JP2020510339A - ネットワーク内のデータパケットの相対的なタイミングと順序を保持するための方法および装置 - Google Patents

ネットワーク内のデータパケットの相対的なタイミングと順序を保持するための方法および装置 Download PDF

Info

Publication number
JP2020510339A
JP2020510339A JP2019548693A JP2019548693A JP2020510339A JP 2020510339 A JP2020510339 A JP 2020510339A JP 2019548693 A JP2019548693 A JP 2019548693A JP 2019548693 A JP2019548693 A JP 2019548693A JP 2020510339 A JP2020510339 A JP 2020510339A
Authority
JP
Japan
Prior art keywords
packet
engine
data
cryptographic
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019548693A
Other languages
English (en)
Other versions
JP2020510339A5 (ja
JP7078633B2 (ja
Inventor
シュパーン,ボルフガンク
ビンツ,バルター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Schweiz AG
Original Assignee
ABB Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Schweiz AG filed Critical ABB Schweiz AG
Publication of JP2020510339A publication Critical patent/JP2020510339A/ja
Publication of JP2020510339A5 publication Critical patent/JP2020510339A5/ja
Application granted granted Critical
Publication of JP7078633B2 publication Critical patent/JP7078633B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/36Flow control; Congestion control by determining packet size, e.g. maximum transfer unit [MTU]
    • H04L47/365Dynamic adaptation of the packet size
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3018Input queuing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Cardiology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Communication Control (AREA)
  • Synchronisation In Digital Transmission Systems (AREA)

Abstract

パケットネットワークは、パケット処理を実行するためのパケットエンジン(50)を含む。パケットエンジン(50)とは別に、暗号化および/または認証処理を実行するための暗号エンジン(60)が提供される。データパケットの相対的なタイミングと順序を保持するために、パケットエンジン(50)は、データフローにダミーパケット(59)を挿入することによって、データトラフィックのプリシェーピングを実行する。パケットエンジン(50)は、プリシェーピングされたデータトラフィックを暗号エンジン(60)に提供する。

Description

発明の分野
本発明は、パケットネットワークにおけるデータ送信に関する。特に、本発明は、例えば、暗号化および/または認証を使用して安全な端末間経路または安全なセグメントを提供するパケットネットワークにおいて、データパケットを送信するための方法および装置に関する。本発明は、産業自動化制御システム、特に電力設備を監視および制御するためのネットワークを含むがこれらに限定されないミッションクリティカルな応用に適した方法および装置に関する。本発明は、特に、暗号化および/または認証処理を実行する暗号エンジン内のパケットの相対的なタイミングおよび順序および/または安全な端末間経路に沿って送信されるパケットの相対的なタイミングおよび順序を保持するための方法および装置に関する。
発明の背景
パケットネットワークにおいてデータ送信の完全性および信憑性を保証するために、情報を暗号化または認証する必要がある。その結果、データストリーム内のパケットの大部分は、暗号化および/または認証された対応物によって置換される。従来に、暗号化および/または認証プロトコルは、パケットのサイズを増加または減少すると共に、ストリームにパケットを追加/削除する必要がある。メッシュネットワークの中間ノードで行われた処理済みサブストリームおよび未処理サブストリームの必要な並列処理を組み合わせると、暗号化および/または認証によるストリーム特性の改変は、端末間遅延の大幅な変動およびパケット順序の改変をもたらす。
暗号化および/または認証がワイヤ速度で実行される場合に一定の微小遅延を挿入しても、パケットの挿入およびパケットサイズの拡大は、非決定的な遅延、ジッタおよび遅延の変動を加える可能性がある。
端末間遅延の大幅な変動およびパケット順序の改変は、一般的に、ミッションクリティカル応用に使用される決定的な制御アルゴリズムには許容されない。端末間遅延の大幅な変動およびパケット順序の改変に関連する問題に対処する1つの手法は、送信の直前に、すなわち、暗号化および/または認証処理を実行した後に、クリティカルパケットのタイムスタンピングを行うことである。この手法は、さまざまな理由で望ましくない。例えば、この手法は、複雑さを追加する。また、この手法は、暗号化および/または認証処理を実行するための装置をタイムスタンピングコンテキストに配置する必要、すなわち、装置がタイムスタンピングプロトコルを認識して使用する必要がある。
概要
本発明の目的は、パケットネットワークにおいてデータ送信を行うための方法、装置およびシステムを改良することである。特に、本発明の目的は、非決定的な遅延、ジッタおよび遅延の変動に関連する問題を軽減しながら、パケットネットワークにおいて暗号化および/または認証データの送信を提供する方法、装置およびシステムを改良することである。また、本発明の目的は、暗号化および/または認証処理をデータパケットに適用した後にタイムスタンピングを実行する必要なく、パケットの順序を保持する方法、装置およびシステムを改良することである。
例示的な実施形態によれば、提供された方法および装置は、中間ノードにおいてデータパケットをタイムスタンピングして並列処理ストリームに分ける前に、パケットエンジンにおいてダミーパケットを追加するおよび/またはパケット間ギャップを拡大することによって、データトラフィックのプリシェーピングを実行する。
データトラフィックのプリシェーピングによって、暗号化および/または認証処理を実行する暗号エンジンにおいて追加のデータパケットを追加する必要はない。暗号エンジンによって拡大されたデータパケットは、空のパケット間ギャップのみに成長する。したがって、中間ノードにおいて「処理される」サブストリームと「処理されていない」サブストリームの分離および合併は、自然にインターリーブする。パケットのタイミングおよび順序は、保持される。
開示された方法および装置が(a)暗号化および/または認証処理を実行する暗号エンジンによって、新たなデータパケットを挿入する必要および(b)暗号化および/または認証処理の後に暗号エンジンがタイムスタンピングを実行する必要がなく、データパケットの相対的なタイミングおよび順序を保持することができるため、例示的な実施形態は、複雑なメッシュネットワークを介してデータパケットを送信しても、暗号化および/または認証データパケット送信を行うためのワイヤのような決定論を提供する。
本発明の一態様によれば、パケットネットワークにおいて送信されるデータパケットの相対的なタイミングおよび順序を保存するための方法が提供される。パケットネットワークは、パケット処理を実行するパケットエンジンを備え、パケットエンジンとは別に、暗号化および/または認証処理を実行するための暗号エンジンが提供される。この方法は、パケットエンジンが、ダミーパケットをデータフローに挿入することによって、データトラフィックのプリシェーピングを実行するステップを含む。この方法は、パケットエンジンが、プリシェーピングされたデータトラフィックを暗号エンジンに提供するステップを含む。
暗号エンジンは、パケットエンジンから物理的に分離されてもよく、イーサネット(登録商標)ケーブルまたは光ケーブルを介してパケットエンジンに接続されてもよい。暗号エンジンとパケットエンジンを物理的に分離することによって、安全性を向上することができる。
「暗号エンジン」という用語は、本明細書に使用された場合、暗号化/復号および/または認証処理を実行するように構成された装置を指す。必要に応じて、暗号エンジンは、暗号化/復号および/または認証処理を実行するための専用コンポーネント、例えば物理乱数発生器を備えることができる。
「ダミーパケット」という用語は、本明細書に使用された場合、ペイロードデータを含まず、暗号エンジンによって制御情報で充填されたパケットを指す。
方法は、暗号エンジンがダミーパケットの少なくとも一部を使用して、管理チャネルの送信を行うステップをさらに含むことができる。暗号エンジンは、暗号化および/または認証に関連する制御情報をダミーパケットの少なくとも一部に挿入することができる。ダミーパケットによって、暗号エンジンによる追加パケットの作成が不要になる。
暗号エンジンは、ダミーパケットを使用して、暗号化キーの交換を行うことができる。
暗号エンジンは、データトラフィックに追加のパケットを挿入することなく、暗号化および/または認証処理を実行することができる。
ダミーパケットをデータトラフィックに挿入することは、以下のステップ、すなわち、パケットエンジンに接続されたまたはパケットエンジンによって構成された中央処理装置で実行されるコンピュータ可読命令コードを用いて、メモリ画像を生成し、メモリ画像をテンプレートとしてメモリに書き込むステップと、コンピュータ可読命令コードを用いて、繰り返し間隔でメモリから画像を取り出すように、パケットエンジンのパケットスイッチを構成するステップと、パケットスイッチを用いて、繰り返し間隔でメモリから画像を取り出し、画像をデータフローに挿入するステップとを含み、画像は、コンピュータ可読命令コードによって構成されたポートにおいてデータフローに挿入される。これらのステップは、例えば、パケットエンジンの起動に応じてまたは新たなユーザ入力に応じて実行されてもよい。
メモリは、パケットスイッチおよび中央処理装置の共有メモリであってもよい。
ダミーパケットは、空セクションのシグナリング通信チャネル(Signaling Communication Channel:SCC)パケットを含んでもよい。
この方法は、パケットエンジンが暗号化および/または認証されたデータフローから抜けたSCCパケットを削除するステップをさらに含むことができる。
暗号エンジンは、制御情報をダミーパケットに追加することによって制御パケットを生成するときに、追加の外部マルチプロトコルラベルスイッチング(MPLS)ヘッダを追加することができる。外部MPLSヘッダによって、MPLSネットワーク内の中間ノード、例えばパケットスイッチは、汎用関連チャネルラベル(GAL)SCCヘッダを見えなくなる。これによって、終点暗号エンジンが外部MPLSヘッダを剥ぎ取った後のみ、GAL SCCパケットが削除される。端末間MPLSパケットフローは、暗号エンジンによって追加された制御情報とは無関係になる。
データトラフィックをプリシェーピングすることは、パケットエンジンの出口ポートにおいてパケット間ギャップを拡大することをさらに含むことができる。
パケット間ギャップを拡大することは、データフローに追加のバイトを挿入することおよび/またはパケットエンジンからのデータパケットの送信を遅延させることを含むことができる。
暗号エンジンは、暗号化および/または認証処理を実行するときに、データパケットをパケット間ギャップに成長させることができる。暗号エンジンは、ジッタを引き起こしたり、遅延を導入したりおよび暗号エンジンでタイムスタンピングを実行したりすることなく、データパケットをパケット間ギャップにそれぞれ成長させることができる。
拡大されたパケット間ギャップのサイズは、設定可能である。
この方法は、拡大されたパケット間ギャップのサイズを決定するステップをさらに含むことができる。暗号エンジンが暗号化および/または認証処理を実行するときに、連続するデータパケットの相対的なタイミングを改変することなく、データパケットをパケット間ギャップのみに成長させるように、拡大されたパケット間ギャップを設定することができる。
拡大されたパケット間ギャップのサイズを決定するステップは、パケットエンジンのインターフェイスから開始するパケットネットワークの全ての構成経路をトラバースすることと、構成経路のうち、最大のパケット間ギャップを必要とする1つの構成経路を用いて、インターフェイスの拡大されたパケット間ギャップを決定することと、中央処理装置がレジスタバイトシーケンスを構築し、レジスタバイトシーケンスをパケットエンジンのレジスタに書き込むことによって、パケットエンジンからのデータパケットの送信を遅延させるようにパケットエンジンをトリガすることとを含む。
この方法は、パケットエンジンがパケットエンジンの入口ポートまたは出口ポートでタイムスタンピングを実行するステップをさらに含むことができる。
タイムスタンピングは、プリシェーピングされたデータトラフィックが暗号エンジンに提供される前に実行される。
この方法において、暗号エンジンは、タイムスタンピングを実行しない。
この方法において、暗号エンジンは、タイムスタンピング情報を使用することなく、動作することができる。
この方法において、暗号エンジンは、高精度時間プロトコル(PTP)などのタイムスタンピングプロトコルを使用することなく、動作することができる。
暗号エンジンは、パケットネットワークのタイムスタンピングコンテキストの外側で動作することができる。
パケットエンジンは、パケットネットワークのタイムスタンピングコンテキストの内側で動作することができる。
パケットネットワークは、MPLSネットワークまたはMPLSトランスポートプロファイル(MPLS−TP)ネットワークであってもよい。
パケットネットワークは、産業自動化制御システム(IACS)のネットワークであってもよい。
パケットネットワークは、高電圧線の自動化、高速列車の操縦、または航空交通の制御を行うためのパケットネットワークであってもよい。
パケットネットワークは、時限パケットネットワークであってもよい。
一実施形態に従って、パケットネットワーク内のデータパケットを処理するためのパケットエンジンは、パケットエンジンとは別に提供された暗号エンジンに接続されるように動作するインターフェイスと、インタフェースを介して暗号エンジンに出力されるデータトラフィックのプリシェーピングを制御するように動作する少なくとも1つの処理ユニットとを備え、パケットエンジンは、プリシェーピングされたデータトラフィックが暗号エンジンに提供される前に、ダミーパケットをデータフローに挿入するように動作する。
パケットエンジンは、インターフェイスでパケット間ギャップを拡大するように動作することができる。
パケットエンジンは、追加のバイトをデータフローに挿入することおよび/またはパケットエンジンからのデータパケットの送信を遅延させることによって、パケット間ギャップを拡大するように動作することができる。
パケットエンジンは、拡大されたパケット間ギャップのサイズを設定できるように動作することができる。拡大されたパケット間ギャップは、暗号エンジンが暗号化および/または認証処理を実行するときに、連続するデータパケットの相対的なタイミングを改変することなく、データパケットをパケット間ギャップのみに成長させるように設定されてもよい。
パケットエンジンまたはパケットエンジンに接続された制御装置は、拡大されたパケット間ギャップのサイズを決定するように動作することができる。この目的のために、パケットエンジンまたは制御装置は、パケットエンジンのインターフェイスから開始するパケットネットワーク内の全ての構成経路をトラバースし、構成経路のうち、最大のパケット間ギャップを必要とする1つの構成経路を用いて、インターフェイスの拡大されたパケット間ギャップを設定するように動作することができる。パケットエンジンの中央処理装置は、レジスタバイトシーケンスを構築し、レジスタバイトシーケンスをパケットエンジンのレジスタに書き込むことによって、パケットエンジンからのデータパケットの送信を遅延させるようにパケットエンジンをトリガするように動作することができる。
パケットエンジンは、暗号エンジンが追加のデータパケットを挿入する必要なく、安全な端末間経路を介して送信されるデータパケットの相対的なタイミングと順序を保持するように、データトラフィックをプリシェーピングするように動作することができる。
パケットエンジンは、パケットエンジンの中央処理装置で実行されるコンピュータ可読命令コードを用いて、メモリ画像を生成し、メモリ画像をテンプレートとしてメモリに書き込むように動作することができる。コンピュータ可読命令コードは、繰り返し間隔でメモリから画像を取り出すように、パケットエンジンのパケットスイッチを構成するように動作することができる。パケットスイッチは、繰り返し間隔でメモリから画像を取り出し、画像をデータフローに挿入するように動作することができ、画像は、コンピュータ可読命令コードによって構成されたポートにおいてデータフローに挿入される。これらの処理は、例えば、パケットエンジンの起動に応じてまたは新たなユーザ入力に応じて実行することができる。
パケットエンジンは、暗号エンジンから物理的に分離されてもよく、イーサネット(登録商標)ケーブルまたは光ケーブルを介してパケットエンジンに接続されてもよい。暗号エンジンとパケットエンジンを物理的に分離することによって、安全性を向上することができる。
ダミーパケットは、空セクションのシグナリング通信チャネル(Signaling Communication Channel:SCC)パケットを含んでもよい。
パケットエンジンは、暗号化および/または認証されたデータフローから抜けたSCCパケットを削除するように動作することができる。
パケットエンジンは、パケットエンジンの入力ポートまたは出力ポートでタイムスタンピングを実行するように動作することができる。
パケットエンジンは、プリシェーピングされたデータトラフィックが暗号エンジンに提供される前にタイムスタンピングを実行するように動作することができる。
パケットエンジンは、高精度時間プロトコル(PTP)に従って、入力/出力ポートでタイムスタンピングを実行するように動作することができる。タイムスタンピングの適切なタイミング精度を可能にするために、パルス毎秒およびクロック信号を、入力/出力ポートでタイムスタンピングを実行するためのチップに提供することができる。また、1秒ごとにソフトウェアメッセージを介して絶対時間情報を内部タイムマスターから各ポートチップに配信することができる。出力ポートのチップは、着信/発信パケットに絶対の送出/入来時間を追加してもよく、パケットがノードを通過するときに既存の入来時間情報に滞留時間を追加してもよい。
パケットネットワークにおいて暗号化および/または認証処理を実行するための暗号エンジンは、暗号エンジンとは別に提供されたパケットエンジンに接続されるように動作するインターフェイスを備え、インターフェイスは、パケットエンジンから、プリシェーピングされたデータトラフィックを受け取るように動作する。暗号エンジンは、パケットネットワーク内の安全な端末間経路を介して送信されるデータパケットの相対的なタイミングと順序を保持するように、暗号化および/または認証処理を実行するように動作する。
暗号エンジンは、パケットエンジンから物理的に分離されてもよく、イーサネット(登録商標)ケーブルまたは光ケーブルを介してパケットエンジンに接続されてもよい。暗号エンジンとパケットエンジンを物理的に分離することによって、安全性を向上することができる。
暗号エンジンは、プリシェーピングされたデータトラフィックにデータパケットを追加することなく、暗号化および/または認証処理を実行するように動作することができる。
暗号エンジンは、連続したデータパケット間にパケット間ギャップが残るように、プリシェーピングされたデータトラフィックに含まれるデータパケットのサイズを大きくすることによって、暗号化および/または認証処理を実行するように動作することができる。
暗号エンジンは、暗号エンジンは、ジッタを引き起こしたり、遅延を導入したりおよび暗号エンジンでタイムスタンピングを実行したりすることなく、データパケットをパケット間ギャップに成長させることができる。
インターフェイスは、パケットエンジンからタイムスタンプ付きデータパケットを受け取るように動作することができる。
暗号エンジンは、ダミーパケットの少なくとも一部を使用して管理チャネルの送信を行うように動作することができる。暗号エンジンは、暗号化および/または認証に関連する制御情報をダミーパケットの少なくとも一部に挿入するように動作することができる。ダミーパケットによって、暗号エンジンによる追加パケットの作成が不要になる。
暗号エンジンは、ダミーパケットを使用して、暗号化キーの交換を行うように動作することができる。
暗号エンジンは、データトラフィックに追加のパケットを挿入することなく、暗号化および/または認証処理を実行するように動作可能である。
暗号エンジンは、制御情報をダミーパケットに追加することによって制御パケットを生成するときに、追加の外部マルチプロトコルラベルスイッチング(MPLS)ヘッダを追加することができる。外部MPLSヘッダによって、MPLSネットワーク内の中間ノード、例えばパケットスイッチは、汎用関連チャネルラベル(GAL)SCCヘッダを見えなくなる。これによって、終点暗号エンジンが外部MPLSヘッダを剥ぎ取った後のみ、GAL SCCパケットが削除される。端末間MPLSパケットフローは、暗号エンジンによって追加された制御情報とは無関係になる。
一実施形態に係るパケットネットワーク用のサブラックは、一実施形態に係るパケットエンジンを含むネットワークカードと、実施形態に係る暗号エンジンを含む暗号化カードとを備える。
一実施形態に係るパケットネットワークは、一実施形態に係る複数のパケットエンジンを備え、各パケットエンジンは、実施形態に関連する暗号エンジンに接続される。
パケットネットワークは、MPLSネットワークまたはMPLSトランスポートプロファイル(MPLS−TP)ネットワークであってもよい。
パケットネットワークは、産業自動化制御システム(IACS)のネットワークであってもよい。
パケットネットワークは、高電圧線の自動化、高速列車の操縦、または航空交通の制御を行うためのパケットネットワークであってもよい。
複雑なメッシュパケットネットワークトポロジを介して暗号化および/または認証データを送信するための方法、装置およびシステムは、暗号エンジンにおいてパケットの相対的なタイミングおよび順序を保持する。パケットがPTPに対応するパケットエンジンから離れる前に、ダミーパケットを追加しおよび/またはパケット間ギャップを拡大することによって、パケットエンジンにおいてトラフィックのプリシェーピングを実行する。よって、これらの処理を暗号エンジンで実行する必要がなく、パケットストリーム内部のパケットの順序およびタイミングを保持することができる。
本発明の実施形態は、ミッションクリティカルなパケットネットワーク、例えば高電圧線の自動化、高速列車の操縦、または航空交通の制御に利用されてもよいが、これらに限定されない。
本発明の主題は、添付の図面に示される好ましい例示的な実施形態を参照してより詳細に説明される。
一実施形態に係るパケットエンジンおよび暗号エンジンを含むパケットネットワークを示す概略図である。 一実施形態に係るパケットエンジンおよび暗号エンジンを示すブロック図である。 一実施形態に係るパケットエンジンの動作を示す図である。 一実施形態に係るパケットエンジンおよび暗号エンジンの動作を示す図である。 暗号化処理を実行する前および後のデータパケットを示す図である。 暗号化および認証処理を実行する前および後のデータパケットを示す図である。 一実施形態に係るパケットエンジンおよび暗号エンジンによって使用され得る汎用関連チャネルラベル(GAL)シグナリング通信チャネル(SCC)パケットを示す図である。 一実施形態に係る方法においてパケットエンジンによって実行されるプロセスを示すフローチャートである。 一実施形態に係る方法において暗号エンジンによって実行されるプロセスを示すフローチャートである。 一実施形態に係る方法において実行され得るパケット間ギャップを設定するプロセスを示すフローチャートである。
実施形態の詳細な説明
本発明の例示的な実施形態は、図面を参照して説明される。図面において、同一または類似の参照符号は、同一または類似の要素を示す。いくつかの実施形態は、マルチプロトコルラベルスイッチング(MPLS)ネットワークまたはMPLS−トランスポートプロファイル(MPLS−TP)ネットワークなどの例示的なネットワークの文脈で説明されるが、以下で詳細に説明される方法および装置は、一般的に、複雑なメッシュパケットネットワークトポロジを介して暗号化データおよび認証データを送信するために使用されてもよい。特に明記しない限り、実施形態の特徴を互いに組み合わせることができる。
「パケット」という用語は、本明細書に使用された場合、パケット化されたデータ構造を指す。「パケット」という用語は、本明細書に使用された場合、フレームを含むことができる。パケットは、フレームであってもよく、フレームを含んでもよい。
「パケット間ギャップ」という用語は、本明細書に使用された場合、フレーム間ギャップと同義であり、物理層上の連続するパケットまたはフレーム間の間隔を指すことができる。
「暗号エンジン」という用語は、本明細書に使用された場合、暗号化/復号および/または認証処理を実行するように動作する装置を指す。必要に応じて、暗号エンジンは、暗号化/復号および/または認証処理を実行するための専用コンポーネント、例えば物理乱数発生器を備えることができる。
本明細書に記載された「暗号エンジン」は、暗号エンジンインスタンスとして実装されてもよい。暗号エンジンの1つのハードウェア実装は、複数の暗号エンジンインスタンス、例えば、ポートおよび方向ごとのインスタンスを提供することができる。しかしながら、いずれの場合、暗号エンジンのハードウェアは、対応するパケットエンジンから分離されてもよい。
「パケットエンジン」という用語は、本明細書に使用された場合、パケット処理を実行するように動作する装置を指す。パケットエンジンは、パケットスイッチを含むことができ、ダミーパケットをデータパケットフローに挿入することができる。パケットエンジンは、時間認識型であり、例えばパケットエンジンの出力ポートまたは入力ポートでタイムスタンピングを実行するように動作することができる。
ある実体が他の2つの実体の「間に」配置される(例えば、暗号エンジンがパケットエンジンと通過ノードとの間に配置される)という記載は、本明細書に使用された場合、データフロー経路に沿った配置、すなわち、パケットがこれらの実体を通過するシーケンスを指す。
図1は、パケットネットワーク10を示す概略図である。パケットネットワーク10は、時限パケットネットワークであってもよい。パケットネットワーク10は、複数のノード11、21、31を有してもよい。複数のノード11、21、31は、それぞれのMPLS−TPネットワーク16、17、18を介して通信可能に連結されてもよい。複数のノード11、21、31は、送信経路の終点ノードおよび中間ノード(またはホップ)を含むことができる。パケットネットワーク10は、時限ネットワークであってもよく、ノード11、21、31のパケットエンジンは、タイムスタンピングを実行する。
ノード11、21、31の各々は、サブラックを含むことができる。サブラックは、以下でさらに詳しく説明するように、パケットエンジンを含むネットワークカードと、暗号エンジンを含む別個の暗号化カードとを含むことができる。
ノード11、21、31は、それぞれ、パケットエンジン12、22、32、および関連するパケットエンジン12、22、32から物理的に分離された暗号エンジン14、24、34を含むことができる。各暗号エンジン14、24、34は、例えば、イーサネット(登録商標)ケーブルまたは光ケーブルを介して、関連するパケットエンジン12、22、32に直接に連結されてもよい。イーサネットケーブルまたは光ケーブルの両端は、パケットエンジン12、22、32および暗号エンジン14、24、34に直接に取り付けることができる。
各々のパケットエンジン12、22、32は、複数のポート13、23、33を有してもよい。各々の暗号エンジン14、24、34は、複数のポート15、25、35を有してもよい。各々の暗号エンジン14、24、34の入口ポートは、関連するパケットエンジン12、22、32の出口ポートに接続されてもよい。各々の暗号エンジン14、24、34の出口ポートは、関連するパケットエンジン12、22、32の入口ポートに接続されてもよい。各々の暗号エンジン14、24、34は、暗号化されていないリンクを介して、関連するパケットエンジン12、22、23に連結されてもよい。
異なる暗号エンジン14、24、34は、暗号化された経路、例えばMPLS−TPネットワークを介して、データトラフィックを送信することができる。
各々のパケットエンジン12、22、32は、パケット処理を実行する。パケットエンジン12、22、32は、パケットの転送および切換を実行することができる。全てのパケットのハンドリング、フィルタリングおよびキューイングは、パケットエンジン12、22、32で実行される。
暗号エンジン14、24、34は、暗号化および/または認証処理を実行する。理解すべきことは、「暗号化処理」という用語は、本明細書に使用された場合、一般的に、暗号化送信に関連する処理を含み、したがって、安全な端末間経路の受信側終点でまたは安全な端末間経路のセグメントのノードで実行された復号を含み得ることである。
各々の暗号エンジン14、24、34は、暗号化/復号および/または認証処理を実行するための専用ハードウェア、例えば物理乱数発生器を備えてもよい。
以下でより詳細に説明するように、パケットエンジン12、22、32および暗号エンジン14、24、34は、暗号エンジン14、24、34内のデータパケットの相対的なタイミングおよび順序を保持すると共に、複雑なメッシュパケットネットワークトポロジーを介して暗号化および/または認証データを送信するように動作することができる。この目的のために、パケットエンジン12、22、32は、データパケットが高精度時間プロトコル(PTP)対応のパケットエンジン12、22、32から離れ、PTP非対応の暗号エンジン14、24、34に入る前、例えばダミーパケットを追加することによっておよび/またはパケットエンジン12、22、32内のパケット間ギャップを拡大することによって、トラフィックのプリシェーピングを実行することができる。暗号エンジン14、24、34には、タイムスタンピングおよび追加のデータパケットの挿入を実行する必要がない。暗号エンジン14、24、34を通過するときに、データパケットストリーム内のデータパケットの順序おおよびタイミングが保持される。
パケットエンジン12、22、32は、中央制御、例えばMPLS経路管理機能によって制御されてもよい。暗号エンジン14、24、34は、サイバーセキュリティマネージャによって制御されてもよい。セキュリティを強化するために、MPLS経路管理機能およびサイバーセキュリティマネージャは、別々のサーバで実行されてもよい。中央制御は、MPLS経路を構築するように暗号エンジンを構成することができる。各々の暗号エンジン14、24、34は、ネットワーク内経路の端末間暗号化および/または認証を保証することができる。暗号エンジン14、24、34は、ネットワーク内経路のセグメントに沿って暗号化および/または認証を提供するように動作することができる。サイバーセキュリティマネージャは、暗号化されていないチャネルまたは安全なチャネルを介して暗号エンジン14、24、34と通信することができる。
作業経路および保護経路の両方を確立することによって、保護された双方向トンネルを形成することができる。「作業経路」という用語は、本明細書に使用された場合、特に通常のネットワーク運用中にトラフィックを運ぶ経路を指し、「保護経路」という用語は、本明細書に使用された場合、作業経路に障害が発生したときに、特にRFC7087(MPLS-TP Rosetta Stone(2013年12月)、セクション3.42.1および3.42.2)およびRFC6372(MPLS-TP Survivability Framework(2011年9月))に従ってトラフィックを保護および転送するために使用された経路を指す。作業経路に沿ったパケットエンジンまたは暗号エンジンなどの実体は、RFC7087(MPLS-TP Rosetta Stone(2013年12月)、セクション3.42.1)に準拠した作業実体である。保護経路に沿ったパケットエンジンまたは暗号エンジンなどの実体は、RFC7087(MPLS-TP Rosetta Stone(2013年12月)、セクション3.42.2)に準拠した保護実体である。
以下、実施形態に係る方法および装置をより詳細に説明する。
図2は、パケットエンジン50および関連する暗号エンジン60を示すブロック図表現40である。暗号エンジン60は、例えばイーサネット(登録商標)ケーブルまたは光ケーブルを介して、パケットエンジン50に直接に接続されてもよい。中央制御41は、例えば、同一のラベルエッジルータ(LER)またはラベルスイッチルータ(LSR)に設けられたいくつかのパケットエンジンを制御することができる。
パケットエンジン50および暗号エンジン60は、作業経路または保護経路に使用されてもよい。作業経路および保護経路のLERまたはLSRに、異なるパケットエンジンおよび異なる暗号エンジン(または暗号エンジンインスタンス)を各々設けることができる。
パケットエンジン50の構成および動作を用いて、図1のネットワーク10の複数のパケットエンジン12、22、32の各々を実現することができる。暗号エンジン60の構成および動作を用いて、図1のネットワーク10の複数の暗号エンジン14、24、34の各々を実現することができる。パケットエンジン50および暗号エンジン60の動作が送信データトラフィック(安全経路の「アリス」側)の文脈で説明されるが、同様の機能は、着信ノード(安全経路の「ボブ」側)で実現することができる。
パケットエンジン50は、ポート53を備える。ポート53は、例えば、高精度時間プロトコル(PTP)、IEEE1588またはIEC61588 2.0版に従ってタイムスタンピングを実行するように動作する。パケットエンジン50は、ポート53を介して、プリシェーピングされたデータトラフィックを暗号エンジン60に出力するように動作する。
パケットエンジン50は、データフローに挿入されるダミーパケット59を生成することができる。ダミーパケット59は、ペイロードデータを含まず、暗号エンジン60によって受信されるプリシェーピングされたデータトラフィックに含まれ、例えば暗号化キーを交換するための制御データを挿入するために暗号エンジン60によって使用されるパケットを提供するように生成されてもよい。ダミーパケット59は、例えば、汎用関連チャネルラベル(GAL)シグナリング通信チャネル(SCC)パケットを含むことができる。
ダミーパケット59は、メモリからパケットテンプレートを読み取ることによって生成されてもよい。以下で詳しく説明するように、メモリに格納されたパケットテンプレートは、例えば、パケットエンジン50の中央処理装置51の少なくとも1つのプロセッサによって実行されるソフトウェアまたは他のコンピュータ可読命令コードによって生成されてもよく、または中央制御41上で動作するソフトウェアによって生成されてもよい。
パケットエンジン50は、ダミーパケット59をデータフロー(すなわち、ペイロードデータを含む一連のデータパケット)に挿入する。パケットエンジン50は、繰り返し間隔でダミーパケット59をデータフローに挿入することができる。この間隔は、設定可能である。以下により詳細に説明するように、この間隔は、パケットエンジン50の中央処理装置51の少なくとも1つのプロセッサによって実行されるソフトウェアまたは他のコンピュータ可読命令コードによって設定されてもよく、または中央制御41上で動作するソフトウェアによって設定されてもよい。ダミーパケット59をデータフローに挿入する間隔は、暗号エンジン60が暗号パケット交換または他のセキュリティに関連する管理チャネル送信のために実行しなければならない全ての管理チャネル送信でダミーパケット59を充填できるように設定することができる。パケットエンジン50は、管理チャネルの送信のために暗号エンジン60によって実際に必要とされるダミーパケットよりも多くのダミーパケット59を生成することができる。
ダミーパケット59は、予め定義されたイーサタイプ、ラベル、チャネルタイプおよびPID構造を有する外部イーサネットヘッダを含むことができる。パケットエンジン50は、暗号エンジン60がダミーエンジン59をどのように使用するかを知らないため、外部ラベルを有しない空のセクションGALパケットを生成する。これらのダミーパケット59は、タイムスタンピングコンテキスト外側のパケットの追加を回避する。
ダミーパケット59は、例えば3.3msという規則的な間隔でパケットエンジン50によって生成され得るSCCパケットであってもよい。ストリーム内のダミーパケットは、管理チャネル送信のために、暗号エンジン60によって充填され、使用される。暗号エンジン60は、管理チャネル送信に不要なダミーパケットを破棄する。
パケットエンジン50は、ダミーパケット59を、ペイロードデータを含む一連のデータパケットに組み入れるパケットスイッチ52を備えてもよい。
ダミーパケット59の挿入に加えてまたは場合によってその代わりに、パケットエンジン50は、ペイロードデータを含むパケットとペイロードデータを含まないダミーパケットとを含むデータパケットの出力を遅延させることによって、パケット間ギャップを拡大することができる。これは、パケットスイッチ52によって実行されてもよく、出口ポート53で実行されてもよい。データパケットを出力した後、パケットスイッチ52または出口ポート53は、意図的に後続のデータパケットの出力を遅延させる。これによって、連続するデータパケット間のギャップが拡大される。説明のために、ペイロードデータを含むパケットとペイロードデータを含まないダミーパケットとを含む連続のデータパケットは、パケットスイッチ52で実際に送信される連続のデータパケットの時間間隔またはギャップに比べてより大きな時間間隔またはギャップで、出口ポート53によって出力されてもよい。
パケット間ギャップの拡大は、例えば暗号化方法によって、暗号エンジン60内のデータパケットにバイトを追加することを含む。パケットスイッチ52は、設定可能な量で送出パケットの送信を遅延させることができる。パケットエンジン50は、送出パケットのバイトの送信を遅延させることによって、設定された量に従って、パケット間ギャップを拡大することができる。
暗号エンジン60がパケットエンジン50に直接に接続されている場合または送信経路に沿ったホップのいずれかの暗号エンジン14、24、34がパケットを拡大する必要がある場合、常に、空のパケット間ギャップが拡大される。これは、パケットエンジン50によって実行されるトラフィックのプリシェーピングによって実現される。
拡大されたパケット間ギャップのサイズは、例えば、中央制御部41または別の実体によって設定されてもよい。拡大されたパケット間ギャップのサイズは、暗号エンジン60が、データパケットを処理してMPLS−TPに従って複数のホップを介して送信しても、データパケットの順序を保持しながら、データパケットをパケット間ギャップのみに成長させるように設定されてもよい。拡大されたパケット間ギャップのサイズを決定する例示的な手法は、図10を参照して説明される。
出力ポート53を介して出力された、ペイロードデータを含むパケットとペイロードデータを含まないダミーパケットとを含む一連のデータパケットは、本明細書において「プリシェーピングされたデータトラフィック」と呼ばれる。理解すべきことは、プリシェーピングされたデータトラフィックは、メッシュネットワーク、例えばMPLS−TPを介して送信されるデータトラフィックに対応しないことである。むしろ、暗号エンジン60は、セキュリティ関連の管理チャネル情報を挿入することによって、プリシェーピングされたデータトラフィックのダミーパケットの少なくとも一部または全てを変更することができる。暗号エンジン60は、ペイロードデータを含むデータパケット、例えば、保護する必要のあるミッションクリティカルデータまたは他のペイロードデータを含むデータパケットの少なくとも一部を変更することもできる。
暗号エンジン60は、パケットエンジン50のポート53に連結されたポート61を備える。パケットエンジン50とは逆に、暗号エンジン60は、タイムスタンピングコンテキストの外側に配置される。換言すれば、ポート61は、PTPまたは他のタイムスタンピング処理を知らない。同様に、暗号エンジン60の出口ポート65は、PTPまたは他のタイムスタンピング処理を知らない。タイムスタンピングは、パケットエンジン50で実行される。暗号エンジン60は、タイムスタンピング情報を使用せず、タイムスタンピングプロトコルの知識を有しなくても動作することができる。暗号エンジン60は、IEEE1588または他のタイムスタンピング技術を知るコンポーネントを含まない場合がある。
暗号エンジン60は、イーサネット(登録商標)ケーブルまたは光ケーブルを介してパケットエンジン50のポート53に連結され得るポート61を備える。
暗号エンジン60は、パケットスイッチなどの装置62を含むことができる。暗号エンジン60が管理チャネルの送信例えば暗号化キーの交換を行うための制御パケットを生成する必要がある場合に、装置62は、ダミーパケット59をコントローラ63または他の集積半導体回路に提供する。装置62は、入ってくるプリシェーピングされたデータトラフィックからダミーパケットを選択することができる。このため、暗号エンジン60は、全てのパケットヘッダをスキャンすることによって、例えばペイロードデータを含む通常のデータトラフィックからSCCパケットを識別することができる。
管理チャネルの送信に不要なダミーパケット59は、暗号エンジン50によってプリシェーピングされたデータトラフィックから削除されてもよい。
コントローラ63は、管理チャネルに関連する制御データ、特に暗号化および/または認証に関連する制御データをダミーパケット59の少なくとも一部に充填することができる。コントローラ63は、例えば、ダミーパケット59の少なくとも一部を使用して、暗号化キーの交換を行うことができる。セキュリティ関連の管理チャネル制御データをダミーパケット59の少なくとも一部に充填することによって、制御パケット69を生成する。装置62は、例えばダミーパケット59の位置で、制御パケット69をプリシェーピングされたデータトラフィックに再挿入することができる。
暗号エンジン60は、暗号化/復号ユニット64を備える。暗号化/復号ユニット64は、暗号化/復号処理を実行することができる。図示されていないが、認証処理を行うための認証ユニットは、暗号化/復号ユニット64に集積されてもよく、暗号化/復号ユニット64とは別に設けられてもよい。暗号エンジン60は、様々な既知の暗号化/復号および/または認証技術のいずれかを使用することができる。暗号エンジン60は、セキュリティ関連機能を実行するための専用ハードウェア、例えば物理乱数発生器を含むことができる。物理乱数生成器は、例えば真にランダムなプロセスに従って、量子システムに対して測定を実行し、測定から離散的な結果を得ることによって、物理プロセスから乱数を生成することができる。
暗号エンジン60によるペイロードデータを含むプリシェーピングされたデータトラフィック内のデータパケットの処理は、データパケットのサイズに影響を与える可能性がある。しかしながら、データトラフィックのプリシェーピングによって、暗号エンジン60から離れるデータパケットの順序は、ポート61に到着するデータパケットの順序と同様である。
暗号エンジン60は、例えば、ポート65を介して、安全な端末間経路のリモート終点(すなわち、「ボブ」)に送信されるデータトラフィックを出力することができる。データトラフィックのプリシェーピングによって、暗号エンジン60から離れるデータパケットの順序は、ポート61に到着するデータパケットの順序と同様である。
データトラフィックが安全経路から離れる受信側では、暗号エンジンは、全ての制御パケット69を削除する。これによって、暗号化キーなどのセキュリティ関連情報を含む制御パケットは、2つの暗号エンジン(例えば、図1の暗号エンジン14および24)の間の経路に保持され、関連するパケットエンジン(例えば、図1のパケットエンジン12および22)に提供されない。
暗号エンジン60がタイムスタンピングコンテキストの外側に配置されても、パケットエンジン50および暗号エンジン60は、暗号化および認証データの送信中に、送信されるクリティカルデータパケットの相対的なタイミングおよび順序を保持するように動作する。
MPLSパケットのストリームを保護するなどの送信データの暗号化は、暗号エンジン60によって行われる。暗号エンジン60は、パケットの転送および切換を実行するパケットエンジン50から分離されている。全てのパケットのハンドリング、フィルタリングおよびキューイングは、タイムスタンピングコンテキストの内側に配置されたパケットエンジン50によって行われる。上記で説明したように、暗号エンジン60は、タイムスタンピングコンテキストの外側に配置される。
本明細書に言及された場合、データパケットの相対的なタイミングおよび順序を保持することは、特に、連続するデータパケットの開始時間の間の時間差が変わらず、データパケットの順序が変わらないことを意味し得る。これは、暗号エンジン60によって処理されるデータパケットに適用されるだけでなく、パケットネットワーク10の1つのホップから次のホップに送信されるデータパケットにも適用される。
パケットエンジン50によるデータパケットのタイムスタンピングは、PTPに従って、パケットエンジン50の入力/出力ポート53で行われてもよい。タイムスタンピングの適切なタイミング精度を保証するために、パルス毎秒およびクロック信号を、入力/出力ポートでタイムスタンピングを実行するためのチップに提供することができる。また、パルス毎秒に同期した固定間隔、例えば1秒間隔で、メッセージ、例えばソフトウェアメッセージを介して、絶対時間情報を内部タイムマスターから入力/出力ポート53に配置された各チップに配信することができる。出力ポート53のチップは、着信/発信パケットに絶対の送出/入来時間を追加してもよく、パケットがパケットエンジン50を通過するときに既存の入来時間情報に滞留時間を追加してもよい。
このようにして、パケットエンジン50の入口ポートおよび出力ポートでデータパケットにタイムスタンプを付けることによって、PTPに従ってネットワーク10内の全てのノードへのタイミング/クロック情報の端末間送信を可能にする。しかしながら、暗号エンジン60は、タイミング/クロック情報を使用しないように動作することができる。
図3は、例示的な実施形態に係るパケットエンジン50によるダミーパケット59の生成および挿入を示す図である。ダミーパケット59を出力するための繰り返し間隔およびインターフェイスは、パケットエンジン50のCPU51、中央制御部41、または別の実体によって実行され得るソフトウェアなどの機械可読命令コードによって設定されてもよい。
機械可読命令コードの実行によって実行されるプロセス70は、例えばユーザ入力またはパケットエンジン50の装置起動によってトリガされてもよい。
ステップ71において、プロセス70は、例えば、ユーザ入力またはパケットエンジン50の装置起動に応答して開始する。
ステップ72において、ダミーパケットの新たなテンプレートを生成すると判断された場合、ステップ72において、パケットエンジン50に接続されたCPUまたはパケットエンジン50のCPU51上で実行される機械可読命令コード、例えばソフトウェアは、ダミーパケットの画像としてテンプレートを生成することができる。テンプレート75は、パケットスイッチ52およびCPU51の共有メモリであり得るメモリ54に格納されてもよい。
ステップ74において、CPU51で実行される機械可読命令コード、例えばソフトウェアは、一定の時間間隔でメモリ54から画像を取り出すように、パケットエンジン50のパケットスイッチ52を設定することができる。このために、繰り返し間隔で情報76をレジスタに書き込むことができる。ダミーパケットを出力するインターフェイスまたはポートに関する情報は、メモリ54に格納されてもよい。これは、パケットスイッチ52の出力インターフェイスをトリガして、共有メモリ56のレジスタに格納され得る情報75、76に従って、ダミーパケット59をデータパケットに挿入する。
77に概略的に示されたように、パケットスイッチ52は、一定の間隔で共有メモリ54から画像75を取り出し、画像75を特定のポートのデータフローに挿入することができる。パケットスイッチ52は、ダミーパケットのテンプレートとしてメモリ画像75を取り出し、レジスタ情報76に指定された一定の間隔でメモリ画像75をデータトラフィックストリームに挿入することができる。
図4は、一実施形態に従って、ノード(終点ノードまたは中間ホップ)のパケットエンジン50および暗号エンジン60の動作を示す図である。パケットエンジン50は、ペイロードデータを含むデータパケット81を含むプリシェーピングされたデータトラフィックを出力する。パケットエンジン50は、ペイロードデータを含まないダミーパケットを出力する。パケットエンジン50は、拡大されたパケット間ギャップ89が所望のサイズを有することを保証するために、データパケット81の後に追加のダミーバイト88を挿入する。拡大されたパケット間ギャップ89のサイズは、暗号エンジン60によって実行される暗号化および/または認証処理が拡大されたパケット間ギャップ89を超えないようにデータパケット81を拡大されたパケット間ギャップ89のみに成長させるように設定される。
暗号エンジン60が暗号化および/または認証処理を実行するため、データパケット83は、関連するデータパケット81の元のペイロードの暗号化された対応部分を含み、必要に応じて認証情報を含むことができる。データパケット83は、データパケット81に比べてより大きなサイズを有する。しかしながら、暗号化および/または認証処理によるパケットサイズの増加は、決して拡大されたパケット間ギャップ89を超えない。暗号エンジン60から離れる時の連続するデータパケット83の間の時間差は、暗号エンジン60に入る時の連続するデータパケット81の間の差と同様である。
暗号エンジン60は、パケットエンジン50によって生成されたダミーパケット82を用いて、管理チャネルの送信を行うことができる。暗号エンジンは、暗号化キーの交換などのセキュリティに関連する制御情報をダミーパケット82に挿入することによって、既存のダミーパケット82を制御パケット84に変換することができる。暗号エンジン60の動作は、ジッタを追加することなく、データパケットの相対的なタイミングおよび順序を保持する。
図5および図6は、パケットエンジン50から受信したデータパケット90に対して暗号化および/または認証処理を実行するときの暗号エンジン60の動作を示している。パケットエンジン50は、例えば、パケット間ギャップ99を36バイトに拡大した。データパケット90は、暗号化されていないMPSLデータパケットであってもよい。データパケット90は、プリアンブルおよび開始フレームデリミタ(SFD)91を含むことができる。データパケット90は、宛先アドレスメディアアクセス制御(MAC)アドレス92を含むことができる。データパケット90は、ソースアドレスメディアアクセス制御(MAC)を含むことができる。データパケット90は、MPLSラベルスイッチ経路(MPLS LSP)94を含むことができる。データパケット90は、MPLS擬似ワイヤ(MPLS PW)95を含むことができる。データパケット90は、暗号化されていない擬似ワイヤペイロード96を含む。データパケット90は、フレームチェックシーケンス(FCS)97を含むことができる。
図5は、暗号エンジン60の暗号化処理をデータパケット90に適用することによって得られた暗号化データパケット100を示している。暗号化データパケット100に暗号化コード101を追加することができる。暗号化データパケット100は、MPLS PW95およびPWペイロード96から生成され得る暗号化ペイロード102を含む。暗号化ペイロード102は、暗号化サービスデータを定義することができる。
暗号化によって、暗号化データパケット100は、暗号化されていない対応物90のサイズを超えるサイズを有する。しかしながら、パケット間ギャップ99は、暗号化されていないデータパケット90に比べて、暗号化データパケット100のサイズの増加が拡大されたパケット間ギャップ99を超えないように、パケットエンジン50によって拡大される。暗号エンジン50は、拡大されたパケット間ギャップ99を超えないようにデータパケットを拡大されたパケット間ギャップ99に成長させる。連続する暗号化データパケットの間に有限のパケット間ギャップ108が存在してもよい。説明のために、暗号化コード101が8バイトを有する場合、パケット間ギャップ108は、28バイトを有し得る。
図6は、暗号エンジン60の暗号化処理および認証処理をデータパケット90に適用することによって生成された認証付き暗号化データパケット105を示す。認証コード103は、暗号化データパケット105に含まれてもよい。暗号化ペイロード102および認証コード103は、暗号化サービスデータを定義することができる。
暗号化および認証によって、認証付き暗号化データパケット105は、暗号化されていない対応物90のサイズを超えるサイズを有する。しかしながら、パケット間ギャップ99は、暗号化されていないデータパケット90に比べて、認証付き暗号化データパケット105のサイズの増加が拡大されたパケット間ギャップ99を超えないように、パケットエンジン50によって拡大される。暗号エンジン50は、拡大されたパケット間ギャップ99を超えないようにデータパケットを拡大されたパケット間ギャップ99に成長させる。連続する暗号化データパケットの間に有限のパケット間ギャップ109存在してもよい。説明のために、暗号化コード103が6バイトを有する場合、パケット間ギャップ103は、12バイトを有し得る。
図7は、パケットエンジン50によってデータフローに定期的に挿入されるダミーパケット59の一例としてのGAL SCCパケット構造を示す。GAL SCCパケットは、例えば、以下の構造(合計92バイト)、すなわち、イーサネットヘッダ:14バイト(DMAC 6バイト、SMAC 6バイトおよびイーサタイプ 2バイト)、PIDを含むMPLS GALヘッダ:10バイト(LSPシムヘッダなし、RFC5718)、SCCペイロード:64バイト、およびCRC:4バイトを有することができる。
SCCペイロードは、パケットエンジン50によって生成されたときに、空であってもよく、乱数または0もしくは1で充填されてもよい。暗号エンジン60は、管理チャネルデータをGAL SCCパケットのSCCペイロードに挿入することができる。
空セクションのGAL SCCダミーパケットをMPLS−TPコンテキストに適用することによって、暗号エンジン60は、暗号化/復号制御フローの端末間またはセグメントにパケットを追加することなく、制御パケット69を提供することができる。生成された特定のPID付きGAL SCCパケットが保護されたフローから抜け出すときに確実に削除されるように、擬似ワイヤの受信側のパケットエンジン50または暗号エンジン60は、これらのパケットを検出すると、即座に削除する。複数のホップに亘って開始から終了まで制御パケット69を送信する間に、追加の外部MPLSヘッダが追加される。GAL SCCヘッダは、表示されない。これによって、終点暗号エンジン60が外部ヘッダを剥ぎ取った後のみ、GAL SCCダミーパケットが削除される。このようにして、端末間MPLSパケットフローは、制御パケットとは無関係になる。
暗号エンジン60は、制御パケット69を使用する必要がある場合、パケットエンジン50によって提供されたプリシェーピングされたデータトラフィックから、ダミーパケット59を選択することができる。このため、暗号エンジン60は、全てのパケットヘッダをスキャンすることができる。暗号エンジン60は、以下のルールを用いて、通常のトラフィックからSCCパケットを識別することができる。図7に示すGAL SCCパケットの(イーサタイプ==0×8847)&&(S==1&&ラベル==13)&&(チャネルタイプ==2)&&(PID==xxx)バイト13〜14バイト15〜18バイト21〜22バイト23〜24。
パケットエンジン50は、暗号エンジン60がGAL SCCダミーパケットをどのように使用するかを知らないため、外側ラベルのない空セクションのGALパケットを生成する。
暗号エンジン60は、以下のパケット、すなわち、2つの隣接するMPLSノード間に暗号化キーを交換するためのパケット、および外部MPLSヘッダを追加することによって得られたLSP端末間に暗号化キーを交換するためのパケットを使用できる。
パケットエンジン50と暗号エンジン60との間のリンクは、MPLSセクション管理チャネルとして扱うことができる。MPLS−TP標準に従って、制御通信は、以下のオプションを使用して実行することができる。すなわち、
LSP端末間管理チャネル:この場合、暗号エンジン60は、4バイトのLSPヘッダをイーサタイプビットとGALヘッダとの間に挿入する。このようにして、暗号エンジン60は、暗号化端末間の関係をMPLS端末間の関係にマッピングする。パケットサイズの増加を避けるために、ペイロードのサイズを犠牲にしてヘッダを拡大する。
次ホップまたはセクション管理チャネル:暗号エンジン60は、次ホップの暗号エンジン60と通信する必要がある場合、LSPシムヘッダを挿入するこなく、パケット構造をそのまま保持する。ペイロードサイズは、64バイトのままである。
ネットワーク構成セクションの誤りによって、GAL SCCパケットがパケットエンジン50のポート53で受信された場合、これらのパケットは、パケットスイッチ52で削除される。GALSCCヘッダが見えるため、パケットスイッチ52は、ラベルが13(GAL)であるか否か、チャネルタイプがSCCであるか否か、または暗号化通信チャネルのPIDが定義されているか否かをチェックする。
図8は、一実施形態に係る方法においてパケットエンジン50によって実行され得るプロセス110を示すフローチャートである。
ステップ111において、パケットエンジン50は、ダミーパケット59を生成することができる。ダミーパケット59は、一定の時間間隔で生成されてもよい。ダミーパケット59は、ペイロードデータを運ぶデータパケットを含むデータフローに挿入されてもよい。
ステップ112において、パケットエンジン50は、パケット間ギャップを拡大することができる。拡大されたパケット間ギャップのサイズは、動的に設定されてもよく、暗号化の後、必要に応じて認証の後にデータパケットを送信するポートおよびポートの構成経路に依存してもよい。
ステップ113において、パケットエンジン50は、タイムスタンピングを実行することができる。タイムスタンピングは、暗号化の前に、必要に応じて認証の前に、パケットエンジン50の出力ポートで実行されてもよい。
ステップ114において、プリシェーピングされたデータトラフィックは、パケットエンジン50に直接に接続され、パケットエンジン50と同じラックまたはベイに配置され得る暗号エンジン60に出力されてもよい。
図9は、一実施形態に係る方法において暗号エンジン60によって実行され得るプロセス120を示すフローチャートである。
ステップ121において、暗号エンジン60は、パケットエンジン50からプリシェーピングされたデータトラフィックを受け取る。パケットエンジン50は、暗号エンジン60に直接に接続され、暗号エンジン60と同じラックまたはベイに配置されてもよい。
ステップ122において、暗号エンジン60は、暗号化または認証に関連する制御情報をダミーパケット59の少なくとも一部に充填することができる。暗号エンジン60は、管理チャネルの送信に必要されないダミーパケット59を削除または破棄することができる。暗号エンジン60は、データトラフィックにパケットを追加することなく、パケットエンジン50によって生成された管理チャネル送信用のダミーパケット59の少なくとも一部を用いて、管理チャネルの送信を実行することができる。
ステップ123において、暗号エンジン60は、暗号化および/または認証処理を実行することができる。暗号エンジン60は、新たなパケットを追加することなく、データパケットをパケット間ギャップに成長させることによって、これらの処理を実行することができる。
ステップ124において、暗号エンジンは、例えば、MPLSネットワーク内の保護されたトンネルの安全な端末間経路を介して、暗号化ペイロードを含むデータパケット、必要に応じて送信認証を含むデータパケットを出力することができる。
拡大されたパケット間ギャップのサイズは、ネットワーク内の構成経路に依存してもよい。拡大されたパケット間ギャップのサイズは、データトラフィックを出力するポートに依存してもよい。拡大されたパケット間ギャップのサイズは、動的に設定されてもよい。
図10は、一実施形態に係る方法において拡大されたパケット間ギャップのサイズを設定するプロセス130を示すフローチャートである。プロセス130は、特定のポートに必要された拡大に応じてサイズを動的に設定することができる。
ステップ131において、インターフェイス上の全ての構成経路を計算的にトラバースすることを含む演算を行うことができる。各経路に必要なパケット間ギャップを計算する。必要なパケット間ギャップは、バイト数で確定される。例えば、標準なメッセージ認証を追加する場合、パケットエンジンのパケット間ギャップのターゲットサイズに24バイトを追加する。したがって、標準の12バイトではなく、36バイトのパケット間ギャップが提供される。
ステップ132において、最大のパケット間ギャップを必要とする経路を特定する。この経路は、インターフェイスのパケット間ギャップを決定するために使用される。すなわち、インターフェイスのパケット間ギャップは、ステップ131で決定された値から選択される。したがって、これらの値の最大値は、パケット間ギャップのサイズとして選択される。
ステップ133において、ステップ131および132で決定されたパケット間ギャップに従って、パケットエンジン50を構成することができる。
CPU51は、パケットスイッチ52のレジスタに書き込まれる適切なレジスタバイトシーケンスを構築することができる。これは、出力データパケットの連続送信間でnバイトを待つように、パケットスイッチ52をトリガする。
本発明の実施形態に係る方法、装置およびシステムは、例えば、ミッションクリティカル応用のためのネットワークにおける強化されたサイバーセキュリティの必要性に対処する。パケット間ギャップの拡大および/またはダミーパケットの追加を含むデータトラフィックのプリシェーピングの組み合わせによって、暗号エンジンの段階でパケットを追加する必要のないシステムが提供される。パケットは、空のパケット間ギャップのみに成長する。したがって、中間ノードで「処理された」サブストリームと「処理されていない」サブストリームの分離および組み合わせは、自然にインターリーブする。パケットのタイミングおよび順序には乱れが発生していない。
実施形態に係る方法、装置およびシステムは、複雑なメッシュネットワークを通過しても、暗号化および/または認証されたパケットデータ送信の有線のような決定論を提供する。
図面を参照して例示的な実施形態を説明したが、他の実施形態では改変および変更を実施することができる。方法、装置およびシステムは、MPLSネットワークに使用できるが、それに限定されない。
当業者が理解するように、本明細書に開示される実施形態は、より良い理解のために提供され、単に例示である。特許請求の範囲によって定義される本発明の範囲から逸脱することなく、当業者は、様々な改変および変更を行うことができる。

Claims (25)

  1. パケットネットワークにおいて送信されるデータパケットの相対的なタイミングと順序を保持するための方法であって、前記パケットネットワークは、パケット処理を実行するためのパケットエンジン(12,22,32;50)を含み、前記パケットエンジン(12,22,32;50)とは別に、暗号化および/または認証処理を実行するための暗号エンジン(14,24,34;60)が提供され、前記方法は、
    パケットエンジン(12,22,32;50)が、データフローにダミーパケット(59)を挿入することによって、データトラフィックのプリシェーピングを実行するステップと、
    前記パケットエンジン(12,22,32;50)が、前記プリシェーピングされたデータトラフィックを暗号エンジン(14,24,34;60)に提供するステップとを含む、方法。
  2. 前記暗号エンジン(14,24,34;60)が、前記ダミーパケット(59)の少なくとも一部を使用して、管理チャネルの送信を行うステップをさらに含む、請求項1に記載の方法。
  3. 前記暗号エンジン(14,24,34;60)は、前記ダミーパケット(59)の少なくとも一部を使用して、暗号化キーの交換を行う、請求項2に記載の方法。
  4. 前記暗号エンジン(14,24,34;60)は、前記データトラフィックに追加のパケットを挿入することなく、前記暗号化および/または認証処理を実行する、先行する請求項のいずれか1項に記載の方法。
  5. 前記ダミーパケット(59)を前記データトラフィックに挿入することは、起動または新たなユーザ入力に応じて実行される以下のステップ、すなわち、
    パケットエンジン(12,22,32;50)に接続されたまたは前記パケットエンジン(12,22,32;50)によって構成された中央処理装置(51)上で実行されるコンピュータ可読命令コードを用いて、メモリ画像を生成し、前記メモリ画像をテンプレートとしてメモリ(54)に書き込むステップと、
    前記コンピュータ可読命令コードを用いて、繰り返し間隔で前記メモリ(54)から前記画像を取り出すように、前記パケットエンジンのパケットスイッチ(52)を設定するステップと、
    前記パケットスイッチ(52)を用いて、前記繰り返し間隔で前記メモリ(54)から前記画像を取り出し、前記画像を前記データフローに挿入するステップとを含み、前記画像は、前記コンピュータ可読命令コードによって構成されたポートにおいて前記データフローに挿入される、先行する請求項のいずれか1項に記載の方法。
  6. 前記ダミーパケット(59)は、空セクションのシグナリング通信チャネル(SCC)パケットを含む、先行する請求項のいずれか1項に記載の方法。
  7. 前記パケットエンジン(12,22,32;50)が、暗号化および/または認証されたデータフローから抜けたSCCパケットを削除するステップをさらに含む、請求項6に記載の方法。
  8. 前記データトラフィックをプリシェーピングするステップは、前記パケットエンジン(12,22,32;50)の出力ポート(53)においてパケット間ギャップを拡大することをさらに含む、先行する請求項のいずれか1項に記載の方法。
  9. 前記パケット間ギャップを拡大することは、前記データフローに追加のバイトを挿入することおよび/または前記パケットエンジン(12,22,32;50)からのデータパケットの送信を遅延させることを含む、請求項8に記載の方法。
  10. 前記暗号エンジン(14,24,34;60)は、前記暗号化および/または認証処理を実行するときに、データパケットを前記パケット間ギャップに成長させる、請求項8または9に記載の方法。
  11. 前記拡大されたパケット間ギャップのサイズは、設定可能である、請求項7〜10のいずれか1項に記載の方法。
  12. 前記拡大されたパケット間ギャップのサイズを決定するステップをさらに含み、
    前記拡大されたパケット間ギャップのサイズを決定するステップは、
    前記パケットエンジンのインターフェイスから開始する前記パケットネットワークの全ての構成経路をトラバースすることと、
    前記構成経路のうち、最大のパケット間ギャップを必要とする1つの構成経路を用いて、前記インターフェイスの前記拡大されたパケット間ギャップを決定することと、
    中央処理装置(51)がレジスタバイトシーケンスを構築し、前記レジスタバイトシーケンスをパケットエンジン(12,22,32;50)のレジスタに書き込むことによって、前記パケットエンジン(12,22,32;50)からのデータパケットの送信を遅延させるように前記パケットエンジン(12,22,32;50)をトリガすることとを含む、請求項8〜11のいずれか1項に記載の方法。
  13. 前記パケットエンジン(12,22,32;50)が、前記パケットエンジン(12,22,32;50)の入力ポートまたは出力ポート(53)でタイムスタンピングを実行するステップをさらに含む、先行する請求項のいずれか1項に記載の方法。
  14. 前記タイムスタンピングは、前記プリシェーピングされた前記データトラフィックが前記暗号エンジン(14,24,34;60)に提供される前に実行される、請求項13に記載の方法。
  15. 前記暗号エンジン(14,24,34;60)は、タイムスタンピングコンテキストの外側で動作し、
    前記パケットエンジン(12,22,32;50)は、前記タイムスタンピングコンテキストの内側で動作する、先行する請求項のいずれか1項に記載の方法。
  16. 前記パケットネットワーク(10)は、産業自動化制御システムのネットワークである、先行する請求項のいずれか1項に記載の方法。
  17. 前記パケットネットワーク(10)は、高電圧線の自動化、高速列車の操縦、または航空交通の制御を行うためのパケットネットワークである、先行する請求項のいずれか1項に記載の方法。
  18. パケットネットワーク内のデータパケットを処理するためのパケットエンジン(12,22,32;50)であって、前記パケットエンジン(12,22,32;50)は、
    前記パケットエンジン(50)とは別に提供された暗号エンジン(60)に接続されるように動作するインターフェイス(53)と、
    前記インタフェース(53)を介して前記暗号エンジン(60)に出力されるデータトラフィックのプリシェーピングを制御するように動作する少なくとも1つの処理ユニット(51)とを備え、
    前記パケットエンジン(12,22,32;50)は、前記プリシェーピングされたデータトラフィックが前記暗号エンジン(14,24,34;60)に提供される前に、ダミーパケット(59)をデータフローに挿入するように動作する、パケットエンジン(12,22,32;50)。
  19. 前記パケットエンジン(12,22,32;50)は、前記インターフェイスでパケット間ギャップを拡大するように動作する、請求項18に記載のパケットエンジン(12,22,32;50)。
  20. 前記パケットエンジン(12,22,32;50)は、前記暗号エンジンが追加のデータパケットを挿入する必要なく、安全な端末間経路を介して送信されるデータパケットの相対的なタイミングと順序を保持するように、前記データトラフィックをプリシェーピングするように動作する、請求項18または19に記載のパケットエンジン(12,22,32;50)。
  21. パケットネットワーク(10)において暗号化および/または認証処理を実行するための暗号エンジン(14,24,34;60)であって、
    前記暗号エンジン(14,24,34;60)とは別に提供されたパケットエンジン(12,22,32;50)に接続されるように動作するインターフェイスを備え、前記インターフェイスは、前記パケットエンジンから、プリシェーピングされたデータトラフィックを受け取るように動作し、
    前記暗号エンジン(14,24,34;60)は、前記パケットネットワーク内の安全な端末間経路を介して送信されるデータパケットの相対的なタイミングと順序を保持するように、暗号化および/または認証処理を実行するように動作する、暗号エンジン。
  22. 前記暗号エンジン(14,24,34;60)は、前記プリシェーピングされたデータトラフィックにデータパケットを追加することなく、前記暗号化および/または認証処理を実行するように動作する、請求項21に記載の暗号エンジン。
  23. 前記暗号エンジン(14,24,34;60)は、連続したデータパケットの間にパケット間ギャップが残るように、前記プリシェーピングされたデータトラフィックに含まれるデータパケットのサイズを大きくすることによって、前記暗号化および/または認証処理を実行するように動作する、請求項21または22に記載の暗号エンジン。
  24. 前記インターフェイス(61)は、前記パケットエンジン(12,22,32;50)からタイムスタンプ付きデータパケットを受け取るように動作する、請求項21〜23のいずれか1項に記載の暗号エンジン。
  25. 請求項18〜20のいずれか1項に記載のパケットエンジン(12,22,32;50)を含むネットワークカードと、
    請求項21〜24のいずれか1項に記載の暗号エンジン(14,24,34;60)を含む暗号化カードとを備える、パケットネットワーク用のサブラック。
JP2019548693A 2017-03-08 2018-03-07 ネットワーク内のデータパケットの相対的なタイミングと順序を保持するための方法および装置 Active JP7078633B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201762468845P 2017-03-08 2017-03-08
US201762468808P 2017-03-08 2017-03-08
US62/468,845 2017-03-08
US62/468,808 2017-03-08
US201762610164P 2017-12-23 2017-12-23
US62/610,164 2017-12-23
PCT/EP2018/055622 WO2018162564A1 (en) 2017-03-08 2018-03-07 Methods and devices for preserving relative timing and ordering of data packets in a network

Publications (3)

Publication Number Publication Date
JP2020510339A true JP2020510339A (ja) 2020-04-02
JP2020510339A5 JP2020510339A5 (ja) 2020-11-19
JP7078633B2 JP7078633B2 (ja) 2022-05-31

Family

ID=61617010

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019548624A Active JP7032420B2 (ja) 2017-03-08 2018-03-07 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置
JP2019548693A Active JP7078633B2 (ja) 2017-03-08 2018-03-07 ネットワーク内のデータパケットの相対的なタイミングと順序を保持するための方法および装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019548624A Active JP7032420B2 (ja) 2017-03-08 2018-03-07 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置

Country Status (9)

Country Link
US (2) US11134066B2 (ja)
EP (3) EP3593509B1 (ja)
JP (2) JP7032420B2 (ja)
KR (2) KR102643187B1 (ja)
CN (2) CN110383280B (ja)
AU (2) AU2018231406B2 (ja)
FI (1) FI3883209T3 (ja)
IL (2) IL269035B (ja)
WO (2) WO2018162565A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI3883209T3 (fi) * 2017-03-08 2023-09-12 Hitachi Energy Switzerland Ag Menetelmät ja laitteet suhteellisen ajoituksen säilyttämiseksi ja datapakettien tilaamiseksi verkossa
CN111953553B (zh) * 2019-05-16 2023-07-18 华为技术有限公司 一种报文的检测方法、设备及系统
US10805210B1 (en) * 2019-09-20 2020-10-13 Juniper Networks, Inc. GRE tunneling with reduced packet encryption at intermediate routers using loose source routing
US11108689B1 (en) * 2020-02-07 2021-08-31 Ciena Corporation Incorporating a generic associated channel (G-ACh) header and channel-type for connectivity fault management (CFM) packets over multi-protocol label switching (MPLS)
CN115242415A (zh) * 2021-04-23 2022-10-25 伊姆西Ip控股有限责任公司 边缘交换机处实现的数据加密方法、电子设备和程序产品
US20230362137A1 (en) * 2022-05-09 2023-11-09 Juniper Networks, Inc. Utilizing a removable quantum random number generator for a network device
US11882029B2 (en) * 2022-05-13 2024-01-23 Juniper Networks, Inc. Securing multiprotocol label switching (MPLS) payloads

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057582A (ja) * 1999-08-18 2001-02-27 Alpine Electronics Inc データ通信方式
JP2003283539A (ja) * 2002-03-20 2003-10-03 Canon Inc 通信ネットワーク、端末インタフェース装置、ノード装置、伝送制御方法、記憶媒体、及びプログラム
JP2006005673A (ja) * 2004-06-17 2006-01-05 Mitsubishi Electric Corp 通信装置およびパケット通信方法
JP2006245733A (ja) * 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化通信方法、送信端末および受信端末

Family Cites Families (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4914697A (en) * 1988-02-01 1990-04-03 Motorola, Inc. Cryptographic method and apparatus with electronically redefinable algorithm
US6708273B1 (en) * 1997-09-16 2004-03-16 Safenet, Inc. Apparatus and method for implementing IPSEC transforms within an integrated circuit
US6272117B1 (en) * 1998-02-20 2001-08-07 Gwcom, Inc. Digital sensing multi access protocol
US6226290B1 (en) * 1998-04-28 2001-05-01 Nortel Networks Limited Method and apparatus for adjusting an interpacket gap using a network device in a data communications network
US20030156715A1 (en) * 2001-06-12 2003-08-21 Reeds James Alexander Apparatus, system and method for validating integrity of transmitted data
US7096247B2 (en) * 2001-08-31 2006-08-22 Adaptec, Inc. Apparatus and methods for receiving data at high speed using TCP/IP
US20030110302A1 (en) * 2001-10-22 2003-06-12 Telemetric Corporation Apparatus and method for bridging network messages over wireless networks
US7215667B1 (en) * 2001-11-30 2007-05-08 Corrent Corporation System and method for communicating IPSec tunnel packets with compressed inner headers
US7246245B2 (en) * 2002-01-10 2007-07-17 Broadcom Corporation System on a chip for network storage devices
JP3925218B2 (ja) * 2002-01-30 2007-06-06 ソニー株式会社 ストリーミングシステム及びストリーミング方法、ストリーミングサーバ及びデータ配信方法、クライアント端末及びデータ復号方法、並びにプログラム及び記録媒体
US8335915B2 (en) * 2002-05-14 2012-12-18 Netapp, Inc. Encryption based security system for network storage
US7349871B2 (en) * 2002-08-08 2008-03-25 Fujitsu Limited Methods for purchasing of goods and services
JP4000419B2 (ja) 2003-04-09 2007-10-31 日本電信電話株式会社 経路最適化システムと方法およびプログラム
US20080109889A1 (en) * 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
KR100697943B1 (ko) * 2003-09-09 2007-03-20 니폰덴신뎅와 가부시키가이샤 무선패킷 통신방법 및 무선패킷 통신장치
EP1560368A1 (fr) * 2004-01-30 2005-08-03 France Telecom Procédé d'établissement d'une session multimédia entre un équipement appelant et un équipement appelé d'un réseau du type à sous domaine multimédia et système de communication mettant en oeuvre ce procédé
US7333612B2 (en) * 2004-03-19 2008-02-19 Cisco Technology, Inc. Methods and apparatus for confidentiality protection for Fibre Channel Common Transport
US8631450B1 (en) * 2004-12-02 2014-01-14 Entropic Communications, Inc. Broadband local area network
US20060126827A1 (en) * 2004-12-14 2006-06-15 Dan P. Milleville Encryption methods and apparatus
NO322321B1 (no) * 2005-02-07 2006-09-18 Igor Aleksandrovich Semaev Fremgangsmate ved kryptering og dekryptering
CN1969475B (zh) * 2005-03-25 2012-07-04 桥扬科技有限公司 用于蜂窝广播和通信系统的方法和设备
US7764612B2 (en) * 2005-06-16 2010-07-27 Acme Packet, Inc. Controlling access to a host processor in a session border controller
US8514894B2 (en) * 2005-08-02 2013-08-20 Elliptic Technologies Inc. Method for inserting/removal padding from packets
US7725927B2 (en) * 2005-10-28 2010-05-25 Yahoo! Inc. Low code-footprint security solution
JP2007199890A (ja) * 2006-01-25 2007-08-09 Sony Corp コンテンツ伝送システム、コンテンツ伝送装置及びコンテンツ伝送方法、並びにコンピュータ・プログラム
US20140122876A1 (en) * 2006-01-26 2014-05-01 Unisys Corporation System and method for providing a secure book device using cryptographically secure communications across secure networks
JP4547339B2 (ja) * 2006-01-30 2010-09-22 アラクサラネットワークス株式会社 送信制御機能を備えるパケット中継装置
US8667273B1 (en) * 2006-05-30 2014-03-04 Leif Olov Billstrom Intelligent file encryption and secure backup system
US8099605B1 (en) * 2006-06-05 2012-01-17 InventSec AB Intelligent storage device for backup system
CN1901509B (zh) * 2006-07-26 2013-05-29 白杰 网络节点间同步数据的同步方法
US8010801B2 (en) * 2006-11-30 2011-08-30 Broadcom Corporation Multi-data rate security architecture for network security
US8744076B2 (en) * 2007-04-04 2014-06-03 Oracle International Corporation Method and apparatus for encrypting data to facilitate resource savings and tamper detection
DE102007041143B4 (de) 2007-08-30 2010-04-08 Siemens Enterprise Communications Gmbh & Co. Kg Verfahren zum Analysieren von gleichzeitig übertragenen, verschlüsselten Datenströmen in IP-Netzwerken
US8781003B2 (en) * 2008-07-17 2014-07-15 Cisco Technology, Inc. Splicing of encrypted video/audio content
JP5319777B2 (ja) 2008-10-20 2013-10-16 アルカテル−ルーセント ネットワークセキュリティ方法および装置
CN101567818B (zh) * 2008-12-25 2011-04-20 中国人民解放军总参谋部第五十四研究所 基于硬件的大规模网络路由仿真方法
US8595479B2 (en) * 2009-02-25 2013-11-26 Cisco Technology, Inc. Aggregation of cryptography engines
US8009682B2 (en) 2009-05-05 2011-08-30 Citrix Systems, Inc. Systems and methods for packet steering in a multi-core architecture
JP5326815B2 (ja) * 2009-05-26 2013-10-30 富士通株式会社 パケット送受信装置およびパケット送受信方法
US20120128011A1 (en) * 2009-06-16 2012-05-24 Holmeide Oeyvind Method on a network element for the purpose of synchronization of clocks in a network
EP2601776B1 (en) * 2010-08-06 2015-10-28 Citrix Systems, Inc. Systems and methods for a para-virtualized driver in a multi-core virtual packet engine device
US8918550B2 (en) * 2010-08-27 2014-12-23 Total Phase, Inc. Real-time USB class level decoding
US20120172050A1 (en) * 2010-12-29 2012-07-05 Nokia Corporation Method and apparatus for context based on spatial trails
DK2661845T3 (da) * 2011-01-04 2014-11-10 Napatech As Apparat og fremgangsmåde til modtagelse og videresendelse af data
US20120237024A1 (en) * 2011-03-18 2012-09-20 Wei-Ti Liu Security System Using Physical Key for Cryptographic Processes
EP4040717B1 (en) * 2011-12-15 2024-01-31 INTEL Corporation Method and device for secure communications over a network using a hardware security engine
WO2013138977A1 (en) * 2012-03-19 2013-09-26 Intel Corporation Techniques for packet management in an input/output virtualization system
US9130754B2 (en) 2012-08-29 2015-09-08 Qualcomm Incorporated Systems and methods for securely transmitting and receiving discovery and paging messages
US8923122B2 (en) * 2012-12-19 2014-12-30 Telefonaktiebolaget L M Ericsson (Publ) Packet train generation for estimating available network bandwidth
US9106618B2 (en) * 2013-01-23 2015-08-11 Alcatel Lucent Control plane encryption in IP/MPLS networks
EP2974121A4 (en) * 2013-03-13 2016-12-07 Jumpto Media Inc SECURE COMMUNICATION IN NETWORK
US9317718B1 (en) * 2013-03-29 2016-04-19 Secturion Systems, Inc. Security device with programmable systolic-matrix cryptographic module and programmable input/output interface
KR20150019931A (ko) * 2013-08-16 2015-02-25 삼성전자주식회사 디스플레이장치 및 그 제어방법
US9667370B2 (en) * 2013-09-05 2017-05-30 Avago Technologies General Ip (Singapore) Pte. Ltd. Communication device with peer-to-peer assist to provide synchronization
GB2523444B (en) * 2014-02-25 2016-05-18 Qualcomm Technologies Int Ltd Device authentication
US9596075B2 (en) * 2014-06-03 2017-03-14 L3 Technologies, Inc. Transparent serial encryption
CN106664460B (zh) * 2014-06-20 2019-08-20 索尼公司 信息处理设备和信息处理方法
TWI535328B (zh) * 2014-07-08 2016-05-21 國立臺灣大學 電網閘道器及具有多個電網閘道器之電塔管理系統
US10726162B2 (en) * 2014-12-19 2020-07-28 Intel Corporation Security plugin for a system-on-a-chip platform
US9674071B2 (en) * 2015-02-20 2017-06-06 Telefonaktiebolaget Lm Ericsson (Publ) High-precision packet train generation
US20160338120A1 (en) * 2015-05-14 2016-11-17 Smart Technologies, Ulc System And Method Of Communicating Between Interactive Systems
US9801059B2 (en) * 2015-07-09 2017-10-24 Google Inc. Security for wireless broadcasts
US10476798B1 (en) * 2015-09-22 2019-11-12 Amazon Technologies, Inc. Network switch with deterministic longest prefix match lookup
EP3270321B1 (en) * 2016-07-14 2020-02-19 Kontron Modular Computers SAS Technique for securely performing an operation in an iot environment
US10826876B1 (en) * 2016-12-22 2020-11-03 Amazon Technologies, Inc. Obscuring network traffic characteristics
US10542039B2 (en) * 2017-02-08 2020-01-21 Nicira, Inc. Security against side-channel attack in real-time virtualized networks
FI3883209T3 (fi) * 2017-03-08 2023-09-12 Hitachi Energy Switzerland Ag Menetelmät ja laitteet suhteellisen ajoituksen säilyttämiseksi ja datapakettien tilaamiseksi verkossa

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001057582A (ja) * 1999-08-18 2001-02-27 Alpine Electronics Inc データ通信方式
JP2003283539A (ja) * 2002-03-20 2003-10-03 Canon Inc 通信ネットワーク、端末インタフェース装置、ノード装置、伝送制御方法、記憶媒体、及びプログラム
JP2006005673A (ja) * 2004-06-17 2006-01-05 Mitsubishi Electric Corp 通信装置およびパケット通信方法
JP2006245733A (ja) * 2005-03-01 2006-09-14 Matsushita Electric Ind Co Ltd 暗号化通信方法、送信端末および受信端末

Also Published As

Publication number Publication date
CN110383280B (zh) 2023-08-29
US11134066B2 (en) 2021-09-28
EP3883209A1 (en) 2021-09-22
KR102643187B1 (ko) 2024-03-05
CN110352586A (zh) 2019-10-18
JP7078633B2 (ja) 2022-05-31
US11115398B2 (en) 2021-09-07
WO2018162564A1 (en) 2018-09-13
US20200007517A1 (en) 2020-01-02
JP7032420B2 (ja) 2022-03-08
AU2018231406B2 (en) 2023-02-02
CN110383280A (zh) 2019-10-25
IL269033A (en) 2019-10-31
IL269035B (en) 2022-09-01
IL269035A (en) 2019-10-31
JP2020510337A (ja) 2020-04-02
KR20190125412A (ko) 2019-11-06
AU2018231406A1 (en) 2019-10-10
AU2018231407A1 (en) 2019-10-10
AU2018231407B2 (en) 2023-02-16
WO2018162565A1 (en) 2018-09-13
FI3883209T3 (fi) 2023-09-12
US20190394180A1 (en) 2019-12-26
EP3593509A1 (en) 2020-01-15
IL269033B1 (en) 2023-04-01
KR102537654B1 (ko) 2023-05-26
CN110352586B (zh) 2021-12-07
KR20190125413A (ko) 2019-11-06
EP3883209B1 (en) 2023-06-28
IL269033B2 (en) 2023-08-01
EP3593509B1 (en) 2021-05-05
EP3593271A1 (en) 2020-01-15

Similar Documents

Publication Publication Date Title
JP7078633B2 (ja) ネットワーク内のデータパケットの相対的なタイミングと順序を保持するための方法および装置
US11374848B2 (en) Explicit routing with network function encoding
US10079748B2 (en) Supporting efficient and accurate sync/followup timestamps
US8842675B2 (en) Systems and methods for multicore processing of data with in-sequence delivery
US11418434B2 (en) Securing MPLS network traffic
CN110011939B (zh) 一种支持量子密钥进行数据加密以太网交换机
WO2007071153A1 (fr) Procede, systeme de reseau de donnees et noeud de reseau pour transmission de paquets de donnees
KR20200007966A (ko) 프레임 속성들을 이용하는 구성가능 서비스 패킷 엔진
EP3846394A1 (en) Avoiding loops by preventing further fast reroute (frr) after an earlier frr
US20190014092A1 (en) Systems and methods for security in switched networks
US20180262473A1 (en) Encrypted data packet
KR102689414B1 (ko) 데이터 링크 계층의 다중 프로토콜을 지원하는 ARIA 기반 고속 MACsec 보안 장치 및 방법
US20230208818A1 (en) Network traffic management
CN118694515A (zh) Ip/udp上的密钥分发

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201008

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201008

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211124

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20211129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220420

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220519

R150 Certificate of patent or registration of utility model

Ref document number: 7078633

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350