知財求人 - 知財ポータルサイト「IP Force」
▶ 西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司の特許一覧
特許5785346リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】5785346
(24)【登録日】2015年7月31日
(45)【発行日】2015年9月30日
(54)【発明の名称】リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法
(51)【国際特許分類】
H04L 9/36 20060101AFI20150910BHJP
【FI】
H04L9/00 685
【請求項の数】7
【全頁数】25
(21)【出願番号】特願2015-67586(P2015-67586)
(22)【出願日】2015年3月27日
(62)【分割の表示】特願2013-545016(P2013-545016)の分割
【原出願日】2011年6月17日
【審査請求日】2015年3月27日
(31)【優先権主張番号】201010596665.5
(32)【優先日】2010年12月20日
(33)【優先権主張国】CN
【早期審査対象出願】
(73)【特許権者】
【識別番号】505164405
【氏名又は名称】西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司
【氏名又は名称原語表記】CHINA IWNCOMM CO., LTD.
(74)【代理人】
【識別番号】100111372
【弁理士】
【氏名又は名称】津野 孝
(74)【代理人】
【識別番号】100168538
【弁理士】
【氏名又は名称】加藤 来
(72)【発明者】
【氏名】▲鉄▼ ▲満▼霞
(72)【発明者】
【氏名】李 琴
(72)【発明者】
【氏名】杜 志▲強▼
【審査官】
打出 義尚
(56)【参考文献】
【文献】
特開2008−042715(JP,A)
【文献】
特開2008−104040(JP,A)
【文献】
米国特許出願公開第2008/0123652(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/36
(57)【特許請求の範囲】
【請求項1】
リンク層セキュリティー伝送をサポートする交換設備は、交換モジュール、第1ポート(PortX)モジュールと、第2ポート(PortY)モジュールとを備え、
各ポートモジュールは、それぞれ交換モジュールと電気的に隣接し、
前記第1ポートモジュールと前記第2ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備え、
前記キー管理モジュールは、共有キーをストレージ・管理し、
前記アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムを実行し、ハードウェアまたはソフトウェアにより実現し、
前記交換設備の第1ポートモジュールのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記交換設備の第1ポートモジュールのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、第1ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2を前記第2ポートモジュールのセキュリティー処理モジュールまで交換し、
交換設備ポートの前記第2ポートモジュールのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、前記第2ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記第1ポートは、交換設備の第1ポートモジュールであって前記第1ポートをデータフレームであるFrameAの入力ポートとし、
前記第2ポートは、交換設備の第2ポートモジュールであって前記第2ポートをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、前記第1ポートモジュールのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、前記第1ポートモジュールのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、前記第2ポートモジュールのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備第1ポートは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記第2ポートは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備。
各ポートモジュールは、それぞれ交換モジュールと電気的に隣接し、
前記第1ポートモジュールと前記第2ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備え、
前記キー管理モジュールは、共有キーをストレージ・管理し、
前記アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムを実行し、ハードウェアまたはソフトウェアにより実現し、
前記交換設備の第1ポートモジュールのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記交換設備の第1ポートモジュールのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、第1ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2を前記第2ポートモジュールのセキュリティー処理モジュールまで交換し、
交換設備ポートの前記第2ポートモジュールのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、前記第2ポートモジュールのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記第1ポートは、交換設備の第1ポートモジュールであって前記第1ポートをデータフレームであるFrameAの入力ポートとし、
前記第2ポートは、交換設備の第2ポートモジュールであって前記第2ポートをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、前記第1ポートモジュールのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、前記第1ポートモジュールのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、前記第2ポートモジュールのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備第1ポートは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記第2ポートは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備。
【請求項2】
リンク層セキュリティー伝送をサポートする交換設備のデータ処理方法は、ステップ1)と、ステップ2)と、ステップ3)と、ステップ4とを含み、
前記ステップ1)において、交換設備ポートのPortXのインターフェースモジュー
ルは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFram
eAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換し、
前記ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記PortXは、交換設備の第1ポートモジュールであって前記PortXをデータフレームであるFrameAの入力ポートとし、
前記PortYは、交換設備の第2ポートモジュールであって前記PortYをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備PortXは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記PortYは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記ステップ1)において、交換設備ポートのPortXのインターフェースモジュー
ルは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFram
eAlを受信して、PortXのセキュリティー処理モジュールへ送信し、
前記ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュールを結合してFrameA1を処理し、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成して、交換設備の交換モジュールへ送信し、
前記ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出し、もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層へ渡して処理し、もし、一致しなければ、交換設備は、ローカルのMAC(Media Access Control)アドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換し、
前記ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力し、
ここで、前記PortXは、交換設備の第1ポートモジュールであって前記PortXをデータフレームであるFrameAの入力ポートとし、
前記PortYは、交換設備の第2ポートモジュールであって前記PortYをデータフレームであるFrameAの出力ポートとし、
前記FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し、
前記FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し、
前記FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表し、
もし、交換設備が受信したFrameAlが暗号化データフレームであれば、交換設備は、当該データフレームを復号・再暗号化処理後に転送しなければならなく、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し、
前記データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し、
前記交換設備PortXは、KEY1を利用してFrameA1を復号処理し、FrameA2を構成し、
前記PortYは、KEY2を利用してFrameA2を暗号化処理し、FrameA3を構成し、
前記交換設備は、基準のISO/IEC8802−3データフレーム、または、リンク層暗号化プロトコルデータフレームをサポートし、
前記交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記リンク層暗号化プロトコルデータフレームは、フレームヘッドフィールドとペイロードフィールドとを備え、
前記フレームヘッドフィールドは、DAフィールドと、SAフィールドと、Ethertypeフィールドと、isEフィールドと、keyIndexフィールドとを備え、
ここで、前記DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし、
前記SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし、
前記Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し、
前記isEフィールドは、暗号化フラグを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別し、データパケットの受信側は、当該フィールドを復号しなければならないか否かの判断要素とし、
前記keyIndexフィールドは、ペイロードを保護するキーの識別子を表し、
前記ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でも良く、
前記フレームヘッドフィールドは、MAClistフィールドをさらに含むこともでき、前記MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり、
前記MAClistフィールドがある場合、
前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化を行い、再転送しなければならなく、
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備が、目的ノードであれば、受信したデータフレームを復号受信し、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよく、
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備が目的ノードであれば、受信したデータフレームを復号受信しなければならなく、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送を行わなければならないことを特徴とするリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【請求項3】
前記MAClistフィールドがある場合、当該フィールドにより提供された特定MACアドレスリストにおける交換設備が暗号文データパケットの復号に使用するキーの検索情報は、MAClistフィールドと、SAフィールドと、keyIndexフィールドとを備え、暗号化に使用するキーの検索情報は、MAClistフィールドとDAフィールドとを備え、
前記MAClistフィールドが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならなく、暗号文データパケットの復号に使用するキーの検索情報は、SAフィールドと、keyIndexフィールドとを備え、
前記暗号化に使用するキーの検索情報は、DAを備えていることを特徴とする請求項2に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記MAClistフィールドが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならなく、暗号文データパケットの復号に使用するキーの検索情報は、SAフィールドと、keyIndexフィールドとを備え、
前記暗号化に使用するキーの検索情報は、DAを備えていることを特徴とする請求項2に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【請求項4】
前記ステップ2)は、ステップ2.1.1)と、ステップ2.1.2)と、ステップ2.1.3)と、ステップ2.1.4)と、ステップ2.1.5)と、ステップ2.1.6)とを備え、
前記ステップ2.1.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいてデータカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.1.2)を実行し、もし、暗号化していなければ、FrameAlをFrameA2とし、ステップ2.1.6)を実行し、
前記ステップ2.1.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストになければ、FrameA1をFrameA2とし、ステップ2.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.1.3)を実行し、
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、ステップ2.1.3)を実行し、
前記ステップ2.1.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーのKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.1.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.1.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1とFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、かつ、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.1.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.1.1)と、ステップ4.1.2)と、ステップ4.1.3)と、ステップ4.1.4)と、ステップ4.1.5)と、ステップ4.1.6)を備え、
前記ステップ4.1.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて、第2ペイロード暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.1.2)を実行
し、もし、暗号化しなくてもよければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、
前記ステップ4.1.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.1.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.1.3)を実行し、
前記ステップ4.1.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーのKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.1.4)において、PortYのキー管理モジュールは、キーKEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.1.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、
前記ステップ4.1.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力することを特徴とする請求項3に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記ステップ2.1.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいてデータカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.1.2)を実行し、もし、暗号化していなければ、FrameAlをFrameA2とし、ステップ2.1.6)を実行し、
前記ステップ2.1.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストになければ、FrameA1をFrameA2とし、ステップ2.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.1.3)を実行し、
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、ステップ2.1.3)を実行し、
前記ステップ2.1.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーのKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.1.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.1.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1とFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、かつ、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.1.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.1.1)と、ステップ4.1.2)と、ステップ4.1.3)と、ステップ4.1.4)と、ステップ4.1.5)と、ステップ4.1.6)を備え、
前記ステップ4.1.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいて、第2ペイロード暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.1.2)を実行
し、もし、暗号化しなくてもよければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、
前記ステップ4.1.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.1.6)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.1.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.1.3)を実行し、
前記ステップ4.1.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーのKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.1.4)において、PortYのキー管理モジュールは、キーKEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.1.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、
前記ステップ4.1.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力することを特徴とする請求項3に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【請求項5】
前記リンク層セキュリティー伝送をサポートする交換設備がリンク層暗号化プロトコルデータフレームをサポートする場合、前記サポートするリンク層暗号化プロトコルデータフレームは、MIC(Message Integrity code)フィールドをさらに備え、
前記MICフィールドは、整合性検証コードを表し、データフレーム(Frame)から算出した整合性検証値であり、前記MICフィールドの計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定され、
前記データフレームをセキュリティー処理する場合、データフレームをセキュリティー処理するキーは、整合性検証キー及びセッション暗号化キーを備え、
前記整合性検証キーは、データフレームの整合性検証コード(MIC)を計算し、セッション暗号化キーは、データフレームペイロードを暗号化し、
データフレームであるFrameA1から整合性検証値MIC1を算出し、
データフレームであるFrameA2から整合性検証値MIC2を算出し、
データフレームであるFrameA3から整合性検証値MIC3を算出することを特徴とする請求項2ないし請求項4のいずれか1つに記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記MICフィールドは、整合性検証コードを表し、データフレーム(Frame)から算出した整合性検証値であり、前記MICフィールドの計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定され、
前記データフレームをセキュリティー処理する場合、データフレームをセキュリティー処理するキーは、整合性検証キー及びセッション暗号化キーを備え、
前記整合性検証キーは、データフレームの整合性検証コード(MIC)を計算し、セッション暗号化キーは、データフレームペイロードを暗号化し、
データフレームであるFrameA1から整合性検証値MIC1を算出し、
データフレームであるFrameA2から整合性検証値MIC2を算出し、
データフレームであるFrameA3から整合性検証値MIC3を算出することを特徴とする請求項2ないし請求項4のいずれか1つに記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【請求項6】
前記セキュリティー処理は、先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化処理し、ペイロードフィールドを構成する場合、
前記ステップ2)は、ステップ2.2.1)と、ステップ2.2.2)と、ステップ2.2.3)と、ステップ2.2.4)と、ステップ2.2.5)と、ステップ2.2.6)と、ステップ2.2.7)と、ステップ2.2.8)と、ステップ2.2.9)とを備え、
前記ステップ2.2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.2.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.2.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.2.3)を実行し、
前記ステップ2.2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報PortXのキー管理モジュールへ送信し、
前記ステップ2.2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.2.6)を実行し、暗号化していなければ、FrameA1の第1ペイロードは、第1ペイロードの平文情報であり、ステップ2.2.7)を実行し、
前記ステップ2.2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードの平文情報を入力し、MIC1の正確性を検証し、もし、正確であれば、2.2.8)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.2.1)と、ステップ4.2.2)と、ステップ4.2.3)と、ステップ4.2.4)と、ステップ4.2.5)と、ステップ4.2.6)と、ステップ4.2.7)と、ステップ4.2.8)と、ステップ4.2.9)とを備え、
前記ステップ4.2.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.2.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.2.3)を実行し、
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.2.3)を実行し、
前記ステップ4.2.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.2.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.2.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得し、
前記ステップ4.2.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、第2ペイロードを暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.2.7)を実行し、暗号化しなくてもよければ、ステップ4.2.8)を実行し、
前記ステップ4.2.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するキーKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、ステップ4.2.5)により算出したMIC3をFrameA3のMIC3とし、即ち、第3フレームヘッドは、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後の第2フレームヘッドであり、第3ペイロードは、第2ペイロードの暗号文情報であり、MIC3は、ステップ4.2.5)により算出したMIC3であり、ステップ4.2.9)を実行し、
前記ステップ4.2.8)において、PortYのセキュリティー処理モジュールがFrameA3を構成することは、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第2フレームヘッド情報とすることを含め、ステップ4.2.5)により算出したMIC3をFrameA3におけるMIC3とし、
前記ステップ4.2.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記ステップ2)は、ステップ2.2.1)と、ステップ2.2.2)と、ステップ2.2.3)と、ステップ2.2.4)と、ステップ2.2.5)と、ステップ2.2.6)と、ステップ2.2.7)と、ステップ2.2.8)と、ステップ2.2.9)とを備え、
前記ステップ2.2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.2.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.2.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.2.3)を実行し、
前記ステップ2.2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報PortXのキー管理モジュールへ送信し、
前記ステップ2.2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.2.6)を実行し、暗号化していなければ、FrameA1の第1ペイロードは、第1ペイロードの平文情報であり、ステップ2.2.7)を実行し、
前記ステップ2.2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードの平文情報を入力し、MIC1の正確性を検証し、もし、正確であれば、2.2.8)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.2.1)と、ステップ4.2.2)と、ステップ4.2.3)と、ステップ4.2.4)と、ステップ4.2.5)と、ステップ4.2.6)と、ステップ4.2.7)と、ステップ4.2.8)と、ステップ4.2.9)とを備え、
前記ステップ4.2.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.2.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.2.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.2.3)を実行し、
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.2.3)を実行し、
前記ステップ4.2.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、
前記ステップ4.2.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.2.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得し、
前記ステップ4.2.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、第2ペイロードを暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.2.7)を実行し、暗号化しなくてもよければ、ステップ4.2.8)を実行し、
前記ステップ4.2.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2の第2ペイロードを入力し、FrameA2の第2ペイロードの暗号文情報を暗号化して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するキーKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、ステップ4.2.5)により算出したMIC3をFrameA3のMIC3とし、即ち、第3フレームヘッドは、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後の第2フレームヘッドであり、第3ペイロードは、第2ペイロードの暗号文情報であり、MIC3は、ステップ4.2.5)により算出したMIC3であり、ステップ4.2.9)を実行し、
前記ステップ4.2.8)において、PortYのセキュリティー処理モジュールがFrameA3を構成することは、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第2フレームヘッド情報とすることを含め、ステップ4.2.5)により算出したMIC3をFrameA3におけるMIC3とし、
前記ステップ4.2.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【請求項7】
前記セキュリティー処理は、先にデータフレームのユーザーデータを暗号化処理し、ペイロードフィールドを構成し、後に整合性検証コードを計算し、MICフィールドを構成する場合、
前記ステップ2)は、ステップ2.3.1)と、ステップ2.3.2)と、ステップ2.3.3)と、ステップ2.3.4)と、ステップ2.3.5)と、ステップ2.3.6)と、ステップ2.3.7)と、ステップ2.3.8)と、ステップ2.3.9)とを備え、
前記ステップ2.3.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.3.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.3.3)を実行し、
前記ステップ2.3.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.3.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.3.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードを入力し、MIC1の正確性を検証し、もし正確であれば、2.3.6)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.3.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.3.7)を実行し、暗号化していなければ、FrameA1の第1ペイロードが、第1ペイロードの平文情報であり、ステップ2.3.8)を実行し、
前記ステップ2.3.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.3.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.3.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.3.1)と、ステップ4.3.2)と、ステップ4.3.3)と、ステップ4.3.4)と、ステップ4.3.5)と、ステップ4.3.6)と、ステップ4.3.7)と、ステップ4.3.8)と、ステップ4.3.9)とを備え、
前記ステップ4.3.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.3.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3.3)を実行し、
前記ステップ4.3.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.3.4)を実行し、
前記ステップ4.3.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.3.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.3.6)を実行し、もし、暗号化が必要ではなければ、ステップ4.3.8)を実行し、
前記ステップ4.3.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2を入力し、FrameA2の暗号文情報を暗号化して獲得し、
前記ステップ4.3.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2の第2ペイロードの暗号文情報を入力し、整合性検証コードMIC3を計算して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndexに基づいて、FrameA2におけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、ステップ4.3.9)を実行し、
前記ステップ4.3.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成し、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、使用するKEY2のkeyIndexに基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、
前記ステップ4.3.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
前記ステップ2)は、ステップ2.3.1)と、ステップ2.3.2)と、ステップ2.3.3)と、ステップ2.3.4)と、ステップ2.3.5)と、ステップ2.3.6)と、ステップ2.3.7)と、ステップ2.3.8)と、ステップ2.3.9)とを備え、
前記ステップ2.3.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ2.3.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA1をFrameA2とし、ステップ2.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3.3)を実行し、もし、データフレームであるFrameA1にMAClistフィールドが無ければ、ステップ2.3.3)を実行し、
前記ステップ2.3.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信し、
前記ステップ2.3.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックし、
前記ステップ2.3.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1の整合性検証キーとFrameA1の第1ペイロードを入力し、MIC1の正確性を検証し、もし正確であれば、2.3.6)を実行し、正確でなければ、当該パケットを廃棄し、
前記ステップ2.3.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、第1ペイロードが暗号化しているか否かを判断し、もし、暗号化していれば、ステップ2.3.7)を実行し、暗号化していなければ、FrameA1の第1ペイロードが、第1ペイロードの平文情報であり、ステップ2.3.8)を実行し、
前記ステップ2.3.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1の第1ペイロードを入力し、FrameA1の第1ペイロードの平文情報を復号して獲得し、
前記ステップ2.3.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成し、FrameA1の第1ペイロードの平文情報をFrameA2の第2ペイロードとし、FrameA1の第1フレームヘッドの情報をFrameA2の第2フレームヘッド情報とし、
前記ステップ2.3.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信し、
前記ステップ4)は、ステップ4.3.1)と、ステップ4.3.2)と、ステップ4.3.3)と、ステップ4.3.4)と、ステップ4.3.5)と、ステップ4.3.6)と、ステップ4.3.7)と、ステップ4.3.8)と、ステップ4.3.9)とを備え、
前記ステップ4.3.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定し、
前記ステップ4.3.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断し、もし、当該リストに無ければ、FrameA2をFrameA3とし、ステップ4.3.9)を実行し、もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3.3)を実行し、もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3.3)を実行し、
前記ステップ4.3.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なキーKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.3.4)を実行し、
前記ステップ4.3.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択し、当該KEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックし、
前記ステップ4.3.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断し、もし、暗号化しなければならないのであれば、ステップ4.3.6)を実行し、もし、暗号化が必要ではなければ、ステップ4.3.8)を実行し、
前記ステップ4.3.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2を入力し、FrameA2の暗号文情報を暗号化して獲得し、
前記ステップ4.3.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2の第2ペイロードの暗号文情報を入力し、整合性検証コードMIC3を計算して獲得し、かつ、FrameA3を構成し、FrameA2の第2ペイロードの暗号文情報をFrameA3の第3ペイロードとし、かつ、使用するKEY2のkeyIndexに基づいて、FrameA2におけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、ステップ4.3.9)を実行し、
前記ステップ4.3.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成し、FrameA2の第2ペイロードをFrameA3の第3ペイロードとし、使用するKEY2のkeyIndexに基づいて、FrameA2の第2フレームヘッドにおけるkeyIndexフィールドをアップデートし、FrameA3の第3フレームヘッド情報とし、算出したMIC3を用い、FrameA3のMIC3とし、
前記ステップ4.3.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力することを特徴とする請求項5に記載のリンク層セキュリティー伝送をサポートする交換設備のデータ処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク安全分野に属し、リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法に関する。【背景技術】
【0002】
本出願は、2010年12月20日に中国特許局に提出し、出願番号が201010596665.5であり、発明名称が「リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法」である中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。有線ローカルエリアネットワークは、一般的にブロードキャスト型ネットワークであり、1つのノードが送信するデータは、他の全てのノードも受信できる。
ネットワークにおける各ノードは、チャネルを共有するが、ネットワークに大きな安全性欠陥をもたらす。
攻撃者は、ネットワークにアクセスしてモニタリングすれば、ネットワーク上の全てのデータパケットを捕捉できる。
【0003】
従来の国家基準GB/T15629.3(IEEE802.3またはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLANは、データセキュリティー方法を提供しておらず、これでは、攻撃者に容易に重要な情報を窃取させてしまう。国際研究分野において、IEEEが定めるiEEE802.1AE基準は、イーサネット(登録商標)を保護するため、データ暗号化プロトコルを提供し、かつ、ホップ暗号化の安全対策を用いることによりネットワークノード間のデータの安全伝送を実現する。
【発明の概要】
【発明が解決しようとする課題】
【0004】
GB/T15629.3をサポートする交換設備は、全てのデータパケットを全て直接転送し、リンク層セキュリティー伝送能力を備えず、伝送したデータパケット情報も容易に傍受される。また、IEEE802.1AEをサポートする交換設備は、ホップ暗号化のみをサポートするため、全ての転送した暗号化データパケットをそれぞれ復号・再暗号化する操作を行わなければならず、交換設備の計算負荷は重くなり、ネットワークデータ伝送遅延は大きくなる。
【課題を解決するための手段】
【0005】
背景技術における前記技術問題を解決するため、本発明に係る実施例は、交換設備の計算負荷を低減でき、ネットワークアップグレード代価の小さい、リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法を提供する。【0006】
本発明に係る実施形態は、リンク層セキュリティー伝送をサポートする交換設備を提供する。前記交換設備は、交換モジュールと、マルチポートモジュールとを備え、各ポートモジュールは、それぞれ交換モジュールと電気的に隣接する。
前記ポートモジュールは、リンク層キー管理能力をサポートし、前記交換設備と他のネットワークノード間においてデータフレームを暗号化・復号する共有キーを確立する。
【0007】
また、本発明に係る実施形態は、リンク層セキュリティー伝送をサポートする交換設備のデータ処理方法を提供する。前記方法は、以下のステップ1)からステップ4)を含む。
【0008】
ステップ1)において、交換設備ポートであるPortXのインターフェースモジュールは、第1フレームヘッドおよび第1ペイロードを備えるデータフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信する。【0009】
ステップ2)において、交換設備ポートであるPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュール処理FrameA1を結合して、第2フレームヘッドおよび第2ペイロードを備えるFrameA2を構成し、交換設備の交換モジュールへ送信する。【0010】
ステップ3)において、交換設備の交換モジュールは、FrameA2の第2フレームヘッドの情報を抽出する。もし、第2フレームヘッドにおけるDAフィールドと交換設備MACアドレスとが一致すれば、交換設備は、FrameA2の第2ペイロードをリンク層の上位層(例えば、ネットワーク層、応用層等)へ渡して処理する。
もし一致しなければ、交換設備は、ローカルのMACアドレス学習(MAC address learning)の情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
【0011】
ステップ4)において、交換設備ポートであるPortYのセキュリティー処理モジュールは、第2フレームヘッドの情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュール処理を結合してFrameA2を処理し、FrameA3を構成し、PortYのインターフェースモジュールにより第3フレームヘッドおよび第3ペイロードを備えるFrameA3を出力する。【0012】
ここで、PortXは、交換設備の第1ポートモジュールであり、当該PortXをデータフレームであるFrameAの入力ポートとし;
PortYは、交換設備の第2ポートモジュールであり、当該PortYをデータフレームであるFrameAの出力ポートとし;
FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し;
FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
【0013】
もし、交換設備が受信したFrameAlが暗号化データフレームであり、交換設備が当該データフレームを復号・再暗号化処理後に転送しなければならないのであれば、データフレームであるFrameA1を復号処理してFrameA2を構成するのに使用するキーをKEY1と表記し;データフレームであるFrameA2を暗号化処理してFrameA3を構成するのに使用するキーをKEY2と表記する。
そして、交換設備PortXは、KEY1を利用して、FrameA1を復号処理してFrameA2を構成する。
PortYは、KEY2を利用して、FrameA2を暗号化処理してFrameA3を構成する。
【発明の効果】
【0014】
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、基準のISO/IEC8802−3データフレームをサポートでき、各種リンク層暗号化プロトコルデータフレームもサポートでき、IEEE802.1AEプロトコルデータフレームがこれに含まれる。順互換性の実現と同時に、各種リンク層暗号化プロトコルに対するサポートを実現でき、データフレームのリンク層におけるセキュリティー伝送を実現し、ネットワークの安全性を向上させる。
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、IEEE802.1AE交換設備と比べて、リンク層セキュリティー伝送をサポートできる以外に、MAClistフィールドを備えるリンク層暗号化プロトコルデータフレームを処理する能力を備えているため、全ての転送しなければならないデータフレームを復号・再暗号化してから再転送する操作を行わなくても良く、これにより、交換設備の計算負荷を低減できる。
この他に、本発明に係る実施形態の交換設備は、各種データフレームをサポートするため、他の交換設備とのハイブリッドネットワーキング能力を備えており、ネットワークアップグレードの代価はさらに小さくなる。
【図面の簡単な説明】
【0015】
【図1】本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備を示す図。
【図2】本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備データ処理のフロー図。
【発明を実施するための形態】
【0016】
図1に示すように、本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、交換モジュールおよびマルチポートモジュールを備える。ここで、全てのポートモジュールと交換モジュールとの間は、それぞれ電気的に隣接する。
各ポートモジュールは、アルゴリズムモジュールと、インターフェースモジュールと、セキュリティー処理モジュールと、キー管理モジュールとを備える。
ここで、セキュリティー処理モジュールは、それぞれインターフェースモジュールと、アルゴリズムモジュールと、キー管理モジュールとの間において電気的に隣接する。
【0017】
各ポートモジュールは、リンク層キー管理能力をサポートし、当該交換設備と他のネットワークノード間に共有キーを確立でき、データフレームを暗号化・復号する。確立した共有キーは、事前共有ものでもよいし、ノード身分認証成功後に協議できたものでもよく、全てのポートモジュールのキー管理モジュールによりストレージして管理される。
【0018】
アルゴリズムモジュールは、暗号化・復号アルゴリズムおよび/または整合性検証アルゴリズムに関し、ハードウェア実現でもソフトウェア実現でもよい。【0019】
本発明に係る実施形態が提供するリンク層セキュリティー伝送をサポートする交換設備は、表1に示す通り、基準のISO/IEC 8802−3データフレームをサポートし、さらにリンク層暗号化プロトコルデータフレームをサポートする。サポートするリンク層暗号化プロトコルデータフレームは、フレームヘッドとペイロードを備える。
【0020】
【表1】
【0021】
ここで、フレームヘッドは、表2に示す通りである。【0022】
【表2】
【0023】
ここで、DAフィールドは、目的ノードの識別子を表し、目的ノードのMACアドレスの値を自分の値とし; SAフィールドは、ソースノードの識別子を表し、ソースノードのMACアドレスの値を自分の値とし;
Ethertypeフィールドは、イーサタイプフィールドを表し、リンク層暗号化プロトコルのイーサタイプフィールドの値を自分の値とし、対応するリンク層暗号化プロトコルおよびフレーム構造を識別し;
isEフィールドは、暗号化フラグビットを表し、データフレームのペイロードがユーザーデータの平文情報または暗号文情報かを識別する。
データパケットの受信側は、このフィールドを復号しなければならないか否かの判断要素とし;
keyIndexフィールドは、ペイロードを保護するキーの識別子を表し;
MAClistフィールドは、特定MACアドレスリストの情報を表し、当該フィールドは、オプションフィールドであり;
ペイロードフィールドは、ユーザーデータの情報を表し、ユーザーデータの平文情報でもよく、ユーザーデータの暗号文情報でもよい。
【0024】
前記MAClistフィールドがある場合、前記MAClistフィールドにより提供された特定MACアドレスリストにおける交換設備が、もし、目的ノードであれば、受信したデータフレームを復号受信しなければならない。もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化して、再転送しなければならない。
前記MAClistフィールドにより提供された特定MACアドレスリスト以外の交換設備は、
もし、目的ノードであれば、受信したデータフレームを復号受信する。
もし、目的ノードでなければ、受信した暗号文データパケットを直接転送するだけでよい。
【0025】
前記MAClistフィールドが無い場合、当該データフレームを受信する交換設備は、もし、目的ノードであれば、受信したデータフレームを復号受信しなければならない。
もし、目的ノードでなければ、受信したデータフレームを復号・再暗号化し、再転送しなければならない。
【0026】
前記MAClistがある場合、このフィールドにより提供された特定MACアドレスリストにおける交換設備が暗号文データパケットの復号に使用するキーの検索情報は、MAClistフィールド、SAフィールド、keyIndexフィールドを備え、暗号化に使用するキーの検索情報は、MAClistフィールド、DAフィールドを備える。 【0027】
前記MAClistが無い場合、交換設備は、全ての転送しなければならない暗号文データパケットを復号・再暗号化し、再転送しなければならない。暗号文データパケットの復号に使用するキーの検索情報は、SAフィールド、keyIndexフィールドを備え、暗号化に使用するキーの検索情報はDAフィールドを備える。
【0028】
キー検索情報の具体的な判断方法を本発明に係る実施形態では限定せず、交換設備により具体的にサポートするEthertype識別子リンク層暗号化プロトコルによって限定する。復号時、キー検索情報に基づいて、キーを1つしか検索し、獲得できない。
暗号化時、キー検索情報に基づいて、おそらく、複数のキーを検索し、獲得できる。
交換設備は、ローカル策略に基づいて前記複数のキーから1つを選択し、かつ、選択したキーのkeyIndexをデータフレームのフレームヘッドに書き込む。
【0029】
図2に示すように、リンク層セキュリティー伝送をサポートする交換設備のポートモジュールは、交換設備の入口でも良く、交換設備の出口でも良い。【0030】
データフレームであるFrameAを例にとり説明すると、FrameAは、交換設備のポートのPortXから入力し、ポートのPortYから出力する。異なるモジュール間にて伝送するFrameAの違いを区別するため、それぞれFrameA1−A3を用いて識別する。
【0031】
ここで、FrameA1は、PortXのインターフェースモジュールが受信するデータフレームを表し;FrameA2は、PortXのセキュリティー処理モジュールが交換モジュールへ送信するデータフレームを表し;
FrameA3は、PortYのインターフェースモジュールが最後に出力するデータフレームを表す。
【0032】
もし、交換設備から受信したFrameA1が暗号化データフレームであれば、交換設備は当該データフレームを復号・再暗号化処理後に転送しなければならず、データフレームであるFrameA1を復号処理し、FrameA2の構成に使用するキーをKEY1と表記し;データフレームであるFrameA2を暗号化処理し、FrameA3の構成に使用するキーをKEY2と表記し;
交換設備のPortXは、KEY1を利用し、FrameA1を復号処理し、FrameA2を構成し;
PortYは、KEY2を利用し、FrameA2を暗号化処理し、FrameA3を構成する。
【0033】
本発明に係る実施形態における、リンク層セキュリティー伝送をサポートする交換設備データ処理のフローは、以下のステップ1)からステップ4)からなる。【0034】
ステップ1)において、交換設備ポートのPortXのインターフェースモジュールは、データフレームであるFrameAlを受信して、PortXのセキュリティー処理モジュールへ送信する。【0035】
ステップ2)において、交換設備ポートのPortXのセキュリティー処理モジュールは、FrameAlの第1フレームヘッドの情報に基づいて、PortXのキー管理モジュールとアルゴリズムモジュール処理FrameA1を結合し、FrameA2を構成して交換設備の交換モジュールへ送信する。【0036】
ステップ3)において、交換設備の交換モジュールは、FrameA2のフレームヘッド2情報を抽出する。もし、フレームヘッド2におけるDAフィールドと交換設備MACアドレスが一致すれば、交換設備は、FrameA2のペイロード2をリンク層の上位層(例、ネットワーク層、応用層等)へ渡して処理する。
DAフィールドと交換設備MACアドレスとが一致しなければ、交換設備は、ローカルのMACアドレス学習情報に基づいて、正確に、FrameA2をPortYのセキュリティー処理モジュールまで交換する。
【0037】
ステップ4)において、交換設備ポートのPortYのセキュリティー処理モジュールは、フレームヘッド2の情報に基づいて、PortYのキー管理モジュールとアルゴリズムモジュールを結合し、FrameA2処理してFrameA3を構成し、PortYのインターフェースモジュールによりFrameA3を出力する。【0038】
ここで、前記ステップ2)の具体的なフローは、以下のステップ2.1)からステップ2.6)を備える。【0039】
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlにおけるEthertypeフィールドに基づいて、データカプセル化に使用するリンク層暗号化プロトコルを確定し、かつ、isEフィールドに基づいてペイロード1が暗号化しているか否かを判断する。もし、暗号化していれば、ステップ2.2)を実行する。
暗号化していなければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
【0040】
ステップ2.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、交換設備のMACアドレスがMAClistフィールドにより提供された特定MACアドレスリストにあるか否かを判断する。
もし、このリストになければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、ステップ2.6)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameAlにMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
【0041】
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameAlのkeyIndexフィールドおよびSAフィールドに基づいて、またはデータフレームであるFrameAlのkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameAlをセキュリティー処理するキーKEY1の検索情報を判断し、キーKEY1の検索情報をPortXのキー管理モジュールへ送信する。
【0042】
ステップ2.4)において、PortXのキー管理モジュールは、キーKEY1の検索情報に基づいて、対応するキーKEY1を探し、かつ、キーKEY1をPortXのセキュリティー処理モジュールへフィードバックする。【0043】
ステップ2.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1とFrameA1のペイロード1を入力し、FrameA1のペイロード1の平文情報を復号して獲得し、FrameA2を構成する。FrameA1のペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
【0044】
ステップ2.6)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。【0045】
ここで、前記ステップ4)の具体的なフローは、以下のステップ4.1)からステップ4.6)を備える。【0046】
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。また、isEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。
もし、暗号化しなければならないのであれば、ステップ4.2)を実行する。
暗号化しなくてもよければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、ステップ4.6)を実行する。
【0047】
ステップ4.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、直接、ステップ4.6)を実行する。
もし、交換設備のMACアドレスがこのリストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
【0048】
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2をセキュリティー処理するキーであるKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、4.4)を実行する。【0049】
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて1つのKEY2を選択する。このKEY2およびKEY2の識別子であるkeyIndexをPortYのセキュリティー処理モジュールへフィードバックする。
【0050】
ステップ4.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2とFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得し、かつ、FrameA3を構成する。FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2に基づいて、KEY2のkeyIndexを用い、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデート後のフレームヘッド2をアップデートする。
ペイロード3は、ペイロード2の暗号文情報である。
【0051】
ステップ4.6)において、PortYのセキュリティー処理モジュールは、FrameA3を、インターフェースモジュールにより出力する。【0052】
他の実施方法において、本発明に係る実施形態におけるリンク層セキュリティー伝送をサポートする交換設備がサポートするリンク層暗号化プロトコルデータフレームは、MICフィールド(例えば、図2におけるMIC1、MIC2、MIC3)をさらに備えることができる。前記MIC(message integrity code)フィールドは、整合性検証コードを表し、データフレーム(例、図2におけるFrameAl、FrameA2、FrameA3)から算出した整合性検証値である。
前記MIC計算にかかわるフィールドは、交換設備がサポートするEthertypeに対応するリンク層暗号化プロトコルにより確定する。
MICフィールドをサポートする実施方式において、データフレームをセキュリティー処理するキーは、2つの部分にわけられる。
1つは、整合性検証キーであり、もう1つは、セッション暗号化キーである。
整合性検証キーは、データフレームの整合性検証コードMICを計算し、セッション暗号化キーは、データフレームペイロードを暗号化する。
【0053】
リンク層セキュリティー伝送をサポートする交換設備のデータフレームのセキュリティー処理は、先にデータフレームの整合性検証コードを計算してMICフィールドを構成し、後にデータフレームのユーザーデータを暗号化処理してペイロードフィールドを構成しても良い。または、先にデータフレームのユーザーデータを暗号化処理してペイロードフィールドを構成し、後に整合性検証コードを計算してMICフィールドを構成してもよい。
【0054】
実行する暗号化処理に暗号化と非暗号化の2つの策略があるため、先に整合性検証コードを計算し、MICフィールドを構成する方法は、受信時、先に復号しなければならないか否かを考慮しなければならず、後にMICフィールドの正確性を確認する。【0055】
一方、後に整合性検証コードを計算し、MICフィールドを構成する方法は、受信時、先にMICフィールドの正確性を確認しなければならず、後に復号しなければならないか否かを考慮する。【0056】
<先に整合性検証コードを計算し、MICフィールドを構成する方法>先にデータフレームの整合性検証コードを計算し、MICフィールドを構成し、後にデータフレームのユーザーデータの暗号化を考慮し、ペイロードフィールド処理を構成する場合、前記ステップ2)の具体的なフローは、以下のステップ2.1)からステップ2.9)を備える。
【0057】
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。【0058】
ステップ2.2)において、もし、データフレームであるFrameAlにMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。もし当該リストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接ステップ2.3)を実行する。
【0059】
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、キーKEY1の検索情報をPortXのキー管理モジュールへ送信する。【0060】
ステップ2.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックする。【0061】
ステップ2.5)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、ペイロード1が暗号化しているか否かを判断する。もし、暗号化していれば、ステップ2.6)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.7)を実行する。
【0062】
ステップ2.6)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1のペイロード1を入力し、FrameA1ペイロード1の平文情報を復号して獲得する。【0063】
ステップ2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1の整合性検証キーとFrameA1のペイロード1の平文情報を入力し、MIC1の正確性を検証する。もし、正確であれば、ステップ2.8)を実行する。
正確でなければ、このパケットを廃棄する。
【0064】
ステップ2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成する。FrameA1ペイロード1の平文情報をFrameA2のペイロード2とし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文である。
【0065】
ステップ2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。【0066】
また、前記ステップ4)の具体的フローは、以下のステップ4.1)からステップ4.9)を備える。【0067】
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。【0068】
ステップ4.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3は、ペイロード2と同じであり、MIC3は、MIC2と同じであり、直接、ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
【0069】
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.4)を実行する。【0070】
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、キーKEY2を選択する。このKEY2およびKEY2のkeyIndex情報を、PortYのセキュリティー処理モジュールへフィードバックする。
【0071】
ステップ4.5)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロードを入力し、整合性検証コードMIC3を計算して獲得する。【0072】
ステップ4.6)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。もし、暗号化しなければならないのであれば、ステップ4.7)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
【0073】
ステップ4.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2のセッション暗号化キーとFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得し、かつ、FrameA3を構成する。FrameA2のペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
【0074】
ステップ4.8)において、PortYのセキュリティー処理モジュールは、FrameA3を構成する。FrameA2のペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するキーKEY2のkeyIndexに基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
ステップ4.5)により算出したMIC3をFrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2とする。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.5)により算出したMIC3であり、ステップ4.9)を実行する。
【0075】
ステップ4.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力する。【0076】
<先にデータフレームのユーザーデータの暗号化処理を考慮し、ペイロードフィールドを構成し、後に整合性検証コードを計算し、MICフィールドを構成する方法>この場合、前記ステップ2)の具体的フローは、以下のステップ2.1)からステップ2.9)を備える。
【0077】
ステップ2.1)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。【0078】
ステップ2.2)において、もし、データフレームであるFrameA1にMAClistフィールドがあれば、MAClistフィールドにより提供された特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA1をFrameA2とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1と同じであり、MIC2は、MIC1と同じであり、ステップ2.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ2.3)を実行する。
もし、データフレームであるFrameA1にMAClistフィールドが無ければ、直接、ステップ2.3)を実行する。
【0079】
ステップ2.3)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA1のkeyIndexフィールドおよびSAフィールドに基づいて、または、データフレームであるFrameA1のkeyIndexフィールド、SAフィールドおよびMAClistフィールドに基づいて、FrameA1のセキュリティー処理に必要なキーKEY1の検索情報を判断し、KEY1の検索情報をPortXのキー管理モジュールへ送信する。
【0080】
ステップ2.4)において、PortXのキー管理モジュールは、KEY1の検索情報に基づいて、対応するキーKEY1を探し、かつ、KEY1をPortXのセキュリティー処理モジュールへフィードバックする。【0081】
ステップ2.5)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY1の整合性検証キーとFrameA1のペイロード1を入力し、MIC1の正確性を検証する。もし、正確であれば、ステップ2.6)を実行する。
正確でなければ、当該パケットを廃棄する。
【0082】
ステップ2.6)において、PortXのセキュリティー処理モジュールは、isEフィールドに基づいて、ペイロード1が暗号化しているか否かを判断する。もし、暗号化していれば、ステップ2.7)を実行する。
暗号化していなければ、FrameA1のペイロード1は、ペイロード1の平文情報であり、直接、ステップ2.8)を実行する。
【0083】
ステップ2.7)において、PortXのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY1のセッション暗号化キーとFrameA1のペイロード1を入力し、FrameA1ペイロード1の平文情報を復号して獲得する。【0084】
ステップ2.8)において、PortXのセキュリティー処理モジュールは、FrameA2を構成する。FrameA1ペイロードの平文情報をFrameA2のペイロードとし、FrameA1の第1フレームヘッドの情報を、直接、FrameA2のフレームヘッド2情報とする。
即ち、フレームヘッド2は、フレームヘッド1と同じであり、ペイロード2は、ペイロード1の平文情報である。
【0085】
ステップ2.9)において、PortXのセキュリティー処理モジュールは、FrameA2を交換モジュールへ送信する。【0086】
前記ステップ4)の具体的なフローは、以下のステップ4.1)からステップ4.9)を備える。【0087】
ステップ4.1)において、PortYのセキュリティー処理モジュールは、FrameA2におけるEthertypeフィールドに基づいて、データカプセル化に用いるリンク層暗号化プロトコルを確定する。【0088】
ステップ4.2)において、もし、データフレームであるFrameA2にMAClistフィールドがあれば、MAClistフィールドが提供する特定MACアドレスリストに交換設備のMACアドレスがあるか否かを判断する。
もし、このリストに無ければ、直接、FrameA2をFrameA3とする。
即ち、フレームヘッド3は、フレームヘッド2と同じであり、ペイロード3はペイロード2と同じであり、MIC3は、MIC2と同じであり、直接ステップ4.9)を実行する。
もし、交換設備のMACアドレスが当該リストにあれば、ステップ4.3)を実行する。
もし、データフレームであるFrameA2にMAClistフィールドが無ければ、ステップ4.3)を実行する。
【0089】
ステップ4.3)において、PortYのセキュリティー処理モジュールは、データフレームであるFrameA2のDAフィールドに基づいて、または、データフレームであるFrameA2のDAフィールドおよびMAClistフィールドに基づいて、FrameA2のセキュリティー処理に必要なKEY2の検索情報を判断し、KEY2の検索情報をPortYのキー管理モジュールへ送信し、ステップ4.4)を実行する。
【0090】
ステップ4.4)において、PortYのキー管理モジュールは、KEY2の検索情報に基づいて、使用できるキーを探し、ローカル策略に基づいて、KEY2を選択する。このKEY2およびKEY2のkeyIndex情報をPortYのセキュリティー処理モジュールへフィードバックする。
【0091】
ステップ4.5)において、PortXセキュリティー処理モジュールは、データフレームであるFrameA2のisEフィールドに基づいて、ペイロード2を暗号化し、暗号文形式によりネットワークにおいて伝送しなければならないか否かを判断する。もし、暗号化しなければならないのであれば、ステップ4.6)を実行する。
暗号化しなくてもよければ、ステップ4.8)を実行する。
【0092】
ステップ4.6)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、キーKEY2のセッション暗号化キーとFrameA2のペイロード2を入力し、FrameA2のペイロード2の暗号文情報を暗号化して獲得する。【0093】
ステップ4.7)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロード2の暗号文情報を入力し、整合性検証コードMIC3が計算して獲得し、かつ、FrameA3を構成する。FrameA2ペイロード2の暗号文情報をFrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用いkeyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2の暗号文情報であり、MIC3は、ステップ4.7)を用い、算出したMIC3であり、ステップ4.9)を実行する。
【0094】
ステップ4.8)において、PortYのセキュリティー処理モジュールは、アルゴリズムモジュールを呼び出し、KEY2の整合性検証キーとFrameA2のペイロード2を入力し、整合性検証コードMIC3を計算して獲得し、FrameA3を構成する。FrameA2ペイロード2を、直接、FrameA3のペイロード3とし、かつ、使用するKEY2のkeyIndex情報に基づいて、FrameA2のフレームヘッド2におけるkeyIndexフィールドをアップデートし、FrameA3のフレームヘッド3情報とする。
算出したMIC3を用い、FrameA3のMIC3とする。
即ち、フレームヘッド3は、KEY2のkeyIndexを用い、keyIndexフィールドをアップデートした後のフレームヘッド2である。
ペイロード3は、ペイロード2と同じであり、MIC3は、ステップ4.8)により算出したMIC3であり、ステップ4.9)を実行する。
【0095】
ステップ4.9)において、PortYのセキュリティー処理モジュールは、FrameA3をインターフェースモジュールにより出力する。【要約】
本発明は、リンク層セキュリティー伝送を支援する交換設備のデータ処理方法を開示した。当該リンク層セキュリティー伝送を支援する交換設備は、交換モジュールおよびマルチポートモジュールを備え、各ポートモジュールと交換モジュールは電気的に隣接する。前記ポートモジュールは、リンク層キー管理能力を支援し、前記交換設備と他のネットワークノード間にデータフレームを暗号化・復号する共有キーを確立する。