[发明专利]传送装置和通信网络

说明书

提供传送装置(200)，其具有：多个端口，它们输入输出层2的帧；帧识别部(221)，其识别帧是否被加密；地址过滤部(222)，其决定输出帧的端口；加密需要与否判定部(223)，其具有与帧中包含的目的地信息和优先级信息对应的加密需要与否判定表、以及与帧中包含的目的地信息对应的明文化需要与否判定表，在未被加密的帧的情况下，根据加密需要与否判定表判定该帧的加密需要与否，在被加密的帧的情况下，根据明文化需要与否判定表判定该帧的明文化需要与否；加密明文化处理部(225)，其对判定为需要加密的帧进行加密，对判定为需要明文化的帧进行明文化；以及交换处理部(224)，其将帧输出到端口，由此，能够实现加密通信和明文通信双方。

技术领域

本发明涉及在网络中传送数据的传送装置。

背景技术

以往，作为具有交换集线器等传送装置的层2网络中的加密和认证技术，存在通过IEEE(The Institute of Electrical and Electronics Engineers)802.1AE标准化的MACsec(Media Access Control Security)。在MACsec中，仅假设相邻的传送装置间(逐个链路)的加密通信，针对与要传送的帧(传送帧)的传送目的地有关的信息，除了MAC地址以外全部加密。因此，当在传送路径中夹着MACsec非对应的传送装置时，无法读取被加密的信息，无法取得MAC地址以外的与传送目的地有关的信息，因此，只能进行MAC地址的传送控制，存在无法进行适合于在设定了VLAN的层2网络中设定的VLAN的传送帧的传送这样的问题。

为了解决上述问题，在专利文献1中提出了如下的传送装置：构成为传送帧为除了MAC地址以外还不对识别VLAN(Virtual Local Area Network)的VLAN-ID进行加密的信息，在设定了VLAN的层2网络中，在传送路径的传送装置无法读取被加密的信息的情况下，不仅能够通过MAC地址进行传送控制，还能够通过VLAN-ID进行传送控制。

现有技术文献

专利文献

专利文献1：日本特许第5060081(图3A、图3B)

发明内容

发明要解决的课题

但是，在专利文献1的传送装置中，仅是通过VLAN-ID判断传送帧是否需要加密，虽然能够按照每个VLAN选择加密通信或明文通信中的任意一方，但是，存在无法进行使用VLAN-ID以外的信息的每个传送帧的更加细致的控制这样的问题。

本发明是为了解决上述问题而完成的，其目的在于，实现即使是针对相同VLAN的传送帧也能够根据其属性切换加密通信和明文通信的传送装置。

用于解决课题的手段

为了解决上述课题并实现目的，本发明的传送装置具有：多个端口，它们输入输出层2的帧；帧识别部，其识别由端口接收到的帧是否被加密；地址过滤部，其决定输出帧的端口；加密需要与否判定部，其具有与帧中包含的目的地信息和优先级信息对应的、用于确定帧的加密需要与否的加密需要与否判定表、以及与帧中包含的目的地信息对应的、用于确定明文化需要与否的明文化需要与否判定表，在帧识别部中识别为是未被加密的帧的情况下，根据加密需要与否判定表来判定该帧的加密需要与否，在帧识别部中识别为是被加密的帧的情况下，根据明文化需要与否判定表来判定该帧的明文化需要与否；加密明文化处理部，其对加密需要与否判定部中判定为需要加密的帧进行加密，对判定为需要明文化的帧进行明文化；以及交换处理部，其将判定为不需要加密或不需要明文化的帧以及加密或明文化后的帧输出到地址过滤部中决定的端口。

发明效果

根据本发明的传送装置，具有上述结构，因此，能够根据属于相同VLAN的传送帧的属性以帧单位应用加密通信或明文通信。

附图说明