JP2012506170A - ネットワークセキュリティ方法および装置 - Google Patents
ネットワークセキュリティ方法および装置 Download PDFInfo
- Publication number
- JP2012506170A JP2012506170A JP2011531299A JP2011531299A JP2012506170A JP 2012506170 A JP2012506170 A JP 2012506170A JP 2011531299 A JP2011531299 A JP 2011531299A JP 2011531299 A JP2011531299 A JP 2011531299A JP 2012506170 A JP2012506170 A JP 2012506170A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- mpls
- security
- label
- payload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワークを介した送信のためにMPLSフレームをセキュリティ保護するための方法であって、MPLSフレームが、MPLSヘッダとMPLSペイロードとを含む。この方法は、ソースからMPLSフレームを受信するステップと、MPLSフレームがセキュリティ基準を満たすかどうか判断するステップとを含む。MPLSフレームがセキュリティ基準を満たす場合は、MPLSペイロードがセキュリティ保護され、セキュリティ保護されたMPLSフレームが作成される。セキュリティ保護されたMPLSフレームは、MPLSヘッダと、セキュリティ保護されたMPLSペイロードとを含む。次いで、セキュリティ保護されたMPLSフレームが転送される。
Description
本発明は、ラベル交換ネットワーク内でネットワークセキュリティを提供するための方法および装置に関する。本発明は、マルチプロトコルラベルスイッチング(MPLS:multiprotocol label switching)ネットワークに特に適用され得る。
企業、政府省庁、団体など、今日の社会主体では、個人は、1つまたは複数のコンピュータネットワーク(インターネットなど)を使用することによってそれ自体で、または他の主体と共にデータを頻繁に送信する。送信されるデータは、ファイル転送、電子メール、音声および/またはテレビ会議など、多くの目的のうちのいずれかに関するものであってよい。
技術が発展してきたのにつれて、様々なタイプのコンピュータネットワークおよび様々なネットワーク通信プロトコルが開発され、実装されてきた。ほとんどすべてのコンピュータネットワークおよびプロトコル設計に存在する3つの共通の最重要な考慮すべき事項は、速度(データの通信がどれほど迅速に行われ得るか)、セキュリティ(送信されているデータがどれほど安全であるか)、および必要なリソースである。ネットワークをセキュリティ保護することに付随するオーバヘッドが、必要なリソース、処理時間、したがって速度に直接影響を及ぼし得る限り、これらの考慮すべき事項は、相反することが多い。
ラベル交換ネットワーク(具体的にはMPLSネットワーク)は、現在使用されている1つのタイプのネットワークである。MPLSネットワークは、名前が示唆するように、パケットを交換するためにラベルを使用するパケット交換ネットワークであり、それぞれ異なるプロトコル(たとえばIP、ATM、SONET、イーサネット(登録商標))のネットワークトラフィックを運ぶために使用されてよい。
ラベル交換ネットワーク内でセキュリティを提供することは、物理リンク暗号化によって、またはIP(internet protocol:インターネットプロトコル)またはATM(Asynchronous Transfer Mode:非同期転送モード)トンネル内でMPLSデータフレームをカプセル化することによって行われてよい。これらのセキュリティ手法は両方とも、比較的に大きいリソースおよびネットワークオーバヘッドを必要とし、それによってネットワークの速度および効率に影響を及ぼす。
IETF RFC 3031
一態様では、本発明は、ネットワークを介した送信のためにMPLSヘッダとMPLSペイロードとを含むMPLSフレームをセキュリティ保護するための方法を提供し、この方法は:リソースからMPLSフレームを受信するステップと、MPLSフレームがセキュリティ基準を満たすかどうか判断するステップと、MPLSフレームがセキュリティ基準を満たす場合は、MPLSペイロードをセキュリティ保護し、MPLSヘッダと、セキュリティ保護されたMPLSペイロードとを含むセキュリティ保護されたMPLSフレームを作成するステップと、セキュリティ保護されたMPLSフレームを転送するステップとを含む。
セキュリティ基準は、MPLSヘッダ内のラベルのラベル値に関する基準を含んでよい。
セキュリティ基準は、MPLSヘッダ内のトップラベルのラベル値が15より大きいことを含んでよい。
MPLSペイロードは、単一鍵暗号法を使用することによってセキュリティ保護されてよい。
セキュリティ基準を満たすネットワークを介した送信のためにソースから受信されるさらなるフレームは、単一鍵暗号法を使用してセキュリティ保護されてよく、さらなるフレームが、そのソースまたは宛先に関係なく同じ鍵を使用してセキュリティ保護される。
セキュリティ保護されたMPLSフレームのサイズは、ネットワークのMTUサイズに対してチェックされてよく、セキュリティ保護されたMPLSフレームがネットワークのMTUサイズを超える場合は、セキュリティ保護されたMPLSフレームが廃棄され、エラー条件にフラグが立てられる。
この方法は、セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するためにMPLSヘッダ内のToSフィールドを修正するステップをさらに含んでよい。
第2の態様では、本発明は、MPLSネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置を提供し、セキュリティ装置は、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され、セキュリティ装置は:フレームを受信し転送するための入出力インターフェースと、メモリと、受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンとを含み、セキュリティ基準が、フレームがMPLSフレームであることを含み、受信されたフレームがセキュリティ基準を満たす場合は:MPLSフレームからのMPLSヘッダおよびMPLSペイロードが解析され、MPLSペイロードが、セキュリティ保護されたMPLSペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、MPLSヘッダおよびセキュリティ保護されたMPLSペイロードが、セキュリティ保護されたMPLSフレームを作成するためにアセンブルされ、セキュリティ保護されたMPLSフレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される。
入出力インターフェースは、フレームを受信するための少なくとも1つの入力ポートと、フレームを転送するための少なくとも1つの出力ポートとを含んでよい。
入出力インターフェースは、専用の制御ポートを含んでよい。
セキュリティ基準は、MPLSヘッダ内のラベルのラベル値に関する基準をさらに含んでよい。
セキュリティ基準は、MPLSヘッダ内のトップラベルのラベル値が15より大きいことをさらに含んでよい。
セキュリティエンジンは、単一鍵暗号法を使用することによってMPLSペイロードをセキュリティ保護することができる。
第2のネットワーク装置に転送される前に、セキュリティ保護されたMPLSフレームは、イーサネットヘッダとイーサネットCRCとを含むイーサネットフレーム内にカプセル化されてよい。
イーサネットフレームのサイズは、ネットワークのMTUサイズと比較されてよく、イーサネットフレームのサイズがMTUサイズを超える場合は、イーサネットフレームは廃棄され、エラー条件にフラグが立てられる。
フレームがセキュリティ基準を満たす場合は、MPLSヘッダ内のToSフィールドは、セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するために修正されてよい。
受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たさない場合は、フレームは、セキュリティエンジンによって処理されない。
受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たし、MPLSヘッダ内のトップラベルのラベル値が15以下である場合は、受信されたフレームは、制御プレーンフレームとして処理されてよい。
第3の態様では、本発明は、ネットワークを介した送信のためにラベル交換フレームをセキュリティ保護するための方法を提供し、ラベル交換フレームが、ラベル交換フレームヘッダとラベル交換フレームペイロードとを含み、この方法が:ソースからラベル交換フレームを受信するステップと、ラベル交換フレームがセキュリティ基準を満たすかどうか判断するステップと、ラベル交換フレームがセキュリティ基準を満たす場合は、ラベル交換フレームペイロードをセキュリティ保護し、ラベル交換フレームヘッダと、セキュリティ保護されたラベル交換フレームペイロードとを含むセキュリティ保護されたラベル交換フレームを作成するステップと、セキュリティ保護されたラベル交換フレームを転送するステップとを含む。
セキュリティ基準は、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準を含んでよい。
ラベル交換フレームペイロードは、単一鍵暗号法を使用することによってセキュリティ保護されてよい。
第4の態様では、本発明は、ラベル交換ネットワークネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置を提供し、セキュリティ装置が、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され、セキュリティ装置が:入出力インターフェースと、メモリと、受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンとを含み、セキュリティ基準が、フレームがラベル交換フレームであることを含み、受信されたフレームがセキュリティ基準を満たす場合は:ラベル交換フレームのラベル交換フレームヘッダおよびラベル交換フレームペイロードが解析され、ラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、ラベル交換フレームヘッダおよびセキュリティ保護されたラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームを作成するためにアセンブルされ、セキュリティ保護されたラベル交換フレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される。
入出力インターフェースは、フレームを受信するための少なくとも1つの入力ポートと、フレーム転送するための少なくとも1つの出力ポートとを含んでよい。
セキュリティ基準は、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準をさらに含んでよい。
セキュリティエンジンは、単一鍵暗号法を使用してラベル交換フレームペイロードをセキュリティ保護してよい。
次に、本発明の一実施形態について、添付の図面を参照して述べられる。
本発明について、MPLSネットワーク技術に関して述べられる。MPLSネットワークに関する詳細な情報は、インターネット技術特別調査委員会(IETF:Internet Engineering Task Force)から取得されてよい。具体的には、IETF RFC 3031は、標準化されたMPLSアーキテクチャについて記載しており、参照により本明細書に組み込まれる。
さらに、本発明についてMPLSフレームの送信のためのイーサネットの使用に関して述べられているが、代替の送信プロトコルが本発明と共に使用されてよいことが理解されよう。
ネットワーク
図1は、本発明で使用するのに適したネットワーク100を示している。ネットワーク100は、MPLSコアネットワーク108によって相互接続された第1、第2および第3の領域102、104、106を含む。領域102、104、106は、たとえば、それぞれ異なる地理的位置(たとえばシドニー、東京、ニューヨーク)を表すことができ、MPLSコアネットワーク108によって相互接続される。それぞれの領域102−106は、複数の互いに異なる、別々に所有/制御されたネットワークを含んでよく、それぞれのネットワークは、それぞれ異なるタイプのものであってよい。
図1は、本発明で使用するのに適したネットワーク100を示している。ネットワーク100は、MPLSコアネットワーク108によって相互接続された第1、第2および第3の領域102、104、106を含む。領域102、104、106は、たとえば、それぞれ異なる地理的位置(たとえばシドニー、東京、ニューヨーク)を表すことができ、MPLSコアネットワーク108によって相互接続される。それぞれの領域102−106は、複数の互いに異なる、別々に所有/制御されたネットワークを含んでよく、それぞれのネットワークは、それぞれ異なるタイプのものであってよい。
例示するために、領域102−106はそれぞれ、(この実施例では)2つの異なる顧客の存在、すなわち顧客Aおよび顧客Bを含んでおり、両方の顧客が、MPLSネットワークを利用する。顧客エッジ(CE:customer edge)ルータ110、112、114(顧客A用)、およびルータ116、118、120(顧客B用)だけが図に示されているが、それぞれのCEルータ110−120は、(点線矢印で表された)顧客のローカルエリアネットワーク(LAN:local area network)に接続されることが理解されよう。典型的には、CEルータは、顧客の構内に置かれ、顧客のLANとMPLSコアネットワーク108の間のインターフェース(たとえばイーサネット)を提供する。
それぞれのCEルータ(110−120)は、(それぞれ領域102、104、106の)プロバイダエッジ(PE:provider edge)ルータ122、124および126を介してMPLSコアネットワーク108に接続する。PEルータは、MPLSコアネットワーク108のプロバイダによって制御され、MPLSコアネットワーク108への入口点/出口点を提供する。PEルータは典型的に、それぞれ異なるネットワークプロトコル(たとえばフレームリレー、ATM、イーサネット)をサポートする複数のポートを有する。
CEルータを介して顧客からフレームを受信すると、PEルータは、フレームに適したMPLSヘッダを作成し、フレームにMPLSヘッダを付加する。したがって、顧客によって送信された元のフレームは、MPLSペイロードになる。
MPLSヘッダは、1つまたは複数のラベルのラベルスタックを含み、それぞれのラベルが、20ビットのラベル値と、3ビットのタイプオブサービス(ToS:Type of service)フィールドと、ラベルがスタックの最下部かどうか示す1ビットのフラグと、8ビットの有効期限(TTL:time to live)フィールドとを含む。MPLSヘッダ内のラベルは、MPLSネットワーク内のトラフィック処理を可能にする。
PEルータがフレームにMPLSヘッダを付加すると、PEルータは、MPLSフレームをMPLSネットワークへと転送する。重要なことには、PEルータからMPLSネットワークに転送されたフレーム(およびMPLSコアネットワーク108からPEルータに移動するフレーム)は、後述されたセキュリティ装置を介して移動する。
PEルータ122−126は、MPLSコアネットワーク108を介したラベル交換経路(LSP:label switched path)を確立する役割をも担う。LSPの確立は、ネットワークの制御プレーンによって達成される。この説明のために、ネットワークの制御プレーンは、エンドユーザデータを送信するトラフィックではなく、ネットワーク自体の保守および他の管理機能に当てられたネットワークトラフィックに言及するに用いられる。MPLSネットワーク規格に従って、LSPは、ラベル配布プロトコル(LDP:label distribution protocol)の使用によって確立されてよく、また制御駆動型(すなわちデータ送信の前に確立される)であってもよいし、データ駆動型(すなわち、以前にマップ解除された宛先のデータが受信されるときに確立される)であってもよい。
現在の実施形態では、それぞれのPEルータ122−126は、セキュリティ装置128−132を介してMPLSコアネットワーク108に接続する。セキュリティスイッチ128−132の諸機能について、下記に詳細に論じられる。
MPLSコアネットワーク108はそれ自体、複数のプロバイダ(P)ルータ134、136、138を含む。それぞれのPルータは、(たとえばラベル配布プロトコルを使用することによって)MPLSコアネットワーク108内の必要なLSPを確立するために制御プレーンメッセージを受信し、MPLSヘッダおよび確立されたLSP内のラベルに基づいてMPLSコアネットワーク108内のデータパケットの交換を行う通過ルータである。
ラベル付きのパケットがPルータ134−138によって受信されるとき、Pルータは、スタック内のトップラベルのラベル値を読み出し、Pルータに格納されており、Pルータによって維持されたラベル情報ベース(LIB:label information base)内でこの値を調べる。それぞれのラベル値について、LIBは、そのラベルをもつフレームがどこに転送されるべきか(すなわち次のホップ)、およびフレームを転送する前にラベルスタックへのいずれかの修正が必要かどうか(すなわちスタックに1つまたは複数の新しいラベルをプッシュし、トップラベルを新しいトップラベルで置き換え、またはスタックからラベルを取り出す)に関する情報を格納する。
従来のように、ネットワーク100は、信頼できるゾーンと信頼できないゾーンに分割されてよい。CEルータ110−112、CEルータ110−112の向こうの顧客ネットワーク、PEルータ122−126、およびセキュリティ装置128−132は、顧客、あるいはMPLSプロバイダまたは顧客の制御内にあり、したがって信頼できる。一方、MPLSコアネットワーク108のPルータ134−138は、MPLSプロバイダのいずれかの顧客の必ずしも制御内にあるとは限らず、信頼できないと見なされる。したがって、それぞれのPEルータ122−126は、信頼できるゾーン(PEルータ自体および接続されたCEルータ)から、信頼できないゾーン(MPLSコアネットワーク108)へのリンクを提供する。
セキュリティ装置
次に、セキュリティ装置128−132の機能について、セキュリティ装置128の機能ブロック図を示す図2を参照して詳細に述べられる。
次に、セキュリティ装置128−132の機能について、セキュリティ装置128の機能ブロック図を示す図2を参照して詳細に述べられる。
図2に移ると、本発明の一実施形態によるセキュリティ装置128の機能ブロック図が示されている。セキュリティ装置128は、データ処理装置202を含み、このデータ処理装置202は、メモリ206、セキュリティエンジン208および入出力インターフェース204に接続される。
データ処理装置202は、マイクロプロセッサ、マイクロコントローラ、プログラマブル論理装置または他の適切な装置、あるいはそれぞれがデータ処理装置202の諸機能の一部を実施する複数のこうした装置であってよい。データ処理装置202の制御操作への命令およびデータは、メモリ206内に格納され、このメモリは、データ処理装置202とデータ通信しており、またはその一部を形成する。典型的に、セキュリティ装置128は、揮発性と不揮発性の両方のメモリと、各タイプのメモリのうちの2つ以上を含み、こうしたメモリが、ひとまとめしてメモリ206で表されている。メモリ206は、入出力インターフェース204に対して送受信された、入ってくるフレームおよび出ていくフレームをキャッシュするためにも使用されてよい。
入出力(I/O)インターフェース204は、外部装置(たとえばPEルータ、Pルータ、および/またはセキュリティ装置128がそれによって構成され得るコンピュータ)との通信を可能にする。この場合、I/Oインターフェース204は、制御プレーンフレームを受信するための制御ポート210と、入ってくるフレームを受信するための入力ポートフレームと、フレームを転送するための出力ポートとを含む。もちろん、様々なやり方で構成されたI/Oインターフェースが可能である。
セキュリティエンジン208は、データ処理装置202の一部を形成してもよいし、図示されたスタンドアロンのデータ処理装置であってもよい。セキュリティエンジン208は、マイクロプロセッサ、マイクロコントローラ、プログラマブル論理バイス、または他の適切な装置であってよい。セキュリティエンジン208は、それ自体の専用メモリを備えてもよいし、メモリ206を利用してもよい。この実施形態のセキュリティエンジンは、基準モジュール216と暗号化モジュール218とを含む。この場合もやはり、基準モジュール216および暗号化モジュール218のいずれか、またはその両方は、セキュリティエンジン208(または実際には、データ処理装置202)に統合されてもよいし、専用の処理装置であってもよい。たとえば、基準モジュール216は、データ処理装置202内のハードウェア、ファームウェアあるいはソフトウェアとして実装されてよい。
図1によれば、セキュリティ装置128は、信頼できるPEルータ122と信頼できないMPLSコアネットワーク108の間に(Pルータ134を介して)インストールされる。出ていくすべてのトラフィック(すなわち信頼できるPEルータ122からPルータ134に送信されるトラフィック)、および入ってくるすべてのトラフィック(すなわち信頼できないPルータ134から信頼できるPEルータ122に渡されるトラフィック)は、セキュリティ装置128を通過する。
MPLSネットワーク108を介して宛先CEルータ110に送信するためにフレームがCEルータ112から送信されるとき、フレームは、PEルータ122によって受信され、このPEルータ122は、MPLSフレームを作成するためにフレームにMPLSヘッダを付加する。次いで、元のフレームは、MPLSペイロードになる。必要な宛先への経路が以前に確立されていない場合、PEルータ122は、経路を確立するのに必要なアクションをも行う。
次いで、PEルータ122は、セキュリティ装置128にフレームを転送する。セキュリティ装置128は、入力ポート212でフレームを受信し、データ処理装置202は、セキュリティエンジン208へのフレームの通過を制御する。セキュリティエンジン208の基準モジュール216は、事前定義されたセキュリティ基準をフレームが満たすかどうか判断するためにフレームをチェックする。下記にさらに述べられるように、事前定義されたセキュリティ基準を満たさないどんなフレームについても、セキュリティ装置は本質的にトランスペアレントである。
事前定義されたセキュリティ基準(その一部が、フレームがMPLSフレームであることである)をフレームが満たす場合、セキュリティエンジン208は、MPLSフレームを解析して、MPLSフレームをMPLSヘッダとMPLSペイロードに分ける。解析されたヘッダは、メモリ206に格納される。次いで、MPLSペイロードは、MPLSペイロードをセキュリティ保護する暗号化エンジン218に送信される。次いで、セキュリティエンジン208は、MPLSヘッダと、(現在セキュリティ保護されている)MPLSペイロードをリアセンブルし、結果として生じるフレームをMPLSコアネットワーク108に渡す。基準モジュール216がデータ処理装置202の一部として実装される場合、解析もまた、データ処理装置202によって実施されてよい。
宛先のセキュリティ装置130は、すべてのフレームの類似のチェックを行う。フレームが暗号化基準を満たす場合は、セキュリティ装置130は、MPLSフレームのペイロードが暗号化されたと見なす。出ていくフレームと同様に、次いでセキュリティ装置130は、MPLSヘッダとMPLSペイロードを分離し、復号のためにMPLSペイロードを暗号化エンジンに渡し、MPLSフレームをリアセンブルし、フレームをPEルータ124に渡す。
フレームがセキュリティ基準を満たさない場合は、セキュリティ装置128は、そのフレームが暗号化/復号される必要がないフレームであると決定し、MPLSヘッダとMPLSペイロードの分離、およびペイロードの暗号化/復号なしにフレームを切り換える。
たとえば、後述されたセキュリティ基準は、制御プレーントラフィックに関する非MPLSフレームおよびMPLSフレームがセキュリティ基準を満たさず、したがってさらなる処理なしにセキュリティ装置によって切り換えられるというものである。必要以上の処理を行わずにこれらのフレームを切り換えることによって、セキュリティ装置(したがってネットワーク全体)の性能へのどんな影響もが最小限に抑えられる。
MPLSペイロードが暗号化/復号されるかどうかにかかわらず、フレームを次のホップ(すなわちPルータまたはPEルータ)に渡す前、セキュリティ装置は、イーサネットフレームのソースおよび宛先アドレスを切り換え、イーサネットフレーム用のチェックサムデータを再計算する。これは、PEルータとPルータの間のシームレスな統合をもたらす。またセキュリティ装置は、必要であれば、フレームの有効期限(TTL)フィールドを減分し、TTLがゼロである場合は、フレームを廃棄する。
図3は、セキュリティ装置128によってPEルータ122から受信されたネットワークトラフィックを表すものである。見て分かるように、入ってくるフレーム302のうち、15より大きいラベル値(トラフィックフロー306)を有するMPLSタイプフレーム(トラフィックフロー304)であるフレームだけが、セキュリティ装置128の暗号化エンジン218によって処理される。15以下のラベル値を有するMPLSフレーム(トラフィックフロー310)および非MPLSフレーム(トラフィックフロー312)はすべて、暗号化エンジン218を回避する。
非MPLSフレームの一部は、制御プレーントラフィックに関し、セキュリティ装置128によってインターセプトされ得る(トラフィックフロー314)。これらのフレームは、セキュリティ装置128によって処理され、次いで廃棄されてもよいし、処理され、さらなる宛先に転送されてもよい。
セキュリティ基準
上記に論じられたように、セキュリティ装置で使用されるセキュリティ基準は、セキュリティ装置がどのフレームのペイロードを暗号化し、ペイロード暗号化なしにどのフレームが切り換えられるか決定する。もちろん、これらの基準は、要望に応じて設定されてよいが、しかし、(この実施形態では)適切な基準は、
・フレームがMPLSイーサネットフレームであること(すなわちフレームイーサタイプが0x8847または0x8848であり)、および
・MPLSヘッダ内のトップラベルのラベル値が15より大きいこと(IETF合意に基づいて、ラベル値0−3が割り当てられ、ラベル値4−15が現在、IANAによる割当てのために保存されることに留意されたい)である。
上記に論じられたように、セキュリティ装置で使用されるセキュリティ基準は、セキュリティ装置がどのフレームのペイロードを暗号化し、ペイロード暗号化なしにどのフレームが切り換えられるか決定する。もちろん、これらの基準は、要望に応じて設定されてよいが、しかし、(この実施形態では)適切な基準は、
・フレームがMPLSイーサネットフレームであること(すなわちフレームイーサタイプが0x8847または0x8848であり)、および
・MPLSヘッダ内のトップラベルのラベル値が15より大きいこと(IETF合意に基づいて、ラベル値0−3が割り当てられ、ラベル値4−15が現在、IANAによる割当てのために保存されることに留意されたい)である。
このようにセキュリティ基準を設定することによって、セキュリティ装置は、すべての非MPLSフレーム、およびネットワーク管理および維持に対処するすべてのMPLSフレーム(すなわち制御プレーンフレーム)に対しては完全にトランスペアレントである。セキュリティ基準を満たさないどんなフレームについても、セキュリティ装置は本質的に、信頼できるポートと、信頼できないポートとの間のレイヤ2イーサネットスイッチとして働く。
上述されたように、フレームがセキュリティ基準を満たす場合は、MPLSフレーム(すなわち顧客によって送信された元のフレーム)のMPLSペイロードは、セキュリティ保護されるように暗号化モジュール218に送信される。フレームがPEルータからMPLSネットワークに出ていく場合は、暗号化モジュール218は、MPLSペイロードを暗号化する。MPLSペイロードがMPLSネットワークからPEルータに入ってくる場合は、MPLSペイロードが復号される。
ペイロード(必要なセキュリティレベルに依存する特定のタイプ)を暗号化/復号するために任意の形の暗号化が使用されてよいが、トリプルDES(TDES:Triple DES)など、単一鍵暗号化が、多くの適用例に適し得る。単一鍵暗号化法の使用には、ネットワーク上のすべてのセキュリティ装置に単一の共通の鍵だけが提供される必要があり、したがってネットワークオーバヘッドが最小限に抑えられるという利点がある。
MPLSペイロードが暗号化/復号されると、セキュリティ装置128は、修正済のMPLSペイロードのサイズによって、ネットワークの最大送信可能単位(MTU:maximum transmittable unit)を超えることにならないことを保証するために、修正済のMPLSペイロードをチェックする。修正済のMPLSペイロードによってMTUを超えることになる場合は、フレームは廃棄され、制御プレーンによりエラーフラグが付けられる。
信頼できるPEルータからセキュリティ装置上で受信されたフレームでは(すなわちフレームがセキュリティ装置を介してMPLSコアネットワーク108上に送信される)、セキュリティ装置がフレームを取り扱うためのアルゴリズムは、下記のように擬似コードで記述されてよい:
Pルータからセキュリティ装置上で受信されたフレームでは(すなわちフレームがセキュリティ装置上で、MPLSコアネットワーク108上のPルータから受信される)、セキュリティ装置がフレームを取り扱うためのアルゴリズムは、下記のように擬似コードで記述されてよい:
図4は、セキュリティ装置128で行われるステップ400を大まかに示すフローチャートを提供している。
ステップ402で、セキュリティ装置128が、フレームを受信し、ステップ404および406で、セキュリティ装置128の基準モジュール216は、フレームがセキュリティ基準を満たすかどうか判断するためにフレームを解析する。
フレームがセキュリティ基準を満たす場合は(すなわち、ステップ404でチェックされたようにMPLSフレームであり、ステップ406でチェックされたように15より大きいラベル値を有することによる)、セキュリティ装置128は、MPLSヘッダとMPLSペイロードを分離する(ステップ408)。
ステップ410で、MPLSペイロードは、処理のために暗号化モジュール218に送信される。フレームがPルータから受信された場合は、暗号化モジュール218の処理によって、MPLSペイロードの内容が復号されることになり、セキュリティ装置128上でPEルータから受信された場合は、暗号化モジュール218の処理によって、MPLSペイロードが暗号化されることになる(フレームのソースは、フレームが受信されるポートから決定される)。
ステップ412で、セキュリティ装置128は、必要であればMPLSヘッダのさらなる処理を行う。これは、たとえば、MPLS TTLフィールドを更新すること(およびTTLが0に等しい場合には、パケットを廃棄し/制御プレーンへのエラー条件にフラグを立てること)、ならびに必要であればToSフィールドを修正することを含んでよい。
ステップ414で、セキュリティ装置128は、(セキュリティエンジンによって処理された更新済のMPLSヘッダおよびMPLSペイロードで)MPLSフレームをリアセンブルする。
ステップ416で、MPLSフレームは、更新済のイーサネットフィールド(ソース、宛先、CRC)を伴う新しいイーサネットフレームに書き込まれ、ステップ418で、フレームのサイズが、ネットワークのMTUサイズと比較される。フレームは、ネットワークのMTUサイズを超える場合は、廃棄され、制御プレーンに対してエラーフラグが立てられる(ステップ420)。フレームがネットワークのMTUサイズを超えない場合は、セキュリティ装置128は、フレームを先へ転送する(ステップ422)。
ステップ406で、フレームが、15以下のラベル値を有するMPLSフレームであると決定される場合は、セキュリティ装置128によって適宜処理されるべき制御フレームとしてフレームにフラグが立てられる(ステップ424)。
ステップ404で、フレームがセキュリティ基準を満たさない場合は、処理はステップ416に直ちに進む。
セキュリティ装置間の鍵の配布
セキュリティ装置128−132間の鍵の配布は、IPセキュリティプロトコル(IPSec:IP Security Protocol)によって定義された既存のIPべースの独立鍵交換法を使用して達成されてよい。
セキュリティ装置128−132間の鍵の配布は、IPセキュリティプロトコル(IPSec:IP Security Protocol)によって定義された既存のIPべースの独立鍵交換法を使用して達成されてよい。
鍵交換(また必要ならば、他の制御プレーン機能性/トラフィック)を提供するために、この実施形態のセキュリティ装置には、セキュリティ保護された制御ポート210が備えられる。あるいは、セキュリティ装置は、鍵交換(および他の制御プレーン機能性/トラフィック)を行うために、定義されたTCP/IPポートで特定のIPフレームをインターセプトするように構成されてよい。さらなる代替案として、予約されたMPLSラベル値(すなわちラベル4−16のうちの1つ)は、鍵交換(または、この場合もやはり他の制御プレーントラフィック)に割り当てられ、これに基づいてセキュリティ装置によってインターセプトされてよい。
ToSフィールドの修正
セキュリティ装置は、MPLSヘッダ内のToSフィールドを修正するように構成されてもよい。これは、セキュリティ装置が第三者によって所有され/操作され、またその第三者が、PEルータの所有者/管理者によって指定された(またMPLSヘッダに書き込まれた)サービス品質とは異なる特定のサービス品質を実施したい場合に適し得る。
セキュリティ装置は、MPLSヘッダ内のToSフィールドを修正するように構成されてもよい。これは、セキュリティ装置が第三者によって所有され/操作され、またその第三者が、PEルータの所有者/管理者によって指定された(またMPLSヘッダに書き込まれた)サービス品質とは異なる特定のサービス品質を実施したい場合に適し得る。
上述されたセキュリティ装置内に構成される適切なハードウェアを備えた1つの装置は、Thales Datacryptorである。
ネットワークトラフィックの例
図5および図6を参照して、領域102の顧客Aエンドポイント502から領域104内の顧客Aエンドポイント504へのパケットの送信について詳細に述べられる。この説明は、必要な変更を加えて、ある領域内のいずれかのエンドポイントから別の領域内のエンドポイントへのトラフィックがMPLSネットワークを介して移動することにも等しく適用される。
図5および図6を参照して、領域102の顧客Aエンドポイント502から領域104内の顧客Aエンドポイント504へのパケットの送信について詳細に述べられる。この説明は、必要な変更を加えて、ある領域内のいずれかのエンドポイントから別の領域内のエンドポイントへのトラフィックがMPLSネットワークを介して移動することにも等しく適用される。
概観するために、また図3に示されたパケットはこの場合、エンドポイント502からCEルータ110、PEルータ122、セキュリティスイッチ128に、MPLSコアネットワーク108を介してセキュリティスイッチ130、PEルータ124、CEルータ112、エンドポイント504に移動する。MPLSコアネットワーク108内のトラフィックの経路は、確立されるLSPによって決まるが、説明のために、Pルータ134からPルータ136であると見なされる。
事前定義されたセキュリティ基準を満たすフレーム
図6A−図6Cは、エンドポイント502からエンドポイント504への送信における様々なポイントのパケットを示すハイレベル図を提供している。
図6A−図6Cは、エンドポイント502からエンドポイント504への送信における様々なポイントのパケットを示すハイレベル図を提供している。
エンドポイント502は、イーサネットフレーム内にカプセル化され、CEルータ110に送信されるIPフレームを生成する。次いで、CEルータ110は、PEルータ122にフレームを送信する。
図6Aは、イーサネットフレーム500がPEルータ122を離れるときのイーサネットフレーム500を示している。見て分かるように、イーサネットフレームは、イーサネットヘッダ602と、MPLSヘッダ604(PEルータ122によってイーサネットフレームに追加される)と、ペイロード606(すなわちエンドポイント502によって送信されているIPパケット(複数可)に関するデータ)と、巡回冗長検査(CRC:cyclic redundancy check)フィールド608とを含む。
フレーム600は、PEルータ122からセキュリティ装置128に送信される。
図6Bは、セキュリティ装置128によって受信され処理された後のフレームを示している。この場合、フレームは、所定のセキュリティ基準を満たしている(すなわち、フレームはイーサネットフレームであり、MPLSヘッダのラベルスタック内のトップラベルのラベル値が15より大きい)と仮定する。
フレームがセキュリティ基準を満たすので、セキュリティ装置128は、暗号化モジュール218にフレーム600のペイロード604を送信し、この暗号化モジュール218で、セキュリティ保護されたペイロード606’を作成するためにペイロードが暗号化される。セキュリティ装置128は、(イーサネットソースおよび宛先アドレスが必要に応じて変更されるように)イーサネットヘッダ602をも修正し、フレームに対して行われた変更に一致する新しいCRCを作成するためにCRC 608を再計算する。次いで、フレームは、リアセンブルされ、MPLSコアネットワーク108内の信頼できないPルータ134に転送される。
上述されたように、セキュリティ装置128は、そうするように構成される場合、MPLSヘッダ内のToSフィールドをも修正する。
次いで、フレーム600は、MPLSヘッダ604内のデータに従ってMPLSコアネットワーク108を横断し、(最終的には)セキュリティ装置130に送信される。
セキュリティ装置130は、フレーム600を受信するとき、事前定義されたセキュリティ基準に対してフレーム600をテストする。そのテストに通ると、セキュリティ装置130は、フレームのペイロード606’を暗号化モジュール218に送信し、この暗号化モジュール218で、ペイロード606’は、元のペイロード606へと復号される。この場合もやはり、セキュリティ装置130は、ソースおよび宛先アドレスを必要に応じて変更するためにイーサネットヘッダ602を修正し、CRC 606を再計算する。次いで、フレーム600は、リアセンブルされ、それがネットワークMTUを超えないことを保証するためにチェックされ、信頼できるPEルータ124に転送される。
信頼できるPEルータは、MPLSヘッダ604を取り除き、通常のイーサネットフレーム送信に従ってフレーム600をCEルータ112に転送する(PEルータは、フレーム600を転送する適切なアドレスを決定するために、復号されたペイロード606にアクセスすることができる)。
理解されるように、信頼できないルータ/スイッチによってフレーム600が処理されている間中(すなわちPEルータ122とPEルータ124の間で)フレーム600のペイロード606全体が暗号化される。したがって、フレームをインターセプトする第三者によって取得され得る唯一の情報は、イーサネットヘッダ602、MPLSヘッダ604およびイーサネットCRC 608内に存在する情報、すなわちフレームのソースをPEルータ122として、またフレームの宛先をPEルータ124として決定するのに十分な情報である。PEルータ122および124を超えたネットワークトポロジに関するすべての情報は、エンドポイント502によって作成された元のIPパケット(複数可)内に保持され、この元のIPパケットは、セキュリティ保護されたペイロード内で暗号化され、したがって、第三者からアクセス不可能である。
さらに、MPLSヘッダ604を暗号化しないことによって、各Pルータは、必要に応じてパケットを送信するためにMPLSヘッダ情報に容易にアクセスすることができ(すなわち、Pルータは、所与の任意のフレームに必要なアクションを決定するのにいずれかの復号/暗号化を行う必要はなく)、したがって効率的なフレーム転送が提供される。これは、たとえば、物理リンク暗号化と対照的であり、この物理リンク暗号化は、ネットワーク内の各リンクが、送信されている各フレームを復号し、次いで再び暗号化することを必要とする。
上述された本発明の実施形態では、セキュリティ装置128−132は別個のハードウェアコンポーネントとして表され述べられているが、セキュリティ装置128−132の機能性を既存の装置に組み込むことが当然可能であろう。たとえば、セキュリティ装置128−132、およびPEルータ122−126は、3つの複合装置として提供されてよい(すなわち、PEルータ122は、単一の装置内でセキュリティスイッチ128と結合され、PEルータ124は、単一の装置内でセキュリティスイッチ130と結合され、PEルータ126は、単一の装置内でセキュリティスイッチ132と結合される)。
明細書に開示され、定義された本発明は、言及された、あるいは本文または図面から明らかな個々の特徴のうちの2つ以上の特徴のすべての代替の組合せに及ぶことが理解されよう。これらの異なる組合せはすべて、本発明の様々な代替の態様を構成する。
Claims (25)
- ネットワークを介した送信のためにMPLSヘッダとMPLSペイロードとを含むMPLSフレームをセキュリティ保護するための方法であって、
リソースからMPLSフレームを受信するステップと、
MPLSフレームがセキュリティ基準を満たすかどうか判断するステップと、
MPLSフレームがセキュリティ基準を満たす場合は、MPLSペイロードをセキュリティ保護し、MPLSヘッダと、セキュリティ保護されたMPLSペイロードとを含むセキュリティ保護されたMPLSフレームを作成するステップと、
セキュリティ保護されたMPLSフレームを転送するステップとを含む、方法。 - セキュリティ基準が、MPLSヘッダ内のラベルのラベル値に関する基準を含む、請求項1に記載の方法。
- セキュリティ基準が、MPLSヘッダ内のトップラベルのラベル値が15より大きいことを含む、請求項1または請求項2に記載の方法。
- MPLSペイロードが、単一鍵暗号法の使用によってセキュリティ保護される、請求項1から3のいずれか一項に記載の方法。
- セキュリティ基準を満たすネットワークを介した送信のためにソースから受信されるさらなるフレームが、単一鍵暗号法を使用してセキュリティ保護され、さらなるフレームが、さらなるフレームのソースまたは宛先に関係なく同じ鍵を使用してセキュリティ保護される、請求項1から4のいずれか一項に記載の方法。
- セキュリティ保護されたMPLSフレームのサイズが、ネットワークのMTUサイズに対してチェックされ、セキュリティ保護されたMPLSフレームがネットワークのMTUサイズを超える場合は、セキュリティ保護されたMPLSフレームが廃棄され、エラー条件にフラグが立てられる、請求項1から5のいずれか一項に記載の方法。
- セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するためにMPLSヘッダ内のToSフィールドを修正するステップをさらに含む、請求項1から6のいずれか一項に記載の方法。
- MPLSネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置であって、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され:
フレームを受信し転送するための入出力インターフェースと、
メモリと、
受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンであって、セキュリティ基準が、フレームがMPLSフレームであることを含む、セキュリティエンジンとを含み、
受信されたフレームがセキュリティ基準を満たす場合は:
MPLSフレームからのMPLSヘッダおよびMPLSペイロードが解析され、
MPLSペイロードが、セキュリティ保護されたMPLSペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、
MPLSヘッダおよびセキュリティ保護されたMPLSペイロードが、セキュリティ保護されたMPLSフレームを作成するためにアセンブルされ、
セキュリティ保護されたMPLSフレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される、セキュリティ装置。 - 入出力インターフェースが、フレームを受信するための少なくとも1つの入力ポートと、フレームを転送するための少なくとも1つの出力ポートとを含む、請求項8に記載のセキュリティ装置。
- 入出力インターフェースが専用の制御ポートを含む、請求項8または請求項9に記載のセキュリティ装置。
- セキュリティ基準が、MPLSヘッダ内のラベルのラベル値に関する基準をさらに含む、請求項8から10のいずれか一項に記載のセキュリティ装置。
- セキュリティ基準が、MPLSヘッダ内のトップラベルのラベル値が15より大きいことをさらに含む、請求項8から11のいずれか一項に記載のセキュリティ装置。
- セキュリティエンジンが、単一鍵暗号法を使用してMPLSペイロードをセキュリティ保護する、請求項9から12のいずれか一項に記載のセキュリティ装置。
- 第2のネットワーク装置に転送される前に、セキュリティ保護されたMPLSフレームが、イーサネットヘッダとイーサネットCRCとを含むイーサネットフレーム内にカプセル化される、請求項9から13のいずれか一項に記載のセキュリティ装置。
- イーサネットフレームのサイズが、ネットワークのMTUサイズと比較され、イーサネットフレームのサイズがMTUサイズを超える場合は、イーサネットフレームは廃棄され、エラー条件にフラグが立てられる、請求項14に記載のセキュリティ装置。
- フレームがセキュリティ基準を満たす場合は、MPLSヘッダ内のToSフィールドが、セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するために修正される、請求項9から15のいずれか一項に記載のセキュリティ装置。
- 受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たさない場合は、フレームがセキュリティエンジンによって処理されない、請求項9から16のいずれか一項に記載のセキュリティ装置。
- 受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たし、MPLSヘッダ内のトップラベルのラベル値が15以下である場合は、受信されたフレームが、制御プレーンフレームとして処理される、請求項9から16のいずれか一項に記載のセキュリティ装置。
- ネットワークを介した送信のためにラベル交換フレームをセキュリティ保護するための方法であって、ラベル交換フレームが、ラベル交換フレームヘッダとラベル交換フレームペイロードとを含む、方法において:
ソースからラベル交換フレームを受信するステップと、
ラベル交換フレームがセキュリティ基準を満たすかどうか判断するステップと、
ラベル交換フレームがセキュリティ基準を満たす場合は、ラベル交換フレームペイロードをセキュリティ保護し、ラベル交換フレームヘッダと、セキュリティ保護されたラベル交換フレームペイロードとを含むセキュリティ保護されたラベル交換フレームを作成するステップと、
セキュリティ保護されたラベル交換フレームを転送するステップとを含む、方法。 - セキュリティ基準が、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準を含む、請求項19に記載の方法。
- ラベル交換フレームペイロードが、単一鍵暗号法を使用することによってセキュリティ保護される、請求項19または20に記載の方法。
- ラベル交換ネットワークネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置であって、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され:
入出力インターフェースと、
メモリと、
受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンであって、セキュリティ基準が、フレームがラベル交換フレームであることを含む、セキュリティエンジンとを含み、
受信されたフレームがセキュリティ基準を満たす場合は:
ラベル交換フレームのラベル交換フレームヘッダおよびラベル交換フレームペイロードが解析され、
ラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、
ラベル交換フレームヘッダおよびセキュリティ保護されたラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームを作成するためにアセンブルされ、
セキュリティ保護されたラベル交換フレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される、セキュリティ装置。 - 入出力インターフェースが、フレームを受信するための少なくとも1つの入力ポートと、フレーム転送するための少なくとも1つの出力ポートとを含む、請求項22に記載のセキュリティ装置。
- セキュリティ基準が、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準をさらに含む、請求項22または請求項23に記載のセキュリティ装置。
- セキュリティエンジンが、単一鍵暗号法を使用してラベル交換フレームペイロードをセキュリティ保護する、請求項22から24のいずれか一項に記載のセキュリティ装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/AU2008/001550 WO2010045672A1 (en) | 2008-10-20 | 2008-10-20 | Network security method and apparatus |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012506170A true JP2012506170A (ja) | 2012-03-08 |
| JP5319777B2 JP5319777B2 (ja) | 2013-10-16 |
Family
ID=42118841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011531299A Expired - Fee Related JP5319777B2 (ja) | 2008-10-20 | 2008-10-20 | ネットワークセキュリティ方法および装置 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2338251B1 (ja) |
| JP (1) | JP5319777B2 (ja) |
| KR (1) | KR101584836B1 (ja) |
| CN (1) | CN102187614A (ja) |
| WO (1) | WO2010045672A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190125412A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9769049B2 (en) * | 2012-07-27 | 2017-09-19 | Gigamon Inc. | Monitoring virtualized network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| JP2007192844A (ja) * | 2005-09-20 | 2007-08-02 | Chaosware Inc | 暗号化ラベルネットワーク |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
| US8332639B2 (en) * | 2006-12-11 | 2012-12-11 | Verizon Patent And Licensing Inc. | Data encryption over a plurality of MPLS networks |
-
2008
- 2008-10-20 CN CN200880131631XA patent/CN102187614A/zh active Pending
- 2008-10-20 JP JP2011531299A patent/JP5319777B2/ja not_active Expired - Fee Related
- 2008-10-20 KR KR1020117011405A patent/KR101584836B1/ko not_active IP Right Cessation
- 2008-10-20 WO PCT/AU2008/001550 patent/WO2010045672A1/en active Application Filing
- 2008-10-20 EP EP08877477.3A patent/EP2338251B1/en not_active Not-in-force
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| JP2007192844A (ja) * | 2005-09-20 | 2007-08-02 | Chaosware Inc | 暗号化ラベルネットワーク |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190125412A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
| KR20190125413A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
| JP2020510337A (ja) * | 2017-03-08 | 2020-04-02 | アーベーベー・シュバイツ・アーゲー | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
| US11134066B2 (en) | 2017-03-08 | 2021-09-28 | Abb Power Grids Switzerland Ag | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
| JP7032420B2 (ja) | 2017-03-08 | 2022-03-08 | ヒタチ・エナジー・スウィツァーランド・アクチェンゲゼルシャフト | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
| KR102537654B1 (ko) * | 2017-03-08 | 2023-05-26 | 히타치 에너지 스위처랜드 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
| KR102643187B1 (ko) | 2017-03-08 | 2024-03-05 | 히타치 에너지 리미티드 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5319777B2 (ja) | 2013-10-16 |
| KR20110086093A (ko) | 2011-07-27 |
| CN102187614A (zh) | 2011-09-14 |
| EP2338251A1 (en) | 2011-06-29 |
| KR101584836B1 (ko) | 2016-01-12 |
| WO2010045672A1 (en) | 2010-04-29 |
| EP2338251B1 (en) | 2019-02-20 |
| EP2338251A4 (en) | 2013-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
| US9929947B1 (en) | Transmitting packet label contexts within computer networks | |
| US9571283B2 (en) | Enabling packet handling information in the clear for MACSEC protected frames | |
| AU2013266624B2 (en) | Multi-tunnel virtual private network | |
| US8279864B2 (en) | Policy based quality of service and encryption over MPLS networks | |
| US7948986B1 (en) | Applying services within MPLS networks | |
| US7664119B2 (en) | Method and apparatus to perform network routing | |
| US7944854B2 (en) | IP security within multi-topology routing | |
| US8037303B2 (en) | System and method for providing secure multicasting across virtual private networks | |
| US20140359275A1 (en) | Method And Apparatus Securing Traffic Over MPLS Networks | |
| US8582468B2 (en) | System and method for providing packet proxy services across virtual private networks | |
| US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
| US20110149962A1 (en) | Embedding of mpls labels in ip address fields | |
| US11949590B1 (en) | Maintaining processing core affinity for fragmented packets in network devices | |
| WO2006062669A2 (en) | Method and system for decryption of encrypted packets | |
| US8332639B2 (en) | Data encryption over a plurality of MPLS networks | |
| JP5319777B2 (ja) | ネットワークセキュリティ方法および装置 | |
| JP2004222010A (ja) | ルータ装置 | |
| US8971330B2 (en) | Quality of service and encryption over a plurality of MPLS networks | |
| US20220150058A1 (en) | Forwarding device, key management server device, communication system, forwarding method, and computer program product | |
| US20230133729A1 (en) | Security for communication protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121225 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130322 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130702 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130711 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |