JP5507705B2 - ノード間秘密保持通信方法およびシステム - Google Patents

ノード間秘密保持通信方法およびシステム Download PDF

Info

Publication number
JP5507705B2
JP5507705B2 JP2012543453A JP2012543453A JP5507705B2 JP 5507705 B2 JP5507705 B2 JP 5507705B2 JP 2012543453 A JP2012543453 A JP 2012543453A JP 2012543453 A JP2012543453 A JP 2012543453A JP 5507705 B2 JP5507705 B2 JP 5507705B2
Authority
JP
Japan
Prior art keywords
source
node
destination
exchange
facility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012543453A
Other languages
English (en)
Other versions
JP2013514682A (ja
Inventor
▲満▼霞 ▲鉄▼
▲軍▼ 曹
琴 李
莉 ▲葛▼
振海 黄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Publication of JP2013514682A publication Critical patent/JP2013514682A/ja
Application granted granted Critical
Publication of JP5507705B2 publication Critical patent/JP5507705B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本出願は、2009年12月18日に中国特許局に提出し、出願番号が200910219572.8であり、発明名称が「ノード間秘密保持通信方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本発明はネットワーク安全分野に関し、特に特別ノード間秘密保持通信方法およびシステムに関する。
有線ローカルエリアネットワークは通常ブロードキャスト型ネットワークであり、いずれかの1つのノードが送信したデータは他のノードも受信できる。ネットワークにおける各ノードはチャンネルを共用するため、ネットワークに重大なセキュリティリスクをもたらす。攻撃者はネットワークにアクセスしモニタリングを行えば、ネットワークの全てのデータパケットを入手できる。現在の国家基準GB/T15629.3(IEEE802.3或いはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLAN(Local AreaNetwork)はデータ秘密保持の方法を提供しておらず、これでは重要な情報が攻撃者に容易に傍受されてしまう。
有線ローカルエリアネットワークにおいて、IEEEはIEEE 802.3のセキュリティ強化を行うことによりリンク層のセキュリティを実現する。IEEE 802.1AEはイーサネット(登録商標)のデータ過密プロトコルを提供することを保護するために、ホップバイホップ暗号化の安全対策を採用することによりネットワークノード間データの安全な伝送を実現する。しかし、このようなセキュリティ対策はローカルエリアネットワークの交換設備に非常に大きい算定負荷をかけ、攻撃者の交換設備に対する攻撃を招きやすくする。かつ、データパケットの送信元ノードから対象ノードへの伝送遅延も増え、ネットワークの伝送効率を低下させる。
有線ローカルエリアネットワークのトポロジ構造は複雑で、関連するノード(以下、ユーザ端末と交換設備をノードと総称)の数も多いので、ネットワークのデータ通信も複雑である。もし全ノードにおいて二つのノードごとに共有キーを確立すると、ノードが保存しなければならない共有キーの数は非常に多くなる。もし隣接ノード間の共有キーを利用してホップバイホップ暗号化のセキュリティ対策を使行えば、ネットワーク交換設備に非常に大きい算定負荷を再びもたらす。
よって、ノード間秘密保持通信の問題を解決するための方法を研究する必要がある。データのノード間での秘密保持伝送を保証する一方で、もう一方ではキーの数とキーが確立した複雑度をできるだけ減らし、同時にノードの暗号化・復号能力を考慮しなければならない。
背景技術における上述の技術問題を解決するため,本発明は、ノード間での交換ルーティング情報を基礎とするデータ通信のタイプを分類し、異なる秘密保持通信の戦略を選択するノード間秘密保持通信方法およびシステムを提供する。
本発明の技術解决方案として、本発明はノード間の秘密保持通信方法を提供しており、上述ノード間の秘密保持通信方法は、
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする。
好ましくは、上述ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含む。
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報をIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ぶ、送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送は中間交換設備を経由品可能性もあるし、複数の中間交換設備を経由する可能性もある。
好ましくは、上述ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含む
好ましくは、対象ノードNDestinationが送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後に実行する上述ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含む。
好ましくは、各ノードが対象ノードNDestinationから送信した交換ルーティングの応答パケットを受信した後に実行する上述ステップ2.3)は、
交換設備が交換ルーティングの応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW-first、IDSW-lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティングの応答パケットを受信した後に、IDSource、IDSW-first、IDSW-lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含む。
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、上述ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含む。
好ましくは、上述ステップ4)は送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信であり、データ通信タイプの違いに基づき、通信に採用される秘密保持通信戦略も異なる。
より好ましくは、データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合、上述ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含む。
好ましくは、データ通信タイプが交換設備から直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含む。
好ましくは、データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含む。
好ましくは、データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含む。
好ましくは、データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含む。
好ましくは、データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestination 、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含む。
好ましくは、データ通信タイプがユーザ端末から異なる交換設備下の直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含む。
本発明はさらにノード間秘密保持通信システムを提供しており、上述システムは、送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有し、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
上述システムはさらに、送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設を有する。
本発明の利点は、本発明が提供している有線ローカルエリアネットワークノード間秘密保持通信方法とシステムであり、隣接ノード間と、両端交換設備間と、同一交換設備下の直結両端ユーザ端末間とに共有キーを確立しなければならない。交換ルーティング探索プロセスにおいて獲得したノード間の交換ルーティング情報に基づき、両ノード間のデータ通信が属するタイプを判断する。これにより対応する秘密保持通信戦略を選ぶ。本発明が提供している方法は、システムにおいて交換ルーティング情報を基礎するデータ通信のタイプを分類し、異なるデータ通信タイプに対しては異なる秘密保持通信戦略を採用する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全両端ノード間にステーション間キーを確立することにより通信機密性を保護する方法に対しては、キーの数を減少させ、キー管理を簡略化する。
本発明における上記ローカルエリアネットワークの基本フレームワーク図である。 本発明における上記ノード間の交換ルーティングのネットワーク構造を示す図である。 本発明における上記交換ルーティング探索プロトコルを示す図である。 本発明における上記ノード間の交換ルーティングの探索を示す図である。 本発明における上記ノード間のデータ通信タイプの判断フローチャートを示す図である。 本発明における上記交換設備から交換設備までの通信(隣接)を示す図である。 本発明における上記交換設備から交換設備までの通信(非隣接)示す図である。 本発明における上記交換設備から直結ユーザ端末までの通信を示す図である。 本発明における上記交換設備から非直結ユーザ端末までの通信を示す図である。 本発明における上記ユーザ端末から直結交換設備までの通信を示す図である。 本発明における上記ユーザ端末から非直結交換設備までの通信を示す図である。 本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(確立ステーション間キー)を示す図である。 本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(ステーション間キーの確立なし)を示す図である。 本発明における上記ユーザ端末から異なる交換設備の直結ユーザ端末までの通信を示す図である。
本発明に係るけるノードN(Node)とは、ネットワークにおけるユーザ端末STA(Station)と交換設備SW(Switch)を指す。集線装置(hub)等物理層設備はノードとしない。
本発明において定義している直結とは、交換設備間或いは交換設備とユーザ端末間のケーブル或いは集線装置(hub)等物理層設備による直接接続する連接関係を指す。他の設備を介して接続したノード間は直結関係に属さない。
図1−12に示す通り、本発明にかかる有線ローカルエリアネットワークノードの秘密保持通信方法は主に、共有キーの確立ステップ、交換ルーティングの探索ステップ、データ通信分類ステップおよびノード間の秘密保持通信ステップとの4つのプロセスを備え、具体的な実施形態は以下の通りである。
ステップ1)共有キーの確立:ユーザ端末と交換設備間、交換設備のいずれかの二つの間および同一交換設備の2つの直結ユーザ端末間を含むノード間において共有キーを確立する。具体的に以下のステップより実行する。
ステップ1.1)隣接ノード間に共有キーを確立し、ユニキャストキーUSK(Unicast Session Key)と呼ぶ。
ステップ1.2)交換設備にいずれかの二つの間において共有キーを確立し、このような場合の共有キーを交換キーSWkey (SWitch key)と呼ばれ、ここで、隣接交換設備間のユニキャストキーは、隣接交換設備間の交換キーである。
ステップ1.3)ローカル戦略に基づき、同一交換設備の2つの直結ユーザ端末間において共有キーを確立し、この場合の共有キーをステーション間キーSTAkey(STAtion key)と呼ぶ。
ローカルエリアネットワークの基本フレームワークは図1に示す通りである。全部の隣接するノード間、例えば隣接する交換設備SW−AとSW−B間、隣接する交換設備SW−Eとユーザ端末STA2間に、ユニキャストキーUSKを有する。交換設備のいずれかの二つの間、例えば隣接する交換設備SW−BとSW−E間、非隣接する交換設備SW−EとSW−G間とは関らず、交換キーSWkeyを有する。同一交換設備の直結ユーザ端末STA間、例えばユーザ端末STA1とSTA2間、ユーザ端末STA7とSTA9間においては、ステーション間キーSTAkeyを確立できる。ここで、ユニキャストキーと交換キーは、ノードがネットワークにアクセス成功した場合に確立される。ステーション間キーは、通信が行われる場合に送信元ノードNSourceがローカル戦略に基づき、確立するかどうかを決定する。通常、もしユーザ端末STA1が同一交換設備の他の直結ユーザ端末STA2へ送信するデータ量が大きければステーション間キーを確立しなければならない。もし簡単なデータパケット情報であればステーション間キーは確立しなくてもよい。ユニキャストキー、交換キーおよびステーション間キーは、事前配布或いはある安全メカニズムにより確立でき、確立する具体的な方法は本発明では制限と定義をしない。
2)交換ルーティングの探索:ノード間は共有キー交換ルーティングの探索に基づき、ノード間の交換ルーティング情報を獲得する。以下それについて詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を下記のような識別子四タプルと定義する。
[IDSource, IDSW−first,IDSW−last,IDDestination
ここで、
IDSourceは、送信元ノードNSourceの識別子を示し、ここで、送信元ノードNSourceはユーザ端末でもよく、交換設備でもよい。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示す。
IDDestinationは、対象ノードNDestinationの識別子を示す。ここで、対象ノードNDestinationはユーザ端末でもよく、交換設備でもよい。
送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource, IDSW−first,IDSW−last,IDDestination]に対応するネットワーク構造は図2に示す通りである。ここで、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備は、中間交換設備と呼ばれる。送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送が中間交換設備を経由しない可能性もあるし、複数の中間交換設備を経由する可能性もある。
ネットワークにおいて、ノードNSourceからノードNDestinationまでの交換ルーティング情報を知る必要がある場合、交換ルーティング探索ステップを起動しなければならない。図3に示すように、交換ルーティング探索は交換ルーティング探索パケットと交換ルーティング応答パケットを含む。図4に示すように、以下、交換ルーティング探索を詳細に説明する。
ステップ2.1)送信元ノードNSourceは対象ノードNDestinationへ交換ルーティング探索パケットを送信する。
送信元ノードNSourceは交換ルーティング探索パケットを構成し、対象ノードNDestinationへ送信する。当該パケットには主に識別子四タプルが含まれる。
[IDSource,IDSW−first,IDSW−last,IDDestination
ここで、
IDSourceは、送信元ノードNSourceの識別子を示す。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した第1交換設備SW−firstの識別子を示す。もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceである。もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSource直結交換設備の識別子である。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した最終交換設備SW−lastの識別子を示す。交換ルーティング探索パケットにおいて、当該フィールドは未知である(図4ではクエスチョンマークを用いて(“?”)示している)。
IDDestinationは、対象ノードNDestinationの識別子を示す。
ステップ2.2)対象ノードNDestinationは、送信元ノードNSourceへ交換ルーティング応答パケットを送信する。
対象ノードNDestinationは、送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後、以下の通り実行する。
ステップ2.2.1)送信元ノードNSourceから送信したデータパケットが経由した最終交換設備SW−lastの情報を判断する。もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationである。もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザ直結交換設備の識別子である。
ステップ2.2.2)識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録する。ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティングは探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となる。上述識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
ステップ2.2.3)交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信する。当該パケットは主に明確となった全フィールド値の識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を含む。
ステップ2.3)各ノードは交換ルーティング応答パケットを受信する。
ステップ2.3.1)交換設備が交換ルーティングの応答パケットを受信後、もし自身の識別子が当該パケットにおける識別子四タプルに含まれば、識別子四タプル[IDSource,IDSW-first,IDSW-last,IDDestination]を記録し、転送する。もし自身の識別子が当該パケットにおける識別子四タプルになければ、直接当該パケットを転送する。
ステップ2.3.2)送信元ノードNSourceは交換ルーティング応答パケットを受信後、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、今回の交換ルーティング探索ステップを完成する。
ネットワーク全体においては、送信元ノードNSource、第1交換設備SW−first、最終交換設備SW−lastおよび対象ノードNDestinationが記録しなければならない送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報のみがある。もし送信元ノードNSourceが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る第1交換設備SW−firstはこれ自身であり、SW−firstはNSourceである。もし対象ノードNDestinationが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る最終交換設備SW−lastはNDestinationであり、SW−lastはNDestinationである。
3)データ通信タイプの分類:ノード間は上述交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断する。以下データ通信タイプの判断について詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのデータ秘密保持通信は、ノードNSourceとNDestination間の物理接続関係およびこれら自身のノードタイプに基づき、以下の7つのタイプに分類できる。
Type1:交換設備から交換設備までの通信。
例: 図1におけるSW−AからSW−Eまで、SW−DからSW−Bまでのデータ通信。
Type2:交換設備から直結ユーザ端末までの通信。
例:図1におけるSW−EからSTA1まで、SW−GからSTA9までのデータ通信。
Type3:交換設備から非直結ユーザ端末までの通信。
例:図1におけるSW−AからSTA1まで、SW−DからSTA6までのデータ通信。
Type4:ユーザ端末から直結交換設備までの通信。
例:図1におけるSTA2からSW−Eまで、STA5からSW−Fまでのデータ通信。
Type5:ユーザ端末から非直結交換設備までの通信。
例:図1におけるSTA2からSW−Fまで、STA5からSW−Bまでのデータ通信。
Type6:ユーザ端末から同一交換設備までの他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA3まで、STA5からSTA6までのデータ通信。
Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA6まで、STA5からSTA9までのおデータ通信。
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した交換ルーティング四タプル情報[IDSource,IDSW−first,IDSW−last,IDDestination]に基づき判断する。具体的な判断フローは図5に示す通りである。以下判断フローについて詳細に説明する。
ステップ3.1)IDSW−first=IDSourceが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceは交換設備であり、ステップ3.2)を実行する。もし成立しなければ、送信元ノードNSourceはユーザ端末でありステップ3.4)を実行する。
ステップ3.2)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から交換設備までの通信であり、タイプType1に属する。もし成立しなければ、対象ノードNDestinationはユーザ端でありステップ3.3)を実行する。
ステップ3.3)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から直結ユーザ端末までの通信であり、タイプType2に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から非直結ユーザ端末までの通信であり、タイプType3に属する。
ステップ3.4)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、ステップ3.5)を実行する。もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行する。
ステップ3.5)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から直結交換設備までの通信であり、タイプType4に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から非直結交換設備までの通信であり、タイプType5に属する。
ステップ3.6)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から同一交換設備までの他の直結ユーザ端末の通信であり、タイプType6に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から異なる交換設備の直結ユーザ端末までの通信でありタイプType7に属する。
4)ノード間秘密保持通信:ノード間の異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用してノード間秘密保持通信を実行する。以下それについて詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信はデータ通信タイプの違いに基づき、通信する際に採用する秘密保持通信戦略もまた異なる。具体的な各通信タイプが採用する秘密保持通信戦略の詳細は以下の通りである。
4.1)Type1:交換設備から交換設備までの通信
ネットワークにおける交換設備のいずれかの2つの間に交換キー(交換キーの確立プロセスは本発明では定義と限定はしない)があり、Type1と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.1.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstでもある)は、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備IDSW−lastである)間との交換キーを使用しデータパケットを暗号化する。
ステップ4.1.2)もし中間交換設備が存在すれば、中間交換設備はType1と分類する通信データパケットを受信し、直接転送する。
ステップ4.1.3)対象ノードNDestinationは、送信元ノードNSource間との交換キーを使用しデータパケットを復号する。
交換設備から交換設備までの通信は、交換設備から隣接交換設備までの通信(例えば図6−aにおける交換設備SW−Bから交換設備SW−Eまでの通信)と、交換設備から非隣接交換設備までの通信(例えば図6−bにおける交換設備SW−Bから交換設備SW−Gまでの通信)を含む。図6−aにおいて交換キーSWkeyB−Eを直接使用することによりデータパケットを復号し、暗号化する。図6−bにおいて交換キーSWkeyB−Gを直接使用することによりデータパケットを復号、暗号化し、中間交換設備(例えば交換設備SW−A、SW−D)は直接転送すればよい。
4.2)Type2:交換設備から直結ユーザ端末までの通信
ネットワークにおいて、交換設備と直結ユーザ端末間にユニキャストキーを有する(ユニキャストキーの確立プロセスは本発明では定義と限定はしない)。Type2と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.2.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstと最終交換設備SW−lastでもある)は、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.2.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
図7に示す通り、交換設備SW−Eからユーザ端末STA3までの通信はType2に属する。交換設備SW−Eを送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
4.3)Type3:交換設備から非直結ユーザ端末までの通信。
ネットワークは交換設備と直結ユーザ端末間に有ユニキャストキー、交換設備間有交換キーを有する。Type3と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.3.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備SW−firstである)は、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化する。
ステップ4.3.2)もし中間交換設備が存在すれば、中間交換設備はType3と分類するデータパケットを直接転送する。
ステップ4.3.3)最終交換設備SW−lastは、送信元ノードNSourceとの交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、その後転送する。
ステップ4.3.4)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
図8に示す通り、交換設備SW−Aからユーザ端末STA3までの通信はType3に属し、SW−Eは最終交換設備である。交換設備SW−Aは送信元ノードとして、SW−E間との交換キーSWkeyA-Eを使用してデータパケットを暗号化する。交換設備SW−Bは中間交換設備に属し、データパケットを直接に転送する。交換設備SW−Eは最終交換設備として、交換キーSWkeyA-Eを使用してデータパケットを復号し、そして、ユーザ端末STA3間とのユニキャストキーUSK3-Eを使用してデータパケットを暗号化し、転送する。ユーザ端末STA3は対象ノードとして、ユニキャストキーUSK3-Eを使用してデータパケットを復号する。
4.4)Type4:ユーザ端末から直結交換設備までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有する。Type4と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.4.1)送信元ノードNSource(この場合はユーザ端末とする)は、対象ノードNDestination(この場合は交換設備とし対象ノードNDestinationは同時に第1交換設備SW−first、最終交換設備SW−lastである)間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.4.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
図9に示す通り、ユーザ端末STA3から交換設備SW−Eまでの通信はType4に属する。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを対象ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。タイプType4の通信とタイプType2の通信は方向が異なるだけで、すべて送信元ノードと対象ノード間とのユニキャストキーを使用することによりデータパケットを復号し暗号化する。
4.5)Type5:ユーザ端末から非直結交換設備までの通信。
ネットワークはユーザ端末と直結交換設備間にユニキャストキー、交換設備間に交換キーを有する。Type5と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.5.1)送信元ノードNSource(この場合はユーザ端末とする)は第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.5.2)第1交換設備SW−firstは送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備SW−lastである)間との交換キーを使用しデータパケットを暗号化し、その後転送する。
ステップ4.5.3)もし中間交換設備が存在すれば、中間交換設備はType5と分類するデータパケットを直接転送する。
ステップ4.5.4)対象ノードNDestinationは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。
如図10に示すように、ユーザ端末STA3から交換設備SW−Aまでの通信はType5に属し、SW−Eは第1交換設備である。ユーザ端末STA3は送信元ノードとして、ユニキャストキーUSK3−Eを使用してデータパケットを暗号化する。交換設備SW−Eは第1交換設備として、ユニキャストキーUSK3-Eを使用してデータパケットを復号し、そして、対象ノードSW−A間との交換キーSWkeyA-Eを使用してデータパケットを暗号化し、転送する。交換設備SW−Aは対象ノードとして、SW−E間との交換キーSWkeyA-Eを使用してデータパケットを復号する。タイプType5の通信とタイプType3の通信は方向が異なり、プロセスが相反するだけで、実施過程において使用するキーは全て同じである。
3.2.6)Type6:ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、同一交換設備の直結ユーザ端末間はローカルの決定に基づき、ステーション間キーの(ステーション間キーの確立プロセスは本発明では定義と限定はしない)確立を選択できる。Type6と分類するデータ通信は、ステーション間キーが確立するかどうかによって採用する秘密保持通信は異なる。
ステップ4.6.1)すでに確立したステーション間キーに関し、Type6と分類するデータ通信が採用する秘密保持通信戦略以下の通りである。
ステップ4.6.1.1)送信元ノードNSourceは、対象ノードNDestination(この場合はユーザ端末とする)間とのステーションキーを使用しデータパケットを暗号化する。
ステップ4.6.1.2)タイプType6のデータパケットに関しては、第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備である)が、それを直接に転送する。
ステップ4.6.1.3)対象ノードNDestinationは、送信元ノードNSource間とのステーション間キーを使用しデータパケットを復号する。
ステップ4.6.2)確立していないステーション間キーに関し、Type6が採用する秘密保持通信は以下の通りである。
4.6.2.1)送信元ノードNSourceは、直結交換設備間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.6.2.2)第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備でもある)は、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化し、転送する。
ステップ4.6.2.3)対象ノードNDestinationは、直結交換設備間とのユニキャストキーを使用しデータパケットを復号する。
如図ll−a、ll−bに示す通り、ユーザ端末STAlからSTA3間までのデータ通信はタイプType6に属する。
図ll−aはすでに確立したステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとしSTA3間とのステーション間キーSTAkeyl−3を使用しデータパケットを暗号化する。交換設備SW−Eはデータパケットを直接に転送する。ユーザ端末STA3を対象ノードとしSTAl間とのステーション間キーSTAkeyl−3を使用しデータパケットを復号する。
図ll−bはステーション間キーが確立されていない通信を示す図である。ユーザ端末STAlは送信元ノードとして、交換設備SW−E間とのユニキャストキーUSK1-Eを使用してデータパケットを暗号化する。交換設備SW−EはユニキャストキーUSK1-Eを使用してデータパケットを復号し、その後に、ユニキャストキーUSK3-Eを使用してデータパケットを暗号化し、転送する。ユーザ端末STA3は対象ノードとして、ユニキャストキーUSK3-Eを使用してデータパケットを復号する。
4.7)Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、交換設備間に交換キーを有する。Type7と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.7.1)送信元ノードNSource(この場合はユーザ端末とする)は、第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.7.2)第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化し、転送する。
ステップ4.7.3)もし中間交換設備が存在すれば、中間交換設備はType7と分類するデータパケットを直接転送する。
ステップ4.7.4)最終交換設備SW−lastは第1交換設備SW−first間との交換キーを使用してデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用してデータパケットを暗号化し、転送する。
ステップ4.7.5)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
図12に示すように、ユーザ端末STA3からSTA9までの通信はType7に属する。Type7のデータ通信は送信元ノードから第1交換設備までと、第1交換設備から最終交換設備までと、最終交換設備から対象ノードまでとの三段階に分類できる。図12において、ユーザ端末STA3は送信元ノードとして、交換設備SW−E間とのユニキャストキーUSK3-Eを使用してデータパケットを暗号化する。交換設備SW−Eは第1交換設備として、送信元ノード間とのユニキャストキーUSK3-Eを使用してデータパケットを復号し、さらに、最終交換設備SW−G間との交換キーSWkeyE-Gデータを再び使用してパケットを暗号化し、転送する。交換設備SW−D、SW−A、SW−Dを中間交換設備としてデータパケットを直接に転送する。交換設備SW−Gは最終交換設備として、第1交換設備SW−E間との交換キーSWkeyE-Gを使用してデータパケットを復号し、さらに対象ノード間とのユニキャストキーUSK9-Gを再び使用してデータパケットを暗号化し、転送する。ユーザ端末STA9は対象ノードとして、最終交換設備SW−G間とのユニキャストキーUSK9-Gを使用してデータパケットを復号する。
本発明に係るノード間の秘密保持通信システムは送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−last(即ち最終交換設備SW−last)と対象ノードNDestinationを含む。以下それぞれに対して説明する
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化する。対象ノードNDestinationが送信した交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。対象ノードNDestinationは、送信元ノードNSourceが送信した交換ルーティング探索パケットを受信し、データパケットを暗号化する。送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。ここで、上述送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報は、IDSource、IDSW−first、IDSW−last、IDDestinationを備える。
好ましくは、上述システムはさらに送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送することに用いる中間交換設備を備える。
本発明に係るノード間の秘密保持通信の方法はノード間の異なる通信情況に基づき、分類し、適切な秘密保持通信戦略を選択する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全ノードのいずれかの二つの間にステーション間キーを確立することにより保護通信機密性を保護する方法に対しては、キーの数を減らしキー管理を簡略化する。
以上は本発明における優先実施形態であり、当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を行うことができる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。

Claims (14)

  1. ノード間に共有キーを確立するステップ1)と、
    ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
    送信元ノードN Source が、交換ルーティング探索に基づき、前記送信元ノードN Source と対象ノードN Destination 間の交換ルーティング情報を獲得するステップ2)と;
    ここで、前記送信元ノードN Source と前記対象ノードN Destination の間の交換ルーティング情報は、識別子四タプルと定義され、ID Source と、ID SW-first と、ID SW-last と、ID Destination とを含み、
    前記ID Source は、送信元ノードN Source の識別子を示し、
    前記ID SW-first は、送信元ノードN Source から対象ノードN Destination までのデータパケットが経由する第1交換設備SW−firstの識別子を示す、
    前記ID SW-last は、送信元ノードN Source から対象ノードN Destination までのデータパケットが経由する最終交換設備SW−lastの識別子を示し、 前記ID Destination は、対象ノードN Destination の識別子を示し;
    前記送信元ノードN Source から前記対象ノードN Destination までのリンク上の各ノードが、前記送信元ノードN Source と前記対象ノードN Destination の間の前記交換ルーティング情報に基づき、前記送信元ノードN Source と前記対象ノードN Destination 間のデータ通信タイプを判断するステップ3)と;
    前記送信元ノードN Source から前記対象ノードN Destination までのリンク上の各ノードが、前記送信元ノードN Source と前記対象ノードN Destination の間のデータ通信タイプに基づき、対応する秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
    を含むことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信方法
  2. 前記ステップ1)は、
    隣接ノード間に共有キーを確立するステップ1.1)と、
    ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast
    Session Key)と呼ばれ;
    ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立す
    るステップ1.2)と、
    ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key
    )と呼ばれ;
    ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確
    立するステップ1.3)と、
    ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間
    キーSTAkey(STAtion key)と呼ばれる
    を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の
    秘密保持通信方法。
  3. 送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ばれる、有線ローカルエリアネットワークノード間の秘密保持通信方法であって、
    前記ステップ2)は、
    送信元ノードNSourceが対象ノードNDestination、ID Source 、ID SW-first 、ID SW-last およびID Destination を含む交換ルーティング探索パケットを送信するステップ2.1)と、
    ここで、もし送信元ノードNSourceを交換設備とすれば、IDSW-firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW-firstは送信元ノードNSourceの直結交換設備の識別子であり、
    対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;
    各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
    を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  4. 対象ノードNDestination送信元ノードNSourceから送信した交換ルーティング探索パケットを受信した後に実行する前記ステップ2.2)は、
    送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW-lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW-lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
    識別子四タプルを記録し、ここで、IDSource、IDSW-firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であるステップ2.2.2)と、
    ここで、前記識別子四タプルはIDSource、IDSW-first、IDSW-lastおよびIDDestinationを含み;
    IDSource、IDSW-first、IDSW-lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
    を含むことを特徴とする請求項3に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  5. 各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信後に実行する前記ステップ2.3)は、
    交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
    ここで、識別子四タプルは前記IDSource、IDSW-first、IDSW-lastおよびIDDestinationを含み;
    送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW-first、IDSW-lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
    を含むことを特徴とする請求項4に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  6. 前記ステップ3)は、
    IDSW-first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
    IDSW-last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
    IDSW-last=IDSW-firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
    IDSW-last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
    IDSW-last=IDSW-firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
    IDSW-last=IDSW-firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
    を含むことを特徴とする請求項5に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  7. データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合,ノード
    間の秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
    ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
    もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
    対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間秘密保持通信方法。
  8. データ通信タイプが交換設備から直結ユーザ端末までの通信である場合、ノード間の秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
    ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
    対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  9. データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
    ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
    もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
    最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
    ここで、前記対象ノードNDestinationがユーザ端末である;
    対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  10. データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
    ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
    対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  11. データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
    前記送信元ノードNSourceがユーザ端末である;
    第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
    前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
    もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
    対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  12. データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)
    の戦略を有し、
    ここで、
    4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
    送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
    第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
    ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
    対象ノードNDestination 、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
    をふくみ;
    また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
    送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
    第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
    ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
    対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  13. データ通信タイプがユーザ端末から異なる交換設備の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
    第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して転送するステップ4.7.2)と;
    もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
    最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
    ここで、前記対象ノードNDestinationはユーザ端末である;
    対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  14. 送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestination 、中間交換設備を有する有線ローカルエリアネットワークノード間の秘密保持通信システムであって、
    前記ノード間に共有キーが確立されており、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含み、
    送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録して、前記交換ルーティング情報に基づいてデータ通信タイプを判断し、前記通信タイプに基づいて対応する秘密保持通信戦略を採用し、ノード間秘密保持通信を実行し、
    第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、前記通信タイプに基づいて対応する秘密保持通信戦略を採用し、ノード間秘密保持通信を実行し、
    第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、前記通信タイプに基づいて対応する秘密保持通信戦略を採用し、ノード間秘密保持通信を実行し、
    対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、送信元ノードN Source と対象ノードN Destination の間のデータ通信タイプを判断し、前記通信タイプに基づいて対応する秘密保持通信戦略を採用し、ノード間秘密保持通信を実行し、
    前記中間交換設備は、送信元ノードN Source から対象ノードN Destination までの全部のデータパケットを直接トランスペアレント伝送し、
    また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW-first、IDSW-lastおよびIDDestinationを含む
    ことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信システム。
JP2012543453A 2009-12-18 2010-06-02 ノード間秘密保持通信方法およびシステム Active JP5507705B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009102195728A CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及系统
CN200910219572.8 2009-12-18
PCT/CN2010/073454 WO2011072514A1 (zh) 2009-12-18 2010-06-02 节点间保密通信方法及系统

Publications (2)

Publication Number Publication Date
JP2013514682A JP2013514682A (ja) 2013-04-25
JP5507705B2 true JP5507705B2 (ja) 2014-05-28

Family

ID=42464488

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012543453A Active JP5507705B2 (ja) 2009-12-18 2010-06-02 ノード間秘密保持通信方法およびシステム

Country Status (6)

Country Link
US (1) US8966257B2 (ja)
EP (1) EP2515469B1 (ja)
JP (1) JP5507705B2 (ja)
KR (1) KR101485231B1 (ja)
CN (1) CN101741547B (ja)
WO (1) WO2011072514A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101854244B (zh) * 2010-06-07 2012-03-07 西安西电捷通无线网络通信股份有限公司 一种三段式安全网络架构建立和保密通信方法及其系统
CN101917272B (zh) 2010-08-12 2012-07-18 西安西电捷通无线网络通信股份有限公司 一种邻居用户终端间保密通信方法及系统
WO2013134402A1 (en) * 2012-03-07 2013-09-12 Motorola Mobility Llc Policy for secure packet transmission using required node paths and cryptographic signatures
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10210341B2 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
CN105979570B (zh) * 2016-06-30 2019-02-15 中国传媒大学 一种基于wlan的多跳桥接自动建链的方法
CN107231211A (zh) * 2017-05-22 2017-10-03 四川长虹电器股份有限公司 应用于wdm业务疏导网络中的加密动态恢复方法
CN113542197A (zh) * 2020-04-17 2021-10-22 西安西电捷通无线网络通信股份有限公司 一种节点间保密通信方法及网络节点
KR102202902B1 (ko) * 2020-09-02 2021-01-15 (주)티에이치엔 차량용 통신 제어 장치의 보안 방법 및 그 장치

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239176A (ja) * 1998-02-20 1999-08-31 Nippon Telegr & Teleph Corp <Ntt> アドホックネットワークのパケットルーティング方法
JP3597511B2 (ja) * 2002-02-22 2004-12-08 エヌ・ティ・ティ・コムウェア株式会社 無線装置およびその通信経路制御方法、コンピュータプログラム
GB0220660D0 (en) * 2002-09-05 2002-10-16 Nokia Corp Signal propogation delay routing
EP1475926B1 (en) * 2003-05-05 2009-04-22 Samsung Electronics Co., Ltd. Routing system for establishing optimal route in wireless personal area network (WPAN) and method thereof
JP2005236674A (ja) * 2004-02-19 2005-09-02 Matsushita Electric Ind Co Ltd 無線端末装置、無線通信システム、及び、パケットルーティング方法
CN1599357A (zh) * 2004-07-26 2005-03-23 南京邮电学院 自组网环境下协同能量保护和服务质量保证的模糊选路方法
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
CN101438256B (zh) * 2006-03-07 2011-12-21 索尼株式会社 信息处理设备、信息通信系统、信息处理方法
EP1843542A1 (en) * 2006-04-04 2007-10-10 Alcatel Lucent Method for transferring messages comprising extensible markup language information
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
JP4948054B2 (ja) * 2006-06-16 2012-06-06 三菱電機株式会社 管理装置及び通信端末装置及び通信システム及び通信管理方法
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN101155024A (zh) 2006-09-29 2008-04-02 湖南大学 分簇结构传感器网络的有效密钥管理方法及其运行方法
JP2008104040A (ja) * 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
JP2008154103A (ja) 2006-12-19 2008-07-03 Ricoh Co Ltd 通信中継装置
JP4081724B1 (ja) * 2006-12-27 2008-04-30 日本電気株式会社 クライアント端末、中継サーバ、通信システム、及び通信方法
JP2008259148A (ja) 2007-03-30 2008-10-23 Shimousa Systems:Kk 中継器の負荷を最小限に抑えた高強度暗号通信方式
CN100594691C (zh) * 2007-10-09 2010-03-17 华中科技大学 Manet网络的数据传递加密方法
CN101594271B (zh) * 2008-05-27 2011-08-10 华为技术有限公司 无线自组织网络组建和工作方法以及相关网络和设备
US10264029B2 (en) * 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network

Also Published As

Publication number Publication date
EP2515469A1 (en) 2012-10-24
JP2013514682A (ja) 2013-04-25
CN101741547B (zh) 2012-05-23
WO2011072514A1 (zh) 2011-06-23
US8966257B2 (en) 2015-02-24
US20120278623A1 (en) 2012-11-01
KR101485231B1 (ko) 2015-01-28
EP2515469B1 (en) 2018-08-08
CN101741547A (zh) 2010-06-16
EP2515469A4 (en) 2017-08-02
KR20120106830A (ko) 2012-09-26

Similar Documents

Publication Publication Date Title
JP5507705B2 (ja) ノード間秘密保持通信方法およびシステム
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
US7703132B2 (en) Bridged cryptographic VLAN
US7120791B2 (en) Bridged cryptographic VLAN
US20100042841A1 (en) Updating and Distributing Encryption Keys
KR20120105507A (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
CN111277404B (zh) 一种用于实现量子通信服务区块链的方法
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及系统
JP2006101051A (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
KR101518438B1 (ko) 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템
US8281134B2 (en) Methods and apparatus for layer 2 and layer 3 security between wireless termination points
EP2515468B1 (en) Method and system for establishing security connection between switch equipments
US20100131762A1 (en) Secured communication method for wireless mesh network
JPH06318939A (ja) 暗号通信システム
CN110417706A (zh) 一种基于交换机的安全通信方法
US20120216036A1 (en) Encryption methods and systems
WO2021208644A1 (zh) 一种节点间保密通信方法及网络节点
JP2008259148A (ja) 中継器の負荷を最小限に抑えた高強度暗号通信方式
Weis Overview of ieee 802.1 x-rev dynamic session key agreement
Du et al. A New Secure Group Correspondence Mechanism in Space Network

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140319

R150 Certificate of patent or registration of utility model

Ref document number: 5507705

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250