JP2007192844A - Encryption label network - Google Patents

Encryption label network Download PDF

Info

Publication number
JP2007192844A
JP2007192844A JP2005303606A JP2005303606A JP2007192844A JP 2007192844 A JP2007192844 A JP 2007192844A JP 2005303606 A JP2005303606 A JP 2005303606A JP 2005303606 A JP2005303606 A JP 2005303606A JP 2007192844 A JP2007192844 A JP 2007192844A
Authority
JP
Japan
Prior art keywords
label
encryption
encrypted
node
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005303606A
Other languages
Japanese (ja)
Other versions
JP2007192844A5 (en
Inventor
Hiroshi Shimizu
洋 清水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ChaosWare Inc
Original Assignee
ChaosWare Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ChaosWare Inc filed Critical ChaosWare Inc
Priority to JP2005303606A priority Critical patent/JP2007192844A/en
Publication of JP2007192844A publication Critical patent/JP2007192844A/en
Publication of JP2007192844A5 publication Critical patent/JP2007192844A5/ja
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve the following problem that virtual networks using a VLAN tag or a label path are widely spread but, as for the security of the virtual networks, link-by-link encryption is carried out between adjacent nodes and, as a result, all the relay nodes require the function in order to secure end-to-end security. <P>SOLUTION: In an encryption label network, encryption processing is carried out, except for a header section necessary for relaying, only at an edge node in a label path or a VLAN with an encryption key corresponding to a label. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

発明の詳細な説明Detailed Description of the Invention

VLANタグネットワークあるいはラベルパスネットワークにおける暗号化システムに関する。The present invention relates to an encryption system in a VLAN tag network or a label path network.

VLANタグやラベルパスを用いた仮想ネットワークは、広く普及しているが、仮想ネットワークのセキュリティに関しては、隣接ノード間、即ち、図1の点線で示すリンク101、102、103をIPsecやMAC暗号化技術によりリンクバイリンク形式で実現しているものがある。Virtual networks using VLAN tags and label paths are widely used. However, with regard to security of virtual networks, IPsec 101 and MAC encryption technology are used for links 101, 102, and 103 between adjacent nodes, that is, links 101, 102, and 103 shown by dotted lines in FIG. Some are realized in link-by-link format.

発明が解決しようとする課題Problems to be solved by the invention

しかしながら、エンド−エンドでセキュリティを確保するには、全ての中継ノードがその機能を有する必要がある。However, in order to ensure end-to-end security, all relay nodes need to have the function.

また、新たに暗号化システムを導入しようとする場合、中継系を含む全てのノードを取り替えねばならないという課題がある。Also, when a new encryption system is to be introduced, there is a problem that all nodes including the relay system must be replaced.

本発明は、中継系のノードに依存しないで、エンド−エンドでセキュアなパスを提供することを目的とする。An object of the present invention is to provide an end-to-end secure path without depending on a relay node.

課題を解決するための手段Means for solving the problem

本発明による暗号化ラベルネットワークは、ラベルによりパスあるいは仮想ネットワークが指定されるネットワークにおいて、ラベルで特定されるパスあるいは仮想グループに属する送受信端は、ラベル値と暗号化鍵との対応表を有すると共に、ラベルに対応づけられた暗号鍵を共有し、送信端にあっては、前記のラベルが付与された信号のラベルを除く全てあるいは一部に対し、前記暗号鍵を用い暗号化し、受信端にあっては、前記暗号化鍵あるいはそれと対をなす暗号化鍵を用いて前記の暗号化された信号を復号する。In the encrypted label network according to the present invention, in a network in which a path or a virtual network is specified by a label, a transmission / reception end belonging to the path or virtual group specified by the label has a correspondence table of label values and encryption keys. The encryption key associated with the label is shared, and at the transmission end, all or part of the signal except the label with the label is encrypted using the encryption key, and the reception end In this case, the encrypted signal is decrypted using the encryption key or an encryption key paired therewith.

また、本発明によることを特徴とする暗号化ラベルネットワークは、ラベルによりパスあるいは仮想ネットワークが指定されるネットワークにおいて、ラベルで特定されるパスあるいは仮想グループに属する送受信端は、ラベル値と初期ベクトル値との対応表を有すると共に、ラベルに対応づけられた初期ベクトル値を共有し、送信端にあっては、前記のラベルを除く信号の全てあるいは一部に対し、前記の初期ベクトル値を用い暗号化し、受信端にあっては、前記の初期ベクトル値を用いて前記の暗号化された信号を復号する。The encrypted label network according to the present invention is characterized in that, in a network in which a path or a virtual network is designated by a label, a transmission / reception end belonging to the path or virtual group specified by the label has a label value and an initial vector value. And the initial vector value associated with the label is shared, and at the transmitting end, encryption is performed using the initial vector value for all or part of the signal except the label. At the receiving end, the encrypted signal is decrypted using the initial vector value.

さらに、本発明による暗号化ラベルネットワークは、ラベルを付与するノードにおいて暗号化を行い、ラベルを除去するノードにおいて復号化を行なうFurthermore, the encrypted label network according to the present invention performs encryption at a node to which a label is attached and decrypts at a node to remove the label.

本発明による暗号化ラベルネットワークは、前記の暗号化するノードにおいて認証情報を付与し、前記の暗号を復号するノードにおいて認証情報をチェックし、非認証の信号に対しては廃棄するThe encryption label network according to the present invention provides authentication information at the node to be encrypted, checks authentication information at the node to decrypt the cipher, and discards an unauthenticated signal.

本発明による暗号化ラベルネットワークは、前記の暗号化鍵とラベルとの対応を管理し、前記の暗号鍵をノードに対し配信するサーバを具備し、前記サーバは、各ノードの公開鍵を用いて、ラベルに対応付けられた前記の暗号化鍵を暗号化し配信する。The encryption label network according to the present invention includes a server that manages the correspondence between the encryption key and the label and distributes the encryption key to the node, and the server uses the public key of each node. , The encryption key associated with the label is encrypted and distributed.

本発明による暗号化ラベルネットワークは、ラベル値を入力し符号列に変換し出力するテーブルと、前記テーブルの出力を暗号鍵として入力しストリーム鍵を出力する擬似乱数発生器と、前記のストリーム鍵を一方の入力とする排他論理和器とから構成され暗号器を有し、暗号化に際しては、前記排他論理和回路はもう一方の入力として送信すべき平文を入力し暗号文を出力し、復号化に際しては、前記排他論理和回路はもう一方の入力として受信された暗号文を入力し平文を復元するAn encryption label network according to the present invention includes a table that inputs a label value, converts it into a code string, and outputs it; a pseudo-random number generator that inputs the output of the table as an encryption key and outputs a stream key; and the stream key It consists of an exclusive OR circuit as one input and has an encryptor. At the time of encryption, the exclusive OR circuit inputs a plaintext to be transmitted as the other input, outputs a ciphertext, and decrypts it. At this time, the exclusive OR circuit inputs the ciphertext received as the other input and restores the plaintext.

本発明による暗号化ラベルネットワークは、ラベル値を入力し符号列に変換し出力するテーブルと、暗号鍵と初期ベクトル値とを入力とし前記テーブルの出力を初期ベクトル値として入力する擬似乱数発生器と、前期擬似乱数発生器より出力されるストリーム鍵を一方の入力とする排他論理和器とから構成され暗号器を有し、暗号化に際しては、前記排他論理和回路はもう一方の入力として送信すべき平文を入力し暗号文を出力し、復号化に際しては、前記排他論理和回路はもう一方の入力として受信された暗号文を入力し平文に復元する。An encryption label network according to the present invention includes a table that inputs a label value, converts it into a code string and outputs it, a pseudo-random number generator that inputs an encryption key and an initial vector value, and inputs the output of the table as an initial vector value; And an exclusive OR circuit that has a stream key output from the pseudo random number generator as one input, and has an encryptor, and the exclusive OR circuit transmits it as the other input for encryption. The power plaintext is input and the ciphertext is output. When decrypting, the exclusive OR circuit inputs the ciphertext received as the other input and restores the plaintext.

本発明の実施の形態Embodiment of the present invention

図1、図2及び図3を参照しながら、本発明の第1の実施例を説明する。図1(a)は、エッジノードであるノード11、12、13、14、15、16、中継ノードであるノード17、18、19、21より成るネットワーク25とサーバ20とから構成されている。A first embodiment of the present invention will be described with reference to FIGS. FIG. 1A is composed of a network 25 and a server 20 including nodes 11, 12, 13, 14, 15, 16 as edge nodes and nodes 17, 18, 19, 21 as relay nodes.

各エッジノード、例えば、ノード12は、ユーザ22、23、24を収容している。例えば、ノード12とノード15の間のパスにおいて従来技術では、図1(b)の点線で示す暗号化リンク101、102、103毎と、リンクバイリンクで暗号化処理が実施されているのに対し、本実施例では、暗号化区間が、リンクではなく、実線で示すように暗号化パス100により実現される。即ち、暗号化処理は、エッジノードであるノード12と15で実施され、ノード19と17では暗号化処理は行なわない。Each edge node, for example, the node 12 accommodates users 22, 23, and 24. For example, in the path between the node 12 and the node 15, in the conventional technology, the encryption processing is performed for each of the encrypted links 101, 102, and 103 indicated by the dotted line in FIG. On the other hand, in the present embodiment, the encryption section is realized by the encryption path 100 as indicated by a solid line, not a link. That is, the encryption process is performed at the nodes 12 and 15 which are edge nodes, and the encryption process is not performed at the nodes 19 and 17.

図2は、暗号化処理を行なうノードの構成を示す。ノードは、制御部1、スイッチ部2及びラインインタフェース回路4、5、6、7とから構成され、ユーザ側のラインインタフェース回路4、5は、暗号化処理を行なう。FIG. 2 shows a configuration of a node that performs encryption processing. The node includes a control unit 1, a switch unit 2, and line interface circuits 4, 5, 6, and 7, and the line interface circuits 4 and 5 on the user side perform encryption processing.

ラインインタフェース回路5は、入力回線側に設けられた暗号回路8、出力回線側に設けられた復号回路9、ラベル読み出し回路10及び制御テーブル3を有する。なお、ラベルの着脱を行なう部分に関しては、説明を簡単にするために図面からは削除する。The line interface circuit 5 includes an encryption circuit 8 provided on the input line side, a decryption circuit 9 provided on the output line side, a label reading circuit 10, and a control table 3. Note that the part where the label is attached and detached is omitted from the drawing for the sake of simplicity.

制御テーブル3は、信号フレーム上のラベル値とそれに対応する暗号鍵との対応を示すテービルである。The control table 3 is a table indicating the correspondence between the label value on the signal frame and the corresponding encryption key.

信号フレームとして、図3に示すイーサネットフレームを用いる場合について説明する。VLANタグフィールド内のVLAN−IDにラベル値が記録されている。A case where the Ethernet frame shown in FIG. 3 is used as the signal frame will be described. A label value is recorded in the VLAN-ID in the VLAN tag field.

ラインインタフェース回路5に入力された信号は、VLANタグが付加され、図3(a)に示す構成の信号フレームが、暗号回路8に供給される。A signal input to the line interface circuit 5 is added with a VLAN tag, and a signal frame having the configuration shown in FIG. 3A is supplied to the encryption circuit 8.

ラベル読み出し回路10、VLAN−IDを読み出し、制御テーブル3を参照し、対応する暗号鍵を得る。例えば、VLAN−IDすなわちラベル値が ABCならばKEY1を、OPQならばKEY2を得る。得られた暗号鍵により、図3(b)に示すようにペイロード部を暗号化する。暗号化されるのはペイロード部のみなので、スイッチ部2は暗号化された信号フレームを意識してスイッチングする必要は無い。The label reading circuit 10 reads the VLAN-ID, refers to the control table 3, and obtains the corresponding encryption key. For example, if the VLAN-ID, that is, the label value is ABC, KEY1 is obtained, and if it is OPQ, KEY2 is obtained. The payload part is encrypted with the obtained encryption key as shown in FIG. Since only the payload portion is encrypted, the switch portion 2 does not need to be switched in consideration of the encrypted signal frame.

スイッチ部2からインタフェース回路5に供給される信号に対する復号処理について説明する。
ラベル読み出し回路10においてラベル値が読み出され、制御テーブル3を参照する。その結果、対応する暗号鍵が読み出され、復号回路9に供給され、復号処理が実施される。Decoding processing for a signal supplied from the switch unit 2 to the interface circuit 5 will be described.
The label reading circuit 10 reads the label value and refers to the control table 3. As a result, the corresponding encryption key is read out, supplied to the decryption circuit 9, and decryption processing is performed.

図3(b)に示すように、得られた鍵でペイロード部を暗号化し、更に、認証用の情報として例えば、ラベル値を暗号化し、暗号化認証情報として付加する。As shown in FIG. 3B, the payload portion is encrypted with the obtained key, and for example, a label value is encrypted as authentication information and added as encrypted authentication information.

この信号フレームは、MACアドレス情報は及びVLANタグは、平文として付加されているので、他のパケットと同様に中継ノードにおいてスイッチングされる。Since the MAC address information and the VLAN tag are added as plain text to this signal frame, it is switched at the relay node in the same manner as other packets.

次に、認証制御について説明する。暗号回路10は、仮想ネットワークあるいはパス固有の値を認証コードとして暗号化し、暗号化認証情報として信号フレームに付加する。認証コードの処理に関しては、図示していないが、制御テーブル3を、暗号鍵に加え認証コードも含むように機能拡張することにより実現できる。Next, authentication control will be described. The encryption circuit 10 encrypts a virtual network or path-specific value as an authentication code and adds it to the signal frame as encrypted authentication information. Although not shown, the processing of the authentication code can be realized by extending the function of the control table 3 to include the authentication code in addition to the encryption key.

復号回路9では、暗号化認証情報を復号後、得られた認証コードが、制御テーブル3内のラベル値に対応する認証コードと比較し、一致していなければ廃棄する。 受信された信号フレームは、VLANタグが除去され、ラインインタフェース回路5よりユーザに供給される。The decryption circuit 9 compares the obtained authentication code with the authentication code corresponding to the label value in the control table 3 after decrypting the encrypted authentication information, and discards it if it does not match. From the received signal frame, the VLAN tag is removed and the line interface circuit 5 supplies the signal frame to the user.

制御テーブル3は、サーバ20からの通知にもとづき構成されるが、サーバ20から各ノードへのラベル対応付けられた暗号鍵の配信は、公開鍵方式を用いて行なう。サーバ20は、各ノードの公開鍵で暗号化し各ノードに送信し、各ノードは制御部1において、それぞれの秘密鍵で復号し、制御テーブル3を構成する。The control table 3 is configured based on a notification from the server 20, but the encryption key associated with the label from the server 20 to each node is distributed using a public key method. The server 20 encrypts it with the public key of each node and transmits it to each node, and each node decrypts it with its private key in the control unit 1 to form the control table 3.

暗号化認証情報として、ペイロードのハッシュ値(平文)を付加しても良い。この場合、受信側では、復号化されたペイロード部のハッシュ値を計算し、それと付加された平文のハッシュ値とを比較し、一致すれば正しい発信元からの信号フレームと認証する。A payload hash value (plain text) may be added as encryption authentication information. In this case, the receiving side calculates the hash value of the decrypted payload part, compares it with the hash value of the added plaintext, and if they match, authenticates the signal frame from the correct source.

なお、本発明は、暗号化ノードをVLANタグの着脱ノードに限定するものではなく、暗号化ノードは、システム設計に従って割り当てても良い。その場合も、暗号鍵の割り当てはサーバ20が特定されたノードに対し行なう。In the present invention, the encryption node is not limited to the node with the VLAN tag attached / detached, and the encryption node may be assigned according to the system design. Also in this case, the encryption key is assigned to the node for which the server 20 is specified.

ラベルネットワークとしては、VLANネットワーク以外に、図4に示すように、MPLSのシムヘッダ内のラベル情報など、エッジノード間でのパスあるいは仮想ネットワークを示すラベルを用いた全てに本発明は適用される。また、ラベルが示す対象は、パケット信号だけでなく時分割多重ベースのパスでも良い。As a label network, the present invention is applied to all labels using a label indicating a path between virtual nodes or a virtual network, such as label information in an MPLS shim header, as shown in FIG. 4, in addition to a VLAN network. Further, the target indicated by the label may be not only a packet signal but also a time division multiplexing based path.

MPLSのラベルの場合、そのラベル値はノード毎に付け替えられ、その値は変化するが、暗号側のエッジノードにおけるラベル値と、復号側のエッジノードにおけるラベル値とが値は異なっても、対応していればよく、本発明を適用することができる。In the case of an MPLS label, the label value is changed for each node, and the value changes. However, even if the label value at the encryption side edge node and the label value at the decryption side edge node are different from each other, The present invention can be applied.

なお、信号フレームに対する暗号方式は、共通鍵暗号方式でも、グループ内で公開鍵と秘密鍵を共有する構成での公開鍵暗号方式でも良い。Note that the encryption method for the signal frame may be a common key encryption method or a public key encryption method in which a public key and a secret key are shared within a group.

図5を参照しながら、ベクトルストリーム型暗号技術を用いた場合のシステムを示す。送信側30において、制御テーブル33に接続された暗号回路8は、擬似乱数発生器31と排他論理和回路32とから構成され、擬似乱数発生器31は、ラベル値に対する暗号鍵と初期化ベクトル値とを入力し、ストリーム鍵を出力し、排他論理和器32は送信すべき平文とストリーム鍵とを入力し、送信すべき暗号文を出力する。Referring to FIG. 5, a system using a vector stream encryption technique is shown. On the transmission side 30, the encryption circuit 8 connected to the control table 33 includes a pseudo random number generator 31 and an exclusive OR circuit 32. The pseudo random number generator 31 includes an encryption key and an initialization vector value for a label value. And the stream key is output, and the exclusive OR circuit 32 inputs the plaintext to be transmitted and the stream key, and outputs the ciphertext to be transmitted.

受信側40においては、制御テーブル43に接続された復号回路9は、擬似乱数発生器41と排他論理和回路42とから構成され、擬似乱数発生器41は、ラベル値に対する暗号鍵と初期化ベクトル値とを入力し、ストリーム鍵を出力し、排他論理和器42は受信された暗号文とストリーム鍵とを入力し、平文を復元する。On the receiving side 40, the decryption circuit 9 connected to the control table 43 includes a pseudo random number generator 41 and an exclusive OR circuit 42. The pseudo random number generator 41 includes an encryption key for the label value and an initialization vector. The exclusive OR circuit 42 inputs the received ciphertext and the stream key, and restores the plaintext.

次に、本発明の第2の実施例の説明を行なう。暗号技術としては、ベクトルストリーミング型暗号技術を用い、ラベル値対応に、暗号鍵ではなく初期化ベクトル値を与えるものである。このときの、送信側30及び受信側40の構成を図6に示す。Next, a second embodiment of the present invention will be described. As an encryption technique, a vector streaming encryption technique is used, and an initialization vector value is given instead of an encryption key in correspondence with a label value. The configuration of the transmission side 30 and the reception side 40 at this time is shown in FIG.

制御テーブル34、44は、暗号鍵に代えて、初期ベクトル値をラベル値に対応付けて記録している。ラベル値を参照して得られた初期ベクトル値は、擬似乱数発生器31、41に供給される。これ以降の処理は、図5の構成と同じである。In the control tables 34 and 44, the initial vector value is recorded in association with the label value instead of the encryption key. The initial vector value obtained by referring to the label value is supplied to the pseudo random number generators 31 and 41. The subsequent processing is the same as that in FIG.

以上のように、初期ベクトル値をラベルの対応付けても、暗号鍵をラベルに対応付ける場合と同様の効果を得ることができる。As described above, even when the initial vector value is associated with the label, the same effect as when the encryption key is associated with the label can be obtained.

本発明は、VLANネットワーク、MPLSネットワークだけでなく、Ethernet Over MPLS や Ethernet Over IPなどネットワークでのラベルあるいはタグベースの暗号化にも適用可能である。The present invention can be applied not only to a VLAN network and an MPLS network, but also to label-based or tag-based encryption in a network such as Ethernet Over MPLS and Ethernet Over IP.

発明の効果The invention's effect

本発明によれば、中継ノードに暗号化機能を搭載させる必要な無いので、低価格の暗号化ネットワークを実現することができる。According to the present invention, since it is not necessary to install an encryption function in the relay node, a low-cost encryption network can be realized.

また、本発明によれば、中継ノードとエッジノードとが別の管理者であった場合、中継ノードの管理者のポリシーに依存しないで、エッジノードの管理者のポリシーのみでセキュアなパスネットワークを実現することができる。Further, according to the present invention, when the relay node and the edge node are different administrators, a secure path network can be established only by the policy of the edge node administrator without depending on the policy of the administrator of the relay node. Can be realized.

多数の端末が共有するラベルパスに対し、一つの共通鍵あるいは一対の公開鍵・秘密鍵で暗号化が実現されるので、運用管理がシンプルになる。Since the label path shared by a large number of terminals is encrypted with one common key or a pair of public / private keys, operation management is simplified.

ラベルと鍵の対応を集中制御型のサーバで管理するので、安定した運用が得られる。Since the correspondence between labels and keys is managed by a centralized control server, stable operation can be obtained.

高速性を特徴とするベクトルストリーミング型暗号技術を用いることにより、高速暗号化ネットワークを実現することができる。A high-speed encryption network can be realized by using a vector streaming encryption technique characterized by high speed.

暗号鍵以外に、初期ベクトル値を用いて仮想ネットワーク対応の暗号ネットワークを提供することができるので、所要鍵数を抑えることでき、より安定した暗号システムを実現できる。In addition to the encryption key, an initial vector value can be used to provide a virtual network-compatible encryption network, so that the required number of keys can be reduced and a more stable encryption system can be realized.

本発明のネットワークを示す図である。It is a figure which shows the network of this invention. 本発明の実施例を示す図である。It is a figure which shows the Example of this invention. 本実施例に用いる信号フレームを示す図である。It is a figure which shows the signal frame used for a present Example. 本実施例に用いる別の信号フレームを示す図である。It is a figure which shows another signal frame used for a present Example. ベクトル暗号技術を用いた暗号化システムの構成を示す図である。It is a figure which shows the structure of the encryption system using a vector encryption technique. ベクトル暗号技術を用いた別の暗号化システムの構成を示す図である。It is a figure which shows the structure of another encryption system using a vector encryption technique.

符号の説明Explanation of symbols

1 制御部
2 スイッチ部
3 制御テーブル
4、5、6、7 ラインインタフェース回路
8 暗号回路
9 復号回路
10 ラベル読み出し回路
11、12、13、14、15、16、17、18、19、21 ノード
22、23、24 ユーザ
25 ネットワーク
30 送信側
40 受信側
31、41 擬似乱数発生器
32、42 排他論理和器
33、34、43、44 制御テーブル
100 暗号化パス
101、102、103 暗号化リンクDESCRIPTION OF SYMBOLS 1 Control part 2 Switch part 3 Control table 4, 5, 6, 7 Line interface circuit 8 Encryption circuit 9 Decryption circuit 10 Label read-out circuit 11, 12, 13, 14, 15, 16, 17, 18, 19, 21 Node 22 , 23, 24 User 25 Network 30 Transmission side 40 Reception side 31, 41 Pseudorandom number generator 32, 42 Exclusive OR circuit 33, 34, 43, 44 Control table 100 Encryption path 101, 102, 103 Encryption link

Claims (11)

ラベルによりパスあるいは仮想ネットワークが指定されるネットワークにおいて、ラベルで特定されるパスあるいは仮想グループに属する送受信端は、ラベル値と暗号化のための符号列との対応表を有すると共に、ラベルに対応づけられた前記の符号列を共有し、送信端にあっては、前記のラベルを除く信号の全てあるいは一部に対し、前記符号列を用い暗号化し、受信端にあっては、前記符号列あるいはそれと対をなす符号列を用いて前記の暗号化された信号を復号することを特徴とする暗号化ラベルネットワーク。In a network in which a path or virtual network is specified by a label, the transmitting and receiving ends belonging to the path or virtual group specified by the label have a correspondence table of label values and code strings for encryption, and are associated with the labels. The transmission end is used to encrypt all or part of the signal excluding the label using the code sequence, and the reception end is configured to use the code sequence or An encrypted label network, wherein the encrypted signal is decrypted using a code string paired therewith. 前記の符号列を暗号鍵とすることを特徴とする請求項1記載の暗号化ラベルネットワーク。2. The encryption label network according to claim 1, wherein the code string is an encryption key. 暗号化方式として、初期ベクトル値も用いるベクトル型暗号化方式を採用し、前記の符号列として初期ベクトル値を用いることを特徴とする請求項1記載の暗号化ラベルネットワーク。2. The encryption label network according to claim 1, wherein a vector type encryption method that also uses an initial vector value is adopted as an encryption method, and an initial vector value is used as the code string. ラベルを付与するノードにおいて暗号化を行うことを特徴とする請求項1から請求項3までに記載の暗号化ラベルネットワーク。4. The encrypted label network according to claim 1, wherein encryption is performed at a node to which a label is attached. ラベルを除去するノードにおいて復号化を行なうことを特徴とする請求項1から請求項4までに記載の暗号化ラベルネットワーク。5. The encrypted label network according to claim 1, wherein decryption is performed at a node from which the label is removed. 前記の暗号化するノードにおいて認証情報を付与し、前記の暗号を復号するノードにおいて認証情報をチェックし、非認証の信号に対しては廃棄することを特徴とする請求項1から請求項5までに記載の暗号化ラベルネットワーク。6. The authentication information is given at the node to be encrypted, the authentication information is checked at the node to decrypt the cipher, and an unauthenticated signal is discarded. The encryption label network described in 1. 前記の暗号化鍵とラベルとの対応を管理し、前記の暗号鍵をノードに対し配信するサーバを具備することを特徴とする請求項1から請求項6記載までに記載の暗号化ラベルネットワーク。The encryption label network according to claim 1, further comprising a server that manages correspondence between the encryption key and the label and distributes the encryption key to a node. 前記サーバは、各ノードの公開鍵を用いて、ラベルに対応付けられた前記の暗号化鍵を暗号化し配信することを特徴とする請求項7記載の暗号化ラベルネットワーク。8. The encrypted label network according to claim 7, wherein the server encrypts and distributes the encryption key associated with the label using a public key of each node. 前記のラベル対応に暗号化する方式として、ベクトル型暗号方式を用いることを特徴とする請求項1から6記載の暗号化ラベルネットワーク。7. The encryption label network according to claim 1, wherein a vector type encryption method is used as the method for encryption corresponding to the label. ラベル値を入力し符号列に変換し出力するテーブルと、前記テーブルの出力を暗号鍵として入力しストリーム鍵を出力する擬似乱数発生器と、前記のストリーム鍵を一方の入力とする排他論理和器とから構成され暗号器を有し、暗号化に際しては、前記排他論理和回路はもう一方の入力として送信すべき平文を入力し暗号文を出力し、復号化に際しては、前記排他論理和回路はもう一方の入力として受信された暗号文を入力し平文を復元することを特徴とする請求項2記載の暗号化ラベルネットワーク。A table that inputs a label value, converts it into a code string and outputs it, a pseudo-random number generator that inputs the output of the table as an encryption key and outputs a stream key, and an exclusive OR circuit that uses the stream key as one input In the encryption, the exclusive OR circuit inputs a plaintext to be transmitted as the other input and outputs a ciphertext, and in the decryption, the exclusive OR circuit 3. The encrypted label network according to claim 2, wherein the ciphertext received as the other input is input to restore the plaintext. ラベル値を入力し符号列に変換し出力するテーブルと、暗号鍵と初期ベクトル値とを入力とし前記テーブルの出力を初期ベクトル値として入力する擬似乱数発生器と、前期擬似乱数発生器より出力されるストリーム鍵を一方の入力とする排他論理和器とから構成され暗号器を有し、暗号化に際しては、前記排他論理和回路はもう一方の入力として送信すべき平文を入力し暗号文を出力し、復号化に際しては、前記排他論理和回路はもう一方の入力として受信された暗号文を入力し平文に復元することを特徴とする請求項3記載の暗号化ラベルネットワーク。A table that inputs a label value, converts it into a code string and outputs it, a pseudo random number generator that inputs an encryption key and an initial vector value and inputs the output of the table as an initial vector value, and is output from a pseudo random number generator The encryption key is composed of an exclusive OR that has a stream key as one input, and has an encryptor. When encrypting, the exclusive OR circuit inputs the plaintext to be transmitted as the other input and outputs the ciphertext. 4. The encrypted label network according to claim 3, wherein, when decrypting, the exclusive OR circuit inputs the ciphertext received as the other input and restores the plaintext.
JP2005303606A 2005-09-20 2005-09-20 Encryption label network Pending JP2007192844A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005303606A JP2007192844A (en) 2005-09-20 2005-09-20 Encryption label network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005303606A JP2007192844A (en) 2005-09-20 2005-09-20 Encryption label network

Publications (2)

Publication Number Publication Date
JP2007192844A true JP2007192844A (en) 2007-08-02
JP2007192844A5 JP2007192844A5 (en) 2007-09-13

Family

ID=38448624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005303606A Pending JP2007192844A (en) 2005-09-20 2005-09-20 Encryption label network

Country Status (1)

Country Link
JP (1) JP2007192844A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012506170A (en) * 2008-10-20 2012-03-08 アルカテル−ルーセント Network security method and apparatus

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012506170A (en) * 2008-10-20 2012-03-08 アルカテル−ルーセント Network security method and apparatus

Similar Documents

Publication Publication Date Title
US8995652B1 (en) Streaming one time pad cipher using rotating ports for data encryption
JP2008104040A (en) Common key producing device, and common key producing method
CN1938980A (en) Method and apparatus for cryptographically processing data
JP2020513117A (en) Method and system for improved authenticated encryption in a counter-based cryptosystem
EP2122969A1 (en) Securing ip traffic
US7039190B1 (en) Wireless LAN WEP initialization vector partitioning scheme
CN110855438B (en) Quantum key distribution method and system based on annular QKD network
Mehic et al. Quantum cryptography in 5G networks: a comprehensive overview
Coulibaly et al. Secure burst control packet scheme for Optical Burst Switching networks
Tennekoon et al. Prototype implementation of fast and secure traceability service over public networks
Mosko et al. Mobile sessions in content-centric networks
Oliveira et al. Dh-aes-p4: on-premise encryption and in-band key-exchange in p4 fully programmable data planes
Petroni et al. The dangers of mitigating security design flaws: a wireless case study
KR101578910B1 (en) Different Units Same Security For Visual Observation System
Pfennig et al. eSPOC: Enhanced secure practical network coding for better efficiency and lower latency
KR101575050B1 (en) Different Units Same Security
JP2007192844A (en) Encryption label network
JP4664692B2 (en) ENCRYPTION METHOD, DECRYPTION METHOD, ENCRYPTION DEVICE, DECRYPTION DEVICE, ENCRYPTION DEVICE, AND PROGRAM
Richter et al. Physical layer security vs. network layer secrecy: Who wins on the untrusted two-way relay channel?
Heigl et al. Embedded plug-in devices to secure industrial network communications
CN212115338U (en) IPSEC cipher machine with quantum computation resistant function
KR100419574B1 (en) A secure method for transferring active packets between active nodes
CN110650016B (en) Method for realizing network data security of AC/DC control protection system
US20240214196A1 (en) Devices and methods for privacy-preserving routing in communication networks
KR100798921B1 (en) A Method for controlling security channel in the MAC Security network and terminal device using the same

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070504