JP2013514682A - ノード間秘密保持通信方法およびシステム - Google Patents

ノード間秘密保持通信方法およびシステム Download PDF

Info

Publication number
JP2013514682A
JP2013514682A JP2012543453A JP2012543453A JP2013514682A JP 2013514682 A JP2013514682 A JP 2013514682A JP 2012543453 A JP2012543453 A JP 2012543453A JP 2012543453 A JP2012543453 A JP 2012543453A JP 2013514682 A JP2013514682 A JP 2013514682A
Authority
JP
Japan
Prior art keywords
source
node
destination
exchange
facility
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012543453A
Other languages
English (en)
Other versions
JP5507705B2 (ja
Inventor
▲満▼霞 ▲鉄▼
▲軍▼ 曹
琴 李
莉 ▲葛▼
振海 黄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Publication of JP2013514682A publication Critical patent/JP2013514682A/ja
Application granted granted Critical
Publication of JP5507705B2 publication Critical patent/JP5507705B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は有線ローカルエリアネットワークノード間の秘密保持通信方法およびシステムを開示する。当該有線ローカルエリアネットワークノード間の秘密保持通信方法は、ノード間に共有キーを確立するステップ1)と、ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)とを含む。本発明が提供するノード間の秘密保持通信の方法はノード間異なる通信情況に基づき、分類を実行し、適切な秘密保持通信戦略を選択できるため、ホップバイホップ暗号化と比較すれば、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮できる。また、いずれかの2つのノード間にステーション間キーを確立することにより保護通信機密性を保護する方法と比べれば、キーの数を減らしキー管理を簡略化することができる。

Description

本出願は、2009年12月18日に中国特許局に提出し、出願番号が200910219572.8であり、発明名称が「ノード間秘密保持通信方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本発明はネットワーク安全分野に関し、特に特別ノード間秘密保持通信方法およびシステムに関する。
有線ローカルエリアネットワークは通常ブロードキャスト型ネットワークであり、いずれかの1つのノードが送信したデータは他のノードも受信できる。ネットワークにおける各ノードはチャンネルを共用するため、ネットワークに重大なセキュリティリスクをもたらす。攻撃者はネットワークにアクセスしモニタリングを行えば、ネットワークの全てのデータパケットを入手できる。現在の国家基準GB/T15629.3(IEEE802.3或いはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLAN(Local AreaNetwork)はデータ秘密保持の方法を提供しておらず、これでは重要な情報が攻撃者に容易に傍受されてしまう。
有線ローカルエリアネットワークにおいて、IEEEはIEEE 802.3のセキュリティ強化を行うことによりリンク層のセキュリティを実現する。IEEE 802.1AEはイーサネット(登録商標)のデータ過密プロトコルを提供することを保護するために、ホップバイホップ暗号化の安全対策を採用することによりネットワークノード間データの安全な伝送を実現する。しかし、このようなセキュリティ対策はローカルエリアネットワークの交換設備に非常に大きい算定負荷をかけ、攻撃者の交換設備に対する攻撃を招きやすくする。かつ、データパケットの送信元ノードから対象ノードへの伝送遅延も増え、ネットワークの伝送効率を低下させる。
有線ローカルエリアネットワークのトポロジ構造は複雑で、関連するノード(以下、ユーザ端末と交換設備をノードと総称)の数も多いので、ネットワークのデータ通信も複雑である。もし全ノードにおいて二つのノードごとに共有キーを確立すると、ノードが保存しなければならない共有キーの数は非常に多くなる。もし隣接ノード間の共有キーを利用してホップバイホップ暗号化のセキュリティ対策を使行えば、ネットワーク交換設備に非常に大きい算定負荷を再びもたらす。
よって、ノード間秘密保持通信の問題を解決するための方法を研究する必要がある。データのノード間での秘密保持伝送を保証する一方で、もう一方ではキーの数とキーが確立した複雑度をできるだけ減らし、同時にノードの暗号化・復号能力を考慮しなければならない。
背景技術における上述の技術問題を解決するため,本発明は、ノード間での交換ルーティング情報を基礎とするデータ通信のタイプを分類し、異なる秘密保持通信の戦略を選択するノード間秘密保持通信方法およびシステムを提供する。
本発明の技術解决方案として、本発明はノード間の秘密保持通信方法を提供しており、上述ノード間の秘密保持通信方法は、
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする。
好ましくは、上述ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含む。
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報をIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ぶ、送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送は中間交換設備を経由品可能性もあるし、複数の中間交換設備を経由する可能性もある。
好ましくは、上述ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含む
好ましくは、対象ノードNDestinationが送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後に実行する上述ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含む。
好ましくは、各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信した後に実行する上述ステップ2.3)は、
交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含む。
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、上述ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含む。
好ましくは、上述ステップ4)は送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信であり、データ通信タイプの違いに基づき、通信に採用される秘密保持通信戦略も異なる。
より好ましくは、データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合、上述ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含む。
好ましくは、データ通信タイプが交換設備から直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含む。
好ましくは、データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含む。
好ましくは、データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含む。
好ましくは、データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含む。
好ましくは、データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含む。
好ましくは、データ通信タイプがユーザ端末から異なる交換設備下の直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含む。
本発明はさらにノード間秘密保持通信システムを提供しており、上述システムは、送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有し、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
上述システムはさらに、送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設を有する。
本発明の利点は、本発明が提供している有線ローカルエリアネットワークノード間秘密保持通信方法とシステムであり、隣接ノード間と、両端交換設備間と、同一交換設備下の直結両端ユーザ端末間とに共有キーを確立しなければならない。交換ルーティング探索プロセスにおいて獲得したノード間の交換ルーティング情報に基づき、両ノード間のデータ通信が属するタイプを判断する。これにより対応する秘密保持通信戦略を選ぶ。本発明が提供している方法は、システムにおいて交換ルーティング情報を基礎するデータ通信のタイプを分類し、異なるデータ通信タイプに対しては異なる秘密保持通信戦略を採用する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全両端ノード間にステーション間キーを確立することにより通信機密性を保護する方法に対しては、キーの数を減少させ、キー管理を簡略化する。
本発明における上記ローカルエリアネットワークの基本フレームワーク図である。 本発明における上記ノード間の交換ルーティングのネットワーク構造を示す図である。 本発明における上記交換ルーティング探索プロトコルを示す図である。 本発明における上記ノード間の交換ルーティングの探索を示す図である。 本発明における上記ノード間のデータ通信タイプの判断フローチャートを示す図である。 本発明における上記交換設備から交換設備までの通信(隣接)を示す図である。 本発明における上記交換設備から交換設備までの通信(非隣接)示す図である。 本発明における上記交換設備から直結ユーザ端末までの通信を示す図である。 本発明における上記交換設備から非直結ユーザ端末までの通信を示す図である。 本発明における上記ユーザ端末から直結交換設備までの通信を示す図である。 本発明における上記ユーザ端末から非直結交換設備までの通信を示す図である。 本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(確立ステーション間キー)を示す図である。 本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(ステーション間キーの確立なし)を示す図である。 本発明における上記ユーザ端末から異なる交換設備の直結ユーザ端末までの通信を示す図である。
本発明に係るけるノードN(Node)とは、ネットワークにおけるユーザ端末STA(Station)と交換設備SW(Switch)を指す。集線装置(hub)等物理層設備はノードとしない。
本発明において定義している直結とは、交換設備間或いは交換設備とユーザ端末間のケーブル或いは集線装置(hub)等物理層設備による直接接続する連接関係を指す。他の設備を介して接続したノード間は直結関係に属さない。
図1−12に示す通り、本発明にかかる有線ローカルエリアネットワークノードの秘密保持通信方法は主に、共有キーの確立ステップ、交換ルーティングの探索ステップ、データ通信分類ステップおよびノード間の秘密保持通信ステップとの4つのプロセスを備え、具体的な実施形態は以下の通りである。
ステップ1)共有キーの確立:ユーザ端末と交換設備間、交換設備のいずれかの二つの間および同一交換設備の2つの直結ユーザ端末間を含むノード間において共有キーを確立する。具体的に以下のステップより実行する。
ステップ1.1)隣接ノード間に共有キーを確立し、ユニキャストキーUSK(Unicast Session Key)と呼ぶ。
ステップ1.2)交換設備にいずれかの二つの間において共有キーを確立し、このような場合の共有キーを交換キーSWkey (SWitch key)と呼ばれ、ここで、隣接交換設備間のユニキャストキーは、隣接交換設備間の交換キーである。
ステップ1.3)ローカル戦略に基づき、同一交換設備の2つの直結ユーザ端末間において共有キーを確立し、この場合の共有キーをステーション間キーSTAkey(STAtion key)と呼ぶ。
ローカルエリアネットワークの基本フレームワークは図1に示す通りである。全部の隣接するノード間、例えば隣接する交換設備SW−AとSW−B間、隣接する交換設備SW−Eとユーザ端末STA2間に、ユニキャストキーUSKを有する。交換設備のいずれかの二つの間、例えば隣接する交換設備SW−BとSW−E間、非隣接する交換設備SW−EとSW−G間とは関らず、交換キーSWkeyを有する。同一交換設備の直結ユーザ端末STA間、例えばユーザ端末STA1とSTA2間、ユーザ端末STA7とSTA9間においては、ステーション間キーSTAkeyを確立できる。ここで、ユニキャストキーと交換キーは、ノードがネットワークにアクセス成功した場合に確立される。ステーション間キーは、通信が行われる場合に送信元ノードNSourceがローカル戦略に基づき、確立するかどうかを決定する。通常、もしユーザ端末STA1が同一交換設備の他の直結ユーザ端末STA2へ送信するデータ量が大きければステーション間キーを確立しなければならない。もし簡単なデータパケット情報であればステーション間キーは確立しなくてもよい。ユニキャストキー、交換キーおよびステーション間キーは、事前配布或いはある安全メカニズムにより確立でき、確立する具体的な方法は本発明では制限と定義をしない。
2)交換ルーティングの探索:ノード間は共有キー交換ルーティングの探索に基づき、ノード間の交換ルーティング情報を獲得する。以下それについて詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を下記のような識別子四タプルと定義する。
[IDSource, IDSW−first,IDSW−last,IDDestination
ここで、
IDSourceは、送信元ノードNSourceの識別子を示し、ここで、送信元ノードNSourceはユーザ端末でもよく、交換設備でもよい。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示す。
IDDestinationは、対象ノードNDestinationの識別子を示す。ここで、対象ノードNDestinationはユーザ端末でもよく、交換設備でもよい。
送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource, IDSW−first,IDSW−last,IDDestination]に対応するネットワーク構造は図2に示す通りである。ここで、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備は、中間交換設備と呼ばれる。送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送が中間交換設備を経由しない可能性もあるし、複数の中間交換設備を経由する可能性もある。
ネットワークにおいて、ノードNSourceからノードNDestinationまでの交換ルーティング情報を知る必要がある場合、交換ルーティング探索ステップを起動しなければならない。図3に示すように、交換ルーティング探索は交換ルーティング探索パケットと交換ルーティング応答パケットを含む。図4に示すように、以下、交換ルーティング探索を詳細に説明する。
ステップ2.1)送信元ノードNSourceは対象ノードNDestinationへ交換ルーティング探索パケットを送信する。
送信元ノードNSourceは交換ルーティング探索パケットを構成し、対象ノードNDestinationへ送信する。当該パケットには主に識別子四タプルが含まれる。
[IDSource,IDSW−first,IDSW−last,IDDestination
ここで、
IDSourceは、送信元ノードNSourceの識別子を示す。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した第1交換設備SW−firstの識別子を示す。もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceである。もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSource直結交換設備の識別子である。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した最終交換設備SW−lastの識別子を示す。交換ルーティング探索パケットにおいて、当該フィールドは未知である(図4ではクエスチョンマークを用いて(“?”)示している)。
IDDestinationは、対象ノードNDestinationの識別子を示す。
ステップ2.2)対象ノードNDestinationは、送信元ノードNSourceへ交換ルーティング応答パケットを送信する。
対象ノードNDestinationは、送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後、以下の通り実行する。
ステップ2.2.1)送信元ノードNSourceから送信したデータパケットが経由した最終交換設備SW−lastの情報を判断する。もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationである。もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザ直結交換設備の識別子である。
ステップ2.2.2)識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録する。ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティングは探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となる。上述識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
ステップ2.2.3)交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信する。当該パケットは主に明確となった全フィールド値の識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を含む。
ステップ2.3)各ノードは交換ルーティング応答パケットを受信する。
ステップ2.3.1)交換設備が交換ルーティング応答パケットを受信後、もし自身の識別子が当該パケットにおける識別子四タプルに含まれば、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、再転送する。もし自身の識別子が当該パケットにおける識別子四タプルになければ、直接当該パケットを転送する。
ステップ2.3.2)送信元ノードNSourceは交換ルーティング応答パケットを受信後、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、今回の交換ルーティング探索ステップを完成する。
ネットワーク全体においては、送信元ノードNSource、第1交換設備SW−first、最終交換設備SW−lastおよび対象ノードNDestinationが記録しなければならない送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報のみがある。もし送信元ノードNSourceが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る第1交換設備SW−firstはこれ自身であり、SW−firstはNSourceである。もし対象ノードNDestinationが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る最終交換設備SW−lastはNDestinationであり、SW−lastはNDestinationである。
3)データ通信タイプの分類:ノード間は上述交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断する。以下データ通信タイプの判断について詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのデータ秘密保持通信は、ノードNSourceとNDestination間の物理接続関係およびこれら自身のノードタイプに基づき、以下の7つのタイプに分類できる。
Type1:交換設備から交換設備までの通信。
例: 図1におけるSW−AからSW−Eまで、SW−DからSW−Bまでのデータ通信。
Type2:交換設備から直結ユーザ端末までの通信。
例:図1におけるSW−EからSTA1まで、SW−GからSTA9までのデータ通信。
Type3:交換設備から非直結ユーザ端末までの通信。
例:図1におけるSW−AからSTA1まで、SW−DからSTA6までのデータ通信。
Type4:ユーザ端末から直結交換設備までの通信。
例:図1におけるSTA2からSW−Eまで、STA5からSW−Fまでのデータ通信。
Type5:ユーザ端末から非直結交換設備までの通信。
例:図1におけるSTA2からSW−Fまで、STA5からSW−Bまでのデータ通信。
Type6:ユーザ端末から同一交換設備までの他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA3まで、STA5からSTA6までのデータ通信。
Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA6まで、STA5からSTA9までのおデータ通信。
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した交換ルーティング四タプル情報[IDSource,IDSW−first,IDSW−last,IDDestination]に基づき判断する。具体的な判断フローは図5に示す通りである。以下判断フローについて詳細に説明する。
ステップ3.1)IDSW−first=IDSourceが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceは交換設備であり、ステップ3.2)を実行する。もし成立しなければ、送信元ノードNSourceはユーザ端末でありステップ3.4)を実行する。
ステップ3.2)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から交換設備までの通信であり、タイプType1に属する。もし成立しなければ、対象ノードNDestinationはユーザ端でありステップ3.3)を実行する。
ステップ3.3)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から直結ユーザ端末までの通信であり、タイプType2に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から非直結ユーザ端末までの通信であり、タイプType3に属する。
ステップ3.4)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、ステップ3.5)を実行する。もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行する。
ステップ3.5)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から直結交換設備までの通信であり、タイプType4に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から非直結交換設備までの通信であり、タイプType5に属する。
ステップ3.6)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から同一交換設備までの他の直結ユーザ端末の通信であり、タイプType6に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から異なる交換設備の直結ユーザ端末までの通信でありタイプType7に属する。
4)ノード間秘密保持通信:ノード間の異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用してノード間秘密保持通信を実行する。以下それについて詳細に説明する。
送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信はデータ通信タイプの違いに基づき、通信する際に採用する秘密保持通信戦略もまた異なる。具体的な各通信タイプが採用する秘密保持通信戦略の詳細は以下の通りである。
4.1)Type1:交換設備から交換設備までの通信
ネットワークにおける交換設備のいずれかの2つの間に交換キー(交換キーの確立プロセスは本発明では定義と限定はしない)があり、Type1と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.1.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstでもある)は、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備IDSW−lastである)間との交換キーを使用しデータパケットを暗号化する。
ステップ4.1.2)もし中間交換設備が存在すれば、中間交換設備はType1と分類する通信データパケットを受信し、直接転送する。
ステップ4.1.3)対象ノードNDestinationは、送信元ノードNSource間との交換キーを使用しデータパケットを復号する。
交換設備から交換設備までの通信は、交換設備から隣接交換設備までの通信(例えば図6−aにおける交換設備SW−Bから交換設備SW−Eまでの通信)と、交換設備から非隣接交換設備までの通信(例えば図6−bにおける交換設備SW−Bから交換設備SW−Gまでの通信)を含む。図6−aにおいて交換キーSWkeyB−Eを直接使用することによりデータパケットを復号し、暗号化する。図6−bにおいて交換キーSWkeyB−Gを直接使用することによりデータパケットを復号、暗号化し、中間交換設備(例えば交換設備SW−A、SW−D)は直接転送すればよい。
4.2)Type2:交換設備から直結ユーザ端末までの通信
ネットワークにおいて、交換設備と直結ユーザ端末間にユニキャストキーを有する(ユニキャストキーの確立プロセスは本発明では定義と限定はしない)。Type2と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.2.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstと最終交換設備SW−lastでもある)は、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.2.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
図7に示す通り、交換設備SW−Eからユーザ端末STA3までの通信はType2に属する。交換設備SW−Eを送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
4.3)Type3:交換設備から非直結ユーザ端末までの通信。
ネットワークは交換設備と直結ユーザ端末間に有ユニキャストキー、交換設備間有交換キーを有する。Type3と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.3.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備SW−firstである)は、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化する。
ステップ4.3.2)もし中間交換設備が存在すれば、中間交換設備はType3と分類するデータパケットを直接転送する。
ステップ4.3.3)最終交換設備SW−lastは、送信元ノードNSourceとの交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、その後転送する。
ステップ4.3.4)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
図8に示す通り、交換設備SW−Aからユーザ端末STA3までの通信はType3に属し、SW−Eは最終交換設備である。交換設備SW−Aを送信元ノードとし、SW−E間との交換キーSWkeyA−Eを使用しデータパケットを暗号化する。交換設備SW−Bは中間交換設備に属しデータパケットを直接に転送する。交換設備SW−Eを最終交換設備とし、交換キーSWkeyA−Eを使用しデータパケットを復号する。そして、ユーザ端末STA3間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
4.4)Type4:ユーザ端末から直結交換設備までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有する。Type4と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.4.1)送信元ノードNSource(この場合はユーザ端末とする)は、対象ノードNDestination(この場合は交換設備とし対象ノードNDestinationは同時に第1交換設備SW−first、最終交換設備SW−lastである)間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.4.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
図9に示す通り、ユーザ端末STA3から交換設備SW−Eまでの通信はType4に属する。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを対象ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。タイプType4の通信とタイプType2の通信は方向が異なるだけで、すべて送信元ノードと対象ノード間とのユニキャストキーを使用することによりデータパケットを復号し暗号化する。
4.5)Type5:ユーザ端末から非直結交換設備までの通信。
ネットワークはユーザ端末と直結交換設備間にユニキャストキー、交換設備間に交換キーを有する。Type5と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.5.1)送信元ノードNSource(この場合はユーザ端末とする)は第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.5.2)第1交換設備SW−firstは送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備SW−lastである)間との交換キーを使用しデータパケットを暗号化し、その後転送する。
ステップ4.5.3)もし中間交換設備が存在すれば、中間交換設備はType5と分類するデータパケットを直接転送する。
ステップ4.5.4)対象ノードNDestinationは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。
如図10に示すように、ユーザ端末STA3から交換設備SW−Aまでの通信はType5に属し、SW−Eは第1交換設備である。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。そして、対象ノードSW−A間との交換キーSWkeyA−Eを使用しデータパケットを暗号化し、再転送する。交換設備SW−Aを対象ノードとしSW−E間との交換キーSWkeyA−Eを使用しデータパケットを復号する。タイプType5の通信とタイプType3の通信は方向が異なり、プロセスが相反するだけで、実施過程において使用するキーは全て同じである。
3.2.6)Type6:ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、同一交換設備の直結ユーザ端末間はローカルの決定に基づき、ステーション間キーの(ステーション間キーの確立プロセスは本発明では定義と限定はしない)確立を選択できる。Type6と分類するデータ通信は、ステーション間キーが確立するかどうかによって採用する秘密保持通信は異なる。
ステップ4.6.1)すでに確立したステーション間キーに関し、Type6と分類するデータ通信が採用する秘密保持通信戦略以下の通りである。
ステップ4.6.1.1)送信元ノードNSourceは、対象ノードNDestination(この場合はユーザ端末とする)間とのステーションキーを使用しデータパケットを暗号化する。
ステップ4.6.1.2)タイプType6のデータパケットに関しては、第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備である)が、それを直接に転送する。
ステップ4.6.1.3)対象ノードNDestinationは、送信元ノードNSource間とのステーション間キーを使用しデータパケットを復号する。
ステップ4.6.2)確立していないステーション間キーに関し、Type6が採用する秘密保持通信は以下の通りである。
4.6.2.1)送信元ノードNSourceは、直結交換設備間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.6.2.2)第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備でもある)は、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。さらに対象ノードNDestination間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
ステップ4.6.2.3)対象ノードNDestinationは、直結交換設備間とのユニキャストキーを使用しデータパケットを復号する。
如図ll−a、ll−bに示す通り、ユーザ端末STAlからSTA3間までのデータ通信はタイプType6に属する。
図ll−aはすでに確立したステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとしSTA3間とのステーション間キーSTAkeyl−3を使用しデータパケットを暗号化する。交換設備SW−Eはデータパケットを直接に転送する。ユーザ端末STA3を対象ノードとしSTAl間とのステーション間キーSTAkeyl−3を使用しデータパケットを復号する。
図ll−bは確立していないステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとし交換設備SW−E間とのユニキャストキーUSK1−Eを使用しデータパケットを暗号化する。交換設備SW−EはユニキャストキーUSK1−Eを使用しデータパケットを復号し、その後ユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
4.7)Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、交換設備間に交換キーを有する。Type7と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
ステップ4.7.1)送信元ノードNSource(この場合はユーザ端末とする)は、第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
ステップ4.7.2)第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化し、再転送する。
ステップ4.7.3)もし中間交換設備が存在すれば、中間交換設備はType7と分類するデータパケットを直接転送する。
ステップ4.7.4)最終交換設備SW−lastは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
ステップ4.7.5)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
図12に示すように、ユーザ端末STA3からSTA9までの通信はType7に属する。Type7のデータ通信は送信元ノードから第1交換設備までと、第1交換設備から最終交換設備までと、最終交換設備から対象ノードまでとの三段階に分類できる。図12において、ユーザ端末STA3を送信元ノードとし、交換設備SW−E間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、送信元ノード間とのユニキャストキーUSK3−Eを使用しデータパケットを復号する。さらに、最終交換設備SW−G間との交換キーSWkeyE−Gデータを再び使用してパケットを暗号化し、再転送する。交換設備SW−D、SW−A、SW−Dを中間交換設備としデータパケットを直接に転送する。交換設備SW−Gを最終交換設備とし第1交換設備SW−E間との交換キーSWkeyE−Gを使用しデータパケットを復号する。さらに対象ノード間とのユニキャストキーUSK9−Gを再び使用してデータパケットを暗号化し、再転送する。ユーザ端末STA9を対象ノードとし最終交換設備SW−G間とのユニキャストキーUSK9−Gを使用しデータパケットを復号する。
本発明に係るノード間の秘密保持通信システムは送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−last(即ち最終交換設備SW−last)と対象ノードNDestinationを含む。以下それぞれに対して説明する
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化する。対象ノードNDestinationが送信した交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。対象ノードNDestinationは、送信元ノードNSourceが送信した交換ルーティング探索パケットを受信し、データパケットを暗号化する。送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。ここで、上述送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報は、IDSource、IDSW−first、IDSW−last、IDDestinationを備える。
好ましくは、上述システムはさらに送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送することに用いる中間交換設備を備える。
本発明に係るノード間の秘密保持通信の方法はノード間の異なる通信情況に基づき、分類し、適切な秘密保持通信戦略を選択する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全ノードのいずれかの二つの間にステーション間キーを確立することにより保護通信機密性を保護する方法に対しては、キーの数を減らしキー管理を簡略化する。
以上は本発明における優先実施形態であり、当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を行うことができる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。

Claims (15)

  1. ノード間に共有キーを確立するステップ1)と、
    ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
    ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
    ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
    ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
    を含むことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信方法。
  2. 前記ステップ1)は、
    隣接ノード間に共有キーを確立するステップ1.1)と、
    ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
    ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
    ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
    ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
    ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
    を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  3. 送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ばれる、線ローカルエリアネットワークノード間の秘密保持通信方法であって、
    前記ステップ2)は、
    送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
    ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
    IDSourceは、送信元ノードNSourceの識別子を示し、
    IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
    IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
    IDDestinationは、対象ノードNDestinationの識別子を示し;
    対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
    各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
    を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  4. 対象ノードNDestinationがノードNSourceから送信した交換ルーティング探索パケットを受信した後に実行する前記ステップ2.2)は、
    送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
    識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
    ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
    全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
    を含むことを特徴とする請求項3に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  5. 各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信後に実行する前記ステップ2.3)は、
    交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
    ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
    送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
    を含むことを特徴とする請求項4に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  6. 送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、
    前記ステップ3)は、
    IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
    IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
    IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
    IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
    IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
    IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
    を含むことを特徴とする請求項5に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  7. データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合,ノード間の秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
    ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
    もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
    対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間秘密保持通信方法。
  8. データ通信タイプが交換設備から直結ユーザ端末までの通信である場合、ノード間の秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
    ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
    対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  9. データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
    ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
    もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
    最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
    ここで、前記対象ノードNDestinationがユーザ端末である;
    対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  10. データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
    ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
    対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  11. データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
    前記送信元ノードNSourceがユーザ端末である;
    第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
    前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
    もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
    対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  12. データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
    ここで、
    4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
    送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
    第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
    ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
    対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
    をふくみ;
    また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
    送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
    第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
    ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
    対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  13. データ通信タイプがユーザ端末から異なる交換設備の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
    ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
    第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
    もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
    最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
    ここで、前記対象ノードNDestinationはユーザ端末である;
    対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
    を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
  14. 送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有する有線ローカルエリアネットワークノード間の秘密保持通信システムであって、
    送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
    第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
    第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
    対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
    また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む
    ことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信システム。
  15. 送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設備をさらに有することを特徴とする請求項14に記載の有線ローカルエリアネットワークノード間の秘密保持通信システム。
JP2012543453A 2009-12-18 2010-06-02 ノード間秘密保持通信方法およびシステム Active JP5507705B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN2009102195728A CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及***
CN200910219572.8 2009-12-18
PCT/CN2010/073454 WO2011072514A1 (zh) 2009-12-18 2010-06-02 节点间保密通信方法及***

Publications (2)

Publication Number Publication Date
JP2013514682A true JP2013514682A (ja) 2013-04-25
JP5507705B2 JP5507705B2 (ja) 2014-05-28

Family

ID=42464488

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012543453A Active JP5507705B2 (ja) 2009-12-18 2010-06-02 ノード間秘密保持通信方法およびシステム

Country Status (6)

Country Link
US (1) US8966257B2 (ja)
EP (1) EP2515469B1 (ja)
JP (1) JP5507705B2 (ja)
KR (1) KR101485231B1 (ja)
CN (1) CN101741547B (ja)
WO (1) WO2011072514A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013530642A (ja) * 2010-06-07 2013-07-25 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム
JP2023520496A (ja) * 2020-04-17 2023-05-17 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 ノード間のプライバシー通信方法およびネットワークノード

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917272B (zh) * 2010-08-12 2012-07-18 西安西电捷通无线网络通信股份有限公司 一种邻居用户终端间保密通信方法及***
KR101883437B1 (ko) * 2012-03-07 2018-07-31 구글 테크놀로지 홀딩스 엘엘씨 요구되는 노드 경로들 및 암호 서명들을 이용한 보안 패킷 전송을 위한 정책
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
CN105979570B (zh) * 2016-06-30 2019-02-15 中国传媒大学 一种基于wlan的多跳桥接自动建链的方法
CN107231211A (zh) * 2017-05-22 2017-10-03 四川长虹电器股份有限公司 应用于wdm业务疏导网络中的加密动态恢复方法
KR102202902B1 (ko) * 2020-09-02 2021-01-15 (주)티에이치엔 차량용 통신 제어 장치의 보안 방법 및 그 장치

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239176A (ja) * 1998-02-20 1999-08-31 Nippon Telegr & Teleph Corp <Ntt> アドホックネットワークのパケットルーティング方法
JP2003249936A (ja) * 2002-02-22 2003-09-05 Ntt Comware Corp 無線装置およびその通信経路制御方法、コンピュータプログラム
WO2005081470A1 (ja) * 2004-02-19 2005-09-01 Matsushita Electric Industrial Co., Ltd. 無線端末装置、無線通信システム、及び、パケットルーティング方法
JP2005538592A (ja) * 2002-09-05 2005-12-15 ノキア コーポレイション 信号伝搬遅延ルーチング
JP2007088799A (ja) * 2005-09-22 2007-04-05 Sony Corp 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
JP2007336360A (ja) * 2006-06-16 2007-12-27 Mitsubishi Electric Corp 管理装置及び通信端末装置及び通信システム及び通信管理方法
JP2008104040A (ja) * 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
JP2008154103A (ja) * 2006-12-19 2008-07-03 Ricoh Co Ltd 通信中継装置
JP2008166894A (ja) * 2006-12-27 2008-07-17 Nec Corp クライアント端末、中継サーバ、通信システム、及び通信方法
JP2008259148A (ja) * 2007-03-30 2008-10-23 Shimousa Systems:Kk 中継器の負荷を最小限に抑えた高強度暗号通信方式

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1475926B1 (en) * 2003-05-05 2009-04-22 Samsung Electronics Co., Ltd. Routing system for establishing optimal route in wireless personal area network (WPAN) and method thereof
CN1599357A (zh) * 2004-07-26 2005-03-23 南京邮电学院 自组网环境下协同能量保护和服务质量保证的模糊选路方法
CN101438256B (zh) * 2006-03-07 2011-12-21 索尼株式会社 信息处理设备、信息通信***、信息处理方法
EP1843542A1 (en) * 2006-04-04 2007-10-10 Alcatel Lucent Method for transferring messages comprising extensible markup language information
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN101155024A (zh) 2006-09-29 2008-04-02 湖南大学 分簇结构传感器网络的有效密钥管理方法及其运行方法
CN100594691C (zh) * 2007-10-09 2010-03-17 华中科技大学 Manet网络的数据传递加密方法
CN101594271B (zh) * 2008-05-27 2011-08-10 华为技术有限公司 无线自组织网络组建和工作方法以及相关网络和设备
US10264029B2 (en) * 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239176A (ja) * 1998-02-20 1999-08-31 Nippon Telegr & Teleph Corp <Ntt> アドホックネットワークのパケットルーティング方法
JP2003249936A (ja) * 2002-02-22 2003-09-05 Ntt Comware Corp 無線装置およびその通信経路制御方法、コンピュータプログラム
JP2005538592A (ja) * 2002-09-05 2005-12-15 ノキア コーポレイション 信号伝搬遅延ルーチング
WO2005081470A1 (ja) * 2004-02-19 2005-09-01 Matsushita Electric Industrial Co., Ltd. 無線端末装置、無線通信システム、及び、パケットルーティング方法
JP2007088799A (ja) * 2005-09-22 2007-04-05 Sony Corp 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
JP2007336360A (ja) * 2006-06-16 2007-12-27 Mitsubishi Electric Corp 管理装置及び通信端末装置及び通信システム及び通信管理方法
JP2008104040A (ja) * 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
JP2008154103A (ja) * 2006-12-19 2008-07-03 Ricoh Co Ltd 通信中継装置
JP2008166894A (ja) * 2006-12-27 2008-07-17 Nec Corp クライアント端末、中継サーバ、通信システム、及び通信方法
JP2008259148A (ja) * 2007-03-30 2008-10-23 Shimousa Systems:Kk 中継器の負荷を最小限に抑えた高強度暗号通信方式

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013530642A (ja) * 2010-06-07 2013-07-25 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム
US8843748B2 (en) 2010-06-07 2014-09-23 China Iwncomm Co., Ltd. Method for establishing secure network architecture, method and system for secure communication
JP2023520496A (ja) * 2020-04-17 2023-05-17 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 ノード間のプライバシー通信方法およびネットワークノード
JP7432765B2 (ja) 2020-04-17 2024-02-16 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 ノード間のプライバシー通信方法およびネットワークノード

Also Published As

Publication number Publication date
WO2011072514A1 (zh) 2011-06-23
US20120278623A1 (en) 2012-11-01
KR20120106830A (ko) 2012-09-26
CN101741547B (zh) 2012-05-23
CN101741547A (zh) 2010-06-16
EP2515469A1 (en) 2012-10-24
US8966257B2 (en) 2015-02-24
KR101485231B1 (ko) 2015-01-28
JP5507705B2 (ja) 2014-05-28
EP2515469A4 (en) 2017-08-02
EP2515469B1 (en) 2018-08-08

Similar Documents

Publication Publication Date Title
JP5507705B2 (ja) ノード間秘密保持通信方法およびシステム
US8386772B2 (en) Method for generating SAK, method for realizing MAC security, and network device
US7703132B2 (en) Bridged cryptographic VLAN
JP4447463B2 (ja) ブリッジ暗号vlan
KR101421399B1 (ko) 링크 계층 암호화/복호화 능력을 구비하는 단말 장치 및 그의 데이터 처리 방법
JP5785346B1 (ja) リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
KR20120105507A (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
US20100042841A1 (en) Updating and Distributing Encryption Keys
CN111277404B (zh) 一种用于实现量子通信服务区块链的方法
WO2012019466A1 (zh) 邻居用户终端间保密通信方法、终端、交换设备及***
JP2006101051A (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
KR101518438B1 (ko) 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템
US8281134B2 (en) Methods and apparatus for layer 2 and layer 3 security between wireless termination points
US20100131762A1 (en) Secured communication method for wireless mesh network
JPH06318939A (ja) 暗号通信システム
US20120216036A1 (en) Encryption methods and systems
JP2008259148A (ja) 中継器の負荷を最小限に抑えた高強度暗号通信方式
Egners et al. Fsasd: A framework for establishing security associations for sequentially deployed wmn
WO2024155072A1 (en) Method and system for facilitating post quantum secure primary authentication of a subscriber
WO2011143944A1 (zh) 一种端到端通信密钥的建立方法、***及装置
Weis Overview of ieee 802.1 x-rev dynamic session key agreement
WO2015029679A1 (ja) 暗号化通信方法および暗号化通信装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130827

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140304

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140319

R150 Certificate of patent or registration of utility model

Ref document number: 5507705

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250