專利名稱::用于提供安全網(wǎng)絡(luò)通信的系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本公開一般涉及聯(lián)網(wǎng)計算系統(tǒng)�,尤其涉及一種用于提供安全網(wǎng)絡(luò)通信的系統(tǒng)和方法。
背景技術(shù):
:通常為了安全有必要在網(wǎng)絡(luò)上具有加密業(yè)務(wù)(encryptedtraffic)�����??墒牵诖笠?guī)模嵌入式部署中��,實現(xiàn)典型的網(wǎng)絡(luò)安全(例如IPSec或其它加密網(wǎng)絡(luò)引擎)所涉及的處理開銷�,結(jié)合有限的處理資源,使其在嵌入式設(shè)備中不能實現(xiàn)�。
發(fā)明內(nèi)容本公開提供了一種用于提供安全網(wǎng)絡(luò)通信的系統(tǒng)和方法�。在第一實施例中,一種方法包括在第一端點設(shè)備中從第一嵌入式節(jié)點接收數(shù)據(jù)消息���。所述第一數(shù)據(jù)消息被定址到第二嵌入式節(jié)點。該方法還包括使用第2層加密過程對所述第一數(shù)據(jù)消息加密以產(chǎn)生加密數(shù)據(jù)消息����。所述加密對所述第一嵌入式節(jié)點透明(transparent)。該方法進一步包括傳送所述加密數(shù)據(jù)消息至第二端點設(shè)備���。一些實施例還包括在所述第二端點設(shè)備中接收所述加密數(shù)據(jù)消息�,解密所述加密數(shù)據(jù)消息以產(chǎn)生與所述第一數(shù)據(jù)消息相對應(yīng)的第二數(shù)據(jù)信息���,并將所述第二數(shù)據(jù)消息傳送至所述第二嵌入式節(jié)點ο在第二實施例中�����,一種裝置包括多個嵌入式節(jié)點端口�,每個都配置為與嵌入式節(jié)點通信��。所述裝置還包括配置為與端點設(shè)備通信的加密通信鏈路端口���。所述裝置進一步包括被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信的控制器�����,此處所述控制器與配置為使用第2層加密過程加密形成數(shù)據(jù)消息的分組的加密控制器相關(guān)聯(lián)�����。另外�����,所述裝置包括被連接以由所述控制器從中讀取和寫入的貯存器�。一些實施例還包括與所述加密控制器相關(guān)聯(lián)的存儲器����,此處所述存儲器存儲加密密鑰對和識別至少一個其它端點設(shè)備的信息。在第三實施例中�����,一種通信網(wǎng)絡(luò)包括多個嵌入式節(jié)點和第一端點設(shè)備��。所述第一端點設(shè)備具有多個嵌入式節(jié)點端口����,每個都配置為與嵌入式節(jié)點通信。所述第一端點設(shè)備還包括配置為與第二物理網(wǎng)絡(luò)上的第二端點設(shè)備通信的加密通信鏈路端口�����,從而形成具有所述第一端點設(shè)備的單個邏輯網(wǎng)絡(luò)。所述第一端點設(shè)備進一步包括被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信并且被配置為執(zhí)行第2層加密的控制器�。另外,所述第一端點設(shè)備包括被連接以由所述控制器從中讀取和寫入的貯存器����。一些實施例還包括多個第二嵌入式節(jié)點。所述第二端點設(shè)備具有每個都配置為與多個第二嵌入式節(jié)點中相應(yīng)的一個進行通信的多個嵌入式節(jié)點端口���,配置為與所述第一端點設(shè)備通信的加密通信鏈路端口����,被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信的控制器��,以及被連接以由所述控制器從中讀取和寫入的貯存器�����。從下列附圖���、說明和權(quán)利要求中����,其它技術(shù)特征對于本領(lǐng)域技術(shù)人員可以很容易顯而易見。為了更完整的理解本公開�����,現(xiàn)在結(jié)合以下附圖參考下列說明�,其中圖1是根據(jù)本公開的一個實施例的示例通信網(wǎng)絡(luò)100的方框圖;圖2是根據(jù)本公開的一個實施例的端點的方框圖����;圖3說明根據(jù)本公開的一個實施例的用于提供安全網(wǎng)絡(luò)通信的示例方法��;并且圖4是根據(jù)本公開的一個實施例的端點設(shè)備的更詳細的方框圖����。具體實施例方式圖1是根據(jù)本公開的一個實施例的示例通信網(wǎng)絡(luò)100的方框圖。圖1中所示的通信網(wǎng)絡(luò)100的實施例僅用于示例����。通信網(wǎng)絡(luò)100的其他實施例可被采用而不背離本公開的范圍。如圖1所示�,各種公開的實施例包括網(wǎng)絡(luò)端點設(shè)備,表示為第一端點設(shè)備130a和第二端點設(shè)備130b�����,其能加密兩個單獨網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)業(yè)務(wù)。在該圖中��,第一通信網(wǎng)絡(luò)110通過由端點設(shè)備130a和130b管理的加密通信鏈路140與第二通信網(wǎng)絡(luò)120通信��。通過直接連接或經(jīng)由易受攻擊的公共或?qū)S镁W(wǎng)絡(luò)的連接上的加密通信����,這允許上述兩個網(wǎng)絡(luò)之間的安全通信。在該圖中�����,第一端點設(shè)備130a被連接以與嵌入式節(jié)點112a_112d通過任何已知通信手段(例如以太網(wǎng)���、串行通信���、硬連線或者無線通信,等等)進行通信���。第一端點設(shè)備130a和嵌入式節(jié)點112a-112s—起形成第一通信網(wǎng)絡(luò)110��。注意盡管在這個示例中示出四個嵌入式節(jié)點����,根據(jù)期望的實現(xiàn)可以使用更多或更少的節(jié)點。類似的���,在該圖中�����,第二端點設(shè)備130b被連接以與嵌入式節(jié)點122a_122d通過任何已知通信手段(例如以太網(wǎng)�、串行通信�����、硬連線或者無線通信�,等等)進行通信���。第二端點設(shè)備130b和嵌入式節(jié)點122a-122s—起形成第二通信網(wǎng)絡(luò)120��。注意盡管在這個示例中示出四個嵌入式節(jié)點�,根據(jù)期望的實現(xiàn)可以使用更多或更少的節(jié)點�。根據(jù)各種的實施例,每個端點設(shè)備130a/130b具有嵌入式節(jié)點112a_d和122a_d分別附接到的多個端口�����。每個嵌入式節(jié)點能與相應(yīng)的嵌入式設(shè)備相關(guān)聯(lián),這被本領(lǐng)域的技術(shù)人員所熟知��。該嵌入式節(jié)點與連接至其它端點的節(jié)點進行通信�����,并且反之亦然�。例如,嵌入式節(jié)點112a_d中的一個或多個能與嵌入式節(jié)點122a_d中的一個或多個通信�。所述端點通過加密通信鏈路140中繼業(yè)務(wù),能使用任何已知的技術(shù)加密業(yè)務(wù)�,包括因特網(wǎng)協(xié)議安全性(IPSec)、無線加密協(xié)議(WEP)�、高級加密標準(AES)和其它。該加密通信鏈路140能被用于傳送數(shù)據(jù)業(yè)務(wù)�����,該數(shù)據(jù)業(yè)務(wù)包括廣播�、組播、專有私人或商業(yè)數(shù)據(jù)和在兩個網(wǎng)絡(luò)之間無需修改IP層網(wǎng)絡(luò)信息的其他形式的業(yè)務(wù)�����。在所述兩個端點之間的所有業(yè)務(wù)可被加密。所述端點設(shè)備130a/130b能執(zhí)行所有網(wǎng)絡(luò)處理以加密和解密分組����。在加密通信鏈路140任一側(cè)上的網(wǎng)絡(luò)110/120可在相同的子網(wǎng)中或者在不同的子網(wǎng)中。該加密部分任一側(cè)上的節(jié)點112a-112d和122a-122d能彼此之間互相通信而無需知道該加密鏈路存在���。因此���,公開的端點設(shè)備能以對嵌入式節(jié)點透明(transparent)的方式實現(xiàn)在相同邏輯網(wǎng)絡(luò)上的兩個不同的物理網(wǎng)絡(luò)的連接。在各種公開的實施例中��,端點設(shè)備130a/130b還能夠按照實現(xiàn)的需要作為防火墻或速率限制器�。而且,能夠采用MAC層或其他安全措施�,包括監(jiān)控未授權(quán)的媒體訪問控制(MAC)地址,禁用未授權(quán)節(jié)點附接到的端口�����,和其他有關(guān)使網(wǎng)絡(luò)安全的方法�����。圖2是根據(jù)本公開的一個實施例的能被用作端點設(shè)備130a/130b的端點設(shè)備230的方框圖�。圖2所示的端點設(shè)備230的實施例僅用于示例。端點設(shè)備230的其他實施例可被使用而不背離本公開的范圍����。根據(jù)一個公開的實施例,端點設(shè)備230被實施為嵌入式計算機系統(tǒng)��。端點設(shè)備230包括多個嵌入式節(jié)點端口212a-212d���,其配置為與嵌入式節(jié)點���,例如嵌入式節(jié)點112a_112d連接并與之通信。此外�,雖然這個示例中示出了四個嵌入式節(jié)點端口,但端口的數(shù)目可根據(jù)需要的實現(xiàn)被增加或減少����。嵌入式節(jié)點端口212a-212d可采用任何已知通信端口(特別是包括常規(guī)以太網(wǎng)端口)實現(xiàn)。端點設(shè)備230還包括被配置為通過加密通信鏈路140連接和通信的加密通信鏈路端口240���。注意在其他實施方式中���,加密通信鏈路端口可包括RF收發(fā)機和本領(lǐng)域技術(shù)人員所知的實現(xiàn)無線通信鏈路的相關(guān)的硬件和軟件。加密通信鏈路端口240可采用任何已知的通信端口(特別包括常規(guī)以太網(wǎng)端口)實現(xiàn)�。端點設(shè)備230進一步包括被配置并連接以與嵌入式節(jié)點端口212a_d和加密通信鏈路端口240通信的控制器250��?���?刂破?50(其可被實現(xiàn)為例如微處理器或微控制器)還與貯存器260(其可被實現(xiàn)為任何計算機可用介質(zhì))通信�����?���?刂破?50可被配置以執(zhí)行操作系統(tǒng)、網(wǎng)絡(luò)驅(qū)動器���、加密驅(qū)動器和作用于中繼業(yè)務(wù)的過濾軟件����。所述軟件��,存儲在貯存器260中���,可被配置為附接兩個獨立的網(wǎng)絡(luò)接口(例如嵌入式節(jié)點端口212a-212d和加密通信鏈路端口240)并且將輸入在一個接口上的所有業(yè)務(wù)中繼至另一個的輸出,并且反之亦然���。加密控制器270���,與控制器250相關(guān)聯(lián)���,可被配置為加密所有輸出的業(yè)務(wù)和解密所有輸入的業(yè)務(wù),而不管待通過加密通信鏈路端口240傳送的源或目的地MAC或IP地址��。端點設(shè)備230還可被配置為透明地執(zhí)行速率限制和對不期望的業(yè)務(wù)進行過濾/拒絕�。在各種實施例中,加密控制器被實現(xiàn)為FPGA���。在各種實施例中��,控制器250僅作用于在報頭中包裝(wrap)經(jīng)過的業(yè)務(wù)并且在解密(入站)后或在加密(出站)前對輸入/輸出的業(yè)務(wù)執(zhí)行防火墻(Firewalling)或其他活動��,并且為端點設(shè)備230執(zhí)行其它一般的路由和控制功能���。在一些實施例中,如果使得該設(shè)備支持專有網(wǎng)絡(luò)���,例如來自HONEYWELLINTERNATIONALINC的容錯以太網(wǎng)(FAULTTOLERANTETHERNET,FTE)網(wǎng)絡(luò)�����,它還作為FTE控制器��。在一些實施例中�����,控制器250獨立于加密控制器270并且“不知道”該加密控制器270�����,使得加密控制器270執(zhí)行其功能而無需控制器250的任何控制或與控制器250的交互���,除了傳送數(shù)據(jù)分組之外�����。當加密分組到達時���,以太網(wǎng)物理層(PHY)將接收的模擬信號轉(zhuǎn)換為媒體獨立接口(MII)總線上的數(shù)字分組,并且該分組由加密控制器270接收��,其對分組(使用第2層方案對其進行加密)進行解密����。然后它將未加密的分組傳送至控制器250��,其對有效載荷進行打開(unwrap),對產(chǎn)生的分組(無論它是UDP���、TCP�、IP���、FTE��、組播還是其它)執(zhí)行過濾���,并且把它傳送至嵌入式節(jié)點。類似的�����,當來自嵌入式節(jié)點的未加密的分組到達時��,控制器250接收其�,執(zhí)行任何過濾或速率限制,然后把它包裝在報頭中����,如以下更詳細的描述的�?����?刂破魅缓蟀阉鼈魉椭良用芸刂破?70��,加密控制器270加密整個包裝的分組(MAC地址等等)�,將它封裝在第2層幀中,并且把它送出至以太網(wǎng)PHY���,以太網(wǎng)PHY把它轉(zhuǎn)換成線路的模擬信號�����。圖3示出了根據(jù)本公開的一個實施例的用于提供安全網(wǎng)絡(luò)通信的示例方法300����。圖3所示的方法300的實施例僅用于示例��。方法300的其他實施例可被使用而不背離本公開的范圍���。在步驟302中���,嵌入式節(jié)點112a針對嵌入式節(jié)點122a傳送第一數(shù)據(jù)消息�����。第一數(shù)據(jù)消息可以例如被格式化為常規(guī)因特網(wǎng)協(xié)議(IP)消息并且被定址到嵌入式節(jié)點122a��。在步驟304中,第一端點設(shè)備130a接收該第一數(shù)據(jù)消息并且加密該數(shù)據(jù)消息以產(chǎn)生加密數(shù)據(jù)消息�。在步驟306中,第一端點設(shè)備130a經(jīng)由加密通信鏈路140向第二端點設(shè)備130b傳送該加密數(shù)據(jù)消息�����。在步驟308中����,第二端點設(shè)備130b接收該加密數(shù)據(jù)消息并且把它解密以產(chǎn)生與第一數(shù)據(jù)消息相對應(yīng)的第二數(shù)據(jù)消息。在步驟310中�����,第二端點設(shè)備130b把該第二數(shù)據(jù)消息傳送至嵌入式節(jié)點122a����。在該第一和第二端點設(shè)備之間的加密和傳輸對嵌入式節(jié)點112a和122a透明。在嵌入式節(jié)點之間的應(yīng)答消息和其它消息可使用如上描述的相同或相似過程來完成。在一些實施例中�����,單個嵌入式節(jié)點能向多個接收嵌入式節(jié)點“組播”或廣播消息���。圖4是根據(jù)本公開的一個實施例的端點設(shè)備230的更詳細方框圖�。圖4還包括在處理過程中發(fā)生的分組事件的圖示��。端點設(shè)備230包括可以被實現(xiàn)為例如以太網(wǎng)接口的嵌入式節(jié)點端口212a和212b(以及其他)�����。這些嵌入式節(jié)點端口可被連接以通過交換機410彼此之間互相通信��。每個嵌入式節(jié)點端口可與相應(yīng)的嵌入式節(jié)點(例如嵌入式節(jié)點122a)通信��。這些通信可以是基于分組的并且可包括未加密的分組數(shù)據(jù)�����,表示為分組402��。例如通過該領(lǐng)域的技術(shù)人員所熟知的媒體獨立接口(MII)總線����,該嵌入式節(jié)點端口212a/b和/或交換機410與控制器250通信����。這些通信也可以是基于分組的并且可包括未加密的分組數(shù)據(jù)��,表示為分組404����。控制器250可包括MAC過濾器和IP過濾器�,其可被用于對不來自于其他授權(quán)端點的業(yè)務(wù)進行過濾����。控制器250能實現(xiàn)其他已知的商業(yè)�����、公共�、或者專有功能。在一些實施例中�,處理器250還使用任何已知的公共或者專用包裝技術(shù)在包裝器(wrapper)中包裝分組404,并且包括初始分組404作為其有效載荷�。在一些實施例中經(jīng)由MII總線����,該被包裝的分組被傳送到加密控制器420�����,表示為分組406��。加密控制器420可被實現(xiàn)為微處理器���、微控制器或者其它�����,包括實現(xiàn)為現(xiàn)場可編程門陣列(FPGA)�。此外����,加密控制器420的功能可以由控制器250實現(xiàn)。在一些實施例中��,加密控制器420與安全的��、加密的閃存422相關(guān)聯(lián)���。閃存422能包含每個授權(quán)端點設(shè)備的加密密鑰對和MAC地址���。在特定實施例中�,閃存422由制造商編程并且不能由終端用戶訪問����。在各種實施例中,加密控制器420加密整個分組406并且用它自己的MAC地址附加在第2層報頭上�����,表示為分組408�����。在各種實施例中�����,分組408具有有效載荷����,有效載荷是包括分組406和第2層之上的所有報頭在內(nèi)的加密數(shù)據(jù)�����。加密控制器420然后把分組408傳送至可被實現(xiàn)為以太網(wǎng)接口的加密通信鏈路端口240。該通信可經(jīng)由MII總線���。在一些實施例中����,加密由在FPGA中的商業(yè)的����、公共可用的、或?qū)S玫拇a在第2層完成��,并且不由可能具有已知易受攻擊性的高級操作系統(tǒng)完成�。在第2層執(zhí)行加密的優(yōu)勢是除了兩個端點的源和目的地MAC地址之外沒有未加密數(shù)據(jù),因此甚至保護了嵌入式節(jié)點的MAC地址��,即使當業(yè)務(wù)是MAC廣播時���。當兩個端點設(shè)備正在通信時�,在一些實施例中�,它們交換一連串的握手分組以采用基于旋轉(zhuǎn)時間表(rotatingtimetable)的代碼建立可靠性。在各種實施例中��,這兩個端點設(shè)備通過交換和測試(解密和驗證)加密消息來驗證加密密鑰,從而執(zhí)行詢問/響應(yīng)的交換��。在各種實施例中��,加密和解密對第二嵌入式節(jié)點透明�。在各種實施例中,解密對第一嵌入式節(jié)點透明����。在各種實施例中,第二數(shù)據(jù)消息與第一數(shù)據(jù)消息相同���。在各種實施例中���,加密控制器被配置為從嵌入式節(jié)點端口接收第一數(shù)據(jù)消息,力口密該第一數(shù)據(jù)消息以產(chǎn)生加密數(shù)據(jù)消息��,并且將該加密數(shù)據(jù)消息傳送到加密通信鏈路端口�����。在各種實施例中����,該控制器被配置為從該加密通信鏈路端口接收加密數(shù)據(jù)消息,解密該加密數(shù)據(jù)消息以產(chǎn)生解密數(shù)據(jù)消息����,并且將該解密數(shù)據(jù)消息傳送到至少一個嵌入式節(jié)點端口。在各種實施例中����,該控制器被配置為執(zhí)行對連接到該嵌入式節(jié)點端口的設(shè)備透明的加密過程。在各種實施例中����,該控制器被配置為透明地執(zhí)行速率限制功能。在各種實施例中���,該控制器被配置為使用IP過濾或媒體訪問控制(MAC)過濾中的至少一個來透明地執(zhí)行對不期望的業(yè)務(wù)的過濾�����。在一些實施例中�����,該控制器被配置為執(zhí)行操作系統(tǒng)�、網(wǎng)絡(luò)驅(qū)動器、力口密驅(qū)動器和過濾軟件����。術(shù)語“第2層”涉及協(xié)議棧的數(shù)據(jù)鏈路層,如本領(lǐng)域的技術(shù)人員所熟知���,并且由數(shù)據(jù)通信的開放系統(tǒng)互連(OSI)模型所定義����,由此引入作為參考���。第2層在本地電信設(shè)備和遠程目的地之間建立物理連接并且將數(shù)據(jù)幀定義為在節(jié)點之間的物理傳輸媒介��。第2層主要用于在電信設(shè)備或設(shè)施之間的高速度/高數(shù)據(jù)吞吐量的點到點應(yīng)用����。為了實現(xiàn)這些高速度�,硬件加密被主要使用。在這一層的加密封裝經(jīng)過該鏈路的任何第2層協(xié)議�����,而不像僅IP分組被加密的第3層��。因此��,第2層加密對點到點應(yīng)用(其中路由不被考慮)更加靈活�。第2層加密還提供平臺獨立性,因為客戶端系統(tǒng)將不需要特別的軟件或者硬件以管理路由決定���。虛擬專用網(wǎng)絡(luò)(VPN)是通常用于描述在公共共享網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)中分離專用業(yè)務(wù)的能力的術(shù)語�����,并且通常是第3層的解決方案��。多數(shù)VPN市場集中在第3層的隧穿和加密�����,并且由此經(jīng)受了與路由決定和上面討論的易受攻擊性相關(guān)聯(lián)的配置開銷�。在一些實施例中�,如上描述的各種功能由計算機可讀程序代碼形成的和在計算機可用介質(zhì)中包含的計算機程序來實現(xiàn)和支持。短語“計算機可讀程序代碼”包括任何類型的計算機代碼���,包括源代碼�、目標代碼和可執(zhí)行代碼����。短語“計算機可用介質(zhì)”包括能夠由計算機訪問的任何類型的介質(zhì)�����,例如只讀存儲器(ROM)����、隨機存取存儲器(RAM)����、硬盤驅(qū)動器、光盤(CD)����、數(shù)字視頻盤(DVD)或者任何其它類型的存儲器。闡明在整個該專利文獻中使用的某些詞和短語的定義可能是有益的����。術(shù)語“耦合”和它的派生詞指的是在兩個或更多個元件之間的任何直接或者間接的通信,無論那些元件是否物理上與另外一個接觸����。術(shù)語“應(yīng)用”指的是一個或多個計算機程序、指令集�����、過程、功能��、對象���、類、實例或者適于以合適的計算機語言實現(xiàn)的相關(guān)數(shù)據(jù)����。術(shù)語“包括”和“包含”及其派生詞意味著沒有限制的包括。術(shù)語“或”是廣泛的�����,意味著和/或�。短語“相關(guān)聯(lián)”和“與之相關(guān)聯(lián)”及其派生詞可意味著包括、被包括在內(nèi)�����、與之互連�����、包含、被包含在內(nèi)�����、連接到或與之連接�����、耦合至或者與之耦合����、可與之通信、與之合作�、交錯、使并列���、接近�、綁定到至或者與之綁定����、具有、具有性質(zhì)等等��。術(shù)語“控制器”意味著任何設(shè)備���、系統(tǒng)或者控制至少一個操作的其一部分�����?���?刂破骺稍谟布?��、固件��、軟件或者至少同樣兩個的一些組合中被實現(xiàn)����。與任何特定的控制器相關(guān)的功能性可以是集中式的或者分布式的���,無論本地地還是遠程地�。盡管本公開已經(jīng)描述了某些實施例和一般相關(guān)聯(lián)的方法�,但這些實施例和方法的改變和替換對本領(lǐng)域技術(shù)人員將是明顯的。因此��,示例實施例的上述說明并不限定或者限制本公開�����。在不背離以下權(quán)利要求所定義的本公開的精神和范圍的情況下,其他改變�����、代替和改動也是可能的���。權(quán)利要求一種方法包括在第一端點設(shè)備(130a)中從第一嵌入式節(jié)點(112a-112d)接收(304)數(shù)據(jù)消息����,第一數(shù)據(jù)消息被定址到第二嵌入式節(jié)點(122a-122d)��;使用第2層加密過程加密(304)所述第一數(shù)據(jù)消息以產(chǎn)生加密數(shù)據(jù)消息����,所述加密對所述第一嵌入式節(jié)點透明;以及將所述加密數(shù)據(jù)消息傳送(306)至第二端點設(shè)備(130b)�����。2.如權(quán)利要求1所述的方法�,進一步包括在所述第二端點設(shè)備中接收(306)所述加密數(shù)據(jù)消息;解密(308)所述加密數(shù)據(jù)消息以產(chǎn)生與所述第一數(shù)據(jù)消息相對應(yīng)的第二數(shù)據(jù)消息��;以及將所述第二數(shù)據(jù)消息傳送(310)至所述第二嵌入式節(jié)點。3.如權(quán)利要求2所述的方法�����,其中所述加密和解密對所述第二嵌入式節(jié)點透明�����;以及所述解密對所述第一嵌入式節(jié)點透明����。4.如權(quán)利要求1所述的方法���,其中所述第二數(shù)據(jù)消息與所述第一數(shù)據(jù)消息相同�。5.一種裝置包括多個嵌入式節(jié)點端口(212a-212d)����,每個都配置為與嵌入式節(jié)點(112a-112d,122a-122d)通信�;加密通信鏈路端口(240),配置為與端點設(shè)備(130a-130b)通信��;控制器(250)����,被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信�,所述控制器與被配置為使用第2層加密過程加密形成數(shù)據(jù)消息的分組的加密控制器(270��,420)相關(guān)聯(lián)���;以及貯存器(260)�,被連接以由所述控制器從中讀取和寫入���。6.如權(quán)利要求5所述的裝置����,其中所述加密控制器被配置為從嵌入式節(jié)點端口接收第一數(shù)據(jù)消息�����,加密所述第一數(shù)據(jù)消息以產(chǎn)生加密數(shù)據(jù)消息����,以及將所述加密數(shù)據(jù)消息傳送到所述加密通信鏈路端口。7.如權(quán)利要求5所述的裝置���,其中所述加密控制器被配置為從所述加密通信鏈路端口接收加密數(shù)據(jù)消息����,解密所述加密數(shù)據(jù)消息以產(chǎn)生解密數(shù)據(jù)消息,并且將所述解密數(shù)據(jù)消息傳送到所述嵌入式節(jié)點端口中的至少一個���。8.如權(quán)利要求5所述的裝置���,進一步包括與所述加密控制器相關(guān)聯(lián)的存儲器(422),所述存儲器存儲加密密鑰對和識別至少一個其它端點設(shè)備的信息��。9.如權(quán)利要求5所述的裝置��,其中所述控制器被配置為透明地執(zhí)行以下中的至少一個速率限制功能�;以及使用IP過濾或媒體訪問控制(MAC)過濾中的至少一個對不期望的業(yè)務(wù)進行過濾。10.一種通信網(wǎng)絡(luò)����,包括多個嵌入式節(jié)點(112a-112d)��;以及在第一物理網(wǎng)絡(luò)(110)上的第一端點設(shè)備(130a)�,所述第一端點設(shè)備具有多個嵌入式節(jié)點端口(212a-212d),每個都配置為與嵌入式節(jié)點中的相應(yīng)的一個通信�;加密通信鏈路端口(240),配置為與在第二物理網(wǎng)絡(luò)(120)上的第二端點設(shè)備(130b)通信,從而形成具有所述第一端點設(shè)備的單個邏輯網(wǎng)絡(luò)��;控制器(250��,270)��,被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信并且被配置為執(zhí)行第2層加密�����;以及貯存器(260)����,被連接以由所述控制器從中讀取和寫入。全文摘要一種方法包括在第一端點設(shè)備(130a)中從第一嵌入式節(jié)點(112a-112d)接收數(shù)據(jù)消息��。所述第一數(shù)據(jù)消息被定址到第二嵌入式節(jié)點(122a-122d)����。該方法還包括加密所述第一數(shù)據(jù)消息以產(chǎn)生加密數(shù)據(jù)消息,此處所述加密對所述第一嵌入式節(jié)點透明���。該方法進一步包括把所述加密數(shù)據(jù)消息傳送到第二端點設(shè)備(130b)���。一種裝置包括多個嵌入式節(jié)點端口(212a-212d),每個都配置為與嵌入式節(jié)點通信。該裝置還包括配置為與端點設(shè)備通信的加密通信鏈路端口(240)����。該裝置進一步包括被連接以與所述嵌入式節(jié)點端口和所述加密通信鏈路端口通信的控制器(250,270)����。另外,該裝置包括被連接以由所述控制器從中讀取和寫入的貯存器(260)��。文檔編號H04L9/00GK101843031SQ200880114117公開日2010年9月22日申請日期2008年10月24日優(yōu)先權(quán)日2007年10月30日發(fā)明者F·希德爾申請人:霍尼韋爾國際公司