JP2012506170A - ネットワークセキュリティ方法および装置 - Google Patents
ネットワークセキュリティ方法および装置 Download PDFInfo
- Publication number
- JP2012506170A JP2012506170A JP2011531299A JP2011531299A JP2012506170A JP 2012506170 A JP2012506170 A JP 2012506170A JP 2011531299 A JP2011531299 A JP 2011531299A JP 2011531299 A JP2011531299 A JP 2011531299A JP 2012506170 A JP2012506170 A JP 2012506170A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- mpls
- security
- label
- payload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、本発明で使用するのに適したネットワーク100を示している。ネットワーク100は、MPLSコアネットワーク108によって相互接続された第1、第2および第3の領域102、104、106を含む。領域102、104、106は、たとえば、それぞれ異なる地理的位置(たとえばシドニー、東京、ニューヨーク)を表すことができ、MPLSコアネットワーク108によって相互接続される。それぞれの領域102−106は、複数の互いに異なる、別々に所有/制御されたネットワークを含んでよく、それぞれのネットワークは、それぞれ異なるタイプのものであってよい。
次に、セキュリティ装置128−132の機能について、セキュリティ装置128の機能ブロック図を示す図2を参照して詳細に述べられる。
上記に論じられたように、セキュリティ装置で使用されるセキュリティ基準は、セキュリティ装置がどのフレームのペイロードを暗号化し、ペイロード暗号化なしにどのフレームが切り換えられるか決定する。もちろん、これらの基準は、要望に応じて設定されてよいが、しかし、(この実施形態では)適切な基準は、
・フレームがMPLSイーサネットフレームであること(すなわちフレームイーサタイプが0x8847または0x8848であり)、および
・MPLSヘッダ内のトップラベルのラベル値が15より大きいこと(IETF合意に基づいて、ラベル値0−3が割り当てられ、ラベル値4−15が現在、IANAによる割当てのために保存されることに留意されたい)である。
セキュリティ装置128−132間の鍵の配布は、IPセキュリティプロトコル(IPSec:IP Security Protocol)によって定義された既存のIPべースの独立鍵交換法を使用して達成されてよい。
セキュリティ装置は、MPLSヘッダ内のToSフィールドを修正するように構成されてもよい。これは、セキュリティ装置が第三者によって所有され/操作され、またその第三者が、PEルータの所有者/管理者によって指定された(またMPLSヘッダに書き込まれた)サービス品質とは異なる特定のサービス品質を実施したい場合に適し得る。
図5および図6を参照して、領域102の顧客Aエンドポイント502から領域104内の顧客Aエンドポイント504へのパケットの送信について詳細に述べられる。この説明は、必要な変更を加えて、ある領域内のいずれかのエンドポイントから別の領域内のエンドポイントへのトラフィックがMPLSネットワークを介して移動することにも等しく適用される。
図6A−図6Cは、エンドポイント502からエンドポイント504への送信における様々なポイントのパケットを示すハイレベル図を提供している。
Claims (25)
- ネットワークを介した送信のためにMPLSヘッダとMPLSペイロードとを含むMPLSフレームをセキュリティ保護するための方法であって、
リソースからMPLSフレームを受信するステップと、
MPLSフレームがセキュリティ基準を満たすかどうか判断するステップと、
MPLSフレームがセキュリティ基準を満たす場合は、MPLSペイロードをセキュリティ保護し、MPLSヘッダと、セキュリティ保護されたMPLSペイロードとを含むセキュリティ保護されたMPLSフレームを作成するステップと、
セキュリティ保護されたMPLSフレームを転送するステップとを含む、方法。 - セキュリティ基準が、MPLSヘッダ内のラベルのラベル値に関する基準を含む、請求項1に記載の方法。
- セキュリティ基準が、MPLSヘッダ内のトップラベルのラベル値が15より大きいことを含む、請求項1または請求項2に記載の方法。
- MPLSペイロードが、単一鍵暗号法の使用によってセキュリティ保護される、請求項1から3のいずれか一項に記載の方法。
- セキュリティ基準を満たすネットワークを介した送信のためにソースから受信されるさらなるフレームが、単一鍵暗号法を使用してセキュリティ保護され、さらなるフレームが、さらなるフレームのソースまたは宛先に関係なく同じ鍵を使用してセキュリティ保護される、請求項1から4のいずれか一項に記載の方法。
- セキュリティ保護されたMPLSフレームのサイズが、ネットワークのMTUサイズに対してチェックされ、セキュリティ保護されたMPLSフレームがネットワークのMTUサイズを超える場合は、セキュリティ保護されたMPLSフレームが廃棄され、エラー条件にフラグが立てられる、請求項1から5のいずれか一項に記載の方法。
- セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するためにMPLSヘッダ内のToSフィールドを修正するステップをさらに含む、請求項1から6のいずれか一項に記載の方法。
- MPLSネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置であって、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され:
フレームを受信し転送するための入出力インターフェースと、
メモリと、
受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンであって、セキュリティ基準が、フレームがMPLSフレームであることを含む、セキュリティエンジンとを含み、
受信されたフレームがセキュリティ基準を満たす場合は:
MPLSフレームからのMPLSヘッダおよびMPLSペイロードが解析され、
MPLSペイロードが、セキュリティ保護されたMPLSペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、
MPLSヘッダおよびセキュリティ保護されたMPLSペイロードが、セキュリティ保護されたMPLSフレームを作成するためにアセンブルされ、
セキュリティ保護されたMPLSフレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される、セキュリティ装置。 - 入出力インターフェースが、フレームを受信するための少なくとも1つの入力ポートと、フレームを転送するための少なくとも1つの出力ポートとを含む、請求項8に記載のセキュリティ装置。
- 入出力インターフェースが専用の制御ポートを含む、請求項8または請求項9に記載のセキュリティ装置。
- セキュリティ基準が、MPLSヘッダ内のラベルのラベル値に関する基準をさらに含む、請求項8から10のいずれか一項に記載のセキュリティ装置。
- セキュリティ基準が、MPLSヘッダ内のトップラベルのラベル値が15より大きいことをさらに含む、請求項8から11のいずれか一項に記載のセキュリティ装置。
- セキュリティエンジンが、単一鍵暗号法を使用してMPLSペイロードをセキュリティ保護する、請求項9から12のいずれか一項に記載のセキュリティ装置。
- 第2のネットワーク装置に転送される前に、セキュリティ保護されたMPLSフレームが、イーサネットヘッダとイーサネットCRCとを含むイーサネットフレーム内にカプセル化される、請求項9から13のいずれか一項に記載のセキュリティ装置。
- イーサネットフレームのサイズが、ネットワークのMTUサイズと比較され、イーサネットフレームのサイズがMTUサイズを超える場合は、イーサネットフレームは廃棄され、エラー条件にフラグが立てられる、請求項14に記載のセキュリティ装置。
- フレームがセキュリティ基準を満たす場合は、MPLSヘッダ内のToSフィールドが、セキュリティ保護されたMPLSフレームで転送するための修正済のMPLSヘッダを作成するために修正される、請求項9から15のいずれか一項に記載のセキュリティ装置。
- 受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たさない場合は、フレームがセキュリティエンジンによって処理されない、請求項9から16のいずれか一項に記載のセキュリティ装置。
- 受信されたフレームが、MPLSフレームであることのセキュリティ基準を満たし、MPLSヘッダ内のトップラベルのラベル値が15以下である場合は、受信されたフレームが、制御プレーンフレームとして処理される、請求項9から16のいずれか一項に記載のセキュリティ装置。
- ネットワークを介した送信のためにラベル交換フレームをセキュリティ保護するための方法であって、ラベル交換フレームが、ラベル交換フレームヘッダとラベル交換フレームペイロードとを含む、方法において:
ソースからラベル交換フレームを受信するステップと、
ラベル交換フレームがセキュリティ基準を満たすかどうか判断するステップと、
ラベル交換フレームがセキュリティ基準を満たす場合は、ラベル交換フレームペイロードをセキュリティ保護し、ラベル交換フレームヘッダと、セキュリティ保護されたラベル交換フレームペイロードとを含むセキュリティ保護されたラベル交換フレームを作成するステップと、
セキュリティ保護されたラベル交換フレームを転送するステップとを含む、方法。 - セキュリティ基準が、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準を含む、請求項19に記載の方法。
- ラベル交換フレームペイロードが、単一鍵暗号法を使用することによってセキュリティ保護される、請求項19または20に記載の方法。
- ラベル交換ネットワークネットワークを介したトラフィックをセキュリティ保護するためのセキュリティ装置であって、第1のネットワーク装置からフレームを受信し、第2のネットワーク装置にフレームを転送するように構成され:
入出力インターフェースと、
メモリと、
受信されたフレームをセキュリティ基準に対して解析し、セキュリティ基準を満たすフレームをセキュリティ保護するためのセキュリティエンジンであって、セキュリティ基準が、フレームがラベル交換フレームであることを含む、セキュリティエンジンとを含み、
受信されたフレームがセキュリティ基準を満たす場合は:
ラベル交換フレームのラベル交換フレームヘッダおよびラベル交換フレームペイロードが解析され、
ラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームペイロードを作成するためにセキュリティエンジンによってセキュリティ保護され、
ラベル交換フレームヘッダおよびセキュリティ保護されたラベル交換フレームペイロードが、セキュリティ保護されたラベル交換フレームを作成するためにアセンブルされ、
セキュリティ保護されたラベル交換フレームが、第2のネットワーク装置への転送のために入出力インターフェースに渡される、セキュリティ装置。 - 入出力インターフェースが、フレームを受信するための少なくとも1つの入力ポートと、フレーム転送するための少なくとも1つの出力ポートとを含む、請求項22に記載のセキュリティ装置。
- セキュリティ基準が、ラベル交換フレームヘッダ内のラベルのラベル値に関する基準をさらに含む、請求項22または請求項23に記載のセキュリティ装置。
- セキュリティエンジンが、単一鍵暗号法を使用してラベル交換フレームペイロードをセキュリティ保護する、請求項22から24のいずれか一項に記載のセキュリティ装置。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/AU2008/001550 WO2010045672A1 (en) | 2008-10-20 | 2008-10-20 | Network security method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012506170A true JP2012506170A (ja) | 2012-03-08 |
JP5319777B2 JP5319777B2 (ja) | 2013-10-16 |
Family
ID=42118841
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011531299A Expired - Fee Related JP5319777B2 (ja) | 2008-10-20 | 2008-10-20 | ネットワークセキュリティ方法および装置 |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP2338251B1 (ja) |
JP (1) | JP5319777B2 (ja) |
KR (1) | KR101584836B1 (ja) |
CN (1) | CN102187614A (ja) |
WO (1) | WO2010045672A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190125412A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9769049B2 (en) * | 2012-07-27 | 2017-09-19 | Gigamon Inc. | Monitoring virtualized network |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
JP2007192844A (ja) * | 2005-09-20 | 2007-08-02 | Chaosware Inc | 暗号化ラベルネットワーク |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
US8332639B2 (en) * | 2006-12-11 | 2012-12-11 | Verizon Patent And Licensing Inc. | Data encryption over a plurality of MPLS networks |
-
2008
- 2008-10-20 CN CN200880131631XA patent/CN102187614A/zh active Pending
- 2008-10-20 JP JP2011531299A patent/JP5319777B2/ja not_active Expired - Fee Related
- 2008-10-20 KR KR1020117011405A patent/KR101584836B1/ko not_active IP Right Cessation
- 2008-10-20 WO PCT/AU2008/001550 patent/WO2010045672A1/en active Application Filing
- 2008-10-20 EP EP08877477.3A patent/EP2338251B1/en not_active Not-in-force
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
JP2007192844A (ja) * | 2005-09-20 | 2007-08-02 | Chaosware Inc | 暗号化ラベルネットワーク |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190125412A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
KR20190125413A (ko) * | 2017-03-08 | 2019-11-06 | 에이비비 슈바이쯔 아게 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
JP2020510337A (ja) * | 2017-03-08 | 2020-04-02 | アーベーベー・シュバイツ・アーゲー | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
US11134066B2 (en) | 2017-03-08 | 2021-09-28 | Abb Power Grids Switzerland Ag | Methods and devices for providing cyber security for time aware end-to-end packet flow networks |
JP7032420B2 (ja) | 2017-03-08 | 2022-03-08 | ヒタチ・エナジー・スウィツァーランド・アクチェンゲゼルシャフト | 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置 |
KR102537654B1 (ko) * | 2017-03-08 | 2023-05-26 | 히타치 에너지 스위처랜드 아게 | 네트워크에서 데이터 패킷들의 상대적인 타이밍 및 순서를 유지하기 위한 방법들 및 디바이스들 |
KR102643187B1 (ko) | 2017-03-08 | 2024-03-05 | 히타치 에너지 리미티드 | 시간 인식 엔드-투-엔드 패킷 흐름 네트워크들에 사이버 보안을 제공하기 위한 방법들 및 디바이스들 |
Also Published As
Publication number | Publication date |
---|---|
JP5319777B2 (ja) | 2013-10-16 |
KR20110086093A (ko) | 2011-07-27 |
CN102187614A (zh) | 2011-09-14 |
EP2338251A1 (en) | 2011-06-29 |
KR101584836B1 (ko) | 2016-01-12 |
WO2010045672A1 (en) | 2010-04-29 |
EP2338251B1 (en) | 2019-02-20 |
EP2338251A4 (en) | 2013-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
US9929947B1 (en) | Transmitting packet label contexts within computer networks | |
US9571283B2 (en) | Enabling packet handling information in the clear for MACSEC protected frames | |
AU2013266624B2 (en) | Multi-tunnel virtual private network | |
US8279864B2 (en) | Policy based quality of service and encryption over MPLS networks | |
US7948986B1 (en) | Applying services within MPLS networks | |
US7664119B2 (en) | Method and apparatus to perform network routing | |
US7944854B2 (en) | IP security within multi-topology routing | |
US8037303B2 (en) | System and method for providing secure multicasting across virtual private networks | |
US20140359275A1 (en) | Method And Apparatus Securing Traffic Over MPLS Networks | |
US8582468B2 (en) | System and method for providing packet proxy services across virtual private networks | |
US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
US20110149962A1 (en) | Embedding of mpls labels in ip address fields | |
US11949590B1 (en) | Maintaining processing core affinity for fragmented packets in network devices | |
WO2006062669A2 (en) | Method and system for decryption of encrypted packets | |
US8332639B2 (en) | Data encryption over a plurality of MPLS networks | |
JP5319777B2 (ja) | ネットワークセキュリティ方法および装置 | |
JP2004222010A (ja) | ルータ装置 | |
US8971330B2 (en) | Quality of service and encryption over a plurality of MPLS networks | |
US20220150058A1 (en) | Forwarding device, key management server device, communication system, forwarding method, and computer program product | |
US20230133729A1 (en) | Security for communication protocols |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121225 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130322 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130702 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130711 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |