JP2006505222A - ブリッジ暗号vlan - Google Patents
ブリッジ暗号vlan Download PDFInfo
- Publication number
- JP2006505222A JP2006505222A JP2004550404A JP2004550404A JP2006505222A JP 2006505222 A JP2006505222 A JP 2006505222A JP 2004550404 A JP2004550404 A JP 2004550404A JP 2004550404 A JP2004550404 A JP 2004550404A JP 2006505222 A JP2006505222 A JP 2006505222A
- Authority
- JP
- Japan
- Prior art keywords
- vlan
- bridge
- frame
- encapsulated
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/467—Arrangements for supporting untagged frames, e.g. port-based VLANs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
【解決手段】 本発明は、802.1Q IEEE VLANブリッジ・モデルの3つの拡張を有する。第1の拡張は、トランク・リンクに関するVLANの暗号分離である。カプセル化されたLANセグメントと称されるLANセグメントタイプが、導入される。このようなセグメント上で全てのフレームは、暗号および認証コード方式に従ってカプセル化される。第2の拡張は、トランク・ポートのインバウンドおよびアウトバウンド・トランク・ポートへの分割である。第3の拡張は、ブリッジVLANにおける各アウトバウンド・トランク・ポートに関して、ブリッジVLANにおいてフレームを運ぶために必要とされるカプセル化されたおよびカプセル化されていないセグメント間の転送の数を最小限に抑える一連のLANセグメントタイプを、ポートに対して、自動的に推論するプロトコルである。
Description
図1は、2つの VLAN、すなわちVLAN A 13およびVLAN B 15から成るシンプルなポートベースVLAN 10を示す。ポートで受信されるタグなしフレームが属するVLANは、受信ポートに割り当てられたPort VLAN ID(PVID)、またはフレームにおいて伝えられるリンク-レイヤ・プロトコルと関連しているVLAN ID(VID)により決定される。(非特許文献1を参照。)ブリッジが1つより多いVLANからフレームを伝えることができるトランク・リンク16により接続されるので、ブリッジ12、14 間でVLAN情報を伝える方法が、なければならない。VLANタグは、このためにすべてのフレームに付加される。このようなフレームは、VLAN-タグ付きフレームと呼ばれている。
トランク・リンクは、VLANブリッジ間のVLAN多重化のために使用されるLANセグメントである(非特許文献2を参照)。トランク・リンクに接続されるすべてのデバイスは、VLANを意識(VLAN-aware)しなければならない。このことは、それらがVLANメンバーシップおよびVLANフレーム・フォーマットを理解することを意味する。トランク・リンク上の、終端局フレームを含む全てのフレームは、VLAN-タグ付きであり、このことは、それらが非ヌルVIDを伝えることを意味する。VLANを意識しない(VLAN-unaware)終端局が、トランク・リンク上に存在することはできない。
3つのタイプのLANセグメント:タグなし、タグ付きおよびカプセル化されたセグメントは、VLANを表す。802.1Q IEEE標準は、タグ付きおよびタグなしセグメントタイプのみに対処する(非特許文献3を参照)。標準は、同じVLANを表すタグ付きおよびタグなしセグメント間のトラフィックの転送用のみにブリッジ・セマンティクス(bridging semantics)を特定する。本発明は、カプセル化されない(タグ付きまたはタグなしの)セグメントおよび同じVLANのカプセル化されたセグメント間でトラフィックを転送することを含むようにブリッジ・セマンティクスを拡張する技術を提供する。一般に、任意の数のLANセグメントタイプが、導入可能である。
すべてのトランク・ポートは、インバウンドおよびアウトバウンド・ポートを有する。2つのトランク・ポートP1 およびP2 間のトランク・リンクは、P1のインバウンド・ポートをP2のアウトバウンド・ポートに接続し、かつP1のアウトバウンド・ポートをP2のインバウンド・ポートに接続する。したがって、インバウンド・ポートが属するLANセグメントタイプのセットは、正確に、それが接続されるアウトバウンド・ポートのそれらである。したがって、アウトバウンド・ポートのみをLANセグメントタイプのセットに割り当てることは、ブリッジVLANにおける全てのトランク・ポートをLANセグメントタイプのセットに完全に割り当てるために、充分である。
複数のポートを有するVLANブリッジを考慮する。フレームがポートPで受信されると仮定する。それは、いくつかの方法のうちの1つでVLANに割り当てられる。もしPがトランク・ポートであるならば、フレームは、その各々が、VLAN、すなわちVIDを識別するフォームVID-TまたはVID-EのVLANタグを伝えなければならない。そうでない場合、フレームは、破棄される。Pがトランク・ポートでない場合、ポートまたはプロトコル・ベースのVLAN分類の何れかは、VLANにフレームを割り当てるために使用されることができる(非特許文献2を参照)。
Pがトランク・ポートであり、かつVIDのタグ付きまたはカプセル化されたセットに存在しない場合、フレームは、破棄される。ポートに対するイングレス-フィルタ・ルールは、或るVLANに対する認証および完全性チェッキングを特定することができる。Pが、そのイングレス・フィルタルールがVLAN VIDに対する認証および完全性チェッキングを必要とするポートである場合、Pで受信されたフレームは、VLANタグVID-Eを有しなければならない。そうでない場合、フレームは、破棄される。好適な実施例において、認証コードは、VIDに対するセキュリティ・アソシエーションを使用して、受信されたフレームの暗号文およびシーケンス番号に関して計算される。それがフレームで受信された認証コードにマッチしない場合、フレームは破棄される。そうでない場合、フレームは、VIDのカプセル化されたセグメントに属すると判断される。
送出プロセスは、ターゲット・ポート・セットQを構成することから開始する。これは、特定のVLANに属するフレームが送出されなければならないポートのセットである。ポートPで受信されるフレームがVLAN VIDに属すると仮定する。フレームが、殺到するにちがいない場合、Qは、VIDのタグ付き、タグなし、またはカプセル化されたセットのメンバーである任意のアウトバウンドまたはアクセス・ポートを含む。次のステップは、PがVIDのタグ付きおよびカプセル化されたセットの両方に属するトランクのインバウンド・ポートである場合に限り、Qを減らすことである。この場合、受信されたフレームがタグ付きフレームであるならば、VIDのタグ付きセットに属さないVIDのカプセル化されたセットのすべてのポートは、Qから除去される、または受信されたフレームがカプセル化されるならば、VIDのカプセル化されたセットに属さないVIDのタグ付きまたはタグなしセットのすべてのポートは、Qから除去される。インバウンド・ポートがVIDに対してLANセグメントタイプの両方のセットに属するので、インバウンド・ポートは、各LANセグメントタイプのフレームを受信しなければならず、したがって、ターゲット・ポート・セットを減らすことは、正当化される。トランスファー・ポイント・プロトコルは、それが、減少することが空のターゲット・ポート・セットに決して結果としてならないことを保証するプロパティを有する。空のターゲット・セットまで減少することは、ブリッジが、それが受信する理由を有さないフレームを受信したことを意味する。
(1) 受信されたフレームを送出セットに加える。
(2) VLANタグVID-Tを受信されたフレームに加える;結果を送出セットに加える。
(3) 受信されたフレームは、VIDに対するセキュリティ・アソシエーションを使用して、暗号によってカプセル化される;結果とし生じるフレームは、VID-EでVLANタグ付けされかつ送出セットに加えられる。
(4) 受信されたフレームからVID-Tを除去する;タグなしフレームを送出セットに加える。
(5) 受信されたフレームの暗号文は、VIDに対するセキュリティ・アソシエーションを使用して解読される;結果として生じるフレームは、タグなしであり、かつ送出セットに加えられる。
(6) 受信されたフレームの暗号文は、VIDに対するセキュリティ・アソシエーションを使用して解読される;結果として生じるフレームは、VID-Tでタグ付けされ、かつ送出セットに加えられる。
・送出プロセスは、VIDのタグなしセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、タグなしフレームを待ち行列に入れる。
・送出プロセスは、VIDのタグ付きセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、VLAN-タグ付きフレームを待ち行列に入れる。
・送出プロセスは、VIDのカプセル化されたセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、カプセル化されたフレームを待ち行列に入れる。
ブリッジされた、暗号VLANの内で、ステップは、同じVLANを表すLANセグメント間の冗長な転送を除去するために利用される。例えば、各転送が暗号を必要とするので、ブリッジVLANにおいて、カプセル化されないフレームをVLANのカプセル化されたセグメントへ1回より多く転送することを回避することは、望ましい。カプセル化は、1回行われ、かつ全てのブリッジにわたるVLANのカプセル化されたセットに属する全ての出口ポートにより共有されるべきである。同様に、ブリッジ全体の繰り返されるカプセル開放を回避することは、各々が解読を要求するので、望ましい。
最小スパニング・ツリー・アルゴリズムは、任意のブリッジLANをノードがブリッジであり、かつエッジがトランク・リンクであるスパニング・ツリーに変えることができる。スパニング・ツリーは、ブリッジ上に半順序を誘発する。例えば、我々は、半順序としてB1<B2を利用することができる、ここで、ブリッジB1は、スパニング・ツリーにおいてB2の親である。最少のブリッジは、スパニング・ツリーのルートである。半順序と共にブリッジのセットは、完全な、半順序セットを定義する。すべての空でないブリッジのサブセットは、最小上界を有する。
ブリッジがトランク・ポート上でTPPリプライ・フレームを受信するとき、それに、そのカプセル化されたビットがハイであるルーティング経路におけるブリッジBが続く場合に限り、それは、トランクのアウトバウンド・ポートをフレーム内のVIDのカプセル化されたセットに加える、および
a) 受信しているブリッジが、VIDに対するタグ付きまたはタグなしアクセス・ポートを有し、かつルーティング経路におけるそれの後のブリッジは、Bまで、ハイなタグ付きまたはタグなしビットを有さない;または
b) 受信しているブリッジが、VIDに対するカプセル化されたアクセス・ポートを有する、またはハイなカプセル化されたビットを有するルーティング経路においてブリッジが先行する、の何れかである。
ブリッジがトランク・ポート上でTPPリプライ・フレームを受信するとき、それに、そのタグ付きまたはタグなしビットがハイであるルーティング経路におけるブリッジBが続く場合に限り、それは、トランクのアウトバウンド・ポートをフレーム内のVIDのタグ付きセットに加える、および
a) 受信しているブリッジが、VIDに対するカプセル化されたアクセス・ポートを有し、かつルーティング経路におけるそれの後のブリッジは、Bまで、ハイなカプセル化されたビットを有さない;または
b) 受信しているブリッジが、VIDに対するタグ付けされたまたはタグなしアクセス・ポートを有する、またはハイなタグ付けされたまたはタグなしビットを有するルーティング経路においてブリッジが先行する、の何れかである。
具体例1
単一のVLANをブリッジすることを考慮する。したがって、各アクセス・ポートがこのVLANに属すると仮定される。このように、ポートのVLANラベル付けは、具体例において省略される。その代わりに、アウトバウンド・トランク・ポートは、LANセグメントタイプ、すなわち、T(タグ付き)、U(タグなし)、およびE(カプセル化された)によってラベルをつけられる。例えば、アウトバウンド・ポートがUによってラベルをつけられる場合、ポートはVLANのタグなしセットに属する。
図6において、ブリッジ1(61)は、タグなしアクセス・ポートを有し、かつブリッジ2(62)は、カプセル化されたアクセス・ポートを有する。したがって、ブリッジ1のアウトバウンド・ポート63は、ルールTPP-E(a)に従ってカプセル化されたセットのメンバーであり、一方、ブリッジ2のアウトバウンド・ポート64は、ルールTPP-T(a)に従ってタグ付きセットのメンバーである。
図7は、純粋にカプセル化されたトランク・リンクを示す。リンクにわたる全てのフレームはカプセル化される、しかしながら、暗号化は、ブリッジ2または3で行われない。図7のブリッジ1(71)が、我々が具体例として仮定する、「B」と名づけられたVLANに対するアナウンス・フレームを開始するとき、図8は、ブリッジ1(71)、2(72)、および3(73)間のTPPメッセージ交換を示す。
図7のブリッジ1(71)、および2(72)が交換される場合、結果は、図9のブリッジ暗号VLANである。
図10は、各々別のブリッジ81、83、84に接続される、3つのトランク・ポートを有するブリッジ82を示す。ブリッジ4(84)からのトランクのアウトバウンド・ポートは、タグ付きかつカプセル化されたセットに属し、一方、ブリッジ4のインバウンド・ポートに接続されたブリッジ2(82)のアウトバウンド・ポートは、単にカプセル化されたセットのメンバーである。
暗号VLAN vは、一意的なセキュリティ・アソシエーションを有する一群のm個の局により定義される。アソシエーションは、以下から成る:
a) 暗号化鍵K v、
b) 認証コード鍵K’v、
c) ディストリビューション鍵K’’ v、および
d) m個のランダムな値R1, R2, …, Rm 。
暗号VLANへ加入することは:
新しい局をグループに加えるステップ、および
グループにおける全ての他の局が後で新しい局を除去することを可能にするステップの2-ステップ・プロトコルによって行われる。
局のサブグループは、同時に、おそらく不本意に、暗号VLAN vを離脱することができる。グループの局1,…, kが離脱すると仮定する。これが発生するとき、それは、vを意識したeブリッジにより検出され、次いで、K’vを使用してフレームに関して計算された認証コードを含む単一のブロードキャスト・フレームを介して局1,…, kの離脱をアナウンスする。ブロードキャストは、局1,, kが、離脱したグループのすべてのvを意識したブリッジおよび局に通知するであろう。このような各ブリッジおよび局は、次に、vに対する暗号化、認証コード、およびディストリビューション鍵、各々を、古い鍵の機能およびランダムなR1,…, Rkとして、鍵再生成(rekey)しようとする。すべてのvを意識したブリッジおよびvの全ての残っている局は、この結果、k個少ないランダムな値を含む、新しいセキュリティ・アソシエーションを共有する。
20、21、22、23、24、25 ポート
12a、14a ブリッジ
28、29 VLAN
30、31、32、33 アクセス・リンク
Claims (34)
- VLANブリッジ・セマンティクスを拡張するための方法であって、
802.1Q IEEE VLANブリッジ・モデルに従ってタグなしフレーム、およびタグ付きフレームを提供するステップ;
すべてのカプセル化されたフレームが、当該VLANに属するタグ付きフレームの範囲内で使用されたタグと異なるVLANタグを有する、暗号によってカプセル化されたフレームを提供するステップ;
インバウンドおよびアウトバウンド・トランク・ポートに分割されたトランク・ポートを提供するステップ;
当該タグなし、タグ付き、およびカプセル化されたフレーム・タイプのうちの1つをブリッジされた、暗号VLANを表す各セグメントに提供するステップ;および
カプセル化されない(タグ付きまたはタグなし)セグメントおよび同じVLANのカプセル化されたセグメント間でトラフィックを転送するステップを有する方法。 - 2つの一意的なVLANタグをすべてのVLAN と関連づけるステップを更に含み、当該2つの一意的なVLANタグが、当該VLANでタグ付きフレームの範囲内で使用されるVID-T、および当該VLANのカプセル化されたフレームの範囲内で使用されるVID-Eを有する請求項1に記載の方法。
- 各VLANに対して、当該VLANに属するようにタグ付けされたフレームの完全性および信憑性をチェックするための暗号認証コード鍵、および当該VLANに属している全てのフレームのプライバシを保証するための暗号鍵を有する一意的なセキュリティ・アソシエーションがある請求項1に記載の方法。
- 当該カプセル化されたフレームが、
フレームのデータ・ペイロードを暗号化するステップ;および
結果として生じる暗号文および当該フレームのシーケンス番号に関するメッセージ認証コードを計算するステップを有するencrypt-then-MAC方法に従ってカプセル化される請求項1に記載の方法。 - ポートのタグ付きセット、タグなしセット、およびカプセル化されたセットは、各VLANと関連している請求項1に記載の方法。
- 当該VLANに属するものとしてタグを付けられ、かつ当該VLANのカプセル化されたセットでポートにおいて受信されたすべてのフレームの信憑性および完全性を検証するために、VLANに対するセキュリティ・アソシエーションを使用するステップを更に有する請求項1に記載の方法。
- 当該ポートに対するイングレス・フィルタリング・ルールを、検証が発生するか否かを決定するために提供するステップを更に有する請求項6に記載の方法。
- 当該VLANに属するタグ付きおよびタグなしフレームを暗号によってカプセル化するために、ポートからそれらを当該VLANのカプセル化されたセットで送信する前に、当該アソシエーションを使用するステップを更に有する請求項6に記載の方法。
- ブリッジされた、暗号VLANにフレームを送信する装置であって:
少なくとも2つのブリッジ;
当該トランク・リンクのすべてのトランク・リンクが、当該少なくとも2つのブリッジの1つのブリッジの前記インバウンド・トランク・ポート、および当該少なくとも2つのブリッジの別のブリッジの前記アウトバウンド・トランク・ポートと関連している複数のトランク・リンク;
複数のアクセス・ポート;
当該アクセス・リンクのすべてのアクセス・リンクが、当該アクセス・ポートの1つのアクセス・ポートと関連している複数のアクセス・リンク;および
たとえそれらが同じ媒体を共有するとしても、異なるカプセル化されたセグメントにより、当該VLANを表すための手段を有し、当該VLANの物理的分離が暗号である装置。 - 信憑性チェッキングを特定するための当該アクセス・ポートの少なくとも1つと関連しているイングレス・フィルタリング・ルールを更に有し、
当該アクセス・ポートの当該1つで受信されたフレームが、関連づけられたVLANに対するセキュリティ・アソシエーションを使用して、認証され、
認証が成功した場合、当該フレームが、当該関連づけられたVLAN対するカプセル化されたセグメントのメンバーであると決定される請求項9に記載の装置。 - 当該アクセス・ポートの少なくとも1つと関連している当該イングレス・フィルタ・ルールが、或る当該VLANに対する認証および完全性チェッキングを特定する請求項10に記載の装置。
- 当該セキュリティ・アソシエーションを使用して、受信されたフレームの暗号文およびシーケンス番号に関して計算された認証コードを更に有し;
当該認証コードが当該フレームで受信された認証コードにマッチしない場合、当該フレームは破棄され;および
そうでない場合、当該フレームは、関連づけられたVLAN用のカプセル化されたセグメントに属するように決定される請求項11に記載の装置。 - VLANの前記タグ付きおよびカプセル化されたセットに属するインバウンド・ポートにおいて受信されたフレームに対するターゲット・ポート・セットを構成するための1つ以上のルールを更に有し;
当該フレームがタグ付きである場合、当該VLANの前記タグ付きセットのメンバーでない当該VLANの前記カプセル化されたセットのすべてのポートは除去され;および
当該フレームがカプセル化される場合、当該VLANの前記カプセル化されたセットのメンバーでない当該VLANの前記タグ付きまたはタグなしセットの何れかのすべてのポートは、除去される請求項9に記載の装置。 - 受信されたフレームに関して送出セットを構成するための1つ以上のルールを更に有し、そのルールが:
受信されたフレームを当該送出セットに加える;
VLANタグを受信されたフレームに加え;前記結果を当該送出セットに加える;
受信されたフレームが、セキュリティ・アソシエーションを使用して、暗号によってカプセル化され;結果として生じるフレームが、VLANタグ付けされ、かつ当該送出セットに加えられる;
受信されたフレームからVLANタグを除去し;タグなしフレームを当該送出セットに加える;
受信されたフレームの暗号文が、セキュリティ・アソシエーションを使用して解読され;結果として生じるフレームが、タグを外され、かつ当該送出セットに加えられる;および
受信されたフレームの暗号文が、セキュリティ・アソシエーションを使用して解読され;結果として生じるフレームが、タグ付けされ、かつ当該送出セットに加えられるの何れかを有することができる請求項9に記載の装置。 - VLANの受信されたフレームに対する前記ターゲット・ポート・セットに関して定義された送出セットのフレームを送出するための方法であって、
当該VLANの前記タグなしセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、タグなしフレームを待ち行列に入れるステップ;
当該VLANの前記タグ付きセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、VRAN-タグ付きフレームを待ち行列に入れるステップ;および
当該VLANの前記カプセル化されたセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、カプセル化されたフレームを待ち行列に入れるステップを有する方法。 - ブリッジされた、暗号VLANにおけるLANセグメント間の冗長な転送を除去するための方法であって、
各転送が暗号化を必要とするブリッジVLANにおいて、カプセル化されないフレームをVLANのカプセル化されたセグメントへ、1回より多く転送することを回避するステップ;
全てのブリッジにわたる当該VLANのカプセル化されたセットに属する全ての出口ポートにより共有される、カプセル化を1回行うステップ;および
各々が解読を要求する当該ブリッジVLANにおけるブリッジ全体の繰り返されるカプセル開放を回避するステップを有する方法。 - ブリッジされた、暗号VLANを表すLANセグメント間の最適な転送点を決定するための方法であって、
当該ブリッジ上に半順序を誘発するために、任意のブリッジLANを、そのノードが当該ブリッジであり、かつそのエッジがトランク・リンクであるスパニング・ツリーに変えるステップを有し;最少のブリッジが、当該スパニング・ツリーの前記ルートであり;半順序と共にブリッジの前記セットが、完全な、半順序セットを定義し;およびすべての空でない当該ブリッジのサブセットは、最小上界を有し;
当該VLANを表す当該LANセグメントのうちの1つに属するためにVLANの受信されたフレームを必要とする全てのブリッジの当該最小上界が、受信されたフレームをそのLANセグメントに関するフレームに変換するための最適な転送点であり;および
当該LANセグメントに対する当該ブリッジVLANにおけるブリッジ・アクセスポートの割当てから、当該VLANにブリッジするために所定のアウトバウンド・トランク・ポートと関連していなければならないLANセグメントの最も小さい前記セットを自動的に導き出すステップを有する方法。 - ブリッジされた、暗号VLANのトランスファー・ポイント・プロトコル(TPP)を実施する装置であって、
少なくとも2つのブリッジ;
当該トランク・リンクのすべてのトランク・リンクが、当該少なくとも2つのブリッジの1つのブリッジのインバウンド・トランク・ポート、および当該少なくとも2つのブリッジの別のブリッジのアウトバウンド・トランク・ポートと関連している複数のトランク・リンク;
複数のアクセス・ポート;
当該アクセス・リンクのすべてのアクセス・リンクが、当該アクセス・ポートの1つのアクセス・ポートと関連している複数のアクセス・リンク;および
たとえそれらが同じ媒体を共有するとしても、異なるカプセル化されたセグメントにより、当該VLANを表すための手段を有し、当該VLANの物理的分離が暗号であり;
2つのリンク-レイヤ・プロトコル、アウトバウンド・ポートをVLANの前記タグ付きセットに加えるための第1のリンク-レイヤ・プロトコル(TPP-T)、およびアウトバウンド・ポートをVLANの前記カプセル化されたセットに加えるための第2のリンク-レイヤ・プロトコル(TPP-E)を有し;および
すべてのアクセス・ポートが、実行の前にVLANに対して、タグ付き、タグなし、またはカプセル化されたセットに割り当てられる装置。 - 当該トランスファー・ポイント・プロトコル(TPP)が、
2つのフレーム・タイプ、アナウンス・フレームを有する当該フレーム・タイプのうちの1つ、およびリプライ・フレームを有する当該フレーム・タイプの2番目を更に有し;
当該フレームの各々が、VLAN IDおよびソース・ブリッジ・ルーティング経路を含み、ここで、当該経路の各入口が、ブリッジMACアドレスおよび3ビット、各LANセグメントタイプに対する1ビットを含む一意的な対であり、
当該対でアドレスされたブリッジが、当該フレームにおいて名づけられた当該VLANのタグ付きセットにアクセス・ポートを有するときに限り、当該タグ付きビットが、ハイであり、および
当該タグなしおよびカプセル化されたビットが、同様にセットされる請求項18に記載の装置。 - ブリッジされた、暗号VLANのトランスファー・ポイント・プロトコル(TPP)であって、
ブリッジが、TPPアナウンス・フレームを、それに公知であるすべてのVLANに対して、そのトランク・ポートの各々を通して、TPPグループアドレスに送信するステップ;
ブリッジがアナウンス・フレームを受信するとき、当該ブリッジが、前記受信されたVLAN IDに関してそれ自体のための入口を、受信されたルーティング経路に追加し、かつ受信しているトランク・ポート以外のその使用可能な、アウトバウンド・トランク・ポートの各々に当該フレームを送出するステップ;
当該ブリッジがこのような他のトランク・ポートを有さない場合、当該ブリッジは、TPPリプライ・フレームにおいて最終的なルーティング経路および当該受信されたVLAN IDを、当該ルーティング経路において当該ブリッジに先行するMACアドレスに送信するステップ;
アナウンス・フレームの発信ブリッジは、それ自体のための入口からのみ成る経路を作成するステップ;
ブリッジが、TPPリプライ・フレームを受信するとき、当該ブリッジは、当該経路において当該ブリッジに先行する前記ブリッジMACアドレスに当該リプライ・フレームを送出するステップ;および
いずれでもない場合、当該フレームを破棄するステップを有するプロトコル。 - ブリッジが、インバウンド・トランク・ポート上でTPPリプライ・フレームを受信するとき、当該ブリッジに、カプセル化されたアクセス・ポートを有する当該ルーティング経路の別のブリッジが続く場合に限り、当該ブリッジは、当該インバウンド・トランク・ポートに対応する前記アウトバウンド・ポートを当該フレームの前記VLAN IDに対する前記カプセル化されたセットに加える、および
当該ブリッジが、当該VLAN IDに対するタグ付きまたはタグなしアクセス・ポートを有し、かつ当該ルーティング経路におけるそれの後のブリッジが、当該他のブリッジまで、タグ付きまたはタグなしアクセス・ポートを有さない;または
当該ブリッジが、当該VLAN IDに対するカプセル化されたアクセス・ポートを有する、またはカプセル化されたアクセス・ポートを有するルーティング経路において別のブリッジが先行する、の何れかである請求項20に記載のプロトコル。 - ブリッジが、トランク・ポート上でTPPリプライ・フレームを受信するとき、当該ブリッジに、タグ付きまたはタグなしアクセス・ポートを有する当該ルーティング経路の別のブリッジが続く場合に限り、当該ブリッジは、当該インバウンド・トランク・ポートに対応する前記アウトバウンド・ポートを、当該フレームの前記VLAN IDに対する前記タグ付きセットに加える、および
当該ブリッジが、当該VLAN IDに対するカプセル化されたアクセス・ポートを有し、かつ当該ルーティング経路におけるそれの後のブリッジが、当該他のブリッジまで、カプセル化されたアクセス・ポートを有さない;または
当該ブリッジが、当該VLAN IDに対するタグ付けされたまたはタグなしアクセス・ポートを有する、または当該ブリッジが、タグ付けされたまたはタグなしアクセス・ポートを有する当該ルーティング経路において別のブリッジが先行する、の何れかである請求項20に記載のプロトコル。 - トランク・ポートの前記アウトバウンド・ポートが:
当該トランク・ポートによりサポートされた各VLANに対する1つの当該タグ付きアクセス・ポートを有する一組のバーチャルな、タグ付きアクセス・ポート;
当該トランク・ポートによりサポートされた各VLANに対する1つの当該カプセル化されたアクセス・ポートを有する一組のバーチャルな、カプセル化されたアクセス・ポート;または
当該トランク・ポートによりサポートされた各VLANに対する1つの当該タグ付きまたはカプセル化されたアクセス・ポートを有する一組のバーチャルな、カプセル化された、またはバーチャルな、タグ付きアクセス・ポートとして処理される請求項20に記載のプロトコル。 - ブリッジされた、暗号VLANにおけるアクセス・リンク移動のためのプロトコルであって、カプセル化されたセグメントをサポートするブリッジを有し、当該プロトコルが:
移動されたアクセス・リンクが、関連づけられることができる当該ブリッジVLANのブリッジのアクセス・ポートを認識するステップを有し、当該アクセス・ポートが、バーチャルであり、かつ自動的につくられ;
当該アクセス・ポートを、当該移動されたアクセス・リンクのセグメントタイプに基づくLANセグメントタイプに、自動的に割り当てるステップ;および
当該割り当てられたLANセグメントタイプに属する当該アクセス・ポートを有する当該ブリッジVLANに対して転送ポート・プロトコル(TPP)を実行するステップを有するプロトコル。 - m個の局を有する暗号VLANに対するグループ・セキュリティ・アソシエーションを確立するための方法であって、
暗号化鍵K vを提供するステップを有し、当該暗号化鍵が、vに属するフレームを暗号化し、かつ解読するために、vを意識したブリッジおよびvの局により、使用される対称的な鍵であり;
認証コード鍵K¢ vを提供するステップを有し、全てのvを意識したブリッジおよびvの局が、K¢ vを使用して、vの暗号化されたフレームに関して認証コードを計算し、かつ検証し;
ディストリビューション鍵K¢¢ vを提供するステップを有し;および
m個のランダムな値R1, R2, …, Rmを提供するステップを有し、当該m個の局の各々に対して1個のランダムな値が存在し、当該グループの第i,の局が、Ri,以外の全てのm個のランダムな値を知っていて、当該第iの局が知っている当該m−1個のランダムな値が、vを意識したブリッジによりそれに通信され;
当該ランダムな値のプライバシが、当該ディストリビューション鍵K¢¢ vを使用して暗号化により保証され、一方、それらの信憑性が、当該認証コードK¢ vを使用して、結果とし生じる暗号文に関して計算された認証コードにより保証される方法。 - 暗号VLANのカプセル化されたセグメントへ加入するための方法であって、
新しい局をグループに加えるステップ、および
当該グループにおける全ての他の局が後で当該新しい局を除去することを可能にするステップを有する方法。 - 新しい局をグループに加える当該ステップが、
ユーザの局が、当該ユーザの局を介した当該ユーザ、およびvを意識したブリッジに存在している認証者間で実行される相互認証プロトコルによって暗号VLAN vに加入するステップを更に有し;
相互認証が成功するならば、当該vを意識したブリッジから当該新しい局まで安全に、暗号鍵K v, 認証コード鍵K¢ v、およびm個のランダムな値R1, R2, …, Rm を転送するために、安全な束の間のチャネルが、当該vを意識したブリッジおよび当該新しい局間につくられ、この場合、当該可能なステップが実行され;
そうでない場合、当該プロトコルが、直ちに終わる、請求項26に記載の方法。 - 当該グループの他の全ての局が当該新しい局を後で除去することを可能にする当該ステップが、
当該vを意識したブリッジが、当該新しい局に対する新しいランダムな値Rm+1を選択し、かつ当該新しいランダムな値Rm+1を全てのvを意識したブリッジ、およびvを有する局に、ディストリビューション鍵K¢¢ vによって暗号化され、かつK¢ vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布するステップと;
次に、当該ブリッジが、vに対する新しいディストリビューション鍵をつくり、かつ当該新しいディストリビューション鍵を全てのvを意識したブリッジ、および当該新しい局を含むvのメンバーに、K vによって暗号化され、かつK¢ vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布するステップとを更に有する請求項27に記載の方法。 - 当該新しい局がそれ自身のランダムな値Rm+1を含むブロードキャストの信憑性を検証することができるが、それが鍵K¢¢ vを持たないので、当該ブロードキャストを解読することができない請求項28に記載の方法。
- 暗号VLANを離脱するための方法であって、
局のサブグループ1,…, kが、同時に、暗号VLAN vを離脱することを、vを意識したブリッジにより、検出するステップを有し、
当該vを意識したブリッジが、認証コード鍵K¢ vを使用して当該フレームに関して計算された認証コードを有する単一のブロードキャスト・フレームを介して当該局1,…, kの前記離脱をアナウンスするステップを有し、当該ブロードキャストが、局1,…, kが、離脱したグループvのすべてのvを意識したブリッジおよび局に通知し;
このような各ブリッジおよび局が、次に、vに対する暗号化、認証コード、およびディストリビューション鍵、各々を、古い鍵の機能およびランダムな値R1,…, Rkとして、再生成するステップ;および
すべてのvを意識したブリッジおよびグループvの全ての残っている局が、この結果、k個少ないランダムな値を有する、新しいセキュリティ・アソシエーションを共有するステップを有する方法。 - すべてのvを意識したブリッジが、vに対して現行のディストリビューション鍵を常に有し;かつ
すべてのvを意識したブリッジが、グループvを離脱する任意のサブグループに対するランダムな値の完全セットを常に有し、その結果、それが、常にグループvに対する前記鍵を再生成することを可能とする請求項30に記載の方法。 - 局に対して、鍵再生成が、これらの局が有さない離脱している局に対するランダムな値の機能であり、当該局が、鍵を再生成することができない請求項30に記載の方法。
- 離脱した局は、鍵再生成が現行の鍵の機能を果たし、かつその後到着する全ての鍵が、常に、当該離脱した局に知られないランダムな値の機能を果たすので、続く鍵再生成の結果として、再び、グループvのメンバーになることが決してできない請求項30に記載の方法。
- 離脱した局が、vに再加入することによって、再び、vのメンバーになることができるのみである請求項30に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/286,634 US7120791B2 (en) | 2002-01-25 | 2002-11-01 | Bridged cryptographic VLAN |
PCT/US2003/034855 WO2004042984A2 (en) | 2002-11-01 | 2003-10-30 | Bridged cryptographic vlan |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006505222A true JP2006505222A (ja) | 2006-02-09 |
JP4447463B2 JP4447463B2 (ja) | 2010-04-07 |
Family
ID=32312079
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004550404A Expired - Fee Related JP4447463B2 (ja) | 2002-11-01 | 2003-10-30 | ブリッジ暗号vlan |
Country Status (6)
Country | Link |
---|---|
US (3) | US7120791B2 (ja) |
EP (1) | EP1556990B1 (ja) |
JP (1) | JP4447463B2 (ja) |
CN (2) | CN1708940B (ja) |
AU (1) | AU2003294242A1 (ja) |
WO (1) | WO2004042984A2 (ja) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7986937B2 (en) | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
US7120791B2 (en) * | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
US7546458B1 (en) * | 2002-05-04 | 2009-06-09 | Atheros Communications, Inc. | Method for organizing virtual networks while optimizing security |
US7567510B2 (en) * | 2003-02-13 | 2009-07-28 | Cisco Technology, Inc. | Security groups |
US7640359B1 (en) * | 2003-09-19 | 2009-12-29 | At&T Intellectual Property, I, L.P. | Method, system and computer program product for facilitating the design and assignment of ethernet VLANs |
US20050144459A1 (en) * | 2003-12-15 | 2005-06-30 | Zeewaves Systems, Inc. | Network security system and method |
US20050138171A1 (en) * | 2003-12-19 | 2005-06-23 | Slaight Thomas M. | Logical network traffic filtering |
US20050141567A1 (en) * | 2003-12-29 | 2005-06-30 | Abed Jaber | Extending Ethernet-over-SONET to provide point-to-multipoint service |
US8838963B2 (en) * | 2005-02-04 | 2014-09-16 | Apple Inc. | Security enhancement arrangement |
US8654777B2 (en) * | 2005-03-31 | 2014-02-18 | Alcatel Lucent | Methods and apparatus for realizing a configurable multi-bridge |
US7822982B2 (en) * | 2005-06-16 | 2010-10-26 | Hewlett-Packard Development Company, L.P. | Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment |
US20070002737A1 (en) * | 2005-06-29 | 2007-01-04 | Manoj Paul | Access control dissemination |
CN1333565C (zh) * | 2005-10-20 | 2007-08-22 | 华为技术有限公司 | 一种报文转发的实现方法、接入网及网络设备 |
US8000344B1 (en) * | 2005-12-20 | 2011-08-16 | Extreme Networks, Inc. | Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network |
US20070204158A1 (en) * | 2006-02-28 | 2007-08-30 | Symbol Technologies, Inc. | Methods and apparatus for encryption key management |
US7953089B1 (en) * | 2006-05-16 | 2011-05-31 | Cisco Technology, Inc. | Systems and methods for multicast switching in a private VLAN |
CN101090403B (zh) * | 2006-06-15 | 2010-12-29 | 中兴通讯股份有限公司 | 一种在聚合端口的访问控制列表的装置及其实现方法 |
FR2902587B1 (fr) * | 2006-06-16 | 2008-10-17 | Alcatel Sa | Dispositif de mise en communication de reseaux locaux par un commutateur exclusif et systeme de mise en communication correspondant ainsi qu'un support d'informations et un programme d'ordinateur |
US20080184332A1 (en) * | 2007-01-31 | 2008-07-31 | Motorola, Inc. | Method and device for dual authentication of a networking device and a supplicant device |
US8358591B2 (en) * | 2007-06-06 | 2013-01-22 | Hewlett-Packard Development Company, L.P. | Network traffic monitoring in a server network environment |
US8693372B2 (en) * | 2009-01-29 | 2014-04-08 | Qualcomm Incorporated | Methods and apparatus for forming, maintaining and/or using overlapping networks |
CN101807998A (zh) * | 2009-02-13 | 2010-08-18 | 英飞凌科技股份有限公司 | 认证 |
US8806190B1 (en) | 2010-04-19 | 2014-08-12 | Amaani Munshi | Method of transmission of encrypted documents from an email application |
CN103416025B (zh) | 2010-12-28 | 2016-11-02 | 思杰系统有限公司 | 用于经由云桥添加vlan标签的系统和方法 |
EP2871807B1 (en) * | 2012-07-03 | 2018-05-30 | Mitsubishi Electric Corporation | Communication apparatus and network system |
US9019967B2 (en) * | 2012-07-30 | 2015-04-28 | Dell Products L.P. | VLAN advertisement and automated configuration |
CN102932229B (zh) * | 2012-11-20 | 2015-08-12 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
US8874898B2 (en) * | 2012-12-14 | 2014-10-28 | Intel Corporation | Power line based theft protection of electronic devices |
US10382228B2 (en) * | 2014-06-26 | 2019-08-13 | Avago Technologies International Sales Pte. Limited | Protecting customer virtual local area network (VLAN) tag in carrier ethernet services |
CN106471836B (zh) | 2014-08-21 | 2020-10-09 | 华为技术有限公司 | 一种频率复用方法及相关装置 |
US9710675B2 (en) | 2015-03-26 | 2017-07-18 | Intel Corporation | Providing enhanced replay protection for a memory |
US9792229B2 (en) * | 2015-03-27 | 2017-10-17 | Intel Corporation | Protecting a memory |
US10523636B2 (en) * | 2016-02-04 | 2019-12-31 | Airwatch Llc | Enterprise mobility management and network micro-segmentation |
US10404648B2 (en) * | 2016-02-26 | 2019-09-03 | Nokia Of America Corporation | Addressing for customer premises LAN expansion |
US20220038443A1 (en) * | 2020-08-03 | 2022-02-03 | KELVIN r. FRANKLIN | Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme |
CN113098856B (zh) * | 2021-03-29 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种透明模式下的虚拟专用网络vpn实现方法及安全设备 |
Family Cites Families (104)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4919545A (en) | 1988-12-22 | 1990-04-24 | Gte Laboratories Incorporated | Distributed security procedure for intelligent networks |
EP0520709A3 (en) | 1991-06-28 | 1994-08-24 | Digital Equipment Corp | A method for providing a security facility for remote systems management |
US5577209A (en) | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
US5963556A (en) | 1993-06-23 | 1999-10-05 | Digital Equipment Corporation | Device for partitioning ports of a bridge into groups of different virtual local area networks |
US5550984A (en) | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
US5764890A (en) | 1994-12-13 | 1998-06-09 | Microsoft Corporation | Method and system for adding a secure network server to an existing computer network |
US5790800A (en) | 1995-10-13 | 1998-08-04 | Digital Equipment Corporation | Client application program mobilizer |
US6035105A (en) | 1996-01-02 | 2000-03-07 | Cisco Technology, Inc. | Multiple VLAN architecture system |
US5822431A (en) | 1996-01-19 | 1998-10-13 | General Instrument Corporation Of Delaware | Virtual authentication network for secure processors |
US6085238A (en) * | 1996-04-23 | 2000-07-04 | Matsushita Electric Works, Ltd. | Virtual LAN system |
US5918019A (en) | 1996-07-29 | 1999-06-29 | Cisco Technology, Inc. | Virtual dial-up protocol for network communication |
JP2974280B2 (ja) | 1996-09-11 | 1999-11-10 | 日本電気通信システム株式会社 | ネットワーク接続のブリッジ装置における仮想グループ情報管理方法 |
US6311218B1 (en) | 1996-10-17 | 2001-10-30 | 3Com Corporation | Method and apparatus for providing security in a star network connection using public key cryptography |
JPH10136438A (ja) | 1996-10-24 | 1998-05-22 | Oki Electric Ind Co Ltd | 簡易型携帯無線システムおよびその基地局制御方法 |
US6157647A (en) | 1996-11-06 | 2000-12-05 | 3Com Corporation | Direct addressing between VLAN subnets |
US6041358A (en) | 1996-11-12 | 2000-03-21 | Industrial Technology Research Inst. | Method for maintaining virtual local area networks with mobile terminals in an ATM network |
US6070243A (en) | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
FI117366B (fi) | 1997-06-30 | 2006-09-15 | Sonera Smarttrust Oy | Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä |
US6061796A (en) | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
US5978378A (en) * | 1997-09-11 | 1999-11-02 | 3Com Corporation | Method and apparatus for VLAN support |
US6047325A (en) | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
US6035405A (en) | 1997-12-22 | 2000-03-07 | Nortel Networks Corporation | Secure virtual LANs |
US6226751B1 (en) | 1998-04-17 | 2001-05-01 | Vpnet Technologies, Inc. | Method and apparatus for configuring a virtual private network |
US6898791B1 (en) | 1998-04-21 | 2005-05-24 | California Institute Of Technology | Infospheres distributed object system |
US6728249B2 (en) * | 1998-06-27 | 2004-04-27 | Intel Corporation | System and method for performing cut-through forwarding in an ATM network supporting LAN emulation |
US6181699B1 (en) | 1998-07-01 | 2001-01-30 | National Semiconductor Corporation | Apparatus and method of assigning VLAN tags |
US6304973B1 (en) | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
EP1116132A2 (en) | 1998-09-22 | 2001-07-18 | Science Applications International Corporation | User-defined dynamic collaborative environments |
US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
US6615357B1 (en) | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US6636898B1 (en) | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
US6081900A (en) | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
US6847620B1 (en) | 1999-05-13 | 2005-01-25 | Intermec Ip Corp. | Mobile virtual LAN |
US6970459B1 (en) | 1999-05-13 | 2005-11-29 | Intermec Ip Corp. | Mobile virtual network system and method |
US6675225B1 (en) | 1999-08-26 | 2004-01-06 | International Business Machines Corporation | Method and system for algorithm-based address-evading network snoop avoider |
US6917614B1 (en) | 1999-09-17 | 2005-07-12 | Arris International, Inc. | Multi-channel support for virtual private networks in a packet to ATM cell cable system |
JP2001160828A (ja) | 1999-12-03 | 2001-06-12 | Matsushita Electric Ind Co Ltd | セキュリティ・ゲートウェイ装置におけるvpn通信方法 |
US6970941B1 (en) | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
US6697943B1 (en) | 1999-12-17 | 2004-02-24 | Cisco Technology, Inc. | Use of cyclic redundancy checking for segregating control traffic |
US6414956B1 (en) * | 1999-12-17 | 2002-07-02 | Texas Instruments Incorporated | VLAN tag transport within a switch |
GB2364477B (en) | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
US6639901B1 (en) * | 2000-01-24 | 2003-10-28 | 3Com Corporation | Apparatus for and method for supporting 802.1Q VLAN tagging with independent VLAN learning in LAN emulation networks |
US6961762B1 (en) | 2000-02-14 | 2005-11-01 | Sygate Technologies, Inc. | Automatic switching network points based on configuration profiles |
US6862280B1 (en) * | 2000-03-02 | 2005-03-01 | Alcatel | Priority remapping for data communication switch |
US7173923B2 (en) | 2000-03-17 | 2007-02-06 | Symbol Technologies, Inc. | Security in multiple wireless local area networks |
US6978364B1 (en) | 2000-04-12 | 2005-12-20 | Microsoft Corporation | VPN enrollment protocol gateway |
US7181542B2 (en) | 2000-04-12 | 2007-02-20 | Corente, Inc. | Method and system for managing and configuring virtual private networks |
US6981041B2 (en) | 2000-04-13 | 2005-12-27 | Aep Networks, Inc. | Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities |
US20020022483A1 (en) | 2000-04-18 | 2002-02-21 | Wayport, Inc. | Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure |
US6651573B2 (en) * | 2000-05-26 | 2003-11-25 | Bombardier Motor Corporation Of America | Personal watercraft |
US7055171B1 (en) | 2000-05-31 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | Highly secure computer system architecture for a heterogeneous client environment |
JP3585422B2 (ja) | 2000-06-01 | 2004-11-04 | シャープ株式会社 | アクセスポイント装置及びその認証処理方法 |
GB2363548A (en) | 2000-06-15 | 2001-12-19 | Int Computers Ltd | Computer systems, in particular virtual private networks |
US7054329B2 (en) | 2000-07-07 | 2006-05-30 | Koninklijke Philips Electronics, N.V. | Collision avoidance in IEEE 802.11 contention free period (CFP) with overlapping basic service sets (BSSs) |
JP4126856B2 (ja) * | 2000-07-07 | 2008-07-30 | 沖電気工業株式会社 | Tag−vlanのid自動識別方法 |
US7151762B1 (en) | 2000-07-14 | 2006-12-19 | At&T Corp. | Virtual streams for QoS-driven wireless LANs |
US20020143960A1 (en) | 2000-08-02 | 2002-10-03 | Erez Goren | Virtual network generation system and method |
US6904054B1 (en) | 2000-08-10 | 2005-06-07 | Verizon Communications Inc. | Support for quality of service and vertical services in digital subscriber line domain |
WO2002017571A1 (en) * | 2000-08-24 | 2002-02-28 | Tiara Networks, Inc. | System and method for connecting geographically distributed virtual local area networks |
US6954790B2 (en) | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
CN1241368C (zh) | 2000-12-06 | 2006-02-08 | 日本电气株式会社 | 假想私设网 |
US6912592B2 (en) * | 2001-01-05 | 2005-06-28 | Extreme Networks, Inc. | Method and system of aggregate multiple VLANs in a metropolitan area network |
US7209479B2 (en) | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
US20020174335A1 (en) | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
GB0109299D0 (en) * | 2001-04-12 | 2001-05-30 | British Telecomm | Hybrid network |
US7174390B2 (en) | 2001-04-20 | 2007-02-06 | Egenera, Inc. | Address resolution protocol system and method in a virtual network |
US7061899B2 (en) * | 2001-05-01 | 2006-06-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing network security |
US7003662B2 (en) | 2001-05-24 | 2006-02-21 | International Business Machines Corporation | System and method for dynamically determining CRL locations and access methods |
US20020178240A1 (en) | 2001-05-24 | 2002-11-28 | International Business Machines Corporation | System and method for selectively confirming digital certificates in a virtual private network |
US20020199021A1 (en) * | 2001-06-26 | 2002-12-26 | Niels Beier | Method and apparatus for using the type/length field in an ethernet mac header for carrying generic tags/labels |
US7107464B2 (en) | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US6981259B2 (en) | 2001-08-02 | 2005-12-27 | Hewlett-Packard Development Company, L.P. | System and method for generating a virtual device |
US7130904B2 (en) | 2001-08-16 | 2006-10-31 | Intel Corporation | Multiple link layer wireless access point |
US20030037258A1 (en) | 2001-08-17 | 2003-02-20 | Izchak Koren | Information security system and method` |
US7194622B1 (en) | 2001-12-13 | 2007-03-20 | Cisco Technology, Inc. | Network partitioning using encryption |
US7120791B2 (en) | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
CN1125545C (zh) * | 2001-12-31 | 2003-10-22 | 刘军民 | 实现局域网虚通道传送的数据转发方法 |
US7313135B2 (en) | 2002-01-31 | 2007-12-25 | Mosaid Technologies, Inc. | Trunking in a matrix |
US7203957B2 (en) | 2002-04-04 | 2007-04-10 | At&T Corp. | Multipoint server for providing secure, scaleable connections between a plurality of network devices |
US7277442B1 (en) | 2002-04-26 | 2007-10-02 | At&T Corp. | Ethernet-to-ATM interworking that conserves VLAN assignments |
US7042852B2 (en) | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
US7086089B2 (en) | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
US7058796B2 (en) | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
US7113498B2 (en) * | 2002-06-05 | 2006-09-26 | Broadcom Corporation | Virtual switch |
US7093027B1 (en) * | 2002-07-23 | 2006-08-15 | Atrica Israel Ltd. | Fast connection protection in a virtual local area network based stack environment |
US7062566B2 (en) | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US7284062B2 (en) | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
EP1599804A1 (en) | 2003-03-05 | 2005-11-30 | Intellisync Corporation | Virtual private network between computing network and remote device |
US7478427B2 (en) | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
WO2005045642A2 (en) | 2003-11-04 | 2005-05-19 | Nexthop Technologies, Inc. | Secure, standards-based communications across a wide-area network |
US7164912B2 (en) | 2004-01-07 | 2007-01-16 | Research In Motion Limited | Apparatus, and associated method, for facilitating selection by a mobile node of a network through which to communicate using a hierarchical selection process |
US20050226257A1 (en) | 2004-03-30 | 2005-10-13 | Adc Broadband Access Systems, Inc. | Virtual local area network |
US20050283604A1 (en) | 2004-06-21 | 2005-12-22 | Ipolicy Networks, Inc., A Delaware Corporation | Security association configuration in virtual private networks |
JP4407452B2 (ja) | 2004-09-29 | 2010-02-03 | 株式会社日立製作所 | サーバ、vpnクライアント、vpnシステム、及びソフトウェア |
US7292592B2 (en) | 2004-10-08 | 2007-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Home network-assisted selection of intermediary network for a roaming mobile terminal |
US7434047B2 (en) | 2004-12-30 | 2008-10-07 | Nokia, Inc. | System, method and computer program product for detecting a rogue member in a multicast group |
CN100377548C (zh) | 2005-07-15 | 2008-03-26 | 华为技术有限公司 | 一种实现虚交换的方法和装置 |
US7746892B2 (en) | 2005-11-02 | 2010-06-29 | Nortel Networks Limited | Method and apparatus for transporting ethernet services |
US20070271606A1 (en) | 2006-05-17 | 2007-11-22 | Amann Keith R | Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN |
US7693985B2 (en) | 2006-06-09 | 2010-04-06 | Cisco Technology, Inc. | Technique for dispatching data packets to service control engines |
US8181009B2 (en) | 2009-03-03 | 2012-05-15 | Harris Corporation | VLAN tagging over IPSec tunnels |
US8098656B2 (en) | 2009-06-26 | 2012-01-17 | Avaya, Inc. | Method and apparatus for implementing L2 VPNs on an IP network |
US8837281B2 (en) * | 2010-09-10 | 2014-09-16 | Futurewei Technologies, Inc. | Use of partitions to reduce flooding and filtering database size requirements in large layer two networks |
-
2002
- 2002-11-01 US US10/286,634 patent/US7120791B2/en not_active Expired - Fee Related
-
2003
- 2003-10-30 CN CN2003801024431A patent/CN1708940B/zh not_active Expired - Fee Related
- 2003-10-30 JP JP2004550404A patent/JP4447463B2/ja not_active Expired - Fee Related
- 2003-10-30 AU AU2003294242A patent/AU2003294242A1/en not_active Abandoned
- 2003-10-30 EP EP03789723.8A patent/EP1556990B1/en not_active Expired - Lifetime
- 2003-10-30 WO PCT/US2003/034855 patent/WO2004042984A2/en active Application Filing
- 2003-10-30 CN CN2006101502922A patent/CN1976317B/zh not_active Expired - Fee Related
-
2006
- 2006-02-10 US US11/351,664 patent/US7818796B2/en not_active Expired - Fee Related
-
2010
- 2010-09-13 US US12/880,894 patent/US8347377B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1976317B (zh) | 2010-07-21 |
US20080022390A1 (en) | 2008-01-24 |
EP1556990A2 (en) | 2005-07-27 |
AU2003294242A1 (en) | 2004-06-07 |
AU2003294242A8 (en) | 2004-06-07 |
JP4447463B2 (ja) | 2010-04-07 |
US8347377B2 (en) | 2013-01-01 |
WO2004042984A3 (en) | 2004-12-23 |
CN1708940A (zh) | 2005-12-14 |
US7120791B2 (en) | 2006-10-10 |
EP1556990A4 (en) | 2011-08-17 |
CN1708940B (zh) | 2011-12-14 |
US20030145118A1 (en) | 2003-07-31 |
CN1976317A (zh) | 2007-06-06 |
EP1556990B1 (en) | 2017-02-22 |
WO2004042984A2 (en) | 2004-05-21 |
US20110033047A1 (en) | 2011-02-10 |
US7818796B2 (en) | 2010-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4447463B2 (ja) | ブリッジ暗号vlan | |
US7703132B2 (en) | Bridged cryptographic VLAN | |
US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
EP2515469B1 (en) | Method and system for secret communication between nodes | |
JP5785346B1 (ja) | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 | |
JP2005513915A6 (ja) | パーソナル仮想ブリッジ・ローカル・エリア・ネットワーク | |
JP2005354504A (ja) | 光加入者線端局装置、光加入者線終端装置およびその通信方法 | |
CN114567478A (zh) | 通信方法及装置 | |
JP2004104500A (ja) | 通信方法、ブリッジ装置及び端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061026 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090522 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090616 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090915 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20090925 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091015 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100115 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100120 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130129 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4447463 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140129 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |