JP2006505222A - ブリッジ暗号vlan - Google Patents

ブリッジ暗号vlan Download PDF

Info

Publication number
JP2006505222A
JP2006505222A JP2004550404A JP2004550404A JP2006505222A JP 2006505222 A JP2006505222 A JP 2006505222A JP 2004550404 A JP2004550404 A JP 2004550404A JP 2004550404 A JP2004550404 A JP 2004550404A JP 2006505222 A JP2006505222 A JP 2006505222A
Authority
JP
Japan
Prior art keywords
vlan
bridge
frame
encapsulated
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004550404A
Other languages
English (en)
Other versions
JP4447463B2 (ja
Inventor
デンニス ミヒャエル ボパノ
シンフア ジェ ザオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cranite Systems Inc
Original Assignee
Cranite Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cranite Systems Inc filed Critical Cranite Systems Inc
Publication of JP2006505222A publication Critical patent/JP2006505222A/ja
Application granted granted Critical
Publication of JP4447463B2 publication Critical patent/JP4447463B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/467Arrangements for supporting untagged frames, e.g. port-based VLANs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 単一のVLANを表す暗号化されたおよび暗号化されていないLANセグメント間の効率的なフレーム転送の問題を解決すること。
【解決手段】 本発明は、802.1Q IEEE VLANブリッジ・モデルの3つの拡張を有する。第1の拡張は、トランク・リンクに関するVLANの暗号分離である。カプセル化されたLANセグメントと称されるLANセグメントタイプが、導入される。このようなセグメント上で全てのフレームは、暗号および認証コード方式に従ってカプセル化される。第2の拡張は、トランク・ポートのインバウンドおよびアウトバウンド・トランク・ポートへの分割である。第3の拡張は、ブリッジVLANにおける各アウトバウンド・トランク・ポートに関して、ブリッジVLANにおいてフレームを運ぶために必要とされるカプセル化されたおよびカプセル化されていないセグメント間の転送の数を最小限に抑える一連のLANセグメントタイプを、ポートに対して、自動的に推論するプロトコルである。

Description

本発明はVLANに関する。より詳しくは、本発明は、ブリッジ暗号VLANに関する。
基本的なVLAN概念
図1は、2つの VLAN、すなわちVLAN A 13およびVLAN B 15から成るシンプルなポートベースVLAN 10を示す。ポートで受信されるタグなしフレームが属するVLANは、受信ポートに割り当てられたPort VLAN ID(PVID)、またはフレームにおいて伝えられるリンク-レイヤ・プロトコルと関連しているVLAN ID(VID)により決定される。(非特許文献1を参照。)ブリッジが1つより多いVLANからフレームを伝えることができるトランク・リンク16により接続されるので、ブリッジ12、14 間でVLAN情報を伝える方法が、なければならない。VLANタグは、このためにすべてのフレームに付加される。このようなフレームは、VLAN-タグ付きフレームと呼ばれている。
トランク・リンク
トランク・リンクは、VLANブリッジ間のVLAN多重化のために使用されるLANセグメントである(非特許文献2を参照)。トランク・リンクに接続されるすべてのデバイスは、VLANを意識(VLAN-aware)しなければならない。このことは、それらがVLANメンバーシップおよびVLANフレーム・フォーマットを理解することを意味する。トランク・リンク上の、終端局フレームを含む全てのフレームは、VLAN-タグ付きであり、このことは、それらが非ヌルVIDを伝えることを意味する。VLANを意識しない(VLAN-unaware)終端局が、トランク・リンク上に存在することはできない。
1のトランク・リンク16は、2つのブリッジ12、14により共有される多重化LANセグメントである。一般に、VLANを意識した多くのブリッジが、トランク・リンクに接続されるだろう。
アクセス・リンク11は、VLANを多重化しないLANセグメントである。その代わりに、各アクセス・リンクは、タグなしフレーム、または単一のVLANに属するVLAN-タグ付きフレームを伝える。フレームがタグ付きである場合、セグメント上で全てのフレームは、同じVIDを伝え、かつLANセグメント上で終端局は、VLANを意識しなければならない。
さまざまな制限が、VLAN技術の現行状態で生じる。1つの問題は、トランク・リンクに関するVLANの暗号分離のそれである。このような問題を解決する方式の導入自体が、単一のVLANを表す暗号化されたおよび暗号化されていないLANセグメント間の効率的なフレーム転送の問題を提起する。
IEEE Std 802.1v-2001, Virtual Bridged Local Area Networks-Amendment 2: VLAN Classification by Protocol and Port IEEE Std 802.1v-2001, Virtual Bridged Local Area Networks-Amendment 2: VLAN Classification by Protocol and Port IEEE Std 802.1Q-1998, IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks
本発明は、IEEE 802.1Q VLANブリッジ・モデルの3つの拡張を含む(非特許文献3を参照)。第1の拡張は、トランク・リンクに関するVLANの暗号分離である。新しいLANセグメントタイプ(本明細書において、カプセル化されたセグメントタイプと称される)が、導入される。このようなセグメント上で全てのフレームは、暗号および認証コード方式に従ってカプセル化される。第2の拡張は、トランク・ポートのインバウンドおよびアウトバウンド・トランク・ポートへの分割である。第3の拡張は、ブリッジVLANにおける各アウトバウンド・トランク・ポートに関して、ブリッジVLANにおいてフレームを運ぶために必要とされるカプセル化されたおよびカプセル化されていないセグメント間の転送の数を最小限に抑える一連のLANセグメントタイプを、ポートに対して、自動的に推論するプロトコル(本明細書において、トランスファー・ポイント・プロトコル(TPP)と称される)である。
LANセグメントタイプ
3つのタイプのLANセグメント:タグなし、タグ付きおよびカプセル化されたセグメントは、VLANを表す。802.1Q IEEE標準は、タグ付きおよびタグなしセグメントタイプのみに対処する(非特許文献3を参照)。標準は、同じVLANを表すタグ付きおよびタグなしセグメント間のトラフィックの転送用のみにブリッジ・セマンティクス(bridging semantics)を特定する。本発明は、カプセル化されない(タグ付きまたはタグなしの)セグメントおよび同じVLANのカプセル化されたセグメント間でトラフィックを転送することを含むようにブリッジ・セマンティクスを拡張する技術を提供する。一般に、任意の数のLANセグメントタイプが、導入可能である。
VLANを表す各タイプのセグメントに対して1つのフレーム・タイプがある。ブリッジされた、暗号のVLANに、タグなし、VLAN-タグ付き(タグ付きとも称される)、およびカプセル化された:3つの種類のフレームがある。最初の2つのフレーム・タイプは、802.1Q IEEE標準のそれである(非特許文献3を参照)。カプセル化されたフレームは、暗号によってカプセル化される。すべてのカプセル化されたフレームも、また、VLANタグを有する。しかしながら、そのタグは、VLANに属しているタグ付きフレームの範囲内で使用されるタグと異なる。2つの一意的なVLANタグ(VLANのタグ付きフレームの範囲内で使用される)VID-Tおよび(VLANのカプセル化されたフレームの範囲内で使用される)VID-Eは、すべてのVLANと関連している。
各VLANに対して、VLANに属するものとしてタグを付けられたフレームの完全性および信憑性をチェックするための暗号認証コード鍵、およびVLANに属する全てのフレームのプライバシを保証するための暗号鍵を有する一意的なセキュリティ・アソシエーションが存在する。
好適なカプセル化方式は、「encrypt-then-MAC」方式である。この方式において、フレームのデータ・ペイロードは、暗号化され、次に、メッセージ認証コードは、結果として生じる暗号文およびフレームのシーケンス番号に関して計算される。この方式は、2つの主な利点を有する:それは、或るブロック暗号および動作モードと共に使用されるとき、順方向誤り修正を容易にし、およびそれは、解読を伴わずにフレーム認証を可能とする。
ポートのタグ付きセット、タグなしセット、およびカプセル化されたセットは、各VLANと関連している。VLANに対するセキュリティ・アソシエーションは、VLANに属するものとしてタグを付けられ、かつVLANのカプセル化されたセットでポートにおいて受信されたすべてのフレームの信憑性および完全性を検証するために使用される。ポートに対するイングレス・フィルタリング・ルールは、検証が発生するか否かを決定する。アソシエーションは、また、ポートからそれらをVLANのカプセル化されたセットで送信する前に、VLANに属するタグ付きおよびタグなしフレームを暗号によってカプセル化するために、使用可能である。
トランク・ポート
すべてのトランク・ポートは、インバウンドおよびアウトバウンド・ポートを有する。2つのトランク・ポートP1 およびP2 間のトランク・リンクは、P1のインバウンド・ポートをP2のアウトバウンド・ポートに接続し、かつP1のアウトバウンド・ポートをP2のインバウンド・ポートに接続する。したがって、インバウンド・ポートが属するLANセグメントタイプのセットは、正確に、それが接続されるアウトバウンド・ポートのそれらである。したがって、アウトバウンド・ポートのみをLANセグメントタイプのセットに割り当てることは、ブリッジVLANにおける全てのトランク・ポートをLANセグメントタイプのセットに完全に割り当てるために、充分である。
トランク・ポートのインバウンドおよびアウトバウンド・ポートは、LANセグメントタイプの異なるセットに属することが可能である。例えば、トランクのアウトバウンド・ポートは、VLANのタグ付きセットに属することができ、かつインバウンド・ポートは、そのカプセル化されたセットに属することができるが、この場合、VLANのカプセル化されたフレームのみが、インバウンド・ポートに受信され、かつタグ付きフレームのみが、いつもアウトバウンド・ポートから送信される。
アクセス・ポートと異なり、トランク・ポートのインバウンドまたはアウトバウンド・ポートは、同時に、VLANのタグ付きおよびカプセル化されたセットの両方に属することができる。
トランク・ポートのインバウンドおよびアウトバウンド・ポートへの分割は、802.1Q標準には無く(非特許文献3を参照)、ここで、実質的に、インバウンドおよびアウトバウンド・ポートは、同じポートである。したがって、インバウンドおよびアウトバウンド・フレームタイプは、常に、802.1Qの所定のトランク・ポートに対して同じである。
図2は、ブリッジされた、暗号VLANを示す。ポートP1(20)およびP2(21)は、アクセス・ポートであり、1つは、VLAN A 28用、および他方は、VLAN B 29用であり、VLAN AおよびBは、アクセス・リンク30、31を有する。トランク・リンク16は、トランク・ポートP3(22)およびP4(23)を介して2つのブリッジ12a、14aを接続する。P3は、インバウンド・ポートP3iおよびアウトバウンド・ポートP3oを有する。P4は、インバウンド・ポートP4iおよびアウトバウンド・ポートP4oを有する。P4iは、P3oに接続され、およびP4oは、P3iに接続される。P4で受信されたフレームは、インバウンド・ポートP4iに到着し、およびP4から送信されたフレームは、アウトバウンド・ポートP4oを介して離脱する。P3で受信されたフレームは、インバウンド・ポートP3iに到着し、およびP3から送信されたフレームは、アウトバウンド・ポートP3oを介して離脱する。
ポートP5(24)およびP6(25)は、無線アクセス・リンク30に接続される。好ましい具体例において、それらは、実は、それによって、フレームが、RFを介して送受信される単一の無線インタフェース(アクセス・ポイント)を共有する仮想ポートである。たとえそれらが同じRF媒体を共有するとしても、VLAN A 28およびB 29は、異なるカプセル化されたセグメントにより表されることができる。例えば、VLAN Aにおける終端局は、VLAN Bに属する任意のフレームを受信することができるが解読できない。したがって、たとえそれらの物理的分離が単に暗号であるとしても、互いに異なるアクセス・リンク32、33が、AおよびBに対して示される。
P1は、タグなしフレームのみを受信し、およびP2は、タグ付きフレームのみを受信すると仮定する。トランク・リンクは、両方の方向にタグ付きフレームを伝え、および無線アクセス・リンクは、カプセル化されたフレームのみを伝えると、更に、仮定する。次に、VLAN Aに対して、タグなしセットは、{P1}、タグ付きセットは、{ P3o P3i, P4o, P4i }、およ、カプセル化されたセットは、{ P5 }であり;およびBに対して、そのセットは、それぞれ、{ }、{ P2, P3o P3i, P4o, P4i }、および{ P6 }である。
P5でのイングレス・フィルタリング・ルールが信憑性チェッキングを特定する場合、P5で受信されたフレームは、VLAN A用のセキュリティ・アソシエーションを使用して、認証される。成功した場合、フレームは、A用のカプセル化されたセグメントのメンバーであると決定される。フレームが、P4に送出されなければならないと仮定する。次に、ブリッジ2 は、同じセキュリティ・アソシエーションを使用して、フレームをカプセル開放する。ブリッジは、そのタグをA-Tにより置き換えてP4oにカプセル開放されたフレームを送出し、このことによりフレームをAのカプセル化されたセグメントからそのタグ付きセグメントへ転送する。反対に、P4iに到着し、かつP5行きであるフレームは、A用のセキュリティ・アソシエーションを使用してカプセル化される。タグA-Tは、A-Eにより置き換えられ、このことが、フレームをAのタグ付きセグメントからそのカプセル化されたセグメントへ転送する。
具体例の多くのバリエーションが、図2に存在する。例えば、VLAN Bのみのトラフィックを保護することは、望ましいかもしれない。この場合、P5は、Aのカプセル化されたセットに属さない。P6で受信されたフレーム、すなわちB-Eでタグ付けされたフレームのみが、認証され、およびP4iで受信され、かつP6行きのB-タグ付けされたフレームのみが、カプセル化される。
ブリッジ・セマンティクス
複数のポートを有するVLANブリッジを考慮する。フレームがポートPで受信されると仮定する。それは、いくつかの方法のうちの1つでVLANに割り当てられる。もしPがトランク・ポートであるならば、フレームは、その各々が、VLAN、すなわちVIDを識別するフォームVID-TまたはVID-EのVLANタグを伝えなければならない。そうでない場合、フレームは、破棄される。Pがトランク・ポートでない場合、ポートまたはプロトコル・ベースのVLAN分類の何れかは、VLANにフレームを割り当てるために使用されることができる(非特許文献2を参照)。
イングレス・フィルタリング
Pがトランク・ポートであり、かつVIDのタグ付きまたはカプセル化されたセットに存在しない場合、フレームは、破棄される。ポートに対するイングレス-フィルタ・ルールは、或るVLANに対する認証および完全性チェッキングを特定することができる。Pが、そのイングレス・フィルタルールがVLAN VIDに対する認証および完全性チェッキングを必要とするポートである場合、Pで受信されたフレームは、VLANタグVID-Eを有しなければならない。そうでない場合、フレームは、破棄される。好適な実施例において、認証コードは、VIDに対するセキュリティ・アソシエーションを使用して、受信されたフレームの暗号文およびシーケンス番号に関して計算される。それがフレームで受信された認証コードにマッチしない場合、フレームは破棄される。そうでない場合、フレームは、VIDのカプセル化されたセグメントに属すると判断される。
Pが、VIDのタグ付きセットに存在しない、しかしそれがVLAN-タグ付きアクセス・リンクに接続される場合、受信されたフレームは破棄される。
送出プロセス
送出プロセスは、ターゲット・ポート・セットQを構成することから開始する。これは、特定のVLANに属するフレームが送出されなければならないポートのセットである。ポートPで受信されるフレームがVLAN VIDに属すると仮定する。フレームが、殺到するにちがいない場合、Qは、VIDのタグ付き、タグなし、またはカプセル化されたセットのメンバーである任意のアウトバウンドまたはアクセス・ポートを含む。次のステップは、PがVIDのタグ付きおよびカプセル化されたセットの両方に属するトランクのインバウンド・ポートである場合に限り、Qを減らすことである。この場合、受信されたフレームがタグ付きフレームであるならば、VIDのタグ付きセットに属さないVIDのカプセル化されたセットのすべてのポートは、Qから除去される、または受信されたフレームがカプセル化されるならば、VIDのカプセル化されたセットに属さないVIDのタグ付きまたはタグなしセットのすべてのポートは、Qから除去される。インバウンド・ポートがVIDに対してLANセグメントタイプの両方のセットに属するので、インバウンド・ポートは、各LANセグメントタイプのフレームを受信しなければならず、したがって、ターゲット・ポート・セットを減らすことは、正当化される。トランスファー・ポイント・プロトコルは、それが、減少することが空のターゲット・ポート・セットに決して結果としてならないことを保証するプロパティを有する。空のターゲット・セットまで減少することは、ブリッジが、それが受信する理由を有さないフレームを受信したことを意味する。
送出プロセスにおける次のステップは、受信されたフレームに関して送出セットを構成することである。これは、ポートPでVIDに属するフレームを受信する結果として送出されるフレームのセットである。これらは、トラフィックをVLANの1つのLANセグメントから別のものへ転送するために必要なフレームである。図3に示される表は、送出セットを構成するために使用される。Pで受信されるフレームは、(タグ付き、タグなし、またはカプセル化された)VIDに対するLANセグメントの種類Kに属する。同様に、Qのすべてのポートは、LANセグメントの種類、VIDに対してそれが属するポート・セットの種類に属する。
トランク・ポートは、タグ付きおよびカプセル化された2種類のセットを有することが可能である。Qにおけるすべてのポートqに対して、図3の表のルール(K、K’)に従って、フレームを送出セットに加える。ここで、K’は、VIDに対してqが属する種類のポート・セットである。
受信されたフレームに関して送出セットを構成するためのルールは、以下の通りである:
(1) 受信されたフレームを送出セットに加える。
(2) VLANタグVID-Tを受信されたフレームに加える;結果を送出セットに加える。
(3) 受信されたフレームは、VIDに対するセキュリティ・アソシエーションを使用して、暗号によってカプセル化される;結果とし生じるフレームは、VID-EでVLANタグ付けされかつ送出セットに加えられる。
(4) 受信されたフレームからVID-Tを除去する;タグなしフレームを送出セットに加える。
(5) 受信されたフレームの暗号文は、VIDに対するセキュリティ・アソシエーションを使用して解読される;結果として生じるフレームは、タグなしであり、かつ送出セットに加えられる。
(6) 受信されたフレームの暗号文は、VIDに対するセキュリティ・アソシエーションを使用して解読される;結果として生じるフレームは、VID-Tでタグ付けされ、かつ送出セットに加えられる。
現在の好適な実施例において、VLANを表すことができるLANセグメントの3つの異なる種類に対応する、多くて3つのフレームが、任意の送出セットに存在することができる。送出プロセスは、以下の通りに送出セットのフレームを送出する:
・送出プロセスは、VIDのタグなしセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、タグなしフレームを待ち行列に入れる。
・送出プロセスは、VIDのタグ付きセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、VLAN-タグ付きフレームを待ち行列に入れる。
・送出プロセスは、VIDのカプセル化されたセットに属するQの各ポートでの送信のために、もしあれば、送出セットで、カプセル化されたフレームを待ち行列に入れる。
フレーム転送
ブリッジされた、暗号VLANの内で、ステップは、同じVLANを表すLANセグメント間の冗長な転送を除去するために利用される。例えば、各転送が暗号を必要とするので、ブリッジVLANにおいて、カプセル化されないフレームをVLANのカプセル化されたセグメントへ1回より多く転送することを回避することは、望ましい。カプセル化は、1回行われ、かつ全てのブリッジにわたるVLANのカプセル化されたセットに属する全ての出口ポートにより共有されるべきである。同様に、ブリッジ全体の繰り返されるカプセル開放を回避することは、各々が解読を要求するので、望ましい。
例えば、図4のブリッジLANを考慮する。無線トランク・リンク43が接続されるブリッジ1(41) および 2 (42)のポートがVLAN B 44 のカプセル化されたセットに属すると仮定する。トランク・リンク45がVLAN-タグ付きフレームのみを伝える場合、ブリッジ1で受信されたVLAN Bに属するフレームは、ブリッジ 1および2でカプセル化されなければならない。しかしながら、トランク・リンクがカプセル化されたフレームを伝える場合、カプセル化は、ブリッジ1で行われる必要があるだけで、かつブリッジ2と共有される。
カプセル化されたフレームにトランク・リンクを通じて不必要に送信されることを強制する、カプセル化がブリッジLANにおいてあまりにも早く行われる状況も、また、ある。暗号操作を最小限に抑える各VLANに対するカプセル化およびカプセル開放のための転送点(transfer point)が、ある。トランスファー・ポイント・プロトコル(以下に記載する)は、セグメント間のこの転送点を推定する。
トランスファー・ポイント・プロトコル
最小スパニング・ツリー・アルゴリズムは、任意のブリッジLANをノードがブリッジであり、かつエッジがトランク・リンクであるスパニング・ツリーに変えることができる。スパニング・ツリーは、ブリッジ上に半順序を誘発する。例えば、我々は、半順序としてB1<B2を利用することができる、ここで、ブリッジB1は、スパニング・ツリーにおいてB2の親である。最少のブリッジは、スパニング・ツリーのルートである。半順序と共にブリッジのセットは、完全な、半順序セットを定義する。すべての空でないブリッジのサブセットは、最小上界を有する。
スパニング・ツリーのルートで受信されるフレームを考慮する。VLANを表すLANセグメントのうちの1つに属するためにVLANの受信されたフレームを必要とする全てのブリッジの最小上界は、受信されたフレームをそのLANセグメントに関するフレームに変換するための転送点である。
トランスファー・ポイント・プロトコル(TPP)は、2つのリンク-レイヤ・プロトコル、アウトバウンド・トランク・ポートをVLANのタグ付きセットに加えるためのTPP-T、およびアウトバウンド・トランク・ポートをVLANのカプセル化されたセットに加えるためのTPP-Eを有する。トランク・ポートは、VLANをブリッジする全てのブリッジにわたる。例えば、TPP-Eは、図4においてブリッジ1をブリッジ2に接続するアウトバウンド・トランク・ポートが、VLAN Bのカプセル化されたセットのメンバーでなければならないことを決定する。そのように、ブリッジ2での無線トランク・ポートは、そのアウトバウンド無線トランク・ポートに対してブリッジ1により実行されるカプセル化を共有することができる。
TPPは、ブリッジVLANにおけるアウトバウンド・トランク・ポートが属するセットを推定するために、それが、この情報を使用するので、すべてのアクセス・リンク・ポートは、実行の前にVLANのタグ付き、タグなし、またはカプセル化されたセットに割り当てられたと仮定する。TPP-Eは、アウトバウンド・トランク・ポートをVLANのカプセル化されたセットに割り当てることができ、一方、TPP-Tは、同じアウトバウンド・ポートをVLANのタグ付きセットに割り当てることができる。
TPPは、2つのフレーム・タイプ、アナウンス・フレーム(announce frame)およびリプライ・フレーム(reply frame)を有する。これらのフレームの各々は、VLAN IDおよびソース・ブリッジ・ルーティング経路を含む。ここで、経路の各入口は、ブリッジMACアドレスおよび3ビット、すなわち、タグ付き、タグなし、およびカプセル化された、各LANセグメントタイプに対する1ビットを含む一意的な対である。対でアドレスされたブリッジがフレームにおいて名づけられたVLANのタグ付きセットにアクセス・ポートを有するときに限り、タグ付きビットは、ハイである。タグなしおよびカプセル化されたビットは、同様にセットされる。
ブリッジは、TPPアナウンス・フレーム、例えばGARP PDUを、それに公知であるすべてのVLANに対してそのアウトバウンド・トランク・ポートの各々を通して、TPPグループアドレス、例えばGARPアプリケーション・アドレスに送信する。ブリッジがアナウンス・フレームを受信するとき、それは、受信された、名づけられたVLANに関してそれ自体のための対を、経路の右側に追加し、かつ受信しているトランク・ポート以外のその使用可能な、アウトバウンド・トランク・ポートの各々にフレームを送出する。それがこのような他のポートを有さない場合、それは、TPPリプライ・フレームにおいて最終的なルーティング経路および受信されたVIDを、ルーティング経路においてそれに先行するMACアドレスに送信する。アナウンス・フレームの発信ブリッジは、それ自体のための対からのみ成る経路を作成する。ブリッジがインバウンド・トランク・ポート上でTPPリプライ・フレームを受信するとき、それは、経路においてそれに先行するブリッジMACアドレスにリプライ・フレームを送出する。いずれでもない場合、フレームは破棄される。
TPP-E
ブリッジがトランク・ポート上でTPPリプライ・フレームを受信するとき、それに、そのカプセル化されたビットがハイであるルーティング経路におけるブリッジBが続く場合に限り、それは、トランクのアウトバウンド・ポートをフレーム内のVIDのカプセル化されたセットに加える、および
a) 受信しているブリッジが、VIDに対するタグ付きまたはタグなしアクセス・ポートを有し、かつルーティング経路におけるそれの後のブリッジは、Bまで、ハイなタグ付きまたはタグなしビットを有さない;または
b) 受信しているブリッジが、VIDに対するカプセル化されたアクセス・ポートを有する、またはハイなカプセル化されたビットを有するルーティング経路においてブリッジが先行する、の何れかである。
TPP-T
ブリッジがトランク・ポート上でTPPリプライ・フレームを受信するとき、それに、そのタグ付きまたはタグなしビットがハイであるルーティング経路におけるブリッジBが続く場合に限り、それは、トランクのアウトバウンド・ポートをフレーム内のVIDのタグ付きセットに加える、および
a) 受信しているブリッジが、VIDに対するカプセル化されたアクセス・ポートを有し、かつルーティング経路におけるそれの後のブリッジは、Bまで、ハイなカプセル化されたビットを有さない;または
b) 受信しているブリッジが、VIDに対するタグ付けされたまたはタグなしアクセス・ポートを有する、またはハイなタグ付けされたまたはタグなしビットを有するルーティング経路においてブリッジが先行する、の何れかである。
具体例
具体例1
単一のVLANをブリッジすることを考慮する。したがって、各アクセス・ポートがこのVLANに属すると仮定される。このように、ポートのVLANラベル付けは、具体例において省略される。その代わりに、アウトバウンド・トランク・ポートは、LANセグメントタイプ、すなわち、T(タグ付き)、U(タグなし)、およびE(カプセル化された)によってラベルをつけられる。例えば、アウトバウンド・ポートがUによってラベルをつけられる場合、ポートはVLANのタグなしセットに属する。
最初に、すべてのアクセス・ポートは、ポートがVLANに対して属するセットの種類に従ってラベルをつけられる。トランク・ポートは、最初は、ラベルをつけられていない。それらのためのラベルを推定することは、TPPのジョブである。図5は、ここで、2つのブリッジ51、52が、トランク53により接続されたVLAN 50のブリッジングを示す。各ブリッジは、2つのアクセス・ポートを有する。各ブリッジが、タグなしおよびカプセル化されたアクセス・ポートの両方を有するので、TPPは、トランクの両方のアウトバウンド・ポートがVLANのタグ付きおよびカプセル化されたセットに属すると推定する。各インバウンド・ポートも、また、これらのセットに属する。
各アウトバウンド・ポートは、ルールTPP-T(b)に従ってタグ付きセットのメンバーである。それがTPPアナウンス・フレームを開始するとき、各ブリッジはこの事実を推定する。したがって、各ブリッジにより行われる暗号化および解読の両方は、他のものと共有される。
具体例2
図6において、ブリッジ1(61)は、タグなしアクセス・ポートを有し、かつブリッジ2(62)は、カプセル化されたアクセス・ポートを有する。したがって、ブリッジ1のアウトバウンド・ポート63は、ルールTPP-E(a)に従ってカプセル化されたセットのメンバーであり、一方、ブリッジ2のアウトバウンド・ポート64は、ルールTPP-T(a)に従ってタグ付きセットのメンバーである。
具体例3
図7は、純粋にカプセル化されたトランク・リンクを示す。リンクにわたる全てのフレームはカプセル化される、しかしながら、暗号化は、ブリッジ2または3で行われない。図7のブリッジ1(71)が、我々が具体例として仮定する、「B」と名づけられたVLANに対するアナウンス・フレームを開始するとき、図8は、ブリッジ1(71)、2(72)、および3(73)間のTPPメッセージ交換を示す。
具体例4
図7のブリッジ1(71)、および2(72)が交換される場合、結果は、図9のブリッジ暗号VLANである。
具体例5
図10は、各々別のブリッジ81、83、84に接続される、3つのトランク・ポートを有するブリッジ82を示す。ブリッジ4(84)からのトランクのアウトバウンド・ポートは、タグ付きかつカプセル化されたセットに属し、一方、ブリッジ4のインバウンド・ポートに接続されたブリッジ2(82)のアウトバウンド・ポートは、単にカプセル化されたセットのメンバーである。
TPPは、転送点の変化を推定するために、繰り返し動作することができる。それがどれくらい頻繁に動作するか、およびそれが影響を及ぼすブリッジの数は、アクセス・リンクの移動に依存する。例えば、終端局が無線であるならば、ブリッジLANに関する局の動きは、移動されているそのカプセル化されたアクセス・リンクに結果としてなることができる。TPPが再実行されるまで、VLANに対する冗長な転送が存在する可能性がある。
ブリッジVLANは、TPPに参加しないブリッジから成ることができる。一般に、レガシーVLANブリッジに接続されたトランク・ポートを有する1つ以上の暗号VLANブリッジが存在することができる。このような各トランク・ポートが、その代わりに、バーチャルな、タグ付きのアクセス・ポートの集合、トランクにわたって送信可能な各VLANタグに対する1つのポートとして見られる場合、TPPは、参加しているブリッジの間で転送点を推定するために、なお動作されることができる。しかしながら、全体のブリッジLANにわたる冗長な転送が存在する可能性がある。例えば、不参加のコア・スイッチが、各々、同じVLANのカプセル化されたセットにアクセス・ポートを有する、2つの暗号VLANブリッジを切り離すことになっている場合、これらのカプセル化されたセグメント間のトラフィックは、コアへの入口で解読され、次に、出た後で再暗号化されるであろう。アクセス・ポートがVLANのタグ付きまたはタグなしセットに属するコアにない場合、暗号化または解読が、必要ではないことを観察されたい。この場合、TPPは、各VLANタグに対するバーチャル・アクセスポートを、タグ付きアクセス・ポートではなくカプセル化されたアクセス・ポートとして処理することができる。その時、すべてのカプセル化されたフレームがVLAN-タグ付きフレームであるので、2つのカプセル化されたセグメント間の全てのトラフィックは、カプセル化されたフレームとして、透過的にコアをトラバースすることができる。
グループ・セキュリティ
暗号VLAN vは、一意的なセキュリティ・アソシエーションを有する一群のm個の局により定義される。アソシエーションは、以下から成る:
a) 暗号化鍵K v
b) 認証コード鍵K’v
c) ディストリビューション鍵K’’ v、および
d) m個のランダムな値R1, R2, …, Rm
暗号化鍵は、vに属しているフレームを暗号化し、かつ解読するために、vを意識した(v -aware)ブリッジおよびvの局により、使用される対称的な鍵である。全てのvを意識したブリッジおよびvの局は、K’vを使用して、暗号化されたvのフレームに関して認証コードを計算し、かつ検証する。m個の局の各々に対して、1つのランダムな値がある。グループのi番目の局は、Ri.以外の全てのm個のランダムな値を知っている。それが知っているm - 1個のランダムな値は、vを意識したブリッジによりそれに通信される。ランダムな値のプライバシは、ディストリビューション鍵K’’vを使用して暗号化により保証され、一方、それらの信憑性は、認証コード鍵K’ vを使用して、結果として生じる暗号文に関して計算された認証コードにより保証される。
暗号VLANへの加入
暗号VLANへ加入することは:
新しい局をグループに加えるステップ、および
グループにおける全ての他の局が後で新しい局を除去することを可能にするステップの2-ステップ・プロトコルによって行われる。
ユーザの局は、ユーザおよびvを意識したブリッジに存在している認証者間で、局を介して実行される相互認証プロトコルによって暗号VLAN vへ加入する。相互認証が成功するならば、ブリッジから局まで安全にK v、 K’v、およびR1, R2, …, Rmを転送するために、安全な束の間のチャネルが、ブリッジおよび新しい局間につくられる。次に、加入プロトコルの第2のステップが、実行される。そうでない場合、プロトコルは、直ちに終わる。第2のステップにおいて、同じvを意識したブリッジは、新しい局に対する新しいランダムな値Rm+1を選択し、かつそれを全てのvを意識したブリッジ、およびvを有する局に、K’‘vによって暗号化され、かつK’vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布する。次に、ブリッジは、vに対する新しいディストリビューション鍵をつくり、かつそれを全てのvを意識したブリッジ、および新しい局を含むvのメンバーに、K vによって暗号化され、かつK’vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布する。
新しい局がそれ自身のランダムな値Rm+1を含むブロードキャストの信憑性を検証することができるにもかかわらず、それが鍵K’’ vを持たないので、それは、それを解読することができない。
暗号VLANからの離脱
局のサブグループは、同時に、おそらく不本意に、暗号VLAN vを離脱することができる。グループの局1,…, kが離脱すると仮定する。これが発生するとき、それは、vを意識したeブリッジにより検出され、次いで、K’vを使用してフレームに関して計算された認証コードを含む単一のブロードキャスト・フレームを介して局1,…, kの離脱をアナウンスする。ブロードキャストは、局1,, kが、離脱したグループのすべてのvを意識したブリッジおよび局に通知するであろう。このような各ブリッジおよび局は、次に、vに対する暗号化、認証コード、およびディストリビューション鍵、各々を、古い鍵の機能およびランダムなR1,…, Rkとして、鍵再生成(rekey)しようとする。すべてのvを意識したブリッジおよびvの全ての残っている局は、この結果、k個少ないランダムな値を含む、新しいセキュリティ・アソシエーションを共有する。
すべてのvを意識したブリッジは、局とは異なり、vに対して現行のディストリビューション鍵を常に有する。したがって、すべてのこのようなブリッジは、vを離脱する任意のサブグループに対するランダムな値の完全セットを常に有し、その結果、それが、常にvに対する鍵を再生成することが可能となる。状況は、しかしながら、局に対して異なる。鍵再生成(rekeying)は、離脱している局に対するランダムな値、これらの局が有さない値の機能を果たす。したがって、それらは、鍵を再生成することができない。さらにまた、フォワード・シークレシー(forward secrecy)は、保証される。離脱した局は、続く鍵再生成の結果として、再び、vのメンバーになることが決してできない。このことは、鍵再生成が現行の鍵の機能を果たすからであり、それは、その後到着する全ての鍵が、常に、局に知られないランダムな値の機能を果たすことを意味する。vへ再加入することによってのみ、局は、再び、vのメンバーになることができる。
本発明が、本明細書において、好適な実施例に関連して説明されたにもかかわらず、当業者は、本発明の精神および範囲から逸脱することなく本明細書で説明した応用例の代わりに他の応用例を使用できることを、容易に認めるであろう。従って、本発明は、添付の特許請求の範囲によってのみ制限されるべきである。
ポートベースVLANを示すブロック略線図である。 本発明によるブリッジ暗号VLANを示すブロック略線図である。 本発明による送出セットの構成を示すフローダイヤグラムである。 本発明による2つの無線トランク・リンクを有するブリッジ暗号VLANを示すブロック略線図である。 本発明によるブリッジ暗号VLANのアウトバウンド・ポートの対称的なラベル付けを示しているブロック略線図である。 本発明によるブリッジ暗号VLANのアウトバウンド・ポートの非対称的なラベル付けを示すブロック略線図である。 図7は、本発明によってブリッジ暗号VLANの単にカプセル化されたトランクを示しているブロック略線図である; 図7のブリッジ1が本発明によるVLANに対するアナウンス・フレーム(announce frame)を開始するときのTPPメッセージ交換を示すフローダイヤグラムである。 図7のブリッジ1および2を交換した後、本発明によるアウトバウンド・ポートのラベル付けを示すブロック略線図である。 3つのトランク・ポートを有するブリッジを含むブリッジ暗号VLANにおける本発明によるアウトバウンド・ポートのラベル付けを示すブロック略線図である。
符号の説明
16 トランク・リンク
20、21、22、23、24、25 ポート
12a、14a ブリッジ
28、29 VLAN
30、31、32、33 アクセス・リンク

Claims (34)

  1. VLANブリッジ・セマンティクスを拡張するための方法であって、
    802.1Q IEEE VLANブリッジ・モデルに従ってタグなしフレーム、およびタグ付きフレームを提供するステップ;
    すべてのカプセル化されたフレームが、当該VLANに属するタグ付きフレームの範囲内で使用されたタグと異なるVLANタグを有する、暗号によってカプセル化されたフレームを提供するステップ;
    インバウンドおよびアウトバウンド・トランク・ポートに分割されたトランク・ポートを提供するステップ;
    当該タグなし、タグ付き、およびカプセル化されたフレーム・タイプのうちの1つをブリッジされた、暗号VLANを表す各セグメントに提供するステップ;および
    カプセル化されない(タグ付きまたはタグなし)セグメントおよび同じVLANのカプセル化されたセグメント間でトラフィックを転送するステップを有する方法。
  2. 2つの一意的なVLANタグをすべてのVLAN と関連づけるステップを更に含み、当該2つの一意的なVLANタグが、当該VLANでタグ付きフレームの範囲内で使用されるVID-T、および当該VLANのカプセル化されたフレームの範囲内で使用されるVID-Eを有する請求項1に記載の方法。
  3. 各VLANに対して、当該VLANに属するようにタグ付けされたフレームの完全性および信憑性をチェックするための暗号認証コード鍵、および当該VLANに属している全てのフレームのプライバシを保証するための暗号鍵を有する一意的なセキュリティ・アソシエーションがある請求項1に記載の方法。
  4. 当該カプセル化されたフレームが、
    フレームのデータ・ペイロードを暗号化するステップ;および
    結果として生じる暗号文および当該フレームのシーケンス番号に関するメッセージ認証コードを計算するステップを有するencrypt-then-MAC方法に従ってカプセル化される請求項1に記載の方法。
  5. ポートのタグ付きセット、タグなしセット、およびカプセル化されたセットは、各VLANと関連している請求項1に記載の方法。
  6. 当該VLANに属するものとしてタグを付けられ、かつ当該VLANのカプセル化されたセットでポートにおいて受信されたすべてのフレームの信憑性および完全性を検証するために、VLANに対するセキュリティ・アソシエーションを使用するステップを更に有する請求項1に記載の方法。
  7. 当該ポートに対するイングレス・フィルタリング・ルールを、検証が発生するか否かを決定するために提供するステップを更に有する請求項6に記載の方法。
  8. 当該VLANに属するタグ付きおよびタグなしフレームを暗号によってカプセル化するために、ポートからそれらを当該VLANのカプセル化されたセットで送信する前に、当該アソシエーションを使用するステップを更に有する請求項6に記載の方法。
  9. ブリッジされた、暗号VLANにフレームを送信する装置であって:
    少なくとも2つのブリッジ;
    当該トランク・リンクのすべてのトランク・リンクが、当該少なくとも2つのブリッジの1つのブリッジの前記インバウンド・トランク・ポート、および当該少なくとも2つのブリッジの別のブリッジの前記アウトバウンド・トランク・ポートと関連している複数のトランク・リンク;
    複数のアクセス・ポート;
    当該アクセス・リンクのすべてのアクセス・リンクが、当該アクセス・ポートの1つのアクセス・ポートと関連している複数のアクセス・リンク;および
    たとえそれらが同じ媒体を共有するとしても、異なるカプセル化されたセグメントにより、当該VLANを表すための手段を有し、当該VLANの物理的分離が暗号である装置。
  10. 信憑性チェッキングを特定するための当該アクセス・ポートの少なくとも1つと関連しているイングレス・フィルタリング・ルールを更に有し、
    当該アクセス・ポートの当該1つで受信されたフレームが、関連づけられたVLANに対するセキュリティ・アソシエーションを使用して、認証され、
    認証が成功した場合、当該フレームが、当該関連づけられたVLAN対するカプセル化されたセグメントのメンバーであると決定される請求項9に記載の装置。
  11. 当該アクセス・ポートの少なくとも1つと関連している当該イングレス・フィルタ・ルールが、或る当該VLANに対する認証および完全性チェッキングを特定する請求項10に記載の装置。
  12. 当該セキュリティ・アソシエーションを使用して、受信されたフレームの暗号文およびシーケンス番号に関して計算された認証コードを更に有し;
    当該認証コードが当該フレームで受信された認証コードにマッチしない場合、当該フレームは破棄され;および
    そうでない場合、当該フレームは、関連づけられたVLAN用のカプセル化されたセグメントに属するように決定される請求項11に記載の装置。
  13. VLANの前記タグ付きおよびカプセル化されたセットに属するインバウンド・ポートにおいて受信されたフレームに対するターゲット・ポート・セットを構成するための1つ以上のルールを更に有し;
    当該フレームがタグ付きである場合、当該VLANの前記タグ付きセットのメンバーでない当該VLANの前記カプセル化されたセットのすべてのポートは除去され;および
    当該フレームがカプセル化される場合、当該VLANの前記カプセル化されたセットのメンバーでない当該VLANの前記タグ付きまたはタグなしセットの何れかのすべてのポートは、除去される請求項9に記載の装置。
  14. 受信されたフレームに関して送出セットを構成するための1つ以上のルールを更に有し、そのルールが:
    受信されたフレームを当該送出セットに加える;
    VLANタグを受信されたフレームに加え;前記結果を当該送出セットに加える;
    受信されたフレームが、セキュリティ・アソシエーションを使用して、暗号によってカプセル化され;結果として生じるフレームが、VLANタグ付けされ、かつ当該送出セットに加えられる;
    受信されたフレームからVLANタグを除去し;タグなしフレームを当該送出セットに加える;
    受信されたフレームの暗号文が、セキュリティ・アソシエーションを使用して解読され;結果として生じるフレームが、タグを外され、かつ当該送出セットに加えられる;および
    受信されたフレームの暗号文が、セキュリティ・アソシエーションを使用して解読され;結果として生じるフレームが、タグ付けされ、かつ当該送出セットに加えられるの何れかを有することができる請求項9に記載の装置。
  15. VLANの受信されたフレームに対する前記ターゲット・ポート・セットに関して定義された送出セットのフレームを送出するための方法であって、
    当該VLANの前記タグなしセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、タグなしフレームを待ち行列に入れるステップ;
    当該VLANの前記タグ付きセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、VRAN-タグ付きフレームを待ち行列に入れるステップ;および
    当該VLANの前記カプセル化されたセットに属する当該ターゲット・セットにおけるすべてのポートでの送信のために、もしあれば、当該送出セットで、カプセル化されたフレームを待ち行列に入れるステップを有する方法。
  16. ブリッジされた、暗号VLANにおけるLANセグメント間の冗長な転送を除去するための方法であって、
    各転送が暗号化を必要とするブリッジVLANにおいて、カプセル化されないフレームをVLANのカプセル化されたセグメントへ、1回より多く転送することを回避するステップ;
    全てのブリッジにわたる当該VLANのカプセル化されたセットに属する全ての出口ポートにより共有される、カプセル化を1回行うステップ;および
    各々が解読を要求する当該ブリッジVLANにおけるブリッジ全体の繰り返されるカプセル開放を回避するステップを有する方法。
  17. ブリッジされた、暗号VLANを表すLANセグメント間の最適な転送点を決定するための方法であって、
    当該ブリッジ上に半順序を誘発するために、任意のブリッジLANを、そのノードが当該ブリッジであり、かつそのエッジがトランク・リンクであるスパニング・ツリーに変えるステップを有し;最少のブリッジが、当該スパニング・ツリーの前記ルートであり;半順序と共にブリッジの前記セットが、完全な、半順序セットを定義し;およびすべての空でない当該ブリッジのサブセットは、最小上界を有し;
    当該VLANを表す当該LANセグメントのうちの1つに属するためにVLANの受信されたフレームを必要とする全てのブリッジの当該最小上界が、受信されたフレームをそのLANセグメントに関するフレームに変換するための最適な転送点であり;および
    当該LANセグメントに対する当該ブリッジVLANにおけるブリッジ・アクセスポートの割当てから、当該VLANにブリッジするために所定のアウトバウンド・トランク・ポートと関連していなければならないLANセグメントの最も小さい前記セットを自動的に導き出すステップを有する方法。
  18. ブリッジされた、暗号VLANのトランスファー・ポイント・プロトコル(TPP)を実施する装置であって、
    少なくとも2つのブリッジ;
    当該トランク・リンクのすべてのトランク・リンクが、当該少なくとも2つのブリッジの1つのブリッジのインバウンド・トランク・ポート、および当該少なくとも2つのブリッジの別のブリッジのアウトバウンド・トランク・ポートと関連している複数のトランク・リンク;
    複数のアクセス・ポート;
    当該アクセス・リンクのすべてのアクセス・リンクが、当該アクセス・ポートの1つのアクセス・ポートと関連している複数のアクセス・リンク;および
    たとえそれらが同じ媒体を共有するとしても、異なるカプセル化されたセグメントにより、当該VLANを表すための手段を有し、当該VLANの物理的分離が暗号であり;
    2つのリンク-レイヤ・プロトコル、アウトバウンド・ポートをVLANの前記タグ付きセットに加えるための第1のリンク-レイヤ・プロトコル(TPP-T)、およびアウトバウンド・ポートをVLANの前記カプセル化されたセットに加えるための第2のリンク-レイヤ・プロトコル(TPP-E)を有し;および
    すべてのアクセス・ポートが、実行の前にVLANに対して、タグ付き、タグなし、またはカプセル化されたセットに割り当てられる装置。
  19. 当該トランスファー・ポイント・プロトコル(TPP)が、
    2つのフレーム・タイプ、アナウンス・フレームを有する当該フレーム・タイプのうちの1つ、およびリプライ・フレームを有する当該フレーム・タイプの2番目を更に有し;
    当該フレームの各々が、VLAN IDおよびソース・ブリッジ・ルーティング経路を含み、ここで、当該経路の各入口が、ブリッジMACアドレスおよび3ビット、各LANセグメントタイプに対する1ビットを含む一意的な対であり、
    当該対でアドレスされたブリッジが、当該フレームにおいて名づけられた当該VLANのタグ付きセットにアクセス・ポートを有するときに限り、当該タグ付きビットが、ハイであり、および
    当該タグなしおよびカプセル化されたビットが、同様にセットされる請求項18に記載の装置。
  20. ブリッジされた、暗号VLANのトランスファー・ポイント・プロトコル(TPP)であって、
    ブリッジが、TPPアナウンス・フレームを、それに公知であるすべてのVLANに対して、そのトランク・ポートの各々を通して、TPPグループアドレスに送信するステップ;
    ブリッジがアナウンス・フレームを受信するとき、当該ブリッジが、前記受信されたVLAN IDに関してそれ自体のための入口を、受信されたルーティング経路に追加し、かつ受信しているトランク・ポート以外のその使用可能な、アウトバウンド・トランク・ポートの各々に当該フレームを送出するステップ;
    当該ブリッジがこのような他のトランク・ポートを有さない場合、当該ブリッジは、TPPリプライ・フレームにおいて最終的なルーティング経路および当該受信されたVLAN IDを、当該ルーティング経路において当該ブリッジに先行するMACアドレスに送信するステップ;
    アナウンス・フレームの発信ブリッジは、それ自体のための入口からのみ成る経路を作成するステップ;
    ブリッジが、TPPリプライ・フレームを受信するとき、当該ブリッジは、当該経路において当該ブリッジに先行する前記ブリッジMACアドレスに当該リプライ・フレームを送出するステップ;および
    いずれでもない場合、当該フレームを破棄するステップを有するプロトコル。
  21. ブリッジが、インバウンド・トランク・ポート上でTPPリプライ・フレームを受信するとき、当該ブリッジに、カプセル化されたアクセス・ポートを有する当該ルーティング経路の別のブリッジが続く場合に限り、当該ブリッジは、当該インバウンド・トランク・ポートに対応する前記アウトバウンド・ポートを当該フレームの前記VLAN IDに対する前記カプセル化されたセットに加える、および
    当該ブリッジが、当該VLAN IDに対するタグ付きまたはタグなしアクセス・ポートを有し、かつ当該ルーティング経路におけるそれの後のブリッジが、当該他のブリッジまで、タグ付きまたはタグなしアクセス・ポートを有さない;または
    当該ブリッジが、当該VLAN IDに対するカプセル化されたアクセス・ポートを有する、またはカプセル化されたアクセス・ポートを有するルーティング経路において別のブリッジが先行する、の何れかである請求項20に記載のプロトコル。
  22. ブリッジが、トランク・ポート上でTPPリプライ・フレームを受信するとき、当該ブリッジに、タグ付きまたはタグなしアクセス・ポートを有する当該ルーティング経路の別のブリッジが続く場合に限り、当該ブリッジは、当該インバウンド・トランク・ポートに対応する前記アウトバウンド・ポートを、当該フレームの前記VLAN IDに対する前記タグ付きセットに加える、および
    当該ブリッジが、当該VLAN IDに対するカプセル化されたアクセス・ポートを有し、かつ当該ルーティング経路におけるそれの後のブリッジが、当該他のブリッジまで、カプセル化されたアクセス・ポートを有さない;または
    当該ブリッジが、当該VLAN IDに対するタグ付けされたまたはタグなしアクセス・ポートを有する、または当該ブリッジが、タグ付けされたまたはタグなしアクセス・ポートを有する当該ルーティング経路において別のブリッジが先行する、の何れかである請求項20に記載のプロトコル。
  23. トランク・ポートの前記アウトバウンド・ポートが:
    当該トランク・ポートによりサポートされた各VLANに対する1つの当該タグ付きアクセス・ポートを有する一組のバーチャルな、タグ付きアクセス・ポート;
    当該トランク・ポートによりサポートされた各VLANに対する1つの当該カプセル化されたアクセス・ポートを有する一組のバーチャルな、カプセル化されたアクセス・ポート;または
    当該トランク・ポートによりサポートされた各VLANに対する1つの当該タグ付きまたはカプセル化されたアクセス・ポートを有する一組のバーチャルな、カプセル化された、またはバーチャルな、タグ付きアクセス・ポートとして処理される請求項20に記載のプロトコル。
  24. ブリッジされた、暗号VLANにおけるアクセス・リンク移動のためのプロトコルであって、カプセル化されたセグメントをサポートするブリッジを有し、当該プロトコルが:
    移動されたアクセス・リンクが、関連づけられることができる当該ブリッジVLANのブリッジのアクセス・ポートを認識するステップを有し、当該アクセス・ポートが、バーチャルであり、かつ自動的につくられ;
    当該アクセス・ポートを、当該移動されたアクセス・リンクのセグメントタイプに基づくLANセグメントタイプに、自動的に割り当てるステップ;および
    当該割り当てられたLANセグメントタイプに属する当該アクセス・ポートを有する当該ブリッジVLANに対して転送ポート・プロトコル(TPP)を実行するステップを有するプロトコル。
  25. m個の局を有する暗号VLANに対するグループ・セキュリティ・アソシエーションを確立するための方法であって、
    暗号化鍵K vを提供するステップを有し、当該暗号化鍵が、vに属するフレームを暗号化し、かつ解読するために、vを意識したブリッジおよびvの局により、使用される対称的な鍵であり;
    認証コード鍵K¢ vを提供するステップを有し、全てのvを意識したブリッジおよびvの局が、K¢ vを使用して、vの暗号化されたフレームに関して認証コードを計算し、かつ検証し;
    ディストリビューション鍵K¢¢ vを提供するステップを有し;および
    m個のランダムな値R1, R2, …, Rmを提供するステップを有し、当該m個の局の各々に対して1個のランダムな値が存在し、当該グループの第i,の局が、Ri,以外の全てのm個のランダムな値を知っていて、当該第iの局が知っている当該m−1個のランダムな値が、vを意識したブリッジによりそれに通信され;
    当該ランダムな値のプライバシが、当該ディストリビューション鍵K¢¢ vを使用して暗号化により保証され、一方、それらの信憑性が、当該認証コードK¢ vを使用して、結果とし生じる暗号文に関して計算された認証コードにより保証される方法。
  26. 暗号VLANのカプセル化されたセグメントへ加入するための方法であって、
    新しい局をグループに加えるステップ、および
    当該グループにおける全ての他の局が後で当該新しい局を除去することを可能にするステップを有する方法。
  27. 新しい局をグループに加える当該ステップが、
    ユーザの局が、当該ユーザの局を介した当該ユーザ、およびvを意識したブリッジに存在している認証者間で実行される相互認証プロトコルによって暗号VLAN vに加入するステップを更に有し;
    相互認証が成功するならば、当該vを意識したブリッジから当該新しい局まで安全に、暗号鍵K v, 認証コード鍵K¢ v、およびm個のランダムな値R1, R2, …, Rm を転送するために、安全な束の間のチャネルが、当該vを意識したブリッジおよび当該新しい局間につくられ、この場合、当該可能なステップが実行され;
    そうでない場合、当該プロトコルが、直ちに終わる、請求項26に記載の方法。
  28. 当該グループの他の全ての局が当該新しい局を後で除去することを可能にする当該ステップが、
    当該vを意識したブリッジが、当該新しい局に対する新しいランダムな値Rm+1を選択し、かつ当該新しいランダムな値Rm+1を全てのvを意識したブリッジ、およびvを有する局に、ディストリビューション鍵K¢¢ vによって暗号化され、かつK¢ vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布するステップと;
    次に、当該ブリッジが、vに対する新しいディストリビューション鍵をつくり、かつ当該新しいディストリビューション鍵を全てのvを意識したブリッジ、および当該新しい局を含むvのメンバーに、K vによって暗号化され、かつK¢ vを使用して暗号文に関して計算された認証コードを伝えるブロードキャスト・フレームで配布するステップとを更に有する請求項27に記載の方法。
  29. 当該新しい局がそれ自身のランダムな値Rm+1を含むブロードキャストの信憑性を検証することができるが、それが鍵K¢¢ vを持たないので、当該ブロードキャストを解読することができない請求項28に記載の方法。
  30. 暗号VLANを離脱するための方法であって、
    局のサブグループ1,…, kが、同時に、暗号VLAN vを離脱することを、vを意識したブリッジにより、検出するステップを有し、
    当該vを意識したブリッジが、認証コード鍵K¢ vを使用して当該フレームに関して計算された認証コードを有する単一のブロードキャスト・フレームを介して当該局1,…, kの前記離脱をアナウンスするステップを有し、当該ブロードキャストが、局1,…, kが、離脱したグループvのすべてのvを意識したブリッジおよび局に通知し;
    このような各ブリッジおよび局が、次に、vに対する暗号化、認証コード、およびディストリビューション鍵、各々を、古い鍵の機能およびランダムな値R1,…, Rkとして、再生成するステップ;および
    すべてのvを意識したブリッジおよびグループvの全ての残っている局が、この結果、k個少ないランダムな値を有する、新しいセキュリティ・アソシエーションを共有するステップを有する方法。
  31. すべてのvを意識したブリッジが、vに対して現行のディストリビューション鍵を常に有し;かつ
    すべてのvを意識したブリッジが、グループvを離脱する任意のサブグループに対するランダムな値の完全セットを常に有し、その結果、それが、常にグループvに対する前記鍵を再生成することを可能とする請求項30に記載の方法。
  32. 局に対して、鍵再生成が、これらの局が有さない離脱している局に対するランダムな値の機能であり、当該局が、鍵を再生成することができない請求項30に記載の方法。
  33. 離脱した局は、鍵再生成が現行の鍵の機能を果たし、かつその後到着する全ての鍵が、常に、当該離脱した局に知られないランダムな値の機能を果たすので、続く鍵再生成の結果として、再び、グループvのメンバーになることが決してできない請求項30に記載の方法。
  34. 離脱した局が、vに再加入することによって、再び、vのメンバーになることができるのみである請求項30に記載の方法。
JP2004550404A 2002-11-01 2003-10-30 ブリッジ暗号vlan Expired - Fee Related JP4447463B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/286,634 US7120791B2 (en) 2002-01-25 2002-11-01 Bridged cryptographic VLAN
PCT/US2003/034855 WO2004042984A2 (en) 2002-11-01 2003-10-30 Bridged cryptographic vlan

Publications (2)

Publication Number Publication Date
JP2006505222A true JP2006505222A (ja) 2006-02-09
JP4447463B2 JP4447463B2 (ja) 2010-04-07

Family

ID=32312079

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004550404A Expired - Fee Related JP4447463B2 (ja) 2002-11-01 2003-10-30 ブリッジ暗号vlan

Country Status (6)

Country Link
US (3) US7120791B2 (ja)
EP (1) EP1556990B1 (ja)
JP (1) JP4447463B2 (ja)
CN (2) CN1708940B (ja)
AU (1) AU2003294242A1 (ja)
WO (1) WO2004042984A2 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7986937B2 (en) 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7120791B2 (en) * 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups
US7640359B1 (en) * 2003-09-19 2009-12-29 At&T Intellectual Property, I, L.P. Method, system and computer program product for facilitating the design and assignment of ethernet VLANs
US20050144459A1 (en) * 2003-12-15 2005-06-30 Zeewaves Systems, Inc. Network security system and method
US20050138171A1 (en) * 2003-12-19 2005-06-23 Slaight Thomas M. Logical network traffic filtering
US20050141567A1 (en) * 2003-12-29 2005-06-30 Abed Jaber Extending Ethernet-over-SONET to provide point-to-multipoint service
US8838963B2 (en) * 2005-02-04 2014-09-16 Apple Inc. Security enhancement arrangement
US8654777B2 (en) * 2005-03-31 2014-02-18 Alcatel Lucent Methods and apparatus for realizing a configurable multi-bridge
US7822982B2 (en) * 2005-06-16 2010-10-26 Hewlett-Packard Development Company, L.P. Method and apparatus for automatic and secure distribution of a symmetric key security credential in a utility computing environment
US20070002737A1 (en) * 2005-06-29 2007-01-04 Manoj Paul Access control dissemination
CN1333565C (zh) * 2005-10-20 2007-08-22 华为技术有限公司 一种报文转发的实现方法、接入网及网络设备
US8000344B1 (en) * 2005-12-20 2011-08-16 Extreme Networks, Inc. Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network
US20070204158A1 (en) * 2006-02-28 2007-08-30 Symbol Technologies, Inc. Methods and apparatus for encryption key management
US7953089B1 (en) * 2006-05-16 2011-05-31 Cisco Technology, Inc. Systems and methods for multicast switching in a private VLAN
CN101090403B (zh) * 2006-06-15 2010-12-29 中兴通讯股份有限公司 一种在聚合端口的访问控制列表的装置及其实现方法
FR2902587B1 (fr) * 2006-06-16 2008-10-17 Alcatel Sa Dispositif de mise en communication de reseaux locaux par un commutateur exclusif et systeme de mise en communication correspondant ainsi qu'un support d'informations et un programme d'ordinateur
US20080184332A1 (en) * 2007-01-31 2008-07-31 Motorola, Inc. Method and device for dual authentication of a networking device and a supplicant device
US8358591B2 (en) * 2007-06-06 2013-01-22 Hewlett-Packard Development Company, L.P. Network traffic monitoring in a server network environment
US8693372B2 (en) * 2009-01-29 2014-04-08 Qualcomm Incorporated Methods and apparatus for forming, maintaining and/or using overlapping networks
CN101807998A (zh) * 2009-02-13 2010-08-18 英飞凌科技股份有限公司 认证
US8806190B1 (en) 2010-04-19 2014-08-12 Amaani Munshi Method of transmission of encrypted documents from an email application
CN103416025B (zh) 2010-12-28 2016-11-02 思杰系统有限公司 用于经由云桥添加vlan标签的系统和方法
EP2871807B1 (en) * 2012-07-03 2018-05-30 Mitsubishi Electric Corporation Communication apparatus and network system
US9019967B2 (en) * 2012-07-30 2015-04-28 Dell Products L.P. VLAN advertisement and automated configuration
CN102932229B (zh) * 2012-11-20 2015-08-12 成都卫士通信息产业股份有限公司 一种对数据包进行加解密处理的方法
US8874898B2 (en) * 2012-12-14 2014-10-28 Intel Corporation Power line based theft protection of electronic devices
US10382228B2 (en) * 2014-06-26 2019-08-13 Avago Technologies International Sales Pte. Limited Protecting customer virtual local area network (VLAN) tag in carrier ethernet services
CN106471836B (zh) 2014-08-21 2020-10-09 华为技术有限公司 一种频率复用方法及相关装置
US9710675B2 (en) 2015-03-26 2017-07-18 Intel Corporation Providing enhanced replay protection for a memory
US9792229B2 (en) * 2015-03-27 2017-10-17 Intel Corporation Protecting a memory
US10523636B2 (en) * 2016-02-04 2019-12-31 Airwatch Llc Enterprise mobility management and network micro-segmentation
US10404648B2 (en) * 2016-02-26 2019-09-03 Nokia Of America Corporation Addressing for customer premises LAN expansion
US20220038443A1 (en) * 2020-08-03 2022-02-03 KELVIN r. FRANKLIN Methods and systems of a packet orchestration to provide data encryption at the ip layer, utilizing a data link layer encryption scheme
CN113098856B (zh) * 2021-03-29 2023-01-17 绿盟科技集团股份有限公司 一种透明模式下的虚拟专用网络vpn实现方法及安全设备

Family Cites Families (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4919545A (en) 1988-12-22 1990-04-24 Gte Laboratories Incorporated Distributed security procedure for intelligent networks
EP0520709A3 (en) 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5963556A (en) 1993-06-23 1999-10-05 Digital Equipment Corporation Device for partitioning ports of a bridge into groups of different virtual local area networks
US5550984A (en) 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5790800A (en) 1995-10-13 1998-08-04 Digital Equipment Corporation Client application program mobilizer
US6035105A (en) 1996-01-02 2000-03-07 Cisco Technology, Inc. Multiple VLAN architecture system
US5822431A (en) 1996-01-19 1998-10-13 General Instrument Corporation Of Delaware Virtual authentication network for secure processors
US6085238A (en) * 1996-04-23 2000-07-04 Matsushita Electric Works, Ltd. Virtual LAN system
US5918019A (en) 1996-07-29 1999-06-29 Cisco Technology, Inc. Virtual dial-up protocol for network communication
JP2974280B2 (ja) 1996-09-11 1999-11-10 日本電気通信システム株式会社 ネットワーク接続のブリッジ装置における仮想グループ情報管理方法
US6311218B1 (en) 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
JPH10136438A (ja) 1996-10-24 1998-05-22 Oki Electric Ind Co Ltd 簡易型携帯無線システムおよびその基地局制御方法
US6157647A (en) 1996-11-06 2000-12-05 3Com Corporation Direct addressing between VLAN subnets
US6041358A (en) 1996-11-12 2000-03-21 Industrial Technology Research Inst. Method for maintaining virtual local area networks with mobile terminals in an ATM network
US6070243A (en) 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
FI117366B (fi) 1997-06-30 2006-09-15 Sonera Smarttrust Oy Menetelmä tietoturvallisen palveluyhteyden muodostamiseksi tietoliikennejärjestelmässä
US6061796A (en) 1997-08-26 2000-05-09 V-One Corporation Multi-access virtual private network
US5978378A (en) * 1997-09-11 1999-11-02 3Com Corporation Method and apparatus for VLAN support
US6047325A (en) 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6035405A (en) 1997-12-22 2000-03-07 Nortel Networks Corporation Secure virtual LANs
US6226751B1 (en) 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US6898791B1 (en) 1998-04-21 2005-05-24 California Institute Of Technology Infospheres distributed object system
US6728249B2 (en) * 1998-06-27 2004-04-27 Intel Corporation System and method for performing cut-through forwarding in an ATM network supporting LAN emulation
US6181699B1 (en) 1998-07-01 2001-01-30 National Semiconductor Corporation Apparatus and method of assigning VLAN tags
US6304973B1 (en) 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
EP1116132A2 (en) 1998-09-22 2001-07-18 Science Applications International Corporation User-defined dynamic collaborative environments
US7188180B2 (en) 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6615357B1 (en) 1999-01-29 2003-09-02 International Business Machines Corporation System and method for network address translation integration with IP security
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
US6081900A (en) 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6847620B1 (en) 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6675225B1 (en) 1999-08-26 2004-01-06 International Business Machines Corporation Method and system for algorithm-based address-evading network snoop avoider
US6917614B1 (en) 1999-09-17 2005-07-12 Arris International, Inc. Multi-channel support for virtual private networks in a packet to ATM cell cable system
JP2001160828A (ja) 1999-12-03 2001-06-12 Matsushita Electric Ind Co Ltd セキュリティ・ゲートウェイ装置におけるvpn通信方法
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6697943B1 (en) 1999-12-17 2004-02-24 Cisco Technology, Inc. Use of cyclic redundancy checking for segregating control traffic
US6414956B1 (en) * 1999-12-17 2002-07-02 Texas Instruments Incorporated VLAN tag transport within a switch
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US6639901B1 (en) * 2000-01-24 2003-10-28 3Com Corporation Apparatus for and method for supporting 802.1Q VLAN tagging with independent VLAN learning in LAN emulation networks
US6961762B1 (en) 2000-02-14 2005-11-01 Sygate Technologies, Inc. Automatic switching network points based on configuration profiles
US6862280B1 (en) * 2000-03-02 2005-03-01 Alcatel Priority remapping for data communication switch
US7173923B2 (en) 2000-03-17 2007-02-06 Symbol Technologies, Inc. Security in multiple wireless local area networks
US6978364B1 (en) 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US7181542B2 (en) 2000-04-12 2007-02-20 Corente, Inc. Method and system for managing and configuring virtual private networks
US6981041B2 (en) 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US20020022483A1 (en) 2000-04-18 2002-02-21 Wayport, Inc. Distributed network communication system which allows multiple wireless service providers to share a common network infrastructure
US6651573B2 (en) * 2000-05-26 2003-11-25 Bombardier Motor Corporation Of America Personal watercraft
US7055171B1 (en) 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
JP3585422B2 (ja) 2000-06-01 2004-11-04 シャープ株式会社 アクセスポイント装置及びその認証処理方法
GB2363548A (en) 2000-06-15 2001-12-19 Int Computers Ltd Computer systems, in particular virtual private networks
US7054329B2 (en) 2000-07-07 2006-05-30 Koninklijke Philips Electronics, N.V. Collision avoidance in IEEE 802.11 contention free period (CFP) with overlapping basic service sets (BSSs)
JP4126856B2 (ja) * 2000-07-07 2008-07-30 沖電気工業株式会社 Tag−vlanのid自動識別方法
US7151762B1 (en) 2000-07-14 2006-12-19 At&T Corp. Virtual streams for QoS-driven wireless LANs
US20020143960A1 (en) 2000-08-02 2002-10-03 Erez Goren Virtual network generation system and method
US6904054B1 (en) 2000-08-10 2005-06-07 Verizon Communications Inc. Support for quality of service and vertical services in digital subscriber line domain
WO2002017571A1 (en) * 2000-08-24 2002-02-28 Tiara Networks, Inc. System and method for connecting geographically distributed virtual local area networks
US6954790B2 (en) 2000-12-05 2005-10-11 Interactive People Unplugged Ab Network-based mobile workgroup system
CN1241368C (zh) 2000-12-06 2006-02-08 日本电气株式会社 假想私设网
US6912592B2 (en) * 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7209479B2 (en) 2001-01-18 2007-04-24 Science Application International Corp. Third party VPN certification
US20020174335A1 (en) 2001-03-30 2002-11-21 Junbiao Zhang IP-based AAA scheme for wireless LAN virtual operators
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7174390B2 (en) 2001-04-20 2007-02-06 Egenera, Inc. Address resolution protocol system and method in a virtual network
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
US7003662B2 (en) 2001-05-24 2006-02-21 International Business Machines Corporation System and method for dynamically determining CRL locations and access methods
US20020178240A1 (en) 2001-05-24 2002-11-28 International Business Machines Corporation System and method for selectively confirming digital certificates in a virtual private network
US20020199021A1 (en) * 2001-06-26 2002-12-26 Niels Beier Method and apparatus for using the type/length field in an ethernet mac header for carrying generic tags/labels
US7107464B2 (en) 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US6981259B2 (en) 2001-08-02 2005-12-27 Hewlett-Packard Development Company, L.P. System and method for generating a virtual device
US7130904B2 (en) 2001-08-16 2006-10-31 Intel Corporation Multiple link layer wireless access point
US20030037258A1 (en) 2001-08-17 2003-02-20 Izchak Koren Information security system and method`
US7194622B1 (en) 2001-12-13 2007-03-20 Cisco Technology, Inc. Network partitioning using encryption
US7120791B2 (en) 2002-01-25 2006-10-10 Cranite Systems, Inc. Bridged cryptographic VLAN
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
CN1125545C (zh) * 2001-12-31 2003-10-22 刘军民 实现局域网虚通道传送的数据转发方法
US7313135B2 (en) 2002-01-31 2007-12-25 Mosaid Technologies, Inc. Trunking in a matrix
US7203957B2 (en) 2002-04-04 2007-04-10 At&T Corp. Multipoint server for providing secure, scaleable connections between a plurality of network devices
US7277442B1 (en) 2002-04-26 2007-10-02 At&T Corp. Ethernet-to-ATM interworking that conserves VLAN assignments
US7042852B2 (en) 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7086089B2 (en) 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7113498B2 (en) * 2002-06-05 2006-09-26 Broadcom Corporation Virtual switch
US7093027B1 (en) * 2002-07-23 2006-08-15 Atrica Israel Ltd. Fast connection protection in a virtual local area network based stack environment
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US7284062B2 (en) 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
EP1599804A1 (en) 2003-03-05 2005-11-30 Intellisync Corporation Virtual private network between computing network and remote device
US7478427B2 (en) 2003-05-05 2009-01-13 Alcatel-Lucent Usa Inc. Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs)
WO2005045642A2 (en) 2003-11-04 2005-05-19 Nexthop Technologies, Inc. Secure, standards-based communications across a wide-area network
US7164912B2 (en) 2004-01-07 2007-01-16 Research In Motion Limited Apparatus, and associated method, for facilitating selection by a mobile node of a network through which to communicate using a hierarchical selection process
US20050226257A1 (en) 2004-03-30 2005-10-13 Adc Broadband Access Systems, Inc. Virtual local area network
US20050283604A1 (en) 2004-06-21 2005-12-22 Ipolicy Networks, Inc., A Delaware Corporation Security association configuration in virtual private networks
JP4407452B2 (ja) 2004-09-29 2010-02-03 株式会社日立製作所 サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US7292592B2 (en) 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
US7434047B2 (en) 2004-12-30 2008-10-07 Nokia, Inc. System, method and computer program product for detecting a rogue member in a multicast group
CN100377548C (zh) 2005-07-15 2008-03-26 华为技术有限公司 一种实现虚交换的方法和装置
US7746892B2 (en) 2005-11-02 2010-06-29 Nortel Networks Limited Method and apparatus for transporting ethernet services
US20070271606A1 (en) 2006-05-17 2007-11-22 Amann Keith R Apparatus and method for establishing a VPN tunnel between a wireless device and a LAN
US7693985B2 (en) 2006-06-09 2010-04-06 Cisco Technology, Inc. Technique for dispatching data packets to service control engines
US8181009B2 (en) 2009-03-03 2012-05-15 Harris Corporation VLAN tagging over IPSec tunnels
US8098656B2 (en) 2009-06-26 2012-01-17 Avaya, Inc. Method and apparatus for implementing L2 VPNs on an IP network
US8837281B2 (en) * 2010-09-10 2014-09-16 Futurewei Technologies, Inc. Use of partitions to reduce flooding and filtering database size requirements in large layer two networks

Also Published As

Publication number Publication date
CN1976317B (zh) 2010-07-21
US20080022390A1 (en) 2008-01-24
EP1556990A2 (en) 2005-07-27
AU2003294242A1 (en) 2004-06-07
AU2003294242A8 (en) 2004-06-07
JP4447463B2 (ja) 2010-04-07
US8347377B2 (en) 2013-01-01
WO2004042984A3 (en) 2004-12-23
CN1708940A (zh) 2005-12-14
US7120791B2 (en) 2006-10-10
EP1556990A4 (en) 2011-08-17
CN1708940B (zh) 2011-12-14
US20030145118A1 (en) 2003-07-31
CN1976317A (zh) 2007-06-06
EP1556990B1 (en) 2017-02-22
WO2004042984A2 (en) 2004-05-21
US20110033047A1 (en) 2011-02-10
US7818796B2 (en) 2010-10-19

Similar Documents

Publication Publication Date Title
JP4447463B2 (ja) ブリッジ暗号vlan
US7703132B2 (en) Bridged cryptographic VLAN
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
EP2515469B1 (en) Method and system for secret communication between nodes
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
JP2005513915A6 (ja) パーソナル仮想ブリッジ・ローカル・エリア・ネットワーク
JP2005354504A (ja) 光加入者線端局装置、光加入者線終端装置およびその通信方法
CN114567478A (zh) 通信方法及装置
JP2004104500A (ja) 通信方法、ブリッジ装置及び端末装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061026

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20090414

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090616

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090915

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090925

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100115

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100120

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130129

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4447463

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140129

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees