使用聚集路由器密鑰轉發數據分組的方法和設備的製作方法

2023-07-09 16:26:11 1

專利名稱：使用聚集路由器密鑰轉發數據分組的方法和設備的製作方法
技術領域：
本發明一般涉及用於支持諸如網際網路等公共分組交換網絡中數據分組的轉發過程以使得能夠避免不想要的數據分組的方法和設備。
背景技術：
數字編碼信息在各方之間通過IP (網際網路協議)網絡的基於分組的傳送用於各種通信服務，如電子郵件消息傳遞、網際網路瀏覽、話音和視頻電話、內容流傳送、遊戲等。數字編碼信息在發送方布置到數據分組中，分組隨後通過傳送路徑向目標接收方傳送。發送方與接收方之間的傳送路徑可包括各種網絡、交換機、網關、路由器和接口。通信方經常稱為 「端主機」，可以是能夠進行基於分組的IP通信的任何類型的設備，如固定和行動電話、計算機、伺服器、遊戲機等。在本描述中，術語端主機將概括表示任何此類通信設備。連接到網際網路或其它IP網絡的端主機一般已被指派有IP位址形式中的轉發身份，需要該身份用於路由沿傳送路徑引導到該端主機的任何數據分組。一般情況下，端主機也已指派有文本串形式中或多或少可理解的名稱，例如，常規電子郵件地址或網址，如 userQoperator. com，其與實際用戶/端主機或代表用戶接收消息的另一主機的指派的 IP位址相關聯。包括DNS (域名伺服器)伺服器的層次結構的DNS系統用於檢索特定主機名稱的當前IP位址。因此，端主機能通過與其通信的主機名稱來查詢DNS系統，並且DNS 隨後將通過提供對應端主機的當前IP位址來回復。此類查詢有時稱為目的地查詢、身份查詢或地址查詢，後者貫穿於本描述使用。數據分組基本上配置有包含有效負載數據的數據欄位和報頭欄位，發送端主機在報頭欄位中插入目標端主機的目的地地址，即，從DNS系統獲得的IP位址。因此，基於分組報頭欄位中的目的地地址，每個數據分組沿適合傳送路徑，通過通常稱為IP路由器的多個網絡節點來路由。除簡單地接收和轉發數據分組外，IP路由器也可能夠執行其它功能，如安全性功能、分組調度和地址與協議的轉換。此外，端主機可具有過濾器/防火牆功能性，用於例如根據一般由與端主機相關聯的用戶或管理員所做的設置來確定應接受還是丟棄進入的數據分組。IP網絡中的每個路由器一般情況下包括充當分別用於接收和發送數據分組的接口的入口和出口單元。路由器還包括用於基於路由器中定義的轉發表來確定應將進入的數據分組發送到作為朝向最終目的地的「下一跳」的哪個路由器的路由選擇或轉發功能。如本領域中公知的，根據網絡拓撲和當前業務負載，數據分組經常能沿多個備用路徑來路由。藉助於對應的埠，在每個路由器中提供到「最近」相鄰路由器的鏈路，並且基於拓撲信息和鏈路信息的分發，還在路由器中配置轉發架構。每個埠能具有在其接口上配置的IP位址和IP掩碼，並且路由選擇協議用於在配置過程中在網絡中的路由器之間分發此信息。隨後，每個路由器從分發的拓撲信息來計算其自己的轉發表，包含多個目的地IP 地址和相關聯的外出埠。由於每個進入的數據分組在其報頭中具有目的地IP位址，因此，轉發表用於從該IP位址查找轉發表中的適合條目。轉發表的主要功能因此是為每個進入分組確定適當的外出埠，從而引導到下一跳路由器。在圖1中，示出了位於IP網絡中時常規IP路由器100的基本結構。除其它之外， IP路由器100包括入口部分100a、出口部分IOOb和此處示意表示為轉發表IOOc的轉發功能。出口部分IOOb包括分別通向路由器100直接連接到的不同相鄰路由器A、B、C…的多個外出埠 PA、PB> Pc…。任何進入的數據分組102具有有效負載欄位PL和報頭H，後者包含用於分組的目的地地址。轉發表IOOc由多個條目組成，每個條目包含IP掩碼、IP位址和外出埠號。IP 掩碼可根據諸如FF. FF. FF. 0或FF. FF. 8. 0等十六進位編碼的串來定義。簡要地說，通過應用邏輯「與」操作，合併報頭H中的目的地地址和轉發表IOOc中的IP掩碼以便檢測帶有相同IP位址的匹配條目。此掩蔽機制的目的是聚集朝向幾個不同目的地的業務，並且為聚集簡化外出埠的識別。實際上，在比較和匹配目的地地址與條目時，比特掩碼的工作類似於 「通配符」。一旦找到匹配條目，便能根據該條目的埠號在外出埠上發出分組。可能已從前一路由器(未示出)轉發到路由器100的進入數據分組102因此先在入口單元IOOa中接收。隨後，基於報頭H中的目的地地址並使用轉發表IOOc和上述邏輯 「與」操作，確定應將分組發送到哪個下一路由器。在此示例中，進入分組102具有目的地 IP位址，該地址在與掩碼合併時，匹配轉發表IOOc中具有埠號Pc的條目的IP位址。分組102因此在連接到路由器C的對應埠上發出，路由器C在此情況下是下一跳路由器。如上所述，路由選擇協議用於在IP網絡中的路由器之間分發拓撲和鏈路信息。當前使用的路由選擇協議配置成獲得「彈性」，即，在原始路徑中鏈路或節點故障的情況下，分組必須在不同的路徑中重新被路由。路由選擇協議還配置成方便路由器管理，因為配置路由器一般情況下是煩瑣的任務，該任務通常最好是得以簡化。因此，在鏈路或節點中檢測到故障的情況下，路由選擇協議將重新配置受影響的路由器中的轉發表，並且同時將信息分發到路由器，由此簡化管理。為獲得伸縮性(其在其它情況下在路由選擇架構中是固有問題)，路由選擇過程能使用基於上面分層的比特屏蔽方案的路由的聚集，這在本領域是公知的，因此不必在此進一步描述。然而，如下所述，IP網絡和網際網路的一個主要問題是安全性支持通常不充分。從某種意義上說，上述彈性有時能夠使通過網絡傳播分組變得「太容易」。這是因為當前路由選擇架構和協議最初設計用於「友好」環境，即，假設在IP網絡中沒有「非法」或「不道德」 用戶在通信，並且數據分組的傳送無需保護。不過，人們發現將各種安全性解決方案添加到 IP架構以便保護傳遞的數據是必需或合乎需要的，如在低層上的IP-sec及在更高層上的 TLS (傳輸層安全性)。這些協議能夠提供數據分組的認證和加密。此外，MPLS (多協議標籤交換)也是用於構建第3層VPN(虛擬專用網絡)以確保安全通信的解決方案。在VPN的情況下，當使用內部網時，要求專用尋址，並且稍微將網絡與公共網際網路隔離，使得外部未經授權的主機不允許到達並與附連到內部網的主機通信。在路由選擇協議中提供安全性的其它以前解決方案包括在路由器之間的安全通信，使得惡意實體不能偷聽、操縱或模仿路由器；路由器埠之間建立IP-sec隧道以保護路由器之間的分組傳輸；以及第2層上的鏈路安全性，例如，根據IEEE 802. IAE或IEEE 802. 10。也能使用各種使用密碼密鑰的認證過程以增強安全性，如根據DNSSec(DNS安全性)、HIP (主機身份協議)及CGA (密碼生成的地址)。然而，雖然針對不想要的業務的保護被用於某些應用(例如，對電子郵件的垃圾郵件過濾)，但在公共IP基礎設施中通常未提供對抗侵害性的端主機和不想要的數據分組的基本保護。由於內部轉發身份(即IP位址)以上述方式公開端對端分發，任何端主機基本上能夠通過網際網路將消息和數據分組發送到任何其它端主機，導致泛洪、垃圾郵件、病毒、欺詐和所謂的「拒絕服務」(DoQ威脅的公知問題。因此，通常具有的問題是任何端主機能在接收端實體完全失控下傳播數據分組，並且諸如網際網路等公共分組交換網絡在IP基礎設施中沒有防止來自可能惡意或不道德的最終用戶的數據分組被路由到接收器的機制。但是，在端主機或鏈路層中能夠添加或多或少複雜的功能性以便限制連接，如過濾器/防火牆或諸如此類。然而，這些解決方案是「最後的防線」解決方案，意味著不想要的數據分組的傳輸仍能沿整個發送器-接收器路徑佔用網絡資源，而分組卻無論如何總是在接收器被丟棄。在帶有許多端主機和多個路由器的通信系統中另一個問題是如果使用的安全性解決方案既不能採用上述IP位址的比特掩蔽、也不能採用其等效物來實現路由的聚集，則路由器中的轉發表將包括數量巨大的條目。此類大轉發表處理能夠變得極其複雜，要求大量的資源用於存儲、處理和通信，這一般可導致不希望有的成本和延遲。特別是，如果在路由器中引入密碼安全性機制，開銷將例如由於密碼密鑰的管理和/或密碼處理而甚至變得更大，由此使得路由器中的複雜性降低變得更加合乎需要。

發明內容
本發明的目的是解決上面概述的問題的至少一些。還有一個目的是獲得避免分組交換網絡中傳送不想要的數據分組、同時能夠使用路由器中方便大小的轉發表的機制。這些目的和其它目的能通過提供如隨附獨立權利要求中定義的方法和設備而實現。根據一方面，提供了一種用於支持分組交換網絡的路由器中接收的數據分組的轉發的方法。在此方法中，基於從密鑰管理器接收的聚集路由器密鑰和相關聯的聚集有關的指令，在路由器中配置轉發表。每個聚集路由器密鑰表示目的地或路由器的集合。在收到包括從發送方密鑰或路由器密鑰所推導的入口標記的數據分組時，應用匹配函數到入口標記和轉發表中的至少一個條目以便查找匹配的表條目，所述條目包括候選入口密鑰和外出埠指示。根據還包括相關聯的聚集有關的指令的找到的匹配表條目，為分組選擇外出埠。隨後，根據匹配的表條目中的聚集有關的指令來創建出口標記，並且將附加有創建的出口標記的分組從選定外出埠發送到下一跳路由器。根據另一方面，提供了一種分組交換網絡的路由器中的設備，用於支持接收的數據分組的轉發。路由器包括轉發單元，該單元適用於基於從密鑰管理器接收的聚集路由器密鑰和相關聯的聚集有關的指令來配置轉發表，每個聚集路由器密鑰表示目的地的集合。 路由器還包括入口單元和出口單元，入口單元適用於接收包括從發送方密鑰或路由器密鑰所推導的入口標記的數據分組，出口單元用於將數據分組發送到下一跳節點。轉發單元包括標記匹配單元，標記匹配單元適用於將匹配函數應用到接收的入口標記和轉發表中包括候選入口密鑰和外出埠指示的至少一個條目以便查找匹配的表條目。標記匹配單元還適用於根據還包括相關聯的聚集有關的指令的找到的匹配表條目，為分組選擇外出埠。轉發表還包括標記創建單元，該單元適用於根據匹配表條目中的聚集有關的指令來創建出口標記，以及將出口標記附加到分組，分組要由出口單元從選定外出埠發送到下一跳路由器。路由器中的上述方法和設備能夠根據不同實施例進行配置。在一個實施例中，匹配函數包括應用標記推導函數TDF到表條目中的候選入口密鑰以推導候選入口標記。隨後，如果候選入口標記滿足與分組中接收的入口標記的預定關係，則認為找到匹配。預定關係可以是相等，即，如果候選入口標記等於分組中的入口標記，則認為找到匹配。在另一個實施例中，通過應用另一標記推導函數TDF'到匹配表條目中的出口密鑰，創建出口標記。接收的數據分組可還包含與轉發表中條目或條目集合相關聯的密鑰索弓丨，並且密鑰索引用於查找適當的一個條目/多個條目以便應用匹配函數。在進一步的實施例中，通過將從匹配表條目中一個或多個出口密鑰所推導的一個或多個另外的子標記並靠著接收的入口標記附加到分組以執行聚集，或者通過從分組刪除一個或多個另外的子標記以執行解聚集，可創建出口標記。還可通過在執行聚集時應用預定的合併函數到接收的入口標記和一個或多個另外的子標記來創建出口標記。例如，合併函數可以是串連或XOR函數。目的地密鑰和路由器密鑰的分層方案也可用於執行路由的聚集。在該情況下，通過將接收的入口標記換成從匹配表條目中出口密鑰所推導的新標記、以及還添加相關聯的聚集信息到出口標記，可創建出口標記，其中聚集信息能夠用於確定原始目的地。上面的分層路由器密鑰方案可藉助於函數f (p，q)從根值(X)生成，其中ρ是當前樹層次上方節點位置的路由器密鑰值，以及q是指示當前樹層次內節點位置的整數。端主機的目的地密鑰對應於樹結構的葉，以及葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰。結果的密鑰方案可由能夠沿從根(X)向下的路徑、根據以下鏈(x， f(x)，f(f(x))，...，f(f(...f(x)…)))所計算的密鑰值來組成。根據仍有的另一方面，在密鑰管理器中提供了一種用於支持分組交換網絡中在路由器轉發數據分組的方法。在此方法中，為連接到網絡中接入路由器的端主機登記目的地密鑰，並且確定分別能夠執行路由聚集和解聚集的路由器的位置。還創建聚集路由器密鑰和相關聯的聚集指令，每個聚集路由器密鑰表示目的地的集合。隨後，分發聚集路由器密鑰和相關聯的聚集指令到路由器以便執行路由聚集和解聚集，由此使得路由器能夠基於分發的信息來配置它們自己的轉發表。根據仍有的另一方面，在密鑰管理器中提供了一種用於支持分組交換網絡中在路由器轉發數據分組的設備。此設備包括網絡控制單元，該單元適用於為連接到所述網絡中接入路由器的端主機登記目的地密鑰，並且還適用於確定分別能夠執行路由聚集和解聚集的路由器的位置。密鑰管理器設備還包括密鑰分發器，密鑰分發器適用於創建聚集路由器密鑰和相關聯的聚集指令，每個聚集路由器密鑰表示目的地的集合。密鑰分發器還適用於分發聚集路由器密鑰和相關聯的聚集指令到能夠執行路由聚集和解聚集的路由器，由此使得這些路由器能夠基於分發的信息來配置它們自己的轉發表。密鑰管理器設備可還包括地址查詢管理器，地址查詢管理器適用於從查詢端主機接收有關目標端主機的地址查詢。地址查詢管理器還適用於通過應用密鑰推導函數KDF至少到與目標端主機相關聯的目的地密鑰來創建發送方密鑰，以及將創建的發送方密鑰發送到查詢端主機以響應地址查詢。由此，查詢端主機能夠通過將從發送方密鑰生成的發送方標記附加到傳送的數據分組，將數據分組傳播到目標端主機，發送方標記將傳送的數據分組引導到目標端主機。從下面的詳細描述，本發明的另外的可能特徵和優點將變得明白。


下面將通過示範實施例並參照附圖更詳細地描述本發明，其中-圖1是示出根據現有技術的IP網絡中常規路由器的示意框圖。-圖2示出從發送端主機A到接收端主機B路由數據分組的典型傳送路徑情形，其中能夠利用本發明。-圖加示出根據一個實施例的示範轉發表的一部分。-圖3示出一示範網絡拓撲和傳送情形，其中聚集路由器密鑰用於支持分組的轉發過程。-圖3a和北-c分別示出圖3的傳送情形的分組中能如何保留接收端主機的最終目的地地址的兩個不同實施例。-圖4是根據進一步的實施例示出在轉發從端主機A發送的數據分組時能夠如何在路由器中使用聚集的框圖。-圖5是根據仍有的另一個實施例的流程圖，帶有密鑰管理器支持分組交換網絡的路由器中數據分組的轉發過程而執行的過程中的步驟。-圖6是根據仍有的另一個實施例的流程圖，帶有在分組交換網絡中路由器為執行數據分組的轉發過程而執行的過程中的步驟。-圖7是根據進一步的實施例更詳細示出分組交換網絡中路由器和密鑰管理器的示意框圖。
具體實施例方式本發明提供一種分組轉發方案，該方案在通過轉發架構中的安全性解決方案來保護端主機免於接收不想要的數據分組的同時允許路由的聚集，所述解決方案避免使用傳送的分組的地址欄位中的常規IP位址。相反，與目標端主機相關聯的目的地密鑰和與目的地密鑰及網絡拓撲相關聯的預配置路由器密鑰用於通過IP網絡來路由數據分組。從上述目的地密鑰和路由器密鑰推導的標記被插入傳送的分組的報頭中，例如，在地址欄位中，並且路由器隨後能夠從分組中的標記來確定目的地密鑰或路由器密鑰以執行轉發操作。在使用此類方案時，能夠將分組路由到正確目的地且同時使得端主機能夠保護自身免於不想要的分組的要求將自然暗示使用與所有路由器中各個端主機相關聯的目的地密鑰和轉發表中的對應條目。因此，路由的聚集不能如在使用常規IP尋址方案時一樣以常規方式獲得。相反，通過在傳送的分組中附加從表示多個路由或目的地的集合的特殊聚集路由器密鑰所推導的標記，獲得路由的聚集。隨後，路由器能夠根據路由器的轉發表中匹配條目中的聚集有關的指令，從分組更改、添加或刪除此類標記以分別在該路由器中執行聚集或解聚集。由此，與其中提供表條目以用於網絡中每個端主機的路由器中不採用路由聚集相比，通過包括此類聚集路由器密鑰，能夠降低路由器中轉發表的大小。在此描述中，「聚集」 暗示朝向增加數量的目的地的路由選擇，並且「解聚集」暗示朝向減少數量的目的地的路由選擇。圖2中根據下述實施例示意示出一示範傳送情形，在通過帶有路由器R的網絡傳送數據分組時基本上涉及了以下節點連接到接入路由器Rl的發送端主機A、可能可在傳送路徑中使用的多個中間路由器R及接收端主機B連接到的接入路由器Rx，接入路由器Rl 由此是網絡中的「第一跳路由器」，並且接入路由器Rx是「最後一跳路由器」。還使用DNS伺服器系統來處理地址查詢Q和一般將路由選擇信息I分發到路由器。在下面的描述中，術語「密鑰管理器」用於概括表示DNS系統或任何其它類似功能單元或系統。根據下面要描述的實施例，安全性解決方案能夠構建到網絡中路由器使用的轉發架構的核心協議中。通常，例如如上所述，通過公共分組交換通信網絡傳送的任何分組必須通過傳送路徑中路由器的轉發平面中的轉發機制。通過要在下面描述的在路由器的轉發平面內嵌入分組轉發控制機制，結果安全性將在IP基礎結構中有效地實施以控制通過該路由器的任何分組的路由選擇。簡單地說，使用與目標端主機相關聯的預定義隱式目的地密鑰和與目的地密鑰和網絡拓撲中路由器位置相關聯的預配置路由器密鑰，而不使用顯式IP位址通過IP網絡來路由數據分組。密鑰管理器因此登記作為數據分組的可能接收器的端主機的此類目的地密鑰。在此過程中，視實現而定，目的地密鑰可由密鑰管理器來指派，或者由端主機來選擇。密鑰管理器隨後將提供對應發送方密鑰而不是IP位址以響應來自查詢端主機對目標端主機的「地址查詢」或諸如此類。在此描述中，術語「地址查詢」應理解為對能夠用於授權傳遞數據分組到目標端主機的信息的任何查詢。通過至少應用「密鑰推導函數KDF」到目標端主機的目的地密鑰，並且也可選擇性地應用到查詢端主機的身份，密鑰管理器創建發送方密鑰，這將在下面更詳細描述。備選的是，通過應用KDF到與目的地密鑰有關並且可能也與其它端主機的目的地密鑰有關的另一密鑰以獲得多個路由或目的地的聚集，可創建發送方密鑰。目標端主機的目的地密鑰因此實際上在提供到查詢端主機的發送方密鑰中被「隱藏」。這能夠通過使用單向函數或哈希函數作為KDF來獲得。隨後，查詢端主機還通過應用「標記推導函數TDF」到發送方密鑰從獲得的發送方密鑰來推導發送方標記，並在與接收目標端主機的至少正在進行的數據流或會話的每個傳送的數據分組的報頭中附加發送方標記。發送方標記因此隱式編碼目標端主機的目的地密鑰。備選的是，密鑰管理器可推導發送方標記並將它直接輸送到發送方。TDF可同樣地是單向函數或哈希函數。此外，密鑰管理器基於登記的目的地密鑰和網絡拓撲來創建不同路由器密鑰，並且將路由器密鑰分發到IP網絡中的路由器以形成在路由器中創建轉發表的基礎。還根據網絡拓撲中的路由器位置，確定哪些路由器分別能執行路由聚集或解聚集。不同的準則能夠用於決定應在網絡拓撲中何處執行聚集/解聚集。一種方式是使用表大小作為執行聚集的需要的指示符。然而，也能夠應用各種其它方法以確定聚集/解聚集的放置，這在本描述的範圍之外。在一些情況下可確定路由器網絡的分層樹狀拓撲，使得路由器定位在拓撲中不同的分層級別。
通過具有能夠在哪些路由器執行聚集或解聚集的詳細知識，並且還具有已登記目的地密鑰的每個端主機的網絡位置，密鑰管理器能夠創建「聚集路由器密鑰」，即，表示多個目的地的集合併且能夠用於網絡拓撲中不同分層層次的路由器中路由選擇的密鑰。這些聚集路由器密鑰由此例如在配置過程中分發到適當路由器。路由器隨後能藉助於分發的路由器密鑰來配置其自己的轉發表。如上所指出的， 基於其中能夠執行聚集或解聚集的網絡中路由器的位置，創建路由器密鑰以降低或限制路由器的轉發表中的條目數量，其中，至少一些分發的路由器密鑰是與網絡中多個目的地或路由器的組相關聯的聚集路由器密鑰。密鑰管理器還定義和分發與每個聚集路由器密鑰相關聯的、要包括在包含聚集路由器密鑰的任何轉發表條目的策略欄位或諸如此類中的聚集有關的指令。此指令基本上告訴路由器是否及如何執行聚集或解聚集(例如，通過更改分組中現有路由器標記，或者通過分別對/從分組添加或刪除一個或多個路由器標記，根據下面將更詳細描述的不同可能實施例)。可選的是，密鑰管理器也可分發密鑰索引以包括在轉發表中，每個密鑰索引與帶有不同路由器密鑰的表中的一行或多行相關聯，以便以下面要描述的方式有利於轉發操作。實際上，密鑰管理器基本上能夠將密鑰索引指派到每個路由器密鑰。因此，路由器中的轉發表具有帶有路由器密鑰、對應外出埠和可選密鑰索引的條目。帶有聚集路由器密鑰的表條目也在策略欄位或諸如此類中包含相關聯的聚集有關的指令，如上所述，其基本上規定路由器應執行聚集或解聚集。在此描述中，外出或轉發的分組中的標記通常稱為從「出口密鑰」推導的「出口標記」，而進入或接收分組中的標記稱為「入口標記」。此外，「入口密鑰」是已從其推導收到的入口標記的密鑰。在已收到包含入口標記的數據分組的路由器執行的轉發操作中，通過例如逐條目使用預定TDF，匹配入口標記和轉發表中的入口密鑰，以及在找到匹配條目時，選擇該條目中的對應外出埠用於發送分組。路由器還檢查匹配表條目是否包含聚集有關的指令，例如，規定路由器應更改收到的路由器標記，或者對/從分組添加或刪除一個或多個路由器標記，這將在下面描述。在外出埠上將分組發送到下一跳路由器前，將例如從匹配的表條目中顯式出口密鑰所推導的或者根據相關聯聚集有關的指令所推導的出口標記由此附加到分組報頭。如果在表中未找到匹配條目，則可根據預定義的「默認策略」來處理分組，例如，規定丟棄且不再轉發分組。在不知道適當密鑰的某一未經授權發送端主機試圖傳播插入了 「虛假」標記的數據分組時，路由器一般情況下將採用此類策略。在下一跳路由器收到分組時，上述過程基本上將重複進行。如果使用密鑰索引，則接收的分組的入口標記中的密鑰索引將直接指向轉發表中的一個條目或有限的條目集，由此識別所述條目/多個條目中的入口密鑰。隨後，路由器能夠將上述匹配操作限於密鑰索引識別的入口密鑰。以此方式，通過不向未經授權方顯露目的地/發送方/路由器密鑰，截獲能夠由他人用於傳播數據分組的顯式端主機地址或身份是不可行的。因此，除非未經授權方正確「猜測」到有效的密鑰或標記(這是極其不可能的)，否則，基本上能夠避免未經請求的數據分組到那些端主機。因此在傳送路徑中以下面參照特定示範實施例更詳細描述的方式由路由器執行的轉發操作中，發送方和路由器密鑰及可選的密鑰索引是有用的。此外，通過為轉發表填充表示目的地組的聚集路由器密鑰和相關聯的聚集有關的指令，轉發操作能夠更有效地進行，並且轉發表將具有受限大小且不會太大，特別是在帶有許多端主機和路由器的網絡中。基本上，在聚集路由器密鑰已用於在某個路由器生成出口標記時，後續路由器的路由選擇任務得以簡化。然而，在分組更靠近其目的地傳輸時，聚集可能在某一點不再可能進行。另一方面，在該點潛在目的地/路由的數量也將開始減少，保持了路由選擇的效力。圖加示出能夠在本文解決方案中使用的轉發表，其中，示範條目或表行示為「X」。 表具有多個列200-210，包括帶有入口密鑰索引「IKi」的第一列200，該索引能用於查找一個或多個適當條目以便執行匹配操作，即，匹配附加到進入分組的入口標記和表中第二列 202中存在的入口密鑰「IK」。單個入口密鑰索引可指向表中多個條目的集合，而匹配操作能夠限制到這些條目。第三列204可包含一個或多個出口密鑰「EK」，一旦找到匹配條目，便要從這些出口密鑰來創建一個或多個新出口標記以便在分組轉發到下一跳路由器時包括在分組中。可選的第四列206包含要附加到外出數據分組的出口密鑰索引「EKi」，該索引實際上將用作由下一跳路由器接收時的入口密鑰索引。第五列208包含埠號「P」，指示收到的和匹配的分組在朝下一跳路由器發送時要使用的埠。最後，如果聚集路由器密鑰用作入口或出口密鑰，則第六列210包含與聚集路由器密鑰相關聯的聚集有關的指令「Agg」，其基本上規定路由器應執行聚集或解聚集，並且還規定應如何創建新出口標記，這將在下面描述。列210可稱為「策略欄位」，它也可包含各種其它數據，如策略規則或諸如此類，例如，「丟掉分組」、「使用默認埠」、「從DNS檢索新路由器密鑰」、「請求前一跳路由器明確對自身認證」等等。如果未使用密鑰索引，則自然將忽略可選列200和206。圖3中示意示出一示範網絡拓撲和傳送情形，其中，聚集路由器密鑰用於支持轉發過程。多個路由器根據已知網絡拓撲互連，在此情況下極大簡化，並且多個端主機連接到網絡中的接入路由器。在此圖中，只示出一些路由器R1-R7和端主機A-G，但實際網絡一般具有比此處所示數量大得多的端主機和路由器。如上所述，從為端主機A-G定義的網絡拓撲和目的地密鑰所確定的以前分發的路由器密鑰和聚集有關的指令等，路由器R1-R7已配置了其自己的轉發表。在此示例中，連接到接入路由器Rl的第一端主機A在第一跳3:1中將目的地為連接到接入路由器R5的另一端主機B的數據分組發送到R1。端主機A已將發送方標記附加到分組，該標記已以上述方式從與目的地端主機B相關聯的獲得的發送方密鑰來推導，因而專門與端主機B相關聯。隨後，接收路由器Rl匹配分組中的路由器標記和其轉發表中的條目以確定引導到作為下一跳路由器的路由器R2的外出埠。從此圖的網絡拓撲中能夠看到，目的地為端主機B-E的任何端主機的所有分組能夠在路由器R2中通過與作為下一跳的路由器R3相關聯的聚集路由器密鑰來轉發，因為R3 能夠將分組轉發到B-E的所有。另一方面，目的地為端主機F和G的分組應在路由器R2中通過轉而與路由器R4相關聯的另一聚集路由器密鑰來轉發。在此描述中，認為是與特定路由器「相關聯」的路由器密鑰要概括理解為是匹配具有提供到該路由器的路徑的外出埠號的轉發表條目的密鑰。然而，應注意，在轉發表中，不一定在哪個出口密鑰與要使用的埠之間存在一對一對應關係。實際上，多個下一跳路由器可用於向目的地的某個集合「S」轉發分組。例如， 在圖3的示例中，路由器R2能夠經R3或R4將分組轉發到D或E。因此，不止一個埠可在路由器R2中用於轉發包含從與集合S中目的地相關聯的同一出口密鑰所推導的出口標記的任何分組。例如，本地擁塞狀況可規定使用特定外出埠而不考慮出口密鑰值。在此示例中，匹配當前收到的分組中發送方標記的Rl中的表條目包含規定朝向 R3的聚集應由路由器Rl來執行的聚集有關的指令。然而，聚集能夠以其它方式進行，例如， 由發送端主機A在密鑰管理器幫助下進行或由傳送路徑中的另一路由器進行。因此，在路由器Rl的匹配表條目中的聚集有關的指令規定應該通過將已從只與路由器R3相關聯而不與端主機B的更詳細目的地(且因此與聚集)相關聯的聚集路由器密鑰來推導的新出口標記附加到分組來執行聚集。然而，端主機B的詳細目的地必須以某種方式保留在分組中以供以後使用，這如下面以後所述的能夠以不同方式進行。路由器Rl隨後將附加有新標記的分組在第二跳3:2中發送到確定的下一跳路由器R2。在從路由器Rl接收分組時，路由器R2能夠將附加的標記與其轉發表中的條目進行匹配以確定相應地引導到路由器R3的外出埠。在將分組進一步發送到路由器R3前， 路由器R2應執行解聚集，即，根據在路由器R2的匹配表條目中找到的聚集有關的指令，通過更改分組中的標記，使得下一路由器R3用於轉發分組的標記從與路由器R5相關聯的路由器密鑰來推導。隨後，路由器R2在第三跳3:3中將附加有更改的標記的分組發送到路由器R3。備選的是，路由器R2可將分組發送到路由器R3而不更改分組中的標記，其中，路由器R3能從附加的標記推斷分組應發送到路由器R5。仍有的另一備選是R2通過簡單地刪除指向R3的標記、並且只留下直接與目的地B相關聯的原始標記來執行解聚集。在從路由器R2接收分組時，路由器R3將附加的標記與其轉發表中的條目進行匹配以確定相應地引導到路由器R5的外出埠。另外，根據匹配表條目中找到的聚集有關的指令，通過更改分組中的標記，使得下一路由器R5用於轉發分組的標記從最終與最終用戶 B相關聯的路由器密鑰來推導，路由器R3執行進一步的解聚集。隨後，路由器R3在第四跳3:4中將附加有更改的標記的分組發送到路由器R5。由於分組中的標記從現在與最終用戶B的最終詳細目的地地址相關聯的路由器密鑰來推導， 因此，解聚集已完成，並且分組因此在最終第五跳3:5中最終從路由器R5發送到端主機B。在上述示例中，通過附加從只與路由器R3相關聯的密鑰來推導的標記，在路由器 Rl執行兩層聚集，並且通過附加從分別與路由器R5和端主機B相關聯的密鑰來推導的標記，在每個路由器R2和R3中執行一層解聚集。由此，至少在路由器R2和R3中能夠減少表條目的數量，以便基於以上述方式從聚集路由器密鑰推導的標記來提供轉發操作。在此上下文中，「兩層聚集(two-level aggregation) 」基本上暗示使用與多個目的地組相關聯的路由器密鑰，而一層解聚集暗示將該路由器密鑰更改為與單個目的地組相關聯的路由器密鑰。此外，在不進行聚集、即「零層聚集」時，使用與例如端主機等某個獨特目的地相關聯的路由器密鑰。概括而言，「k層聚集」暗示使用與多個(k_l)層聚集的目的地的組相關聯的路由器密鑰。術語「k層聚集動作(k-level aggregating) 」暗示將路由器密鑰更改為與k層聚集的目的地集合相關聯的路由器密鑰。減少表條目的數量應相對於其中每個路由器為該路由器處理的所有可能目的地保持密鑰的備選方案來理解。例如，路由器R3將只需要使用分別與R5和R6相關聯的路由選擇的2個聚集密鑰，而不是包括所有4個可能目的地B-E的4個密鑰。然而，視發送和接收端主機的網絡拓撲和位置而定，能夠使用任何其它聚集和解聚集方案。例如，傳送路徑可包括發送和接收端主機之間任何數量的中間路由器，並且任何層的聚集可在沿路徑的多個連續路由器中逐步執行，或者優選通過在單個路由器引入多層的聚集來執行。此外，在路徑中的一些路由器中可能不必執行聚集或解聚集，這如上所述由匹配表條目中的聚集有關的指令來控制。在使用分層網絡拓撲的情況下，「早期」在傳送路徑中首先為分組執行層次結構中「向上」聚集，然後「以後」在路徑中執行層次結構中的「向下」解聚集。所有這些聚集方案共同之處是路由的聚集是為了減少轉發表大小，而解聚集必須為傳送的分組進行以使得能夠識別其最終目的地。本領域技術人員將認識到，能夠應用許多不同方法以識別網絡拓撲中的哪些路由器位置「最適合」用於執行聚集/解聚集，但這在此描述的範圍之外。上面曾提及，在執行聚集時，接收端主機的最終目的地地址必須保留在分組中。如果從例如與目的地集合相關聯的聚集路由器密鑰生成的標記在其它情況下要簡單地替代從專門與單個目的地相關聯的密鑰生成的標記，則從此點開始，正確的目的地將無法識別。現在將分別參照圖3a和圖北及3c，更詳細地描述圖3的傳送情形中能如何進行此操作的兩個不同實施例。即使這些實施例特別參照圖3的傳送示例和網絡拓撲，但本領域技術人員將容易理解如何在其它傳送情形和網絡拓撲中概括應用所述機制和方案。在藉助於圖3a所示的實施例中，通過合併發送端主機A附加到分組的原始標記和從聚集路由器密鑰推導的各種添加標記來執行路由聚集，每個聚集路由器密鑰實際上與在不同層次的多個端主機相關聯。在此實施例中，在以前路由器已經進行了一個或多個層次的聚集時接收的分組的入口標記可因此由多個「子標記」組成，而原始標記在分組中保持為 「最內的」標記。隨後，每個分組接收路由器優選要使用「最新」或「最外的」標記來確定下一跳，即，將該標記與轉發表中的候選入口密鑰進行匹配。如果未找到對於最外的標記的匹配，則路由器可嘗試下一標記，並以此類推。如果未找到對於任何子標記的匹配，則可根據默認路由選擇策略來丟棄或路由分組。在多個標記以此方式用於組成總入口或出口標記時，應指示在分組內何處找到每個單獨的子標記。例如，每個子標記可以用「比特偏移」或諸如此類來開始，以指示能夠在何處找到下一標記，並且最後標記隨後可具有零偏移以指示「無另外標記」或類似內容。另一可能性是為子標記使用路由器事先已知的預定固定大小。在任何情況下，標記能在分組的報頭中添加，或者如在圖中所例示的一樣，在分組的「尾部」或「報尾」中添加。圖3a示出帶有有效負載欄位和圖3的傳送情形中在不同跳附加的不同標記的分組。因此，在端主機A在跳3:1中將分組發送到第一跳路由器Rl時，只有表示為「TAG 1」 的從專門與最終用戶B相關聯的目的地密鑰推導的原始標記附加到其。
當路由器Rl在跳3:2中將分組發送到下一路由器R2時，表示為「TAG 2」和「TAG 3」的兩個另外子標記已與原始標記一起附加到分組，其中，TAG 2位於TAG 1的旁邊，TAG 3 位於TAG 2的旁邊。路由器Rl已根據匹配表條目中聚集有關的指令從相應聚集路由器密鑰來推導TAG 2和TAG 3。TAG 3是分組的最新或最外的子標記，表示相對於聚集的最高層次路由器密鑰，在此情況下與路由器R3相關聯，並且因此應由分組接收路由器R2用於查找下一跳路由器R3。當路由器R2基於TAG 3找到路由器R3時，通過從分組刪除最外的子標記TAG 3 來執行解聚集，留下TAG 2作為在跳3:3中將分組發送到R3時與路由器R5相關聯的最外子標記。類似地，在路由器R3基於TAG 2找到路由器R5時，通過從分組刪除最外的子標記 TAG 2來執行解聚集，留下原始TAG 1作為在跳3:4中將分組發送到R5時專門與端主機B 相關聯的原始TAG 1。通常，在此實施例中通過將從匹配表條目中一個或多個出口密鑰推導的一個或多個另外子標記附加到分組來更改接收分組的入口標記以執行聚集，而通過從分組中逐一刪除另外子標記來更改總入口標記以執行解聚集。在上面對圖3a的描述中，假設添加的TAG 2和TAG3隻與原始TAG 1連續串連以創建新出口標記。然而，可能以更集成的方式添加這些子標記，使得通過原始TAG 1和添加的TAG 2和TAG 3的合併來形成新出口標記。通常，預定的合併函數「C」能夠應用到接收的入口標記和從匹配表條目的一個或多個出口密鑰推導的一個或多個標記。函數C可以是如上所述的串連，或另一函數，例如，已知的邏輯10R」函數。如果在匹配表條目中找到η 個出口密鑰，則這通常能夠表示為新出口標記=C(入口標記，TDF(出口密鑰》，TDF(出口密鑰2)'"，TDF(出口密鑰 )) (1)應注意，雖然此方案能夠用於節省通信帶寬，但它也使匹配操作更複雜。例如，在帶有N個入口密鑰的轉發表中，要處理由3個經XOR運算的標記合併的入口標記，可能需要考慮大致N~3種可能的入口密鑰合併。同時，對帶寬的需要大致減少3倍。如上所述，在找到匹配表條目時，根據匹配表條目中的聚集有關的指令為分組創建新出口標記。例如，此指令可規定執行以下任何操作-即使已經為最外的標記找到匹配，也將匹配函數應用到「下一」標記，-使用匹配表條目中的一個或多個出口密鑰來生成分組的一個或多個另外子標記以執行聚集，-在將新出口標記作為最外的子標記附加前刪除零或更多子標記以執行解聚集。-應用合併函數C(例如，串連、邏輯M)R運算等)到分組中的接收的入口標記和匹配表條目中的一個或多個出口密鑰以執行聚集或解聚集。當使用(1)的標記合併函數時，視用於產生添加的子標記的密鑰表示目的地的更大或更小集合而定，添加標記實際上可能能夠表示「聚集」或「解聚集」。因此，聚集/解聚集可隱含於使用的出口密鑰的「類型」。此外，有時能夠假設路徑中的真正第一個路由器對一次性執行所有聚集層次有充足的知識，如上述示例中的路由器R1，使得在隨後路由器中將只發生解聚集。在圖3a例示的上述實施例中，一旦網絡拓撲和聚集/解聚集點已確定，則每個目的地或目的地組能夠在技術上指派有隨機、獨立的目的地和路由器密鑰以便分發到適當路由器。然而，可能減少需要顯式分發和管理的密鑰的數量，這在藉助於圖北和3c聯合示出的另一實施例中示出。在此實施例中，通過將發送端主機A附加到分組的原始標記換成從聚集路由器密鑰推導的新標記，路由器密鑰和目的地密鑰的分層方案用於執行在不同層次路由的聚集。一條能用於確定原始目的地的相關聯聚集信息也添加到標記。圖北示出如何藉助於函數f (p，q)能從根值χ生成帶有在樹結構的不同層的節點的此類分層密鑰方案的示例，其中，P是樹中上方節點位置的路由器密鑰值，並且q是指示當前樹層次內節點位置的整數。隨後，結果密鑰方案將由能夠沿從根向下的路徑、根據以下鏈而計算的密鑰值來組成(X，f(x)，f(f(x))，…，f(f(...f(x)…)))，等等。網絡中各個端主機的目的地密鑰在正好在此樹結構的底部形成樹上的「葉」的節
點具有密鑰值。應注意，樹結構不應理解為反映物理網絡拓撲，而是應通常視為物理網絡上的邏輯覆蓋。具體而言，所有葉不一定由某個物理端主機「佔據」。另外，雖然更高層次(非葉) 密鑰直觀上對應於網絡中的中間節點，即路由器，但所有中間節點不一定確實與物理路由器相關聯。例如，某個路由器R能夠處理例如對應於樹的子集等的密鑰的子集。從此樹結構中任何節點的f (p，q)的值，能夠輕鬆生成該節點下f值的整個子樹。 假設端主機的目的地密鑰對應於樹結構的葉，在葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰。由此密鑰的密碼樹結構能夠疊加在任何分層路由器拓撲上。在一個可能實施例中，函數f可以是單向函數，易於「向前」計算，但難以「向後」計算，即「逆轉」函數。雖然圖北所示樹結構是二進位，但使用任何「η進位(n-ary) 「或其它樹結構生成路由器和目的地密鑰是可能的，並且本發明在此方面並無限制。因此，通過將單個密鑰值分發到路由器，在該密鑰值下的整個(子)樹能夠由路由器在本地重新構建，而無需明確分發任何另外的密鑰。另一方面，一個安全性優點可能是無法從與「最低層次」路由器或端主機相關聯的密鑰來推斷與「更高層次」路由器(其在概念上可以是更「重要的」路由器)相關聯的密鑰。通過在樹結構中「向上」移動以選擇分組的新出口密鑰來執行聚集，同時通過在樹中「向下」移動以選擇新出口密鑰來進行解聚集。因此，在通過附加從前一密鑰上方一個或多個樹層次的新密鑰而推導的標記為分組執行聚集時，添加的聚集信息應基本上指示前一密鑰位於哪個分支。在使用二進位密鑰樹結構的情況下，此信息可只是每個聚集層次的「左邊」或「右邊」。在使用η進位密鑰樹結構的一般情況下，此信息對於每個聚集層次將包括1 與η之間的整數。例如，如果路由器在其轉發表中找到密鑰k = f(x，l)的匹配，並且根據轉發表中相關聯的聚集有關的指令，應通過在樹中從節點f(x，l)向下移動來向目的地解聚集，則必須確定解聚集應向f(f(x，l)，a)還是向f(f(x，l)，b)進行，因為f(x，l)是兩者的共同根。 這能夠通過如上所示在每個聚集步驟添加相關聯聚集信息來解決。因此，如果在傳送路徑中更早的聚集路由器將f(f(x，l),a)生成的標記換成f (x， 1)生成的一個標記，則路由器能夠將「a」作為聚集信息添加到標記。此信息「a」將使得傳送路徑中以後的解聚集路由器能夠從f(x，l)向f(f(x，l)，a)而不是向f(f(x，l)，b)解聚集。通常，每個聚集步驟因此將通過一條聚集信息來擴展標記大小。如上所述，如果函數f是單向函數，則不可能在樹結構中「向上」計算以執行聚集， 但在樹結構中較容易「向下」計算以執行解聚集。這能夠如下解決。假設網絡中的路由器具有它應執行的某一「最高」層次的聚集，密鑰能夠分發到位於樹中足夠高節點位置的那個路由器以使得該路由器能夠計算該最高節點位置之下的子樹中的任何節點值，以產生聚集路由器密鑰。因此，如果路由器被賦予對應於某個子樹的根的密鑰，並且也知道函數f，則它能為對應目的地的聚集來計算該給定根密鑰之下整個子樹中的所有節點值。圖3c示出帶有有效負載欄位和在圖3的傳送情形中在不同跳附加的不同標記的分組，在此情況下，使用圖北的分層路由器密鑰方案。在此示例中，也如下所述將接收分組中的標記換成從聚集或解聚集路由器密鑰推導的新標記。如圖3a的實施例中一樣，僅有從專門與端主機B相關聯的目的地密鑰而推導的表示為「TAG ο」的原始標記附加到在跳3:1 中從端主機A發送到第一跳路由器Rl的分組。當路由器Rl在跳3:2中將分組發送到下一路由器R2時，根據匹配表條目中的聚集有關的指令，將從兩層聚集路由器密鑰所推導的新標記「TAG ij」附加到分組。「TAG ij」 從與路由器R3相關聯的路由器密鑰來推導，因而能夠由分組接收路由器R2用於找到下一跳路由器R3。另外的聚集信息「Agg-info ij」也並靠著「TAG ij」附加到分組，指示分別為兩個層次i和j如何進行聚集，由此能夠實現向傳送路徑進一步向下的路由器中的正確密鑰的解聚集。如上所述，聚集信息「a」通常能夠添加到新標記，以使得能夠從f (X，1)向f (f (X， 1)，a)解聚集。在此情況下，「Agg-info i j 」指示兩層聚集，使得解聚集能夠分別在層次i 和j的兩個隨後路由器中執行。具體而言，「Agg-info ij」將指示從與R3相關聯的密鑰開始的路徑經R5引導到B。在此二進位樹示例中，在根據「Agg-info ij」執行解聚集時，應沿從R2的兩個「左邊」分支行進。在路由器R2基於「 TAG i j，，找到路由器R3時，通過將「 TAG i j，，在跳3 3中將分組發送到R3時換成與路由器R5相關聯的新標記「TAG i」，執行解聚集。此外，與新標記相關聯的新聚集信息」Agg-info i」也並靠著「TAG i」添加到分組，指示如何為層次i進行聚集，即，在下一跳3:4中應沿「左邊」分支行進。類似地，在路由器R3基於「TAG i」找到路由器R5時，通過將以前的「TAG i」在跳3:4中將分組發送到R5時換成專門與端主機B相關聯的原始「TAG ο」，執行進一步的解聚集步驟。通常，在此實施例中通過根據聚集指令將接收分組中的標記換成從聚集路由器密鑰推導的新標記，並且還附加指示如何進行聚集的另外相關聯聚集信息，從而執行聚集。另一方面，通過將接收分組中的標記換成基於分組中的另外聚集信息而確定的新標記，執行解聚集。雖然上面的圖;3b-c的實施例基於分層密鑰結構，但在圖3a的實施例中使用帶有或多或少隨機生成的密鑰值的「平坦」密鑰結構或如上所述的分層密鑰結構是可能的。此外，這兩個實施例也能夠單獨或結合使用。如果為接收的入口標記找到匹配表條目，則根據匹配表條目中聚集有關的指令為分組創建新出口標記。假設密鑰樹中的某個密鑰值k導致了匹配，則此指令可規定任何以下操作
-通過使用在樹中k「上方」的某個層次的密鑰以產生新出口標記來執行聚集。這一般也暗示在分層密鑰結構的情況下添加聚集信息。-根據分組中的另外聚集信息，使用在k「下方」某個層次的密鑰以產生出口標記來執行解聚集。-既不執行聚集也不執行解聚集。在此情況下，新出口標記可使用相同密鑰k或匹配表條目中的顯式出口密鑰來生成。此密鑰可以是另一密鑰樹的一部分，作為另一密鑰樹的一部分來生成，例如，以用於不同管理域之間的路由選擇，其中，每個域一般將具有獨特的密鑰樹。通過根據上述密鑰分層結構，簡單地為路由器中的轉發表配置適當的出口密鑰， 使用的聚集/解聚集方案也能夠是隱式的。通過考慮從普通郵寄進行的實體信函的傳送的模擬，也能夠進一步理解上述聚集機制。詳細的目的地地址最初在信函上顯示，一般包括街道地址、城市和國家，這有效地形成分層尋址方案。例如，信函可從美國德克薩斯州發送到瑞典斯德哥爾摩17大街。德克薩斯州的接收郵局將立即明白信函發送到瑞典，但將不需要讀取街道地址和城市的更多詳細信息。這能夠意味著信函先發送到紐約的國際郵政大樓，由其將目的地為瑞典的所有外出郵件發送到在瑞典哥德堡的國際郵政大樓。最初，通過分別只讀取地址中的國家以確定信函的「下一跳」，丟棄城市和街道兩者的層次，因此已進行了兩個層次的聚集。參照圖3，路由器Rl可因此相當於在德克薩斯州的郵局，路由器R2可相當於在紐約的郵政大樓，而路由器R3可相當於在瑞典哥德堡的郵政大樓等等。作為逐漸解聚集的結果，信函的地址中更詳細的信息隨後將分別在哥德堡和斯德哥爾摩讀取。在此上下文中，對密鑰樹中多個標記和/或路徑信息的需要也能夠理解如下。對於不使用多個標記的模擬將是只關注目的地的國家的在德克薩斯州的郵局將在該情況下在轉發該信函前從地址中擦除街道/城市，並且只保持「瑞典」。雖然信函將到達瑞典，但向目的地進一步「路由」信函將是不可能的。圖4是一個框圖，根據一些其它示範實施例示出在分組交換網絡中能夠如何支持從端主機A向未示出的目標端主機發送的數據分組的轉發。此過程示為一系列的動作或步驟，主要涉及端主機A、密鑰管理器400和在端主機A與目標端主機之間傳送路徑中某處的路由器402。在此示例中，路由器402採用如下所述的路由的聚集。在第一步驟4:1中，與各個端主機B、C、D、…相關聯的目的地密鑰被登記並存儲在密鑰管理器400中，其中，每個獨特的目的地密鑰實際上識別或「定義」對應的目的地，即端主機。在此過程中，可在端主機與密鑰管理器400之間的協定中決定目的地密鑰，優選在對端主機認證後。實際上，此步驟能夠替代根據現有技術向端主機指派IP位址。密鑰管理器400還在步驟4:2中確定分別能夠執行聚集和解聚集的路由器的位置。能夠設想各種不同方式以確定網絡拓撲中聚集和解聚集的位置，例如，根據轉發表大小和/或通過確定分層網絡結構、端主機的位置等，然而，這不必在此處進一步描述。密鑰管理器400還在下一步驟4:3中從上面登記的目的地密鑰來創建聚集路由器密鑰和相關聯的聚集有關的指令。如上在描述圖加時所提及的，還可為每個創建的路由器密鑰來定義密鑰索引。目的地密鑰和路由器密鑰可在分層或「平坦」密鑰結構中布置，然而，這可利用不同聚集方案，如上所述。
隨後，密鑰管理器400在進一步步驟4:4中通常將創建的聚集路由器密鑰和相關聯的聚集有關的指令及可選的密鑰索引一起分發到網絡中能夠採用聚集的路由器，包括此處所示的路由器402。密鑰管理器400也可將非聚集路由器密鑰和目的地密鑰分發到一些路由器，但這在本描述中不予考慮。隨後，路由器能夠相應地配置其自己的轉發表，包括分發的聚集路由器密鑰和可選的密鑰索引，這些將用於轉發進入的數據分組，由此創建網絡中有用的轉發架構。通過使用聚集路由器密鑰，因此能夠如上所述避免過大的轉發表。下面將更詳細地描述路由器中基於聚集路由器密鑰的轉發操作。路由器密鑰、相關聯的聚集有關的指令和可選的密鑰索引的分發可在配置過程中執行，或者否則例如使用路由選擇協議來執行，如在路由器域中配置常規轉發架構時，如上所述。路由器隨後能夠基於分發的信息，為其轉發表配置包括不同入口和出口密鑰和外出埠的條目。分發的路由器密鑰可實際上包括一對入口和出口密鑰。端主機A想要與目標端主機通信，並且在某個點，在下一步驟4:5中，相應地發送地址查詢或類似內容到密鑰管理器400，例如，如上所述以常規方式查找目標端主機的電子郵件地址或web地址。隨後，密鑰管理器400可應用為目標端主機定義的策略，確定查詢端主機是否被授權發送數據分組到目標端主機。假設端主機A被授權，並且能夠被允許將分組發送到目標端主機，則密鑰管理器 400檢索與目標端主機相關聯的目的地密鑰，並通過應用密鑰推導函數KDF到至少該目的地密鑰，並且可選地也應用到其它數據，如查詢端主機的身份、時間戳和/或經常稱為 「RAND」或「NONCE」的用於隨機化的隨機數，從目的地密鑰來創建發送方密鑰。這能夠表示為發送方密鑰=KDF (目的地密鑰，〈其它數據>)(2)如果查詢端主機的身份用作O)中的「其它數據」，則發送方密鑰將與該端主機獨特地相關聯。KDF可優選是密碼函數或諸如此類。在進一步步驟4:6中，密鑰管理器400隨後將發送方密鑰提供到端主機A以響應步驟4:5的查詢，使得端主機A能夠從其推導發送方標記，並且將數據分組和附加為入口標記的發送方標記一起發送到目標端主機。端主機A連接到的接入路由器也應能夠訪問相同的發送方密鑰以便在入口標記上執行匹配操作，但這在本描述中不予考慮。端主機A因此在下一步驟4:7中應用預定義的第一標記推導函數TDF到至少接收的發送方密鑰，以創建作為出口標記而插入發送的分組中的發送方標記「TAG」。就像目的地 IP位址通常根據現有技術一樣，出口標記能在分組報頭中的目的地欄位中插入。視實現而定，TDF也可應用到「其它數據」，如要發送的分組中包含的有效負載數據、時間戳和/或用於隨機化的RAND或NONCE。這能夠表示為發送方標記=TDF (發送方密鑰，〈其它數據>)(3)如果分組中的有效負載包括在「其它數據」中，則發送方標記將對於僅僅該分組是獨特的。TDF可以是密碼函數或諸如此類。端主機A可已預配置成在傳送數據分組時使用 TDF，或者TDF可在步驟4:6中與發送方密鑰一起提交到端主機A。此外，TDF也在網絡中是已知的，至少對端主機A的接入路由器是已知的。將發送方標記附加到傳送的數據分組，這將實際上授權該分組通過網絡向其目的地路由。如果路由器檢測到接收的數據分組未包含任何有效標記，則分組不能被授權並且可簡單地丟棄。因此，如果TDF是「強」密碼函數，則將虛假髮送方標記附加到分組的嘗試將極可能不成功，並且附加有非有效標記的任何分組將實際上在轉發過程中被停止。在進一步步驟4 8中，最初從端主機A發送的數據分組在路由器402由入口部分 40 接收。入口標記「TAG」附加到接收的分組，並且可選地還附加了入口密鑰索引(如果使用的話)。分組可從未示出的前一路由器接收，或者直接從端主機A接收(如果路由器 402是A的接入路由器)。在路由器402的轉發單元40 通常配置成藉助於轉發單元40 中示意示出的轉發表以便找到出口單元402c中的外出埠，為每個進入的數據分組執行轉發操作。在進一步步驟4 9中，轉發單元402b使用已知的TDF，為附加的「TAG」和轉發表中不同的入口密鑰IK執行匹配操作以便找到表中的匹配條目。換而言之，轉發單元300b嘗試一次為表中的一個條目匹配接收的入口標記和入口密鑰IK。更詳細地說，匹配操作可包括路由器應用TDF到轉發表的行中的「候選」入口密鑰以推導候選入口標記。如果候選入口標記滿足與分組中接收的入口標記的預定關係，則認為找到匹配。預定關係可以是相等，即，如果候選入口標記與分組中的入口標記相同，則認為找到匹配。如果兩個標記不匹配，則嘗試表中的下一候選密鑰等等。如果入口密鑰索引IKi包括在接收分組中，則只需執行對表中包含入口密鑰索引 IKi的一個或多個條目的匹配。使用入口密鑰索引IKi將因此實際上通過限制表中可能候選入口標記的數量而加快每個接收的數據分組的匹配操作。也可能只使用包括的入口密鑰索引IKi來查找適當的埠，即，為了安全而不執行匹配操作。應注意，在使用聚集的路由器密鑰而不是密鑰索引時，可能有用的是，以路由器在表中為匹配而執行有序搜索的相同順序，為路由器的表條目填充對應於高(或更高)層次的聚集的密鑰。由此，能夠儘早找到匹配表條目。如果在步驟4:9中找到匹配條目，則在隨後的步驟4:10中該條目中的埠(在此情況下是埠 P(X))被確定為用於分組的適當外出埠。如果在步驟4:9中未找到匹配條目，則在步驟4:10中分組不被授權且因此將丟棄，由此停止在此路由器中轉發任何此類分組。步驟4:9的匹配操作將因此授權分組進行進一步路由選擇。由於路由器402採用多個目的地的聚集，因此，其轉發表包括與表中每個聚集路由器密鑰相關聯的聚集有關的指令，該指令從表中的策略欄位讀取，如在圖加中的列210 中。在此情況下，匹配表條目包含聚集有關的指令，並且轉發單元402b因此基於該指令在下一步驟4:11中為分組創建新出口標記。這能夠根據上面參照圖3a-c所述的任何實施例來進行，因此在使用分層密鑰方案時將接收的標記換成新標記及相關聯的聚集信息，或者在使用合併的標記時對/從接收的標記添加/刪除另外標記。另一標記推導函數TDF'也可應用到匹配條目中找到的出口密鑰EK以獲得另外或交換的標記。TDF'應為下一跳路由器已知以使得能夠在其中進行匹配操作。TDF和 TDF'可以是不同或相等的函數。新出口標記TAG'因此能表示為出口標記=TDF'(出口路由器密鑰，〈其它數據>)(4)(4)中的「其它數據」可以是分組中包含的有效負載數據和/或用於隨機化的RAND 或NONCE。新合併或交換的出口標記在進一步步驟4:12中附加到分組。如果使用密鑰索引，則在步驟4:11中在匹配條目中找到的出口密鑰索引EKi也附加到分組。附加的EKi隨後將在下一跳路由器中用作查找其轉發表中相關行的入口密鑰索引IKi以便執行匹配操作等。根據匹配表條目，隨後在下一步驟4:13中將分組轉發到出口單元402c的埠 P(X)。最後，作為下一跳，在埠 P(X)上，在最後步驟4:14中發出附加有新出口標記TAG' 的分組。隨後，基本上以如上所述相同的方式，下一跳路由器將能夠匹配新入口標記TAG' 和其轉發表中的條目以確定下一跳。圖5是流程圖，帶有支持分組交換網絡的路由器中數據分組的轉發過程的示範過程中的步驟，如由例如圖4中的密鑰管理器400的密鑰管理器來執行。在第一步驟500中， 例如，如上面對於圖4的步驟4:1所述，為連接到網絡中接入路由器的不同端主機登記目的地密鑰。在下一步驟502中，例如，如圖4的步驟4:2中一樣，確定網絡中能夠分別執行路由聚集和解聚集的路由器的位置。在進一步步驟504中，例如，如圖4的步驟4:3中一樣，基於確定的聚集和解聚集的放置，創建聚集路由器密鑰和相關聯的聚集有關的指令，每個聚集路由器密鑰一般表示多個目的地的集合。在下一步驟506中，例如，如圖4的步驟4 4中一樣，將上述聚集路由器密鑰和相關聯的聚集有關的指令分發到分別能夠執行路由聚集和解聚集的路由器。由此， 這些路由器能夠從分發的信息配置其自己的轉發表。也可將非聚集路由器密鑰和目的地密鑰分發到一些路由器，但這在本描述中不予考慮。步驟500-506能夠在配置過程中或其它情況下執行。在進一步步驟508中，在某一點從查詢端主機接收地址查詢，基本上請求目標端主機的目的地地址或類似內容。地址查詢能以如上述的常規方式進行，例如，涉及目標端主機的電子郵件地址或網址。在下一步驟510中，通過應用密鑰推導函數KDF至少到與目標端主機相關聯的目的地密鑰，或應用到與所述目的地密鑰有關的密鑰，創建發送方密鑰。在最終步驟512中，密鑰管理器將發送方密鑰提供到查詢端主機，所述發送方密鑰從與目標端主機相關聯的目的地密鑰來推導。還可檢查查詢端主機是否被授權發送數據分組到目標端主機。如果無授權，則可簡單地拒絕查詢。由此，基本上以上面對於步驟4:7 所述的方式，查詢端主機能夠通過將從接收的發送方密鑰所推導的發送方標記附加到每個傳送的分組，將數據分組傳播到目標端主機。圖6是流程圖，帶有用於分組交換網絡的路由器(例如圖4中的路由器402)中支持接收數據分組的轉發過程的示範過程中的步驟。在第一步驟600中，如圖4的步驟4:4 中一樣，由從例如DNS系統的密鑰管理器接收的聚集路由器密鑰和相關聯的聚集有關的指令來配置轉發表。在下一步驟602中，由路由器接收數據分組。分組可能已從相鄰路由器傳送，或者作為第一跳從發送端主機傳送(如果路由器是用於發送端主機的接入路由器，例如，如圖4 中的跳3 1中一樣)。在可選的下一步驟604中，可檢查分組是否包含從密鑰管理器已提供的密鑰推導的入口標記。如果未找到此類入口標記，則在此點在進一步步驟606中能夠丟棄分組。另一方面，如果分組包含入口標記，則在隨後的步驟608中，例如如上面對於圖4 中步驟4:9所述的，使用已知的TDF，應用匹配操作到接收的入口標記和轉發表中的不同候選入口標記以便在表中查找匹配條目。如果在轉發表中使用密鑰索引，並且密鑰索引也附加到接收的分組，則在此步驟中能夠使用密鑰索引將匹配操作限制到一個條目或只是幾個條目以便在表中快速查找匹配條目。在下一步驟610中，確定是否藉助於匹配操作在轉發表中找到匹配條目。如果未找到，則在步驟612中丟棄分組。如果找到匹配條目，則在進一步步驟614中根據匹配條目為分組選擇外出埠。在隨後的步驟616中，還檢查匹配表條目中是否存在聚集有關的指令，該指令因此與匹配表條目中的入口密鑰相關聯，基本上指令路由器執行聚集或解聚集。如果存在，則根據上面對於圖3a_c所述的任何實施例，聚集有關的指令可因此規定應更改接收的標記， 或者應分別對/從分組添加或刪除一個或多個路由器標記。如果在條目中未找到此類聚集有關的指令，則在可選的步驟618中通過應用標記推導函數到匹配表條目中的出口密鑰，可推導新出口標記。備選的是，在發送分組到下一跳路由器時，接收的標記可再使用為出口標記。另一方面，如果在匹配表條目中存在聚集有關的指令，則根據該指令，在進一步步驟620中創建新出口標記。最終，在最後示出的步驟622中，在附加有新出口標記的情況下， 分組從確定的埠發送到下一跳路由器。如果使用密鑰索引，則也可將匹配表條目中的出口密鑰索引附加到分組。隨後，接收下一跳節點能夠基本上重複根據上述步驟600-622的該過程。圖7是邏輯框圖，根據另外的示範實施例更詳細地示出密鑰管理器700中的設備和分組交換網絡中的路由器702中的布置，其用於支持網絡中數據分組的轉發。密鑰管理器700包括網絡控制單元700b，該單元適用於登記連接到網絡中接入路由器的端主機的目的地密鑰。網絡控制單元700b還適用於例如基於轉發表大小、分層網絡結構、端主機的位置等來確定網絡中分別能夠執行路由聚集和解聚集的路由器的位置。密鑰管理器700也包括密鑰分發器700c，該密鑰分發器適用於創建聚集路由器密鑰和相關聯的聚集指令，每個聚集路由器密鑰表示多個目的地的集合。密鑰分發器700c還適用於分發聚集路由器密鑰和相關聯的聚集指令到能夠執行路由聚集和解聚集的路由器， 由此使得這些路由器能夠配置其自己的轉發表。網絡控制單元700b也可保留指示哪些端主機被授權發送分組到每個登記的端主機的信息。此信息可包括為登記的端主機定義的並確定查詢端主機是否被授權發送數據分組到特定目的地的策略。密鑰管理器700還包括地址查詢管理器700a，該地址查詢管理器適用於從查詢端主機A接收有關未示出的目標端主機的地址查詢。地址查詢管理器700a也適用於通過應用密鑰推導函數KDF至少到與目標端主機相關聯的目的地密鑰或到與所述目的地密鑰有關的密鑰來創建發送方密鑰，並且將創建的發送方密鑰發送到查詢端主機以響應地址查詢。由此，查詢端主機能夠通過將從發送方密鑰生成的發送方標記附加到傳送的數據分組， 將數據分組傳播到目標端主機，發送方標記將傳送的數據分組引導到目標端主機。路由器702包括入口部分704，該部分適用於從例如網絡中的另一路由器的相鄰節點或者直接從發送端主機接收數據分組P。入口部分704還可適用於在有效入口標記附加到分組時接受分組，以及在其它情況下在未包括有效入口標記時丟棄分組。路由器702還包括轉發單元706，該轉發單元適用於由從密鑰管理器700中密鑰分發器700c接收的聚集路由器密鑰和相關聯的聚集有關的指令來配置轉發表。轉發單元 706還包括轉發表706a和標記匹配單元706b，該標記匹配單元用於匹配接收的入口標記和轉發表706a的條目中的入口密鑰，以例如分別對於圖4中步驟4:9-4:10和圖6中步驟 608-614所述的方式從匹配表條目來確定分組的外出埠。轉發單元706還包括標記創建單元706c，該標記創建單元適用於根據匹配表條目中存在的聚集有關的指令為分組創建出口標記。路由器702還包括出口部分708，該部分適用於在創建的新出口標記附加到分組的情況下，將分組從確定的外出埠發送到下一跳節點，例如，另一相鄰路由器。應注意，圖7隻在邏輯意義上示出分別在密鑰管理器700和路由器702中的各種功能單元。然而，技術人員實際上可使用任何合適的軟體和硬體部件自由地實現這些功能。 因此，本發明通常不限於密鑰管理器700和路由器702的所示結構。在此解決方案中，路由器因此能夠以上述方式將接收的數據分組中包括的入口標記與轉發表中的路由選擇或入口密鑰進行匹配，以驗證分組並同時查找正確的外出埠。 如果在轉發表的條目中找到匹配，則將該條目中的埠號確定為用於分組的正確外出端所述實施例能夠實現轉發架構，其中，在路由器中能夠使用可伸縮的轉發表。數據分組的路由選擇也能夠受到控制以避免泛洪、垃圾郵件、病毒、欺詐、DoS攻擊及通常的未經請求的業務。雖然本發明已參照特定示範實施例來描述，但該描述一般僅旨在示出發明的概念，並且不應視為限制本發明的範圍。本發明由隨附權利要求來定義。
權利要求
1.一種支持分組交換網絡的路由器(402，702)中接收的數據分組的轉發的方法，包括以下步驟-基於從密鑰管理器接收的聚集路由器密鑰和相關聯的聚集有關的指令來配置轉發表，每個聚集路由器密鑰表示目的地的集合，_接收包括從發送方密鑰或路由器密鑰來推導的入口標記的數據分組，-應用匹配函數到所接收的入口標記和所述轉發表中的至少一個條目以便查找匹配的表條目，所述條目包括候選入口密鑰和外出埠指示，-根據還包括相關聯的聚集有關的指令的找到的匹配表條目，為所述分組選擇外出端Π,-根據所述匹配表條目中的所述聚集有關的指令，創建出口標記，以及_將附加有所創建的出口標記的所述分組從所選擇的外出埠發送到下一跳路由器。
2.如權利要求1所述的方法，其中所述匹配函數包括應用標記推導函數TDF到表條目中的所述候選入口密鑰以推導候選入口標記，並且如果所述候選入口標記滿足與所述分組中所接收的入口標記的預定關係，則認為找到匹配。
3.如權利要求2所述的方法，其中所述預定關係是相等，即，如果所述候選入口標記等於所述分組中的所述入口標記，則認為找到匹配。
4.如權利要求1-3的任一項所述的方法，其中通過應用另一標記推導函數TDF'到所述匹配表條目中的出口密鑰來創建所述出口標記。
5.如權利要求1-4的任一項所述的方法，其中所接收的數據分組還包含與所述轉發表中條目或條目集合相關聯的密鑰索引，並且所述密鑰索引用於查找適當的一個條目/多個條目以便應用所述匹配函數。
6.如權利要求1-5的任一項所述的方法，其中通過將從所述匹配表條目中一個或多個出口密鑰所推導的一個或多個另外的子標記並靠著所接收的入口標記附加到所述分組以執行聚集，或者通過從所述分組刪除一個或多個另外的子標記以執行解聚集，創建所述出 Π標記。
7.如權利要求6所述的方法，其中通過在執行聚集時應用預定合併函數(C)到所接收的入口標記和所述一個或多個另外的子標記，創建所述出口標記。
8.如權利要求7所述的方法，其中所述合併函數是串連或XOR函數。
9.如權利要求1-5的任一項所述的方法，其中目的地密鑰和路由器密鑰的分層方案用於執行路由的聚集，並且通過將所接收的入口標記換成從所述匹配表條目中的出口密鑰所推導的新標記、以及還添加相關聯的聚集信息到所述出口標記，創建所述出口標記，其中所述聚集信息能夠用於確定原始目的地。
10.如權利要求9所述的方法，其中所述分層路由器密鑰方案藉助於函數f(p，q)從根值(χ)生成，其中P是當前樹層次上方節點位置的路由器密鑰值，以及q是指示所述當前樹層次內節點位置的整數，其中端主機的目的地密鑰對應於所述樹結構的葉，以及所述葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰。
11.如權利要求10所述的方法，其中結果的密鑰方案由能夠沿從所述根(χ)向下的路徑、根據以下鏈0^3003江00)，-,f(f(-f(χ)···)))所計算的密鑰值來組成。
12.—種分組交換網絡的路由器(402，702)中的設備，用於支持所述路由器中接收的數據分組的轉發，所述設備包括-轉發單元(40 ，706)，適用於基於從密鑰管理器(400，700)接收的聚集路由器密鑰和相關聯的聚集有關的指令來配置轉發表，每個聚集路由器密鑰表示目的地的集合，-入口單元(704)，適用於接收包括從發送方密鑰或路由器密鑰所推導的入口標記的數據分組⑵，以及-出口單元(708)，用於發送所述數據分組(P')到下一跳節點，其中所述轉發單元包括-標記匹配單元(706b)，適用於應用匹配函數到所接收的入口標記和所述轉發表中至少一個條目以便查找匹配的表條目，所述條目包括候選入口密鑰和外出埠指示，並且還適用於根據還包括相關聯的聚集有關的指令的找到的匹配表條目，為所述分組選擇外出埠，以及-標記創建單元(706c)，適用於根據所述匹配表條目中的所述聚集有關的指令來創建出口標記，以及將所述出口標記附加到所述分組，所述分組要由所述出口單元從所選擇的外出埠發送到下一跳路由器。
13.如權利要求12所述的設備，其中所述標記匹配單元還適用於應用標記推導函數 TDF到每個表條目中的所述候選入口密鑰以推導候選入口標記，其中如果所述候選入口標記滿足與所述分組中所接收的入口標記的預定關係，則認為找到匹配。
14.如權利要求13所述的設備，其中所述預定關係是相等，即，如果所述候選入口標記等於所述分組中的所述入口標記，則認為找到匹配。
15.如權利要求12-14的任一項所述的設備，其中所述標記創建單元(706c)還適用於通過應用另一標記推導函數TDF'到所述匹配表條目中的出口密鑰來創建所述出口標記。
16.如權利要求12-15的任一項所述的設備，其中所述標記創建單元(706c)還適用於通過將從所述匹配表條目中一個或多個出口密鑰所推導的一個或多個另外的子標記並靠著所接收的入口標記附加到所述分組以執行聚集，或者通過從所述分組刪除一個或多個另外的子標記以執行解聚集，創建所述出口標記。
17.如權利要求16所述的設備，其中所述標記創建單元(706c)還適用於通過在執行聚集時應用預定合併函數(C)到所接收的入口標記和所述一個或多個另外的子標記來創建所述出口。
18.如權利要求17所述的設備，其中所述合併函數是串連或XOR函數。
19.如權利要求12-15的任一項所述的設備，其中目的地密鑰和路由器密鑰的分層方案用於執行路由的聚集，並且所述標記創建單元(706c)還適用於通過將所接收的入口標記換成從所述匹配表條目中的出口密鑰所推導的新標記、以及還添加相關聯的聚集信息到所述出口標記，創建所述出口標記，其中所述聚集信息能夠用於確定原始目的地。
20.如權利要求19所述的設備，其中所述分層路由器密鑰方案藉助於函數f(p，q)從根值(X)生成，其中P是當前樹層次上方節點位置的路由器密鑰值，以及q是指示所述當前樹層次內節點位置的整數，其中端主機的目的地密鑰對應於所述樹結構的葉，以及所述葉上方在一個或多個樹層次上的任何f值能夠用作聚集路由器密鑰。
21.如權利要求20所述的設備，其中結果的密鑰方案由能夠沿從所述根(χ)向下的路徑、根據以下鏈0^3003江00)，-,f(f(-f(χ)-)))所計算的密鑰值來組成。
22.—種支持分組交換網絡中在路由器轉發數據分組的方法，包括由密鑰管理器 (400,700)執行的以下步驟-(500)為連接到所述網絡中接入路由器的端主機(B，C，D，…)登記目的地密鑰，"(502)確定分別能夠執行路由聚集和解聚集的路由器的位置，-(504)創建聚集路由器密鑰和相關聯的聚集指令，每個聚集路由器密鑰表示目的地的集合，以及-(506)分發所述聚集路由器密鑰和相關聯的聚集指令到所述路由器以用於執行路由聚集和解聚集，由此使得所述路由器能夠基於所分發的信息來配置它們自己的轉發表。
23.如權利要求22所述的方法，還包括以下另外的步驟-從查詢端主機(A)接收有關目標端主機的地址查詢，-通過應用密鑰推導函數KDF至少到與所述目標端主機相關聯目的地密鑰，創建發送方密鑰，以及-將所創建的發送方密鑰發送到所述查詢端主機以響應所述地址查詢，由此使得所述查詢端主機能夠通過將從所述發送方密鑰生成的發送方標記附加到要傳送的數據分組，將數據分組傳播到所述目標端主機，所述發送方標記將所述數據分組引導到所述目標端主機。
24.一種在密鑰管理器000，700)中用於支持分組交換網絡中在路由器轉發數據分組的設備，包括-網絡控制單元(700b)，適用於為連接到所述網絡中接入路由器的端主機登記目的地密鑰，並且還適用於確定分別能夠執行路由聚集和解聚集的路由器的位置，以及-密鑰分發器(700c)，適用於創建聚集路由器密鑰和相關聯的聚集指令，每個聚集路由器密鑰表示目的地的集合，以及還適用於分發所述聚集路由器密鑰和相關聯的聚集指令到能夠執行路由聚集和解聚集的路由器，由此使得所述路由器能夠基於所分發的信息來配置它們自己的轉發表。
25.如權利要求M所述的設備，還包括地址查詢管理器(700a)，所述地址查詢管理器適用於從查詢端主機(A)接收有關目標端主機的地址查詢，通過應用密鑰推導函數KDF至少到與所述目標端主機相關聯的目的地密鑰來創建發送方密鑰，以及將所創建的發送方密鑰發送到所述查詢端主機以響應所述地址查詢，由此使得所述查詢端主機能夠通過將從所述發送方密鑰生成的發送方標記附加到傳送的數據分組，將數據分組傳播到所述目標端主機，所述發送方標記將所述傳送的數據分組引導到所述目標端主機。
全文摘要
用於支持分組交換網絡的路由器(402，702)中轉發接收的數據分組的方法和設備。基於從密鑰管理器(400，700)收到的聚集路由器密鑰和相關聯的聚集有關的指令，在路由器中配置轉發表(706a)。每個聚集路由器密鑰表示目的地的集合。在收到包括從發送方密鑰或路由器密鑰所推導的入口標記的數據分組(P)時，匹配入口標記和轉發表中的條目。根據還包括相關聯的聚集有關的指令的找到的匹配表條目，為分組選擇外出埠。隨後，根據聚集有關的指令來創建出口標記，並且將附加有創建的出口標記的分組從選定外出埠發送到下一跳路由器。
文檔編號H04L12/56GK102210126SQ200880131976
公開日2011年10月5日 申請日期2008年11月7日 優先權日2008年11月7日
發明者A·克薩斯扎爾, L·G·馬格努森, L·韋斯特伯格, M·納斯倫 申請人:愛立信電話股份有限公司