TWI653856B - 轉傳裝置及通訊網路 - Google Patents
轉傳裝置及通訊網路 Download PDFInfo
- Publication number
- TWI653856B TWI653856B TW106109507A TW106109507A TWI653856B TW I653856 B TWI653856 B TW I653856B TW 106109507 A TW106109507 A TW 106109507A TW 106109507 A TW106109507 A TW 106109507A TW I653856 B TWI653856 B TW I653856B
- Authority
- TW
- Taiwan
- Prior art keywords
- data packet
- encryption
- encrypted
- culture
- aforementioned
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2801—Broadband local area networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種轉傳裝置(200),其係包括:複數個端口,其係供第二層的數據包輸出入;數據包識別部(221),其係識別數據包是否已被加密;位址過濾部(222),其係決定供數據包輸出的端口;加密要否判定部(223),其係包括對應數據包中所含之傳送目的地資訊與優先度資訊所對應的加密要否判定表、及數據包中所含之傳送目的地資訊所對應的明文化要否判定表,當為未被加密的數據包時,根據加密要否判定表而判定該數據包是否要加密,當為已被加密之數據包時,根據明文化要否判定表而判定該數據包是否要明文化;加密明文化處理部(225),其係將被判定為要加密的數據包予以加密,且將判定為要明文化的數據包予以明文化;及開關處理部(224),其係將數據包輸出至端口,藉此即可實現加密通訊與明文通訊之雙方。
Description
本發明係關於一種在網路(network)中轉傳資料的轉傳裝置。
以往,作為具有交換式集線器(switching hub)等之轉傳裝置之第二層網路(layer 2 network)中的加密及認證技術,已有一種經由IEEE(Institute of Electrical and Electronics Engineers,美國電機電子工程師學會)802.1AE標準化的MACsec(Media Access Control Security,媒體存取控制安全)。在MACsec中,係僅設想相鄰之轉傳裝置間(link by link,鏈接)的加密通訊,針對關於所要轉傳之數據包(frame)(轉傳數據包)之轉傳對象的資訊,將MAC(Media Access Control)位址(address)以外全都予以加密。因此,當轉傳路徑中插進了非對應MACsec的轉傳裝置時,就無法讀取已被加密的資訊而無法取得關於MAC位址以外之轉傳對象的資訊,故會有僅能進行以MAC位址的轉傳控制,而無法進行在設定有VLAN(Virtual Local Area Network,虛擬區域網路)的第二層網路中所設定之適於VLAN之轉傳數據包的轉傳的問題。
為了解決上述的問題,在專利文獻1中,已提出一種轉傳數據包作成除MAC位址以外不將識別VLAN(Virtual Local Area Network)之VLAN-ID予以加密之資訊的構成,即使在設定有VLAN之第二層網路中轉傳路徑之轉傳裝置無法讀取已被加密的資訊,也可不僅以MAC位址而且還可以VLAN-ID進行轉傳控制的轉傳裝置。
專利文獻1:日本特許5060081(第3A圖、第3B圖)
然而,在專利文獻1的轉傳裝置中,係僅判斷是否要以VLAN-ID將轉傳數據包加密,雖可依每一VLAN選擇加密通訊或明文通訊的任一者,但會有無法進行使用了VLAN-ID以外之資訊的每一轉傳數據包之更細微的控制的問題。
本發明係為了解決上述問題而研創者,其目的為實現一種即使是對於相同VLAN的轉傳數據包,也可依據其屬性而切換加密通訊與明文通訊的轉傳裝置。
為了解決上述的問題而達成目的,本發明之轉傳裝置係包括:複數個端口(port),其係供第二層的數據包輸出入;數據包識別部,其係識別在端口所接收的數據包是否已被加密;位址過濾(filter)部,其係決定供數據包輸出的端口;加密要否判定部,其係包括規定數據包中所含之傳送目的地資訊與優先度資訊所對應之數據包是否要加密的加密要否判定表、及規定數據包中所含之傳送目的地資訊所對應之數據包是否要明文化的明文化要否判定表,當識別為係在數據包識別部中未被加密的數據包時,根據加密要否判定表而判定該數據包是否要加密,當識別為係在數據包識別部中已被加密的數據包時,根據明文化要否判定表而判定該數據包是否要明文化;明文化處理部,其係將在加密要否判定部中被判定為要加密的數據包予以加密,且將被判定為要明文化的數據包予以明文化;及開關處理部,其係將被判定為不需要加密或不需要明文化的數據包及已加密或明文化的數據包輸出至在位址過濾部中所決定的端口。
依據本發明之轉傳裝置,由於包括上述的構成,因此可依據屬於相同VLAN之轉傳數據包的屬性而將加密通訊或明文通訊應用於數據包單位。
1‧‧‧VLAN1區域
2‧‧‧VLAN區域
10、10a至10f‧‧‧終端裝置
11、12‧‧‧數據包
20‧‧‧中繼網路
30‧‧‧傳送路徑
100‧‧‧通訊網路
101‧‧‧加密鍵1共享區域
102‧‧‧加密鍵2共享區域
200、200a至200e‧‧‧轉傳裝置
210、210-1至210-N‧‧‧端口
220、420‧‧‧處理部
221‧‧‧數據包識別部
222‧‧‧位址過濾部
223‧‧‧加密要否判定部
224‧‧‧開關處理部
225‧‧‧加密明文化處理部
230‧‧‧控制部
240‧‧‧記憶體
250‧‧‧介面
260‧‧‧區域匯流排
301‧‧‧標頭部
302‧‧‧資料部
303‧‧‧FCS
311‧‧‧傳送目的地MAC位址
312‧‧‧傳送來源MAC位址
313‧‧‧US
314‧‧‧CF
315‧‧‧VLAN-ID
316‧‧‧乙太網路類型
318‧‧‧VLAN標籤
331‧‧‧乙太網路類型
332‧‧‧加密資料部
333‧‧‧ICV
341‧‧‧加密完成旗標
342‧‧‧轉傳對象資訊
343‧‧‧加密旗標
344‧‧‧明文化旗標
345‧‧‧轉傳對象關聯資訊
346‧‧‧加密要否關聯資訊
350‧‧‧內部標頭
361‧‧‧IP版本資訊
362‧‧‧TOS
363‧‧‧協定編號
364‧‧‧傳送來源IP位址
365‧‧‧傳送目的地IP位址
366‧‧‧其他標頭資訊
367‧‧‧其他資訊
371‧‧‧傳送來源邏輯端口編號
372‧‧‧傳送目的地邏輯端口編號
373‧‧‧其他標頭資訊
374‧‧‧其他資訊
420‧‧‧處理部
421‧‧‧輸入多工化部
501‧‧‧要加密明文化記錄部
502‧‧‧不要加密明文化記錄部
503‧‧‧加密明文化通道
504‧‧‧低延遲通道
505‧‧‧傳送控制部
第1圖係為顯示本發明之實施形態1之通訊網路之一例的構成圖。
第2圖係為顯示本發明之實施形態1之轉傳裝置之一例的構造圖。
第3圖係為顯示本發明之實施形態1之處理部之構成之一例的構成圖。
第4圖係為顯示本發明之實施形態1之數據包之資料構成
之一例的數據包構成圖。
第5圖係為顯示本發明之實施形態1之經加密後之數據包之資料構成之一例的數據包構成圖。
第6圖係為顯示本發明之實施形態1之轉傳對象對應表之一例的資料庫(database)構成圖。
第7圖係為本發明之實施形態1之位址過濾部之傳送數據包之資料構成之一例的數據包構成圖。
第8圖係為顯示本發明之實施形態1之通訊網路中之各裝置關係之一例的構成圖。
第9圖係為顯示本發明之實施形態1之加密要否判定表之一例的資料庫構成圖。
第10圖係為顯示本發明之實施形態1之明文化要否判定表之一例的資料庫構成圖。
第11圖係為顯示本發明之實施形態1之加密要否判定部之傳送數據包之資料構成之一例的數據包構成圖。
第12圖係為顯示本發明之實施形態1之處理部之處理流程之一例的處理流程圖。
第13圖係為顯示本發明之實施形態1之轉傳裝置之效果之一例的說明圖。
第14圖係為本發明之實施形態1之明文化要否判定表之一例的資料庫構成圖。
第15圖係為顯示本發明之實施形態2之數據包識別部之傳送數據包之資料構成之一例的數據包構成圖。
第16圖係為顯示本發明之實施形態2之優先度識別結果之一例的優先度識別結果對應表。
第17圖係為顯示本發明之實施形態2之加密要否判定表之一例的資料庫構成圖。
第18圖係為顯示本發明之實施形態2之數據包之資料構成之一例的數據包構成圖。
第19圖係為顯示本發明之實施形態3之處理部之構成之一例的構成圖。
第20圖係為顯示本發明之實施形態4之開關處理部之一例的構成圖。
以下根據圖式詳細說明本發明之轉傳裝置的實施形態。在以下所要參照的圖示中,對於相同或相等的部分係賦予相同的符號。另外,本發明並不限定於此實施形態。
實施形態1
第1圖係為顯示本發明之實施形態1之通訊網路之一例的構成圖。在第1圖中,通訊網路100係包括終端裝置10(10a至10f)、中繼網路20、傳送路徑30、及轉傳裝置200(200a至200e)。另外,為便於說明,雖設為通訊網路100包括6台終端裝置10與5台轉傳裝置200,但不限定於此,亦可包括任意的終端裝置10與轉傳裝置200。此外,通訊網路100係為傳送對應VLAN的MAC(Media Access Control,媒體存取控制)數據包的網路。
終端裝置10係為構成為與連接於通訊網路100的其他裝置進行資料傳送接收之通訊主體的裝置,其係為個人電 腦(personal computer)等。
中繼網路20係為將轉傳裝置200間予以彼此連接的網路,且為將資訊中繼至各轉傳裝置200間的第二層網路。
傳送路徑30係為將終端裝置10與轉傳裝置200之間、及轉傳裝置200與中繼網路20之間予以連接的傳送路徑,其係同軸纜線(cable)、光纜線、及LAN(Local Area Network,區域網路)纜線等。透過中繼網路20而與傳送路徑30連接的裝置,係可互相進行資料的傳送接收。
轉傳裝置200係透過傳送路徑30而與終端裝置10及中繼網路20連接,用以將所接收的資料轉傳至所連接的終端裝置10或中繼網路20。關於轉傳裝置200之轉傳方法的詳細內容將於後陳述。
接著使用第2圖來說明轉傳裝置200的硬體(hardware)構成。第2圖係為顯示本發明之實施形態1之轉傳裝置之一例的構造圖。在第2圖中,轉傳裝置200係包括:作為與外部之介面(interface)的N個(N係2以上的整數)端口210(210-1至210-N)、執行處理的處理部220、控制處理部220的控制部230、供記錄資料的記憶體240、連接端口210與處理部220的介面250(250-1至250-N)、分別連接處理部220、控制部230及記憶體240的區域匯流排(local bus)260。
在此,處理部220係執行轉傳數據包的轉傳處理。處理部220係可為FPGA(Field Programmable Gate Array,現場可程式閘陣列)、或LSI(Large Scale Integration,大型積體電路)等。
控制部230係以設定的變更等控制處理部220。控制部230係可為CPU(Central Processing Unit,中央處理單元)等。
記憶體240係供記錄用以轉傳從處理部220呼叫之轉傳數據包的轉傳處理程式與從控制部230呼叫的控制程式、以及各種資料庫。
介面250係可為根據MII(Media Independent Interface,媒體獨立介面)或XAUI(10Gigabit Attachment Unit Interface,10千兆位連接單元介面)等之一般的規格的介面。
區域匯流排260係可為PCI(Peripheral Component Interconnect,周邊組件互聯)匯流排或PCI Express(快速周邊組件互聯)(註冊商標)等的擴張匯流排。
另外,雖已說明了個別構成處理部220與控制部230的情形,但亦可由CPU等構成作為一體的處理部。
第3圖係為顯示本發明之實施形態1之處理部之構成之一例的構成圖。另外,在此為了便於說明,將連接於處理部220的端口210設為3台。另外,雖省略了圖示,但連接於處理部220的端口係為210-1、210-2、及210-3的3台。
在第3圖中,處理部220係包括數據包識別部221、位址過濾(address filter)部222、加密要否判定部223、開關(switching)處理部224、及加密明文化處理部225。
數據包識別部221係識別從連接之端口210所接收的數據包是否為已被加密的數據包,當已被加密時,將加密
完成之要旨的資訊傳送至加密要否判定部223。數據包識別部221之識別方法的詳細內容將於後陳述。
第4圖係為顯示本發明之實施形態1之MAC數據包之資料構成之一例的數據包構成圖。第4圖所示的數據包格式(format),係成為在DIX格式之乙太網路(Ethernet)(註冊商標)數據包附加上VLAN標籤318的構造,包含有標頭(header)部301、包含有以MAC數據包傳送之資料的資料(data)部302、及屬於為了調查數據包是否有錯誤之資訊的FCS(Frame Check Sequence,數據包校驗序列)303。再者,標頭部301係包含傳送目的地MAC位址311、傳送來源MAC位址312、VLAN標籤318、及乙太網路類型(type)316。此外,VLAN標籤318係包含US(User Priority,用戶優先權)313、CF(Canonical Format,正規格式)314、VLAN-ID315。
US313係為以IEEE801.D規定的使用者優先順位,由0至7的值所構成,且規定為0的優先度最低,7的優先度最高。CF314係為顯示傳送目的地MAC位址與傳送來源MAC位址是否遵照了標準格式的資訊。VLAN-ID315係為顯示數據包所屬之VLAN的ID資訊。
乙太網路類型316係顯示了用以識別上位層之通訊規範的編號,例如0×0800為IPv4(Internet Protocol version 4,網際網路協定版本4)的通訊規範。在此實施形態中,雖將以根據了DIX格式的MAC數據包為例進行說明,但本發明並不僅限定於DIX格式,亦可適用於傳送例如包含LLC/SNAP(Logical Link Control/Subnetwork Access Protocol,邏輯鏈路控制/子網路存取協定)的IEEE802.3規格的MAC數據包、或其他第二層數據包的情形。
接著使用第5圖來說明本實施形態之被加密後之MAC數據包(加密數據包)的構成。第5圖係為顯示加密數據包之資料構成之一例的數據包構成圖。
在第5圖中,加密數據包的構成基本上與第4圖所示的MAC數據包相同。不同之處為在乙太網路類型331設定顯示係為被加密後之MAC數據包的特定值、及附加了屬於加密資料之整合性校驗資料的ICV(Integrity Check Value,完整性校驗值)333之點。在此,係設為在乙太網路類型331使用顯示係為以IEEE802.1AE所規定之MACsec之數據包的0×88E5。另外加密資料部332係為第4圖所示之MAC數據包之乙太網路類型316與資料部302被加密後的資料。
返回第3圖,數據包識別部221係參照所接收之數據包之VLAN標籤之後一個的資訊、第4圖與第5圖中的乙太網路類型316、或乙太網路類型331,來識別所輸入之數據包是否為已被加密的數據包。數據包識別部221係當識別為數據包為已被加密的數據包時,將加密完成旗標(flag)341附加於數據包,傳送至位址過濾部222。另外,數據包識別部221除了將加密完成旗標341附加於數據包以外,還可使連接數據包識別部221與加密要否判定部223的信號線並行,直接將屬於加密完成之要旨的資訊從數據包識別部221傳送至加密要否判定部223。
位址過濾部222係比較從數據包識別部221所接 收之數據包的傳送目的地MAC位址311與轉傳對象對應表而決定轉傳對象,且將關於所決定之轉傳對象的資訊傳送至加密要否判定部223。
第6圖係為顯示本發明之實施形態1之轉傳對象對應表之一例的資料庫構成圖。另外,轉傳對象對應表係記錄於記憶體240。
在第6圖中轉傳對象對應表係為設定有傳送目的地MAC位址311、與屬於轉傳對象之端口、及屬於最終之轉傳對象之轉傳對象終端裝置之對應關係的對應表,位址過濾部222係比較所接收之數據包之傳送目的地MAC位址311與轉傳對象對應表,決定轉傳對象。例如,當傳送目的地MAC位址311為000A01AAA001時,位址過濾部222係參照第6圖所示的轉傳對象對應表,而決定端口210-1作為轉傳對象的端口(轉傳對象端口),及決定終端裝置10a作為最終的轉傳對象。另外,第6圖所示的轉傳對象對應表,係記錄於記憶體240,可經由網路以自動方式下載,或亦可由使用者經由手動輸入方式輸入。
位址過濾部222係將屬於所決定之轉傳對象端口的端口210-1與終端裝置10a作為轉傳對象資訊342而附加於數據包,且傳送至加密要否判定部223。第7圖係為顯示本發明之實施形態1之位址過濾部所輸出之數據包之資料構成之一例的數據包構成圖。第7圖中,位址過濾部222所輸出的數據包,係為在第4圖所示之MAC數據包附加上經由數據包識別部221所附加的加密完成旗標341與經由位址過濾部222所附加的轉傳對象資訊342的構成。
另外,雖已如第6圖所示說明了針對傳送目的地MAC位址311建立1個轉傳對象端口及1個轉傳對象終端裝置之關係作為轉傳對象對應表之例,但不限定於此,傳送目的地MAC位址311亦可為2個以上轉傳對象端口及2個以上轉傳對象終端裝置建立對應關係的多播位址(multicast address)。
此外,針對特定的傳送目的地MAC位址311,亦可設定為在轉傳對象對應表中將數據包全都予以棄置,或是從除接收端口外的所有端口輸出以取代轉傳對象終端裝置。如此一來,轉傳裝置200不僅可進行對於轉傳對象終端裝置的轉傳,還可將數據包全都予以棄置或從除接收端口外的所有端口輸出。
此外,雖已說明了僅傳送目的地資訊附加於數據包作為轉傳對象資訊342的情形,但不限定於此,亦可附加上傳送來源資訊。例如,亦可參照顯示傳送來源MAC位址312與屬於傳送來源之傳送來源終端裝置之對應關係的對應表,將傳送來源終端裝置作為轉傳對象資訊342而附加於數據包。
此外,對於特定的傳送來源MAC位址312,亦可設定為在顯示傳送來源終端裝置之對應關係的對應表中將數據包全都予以棄置,或從除接收端口外的所有端口輸出以取代傳送來源終端裝置。如此一來,轉傳裝置200不僅可進行對於轉傳對象終端裝置的轉傳,還可將數據包全都予以棄置或從除接收端口外的所有端口輸出。
另外,雖已說明了在數據包附加轉傳對象資訊342
的方法以作為位址過濾部222將轉傳對象資訊342傳送至加密要否判定部223的方法,但不限定於此,亦可設為使連接位址過濾部222與加密要否判定部223的信號線並行,直接將轉傳對象資訊342傳送至加密要否判定部223。如此,當使信號線並行而進行傳送時,不會增大要傳送之數據包的資料容量,因此可獲得可傳送更大資料容量之轉傳對象資訊342的效果。
返回第3圖,加密要否判定部223係當在所接收的數據包中無加密完成旗標341時,判定為數據包係明文數據包且比較轉傳對象資訊342與加密要否判定表而決定是否要加密,且將關於所決定之是否要加密的資訊傳送至開關處理部224。另一方面,加密要否判定部223係當在所接收的數據包中有加密完成旗標341時,判定為數據包係已被加密的數據包且比較轉傳對象資訊342與明文化要否判定表而決定是否要明文化,且將關於所決定之是否要明文化的資訊傳送至開關處理部224。
首先說明在所接收的數據包中無加密完成旗標341的情形。
第8圖係為顯示本發明之實施形態1之通訊網路中之各裝置關係之一例的構成圖。在此,由於終端裝置10、中繼網路20、傳送路徑30、及轉傳裝置200係與第1圖相同,故說明從略。
在第8圖中,實線係顯示相同VLAN所屬的裝置,虛線係顯示共享使用於加密與明文化之加密鍵的裝置。實線1係VLAN-ID315為1的VLAN1,終端裝置10e與10f、及轉傳裝置200a與200e即屬之。實線2係VLAN-ID315為2的VLAN2,終端裝置10a、10b、10c、10d、及轉傳裝置200a、200b、200c、200d即屬之。
虛線101係顯示共享加密鍵1的裝置,轉傳裝置200a、200b、200e係共享加密鍵1。虛線102係顯示共享加密鍵2的裝置,轉傳裝置200b與200c係共享加密鍵2。另外,加密鍵係與轉傳對象終端裝置建立對應關係而記憶於各轉傳裝置200的記憶體240。此外,以加密要否判定部223特別指定使用於加密之加密鍵的方法而言,係例如由加密要否判定部223比較記錄於記憶體240之共享的加密鍵與轉傳對象終端裝置的對應表、及經由位址過濾部222所決定的轉傳對象終端裝置,且特別指定加密鍵。
第9圖係為顯示本發明之實施形態1之加密要否判定表之一例的資料庫構成圖。在此,第9圖係為對應第8圖中之轉傳裝置200b的加密要否判定表。另外,加密要否判定表係為記錄於記憶體240,供加密要否判定部223所參照的資料庫。
第9圖係為所接收之數據包中所含之US313與從位址過濾部222所傳送之轉傳對象資訊342中所含之轉傳對象終端裝置之每一組合之是否要加密的判定表。在此,所謂明文係顯示不進行加密。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10a時,轉傳裝置200b係US313在從0至7所有之中都進行加密,且傳送數據包。另外,由於連接於終端裝置10a的 轉傳裝置200a與轉傳裝置200b係共享加密鍵1,因此從轉傳裝置200b發送至終端裝置10a的數據包係可加密。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10b時,轉傳裝置200b係US313在從0至7所有之中都以明文傳送數據包。另外,由於終端裝置10b係與轉傳裝置200b直接連接,因此終端裝置10b不需將數據包加密而以明文進行傳送。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10c時,轉傳裝置200b係US313在從0至3中以明文傳送數據包,且在US313從4至7中進行加密,且傳送數據包。另外,由於連接於終端裝置10c的轉傳裝置200c與轉傳裝置200b共享加密鍵2,因此從轉傳裝置200b發送至終端裝置10c的數據包係可加密。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10d時,轉傳裝置200b係US313在從0至7所有之中都以明文傳送數據包。另外,終端裝置10d與轉傳裝置200b雖屬於相同的VLAN1,但由於連接於終端裝置10d的轉傳裝置200d與轉傳裝置200b並未共享加密鍵,因此從轉傳裝置200b發送至終端裝置10d的數據包無法加密,全都以明文進行傳送。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10e時,轉傳裝置200b係US313在從0至7所有之中都以明文傳送數據包。另外,由於連接於終端裝置10e的轉傳裝置200e與轉傳裝置200b並未共享加密鍵,因此從轉傳裝置200b發送至終端裝置10e的數據包無法加密,全都以明文進行 傳送。
在第9圖中,係顯示當轉傳對象終端裝置為終端裝置10f時,轉傳裝置200b係US313在從2至5中以明文傳送數據包,且US313在從0至1、及6至7中進行加密,且傳送數據包。如此,即可依數據包的每一優先度進行細部的設定。另外,由於連接於終端裝置10f的轉傳裝置200a與轉傳裝置200b共享加密鍵1,因此從轉傳裝置200b發送至終端裝置10f的數據包係可加密。
另外,在從轉傳裝置200b所傳送的明文數據包與加密數據包的任一者中都可在中繼網路20中讀取VLAN標籤,且依據VLAN-ID315進行中繼處理。例如,終端裝置10e與10f係屬於VLAN2,而屬於VLAN1的轉傳裝置200b與所屬的VLAN不同,因此從轉傳裝置200b所傳送的明文數據包與加密數據包的任一者都不會轉傳至終端裝置10e與10f。
加密要否判定部223係比較US313與轉傳對象資訊342、及第9圖所示的加密要否判定表,當判定是否要加密且判定為要進行加密時,將加密旗標343附加於數據包,且將數據包傳送至開關處理部224。
接著說明在所接收的數據包中有加密完成旗標341的情形。
第10圖係為顯示本發明之實施形態1之明文化要否判定表之一例的資料庫構成圖。在此,係對應第10圖中之轉傳裝置200b且為加密鍵1時之明文化要否判定表。另外,第10圖係為記錄於記憶體240,供加密要否判定部223所參照 的資料庫。此外,以特別指定加密要否判定部223所接收之被加密後之數據包的加密鍵的方法而言,係例如由加密要否判定部223比較記錄於記憶體240之共享的加密鍵與MAC位址的對應表、及所接收之數據包之傳送目的地MAC位址及傳送來源MAC位址,且特別指定加密鍵。
在第10圖中,所謂加密完成係指數據包已被加密而不需明文化,加密要否判定部223係在被加密的數據包的狀態下將數據包傳送至開關處理部224。所為明文化係指要進行明文化,加密要否判定部223係將明文化旗標附加於數據包,且將數據包傳送至開關處理部224。棄置係由加密要否判定部223棄置數據包,對於開關處理部224不進行傳送。另外,為了便於說明,在第10圖中加密完成與棄置之任一者均可選擇之處雖記載為加密完成or(或)棄置,但實際上係使用記載有使用者所選擇之任一方的判定表。例如,使用者若是選擇轉傳裝置200要廢棄數據包僅為直接傳送至終端裝置10時,則關於非直接連接之終端裝置的轉傳對象終端裝置,係使用選擇了加密完成的判定表。另一方面,使用者若是在判明了直接連接於終端裝置10的轉傳裝置200並未共享加密鍵的時點棄置數據包,則使用選擇了棄置的判定表。
此外,在第10圖中,若為未直接連接於轉傳裝置200b之終端裝置10的情形下,當直接連接於終端裝置10的轉傳裝置200共享加密鍵1時,即為加密完成,若未共享時,即為加密完成or棄置。此係由於當直接連接於終端裝置10的轉傳裝置200共享加密鍵1時,由於直接連接於該終端裝置10的轉傳裝置200可將數據包明文化,因此轉傳裝置200b將被加密後的數據包直接進行傳送,當未共享加密鍵1時,由於直接連接於終端裝置10的轉傳裝置200無法將數據包明文化,因此如上所述依據要進行使用者所選擇之數據包之棄置的時點,進行是要將被加密後的數據包直接進行傳送還是要棄置數據包之任一者的處理。
在第10圖中,以屬於直接連接於轉傳裝置200b之終端裝置10的終端裝置10b的情形而言,係明文化。此係由於因為轉傳裝置200b要將數據包直接轉傳至終端裝置10b,故必須將數據包明文化。
加密要否判定部223係比較US313與轉傳對象資訊342、及第10圖所示的明文化要否判定表,當判定是否要明文化且判定為要進行明文化時,將明文化旗標344附加於數據包,且將數據包傳送至開關處理部224。
另外,在第10圖中,雖已說明了判定結果不會因為US313的值而變更的情形,但不限定於此,亦可視需要依據US313的值而變更判定結果。
此外,第10圖雖已說明了轉傳裝置200b共享加密鍵之加密鍵1時的明文化要否判定表,但當使用於已被加密之數據包的加密鍵為非轉傳裝置200b所共享的加密鍵時,直接連接於轉傳裝置200b的終端裝置10b會成為判定為棄置之結果的判定表。此係由於關於終端裝置10b會由轉傳裝置200b直接轉傳數據包,因此在轉傳裝置200b無法明文化的數據包在終端裝置10b即無法讀取。
第11圖係為顯示本發明之實施形態1之加密要否判定部之傳送數據包之資料構成之一例的數據包構成圖。第11圖(a)係為是否加密顯示要加密時之加密要否判定部223之傳送數據包之資料構成之一例的數據包構成圖,第11圖(b)係為是否要明文化顯示要明文化時之加密要否判定部223之傳送數據包之資料構成之一例的數據包構成圖。在此,第11圖(a)係為加密旗標343附加於第7圖所示之位址過濾部222之傳送數據包的構成,第11圖(b)係為明文化旗標344附加於第7圖所示之位址過濾部222之傳送數據包的構成。
返回第3圖,開關處理部224係在從加密要否判定部223所接收的數據包中包含有加密旗標343或明文化旗標344時,將數據包傳送至加密明文化處理部225,而於數據包中未包含有加密旗標343及明文化旗標344時,將數據包輸出至端口210。
加密明文化處理部225係當在從開關處理部224所接收的數據包中包含有加密旗標343時,使用記憶於記憶體240的加密鍵進行加密且從數據包刪除加密旗標343,並傳送至開關處理部224。另一方面,加密明文化處理部225係當在從開關處理部224所接收之數據包中包含有明文化旗標344時,使用記憶於記憶體240的加密鍵而進行明文化且從數據包刪除明文化旗標344,並傳送至開關處理部224。
另外,當記錄於記憶體240的加密鍵有2個時,係使用對應屬於所接收之數據包之傳送目的地之傳送目的地終端裝置的加密鍵而進行加密。
接著使用第12圖來說明處理部220之處理的流程。第12圖係為顯示本發明之實施形態1之處理部之處理之流程之一例的流程圖。處理部220係當透過端口210輸入數據包時即開始處理。
首先,在步驟S101中,數據包識別部221係參照所接收之數據包的乙太網路類型316而識別數據包是否為已被加密的數據包。數據包識別部221係於值為0×88E5時,識別為已被加密的數據包。
在步驟S102中,數據包識別部221係依據識別結果,於識別為數據包已被加密時,將加密完成旗標341附加於數據包。
在步驟S103中,位址過濾部222係比較屬於所接收之數據包之傳送目的地資訊的傳送目的地MAC位址與第6圖所示之轉傳對象對應表且決定屬於轉傳對象之轉傳對象端口與轉傳對象終端裝置,且作為轉傳對象資訊342而附加於數據包。
在步驟S104中,加密要否判定部223係從有無附加於數據包的加密完成旗標341來判定數據包是否已被加密。加密要否判定部223係於數據包中未包含有加密完成旗標341時,判定為數據包未被加密,而於數據包包含有加密完成旗標341時,判定為數據包已被加密。
在步驟S105中,加密要否判定部223係依據在步驟S104的判定結果,若數據包未被加密,則移至步驟S106,若數據包已被加密,則移至步驟S107。
在步驟S106中,係藉由比較轉傳對象資訊342與第9圖所示的加密要否判定表以判定是否要加密,當要加密時,將加密旗標343附加於數據包,且移至步驟S108。
在步驟S107中,係藉由比較轉傳對象資訊342與第10圖所示的明文化要否判定表以判定是否要明文化,當要明文化時,將明文化旗標344附加於數據包,且移至步驟S108。
在步驟S108中,開關處理部224係於數據包中包含有加密旗標343或明文化旗標344時,作為要加密或要明文化而移至步驟S109,而未包含有加密旗標343或明文化旗標344時,則移至步驟S110。
在步驟S109中,加密明文化處理部225係於數據包中有加密旗標343時,使用記錄於記憶體240的加密鍵而將數據包加密,且於數據包中有明文化旗標344時,使用記錄於記憶體240的加密鍵而將數據包明文化。之後,從數據包刪除加密旗標343及明文化旗標344。
在步驟S110中,開關處理部224係將數據包輸出於屬於轉傳對象資訊342之轉傳對象的轉傳對象端口,之後結束處理。
綜上所述,依據實施形態1的轉傳裝置200,係可就屬於相同VLAN的數據包,判定VLAN旗標中所含之優先度資訊等之屬性所對應之每一數據包的是否要加密,而可獲得可將加密通訊與明文化通訊適用於數據包單位的效果。
此外,依據實施形態1的轉傳裝置200,由於轉傳裝置200可將數據包加密,因此可獲得在不具加密功能的終端裝置10間可進行加密通訊的效果。
茲使用第13圖來說明實施形態1之轉傳裝置200的效果。在第13圖中箭頭符號係顯示數據包之傳送接收的流程,虛線所示的箭頭符號係明文數據包,實線所示的箭頭符號係加密數據包。在第13圖中,數據包11在終端裝置10間全都為明文數據包,數據包12在轉傳裝置200間係加密數據包,在轉傳裝置200與終端裝置10之間成為明文化數據包。如此,實施形態1的轉傳裝置200,係可從相同的轉傳對象端口傳送加密數據包與明文數據包,此外可獲得在不具加密功能的終端裝置10中亦可進行加密通訊的效果。
另外,雖已說明了使用第10圖所示之明文化要否判定表作為加密要否判定部223中之是否要明文化之判定方法的情形,但不限定於此,亦可從加密鍵的共享資訊與屬於轉傳對象的轉傳對象端口是直接連接於終端裝置10的轉傳對象端口,還是與轉傳裝置200相連的轉傳對象端口來判定。在此,加密要否判定部223判定轉傳對象端口是否為直接連接於終端裝置10之端口的方法,係例如記錄有直接連接於記憶體240之終端裝置10的資訊,當記錄於此記憶體240的終端裝置10與位址過濾部222使用第6圖所示之轉傳對象對應表所決定的轉傳對象終端裝置一致時,即判定為屬於轉傳對象端口的端口210為直接連接於終端裝置10的轉傳對象端口。另外,所謂與轉傳裝置200相連的轉傳對象端口,係指直接連接於終端裝置10之轉傳對象端口以外的端口,而為直接連接於轉傳裝置200的轉傳對象端口或經由中繼網路20等而與連接於最終之傳送
目的地終端裝置之轉傳裝置200相連的轉傳對象端口。
第14圖係為顯示本發明之實施形態1之明文化要否判定表之一例的資料庫構成圖。第14圖係為依每一轉傳對象端口用以判定是否要明文化的判定表,所謂轉傳對象端口為終端裝置10,係指轉傳對象端口為直接連接於終端裝置10的轉傳對象端口,所謂轉傳裝置200係指轉傳對象端口為與轉傳裝置200相連的轉傳對象端口。此外,所謂第14圖中之未共享加密鍵的終端裝置10,係指判定是否要明文化的轉傳裝置200未共享使用於所接收之已被加密之數據包的加密鍵。此外,第14圖係為記錄於記憶體240,供加密要否判定部223參照的資料庫。另外,雖依每一端口210區分作為轉傳對象端口,但在設定有VLAN的網路中,係在相同的端口210中設定VLAN,藉此即可設定複數個轉傳對象端口。
在第14圖中,當共享加密鍵且轉傳對象端口為終端裝置10時係明文化,而當共享加密鍵且轉傳端口為轉傳裝置200時則係加密完成。另一方面,當未共享加密鍵且轉傳端口為終端裝置10時係棄置,而當共享加密鍵且轉傳端口為轉傳裝置200時則係加密完成or棄置。加密要否判定部223係判定使用第14圖所接收之加密完成數據包之是否要明文化。
如此,藉由加密要否判定部223判定是否要明文化,即可獲得記錄於記憶體240之資料容量,較使用第10圖所示之明文化要否判定表而判定是否要明文化的方法更少的效果。
實施形態2
在實施形態1中,已說明了數據包識別部221判定數據包是否已被加密,當已被加密時,將加密完成旗標341附加於數據包的實施形態。在實施形態2中,將說明數據包識別部221進一步從數據包抽出有關轉傳對象的資訊與有關判定是否要加密的資訊,且作為內部標頭而附加於數據包的實施形態。另外,關於通訊網路100的構造與轉傳裝置200的構造係與實施形態1相同,故省略說明。
數據包識別部221係從第4圖所示的數據包抽出傳送目的地MAC位址311或傳送來源MAC位址312或其雙方以作為屬於關於數據包之轉傳對象之資訊的轉傳對象關聯資訊345,且抽出US313、VLAN-ID315、乙太網路類型316等以作為屬於關於是否要加密之資訊的加密要否關聯資訊346。另外,以下將就數據包識別部221抽出傳送目的地MAC位址311以作為轉傳對象關聯資訊345、及抽出US313以作為加密要否關聯資訊346之例進行說明。
數據包識別部221係將所抽出的轉傳對象關聯資訊345與加密要否關聯資訊346作為內部標頭350而附加於數據包,且傳送至位址過濾部222。第15圖係為顯示本發明之實施形態2之數據包識別部之傳送數據包之資料構成之一例的數據包構成圖。在第15圖中,內部標頭350係由屬於關於數據包之轉傳對象之資訊的轉傳對象關聯資訊345與屬於關於數據包之是否要加密之資訊的加密要否關聯資訊346所構成。在此,數據包識別部221所抽出之傳送目的地MAC位址311為轉傳對象關聯資訊345,而US313為加密要否關聯資訊346。
另外,雖已說明了數據包為未被加密的數據包的情形,但即使為加密完成的數據包,亦可從未被加密的標頭部301抽出轉傳對象關聯資訊345與加密要否關聯資訊346。
接收到被附加了內部標頭350之數據包的位址過濾部222係使用內部標頭350的轉傳對象關聯資訊345而決定數據包的轉傳對象端口與轉傳對象終端裝置,而加密要否判定部223係使用內部標頭350的加密要否關聯資訊346而判定數據包是否要加密。
綜上所述,依據實施形態2的轉傳裝置200,由於可使用經由數據包識別部221所抽出且附加於數據包的內部標頭350而可由位址過濾部222與加密要否判定部223分別進行數據包之轉傳對象的決定與數據包是否要加密的判定,因此位址過濾部222與加密要否判定部223不需分別探索數據包的對象位置,而可獲得可增快處理速度的效果。
另外,雖已說明了作為內部標頭350而附加於數據包的方法以作為數據包識別部221將轉傳對象關聯資訊345與加密要否關聯資訊346傳送至位址過濾部222與加密要否判定部223的方法,但不限定於此,亦可設為使數據包識別部221與位址過濾部222、及數據包識別部221與加密要否判定部223連接的信號線並行而直接傳送轉傳對象關聯資訊345與加密要否關聯資訊346。如此當使信號線並行而進行傳送時,可獲得可防止數據包的資料容量因為轉傳對象關聯資訊345與加密要否關聯資訊346之資料容量而增大的效果。
另外,雖已說明了數據包識別部221係將數據包 中所含的資訊直接作為轉傳對象關聯資訊345與加密要否關聯資訊346而傳送至位址過濾部222與加密要否判定部223的方法,但不限定於此,亦可設為將數據包識別部221所加工的資訊作為轉傳對象關聯資訊345與加密要否關聯資訊346進行傳送。例如,亦可由數據包識別部221從US313求出優先度識別結果,且將以優先度識別結果作為加密要否關聯資訊346而附加於內部標頭350的數據包傳送至位址過濾部222與加密要否判定部223。
第16圖係為顯示本發明之實施形態2之優先度識別結果之一例的優先度識別結果對應表。在第16圖中US313為0至1的情形係對應低優先,US313為2至3的情形係對應中優先,US313為4至5的情形係對應高優先,US313為6至7的情形係對應最高優先。數據包識別部221係根據第16圖的對應表而求出優先度識別結果,且設為加密要否關聯資訊346。另外,第16圖係為記錄於記憶體240,供數據包識別部221參照的資料庫。
此外,雖已說明了加密要否判定部223係為如第9圖所示之US313使用了數據包中原本所含之資訊的判定表以作為用於判定是否要加密之加密要否判定表的情形,但不限定於此,亦可為如第16圖所示的優先度識別結果,使用了數據包識別部221所求出之資訊的判定表。
第17圖係為顯示本發明之實施形態2之加密要否判定表之一例的資料庫構成圖。第17圖係為優先度識別結果與轉傳對象終端裝置的判定表,以取代第9圖中的US313。在 此,優先度識別結果係為最高優先、高優先、中優先、及低優先之4者,可獲得資料容量較使用了第9圖所示之US313的判定表更小的效果。另外,第17圖僅只是第9圖的US313取代為優先度識別結果,因此說明從略。此外,第17圖係為記錄於記憶體240,供加密要否判定部223參照的資料庫。
另外,雖已說明了僅使用第二層的標頭資訊作為有關轉傳對象之資訊的情形,但以未被加密的數據包的情形而言,轉傳裝置200係除第二層的資訊外,還可使用上位層的資訊而進行轉傳處理。以下,將以第18圖所示之MAC數據包傳送TCP(Transmission Control Protocol,傳輸控制協定)/IPv4之數據包的情形為例進行說明。
第18圖係為顯示本發明之實施形態2之數據包之資料構成之一例的數據包構成圖。第18圖(a)係顯示第4圖所示之數據包的構成。
第18圖(b)係顯示IPv4數據包的構造,IPv4數據包係藉由由IP版本資訊361、TOS(Type of Service,服務類型)362、協定編號363、傳送來源IP位址364、傳送目的地IP位址365、及其他標頭資訊366所構成的IPv4標頭、及屬於資料部的其他資訊367所構成。另外,第18圖(b)係以顯示IP數據包中所含的資訊為目的,並非顯示IP數據包之正確的構造。
IP版本資訊361係為顯示通訊規範之種類的值,在IPv4數據包中係為4。
TOS362係為顯示通訊之種類的值,且為顯示數據包之優先度的值。TOS362係由0至7的值所構成,其規定為0的優先度最低,7的優先度最高。
協定編號363係為用以識別上位層之通訊規範的編號,例如6為顯示TCP的通訊規範。
傳送來源IP位址365與傳送目的地IP位址364係分別為用以識別屬於數據包之傳送目的地與數據包之傳送來源之終端裝置10的編號,且對應於第3層的IP位址。
第18圖(c)係顯示TCP數據包的構造,且由包含傳送來源邏輯端口編號371、傳送目的地邏輯端口編號372、及其他標頭資訊373的TCP標頭與屬於資料部的其他資訊374所構成。另外,第18圖(c)係以顯示TCP數據包中所含的資訊為目的,並非顯示TCP數據包之正確的構造。
傳送來源邏輯端口編號371與傳送目的地邏輯端口編號372係分別為被分配於連接於屬於數據包之傳送目的地與數據包之傳送來源之各終端裝置10之虛擬之端口的編號,為從0至65535的值所構成。
當實施形態2之轉傳裝置200進行包含第18圖所示之TCP/IPv4數據包之MAC數據包的轉傳處理時,係抽出傳送目的地MAC位址311、傳送來源MAC位址312、傳送目的地IP位址365、傳送目的地IP位址364、傳送目的地邏輯端口編號372或傳送目的地邏輯端口編號371的任一者以作為轉傳對象關聯資訊345,且抽出US313、VLAN-ID315、乙太網路類型316、TOS362或協定編號363的任一者以作為加密要否關聯資訊346。
如上所述位址過濾部222從所抽出的轉傳對象關聯資訊345決定屬於最終傳送目的地的轉傳對象終端裝置,且由加密要否判定部223判定是否要加密及是否要明文化。例如,亦可設為以使用了TOS362的加密要否判定表進行判定以取代第9圖所示之加密要否判定表的US313。
實施形態3
在實施形態1中已說明了轉傳裝置200的處理部220包括對應於各端口各者的數據包識別部221、位址過濾部222、及加密要否判定部223的情形。在實施形態3中,將說明在將從端口所傳送的數據包傳送至各部之前予以一次多工化的實施形態。另外,關於通訊網路的構成係與實施形態1相同,故說明從略。此外,關於轉傳裝置200的構造亦僅是實施形態1的處理部220取代為處理部420,故說明從略。
第19圖係為顯示本發明之實施形態3之處理部之構成之一例的構成圖。第19圖中的處理部420,係在實施形態1的處理部220追加輸入多工化部421,而為數據包識別部221、位址過濾部222、及加密要否判定部223分別成為1個的構成。另外,為了便於說明,第19圖中除了處理部420外,還記載有端口210(210-1至210-3)。
在第19圖中,輸入多工化部421係從各端口210輸入數據包,且將所輸入的數據包予以多工化且傳送至數據包識別部221。數據包識別部221、位址過濾部222、加密要否判定部223、開關處理部224、及加密明文化處理部225係就經由輸入多工化部421多工化後的數據包進行處理。
另外,由於數據包識別部221、位址過濾部222、加密要否判定部223、開關處理部224、及加密明文化處理部225係與實施形態1相同,故說明從略。此外,關於處理部420的處理的流程,亦僅是在實施形態1的處理部220中追加了藉由輸入多工化部421將數據包予以多工化的處理,因此說明從略。
綜上所述,依據實施形態3的轉傳裝置200,藉由處理部220包括輸入多工化部421,即可減少構成處理部220之數據包識別部221、位址過濾部222、及加密要否判定部223,而可獲得可減小處理部420之電路規模的效果。
另外,雖已說明了將處理部420所具備的數據包識別部221、位址過濾部222、及加密要否判定部223設為1個,但亦可依據連接的端口數而具備2個以上。
實施形態4
在實施形態4中,係將就包括傳送接收開關處理部224進行加密明文化之數據包的轉傳路徑與不進行加密明文化之轉傳路徑之2個的轉傳裝置200進行說明。另外,關於通訊網路100的構成與轉傳裝置200的構成係與實施形態1相同,故說明從略。
第20圖係為顯示本發明之實施形態4之開關處理部之一例的構成圖。第20圖中的開關處理部224係包括具有記錄要進行加密明文化之數據包之佇列(queue)的要加密明文化記錄部501、具有記錄不要進行加密明文化之數據包之佇列的不要加密明文化記錄部502、傳送接收要進行加密明文化 之數據包的加密明文化通道(pass)503、不進行加密明文化而以低延遲方式將數據包直接進行傳送接收的低延遲通道504、及控制數據包之傳送時序(timing)的傳送控制部505。在此,傳送控制部505係控制來自要加密明文化記錄部501與不要加密明文化記錄部502之數據包的傳送、及數據包對於未圖示之各端口210的傳送。另外,在圖式中,實線係顯示資料的傳送接收,虛線係顯示控制命令。此外,為了便於說明,係記載有連接於開關處理部224的加密明文化處理部225。
在第20圖中,包含有加密旗標或明文化旗標的數據包係由要加密明文化記錄部501接收,而未包含有加密旗標或明文化旗標的數據包則由不要加密明文化記錄部502接收。
要加密明文化記錄部501係具有記錄要進行加密明文化之數據包的佇列,當從傳送控制部505接收到要傳送數據包的指示時,即將記錄於佇列的最舊的資訊,透過加密明文化通道503而傳送至加密明文化處理部225。
不要加密明文化記錄部502係具有記錄不要進行加密明文化之數據包的佇列,當從傳送控制部505接收到要傳送數據包的指示時,即將記錄於佇列之最舊的資訊,透過低延遲通道504而傳送至傳送控制部505。
傳送控制部505係將數據包傳送對要加密明文化記錄部501與不要加密明文化記錄部502下達指示,此外當接收到從加密明文化處理部225所傳送的數據包時,即依照數據包中所含的轉傳對象資訊342而控制數據包對於未圖示之各端口210的傳送。
綜上所述,依據實施形態4的轉傳裝置200,係藉由開關處理部224具備加密明文化通道503與低延遲通道504,以使需要加密明文化之數據包與不需要加密明文化之數據包的轉傳路徑不同,轉傳裝置200可獲得可防止不需加密明文化之數據包之傳送延遲的效果。
Claims (5)
- 一種轉傳裝置,其係包括:複數個端口,其係供第二層的數據包輸出入;數據包識別部,其係識別在前述端口所接收的前述數據包是否已被加密;位址過濾部,其係決定供前述數據包輸出的前述端口;加密要否判定部,其係包括規定數據包中所含之傳送目的地資訊與優先度資訊所對應之數據包是否要加密的加密要否判定表、及規定數據包中所含之傳送目的地資訊所對應之數據包是否要明文化的明文化要否判定表,當識別為係在前述數據包識別部中未被加密的數據包時,根據前述加密要否判定表而判定該數據包是否要加密,當識別為係在前述數據包識別部中已被加密的數據包時,根據前述明文化要否判定表而判定該數據包是否要明文化;加密明文化處理部,其係將在前述加密要否判定部中被判定為要加密的前述數據包予以加密,且將被判定為要明文化的前述數據包予以明文化;及開關處理部,其係將被判定為不需要加密或不需要明文化的前述數據包及已加密或明文化的前述數據包輸出至在前述位址過濾部中所決定的前述端口。
- 根據申請專利範圍第1項之轉傳裝置,其中前述數據包係包含較前述第二層更上位層的資訊;前述位址過濾部係決定根據前述上位層之資訊中所含的傳送目的地資訊而輸出的前述端口;前述加密要否判定部所具備的加密要否判定表係為前述上位層之資訊中所含之傳送目的地資訊與優先度資訊所對應的判定表;前述加密要否判定部所具備的明文化要否判定表係為前述上位層之資訊中所含之傳送目的地資訊所對應的判定表。
- 根據申請專利範圍第1或2項之轉傳裝置,係包括將從前述複數個端口所輸入的數據包予以多工化的輸入多工化部;前述數據包識別部、前述位址過濾部、前述加密要否判定部、及前述加密明文化處理部係針對前述輸入多工化部所多工化的數據包進行處理。
- 根據申請專利範圍第1或2項之轉傳裝置,其中前述開關處理部係包括:加密明文化通道,其係供要傳送至前述加密明文化處理部的數據包通過;及低延遲通道,其係供不要傳送至前述加密明文化處理部的數據包通過。
- 一種通訊網路,其係包括:申請專利範圍第1項或第2項之轉傳裝置;終端裝置,其係產生前述數據包;及中繼網路,其係連接前述轉傳裝置間。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ??PCT/JP2017/003949 | 2017-02-03 | ||
| PCT/JP2017/003949 WO2018142571A1 (ja) | 2017-02-03 | 2017-02-03 | 転送装置および通信ネットワーク |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201830926A TW201830926A (zh) | 2018-08-16 |
| TWI653856B true TWI653856B (zh) | 2019-03-11 |
Family
ID=63039471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106109507A TWI653856B (zh) | 2017-02-03 | 2017-03-22 | 轉傳裝置及通訊網路 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11159495B2 (zh) |
| JP (1) | JP6529694B2 (zh) |
| CN (1) | CN110226312A (zh) |
| TW (1) | TWI653856B (zh) |
| WO (1) | WO2018142571A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| JP7213664B2 (ja) * | 2018-11-19 | 2023-01-27 | 三菱電機株式会社 | 中継装置、中継方法及び中継プログラム |
| CN110351281B (zh) * | 2019-07-15 | 2021-01-05 | 珠海格力电器股份有限公司 | 一种通用数据帧解析方法、装置及设备 |
| JP7390879B2 (ja) * | 2019-12-05 | 2023-12-04 | 三菱重工業株式会社 | 通信処理装置、通信処理方法およびプログラム、並びにネットワーク層のヘッダ部のデータ構造 |
| JP7437196B2 (ja) * | 2020-03-16 | 2024-02-22 | 住友電気工業株式会社 | スイッチ装置、車載通信システムおよび通信方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11239184A (ja) | 1998-02-23 | 1999-08-31 | Matsushita Electric Works Ltd | スイッチングハブ |
| JP2004015141A (ja) | 2002-06-04 | 2004-01-15 | Fuji Xerox Co Ltd | データ伝送システムおよびその方法 |
| US7398386B2 (en) | 2003-04-12 | 2008-07-08 | Cavium Networks, Inc. | Transparent IPSec processing inline between a framer and a network component |
| JP2005295468A (ja) | 2004-04-06 | 2005-10-20 | Hitachi Hybrid Network Co Ltd | 通信装置及び通信システム |
| WO2006093079A1 (ja) | 2005-02-28 | 2006-09-08 | Nec Corporation | 通信システム、通信装置、通信方法、及びプログラム |
| JP4308297B2 (ja) | 2005-05-09 | 2009-08-05 | 三菱電機株式会社 | 通信装置およびスイッチ処理装置 |
| US8000344B1 (en) * | 2005-12-20 | 2011-08-16 | Extreme Networks, Inc. | Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network |
| JP5060081B2 (ja) | 2006-08-09 | 2012-10-31 | 富士通株式会社 | フレームを暗号化して中継する中継装置 |
| CN101141241B (zh) | 2006-09-06 | 2010-08-18 | 华为技术有限公司 | 实现mac安全的方法以及网络设备 |
| CN100563148C (zh) * | 2006-09-15 | 2009-11-25 | 华为技术有限公司 | Mac安全网络通信方法以及网络设备 |
| JP5258305B2 (ja) * | 2008-01-08 | 2013-08-07 | キヤノン株式会社 | セキュリティ通信装置、及び方法 |
| US8417934B2 (en) * | 2008-08-22 | 2013-04-09 | Marvell World Trade Ltd. | Method and apparatus for integrating precise time protocol and media access control security in network elements |
| JP2013062745A (ja) * | 2011-09-14 | 2013-04-04 | Brother Ind Ltd | 通信制御装置、通信制御方法、および通信制御プログラム |
| JP5310824B2 (ja) | 2011-11-10 | 2013-10-09 | 株式会社リコー | 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法 |
| CN104935593B (zh) * | 2015-06-16 | 2018-11-27 | 新华三技术有限公司 | 数据报文的传输方法及装置 |
-
2017
- 2017-02-03 JP JP2018565195A patent/JP6529694B2/ja active Active
- 2017-02-03 CN CN201780084823.9A patent/CN110226312A/zh active Pending
- 2017-02-03 US US16/471,867 patent/US11159495B2/en active Active
- 2017-02-03 WO PCT/JP2017/003949 patent/WO2018142571A1/ja active Application Filing
- 2017-03-22 TW TW106109507A patent/TWI653856B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018142571A1 (ja) | 2018-08-09 |
| US20200127978A1 (en) | 2020-04-23 |
| JP6529694B2 (ja) | 2019-06-12 |
| TW201830926A (zh) | 2018-08-16 |
| CN110226312A (zh) | 2019-09-10 |
| US11159495B2 (en) | 2021-10-26 |
| JPWO2018142571A1 (ja) | 2019-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI653856B (zh) | 轉傳裝置及通訊網路 | |
| US11283733B2 (en) | Proxy ports for network device functionality | |
| US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
| US9015467B2 (en) | Tagging mechanism for data path security processing | |
| US8745373B2 (en) | Systems and methods for applying encryption to network traffic on the basis of policy | |
| EP2503743B1 (en) | Usage Of Masked Ethernet Addresses Between Transparent Interconnect Of Lots Of Links (Trill) Routing Bridges | |
| US8181009B2 (en) | VLAN tagging over IPSec tunnels | |
| US8320374B2 (en) | Method and apparatus for improved multicast routing | |
| US9137139B2 (en) | Sender-specific counter-based anti-replay for multicast traffic | |
| CN107682370B (zh) | 创建用于嵌入的第二层数据包协议标头的方法和系统 | |
| US11418434B2 (en) | Securing MPLS network traffic | |
| US9094375B2 (en) | WAN transport of frames with MAC security | |
| US20100296395A1 (en) | Packet transmission system, packet transmission apparatus, and packet transmission method | |
| US11297037B2 (en) | Method and network device for overlay tunnel termination and mirroring spanning datacenters | |
| US9240898B1 (en) | Integrating VLAN-unaware devices into VLAN-enabled networks | |
| US11595367B2 (en) | Selectively disclosing content of data center interconnect encrypted links | |
| CN113709091B (zh) | 用于基于策略的分组处理的方法、设备和系统 | |
| EP3087696B1 (en) | System and method for multiple concurrent virtual networks | |
| WO2023125993A1 (zh) | 隧道加密,转发和解密方法以及装置 | |
| JP4647479B2 (ja) | IPsec回路及びIPsec処理方法 | |
| US20140112347A1 (en) | System and method for multiple concurrent virtual networks |