JP5529344B2 - 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム - Google Patents
安全なアーキテクチャを構築する方法、秘密通信方法及びシステム Download PDFInfo
- Publication number
- JP5529344B2 JP5529344B2 JP2013512729A JP2013512729A JP5529344B2 JP 5529344 B2 JP5529344 B2 JP 5529344B2 JP 2013512729 A JP2013512729 A JP 2013512729A JP 2013512729 A JP2013512729 A JP 2013512729A JP 5529344 B2 JP5529344 B2 JP 5529344B2
- Authority
- JP
- Japan
- Prior art keywords
- node
- ndestination
- nsource
- destination node
- last
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 50
- 230000006854 communication Effects 0.000 title claims description 41
- 238000004891 communication Methods 0.000 title claims description 37
- 230000005540 biological transmission Effects 0.000 claims description 22
- 239000000284 extract Substances 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 6
- OVGWMUWIRHGGJP-WVDJAODQSA-N (z)-7-[(1s,3r,4r,5s)-3-[(e,3r)-3-hydroxyoct-1-enyl]-6-thiabicyclo[3.1.1]heptan-4-yl]hept-5-enoic acid Chemical compound OC(=O)CCC\C=C/C[C@@H]1[C@@H](/C=C/[C@H](O)CCCCC)C[C@@H]2S[C@H]1C2 OVGWMUWIRHGGJP-WVDJAODQSA-N 0.000 description 47
- 101000988961 Escherichia coli Heat-stable enterotoxin A2 Proteins 0.000 description 47
- 101100161473 Arabidopsis thaliana ABCB25 gene Proteins 0.000 description 46
- 101100096893 Mus musculus Sult2a1 gene Proteins 0.000 description 46
- 101150081243 STA1 gene Proteins 0.000 description 46
- YVWNECBAHBJBSI-HZOWPXDZSA-N (2E,4E)-2,4,6-trimethyldeca-2,4-dienamide Chemical compound CCCCC(C)\C=C(/C)\C=C(/C)C(N)=O YVWNECBAHBJBSI-HZOWPXDZSA-N 0.000 description 26
- 238000010586 diagram Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
(1)隣接するノードを発見すること、及び、ノード及び隣接するノードが身分の鑑別と共有キーの交渉を行うことを含む、身分が合法的であるノードのネットワークアーキテクチャを構築すること、
(2)スイッチ装置の間の共有キーを構築することを含む、安全なスイッチ装置のアーキテクチャを構築すること、を含む方法。
新しいノードは、ネットワークに加入すると、隣接するノードを発見する要求パケットをマルチキャスト送信すること、
ネットワークにおけるノードのいずれも、前記隣接するノードを発見する要求パケットに係るマルチキャストのメッセージを受信すると、前記隣接するノードを発見する要求パケットから新しいノードの情報を抽出して、抽出された新しいノードの情報を自身に隣接するノードのリストに加入し、隣接するノードを発見する応答パケットを前記新しいノードにユニキャスト送信すること、
前記新しいノードは、前記隣接するノードを発見する応答パケットを受信すると、前記隣接するノードを発見する応答パケットから応答ノードの情報を抽出して、抽出された応答ノードの情報を自身に隣接するノードのリストに加入すること、を含む。
送信元ノードから宛先ノードまでの間をルートが経過した最初のスイッチ装置及び最後のスイッチ装置を捜索することを含む、スイッチングルートの捜索プロセスと、
捜索されたスイッチングルートによって、三段式の秘密通信を実施することを含む秘密通信プロセスと、を含む方法。4、前記の送信元ノードから宛先ノードまでの間をルートが経過した最初のスイッチ装置及び最後のスイッチ装置を捜索することには、
送信元ノードNSourceは、スイッチングルートを捜索する要求パケットを宛先ノードNDestinationに送信すること、
前記スイッチングルートを捜索する要求パケットに、送信元ノードNSourceに知られる送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートの情報があること、
前記送信元ノードNSourceから宛先ノードNDestination までのスイッチングルートの情報は一つの識別子四要素組(IDSource、IDSW-first、IDSW-last、IDDestination)である(ただし、
IDSourceは、送信元ノードNSourceを示す識別子を意味し、
IDSW-firstは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最初のスイッチ装置SW-firstを示す識別子を意味し、
IDSW-lastは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最後のスイッチ装置SW-lastを示す識別子を意味し、
IDDestinationは、宛先ノードNDestinationを示す識別子を意味する)こと、
宛先ノードNDestinationは、前記スイッチングルートを捜索する要求パケットを受信すると、スイッチングルートを捜索する応答パケットを送信元ノードNSourceに送信すること、を含む、ことを特徴とする請求項3に記載の方法。
好ましくは、送信元ノードNSourceは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最初のスイッチ装置SW-firstを知ると共に、宛先ノードNDestinationは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最後のスイッチ装置SW-lastを知った場合に、送信元ノードNSourceにより「スイッチングルートを捜索する要求パケット」を構築する際に、四要素組におけるIDSource、IDSW-first、IDDestinationの情報を書き込んで、宛先ノードNDestinationに送信し、宛先ノードNDestinationにより前記スイッチングルートを捜索する応答パケットを構築する際に、IDSW-last情報を書き込んで、送信元ノードNSourceに送信する。
送信元ノードNSourceがデータの暗号化方式でデータパケットを宛先ノードNDestinationに送信することを含む。
送信元ノードNSourceが前記最初のスイッチ装置SW-firstとの間の共有キーKEYS-Fを利用してデータパケットを暗号化し、宛先ノードNDestinationに送信すること、
前記最初のスイッチ装置SW-firstは、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットを受信すると、送信元ノードNSourceとの間の共有キーKEYS-Fを利用してデータパケットを復号化し、その後、前記最後のスイッチ装置SW-lastとの間の共有キーKEYF-Lを利用してデータパケットを暗号化して、その後、転送すること、中間のスイッチ装置は、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットをそのまま転送すること、前記最後のスイッチ装置SW-lastは、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットを受信すると、前記最初のスイッチ装置SW-firstとの間の共有キーKEYF-Lを利用してデータパケットを復号化して、その後、宛先ノードNDestinationとの間の共有キーKEYL-Dを利用してデータパケットを暗号化して、その後、転送すること、
宛先ノードNDestinationは、送信元ノードNSourceから送信された暗号化データパケットを受信すると、前記最後のスイッチ装置SW-lastとの間の共有キーKEYL-Dを利用してデータパケットを復号化して、送信元ノードNSourceから送信されたデータ情報を取得すること、を含む。
ユーザ端末とスイッチ装置が含まれており、
前記ユーザ端末及びスイッチ装置のいずれも、隣接するノードを発見するプロセスによって隣接するノードのすべての情報を取得すると共に、隣接するノードと鑑別及び交渉を実施して両者間に共有するキーを取得し、前記スイッチ装置は、スイッチ装置の間の共有キーをさらに構築する。
前記システムにおけるユーザ端末とスイッチ装置がデータの秘密通信をスタートする場合に、送信元ノードNSource、最初のスイッチ装置SW-first、最後のスイッチ装置SW-last及び宛先ノードNDestination という四種類の特定のノード身分を有し、
前記送信元ノードNSourceは、スイッチングルートを捜索する要求パケットを前記宛先ノードNDestinationに構築して送信し、前記宛先ノードNDestinationからスイッチングルートを捜索する応答パケットを受信し、前記宛先ノードNDestinationへ送信されたユーザデータのいずれについても前記最初のスイッチ装置SW-firstとの間の共有キーを用いて暗号化すると送信し、前記宛先ノードNDestinationから受信された暗号文データパケットのいずれについても前記最初のスイッチ装置SW-firstとの間の共有キーを用いて復号化すると情報を取得する、ためのものであり、
前記最初のスイッチ装置SW-firstは、前記送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートを捜索する要求パケットを修正すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceまでのスイッチングルートを捜索する応答パケットについて四要素組の情報を抽出し、保存すると転送し、前記送信元ノードNSourceから宛先ノードNDestinationへ送信された暗号文データパケットについて、前記送信元ノードNSourceとの間の共有キーを用いて復号化すると共に、前記最後のスイッチ装置SW-lastとの間の共有キーを用いて暗号化すると転送し、前記宛先ノードNDestinationからソースノードNSourceへ送信された暗号文データパケットについて、前記最後のスイッチ装置SW-lastとの間の共有キーを用いて復号化すると共に、前記送信元ノードNSourceとの間の共有キーを用いて暗号化すると転送する、ためのものであり、
前記最後のスイッチ装置SW-lastは、前記送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートを捜索する要求パケットを修正すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceまでのスイッチングルートを捜索する応答パケットについて、四要素組の情報を抽出し、保存すると転送し、前記送信元ノードNSourceから宛先ノードNDestinationへ送信された暗号文データパケットについて、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて復号化すると共に、前記宛先ノードNDestinationとの間の共有キーを用いて暗号化すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceへ送信された暗号文データパケットについて、前記宛先ノードNDestinationとの間の共有キーを用いて復号化すると共に、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて暗号化すると転送する、ためのものであり、
前記宛先ノードNDestinationは、前記送信元ノードNSourceからスイッチングルートを捜索する要求パケットを受信し、前記スイッチングルートを捜索する要求パケットから四要素組の情報を抽出すると保存し、スイッチングルートを捜索する応答パケットを前記送信元ノードNSourceに送信し、前記送信元ノードNSourceへ送信されたユーザデータのいずれについても前記最後のスイッチ装置SW-lastとの間の共有キーを用いて暗号化すると送信し、前記送信元ノードNSourceから受信された暗号文データパケットのいずれについても、前記最後のスイッチ装置SW-lastとの間の共有キーを用いて復号化すると情報を取得する、ためのものあっても良い。
本発明の実施例が提供する安全なアーキテクチャを構築する方法、秘密通信方法及びシステムは、この安全なアーキテクチャによれば、隣接するスイッチ装置との間の共有キーのみをユーザ端末に保存する必要があり、隣接するユーザ端末との間の共有キーとその他のすべてのスイッチ装置との間の共有キーをスイッチ装置に保存する必要があり、即ち、送信ノードと宛先ノードとの間の三段式データの秘密通信を保障するための三段式安全なアーキテクチャを構築することができる。このアーキテクチャにおけるデータの秘密通信には、送信ノードと宛先ノードとの両者間に共有する通信キーを構築する必要がなく、ホップごとに暗号化方式でデータの秘密伝送を実現する必要もない。
新しいノードは、ネットワークに加入すると、隣接するノードを発見する要求パケットを自発的にマルチキャスト送信するステップと、
ネットワークにおけるノードのいずれも、隣接するノードを発見する要求パケットに係るマルチキャストメッセージを受信すると、前記隣接するノードを発見する要求パケットから新しいノードの情報を抽出して、抽出された新しいノードの情報を自身に隣接するノードのリストに加入し、隣接するノードを発見する応答パケットを構築して、新しいノードにユニキャスト送信するステップと、
前記新しいノードは、その他のノードに応答された、隣接するノードを発見する応答パケットに係るユニキャストメッセージを受信すると、前記隣接するノードを発見する応答パケットから応答ノードの情報を抽出する、抽出された応答ノードの情報を自身に隣接するノードのリストに加入し、今回の隣接するノードを発見するプロセスを完成させるステップと、を含む。
ノードは、新しい隣接するノードに係る情報を自身に隣接するノードのリストに追加すると、新しい隣接するノードとの間の身分鑑別と共有キーの交渉とのプロセスを行い、交渉を通じて、隣接するノードとの間の共有キーを最終に取得する、
ステップを含む。
IDSourceは、送信元ノードNSourceを示す識別子であり、
IDSW-firstは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最初のスイッチ装置SW-firstを示す識別子であり、
IDSW-lastは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最後のスイッチ装置SW-lastを示す識別子であり、
IDDestinationは宛先ノードNDestinationを示す識別子である。
(2)SW-Aは、STA1からSTA2へ送信された暗号化データパケットを受信すると、STA1との間の共有キーKEY1-Aを用いてデータパケットを復号化し、その後、SW-Bとの間の共有キーKEYA-Bを用いてデータパケットを暗号化し、その後、転送する。
(3)中間のスイッチ装置は、STA1からSTA2へ送信された暗号化データパケットをそのまま転送する。
(4)SW-Bは、STA1からSTA2へ送信された暗号化データパケットを受信すると、SW-Aとの間の共有キーKEYA-Bを用いてデータパケットを復号化し、その後、STA2との間の共有キーKEY2-Bを用いてデータパケットを暗号化し、その後、転送する。
(5)STA2は、STA1から送信された暗号化データパケットを受信すると、SW-Bとの間の共有キーKEY2-Bを用いてデータパケットを復号化すれば、STA1から送信されたデータ情報を取得することができる。
(2)SW-Bは、STA2からSTA1へ送信された暗号化データパケットを受信すると、STA2との間の共有キーKEY2-Bを用いてデータパケットを復号化し、その後、SW-Aとの間の共有キーKEYA-Bを用いてデータパケットを暗号化し、その後、転送する。
(3)中間スイッチ装置は、STA2からSTA1へ送信された暗号化データパケットをそのまま転送する。
(4)SW-Aは、STA2からSTA1へ送信された暗号化データパケットを受信すると、SW-Bとの間の共有キーKEYA-Bを用いてデータパケットを復号化し、その後、STA1との間の共有キーKEY1-Aを用いてデータパケットを暗号化し、その後、転送する。
(5)STA1は、STA2から送信された暗号化データパケットを受信すると、SW-Aとの間の共有キーKEY1-Aを用いてデータパケットを復号化すれば、STA2から送信されたデータ情報を取得することができる。
送信元ノードNSourceと宛先ノードNDestinationの間の通信データパケットを受信できるが、スイッチ四要素組に存在しない中間スイッチ装置であって、送信元ノードNSourceと宛先ノードNDestinationの間のスイッチングルートを捜索する要求パケットと、スイッチングルートを捜索する応答パケットと、暗号化データパケットのいずれについても、そのまま転送する中間スイッチ装置を含む中間スイッチ装置SW-Mをさらに、含む。
STA1、STA2 端末
Claims (8)
- 安全なアーキテクチャを構築する方法であって、
(1)隣接するノードを発見すること、及び、ノード及び隣接するノードが身分の鑑別と共有キーの交渉を行うことを含む、身分が合法的であるノードのネットワークアーキテクチャを構築すること、
(2)スイッチ装置の間の共有キーを構築することを含む、安全なスイッチ装置のアーキテクチャを構築すること、
(3)送信元ノードから宛先ノードまでの間をルートが経過した最初のスイッチ装置及び最後のスイッチ装置を捜索することを含む、スイッチングルートの捜索プロセスと、
(4)捜索されたスイッチングルートによって、三段式の秘密通信を実施することを含む秘密通信プロセスと、
前記送信元ノードから宛先ノードまでの間をルートが経過した最初のスイッチ装置及び最後のスイッチ装置を捜索することには、
送信元ノードNSourceは、スイッチングルートを捜索する要求パケットを宛先ノードNDestinationに送信すること、
前記スイッチングルートを捜索する要求パケットには、送信元ノードNSourceに知られる送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートの情報が含まれること、
前記送信元ノードNSourceから宛先ノードNDestination までのスイッチングルートの情報は一つの識別子四要素組(IDSource、IDSW-first、IDSW-last、IDDestination)である(ただし、
IDSourceは、送信元ノードNSourceを示す識別子を意味し、
IDSW-firstは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最初のスイッチ装置SW-firstを示す識別子を意味し、
IDSW-lastは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最後のスイッチ装置SW-lastを示す識別子を意味し、
IDDestinationは、宛先ノードNDestinationを示す識別子を意味する)こと、
宛先ノードNDestinationは、前記スイッチングルートを捜索する要求パケットを受信すると、スイッチングルートを捜索する応答パケットを送信元ノードNSourceに送信すること
を含む、ことを特徴とする方法。 - 前記隣接するノードを発見することには、
新しいノードは、ネットワークに加入すると、隣接するノードを発見する要求パケットをマルチキャスト送信すること、
ネットワークにおけるノードのいずれも、前記隣接するノードを発見する要求パケットに係るマルチキャストのメッセージを受信すると、前記隣接するノードを発見する要求パケットから新しいノードの情報を抽出して、抽出された新しいノードの情報を自身に隣接するノードのリストに加入し、隣接するノードを発見する応答パケットを前記新しいノードにユニキャスト送信すること、
前記新しいノードは、前記隣接するノードを発見する応答パケットを受信すると、前記隣接するノードを発見する応答パケットから応答ノードの情報を抽出して、抽出された応答ノードの情報を自身に隣接するノードのリストに加入すること、
を含む、ことを特徴とする請求項1に記載の方法。 - 前記四要素組における各識別子IDは、身分ID情報或いはMACアドレス情報である、ことを特徴とする、請求項1に記載の方法。
- 送信元ノードNSourceは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最初のスイッチ装置SW-firstを知ると共に、宛先ノードNDestinationは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最後のスイッチ装置SW-lastを知った場合に、送信元ノードNSourceにより「スイッチングルートを捜索する要求パケット」を構築する際に、四要素組におけるIDSource、IDSW-first、IDDestinationの情報を書き込んで、宛先ノードNDestinationに送信し、宛先ノードNDestinationが前記スイッチングルートを捜索する応答パケットを構築する際に、IDSW-last情報を書き込んで、送信元ノードNSourceに送信する、
ことを特徴とする請求項1に記載の方法。 - 送信元ノードNSourceは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最初のスイッチ装置SW-firstを知らず、或いは、宛先ノードNDestinationは、送信元ノードNSourceから宛先ノードNDestinationへ送信されたルートが経過した最後のスイッチ装置SW-lastを知らない場合に、送信元ノードNSourceにより前記スイッチングルートを捜索する要求パケットを構築する際に、四要素組におけるIDSource、IDDestinationの情報を書き込んで、宛先ノードNDestinationに送信し、
宛先ノードNDestinationへ送信されたルートが経過した最初のスイッチ装置SW-firstは、前記スイッチングルートを捜索する要求パケットを受信した場合に、四要素組におけるIDSW-first情報を書き込んで、その後、転送し、
宛先ノードNDestinationへ送信されたルートが経過した最後のスイッチ装置SW-lastは、前記スイッチングルートを捜索する要求パケットを受信した場合に、四要素組におけるIDSW-last情報を書き込んで、宛先ノードNDestinationに転送し、
宛先ノードNDestinationは、前記スイッチングルートを捜索する応答パケットを構築する際に、知った四要素組の情報を送信元ノードNSourceに送信する、
ことを特徴とする請求項1に記載の方法。 - 前記捜索されたスイッチングルートによって三段式の秘密通信を実施することには、
送信元ノードNSourceがデータの暗号化方式でデータパケットを宛先ノードNDestinationに送信することを含み、
前記送信元ノードNSourceがデータの暗号化方式でデータパケットを宛先ノードNDestinationに送信することには、
送信元ノードNSourceが前記最初のスイッチ装置SW-firstとの間の共有キーKEYS-Fを利用してデータパケットを暗号化し、宛先ノードNDestinationに送信すること、
前記最初のスイッチ装置SW-firstは、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットを受信すると、送信元ノードNSourceとの間の共有キーKEYS-Fを利用してデータパケットを復号化し、その後、前記最後のスイッチ装置SW-lastとの間の共有キーKEYF-Lを利用してデータパケットを暗号化して、その後、転送すること、
中間のスイッチ装置は、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットをそのまま転送すること、
前記最後のスイッチ装置SW-lastは、送信元ノードNSourceから宛先ノードNDestinationまで送信された暗号化データパケットを受信すると、前記最初のスイッチ装置SW-firstとの間の共有キーKEYF-Lを利用してデータパケットを復号化して、その後、宛先ノードNDestinationとの間の共有キーKEYL-Dを利用してデータパケットを暗号化して、その後、転送すること、
宛先ノードNDestinationは、送信元ノードNSourceから送信された暗号化データパケットを受信すると、前記最後のスイッチ装置SW-lastとの間の共有キーKEYL-Dを利用してデータパケットを復号化して、送信元ノードNSourceから送信されたデータ情報を取得すること、
を含むことを特徴とする請求項1に記載の方法。 - 安全なアーキテクチャの構築と秘密通信システムであって、
ユーザ端末とスイッチ装置が含まれており、
前記ユーザ端末及びスイッチ装置のいずれも、隣接するノードを発見するプロセスによって隣接するノードのすべての情報を取得すると共に、隣接するノードと鑑別及び交渉を実施して両者間に共有するキーを取得し、
前記スイッチ装置は、スイッチ装置の間の共有キーをさらに構築し、
前記システムにおけるユーザ端末とスイッチ装置がデータの秘密通信をスタートする場合に、送信元ノードNSource、最初のスイッチ装置SW-first、最後のスイッチ装置SW-last及び宛先ノードNDestination という四種類の特定のノード身分を有し、
前記送信元ノードNSourceは、スイッチングルートを捜索する要求パケットを前記宛先ノードNDestinationに構築して送信し、前記宛先ノードNDestinationからスイッチングルートを捜索する応答パケットを受信し、前記宛先ノードNDestinationへ送信されたユーザデータのいずれについても、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて暗号化すると送信し、前記宛先ノードNDestinationから受信された暗号文データパケットのいずれについても、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて復号化すると情報を取得する、ためのものであり、
前記最初のスイッチ装置SW-firstは、前記送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートを捜索する要求パケットを修正すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceまでのスイッチングルートを捜索する応答パケットについて四要素組の情報を抽出し、保存すると転送し、前記送信元ノードNSourceから宛先ノードNDestinationへ送信された暗号文データパケットについて、前記送信元ノードNSourceとの間の共有キーを用いて復号化すると共に、前記最後のスイッチ装置SWlastとの間の共有キーを用いて暗号化すると転送し、前記宛先ノードNDestinationからソースノードNSourceへ送信された暗号文データパケットについて、前記最後のスイッチ装置SW-lastとの間の共有キーを用いて復号化すると共に、前記送信元ノードNSourceとの間の共有キーを用いて暗号化すると転送する、ためのものであり、
前記最後のスイッチ装置SW-lastは、前記送信元ノードNSourceから宛先ノードNDestinationまでのスイッチングルートを捜索する要求パケットを修正すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceまでのスイッチングルートを捜索する応答パケットについて、四要素組の情報を抽出し、保存すると転送し、前記送信元ノードNSourceから宛先ノードNDestinationへ送信された暗号文データパケットについて、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて復号化すると共に、前記宛先ノードNDestinationとの間の共有キーを用いて暗号化すると転送し、前記宛先ノードNDestinationから送信元ノードNSourceへ送信された暗号文データパケットについて、前記宛先ノードNDestinationとの間の共有キーを用いて復号化すると共に、前記最初のスイッチ装置SW-firstとの間の共有キーを用いて暗号化すると転送する、ためのものであり、
前記宛先ノードNDestinationは、前記送信元ノードNSourceからスイッチングルートを捜索する要求パケットを受信し、前記スイッチングルートを捜索する要求パケットから四要素組の情報を抽出すると保存し、スイッチングルートを捜索する応答パケットを前記送信元ノードNSourceに送信し、前記送信元ノードNSourceへ送信されたユーザデータのいずれについても前記最後のスイッチ装置SW-lastとの間の共有キーを用いて暗号化すると送信し、前記送信元ノードNSourceから受信された暗号文データパケットのいずれについても、前記最後のスイッチ装置SW-lastとの間の共有キーを用いて復号化すると情報を取得する、ためのものであり、
前記送信元ノードNSourceから宛先ノードNDestination までのスイッチングルートの情報は一つの識別子四要素組(IDSource、IDSW-first、IDSW-last、IDDestination)である(ただし、
IDSourceは、送信元ノードNSourceを示す識別子を意味し、
IDSW-firstは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最初のスイッチ装置SW-firstを示す識別子を意味し、
IDSW-lastは、送信元ノードNSourceから宛先ノードNDestinationまでのルートが経過した最後のスイッチ装置SW-lastを示す識別子を意味し、
IDDestinationは、宛先ノードNDestinationを示す識別子を意味する)
ことを特徴とするシステム。 - 前記システムには、
送信元ノードNSourceと宛先ノードNDestinationの間の通信データパケットを受信する、識別子四要素組に存在しない中間スイッチ装置であって、送信元ノードNSourceと宛先ノードNDestinationの間のスイッチングルートを捜索する要求パケットと、スイッチングルートを捜索する応答パケットと、暗号化データパケットのいずれについても、そのまま転送する
中間スイッチ装置SW-Mを含む、
ことを特徴とする請求項7に記載の安全なアーキテクチャの構築と秘密通信システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010195724.8 | 2010-06-07 | ||
CN2010101957248A CN101854244B (zh) | 2010-06-07 | 2010-06-07 | 一种三段式安全网络架构建立和保密通信方法及其系统 |
PCT/CN2011/070122 WO2011153830A1 (zh) | 2010-06-07 | 2011-01-10 | 安全网络架构建立方法、保密通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013530642A JP2013530642A (ja) | 2013-07-25 |
JP5529344B2 true JP5529344B2 (ja) | 2014-06-25 |
Family
ID=42805528
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013512729A Active JP5529344B2 (ja) | 2010-06-07 | 2011-01-10 | 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US8843748B2 (ja) |
JP (1) | JP5529344B2 (ja) |
KR (1) | KR101518438B1 (ja) |
CN (1) | CN101854244B (ja) |
WO (1) | WO2011153830A1 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854244B (zh) | 2010-06-07 | 2012-03-07 | 西安西电捷通无线网络通信股份有限公司 | 一种三段式安全网络架构建立和保密通信方法及其系统 |
CN102594706B (zh) * | 2012-03-20 | 2014-10-22 | 南京邮电大学 | 一种用于家居智能控制的无线宽带安全路由方法 |
CN103617399B (zh) * | 2013-11-06 | 2018-04-27 | 北京深思数盾科技股份有限公司 | 一种数据文件保护方法及装置 |
US10181949B2 (en) * | 2014-10-13 | 2019-01-15 | Futurewei Technologies, Inc. | Data distributing over network to user devices |
CN105872015B (zh) * | 2016-03-17 | 2019-02-12 | 广东微云科技股份有限公司 | 一种桌面云中分布式组件服务的自动发现方法 |
US11991273B2 (en) * | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
CN113542197A (zh) * | 2020-04-17 | 2021-10-22 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间保密通信方法及网络节点 |
CN114866314B (zh) * | 2022-04-29 | 2024-05-14 | 苏州雄立科技有限公司 | 会话数据包的路由方法 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11239176A (ja) * | 1998-02-20 | 1999-08-31 | Nippon Telegr & Teleph Corp <Ntt> | アドホックネットワークのパケットルーティング方法 |
JP3805610B2 (ja) * | 2000-09-28 | 2006-08-02 | 株式会社日立製作所 | 閉域グループ通信方法および通信端末装置 |
US7441267B1 (en) * | 2003-03-19 | 2008-10-21 | Bbn Technologies Corp. | Method and apparatus for controlling the flow of data across a network interface |
US7401217B2 (en) | 2003-08-12 | 2008-07-15 | Mitsubishi Electric Research Laboratories, Inc. | Secure routing protocol for an ad hoc network using one-way/one-time hash functions |
CN1253054C (zh) * | 2004-11-04 | 2006-04-19 | 西安西电捷通无线网络通信有限公司 | 全局信任的无线ip系统移动终端的漫游接入方法 |
CN1225941C (zh) * | 2004-11-04 | 2005-11-02 | 西安西电捷通无线网络通信有限公司 | 无线ip系统移动节点的漫游接入方法 |
CN1667999A (zh) | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种移动自组网络中移动节点间的保密通信方法 |
WO2006098723A1 (en) * | 2005-03-10 | 2006-09-21 | Thomson Licensing | Hybrid mesh routing protocol |
JP4735157B2 (ja) | 2005-09-22 | 2011-07-27 | ソニー株式会社 | 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム |
US8023478B2 (en) * | 2006-03-06 | 2011-09-20 | Cisco Technology, Inc. | System and method for securing mesh access points in a wireless mesh network, including rapid roaming |
US7865717B2 (en) * | 2006-07-18 | 2011-01-04 | Motorola, Inc. | Method and apparatus for dynamic, seamless security in communication protocols |
JP2008259148A (ja) | 2007-03-30 | 2008-10-23 | Shimousa Systems:Kk | 中継器の負荷を最小限に抑えた高強度暗号通信方式 |
US8553537B2 (en) * | 2007-11-09 | 2013-10-08 | International Business Machines Corporation | Session-less load balancing of client traffic across servers in a server group |
US20100023752A1 (en) * | 2007-12-27 | 2010-01-28 | Motorola, Inc. | Method and device for transmitting groupcast data in a wireless mesh communication network |
CN101562811B (zh) | 2009-05-14 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种会聚式wlan中由wtp完成wpi时的sta漫游切换方法及其系统 |
CN101674179B (zh) * | 2009-10-10 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种传感器网络密钥预分发与密钥建立方法 |
CN101741547B (zh) | 2009-12-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 节点间保密通信方法及系统 |
CN101854244B (zh) * | 2010-06-07 | 2012-03-07 | 西安西电捷通无线网络通信股份有限公司 | 一种三段式安全网络架构建立和保密通信方法及其系统 |
-
2010
- 2010-06-07 CN CN2010101957248A patent/CN101854244B/zh active Active
-
2011
- 2011-01-10 US US13/702,217 patent/US8843748B2/en active Active
- 2011-01-10 KR KR1020127034456A patent/KR101518438B1/ko active IP Right Review Request
- 2011-01-10 WO PCT/CN2011/070122 patent/WO2011153830A1/zh active Application Filing
- 2011-01-10 JP JP2013512729A patent/JP5529344B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
CN101854244B (zh) | 2012-03-07 |
JP2013530642A (ja) | 2013-07-25 |
CN101854244A (zh) | 2010-10-06 |
US8843748B2 (en) | 2014-09-23 |
KR101518438B1 (ko) | 2015-05-11 |
US20130080783A1 (en) | 2013-03-28 |
KR20130024932A (ko) | 2013-03-08 |
WO2011153830A1 (zh) | 2011-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5529344B2 (ja) | 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム | |
US8386772B2 (en) | Method for generating SAK, method for realizing MAC security, and network device | |
KR101485231B1 (ko) | 노드 간 보안 통신 방법 및 시스템 | |
JP4455574B2 (ja) | イーサネット基盤の受動型光ネットワークにおいて光終端装置と光加入者装置との間の保安チャネル設定方法及びこのためのフレーム転送制御用の多重点制御プロトコルメッセージ構造 | |
JP5288210B2 (ja) | ネットワークでのユニキャスト鍵の管理方法およびマルチキャスト鍵の管理方法 | |
AU2007292553B2 (en) | Method and system for secure processing of authentication key material in an ad hoc wireless network | |
JP2006505216A (ja) | Ipアドレス空間スクランブル処理による位置秘匿 | |
Piro et al. | A standard compliant security framework for IEEE 802.15. 4 networks | |
CN101005355A (zh) | Ipv4/ipv6综合网络系统的安全通信系统和方法 | |
US20050175184A1 (en) | Method and apparatus for a per-packet encryption system | |
CN106209401A (zh) | 一种传输方法及装置 | |
JP2006101037A (ja) | 通信装置、通信システム及び通信方法 | |
JP7432765B2 (ja) | ノード間のプライバシー通信方法およびネットワークノード | |
US20120216036A1 (en) | Encryption methods and systems | |
JP2005184322A (ja) | マルチホップ通信方法 | |
WO2009067951A1 (fr) | Procédé pour déterminer des nœuds mandataires multidiffusion et procédé, dispositif et système de multidiffusion | |
CN101834722A (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
MS et al. | Implementation of Protected Routing to Defend Byzantine Attacks for MANET's. | |
JP2009545264A (ja) | 通信ネットワーク内の2ノード間で秘密鍵を確立する方法 | |
CN113923046B (zh) | 一种分布式防火墙安全通信的实现方法及系统 | |
CN114374564A (zh) | 一种内部网关路由链路安全管理系统及方法 | |
KR100772180B1 (ko) | 이더넷 기반의 수동형 광네트워크에서 광종단장치와광가입자장치들 간에 보안 채널 설정 방법 및 이를 위한프레임 전송 제어용 다중점 제어 프로토콜 메시지 구조 | |
Niu | A Trust-Based Message Encryption Scheme for Mobile Ad Hoc Networks | |
JP2005244588A (ja) | ネットワークシステム、ゲートウェイ装置、プログラム及び通信制御方法 | |
Sudha | Securing On-Demand Route Request/Response on Android |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131203 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140220 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140416 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5529344 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |