專利名稱:橋接加密vlan的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及VLAN。具體而言���,本發(fā)明涉及一種橋接加密VLAN�����。
背景技術(shù):
基本VLAN概念
圖1展示一簡單的基于端口的VLAN 10��,其包含兩個VLAN����,即VLAN A 13和VLANB 15。在一端口處�,所接收的一未標記幀所屬的VLAN是由分配給所述接收端口的端口VLAN ID(PVID)來判定的,或由所述幀中所攜帶的與鏈路層協(xié)議相關(guān)聯(lián)的VLAN ID(VID)判定(參見IEEE Std 802.1v-2001�����,Virtual Bridged Local AreaNetworks-Amendment 2VLAN Classification by Protocol and Port)�。需存在一個在橋接器12、14之間轉(zhuǎn)運VLAN信息的方法��,其原因在于所述橋接器12與14經(jīng)由一可攜帶來自多個VLAN的幀的匯聚鏈接16而連接在一起��。出于此原因���,一VLAN標記被添加到每個幀��。此類幀被稱為VLAN標記型幀���。
匯聚鏈接一匯聚鏈接是一個用于在VLAN橋接器之間進行VLAN多路復用的LAN區(qū)段(參見IEEE Std 802.1v-2001,Virtual Bridged Local Area Networks-Amendment 2VLANClassification by Protocol and Port)��。每個連接到匯聚鏈接的裝置必須為可識別VLAN的(VLAN-aware)���。此即意味看其了解VLAN的成員資格和VLAN幀格式�����。匯聚鏈接上的所有幀(包括端站幀在內(nèi))均為VLAN標記的��,即意味著其攜帶有非空VID�。匯聚鏈接上不能有不可識別VLAN的端站���。
圖1中的匯聚鏈接16是一個由兩個橋接器12�、14共享的多路復用LAN區(qū)段���。一般而言��,可將許多可識別VLAN的橋接器連接到一匯聚鏈接����。
存取鏈路11是無法將VLAN多路復用的LAN區(qū)段。實情是���,每個存取鏈路都攜帶屬于單一VLAN的未標記幀或VLAN標記型幀�����。如果幀為經(jīng)標記的��,那么所述區(qū)段上的所有的幀都攜帶相同的VID并且所述LAN區(qū)段上的端站必須為可識別VLAN的����。
在VLAN技術(shù)的當前發(fā)展狀態(tài)下遇到了各種限制��。一個問題是匯聚鏈接上的VLAN
至少兩個橋接器復數(shù)個匯聚鏈接�,其中所述匯聚鏈接中的每個匯聚鏈接均與所述至少兩個橋接器中的一個橋接器的入站匯聚端口及所述至少兩個橋接器中的另一個橋接器的出站匯聚端口相關(guān)聯(lián)���。
復數(shù)個存取端口�����;復數(shù)個存取鏈路�����,其中所述存取鏈路中的每個存取鏈路與所述存取端口中的一個存取端口相關(guān)聯(lián);和用于將所述VLAN代表為不同的封裝區(qū)段的構(gòu)件����,盡管所述不同的封裝區(qū)段共享相同的媒介,其中所述VLAN的物理分離為加密性的����。
10.根據(jù)權(quán)利要求9所述的裝置�����,其進一步包含一與所述存取端口中的至少一個端口相關(guān)聯(lián)的入口過濾規(guī)則����,其用于規(guī)定真實性檢查,其中使用一相關(guān)VLAN的一安全關(guān)聯(lián)來認證于所述存取端口中的所述一個端口處接收的一個幀���;其中�����,如果認證成功��,那么所述幀被判定為所述相關(guān)VLAN的一封裝區(qū)段的一成員�。
11.根據(jù)權(quán)利要求10所述的裝置,其中與所述存取端口中的至少一個端口相關(guān)聯(lián)的所述入口過濾規(guī)則規(guī)定了針對所述VLAN中的某些VLAN進行認證及完整性檢查���。
12.根據(jù)權(quán)利要求11所述的裝置�,其進一步包含一認證碼�����,其是通過使用所述安全關(guān)聯(lián)由一所接收幀的密文和序號計算而得的����;其中,如果所述認證碼與所述幀中一所接收認證碼不相匹配�,那么所述幀被丟棄且其中,否則所述幀被判定為屬于一相關(guān)VLAN的一封裝區(qū)段��。
13.根據(jù)權(quán)利要求9所述的裝置�,其進一步包含一或多個用于為在一入站端口處所接收的一個幀構(gòu)造一個目標端口組的規(guī)則,所述入站端口屬于一VLAN的標記和封裝組其中�,如果所述幀為標記型,那么移除所述VLAN的封裝組中并非所述VLAN的標記組成員的每個端口����;且其中����,如果所述幀為封裝型�,那么移除所述VLAN的標記組或未標記組中并非所述VLAN的封裝組成員的每個端口。
14.根據(jù)權(quán)利要求9所述的裝置�,其進一步包含一或多個用于為一所接收幀構(gòu)造一轉(zhuǎn)發(fā)組的規(guī)則,所述規(guī)則可包含如下任意步驟將一所接收幀添加到所述轉(zhuǎn)發(fā)組�����;將一VLAN標記添加到一所接收幀����;將結(jié)果添加到所述轉(zhuǎn)發(fā)組��;使用一安全關(guān)聯(lián)將一所接收的幀加密地封裝�;一所得的幀經(jīng)VLAN標記并被添加到所述轉(zhuǎn)發(fā)組;從一所接收的幀中移除一VLAN標記���;將一未標記幀添加到所述轉(zhuǎn)發(fā)組��;使用一安全關(guān)聯(lián)將一所接收幀的密文解密�;一所得幀未經(jīng)標記并被添加到所述轉(zhuǎn)發(fā)組且使用一安全關(guān)聯(lián)將一所接收幀的密文解密����;一所得幀被標記并被添加到所述轉(zhuǎn)發(fā)組��。
15.一種用于轉(zhuǎn)發(fā)一轉(zhuǎn)發(fā)組中的幀的方法�����,所述轉(zhuǎn)發(fā)組是相對于用于一VLAN的一所接收幀的目標端口組來定義的�,其包含如下步驟將所述轉(zhuǎn)發(fā)組中的一未標記幀(如果有的話)排隊���,以供在所述目標組中屬于該VLAN的未標記組的每個端口處進行傳輸將所述轉(zhuǎn)發(fā)組中的一VLAN標記型幀(如果有的話)排隊��,以供在所述目標組中屬于該VLAN的標記組的每個端口處進行傳輸��;和將所述轉(zhuǎn)發(fā)組中的一封裝型幀(如果有的話)排隊���,以供在所述目標組中屬于所述VLAN的封裝組的每個端口處進行傳輸。
16.一種用于消除一橋接加密VLAN中的LAN區(qū)段間的冗余傳送的方法�����,其包含以下步驟在一其中每次傳送均要求加密的橋接VLAN中�,避免將一未封裝的幀不止一次地傳送到一VLAN的封裝區(qū)段執(zhí)行一次封裝,所述封裝由所有橋接器上的屬于所述VLAN的封裝組的所有出口端口所共享�;并且避免經(jīng)過所述橋接VLAN中的橋接器時反復地拆封���,其中每次拆封都要求解密。
17.一種用于確定代表一橋接加密VLAN的LAN區(qū)段間的最優(yōu)傳送點的方法���,其包含如下步驟將任何橋接LAN簡化為一生成樹�,所述生成樹的節(jié)點為所述橋接器且其邊緣為匯聚鏈接�,以將一偏序引入所述橋接器其中一最小橋接器為所述生成樹的根;其中所述橋接器組與一偏序一同定義一完整的偏序集且其中所述橋接器的每個非空子集都具有一最小上界�����;其中要求一VLAN的一所接收幀屬于代表所述VLAN的所述LAN區(qū)段中一個區(qū)段的所有橋接器的所述最小上界為一將所接收幀轉(zhuǎn)換為用于所述LAN區(qū)段的幀的最優(yōu)傳送點���;且從將所述橋接VLAN中的橋接器存取端口分配到所述LAN區(qū)段可自動推斷出必須與一給定出站匯聚端口相關(guān)聯(lián)以便橋接所述VLAN的最小的LAN區(qū)段組。
18.一種用于在一橋接加密VLAN中實施一傳送點協(xié)議(TPP)的裝置���,其包含至少兩個橋接器
復數(shù)個匯聚鏈接��,其中所述匯聚鏈接中的每個匯聚鏈接均與所述至少兩個橋接器中的一個橋接器的一入站匯聚端口及所述至少兩個橋接器中的另一個橋接器的一出站匯聚端口相關(guān)聯(lián)����;復數(shù)個存取端口�����;復數(shù)個存取鏈路,其中所述存取鏈路中的每個存取鏈路與所述存取端口中的一個存取端口相關(guān)聯(lián)���;和用于將所述VLAN代表為不同的封裝區(qū)段的構(gòu)件�,盡管所述不同的封裝區(qū)段共享相同的媒介����,其中所述VLAN的物理分離為加密性的;兩個鏈路層協(xié)議�����,一第一鏈路層協(xié)議(TPP-T)���,其用于將出站端口添加到一VLAN的標記組����,及一第二鏈路層協(xié)議(TPP-E)�,其用于將出站端口添加到一VLAN的封裝組;和其中在執(zhí)行之前��,將每個存取端口都分配到一VLAN的一標記���、未標記或封裝組����。
19.根據(jù)權(quán)利要求18所述的裝置,所述傳送點協(xié)議(TPP)進一步包含兩個幀類型����,所述幀類型中的一個包含一通告幀,且所述幀類型中的另一個包含一應答幀����;其中所述幀中的每個幀含有一VLAN ID和一源橋接器路由選擇通路,其中所述通路的每一項為含有一橋接器MAC地址及三個比特的獨特對組��,其中每個比特用于一個LAN區(qū)段類型��,其中����,當且僅當所述對組中定址的一橋接器具有處于所述幀中所特定指出的所述VLAN的標記組中的一存取端口時�,所述標記比特為高且其中,類似地對所述末標記和封裝比特加以設(shè)定�����。
20.一種在一橋接加密VLAN中的傳送點協(xié)議(TPP),其包含如下步驟一橋接器針對其所知的每個VLAN經(jīng)由其每個匯聚端口將一TPP通告幀發(fā)送到一TPP組地址��;當一橋接器接收到一通告幀�����,其將其自身的有關(guān)所接收的VLAN ID的項附加到所接收的路由選擇通路�����,并將所述幀轉(zhuǎn)發(fā)到其除了接收匯聚端口之外的每個啟用的出站匯聚端口��;其中如果所述橋接器不具有其它此類端口����,則所述橋接器將一最終路由選擇通路和所述所接收的VLAN ID置于一TPP應答幀中發(fā)送到在所述路由選擇通路中先于所述橋接器的MAC地址;一通告幀的一起始橋接器創(chuàng)建一僅由其自身的項組成的通路����;當一橋接器接收一TPP應答幀時,所述橋接器將所述應答幀轉(zhuǎn)發(fā)到在所述路由選擇通路中先于所述橋接器的橋接器MAC地址且如果不存在所述橋接器MAC地址���,那么丟棄所述幀����。
21.根據(jù)權(quán)利要求20所述的協(xié)議,其中當一橋接器在一入站匯聚端口上接收到一TPP于P5處接收到的幀�。如果認證成功,則所述幀被判定為A的封裝區(qū)段的成員(member)��。假定必須將所述幀轉(zhuǎn)發(fā)到P4�����。則橋接器2使用相同的安全關(guān)聯(lián)將所述幀拆封��。所述橋接器將拆封的幀轉(zhuǎn)發(fā)到P4o��,并將其標記用標記A-T予以替換�,從而將所述幀從A的封裝區(qū)段傳送到其標記區(qū)段。相反��,使用A的安全關(guān)聯(lián)將到達P4i且目的地為P5的幀加以封裝���。用標記A-E替換標記A-T����,這將所述幀從A的標記區(qū)段傳送到其封裝區(qū)段����。
圖2的實例存在多種變形。例如��,可能僅需要保護VLAN B上的通信量��。在此情況下����,P5不屬于A的封裝組。僅須認證于P6處接收到的幀(即�,具有標記B-E的幀),并且僅須封裝在P41處接收到的且目的地為P6的B的標記型幀�。
橋接語義就具有多個端口的VLAN橋接器來說。假定在端口P處接收到一幀�����。其被以多種方式之一分配至一個VLAN�����。如果P是匯聚端口���,則所述幀必須帶有VID-T或VID-E形式(其各自可識別VLAN)的VLAN標記����,即VID。否則��,所述幀會被丟棄�。如果P不是匯聚端口,則可使用基于端口或基于協(xié)議的VLAN分類來將所述幀分配到一VLAN(參見IEEE Std 802.1v-2001�����,Virtual Bridged Local Area Networks-Amendment 2VLANClassification by Protocol and Port)��。
入口過濾如果P是匯聚端口且并不處于VID的標記或封裝組中����,則所述幀會被丟棄。端口的入口過濾規(guī)則可規(guī)定針對某些VLAN的認證和完整性檢查�����。如果P是一個其入口過濾規(guī)則要求針對VLAN VID進行認證和完整性檢查的端口��,則在P處接收到的幀必須具有VLAN標記VID-E�����。否則,所述幀會被丟棄�。在優(yōu)選實施例中,通過使用VID的安全關(guān)聯(lián)由所接收的幀的密文和序號計算出認證碼���。如果計算出的認證碼與所述幀中接收到的認證碼不相匹配,則所述幀會被丟棄�。否則所述幀被判定為屬于VID的封裝區(qū)段。
如果P并非處于VID的標記組中�,但其連接到VLAN標記存取鏈路,則所接收的幀會被丟棄�。
轉(zhuǎn)發(fā)過程轉(zhuǎn)發(fā)過程開始于構(gòu)造目標端口組Q。這是屬于一個特定VLAN的幀必須被轉(zhuǎn)發(fā)到的端口組�。假定于端口P接收到的幀屬于VLAN VID。如果必須用所述幀進行淹沒操作(flood)�����,則Q包含任何是VID的標記組���、未標記組或封裝組的成員的出站端口或存取端口���。下一步驟為當且僅當P是屬于VID的標記組與封裝組兩者的匯聚端口的入站端口時,縮減Q�。在此情況下���,如果所接收的幀為標記型幀,則將在VID的封裝組中卻不屬于VID的標記組的每個端口均從Q移除����,或者如果所接收的幀為封裝型幀,則將在VID的標記組或未標記組中卻不屬于VID的封裝組的每個端口均從Q移除�。由于入站端口屬于VID的LAN區(qū)段類型組中的兩者,入站端口必須接收各個LAN區(qū)段類型的幀��,因而有理由縮減目標端口組���。傳送點協(xié)議的特性保證了縮減過程決不會導致空的目標端口組����??s減到空的目標組意味著橋接器接收了不該接收的幀。
轉(zhuǎn)發(fā)過程中的下一步驟是針對接收到的幀構(gòu)造一個轉(zhuǎn)發(fā)組���。此即由于在端口P處接收到屬于VID的幀而要轉(zhuǎn)發(fā)的一組幀���。它們是將通信量從VLAN的一個LAN區(qū)段傳送到另一LAN區(qū)段所必需的幀。圖3中所示的表被用來構(gòu)造轉(zhuǎn)發(fā)組��。在P處接收到的幀屬于VID的K類LAN區(qū)段(標記、未標記或封裝)���。類似地�����,Q中的每個端口均屬于一類LAN區(qū)段,即����,其所屬的VID端口組類型。匯聚端口可具有兩類組標記與封裝��。對于Q中的每一端口q�,根據(jù)圖3表中的規(guī)則(K,K′)將一幀添加到轉(zhuǎn)發(fā)組�,其中K′為q所屬的一類VID端口組。
用于針對所接收的幀構(gòu)造轉(zhuǎn)發(fā)組的規(guī)則如下(1)將所接收的幀添加到轉(zhuǎn)發(fā)組���。
(2)將VLAN標記VID-T添加到所接收的幀���;將所得結(jié)果添加到轉(zhuǎn)發(fā)組。
(3)使用VID的安全關(guān)聯(lián)將所接收的幀加密地封裝����;用VID-E VLAN標記所得幀并將其添加到轉(zhuǎn)發(fā)組��。
(4)從所接收的幀中移除VID-T將未標記的幀添加到轉(zhuǎn)發(fā)組���。
(5)使用VID的安全關(guān)聯(lián)將所接收的幀的密文解密;所得幀未加標記并被添加到轉(zhuǎn)發(fā)組�。
(6)使用VID的安全關(guān)聯(lián)將所接收的幀的密文解密;用VID-T標記所得幀并將其添加到轉(zhuǎn)發(fā)組�����。
在當前的優(yōu)選實施例中��,在任何轉(zhuǎn)發(fā)組中可至多有三個幀�����,以對應于可代表一VLAN的三類不同的LAN區(qū)段�����。轉(zhuǎn)發(fā)過程按如下方式轉(zhuǎn)發(fā)所述轉(zhuǎn)發(fā)組的幀(1)轉(zhuǎn)發(fā)過程將轉(zhuǎn)發(fā)組中的未標記型幀(如果有的話)排隊��,以供在Q中的屬于VID的未標記組的每個端口處進行傳輸����。
(2)轉(zhuǎn)發(fā)過程將轉(zhuǎn)發(fā)組中的VLAN標記型幀(如果有的話)排隊���,以供在Q中的屬于VID的標記組的每個端口處進行傳輸。
(3)轉(zhuǎn)發(fā)過程將轉(zhuǎn)發(fā)組中的封裝型幀(如果有的話)排隊����,以供在Q中的屬于VID的封裝組的每個端口處進行傳輸。
幀傳送在一橋接加密VLAN內(nèi)�,采取措施以消除在表示相同VLAN的LAN區(qū)段之間的冗余傳送過程。例如�����,在橋接VLAN中需要避免不止一次地將未封裝幀傳送到VLAN的封裝區(qū)段���,原因在于每次傳送都要求加密。封裝過程應僅進行一次���,并為所有橋接器的屬于VLAN的封裝組的所有出口端口(egress port)所共享��。類似地���,希望避免經(jīng)過橋接器時反復的拆封�,因為每次都要求解密�����。
例如�����,就圖4的橋接LAN來說����。假定無線匯聚鏈接43所連接到的橋接器1(41)和2(42)的端口屬于VLAN B 44的封裝組。如果匯聚鏈接45僅傳送VLAN標記型幀�。則屬于VLAN B且于橋接器1處所接收的幀必須在橋接器1和2處被封裝。然而���,如果匯聚鏈接傳送封裝型幀�����。則僅需要在橋接器1處進行封裝而橋接器2可共享其���。
仍存在在橋接LAN中封裝過程進行地過早從而毫無必要地經(jīng)由匯聚鏈接發(fā)送封裝型幀的情況。對于每個VLAN均存在一個可將加密操作減至最少的封裝與拆封的傳送點。傳送點協(xié)議(下文將論述)推斷出區(qū)段之間的此傳送點����。
傳送點協(xié)議最小生成樹算法可將任何橋接LAN簡化為一生成樹,所述生成樹的節(jié)點為橋接器且其邊緣為匯聚鏈接�。生成樹導出橋接器的偏序(partial order)。例如����,假設(shè)偏序為B1<B2,其中在所述生成樹中橋接器B1為B2的父節(jié)點�����。最小的橋接器為所述生成樹的根橋接器組與偏序一同定義一個完整的偏序集(partially ordered set)�。橋接器的每個非空子集都具有一個最小上界。
就在生成樹根部接收到的幀來說�����,要求接收到的VLAN幀屬于代表所述VLAN的LAN區(qū)段之一的所有橋接器的最小上界即為將所接收幀轉(zhuǎn)換成該LAN區(qū)段的幀的傳送點���。
傳送點協(xié)議(TPP)包含兩個鏈路層協(xié)議,TPP-T用于將出站匯聚端口添加到VLAN的標記組����,而TPP-E用于將出站匯聚端口添加到VLAN的封裝組�����。所述匯聚端口遍布于橋接所述VLAN的所有橋接器中���。例如,TPP-E判定了將圖4中的橋接器1連接到橋接器2的出站匯聚端口必須是VLAN B的封裝組的一個成員���。以此方式�,橋接器2處的無線匯聚端口可共享由橋接器1為其出站無線匯聚端口所執(zhí)行的封裝���。
TPP假設(shè)每個存取鏈路端口在執(zhí)行之前都已被分配至VLAN的標記��、未標記或封裝組�����,原因在于TPP要使用此信息來推斷橋接VLAN中的出站匯聚端口所屬的組��。TPP-E可將一出站匯聚端口分配至VLAN的封裝組����,而TPP-T可將相同的出站端口分配至VLAN的標記組。
TPP具有兩種幀類型通告幀與應答幀�。每一所述幀皆含有一個VLAN ID與一個源橋接器路由選擇通路,其中所述通路中的每一項是含有一個橋接器MAC地址及三個比特(其中每個比特用于每一LAN區(qū)段類型����,即,標記���、未標記和封裝)的獨特對組��。當且僅當定址于所述對組中的橋接器具有一處于所述幀中所特定指出的VLAN的標記組中的存取端口時����,所述標記比特才為高�。以類似方式設(shè)定所述未標記和封裝比特。
一橋接器針對其所知的每個VLAN經(jīng)由其每個出站匯聚端口將一TPP通告幀(例如��,GARP PDU)發(fā)送到一TPP組地址(例如��,GARP應用地址)�����。當一橋接器接收到一通告幀�����,其將其自身的有關(guān)所接收的指定VLAN的對組附加到通路右側(cè)��,并將所述幀轉(zhuǎn)發(fā)到其除了接收匯聚端口之外的每個啟用的出站匯聚端口�����。如果其不具有其它此類端口����,則其將最終路由選擇通路和所接收的VID置于一TPP應答幀中發(fā)送到在路由選擇通路中先于其的MAC地址。通告幀的起始橋接器創(chuàng)建一個僅由其自身的對組所組成的通路�����。當橋接器在一入站匯聚端口上接收到一TPP應答幀時���,其將該應答幀轉(zhuǎn)發(fā)到在通路中先于其的橋接器MAC地址���。如果沒有,則所述幀會被丟棄����。
TPP-E當一橋接器在匯聚端口上接收到一TPP應答幀時�����,其將匯聚端口的出站端口添加到所述幀中的VID的封裝組�����,此操作的條件為當且僅當在路由選擇通路中其后的橋接器B的封裝比特為高�,且a)接收橋接器具有所述VID的標記或未標記存取端口�����,且在路由選擇通路中于所述橋接器之后(直至且包括B)沒有任何橋接器具有高的標記或未標記比特�;或b)接收橋接器具有所述VID的封裝存取端口,或在路由選擇通路中在所述接收橋接器之前為一具有高封裝比特的橋接器����。
TPP-T當一橋接器在匯聚端口上接收到一TPP應答幀時,其將所述匯聚端口的出站端口添加到所述幀中的VID的標記組�,此操作的條件為當且僅當在路由選擇通路中其后的橋接器B的標記或未標記比特為高,且a)接收橋接器具有所述VID的封裝存取端口���,且在路由選擇通路中于所述橋接器之后(直至且包括B)沒有任何橋接器具有高的封裝比特�����;或b)接收橋接器具有所述VID標記或未標記存取端口����,或在路由選擇通路中在所述接收橋接器之前為一具有高的標記或未標記比特的橋接器����。
實例實例1就橋接單一VLAN來說。假定每個存取端口皆屬于此VLAN���。因而���,在實例中省略了端口的VLAN標簽。而是出站匯聚端口被標簽為LAN區(qū)段類型��,即T(標記)���、U(未標記)和E(封裝)�����。如果一出站端口被標簽為(例如)U��,則所述端口屬于VLAN的末標記組��。
最初����,根據(jù)VLAN的每個存取端口所屬的組類型而為其加標簽(label)。匯聚端口最初是未標簽的���。TPP負責為所述匯聚端口推斷標簽�。圖5展示VLAN 50的橋接����,其中兩個橋接器51、52通過匯聚鏈接53而彼此相連接�。每個橋接器具有兩個存取端口。因為每個橋接器具有未標記與封裝存取端口��,所以TPP推斷所述匯聚鏈接的出站端口屬于VLAN的標記和封裝組兩者��。各個入站端口也屬于這些組����。
各個出站端口為根據(jù)TPP-T(b)規(guī)則的標記組的成員。當各個橋接器起始一TPP通告幀時����,其推斷出此事實����。因此����,由每個橋接器所執(zhí)行的加密與解密均可與另一橋接器共享���。
實例2在圖6中�����,橋接器1(61)具有—未標記存取端口�,且橋接器2(62)具有一封裝存取端口��。因此�,橋接器1的出站端口63為根據(jù)TPP-E(a)規(guī)則的封裝組的成員,而橋接器2的出站端口64為根據(jù)TPP-T(a)規(guī)則的標記組的成員����。
實例3圖7說明一純封裝匯聚鏈接。該鏈接上的所有的幀均經(jīng)封裝�����,然而,在橋接器2或3處并未進行加密���。
圖8展示當圖7的橋接器1(71)向VLAN起始通告幀時(假定其在此實例中稱為“B”)���,橋接器1(71)、2(72)和3(73)之間的TPP消息交換��。
實例4如果互換圖7中橋接器1(71)和2(72)�����,則結(jié)果得到圖9的橋接加密VLAN��。
實例5圖10展示具有三個匯聚端口的橋接器82�,各個匯聚端口連接到另一橋接器81、83��、84��。從橋接器4(84)的匯聚端口的出站端口屬于標記和封裝組�,而連接到橋接器4的入站端口的橋接器2(82)的出站端口僅為封裝組的成員。
TPP可重復地運行以推斷傳送點的變化����。其運行頻率及其所影響橋接器的數(shù)量取決于存取鏈路的移位����。例如��,如果一端站為無線的����,則所述端站相對于所述橋接LAN的移動可引起其封裝存取鏈路被重定位�。直至重新運行TPP,VLAN都會有冗余傳送��。
一橋接VLAN可由不參與TPP的橋接器組成�����。一般而言����,可能存在一或多個具有連接到傳統(tǒng)VLAN橋接器的匯聚端口的加密VLAN橋接器。如果相反地將各個此類匯聚端口看作虛擬標記存取端口(一端口對應每個可經(jīng)由匯聚鏈接發(fā)送的VLAN標記)的集合����,則仍可運行TPP以在參與橋接器之間推斷傳送點。然而,在整個橋接LAN上可能存在冗余的傳送���。例如��,如果—未參與的核心交換機將兩個加密VLAN橋接器(各具有一個在相同VLAN的封裝組中的存取端口)相分離���,則在這些封裝區(qū)段之間的通信量一旦進入所述核心交換機會被解密且接著在離開之后會被重新加密?��?捎^察到如果核心交換機中沒有任何屬于VLAN的標記或未標記組的存取端口��,則無需加密或解密步驟���。在此情形中,TPP可將用于各個VLAN標記的虛擬存取端口當作一封裝存取端口而非標記存取端口�。而后,兩個封裝區(qū)段之間的所有通信量均可作為封裝型幀透明地穿過核心交換機���,因為每個封裝型幀都是VLAN-標記型幀����。
群組安全性一個加密VLAN v定義為具有獨特安全關(guān)聯(lián)的m個站之群組����。所述關(guān)聯(lián)由下述內(nèi)容組成a)一加密密鑰Kv��;b)一認證碼密鑰K′v���;c)一分配密鑰K″v;及
d)m個隨機值R1�、R2、...Rm����。
所述加密密鑰為由可識別v的橋接器(v-aware bridge)和v的站用來加密并解密屬于v的幀的對稱密鑰。所有可識別v的橋接器和v的站均使用K′v對v的經(jīng)加密幀進行認證碼計算和驗證����。
m個站中的每個站都有一個隨機值����。所述群組的第j個站了解除了Rj之外的所有的m個隨機值。其所知的m-1個隨機值是由可識別v的橋接器傳遞給其的���。通過使用分配密鑰K″v的加密來確保所述隨機值的私密性�,同時由使用認證碼密鑰K′v對所得密文進行計算得的認證碼來確保其真實性�。
加入一個加密VLAN加入一個加密VLAN是由一個兩步規(guī)程來實現(xiàn)將一個新的站添加入所述群組����;并且啟用所述群組中的所有其它站以隨后消除所述新的站�。
一個用戶的站通過一個雙向認證協(xié)議而加入一加密VLAN v,所述雙向認證協(xié)議在用戶(經(jīng)由所述站)與駐留在識別v的橋接器上的認證器(authenticator)之間執(zhí)行�。如果雙向認證成功,則在所述橋接器與新的站之間創(chuàng)建一個安全短暫信道(secureephemeral channel)以將Kv�、K′v、及R1����、R2...Rm安全地從橋接器傳送到所述站。接著�,執(zhí)行所述加入規(guī)程的第二步驟。否則��,所述靚程立即終止��。在所述第二步驟中���,相同的可識別v的橋接器為新的站選擇一個新的隨機值Rm+1�����,并將其置于一個廣播幀中分配到所有可識別v的橋接器和組成v的站�,該廣播幀根據(jù)K″v加密并攜帶有使用K′v對密文進行計算所得的認證碼,而后����,橋接器為v創(chuàng)建一個新的分配密鑰并將其置于一個廣播幀中分配到所有可識別v的橋接器及v的成員(包括所述新站),該廣播幀根據(jù)Kv加密并攜帶有使用K′v對密文進行計算所得的認證碼����。
盡管所述新站可驗證含有其自身隨機值Rm+1的廣播的真實性,但是由于所述新站不擁有密鑰K″v��,因而無法解密所述廣播����。
離開加密VLAN所述站的子群(subgroup)可同時(可能偶然地)離開加密VLAN v。假定一個群組的站1��,...��,k離開�����。當此情況產(chǎn)生時���,一個可識別v的橋接器偵測此情況且而后經(jīng)由單一廣播幀來通告站1�,...����,k的離開,所述單一廣播幀包括使用K′v對所述幀進行計算所得的認證碼���。此廣播將站1��,...�,k的離開通報給每個可識別v的橋接器和所述群組中的每個站����。而后,每個此類橋接器和站試圖將v的加密密鑰�����、認證碼密鑰和分配密鑰進行密鑰更新(rekey)����,該等密鑰各自作為舊密鑰和隨機值R1,...�,Rk的函數(shù)。結(jié)果�����,v中的每個可識別v的橋接器和所有剩余站將共享新的安全關(guān)聯(lián),并包括較少的k個隨機值��。
與站不同����,每個可識別v的橋接器總是具有v的當前分配密鑰。因此每個此類橋接器總是具有任何離開v的子群的的隨機值的全集����,從而允許其總可將v的密鑰進行密鑰更新。然而���,對于所述站來說�����,情形不同���。密鑰更新是這些站所不具有的離開的站的隨機值的函數(shù)。因此��,其無法進行密鑰更新�。此外,保證了轉(zhuǎn)發(fā)機密(forward secracy)��。由于隨后進行的密鑰更新��,一已離開的站無法再次成為v的組成部分���。其原因在于密鑰更新是當前密鑰的函數(shù).此意味看此后到達的所有密鑰將總是此站所未知的隨機值的函數(shù)����。僅可通過再加入v才能使此站再次成為v的成員�。
盡管已參考優(yōu)選實施例對本發(fā)明加以描述,但是所屬領(lǐng)域技術(shù)人員易了解在不脫離本發(fā)明的精神及范疇的前提下�����,其它應用可替代本文中所陳述應用�����。因此��,本發(fā)明應僅由上文所包括的權(quán)利要求所限定�。
權(quán)利要求
1.一種擴展VLAN橋接語義的方法,其包含如下步驟提供根據(jù)IEEE 802.1Q VLAN橋接模型的一未標記型幀和一標記型幀;提供一加密封裝型幀�����,其中每個封裝型幀具有一VLAN標記�����,所述VLAN標記不同于屬于所述VLAN的標記型幀中所使用的標記��;提供一匯聚端口�,所述匯聚端口被分為入站匯聚端口與出站匯聚端口;為表示一橋接加密VLAN的每個區(qū)段提供所述未標記���、標記和封裝幀類型中的一個類型�����;并且在一相同VLAN的一未封裝區(qū)段(標記或未標記)與一封裝區(qū)段之間傳送通信量����。
2.根據(jù)權(quán)利要求1所述的方法�����,其進一步包含如下步驟將每個VLAN與兩個獨特的VLAN標記相關(guān)聯(lián),所述兩個獨特的VLAN標記包含用于所述VLAN的標記型幀內(nèi)的VID-T與用于所述VLAN的封裝型幀內(nèi)的VID-E�����。
3.根據(jù)權(quán)利要求1所述的方法�����,其中對于每個VLAN�����,存在一獨特的安全關(guān)聯(lián)���,所述安全關(guān)聯(lián)包含一用于檢查被標記為屬于所述VLAN的幀的完整性與真實性的加密認證碼密鑰和一用于確保屬于所述VLAN的所有幀的私密性的加密密鑰。
4.根據(jù)權(quán)利要求1所述的方法���,其中所述封裝型幀是根據(jù)一加密然后MAC方法來封裝的��,該方法包含以下步驟加密一幀的一數(shù)據(jù)負載��;和由一所得密文和所述幀的序號來計算出一消息認證碼��。
5.根據(jù)權(quán)利要求1所述的方法�����,其中端口的一標記組����、一未標記組和一封裝組與每個VLAN相關(guān)聯(lián)。
6.根據(jù)權(quán)利要求1所述的方法�,其進一步包含如下步驟通過使用一VLAN的一安全關(guān)聯(lián)來驗證標記為屬于所述VLAN且在所述VLAN的封裝組中的一端口處接收到的每個幀的真實性和完整性。
7.根據(jù)權(quán)利要求6所述的方法�,其進一步包含如下步驟為所述端口提供一入口過濾規(guī)則以判定是否進行驗證。
8.根據(jù)權(quán)利要求6所述的方法����,其進一步包含如下步驟在從所述VLAN的封裝組中的一端口發(fā)送屬于所述VLAN的標記與未標記幀之前,使用所述關(guān)聯(lián)將其加密地封裝�。
9.一種用于在橋接加密VLAN中發(fā)送幀的裝置,其包含至少兩個橋接器�����;復數(shù)個匯聚鏈接��,其中所述匯聚鏈接中的每個匯聚鏈接均與所述至少兩個橋接器中的一個橋接器的入站匯聚端口及所述至少兩個橋接器中的另一個橋接器的出站匯聚端口相關(guān)聯(lián)��。復數(shù)個存取端口���;復數(shù)個存取鏈路���,其中所述存取鏈路中的每個存取鏈路與所述存取端口中的一個存取端口相關(guān)聯(lián)�;和用于將所述VLAN代表為不同的封裝區(qū)段的構(gòu)件�����,盡管所述不同的封裝區(qū)段共享相同的媒介��,其中所述VLAN的物理分離為加密性的����。
10.根據(jù)權(quán)利要求9所述的裝置���,其進一步包含一與所述存取端口中的至少一個端口相關(guān)聯(lián)的入口過濾規(guī)則��,其用于規(guī)定真實性檢查�����,其中使用一相關(guān)VLAN的一安全關(guān)聯(lián)來認證于所述存取端口中的所述一個端口處接收的一個幀�����;其中����,如果認證成功,那么所述幀被判定為所述相關(guān)VLAN的一封裝區(qū)段的一成員��。
11.根據(jù)權(quán)利要求10所述的裝置����,其中與所述存取端口中的至少一個端口相關(guān)聯(lián)的所述入口過濾規(guī)則規(guī)定了針對所述VLAN中的某些VLAN進行認證及完整性檢查。
12.根據(jù)權(quán)利要求11所述的裝置�����,其進一步包含一認證碼����,其是通過使用所述安全關(guān)聯(lián)由一所接收幀的密文和序號計算而得的;其中����,如果所述認證碼與所述幀中的一所接收認證碼不相匹配,那么所述幀被丟棄��;且其中����,否則所述幀被判定為屬于一相關(guān)VLAN的一封裝區(qū)段��。
13.根據(jù)權(quán)利要求9所述的裝置�����,其進一步包含一或多個用于為在一入站端口處所接收的一個幀構(gòu)造一個目標端口組的規(guī)則����,所述入站端口屬于一VLAN的標記和封裝組����;其中�����,如果所述幀為標記型���,那么移除所述VLAN的封裝組中并非所述VLAN的標記組成員的每個端口�;且其中���,如果所述幀為封裝型�,那么移除所述VLAN的標記組或未標記組中并非所述VLAN的封裝組成員的每個端口。
14.根據(jù)權(quán)利要求9所述的裝置����,其進一步包含;一或多個用于為一所接收幀構(gòu)造一轉(zhuǎn)發(fā)組的規(guī)則�����,所述規(guī)則可包含如下任意步驟將一所接收幀添加到所述轉(zhuǎn)發(fā)組���;將一VLAN標記添加到一所接收幀�;將結(jié)果添加到所述轉(zhuǎn)發(fā)組�����;使用一安全關(guān)聯(lián)將一所接收的幀加密地封裝����;一所得的幀經(jīng)VLAN標記并被添加到所述轉(zhuǎn)發(fā)組;從一所接收的幀中移除一VLAN標記��;將一未標記幀添加到所述轉(zhuǎn)發(fā)組���;使用一安全關(guān)聯(lián)將一所接收幀的密文解密����;一所得幀未經(jīng)標記并被添加到所述轉(zhuǎn)發(fā)組;且使用一安全關(guān)聯(lián)將一所接收幀的密文解密�;一所得幀被標記并被添加到所述轉(zhuǎn)發(fā)組。
15.一種用于轉(zhuǎn)發(fā)一轉(zhuǎn)發(fā)組中的幀的方法���,所述轉(zhuǎn)發(fā)組是相對于用于一VLAN的一所接收幀的目標端口組來定義的����,其包含如下步驟將所述轉(zhuǎn)發(fā)組中的一未標記幀(如果有的話)排隊�����,以供在所述目標組中屬于該VLAN的未標記組的每個端口處進行傳輸��;將所述轉(zhuǎn)發(fā)組中的一VLAN標記型幀(如果有的話)排隊�,以供在所述目標組中屬于該VLAN的標記組的每個端口處進行傳輸��;和將所述轉(zhuǎn)發(fā)組中的一封裝型幀(如果有的話)排隊����,以供在所述目標組中屬于所述VLAN的封裝組的每個端口處進行傳輸。
16.一種用于消除一橋接加密VLAN中的LAN區(qū)段間的冗余傳送的方法���,其包含以下步驟在一其中每次傳送均要求加密的橋接VLAN中����,避免將一未封裝的幀不止一次地傳送到一VLAN的封裝區(qū)段;執(zhí)行一次封裝�����,所述封裝由所有橋接器上的屬于所述VLAN的封裝組的所有出口端口所共享���;并且避免經(jīng)過所述橋接VLAN中的橋接器時反復地拆封���,其中每次拆封都要求解密。
17.一種用于確定代表一橋接加密VLAN的LAN區(qū)段間的最優(yōu)傳送點的方法����,其包含如下步驟將任何橋接LAN簡化為一生成樹,所述生成樹的節(jié)點為所述橋接器且其邊緣為匯聚鏈接��,以將一偏序引入所述橋接器�����;其中一最小橋接器為所述生成樹的根;其中所述橋接器組與一偏序一同定義一完整的偏序集��;且其中所述橋接器的每個非空子集都具有一最小上界��;其中要求一VLAN的一所接收幀屬于代表所述VLAN的所述LAN區(qū)段中一個區(qū)段的所有橋接器的所述最小上界為一將所接收幀轉(zhuǎn)換為用于所述LAN區(qū)段的幀的最優(yōu)傳送點���;且從將所述橋接VLAN中的橋接器存取端口分配到所述LAN區(qū)段可自動推斷出必須與一給定出站匯聚端口相關(guān)聯(lián)以便橋接所述VLAN的最小的LAN區(qū)段組����。
18.一種用于在一橋接加密VLAN中實施一傳送點協(xié)議(TPP)的裝置�����,其包含至少兩個橋接器復數(shù)個匯聚鏈接�,其中所述匯聚鏈接中的每個匯聚鏈接均與所述至少兩個橋接器中的一個橋接器的一入站匯聚端口及所述至少兩個橋接器中的另一個橋接器的一出站匯聚端口相關(guān)聯(lián);復數(shù)個存取端口���;復數(shù)個存取鏈路����,其中所述存取鏈路中的每個存取鏈路與所述存取端口中的一個存取端口相關(guān)聯(lián)��;和用于將所述VLAN代表為不同的封裝區(qū)段的構(gòu)件�����,盡管所述不同的封裝區(qū)段共享相同的媒介��,其中所述VLAN的物理分離為加密性的����;兩個鏈路層協(xié)議,一第一鏈路層協(xié)議(TPP-T)���,其用于將出站端口添加到一VLAN的標記組�,及一第二鏈路層協(xié)議(TPP-E)�,其用于將出站端口添加到一VLAN的封裝組;和其中在執(zhí)行之前���,將每個存取端口都分配到一VLAN的一標記����、未標記或封裝組���。
19.根據(jù)權(quán)利要求18所述的裝置�����,所述傳送點協(xié)議(TPP)進一步包含兩個幀類型���,所述幀類型中的一個包含一通告幀��,且所述幀類型中的另一個包含一應答幀�����;其中所述幀中的每個幀含有一VLAN ID和一源橋接器路由選擇通路�,其中所述通路的每一項為含有一橋接器MAC地址及三個比特的獨特對組�����,其中每個比特用于一個LAN區(qū)段類型����,其中,當且僅當所述對組中定址的一橋接器具有處于所述幀中所特定指出的所述VLAN的標記組中的一存取端口時�����,所述標記比特為高���;且其中,類似地對所述未標記和封裝比特加以設(shè)定。
20.一種在一橋接加密VLAN中的傳送點協(xié)議(TPP)�,其包含如下步驟一橋接器針對其所知的每個VLAN經(jīng)由其每個匯聚端口將一TPP通告幀發(fā)送到一TPP組地址�����;當一橋接器接收到一通告幀�,其將其自身的有關(guān)所接收的VLAN ID的項附加到所接收的路由選擇通路,并將所述幀轉(zhuǎn)發(fā)到其除了接收匯聚端口之外的每個啟用的出站匯聚端口���;其中如果所述橋接器不具有其它此類端口�,則所述橋接器將一最終路由選擇通路和所述所接收的VLAN ID置于一TPP應答幀中發(fā)送到在所述路由選擇通路中先于所述橋接器的MAC地址��;一通告幀的一起始橋接器創(chuàng)建一僅由其自身的項組成的通路���;當一橋接器接收一TPP應答幀時��,所述橋接器將所述應答幀轉(zhuǎn)發(fā)到在所述路由選擇通路中先于所述橋接器的橋接器MAC地址���;且如果不存在所述橋接器MAC地址,那么丟棄所述幀����。
21.根據(jù)權(quán)利要求20所述的協(xié)議����,其中當一橋接器在一入站匯聚端口上接收到一TPP應答幀時���,所述橋接器將對應于所述入站匯聚端口的出站端口添加到所述幀中的VLAN ID的封裝組�,此操作的條件為當且僅當在所述路由選擇通路中所述橋接器之后有具有一封裝存取端口的另一橋接器����,且所述橋接器具有用于所述VLAN ID的一標記或未標記存取端口,且在所述路由選擇通路中于所述橋接器之后��,直至所述另一橋接器且包括所述另一橋接器����,沒有任何橋接器具有一標記或未標記存取端口;或所述橋接器具有用于所述VLAN ID的一封裝存取端口��,或在所述路由選擇通路中于所述橋接器之前為另一具有一封裝存取端口的橋接器���。
22.根據(jù)權(quán)利要求20所述的協(xié)議�����,其中當一橋接器在一入站匯聚端口上接收到一TPP應答幀時�����,所述橋接器將對應于所述入站匯聚端口的出站端口添加到所述幀中的VLAN ID的標記組����,此操作的條件為當且僅當在所述路由選擇通路中所述橋接器之后有具有一標記或未標記存取端口的另一橋接器���,且所述橋接器具有用于所述VLAN ID的一封裝存取端口����,且在所述路由選擇通路中于所述橋接器之后���,直至所述另一橋接器且包括所述另一橋接器�,沒有任何橋接器具有一封裝存取端口����;或所述橋接器具有用于所述VLAN ID的一標記或未標記存取端口,或在所述路由選擇通路中于所述橋接器之前為另一具有一標記或未標記存取端口的橋接器�����。
23.根據(jù)權(quán)利要求20所述的協(xié)議���,其中一匯聚端口的所述出站端口被處理為一組虛擬的標記存取端口����,其中一個所述標記存取端口用于每個由所述匯聚端口所支持的VLAN;一組虛擬的封裝存取端口��,其中一個所述封裝存取端口用于每個由所述匯聚端口所支持的VLAN��;一組虛擬的封裝或虛擬的標記存取端口�����,其中一個所述標記或封裝存取端口用于每個由所述匯聚端口所支持的VLAN���。
24.一種用于一橋接加密VLAN中的存取鏈路移位的協(xié)議�,其包含如下步驟識別可與一移位的存取鏈路相關(guān)聯(lián)的所述橋接VLAN的一橋接器的一存取端口����,其中所述存取端口可為虛擬的并自動創(chuàng)建的;基于所述移位的存取鏈路的一區(qū)段類型自動地將所述存取端口分配至一LAN區(qū)段類型�����;和在所述存取端口屬于所述經(jīng)分配LAN區(qū)段類型時為所述橋接VLAN執(zhí)行一傳送端口協(xié)議(TPP)。
25.一種為一包含m個站的加密VLAN建立一群組安全關(guān)聯(lián)的方法��,其包含以下步驟提供一加密密鑰Kv��,其中所述加密密鑰是一個由可識別v的橋接器和v的站用來加密并解密屬于v的幀的對稱密鑰�����;提供一個認證碼密鑰K¢v�����,其中所有可識別v的橋接器和v的站使用K¢v而由經(jīng)加密的幀計算并驗證認證碼����;提供一分配密鑰K¢¢v��;且提供m個隨機值R1�、R2、...�����、Rm�����,其中每個隨機值用于所述m個站中的每個站,其中所述群組中的第i個站了解除了Ri之外的所有m個隨機值�����,其中為所述第i個站所知的所述m-1個隨機值是由一可識別v的橋接器傳遞給其的��;其中通過使用所述分配密鑰K¢¢v進行加密來確保所述隨機值的私密性����,同時通過使用所述認證碼密鑰K¢v由一所得密文計算得到的一認證碼來確保所述隨機值的真實性。
26.一種加入一加密VLAN的方法�����,其包含如下步驟將一個新的站添加到一群組���;和啟用所述群組中的所有其它站以隨后消除所述新的站���。
27.根據(jù)權(quán)利要求26所述的方法,所述將一新的站添加到一群組中的步驟進一步包含如下步驟一個用戶的站通過一個雙向認證協(xié)議而加入一加密VLAN v���,所述雙向認證協(xié)議在經(jīng)由所述站的所述用戶與一駐留在一可識別v的橋接器上的認證器之間執(zhí)行�����;其中����,如果雙向認證成功,那么在所述可識別v的橋接器與所述新的站之間創(chuàng)建一個安全短暫信道(secure ephemeral channel)以將一加密密鑰Kv����、一認證碼密鑰K¢v及m個隨機值R1、R2����、...��、Rm安全地從所述可識別v的橋接器傳送到所述新的站����,在此情形中執(zhí)行所述啟用步驟;否則����,所述協(xié)議立即終止。
28.根據(jù)權(quán)利要求27所述的方法�,所述啟用所述群組中的所有其它站以隨后消除所述新的站的步驟進一步包含如下步驟所述可識別v的橋接器為所述新的站選擇一新的隨機值Rm+1,并將所述新的隨機值Rm+1置于一廣播幀中分配到所有可識別v的橋接器和組成v的站,所述廣播幀是根據(jù)一分配密鑰K¢¢v加密并攜帶一使用K¢v由密文計算得的認證碼��;而后���,所述橋接器為v創(chuàng)建一新的分配密鑰����,并將所述新的分配密鑰置于一廣播幀中分配到所有可識別v的橋接器及包括所述新站的v的成員��,所述廣播幀是根據(jù)Kv加密并攜帶一使用K¢v由所述密文計算得的認證碼����。
29.根據(jù)權(quán)利要求28所述的方法,其中所述新的站可驗證一含有其自身隨機值Rm+1的廣播的真實性����,但由于其并不具有密鑰K¢¢v,因而其無法解密所述廣播����。
30.一種用于離開一加密VLAN的方法,其包含如下步驟用一可識別v的橋接器檢測同時離開一加密VLAN v的站1�、...、k的一子群�;所述可識別v的橋接器經(jīng)由一單個廣播幀來通告所述站1�,...�����,k的離開��,所述單個廣播幀包含一使用一認證碼密鑰K¢v由所述幀計算得的認證碼�,其中,所述廣播將站1���,...��,k的離開通報給每個可識別v的橋接器和群組v中的站����;而后�,每個此類橋接器和站試圖將用于v的加密密鑰���、認證碼密鑰和分配密鑰進行密鑰更新����,所述密鑰各自作為一舊密鑰和隨機值R1����,...�,Rk的函數(shù)��;和結(jié)果����,群組v中的每個可識別v的橋接器和所有剩余站將共享一新的安全關(guān)聯(lián),其中包括較少的k個隨機值���。
31.根據(jù)權(quán)利要求30所述的方法��,其中每個可識別v的橋接器總是具有v的一個當前分配密鑰�����;且其中每個可識別v的橋接器總是具有離廠群組v的任何子群的一隨機值全集��,從而允許其總是可對群組v的所述密鑰進行密鑰更新��。
32.根據(jù)權(quán)利要求30所述的方法�,其中對于所述站而言�����,密鑰更新是所述站所不具有的離開的站的隨機值的一函數(shù),其中所述站無法進行密鑰更新�����。
33.根據(jù)權(quán)利要求30所述的方法�,其中歸因于隨后進行的密鑰更新,一個已離開的站無法再次成為群組v的一個成員�,其原因在于密鑰更新是當前密鑰的一個函數(shù),且此后到達的所有密鑰將總是所述離開的站所未知的一隨機值的函數(shù)��。
34.根據(jù)權(quán)利要求30所述的方法���,其中一離開的站僅可通過重新加入v才能再次成為v的一個成員�。
全文摘要
本發(fā)明包含IEEE 802.1Q VLAN橋接模型的三種擴展����。第一擴展為在匯聚鏈接上的VLAN加密分離。本發(fā)明中引入一稱為封裝LAN區(qū)段的LAN區(qū)段類型�。此區(qū)段上所有的幀均根據(jù)一加密和認證碼方案進行封裝。第二擴展為將匯聚端口分為入站端口與出站端口����。第三擴展是一種為橋接VLAN中的各個出站端口自動推斷該端口的一組LAN區(qū)段類型的協(xié)議���,其可最小化在橋接VLAN中傳遞一幀所要求的在封裝與未封裝區(qū)段之間進行傳送的數(shù)量�����。
文檔編號H04L12/46GK1708940SQ200380102443
公開日2005年12月14日 申請日期2003年10月30日 優(yōu)先權(quán)日2002年11月1日
發(fā)明者丹尼斯·邁克爾·沃爾帕諾, 新華·J·趙 申請人:克雷耐特系統(tǒng)公司