以这种方式,LSP 可以识别数据报穿过MPLS网络120所采用的网络设备110和链路111的 具体路径。可以例如由每个网络设备110沿着LSP转发标记的数据报, 直到所述标记的数据报最后到达MPLS加密器130, MPLS加密器130可 以被配置为出口LSR。出口MPLS加密器130或者在MPLS加密器130之 前的LSR(例如,网络设备1 IO)可以从数据报移除MPLS报头。
为了优化路由或者路径选择过程,LSP的物理路径可以不限于执行 内部网关协议(IGP)的一个或多个路由器所选择以到达目的地的最短路 径。可以使用显式路由来限定LSP的物理路径。显式路由可以是限定LSP 的物理路径的、预先配置的网络设备110(即,LSR)的序列。显式路由 可以允许不遵从通过传统的IP路由(例如,通过IGP)建立的最短路径路 由的物理路径被限定。例如,显式路由可以用于对网络120中的拥塞点 周围的业务进行路由,用于优化整个网络120的资源利用,并且/或者用 于满足网络和管理策略限制。网络120可以包括可以形成如上所述的MPLS网络的通过链路111
互连的一组网络设备IIO。虽然在每个网络120中示出了四个网络设备 llO和五个链路lll,可以在其他实施方式中使用更多或者更少的网络 设备110和链路111。网络120还可以包括协助通过网络120转发数据的 其他设备(未示出)。
MPLS加密器130可以包括用于接收、加密和在网络之间发送数据 的一个或多个设备。在一种实施方式中,MPLS加密器130可以被配置 为网络120的入口LSR(数据报的进入点)、禾P/或出口LSR(数据报的退出 点)。MPLS加密器130可以接收数据报,并且可以基于多种因素来将数 据报分类到转发等价类(FEC)中。FEC可以包括可以被同样地看作用于 转发目的的数据报集合,并且可以被映射到单个标签。数据报可以被 封装在MPLS报头中,所述MPLS报头可以包含短的、固定长度的、局 部指配的标签,所述标签可以基于FEC。 MPLS加密器130可以利用 MPLS报头将数据报转发到下一跳的LSR,例如到下一个网络设备IIO。
网络140可以包括一个或多个网络,所述网络包括网际协议(IP)网 络、城域网(MAN)、广域网(WAN)、局域网(LAN)或者网络的组合。在 一种实施方式中,网络140可以被称为专用或者可信赖网络。网络140 还可以包括用于向/从其他连接的网络设备发送/接收数据的设备,诸如 交换机、路由器、防火墙、网关和/或服务器(未示出)。
网络140可以是硬连线的,使用有线导体和/或光纤;并且/或者网 络140可以是无线的,使用自由空间光传输路径和/或射频(RF)传输路 径。在此所述的网络140和/或在网络140上工作的设备的实施方式不限 于任何特定的数据类型和/或协议。
客户端设备150可以包括允许用户与其他用户建立数据连接以及 语音和/或视频呼叫的一个或多个设备。客户端设备150可以包括个人计 算机、膝上型计算机、个人数字助理(PDA)、电话设备和/或其他类型的通信设备。
在图1中以虚线示出的界线160可以限定可信赖和不可信赖网络
(例如,网络120和140)及设备之间的界线。例如,网络140可以被称为 "可信赖"网络,客户端设备150可以被称为"可信赖"客户,并且网 络120可以被称为"不可信赖"网络。例如,可信赖网络可以是专用网 络,并且不可信赖网络可以是公共网络,诸如因特网。
图2是单个MPLS加密器130的示例图。MPLS加密器130可以包括输 入端口210、交换机制220、输出端口230、控制单元240和加密引擎280。 界线160(如也在图1中以虚线示出的一样)可以限定MPLS加密器130的 可信赖和不可信赖部分之间的界线。例如,在线160之上的输入端口 210、交换机制220、输出端口230和控制单元240可以被称为"可信赖" 输入端口210-T、"可信赖"交换机制220、"可信赖"输出端口230-T 和"可信赖"控制单元240-T。同样,在线160之下的输入端口210、交 换机制220、输出端口230和控制单元240可以被称为"不可信赖"输入 端口210-U、"不可信赖"交换机制220-U、"不可信赖"输出端口230-U 和"不可信赖"控制单元240-U。加密引擎280可以对从MPLS加密器130 的可信赖和不可信赖侧接收到的数据执行加密和解密。
输入端口210可以连接到网络120和140以接收数据。例如,可信赖 输入端口210-T可以从诸如网络140-1的可信赖网络接收数据,并且不可 信赖输入端口210-U可以从诸如网络120-1的不可信赖网络接收数据。输 入端口210可以包括用于执行数据链路层封装和解封装的逻辑。输入端 口210还可以包括用于向交换机制220转发所接收到的数据的逻辑。输 入端口210可以从网络120和140接收数据,并且可以运行数据链路级协 议和/或多种更高级的协议。
交换机制220可以从输入端口210接收数据,并且确定到输出端口 230的连接。交换机制220可以被控制单元240控制,以便向可信赖输出端口230-T切换数据或者向不可信赖输出端口230-U切换数据。可以使 用许多不同的技术来实施交换机制220。例如,可以使用总线、交叉开 关(crossbar)和/或共享存储器来实施交换机制220。总线可以链接输 入端口210和输出端口230。交叉开关可以提供通过每个交换机制220的 多个同时的数据路径。在共享存储器方案中,进入的数据报可以被存 储在共享存储器内,并且可以切换指向数据报的指针。交换机制220还 可以向加密引擎280提供数据,用于如下所述的数据加密和解密。
输出端口230可以连接到网络120和140用于数据传输。例如,可信 赖输出端口230-T可以输出将通过诸如网络140-l的可信赖网络发送的 数据,并且不可信赖输出端口230-U可以输出将通过诸如网络120-l的不 可信赖网络发送的数据。输出端口230可以包括执行支持优先权和保证 的调度算法的逻辑,并且可以运行数据链路级协议和/或多个更高级的 协议。
控制单元240可以控制交换机制220以经由加密引擎280将输入端 口210互连到输出端口230。例如,不可信赖控制单元240-U可以使不可 信赖交换机制220-U能够经由加密引擎280将不可信赖输入端口210-U 连接到不可信赖输出端口230-U。在另一个示例中,可信赖控制单元 240-T可以使可信赖交换机制220-T能够将来自可信赖输入端口210-T的 传输通过加密引擎280引导至不可信赖交换机制220-U,以连接到不可 信赖输出端口230-U。在又一个示例中,可信赖控制单元240-T还可以 使可信赖交换机制220-T能够将可信赖输入端口210-T连接到可信赖输 出端口230-T。控制单元240还可以实施路由协议,并且/或者运行软件 来配置网络120和140之间的传输。控制单元240可以进一步控制MPLS 加密器130之间的通信。例如,控制单元240可以控制用于协商LSP标签 和加密协议的传输。
在一种实施方式中,每个控制单元240可以包括传输保护250、处 理器260和存储器270。传输保护250可以包括可以引导或者禁止可信赖
1和不可信赖网络之间的传输的硬件和软件机制。例如,传输保护250可
以将来自可信赖网络140的传输通过交换机制220和加密引擎280引导 至不可信赖网络120。传输保护250也可以阻止来自不可信赖网络120的 传输进入可信赖网络140。处理器260可以包括微处理器或者处理逻辑, 其可以解析和执行指令。存储器270可以包括随机存取存储器(RAM)、 只读存储器(ROM)设备、磁和/或光记录介质及其对应驱动器、和/或可 以存储由处理器260执行的信息和指令的另一类型的静态和/或动态存 储设备。存储器270也可以存储标签信息库(LIB),其可以包含一组LSP 标签和加密协议信息,如下所述。
加密引擎280可以对可能从其他MPLS加密器130发送或者接收的 数据进行加密和解密。加密引擎280可以包括一个或多个存储程序,该 存储程序包括用于加密和解密数据的加密协议。如下所述,为了建立 通过网络120的LSP, MPLS加密器130的可信赖和不可信赖侧的每一侧 可以在存储器270中建立LIB,其可以将数据映射到外出LSP标签。参考 图3,例如,数据表或者LIB310可以被存储在MPLS加密器130的可信赖 侧的可信赖存储器270-T中,并且可以在表中包含两个相关联的列。数 据表或者LIB 320可以被存储在MPLS加密器130的不可信赖侧的不可信 赖存储器270-U中,并且可以在表中包含四个相关联的列。
在一个示例中,数据表310可以用于将从可信赖网络140-1接收到 的数据映射到LSP标签,用于通过不可信赖网络120-1的传输。数据表 310可以包括加密列330和LSP出列340。数据表310的加密列330可以包 含识别定义的加密程序和/或协议的信息。例如,加密列330可以包括 "E1" 、 "E2" 、 "E3"和"E4",其可以表示识别可以被存储在加 密引擎280内的四个不同加密协议的信息。
LSP出列340可以包含与通过网络120-1的连接相关联的LSP标签。 每个LSP标签可以与加密列330中的对应加密协议相关联,其中,在加 密列330中的对应加密协议可以用于数据加密。例如,LSP出列340可以存储LSP标签"LSP1" 、 "LSP2" 、 "LSP3"禾口 "LSP4,,,其可以用 于建立通过不可信赖网络120-1的连接。例如,可以使用加密协议"E3" 来加密从可信赖网络140-1接收到的数据,并且LSP标签"LSP3"可以 被应用于加密的数据,用于通过不可信赖网络120-1的传输。
数据表320可以包括LSP入列350、加密入列360、加密出列370和 LSP出列380。数据表320可以用于将从第一不可信赖网络(例如,网络 120-1)接收到的、具有进入LSP标签和进入加密协议的数据映射到外出 加密协议和外出LSP标签,用于通过第二不可信赖网络(例如,网络120-2) 的传输。
数据表320的LSP入列350可以包含识别通过不可信赖输入端口 210-U接收到的LSP标签的信息。例如,LSP入歹U350可以存储LSP标签 "LSP5" 、 "LSP6" 、 "LSP7"和"LSP8",其可以识别可以从不可 信赖网络120-1接收到的LSP标签。具有LSP入列350中的LSP标签的进 入数据可以被映射到LSP出歹[J380中的对应外出LSP标签。
数据表320的加密入列360可以包含识别进入加密协议的信息。例 如,加密入列360可以存储"E1" 、 "E2" 、 "E3"和"E4",其可以 表示识别可以被存储在加密引擎280中的四个不同加密程序和/或协议 的信息。
数据表320的加密出列370可以包含识别外出加密程序和/或协议 的信息。例如,加密出列370可以存储"E2"、 "E3"、 "E4"和"E1", 其可以表示识别可以被存储在加密引擎280中的四个不同加密协议的信息。
LSP出歹U380可以包含用于标记数据以用于通过不可信赖网络 120-2的传输的LSP标签。例如,LSP出歹U380可以存储LSP标签"LSP9"、 "LSP10" 、 "LSP11"和"LSP12",其可以用于通过不可信赖网络120-2来发送数据。例如,如果通过不可信赖端口230-U从不可信赖网络 120-1接收到具有进入标签"LSP7"和加密协议"E3"的数据,则可以 使用加密协议"E3"解密所述数据,使用对应加密协议"E4"重新加 密所述数据,并且可以将外出标签"LSP11"应用到所述数据,以用于 通过不可信赖网络120-2的传输。提供图3中所示的MPLS加密器130的可 信赖和不可信赖侧中的LIB数据表仅仅用于解释的目的。数据表310和 320可以包括除图3中所示以外的其他信息。可以如以下参考图4A-4C所 述的来创建数据表310和320中的条目。
使用数据表310,经由可信赖输入端口210-T接收到的数据可以在 被发送到不可信赖输出端口230-U以通过不可信赖网络120发送之前, 经过加密引擎280加密。使用数据表320,经由不可信赖输入端口210-U 从不可信赖网络120-1接收到的数据可以被加密引擎280解密和重新加 密,并且被发送到不可信赖输出端口230-U,以通过不可信赖网络120-2 发送。
在数据己经被MPLS加密器130加密、标记和输出之后,网络设备 IIO可以基于所应用的LSP标签来将所述数据作为数据报通过MPLS网 络120沿着链接111转发。LSP标签可以在每个网络设备110处被交换成 新标签。以这种方式,LSP标签可以识别数据报穿过MPLS网络120可能 采用的网络设备1 IO和链路111的具体路径。
在此所述的MPLS加密器130可以执行特定的操作,如下详细描述。 每个MPLS加密器130可以响应于处理器260执行在诸如存储器270的计 算机可读介质中包含的软件指令而执行这些操作。
可以将所述软件指令从另一个计算机可读介质,诸如数据存储设 备,或者经由通信接口从另一个设备读入到存储器270中。在存储器270 中包含的软件指令可以使得处理器260执行如下所述的过程。作为替代 方式,可以使用硬连线电路来替代软件指令或者与其结合,以实施符合各个实施例的原理的过程。因此,符合示例性实施例的原理的实施 方式不限于硬件电路和软件的任何具体组合。
图4A-4C图示了由系统100执行的示例性处理400。例如,在一种实 施方式中,处理400可以在可信赖客户端,诸如可信赖客户端150-1向可 信赖网络,诸如网络140-1发送数据时开始(行为405)。例如,可信赖客 户端150-l可能期望与可信赖客户端150-2进行通信,并且建立到可信赖 客户端150-2的连接。然后,可信赖网络140-1可以向MPLS加密器130-1 发送数据(行为410)。响应于接收到该数据,MPLS加密器130-1可以向 MPLS加密器130-3发送加密请求信号(行为415)。例如,MPLS加密器 130-l可以向MPLS加密器130-3发送指示特定加密协议的信号。
在接收到这个加密请求信号时,MPLS加密器130-l和130-3可以协 商第一加密协议,并且确定第一LSP标签(行为420)。例如,MPLS加密 器130-3可以访问存储器270,以确定所存储的加密协议并且启用LSP标 签。然后,MPLS加密器130-3可以向MPLS加密器130-1发送响应(行为 425)。该响应可以包括确认可以被用于通过网络120-1在加密器130-1和 130-3之间通信的第一加密协议和第一LSP标签的信息。例如,MPLS加 密器130-3可以利用指示加密协议"E3"和LSP标签"LSP3"的信息来 响应MPLS加密器130-1,加密协议"E3"禾卩LSP标签"LSP3"可以被 存储在数据表310中,如图3中所示。
为了通过网络120-2发送数据,MPLS加密器130-3可以向MPLS加 密器130-2发送加密请求信号(行为430)。在接收到加密请求信号时, MPLS加密器130-2和130-3可以协商第二加密协议,并且确定第二LSP 标签(行为435)(图4B)。例如,MPLS加密器130-2可以访问存储器270, 以确定所存储的加密协议,并且启用LSP标签。然后,MPLS加密器130-2 可以向MPLS加密器130-3发送响应(行为440)。所述响应可以包括指示 第二加密协议和第二LSP标签的信息,所述信息可以用于通过网络 120-2在加密器130-3和130-2之间的通信。例如,MPLS加密器130-2可以利用指示加密协议"E4"和LSP标签"LSP11"的信息来响应MPLS加 密器130-3,所述加密协议"E4"和LSP标签"LSP11"可以被存储在 MPLS加密器130-3的数据表320中。
MPLS加密器130-1可以使用第一加密协议来加密来自可信赖客户 端140-1的数据(行为445)。例如,加密引擎280可以使用如在数据表310 中指示的第一协商的加密协议(例如,"E3")(如在行为420中所确定的) 来加密数据。在加密了所述数据之后,可以应用在行为420中协商的LSP 标签,并且可以发送数据(行为450)。例如,使用数据表310, MPLS加 密器130-1可以将LSP标签"LSP3"应用到利用加密协议"E3"加密的 数据。MPLS加密器130-3可以接收和解密所发送的数据(行为455)。例 如,使用数据表320,可以使用加密协议"E3"来解密在LSP标签"LSP7" 上接收到的数据。 一旦数据被解密,可以使用第二加密协议来加密该 数据(行为460)。例如,可以使用在数据表320内存储的(如在行为435中 协商的)加密协议"E4"。
在利用第二加密协议加密后,LSP标签可以被应用,并且数据可以 被发送(行为465)。例如,使用数据表320的相关联的列370和380, MPLS 加密器130-3可以应用协商的加密协议和LSP标签用于到MPLS加密器 130-2的传输。例如,可以将LSP标签"LSP11"应用到可以被发送并且 使用加密协议"E4"加密的数据。由MPLS加密器130-3发送的数据可 以被MPLS加密器130-2接收和解密(行为470)。例如,MPLS加密器130-2 可以使用在行为435中确定的并且在数据表320内存储的协商的加密协 议来解密所接收到的数据。在解密后,所述数据然后可以被发送到可 信赖客户端140-2(行为475)。
以这种方式,处理400可以提供用于通过一组不可信赖网络120在 两个可信赖网络(140-l和140-2)之间的通信的数据加密。也应当明白, 处理400是示例性的,并且例如,在可信赖网络140之间可以包括多于 两个不可信赖MPLS网络120。在这种情况下,如上所述的示例性行为也可以被应用到所有网络。例如,MPLS加密器130-2可以与下一个 MPLS加密器130协商加密协议和LSP标签,以在另一个不可信赖网络 120上建立LSP连接。
在其他实施例中,可以使用单个加密协议来加密来自可信赖网络 140-1的数据。例如,MPLS加密器130-l可以与MPLS加密器130-3协商 加密协议,并且可以加密从可信赖网络140-1接收到的数据。加密的数 据可以被标记并且被发送到MPLS加密器130-3。例如,MPLS加密器 130-3可以与MPLS加密器130-2协商,来使用可以由MPLS加密器130-1 使用的相同加密协议。例如,MPLS加密器130-3可以将LSP标签应用到 从MPLS加密器130-1接收到的数据,以向MPLS加密器130-2发送所接收 到的数据,而不解密和重新加密所接收到的数据。
在进一步的其他实施例中,单个不可信赖网络120可以例如在可信 赖网络140-l和140-2之间。在这个示例性实施例中,可以要求两个MPLS 加密器130,并且可以协商单个加密协议和LSP。
前面对示例性实施例的描述提供了说明和描述,但是不意在是穷 尽性的,或者将所述实施例限于所公开的确切形式。修改和改变根据 上述的教程是可能的,或者可以从实施例的实践被获得。
而且,虽然已经参考图4A-4C的流程图描述了一系列行为,但是符 合实施例的原理的行为次序可以在其他实施方式中不同。而且,可以 并行地执行非附属行为。
可以通过附图中说明的实施方式中的软件、固件和硬件的许多不 同形式来实施如上所述的实施例。用于实施在此所述的实施例的实际 软件代码或者专门的控制硬件不是本发明的限制。因此,未参考具体 软件代码描述了实施例的操作和行为一一将理解人们能够根据此处的 描述来设计软件和控制硬件以实施所述实施例。除非明确地说明,在本申请中使用的元件、行为或者指令都不应 当被解释为对于在此所述的系统和方法是关键或者必要的。而且,在 此使用的不加数量词的项目意在包括一个或多个项目。当仅意指一个 项目时,使用术语"一个"或者类似的语言。而且,短语"基于"意 在表示"至少部分地基于",除非另外明确地说明。
权利要求
1.一种方法,包括与网络设备协商加密协议;从可信赖客户端设备接收数据;利用所述协商的加密协议来加密所接收到的数据;以及将标签交换路径(LSP)标签应用于所述加密的数据,用于通过多协议标签交换(MPLS)网络到所述网络设备的传输。
2. 根据权利要求1所述的方法,进一步包括 从所述网络设备接收指示所述协商的加密协议的信号。
3. 根据权利要求2所述的方法,进一步包括 基于从所述网络设备接收到的信号从存储器中选择所述协商的加密协议。
4. 根据权利要求1所述的方法,进一步包括 与所述网络设备协商所述LSP标签。
5. 根据权利要求l所述的方法,其中,所述可信赖客户端设备处 于可信赖网络中,并且所述MPLS网络是不可信赖网络。
6. —种网络设备,包括存储器,用于存储多个加密协议;以及 逻辑,被配置用于向第二网络设备发送请求,以协商加密协议, 基于来自所述第二网络设备的响应从所述存储器中选择所述 加密协议中的一个,从可信赖客户端设备接收数据,利用所选择的加密协议来加密所接收到的数据,以及将标签交换路径(LSP)标签应用于所述加密的数据,用于通过不可信赖多协议标签交换(MPLS)网络到所述第二网络设备的传输。
7. 根据权利要求6所述的网络设备,其中,所述逻辑进一步被配置用于与所述第二网络设备协商所述LSP标签。
8. 根据权利要求7所述的网络设备,其中,所述协商的LSP标签 被存储在所述存储器中。
9. 根据权利要求6所述的网络设备,其中,所述可信赖客户端设 备处于可信赖网络中。
10. 根据权利要求6所述的网络设备,其中,所述逻辑进一步被 配置用于将从输入端口接收到的数据通过加密引擎切换到输出端口。
11. 一种系统,包括 第一网络设备; 第二网络设备;以及第三网络设备,其中,所述第一网络设备被配置用于与第二网络设备协商第一加密协议和第一标签交换路径(LSP)标签,从可信赖网络接收数据,以及利用所述第一协商的加密协议来加密所接收到的数据,并且 应用所述第一 LSP标签,用于所述加密的数据到所述第二网络设备的 传输,并且其中,所述第二网络设备被配置用于从所述第一网络设备接收所述加密的数据,利用所述第一协商的加密协议来解密所接收到的数据, 与所述第三网络设备协商第二加密协议和第二 LSP标签, 利用所述第二加密协议来重新加密所述解密的数据,以及 应用所述第二 LSP标签,用于所述重新加密的数据到所述第 三网络设备的传输。
12. 根据权利要求11所述的系统,其中,所述第一网络设备进一 步被配置用于将所述第一协商的LSP存储在存储器中。
13. 根据权利要求12所述的系统,其中,所述第一网络设备进一步被配置用于从多个加密协议中选择所述第一协商的加密协议。
14. 根据权利要求11所述的系统,其中,从所述可信赖网络接收到的数据是从可信赖客户端设备发送的。
15. 根据权利要求11所述的方法,其中,所述第二网络设备进一 步被配置用于将所述第一和第二协商的加密协议存储在存储器中。
16. —种网络设备,包括存储器,用于存储多个加密协议;以及 逻辑,被配置用于与第一网络设备协商第一加密协议,与第二网络设备协商第二加密协议,从所述第一网络设备接收加密的数据,利用所述第一加密协议来解密所接收到的数据,并且利用所述第 二加密协议来重新加密所述数据,以及应用标签交换路径(LSP)标签,用于所述重新加密的数据到所述第二网络设备的传输。
17. 根据权利要求16所述的网络设备,其中,所述逻辑进一步被 配置用于与所述第一网络设备协商第一 LSP标签。
18. 根据权利要求17所述的网络设备,其中,所述逻辑进一步被配置用于与所述第二网络设备协商第二 LSP标签。
19. 根据权利要求18所述的网络设备,其中,所述第一和第二LSP 标签被存储在所述存储器中。
20. 根据权利要求16所述的网络设备,其中,所述逻辑进一步被配置用于从所述存储器中选择所述第一和第二加密协议。
全文摘要
一个网络设备与另一个网络设备协商加密协议,从可信赖客户端设备接收数据,利用协商的加密协议来加密所接收到的数据,并且将标签交换路径(LSP)标签应用于加密的数据,用于通过不可信赖多协议标签交换(MPLS)网络到所述网络设备的传输。
文档编号G06F15/16GK101606142SQ200780045841
公开日2009年12月16日 申请日期2007年12月10日 优先权日2006年12月11日
发明者丹尼尔·M·伍德 申请人:联合网络系统有限责任公司