[go: up one dir, main page]

JPWO2018142571A1 - 転送装置および通信ネットワーク - Google Patents

転送装置および通信ネットワーク Download PDF

Info

Publication number
JPWO2018142571A1
JPWO2018142571A1 JP2018565195A JP2018565195A JPWO2018142571A1 JP WO2018142571 A1 JPWO2018142571 A1 JP WO2018142571A1 JP 2018565195 A JP2018565195 A JP 2018565195A JP 2018565195 A JP2018565195 A JP 2018565195A JP WO2018142571 A1 JPWO2018142571 A1 JP WO2018142571A1
Authority
JP
Japan
Prior art keywords
frame
encryption
unit
encrypted
necessity determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018565195A
Other languages
English (en)
Other versions
JP6529694B2 (ja
Inventor
佑介 坂上
佑介 坂上
礼子 井上
礼子 井上
幸子 谷口
幸子 谷口
竜介 川手
竜介 川手
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2018142571A1 publication Critical patent/JPWO2018142571A1/ja
Application granted granted Critical
Publication of JP6529694B2 publication Critical patent/JP6529694B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2801Broadband local area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/324Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

レイヤ2のフレームが入出力される複数のポートと、フレームが暗号化されているか否かを識別するフレーム識別部(221)と、フレームが出力されるポートを決定するアドレスフィルタ部(222)と、フレームに含まれる宛先情報と優先度情報とに応じた暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否判定表とを備え、暗号化されていないフレームの場合、暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、暗号化されているフレームの場合、平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部(223)と、暗号化要と判定されたフレームを暗号化し、平文化要と判定されたフレームを平文化する暗号化平文化処理部(225)と、フレームをポートに出力するスイッチング処理部(224)と、を備えることで暗号化通信と平文通信の両方を実現することができる転送装置(200)を提供する。

Description

本発明は、ネットワークにおいてデータを転送する転送装置に関するものである。
従来、スイッチングハブなどの転送装置を有するレイヤ2ネットワークにおける暗号化および認証技術として、IEEE(The Institute of Electrical and Electronics Engineers) 802.1AEにて標準化されたMACsec(Media Access Control Security)がある。MACsecでは、隣り合う転送装置間(リンクバイリンク)の暗号化通信のみが想定され、転送するフレーム(転送フレーム)の転送先に関する情報についてMACアドレス以外が全て暗号化される。そのため、転送経路にMACsec非対応の転送装置を挟んでしまうと暗号化された情報を読み取れずMACアドレス以外の転送先に関する情報を取得できないので、MACアドレスでの転送制御しか行えなくなり、VLANが設定されたレイヤ2ネットワークにおいて設定されたVLANに適した転送フレームの転送ができないという問題がある。
上述の問題を解決するため特許文献1では、転送フレームがMACアドレス以外にVLAN(Virtual Local Area Network)を識別するVLAN−IDを暗号化しない情報とする構成となっており、VLANが設定されたレイヤ2ネットワークにおいて転送経路の転送装置が暗号化された情報を読み取れなくてもMACアドレスだけでなくVLAN−IDにて転送制御を行える転送装置が提案されている。
特許第5060081(図3A、図3B)
しかしながら、特許文献1の転送装置では、VLAN−IDにて転送フレームの暗号化要否を判断しているのみであり、VLANごとに暗号化通信あるいは平文通信のいずれかを選択できるものの、VLAN−ID以外の情報を用いた転送フレーム毎のよりきめ細かい制御ができないという問題があった。
本発明は上述の問題を解決するためになされたもので、同じVLANに対する転送フレームであってもその属性に応じて暗号化通信と平文通信を切り替えることができる転送装置を実現することを目的とする。
上述した課題を解決し、目的を達成するために、本発明の転送装置は、レイヤ2のフレームが入出力される複数のポートと、ポートで受信されたフレームが暗号化されているか否かを識別するフレーム識別部と、フレームが出力されるポートを決定するアドレスフィルタ部と、フレームに含まれる宛先情報と優先度情報とに応じたフレームの暗号化要否を定める暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否を定める平文化要否判定表とを備え、フレーム識別部において暗号化されていないフレームであると識別された場合、暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、フレーム識別部において暗号化されているフレームであると識別された場合、平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部と、暗号化要否判定部において暗号化要と判定されたフレームを暗号化し、平文化要と判定されたフレームを平文化する暗号化平文化処理部と、暗号化不要もしくは平文化不要と判定されたフレームおよび暗号化もしくは平文化されたフレームをアドレスフィルタ部において決定されたポートに出力するスイッチング処理部と、を備えるものである。
本発明にかかる転送装置によれば、上述の構成を備えるため、同一のVLANに属する転送フレームの属性に応じてフレーム単位に暗号化通信あるいは平文通信を適用することができる。
本発明の実施の形態1に係る通信ネットワークの一例を示す構成図である。 本発明の実施の形態1における転送装置の一例を示す構造図である。 本発明の実施の形態1における処理部の構成の一例を示す構成図である。 本発明の実施の形態1におけるフレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態1における暗号化されたフレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態1における転送先対応表の一例を示すデータベース構成図である。 本発明の実施の形態1におけるアドレスフィルタ部の送信フレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態1に係る通信ネットワークにおける各装置関係の一例を示す構成図である。 本発明の実施の形態1における暗号化要否判定表の一例を示すデータベース構成図である。 本発明の実施の形態1における平文化要否判定表の一例を示すデータベース構成図である。 本発明の実施の形態1における暗号化要否判定部の送信フレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態1における処理部の処理の流れの一例を示す処理フローチャートである。 本発明の実施の形態1における転送装置の効果の一例を示す説明図である。 本発明の実施の形態1における平文化要否判定表の一例を示すデータベース構成図である。 本発明の実施の形態2におけるフレーム識別部の送信フレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態2における優先度識別結果の一例を示す優先度識別結果対応表である。 本発明の実施の形態2における暗号化要否判定表の一例を示すデータベース構成図である。 本発明の実施の形態2におけるフレームのデータ構成の一例を示すフレーム構成図である。 本発明の実施の形態3における処理部の構成の一例を示す構成図である。 本発明の実施の形態4におけるスイッチング処理部の一例を示す構成図である。
以下に、本発明にかかる転送装置の実施の形態を図面に基づいて詳細に説明する。以下で参照する図面においては、同一もしくは相当する部分に同一の符号を付している。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態1.
図1は、本発明の実施の形態1に係る通信ネットワークの一例を示す構成図である。図1において、通信ネットワーク100は、端末装置10(10aから10f)、中継ネットワーク20、伝送路30、および転送装置200(200aから200e)を備える。なお、説明のため通信ネットワーク100が6台の端末装置10と5台の転送装置200とを備えているとしているが、これに限定されず任意の端末装置10と転送装置200を備えていてよい。また、通信ネットワーク100は、VLANに対応したMAC(Media Access Control)フレームを伝送するネットワークである。
端末装置10は、通信ネットワーク100に接続された他の装置とデータの送受信を行う通信の主体となる装置であり、パーソナルコンピュータなどである。
中継ネットワーク20は、転送装置200間を相互接続するネットワークであり、各転送装置200間に情報を中継するレイヤ2ネットワークである。
伝送路30は、端末装置10と転送装置200との間、および転送装置200と中継ネットワーク20の間を接続する伝送路であり、同軸ケーブル、光ケーブル、およびLANケーブルなどである。伝送路30と中継ネットワーク20を介して接続された装置は、相互にデータの送受信を行える。
転送装置200は、端末装置10および中継ネットワーク20と伝送路30を介して接続され、受信したデータを接続された端末装置10あるいは中継ネットワーク20へ転送する。転送装置200の転送方法の詳細については後述する。
次に、図2を用いて転送装置200のハードウェア構成を説明する。図2は、本発明の実施の形態1における転送装置の一例を示す構造図である。図2において、転送装置200は、外部とのインタフェースであるN個(Nは2以上の整数)のポート210(210−1から210−N)、処理を実行する処理部220、処理部220を制御する制御部230、データが記録されるメモリ240、ポート210と処理部220を接続するインタフェース250(250−1から250−N)、処理部220、制御部230、およびメモリ240とをそれぞれ接続するローカルバス260とを備える。
ここで、処理部220は、転送フレームの転送処理を実行する。処理部220は、FPGA(Field Programmable Gate Array)、あるいはLSI(Large Scale Integration)などであればよい。
制御部230は、設定の変更など処理部220を制御する。制御部230は、CPU(Central Processing Unit)などであればよい。
メモリ240は、処理部220から呼び出される転送フレームを転送する転送処理プログラムと制御部230から呼び出される制御プログラム、および各種データベースが記録される。
インタフェース250は、MII(Media Independent Interface)あるいはXAUI(10Gigabit Attachment Unit Interface)などの一般的な規格に基づくインタフェースであればよい。
ローカルバス260は、PCI(Peripheral Component Interconnect)バスあるいはPCI Express(登録商標)などの拡張バスであればよい。
なお、処理部220と制御部230を別体である場合について説明しているが、一体の処理部としてCPUなどで構成されてもよい。
図3は、本発明の実施の形態1における処理部の構成の一例を示す構成図である。なお、ここでは説明のため処理部220に接続するポート210を3台とする。なお、図示は省略しているが、処理部220に接続するポートは210−1、210−2、および210−3の3台である。
図3において処理部220は、フレーム識別部221、アドレスフィルタ部222、暗号化要否判定部223、スイッチング処理部224、および暗号化平文化処理部225を備える。
フレーム識別部221は、接続するポート210から受信したフレームが暗号化されているフレームであるかを識別し、暗号化されている場合は暗号化済みである旨の情報を暗号化要否判定部223に送信する。フレーム識別部221の識別方法の詳細は後述する。
図4は、本発明の実施の形態1におけるMACフレームのデータ構成の一例を示すフレーム構成図である。図4に示すフレームフォーマットは、DIXフォーマットのイーサネット(登録商標)フレームにVLANタグ318を付加した構造になっており、ヘッダ部301、MACフレームで伝送されるデータが含まれるデータ部302、フレームに誤りがないかを調べるための情報であるFCS(Frame Check Sequence)303を含んでいる。さらにヘッダ部301は、宛先MACアドレス311、送信元MACアドレス312、VLANタグ318、イーサネットタイプ316を含んでいる。また、VLANタグ318はUS(User Priority)313、CF(Canonical Format)314、VLAN−ID315を含んでいる。
US313は、IEEE801.Dにて規定されたユーザ優先順位であり、0から7までの値からなり、0が最も優先度が低く、7が最も優先度が高く規定されている。CF314は、宛先MACアドレスと送信元MACアドレスが標準フォーマットに従っているかを示す情報である。VLAN−ID315は、フレームが所属するVLANを示すID情報である。
イーサネットタイプ316は上位層の通信規約を識別するための番号であり、例えば、0x0800がIPv4(Internet Protocol version 4)の通信規約であることを示している。この実施の形態ではDIXフォーマットに基づいたMACフレームを例に説明するが、この発明はDIXフォーマットだけに限定されるものではなく、例えばLLC/SNAP(Logical Link Control/Subnetwork Access Protocol)を含むIEEE802.3規格のMACフレームや、その他のレイヤ2フレームを伝送する場合にも適用可能である。
次に、図5を用いてこの実施の形態に係る暗号化されたMACフレーム(暗号化フレーム)の構成について説明する。図5は、暗号化フレームのデータ構成の一例を示すフレーム構成図である。
図5において暗号化フレームの構成は図4に示したMACフレームと基本的に同じである。異なる点は、イーサネットタイプ331に暗号化されたMACフレームであることを示す特定の値が設定されることと、暗号化データの整合性チェックデータであるICV(Integrity Check Value)333が付加されている点である。ここでは、イーサネットタイプ331にIEEE802.1AEにて規定されたMACsecのフレームであることを示す0x88E5を用いることとする。なお暗号化データ部332は、図4に示すMACフレームのイーサネットタイプ316とデータ部302が暗号化されたデータである。
図3に戻って、フレーム識別部221は、受信したフレームのVLANタグの一つ後ろの情報、図4と図5におけるイーサネットタイプ316、あるいはイーサネットタイプ331を参照して、入力されたフレームが暗号化されているフレームであるか否かを識別する。フレーム識別部221は、フレームが暗号化されているフレームであると識別した場合、暗号化済みフラグ341をフレームに付加し、アドレスフィルタ部222に送信する。なお、フレーム識別部221がフレームに暗号化済みフラグ341を付加する以外にフレーム識別部221と暗号化要否判定部223を接続する信号線を並走させ直接暗号化済みである旨の情報をフレーム識別部221から暗号化要否判定部223に送信してもよい。
アドレスフィルタ部222は、フレーム識別部221から受信したフレームの宛先MACアドレス311と転送先対応表とを比較して転送先を決定し、決定した転送先に関する情報を暗号化要否判定部223に送信する。
図6は、本発明の実施の形態1における転送先対応表の一例を示すデータベース構成図である。なお、転送先対応表はメモリ240に記録されている。
図6において転送先対応表は、宛先MACアドレス311と転送先であるポート、および最終的な転送先である転送先端末装置との対応関係が設定された対応表であり、アドレスフィルタ部222は、受信したフレームの宛先MACアドレス311と転送先対応表を比較し、転送先を決定する。例えば、宛先MACアドレス311が000A01AAA001である場合、アドレスフィルタ部222は、図6に示す転送先対応表を参照して、転送先のポート(転送先ポート)としてポート210−1を、最終的な転送先として端末装置10aを決定する。なお、図6に示す転送先対応表は、メモリ240に記録されており、ネットワーク経由にて自動でダウンロードされても、あるいはユーザが手入力により入力してもよい。
アドレスフィルタ部222は、決定した転送先ポートであるポート210−1と端末装置10aを転送先情報342としてフレームに付加し、暗号化要否判定部223に送信する。図7は、本発明の実施の形態1におけるアドレスフィルタ部が出力するフレームのデータ構成の一例を示すフレーム構成図である。図7において、アドレスフィルタ部222が出力するフレームは、図4に示すMACフレームにフレーム識別部221にて付加された暗号化済みフラグ341とアドレスフィルタ部222にて付加された転送先情報342が付加された構成である。
なお、転送先対応表として図6に示すように宛先MACアドレス311に対して1つの転送先ポートおよび1つの転送先端末装置が対応付けられている例について説明したが、これに限定されず、宛先MACアドレス311が2つ以上の転送先ポートおよび2つ以上の転送先端末装置が対応付けられるマルチキャストアドレスであってもよい。
また、特定の宛先MACアドレス311に対しては転送先対応表において転送先端末装置の代わりにフレームを全廃棄する、あるいは受信ポートを除く全ポートから出力すると設定してもよい。このようにすることで、転送装置200は、転送先端末装置への転送だけでなく、フレームを全廃棄あるいは受信ポートを除く全ポートから出力することができる。
また、転送先情報342として宛先情報のみがフレームに付加されている場合について説明しているが、これに限定されず、送信元情報が付加されていてもよい。例えば、送信元MACアドレス312と送信元である送信元端末装置の対応関係を示す対応表を参照し、送信元端末装置を転送先情報342としてフレームに付加してもよい。
また、特定の送信元MACアドレス312に対しては送信元端末装置の対応関係を示す対応表において送信元先端末装置の代わりにフレームを全廃棄する、あるいは受信ポートを除く全ポートから出力すると設定してもよい。このようにすることで、転送装置200は、転送先端末装置への転送だけでなく、フレームを全廃棄あるいは受信ポートを除く全ポートから出力することができる。
なお、アドレスフィルタ部222が暗号化要否判定部223に転送先情報342を送信する方法として、フレームに転送先情報342を付加する方法を説明しているが、これに限定されず、アドレスフィルタ部222と暗号化要否判定部223を接続する信号線を並走させ直接転送先情報342を暗号化要否判定部223に送信するとしてもよい。このように信号線を並走させて送信する場合は、送信するフレームのデータ容量を大きくすることがないため、より大きなデータ容量の転送先情報342を送信することができるという効果を得ることができる。
図3に戻って、暗号化要否判定部223は、受信したフレームに暗号化済みフラグ341の無い場合、フレームは平文フレームであると判定し転送先情報342と暗号化要否判定表とを比較して暗号化要否を決定し、決定した暗号化要否に関する情報をスイッチング処理部224に送信する。一方、暗号化要否判定部223は、受信したフレームに暗号化済みフラグ341が有る場合、フレームは暗号化されたフレームであると判定し転送先情報342と平文化要否判定表とを比較して平文化要否を決定し、決定した平文化要否に関する情報をスイッチング処理部224に送信する。
まず、受信したフレームに暗号化済みフラグ341の無い場合について説明する。
図8は、本発明の実施の形態1に係る通信ネットワークにおける各装置関係の一例を示す構成図である。ここで、端末装置10、中継ネットワーク20、伝送路30、および転送装置200は図1と同様であるため、説明を省略する。
図8において、実線は同じVLANに所属している装置を、点線は暗号化と平文化に用いる暗号鍵を共有している装置を示している。実線1はVLAN−ID315が1であるVLAN1であり、端末装置10eと10f、および転送装置200aと200eが所属している。実線2はVLAN−ID315が2であるVLAN2であり、端末装置10a、10b、10c、10d、および転送装置200a、200b、200c、200dが所属している。
点線101は、暗号鍵1を共有している装置を示しており、転送装置200a、200bおよび200eが暗号鍵1を共有している。点線102は、暗号鍵2を共有している装置を示しており、転送装置200bと200cが暗号鍵2を共有している。なお、暗号鍵は転送先端末装置と対応付けられて各転送装置200のメモリ240に記憶されている。また、暗号化要否判定部223が暗号化に用いる暗号鍵を特定する方法としては、例えば暗号化要否判定部223がメモリ240に記録された共有している暗号鍵と転送先端末装置の対応表と、アドレスフィルタ部222にて決定した転送先端末装置とを比較し、暗号鍵を特定する。
図9は、本発明の実施の形態1における暗号化要否判定表の一例を示すデータベース構成図である。ここで、図9は図8における転送装置200bに対応する暗号化要否判定表である。なお、暗号化要否判定表は、メモリ240に記録されており、暗号化要否判定部223が参照するデータベースである。
図9は、受信したフレームに含まれるUS313とアドレスフィルタ部222から送信された転送先情報342に含まれる転送先端末装置との組み合わせごとの暗号化要否の判定表である。ここで、平文とは暗号化しないことを示している。
図9において、転送先端末装置が端末装置10aである場合、転送装置200bはUS313が0から7全てにおいて暗号化を行い、フレームを送信することを示している。なお、端末装置10aに接続する転送装置200aと転送装置200bが暗号鍵1を共有しているため、転送装置200bから端末装置10a宛てのフレームは暗号化することができる。
図9において、転送先端末装置が端末装置10bである場合、転送装置200bはUS313が0から7全てにおいて平文にてフレームを送信することを示している。なお、端末装置10bは転送装置200bと直接接続しているため、端末装置10bはフレームを暗号化する必要がなく平文にて送信する。
図9において、転送先端末装置が端末装置10cである場合、転送装置200bはUS313が0から3において平文にてフレームを送信し、US313が4から7において暗号化を行い、フレームを送信することを示している。なお、端末装置10cに接続する転送装置200cと転送装置200bが暗号鍵2を共有しているため、転送装置200bから端末装置10c宛てのフレームは暗号化することができる。
図9において、転送先端末装置が端末装置10dである場合、転送装置200bはUS313が0から7全てにおいて平文にてフレームを送信することを示している。なお、端末装置10dと転送装置200bは同じVLAN1に所属しているが、端末装置10dに接続する転送装置200dと転送装置200bが暗号鍵を共有していないため、転送装置200bから端末装置10d宛てのフレームは暗号化することができず、全て平文にて送信する。
図9において、転送先端末装置が端末装置10eである場合、転送装置200bはUS313が0から7全てにおいて平文にてフレームを送信することを示している。なお、端末装置10eに接続する転送装置200eと転送装置200bが暗号鍵を共有していないため、転送装置200bから端末装置10e宛てのフレームは暗号化することができず、全て平文にて送信する。
図9において、転送先端末装置が端末装置10fである場合、転送装置200bはUS313が2から5において平文にてフレームを送信し、US313が0から1、および6から7において暗号化を行い、フレームを送信することを示している。このようにフレームの優先度ごとに細かい設定を行うことができる。なお、端末装置10fに接続する転送装置200aと転送装置200bが暗号鍵1を共有しているため、転送装置200bから端末装置10f宛てのフレームは暗号化することができる。
なお、転送装置200bから送信された平文フレームと暗号化フレームのいずれにおいても中継ネットワーク20においてVLANタグを読み取ることができ、VLAN−ID315に従って中継処理を行える。例えば、端末装置10eと10fはVLAN2に所属しておりVLAN1に所属している転送装置200bと所属するVLANが異なっているため、転送装置200bから送信された平文フレームと暗号化フレームのいずれも端末装置10eと10fには転送されない。
暗号化要否判定部223は、US313と転送先情報342と、図9に示す暗号化要否判定表とを比較し、暗号化要否を判定し暗号化すると判定した場合は、暗号化フラグ343をフレームに付加し、フレームをスイッチング処理部224に送信する。
次に、受信したフレームに暗号化済みフラグ341の有る場合について説明する。
図10は、本発明の実施の形態1における平文化要否判定表の一例を示すデータベース構成図である。ここで、図10における転送装置200bに対応し暗号鍵1である場合の平文化要否判定表である。なお、図10は、メモリ240に記録されており、暗号化要否判定部223が参照するデータベースである。また、暗号化要否判定部223が受信した暗号化されたフレームの暗号鍵を特定する方法としては、例えば暗号化要否判定部223がメモリ240に記録された共有している暗号鍵とMACアドレスの対応表と、受信したフレームの宛先MACアドレスおよび送信元MACアドレスとを比較し、暗号鍵を特定する。
図10において、暗号化済みとは既にフレームが暗号化されており平文化不要であることを示し、暗号化要否判定部223は暗号化されたフレームのままスイッチング処理部224へフレームを送信する。平文化とは平文化要であることを示し、暗号化要否判定部223はフレームに平文化フラグを付加し、スイッチング処理部224へフレームを送信する。廃棄は、暗号化要否判定部223がフレームを廃棄し、スイッチング処理部224へは送信しない。なお、説明のため図10において暗号化済みと廃棄のどちらも選択できるところは暗号化済みor廃棄と記載しているが、実際はユーザが選択したどちらか一方が記載された判定表を用いる。例えば、ユーザが、転送装置200がフレームを廃棄するのは端末装置10に直接送信する時のみであることを選択するのであれば、直接接続する端末装置でない転送先端末装置については暗号化済みを選択した判定表を用いる。一方、ユーザが、端末装置10に直接接続された転送装置200が暗号鍵を共有していないと判明した時点でフレームを廃棄するのであれば、廃棄を選択した判定表を用いる。
また、図10において、転送装置200bに直接接続されていない端末装置10の場合は、端末装置10に直接接続する転送装置200が暗号鍵1を共有していると暗号化済みであり、共有していないと暗号化済みor廃棄である。これは、端末装置10に直接接続する転送装置200が暗号鍵1を共有している場合は、該当する端末装置10に直接接続する転送装置200がフレームを平文化できるため転送装置200bが暗号化されたフレームをそのまま送信し、暗号鍵1を共有していない場合は、端末装置10に直接接続する転送装置200がフレームを平文化できないため、上述のようにユーザが選択したフレームの廃棄を行う時点によって暗号化されたフレームまま送信するかあるいはフレームを廃棄するかのいずれかの処理を行う。
図10において、転送装置200bに直接接続されている端末装置10である端末装置10bの場合は、平文化である。これは、転送装置200bが直接端末装置10bにフレームを転送するのでフレームを平文化する必要があるためである。
暗号化要否判定部223は、US313と転送先情報342と、図10に示す平文化要否判定表とを比較し、平文化要否を判定し平文化すると判定した場合は、平文化フラグ344をフレームに付加し、フレームをスイッチング処理部224に送信する。
なお、図10において、US313の値によって判定結果が変わらない場合について説明しているが、これに限らず、必要に応じてUS313の値によって判定結果を変更してもよい。
また、図10は、転送装置200bが暗号鍵を共有している暗号鍵1の場合の平文化要否判定表について説明しているが、暗号化されたフレームに用いられている暗号鍵が、転送装置200bが共有していない暗号鍵である場合は、転送装置200bに直接接続する端末装置10bは廃棄との判定結果である判定表となる。これは、端末装置10bについては転送装置200bが直接フレームを転送するので、転送装置200bで平文化できないフレームは端末装置10bでは読み取ることができないためである。
図11は、本発明の実施の形態1における暗号化要否判定部の送信フレームのデータ構成の一例を示すフレーム構成図である。図11(a)は、暗号化要否要の暗号化要否判定部223の送信フレームのデータ構成の一例を示すフレーム構成図であり、図11(b)は、平文化要否要の暗号化要否判定部223の送信フレームのデータ構成の一例を示すフレーム構成図である。ここで、図11(a)は、図7に示すアドレスフィルタ部222の送信フレームに暗号化フラグ343が付加された構成であり、図11(b)は、図7に示すアドレスフィルタ部222の送信フレームに平文化フラグ344が付加された構成である。
図3に戻って、スイッチング処理部224は、暗号化要否判定部223から受信したフレームに暗号化フラグ343あるいは平文化フラグ344が含まれる場合、フレームを暗号化平文化処理部225に送信し、フレームに暗号化フラグ343および平文化フラグ344が含まれない場合、フレームをポート210に出力する。
暗号化平文化処理部225は、スイッチング処理部224から受信したフレームに暗号化フラグ343が含まれる場合、メモリ240に記憶された暗号鍵を用いて暗号化しフレームから暗号化フラグ343を削除して、スイッチング処理部224に送信する。一方、暗号化平文化処理部225は、スイッチング処理部224から受信したフレームに平文化フラグ344が含まれる場合、メモリ240に記憶された暗号鍵を用いて平文化しフレームから平文化フラグ344を削除して、スイッチング処理部224に送信する。
なお、メモリ240に記録された暗号鍵が2つある場合は、受信したフレームの宛先である宛先端末装置に対応する暗号鍵を用いて暗号化する。
次に処理部220の処理の流れについて図12を用いて説明する。図12は、本発明の実施の形態1における処理部の処理の流れの一例を示すフローチャートである。処理部220は、ポート210を介してフレームが入力されると処理を開始する。
まず、ステップS101では、フレーム識別部221は受信したフレームのイーサネットタイプ316を参照しフレームが暗号化されているフレームであるかを識別する。フレーム識別部221は、値が0x88E5である場合、暗号化されているフレームであると識別する。
ステップS102では、フレーム識別部221は、識別結果に応じて、フレームが暗号化されていると識別した場合に暗号化済みフラグ341をフレームに付加する。
ステップS103では、アドレスフィルタ部222は、受信したフレームの宛先情報である宛先MACアドレスと図6に示す転送先対応表を比較し転送先である転送先ポートと転送先端末装置を決定し、転送先情報342としてフレームに付加する。
ステップS104では、暗号化要否判定部223は、フレームに付加された暗号化済みフラグ341の有無からフレームが暗号化されているかを判定する。暗号化要否判定部223は、フレームに暗号化済みフラグ341が含まれていない場合、フレームは暗号化されていないと判定し、フレームに暗号化済みフラグ341が含まれている場合、フレームは暗号化されていると判定する。
ステップS105では、暗号化要否判定部223は、ステップS104での判定結果に応じて、フレームが暗号化されていないのであればステップS106に移行し、フレームが暗号化されているのであれば、ステップS107に移行する。
ステップS106では、転送先情報342と図9に示す暗号化要否判定表を比較することで暗号化要否を判定し、暗号化する場合はフレームに暗号化フラグ343を付加し、ステップS108に移行する。
ステップS107では、転送先情報342と図10に示す平文化要否判定表を比較することで平文化要否を判定し、平文化する場合はフレームに平文化フラグ344を付加し、ステップS108に移行する。
ステップS108では、スイッチング処理部224は、フレームに暗号化フラグ343あるいは平文化フラグ344が含まれている場合は、暗号化あるいは平文化するとしてステップS109に移行し、暗号化フラグ343あるいは平文化フラグ344が含まれていない場合は、ステップS110に移行する。
ステップS109では、暗号化平文化処理部225は、フレームに暗号化フラグ343がある場合、メモリ240に記録された暗号化鍵を用いてフレームを暗号化し、フレームに平文化フラグ344がある場合、メモリ240に記録された暗号化鍵を用いてフレームを平文化する。その後、フレームから暗号化フラグ343および平文化フラグ344を削除する。
ステップS110では、スイッチング処理部224は、転送先情報342の転送先である転送先ポートにフレームを出力し、その後処理を終了する。
以上のように、実施の形態1の転送装置200によれば、同じVLANに属するフレームについて、VLANタグに含まれる優先度情報などの属性に応じたフレームごとの暗号化要否を判定することができ、フレーム単位に暗号化通信と平文化通信を適用することができるという効果を得ることができる。
また、実施の形態1の転送装置200によれば、転送装置200がフレームを暗号化することができるため、暗号化機能を有していない端末装置10間にて暗号化通信を行うことができるという効果を得ることができる。
図13を用いて実施の形態1の転送装置200の効果を説明する。図13において矢印はフレームの送受信の流れを示し、点線で示す矢印が平文フレームを、実線で示す矢印が暗号化フレームである。図13においてフレーム11は端末装置10間において全て平文フレームであり、フレーム12は転送装置200間において暗号化フレームであり、転送装置200と端末装置10の間にて平文化フレームとなる。このように実施の形態1の転送装置200は、同じ転送先ポートより暗号化フレームと平文フレームを送信することができ、また暗号化機能を有していない端末装置10においても暗号化通信を行うことができるという効果を得ることができる。
なお、暗号化要否判定部223における平文化要否の判定方法として図10に示す平文化要否判定表を用いる場合について説明したが、これに限らず、暗号鍵の共有情報と転送先である転送先ポートが直接端末装置10に接続された転送先ポートか、それとも転送装置200に繋がる転送先ポートか、から判定してもよい。ここで、暗号化要否判定部223が転送先ポートを直接端末装置10に接続されたポートであるかを判定する方法は、例えば、メモリ240に直接接続している端末装置10の情報が記録されており、このメモリ240に記録された端末装置10とアドレスフィルタ部222が図6に示す転送先対応表を用いて決定した転送先端末装置とが一致する場合に、転送先ポートであるポート210が直接端末装置10に接続された転送先ポートと判定する。なお、転送装置200に繋がる転送先ポートとは、直接端末装置10に接続された転送先ポート以外のポートであり、転送装置200に直接接続された転送先ポートあるいは中継ネットワーク20などを経由し最終的な宛先端末装置に接続する転送装置200に繋がる転送先ポートである。
図14は、本発明の実施の形態1における平文化要否判定表の一例を示すデータベース構成図である。図14は、転送先ポート毎に平文化要否を判定するための判定表であり、転送先ポートが端末装置10であるとは、転送先ポートが直接端末装置10に直接接続する転送先ポートであることを示し、転送装置200であるとは転送先ポートが転送装置200に繋がる転送先ポートであることを示している。また、図14における暗号鍵を共有していない端末装置10とは、受信した暗号化されたフレームに用いられている暗号鍵を、平文化要否を判定する転送装置200が共有していないことを示している。また、図14は、メモリ240に記録されており、暗号化要否判定部223が参照するデータベースである。なお、転送先ポートとしてポート210ごとに分けているが、VLANが設定されたネットワークにおいては同じポート210においてVLANを設定することで複数の転送先ポートを設定することができる。
図14において、暗号鍵を共有しており転送先ポートが端末装置10である場合は平文化であり、暗号鍵を共有しており転送ポートが転送装置200である場合は暗号化済みである。一方、暗号鍵を共有しておらず転送ポートが端末装置10である場合は廃棄であり、暗号鍵を共有しており転送ポートが転送装置200である場合は暗号化済みor廃棄である。暗号化要否判定部223は、図14を用いて受信した暗号済みフレームの平文化要否を判定する。
このように暗号化要否判定部223が平文化要否を判定することで、図10に示す平文化要否判定表を用いて平文化要否を判定する方法よりも、メモリ240に記録するデータ容量が少ないという効果を得ることができる。
実施の形態2.
実施の形態1では、フレーム識別部221が、フレームが暗号化されているか否かを判定し、暗号化されている場合は暗号化済みフラグ341をフレームに付加する実施の形態について説明した。実施の形態2では、フレーム識別部221がさらにフレームから転送先に関連する情報と暗号化の要否判定に関連する情報を抽出し、内部ヘッダとしてフレームに付加する実施の形態について説明する。なお、通信ネットワーク100の構造と転送装置200の構造ついては実施の形態1と同様のため説明を省略する。
フレーム識別部221は、図4に示すフレームからフレームの転送先に関する情報である転送先関連情報345として、宛先MACアドレス311あるいは送信元MACアドレス312あるいはその両方を抽出し、暗号化要否に関する情報である暗号化要否関連情報346としてUS313、VLAN−ID315、イーサネットタイプ316等を抽出する。なお、以降においてフレーム識別部221は、転送先関連情報345として宛先MACアドレス311を、暗号化要否関連情報346としてUS313を抽出した例について説明する。
フレーム識別部221は、抽出した転送先関連情報345と暗号化要否関連情報346を内部ヘッダ350としてフレームに付加し、アドレスフィルタ部222に送信する。図15は、本発明の実施の形態2におけるフレーム識別部の送信フレームのデータ構成の一例を示すフレーム構成図である。図15において、内部ヘッダ350は、フレームの転送先に関する情報である転送先関連情報345とフレームの暗号化要否に関する情報である暗号化要否関連情報346から構成される。ここでは、フレーム識別部221が抽出した宛先MACアドレス311が転送先関連情報345であり、US313が暗号化要否関連情報346である。
なお、フレームが暗号化されていないフレームである場合について説明しているが、暗号化済みのフレームであっても暗号化されていないヘッダ部301から転送先関連情報345と暗号化要否関連情報346を抽出してよい。
内部ヘッダ350を付加されたフレームを受信したアドレスフィルタ部222は内部ヘッダ350の転送先関連情報345を用いてフレームの転送先ポートと転送先端末装置を決定し、暗号化要否判定部223は、内部ヘッダ350の暗号化要否関連情報346を用いてフレームの暗号化要否を判定する。
以上のように、実施の形態2の転送装置200によれば、フレーム識別部221にて抽出されフレームに付加された内部ヘッダ350を用いてアドレスフィルタ部222と暗号化要否判定部223にてそれぞれフレームの転送先の決定とフレームの暗号化要否の判定を行えるため、アドレスフィルタ部222と暗号化要否判定部223がそれぞれフレームの対象箇所を探索する必要がなく、処理速度を速くできるという効果を得ることができる。
なお、フレーム識別部221がアドレスフィルタ部222と暗号化要否判定部223に転送先関連情報345と暗号化要否関連情報346を送信する方法として、フレームに内部ヘッダ350として付加する方法を説明しているが、これに限定されず、フレーム識別部221とアドレスフィルタ部222、およびフレーム識別部221と暗号化要否判定部223を接続する信号線を並走させ直接転送先関連情報345と暗号化要否関連情報346を送信するとしてもよい。このように信号線を並走させて送信する場合は、転送先関連情報345と暗号化要否関連情報346のデータ容量によりフレームのデータ容量が大きくなることを防ぐことができるという効果を得ることができる。
なお、フレーム識別部221は、フレームに含まれる情報をそのまま転送先関連情報345と暗号化要否関連情報346としてアドレスフィルタ部222と暗号化要否判定部223に送信する方法について説明したが、これに限らず、フレーム識別部221が加工した情報を転送先関連情報345と暗号化要否関連情報346として送信するとしてもよい。例えば、フレーム識別部221がUS313から優先度識別結果を求め、優先度識別結果を暗号化要否関連情報346として内部ヘッダ350に付加したフレームをアドレスフィルタ部222と暗号化要否判定部223に送信してもよい。
図16は、本発明の実施の形態2における優先度識別結果の一例を示す優先度識別結果対応表である。図16においてUS313が0から1の場合が低優先、US313が2から3の場合が中優先、US313が4から5の場合が高優先、US313が6から7の場合が最高優先に対応している。フレーム識別部221は、図16の対応表に基づいて優先度識別結果を求め、暗号化要否関連情報346とする。なお、図16はメモリ240に記録されており、フレーム識別部221が参照するデータベースである。
また、暗号化要否判定部223が暗号化要否の判定に用いる暗号化要否判定表として図9に示すUS313のようにフレームに元々含まれている情報を用いた判定表である場合を説明しているが、これに限定されず、図16に示す優先度識別結果のようにフレーム識別部221が求めた情報を用いた判定表であってもよい。
図17は、本発明の実施の形態2における暗号化要否判定表の一例を示すデータベース構成図である。図17は、図9におけるUS313の代わりに優先度識別結果と転送先端末装置との判定表である。ここで、優先度識別結果は最高優先、高優先、中優先、および低優先の4つであり、図9に示すUS313を用いた判定表よりもデータ容量が小さいという効果を得ることができる。なお、図17は、図9におけるUS313が優先識別結果に代わっただけであるため、説明は省略する。また、図17はメモリ240に記録されており、暗号化要否判定部223が参照するデータベースである
なお、転送先に関連する情報としてレイヤ2のヘッダ情報のみを用いる場合について説明しているが、暗号化されていないフレームの場合、転送装置200はレイヤ2の情報に加えて上位レイヤの情報を用いて転送処理を行ってもよい。以下に、図18に示す、MACフレームがTCP(Transmission Control Protocol)/IPv4のフレームを伝送する場合を例に説明する。
図18は、本発明の実施の形態2におけるフレームのデータ構成の一例を示すフレーム構成図である。図18(a)は、図4に示したフレームの構成を示している。
図18(b)は、IPv4フレームの構造を示しており、IPv4フレームはIPバージョン情報361、TOS(Type of Service)362、プロトコル番号363、送信元IPアドレス364、宛先IPアドレス365、およびその他ヘッダ情報366からなるIPv4ヘッダと、データ部であるその他情報367により構成される。なお、図18(b)はIPフレームに含まれる情報を示すことを目的としており、IPフレームの正確な構造を示すものではない。
IPバージョン情報361は、通信規約の種類を示す値であり、IPv4フレームでは4である。
TOS362は、通信の種別を示す値であり、フレームの優先度を示す値である。TOS362は、0から7までの値からなり、0が最も優先度が低く、7が最も優先度が高く規定されている。
プロトコル番号363は、上位層の通信規約を識別するための番号であり、例えば、6がTCPの通信規約であることを示す。
宛先IPアドレス364と送信元IPアドレス365は、それぞれフレームの宛先とフレームの送信元である端末装置10を識別するための番号である、第3層に対応するIPアドレスである。
図18(c)はTCPフレームの構造を示しており、送信元論理ポート番号371、宛先論理ポート番号372、およびその他ヘッダ情報373を含むTCPヘッダとデータ部であるその他情報374により構成される。なお、図18(c)はTCPフレームに含まれる情報を示すことを目的としており、TCPフレームの正確な構造を示すものではない。
宛先論理ポート番号371と送信元論理ポート番号372は、それぞれフレームの宛先とフレームの送信元である各端末装置10に接続する仮想的なポートに割り当てられた番号であり、0から65535までの値からなる。
実施の形態2における転送装置200が図18に示すTCP/IPv4フレームを含むMACフレームの転送処理を行う場合、転送先関連情報345として、宛先MACアドレス311、送信元MACアドレス312、宛先IPアドレス364、送信元IPアドレス365、宛先論理ポート番号371あるいは送信元論理ポート番号372のいずれかを抽出し、暗号化要否関連情報346としてUS313、VLAN−ID315、イーサネットタイプ316、TOS362あるいはプロトコル番号363のいずれかを抽出する。
上述のように抽出された転送先関連情報345よりアドレスフィルタ部222が最終宛先である転送先端末装置を決定し、暗号化要否判定部223が暗号化要否および平文化要否を判定する。例えば、図9に示す暗号化要否判定表のUS313の代わりにTOS362を用いた暗号化要否判定表にて判定するとしてもよい。
実施の形態3.
実施の形態1では、転送装置200の処理部220が各ポートそれぞれに対応するフレーム識別部221、アドレスフィルタ部222、および暗号化要否判定部223を備える場合について説明した。実施の形態3では、各ポートから送信されたフレームを各部に送信する前に一度多重化する実施の形態について説明する。なお、通信ネットワークの構成については実施の形態1同様のため説明を省略する。また、転送装置200の構成についても実施の形態1における処理部220が処理部420に代わっただけであるため、説明を省略する。
図19は、本発明の実施の形態3における処理部の構成の一例を示す構成図である。図19における処理部420は、実施の形態1の処理部220に入力多重化部421が追加し、フレーム識別部221、アドレスフィルタ部222、および暗号化要否判定部223がそれぞれ1つとなった構成である。なお、説明のため、図19には処理部420の他にポート210(210−1から210−3)を記載している。
図19において、入力多重化部421は、各ポート210からフレームが入力され、入力されたフレームを多重化しフレーム識別部221に送信する。フレーム識別部221、アドレスフィルタ部222、暗号化要否判定部223、スイッチング処理部224、および暗号化平文化処理部225は入力多重化部421にて多重化されたフレームについて処理を行う。
なお、フレーム識別部221、アドレスフィルタ部222、暗号化要否判定部223、スイッチング処理部224、および暗号化平文化処理部225は実施の形態1と同様であるため説明を省略する。また、処理部420の処理の流れについても実施の形態1の処理部220に入力多重化部421でのフレームを多重化する処理が追加されただけであるため、説明を省略する。
以上のように、実施の形態3の転送装置200によれば、処理部220が入力多重化部421を備えることで、処理部220構成するフレーム識別部221、アドレスフィルタ部222、および暗号化要否判定部223を少なくすることができ、処理部420の回路規模を小さくできるという効果を得ることができる。
なお、処理部420が備えるフレーム識別部221、アドレスフィルタ部222、および暗号化要否判定部223を1つとして説明しているが、接続するポート数に応じて2つ以上備えてもよい。
実施の形態4.
実施の形態4では、スイッチング処理部224が暗号化平文化を行うフレームを送受信する伝送路と暗号化平文化を行わない伝送路の2つを備える転送装置200について説明する。なお、通信ネットワーク100の構成と転送装置200の構成については実施の形態1同様のため説明を省略する。
図20は、本発明の実施の形態4におけるスイッチング処理部の一例を示す構成図である。図20におけるスイッチング処理部224は、暗号化平文化を行うフレームを記録するキューを有する暗号化平文化要記録部501、暗号化平文化を行わないフレームを記録するキューを有する暗号化平文化否記録部502、暗号化平文化を行うフレームを送受信する暗号化平文化パス503、暗号化平文化を行わず低遅延にてフレームをそのまま送受信する低遅延パス504、およびフレームの送信タイミングを制御する送信制御部505を備える。ここで、送信制御部505は、暗号化平文化要記録部501と暗号化平文化否記録部502からのフレームの送信と、図示しない各ポート210へのフレームの送信を制御する。なお、図面において実線はデータの送受信を、点線は制御命令を示している。また、説明のためスイッチング処理部224に接続する暗号化平文化処理部225を記載している。
図20において、暗号化フラグあるいは平文化フラグが含まれているフレームは暗号化平文化要記録部501が受信し、暗号化フラグあるいは平文化フラグが含まれていないフレームは暗号化平文化否記録部502が受信する。
暗号化平文化要記録部501は暗号化平文化を行うフレームを記録するキューを有しており、送信制御部505からフレームを送信する指示を受信するとキューに記録された一番古い情報を、暗号化平文化パス503を介して暗号化平文化処理部225に送信する。
暗号化平文化否記録部502は暗号化平文化を行わないフレームを記録するキューを有しており、送信制御部505からフレームを送信する指示を受信するとキューに記録された一番古い情報を、低遅延パス504を介して送信制御部505に送信する。
送信制御部505は暗号化平文化要記録部501と暗号化平文化否記録部502にフレーム送信を指示し、また暗号化平文化処理部225から送信されたフレームを受信するとフレームに含まれる転送先情報342に従って図示しない各ポート210へのフレームの送信を制御する。
以上のように、実施の形態4の転送装置200によれば、スイッチング処理部224が暗号化平文化パス503と低遅延パス504を備えることで、暗号化平文化が必要なフレームと暗号化平文化が必要ないフレームの送信経路を異ならせることができ、転送装置200は暗号化平文化の必要のないフレームの送信が遅延することを防ぐことができるという効果を得ることができる。
1 VLAN1領域、2 VLAN2領域、10 端末装置、11,12 フレーム、20 中継ネットワーク、30 伝送路、100 通信ネットワーク、101 暗号鍵1共有領域、102 暗号鍵2共有領域、200 転送装置、210 ポート、220,420 処理部、230 制御部、240 メモリ、250 インタフェース、260 ローカルバス、221 フレーム識別部、222 アドレスフィルタ部、223 暗号化要否判定部、224 スイッチング処理部、225 暗号化平文化処理部、421 入力多重化部、501 暗号化平文化要記録部、502 暗号化平文化否記録部、503 暗号化平文化パス、504 低遅延パス、505 送信制御部。

Claims (5)

  1. レイヤ2のフレームが入出力される複数のポートと、
    前記ポートで受信された前記フレームが暗号化されているか否かを識別するフレーム識別部と、
    前記フレームが出力される前記ポートを決定するアドレスフィルタ部と、
    フレームに含まれる宛先情報と優先度情報とに応じたフレームの暗号化要否を定める暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否を定める平文化要否判定表とを備え、前記フレーム識別部において暗号化されていないフレームであると識別された場合、前記暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、前記フレーム識別部において暗号化されているフレームであると識別された場合、前記平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部と、
    前記暗号化要否判定部において暗号化要と判定された前記フレームを暗号化し、平文化要と判定された前記フレームを平文化する暗号化平文化処理部と、
    暗号化不要もしくは平文化不要と判定された前記フレームおよび暗号化もしくは平文化された前記フレームを前記アドレスフィルタ部において決定された前記ポートに出力するスイッチング処理部と、
    を備える転送装置。
  2. 前記フレームはレイヤ2より上位レイヤの情報を含んでおり、
    前記アドレスフィルタ部は前記上位レイヤの情報に含まれる宛先情報に基づいて出力される前記ポートを決定し、
    前記暗号化要否判定部が備える暗号化要否判定表は前記上位レイヤの情報に含まれる宛先情報と優先度情報に応じた判定表であり、
    前記暗号化要否判定部が備える平文化要否判定表は前記上位レイヤの情報に含まれる宛先情報に応じた判定表であることを特徴とする請求項1に記載の転送装置。
  3. 前記複数のポートから入力されたフレームを多重化する入力多重化部と、
    を備え、
    前記フレーム識別部、前記アドレスフィルタ部、前記暗号化要否判定部、および前記暗号化平文化処理部は前記入力多重化部が多重化したフレームについて処理を行うことを特徴とする請求項1あるいは2に記載の転送装置。
  4. 前記スイッチング処理部は前記暗号化平文化処理部へ送信するフレームが通過する暗号化平文化パスと前記暗号化平文化処理部へ送信しないフレームが通過する低遅延パスとを備えることを特徴とする請求項1あるいは2に記載の転送装置。
  5. 請求項1あるいは2に記載の転送装置と、
    前記フレームを生成する端末装置と、
    前記転送装置間を接続する中継ネットワークと、
    を備える通信ネットワーク。
JP2018565195A 2017-02-03 2017-02-03 転送装置および通信ネットワーク Active JP6529694B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/003949 WO2018142571A1 (ja) 2017-02-03 2017-02-03 転送装置および通信ネットワーク

Publications (2)

Publication Number Publication Date
JPWO2018142571A1 true JPWO2018142571A1 (ja) 2019-04-18
JP6529694B2 JP6529694B2 (ja) 2019-06-12

Family

ID=63039471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018565195A Active JP6529694B2 (ja) 2017-02-03 2017-02-03 転送装置および通信ネットワーク

Country Status (5)

Country Link
US (1) US11159495B2 (ja)
JP (1) JP6529694B2 (ja)
CN (1) CN110226312A (ja)
TW (1) TWI653856B (ja)
WO (1) WO2018142571A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12238076B2 (en) * 2018-10-02 2025-02-25 Arista Networks, Inc. In-line encryption of network data
JP7213664B2 (ja) * 2018-11-19 2023-01-27 三菱電機株式会社 中継装置、中継方法及び中継プログラム
CN110351281B (zh) * 2019-07-15 2021-01-05 珠海格力电器股份有限公司 一种通用数据帧解析方法、装置及设备
JP7390879B2 (ja) * 2019-12-05 2023-12-04 三菱重工業株式会社 通信処理装置、通信処理方法およびプログラム、並びにネットワーク層のヘッダ部のデータ構造
JP7437196B2 (ja) * 2020-03-16 2024-02-22 住友電気工業株式会社 スイッチ装置、車載通信システムおよび通信方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012501108A (ja) * 2008-08-22 2012-01-12 マーベル ワールド トレード リミテッド 高精度時間プロトコルおよび媒体アクセス制御セキュリティをネットワークエレメントに統合する方法および装置
JP2013062745A (ja) * 2011-09-14 2013-04-04 Brother Ind Ltd 通信制御装置、通信制御方法、および通信制御プログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239184A (ja) 1998-02-23 1999-08-31 Matsushita Electric Works Ltd スイッチングハブ
JP2004015141A (ja) 2002-06-04 2004-01-15 Fuji Xerox Co Ltd データ伝送システムおよびその方法
US7398386B2 (en) 2003-04-12 2008-07-08 Cavium Networks, Inc. Transparent IPSec processing inline between a framer and a network component
JP2005295468A (ja) * 2004-04-06 2005-10-20 Hitachi Hybrid Network Co Ltd 通信装置及び通信システム
JPWO2006093079A1 (ja) 2005-02-28 2008-08-07 日本電気株式会社 通信システム、通信装置、通信方法、及びプログラム
CN101180838B (zh) * 2005-05-09 2013-05-08 三菱电机株式会社 通信装置及交换处理装置
US8000344B1 (en) * 2005-12-20 2011-08-16 Extreme Networks, Inc. Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network
JP5060081B2 (ja) 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN100563148C (zh) * 2006-09-15 2009-11-25 华为技术有限公司 Mac安全网络通信方法以及网络设备
JP5258305B2 (ja) 2008-01-08 2013-08-07 キヤノン株式会社 セキュリティ通信装置、及び方法
JP5310824B2 (ja) 2011-11-10 2013-10-09 株式会社リコー 伝送管理装置、プログラム、伝送管理システムおよび伝送管理方法
CN104935593B (zh) * 2015-06-16 2018-11-27 新华三技术有限公司 数据报文的传输方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012501108A (ja) * 2008-08-22 2012-01-12 マーベル ワールド トレード リミテッド 高精度時間プロトコルおよび媒体アクセス制御セキュリティをネットワークエレメントに統合する方法および装置
JP2013062745A (ja) * 2011-09-14 2013-04-04 Brother Ind Ltd 通信制御装置、通信制御方法、および通信制御プログラム

Also Published As

Publication number Publication date
CN110226312A (zh) 2019-09-10
US11159495B2 (en) 2021-10-26
WO2018142571A1 (ja) 2018-08-09
TWI653856B (zh) 2019-03-11
TW201830926A (zh) 2018-08-16
US20200127978A1 (en) 2020-04-23
JP6529694B2 (ja) 2019-06-12

Similar Documents

Publication Publication Date Title
JP6529694B2 (ja) 転送装置および通信ネットワーク
US9015467B2 (en) Tagging mechanism for data path security processing
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
EP3254418B1 (en) Packet obfuscation and packet forwarding
US7979693B2 (en) Relay apparatus for encrypting and relaying a frame
US9258282B2 (en) Simplified mechanism for multi-tenant encrypted virtual networks
EP1435716B1 (en) Security association updates in a packet load-balanced system
US7587587B2 (en) Data path security processing
US7869597B2 (en) Method and system for secure packet communication
US11418434B2 (en) Securing MPLS network traffic
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
US20050220091A1 (en) Secure remote mirroring
CN114244626B (zh) 一种基于MACSec网络的报文处理方法和装置
CN112491821A (zh) 一种IPSec报文转发的方法及装置
US11595367B2 (en) Selectively disclosing content of data center interconnect encrypted links
US8000344B1 (en) Methods, systems, and computer program products for transmitting and receiving layer 2 frames associated with different virtual local area networks (VLANs) over a secure layer 2 broadcast transport network
US10230698B2 (en) Routing a data packet to a shared security engine
CN114365455A (zh) 用于在自动化网络中处理电报的方法、自动化网络、主用户以及从用户
JP2002185540A (ja) 暗号装置、暗号化器および復号器

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190125

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190125

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190514

R150 Certificate of patent or registration of utility model

Ref document number: 6529694

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250