JP6474072B2 - Data transfer system - Google Patents
Data transfer system Download PDFInfo
- Publication number
- JP6474072B2 JP6474072B2 JP2014200758A JP2014200758A JP6474072B2 JP 6474072 B2 JP6474072 B2 JP 6474072B2 JP 2014200758 A JP2014200758 A JP 2014200758A JP 2014200758 A JP2014200758 A JP 2014200758A JP 6474072 B2 JP6474072 B2 JP 6474072B2
- Authority
- JP
- Japan
- Prior art keywords
- fragment
- packet
- data
- transfer
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Communication Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、データを転送するデータ転送システムに関する。 The present invention relates to a data transfer system for transferring data.
ソフトウェア制御が可能なネットワーク(SDN:Software Defined Network)の一つの技術要素として、ネットワークノードの機能をネットワークルーチング機構(ノードのデータ転送機能)とコントローラ機構(ノードでの制御ソフトウェア・ルーチング制御機能)とに、分離できるようにインタフェースを公開し、ネットワーク制御をプログラマブルにすることにより、柔軟な経路制御や構成変更、ならびに新しい通信サービス等を実現可能とするネットワーク制御機構が注目されている。一方で、ネットワーク機器を専用のアプライアンス機器ではなく汎用サーバ上にソフトウェアとして実現するNFV(Network Function Virtualization)が、ネットワーク機器の構成変更、機能変更を高速に低価格で実現する方式として着目されている。 As one technical element of a network (SDN: Software Defined Network) capable of software control, the network node function is a network routing mechanism (node data transfer function) and a controller mechanism (control software routing control function at the node). In addition, a network control mechanism that makes it possible to realize flexible path control, configuration change, new communication service, and the like by opening an interface so that it can be separated and making network control programmable has attracted attention. On the other hand, NFV (Network Function Virtualization), which realizes network devices as software on a general-purpose server instead of dedicated appliance devices, is attracting attention as a method for realizing network device configuration changes and function changes at high speed and low cost. .
SDNではコントローラがネットワーク内の全情報を集め、一元的に定義し、ソフトウェアを活用した集中制御処理に基づいて、ネットワーク全体を制御できる特徴を持つ。コントローラは、スイッチ制御用のソフトウェアを配備することにより、スイッチの動作を制御できる。SDNの実現方法の1つとして、オープンフロー(OpenFlow)と呼ばれるネットワークプラットフォームの標準化が進められ、オープンソースによる実装と同時に企業によるシステムが普及しつつある。SDNを実現するスイッチやコントローラに関しては既に製品開発が進められており、これらの技術を基盤としてセキュリティを一層高めるためのネットワーク制御技術も開示されている(特許文献1及び2参照。)。
In SDN, the controller collects all the information in the network, defines it centrally, and has the feature that it can control the entire network based on centralized control processing utilizing software. The controller can control the operation of the switch by deploying switch control software. As one of the methods for realizing SDN, standardization of a network platform called open flow (OpenFlow) has been promoted, and a system by an enterprise is becoming popular at the same time as implementation by open source. Product development is already underway for switches and controllers that realize SDN, and network control technology for further enhancing security based on these technologies is also disclosed (see
一方で、ネットワーク内にデータを安全に保存するために、高速暗号化技術と超分散技術等を用いたネットワーク制御技術が既に開示(特許文献3及び4参照)されている。しかし、特許文献3及び4では、SDNスイッチが考慮されていない。
On the other hand, a network control technique using a high-speed encryption technique and a super-distributed technique has already been disclosed in order to safely store data in the network (see
本発明は、データ転送システムにおいて安全性と経済性を高めることを目的とする。 An object of the present invention is to improve safety and economy in a data transfer system.
具体的には、本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記複数の暗号化転送装置の制御を行う転送制御装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、前記送信パケットの許容遅延時間を前記送信端末から受信すると、前記許容遅延時間を前記転送制御装置に通知し、
前記転送制御装置は、前記分割転送装置から前記許容遅延時間を受信すると、前記送信パケットから生成される前記断片パケットの伝送経路を、前記許容遅延時間内の伝達が可能な経路に決定する。
Specifically, the data transfer system of the present invention includes:
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A transfer control device for controlling the plurality of encrypted transfer devices;
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
When the division transfer device receives the allowable delay time of the transmission packet from the transmission terminal, the division transfer device notifies the transfer control device of the allowable delay time,
When the transfer control apparatus receives the allowable delay time from the division transfer apparatus, the transfer control apparatus determines a transmission path of the fragment packet generated from the transmission packet as a path that can be transmitted within the allowable delay time .
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記複数の暗号化転送装置の制御を行う転送制御装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記暗号化転送装置は、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片データを暗号化する仮想暗号化処理部と、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片パケットの出力経路の制御を行う仮想暗号化スイッチ処理部と、
受信した前記断片パケットを前記仮想暗号化処理部に転送し、前記仮想暗号化処理部からの暗号化済みの断片パケットを前記仮想暗号化スイッチ処理部に転送する仮想暗号化インタフェースと、
を備える。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A transfer control device for controlling the plurality of encrypted transfer devices;
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The encrypted transfer device includes:
A virtual encryption processing unit that encrypts the fragment data using software controllable from the transfer control device;
Using software controllable from the transfer control device, a virtual encryption switch processing unit that controls the output path of the fragment packet;
A virtual encryption interface for transferring the received fragment packet to the virtual encryption processing unit and transferring an encrypted fragment packet from the virtual encryption processing unit to the virtual encryption switch processing unit;
Is provided.
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
前記暗号化転送装置が前記断片データを暗号化した暗号鍵を保持する転送制御装置と、
端末から前記元データの復号要求を受信すると、復号要求のあった元データを復元するための暗号鍵を前記転送制御装置から取得し、当該暗号鍵又は復号後の断片データを当該端末へ転送する復号化転送装置と、
を備え、
前記復号化転送装置は、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片データの復号処理を行う仮想復号化処理部と、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片パケットの出力経路の制御を行う仮想復号化スイッチ処理部と、
受信した前記断片パケットを前記仮想復号化処理部に転送し、前記仮想復号化処理部からの復号化済みの断片パケットを前記仮想復号化スイッチ処理部に転送する仮想復号化インタフェースと、
を備える。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
A transfer control device that holds an encryption key in which the encrypted transfer device encrypts the fragment data; and
When receiving the decryption request for the original data from the terminal, the encryption key for restoring the original data requested for decryption is acquired from the transfer control device, and the encryption key or the fragment data after decryption is transferred to the terminal. A decryption transfer device; and
With
The decryption transfer device
Using software controllable from the transfer control device, a virtual decryption processing unit for performing the decryption processing of the fragment data;
Using software controllable from the transfer control device, a virtual decoding switch processing unit for controlling the output path of the fragment packet;
A virtual decoding interface that transfers the received fragment packet to the virtual decoding processing unit, and transfers a decoded fragment packet from the virtual decoding processing unit to the virtual decoding switch processing unit;
Is provided.
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
前記暗号化転送装置が前記断片データを暗号化した暗号鍵を保持する転送制御装置と、
端末から前記元データの復号要求を受信すると、復号要求のあった元データを復元するための暗号鍵を前記転送制御装置から取得し、当該暗号鍵又は復号後の断片データを当該端末へ転送する復号化転送装置と、
を備え、
前記暗号化転送装置は、自己の識別子を暗号化後の前記断片データのデータパケットに記載し、
前記復号化転送装置は、前記断片データのデータパケットに記載された前記暗号化転送装置の識別子に対応付けて記憶されている暗号鍵を、前記転送制御装置から取得する。
ここで、前記暗号化転送装置は、前記断片パケットの宛先に近い経路から転送された前記断片パケットを破棄し、前記断片パケットの宛先から遠い経路から転送された前記断片パケットを、前記断片パケットの宛先に近い出力経路に転送してもよい。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
A transfer control device that holds an encryption key in which the encrypted transfer device encrypts the fragment data; and
When receiving the decryption request for the original data from the terminal, the encryption key for restoring the original data requested for decryption is acquired from the transfer control device, and the encryption key or the fragment data after decryption is transferred to the terminal. A decryption transfer device; and
With
The encrypted transfer device describes its identifier in the data packet of the fragment data after encryption,
The decryption / transfer apparatus acquires an encryption key stored in association with the identifier of the encrypted transfer apparatus described in the data packet of the fragment data from the transfer control apparatus .
Here, the encrypted transfer device discards the fragment packet transferred from a route close to the destination of the fragment packet, and transfers the fragment packet transferred from a route far from the destination of the fragment packet to the fragment packet. It may be transferred to an output path close to the destination.
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記複数の暗号化転送装置の構成するネットワークトポロジは、各々のネットワークグループがトーラスネットワークを形成する1つ以上のネットワークグループを備え、
各ネットワークグループに所属する複数の前記暗号化転送装置が、同一の断片パケットに載せられている断片データを異なる暗号処理で暗号化する。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The network topology formed by the plurality of encrypted transfer apparatuses includes one or more network groups in which each network group forms a torus network,
The plurality of encrypted transfer devices belonging to each network group encrypt the fragment data carried in the same fragment packet by different encryption processes.
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、1つの元データから生成された全ての断片データの排他的論理和の演算結果を、全ての断片データの転送に用いた伝送経路とは異なる伝送経路を用いて前記受信端末転送装置へ転送する。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The division transfer device uses the transmission result of the exclusive OR of all pieces of fragment data generated from one original data, using a transmission path different from the transmission path used to transfer all pieces of fragment data. Transfer to the transfer device .
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、暗号化した前記断片データを複製し、複製後の断片データごとにパケット化して断片パケットを生成し、
前記暗号化転送装置は、同じ断片データがパケット化された断片パケットを、予め定められた一定時間内に予め定められた一定数以上受信すると、当該断片パケットの少なくとも一部を廃棄する。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The divided transfer device duplicates the encrypted fragment data, generates a fragment packet by packetizing each piece of fragment data after duplication,
The encrypted transfer apparatus discards at least a part of the fragment packet when receiving a predetermined number of fragment packets in which the same fragment data is packetized within a predetermined time.
本発明のデータ転送システムは、
送信端末から送信パケットを受信すると、前記送信パケットに含まれる元データを複数の断片データに分割し、断片データごとにパケット化して断片パケットを生成し、当該断片パケットを転送する分割転送装置と、
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記複数の暗号化転送装置のうちの第1の暗号化転送装置は、前記複数の暗号化転送装置のうちの第2の暗号化転送装置から前記断片パケットを受信すると、伝送誤り訂正が行えるか否かを判定し、伝送誤り訂正が行えない場合、前記第2の暗号化転送装置に対し、断片パケットの生成を再度行う旨の指示と共に伝送誤り訂正が行えない断片パケットを送信し、
前記第2の暗号化転送装置は、断片パケットの生成を再度行う旨の指示を受信すると、指示のあった断片パケットの暗号処理を再度行う。
The data transfer system of the present invention includes :
When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
If the first encrypted transfer device of the plurality of encrypted transfer devices receives the fragment packet from the second encrypted transfer device of the plurality of encrypted transfer devices, can the transmission error be corrected? If the transmission error correction cannot be performed, a fragment packet that cannot be subjected to transmission error correction is transmitted to the second encrypted transfer apparatus together with an instruction to generate the fragment packet again.
When the second encrypted transfer device receives an instruction to generate a fragment packet again, the second encrypted transfer device again performs the encryption process for the instructed fragment packet.
なお、上記各発明は、可能な限り組み合わせることができる。 The above inventions can be combined as much as possible.
本発明によれば、データ転送システムにおいて安全性と経済性を高めることができる。 According to the present invention, safety and economy can be improved in a data transfer system.
以下、本発明の実施形態について、図面を参照しながら詳細に説明する。なお、本発明は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本発明は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited to embodiment shown below. These embodiments are merely examples, and the present invention can be implemented in various modifications and improvements based on the knowledge of those skilled in the art. In the present specification and drawings, the same reference numerals denote the same components.
本発明は、特許文献1及び2のネットワーク制御技術と特許文献3及び4のSDN技術の融合化を図ることにより、より一層の安全性と経済性を追求し、データセンタ内又はデータセンタ間等において、高信頼ネットワークサービスを実現する手段を提供することにある。更にSDNとNFVを統合的に用いることにより、SDNスイッチに対する所望のセキュリティ機能の追加を、SDN標準の変更を伴わずに、実施可能となる。
The present invention pursues further safety and economy by integrating the network control technology of
さらに本発明では、ネットワークコーディング技術を活用し、複数の断片化したデータの排他的論理和をとったデータを配信元のノードで生成し、当該データを、SDN技術の活用を前提としたネットワークと冗長接続することにより、中継転送用の経路数を抑制すると共に、経済的でかつセキュアなデータ転送、保管サービスが実現可能となることを示す。また、ネットワークをトーラス構造とすることにより、更に経路制御を単純化しながらも、セキュリティの高いデータ転送、保管サービスが実現できる。また、非特許文献1に記載のSDN技術を活用した低遅延保証ネットワークに対しても、上述の暗号化と冗長化を付加することで、高い安全性を保証しながらも低遅延通信を実現でき、今後の実現が期待される遠隔手術等の医療分野や、更なる厳密性が追及される株の売買等のシステムにおいて活用できる。
Furthermore, in the present invention, a network coding technique is used to generate exclusive OR of a plurality of fragmented data at a distribution source node, and the data is assumed to be a network based on the use of the SDN technique. It is shown that the redundant connection can reduce the number of relay transfer paths and realize an economical and secure data transfer and storage service. In addition, since the network has a torus structure, highly secure data transfer and storage services can be realized while further simplifying route control. In addition, by adding the above-described encryption and redundancy to the low-latency guaranteed network using the SDN technology described in
(第1の実施形態)
実施形態1では、複数の経路を用いて、セキュアなデータ配信を保証する場合に、ネットワーク内の加入者収容ノード、および中継ノードにおける暗号化処理機能を活用して、送信元のホスト端末1からの送信パケットに含まれる元データを、宛先のホスト端末2に安全にデータ配信するためのネットワーク制御メカニズムを述べる。
(First embodiment)
In the first embodiment, when secure data delivery is guaranteed using a plurality of paths, the encryption processing function in the subscriber accommodation node and the relay node in the network is utilized to start transmission from the
図1に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態に係るデータ転送システムは、分割転送装置として機能するES(Edge Switch)ノード10と、受信端末転送装置として機能するES11と、暗号化転送装置として機能するOFS(OpenFlow Switch)ノード101,102,201,202と、転送制御装置として機能するOFC(OpenFlow Controller)ノード61を備える。
FIG. 1 shows a configuration example of a data transfer system according to the present embodiment. The data transfer system according to the present embodiment includes an ES (Edge Switch)
SDN内のES10は、ホスト端末1のアドレス及び属性とホスト端末2の識別を用いて認証を実施し、認証終了後に、データパケットに含まれる元データ分割した断片データの断片パケットを生成し、第1段目のOFS101又は102に送信する。OFS101又は102は、断片パケットに含まれる元データを次段のOFS201又は202に転送する。この際に、OFS101又は102に特有の暗号処理を更に行い、OFS201又は202は当該データの受信後に、更に第2の暗号化を行い、最終的に第n段のOFSまで、n個の種別の暗号化を施す。ES11は、データパケットの復号が必要ない場合、暗号化されたままのパケットをホスト端末2に送信する。ES11は、復号が必要な場合、復号に必要な鍵をOFC61から取得し復号する。本発明により、データ保管を高い安全性のもとで実現するために必要となるネットワーク制御技術を開示する。本技術により、高い安全性を保証できるデータ保管を、サービス利用端末の暗号化処理の負荷量を増やすこと無く実現することができる。以下に、本発明を詳細に説明する。
The
各OFSノードは、SDN内のOFSノード101又はOFSノード102に転送されたパケットに対して、それぞれノード番号に対応した特有の暗号鍵を用いて暗号化処理を行う。例えば、OFSノード101は、ESノード10から断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の断片パケットを転送する。OFSノード201は、OFSノード101から断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の断片パケットを転送する。断片パケットの転送経路は、共通の元データから分割された各断片パケットで共通であってもよいし、異なっていてもよい。例えば、第1の断片パケットはOFSノード101及び201を通過し、第2の断片パケットはOFSノード102及び202を通過する。
Each OFS node performs an encryption process on a packet transferred to the
ESノード11は、OFSノード201からの断片パケットをホスト端末2に転送する。ホスト端末2は、断片パケットを受信する。このとき、SDN上で断片データに紛失が生じる場合でも、少なくとも1つは目的の配信先に届くように、ESノード11は、予め断片データを配信先の端末へ送出後も,予め定められた時間は断片パケットを保持することが好ましい。ESノード11は、断片データの再送要求メッセージを配信先のホスト端末2から受信すると、予め定められた時間内であれば保持している断片パケットを再送し、予め定められた時間を経過した後は断片パケットを廃棄する。
The
SDN上で断片データに紛失が生じる場合でも、少なくとも1つは目的の配信先に届くように、ES10及びES11の両方が断片パケットの保持を行ってもよい。この場合、ES10及びES11は、断片データを配信先のホスト端末2へ送出後も、それぞれ異なる予め定められた時間は当該バッファデータを保持する。配信先のホスト端末2が断片データの再送要求メッセージを送信した場合、ES10及びES11のどちらかが断片データを再送する。それぞれのエッジスイッチで予め定められた時間を経過した場合には,発側および出側のエッジスイッチにおける当該バッファを解放する。
Even if fragment data is lost on the SDN, both the
本実施形態では、ESノード10は全ての入力パケットに対して、適切にOFSノードを経由して、最終段のESノード11へルーチングされる。このとき、データを配信する各ルーチングスイッチは、前段のスイッチから受信したデータを自スイッチよりも配信先に近い中継段に位置する任意の上位スイッチへ独自の暗号鍵で構成されるメタデータにより暗号化した後に自身のID番号あるいは相当のタグデータを付与して次段のスイッチへ送信することが好ましい。また、OFSノードは、次ホップ先につながる全ての経路の帯域を監視し、スイッチID固有の暗号化処理を実施した後、空き帯域の大きい方路を信頼度の高い最適な経路として選択し、断片データをルーチングすることが好ましい。各OFSノードに設定されるルーチング用のフローテーブルの内容は、パケットデータの配信とは独立したセキュアな制御経路80を用いることにより、OFC61から設定・保持されることが好ましい。各OFSノードはデータの中継を行う各時点での処理内容に対応するメタデータをOFC61に予め定められた手順で送信する。
In the present embodiment, the
さらに、ESノード10は、ホスト端末1から受信したパケットの複製を適切に行うことが好ましい。この場合、複製されたパケットは、経路40の中から、複数の異なるOFSノードに転送されることが好ましい。ホスト端末1から送出されるパケットはESノード10に到着後、経路40を通過する間は、複製された場合においてもパケット内の(バイナリ)ペイロード情報は同じであるが、異なるOFSノードに到着後は、当該のペイロードの(バイナリ)情報はOFSノードのノード番号に基づいて変換処理がなされる。その後、宛先のホスト端末2に到着する。
Furthermore, it is preferable that the
なお、ESノード10で複製を行う場合には、複製前は同じパケットであったとしても、通過するOFSノードが異なれば、ペイロード内のバイナリ情報は変換処理がなされるため、よりセキュアな通信が実現できる。ESノード10で複製を行う場合には、ESノード11で重複パケットの選択を行い、元のパケットのみホスト端末2に転送する。
When duplicating at the
ESノード10は、同一の断片データの複製を、データの回収確率が当該サービスの実施に当って要求される閾値に達する値になるまで繰り返して送信することが好ましい。この場合、宛先となるホスト端末2又は中継ノードは、同一の断片データを複数正常に受信したことを認識し、予め決められた一定の時間以内に受信した複製データの数が予め定められた必要数以上である場合には、当該の断片データを廃棄する。このとき、宛先となるホスト端末2又は中継ノードは、受信した断片パケットリストの履歴を用いて、予め設定された回収確率の閾値に正しく設定されるように断片データの複製数を判定し、当該複製数をOFC61に通知する。
It is preferable that the
OFSノードは、このような複製を、ES10の代わりに行ってもよい。この場合、OFSノードは、個別の暗号鍵により受信したデータを暗号処理後に、任意の数に複製する手段を備える。OFSノードは、複製データを複数のルートへ分配し、その旨をOFC61に通知する。複製データは、それぞれ異なるホスト端末2に格納される。ホスト端末1から送信された元データを複数のホスト端末2に分散して格納することができる。
The OFS node may perform such duplication instead of the
宛先であるホスト端末2をクラウドリソース等のデータストレージとすることで、安全なバックアップデータを配信、保存、回収することも可能である。この場合、ESノード10で複製を行う場合、複製データをそのままホスト端末2に転送し、ホスト端末2で保存する。上記の説明では、パケットをESノード10で複製する例を示したが、この例に限定されないことはいうまでもない。例えばESノード10では複製を行わず、その代わりにESノード11で複製を行うことも同様に可能である。ESノード11のみで複製を行う場合には、OFC61で管理する暗号鍵等を含んだメタデータ量は少なくなる。
By using the
各OFSノードにおける暗号化処理は、それぞれ異なる暗号化鍵を用いて暗号化することができる。例えば、OFSノード101、102ではそれぞれ異なる暗号鍵を用いてペイロード部分の暗号化を行う。各OFSごとに異なる暗号化処理を実施するため、同じパケットであっても、異なる経路かつ異なる暗号化処理を実施することができる。
The encryption process in each OFS node can be encrypted using different encryption keys. For example, the
本実施形態のシステムは、ホスト端末1が元データを送信する前に、認証手順を行う。ユーザ端末1は、バックアップを要求する場合、OFC61による認証を受け、認証が成功した場合にバックアップを行う元データをESノード10へ送信する。ユーザ端末1は、元データを回復する際にも、OFC61による認証を受け、認証が成功した場合に、ホスト端末2に格納されている断片データを取得する。ユーザ端末1は、認証要求を行うメッセージをESノード10に送信し、ESノード10は当該の呼設定情報をOFC61へ制御用の経路80を用いて転送する。OFC61は、認証処理を適切に行なう必要がある。
The system of this embodiment performs an authentication procedure before the
図2に認証対象ノードを含めたネットワークアーキテクチャを、図3に認証手順の一例を示す。認証は、例えば、チャレンジ及びレスポンスを用いて行う。この場合、OFC61及びホスト端末1は共通のパスワードSを事前に知っている。
ホスト端末1は、ESノード10に対して認証要求を行う(S101)。ESノード10は、認証要求をOFC61に転送する(S101)。
OFC61は、ESノード10を介してチャレンジをホスト端末1に送信する(S102)。OFC61は毎回、相異なる乱数としてチャレンジCをホスト端末1へES10を介して送出する。ホスト端末1は、パスワードS及びチャレンジCを一方向関数fに適用してレスポンスR=f(C,S)を作成する。ホスト端末1は、このようにして作成したレスポンスRをチャレンジCに対して返送する(S103)。
ここで、一方向関数fは事前にホスト端末1とOFC61とで共用されており、OFC61は、予めf(C,S)を作成しておき、ESノード10から受信したレスポンスRと、すでに作成したf(C,S)とを比較することにより、認証を行うことができる(S104)。
OFC61は、認証応答をESノード10に送信する(S105)。ESノード10は、認証応答をホスト端末1に転送する(S105)。
ホスト端末1は、ESノード10から認証を受けると、暗号化処理手順の実行が可能になる(S106)。
FIG. 2 shows a network architecture including an authentication target node, and FIG. 3 shows an example of an authentication procedure. Authentication is performed using a challenge and a response, for example. In this case, the OFC 61 and the
The
The OFC 61 transmits a challenge to the
Here, the one-way function f is shared by the
The OFC 61 transmits an authentication response to the ES node 10 (S105). The
Upon receiving authentication from the
OFSノードは、暗号化処理を行うために、例えば、仮想的なOFS(Virtual OFS)と、暗号化処理を実施する専用の仮想マシン(VM)から構成する。図4に、OFSノードの実行する暗号化手順の一例を示す。パケットが実インタフェースからOFSノードに到着すると、OFSノード内の仮想インタフェース(Virtual Interface)を介して暗号化処理用の仮想マシンに転送される。暗号化処理用の仮想マシンは、暗号化処理を実施し、仮想インタフェースを通してVirutual OFSに返す。Virtual OFSは実インタフェースに対して転送を行う。暗号化機能を仮想マシンに外出しすることにより、Virtual OFSは、OpenFlow Switchの機能拡張を行うことなく暗号化を実施できる。また、暗号化機能を仮想マシンではなく、仮想インタフェース上で動作するアプリケーションとして実現できることは言うまでもない。 The OFS node includes, for example, a virtual OFS (Virtual OFS) and a dedicated virtual machine (VM) that performs the encryption process in order to perform the encryption process. FIG. 4 shows an example of the encryption procedure executed by the OFS node. When the packet arrives at the OFS node from the real interface, the packet is transferred to the encryption processing virtual machine via the virtual interface (Virtual Interface) in the OFS node. The virtual machine for encryption processing performs encryption processing and returns it to the Virtual OFS through the virtual interface. Virtual OFS performs transfer to the real interface. By moving the encryption function out to the virtual machine, Virtual OFS can perform encryption without performing OpenFlow Switch function expansion. It goes without saying that the encryption function can be realized not as a virtual machine but as an application operating on a virtual interface.
ESノード11は、復号化処理を行うために、仮想復号化スイッチ処理部として機能する仮想的なOFS(Virtual OFS)と、復号化処理を実施する仮想復号化処理部として機能する専用の仮想マシンと、仮想復号化インタフェースとして機能する仮想インタフェースを備える。仮想マシンは、OFC61から制御可能なソフトウェアを用いて、断片データの復号処理を行う。仮想的なOFSは、OFC61から制御可能なソフトウェアを用いて、断片パケットに付されたサービス識別子に基づき、断片パケットの出力経路の制御を行う。仮想インタフェースは、受信した断片パケットを仮想マシンに転送し、仮想マシンからの復号化済みの断片パケットを仮想的なOFSに転送する。
The
図5に、ESノード11の実行する復号化手順の一例を示す。パケットが実インタフェースからESノード11に到着すると、OpenFlow Switchの機能を持つ仮想的なOFSがパケットを処理し、ESノード11内の仮想インタフェースを介して復号化処理用の仮想マシンに転送する。復号化処理用の仮想マシンは、復号化処理を実施し、仮想インタフェースを通して復号化済みのパケットを仮想的なOFSに転送する。
復号化用の仮想マシンは、仮想インタフェースから受信したパケットに対してOFC61から転送された復号化用の鍵を用いて復号化を実施した後、仮想インタフェースに転送する。仮想的なOFSは、仮想インタフェースから復号化済みのパケットを受信し、実インタフェースを通してホスト端末2に向けてパケットを転送する。
FIG. 5 shows an example of the decoding procedure executed by the
The virtual machine for decryption decrypts the packet received from the virtual interface using the decryption key transferred from the OFC 61 and then transfers the packet to the virtual interface. The virtual OFS receives the decrypted packet from the virtual interface and transfers the packet toward the
OFSの暗号化機能と同様に、ESノード11の復号化機能を仮想マシンに移譲することにより、仮想的なOFSは、OpenFlow Switchの機能拡張を行うことなく復号化を行うことができる。ここで、復号化機能を仮想マシンではなく、仮想インタフェース上で動作するアプリケーションとして実現できることは言うまでもない。
Similar to the OFS encryption function, by transferring the decryption function of the
ESノード10において判断対象となるサービス識別子の一例を示す。ESノード10では入力パケットのIPヘッダを拡張したオプションフィールドに付与されたサービス識別子を認識する。例えば、データバックアップ処理要求の場合は0x80000000とし、セキュアデータ通信要求の場合は0x40000000とし、データ復旧処理要求の場合は0x20000000とし、暗号化処理実施(配信)の場合は0x1000000とすることが考えられるが、これらの符号化形式に限定されるものではない。また、TCPヘッダやUDPヘッダのアプリケーションの送信元/宛先ポート番号をサービス識別子として使用する方法もある。必要に応じてパケットの種類の判別処理を拡張するために、ヘッダ内容を拡張して識別子を追加できることはいうまでもない。
An example of a service identifier to be determined in the
図6にES10の処理フローを示す。ES10は、入力パケットの種別を識別し、暗号化や冗長化の処理が必要なデータパケットであるか否かを判定する(S400)。種別の識別は、例えば、オプションフィールドに付与されたサービス識別子を認識し、さらに当該のサービスの実施を要求するフラグを識別する。暗号化/冗長化処理が必要なデータパケットであればS401へ移行し、それ以外の制御パケットであればS404へ移行する。S401〜S403では、データ転送経路40に接続されたOFSノード101もしくはOFSノード102に当該の入力パケットを適切にルーチングする。ここで、複数のES**はOFCによって制御されるノード群であり、入力パケットに対して実施する処理はパケットのルーチング制御のみである。一方、OFS##は暗号化処理を行うノード群である。ES10は、宛先となるホスト端末2へのルーチングを行うための経路候補となるルーチング情報を複数保持することが好ましい。ES10は、時々刻々変化する複数のルーチング経路の空き帯域を監視し、最も空き帯域が大きくなる経路をダイナミックに選択することが好ましい。
FIG. 6 shows the processing flow of ES10. The
図7に経路フィールド使用時のOFSノードにおけるデータ暗号化処理フローの一例を示す。断片パケットを受信すると(S501)、経路フィールド内に記載されている暗号化回数を確認する(S503)。暗号化回数がしきい値以下の場合はステップS504に移行し、暗号化回数がしきい値より大きい場合はステップS508に移行する。 FIG. 7 shows an example of a data encryption processing flow in the OFS node when the path field is used. When a fragment packet is received (S501), the number of times of encryption described in the path field is confirmed (S503). If the number of encryptions is less than or equal to the threshold value, the process proceeds to step S504. If the number of encryptions is greater than the threshold value, the process proceeds to step S508.
ステップS504では、OFSノードが、暗号化処理を行う。
ステップS505では、OFSノードが、OFC61から通知された経路を決定する。
ステップS506では、OFSノードが、経路フィールドに自ノードID番号を書き込む。
ステップS507では、OFSノードが、決定した経路に断片パケットを転送する。
In step S504, the OFS node performs an encryption process.
In step S505, the OFS node determines the route notified from the OFC 61.
In step S506, the OFS node writes its own node ID number in the path field.
In step S507, the OFS node transfers the fragment packet to the determined route.
図7における閾値は以下のように定めることができる。本発明において各ノードで、暗号化処理がなされる断片化ファイルは、後続する次段の中継ノードで再暗号化されるが、万が一のネットワーク機器の誤動作やネットワークの運用障害等により、特定の断片化された暗号化パケットの中継段数が、不必要に増加する事態が生じる場合の対応策を設ける必要がある。すなわち、このような不必要に多い暗号化処理回数に対して、上限となる値を予め定め、この上限値を閾値として活用することが望ましい。図7で示すOFSノードには、この閾値を用いて暗号化回数のチェックを行う機構を取り込んでいる。 The threshold value in FIG. 7 can be determined as follows. In the present invention, a fragmented file that is encrypted at each node is re-encrypted at the subsequent relay node. However, a specific fragment may be generated due to a malfunction of a network device or a network operation failure. It is necessary to provide a countermeasure when a situation occurs in which the number of relay stages of the encrypted packet becomes unnecessarily increased. In other words, it is desirable to determine in advance an upper limit value for such an unnecessarily large number of times of encryption processing, and to use this upper limit value as a threshold value. The OFS node shown in FIG. 7 incorporates a mechanism for checking the number of encryptions using this threshold value.
図8にOFSノード内のフィールドデータと利用手順の例を示す。経路フィールドへのIDの書き込み処理に先立ち、OFSノードのIDのビット長を適切に決め、当該のビット長単位で、逐次、中継OFSノードのID情報を追記できるように運用することが好ましい。このように、各段のスイッチは、自身のスイッチ番号を受信データに付与した形態で複数の最終の宛先端末まで届ける。 FIG. 8 shows an example of field data and usage procedures in the OFS node. Prior to the process of writing the ID in the path field, it is preferable that the bit length of the ID of the OFS node is appropriately determined, and the operation is performed so that the ID information of the relay OFS node can be additionally written in units of the bit length. In this way, each stage switch delivers it to a plurality of final destination terminals in a form in which its switch number is assigned to the received data.
各OFSノードは入力された断片パケット毎に伝送誤り等のチェックを行い、伝送誤りを検出し、受信側で誤り訂正が出来ない場合には、前段のOFSノードへその旨を通知することが好ましい。この場合、前段のOFSノードは、出側の伝送容量の空き状況に応じて、後続して入力されるパケットと、伝送誤りのあったパケットとを一緒に、後段のOFSノードへ伝達し、OFC61から受信した時系列情報を含む暗号鍵を用いて暗号化を受信データに対して行い、複数の最終の宛先端末まで届ける。 Each OFS node checks a transmission error or the like for each input fragment packet, detects a transmission error, and if error correction cannot be performed on the receiving side, it is preferable to notify the upstream OFS node to that effect. . In this case, the upstream OFS node transmits the subsequently input packet and the packet with the transmission error together to the downstream OFS node according to the empty state of the transmission capacity on the outgoing side, and the OFC 61 The received data is encrypted using the encryption key including the time-series information received from, and delivered to a plurality of final destination terminals.
図9にESノード11のデータ処理フローを示す。最終段のESノード11は入力パケットのサービス識別子を識別し(S700)、サービス識別子に応じた種々の処理を行う。本発明で規定する特定のサービスを実施すべきことを判別した場合には、中継OFSノードが自身のID番号を付与した経路フィールドと、チェックサム値等を含む情報のハッシュ値をメタデータ(固有値)として、セキュアな制御経路82を通してOFC61に転送する。
FIG. 9 shows a data processing flow of the
図10に、断片データの復号化のシーケンスを示す。
ホスト端末1は、ストレージとして機能するホスト端末2からデータを回収するとき、OFC61との間での認証に先立ち、ESノード10に対してデータ回収要求メッセージを送信する(S201)。ESノード10は受信したデータ回収要求メッセージをOFC61に転送する(S202)。
FIG. 10 shows a sequence of fragment data decoding.
When collecting data from the
OFC61による認証を終えた後は、OFC61はホスト端末2に対して保存している断片パケットをESノード11への転送を要求するメッセージを送信する(S203)。ホスト端末2は当該のメッセージを受信した後、保存している断片パケットのうちのデータ回復に必要となるものをESノード11に送信する(S204)。OFC61は、データベースを更新する(S205)。更新する内容は、例えば、各断片パケットが通過するノード番号等である。送信する断片パケットは、データ回復に必要となる必要最小限の断片パケットであることが好ましい。
After the authentication by the OFC 61 is completed, the OFC 61 transmits a message requesting transfer of the fragment packet stored in the
ESノード11は、断片パケットをホスト端末2から受信し、暗号化鍵を取得していない場合は、OFC61に対して断片パケットのメタデータ(固有値等)を送信し、暗号化鍵を要求する(S204)。OFC61は、ESノード11から暗号化鍵の要求を受信すると、復号化処理に必要な鍵とメタデータ(固有値など)をESノード11に転送する(S206)。
If the
ESノード11はOFC61より受信したメタデータ(固有値を含む)と鍵情報を参照し、ホスト端末2より受信したパケットを復号化(S207)する。復号化されたパケットは、順次ホスト端末1へと送信される(S208)。当該の断片パケットを受信したホスト端末1は端末内で断片パケットの組み立てを行い、元データを復元できる。ESノード11からホスト端末1に復号化済みのパケットを送信する際に、セキュアデータ通信を用いて再度OFSノードで暗号化を行い、ESノード10にて復号化を行うことで、更なるセキュリティの向上が可能であることは言うまでもない。
The
セキュアデータ通信時は、ESノード11に各OFSノードで暗号化済みのホスト端末2宛のパケットが到着すると、OFC61に対して断片パケットのメタデータ(固有値等)を送信し、暗号化鍵を要求する(S721)。OFC61は、ESノード11から暗号化鍵の要求を受信すると、復号化処理に必要な鍵とメタデータ(固有値など)をESノード11に転送する。ESノード11はOFC61より受信したメタデータ(固有値を含む)と鍵情報を参照し、OFSノードより受信したパケットを復号化(S741)する。復号化されたパケットは、ホスト端末1へと送信される(S742)。
During secure data communication, when a packet addressed to the
図11に、OFCのESノード制御に関わる処理フローを示す。OFC61は、入力パケットの種別を識別する(S800)。種別がES10からのデータバックアップ要求またはセキュアデータ通信要求であれば、認証応答メッセージを送信する(S801)。種別がデータバックアップ時のES11からのメタデータと経路フィールドであれば、S811〜S813を実行する。種別がES11からの暗号化鍵要求であれば、S821〜S822を実行する。種別がES10からのデータ回収要求であれば、S831を実行する。 FIG. 11 shows a processing flow related to the OFC ES node control. The OFC 61 identifies the type of the input packet (S800). If the type is a data backup request or secure data communication request from ES10, an authentication response message is transmitted (S801). If the type is metadata and path field from ES11 at the time of data backup, S811 to S813 are executed. If the type is an encryption key request from ES11, S821 to S822 are executed. If the type is a data collection request from ES10, S831 is executed.
ペイロードの一部には、図8に示すように、各OFSノード固有のIDもしくは相当するタグ情報等が記述され、どの番号のOFCを経由して伝達されたかに関する経路フィールド情報として活用する。経路フィールドはペイロード内にある場合を示したが、この場合に限定されることはない。例えば、経路フィールドがレイヤ3のオプションフィールド内にある場合も可能であることはいうまでもない。
As shown in FIG. 8, an ID unique to each OFS node or corresponding tag information is described in a part of the payload, and is used as route field information regarding which number of OFCs are transmitted. Although the path field is shown in the payload, the present invention is not limited to this case. For example, it is needless to say that the path field is also in the
図12にOFC内のメタデータの管理手順(例1)を示す。図12では断片データAの時間を示す固有値として、(2014_1_1)を持つ場合は、OFC内で1段目の中継(OFC101を使用)時に、暗号鍵0xabcが使用され、2段目(OFC201)、3段目(OFC302)の中継経路上では暗号鍵0xef8、0x9acを使用して暗号化されていることを示す。 FIG. 12 shows a management procedure (example 1) of metadata in the OFC. In FIG. 12, when (2014_1_1) is provided as a unique value indicating the time of the fragment data A, the encryption key 0xabc is used at the time of relaying the first stage (using the OFC 101) in the OFC, and the second stage (OFC 201). It indicates that encryption is performed using encryption keys 0xef8 and 0x9ac on the relay path of the third level (OFC 302).
ここでOFC61は以下の2つの機能を保持することに留意する必要がある。1つはセキュアな制御経路81を用い、全てのOFSノードに定期的に暗号鍵の配布を行う機能である。例えば、OFC61は、暗号鍵を配布後の時間経過が閾値以上になったとき、OFC61に暗号鍵を配布する。そして、OFSノード番号に固有な値と暗号鍵を共にDBに保存する。この時に配布される暗号鍵は、時系列情報などを含め、利用する時間帯を指定することも可能である。その際には、配布した暗号鍵と配布した時間帯および配布したOFSノード番号等を対応づけてデータベース(DB100,S812)に保持)することが好ましい。
Here, it should be noted that the OFC 61 has the following two functions. One is a function for periodically distributing encryption keys to all OFS nodes using a
OFC61の保持するもう1つの機能は、セキュアな経路80,82を用いてESノード11より送出された断片パケットのヘッダ情報と経路フィールドを受け取りデータベース(S811,DB200))等に保持する機能である。OFC61は、DB100とDB200のDBを統合する(S812)。このとき、OFC61は、断片パケットの固有値をキーとし、1段目暗号鍵、2段目暗号鍵等を属性とするDBを更新・作成する。
Another function held by the OFC 61 is a function for receiving the header information and route field of the fragment packet sent from the
図12,図13,図14に示すように、例えば、RDB(Relational Data Base)を使用する場合、DB100とDB200を関連付けし、ハッシュ値を主キーとして1段目の暗号キー、2段目の暗号キーの様な属性を持つデータベースを作成(S812)することが必要となる。図13にOFC内のメタデータの管理手順(例2)を示す。 As shown in FIGS. 12, 13, and 14, for example, when using an RDB (Relational Data Base), the DB 100 and the DB 200 are associated with each other, and the first-stage encryption key and the second-stage encryption key with the hash value as the primary key. It is necessary to create a database having attributes such as encryption keys (S812). FIG. 13 shows a metadata management procedure (example 2) in the OFC.
図13では断片データAの時間を示す固有値として、(2014_1_1)および(2014_2_1)がDB100内に記録されている場合を示す。この場合は、暗号鍵の更新時間が1ヶ月後である場合を示すが、この更新時間に限らないことはいうまでもない。 FIG. 13 shows a case where (2014_1_1) and (2014_2_1) are recorded in the DB 100 as eigenvalues indicating the time of the fragment data A. This case shows a case where the update time of the encryption key is one month later, but it goes without saying that the update time is not limited to this.
図14にOFC内のメタデータの管理手順(例3)を示す。図14では同一ファイルからの異なる断片データA、断片データBが、1月1日と2月1日では、異なるデータ配信用の経路を用いて、異なる暗号鍵により暗号化された時のDB100における追記処理された場合の格納情報の例を示す。 FIG. 14 shows a management procedure (example 3) of metadata in the OFC. In FIG. 14, in the DB 100 when different fragment data A and fragment data B from the same file are encrypted with different encryption keys on January 1 and February 1, using different data distribution paths. The example of the storage information at the time of an appending process is shown.
ここで、同じ断片パケットの場合でも中継されるノード番号によって使用される暗号鍵は異なることに着目し、この暗号鍵をキー(属性名:固有値)として検索に活用することが好ましい。また暗号鍵はセキュリティ上、一定の周期で変更されることが好ましい。例えば、OFC61は、各中継段のスイッチ番号に特有の暗号鍵を管理し、予め秘密に規定された時刻を基にランダムに変更することが好ましい。ただし、同一ユーザに対してはサービスを継続中は、周期的に暗号鍵を変えることは、OFC61における処理量の増大化を来たすため、サービス上の運用条件に配慮して、適切に判断する必要がある。図14に示す統合されたデータベースの内容は、最新の配布暗号鍵のデータベース(DB100)とエッジスイッチ(ESノード11)へ伝達されるデータベース情報(DB200)と対応付けて作成される。なお、メタデータの管理手法についてこの例に限定されないことは言うまでもない。 Here, it is preferable to use the encryption key as a key (attribute name: eigenvalue) for the search, paying attention to the fact that the encryption key used differs depending on the relayed node number even in the case of the same fragment packet. Further, it is preferable that the encryption key is changed at a constant cycle for security. For example, it is preferable that the OFC 61 manages an encryption key unique to the switch number of each relay stage and randomly changes it based on a secret time. However, changing the encryption key periodically while the service is ongoing for the same user will increase the amount of processing in the OFC 61, so it is necessary to make an appropriate decision in consideration of the service operating conditions. There is. The contents of the integrated database shown in FIG. 14 are created in association with the latest distributed encryption key database (DB 100) and the database information (DB 200) transmitted to the edge switch (ES node 11). Needless to say, the metadata management method is not limited to this example.
ここでOFC内のデータベースは図15に示すOFC内データベースの内容の例のように記述される。図16はこのデータベースを論理的に分割して用いる場合の例を示す。 Here, the database in the OFC is described as an example of the contents of the database in the OFC shown in FIG. FIG. 16 shows an example in which this database is logically divided and used.
本実施形態に係るデータ転送システムは、伝搬経路によって異なる暗号化を断片データに施しているため、高い安全性を保証できるデータ保管を実現することができる。また、元データの分割機能と暗号化機能を異なるノードに分散させているため、ホスト端末1の暗号化処理の負荷量を増やすこと無く実現することができる。なお、本実施形態では、ES10が元データを分割して断片データを生成する例を示したが、断片データの生成はホスト端末1が行っても良いことはいうまでもない。
Since the data transfer system according to the present embodiment performs the encryption different on the fragment data depending on the propagation path, it is possible to realize data storage that can guarantee high security. In addition, since the original data division function and the encryption function are distributed to different nodes, it can be realized without increasing the load of the encryption process of the
図17に、データバックアップ利用時の利用端末(ホスト端末1)におけるデータの暗号化および断片パケット生成に関わる配信データの処理フローを示す。ホスト端末1は、暗号化処理S1、一体化処理S2、分割処理S3及び複製処理S4を順に行い、これらの処理で生成された断片データを暗号化し、元データを生成する(S5)。ホスト端末1から送信された元データがESノード10に入力される。なお、図17に示す一体化処理は特許文献3で説明したものと同様である。
FIG. 17 shows a processing flow of distribution data related to data encryption and fragment packet generation in the user terminal (host terminal 1) when using data backup. The
(第2の実施形態)
図18に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態に係るデータ転送システムは、OFC61が各サービスに割り当てた経路を管理する。OFC61は、ESノード10、OFSノード間の全ての経路を管理する。この場合、OFC61は、各OFSノードが暗号化に用いた鍵を導出する。そして、ESノード11又はストレージ20は、復号化に用いる暗号鍵をOFC61から取得する。OFC61が、MPLS等のラベルにより経路を管理する方法を以下に示す。
(Second Embodiment)
FIG. 18 shows a configuration example of the data transfer system according to the present embodiment. The data transfer system according to the present embodiment manages the routes assigned to each service by the OFC 61. The OFC 61 manages all paths between the
ESノード10は、ポートPT103、PT101、PT102を有する。PT103はホスト端末1を接続され、PT101はOFSノード101と接続され、PT102はOFSノード102と接続される。OFSノード101は、ポートPT1011、PT1012、PT1013を有する。OFSノード102は、ポートPT1021、PT1022、PT1023を有する。OFSノード201は、ポートPT2011、PT2012,PT2013を有する。OFSノード202は、ポートPT2021、PT2022、PT2023を有する。ESノード11は、ポートPT111、PT112、PT113を有する。
The
本実施形態では、隣接するノード(OFS、ES、ホスト端末、ストレージ等)と接続される。OFC61は、全ての管理下のESノード及びOFSノードの接続関係(接続ポート)を把握している。OFC61は、ES10からES11までの任意本数の経路の重複度の少ない最短経路を定期的に算出し、データ通信サービスに対して経路を割り当てることが好ましい。 In this embodiment, it is connected to an adjacent node (OFS, ES, host terminal, storage, etc.). The OFC 61 grasps connection relationships (connection ports) of all managed ES nodes and OFS nodes. It is preferable that the OFC 61 periodically calculates the shortest route with a small degree of duplication of an arbitrary number of routes from ES10 to ES11 and assigns the route to the data communication service.
各OFSノード内では、暗号化用の仮想マシンへ入力するための仮想ポートと出力するための仮想ポートが存在する。図19に、仮想ポートの一例を示す。OFSノード101はVPT1011及びVPT1012を備え、OFSノード102はVPT1021及びVOPT1022を備え、OFSノード201はVPT2011及びVPT2012を備え、OFSノード202はVPT2021及びVPT2022を備える。ESノード11は、VPT111及びVPT112を備える。VPT111は、暗号化用の仮想マシンへ入力するための仮想ポートである。VPT112は、暗号化用の仮想マシンから出力するための仮想ポートである。
Within each OFS node, there are virtual ports for input to the virtual machine for encryption and virtual ports for output. FIG. 19 shows an example of a virtual port. The
ホスト端末1からの入力データパケットに対して、OFC61が割り当てた経路を通るようにルーチングさせる仕組みを、図18及び図19を用いて説明する。第1の実施形態と同様に、サービス開始前にホスト端末1はOFC61に対してサービス(データバックアップ、データ回収、セキュアデータ通信等)要求を実施し、認証を行う。サービス識別子として、送信元/宛先IPアドレス、送信元/宛先ポート番号を使用し、セキュアデータ通信を行う場合を例に挙げて説明する。
A mechanism for routing an input data packet from the
上記認証時に、ホスト端末1はOFC61に対してサービス識別子とサービス種別(セキュアデータ通信)を伝達する。OFC61は認証が完了すると、サービスに対して経路を割り当てる。OFC61は、ラベルにより目的のパケットが決定した経路を通るよう、入側スイッチ、出側スイッチ、各OFSノードのフローエントリを設定する。
At the time of the authentication, the
具体的なサービスに対する経路の決定方法は、第3の実施形態に記載の方式を用いることが可能である。例えば、特定のサービス識別子に対して特定の経路を割り当てる。特定のサービス識別子は、例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート番号及び宛先ポート番号が、それぞれIP1、IP2、UDP1及びUDP2である場合である。特定の経路は、例えば、ESノード10のPT101、OFSノード101のPT1013及びPT1012、OFSノード202のPT2021及びPT2023、ESノード11のPT112である。
As a method for determining a route for a specific service, the method described in the third embodiment can be used. For example, a specific route is assigned to a specific service identifier. The specific service identifier is, for example, a case where the source IP address, the destination IP address, the source port number, and the destination port number are IP1, IP2, UDP1, and UDP2, respectively. Specific paths are, for example, the
OFSノードでは暗号化を、ESノード11では復号化を実施することができるように、当該の暗号化・復号化用の鍵データを含むメタデータの送信がOFC61により実施される。また、当該の中継経路に従って、パケットが通過し、暗号化が実施されるように、OFC61から経路上のESノードおよびOFSノードに対してフローテーブルの設定を行う。また、ESノード11に対して復号用の鍵を配布する。フローテーブルの設定が完了すると、認証完了のメッセージをホスト端末1に送信する。フローテーブルは、マッチフィールド及び命令群を含む。
The OFC 61 transmits metadata including the key data for encryption / decryption so that the OFS node can perform encryption and the
ESノード10のフローテーブルは、マッチフィールド(DP送信元ポート番号=UDP1、UDP宛先ポート番号=UDP2、送信元IPアドレス=IP1、宛先IPアドレス=IP2)及び命令群(MPLSタグ挿入、MPLSセット:Label1、アウトプット:PT101)を含む。
OFS101のフローテーブルは、マッチフィールド(MPLSラベル=Label1,入力ポート=PT1013)及び命令群(アウトプット:VPT1011)と、マッチフィールド(MPLSラベル:Label1,入力ポート=VPT1−12)及び命令群(アウトプット:PT1012)を含む。
OFS202のフローテーブルは、マッチフィールド(MPLSラベル=Label1,入力ポート=PT2021)及び命令群(アウトプット:VPT2021)と、マッチフィールド(MPLSラベル=Label1,入力ポート=VPT2022)及び命令群(アウトプット:PT2023)を含む。
ES11のフローテーブルは、マッチフィールド(MPLSラベル:Label1、入力ポートPT112)及び命令群(アウトプット:VPT111)と、マッチフィールド(MPLSラベル:Label1、入力ポート=VPT112,UDP送信元ポート番号=UDP1,UDP宛先ポート番号=UDP2,送信元IPアドレス=IP1,宛先IPアドレス=IP2)及び命令群(MPLSタグ削除、アウトプット:PT113)を含む。
The flow table of the
The flow table of the
The flow table of the
The ES11 flow table includes a match field (MPLS label: Label1, input port PT112) and an instruction group (output: VPT111), a match field (MPLS label: Label1, input port = VPT112, UDP source port number = UDP1, UDP destination port number = UDP2, source IP address = IP1, destination IP address = IP2) and instruction group (MPLS tag deletion, output: PT113).
ホスト端末1は、データパケットをESノード10に対して送信を開始する。ESノード10に当該サービスのパケットが到着すると、サービス識別子に対してMPLSラベルLabel1を付加し、PT101に転送するフローエントリにマッチし、当該の処理が実行される。ESノード10のPT101から送信されたパケットは、OFSノード101のPT1013に到着する。
The
OFSノード101は、仮想暗号化処理部と、仮想暗号化スイッチ処理部と、仮想暗号化インタフェースと、を備える。仮想暗号化処理部は、OFC61から制御可能なソフトウェアを用いて、断片データを暗号化する。仮想暗号化スイッチ処理部は、OFC61から制御可能なソフトウェアを用いて、断片パケットの出力経路の制御を行う。仮想暗号化インタフェースは、受信した断片パケットを仮想暗号化処理部に転送し、仮想暗号化処理部からの暗号化済みの断片パケットを仮想スイッチ処理部に転送する。
The
OFSノード101は、当該サービスのパケットがMPLSラベル:Label1に対してVPT1011に転送するエントリにマッチし、暗号化用の仮想マシンにパケットが転送される。OFSノード101内の暗号化用の仮想マシンでは暗号化を実施し、VPT1012に転送する。VPT1012から入力された当該サービスのパケットは、MPLSラベル:Label1に対してPT1012に転送するエントリにマッチし、当該の処理が実行される。
The
OFSノード101のPT1012から送信されたパケットは、OFSノード202のPT2021に到着する。OFSノード202では、当該サービスのパケットがMPLSラベル:Label1に対してVPT2021に転送するフローエントリにマッチし、暗号化用の仮想マシンにパケットが転送される。OFSノード202内の暗号化用の仮想マシンでは、暗号化を実施し、VPT2022に対してパケットが転送する。OFSノード202内のVPT2022から入力された当該サービスのパケットは、MPLSラベル:Label1に対してPT2023に転送するエントリにマッチし、実行される。
The packet transmitted from the
OFSノード202のPT2023から送信されたパケットは、ESノード11のPT112に到着する。ESノード11は、当該サービスのパケットがMPLSラベル:Label1に対してVPT111に転送するエントリにマッチし、復号化用の仮想マシンにパケットが転送される。ESノード11内の復号化用の仮想マシンでは復号化を実施し、VPT112に転送する。復号は、例えば、受信データ列とOFC61から受信した暗号鍵列から成る時系列情報を用いて行う。VPT112から入力された当該サービスのパケットは、MPLSラベル:Label1サービス識別子に対してMPLSラベルを削除し、PT113に転送するエントリにマッチし実行される。復号化済みのパケットはESノード11のPT113からホスト端末2に到着する。
The packet transmitted from the PT 2023 of the
ESノード11は、復号化転送装置として機能する。具体的には、ESノード11は、仮想復号化処理部と、仮想復号化スイッチ処理部と、仮想復号化インタフェースと、を備える。仮想復号化処理部は、OFC61から制御可能なソフトウェアを用いて、断片データの復号処理を行う。仮想復号化スイッチ処理部は、OFC61から制御可能なソフトウェアを用いて、断片パケットの出力経路の制御を行う。仮想復号化インタフェースは、受信した断片パケットを仮想復号化処理部に転送し、仮想復号化処理部からの復号化済みの断片パケットを仮想スイッチ処理部に転送する。
The
ESノード11内の復号化を行う仮想マシンは、仮想復号化処理部として機能する際に、MPLSラベル(経路)ごとに異なる暗号鍵を用いる必要がある。復号化処理時にMPLSフィールドを見て鍵を識別する方法や、鍵ごとに復号化用の仮想マシンを生成し、転送する仮想ポート(VPT)をフローテーブルのエントリで操作することにより適切な鍵を用いることができる。
A virtual machine that performs decryption in the
OFCノード61が管理する情報の一例を示す。OFCノード61内には、サービス識別子及びラベル値が格納される。サービス識別子は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号及び宛先ポート番号を含む。例えば、サービス識別子(IP1,IP2,UDP1,UDP2)のラベル値はLabel1であり、サービス識別子(IP3,IP4,UDP3,UDP4)のラベル値はLabel2である。ラベル値は経路を示す。例えば、ラベル1はES10(PT101),(PT1013)OFS101(PT1012),(PT2021)OFS202(PT2023),(PT112)ES11で特定される経路である。ラベル2は、ES10(PT102),(PT1023)OFS102(PT1022),(PT2022)OFS202(PT2023),(PT112)ES11で特定される経路である。
An example of information managed by the OFC node 61 is shown. In the OFC node 61, a service identifier and a label value are stored. The service identifier includes a source IP address, a destination IP address, a source port number, and a destination port number. For example, the label value of the service identifier (IP1, IP2, UDP1, UDP2) is Label1, and the label value of the service identifier (IP3, IP4, UDP3, UDP4) is Label2. The label value indicates the route. For example,
第1の実施形態ではパケット内に経路フィールドに経路情報が含まれていたために、OFC61で管理する必要がなかったが、本実施形態ではOFC61で経路情報を管理することで、パケットに経路を埋め込まない。パケット内に経路情報を埋め込まないことで、盗聴に対してより解読困難なネットワークサービスを提供することが可能となる。サービスに対して割り当てた経路を、サービス識別子に対応付けて経路情報とラベル値を保持・管理することで、サービス識別子から経路が導出でき、復号化に必要な鍵の導出と、ラベルによる経路制御が実施できる。 In the first embodiment, since the route information is included in the route field in the packet, it is not necessary to manage it by the OFC 61. However, in this embodiment, the route information is managed by the OFC 61, and the route is embedded in the packet. Absent. By not embedding route information in the packet, it becomes possible to provide a network service that is more difficult to decipher against eavesdropping. By storing and managing route information and label values by associating routes assigned to services with service identifiers, routes can be derived from service identifiers, derivation of keys necessary for decryption, and route control by labels Can be implemented.
(第3の実施形態)
本実施形態に係るデータ転送システムは、第2の実施形態に機能追加することで、セキュア通信やデータバックアップ、データ復旧サービスに対してネットワークの伝送遅延時間保証を実施することができる。第2の実施形態では、OFC61が経路を管理し、サービスに対して経路の割り当てを行った。これに対し、第3の実施形態では、ホスト端末1がOFC61に対してサービス要求及び認証時を行う時に、合わせて遅延時間保証に対する要求と使用帯域も伝達する。一例として、ESノード間の遅延時間の要求値が10ms以内、要求使用帯域が100Mbpsのセキュアデータ通信を要求する場合を説明する。この際には、OFCで、要求を満たす経路を探索する。
(Third embodiment)
By adding a function to the second embodiment, the data transfer system according to the present embodiment can guarantee transmission delay time of the network for secure communication, data backup, and data recovery service. In the second embodiment, the OFC 61 manages routes and assigns routes to services. On the other hand, in the third embodiment, when the
図20及び図21に、経路探索に必要なOFC管理情報の例を示す。本例では、ESノード10からESノード11への経路の候補は4つある。
1つ目の経路候補ESノード10(PT101)−(PT1013)OFSノード101(PT1011)−(PT2011)OFSノード201(PT2013)−(PT111)ESノード11の経路のリンクの転送時間の合計は、1.5ミリ秒+2.2ミリ秒+1.5ミリ秒=5.2ミリ秒となる。また、ESノード10における転送処理、OFSノード101、OFSノード201における転送処理と暗号化処理、ESノード11における転送処理と復号化処理に要する時間は、20マイクロ秒+10マイクロ秒+5マイクロ秒+10マイクロ秒+5マイクロ秒+10マイクロ秒+10マイクロ秒=70マイクロ秒となる。ノードの処理とリンクの処理の合計が5.27ミリ秒となり、要求の10msを満たしている。また、各リンクの使用状況は要求帯域の100Mbpsを使用状況に加算しても余裕がある。具体的には、リンクID1:5.6Gbps/10Gbps、リンクID3:4.3Gbps/10Gbps、リンクID7:4.6Gbps/10Gbpsとなる。また、ESノード10、OFSノード101、OFSノード102、ESノード11の負荷状況を確認しても余裕があるため、当該要求に対してこの経路は使用可能である。
20 and 21 show examples of OFC management information necessary for route search. In this example, there are four path candidates from the
First route candidate ES node 10 (PT101)-(PT1013) OFS node 101 (PT1011)-(PT2011) OFS node 201 (PT2013)-(PT111) The total transfer time of the link of the route of
2つ目の経路候補ESノード10(PT101)−(PT1013)OFSノード101(PT1012)−(PT2021)OFSノード202(PT2023)−(PT112)ESノード11の経路のリンクの転送時間の合計は、1.5ミリ秒+5.5ミリ秒+3.8ミリ秒=10.8ミリ秒となり、この時点で要求遅延時間を超過しているため、当該要求に対してこの経路は使用できない。
Second path candidate ES node 10 (PT101)-(PT1013) OFS node 101 (PT1012)-(PT2021) OFS node 202 (PT2023)-(PT112) The total transfer time of the link of the path of
3つ目の経路候補ESノード10(PT102)−(PT1023)OFSノード102(PT1022)−(PT2022)OFSノード202(PT2023)−(PT112)ESノード11の経路のリンク転送時間の合計も同様に、1.8ミリ秒+4.5ミリ秒+3.8ミリ秒=10.1ミリ秒となり、この経路は使用できない。
Similarly, the sum of the link transfer times of the route of the third route candidate ES node 10 (PT102)-(PT1023) OFS node 102 (PT1022)-(PT2022) OFS node 202 (PT2023)-(PT112)
4つ目の経路候補ESノード10(PT102)−(PT1023)OFSノード102(PT1022)−(PT2022)OFSノード202(PT2023)−(PT112)ESノード11の経路のリンク転送時間の合計は、1.8ミリ秒+1.8ミリ秒+1.5ミリ秒=5.1ミリ秒となる。また、ESノード10における転送処理、OFSノード102、OFSノード201における転送処理と暗号化処理、ESノード11における復号化処理に要する時間は、20マイクロ秒+10マイクロ秒+5マイクロ秒+10マイクロ秒+5マイクロ秒+10マイクロ秒+10マイクロ秒=70マイクロ秒となる。ノードの処理とリンクの処理の合計が5.17ミリ秒となり、要求の10msを満たしている。しかし、各リンクの使用状況に要求帯域の100Mbpsを加算すると、リンクID5:10.05Gbps/10Gbpsとなり容量を超過しているため、この経路は使用できない。
The total link transfer time of the route of the fourth route candidate ES node 10 (PT102)-(PT1023) OFS node 102 (PT1022)-(PT2022) OFS node 202 (PT2023)-(PT112)
このように使用状況と遅延時間をOFCが管理し、要求を満たす経路を選択し使用させることで、遅延時間保証サービスを高セキュリティで提供可能となる。 As described above, the OFC manages the usage status and the delay time, and selects and uses a route that satisfies the request, thereby providing a delay time guarantee service with high security.
次に、OFCの経路探索の方式として、k−shortest path法を基にしたアルゴリズムを用いる方式を例として説明する。任意のESノード間を繋ぐ任意本数の経路(k本)を、既存トラフィックを考慮して定期的に計算しておき、通信要求に応じて要求遅延時間を満たす経路をk本の中から割り当てる。定期的に計算しておく経路は、低遅延時間かつ低リンク重複度を同時に満たす組み合わせとしており、要求遅延時間に応じつつトラフィックの分散化も実現する。 Next, a method using an algorithm based on the k-shortest path method will be described as an example of the OFC route search method. Arbitrary number of routes (k routes) connecting between any ES nodes are periodically calculated in consideration of existing traffic, and routes satisfying the request delay time are allocated from k routes according to communication requests. The route that is calculated periodically is a combination that satisfies the low delay time and the low link redundancy at the same time, and also realizes traffic distribution according to the required delay time.
例えば、k=2本とした場合、ホスト端末1とホスト端末2間の経路として、経路ESノード10(PT101)−(PT1013)OFSノード101(PT1011)−(PT2011)OFSノード201(PT2013)−(PT111)ESノード11およびESノード10(PT102)−(PT1023)OFSノード102(PT1022)−(PT2022)OFSノード202(PT2023)−(PT112)ESノード11が算出される。これらの経路は、当該時点におけるトラフィック状況により別経路へ更新される場合もある。OFCは、要求遅延時間に応じて、要求に対してどちらかの経路を割り当てる事になる。
For example, when k = 2, the route between the
本方法は、要求毎に経路探索を実施する必要が無く、高速な探索を提供する。また、探索によって算出される経路のリンク重複度が低く抑えられることにより、トラフィックが分散され、障害発生時の影響範囲を抑制する事が可能となり、高品質な低遅延保証サービスへの寄与を実現する。 This method does not need to perform a route search for each request, and provides a high-speed search. In addition, by reducing the link redundancy of the route calculated by the search, traffic can be distributed and the influence range at the time of failure can be suppressed, contributing to high quality low delay guarantee service To do.
本経路探索方式例は、遅延時間保証を実現する方法として説明したが、特に遅延時間は考慮せずに、サービスに割り当てる経路を高速に求める方式として、第2の実施形態にて利用できる。また、更に、重複の少ない経路の探索方式として用いることで、後述する実施形態における経路探索方式としても使用できる。 Although this route search method example has been described as a method for realizing the delay time guarantee, it can be used in the second embodiment as a method for quickly obtaining a route to be assigned to a service without considering the delay time. Furthermore, it can also be used as a route search method in an embodiment described later by using as a route search method with less overlap.
(第4の実施形態)
図22に、本実施形態に係るデータ転送システムの構成例を示す。上述した第1の実施形態では、全てのパケットが発信側のエッジノード(ESノード10)に送信された後、着信側のエッジノード(ESノード11)へ伝達される。一方、本実施形態に係るデータ転送システムは、ESノード10、ESノード11が、2組で構成される。これらのどちらかのエッジノードへ入力されたパケットは、A面LSAのESノード10、またはB面LSBのESノード10の、どちらかから、経路群43の中の一つの回線に接続されている適切なOFSノードの一つへルーチングされる。
(Fourth embodiment)
FIG. 22 shows a configuration example of the data transfer system according to the present embodiment. In the first embodiment described above, all the packets are transmitted to the originating edge node (ES node 10) and then transmitted to the terminating edge node (ES node 11). On the other hand, the data transfer system according to the present embodiment includes two sets of
このルーチングに当たっては、適切な負荷分散制御がされることが好ましい。また、当該のパケットがエッジノードへ入力後に、どちらのESノード10にルーチングされるかは、空き帯域を常時監視するOFCノード62またはOFCノード63より、セキュアな制御経路群83を用いて決定されることが好ましい。
In this routing, it is preferable that appropriate load distribution control is performed. Further, which
また、A面LSAのOFSノード群とB面LSBのOFSノード群のノード間では経路は直接には接続されず、独立に、制御されることが好ましい。A面LSAのOFSノード群にルーチングされたパケットは、B面LSBのOFSノード群へルーチングされることは無い。例えば、OFSノード群を制御するOFCノード62は、A面LSAのESノード10、11およびA面LSA内のOFSノード群のみを制御し、B面LSBに属するOFSノード群の制御は行わない。
In addition, it is preferable that the path is not directly connected between the OFS node group of the A-plane LSA and the OFS node group of the B-plane LSB, and is controlled independently. Packets routed to the OFS node group of the A-plane LSA are not routed to the OFS node group of the B-plane LSB. For example, the
また、パケットが経路44を用いて転送され、ESノード11に入力された場合の当該OFCノードへのメタデータの送信処理に関しては、A,Bどちらの面のOFSノード群から転送されたかを識別し、当該のOFSノードを制御しているOFCノードへとセキュアな制御経路84を用いて転送する。A面LSAとB面LSBが独立して運用されることにより、OFSノードやESノードで構成される各種ノードの故障等に対しても、より安定したセキュアな通信が可能となる。OFSノード内での暗号化処理やOFCノードでのメタデータ管理の方法などに関しては、第1の実施形態と同様である。
In addition, regarding the transmission process of metadata to the OFC node when the packet is transferred using the
(第5の実施形態)
図23に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態では、ルーチング対象となるネットワークトポロジを1つまたは複数のネットワークグループに分割し、各々のネットワークグループがトーラス構造を備える。本実施形態に係るデータ転送システムは、この構成を備えるため、経由するスイッチ数で決まる暗号化されるスイッチ段数を最小化してルーチングを行うと共に、トーラス上のどの経路を使用するかについての情報により、相異なる暗号化を施し、第3者の解読を困難とする。
(Fifth embodiment)
FIG. 23 shows a configuration example of the data transfer system according to the present embodiment. In this embodiment, the network topology to be routed is divided into one or a plurality of network groups, and each network group has a torus structure. Since the data transfer system according to the present embodiment has this configuration, routing is performed by minimizing the number of switch stages to be encrypted, which is determined by the number of switches through which the data transfer system is used, and information on which route on the torus is used. , Making different encryption difficult for a third party to decipher.
ESノード10は、全てのOFSノード群のノード及びESノード11へ転送可能なフローテーブルを保持し、OFSノード群のノードはESノード10の後段の全てOFSノード群のノードとESノード11へ転送するためのフローテーブルを保持する。ESノード10、ESノード11およびOFSノード群はトーラス型のトポロジーで構成される経路により接続されている。経路トポロジーがトーラス構造を持つ場合には、OFSノードは、自ノードと同じレベルの中継段にあるOFSノードを含めて、後段にあるOFSノードへの転送できる必要がある。
The
自ノードのスイッチの後段に位置するOFSノードに対して、この例ではトーラス構造の経路51を用い、最大で2段の中継数で、最後段にある任意のOFSノード201,202,203へ転送することが可能なSDNを構成している。このように、本実施形態に係るデータ転送システムは、トーラス構造51を活用することにより、中継段数が短縮されることに加え、暗号化処理を行うノード間の選択経路が第三者から容易には判別が困難となる。このため、本実施形態に係るデータ転送システムは、よりセキュアな通信サービスを経済的に実現できる。ESノード10へパケットが入力され、ESノード11からストレージ22または宛先となるホスト端末2(不図示)へ伝達され、保存されるメカニズム、OFSノード内での暗号化処理、並びにOFCノードでのメタデータ管理の方法に関しては、第1の実施形態の例と同様である。図23では、データバックアップ・復旧について記載しているが、ストレージ22がホスト端末2となりセキュアデータ通信を行う場合も同様であることは言うまでもない。
For the OFS node located at the subsequent stage of the switch of the own node, in this example, the
OFCノード内のメタデータ管理は、トーラス構造のネットワークを活用する場合、OFSノードの“段”の位置づけが、第1の実施形態とは異なり、同一中継段の中でのルーチングを実施できる融通性を備える。例えば、Time=2014_1_1におけるOFSノード101,102,201,202の暗号化する鍵情報が、それぞれ、0xabc,0xee0,0xef8,0xaaaであるとする。ESノード10、OFSノード101、OFSノード102、ESノード11の順で転送した場合、2014_1_1における断片データAの暗号化は、1回目は0xabcとし、2回目は0xee0とする。このように、同じ1段目の別のOFSで暗号化する。ESノード10、OFSノード201、OFSノード202、ESノード11の順で転送した場合、2014_1_1における断片データBの暗号化は、1回目は0xef8とし、2回目は0xabcとする。このように、2段目のなかの別のOFSで暗号化する。
The metadata management in the OFC node, when utilizing a torus structure network, is different from the first embodiment in that the position of the “stage” of the OFS node is flexible so that routing can be performed in the same relay stage. Is provided. For example, it is assumed that the key information encrypted by the
(第6の実施形態)
図24に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態に係るデータ転送システムは、SDN31の中継段に複数のOFSノード211,212,213,214を備え、暗号処理の回数を、強制的に増やすことにより、安全性を高めるためのトーラス構造の例を示している。例えば、ESノード10が分割したパケットを、OFSノード212が暗号化した後に、さらにOFSノード214が暗号化し、ES11へ転送する。この構成により、どの中継ノードがESノード10に最初に接続された場合においても、最少2段の中継段数を確保することにより、安全性を確保することができる。図24では、データバックアップ・復旧について記載しているが、ストレージ22がホスト端末2となりセキュアデータ通信を行う場合も同様であることは言うまでもない。
(Sixth embodiment)
FIG. 24 shows a configuration example of the data transfer system according to the present embodiment. The data transfer system according to the present embodiment includes a plurality of
図25に、本実施形態に係るデータ転送システムの第2例を示す。本実施形態に係るデータ転送システムの第2例は、SDNの規模を拡大し、拠点間ネットワークを考慮した場合のネットワーク構成となっている。例えば、SDN31Aは、拠点Aにあるデータセンタ内の拠点内ネットワークであり、SDN32Bは、拠点Bにあるータセンタ内の拠点内ネットワークであり、拠点間は中継回線90によって接続されている。
FIG. 25 shows a second example of the data transfer system according to the present embodiment. The second example of the data transfer system according to the present embodiment has a network configuration in which the scale of the SDN is expanded and an inter-base network is considered. For example, the
ESノード11Aは、拠点A内で暗号化処理が施された断片パケットを受信すると、パケットの保存先を判定する。ESノード11Aは、保存先が拠点B内のストレージ22Bである場合、経路90を用いてストレージ22Bまで転送する。ESノード11Aは、保存先が拠点A内のストレージ22Aである場合、ストレージ22Aに転送する。このように、SDN32内のESノード10Aの生成した断片パケットは、実施形態1と同様の処理を施されストレージ22Bに保存される。
When the
ここで、1つのSDNで暗号化処理が施される回数は、トーラス型の経路トポロジーを用いることにより抑制されると共に、各SDN内のOFSノード群で行う暗号化に関わる処理負荷も削減できる。拠点間が広域に跨る場合においては、各々のSDNがトーラス型の経路トポロジーを持つ複数のSDNを従属接続することにより、各SDN内のOFSノード群で分散させて処理することが可能となり、第三者による暗号解読を極めて困難することができる。 Here, the number of times encryption processing is performed by one SDN is suppressed by using a torus type path topology, and the processing load related to encryption performed in the OFS node group in each SDN can be reduced. When bases span a wide area, each SDN can be distributed and processed by the OFS node group in each SDN by connecting a plurality of SDNs having a torus-type path topology. Decryption by the three parties can be extremely difficult.
なお、各々のSDN内でのESノードの処理やOFSノードの暗号化処理に関しては、それぞれの拠点ノード内のOFCノードにより、当該のメタデータ管理が行われ、各拠点内を制御するOFCノードはセキュアな別の経路で相互接続され、データベースは共用化されることが望ましい。この例では、2つのSDN31A及び31Bを用いて広域ネットワークサービスを実施する例を示したが、SDNの数を3以上に拡大しても同様の効果が得られることはいうまでもない。また、図25では、データバックアップ・復旧について記載しているが、ストレージ22A及びストレージ22Bがホスト端末1及びホスト端末2となりセキュアデータ通信を行う場合も同様であることは言うまでもない。
Regarding the ES node processing and the OFS node encryption processing in each SDN, the metadata management is performed by the OFC node in each base node, and the OFC node that controls each base is It is desirable that the database be shared with another secure route. In this example, the wide area network service is implemented using the two
(第7の実施形態)
図26に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態に係るデータ転送システムは、SDN31内のOFSノード群により、ESノード10に入力されるm種類のパケットA1〜Amの暗号化処理を施すことができる。ここで、トーラス構造のSDNは、A1〜Amのパケットを任意の一つのOFSノードを経由して、一度だけ、暗号化されることを想定する。その際、A1〜Amは暗号化されて、A11,A21,A31,…Am1に変換される。A11,A21,A31,….Am1を作成するために使用した暗号鍵は、OFCで一律的に管理され、容易にもとのA1〜Amに逆変換できる。
(Seventh embodiment)
FIG. 26 shows a configuration example of the data transfer system according to the present embodiment. The data transfer system according to the present embodiment can perform encryption processing of m types of packets A 1 to A m input to the
また、ESノード11はホスト端末から伝達された、複数個のパケットをバッファリングした後、バッファリングされた全てのパケットの排他的論理和をとったパケットを新規に生成し、そのパケットを新たな経路を含めてESノード11へ伝達され、ESノード11経由で全ての伝達されたパケットはストレージ25〜29に転送され、保存することができる。ESノード11は、断片パケットが各ストレージ25〜29に分散するように転送することが好ましい。
In addition, after buffering a plurality of packets transmitted from the host terminal, the
ここで、排他的論理和(=A1(EXOR)A2(EXOR)………(EXOR)Am)の特性を活用することにより、断片パケット群の中で、1つの要素が紛失した場合においても、(一つの要素が欠如したA11,A21,A31,….Am1を用いて)全てのパケットを復元することが可能である。例えば、ESノード10は、2以上の断片データの排他的論理和を演算し、SDN31とは異なる回線を用いてESノード11へ転送する。そして、ESノード11は、断片データの排他的論理和の演算結果を、ストレージ25〜29のいずれかへ転送する。ESノード11が排他的論理和の演算を行ってもよい。
Here, when one element is lost in the fragment packet group by utilizing the characteristic of exclusive OR (= A 1 (EXOR) A 2 (EXOR)... (EXOR) A m ). Can also restore all packets (using A 11 , A 21 , A 31 ,... A m1 lacking one element). For example, the
このように、断片データの排他的論理和の演算結果を格納することで、A1〜Amのデータを運ぶ回線の中で任意の1つの回線が故障になった場合、当該回線を除いて、EXOR演算されたデータを運ぶ回線91とのEXOR演算を実施することにより、当該故障回線データを復元することができる。しかしながら、2つ以上の紛失があった場合、復元することは不可能である。この状態を回避するためには、A1〜Am(またはこれらのパケットデータを暗号化した回線)を冗長化することが必要である。なお、ESノード10がバッファリングするパケットの個数は、利用可能な回線数を考慮して、適切な値を考慮して決定することが必要である。
As described above, by storing the operation result of the exclusive OR of the fragment data, when any one of the lines carrying the data of A 1 to A m fails, the line is excluded. By executing an EXOR operation with the
図26において、m種類のパケットA1〜Amを(n−1)冗長化することが考えられる。この場合、(n−1)冗長化されたm種類のパケット(A1,A2,….Am)にネットワークコ−ディングされた回線を1本追加する。この場合には、特定の一つの要素の(n−1)冗長化された回線群が全て故障になった場合でも、元のデータの回復が可能である。しかしながら、この場合には、特定の2つ以上の要素の(n−1)冗長化された回線群が全て故障になった場合には、元データの復元は不可能である。この状態を回避するためには、A1〜Am(またはこれらのパケットデータを暗号化した回線)を冗長化することが必要である。 In FIG. 26, it is conceivable to make (n−1) redundancy for m types of packets A 1 to A m . In this case, (n-1) one network-coded line is added to m types of redundant packets (A 1 , A 2 ,... A m ). In this case, the original data can be recovered even when the (n-1) redundant line group of one specific element fails. However, in this case, when all the (n-1) redundant line groups of two or more specific elements have failed, the original data cannot be restored. In order to avoid this state, it is necessary to make A 1 to A m (or a line obtained by encrypting these packet data) redundant.
図27に、本実施形態に係るデータ転送システムの第2の構成例を示す。本実施形態に係るデータ転送システムは、A1,A2,……Amのm種類の断片パケットを2複製する。2重化(冗長化、複製)されたm種類のパケット(A1,A2,….Am)にネットワークコ−ディングされた回線を1本ずつ追加した構成である。この場合には、任意の2つの回線が故障になった場合でも、元のデータの回復が可能である。 FIG. 27 shows a second configuration example of the data transfer system according to the present embodiment. Data transfer system according to this embodiment, A 1, A 2, two replicate m kinds of fragments packets ...... A m. This is a configuration in which network-coded lines are added one by one to m types of packets (A 1 , A 2 ,... A m ) that are duplicated (redundant and duplicated). In this case, the original data can be recovered even if any two lines fail.
図28に、n複製(n重化)されたm種類のパケット(A1,A2,….Am)が、n回、再暗号化される場合のデータ表記法を示す。これまで説明した複製、およびコーディング回線の追加手段を一般化すると、A1,A2,….Amの断片パケットは、トーラス構造のSDNにより、一段中継で出側のエッジノードに伝達される場合には、出側の回線ではA11,A21,….Am1に再暗号化され、同様に、n番目の冗長回線では、A1n,A2n,….Amnに再暗号化される。さらに、A11,A21,….Am1のデータ群に対して、A11(EXOR)A21(EXOR)….(EXOR)Am1の演算結果を伝達する1番目のネットワークコーディング回線から、A1n(EXOR)A2n(EXOR)….(EXOR)Amnの演算結果を伝達するn番目のネットワークコーディング回線を追加して使用することにより、セキュアなデータ配信サービスが可能である場合を示す。 FIG. 28 shows a data notation method in the case where m types of packets (A 1 , A 2 ,... A m ) that have been duplicated (n-duplicated) are re-encrypted n times. Generalizing the duplication and coding line adding means described so far, A 1 , A 2 ,. Fragment packets A m is the SDN of torus structure, when transmitted to the output side of the edge node in one step relay, in the egress line A 11, A 21, .... A m1 is re-encrypted, and similarly, in the nth redundant line, A 1n , A 2n ,. A re-encrypted to mn . Further, A 11 , A 21 ,. For the data group of A m1 , A 11 (EXOR) A 21 (EXOR). (EXOR) A 1n (EXOR) A 2n (EXOR)... From the first network coding line that transmits the operation result of A m1 . (EXOR) A The case where a secure data distribution service is possible by adding and using the n-th network coding line which transmits the calculation result of A mn is shown.
図27に示すデータ転送システムを多段中継してもよい。例えば、A1,A2,….Amのm種類のパケットを2複製後、2段中継する。この場合、第1段目のES11は、第1段目のSDN33で暗号化されたパケットを複製する。第2段目のSDN33は、第1段目のES11から取得したパケットを再度暗号化し、第2段目のES11へ転送する。この場合、各々のOFSノードは、パケットデータの転送とは独立にセキュアな制御経路を用いて、全てのOFSノードは当該のルーチング制御用のフローテーブルのメタデータは通知されている必要がある。
The data transfer system shown in FIG. 27 may be relayed in multiple stages. For example, A 1 , A 2 ,. After two replicate m type of packet A m, two-stage repeater. In this case, the first-
図26では、トーラス構造のSDNを用いて断片パケットを伝送し、SDNとは異なる回線91を用いてEXOR演算されたデータを伝送したが、これに限定されない。例えば、トーラス構造のSDNに代えてOFCがMPLS等のラベルを用いて経路を管理するネットワークを用いてもよい。この場合、冗長化されたm種類のパケット(A1,A2,….Am)にコ−ディング用経路を1本追加したm+1本の経路を有するSDN31とすることができる。
In FIG. 26, the fragment packet is transmitted using the SDN having the torus structure, and the data subjected to the EXOR operation is transmitted using the
OFC61によりネットワークの経路制御をMPLS等のラベルにより実現する場合の、m種類のパケット(A1,A2,….Am)にネットワークコ−ディングされたデータ(A11(EXOR)A21(EXOR)….(EXOR)Am1)を流す経路を1本追加した構成を実施形態3の第5の実施形態として示す。OFC61はホスト端末1からのサービス要求後、m種類のパケットをそれぞれ別の経路を通すように、サービスに対して経路を導出する。また、ネットワークコーディング(m種類のデータの排他的論理和)を施したパケットを流す経路もm種類のパケットとは別経路を導出する。導出した経路を通るよう、各ESノード、OFSノードに対してフローエントリの追加を実施する。この例では、m種類の経路のうち1種類のパケットが不達の場合も、そのほかのm−1の経路から得られるパケットと、m種類のデータの排他的論理和を転送する経路からのパケットにより、損失したパケットが復元できる。実施形態3の第2の実施形態の様に、更にm種類のパケットをn−1冗長化し、異なる経路を割り当てることでパケット損失の際のデータ復元率を高めることができることは言うまでもない。
また、第1の実施形態で示した低遅延保証サービスと本制御方式を組み合わせる事により、より障害耐久性のあるセキュアな低遅延保証サービスが実現可能となる。この際、経路探索で算出しておく経路本数はm+1以上の必要がある。
Data (A 11 (EXOR) A 21 () that is network-coded into m types of packets (A 1 , A 2 ,... A m ) when network path control is realized by the OFC 61 using labels such as MPLS. (EXOR)... (EXOR) A m1 ) is added as a fifth embodiment of the third embodiment. After the service request from the
In addition, by combining the low-delay guarantee service shown in the first embodiment and this control method, a secure low-delay guarantee service with more fault tolerance can be realized. At this time, the number of routes calculated in the route search needs to be m + 1 or more.
(第8の実施形態)
図29に、本実施形態に係るデータ転送システムの構成例を示す。本実施形態に係るデータ転送システムは、ネットワークコーディングを有効に活用する。ノード12からノード13への転送時において、m種類の分割パケットを単純にn重化伝送すると、伝送回線数はm×nである。1本のネットワークエンコーディング用の回線を追加し、m種類の分割パケットをn−1重化伝送すると、伝送回線数はm(n−1)+1となる。
(Eighth embodiment)
FIG. 29 shows a configuration example of the data transfer system according to the present embodiment. The data transfer system according to the present embodiment effectively uses network coding. At the time of transfer from the
m種類の断片パケットをn重化伝送した場合の所要伝送回線数をfm(n)で表す。n=1の場合、fm(1)=mである。1本のネットワークエンコーディング用の回線を追加した場合、前述のとおり、fm(n)=m(n−1)+1である。そうすると、所要伝送回線数fm(n)は次式で表される。
(数1)
fm(n)=fm(n−1)+1
={fm(n−2)+1}+1
=fm(1)+1+(n−2)
=m+n−1
The required number of transmission lines when n types of fragment packets are transmitted in n-duplex is represented by f m (n). When n = 1, f m (1) = m. When one network encoding line is added, as described above, f m (n) = m (n−1) +1. Then, the required number of transmission lines f m (n) is expressed by the following equation.
(Equation 1)
f m (n) = f m (n−1) +1
= {F m (n-2) +1} +1
= F m (1) +1+ (n−2)
= M + n-1
各々の回線を単純にn冗長化せず、代わりにネットワークコーディング回線92を(n−1)本、追加して冗長回線として用いる場合、所要回線数の合計は、(m+n−1)本に削減できる。この場合、m>>n>>1であれば、(m+n−1)/mn≒1/nであるから、所要回線数を1/nに圧縮することができる。n>>m>>1であれば、(m+n−1)/mn≒1/mであるから、所要回線数を1/mに圧縮することができる。 If each line is not simply made redundant, instead of using (n-1) network coding lines 92 as redundant lines, the total number of required lines is reduced to (m + n-1). it can. In this case, if m >> n >> 1, since (m + n−1) / mn≈1 / n, the required number of lines can be reduced to 1 / n. If n >> m >> 1, since (m + n-1) / mn≈1 / m, the required number of lines can be reduced to 1 / m.
特に、図29では、ネットワークエンコーディング用の回線92を(m−1)本追加している。各回線92の伝送する情報は異なる。例えば、回線921はa1∨a2を伝送し、回線922はa1∨a2∨a3を伝送し、・・・回線92m−2はa1∨a2∨a3…∨am−1を伝送し、回線92m−1はa1∨a2∨a3…∨amを伝送する。ここで、「∨」は排他的論理和(EX−OR)を表す。このように、(m−1)本のネットワークエンコーディング用の回線を用いることで、伝送回線数が(m+(m−1))である(2m−1)であっても、信頼度上はm種類の断片化データのm重化伝送と等価となる。したがって、本実施形態に係るデータ転送システムは、セキュリティ上の安全性を維持し、所望の回復確率を達成できると同時に、経路本数を削減することができる。 In particular, in FIG. 29, (m−1) lines 92 for network encoding are added. The information transmitted by each line 92 is different. For example, the line 92 1 transmits a 1 ∨a 2 , the line 92 2 transmits a 1 ∨a 2 3a 3 , ... the line 92 m-2 has a 1は a 2 ∨a 3 . transmit a m-1, line 92 m-1 transmits the a 1 ∨a 2 ∨a 3 ... ∨a m. Here, “∨” represents exclusive OR (EX-OR). Thus, by using (m−1) network encoding lines, even if the number of transmission lines is (m + (m−1)) (2m−1), the reliability is m. This is equivalent to m-duplex transmission of various types of fragmented data. Therefore, the data transfer system according to the present embodiment can maintain security safety, achieve a desired recovery probability, and reduce the number of paths.
各回線92の伝送する情報の演算は排他的論理和のみで演算する形態に限定されない。前述の、冗長回線数(m−1)本より、1本多いm本の冗長回線数を、充当することが許容される場合には、例えば、すべての断片パケットの排他的論理和A=a1∨a2∨a3…∨amを用いて、以下のように表現してもよい。この場合、回線921はA−a1を伝送し、回線922はA−a2を伝送し、・・・回線92m−1はA−am−1を伝送し、回線92mはA−amを伝送する。このように、ネットワークエンコーディング用の回線92をm本追加して、全体の回線群を構成してもよい。 The calculation of the information transmitted by each line 92 is not limited to a mode of calculating only by exclusive OR. When it is allowed to apply m redundant lines, which is one more than the number of redundant lines (m−1), for example, exclusive OR A = a of all fragment packets, for example. 1 ∨a 2 ∨a 3 ... ∨a m may be used to express as follows. In this case, the line 92 1 transmits a A-a 1, line 92 2 transmits a A-a 2, · · · line 92 m-1 transmits a A-a m-1, line 92 m is transmitting the a-a m. In this way, the entire line group may be configured by adding m network encoding lines 92.
ノード12からノード13への断片パケットa1の転送時において、ノード12は、断片パケットa1を複製して断片パケットa11及びa12を生成し、これらの両方を再度暗号化してもよい。この場合、ノード12は、各断片パケットa11及びa12の排他的論理和を算出し、断片パケットa11及びa12並びにこれらの排他的論理和を、それぞれ異なる経路でノード13へ転送する。同一の断片パケットに対してネットワークコーディングを行うことにより、a11またはa12のどちらかかが、故障によってノード12からノード13に到達しない場合でも、信頼性上は、同等のレベルを維持できる。
At the time of transferring the fragment packet a 1 from the
ノード12からノード13への断片パケットa1及びa2の転送時において、ノード12は、断片パケットa1を複製して断片パケットa11及びa12を生成し、断片パケットa2を複製して断片パケットa21及びa22を生成し、これらの全てを再度暗号化してもよい。この場合、ノード12は、断片パケットa11及びa21の排他的論理和を算出し、断片パケットa11、a12、a21及びa22並びに排他的論理和を、それぞれ異なる経路でノード13へ転送する。各断片パケットが異なる場合において、伝送路を複数本使用して断片パケットa11、a12、a21及びa22を伝送すると同時に、排他的論理和用の回線を1本設ける。
At the time of transferring the fragment packets a 1 and a 2 from the
排他的論理和用の回線は1本に限らず、2本以上であってもよい。この場合、ノード12は、断片パケットa11及びa21の排他的論理和に加え、断片パケットa21及びa22の排他的論理和を算出する。そして、ノード12は、断片パケットa11、a12、a21及びa22並びに2つの排他的論理和を、それぞれ異なる経路でノード13へ転送する。
The number of lines for exclusive OR is not limited to one and may be two or more. In this case, the
ノード12からノード13へ転送される断片パケットが3以上の場合であっても、断片パケットa1及びa2の転送時と同様に、各断片パケットを複製して再度暗号化し、それぞれの排他的論理和を算出し、経路でノード13へ転送してもよい。この場合、排他的論理和の転送経路は断片パケットと異なることが好ましいが、各断片パケットについては必ずしも異なる経路とならなくてもよい。
Even when the number of fragment packets transferred from the
以上、説明したように、本発明は、大容量のデータコンテンツを安全に、宛先端末あるいは宛先ストレージに転送する上で、端末の暗号化処理および、ネットワーク内のルータ等の転送機器あるいは転送装置の暗号化等の処理負荷を抑制する技術に活用することができる。また、高いセキュリティが要求されるデータ通信、更には短い通信遅延時間を保証するリアルタイム通信サービスにおいても、高セキュリティを実現すると共に、端末やネットワーク内の転送機器の、暗号化、鍵管理の処理負荷を削減できる。
本発明は、安全にファイルをバックアップするディザスタリカバリを実現するに当たって、当該の通信サービス要求の識別を、SDN技術を効果的に活用することにより実現でき、今後の情報通信産業の発展に貢献できる。具体的には、SDN技術を適用し、端末が処理する暗号化等の負荷の大きさをネットワークに、公平かつ効率的に分配することにより、高信頼なファイルバックアップを実現するための端末の処理負荷を軽減させ、更にネットワークの冗長構成をダイナミックにセキュアな形態に再編成してサービスを経済的に実現できるようになる。また、ネットワーク内の複数のノードでは、それぞれが制御ノードからの指示に従って、独自の暗号化処理を同時に行うことにより、第三者に対しては、ネットワーク内で、いつ、どのよう暗号鍵で暗号化処理を実施したかを、容易には解読困難にさせ、より高い安全性・信頼性を持つバックアップサービス、データ通信サービス、遅延時間保証型データ通信サービスが実現可能となる。さらに、ネットワークのトーラス構成を有効に活用して、ネットワークコーディング技術と組み合わせて運用することにより、従来とは全く異なる形態で、より安全性の高い秘密通信がネットワーク回線を効率的に活用して実現できる特徴を有する。
As described above, according to the present invention, when a large amount of data content is safely transferred to a destination terminal or a destination storage, the terminal encryption process and a transfer device such as a router in the network or a transfer device are used. It can be used for technology for suppressing processing load such as encryption. In addition, data communication that requires high security, and real-time communication services that guarantee a short communication delay time, realize high security, and processing load for encryption and key management of terminals and transfer devices in the network. Can be reduced.
The present invention can realize identification of the communication service request by effectively utilizing the SDN technology in realizing disaster recovery for safely backing up files, and can contribute to the development of the information and communication industry in the future. Specifically, terminal processing for realizing highly reliable file backup by applying SDN technology and distributing the amount of encryption processing, etc., processed by the terminal to the network fairly and efficiently The service can be economically realized by reducing the load and further reorganizing the redundant configuration of the network into a dynamically secure form. In addition, each node in the network simultaneously performs its own encryption process in accordance with instructions from the control node, so that when a third party is encrypted with an encryption key, when and how in the network. It is possible to easily make it difficult to decipher whether the data processing has been performed, and to realize a backup service, a data communication service, and a delay time guaranteed data communication service with higher security and reliability. In addition, by effectively utilizing the network torus configuration and operating in combination with network coding technology, highly secure secret communications can be realized by efficiently utilizing network lines in a completely different form. It has the characteristics that can.
1、2:ホスト端末
10、11、10A、10B、11A、11B:ESノード
12、13:ノード
22、22A、22B、23〜29:ストレージ
31、32:SDN
40、43、44、81、90:転送経路
51:トーラス構造の経路
61、62、63、64:OFCノード
80、82、83:制御経路
90:中継回線
101、102、201、202、203:OFSノード
1, 2:
40, 43, 44, 81, 90: transfer path 51:
Claims (9)
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記複数の暗号化転送装置の制御を行う転送制御装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、前記送信パケットの許容遅延時間を前記送信端末から受信すると、前記許容遅延時間を前記転送制御装置に通知し、
前記転送制御装置は、前記分割転送装置から前記許容遅延時間を受信すると、前記送信パケットから生成される前記断片パケットの伝送経路を、前記許容遅延時間内の伝達が可能な経路に決定する、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A transfer control device for controlling the plurality of encrypted transfer devices;
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
When the division transfer device receives the allowable delay time of the transmission packet from the transmission terminal, the division transfer device notifies the transfer control device of the allowable delay time,
When the transfer control device receives the allowable delay time from the division transfer device, the transfer control device determines a transmission path of the fragment packet generated from the transmission packet as a path that can be transmitted within the allowable delay time.
Data transfer system.
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記複数の暗号化転送装置の制御を行う転送制御装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記暗号化転送装置は、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片データを暗号化する仮想暗号化処理部と、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片パケットの出力経路の制御を行う仮想暗号化スイッチ処理部と、
受信した前記断片パケットを前記仮想暗号化処理部に転送し、前記仮想暗号化処理部からの暗号化済みの断片パケットを前記仮想暗号化スイッチ処理部に転送する仮想暗号化インタフェースと、
を備えるデータ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A transfer control device for controlling the plurality of encrypted transfer devices;
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The encrypted transfer device includes:
A virtual encryption processing unit that encrypts the fragment data using software controllable from the transfer control device;
Using software controllable from the transfer control device, a virtual encryption switch processing unit that controls the output path of the fragment packet;
A virtual encryption interface for transferring the received fragment packet to the virtual encryption processing unit and transferring an encrypted fragment packet from the virtual encryption processing unit to the virtual encryption switch processing unit;
A data transfer system comprising:
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
前記暗号化転送装置が前記断片データを暗号化した暗号鍵を保持する転送制御装置と、
端末から前記元データの復号要求を受信すると、復号要求のあった元データを復元するための暗号鍵を前記転送制御装置から取得し、当該暗号鍵又は復号後の断片データを当該端末へ転送する復号化転送装置と、
を備え、
前記復号化転送装置は、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片データの復号処理を行う仮想復号化処理部と、
前記転送制御装置から制御可能なソフトウェアを用いて、前記断片パケットの出力経路の制御を行う仮想復号化スイッチ処理部と、
受信した前記断片パケットを前記仮想復号化処理部に転送し、前記仮想復号化処理部からの復号化済みの断片パケットを前記仮想復号化スイッチ処理部に転送する仮想復号化インタフェースと、
を備えるデータ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
A transfer control device that holds an encryption key in which the encrypted transfer device encrypts the fragment data; and
When receiving the decryption request for the original data from the terminal, the encryption key for restoring the original data requested for decryption is acquired from the transfer control device, and the encryption key or the fragment data after decryption is transferred to the terminal. A decryption transfer device; and
With
The decryption transfer device
Using software controllable from the transfer control device, a virtual decryption processing unit for performing the decryption processing of the fragment data;
Using software controllable from the transfer control device, a virtual decoding switch processing unit for controlling the output path of the fragment packet;
A virtual decoding interface that transfers the received fragment packet to the virtual decoding processing unit, and transfers a decoded fragment packet from the virtual decoding processing unit to the virtual decoding switch processing unit;
A data transfer system comprising:
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
前記暗号化転送装置が前記断片データを暗号化した暗号鍵を保持する転送制御装置と、
端末から前記元データの復号要求を受信すると、復号要求のあった元データを復元するための暗号鍵を前記転送制御装置から取得し、当該暗号鍵又は復号後の断片データを当該端末へ転送する復号化転送装置と、
を備え、
前記暗号化転送装置は、自己の識別子を暗号化後の前記断片データのデータパケットに記載し、
前記復号化転送装置は、前記断片データのデータパケットに記載された前記暗号化転送装置の識別子に対応付けて記憶されている暗号鍵を、前記転送制御装置から取得する、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
A transfer control device that holds an encryption key in which the encrypted transfer device encrypts the fragment data; and
When receiving the decryption request for the original data from the terminal, the encryption key for restoring the original data requested for decryption is acquired from the transfer control device, and the encryption key or the fragment data after decryption is transferred to the terminal. A decryption transfer device; and
With
The encrypted transfer device describes its identifier in the data packet of the fragment data after encryption,
The decryption transfer device acquires an encryption key stored in association with the identifier of the encrypted transfer device described in the data packet of the fragment data from the transfer control device.
Data transfer system.
請求項4に記載のデータ転送システム。 The encrypted transfer apparatus discards the fragment packet transferred from a route close to the destination of the fragment packet, and closes the fragment packet transferred from a route far from the destination of the fragment packet to the destination of the fragment packet Forward to the output path,
The data transfer system according to claim 4.
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記複数の暗号化転送装置の構成するネットワークトポロジは、各々のネットワークグループがトーラスネットワークを形成する1つ以上のネットワークグループを備え、
各ネットワークグループに所属する複数の前記暗号化転送装置が、同一の断片パケットに載せられている断片データを異なる暗号処理で暗号化する、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The network topology formed by the plurality of encrypted transfer apparatuses includes one or more network groups in which each network group forms a torus network,
A plurality of the encryption transfer devices belonging to each network group encrypt the fragment data placed in the same fragment packet by different encryption processing;
Data transfer system.
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、1つの元データから生成された全ての断片データの排他的論理和の演算結果を、全ての断片データの転送に用いた伝送経路とは異なる伝送経路を用いて前記受信端末転送装置へ転送する、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The division transfer device uses the transmission result of the exclusive OR of all pieces of fragment data generated from one original data, using a transmission path different from the transmission path used to transfer all pieces of fragment data. Transfer to the transfer device,
Data transfer system.
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記分割転送装置は、暗号化した前記断片データを複製し、複製後の断片データごとにパケット化して断片パケットを生成し、
前記暗号化転送装置は、同じ断片データがパケット化された断片パケットを、予め定められた一定時間内に予め定められた一定数以上受信すると、当該断片パケットの少なくとも一部を廃棄する、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
The divided transfer device duplicates the encrypted fragment data, generates a fragment packet by packetizing each piece of fragment data after duplication,
The encrypted transfer device receives at least a predetermined number of fragment packets in which the same fragment data is packetized within a predetermined time period, and discards at least a part of the fragment packets.
Data transfer system.
前記断片パケットを受信すると、当該断片パケットに載せられている断片データを暗号化し、暗号化後の前記断片パケットを転送する複数の暗号化転送装置と、
前記暗号化転送装置の転送した前記断片パケットを受信端末へ転送する受信端末転送装置と、
を備え、
前記複数の暗号化転送装置のうちの第1の暗号化転送装置は、前記複数の暗号化転送装置のうちの第2の暗号化転送装置から前記断片パケットを受信すると、伝送誤り訂正が行えるか否かを判定し、伝送誤り訂正が行えない場合、前記第2の暗号化転送装置に対し、断片パケットの生成を再度行う旨の指示と共に伝送誤り訂正が行えない断片パケットを送信し、
前記第2の暗号化転送装置は、断片パケットの生成を再度行う旨の指示を受信すると、指示のあった断片パケットの暗号処理を再度行う、
データ転送システム。 When a transmission packet is received from a transmission terminal, the original data included in the transmission packet is divided into a plurality of fragment data, packetized for each fragment data to generate a fragment packet, and a division transfer device that transfers the fragment packet;
When the fragment packet is received, a plurality of encrypted transfer devices that encrypt the fragment data placed in the fragment packet and transfer the fragment packet after encryption,
A receiving terminal transfer device for transferring the fragment packet transferred by the encrypted transfer device to a receiving terminal;
With
If the first encrypted transfer device of the plurality of encrypted transfer devices receives the fragment packet from the second encrypted transfer device of the plurality of encrypted transfer devices, can the transmission error be corrected? If the transmission error correction cannot be performed, a fragment packet that cannot be subjected to transmission error correction is transmitted to the second encrypted transfer apparatus together with an instruction to generate the fragment packet again.
When the second encrypted transfer device receives an instruction to regenerate the fragment packet, the second encrypted transfer device performs the encryption processing of the instructed fragment packet again.
Data transfer system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014200758A JP6474072B2 (en) | 2014-09-30 | 2014-09-30 | Data transfer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014200758A JP6474072B2 (en) | 2014-09-30 | 2014-09-30 | Data transfer system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016072827A JP2016072827A (en) | 2016-05-09 |
| JP6474072B2 true JP6474072B2 (en) | 2019-02-27 |
Family
ID=55867526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014200758A Active JP6474072B2 (en) | 2014-09-30 | 2014-09-30 | Data transfer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6474072B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6450283B2 (en) * | 2015-08-20 | 2019-01-09 | 日本電信電話株式会社 | Packet transmission system, packet transmission method, and transmission control apparatus |
| JP7073624B2 (en) * | 2017-02-09 | 2022-05-24 | オムロン株式会社 | Communication systems, communication devices and communication methods |
| GB201804479D0 (en) * | 2018-03-21 | 2018-05-02 | Nchain Holdings Ltd | Computer-implemented system and method |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008259148A (en) * | 2007-03-30 | 2008-10-23 | Shimousa Systems:Kk | High-strength cipher communication system which minimizes load of repeater |
| JP5247744B2 (en) * | 2010-03-05 | 2013-07-24 | 三菱電機株式会社 | File transfer system and file transfer method |
| JP5816960B2 (en) * | 2011-09-08 | 2015-11-18 | 学校法人東京電機大学 | Communications system |
| JP6214088B2 (en) * | 2013-11-25 | 2017-10-18 | 学校法人東京電機大学 | Network control system and method |
-
2014
- 2014-09-30 JP JP2014200758A patent/JP6474072B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016072827A (en) | 2016-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6478749B2 (en) | Quantum key distribution apparatus, quantum key distribution system, and quantum key distribution method | |
| EP2556613B1 (en) | Processing transport packets | |
| JP5624526B2 (en) | Key sharing apparatus, key sharing method, and key sharing program | |
| JP6692259B2 (en) | Communication device, communication method, and communication system | |
| JP6214088B2 (en) | Network control system and method | |
| US10277559B2 (en) | Methods and systems for data traffic control and encryption | |
| US20230040769A1 (en) | Secure content routing using one-time pads | |
| JP6474072B2 (en) | Data transfer system | |
| EP3909196B1 (en) | One-time pads encryption hub | |
| WO2017196674A1 (en) | System for a secure encryption proxy in a content centric network | |
| US9686249B2 (en) | Multi-node encryption | |
| CN116530066A (en) | Method and device for protecting stateful business function path | |
| US20160094380A1 (en) | Notification Technique for Network Reconfiguration | |
| WO2021166016A1 (en) | Packet communication system and transmission device therefor, receiving device and program | |
| JP4569535B2 (en) | Data distribution system and server | |
| Ladóczki et al. | Robust network coding in transport networks | |
| JP2017200031A (en) | Electronic mail system | |
| US11271847B2 (en) | Multipoint distribution system, distribution method, management device and program | |
| JP7476979B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
| CN109769004B (en) | Anonymous communication method, device and system based on reserved format encryption | |
| WO2022003975A1 (en) | Communication device, method, and program | |
| JP6450283B2 (en) | Packet transmission system, packet transmission method, and transmission control apparatus | |
| JP2023145914A (en) | Encryption communication system, encryption communication apparatus, and encryption communication method | |
| JP4778094B2 (en) | Information relay apparatus and transfer method | |
| KR20170074093A (en) | Network device and control method of the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170915 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170915 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180731 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180731 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180928 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181016 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190108 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190123 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6474072 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |