JP5785346B1 - リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 - Google Patents

リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 Download PDF

Info

Publication number
JP5785346B1
JP5785346B1 JP2015067586A JP2015067586A JP5785346B1 JP 5785346 B1 JP5785346 B1 JP 5785346B1 JP 2015067586 A JP2015067586 A JP 2015067586A JP 2015067586 A JP2015067586 A JP 2015067586A JP 5785346 B1 JP5785346 B1 JP 5785346B1
Authority
JP
Japan
Prior art keywords
frame
field
payload
module
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015067586A
Other languages
English (en)
Other versions
JP2015181233A (ja
Inventor
▲満▼霞 ▲鉄▼
▲満▼霞 ▲鉄▼
琴 李
琴 李
志▲強▼ 杜
志▲強▼ 杜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Application granted granted Critical
Publication of JP5785346B1 publication Critical patent/JP5785346B1/ja
Publication of JP2015181233A publication Critical patent/JP2015181233A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Abstract

本発明は、リンク層セキュリティー伝送を支援する交換設備のデータ処理方法を開示した。当該リンク層セキュリティー伝送を支援する交換設備は、交換モジュールおよびマルチポートモジュールを備え、各ポートモジュールと交換モジュールは電気的に隣接する。前記ポートモジュールは、リンク層キー管理能力を支援し、前記交換設備と他のネットワークノード間にデータフレームを暗号化・復号する共有キーを確立する。

Description

本発明は、ネットワーク安全分野に属し、リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法に関する。
本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
有線ローカルエリアネットワークは、一般的にブロードキャスト型ネットワークであり、1つのノードが送信するデータは、他の全てのノードも受信できる。
ネットワークにおける各ノードは、チャネルを共有するが、ネットワークに大きな安全性欠陥をもたらす。
攻撃者は、ネットワークにアクセスしてモニタリングすれば、ネットワーク上の全てのデータパケットを捕捉できる。
従来の国家基準GB/T15629.3(IEEE802.3またはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLANは、データセキュリティー方法を提供しておらず、これでは、攻撃者に容易に重要な情報を窃取させてしまう。
国際研究分野において、IEEEが定めるiEEE802.1AE基準は、イーサネット(登録商標)を保護するため、データ暗号化プロトコルを提供し、かつ、ホップ暗号化の安全対策を用いることによりネットワークノード間のデータの安全伝送を実現する。
GB/T15629.3をサポートする交換設備は、全てのデータパケットを全て直接転送し、リンク層セキュリティー伝送能力を備えず、伝送したデータパケット情報も容易に傍受される。
また、IEEE802.1AEをサポートする交換設備は、ホップ暗号化のみをサポートするため、全ての転送した暗号化データパケットをそれぞれ復号・再暗号化する操作を行わなければならず、交換設備の計算負荷は重くなり、ネットワークデータ伝送遅延は大きくなる。
背景技術における前記技術問題を解決するため、本発明に係る実施例は、交換設備の計算負荷を低減でき、ネットワークアップグレード代価の小さい、リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法を提供する。
本発明に係る実施形態は、リンク層セキュリティー伝送をサポートする交換設備を提供する。
前記交換設備は、交換モジュールと、マルチポートモジュールとを備え、各ポートモジュールは、それぞれ交換モジュールと電気的に隣接する。
前記ポートモジュールは、リンク層キー管理能力をサポートし、前記交換設備と他のネットワークノード間においてデータフレームを暗号化・復号する共有キーを確立する。
また、本発明に係る実施形態は、リンク層セキュリティー伝送をサポートする交換設備のデータ処理方法を提供する。
前記方法は、以下のステップ1)からステップ4)を含む。
ステップ1)において、交換設備ポートであるPortXのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信する。
ステップ2)において、交換設備ポートであるPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュール処理FrameA1を結合して、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成し、交換設備の交換モジュールへ送信する。
ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出する。
もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスとが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層(例えば、ネットワーク層、応用層等)へ渡して処理する。
もし一致しなければ、交換設備は、ローカルのMACアドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
ステップ4)において、交換設備ポートであるPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュール処理を結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力する。
ここで、
PortXは、交換設備の第1ポートモジュールであり、当該PortXをデータフレームであるFrameAの入力ポートとし;
PortYは、交換設備の第2ポートモジュールであり、当該PortYをデータフレームであるFrameAの出力ポートとし;
FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し;
FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
もし、交換設備が受信したFrameAlが暗号化データフレームであり、交換設備が当該データフレームを復号・再暗号化処理後に転送しなければならないのであれば、データフレームであるFrameA1を復号処理してFrameA2を構成するのに使用するキーをKEY1と表記し;
データフレームであるFrameA2を暗号化処理してFrameA3を構成するのに使用するキーをKEY2と表記する。
そして、交換設備PortXは、KEY1を利用して、FrameA1を復号処理してFrameA2を構成する。
PortYは、KEY2を利用して、FrameA2を暗号化処理してFrameA3を構成する。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、基準のISO/IEC8802−3データフレームをサポートでき、各種リンク層暗号化プロトコルデータフレームもサポートでき、IEEE802.1AEプロトコルデータフレームがこれに含まれる。
順互換性の実現と同時に、各種リンク層暗号化プロトコルに対するサポートを実現でき、データフレームのリンク層におけるセキュリティー伝送を実現し、ネットワークの安全性を向上させる。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、IEEE802.1AE交換設備と比べて、リンク層セキュリティー伝送をサポートできる以外に、MAClistフィールドを備えるリンク層暗号化プロトコルデータフレームを処理する能力を備えているため、全ての転送しなければならないデータフレームを復号・再暗号化してから再転送する操作を行わなくても良く、これにより、交換設備の計算負荷を低減できる。
この他に、本発明に係る実施形態の交換設備は、各種データフレームをサポートするため、他の交換設備とのハイブリッドネットワーキング能力を備えており、ネットワークアップグレードの代価はさらに小さくなる。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備を示す図。 本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備データ処理のフロー図。
図1に示すように、本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、交換モジュールおよびマルチポートモジュールを備える。
ここで、全てのポートモジュールと交換モジュールとの間は、それぞれ電気的に隣接する。
各ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備える。
ここで、セキュリティー処理モジュールは、それぞれインターフェースモジュールと、アルゴリズムモジュールと、キー管理モジュールとの間において電気的に隣接する。
各ポートモジュールは、リンク層キー管理能力をサポートし、当該交換設備と他のネットワークノード間に共有キーを確立でき、データフレームを暗号化・復号する。
確立した共有キーは、事前共有ものでもよいし、ノード身分認証成功後に協議できたものでもよく、全てのポートモジュールのキー管理モジュールによりストレージして管理される。
アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムに関し、ハードウェア実現でもソフトウェア実現でもよい。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、表1に示す通り、基準のISO/IEC 8802−3データフレームをサポートし、さらにリンク層暗号化プロトコルデータフレームをサポートする。
サポートするリンク層暗号化プロトコルデータフレームは、フレームヘッドとペイロードを備える。
Figure 0005785346
ここで、フレームヘッドは、表2に示す通りである。
Figure 0005785346
ここで、DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし;
SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし;
Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し;
isEフィールドは、暗号化フラグビットを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別する。
データパケットの受信側は、このフィールドを復号しなければならないか否かの判断要素とし;
keyIndexフィールドは、ペイロードを保護するキーの識別子を表し;
MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり;
ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でもよい。
前記MAClistフィールドがある場合、前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が、もし、目的ノードであれば、受信したデータフレームを復号受信しなければならない。
もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化して、再転送しなければならない。
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備は、
もし、目的ノードであれば、受信したデータフレームを復号受信する。
もし、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよい。
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備は、
もし、目的ノードであれば、受信したデータフレームを復号受信しなければならない。
もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送しなければならない。
前記MAClistがある場合、このフィールドにより提供された特定MACアドレスリストにおける交換設備が暗号文データパケットの復号に使用するキーの検索情報は、MAClistフィールド、SAフィールド、keyIndexフィールドを備え、暗号化に使用するキーの検索情報は、MAClistフィールド、DAフィールドを備える。
前記MAClistが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならない。
暗号文データパケットの復号に使用するキーの検索情報は、SAフィールド、keyIndexフィールドを備え、暗号化に使用するキーの検索情報はDAフィールドを備える。
キー検索情報の具体的な判断方法を本発明に係る実施形態では限定せず、交換設備により具体的にサポートするEthertype識別子リンク層暗号化プロトコルによって限定する。
復号時、キー検索情報に基づいて、キーを1つしか検索し、獲得できない。
暗号化時、キー検索情報に基づいて、おそらく、複数のキーを検索し、獲得できる。
交換設備は、ローカル策略に基づいて前記複数のキーから1つを選択し、かつ、選択したキーのkeyIndexをデータフレームのフレームヘッドに書き込む。
図2に示すように、リンク層セキュリティー伝送をサポートする交換設備のポートモジュールは、交換設備の入口でも良く、交換設備の出口でも良い。
データフレームであるFrameAを例にとり説明すると、FrameAは、交換設備のポートのPortXから入力し、ポートのPortYから出力する。
異なるモジュール間にて伝送するFrameAの違いを区別するため、それぞれFrameA1−A3を用いて識別する。
ここで、FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し;
FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
もし、交換設備から受信したFrameA1が暗号化データフレームであれば、交換設備は当該データフレームを復号・再暗号化処理後に転送しなければならず、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し;
データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し;
交換設備のPortXは、KEY1を利用し、FrameA1を復号処理し、FrameA2を構成し;
PortYは、KEY2を利用し、FrameA2を暗号化処理し、FrameA3を構成する。
本発明に係る実施形態における、リンク層セキュリティー伝送をサポートする交換設備データ処理のフローは、以下のステップ1)からステップ4)からなる。
ステップ1)において、交換設備ポートのPortXのインターフェースモジュールは、データフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信する。
ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュール処理FrameA1を結合し、FrameA2を構成して交換設備の交換モジュールへ送信する。
ステップ3)において、交換設備の交換モジュールは、FrameA2のフレームヘッド2情報を抽出する。
もし、フレームヘッド2におけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2のペイロード2をリンク層の上位層(例、ネットワーク層、応用層等)へ渡して処理する。
DAフィールドと交換設備MACアドレスとが一致しなければ、交換設備は、ローカルのMACアドレス学習情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、フレームヘッド2の情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合し、FrameA2処理してFrameA3を構成し、PortYのインターフェースモジュールによりFrameA3を出力する。
ここで、前記ステップ2)の具体的なフローは、以下のステップ2.1)からステップ2.6)を備える。
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlにおけるEthertypeフィールドに基づいて、データカプセル化に使用するリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいてペイロード1が暗号化しているか否かを判断する。
もし、暗号化していれば、ステップ2.2)を実行する。
暗号化していなければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
ステップ2.2)において、
もし、データフレームであるFrameAlにMAClistフィールドがあれば、交換設備のMACアドレスがMAClistフィールドにより提供された特定MACアドレスリストにあるか否かを判断する。
もし、このリストになければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、
またはデータフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーKEY1の検索情報を判断し、キーKEY1の検索情報をPortXのキー管理モジュールへ送信する。
ステップ2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するキーKEY1を探し、かつ、キーKEY1をPortXのセキュリティー処理モジュールへフィードバックする。
ステップ2.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1とFrameA1のペイロード1を入力し、FrameA1のペイロード1の平文情報を復号して獲得し、FrameA2を構成する。
FrameA1のペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
ステップ2.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。
ここで、前記ステップ4)の具体的なフローは、以下のステップ4.1)からステップ4.6)を備える。
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。
また、isEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。
もし、暗号化しなければならないのであれば、ステップ4.2)を実行する。
暗号化しなくてもよければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、ステップ4.6)を実行する。
ステップ4.2)において、
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、直接、ステップ4.6)を実行する。
もし、交換設備のMACアドレスがこのリストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーであるKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、4.4)を実行する。
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて1つのKEY2を選択する。
このKEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックする。
ステップ4.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得し、かつ、FrameA3を構成する。
FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデート後のフレームヘッド2をアップデートする。
ペイロード3は、ペイロード2の暗号文情報である。
ステップ4.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力する。
他の実施方法において、本発明に係る実施形態におけるリンク層セキュリティー伝送をサポートする交換設備がサポートするリンク層暗号化プロトコルデータフレームは、MICフィールド(例えば、図2におけるMIC1、MIC2、MIC3)をさらに備えることができる。
前記MIC(message integrity code)フィールドは、整合性検証コードを表し、データフレーム(例、図2におけるFrameAl、FrameA2、FrameA3)から算出した整合性検証値である。
前記MIC計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定する。
MICフィールドをサポートする実施方式において、データフレームをセキュリティー処理するキーは、2つの部分にわけられる。
1つは、整合性検証キーであり、もう1つは、セッション暗号化キーである。
整合性検証キーは、データフレームの整合性検証コードMICを計算し、セッション暗号化キーは、データフレームペイロードを暗号化する。
リンク層セキュリティー伝送をサポートする交換設備のデータフレームのセキュリティー処理は、先にデータフレームの整合性検証コードを計算してMICフィールドを構成し、後にデータフレームのユーザーデータを暗号化処理してペイロードフィールドを構成しても良い。
または、先にデータフレームのユーザーデータを暗号化処理してペイロードフィールドを構成し、後に整合性検証コードを計算してMICフィールドを構成してもよい。
実行する暗号化処理に暗号化と非暗号化の2つの策略があるため、先に整合性検証コードを計算し、MICフィールドを構成する方法は、受信時、先に復号しなければならないか否かを考慮しなければならず、後にMICフィールドの正確性を確認する。
一方、後に整合性検証コードを計算し、MICフィールドを構成する方法は、受信時、先にMICフィールドの正確性を確認しなければならず、後に復号しなければならないか否かを考慮する。
<先に整合性検証コードを計算し、MICフィールドを構成する方法>
先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化を考慮し、ペイロードフィールド処理を構成する場合、前記ステップ2)の具体的なフローは、以下のステップ2.1)からステップ2.9)を備える。
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。
ステップ2.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし当該リストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接ステップ2.3)を実行する。
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、キーKEY1の検索情報をPortXのキー管理モジュールへ送信する。
ステップ2.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックする。
ステップ2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、ペイロード1が暗号化しているか否かを判断する。
もし、暗号化していれば、ステップ2.6)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.7)を実行する。
ステップ2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1のペイロード1を入力し、FrameA1ペイロード1の平文情報を復号して獲得する。
ステップ2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1の整合性検証キーとFrameA1のペイロード1の平文情報を入力し、MIC1の正確性を検証する。
もし、正確であれば、ステップ2.8)を実行する。
正確でなければ、このパケットを廃棄する。
ステップ2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成する。
FrameA1ペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文である。
ステップ2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。
また、前記ステップ4)の具体的フローは、以下のステップ4.1)からステップ4.9)を備える。
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。
ステップ4.2)において、
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、MIC3は、MIC2と同じであり、直接、ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.4)を実行する。
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、キーKEY2を選択する。
このKEY2およびKEY2のkeyIndex情報を、PortYのセキュリティー処理モジュールへフィードバックする。
ステップ4.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得する。
ステップ4.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。
もし、暗号化しなければならないのであれば、ステップ4.7)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
ステップ4.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得し、かつ、FrameA3を構成する。
FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
ステップ4.8)において、PortYのセキュリティー処理モジュールは、FrameA3を構成する。
FrameA2のペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するキーKEY2のkeyIndexに基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2とする。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
ステップ4.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力する。
<先にデータフレームのユーザーデータの暗号化処理を考慮し、ペイロードフィールドを構成し、後に整合性検証コードを計算し、MICフィールドを構成する方法>
この場合、前記ステップ2)の具体的フローは、以下のステップ2.1)からステップ2.9)を備える。
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。
ステップ2.2)において、
もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、
または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信する。
ステップ2.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するキーKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックする。
ステップ2.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1の整合性検証キーとFrameA1のペイロード1を入力し、MIC1の正確性を検証する。
もし、正確であれば、ステップ2.6)を実行する。
正確でなければ、当該パケットを廃棄する。
ステップ2.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、ペイロード1が暗号化しているか否かを判断する。
もし、暗号化していれば、ステップ2.7)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.8)を実行する。
ステップ2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1のペイロード1を入力し、FrameA1ペイロード1の平文情報を復号して獲得する。
ステップ2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成する。
FrameA1ペイロードの平文情報をFrameA2のペイロードとし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
ステップ2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。
前記ステップ4)の具体的なフローは、以下のステップ4.1)からステップ4.9)を備える。
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。
ステップ4.2)において、
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドが提供する特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3はペイロード2と同じであり、MIC3は、MIC2と同じであり、直接ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、
または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.4)を実行する。
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択する。
このKEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックする。
ステップ4.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。
もし、暗号化しなければならないのであれば、ステップ4.6)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
ステップ4.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY2のセッション暗号化キーとFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得する。
ステップ4.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロード2の暗号文情報を入力し、整合性検証コードMIC3が計算して獲得し、かつ、FrameA3を構成する。
FrameA2ペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用いkeyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.7)を用い、算出したMIC3であり、ステップ4.9)を実行する。
ステップ4.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロード2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成する。
FrameA2ペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.8)により算出したMIC3であり、ステップ4.9)を実行する。
ステップ4.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力する。

Claims (7)

  1. リンク層セキュリティー伝送をサポートする交換設備は、交換モジュール、第1ポート(PortX)モジュールと、第2ポート(PortY)モジュールとを備え、
    各ポートモジュールは、それぞれ交換モジュールと電気的に隣接し、
    前記第1ポートモジュールと前記第2ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備え、
    前記キー管理モジュールは、共有キーをストレージ・管理し、
    前記アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムを実行し、ハードウェアまたはソフトウェアにより実現し、
    前記交換設備の第1ポートモジュールのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
    前記交換設備の第1ポートモジュールのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、第1ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
    前記交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2を前記第2ポートモジュールのセキュリティー処理モジュールまで交換し、
    交換設備ポートの前記第2ポートモジュールのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、前記第2ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
    ここで、前記第1ポートは、交換設備の第1ポートモジュールであって前記第1ポートをデータフレームであるFrameAの入力ポートとし、
    前記第2ポートは、交換設備の第2ポートモジュールであって前記第2ポートをデータフレームであるFrameAの出力ポートとし、
    前記FrameA1は、前記第1ポートモジュールのインターフェースモジュールが受信するデータフレームを表し、
    前記FrameA2は、前記第1ポートモジュールのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
    前記FrameA3は、前記第2ポートモジュールのインターフェースモジュールが最後に出力するデータフレームを表し、
    もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
    前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
    前記交換設備第1ポートは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
    前記第2ポートは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
    前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
    前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
    前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
    ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
    前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
    前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
    前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
    前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
    前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
    前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
    前記MAClistフィールドがある場合、
    前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
    前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
    前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備。
  2. リンク層セキュリティー伝送をサポートする交換設備のデータ処理方法は、ステップ1)と、ステップ2)と、ステップ3)と、ステップ4とを含み、
    前記ステップ1)において、交換設備ポートのPortXのインターフェースモジュー
    ルは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFram
    eAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
    前記ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
    前記ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換し、
    前記ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
    ここで、前記PortXは、交換設備の第1ポートモジュールであって前記PortXをデータフレームであるFrameAの入力ポートとし、
    前記PortYは、交換設備の第2ポートモジュールであって前記PortYをデータフレームであるFrameAの出力ポートとし、
    前記FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し、
    前記FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
    前記FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表し、
    もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
    前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
    前記交換設備PortXは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
    前記PortYは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
    前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
    前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
    前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
    ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
    前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
    前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
    前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
    前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
    前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
    前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
    前記MAClistフィールドがある場合、
    前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
    前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
    前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
  3. 前記MAClistフィールドがある場合、当該フィールドにより提供された特定MACアドレスリストにおける交換設備が暗号文データパケットの復号に使用するキーの検索情報は、MAClistフィールドと、SAフィールドと、keyIndexフィールドとを備え、暗号化に使用するキーの検索情報は、MAClistフィールドとDAフィールドとを備え、
    前記MAClistフィールドが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならなく、暗号文データパケットの復号に使用するキーの検索情報は、SAフィールドと、keyIndexフィールドとを備え、
    前記暗号化に使用するキーの検索情報は、DAを備えていることを特徴とする請求項2に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
  4. 前記ステップ2)は、ステップ2.1.1)と、ステップ2.1.2)と、ステップ2.1.3)と、ステップ2.1.4)と、ステップ2.1.5)と、ステップ2.1.6)とを備え、
    前記ステップ2.1.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいてデータカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.1.2)を実行し、もし、暗号化していなければ、FrameAlをFrameA2とし、ステップ2.1.6)を実行し、
    前記ステップ2.1.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストになければ、FrameA1をFrameA2とし、ステップ2.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.1.3)を実行し、
    もし、データフレームであるFrameAlにMAClistフィールドが無ければ、ステップ2.1.3)を実行し、
    前記ステップ2.1.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーのKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
    前記ステップ2.1.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
    前記ステップ2.1.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1とFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、かつ、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
    前記ステップ2.1.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
    前記ステップ4)は、ステップ4.1.1)と、ステップ4.1.2)と、ステップ4.1.3)と、ステップ4.1.4)と、ステップ4.1.5)と、ステップ4.1.6)を備え、
    前記ステップ4.1.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて、第2ペイロード暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.1.2)を実行
    し、もし、暗号化しなくてもよければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、
    前記ステップ4.1.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.1.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.1.3)を実行し、
    前記ステップ4.1.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーのKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
    前記ステップ4.1.4)において、PortYのキー管理モジュールは、キーKEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
    前記ステップ4.1.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、
    前記ステップ4.1.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力することを特徴とする請求項3に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
  5. 前記リンク層セキュリティー伝送をサポートする交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記サポートするリンク層暗号化プロトコルデータフレームは、MIC(Message Integrity code)フィールドをさらに備え、
    前記MICフィールドは、整合性検証コードを表し、データフレーム(Frame)から算出した整合性検証値であり、前記MICフィールドの計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定され、
    前記データフレームをセキュリティー処理する場合、データフレームをセキュリティー処理するキーは、整合性検証キー及びセッション暗号化キーを備え、
    前記整合性検証キーは、データフレームの整合性検証コード(MIC)を計算し、セッション暗号化キーは、データフレームペイロードを暗号化し、
    データフレームであるFrameA1から整合性検証値MIC1を算出し、
    データフレームであるFrameA2から整合性検証値MIC2を算出し、
    データフレームであるFrameA3から整合性検証値MIC3を算出することを特徴とする請求項2ないし請求項4のいずれか1つに記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
  6. 前記セキュリティー処理は、先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化処理し、ペイロードフィールドを構成する場合、
    前記ステップ2)は、ステップ2.2.1)と、ステップ2.2.2)と、ステップ2.2.3)と、ステップ2.2.4)と、ステップ2.2.5)と、ステップ2.2.6)と、ステップ2.2.7)と、ステップ2.2.8)と、ステップ2.2.9)とを備え、
    前記ステップ2.2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
    前記ステップ2.2.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.2.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.2.3)を実行し、
    前記ステップ2.2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報PortXのキー管理モジュールへ送信し、
    前記ステップ2.2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
    前記ステップ2.2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.2.6)を実行し、暗号化していなければ、FrameA1の第1ペイロードは、第1ペイロードの平文情報であり、ステップ2.2.7)を実行し、
    前記ステップ2.2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
    前記ステップ2.2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードの平文情報を入力し、MIC1の正確性を検証し、もし、正確であれば、2.2.8)を実行し、正確でなければ、当該パケットを廃棄し、
    前記ステップ2.2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
    前記ステップ2.2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
    前記ステップ4)は、ステップ4.2.1)と、ステップ4.2.2)と、ステップ4.2.3)と、ステップ4.2.4)と、ステップ4.2.5)と、ステップ4.2.6)と、ステップ4.2.7)と、ステップ4.2.8)と、ステップ4.2.9)とを備え、
    前記ステップ4.2.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
    前記ステップ4.2.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.2.3)を実行し、
    もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.2.3)を実行し、
    前記ステップ4.2.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
    前記ステップ4.2.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックし、
    前記ステップ4.2.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得し、
    前記ステップ4.2.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、第2ペイロードを暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.2.7)を実行し、暗号化しなくてもよければ、ステップ4.2.8)を実行し、
    前記ステップ4.2.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するキーKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、ステップ4.2.5)により算出したMIC3をFrameA3のMIC3とし、即ち、第3フレームヘッドは、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後の第2フレームヘッドであり、第3ペイロードは、第2ペイロードの暗号文情報であり、MIC3は、ステップ4.2.5)により算出したMIC3であり、ステップ4.2.9)を実行し、
    前記ステップ4.2.8)において、PortYのセキュリティー処理モジュールがFrameA3を構成することは、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第2フレームヘッド情報とすることを含め、ステップ4.2.5)により算出したMIC3をFrameA3におけるMIC3とし、
    前記ステップ4.2.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
  7. 前記セキュリティー処理は、先にデータフレームのユーザーデータを暗号化処理し、ペイロードフィールドを構成し、後に整合性検証コードを計算し、MICフィールドを構成する場合、
    前記ステップ2)は、ステップ2.3.1)と、ステップ2.3.2)と、ステップ2.3.3)と、ステップ2.3.4)と、ステップ2.3.5)と、ステップ2.3.6)と、ステップ2.3.7)と、ステップ2.3.8)と、ステップ2.3.9)とを備え、
    前記ステップ2.3.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
    前記ステップ2.3.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.3.3)を実行し、
    前記ステップ2.3.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
    前記ステップ2.3.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
    前記ステップ2.3.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードを入力し、MIC1の正確性を検証し、もし正確であれば、2.3.6)を実行し、正確でなければ、当該パケットを廃棄し、
    前記ステップ2.3.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.3.7)を実行し、暗号化していなければ、FrameA1の第1ペイロードが、第1ペイロードの平文情報であり、ステップ2.3.8)を実行し、
    前記ステップ2.3.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
    前記ステップ2.3.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
    前記ステップ2.3.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
    前記ステップ4)は、ステップ4.3.1)と、ステップ4.3.2)と、ステップ4.3.3)と、ステップ4.3.4)と、ステップ4.3.5)と、ステップ4.3.6)と、ステップ4.3.7)と、ステップ4.3.8)と、ステップ4.3.9)とを備え、
    前記ステップ4.3.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
    前記ステップ4.3.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3.3)を実行し、
    前記ステップ4.3.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.3.4)を実行し、
    前記ステップ4.3.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
    前記ステップ4.3.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.3.6)を実行し、もし、暗号化が必要ではなければ、ステップ4.3.8)を実行し、
    前記ステップ4.3.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2を入力し、FrameA2の暗号文情報を暗号化して獲得し、
    前記ステップ4.3.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2の第2ペイロードの暗号文情報を入力し、整合性検証コードMIC3を計算して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndexに基づいて、FrameA2におけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、ステップ4.3.9)を実行し、
    前記ステップ4.3.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成し、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、使用するKEY2のkeyIndexに基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、
    前記ステップ4.3.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。

JP2015067586A 2010-12-20 2015-03-27 リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 Active JP5785346B1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2010105966655A CN102035845B (zh) 2010-12-20 2010-12-20 支持链路层保密传输的交换设备及其数据处理方法
CN201010596665.5 2010-12-20

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2013545016A Division JP2014505402A (ja) 2010-12-20 2011-06-17 リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。

Publications (2)

Publication Number Publication Date
JP5785346B1 true JP5785346B1 (ja) 2015-09-30
JP2015181233A JP2015181233A (ja) 2015-10-15

Family

ID=43888168

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013545016A Pending JP2014505402A (ja) 2010-12-20 2011-06-17 リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
JP2015067586A Active JP5785346B1 (ja) 2010-12-20 2015-03-27 リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2013545016A Pending JP2014505402A (ja) 2010-12-20 2011-06-17 リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。

Country Status (5)

Country Link
US (1) US9264405B2 (ja)
JP (2) JP2014505402A (ja)
KR (1) KR101485279B1 (ja)
CN (1) CN102035845B (ja)
WO (1) WO2012083653A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035845B (zh) 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法
WO2015116768A2 (en) * 2014-01-29 2015-08-06 Sipn, Llc Systems and methods for protecting communications
JP6062229B2 (ja) * 2012-11-30 2017-01-18 株式会社東芝 通信装置、通信方法およびコンピュータプログラム
CN103441983A (zh) * 2013-07-11 2013-12-11 盛科网络(苏州)有限公司 基于链路层发现协议的信息保护方法和装置
CN103685247A (zh) * 2013-12-04 2014-03-26 冯丽娟 安全通信方法、装置、系统以及安全主板
US10080185B2 (en) * 2015-04-10 2018-09-18 Qualcomm Incorporated Method and apparatus for securing structured proximity service codes for restricted discovery
CN105897669A (zh) * 2015-11-11 2016-08-24 乐卡汽车智能科技(北京)有限公司 数据发送、接收方法、发送端、接收端和can总线网络
US10708245B2 (en) * 2017-12-06 2020-07-07 Hewlett Packard Enterprise Development Lp MACsec for encrypting tunnel data packets
CN114389884B (zh) * 2022-01-14 2023-11-24 北京光润通科技发展有限公司 一种单端口以太网隔离卡及其隔离方法
CN114666047A (zh) * 2022-03-23 2022-06-24 北京从云科技有限公司 一种网络数据加密解密的装置和方法
CN115277200B (zh) * 2022-07-27 2023-08-15 北京国领科技有限公司 一种链路层透明加密系统多节点密钥自动协商管理的方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100675836B1 (ko) 2004-12-10 2007-01-29 한국전자통신연구원 Epon 구간내에서의 링크 보안을 위한 인증 방법
US7917944B2 (en) * 2004-12-13 2011-03-29 Alcatel Lucent Secure authentication advertisement protocol
CN1667999A (zh) * 2005-01-18 2005-09-14 中国电子科技集团公司第三十研究所 一种移动自组网络中移动节点间的保密通信方法
CN101056456A (zh) * 2006-04-10 2007-10-17 华为技术有限公司 无线演进网络实现认证的方法及安全系统
KR100787128B1 (ko) 2006-04-20 2007-12-21 한국정보통신주식회사 통신 프로토콜 스택의 스위칭 기능을 이용한 이종의 무선 통신망에 대한 종단간 보안 통신 방법
US7729276B2 (en) 2006-11-29 2010-06-01 Broadcom Corporation Method and system for tunneling MACSec packets through non-MACSec nodes
JP5060081B2 (ja) * 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
JP2008104040A (ja) 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
CN101588345A (zh) * 2008-05-23 2009-11-25 深圳华为通信技术有限公司 站与站之间信息发送、转发和接收方法、装置和通信系统
CN101394270B (zh) * 2008-09-27 2011-01-19 上海交通大学 基于模块化路由的无线网状网络链路层加密方法
CN101741548B (zh) * 2009-12-18 2012-02-01 西安西电捷通无线网络通信股份有限公司 交换设备间安全连接的建立方法及系统
CN101729249B (zh) 2009-12-21 2011-11-30 西安西电捷通无线网络通信股份有限公司 用户终端之间安全连接的建立方法及系统
CN101834722B (zh) * 2010-04-23 2012-06-13 西安西电捷通无线网络通信股份有限公司 一种加密设备和非加密设备混合组网的通信方法
CN102035845B (zh) * 2010-12-20 2012-07-18 西安西电捷通无线网络通信股份有限公司 支持链路层保密传输的交换设备及其数据处理方法

Also Published As

Publication number Publication date
KR101485279B1 (ko) 2015-01-21
WO2012083653A1 (zh) 2012-06-28
CN102035845A (zh) 2011-04-27
JP2015181233A (ja) 2015-10-15
US20130283044A1 (en) 2013-10-24
KR20130096320A (ko) 2013-08-29
CN102035845B (zh) 2012-07-18
US9264405B2 (en) 2016-02-16
JP2014505402A (ja) 2014-02-27

Similar Documents

Publication Publication Date Title
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
KR101421399B1 (ko) 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
US8775790B2 (en) System and method for providing secure network communications
JP4447463B2 (ja) ブリッジ暗号vlan
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US8966257B2 (en) Method and system for secret communication between nodes
JP2005184463A (ja) 通信装置および通信方法
US9872175B2 (en) Packet processing method, apparatus, and system
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及系统
CN108377495A (zh) 一种数据传输方法、相关设备及系统
US8281134B2 (en) Methods and apparatus for layer 2 and layer 3 security between wireless termination points
US20100020973A1 (en) Transmission device and reception device for ciphering process
JPWO2018142571A1 (ja) 転送装置および通信ネットワーク
US8094634B2 (en) Sender and/or helper node modifications to enable security features in cooperative wireless communications
KR20150055004A (ko) 미정렬 데이터 스트림에 대한 키 스트림의 스트리밍 정렬
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
US20080045180A1 (en) Data transmitting method and apparatus applying wireless protected access to a wireless distribution system
US20120216036A1 (en) Encryption methods and systems
CN109428868B (zh) 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质
JP2005244379A (ja) Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法
JP2008259148A (ja) 中継器の負荷を最小限に抑えた高強度暗号通信方式
WO2011134292A1 (zh) 一种节点间通信密钥的建立方法、系统及装置
CN110650476B (zh) 管理帧加密和解密
CN117395019A (zh) 用于重定时器装置的自动带内媒体存取控制安全(MACsec)密钥更新
JP2004104500A (ja) 通信方法、ブリッジ装置及び端末装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150327

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20150331

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150327

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20150417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150428

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150723

R150 Certificate of patent or registration of utility model

Ref document number: 5785346

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250