[发明专利]用于保留网络中的数据分组的相对定时和排序的方法和装置

说明书

分组网络包括执行分组处置的分组引擎（50）。密码引擎（60）与分组引擎（50）分开提供，以用于加密和/或认证操作。为了保留数据分组的相对定时和排序，分组引擎（50）执行数据业务的预成形，其中分组引擎（50）将虚设分组（59）插入到数据流中。分组引擎（50）向密码引擎（60）提供预成形数据业务。

技术领域

本发明涉及分组网络中的数据传输。本发明特别地涉及用于在分组网络中传送数据分组的方法和装置，所述方法和装置通过使用例如加密和/或认证来提供安全端到端路径或安全段。本发明涉及此类方法和装置，所述此类方法和装置适于任务关键应用，例如但不限于工业自动化控制系统，特别是用于监控和控制电力安装的网络。本发明特别地涉及在执行加密和/或认证操作的密码引擎中和/或在沿安全端到端路径传输期间保留分组的相对定时和排序的方法和装置。

背景技术

为了保证分组网络中数据传输的完整性和认证，信息需要被加密和/或认证。因此，数据流中的分组的主要部分由其加密和/或认证的副本（counterpart）替换。常规上，加密和/或认证协议需要向流中添加分组/从流中删除分组，连同分组大小的相应扩大或减小。当在网状网络的中间节点处与已处理和未处理的子流的必要的并行处置组合时，由于加密和/或认证而引起的改变流特性可导致端到端延迟的显著变化和改变的分组顺序。

甚至当加密和/或认证以线速执行并且仅插入小的恒定延迟时，分组的插入和分组大小的扩大也能增加不确定性延迟、抖动和延迟变化。

对于在任务关键应用中使用的确定性控制算法，端到端延迟的显著变化和改变的分组顺序一般是不可容忍的。用来解决与端到端延迟的显著变化和改变的分组顺序关联的这些问题的一种方法是，刚好在传输之前，即在已经执行了加密和/或认证操作之后，对关键分组进行时间戳记。出于各种原因，这可能是不期望的。为了说明，这种方法可能会增加复杂性。它还需要执行加密和/或认证操作的装置被置于时间戳记上下文中，即，了解和使用时间戳记协议。

发明内容

本发明的目的是要提供用于分组网络中数据传输的改进方法、装置和系统。特别地，一个目的是要提供改进的方法、装置和系统，它们在分组网络中提供加密和/或认证的数据传输，同时减轻与不确定性的延迟、抖动和延迟变化关联的问题。还有一个目的是提供改进的方法、装置和系统，它们保留分组排序，而不需要在加密和/或认证操作已经被应用于数据分组之后执行时间戳记。

根据示范性实施例，提供了通过在中间节点处将数据分组时间戳记并分离成并行处理流之前在分组引擎中添加虚设分组和/或扩大分组间间隙来执行数据业务预成形的方法和装置。

由于数据业务的预成形，不需要在执行加密和/或认证操作的密码引擎处添加附加数据分组。由密码引擎扩大的数据分组只生长到空的分组间间隙中。因此，在中间节点处“要处理”的子流和“不要处理”的子流的分离和组合自然交织。保留分组定时和排序。

示范性实施例为加密和/或认证的数据分组传输提供了线状确定性，即使在通过复杂网状网络传送时也如此，因为所公开的方法和装置能够保留相对定时和排序，（a）而不需要由执行加密和/或认证操作的密码引擎插入新的数据分组，以及（b）而不需要密码引擎在加密和/或认证操作之后执行时间戳记。

根据本发明的一方面，提供了一种保留在分组网络中传送的数据分组的相对定时和排序的方法。分组网络包括执行分组处置的分组引擎，其中密码引擎与分组引擎分开提供，以用于加密和/或认证操作。所述方法包括由分组引擎对数据业务预成形，其中分组引擎将虚设分组插入到数据流中。所述方法包括由分组引擎向密码引擎提供预成形数据业务。

密码引擎可以与分组引擎物理分离，并且可以经由以太网或光缆连接到分组引擎。通过密码引擎和分组引擎的物理分离增强了安全性。

如本文所使用的，术语“密码引擎”指的是被配置成执行加密/解密和/或认证操作的装置。密码引擎可以可选地具有专用组件，例如用于执行加密/解密和/或认证操作的物理随机数生成器。