CN1762123A - 使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置 - Google Patents

使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置 Download PDF

Info

Publication number
CN1762123A
CN1762123A CNA2004800073308A CN200480007330A CN1762123A CN 1762123 A CN1762123 A CN 1762123A CN A2004800073308 A CNA2004800073308 A CN A2004800073308A CN 200480007330 A CN200480007330 A CN 200480007330A CN 1762123 A CN1762123 A CN 1762123A
Authority
CN
China
Prior art keywords
node
network
file
type
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2004800073308A
Other languages
English (en)
Inventor
J·布吕斯特勒
M·塔克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Coco Communications Corp
Original Assignee
Coco Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Coco Communications Corp filed Critical Coco Communications Corp
Publication of CN1762123A publication Critical patent/CN1762123A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/44Star or tree networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/46Cluster building
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/16Flow control; Congestion control in connection oriented networks, e.g. frame relay
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/74Admission control; Resource allocation measures in reaction to resource unavailability
    • H04L47/746Reaction triggered by a failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • H04L47/782Hierarchical allocation of resources, e.g. involving a hierarchy of local and centralised entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/805QOS or priority aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/806Broadcast or multicast traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/828Allocation of resources per group of connections, e.g. per group of users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/246Connectivity information discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • H04W40/248Connectivity information update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02BCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
    • Y02B70/00Technologies for an efficient end-user side electric power management and consumption
    • Y02B70/30Systems integrating technologies related to power network operation and communication or information technologies for improving the carbon footprint of the management of residential or tertiary loads, i.e. smart grids as climate change mitigation technology in the buildings sector, including also the last stages of power distribution and the control, monitoring or operating management systems at local level
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种统一的网络模型,它具有配置为解决安全性、互操作性、移动性和资源管理问题,包括优先权和服务质量的结构和体系结构。网络模型的网络利用动态生成的路由表构建为分层网状网络。网络模型的配置优化路由并分布通信负荷。网络上的每个装置可同时充当端点和通信转发器。网络模型可包括以链路模型或星形模型这两个模型之一表示的基础网络。节点以分层关系结构组织,以便优化吞吐量。模型可包括动态分配局域网地址的加密方法。

Description

使未采用集中管理的匿名非信任方 之间的通信和资源共享安全的方法与装置
相关申请交叉引用
本呈请要求2003年1月24日提出的美国临时专利申请No.60/442328的利益,该申请通过引用全部结合于本文中。
背景
现在的通信需求已超出了当前***的能力。在语音和数据通信方面均需要更好的安全性,并且保护传输流的需要也在增加。这同样适用于多种无线电网状网络,这些网络因无线电技术如相控阵列天线技术的进步以及消费者与企业采用无线802.11接入点而变为可能。这种分散的公用网状网络取决于非信任方无需使用集中管理来共享并控制网络资源的能力。
虽然这些加强的需求连同提高可用性和可靠性的需要已将网络互操作性和统一性成了关注的中心(例如,一些通信和网络模型已在应用和操作***(OS)层次利用补丁程序来帮助满足其中一些需要),但此类措施单独不足以提供所需的安全和服务质量等级。
详细说明
下面将参照不同的实施例来描述本发明。以下说明提供了详尽的细节,以便透彻地理解并描述本发明的这些实施例。然而,本领域的技术人员会理解,本发明无需这些细节也可实现。在其他实例中,未显示或详细描述熟知的构件和功能,以免不必要地使对本发明实施例的说明不够清楚。
本说明书所用术语应以最广义的合理的方式加以理解,即便在该术语与对本发明的某些特定实施例的详细说明结合使用时也是如此。某些术语甚至可能在下面被强调;然而,如同在此详细说明部分中一样,旨在以任何受限方式理解的任何术语将被公开而明确地定义。
此外,本发明也存在于下述特征的进一步组合中。在一个实施例中描述的元素或特征当然也可在其他实施例中使用。
1.概述
下面的公开内容针对一个统一的网络模型,其结构和体系结构配置为解决安全性、互操作性、移动性和资源管理(包括优先权和服务质量(QoS))的问题。网络模型的网络利用动态生成的路由表构建为分层网状网络。网络上的每个设备能够同时作为端点和通信转发器。网络模型可包括以链路模型或星形模型这两个模型之一表示的基础网络。
术语“节点”用于指网络的有效构件。节点的性能可不同,但所有节点均遵循网络模型的基本路由协议。节点经任意数量的基础网络协议连接。所述网络模型支持允许将多组节点视为一个组的分层网络概念,从而允许动态路由机制可伸缩以适应任何规模。
网络模型采用基于电路的机制,以在非直接连接节点之间创建端对端连接。此机制类似于异步传输模式(ATM)。要进行通信的两个节点之一发送电路建立请求。此请求基于路由表和电路需求传递通过网络,电路因此请求而建立。一旦建立了电路,则沿该电路传播的所有分组均采用同一路径。
此电路机制使节点对更高层的端对端连接有一定了解。这允许将QOS等级附加到给定数据流。有关QOS策略的决定可在电路建立时作出。这些决定随后在电路存在期间实施。另外,路由对每电路而言是静态的,因此,电路一旦创建,分组路由便简单而高效。
建立电路所需的信息(包括节点间连通性和链路服务质量数据)借助分层动态路由协议通过网络传送。因此,每个节点只知道到其名称和其本地连通性。此信息以一种减少每个节点中所需维护数据量,同时为相当好的电路构建路由选择提供足够信息的方式通过网络传播。
加密方法在整个协议中使用,以确保在节点间移动的控制数据的安全性、真实性和正确性。这使得端对端用户数据传送是安全的,动态路由是防篡改的,QOS是可加密控制的,并且通常防止了网络上几乎所有的攻击,包括许多拒绝服务(DOS)攻击。信任假定是非常悲观的,但仍允许在许多非信任节点中完成有用工作。
网络模型的另一个重要概念是“文件”的概念。文件是由网络理解并用于作出决定的独立的、经加密签名的大量数据。诸如电路建立和动态路由等多数高层协议涉及文件交换。公钥分发机制就基于文件运行。
另外,将文件用于定义策略。这包括用户和组以及资源使用策略和授权。策略文件具有名称,因此,可通过策略名称引用策略。许多节点可共享同一策略,并跟踪策略更新。
使用文件需要一些机制来在整个网络中组织和分发文件,并且网络中确实存在专用于此的协议。另外,诸如路由更新等不依赖文件传送协议的一些文件采用通过网络移动自身的附加方式。
1.1 协议栈
参照附图,网络模型10的协议栈10不完全适合开放***互连(OSI)七层网络模型。这至少在一定程度上是因为节点获知更高层端对端连接的能力与逐跳路由选择能力之间的有意互相关。这种互相关允许实施详细的QOS。另外,在更低层嵌入安全功能,再次尝试赢得其他功能和集成。
协议栈10包括接口协议12,该协议是用于节点间通信的基础协议。接口协议12无需在整个网络中一致;实际上,它可能随节点或链路不同而不同,并且甚至可以有多个不同接口协议连接同一节点。
协议栈10包括接口协议12上的链路协议14。链路协议14负责启动与邻居的通信,确定邻居的名称,建立基本链路加密通信等。另外,链路协议14是QOS机制的基础。
协议栈10还可包括轻型可靠性协议16,以允许在不可靠的分组业务上实现可靠的有序流。可靠性协议16由***层和用户层协议使用,并且在协议栈10内的多个位置上使用。
协议栈10包括路由协议18以处理路由数据在网络中的移动。路由协议18负责确保网络持续了解当前的互连状态和当前的QOS状况。它将网络作为节点、网络、网络构成的分层***处理。
协议栈10的电路协议(20和22)处理端对端连接的建立和长距离数据传送。电路协议(20和22)分成建立电路的电路建立协议20和通过电路移动数据的电路数据协议22。所有用户数据作为原始分组(不可靠的电路24)或通过使用可靠协议(可靠电路26)作为可靠数据流通过电路数据协议22传输。
协议栈10的文件传送协议28利用称为“文件”(下面会更详细地描述)的用户签名数据部分。有时,节点可能需要跟踪为某种原因而需要的文件。文件传送协议28处理按名称查找文件并将文件移到请求节点的过程。
1.2 节点概念
所有支持网络模型协议的装置是节点,包括端点和中间点。每个节点具有单个唯一的网络地址。此地址采用了分层名称的形式。节点的命名用于帮助确定动态路由数据的路由结构和传播。每个名称表示为由点分隔的标识符列表,节点名称的最具体的部分在最前面,最一般的部分在最后。
例如,对于名称machine1.floor2.seattleoffice.ibm,名称的最高层部分与边界网关协议(BGP)的自动***编号类似。在此文件中称为“点路径命名格式”的这种命名格式用于命名网络的许多方面,包括用户、组、网络、文件、策略或此情况下的节点。在每种情况下,分层结构具有明确的意义。
1.2.1 节点间连通性
网络模型中的每个节点能够直接与一个或多个其他节点通信。这些节点称为邻居,或有时称为直接节点。相邻节点用于通信的基础协议在很大程度上对网络层不重要。以下准则确定什么基础传输协议是适当的:
·可以是面向连接的或无连接的
·可以是不可靠的或可靠的
·适合如下所述的链路或星形模型
·以某种方式将数据打包
·具有512字节或更大的分组最大传输单元(MTU)(真实或虚拟)
·是双向的,即如果节点A可向节点B发送,则节点B可向节点A发送
·可复制分组或将其重新排序
每个节点拥有确定其邻居、为面向连接的基础协议发起物理连接以及交换分组的方法。查找物理/逻辑邻居可通过一些发现协议完成,或者预期邻居列表可由用户或其他配置确定。
网络模型支持两种基本类型的节点连接:边形连接和星形连接。
边一词源于图论术语。一条边是表示简单的点对点连接的节点间连接。例如,这可以是接近无线电覆盖的节点,或者是专用T1另一端上的节点。节点A具有到两个不同节点B和C的边的事实与B和C之间是否具有边连接无关。边的要求包括双向性和某种形式的基于分组的传输,但在非分组化物理链路情况下,分组可通过某种成帧机制轻松地引入。
星用于表示某种形式的共享传输机制,该机制连接多个节点,使它们之间保持连接的可传递性。星的示例可以是多个连接到以太网转换器的节点。如果节点A可经以太网转换器将分组发送到节点B和节点C,则节点B和C两者可经同一以太网转换器来回发送分组。因此,星可视为一组通信节点的中心。无线电网络通常不是星形的。另一种看待星的方式是将其视为连通等效类。
1.2.2 分层结构
节点的命名将分层结构引入网络中,由此,节点网络可以组合成网络的网络以及网络的网络的网络等。作为同一网络组的或组织在一起的一组网络的一组节点通常被称为元节点。这是因为整个节点网络可视为单个节点,并且可以将网络间连接视为这些元节点之间的边。
最高层元节点构成了全局网络或根层网络。在因特网模型中,这些元节点将是网络指定的ASN。这些根层网络或元节点中的每一个可包含内部结构。在找到实际物理节点之前的结构深度在整个网络中不必是一致的。换言之,由三个更小节点组成的元节点和单个单独的节点在网络中可以是对等实体。就点路径节点名称而言,a.b.c和x.c可以均为节点,并且b.c(元节点)和x.c(真实节点)可以是网络C中的对等实体。
将节点组合成元节点时,组中的所有节点是完全连接的。换言之,对于组中任意选择的两个节点,存在仅由组内其他节点构成的连接它们的路径。显然,在同一个星上的节点构成了一个大组。在一些情况下,元节点可“拆分”,即某些链路的失效会使元节点的成分不再完全连接。网络会尝试处理这种情况,但某些故障模式是可能的,因此,应避免以一条或两条关键链路会将组拆分的方式组合节点。
1.2.3 动态路由
动态路由协议18负责通过网络传播节点连接数据和QOS数据。网络的分层性质和全连接假设用于限制路由消息的扩散,并使生成的路由表最小,从而确保动态路由可扩展。
1.3 文件概念
文件概念对网络模型非常重要。网络模型中的文件是由网络理解并用于作出决定的独立的、经签名的大量数据。例如,公钥分发机制通过文件起作用。动态路由涉及路由相关文件的交换。QOS机制使用文件来定义网络使用权及其授权。用户发送的实际电路建立请求是文件。
1.3.1 文件概述
1.3.1.1签名
文件通常经过签名。此签名采用公钥签名机制。有趣的是,文件也用于分发密钥。存在允许此机制起作用的信任链和熟知的根层公钥。对文件签名表示签名者“支持”该文件。“支持”的意义取决于所涉及的文件。例如,如果文件是身份文件,则它表示签名者保证所述身份是合法的。如果文件是电路请求,则它意味着签名者是请求电路的用户。
1.3.1.2命名和定型
文件具有与其关联的类型,并且许多文件也具有与其关联的名称。类型是预定义类型列表中的一个类型,并且每个类型具有不同的内部格式。可在协议的替代版本中添加一些新的文件类型。存在未知文件类型时会被忽略。文件也可具有名称。此名称采用“点路径”的形式。点路径是点分隔的标识符列表。点路径的一个示例是this.is.a.test。给定类型和点路径通常对应于单个唯一的文件,并且文件传送协议28被设计为查找文件。然而,并非所有文件是长期文件,包括电路请求或动态路由更新。这些文件不具有名称,通过某种其他手段传播,并称为短期文件。
1.3.1.3时间帧
文件也具有时间帧。这可包括创建时间和到期时间。到期时间指在此之后文件不再被视为相关的时间。例如,源于移动无线装置的动态路由信息具有相当短的到期时间,表示它有用的时间是有限的。假定在节点之间存在相当普遍的时间同步。然而,也假定虽然源于给定节点的数据可以是按时间排序的且具有很大的可靠性,但节点间时间可偏离几秒种到一分钟。一个小时的时间偏差可被视为是无法接受的。
1.3.2 文件类型
文件概念支持多种不同的文件类型和文件类型类别。这些文件中的一些如身份文件与其他文件结合使用,即许多其他文件依赖于身份文件有效。另外,有多种文件类型涉及文件传送协议28,或换言之,这些文件与文件移动和存储相关。此部分提供了文件类型的概述。在此部分中提供了给定文件类型的文件格式的更详细说明,涉及文件的使用,并在第4部分中提供了有关基本文件类型的几个很基本的文件。
1.3.2.1身份文件
为允许很灵活的授权机制,需要一种标识用户、节点和其他有效逻辑单元的方式。另外,能够将这些实体组合以允许对整个实体类应用单个规则很有价值。为此,定义了分层身份命名机制。此命名机制可识别单个人类用户可具有对应于多个角色的不止一个身份。例如,用户可具有作为公司雇员的一个身份和作为社会集团成员的另一个身份。另外,即使在用户的公司内,也可能存在用于不同部门等的多个角色,其中,用户是一个成员。此外,网络的非人类成分可具有身份,例如,每个节点具有实际上为其网络地址的身份。
每个身份通过点路径来命名。“a.b.c”和“b.c”均可同时为有效身份,“b.c”表示组,而“a.b.c”表示个体或子组。每个身份具有与其关联的私钥和公钥。私钥与身份所代表的人或设备部分在一起,而公钥可以进行分发。
身份文件是连接身份及其公钥的文件。身份名称是用于文件传送协议28目的的文件名称。每个身份文件以分层结构中更高层身份公钥签名。因此,一个组可以选择其用户和子组,而用户和子组又可选择其自己的子组。另外,存在与身份文件相关联的、有关身份是否为不能具有子身份的叶身份的标志。根身份文件是对a.b.c的c签名所需的公钥,假定此文件存在于所有节点上。有关身份文件的其他细节下面在第4部分中提供。
1.3.2.2存储位置文件
文件传送协议28用于按名称在网络上查找文件。文件传送协议28依赖于将名称链接到实际节点的文件。存储位置文件有利于此过程。存储位置文件为节点提供了包含有关文件名称给定子树的信息的节点名称。例如,可能存在用于ibm.corp.us的存储位置,而ibm.corp.us指向作为IBM文件存储服务器之一的节点。
存储位置文件的名称是它对其有权威的树。文件指向的节点在该树中包含每个文件或它未存储的文件的更具体子树的存储位置记录。对于同一名称可能有不止一个存储位置记录,从而考虑到多个文件存储服务器。要使文件存储位置有效,它要由身份签名,该身份等于或高于它存储的子树。有关存储位置文件的其他细节在下面的第11部分中提供。
1.3.2.3逻辑名称文件
逻辑名称文件可用于为其他类型的文件提供更为人可接受的或有组织结构的全局视图。逻辑名称文件也可用于实施重定向策略。逻辑名称文件是逻辑点路径(其用于查找的密钥)、实际的点路径和文件类型。它由等于或高于是逻辑点路径的身份签名。它重定向到其实际点路径。有关逻辑名称文件的其他细节在下面的第11部分中提供。
1.3.2.4路由更新文件
在移动路由数据的过程期间,有多个路由相关文件在节点间传递。所有这些文件均未命名,并且确实无法通过文件传送协议28查找。有关路由更新文件的其他细节在下面的第9部分中提供。
1.3.2.5度量策略文件
度量策略文件提供了用于作出电路建立和数据移动决定时决定许可和授权的节点信息。它们基本上存储QOS策略。它们每个均具有点路径名称,该名称允许策略引用其他策略,并在旧策略到期日期到期时查找新策略文件。文件由等于或高于其名称的身份签名。有关度量策略文件的其他细节在下面的第10部分中提供。
1.3.2.6电路请求文件
这些是未命名的文件(因为它们没有点路径,并且不存储在文件存储服务器中)。它们包含实际的电路建立请求。此类未命名文件由希望建立电路的身份签名。有关电路请求文件的其他细节在下面的第10部分中提供。
1.3.2.7链路建立文件
这些是未命名的文件(因为它们没有点路径,并且不存储在文件存储服务器中)。它们用于建立链路和交换用于保证链路安全的密钥信息。此类未命名文件由发起链路建立的节点签名。有关链路建立文件的其他细节在下面的第8部分中提供。
2.惯例和基本类型
以下说明介绍了用于描述上述协议的惯例。另外,以下说明介绍了在构建更复杂数据类型时使用的基本的根本数据类型。
2.1 惯例
2.1.1 定型
为以存储器中状态及跨网络移动的各种数据的逻辑形式来描述二者,引入了一个简单的半正式定型***。数据的给定部分通过各自的类型来表示,并且存在多种方式将简单类型组合成更复杂的类型。实际实现中存储器中表示的细节并不重要,并且实际上只要语义得以保持,所采用的类型便无需相同。
2.1.2 编码
除类型的逻辑形式外,一些类型也具有编码。此编码表示类型转为字节序列以便跨网络移动的方式。为便于协议的多种实现交互,编码可完全匹配说明。
2.1.3 协议数据单元
协议数据单元(或PDU)是命名的类型,它也是协议的基本对话单元。在最低层,协议可视为PDU交换和所涉及的不同节点的状态的相关变化。除这些物理PDU外,还存在利用逻辑PDU描述来表示与实现方案的更低层次接口的应用编程接口(API)的情况。类PDU的说明也用于表示协议输出的高层API。因此,与***的其他成分接口类似于与其他节点发送和接收数据。实际的实现方案无需使用此比喻,但说明均采用这种比喻。
2.2 基本类型
2.2.1 类型:整数类型U#和S#
整数类型为U8、816、U32、U64、S8、S16、S32、S64,表示各种范围大小的无符号和带符号整数。U(或S)分别表示无符号或有符号,而字母后的数表示用于表示该数的比特数。因此,U8可以存储从0到255的数,S16可存储从-32768到32767的数。一般而言,假定比特数量为n,则无符号数从0到2n-1,而有符号数从-2n-1到2n-1-1。
作为字节序列的整数类型的编码采用基本的二的补码的二进制表示。对于多字节整数,采用网络字节顺序(大端法)表示。
2.2.2 类型:VarInteger(可变整数)
可变整数类型用于表示无符号整数。逻辑上,它能够存储介于0与2N-1之间的数字。可变性质来自于其编码,其中,N是可自定大小的可变大小,数越小,占用的空间越少。
如果数字的值介于0到127(27-1)之间,则值的编码是一个字节,为标准的二进制整数表示。如果值介于128与214-1之间,则它以2字节存储。这是标准的网络顺序2字节整数,例外情况是第一个字节的最高有效比特设为1。如果值大于214-1,则该数字存储为标准网络顺序4字节整数,例外情况是第一字节的两个最高位比特均设为1。
2.2.3 类型:TimeLocation(时间位置)
时间位置类型表示一个时间点。换言之,一个特定时刻。例如,Jan 2,2002,7:30PM,CST可以是表示时间位置的一种方式。时间位置表示实际的绝对时间,而不是实际时间,因此不受时区影响。
时间位置编码为一个S64,表示自UTC时间2001年1月1日起的纳秒数。
2.2.4 类型:TimeDuration(持续时间)
持续时间类型定义两个时间位置之间的相对差别,或换言之为时长。
持续时间表示为一个S64,表示构成时长的纳秒数。
2.3 加密类型
2.3.1 类型:Hash(散列)
散列类型表示字节序列的加密散列。逻辑结构的散列指字节序列的散列,它是所述逻辑结构的编码。在提及一个散列涵盖多个逻辑成分时,假定它是通过将每个成分以它们在对要执行散列运算的内容进行描述时被提及的顺序级联而形成的字节序列的散列。
另外,可通过某个值对散列加以“密钥控制”。这意味着将密钥编码,并将其置于正执行散列运算的对象的编码之前和之后,并且散列值是对此新序列执行散列运算的结果。这种密钥控制允许对称密钥签名,因为知道同一散列密钥的人可以对以密钥控制方式进行过散列运算的数据片段进行验证。
虽然协议的替代实施可支持多个可协商的加密散列算法选择,但所述实施例采用MD5加密散列。在可从Bedford Massachusetts的RSA Security,Inc.(“RSA”)获得的文件中,描述了将字节序列转为散列,并将得到的128比特散列表示为16字节序列的细节。
2.3.2 类型:Signature(签名)
签名类型表示某些数据的公钥签名。通常,由于进行签名的数据大小受到约束,签名属于加密散列,即部分数据的散列值。只要加密散列可信,则公钥签名可视为基于输入散列运算的整个数据决。
虽然协议的替代实施方案可支持多个可协商公钥签名算法选择,但当前版本采用RSA公钥签名算法。此算法的细节和所得签名的表示在RSA文件中描述。
2.3.3 类型:PublicKey(公钥)
公钥类型表示能够用于以某一公钥加密和签名机制进行编码和签名验证的公钥。如果加密和签名不使用同一密钥,则公钥类型包含两个密钥。
虽然协议的替代实施方案可支持多个可协商公钥签名和加密算法选择,但所示实施例使用RSA公钥算法。密钥是2048比特RSA密钥,如相应先有技术RSA文件中所述进行编码。
2.3.4 类型:SymmetricKey(对称密钥)
对称密钥表示可用于利用对称式加密进行加密和解密的密钥。
虽然协议的替代实施方案可支持多个可协商对称式密钥加密,但所示实施例使用DES,其密钥格式由RSA开发并以文档记录。
2.3.5 类型:PublicEncoded(公共编码)
公共编码类型表示一些数据的公钥编码。通常,由于进行编码的数据大小受到约束,此编码是对称密钥,用于对其他数据编码。
虽然协议的替代实施方案可支持多个可协商公钥编码算法选择,但所示实施例使用RSA公钥编码算法。此算法的细节和所得编码的表示在RSA文件中描述。
2.3.6 类型:PreSymmetric(预对称)
预对称类型表示使对称加密安全,以防范某些攻击所需的初始化向量或其他前置码。
虽然协议的替代实施方案可支持多个可协商对称密钥加密,但所示实施例使用DES,其IV格式在一些RSA文件中描述。
2.4 组合类型
用于组合或修改类型的各种机制可适用于帮助由更简单的类型构造复杂的类型。此部分描述此类机制。三个主要的复杂类型包括:序列类型、集合类型和结构类型。所有这些类型具有明确定义的编码方法,该方法与对其基本类型进行编码的方法有关。
2.4.1 Sequence(序列)
序列是类型相同的所有元素的有序列表。它由Sequence<Type>表示,其中,Type是所有序列元素的类型。典型的序列操作可包括***和删除元素,基于元素位置查找元素,按序在元素中迭代等。描述序列中的偏移时,使用了以零为基准的索引。
序列的存储器中表示取决于实施方案,并且可能随场境不同而不同,甚至对于同一类型的多个序列,基于操作它们的方式,该表示也可能有所不同。
作为字节序列的序列的编码是表示为VarInteger的元素数量与序列中有序的每个元素的编码的级联。
2.4.2 Set(集合)
集合是同一类型所有元素的无序聚合。它由Set<Type>表示,其中,Type是所有集合元素的类型。典型的集合操作可能包括查找满足某一要求的元素,求集合并集和交集、修改某些元素(这等同于删除原始元素并***修改的元素)。另一个操作可能是以随机顺序或基于元素比较函数的某一特定顺序遍历集合。类似于数学集合,在集合内不可有相同元素的两个“拷贝”。在此文档内介绍的所有集合用法均避免这种情况。
集合的存储器中表示经常很复杂。虽然集合可以是简单的元素集合,但基于某属性快速查找元素的需要经常要求某种形式的索引。实际上,在此详细说明中,集合通常用作映射,映射可通过将关键字值对***集合而将一个元素与另一元素相关。另外,需要以某一特殊顺序遍历集合经常会导致一定的复杂性。
作为字节顺序的集合编码是表示为VarInteger的元素数量与集合中未按特定顺序的每个元素的编码的级联。
2.4.3 Structure(结构)
结构由一列顺序的、有名元素的列表构成,每个元素均有自己的类型。结构用于组合各个不同的部分以形成一个整体。下表1显示了典型的结构定义:
TypeOne        NameOne
TypeTwo        NameTwo
        表1:结构
在表1的示例中,有两个类型部分,分别是TypeOne和TypeTwo。实际结构情况中的名称有助于解释结构的意义并提供引用结构的方式。
结构的编码就是结构中按给定顺序的所有部分的编码的级联。
3.文件编码
文件封装是用于将文件的逻辑形式转换为字节序列,以便经某种网络协议传送的过程的名称,该协议可以是可靠性协议16,或者,在使用链路协议14的情况下可以是一种特殊的分段机制。本章描述文件的逻辑与“物理”形式(称为八位字节流)之间的关系。
3.1 成分类型
首先,我们介绍文件的一些公用子成分,并描述如何将它们转为字节序列。
3.1.1 类型:DotPath(点路径)
点路径是点分隔的标识符列表。它在协议的多个位置中使用。每个标识符只要不包含作为分隔符的“.”,它便可以是可打印符号构成的任一文本序列。序列以标识符开始和结束,并且点只在内部出现。因此,“a.b.c”是非法的,因为结尾处有点而其后面没有标识符。
在一个实施例中,点路径编码为表示在其UTF-8表示中的字节的数量的VarInteger,后接以文本方式表示的实际点路径的UnicodeUTF-8。
3.1.2 类型:DocumentType(文件类型)
文件类型是一种枚举类型。下表2显示其定义:
  名称   编号
  IdentityStorageLocationLogicalNameControllerFloodCosignRequestNodeFloodEdgeFloodNextHopFloodInterconnectionFloodMetricPolicyCircuitRequestLinkSetup   ????????????
表2:文件类型定义
文件类型编码为表示枚举编号的VarInteger。
3.1.3 类型:SignatureBlock(签名块)
签名块表示通过某一特殊身份对某一内容进行的签名,通常是加密散列。其结构如下面的表3中所示:
                    DotPath      SignerIdent
                    Signature    SignerSig
                        表3:签名块
其中,SignerIdent是签名者身份,并且SignerSig是特定签名者的加密签名。
3.2 基本文件结构
3.2.1 类型:文件
文件类型表示文件的一般格式和关联编码。称为文件主体的文件部分是文件的类型相关部分。下表4中显示了文件类型结构的示例:
        DocumentType            Type
        DotPath                 Name
        TimeLocation            Expiration
        Byte Sequence           DocumentBody
        Hash                    DocumentHash
        Set<SignatureBlock>   Signatures
                        表4:文件
参照表4:
Type是文件的类型,以前给定的枚举类型的元素。
Name是文件的名称。例如,包含给定身份的公钥的身份文件以它们定义的身份进行命名。这也是文件传送协议28的查找关键字。对于未命名的文件类型,会从结构中省略此字段。
Expiration是此后此文件不再有效的时间。
DocumentBody是文件的主要内容,其意义取决于以前给定的类型。假定每个文件类型描述一种主体编码,并且此编码是可自定大小(self sizing)的,因此,主文件解码逻辑知道文件主体完成的时间。
DocumentHash是按上述顺序的元素Type、Name(如果存在的话)、Expiration和DocumentBody的加密散列。
Signatures是各方对此文件的签名列表。每个签名是DocumentHash中散列的公钥签名。
标准结构编码,例外情况是Name会从未命名文件类型中省略掉。
4.基本文件类型
详细说明的这一部分描述由多个子***使用的基本文件类型。在示范实施例中,只有一个这种文件类型:身份文件。
4.1身份文件
身份文件用于将身份名称与身份公钥联系。身份文件由签名树上更高的身份签名才有效。换言之,签名身份的点路径是正在被签名的身份文件的点路径的适当后缀。例如,a.b.c可由b.c而非d.c或x.a.b.c等签名。
4.1.1类型:IdentityDocumentBody(身份文件主体)
身份文件可具有由PublicKey组成的主体部分,PublicKey是在文件名称中命名的身份的公钥。
5.链路和电路度量参数
链路14和路由18协议收集数据以确定沿某些路径的QOS性能。构建电路的用户要求某些QOS属性。另外,可存在用户可能要用于影响电路路由的其他因素,如安全检查级别或其他类似的抽象方面。
为顾及用于这种数据的传播和操作的一般机制,引入了“度量参数”的概念。这是可能作为电路路由决策过程的合理部分的电路或链路方面。所有QOS参数以及许多其他抽象事物均属于度量参数概念。
因此,每个度量参数表示某一种类的单个可测量。例如,带宽将是度量参数,等待时间(latency)也将是度量参数。每个度量参数具有其自己的测量单位。例如,bps(比特/秒)可用于带宽,而微秒可用于等待时间。
另外,支持两种基本类型的度量参数值:数字型和符号型。符号参数表示用户可能关心的网络的某一逻辑方面,如“部门”(供公司内部使用)或“ISP”(用于因特网)。这些方面也可影响路由选择。
当协商涉及要求不同参数具有所需和期望的量(例如,XYZ需要64kbps,但可能想要100kbps)时,存在着对哪个方向是“合乎需要”的理解。在带宽方面,合乎需要的是大数字,而就等待时间而言,合乎需要的是小数字。在使用DotPath命名提供符号参数的情况下,更具体或较不具体可能提高合乎需要性。
5.1 类型:MetricParameter(度量参数)
度量参数类型用于指定正在讨论哪一参数。为此,为每个参数指定编号,因此,此类型是枚举类型。另外,度量参数可分成4类:NumericLow、NumericHigh、SymbolicSpec和SymbolicGen,其中,第一部分命名基本类型,第二部分指定哪一方向合乎需要。数字类型的类型是VarInteger。参数类型是U16,其中前两个比特决定类别。下表5中提供了初始列表:
  名称  单位  类型   编号
  带宽等待时间  Bps*100微秒  NumericHighNumericLow   016384
                表5:度量参数
在所述实施例中,度量参数类型使用标准U16编码
5.1 使用
度量测量思想可应用于多种用途,包括:
·在每电路和累计的基础上测量总的和当前的可用容量/度量(路由协议18)
·指定资源分配策略(策略管理)
·指定电路需求/需要(电路构建)
所有这些的类型将在后续部分中描述:
5.1.1 类型:CurrentMetricData(当前度量数据)
当前度量数据类型提供边的总的和当前的度量数据。包括单条路径可接收的总的和当前最佳的度量数据以及所有路径上累计性的总的和当前的度量数据。下表6中显示了此类型的结构:
            MetricParameter     WhichMeteric
            VarInteger          PerPathBestCapacity
            VarInteger          PerPathBestUnused
            VarInteger          TotalCapacity
            VarInteger          TotalUnused
                表6:当前的度量数据
在符号类型的情况下,结构的示例如表7所示:
        MetricParameter    WhichMeteric
        DotPath            Value
                表7:符号类型
在所述实施例中,当前度量数据采用标准结构编码,其中结构的选择由第一个元素确定
5.2度量策略
度量策略文件确定如何划分资源,以用于不同用途,具体为节点和用户与子策略。每个策略具有一个名称,充当经文件传送协议28传送的策略文件的关键字。随后,策略将资源分成多个组,并将每个组分配给用户、节点或元节点或子策略。给定节点分配有单个主策略,该策略用于划分进入和离开它的资源。
5.2.1 类型:SubholderType(子持有者类型)
子持有者类型用于确定正在使用三种子持有者类型中的哪个类型。如下面表8中所示,它是简单的枚举类型:
  名称   编号
  Sub-PolicyUserNode   ???
表8:子占有者
5.2.2 类型:MetricPolicyComponent(度量策略成分)
策略仅适用于数字度量参数。度量策略类型表示有关对给定度量参数所定义的资源的绝对和相对访问的信息,并且是策略文件定型的部分。下表9显示了度量策略类型的示例结构:
        MetricParameter       ParameterType
        VarInteger            ReservedAmount
        VarInteger            AbsolutePriority
        VarInteger            RelativeOverflowPriority
                    表9:度量策略
5.2.3 类型:MetricPolicyPart(量度策略部分)
说明
策略部分表示授权给某策略的资源的最终子持有者之一。它描述该子持有者的绝对和相对特权。下表10显示了策略部分的示例结构:
        SubholderType                   Type
        DotPath                         SubholderName
        Set<MetricPolicycomponent>    Params
                表10:策略部分
5.2.4 类型:MetricPolicyBody(度量策略主体)
策略主体是度量策略文件的主体。度量策略文件的关键字是策略的名称。策略由比策略名称更一般的身份签名。下表11显示了策略主体的示例结构:
                Set<MetricpolicyPart  Subparts
                    表11:策略主体
5.3 度量要求
度量***的第三种用法是指定电路构建期间的需求。这是通过使用单一需求类型和度量要求类型来实现的,下表12-14显示了这些类型。
5.3.1 类型:SingleRequirement(单一需求)
        MetricParameter    Parameter
        VarInteger         Required
        VarInteger         Desired
            表12:单一需求结构
        MetricParameter     Parameter
        DotPath             Required
        DotPath             Desired
            表13:符号情况结构
5.3.2 类型:MetricRequirements(度量要求)
        Set<SingleRequirement>    Requirements
                表14:度量要求结构
6.接口API需求
6.1 引言
网络模型的节点在接口API上调用方法,接口API随后利用下层接口的本地协议传送分组,或者执行某种请求的操作。通过本地协议进入接口的分组和事件在接口协议12中被转换为回调,并沿协议栈10向上发送。因此,接口API是允许以等效方式处理许多类型的物理网络的抽象层。调用API和接收回调的过程非常类似于发送和接收分组。
假定此基础协议可具有某种寻址机制来允许链路经同一物理/逻辑接口到达多个节点,但它也可以是简单的点对点链路。这些远程地址是接口特定的,并且对更高层协议而言是不透明的。基础协议可以是面向连接的,在这种情况下,地址定义要连接到的位置,或者地址定义每分组目的地。基础协议是基于分组的,并且为每个接口规定了明确定义的针对分组数据部分的MTU。
另外,一些接口(如无线电接口)可能希望就新发现的远程节点提醒网络层。而且,一些接口(如以太网接口)支持某种形式的广播,以允许某种类似于ARP的节点分辨方法。API支持这两种机制。
6.2 接口协议基本类型
下面介绍用于与接口API进行通信的基本数据类型。
6.2.1 类型:RemoteAddress(远程地址)
远程地址类型提供由接口理解的远程地址的不透明表示。除了由接口本身,此类型不通过网络发送,除了可能由接口本身,因而不具有编码。因此,包含它的任一结构不具有编码。
6.2.2 类型:SeekRequestID(定位请求ID)
定位请求ID类型提供由更高层协议用于将请求与响应关联的编号。其存储器中形式与U32相同。此类型不通过网络发送,除了可能由接口本身,因而不具有编码。因此,包含它的任一结构不具有编码。
6.3 读与写
6.3.1  API:SendPacket(发送分组)
发送分组函数将待发送分组向下发送到接口。下表15中显示了发送分组函数的参数示例:
                RemoteAddress  Address
                Byte Sequence  PacketData
                    表15:发送分组参数
在表15中,Address(地址)是分组欲发送到的远程地址,并且PacketData是分组数据,它小于接口的MTU。
6.3.2  API:RecievePacket(接收分组)
接收分组函数由接口在其接收分组时调用。下表16显示了接收分组函数的参数示例:
            RemoteAddress  Address
            ByteSequence   PacketData
            表16:接收分组参数
参照表16,Address(地址)是分组来源的远程地址,并且PacketData是分组数据,它小于接口的MTU。
6.4 定位
6.4.1  API:SeekNode(定位节点)
定位节点函数将待发送分组向下发送到接口。下表17显示了定位节点函数的参数示例:
                SeekRequestID   RequestNumber
                DotName         NodeName
                TimeDuration    TimeOut
                    表17:定位节点参数
参照表17,RequestNumber(请求号)是U32,用于将结果回调与此调用关联;NodeName(节点名称)是正被定位的节点的名称,并且Timeout(超时)是正在进行定位的节点愿意为找到被定位的节点而等待的时间。
6.4.2  API:SeekFound(定位成功)
定位成功函数在接口找到匹配未决请求的节点时由接口调用。下表18中显示了定位成功函数的参数示例。在定位成功后,该请求ID不再被使用,因而可被重用。
        SeekRequestID    RequestNumber
        RemoteAddress    Address
                表18:定位成功参数
参照表18,RequestNumber是与此响应相关的请求,并且Address是所找到的节点的远程地址。此远程地址为当前地址(可在其上发送分组)。
6.4.3 API:SeekFailure(定位失败)
定位失败函数由接口在代表调用者定位某个节点的尝试超时时调用。表19中显示了定位失败函数的参数示例。在定位失败后,该请求ID不再使用,因而可被重用。
            SeekRequestID    RequestNumber
                表18:定位成功参数
参照表19,RequestNumber是与此响应相关的请求。
6.5检测和地址停用
6.5.1 API:DetectNode(检测节点)
在接口检测网络上的另一节点时,调用检测节点函数。表20显示了检测节点函数的参数示例。这可能在节点进入无线电范围中时发生,或者例如在广播网络上的另一节点发送具有本地节点名称的定位请求时发生。
            RemoteAddress    Address
            DotPath          NodeName
            Bool             RemoteActive
                表20:检测节点参数
参照表20,Address是检测到的节点地址,并且NodeName是该节点的可能名称。收到此调用后,Address为当前(可向其发送分组)地址。RemoetActive是指示远程节点的某种程度的主动性的标志,并且可用于在远程端打算开始链路协商时提示其不要开始链路协商。
6.5.2 API:AddressDown(地址停用)
地址停用函数被调用以提示节点某个地址不再是当前的并且不要再向它发送分组。表21中显示了地址停用函数的参数示例。
            RemoteAddress    Address
                表21:地址停用参数
参照表21,Address是不再是当前的地址。
7.可靠性协议
7.1 引言
在整个设计中均将使用轻型可靠性协议16,而不是将类似TCP流的可靠性构建到某特定层中。协议需要三个标志比特、两个32比特编号、一个序列和确认的空间。它将不可靠的双向分组传输机制转为一个可靠的机制。该机制与TCP使用的机制相同。一个不同之处在于,由于信道(IP和端口)的概念已从可靠性方面分开,因此没有理由要求连接的两个方向同时打开,从而允许单向可靠连接。
每条下层双向连接只允许在任一方向上有一个流。不允许在收到前一连接关闭的确认前尝试开始新连接。下面提供了可靠性层的虚拟PDU定义,实际的成分可以任何期望方式置于底层分组中。
可靠性协议16的细节未在此说明书中描述,这是因为在语义上,其与TCP使用的可靠性机制相同或类似。
8.链路协议
8.1 引言
链路协议14是节点之间的最低层通信。它是第一道防线,处理所有节点间数据的安全和管理,并且还是导出QOS的基本结构。链路协议14用于:
·验证远程节点的身份
·防止读取和/或修改通过链路移动的数据
·防止基于CPU过载、表溢出的拒绝服务攻击,并确保分组***不会损坏其他未修改分组的传输
·定义更高层协议使用的基本QOS度量
·创建一致的节点间传输机制
·创建可靠的子信道,以供更高层协议用于控制分组
链路协议14建立两端的身份,并交换用于加密和每分组验证的对称密钥。由于在链路建立期间使用的必需公钥机制的计算的复杂性和基于CPU饥饿的DOS攻击的危险,节点只将其CPU的一部分用于链路设立。为防止拒绝合法尝试,实施计算询问以使DOS攻击者不可能以合理的速率发送“正确的”请求。假定可足够快地检查正确性测试方法而无处罚。
另外,不为询问请求保持状态,只为成功的询问答复保持状态,因此,还可避免DOS攻击存储器中表。此外,采用加密方法来防止伪答复等。
所有这种复杂性用于传送称为链路建立文件的单个文件,它包含公用的经过加密和签名的对称密钥。一旦此文件得到处理,链路便被视为已建立,并且答复会返回。随后,链路用于传送经过对称加密的、作了加密校验和处理的分组及QOS信息,其构成链路协议14的“激活”部分。
8.2 链路文件
8.2.1 类型:LinkSetupBody(链路建立主体)
上述链路建立文件用于初始链路密钥交换。它是未命名的文件。它由发起节点签名。其结构是单对称密钥,对目的节点公开编码。
8.3 链路文件分组化
8.3.1 类型:LinkDocumentPart(链路文件部分)
链路文件部分由链路建立文件结合发起节点的完整识别文件资料构成,所有均从链路建立文件级联在一起。此字节字符串极可能太大而不适合链路MTU,并因此分成多个部分。随后对这些部分进行加密散列运算处理。初始请求包含其中每个部分的散列,从而允许接受最初请求以便为该部分清除障碍(clear the way),不允许介入的攻击者在交换密钥前伪造数据。
下表22中显示了链路文件部分的结构示例:
            U8                PartNumber
            VarInteger        PartOffset
            VarInteger        PartSize
            ByteSequence      Data
                表22:链路文件部分
参照表22,PartNumber是当前部分的整数部分编号,基于0的索引;PattOffset是此部分的数据部分相对于整个链路文件集的以字节计的偏移;PartSize是数据部分的以字节计的大小;以及Data是该部分的实际数据。数据的加密散列与链路初始请求一起发送,这在下面将更详细地描述。
8.4 链路请求类型
8.4.1 类型:LinkRequest(链路请求)
链路请求类型包含有关请求者和后续文件的散列的信息。请求导致如下一部分中所述的询问,并且接收者决定询问的复杂性。下表23显示了链路请求的格式示例:
            DotPath            RemoteNode
            U8                 NumberOfParts
            VarInteger         RequestDocSize
            Sequence<Hash>     PartHashes
                表23:链路请求
参照表23,RemoteNode是请求节点的节点名称;NumberOfParts是如前一部分中所述构成文件资料的实际数据部分的编号;RequestDocSize是所有那些部分的总大小;以及PartHashes是按该部分编号顺序排列的每个部分的散列列表。
8.5 链路询问交换
链路询问机制的目的是使请求者在链路检查链路文件的有效性前进行工作,这是因为链路文件资料的存储、重组和加密验证是重要的过程,并且允许任何未经验证的节点迫使检查节点进行此类工作会导致资源缺乏。
为此,节点可请求它要与其建立链路的节点进行“询问”。收到此请求的节点进行新询问,并对该询问签名,该询问是CPU约束的加密任务。为继续协议,请求节点将签名的询问和解答一并返回。注意,在它收到解答前,接收节点不需存储任何状态,或者执行任何大的计算函数。在收到明确的解答后,检查解答的过程相当快。
为此版本的协议选择的询问是搜索产生特定加密散列的数据的缺失部分。只要散列很强,便会导致对未知数据部分的暴力搜索(bruteforce)。因此,接收节点可通过更改未知比特的数量,按需使询问困难或简单。
为确保询问确实由接收节点选中,并确保与询问相关的请求与所发送的询问相应的请求相同,通过以只有接收节点知道的密钥对询问和请求数据进行加密散列运算处理。
8.5.1 类型:LinkChallenge(链路询问)
链路询问类型用于表示实际的加密询问。表24显示了其结构的示例:
            Sequence<U8>          PrePart
            U8                    NumberOfBits
                Hash    Result
                表24:链路询问
参照表24,PrePart是用于造成散列结果的数据的第一部分;NumberOfBits是散列预映像(Hashes pre-image)中附加比特的数量。如果比特的数量不能被8整除,则假定最后的字节在低位(低有效)比特中为零。
8.5.2类型:LinkChallengeAnswer(链路询问应答)
此类型表示对LinkChallenge的应答。它具有等效于Sequence<U8>的类型,这是剩余字节,在与LinkChallenge的PrePart组合时形成正确的散列。
8.6链路分组类型
有多个链路分组类型。由于链路协议14正好紧靠接口协议12居上,因此,假定到达的所有接口分组是链路协议分组。第一个字节确定链路分组的类型。表25中显示了每个分组链路类型的名称和相关编号的示例:
 名称   编号
 LinkInitialRequestLinkRequestNAKLinkRequestChallengeLinkChallengeResponseLinkInitialACKLinkInitialNAKLinkPartSendLinkPartNAKLinkFinalACKLinkFinalNAK   ??????????
  LinkReliablePacketLinkUnreliablePacketLinkReset   ???
        表25:链路分组类型
8.7 初始链路建立协议
初始链路建立协议使用询问响应机制来使接收节点准备好持有传递给它的链路建立文件,并同时迫使发起节点进行某种计算工作。它可涉及多个PDU中的任一PDU,包括链路初始请求、链路请求NAK、链路请求询问、链路询问响应、链路初始ACK及链路初始NAK。
9.路由协议
9.1 引言
路由协议18设计成为节点提供将电路建立请求正确转移到更接近其最终目的地所必需的信息。它也可允许节点基于不同链路的度量参数和电路请求的要求,就使用的路径作出明智选择。
为使路由协议18可扩展,假定网络在组织上是分层的。每个节点具有节点名称,并且路由选择首先使电路请求到达节点名称的最一般部分所指示的地方,然后在节点到达最一般网络时,路由信息会更具体,从而允许检查节点名称的下一部分。此过程会继续到节点到达其最终目的地为止。
节点的网络统称为元节点。如果两个不同元节点的节点通过边来连接,则两个元节点通过元边(meta-edge)连接。存在一种机制可将元节点之间的多条链路组合成一条元边。边和元边的信息与用于限制数据到相关区域的某些规则通过网络扩散。最高层元边数据可扩散到任何一处。
元边数据由特殊的元节点控制器节点生成。这些节点具有元节点密钥及它们的节点密钥。可以有不止一个元节点控制器,由于它们全部将得到同一结果,并且扩散速率通过每个节点受控,因此,附加的元节点控制器只发送额外更新,如果它们过多则被忽略。
没有元节点控制器将是可能的,然而,这会要求所有节点包含元节点密钥(不佳),或者元链路数据的安全性要求在元链路的每个元节点中只有一个节点的签名,这是可以接受的,但与元节点控制器机制相比更可能危及安全,因为它需要危及每个元节点中控制器的安全。
此外,元节点控制器机制允许在一定程度上集中大量路由计算,同时仍顾及完全的故障处理,这是因为理论上可以有任意数量的元节点控制器。
星形网络与所示实施例中的元节点相关。然而,替代实施方案例可能不包括此关系。另外,所示实施例的星形网络中的节点不交换局域网的网络路由数据,而只与元节点控制器进行通信以交换连接信息。
9.2 路由状态
在描述用于四处移动路由信息的协议前,先描述节点状态及元节点控制器。节点可以是任一网络层的元节点控制器,并可能同时有多个元节点控制器。如果节点是给定层的元节点控制器,则它具有该层的全部路由信息。否则,节点具有给定层的部分路由信息。所有节点具有局域网段的全部路由信息。
部分路由信息实际上是从完整路由信息导出的。部分路由信息是用于为电路请求进行实际路由选择的唯一信息。下文首先描述了完整路由信息的形式,然后描述部分路由信息,接着描述用于从完整路由信息生成部分信息的算法。
9.2.1 完整路由状态引言
完整路由信息由作为网络组成部分的所有边或元边以及每条边的度量参数构成组成。为此说明目的,用语节点和边可指元节点或元边。
9.2.2 类型:EdgeInformation(边信息)
边信息类型具有关于单条边的信息。下表26显示了边信息的示例格式:
        DotPath                         NodeA
        DotPath                         NodeB
        Sequence<CurrentMetricData     MetricData
                    表26:边信息
参照表26,NodeA和NodeB是连接的两个节点。这些节点中的至少一个节点是在网络中,有关它的完整路由信息已存储。MetricData包含边所跟踪的度量的所有最近的全部和当前自由值。
9.2.3 类型:NodeInformation(节点信息)
节点信息类型具有关于单个节点的信息。下表27显示了节点信息的示例格式:
    DotPath                        Node
    Sequence<CurrentMetricData>    MetricData
                表27:节点信息
参照表27,Node是所述节点。MetricData描述该节点的内部容量和当前可用容量。这对元节点而言更相关,因为将数据从元节点的一端移动到其另一端的能力可能受到限制。所给出的容量是在最差链路间情况下的容量。换言之,如果某个元节点连接到三个其他元节点A、B和C,则这些数字是将数据从A移动到B、从B移动到C和从A移动到C的元节点能力的最差情况。
9.2.4 类型:FullRouteTable(完整路由表)
完整的路由表包含给定层的给定网络完整路由数据。下表28显示了完整路由表的格式示例:
            Set<EdgeInformation>    Edges
            Set<NodeInformation>    Nodes
                    表28:完整路由表
参照表28,Edges是网络中所有边的所有边信息集合;并且Nodes是网络中所有节点的所有节点信息的集合。
9.2.5 部分路由状态引言
部分路由状态表示专用于网络内给定视点的计算的下一跳路由信息。给定最终目的地(将要路由到的网络目的地),它产生一个距当前位置一跳的目的地列表连同有关每个下一跳概率的总路径度量的度量信息。另外,在元路由数据的情况下,存在另一个表提供所有相邻元节点和具有到相邻元节点的连接的下一层边节点及该特定下一层边的度量数据。
9.2.6 类型:NextHopEntry(下一跳项)
下一跳项是到达某个最终目的地的特定的可能的下一跳及关联的完整路径计算度量信息。
9.2.7 类型:InterconnectEntry(互连项)
互连项包含有关充当两个元节点之间边节点的下层节点或元节点的信息以及连接元节点的实际边的关联度量数据。
9.2.8 类型:PartialRouteTable(部分路由表)
部分路由表包含给定层上给定网络的部分路由数据。表29显示了部分路由表的结构示例:
            Set<NextHopEntry>            NextHops
            Set<InterconnectionEntry>    Interconnects
                    表29:部分路由表
参照表29,NextHops是计算出的所有下一跳信息集合。假定该集合按NextHopEntry结构的FinalDestination变量编索引。可能有多个导向同一最终目的地的项。类似地,Interconnects变量按InterconnectionEntry类型的NeighborMetaNode变量编索引,同样地,可能有不止一个项。
9.2.9 转换算法
转换算法负责将完整路由转成部分路由。为此,需要一种方法组合并联路由并串行排列QOS度量。每个QOS度量具有并联组合算法(两点之间的总QOS根据这些点之间的两条并行路由建立QOS)以及串行组合算法(两点之间的总QOS基于从初始点到中间点的QOS和从该中间点到最终点的QOS)。例如,带宽的并联算法是求两个带宽之和,串联算法是求两个带宽的最小值。
转换算法针对每个最终目的节点和每个下一跳确定经该下一跳到最终节点的所有路径。它使用QOS组合机制来将QOS的非循环图转换为单个QOS值,该值与下一跳关联。
9.3 数据移动引言
路由协议18有四个基本部分。第一部分是元节点控制器扩散协议,该协议让元节点的所有节点知道节点控制器。第二部分是双重签名协议。这是一种一条边或元边的一半据以将部分签名的边发送到另一端以进行检查并协同签名的方法。第三部分是基本数据扩散协议,边、元边、节点和元节点数据通过该协议扩散到需要知道的每个人。第四部分是一种方法,通过该方法,在使用基本数据进行计算后,元节点控制器节点将计算出的部分数据扩散到局域网上。
节点交换的所有路由分组本身不是真正的分组,而是通过链路的可靠部分发送的文件。如上所述,这些文件中的大多数(除共同签名的请求外)通过扩散传送。扩散是将数据广播到网络上需要知道该数据的每个人的过程。
扩散机制的工作原理如下:每个节点在从其邻居收到文件后检查该文件是否正好与其相关。如果不相关,则忽略该文件。接着,节点检查它最近是否见过同一文件。这通过先前的文件表完成。为防止表溢出,如果节点在给定时间内从邻居收到太多文件,则它有时会丢弃分组。总之,如果节点以前见过过该文件,它会将其丢弃。如果它是新的相关文件,则节点会检查签名。如果签名不正确,则它降低作为接收文件来源的邻居的允许数据率,这是因为邻居不应该发送坏文件,并且邻居的安全性可能受到损坏。如果一切良好,则节点检查文件与哪些邻居相关,并将它发送给可能相关的所有邻居。
9.4 控制器扩散协议
9.4.1 类型:ContollerFloodBody(控制器扩散主体)
控制器通知协议让节点知道元节点控制器。相关准则指节点是否属于该控制器是其元节点控制器的元节点。Control(控制)通知文件主体可能包括控制器为之受控的元节点的网络名称和控制器节点的完整节点名称。显然,Controller(控制器)是MetaNode(元节点)的更具体的点名称。文件由所述元节点的元节点密钥签名。给定节点记住它所属元节点每一层的至少几个控制器。它记住最接近的控制器并基于跳记数丢弃较远的控制器。
9.5 共同签名协议
9.5.1 类型:CosignRequestBody(共同签名请求主体)
共同签名协议用于获得另一方签名的边更新。它涉及传送称为CosignRequest(共同签名请求)文件的文件。这包括来自一个节点的正发往另一节点以进行共同签名的边信息。它由EdgeInfo(边信息)的NodeA参数来签名。
共同签名请求文件被引导到更接近于EdgeInfo项的NodeB部分中命名的网络。如果请求已经输入命名的网络,则节点使用它的有关控制器的信息将文件发送到更接近最近已知控制器。
9.6 基本扩散
9.6.1 类型:NodeFloodBody(节点扩散主体)
扩散主体节点由NodeInfo(节点信息)中所述的节点或元节点签名,在已删除其第一个元素的节点名称是当前节点的节点名称的概括时相关。
9.6.2 类型:EdgeFloodBody(边扩散主体)
扩散主体边由EdgeInfo(边信息)中所述的节点或元节点签名,在已删除其第一个元素的任一节点名称是当前节点的节点名称的概括时相关。
9.7 计算的扩散
9.7.1 类型:NextHopFloodBody(扩散主体下一跳)
扩散主体下一跳由它描述的网络层的元节点签名,在该签名元节点是当前节点的元节点时相关。
9.7.2 类型:InterconnectionFloodBody(互连扩散主体)
扩散主体互连由它描述的网络层元节点签名,在该签名元节点是当前节点的元节点时相关。
10.电路协议
本章定义用于建立电路和通过电路移动数据的协议。它以建立电路状态表开始,状态表用于电路数据移动,并由电路建立过程改动。
10.1 电路路由表
电路路由表存储通过节点的当前电路。每个电路将一个接口上的远程节点与另一接口上的远程节点相连。由于在任意两个节点之间可能存在不止一条电路,因此,将CircuitID用于区分它们。此CircuitID对两个节点而言是本地的,换言之,它只用于区分两个节点之间的多条电路。
10.1.1 类型:CircuitID
电路ID标识符允许区分相同节点之间的多条电路。
路由表存储电路两端字节的关系以及可能有的用于QOS统计和控制的内部数据。电路端类型表示电路的一端,其中,RemoteInterface(远程接口)表示该电路端这一侧的特定输出接口,而RemoteNode(远程节点)是另一节点的接口特定的RemoteAddress(远程地址)。ID对应于与节点间连接相关的CircuitID。
有一个称为“Local”的特殊接口。这是在电路一端为本地端时使用的接口。
10.1.3 类型:CircuitLink(电路链路)
电路链路定义两个电路端之间的关系以及用于管理QOS的实现特定数据等。电路链路可具有进行通信的两端和额外的实现特定数据。
10.1.4 类型:CircuitRouteTable(电路路由表)
电路路由表是电路链路集合,它是当前打开的电路的集合。
10.2 电路数据协议
如先前部分中所述,电路数据协议22是远远胜过不可靠链路协议14的唯一协议。其成帧在不可靠链路的数据部分中立即开始。电路数据协议22基本上由电路的CircuitID及通过电路发送的后续实际数据组成。正式的定义包括电路ID和字节序列。
在收到分组后,通过用于在电路路由表中查找表项的ID和输入地址来查找电路。如果不存在此类表项,则将该分组无声地丢弃。如果存在表项,则将分组重定向到该表项指示的另一端。换言之,如果分组经SideA到达,则将其发送到SideB;如果它经SideB到达,则将其发送到SideA。如果接口是非本地接口,则将其通过不可靠链路协议14发送,或者如果接口是特殊的本地接口,则将其发送给用户。
如果在给定时间内无数据通过电路,则节点丢弃电路路由表中的表项。可通过发送空(数据长度为0)分组来发送保活分组。这些不会传递给用户。
10.3 建立协议
建立协议20用于建立电路。它涉及通过可靠链路协议14在网络中移动电路请求文件。随着电路请求移动,它建立起电路。在到达另一端时,数据便可以双向发送。如果接收端没有要发送的任何初始数据,则它发送保活分组以双向验证电路。
10.3.1 类型:CircuitRequestBody(电路请求主体)
电路请求主体包含实际的电路请求。它由请求建立电路的用户签名,并且包括:作为电路的最终目的地的目的节点;作为另一端所期望的服务的名称的服务名称(类似于端口号并且是实现特定的);要求(为电路的QOS和其他度量要求);电路标志(例如,定义比特0(最低位)指示加密,而比特1(次低位)指示可靠性);以及电路密钥,电路密钥仅在加密标志被设置时才成为结构的一部分。如果这样,它是对称加密密钥,经公钥加密到接收方。
在可靠链路上紧随请求文件的是表示来自先前跳的未签名部分度量数据连同来自上一跳的CircuitID的结构。例如,如果前一跳在理论上不支持原带宽,则最大期望带宽可能更低,或者基于已经使用的等待时间,所需等待时间可较短。
10.4 加密和可靠性
加密和可靠性层将其他标题添加到电路分组中。加密在可靠性之前。
11.文件传送协议
文件传送协议是用于根据文件名称和类型检索文件的机制。所采用的机制类似于DNS。DTP(文件传送协议)在电路上运行,其服务名称简单,为“DTP”。它采用基于电路协议(20和22)的可靠性协议16来提供可靠的流服务。它可以加密或不加密运行,但它接受请求的连接是DTP服务器的决定。
在DTP链路上发送文件请求和返回文件。存在一个使用户指向另一个DTP服务器的重定向过程。实际上,主DTP服务器也可以递归方式自行执行附加查找操作,并直接返回结果。这由实现者决定,并可基于用户请求、始发节点等。
表30中显示了文件请求的示例:
            U8              Options(保留,设为0)
            DocumentType    Type
            DotName         Name
        表30:文件请求
文件请求如上所示经可靠链路到达。如果DTP服务器知道当前文件的值,则它返回该值,这只意味着经可靠链路发送文件。
否则,有两种特殊类型的文件可用于重定向。第一种类型是逻辑名称文件
11.0.1 类型:LogicalNameBody(逻辑名称主体)
逻辑名称文件将文件(例如,其密钥和其主体中所述的类型)重定向到同一类型的具有不同密钥的另一文件。逻辑名称文件由等于其密钥或比其密钥更一般的身份签名。
注:不同于大多数文件,可以有不止一个具相同密钥的重定向文件,条件是它们重定向不同类型的文件
重定向的另一更重要的机制是文件位置机制。文件位置机制允许点路径树的某些部分与某些DTP服务器相关。如果一个服务器不知道某个文件,则它可重定向到知道该文件的服务器。最坏的情况是根DTP服务器知道该子树的更一般部分的权威机器(authoriativemachine)的身份。每个子树节点要么知道文件要么知道另一更具体的来源,直至将该文件解析。
11.0.2 类型:DocumentLocationBody(文件位置主体)
这是指向文件服务器的点路径树的给定部分的指针。如果有多条比正在被查找的记录更一般的记录,则使用最具体的一条记录。所有DTP服务器拥有一个或多个根服务器的位置。给定子树的所有权威服务器中具有所有文件,或者这些服务器具有它们的子树中它们不拥有其完整数据的子树的更具体的位置文件。
文件位置文件的密钥是其对应子树。文件由等于其密钥或比其密钥更一般的身份签名。对于同一密钥,也可以有不止一个文件位置文件,这是因为可以有多个冗余的完全权威服务器。
12.可选扩展
12.1 多播扩展
此扩展用于允许单个节点将同一数据流以有效方式向多个节点广播。为此,对电路格式作轻微修改以便用于多播电路(保持在与普通电路不同的单独表中)。在每个节点,电路不是将单个CircuitSide(电路端)连接到另一单个CircuitSide,而是将一个“根”端连接到一个或多个“分支”端。
此外,存在对发送节点唯一的Channel(信道),与发送节点一起用于将多播流加密以实现组合目的。
1.2.1.1 数据流
电路数据在根端接收时,它会被复制并发送到每个分支端。在反方向(从分支到根)上没有实际的数据流,但可能有空的保活分组以使电路保持打开。经分支收到保活分组时,如果在一半电路超时值内没有来自该分支的保活分组,则将其向根端转发;否则将其丢弃。节点未在超时时间内从给定分支收到保活分组时,它丢弃该分支。如果没有其他分支,则多播表中的表项被删除。
12.1.2 电路建立
多播电路从根向外路由。因此,如果节点想加入多播,则它发送多播预请求文件(如下定义)到请求加入多播的多播发送方。一旦此操作完成,或者在多播发送方启动的情况下,多播发送方便会发送向外传播的多播请求文件。它象电路请求一样被路由,但有以下两个不同之处:
1.在经同一侧从同一初始发送方收到多播请求后,使分支朝向目的地而非新电路。
2.为向与现有分支相同的路径发送数据,可有附加的路由选择偏好。
12.1.3 类型:MulticastPreRequestBody(多播预请求主体)
多播预请求主体文件发送到非发送方以请求在输出方向上建立电路。将其向SendingNode(发送节点)转发,并由请求用户签名。
表31中显示了与此文件关联的结构示例:
            DotName               DestinationNode
            DotName               SendingNode
            DotName               Channel
            MetricRequirements    Requirements
            U8                    Flags
            PublicEncrypted       CircuitKey
                    表31:多播预请求
参照表31:DestinationNode(目的节点)是电路的最终目的地;SendingNode是正在多播的节点,此预请求的目的地;Channel是另一端上期望的信道的名称。Requirements(要求)是电路的QOS和其他度量要求;Flags是电路的标志,当前定义的是作为加密标志的比特0(最低位比特);CircuitKey(电路密钥)仅在加密标志被设置时才成为该结构的一部分。如果这样,则它是对称加密密钥,经公钥加密到接收方。
12.1.4 类型:MulticastRequestBody(多播请求主体)
多播请求主体经发送方发送以建立电路。其由发送节点签名,后面接PreRequest(预请求),这可以是发送给发起此请求的预请求或发送方造成的预请求。
12.1.5 破坏
在从分支之一收到电路终止请求后,将该电路终止请求转发,并且在只有一个分支时,使电路损坏。如果存在不止一条分支,则只删除该分支。电路终止请求从根转发到所有分支,然后电路被删除。
12.2 自动拆分
自动拆分是一个过程,通过该过程可将较大的元节点拆分成不同的更小元节点。这对大型网络很有用。为实现此机制,形成了一种新的元节点类型,称为“逻辑”元节点。这不同于标准“管理”元节点,其通过带外密钥交换建立。逻辑元节点从逻辑元节点内的多个节点获得其权限。这涉及称为呈请文件的新文件,该文件建立逻辑元节点密钥,并由同一管理元节点的许多成员签名,而逻辑元节点是该管理元节点的子部分。另外,这些相同的节点(签名者)被赋予由逻辑元节点密钥签名的新身份。
这允许创建逻辑网络控制器,该控制器是一个节点,该节点通过如上所述由其对等方将其密钥签名而提升到网络控制器状态。这些逻辑网络控制器可以是无效的,但不是破坏性的。原因在于网络控制器的两个用途:聚合路由和对元节点间链路签名,两者均可在外部进行验证。在路由聚合情况下,每个节点可自己进行路由聚合,并可不时执行此操作以检查当前逻辑网络控制器并在将来拒绝NC的其他支持(让它们的当前签名超时)。有关元节点间连接的信息不会被传播,除非元节点链路的另一端共同签名,而在结果不正确时不会发生共同签名。
在节点确定逻辑NC表现差的情况下,它们可创建另一逻辑NC。只要元节点内有至少一个起作用的NC,则所有应正确工作,并且故障(或恶意的)NC没有效果。
实际的拆分过程涉及(1)将直接由(最低层)节点组成的管理或逻辑元节点变成可形成主元节点的多个较小的元节点(调整(leveling));或(2)将当前逻辑元节点分成不止一个逻辑元节点(划分)。
在这两种情况下,NC决定拆分是合乎需要的。在第一种情况下,它是更高层NC,而在第二种情况下,NC进行进一步细分。这涉及拆分请求消息。此消息(它是由NC签名的文件)发送到最近的管理NC(如果当前NC是逻辑NC)以进行共同签名,然后通过元节点扩散,并包含有关当前在其元节点中的节点重指配的信息(哪个节点到哪个小组)和每个小组的建议NC的管理名称以及网络名称。拆分请求指定拆分要发生的时间。在节点接收多个拆分请求的情况下,选择要最早发生的请求,完全相同的时间通过发送NC的节点名称的词典排序来消除歧义。
在拆分要发生前,节点对新逻辑NC的呈请文件签名,并从逻辑NC接收其新身份密钥。这些密钥是节点的以管理方式指定的本地部分,后面是新网络全名,并且由NC的呈请密钥签名。
此过程的示例如下:
1.拆分元节点的网络控制将拆分请求直接发送到最近的管理网络控制器(除非它是最近的ANC)
2.ANC对请求共同签名并将它扩散。
3.新选择的LNC以及如此要求的非获许可节点发送包含节点的公钥的“网络控制器呈请”消息到所有相关节点。
4.每个节点选择一个或多个候选对象,并对呈请签名。
5.在收到签名后,所述元节点使用其呈请密钥对节点的新身份签名,并将它返回到所述节点
6.在收到要求的最低选票数后,候选节点发送其已签名呈请到最近的ANC
7.ANC为新指定候选对象的LNC密钥签名,并将它送回。
8.新LNC将其已签名的LNC密钥文件扩散到局域网,它现在是一个逻辑节点控制器。
9.如果没有一个节点候选在设定的选举结束(拆分开始)发生时取得足够高的选票计数,则节点选择具有足够高的选票计数的一个或多个候选对象,并对其呈请签名,从其接收其身份。
10.如果无候选对象在指定的时间前取得所需的最低选票数,则取消拆分。
12.2.1 划分选择功能
虽然最初决定要拆分的网络控制可以选择任一方法来决定拆分的组织(即在节点到哪一端的意义上),它可能受需求和/或优化准则的限制。例如,每个小组应该是内部完全连接的,即,小组的每个成员可到达每个其他成员而不必离开小组。另外,可以有使某些分解更合乎需要的多种准则。
要发现好的分解方式,建议采用一种改进的模拟退火方法。首先,选择为某种可能的分解赋值的适合度(fitness),示例可能如下:
                        w1(Na-Nb)2+
w2(Avg(Bandwidth(x):∈Inter)/Avg(Bandwidth(x):×∈Intra)
其中,集合Inter是组间连接集合;Intra是组内连接集合;Bandwidth(x)是测量带宽的函数;w1和w2是加权值,并且Na和Nb是每个小组中的节点数。目标是将适合度函数的值降到最小。此函数归一化为介于0(最佳)与1(最差)之间的某个值。
退火方法的示例如下:
1.最初将所有节点置于小组A中,例外是将原始组的边上随机选择的一个节点置于小组B中
2.将温度T初始化为1
3.选择一个随机边节点(即在小组的边上的一个节点)用于评估
4.如果在从组A切换到B时该边节点使结果分解留在合法状态(每个组内部完全连接,每组中至少一个节点),则会评估原始的适合度,称为Forig,而具有切换的选择节点的网络的适合度为Fnew
5.节点以 的概率进行切换
6.在温度持续下降时,重复步骤3至步骤5。
7.最终将温度固定在零度,并且对所有边节点进行了评估,直到***稳定
12.2.2 拆分文件细节
12.2.3 类型:SplitRequestBody(拆分请求主体)
拆分请求主体文件经希望在其控制下拆分网络的NC发送。如果需要,它由该NC签名以便传送到ANC,并在扩散前由ANC共同签名。下表32中显示了此文件结构的示例:
        DotPath                SplittingNode
        Set<DotPath>           SuggestedNCs
        Set<DotPath>           SubGroupA
        Set<DotPath>           SubGroupB
        TimeLocation           SplitTime
        VarInteger             RequiredVotes
        U8                     SplitType
                表32:拆分请求
12.2.4 类型:ControllerPetitionBody(控制器呈请主体)
控制器呈请主体文件表示给定节点相对于(此文件后进行的)拆分的候选资格。此文件由候选对象签名,一旦候选对象收到足够的选票,便发送(以要求的选票数作为签名)到ANC。此文件也由单个节点签名发送以表示该节点的投票。下表33显示了文件结构的示例:
        DotPath            CandidateName
        SymetricHash       HashOfSplitRequest
        PublicKey          TheKey
              表33:控制器呈请主体
12.2.5 类型:LogicalKeyAssignment(逻辑密钥分配)
逻辑密钥分配文件是由候选对象以其逻辑密钥签名并发往已为其投票的节点的文件。下表34显示了此文件结构的示例:
        DotPath        LogicalName
        DotPath        AdministrativeName
              表34:逻辑密钥分配
12.2. 6类型:LogicalNetworkControlAuthorization(逻辑网络控 制授权)
一旦予以ANC由适当数量节点签名的控制器呈请,便由ANC发送逻辑网络控制授权文件。下表35显示了此文件结构的示例:
        DotPath          CandidateName
        PublicKey        TheKey
              表35:逻辑网络控制授权
结论
以上对本发明实施例的详细说明不是穷举性的,也不是为了将本发明限制为上述的精确形式。虽然为说明目的描述了本发明的特定实施例和示例,但正如相关领域技术人员将会认识到的那样,可以在本发明范围内进行各种等效修改。例如,虽然以给定顺序介绍了步骤或成分,但替代实施方案例可执行具有不同顺序的步骤或成分的例程。本说明书所提供的本发明的教导可应用于其他***,而不一定是这里所述的网络模型。上述不同实施例的元素和操作可加以组合,以提供其他实施例,并且可以将一些步骤或成分删除、移动、添加、细分、组合和/或修改。每个这些步骤可以多种不同的方式实施。此外,虽然这些步骤显示为串联执行,但这些步骤可代之以并行执行,或可在不同时间执行。
除非上下文明确要求,否则在全部说明和权利要求中,用语“包括”、“包含”及诸如此类要在包含的意义上加以理解,而不是在互斥或穷举的意义上加以理解;换言之,在“包括,但不限于”的意义上加以理解。以上详细说明中单数或复数形式的用语也可分别包括分别包括复数或单数。另外,用语“此处”、“以上”、“下面”和类似导入语在此申请中使用时,引用的应是整个申请而不是此申请的任一特殊部分。权利要求中使用“或者”来引用两个或两个以上项目的列表中,该用语涵盖以下对该用语的所有解释:该列表中的任一项目、列表中的所有项目及列表中项目的任意组合。
这里提供的教导可应用于其他***,而不一定是此处所述的***。根据详细说明,可对本发明作出上述和其他改变。上述不同实施例的元素和操作可加以组合以提供其他实施例。
所有上述专利和申请及其他引用,包括在所附提交文件中可能列出的任何内容均通过引用结合于本文中。如有必要,本发明的各方面可以进行修改以采用上述不同引用的***、功能和概念,从而提供本发明的另外一些实施例。
根据上面的详细说明可对本发明作出这些和其他改变。虽然上述说明详细描述了本发明的某些实施例,并描述了考虑到的最佳模式,但不论上述文本如何详细,本发明仍可以许多种为本文所公开的本发明所涵盖的方式实施。如上所述,在描述某些特征时使用的特定术语或本发明的方面不应理解为表示术语正在本文中被重新定义,以限制为任何具体特性、特征或与该术语关联的本发明方面。一般而言,在所附权利要求书中使用的术语不应理解成将本发明限制于本说明书中公开的特定实施例,除非上述详细说明部分明确定义了此类术语。因此,本发明的实际范围不仅包括公开的实施例,而且包括实施或实现权利要求所限定的本发明的所有等效方式。
虽然以一定权利要求形式给出了本发明的某些方面,但本发明者考虑了采取各种权利要求形式的本发明的各个方面。例如,虽然只有本发明的一个方面陈述为在计算机可读介质中实施,但其他方面可同样地体现在计算机可读媒体中。因此,发明者保留在提交申请后添加其他权利要求以追求本发明其他方面的此类附加权利要求形式的权利。

Claims (26)

1.一种不用集中管理来组织非信任方以便各方可安全共享资源并以预期服务质量进行通信的方法。
2.一种***,它以分层关系结构组织网络上的多个节点,以便通过利用分层路径和节点间分层关系以在两个节点之间提供最短路由,从而以优化吞吐量的方式有效地进行相互通信,其中所述网络在所述分层结构的各层上具有相同的结构。
3.一种***,它通过继承聚合和分层权利执行控制资源分配,同时允许资源控制的动态细分和授权。
4.一种通过交换签名的文件控制节点交互的网络通信方法。
5.一种分散***,用于通过路径重新选路和重新组合来动态维护资源保证(服务质量QOS)。
6.一种广播通信***,它允许单源广播在多个不同的时间帧分组中独立地重新广播。
7.一种可高度扩展的认证方法,它要求客户请求主机自己安全地处理认证请求的部分。
8.一种方法,它以一种给予每个完全独立实体对密钥重新分发的控制权并在需要时允许密钥间合作的方式分发公钥和私钥。
9.一种利用一组加密原语(算法)来使协议层动态路由选择安全并对其进行控制的过程。
10.一种依据包括网络的节点分层关系动态选择通信路由的过程。
11.一种在节点之间建立链路的方法,它通过要求所述节点请求所述建立以执行比执行密钥交换所需计算更复杂的计算来减少DOS。
12.一种通过加密认证过程在两个节点之间建立通信链路,使得所述两个节点的身份在所述链路外不可见的方法。
13.一种自我认证的身份继承分散方法。
14.一种为网络中的节点路径量化聚合资源可用性的分散方法,它优化路由并分布通信负荷。
15.一种过程,允许通过经加密签名的文件实现基于许可的网络策略控制,所述文件自动分发到所述网络内的相关节点。
16.一种将所有权和优先权指配给网络资源的方法,它允许为使用和授权而细分资源。
17.一种以加密方式验证聚合的许可继承并通过聚合的继承优先权实行资源分配的方法。
18.一种通过模拟退火法来优化群集而细分网络的分散自动方法。
19.一种在网络节点间的链路上实行资源分配层次的方法,所述网络节点利用在定义或实现方面不支持QOS的协议,其中所述方法利用允许与提供相对QOS的现有网络协议后向兼容的网络桥。
20.一种在网络节点之间广播通信的方法,它依据预定接收方的分层关系按需重新分发所述通信。
21.用于防止在分散动态路由网络中形成环形路由的技术。
22.一种分散路由方法,它依据网络资源的当前利用和为连接请求的资源量,以最佳方式选择路由。
23.一种动态分配局域网地址的加密方法。
24.一种通过限制文件通信可使用的速率而防止所述文件通信遭受DOS(拒绝服务攻击)的方法。
25.一种据以将所有链路的当前资源可用性通知给网络的每个节点的过程,所述链路包括具有尽可能少的节点间通信的所述网络,其中,采用完全和部分分层扩散技术来通知所述网络。
26.一种参与者、候选对象、选举实施方法,用以允许对由非信任节点构成的网络上的选举进行管理控制。
CNA2004800073308A 2003-01-24 2004-01-21 使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置 Pending CN1762123A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US44232803P 2003-01-24 2003-01-24
US60/442,328 2003-01-24

Publications (1)

Publication Number Publication Date
CN1762123A true CN1762123A (zh) 2006-04-19

Family

ID=32825201

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2004800073308A Pending CN1762123A (zh) 2003-01-24 2004-01-21 使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置

Country Status (10)

Country Link
US (4) US20060136721A1 (zh)
EP (2) EP1590915A4 (zh)
JP (1) JP2006517077A (zh)
KR (1) KR20050103205A (zh)
CN (1) CN1762123A (zh)
AU (1) AU2004207949B8 (zh)
BR (1) BRPI0406978A (zh)
CA (1) CA2513653C (zh)
RU (1) RU2334362C2 (zh)
WO (1) WO2004068722A2 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100466859C (zh) * 2006-06-29 2009-03-04 华为技术有限公司 用于无线mesh网的业务QoS保证方法和装置
CN101657980B (zh) * 2007-04-13 2013-01-02 微软公司 分布式路由表体系结构和设计
CN106027456A (zh) * 2015-03-25 2016-10-12 瞻博网络公司 用于对网络设备进行认证的装置和方法
CN110189331A (zh) * 2018-05-31 2019-08-30 上海快仓智能科技有限公司 建图方法、图像采集和处理***和定位方法
US11075763B2 (en) * 2019-02-15 2021-07-27 International Business Machines Corporation Compute digital signature authentication sign with encrypted key instruction
US11108567B2 (en) 2019-02-15 2021-08-31 International Business Machines Corporation Compute digital signature authentication verify instruction
US11303456B2 (en) 2019-02-15 2022-04-12 International Business Machines Corporation Compute digital signature authentication sign instruction

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6770852B1 (en) * 2003-02-27 2004-08-03 Lam Research Corporation Critical dimension variation compensation across a wafer by means of local wafer temperature control
US8139507B2 (en) * 2004-09-15 2012-03-20 Hewlett-Packard Development Company, L.P. Network graph for alternate routes
US8799472B2 (en) * 2004-10-06 2014-08-05 Riverbed Technology, Inc. Peer signaling protocol and system for decentralized traffic management
US7783728B2 (en) * 2004-11-22 2010-08-24 International Business Machines Corporation Concurrent evaluation of policies with synchronization
CN101160988B (zh) * 2005-02-01 2011-11-23 Exs有限公司 用于无线接入的分层网格网络
EP1938203B1 (en) 2005-02-26 2019-04-24 Unium Inc. Naming system layer
US8539481B2 (en) 2005-12-12 2013-09-17 Microsoft Corporation Using virtual hierarchies to build alternative namespaces
US7996841B2 (en) * 2005-12-12 2011-08-09 Microsoft Corporation Building alternative views of name spaces
US8312459B2 (en) 2005-12-12 2012-11-13 Microsoft Corporation Use of rules engine to build namespaces
US8370928B1 (en) * 2006-01-26 2013-02-05 Mcafee, Inc. System, method and computer program product for behavioral partitioning of a network to detect undesirable nodes
CA2641269C (en) 2006-02-01 2017-05-02 Coco Communications Corp. Protocol circuit layer
JP4957075B2 (ja) * 2006-05-15 2012-06-20 富士通株式会社 信頼度評価プログラムおよび信頼度評価装置
US9276774B2 (en) * 2006-08-29 2016-03-01 The Boeing Company Visualizing and modifying ad-hoc network nodes
US20080123586A1 (en) * 2006-08-29 2008-05-29 Manser David B Visualization of ad hoc network nodes
KR100901691B1 (ko) * 2007-12-04 2009-06-08 한국전자통신연구원 메쉬-스타 혼합 온칩 네트워크 통신 시스템 및 그의 통신방법
KR101279500B1 (ko) * 2011-11-10 2013-06-27 한국기초과학지원연구원 노드의 동적 상태 변화에 따른 라우팅 경로 결정 방법
US8904526B2 (en) * 2012-11-20 2014-12-02 Bank Of America Corporation Enhanced network security
JP5967222B2 (ja) * 2012-12-19 2016-08-10 日本電気株式会社 パケット処理装置、フローエントリの配置方法及びプログラム
US9585177B2 (en) 2013-12-11 2017-02-28 At&T Intellectual Property I, L.P. Cellular connection sharing
WO2015108700A1 (en) 2014-01-14 2015-07-23 Zsolutionz, LLC Sensor-based evaluation and feedback of exercise performance
WO2015108701A1 (en) 2014-01-14 2015-07-23 Zsolutionz, LLC Fuzzy logic-based evaluation and feedback of exercise performance
WO2015108702A1 (en) * 2014-01-14 2015-07-23 Zsolutionz, LLC Cloud-based initiation of customized exercise routine
US10043029B2 (en) 2014-04-04 2018-08-07 Zettaset, Inc. Cloud storage encryption
US10298555B2 (en) * 2014-04-04 2019-05-21 Zettaset, Inc. Securing files under the semi-trusted user threat model using per-file key encryption
US10873454B2 (en) 2014-04-04 2020-12-22 Zettaset, Inc. Cloud storage encryption with variable block sizes
RU2663708C1 (ru) * 2014-12-31 2018-08-08 Хуавей Текнолоджиз Ко., Лтд. Способ и устройство для передачи данных
CN105260429B (zh) * 2015-09-30 2019-04-26 河南科技大学 一种基于多重布隆过滤器的icn网络信息名字查找方法
US10944669B1 (en) 2018-02-09 2021-03-09 GoTenna, Inc. System and method for efficient network-wide broadcast in a multi-hop wireless network using packet echos
US11243321B2 (en) 2018-05-04 2022-02-08 Chevron U.S.A. Inc. Correcting a digital seismic image using a function of speed of sound in water derived from fiber optic sensing
EP3831021A1 (en) 2018-07-27 2021-06-09 Gotenna Inc. VINEtm ZERO-CONTROL ROUTING USING DATA PACKET INSPECTION FOR WIRELESS MESH NETWORKS
CN110119129A (zh) * 2019-05-10 2019-08-13 上海新联合电气有限公司 工业控制网络
RU2722925C1 (ru) * 2019-10-09 2020-06-04 Общество с ограниченной ответственностью "Доверенные Решения" (ООО "Доверенные Решения") Способ защищенного информационного обмена данными
RU2748966C1 (ru) * 2020-02-26 2021-06-02 Акционерное общество "Лаборатория Касперского" Способ синхронизации анонимных идентификаторов

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
US5677851A (en) * 1994-12-15 1997-10-14 Novell, Inc. Method and apparatus to secure digital directory object changes
US6085238A (en) * 1996-04-23 2000-07-04 Matsushita Electric Works, Ltd. Virtual LAN system
US5987011A (en) * 1996-08-30 1999-11-16 Chai-Keong Toh Routing method for Ad-Hoc mobile networks
US6266704B1 (en) * 1997-05-30 2001-07-24 The United States Of America As Represented By The Secretary Of The Navy Onion routing network for securely moving data through communication networks
DE19746904B4 (de) * 1997-10-23 2004-09-30 Telefonaktiebolaget L M Ericsson (Publ) Verkehrsdaten-Bewertungsgerät und zugeordnetes Verfahren für ein Netzwerk mit dynamischer Vermittlung
US6487170B1 (en) * 1998-11-18 2002-11-26 Nortel Networks Limited Providing admission control and network quality of service with a distributed bandwidth broker
JP2002534842A (ja) * 1998-12-23 2002-10-15 ノキア・ワイヤレス・ルーターズ・インコーポレーテッド アドホック・インターネットワーキングのための統一されたルーティング方式
JP2000235493A (ja) * 1999-02-12 2000-08-29 Fujitsu Ltd トレーディング装置
US6721555B1 (en) * 1999-02-19 2004-04-13 Qualcomm Incorporated System and method for facilitating device authentication in a wireless communications system
US6505254B1 (en) * 1999-04-19 2003-01-07 Cisco Technology, Inc. Methods and apparatus for routing requests in a network
US6757823B1 (en) * 1999-07-27 2004-06-29 Nortel Networks Limited System and method for enabling secure connections for H.323 VoIP calls
US6738900B1 (en) * 2000-01-28 2004-05-18 Nortel Networks Limited Method and apparatus for distributing public key certificates
US7278017B2 (en) * 2000-06-07 2007-10-02 Anoto Ab Method and device for secure wireless transmission of information
JP3729051B2 (ja) * 2000-10-18 2005-12-21 日本電気株式会社 インタードメインルーティング装置、システムおよび方法
DE10062303C2 (de) * 2000-12-14 2002-11-28 Layers Ag 7 Verfahren zum Betrieb eines Ad Hoc-Netzwerkes zur drahtlosen Datenübertragung von synchronen und asynchronen Nachrichten
WO2002057917A2 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
JP2002232410A (ja) * 2001-01-30 2002-08-16 Nippon Telegr & Teleph Corp <Ntt> 暗号化データの通信装置および通信方法
US7266085B2 (en) 2001-03-21 2007-09-04 Stine John A Access and routing protocol for ad hoc network using synchronous collision resolution and node state dissemination
CA2450224C (en) * 2001-06-14 2012-06-19 Meshnetworks, Inc. Routing algorithms in a mobile ad-hoc network
EP1282024A1 (en) * 2001-07-30 2003-02-05 Hewlett-Packard Company Trusted identities on a trusted computing platform
US7089298B2 (en) * 2001-08-20 2006-08-08 Nokia Corporation Naming distribution method for ad hoc networks
US6987764B2 (en) * 2001-11-05 2006-01-17 Qualcomm, Incorporated Method and apparatus for selecting a packet data serving node for multi-cast/broadcast services
US7512649B2 (en) * 2002-03-22 2009-03-31 Sun Microsytems, Inc. Distributed identities
JP2003316576A (ja) * 2002-04-25 2003-11-07 Hitachi Ltd アプリケーション制御方法及びその実施装置並びにその処理プログラム
US6954435B2 (en) * 2002-04-29 2005-10-11 Harris Corporation Determining quality of service (QoS) routing for mobile ad hoc networks
US6718394B2 (en) * 2002-04-29 2004-04-06 Harris Corporation Hierarchical mobile ad-hoc network and methods for performing reactive routing therein using ad-hoc on-demand distance vector routing (AODV)
US6879574B2 (en) * 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US8046832B2 (en) * 2002-06-26 2011-10-25 Microsoft Corporation Spam detector with challenges
US7395311B2 (en) * 2003-01-10 2008-07-01 Microsoft Corporation Performing generic challenges in a distributed system
US7606915B1 (en) * 2003-02-25 2009-10-20 Microsoft Corporation Prevention of unauthorized scripts
US20050132226A1 (en) * 2003-12-11 2005-06-16 David Wheeler Trusted mobile platform architecture

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100466859C (zh) * 2006-06-29 2009-03-04 华为技术有限公司 用于无线mesh网的业务QoS保证方法和装置
CN101657980B (zh) * 2007-04-13 2013-01-02 微软公司 分布式路由表体系结构和设计
CN106027456A (zh) * 2015-03-25 2016-10-12 瞻博网络公司 用于对网络设备进行认证的装置和方法
CN110189331A (zh) * 2018-05-31 2019-08-30 上海快仓智能科技有限公司 建图方法、图像采集和处理***和定位方法
US11075763B2 (en) * 2019-02-15 2021-07-27 International Business Machines Corporation Compute digital signature authentication sign with encrypted key instruction
US11108567B2 (en) 2019-02-15 2021-08-31 International Business Machines Corporation Compute digital signature authentication verify instruction
US11303456B2 (en) 2019-02-15 2022-04-12 International Business Machines Corporation Compute digital signature authentication sign instruction

Also Published As

Publication number Publication date
US9866395B2 (en) 2018-01-09
WO2004068722A2 (en) 2004-08-12
CA2513653A1 (en) 2004-08-12
US20080320305A1 (en) 2008-12-25
KR20050103205A (ko) 2005-10-27
WO2004068722A3 (en) 2004-12-16
US20120311334A1 (en) 2012-12-06
US20060136721A1 (en) 2006-06-22
EP1590915A4 (en) 2010-05-19
AU2004207949A1 (en) 2004-08-12
EP1590915A2 (en) 2005-11-02
EP2562980A1 (en) 2013-02-27
CA2513653C (en) 2013-10-01
JP2006517077A (ja) 2006-07-13
AU2004207949B2 (en) 2009-12-10
US20160323113A1 (en) 2016-11-03
AU2004207949A8 (en) 2004-08-12
US9391806B2 (en) 2016-07-12
RU2334362C2 (ru) 2008-09-20
RU2005126731A (ru) 2006-03-27
BRPI0406978A (pt) 2006-01-10
AU2004207949B8 (en) 2010-05-13

Similar Documents

Publication Publication Date Title
CN1762123A (zh) 使未采用集中管理的匿名非信任方之间的通信和资源共享安全的方法与装置
CN1286039C (zh) 维护Internet域名数据的方法和装置
CN1222896C (zh) 用户简档数据的管理
CN1578265A (zh) 语义信息网络(sion)
CN100336352C (zh) 内容发布***、描述数据发布设备和内容发布方法
CN1678993A (zh) Web服务设备和方法
CN1306715A (zh) 用于在互联网路由提供商之间互连的专用网络接入点路由器
CN1711740A (zh) 轻度可扩展验证协议的密码预处理
CN1575466A (zh) 存在管理的实现
CN1846419A (zh) 自管理媒介信息流
CN1754351A (zh) 一种用于在网络中证实可达性的通信模型、信号、方法和设备 ,在该网络中,通过将静态标识符与动态分配的网络地址彼此相关联来获得主机可达性
CN1695339A (zh) 用于万维网服务的动态互通性合同
CN1525709A (zh) 名称解析服务器和分组传送设备
CN1607781A (zh) 利用连接操作进行网络负载平衡
CN1685672A (zh) 通信控制方法及***,数据包转发及监测方法和***
CN1729460A (zh) 通信方法、通信***、中继***、通信程序、中继***用程序、邮件发送的***、方法及程序
CN1222902C (zh) 通信网中的方法和设备
CN1695123A (zh) 万维网服务之间的安全措施的动态协商
CN1799228A (zh) 数据联网
CN101069169A (zh) 在网络元件处缓存内容和状态数据
CN1910870A (zh) 负载分散方法、节点和控制程序
CN1941699A (zh) 密码方法、主机***、可信平台模块和计算机安排
CN1509577A (zh) Ip多媒体中的存在服务器
CN1961531A (zh) 网络体系结构
CN1956424A (zh) 基于分布式网关的通信方法及应用

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20060419