[go: up one dir, main page]

JP2011135259A - Encryption system, communication equipment, encryption method, and encryption program - Google Patents

Encryption system, communication equipment, encryption method, and encryption program Download PDF

Info

Publication number
JP2011135259A
JP2011135259A JP2009291975A JP2009291975A JP2011135259A JP 2011135259 A JP2011135259 A JP 2011135259A JP 2009291975 A JP2009291975 A JP 2009291975A JP 2009291975 A JP2009291975 A JP 2009291975A JP 2011135259 A JP2011135259 A JP 2011135259A
Authority
JP
Japan
Prior art keywords
cfm
pdu
encryption
cfm pdu
carrier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009291975A
Other languages
Japanese (ja)
Inventor
Yohei Go
洋平 郷
Makoto Kadowaki
眞 門脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
NEC Magnus Communications Ltd
Original Assignee
NEC Magnus Communications Ltd
NEC AccessTechnica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Magnus Communications Ltd, NEC AccessTechnica Ltd filed Critical NEC Magnus Communications Ltd
Priority to JP2009291975A priority Critical patent/JP2011135259A/en
Publication of JP2011135259A publication Critical patent/JP2011135259A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an encryption system for preventing a CFM PDU from being intercepted or monitored by another apparatus not to be managed, etc. <P>SOLUTION: The encryption system includes communication equipment 10 having a function of managing the CFM PDU. The communication equipment 10 includes; an encrypting means 11 for encrypting a prescribed part of the CFM PDU when the CFM PDU is transmitted; and a decoding means 12 for decoding a prescribed part of the received CFM PDU when the CFM PDU is received. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、通信ネットワークで送受信されるデータを暗号化する暗号化システム、暗号化方法及び暗号化プログラムに関する。また、本発明は、暗号化システムが備える通信装置に関する。   The present invention relates to an encryption system, an encryption method, and an encryption program for encrypting data transmitted and received in a communication network. The present invention also relates to a communication device provided in the encryption system.

一般的に、IEEE Std 802.1ag−2007で規定される Connectivity Fault Management(以下CFMと呼ぶ)による障害管理では、CFM Protocol Data Unit(以下CFM PDUと呼ぶ)を平文で扱う。   In general, in fault management based on connectivity fault management (hereinafter referred to as CFM) defined in IEEE Std 802.1ag-2007, CFM Protocol Data Unit (hereinafter referred to as CFM PDU) is handled in plain text.

また、例えば、関連する技術として、特許文献1や特許文献2には、送受信するデータを暗号化する方式が記載されている。   Further, for example, as related technologies, Patent Documents 1 and 2 describe a method of encrypting data to be transmitted and received.

特開2007−89028号公報JP 2007-89028 A 特開2003−198532号公報JP 2003-198532 A

しかし、平文のCFM PDUでは管理するネットワークの状態が容易に分かるため、他のキャリアから回線を借用する時などには、競合相手に回線の状態を知られる可能性がある。   However, since the state of the network to be managed is easily understood in the plaintext CFM PDU, there is a possibility that the state of the line is known to the competitor when the line is borrowed from another carrier.

以下、図1に示すキャリア2がキャリア1のネットワークを利用してネットワークを構築する例を用いて課題について説明する。図1に示す例では、キャリア2の全てのフレームは、キャリア1のブリッジネットワークを通過する。具体的には、キャリア2ブリッジ12aが、生成したCFM PDUをキャリア2ブリッジ15aに送信する場合を想定する。この場合、キャリア2ブリッジ12aが送信したCFM PDUは、キャリア1ブリッジ13a及びキャリア1ブリッジ14aを介して、目的のキャリア2ブリッジ15aに到達する。そのため、キャリア1ブリッジ13a及びキャリア1ブリッジ14aは、キャリア2ブリッジ12aが送信したCFM PDUを傍受可能となる。つまり、キャリア1の関係者は、キャリア2が送信したCFM PDUから、経路111又は経路112にて、キャリア2のネットワーク障害状態を知り得ることとなる。   Hereinafter, the problem will be described using an example in which the carrier 2 illustrated in FIG. 1 constructs a network using the network of the carrier 1. In the example shown in FIG. 1, all frames of carrier 2 pass through the bridge network of carrier 1. Specifically, it is assumed that the carrier 2 bridge 12a transmits the generated CFM PDU to the carrier 2 bridge 15a. In this case, the CFM PDU transmitted by the carrier 2 bridge 12a reaches the target carrier 2 bridge 15a via the carrier 1 bridge 13a and the carrier 1 bridge 14a. Therefore, the carrier 1 bridge 13a and the carrier 1 bridge 14a can intercept the CFM PDU transmitted by the carrier 2 bridge 12a. That is, the carrier 1 can know the network failure state of the carrier 2 from the CFM PDU transmitted by the carrier 2 via the route 111 or the route 112.

IEEE Std 802.1ag−2007又はITU−T Y.1731上では、このような場合には、キャリア1ブリッジはCFMを透過するように規定されている。しかし、キャリア1ブリッジは、容易にCFMを傍受することができる。そのため、キャリア2ネットワークにとって、キャリア1関係者にキャリア2ネットワークの運用情報を知られてしまうことが課題である。   IEEE Std 802.1ag-2007 or ITU-TY. On 1731, in such a case, the carrier 1 bridge is defined to pass through the CFM. However, the carrier 1 bridge can easily intercept the CFM. Therefore, it is a problem for the carrier 2 network that the operation information of the carrier 2 network is known to the carrier 1 related parties.

以上の理由により、送信したCFM PDUがCFMの管理対象外の機器からも監視可能であるという課題がある。   For the above reasons, there is a problem that the transmitted CFM PDU can be monitored from a device that is not managed by CFM.

また、特許文献1や特許文献2に記載された方式では、SFD以降のフィールドを暗号化しているため、暗号装置の間にEthernet(登録商標)機器が存在するケースでは、暗号化されたフレームをEthernetフレームと認識できずに廃棄されるケースが考えられる。そのため、暗号装置間同士で対向するケースにおいては適用可能であるが、上記のように装置間に他の装置が設置されるネットワークの構成においては適用することができない。   In the methods described in Patent Document 1 and Patent Document 2, the fields after SFD are encrypted. Therefore, in the case where an Ethernet (registered trademark) device exists between encryption devices, an encrypted frame is not stored. There may be a case where the frame is discarded without being recognized as an Ethernet frame. Therefore, although it can be applied in the case where the cryptographic devices face each other, it cannot be applied in a network configuration in which other devices are installed between the devices as described above.

そこで、本発明は、CFM PDUが傍受又は監視されることを防ぐことができる暗号化システム暗号化方法及び暗号化用プログラムを提供することを目的とする。また、本発明は、暗号化システムが備える通信装置を提供することを目的とする。   Accordingly, an object of the present invention is to provide an encryption system encryption method and an encryption program that can prevent CFM PDUs from being intercepted or monitored. Moreover, an object of this invention is to provide the communication apparatus with which an encryption system is provided.

本発明による暗号化システムは、CFM PDUの管理機能を有する通信装置を備え、通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを含むことを特徴とする。   An encryption system according to the present invention includes a communication device having a CFM PDU management function, and the communication device includes an encryption unit for encrypting a predetermined part of the CFM PDU, and the CFM PDU when transmitting the CFM PDU. And decoding means for decoding a predetermined part of the received CFM PDU when received.

本発明による通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを備えたことを特徴とする。   When transmitting a CFM PDU, the communication apparatus according to the present invention encrypts a predetermined part of the CFM PDU and, when receiving the CFM PDU, decrypts the predetermined part of the received CFM PDU. And a means for converting.

本発明による暗号化方法は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化し、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化することを特徴とする。   The encryption method according to the present invention is characterized in that when a CFM PDU is transmitted, a predetermined part of the CFM PDU is encrypted, and when the CFM PDU is received, the predetermined part of the received CFM PDU is decrypted. .

本発明による暗号化プログラムは、CFM PDUの管理機能を有するコンピュータに、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化処理と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化処理とを実行させることを特徴とする。   An encryption program according to the present invention receives an encryption process for encrypting a predetermined part of a CFM PDU and a CFM PDU when it is transmitted to a computer having a CFM PDU management function when transmitting the CFM PDU. And a decoding process for decoding a predetermined part of the CFM PDU.

本発明によれば、CFM PDUが傍受又は監視されることを防ぐことができる。   According to the present invention, CFM PDU can be prevented from being intercepted or monitored.

キャリア2がキャリア1のネットワークを利用してネットワークを構築する例を示す説明図である。It is explanatory drawing which shows the example which the carrier 2 constructs | assembles a network using the network of the carrier 1. FIG. 本発明による暗号化方法を適用した装置の構成の一例を示すブロック図である。It is a block diagram which shows an example of a structure of the apparatus to which the encryption method by this invention is applied. 第1の実施形態における暗号化システムの構成例を示す説明図である。It is explanatory drawing which shows the structural example of the encryption system in 1st Embodiment. 通信装置がActive SAP側からデータフレームを受信する時の動作例を示すフローチャートである。It is a flowchart which shows the operation example when a communication apparatus receives a data frame from the Active SAP side. 通信装置がActive SAP側へデータフレームを送信する時の動作例を示すフローチャートである。It is a flowchart which shows the operation example when a communication apparatus transmits a data frame to the Active SAP side. 通信装置が生成して送信するCFM PDUのフレームフォーマットの一例を示す説明図である。It is explanatory drawing which shows an example of the frame format of CFM PDU which a communication apparatus produces | generates and transmits. 第2の実施形態における暗号化システムの構成例を示す説明図である。It is explanatory drawing which shows the structural example of the encryption system in 2nd Embodiment. 暗号化システムの最小の構成例を示すブロック図である。It is a block diagram which shows the minimum structural example of an encryption system.

実施形態1.
以下、本発明の実施形態について図面を参照して説明する。図2は、本発明による暗号化方法を適用した通信装置の構成の一例を示すブロック図である。図2に示すように、暗号化方法を適用した通信装置(以下、装置2a)は、Passive SAP部21aと、Active SAP部22aと、CFM PDU多重部23aと、CFM PDU暗号化部24aと、CFM PDU制御部25aと、CFM PDU復号部26aと、CFM PDU分離多重部27aと、暗号鍵格納部28aと、CFM設定格納部29aとを含む。装置2aは、具体的には、プログラムに従って動作するスイッチングハブ等のネットワーク装置によって実現される。 Embodiment 1. FIG.
Embodiments of the present invention will be described below with reference to the drawings. FIG. 2 is a block diagram showing an example of the configuration of a communication apparatus to which the encryption method according to the present invention is applied. As shown in FIG. 2, a communication apparatus (hereinafter, apparatus 2a) to which an encryption method is applied includes a Passive SAP unit 21a, an Active SAP unit 22a, a CFM PDU multiplexing unit 23a, a CFM PDU encryption unit 24a, A CFM PDU control unit 25a, a CFM PDU decryption unit 26a, a CFM PDU demultiplexing unit 27a, an encryption key storage unit 28a, and a CFM setting storage unit 29a are included. The device 2a is specifically realized by a network device such as a switching hub that operates according to a program.

Passive SAP部21aは、具体的には、プログラムに従って動作するネットワーク装置のネットワークインタフェース部によって実現される。Passive SAP部21aは、データフレーム及び装置2aの管理対象外のCFM PDU(処理されないCFM PDU)を通過させる機能を備えている。   Specifically, the Passive SAP unit 21a is realized by a network interface unit of a network device that operates according to a program. The Passive SAP unit 21a has a function of passing data frames and CFM PDUs that are not managed by the apparatus 2a (unprocessed CFM PDUs).

Active SAP部22aは、具体的には、プログラムに従って動作するネットワーク装置のネットワークインタフェース部によって実現される。Active SAP部22aは、装置2aで生成または処理したCFM PDUを、やり取りする機能を備えている。   Specifically, the Active SAP unit 22a is realized by a network interface unit of a network device that operates according to a program. The Active SAP unit 22a has a function of exchanging CFM PDUs generated or processed by the device 2a.

CFM PDU多重部23aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU多重部23aは、Passive SAP部21aが受信したデータフレームに装置2aで生成したCFM PDUを多重する機能を備えている。   Specifically, the CFM PDU multiplexing unit 23a is realized by a CPU of a network device that operates according to a program. The CFM PDU multiplexing unit 23a has a function of multiplexing the CFM PDU generated by the device 2a on the data frame received by the Passive SAP unit 21a.

CFM PDU暗号化部24aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU暗号化部24aは、暗号鍵格納部28aが格納する暗号鍵を用いて、装置2aで生成したCFM PDUを暗号化する機能を備えている。CFM PDU暗号化部24aは、暗号化方式として、例えば、AES(Advanced Encryption Standard)を用いて、CFM PDUを暗号化する。   Specifically, the CFM PDU encryption unit 24a is realized by a CPU of a network device that operates according to a program. The CFM PDU encryption unit 24a has a function of encrypting the CFM PDU generated by the device 2a using the encryption key stored in the encryption key storage unit 28a. The CFM PDU encryption unit 24a encrypts the CFM PDU using, for example, AES (Advanced Encryption Standard) as an encryption method.

CFM PDU制御部25aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU制御部25aは、受信したCFM PDUを処理する機能を備えている。また、CFM PDU制御部25aは、送信するCFM PDUを生成する機能を備えている。また、CFM PDU制御部25aは、CFM設定格納部29aが格納するCFMの設定データの読み書きをする機能を備えている。   Specifically, the CFM PDU control unit 25a is realized by a CPU of a network device that operates according to a program. The CFM PDU control unit 25a has a function of processing the received CFM PDU. The CFM PDU control unit 25a has a function of generating a CFM PDU to be transmitted. The CFM PDU control unit 25a has a function of reading and writing CFM setting data stored in the CFM setting storage unit 29a.

CFM PDU復号部26aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU復号部26aは、暗号鍵格納部28aが格納する暗号鍵を用いて、Active SAP部22aが受信したCFM PDUを復号化する機能を備えている。   Specifically, the CFM PDU decoding unit 26a is realized by a CPU of a network device that operates according to a program. The CFM PDU decryption unit 26a has a function of decrypting the CFM PDU received by the Active SAP unit 22a using the encryption key stored in the encryption key storage unit 28a.

CFM PDU分離多重部27aは、具体的には、プログラムに従って動作するネットワーク装置のCPUによって実現される。CFM PDU分離多重部27aは、EtherタイプとMaintenance Domain Level(以下MD Levelと呼ぶ)とを確認して、EtherタイプがCFMでMD Levelが装置2aと同じフレームを、CFM PDU復号部26aに出力し、その他のフレームをPassive SAP部21aに分離または廃棄する機能を備えている。   Specifically, the CFM PDU demultiplexing unit 27a is realized by a CPU of a network device that operates according to a program. The CFM PDU demultiplexing unit 27a confirms the Ether type and the Maintenance Domain Level (hereinafter referred to as MD Level), and outputs the same frame as the Ether type CFM and MD Level to the device 2a to the CFM PDU decoding unit 26a. The other SAP frame 21a has a function of separating or discarding the other frames.

暗号鍵格納部28aは、具体的には、磁気ディスク装置や光ディスク装置、メモリ等の記憶装置によって実現される。暗号鍵格納部28aは、CFM PDU暗号化部24aとCFM PDU復号部26aとで用いられる暗号鍵を格納する。   Specifically, the encryption key storage unit 28a is realized by a storage device such as a magnetic disk device, an optical disk device, or a memory. The encryption key storage unit 28a stores encryption keys used by the CFM PDU encryption unit 24a and the CFM PDU decryption unit 26a.

CFM設定格納部29aは、具体的には、磁気ディスク装置や光ディスク装置、メモリ等の記憶装置によって実現される。CFM設定格納部29aは、MD LevelやMaintenance Domain NameなどのCFMの設定データを格納する。   Specifically, the CFM setting storage unit 29a is realized by a storage device such as a magnetic disk device, an optical disk device, or a memory. The CFM setting storage unit 29a stores CFM setting data such as MD Level and Maintenance Domain Name.

本実施形態における装置2aは、図2に示す構成を用いて、Active SAP部22aで受信した自装置の属するMD LevelのCFM PDUを復号化して処理する。また、装置2aは、自装置から送信するCFM PDUを暗号化して、Active SAP部22aから送信する。また、装置2aは、Passive SAP部21aで受信したデータフレームを、Active SAP部22aに透過する。また、装置2aは、Active SAP部22aで受信したデータフレームを、CFM PDUを除き、Passive SAP部21aに透過する。また、装置2aは、Active SAP部22aで受信したCFM PDUを、自装置とMD Levelが同じ場合には復号処理し、自装置よりMD Levelが低い場合には廃棄の処理をし、自装置よりMD Levelが高い場合にはPassive SAP部に透過する。なお、本実施形態では、透過するとの表現を用いるが、具体的には、Active SAP22aで受信したデータフレームをそのままPassive SAP21aから外部に送信すること、又はPassive SAP21aで受信したデータフレームをそのままActive SAP22aから外部に送信することをいう。   The apparatus 2a in the present embodiment uses the configuration shown in FIG. 2 to decode and process the MD Level CFM PDU to which the own apparatus belongs received by the Active SAP unit 22a. Further, the device 2a encrypts the CFM PDU transmitted from the own device and transmits the encrypted CFM PDU from the Active SAP unit 22a. The device 2a transmits the data frame received by the passive SAP unit 21a to the active SAP unit 22a. Also, the device 2a transmits the data frame received by the Active SAP unit 22a to the Passive SAP unit 21a except for the CFM PDU. Further, the device 2a decodes the CFM PDU received by the Active SAP unit 22a when the own device and the MD Level are the same, and performs the discard processing when the MD Level is lower than the own device. When the MD Level is high, the light passes through the Passive SAP unit. In this embodiment, the expression “transparent” is used. Specifically, the data frame received by the Active SAP 22a is directly transmitted from the Passive SAP 21a to the outside, or the data frame received by the Passive SAP 21a is directly transmitted by the Active SAP 22a. Sending to the outside.

上記の処理により、Active SAP部からPassive SAP部方向及びPassive SAP部からActive SAP部方向へのデータフレームへは影響を与えない。また自装置の属するMD LevelのCFM PDUのみ暗号化及び復号化を行うため、ネットワーク上に存在する管理対象外のネットワーク機器は、装置2aが送受信するCFM PDUを解釈不能のため、管理するネットワークの障害状態を傍受することができない。   By the above processing, the data frame from the Active SAP unit to the Passive SAP unit direction and from the Passive SAP unit to the Active SAP unit direction is not affected. In addition, since only MD Level CFM PDUs to which the own device belongs are encrypted and decrypted, network devices that are not managed on the network cannot interpret CFM PDUs transmitted and received by the device 2a. Unable to intercept fault conditions.

次に、上記装置を用いた暗号化システムについて図3を用いて説明する。図3は、第1の実施形態における暗号化システムの構成例を示す説明図である。   Next, an encryption system using the above apparatus will be described with reference to FIG. FIG. 3 is an explanatory diagram illustrating a configuration example of the encryption system according to the first embodiment.

図3に示すように、本実施形態における暗号化システムは、ユーザ機器31aと、キャリア2ブリッジ32aと、キャリア1ブリッジ33aと、キャリア1ブリッジ34aと、キャリア2ブリッジ35aと、ユーザ機器36aとを含む。   As shown in FIG. 3, the encryption system in the present embodiment includes a user equipment 31a, a carrier 2 bridge 32a, a carrier 1 bridge 33a, a carrier 1 bridge 34a, a carrier 2 bridge 35a, and a user equipment 36a. Including.

図3に示す例のうち、本発明による暗号化方法を適用した装置は、図2の構成を備えるキャリア2ブリッジ32a及びキャリア2ブリッジ35aであり、Maintenance association End Point(以下MEPと呼ぶ)として動作する例を示す。また、ユーザ機器31a及びユーザ機器36aは、キャリア2のMD Levelより高いMD Levelが設定されており、MEPとして動作する。また、キャリア1ブリッジ33a及びキャリア1ブリッジ34aは、キャリア2のMD Levelより低いMD Levelが設定されており、MEPとして動作する。   In the example shown in FIG. 3, apparatuses to which the encryption method according to the present invention is applied are a carrier 2 bridge 32a and a carrier 2 bridge 35a having the configuration of FIG. 2, and operate as a maintenance association end point (hereinafter referred to as MEP). An example is shown. In addition, the user device 31a and the user device 36a are set with an MD level higher than the MD level of the carrier 2, and operate as MEPs. In addition, the carrier 1 bridge 33a and the carrier 1 bridge 34a are set with an MD level lower than the MD level of the carrier 2, and operate as MEPs.

本実施形態では、ユーザ機器間(31a−36a間)で双方向通信されるEtherタイプがCFM以外の通常のデータフレームは、キャリア2ブリッジ(32a及び35a)、キャリア1ブリッジ(33a及び34a)では暗号化されず透過される。   In the present embodiment, normal data frames whose Ether type is other than CFM are bidirectionally communicated between user devices (between 31a and 36a) in the carrier 2 bridge (32a and 35a) and the carrier 1 bridge (33a and 34a). Transparent without being encrypted.

ユーザ機器31a及び36aは、ユーザ機器間(31a−36a間)における双方向のCFM PDUを暗号化せずに送受信する。また、キャリア2ブリッジ32a及び35a並びにキャリア1ブリッジ33a及び34aは、そのCFM PDUを暗号せずにIEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。   The user devices 31a and 36a transmit and receive bidirectional CFM PDUs between the user devices (between 31a and 36a) without encryption. Further, the carrier 2 bridges 32a and 35a and the carrier 1 bridges 33a and 34a are not encrypted with the IEEE Std 802.1ag-2007 or ITU-T Y. Process according to 1731.

キャリア2ブリッジ32a及び35aは、キャリア2ブリッジ間(32a−35a間)での双方向のCFM PDUを、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って生成した後、暗号化して送信する。キャリア2ブリッジ32a及び35aは、自装置のMD Levelに属するCFM PDUを受信した場合には、復号化した後IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。また、キャリア1ブリッジ33a及び34aは、上記CFM PDUを受信した場合には、IEEE Std 802.1ag−2007またはITU−T Y.1731に従い処理する(MD Levelを参照して透過させる)。   The carrier 2 bridges 32a and 35a are configured to transfer a bidirectional CFM PDU between the carrier 2 bridges (between 32a and 35a) to IEEE Std 802.1ag-2007 or ITU-T Y. After being generated according to 1731, it is encrypted and transmitted. When receiving the CFM PDU belonging to its own MD Level, the carrier 2 bridges 32a and 35a decode the IEEE Std 802.1ag-2007 or ITU-T Y.Y. Process according to 1731. When the carrier 1 bridges 33a and 34a receive the CFM PDU, the IEEE 1st 802.1ag-2007 or ITU-T Y. Process according to 1731 (Transparent with reference to MD Level).

キャリア1ブリッジ33a及び34aは、キャリア1ブリッジ間(33a−34a間)での双方向のCFM PDUを、暗号化せずに送受信する。   The carrier 1 bridges 33a and 34a transmit and receive bidirectional CFM PDUs between the carrier 1 bridges (between 33a and 34a) without encryption.

次に、本実施形態における暗号化システムの動作について説明する。図4は、通信装置がActive SAP部側からデータフレームを受信する時の動作例を示すフローチャートである。図5は、通信装置がActive SAP部側へデータフレームを送信する時の動作例を示すフローチャートである。図6は、本発明の装置が生成して送信するCFM PDUのフレームフォーマットの一例である。   Next, the operation of the encryption system in this embodiment will be described. FIG. 4 is a flowchart illustrating an operation example when the communication apparatus receives a data frame from the active SAP unit side. FIG. 5 is a flowchart illustrating an operation example when the communication apparatus transmits a data frame to the active SAP unit side. FIG. 6 is an example of a CFM PDU frame format generated and transmitted by the apparatus of the present invention.

まず図2、図4、図6を用いて、本実施形態における通信装置がデータフレームを受信する時の動作を説明する。通信装置にデータフレームが送信されると、Active SAP部22aは、データフレームを受信し(図4ステップS4001)、受信したデータフレームをCFM PDU分離多重部27aに出力する。   First, the operation when the communication apparatus according to this embodiment receives a data frame will be described with reference to FIGS. When the data frame is transmitted to the communication device, Active SAP unit 22a receives the data frame (step S4001 in FIG. 4), and outputs the received data frame to CFM PDU demultiplexing and multiplexing unit 27a.

次いで、CFM 分離多重部27aは、Active SAP部22aが出力したデータフレームのEtherタイプのチェックを行う(ステップS4002)。   Next, the CFM demultiplexing unit 27a checks the Ether type of the data frame output from the Active SAP unit 22a (step S4002).

ステップS4002において、EtherタイプがCFM以外であると判断した場合、CFM 分離多重部27aは、データフレームをPassive SAP部21aに出力する(ステップS4006)。その後Passive SAP部21aは、CFM 分離多重部27aが出力したデータフレームを、外部に送信する。   If it is determined in step S4002 that the Ether type is other than CFM, the CFM demultiplexing unit 27a outputs the data frame to the Passive SAP unit 21a (step S4006). Thereafter, the Passive SAP unit 21a transmits the data frame output from the CFM demultiplexing unit 27a to the outside.

ステップS4002において、EtherタイプがCFMであると判断した場合、CFM 分離多重部27aは、CFMのデータフレームについて、MD Levelのチェックを行う(ステップS4003)。   If it is determined in step S4002 that the Ether type is CFM, the CFM demultiplexing unit 27a performs MD Level check on the CFM data frame (step S4003).

ステップS4003において、自装置より低いMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUを廃棄する処理を行う(ステップS4009)。   If it is determined in step S4003 that the MD level is lower than that of the own apparatus, the CFM demultiplexing unit 27a performs processing for discarding the CFM PDU (step S4009).

ステップS4003において、自装置より高いMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUをPassive SAP部21aに出力する(ステップS4007)。その後Passive SAP部21aは、CFM 分離多重部27aが出力したデータフレームを、外部に送信する。   If it is determined in step S4003 that the MD level is higher than that of the own apparatus, the CFM demultiplexing unit 27a outputs the CFM PDU to the passive SAP unit 21a (step S4007). Thereafter, the Passive SAP unit 21a transmits the data frame output from the CFM demultiplexing unit 27a to the outside.

ステップS4003において、自装置と同じMD Levelであると判断した場合、CFM 分離多重部27aは、CFM PDUをCFM PDU復号部26aに出力する。次いで、CFM PDU復号部26aは、図6に示すCFM PDUのVersionフィールドからEnd TLVまでの箇所を、暗号鍵格納部28aが格納する暗号鍵を用いて復号化する(ステップS4004)。   If it is determined in step S4003 that the MD level is the same as that of the own apparatus, the CFM demultiplexing unit 27a outputs the CFM PDU to the CFM PDU decoding unit 26a. Next, the CFM PDU decryption unit 26a decrypts the portion from the Version field to the End TLV of the CFM PDU shown in FIG. 6 using the encryption key stored in the encryption key storage unit 28a (step S4004).

次いで、CFM PDU復号部26aは、復号化したCFM PDUを、CFM PDU制御部25aに出力する。その後、CFM PDU制御部25aは、IEEE Std 802.1ag−2007またはITU−T Y.1731に従った処理を実行する(ステップS4005)。   Next, the CFM PDU decoding unit 26a outputs the decoded CFM PDU to the CFM PDU control unit 25a. Thereafter, the CFM PDU control unit 25a performs IEEE Std 802.1ag-2007 or ITU-T Y. The process according to 1731 is executed (step S4005).

次に、図2、図5、図6を用いて、本実施形態における通信装置がデータフレームを送信する時の動作を説明する。   Next, the operation when the communication apparatus according to this embodiment transmits a data frame will be described with reference to FIGS. 2, 5, and 6.

まずCFM PDU制御部25aは、IEEE Std 802.1ag−2007またはITU−T Y.1731に従い、CFM PDUを生成する(ステップS5001)。そして、CFM PDU制御部25aは、生成したCFM PDUを、CFM PDU暗号化部24aに出力する。   First, the CFM PDU control unit 25a uses IEEE Std 802.1ag-2007 or ITU-T Y. According to 1731, a CFM PDU is generated (step S5001). Then, the CFM PDU control unit 25a outputs the generated CFM PDU to the CFM PDU encryption unit 24a.

次いで、CFM PDU暗号化部24aは、暗号鍵格納部28aが格納する暗号鍵を用いて、図6に示すCFM PDUのVersionフィールドからEnd TLVまでのCFM PDUを暗号化する(ステップS5002)。そして、CFM PDU暗号化部24aは、暗号化したCFM PDUを、CFM PDU多重部23aに出力する。   Next, the CFM PDU encryption unit 24a encrypts the CFM PDU from the Version field of the CFM PDU shown in FIG. 6 to the End TLV using the encryption key stored in the encryption key storage unit 28a (step S5002). Then, the CFM PDU encryption unit 24a outputs the encrypted CFM PDU to the CFM PDU multiplexing unit 23a.

次いで、CFM PDU多重部23aは、Passive SAP部21aが出力したデータフレームと、CFM PDU暗号化部24aが出力した暗号化したCFM PDUとを、Active SAP部22aに出力する。その後Active SAP部22aは、CFM PDU多重部23aが出力したデータフレームと暗号化したCFM PDUとを、外部に送信する。   Next, the CFM PDU multiplexing unit 23a outputs the data frame output by the Passive SAP unit 21a and the encrypted CFM PDU output by the CFM PDU encryption unit 24a to the Active SAP unit 22a. Thereafter, the Active SAP unit 22a transmits the data frame output from the CFM PDU multiplexing unit 23a and the encrypted CFM PDU to the outside.

以上のように、本実施形態では、CFMの管理対象外の機器にCFM PDUを傍受されることを防ぐために、CFM PDUの暗号化を用いた。これにより以下の効果が得られる。   As described above, in this embodiment, CFM PDU encryption is used in order to prevent a CFM PDU from being intercepted by a device not managed by CFM. As a result, the following effects can be obtained.

(1)CFMの管理機器同士は、暗号鍵を保持しており、暗号化及び復号化を行うため、管理対象外の機器からの傍受を防ぐことができる。   (1) Since CFM management devices hold encryption keys and perform encryption and decryption, interception from devices that are not managed can be prevented.

(2)暗号化するフレームがCFM PDUだけであり、CFM以外のデータフレームを暗号化しないため、暗号化方法を適用した通信装置の間に設置されたネットワーク機器が暗号化、復号化機能を具備する必要がない。   (2) Since the frame to be encrypted is only CFM PDU and data frames other than CFM are not encrypted, network devices installed between communication apparatuses to which the encryption method is applied have encryption and decryption functions. There is no need to do.

(3)CFM PDUの暗号箇所をVersionフィールドからEnd TLVまでとするため、暗号化方法を適用した通信装置の間に設置された本装置より低いMD Levelを設定された機器によって、本装置が送受信するCFM PDUを廃棄されることがない。   (3) In order to change the encryption part of the CFM PDU from the Version field to the End TLV, this device transmits / receives by means of a device set with a lower MD Level than this device installed between communication devices to which the encryption method is applied. CFM PDUs to be discarded are not discarded.

実施形態2.
次に、本発明による暗号化システムの第2の実施形態について説明する。図7は、第2の実施形態における暗号化システムの構成例を示す説明図である。 Embodiment 2. FIG.
Next, a second embodiment of the encryption system according to the present invention will be described. FIG. 7 is an explanatory diagram illustrating a configuration example of the encryption system according to the second embodiment.

図7に示すように、本実施形態における暗号化システムは、ユーザ機器31aと、キャリア2ブリッジ32aと、キャリア1ブリッジ33aと、キャリア1ブリッジ34aと、キャリア2ブリッジ35aと、キャリア2ブリッジ36aと、ユーザ機器37aとを含む。   As shown in FIG. 7, the encryption system in this embodiment includes a user equipment 31a, a carrier 2 bridge 32a, a carrier 1 bridge 33a, a carrier 1 bridge 34a, a carrier 2 bridge 35a, and a carrier 2 bridge 36a. And user equipment 37a.

本実施形態では、図2と同様の構成を備えるキャリア2ブリッジ35aがMaintenance domain Intermediate Point(以下MIPと呼ぶ)として動作する例を示す。また、キャリア2ブリッジ32a及びキャリア2ブリッジ36aは、MEPとして動作する。また、キャリア2ブリッジ32a、35a、36aは、同一のMD Levelである。   In the present embodiment, an example is shown in which a carrier 2 bridge 35a having the same configuration as that in FIG. 2 operates as a maintenance domain intermediate point (hereinafter referred to as MIP). The carrier 2 bridge 32a and the carrier 2 bridge 36a operate as MEPs. The carrier 2 bridges 32a, 35a, and 36a are the same MD Level.

ユーザ機器31a及びユーザ機器36aは、キャリア2MD Levelより高いMD Levelが設定されており、MEPとして動作する。また、キャリア1ブリッジ33a及びキャリア1ブリッジ34aは、キャリア2MD Levelより低いMD Levelが設定されており、MEPとして動作する。   The user equipment 31a and the user equipment 36a are set with an MD Level higher than the carrier 2MD Level, and operate as MEPs. Further, the carrier 1 bridge 33a and the carrier 1 bridge 34a are set with an MD level lower than the carrier 2MD level, and operate as MEPs.

キャリア2ブリッジ35aは、自装置のMD Levelに属するCFM PDUを受信した場合には、復号化した後IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。   When receiving the CFM PDU belonging to the MD Level of the own device, the carrier 2 bridge 35a decodes the IEEE Std 802.1ag-2007 or ITU-T Y.Y. Process according to 1731.

キャリア2ブリッジ35aは、CFM PDUを送信する場合には、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って生成した後、暗号化して送信する。   When transmitting the CFM PDU, the carrier 2 bridge 35a may use IEEE Std 802.1ag-2007 or ITU-T Y. After being generated according to 1731, it is encrypted and transmitted.

以下、キャリア2ブリッジ35aがMIPとして動作する場合に、キャリア2ブリッジ32aが、キャリア2ブリッジ36aにCFM PDUを送信する場合の2つの例を挙げる。   Hereinafter, two examples will be given in the case where the carrier 2 bridge 32a transmits a CFM PDU to the carrier 2 bridge 36a when the carrier 2 bridge 35a operates as MIP.

(1)自装置と同じMD LevelであるCFM PDUをキャリア2ブリッジ32aから受信(図7に示す経路311)した場合、キャリア2ブリッジ35aは、CFM PDUを復号化し、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。その後、キャリア2ブリッジ35aは、再びCFM PDUを暗号化し、キャリア2ブリッジ36aに転送(経路312)する。また、キャリア2ブリッジ35aは、送信元に折り返すためのCFM PDUを生成して暗号化し、送信元のキャリア2ブリッジ32aに送信(経路313)する。   (1) When a CFM PDU that is the same MD Level as that of its own device is received from the carrier 2 bridge 32a (path 311 shown in FIG. 7), the carrier 2 bridge 35a decodes the CFM PDU, and IEEE Std 802.1ag-2007 Or ITU-TY. Process according to 1731. After that, the carrier 2 bridge 35a encrypts the CFM PDU again and transfers it to the carrier 2 bridge 36a (path 312). The carrier 2 bridge 35a generates and encrypts a CFM PDU to be returned to the transmission source, and transmits the encrypted CFM PDU to the transmission source carrier 2 bridge 32a (path 313).

(2)自装置と同じMD LevelであるCFM PDUをキャリア2ブリッジ32aから受信(経路314)した場合、キャリア2ブリッジ35aは、CFM PDUを復号化し、IEEE Std 802.1ag−2007またはITU−T Y.1731に従って処理する。その後、キャリア2ブリッジ35aは、再びCFM PDUを暗号化し、キャリア2ブリッジ36aに転送(経路315)する。   (2) When a CFM PDU having the same MD Level as that of its own device is received from the carrier 2 bridge 32a (path 314), the carrier 2 bridge 35a decodes the CFM PDU, and IEEE Std 802.1ag-2007 or ITU-T Y. Process according to 1731. After that, the carrier 2 bridge 35a encrypts the CFM PDU again and transfers it to the carrier 2 bridge 36a (path 315).

以上のように、本実施形態では、CFMの管理対象外の機器にCFM PDUを傍受されることを防ぐために、CFM PDUの暗号化を用いた。これにより以下の効果が得られる。   As described above, in this embodiment, CFM PDU encryption is used in order to prevent a CFM PDU from being intercepted by a device not managed by CFM. As a result, the following effects can be obtained.

(1)CFMの管理機器同士は、暗号鍵を保持しており、暗号化及び復号化を行うため、管理対象外の機器からの傍受を防ぐことができる。   (1) Since CFM management devices hold encryption keys and perform encryption and decryption, interception from devices that are not managed can be prevented.

(2)暗号化するフレームがCFM PDUだけであり、CFM以外のデータフレームを暗号化しないため、暗号化方法を適用した通信装置の間に設置されたネットワーク機器が暗号化、復号化機能を具備する必要がない。   (2) Since the frame to be encrypted is only CFM PDU and data frames other than CFM are not encrypted, network devices installed between communication apparatuses to which the encryption method is applied have encryption and decryption functions. There is no need to do.

(3)CFM PDUの暗号箇所をVersionフィールドからEnd TLVまでとするため、暗号化方法を適用した通信装置の間に設置された本装置より低いMD Levelを設定された機器によって、本装置が送受信するCFM PDUを廃棄されることがない。   (3) In order to change the encryption part of the CFM PDU from the Version field to the End TLV, this device transmits and receives by a device set with a lower MD Level than this device installed between communication devices to which the encryption method is applied. CFM PDUs to be discarded are not discarded.

このように、本発明による暗号化システムは、従来の課題を解決する手段として、特定のCFM PDUを暗号化及び復号化する機能を有する。また、自装置が属するMD Level以外の機器からのCFM PDUの傍受を防ぐために、自装置がCFM PDUを送信する場合は暗号化し、自装置に属するMD Level(管理対象)のCFM PDUを受信した場合は復号化する。これにより、CFM管理対象の機器同士はCFM PDUを解釈できるが、管理対象外の機器は暗号化されているため解釈できず、自装置の属するMD Levelのネットワーク障害状態を知ることができない。また、CFM PDUに対応した機器は、受信したCFM PDUのMD Levelが存在しない場合には、透過させずに廃棄する処理を行う。そのため、本発明による暗号化システムは、CFM PDUを暗号化する箇所をversionフィールドからEnd TLVまでとすることで、廃棄されることを回避している。   As described above, the encryption system according to the present invention has a function of encrypting and decrypting a specific CFM PDU as means for solving the conventional problems. In addition, in order to prevent CFM PDUs from being intercepted by devices other than the MD Level to which the device belongs, the device transmits the CFM PDU when encrypted, and receives the CFM PDU of the MD Level (managed) belonging to the device. If so, decrypt. As a result, the devices managed by CFM can interpret CFM PDUs, but devices that are not managed cannot be interpreted because they are encrypted, and the network failure status of the MD Level to which the device belongs can not be known. In addition, when there is no MD Level of the received CFM PDU, the device corresponding to the CFM PDU performs processing of discarding without transmitting it. For this reason, the encryption system according to the present invention avoids being discarded by setting the portion for encrypting the CFM PDU from the version field to the End TLV.

以上のことから、本発明は、次のような特徴を有しているといえる。本発明は、IEEE Std 802.1ag−2007で規定されるCFMや、ITU−T Y.1731で規定される0AM functions and mechanisms for Ethernet based networksを用いて、管理されるネットワークに対して、CFM PDUのみを暗号化及び復号する機能を機器に持たせることを特徴とする。このことにより、本発明によれば、管理対象外の機器に本発明装置の管理対象のネットワークの状態示したCFM PDUを傍受されずに、監視されないという効果を奏する。また、本発明によれば、暗号化及び復号化の実施を、本発明装置が属するMD LevelのCFM PDUのみに行うため、その他のMD LevelのCFM PDUや通常のデータフレームに対して影響を与えない。   From the above, it can be said that the present invention has the following characteristics. The present invention relates to CFM defined by IEEE Std 802.1ag-2007, ITU-T Y. Using the 0AM functions and mechanisms for Ethernet based networks defined in 1731, the device has a function of encrypting and decrypting only CFM PDUs in a managed network. Thus, according to the present invention, there is an effect that the CFM PDU indicating the state of the network to be managed by the device of the present invention is not intercepted and monitored by a device that is not the management target. In addition, according to the present invention, since encryption and decryption are performed only on the CFM PDU of MD Level to which the apparatus of the present invention belongs, it affects other CFM PDUs of MD Level and normal data frames. Absent.

次に、本発明による暗号化システムの最小構成について説明する。図8は、暗号化システムの最小の構成例を示すブロック図である。図8に示すように、暗号化システムは、最小の構成要素として、通信装置10を備えている。また、通信装置は、暗号化手段11と、復号化手段12とを含む。   Next, the minimum configuration of the encryption system according to the present invention will be described. FIG. 8 is a block diagram illustrating a minimum configuration example of the encryption system. As shown in FIG. 8, the encryption system includes a communication device 10 as a minimum component. In addition, the communication device includes an encryption unit 11 and a decryption unit 12.

図8に示す最小構成の暗号化システムでは、暗号化手段11は、通信装置10からCFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する。そして、復号化手段12は、管理対象のCFM PDUを受信した場合、暗号化手段11が暗号化した部分を復号化する。   In the encryption system with the minimum configuration shown in FIG. 8, the encryption unit 11 encrypts a predetermined part of the CFM PDU when transmitting the CFM PDU from the communication device 10. Then, when receiving the CFM PDU to be managed, the decrypting unit 12 decrypts the portion encrypted by the encrypting unit 11.

従って、最小構成の暗号化システムによれば、CFM PDUが傍受又は監視されることを防ぐことができる。   Therefore, according to the encryption system with the minimum configuration, CFM PDUs can be prevented from being intercepted or monitored.

なお、本実施形態では、以下の(1)〜(5)に示すような暗号化システムの特徴的構成が示されている。   In this embodiment, the characteristic configuration of the encryption system as shown in the following (1) to (5) is shown.

(1)暗号化システムは、CFM PDUの管理機能を有する通信装置(例えば、装置2aによって実現される)を備え、通信装置は、CFM PDUを送信する際に、CFM PDUの所定の部分を暗号化する暗号化手段(例えば、CFM PDU暗号化部24aによって実現される)と、CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段(例えば、CFM PDU復号化部26aによって実現される)とを含むことを特徴とする。   (1) The encryption system includes a communication device (for example, realized by the device 2a) having a CFM PDU management function, and the communication device encrypts a predetermined part of the CFM PDU when transmitting the CFM PDU. Encryption means (for example, realized by the CFM PDU encryption unit 24a), and decryption means for decrypting a predetermined part of the received CFM PDU (for example, CFM PDU decryption) when receiving the CFM PDU Part 26a).

(2)暗号化システムにおいて、暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化するように構成されていてもよい。   (2) In the encryption system, the encryption unit may be configured to encrypt only the CFM PDU among the data frames transmitted by the communication device.

(3)暗号化システムにおいて、暗号化手段は、CFM PDUのVersionフィールドからEnd TLVまで(例えば、図6に示す暗号化部分)を暗号化するように構成されていてもよい。   (3) In the encryption system, the encryption means may be configured to encrypt from the Version field of the CFM PDU to the End TLV (for example, the encrypted part shown in FIG. 6).

(4)暗号化システムにおいて、通信装置で受信したデータフレームが管理対象のCFM PDUであるか否かを判定する判定手段(例えば、CFM PDU分離多重部27aによって実現される)を含み、復号化手段は、判定手段が管理対象のCFM PDUであると判定すると、CFM PDUの暗号部分を復号化するように構成されていてもよい。   (4) The encryption system includes determination means (for example, realized by the CFM PDU demultiplexing unit 27a) for determining whether or not the data frame received by the communication device is a CFM PDU to be managed, and decrypting The means may be configured to decrypt the encrypted portion of the CFM PDU when the determining means determines that it is a CFM PDU to be managed.

(5)暗号化システムにおいて、判定手段は、通信装置で受信したデータフレームが、EtherタイプがCFMであり、かつMD Levelが通信装置のMD Levelと合致する場合に、管理対象のCFM PDUであると判定するように構成されていてもよい。   (5) In the encryption system, the determination unit is a CFM PDU to be managed when the data frame received by the communication device has an Ether type of CFM and the MD Level matches the MD Level of the communication device. It may be configured to determine.

本発明は、Ethernetインタフェースを具備する通信装置に適用可能である。   The present invention can be applied to a communication apparatus having an Ethernet interface.

(付記)コンピュータに、暗号化処理で、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する処理を実行させる暗号化プログラム。 (Supplementary note) An encryption program for causing a computer to execute a process of encrypting only a CFM PDU in a data frame transmitted by a communication device by an encryption process.

10 通信装置
11 暗号化手段
12 復号化手段
21a Passive SAP部
22a Active SAP部
23a CFM PDU多重部
24a CFM PDU暗号化部
25a CFM PDU制御部
26a CFM PDU復号部
27a CFM PDU分離多重部
28a 暗号鍵格納部
29a CFM設定格納部
31a,36a ユーザ機器
32a,35a キャリア2ブリッジ
33a,34a キャリア1ブリッジ DESCRIPTION OF SYMBOLS 10 Communication apparatus 11 Encryption means 12 Decryption means 21a Passive SAP part 22a Active SAP part 23a CFM PDU multiplexing part 24a CFM PDU encryption part 25a CFM PDU control part 26a CFM PDU separation part 27a CFM PDU separation part 27a CFM PDU 28 Unit 29a CFM setting storage unit 31a, 36a User equipment 32a, 35a Carrier 2 bridge 33a, 34a Carrier 1 bridge

Claims (10)

CFM PDUの管理機能を有する通信装置を備え、
前記通信装置は、
CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化手段と、
CFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを
含むことを特徴とする暗号化システム。 A communication device having a CFM PDU management function;
The communication device
An encryption means for encrypting a predetermined part of the CFM PDU when transmitting the CFM PDU;
An encryption system comprising: decrypting means for decrypting a predetermined part of the received CFM PDU when a CFM PDU is received. 暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
請求項1記載の暗号化システム。 The encryption system according to claim 1, wherein the encryption means encrypts only the CFM PDU among the data frames transmitted by the communication device. 暗号化手段は、CFM PDUのVersionフィールドからEnd TLVまでを暗号化する
請求項1又は請求項2記載の暗号化システム。 The encryption system according to claim 1 or 2, wherein the encryption means encrypts from the Version field of the CFM PDU to the End TLV. 通信装置で受信したデータフレームが管理対象のCFM PDUであるか否かを判定する判定手段を含み、
復号化手段は、前記判定手段が管理対象のCFM PDUであると判定すると、該CFM PDUの暗号部分を復号化する
請求項1から請求項3のうちのいずれか1項に記載の暗号化システム。 Determining means for determining whether or not the data frame received by the communication device is a CFM PDU to be managed;
The encryption system according to any one of claims 1 to 3, wherein when the determination unit determines that the determination unit is a CFM PDU to be managed, the decryption unit decrypts an encrypted part of the CFM PDU. . 判定手段は、通信装置で受信したデータフレームが、EtherタイプがCFMであり、かつMD Levelが該通信装置のMD Levelと合致する場合に、管理対象のCFM PDUであると判定する
請求項4記載の暗号化システム。 The determination unit determines that the data frame received by the communication device is a CFM PDU to be managed when the Ether type is CFM and the MD Level matches the MD Level of the communication device. Encryption system. CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化手段と、
管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化手段とを
備えたことを特徴とする通信装置。 An encryption means for encrypting a predetermined part of the CFM PDU when transmitting the CFM PDU;
A communication apparatus comprising: a decoding unit configured to decode a predetermined part of the received CFM PDU when a CFM PDU to be managed is received. 暗号化手段は、通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
請求項6記載の通信装置。 The communication device according to claim 6, wherein the encryption means encrypts only the CFM PDU among the data frames transmitted by the communication device. CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化し、
管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する
ことを特徴とする暗号化方法。 When transmitting a CFM PDU, a predetermined part of the CFM PDU is encrypted,
An encryption method, comprising: decrypting a predetermined part of a received CFM PDU when a CFM PDU to be managed is received. 通信装置が送信するデータフレームのうち、CFM PDUのみを暗号化する
請求項8記載の暗号化方法。 The encryption method according to claim 8, wherein only the CFM PDU is encrypted among the data frames transmitted by the communication device. CFM PDUの管理機能を有するコンピュータに、
CFM PDUを送信する際に、該CFM PDUの所定の部分を暗号化する暗号化処理と、
管理対象のCFM PDUを受信した場合、受信したCFM PDUの所定の部分を復号化する復号化処理とを
実行させるための暗号化プログラム。 To a computer having a CFM PDU management function,
An encryption process for encrypting a predetermined part of the CFM PDU when transmitting the CFM PDU;
An encryption program for executing a decryption process for decrypting a predetermined portion of the received CFM PDU when a CFM PDU to be managed is received.
JP2009291975A 2009-12-24 2009-12-24 Encryption system, communication equipment, encryption method, and encryption program Pending JP2011135259A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009291975A JP2011135259A (en) 2009-12-24 2009-12-24 Encryption system, communication equipment, encryption method, and encryption program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009291975A JP2011135259A (en) 2009-12-24 2009-12-24 Encryption system, communication equipment, encryption method, and encryption program

Publications (1)

Publication Number Publication Date
JP2011135259A true JP2011135259A (en) 2011-07-07

Family

ID=44347537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009291975A Pending JP2011135259A (en) 2009-12-24 2009-12-24 Encryption system, communication equipment, encryption method, and encryption program

Country Status (1)

Country Link
JP (1) JP2011135259A (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008131614A (en) * 2006-11-27 2008-06-05 Kddi Corp Communication device, data structure and program for processing operation and maintenance management frame
JP2008167331A (en) * 2006-12-29 2008-07-17 Kddi Corp Extended maintenance domain level management method, communication apparatus, program, and data structure
JP2008527929A (en) * 2005-01-14 2008-07-24 アルカテル−ルーセント System and method for monitoring end nodes using Ethernet connection fault management (CFM) in an access network
JP2008199555A (en) * 2007-02-16 2008-08-28 Kddi Corp Loop topology detection avoidance method, communication device, management device, and program
JP2009516428A (en) * 2005-11-10 2009-04-16 インターデイジタル テクノロジー コーポレーション Method and system for MIH using OAM protocol
JP2009130474A (en) * 2007-11-21 2009-06-11 Kddi Corp Link failure prediction method, management device, communication device, and program
JP2009239384A (en) * 2008-03-26 2009-10-15 Nec Corp Communication system and communication method
WO2009127931A1 (en) * 2008-04-16 2009-10-22 Telefonaktiebolaget L M Ericsson (Publ) Connectivity fault management traffic indication extension
JP2010130113A (en) * 2008-11-25 2010-06-10 Fujitsu Ltd System and method of network management, manager, and agent

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008527929A (en) * 2005-01-14 2008-07-24 アルカテル−ルーセント System and method for monitoring end nodes using Ethernet connection fault management (CFM) in an access network
JP2009516428A (en) * 2005-11-10 2009-04-16 インターデイジタル テクノロジー コーポレーション Method and system for MIH using OAM protocol
JP2008131614A (en) * 2006-11-27 2008-06-05 Kddi Corp Communication device, data structure and program for processing operation and maintenance management frame
JP2008167331A (en) * 2006-12-29 2008-07-17 Kddi Corp Extended maintenance domain level management method, communication apparatus, program, and data structure
JP2008199555A (en) * 2007-02-16 2008-08-28 Kddi Corp Loop topology detection avoidance method, communication device, management device, and program
JP2009130474A (en) * 2007-11-21 2009-06-11 Kddi Corp Link failure prediction method, management device, communication device, and program
JP2009239384A (en) * 2008-03-26 2009-10-15 Nec Corp Communication system and communication method
WO2009127931A1 (en) * 2008-04-16 2009-10-22 Telefonaktiebolaget L M Ericsson (Publ) Connectivity fault management traffic indication extension
JP2011518512A (en) * 2008-04-16 2011-06-23 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Enhanced traffic indication in connection failure management
JP2010130113A (en) * 2008-11-25 2010-06-10 Fujitsu Ltd System and method of network management, manager, and agent

Similar Documents

Publication Publication Date Title
CN107409139B (en) Single-path coupling device, interrogation device and method for the feedback-free transmission of data
KR101936758B1 (en) Encryption apparatus and method for integrity of information inquiry history
CN110800269A (en) Apparatus and method for unidirectionally transmitting data to a remote application server without reaction
JP6478749B2 (en) Quantum key distribution apparatus, quantum key distribution system, and quantum key distribution method
US11637702B2 (en) Verifiable computation for cross-domain information sharing
CN103209202B (en) For transmitting the method and apparatus of data
US12244576B2 (en) Methods to strengthen cyber-security and privacy in a deterministic internet of things
US11595410B2 (en) Fragmented cross-domain solution
Castellanos et al. Legacy-compliant data authentication for industrial control system traffic
US20130305053A1 (en) Systems, methods, and apparatus to authenticate communications modules
CN104753925A (en) Gateway system and method for encrypting and decoding files
Huang et al. Implementing publish/subscribe pattern for CoAP in fog computing environment
US20210286901A1 (en) Batch Cryptography For Hardware Security Modules
JP6391823B2 (en) RDP data collection apparatus and method
Aquina et al. A critical analysis of deployed use cases for quantum key distribution and comparison with post-quantum cryptography
CN108540501A (en) A kind of method and apparatus of asymmetric cryptosystem
KR102096637B1 (en) Distributed Ledger for logging inquiry time in blockchain
JP2011135259A (en) Encryption system, communication equipment, encryption method, and encryption program
CN110419195A (en) Data management method and system based on proxy re-encryption in IOT lightweight terminal environment
CN108737414A (en) A kind of internet data safe transmission method and its safe transmission device and its implementation
CN209419652U (en) A kind of isolation gap equipment
KR102096639B1 (en) Distributed Ledger for Integrity of Information Retrieval in Block Chain Using UUID
Xu et al. Virtually isolated network: a hybrid network to achieve high level security
JP2020127084A (en) Encryption system and encryption method
TW201424308A (en) Advanced metering infrastructure network system and message broadcasting method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120820

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120918