JP3816850B2 - MAC bridge device and terminal device - Google Patents
MAC bridge device and terminal device Download PDFInfo
- Publication number
- JP3816850B2 JP3816850B2 JP2002264216A JP2002264216A JP3816850B2 JP 3816850 B2 JP3816850 B2 JP 3816850B2 JP 2002264216 A JP2002264216 A JP 2002264216A JP 2002264216 A JP2002264216 A JP 2002264216A JP 3816850 B2 JP3816850 B2 JP 3816850B2
- Authority
- JP
- Japan
- Prior art keywords
- mac
- frame
- encryption
- bridge
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、複数のMACブリッジから構成されるLANにおいて、エンド端末が送受信するMACフレームをLAN内の任意の位置に接続された任意の処理(例えば暗号化処理)を行う追加されたMACブリッジを経由して、例えば暗号化通信を実現する通信方法とブリッジ装置及び端末装置に関する。
【0002】
【従来技術】
無線LAN(Local Area Network)、例えば従来のIEEE802.11方式の無線LANでは、有線LANと同等のセキュリティを実現することを目的として、無線LAN上で送受信されるデータフレームを暗号化する機能が備えられている。暗号化の方式としては、IEEE802.11の中でWEP(Wired Equivalent Privacy)が仕様化されている。WEPを用いたLANの具体的な構成は、例えば特許文献1に記載されている。このような無線LANシステムにおける認証技術については例えば特許文献1に記載され、また無線LANにおける暗号鍵の更新の手法については特許文献2に記載されている。最近では、WEPによる暗号化アルゴリズムの脆弱性が問題にされ始めている。
【0003】
この問題の対策として、LAN内に新たな暗号化機能を導入することが考えられる。具体的な方法としては、無線LAN基地局、MAC(Media Acess Control)ブリッジ及びルータといった既設の機器に、新規暗号化機能を追加する形態が考えられる。しかし、これら既設の機器が専用ハードウエアで構成されている場合には、当該機器の開発ベンダー以外の第三者、例えばLANセグメントを運用・管理している管理者が当該機器に新たな機能を追加することは困難である。
【0004】
そこで、無線LAN基地局を包含するLAN内の任意の位置に、新規暗号化機能を持つMACブリッジを設置する方法が考えられる。具体的には、新規暗号化機能を持つMACブリッジを既設の無線LAN基地局とルータとの間の任意の位置に設置する。
【0005】
【特許文献1】
特開2001−111544号公報
【0006】
【特許文献2】
特開2001−111543号公報
【0007】
【発明が解決しようとする課題】
上述したような無線LAN基地局を含めた複数のMACブリッジから構成されるLANにおいて、新規暗号化機能を有するMACブリッジを既設の無線LAN基地局とルータとの間に設置する形態では、以下のような問題が発生する。
【0008】
同一の無線LAN基地局に接続している端末どうしが通信を行う場合には、無線LAN基地局のMACブリッジ機能によって、端末間でやりとりするMACフレームはブリッジ処理により折り返されて転送されてしまう。このため、新規暗号化機能を有するMACブリッジには、端末間でやりとりするMACフレームが届かず、追加されたMACブリッジによる新規暗号化機能を用いた通信を行うことができない。
【0009】
本発明は、無線LANに備えられている暗号機能とは別の新規暗号機能のような所定の処理を行うブリッジ装置を用いた端末間通信を可能とする通信方法とブリッジ装置及び端末装置を提供することを目的とする。
【0015】
【課題を解決するための手段】
本発明の一観点に係るMACブリッジ装置は、LANに接続し、前記LAN内の無線LAN端末から送信されたブロードキャスト宛の第1データMACフレームが自己宛の第1ヘッダの付加によってカプセル化された第1カプセル化MACフレームを受信する手段と、
受信された前記第1カプセル化MACフレームから前記第1データMACフレームを抽出する手段と、抽出された前記第1データMACフレームが前記LAN内のブロードキャスト宛のMACフレームである場合に、該第1データMACフレームを暗号化して前記LAN内の複数の外部装置宛の第2ヘッダの付加によってカプセル化してユニキャストMACフレームである複数の第2カプセル化データを生成する手段と、生成された前記複数の第2カプセル化データを前記複数の外部装置へ送信する手段とを具備する。
【0017】
本発明の一観点に係る端末装置は、送信すべきデータMACフレームがLAN内のブロードキャスト宛のMACフレームである場合に該ブロードキャストMACフレームを外部ブリッジ装置を宛先とするヘッダの付加によりユニキャストMACフレームにカプセル化してカプセル化MACフレームを生成する手段と、
生成された前記カプセル化MACフレームを前記外部ブリッジ装置へ送信する手段とを具備する。
【0018】
【発明の実施の形態】
以下、図面を参照して本発明の実施の形態を説明する。
(第1の実施形態)
本実施形態は、LAN内のエッジに位置するエンド端末間の通信において、端末から送信するデータまたは端末が受信するデータがLAN内の任意の位置に新たに設置されたMACブリッジとの間で暗号化処理されて送受信され、かつLANを構成するMAC層がIEEE802.11、IEEE802.3、あるいはイーサネット(R)等を含む一般的なLAN構成において適用可能である。
【0019】
図1に、本実施形態に係るネットワークの構成例を示す。本実施形態のネットワークには、暗号化対応MACブリッジ100、複数の端末(STA)200,210、有線間マルチポートMACブリッジ300、有線・無線間MACブリッジ(無線LAN基地局)310,320、アクセスルータ(RT)400、認証サーバ(AS)500、通信相手端末(CN)600及びバックボーンネットワーク(BN)700が含まれる。
【0020】
図1では3つのMACブリッジ300,310,320が示されているが、その他のMACブリッジが同一LAN内に存在してよい。MACブリッジ300,310,320間を接続する構成は、図1に限定されない。認証サーバ500はバックボーンネットワーク700に接続されているが、接続される位置はこれに限定されるものではない。認証サーバ500を独立した装置と存在させず、暗号化対応MACブリッジ100に縮退させた構成も考えられる。
【0021】
端末200,210は、例えばIEEE802.11規格の無線LANを用いてLANに接続される端末であり、無線LAN基地局310,320の間をハンドオフすることも可能である。端末200,210がLANに接続するために使用する通信手段は、IEEE802.11の無線LANに限定されるものではなく、例えばIEEE802.3またはイーサネット(R)といった通信方式で接続していてもよい。通信相手端末600は、端末200,210と通信を行う端末である。通信相手端末600は、図1ではバックボーンネットワーク700の先の存在しているが、同一LAN内の他の端末が端末200,210との通信相手であってもよい。
【0022】
次に、図2〜図4を用いて図1の主要部の詳細な構成を説明する。
(暗号化対応MACブリッジ100について)
暗号化対応MACブリッジ100は、端末200,210との間で暗号化通信を行うMACブリッジであり、図2の下側に示されているように第1及び第2のネットワークインタフェース101,102、鍵管理部103、暗号化/復号化部104、暗号鍵テーブル105、カプセル化部106、ブリッジ処理部107及びブリッジテーブル108を有する。
【0023】
第2のネットワークインタフェース102は、LAN上で当該インタフェース102を一意に識別するためのMACIDであるMACID_MACBR100を持つ。第1のネットワークインタフェース101は、第2のネットワークインタフェースとは別のMACIDを持っていてもよい。図2では2個のネットワークインタフェース101,102のみ示しているが、これ以外のネットワークインタフェースを持っていてもよい。
【0024】
鍵管理部103は、認証サーバ500を用いて端末200,201を認証し、暗号化/復号化部104で使用する端末200,210毎に割り当てた鍵を動的に交換する。暗号化/復号化部104は、端末200,210宛のMACフレームを暗号化し、また端末200,210から受信した暗号化されているMACフレームを復号化する。暗号鍵テーブル105には、暗号化/復号化部104で使用する鍵が格納されている。
【0025】
カプセル化/逆カプセル化部106は、端末200,210から送信されてきたカプセル化されているMACフレームから、カプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行い、また端末200,210に送信すべき暗号化したMACフレームを端末宛200,210のMACフレームとしてカプセル化する。
【0026】
ブリッジ処理部107は、各ネットワークインタフェース間のブリッジ処理(転送処理)を行う。ブリッジ処理部107がどのネットワークインタフェースにデータを転送すべきかの情報は、ブリッジテーブル108に格納されている。
【0027】
(端末200,210について)
端末200は、図3(a)に示されるようにIEE802.11に対応した無線LAN用のネットワークインタフェース201、鍵管理部202、暗号化/復号化部203、暗合鍵テーブル204及びカプセル化/逆カプセル化部205を有する。同様に、もう一つの端末210も図3(b)に示されるようにネットワークインタフェース211、鍵管理部212、暗号化/復号化部213、暗合鍵テーブル214及びカプセル化/逆カプセル化部215を有する。端末200,210は、それぞれのネットワークインタフェース201,211を一意に示すMACID_STA200, MACID_STA210を持っている。
【0028】
鍵管理部202,212は、それぞれ認証サーバ500による端末200,210の認証が成功した場合に、暗号化/復号化部202,212でそれぞれ使用する鍵を動的に交換する。暗号化/復号化部202,212は、MACフレームを暗号化し、また暗号化されているMACフレームを復号化する。暗号鍵テーブル204,214には、暗号化/復号化部203,213で使用する鍵が格納されている。カプセル化/逆カプセル化部205,215は、暗号化したMACフレームを暗号化対応MACブリッジ100宛のMACフレームとしてカプセル化し、また受信したMACフレームからカプセル化を解いて暗号化されているMACフレームを抽出する逆カプセル化を行う。
【0029】
(有線間マルチポートMACブリッジ300について)
有線間マルチポートMACブリッジ(スイッチ)300は、暗号化対応MACブリッジ100とバックボーンネットワーク700との間に挿入され、有線間の転送制御を行うマルチポートのMACブリッジである。図2の上側に示されるように、有線間マルチポートMACブリッジ300は任意の数のネットワークインタフェース301,302,305と、各ネットワークインタフェース301,302,305間のデータ転送を処理するためのブリッジ処理部303、及びネットワークインタフェース301,302,305のいずれにデータを転送すべきかの情報を保持するブリッジテーブル304を有する。
【0030】
(有線・無線間MACブリッジ310について)
有線・無線間MACブリッジ310は、有線側である暗号化対応MACブリッジ100と無線側との間に挿入され、有線・無線間の転送制御を行うMACブリッジ(無線LAN基地局)である。有線・無線間MACブリッジ310は、図4に示すように有線側及び無線側にそれぞれ第1及び第2のネットワークインタフェース311,312を有し、無線側にある第2のネットワークインタフェース312は、IEEE802.11上で自身を一意に表すMACIDであるMACID_MACBR310を持つ。図4中には、有線及び無線用のネットワークインタフェース311,312をそれぞれ一つずつ示しているが、それぞれの数はこれに限定されるものではなく、二つ以上あっても構わない。
【0031】
有線・無線間MACブリッジ310は、さらに有線間マルチポートMACブリッジ300と同様に、各ネットワークインタフェース311,312間のデータ転送を処理するためのブリッジ処理部313、及びネットワークインタフェース311,312のいずれにデータを転送すべきかの情報を保持するブリッジテーブル314を有する。
【0032】
もう一つの有線・無線間MACブリッジ320も、有線・無線間MACブリッジ310と同等の構成及び機能を持つ無線LAN基地局である。図1では、端末200,210が複数の無線LAN基地局間をハンドオフ可能であることを示すために、このように複数の有線・無線間MACブリッジ310,320を図示している。
【0033】
(アクセスルータ400について)
アクセスルータ400は、当該LANとバックボーンネットワークバックボーンネットワーク700との間でルーティングサービスを行う装置であり、内蔵しているLAN側のネットワークインタフェース(図示せず)を一意に表すMACIDとして、MACID_RT400を持つ。
【0034】
(認証サーバ500について)
認証サーバ500は、暗号化対応MACブリッジ100からの認証要求により端末200,210の認証を行い、認証の成功時に必要な鍵を生成し、その鍵を暗号化対応MACブリッジ100及び認証された端末へ配布する。
【0035】
(端末600について)
通信相手端末(CN)600は、端末200,210の通信相手となる端末の一つであり、バックボーンネットワーク700を経由して接続されている。
【0036】
図5には、暗号化対応MACブリッジ100内の暗号鍵テーブル105及び端末200,210内の暗号鍵テーブル204,214の具体例を示す。暗号化対応MACブリッジ100内の暗号鍵テーブル105は、端末200,210のユニキャスト通信用の暗号鍵としてKEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の端末200,210に共通のKEY−BCASTを含む。端末200,210内の暗号鍵テーブル204,214は、それぞれユニキャスト通信用の暗号鍵KEY_UCAST_STA200, KEY_UCAST_STA210と、ブロードキャスト通信用の各端末共通で使用するKEY-BCASTを含む。
これらの暗号鍵テーブル105,204,214に含まれる暗号鍵は、認証サーバ500での端末200,210認証の成功の結果、認証サーバ500から配布される。これらの暗号鍵は動的に更新されてもよい。
【0037】
図6に示すように、MACブリッジ100,300,310内のブリッジテーブル108,304,314は、それぞれアクセスルータ400のMACIDであるMACID_RT400、端末200,210のMACIDであるMACID_STA200, MACID_STA210を含む。これらのブリッジテーブル108,304,314は、それぞれアクセスルータ400,端末200,210から送信されたMACフレームをMACブリッジ100,300,310が受信することによって自動的に学習される。
【0038】
次に、本実施形態における通信手順について述べる。
まず、図7、図8及び図9を参照して端末200から端末210にデータを送信するユニキャスト送信のシーケンスについて説明する。
最初に、端末200は暗号化対応MACブリッジ100と認証サーバ500との間で、認証及び鍵交換を行う(ステップS100)。この時使用される認証及び鍵交換の方法は、特定の方式に限定されるものではないので、ここでは省略する。ただし、これらのメッセージ交換を通して、端末200と暗号化対応MACブリッジ100はそれぞれ互いのMACIDであるMACID_STA200, MACID_MACBR100を知るものとする。このシーケンスには、認証及び鍵交換のために複数のメッセージ交換を含んでもよい。MACブリッジ300,310でのブリッジ処理、アクセスルータ400によるルーティング処理によって、端末200、暗号化対応MACブリッジ100及び認証サーバ500の間で、一連のメッセージの交換が行われる。
【0039】
ステップS100での認証及び鍵交換が成功した場合、端末200及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル204,105に取得した暗号鍵を設定する(ステップS101,S102)。
同様に、もう一つの端末210は暗号化対応MACブリッジ100及び認証サーバ500との間で認証及び鍵交換を行い(ステップS103)、認証及び鍵交換が成功した場合、端末210及び暗号化対応MACブリッジ100はそれぞれの暗号鍵テーブル214,105に取得した暗号鍵を設定する(ステップS104,S105)。
【0040】
ここまでのシーケンスで、図5に示した暗号鍵テーブル105,204,214が設定される。また、上述した一連のメッセージ交換で発生したMACブリッジ100,300,310でのブリッジ処理により、各MACブリッジ100,300,310内のブリッジテーブル108,304,314が図6で示されるように設定される。この段階では、端末200,210からのデータを含むMACフレームが有線間マルチポートMACブリッジ300に到達することはないので、MACブリッジ300内のブリッジテーブル304には、端末200,210のMACIDのエントリは含まれない。
【0041】
次に、端末200は以下のような端末210宛のユニキャスト送信データ処理を行う(ステップS110)。まず、端末200は端末210宛の図8(a)に示すイーサネット(R)フレーム3000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化されたイーサネット(R)フレームをカプセル化/逆カプセル化部205に渡し、認証及び鍵交換で得られたトンネルすべき相手先である暗号化対応MACブリッジ100宛の図8(b)に示すIEEE802.11フレーム3100としてカプセル化する。図8(b)のIEEE802.11フレーム3100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 は、それぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先が暗号化対応MACブリッジ100となっている。
【0042】
次に、端末200はステップS110で生成された最終宛先を暗号化対応MACブリッジ100とするIEEE802.11フレーム3100を有線・無線間MACブリッジ310へ送信する(ステップS111)。
【0043】
一方、IEEE802.11フレーム3100を受信した有線・無線間MACブリッジ310では、当該フレーム3100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム3100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3100をその内容に応じて図8(c)に示す暗号化対応MACブリッジ100宛のイーサネット(R)フレーム3200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS112)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS113)。
【0044】
自身宛のイーサネット(R)フレーム3200を受信した暗号化対応MACブリッジ100では、受信したイーサネット(R)フレーム3000からカプセル化/逆カプセル化部106によって、暗号化されているイーサネット(R)フレーム3210を抽出する。暗号化対応MACブリッジ100は、受信したイーサネット(R)フレーム3200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム3210を復号化する。
【0045】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS114)。すなわち、暗号化対応MACブリッジ100は復号化されたイーサネット(R)フレーム3000の宛先が端末210であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム3000が第2のネットワークインタフェース101に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105を再度検索することによって端末210用の暗号鍵がKEY-UCAST_STA210であることを知ると、この暗号鍵KEY-UCAST_STA210を用いて、復号化されたイーサネット(R)フレーム3000を暗号化/復号化部104によって暗号化する。
【0046】
この後、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部104によって図9(a)に示す端末210宛のイーサネット(R)フレーム3300としてカプセル化し、有線・無線間MACブリッジ310へ送信する(ステップS115)。
【0047】
イーサネット(R)フレーム3300を受信した有線・無線間MACブリッジ310は、当該フレーム3300の最終宛先が端末210であり、またブリッジテーブル314を検索することによって、第2のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム3300を図9(b)に示すIEEE802.11フレーム3400に変換し(ステップS116)、第2のネットワークインタフェース312から端末210へ送信する(ステップS117)。
【0048】
自身宛のIEEE802.11フレーム3400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム3410を抽出し、それを暗号化/復号化部213によって暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて復号化する。復号化されたイーサネット(R)フレーム3000は、端末200から自身宛に送信されたイーサネット(R)フレームであることから上位層に渡し、これで受信処理が完了する(ステップS118)。
【0049】
次に、図10及び図11を参照して端末200から通信相手端末600にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のような通信相手端末600宛のユニキャスト送信データ処理を行う(ステップS200)。すなわち、端末200は通信相手端末600にデータの送信を行うためにアクセスルータ400宛の図11(a)に示すイーサネット(R)フレーム4000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。
【0050】
さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、対応MACブリッジ100宛の図11(b)に示すIEEE802.11フレーム4100としてカプセル化する。図11(b)に示すIEEE802.11フレーム4100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先はMACID_RT500で示される有線・無線間MACブリッジ310となっている。
【0051】
次に、端末200はステップS200で生成されたIEEE802.11フレーム4100を有線・無線間MACブリッジ310へ送信する(ステップS201)。
一方、IEEE802.11フレーム4100を受信した有線・無線間MACブリッジ310では、当該フレーム4100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム4100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム4100をその内容に応じて暗号化対応MACブリッジ100宛の図11(c)に示すイーサネット(R)フレーム4200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS202)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS203)。
【0052】
自身宛のイーサネット(R)フレーム4200を受信した暗号化対応MACブリッジ100は、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム4200から図11(c)中に示す暗号化されているイーサネット(R)フレーム4210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム4200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗合鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム4210を復号化する。
【0053】
さらに、暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS204)。すなわち、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000の宛先がアクセスルータ400であり、またブリッジテーブル108を検索することによって、復号化されたイーサネット(R)フレーム4000が第1のネットワークインタフェース101に転送すべきであることを知る。この結果、暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェースから有線間マルチポートMACブリッジ300へ送信する(ステップS205)。
【0054】
イーサネット(R)フレーム4000を受信した有線間マルチポートMACブリッジ300は、当該フレームの最終宛先がアクセスルータ400であり、またブリッジテーブル314を検索することによって、受信したイーサネット(R)フレーム4000が第1のネットワークインタフェース301へブリッジすべきであることを知ると、受信したイーサネット(R)フレーム4000をそのまま第1のネットワークインタフェース301からアクセスルータ400へ送信する(ステップS206,S207)。
【0055】
自身宛のイーサネット(R)フレーム4000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、バックボーンネットワーク700へルーティング処理して送信する(ステップS208,S209)。
以降、バックボーンネットワーク700内をルーティングされた上位層のパケットは、最終的に通信相手端末600へ転送され、通信相手端末600で受信処理されて処理が完了する(ステップS210)。
ルーティングを行う上位層のプロトコルには、例えばインタネットで使用されるIP(Internet Protocol)が使用されるが、これに限定されるものではない。
【0056】
次に、図12、図13及び図14を参照して端末200からブロードキャスト宛にデータを送信する場合のシーケンスを説明する。
端末200と暗号化対応MACブリッジ100及び認証サーバ500間の認証及び鍵交換は、上記のシーケンスで既に完了しているものとする。端末200は、以下のようなブロードキャスト宛の送信データ処理を行う(ステップS300)。
【0057】
まず、端末200は図13(a)に示すブロードキャスト宛のイーサネット(R)フレーム5000を作成し、それを暗号鍵テーブル204に含まれるユニキャスト用の暗号鍵を用いて暗号化/復号化部203により暗号化する。さらに、端末200は暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部205によって、暗号化対応MACブリッジ100宛の図13(b)に示すIEEE802.11フレーム5100としてカプセル化する。図13(b)に示すIEEE802.11フレーム5100では、IEEE802.11ヘッダのアドレスAddress1, Address2, Address3 はそれぞれMACID_MACBR310, MACID_STA200, MACID_MACBR100であり、LAN内の最終宛先は暗号化対応MACブリッジ100となっている。
次に、端末200はステップS300で生成されたIEEE802.11フレーム5100を有線・無線間MACブリッジ310へ送信する(ステップS301)。
【0058】
一方、IEEE802.11フレーム5100を受信した有線・無線間MACブリッジ310では、当該フレーム5100の最終宛先がアドレスAddress3で示される暗号化対応MACブリッジ100であり、またブリッジテーブル314を検索することによって、当該フレーム5100が第1のネットワークインタフェース311へ転送すべきフレームであることを知る。この結果、有線・無線間MACブリッジ310は、ブリッジ処理部313により当該フレーム5100をその内容に応じて暗号化対応MACブリッジ100宛の図13(c)に示すイーサネット(R)フレーム5200、ないしは同等のIEEE802.3+802.2形式のMACフレームに変換し(ステップS302)、第1のネットワークインタフェース311から暗号化対応MACブリッジ100へ送信する(ステップS303)。
【0059】
一方、自身宛のイーサネット(R)フレーム5200を受信した暗号化対応MACブリッジ100は、次のような暗号化転送処理を行う(ステップS304)。すなわち、暗号化対応MACブリッジ100では、カプセル化/逆カプセル化部106によって、受信したイーサネット(R)フレーム5200から図13(c)中に示す暗号化されているイーサネット(R)フレーム5210を抽出する。暗号化対応MACブリッジ100は、イーサネット(R)フレーム5200の送信元アドレスがMACID_STA200であり、また暗号鍵テーブル105を検索することによって、端末200用の暗号鍵がKEY-UCAST_STA200であることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵KEY-UCAST_STA200を用いて暗号化/復号化部104により、暗号化されているイーサネット(R)フレーム5210を復号化する。
【0060】
暗号化対応MACブリッジ100は、復号化されたイーサネット(R)フレーム5000の宛先アドレスがブロードキャスト宛であることから、当該フレーム5000が第1及び第2のネットワークインタフェース101,102に転送すべきフレームであることを知る。この結果、暗号化対応MACブリッジ100は、暗号鍵テーブル105に含まれるブロードキャスト用の暗号鍵KEY-BCASTを再度用いて、復号化したイーサネット(R)フレーム5000を暗号化/復号化部104によって暗号化する。次に、暗号化対応MACブリッジ100は、暗号化したイーサネット(R)フレームをカプセル化/逆カプセル化部106によってブロードキャスト宛の図14(a)に示すイーサネット(R)フレーム5300にカプセル化する。
【0061】
次に、暗号化対応MACブリッジ100は図14(a)に示すカプセル化されたイーサネット(R)フレーム5300第2のネットワークインタフェース102から送信し(ステップS310)、一方、復号化したイーサネット(R)フレーム5000を第1のネットワークインタフェース102からそのままブロードキャスト宛に送信する(ステップS320)。
【0062】
IEEE802.11の無線LANは無線の性質上、例えばビット誤り等によりMACフレームの送信を失敗することがあるが、ブロードキャストフレームの場合、送信に失敗した場合でもMACフレームの再送は行われない。そこで、暗号化対応MACブリッジ100は転送すべきブロードキャスト宛のMACフレーム5300を図14(c)に示すMACフレーム5500のような各端末宛のユニキャストフレームにカプセル化して送信することによって、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能により、その送信の信頼性を向上させることができる。この場合、暗号化対応MACブリッジ100が暗号鍵を持っている全ての端末宛に、個別にそれぞれの暗号鍵で暗号化したMACフレームをユニキャストで送信する必要がある。
【0063】
イーサネット(R)フレーム5300を受信した有線・無線間MACブリッジ310は、当該フレーム5300の最終宛先がブロードキャストであることから、ブリッジ処理部313により当該フレーム5300を図14(b)に示すIEEE802.11フレーム5400に変換し(ステップS311)、第2のネットワークインタフェース312からブロードキャスト宛に送信する(ステップS312)。
【0064】
一方、図13(a)に示したイーサネット(R)フレーム5000を受信した有線間マルチポートMACブリッジ300は、当該フレーム5000の最終宛先がブロードキャストであることから、第1及び第Nのネットワークインタフェース301,305へ転送すべきフレームであることを知る。この結果、有線間マルチポートMACブリッジ300は、受信したフレーム5000をそのまま第1及び第Nのネットワークインタフェース301,305からブロードキャスト宛に送信する(ステップS321,S322)。
【0065】
ブロードキャスト宛のIEEE802.11形式のMACフレーム5400を受信した端末210は、カプセル化/逆カプセル化部205により当該フレームから暗号化されているイーサネット(R)フレーム5410を抽出し、それを暗号化/復号化部203によって暗号鍵テーブル204に含まれるブロードキャスト用の暗号鍵で復号化する。復号化したイーサネット(R)フレーム5000は、端末200からブロードキャスト宛に送信されたイーサネット(R)フレームであることから、上位層に渡して受信処理が完了する(ステップS313)。
【0066】
一方、ブロードキャスト宛のイーサネット(R)フレーム5000を受信したアクセスルータ500は、MACフレームから上位層のパケットを抽出し、必要な処理を行って受信処理を完了する(ステップS323)。
【0067】
以上の説明では端末200からのデータ送信に関して述べたが、端末210またはアクセスルータ400からのデータの送信も、以上と同様のシーケンスで実行される。
【0068】
このように本実施形態によると、LAN内の通信において、WEP暗号化アルゴリズムとは異なった新規暗号化機能を有する第3のMACブリッジである暗号化対応MACブリッジ100を既設の無線LAN基地局(有線・無線間MACブリッジ310)の有線LAN側に設置することによって、既設の機器を改変することなく、新規のよりセキュリティの高い暗号通信システムを実現することができるようになる。
【0069】
また、暗号化対応MACブリッジ100によってトラフィックを終端できることにより、同一LAN内の無線LAN基地局310に接続している端末200,210間の通信において、有線間マルチポートMACブリッジ300とアクセスルータ400間に無駄なトラフィックを発生させないため、例えばIPSecプロトコルを用いてアクセスルータ400を経由した暗号化通信を行う場合に比べて、LAN内のトラフィックを削減することも可能となる。
【0070】
さらに、本実施形態の暗号通信システムにおいては、端末200,210と暗号化対応MACブリッジ100間で、上りユニキャスト、上りブロードキャスト及び下りユニキャスト用の暗号鍵がそれぞれ異なり、暗号化対応MACブリッジ100からの下り方向のブロードキャスト用の暗号鍵は端末200,210間で共通であるが、上り方向のブロードキャスト用の暗号鍵が異なっている。
【0071】
この場合、本実施形態では例えば端末200が本来ブロードキャストとして送信するMACフレームをユニキャストで有線・無線間MACブリッジ310をブリッジ処理により転送させることによって、端末210をはじめとするエンド端末に暗号化鍵が不適合のために復号化できない不必要なブロードキャストフレームが到達することを抑制することが可能となる。
【0072】
また、このようにブロードキャストフレームを各端末宛のユニキャストフレームにカプセル化して送信することにより、無線LAN上でMACフレームの送信が失敗した場合にも、ユニキャストフレームに対する再送機能によって送信信頼性の向上を期待することができる。
【0073】
次に、図15〜図17を参照して本発明の他の実施形態について説明する。これまでの実施形態では、新規暗号化機能を有する暗号化MACブリッジ100を追加した例について説明したが、追加されたMACブリッジは図15〜図17に示すような構成でもよい。図15〜図17では省略されているが、図2の暗号化対応MACブリッジ100で示したブリッジテーブル108も存在する。
【0074】
図15に示すMACブリッジ110は、図2に示した暗号化/復号化部103に代えて圧縮方式変換部111を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMACフレームの圧縮/伸長機能を有する場合、各端末が互いに異なる圧縮方式のみしかサポートしていない状況があり得る。
【0075】
圧縮方式変換部111は、このような互いに通信を行う端末間の圧縮方式の違いを吸収するため、送信元端末からMACブリッジ110に送られてきた圧縮されているMACレームを宛先端末でサポートしている圧縮方式のMACフレームに変換する機能を有する。
【0076】
図16に示すMACブリッジ120は、図2に示した暗号化/復号化部103に代えてフラグメント部121を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210がMTU(MaximumTransferUnit)サイズの異なるリンクに接続されている場合、それらの端末間でも通信を行うことができるように、フラグメント部121はMACフレームサイズの変換を行う。
【0077】
より具体的には、フラグメント/リアセンブル部121は、送信元端末からMACブリッジ120に送られてきたMACフレームを宛先端末が接続されているリンクの持つMTUサイズに合致するようにフラグメント(断片化)して送信する。宛先端末では、こうしてフラグメント化されたMACフレームを受信し、リアセンブル(再組立)を行うことになる。
【0078】
図17に示すMACブリッジ130は、図2に示した暗号化/復号化部103に代えてバッファリング部131を有する。図1に示した有線・無線間MACブリッジ310に接続されている端末200,210が異なるリンク速度でネットワークに接続されている場合、リンク速度の低い端末に内蔵されている受信バッファがオーバフローを起こすことがある。
【0079】
バッファリング部131は、このような受信バッファのオーバフローを回避するため、送信元端末のリンク速度より宛先端末のリンク速度の方が遅い場合、送信元端末からMACブリッジ130に送られてきたMACフレームをバッファメモリに一旦バッファリングし、これを宛先端末のリンク速度に適合した速度で読み出して送信させる。
【0080】
このように追加されたMACブリッジは、暗号化/復号化機能を有するもののみでなく、従来のネットワークシステムで備えられていない機能、あるいは、備えられていても不十分な性能を補完したり強化したりする機能を備えていてもよい。すなわち、本発明の主旨の一つは端末間で通信を行う場合に端末間で送信する本来のMACフレームを追加されたMACブリッジを宛先とするMACヘッダを付加することでカプセル化して送信することによって、追加されたブリッジで所定の処理を施してMACフレームを転送することであり、この主旨の範囲で種々変形することが可能である。
【0081】
【発明の効果】
以上説明したように、本発明によれば無線LAN内の端末装置が無線LANと有線LANとの間に介在された第1のブリッジ装置を介して他の端末装置と通信を行うネットワークシステムにおいて、所定の処理機能を有する第2のブリッジ装置を既設の有線LAN内に設置し、端末装置と第2のブリッジ装置との間でトンネリングさせてMACフレームの送受信を行うことによって、例えば無線LAN基地局や有線間MACブリッジ及びルータといった既設の機器を改変することなく、より改良された通信を実現することができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態に係るネットワークの構成を示す図
【図2】同実施形態における暗号化対応MACブリッジ及び有線間マルチポートMACブリッジの詳細な構成を示すブロック図
【図3】同実施形態における端末の詳細な構成を示すブロック図
【図4】同実施形態における有線・無線間MACブリッジ(無線LAN基地局)の詳細な構成を示すブロック図
【図5】同実施形態における暗号化対応MACブリッジ及び端末で使用される暗号鍵テーブルの一例を示す図
【図6】同実施形態における暗号化対応MACブリッジ、有線・無線間MACブリッジ及び有線間マルチポートMACブリッジで使用されるブリッジテーブルの一例を示す図
【図7】同実施形態における同一LAN内の端末間通信のシーケンスの一例を示す図
【図8】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(端末200→暗号化対応MACブリッジ100)の一例を示す図
【図9】同実施形態における同一LAN内の端末間通信時に送受信されるMACフレーム(暗号化対応MACブリッジ100→端末210)の一例を示す図
【図10】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信のシーケンスの一例を示す図
【図11】同実施形態におけるLAN内の端末とバックボーンネットワークに接続された通信相手端末との間の通信時に送受信されるMACフレームの一例を示す図
【図12】同実施形態における同一LAN内のブロードキャスト宛の通信のシーケンスの一例を示す図
【図13】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(端末200→ブロードキャスト)の一例を示す図
【図14】同実施形態における同一LAN内のブロードキャスト宛の通信時送受信されるMACフレーム(暗号化対応MACブリッジ100→ブロードキャスト)の一例を示す図
【図15】本発明の他の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図16】本発明の別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【図17】本発明のさらに別の実施形態に係る追加されたMACテーブルの構成を示すブロック図
【符号の説明】
100…暗号化対応MACブリッジ
200,210…端末
300…有線間マルチポートMACブリッジ
310…有線・無線間MACブリッジ(無線LAN基地局)
400…アクセスルータ
500…認証サーバ
600…通信相手端末
700…バックボーンネットワーク[0001]
BACKGROUND OF THE INVENTION
The present invention provides an added MAC bridge that performs arbitrary processing (for example, encryption processing) in which a MAC frame transmitted and received by an end terminal is connected to an arbitrary position in the LAN in a LAN configured by a plurality of MAC bridges. For example, the present invention relates to a communication method, a bridge device, and a terminal device that realize encrypted communication, for example.
[0002]
[Prior art]
A wireless local area network (LAN), for example, a conventional IEEE 802.11 wireless LAN, has a function of encrypting data frames transmitted and received on the wireless LAN for the purpose of realizing security equivalent to that of the wired LAN. It has been. As an encryption method, WEP (Wired Equivalent Privacy) is specified in IEEE802.11. A specific configuration of a LAN using WEP is described in
[0003]
As a countermeasure for this problem, it is conceivable to introduce a new encryption function in the LAN. As a specific method, a form in which a new encryption function is added to existing devices such as a wireless LAN base station, a MAC (Media Access Control) bridge, and a router is conceivable. However, when these existing devices are configured with dedicated hardware, a third party other than the development vendor of the device, for example, an administrator who operates and manages the LAN segment, adds new functions to the device. It is difficult to add.
[0004]
Therefore, a method of installing a MAC bridge having a new encryption function at an arbitrary position in the LAN including the wireless LAN base station can be considered. Specifically, a MAC bridge having a new encryption function is installed at an arbitrary position between the existing wireless LAN base station and the router.
[0005]
[Patent Document 1]
JP 2001-111544 A
[0006]
[Patent Document 2]
JP 2001-111543 A
[0007]
[Problems to be solved by the invention]
In a LAN composed of a plurality of MAC bridges including a wireless LAN base station as described above, a MAC bridge having a new encryption function is installed between an existing wireless LAN base station and a router. Such a problem occurs.
[0008]
When terminals connected to the same wireless LAN base station communicate with each other, the MAC frame exchanged between the terminals is folded and transferred by the bridge processing by the MAC bridge function of the wireless LAN base station. For this reason, MAC frames exchanged between terminals do not reach the MAC bridge having the new encryption function, and communication using the new encryption function by the added MAC bridge cannot be performed.
[0009]
The present invention provides a communication method, a bridge device, and a terminal device that enable communication between terminals using a bridge device that performs predetermined processing such as a new encryption function different from the encryption function provided in a wireless LAN. The purpose is to do.
[0015]
[Means for Solving the Problems]
According to one aspect of the present invention MAC The bridge device Connected to the LAN and addressed to the broadcast sent from the wireless LAN terminal in the LAN First data MAC First encapsulation in which the frame is encapsulated by adding a first header addressed to itself MAC Means for receiving the frame;
The first encapsulation received MAC The first data from the frame MAC Means for extracting a frame and the extracted first data; MAC Frame Within the LAN broadcast MAC address If it is a frame, the first data MAC Frame Inside the LAN Encapsulate by adding second header addressed to multiple external devices and unicast MAC Means for generating a plurality of second encapsulated data that is a frame; and means for transmitting the generated second encapsulated data to the plurality of external devices.
[0017]
A terminal device according to an aspect of the present invention provides data to be transmitted. MAC Frame In the LAN broadcast MAC address Broadcast if it is a frame MAC Unicast by adding a header with the frame destined for an external bridge device MAC Encapsulate in a frame MAC Means for generating a frame;
Generated encapsulation MAC Means for transmitting a frame to the external bridge device.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)
In this embodiment, in communication between end terminals located at an edge in a LAN, data transmitted from the terminal or data received by the terminal is encrypted with a MAC bridge newly installed at an arbitrary position in the LAN. The present invention is applicable to a general LAN configuration in which the MAC layer that is processed and transmitted and received and that constitutes the LAN includes IEEE802.11, IEEE802.3, Ethernet (R), or the like.
[0019]
FIG. 1 shows a configuration example of a network according to the present embodiment. The network of this embodiment includes an encryption-
[0020]
Although three
[0021]
The
[0022]
Next, a detailed configuration of the main part of FIG. 1 will be described with reference to FIGS.
(About the encryption-compatible MAC bridge 100)
The encryption-
[0023]
The
[0024]
The
[0025]
The encapsulation /
[0026]
The
[0027]
(About
As shown in FIG. 3A, the terminal 200 includes a wireless
[0028]
The
[0029]
(About wired multiport MAC bridge 300)
The wired multiport MAC bridge (switch) 300 is a multiport MAC bridge that is inserted between the encryption-
[0030]
(About wired / wireless MAC bridge 310)
The wired /
[0031]
Similarly to the wired
[0032]
Another wired /
[0033]
(About the access router 400)
The
[0034]
(About the authentication server 500)
The
[0035]
(About terminal 600)
A communication partner terminal (CN) 600 is one of terminals serving as communication partners of the
[0036]
FIG. 5 shows specific examples of the encryption key table 105 in the encryption-
The encryption keys included in these encryption key tables 105, 204, and 214 are distributed from the
[0037]
As shown in FIG. 6, the bridge tables 108, 304, and 314 in the MAC bridges 100, 300, and 310 include MACID_RT400 that is the MACID of the
[0038]
Next, the communication procedure in this embodiment will be described.
First, a unicast transmission sequence in which data is transmitted from terminal 200 to
First, the terminal 200 performs authentication and key exchange between the encryption-
[0039]
When the authentication and key exchange in step S100 are successful, the terminal 200 and the encryption-
Similarly, the
[0040]
The encryption key tables 105, 204, and 214 shown in FIG. 5 are set in the sequence so far. Further, the bridge table 108, 304, 314 in each
[0041]
Next, the terminal 200 performs the following unicast transmission data processing addressed to the terminal 210 (step S110). First, the terminal 200 creates the Ethernet® frame 3000 shown in FIG. 8A addressed to the terminal 210, and encrypts / decrypts it using a unicast encryption key included in the encryption key table 204. Encryption is performed according to 203. Further, the terminal 200 passes the encrypted Ethernet (R) frame to the encapsulation /
[0042]
Next, the terminal 200 transmits an IEEE802.11 frame 3100 in which the final destination generated in step S110 is the encryption-
[0043]
On the other hand, in the wired /
[0044]
In the encryption-
[0045]
Further, the encryption-
[0046]
Thereafter, the encryption-
[0047]
The wired-to-
[0048]
The terminal 210 that has received the IEEE802.11 frame 3400 addressed to itself extracts the Ethernet (R)
[0049]
Next, a sequence in the case where data is transmitted from the terminal 200 to the
It is assumed that authentication and key exchange between the terminal 200, the encryption-
[0050]
Furthermore, the terminal 200 encapsulates the encrypted Ethernet (R) frame by the encapsulation /
[0051]
Next, the terminal 200 transmits the IEEE802.11 frame 4100 generated in step S200 to the wired / wireless MAC bridge 310 (step S201).
On the other hand, in the wired /
[0052]
The encryption-
[0053]
Further, the encryption-
[0054]
The wired
[0055]
Receiving the Ethernet (R) frame 4000 addressed to itself, the
Thereafter, the upper layer packet routed in the
As an upper layer protocol for performing routing, for example, IP (Internet Protocol) used in the Internet is used, but is not limited thereto.
[0056]
Next, a sequence in the case of transmitting data from the terminal 200 to the broadcast will be described with reference to FIG. 12, FIG. 13, and FIG.
It is assumed that authentication and key exchange between the terminal 200, the encryption-
[0057]
First, the terminal 200 creates an Ethernet (R) frame 5000 addressed to the broadcast shown in FIG. 13A, and encrypts / decrypts it using the unicast encryption key included in the encryption key table 204. Encrypt with Further, the terminal 200 encapsulates the encrypted Ethernet (R) frame by the encapsulation /
Next, the terminal 200 transmits the IEEE802.11 frame 5100 generated in step S300 to the wired / wireless MAC bridge 310 (step S301).
[0058]
On the other hand, in the wired /
[0059]
On the other hand, the encryption-
[0060]
In the encryption-
[0061]
Next, the encryption-
[0062]
An IEEE802.11 wireless LAN may fail to transmit a MAC frame due to, for example, a bit error due to wireless properties. However, in the case of a broadcast frame, retransmission of the MAC frame is not performed even if transmission fails. Therefore, the encryption-
[0063]
Since the final destination of the frame 5300 is broadcast, the wired /
[0064]
On the other hand, the wired
[0065]
Upon receiving the IEEE802.11 format MAC frame 5400 addressed to the broadcast, the terminal 210 extracts the encrypted Ethernet (R)
[0066]
On the other hand, the
[0067]
In the above description, data transmission from the terminal 200 has been described, but data transmission from the terminal 210 or the
[0068]
As described above, according to this embodiment, in communication within a LAN, the encryption-
[0069]
Further, since the traffic can be terminated by the encryption-
[0070]
Furthermore, in the cryptographic communication system of the present embodiment, the encryption keys for uplink unicast, uplink broadcast, and downlink unicast are different between the
[0071]
In this case, in this embodiment, for example, the encryption key is transmitted to end terminals including the terminal 210 by transferring the MAC frame originally transmitted by the terminal 200 as a broadcast by unicasting the wired /
[0072]
In addition, by transmitting a broadcast frame encapsulated in a unicast frame addressed to each terminal in this way, even if the transmission of a MAC frame on the wireless LAN fails, the retransmission function for the unicast frame can improve transmission reliability. We can expect improvement.
[0073]
Next, another embodiment of the present invention will be described with reference to FIGS. In the embodiments so far, the example in which the
[0074]
A
[0075]
The
[0076]
The
[0077]
More specifically, the fragment /
[0078]
The
[0079]
In order to avoid such overflow of the reception buffer, the
[0080]
The MAC bridge added in this way not only has an encryption / decryption function, but also complements or strengthens functions that are not provided in the conventional network system, or are insufficient even if provided. You may have the function to do. That is, one of the gist of the present invention is to encapsulate and transmit by adding a MAC header destined for a MAC bridge to which an original MAC frame transmitted between terminals is added when communicating between terminals. Thus, a predetermined process is performed by the added bridge to transfer the MAC frame, and various modifications can be made within the scope of this gist.
[0081]
【The invention's effect】
As described above, according to the present invention, in the network system in which the terminal device in the wireless LAN communicates with other terminal devices via the first bridge device interposed between the wireless LAN and the wired LAN, By installing a second bridge device having a predetermined processing function in an existing wired LAN and tunneling between the terminal device and the second bridge device to transmit and receive MAC frames, for example, a wireless LAN base station It is possible to realize more improved communication without modifying existing devices such as a wired MAC bridge and a router.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration of a network according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a detailed configuration of an encryption-compatible MAC bridge and a wired multiport MAC bridge in the embodiment;
FIG. 3 is a block diagram showing a detailed configuration of a terminal according to the embodiment.
FIG. 4 is a block diagram showing a detailed configuration of a wired / wireless MAC bridge (wireless LAN base station) in the embodiment;
FIG. 5 is a view showing an example of an encryption key table used in the encryption-compatible MAC bridge and terminal in the embodiment;
FIG. 6 is a diagram showing an example of a bridge table used in the encryption-compatible MAC bridge, the wired / wireless MAC bridge, and the wired multiport MAC bridge in the embodiment;
FIG. 7 is a view showing an example of a communication sequence between terminals in the same LAN in the embodiment.
FIG. 8 is a view showing an example of a MAC frame (terminal 200 → encryption-compatible MAC bridge 100) transmitted and received during communication between terminals in the same LAN in the embodiment;
FIG. 9 is a view showing an example of a MAC frame (encryption-
FIG. 10 is a diagram showing an example of a communication sequence between a terminal in the LAN and a communication partner terminal connected to the backbone network in the embodiment.
FIG. 11 is a diagram showing an example of a MAC frame transmitted and received during communication between a terminal in the LAN and a communication partner terminal connected to the backbone network in the embodiment.
FIG. 12 is a view showing an example of a communication sequence addressed to broadcast in the same LAN in the embodiment;
FIG. 13 is a view showing an example of a MAC frame (terminal 200 → broadcast) transmitted and received during communication addressed to broadcast in the same LAN in the embodiment;
FIG. 14 is a diagram showing an example of a MAC frame (encryption-
FIG. 15 is a block diagram showing a configuration of an added MAC table according to another embodiment of the present invention.
FIG. 16 is a block diagram showing a configuration of an added MAC table according to another embodiment of the present invention.
FIG. 17 is a block diagram showing a configuration of an added MAC table according to still another embodiment of the present invention.
[Explanation of symbols]
100 ... MAC bridge for encryption
200, 210 ... terminal
300 ... Multiport MAC bridge between wires
310 ... MAC bridge between wired and wireless (wireless LAN base station)
400 ... access router
500 ... Authentication server
600 ... Communication partner terminal
700 ... backbone network
Claims (2)
受信された前記第1カプセル化MACフレームから前記第1データMACフレームを抽出する手段と、
抽出された前記第1データMACフレームが前記LAN内のブロードキャスト宛のMACフレームである場合に、該第1データMACフレームを暗号化して前記LAN内の複数の外部装置宛の第2ヘッダの付加によってカプセル化してユニキャストMACフレームである複数の第2カプセル化データを生成する手段と、
生成された前記複数の第2カプセル化データを前記複数の外部装置へ送信する手段とを具備するMACブリッジ装置。 Means for connecting to a LAN and receiving a first encapsulated MAC frame in which a first data MAC frame addressed to a broadcast transmitted from a wireless LAN terminal in the LAN is encapsulated by adding a first header addressed to itself;
Means for extracting the first data MAC frame from the received first encapsulated MAC frame;
When the extracted first data MAC frame is a MAC frame addressed to a broadcast in the LAN, the first data MAC frame is encrypted and a second header addressed to a plurality of external devices in the LAN is added. Means for encapsulating and generating a plurality of second encapsulated data that are unicast MAC frames;
MAC bridging device that generated the plurality of second encapsulated data has been and means for transmitting to said plurality of external devices.
生成された前記カプセル化MACフレームを前記外部ブリッジ装置へ送信する手段とを具備する端末装置。The broadcast MAC frame encapsulated unicast MAC frame by adding a header to the external bridge device destined to generate an encapsulated MAC frame if the data MAC frame to be transmitted as a MAC frame addressed to the broadcast in the LAN Means,
A terminal device comprising: means for transmitting the generated encapsulated MAC frame to the external bridge device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002264216A JP3816850B2 (en) | 2002-09-10 | 2002-09-10 | MAC bridge device and terminal device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002264216A JP3816850B2 (en) | 2002-09-10 | 2002-09-10 | MAC bridge device and terminal device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004104500A JP2004104500A (en) | 2004-04-02 |
JP3816850B2 true JP3816850B2 (en) | 2006-08-30 |
Family
ID=32263717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002264216A Expired - Fee Related JP3816850B2 (en) | 2002-09-10 | 2002-09-10 | MAC bridge device and terminal device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3816850B2 (en) |
-
2002
- 2002-09-10 JP JP2002264216A patent/JP3816850B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2004104500A (en) | 2004-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11659385B2 (en) | Method and system for peer-to-peer enforcement | |
US7797530B2 (en) | Authentication and encryption method and apparatus for a wireless local access network | |
US7756069B2 (en) | Communication system, wireless LAN base station controller, and wireless LAN base station device | |
EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
US7768941B1 (en) | Method and system for initiating a virtual private network over a shared network on behalf of a wireless terminal | |
US7483409B2 (en) | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network | |
US7441043B1 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
JP4823359B2 (en) | Sending management traffic over multihop mesh networks | |
US8179890B2 (en) | Mobile IP over VPN communication protocol | |
JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
US20120166804A1 (en) | VLAN Tunneling | |
US9226142B2 (en) | Mobile communication system, communication control method, and radio base station | |
US20070105549A1 (en) | Mobile communication system using private network, relay node, and radio network controller | |
US20050223111A1 (en) | Secure, standards-based communications across a wide-area network | |
US20080192925A1 (en) | Means and Method for Ciphering and Transmitting Data in Integrated Networks | |
US20090113073A1 (en) | Remote access system and its ip address assigning method | |
US9602470B2 (en) | Network device, IPsec system and method for establishing IPsec tunnel using the same | |
US7680110B2 (en) | Communication device, communication system, and communication method | |
US20070206796A1 (en) | Communication System, Key Distribution Control Device, and Radio Lan Base Station Device | |
JPH07107082A (en) | Cipher gateway device | |
JP2004312257A (en) | Base station, repeating device and communication system | |
WO2020228130A1 (en) | Communication method and system for network management server and network element of communication device | |
US20130191635A1 (en) | Wireless authentication terminal | |
JP3816850B2 (en) | MAC bridge device and terminal device | |
US20080077972A1 (en) | Configuration-less authentication and redundancy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050517 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050705 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050905 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051004 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051205 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060608 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090616 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100616 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100616 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110616 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120616 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120616 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130616 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |