[发明专利]利用帧属性的可配置业务分组引擎

说明书

本发明涉及一种用于根据预定的密码协议对至少一个分组(P1、P2)进行加密的加密单元(3200)，其中所述预定的密码协议需要交换业务信道信息，其中所述业务信道信息具有第一位长度，所述加密单元包括：分组分析器(3210)，其被配置为识别分组(P1、P2)是否具有未使用的位；分组构建器(3220)，其被配置为如果未使用的位的数目等于或大于第一位长度，则在分组(P1、P2)中插入业务信道信息；和加密引擎(3230)，其被配置为根据预定的密码协议对分组(P1、P2)进行加密。

技术领域

本发明总体涉及加密技术领域。更具体地说，本发明涉及一种用于在加密信道上传输业务信道信息的方法和设备。进一步更具体地说，本发明允许在不改变数据流的延迟时间的情况下传输业务信道信息。

背景技术

使用加密技术在网络上传输数据正变得越来越重要。由于目前用于实现网络信道的技术通常无法防止窃听，因此保护数据的一种方法是在发送机对其进行加密并且在接收机对其进行解密。

图1示意性地示出了网络1000，其中数据通过加密信道1300从发送机1100传输到接收机1500。特别地，为了创建加密信道1300，加密单元1200在将数据转发到信道1300之前对其进行加密。相应的解密单元1400在将数据传输到接收机1500之前对其进行解密。

通常，优选地配置加密单元1200和解密单元1400，以便对发送机1100和接收机1500透明。即，发送机1100和接收机1500在不知道加密单元1200和解密单元1400的存在的情况下进行工作。该方法是优选的，因为它允许将加密单元1200和解密单元1400改造为已经存在的网络1000。此外，其允许在不对发送机1100和接收机1500进行任何改变的情况下更新用于加密单元1200和解密单元1400的技术。最后，通过保持发送机1100和接收机1500独立于加密单元1200和解密单元1400进行工作，由于没有创建复杂的相互依赖性，所以可以更容易地管理这两个系统。

加密单元1200和解密单元1400通常需要交换数据，这将被称为业务信道信息。例如，这些数据能够是加密密钥，这些密钥会定期更改以提高安全性。一般来说，它能够是执行加密所需的任何信息。例如，一个物理加密信道1300能够包括多个逻辑加密信道，其数量和特性能够随着时间而改变。这些信息需要在加密单元1200和解密单元1400之间共享。因此，加密单元1200和解密单元1400需要交换业务信道信息。

交换业务信道信息的一种可能方法包括允许加密单元1200在将经修改的数据流转发到信道1300之前，将业务信道信息插入来自发送机1100的数据流中。

然而，这是一个缺点。特别地，这改变了发送机和接收机之间的延迟时间，这取决于是否插入了业务信道信息分组。参考图2A和2B将更清楚地理解这一点。

图2A示意性地示出了用于在不插入任何业务信道信息的情况下将两个分组P1和P2从发送机1100传输到接收机1500的时间流。分组P1、P2可以是数据分组、控制分组，或者更一般地是从发送机1100传输到接收机1500的任何分组。在时间T0a，分组P1离开发送机1100。在时间T1a，分组P2离开发送机1100。从发送机1100到接收机1500的延迟具有值DT。在等于T0a+DT的时间T2a，分组P1到达接收机1500。在等于T1a+DT的时间T3a，分组P2到达接收机1500。T3a和T2a之间的时间差与T1a和T0a之间的时间差相同，这意味着后续分组P1和P2之间的延迟时间在接收机1500处保持为与其在发送机1100处具有的值相同的值。

图2B示意性地示出了用于从发送机1100向接收机1500传输两个分组P1和P2的时间流，其中插入了一个包含业务信道信息的分组PSC。在时间T0b，分组P1离开发送机1100。在时间T1b，分组P2离开发送机1100。分组P1和P2之间的延迟时间与图2A的情况相同。