JP5785346B1 - リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 - Google Patents
リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 Download PDFInfo
- Publication number
- JP5785346B1 JP5785346B1 JP2015067586A JP2015067586A JP5785346B1 JP 5785346 B1 JP5785346 B1 JP 5785346B1 JP 2015067586 A JP2015067586 A JP 2015067586A JP 2015067586 A JP2015067586 A JP 2015067586A JP 5785346 B1 JP5785346 B1 JP 5785346B1
- Authority
- JP
- Japan
- Prior art keywords
- frame
- field
- payload
- module
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Abstract
Description
有線ローカルエリアネットワークは、一般的にブロードキャスト型ネットワークであり、1つのノードが送信するデータは、他の全てのノードも受信できる。
ネットワークにおける各ノードは、チャネルを共有するが、ネットワークに大きな安全性欠陥をもたらす。
攻撃者は、ネットワークにアクセスしてモニタリングすれば、ネットワーク上の全てのデータパケットを捕捉できる。
国際研究分野において、IEEEが定めるiEEE802.1AE基準は、イーサネット(登録商標)を保護するため、データ暗号化プロトコルを提供し、かつ、ホップ暗号化の安全対策を用いることによりネットワークノード間のデータの安全伝送を実現する。
また、IEEE802.1AEをサポートする交換設備は、ホップ暗号化のみをサポートするため、全ての転送した暗号化データパケットをそれぞれ復号・再暗号化する操作を行わなければならず、交換設備の計算負荷は重くなり、ネットワークデータ伝送遅延は大きくなる。
前記交換設備は、交換モジュールと、マルチポートモジュールとを備え、各ポートモジュールは、それぞれ交換モジュールと電気的に隣接する。
前記ポートモジュールは、リンク層キー管理能力をサポートし、前記交換設備と他のネットワークノード間においてデータフレームを暗号化・復号する共有キーを確立する。
前記方法は、以下のステップ1)からステップ4)を含む。
もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスとが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層(例えば、ネットワーク層、応用層等)へ渡して処理する。
もし一致しなければ、交換設備は、ローカルのMACアドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
PortXは、交換設備の第1ポートモジュールであり、当該PortXをデータフレームであるFrameAの入力ポートとし;
PortYは、交換設備の第2ポートモジュールであり、当該PortYをデータフレームであるFrameAの出力ポートとし;
FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し;
FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
データフレームであるFrameA2を暗号化処理してFrameA3を構成するのに使用するキーをKEY2と表記する。
そして、交換設備PortXは、KEY1を利用して、FrameA1を復号処理してFrameA2を構成する。
PortYは、KEY2を利用して、FrameA2を暗号化処理してFrameA3を構成する。
順互換性の実現と同時に、各種リンク層暗号化プロトコルに対するサポートを実現でき、データフレームのリンク層におけるセキュリティー伝送を実現し、ネットワークの安全性を向上させる。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、IEEE802.1AE交換設備と比べて、リンク層セキュリティー伝送をサポートできる以外に、MAClistフィールドを備えるリンク層暗号化プロトコルデータフレームを処理する能力を備えているため、全ての転送しなければならないデータフレームを復号・再暗号化してから再転送する操作を行わなくても良く、これにより、交換設備の計算負荷を低減できる。
この他に、本発明に係る実施形態の交換設備は、各種データフレームをサポートするため、他の交換設備とのハイブリッドネットワーキング能力を備えており、ネットワークアップグレードの代価はさらに小さくなる。
ここで、全てのポートモジュールと交換モジュールとの間は、それぞれ電気的に隣接する。
各ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備える。
ここで、セキュリティー処理モジュールは、それぞれインターフェースモジュールと、アルゴリズムモジュールと、キー管理モジュールとの間において電気的に隣接する。
確立した共有キーは、事前共有ものでもよいし、ノード身分認証成功後に協議できたものでもよく、全てのポートモジュールのキー管理モジュールによりストレージして管理される。
サポートするリンク層暗号化プロトコルデータフレームは、フレームヘッドとペイロードを備える。
SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし;
Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し;
isEフィールドは、暗号化フラグビットを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別する。
データパケットの受信側は、このフィールドを復号しなければならないか否かの判断要素とし;
keyIndexフィールドは、ペイロードを保護するキーの識別子を表し;
MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり;
ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でもよい。
もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化して、再転送しなければならない。
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備は、
もし、目的ノードであれば、受信したデータフレームを復号受信する。
もし、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよい。
もし、目的ノードであれば、受信したデータフレームを復号受信しなければならない。
もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送しなければならない。
暗号文データパケットの復号に使用するキーの検索情報は、SAフィールド、keyIndexフィールドを備え、暗号化に使用するキーの検索情報はDAフィールドを備える。
復号時、キー検索情報に基づいて、キーを1つしか検索し、獲得できない。
暗号化時、キー検索情報に基づいて、おそらく、複数のキーを検索し、獲得できる。
交換設備は、ローカル策略に基づいて前記複数のキーから1つを選択し、かつ、選択したキーのkeyIndexをデータフレームのフレームヘッドに書き込む。
異なるモジュール間にて伝送するFrameAの違いを区別するため、それぞれFrameA1−A3を用いて識別する。
FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し;
交換設備のPortXは、KEY1を利用し、FrameA1を復号処理し、FrameA2を構成し;
PortYは、KEY2を利用し、FrameA2を暗号化処理し、FrameA3を構成する。
もし、フレームヘッド2におけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2のペイロード2をリンク層の上位層(例、ネットワーク層、応用層等)へ渡して処理する。
DAフィールドと交換設備MACアドレスとが一致しなければ、交換設備は、ローカルのMACアドレス学習情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
もし、暗号化していれば、ステップ2.2)を実行する。
暗号化していなければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
もし、データフレームであるFrameAlにMAClistフィールドがあれば、交換設備のMACアドレスがMAClistフィールドにより提供された特定MACアドレスリストにあるか否かを判断する。
もし、このリストになければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
またはデータフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーKEY1の検索情報を判断し、キーKEY1の検索情報をPortXのキー管理モジュールへ送信する。
FrameA1のペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
また、isEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。
もし、暗号化しなければならないのであれば、ステップ4.2)を実行する。
暗号化しなくてもよければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、ステップ4.6)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、直接、ステップ4.6)を実行する。
もし、交換設備のMACアドレスがこのリストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
このKEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックする。
FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデート後のフレームヘッド2をアップデートする。
ペイロード3は、ペイロード2の暗号文情報である。
前記MIC(message integrity code)フィールドは、整合性検証コードを表し、データフレーム(例、図2におけるFrameAl、FrameA2、FrameA3)から算出した整合性検証値である。
前記MIC計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定する。
MICフィールドをサポートする実施方式において、データフレームをセキュリティー処理するキーは、2つの部分にわけられる。
1つは、整合性検証キーであり、もう1つは、セッション暗号化キーである。
整合性検証キーは、データフレームの整合性検証コードMICを計算し、セッション暗号化キーは、データフレームペイロードを暗号化する。
または、先にデータフレームのユーザーデータを暗号化処理してペイロードフィールドを構成し、後に整合性検証コードを計算してMICフィールドを構成してもよい。
先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化を考慮し、ペイロードフィールド処理を構成する場合、前記ステップ2)の具体的なフローは、以下のステップ2.1)からステップ2.9)を備える。
もし当該リストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接ステップ2.3)を実行する。
もし、暗号化していれば、ステップ2.6)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.7)を実行する。
もし、正確であれば、ステップ2.8)を実行する。
正確でなければ、このパケットを廃棄する。
FrameA1ペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文である。
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、MIC3は、MIC2と同じであり、直接、ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
このKEY2およびKEY2のkeyIndex情報を、PortYのセキュリティー処理モジュールへフィードバックする。
もし、暗号化しなければならないのであれば、ステップ4.7)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
FrameA2のペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するキーKEY2のkeyIndexに基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2とする。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
この場合、前記ステップ2)の具体的フローは、以下のステップ2.1)からステップ2.9)を備える。
もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信する。
もし、正確であれば、ステップ2.6)を実行する。
正確でなければ、当該パケットを廃棄する。
もし、暗号化していれば、ステップ2.7)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.8)を実行する。
FrameA1ペイロードの平文情報をFrameA2のペイロードとし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドが提供する特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3はペイロード2と同じであり、MIC3は、MIC2と同じであり、直接ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.4)を実行する。
このKEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックする。
もし、暗号化しなければならないのであれば、ステップ4.6)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
FrameA2ペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用いkeyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.7)を用い、算出したMIC3であり、ステップ4.9)を実行する。
FrameA2ペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.8)により算出したMIC3であり、ステップ4.9)を実行する。
Claims (7)
- リンク層セキュリティー伝送をサポートする交換設備は、交換モジュール、第1ポート(PortX)モジュールと、第2ポート(PortY)モジュールとを備え、
各ポートモジュールは、それぞれ交換モジュールと電気的に隣接し、
前記第1ポートモジュールと前記第2ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備え、
前記キー管理モジュールは、共有キーをストレージ・管理し、
前記アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムを実行し、ハードウェアまたはソフトウェアにより実現し、
前記交換設備の第1ポートモジュールのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記交換設備の第1ポートモジュールのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、第1ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2を前記第2ポートモジュールのセキュリティー処理モジュールまで交換し、
交換設備ポートの前記第2ポートモジュールのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、前記第2ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記第1ポートは、交換設備の第1ポートモジュールであって前記第1ポートをデータフレームであるFrameAの入力ポートとし、
前記第2ポートは、交換設備の第2ポートモジュールであって前記第2ポートをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、前記第1ポートモジュールのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、前記第1ポートモジュールのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、前記第2ポートモジュールのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備第1ポートは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記第2ポートは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備。 - リンク層セキュリティー伝送をサポートする交換設備のデータ処理方法は、ステップ1)と、ステップ2)と、ステップ3)と、ステップ4とを含み、
前記ステップ1)において、交換設備ポートのPortXのインターフェースモジュー
ルは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFram
eAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換し、
前記ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記PortXは、交換設備の第1ポートモジュールであって前記PortXをデータフレームであるFrameAの入力ポートとし、
前記PortYは、交換設備の第2ポートモジュールであって前記PortYをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備PortXは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記PortYは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。 - 前記MAClistフィールドがある場合、当該フィールドにより提供された特定MACアドレスリストにおける交換設備が暗号文データパケットの復号に使用するキーの検索情報は、MAClistフィールドと、SAフィールドと、keyIndexフィールドとを備え、暗号化に使用するキーの検索情報は、MAClistフィールドとDAフィールドとを備え、
前記MAClistフィールドが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならなく、暗号文データパケットの復号に使用するキーの検索情報は、SAフィールドと、keyIndexフィールドとを備え、
前記暗号化に使用するキーの検索情報は、DAを備えていることを特徴とする請求項2に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。 - 前記ステップ2)は、ステップ2.1.1)と、ステップ2.1.2)と、ステップ2.1.3)と、ステップ2.1.4)と、ステップ2.1.5)と、ステップ2.1.6)とを備え、
前記ステップ2.1.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいてデータカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.1.2)を実行し、もし、暗号化していなければ、FrameAlをFrameA2とし、ステップ2.1.6)を実行し、
前記ステップ2.1.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストになければ、FrameA1をFrameA2とし、ステップ2.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.1.3)を実行し、
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、ステップ2.1.3)を実行し、
前記ステップ2.1.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーのKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.1.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.1.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1とFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、かつ、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.1.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.1.1)と、ステップ4.1.2)と、ステップ4.1.3)と、ステップ4.1.4)と、ステップ4.1.5)と、ステップ4.1.6)を備え、
前記ステップ4.1.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて、第2ペイロード暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.1.2)を実行
し、もし、暗号化しなくてもよければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、
前記ステップ4.1.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.1.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.1.3)を実行し、
前記ステップ4.1.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーのKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.1.4)において、PortYのキー管理モジュールは、キーKEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.1.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、
前記ステップ4.1.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力することを特徴とする請求項3に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。 - 前記リンク層セキュリティー伝送をサポートする交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記サポートするリンク層暗号化プロトコルデータフレームは、MIC(Message Integrity code)フィールドをさらに備え、
前記MICフィールドは、整合性検証コードを表し、データフレーム(Frame)から算出した整合性検証値であり、前記MICフィールドの計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定され、
前記データフレームをセキュリティー処理する場合、データフレームをセキュリティー処理するキーは、整合性検証キー及びセッション暗号化キーを備え、
前記整合性検証キーは、データフレームの整合性検証コード(MIC)を計算し、セッション暗号化キーは、データフレームペイロードを暗号化し、
データフレームであるFrameA1から整合性検証値MIC1を算出し、
データフレームであるFrameA2から整合性検証値MIC2を算出し、
データフレームであるFrameA3から整合性検証値MIC3を算出することを特徴とする請求項2ないし請求項4のいずれか1つに記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。 - 前記セキュリティー処理は、先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化処理し、ペイロードフィールドを構成する場合、
前記ステップ2)は、ステップ2.2.1)と、ステップ2.2.2)と、ステップ2.2.3)と、ステップ2.2.4)と、ステップ2.2.5)と、ステップ2.2.6)と、ステップ2.2.7)と、ステップ2.2.8)と、ステップ2.2.9)とを備え、
前記ステップ2.2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.2.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.2.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.2.3)を実行し、
前記ステップ2.2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報PortXのキー管理モジュールへ送信し、
前記ステップ2.2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.2.6)を実行し、暗号化していなければ、FrameA1の第1ペイロードは、第1ペイロードの平文情報であり、ステップ2.2.7)を実行し、
前記ステップ2.2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードの平文情報を入力し、MIC1の正確性を検証し、もし、正確であれば、2.2.8)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.2.1)と、ステップ4.2.2)と、ステップ4.2.3)と、ステップ4.2.4)と、ステップ4.2.5)と、ステップ4.2.6)と、ステップ4.2.7)と、ステップ4.2.8)と、ステップ4.2.9)とを備え、
前記ステップ4.2.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.2.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.2.3)を実行し、
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.2.3)を実行し、
前記ステップ4.2.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.2.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.2.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得し、
前記ステップ4.2.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、第2ペイロードを暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.2.7)を実行し、暗号化しなくてもよければ、ステップ4.2.8)を実行し、
前記ステップ4.2.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するキーKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、ステップ4.2.5)により算出したMIC3をFrameA3のMIC3とし、即ち、第3フレームヘッドは、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後の第2フレームヘッドであり、第3ペイロードは、第2ペイロードの暗号文情報であり、MIC3は、ステップ4.2.5)により算出したMIC3であり、ステップ4.2.9)を実行し、
前記ステップ4.2.8)において、PortYのセキュリティー処理モジュールがFrameA3を構成することは、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第2フレームヘッド情報とすることを含め、ステップ4.2.5)により算出したMIC3をFrameA3におけるMIC3とし、
前記ステップ4.2.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。 - 前記セキュリティー処理は、先にデータフレームのユーザーデータを暗号化処理し、ペイロードフィールドを構成し、後に整合性検証コードを計算し、MICフィールドを構成する場合、
前記ステップ2)は、ステップ2.3.1)と、ステップ2.3.2)と、ステップ2.3.3)と、ステップ2.3.4)と、ステップ2.3.5)と、ステップ2.3.6)と、ステップ2.3.7)と、ステップ2.3.8)と、ステップ2.3.9)とを備え、
前記ステップ2.3.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.3.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.3.3)を実行し、
前記ステップ2.3.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.3.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.3.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードを入力し、MIC1の正確性を検証し、もし正確であれば、2.3.6)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.3.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.3.7)を実行し、暗号化していなければ、FrameA1の第1ペイロードが、第1ペイロードの平文情報であり、ステップ2.3.8)を実行し、
前記ステップ2.3.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.3.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.3.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.3.1)と、ステップ4.3.2)と、ステップ4.3.3)と、ステップ4.3.4)と、ステップ4.3.5)と、ステップ4.3.6)と、ステップ4.3.7)と、ステップ4.3.8)と、ステップ4.3.9)とを備え、
前記ステップ4.3.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.3.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3.3)を実行し、
前記ステップ4.3.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.3.4)を実行し、
前記ステップ4.3.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.3.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.3.6)を実行し、もし、暗号化が必要ではなければ、ステップ4.3.8)を実行し、
前記ステップ4.3.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2を入力し、FrameA2の暗号文情報を暗号化して獲得し、
前記ステップ4.3.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2の第2ペイロードの暗号文情報を入力し、整合性検証コードMIC3を計算して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndexに基づいて、FrameA2におけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、ステップ4.3.9)を実行し、
前記ステップ4.3.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成し、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、使用するKEY2のkeyIndexに基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、
前記ステップ4.3.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105966655A CN102035845B (zh) | 2010-12-20 | 2010-12-20 | 支持链路层保密传输的交换设备及其数据处理方法 |
CN201010596665.5 | 2010-12-20 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013545016A Division JP2014505402A (ja) | 2010-12-20 | 2011-06-17 | リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5785346B1 true JP5785346B1 (ja) | 2015-09-30 |
JP2015181233A JP2015181233A (ja) | 2015-10-15 |
Family
ID=43888168
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013545016A Pending JP2014505402A (ja) | 2010-12-20 | 2011-06-17 | リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。 |
JP2015067586A Active JP5785346B1 (ja) | 2010-12-20 | 2015-03-27 | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013545016A Pending JP2014505402A (ja) | 2010-12-20 | 2011-06-17 | リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送を支援する交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9264405B2 (ja) |
JP (2) | JP2014505402A (ja) |
KR (1) | KR101485279B1 (ja) |
CN (1) | CN102035845B (ja) |
WO (1) | WO2012083653A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102035845B (zh) | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
WO2015116768A2 (en) * | 2014-01-29 | 2015-08-06 | Sipn, Llc | Systems and methods for protecting communications |
JP6062229B2 (ja) * | 2012-11-30 | 2017-01-18 | 株式会社東芝 | 通信装置、通信方法およびコンピュータプログラム |
CN103441983A (zh) * | 2013-07-11 | 2013-12-11 | 盛科网络(苏州)有限公司 | 基于链路层发现协议的信息保护方法和装置 |
CN103685247A (zh) * | 2013-12-04 | 2014-03-26 | 冯丽娟 | 安全通信方法、装置、系统以及安全主板 |
US10080185B2 (en) * | 2015-04-10 | 2018-09-18 | Qualcomm Incorporated | Method and apparatus for securing structured proximity service codes for restricted discovery |
CN105897669A (zh) * | 2015-11-11 | 2016-08-24 | 乐卡汽车智能科技(北京)有限公司 | 数据发送、接收方法、发送端、接收端和can总线网络 |
US10708245B2 (en) * | 2017-12-06 | 2020-07-07 | Hewlett Packard Enterprise Development Lp | MACsec for encrypting tunnel data packets |
CN114389884B (zh) * | 2022-01-14 | 2023-11-24 | 北京光润通科技发展有限公司 | 一种单端口以太网隔离卡及其隔离方法 |
CN114666047A (zh) * | 2022-03-23 | 2022-06-24 | 北京从云科技有限公司 | 一种网络数据加密解密的装置和方法 |
CN115277200B (zh) * | 2022-07-27 | 2023-08-15 | 北京国领科技有限公司 | 一种链路层透明加密系统多节点密钥自动协商管理的方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100675836B1 (ko) | 2004-12-10 | 2007-01-29 | 한국전자통신연구원 | Epon 구간내에서의 링크 보안을 위한 인증 방법 |
US7917944B2 (en) * | 2004-12-13 | 2011-03-29 | Alcatel Lucent | Secure authentication advertisement protocol |
CN1667999A (zh) * | 2005-01-18 | 2005-09-14 | 中国电子科技集团公司第三十研究所 | 一种移动自组网络中移动节点间的保密通信方法 |
CN101056456A (zh) * | 2006-04-10 | 2007-10-17 | 华为技术有限公司 | 无线演进网络实现认证的方法及安全系统 |
KR100787128B1 (ko) | 2006-04-20 | 2007-12-21 | 한국정보통신주식회사 | 통신 프로토콜 스택의 스위칭 기능을 이용한 이종의 무선 통신망에 대한 종단간 보안 통신 방법 |
US7729276B2 (en) | 2006-11-29 | 2010-06-01 | Broadcom Corporation | Method and system for tunneling MACSec packets through non-MACSec nodes |
JP5060081B2 (ja) * | 2006-08-09 | 2012-10-31 | 富士通株式会社 | フレームを暗号化して中継する中継装置 |
JP2008104040A (ja) | 2006-10-20 | 2008-05-01 | Fujitsu Ltd | 共通鍵生成装置および共通鍵生成方法 |
CN101588345A (zh) * | 2008-05-23 | 2009-11-25 | 深圳华为通信技术有限公司 | 站与站之间信息发送、转发和接收方法、装置和通信系统 |
CN101394270B (zh) * | 2008-09-27 | 2011-01-19 | 上海交通大学 | 基于模块化路由的无线网状网络链路层加密方法 |
CN101741548B (zh) * | 2009-12-18 | 2012-02-01 | 西安西电捷通无线网络通信股份有限公司 | 交换设备间安全连接的建立方法及系统 |
CN101729249B (zh) | 2009-12-21 | 2011-11-30 | 西安西电捷通无线网络通信股份有限公司 | 用户终端之间安全连接的建立方法及系统 |
CN101834722B (zh) * | 2010-04-23 | 2012-06-13 | 西安西电捷通无线网络通信股份有限公司 | 一种加密设备和非加密设备混合组网的通信方法 |
CN102035845B (zh) * | 2010-12-20 | 2012-07-18 | 西安西电捷通无线网络通信股份有限公司 | 支持链路层保密传输的交换设备及其数据处理方法 |
-
2010
- 2010-12-20 CN CN2010105966655A patent/CN102035845B/zh active Active
-
2011
- 2011-06-17 KR KR1020137019230A patent/KR101485279B1/ko active IP Right Grant
- 2011-06-17 JP JP2013545016A patent/JP2014505402A/ja active Pending
- 2011-06-17 US US13/995,593 patent/US9264405B2/en active Active
- 2011-06-17 WO PCT/CN2011/075856 patent/WO2012083653A1/zh active Application Filing
-
2015
- 2015-03-27 JP JP2015067586A patent/JP5785346B1/ja active Active
Also Published As
Publication number | Publication date |
---|---|
KR101485279B1 (ko) | 2015-01-21 |
WO2012083653A1 (zh) | 2012-06-28 |
CN102035845A (zh) | 2011-04-27 |
JP2015181233A (ja) | 2015-10-15 |
US20130283044A1 (en) | 2013-10-24 |
KR20130096320A (ko) | 2013-08-29 |
CN102035845B (zh) | 2012-07-18 |
US9264405B2 (en) | 2016-02-16 |
JP2014505402A (ja) | 2014-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5785346B1 (ja) | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 | |
KR101421399B1 (ko) | 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법 | |
US8775790B2 (en) | System and method for providing secure network communications | |
JP4447463B2 (ja) | ブリッジ暗号vlan | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
US8966257B2 (en) | Method and system for secret communication between nodes | |
JP2005184463A (ja) | 通信装置および通信方法 | |
US9872175B2 (en) | Packet processing method, apparatus, and system | |
WO2012019466A1 (zh) | 邻居用户终端间保密通信方法、终端、交换设备及系统 | |
CN108377495A (zh) | 一种数据传输方法、相关设备及系统 | |
US8281134B2 (en) | Methods and apparatus for layer 2 and layer 3 security between wireless termination points | |
US20100020973A1 (en) | Transmission device and reception device for ciphering process | |
JPWO2018142571A1 (ja) | 転送装置および通信ネットワーク | |
US8094634B2 (en) | Sender and/or helper node modifications to enable security features in cooperative wireless communications | |
KR20150055004A (ko) | 미정렬 데이터 스트림에 대한 키 스트림의 스트리밍 정렬 | |
JP2006019975A (ja) | 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム | |
US20080045180A1 (en) | Data transmitting method and apparatus applying wireless protected access to a wireless distribution system | |
US20120216036A1 (en) | Encryption methods and systems | |
CN109428868B (zh) | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 | |
JP2005244379A (ja) | Vpnシステム、vpn装置及びそれらに用いる暗号化鍵配布方法 | |
JP2008259148A (ja) | 中継器の負荷を最小限に抑えた高強度暗号通信方式 | |
WO2011134292A1 (zh) | 一种节点间通信密钥的建立方法、系统及装置 | |
CN110650476B (zh) | 管理帧加密和解密 | |
CN117395019A (zh) | 用于重定时器装置的自动带内媒体存取控制安全(MACsec)密钥更新 | |
JP2004104500A (ja) | 通信方法、ブリッジ装置及び端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150327 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20150331 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150327 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20150417 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150428 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150609 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150714 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150723 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5785346 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |