JP6359212B1 - COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM - Google Patents
COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM Download PDFInfo
- Publication number
- JP6359212B1 JP6359212B1 JP2017566874A JP2017566874A JP6359212B1 JP 6359212 B1 JP6359212 B1 JP 6359212B1 JP 2017566874 A JP2017566874 A JP 2017566874A JP 2017566874 A JP2017566874 A JP 2017566874A JP 6359212 B1 JP6359212 B1 JP 6359212B1
- Authority
- JP
- Japan
- Prior art keywords
- key
- communication device
- node
- communication
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
Abstract
n(n≧3)台のノードが含まれ、n台のノードの各ノードには1台以上の他のノードが接続され、n台のノードに、暗号化通信のための鍵を生成する鍵配信ノード(101)が含まれている通信システムにおいて、鍵配信ノード(101)は、鍵を生成し、鍵配信ノード(101)に接続されているノードのうちで通信が可能な状態にあるノードを鍵の送信先に指定し、指定した送信先のノードに鍵を送信する。n台のノードのうち鍵配信ノード(101)以外の各ノードは、鍵を受信した際に、当該ノードに接続されている、鍵の送信元のノード以外のノードのうちで通信が可能な状態にあるノードを鍵の送信先に指定し、指定した送信先のノードに、受信した鍵を送信する。n (n ≧ 3) nodes are included, and one or more other nodes are connected to each of the n nodes, and a key for generating a key for encrypted communication in the n nodes In the communication system including the distribution node (101), the key distribution node (101) generates a key, and is a node that is communicable among the nodes connected to the key distribution node (101). Is specified as the key transmission destination, and the key is transmitted to the specified destination node. When each node other than the key distribution node (101) among the n nodes receives the key, it can communicate with other nodes connected to the node other than the node that transmitted the key Is specified as a key transmission destination, and the received key is transmitted to the specified transmission destination node.
Description
本発明は、暗号化通信に用いられる鍵を配信するための技術に関する。 The present invention relates to a technique for distributing a key used for encrypted communication.
産業用ネットワークでは高い信頼性と共に高いセキュリティが求められている。セキュリティの向上を図る方法として暗号化通信がある。暗号化通信を実現するためには、産業用ネットワークに含まれる各ノードに暗号化通信のための鍵を配信する必要がある。 Industrial networks require high security as well as high reliability. Encrypted communication is a method for improving security. In order to realize encrypted communication, it is necessary to distribute a key for encrypted communication to each node included in the industrial network.
特許文献1の技術では、鍵配信ノードが暗号化通信に用いられる鍵を生成し、生成した鍵を、暗号化通信を行う他のノードに1対1で送信する。鍵を受信した各ノードは、暗号鍵を用いて暗号化通信を行う。
In the technique of
特許文献1の技術では、以下の課題がある。
数百台のノードにより構成されるようなネットワークに特許文献1の技術を用いた場合に、ネットワーク内の全ノードから同時に鍵の生成依頼が発生すると、鍵配信ノードの処理負担が大きい。また、鍵の配信に用いられる通信路が混雑する。The technique of
When the technique of
本発明は、上記のような課題を解決することを主な目的とする。つまり、本発明は、鍵を生成する鍵生成装置に過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信できる構成を実現することを主な目的とする。 The main object of the present invention is to solve the above-described problems. In other words, the present invention realizes a configuration capable of efficiently distributing keys without imposing an excessive burden on a key generation device that generates keys and without causing congestion on a communication path used for key distribution. The main purpose is to do.
本発明に係る通信システムは、
n(n≧3)台の通信装置が含まれ、前記n台の通信装置の各通信装置には1台以上の他の通信装置が接続され、前記n台の通信装置に、暗号化通信のための鍵を生成する鍵生成通信装置が含まれている通信システムであって、
前記鍵生成通信装置は、
前記鍵を生成し、前記鍵生成通信装置に接続されている通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵を受信した際に、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信する。A communication system according to the present invention includes:
n (n ≧ 3) communication devices are included, and one or more other communication devices are connected to each communication device of the n communication devices, and encrypted communication is connected to the n communication devices. A communication system including a key generation communication device for generating a key for
The key generation communication device includes:
A communication device that generates the key and is communicable among the communication devices connected to the key generation communication device is designated as a transmission destination of the key, and the key is transmitted to the communication device of the designated transmission destination. Send
Each communication device other than the key generation communication device among the n communication devices is:
When the key is received, a communication device that is connected to the communication device and is in a communicable state among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. The received key is transmitted to the designated transmission destination communication device.
本発明によれば、鍵生成装置に過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。 According to the present invention, it is possible to efficiently distribute keys without imposing an excessive burden on the key generation device and without causing congestion on a communication path used for key distribution.
以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following description of the embodiments and drawings, the same reference numerals denote the same or corresponding parts.
実施の形態1.
本実施の形態では、ITU−T G.8032で標準化されているERP(Ethernet Ring Protection)スイッチングを用いたリングネットワークにおいて暗号通信のための鍵(以下、暗号鍵という)をリングネットワーク内の複数のノードに配信する例を説明する。
ERPスイッチングは、信頼性の高い産業用ネットワークを実現する技術として広く用いられている。
最初に、本実施の形態に係るリングネットワークの概要を説明する。
In the present embodiment, ITU-T G.I. An example in which a key for encryption communication (hereinafter referred to as encryption key) is distributed to a plurality of nodes in the ring network in a ring network using ERP (Ethernet Ring Protection) switching standardized in 8032 will be described.
ERP switching is widely used as a technology for realizing a highly reliable industrial network.
First, an outline of the ring network according to the present embodiment will be described.
本実施の形態に係るリングネットワークには、RPL(Ring Proteciton Link)オーナノード、RPL隣接ノード、一般ノード及び網間接続ノードが存在する。RPLオーナノード、RPL隣接ノード、一般ノード及び網間接続ノードを区別する必要がない場合は、これらを単にノードという。 The ring network according to the present embodiment includes an RPL (Ring Protection Link) owner node, an RPL adjacent node, a general node, and an inter-network connection node. When it is not necessary to distinguish the RPL owner node, the RPL adjacent node, the general node, and the network connection node, these are simply referred to as nodes.
RPLオーナノードは、idle状態では2つのポートのうちの一方のポートを閉塞することでループの発生を防ぐ。idle状態は正常状態である。
リングネットワーク内で障害が発生したことが検知された場合は、システム状態がprotection状態に遷移し、RPLオーナノードが、障害が発生しているリンクに対応するポートを閉塞する。protection状態は障害が発生している状態である。
また、RPLオーナノードは、閉塞していたポートの閉塞を解除する。これにより、障害が発生しても、リングネットワークでの通信が継続する。
また、障害が発生していた箇所が復旧した場合には、RPLオーナノードは、閉塞していたポートの閉塞を解除し、再び一方のポートを閉塞する。In the idle state, the RPL owner node prevents a loop from occurring by closing one of the two ports. The idle state is a normal state.
When it is detected that a failure has occurred in the ring network, the system state transitions to the protection state, and the RPL owner node closes the port corresponding to the link in which the failure has occurred. The protection state is a state where a failure has occurred.
In addition, the RPL owner node releases the blocked port. Thereby, even if a failure occurs, communication on the ring network continues.
When the location where the failure has occurred is restored, the RPL owner node releases the blocked port and blocks one port again.
RPL隣接ノードは、RPLオーナノードに隣接するERPノードである。idle状態では、RPLオーナノードによりRPL隣接ノードとRPLオーナノード間のリンクは閉塞されている。 The RPL adjacent node is an ERP node adjacent to the RPL owner node. In the idle state, the link between the RPL adjacent node and the RPL owner node is blocked by the RPL owner node.
一般ノードは通常のERPノードである。一般ノードは、リンクの故障等の障害を検知した場合にリングネットワーク内のノードに障害の発生を通知する。 The general node is a normal ERP node. When a general node detects a failure such as a link failure, the general node notifies the node in the ring network of the occurrence of the failure.
網間接続ノードはメインリングとローカルリングを接続するERPノードである。本実施の形態に係るリングネットワークにはメインリングとローカルリングが含まれる。 The network connection node is an ERP node that connects the main ring and the local ring. The ring network according to the present embodiment includes a main ring and a local ring.
本実施の形態では、RPLオーナノードが暗号鍵を生成する。つまり、RPLオーナノードは鍵配信ノードとして機能する。
本実施の形態では、鍵配信ノードが暗号鍵を隣接するノードに送信する。そして、暗号鍵を受信したノードは、受信した暗号鍵を、隣接するノードに送信する。以降、同様にして、リレー方式で隣接するノード間で暗号鍵が送受信されて、暗号鍵がリングネットワークに含まれる全ノードに行き渡る。
リングネットワークにおける末端ノードが暗号鍵を受信すると、当該末端ノードが鍵受信通知を隣接するノードに送信する。つまり、末端ノードは、暗号鍵の送信元のノードに鍵受信通知を送信する。末端ノードに隣接するノードが鍵受信通知を受信すると、当該ノードは、受信した鍵受信通知を、隣接するノードに送信する。つまり、当該ノードは、暗号鍵の送信元のノードに鍵受信通知を送信する。以降、同様にして、リレー方式で隣接するノード間で鍵受信通知が送受信される。最終的に、鍵配信ノードが鍵受信通知を受信する。鍵配信ノードは鍵受信通知を受信することで全ノードに暗号鍵が行き渡ったことを認識する。In this embodiment, the RPL owner node generates an encryption key. That is, the RPL owner node functions as a key distribution node.
In the present embodiment, the key distribution node transmits the encryption key to the adjacent node. Then, the node that received the encryption key transmits the received encryption key to the adjacent node. Thereafter, similarly, an encryption key is transmitted and received between adjacent nodes by the relay method, and the encryption key is distributed to all nodes included in the ring network.
When the terminal node in the ring network receives the encryption key, the terminal node transmits a key reception notification to the adjacent node. That is, the end node transmits a key reception notification to the node that has transmitted the encryption key. When the node adjacent to the terminal node receives the key reception notification, the node transmits the received key reception notification to the adjacent node. That is, the node transmits a key reception notification to the node that has transmitted the encryption key. Thereafter, similarly, a key reception notification is transmitted and received between adjacent nodes by the relay method. Finally, the key distribution node receives the key reception notification. The key distribution node recognizes that the encryption key has been distributed to all nodes by receiving the key reception notification.
次に、図1を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図1は、idle状態における暗号鍵の配信ルート及び鍵受信通知の配信ルートを示す。
図1において実線の矢印は、暗号鍵の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。Next, the data flow in the ring network according to the present embodiment will be described with reference to FIG.
FIG. 1 shows an encryption key distribution route and a key reception notification distribution route in the idle state.
In FIG. 1, the solid line arrows indicate the distribution route of the encryption key. A broken arrow indicates a delivery route of the key reception notification.
図1に示すリングネットワークには、1つのメインリングと2つのローカルリングが含まれる。
メインリングはメインネットワークに相当する。ローカルリングはローカルネットワークに相当する。
本実施の形態に係るリングネットワークには、n(n≧3)台のノードが含まれる。そして、各ノードは、1台以上の他のノードと接続されている。
また、図1に示す各ノードは、実施の形態4で説明するフレーム転送装置100により実現される。フレーム転送装置100は、本発明に係る通信装置に相当する。また、各ノードで行われる動作は本発明に係る通信方法及び通信プログラムに相当する。
また、図1に示すノードで構成されるシステムは本発明に係る通信システムに相当する。The ring network shown in FIG. 1 includes one main ring and two local rings.
The main ring corresponds to the main network. A local ring corresponds to a local network.
The ring network according to the present embodiment includes n (n ≧ 3) nodes. Each node is connected to one or more other nodes.
Each node shown in FIG. 1 is realized by a
Further, the system constituted by the nodes shown in FIG. 1 corresponds to the communication system according to the present invention.
図1において、RPLオーナノード101はメインリングのRPLオーナノードである。
本実施の形態では、RPLオーナノード101は鍵配信ノードとして動作する。鍵配信ノードは鍵生成通信装置に相当する。
鍵配信ノードであるRPLオーナノード101は、暗号鍵を生成する。また、RPLオーナノード101は、暗号鍵を格納した暗号鍵格納フレームを隣接するノードに送信する。なお、暗号鍵格納フレームに格納された暗号鍵は暗号化されている。暗号鍵を復号するための復号鍵は、別途、各ノードに配布されているものとする。なお、以下では、暗号鍵格納フレームの送信を単に暗号鍵の送信ともいう。また、暗号鍵格納フレームの受信を単に暗号鍵の受信ともいう。In FIG. 1, an
In this embodiment, the
The
RPLオーナノード101は、RPL隣接ノード102と一般ノード103−1に接続されている。図1では、システム状態がidle状態であるため、RPLオーナノード101は、RPL隣接ノード102とのリングに対応するポートを閉塞している。一方、RPLオーナノード101は、一般ノード103−1とのリングに対応するポートは閉塞していない。
RPLオーナノード101は、ポートが閉塞されておらず、RPLオーナノード101と通信が可能な状態にある一般ノード103−1を暗号鍵の送信先に指定する。そして、RPLオーナノード101は、暗号鍵の送信先として指定した一般ノード103−1に暗号鍵格納フレームを送信する。
なお、RPLオーナノード101はメインオーナとも表記する。The
The
The
一般ノード103−1は、メインリングの一般ノードである。
一般ノード103−1は、暗号鍵格納フレームをRPLオーナノード101から受信する。そして、一般ノード103−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード103−1は、暗号鍵格納フレームの送信元のノード(RPLオーナノード101)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード103−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード103−1は、網間接続ノード104−1に暗号鍵格納フレームを送信する。
なお、一般ノード103−1はメイン一般とも表記する。The general node 103-1 is a general node of the main ring.
The general node 103-1 receives the encryption key storage frame from the
The general node 103-1 designates a node in a communicable state among the nodes other than the transmission source node (RPL owner node 101) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 103-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 103-1 transmits the encryption key storage frame to the network connection node 104-1.
The general node 103-1 is also referred to as main general.
網間接続ノード104−1は、メインリングの網間接続ノードである。網間接続ノード104−1は、メインリングに属している。しかし、網間接続ノード104−1は、メインリング以外のリングであるローカルリングに属する網間接続ノード204−1と接続されている。
網間接続ノード104−1は暗号鍵格納フレームを一般ノード103−1から受信する。そして、網間接続ノード104−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード104−1は、暗号鍵格納フレームの送信元のノード(一般ノード103−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード104−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。なお、網間接続ノード104−1は、指定した送信先にメインリング内の他の通信が可能なノードが含まれる場合は、鍵受信通知を受信した後に、メインリング内の他の通信が可能なノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード104−1は、網間接続ノード204−1に暗号鍵格納フレームを送信する。また、網間接続ノード104−1は、鍵受信通知を受信した後に、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード104−1はメイン網間とも表記する。
また、網間接続ノード104−1は、境界通信装置に相当する。The network connection node 104-1 is a main ring network connection node. The network connection node 104-1 belongs to the main ring. However, the network connection node 104-1 is connected to the network connection node 204-1 belonging to the local ring that is a ring other than the main ring.
The network connection node 104-1 receives the encryption key storage frame from the general node 103-1. Then, the network connection node 104-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 104-1 designates a node in a communicable state among nodes other than the transmission source node (general node 103-1) of the encryption key storage frame as the encryption key transmission destination. Then, the network connection node 104-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination. In addition, the network connection node 104-1 can perform other communication in the main ring after receiving the key reception notification when the designated transmission destination includes a node capable of other communication in the main ring. The encryption key storage frame is transmitted to a secure node.
In the configuration of FIG. 1, the internetwork connection node 104-1 transmits the encryption key storage frame to the internetwork connection node 204-1. Further, after receiving the key reception notification, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2 which is another network connection node in the main ring.
Note that the network connection node 104-1 is also referred to as the main network.
The network connection node 104-1 corresponds to a boundary communication device.
網間接続ノード204−1は、ローカルリングの網間接続ノードである。網間接続ノード204−1は、ローカルリングに属している。しかし、網間接続ノード204−1は、メインリングに属する網間接続ノード104−1と接続されている。
網間接続ノード204−1は暗号鍵格納フレームを網間接続ノード104−1から受信する。そして、網間接続ノード204−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード204−1は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード204−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード204−1は、一般ノード203−1と一般ノード203−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード204−1はローカル網間とも表記する。The network connection node 204-1 is a local ring network connection node. The network connection node 204-1 belongs to the local ring. However, the network connection node 204-1 is connected to the network connection node 104-1 belonging to the main ring.
The network connection node 204-1 receives the encryption key storage frame from the network connection node 104-1. Then, the network connection node 204-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 204-1 designates a node that is in a communicable state among nodes other than the transmission source node (network connection node 104-1) of the encryption key storage frame as the encryption key transmission destination. . Then, the network connection node 204-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the network connection node 204-1 transmits an encryption key storage frame to the general node 203-1 and the general node 203-2.
The inter-network connection node 204-1 is also expressed as a local network.
一般ノード203−1と一般ノード203−2は、それぞれローカルリングの一般ノードである。
一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵格納フレームを網間接続ノード204−1から受信する。そして、一般ノード203−1と一般ノード203−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵格納フレームの送信元のノード(網間接続ノード204−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−1は、一般ノード203−3に暗号鍵格納フレームを送信する。また、一般ノード203−2は、RPLオーナノード201−1に暗号鍵格納フレームを送信する。
なお、一般ノード203−1と一般ノード203−2は、それぞれ、ローカル一般とも表記する。The general node 203-1 and the general node 203-2 are each a general node of a local ring.
Each of the general node 203-1 and the general node 203-2 receives the encryption key storage frame from the network connection node 204-1. Then, the general node 203-1 and the general node 203-2 decrypt the encryption key, acquire the encryption key, and transfer the encryption key storage frame to the adjacent node.
Each of the general node 203-1 and the general node 203-2 is a node that is in a communicable state among nodes other than the transmission source node (internetwork connection node 204-1) of the encryption key storage frame. Specify the destination of Each of the general node 203-1 and the general node 203-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-1 transmits an encryption key storage frame to the general node 203-3. Further, the general node 203-2 transmits the encryption key storage frame to the RPL owner node 201-1.
Note that each of the general node 203-1 and the general node 203-2 is also expressed as local general.
一般ノード203−3は、ローカルリングの一般ノードである。
一般ノード203−3は、暗号鍵格納フレームを一般ノード203−1から受信する。そして、一般ノード203−3は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−3は、暗号鍵格納フレームの送信元のノード(一般ノード203−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−3は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−3は、RPL隣接ノード202−1に暗号鍵格納フレームを送信する。
なお、一般ノード203−3は、ローカル一般とも表記する。The general node 203-3 is a general node of the local ring.
The general node 203-3 receives the encryption key storage frame from the general node 203-1. Then, the general node 203-3 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 203-3 designates a node in a communicable state among nodes other than the transmission source node (general node 203-1) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 203-3 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-3 transmits the encryption key storage frame to the RPL adjacent node 202-1.
The general node 203-3 is also referred to as local general.
RPL隣接ノード202−1は、ローカルリングのRPL隣接ノードである。
RPL隣接ノード202−1は、暗号鍵格納フレームを一般ノード203−3から受信する。そして、RPL隣接ノード202−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−1とRPLオーナノード201−1とは接続されているが、RPL隣接ノード202−1とRPLオーナノード201−1とのリンクに対応するポートが閉塞されている。このため、RPL隣接ノード202−1とRPLオーナノード201−1は通信可能な状態になっていない。つまり、RPL隣接ノード202−1には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード202−1は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード202−1は、鍵受信通知を、暗号鍵の送信元である一般ノード203−3に送信する。鍵受信通知は暗号鍵の受信を通知するデータである。
なお、RPL隣接ノード202−1は、ローカル隣接とも表記する。The RPL adjacent node 202-1 is an RPL adjacent node of the local ring.
The RPL adjacent node 202-1 receives the encryption key storage frame from the general node 203-3. Then, the RPL adjacent node 202-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-1 and the RPL owner node 201-1 are connected, but the port corresponding to the link between the RPL adjacent node 202-1 and the RPL owner node 201-1 is blocked. . For this reason, the RPL adjacent node 202-1 and the RPL owner node 201-1 are not in a communicable state. That is, there is no node that can be designated as the transmission destination of the encryption key in the RPL adjacent node 202-1.
Thus, the RPL adjacent node 202-1 is a terminal node in the ring network. Therefore, the RPL adjacent node 202-1 transmits a key reception notification to the general node 203-3 that is the transmission source of the encryption key. The key reception notification is data that notifies the reception of the encryption key.
The RPL adjacent node 202-1 is also referred to as local adjacent.
一般ノード203−3は鍵受信通知をRPL隣接ノード202−1から受信する。そして、一般ノード203−3は、鍵受信通知を、暗号鍵の送信元である一般ノード203−1に送信する。 The general node 203-3 receives the key reception notification from the RPL adjacent node 202-1. Then, the general node 203-3 transmits a key reception notification to the general node 203-1 that is the transmission source of the encryption key.
一般ノード203−1は鍵受信通知を一般ノード203−3から受信する。そして、一般ノード203−1は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−1に送信する。 The general node 203-1 receives the key reception notification from the general node 203-3. Then, the general node 203-1 transmits a key reception notification to the network connection node 204-1 that is the transmission source of the encryption key.
RPLオーナノード201−1は、ローカルリングのRPLオーナノードである。
RPLオーナノード201−1は暗号鍵格納フレームを一般ノード203−2から受信する。そして、RPLオーナノード201−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−1とRPLオーナノード201−1とは接続されているが、RPL隣接ノード202−1とRPLオーナノード201−1とのリンクに対応するポートが閉塞されている。このため、RPL隣接ノード202−1とRPLオーナノード201−1は通信可能な状態になっていない。つまり、RPLオーナノード201−1には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPLオーナノード201−1は、リングネットワークにおける末端ノードである。このため、RPLオーナノード201−1は、鍵受信通知を、暗号鍵の送信元である一般ノード203−2に送信する。
なお、RPLオーナノード201−1は、ローカルオーナとも表記する。The RPL owner node 201-1 is a local ring RPL owner node.
The RPL owner node 201-1 receives the encryption key storage frame from the general node 203-2. The RPL owner node 201-1 then decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-1 and the RPL owner node 201-1 are connected, but the port corresponding to the link between the RPL adjacent node 202-1 and the RPL owner node 201-1 is blocked. . For this reason, the RPL adjacent node 202-1 and the RPL owner node 201-1 are not in a communicable state. That is, the RPL owner node 201-1 has no node that can be designated as the encryption key transmission destination.
Thus, the RPL owner node 201-1 is a terminal node in the ring network. Therefore, the RPL owner node 201-1 transmits a key reception notification to the general node 203-2 that is the transmission source of the encryption key.
The RPL owner node 201-1 is also referred to as a local owner.
一般ノード203−2は鍵受信通知をRPLオーナノード201−1から受信する。そして、一般ノード203−2は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−1に送信する。 The general node 203-2 receives the key reception notification from the RPL owner node 201-1. Then, the general node 203-2 transmits a key reception notification to the internetwork connection node 204-1 that is the transmission source of the encryption key.
網間接続ノード204−1はローカルリングの隣接する2つのノードである一般ノード203−1と一般ノード203−2の双方から鍵受信通知を受信したら、暗号鍵の送信元である網間接続ノード104−1に、受信した鍵受信通知を送信する。なお、網間接続ノード204−1は、一般ノード203−1及び一般ノード203−2の少なくともいずれかから鍵受信通知を受信できなかった場合に、鍵受信通知を受信できなかったノードに暗号鍵を再送する。そして、網間接続ノード204−1は、複数回、暗号鍵の再送を行っても、鍵受信通知を受信できない場合には、網間接続ノード104−1にエラー通知を行う。
このようにすることで、ローカルリング内にも確実に暗号鍵を配信することができる。なお、網間接続ノード204−1は、鍵受信通知を受信できなかった場合の暗号鍵の再送及び網間接続ノード104−1へのエラー通知を省略してもよい。When the network connection node 204-1 receives the key reception notification from both the general node 203-1 and the general node 203-2 which are two adjacent nodes of the local ring, the network connection node which is the transmission source of the encryption key The received key reception notification is transmitted to 104-1. It should be noted that the inter-network connection node 204-1 does not receive the key reception notification from at least one of the general node 203-1 and the general node 203-2, and sends the encryption key to the node that has not received the key reception notification. Will be resent. If the network connection node 204-1 cannot receive the key reception notification even after retransmitting the encryption key a plurality of times, the network connection node 204-1 sends an error notification to the network connection node 104-1.
By doing so, it is possible to reliably distribute the encryption key even in the local ring. The network connection node 204-1 may omit the retransmission of the encryption key and the error notification to the network connection node 104-1 when the key reception notification cannot be received.
網間接続ノード104−1は、網間接続ノード204−1から鍵受信通知を受信したら、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。 Upon receiving the key reception notification from the network connection node 204-1, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2, which is another network connection node in the main ring. To do.
網間接続ノード104−2は、メインリングの網間接続ノードである。網間接続ノード104−2は、メインリングに属している。しかし、網間接続ノード104−2は、メインリング以外のリングであるローカルリングに属する網間接続ノード204−2と接続されている。
網間接続ノード104−2は、暗号鍵格納フレームを網間接続ノード104−1から受信する。そして、網間接続ノード104−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード104−2は、先ず、ローカル網間接続ノード204−2を暗号鍵の送信先に指定する。そして、網間接続ノード104−2は、暗号鍵の送信先として指定したローカル網間接続ノード204−2に暗号鍵格納フレームを送信する。その後、網間接続ノード104−2は、ローカル網間接続ノード204−2から鍵受信通知を受信した後に、暗号鍵格納フレームの送信元のノード(網間接続ノード104−1)及びローカル網間接続ノード204−2以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。具体的には、網間接続ノード104−2は、一般ノード103−2を暗号鍵の送信先に指定する。そして、網間接続ノード104−2は、暗号鍵の送信先として指定した一般ノード103−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード104−2はメイン網間とも表記する。
また、網間接続ノード104−2は、網間接続ノード104−1にとって、他の境界通信装置に相当する。The network connection node 104-2 is a main ring network connection node. The network connection node 104-2 belongs to the main ring. However, the network connection node 104-2 is connected to the network connection node 204-2 belonging to the local ring which is a ring other than the main ring.
The network connection node 104-2 receives the encryption key storage frame from the network connection node 104-1. Then, the network connection node 104-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
First, the network connection node 104-2 designates the local network connection node 204-2 as the encryption key transmission destination. Then, the network connection node 104-2 transmits the encryption key storage frame to the local network connection node 204-2 designated as the encryption key transmission destination. Thereafter, the network connection node 104-2 receives the key reception notification from the local network connection node 204-2, and then transmits the encryption key storage frame transmission source node (internetwork connection node 104-1) to the local network. A node that is in a communicable state among nodes other than the connection node 204-2 is designated as the encryption key transmission destination. Specifically, the network connection node 104-2 designates the general node 103-2 as the encryption key transmission destination. Then, the internetwork connection node 104-2 transmits the encryption key storage frame to the general node 103-2 designated as the encryption key transmission destination.
The network connection node 104-2 is also referred to as the main network.
The network connection node 104-2 corresponds to another boundary communication device for the network connection node 104-1.
網間接続ノード204−2は、ローカルリングの網間接続ノードである。網間接続ノード204−2は、ローカルリングに属している。しかし、網間接続ノード204−2は、メインリングに属する網間接続ノード104−2と接続されている。
網間接続ノード204−2は暗号鍵格納フレームを網間接続ノード104−2から受信する。そして、網間接続ノード204−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード204−2は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード204−2は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード204−2は、一般ノード203−4と一般ノード203−5に暗号鍵格納フレームを送信する。
なお、網間接続ノード204−2はローカル網間とも表記する。The network connection node 204-2 is a local ring network connection node. The network connection node 204-2 belongs to the local ring. However, the network connection node 204-2 is connected to the network connection node 104-2 belonging to the main ring.
The network connection node 204-2 receives the encryption key storage frame from the network connection node 104-2. Then, the network connection node 204-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 204-2 designates a node in a communicable state among nodes other than the transmission source node of the encryption key storage frame (internetwork connection node 104-2) as the encryption key transmission destination. . Then, the internetwork connection node 204-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the network connection node 204-2 transmits the encryption key storage frame to the general node 203-4 and the general node 203-5.
The network connection node 204-2 is also referred to as a local network.
一般ノード203−4と一般ノード203−5は、それぞれローカルリングの一般ノードである。
一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵格納フレームを網間接続ノード204−2から受信する。そして、一般ノード203−4と一般ノード203−5は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵格納フレームの送信元のノード(網間接続ノード204−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−4は、一般ノード203−6に暗号鍵格納フレームを送信する。また、一般ノード203−5は、RPLオーナノード201−2に暗号鍵格納フレームを送信する。
なお、一般ノード203−4と一般ノード203−5は、それぞれ、ローカル一般とも表記する。The general node 203-4 and the general node 203-5 are local nodes of the local ring, respectively.
Each of the general node 203-4 and the general node 203-5 receives the encryption key storage frame from the network connection node 204-2. Then, the general node 203-4 and the general node 203-5 decrypt the encryption key, acquire the encryption key, and transfer the encryption key storage frame to the adjacent node.
Each of the general node 203-4 and the general node 203-5 designates a node that is in a communicable state among nodes other than the transmission source node (internetwork connection node 204-2) of the encryption key storage frame. Specify the destination of Each of the general node 203-4 and the general node 203-5 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-4 transmits the encryption key storage frame to the general node 203-6. Further, the general node 203-5 transmits the encryption key storage frame to the RPL owner node 201-2.
The general node 203-4 and the general node 203-5 are also expressed as local general.
一般ノード203−6は、ローカルリングの一般ノードである。
一般ノード203−6は、暗号鍵格納フレームを一般ノード203−4から受信する。そして、一般ノード203−6は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−6は、暗号鍵格納フレームの送信元のノード(一般ノード203−4)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−6は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−6は、RPL隣接ノード202−2に暗号鍵格納フレームを送信する。
なお、一般ノード203−6は、ローカル一般とも表記する。The general node 203-6 is a general node of the local ring.
The general node 203-6 receives the encryption key storage frame from the general node 203-4. Then, the general node 203-6 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 203-6 designates a node in a communicable state among nodes other than the transmission source node (general node 203-4) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 203-6 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-6 transmits the encryption key storage frame to the RPL adjacent node 202-2.
The general node 203-6 is also referred to as local general.
RPL隣接ノード202−2は、ローカルリングのRPL隣接ノードである。
RPL隣接ノード202−2は、暗号鍵格納フレームを一般ノード203−6から受信する。そして、RPL隣接ノード202−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−2とRPLオーナノード201−2とは接続されているが、RPL隣接ノード202−2とRPLオーナノード201−2とのリンクに対応するポートが閉塞されているため、RPL隣接ノード202−2とRPLオーナノード201−2は通信可能な状態になっていない。つまり、RPL隣接ノード202−2には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード202−2は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード202−2は、鍵受信通知を、暗号鍵の送信元である一般ノード203−6に送信する。
なお、RPL隣接ノード202−2は、ローカル隣接とも表記する。The RPL adjacent node 202-2 is a local ring RPL adjacent node.
The RPL adjacent node 202-2 receives the encryption key storage frame from the general node 203-6. Then, the RPL adjacent node 202-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-2 and the RPL owner node 201-2 are connected, but the port corresponding to the link between the RPL adjacent node 202-2 and the RPL owner node 201-2 is blocked. Therefore, the RPL adjacent node 202-2 and the RPL owner node 201-2 are not in a communicable state. That is, the RPL adjacent node 202-2 does not have a node that can be designated as the encryption key transmission destination.
Thus, the RPL adjacent node 202-2 is a terminal node in the ring network. Therefore, the RPL adjacent node 202-2 transmits a key reception notification to the general node 203-6 that is the transmission source of the encryption key.
The RPL adjacent node 202-2 is also referred to as local adjacent.
一般ノード203−6は鍵受信通知をRPL隣接ノード202−2から受信する。そして、一般ノード203−6は、鍵受信通知を、暗号鍵の送信元である一般ノード203−4に送信する。 The general node 203-6 receives the key reception notification from the RPL adjacent node 202-2. Then, the general node 203-6 transmits a key reception notification to the general node 203-4 that is the transmission source of the encryption key.
一般ノード203−4は鍵受信通知を一般ノード203−6から受信する。そして、一般ノード203−4は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−2に送信する。 The general node 203-4 receives the key reception notification from the general node 203-6. Then, the general node 203-4 transmits a key reception notification to the internetwork connection node 204-2 that is the transmission source of the encryption key.
RPLオーナノード201−2は、ローカルリングのRPLオーナノードである。
RPLオーナノード201−2は暗号鍵格納フレームを一般ノード203−5から受信する。そして、RPLオーナノード201−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−2とRPLオーナノード201−2とは接続されているが、RPL隣接ノード202−2とRPLオーナノード201−2とのリンクに対応するポートが閉塞されているため、RPL隣接ノード202−2とRPLオーナノード201−2は通信可能な状態になっていない。つまり、RPLオーナノード201−2には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPLオーナノード201−2は、リングネットワークにおける末端ノードである。このため、RPLオーナノード201−2は、鍵受信通知を、暗号鍵の送信元である一般ノード203−5に送信する。
なお、RPLオーナノード201−2は、ローカルオーナとも表記する。The RPL owner node 201-2 is a local ring RPL owner node.
The RPL owner node 201-2 receives the encryption key storage frame from the general node 203-5. Then, the RPL owner node 201-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-2 and the RPL owner node 201-2 are connected, but the port corresponding to the link between the RPL adjacent node 202-2 and the RPL owner node 201-2 is blocked. Therefore, the RPL adjacent node 202-2 and the RPL owner node 201-2 are not in a communicable state. That is, the RPL owner node 201-2 does not have a node that can be designated as the encryption key transmission destination.
Thus, the RPL owner node 201-2 is a terminal node in the ring network. For this reason, the RPL owner node 201-2 transmits a key reception notification to the general node 203-5 that is the transmission source of the encryption key.
The RPL owner node 201-2 is also referred to as a local owner.
一般ノード203−5は鍵受信通知をRPLオーナノード201−2から受信する。そして、一般ノード203−5は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−2に送信する。 The general node 203-5 receives the key reception notification from the RPL owner node 201-2. Then, the general node 203-5 transmits a key reception notification to the internetwork connection node 204-2 that is the transmission source of the encryption key.
網間接続ノード204−2はローカルリングの隣接する2つのノードである一般ノード203−4と一般ノード203−5の双方から鍵受信通知を受信したら、暗号鍵の送信元である網間接続ノード104−2に、受信した鍵受信通知を送信する。なお、網間接続ノード204−2は、一般ノード203−4及び一般ノード203−5の少なくともいずれかから鍵受信通知を受信できなかった場合に、鍵受信通知を受信できなかったノードに暗号鍵を再送する。そして、網間接続ノード204−2は、複数回、暗号鍵の再送を行っても、鍵受信通知を受信できない場合には、網間接続ノード104−2にエラー通知を行う。
このようにすることで、ローカルリング内にも確実に暗号鍵を配信することができる。なお、網間接続ノード204−2は、鍵受信通知を受信できなかった場合の暗号鍵の再送及び網間接続ノード104−2へのエラー通知を省略してもよい。
前述したように、網間接続ノード104−2は、網間接続ノード204−2から鍵受信通知を受信すると、メインリング内の他のノードである一般ノード103−2に暗号鍵格納フレームを送信する。When the network connection node 204-2 receives the key reception notification from both the general node 203-4 and the general node 203-5 that are adjacent two nodes of the local ring, the network connection node that is the transmission source of the encryption key The received key reception notification is transmitted to 104-2. It should be noted that the network connection node 204-2, when the key reception notification cannot be received from at least one of the general node 203-4 and the general node 203-5, the encryption key is sent to the node that has not received the key reception notification. Will be resent. If the network connection node 204-2 cannot receive the key reception notification even after retransmitting the encryption key a plurality of times, the network connection node 204-2 sends an error notification to the network connection node 104-2.
By doing so, it is possible to reliably distribute the encryption key even in the local ring. The network connection node 204-2 may omit the retransmission of the encryption key and the error notification to the network connection node 104-2 when the key reception notification cannot be received.
As described above, when the network connection node 104-2 receives the key reception notification from the network connection node 204-2, it transmits the encryption key storage frame to the general node 103-2 which is another node in the main ring. To do.
一般ノード103−2は、メインリングの一般ノードである。
一般ノード103−2は、暗号鍵格納フレームを網間接続ノード104−2から受信する。そして、一般ノード103−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード103−2は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード103−2は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード103−2は、RPL隣接ノード102に暗号鍵格納フレームを送信する。
なお、一般ノード103−2はメイン一般とも表記する。The general node 103-2 is a general node of the main ring.
The general node 103-2 receives the encryption key storage frame from the network connection node 104-2. Then, the general node 103-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 103-2 designates a node in a communicable state among nodes other than the transmission source node (inter-network connection node 104-2) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 103-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 103-2 transmits an encryption key storage frame to the RPL
The general node 103-2 is also referred to as main general.
RPL隣接ノード102は、メインリングのRPL隣接ノードである。
RPL隣接ノード102は、暗号鍵格納フレームを一般ノード103−2から受信する。そして、RPL隣接ノード102は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、前述したように、RPL隣接ノード102とRPLオーナノード101とは接続されているが、RPL隣接ノード102とRPLオーナノード101とのリンクに対応するポートが閉塞されているため、RPL隣接ノード102とRPLオーナノード101は通信可能な状態になっていない。つまり、RPL隣接ノード102には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード102は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード102は、鍵受信通知を、暗号鍵の送信元である一般ノード103−2に送信する。
なお、RPL隣接ノード102は、メイン隣接とも表記する。The RPL
The RPL
As described above, the RPL
Thus, the
The RPL
一般ノード103−2は鍵受信通知をRPL隣接ノード102から受信する。そして、一般ノード103−2は、鍵受信通知を、暗号鍵の送信元である網間接続ノード104−2に送信する。
The general node 103-2 receives the key reception notification from the RPL
網間接続ノード104−2は一般ノード103−2から鍵受信通知を受信したら、メインリングの隣接するノードである網間接続ノード104−1に、鍵受信通知を転送する。 When receiving the key reception notification from the general node 103-2, the network connection node 104-2 transfers the key reception notification to the network connection node 104-1 which is an adjacent node of the main ring.
網間接続ノード104−1は網間接続ノード104−2から鍵受信通知を受信したら、鍵受信通知を、暗号鍵の送信元である一般ノード103−1に送信する。 When the network connection node 104-1 receives the key reception notification from the network connection node 104-2, the network connection node 104-1 transmits the key reception notification to the general node 103-1, which is the transmission source of the encryption key.
一般ノード103−1は鍵受信通知を網間接続ノード104−1から受信する。そして、一般ノード103−1は、受信した鍵受信通知を、暗号鍵の送信元であるRPLオーナノード101に送信する。
The general node 103-1 receives the key reception notification from the network connection node 104-1. Then, the general node 103-1 transmits the received key reception notification to the
RPLオーナノード101は、一般ノード103−1から鍵受信通知を受信したら、ネットワーク内の全ノードに暗号鍵が配信されたと判定する。これにより、暗号鍵の配信が完了する。RPLオーナノード101は、規定時間以内に全ての末端ノードからの鍵受信通知を受信できなかった場合は、暗号鍵を再送する。図1の例では、RPLオーナノード101は、一般ノード103−1から鍵受信通知を受信できなかった場合に、暗号鍵を再送する。
When receiving the key reception notification from the general node 103-1, the
本実施の形態によれば、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。
従来の方式では、鍵配信ノードが1対1で各ノードに暗号鍵を送信している。このため、従来の方式では、ネットワーク内のノード数が増加するほど鍵配信ノードの負荷が増加し、ネットワークの負荷も増加していた。本実施の形態では、鍵配信ノードを始点とし、ノード間で暗号鍵の送受信を繰り返すことで、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに全ノードに暗号鍵を配信することができる。同様に、本実施の形態によれば、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。According to the present embodiment, it is possible to efficiently distribute keys without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution.
In the conventional method, the key distribution node transmits the encryption key to each node on a one-to-one basis. For this reason, in the conventional method, as the number of nodes in the network increases, the load on the key distribution node increases and the load on the network also increases. In this embodiment, the key distribution node is used as a starting point, and transmission and reception of the encryption key between nodes is repeated, so that a high load is not imposed on the key distribution node and no congestion occurs in the communication path. An encryption key can be distributed. Similarly, according to the present embodiment, the key reception notification can be made to reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path.
実施の形態2.
図2を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図2は、protection状態における暗号鍵の配信ルート及び鍵受信通知の配信ルートを示す。
図2では、一般ノード103−2と網間接続ノード104−2との間で障害が発生している。また、網間接続ノード204−2と一般ノード203−4との間で障害が発生している。また、一般ノード203−3とRPL隣接ノード202−1との間で障害が発生している。
RPLオーナノード101は、一般ノード103−2と網間接続ノード104−2との間のリンクを閉塞する。また、RPLオーナノード101は、網間接続ノード204−2と一般ノード203−4との間のリンクを閉塞する。更に、RPLオーナノード101は、一般ノード203−3とRPL隣接ノード202−1との間のリンクを閉塞する。一方、RPLオーナノード101は、RPLオーナノード101とRPL隣接ノード102との間のリンクの閉塞を解除する。また、RPLオーナノード101は、RPL隣接ノード202−1とRPLオーナノード201−1との間のリンクの閉塞を解除する。更に、RPLオーナノード101は、RPLオーナノード201−2とRPL隣接ノード202−2との間のリンクの閉塞を解除する。
図2において実線の矢印は、暗号鍵の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 2. FIG.
With reference to FIG. 2, the data flow in the ring network according to the present embodiment will be described.
FIG. 2 shows an encryption key distribution route and a key reception notification distribution route in the protection state.
In FIG. 2, a failure occurs between the general node 103-2 and the network connection node 104-2. In addition, a failure has occurred between the network connection node 204-2 and the general node 203-4. In addition, a failure has occurred between the general node 203-3 and the RPL adjacent node 202-1.
The
In FIG. 2, the solid arrow indicates the encryption key distribution route. A broken arrow indicates a delivery route of the key reception notification.
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.
実施の形態1と同様に、鍵配信ノードであるメインリングのRPLオーナノード101は暗号鍵を生成する。本実施の形態では、RPLオーナノード101は、RPL隣接ノード102と一般ノード103−1の双方に暗号鍵格納フレームを送信する。
As in the first embodiment, the
RPL隣接ノード102は暗号鍵格納フレームをRPLオーナノード101から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード103−2に送信する。
When the RPL
一般ノード103−2は暗号鍵格納フレームをRPL隣接ノード102から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知をRPL隣接ノード102に送信する。
つまり、一般ノード103−2には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード103−2は、鍵受信通知をRPL隣接ノード102に送信する。When the general node 103-2 receives the encryption key storage frame from the RPL
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 103-2, the general node 103-2 transmits a key reception notification to the RPL
RPL隣接ノード102は、鍵受信通知を一般ノード103−2から受信したら、RPLオーナノード101に鍵受信通知を送信する。
When receiving the key reception notification from the general node 103-2, the RPL
一般ノード103−1は暗号鍵格納フレームをRPLオーナノード101から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード104−1に送信する。
When the general node 103-1 receives the encryption key storage frame from the
網間接続ノード104−1は暗号鍵格納フレームを一般ノード103−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード204−1に送信する。 When the network connection node 104-1 receives the encryption key storage frame from the general node 103-1, the network connection node 104-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent network connection node 204-1. To do.
網間接続ノード204−1は暗号鍵格納フレームを網間接続ノード104−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−1と一般ノード203−2に送信する。 When the network connection node 204-1 receives the encryption key storage frame from the network connection node 104-1, the network connection node 204-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-1. Transmit to node 203-2.
一般ノード203−1は暗号鍵格納フレームを網間接続ノード204−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−3に送信する。 When receiving the encryption key storage frame from the network connection node 204-1, the general node 203-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-3.
一般ノード203−3は暗号鍵格納フレームを一般ノード203−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知を一般ノード203―1に送信する。
つまり、一般ノード203−3には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード203−3は、鍵受信通知を一般ノード203−1に送信する。When the general node 203-3 receives the encryption key storage frame from the general node 203-1, the general node 203-3 decrypts the encryption key, obtains the encryption key, and transmits a key reception notification to the general node 203-1.
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 203-3, the general node 203-3 transmits the key reception notification to the general node 203-1.
一般ノード203−1は鍵受信通知を一般ノード203−3から受信したら、隣接する網間接続ノード204−1に鍵受信通知を送信する。 When receiving the key reception notification from the general node 203-3, the general node 203-1 transmits the key reception notification to the adjacent network connection node 204-1.
一般ノード203−2は暗号鍵格納フレームを網間接続ノード204−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPLオーナノード201−1に送信する。 When the general node 203-2 receives the encryption key storage frame from the network connection node 204-1, the general node 203-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL owner node 201-1.
RPLオーナノード201−1は暗号鍵格納フレームを一般ノード203−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPL隣接ノード202−1に送信する。 When the RPL owner node 201-1 receives the encryption key storage frame from the general node 203-2, it decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL adjacent node 202-1.
RPL隣接ノード202−1は暗号鍵格納フレームをRPLオーナノード201−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知をRPLオーナノード201−1に送信する。
つまり、RPL隣接ノード202−1には、暗号鍵の送信先に指定できるノードが存在しないため、RPL隣接ノード202−1は鍵受信通知をRPLオーナノード201−1に送信する。When the RPL adjacent node 202-1 receives the encryption key storage frame from the RPL owner node 201-1, it decrypts the encryption key, acquires the encryption key, and transmits a key reception notification to the RPL owner node 201-1.
That is, since there is no node that can be designated as the encryption key transmission destination in the RPL adjacent node 202-1, the RPL adjacent node 202-1 transmits a key reception notification to the RPL owner node 201-1.
RPLオーナノード201−1は鍵受信通知をRPL隣接ノード202−1から受信したら、隣接する一般ノード203−2に鍵受信通知を送信する。 When the RPL owner node 201-1 receives the key reception notification from the RPL adjacent node 202-1, the RPL owner node 201-1 transmits the key reception notification to the adjacent general node 203-2.
一般ノード203−2は鍵受信通知をRPLオーナノード201−1から受信したら、隣接する網間接続ノード204−1に鍵受信通知を送信する。 When the general node 203-2 receives the key reception notification from the RPL owner node 201-1, the general node 203-2 transmits the key reception notification to the adjacent network connection node 204-1.
網間接続ノード204−1は鍵受信通知を一般ノード203−1と一般ノード203−2から受信したら、受信した鍵受信通知を、隣接する網間接続ノード104−1に送信する。 When the network connection node 204-1 receives the key reception notification from the general nodes 203-1 and 203-2, the network connection node 204-1 transmits the received key reception notification to the adjacent network connection node 104-1.
網間接続ノード104−1は鍵受信通知を網間接続ノード204−1から受信したら、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。 When the network connection node 104-1 receives the key reception notification from the network connection node 204-1, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2 which is another network connection node in the main ring. .
網間接続ノード104−2は暗号鍵格納フレームを網間接続ノード104−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード204−2に送信する。網間接続ノード104−2と一般ノード103−2とのリンクは閉塞されているので、網間接続ノード104−2は、一般ノード103−2には暗号鍵格納フレームを送信しない。 When the network connection node 104-2 receives the encryption key storage frame from the network connection node 104-1, the network connection node 104-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent network connection node 204-2. Send to. Since the link between the network connection node 104-2 and the general node 103-2 is blocked, the network connection node 104-2 does not transmit the encryption key storage frame to the general node 103-2.
網間接続ノード204−2は暗号鍵格納フレームを網間接続ノード104−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−5に送信する。網間接続ノード204−2と一般ノード203−4とのリンクは閉塞されているので、網間接続ノード204−2は、一般ノード203−4には暗号鍵格納フレームを送信しない。 When the network connection node 204-2 receives the encryption key storage frame from the network connection node 104-2, the network connection node 204-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-5. To do. Since the link between the network connection node 204-2 and the general node 203-4 is blocked, the network connection node 204-2 does not transmit the encryption key storage frame to the general node 203-4.
一般ノード203−5は暗号鍵格納フレームを網間接続ノード204−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPLオーナノード201−2に送信する。 When receiving the encryption key storage frame from the network connection node 204-2, the general node 203-5 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL owner node 201-2.
RPLオーナノード201−2は暗号鍵格納フレームを一般ノード203−5から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPL隣接ノード202−2に送信する。 When the RPL owner node 201-2 receives the encryption key storage frame from the general node 203-5, the RPL owner node 201-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL adjacent node 202-2.
RPL隣接ノード202−2は暗号鍵格納フレームをRPLオーナノード201−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−6に送信する。 When the RPL adjacent node 202-2 receives the encryption key storage frame from the RPL owner node 201-2, it decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-6.
一般ノード203−6は暗号鍵格納フレームをRPL隣接ノード202−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−4に送信する。 Upon receiving the encryption key storage frame from the RPL adjacent node 202-2, the general node 203-6 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-4.
一般ノード203−4は暗号鍵格納フレームを一般ノード203−6から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知を一般ノード203―6に送信する。
つまり、一般ノード203−4には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード203−4は、鍵受信通知を一般ノード203−6に送信する。When the general node 203-4 receives the encryption key storage frame from the general node 203-6, the general node 203-4 decrypts the encryption key, acquires the encryption key, and transmits a key reception notification to the general node 203-6.
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 203-4, the general node 203-4 transmits a key reception notification to the general node 203-6.
一般ノード203−6は鍵受信通知を一般ノード203−4から受信したら、隣接するRPL隣接ノード202−2に鍵受信通知を送信する。 When the general node 203-6 receives the key reception notification from the general node 203-4, the general node 203-6 transmits the key reception notification to the adjacent RPL adjacent node 202-2.
RPL隣接ノード202−2は鍵受信通知を一般ノード203−6から受信したら、隣接するRPLオーナノード201−2に鍵受信通知を送信する。 When the RPL adjacent node 202-2 receives the key reception notification from the general node 203-6, the RPL adjacent node 202-2 transmits the key reception notification to the adjacent RPL owner node 201-2.
RPLオーナノード201−2は鍵受信通知をRPL隣接ノード202−2から受信したら、隣接する一般ノード203−5に鍵受信通知を送信する。 When receiving the key reception notification from the RPL adjacent node 202-2, the RPL owner node 201-2 transmits the key reception notification to the adjacent general node 203-5.
一般ノード203−5は鍵受信通知をRPLオーナノード201−2から受信したら、隣接する網間接続ノード204−2に鍵受信通知を送信する。 When receiving the key reception notification from the RPL owner node 201-2, the general node 203-5 transmits the key reception notification to the adjacent network connection node 204-2.
網間接続ノード204−2は鍵受信通知を一般ノード203−5から受信したら、隣接する網間接続ノード104−2に鍵受信通知を送信する。 When the network connection node 204-2 receives the key reception notification from the general node 203-5, the network connection node 204-2 transmits the key reception notification to the adjacent network connection node 104-2.
網間接続ノード104−2は鍵受信通知を網間接続ノード204−2から受信したら、隣接する網間接続ノード104−1に鍵受信通知を送信する。 When the network connection node 104-2 receives the key reception notification from the network connection node 204-2, the network connection node 104-2 transmits the key reception notification to the adjacent network connection node 104-1.
網間接続ノード104−1は網間接続ノード104−2から鍵受信通知を受信したら、鍵受信通知を、暗号鍵の送信元である一般ノード103−1に送信する。 When the network connection node 104-1 receives the key reception notification from the network connection node 104-2, the network connection node 104-1 transmits the key reception notification to the general node 103-1, which is the transmission source of the encryption key.
一般ノード103−1は鍵受信通知を網間接続ノード104−1から受信したら、隣接するRPLオーナノード101に鍵受信通知を送信する。
When the general node 103-1 receives the key reception notification from the network connection node 104-1, the general node 103-1 transmits the key reception notification to the adjacent
RPLオーナノード101は一般ノード103−1とRPL隣接ノード102の双方から鍵受信通知を受信したら、ネットワーク内の全ノードに暗号鍵が配信されたと判定する。これにより、暗号鍵の配信が完了する。RPLオーナノード101は、一定時間以内に一般ノード103−1とRPL隣接ノード102の双方から鍵受信通知を受信できなかった場合は、暗号鍵を再送する。
When receiving the key reception notification from both the general node 103-1 and the RPL
本実施の形態によれば、protection状態においても、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。同様に、本実施の形態によれば、protection状態においても、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。 According to the present embodiment, even in the protection state, the key is efficiently distributed without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution. be able to. Similarly, according to the present embodiment, even in the protection state, the key reception notification can reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path. Can do.
実施の形態3.
図3を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図3は、idle状態において鍵配信ノードが鍵受信通知を受信した後に鍵配信ノードから送信される鍵有効通知のデータフローを示す。
鍵有効通知は、各ノードに暗号鍵の有効化を指示するメッセージである。
図3において実線の矢印は、鍵有効通知の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。破線の矢印は図1に示したものと同じである。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 3 FIG.
A data flow in the ring network according to the present embodiment will be described with reference to FIG.
FIG. 3 shows a data flow of the key validity notification transmitted from the key distribution node after the key distribution node receives the key reception notification in the idle state.
The key validity notification is a message that instructs each node to validate the encryption key.
In FIG. 3, a solid arrow indicates a key valid notification distribution route. A broken arrow indicates a delivery route of the key reception notification. The dashed arrows are the same as those shown in FIG.
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.
実施の形態1で説明したように、鍵配信ノードであるRPLオーナノード101は、リングネットワークに含まれる全ての末端ノードから鍵受信通知を受信すると、全ノードに暗号鍵が配信されたと判定する。
次に、RPLオーナノード101は、鍵有効通知を一般ノード103−1に送信する。
以降は、暗号鍵の配信ルートと同じルートでノード間で鍵有効通知を送受信する。具体的には、一般ノード103−1は、網間接続ノード104−1に鍵有効通知を送信する。網間接続ノード104−1は網間接続ノード204−1と網間接続ノード104−2に鍵有効通知を送信する。なお、暗号鍵の配信と異なり、網間接続ノード104−1は、並行して網間接続ノード204−1と網間接続ノード104−2に鍵有効通知を送信する。
網間接続ノード204−1は、一般ノード203−1と一般ノード203−2に鍵有効通知を送信する。一般ノード203−1は一般ノード203−3に鍵有効通知を送信する。一般ノード203−3はRPL隣接ノード202−1に鍵有効通知を送信する。一般ノード203−2はRPLオーナノード201−1に鍵有効通知を送信する。
網間接続ノード104−2は、一般ノード103−2と網間接続ノード204−2に鍵有効通知を送信する。一般ノード103−2は、RPL隣接ノード102に鍵有効通知を送信する。網間接続ノード204−2は一般ノード203−4と一般ノード203−5に鍵有効通知を送信する。一般ノード203−4は一般ノード203−6に鍵有効通知を送信する。一般ノード203−6はRPL隣接ノード202−2に鍵有効通知を送信する。一般ノード203−5はRPLオーナノード201−2に鍵有効通知を送信する。
なお、本実施の形態では、末端ノードは鍵有効通知を受信した場合も、受信確認のための応答メッセージを送信する必要はない。
各ノードは鍵有効通知を受信したら、暗号鍵を有効化する。As described in the first embodiment, when receiving the key reception notification from all terminal nodes included in the ring network, the
Next, the
Thereafter, the key validity notification is transmitted and received between nodes through the same route as the encryption key distribution route. Specifically, the general node 103-1 transmits a key validity notification to the network connection node 104-1. The network connection node 104-1 transmits a key validity notification to the network connection node 204-1 and the network connection node 104-2. Note that, unlike the distribution of the encryption key, the network connection node 104-1 transmits a key validity notification to the network connection node 204-1 and the network connection node 104-2 in parallel.
The network connection node 204-1 transmits a key validity notification to the general node 203-1 and the general node 203-2. The general node 203-1 transmits a key validity notice to the general node 203-3. The general node 203-3 transmits a key validity notification to the RPL adjacent node 202-1. The general node 203-2 transmits a key validity notice to the RPL owner node 201-1.
The network connection node 104-2 transmits a key validity notification to the general node 103-2 and the network connection node 204-2. The general node 103-2 transmits a key validity notification to the RPL
In the present embodiment, even when the terminal node receives the key validity notification, it is not necessary to transmit a response message for confirmation of reception.
When each node receives the key validity notification, it validates the encryption key.
以上より、本実施の形態によれば、暗号鍵の配信途中で障害が発生した場合にも、リングネットワーク内で暗号鍵(共通鍵)が不一致になることを防止することができる。 As described above, according to the present embodiment, even when a failure occurs during the distribution of the encryption key, it is possible to prevent the encryption key (common key) from being inconsistent in the ring network.
実施の形態4.
本実施の形態では、実施の形態1〜3で説明した各ノードを構成するフレーム転送装置100の構成を説明する。前述したように、フレーム転送装置100は、通信装置に相当する。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 4 FIG.
In the present embodiment, the configuration of the
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.
図4は、フレーム転送装置100の構成例を示す。
FIG. 4 shows a configuration example of the
フレーム転送装置100は、ハードウェアとして、プロセッサ110、記憶装置120、スイッチ設定装置130、スイッチ140及び通信インタフェース150−1〜150−6を備える。
フレーム転送装置100は、通信装置であるが、プログラムを実行するコンピュータとして機能する。
記憶装置120には、暗号鍵記憶部121、ノード属性記憶部122、リング属性記憶部123、障害状態記憶部124、暗号鍵管理テーブル記憶部125、鍵受信通知管理テーブル記憶部126及びポート情報記憶部127が含まれる。
暗号鍵記憶部121、ノード属性記憶部122、リング属性記憶部123、障害状態記憶部124、暗号鍵管理テーブル記憶部125、鍵受信通知管理テーブル記憶部126及びポート情報記憶部127の詳細は後述する。
記憶装置120には、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119を実現するプログラムが記憶されている。
そして、プロセッサ110がこれらプログラムを実行して、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の動作を行う。
図4では、プロセッサ110が判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムを実行している状態を模式的に表している。The
The
The
Details of the encryption
The
Then, the
In FIG. 4, the
判定部111は、フレーム転送装置100のノード属性を判定する。つまり、判定部111は、フレーム転送装置100が図1に示すRPLオーナノード101、RPL隣接ノード102、一般ノード103−1、一般ノード103−2等のいずれに該当するかを判定する。
フレーム転送装置100のノード属性は記憶装置120内のノード属性記憶部122に記憶されている。つまり、ノード属性記憶部122には、フレーム転送装置100が図1に示すRPLオーナノード101、RPL隣接ノード102、一般ノード103−1、一般ノード103−2等のいずれに該当するかが示される情報が記憶されている。
判定部111は、ノード属性記憶部122の情報を参照して、フレーム転送装置100のノード属性を判定する。The
The node attribute of the
The
暗号鍵生成部112は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合、すなわち、フレーム転送装置100が図1に示すRPLオーナノード101に該当する場合に暗号鍵を生成する。
The encryption
鍵受信通知生成部113は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に鍵受信通知を生成する。末端ノードは、図1の場合は、RPL隣接ノード102、RPL隣接ノード202−1、RPLオーナノード201−1、RPLオーナノード201−2、RPL隣接ノード202−2である。図2の場合は、末端ノードは、一般ノード103−2、RPL隣接ノード202−1、一般ノード203−3、一般ノード203−4である。
The key reception
鍵有効通知生成部114は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合、すなわち、フレーム転送装置100が図1に示すRPLオーナノード101に該当する場合に鍵有効通知を生成する。
The key validity
通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して暗号鍵を隣接するノードに送信する。
また、通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵受信通知を隣接するノードから受信する。
また、通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵有効通知を隣接するノードに送信する。When the
In addition, when the
In addition, when the
更に、通信制御部115は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して、暗号鍵を隣接するノードから受信し、鍵受信通知を隣接するノードに送信する。
また、通信制御部115は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵有効通知を隣接するノードから受信する。Furthermore, when the
Further, the
また、通信制御部115は、フレーム転送装置100が鍵配信ノード及び末端ノードのいずれにも該当しないと判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して、暗号鍵、鍵有効通知及び鍵受信通知を隣接するノードから受信し、暗号鍵、鍵有効通知及び鍵受信通知を隣接するノードに送信する。
Further, the
暗号化部116は、暗号鍵を用いてデータを暗号化する。
The
タイマー117は、時間を計測するために用いられる。
The
障害検知部118は、いずれかのリンクにおける障害の発生を検知する。
The
復号部119は、暗号化された暗号鍵の復号を行う。また、復号部119は、暗号鍵を用いて暗号化された暗号化データの復号を行う。
The
記憶装置120内の暗号鍵記憶部121は、暗号鍵を記憶する。
The encryption
ノード属性記憶部122は、フレーム転送装置100のノード属性を記憶する。前述したように、ノード属性記憶部122は、フレーム転送装置100が図1に示すいずれのノードに該当するかを示す情報を記憶する。
The node
リング属性記憶部123は、リング属性を記憶する。つまり、リング属性記憶部123は、フレーム転送装置100が属するリングネットワークがメインリングであるのかローカルリングであるのかを示す情報を記憶する。
The ring
障害状態記憶部124は、障害状態を記憶する。障害状態記憶部124は、例えば、リングネットワークで発生した障害の種類、障害を検知したフレーム転送装置100及び障害が発生した位置を障害状態として記憶する。
The failure
暗号鍵管理テーブル記憶部125は、暗号鍵管理テーブルを記憶する。
暗号鍵管理テーブルは、フレーム転送装置100が暗号鍵格納フレームを受信した際のフレーム転送装置100の動作が示されるテーブルである。暗号鍵管理テーブルの詳細は後述する。The encryption key management
The encryption key management table is a table indicating the operation of the
鍵受信通知管理テーブル記憶部126は、鍵受信通知管理テーブルを記憶する。
鍵受信通知管理テーブルは、フレーム転送装置100が鍵受信通知を受信した際のフレーム転送装置100の動作が示されるテーブルである。鍵受信通知管理テーブルの詳細は後述する。The key reception notification management
The key reception notification management table is a table indicating the operation of the
ポート情報記憶部127は、ポート情報を記憶する。ポート情報には、フレーム転送装置100に設けられている各ポートの用途が示される。
The port
図1に示す各ノードは、いずれも図4に示すフレーム転送装置100により実現される。しかし、RPLオーナノード101とRPLオーナノード101以外のノードでは、構成要素の役割が異なる。
RPLオーナノード101を実現するフレーム転送装置100では、図5に示すように、暗号鍵生成部112、鍵有効通知生成部114及び通信制御部115が、第1の制御部として機能する。
一方、RPLオーナノード101以外のノードを実現するフレーム転送装置100では、図6に示すように、鍵受信通知生成部113及び通信制御部115が第2の制御部として機能する。Each node shown in FIG. 1 is realized by the
In the
On the other hand, in the
通信インタフェース150−1〜150〜6は、それぞれ、外部からイーサネットフレーム(以下、単にフレームともいう)を受信する。通信インタフェース150−1〜150〜6のいずれかが受信したフレームが通常のイーサネットフレームである場合はスイッチ140がフレームの先頭の宛先MAC(Media Access Control)アドレスと送信元MACアドレスを読み出す。そして、スイッチ140が宛先MACアドレス及び送信元MACアドレスに対応する通信インタフェースを通信インタフェース150−1〜150−6の中から選択し、選択した通信インタフェースからフレームが送信される。
Each of the communication interfaces 150-1 to 150-6 receives an Ethernet frame (hereinafter also simply referred to as a frame) from the outside. When the frame received by any one of the communication interfaces 150-1 to 150-6 is a normal Ethernet frame, the
受信されたフレームがCCM(Continuity Check Messages)である場合は、スイッチ140は障害検知部118にCCMを受信したことを通知する。これにより、CCMを受信したポートのリンクが正常であることが確認できる。また、一定時間CCMが受信できなかった場合には、障害検知部118は障害検知通知フレームを生成し、障害が検知されたERP通信ポートではないポートから障害検知通知フレームを送信する。障害検知通知フレームには、障害状態が記述される。障害状態には、例えば、検知された障害の種類、障害を検知したフレーム転送装置100及び障害が検知された位置が含まれる。
When the received frame is CCM (Continuity Check Messages), the
受信されたフレームが障害状態通知フレームである場合は、障害検知部118が、障害状態通知フレームに記述される障害状態を記憶装置120内の障害状態記憶部124にライトする。そして、障害検知部118は、障害状態通知フレームを隣接のERPノードに転送する。
When the received frame is a failure state notification frame, the
受信されたフレームが暗号鍵格納フレームである場合は、復号部119が暗号鍵格納フレーム内の暗号化された暗号鍵の復号を行う。そして、復号部119は、復号により得られた暗号鍵を暗号鍵記憶部121に格納する。また、通信制御部115が暗号鍵管理テーブル記憶部125内の暗号鍵管理テーブルに従い、暗号鍵格納フレームもしくは鍵受信通知を通信インタフェース150−1〜150−6のいずれかから送信する。
If the received frame is an encryption key storage frame, the
受信されたフレームが鍵受信通知である場合は、通信制御部115が鍵受信通知管理テーブル記憶部126内の鍵受信通知管理テーブルに従い、暗号鍵格納フレームもしくは鍵受信通知もしくは鍵有効通知を通信インタフェース150−1〜150−6のいずれかから送信する。
When the received frame is a key reception notification, the
受信されたフレームが鍵有効通知である場合には、通信制御部115が、暗号鍵管理テーブルに従い、暗号鍵記憶部121に格納されている暗号鍵を有効化する。また、通信制御部115は、鍵有効通知を通信インタフェース150−1〜150−6のいずれかから送信する。ただし、通信制御部115は、鍵有効通知を転送した後は、鍵有効通知に対する受信確認を待つ必要はない(鍵有効通知に対する受信確認は送信されない)。
When the received frame is a key validity notification, the
フレーム転送装置100のユーザはスイッチ設定装置130を用いてERPに用いるERPポートを通信インタフェース150−1〜150−6の中から2つ設定する。そして、フレーム転送装置100のユーザは、設定結果をポート情報として記憶装置120のポート情報記憶部127にライトする。
The user of the
また、フレーム転送装置100のユーザはフレーム転送装置100が属するリングネットワークがメインリングであるかローカルリングであるかをスイッチ設定装置130を用いて設定する。そして、フレーム転送装置100のユーザは、設定結果をリング属性として記憶装置120のリング属性記憶部123にライトする。
Further, the user of the
また、フレーム転送装置100のユーザはフレーム転送装置100のノード属性を設定する。つまり、フレーム転送装置100のユーザは、フレーム転送装置100がRPLオーナノードか、RPL隣接ノードか、網間接続ノードか、一般ノードかを、スイッチ設定装置130を用いて設定する。そして、フレーム転送装置100のユーザは、設定結果をノード属性として記憶装置120のノード属性記憶部122にライトする。
Further, the user of the
また、フレーム転送装置100のユーザはフレーム転送装置100のノード属性を網間接続ノードに設定した場合は、ローカルリングとメインリングを接続するのにどのポートを用いるかを設定する。そして、フレーム転送装置100のユーザは、設定結果をポート情報として記憶装置120のポート情報記憶部127にライトする。
When the user of the
フレーム転送装置100がメインリングのRPLオーナノードに設定されている場合は、暗号鍵生成部112が、タイマー117を用いて一定周期ごとに暗号鍵を生成する。そして、暗号化部116が、現在、暗号鍵記憶部121にて保持している共有鍵を用いて暗号鍵を暗号化する。また、暗号化部116は、暗号化された暗号鍵を含む暗号鍵格納フレームを生成する。そして、通信制御部115が暗号鍵管理テーブルを参照して通信インタフェース150−1〜150−6のいずれかから暗号鍵格納フレームを送信する。
When the
また、フレーム転送装置100がメインリングのRPLオーナノードに設定されている場合は、通信制御部115が、タイマー117を用いて鍵受信通知の受信状況を監視する。規定時間が経過しても全ての鍵受信通知が受信できない場合に、通信制御部115は、暗号鍵格納フレームの再送を行う。
When the
フレーム転送装置100が網間接続ノードに設定されている場合は、通信制御部115が、タイマー117を用いて鍵受信通知の受信状況を監視する。規定時間が経過しても全ての鍵受信通知が受信できない場合に、通信制御部115は、暗号鍵格納フレームの再送を行う。
When the
図7及び図8は、暗号鍵管理テーブル記憶部125で記憶されている暗号鍵管理テーブルの例を示す。
暗号鍵管理テーブルには、リング属性、ノード属性、リング状態、障害検知の組合せごとに、暗号鍵格納フレームを受信した際のフレーム転送装置100の動作が記述されている。
リング属性には、フレーム転送装置100が属するリングの種類が示される。つまり、リング属性には、メインリング又はローカルリングが示される。
ノード属性には、フレーム転送装置100のノード属性が示される。
リング状態には、idle状態及びprotection状態のいずれかが示される。
障害検知には、フレーム転送装置100が障害を検知したか否かが示される。フレーム転送装置100自身が障害を検知した場合は「有」が該当し、他のフレーム転送装置100が障害を検知した場合は「無」が該当する。
通信制御部115は、リング属性記憶部123の値によりリング属性を特定し、また、判定部111の判定結果によりノード属性を特定し、障害状態記憶部124の値によりリング状態及び障害検知を特定する。そして、通信制御部115は、特定したリング属性、ノード属性、リング状態及び障害検知の組合せに対応するレコードに記述されている動作を行う。
フレーム転送装置100がメインリングに属するRPL隣接ノードであり、現在のリング状態がprotection状態であり、他のフレーム転送装置100が障害を検知している場合は、リング属性:メイン、ノード属性:RPL隣接ノード、リング状態:protection、障害検知:無に該当する。
このため、通信制御部115は、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームを隣接ノードに転送」という動作を行う。具体的には、通信制御部115は、復号部119に暗号鍵の復号を指示し、暗号鍵格納フレームをスイッチ140及び通信インタフェース150−1〜150−6のうちの対応する通信インタフェースを介して隣接するノードに転送する。7 and 8 show examples of encryption key management tables stored in the encryption key management
The encryption key management table describes the operation of the
The ring attribute indicates the type of ring to which the
The node attribute indicates the node attribute of the
In the ring state, either an idle state or a protection state is indicated.
The failure detection indicates whether or not the
The
When the
For this reason, the
図9及び図10は、鍵受信通知管理テーブル記憶部126で記憶されている鍵受信通知管理テーブルの例を示す。
鍵受信通知管理テーブルには、リング属性、ノード属性、リング状態、障害検知の組合せごとに、鍵受信通知を受信した際のフレーム転送装置100の動作が記述されている。
リング属性、ノード属性、リング状態、障害検知は、それぞれ、暗号鍵管理テーブルに示されているものと同じであるため、これらの説明は省略する。
通信制御部115は、リング属性記憶部123の値によりリング属性を特定し、また、判定部111の判定結果によりノード属性を特定し、障害状態記憶部124の値によりリング状態及び障害検知を特定する。そして、通信制御部115は、特定したリング属性、ノード属性、リング状態及び障害検知の組合せに対応するレコードに記述されている動作を行う。
フレーム転送装置100がメインリングに属するRPL隣接ノードであり、現在のリング状態がprotection状態であり、他のフレーム転送装置100が障害を検知している場合は、リング属性:メイン、ノード属性:RPL隣接ノード、リング状態:protection、障害検知:無に該当する。
このため、通信制御部115は、「鍵受信通知を隣接するノードに転送」という動作を行う。具体的には、通信制御部115は、鍵受信通知をスイッチ140及び通信インタフェース150−1〜150−6のうちの対応する通信インタフェースを介して隣接するノードに転送する。9 and 10 show examples of the key reception notification management table stored in the key reception notification management
The key reception notification management table describes the operation of the
Since the ring attribute, node attribute, ring state, and failure detection are the same as those shown in the encryption key management table, description thereof will be omitted.
The
When the
For this reason, the
実施の形態5.
本実施の形態では、idle状態において実施の形態1と異なるデータフローで暗号鍵格納フレーム及び鍵受信通知が送受信され、protection状態において実施の形態2と異なるデータフローで暗号鍵格納フレーム及び鍵受信通知が送受信される例を説明する。
また、本実施の形態では、実施の形態1と異なるデータフロー及び実施の形態2と異なるデータフローを実現するために、暗号鍵管理テーブル及び鍵受信通知管理テーブルが実施の形態4で示したものとは異なっている。
本実施の形態では、主に実施の形態1〜4との差異を説明する。
なお、以下で説明していない事項は、実施の形態1〜4と同様である。Embodiment 5. FIG.
In this embodiment, the encryption key storage frame and key reception notification are transmitted and received in a data flow different from that in the first embodiment in the idle state, and the encryption key storage frame and key reception notification in a data flow different from those in the second embodiment in the protection state. An example in which is transmitted and received will be described.
In the present embodiment, the encryption key management table and the key reception notification management table shown in the fourth embodiment are used to realize a data flow different from the first embodiment and a data flow different from the second embodiment. Is different.
In the present embodiment, differences from the first to fourth embodiments will be mainly described.
In addition, the matter which is not demonstrated below is the same as that of Embodiment 1-4.
図11は、本実施の形態に係る暗号鍵管理テーブルの例を示す。
図11は、図7に示す暗号鍵管理テーブル(メインリング部分)に相当する。なお、ローカルリング部分の暗号鍵管理テーブルは図8に示したものと同じであるので、図示を省略する。
図7と比較すると、図11では、「網間隣接ノード」の「idle」の記述が異なっている。具体的には、図7では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。一方で、図11では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノード及びメインリングの隣接するノードの双方に対して転送」と記述されている。
また、図11では、「網間隣接ノード」の「protection」の「無」の記述も異なっている。具体的には、図7では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。一方、図11では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。FIG. 11 shows an example of the encryption key management table according to the present embodiment.
FIG. 11 corresponds to the encryption key management table (main ring portion) shown in FIG. The local key encryption key management table is the same as that shown in FIG.
Compared with FIG. 7, in FIG. 11, the description of “idle” of “inter-network adjacent node” is different. Specifically, in FIG. 7, “decrypt the encryption key storage frame, acquire the encryption key, and transfer the encryption key storage frame to the network connection node of the local ring” is described. On the other hand, in FIG. 11, “decrypt encryption key storage frame, acquire encryption key, transfer encryption key storage frame to both network connection node of local ring and adjacent node of main ring” is described. Yes.
In FIG. 11, the description of “none” of “protection” of “internet adjacent node” is also different. Specifically, in FIG. 7, “decrypt the encryption key storage frame, acquire the encryption key, and transfer the encryption key storage frame to the network connection node of the local ring” is described. On the other hand, FIG. 11 describes “decrypt encryption key storage frame, acquire encryption key, and transfer encryption key storage frame to network connection node of local ring”.
図12は、本実施の形態に係る鍵受信通知管理テーブルの例を示す。
図12は、図9に示す鍵受信通知管理テーブル(メインリング部分)に相当する。なお、ローカルリング部分の鍵受信通知管理テーブルは図10に示したものと同じであるので、図示を省略する。
図9と比較すると、図12では、「網間隣接ノード」の「idle」の記述が異なっている。具体的には、図9では、「ローカルリングの網間接続ノードから受信した場合:暗号鍵格納フレームを受信したポートではない、もう一方のポートに対して暗号鍵格納フレームを転送、メインリングの隣接するノードから受信した場合:鍵受信通知を隣接するノードに転送」と記述されている。一方で、図12では、「ローカルリングの網間接続ノード及びメインリングの隣接するノードの双方から受信後、鍵受信通知を隣接するノードに転送」と記述されている。
また、図12では、「網間隣接ノード」の「protection」の「無」の記述も異なっている。具体的には、図9では、「ローカルリングの網間接続ノードから受信した場合:暗号鍵格納フレームを受信したポートではない、もう一方のポートに対して暗号鍵格納フレームを転送、メインリングの隣接するノードから受信した場合:鍵受信通知を隣接するノードに転送」と記述されている。一方、図12では、「ローカルリングの網間接続ノード及びメインリングの隣接するノードの双方から受信後、鍵受信通知を隣接するノードに転送」と記述されている。FIG. 12 shows an example of a key reception notification management table according to the present embodiment.
FIG. 12 corresponds to the key reception notification management table (main ring portion) shown in FIG. Note that the key reception notification management table for the local ring portion is the same as that shown in FIG.
Compared to FIG. 9, in FIG. 12, the description of “idle” of “inter-network adjacent node” is different. Specifically, in FIG. 9, “when received from a network connection node of the local ring: the encryption key storage frame is transferred to the other port that is not the port that received the encryption key storage frame, the main ring “When received from an adjacent node: Forward key reception notification to adjacent node”. On the other hand, FIG. 12 describes that “after receiving from both the network connection node of the local ring and the adjacent node of the main ring, the key reception notification is transferred to the adjacent node”.
In FIG. 12, the description of “none” of “protection” of “internet adjacent node” is also different. Specifically, in FIG. 9, “when received from a network connection node of the local ring: the encryption key storage frame is transferred to the other port that is not the port that received the encryption key storage frame, the main ring “When received from an adjacent node: Forward key reception notification to adjacent node”. On the other hand, FIG. 12 describes that “after receiving from both the network connection node of the local ring and the adjacent node of the main ring, the key reception notification is transferred to the adjacent node”.
本実施の形態では、網間接続ノード104−1及び網間接続ノード104−2は、図11の暗号鍵管理テーブルの記述及び図12の鍵受信通知管理テーブルの記述に従って動作する。
なお、網間接続ノード104−1及び網間接続ノード104−2以外のノードの動作は実施の形態1〜4で示したものと同じであるため、説明を省略する。In the present embodiment, the network connection node 104-1 and the network connection node 104-2 operate according to the description of the encryption key management table of FIG. 11 and the description of the key reception notification management table of FIG.
Since the operations of the nodes other than the network connection node 104-1 and the network connection node 104-2 are the same as those described in the first to fourth embodiments, description thereof will be omitted.
idle状態であれば、網間接続ノード104−1は、図11に従い、一般ノード103から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−1は、暗号鍵格納フレームをローカルリングの網間接続ノード204−1及びメインリングの隣接するノードである網間接続ノード104−2の双方に対して転送する。
また、網間接続ノード104−1は、図12に従い、網間接続ノード204−1及び網間接続ノード104−2の双方から鍵受信通知を受信した際に、鍵受信通知を一般ノード103に転送する。
また、idle状態であれば、網間接続ノード104−2は、図11に従い、網間接続ノード104−1から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−2は、暗号鍵格納フレームをローカルリングの網間接続ノード204−2及びメインリングの隣接するノードである一般ノード103−2の双方に対して転送する。
また、網間接続ノード104−2は、図12に従い、網間接続ノード204−2及び一般ノード103−2の双方から鍵受信通知を受信した際に、鍵受信通知を網間接続ノード104−1に転送する。In the idle state, the network connection node 104-1 acquires the encryption key by decrypting the encryption key storage frame when receiving the encryption key storage frame from the general node 103 according to FIG. Then, the network connection node 104-1 transfers the encryption key storage frame to both the network connection node 204-1 of the local ring and the network connection node 104-2 that is an adjacent node of the main ring.
Further, the network connection node 104-1 sends the key reception notification to the general node 103 when receiving the key reception notification from both the network connection node 204-1 and the network connection node 104-2 according to FIG. Forward.
In the idle state, the network connection node 104-2 decrypts the encryption key storage frame when receiving the encryption key storage frame from the network connection node 104-1, according to FIG. To get. Then, the network connection node 104-2 transfers the encryption key storage frame to both the network connection node 204-2 of the local ring and the general node 103-2 that is an adjacent node of the main ring.
When the network connection node 104-2 receives the key reception notification from both the network connection node 204-2 and the general node 103-2 according to FIG. 12, the network connection node 104-2 sends the key reception notification to the network connection node 104-. Forward to 1.
また、protection状態であって網間接続ノード104−1以外のノードが障害を検知した場合は、図11に従い、網間接続ノード104−1は、一般ノード103から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−1は、暗号鍵格納フレームをローカルリングの網間接続ノード204−1に対して転送する。
また、網間接続ノード104−1は、図12に従い、網間接続ノード204−1及び網間接続ノード104−2の双方から鍵受信通知を受信した場合に、鍵受信通知を一般ノード103に転送する。
また、protection状態であって網間接続ノード104−2以外のノードが障害を検知した場合は、図11に従い、網間接続ノード104−2は、網間接続ノード104−1から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−2は、暗号鍵格納フレームをローカルリングの網間接続ノード204−2に対して転送する。
また、網間接続ノード104−2は、図12に従い、網間接続ノード204−2及び一般ノード103−2の双方から鍵受信通知を受信した際に、鍵受信通知を網間接続ノード104−1に転送する。If the node other than the network connection node 104-1 detects a failure in the protection state, the network connection node 104-1 receives the encryption key storage frame from the general node 103 according to FIG. Then, the encryption key storage frame is decrypted to obtain the encryption key. Then, the network connection node 104-1 transfers the encryption key storage frame to the network connection node 204-1 of the local ring.
Further, when the network connection node 104-1 receives the key reception notification from both the network connection node 204-1 and the network connection node 104-2 according to FIG. Forward.
When the node other than the network connection node 104-2 detects a failure in the protection state, the network connection node 104-2 transmits the encryption key storage frame from the network connection node 104-1 according to FIG. Is received, the encryption key storage frame is decrypted to obtain the encryption key. Then, the network connection node 104-2 transfers the encryption key storage frame to the network connection node 204-2 of the local ring.
When the network connection node 104-2 receives the key reception notification from both the network connection node 204-2 and the general node 103-2 according to FIG. 12, the network connection node 104-2 sends the key reception notification to the network connection node 104-. Forward to 1.
本実施の形態によっても、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。つまり、本実施の形態でも、鍵配信ノードを始点とし、ノード間で暗号鍵の送受信を繰り返すことで、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに全ノードに暗号鍵を配信することができる。同様に、本実施の形態によっても、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。 Also according to the present embodiment, it is possible to efficiently distribute the key without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution. In other words, in this embodiment as well, the key distribution node is used as a starting point, and the encryption key is repeatedly transmitted and received between the nodes, so that a high load is not applied to the key distribution node and congestion is not generated in the communication path. The encryption key can be distributed to the node. Similarly, according to the present embodiment, the key reception notification can be made to reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path.
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。As mentioned above, although embodiment of this invention was described, you may implement in combination of 2 or more among these embodiment.
Alternatively, one of these embodiments may be partially implemented.
Alternatively, two or more of these embodiments may be partially combined.
In addition, this invention is not limited to these embodiment, A various change is possible as needed.
また、以上では、イーサネット(登録商標)方式のネットワークを例にして説明を行ったが、他のプロトコルに準拠するネットワークにも実施の形態1〜5で説明した構成及び手順を適用することが可能である。
また、以上では、共通鍵方式の暗号鍵を複数のノードに配信する例を説明したが、公開鍵方式の暗号鍵及び復号鍵を複数のノードに配信する場合にも実施の形態1〜5で説明した構成及び手順を適用することが可能である。In the above description, the Ethernet (registered trademark) network is described as an example. However, the configurations and procedures described in the first to fifth embodiments can be applied to a network conforming to another protocol. It is.
In the above description, the common key encryption key is distributed to a plurality of nodes. However, the first to fifth embodiments also apply to the case where a public key encryption key and a decryption key are distributed to a plurality of nodes. It is possible to apply the described configurations and procedures.
最後に、フレーム転送装置100のハードウェア構成の補足説明を行う。
図4に示すプロセッサ110は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ110は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図4に示す記憶装置120は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図4に示す通信インタフェース150−1〜150−6は、それぞれ、データの通信処理を実行する電子回路である。
通信インタフェース150−1〜150−6は、それぞれ、例えば、通信チップ又はNIC(Network Interface Card)である。Finally, a supplementary description of the hardware configuration of the
The
The
The
Each of the communication interfaces 150-1 to 150-6 illustrated in FIG. 4 is an electronic circuit that executes data communication processing.
Each of the communication interfaces 150-1 to 150-6 is, for example, a communication chip or a NIC (Network Interface Card).
また、記憶装置120には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ110により実行される。
プロセッサ110はOSの少なくとも一部を実行しながら、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムを実行する。
プロセッサ110がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置120、プロセッサ110内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。The
At least a part of the OS is executed by the
While executing at least part of the OS, the
When the
Also, the processing of the
Further, the functions of the
また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
また、フレーム転送装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)である。
この場合は、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。The
Further, the
In this case, the
In this specification, the superordinate concept of the processor, the memory, the combination of the processor and the memory, and the processing circuit is referred to as “processing circuitry”.
That is, the processor, the memory, the combination of the processor and the memory, and the processing circuit are specific examples of “processing circuitries”.
101 RPLオーナノード、102 RPL隣接ノード、103−1 一般ノード、103−2 一般ノード、104−1 網間接続ノード、104−2 網間接続ノード、201−1 RPLオーナノード、201−2 RPLオーナノード、202−1 RPL隣接ノード、202−2 RPL隣接ノード、203−1 一般ノード、203−2 一般ノード、203−3 一般ノード、203−4 一般ノード、203−5 一般ノード、203−6 一般ノード、204−1 網間接続ノード、204−2 網間接続ノード、100 フレーム転送装置、110 プロセッサ、111 判定部、112 暗号鍵生成部、113 鍵受信通知生成部、114 鍵有効通知生成部、115 通信制御部、116 暗号化部、117 タイマー、118 障害検知部、119 復号部、120 記憶装置、121 暗号鍵記憶部、122 ノード属性記憶部、123 リング属性記憶部、124 障害状態記憶部、125 暗号鍵管理テーブル記憶部、126 鍵受信通知管理テーブル記憶部、127 ポート情報記憶部、130 スイッチ設定装置、140 スイッチ、150−1 通信インタフェース、150−2 通信インタフェース、150−3 通信インタフェース、150−4 通信インタフェース、150−5 通信インタフェース、150−6 通信インタフェース。 101 RPL Owner Node, 102 RPL Adjacent Node, 103-1 General Node, 103-2 General Node, 104-1 Network Connection Node, 104-2 Network Connection Node, 201-1 RPL Owner Node, 201-2 RPL Owner Node, 202 -1 RPL adjacent node, 202-2 RPL adjacent node, 203-1 general node, 203-2 general node, 203-3 general node, 203-4 general node, 203-5 general node, 203-6 general node, 204 -1 network connection node, 204-2 network connection node, 100 frame transfer device, 110 processor, 111 determination unit, 112 encryption key generation unit, 113 key reception notification generation unit, 114 key validity notification generation unit, 115 communication control Part, 116 encryption part, 117 timer, 118 failure Detection unit, 119 Decryption unit, 120 Storage device, 121 Encryption key storage unit, 122 Node attribute storage unit, 123 Ring attribute storage unit, 124 Fault state storage unit, 125 Encryption key management table storage unit, 126 Key reception notification management table storage , 127 port information storage unit, 130 switch setting device, 140 switch, 150-1 communication interface, 150-2 communication interface, 150-3 communication interface, 150-4 communication interface, 150-5 communication interface, 150-6 communication interface.
Claims (12)
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記鍵生成通信装置は、
前記メインリングネットワークに属し、
前記鍵を生成し、前記鍵生成通信装置に接続されている前記メインリングネットワークに属する通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
当該通信装置が前記複数の境界通信装置のうちのいずれかに該当するか否かを判定し、
当該通信装置が前記複数の境界通信装置のうちのいずれかに該当する場合に、
前記鍵を受信した際に、前記ローカルリングネットワークに属する、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、当該通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する通信システム。 A main ring network and a plurality of local ring networks that are ring networks other than the main ring network are included, and n (n ≧ 5) communication devices are connected to either the main ring network or the plurality of local ring networks. And one or more other communication devices are connected to each of the n communication devices, and the n communication devices include a key generation communication device that generates a key for encrypted communication. Communication system,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The key generation communication device includes:
Belongs to the main ring network,
The key is generated, a communication device that is in a communicable state among communication devices belonging to the main ring network connected to the key generation communication device is specified as a transmission destination of the key, and the specified transmission destination Sending the key to the communication device of
Each communication device other than the key generation communication device among the n communication devices is:
The communication device determines whether to correspond to any of said plurality of boundary communication device,
When the communication device corresponds to any one of the plurality of boundary communication devices,
When receiving the key, the belonging to the local ring network, and is connected to the communication device, the communication device encountered in capable communication among the communication apparatus other than the transmission source of the communication device of the key A communication device that does not correspond to another boundary communication device is designated as the transmission destination of the key, and the received key is transmitted to the communication device of the designated transmission destination,
Another boundary communication device connected to the communication device when the key reception notification is received from the communication device that is the key transmission destination when the key transmission notification is received from the communication device that is the key transmission destination. A communication apparatus corresponding to the above, wherein a communication apparatus other than the key transmission source communication apparatus is designated as the key transmission destination, and the key is transmitted to the designated transmission destination communication apparatus .
当該通信装置が前記鍵生成通信装置に該当するか否かを判定し、
当該通信装置が前記鍵生成通信装置に該当する場合に、
前記鍵を生成し、前記当該通信装置に接続されている通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
当該通信装置が前記鍵生成通信装置に該当しない場合に、
当該通信装置が前記境界通信装置に該当するか否かを判定し、
当該通信装置が前記境界通信装置に該当しない場合は、
前記鍵を受信した際に、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵を受信した際に、前記鍵の送信先に指定できる通信装置が存在しなければ、前記鍵の受信を通知する鍵受信通知を前記鍵の送信元の通信装置に送信し、
前記鍵の送信先の通信装置から前記鍵受信通知を受信した際に、受信した前記鍵受信通知を前記鍵の送信元の通信装置に送信する請求項1に記載の通信システム。 Each communication device of the n communication devices is
Determining whether the communication device corresponds to the key generation communication device;
When the communication device corresponds to the key generation communication device,
The key is generated, a communication device that is in a communicable state among the communication devices connected to the communication device is designated as a destination of the key, and the key is assigned to the designated destination communication device. Send
When the communication device does not correspond to the key generation communication device,
Determine whether the communication device corresponds to the boundary communication device,
If the communication device does not fall under the boundary communication device ,
When the key is received, a communication device that is connected to the communication device and is in a communicable state among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. , Send the received key to the specified destination communication device,
When the key is received, if there is no communication device that can be designated as the key transmission destination, a key reception notification for notifying the reception of the key is transmitted to the communication device that is the key transmission source,
The communication system according to claim 1, wherein when the key reception notification is received from a communication device that is a transmission destination of the key, the received key reception notification is transmitted to a communication device that is a transmission source of the key.
前記鍵の送信の後、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項2に記載の通信システム。 The key generation communication device includes:
After the transmission of the key, a key validity notification instructing the activation of the key is transmitted to the communication device to which the key is transmitted,
Each communication device other than the key generation communication device among the n communication devices is:
The communication system according to claim 2, wherein when the key validity notification is received from the key transmission source communication apparatus, the received key validity notification is transmitted to the key transmission destination communication apparatus.
規定数の前記鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項2に記載の通信システム。 The key generation communication device includes:
When a prescribed number of key reception notifications are received from the key transmission destination communication device, a key validity notification instructing the key activation is transmitted to the key transmission destination communication device,
Each communication device other than the key generation communication device among the n communication devices is:
The communication system according to claim 2, wherein when the key validity notification is received from the key transmission source communication apparatus, the received key validity notification is transmitted to the key transmission destination communication apparatus.
前記鍵の送信から規定時間が経過しても規定数の前記鍵受信通知を受信していない場合に、前記鍵を再送する請求項2に記載の通信システム。 The key generation communication device includes:
The communication system according to claim 2, wherein the key is retransmitted when a prescribed number of the key reception notifications have not been received even after a prescribed time has elapsed since the transmission of the key.
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信装置は、
前記通信装置が、暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定する判定部と、
前記判定部により前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信する第1の制御部と、
前記判定部により前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する第2の制御部とを有する通信装置。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication device belonging to either the main ring network or the plurality of local ring networks,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The communication device
The communication device generates a key for encryption communication, the main ring whether corresponds to the key generation communication apparatus belonging to the network, and the communication device, any of the plurality of boundary communication device a determination section for determining whether or not true or,
When the determination unit determines that the communication device corresponds to the key generation communication device, the key is generated, and among other communication devices connected to the communication device belonging to the main ring network A first control unit that designates another communication device in a state capable of communication as a transmission destination of the key, and transmits the key to the communication device of the designated transmission destination;
When the determination unit determines that the communication device corresponds to one of the plurality of boundary communication devices, the key generated by another communication device corresponding to the key generation communication device is received, Other communication devices belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source, and other boundaries A communication device that does not correspond to a communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key. When receiving the key reception notification to be notified from the communication device that is the transmission destination of the key , other than the communication device that is the source of the key that corresponds to the other boundary communication device connected to the communication device the communication device of the key It specifies the signal destination, the communication device of the specified destination, a communication device and a second control unit which transmits the key.
前記判定部により前記通信装置が前記境界通信装置に該当しないと判定された場合に、
前記鍵を受信した際に、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵を受信した際に、前記鍵の送信先に指定できる他の通信装置が存在しなければ、前記鍵の受信を通知する鍵受信通知を前記鍵の送信元の通信装置に送信し、
前記鍵の送信先の通信装置から前記鍵受信通知を受信した際に、受信した前記鍵受信通知を前記鍵の送信元の通信装置に送信する請求項6に記載の通信装置。 The second controller is
When the communication device is determined to not correspond to the pre-Symbol boundary communication device by the determination unit,
When the key is received, a communication device that is connected to the communication device and is communicable among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. , Send the received key to the specified destination communication device,
When there is no other communication device that can be designated as the destination of the key when the key is received, a key reception notification for notifying the reception of the key is transmitted to the communication device of the key transmission source,
The communication device according to claim 6 , wherein when the key reception notification is received from the communication device that is the key transmission destination, the received key reception notification is transmitted to the communication device that is the key transmission source.
前記鍵の送信の後、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記第2の制御部は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項7に記載の通信装置。 The first controller is
After the transmission of the key, a key validity notification instructing the activation of the key is transmitted to the communication device to which the key is transmitted,
The second controller is
The communication device according to claim 7 , wherein when the key validity notification is received from the key transmission source communication device, the received key validity notification is transmitted to the key transmission destination communication device.
規定数の前記鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記第2の制御部は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項8に記載の通信装置。 The first controller is
When a prescribed number of key reception notifications are received from the key transmission destination communication device, a key validity notification instructing the key activation is transmitted to the key transmission destination communication device,
The second controller is
The communication device according to claim 8 , wherein when the key validity notification is received from the key transmission source communication device, the received key validity notification is transmitted to the key transmission destination communication device.
前記鍵の送信から規定時間が経過しても規定数の前記鍵受信通知を受信していない場合に、前記鍵を再送する請求項7に記載の通信装置。 The first controller is
The communication device according to claim 7 , wherein the key is retransmitted when a predetermined number of the key reception notifications have not been received even after a predetermined time has elapsed since the transmission of the key.
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信方法では、
前記通信装置が、前記通信装置が暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定し、
前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記通信装置が、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記通信装置が、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する通信方法。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication method performed by a communication device belonging to any of the main ring network and the plurality of local ring networks,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
In the communication method,
Whether the communication device corresponds to a key generation communication device belonging to the main ring network, in which the communication device generates a key for encrypted communication, and the communication device is the plurality of boundary communication devices To determine whether it falls under any of the
When it is determined that the communication device corresponds to the key generation communication device, the communication device generates the key and belongs to the main ring network among other communication devices connected to the communication device. Designate another communication device in a state where communication is possible in the transmission destination of the key, transmit the key to the communication device of the designated transmission destination,
When it is determined that the communication device corresponds to one of the plurality of boundary communication devices , the communication device receives the key generated by another communication device corresponding to the key generation communication device. A communication device belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source . A communication device that does not correspond to a boundary communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key Other than the key transmission source communication device corresponding to another boundary communication device connected to the communication device when receiving the key reception notification from the key transmission destination communication device. of the communications device of the key Communication method specified in the signal destination, the communication device of the specified destination, and transmits the key.
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信プログラムは、
前記通信装置が、暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定する判定処理と、
前記判定処理により前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信する第1の制御処理と、
前記判定処理により前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する第2の制御処理とを実行させる通信プログラム。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication program that causes a communication device belonging to any of the main ring network and the plurality of local ring networks to execute processing ,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The communication program is
The communication device generates a key for encryption communication, the main ring whether corresponds to the key generation communication apparatus belonging to the network, and the communication device, any of the plurality of boundary communication device a determination process of determining whether true or,
Among the other communication devices connected to the communication device that belong to the main ring network and generate the key when it is determined by the determination process that the communication device corresponds to the key generation communication device. A first control process of designating another communication device in a state capable of communication as a destination of the key and transmitting the key to the designated destination communication device;
When the determination process determines that the communication device corresponds to one of the plurality of boundary communication devices, the key generated by another communication device corresponding to the key generation communication device is received, Other communication devices belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source, and other boundaries A communication device that does not correspond to a communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key. When receiving the key reception notification to be notified from the communication device that is the transmission destination of the key , other than the communication device that is the source of the key that corresponds to the other boundary communication device connected to the communication device said communication device key It specifies the destination, the communication device of the specified destination, a communication program for executing a second control process of transmitting the key.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/025377 WO2019012617A1 (en) | 2017-07-12 | 2017-07-12 | Communication system, communication device, communication method, and communication program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6359212B1 true JP6359212B1 (en) | 2018-07-18 |
JPWO2019012617A1 JPWO2019012617A1 (en) | 2019-07-18 |
Family
ID=62904972
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017566874A Active JP6359212B1 (en) | 2017-07-12 | 2017-07-12 | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6359212B1 (en) |
WO (1) | WO2019012617A1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000261475A (en) * | 1999-03-08 | 2000-09-22 | Communication Research Laboratory Mpt | Structure for double ring type information communication network |
JP2013172212A (en) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | Network configuration design device, network configuration design method and program |
JP2014160951A (en) * | 2013-02-20 | 2014-09-04 | Nec Corp | Switch, control device, communication system, management method for control channel, and program |
WO2016181586A1 (en) * | 2015-05-08 | 2016-11-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Authentication method and authentication system |
JP2017050580A (en) * | 2015-08-31 | 2017-03-09 | 沖電気工業株式会社 | Communication system, communication method, control device, control program, communication device and communication program |
-
2017
- 2017-07-12 WO PCT/JP2017/025377 patent/WO2019012617A1/en active Application Filing
- 2017-07-12 JP JP2017566874A patent/JP6359212B1/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000261475A (en) * | 1999-03-08 | 2000-09-22 | Communication Research Laboratory Mpt | Structure for double ring type information communication network |
JP2013172212A (en) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | Network configuration design device, network configuration design method and program |
JP2014160951A (en) * | 2013-02-20 | 2014-09-04 | Nec Corp | Switch, control device, communication system, management method for control channel, and program |
WO2016181586A1 (en) * | 2015-05-08 | 2016-11-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Authentication method and authentication system |
JP2017050580A (en) * | 2015-08-31 | 2017-03-09 | 沖電気工業株式会社 | Communication system, communication method, control device, control program, communication device and communication program |
Non-Patent Citations (1)
Title |
---|
柴田 浩司ほか: "ノード冗長化構成マルチリングにおけるフレーム転送方式の検討", 電子情報通信学会2011年総合大会講演論文集 通信2, JPN6018005572, 28 February 2011 (2011-02-28), pages 97, ISSN: 0003741863 * |
Also Published As
Publication number | Publication date |
---|---|
JPWO2019012617A1 (en) | 2019-07-18 |
WO2019012617A1 (en) | 2019-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2523038T3 (en) | Network system and network redundancy method | |
EP3965370A1 (en) | Routing rule configuration method and communication apparatus | |
JP6491745B2 (en) | Method and system for interface elements between a virtual network function pool and a control entity | |
US9332428B2 (en) | Method and device for managing encrypted group rekeying in a radio network link layer encryption system | |
JP5454673B2 (en) | COMMUNICATION DEVICE, PROGRAM, AND METHOD | |
KR100388606B1 (en) | System for signatureless transmission and reception of data packets between computer networks | |
US9491122B2 (en) | Systems and methods for server and switch failover in a black core network | |
Mink et al. | Quantum key distribution (QKD) and commodity security protocols: Introduction and integration | |
CN104935594A (en) | Message processing method based on virtual extensible local area network tunnel and device | |
AU2013226494B2 (en) | Method and device for rekeying in a radio network link layer encryption system | |
US10187478B2 (en) | Dynamic detection of inactive virtual private network clients | |
JP2017169190A (en) | System and method for secure communications between computer test tool and cloud-based server | |
WO2022179304A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
US11552994B2 (en) | Methods and nodes for handling LLDP messages in a communication network | |
US10405264B2 (en) | Bulk pairing for mesh networks | |
US20220303763A1 (en) | Communication method, apparatus, and system | |
US20100220586A1 (en) | Route reflector for a communication system | |
JP6359212B1 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
Martins et al. | Iris: Secure reliable live-streaming with opportunistic mobile edge cloud offloading | |
JP2011186631A (en) | File transfer system and file transfer method | |
US11012427B2 (en) | RSA trusted networks: RSA packet frames for advanced networking switches | |
US20220141123A1 (en) | Network device, network system, network connection method, and program | |
JP6598335B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM | |
JP6503480B1 (en) | Communication system, communication apparatus, communication method and computer program | |
Recacha et al. | Secure data transmission in extended ethernet environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171222 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171222 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20171222 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180208 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180522 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180619 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6359212 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |