JP3816850B2 - MAC bridge device and terminal device - Google Patents

MAC bridge device and terminal device Download PDF

Info

Publication number
JP3816850B2
JP3816850B2 JP2002264216A JP2002264216A JP3816850B2 JP 3816850 B2 JP3816850 B2 JP 3816850B2 JP 2002264216 A JP2002264216 A JP 2002264216A JP 2002264216 A JP2002264216 A JP 2002264216A JP 3816850 B2 JP3816850 B2 JP 3816850B2
Authority
JP
Japan
Prior art keywords
mac
frame
encryption
bridge
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002264216A
Other languages
Japanese (ja)
Other versions
JP2004104500A (en
Inventor
尚久 渋谷
大輔 滝
真孝 後藤
雅裕 高木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002264216A priority Critical patent/JP3816850B2/en
Publication of JP2004104500A publication Critical patent/JP2004104500A/en
Application granted granted Critical
Publication of JP3816850B2 publication Critical patent/JP3816850B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、複数のMACブリッジから構成されるLANにおいて、エンド端末が送受信するMACフレームをLAN内の任意の位置に接続された任意の処理(例えば暗号化処理)を行う追加されたMACブリッジを経由して、例えば暗号化通信を実現する通信方法とブリッジ装置及び端末装置に関する。
【0002】
【従来技術】
無線LAN(Local Area Network)、例えば従来のIEEE802.11方式の無線LANでは、有線LANと同等のセキュリティを実現することを目的として、無線LAN上で送受信されるデータフレームを暗号化する機能が備えられている。暗号化の方式としては、IEEE802.11の中でWEP(Wired Equivalent Privacy)が仕様化されている。WEPを用いたLANの具体的な構成は、例えば特許文献1に記載されている。このような無線LANシステムにおける認証技術については例えば特許文献1に記載され、また無線LANにおける暗号鍵の更新の手法については特許文献2に記載されている。最近では、WEPによる暗号化アルゴリズムの脆弱性が問題にされ始めている。
【0003】
この問題の対策として、LAN内に新たな暗号化機能を導入することが考えられる。具体的な方法としては、無線LAN基地局、MAC(Media Acess Control)ブリッジ及びルータといった既設の機器に、新規暗号化機能を追加する形態が考えられる。しかし、これら既設の機器が専用ハードウエアで構成されている場合には、当該機器の開発ベンダー以外の第三者、例えばLANセグメントを運用・管理している管理者が当該機器に新たな機能を追加することは困難である。
【0004】
そこで、無線LAN基地局を包含するLAN内の任意の位置に、新規暗号化機能を持つMACブリッジを設置する方法が考えられる。具体的には、新規暗号化機能を持つMACブリッジを既設の無線LAN基地局とルータとの間の任意の位置に設置する。
【0005】
【特許文献1】
特開2001−111544号公報
【0006】
【特許文献2】
特開2001−111543号公報
【0007】
【発明が解決しようとする課題】
上述したような無線LAN基地局を含めた複数のMACブリッジから構成されるLANにおいて、新規暗号化機能を有するMACブリッジを既設の無線LAN基地局とルータとの間に設置する形態では、以下のような問題が発生する。
【0008】
同一の無線LAN基地局に接続している端末どうしが通信を行う場合には、無線LAN基地局のMACブリッジ機能によって、端末間でやりとりするMACフレームはブリッジ処理により折り返されて転送されてしまう。このため、新規暗号化機能を有するMACブリッジには、端末間でやりとりするMACフレームが届かず、追加されたMACブリッジによる新規暗号化機能を用いた通信を行うことができない。
【0009】
本発明は、無線LANに備えられている暗号機能とは別の新規暗号機能のような所定の処理を行うブリッジ装置を用いた端末間通信を可能とする通信方法とブリッジ装置及び端末装置を提供することを目的とする。
【0015】
【課題を解決するための手段】
本発明の一観点に係るMACブリッジ装置は、LANに接続し、前記LAN内の無線LAN端末から送信されたブロードキャスト宛の第1データMACフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化MACフレームを受信する手段と、
受信された前記第1カプセル化MACフレームから前記第1データMACフレームを抽出する手段と、抽出された前記第1データMACフレームが前記LAN内のブロードキャスト宛のMACフレームである場合に、該第1データMACフレームを暗号化して前記LAN内の複数の外部装置宛の第2ヘッダの付加によってカプセル化してユニキャストMACフレームである複数の第2カプセル化データを生成する手段と、生成された前記複数の第2カプセル化データを前記複数の外部装置へ送信する手段とを具備する。
【0017】
本発明の一観点に係る端末装置は、送信すべきデータMACフレームがLAN内のブロードキャスト宛のMACフレームである場合に該ブロードキャストMACフレームを外部ブリッジ装置を宛先とするヘッダの付加によりユニキャストMACフレームにカプセル化してカプセル化MACフレームを生成する手段と、
生成された前記カプセル化MACフレームを前記外部ブリッジ装置へ送信する手段とを具備する。
【0018】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を説明する。
(第1の実施形態)
本実施形態は、LAN内のエッジに位置するエンド端末間の通信において、端末から送信するデータまたは端末が受信するデータがLAN内の任意の位置に新たに設置されたMACブリッジとの間で暗号化処理されて送受信され、かつLANを構成するMAC層がIEEE802.11、IEEE802.3、あるいはイーサネット(R)等を含む一般的なLAN構成において適用可能である。
【0019】
図1に、本実施形態に係るネットワークの構成例を示す。本実施形態のネットワークには、暗号化対応MACブリッジ100、複数の端末(STA)200,210、有線間マルチポートMACブリッジ300、有線・無線間MACブリッジ(無線LAN基地局)310,320、アクセスルータ(RT)400、認証サーバ(AS)500、通信相手端末(CN)600及びバックボーンネットワーク(BN)700が含まれる。
【0020】
図1では3つのMACブリッジ300,310,320が示されているが、その他のMACブリッジが同一LAN内に存在してよい。MACブリッジ300,310,320間を接続する構成は、図1に限定されない。認証サーバ500はバックボーンネットワーク700に接続されているが、接続される位置はこれに限定されるものではない。認証サーバ500を独立した装置と存在させず、暗号化対応MACブリッジ100に縮退させた構成も考えられる。
【0021】
端末200,210は、例えばIEEE802.11規格の無線LANを用いてLANに接続される端末であり、無線LAN基地局310,320の間をハンドオフすることも可能である。端末200,210がLANに接続するために使用する通信手段は、IEEE802.11の無線LANに限定されるものではなく、例えばIEEE802.3またはイーサネット(R)といった通信方式で接続していてもよい。通信相手端末600は、端末200,210と通信を行う端末である。通信相手端末600は、図1ではバックボーンネットワーク700の先の存在しているが、同一LAN内の他の端末が端末200,210との通信相手であってもよい。
【0022】
次に、図2〜図4を用いて図1の主要部の詳細な構成を説明する。
(暗号化対応MACブリッジ100について)
暗号化対応MACブリッジ100は、端末200,210との間で暗号化通信を行うMACブリッジであり、図2の下側に示されているように第1及び第2のネットワークインタフェース101,102、鍵管理部103、暗号化/復号化部104、暗号鍵テーブル105、カプセル化部106、ブリッジ処理部107及びブリッジテーブル108を有する。
【0023】
第2のネットワークインタフェース102は、LAN上で当該インタフェース102を一意に識別するためのMACIDであるMACID_MACBR100を持つ。第1のネットワークインタフェース101は、第2のネットワークインタフェースとは別のMACIDを持っていてもよい。図2では2個のネットワークインタフェース101,102のみ示しているが、これ以外のネットワークインタフェースを持っていてもよい。
【0024】
鍵管理部103は、認証サーバ500を用いて端末200,201を認証し、暗号化/復号化部104で使用する端末200,210毎に割り当てた鍵を動的に交換する。暗号化/復号化部104は、端末200,210宛のMACフレームを暗号化し、また端末200,210から受信した暗号化されているMACフレームを復号化する。暗号鍵テーブル105には、暗号化/復号化部104で使用する鍵が格納されている。
【0025】
カプセル化/逆カプセル化部106は、端末200,210から送信されてきたカプセル化されているMACフレームから、カプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行い、また端末200,210に送信すべき暗号化したMACフレームを端末宛200,210のMACフレームとしてカプセル化する。
【0026】
ブリッジ処理部107は、各ネットワークインタフェース間のブリッジ処理(転送処理)を行う。ブリッジ処理部107がどのネットワークインタフェースにデータを転送すべきかの情報は、ブリッジテーブル108に格納されている。
【0027】
(端末200,210について)
端末200は、図3(a)に示されるようにIEE802.11に対応した無線LAN用のネットワークインタフェース201、鍵管理部202、暗号化/復号化部203、暗合鍵テーブル204及びカプセル化/逆カプセル化部205を有する。同様に、もう一つの端末210も図3(b)に示されるようにネットワークインタフェース211、鍵管理部212、暗号化/復号化部213、暗合鍵テーブル214及びカプセル化/逆カプセル化部215を有する。端末200,210は、それぞれのネットワークインタフェース201,211を一意に示すMACID_STA200, MACID_STA210を持っている。
【0028】
鍵管理部202,212は、それぞれ認証サーバ500による端末200,210の認証が成功した場合に、暗号化/復号化部202,212でそれぞれ使用する鍵を動的に交換する。暗号化/復号化部202,212は、MACフレームを暗号化し、また暗号化されているMACフレームを復号化する。暗号鍵テーブル204,214には、暗号化/復号化部203,213で使用する鍵が格納されている。カプセル化/逆カプセル化部205,215は、暗号化したMACフレームを暗号化対応MACブリッジ100宛のMACフレームとしてカプセル化し、また受信したMACフレームからカプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行う。
【0029】
(有線間マルチポートMACブリッジ300について)
有線間マルチポートMACブリッジ(スイッチ)300は、暗号化対応MACブリッジ100とバックボーンネットワーク700との間に挿入され、有線間の転送制御を行うマルチポートのMACブリッジである。図2の上側に示されるように、有線間マルチポートMACブリッジ300は任意の数のネットワークインタフェース301,302,305と、各ネットワークインタフェース301,302,305間のデータ転送を処理するためのブリッジ処理部303、及びネットワークインタフェース301,302,305のいずれにデータを転送すべきかの情報を保持するブリッジテーブル304を有する。
【0030】
(有線・無線間MACブリッジ310について)
有線・無線間MACブリッジ310は、有線側である暗号化対応MACブリッジ100と無線側との間に挿入され、有線・無線間の転送制御を行うMACブリッジ(無線LAN基地局)である。有線・無線間MACブリッジ310は、図4に示すように有線側及び無線側にそれぞれ第1及び第2のネットワークインタフェース311,312を有し、無線側にある第2のネットワークインタフェース312は、IEEE802.11上で自身を一意に表すMACIDであるMACID_MACBR310を持つ。図4中には、有線及び無線用のネットワークインタフェース311,312をそれぞれ一つずつ示しているが、それぞれの数はこれに限定されるものではなく、二つ以上あっても構わない。
【0031】
有線・無線間MACブリッジ310は、さらに有線間マルチポートMACブリッジ300と同様に、各ネットワークインタフェース311,312間のデータ転送を処理するためのブリッジ処理部313、及びネットワークインタフェース311,312のいずれにデータを転送すべきかの情報を保持するブリッジテーブル314を有する。
【0032】
もう一つの有線・無線間MACブリッジ320も、有線・無線間MACブリッジ310と同等の構成及び機能を持つ無線LAN基地局である。図1では、端末200,210が複数の無線LAN基地局間をハンドオフ可能であることを示すために、このように複数の有線・無線間MACブリッジ310,320を図示している。
【0033】
(アクセスルータ400について)
アクセスルータ400は、当該LANとバックボーンネットワークバックボーンネットワーク700との間でルーティングサービスを行う装置であり、内蔵しているLAN側のネットワークインタフェース(図示せず)を一意に表すMACIDとして、MACID_RT400を持つ。
【0034】
(認証サーバ500について)
認証サーバ500は、暗号化対応MACブリッジ100からの認証要求により端末200,210の認証を行い、認証の成功時に必要な鍵を生成し、その鍵を暗号化対応MACブリッジ100及び認証された端末へ配布する。
【0035】
(端末600について)
通信相手端末(CN)600は、端末200,210の通信相手となる端末の一つであり、バックボーンネットワーク700を経由して接続されている。
【0036】
図5には、暗号化対応MACブリッジ100内の暗号鍵テーブル105及び端末200,210内の暗号鍵テーブル204,214の具体例を示す。暗号化対応MACブリッジ100内の暗号鍵テーブル105は、端末200,210のユニキャスト通信用の暗号鍵としてKEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の端末200,210に共通のKEY−BCASTを含む。端末200,210内の暗号鍵テーブル204,214は、それぞれユニキャスト通信用の暗号鍵KEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の各端末共通で使用するKEY-BCASTを含む。
これらの暗号鍵テーブル105,204,214に含まれる暗号鍵は、認証サーバ500での端末200,210認証の成功の結果、認証サーバ500から配布される。これらの暗号鍵は動的に更新されてもよい。
【0037】
図6に示すように、MACブリッジ100,300,310内のブリッジテーブル108,304,314は、それぞれアクセスルータ400のMACIDであるMACID_RT400、端末200,210のMACIDであるMACID_STA200, MACID_STA210を含む。これらのブリッジテーブル108,304,314は、それぞれアクセスルータ400,端末200,210から送信されたMACフレームをMACブリッジ100,300,310が受信することによって自動的に学習される。
【0038】
次に、本実施形態における通信手順について述べる。
まず、図7、図8及び図9を参照して端末200から端末210にデータを送信するユニキャスト送信のシーケンスについて説明する。
最初に、端末200は暗号化対応MACブリッジ100と認証サーバ500との間で、認証及び鍵交換を行う(ステップS100)。この時使用される認証及び鍵交換の方法は、特定の方式に限定されるものではないので、ここでは省略する。ただし、これらのメッセージ交換を通して、端末200と暗号化対応MACブリッジ100はそれぞれ互いのMACIDであるMACID_STA200, MACID_MACBR100を知るものとする。このシーケンスには、認証及び鍵交換のために複数のメッセージ交換を含んでもよい。MACブリッジ300,310でのブリッジ処理、アクセスルータ400によるルーティング処理によって、端末200、暗号化対応MACブリッジ100及び認証サーバ500の間で、一連のメッセージの交換が行われる。
【0039】
ステップS100での認証及び鍵交換が成功した場合、端末200及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル204,105に取得した暗号鍵を設定する(ステップS101,S102)。
同様に、もう一つの端末210は暗号化対応MACブリッジ100及び認証サーバ500との間で認証及び鍵交換を行い(ステップS103)、認証及び鍵交換が成功した場合、端末210及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル214,105に取得した暗号鍵を設定する(ステップS104,S105)。
【0040】
ここまでのシーケンスで、図5に示した暗号鍵テーブル105,204,214が設定される。また、上述した一連のメッセージ交換で発生したMACブリッジ100,300,310でのブリッジ処理により、各MACブリッジ100,300,310内のブリッジテーブル108,304,314が図6で示されるように設定される。この段階では、端末200,210からのデータを含むMACフレームが有線間マルチポートMACブリッジ300に到達することはないので、MACブリッジ300内のブリッジテーブル304には、端末200,210のMACIDのエントリは含まれない。
【0041】
次に、端末200は以下のような端末210宛のユニキャスト送信データ処理を行う(ステップS110)。まず、端末200は端末210宛の図8(a)に示すイーサネット(R)フレーム3000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化されたイーサネット(R)フレームをカプセル化/逆カプセル化部205に渡し、認証及び鍵交換で得られたトンネルすべき相手先である暗号化対応MACブリッジ100宛の図8(b)に示すIEEE802.11フレーム3100としてカプセル化する。図8(b)のIEEE802.11フレーム3100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 は、それぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先が暗号化対応MACブリッジ100となっている。
【0042】
次に、端末200はステップS110で生成された最終宛先を暗号化対応MACブリッジ100とするIEEE802.11フレーム3100を有線・無線間MACブリッジ310へ送信する(ステップS111)。
【0043】
一方、IEEE802.11フレーム3100を受信した有線・無線間MACブリッジ310では、当該フレーム3100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム3100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3100をその内容に応じて図8(c)に示す暗号化対応MACブリッジ100宛のイーサネット(R)フレーム3200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS112)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS113)。
【0044】
自身宛のイーサネット(R)フレーム3200を受信した暗号化対応MACブリッジ100では、受信したイーサネット(R)フレーム3000からカプセル化/逆カプセル化部106によって、暗号化されているイーサネット(R)フレーム3210を抽出する。暗号化対応MACブリッジ100は、受信したイーサネット(R)フレーム3200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム3210を復号化する。
【0045】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS114)。すなわち、暗号化対応MACブリッジ100は復号化されたイーサネット(R)フレーム3000の宛先が端末210であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム3000が第2のネットワークインタフェース101に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105を再度検索することによって端末210用の暗号鍵がKEY-UCAST_STA210であることを知ると、この暗号鍵KEY-UCAST_STA210を用いて、復号化されたイーサネット(R)フレーム3000を暗号化/復号化部104によって暗号化する。
【0046】
この後、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部104によって図9(a)に示す端末210宛のイーサネット(R)フレーム3300としてカプセル化し、有線・無線間MACブリッジ310へ送信する(ステップS115)。
【0047】
イーサネット(R)フレーム3300を受信した有線・無線間MACブリッジ310は、当該フレーム3300の最終宛先が端末210であり、またブリッジテーブル314を検索することによって、第2のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3300を図9(b)に示すIEEE802.11フレーム3400に変換し(ステップS116)、第2のネットワークインタフェース312から端末210へ送信する(ステップS117)。
【0048】
自身宛のIEEE802.11フレーム3400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム3410を抽出し、それを暗号化/復号化部213によって暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて復号化する。復号化されたイーサネット(R)フレーム3000は、端末200から自身宛に送信されたイーサネット(R)フレームであることから上位層に渡し、これで受信処理が完了する(ステップS118)。
【0049】
次に、図10及び図11を参照して端末200から通信相手端末600にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のような通信相手端末600宛のユニキャスト送信データ処理を行う(ステップS200)。すなわち、端末200は通信相手端末600にデータの送信を行うためにアクセスルータ400宛の図11(a)に示すイーサネット(R)フレーム4000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。
【0050】
さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、対応MACブリッジ100宛の図11(b)に示すIEEE802.11フレーム4100としてカプセル化する。図11(b)に示すIEEE802.11フレーム4100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先はMACID_RT500で示される有線・無線間MACブリッジ310となっている。
【0051】
次に、端末200はステップS200で生成されたIEEE802.11フレーム4100を有線・無線間MACブリッジ310へ送信する(ステップS201)。
一方、IEEE802.11フレーム4100を受信した有線・無線間MACブリッジ310では、当該フレーム4100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム4100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム4100をその内容に応じて暗号化対応MACブリッジ100宛の図11(c)に示すイーサネット(R)フレーム4200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS202)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS203)。
【0052】
自身宛のイーサネット(R)フレーム4200を受信した暗号化対応MACブリッジ100は、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム4200から図11(c)中に示す暗号化されているイーサネット(R)フレーム4210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム4200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム4210を復号化する。
【0053】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS204)。すなわち、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000の宛先がアクセスルータ400であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム4000が第1のネットワークインタフェース101に転送すべきであることを知る。この結果、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェースから有線間マルチポートMACブリッジ300へ送信する(ステップS205)。
【0054】
イーサネット(R)フレーム4000を受信した有線間マルチポートMACブリッジ300は、当該フレームの最終宛先がアクセスルータ400であり、またブリッジテーブル314を検索することによって、受信したイーサネット(R)フレーム4000が第1のネットワークインタフェース301へブリッジすべきであることを知ると、受信したイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェース301からアクセスルータ400へ送信する(ステップS206,S207)。
【0055】
自身宛のイーサネット(R)フレーム4000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、バックボーンネットワーク700へルーティング処理して送信する(ステップS208,S209)。
以降、バックボーンネットワーク700内をルーティングされた上位層のパケットは、最終的に通信相手端末600へ転送され、通信相手端末600で受信処理されて処理が完了する(ステップS210)。
ルーティングを行う上位層のプロトコルには、例えばインタネットで使用されるIP(Internet Protocol)が使用されるが、これに限定されるものではない。
【0056】
次に、図12、図13及び図14を参照して端末200からブロードキャスト宛にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のようなブロードキャスト宛の送信データ処理を行う(ステップS300)。
【0057】
まず、端末200は図13(a)に示すブロードキャスト宛のイーサネット(R)フレーム5000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、暗号化対応MACブリッジ100宛の図13(b)に示すIEEE802.11フレーム5100としてカプセル化する。図13(b)に示すIEEE802.11フレーム5100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先は暗号化対応MACブリッジ100となっている。
次に、端末200はステップS300で生成されたIEEE802.11フレーム5100を有線・無線間MACブリッジ310へ送信する(ステップS301)。
【0058】
一方、IEEE802.11フレーム5100を受信した有線・無線間MACブリッジ310では、当該フレーム5100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム5100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム5100をその内容に応じて暗号化対応MACブリッジ100宛の図13(c)に示すイーサネット(R)フレーム5200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS302)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS303)。
【0059】
一方、自身宛のイーサネット(R)フレーム5200を受信した暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS304)。すなわち、暗号化対応MACブリッジ100では、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム5200から図13(c)中に示す暗号化されているイーサネット(R)フレーム5210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム5200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム5210を復号化する。
【0060】
暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム5000の宛先アドレスがブロードキャスト宛であることから、当該フレーム5000が第1及び第2のネットワークインタフェース101,102に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105に含まれるブロードキャスト用の暗号鍵KEY-BCASTを再度用いて、復号化したイーサネット(R)フレーム5000を暗号化/復号化部104によって暗号化する。次に、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部106によってブロードキャスト宛の図14(a)に示すイーサネット(R)フレーム5300にカプセル化する。
【0061】
次に、暗号化対応MACブリッジ100は図14(a)に示すカプセル化されたイーサネット(R)フレーム5300第2のネットワークインタフェース102から送信し(ステップS310)、一方、復号化したイーサネット(R)フレーム5000を第1のネットワークインタフェース102からそのままブロードキャスト宛に送信する(ステップS320)。
【0062】
IEEE802.11の無線LANは無線の性質上、例えばビット誤り等によりMACフレームの送信を失敗することがあるが、ブロードキャストフレームの場合、送信に失敗した場合でもMACフレームの再送は行われない。そこで、暗号化対応MACブリッジ100は転送すべきブロードキャスト宛のMACフレーム5300を図14(c)に示すMACフレーム5500のような各端末宛のユニキャストフレームにカプセル化して送信することによって、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能により、その送信の信頼性を向上させることができる。この場合、暗号化対応MACブリッジ100が暗号鍵を持っている全ての端末宛に、個別にそれぞれの暗号鍵で暗号化したMACフレームをユニキャストで送信する必要がある。
【0063】
イーサネット(R)フレーム5300を受信した有線・無線間MACブリッジ310は、当該フレーム5300の最終宛先がブロードキャストであることから、ブリッジ処理部313により当該フレーム5300を図14(b)に示すIEEE802.11フレーム5400に変換し(ステップS311)、第2のネットワークインタフェース312からブロードキャスト宛に送信する(ステップS312)。
【0064】
一方、図13(a)に示したイーサネット(R)フレーム5000を受信した有線間マルチポートMACブリッジ300は、当該フレーム5000の最終宛先がブロードキャストであることから、第1及び第Nのネットワークインタフェース301,305へ転送すべきフレームであることを知る。この結果、有線間マルチポートMACブリッジ300は、受信したフレーム5000をそのまま第1及び第Nのネットワークインタフェース301,305からブロードキャスト宛に送信する(ステップS321,S322)。
【0065】
ブロードキャスト宛のIEEE802.11形式のMACフレーム5400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム5410を抽出し、それを暗号化/復号化部203によって暗号鍵テーブル204に含まれるブロードキャスト用の暗号鍵で復号化する。復号化したイーサネット(R)フレーム5000は、端末200からブロードキャスト宛に送信されたイーサネット(R)フレームであることから、上位層に渡して受信処理が完了する(ステップS313)。
【0066】
一方、ブロードキャスト宛のイーサネット(R)フレーム5000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、必要な処理を行って受信処理を完了する(ステップS323)。
【0067】
以上の説明では端末200からのデータ送信に関して述べたが、端末210またはアクセスルータ400からのデータの送信も、以上と同様のシーケンスで実行される。
【0068】
このように本実施形態によると、LAN内の通信において、WEP暗号化アルゴリズムとは異なった新規暗号化機能を有する第3のMACブリッジである暗号化対応MACブリッジ100を既設の無線LAN基地局(有線・無線間MACブリッジ310)の有線LAN側に設置することによって、既設の機器を改変することなく、新規のよりセキュリティの高い暗号通信システムを実現することができるようになる。
【0069】
また、暗号化対応MACブリッジ100によってトラフィックを終端できることにより、同一LAN内の無線LAN基地局310に接続している端末200,210間の通信において、有線間マルチポートMACブリッジ300とアクセスルータ400間に無駄なトラフィックを発生させないため、例えばIPSecプロトコルを用いてアクセスルータ400を経由した暗号化通信を行う場合に比べて、LAN内のトラフィックを削減することも可能となる。
【0070】
さらに、本実施形態の暗号通信システムにおいては、端末200,210と暗号化対応MACブリッジ100間で、上りユニキャスト、上りブロードキャスト及び下りユニキャスト用の暗号鍵がそれぞれ異なり、暗号化対応MACブリッジ100からの下り方向のブロードキャスト用の暗号鍵は端末200,210間で共通であるが、上り方向のブロードキャスト用の暗号鍵が異なっている。
【0071】
この場合、本実施形態では例えば端末200が本来ブロードキャストとして送信するMACフレームをユニキャストで有線・無線間MACブリッジ310をブリッジ処理により転送させることによって、端末210をはじめとするエンド端末に暗号化鍵が不適合のために復号化できない不必要なブロードキャストフレームが到達することを抑制することが可能となる。
【0072】
また、このようにブロードキャストフレームを各端末宛のユニキャストフレームにカプセル化して送信することにより、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能によって送信信頼性の向上を期待することができる。
【0073】
次に、図15〜図17を参照して本発明の他の実施形態について説明する。これまでの実施形態では、新規暗号化機能を有する暗号化MACブリッジ100を追加した例について説明したが、追加されたMACブリッジは図15〜図17に示すような構成でもよい。図15〜図17では省略されているが、図2の暗号化対応MACブリッジ100で示したブリッジテーブル108も存在する。
【0074】
図15に示すMACブリッジ110は、図2に示した暗号化/復号化部103に代えて圧縮方式変換部111を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMACフレームの圧縮/伸長機能を有する場合、各端末が互いに異なる圧縮方式のみしかサポートしていない状況があり得る。
【0075】
圧縮方式変換部111は、このような互いに通信を行う端末間の圧縮方式の違いを吸収するため、送信元端末からMACブリッジ110に送られてきた圧縮されているMACレームを宛先端末でサポートしている圧縮方式のMACフレームに変換する機能を有する。
【0076】
図16に示すMACブリッジ120は、図2に示した暗号化/復号化部103に代えてフラグメント部121を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMTU(MaximumTransferUnit)サイズの異なるリンクに接続されている場合、それらの端末間でも通信を行うことができるように、フラグメント部121はMACフレームサイズの変換を行う。
【0077】
より具体的には、フラグメント/リアセンブル部121は、送信元端末からMACブリッジ120に送られてきたMACフレームを宛先端末が接続されているリンクの持つMTUサイズに合致するようにフラグメント(断片化)して送信する。宛先端末では、こうしてフラグメント化されたMACフレームを受信し、リアセンブル(再組立)を行うことになる。
【0078】
図17に示すMACブリッジ130は、図2に示した暗号化/復号化部103に代えてバッファリング部131を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210が異なるリンク速度でネットワークに接続されている場合、リンク速度の低い端末に内蔵されている受信バッファがオーバフローを起こすことがある。
【0079】
バッファリング部131は、このような受信バッファのオーバフローを回避するため、送信元端末のリンク速度より宛先端末のリンク速度の方が遅い場合、送信元端末からMACブリッジ130に送られてきたMACフレームをバッファメモリに一旦バッファリングし、これを宛先端末のリンク速度に適合した速度で読み出して送信させる。
【0080】
このように追加されたMACブリッジは、暗号化/復号化機能を有するもののみでなく、従来のネットワークシステムで備えられていない機能、あるいは、備えられていても不十分な性能を補完したり強化したりする機能を備えていてもよい。すなわち、本発明の主旨の一つは端末間で通信を行う場合に端末間で送信する本来のMACフレームを追加されたMACブリッジを宛先とするMACヘッダを付加することでカプセル化して送信することによって、追加されたブリッジで所定の処理を施してMACフレームを転送することであり、この主旨の範囲で種々変形することが可能である。
【0081】
【発明の効果】
以上説明したように、本発明によれば無線LAN内の端末装置が無線LANと有線LANとの間に介在された第1のブリッジ装置を介して他の端末装置と通信を行うネットワークシステムにおいて、所定の処理機能を有する第2のブリッジ装置を既設の有線LAN内に設置し、端末装置と第2のブリッジ装置との間でトンネリングさせてMACフレームの送受信を行うことによって、例えば無線LAN基地局や有線間MACブリッジ及びルータといった既設の機器を改変することなく、より改良された通信を実現することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るネットワークの構成を示す図
【図2】同実施形態における暗号化対応MACブリッジ及び有線間マルチポートMACブリッジの詳細な構成を示すブロック図
【図3】同実施形態における端末の詳細な構成を示すブロック図
【図4】同実施形態における有線・無線間MACブリッジ(無線LAN基地局)の詳細な構成を示すブロック図
【図5】同実施形態における暗号化対応MACブリッジ及び端末で使用される暗号鍵テーブルの一例を示す図
【図6】同実施形態における暗号化対応MACブリッジ、有線・無線間MACブリッジ及び有線間マルチポートMACブリッジで使用されるブリッジテーブルの一例を示す図
【図7】同実施形態における同一LAN内の端末間通信のシーケンスの一例を示す図
【図8】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(端末200→暗号化対応MACブリッジ100)の一例を示す図
【図9】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(暗号化対応MACブリッジ100→端末210)の一例を示す図
【図10】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信のシーケンスの一例を示す図
【図11】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信時に送受信されるMACフレームの一例を示す図
【図12】同実施形態における同一LAN内のブロードキャスト宛の通信のシーケンスの一例を示す図
【図13】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(端末200→ブロードキャスト)の一例を示す図
【図14】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(暗号化対応MACブリッジ100→ブロードキャスト)の一例を示す図
【図15】本発明の他の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図16】本発明の別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図17】本発明のさらに別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【符号の説明】
100…暗号化対応MACブリッジ
200,210…端末
300…有線間マルチポートMACブリッジ
310…有線・無線間MACブリッジ(無線LAN基地局)
400…アクセスルータ
500…認証サーバ
600…通信相手端末
700…バックボーンネットワーク[0001]
BACKGROUND OF THE INVENTION
The present invention provides an added MAC bridge that performs arbitrary processing (for example, encryption processing) in which a MAC frame transmitted and received by an end terminal is connected to an arbitrary position in the LAN in a LAN configured by a plurality of MAC bridges. For example, the present invention relates to a communication method, a bridge device, and a terminal device that realize encrypted communication, for example.
[0002]
[Prior art]
A wireless local area network (LAN), for example, a conventional IEEE 802.11 wireless LAN, has a function of encrypting data frames transmitted and received on the wireless LAN for the purpose of realizing security equivalent to that of the wired LAN. It has been. As an encryption method, WEP (Wired Equivalent Privacy) is specified in IEEE802.11. A specific configuration of a LAN using WEP is described in Patent Document 1, for example. An authentication technique in such a wireless LAN system is described in Patent Document 1, for example, and an encryption key update technique in the wireless LAN is described in Patent Document 2. Recently, the vulnerability of encryption algorithms by WEP has begun to be a problem.
[0003]
As a countermeasure for this problem, it is conceivable to introduce a new encryption function in the LAN. As a specific method, a form in which a new encryption function is added to existing devices such as a wireless LAN base station, a MAC (Media Access Control) bridge, and a router is conceivable. However, when these existing devices are configured with dedicated hardware, a third party other than the development vendor of the device, for example, an administrator who operates and manages the LAN segment, adds new functions to the device. It is difficult to add.
[0004]
Therefore, a method of installing a MAC bridge having a new encryption function at an arbitrary position in the LAN including the wireless LAN base station can be considered. Specifically, a MAC bridge having a new encryption function is installed at an arbitrary position between the existing wireless LAN base station and the router.
[0005]
[Patent Document 1]
JP 2001-111544 A
[0006]
[Patent Document 2]
JP 2001-111543 A
[0007]
[Problems to be solved by the invention]
In a LAN composed of a plurality of MAC bridges including a wireless LAN base station as described above, a MAC bridge having a new encryption function is installed between an existing wireless LAN base station and a router. Such a problem occurs.
[0008]
When terminals connected to the same wireless LAN base station communicate with each other, the MAC frame exchanged between the terminals is folded and transferred by the bridge processing by the MAC bridge function of the wireless LAN base station. For this reason, MAC frames exchanged between terminals do not reach the MAC bridge having the new encryption function, and communication using the new encryption function by the added MAC bridge cannot be performed.
[0009]
The present invention provides a communication method, a bridge device, and a terminal device that enable communication between terminals using a bridge device that performs predetermined processing such as a new encryption function different from the encryption function provided in a wireless LAN. The purpose is to do.
[0015]
[Means for Solving the Problems]
According to one aspect of the present invention MAC The bridge device Connected to the LAN and addressed to the broadcast sent from the wireless LAN terminal in the LAN First data MAC First encapsulation in which the frame is encapsulated by adding a first header addressed to itself MAC Means for receiving the frame;
The first encapsulation received MAC The first data from the frame MAC Means for extracting a frame and the extracted first data; MAC Frame Within the LAN broadcast MAC address If it is a frame, the first data MAC Frame Inside the LAN Encapsulate by adding second header addressed to multiple external devices and unicast MAC Means for generating a plurality of second encapsulated data that is a frame; and means for transmitting the generated second encapsulated data to the plurality of external devices.
[0017]
A terminal device according to an aspect of the present invention provides data to be transmitted. MAC Frame In the LAN broadcast MAC address Broadcast if it is a frame MAC Unicast by adding a header with the frame destined for an external bridge device MAC Encapsulate in a frame MAC Means for generating a frame;
Generated encapsulation MAC Means for transmitting a frame to the external bridge device.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)
In this embodiment, in communication between end terminals located at an edge in a LAN, data transmitted from the terminal or data received by the terminal is encrypted with a MAC bridge newly installed at an arbitrary position in the LAN. The present invention is applicable to a general LAN configuration in which the MAC layer that is processed and transmitted and received and that constitutes the LAN includes IEEE802.11, IEEE802.3, Ethernet (R), or the like.
[0019]
FIG. 1 shows a configuration example of a network according to the present embodiment. The network of this embodiment includes an encryption-compatible MAC bridge 100, a plurality of terminals (STAs) 200 and 210, a wired multiport MAC bridge 300, a wired / wireless MAC bridge (wireless LAN base station) 310 and 320, and an access. A router (RT) 400, an authentication server (AS) 500, a communication partner terminal (CN) 600, and a backbone network (BN) 700 are included.
[0020]
Although three MAC bridges 300, 310, and 320 are shown in FIG. 1, other MAC bridges may exist in the same LAN. The configuration for connecting the MAC bridges 300, 310, and 320 is not limited to FIG. The authentication server 500 is connected to the backbone network 700, but the connection position is not limited to this. A configuration in which the authentication server 500 does not exist as an independent device and is degenerated to the encryption-compatible MAC bridge 100 is also conceivable.
[0021]
The terminals 200 and 210 are terminals connected to the LAN using, for example, a wireless LAN of IEEE802.11 standard, and can be handed off between the wireless LAN base stations 310 and 320. The communication means used by the terminals 200 and 210 to connect to the LAN is not limited to the IEEE802.11 wireless LAN, and may be connected by a communication method such as IEEE802.3 or Ethernet (R), for example. . The communication partner terminal 600 is a terminal that communicates with the terminals 200 and 210. Although the communication partner terminal 600 exists ahead of the backbone network 700 in FIG. 1, other terminals in the same LAN may be communication partners with the terminals 200 and 210.
[0022]
Next, a detailed configuration of the main part of FIG. 1 will be described with reference to FIGS.
(About the encryption-compatible MAC bridge 100)
The encryption-compatible MAC bridge 100 is a MAC bridge that performs encrypted communication with the terminals 200 and 210. As shown in the lower side of FIG. 2, the first and second network interfaces 101, 102, A key management unit 103, an encryption / decryption unit 104, an encryption key table 105, an encapsulation unit 106, a bridge processing unit 107, and a bridge table 108 are included.
[0023]
The second network interface 102 has MACID_MACBR100, which is a MAC ID for uniquely identifying the interface 102 on the LAN. The first network interface 101 may have a MACID different from that of the second network interface. Although only two network interfaces 101 and 102 are shown in FIG. 2, other network interfaces may be provided.
[0024]
The key management unit 103 authenticates the terminals 200 and 201 using the authentication server 500, and dynamically exchanges keys assigned to the terminals 200 and 210 used by the encryption / decryption unit 104. The encryption / decryption unit 104 encrypts the MAC frame addressed to the terminals 200 and 210, and decrypts the encrypted MAC frame received from the terminals 200 and 210. The encryption key table 105 stores keys used by the encryption / decryption unit 104.
[0025]
The encapsulation / decapsulation unit 106 performs decapsulation from the encapsulated MAC frame transmitted from the terminals 200 and 210 to extract the encapsulated and encrypted MAC frame, and Encrypted MAC frames to be transmitted to the terminals 200 and 210 are encapsulated as MAC frames for the terminals 200 and 210.
[0026]
The bridge processing unit 107 performs bridge processing (transfer processing) between the network interfaces. Information about which network interface the bridge processing unit 107 should transfer data to is stored in the bridge table 108.
[0027]
(About terminals 200 and 210)
As shown in FIG. 3A, the terminal 200 includes a wireless LAN network interface 201, a key management unit 202, an encryption / decryption unit 203, an encryption key table 204, and an encapsulation / reverse function that support IEE802.11. An encapsulation unit 205 is included. Similarly, another terminal 210 includes a network interface 211, a key management unit 212, an encryption / decryption unit 213, an encryption key table 214, and an encapsulation / decapsulation unit 215 as shown in FIG. Have. The terminals 200 and 210 have MACID_STA200 and MACID_STA210 that uniquely indicate the network interfaces 201 and 211, respectively.
[0028]
The key management units 202 and 212 dynamically exchange keys used by the encryption / decryption units 202 and 212 when the authentication of the terminals 200 and 210 by the authentication server 500 is successful. The encryption / decryption units 202 and 212 encrypt the MAC frame and decrypt the encrypted MAC frame. In the encryption key tables 204 and 214, keys used by the encryption / decryption units 203 and 213 are stored. The encapsulation / decapsulation units 205 and 215 encapsulate the encrypted MAC frame as a MAC frame addressed to the encryption-compatible MAC bridge 100, and also decrypt the MAC frame received from the received MAC frame for encryption. Perform decapsulation to extract.
[0029]
(About wired multiport MAC bridge 300)
The wired multiport MAC bridge (switch) 300 is a multiport MAC bridge that is inserted between the encryption-compatible MAC bridge 100 and the backbone network 700 and performs transfer control between wires. As shown in the upper side of FIG. 2, the wired multiport MAC bridge 300 is an arbitrary number of network interfaces 301, 302, 305 and a bridge process for processing data transfer between the network interfaces 301, 302, 305. A bridge table 304 that holds information on which of the unit 303 and the network interfaces 301, 302, and 305 should transfer data to.
[0030]
(About wired / wireless MAC bridge 310)
The wired / wireless MAC bridge 310 is a MAC bridge (wireless LAN base station) that is inserted between the encryption-compatible MAC bridge 100 on the wired side and the wireless side and performs wired / wireless transfer control. As shown in FIG. 4, the wired-wireless MAC bridge 310 includes first and second network interfaces 311 and 312 on the wired side and the wireless side, respectively, and the second network interface 312 on the wireless side is IEEE802. It has MACID_MACBR310 which is a MACID uniquely representing itself on .11. FIG. 4 shows one each of the wired and wireless network interfaces 311 and 312, but the number of each is not limited to this, and there may be two or more.
[0031]
Similarly to the wired multiport MAC bridge 300, the wired / wireless MAC bridge 310 further includes a bridge processing unit 313 for processing data transfer between the network interfaces 311 and 312 and the network interfaces 311 and 312. It has a bridge table 314 that holds information on whether data should be transferred.
[0032]
Another wired / wireless MAC bridge 320 is also a wireless LAN base station having the same configuration and function as the wired / wireless MAC bridge 310. In FIG. 1, a plurality of wired / wireless MAC bridges 310 and 320 are illustrated in this manner in order to indicate that the terminals 200 and 210 can handoff between a plurality of wireless LAN base stations.
[0033]
(About the access router 400)
The access router 400 is a device that performs a routing service between the LAN and the backbone network 700, and has MACID_RT400 as a MACID that uniquely represents a built-in LAN-side network interface (not shown).
[0034]
(About the authentication server 500)
The authentication server 500 authenticates the terminals 200 and 210 in response to an authentication request from the encryption-compatible MAC bridge 100, generates a key necessary for successful authentication, and uses the key as the encryption-compatible MAC bridge 100 and the authenticated terminal. Distribute to
[0035]
(About terminal 600)
A communication partner terminal (CN) 600 is one of terminals serving as communication partners of the terminals 200 and 210, and is connected via the backbone network 700.
[0036]
FIG. 5 shows specific examples of the encryption key table 105 in the encryption-compatible MAC bridge 100 and the encryption key tables 204 and 214 in the terminals 200 and 210. The encryption key table 105 in the encryption-compatible MAC bridge 100 includes KEY_UCAST_STA200 and KEY_UCAST_STA210 as encryption keys for unicast communication of the terminals 200 and 210, and KEY-BCAST common to the terminals 200 and 210 for broadcast communication. The encryption key tables 204 and 214 in the terminals 200 and 210 include encryption keys KEY_UCAST_STA200 and KEY_UCAST_STA210 for unicast communication, and KEY-BCAST used in common for each terminal for broadcast communication, respectively.
The encryption keys included in these encryption key tables 105, 204, and 214 are distributed from the authentication server 500 as a result of the successful authentication of the terminals 200 and 210 by the authentication server 500. These encryption keys may be updated dynamically.
[0037]
As shown in FIG. 6, the bridge tables 108, 304, and 314 in the MAC bridges 100, 300, and 310 include MACID_RT400 that is the MACID of the access router 400 and MACID_STA200 and MACID_STA210 that are the MACIDs of the terminals 200 and 210, respectively. These bridge tables 108, 304, and 314 are automatically learned when the MAC bridges 100, 300, and 310 receive MAC frames transmitted from the access router 400 and the terminals 200 and 210, respectively.
[0038]
Next, the communication procedure in this embodiment will be described.
First, a unicast transmission sequence in which data is transmitted from terminal 200 to terminal 210 will be described with reference to FIG. 7, FIG. 8, and FIG.
First, the terminal 200 performs authentication and key exchange between the encryption-compatible MAC bridge 100 and the authentication server 500 (step S100). The authentication and key exchange method used at this time is not limited to a specific method, and is omitted here. However, it is assumed that the terminal 200 and the encryption-compatible MAC bridge 100 know MACID_STA200 and MACID_MACBR100, which are mutual MACIDs, through these message exchanges. This sequence may include multiple message exchanges for authentication and key exchange. A series of messages are exchanged among the terminal 200, the encryption-compatible MAC bridge 100, and the authentication server 500 by the bridge processing in the MAC bridges 300 and 310 and the routing processing by the access router 400.
[0039]
When the authentication and key exchange in step S100 are successful, the terminal 200 and the encryption-compatible MAC bridge 100 set the obtained encryption keys in the encryption key tables 204 and 105 (steps S101 and S102).
Similarly, the other terminal 210 performs authentication and key exchange between the encryption-compatible MAC bridge 100 and the authentication server 500 (step S103). If the authentication and key exchange are successful, the terminal 210 and the encryption-compatible MAC are performed. The bridge 100 sets the acquired encryption key in the encryption key tables 214 and 105 (steps S104 and S105).
[0040]
The encryption key tables 105, 204, and 214 shown in FIG. 5 are set in the sequence so far. Further, the bridge table 108, 304, 314 in each MAC bridge 100, 300, 310 is set as shown in FIG. 6 by the bridge processing in the MAC bridge 100, 300, 310 generated by the series of message exchanges described above. Is done. At this stage, since the MAC frame including data from the terminals 200 and 210 does not reach the wired multi-port MAC bridge 300, the MAC table entry in the MAC bridge 300 has entries for the MACIDs of the terminals 200 and 210. Is not included.
[0041]
Next, the terminal 200 performs the following unicast transmission data processing addressed to the terminal 210 (step S110). First, the terminal 200 creates the Ethernet® frame 3000 shown in FIG. 8A addressed to the terminal 210, and encrypts / decrypts it using a unicast encryption key included in the encryption key table 204. Encryption is performed according to 203. Further, the terminal 200 passes the encrypted Ethernet (R) frame to the encapsulation / decapsulation unit 205, and is obtained by authentication and key exchange, and is a diagram addressed to the encryption-compatible MAC bridge 100 that is a partner to be tunneled. It is encapsulated as an IEEE802.11 frame 3100 shown in FIG. In the IEEE802.11 frame 3100 of FIG. 8B, the addresses Address1, Address2, and Address3 of the IEEE802.11 header are MACID_MACBR310, MACID_STA200, and MACID_MACBR100, respectively, and the final destination in the LAN is the encryption-compatible MAC bridge 100. Yes.
[0042]
Next, the terminal 200 transmits an IEEE802.11 frame 3100 in which the final destination generated in step S110 is the encryption-compatible MAC bridge 100 to the wired / wireless MAC bridge 310 (step S111).
[0043]
On the other hand, in the wired / wireless MAC bridge 310 that received the IEEE802.11 frame 3100, the final destination of the frame 3100 is the encryption-compatible MAC bridge 100 indicated by the address Address3, and by searching the bridge table 314, It knows that the frame 3100 is a frame to be transferred to the first network interface 311. As a result, the wired-to-wireless MAC bridge 310 causes the bridge processing unit 313 to change the frame 3100 according to the contents thereof to the Ethernet (R) frame 3200 addressed to the encryption-compatible MAC bridge 100 shown in FIG. Is converted to an IEEE802.3 + 802.2 format MAC frame (step S112), and is transmitted from the first network interface 311 to the encryption-compatible MAC bridge 100 (step S113).
[0044]
In the encryption-compatible MAC bridge 100 that has received the Ethernet (R) frame 3200 addressed to itself, the encapsulation / decapsulation unit 106 encrypts the Ethernet (R) frame 3210 from the received Ethernet (R) frame 3000. To extract. The encryption-compatible MAC bridge 100 knows that the transmission source address of the received Ethernet (R) frame 3200 is MACID_STA200, and that the encryption key for the terminal 200 is KEY-UCAST_STA200 by searching the encryption key table 105. . As a result, the encryption-compatible MAC bridge 100 decrypts the encrypted Ethernet® frame 3210 by the encryption / decryption unit 104 using the encryption key KEY-UCAST_STA200.
[0045]
Further, the encryption-compatible MAC bridge 100 performs the following encryption transfer process (step S114). That is, in the encryption-compatible MAC bridge 100, the destination of the decrypted Ethernet (R) frame 3000 is the terminal 210, and by searching the bridge table 108, the decrypted Ethernet (R) frame 3000 is the second one. It is known that the frame should be transferred to the network interface 101. As a result, when the encryption-compatible MAC bridge 100 finds that the encryption key for the terminal 210 is KEY-UCAST_STA210 by searching the encryption key table 105 again, decryption is performed using this encryption key KEY-UCAST_STA210. The encrypted Ethernet (R) frame 3000 is encrypted by the encryption / decryption unit 104.
[0046]
Thereafter, the encryption-compatible MAC bridge 100 encapsulates the encrypted Ethernet (R) frame as an Ethernet (R) frame 3300 addressed to the terminal 210 shown in FIG. The data is transmitted to the wired / wireless MAC bridge 310 (step S115).
[0047]
The wired-to-wireless MAC bridge 310 that has received the Ethernet® frame 3300 should transfer the frame 3300 to the second network interface 311 by searching the bridge table 314 with the terminal 210 being the final destination. Know that it is a frame. As a result, the wired / wireless MAC bridge 310 converts the frame 3300 into the IEEE802.11 frame 3400 shown in FIG. 9B by the bridge processing unit 313 (step S116), and the second network interface 312 to the terminal 210. (Step S117).
[0048]
The terminal 210 that has received the IEEE802.11 frame 3400 addressed to itself extracts the Ethernet (R) frame 3410 encrypted from the frame by the encapsulation / decapsulation unit 205 and encrypts / decrypts it. In step 213, decryption is performed using the unicast encryption key included in the encryption key table 204. Since the decrypted Ethernet® frame 3000 is an Ethernet® frame transmitted from the terminal 200 to itself, it is passed to the upper layer, and the reception process is completed (step S118).
[0049]
Next, a sequence in the case where data is transmitted from the terminal 200 to the communication partner terminal 600 will be described with reference to FIGS.
It is assumed that authentication and key exchange between the terminal 200, the encryption-compatible MAC bridge 100, and the authentication server 500 have already been completed in the above sequence. The terminal 200 performs the following unicast transmission data processing addressed to the communication partner terminal 600 (step S200). That is, terminal 200 creates Ethernet (R) frame 4000 shown in FIG. 11A addressed to access router 400 in order to transmit data to communication partner terminal 600, and unicast included in encryption key table 204. Encryption is performed by the encryption / decryption unit 203 using the encryption key for use.
[0050]
Furthermore, the terminal 200 encapsulates the encrypted Ethernet (R) frame by the encapsulation / decapsulation unit 205 as an IEEE 802.11 frame 4100 shown in FIG. In the IEEE802.11 frame 4100 shown in FIG. 11B, the addresses Address1, Address2, and Address3 of the IEEE802.11 header are MACID_MACBR310, MACID_STA200, and MACID_MACBR100, respectively, and the final destination in the LAN is the MAC between wired and wireless indicated by MACID_RT500. It is a bridge 310.
[0051]
Next, the terminal 200 transmits the IEEE802.11 frame 4100 generated in step S200 to the wired / wireless MAC bridge 310 (step S201).
On the other hand, in the wired / wireless MAC bridge 310 that has received the IEEE802.11 frame 4100, the final destination of the frame 4100 is the encryption-compatible MAC bridge 100 indicated by the address Address3, and by searching the bridge table 314, It knows that the frame 4100 is a frame to be transferred to the first network interface 311. As a result, the wired-to-wireless MAC bridge 310 uses the bridge processing unit 313 to convert the frame 4100 into the Ethernet (R) frame 4200 shown in FIG. The IEEE 802.3 + 802.2 format MAC frame is converted (step S202), and is transmitted from the first network interface 311 to the encryption-compatible MAC bridge 100 (step S203).
[0052]
The encryption-compatible MAC bridge 100 that has received the Ethernet (R) frame 4200 addressed to itself is encrypted by the encapsulation / decapsulation unit 106 from the received Ethernet (R) frame 4200 in FIG. 11C. The Ethernet® frame 4210 is extracted. The encryption-compatible MAC bridge 100 knows that the transmission source address of the Ethernet (R) frame 4200 is MACID_STA200 and searches the encryption key table 105 to determine that the encryption key for the terminal 200 is KEY-UCAST_STA200. As a result, the encryption-compatible MAC bridge 100 decrypts the encrypted Ethernet (R) frame 4210 by the encryption / decryption unit 104 using the encryption key KEY-UCAST_STA200.
[0053]
Further, the encryption-compatible MAC bridge 100 performs the following encryption transfer process (step S204). That is, in the encryption-compatible MAC bridge 100, the destination of the decrypted Ethernet (R) frame 4000 is the access router 400, and by searching the bridge table 108, the decrypted Ethernet (R) frame 4000 is Know that it should be transferred to the first network interface 101. As a result, the encryption-compatible MAC bridge 100 transmits the decrypted Ethernet® frame 4000 as it is from the first network interface to the wired multiport MAC bridge 300 (step S205).
[0054]
The wired multiport MAC bridge 300 that has received the Ethernet (R) frame 4000 has the final destination of the frame as the access router 400, and by searching the bridge table 314, the received Ethernet (R) frame 4000 becomes the first one. When it is known that the bridge should be bridged to the first network interface 301, the received Ethernet frame 4000 is transmitted as it is from the first network interface 301 to the access router 400 (steps S206 and S207).
[0055]
Receiving the Ethernet (R) frame 4000 addressed to itself, the access router 500 extracts the upper layer packet from the MAC frame, performs routing processing to the backbone network 700, and transmits the extracted packet (steps S208 and S209).
Thereafter, the upper layer packet routed in the backbone network 700 is finally transferred to the communication partner terminal 600, and is received and processed by the communication partner terminal 600, thereby completing the process (step S210).
As an upper layer protocol for performing routing, for example, IP (Internet Protocol) used in the Internet is used, but is not limited thereto.
[0056]
Next, a sequence in the case of transmitting data from the terminal 200 to the broadcast will be described with reference to FIG. 12, FIG. 13, and FIG.
It is assumed that authentication and key exchange between the terminal 200, the encryption-compatible MAC bridge 100, and the authentication server 500 have already been completed in the above sequence. The terminal 200 performs transmission data processing addressed to the broadcast as follows (step S300).
[0057]
First, the terminal 200 creates an Ethernet (R) frame 5000 addressed to the broadcast shown in FIG. 13A, and encrypts / decrypts it using the unicast encryption key included in the encryption key table 204. Encrypt with Further, the terminal 200 encapsulates the encrypted Ethernet (R) frame by the encapsulation / decapsulation unit 205 as an IEEE802.11 frame 5100 shown in FIG. In the IEEE 802.11 frame 5100 shown in FIG. 13B, the addresses Address1, Address2, and Address3 of the IEEE802.11 header are MACID_MACBR310, MACID_STA200, and MACID_MACBR100, respectively, and the final destination in the LAN is the encryption-compatible MAC bridge 100. Yes.
Next, the terminal 200 transmits the IEEE802.11 frame 5100 generated in step S300 to the wired / wireless MAC bridge 310 (step S301).
[0058]
On the other hand, in the wired / wireless MAC bridge 310 that has received the IEEE802.11 frame 5100, the final destination of the frame 5100 is the encryption-compatible MAC bridge 100 indicated by the address Address3, and by searching the bridge table 314, It knows that the frame 5100 is a frame to be transferred to the first network interface 311. As a result, the wired-to-wireless MAC bridge 310 uses the bridge processing unit 313 to convert the frame 5100 into the Ethernet (R) frame 5200 shown in FIG. The IEEE 802.3 + 802.2 format MAC frame is converted (step S302), and is transmitted from the first network interface 311 to the encryption-compatible MAC bridge 100 (step S303).
[0059]
On the other hand, the encryption-compatible MAC bridge 100 that has received the Ethernet (R) frame 5200 addressed to itself performs the following encrypted transfer process (step S304). That is, in the encryption-compatible MAC bridge 100, the encapsulation / decapsulation unit 106 extracts the encrypted Ethernet frame 5210 shown in FIG. 13C from the received Ethernet frame 5200. To do. The encryption-compatible MAC bridge 100 knows that the source address of the Ethernet® frame 5200 is MACID_STA200 and searches the encryption key table 105 to find that the encryption key for the terminal 200 is KEY-UCAST_STA200. As a result, the encryption-compatible MAC bridge 100 decrypts the encrypted Ethernet® frame 5210 by the encryption / decryption unit 104 using the encryption key KEY-UCAST_STA200.
[0060]
In the encryption-compatible MAC bridge 100, since the destination address of the decrypted Ethernet® frame 5000 is addressed to broadcast, the frame 5000 is a frame to be transferred to the first and second network interfaces 101 and 102. Know that there is. As a result, the encryption-compatible MAC bridge 100 uses the broadcast encryption key KEY-BCAST included in the encryption key table 105 again to encrypt the decrypted Ethernet® frame 5000 by the encryption / decryption unit 104. Turn into. Next, the encryption-compatible MAC bridge 100 encapsulates the encrypted Ethernet (R) frame into the Ethernet (R) frame 5300 shown in FIG. 14A addressed to the broadcast by the encapsulation / decapsulation unit 106.
[0061]
Next, the encryption-compatible MAC bridge 100 transmits the encapsulated Ethernet (R) frame 5300 shown in FIG. 14A from the second network interface 102 (step S310), while the decrypted Ethernet (R) is transmitted. The frame 5000 is transmitted from the first network interface 102 to the broadcast as it is (step S320).
[0062]
An IEEE802.11 wireless LAN may fail to transmit a MAC frame due to, for example, a bit error due to wireless properties. However, in the case of a broadcast frame, retransmission of the MAC frame is not performed even if transmission fails. Therefore, the encryption-compatible MAC bridge 100 encapsulates the MAC frame 5300 addressed to the broadcast to be transferred into a unicast frame addressed to each terminal such as the MAC frame 5500 shown in FIG. Even when the transmission of the MAC frame fails, the transmission reliability can be improved by the retransmission function for the unicast frame. In this case, it is necessary to transmit, by unicast, MAC frames individually encrypted with the respective encryption keys to all terminals having the encryption key for the MAC bridge 100 for encryption.
[0063]
Since the final destination of the frame 5300 is broadcast, the wired / wireless MAC bridge 310 that has received the Ethernet® frame 5300 transmits the frame 5300 to the IEEE802.11 shown in FIG. 14B by the bridge processing unit 313. The frame is converted into a frame 5400 (step S311), and transmitted from the second network interface 312 to the broadcast (step S312).
[0064]
On the other hand, the wired multiport MAC bridge 300 that has received the Ethernet® frame 5000 shown in FIG. 13A has the first and Nth network interfaces 301 because the final destination of the frame 5000 is broadcast. , 305, the frame to be transferred is known. As a result, the wired multiport MAC bridge 300 transmits the received frame 5000 as it is from the first and Nth network interfaces 301 and 305 to the broadcast (steps S321 and S322).
[0065]
Upon receiving the IEEE802.11 format MAC frame 5400 addressed to the broadcast, the terminal 210 extracts the encrypted Ethernet (R) frame 5410 from the frame by the encapsulation / decapsulation unit 205, and encrypts / Decryption is performed by the decryption unit 203 using the broadcast encryption key included in the encryption key table 204. Since the decrypted Ethernet (R) frame 5000 is an Ethernet (R) frame transmitted from the terminal 200 to the broadcast address, the decrypted Ethernet (R) frame 5000 is passed to the upper layer to complete the reception process (step S313).
[0066]
On the other hand, the access router 500 that has received the Ethernet (R) frame 5000 addressed to the broadcast extracts an upper layer packet from the MAC frame, performs necessary processing, and completes the reception processing (step S323).
[0067]
In the above description, data transmission from the terminal 200 has been described, but data transmission from the terminal 210 or the access router 400 is also executed in the same sequence as described above.
[0068]
As described above, according to this embodiment, in communication within a LAN, the encryption-compatible MAC bridge 100, which is a third MAC bridge having a new encryption function different from the WEP encryption algorithm, is installed in an existing wireless LAN base station ( By installing on the wired LAN side of the wired-wireless MAC bridge 310), it becomes possible to realize a new higher-security cryptographic communication system without modifying existing equipment.
[0069]
Further, since the traffic can be terminated by the encryption-compatible MAC bridge 100, the communication between the terminals 200 and 210 connected to the wireless LAN base station 310 in the same LAN can be performed between the wired multiport MAC bridge 300 and the access router 400. Therefore, it is possible to reduce the traffic in the LAN as compared with the case where encrypted communication is performed via the access router 400 using the IPSec protocol, for example.
[0070]
Furthermore, in the cryptographic communication system of the present embodiment, the encryption keys for uplink unicast, uplink broadcast, and downlink unicast are different between the terminals 200 and 210 and the encryption-compatible MAC bridge 100, and the encryption-compatible MAC bridge 100 is different. The encryption key for broadcasting in the downstream direction is common to the terminals 200 and 210, but the encryption key for broadcasting in the upstream direction is different.
[0071]
In this case, in this embodiment, for example, the encryption key is transmitted to end terminals including the terminal 210 by transferring the MAC frame originally transmitted by the terminal 200 as a broadcast by unicasting the wired / wireless MAC bridge 310 by bridge processing. Can be prevented from reaching unnecessary broadcast frames that cannot be decoded due to incompatibility.
[0072]
In addition, by transmitting a broadcast frame encapsulated in a unicast frame addressed to each terminal in this way, even if the transmission of a MAC frame on the wireless LAN fails, the retransmission function for the unicast frame can improve transmission reliability. We can expect improvement.
[0073]
Next, another embodiment of the present invention will be described with reference to FIGS. In the embodiments so far, the example in which the encrypted MAC bridge 100 having the new encryption function is added has been described. However, the added MAC bridge may have a configuration as illustrated in FIGS. 15 to 17. Although omitted in FIGS. 15 to 17, there is also a bridge table 108 indicated by the encryption-compatible MAC bridge 100 in FIG. 2.
[0074]
A MAC bridge 110 illustrated in FIG. 15 includes a compression method conversion unit 111 instead of the encryption / decryption unit 103 illustrated in FIG. When the terminals 200 and 210 connected to the wired / wireless MAC bridge 310 shown in FIG. 1 have a MAC frame compression / decompression function, there may be situations where each terminal supports only different compression methods. .
[0075]
The compression method converter 111 supports the compressed MAC frame sent from the transmission source terminal to the MAC bridge 110 at the destination terminal in order to absorb such a difference in compression method between terminals communicating with each other. It has a function of converting to a MAC frame of the compression method.
[0076]
The MAC bridge 120 illustrated in FIG. 16 includes a fragment unit 121 instead of the encryption / decryption unit 103 illustrated in FIG. When the terminals 200 and 210 connected to the wired / wireless MAC bridge 310 shown in FIG. 1 are connected to links having different MTU (Maximum Transfer Unit) sizes, the terminals 200 and 210 can communicate with each other. The fragment unit 121 converts the MAC frame size.
[0077]
More specifically, the fragment / reassembler 121 performs fragmentation (fragmentation) so that the MAC frame sent from the transmission source terminal to the MAC bridge 120 matches the MTU size of the link to which the destination terminal is connected. ) And send. The destination terminal receives the MAC frame thus fragmented and performs reassembly (reassembly).
[0078]
The MAC bridge 130 illustrated in FIG. 17 includes a buffering unit 131 instead of the encryption / decryption unit 103 illustrated in FIG. When the terminals 200 and 210 connected to the wired / wireless MAC bridge 310 shown in FIG. 1 are connected to the network at different link speeds, the reception buffer built in the terminal having a low link speed causes an overflow. Sometimes.
[0079]
In order to avoid such overflow of the reception buffer, the buffering unit 131 transmits the MAC frame sent from the source terminal to the MAC bridge 130 when the link speed of the destination terminal is slower than the link speed of the source terminal. Is once buffered in the buffer memory, and is read and transmitted at a speed suitable for the link speed of the destination terminal.
[0080]
The MAC bridge added in this way not only has an encryption / decryption function, but also complements or strengthens functions that are not provided in the conventional network system, or are insufficient even if provided. You may have the function to do. That is, one of the gist of the present invention is to encapsulate and transmit by adding a MAC header destined for a MAC bridge to which an original MAC frame transmitted between terminals is added when communicating between terminals. Thus, a predetermined process is performed by the added bridge to transfer the MAC frame, and various modifications can be made within the scope of this gist.
[0081]
【The invention's effect】
As described above, according to the present invention, in the network system in which the terminal device in the wireless LAN communicates with other terminal devices via the first bridge device interposed between the wireless LAN and the wired LAN, By installing a second bridge device having a predetermined processing function in an existing wired LAN and tunneling between the terminal device and the second bridge device to transmit and receive MAC frames, for example, a wireless LAN base station It is possible to realize more improved communication without modifying existing devices such as a wired MAC bridge and a router.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a network according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a detailed configuration of an encryption-compatible MAC bridge and a wired multiport MAC bridge in the embodiment;
FIG. 3 is a block diagram showing a detailed configuration of a terminal according to the embodiment.
FIG. 4 is a block diagram showing a detailed configuration of a wired / wireless MAC bridge (wireless LAN base station) in the embodiment;
FIG. 5 is a view showing an example of an encryption key table used in the encryption-compatible MAC bridge and terminal in the embodiment;
FIG. 6 is a diagram showing an example of a bridge table used in the encryption-compatible MAC bridge, the wired / wireless MAC bridge, and the wired multiport MAC bridge in the embodiment;
FIG. 7 is a view showing an example of a communication sequence between terminals in the same LAN in the embodiment.
FIG. 8 is a view showing an example of a MAC frame (terminal 200 → encryption-compatible MAC bridge 100) transmitted and received during communication between terminals in the same LAN in the embodiment;
FIG. 9 is a view showing an example of a MAC frame (encryption-compatible MAC bridge 100 → terminal 210) transmitted and received during communication between terminals in the same LAN in the embodiment;
FIG. 10 is a diagram showing an example of a communication sequence between a terminal in the LAN and a communication partner terminal connected to the backbone network in the embodiment.
FIG. 11 is a diagram showing an example of a MAC frame transmitted and received during communication between a terminal in the LAN and a communication partner terminal connected to the backbone network in the embodiment.
FIG. 12 is a view showing an example of a communication sequence addressed to broadcast in the same LAN in the embodiment;
FIG. 13 is a view showing an example of a MAC frame (terminal 200 → broadcast) transmitted and received during communication addressed to broadcast in the same LAN in the embodiment;
FIG. 14 is a diagram showing an example of a MAC frame (encryption-compatible MAC bridge 100 → broadcast) transmitted and received during communication addressed to broadcast in the same LAN in the embodiment;
FIG. 15 is a block diagram showing a configuration of an added MAC table according to another embodiment of the present invention.
FIG. 16 is a block diagram showing a configuration of an added MAC table according to another embodiment of the present invention.
FIG. 17 is a block diagram showing a configuration of an added MAC table according to still another embodiment of the present invention.
[Explanation of symbols]
100 ... MAC bridge for encryption
200, 210 ... terminal
300 ... Multiport MAC bridge between wires
310 ... MAC bridge between wired and wireless (wireless LAN base station)
400 ... access router
500 ... Authentication server
600 ... Communication partner terminal
700 ... backbone network

Claims (2)

LANに接続し、前記LAN内の無線LAN端末から送信されたブロードキャスト宛の第1データMACフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化MACフレームを受信する手段と、
受信された前記第1カプセル化MACフレームから前記第1データMACフレームを抽出する手段と、
抽出された前記第1データMACフレームが前記LAN内のブロードキャスト宛のMACフレームである場合に、該第1データMACフレームを暗号化して前記LAN内の複数の外部装置宛の第2ヘッダの付加によってカプセル化してユニキャストMACフレームである複数の第2カプセル化データを生成する手段と、
生成された前記複数の第2カプセル化データを前記複数の外部装置へ送信する手段とを具備するMACブリッジ装置。 Means for connecting to a LAN and receiving a first encapsulated MAC frame in which a first data MAC frame addressed to a broadcast transmitted from a wireless LAN terminal in the LAN is encapsulated by adding a first header addressed to itself;
Means for extracting the first data MAC frame from the received first encapsulated MAC frame;
When the extracted first data MAC frame is a MAC frame addressed to a broadcast in the LAN, the first data MAC frame is encrypted and a second header addressed to a plurality of external devices in the LAN is added. Means for encapsulating and generating a plurality of second encapsulated data that are unicast MAC frames;
MAC bridging device that generated the plurality of second encapsulated data has been and means for transmitting to said plurality of external devices. 送信すべきデータMACフレームがLAN内のブロードキャスト宛のMACフレームである場合に該ブロードキャストMACフレームを外部ブリッジ装置を宛先とするヘッダの付加によりユニキャストMACフレームにカプセル化してカプセル化MACフレームを生成する手段と、
生成された前記カプセル化MACフレームを前記外部ブリッジ装置へ送信する手段とを具備する端末装置。The broadcast MAC frame encapsulated unicast MAC frame by adding a header to the external bridge device destined to generate an encapsulated MAC frame if the data MAC frame to be transmitted as a MAC frame addressed to the broadcast in the LAN Means,
A terminal device comprising: means for transmitting the generated encapsulated MAC frame to the external bridge device.
JP2002264216A 2002-09-10 2002-09-10 MAC bridge device and terminal device Expired - Fee Related JP3816850B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002264216A JP3816850B2 (en) 2002-09-10 2002-09-10 MAC bridge device and terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002264216A JP3816850B2 (en) 2002-09-10 2002-09-10 MAC bridge device and terminal device

Publications (2)

Publication Number Publication Date
JP2004104500A JP2004104500A (en) 2004-04-02
JP3816850B2 true JP3816850B2 (en) 2006-08-30

Family

ID=32263717

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002264216A Expired - Fee Related JP3816850B2 (en) 2002-09-10 2002-09-10 MAC bridge device and terminal device

Country Status (1)

Country Link
JP (1) JP3816850B2 (en)

Also Published As

Publication number Publication date
JP2004104500A (en) 2004-04-02

Similar Documents

Publication Publication Date Title
US11659385B2 (en) Method and system for peer-to-peer enforcement
US7797530B2 (en) Authentication and encryption method and apparatus for a wireless local access network
US7756069B2 (en) Communication system, wireless LAN base station controller, and wireless LAN base station device
EP1484856B1 (en) Method for distributing encryption keys in wireless lan
US7768941B1 (en) Method and system for initiating a virtual private network over a shared network on behalf of a wireless terminal
US7483409B2 (en) Wireless router assisted security handoff (WRASH) in a multi-hop wireless network
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
JP4823359B2 (en) Sending management traffic over multihop mesh networks
US8179890B2 (en) Mobile IP over VPN communication protocol
JP4407452B2 (en) Server, VPN client, VPN system, and software
US20120166804A1 (en) VLAN Tunneling
US9226142B2 (en) Mobile communication system, communication control method, and radio base station
US20070105549A1 (en) Mobile communication system using private network, relay node, and radio network controller
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
US20080192925A1 (en) Means and Method for Ciphering and Transmitting Data in Integrated Networks
US20090113073A1 (en) Remote access system and its ip address assigning method
US9602470B2 (en) Network device, IPsec system and method for establishing IPsec tunnel using the same
US7680110B2 (en) Communication device, communication system, and communication method
US20070206796A1 (en) Communication System, Key Distribution Control Device, and Radio Lan Base Station Device
JPH07107082A (en) Cipher gateway device
JP2004312257A (en) Base station, repeating device and communication system
WO2020228130A1 (en) Communication method and system for network management server and network element of communication device
US20130191635A1 (en) Wireless authentication terminal
JP3816850B2 (en) MAC bridge device and terminal device
US20080077972A1 (en) Configuration-less authentication and redundancy

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050905

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051004

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060608

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090616

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100616

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110616

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120616

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120616

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130616

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees