JP2011135259A - 暗号化システム、通信装置、暗号化方法及び暗号化プログラム - Google Patents

暗号化システム、通信装置、暗号化方法及び暗号化プログラム Download PDF

Info

Publication number
JP2011135259A
JP2011135259A JP2009291975A JP2009291975A JP2011135259A JP 2011135259 A JP2011135259 A JP 2011135259A JP 2009291975 A JP2009291975 A JP 2009291975A JP 2009291975 A JP2009291975 A JP 2009291975A JP 2011135259 A JP2011135259 A JP 2011135259A
Authority
JP
Japan
Prior art keywords
cfm
pdu
encryption
cfm pdu
carrier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009291975A
Other languages
English (en)
Inventor
Yohei Go
洋平 郷
Makoto Kadowaki
眞 門脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
NEC Magnus Communications Ltd
Original Assignee
NEC Magnus Communications Ltd
NEC AccessTechnica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Magnus Communications Ltd, NEC AccessTechnica Ltd filed Critical NEC Magnus Communications Ltd
Priority to JP2009291975A priority Critical patent/JP2011135259A/ja
Publication of JP2011135259A publication Critical patent/JP2011135259A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】CFM PDUが管理対象外の他の装置等によって傍受又は監視されることを防ぐことができる暗号化システムを提供することを目的とする。
【解決手段】本発明による暗号化システムは、CFM PDUの管理機能を有する通信装置10を備え、通信装置10は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段11と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段12とを含むことを特徴とする。
【選択図】図8

Description

本発明は、通信ネットワークで送受信されるデータを暗号化する暗号化システム、暗号化方法及び暗号化プログラムに関する。また、本発明は、暗号化システムが備える通信装置に関する。
一般的に、IEEE Std 802.1ag−2007で規定される Connectivity Fault Management(以下CFMと呼ぶ)による障害管理では、CFM Protocol Data Unit(以下CFM PDUと呼ぶ)を平文で扱う。
また、例えば、関連する技術として、特許文献1や特許文献2には、送受信するデータを暗号化する方式が記載されている。
特開2007−89028号公報 特開2003−198532号公報
しかし、平文のCFM PDUでは管理するネットワークの状態が容易に分かるため、他のキャリアから回線を借用する時などには、競合相手に回線の状態を知られる可能性がある。
以下、図1に示すキャリア2がキャリア1のネットワークを利用してネットワークを構築する例を用いて課題について説明する。図1に示す例では、キャリア2の全てのフレームは、キャリア1のブリッジネットワークを通過する。具体的には、キャリア2ブリッジ12aが、生成したCFM PDUをキャリア2ブリッジ15aに送信する場合を想定する。この場合、キャリア2ブリッジ12aが送信したCFM PDUは、キャリア1ブリッジ13a及びキャリア1ブリッジ14aを介して、目的のキャリア2ブリッジ15aに到達する。そのため、キャリア1ブリッジ13a及びキャリア1ブリッジ14aは、キャリア2ブリッジ12aが送信したCFM PDUを傍受可能となる。つまり、キャリア1の関係者は、キャリア2が送信したCFM PDUから、経路111又は経路112にて、キャリア2のネットワーク障害状態を知り得ることとなる。
IEEE Std 802.1ag−2007又はITU−T Y.1731上では、このような場合には、キャリア1ブリッジはCFMを透過するように規定されている。しかし、キャリア1ブリッジは、容易にCFMを傍受することができる。そのため、キャリア2ネットワークにとって、キャリア1関係者にキャリア2ネットワークの運用情報を知られてしまうことが課題である。
以上の理由により、送信したCFM PDUがCFMの管理対象外の機器からも監視可能であるという課題がある。
また、特許文献1や特許文献2に記載された方式では、SFD以降のフィールドを暗号化しているため、暗号装置の間にEthernet(登録商標)機器が存在するケースでは、暗号化されたフレームをEthernetフレームと認識できずに廃棄されるケースが考えられる。そのため、暗号装置間同士で対向するケースにおいては適用可能であるが、上記のように装置間に他の装置が設置されるネットワークの構成においては適用することができない。
そこで、本発明は、CFM PDUが傍受又は監視されることを防ぐことができる暗号化システム暗号化方法及び暗号化用プログラムを提供することを目的とする。また、本発明は、暗号化システムが備える通信装置を提供することを目的とする。
本発明による暗号化システムは、CFM PDUの管理機能を有する通信装置を備え、通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを含むことを特徴とする。
本発明による通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを備えたことを特徴とする。
本発明による暗号化方法は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化し、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化することを特徴とする。
本発明による暗号化プログラムは、CFM PDUの管理機能を有するコンピュータに、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化処理と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化処理とを実行させることを特徴とする。
本発明によれば、CFM PDUが傍受又は監視されることを防ぐことができる。
キャリア2がキャリア1のネットワークを利用してネットワークを構築する例を示す説明図である。 本発明による暗号化方法を適用した装置の構成の一例を示すブロック図である。 第1の実施形態における暗号化システムの構成例を示す説明図である。 通信装置がActive SAP側からデータフレームを受信する時の動作例を示すフローチャートである。 通信装置がActive SAP側へデータフレームを送信する時の動作例を示すフローチャートである。 通信装置が生成して送信するCFM PDUのフレームフォーマットの一例を示す説明図である。 第2の実施形態における暗号化システムの構成例を示す説明図である。 暗号化システムの最小の構成例を示すブロック図である。
実施形態1.
以下、本発明の実施形態について図面を参照して説明する。図2は、本発明による暗号化方法を適用した通信装置の構成の一例を示すブロック図である。図2に示すように、暗号化方法を適用した通信装置(以下、装置2a)は、Passive SAP部21aと、Active SAP部22aと、CFM PDU多重部23aと、CFM PDU暗号化部24aと、CFM PDU制御部25aと、CFM PDU復号部26aと、CFM PDU分離多重部27aと、暗号鍵格納部28aと、CFM設定格納部29aとを含む。装置2aは、具体的には、プログラムに従って動作するスイッチングハブ等のネットワーク装置によって実現される。
Passive SAP部21aは、具体的には、プログラムに従って動作するネットワーク装置のネットワークインタフェース部によって実現される。Passive SAP部21aは、データフレーム及び装置2aの管理対象外のCFM PDU(処理されないCFM PDU)を通過させる機能を備えている。
Active SAP部22aは、具体的には、プログラムに従って動作するネットワーク装置のネットワークインタフェース部によって実現される。Active SAP部22aは、装置2aで生成または処理したCFM PDUを、やり取りする機能を備えている。
CFM PDU多重部23aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU多重部23aは、Passive SAP部21aが受信したデータフレームに装置2aで生成したCFM PDUを多重する機能を備えている。
CFM PDU暗号化部24aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU暗号化部24aは、暗号鍵格納部28aが格納する暗号鍵を用いて、装置2aで生成したCFM PDUを暗号化する機能を備えている。CFM PDU暗号化部24aは、暗号化方式として、例えば、AES(Advanced Encryption Standard)を用いて、CFM PDUを暗号化する。
CFM PDU制御部25aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU制御部25aは、受信したCFM PDUを処理する機能を備えている。また、CFM PDU制御部25aは、送信するCFM PDUを生成する機能を備えている。また、CFM PDU制御部25aは、CFM設定格納部29aが格納するCFMの設定データの読み書きをする機能を備えている。
CFM PDU復号部26aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU復号部26aは、暗号鍵格納部28aが格納する暗号鍵を用いて、Active SAP部22aが受信したCFM PDUを復号化する機能を備えている。
CFM PDU分離多重部27aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU分離多重部27aは、EtherタイプとMaintenance Domain Level(以下MD Levelと呼ぶ)とを確認して、EtherタイプがCFMでMD Levelが装置2aと同じフレームを、CFM PDU復号部26aに出力し、その他のフレームをPassive SAP部21aに分離または廃棄する機能を備えている。
暗号鍵格納部28aは、具体的には、磁気ディスク装置や光ディスク装置、メモリ等の記憶装置によって実現される。暗号鍵格納部28aは、CFM PDU暗号化部24aとCFM PDU復号部26aとで用いられる暗号鍵を格納する。
CFM設定格納部29aは、具体的には、磁気ディスク装置や光ディスク装置、メモリ等の記憶装置によって実現される。CFM設定格納部29aは、MD LevelやMaintenance Domain NameなどのCFMの設定データを格納する。
本実施形態における装置2aは、図2に示す構成を用いて、Active SAP部22aで受信した自装置の属するMD LevelのCFM PDUを復号化して処理する。また、装置2aは、自装置から送信するCFM PDUを暗号化して、Active SAP部22aから送信する。また、装置2aは、Passive SAP部21aで受信したデータフレームを、Active SAP部22aに透過する。また、装置2aは、Active SAP部22aで受信したデータフレームを、CFM PDUを除き、Passive SAP部21aに透過する。また、装置2aは、Active SAP部22aで受信したCFM PDUを、自装置とMD Levelが同じ場合には復号処理し、自装置よりMD Levelが低い場合には廃棄の処理をし、自装置よりMD Levelが高い場合にはPassive SAP部に透過する。なお、本実施形態では、透過するとの表現を用いるが、具体的には、Active SAP22aで受信したデータフレームをそのままPassive SAP21aから外部に送信すること、又はPassive SAP21aで受信したデータフレームをそのままActive SAP22aから外部に送信することをいう。
上記の処理により、Active SAP部からPassive SAP部方向及びPassive SAP部からActive SAP部方向へのデータフレームへは影響を与えない。また自装置の属するMD LevelのCFM PDUのみ暗号化及び復号化を行うため、ネットワーク上に存在する管理対象外のネットワーク機器は、装置2aが送受信するCFM PDUを解釈不能のため、管理するネットワークの障害状態を傍受することができない。
次に、上記装置を用いた暗号化システムについて図3を用いて説明する。図3は、第1の実施形態における暗号化システムの構成例を示す説明図である。
図3に示すように、本実施形態における暗号化システムは、ユーザ機器31aと、キャリア2ブリッジ32aと、キャリア1ブリッジ33aと、キャリア1ブリッジ34aと、キャリア2ブリッジ35aと、ユーザ機器36aとを含む。
図3に示す例のうち、本発明による暗号化方法を適用した装置は、図2の構成を備えるキャリア2ブリッジ32a及びキャリア2ブリッジ35aであり、Maintenance association End Point(以下MEPと呼ぶ)として動作する例を示す。また、ユーザ機器31a及びユーザ機器36aは、キャリア2のMD Levelより高いMD Levelが設定されており、MEPとして動作する。また、キャリア1ブリッジ33a及びキャリア1ブリッジ34aは、キャリア2のMD Levelより低いMD Levelが設定されており、MEPとして動作する。
本実施形態では、ユーザ機器間(31a−36a間)で双方向通信されるEtherタイプがCFM以外の通常のデータフレームは、キャリア2ブリッジ(32a及び35a)、キャリア1ブリッジ(33a及び34a)では暗号化されず透過される。
ユーザ機器31a及び36aは、ユーザ機器間(31a−36a間)における双方向のCFM PDUを暗号化せずに送受信する。また、キャリア2ブリッジ32a及び35a並びにキャリア1ブリッジ33a及び34aは、そのCFM PDUを暗号せずにIEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。
キャリア2ブリッジ32a及び35aは、キャリア2ブリッジ間(32a−35a間)での双方向のCFM PDUを、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って生成した後、暗号化して送信する。キャリア2ブリッジ32a及び35aは、自装置のMD Levelに属するCFM PDUを受信した場合には、復号化した後IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。また、キャリア1ブリッジ33a及び34aは、上記CFM PDUを受信した場合には、IEEE Std 802.1ag−2007またはITU−T Y.1731に従い処理する(MD Levelを参照して透過させる)。
キャリア1ブリッジ33a及び34aは、キャリア1ブリッジ間(33a−34a間)での双方向のCFM PDUを、暗号化せずに送受信する。
次に、本実施形態における暗号化システムの動作について説明する。図4は、通信装置がActive SAP部側からデータフレームを受信する時の動作例を示すフローチャートである。図5は、通信装置がActive SAP部側へデータフレームを送信する時の動作例を示すフローチャートである。図6は、本発明の装置が生成して送信するCFM PDUのフレームフォーマットの一例である。
まず図2、図4、図6を用いて、本実施形態における通信装置がデータフレームを受信する時の動作を説明する。通信装置にデータフレームが送信されると、Active SAP部22aは、データフレームを受信し(図4ステップS4001)、受信したデータフレームをCFM PDU分離多重部27aに出力する。
次いで、CFM 分離多重部27aは、Active SAP部22aが出力したデータフレームのEtherタイプのチェックを行う(ステップS4002)。
ステップS4002において、EtherタイプがCFM以外であると判断した場合、CFM 分離多重部27aは、データフレームをPassive SAP部21aに出力する(ステップS4006)。その後Passive SAP部21aは、CFM 分離多重部27aが出力したデータフレームを、外部に送信する。
ステップS4002において、EtherタイプがCFMであると判断した場合、CFM 分離多重部27aは、CFMのデータフレームについて、MD Levelのチェックを行う(ステップS4003)。
ステップS4003において、自装置より低いMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUを廃棄する処理を行う(ステップS4009)。
ステップS4003において、自装置より高いMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUをPassive SAP部21aに出力する(ステップS4007)。その後Passive SAP部21aは、CFM 分離多重部27aが出力したデータフレームを、外部に送信する。
ステップS4003において、自装置と同じMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUをCFM PDU復号部26aに出力する。次いで、CFM PDU復号部26aは、図6に示すCFM PDUのVersionフィールドからEnd TLVまでの箇所を、暗号鍵格納部28aが格納する暗号鍵を用いて復号化する(ステップS4004)。
次いで、CFM PDU復号部26aは、復号化したCFM PDUを、CFM PDU制御部25aに出力する。その後、CFM PDU制御部25aは、IEEE Std 802.1ag−2007またはITU−T Y.1731に従った処理を実行する(ステップS4005)。
次に、図2、図5、図6を用いて、本実施形態における通信装置がデータフレームを送信する時の動作を説明する。
まずCFM PDU制御部25aは、IEEE Std 802.1ag−2007またはITU−T Y.1731に従い、CFM PDUを生成する(ステップS5001)。そして、CFM PDU制御部25aは、生成したCFM PDUを、CFM PDU暗号化部24aに出力する。
次いで、CFM PDU暗号化部24aは、暗号鍵格納部28aが格納する暗号鍵を用いて、図6に示すCFM PDUのVersionフィールドからEnd TLVまでのCFM PDUを暗号化する(ステップS5002)。そして、CFM PDU暗号化部24aは、暗号化したCFM PDUを、CFM PDU多重部23aに出力する。
次いで、CFM PDU多重部23aは、Passive SAP部21aが出力したデータフレームと、CFM PDU暗号化部24aが出力した暗号化したCFM PDUとを、Active SAP部22aに出力する。その後Active SAP部22aは、CFM PDU多重部23aが出力したデータフレームと暗号化したCFM PDUとを、外部に送信する。
以上のように、本実施形態では、CFMの管理対象外の機器にCFM PDUを傍受されることを防ぐために、CFM PDUの暗号化を用いた。これにより以下の効果が得られる。
(1)CFMの管理機器同士は、暗号鍵を保持しており、暗号化及び復号化を行うため、管理対象外の機器からの傍受を防ぐことができる。
(2)暗号化するフレームがCFM PDUだけであり、CFM以外のデータフレームを暗号化しないため、暗号化方法を適用した通信装置の間に設置されたネットワーク機器が暗号化、復号化機能を具備する必要がない。
(3)CFM PDUの暗号箇所をVersionフィールドからEnd TLVまでとするため、暗号化方法を適用した通信装置の間に設置された本装置より低いMD Levelを設定された機器によって、本装置が送受信するCFM PDUを廃棄されることがない。
実施形態2.
次に、本発明による暗号化システムの第2の実施形態について説明する。図7は、第2の実施形態における暗号化システムの構成例を示す説明図である。
図7に示すように、本実施形態における暗号化システムは、ユーザ機器31aと、キャリア2ブリッジ32aと、キャリア1ブリッジ33aと、キャリア1ブリッジ34aと、キャリア2ブリッジ35aと、キャリア2ブリッジ36aと、ユーザ機器37aとを含む。
本実施形態では、図2と同様の構成を備えるキャリア2ブリッジ35aがMaintenance domain Intermediate Point(以下MIPと呼ぶ)として動作する例を示す。また、キャリア2ブリッジ32a及びキャリア2ブリッジ36aは、MEPとして動作する。また、キャリア2ブリッジ32a、35a、36aは、同一のMD Levelである。
ユーザ機器31a及びユーザ機器36aは、キャリア2MD Levelより高いMD Levelが設定されており、MEPとして動作する。また、キャリア1ブリッジ33a及びキャリア1ブリッジ34aは、キャリア2MD Levelより低いMD Levelが設定されており、MEPとして動作する。
キャリア2ブリッジ35aは、自装置のMD Levelに属するCFM PDUを受信した場合には、復号化した後IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。
キャリア2ブリッジ35aは、CFM PDUを送信する場合には、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って生成した後、暗号化して送信する。
以下、キャリア2ブリッジ35aがMIPとして動作する場合に、キャリア2ブリッジ32aが、キャリア2ブリッジ36aにCFM PDUを送信する場合の2つの例を挙げる。
(1)自装置と同じMD LevelであるCFM PDUをキャリア2ブリッジ32aから受信(図7に示す経路311)した場合、キャリア2ブリッジ35aは、CFM PDUを復号化し、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。その後、キャリア2ブリッジ35aは、再びCFM PDUを暗号化し、キャリア2ブリッジ36aに転送(経路312)する。また、キャリア2ブリッジ35aは、送信元に折り返すためのCFM PDUを生成して暗号化し、送信元のキャリア2ブリッジ32aに送信(経路313)する。
(2)自装置と同じMD LevelであるCFM PDUをキャリア2ブリッジ32aから受信(経路314)した場合、キャリア2ブリッジ35aは、CFM PDUを復号化し、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。その後、キャリア2ブリッジ35aは、再びCFM PDUを暗号化し、キャリア2ブリッジ36aに転送(経路315)する。
以上のように、本実施形態では、CFMの管理対象外の機器にCFM PDUを傍受されることを防ぐために、CFM PDUの暗号化を用いた。これにより以下の効果が得られる。
(1)CFMの管理機器同士は、暗号鍵を保持しており、暗号化及び復号化を行うため、管理対象外の機器からの傍受を防ぐことができる。
(2)暗号化するフレームがCFM PDUだけであり、CFM以外のデータフレームを暗号化しないため、暗号化方法を適用した通信装置の間に設置されたネットワーク機器が暗号化、復号化機能を具備する必要がない。
(3)CFM PDUの暗号箇所をVersionフィールドからEnd TLVまでとするため、暗号化方法を適用した通信装置の間に設置された本装置より低いMD Levelを設定された機器によって、本装置が送受信するCFM PDUを廃棄されることがない。
このように、本発明による暗号化システムは、従来の課題を解決する手段として、特定のCFM PDUを暗号化及び復号化する機能を有する。また、自装置が属するMD Level以外の機器からのCFM PDUの傍受を防ぐために、自装置がCFM PDUを送信する場合は暗号化し、自装置に属するMD Level(管理対象)のCFM PDUを受信した場合は復号化する。これにより、CFM管理対象の機器同士はCFM PDUを解釈できるが、管理対象外の機器は暗号化されているため解釈できず、自装置の属するMD Levelのネットワーク障害状態を知ることができない。また、CFM PDUに対応した機器は、受信したCFM PDUのMD Levelが存在しない場合には、透過させずに廃棄する処理を行う。そのため、本発明による暗号化システムは、CFM PDUを暗号化する箇所をversionフィールドからEnd TLVまでとすることで、廃棄されることを回避している。
以上のことから、本発明は、次のような特徴を有しているといえる。本発明は、IEEE Std 802.1ag−2007で規定されるCFMや、ITU−T Y.1731で規定される0AM functions and mechanisms for Ethernet based networksを用いて、管理されるネットワークに対して、CFM PDUのみを暗号化及び復号する機能を機器に持たせることを特徴とする。このことにより、本発明によれば、管理対象外の機器に本発明装置の管理対象のネットワークの状態示したCFM PDUを傍受されずに、監視されないという効果を奏する。また、本発明によれば、暗号化及び復号化の実施を、本発明装置が属するMD LevelのCFM PDUのみに行うため、その他のMD LevelのCFM PDUや通常のデータフレームに対して影響を与えない。
次に、本発明による暗号化システムの最小構成について説明する。図8は、暗号化システムの最小の構成例を示すブロック図である。図8に示すように、暗号化システムは、最小の構成要素として、通信装置10を備えている。また、通信装置は、暗号化手段11と、復号化手段12とを含む。
図8に示す最小構成の暗号化システムでは、暗号化手段11は、通信装置10からCFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する。そして、復号化手段12は、管理対象のCFM PDUを受信した場合、暗号化手段11が暗号化した部分を復号化する。
従って、最小構成の暗号化システムによれば、CFM PDUが傍受又は監視されることを防ぐことができる。
なお、本実施形態では、以下の(1)〜(5)に示すような暗号化システムの特徴的構成が示されている。
(1)暗号化システムは、CFM PDUの管理機能を有する通信装置(例えば、装置2aによって実現される)を備え、通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段(例えば、CFM PDU暗号化部24aによって実現される)と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段(例えば、CFM PDU復号化部26aによって実現される)とを含むことを特徴とする。
(2)暗号化システムにおいて、暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化するように構成されていてもよい。
(3)暗号化システムにおいて、暗号化手段は、CFM PDUのVersionフィールドからEnd TLVまで(例えば、図6に示す暗号化部分)を暗号化するように構成されていてもよい。
(4)暗号化システムにおいて、通信装置で受信したデータフレームが管理対象のCFM PDUであるか否かを判定する判定手段(例えば、CFM PDU分離多重部27aによって実現される)を含み、復号化手段は、判定手段が管理対象のCFM PDUであると判定すると、CFM PDUの暗号部分を復号化するように構成されていてもよい。
(5)暗号化システムにおいて、判定手段は、通信装置で受信したデータフレームが、EtherタイプがCFMであり、かつMD Levelが通信装置のMD Levelと合致する場合に、管理対象のCFM PDUであると判定するように構成されていてもよい。
本発明は、Ethernetインタフェースを具備する通信装置に適用可能である。
(付記)コンピュータに、暗号化処理で、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する処理を実行させる暗号化プログラム。
10 通信装置
11 暗号化手段
12 復号化手段
21a Passive SAP部
22a Active SAP部
23a CFM PDU多重部
24a CFM PDU暗号化部
25a CFM PDU制御部
26a CFM PDU復号部
27a CFM PDU分離多重部
28a 暗号鍵格納部
29a CFM設定格納部
31a,36a ユーザ機器
32a,35a キャリア2ブリッジ
33a,34a キャリア1ブリッジ

Claims (10)

  1. CFM PDUの管理機能を有する通信装置を備え、
    前記通信装置は、
    CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化手段と、
    CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを
    含むことを特徴とする暗号化システム。
  2. 暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
    請求項1記載の暗号化システム。
  3. 暗号化手段は、CFM PDUのVersionフィールドからEnd TLVまでを暗号化する
    請求項1又は請求項2記載の暗号化システム。
  4. 通信装置で受信したデータフレームが管理対象のCFM PDUであるか否かを判定する判定手段を含み、
    復号化手段は、前記判定手段が管理対象のCFM PDUであると判定すると、該CFM PDUの暗号部分を復号化する
    請求項1から請求項3のうちのいずれか1項に記載の暗号化システム。
  5. 判定手段は、通信装置で受信したデータフレームが、EtherタイプがCFMであり、かつMD Levelが該通信装置のMD Levelと合致する場合に、管理対象のCFM PDUであると判定する
    請求項4記載の暗号化システム。
  6. CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化手段と、
    管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを
    備えたことを特徴とする通信装置。
  7. 暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
    請求項6記載の通信装置。
  8. CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化し、
    管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する
    ことを特徴とする暗号化方法。
  9. 通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
    請求項8記載の暗号化方法。
  10. CFM PDUの管理機能を有するコンピュータに、
    CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化処理と、
    管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化処理とを
    実行させるための暗号化プログラム。
JP2009291975A 2009-12-24 2009-12-24 暗号化システム、通信装置、暗号化方法及び暗号化プログラム Pending JP2011135259A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009291975A JP2011135259A (ja) 2009-12-24 2009-12-24 暗号化システム、通信装置、暗号化方法及び暗号化プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009291975A JP2011135259A (ja) 2009-12-24 2009-12-24 暗号化システム、通信装置、暗号化方法及び暗号化プログラム

Publications (1)

Publication Number Publication Date
JP2011135259A true JP2011135259A (ja) 2011-07-07

Family

ID=44347537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009291975A Pending JP2011135259A (ja) 2009-12-24 2009-12-24 暗号化システム、通信装置、暗号化方法及び暗号化プログラム

Country Status (1)

Country Link
JP (1) JP2011135259A (ja)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008131614A (ja) * 2006-11-27 2008-06-05 Kddi Corp 運用保守管理フレームを処理する通信装置、データ構造及びプログラム
JP2008167331A (ja) * 2006-12-29 2008-07-17 Kddi Corp 拡張された保守ドメインレベル管理方法、通信装置、プログラム及びデータ構造
JP2008527929A (ja) * 2005-01-14 2008-07-24 アルカテル−ルーセント アクセスネットワーク内でイーサネット(登録商標)接続障害管理(cfm)を使用してエンドノードをモニタリングするシステムおよび方法
JP2008199555A (ja) * 2007-02-16 2008-08-28 Kddi Corp ループトポロジ検出回避方法、通信装置、管理装置及びプログラム
JP2009516428A (ja) * 2005-11-10 2009-04-16 インターデイジタル テクノロジー コーポレーション Oamプロトコルを使用するmihのための方法およびシステム
JP2009130474A (ja) * 2007-11-21 2009-06-11 Kddi Corp リンク障害予測方法、管理装置、通信装置及びプログラム
JP2009239384A (ja) * 2008-03-26 2009-10-15 Nec Corp 通信システム及び通信方法
WO2009127931A1 (en) * 2008-04-16 2009-10-22 Telefonaktiebolaget L M Ericsson (Publ) Connectivity fault management traffic indication extension
JP2010130113A (ja) * 2008-11-25 2010-06-10 Fujitsu Ltd ネットワーク管理システム、ネットワーク管理方法、マネージャおよびエージェント

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527929A (ja) * 2005-01-14 2008-07-24 アルカテル−ルーセント アクセスネットワーク内でイーサネット(登録商標)接続障害管理(cfm)を使用してエンドノードをモニタリングするシステムおよび方法
JP2009516428A (ja) * 2005-11-10 2009-04-16 インターデイジタル テクノロジー コーポレーション Oamプロトコルを使用するmihのための方法およびシステム
JP2008131614A (ja) * 2006-11-27 2008-06-05 Kddi Corp 運用保守管理フレームを処理する通信装置、データ構造及びプログラム
JP2008167331A (ja) * 2006-12-29 2008-07-17 Kddi Corp 拡張された保守ドメインレベル管理方法、通信装置、プログラム及びデータ構造
JP2008199555A (ja) * 2007-02-16 2008-08-28 Kddi Corp ループトポロジ検出回避方法、通信装置、管理装置及びプログラム
JP2009130474A (ja) * 2007-11-21 2009-06-11 Kddi Corp リンク障害予測方法、管理装置、通信装置及びプログラム
JP2009239384A (ja) * 2008-03-26 2009-10-15 Nec Corp 通信システム及び通信方法
WO2009127931A1 (en) * 2008-04-16 2009-10-22 Telefonaktiebolaget L M Ericsson (Publ) Connectivity fault management traffic indication extension
JP2011518512A (ja) * 2008-04-16 2011-06-23 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 接続障害管理におけるトラフィック指示の拡張
JP2010130113A (ja) * 2008-11-25 2010-06-10 Fujitsu Ltd ネットワーク管理システム、ネットワーク管理方法、マネージャおよびエージェント

Similar Documents

Publication Publication Date Title
KR101936758B1 (ko) 정보 조회 기록의 무결성을 위한 암호화 장치, 방법 및 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치
CN107409139B (zh) 用于无反馈地传输数据的单路耦合装置、询问机构和方法
Szyrkowiec et al. Automatic intent-based secure service creation through a multilayer SDN network orchestration
US9755826B2 (en) Quantum key distribution device, quantum key distribution system, and quantum key distribution method
CN110800269A (zh) 无反作用地将数据单向传输到远程的应用服务器的设备和方法
US11637702B2 (en) Verifiable computation for cross-domain information sharing
US9219709B2 (en) Multi-wrapped virtual private network
US20170264433A1 (en) Quantum key distribution device, quantum key distribution system, and quantum key distribution method
US20240244038A1 (en) Methods to strengthen cyber-security and privacy in a deterministic internet of things
Castellanos et al. Legacy-compliant data authentication for industrial control system traffic
CN107590396B (zh) 数据处理方法及装置、存储介质、电子设备
US20130305053A1 (en) Systems, methods, and apparatus to authenticate communications modules
Huang et al. Implementing publish/subscribe pattern for CoAP in fog computing environment
JP6391823B2 (ja) Rdpデータ収集装置及び方法
EP2811715B1 (en) Systems and methods for intermediate message authentication in a switched-path network
KR102096637B1 (ko) 블록체인에서 정보 조회 시간의 기록을 위한 분산 원장 장치
JP2011135259A (ja) 暗号化システム、通信装置、暗号化方法及び暗号化プログラム
CN209419652U (zh) 一种隔离网闸设备
KR102096639B1 (ko) Uuid를 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치
Szyrkowiec et al. First demonstration of an automatic multilayer intent-based secure service creation by an open source SDN orchestrator
Xu et al. Virtually isolated network: a hybrid network to achieve high level security
JP2020127084A (ja) 暗号化システム及び暗号化方法
TW201424308A (zh) 智慧型電表基礎建設網路系統及其訊息廣播方法
KR102096638B1 (ko) 하이브리드 암호 방식을 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치
TWI571086B (zh) 智慧型電表基礎建設網路系統及其訊息廣播方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120820

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120918