ノード間秘密保持通信方法およびシステム
本発明は有線ローカルエリアネットワークノード間の秘密保持通信方法およびシステムを開示する。当該有線ローカルエリアネットワークノード間の秘密保持通信方法は、ノード間に共有キーを確立するステップ1)と、ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)とを含む。本発明が提供するノード間の秘密保持通信の方法はノード間異なる通信情況に基づき、分類を実行し、適切な秘密保持通信戦略を選択できるため、ホップバイホップ暗号化と比較すれば、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮できる。また、いずれかの2つのノード間にステーション間キーを確立することにより保護通信機密性を保護する方法と比べれば、キーの数を減らしキー管理を簡略化することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2009年12月18日に中国特許局に提出し、出願番号が200910219572.8であり、発明名称が「ノード間秘密保持通信方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
本発明はネットワーク安全分野に関し、特に特別ノード間秘密保持通信方法およびシステムに関する。
【背景技術】
【0003】
有線ローカルエリアネットワークは通常ブロードキャスト型ネットワークであり、いずれかの1つのノードが送信したデータは他のノードも受信できる。ネットワークにおける各ノードはチャンネルを共用するため、ネットワークに重大なセキュリティリスクをもたらす。攻撃者はネットワークにアクセスしモニタリングを行えば、ネットワークの全てのデータパケットを入手できる。現在の国家基準GB/T15629.3(IEEE802.3或いはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLAN(Local AreaNetwork)はデータ秘密保持の方法を提供しておらず、これでは重要な情報が攻撃者に容易に傍受されてしまう。
【0004】
有線ローカルエリアネットワークにおいて、IEEEはIEEE 802.3のセキュリティ強化を行うことによりリンク層のセキュリティを実現する。IEEE 802.1AEはイーサネット(登録商標)のデータ過密プロトコルを提供することを保護するために、ホップバイホップ暗号化の安全対策を採用することによりネットワークノード間データの安全な伝送を実現する。しかし、このようなセキュリティ対策はローカルエリアネットワークの交換設備に非常に大きい算定負荷をかけ、攻撃者の交換設備に対する攻撃を招きやすくする。かつ、データパケットの送信元ノードから対象ノードへの伝送遅延も増え、ネットワークの伝送効率を低下させる。
【0005】
有線ローカルエリアネットワークのトポロジ構造は複雑で、関連するノード(以下、ユーザ端末と交換設備をノードと総称)の数も多いので、ネットワークのデータ通信も複雑である。もし全ノードにおいて二つのノードごとに共有キーを確立すると、ノードが保存しなければならない共有キーの数は非常に多くなる。もし隣接ノード間の共有キーを利用してホップバイホップ暗号化のセキュリティ対策を使行えば、ネットワーク交換設備に非常に大きい算定負荷を再びもたらす。
【発明の概要】
【発明が解決しようとする課題】
【0006】
よって、ノード間秘密保持通信の問題を解決するための方法を研究する必要がある。データのノード間での秘密保持伝送を保証する一方で、もう一方ではキーの数とキーが確立した複雑度をできるだけ減らし、同時にノードの暗号化・復号能力を考慮しなければならない。
【課題を解決するための手段】
【0007】
背景技術における上述の技術問題を解決するため,本発明は、ノード間での交換ルーティング情報を基礎とするデータ通信のタイプを分類し、異なる秘密保持通信の戦略を選択するノード間秘密保持通信方法およびシステムを提供する。
【0008】
本発明の技術解决方案として、本発明はノード間の秘密保持通信方法を提供しており、上述ノード間の秘密保持通信方法は、
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする。
【0009】
好ましくは、上述ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含む。
【0010】
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報をIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ぶ、送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送は中間交換設備を経由品可能性もあるし、複数の中間交換設備を経由する可能性もある。
【0011】
好ましくは、上述ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含む
【0012】
好ましくは、対象ノードNDestinationが送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後に実行する上述ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含む。
【0013】
好ましくは、各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信した後に実行する上述ステップ2.3)は、
交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含む。
【0014】
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、上述ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含む。
【0015】
好ましくは、上述ステップ4)は送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信であり、データ通信タイプの違いに基づき、通信に採用される秘密保持通信戦略も異なる。
【0016】
より好ましくは、データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合、上述ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含む。
【0017】
好ましくは、データ通信タイプが交換設備から直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含む。
【0018】
好ましくは、データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含む。
【0019】
好ましくは、データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含む。
【0020】
好ましくは、データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含む。
【0021】
好ましくは、データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含む。
【0022】
好ましくは、データ通信タイプがユーザ端末から異なる交換設備下の直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含む。
【0023】
本発明はさらにノード間秘密保持通信システムを提供しており、上述システムは、送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有し、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
【0024】
上述システムはさらに、送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設を有する。
【0025】
本発明の利点は、本発明が提供している有線ローカルエリアネットワークノード間秘密保持通信方法とシステムであり、隣接ノード間と、両端交換設備間と、同一交換設備下の直結両端ユーザ端末間とに共有キーを確立しなければならない。交換ルーティング探索プロセスにおいて獲得したノード間の交換ルーティング情報に基づき、両ノード間のデータ通信が属するタイプを判断する。これにより対応する秘密保持通信戦略を選ぶ。本発明が提供している方法は、システムにおいて交換ルーティング情報を基礎するデータ通信のタイプを分類し、異なるデータ通信タイプに対しては異なる秘密保持通信戦略を採用する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全両端ノード間にステーション間キーを確立することにより通信機密性を保護する方法に対しては、キーの数を減少させ、キー管理を簡略化する。
【図面の簡単な説明】
【0026】
【図1】本発明における上記ローカルエリアネットワークの基本フレームワーク図である。
【図2】本発明における上記ノード間の交換ルーティングのネットワーク構造を示す図である。
【図3】本発明における上記交換ルーティング探索プロトコルを示す図である。
【図4】本発明における上記ノード間の交換ルーティングの探索を示す図である。
【図5】本発明における上記ノード間のデータ通信タイプの判断フローチャートを示す図である。
【図6−a】本発明における上記交換設備から交換設備までの通信(隣接)を示す図である。
【図6−b】本発明における上記交換設備から交換設備までの通信(非隣接)示す図である。
【図7】本発明における上記交換設備から直結ユーザ端末までの通信を示す図である。
【図8】本発明における上記交換設備から非直結ユーザ端末までの通信を示す図である。
【図9】本発明における上記ユーザ端末から直結交換設備までの通信を示す図である。
【図10】本発明における上記ユーザ端末から非直結交換設備までの通信を示す図である。
【図11−a】本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(確立ステーション間キー)を示す図である。
【図11−b】本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(ステーション間キーの確立なし)を示す図である。
【図12】本発明における上記ユーザ端末から異なる交換設備の直結ユーザ端末までの通信を示す図である。
【発明を実施するための形態】
【0027】
本発明に係るけるノードN(Node)とは、ネットワークにおけるユーザ端末STA(Station)と交換設備SW(Switch)を指す。集線装置(hub)等物理層設備はノードとしない。
【0028】
本発明において定義している直結とは、交換設備間或いは交換設備とユーザ端末間のケーブル或いは集線装置(hub)等物理層設備による直接接続する連接関係を指す。他の設備を介して接続したノード間は直結関係に属さない。
【0029】
図1−12に示す通り、本発明にかかる有線ローカルエリアネットワークノードの秘密保持通信方法は主に、共有キーの確立ステップ、交換ルーティングの探索ステップ、データ通信分類ステップおよびノード間の秘密保持通信ステップとの4つのプロセスを備え、具体的な実施形態は以下の通りである。
【0030】
ステップ1)共有キーの確立:ユーザ端末と交換設備間、交換設備のいずれかの二つの間および同一交換設備の2つの直結ユーザ端末間を含むノード間において共有キーを確立する。具体的に以下のステップより実行する。
【0031】
ステップ1.1)隣接ノード間に共有キーを確立し、ユニキャストキーUSK(Unicast Session Key)と呼ぶ。
【0032】
ステップ1.2)交換設備にいずれかの二つの間において共有キーを確立し、このような場合の共有キーを交換キーSWkey (SWitch key)と呼ばれ、ここで、隣接交換設備間のユニキャストキーは、隣接交換設備間の交換キーである。
【0033】
ステップ1.3)ローカル戦略に基づき、同一交換設備の2つの直結ユーザ端末間において共有キーを確立し、この場合の共有キーをステーション間キーSTAkey(STAtion key)と呼ぶ。
【0034】
ローカルエリアネットワークの基本フレームワークは図1に示す通りである。全部の隣接するノード間、例えば隣接する交換設備SW−AとSW−B間、隣接する交換設備SW−Eとユーザ端末STA2間に、ユニキャストキーUSKを有する。交換設備のいずれかの二つの間、例えば隣接する交換設備SW−BとSW−E間、非隣接する交換設備SW−EとSW−G間とは関らず、交換キーSWkeyを有する。同一交換設備の直結ユーザ端末STA間、例えばユーザ端末STA1とSTA2間、ユーザ端末STA7とSTA9間においては、ステーション間キーSTAkeyを確立できる。ここで、ユニキャストキーと交換キーは、ノードがネットワークにアクセス成功した場合に確立される。ステーション間キーは、通信が行われる場合に送信元ノードNSourceがローカル戦略に基づき、確立するかどうかを決定する。通常、もしユーザ端末STA1が同一交換設備の他の直結ユーザ端末STA2へ送信するデータ量が大きければステーション間キーを確立しなければならない。もし簡単なデータパケット情報であればステーション間キーは確立しなくてもよい。ユニキャストキー、交換キーおよびステーション間キーは、事前配布或いはある安全メカニズムにより確立でき、確立する具体的な方法は本発明では制限と定義をしない。
【0035】
2)交換ルーティングの探索:ノード間は共有キー交換ルーティングの探索に基づき、ノード間の交換ルーティング情報を獲得する。以下それについて詳細に説明する。
【0036】
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を下記のような識別子四タプルと定義する。
[IDSource, IDSW−first,IDSW−last,IDDestination]
ここで、
IDSourceは、送信元ノードNSourceの識別子を示し、ここで、送信元ノードNSourceはユーザ端末でもよく、交換設備でもよい。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示す。
IDDestinationは、対象ノードNDestinationの識別子を示す。ここで、対象ノードNDestinationはユーザ端末でもよく、交換設備でもよい。
【0037】
送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource, IDSW−first,IDSW−last,IDDestination]に対応するネットワーク構造は図2に示す通りである。ここで、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備は、中間交換設備と呼ばれる。送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送が中間交換設備を経由しない可能性もあるし、複数の中間交換設備を経由する可能性もある。
【0038】
ネットワークにおいて、ノードNSourceからノードNDestinationまでの交換ルーティング情報を知る必要がある場合、交換ルーティング探索ステップを起動しなければならない。図3に示すように、交換ルーティング探索は交換ルーティング探索パケットと交換ルーティング応答パケットを含む。図4に示すように、以下、交換ルーティング探索を詳細に説明する。
【0039】
ステップ2.1)送信元ノードNSourceは対象ノードNDestinationへ交換ルーティング探索パケットを送信する。
送信元ノードNSourceは交換ルーティング探索パケットを構成し、対象ノードNDestinationへ送信する。当該パケットには主に識別子四タプルが含まれる。
[IDSource,IDSW−first,IDSW−last,IDDestination]
ここで、
IDSourceは、送信元ノードNSourceの識別子を示す。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した第1交換設備SW−firstの識別子を示す。もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceである。もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSource直結交換設備の識別子である。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した最終交換設備SW−lastの識別子を示す。交換ルーティング探索パケットにおいて、当該フィールドは未知である(図4ではクエスチョンマークを用いて(“?”)示している)。
IDDestinationは、対象ノードNDestinationの識別子を示す。
【0040】
ステップ2.2)対象ノードNDestinationは、送信元ノードNSourceへ交換ルーティング応答パケットを送信する。
【0041】
対象ノードNDestinationは、送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後、以下の通り実行する。
【0042】
ステップ2.2.1)送信元ノードNSourceから送信したデータパケットが経由した最終交換設備SW−lastの情報を判断する。もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationである。もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザ直結交換設備の識別子である。
【0043】
ステップ2.2.2)識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録する。ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティングは探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となる。上述識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
【0044】
ステップ2.2.3)交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信する。当該パケットは主に明確となった全フィールド値の識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を含む。
【0045】
ステップ2.3)各ノードは交換ルーティング応答パケットを受信する。
【0046】
ステップ2.3.1)交換設備が交換ルーティング応答パケットを受信後、もし自身の識別子が当該パケットにおける識別子四タプルに含まれば、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、再転送する。もし自身の識別子が当該パケットにおける識別子四タプルになければ、直接当該パケットを転送する。
【0047】
ステップ2.3.2)送信元ノードNSourceは交換ルーティング応答パケットを受信後、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、今回の交換ルーティング探索ステップを完成する。
【0048】
ネットワーク全体においては、送信元ノードNSource、第1交換設備SW−first、最終交換設備SW−lastおよび対象ノードNDestinationが記録しなければならない送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報のみがある。もし送信元ノードNSourceが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る第1交換設備SW−firstはこれ自身であり、SW−firstはNSourceである。もし対象ノードNDestinationが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る最終交換設備SW−lastはNDestinationであり、SW−lastはNDestinationである。
【0049】
3)データ通信タイプの分類:ノード間は上述交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断する。以下データ通信タイプの判断について詳細に説明する。
【0050】
送信元ノードNSourceから対象ノードNDestinationまでのデータ秘密保持通信は、ノードNSourceとNDestination間の物理接続関係およびこれら自身のノードタイプに基づき、以下の7つのタイプに分類できる。
Type1:交換設備から交換設備までの通信。
例: 図1におけるSW−AからSW−Eまで、SW−DからSW−Bまでのデータ通信。
Type2:交換設備から直結ユーザ端末までの通信。
例:図1におけるSW−EからSTA1まで、SW−GからSTA9までのデータ通信。
Type3:交換設備から非直結ユーザ端末までの通信。
例:図1におけるSW−AからSTA1まで、SW−DからSTA6までのデータ通信。
Type4:ユーザ端末から直結交換設備までの通信。
例:図1におけるSTA2からSW−Eまで、STA5からSW−Fまでのデータ通信。
Type5:ユーザ端末から非直結交換設備までの通信。
例:図1におけるSTA2からSW−Fまで、STA5からSW−Bまでのデータ通信。
Type6:ユーザ端末から同一交換設備までの他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA3まで、STA5からSTA6までのデータ通信。
Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA6まで、STA5からSTA9までのおデータ通信。
【0051】
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した交換ルーティング四タプル情報[IDSource,IDSW−first,IDSW−last,IDDestination]に基づき判断する。具体的な判断フローは図5に示す通りである。以下判断フローについて詳細に説明する。
【0052】
ステップ3.1)IDSW−first=IDSourceが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceは交換設備であり、ステップ3.2)を実行する。もし成立しなければ、送信元ノードNSourceはユーザ端末でありステップ3.4)を実行する。
【0053】
ステップ3.2)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から交換設備までの通信であり、タイプType1に属する。もし成立しなければ、対象ノードNDestinationはユーザ端でありステップ3.3)を実行する。
【0054】
ステップ3.3)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から直結ユーザ端末までの通信であり、タイプType2に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から非直結ユーザ端末までの通信であり、タイプType3に属する。
【0055】
ステップ3.4)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、ステップ3.5)を実行する。もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行する。
【0056】
ステップ3.5)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から直結交換設備までの通信であり、タイプType4に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から非直結交換設備までの通信であり、タイプType5に属する。
【0057】
ステップ3.6)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から同一交換設備までの他の直結ユーザ端末の通信であり、タイプType6に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から異なる交換設備の直結ユーザ端末までの通信でありタイプType7に属する。
【0058】
4)ノード間秘密保持通信:ノード間の異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用してノード間秘密保持通信を実行する。以下それについて詳細に説明する。
【0059】
送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信はデータ通信タイプの違いに基づき、通信する際に採用する秘密保持通信戦略もまた異なる。具体的な各通信タイプが採用する秘密保持通信戦略の詳細は以下の通りである。
【0060】
4.1)Type1:交換設備から交換設備までの通信
ネットワークにおける交換設備のいずれかの2つの間に交換キー(交換キーの確立プロセスは本発明では定義と限定はしない)があり、Type1と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0061】
ステップ4.1.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstでもある)は、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備IDSW−lastである)間との交換キーを使用しデータパケットを暗号化する。
【0062】
ステップ4.1.2)もし中間交換設備が存在すれば、中間交換設備はType1と分類する通信データパケットを受信し、直接転送する。
【0063】
ステップ4.1.3)対象ノードNDestinationは、送信元ノードNSource間との交換キーを使用しデータパケットを復号する。
【0064】
交換設備から交換設備までの通信は、交換設備から隣接交換設備までの通信(例えば図6−aにおける交換設備SW−Bから交換設備SW−Eまでの通信)と、交換設備から非隣接交換設備までの通信(例えば図6−bにおける交換設備SW−Bから交換設備SW−Gまでの通信)を含む。図6−aにおいて交換キーSWkeyB−Eを直接使用することによりデータパケットを復号し、暗号化する。図6−bにおいて交換キーSWkeyB−Gを直接使用することによりデータパケットを復号、暗号化し、中間交換設備(例えば交換設備SW−A、SW−D)は直接転送すればよい。
【0065】
4.2)Type2:交換設備から直結ユーザ端末までの通信
ネットワークにおいて、交換設備と直結ユーザ端末間にユニキャストキーを有する(ユニキャストキーの確立プロセスは本発明では定義と限定はしない)。Type2と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0066】
ステップ4.2.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstと最終交換設備SW−lastでもある)は、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化する。
【0067】
ステップ4.2.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
【0068】
図7に示す通り、交換設備SW−Eからユーザ端末STA3までの通信はType2に属する。交換設備SW−Eを送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0069】
4.3)Type3:交換設備から非直結ユーザ端末までの通信。
ネットワークは交換設備と直結ユーザ端末間に有ユニキャストキー、交換設備間有交換キーを有する。Type3と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0070】
ステップ4.3.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備SW−firstである)は、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化する。
【0071】
ステップ4.3.2)もし中間交換設備が存在すれば、中間交換設備はType3と分類するデータパケットを直接転送する。
【0072】
ステップ4.3.3)最終交換設備SW−lastは、送信元ノードNSourceとの交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、その後転送する。
【0073】
ステップ4.3.4)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
【0074】
図8に示す通り、交換設備SW−Aからユーザ端末STA3までの通信はType3に属し、SW−Eは最終交換設備である。交換設備SW−Aを送信元ノードとし、SW−E間との交換キーSWkeyA−Eを使用しデータパケットを暗号化する。交換設備SW−Bは中間交換設備に属しデータパケットを直接に転送する。交換設備SW−Eを最終交換設備とし、交換キーSWkeyA−Eを使用しデータパケットを復号する。そして、ユーザ端末STA3間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0075】
4.4)Type4:ユーザ端末から直結交換設備までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有する。Type4と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0076】
ステップ4.4.1)送信元ノードNSource(この場合はユーザ端末とする)は、対象ノードNDestination(この場合は交換設備とし対象ノードNDestinationは同時に第1交換設備SW−first、最終交換設備SW−lastである)間とのユニキャストキーを使用しデータパケットを暗号化する。
【0077】
ステップ4.4.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
【0078】
図9に示す通り、ユーザ端末STA3から交換設備SW−Eまでの通信はType4に属する。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを対象ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。タイプType4の通信とタイプType2の通信は方向が異なるだけで、すべて送信元ノードと対象ノード間とのユニキャストキーを使用することによりデータパケットを復号し暗号化する。
【0079】
4.5)Type5:ユーザ端末から非直結交換設備までの通信。
ネットワークはユーザ端末と直結交換設備間にユニキャストキー、交換設備間に交換キーを有する。Type5と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0080】
ステップ4.5.1)送信元ノードNSource(この場合はユーザ端末とする)は第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
【0081】
ステップ4.5.2)第1交換設備SW−firstは送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備SW−lastである)間との交換キーを使用しデータパケットを暗号化し、その後転送する。
【0082】
ステップ4.5.3)もし中間交換設備が存在すれば、中間交換設備はType5と分類するデータパケットを直接転送する。
【0083】
ステップ4.5.4)対象ノードNDestinationは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。
【0084】
如図10に示すように、ユーザ端末STA3から交換設備SW−Aまでの通信はType5に属し、SW−Eは第1交換設備である。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。そして、対象ノードSW−A間との交換キーSWkeyA−Eを使用しデータパケットを暗号化し、再転送する。交換設備SW−Aを対象ノードとしSW−E間との交換キーSWkeyA−Eを使用しデータパケットを復号する。タイプType5の通信とタイプType3の通信は方向が異なり、プロセスが相反するだけで、実施過程において使用するキーは全て同じである。
【0085】
3.2.6)Type6:ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、同一交換設備の直結ユーザ端末間はローカルの決定に基づき、ステーション間キーの(ステーション間キーの確立プロセスは本発明では定義と限定はしない)確立を選択できる。Type6と分類するデータ通信は、ステーション間キーが確立するかどうかによって採用する秘密保持通信は異なる。
【0086】
ステップ4.6.1)すでに確立したステーション間キーに関し、Type6と分類するデータ通信が採用する秘密保持通信戦略以下の通りである。
【0087】
ステップ4.6.1.1)送信元ノードNSourceは、対象ノードNDestination(この場合はユーザ端末とする)間とのステーションキーを使用しデータパケットを暗号化する。
【0088】
ステップ4.6.1.2)タイプType6のデータパケットに関しては、第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備である)が、それを直接に転送する。
【0089】
ステップ4.6.1.3)対象ノードNDestinationは、送信元ノードNSource間とのステーション間キーを使用しデータパケットを復号する。
【0090】
ステップ4.6.2)確立していないステーション間キーに関し、Type6が採用する秘密保持通信は以下の通りである。
【0091】
4.6.2.1)送信元ノードNSourceは、直結交換設備間とのユニキャストキーを使用しデータパケットを暗号化する。
【0092】
ステップ4.6.2.2)第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備でもある)は、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。さらに対象ノードNDestination間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
【0093】
ステップ4.6.2.3)対象ノードNDestinationは、直結交換設備間とのユニキャストキーを使用しデータパケットを復号する。
【0094】
如図ll−a、ll−bに示す通り、ユーザ端末STAlからSTA3間までのデータ通信はタイプType6に属する。
【0095】
図ll−aはすでに確立したステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとしSTA3間とのステーション間キーSTAkeyl−3を使用しデータパケットを暗号化する。交換設備SW−Eはデータパケットを直接に転送する。ユーザ端末STA3を対象ノードとしSTAl間とのステーション間キーSTAkeyl−3を使用しデータパケットを復号する。
【0096】
図ll−bは確立していないステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとし交換設備SW−E間とのユニキャストキーUSK1−Eを使用しデータパケットを暗号化する。交換設備SW−EはユニキャストキーUSK1−Eを使用しデータパケットを復号し、その後ユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0097】
4.7)Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、交換設備間に交換キーを有する。Type7と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0098】
ステップ4.7.1)送信元ノードNSource(この場合はユーザ端末とする)は、第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
【0099】
ステップ4.7.2)第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化し、再転送する。
【0100】
ステップ4.7.3)もし中間交換設備が存在すれば、中間交換設備はType7と分類するデータパケットを直接転送する。
【0101】
ステップ4.7.4)最終交換設備SW−lastは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
【0102】
ステップ4.7.5)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
【0103】
図12に示すように、ユーザ端末STA3からSTA9までの通信はType7に属する。Type7のデータ通信は送信元ノードから第1交換設備までと、第1交換設備から最終交換設備までと、最終交換設備から対象ノードまでとの三段階に分類できる。図12において、ユーザ端末STA3を送信元ノードとし、交換設備SW−E間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、送信元ノード間とのユニキャストキーUSK3−Eを使用しデータパケットを復号する。さらに、最終交換設備SW−G間との交換キーSWkeyE−Gデータを再び使用してパケットを暗号化し、再転送する。交換設備SW−D、SW−A、SW−Dを中間交換設備としデータパケットを直接に転送する。交換設備SW−Gを最終交換設備とし第1交換設備SW−E間との交換キーSWkeyE−Gを使用しデータパケットを復号する。さらに対象ノード間とのユニキャストキーUSK9−Gを再び使用してデータパケットを暗号化し、再転送する。ユーザ端末STA9を対象ノードとし最終交換設備SW−G間とのユニキャストキーUSK9−Gを使用しデータパケットを復号する。
【0104】
本発明に係るノード間の秘密保持通信システムは送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−last(即ち最終交換設備SW−last)と対象ノードNDestinationを含む。以下それぞれに対して説明する
【0105】
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化する。対象ノードNDestinationが送信した交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。対象ノードNDestinationは、送信元ノードNSourceが送信した交換ルーティング探索パケットを受信し、データパケットを暗号化する。送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。ここで、上述送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報は、IDSource、IDSW−first、IDSW−last、IDDestinationを備える。
【0106】
好ましくは、上述システムはさらに送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送することに用いる中間交換設備を備える。
【0107】
本発明に係るノード間の秘密保持通信の方法はノード間の異なる通信情況に基づき、分類し、適切な秘密保持通信戦略を選択する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全ノードのいずれかの二つの間にステーション間キーを確立することにより保護通信機密性を保護する方法に対しては、キーの数を減らしキー管理を簡略化する。
【0108】
以上は本発明における優先実施形態であり、当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を行うことができる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。
【技術分野】
【0001】
本出願は、2009年12月18日に中国特許局に提出し、出願番号が200910219572.8であり、発明名称が「ノード間秘密保持通信方法およびシステム」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
本発明はネットワーク安全分野に関し、特に特別ノード間秘密保持通信方法およびシステムに関する。
【背景技術】
【0003】
有線ローカルエリアネットワークは通常ブロードキャスト型ネットワークであり、いずれかの1つのノードが送信したデータは他のノードも受信できる。ネットワークにおける各ノードはチャンネルを共用するため、ネットワークに重大なセキュリティリスクをもたらす。攻撃者はネットワークにアクセスしモニタリングを行えば、ネットワークの全てのデータパケットを入手できる。現在の国家基準GB/T15629.3(IEEE802.3或いはISO/IEC 8802−3に対応)が定義するローカルエリアネットワークLAN(Local AreaNetwork)はデータ秘密保持の方法を提供しておらず、これでは重要な情報が攻撃者に容易に傍受されてしまう。
【0004】
有線ローカルエリアネットワークにおいて、IEEEはIEEE 802.3のセキュリティ強化を行うことによりリンク層のセキュリティを実現する。IEEE 802.1AEはイーサネット(登録商標)のデータ過密プロトコルを提供することを保護するために、ホップバイホップ暗号化の安全対策を採用することによりネットワークノード間データの安全な伝送を実現する。しかし、このようなセキュリティ対策はローカルエリアネットワークの交換設備に非常に大きい算定負荷をかけ、攻撃者の交換設備に対する攻撃を招きやすくする。かつ、データパケットの送信元ノードから対象ノードへの伝送遅延も増え、ネットワークの伝送効率を低下させる。
【0005】
有線ローカルエリアネットワークのトポロジ構造は複雑で、関連するノード(以下、ユーザ端末と交換設備をノードと総称)の数も多いので、ネットワークのデータ通信も複雑である。もし全ノードにおいて二つのノードごとに共有キーを確立すると、ノードが保存しなければならない共有キーの数は非常に多くなる。もし隣接ノード間の共有キーを利用してホップバイホップ暗号化のセキュリティ対策を使行えば、ネットワーク交換設備に非常に大きい算定負荷を再びもたらす。
【発明の概要】
【発明が解決しようとする課題】
【0006】
よって、ノード間秘密保持通信の問題を解決するための方法を研究する必要がある。データのノード間での秘密保持伝送を保証する一方で、もう一方ではキーの数とキーが確立した複雑度をできるだけ減らし、同時にノードの暗号化・復号能力を考慮しなければならない。
【課題を解決するための手段】
【0007】
背景技術における上述の技術問題を解決するため,本発明は、ノード間での交換ルーティング情報を基礎とするデータ通信のタイプを分類し、異なる秘密保持通信の戦略を選択するノード間秘密保持通信方法およびシステムを提供する。
【0008】
本発明の技術解决方案として、本発明はノード間の秘密保持通信方法を提供しており、上述ノード間の秘密保持通信方法は、
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする。
【0009】
好ましくは、上述ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含む。
【0010】
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報をIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ぶ、送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送は中間交換設備を経由品可能性もあるし、複数の中間交換設備を経由する可能性もある。
【0011】
好ましくは、上述ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含む
【0012】
好ましくは、対象ノードNDestinationが送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後に実行する上述ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含む。
【0013】
好ましくは、各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信した後に実行する上述ステップ2.3)は、
交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含む。
【0014】
好ましくは、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、上述ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含む。
【0015】
好ましくは、上述ステップ4)は送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信であり、データ通信タイプの違いに基づき、通信に採用される秘密保持通信戦略も異なる。
【0016】
より好ましくは、データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合、上述ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含む。
【0017】
好ましくは、データ通信タイプが交換設備から直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含む。
【0018】
好ましくは、データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含む。
【0019】
好ましくは、データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含む。
【0020】
好ましくは、データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含む。
【0021】
好ましくは、データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含む。
【0022】
好ましくは、データ通信タイプがユーザ端末から異なる交換設備下の直結ユーザ端末までのデータ通信タイプである場合、上述ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含む。
【0023】
本発明はさらにノード間秘密保持通信システムを提供しており、上述システムは、送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有し、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
【0024】
上述システムはさらに、送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設を有する。
【0025】
本発明の利点は、本発明が提供している有線ローカルエリアネットワークノード間秘密保持通信方法とシステムであり、隣接ノード間と、両端交換設備間と、同一交換設備下の直結両端ユーザ端末間とに共有キーを確立しなければならない。交換ルーティング探索プロセスにおいて獲得したノード間の交換ルーティング情報に基づき、両ノード間のデータ通信が属するタイプを判断する。これにより対応する秘密保持通信戦略を選ぶ。本発明が提供している方法は、システムにおいて交換ルーティング情報を基礎するデータ通信のタイプを分類し、異なるデータ通信タイプに対しては異なる秘密保持通信戦略を採用する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全両端ノード間にステーション間キーを確立することにより通信機密性を保護する方法に対しては、キーの数を減少させ、キー管理を簡略化する。
【図面の簡単な説明】
【0026】
【図1】本発明における上記ローカルエリアネットワークの基本フレームワーク図である。
【図2】本発明における上記ノード間の交換ルーティングのネットワーク構造を示す図である。
【図3】本発明における上記交換ルーティング探索プロトコルを示す図である。
【図4】本発明における上記ノード間の交換ルーティングの探索を示す図である。
【図5】本発明における上記ノード間のデータ通信タイプの判断フローチャートを示す図である。
【図6−a】本発明における上記交換設備から交換設備までの通信(隣接)を示す図である。
【図6−b】本発明における上記交換設備から交換設備までの通信(非隣接)示す図である。
【図7】本発明における上記交換設備から直結ユーザ端末までの通信を示す図である。
【図8】本発明における上記交換設備から非直結ユーザ端末までの通信を示す図である。
【図9】本発明における上記ユーザ端末から直結交換設備までの通信を示す図である。
【図10】本発明における上記ユーザ端末から非直結交換設備までの通信を示す図である。
【図11−a】本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(確立ステーション間キー)を示す図である。
【図11−b】本発明における上記ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信(ステーション間キーの確立なし)を示す図である。
【図12】本発明における上記ユーザ端末から異なる交換設備の直結ユーザ端末までの通信を示す図である。
【発明を実施するための形態】
【0027】
本発明に係るけるノードN(Node)とは、ネットワークにおけるユーザ端末STA(Station)と交換設備SW(Switch)を指す。集線装置(hub)等物理層設備はノードとしない。
【0028】
本発明において定義している直結とは、交換設備間或いは交換設備とユーザ端末間のケーブル或いは集線装置(hub)等物理層設備による直接接続する連接関係を指す。他の設備を介して接続したノード間は直結関係に属さない。
【0029】
図1−12に示す通り、本発明にかかる有線ローカルエリアネットワークノードの秘密保持通信方法は主に、共有キーの確立ステップ、交換ルーティングの探索ステップ、データ通信分類ステップおよびノード間の秘密保持通信ステップとの4つのプロセスを備え、具体的な実施形態は以下の通りである。
【0030】
ステップ1)共有キーの確立:ユーザ端末と交換設備間、交換設備のいずれかの二つの間および同一交換設備の2つの直結ユーザ端末間を含むノード間において共有キーを確立する。具体的に以下のステップより実行する。
【0031】
ステップ1.1)隣接ノード間に共有キーを確立し、ユニキャストキーUSK(Unicast Session Key)と呼ぶ。
【0032】
ステップ1.2)交換設備にいずれかの二つの間において共有キーを確立し、このような場合の共有キーを交換キーSWkey (SWitch key)と呼ばれ、ここで、隣接交換設備間のユニキャストキーは、隣接交換設備間の交換キーである。
【0033】
ステップ1.3)ローカル戦略に基づき、同一交換設備の2つの直結ユーザ端末間において共有キーを確立し、この場合の共有キーをステーション間キーSTAkey(STAtion key)と呼ぶ。
【0034】
ローカルエリアネットワークの基本フレームワークは図1に示す通りである。全部の隣接するノード間、例えば隣接する交換設備SW−AとSW−B間、隣接する交換設備SW−Eとユーザ端末STA2間に、ユニキャストキーUSKを有する。交換設備のいずれかの二つの間、例えば隣接する交換設備SW−BとSW−E間、非隣接する交換設備SW−EとSW−G間とは関らず、交換キーSWkeyを有する。同一交換設備の直結ユーザ端末STA間、例えばユーザ端末STA1とSTA2間、ユーザ端末STA7とSTA9間においては、ステーション間キーSTAkeyを確立できる。ここで、ユニキャストキーと交換キーは、ノードがネットワークにアクセス成功した場合に確立される。ステーション間キーは、通信が行われる場合に送信元ノードNSourceがローカル戦略に基づき、確立するかどうかを決定する。通常、もしユーザ端末STA1が同一交換設備の他の直結ユーザ端末STA2へ送信するデータ量が大きければステーション間キーを確立しなければならない。もし簡単なデータパケット情報であればステーション間キーは確立しなくてもよい。ユニキャストキー、交換キーおよびステーション間キーは、事前配布或いはある安全メカニズムにより確立でき、確立する具体的な方法は本発明では制限と定義をしない。
【0035】
2)交換ルーティングの探索:ノード間は共有キー交換ルーティングの探索に基づき、ノード間の交換ルーティング情報を獲得する。以下それについて詳細に説明する。
【0036】
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を下記のような識別子四タプルと定義する。
[IDSource, IDSW−first,IDSW−last,IDDestination]
ここで、
IDSourceは、送信元ノードNSourceの識別子を示し、ここで、送信元ノードNSourceはユーザ端末でもよく、交換設備でもよい。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示す。
IDDestinationは、対象ノードNDestinationの識別子を示す。ここで、対象ノードNDestinationはユーザ端末でもよく、交換設備でもよい。
【0037】
送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource, IDSW−first,IDSW−last,IDDestination]に対応するネットワーク構造は図2に示す通りである。ここで、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが、交換ルーティング情報の識別子四タプルに現れていない交換設備は、中間交換設備と呼ばれる。送信元ノードNSourceから対象ノードNDestinationまでのデータの伝送が中間交換設備を経由しない可能性もあるし、複数の中間交換設備を経由する可能性もある。
【0038】
ネットワークにおいて、ノードNSourceからノードNDestinationまでの交換ルーティング情報を知る必要がある場合、交換ルーティング探索ステップを起動しなければならない。図3に示すように、交換ルーティング探索は交換ルーティング探索パケットと交換ルーティング応答パケットを含む。図4に示すように、以下、交換ルーティング探索を詳細に説明する。
【0039】
ステップ2.1)送信元ノードNSourceは対象ノードNDestinationへ交換ルーティング探索パケットを送信する。
送信元ノードNSourceは交換ルーティング探索パケットを構成し、対象ノードNDestinationへ送信する。当該パケットには主に識別子四タプルが含まれる。
[IDSource,IDSW−first,IDSW−last,IDDestination]
ここで、
IDSourceは、送信元ノードNSourceの識別子を示す。
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した第1交換設備SW−firstの識別子を示す。もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceである。もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSource直結交換設備の識別子である。
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由した最終交換設備SW−lastの識別子を示す。交換ルーティング探索パケットにおいて、当該フィールドは未知である(図4ではクエスチョンマークを用いて(“?”)示している)。
IDDestinationは、対象ノードNDestinationの識別子を示す。
【0040】
ステップ2.2)対象ノードNDestinationは、送信元ノードNSourceへ交換ルーティング応答パケットを送信する。
【0041】
対象ノードNDestinationは、送信元ノードNSourceから送信した交換ルーティング探索パケットを受信後、以下の通り実行する。
【0042】
ステップ2.2.1)送信元ノードNSourceから送信したデータパケットが経由した最終交換設備SW−lastの情報を判断する。もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationである。もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザ直結交換設備の識別子である。
【0043】
ステップ2.2.2)識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録する。ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティングは探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となる。上述識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む。
【0044】
ステップ2.2.3)交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信する。当該パケットは主に明確となった全フィールド値の識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を含む。
【0045】
ステップ2.3)各ノードは交換ルーティング応答パケットを受信する。
【0046】
ステップ2.3.1)交換設備が交換ルーティング応答パケットを受信後、もし自身の識別子が当該パケットにおける識別子四タプルに含まれば、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、再転送する。もし自身の識別子が当該パケットにおける識別子四タプルになければ、直接当該パケットを転送する。
【0047】
ステップ2.3.2)送信元ノードNSourceは交換ルーティング応答パケットを受信後、識別子四タプル[IDSource,IDSW−first,IDSW−last,IDDestination]を記録し、今回の交換ルーティング探索ステップを完成する。
【0048】
ネットワーク全体においては、送信元ノードNSource、第1交換設備SW−first、最終交換設備SW−lastおよび対象ノードNDestinationが記録しなければならない送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報のみがある。もし送信元ノードNSourceが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る第1交換設備SW−firstはこれ自身であり、SW−firstはNSourceである。もし対象ノードNDestinationが交換設備であれば、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが通る最終交換設備SW−lastはNDestinationであり、SW−lastはNDestinationである。
【0049】
3)データ通信タイプの分類:ノード間は上述交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断する。以下データ通信タイプの判断について詳細に説明する。
【0050】
送信元ノードNSourceから対象ノードNDestinationまでのデータ秘密保持通信は、ノードNSourceとNDestination間の物理接続関係およびこれら自身のノードタイプに基づき、以下の7つのタイプに分類できる。
Type1:交換設備から交換設備までの通信。
例: 図1におけるSW−AからSW−Eまで、SW−DからSW−Bまでのデータ通信。
Type2:交換設備から直結ユーザ端末までの通信。
例:図1におけるSW−EからSTA1まで、SW−GからSTA9までのデータ通信。
Type3:交換設備から非直結ユーザ端末までの通信。
例:図1におけるSW−AからSTA1まで、SW−DからSTA6までのデータ通信。
Type4:ユーザ端末から直結交換設備までの通信。
例:図1におけるSTA2からSW−Eまで、STA5からSW−Fまでのデータ通信。
Type5:ユーザ端末から非直結交換設備までの通信。
例:図1におけるSTA2からSW−Fまで、STA5からSW−Bまでのデータ通信。
Type6:ユーザ端末から同一交換設備までの他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA3まで、STA5からSTA6までのデータ通信。
Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末の通信。
例:図1におけるSTA2からSTA6まで、STA5からSTA9までのおデータ通信。
【0051】
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した交換ルーティング四タプル情報[IDSource,IDSW−first,IDSW−last,IDDestination]に基づき判断する。具体的な判断フローは図5に示す通りである。以下判断フローについて詳細に説明する。
【0052】
ステップ3.1)IDSW−first=IDSourceが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceは交換設備であり、ステップ3.2)を実行する。もし成立しなければ、送信元ノードNSourceはユーザ端末でありステップ3.4)を実行する。
【0053】
ステップ3.2)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から交換設備までの通信であり、タイプType1に属する。もし成立しなければ、対象ノードNDestinationはユーザ端でありステップ3.3)を実行する。
【0054】
ステップ3.3)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から直結ユーザ端末までの通信であり、タイプType2に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信は交換設備から非直結ユーザ端末までの通信であり、タイプType3に属する。
【0055】
ステップ3.4)IDSW−last=IDDestinationが成立するかどうかを判断する。もし成立すれば、対象ノードNDestinationは交換設備であり、ステップ3.5)を実行する。もし成立しなければ、対象ノードNDestinationはユーザ端末であり、ステップ3.6)を実行する。
【0056】
ステップ3.5)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から直結交換設備までの通信であり、タイプType4に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から非直結交換設備までの通信であり、タイプType5に属する。
【0057】
ステップ3.6)IDSW−last=IDSW−firstが成立するかどうかを判断する。もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータは1つだけの交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から同一交換設備までの他の直結ユーザ端末の通信であり、タイプType6に属する。もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信はユーザ端末から異なる交換設備の直結ユーザ端末までの通信でありタイプType7に属する。
【0058】
4)ノード間秘密保持通信:ノード間の異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用してノード間秘密保持通信を実行する。以下それについて詳細に説明する。
【0059】
送信元ノードNSourceから対象ノードNDestinationまでのノード間データ通信はデータ通信タイプの違いに基づき、通信する際に採用する秘密保持通信戦略もまた異なる。具体的な各通信タイプが採用する秘密保持通信戦略の詳細は以下の通りである。
【0060】
4.1)Type1:交換設備から交換設備までの通信
ネットワークにおける交換設備のいずれかの2つの間に交換キー(交換キーの確立プロセスは本発明では定義と限定はしない)があり、Type1と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0061】
ステップ4.1.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstでもある)は、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備IDSW−lastである)間との交換キーを使用しデータパケットを暗号化する。
【0062】
ステップ4.1.2)もし中間交換設備が存在すれば、中間交換設備はType1と分類する通信データパケットを受信し、直接転送する。
【0063】
ステップ4.1.3)対象ノードNDestinationは、送信元ノードNSource間との交換キーを使用しデータパケットを復号する。
【0064】
交換設備から交換設備までの通信は、交換設備から隣接交換設備までの通信(例えば図6−aにおける交換設備SW−Bから交換設備SW−Eまでの通信)と、交換設備から非隣接交換設備までの通信(例えば図6−bにおける交換設備SW−Bから交換設備SW−Gまでの通信)を含む。図6−aにおいて交換キーSWkeyB−Eを直接使用することによりデータパケットを復号し、暗号化する。図6−bにおいて交換キーSWkeyB−Gを直接使用することによりデータパケットを復号、暗号化し、中間交換設備(例えば交換設備SW−A、SW−D)は直接転送すればよい。
【0065】
4.2)Type2:交換設備から直結ユーザ端末までの通信
ネットワークにおいて、交換設備と直結ユーザ端末間にユニキャストキーを有する(ユニキャストキーの確立プロセスは本発明では定義と限定はしない)。Type2と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0066】
ステップ4.2.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備IDSW−firstと最終交換設備SW−lastでもある)は、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化する。
【0067】
ステップ4.2.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
【0068】
図7に示す通り、交換設備SW−Eからユーザ端末STA3までの通信はType2に属する。交換設備SW−Eを送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0069】
4.3)Type3:交換設備から非直結ユーザ端末までの通信。
ネットワークは交換設備と直結ユーザ端末間に有ユニキャストキー、交換設備間有交換キーを有する。Type3と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0070】
ステップ4.3.1)送信元ノードNSource(この場合は交換設備とし、送信元ノードNSourceは同時に第1交換設備SW−firstである)は、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化する。
【0071】
ステップ4.3.2)もし中間交換設備が存在すれば、中間交換設備はType3と分類するデータパケットを直接転送する。
【0072】
ステップ4.3.3)最終交換設備SW−lastは、送信元ノードNSourceとの交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、その後転送する。
【0073】
ステップ4.3.4)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
【0074】
図8に示す通り、交換設備SW−Aからユーザ端末STA3までの通信はType3に属し、SW−Eは最終交換設備である。交換設備SW−Aを送信元ノードとし、SW−E間との交換キーSWkeyA−Eを使用しデータパケットを暗号化する。交換設備SW−Bは中間交換設備に属しデータパケットを直接に転送する。交換設備SW−Eを最終交換設備とし、交換キーSWkeyA−Eを使用しデータパケットを復号する。そして、ユーザ端末STA3間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0075】
4.4)Type4:ユーザ端末から直結交換設備までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有する。Type4と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0076】
ステップ4.4.1)送信元ノードNSource(この場合はユーザ端末とする)は、対象ノードNDestination(この場合は交換設備とし対象ノードNDestinationは同時に第1交換設備SW−first、最終交換設備SW−lastである)間とのユニキャストキーを使用しデータパケットを暗号化する。
【0077】
ステップ4.4.2)対象ノードNDestinationは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。
【0078】
図9に示す通り、ユーザ端末STA3から交換設備SW−Eまでの通信はType4に属する。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを対象ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。タイプType4の通信とタイプType2の通信は方向が異なるだけで、すべて送信元ノードと対象ノード間とのユニキャストキーを使用することによりデータパケットを復号し暗号化する。
【0079】
4.5)Type5:ユーザ端末から非直結交換設備までの通信。
ネットワークはユーザ端末と直結交換設備間にユニキャストキー、交換設備間に交換キーを有する。Type5と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0080】
ステップ4.5.1)送信元ノードNSource(この場合はユーザ端末とする)は第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
【0081】
ステップ4.5.2)第1交換設備SW−firstは送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合は交換設備とし、対象ノードNDestinationは同時に最終交換設備SW−lastである)間との交換キーを使用しデータパケットを暗号化し、その後転送する。
【0082】
ステップ4.5.3)もし中間交換設備が存在すれば、中間交換設備はType5と分類するデータパケットを直接転送する。
【0083】
ステップ4.5.4)対象ノードNDestinationは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。
【0084】
如図10に示すように、ユーザ端末STA3から交換設備SW−Aまでの通信はType5に属し、SW−Eは第1交換設備である。ユーザ端末STA3を送信元ノードとし、ユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、ユニキャストキーUSK3−Eを使用しデータパケットを復号する。そして、対象ノードSW−A間との交換キーSWkeyA−Eを使用しデータパケットを暗号化し、再転送する。交換設備SW−Aを対象ノードとしSW−E間との交換キーSWkeyA−Eを使用しデータパケットを復号する。タイプType5の通信とタイプType3の通信は方向が異なり、プロセスが相反するだけで、実施過程において使用するキーは全て同じである。
【0085】
3.2.6)Type6:ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信。
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、同一交換設備の直結ユーザ端末間はローカルの決定に基づき、ステーション間キーの(ステーション間キーの確立プロセスは本発明では定義と限定はしない)確立を選択できる。Type6と分類するデータ通信は、ステーション間キーが確立するかどうかによって採用する秘密保持通信は異なる。
【0086】
ステップ4.6.1)すでに確立したステーション間キーに関し、Type6と分類するデータ通信が採用する秘密保持通信戦略以下の通りである。
【0087】
ステップ4.6.1.1)送信元ノードNSourceは、対象ノードNDestination(この場合はユーザ端末とする)間とのステーションキーを使用しデータパケットを暗号化する。
【0088】
ステップ4.6.1.2)タイプType6のデータパケットに関しては、第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備である)が、それを直接に転送する。
【0089】
ステップ4.6.1.3)対象ノードNDestinationは、送信元ノードNSource間とのステーション間キーを使用しデータパケットを復号する。
【0090】
ステップ4.6.2)確立していないステーション間キーに関し、Type6が採用する秘密保持通信は以下の通りである。
【0091】
4.6.2.1)送信元ノードNSourceは、直結交換設備間とのユニキャストキーを使用しデータパケットを暗号化する。
【0092】
ステップ4.6.2.2)第1交換設備SW−first(この場合は第1交換設備SW−firstは同時に最終交換設備でもある)は、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。さらに対象ノードNDestination間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
【0093】
ステップ4.6.2.3)対象ノードNDestinationは、直結交換設備間とのユニキャストキーを使用しデータパケットを復号する。
【0094】
如図ll−a、ll−bに示す通り、ユーザ端末STAlからSTA3間までのデータ通信はタイプType6に属する。
【0095】
図ll−aはすでに確立したステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとしSTA3間とのステーション間キーSTAkeyl−3を使用しデータパケットを暗号化する。交換設備SW−Eはデータパケットを直接に転送する。ユーザ端末STA3を対象ノードとしSTAl間とのステーション間キーSTAkeyl−3を使用しデータパケットを復号する。
【0096】
図ll−bは確立していないステーション間キーの通信を示す図である。ユーザ端末STAlを送信元ノードとし交換設備SW−E間とのユニキャストキーUSK1−Eを使用しデータパケットを暗号化する。交換設備SW−EはユニキャストキーUSK1−Eを使用しデータパケットを復号し、その後ユニキャストキーUSK3−Eを使用しデータパケットを暗号化し、再転送する。ユーザ端末STA3を対象ノードとしユニキャストキーUSK3−Eを使用しデータパケットを復号する。
【0097】
4.7)Type7:ユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信
ネットワークにおいて、ユーザ端末と直結交換設備間にユニキャストキーを有し、交換設備間に交換キーを有する。Type7と分類するデータ通信が採用する秘密保持通信戦略は以下の通りである。
【0098】
ステップ4.7.1)送信元ノードNSource(この場合はユーザ端末とする)は、第1交換設備SW−first間とのユニキャストキーを使用しデータパケットを暗号化する。
【0099】
ステップ4.7.2)第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用しデータパケットを復号する。そして、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化し、再転送する。
【0100】
ステップ4.7.3)もし中間交換設備が存在すれば、中間交換設備はType7と分類するデータパケットを直接転送する。
【0101】
ステップ4.7.4)最終交換設備SW−lastは第1交換設備SW−first間との交換キーを使用しデータパケットを復号する。そして、対象ノードNDestination(この場合はユーザ端末とする)間とのユニキャストキーを使用しデータパケットを暗号化し、再転送する。
【0102】
ステップ4.7.5)対象ノードNDestinationは、最終交換設備SW−last間とのユニキャストキーを使用しデータパケットを復号する。
【0103】
図12に示すように、ユーザ端末STA3からSTA9までの通信はType7に属する。Type7のデータ通信は送信元ノードから第1交換設備までと、第1交換設備から最終交換設備までと、最終交換設備から対象ノードまでとの三段階に分類できる。図12において、ユーザ端末STA3を送信元ノードとし、交換設備SW−E間とのユニキャストキーUSK3−Eを使用しデータパケットを暗号化する。交換設備SW−Eを第1交換設備とし、送信元ノード間とのユニキャストキーUSK3−Eを使用しデータパケットを復号する。さらに、最終交換設備SW−G間との交換キーSWkeyE−Gデータを再び使用してパケットを暗号化し、再転送する。交換設備SW−D、SW−A、SW−Dを中間交換設備としデータパケットを直接に転送する。交換設備SW−Gを最終交換設備とし第1交換設備SW−E間との交換キーSWkeyE−Gを使用しデータパケットを復号する。さらに対象ノード間とのユニキャストキーUSK9−Gを再び使用してデータパケットを暗号化し、再転送する。ユーザ端末STA9を対象ノードとし最終交換設備SW−G間とのユニキャストキーUSK9−Gを使用しデータパケットを復号する。
【0104】
本発明に係るノード間の秘密保持通信システムは送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−last(即ち最終交換設備SW−last)と対象ノードNDestinationを含む。以下それぞれに対して説明する
【0105】
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化する。対象ノードNDestinationが送信した交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。対象ノードNDestinationは、送信元ノードNSourceが送信した交換ルーティング探索パケットを受信し、データパケットを暗号化する。送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報[IDSource,IDSW−first,IDSW−last,IDDestination]を記録することに用いる。ここで、上述送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報は、IDSource、IDSW−first、IDSW−last、IDDestinationを備える。
【0106】
好ましくは、上述システムはさらに送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送することに用いる中間交換設備を備える。
【0107】
本発明に係るノード間の秘密保持通信の方法はノード間の異なる通信情況に基づき、分類し、適切な秘密保持通信戦略を選択する。ホップバイホップ暗号化に対しては、交換設備の算定負荷を減少させ、データパケットの伝送遅延を短縮する。全ノードのいずれかの二つの間にステーション間キーを確立することにより保護通信機密性を保護する方法に対しては、キーの数を減らしキー管理を簡略化する。
【0108】
以上は本発明における優先実施形態であり、当業者であれば、本発明の技術的思想の範囲内において、本発明に対し種種の変更・改変を行うことができる。そのような変更・改変は、本発明の請求の範囲及びその均等の範囲に属するので、つまり、本発明は、そのような変更・改変も意図しているということである。
【特許請求の範囲】
【請求項1】
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項2】
前記ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項3】
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ばれる、線ローカルエリアネットワークノード間の秘密保持通信方法であって、
前記ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項4】
対象ノードNDestinationがノードNSourceから送信した交換ルーティング探索パケットを受信した後に実行する前記ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含むことを特徴とする請求項3に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項5】
各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信後に実行する前記ステップ2.3)は、
交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含むことを特徴とする請求項4に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項6】
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、
前記ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含むことを特徴とする請求項5に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項7】
データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合,ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間秘密保持通信方法。
【請求項8】
データ通信タイプが交換設備から直結ユーザ端末までの通信である場合、ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項9】
データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項10】
データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項11】
データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項12】
データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項13】
データ通信タイプがユーザ端末から異なる交換設備の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項14】
送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有する有線ローカルエリアネットワークノード間の秘密保持通信システムであって、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む
ことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信システム。
【請求項15】
送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設備をさらに有することを特徴とする請求項14に記載の有線ローカルエリアネットワークノード間の秘密保持通信システム。
【請求項1】
ノード間に共有キーを確立するステップ1)と、
ここで、前記ノード間は、ユーザ端末と交換設備間、いずれかの2つの交換設備間および同一交換設備の2つの直結ユーザ端末間を含む;
ノード間が、前記共有キー交換ルーティング探索に基づき、ノード間の交換ルーティング情報を獲得するステップ2)と;
ノード間が、前記交換ルーティング情報に基づき、ノード間のデータ通信タイプを判断するステップ3)と;
ノード間が、異なるデータ通信タイプに基づき、異なる秘密保持通信戦略を採用しノード間秘密保持通信を実行するステップ4)と
を含むことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項2】
前記ステップ1)は、
隣接ノード間に共有キーを確立するステップ1.1)と、
ここで、確立する隣接ノード間の共有キーがユニキャストキーUSK(Unicast Session Key)と呼ばれ;
ローカルエリアネットワークにおけるいずれかの2つの交換設備間に共有キーを確立するステップ1.2)と、
ここで、確立する交換設備間の共有キーが交換キーSWkey(SWitch key)と呼ばれ;
ローカル戦略の選択に基づき、同一交換設備の2つの直結ユーザ端末間に共有キーを確立するステップ1.3)と、
ここで、確立する同一交換設備の2つの直結ユーザ端末間の共有キーがステーション間キーSTAkey(STAtion key)と呼ばれる
を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項3】
送信元ノードNSourceから対象ノードNDestinationまでのノード間交換ルーティング情報を識別子四タプルと定義し、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを受信したが交換ルーティング情報の識別子四タプルに現れていない交換設備を中間交換設備と呼ばれる、線ローカルエリアネットワークノード間の秘密保持通信方法であって、
前記ステップ2)は、
送信元ノードNSourceが対象ノードNDestinationへ交換ルーティング探索パケットを送信するステップ2.1)と、
ここで、前記パケットは主にIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含み、
IDSourceは、送信元ノードNSourceの識別子を示し、
IDSW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する第1交換設備SW−firstの識別子を示す、もし送信元ノードNSourceを交換設備とすれば、IDSW−firstはIDSourceであり、もし送信元ノードNSourceを端末ユーザとすれば、IDSW−firstは送信元ノードNSourceの直結交換設備の識別子であり、
IDSW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットが経由する最終交換設備SW−lastの識別子を示し、交換ルーティング探索パケットにおいては、当該フィールドは未知であり、
IDDestinationは、対象ノードNDestinationの識別子を示し;
対象ノードNDestinationが、送信元ノードNSourceへ交換ルーティング応答パケットを送信するステップ2.2)と;。
各ノードが、交換ルーティング応答パケットを受信するステップ2.3)と
を含むことを特徴とする請求項1に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項4】
対象ノードNDestinationがノードNSourceから送信した交換ルーティング探索パケットを受信した後に実行する前記ステップ2.2)は、
送信元ノードNSourceから送信したデータパケットが経由する最終交換設備SW−lastの情報を判断し、もし対象ノードNDestinationを交換設備とすれば、IDSW−lastはIDDestinationであり、もし対象ノードNDestinationを端末ユーザとすれば、IDSW−lastは端末ユーザの直結交換設備の識別子であるステップ2.2.1)と;
識別子四タプルを記録し、ここで、IDSource、IDSW−firstおよびIDDestinationの受信した交換ルーティング探索パケットにおける各フィールドの値が同一であり、この時、四タプルの全フィールド値は明確となるステップ2.2.2)と、
ここで、前記識別子四タプルはIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
全フィールド値がすでに明確となった、IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む識別子四タプルを含む交換ルーティング応答パケットを構成し、送信元ノードNSourceへ送信するステップ2.2.3)と
を含むことを特徴とする請求項3に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項5】
各ノードが対象ノードNDestinationから送信した交換ルーティング探索応答パケットを受信後に実行する前記ステップ2.3)は、
交換設備が交換ルーティング応答パケットを受信後に、もし自身の識別子が当該パケットにおける識別子四タプルにあれば、識別子四タプルを記録して再転送し、もし自身の識別子が当該パケットにおける四タプルになければ、前記パケットを直接転送するステップ2.3.1)と、
ここで、識別子四タプルは前記IDSource、IDSW−first、IDSW−lastおよびIDDestinationを含み;
送信元ノードNSourceは交換ルーティング応答パケットを受信した後に、IDSource、IDSW−first、IDSW−lastおよびIDDestination識別子を含む四タプルを記録し、今回の交換ルーティング探索を終了するステップ2.3.2)と
を含むことを特徴とする請求項4に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項6】
送信元ノードNSourceから対象ノードNDestinationまでのデータ通信タイプは獲得した、IDSource、IDSW−first、IDSW−lastおよびIDDestinationをふくむ交換ルーティング情報の識別子四タプルに基づいて、判断する前記ステップ3)であって、
前記ステップ3)は、
IDSW−first=IDSourceが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceが交換設備であり、ステップ3.2)を実行し、もし成立しなければ、送信元ノードNSourceがユーザ端末であり、ステップ3.4)を実行するステップ3.1)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から交換設備までの通信であり、交換設備から交換設備までの通信タイプに属し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.3)を実行するステップ3.2)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から直結ユーザ端末までの通信であり、交換設備から直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータは2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信が交換設備から非直結ユーザ端末までの通信であり、交換設備から非直結ユーザ端末までの通信タイプに属すると判断するステップ3.3)と、
IDSW−last=IDDestinationが成立するかどうかを判断し、もし成立すれば、対象ノードNDestinationが交換設備であり、ステップ3.5)を実行し、もし成立しなければ、対象ノードNDestinationがユーザ端末であり、ステップ3.6)を実行するステップ3.4)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から直結交換設備までの通信タイプ属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から非直結交換設備までの通信であり、ユーザ端末から非直結交換設備までの通信タイプに属すると判断するステップ3.5)と、
IDSW−last=IDSW−firstが成立するかどうかを判断し、もし成立すれば、送信元ノードNSourceから対象ノードNDestinationまでのデータ交換設備を1つだけ経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から同一交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信タイプに属すると判断し、もし成立しなければ、送信元ノードNSourceから対象ノードNDestinationまでのデータが2つ以上の交換設備を経由し、送信元ノードNSourceから対象ノードNDestinationまでのデータ通信がユーザ端末から異なる交換設備の他の直結ユーザ端末までの通信であり、ユーザ端末から異なる交換設備の直結ユーザ端末までの通信タイプに属すると判断するステップ3.6)と
を含むことを特徴とする請求項5に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項7】
データ通信タイプが交換設備から交換設備までのデータ通信タイプである場合,ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化するステップ4.1.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstであり、前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備が、交換設備から交換設備までの通信と分類するデータパケットを受信して直接に転送するステップ4.1.2)と;
対象ノードNDestinationが、送信元ノードNSource間との交換キーを使用してデータパケットを復号するステップ4.1.3)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間秘密保持通信方法。
【請求項8】
データ通信タイプが交換設備から直結ユーザ端末までの通信である場合、ノード間の秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.2.1)と、
ここで、前記送信元ノードNSourceが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastであり、前記ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.2.2)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項9】
データ通信タイプが交換設備から非直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceは、最終交換設備SW−last間との交換キーを使用しデータパケットを暗号化するステップ4.3.1)と、
ここで、前記送信元ノードNSourceが交換設備或いは第1交換設備SW−firstである;
もし中間交換設備が存在すれば、中間交換設備が交換設備から非直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.3.2)と;
最終交換設備SW−lastが、送信元ノードNSourceの交換キーデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.3.3)と、
ここで、前記対象ノードNDestinationがユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.3.4)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項10】
データ通信タイプがユーザ端末から直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceが、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.4.1)と、
ここで、前記送信元ノードNSourceがユーザ端末であり、前記対象ノードNDestinationが交換設備、第1交換設備SW−first或いは最終交換設備SW−lastである;
対象ノードNDestinationが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号するステップ4.4.2)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項11】
データ通信タイプがユーザ端末から非直結交換設備までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.5.1)と、
前記送信元ノードNSourceがユーザ端末である;
第1交換設備SW−firstは、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、対象ノードNDestination間との交換キーを使用してデータパケットを暗号化して転送するステップ4.5.2)と、
前記対象ノードNDestinationが交換設備或いは最終交換設備SW−lastである;
もし中間交換設備が存在すれば、中間交換設備はユーザ端末から非直結交換設備までと分類する通信のデータパケットを直接に転送するステップ4.5.3)と、
対象ノードNDestinationが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号するステップ4.5.4)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項12】
データ通信タイプがユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、4.6.1)の戦略と4.6.2)の戦略を有し、
ここで、
4.6.1)ステーション間キーがすでに確立された、ユーザ端末から同一交換設備の他の直結ユーザ端末までのデータ通信タイプと分類する通信に採用する秘密保持通信戦略は、
送信元ノードNSourceが、ユーザ端末である対象ノードNDestination間とのステーションキーデータパケットを使用するステップ4.6.1.1)と;
第1交換設備SW−firstのが、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類するデータパケットを直接に転送するステップ4.6.1.2)と、
ここで、前記第1交換設備SW−firstは、同時に最終交換設備SW−lastでもある;
対象ノードNDestinationと、送信元ノードNSource間とのステーション間キーを使用してデータパケットを復号するステップ4.6.1.3)と
をふくみ;
また、4.6.2)ステーション間キーが確立されていない、ユーザ端末から同一交換設備の他の直結ユーザ端末までの通信と分類する通信に採用される秘密保持通信は、
送信元ノードNSourceが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.1)と;
第1交換設備SW−first交換設備が、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、さらに対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.6.2.2)と、
ここで、前記第1交換設備SW−firstは同時に最終交換設備SW−lastでもある;
対象ノードNDestinationが、直結交換設備間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.6.2.3)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項13】
データ通信タイプがユーザ端末から異なる交換設備の直結ユーザ端末までのデータ通信タイプである場合、ノード間秘密保持通信戦略は、
ユーザ端末である送信元ノードNSourceが、第1交換設備SW−first間とのユニキャストキーを使用してデータパケットを暗号化するステップ4.7.1)と;
第1交換設備SW−firstが、送信元ノードNSource間とのユニキャストキーを使用してデータパケットを復号し、そして、最終交換設備SW−last間との交換キーを使用してデータパケットを暗号化して再転送するステップ4.7.2)と;
もし中間交換設備が存在すれば、中間交換設備がユーザ端末から異なる交換設備の直結ユーザ端末までの通信と分類する通信のデータパケットを直接に転送するステップ4.7.3)と;
最終交換設備SW−lastが、第1交換設備SW−first間との交換キーを使用してデータパケットを復号し、そして、対象ノードNDestination間とのユニキャストキーを使用してデータパケットを暗号化して転送するステップ4.7.4)と、
ここで、前記対象ノードNDestinationはユーザ端末である;
対象ノードNDestinationが、最終交換設備SW−last間とのユニキャストキーを使用してデータパケットを復号するステップ4.7.5)と
を含むことを特徴とする請求項6に記載の有線ローカルエリアネットワークノード間の秘密保持通信方法。
【請求項14】
送信元ノードNSource、第1交換設備SW−first、第2交換設備SW−lastと対象ノードNDestinationを有する有線ローカルエリアネットワークノード間の秘密保持通信システムであって、
送信元ノードNSourceは、対象ノードNDestinationへ交換ルーティング探索パケットを送信し、データパケットを暗号化し、対象ノードNDestinationから送信された交換ルーティング探索応答パケットを受信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第1交換設備SW−firstは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
第2交換設備SW−lastは、送信元ノードNSourceから対象ノードNDestinationまでのデータパケットを転送し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
対象ノードNDestinationは、送信元ノードNSourceから送信された交換ルーティング探索パケットを受信し、データパケットを暗号化し、送信元ノードNSourceへ交換ルーティング探索応答パケットを送信し、さらに送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報を記録し、
また、前記送信元ノードNSourceから対象ノードNDestinationまでの交換ルーティング情報はIDSource、IDSW−first、IDSW−lastおよびIDDestinationを含む
ことを特徴とする有線ローカルエリアネットワークノード間の秘密保持通信システム。
【請求項15】
送信元ノードNSourceから対象ノードNDestinationまでの全部のデータパケットを直接トランスペアレント伝送する、中間交換設備をさらに有することを特徴とする請求項14に記載の有線ローカルエリアネットワークノード間の秘密保持通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6−a】
【図6−b】
【図7】
【図8】
【図9】
【図10】
【図11−a】
【図11−b】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6−a】
【図6−b】
【図7】
【図8】
【図9】
【図10】
【図11−a】
【図11−b】
【図12】
【公表番号】特表2013−514682(P2013−514682A)
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2012−543453(P2012−543453)
【出願日】平成22年6月2日(2010.6.2)
【国際出願番号】PCT/CN2010/073454
【国際公開番号】WO2011/072514
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 (19)
【氏名又は名称原語表記】CHINA IWNCOMM CO., LTD.
【Fターム(参考)】
【公表日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成22年6月2日(2010.6.2)
【国際出願番号】PCT/CN2010/073454
【国際公開番号】WO2011/072514
【国際公開日】平成23年6月23日(2011.6.23)
【出願人】(505164405)西安西▲電▼捷通▲無▼綫▲網▼絡通信股▲分▼有限公司 (19)
【氏名又は名称原語表記】CHINA IWNCOMM CO., LTD.
【Fターム(参考)】
[ Back to top ]