用于在加密的通信关系中编址和路由的方法和系统技术方案

本发明专利技术涉及一种用于在网络的至少两个不同的网络层(2，3)中在加 密通信关系(1)的情况下进行编址和路由的方法和系统(11)，其中所述 至少两个不同的网络层以不同的路由层彼此分离。具有关联的第一路由层 的第一网络层(2)通过至少一个加密设备(4)而相对于具有第二路由层 的第二网络层(3)划界。在所述至少两个路由层中，彼此无关地确定两 个网络层(2，3)的网络拓扑结构并且将其存储在相应的路由表(17)中。 在所述至少一个加密设备(4)中的接口(7)设置有从第二路由层的地址 (8)至第一路由层的地址(8)一对一的关联，以便有效地从第一网络层 (2)导出第二网络层(3)的拓扑结构。

【技术实现步骤摘要】
【国外来华专利技术】用于在加密的通信关系中编址和路由的方法和系统未来的无线电i殳备将比目前的无线电i更备具有明显更为灵活的应用 可能性。这通过软件限定的无线电(SDR)的概念来实现。SDR提供 了如下可能性无线电方法(波形)作为软件来加载，并且波形和无线电 设备的配置灵活地通过软件控制来改变。现代的无线电传输方法在此也可 以支持根据网际协议(IP)标准来传输数据包。这能够实现利用标准IP 应用和已知的也被用于互联网的概念。根据安全要求，敏感的信息必须能够加密地传输(通信安全， COMSEC )。这例如可以通过使用IPsec标准来实现，该IPsec标准在S. Kent, K. Seo所著的Security Architecture for the Internet Protocol (IETFRFC4301 ， 2005年12月)中进行了描述。该标准能够针对被加密的信息实现两种不同的传输方法传输模式和 隧道模式，如在图l中所示的那样。在传输模式中，只加密IP包中的有 用数据，而IP报头(尤其是具有发送方和接收方的IP地址的IP报头) 并不被修改。在隧道模式中，加密整个原始IP包并且添加新的报头。新 的报头包括加密设备的地址作为源地址，而不包括原始源节点的地址。同 样，在新的报头中的目标地址是解密设备的目标地址而不是真正的接收设 备的目标地址。由此可以有效地防止潜在的攻击者能够借助源地址和目标 地址检测通信方之间发生的通信。该潜在的攻击者看到仅仅数据在这两个 加密设备之间交换。数据传输的实际的终端用户对该潜在的攻击者而言保 持隐藏。对于安全性重要的和机密的通信，使用隧道模式。通过隧道模式形成 两个彼此完全分离的网络层。红色层是机密层。只有授权的人员能访问红 色网络。而黑色网络^^〉共接入网络，并且由此归类为不安全的。来自红 色网络的机密信息仅允许通过黑色网络加密地传输。由于严格使用隧道模 式，所以这些网络开头不具有彼此的信息。从红色网络层来看的隧道模式 是至另 一红色网络的透明的隧道并且隐藏了其后面存在的黑色网络层。图 l表明了该状况。用户A和D不知道可能存在的附加的网络用户X和Y， 其中这些附加的网络用户参与了在B和C之间的数据的传送。然而，这种完全分离也对整个网络架构有不利的影响。在加密i殳备中， 必须有哪些红色网络被连接到黑色解密设备的信息。这是必需的，由此可 以在隧道模式的情况下将合适的黑色目标地址登记到新生成的IP报头 中。在通信网络中包括有多个网络用户。如图2中所示，多个终端设备可 以使用相同的加密设备。每个加密设备都具有机密红色地址和公开黑色地 址。机密子网的终端设备将数据以不加密的方式发送给加密设备。该加密 设备在隧道模式中将数据加密，并且将数据通过不安全的通信连接传送给 接收的加密设备。在那里，数据被解密并且传送给接收方。网络的加密i殳备的黑色地址自动通过具有地址自动配置的协议来确 定。为了在黑色网络层级中路由，使用传统的路由协议。信令信息的交换 负责在黑色网络内的拓朴的相容性。而对于终端设备的连接，必须也能够 在红色网络与黑色网洛之间交换数据。这又以知晓加密设备的黑色地址与 红色地址之间的地址映射为前提。而所使用的IPsec隧道模式阻止了已知 的黑色地址直接映射到红色地址上。由此，在两个网络中共同的并且同时的路由不再可能。为了在两个加 密设备之间自动地交换红色网络的路由信息，例如可以使用IPsec发现协 议(IPsec國Discovery-Protokoll)。为了更好地理解根据本专利技术所提出的解决方案和目前现有技术的解 决方案的问题，以下给出了对IP网络的编址的筒要介绍。为了能够在全球互联网中在两个用户之间发送数据，需要唯一地标识 终端用户。于是，传送节点可以按照目标地址确定发送方和接收方之间的 最佳路径，而发送方不必知道确切的路径。为了能够唯一地标识用户，地 址由网络标识符和设备标识符构成。该网络标识符标识用户所处的网络， 而设备标识符确定了网络中的各个用户。在此，完整地址通过将两个地址 部分彼此组合来形成，如图3中所表示的那样。网络内的所有设备都使用相同的网络标识符，而设备标识符各不相 同。因此， 一旦终端用户进行了网络切换，则该终端用户就需要改变其网 络标识符。这是必需的，由此不必用信号为互联网中的每个传送节点通知 终端设备的新连接，而是根据网络标识符可以直接推断出网络。终端设备 的网络标识符对全局网络内的路由是必需的。设备标识符对所有参与该网络的设备应当是特有的并且是唯一的。该设备标识符例如基于网卡的MAC地址，但也可以根据其他参数来生成。 由此，借助i殳备标识符已经可以唯一地标识^l备。该i更备标识符是恒定的 并且不随时间改变。由于黑色网络的路由协议，所以加密设备只知道所有参与该网络的用 户的黑色地址。为了能够建立在分别处于红色网络中的终端用户之间的安 全连接，首先必须在解密设备的黑色地址与连接到该解密设备的红色网络 之间进行唯一的和机密的分配。红色和黑色地址的分配可以借助IPsec发 现协议来确定。该协议的流程图在图4中示出并且描述了借助证书的认 证。然而，该^人证也可能借助事先交换的密钥(预共享密钥，PSK)来进 行，而在此并未进一步描述。为了获取在加密设备的黑色和红色地址之间的机密的映射，加密设备 A将问候试探(Hello Probe)消息发送给特别为此而设置的多播地址。 由此，所有参与该网络的用户都获得该消息。该消息包含加密设备A的 具有认iiE^构的有效签名的安全汪书。附加地，该证书还包含加密设备A 的密钥。在获得该消息之后，加密设备B借助认证机构的根证书 (Root-Zertifikat) ;JM^查证书的真实性，并且借助加密设备A的签名或 者密钥来认证该证书。在成功认证之后，加密设备B将问候答复(Hello Reply)消息回送给加密设备A。该问候答复消息包含加密i殳备B 的相同的信息。在通过加密设备A检验这些信息之后，开始安全关联(SA) 的协商，在该协商中尤其是确定所使用的加密算法以及认证和密钥的有效 性持续时间。由于通信方目前并不知晓对方的红色地址，所以SA协商不 能在IPsec隧道模式中进行，而是必须在IPsec传输模式中进行。在此， 数据包的IP报头在加密设备之间以未加密的方式传输，并且仅数据报的 实际内$*加密。在SA协商成功之后，加密设备可以将其红色地址以加 密方式在IPsec传输模式中传输。在此之后，才可能建立加密设备之间的 隧道连接。为了能够与另 一红色网络的特定的用户通信，首先必须在这两个红色 网落t间建立防窃听的隧道。这需要关于负责相应终端设备的加密设备和 与此相连的红色网络的知识。由于IPsec发现协议仅仅支持与每个单个的 加密设备进行映射信息的顺序交换，所以必须在所有加密设备之间成对地 建立隧道，以便获取网络中所有加密设备的地址分配的完整的知识。由此， 在最差的情况下，为了建立至目前未知的红色用户的连接，必须以所有可 能的加密设备来使用IPsec发现协议。因此，对源的加密设备的开销随着加密设备的数目N线性增加开销~0 (N)。对于将新的加密设备及其 连接的网络合并到总网络中，因此必须借助任何其他的加密设备执行 IPsec发现协议。由此，总网本文档来自技高网...

【技术保护点】
一种用于在至少两个不同的网络层（２，３）中在网络中加密的通信关系（１）情况下进行编址和路由的方法，其中所述至少两个不同的网络层以不同的路由层彼此分离，其中　具有关联的第一路由层的第一网络层（２）分别通过至少一个加密设备（４）相对于具有 第二路由层的第二网络层（３）被划界，　其中在至少两个路由层中彼此无关地确定两个网络层（２，３）的网络拓扑结构并且将其存储在相应的路由表（１７）中，以及　其中在所述至少一个加密设备（４）中的接口（７）设置有从第二路由层的地址（８） 至第一路由层的地址（８）一对一的关联。

【技术特征摘要】
【国外来华专利技术】2006.9.14 DE 102006043156.1;2007.1.12 DE 1020070011.一种用于在至少两个不同的网络层(2，3)中在网络中加密的通信关系(1)情况下进行编址和路由的方法，其中所述至少两个不同的网络层以不同的路由层彼此分离，其中具有关联的第一路由层的第一网络层(2)分别通过至少一个加密设备(4)相对于具有第二路由层的第二网络层(3)被划界，其中在至少两个路由层中彼此无关地确定两个网络层(2，3)的网络拓扑结构并且将其存储在相应的路由表(17)中，以及其中在所述至少一个加密设备(4)中的接口(7)设置有从第二路由层的地址(8)至第一路由层的地址(8)一对一的关联。2. 根据权利要求l所述的方法，其特征在于，第一网络层(2)是公 共可访问的并且不安全的网络(9)。3. 根据权利要求1或者2所述的方法，其特征在于，第二网络层(3) 是用于对外屏蔽的机密通信的、非公共可访问的网络。4. 根据权利要求1至3中任一项所述的方法，其特征在于,第一网 络层(2)是公共域而第二网络层(3)是机密域，并且第一路由层的地址(8)被标记为公共地址而第二路由层的地址(8)被标记为机密地址。5. 根据权利要求1至4中任一项所述的方法，其特征在于，在公共 和机密网络层(2， 3)之间或者在公共和机密路由层之间的接口 (7)在 加密设备(4)运行之前存储在加密设备(4)中的查找表(6)中。6. 根据权利要求5所述的方法，其特征在于，在网络运行期间改变 加密设备(4)中的查找表(6)。7. 根据权利要求5或者6所述的方法，其特征在于，机密路由表的 更新借助加密设备(4)中的查找表(6)从第一公共网络层(2)的本地 存在的、时间上可变的信息获得。8. 根据权利要求7所述的方法，其特征在于，与加密设备U)的分 类无关地在总网络中生成用于将机密地址(8)与公共地址(8)关联的映 射规则。9. 根据权利要求5至7中任一项所述的方法，其特征在于，作为描 述公共和机密地址(8)之间关系的函数的实现，查找表(6 )被预先配置在所有务使用的加密设备(4)中。10. 根据权利要求5至7中任一项所述的方法，其特征在于，作为描 述公共和机密地址(8)之间关系的函数的实现，查找表(6)在所有要使 用的加密设备(4)中在网络运行期间被动态地更新。11. 根据权利要求5至7中任一项所述的方法，其特征在于，作为描 述公共和机密地址(8 )之间关系的函数的实现，查找表(6)的内容仅仅 分布在机密域(3 )内。12. 根据权利要求5至7或者9至11中任一项所述的方法，其特征 在于，可选地在...

【专利技术属性】
技术研发人员：英戈·格鲁贝尔，托尔斯滕·朗古特，亨里克·舍贝尔，
申请(专利权)人：罗德施瓦兹两合股份有限公司，
类型：发明
国别省市：DE