JP2020520617A - フレームのプロパティを活用する設定可能なサービスパケットエンジン - Google Patents

フレームのプロパティを活用する設定可能なサービスパケットエンジン Download PDF

Info

Publication number
JP2020520617A
JP2020520617A JP2020514344A JP2020514344A JP2020520617A JP 2020520617 A JP2020520617 A JP 2020520617A JP 2020514344 A JP2020514344 A JP 2020514344A JP 2020514344 A JP2020514344 A JP 2020514344A JP 2020520617 A JP2020520617 A JP 2020520617A
Authority
JP
Japan
Prior art keywords
packet
packets
channel information
service channel
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020514344A
Other languages
English (en)
Inventor
モナト、ローラン
キラコシアン、エマニュエル
クリスチャンソン、トルシュテン
ドマーグ、マティアス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ID Quantique SA
Original Assignee
ID Quantique SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ID Quantique SA filed Critical ID Quantique SA
Publication of JP2020520617A publication Critical patent/JP2020520617A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、所定の暗号プロトコルによって1つ以上のパケット(P1,P2)を暗号化するための暗号化ユニット(3200)に関する。前記所定の暗号プロトコルは、サービスチャネル情報の交換を必要とし、前記サービスチャネル情報は第1のビット長を有する。前記暗号化ユニットは、前記パケット(P1,P2)が不使用ビットを有するか否かを識別するように構成されているパケットアナライザ(3210)と、前記不使用ビットの数が前記第1のビット長以上の場合に前記パケット(P1,P2)にサービスチャネル情報を挿入するように構成されているパケットビルダー(3220)と、前記所定の暗号プロトコルによって前記パケット(P1,P2)を暗号化するように構成されている暗号化エンジン(3230)とを備える。

Description

本発明は、一般に暗号化技術の分野に関する。より詳細には、本発明は、暗号化されたチャネルを通じてサービスチャネル情報を送信する方法および装置に関する。さらに詳細には、本発明は、データフローのレイテンシを変化させることなくサービスチャネル情報を送信することを可能にする。
ネットワークを通じたデータの送信のために暗号を使用することは、ますます重要になっている。ネットワークチャネルを実装するために使用されている現在の技術は、概して傍受からの保護が不可能であるので、データを保護するための1つの方法は、データを送信部において暗号化し、受信部において復号することである。
図1には、暗号化されたチャネル1300を通じて送信部1100から受信部1500に対しデータが送信されるネットワーク1000を概略的に示す。特に、暗号化されたチャネル1300を作成するために、暗号化ユニット1200は、チャネル1300にデータを転送する前に該データを暗号化する。対応する復号ユニット1400は、受信部1500に渡す前に該データを復号する。
一般的に、暗号化ユニット1200および復号ユニット1400は、送信部1100に対し、また受信部1500に対し透過性であるように構成されることが好ましい。すなわち、送信部1100および受信部1500は、暗号化ユニット1200および復号ユニット1400の存在を知ることなく動作する。このアプローチは、既存のネットワーク1000に暗号化ユニット1200および復号ユニット1400を組み込むことを可能にするため、好ましい。また、本技術は、送信部1100および受信部1500に対する変更なく暗号化ユニット1200および復号ユニット1400が更新されることを可能にする。最後に、送信部1100および受信部1500を暗号化ユニット1200および復号ユニット1400から独立したまま動作させることによって、複雑な相互依存性が生じないので、より容易に2つのシステムを管理することが可能である。
暗号化ユニット1200および復号ユニット1400は、一般に、サービスチャネル情報と呼ばれるデータを交換する必要がある。このデータは、例えば、セキュリティ増加させるように定期的に変更される暗号鍵であることが可能である。一般に、このデータは、暗号化動作させるために必要な任意の情報であることが可能である。例えば、1つの物理的な暗号化されたチャネル1300は、複数の論理的な暗号化されたチャネルを含んでもよく、それら暗号化されたチャネルの数および特性は経時的に変化することが可能である。これらの情報は、暗号化ユニット1200と復号ユニット1400との間で共有される必要がある。したがって、暗号化ユニット1200および復号ユニット1400がサービスチャネル情報を交換する必要性が存在する。
サービスチャネル情報を交換するための1つの可能なアプローチは、暗号化ユニット1200が送信部1100からのデータ・ストリームにサービスチャネル情報を挿入することを、変更されたデータ・ストリームをチャネル1300に転送する前に、可能にすることである。
これによって、しかしながら、不利が与えられる。特に、これによって、サービスチャネル情報パケットが挿入されたか否かに応じて、送信部と受信部との間のレイテンシが変化する。このことは、図2Aおよび図2Bを参照することによって、より明確に理解されるであろう。
図2Aには、サービスチャネル情報の挿入なしに送信部1100から受信部1500に2つのパケットP1,P2を送信するためのタイムフローを概略的に示す。パケットP1,P2は、送信部1100から受信部1500に送信される、データパケット、制御パケット、またはより一般的には任意のパケットであることが可能である。時間T0aにおいて、パケットP1は送信部1100を出る。時間T1aにおいて、パケットP2は送信部1100を離れる。送信部1100から受信部1500までの遅延は、値DTを有する。時間T2a(T0a+DTに等しい)において、パケットP1は受信部1500に到達する。時間T3a(T1a+DTに等しい)において、パケットP2は受信部1500に到達する。T3aとT2aとの間の時間における差は、T1aとT0aとの間と同じであり、これは、続いているパケットP1とP2との間のレイテンシが、受信部1500においても送信部1100において有していたのと同じ値を保持していることを意味する。
図2Bには、サービスチャネル情報を含む1つのパケットPSCの挿入を伴って、送信部1100から受信部1500に2つのパケットP1,P2を送信するためのタイムフローを概略的に示す。時間T0bにおいて、パケットP1は送信部1100を出る。時間T1bにおいて、パケットP2は送信部1100を出る。パケットP1,P2間のレイテンシは、図2Aの場合と同じである。
しかしながら、暗号化ユニット1200がサービスチャネル情報を復号ユニット1400に送信する必要のため、時間T2b、暗号化されたパケットP1を暗号化されたチャネル1300へ送信した後、暗号化ユニット1200は、サービスチャネル情報を含む1つのパケットPSCを挿入する。PSCパケットを送信した後、次いで、暗号化されたパケットP2が、暗号化されたチャネル1300へ送信される。時間T3bにおいて、サービスチャネル情報を含むパケットPSCが復号ユニット1400において受信される。復号ユニット1400において、パケットPSCは、意図された目的のために使用されることが可能であり、受信部1500に対し転送される復号されたパケット・ストリームから除去される。パケットP2は、次いで、時間T4bにおいて受信部にて最終的に受信される。
図2bにおいて視認可能であるように、パケットP1とP2との間のレイテンシは、送信部1100と受信部1500との間において変化している(特に、増加している)。送信部1100および受信部1500は暗号化ユニット1200の、また復号ユニット1400の存在を知ることなく動作しているので、受信部1500は、パケットP1とP2との間のレイテンシが送信部1100におけるそれらのパケット間のレイテンシを正確に表していると仮定する。これは、しかしながら、不正確である。
レイテンシの変化によって、受信されるデータの解釈に誤りが引き起こされ得る。いくつかの場合においては、それによってネットワーク1000が正常に機能しないことや、全く動作しなくなることがある。例えば、ネットワーク1000がコンピュータネットワークであり、パケットP1,P2が高精度時間プロトコル(Precision Time Protocol、以下ではPTP)に属する場合、PTPは機能しなくなるか、受信部1500を不正確に動作させる。ネットワーク1000の多くの動作では、その正確な機能はPCPTを通じて達成されるクロック同期に基づくので、ネットワーク1000の異なる複数の動作が正常に機能しない場合や、全く動作しなくなる場合がある。
したがって、パケット間のレイテンシを変化させることなく、ネットワーク1000において暗号化されたチャネル1300を通じてサービスチャネル情報を送信するための方法および装置を提供する必要性が存在する。
本発明の全般的なアプローチは、送信部から受信部に対し送られるパケットの全てにおいて、そのペイロードが完全に満たされているわけではないと認識することである。特に、いくつかのパケットは、それぞれのプロトコルによって指定されているように、最小の長さ(または固定の長さ)しか有しないので、このことによって、全てのビットが使用されているわけではないという場合が導かれる。それらのパケットを暗号化ユニットにて認識することによって、それらのパケットにサービスチャネル情報を追加し、それによってパケット・ストリームに追加のパケットを挿入することを避けることが可能になる。
本発明の一実施形態は、所定の暗号プロトコルによって1つ以上のパケットを暗号化するための暗号化ユニットに関することが可能である。前記所定の暗号プロトコルは、サービスチャネル情報を交換することを必要とし、前記サービスチャネル情報は第1のビット長を有する。暗号化ユニットは、1つ以上のパケットが不使用ビットを有するか否かを認識するように構成されているパケットアナライザと、前記不使用ビットの数が前記第1のビット長以上である場合、前記パケットにサービスチャネル情報を挿入するように構成されているパケットビルダーと、前記所定の暗号プロトコルによって前記パケットを暗号化するように構成されている暗号化エンジンと、を備える。
これは、既存のパケットを用いて追加でサービスチャネル情報を送信し、それによってデータ・ストリームにおける様々なパケットの間の送信レイテンシに影響を与えないことを可能とするので、特に有利である。
いくつかの実施形態においては、前記パケットアナライザは、前記パケットが不使用ビットを有するか否かを、前記パケット内に所定の値を認識することと、前記パケットの1つ以上のフィールドについて特定の値を認識することと、のうちの1つ以上によって認識するように構成されることが可能である。
これは、サービスチャネル情報を送信するために使用されることが可能であるパケットを、そのパケットの全内容を解析する(それは多すぎるコンピュータ・リソースを必要とする)ことなく、効率的に認識することを可能にするので、特に有利である。
いくつかの実施形態においては、前記パケットは、SCCパケット、ESMCパケット、またはBFDパケットであることが可能である。
これは、それらのパケットが、少なくともそれらのパケットのいくつかの可能な実装においてはサービスチャネル情報の送信との互換性を有する不使用の部分を含むので、特に有利である。さらにまた、それらのパケットは、統計的に有利には送信されるサービスチャネル情報との互換性を有する周波数およびペイロードを有する。
いくつかの実施形態においては、前記サービスチャネル情報は、データ、該データに対するアドレス、またはその両方を含むことが可能である。
これは、ネットワーク内の異なったポイントにおよび/または論理的に暗号化された異なるチャネルに関連してサービスチャネル情報を送信することを可能にするので、特に有利である。
本発明のさらなる一実施形態は、所定の暗号プロトコルによって1つ以上のパケットを復号するための復号ユニットに関することが可能である。前記所定の暗号プロトコルは、サービスチャネル情報を交換することを必要とし、前記サービスチャネル情報は第1のビット長を有する。復号ユニットは、前記パケットを復号するように構成されている復号エンジンと、前記パケットのうちの1つ以上が前記サービスチャネル情報を含むか否かを判定するように構成されているパケットアナライザと、前記パケットから前記サービスチャネル情報を除去するように構成されているパケットリーダーと、を備える。
これは、いずれのパケットがサービスチャネル情報を組み込んでいるか認識し、データを抽出し、場合によっては、そのパケットを以前の状態に戻すことを可能にするので、特に有利である。この方式では、サービスチャネル情報の送信はネットワークの残りの部分に対し透過性である。
いくつかの実施形態においては、前記パケットアナライザは、前記パケットが前記サービスチャネル情報を含むか否かを、前記パケット内に所定の値を認識することと、前記パケットの1つ以上のフィールドについて特定の値を認識することと、のうちの1つ以上によって認識するように構成されることが可能である。
これは、データ・ストリームに追加のパケットを挿入することなく、既に使用されているパケットを利用するだけなので、いずれのパケットがサービスチャネル情報を含むかを効率的に認識することを可能にするので、特に有利である。さらにまた、各到来パケットの全内容を解析する必要がない(その一部のみ解析する)ことによって、いずれのパケットがサービスチャネル情報を運ぶかを認識するために必要なコンピュータ・リソースを減少させることが可能である。
さらに、本発明の一実施形態は、所定の暗号プロトコルによって、1つ以上のパケットを復号するおよび/または復号するための暗号ユニットにさらに関することが可能である。前記所定の暗号プロトコルはサービスチャネル情報の交換を必要とし、前記サービスチャネル情報は第1のビット長を有する。暗号ユニットは、前記パケットのうちの1つ以上がサービスチャネル情報を含むか否かを判定し、前記パケットからサービスチャネル情報を除去するように構成されているパケット受信部と、前記パケットの暗号化、復号、またはその両方を行うように構成されている暗号化/復号エンジンと、前記パケットのうちの1つ以上が不使用ビットを有するか否かを認識し、前記不使用ビットの数が前記第1のビット長以上である場合、前記パケットにサービスチャネル情報を挿入するように構成されているパケット発信部と、を備える。
これは、暗号ユニットが上述した暗号化ユニットおよび復号ユニットの両方の機能を実行することを可能にするので、特に有利である。これは、暗号ユニットがネットワークに沿って数回(例えば、連続して)使用されることが可能であって、各暗号ユニットはそのネットワークにおける任意の他の暗号ユニットとサービスチャネル情報を交換することが可能である。
暗号化されたチャネルを通じて送信部から受信部にデータが送信されるネットワークの概略図。 サービスチャネル情報の挿入なしに送信部から受信部に2つのパケットを送信するためのタイムフローの概略図。 サービスチャネル情報を含む1つのパケットの挿入を伴って送信部から受信部に2つのパケットを送信するためのタイムフローの概略図。 本発明の実施形態による暗号化ユニットと復号ユニットとを備えるネットワークの概略図。 本発明の一実施形態による暗号化ユニットの概略図。 本発明の一実施形態による復号ユニットの概略図。 本発明の一実施形態による暗号ユニットの概略図。 マルチプロトコル・ラベル・スイッチング・プロトコルの空のSCCパケットの構造の概略図。 本発明の一実施形態による変更されたSCCパケットの構造の概略図。 マルチプロトコル・ラベル・スイッチング・プロトコルのESMCパケットの構造の概略図。 BFDパケットの構造の概略図。
図3には、暗号化されたチャネル1300を通じて送信部1100から受信部1500に対しデータが送信されるネットワーク3000を概略的に示す。特に、ネットワーク3000では、暗号化および復号は、本発明の実施形態による暗号化ユニット3200および復号ユニット3400によって実行される。
図3Aには、暗号化ユニット3200を概略的に示す。暗号化ユニット3200は、所定の暗号プロトコルによって1つ以上のパケットP1,P2を暗号化するように構成されており、その所定の暗号プロトコルは、サービスチャネル情報を交換することを必要とし、サービスチャネル情報は第1のビット長を有する。
特に、暗号化ユニット3200は、パケット(P1,P2)が不使用ビットを有するか否かを認識するように構成されているパケットアナライザ3210と、不使用ビットの数が第1のビット長以上である場合にサービスチャネル情報をパケットP1,P2に挿入するように構成されているパケットビルダー3220と、所定の暗号プロトコルによってパケットP1,P2を暗号化するように構成されている暗号化エンジン3230とを備える。
パケットアナライザ3210は、到来パケットを解析し、パケットP1,P2が不使用ビットを有するか否かを認識する。
いくつかの実施形態においては、これは、パケットアナライザ3210が、複数のパケットの特性を記憶し、到来パケットP1,P2のいずれが不使用ビットを有するかを認識するように、記憶した特性に関して到来パケットP1,P2を解析することによって、達成可能である。例えば、パケットが複数のフィールドを有することは一般的であるが、それらのフィールドの全てが常に使用されているわけではない。それらフィールドのうちのいくつかが使用されていないとき、それらのフィールドの中身は一般に所定の値に設定される。そのパケット内の、またはそれらのフィールドのうちの1つ以上のフィールド内の所定の値を認識することによって、それぞれのビットが使用されていないことが認識されることが可能である。これに代えて、または加えて、それらのフィールドはヘッダーを有することが可能である。ヘッダーは、フィールドがペイロードを有するか否かを特定し、および/またはペイロードのサイズを特定し、それ自身がフィールドである。1つ以上のヘッダーに対する特定の値を認識することによって、不使用ビットの数を決定することが可能である。ペイロードのために使用されていないビットは、不使用ビットと見なされることが可能である。いくつかの実施形態においては、これはパケットアナライザ3210が、ペイロードが少なくとも部分的に空の状態で常に送信される複数のパケットの特性を記憶することによって、記憶した特性に関して到来パケットを解析し、格納した特性に対応するパケットを認識することによっても達成される。
パケットアナライザ3210がどのように不使用ビットを識別可能であるかに関する詳細な例について、SCC,ESMCおよびBFDパケットを参照する例について、本明細書においてさらに提供する。それらのパケットは、発明者によってランダムに選択されるのではなく、有利にはサービスチャネル情報の送信との互換性のある周波数およびペイロードを統計的に有するものとして認識される。
パケットビルダー3220は、パケットを受信するように、また、到来パケットが不使用ビットを有するか否かと不使用ビットの数とについての情報を受信するように、パケットアナライザ3210に対し接続されている。この接続は、パケットビルダー3220からパケットアナライザ3210に対してパケットを転送するために使用されるものと同じであることが可能であるか、または、図面に示されていない、別個の接続であることが可能である。不使用ビットの数がサービスチャネル情報の第1のビット長以上である場合、パケットアナライザ3210は、不使用ビットをサービスチャネル情報のビットに置換することによって、パケット内にサービスチャネル情報を挿入する。
暗号化エンジン3230は、所定の暗号プロトコルによって到来パケットを暗号化可能な任意の種類の暗号化エンジンであることが可能である。所定の暗号プロトコル(AES CTR,AES GCM 256ビット,AES GCMなど)は、送信部と受信部との間におけるサービスチャネル情報の交換を要する。パケットアナライザ3210および/またはパケットビルダー3220および/または暗号化エンジン3230が特定の暗号プロトコルに応じて構成され得ることは、明らかである。例えば、所与の暗号プロトコルがXビットの長さを有するサービスチャネル情報を送信する必要がある場合、パケットアナライザ3210は、不使用ビットを有するそれらのパケットP1,P2を認識するように構成されるであろう。好ましくは、パケットアナライザ3210は、X以上の不使用ビットの数を有するそれらのパケットP2,P3を認識するように構成されるであろう。いくつかの実施形態においては、サービスチャネル情報を運ぶために使用されるパケットの特性は(例えば、パケットの標準的な定義を参照することによって)知られていることがあり、サービスチャネル情報のサイズは、考慮されているパケットにおける所定の利用可能なスペース以下の所定の値にされることが可能である。
到来パケットの全てが暗号化されている必要がないことも、また明らかであろう。例えば、いくつかの実施形態においては、パケットアナライザ3210によって認識され得るパケットのタイプに応じて、そのパケットを迂回させたり、そのパケットを認証したり、パケットを認証し暗号化したりなどすることが可能である。
特定の暗号プロトコルは、サービスチャネル情報の特性(構造、周波数、ビット長など)を定義する。例えば、送信されるサービスチャネル情報の特性のいくつかは、セッション鍵、肯定応答パケット、キープアライブ・パケットなどに関係してもよい。
例示的な一実施形態においては、セッション鍵配布のためのサービスチャネル情報は、信号IDフィールド(好ましくは32ビット)と、トンネルIDフィールド(好ましくは64ビット)と、鍵バンク・フィールド(好ましくは32ビット)と、初期化ベクトル・フィールド(好ましくは64ビット)と、セッション鍵フィールド(好ましくは256ビット)と、いくつかの追加の実施形態においては合計480ビットとするための不使用の32ビットとを含むことが可能である。サービスIDフィールドは、サービスチャネルを通じて送られる信号またはメッセージタイプの一意なIDであることが可能である。トンネルIDフィールドは、UNEMワイドのトンネルIDであることが可能である。その鍵バンク・フィールドは、FPGAが使用する必要がある鍵バンクのインデックスであることが可能である。このインデックスは、ESWによって管理されることが可能である。初期化ベクトル・フィールドは、セッション鍵の暗号化/復号によって使用されることが可能である。これはAES CTRアルゴリズムによって使用されることが可能である。
追加の一実施形態においては、キー・アームドOK(KeyArmedOK)メッセージのためのサービスチャネル情報は、信号IDフィールド(好ましくは32ビット)と、トンネルIDフィールド(好ましくは64ビット)と、鍵バンク・フィールド(好ましくは32ビット)と、初期化ベクトル・フィールド(好ましくは64ビット)と、キー・アームドOKフィールド(好ましくは128ビット)と、いくつかの追加の実施形態においては合計480ビットとするための不使用の160ビットとを含むことが可能である。
パケットビルダー3220のおかげで、十分な数の不使用ビットを有するとパケットアナライザ3210によって認識されるパケットP1,P2の中へ、有利には送信部1100と受信部1500との間においてパケットのレイテンシを維持するように(合計ビット数は変化しないので)、サービスチャネル情報が挿入されることが可能である。
本実施形態においては、パケットアナライザ3210、パケットビルダー3220、および暗号化エンジン3230が、この順序によりパケット経路上に配置されているが、しかしながら、本発明はこれに限定されない。一般に、唯一の要件は、パケットビルダー3220が、パケットアナライザ3210によって提供される入力に基づいて動作する必要があるため、パケットアナライザ3210に続くことである。しかしながら、暗号化エンジン3230の位置は、それら他の2つの要素に対して自由に設定されることが可能である。特に、暗号化エンジン3230をパケットビルダー3220より後に配置する必要はない場合がある。実際、いくつかの場合においては、サービスチャネル情報は暗号化されていない状態において、暗号化されたパケットP1,P2に対し追加されてもよい。いくつかの他の場合においては、サービスチャネル情報が追加されるパケットP1,P2は、暗号化エンジン3230によって全く暗号化されなくてもよい。
図3Bには、本発明の一実施形態による復号ユニット3400を概略的に示す。特に、いくつかの実施形態においては、復号ユニット3400は、有利には暗号化ユニット3200と協働することが可能である。
復号ユニット3400は、所定の暗号プロトコルによって1つ以上のパケットP1,P2を復号するように構成されており、この所定の暗号プロトコルは、サービスチャネル情報を交換することを要し、サービスチャネル情報は第1のビット長を有する。
より詳細には、復号ユニット3400は、パケットP1,P2を復号するように構成されている復号エンジン3410と、パケットP1,P2のうちの1つ以上がサービスチャネル情報を備えるか否かを決定するように構成されているパケットアナライザ3420と、パケットP1,P2からサービスチャネル情報を除去するように構成されているパケットリーダー3430とを備える。
復号エンジン3410は、AES CTR,AES GCM 256ビット、AES GCMなどの任意の所定の暗号プロトコルによって動作することが可能である。より一般的には、復号エンジン3410は、暗号化エンジン3230と同じ暗号プロトコルを用いて動作することが可能である。
パケットアナライザ3420は、パケットP1,P2内のサービスチャネル情報の存在を判定するように構成されることが可能である。
いくつかの実施形態においては、これは、パケットアナライザ3420が、複数のパケットの特性を記憶し、到来パケットP1,P2のいずれがサービスチャネル情報を含むかを認識するように到来パケットP1,P2を記憶されている特性に対して解析することによって達成される。例えば、所定の種類のパケットに対しサービスチャネル情報を常に追加することが可能であってもよい。そのような所定の種類のパケットを認識することによって、パケットアナライザ3420は、復号エンジン3410に所定の種類のパケットの到着を通知することが可能である。これに代えて、または加えて、到来パケットP1,P2のフィールドは、そのフィールドがサービスチャネル情報を記憶するために使用されているか否かを特定するヘッダーを有することが可能である。このヘッダーを、またはより一般的に言うとフィールドを解析することによって、到来パケットP1,P2にサービスチャネル情報が記憶されているか否かを判定することが可能である。
パケットリーダー3430は、パケットアナライザ3420によって、到来パケットP1,P2内のサービスチャネル情報の存在を通知されることが可能である。到来パケットがサービスチャネル情報を含む場合、パケットリーダー3430は、到来パケットP1,P2からサービスチャネル情報を読み取る。いくつかの実施形態においては、パケットリーダー3430は、続いて到来パケットP1,P2からサービスチャネル情報を消去するか、到来パケットP1,P2を所定の値に置き換えることが可能である。パケットのヘッダーおよび/またはそのパケットの何らかのフィールドがパケットビルダー3220によって到来パケットP1,P2におけるサービスチャネル情報の存在を示すように変更されている場合において、パケットリーダー3430は、そのヘッダーまたはフィールドの値を元の所定の値に変更してもよい。
暗号化ユニット3200に関しては、復号エンジン3410とパケットアナライザ3420とパケットリーダー3430との相対的な配置は、図3Bに示されているものである必要はない。代替的な実施形態においては、それら3つの要素は、サービスチャネル情報を含むそれらのパケットP1,P2を識別する情報を受け取るようにパケットリーダー3430がパケットアナライザ3420に接続されている限り、異なって接続されてもよい。さらに、いくつかの実施形態においては、暗号化ユニット3200について上述したように、暗号化エンジン3410は、パケットアナライザ3420より後および/またはパケットリーダー3430より後に位置してもよい。これは、暗号化されている到来パケットP1,P2に対し、暗号化されていない状態においてサービスチャネル情報を追加すること、または、サービスチャネル情報を運ぶ到来パケットP1,P2が全く暗号化されていないことも可能であり得るからである。
一般的に、SCCパケットは、サービスチャネル情報を転送するためのパケットP1,P2として使用されることが可能である。SCCパケットは異なる形式により構成されることが可能であり、以下では、特定のSCCパケットがサービスチャネル情報を含むようにどのように変更可能であるかについての1つの特定例が提供される。しかしながら、SCCパケットが不使用ビットの形式における利用可能なペイロードを有する限り、他の変更が可能であることが、当業者には明らかであろう。
図4には、マルチプロトコル・ラベル・スイッチング・プロトコル(非限定的な特定の一実施形態では、サービスチャネル情報を送信するために使用されるパケットのタイプであることが可能である)のSCCパケット4000の構造を概略的に示す。
SCCパケットの構造の詳細な定義は、ITU−T G.81 13.2/Y.1372.2およびITU−T G.7712/Y.1703など、それぞれのパケットのITU−T文書に見出されることが可能である。それらの内容を引用によってここに援用する。一般的に、SCCは、ノード間において信号通信を交換するための専用の基本パケットであるMPLSにおける、信号通信チャネル(Signaling Communication Channel)を表している。図4に示されているSCCパケット4000は、SCCパケット1つの可能な実装である。他の実装も可能である。一般的には、SCC構造は同じであるまま、送信される信号メッセージのタイプに応じて、「チャネルタイプ」およびPIDなど、いくつかの値が変化してもよい。
いくつかの場合において、SCCパケット4000は、ネットワーク3000において、部分的にまたは完全に空の状態にて送信されることが可能である。これは、例えば、SCCパケット4000の7−22行目に存在する、使用されない場合があるペイロード(全64バイトからなる)に該当し得る。この特定の実施形態においては、パケットアナライザ3210は、到来パケットを解析し、部分的にまたは完全に空のSCCパケットを認識する。例示的な一識別方法として、識別はSCCパケットのフィールドおよび/またはヘッダーに対するいくつかの所定の値を認識することによって可能である。例えば、以下の組み合わせは、7−22行目のペイロードの64バイト全体が使用されることがない、特定のSCCパケット4000を示す。
−イーサタイプ「8847」 4行目の0−15ビット
−アウターラベル「..13」 5行目の0−4ビット
−チャネルタイプ「0x0002」 6行目の0−15ビット
−PID「15」 6行目の16−31ビット
それらのフィールドを解析するとともに、その所定の値を認識することによって、パケットアナライザ3210は、現在解析されているSCCパケット4000が64バイトまでのペイロードを運ぶ可能性を有すると認識することが可能である。この情報はパケットビルダー3220と共有され、パケットビルダー3220は、サービスチャネル情報が送信される場合、この時点において、SCCパケット4000内に64バイトまでのサービスチャネル情報を挿入可能であることを通知される。
図5には、本発明の一実施形態による、サービスチャネル情報を挿入するためにパケットビルダー3220によって担われた変更後における、1つの可能な変更されたSCCパケット5000の構造を概略的に示す。
この詳細の例においては、60バイトまでのサービスチャネル情報が8−22行目に挿入されている。残りの4バイトは、サービスチャネル情報に関係しない情報を運ぶために、5行目において使用されている。特に、この4バイトは、以下に説明するように、1つのアドレスを各々与えられている複数の異なる受信部(したがって、変更されたSCCパケット5000が自身に向けられているか否かを所与の受信部が認識可能である)に対し、変更されたSCCパケット5000が送られる場合に使用され得るアドレスを、変更されたパケット5000が運ぶことを可能とする。しかしながら、単一の受信部の場合においては、アドレスが必要でなく、したがって実装されなくてもよい場合があることも明らかであろう。また、この特定の例において示した4バイトの変更がアドレスを実装する1つの可能な方法に過ぎないこともまた明らかであり、当業者は異なるアドレス実装が可能であることを認識するであろう。
特に、SCCパケット4000と変更されたSCCパケット5000とを比較する場合、以下のフィールドは変更されていない:
−宛先MAC:これは受信部MACアドレスを定義する宛先MACアドレスであり、SCCパケット5000の正しいルーティングを可能にするように、それ自体は変化しないままである。
−送信元MAC:これはエミッタMACアドレスを定義するエミッタMACアドレスであり、SCCパケット5000の正しいルーティングを可能にするように、それ自体は変化しないままである。
−イーサタイプ:これはイーサネット(登録商標)のプロトコル・パケットのタイプを記述しており、一例として、8847はMPLSを表している。
−「0x0002」はチャネルタイプであり、https://tools.ietf.org/html/rfc5718において定義されている通り、SCCパケットに対する「2」に常に設定されている。
−「15」はPIDフィールド、すなわち、パケット識別子タイプである。これは、SCCメッセージと関連する通信プロトコルのタイプを識別する。
以下のフィールドは、SCCパケットの5行目および6行目を6行目および7行目に移動させることによって、5行目に追加される。これは1つの可能な実装に過ぎず、以下のフィールドは、SCCパケット4000の任意の部分に追加されることが可能である。追加されるフィールドは次の通りである。
−アウターLSP。ここでは、4行目の16−31ビットの元のアウターLSPは、5行目の16−31ビットに移動されており、上述のようにサービスチャネル情報のための宛先アドレスの部分として使用される。
−インナーLSP。これは、上述のようにサービスチャネル情報のための宛先アドレス送信部分として使用される。
−TC、すなわち、トラフィック・クラス(Traffic Class):これは、優先パケットレベルを定義する。使用の一例としては、装置がパケットの優先順位を決定する必要がある場合、優先順位決定プロセスは、TC識別に基づく。
−「0」:これは、S−ビットであり、次のフィールドがラベルから構成されるか否かに関する情報を提供する。提供されている例において、S−ビット値が「0」であることは、次のフィールドがインナーラベルから構成されていることを意味する。
−TTL:「生存時間(Time To Live)」は、パケットが、その寿命が終わりドロップされるより前にまだ有する時間を表す。IPパケットが送信される場合、そのTTLは通常では255であり、次いで各ホップにおいて1ずつデクリメントされる。
それらのフィールドは、上述のようなサービスチャネル情報のための宛先アドレスとして使用可能であるMPLSタグを、一緒に形成する。この場合において、サービスチャネル情報は、8行目から22行目におけるデータと、4行目の16−31ビットおよび5行目の0−15ビットにおける、そのデータのアドレスとを含む。述べた通り、当業者には、代替的なアドレスのコード化が使用されてもよいことは明らかであろう。また、いくつかの場合においては、サービスチャネル情報のための単一の受信部が存在するときには、アドレス決定が不要であることは明らかであろう。
これに代えてまたは加えて:
−8行目から22行目では、サービスチャネル情報がパケットビルダー3220によって60バイトまで必要に応じて追加されることが可能である。アドレス決定が用いられない場合、4行目および5行目のフィールドは変更されず、サービスチャネル情報がパケットビルダー3220によって64バイトまで必要に応じて追加されることが可能である。
理解されるように、SCC変更パケット5000の全体の大きさは、SCCパケット4000のそれと同じである。これは、有利には、パケットのレイテンシを変化させることなくサービスチャネル情報を送信することを可能にする。これに代えてまたは加えて、いくつかの実施形態においては、SCC変更パケット5000のサイズをSCCパケット4000のサイズに比べて増加させることも可能であってよい。特に、フレーム間のギャップが16バイトよりも大きい場合、そのことが暗号化ユニット3200によって認識されるとともに、認識されたフレーム間のギャップの値と最小値である16バイトとの間の差以下の数のビットがSCC変更パケット5000のサイズを増加させるために使用されてもよい。
変更されたSCCパケット5000は、復号ユニット3400において受信されると、様々な方式により認識されることが可能である。いくつかの実施形態の場合には、復号ユニット3400はパケットアナライザ3420において全てのSCCパケットを認識するとともに、所定の規約によって変更されているフィールド(上記の例示的な場合には、8−22行目ならびに4行目の16−31ビットおよび5行目の0−15ビット)を解析する。いくつかの他の実施形態の場合には、パケットアナライザ3420は初めに4行目の16−31ビットおよび5行目の0−15ビットにおけるアドレスを解析し、読み取られるアドレスと自身のアドレスとが対応すると判定したとき、8−22行目のデータのみを読み取る。上述した例を参照すると、パケットのアドレス(4行目の16−31ビットにおけるアウターLSPであることが可能である)が復号ユニット3400のアドレスに対応するとき、復号ユニットは、到来パケットが評価される必要があり、そのパケットに記憶されているサービスチャネル情報が復号ユニット3400にて使用されると結論づけることが可能である。さらに、それら両方の場合において、異なる種類のSCCパケットを受信する可能性があるので、それらのパケットすべての内容を解析する必要を避けるために、パケットアナライザ3420は、SCCパケットのタイプが暗号化ユニット3200によって使用されてよいSCCパケットのタイプに対応するか否かを判定するために、初めにSCCパケットのタイプを解析することも可能である。上の例において、暗号化ユニット3200は、送信されるサービスチャネル情報が存在する場合には、以下の組み合わせによるSCCパケットを使用することが可能である:
−イーサタイプ「8847」 4行目の0−15ビット
−アウターラベル「..13」 5行目の0−4ビット
−チャネルタイプ「0x0002」 6行目の0−15ビット
−PID「15」 6行目の16−31ビット。
初めにそれらの値を確認することによって、パケットアナライザ3420は、次いで、それらのSCCパケットの内容がそれらの基準に適合することだけを確認することが可能である。
この特定の種類のSCCパケットが使用され得るSCCパケットの1つの可能なSCCパケットに過ぎず、代替的なSCCパケットも本発明を実装するために使用されてもよいことは、明らかであろう。それらの代替的な場合において、パケットが使用可能であるか否かを判定するためにパケットアナライザ3210によって確認される所定のフィールドは、到来パケットの内容が評価される必要があるか否かを判定するためにパケットアナライザ3420によって確認される所定のフィールドと同じであろう。
さらなる代替的な実施形態においては、有利には、復号ユニット3420が変更されたSCCパケット5000を変更されていないSCCパケット4000から迅速に認識することを可能にするために、暗号化ユニット3200によって、PIDおよび/またはイーサタイプの(より一般的には任意のフィールドの)値が所定の値に(SCC規格によって想定されていない2つ以上のフィールドが変更される場合には所定の値の組み合わせに)設定されることが可能である。この方式では、復号ユニット3400は、変更されたSCCパケットを迅速にかつ効率的に認識することが可能である。それらの実施形態において、復号ユニット3400によってサービスチャネル情報が自身に向けられたものであることが検出された場合、復号ユニット3400が値(または値の組み合わせ)を規格によって想定されている値にリストアするように進行することも可能である。一例として、PID値は、暗号化ユニット3200によって15から14に変更され、復号ユニット3400によって15に戻されてもよい。
図6には、非限定的な特定の一実施形態における、サービスチャネル情報を送信するために使用されるパケットのタイプであることが可能であるESMC(イーサネット(登録商標)同期メッセージング・チャネル(ETHERNET(登録商標) Synchronization Messaging Channel))パケット6000の構造を概略的に示す。本発明の他の実施形態において用いられ得るESMCのパケットのより詳細な仕様は、それぞれのUIT−T Rec. G.8264規格内において見出されることが可能である。
ESMCパケット6000の実装は、既述のSCCパケット4000による例示的な実装と同様であることが可能である。特に、この場合には、ESMCパケット6000のいくつかのフィールドは、データを(また最終的にはアドレス情報を)それ自身が含むサービスチャネル情報を含むように変更可能であることも、明らかであろう。また、いくつかのフィールドは、ESMCパケット6000が変更されていることを信号により伝えるように、規格では予見されていない値または値の組み合わせを有するように変更されてよいことも、明らかであろう。さらに、様々なタイプのESMCパケット6000が本発明の実装のために使用可能であることも明らかであろう。
図6に示した例示的な実施形態においては、適切なESMCパケットを認識するように所定の値を認識するためにパケットアナライザによって評価されるフィールドは以下であることが可能である:
−スロープロトコル(slow protocol)・イーサタイプ。所定値である0x88−09に等しい
−スロープロトコル・サブタイプ。所定値である0x0aに等しい
−ITU−OUI。所定値である00−19−a7に等しい。
SCCに関して以前に述べたように、この場合においてもまた、この特定の組み合わせは1つの可能な実装に過ぎず、本発明はこれに限定されない。
そのような特定の組み合わせの1つの利点は、この組み合わせによって識別されるESMCパケット6000が現在使用されていない「将来の強化TV(future enhancement TV)」のための利用可能なスペースを第32バイト−第1486バイトに備えることにある。このスペースは、サービスチャネル情報を送信するために使用されることが可能である。どれくらいのスペースが利用可能であるかを既に知っていることによって、本発明は、有利には、サービスチャネル情報のサイズを利用可能な全スペースまでにすることが可能である。
図7には、特定の非限定的な一実施形態における、サービスチャネル情報を送信するために使用されるパケットのタイプであることが可能である、BFDパケット7000の構造を概略的に示す。本発明の他の実施形態で使用され得るBFDパケットのより詳細な仕様は、https://tools.ietf.org/html/rfc5880において利用可能な、それぞれのRFC5880規格において見出されることが可能である。
この場合においてもまた、実装は、既述のSCCパケット4000および/またはESMCパケット6000の例示的な実装と同様であることが可能である。特に、この場合においても、BFDパケット7000のいくつかのフィールドは、データを(また最終的にはアドレス情報を)それ自身が含むサービスチャネル情報を含むように変更可能であることも明らかであろう。また、いくつかのフィールドは、BFDパケット7000が変更されているということを信号によって伝えるように、規格では予見されていない値または値の組み合わせを有するように変更されてよいことも明らかであろう。さらに、様々なタイプのBFDパケット7000が本発明の実装のために使用可能であることも明らかであろう。
図7に示した例示的な実施形態においては、適切なESMCパケットを認識するように所定の値を認識するためにパケットアナライザによって評価されるフィールドは以下であることが可能である:
−イーサタイプ。0x8847に等しい
−チャネルタイプ。0x0007に等しい
−PID。0x21に等しい。
図3Cには、本発明の一実施形態による暗号ユニット3500を概略的に示す。
特に、暗号ユニット3500は、所定の暗号プロトコルによって1つ以上のパケットP1,P2を復号するおよび/または復号するように構成されており、該所定の暗号プロトコルはサービスチャネル情報の交換を必要とし、サービスチャネル情報は第1のビット長を有する。
暗号ユニット3500はパケット受信部3510を備える。パケット受信部3510は、パケットP1,P2のうちの1つ以上がサービスチャネル情報を含むか否かを判定するとともに、パケットP1,P2からサービスチャネル情報を除去するように構成されている。すなわち、パケット受信部3510は、先述したパケットアナライザ3420とパケットリーダー3430との組み合わせとして動作する。
暗号ユニット3500は、さらに、先述した暗号化エンジン3230および復号エンジン3410と同様の方式により、パケットP1,P2を暗号化および/または復号するように構成されている、暗号化/復号エンジン3520を備える。
暗号ユニット3500は、パケット発信部3530をさらに備える。パケット発信部3530は、パケットP1,P2のうちの1つ以上が不使用ビットを有するか否かを認識するとともに、不使用ビットの数が第1のビット長以上である場合にパケットP1,P2にサービスチャネル情報を挿入するように構成されている。すなわち、パケット発信部3530は、先述したパケットアナライザ3210とパケットビルダー3220との組み合わせとして動作する。
いくつかの有利な実施形態においては、パケット発信部3530に関するパケットアナライザ3210の機能は、パケット受信部3510のパケットアナライザ3420によって実行されることが可能である。特に、パケット受信部3510のパケットアナライザ3420は、パケットP1,P2がサービスチャネル情報を含むか否かを判定することが可能であるので、それによってパケット発信部3530に通知を行うことが可能である(この情報がパケットリーダー3430によって抽出され、それによって、続いてパケット発信部3530に対し転送されるパケットP1,P2にスペースが残るので)。
暗号ユニット3500は、したがって、有利には、パケットP1,P2のレイテンシを変化させることなく、サービスチャネル情報を受信および/または送信することを可能にする。これは、特に、パケットの送信および受信の両方が行われるネットワークポイントにおいて使用される場合に有利である。
さらに別の実施形態においては、暗号化されたチャネル1300は、複数の論理的に暗号化されたチャネルを含む単一の物理的なチャネルであることが可能である。論理的に暗号化されたチャネルの各々は、所与の暗号化ユニット3200と所与の復号ユニット3400との間において、または、任意の2つの暗号ユニット3500の間において確立されることが可能である。この場合において、サービスチャネル情報は、論理的に暗号化されたチャネルおよび/またはサービスチャネル情報の宛先である復号ユニット3400(または暗号ユニット3500)を識別するための情報を含む。この情報は部分的なものであることが可能であり、例えば、上述したサービスチャネル情報のアドレス構成要素の一部であることが可能である。
一例として、複数の暗号ユニット3500が連続して接続され(暗号ユニットA,B,Cなど)、暗号ユニットの各対の間に、複数の論理的に暗号化されたチャネル(AB間のチャネルC1,C2、BC間のチャネルC3,C4など)を含む1つの物理的なチャネル1300を形成することが可能である。この例示的な構成において、サービスチャネル情報は、暗号ユニット3500A,B,C間において、任意の論理的に暗号化されたチャネルC1−C4に関連して交換されてよい。任意の所与の暗号ユニット3500において、暗号ユニット3500は、到来パケットが変更されているパケットであるか否かを認識するとともに、変更されているパケットが自身に向けられているか否かを評価するべく、到来パケットを検査することが可能である。変更されているパケットが自身に向けられている場合、暗号ユニット3500は、サービスチャネル情報の内容を抽出し、サービスチャネル情報の挿入時に実行された変更を除去することによって、そのパケットを元の構成に戻し、受信したサービスチャネル情報をその情報が関連する特定の論理的に暗号化されたチャネルに適用するように進行することが可能である。これに代えてまたは加えて、サービスチャネル情報が複数の暗号ユニット3500に対して向けられている場合、または他の暗号ユニット3500に対して向けられている場合、暗号ユニット3500は、パケットを変更することなく、そのパケットを転送することが可能である。
本発明について、本発明の様々な可能な実装をより明らかにする目的のため、個別の実施形態に関して述べている。しかしながら、本発明が特許請求の範囲によって定義されること、また、任意の詳細に示した実施形態に限定されないことは明らかであろう。さらにまた、異なる複数の実施形態の異なる特徴を組み合わせることによって、当業者には明らかであろうように、本発明のさらなる追加の実施形態が得られる。
1000:ネットワーク
1100:送信部
1200:暗号化ユニット
1300:暗号化されたチャネル
1400:復号ユニット
1500:受信部
3000:ネットワーク
3200:暗号化ユニット
3210:パケットアナライザ
3220:パケットビルダー
3230:暗号化エンジン
3400:復号ユニット
3410:復号エンジン
3420:パケットアナライザ
3430:パケットリーダー
3500:暗号ユニット
3510:パケット受信部
3520:暗号化/復号エンジン
3530:パケット発信部
4000:SCCパケット
5000:SCC変更パケット
6000:ESMCパケット
7000:BFDパケット

Claims (7)

  1. 所定の暗号プロトコルによって1つ以上のパケット(P1,P2)を暗号化するための暗号化ユニット(3200)であって、前記所定の暗号プロトコルは、サービスチャネル情報を交換することを必要とし、前記サービスチャネル情報は第1のビット長を有し、
    1つ以上のパケット(P1,P2)が不使用ビットを有するか否かを認識するように構成されているパケットアナライザ(3210)と、
    前記不使用ビットの数が前記第1のビット長以上である場合、前記パケット(P1,P2)にサービスチャネル情報を挿入するように構成されているパケットビルダー(3220)と、
    前記所定の暗号プロトコルによって前記パケット(P1,P2)を暗号化するように構成されている暗号化エンジン(3230)と、を備える暗号化ユニット。
  2. 前記パケットアナライザ(3210)は、前記パケット(P1,P2)が不使用ビットを有するか否かを、
    −前記パケット内に所定の値を認識することと、
    −前記パケットの1つ以上のフィールドについて特定の値を認識することと、
    のうちの1つ以上によって認識するように構成されている、請求項1に記載の暗号化ユニット。
  3. 前記パケット(P1,P2)は、SCCパケット(5000)、ESMCパケット(6000)、またはBFDパケット(7000)である、請求項1に記載の暗号化ユニット。
  4. 前記サービスチャネル情報は、データ、該データに対するアドレス、またはその両方を含む、請求項1に記載の暗号化ユニット。
  5. 所定の暗号プロトコルによって1つ以上のパケット(P1,P2)を復号するための復号ユニット(3400)であって、前記所定の暗号プロトコルは、サービスチャネル情報を交換することを必要とし、前記サービスチャネル情報は第1のビット長を有し、
    前記パケット(P1,P2)を復号するように構成されている復号エンジン(3410)と、
    前記パケット(P1,P2)のうちの1つ以上が前記サービスチャネル情報を含むか否かを判定するように構成されているパケットアナライザ(3420)と、
    前記パケット(P1,P2)から前記サービスチャネル情報を除去するように構成されているパケットリーダー(3430)と、を備える復号ユニット。
  6. 前記パケットアナライザ(3420)は、前記パケット(P1,P2)が前記サービスチャネル情報を含むか否かを、
    −前記パケット内に所定の値を認識することと、
    −前記パケットの1つ以上のフィールドについて特定の値を認識することと、
    のうちの1つ以上によって認識するように構成されている、請求項5に記載の復号ユニット。
  7. 所定の暗号プロトコルによって、1つ以上のパケット(P1,P2)を復号するおよび/または復号するための暗号ユニット(3500)であって、前記所定の暗号プロトコルはサービスチャネル情報の交換を必要とし、前記サービスチャネル情報は第1のビット長を有し、
    前記パケット(P1,P2)のうちの1つ以上がサービスチャネル情報を含むか否かを判定し、前記パケット(P1,P2)からサービスチャネル情報を除去するように構成されているパケット受信部(3510)と、
    前記パケット(P1,P2)の暗号化、復号、またはその両方を行うように構成されている暗号化/復号エンジン(3520)と、
    前記パケット(P1,P2)のうちの1つ以上が不使用ビットを有するか否かを認識し、前記不使用ビットの数が前記第1のビット長以上である場合、前記パケット(P1,P2)にサービスチャネル情報を挿入するように構成されているパケット発信部(3530)と、を備える暗号ユニット。
JP2020514344A 2017-05-18 2018-05-18 フレームのプロパティを活用する設定可能なサービスパケットエンジン Pending JP2020520617A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17171773.9A EP3404867B1 (en) 2017-05-18 2017-05-18 Configurable service packet engine exploiting frames properties
EP17171773.9 2017-05-18
PCT/EP2018/063200 WO2018211110A1 (en) 2017-05-18 2018-05-18 Configurable service packet engine exploiting frames properties

Publications (1)

Publication Number Publication Date
JP2020520617A true JP2020520617A (ja) 2020-07-09

Family

ID=58992622

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020514344A Pending JP2020520617A (ja) 2017-05-18 2018-05-18 フレームのプロパティを活用する設定可能なサービスパケットエンジン

Country Status (6)

Country Link
US (1) US20200076773A1 (ja)
EP (1) EP3404867B1 (ja)
JP (1) JP2020520617A (ja)
KR (1) KR20200007966A (ja)
CN (1) CN110663217A (ja)
WO (1) WO2018211110A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10855694B2 (en) * 2017-05-30 2020-12-01 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
US11190417B2 (en) 2020-02-04 2021-11-30 Keysight Technologies, Inc. Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US10911267B1 (en) 2020-04-10 2021-02-02 Apple Inc. Data-enable mask compression on a communication bus
US11677864B2 (en) * 2020-12-16 2023-06-13 International Business Machines Corporation Communicating network flow data using a network protocol
CN113254975B (zh) * 2021-06-15 2021-09-28 湖南三湘银行股份有限公司 数字金融数据分享方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5751723A (en) * 1996-07-01 1998-05-12 Motorola, Inc. Method and system for overhead bandwidth recovery in a packetized network
US5944843A (en) * 1997-08-21 1999-08-31 Hewlett-Packard Company Method and apparatus for using the unused bits of a data packet to transmit additional information

Also Published As

Publication number Publication date
US20200076773A1 (en) 2020-03-05
KR20200007966A (ko) 2020-01-22
EP3404867B1 (en) 2020-01-08
EP3404867A1 (en) 2018-11-21
WO2018211110A1 (en) 2018-11-22
CN110663217A (zh) 2020-01-07

Similar Documents

Publication Publication Date Title
JP2020520617A (ja) フレームのプロパティを活用する設定可能なサービスパケットエンジン
US10104047B2 (en) Method and system for encrypting/decrypting payload content of an OTN frame
US9596075B2 (en) Transparent serial encryption
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US5235644A (en) Probabilistic cryptographic processing method
US5070528A (en) Generic encryption technique for communication networks
US5594869A (en) Method and apparatus for end-to-end encryption of a data packet in a computer network
KR100594153B1 (ko) 점대다 토폴로지의 네트워크에서 논리링크의 형성과 그보안 통신 방법
US5099517A (en) Frame status encoding for communication networks
CN111010274B (zh) 一种安全低开销的SRv6实现方法
JPH11331310A (ja) データ伝送制御方法及びデータ伝送システム
CN1938980A (zh) 用于密码加密处理数据的方法和设备
CN110352586B (zh) 用于保留网络中的数据分组的相对定时和排序的方法和装置
US10826876B1 (en) Obscuring network traffic characteristics
US7239634B1 (en) Encryption mechanism in advanced packet switching system
JP6529694B2 (ja) 転送装置および通信ネットワーク
EP3605963B1 (en) Data processing method and apparatus
US7962741B1 (en) Systems and methods for processing packets for encryption and decryption
CN114826748B (zh) 基于rtp、udp及ip协议的音视频流数据加密方法和装置
KR101457455B1 (ko) 클라우드 네트워크 환경에서의 데이터 보안 장치 및 방법
JP2017139728A (ja) 通信装置、暗号通信システム、暗号通信方法およびプログラム
Chouhan Implementation of present cryptographical algorithm for the encryption of messages in NETFPGA 1G
JPH0677954A (ja) 任意選択的ステータスエンコーディングを有する暗号処理装置及び方法
WO2023228623A1 (ja) 暗号化システムおよび暗号化方法
US20240015009A1 (en) AUTOMATIC IN-BAND MEDIA ACCESS CONTROL SECURITY (MACsec) KEY UPDATE FOR RETIMER DEVICE