用于保留网络中的数据分组的相对定时和排序的方法和装置制造方法及图纸

分组网络包括执行分组处置的分组引擎（50）。密码引擎（60）与分组引擎（50）分开提供，以用于加密和/或认证操作。为了保留数据分组的相对定时和排序，分组引擎（50）执行数据业务的预成形，其中分组引擎（50）将虚设分组（59）插入到数据流中。分组引擎（50）向密码引擎（60）提供预成形数据业务。

【技术实现步骤摘要】
【国外来华专利技术】用于保留网络中的数据分组的相对定时和排序的方法和装置
本专利技术涉及分组网络中的数据传输。本专利技术特别地涉及用于在分组网络中传送数据分组的方法和装置，所述方法和装置通过使用例如加密和/或认证来提供安全端到端路径或安全段。本专利技术涉及此类方法和装置，所述此类方法和装置适于任务关键应用，例如但不限于工业自动化控制系统，特别是用于监控和控制电力安装的网络。本专利技术特别地涉及在执行加密和/或认证操作的密码引擎中和/或在沿安全端到端路径传输期间保留分组的相对定时和排序的方法和装置。
技术介绍
为了保证分组网络中数据传输的完整性和认证，信息需要被加密和/或认证。因此，数据流中的分组的主要部分由其加密和/或认证的副本（counterpart）替换。常规上，加密和/或认证协议需要向流中添加分组/从流中删除分组，连同分组大小的相应扩大或减小。当在网状网络的中间节点处与已处理和未处理的子流的必要的并行处置组合时，由于加密和/或认证而引起的改变流特性可导致端到端延迟的显著变化和改变的分组顺序。甚至当加密和/或认证以线速执行并且仅插入小的恒定延迟时，分组的插入和分组大小的扩大也能增加不确定性延迟、抖动和延迟变化。对于在任务关键应用中使用的确定性控制算法，端到端延迟的显著变化和改变的分组顺序一般是不可容忍的。用来解决与端到端延迟的显著变化和改变的分组顺序关联的这些问题的一种方法是，刚好在传输之前，即在已经执行了加密和/或认证操作之后，对关键分组进行时间戳记。出于各种原因，这可能是不期望的。为了说明，这种方法可能会增加复杂性。它还需要执行加密和/或认证操作的装置被置于时间戳记上下文中，即，了解和使用时间戳记协议。
技术实现思路
本专利技术的目的是要提供用于分组网络中数据传输的改进方法、装置和系统。特别地，一个目的是要提供改进的方法、装置和系统，它们在分组网络中提供加密和/或认证的数据传输，同时减轻与不确定性的延迟、抖动和延迟变化关联的问题。还有一个目的是提供改进的方法、装置和系统，它们保留分组排序，而不需要在加密和/或认证操作已经被应用于数据分组之后执行时间戳记。根据示范性实施例，提供了通过在中间节点处将数据分组时间戳记并分离成并行处理流之前在分组引擎中添加虚设分组和/或扩大分组间间隙来执行数据业务预成形的方法和装置。由于数据业务的预成形，不需要在执行加密和/或认证操作的密码引擎处添加附加数据分组。由密码引擎扩大的数据分组只生长到空的分组间间隙中。因此，在中间节点处“要处理”的子流和“不要处理”的子流的分离和组合自然交织。保留分组定时和排序。示范性实施例为加密和/或认证的数据分组传输提供了线状确定性，即使在通过复杂网状网络传送时也如此，因为所公开的方法和装置能够保留相对定时和排序，（a）而不需要由执行加密和/或认证操作的密码引擎插入新的数据分组，以及（b）而不需要密码引擎在加密和/或认证操作之后执行时间戳记。根据本专利技术的一方面，提供了一种保留在分组网络中传送的数据分组的相对定时和排序的方法。分组网络包括执行分组处置的分组引擎，其中密码引擎与分组引擎分开提供，以用于加密和/或认证操作。所述方法包括由分组引擎对数据业务预成形，其中分组引擎将虚设分组插入到数据流中。所述方法包括由分组引擎向密码引擎提供预成形数据业务。密码引擎可以与分组引擎物理分离，并且可以经由以太网或光缆连接到分组引擎。通过密码引擎和分组引擎的物理分离增强了安全性。如本文所使用的，术语“密码引擎”指的是被配置成执行加密/解密和/或认证操作的装置。密码引擎可以可选地具有专用组件，例如用于执行加密/解密和/或认证操作的物理随机数生成器。如本文所使用的，术语“虚设分组”指的是不包括有效载荷数据并且可以由密码引擎利用控制信息填充的分组。该方法可以还包括由密码引擎将虚设分组中的至少一部分用于管理信道传输。密码引擎可以将加密和/或认证相关的控制信息插入到虚设分组中的至少一部分中。虚设分组消除了对于由密码引擎创建附加分组的需要。密码引擎可以将虚设分组用于加密密钥交换。密码引擎可以执行加密和/或认证操作，而无需将附加分组插入到数据业务中。将虚设分组插入到数据业务中可以包括以下步骤：由在附接到分组引擎或由所述分组引擎包括的中央处理单元上执行的计算机可读指令代码生成存储器映像并将所述存储器映像作为模板写入到存储器；由所述计算机可读指令代码将所述分组引擎的分组交换机配置成以重复间隔从所述存储器提取所述映像；以及由所述分组交换机以所述重复间隔从所述存储器提取所述映像并将所述映像插入到所述数据流中，在由所述计算机可读指令代码配置的端口处，所述映像被插入所述数据流中。这些步骤可以响应于例如分组引擎的启动或者响应于新的用户输入来执行。存储器可以是分组交换机和中央处理单元的共享存储器。虚设分组可以包括空节（emptysection）信令通信信道SCC分组。该方法可以还包括由分组引擎删除退出加密和/或认证数据流的SCC分组。当密码引擎将控制信息添加到虚设分组，由此生成控制分组时，密码引擎可以添加附加的外部多协议标签交换（MPLS）报头。外部MPLS报头可具有这样的效果：MPLS网络中的诸如分组交换机之类的中间节点看不到通用关联信道标签（GAL）SCC报头。这确保GALSCC分组仅在端点密码引擎剥离外部MPLS报头之后才被删除。端到端MPLS分组流能不受由密码引擎添加的控制信息的影响。预成形数据业务可以还包括在分组引擎的出口端口处扩大分组间间隙。扩大分组间间隙可以包括将附加字节插入到数据流中和/或延迟从分组引擎传出的数据分组的传输。密码引擎当执行所述加密和/或认证操作时，可以将数据分组生长到分组间间隙中。密码引擎可以将数据分组生长到分组间间隙中，而相应地，不会引起抖动，不会引入延迟，并且不需要在密码引擎处执行时间戳记。扩大的分组间间隙的大小或者可以是可配置的。该方法可以还包括确定扩大的分组间间隙的大小。扩大的分组间间隙可以被配置成使得，当执行加密和/或认证操作时，密码引擎相应地仅将数据分组生长到分组间间隙中，而不改变连续数据分组的相对定时。确定扩大的分组间间隙的大小可包括：遍历所述分组网络中在所述分组引擎的接口上开始的所有配置的路径；使用需要最大分组间间隙的配置路径中的一个配置路径来确定对于所述接口的所述扩大的分组间间隙；以及由中央处理单元构建寄存器字节序列，并将寄存器字节序列写入到分组交换机寄存器中以触发分组交换机延迟从分组引擎传出的数据分组的传输。所述方法可还包括：由分组引擎在所述分组引擎的入口端口或出口端口处执行时间戳记。在将预成形的数据业务提供给密码引擎之前可以执行时间戳记。在该方法中，密码引擎可以不执行时间戳记。在该方法中，密码引擎可以在不使用时间戳记信息的情况下操作。在该方法中，密码引擎可以在没有任何时间戳记协议（诸如精确时间协议（PTP））知识的情况下操作。密码引擎可以在分组网络的时间戳记上下文之外操作。分组引擎可以在分组网络的时间戳记上下文之内操作。分组网络可以是MPLS或MPLS传送子集（MPLS-TP）网络。分组网络可以是工业自动化控制系统（IACS）的网络。分组网络可以是用于高压线路的自动化、操纵高速列车或控制空中交通的分组网络。分组网络可以是定时的分组网络。根据实施例的用于在分组网络本文档来自技高网...

【技术保护点】
1.一种保留在分组网络中传送的数据分组的相对定时和排序的方法，所述分组网络包括执行分组处置的分组引擎（12，22，32；50），其中密码引擎（14，24，34；60）与所述分组引擎（12，22，32；50）分开提供，以用于加密和/或认证操作，所述方法包括：由分组引擎（12，22，32；50）对数据业务预成形，其中所述分组引擎（12，22，32；50）将虚设分组（59）插入到数据流中，以及由所述分组引擎（12，22，32；50）向密码引擎（14，24，34；60）提供预成形数据业务。

【技术特征摘要】
【国外来华专利技术】2017.03.08 US 62/468808;2017.03.08 US 62/468845;201.一种保留在分组网络中传送的数据分组的相对定时和排序的方法，所述分组网络包括执行分组处置的分组引擎（12，22，32；50），其中密码引擎（14，24，34；60）与所述分组引擎（12，22，32；50）分开提供，以用于加密和/或认证操作，所述方法包括：由分组引擎（12，22，32；50）对数据业务预成形，其中所述分组引擎（12，22，32；50）将虚设分组（59）插入到数据流中，以及由所述分组引擎（12，22，32；50）向密码引擎（14，24，34；60）提供预成形数据业务。2.如权利要求1所述的方法，还包括：由所述密码引擎（14，24，34；60）将所述虚设分组（59）中的至少一部分用于管理信道传输。3.如权利要求2所述的方法，其中所述密码引擎（14，24，34；60）将所述虚设分组（59）中的至少一部分用于加密密钥交换。4.如前述权利要求中的任一项所述的方法，其中所述密码引擎（14，24，34；60）执行所述加密和/或认证操作，而无需将附加分组插入到所述数据业务中。5.如前述权利要求中的任一项所述的方法，其中将所述虚设分组（59）插入到所述数据业务中包括响应于启动或新用户输入而执行的以下步骤：由在附接到分组引擎（12，22，32；50）或由所述分组引擎（12，22，32；50）包括的中央处理单元（51）上执行的计算机可读指令代码生成存储器映像并将所述存储器映像作为模板写入到存储器（54）；由所述计算机可读指令代码将所述分组引擎的分组交换机（52）配置成以重复间隔从所述存储器（54）提取所述映像；以及由所述分组交换机（52）以所述重复间隔从所述存储器（54）提取所述映像并将所述映像插入到所述数据流中，在由所述计算机可读指令代码配置的端口处，所述映像被插入所述数据流中。6.如前述权利要求中的任一项所述的方法，其中所述虚设分组（59）包括空节信令通信信道SCC分组。7.如权利要求6所述的方法，还包括：由所述分组引擎（12，22，32；50）删除退出加密和/或认证的数据流的SCC分组。8.如前述权利要求中的任一项所述的方法，其中对所述数据业务预成形还包括：扩大在所述分组引擎（12，22，32；50）的出口端口（53）处的分组间间隙。9.如权利要求8所述的方法，其中扩大分组间间隙包括：将附加字节插入到所述数据流中；和/或延迟从所述分组引擎（12，22，32；50）传出的数据分组的传输。10.如权利要求8或权利要求9所述的方法，其中所述密码引擎（14，24，34；60）当执行所述加密和/或认证操作时，将数据分组生长到所述分组间间隙中。11.如权利要求7至10中的任一项所述的方法，其中扩大的分组间间隙的大小是可配置的。12.如权利要求8至11中的任一项所述的方法，还包括：确定所述扩大的分组间间隙的大小，包括：遍历所述分组网络中在所述分组引擎的接口上开始的所有配置的路径；使用需要最大分组间间隙的所述配置路径中的一个配置路径来确定对于所述接口的所述扩大的分组间间隙；以及由中央处理单元（51）构建寄存器字节序列，并将所述寄存器字节序列写入到分组引擎（12，22，32；50）寄存器中以触发所述分组引擎（12，22，32；50）延...

【专利技术属性】
技术研发人员：W施帕恩，W宾茨，
申请(专利权)人：ABB瑞士股份有限公司，
类型：发明
国别省市：瑞士,CH