WO2018142571A1

WO2018142571A1 - 転送装置および通信ネットワーク

Info

Publication number: WO2018142571A1
Application number: PCT/JP2017/003949
Authority: WO
Inventors: 佑介坂上; 礼子井上; 幸子谷口; 竜介川手
Original assignee: 三菱電機株式会社
Priority date: 2017-02-03
Filing date: 2017-02-03
Publication date: 2018-08-09
Also published as: TW201830926A; JPWO2018142571A1; JP6529694B2; US11159495B2; TWI653856B; CN110226312A; US20200127978A1

Abstract

レイヤ２のフレームが入出力される複数のポートと、フレームが暗号化されているか否かを識別するフレーム識別部（２２１）と、フレームが出力されるポートを決定するアドレスフィルタ部（２２２）と、フレームに含まれる宛先情報と優先度情報とに応じた暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否判定表とを備え、暗号化されていないフレームの場合、暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、暗号化されているフレームの場合、平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部（２２３）と、暗号化要と判定されたフレームを暗号化し、平文化要と判定されたフレームを平文化する暗号化平文化処理部（２２５）と、フレームをポートに出力するスイッチング処理部（２２４）と、を備えることで暗号化通信と平文通信の両方を実現することができる転送装置（２００）を提供する。

Description

転送装置および通信ネットワーク

　本発明は、ネットワークにおいてデータを転送する転送装置に関するものである。

　従来、スイッチングハブなどの転送装置を有するレイヤ２ネットワークにおける暗号化および認証技術として、ＩＥＥＥ（The Institute of Electrical and Electronics Engineers）　８０２．１ＡＥにて標準化されたＭＡＣｓｅｃ（Media Access Control Security）がある。ＭＡＣｓｅｃでは、隣り合う転送装置間（リンクバイリンク）の暗号化通信のみが想定され、転送するフレーム（転送フレーム）の転送先に関する情報についてＭＡＣアドレス以外が全て暗号化される。そのため、転送経路にＭＡＣｓｅｃ非対応の転送装置を挟んでしまうと暗号化された情報を読み取れずＭＡＣアドレス以外の転送先に関する情報を取得できないので、ＭＡＣアドレスでの転送制御しか行えなくなり、ＶＬＡＮが設定されたレイヤ２ネットワークにおいて設定されたＶＬＡＮに適した転送フレームの転送ができないという問題がある。

　上述の問題を解決するため特許文献１では、転送フレームがＭＡＣアドレス以外にＶＬＡＮ（Virtual Local Area Network）を識別するＶＬＡＮ－ＩＤを暗号化しない情報とする構成となっており、ＶＬＡＮが設定されたレイヤ２ネットワークにおいて転送経路の転送装置が暗号化された情報を読み取れなくてもＭＡＣアドレスだけでなくＶＬＡＮ－ＩＤにて転送制御を行える転送装置が提案されている。

特許第５０６００８１（図３Ａ、図３Ｂ）

　しかしながら、特許文献１の転送装置では、ＶＬＡＮ－ＩＤにて転送フレームの暗号化要否を判断しているのみであり、ＶＬＡＮごとに暗号化通信あるいは平文通信のいずれかを選択できるものの、ＶＬＡＮ－ＩＤ以外の情報を用いた転送フレーム毎のよりきめ細かい制御ができないという問題があった。

　本発明は上述の問題を解決するためになされたもので、同じＶＬＡＮに対する転送フレームであってもその属性に応じて暗号化通信と平文通信を切り替えることができる転送装置を実現することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明の転送装置は、レイヤ２のフレームが入出力される複数のポートと、ポートで受信されたフレームが暗号化されているか否かを識別するフレーム識別部と、フレームが出力されるポートを決定するアドレスフィルタ部と、フレームに含まれる宛先情報と優先度情報とに応じたフレームの暗号化要否を定める暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否を定める平文化要否判定表とを備え、フレーム識別部において暗号化されていないフレームであると識別された場合、暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、フレーム識別部において暗号化されているフレームであると識別された場合、平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部と、暗号化要否判定部において暗号化要と判定されたフレームを暗号化し、平文化要と判定されたフレームを平文化する暗号化平文化処理部と、暗号化不要もしくは平文化不要と判定されたフレームおよび暗号化もしくは平文化されたフレームをアドレスフィルタ部において決定されたポートに出力するスイッチング処理部と、を備えるものである。

　本発明にかかる転送装置によれば、上述の構成を備えるため、同一のＶＬＡＮに属する転送フレームの属性に応じてフレーム単位に暗号化通信あるいは平文通信を適用することができる。

本発明の実施の形態１に係る通信ネットワークの一例を示す構成図である。本発明の実施の形態１における転送装置の一例を示す構造図である。本発明の実施の形態１における処理部の構成の一例を示す構成図である。本発明の実施の形態１におけるフレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態１における暗号化されたフレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態１における転送先対応表の一例を示すデータベース構成図である。本発明の実施の形態１におけるアドレスフィルタ部の送信フレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態１に係る通信ネットワークにおける各装置関係の一例を示す構成図である。本発明の実施の形態１における暗号化要否判定表の一例を示すデータベース構成図である。本発明の実施の形態１における平文化要否判定表の一例を示すデータベース構成図である。本発明の実施の形態１における暗号化要否判定部の送信フレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態１における処理部の処理の流れの一例を示す処理フローチャートである。本発明の実施の形態１における転送装置の効果の一例を示す説明図である。本発明の実施の形態１における平文化要否判定表の一例を示すデータベース構成図である。本発明の実施の形態２におけるフレーム識別部の送信フレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態２における優先度識別結果の一例を示す優先度識別結果対応表である。本発明の実施の形態２における暗号化要否判定表の一例を示すデータベース構成図である。本発明の実施の形態２におけるフレームのデータ構成の一例を示すフレーム構成図である。本発明の実施の形態３における処理部の構成の一例を示す構成図である。本発明の実施の形態４におけるスイッチング処理部の一例を示す構成図である。

　以下に、本発明にかかる転送装置の実施の形態を図面に基づいて詳細に説明する。以下で参照する図面においては、同一もしくは相当する部分に同一の符号を付している。なお、この実施の形態によりこの発明が限定されるものではない。

　実施の形態１．
　図１は、本発明の実施の形態１に係る通信ネットワークの一例を示す構成図である。図１において、通信ネットワーク１００は、端末装置１０（１０ａから１０ｆ）、中継ネットワーク２０、伝送路３０、および転送装置２００（２００ａから２００ｅ）を備える。なお、説明のため通信ネットワーク１００が６台の端末装置１０と５台の転送装置２００とを備えているとしているが、これに限定されず任意の端末装置１０と転送装置２００を備えていてよい。また、通信ネットワーク１００は、ＶＬＡＮに対応したＭＡＣ（Media Access Control）フレームを伝送するネットワークである。

　端末装置１０は、通信ネットワーク１００に接続された他の装置とデータの送受信を行う通信の主体となる装置であり、パーソナルコンピュータなどである。

　中継ネットワーク２０は、転送装置２００間を相互接続するネットワークであり、各転送装置２００間に情報を中継するレイヤ２ネットワークである。

　伝送路３０は、端末装置１０と転送装置２００との間、および転送装置２００と中継ネットワーク２０の間を接続する伝送路であり、同軸ケーブル、光ケーブル、およびＬＡＮケーブルなどである。伝送路３０と中継ネットワーク２０を介して接続された装置は、相互にデータの送受信を行える。

　転送装置２００は、端末装置１０および中継ネットワーク２０と伝送路３０を介して接続され、受信したデータを接続された端末装置１０あるいは中継ネットワーク２０へ転送する。転送装置２００の転送方法の詳細については後述する。

　次に、図２を用いて転送装置２００のハードウェア構成を説明する。図２は、本発明の実施の形態１における転送装置の一例を示す構造図である。図２において、転送装置２００は、外部とのインタフェースであるＮ個（Ｎは２以上の整数）のポート２１０（２１０－１から２１０－Ｎ）、処理を実行する処理部２２０、処理部２２０を制御する制御部２３０、データが記録されるメモリ２４０、ポート２１０と処理部２２０を接続するインタフェース２５０（２５０－１から２５０－Ｎ）、処理部２２０、制御部２３０、およびメモリ２４０とをそれぞれ接続するローカルバス２６０とを備える。

　ここで、処理部２２０は、転送フレームの転送処理を実行する。処理部２２０は、ＦＰＧＡ（Field Programmable Gate Array）、あるいはＬＳＩ（Large Scale Integration）などであればよい。

　制御部２３０は、設定の変更など処理部２２０を制御する。制御部２３０は、ＣＰＵ（Central Processing Unit）などであればよい。

　メモリ２４０は、処理部２２０から呼び出される転送フレームを転送する転送処理プログラムと制御部２３０から呼び出される制御プログラム、および各種データベースが記録される。

　インタフェース２５０は、ＭＩＩ（Media Independent Interface）あるいはＸＡＵＩ（10Gigabit Attachment Unit Interface）などの一般的な規格に基づくインタフェースであればよい。

　ローカルバス２６０は、ＰＣＩ（Peripheral Component Interconnect）バスあるいはＰＣＩ　Ｅｘｐｒｅｓｓ（登録商標）などの拡張バスであればよい。

　なお、処理部２２０と制御部２３０を別体である場合について説明しているが、一体の処理部としてＣＰＵなどで構成されてもよい。

　図３は、本発明の実施の形態１における処理部の構成の一例を示す構成図である。なお、ここでは説明のため処理部２２０に接続するポート２１０を３台とする。なお、図示は省略しているが、処理部２２０に接続するポートは２１０－１、２１０－２、および２１０－３の３台である。

　図３において処理部２２０は、フレーム識別部２２１、アドレスフィルタ部２２２、暗号化要否判定部２２３、スイッチング処理部２２４、および暗号化平文化処理部２２５を備える。

　フレーム識別部２２１は、接続するポート２１０から受信したフレームが暗号化されているフレームであるかを識別し、暗号化されている場合は暗号化済みである旨の情報を暗号化要否判定部２２３に送信する。フレーム識別部２２１の識別方法の詳細は後述する。

　図４は、本発明の実施の形態１におけるＭＡＣフレームのデータ構成の一例を示すフレーム構成図である。図４に示すフレームフォーマットは、ＤＩＸフォーマットのイーサネット（登録商標）フレームにＶＬＡＮタグ３１８を付加した構造になっており、ヘッダ部３０１、ＭＡＣフレームで伝送されるデータが含まれるデータ部３０２、フレームに誤りがないかを調べるための情報であるＦＣＳ（Frame Check Sequence）３０３を含んでいる。さらにヘッダ部３０１は、宛先ＭＡＣアドレス３１１、送信元ＭＡＣアドレス３１２、ＶＬＡＮタグ３１８、イーサネットタイプ３１６を含んでいる。また、ＶＬＡＮタグ３１８はＵＳ（User Priority）３１３、ＣＦ（Canonical Format）３１４、ＶＬＡＮ－ＩＤ３１５を含んでいる。

　ＵＳ３１３は、ＩＥＥＥ８０１．Ｄにて規定されたユーザ優先順位であり、０から７までの値からなり、０が最も優先度が低く、７が最も優先度が高く規定されている。ＣＦ３１４は、宛先ＭＡＣアドレスと送信元ＭＡＣアドレスが標準フォーマットに従っているかを示す情報である。ＶＬＡＮ－ＩＤ３１５は、フレームが所属するＶＬＡＮを示すＩＤ情報である。

　イーサネットタイプ３１６は上位層の通信規約を識別するための番号であり、例えば、０ｘ０８００がＩＰｖ４（Internet Protocol version 4）の通信規約であることを示している。この実施の形態ではＤＩＸフォーマットに基づいたＭＡＣフレームを例に説明するが、この発明はＤＩＸフォーマットだけに限定されるものではなく、例えばＬＬＣ／ＳＮＡＰ（Logical Link Control/Subnetwork Access Protocol）を含むＩＥＥＥ８０２．３規格のＭＡＣフレームや、その他のレイヤ２フレームを伝送する場合にも適用可能である。

　次に、図５を用いてこの実施の形態に係る暗号化されたＭＡＣフレーム（暗号化フレーム）の構成について説明する。図５は、暗号化フレームのデータ構成の一例を示すフレーム構成図である。

　図５において暗号化フレームの構成は図４に示したＭＡＣフレームと基本的に同じである。異なる点は、イーサネットタイプ３３１に暗号化されたＭＡＣフレームであることを示す特定の値が設定されることと、暗号化データの整合性チェックデータであるＩＣＶ（Integrity Check Value）３３３が付加されている点である。ここでは、イーサネットタイプ３３１にＩＥＥＥ８０２．１ＡＥにて規定されたＭＡＣｓｅｃのフレームであることを示す０ｘ８８Ｅ５を用いることとする。なお暗号化データ部３３２は、図４に示すＭＡＣフレームのイーサネットタイプ３１６とデータ部３０２が暗号化されたデータである。

　図３に戻って、フレーム識別部２２１は、受信したフレームのＶＬＡＮタグの一つ後ろの情報、図４と図５におけるイーサネットタイプ３１６、あるいはイーサネットタイプ３３１を参照して、入力されたフレームが暗号化されているフレームであるか否かを識別する。フレーム識別部２２１は、フレームが暗号化されているフレームであると識別した場合、暗号化済みフラグ３４１をフレームに付加し、アドレスフィルタ部２２２に送信する。なお、フレーム識別部２２１がフレームに暗号化済みフラグ３４１を付加する以外にフレーム識別部２２１と暗号化要否判定部２２３を接続する信号線を並走させ直接暗号化済みである旨の情報をフレーム識別部２２１から暗号化要否判定部２２３に送信してもよい。

　アドレスフィルタ部２２２は、フレーム識別部２２１から受信したフレームの宛先ＭＡＣアドレス３１１と転送先対応表とを比較して転送先を決定し、決定した転送先に関する情報を暗号化要否判定部２２３に送信する。

　図６は、本発明の実施の形態１における転送先対応表の一例を示すデータベース構成図である。なお、転送先対応表はメモリ２４０に記録されている。

　図６において転送先対応表は、宛先ＭＡＣアドレス３１１と転送先であるポート、および最終的な転送先である転送先端末装置との対応関係が設定された対応表であり、アドレスフィルタ部２２２は、受信したフレームの宛先ＭＡＣアドレス３１１と転送先対応表を比較し、転送先を決定する。例えば、宛先ＭＡＣアドレス３１１が０００Ａ０１ＡＡＡ００１である場合、アドレスフィルタ部２２２は、図６に示す転送先対応表を参照して、転送先のポート（転送先ポート）としてポート２１０－１を、最終的な転送先として端末装置１０ａを決定する。なお、図６に示す転送先対応表は、メモリ２４０に記録されており、ネットワーク経由にて自動でダウンロードされても、あるいはユーザが手入力により入力してもよい。

　アドレスフィルタ部２２２は、決定した転送先ポートであるポート２１０－１と端末装置１０ａを転送先情報３４２としてフレームに付加し、暗号化要否判定部２２３に送信する。図７は、本発明の実施の形態１におけるアドレスフィルタ部が出力するフレームのデータ構成の一例を示すフレーム構成図である。図７において、アドレスフィルタ部２２２が出力するフレームは、図４に示すＭＡＣフレームにフレーム識別部２２１にて付加された暗号化済みフラグ３４１とアドレスフィルタ部２２２にて付加された転送先情報３４２が付加された構成である。

　なお、転送先対応表として図６に示すように宛先ＭＡＣアドレス３１１に対して１つの転送先ポートおよび１つの転送先端末装置が対応付けられている例について説明したが、これに限定されず、宛先ＭＡＣアドレス３１１が２つ以上の転送先ポートおよび２つ以上の転送先端末装置が対応付けられるマルチキャストアドレスであってもよい。

　また、特定の宛先ＭＡＣアドレス３１１に対しては転送先対応表において転送先端末装置の代わりにフレームを全廃棄する、あるいは受信ポートを除く全ポートから出力すると設定してもよい。このようにすることで、転送装置２００は、転送先端末装置への転送だけでなく、フレームを全廃棄あるいは受信ポートを除く全ポートから出力することができる。

　また、転送先情報３４２として宛先情報のみがフレームに付加されている場合について説明しているが、これに限定されず、送信元情報が付加されていてもよい。例えば、送信元ＭＡＣアドレス３１２と送信元である送信元端末装置の対応関係を示す対応表を参照し、送信元端末装置を転送先情報３４２としてフレームに付加してもよい。

　また、特定の送信元ＭＡＣアドレス３１２に対しては送信元端末装置の対応関係を示す対応表において送信元先端末装置の代わりにフレームを全廃棄する、あるいは受信ポートを除く全ポートから出力すると設定してもよい。このようにすることで、転送装置２００は、転送先端末装置への転送だけでなく、フレームを全廃棄あるいは受信ポートを除く全ポートから出力することができる。

　なお、アドレスフィルタ部２２２が暗号化要否判定部２２３に転送先情報３４２を送信する方法として、フレームに転送先情報３４２を付加する方法を説明しているが、これに限定されず、アドレスフィルタ部２２２と暗号化要否判定部２２３を接続する信号線を並走させ直接転送先情報３４２を暗号化要否判定部２２３に送信するとしてもよい。このように信号線を並走させて送信する場合は、送信するフレームのデータ容量を大きくすることがないため、より大きなデータ容量の転送先情報３４２を送信することができるという効果を得ることができる。

　図３に戻って、暗号化要否判定部２２３は、受信したフレームに暗号化済みフラグ３４１の無い場合、フレームは平文フレームであると判定し転送先情報３４２と暗号化要否判定表とを比較して暗号化要否を決定し、決定した暗号化要否に関する情報をスイッチング処理部２２４に送信する。一方、暗号化要否判定部２２３は、受信したフレームに暗号化済みフラグ３４１が有る場合、フレームは暗号化されたフレームであると判定し転送先情報３４２と平文化要否判定表とを比較して平文化要否を決定し、決定した平文化要否に関する情報をスイッチング処理部２２４に送信する。

　まず、受信したフレームに暗号化済みフラグ３４１の無い場合について説明する。

　図８は、本発明の実施の形態１に係る通信ネットワークにおける各装置関係の一例を示す構成図である。ここで、端末装置１０、中継ネットワーク２０、伝送路３０、および転送装置２００は図１と同様であるため、説明を省略する。

　図８において、実線は同じＶＬＡＮに所属している装置を、点線は暗号化と平文化に用いる暗号鍵を共有している装置を示している。実線１はＶＬＡＮ－ＩＤ３１５が１であるＶＬＡＮ１であり、端末装置１０ｅと１０ｆ、および転送装置２００ａと２００ｅが所属している。実線２はＶＬＡＮ－ＩＤ３１５が２であるＶＬＡＮ２であり、端末装置１０ａ、１０ｂ、１０ｃ、１０ｄ、および転送装置２００ａ、２００ｂ、２００ｃ、２００ｄが所属している。

　点線１０１は、暗号鍵１を共有している装置を示しており、転送装置２００ａ、２００ｂおよび２００ｅが暗号鍵１を共有している。点線１０２は、暗号鍵２を共有している装置を示しており、転送装置２００ｂと２００ｃが暗号鍵２を共有している。なお、暗号鍵は転送先端末装置と対応付けられて各転送装置２００のメモリ２４０に記憶されている。また、暗号化要否判定部２２３が暗号化に用いる暗号鍵を特定する方法としては、例えば暗号化要否判定部２２３がメモリ２４０に記録された共有している暗号鍵と転送先端末装置の対応表と、アドレスフィルタ部２２２にて決定した転送先端末装置とを比較し、暗号鍵を特定する。

　図９は、本発明の実施の形態１における暗号化要否判定表の一例を示すデータベース構成図である。ここで、図９は図８における転送装置２００ｂに対応する暗号化要否判定表である。なお、暗号化要否判定表は、メモリ２４０に記録されており、暗号化要否判定部２２３が参照するデータベースである。

　図９は、受信したフレームに含まれるＵＳ３１３とアドレスフィルタ部２２２から送信された転送先情報３４２に含まれる転送先端末装置との組み合わせごとの暗号化要否の判定表である。ここで、平文とは暗号化しないことを示している。

　図９において、転送先端末装置が端末装置１０ａである場合、転送装置２００ｂはＵＳ３１３が０から７全てにおいて暗号化を行い、フレームを送信することを示している。なお、端末装置１０ａに接続する転送装置２００ａと転送装置２００ｂが暗号鍵１を共有しているため、転送装置２００ｂから端末装置１０ａ宛てのフレームは暗号化することができる。

　図９において、転送先端末装置が端末装置１０ｂである場合、転送装置２００ｂはＵＳ３１３が０から７全てにおいて平文にてフレームを送信することを示している。なお、端末装置１０ｂは転送装置２００ｂと直接接続しているため、端末装置１０ｂはフレームを暗号化する必要がなく平文にて送信する。

　図９において、転送先端末装置が端末装置１０ｃである場合、転送装置２００ｂはＵＳ３１３が０から３において平文にてフレームを送信し、ＵＳ３１３が４から７において暗号化を行い、フレームを送信することを示している。なお、端末装置１０ｃに接続する転送装置２００ｃと転送装置２００ｂが暗号鍵２を共有しているため、転送装置２００ｂから端末装置１０ｃ宛てのフレームは暗号化することができる。

　図９において、転送先端末装置が端末装置１０ｄである場合、転送装置２００ｂはＵＳ３１３が０から７全てにおいて平文にてフレームを送信することを示している。なお、端末装置１０ｄと転送装置２００ｂは同じＶＬＡＮ１に所属しているが、端末装置１０ｄに接続する転送装置２００ｄと転送装置２００ｂが暗号鍵を共有していないため、転送装置２００ｂから端末装置１０ｄ宛てのフレームは暗号化することができず、全て平文にて送信する。

　図９において、転送先端末装置が端末装置１０ｅである場合、転送装置２００ｂはＵＳ３１３が０から７全てにおいて平文にてフレームを送信することを示している。なお、端末装置１０ｅに接続する転送装置２００ｅと転送装置２００ｂが暗号鍵を共有していないため、転送装置２００ｂから端末装置１０ｅ宛てのフレームは暗号化することができず、全て平文にて送信する。

　図９において、転送先端末装置が端末装置１０ｆである場合、転送装置２００ｂはＵＳ３１３が２から５において平文にてフレームを送信し、ＵＳ３１３が０から１、および６から７において暗号化を行い、フレームを送信することを示している。このようにフレームの優先度ごとに細かい設定を行うことができる。なお、端末装置１０ｆに接続する転送装置２００ａと転送装置２００ｂが暗号鍵１を共有しているため、転送装置２００ｂから端末装置１０ｆ宛てのフレームは暗号化することができる。

　なお、転送装置２００ｂから送信された平文フレームと暗号化フレームのいずれにおいても中継ネットワーク２０においてＶＬＡＮタグを読み取ることができ、ＶＬＡＮ－ＩＤ３１５に従って中継処理を行える。例えば、端末装置１０ｅと１０ｆはＶＬＡＮ２に所属しておりＶＬＡＮ１に所属している転送装置２００ｂと所属するＶＬＡＮが異なっているため、転送装置２００ｂから送信された平文フレームと暗号化フレームのいずれも端末装置１０ｅと１０ｆには転送されない。

　暗号化要否判定部２２３は、ＵＳ３１３と転送先情報３４２と、図９に示す暗号化要否判定表とを比較し、暗号化要否を判定し暗号化すると判定した場合は、暗号化フラグ３４３をフレームに付加し、フレームをスイッチング処理部２２４に送信する。

　次に、受信したフレームに暗号化済みフラグ３４１の有る場合について説明する。

　図１０は、本発明の実施の形態１における平文化要否判定表の一例を示すデータベース構成図である。ここで、図１０における転送装置２００ｂに対応し暗号鍵１である場合の平文化要否判定表である。なお、図１０は、メモリ２４０に記録されており、暗号化要否判定部２２３が参照するデータベースである。また、暗号化要否判定部２２３が受信した暗号化されたフレームの暗号鍵を特定する方法としては、例えば暗号化要否判定部２２３がメモリ２４０に記録された共有している暗号鍵とＭＡＣアドレスの対応表と、受信したフレームの宛先ＭＡＣアドレスおよび送信元ＭＡＣアドレスとを比較し、暗号鍵を特定する。

　図１０において、暗号化済みとは既にフレームが暗号化されており平文化不要であることを示し、暗号化要否判定部２２３は暗号化されたフレームのままスイッチング処理部２２４へフレームを送信する。平文化とは平文化要であることを示し、暗号化要否判定部２２３はフレームに平文化フラグを付加し、スイッチング処理部２２４へフレームを送信する。廃棄は、暗号化要否判定部２２３がフレームを廃棄し、スイッチング処理部２２４へは送信しない。なお、説明のため図１０において暗号化済みと廃棄のどちらも選択できるところは暗号化済みｏｒ廃棄と記載しているが、実際はユーザが選択したどちらか一方が記載された判定表を用いる。例えば、ユーザが、転送装置２００がフレームを廃棄するのは端末装置１０に直接送信する時のみであることを選択するのであれば、直接接続する端末装置でない転送先端末装置については暗号化済みを選択した判定表を用いる。一方、ユーザが、端末装置１０に直接接続された転送装置２００が暗号鍵を共有していないと判明した時点でフレームを廃棄するのであれば、廃棄を選択した判定表を用いる。

　また、図１０において、転送装置２００ｂに直接接続されていない端末装置１０の場合は、端末装置１０に直接接続する転送装置２００が暗号鍵１を共有していると暗号化済みであり、共有していないと暗号化済みｏｒ廃棄である。これは、端末装置１０に直接接続する転送装置２００が暗号鍵１を共有している場合は、該当する端末装置１０に直接接続する転送装置２００がフレームを平文化できるため転送装置２００ｂが暗号化されたフレームをそのまま送信し、暗号鍵１を共有していない場合は、端末装置１０に直接接続する転送装置２００がフレームを平文化できないため、上述のようにユーザが選択したフレームの廃棄を行う時点によって暗号化されたフレームまま送信するかあるいはフレームを廃棄するかのいずれかの処理を行う。

　図１０において、転送装置２００ｂに直接接続されている端末装置１０である端末装置１０ｂの場合は、平文化である。これは、転送装置２００ｂが直接端末装置１０ｂにフレームを転送するのでフレームを平文化する必要があるためである。

　暗号化要否判定部２２３は、ＵＳ３１３と転送先情報３４２と、図１０に示す平文化要否判定表とを比較し、平文化要否を判定し平文化すると判定した場合は、平文化フラグ３４４をフレームに付加し、フレームをスイッチング処理部２２４に送信する。

　なお、図１０において、ＵＳ３１３の値によって判定結果が変わらない場合について説明しているが、これに限らず、必要に応じてＵＳ３１３の値によって判定結果を変更してもよい。

　また、図１０は、転送装置２００ｂが暗号鍵を共有している暗号鍵１の場合の平文化要否判定表について説明しているが、暗号化されたフレームに用いられている暗号鍵が、転送装置２００ｂが共有していない暗号鍵である場合は、転送装置２００ｂに直接接続する端末装置１０ｂは廃棄との判定結果である判定表となる。これは、端末装置１０ｂについては転送装置２００ｂが直接フレームを転送するので、転送装置２００ｂで平文化できないフレームは端末装置１０ｂでは読み取ることができないためである。

　図１１は、本発明の実施の形態１における暗号化要否判定部の送信フレームのデータ構成の一例を示すフレーム構成図である。図１１（ａ）は、暗号化要否要の暗号化要否判定部２２３の送信フレームのデータ構成の一例を示すフレーム構成図であり、図１１（ｂ）は、平文化要否要の暗号化要否判定部２２３の送信フレームのデータ構成の一例を示すフレーム構成図である。ここで、図１１（ａ）は、図７に示すアドレスフィルタ部２２２の送信フレームに暗号化フラグ３４３が付加された構成であり、図１１（ｂ）は、図７に示すアドレスフィルタ部２２２の送信フレームに平文化フラグ３４４が付加された構成である。

　図３に戻って、スイッチング処理部２２４は、暗号化要否判定部２２３から受信したフレームに暗号化フラグ３４３あるいは平文化フラグ３４４が含まれる場合、フレームを暗号化平文化処理部２２５に送信し、フレームに暗号化フラグ３４３および平文化フラグ３４４が含まれない場合、フレームをポート２１０に出力する。

　暗号化平文化処理部２２５は、スイッチング処理部２２４から受信したフレームに暗号化フラグ３４３が含まれる場合、メモリ２４０に記憶された暗号鍵を用いて暗号化しフレームから暗号化フラグ３４３を削除して、スイッチング処理部２２４に送信する。一方、暗号化平文化処理部２２５は、スイッチング処理部２２４から受信したフレームに平文化フラグ３４４が含まれる場合、メモリ２４０に記憶された暗号鍵を用いて平文化しフレームから平文化フラグ３４４を削除して、スイッチング処理部２２４に送信する。

　なお、メモリ２４０に記録された暗号鍵が２つある場合は、受信したフレームの宛先である宛先端末装置に対応する暗号鍵を用いて暗号化する。

　次に処理部２２０の処理の流れについて図１２を用いて説明する。図１２は、本発明の実施の形態１における処理部の処理の流れの一例を示すフローチャートである。処理部２２０は、ポート２１０を介してフレームが入力されると処理を開始する。

　まず、ステップＳ１０１では、フレーム識別部２２１は受信したフレームのイーサネットタイプ３１６を参照しフレームが暗号化されているフレームであるかを識別する。フレーム識別部２２１は、値が０ｘ８８Ｅ５である場合、暗号化されているフレームであると識別する。

　ステップＳ１０２では、フレーム識別部２２１は、識別結果に応じて、フレームが暗号化されていると識別した場合に暗号化済みフラグ３４１をフレームに付加する。

　ステップＳ１０３では、アドレスフィルタ部２２２は、受信したフレームの宛先情報である宛先ＭＡＣアドレスと図６に示す転送先対応表を比較し転送先である転送先ポートと転送先端末装置を決定し、転送先情報３４２としてフレームに付加する。

　ステップＳ１０４では、暗号化要否判定部２２３は、フレームに付加された暗号化済みフラグ３４１の有無からフレームが暗号化されているかを判定する。暗号化要否判定部２２３は、フレームに暗号化済みフラグ３４１が含まれていない場合、フレームは暗号化されていないと判定し、フレームに暗号化済みフラグ３４１が含まれている場合、フレームは暗号化されていると判定する。

　ステップＳ１０５では、暗号化要否判定部２２３は、ステップＳ１０４での判定結果に応じて、フレームが暗号化されていないのであればステップＳ１０６に移行し、フレームが暗号化されているのであれば、ステップＳ１０７に移行する。

　ステップＳ１０６では、転送先情報３４２と図９に示す暗号化要否判定表を比較することで暗号化要否を判定し、暗号化する場合はフレームに暗号化フラグ３４３を付加し、ステップＳ１０８に移行する。

　ステップＳ１０７では、転送先情報３４２と図１０に示す平文化要否判定表を比較することで平文化要否を判定し、平文化する場合はフレームに平文化フラグ３４４を付加し、ステップＳ１０８に移行する。

　ステップＳ１０８では、スイッチング処理部２２４は、フレームに暗号化フラグ３４３あるいは平文化フラグ３４４が含まれている場合は、暗号化あるいは平文化するとしてステップＳ１０９に移行し、暗号化フラグ３４３あるいは平文化フラグ３４４が含まれていない場合は、ステップＳ１１０に移行する。

　ステップＳ１０９では、暗号化平文化処理部２２５は、フレームに暗号化フラグ３４３がある場合、メモリ２４０に記録された暗号化鍵を用いてフレームを暗号化し、フレームに平文化フラグ３４４がある場合、メモリ２４０に記録された暗号化鍵を用いてフレームを平文化する。その後、フレームから暗号化フラグ３４３および平文化フラグ３４４を削除する。

　ステップＳ１１０では、スイッチング処理部２２４は、転送先情報３４２の転送先である転送先ポートにフレームを出力し、その後処理を終了する。

　以上のように、実施の形態１の転送装置２００によれば、同じＶＬＡＮに属するフレームについて、ＶＬＡＮタグに含まれる優先度情報などの属性に応じたフレームごとの暗号化要否を判定することができ、フレーム単位に暗号化通信と平文化通信を適用することができるという効果を得ることができる。

　また、実施の形態１の転送装置２００によれば、転送装置２００がフレームを暗号化することができるため、暗号化機能を有していない端末装置１０間にて暗号化通信を行うことができるという効果を得ることができる。

　図１３を用いて実施の形態１の転送装置２００の効果を説明する。図１３において矢印はフレームの送受信の流れを示し、点線で示す矢印が平文フレームを、実線で示す矢印が暗号化フレームである。図１３においてフレーム１１は端末装置１０間において全て平文フレームであり、フレーム１２は転送装置２００間において暗号化フレームであり、転送装置２００と端末装置１０の間にて平文化フレームとなる。このように実施の形態１の転送装置２００は、同じ転送先ポートより暗号化フレームと平文フレームを送信することができ、また暗号化機能を有していない端末装置１０においても暗号化通信を行うことができるという効果を得ることができる。

　なお、暗号化要否判定部２２３における平文化要否の判定方法として図１０に示す平文化要否判定表を用いる場合について説明したが、これに限らず、暗号鍵の共有情報と転送先である転送先ポートが直接端末装置１０に接続された転送先ポートか、それとも転送装置２００に繋がる転送先ポートか、から判定してもよい。ここで、暗号化要否判定部２２３が転送先ポートを直接端末装置１０に接続されたポートであるかを判定する方法は、例えば、メモリ２４０に直接接続している端末装置１０の情報が記録されており、このメモリ２４０に記録された端末装置１０とアドレスフィルタ部２２２が図６に示す転送先対応表を用いて決定した転送先端末装置とが一致する場合に、転送先ポートであるポート２１０が直接端末装置１０に接続された転送先ポートと判定する。なお、転送装置２００に繋がる転送先ポートとは、直接端末装置１０に接続された転送先ポート以外のポートであり、転送装置２００に直接接続された転送先ポートあるいは中継ネットワーク２０などを経由し最終的な宛先端末装置に接続する転送装置２００に繋がる転送先ポートである。

　図１４は、本発明の実施の形態１における平文化要否判定表の一例を示すデータベース構成図である。図１４は、転送先ポート毎に平文化要否を判定するための判定表であり、転送先ポートが端末装置１０であるとは、転送先ポートが直接端末装置１０に直接接続する転送先ポートであることを示し、転送装置２００であるとは転送先ポートが転送装置２００に繋がる転送先ポートであることを示している。また、図１４における暗号鍵を共有していない端末装置１０とは、受信した暗号化されたフレームに用いられている暗号鍵を、平文化要否を判定する転送装置２００が共有していないことを示している。また、図１４は、メモリ２４０に記録されており、暗号化要否判定部２２３が参照するデータベースである。なお、転送先ポートとしてポート２１０ごとに分けているが、ＶＬＡＮが設定されたネットワークにおいては同じポート２１０においてＶＬＡＮを設定することで複数の転送先ポートを設定することができる。

　図１４において、暗号鍵を共有しており転送先ポートが端末装置１０である場合は平文化であり、暗号鍵を共有しており転送ポートが転送装置２００である場合は暗号化済みである。一方、暗号鍵を共有しておらず転送ポートが端末装置１０である場合は廃棄であり、暗号鍵を共有しており転送ポートが転送装置２００である場合は暗号化済みｏｒ廃棄である。暗号化要否判定部２２３は、図１４を用いて受信した暗号済みフレームの平文化要否を判定する。

　このように暗号化要否判定部２２３が平文化要否を判定することで、図１０に示す平文化要否判定表を用いて平文化要否を判定する方法よりも、メモリ２４０に記録するデータ容量が少ないという効果を得ることができる。

　実施の形態２．
　実施の形態１では、フレーム識別部２２１が、フレームが暗号化されているか否かを判定し、暗号化されている場合は暗号化済みフラグ３４１をフレームに付加する実施の形態について説明した。実施の形態２では、フレーム識別部２２１がさらにフレームから転送先に関連する情報と暗号化の要否判定に関連する情報を抽出し、内部ヘッダとしてフレームに付加する実施の形態について説明する。なお、通信ネットワーク１００の構造と転送装置２００の構造ついては実施の形態１と同様のため説明を省略する。

　フレーム識別部２２１は、図４に示すフレームからフレームの転送先に関する情報である転送先関連情報３４５として、宛先ＭＡＣアドレス３１１あるいは送信元ＭＡＣアドレス３１２あるいはその両方を抽出し、暗号化要否に関する情報である暗号化要否関連情報３４６としてＵＳ３１３、ＶＬＡＮ－ＩＤ３１５、イーサネットタイプ３１６等を抽出する。なお、以降においてフレーム識別部２２１は、転送先関連情報３４５として宛先ＭＡＣアドレス３１１を、暗号化要否関連情報３４６としてＵＳ３１３を抽出した例について説明する。

　フレーム識別部２２１は、抽出した転送先関連情報３４５と暗号化要否関連情報３４６を内部ヘッダ３５０としてフレームに付加し、アドレスフィルタ部２２２に送信する。図１５は、本発明の実施の形態２におけるフレーム識別部の送信フレームのデータ構成の一例を示すフレーム構成図である。図１５において、内部ヘッダ３５０は、フレームの転送先に関する情報である転送先関連情報３４５とフレームの暗号化要否に関する情報である暗号化要否関連情報３４６から構成される。ここでは、フレーム識別部２２１が抽出した宛先ＭＡＣアドレス３１１が転送先関連情報３４５であり、ＵＳ３１３が暗号化要否関連情報３４６である。

　なお、フレームが暗号化されていないフレームである場合について説明しているが、暗号化済みのフレームであっても暗号化されていないヘッダ部３０１から転送先関連情報３４５と暗号化要否関連情報３４６を抽出してよい。

　内部ヘッダ３５０を付加されたフレームを受信したアドレスフィルタ部２２２は内部ヘッダ３５０の転送先関連情報３４５を用いてフレームの転送先ポートと転送先端末装置を決定し、暗号化要否判定部２２３は、内部ヘッダ３５０の暗号化要否関連情報３４６を用いてフレームの暗号化要否を判定する。

　以上のように、実施の形態２の転送装置２００によれば、フレーム識別部２２１にて抽出されフレームに付加された内部ヘッダ３５０を用いてアドレスフィルタ部２２２と暗号化要否判定部２２３にてそれぞれフレームの転送先の決定とフレームの暗号化要否の判定を行えるため、アドレスフィルタ部２２２と暗号化要否判定部２２３がそれぞれフレームの対象箇所を探索する必要がなく、処理速度を速くできるという効果を得ることができる。

　なお、フレーム識別部２２１がアドレスフィルタ部２２２と暗号化要否判定部２２３に転送先関連情報３４５と暗号化要否関連情報３４６を送信する方法として、フレームに内部ヘッダ３５０として付加する方法を説明しているが、これに限定されず、フレーム識別部２２１とアドレスフィルタ部２２２、およびフレーム識別部２２１と暗号化要否判定部２２３を接続する信号線を並走させ直接転送先関連情報３４５と暗号化要否関連情報３４６を送信するとしてもよい。このように信号線を並走させて送信する場合は、転送先関連情報３４５と暗号化要否関連情報３４６のデータ容量によりフレームのデータ容量が大きくなることを防ぐことができるという効果を得ることができる。

　なお、フレーム識別部２２１は、フレームに含まれる情報をそのまま転送先関連情報３４５と暗号化要否関連情報３４６としてアドレスフィルタ部２２２と暗号化要否判定部２２３に送信する方法について説明したが、これに限らず、フレーム識別部２２１が加工した情報を転送先関連情報３４５と暗号化要否関連情報３４６として送信するとしてもよい。例えば、フレーム識別部２２１がＵＳ３１３から優先度識別結果を求め、優先度識別結果を暗号化要否関連情報３４６として内部ヘッダ３５０に付加したフレームをアドレスフィルタ部２２２と暗号化要否判定部２２３に送信してもよい。

　図１６は、本発明の実施の形態２における優先度識別結果の一例を示す優先度識別結果対応表である。図１６においてＵＳ３１３が０から１の場合が低優先、ＵＳ３１３が２から３の場合が中優先、ＵＳ３１３が４から５の場合が高優先、ＵＳ３１３が６から７の場合が最高優先に対応している。フレーム識別部２２１は、図１６の対応表に基づいて優先度識別結果を求め、暗号化要否関連情報３４６とする。なお、図１６はメモリ２４０に記録されており、フレーム識別部２２１が参照するデータベースである。

　また、暗号化要否判定部２２３が暗号化要否の判定に用いる暗号化要否判定表として図９に示すＵＳ３１３のようにフレームに元々含まれている情報を用いた判定表である場合を説明しているが、これに限定されず、図１６に示す優先度識別結果のようにフレーム識別部２２１が求めた情報を用いた判定表であってもよい。

　図１７は、本発明の実施の形態２における暗号化要否判定表の一例を示すデータベース構成図である。図１７は、図９におけるＵＳ３１３の代わりに優先度識別結果と転送先端末装置との判定表である。ここで、優先度識別結果は最高優先、高優先、中優先、および低優先の４つであり、図９に示すＵＳ３１３を用いた判定表よりもデータ容量が小さいという効果を得ることができる。なお、図１７は、図９におけるＵＳ３１３が優先識別結果に代わっただけであるため、説明は省略する。また、図１７はメモリ２４０に記録されており、暗号化要否判定部２２３が参照するデータベースである

　なお、転送先に関連する情報としてレイヤ２のヘッダ情報のみを用いる場合について説明しているが、暗号化されていないフレームの場合、転送装置２００はレイヤ２の情報に加えて上位レイヤの情報を用いて転送処理を行ってもよい。以下に、図１８に示す、ＭＡＣフレームがＴＣＰ（Transmission Control Protocol）／ＩＰｖ４のフレームを伝送する場合を例に説明する。

　図１８は、本発明の実施の形態２におけるフレームのデータ構成の一例を示すフレーム構成図である。図１８（ａ）は、図４に示したフレームの構成を示している。

　図１８（ｂ）は、ＩＰｖ４フレームの構造を示しており、ＩＰｖ４フレームはＩＰバージョン情報３６１、ＴＯＳ（Type of Service）３６２、プロトコル番号３６３、送信元ＩＰアドレス３６４、宛先ＩＰアドレス３６５、およびその他ヘッダ情報３６６からなるＩＰｖ４ヘッダと、データ部であるその他情報３６７により構成される。なお、図１８（ｂ）はＩＰフレームに含まれる情報を示すことを目的としており、ＩＰフレームの正確な構造を示すものではない。

　ＩＰバージョン情報３６１は、通信規約の種類を示す値であり、ＩＰｖ４フレームでは４である。

　ＴＯＳ３６２は、通信の種別を示す値であり、フレームの優先度を示す値である。ＴＯＳ３６２は、０から７までの値からなり、０が最も優先度が低く、７が最も優先度が高く規定されている。

　プロトコル番号３６３は、上位層の通信規約を識別するための番号であり、例えば、６がＴＣＰの通信規約であることを示す。

　宛先ＩＰアドレス３６４と送信元ＩＰアドレス３６５は、それぞれフレームの宛先とフレームの送信元である端末装置１０を識別するための番号である、第３層に対応するＩＰアドレスである。

　図１８（ｃ）はＴＣＰフレームの構造を示しており、送信元論理ポート番号３７１、宛先論理ポート番号３７２、およびその他ヘッダ情報３７３を含むＴＣＰヘッダとデータ部であるその他情報３７４により構成される。なお、図１８（ｃ）はＴＣＰフレームに含まれる情報を示すことを目的としており、ＴＣＰフレームの正確な構造を示すものではない。

　宛先論理ポート番号３７１と送信元論理ポート番号３７２は、それぞれフレームの宛先とフレームの送信元である各端末装置１０に接続する仮想的なポートに割り当てられた番号であり、０から６５５３５までの値からなる。

　実施の形態２における転送装置２００が図１８に示すＴＣＰ／ＩＰｖ４フレームを含むＭＡＣフレームの転送処理を行う場合、転送先関連情報３４５として、宛先ＭＡＣアドレス３１１、送信元ＭＡＣアドレス３１２、宛先ＩＰアドレス３６４、送信元ＩＰアドレス３６５、宛先論理ポート番号３７１あるいは送信元論理ポート番号３７２のいずれかを抽出し、暗号化要否関連情報３４６としてＵＳ３１３、ＶＬＡＮ－ＩＤ３１５、イーサネットタイプ３１６、ＴＯＳ３６２あるいはプロトコル番号３６３のいずれかを抽出する。

　上述のように抽出された転送先関連情報３４５よりアドレスフィルタ部２２２が最終宛先である転送先端末装置を決定し、暗号化要否判定部２２３が暗号化要否および平文化要否を判定する。例えば、図９に示す暗号化要否判定表のＵＳ３１３の代わりにＴＯＳ３６２を用いた暗号化要否判定表にて判定するとしてもよい。

　実施の形態３．
　実施の形態１では、転送装置２００の処理部２２０が各ポートそれぞれに対応するフレーム識別部２２１、アドレスフィルタ部２２２、および暗号化要否判定部２２３を備える場合について説明した。実施の形態３では、各ポートから送信されたフレームを各部に送信する前に一度多重化する実施の形態について説明する。なお、通信ネットワークの構成については実施の形態１同様のため説明を省略する。また、転送装置２００の構成についても実施の形態１における処理部２２０が処理部４２０に代わっただけであるため、説明を省略する。

　図１９は、本発明の実施の形態３における処理部の構成の一例を示す構成図である。図１９における処理部４２０は、実施の形態１の処理部２２０に入力多重化部４２１が追加し、フレーム識別部２２１、アドレスフィルタ部２２２、および暗号化要否判定部２２３がそれぞれ１つとなった構成である。なお、説明のため、図１９には処理部４２０の他にポート２１０（２１０－１から２１０－３）を記載している。

　図１９において、入力多重化部４２１は、各ポート２１０からフレームが入力され、入力されたフレームを多重化しフレーム識別部２２１に送信する。フレーム識別部２２１、アドレスフィルタ部２２２、暗号化要否判定部２２３、スイッチング処理部２２４、および暗号化平文化処理部２２５は入力多重化部４２１にて多重化されたフレームについて処理を行う。

　なお、フレーム識別部２２１、アドレスフィルタ部２２２、暗号化要否判定部２２３、スイッチング処理部２２４、および暗号化平文化処理部２２５は実施の形態１と同様であるため説明を省略する。また、処理部４２０の処理の流れについても実施の形態１の処理部２２０に入力多重化部４２１でのフレームを多重化する処理が追加されただけであるため、説明を省略する。

　以上のように、実施の形態３の転送装置２００によれば、処理部２２０が入力多重化部４２１を備えることで、処理部２２０構成するフレーム識別部２２１、アドレスフィルタ部２２２、および暗号化要否判定部２２３を少なくすることができ、処理部４２０の回路規模を小さくできるという効果を得ることができる。

　なお、処理部４２０が備えるフレーム識別部２２１、アドレスフィルタ部２２２、および暗号化要否判定部２２３を１つとして説明しているが、接続するポート数に応じて２つ以上備えてもよい。

　実施の形態４．
　実施の形態４では、スイッチング処理部２２４が暗号化平文化を行うフレームを送受信する伝送路と暗号化平文化を行わない伝送路の２つを備える転送装置２００について説明する。なお、通信ネットワーク１００の構成と転送装置２００の構成については実施の形態１同様のため説明を省略する。

　図２０は、本発明の実施の形態４におけるスイッチング処理部の一例を示す構成図である。図２０におけるスイッチング処理部２２４は、暗号化平文化を行うフレームを記録するキューを有する暗号化平文化要記録部５０１、暗号化平文化を行わないフレームを記録するキューを有する暗号化平文化否記録部５０２、暗号化平文化を行うフレームを送受信する暗号化平文化パス５０３、暗号化平文化を行わず低遅延にてフレームをそのまま送受信する低遅延パス５０４、およびフレームの送信タイミングを制御する送信制御部５０５を備える。ここで、送信制御部５０５は、暗号化平文化要記録部５０１と暗号化平文化否記録部５０２からのフレームの送信と、図示しない各ポート２１０へのフレームの送信を制御する。なお、図面において実線はデータの送受信を、点線は制御命令を示している。また、説明のためスイッチング処理部２２４に接続する暗号化平文化処理部２２５を記載している。

　図２０において、暗号化フラグあるいは平文化フラグが含まれているフレームは暗号化平文化要記録部５０１が受信し、暗号化フラグあるいは平文化フラグが含まれていないフレームは暗号化平文化否記録部５０２が受信する。

　暗号化平文化要記録部５０１は暗号化平文化を行うフレームを記録するキューを有しており、送信制御部５０５からフレームを送信する指示を受信するとキューに記録された一番古い情報を、暗号化平文化パス５０３を介して暗号化平文化処理部２２５に送信する。

　暗号化平文化否記録部５０２は暗号化平文化を行わないフレームを記録するキューを有しており、送信制御部５０５からフレームを送信する指示を受信するとキューに記録された一番古い情報を、低遅延パス５０４を介して送信制御部５０５に送信する。

　送信制御部５０５は暗号化平文化要記録部５０１と暗号化平文化否記録部５０２にフレーム送信を指示し、また暗号化平文化処理部２２５から送信されたフレームを受信するとフレームに含まれる転送先情報３４２に従って図示しない各ポート２１０へのフレームの送信を制御する。

　以上のように、実施の形態４の転送装置２００によれば、スイッチング処理部２２４が暗号化平文化パス５０３と低遅延パス５０４を備えることで、暗号化平文化が必要なフレームと暗号化平文化が必要ないフレームの送信経路を異ならせることができ、転送装置２００は暗号化平文化の必要のないフレームの送信が遅延することを防ぐことができるという効果を得ることができる。

　１　ＶＬＡＮ１領域、２　ＶＬＡＮ２領域、１０　端末装置、１１，１２　フレーム、２０　中継ネットワーク、３０　伝送路、１００　通信ネットワーク、１０１　暗号鍵１共有領域、１０２　暗号鍵２共有領域、２００　転送装置、２１０　ポート、２２０，４２０　処理部、２３０　制御部、２４０　メモリ、２５０　インタフェース、２６０　ローカルバス、２２１　フレーム識別部、２２２　アドレスフィルタ部、２２３　暗号化要否判定部、２２４　スイッチング処理部、２２５　暗号化平文化処理部、４２１　入力多重化部、５０１　暗号化平文化要記録部、５０２　暗号化平文化否記録部、５０３　暗号化平文化パス、５０４　低遅延パス、５０５　送信制御部。

Claims

　レイヤ２のフレームが入出力される複数のポートと、
　前記ポートで受信された前記フレームが暗号化されているか否かを識別するフレーム識別部と、
　前記フレームが出力される前記ポートを決定するアドレスフィルタ部と、
　フレームに含まれる宛先情報と優先度情報とに応じたフレームの暗号化要否を定める暗号化要否判定表と、フレームに含まれる宛先情報に応じた平文化要否を定める平文化要否判定表とを備え、前記フレーム識別部において暗号化されていないフレームであると識別された場合、前記暗号化要否判定表に基づいて当該フレームの暗号化要否を判定し、前記フレーム識別部において暗号化されているフレームであると識別された場合、前記平文化要否判定表に基づいて当該フレームの平文化要否を判定する暗号化要否判定部と、
　前記暗号化要否判定部において暗号化要と判定された前記フレームを暗号化し、平文化要と判定された前記フレームを平文化する暗号化平文化処理部と、
　暗号化不要もしくは平文化不要と判定された前記フレームおよび暗号化もしくは平文化された前記フレームを前記アドレスフィルタ部において決定された前記ポートに出力するスイッチング処理部と、
を備える転送装置。
　前記フレームはレイヤ２より上位レイヤの情報を含んでおり、
　前記アドレスフィルタ部は前記上位レイヤの情報に含まれる宛先情報に基づいて出力される前記ポートを決定し、
　前記暗号化要否判定部が備える暗号化要否判定表は前記上位レイヤの情報に含まれる宛先情報と優先度情報に応じた判定表であり、
　前記暗号化要否判定部が備える平文化要否判定表は前記上位レイヤの情報に含まれる宛先情報に応じた判定表であることを特徴とする請求項１に記載の転送装置。
　前記複数のポートから入力されたフレームを多重化する入力多重化部と、
を備え、
　前記フレーム識別部、前記アドレスフィルタ部、前記暗号化要否判定部、および前記暗号化平文化処理部は前記入力多重化部が多重化したフレームについて処理を行うことを特徴とする請求項１あるいは２に記載の転送装置。
　前記スイッチング処理部は前記暗号化平文化処理部へ送信するフレームが通過する暗号化平文化パスと前記暗号化平文化処理部へ送信しないフレームが通過する低遅延パスとを備えることを特徴とする請求項１あるいは２に記載の転送装置。
　請求項１あるいは２に記載の転送装置と、
　前記フレームを生成する端末装置と、
　前記転送装置間を接続する中継ネットワークと、
を備える通信ネットワーク。