JP6359212B1 - COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM - Google Patents

COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM Download PDF

Info

Publication number
JP6359212B1
JP6359212B1 JP2017566874A JP2017566874A JP6359212B1 JP 6359212 B1 JP6359212 B1 JP 6359212B1 JP 2017566874 A JP2017566874 A JP 2017566874A JP 2017566874 A JP2017566874 A JP 2017566874A JP 6359212 B1 JP6359212 B1 JP 6359212B1
Authority
JP
Japan
Prior art keywords
key
communication device
node
communication
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017566874A
Other languages
Japanese (ja)
Other versions
JPWO2019012617A1 (en
Inventor
浩資 別所
浩資 別所
善文 堀田
善文 堀田
幸子 谷口
幸子 谷口
竜真 松下
竜真 松下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6359212B1 publication Critical patent/JP6359212B1/en
Publication of JPWO2019012617A1 publication Critical patent/JPWO2019012617A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords

Abstract

n(n≧3)台のノードが含まれ、n台のノードの各ノードには1台以上の他のノードが接続され、n台のノードに、暗号化通信のための鍵を生成する鍵配信ノード(101)が含まれている通信システムにおいて、鍵配信ノード(101)は、鍵を生成し、鍵配信ノード(101)に接続されているノードのうちで通信が可能な状態にあるノードを鍵の送信先に指定し、指定した送信先のノードに鍵を送信する。n台のノードのうち鍵配信ノード(101)以外の各ノードは、鍵を受信した際に、当該ノードに接続されている、鍵の送信元のノード以外のノードのうちで通信が可能な状態にあるノードを鍵の送信先に指定し、指定した送信先のノードに、受信した鍵を送信する。n (n ≧ 3) nodes are included, and one or more other nodes are connected to each of the n nodes, and a key for generating a key for encrypted communication in the n nodes In the communication system including the distribution node (101), the key distribution node (101) generates a key, and is a node that is communicable among the nodes connected to the key distribution node (101). Is specified as the key transmission destination, and the key is transmitted to the specified destination node. When each node other than the key distribution node (101) among the n nodes receives the key, it can communicate with other nodes connected to the node other than the node that transmitted the key Is specified as a key transmission destination, and the received key is transmitted to the specified transmission destination node.

Description

本発明は、暗号化通信に用いられる鍵を配信するための技術に関する。   The present invention relates to a technique for distributing a key used for encrypted communication.

産業用ネットワークでは高い信頼性と共に高いセキュリティが求められている。セキュリティの向上を図る方法として暗号化通信がある。暗号化通信を実現するためには、産業用ネットワークに含まれる各ノードに暗号化通信のための鍵を配信する必要がある。   Industrial networks require high security as well as high reliability. Encrypted communication is a method for improving security. In order to realize encrypted communication, it is necessary to distribute a key for encrypted communication to each node included in the industrial network.

特許文献1の技術では、鍵配信ノードが暗号化通信に用いられる鍵を生成し、生成した鍵を、暗号化通信を行う他のノードに1対1で送信する。鍵を受信した各ノードは、暗号鍵を用いて暗号化通信を行う。   In the technique of Patent Document 1, a key distribution node generates a key used for encrypted communication, and transmits the generated key to another node that performs encrypted communication on a one-to-one basis. Each node that receives the key performs encrypted communication using the encryption key.

特開2001−144745号公報JP 2001-144745 A

特許文献1の技術では、以下の課題がある。
数百台のノードにより構成されるようなネットワークに特許文献1の技術を用いた場合に、ネットワーク内の全ノードから同時に鍵の生成依頼が発生すると、鍵配信ノードの処理負担が大きい。また、鍵の配信に用いられる通信路が混雑する。The technique of Patent Document 1 has the following problems.
When the technique of Patent Document 1 is used for a network configured with several hundred nodes, if a key generation request is generated simultaneously from all nodes in the network, the processing load on the key distribution node is large. In addition, the communication path used for key distribution is congested.

本発明は、上記のような課題を解決することを主な目的とする。つまり、本発明は、鍵を生成する鍵生成装置に過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信できる構成を実現することを主な目的とする。   The main object of the present invention is to solve the above-described problems. In other words, the present invention realizes a configuration capable of efficiently distributing keys without imposing an excessive burden on a key generation device that generates keys and without causing congestion on a communication path used for key distribution. The main purpose is to do.

本発明に係る通信システムは、
n(n≧3)台の通信装置が含まれ、前記n台の通信装置の各通信装置には1台以上の他の通信装置が接続され、前記n台の通信装置に、暗号化通信のための鍵を生成する鍵生成通信装置が含まれている通信システムであって、
前記鍵生成通信装置は、
前記鍵を生成し、前記鍵生成通信装置に接続されている通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵を受信した際に、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信する。A communication system according to the present invention includes:
n (n ≧ 3) communication devices are included, and one or more other communication devices are connected to each communication device of the n communication devices, and encrypted communication is connected to the n communication devices. A communication system including a key generation communication device for generating a key for
The key generation communication device includes:
A communication device that generates the key and is communicable among the communication devices connected to the key generation communication device is designated as a transmission destination of the key, and the key is transmitted to the communication device of the designated transmission destination. Send
Each communication device other than the key generation communication device among the n communication devices is:
When the key is received, a communication device that is connected to the communication device and is in a communicable state among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. The received key is transmitted to the designated transmission destination communication device.

本発明によれば、鍵生成装置に過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。   According to the present invention, it is possible to efficiently distribute keys without imposing an excessive burden on the key generation device and without causing congestion on a communication path used for key distribution.

実施の形態1に係るリングネットワークにおけるデータフローの例を示す図。FIG. 3 is a diagram illustrating an example of a data flow in the ring network according to the first embodiment. 実施の形態2に係るリングネットワークにおけるデータフローの例を示す図。The figure which shows the example of the data flow in the ring network which concerns on Embodiment 2. FIG. 実施の形態3に係るリングネットワークにおけるデータフローの例を示す図。FIG. 10 is a diagram illustrating an example of a data flow in a ring network according to the third embodiment. 実施の形態4に係るフレーム転送装置の構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a frame transfer apparatus according to a fourth embodiment. 実施の形態4に係るフレーム転送装置の構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a frame transfer apparatus according to a fourth embodiment. 実施の形態4に係るフレーム転送装置の構成例を示す図。FIG. 10 is a diagram illustrating a configuration example of a frame transfer apparatus according to a fourth embodiment. 実施の形態4に係る暗号鍵管理テーブルの例を示す図。FIG. 10 is a diagram showing an example of an encryption key management table according to the fourth embodiment. 実施の形態4に係る暗号鍵管理テーブルの例を示す図。FIG. 10 is a diagram showing an example of an encryption key management table according to the fourth embodiment. 実施の形態4に係る鍵受信通知管理テーブルの例を示す図。The figure which shows the example of the key reception notification management table which concerns on Embodiment 4. FIG. 実施の形態4に係る鍵受信通知管理テーブルの例を示す図。The figure which shows the example of the key reception notification management table which concerns on Embodiment 4. FIG. 実施の形態5に係る暗号鍵管理テーブルの例を示す図。FIG. 10 is a diagram illustrating an example of an encryption key management table according to the fifth embodiment. 実施の形態5に係る鍵受信通知管理テーブルの例を示す図。FIG. 16 is a diagram showing an example of a key reception notification management table according to the fifth embodiment.

以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following description of the embodiments and drawings, the same reference numerals denote the same or corresponding parts.

実施の形態1.
本実施の形態では、ITU−T G.8032で標準化されているERP(Ethernet Ring Protection)スイッチングを用いたリングネットワークにおいて暗号通信のための鍵(以下、暗号鍵という)をリングネットワーク内の複数のノードに配信する例を説明する。
ERPスイッチングは、信頼性の高い産業用ネットワークを実現する技術として広く用いられている。
最初に、本実施の形態に係るリングネットワークの概要を説明する。Embodiment 1 FIG.
In the present embodiment, ITU-T G.I. An example in which a key for encryption communication (hereinafter referred to as encryption key) is distributed to a plurality of nodes in the ring network in a ring network using ERP (Ethernet Ring Protection) switching standardized in 8032 will be described.
ERP switching is widely used as a technology for realizing a highly reliable industrial network.
First, an outline of the ring network according to the present embodiment will be described.

本実施の形態に係るリングネットワークには、RPL(Ring Proteciton Link)オーナノード、RPL隣接ノード、一般ノード及び網間接続ノードが存在する。RPLオーナノード、RPL隣接ノード、一般ノード及び網間接続ノードを区別する必要がない場合は、これらを単にノードという。   The ring network according to the present embodiment includes an RPL (Ring Protection Link) owner node, an RPL adjacent node, a general node, and an inter-network connection node. When it is not necessary to distinguish the RPL owner node, the RPL adjacent node, the general node, and the network connection node, these are simply referred to as nodes.

RPLオーナノードは、idle状態では2つのポートのうちの一方のポートを閉塞することでループの発生を防ぐ。idle状態は正常状態である。
リングネットワーク内で障害が発生したことが検知された場合は、システム状態がprotection状態に遷移し、RPLオーナノードが、障害が発生しているリンクに対応するポートを閉塞する。protection状態は障害が発生している状態である。
また、RPLオーナノードは、閉塞していたポートの閉塞を解除する。これにより、障害が発生しても、リングネットワークでの通信が継続する。
また、障害が発生していた箇所が復旧した場合には、RPLオーナノードは、閉塞していたポートの閉塞を解除し、再び一方のポートを閉塞する。In the idle state, the RPL owner node prevents a loop from occurring by closing one of the two ports. The idle state is a normal state.
When it is detected that a failure has occurred in the ring network, the system state transitions to the protection state, and the RPL owner node closes the port corresponding to the link in which the failure has occurred. The protection state is a state where a failure has occurred.
In addition, the RPL owner node releases the blocked port. Thereby, even if a failure occurs, communication on the ring network continues.
When the location where the failure has occurred is restored, the RPL owner node releases the blocked port and blocks one port again.

RPL隣接ノードは、RPLオーナノードに隣接するERPノードである。idle状態では、RPLオーナノードによりRPL隣接ノードとRPLオーナノード間のリンクは閉塞されている。   The RPL adjacent node is an ERP node adjacent to the RPL owner node. In the idle state, the link between the RPL adjacent node and the RPL owner node is blocked by the RPL owner node.

一般ノードは通常のERPノードである。一般ノードは、リンクの故障等の障害を検知した場合にリングネットワーク内のノードに障害の発生を通知する。   The general node is a normal ERP node. When a general node detects a failure such as a link failure, the general node notifies the node in the ring network of the occurrence of the failure.

網間接続ノードはメインリングとローカルリングを接続するERPノードである。本実施の形態に係るリングネットワークにはメインリングとローカルリングが含まれる。   The network connection node is an ERP node that connects the main ring and the local ring. The ring network according to the present embodiment includes a main ring and a local ring.

本実施の形態では、RPLオーナノードが暗号鍵を生成する。つまり、RPLオーナノードは鍵配信ノードとして機能する。
本実施の形態では、鍵配信ノードが暗号鍵を隣接するノードに送信する。そして、暗号鍵を受信したノードは、受信した暗号鍵を、隣接するノードに送信する。以降、同様にして、リレー方式で隣接するノード間で暗号鍵が送受信されて、暗号鍵がリングネットワークに含まれる全ノードに行き渡る。
リングネットワークにおける末端ノードが暗号鍵を受信すると、当該末端ノードが鍵受信通知を隣接するノードに送信する。つまり、末端ノードは、暗号鍵の送信元のノードに鍵受信通知を送信する。末端ノードに隣接するノードが鍵受信通知を受信すると、当該ノードは、受信した鍵受信通知を、隣接するノードに送信する。つまり、当該ノードは、暗号鍵の送信元のノードに鍵受信通知を送信する。以降、同様にして、リレー方式で隣接するノード間で鍵受信通知が送受信される。最終的に、鍵配信ノードが鍵受信通知を受信する。鍵配信ノードは鍵受信通知を受信することで全ノードに暗号鍵が行き渡ったことを認識する。In this embodiment, the RPL owner node generates an encryption key. That is, the RPL owner node functions as a key distribution node.
In the present embodiment, the key distribution node transmits the encryption key to the adjacent node. Then, the node that received the encryption key transmits the received encryption key to the adjacent node. Thereafter, similarly, an encryption key is transmitted and received between adjacent nodes by the relay method, and the encryption key is distributed to all nodes included in the ring network.
When the terminal node in the ring network receives the encryption key, the terminal node transmits a key reception notification to the adjacent node. That is, the end node transmits a key reception notification to the node that has transmitted the encryption key. When the node adjacent to the terminal node receives the key reception notification, the node transmits the received key reception notification to the adjacent node. That is, the node transmits a key reception notification to the node that has transmitted the encryption key. Thereafter, similarly, a key reception notification is transmitted and received between adjacent nodes by the relay method. Finally, the key distribution node receives the key reception notification. The key distribution node recognizes that the encryption key has been distributed to all nodes by receiving the key reception notification.

次に、図1を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図1は、idle状態における暗号鍵の配信ルート及び鍵受信通知の配信ルートを示す。
図1において実線の矢印は、暗号鍵の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。Next, the data flow in the ring network according to the present embodiment will be described with reference to FIG.
FIG. 1 shows an encryption key distribution route and a key reception notification distribution route in the idle state.
In FIG. 1, the solid line arrows indicate the distribution route of the encryption key. A broken arrow indicates a delivery route of the key reception notification.

図1に示すリングネットワークには、1つのメインリングと2つのローカルリングが含まれる。
メインリングはメインネットワークに相当する。ローカルリングはローカルネットワークに相当する。
本実施の形態に係るリングネットワークには、n(n≧3)台のノードが含まれる。そして、各ノードは、1台以上の他のノードと接続されている。
また、図1に示す各ノードは、実施の形態4で説明するフレーム転送装置100により実現される。フレーム転送装置100は、本発明に係る通信装置に相当する。また、各ノードで行われる動作は本発明に係る通信方法及び通信プログラムに相当する。
また、図1に示すノードで構成されるシステムは本発明に係る通信システムに相当する。The ring network shown in FIG. 1 includes one main ring and two local rings.
The main ring corresponds to the main network. A local ring corresponds to a local network.
The ring network according to the present embodiment includes n (n ≧ 3) nodes. Each node is connected to one or more other nodes.
Each node shown in FIG. 1 is realized by a frame transfer apparatus 100 described in the fourth embodiment. The frame transfer apparatus 100 corresponds to a communication apparatus according to the present invention. Further, the operations performed in each node correspond to the communication method and communication program according to the present invention.
Further, the system constituted by the nodes shown in FIG. 1 corresponds to the communication system according to the present invention.

図1において、RPLオーナノード101はメインリングのRPLオーナノードである。
本実施の形態では、RPLオーナノード101は鍵配信ノードとして動作する。鍵配信ノードは鍵生成通信装置に相当する。
鍵配信ノードであるRPLオーナノード101は、暗号鍵を生成する。また、RPLオーナノード101は、暗号鍵を格納した暗号鍵格納フレームを隣接するノードに送信する。なお、暗号鍵格納フレームに格納された暗号鍵は暗号化されている。暗号鍵を復号するための復号鍵は、別途、各ノードに配布されているものとする。なお、以下では、暗号鍵格納フレームの送信を単に暗号鍵の送信ともいう。また、暗号鍵格納フレームの受信を単に暗号鍵の受信ともいう。In FIG. 1, an RPL owner node 101 is an RPL owner node of the main ring.
In this embodiment, the RPL owner node 101 operates as a key distribution node. The key distribution node corresponds to a key generation communication device.
The RPL owner node 101 that is a key distribution node generates an encryption key. Further, the RPL owner node 101 transmits an encryption key storage frame storing the encryption key to an adjacent node. The encryption key stored in the encryption key storage frame is encrypted. It is assumed that a decryption key for decrypting the encryption key is separately distributed to each node. In the following, transmission of the encryption key storage frame is also simply referred to as encryption key transmission. The reception of the encryption key storage frame is also simply referred to as reception of the encryption key.

RPLオーナノード101は、RPL隣接ノード102と一般ノード103−1に接続されている。図1では、システム状態がidle状態であるため、RPLオーナノード101は、RPL隣接ノード102とのリングに対応するポートを閉塞している。一方、RPLオーナノード101は、一般ノード103−1とのリングに対応するポートは閉塞していない。
RPLオーナノード101は、ポートが閉塞されておらず、RPLオーナノード101と通信が可能な状態にある一般ノード103−1を暗号鍵の送信先に指定する。そして、RPLオーナノード101は、暗号鍵の送信先として指定した一般ノード103−1に暗号鍵格納フレームを送信する。
なお、RPLオーナノード101はメインオーナとも表記する。The RPL owner node 101 is connected to the RPL adjacent node 102 and the general node 103-1. In FIG. 1, since the system state is the idle state, the RPL owner node 101 closes the port corresponding to the ring with the RPL adjacent node 102. On the other hand, the RPL owner node 101 does not block the port corresponding to the ring with the general node 103-1.
The RPL owner node 101 designates the general node 103-1 in which the port is not blocked and can communicate with the RPL owner node 101 as the transmission destination of the encryption key. Then, the RPL owner node 101 transmits the encryption key storage frame to the general node 103-1 designated as the encryption key transmission destination.
The RPL owner node 101 is also expressed as a main owner.

一般ノード103−1は、メインリングの一般ノードである。
一般ノード103−1は、暗号鍵格納フレームをRPLオーナノード101から受信する。そして、一般ノード103−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード103−1は、暗号鍵格納フレームの送信元のノード(RPLオーナノード101)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード103−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード103−1は、網間接続ノード104−1に暗号鍵格納フレームを送信する。
なお、一般ノード103−1はメイン一般とも表記する。The general node 103-1 is a general node of the main ring.
The general node 103-1 receives the encryption key storage frame from the RPL owner node 101. Then, the general node 103-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 103-1 designates a node in a communicable state among the nodes other than the transmission source node (RPL owner node 101) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 103-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 103-1 transmits the encryption key storage frame to the network connection node 104-1.
The general node 103-1 is also referred to as main general.

網間接続ノード104−1は、メインリングの網間接続ノードである。網間接続ノード104−1は、メインリングに属している。しかし、網間接続ノード104−1は、メインリング以外のリングであるローカルリングに属する網間接続ノード204−1と接続されている。
網間接続ノード104−1は暗号鍵格納フレームを一般ノード103−1から受信する。そして、網間接続ノード104−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード104−1は、暗号鍵格納フレームの送信元のノード(一般ノード103−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード104−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。なお、網間接続ノード104−1は、指定した送信先にメインリング内の他の通信が可能なノードが含まれる場合は、鍵受信通知を受信した後に、メインリング内の他の通信が可能なノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード104−1は、網間接続ノード204−1に暗号鍵格納フレームを送信する。また、網間接続ノード104−1は、鍵受信通知を受信した後に、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード104−1はメイン網間とも表記する。
また、網間接続ノード104−1は、境界通信装置に相当する。The network connection node 104-1 is a main ring network connection node. The network connection node 104-1 belongs to the main ring. However, the network connection node 104-1 is connected to the network connection node 204-1 belonging to the local ring that is a ring other than the main ring.
The network connection node 104-1 receives the encryption key storage frame from the general node 103-1. Then, the network connection node 104-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 104-1 designates a node in a communicable state among nodes other than the transmission source node (general node 103-1) of the encryption key storage frame as the encryption key transmission destination. Then, the network connection node 104-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination. In addition, the network connection node 104-1 can perform other communication in the main ring after receiving the key reception notification when the designated transmission destination includes a node capable of other communication in the main ring. The encryption key storage frame is transmitted to a secure node.
In the configuration of FIG. 1, the internetwork connection node 104-1 transmits the encryption key storage frame to the internetwork connection node 204-1. Further, after receiving the key reception notification, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2 which is another network connection node in the main ring.
Note that the network connection node 104-1 is also referred to as the main network.
The network connection node 104-1 corresponds to a boundary communication device.

網間接続ノード204−1は、ローカルリングの網間接続ノードである。網間接続ノード204−1は、ローカルリングに属している。しかし、網間接続ノード204−1は、メインリングに属する網間接続ノード104−1と接続されている。
網間接続ノード204−1は暗号鍵格納フレームを網間接続ノード104−1から受信する。そして、網間接続ノード204−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード204−1は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード204−1は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード204−1は、一般ノード203−1と一般ノード203−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード204−1はローカル網間とも表記する。The network connection node 204-1 is a local ring network connection node. The network connection node 204-1 belongs to the local ring. However, the network connection node 204-1 is connected to the network connection node 104-1 belonging to the main ring.
The network connection node 204-1 receives the encryption key storage frame from the network connection node 104-1. Then, the network connection node 204-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 204-1 designates a node that is in a communicable state among nodes other than the transmission source node (network connection node 104-1) of the encryption key storage frame as the encryption key transmission destination. . Then, the network connection node 204-1 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the network connection node 204-1 transmits an encryption key storage frame to the general node 203-1 and the general node 203-2.
The inter-network connection node 204-1 is also expressed as a local network.

一般ノード203−1と一般ノード203−2は、それぞれローカルリングの一般ノードである。
一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵格納フレームを網間接続ノード204−1から受信する。そして、一般ノード203−1と一般ノード203−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵格納フレームの送信元のノード(網間接続ノード204−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−1と一般ノード203−2は、それぞれ、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−1は、一般ノード203−3に暗号鍵格納フレームを送信する。また、一般ノード203−2は、RPLオーナノード201−1に暗号鍵格納フレームを送信する。
なお、一般ノード203−1と一般ノード203−2は、それぞれ、ローカル一般とも表記する。The general node 203-1 and the general node 203-2 are each a general node of a local ring.
Each of the general node 203-1 and the general node 203-2 receives the encryption key storage frame from the network connection node 204-1. Then, the general node 203-1 and the general node 203-2 decrypt the encryption key, acquire the encryption key, and transfer the encryption key storage frame to the adjacent node.
Each of the general node 203-1 and the general node 203-2 is a node that is in a communicable state among nodes other than the transmission source node (internetwork connection node 204-1) of the encryption key storage frame. Specify the destination of Each of the general node 203-1 and the general node 203-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-1 transmits an encryption key storage frame to the general node 203-3. Further, the general node 203-2 transmits the encryption key storage frame to the RPL owner node 201-1.
Note that each of the general node 203-1 and the general node 203-2 is also expressed as local general.

一般ノード203−3は、ローカルリングの一般ノードである。
一般ノード203−3は、暗号鍵格納フレームを一般ノード203−1から受信する。そして、一般ノード203−3は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−3は、暗号鍵格納フレームの送信元のノード(一般ノード203−1)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−3は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−3は、RPL隣接ノード202−1に暗号鍵格納フレームを送信する。
なお、一般ノード203−3は、ローカル一般とも表記する。The general node 203-3 is a general node of the local ring.
The general node 203-3 receives the encryption key storage frame from the general node 203-1. Then, the general node 203-3 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 203-3 designates a node in a communicable state among nodes other than the transmission source node (general node 203-1) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 203-3 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-3 transmits the encryption key storage frame to the RPL adjacent node 202-1.
The general node 203-3 is also referred to as local general.

RPL隣接ノード202−1は、ローカルリングのRPL隣接ノードである。
RPL隣接ノード202−1は、暗号鍵格納フレームを一般ノード203−3から受信する。そして、RPL隣接ノード202−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−1とRPLオーナノード201−1とは接続されているが、RPL隣接ノード202−1とRPLオーナノード201−1とのリンクに対応するポートが閉塞されている。このため、RPL隣接ノード202−1とRPLオーナノード201−1は通信可能な状態になっていない。つまり、RPL隣接ノード202−1には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード202−1は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード202−1は、鍵受信通知を、暗号鍵の送信元である一般ノード203−3に送信する。鍵受信通知は暗号鍵の受信を通知するデータである。
なお、RPL隣接ノード202−1は、ローカル隣接とも表記する。The RPL adjacent node 202-1 is an RPL adjacent node of the local ring.
The RPL adjacent node 202-1 receives the encryption key storage frame from the general node 203-3. Then, the RPL adjacent node 202-1 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-1 and the RPL owner node 201-1 are connected, but the port corresponding to the link between the RPL adjacent node 202-1 and the RPL owner node 201-1 is blocked. . For this reason, the RPL adjacent node 202-1 and the RPL owner node 201-1 are not in a communicable state. That is, there is no node that can be designated as the transmission destination of the encryption key in the RPL adjacent node 202-1.
Thus, the RPL adjacent node 202-1 is a terminal node in the ring network. Therefore, the RPL adjacent node 202-1 transmits a key reception notification to the general node 203-3 that is the transmission source of the encryption key. The key reception notification is data that notifies the reception of the encryption key.
The RPL adjacent node 202-1 is also referred to as local adjacent.

一般ノード203−3は鍵受信通知をRPL隣接ノード202−1から受信する。そして、一般ノード203−3は、鍵受信通知を、暗号鍵の送信元である一般ノード203−1に送信する。   The general node 203-3 receives the key reception notification from the RPL adjacent node 202-1. Then, the general node 203-3 transmits a key reception notification to the general node 203-1 that is the transmission source of the encryption key.

一般ノード203−1は鍵受信通知を一般ノード203−3から受信する。そして、一般ノード203−1は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−1に送信する。   The general node 203-1 receives the key reception notification from the general node 203-3. Then, the general node 203-1 transmits a key reception notification to the network connection node 204-1 that is the transmission source of the encryption key.

RPLオーナノード201−1は、ローカルリングのRPLオーナノードである。
RPLオーナノード201−1は暗号鍵格納フレームを一般ノード203−2から受信する。そして、RPLオーナノード201−1は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−1とRPLオーナノード201−1とは接続されているが、RPL隣接ノード202−1とRPLオーナノード201−1とのリンクに対応するポートが閉塞されている。このため、RPL隣接ノード202−1とRPLオーナノード201−1は通信可能な状態になっていない。つまり、RPLオーナノード201−1には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPLオーナノード201−1は、リングネットワークにおける末端ノードである。このため、RPLオーナノード201−1は、鍵受信通知を、暗号鍵の送信元である一般ノード203−2に送信する。
なお、RPLオーナノード201−1は、ローカルオーナとも表記する。The RPL owner node 201-1 is a local ring RPL owner node.
The RPL owner node 201-1 receives the encryption key storage frame from the general node 203-2. The RPL owner node 201-1 then decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-1 and the RPL owner node 201-1 are connected, but the port corresponding to the link between the RPL adjacent node 202-1 and the RPL owner node 201-1 is blocked. . For this reason, the RPL adjacent node 202-1 and the RPL owner node 201-1 are not in a communicable state. That is, the RPL owner node 201-1 has no node that can be designated as the encryption key transmission destination.
Thus, the RPL owner node 201-1 is a terminal node in the ring network. Therefore, the RPL owner node 201-1 transmits a key reception notification to the general node 203-2 that is the transmission source of the encryption key.
The RPL owner node 201-1 is also referred to as a local owner.

一般ノード203−2は鍵受信通知をRPLオーナノード201−1から受信する。そして、一般ノード203−2は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−1に送信する。   The general node 203-2 receives the key reception notification from the RPL owner node 201-1. Then, the general node 203-2 transmits a key reception notification to the internetwork connection node 204-1 that is the transmission source of the encryption key.

網間接続ノード204−1はローカルリングの隣接する2つのノードである一般ノード203−1と一般ノード203−2の双方から鍵受信通知を受信したら、暗号鍵の送信元である網間接続ノード104−1に、受信した鍵受信通知を送信する。なお、網間接続ノード204−1は、一般ノード203−1及び一般ノード203−2の少なくともいずれかから鍵受信通知を受信できなかった場合に、鍵受信通知を受信できなかったノードに暗号鍵を再送する。そして、網間接続ノード204−1は、複数回、暗号鍵の再送を行っても、鍵受信通知を受信できない場合には、網間接続ノード104−1にエラー通知を行う。
このようにすることで、ローカルリング内にも確実に暗号鍵を配信することができる。なお、網間接続ノード204−1は、鍵受信通知を受信できなかった場合の暗号鍵の再送及び網間接続ノード104−1へのエラー通知を省略してもよい。When the network connection node 204-1 receives the key reception notification from both the general node 203-1 and the general node 203-2 which are two adjacent nodes of the local ring, the network connection node which is the transmission source of the encryption key The received key reception notification is transmitted to 104-1. It should be noted that the inter-network connection node 204-1 does not receive the key reception notification from at least one of the general node 203-1 and the general node 203-2, and sends the encryption key to the node that has not received the key reception notification. Will be resent. If the network connection node 204-1 cannot receive the key reception notification even after retransmitting the encryption key a plurality of times, the network connection node 204-1 sends an error notification to the network connection node 104-1.
By doing so, it is possible to reliably distribute the encryption key even in the local ring. The network connection node 204-1 may omit the retransmission of the encryption key and the error notification to the network connection node 104-1 when the key reception notification cannot be received.

網間接続ノード104−1は、網間接続ノード204−1から鍵受信通知を受信したら、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。   Upon receiving the key reception notification from the network connection node 204-1, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2, which is another network connection node in the main ring. To do.

網間接続ノード104−2は、メインリングの網間接続ノードである。網間接続ノード104−2は、メインリングに属している。しかし、網間接続ノード104−2は、メインリング以外のリングであるローカルリングに属する網間接続ノード204−2と接続されている。
網間接続ノード104−2は、暗号鍵格納フレームを網間接続ノード104−1から受信する。そして、網間接続ノード104−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード104−2は、先ず、ローカル網間接続ノード204−2を暗号鍵の送信先に指定する。そして、網間接続ノード104−2は、暗号鍵の送信先として指定したローカル網間接続ノード204−2に暗号鍵格納フレームを送信する。その後、網間接続ノード104−2は、ローカル網間接続ノード204−2から鍵受信通知を受信した後に、暗号鍵格納フレームの送信元のノード(網間接続ノード104−1)及びローカル網間接続ノード204−2以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。具体的には、網間接続ノード104−2は、一般ノード103−2を暗号鍵の送信先に指定する。そして、網間接続ノード104−2は、暗号鍵の送信先として指定した一般ノード103−2に暗号鍵格納フレームを送信する。
なお、網間接続ノード104−2はメイン網間とも表記する。
また、網間接続ノード104−2は、網間接続ノード104−1にとって、他の境界通信装置に相当する。The network connection node 104-2 is a main ring network connection node. The network connection node 104-2 belongs to the main ring. However, the network connection node 104-2 is connected to the network connection node 204-2 belonging to the local ring which is a ring other than the main ring.
The network connection node 104-2 receives the encryption key storage frame from the network connection node 104-1. Then, the network connection node 104-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
First, the network connection node 104-2 designates the local network connection node 204-2 as the encryption key transmission destination. Then, the network connection node 104-2 transmits the encryption key storage frame to the local network connection node 204-2 designated as the encryption key transmission destination. Thereafter, the network connection node 104-2 receives the key reception notification from the local network connection node 204-2, and then transmits the encryption key storage frame transmission source node (internetwork connection node 104-1) to the local network. A node that is in a communicable state among nodes other than the connection node 204-2 is designated as the encryption key transmission destination. Specifically, the network connection node 104-2 designates the general node 103-2 as the encryption key transmission destination. Then, the internetwork connection node 104-2 transmits the encryption key storage frame to the general node 103-2 designated as the encryption key transmission destination.
The network connection node 104-2 is also referred to as the main network.
The network connection node 104-2 corresponds to another boundary communication device for the network connection node 104-1.

網間接続ノード204−2は、ローカルリングの網間接続ノードである。網間接続ノード204−2は、ローカルリングに属している。しかし、網間接続ノード204−2は、メインリングに属する網間接続ノード104−2と接続されている。
網間接続ノード204−2は暗号鍵格納フレームを網間接続ノード104−2から受信する。そして、網間接続ノード204−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
網間接続ノード204−2は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、網間接続ノード204−2は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、網間接続ノード204−2は、一般ノード203−4と一般ノード203−5に暗号鍵格納フレームを送信する。
なお、網間接続ノード204−2はローカル網間とも表記する。The network connection node 204-2 is a local ring network connection node. The network connection node 204-2 belongs to the local ring. However, the network connection node 204-2 is connected to the network connection node 104-2 belonging to the main ring.
The network connection node 204-2 receives the encryption key storage frame from the network connection node 104-2. Then, the network connection node 204-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The network connection node 204-2 designates a node in a communicable state among nodes other than the transmission source node of the encryption key storage frame (internetwork connection node 104-2) as the encryption key transmission destination. . Then, the internetwork connection node 204-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the network connection node 204-2 transmits the encryption key storage frame to the general node 203-4 and the general node 203-5.
The network connection node 204-2 is also referred to as a local network.

一般ノード203−4と一般ノード203−5は、それぞれローカルリングの一般ノードである。
一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵格納フレームを網間接続ノード204−2から受信する。そして、一般ノード203−4と一般ノード203−5は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵格納フレームの送信元のノード(網間接続ノード204−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−4と一般ノード203−5は、それぞれ、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−4は、一般ノード203−6に暗号鍵格納フレームを送信する。また、一般ノード203−5は、RPLオーナノード201−2に暗号鍵格納フレームを送信する。
なお、一般ノード203−4と一般ノード203−5は、それぞれ、ローカル一般とも表記する。The general node 203-4 and the general node 203-5 are local nodes of the local ring, respectively.
Each of the general node 203-4 and the general node 203-5 receives the encryption key storage frame from the network connection node 204-2. Then, the general node 203-4 and the general node 203-5 decrypt the encryption key, acquire the encryption key, and transfer the encryption key storage frame to the adjacent node.
Each of the general node 203-4 and the general node 203-5 designates a node that is in a communicable state among nodes other than the transmission source node (internetwork connection node 204-2) of the encryption key storage frame. Specify the destination of Each of the general node 203-4 and the general node 203-5 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-4 transmits the encryption key storage frame to the general node 203-6. Further, the general node 203-5 transmits the encryption key storage frame to the RPL owner node 201-2.
The general node 203-4 and the general node 203-5 are also expressed as local general.

一般ノード203−6は、ローカルリングの一般ノードである。
一般ノード203−6は、暗号鍵格納フレームを一般ノード203−4から受信する。そして、一般ノード203−6は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード203−6は、暗号鍵格納フレームの送信元のノード(一般ノード203−4)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード203−6は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード203−6は、RPL隣接ノード202−2に暗号鍵格納フレームを送信する。
なお、一般ノード203−6は、ローカル一般とも表記する。The general node 203-6 is a general node of the local ring.
The general node 203-6 receives the encryption key storage frame from the general node 203-4. Then, the general node 203-6 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 203-6 designates a node in a communicable state among nodes other than the transmission source node (general node 203-4) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 203-6 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 203-6 transmits the encryption key storage frame to the RPL adjacent node 202-2.
The general node 203-6 is also referred to as local general.

RPL隣接ノード202−2は、ローカルリングのRPL隣接ノードである。
RPL隣接ノード202−2は、暗号鍵格納フレームを一般ノード203−6から受信する。そして、RPL隣接ノード202−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−2とRPLオーナノード201−2とは接続されているが、RPL隣接ノード202−2とRPLオーナノード201−2とのリンクに対応するポートが閉塞されているため、RPL隣接ノード202−2とRPLオーナノード201−2は通信可能な状態になっていない。つまり、RPL隣接ノード202−2には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード202−2は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード202−2は、鍵受信通知を、暗号鍵の送信元である一般ノード203−6に送信する。
なお、RPL隣接ノード202−2は、ローカル隣接とも表記する。The RPL adjacent node 202-2 is a local ring RPL adjacent node.
The RPL adjacent node 202-2 receives the encryption key storage frame from the general node 203-6. Then, the RPL adjacent node 202-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-2 and the RPL owner node 201-2 are connected, but the port corresponding to the link between the RPL adjacent node 202-2 and the RPL owner node 201-2 is blocked. Therefore, the RPL adjacent node 202-2 and the RPL owner node 201-2 are not in a communicable state. That is, the RPL adjacent node 202-2 does not have a node that can be designated as the encryption key transmission destination.
Thus, the RPL adjacent node 202-2 is a terminal node in the ring network. Therefore, the RPL adjacent node 202-2 transmits a key reception notification to the general node 203-6 that is the transmission source of the encryption key.
The RPL adjacent node 202-2 is also referred to as local adjacent.

一般ノード203−6は鍵受信通知をRPL隣接ノード202−2から受信する。そして、一般ノード203−6は、鍵受信通知を、暗号鍵の送信元である一般ノード203−4に送信する。   The general node 203-6 receives the key reception notification from the RPL adjacent node 202-2. Then, the general node 203-6 transmits a key reception notification to the general node 203-4 that is the transmission source of the encryption key.

一般ノード203−4は鍵受信通知を一般ノード203−6から受信する。そして、一般ノード203−4は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−2に送信する。   The general node 203-4 receives the key reception notification from the general node 203-6. Then, the general node 203-4 transmits a key reception notification to the internetwork connection node 204-2 that is the transmission source of the encryption key.

RPLオーナノード201−2は、ローカルリングのRPLオーナノードである。
RPLオーナノード201−2は暗号鍵格納フレームを一般ノード203−5から受信する。そして、RPLオーナノード201−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、図1では、RPL隣接ノード202−2とRPLオーナノード201−2とは接続されているが、RPL隣接ノード202−2とRPLオーナノード201−2とのリンクに対応するポートが閉塞されているため、RPL隣接ノード202−2とRPLオーナノード201−2は通信可能な状態になっていない。つまり、RPLオーナノード201−2には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPLオーナノード201−2は、リングネットワークにおける末端ノードである。このため、RPLオーナノード201−2は、鍵受信通知を、暗号鍵の送信元である一般ノード203−5に送信する。
なお、RPLオーナノード201−2は、ローカルオーナとも表記する。The RPL owner node 201-2 is a local ring RPL owner node.
The RPL owner node 201-2 receives the encryption key storage frame from the general node 203-5. Then, the RPL owner node 201-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
In FIG. 1, the RPL adjacent node 202-2 and the RPL owner node 201-2 are connected, but the port corresponding to the link between the RPL adjacent node 202-2 and the RPL owner node 201-2 is blocked. Therefore, the RPL adjacent node 202-2 and the RPL owner node 201-2 are not in a communicable state. That is, the RPL owner node 201-2 does not have a node that can be designated as the encryption key transmission destination.
Thus, the RPL owner node 201-2 is a terminal node in the ring network. For this reason, the RPL owner node 201-2 transmits a key reception notification to the general node 203-5 that is the transmission source of the encryption key.
The RPL owner node 201-2 is also referred to as a local owner.

一般ノード203−5は鍵受信通知をRPLオーナノード201−2から受信する。そして、一般ノード203−5は、鍵受信通知を、暗号鍵の送信元である網間接続ノード204−2に送信する。   The general node 203-5 receives the key reception notification from the RPL owner node 201-2. Then, the general node 203-5 transmits a key reception notification to the internetwork connection node 204-2 that is the transmission source of the encryption key.

網間接続ノード204−2はローカルリングの隣接する2つのノードである一般ノード203−4と一般ノード203−5の双方から鍵受信通知を受信したら、暗号鍵の送信元である網間接続ノード104−2に、受信した鍵受信通知を送信する。なお、網間接続ノード204−2は、一般ノード203−4及び一般ノード203−5の少なくともいずれかから鍵受信通知を受信できなかった場合に、鍵受信通知を受信できなかったノードに暗号鍵を再送する。そして、網間接続ノード204−2は、複数回、暗号鍵の再送を行っても、鍵受信通知を受信できない場合には、網間接続ノード104−2にエラー通知を行う。
このようにすることで、ローカルリング内にも確実に暗号鍵を配信することができる。なお、網間接続ノード204−2は、鍵受信通知を受信できなかった場合の暗号鍵の再送及び網間接続ノード104−2へのエラー通知を省略してもよい。
前述したように、網間接続ノード104−2は、網間接続ノード204−2から鍵受信通知を受信すると、メインリング内の他のノードである一般ノード103−2に暗号鍵格納フレームを送信する。When the network connection node 204-2 receives the key reception notification from both the general node 203-4 and the general node 203-5 that are adjacent two nodes of the local ring, the network connection node that is the transmission source of the encryption key The received key reception notification is transmitted to 104-2. It should be noted that the network connection node 204-2, when the key reception notification cannot be received from at least one of the general node 203-4 and the general node 203-5, the encryption key is sent to the node that has not received the key reception notification. Will be resent. If the network connection node 204-2 cannot receive the key reception notification even after retransmitting the encryption key a plurality of times, the network connection node 204-2 sends an error notification to the network connection node 104-2.
By doing so, it is possible to reliably distribute the encryption key even in the local ring. The network connection node 204-2 may omit the retransmission of the encryption key and the error notification to the network connection node 104-2 when the key reception notification cannot be received.
As described above, when the network connection node 104-2 receives the key reception notification from the network connection node 204-2, it transmits the encryption key storage frame to the general node 103-2 which is another node in the main ring. To do.

一般ノード103−2は、メインリングの一般ノードである。
一般ノード103−2は、暗号鍵格納フレームを網間接続ノード104−2から受信する。そして、一般ノード103−2は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
一般ノード103−2は、暗号鍵格納フレームの送信元のノード(網間接続ノード104−2)以外のノードのうちで通信が可能な状態にあるノードを暗号鍵の送信先に指定する。そして、一般ノード103−2は、暗号鍵の送信先として指定したノードに暗号鍵格納フレームを送信する。
図1の構成では、一般ノード103−2は、RPL隣接ノード102に暗号鍵格納フレームを送信する。
なお、一般ノード103−2はメイン一般とも表記する。The general node 103-2 is a general node of the main ring.
The general node 103-2 receives the encryption key storage frame from the network connection node 104-2. Then, the general node 103-2 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
The general node 103-2 designates a node in a communicable state among nodes other than the transmission source node (inter-network connection node 104-2) of the encryption key storage frame as the encryption key transmission destination. Then, the general node 103-2 transmits the encryption key storage frame to the node designated as the encryption key transmission destination.
In the configuration of FIG. 1, the general node 103-2 transmits an encryption key storage frame to the RPL adjacent node 102.
The general node 103-2 is also referred to as main general.

RPL隣接ノード102は、メインリングのRPL隣接ノードである。
RPL隣接ノード102は、暗号鍵格納フレームを一般ノード103−2から受信する。そして、RPL隣接ノード102は、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するノードに転送する。
なお、前述したように、RPL隣接ノード102とRPLオーナノード101とは接続されているが、RPL隣接ノード102とRPLオーナノード101とのリンクに対応するポートが閉塞されているため、RPL隣接ノード102とRPLオーナノード101は通信可能な状態になっていない。つまり、RPL隣接ノード102には、暗号鍵の送信先に指定できるノードが存在しない。
このように、RPL隣接ノード102は、リングネットワークにおける末端ノードである。このため、RPL隣接ノード102は、鍵受信通知を、暗号鍵の送信元である一般ノード103−2に送信する。
なお、RPL隣接ノード102は、メイン隣接とも表記する。The RPL adjacent node 102 is an RPL adjacent node of the main ring.
The RPL adjacent node 102 receives the encryption key storage frame from the general node 103-2. Then, the RPL adjacent node 102 decrypts the encryption key, acquires the encryption key, and transfers the encryption key storage frame to the adjacent node.
As described above, the RPL adjacent node 102 and the RPL owner node 101 are connected, but the port corresponding to the link between the RPL adjacent node 102 and the RPL owner node 101 is blocked. The RPL owner node 101 is not in a communicable state. That is, there is no node that can be designated as the encryption key transmission destination in the RPL adjacent node 102.
Thus, the RPL neighboring node 102 is a terminal node in the ring network. For this reason, the RPL adjacent node 102 transmits a key reception notification to the general node 103-2 that is the transmission source of the encryption key.
The RPL adjacent node 102 is also referred to as main adjacent.

一般ノード103−2は鍵受信通知をRPL隣接ノード102から受信する。そして、一般ノード103−2は、鍵受信通知を、暗号鍵の送信元である網間接続ノード104−2に送信する。   The general node 103-2 receives the key reception notification from the RPL adjacent node 102. Then, the general node 103-2 transmits a key reception notification to the network connection node 104-2 that is the transmission source of the encryption key.

網間接続ノード104−2は一般ノード103−2から鍵受信通知を受信したら、メインリングの隣接するノードである網間接続ノード104−1に、鍵受信通知を転送する。   When receiving the key reception notification from the general node 103-2, the network connection node 104-2 transfers the key reception notification to the network connection node 104-1 which is an adjacent node of the main ring.

網間接続ノード104−1は網間接続ノード104−2から鍵受信通知を受信したら、鍵受信通知を、暗号鍵の送信元である一般ノード103−1に送信する。   When the network connection node 104-1 receives the key reception notification from the network connection node 104-2, the network connection node 104-1 transmits the key reception notification to the general node 103-1, which is the transmission source of the encryption key.

一般ノード103−1は鍵受信通知を網間接続ノード104−1から受信する。そして、一般ノード103−1は、受信した鍵受信通知を、暗号鍵の送信元であるRPLオーナノード101に送信する。   The general node 103-1 receives the key reception notification from the network connection node 104-1. Then, the general node 103-1 transmits the received key reception notification to the RPL owner node 101 that is the transmission source of the encryption key.

RPLオーナノード101は、一般ノード103−1から鍵受信通知を受信したら、ネットワーク内の全ノードに暗号鍵が配信されたと判定する。これにより、暗号鍵の配信が完了する。RPLオーナノード101は、規定時間以内に全ての末端ノードからの鍵受信通知を受信できなかった場合は、暗号鍵を再送する。図1の例では、RPLオーナノード101は、一般ノード103−1から鍵受信通知を受信できなかった場合に、暗号鍵を再送する。   When receiving the key reception notification from the general node 103-1, the RPL owner node 101 determines that the encryption key has been distributed to all the nodes in the network. Thereby, the distribution of the encryption key is completed. If the RPL owner node 101 fails to receive key reception notifications from all the end nodes within a specified time, it retransmits the encryption key. In the example of FIG. 1, the RPL owner node 101 retransmits the encryption key when the key reception notification cannot be received from the general node 103-1.

本実施の形態によれば、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。
従来の方式では、鍵配信ノードが1対1で各ノードに暗号鍵を送信している。このため、従来の方式では、ネットワーク内のノード数が増加するほど鍵配信ノードの負荷が増加し、ネットワークの負荷も増加していた。本実施の形態では、鍵配信ノードを始点とし、ノード間で暗号鍵の送受信を繰り返すことで、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに全ノードに暗号鍵を配信することができる。同様に、本実施の形態によれば、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。According to the present embodiment, it is possible to efficiently distribute keys without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution.
In the conventional method, the key distribution node transmits the encryption key to each node on a one-to-one basis. For this reason, in the conventional method, as the number of nodes in the network increases, the load on the key distribution node increases and the load on the network also increases. In this embodiment, the key distribution node is used as a starting point, and transmission and reception of the encryption key between nodes is repeated, so that a high load is not imposed on the key distribution node and no congestion occurs in the communication path. An encryption key can be distributed. Similarly, according to the present embodiment, the key reception notification can be made to reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path.

実施の形態2.
図2を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図2は、protection状態における暗号鍵の配信ルート及び鍵受信通知の配信ルートを示す。
図2では、一般ノード103−2と網間接続ノード104−2との間で障害が発生している。また、網間接続ノード204−2と一般ノード203−4との間で障害が発生している。また、一般ノード203−3とRPL隣接ノード202−1との間で障害が発生している。
RPLオーナノード101は、一般ノード103−2と網間接続ノード104−2との間のリンクを閉塞する。また、RPLオーナノード101は、網間接続ノード204−2と一般ノード203−4との間のリンクを閉塞する。更に、RPLオーナノード101は、一般ノード203−3とRPL隣接ノード202−1との間のリンクを閉塞する。一方、RPLオーナノード101は、RPLオーナノード101とRPL隣接ノード102との間のリンクの閉塞を解除する。また、RPLオーナノード101は、RPL隣接ノード202−1とRPLオーナノード201−1との間のリンクの閉塞を解除する。更に、RPLオーナノード101は、RPLオーナノード201−2とRPL隣接ノード202−2との間のリンクの閉塞を解除する。
図2において実線の矢印は、暗号鍵の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 2. FIG.
With reference to FIG. 2, the data flow in the ring network according to the present embodiment will be described.
FIG. 2 shows an encryption key distribution route and a key reception notification distribution route in the protection state.
In FIG. 2, a failure occurs between the general node 103-2 and the network connection node 104-2. In addition, a failure has occurred between the network connection node 204-2 and the general node 203-4. In addition, a failure has occurred between the general node 203-3 and the RPL adjacent node 202-1.
The RPL owner node 101 closes the link between the general node 103-2 and the network connection node 104-2. In addition, the RPL owner node 101 closes the link between the network connection node 204-2 and the general node 203-4. Furthermore, the RPL owner node 101 closes the link between the general node 203-3 and the RPL adjacent node 202-1. On the other hand, the RPL owner node 101 releases the blocking of the link between the RPL owner node 101 and the RPL adjacent node 102. In addition, the RPL owner node 101 releases the blocking of the link between the RPL adjacent node 202-1 and the RPL owner node 201-1. Further, the RPL owner node 101 releases the blockage of the link between the RPL owner node 201-2 and the RPL adjacent node 202-2.
In FIG. 2, the solid arrow indicates the encryption key distribution route. A broken arrow indicates a delivery route of the key reception notification.
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.

実施の形態1と同様に、鍵配信ノードであるメインリングのRPLオーナノード101は暗号鍵を生成する。本実施の形態では、RPLオーナノード101は、RPL隣接ノード102と一般ノード103−1の双方に暗号鍵格納フレームを送信する。   As in the first embodiment, the RPL owner node 101 of the main ring, which is a key distribution node, generates an encryption key. In the present embodiment, the RPL owner node 101 transmits the encryption key storage frame to both the RPL adjacent node 102 and the general node 103-1.

RPL隣接ノード102は暗号鍵格納フレームをRPLオーナノード101から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード103−2に送信する。   When the RPL adjacent node 102 receives the encryption key storage frame from the RPL owner node 101, the RPL adjacent node 102 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 103-2.

一般ノード103−2は暗号鍵格納フレームをRPL隣接ノード102から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知をRPL隣接ノード102に送信する。
つまり、一般ノード103−2には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード103−2は、鍵受信通知をRPL隣接ノード102に送信する。When the general node 103-2 receives the encryption key storage frame from the RPL adjacent node 102, the general node 103-2 decrypts the encryption key, acquires the encryption key, and transmits a key reception notification to the RPL adjacent node 102.
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 103-2, the general node 103-2 transmits a key reception notification to the RPL adjacent node 102.

RPL隣接ノード102は、鍵受信通知を一般ノード103−2から受信したら、RPLオーナノード101に鍵受信通知を送信する。   When receiving the key reception notification from the general node 103-2, the RPL adjacent node 102 transmits the key reception notification to the RPL owner node 101.

一般ノード103−1は暗号鍵格納フレームをRPLオーナノード101から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード104−1に送信する。   When the general node 103-1 receives the encryption key storage frame from the RPL owner node 101, the general node 103-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent network connection node 104-1.

網間接続ノード104−1は暗号鍵格納フレームを一般ノード103−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード204−1に送信する。   When the network connection node 104-1 receives the encryption key storage frame from the general node 103-1, the network connection node 104-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent network connection node 204-1. To do.

網間接続ノード204−1は暗号鍵格納フレームを網間接続ノード104−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−1と一般ノード203−2に送信する。   When the network connection node 204-1 receives the encryption key storage frame from the network connection node 104-1, the network connection node 204-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-1. Transmit to node 203-2.

一般ノード203−1は暗号鍵格納フレームを網間接続ノード204−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−3に送信する。   When receiving the encryption key storage frame from the network connection node 204-1, the general node 203-1 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-3.

一般ノード203−3は暗号鍵格納フレームを一般ノード203−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知を一般ノード203―1に送信する。
つまり、一般ノード203−3には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード203−3は、鍵受信通知を一般ノード203−1に送信する。When the general node 203-3 receives the encryption key storage frame from the general node 203-1, the general node 203-3 decrypts the encryption key, obtains the encryption key, and transmits a key reception notification to the general node 203-1.
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 203-3, the general node 203-3 transmits the key reception notification to the general node 203-1.

一般ノード203−1は鍵受信通知を一般ノード203−3から受信したら、隣接する網間接続ノード204−1に鍵受信通知を送信する。   When receiving the key reception notification from the general node 203-3, the general node 203-1 transmits the key reception notification to the adjacent network connection node 204-1.

一般ノード203−2は暗号鍵格納フレームを網間接続ノード204−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPLオーナノード201−1に送信する。   When the general node 203-2 receives the encryption key storage frame from the network connection node 204-1, the general node 203-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL owner node 201-1.

RPLオーナノード201−1は暗号鍵格納フレームを一般ノード203−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPL隣接ノード202−1に送信する。   When the RPL owner node 201-1 receives the encryption key storage frame from the general node 203-2, it decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL adjacent node 202-1.

RPL隣接ノード202−1は暗号鍵格納フレームをRPLオーナノード201−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知をRPLオーナノード201−1に送信する。
つまり、RPL隣接ノード202−1には、暗号鍵の送信先に指定できるノードが存在しないため、RPL隣接ノード202−1は鍵受信通知をRPLオーナノード201−1に送信する。When the RPL adjacent node 202-1 receives the encryption key storage frame from the RPL owner node 201-1, it decrypts the encryption key, acquires the encryption key, and transmits a key reception notification to the RPL owner node 201-1.
That is, since there is no node that can be designated as the encryption key transmission destination in the RPL adjacent node 202-1, the RPL adjacent node 202-1 transmits a key reception notification to the RPL owner node 201-1.

RPLオーナノード201−1は鍵受信通知をRPL隣接ノード202−1から受信したら、隣接する一般ノード203−2に鍵受信通知を送信する。   When the RPL owner node 201-1 receives the key reception notification from the RPL adjacent node 202-1, the RPL owner node 201-1 transmits the key reception notification to the adjacent general node 203-2.

一般ノード203−2は鍵受信通知をRPLオーナノード201−1から受信したら、隣接する網間接続ノード204−1に鍵受信通知を送信する。   When the general node 203-2 receives the key reception notification from the RPL owner node 201-1, the general node 203-2 transmits the key reception notification to the adjacent network connection node 204-1.

網間接続ノード204−1は鍵受信通知を一般ノード203−1と一般ノード203−2から受信したら、受信した鍵受信通知を、隣接する網間接続ノード104−1に送信する。   When the network connection node 204-1 receives the key reception notification from the general nodes 203-1 and 203-2, the network connection node 204-1 transmits the received key reception notification to the adjacent network connection node 104-1.

網間接続ノード104−1は鍵受信通知を網間接続ノード204−1から受信したら、メインリング内の他の網間接続ノードである網間接続ノード104−2に暗号鍵格納フレームを送信する。   When the network connection node 104-1 receives the key reception notification from the network connection node 204-1, the network connection node 104-1 transmits the encryption key storage frame to the network connection node 104-2 which is another network connection node in the main ring. .

網間接続ノード104−2は暗号鍵格納フレームを網間接続ノード104−1から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する網間接続ノード204−2に送信する。網間接続ノード104−2と一般ノード103−2とのリンクは閉塞されているので、網間接続ノード104−2は、一般ノード103−2には暗号鍵格納フレームを送信しない。   When the network connection node 104-2 receives the encryption key storage frame from the network connection node 104-1, the network connection node 104-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent network connection node 204-2. Send to. Since the link between the network connection node 104-2 and the general node 103-2 is blocked, the network connection node 104-2 does not transmit the encryption key storage frame to the general node 103-2.

網間接続ノード204−2は暗号鍵格納フレームを網間接続ノード104−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−5に送信する。網間接続ノード204−2と一般ノード203−4とのリンクは閉塞されているので、網間接続ノード204−2は、一般ノード203−4には暗号鍵格納フレームを送信しない。   When the network connection node 204-2 receives the encryption key storage frame from the network connection node 104-2, the network connection node 204-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-5. To do. Since the link between the network connection node 204-2 and the general node 203-4 is blocked, the network connection node 204-2 does not transmit the encryption key storage frame to the general node 203-4.

一般ノード203−5は暗号鍵格納フレームを網間接続ノード204−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPLオーナノード201−2に送信する。   When receiving the encryption key storage frame from the network connection node 204-2, the general node 203-5 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL owner node 201-2.

RPLオーナノード201−2は暗号鍵格納フレームを一般ノード203−5から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接するRPL隣接ノード202−2に送信する。   When the RPL owner node 201-2 receives the encryption key storage frame from the general node 203-5, the RPL owner node 201-2 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent RPL adjacent node 202-2.

RPL隣接ノード202−2は暗号鍵格納フレームをRPLオーナノード201−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−6に送信する。   When the RPL adjacent node 202-2 receives the encryption key storage frame from the RPL owner node 201-2, it decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-6.

一般ノード203−6は暗号鍵格納フレームをRPL隣接ノード202−2から受信したら、暗号鍵を復号し、暗号鍵を取得し、暗号鍵格納フレームを隣接する一般ノード203−4に送信する。   Upon receiving the encryption key storage frame from the RPL adjacent node 202-2, the general node 203-6 decrypts the encryption key, acquires the encryption key, and transmits the encryption key storage frame to the adjacent general node 203-4.

一般ノード203−4は暗号鍵格納フレームを一般ノード203−6から受信したら、暗号鍵を復号し、暗号鍵を取得し、鍵受信通知を一般ノード203―6に送信する。
つまり、一般ノード203−4には、暗号鍵の送信先に指定できるノードが存在しないため、一般ノード203−4は、鍵受信通知を一般ノード203−6に送信する。When the general node 203-4 receives the encryption key storage frame from the general node 203-6, the general node 203-4 decrypts the encryption key, acquires the encryption key, and transmits a key reception notification to the general node 203-6.
That is, since there is no node that can be designated as the encryption key transmission destination in the general node 203-4, the general node 203-4 transmits a key reception notification to the general node 203-6.

一般ノード203−6は鍵受信通知を一般ノード203−4から受信したら、隣接するRPL隣接ノード202−2に鍵受信通知を送信する。   When the general node 203-6 receives the key reception notification from the general node 203-4, the general node 203-6 transmits the key reception notification to the adjacent RPL adjacent node 202-2.

RPL隣接ノード202−2は鍵受信通知を一般ノード203−6から受信したら、隣接するRPLオーナノード201−2に鍵受信通知を送信する。   When the RPL adjacent node 202-2 receives the key reception notification from the general node 203-6, the RPL adjacent node 202-2 transmits the key reception notification to the adjacent RPL owner node 201-2.

RPLオーナノード201−2は鍵受信通知をRPL隣接ノード202−2から受信したら、隣接する一般ノード203−5に鍵受信通知を送信する。   When receiving the key reception notification from the RPL adjacent node 202-2, the RPL owner node 201-2 transmits the key reception notification to the adjacent general node 203-5.

一般ノード203−5は鍵受信通知をRPLオーナノード201−2から受信したら、隣接する網間接続ノード204−2に鍵受信通知を送信する。   When receiving the key reception notification from the RPL owner node 201-2, the general node 203-5 transmits the key reception notification to the adjacent network connection node 204-2.

網間接続ノード204−2は鍵受信通知を一般ノード203−5から受信したら、隣接する網間接続ノード104−2に鍵受信通知を送信する。   When the network connection node 204-2 receives the key reception notification from the general node 203-5, the network connection node 204-2 transmits the key reception notification to the adjacent network connection node 104-2.

網間接続ノード104−2は鍵受信通知を網間接続ノード204−2から受信したら、隣接する網間接続ノード104−1に鍵受信通知を送信する。   When the network connection node 104-2 receives the key reception notification from the network connection node 204-2, the network connection node 104-2 transmits the key reception notification to the adjacent network connection node 104-1.

網間接続ノード104−1は網間接続ノード104−2から鍵受信通知を受信したら、鍵受信通知を、暗号鍵の送信元である一般ノード103−1に送信する。   When the network connection node 104-1 receives the key reception notification from the network connection node 104-2, the network connection node 104-1 transmits the key reception notification to the general node 103-1, which is the transmission source of the encryption key.

一般ノード103−1は鍵受信通知を網間接続ノード104−1から受信したら、隣接するRPLオーナノード101に鍵受信通知を送信する。   When the general node 103-1 receives the key reception notification from the network connection node 104-1, the general node 103-1 transmits the key reception notification to the adjacent RPL owner node 101.

RPLオーナノード101は一般ノード103−1とRPL隣接ノード102の双方から鍵受信通知を受信したら、ネットワーク内の全ノードに暗号鍵が配信されたと判定する。これにより、暗号鍵の配信が完了する。RPLオーナノード101は、一定時間以内に一般ノード103−1とRPL隣接ノード102の双方から鍵受信通知を受信できなかった場合は、暗号鍵を再送する。   When receiving the key reception notification from both the general node 103-1 and the RPL adjacent node 102, the RPL owner node 101 determines that the encryption key has been distributed to all the nodes in the network. Thereby, the distribution of the encryption key is completed. If the RPL owner node 101 fails to receive the key reception notification from both the general node 103-1 and the RPL adjacent node 102 within a predetermined time, the RPL owner node 101 retransmits the encryption key.

本実施の形態によれば、protection状態においても、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。同様に、本実施の形態によれば、protection状態においても、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。   According to the present embodiment, even in the protection state, the key is efficiently distributed without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution. be able to. Similarly, according to the present embodiment, even in the protection state, the key reception notification can reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path. Can do.

実施の形態3.
図3を参照して、本実施の形態に係るリングネットワークにおけるデータフローを説明する。
図3は、idle状態において鍵配信ノードが鍵受信通知を受信した後に鍵配信ノードから送信される鍵有効通知のデータフローを示す。
鍵有効通知は、各ノードに暗号鍵の有効化を指示するメッセージである。
図3において実線の矢印は、鍵有効通知の配信ルートを示す。破線の矢印は鍵受信通知の配信ルートを示す。破線の矢印は図1に示したものと同じである。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 3 FIG.
A data flow in the ring network according to the present embodiment will be described with reference to FIG.
FIG. 3 shows a data flow of the key validity notification transmitted from the key distribution node after the key distribution node receives the key reception notification in the idle state.
The key validity notification is a message that instructs each node to validate the encryption key.
In FIG. 3, a solid arrow indicates a key valid notification distribution route. A broken arrow indicates a delivery route of the key reception notification. The dashed arrows are the same as those shown in FIG.
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.

実施の形態1で説明したように、鍵配信ノードであるRPLオーナノード101は、リングネットワークに含まれる全ての末端ノードから鍵受信通知を受信すると、全ノードに暗号鍵が配信されたと判定する。
次に、RPLオーナノード101は、鍵有効通知を一般ノード103−1に送信する。
以降は、暗号鍵の配信ルートと同じルートでノード間で鍵有効通知を送受信する。具体的には、一般ノード103−1は、網間接続ノード104−1に鍵有効通知を送信する。網間接続ノード104−1は網間接続ノード204−1と網間接続ノード104−2に鍵有効通知を送信する。なお、暗号鍵の配信と異なり、網間接続ノード104−1は、並行して網間接続ノード204−1と網間接続ノード104−2に鍵有効通知を送信する。
網間接続ノード204−1は、一般ノード203−1と一般ノード203−2に鍵有効通知を送信する。一般ノード203−1は一般ノード203−3に鍵有効通知を送信する。一般ノード203−3はRPL隣接ノード202−1に鍵有効通知を送信する。一般ノード203−2はRPLオーナノード201−1に鍵有効通知を送信する。
網間接続ノード104−2は、一般ノード103−2と網間接続ノード204−2に鍵有効通知を送信する。一般ノード103−2は、RPL隣接ノード102に鍵有効通知を送信する。網間接続ノード204−2は一般ノード203−4と一般ノード203−5に鍵有効通知を送信する。一般ノード203−4は一般ノード203−6に鍵有効通知を送信する。一般ノード203−6はRPL隣接ノード202−2に鍵有効通知を送信する。一般ノード203−5はRPLオーナノード201−2に鍵有効通知を送信する。
なお、本実施の形態では、末端ノードは鍵有効通知を受信した場合も、受信確認のための応答メッセージを送信する必要はない。
各ノードは鍵有効通知を受信したら、暗号鍵を有効化する。As described in the first embodiment, when receiving the key reception notification from all terminal nodes included in the ring network, the RPL owner node 101 that is a key distribution node determines that the encryption key has been distributed to all nodes.
Next, the RPL owner node 101 transmits a key validity notification to the general node 103-1.
Thereafter, the key validity notification is transmitted and received between nodes through the same route as the encryption key distribution route. Specifically, the general node 103-1 transmits a key validity notification to the network connection node 104-1. The network connection node 104-1 transmits a key validity notification to the network connection node 204-1 and the network connection node 104-2. Note that, unlike the distribution of the encryption key, the network connection node 104-1 transmits a key validity notification to the network connection node 204-1 and the network connection node 104-2 in parallel.
The network connection node 204-1 transmits a key validity notification to the general node 203-1 and the general node 203-2. The general node 203-1 transmits a key validity notice to the general node 203-3. The general node 203-3 transmits a key validity notification to the RPL adjacent node 202-1. The general node 203-2 transmits a key validity notice to the RPL owner node 201-1.
The network connection node 104-2 transmits a key validity notification to the general node 103-2 and the network connection node 204-2. The general node 103-2 transmits a key validity notification to the RPL adjacent node 102. The network connection node 204-2 transmits a key validity notification to the general node 203-4 and the general node 203-5. The general node 203-4 transmits a key validity notification to the general node 203-6. The general node 203-6 transmits a key validity notification to the RPL adjacent node 202-2. The general node 203-5 transmits a key validity notice to the RPL owner node 201-2.
In the present embodiment, even when the terminal node receives the key validity notification, it is not necessary to transmit a response message for confirmation of reception.
When each node receives the key validity notification, it validates the encryption key.

以上より、本実施の形態によれば、暗号鍵の配信途中で障害が発生した場合にも、リングネットワーク内で暗号鍵(共通鍵)が不一致になることを防止することができる。   As described above, according to the present embodiment, even when a failure occurs during the distribution of the encryption key, it is possible to prevent the encryption key (common key) from being inconsistent in the ring network.

実施の形態4.
本実施の形態では、実施の形態1〜3で説明した各ノードを構成するフレーム転送装置100の構成を説明する。前述したように、フレーム転送装置100は、通信装置に相当する。
本実施の形態では、主に実施の形態1との差異を説明する。
なお、以下で説明していない事項は、実施の形態1と同様である。Embodiment 4 FIG.
In the present embodiment, the configuration of the frame transfer apparatus 100 that constitutes each node described in the first to third embodiments will be described. As described above, the frame transfer device 100 corresponds to a communication device.
In the present embodiment, differences from the first embodiment will be mainly described.
Note that matters not described below are the same as those in the first embodiment.

図4は、フレーム転送装置100の構成例を示す。   FIG. 4 shows a configuration example of the frame transfer apparatus 100.

フレーム転送装置100は、ハードウェアとして、プロセッサ110、記憶装置120、スイッチ設定装置130、スイッチ140及び通信インタフェース150−1〜150−6を備える。
フレーム転送装置100は、通信装置であるが、プログラムを実行するコンピュータとして機能する。
記憶装置120には、暗号鍵記憶部121、ノード属性記憶部122、リング属性記憶部123、障害状態記憶部124、暗号鍵管理テーブル記憶部125、鍵受信通知管理テーブル記憶部126及びポート情報記憶部127が含まれる。
暗号鍵記憶部121、ノード属性記憶部122、リング属性記憶部123、障害状態記憶部124、暗号鍵管理テーブル記憶部125、鍵受信通知管理テーブル記憶部126及びポート情報記憶部127の詳細は後述する。
記憶装置120には、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119を実現するプログラムが記憶されている。
そして、プロセッサ110がこれらプログラムを実行して、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の動作を行う。
図4では、プロセッサ110が判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムを実行している状態を模式的に表している。The frame transfer apparatus 100 includes a processor 110, a storage device 120, a switch setting device 130, a switch 140, and communication interfaces 150-1 to 150-6 as hardware.
The frame transfer apparatus 100 is a communication apparatus, but functions as a computer that executes a program.
The storage device 120 includes an encryption key storage unit 121, a node attribute storage unit 122, a ring attribute storage unit 123, a failure state storage unit 124, an encryption key management table storage unit 125, a key reception notification management table storage unit 126, and a port information storage. Part 127 is included.
Details of the encryption key storage unit 121, node attribute storage unit 122, ring attribute storage unit 123, failure state storage unit 124, encryption key management table storage unit 125, key reception notification management table storage unit 126, and port information storage unit 127 will be described later. To do.
The storage device 120 includes a determination unit 111, an encryption key generation unit 112, a key reception notification generation unit 113, a key validity notification generation unit 114, a communication control unit 115, an encryption unit 116, a timer 117, a failure detection unit 118, and a decryption unit. A program for realizing 119 is stored.
Then, the processor 110 executes these programs, and the determination unit 111, the encryption key generation unit 112, the key reception notification generation unit 113, the key validity notification generation unit 114, the communication control unit 115, the encryption unit 116, the timer 117, the failure The detection unit 118 and the decoding unit 119 are operated.
In FIG. 4, the processor 110 includes a determination unit 111, an encryption key generation unit 112, a key reception notification generation unit 113, a key validity notification generation unit 114, a communication control unit 115, an encryption unit 116, a timer 117, a failure detection unit 118, and a decryption unit. The state which is executing the program which realizes the function of part 119 is typically expressed.

判定部111は、フレーム転送装置100のノード属性を判定する。つまり、判定部111は、フレーム転送装置100が図1に示すRPLオーナノード101、RPL隣接ノード102、一般ノード103−1、一般ノード103−2等のいずれに該当するかを判定する。
フレーム転送装置100のノード属性は記憶装置120内のノード属性記憶部122に記憶されている。つまり、ノード属性記憶部122には、フレーム転送装置100が図1に示すRPLオーナノード101、RPL隣接ノード102、一般ノード103−1、一般ノード103−2等のいずれに該当するかが示される情報が記憶されている。
判定部111は、ノード属性記憶部122の情報を参照して、フレーム転送装置100のノード属性を判定する。The determination unit 111 determines the node attribute of the frame transfer apparatus 100. That is, the determination unit 111 determines whether the frame transfer apparatus 100 corresponds to the RPL owner node 101, the RPL adjacent node 102, the general node 103-1, the general node 103-2, or the like illustrated in FIG.
The node attribute of the frame transfer device 100 is stored in the node attribute storage unit 122 in the storage device 120. In other words, the node attribute storage unit 122 indicates whether the frame transfer apparatus 100 corresponds to the RPL owner node 101, the RPL adjacent node 102, the general node 103-1, the general node 103-2, or the like shown in FIG. Is remembered.
The determination unit 111 refers to the information in the node attribute storage unit 122 to determine the node attribute of the frame transfer device 100.

暗号鍵生成部112は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合、すなわち、フレーム転送装置100が図1に示すRPLオーナノード101に該当する場合に暗号鍵を生成する。   The encryption key generation unit 112 generates an encryption key when the determination unit 111 determines that the frame transfer device 100 corresponds to the key distribution node, that is, when the frame transfer device 100 corresponds to the RPL owner node 101 illustrated in FIG. To do.

鍵受信通知生成部113は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に鍵受信通知を生成する。末端ノードは、図1の場合は、RPL隣接ノード102、RPL隣接ノード202−1、RPLオーナノード201−1、RPLオーナノード201−2、RPL隣接ノード202−2である。図2の場合は、末端ノードは、一般ノード103−2、RPL隣接ノード202−1、一般ノード203−3、一般ノード203−4である。   The key reception notification generation unit 113 generates a key reception notification when the determination unit 111 determines that the frame transfer apparatus 100 corresponds to a terminal node. In the case of FIG. 1, the terminal nodes are the RPL adjacent node 102, the RPL adjacent node 202-1, the RPL owner node 201-1, the RPL owner node 201-2, and the RPL adjacent node 202-2. In the case of FIG. 2, the end nodes are the general node 103-2, the RPL adjacent node 202-1, the general node 203-3, and the general node 203-4.

鍵有効通知生成部114は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合、すなわち、フレーム転送装置100が図1に示すRPLオーナノード101に該当する場合に鍵有効通知を生成する。   The key validity notification generation unit 114 receives the key validity notification when the determination unit 111 determines that the frame transfer device 100 corresponds to the key distribution node, that is, when the frame transfer device 100 corresponds to the RPL owner node 101 illustrated in FIG. Is generated.

通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して暗号鍵を隣接するノードに送信する。
また、通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵受信通知を隣接するノードから受信する。
また、通信制御部115は、フレーム転送装置100が鍵配信ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵有効通知を隣接するノードに送信する。When the determination unit 111 determines that the frame transfer apparatus 100 corresponds to the key distribution node, the communication control unit 115 is connected via the switch 140 and any one of the communication interfaces 150-1 to 150-6. The encryption key is transmitted to the adjacent node.
In addition, when the determination unit 111 determines that the frame transfer apparatus 100 corresponds to the key distribution node, the communication control unit 115 sets any one of the communication interfaces among the switch 140 and the communication interfaces 150-1 to 150-6. The key reception notification is received from the adjacent node through the network.
In addition, when the determination unit 111 determines that the frame transfer apparatus 100 corresponds to the key distribution node, the communication control unit 115 sets any one of the communication interfaces among the switch 140 and the communication interfaces 150-1 to 150-6. The key validity notification is transmitted to the adjacent node via

更に、通信制御部115は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して、暗号鍵を隣接するノードから受信し、鍵受信通知を隣接するノードに送信する。
また、通信制御部115は、フレーム転送装置100が末端ノードに該当すると判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して鍵有効通知を隣接するノードから受信する。Furthermore, when the determination unit 111 determines that the frame transfer apparatus 100 corresponds to the end node, the communication control unit 115 passes through the switch 140 and any one of the communication interfaces 150-1 to 150-6. The encryption key is received from the adjacent node, and a key reception notification is transmitted to the adjacent node.
Further, the communication control unit 115, via the switch 140 and any one of the communication interfaces 150-1 to 150-6, when the determination unit 111 determines that the frame transfer device 100 corresponds to the end node. The key validity notification is received from the adjacent node.

また、通信制御部115は、フレーム転送装置100が鍵配信ノード及び末端ノードのいずれにも該当しないと判定部111に判定された場合に、スイッチ140及び通信インタフェース150−1〜150〜6のうちのいずれかの通信インタフェースを介して、暗号鍵、鍵有効通知及び鍵受信通知を隣接するノードから受信し、暗号鍵、鍵有効通知及び鍵受信通知を隣接するノードに送信する。   Further, the communication control unit 115, when the determination unit 111 determines that the frame transfer device 100 does not correspond to either the key distribution node or the end node, the switch 140 and the communication interfaces 150-1 to 150-6. The encryption key, the key validity notification, and the key reception notification are received from the adjacent node via any one of the communication interfaces, and the encryption key, the key validity notification, and the key reception notification are transmitted to the adjacent node.

暗号化部116は、暗号鍵を用いてデータを暗号化する。   The encryption unit 116 encrypts data using the encryption key.

タイマー117は、時間を計測するために用いられる。   The timer 117 is used for measuring time.

障害検知部118は、いずれかのリンクにおける障害の発生を検知する。   The failure detection unit 118 detects the occurrence of a failure in any link.

復号部119は、暗号化された暗号鍵の復号を行う。また、復号部119は、暗号鍵を用いて暗号化された暗号化データの復号を行う。   The decryption unit 119 decrypts the encrypted encryption key. In addition, the decryption unit 119 decrypts the encrypted data encrypted using the encryption key.

記憶装置120内の暗号鍵記憶部121は、暗号鍵を記憶する。   The encryption key storage unit 121 in the storage device 120 stores the encryption key.

ノード属性記憶部122は、フレーム転送装置100のノード属性を記憶する。前述したように、ノード属性記憶部122は、フレーム転送装置100が図1に示すいずれのノードに該当するかを示す情報を記憶する。   The node attribute storage unit 122 stores the node attribute of the frame transfer apparatus 100. As described above, the node attribute storage unit 122 stores information indicating which node the frame transfer apparatus 100 corresponds to in FIG.

リング属性記憶部123は、リング属性を記憶する。つまり、リング属性記憶部123は、フレーム転送装置100が属するリングネットワークがメインリングであるのかローカルリングであるのかを示す情報を記憶する。   The ring attribute storage unit 123 stores ring attributes. That is, the ring attribute storage unit 123 stores information indicating whether the ring network to which the frame transfer apparatus 100 belongs is a main ring or a local ring.

障害状態記憶部124は、障害状態を記憶する。障害状態記憶部124は、例えば、リングネットワークで発生した障害の種類、障害を検知したフレーム転送装置100及び障害が発生した位置を障害状態として記憶する。   The failure state storage unit 124 stores a failure state. The failure state storage unit 124 stores, for example, the type of failure that occurred in the ring network, the frame transfer device 100 that detected the failure, and the location where the failure occurred as a failure state.

暗号鍵管理テーブル記憶部125は、暗号鍵管理テーブルを記憶する。
暗号鍵管理テーブルは、フレーム転送装置100が暗号鍵格納フレームを受信した際のフレーム転送装置100の動作が示されるテーブルである。暗号鍵管理テーブルの詳細は後述する。The encryption key management table storage unit 125 stores an encryption key management table.
The encryption key management table is a table indicating the operation of the frame transfer apparatus 100 when the frame transfer apparatus 100 receives an encryption key storage frame. Details of the encryption key management table will be described later.

鍵受信通知管理テーブル記憶部126は、鍵受信通知管理テーブルを記憶する。
鍵受信通知管理テーブルは、フレーム転送装置100が鍵受信通知を受信した際のフレーム転送装置100の動作が示されるテーブルである。鍵受信通知管理テーブルの詳細は後述する。The key reception notification management table storage unit 126 stores a key reception notification management table.
The key reception notification management table is a table indicating the operation of the frame transfer device 100 when the frame transfer device 100 receives a key reception notification. Details of the key reception notification management table will be described later.

ポート情報記憶部127は、ポート情報を記憶する。ポート情報には、フレーム転送装置100に設けられている各ポートの用途が示される。   The port information storage unit 127 stores port information. The port information indicates the usage of each port provided in the frame transfer apparatus 100.

図1に示す各ノードは、いずれも図4に示すフレーム転送装置100により実現される。しかし、RPLオーナノード101とRPLオーナノード101以外のノードでは、構成要素の役割が異なる。
RPLオーナノード101を実現するフレーム転送装置100では、図5に示すように、暗号鍵生成部112、鍵有効通知生成部114及び通信制御部115が、第1の制御部として機能する。
一方、RPLオーナノード101以外のノードを実現するフレーム転送装置100では、図6に示すように、鍵受信通知生成部113及び通信制御部115が第2の制御部として機能する。Each node shown in FIG. 1 is realized by the frame transfer apparatus 100 shown in FIG. However, the roles of the constituent elements differ between the RPL owner node 101 and nodes other than the RPL owner node 101.
In the frame transfer apparatus 100 that implements the RPL owner node 101, as shown in FIG. 5, the encryption key generation unit 112, the key validity notification generation unit 114, and the communication control unit 115 function as a first control unit.
On the other hand, in the frame transfer apparatus 100 that realizes a node other than the RPL owner node 101, as shown in FIG. 6, the key reception notification generation unit 113 and the communication control unit 115 function as a second control unit.

通信インタフェース150−1〜150〜6は、それぞれ、外部からイーサネットフレーム(以下、単にフレームともいう)を受信する。通信インタフェース150−1〜150〜6のいずれかが受信したフレームが通常のイーサネットフレームである場合はスイッチ140がフレームの先頭の宛先MAC(Media Access Control)アドレスと送信元MACアドレスを読み出す。そして、スイッチ140が宛先MACアドレス及び送信元MACアドレスに対応する通信インタフェースを通信インタフェース150−1〜150−6の中から選択し、選択した通信インタフェースからフレームが送信される。   Each of the communication interfaces 150-1 to 150-6 receives an Ethernet frame (hereinafter also simply referred to as a frame) from the outside. When the frame received by any one of the communication interfaces 150-1 to 150-6 is a normal Ethernet frame, the switch 140 reads the head destination MAC (Media Access Control) address and the source MAC address of the frame. Then, the switch 140 selects a communication interface corresponding to the destination MAC address and the source MAC address from the communication interfaces 150-1 to 150-6, and the frame is transmitted from the selected communication interface.

受信されたフレームがCCM(Continuity Check Messages)である場合は、スイッチ140は障害検知部118にCCMを受信したことを通知する。これにより、CCMを受信したポートのリンクが正常であることが確認できる。また、一定時間CCMが受信できなかった場合には、障害検知部118は障害検知通知フレームを生成し、障害が検知されたERP通信ポートではないポートから障害検知通知フレームを送信する。障害検知通知フレームには、障害状態が記述される。障害状態には、例えば、検知された障害の種類、障害を検知したフレーム転送装置100及び障害が検知された位置が含まれる。   When the received frame is CCM (Continuity Check Messages), the switch 140 notifies the failure detection unit 118 that the CCM has been received. Thereby, it can be confirmed that the link of the port which received the CCM is normal. If the CCM cannot be received for a certain time, the failure detection unit 118 generates a failure detection notification frame and transmits the failure detection notification frame from a port other than the ERP communication port where the failure is detected. A failure state is described in the failure detection notification frame. The failure state includes, for example, the type of the detected failure, the frame transfer device 100 that detected the failure, and the position where the failure was detected.

受信されたフレームが障害状態通知フレームである場合は、障害検知部118が、障害状態通知フレームに記述される障害状態を記憶装置120内の障害状態記憶部124にライトする。そして、障害検知部118は、障害状態通知フレームを隣接のERPノードに転送する。   When the received frame is a failure state notification frame, the failure detection unit 118 writes the failure state described in the failure state notification frame to the failure state storage unit 124 in the storage device 120. Then, the failure detection unit 118 transfers the failure state notification frame to the adjacent ERP node.

受信されたフレームが暗号鍵格納フレームである場合は、復号部119が暗号鍵格納フレーム内の暗号化された暗号鍵の復号を行う。そして、復号部119は、復号により得られた暗号鍵を暗号鍵記憶部121に格納する。また、通信制御部115が暗号鍵管理テーブル記憶部125内の暗号鍵管理テーブルに従い、暗号鍵格納フレームもしくは鍵受信通知を通信インタフェース150−1〜150−6のいずれかから送信する。   If the received frame is an encryption key storage frame, the decryption unit 119 decrypts the encrypted encryption key in the encryption key storage frame. Then, the decryption unit 119 stores the encryption key obtained by the decryption in the encryption key storage unit 121. In addition, the communication control unit 115 transmits an encryption key storage frame or a key reception notification from any of the communication interfaces 150-1 to 150-6 according to the encryption key management table in the encryption key management table storage unit 125.

受信されたフレームが鍵受信通知である場合は、通信制御部115が鍵受信通知管理テーブル記憶部126内の鍵受信通知管理テーブルに従い、暗号鍵格納フレームもしくは鍵受信通知もしくは鍵有効通知を通信インタフェース150−1〜150−6のいずれかから送信する。   When the received frame is a key reception notification, the communication control unit 115 sends an encryption key storage frame, a key reception notification, or a key validity notification according to the key reception notification management table in the key reception notification management table storage unit 126. It transmits from any of 150-1 to 150-6.

受信されたフレームが鍵有効通知である場合には、通信制御部115が、暗号鍵管理テーブルに従い、暗号鍵記憶部121に格納されている暗号鍵を有効化する。また、通信制御部115は、鍵有効通知を通信インタフェース150−1〜150−6のいずれかから送信する。ただし、通信制御部115は、鍵有効通知を転送した後は、鍵有効通知に対する受信確認を待つ必要はない(鍵有効通知に対する受信確認は送信されない)。   When the received frame is a key validity notification, the communication control unit 115 validates the encryption key stored in the encryption key storage unit 121 according to the encryption key management table. In addition, the communication control unit 115 transmits a key validity notification from any of the communication interfaces 150-1 to 150-6. However, after transferring the key validity notification, the communication control unit 115 does not need to wait for reception confirmation for the key validity notification (the reception confirmation for the key validity notification is not transmitted).

フレーム転送装置100のユーザはスイッチ設定装置130を用いてERPに用いるERPポートを通信インタフェース150−1〜150−6の中から2つ設定する。そして、フレーム転送装置100のユーザは、設定結果をポート情報として記憶装置120のポート情報記憶部127にライトする。   The user of the frame transfer device 100 uses the switch setting device 130 to set two ERP ports to be used for ERP from among the communication interfaces 150-1 to 150-6. Then, the user of the frame transfer device 100 writes the setting result as port information in the port information storage unit 127 of the storage device 120.

また、フレーム転送装置100のユーザはフレーム転送装置100が属するリングネットワークがメインリングであるかローカルリングであるかをスイッチ設定装置130を用いて設定する。そして、フレーム転送装置100のユーザは、設定結果をリング属性として記憶装置120のリング属性記憶部123にライトする。   Further, the user of the frame transfer apparatus 100 uses the switch setting apparatus 130 to set whether the ring network to which the frame transfer apparatus 100 belongs is a main ring or a local ring. Then, the user of the frame transfer device 100 writes the setting result as a ring attribute in the ring attribute storage unit 123 of the storage device 120.

また、フレーム転送装置100のユーザはフレーム転送装置100のノード属性を設定する。つまり、フレーム転送装置100のユーザは、フレーム転送装置100がRPLオーナノードか、RPL隣接ノードか、網間接続ノードか、一般ノードかを、スイッチ設定装置130を用いて設定する。そして、フレーム転送装置100のユーザは、設定結果をノード属性として記憶装置120のノード属性記憶部122にライトする。   Further, the user of the frame transfer device 100 sets the node attribute of the frame transfer device 100. That is, the user of the frame transfer apparatus 100 sets whether the frame transfer apparatus 100 is an RPL owner node, an RPL adjacent node, an inter-network connection node, or a general node using the switch setting device 130. Then, the user of the frame transfer device 100 writes the setting result as a node attribute in the node attribute storage unit 122 of the storage device 120.

また、フレーム転送装置100のユーザはフレーム転送装置100のノード属性を網間接続ノードに設定した場合は、ローカルリングとメインリングを接続するのにどのポートを用いるかを設定する。そして、フレーム転送装置100のユーザは、設定結果をポート情報として記憶装置120のポート情報記憶部127にライトする。   When the user of the frame transfer apparatus 100 sets the node attribute of the frame transfer apparatus 100 to the network connection node, the user sets which port is used to connect the local ring and the main ring. Then, the user of the frame transfer device 100 writes the setting result as port information in the port information storage unit 127 of the storage device 120.

フレーム転送装置100がメインリングのRPLオーナノードに設定されている場合は、暗号鍵生成部112が、タイマー117を用いて一定周期ごとに暗号鍵を生成する。そして、暗号化部116が、現在、暗号鍵記憶部121にて保持している共有鍵を用いて暗号鍵を暗号化する。また、暗号化部116は、暗号化された暗号鍵を含む暗号鍵格納フレームを生成する。そして、通信制御部115が暗号鍵管理テーブルを参照して通信インタフェース150−1〜150−6のいずれかから暗号鍵格納フレームを送信する。   When the frame transfer apparatus 100 is set as an RPL owner node of the main ring, the encryption key generation unit 112 generates an encryption key at regular intervals using the timer 117. Then, the encryption unit 116 encrypts the encryption key using the shared key currently held in the encryption key storage unit 121. The encryption unit 116 also generates an encryption key storage frame that includes the encrypted encryption key. Then, the communication control unit 115 refers to the encryption key management table and transmits the encryption key storage frame from any of the communication interfaces 150-1 to 150-6.

また、フレーム転送装置100がメインリングのRPLオーナノードに設定されている場合は、通信制御部115が、タイマー117を用いて鍵受信通知の受信状況を監視する。規定時間が経過しても全ての鍵受信通知が受信できない場合に、通信制御部115は、暗号鍵格納フレームの再送を行う。   When the frame transfer apparatus 100 is set as the main ring RPL owner node, the communication control unit 115 monitors the reception status of the key reception notification using the timer 117. If all key reception notifications cannot be received even after the specified time has elapsed, the communication control unit 115 retransmits the encryption key storage frame.

フレーム転送装置100が網間接続ノードに設定されている場合は、通信制御部115が、タイマー117を用いて鍵受信通知の受信状況を監視する。規定時間が経過しても全ての鍵受信通知が受信できない場合に、通信制御部115は、暗号鍵格納フレームの再送を行う。   When the frame transfer apparatus 100 is set as an inter-network connection node, the communication control unit 115 monitors the reception status of the key reception notification using the timer 117. If all key reception notifications cannot be received even after the specified time has elapsed, the communication control unit 115 retransmits the encryption key storage frame.

図7及び図8は、暗号鍵管理テーブル記憶部125で記憶されている暗号鍵管理テーブルの例を示す。
暗号鍵管理テーブルには、リング属性、ノード属性、リング状態、障害検知の組合せごとに、暗号鍵格納フレームを受信した際のフレーム転送装置100の動作が記述されている。
リング属性には、フレーム転送装置100が属するリングの種類が示される。つまり、リング属性には、メインリング又はローカルリングが示される。
ノード属性には、フレーム転送装置100のノード属性が示される。
リング状態には、idle状態及びprotection状態のいずれかが示される。
障害検知には、フレーム転送装置100が障害を検知したか否かが示される。フレーム転送装置100自身が障害を検知した場合は「有」が該当し、他のフレーム転送装置100が障害を検知した場合は「無」が該当する。
通信制御部115は、リング属性記憶部123の値によりリング属性を特定し、また、判定部111の判定結果によりノード属性を特定し、障害状態記憶部124の値によりリング状態及び障害検知を特定する。そして、通信制御部115は、特定したリング属性、ノード属性、リング状態及び障害検知の組合せに対応するレコードに記述されている動作を行う。
フレーム転送装置100がメインリングに属するRPL隣接ノードであり、現在のリング状態がprotection状態であり、他のフレーム転送装置100が障害を検知している場合は、リング属性:メイン、ノード属性:RPL隣接ノード、リング状態:protection、障害検知:無に該当する。
このため、通信制御部115は、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームを隣接ノードに転送」という動作を行う。具体的には、通信制御部115は、復号部119に暗号鍵の復号を指示し、暗号鍵格納フレームをスイッチ140及び通信インタフェース150−1〜150−6のうちの対応する通信インタフェースを介して隣接するノードに転送する。7 and 8 show examples of encryption key management tables stored in the encryption key management table storage unit 125. FIG.
The encryption key management table describes the operation of the frame transfer apparatus 100 when receiving an encryption key storage frame for each combination of ring attribute, node attribute, ring state, and failure detection.
The ring attribute indicates the type of ring to which the frame transfer apparatus 100 belongs. That is, the ring attribute indicates a main ring or a local ring.
The node attribute indicates the node attribute of the frame transfer apparatus 100.
In the ring state, either an idle state or a protection state is indicated.
The failure detection indicates whether or not the frame transfer apparatus 100 has detected a failure. When the frame transfer device 100 itself detects a failure, “Yes” is applicable, and when the other frame transfer device 100 detects a failure, “No” is applicable.
The communication control unit 115 identifies the ring attribute based on the value of the ring attribute storage unit 123, identifies the node attribute based on the determination result of the determination unit 111, and identifies the ring state and failure detection based on the value of the failure state storage unit 124 To do. Then, the communication control unit 115 performs the operation described in the record corresponding to the combination of the specified ring attribute, node attribute, ring state, and failure detection.
When the frame transfer apparatus 100 is an RPL adjacent node belonging to the main ring, the current ring state is the protection state, and another frame transfer apparatus 100 detects a failure, the ring attribute: main, the node attribute: RPL Neighboring node, ring status: protection, failure detection: none.
For this reason, the communication control unit 115 performs an operation of “decrypt the encryption key storage frame, acquire the encryption key, and transfer the encryption key storage frame to the adjacent node”. Specifically, the communication control unit 115 instructs the decryption unit 119 to decrypt the encryption key, and transmits the encryption key storage frame via the switch 140 and the corresponding communication interface among the communication interfaces 150-1 to 150-6. Transfer to adjacent node.

図9及び図10は、鍵受信通知管理テーブル記憶部126で記憶されている鍵受信通知管理テーブルの例を示す。
鍵受信通知管理テーブルには、リング属性、ノード属性、リング状態、障害検知の組合せごとに、鍵受信通知を受信した際のフレーム転送装置100の動作が記述されている。
リング属性、ノード属性、リング状態、障害検知は、それぞれ、暗号鍵管理テーブルに示されているものと同じであるため、これらの説明は省略する。
通信制御部115は、リング属性記憶部123の値によりリング属性を特定し、また、判定部111の判定結果によりノード属性を特定し、障害状態記憶部124の値によりリング状態及び障害検知を特定する。そして、通信制御部115は、特定したリング属性、ノード属性、リング状態及び障害検知の組合せに対応するレコードに記述されている動作を行う。
フレーム転送装置100がメインリングに属するRPL隣接ノードであり、現在のリング状態がprotection状態であり、他のフレーム転送装置100が障害を検知している場合は、リング属性:メイン、ノード属性:RPL隣接ノード、リング状態:protection、障害検知:無に該当する。
このため、通信制御部115は、「鍵受信通知を隣接するノードに転送」という動作を行う。具体的には、通信制御部115は、鍵受信通知をスイッチ140及び通信インタフェース150−1〜150−6のうちの対応する通信インタフェースを介して隣接するノードに転送する。9 and 10 show examples of the key reception notification management table stored in the key reception notification management table storage unit 126. FIG.
The key reception notification management table describes the operation of the frame transfer apparatus 100 when a key reception notification is received for each combination of ring attribute, node attribute, ring state, and failure detection.
Since the ring attribute, node attribute, ring state, and failure detection are the same as those shown in the encryption key management table, description thereof will be omitted.
The communication control unit 115 identifies the ring attribute based on the value of the ring attribute storage unit 123, identifies the node attribute based on the determination result of the determination unit 111, and identifies the ring state and failure detection based on the value of the failure state storage unit 124 To do. Then, the communication control unit 115 performs the operation described in the record corresponding to the combination of the specified ring attribute, node attribute, ring state, and failure detection.
When the frame transfer apparatus 100 is an RPL adjacent node belonging to the main ring, the current ring state is the protection state, and another frame transfer apparatus 100 detects a failure, the ring attribute: main, the node attribute: RPL Neighboring node, ring status: protection, failure detection: none.
For this reason, the communication control unit 115 performs an operation of “forwarding key reception notification to an adjacent node”. Specifically, the communication control unit 115 transfers the key reception notification to the adjacent node via the corresponding communication interface among the switch 140 and the communication interfaces 150-1 to 150-6.

実施の形態5.
本実施の形態では、idle状態において実施の形態1と異なるデータフローで暗号鍵格納フレーム及び鍵受信通知が送受信され、protection状態において実施の形態2と異なるデータフローで暗号鍵格納フレーム及び鍵受信通知が送受信される例を説明する。
また、本実施の形態では、実施の形態1と異なるデータフロー及び実施の形態2と異なるデータフローを実現するために、暗号鍵管理テーブル及び鍵受信通知管理テーブルが実施の形態4で示したものとは異なっている。
本実施の形態では、主に実施の形態1〜4との差異を説明する。
なお、以下で説明していない事項は、実施の形態1〜4と同様である。Embodiment 5. FIG.
In this embodiment, the encryption key storage frame and key reception notification are transmitted and received in a data flow different from that in the first embodiment in the idle state, and the encryption key storage frame and key reception notification in a data flow different from those in the second embodiment in the protection state. An example in which is transmitted and received will be described.
In the present embodiment, the encryption key management table and the key reception notification management table shown in the fourth embodiment are used to realize a data flow different from the first embodiment and a data flow different from the second embodiment. Is different.
In the present embodiment, differences from the first to fourth embodiments will be mainly described.
In addition, the matter which is not demonstrated below is the same as that of Embodiment 1-4.

図11は、本実施の形態に係る暗号鍵管理テーブルの例を示す。
図11は、図7に示す暗号鍵管理テーブル(メインリング部分)に相当する。なお、ローカルリング部分の暗号鍵管理テーブルは図8に示したものと同じであるので、図示を省略する。
図7と比較すると、図11では、「網間隣接ノード」の「idle」の記述が異なっている。具体的には、図7では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。一方で、図11では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノード及びメインリングの隣接するノードの双方に対して転送」と記述されている。
また、図11では、「網間隣接ノード」の「protection」の「無」の記述も異なっている。具体的には、図7では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。一方、図11では、「暗号鍵格納フレームを復号、暗号鍵を取得、暗号鍵格納フレームをローカルリングの網間接続ノードに対して転送」と記述されている。FIG. 11 shows an example of the encryption key management table according to the present embodiment.
FIG. 11 corresponds to the encryption key management table (main ring portion) shown in FIG. The local key encryption key management table is the same as that shown in FIG.
Compared with FIG. 7, in FIG. 11, the description of “idle” of “inter-network adjacent node” is different. Specifically, in FIG. 7, “decrypt the encryption key storage frame, acquire the encryption key, and transfer the encryption key storage frame to the network connection node of the local ring” is described. On the other hand, in FIG. 11, “decrypt encryption key storage frame, acquire encryption key, transfer encryption key storage frame to both network connection node of local ring and adjacent node of main ring” is described. Yes.
In FIG. 11, the description of “none” of “protection” of “internet adjacent node” is also different. Specifically, in FIG. 7, “decrypt the encryption key storage frame, acquire the encryption key, and transfer the encryption key storage frame to the network connection node of the local ring” is described. On the other hand, FIG. 11 describes “decrypt encryption key storage frame, acquire encryption key, and transfer encryption key storage frame to network connection node of local ring”.

図12は、本実施の形態に係る鍵受信通知管理テーブルの例を示す。
図12は、図9に示す鍵受信通知管理テーブル(メインリング部分)に相当する。なお、ローカルリング部分の鍵受信通知管理テーブルは図10に示したものと同じであるので、図示を省略する。
図9と比較すると、図12では、「網間隣接ノード」の「idle」の記述が異なっている。具体的には、図9では、「ローカルリングの網間接続ノードから受信した場合:暗号鍵格納フレームを受信したポートではない、もう一方のポートに対して暗号鍵格納フレームを転送、メインリングの隣接するノードから受信した場合:鍵受信通知を隣接するノードに転送」と記述されている。一方で、図12では、「ローカルリングの網間接続ノード及びメインリングの隣接するノードの双方から受信後、鍵受信通知を隣接するノードに転送」と記述されている。
また、図12では、「網間隣接ノード」の「protection」の「無」の記述も異なっている。具体的には、図9では、「ローカルリングの網間接続ノードから受信した場合:暗号鍵格納フレームを受信したポートではない、もう一方のポートに対して暗号鍵格納フレームを転送、メインリングの隣接するノードから受信した場合:鍵受信通知を隣接するノードに転送」と記述されている。一方、図12では、「ローカルリングの網間接続ノード及びメインリングの隣接するノードの双方から受信後、鍵受信通知を隣接するノードに転送」と記述されている。FIG. 12 shows an example of a key reception notification management table according to the present embodiment.
FIG. 12 corresponds to the key reception notification management table (main ring portion) shown in FIG. Note that the key reception notification management table for the local ring portion is the same as that shown in FIG.
Compared to FIG. 9, in FIG. 12, the description of “idle” of “inter-network adjacent node” is different. Specifically, in FIG. 9, “when received from a network connection node of the local ring: the encryption key storage frame is transferred to the other port that is not the port that received the encryption key storage frame, the main ring “When received from an adjacent node: Forward key reception notification to adjacent node”. On the other hand, FIG. 12 describes that “after receiving from both the network connection node of the local ring and the adjacent node of the main ring, the key reception notification is transferred to the adjacent node”.
In FIG. 12, the description of “none” of “protection” of “internet adjacent node” is also different. Specifically, in FIG. 9, “when received from a network connection node of the local ring: the encryption key storage frame is transferred to the other port that is not the port that received the encryption key storage frame, the main ring “When received from an adjacent node: Forward key reception notification to adjacent node”. On the other hand, FIG. 12 describes that “after receiving from both the network connection node of the local ring and the adjacent node of the main ring, the key reception notification is transferred to the adjacent node”.

本実施の形態では、網間接続ノード104−1及び網間接続ノード104−2は、図11の暗号鍵管理テーブルの記述及び図12の鍵受信通知管理テーブルの記述に従って動作する。
なお、網間接続ノード104−1及び網間接続ノード104−2以外のノードの動作は実施の形態1〜4で示したものと同じであるため、説明を省略する。In the present embodiment, the network connection node 104-1 and the network connection node 104-2 operate according to the description of the encryption key management table of FIG. 11 and the description of the key reception notification management table of FIG.
Since the operations of the nodes other than the network connection node 104-1 and the network connection node 104-2 are the same as those described in the first to fourth embodiments, description thereof will be omitted.

idle状態であれば、網間接続ノード104−1は、図11に従い、一般ノード103から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−1は、暗号鍵格納フレームをローカルリングの網間接続ノード204−1及びメインリングの隣接するノードである網間接続ノード104−2の双方に対して転送する。
また、網間接続ノード104−1は、図12に従い、網間接続ノード204−1及び網間接続ノード104−2の双方から鍵受信通知を受信した際に、鍵受信通知を一般ノード103に転送する。
また、idle状態であれば、網間接続ノード104−2は、図11に従い、網間接続ノード104−1から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−2は、暗号鍵格納フレームをローカルリングの網間接続ノード204−2及びメインリングの隣接するノードである一般ノード103−2の双方に対して転送する。
また、網間接続ノード104−2は、図12に従い、網間接続ノード204−2及び一般ノード103−2の双方から鍵受信通知を受信した際に、鍵受信通知を網間接続ノード104−1に転送する。In the idle state, the network connection node 104-1 acquires the encryption key by decrypting the encryption key storage frame when receiving the encryption key storage frame from the general node 103 according to FIG. Then, the network connection node 104-1 transfers the encryption key storage frame to both the network connection node 204-1 of the local ring and the network connection node 104-2 that is an adjacent node of the main ring.
Further, the network connection node 104-1 sends the key reception notification to the general node 103 when receiving the key reception notification from both the network connection node 204-1 and the network connection node 104-2 according to FIG. Forward.
In the idle state, the network connection node 104-2 decrypts the encryption key storage frame when receiving the encryption key storage frame from the network connection node 104-1, according to FIG. To get. Then, the network connection node 104-2 transfers the encryption key storage frame to both the network connection node 204-2 of the local ring and the general node 103-2 that is an adjacent node of the main ring.
When the network connection node 104-2 receives the key reception notification from both the network connection node 204-2 and the general node 103-2 according to FIG. 12, the network connection node 104-2 sends the key reception notification to the network connection node 104-. Forward to 1.

また、protection状態であって網間接続ノード104−1以外のノードが障害を検知した場合は、図11に従い、網間接続ノード104−1は、一般ノード103から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−1は、暗号鍵格納フレームをローカルリングの網間接続ノード204−1に対して転送する。
また、網間接続ノード104−1は、図12に従い、網間接続ノード204−1及び網間接続ノード104−2の双方から鍵受信通知を受信した場合に、鍵受信通知を一般ノード103に転送する。
また、protection状態であって網間接続ノード104−2以外のノードが障害を検知した場合は、図11に従い、網間接続ノード104−2は、網間接続ノード104−1から暗号鍵格納フレームを受信した際に、暗号鍵格納フレームを復号して、暗号鍵を取得する。そして、網間接続ノード104−2は、暗号鍵格納フレームをローカルリングの網間接続ノード204−2に対して転送する。
また、網間接続ノード104−2は、図12に従い、網間接続ノード204−2及び一般ノード103−2の双方から鍵受信通知を受信した際に、鍵受信通知を網間接続ノード104−1に転送する。If the node other than the network connection node 104-1 detects a failure in the protection state, the network connection node 104-1 receives the encryption key storage frame from the general node 103 according to FIG. Then, the encryption key storage frame is decrypted to obtain the encryption key. Then, the network connection node 104-1 transfers the encryption key storage frame to the network connection node 204-1 of the local ring.
Further, when the network connection node 104-1 receives the key reception notification from both the network connection node 204-1 and the network connection node 104-2 according to FIG. Forward.
When the node other than the network connection node 104-2 detects a failure in the protection state, the network connection node 104-2 transmits the encryption key storage frame from the network connection node 104-1 according to FIG. Is received, the encryption key storage frame is decrypted to obtain the encryption key. Then, the network connection node 104-2 transfers the encryption key storage frame to the network connection node 204-2 of the local ring.
When the network connection node 104-2 receives the key reception notification from both the network connection node 204-2 and the general node 103-2 according to FIG. 12, the network connection node 104-2 sends the key reception notification to the network connection node 104-. Forward to 1.

本実施の形態によっても、鍵生成ノードに過度な負担を強いることなく、また、鍵の配信に用いられる通信路に混雑を生じさせずに、効率的に鍵を配信することができる。つまり、本実施の形態でも、鍵配信ノードを始点とし、ノード間で暗号鍵の送受信を繰り返すことで、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに全ノードに暗号鍵を配信することができる。同様に、本実施の形態によっても、鍵配信ノードに高い負荷を与えることなく、また、通信路に混雑を発生させずに、鍵受信通知を鍵配信ノードに到達させることができる。   Also according to the present embodiment, it is possible to efficiently distribute the key without imposing an excessive burden on the key generation node and without causing congestion on the communication path used for key distribution. In other words, in this embodiment as well, the key distribution node is used as a starting point, and the encryption key is repeatedly transmitted and received between the nodes, so that a high load is not applied to the key distribution node and congestion is not generated in the communication path. The encryption key can be distributed to the node. Similarly, according to the present embodiment, the key reception notification can be made to reach the key distribution node without giving a high load to the key distribution node and without causing congestion on the communication path.

以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。As mentioned above, although embodiment of this invention was described, you may implement in combination of 2 or more among these embodiment.
Alternatively, one of these embodiments may be partially implemented.
Alternatively, two or more of these embodiments may be partially combined.
In addition, this invention is not limited to these embodiment, A various change is possible as needed.

また、以上では、イーサネット(登録商標)方式のネットワークを例にして説明を行ったが、他のプロトコルに準拠するネットワークにも実施の形態1〜5で説明した構成及び手順を適用することが可能である。
また、以上では、共通鍵方式の暗号鍵を複数のノードに配信する例を説明したが、公開鍵方式の暗号鍵及び復号鍵を複数のノードに配信する場合にも実施の形態1〜5で説明した構成及び手順を適用することが可能である。In the above description, the Ethernet (registered trademark) network is described as an example. However, the configurations and procedures described in the first to fifth embodiments can be applied to a network conforming to another protocol. It is.
In the above description, the common key encryption key is distributed to a plurality of nodes. However, the first to fifth embodiments also apply to the case where a public key encryption key and a decryption key are distributed to a plurality of nodes. It is possible to apply the described configurations and procedures.

最後に、フレーム転送装置100のハードウェア構成の補足説明を行う。
図4に示すプロセッサ110は、プロセッシングを行うIC(Integrated Circuit)である。
プロセッサ110は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)等である。
図4に示す記憶装置120は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等である。
図4に示す通信インタフェース150−1〜150−6は、それぞれ、データの通信処理を実行する電子回路である。
通信インタフェース150−1〜150−6は、それぞれ、例えば、通信チップ又はNIC(Network Interface Card)である。Finally, a supplementary description of the hardware configuration of the frame transfer apparatus 100 will be given.
The processor 110 illustrated in FIG. 4 is an IC (Integrated Circuit) that performs processing.
The processor 110 is a CPU (Central Processing Unit), a DSP (Digital Signal Processor), or the like.
The storage device 120 illustrated in FIG. 4 is a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory, an HDD (Hard Disk Drive), or the like.
Each of the communication interfaces 150-1 to 150-6 illustrated in FIG. 4 is an electronic circuit that executes data communication processing.
Each of the communication interfaces 150-1 to 150-6 is, for example, a communication chip or a NIC (Network Interface Card).

また、記憶装置120には、OS(Operating System)も記憶されている。
そして、OSの少なくとも一部がプロセッサ110により実行される。
プロセッサ110はOSの少なくとも一部を実行しながら、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムを実行する。
プロセッサ110がOSを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置120、プロセッサ110内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD等の可搬記憶媒体に記憶されてもよい。The storage device 120 also stores an OS (Operating System).
At least a part of the OS is executed by the processor 110.
While executing at least part of the OS, the processor 110 performs a determination unit 111, an encryption key generation unit 112, a key reception notification generation unit 113, a key validity notification generation unit 114, a communication control unit 115, an encryption unit 116, a timer 117, A program for realizing the functions of the failure detection unit 118 and the decoding unit 119 is executed.
When the processor 110 executes the OS, task management, memory management, file management, communication control, and the like are performed.
Also, the processing of the determination unit 111, the encryption key generation unit 112, the key reception notification generation unit 113, the key validity notification generation unit 114, the communication control unit 115, the encryption unit 116, the timer 117, the failure detection unit 118, and the decryption unit 119. Information indicating the result, data, signal values, and / or variable values are stored in at least one of the storage device 120, a register in the processor 110, and a cache memory.
Further, the functions of the determination unit 111, the encryption key generation unit 112, the key reception notification generation unit 113, the key validity notification generation unit 114, the communication control unit 115, the encryption unit 116, the timer 117, the failure detection unit 118, and the decryption unit 119 are provided. The realized program may be stored in a portable storage medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a Blu-ray (registered trademark) disk, or a DVD.

また、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
また、フレーム転送装置100は、処理回路により実現されてもよい。処理回路は、例えば、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)である。
この場合は、判定部111、暗号鍵生成部112、鍵受信通知生成部113、鍵有効通知生成部114、通信制御部115、暗号化部116、タイマー117、障害検知部118及び復号部119は、それぞれ処理回路の一部として実現される。
なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。The determination unit 111, encryption key generation unit 112, key reception notification generation unit 113, key validity notification generation unit 114, communication control unit 115, encryption unit 116, timer 117, failure detection unit 118, and decryption unit 119 "May be read as" circuit "or" process "or" procedure "or" processing ".
Further, the frame transfer apparatus 100 may be realized by a processing circuit. The processing circuit is, for example, a logic IC (Integrated Circuit), a GA (Gate Array), an ASIC (Application Specific Integrated Circuit), or an FPGA (Field-Programmable Gate Array).
In this case, the determination unit 111, the encryption key generation unit 112, the key reception notification generation unit 113, the key validity notification generation unit 114, the communication control unit 115, the encryption unit 116, the timer 117, the failure detection unit 118, and the decryption unit 119 These are realized as part of the processing circuit.
In this specification, the superordinate concept of the processor, the memory, the combination of the processor and the memory, and the processing circuit is referred to as “processing circuitry”.
That is, the processor, the memory, the combination of the processor and the memory, and the processing circuit are specific examples of “processing circuitries”.

101 RPLオーナノード、102 RPL隣接ノード、103−1 一般ノード、103−2 一般ノード、104−1 網間接続ノード、104−2 網間接続ノード、201−1 RPLオーナノード、201−2 RPLオーナノード、202−1 RPL隣接ノード、202−2 RPL隣接ノード、203−1 一般ノード、203−2 一般ノード、203−3 一般ノード、203−4 一般ノード、203−5 一般ノード、203−6 一般ノード、204−1 網間接続ノード、204−2 網間接続ノード、100 フレーム転送装置、110 プロセッサ、111 判定部、112 暗号鍵生成部、113 鍵受信通知生成部、114 鍵有効通知生成部、115 通信制御部、116 暗号化部、117 タイマー、118 障害検知部、119 復号部、120 記憶装置、121 暗号鍵記憶部、122 ノード属性記憶部、123 リング属性記憶部、124 障害状態記憶部、125 暗号鍵管理テーブル記憶部、126 鍵受信通知管理テーブル記憶部、127 ポート情報記憶部、130 スイッチ設定装置、140 スイッチ、150−1 通信インタフェース、150−2 通信インタフェース、150−3 通信インタフェース、150−4 通信インタフェース、150−5 通信インタフェース、150−6 通信インタフェース。   101 RPL Owner Node, 102 RPL Adjacent Node, 103-1 General Node, 103-2 General Node, 104-1 Network Connection Node, 104-2 Network Connection Node, 201-1 RPL Owner Node, 201-2 RPL Owner Node, 202 -1 RPL adjacent node, 202-2 RPL adjacent node, 203-1 general node, 203-2 general node, 203-3 general node, 203-4 general node, 203-5 general node, 203-6 general node, 204 -1 network connection node, 204-2 network connection node, 100 frame transfer device, 110 processor, 111 determination unit, 112 encryption key generation unit, 113 key reception notification generation unit, 114 key validity notification generation unit, 115 communication control Part, 116 encryption part, 117 timer, 118 failure Detection unit, 119 Decryption unit, 120 Storage device, 121 Encryption key storage unit, 122 Node attribute storage unit, 123 Ring attribute storage unit, 124 Fault state storage unit, 125 Encryption key management table storage unit, 126 Key reception notification management table storage , 127 port information storage unit, 130 switch setting device, 140 switch, 150-1 communication interface, 150-2 communication interface, 150-3 communication interface, 150-4 communication interface, 150-5 communication interface, 150-6 communication interface.

Claims (12)

メインリングネットワークと前記メインリングネットワーク以外のリングネットワークである複数のローカルリングネットワークとが含まれ、n(n≧5)台の通信装置が前記メインリングネットワーク及び前記複数のローカルリングネットワークのいずれかに属し、前記n台の通信装置の各通信装置には1台以上の他の通信装置が接続され、前記n台の通信装置に、暗号化通信のための鍵を生成する鍵生成通信装置が含まれている通信システムであって、
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記鍵生成通信装置は、
前記メインリングネットワークに属し、
前記鍵を生成し、前記鍵生成通信装置に接続されている前記メインリングネットワークに属する通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
当該通信装置が前記複数の境界通信装置のうちのいずれかに該当するか否かを判定し、
当該通信装置が前記複数の境界通信装置のうちのいずれかに該当する場合に、
前記鍵を受信した際に、前記ローカルリングネットワークに属する、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、当該通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する通信システム。 A main ring network and a plurality of local ring networks that are ring networks other than the main ring network are included, and n (n ≧ 5) communication devices are connected to either the main ring network or the plurality of local ring networks. And one or more other communication devices are connected to each of the n communication devices, and the n communication devices include a key generation communication device that generates a key for encrypted communication. Communication system,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The key generation communication device includes:
Belongs to the main ring network,
The key is generated, a communication device that is in a communicable state among communication devices belonging to the main ring network connected to the key generation communication device is specified as a transmission destination of the key, and the specified transmission destination Sending the key to the communication device of
Each communication device other than the key generation communication device among the n communication devices is:
The communication device determines whether to correspond to any of said plurality of boundary communication device,
When the communication device corresponds to any one of the plurality of boundary communication devices,
When receiving the key, the belonging to the local ring network, and is connected to the communication device, the communication device encountered in capable communication among the communication apparatus other than the transmission source of the communication device of the key A communication device that does not correspond to another boundary communication device is designated as the transmission destination of the key, and the received key is transmitted to the communication device of the designated transmission destination,
Another boundary communication device connected to the communication device when the key reception notification is received from the communication device that is the key transmission destination when the key transmission notification is received from the communication device that is the key transmission destination. A communication apparatus corresponding to the above, wherein a communication apparatus other than the key transmission source communication apparatus is designated as the key transmission destination, and the key is transmitted to the designated transmission destination communication apparatus . 前記n台の通信装置の各通信装置は、
当該通信装置が前記鍵生成通信装置に該当するか否かを判定し、
当該通信装置が前記鍵生成通信装置に該当する場合に、
前記鍵を生成し、前記当該通信装置に接続されている通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
当該通信装置が前記鍵生成通信装置に該当しない場合に、
当該通信装置が前記境界通信装置に該当するか否かを判定し、
当該通信装置が前記境界通信装置に該当しない場合は、
前記鍵を受信した際に、当該通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵を受信した際に、前記鍵の送信先に指定できる通信装置が存在しなければ、前記鍵の受信を通知する鍵受信通知を前記鍵の送信元の通信装置に送信し、
前記鍵の送信先の通信装置から前記鍵受信通知を受信した際に、受信した前記鍵受信通知を前記鍵の送信元の通信装置に送信する請求項1に記載の通信システム。 Each communication device of the n communication devices is
Determining whether the communication device corresponds to the key generation communication device;
When the communication device corresponds to the key generation communication device,
The key is generated, a communication device that is in a communicable state among the communication devices connected to the communication device is designated as a destination of the key, and the key is assigned to the designated destination communication device. Send
When the communication device does not correspond to the key generation communication device,
Determine whether the communication device corresponds to the boundary communication device,
If the communication device does not fall under the boundary communication device ,
When the key is received, a communication device that is connected to the communication device and is in a communicable state among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. , Send the received key to the specified destination communication device,
When the key is received, if there is no communication device that can be designated as the key transmission destination, a key reception notification for notifying the reception of the key is transmitted to the communication device that is the key transmission source,
The communication system according to claim 1, wherein when the key reception notification is received from a communication device that is a transmission destination of the key, the received key reception notification is transmitted to a communication device that is a transmission source of the key. 前記鍵生成通信装置は、
前記鍵の送信の後、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項2に記載の通信システム。 The key generation communication device includes:
After the transmission of the key, a key validity notification instructing the activation of the key is transmitted to the communication device to which the key is transmitted,
Each communication device other than the key generation communication device among the n communication devices is:
The communication system according to claim 2, wherein when the key validity notification is received from the key transmission source communication apparatus, the received key validity notification is transmitted to the key transmission destination communication apparatus. 前記鍵生成通信装置は、
規定数の前記鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記n台の通信装置のうち前記鍵生成通信装置以外の各通信装置は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項2に記載の通信システム。 The key generation communication device includes:
When a prescribed number of key reception notifications are received from the key transmission destination communication device, a key validity notification instructing the key activation is transmitted to the key transmission destination communication device,
Each communication device other than the key generation communication device among the n communication devices is:
The communication system according to claim 2, wherein when the key validity notification is received from the key transmission source communication apparatus, the received key validity notification is transmitted to the key transmission destination communication apparatus. 前記鍵生成通信装置は、
前記鍵の送信から規定時間が経過しても規定数の前記鍵受信通知を受信していない場合に、前記鍵を再送する請求項2に記載の通信システム。 The key generation communication device includes:
The communication system according to claim 2, wherein the key is retransmitted when a prescribed number of the key reception notifications have not been received even after a prescribed time has elapsed since the transmission of the key. メインリングネットワークと前記メインリングネットワーク以外のリングネットワークである複数のローカルリングネットワークとが含まれる通信システムに含まれるn(n≧5)台の通信装置に含まれ、1台以上の他の通信装置が接続され、前記メインリングネットワーク及び前記複数のローカルリングネットワークのいずれかに属している通信装置であって、
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信装置は、
前記通信装置が、暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定する判定部と、
前記判定部により前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信する第1の制御部と、
前記判定部により前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する第2の制御部とを有する通信装置。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication device belonging to either the main ring network or the plurality of local ring networks,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The communication device
The communication device generates a key for encryption communication, the main ring whether corresponds to the key generation communication apparatus belonging to the network, and the communication device, any of the plurality of boundary communication device a determination section for determining whether or not true or,
When the determination unit determines that the communication device corresponds to the key generation communication device, the key is generated, and among other communication devices connected to the communication device belonging to the main ring network A first control unit that designates another communication device in a state capable of communication as a transmission destination of the key, and transmits the key to the communication device of the designated transmission destination;
When the determination unit determines that the communication device corresponds to one of the plurality of boundary communication devices, the key generated by another communication device corresponding to the key generation communication device is received, Other communication devices belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source, and other boundaries A communication device that does not correspond to a communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key. When receiving the key reception notification to be notified from the communication device that is the transmission destination of the key , other than the communication device that is the source of the key that corresponds to the other boundary communication device connected to the communication device the communication device of the key It specifies the signal destination, the communication device of the specified destination, a communication device and a second control unit which transmits the key. 前記第2の制御部は、
前記判定部により前記通信装置が前記境界通信装置に該当しないと判定された場合
前記鍵を受信した際に、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の通信装置のうちで通信が可能な状態にある通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、
前記鍵を受信した際に、前記鍵の送信先に指定できる他の通信装置が存在しなければ、前記鍵の受信を通知する鍵受信通知を前記鍵の送信元の通信装置に送信し、
前記鍵の送信先の通信装置から前記鍵受信通知を受信した際に、受信した前記鍵受信通知を前記鍵の送信元の通信装置に送信する請求項に記載の通信装置。 The second controller is
When the communication device is determined to not correspond to the pre-Symbol boundary communication device by the determination unit,
When the key is received, a communication device that is connected to the communication device and is communicable among communication devices other than the communication device that is the key transmission source is designated as the transmission destination of the key. , Send the received key to the specified destination communication device,
When there is no other communication device that can be designated as the destination of the key when the key is received, a key reception notification for notifying the reception of the key is transmitted to the communication device of the key transmission source,
The communication device according to claim 6 , wherein when the key reception notification is received from the communication device that is the key transmission destination, the received key reception notification is transmitted to the communication device that is the key transmission source. 前記第1の制御部は、
前記鍵の送信の後、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記第2の制御部は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項に記載の通信装置。 The first controller is
After the transmission of the key, a key validity notification instructing the activation of the key is transmitted to the communication device to which the key is transmitted,
The second controller is
The communication device according to claim 7 , wherein when the key validity notification is received from the key transmission source communication device, the received key validity notification is transmitted to the key transmission destination communication device. 前記第1の制御部は、
規定数の前記鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記鍵の有効化を指示する鍵有効通知を前記鍵の送信先の通信装置に送信し、
前記第2の制御部は、
前記鍵の送信元の通信装置から前記鍵有効通知を受信した際に、受信した前記鍵有効通知を前記鍵の送信先の通信装置に送信する請求項に記載の通信装置。 The first controller is
When a prescribed number of key reception notifications are received from the key transmission destination communication device, a key validity notification instructing the key activation is transmitted to the key transmission destination communication device,
The second controller is
The communication device according to claim 8 , wherein when the key validity notification is received from the key transmission source communication device, the received key validity notification is transmitted to the key transmission destination communication device. 前記第1の制御部は、
前記鍵の送信から規定時間が経過しても規定数の前記鍵受信通知を受信していない場合に、前記鍵を再送する請求項に記載の通信装置。 The first controller is
The communication device according to claim 7 , wherein the key is retransmitted when a predetermined number of the key reception notifications have not been received even after a predetermined time has elapsed since the transmission of the key. メインリングネットワークと前記メインリングネットワーク以外のリングネットワークである複数のローカルリングネットワークとが含まれる通信システムに含まれるn(n≧5)台の通信装置に含まれ、1台以上の他の通信装置が接続され、前記メインリングネットワーク及び前記複数のローカルリングネットワークのいずれかに属している通信装置が行う通信方法であって、
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信方法では、
前記通信装置が、前記通信装置が暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定し、
前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記通信装置が、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信し、
前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記通信装置が、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する通信方法。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication method performed by a communication device belonging to any of the main ring network and the plurality of local ring networks,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
In the communication method,
Whether the communication device corresponds to a key generation communication device belonging to the main ring network, in which the communication device generates a key for encrypted communication, and the communication device is the plurality of boundary communication devices To determine whether it falls under any of the
When it is determined that the communication device corresponds to the key generation communication device, the communication device generates the key and belongs to the main ring network among other communication devices connected to the communication device. Designate another communication device in a state where communication is possible in the transmission destination of the key, transmit the key to the communication device of the designated transmission destination,
When it is determined that the communication device corresponds to one of the plurality of boundary communication devices , the communication device receives the key generated by another communication device corresponding to the key generation communication device. A communication device belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source . A communication device that does not correspond to a boundary communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key Other than the key transmission source communication device corresponding to another boundary communication device connected to the communication device when receiving the key reception notification from the key transmission destination communication device. of the communications device of the key Communication method specified in the signal destination, the communication device of the specified destination, and transmits the key. メインリングネットワークと前記メインリングネットワーク以外のリングネットワークである複数のローカルリングネットワークとが含まれる通信システムに含まれるn(n≧5)台の通信装置に含まれ、1台以上の他の通信装置が接続され、前記メインリングネットワーク及び前記複数のローカルリングネットワークのいずれかに属している通信装置に処理を実行させる通信プログラムであって
前記メインリングネットワークでは、
各々が異なるローカルリングネットワークに属する通信装置と接続されている複数の境界通信装置が含まれ、前記複数の境界通信装置の各々は他の境界通信装置のいずれかと接続されており、
前記通信プログラムは、
前記通信装置が、暗号化通信のための鍵を生成する、前記メインリングネットワークに属する鍵生成通信装置に該当するか否か、及び、前記通信装置が、前記複数の境界通信装置のうちのいずれかに該当するか否かを判定する判定処理と、
前記判定処理により前記通信装置が前記鍵生成通信装置に該当すると判定された場合に、前記鍵を生成し、前記メインリングネットワークに属する、前記通信装置に接続されている他の通信装置のうちで通信が可能な状態にある他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に前記鍵を送信する第1の制御処理と、
前記判定処理により前記通信装置が前記複数の境界通信装置のうちのいずれかに該当すると判定された場合に、前記鍵生成通信装置に該当する他の通信装置により生成された前記鍵を受信し、前記ローカルリングネットワークに属する、前記通信装置に接続されている、前記鍵の送信元の通信装置以外の他の通信装置のうちで通信が可能な状態にある他の通信装置であって他の境界通信装置に該当しない通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、受信した前記鍵を送信し、前記鍵の送信先の通信装置が前記鍵を受信したことを通知する鍵受信通知を前記鍵の送信先の通信装置から受信した際に、前記通信装置に接続されている、他の境界通信装置に該当する、前記鍵の送信元の通信装置以外の他の通信装置を前記鍵の送信先に指定し、指定した送信先の通信装置に、前記鍵を送信する第2の制御処理とを実行させる通信プログラム。 One or more other communication devices included in n (n ≧ 5) communication devices included in a communication system including a main ring network and a plurality of local ring networks that are ring networks other than the main ring network Is a communication program that causes a communication device belonging to any of the main ring network and the plurality of local ring networks to execute processing ,
In the main ring network,
A plurality of boundary communication devices each connected to a communication device belonging to a different local ring network are included, each of the plurality of boundary communication devices is connected to one of the other boundary communication devices;
The communication program is
The communication device generates a key for encryption communication, the main ring whether corresponds to the key generation communication apparatus belonging to the network, and the communication device, any of the plurality of boundary communication device a determination process of determining whether true or,
Among the other communication devices connected to the communication device that belong to the main ring network and generate the key when it is determined by the determination process that the communication device corresponds to the key generation communication device. A first control process of designating another communication device in a state capable of communication as a destination of the key and transmitting the key to the designated destination communication device;
When the determination process determines that the communication device corresponds to one of the plurality of boundary communication devices, the key generated by another communication device corresponding to the key generation communication device is received, Other communication devices belonging to the local ring network, connected to the communication device, and capable of communicating among other communication devices other than the communication device that is the key transmission source, and other boundaries A communication device that does not correspond to a communication device is designated as the transmission destination of the key, the received key is transmitted to the communication device of the designated transmission destination, and the communication device that is the transmission destination of the key has received the key. When receiving the key reception notification to be notified from the communication device that is the transmission destination of the key , other than the communication device that is the source of the key that corresponds to the other boundary communication device connected to the communication device said communication device key It specifies the destination, the communication device of the specified destination, a communication program for executing a second control process of transmitting the key.
JP2017566874A 2017-07-12 2017-07-12 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM Active JP6359212B1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/025377 WO2019012617A1 (en) 2017-07-12 2017-07-12 Communication system, communication device, communication method, and communication program

Publications (2)

Publication Number Publication Date
JP6359212B1 true JP6359212B1 (en) 2018-07-18
JPWO2019012617A1 JPWO2019012617A1 (en) 2019-07-18

Family

ID=62904972

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017566874A Active JP6359212B1 (en) 2017-07-12 2017-07-12 COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM

Country Status (2)

Country Link
JP (1) JP6359212B1 (en)
WO (1) WO2019012617A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000261475A (en) * 1999-03-08 2000-09-22 Communication Research Laboratory Mpt Structure for double ring type information communication network
JP2013172212A (en) * 2012-02-17 2013-09-02 Toshiba Corp Network configuration design device, network configuration design method and program
JP2014160951A (en) * 2013-02-20 2014-09-04 Nec Corp Switch, control device, communication system, management method for control channel, and program
WO2016181586A1 (en) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Authentication method and authentication system
JP2017050580A (en) * 2015-08-31 2017-03-09 沖電気工業株式会社 Communication system, communication method, control device, control program, communication device and communication program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000261475A (en) * 1999-03-08 2000-09-22 Communication Research Laboratory Mpt Structure for double ring type information communication network
JP2013172212A (en) * 2012-02-17 2013-09-02 Toshiba Corp Network configuration design device, network configuration design method and program
JP2014160951A (en) * 2013-02-20 2014-09-04 Nec Corp Switch, control device, communication system, management method for control channel, and program
WO2016181586A1 (en) * 2015-05-08 2016-11-17 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Authentication method and authentication system
JP2017050580A (en) * 2015-08-31 2017-03-09 沖電気工業株式会社 Communication system, communication method, control device, control program, communication device and communication program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
柴田 浩司ほか: "ノード冗長化構成マルチリングにおけるフレーム転送方式の検討", 電子情報通信学会2011年総合大会講演論文集 通信2, JPN6018005572, 28 February 2011 (2011-02-28), pages 97, ISSN: 0003741863 *

Also Published As

Publication number Publication date
JPWO2019012617A1 (en) 2019-07-18
WO2019012617A1 (en) 2019-01-17

Similar Documents

Publication Publication Date Title
ES2523038T3 (en) Network system and network redundancy method
EP3965370A1 (en) Routing rule configuration method and communication apparatus
JP6491745B2 (en) Method and system for interface elements between a virtual network function pool and a control entity
US9332428B2 (en) Method and device for managing encrypted group rekeying in a radio network link layer encryption system
JP5454673B2 (en) COMMUNICATION DEVICE, PROGRAM, AND METHOD
KR100388606B1 (en) System for signatureless transmission and reception of data packets between computer networks
US9491122B2 (en) Systems and methods for server and switch failover in a black core network
Mink et al. Quantum key distribution (QKD) and commodity security protocols: Introduction and integration
CN104935594A (en) Message processing method based on virtual extensible local area network tunnel and device
AU2013226494B2 (en) Method and device for rekeying in a radio network link layer encryption system
US10187478B2 (en) Dynamic detection of inactive virtual private network clients
JP2017169190A (en) System and method for secure communications between computer test tool and cloud-based server
WO2022179304A1 (en) Secure communication method, apparatus, and system for dc interconnection
US11552994B2 (en) Methods and nodes for handling LLDP messages in a communication network
US10405264B2 (en) Bulk pairing for mesh networks
US20220303763A1 (en) Communication method, apparatus, and system
US20100220586A1 (en) Route reflector for a communication system
JP6359212B1 (en) COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
Martins et al. Iris: Secure reliable live-streaming with opportunistic mobile edge cloud offloading
JP2011186631A (en) File transfer system and file transfer method
US11012427B2 (en) RSA trusted networks: RSA packet frames for advanced networking switches
US20220141123A1 (en) Network device, network system, network connection method, and program
JP6598335B2 (en) COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM
JP6503480B1 (en) Communication system, communication apparatus, communication method and computer program
Recacha et al. Secure data transmission in extended ethernet environments

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171222

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171222

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20171222

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180419

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180522

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180619

R150 Certificate of patent or registration of utility model

Ref document number: 6359212

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250