JPH0669962A - ネットワーク接続装置およびネットワーク通信方式 - Google Patents

ネットワーク接続装置およびネットワーク通信方式

Info

Publication number
JPH0669962A
JPH0669962A JP24004692A JP24004692A JPH0669962A JP H0669962 A JPH0669962 A JP H0669962A JP 24004692 A JP24004692 A JP 24004692A JP 24004692 A JP24004692 A JP 24004692A JP H0669962 A JPH0669962 A JP H0669962A
Authority
JP
Japan
Prior art keywords
network
packet
data
connection device
network connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP24004692A
Other languages
English (en)
Inventor
Hiromi Ota
裕美 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP24004692A priority Critical patent/JPH0669962A/ja
Publication of JPH0669962A publication Critical patent/JPH0669962A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【目的】 コネクションレス型パケットを用いて通信す
る複数のサブネットワークから成るネットワークにおけ
るネットワーク接続装置およびネットワーク通信方式に
おいて、機密保護を行うこと。 【構成】 機密保護し得ないサブネットワークを挟んだ
地点間で機密の通信をしようとする場合に、それらの地
点に、図のような特別の構成を持ったネットワーク接続
装置Rを設置する。このネットワーク接続装置では、そ
こから送信する経路中に機密保護し得ない範囲がある場
合には、最初の送信終端装置および最後の宛先終端装置
を含めてデータを暗号化し、それを機密保護し得ない範
囲を抜けたところに位置するネットワーク接続装置宛の
パケット構成にして送る。それを受け取ったネットワー
ク接続装置は、暗号化されたデータを復号化し、最終宛
先の終端装置へ、通常のパケット構成で送る。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、コネクションレス型パ
ケットを用いて通信する複数のサブネットワークから成
るネットワークにおけるネットワーク接続装置およびネ
ットワーク通信方式に関するものである。
【0002】
【従来の技術】パケット通信には、コネクションオリエ
ンテッド型(またはコネクション型)パケット通信と、
コネクションレス型パケット通信とがある。コネクショ
ンオリエンテッド型パケット通信は、通信回線の接続
(フェーズ1),データリンクの設定と確立(フェーズ
2)を行ってから、情報あるいはメッセージ本体の伝送
(フェーズ3)を行うものである。コネクションレス型
パケット通信は、いきなりフェーズ3を行うものであ
る。本発明は、後者に関係している。
【0003】データ通信のネットワークには、複数のサ
ブネットワークがネットワーク接続装置を介して接続さ
れて構成されたものがある。しかしながら、サブネット
ワークには、そのままの形で通信したのでは、機密の守
れないものがある。
【0004】一般公衆回線交換網や公衆電話網などの不
特定の第3者によって接続可能なサブネットワークで
は、機密を守ることができない。このようなサブネット
ワークは、Black なサブネットワークと言われる。一
方、企業内回線交換網や企業内LAN(Local Area Net
work)のように、不特定の第3者による接続が不可能な
サブネットワークは、White なサブネットワークと言わ
れる。
【0005】図6は、Black のサブネットワークとWhit
e のサブネットワークとが含まれているネットワークの
1例を示す図である。図6において、50〜56はネッ
トワーク接続装置、57〜59は終端装置、E〜H,K
はサブネットワークである。終端装置57〜59が、デ
ータ通信のエンドユーザーであり、最初にこれらからパ
ケットは発信され、最終的にこれらに送り届けられる。
ネットワーク接続装置50〜56は、サブネットワーク
間の接続を行う。この例では、サブネットワークHはBl
ack であり、サブネットワークKはWhite である。
【0006】終端装置57から終端装置59へパケット
を送る場合、次の2つの経路が考えられる。第1の経路
は、終端装置57→ネットワーク接続装置52→サブネ
ットワークK→ネットワーク接続装置56→終端装置5
9という経路である。第2の経路は、終端装置57→ネ
ットワーク接続装置51→サブネットワークH→ネット
ワーク接続装置55→終端装置59という経路である。
第2の経路で送られた場合、Black のサブネットワーク
Hを通るので、機密保護は保証されない。
【0007】そこで、機密保護のための通信方式とし
て、事前にパスワードを交換することにより、相手を確
認してから送るネットワーク通信方式を、出願人は既に
提案している(特願平4− 26900号)。図2は、そのよ
うな通信方式で用いられるネットワーク接続装置を示す
図である。図2において、10は転送先決定部、11は
経路選択部、12は経路管理部、13は経路記憶部、1
4はパケット処理部、15はインタフェース、16は認
証情報返信部、17は信頼性決定部、Rはネットワーク
接続装置である。
【0008】各インタフェース15は、例えばLANと
か公衆回線網とか専用線とかと接続するためのインタフ
ェースであり、接続する相手によってその内部構成は異
なる。これらのインタフェースは、どのようなサブネッ
トワークに接続するかによって、適宜設けられる。
【0009】或るインタフェースを介して受け取られた
パケットは、パケット処理部14で処理された後、別の
インタフェースを介して送り出される。パケット処理部
14は、受け取ったパケットの情報を読み取り、次の転
送先へ送り出せる形に処理する(例えば、次の宛先を付
与する)。転送先決定部10〜経路記憶部13は、その
処理をする際に補助的な役割を果たす。
【0010】経路記憶部13はネットワークの経路に関
するデータベースを記憶しており、経路管理部12は、
経路の削除,変更,追加等があった場合にデータベース
を更新して管理する。経路選択部11は、経路記憶部1
3のデータを参考にして、パケットを送る経路を選択す
る。転送先決定部10は、次に転送すべき箇所を決定す
る。
【0011】信頼性決定部17は、選択した経路が機密
保護の上で信頼できるか否か決定する。送ろうとしてい
る相手のネットワーク接続装置に、まず予め定めてある
パスワードを送ってみる。相手から認証情報が返信され
て来ると信頼できる相手と判断し、データを送る。認証
情報返信部16は、自己がパスワードを受け取った場合
に、認証情報を返信する部分である。
【0012】このようなデータ通信の従来技術に関する
文献としては、例えば特開昭64−68044 号公報, 特開平
3− 13146号公報がある。
【0013】
【発明が解決しようとする課題】(問題点)しかしなが
ら、パスワード交換によって機密保護を行う前記した従
来のネットワーク接続装置およびネットワーク通信方式
では、予め機密保護のパスワードを定めているネットワ
ーク接続装置同士の間で直接行う通信の場合には機密保
護できるが、途中に他のネットワーク接続装置等があ
り、それを介して間接的に行う通信の場合には機密保護
できないという問題点があった。
【0014】(問題点の説明)図6において、ネットワ
ーク接続装置51とネットワーク接続装置55とが、機
密保護のためのパスワード交換を行い得るよう構成され
た、図2のようなネットワーク接続装置であるとする。
両者は回線をupする際、経路がBlack かWhiteかを判断
する。
【0015】しかし、経路が複数のサブネットワークか
らなり、間に他のネットワーク接続装置が介在するよう
な場合は、パスワード交換では機密保護できない場合が
ある。次に、その例を示す。
【0016】図10は、複数のサブネットワークから成
るネットワークの他の例である。A〜Dはサブネットワ
ーク、1〜6は終端装置、7〜9はネットワーク接続装
置である。サブネットワークA,C,Dは、例えばLA
N(Local Area Network) であり、サブネットワークB
は、公衆回線網(X.25)である。
【0017】各サブネットワークには、エンドユーザー
である終端装置が接続されている。例えば、サブネット
ワークAには、終端装置1,2が接続されている。サブ
ネットワークとサブネットワークとの接続は、ネットワ
ーク接続装置によって行われる。例えば、サブネットワ
ークAとサブネットワークBとの接続は、ネットワーク
接続装置7によって行われる。
【0018】ネットワーク内にある終端装置やネットワ
ーク接続装置に対しては、ネットワーク全体で通用する
ネットワークアドレスと、関与しているサブネットワー
ク内で通用するサブネットワークアドレスとが付与され
ている。終端装置が関与するサブネットワークは1つで
あるから、そのサブネットワークアドレスは1つである
が、ネットワーク接続装置が関与するサブネットワーク
は複数であるから、複数個のサブネットワークアドレス
が付与されている。
【0019】パケットは、最初に或る終端装置から送り
出され、他の終端装置へ届けられることにより、目的を
達する。他のサブネットワークの終端装置へ送る場合に
は、ネットワーク接続装置を経由して届けられる。例え
ば、図10の終端装置1から終端装置6へ送る場合に
は、点線で示すように、終端装置1→ネットワーク接続
装置7→ネットワーク接続装置8→ネットワーク接続装
置9→終端装置6という経路で届けられる。
【0020】サブネットワークBは公衆回線網であるた
め、ここを通るときに機密が漏れる可能性があり、Blac
k の疑いがある。仮に、ネットワーク接続装置7,8は
パスワード交換により機密保護をした通信が出来るもの
であったとしても、途中に介在するネットワークで機密
が漏れる場合もあり、完全に機密の保護ができるわけで
はない。
【0021】なぜなら、転送されるパケットは、途中で
通過するサブネットワークにおいて、何らかの手段によ
ってデータ内容や最終宛先等に関する情報が盗まれる可
能性がある。
【0022】前記したようなLANを含むネットワーク
では、そのプロトコル体系として、図8に示すような開
放型システム間相互接続の基本参照モデル(ISO 7498 I
nformation processing systems, Open Systems Interc
onnection Basic referencemodel )が採用されてい
る。これは、第1層物理層,第2層データリンク層,第
3層ネットワーク層,第4層トランスポート層,第5層
セッション層,第6層プレゼンテーション層,第7層ア
プリケーション層の7層から構成されている。従って、
パケットの構成も、このプロトコル体系に則った形にさ
れる。
【0023】図7は、パケットの構成を示す図である。
20はパケット、21は宛先サブネットワークアドレ
ス、22は送信サブネットワークアドレス、23,25
はその他の情報部、24はデータ部、24Dはパケット
データ、26はプロトコルヘッダおよびFixed Part、2
7は最終宛先装置ネットワークアドレス、28は送信元
装置ネットワークアドレス、29はその他の情報部、3
0は第4〜7層のデータである。データ部24には、パ
ケットデータ24Dが格納される。
【0024】図10のネットワークの終端装置1から終
端装置6に向けて発送する際のパケットを例にとり、宛
先サブネットワークアドレス21等の各アドレスに記載
する値について説明する。なお、サブネットワークアド
レスは、関係するサブネットワークの符号(A,B,
C,D)を付して表し、ネットワークアドレスはNを付
して表すことにする。送信サブネットワークアドレス2
2には、このパケットを送りだす箇所のアドレス、つま
り終端装置1のサブネットワークアドレス(1A)を記
載する。
【0025】宛先サブネットワークアドレス21には、
もし、終端装置6が終端装置1と同じサブネットワーク
A内にあれば、終端装置6のサブネットワークアドレス
が記載される。しかし、終端装置6は遙か離れたサブネ
ットワークDにあるので、そこへ行くためには、他のサ
ブネットワークを越えて行かなければならない。そうい
う場合には、当面の宛先であるネットワーク接続装置7
の、サブネットワークAに関するサブネットワークアド
レス(7A)が記載される。このように、宛先サブネッ
トワークアドレス21と送信サブネットワークアドレス
22とは、サブネットワークを越える毎に、書き換えら
れる。
【0026】最終宛先装置ネットワークアドレス27に
は、最終的に送り届けたい終端装置6のネットワークア
ドレス(6N)が記載され、送信元装置ネットワークア
ドレス28には、最初に送り出す送信元終端装置1のネ
ットワークアドレス(1N)が記載される。各パケット
は最終宛先である終端装置6に到着した後、送出時に指
定した順序に組み立てられる。
【0027】図9は、図10のネットワークを搬送され
るパケットの構成の変化を示す図である。符号は図7の
ものに対応している。図9(イ)は、終端装置1からネ
ットワーク接続装置7へ送る場合のパケット構成であ
り、既に述べた。
【0028】図9(ロ)は、ネットワーク接続装置7か
らネットワーク接続装置8へ送る場合のパケット構成で
ある。送信サブネットワークアドレス22が、ネットワ
ーク接続装置7のサブネットワークBに関するサブネッ
トワークアドレス(7B)と書き換えられ、宛先サブネ
ットワークアドレス21が、ネットワーク接続装置8の
サブネットワークBに関するサブネットワークアドレス
(8B)に書き換えられている。送信元装置ネットワー
クアドレス28,最終宛先装置ネットワークアドレス2
7は、元のままである。
【0029】図9(ハ)は、ネットワーク接続装置8か
らネットワーク接続装置9へ送る場合のパケット構成で
ある。送信サブネットワークアドレス22が、ネットワ
ーク接続装置8のサブネットワークCに関するサブネッ
トワークアドレス(8C)と書き換えられ、宛先サブネ
ットワークアドレス21が、ネットワーク接続装置9の
サブネットワークCに関するサブネットワークアドレス
(9C)に書き換えられている。送信元装置ネットワー
クアドレス28,最終宛先装置ネットワークアドレス2
7は、元のままである。
【0030】図9(ニ)は、ネットワーク接続装置9か
ら終端装置6へ送る場合のパケット構成である。送信サ
ブネットワークアドレス22が、ネットワーク接続装置
9のサブネットワークDに関するサブネットワークアド
レス(9D)と書き換えられ、宛先サブネットワークア
ドレス21が終端装置6のサブネットワークアドレス
(6D)に書き換えられている。送信元装置ネットワー
クアドレス28,最終宛先装置ネットワークアドレス2
7は、元のままである。
【0031】このように、パケットは、途中のサブネッ
トワークやネットワーク接続装置で、どの終端装置から
どの終端装置への通信であるか等が解析されるから、機
密保護の保証がないサブネットワークやネットワーク接
続装置を経由する場合には、データが盗まれる恐れがあ
る。本発明は、このような問題点を解決することを課題
とするものである。
【0032】
【課題を解決するための手段】前記課題を解決するた
め、本発明では、コネクションレス型パケットにより通
信を行うネットワークを構成するため複数のサブネット
ワークを接続する個所に設けられ、受け取ったパケット
の情報を解析して送出経路を選定し新たなパケットを送
出するネットワーク接続装置において、機密保護し得な
い範囲を送出経路毎に記憶させておく機密保護必要経路
記憶部と、暗号化および復号化処理部と、パケットの最
終宛先に基づいて選定した転送経路が前記機密保護必要
経路記憶部に記憶されている機密保護必要経路を通過す
るものである場合にパケットのネットワーク層に関する
データの暗号化を決定する暗号化決定部と、機密保護し
得ない範囲を抜けたところに位置するネットワーク接続
装置を前記暗号化したデータの最終宛先として処理する
カプセル化部とを具え、カプセル化したデータをパケッ
トに組み込んで送出することとした。
【0033】また、コネクションレス型パケットを用い
て通信する複数のサブネットワークがネットワーク接続
装置を介して接続されて成るネットワークにおけるネッ
トワーク通信方式において、送信側のネットワーク接続
装置では、受け取ったパケットの最終宛先までの経路中
に機密保護し得ない範囲が含まれている場合に、受け取
ったパケットのネットワーク層に関するデータを暗号化
し、前記範囲を越えた個所にあるネットワーク接続装置
を前記暗号化したデータの最終宛先として新たなパケッ
トに組み込んで送出し、最終宛先とされたネットワーク
接続装置では、暗号化されたデータを復号化して次へ送
出することとした。
【0034】
【作 用】本発明では、コネクションレス型パケット
を用いて通信する複数のサブネットワークがネットワー
ク接続装置を介して接続されて成るネットワークにおい
て、機密保護し得ないサブネットワークを挟んだ地点間
で機密の通信をしようとする場合に、それらの地点に、
特別の構成を持ったネットワーク接続装置を設置する。
【0035】このネットワーク接続装置では、そこから
送信する経路中に機密保護し得ない範囲がある場合に
は、最初の送信終端装置および最後の宛先終端装置のア
ドレス情報を含めてデータを暗号化し、それを機密保護
し得ない範囲を抜けたところに位置するネットワーク接
続装置宛のパケット構成にして送る(カプセル化)。そ
れを受け取ったネットワーク接続装置は、暗号化された
データを復号化し、最終宛先の終端装置へ、通常のパケ
ット構成で送る。
【0036】機密保護し得ない範囲内にあっては、その
範囲を抜けたところに位置するネットワーク接続装置あ
ての通常のパケットという形で通過するから、一体どの
終端装置同士の間で通信が行われたのかということを隠
すことが出来る。また、データは暗号化されているか
ら、その内容を隠すことが出来る。
【0037】
【実施例】以下、本発明の実施例を図面に基づいて詳細
に説明する。図1は、本発明のネットワーク接続装置で
ある。符号は図2のものに対応し、40は暗号化・復号
化処理部、41はデータカプセル化部、42は暗号化決
定部、43は機密保護必要経路記憶部である。これら
は、機密保護のために特別に設けられた構成である。こ
のような構成を有するネットワーク接続装置を、機密保
護できるサブネットワークと出来ないサブネットワーク
との接続部分に設置する。以下、各構成部について説明
する。なお、図2と同じ符号のものは同様の動作,機能
を果たすので、その説明は省略する。
【0038】機密保護必要経路記憶部43は、どの経路
でパケットを送る場合は、どのネットワーク接続装置ま
では機密保護が保証されていないかを記憶しておく。例
えば、図10のネットワーク接続装置7の機密保護必要
経路記憶部43は、サブネットワークBの方向に送り出
す場合、ネットワーク接続装置9までは機密保護が保証
されないと記憶しておく。
【0039】暗号化決定部42は、経路選択部11で選
択した経路が機密保護必要経路記憶部43に記憶してあ
る経路に相当するか否かを調べ、相当する場合には、図
7のパケットデータ24Dを暗号化することを決定す
る。暗号化は、暗号化・復号化処理部40で行う。暗号
化の手法は、任意のものを採用することが出来る。暗号
化・復号化処理部40は、暗号化されたデータを受け取
った時に、復号化することも行う。
【0040】データカプセル化部41は、機密保護し得
ない範囲を抜けたところに位置するネットワーク接続装
置をあたかも最終宛先とし、自己のネットワーク接続装
置をあたかも最初の送信元として、前記の暗号化データ
を送信データとしてパケット内に組み込む(これを、説
明の便宜上、「カプセル化」ということにする)処理を
する。
【0041】図3は、暗号化データをカプセル化したパ
ケットの構成を示す図である。符号は図7のものに対応
し、31はカプセル構成体、32はプロトコルおよびFi
xedPart、33は最終宛先ネットワーク接続装置ネット
ワークアドレス、34は送信元ネットワーク接続装置ネ
ットワークアドレス、35はその他の情報部、36は暗
号化データ格納部である。
【0042】本発明のネットワーク接続装置で、受け取
ったパケットを解析した結果、機密保護が出来ない経路
に送り出さなければならないことが判明した時には、ネ
ットワーク層に関するパケットデータ24Dを暗号化
し、それを通常のパケットの送信データと同じ扱いとし
て、暗号化データ格納部36に格納する。
【0043】そして、通常のパケット構成では、最終宛
先装置ネットワークアドレス27(図7参照)に相当す
るところの最終宛先ネットワーク接続装置ネットワーク
アドレス33に、機密保護し得ない範囲を抜けたところ
に位置するネットワーク接続装置のネットワークアドレ
スを記載する。また、通常のパケット構成では、送信元
装置ネットワークアドレス28(図7参照)に相当する
ところの送信元ネットワーク接続装置ネットワークアド
レス34に、自己のネットワークアドレス即ちパケット
を発送しようとしているネットワーク接続装置のネット
ワークアドレスを記載する。
【0044】図4は、カプセル化データを格納したパケ
ットの具体例を示す。これは、図10のネットワーク
で、ネットワーク接続装置7,9間は機密保護し得ない
範囲であるので、両者間で機密が漏れない通信をするた
めに、ネットワーク接続装置7,9として本発明のネッ
トワーク接続装置を使用しているという環境において、
終端装置1から終端装置6へ送るパケットが、ネットワ
ーク接続装置7で作り直された状態のものである。
【0045】符号は図3のものに対応している。送信元
装置ネットワークアドレス28のアドレスが終端装置1
のネットワークアドレス(1N)とされ、最終宛先装置
ネットワークアドレス27が終端装置6のネットワーク
アドレス(6N)とされたパケットデータ24Dが、そ
のままの形で暗号化され、暗号化データ格納部36に格
納される。送信元ネットワーク接続装置ネットワークア
ドレス34は、このパケットを今まさに発送しようとし
ているネットワーク接続装置7のネットワークアドレス
(7N)とされている。最終宛先ネットワーク接続装置
ネットワークアドレス33は、機密保護し得ない範囲を
抜けたところに位置するネットワーク接続装置9のネッ
トワークアドレス(9N)とされている。
【0046】送信サブネットワークアドレス22は、こ
のパケットを今まさに発送しようとしているネットワー
ク接続装置7の、サブネットワークBに関するサブネッ
トワークアドレス(7B)とされ、宛先サブネットワー
クアドレス21は、当面の送り先であるネットワーク接
続装置8の、サブネットワークBに関するサブネットワ
ークアドレス(8B)とされている。
【0047】パケットがこのような構成で送られれば、
機密保護し得ない途中のネットワーク接続装置では、最
初の送信元がネットワーク接続装置7,最終的な宛先が
ネットワーク接続装置9である通常のパケットとして取
り扱われる。従って、真の送信元や真の最終宛先がどこ
であるかは全く分からないままで、機密保護し得ない範
囲を抜けたところに位置するネットワーク接続装置まで
送られて行く。また、仮に途中のネットワーク接続装置
で送信データを盗もうとしても、その部分は暗号化され
ているから、内容を知ることは出来ない。
【0048】機密保護し得ない範囲を抜けたところに位
置するネットワーク接続装置9も、本発明の構成を有す
るネットワーク接続装置とされているわけであるが、パ
ケットを受け取ると、暗号化されカプセル化されて来た
ものかどうか判断する。その判断は、送信元がどこであ
るかということと(上例の場合、ネットワーク接続装置
7)、機密保護必要経路記憶部43に登録されている経
路を通って来たかどうかということとを調べて行う。
【0049】暗号化されたものであることが判明した場
合には、暗号化・復号化処理部40により元のパケット
データ24Dに復号化し、これを通常のパケット構成
で、真の最終宛先である終端装置6へ送る。
【0050】図5は、本発明のネットワーク接続装置の
上述したような送信動作を表すフローチャートである。 ステップ1…パケットを受け取る。 ステップ2…受け取ったパケットを解析し、経路を選択
し、次に送信する宛先を決定する。 ステップ3…選択した経路が、機密保護の措置をとるこ
とが必要な経路かどうかを、機密保護必要経路記憶部4
3を参照してチェックする。通らなければ、機密保護の
措置をとることなく次へ送信する。 ステップ4…機密保護を必要とする経路を通る場合は、
送信データを最終宛先および最初の送信元の情報を含め
て暗号化する。 ステップ5…暗号化したデータを、カプセル化する。 ステップ6…次の宛先に送信する。
【0051】なお、本発明のネットワーク通信方式を実
施するには、ネットワーク全体のネットワーク接続装置
を本発明の構成のものに変える必要はなく、単に機密保
護をした通信をしようとしている地点にのみ、本発明の
ネットワーク接続装置を設置すればよいので、安いコス
トで容易に実施することが出来る。
【0052】
【発明の効果】以上述べた如く、本発明のネットワーク
接続装置およびネットワーク通信方式によれば、機密保
護し得ないサブネットワークを挟んだ地点間で機密の通
信をしようとする場合に、そこから送信する経路中に機
密保護し得ない範囲がある場合には、最初の送信終端装
置および最後の宛先終端装置を含めてデータを暗号化
し、それを機密保護し得ない範囲を抜けたところに位置
するネットワーク接続装置宛のパケット構成にして(カ
プセル化して)送る。
【0053】そのため、機密保護し得ない範囲内にあっ
ては、その範囲を抜けたところに位置するネットワーク
接続装置あての通常のパケットという形で通過するか
ら、一体どの終端装置同士の間で通信が行われたのかと
いうことを隠すことが出来る。また、データは暗号化さ
れているから、その内容を隠すことが出来る。
【図面の簡単な説明】
【図1】 本発明のネットワーク接続装置
【図2】 従来のネットワーク接続装置
【図3】 カプセル化データを格納したパケットの一般
的な構成を示す図
【図4】 カプセル化データを格納したパケットの具体
例を示す図
【図5】 本発明のネットワーク接続装置の送信動作を
表すフローチャート
【図6】 Black のサブネットワークとWhite のサブネ
ットワークとが含まれているネットワークの1例を示す
【図7】 パケットの構成を示す図
【図8】 開放型システム間相互接続の基本参照モデル
を示す図
【図9】 図10のネットワークを搬送されるパケット
の構成の変化を示す図
【図10】 複数のサブネットワークから成るネットワ
ークの他の例を示す図
【符号の説明】
1〜6…終端装置、7〜9…ネットワーク接続装置、1
0…転送先決定部、11…経路選択部、12…経路管理
部、13…経路記憶部、14…パケット管理部、15…
インタフェース、16…認証情報返信部、17…信頼性
決定部、20…パケット、24D,24D1 ,24D2
…パケットデータ、31…カプセル構成体、40…暗号
化・復号化処理部、41…データカプセル化部、42…
暗号化決定部、43…機密保護必要経路記憶部、50〜
56…ネットワーク接続装置、57〜59…終端装置、
A〜H,K…サブネットワーク、Rはネットワーク接続
装置
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.5 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/12 12/28 12/56 8529−5K H04L 11/00 310 C 8529−5K 11/20 102 D

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 コネクションレス型パケットにより通信
    を行うネットワークを構成するため複数のサブネットワ
    ークを接続する個所に設けられ、受け取ったパケットの
    情報を解析して送出経路を選定し新たなパケットを送出
    するネットワーク接続装置において、機密保護し得ない
    範囲を送出経路毎に記憶させておく機密保護必要経路記
    憶部と、暗号化および復号化処理部と、パケットの最終
    宛先に基づいて選定した転送経路が前記機密保護必要経
    路記憶部に記憶されている機密保護必要経路を通過する
    ものである場合にパケットのネットワーク層に関するデ
    ータの暗号化を決定する暗号化決定部と、機密保護し得
    ない範囲を抜けたところに位置するネットワーク接続装
    置を前記暗号化したデータの最終宛先として処理するカ
    プセル化部とを具え、カプセル化したデータをパケット
    に組み込んで送出することを特徴とするネットワーク接
    続装置。
  2. 【請求項2】 コネクションレス型パケットを用いて通
    信する複数のサブネットワークがネットワーク接続装置
    を介して接続されて成るネットワークにおけるネットワ
    ーク通信方式において、送信側のネットワーク接続装置
    では、受け取ったパケットの最終宛先までの経路中に機
    密保護し得ない範囲が含まれている場合に、受け取った
    パケットのネットワーク層に関するデータを暗号化し、
    前記範囲を越えた個所にあるネットワーク接続装置を前
    記暗号化したデータの最終宛先として新たなパケットに
    組み込んで送出し、最終宛先とされたネットワーク接続
    装置では、暗号化されたデータを復号化して次へ送出す
    ることを特徴とするネットワーク通信方式。
JP24004692A 1992-08-17 1992-08-17 ネットワーク接続装置およびネットワーク通信方式 Pending JPH0669962A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP24004692A JPH0669962A (ja) 1992-08-17 1992-08-17 ネットワーク接続装置およびネットワーク通信方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP24004692A JPH0669962A (ja) 1992-08-17 1992-08-17 ネットワーク接続装置およびネットワーク通信方式

Publications (1)

Publication Number Publication Date
JPH0669962A true JPH0669962A (ja) 1994-03-11

Family

ID=17053676

Family Applications (1)

Application Number Title Priority Date Filing Date
JP24004692A Pending JPH0669962A (ja) 1992-08-17 1992-08-17 ネットワーク接続装置およびネットワーク通信方式

Country Status (1)

Country Link
JP (1) JPH0669962A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0927804A (ja) * 1994-09-15 1997-01-28 Sun Microsyst Inc コンピュータ・システム間のデータ・パケットの送受信方法及びそのシステム
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
US6775769B1 (en) 1999-11-26 2004-08-10 Mitsubishi Denki Kabushiki Kaisha Cryptographic apparatus, encryptor, and decryptor
JP2007174639A (ja) * 2006-12-04 2007-07-05 Sony Corp データ伝送制御方法
US7865946B2 (en) 1998-05-12 2011-01-04 Sony Corporation Data transmission controlling method and data transmission system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0927804A (ja) * 1994-09-15 1997-01-28 Sun Microsyst Inc コンピュータ・システム間のデータ・パケットの送受信方法及びそのシステム
US7865946B2 (en) 1998-05-12 2011-01-04 Sony Corporation Data transmission controlling method and data transmission system
US6775769B1 (en) 1999-11-26 2004-08-10 Mitsubishi Denki Kabushiki Kaisha Cryptographic apparatus, encryptor, and decryptor
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
JP2007174639A (ja) * 2006-12-04 2007-07-05 Sony Corp データ伝送制御方法

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
US5416842A (en) Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US6266704B1 (en) Onion routing network for securely moving data through communication networks
JP3742772B2 (ja) 通信システムにおける完全性のチェック
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
US8190899B1 (en) System and method for establishing a remote connection over a network with a personal security device connected to a local client without using a local APDU interface or local cryptography
EP0693836A1 (en) Method and apparatus for a key-management scheme for internet protocols.
US7574737B1 (en) Systems and methods for secure communication over a wireless network
WO1997026735A1 (en) Key management for network communication
JP4752064B2 (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
GB2287619A (en) Security device for data communications networks
JPH0669962A (ja) ネットワーク接続装置およびネットワーク通信方式
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
US20040037284A1 (en) Method for secure packet-based communication between two units via an intermedia unit
US20040186990A1 (en) Method of e-mail encryption
JP2001237824A (ja) 情報通信中継装置
JP4752063B2 (ja) アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置
JP3005490B2 (ja) Hub間データ暗号化によるデータセキュリティ確保装置と方法
JP4752062B2 (ja) アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置
JP3472098B2 (ja) 移動計算機装置、中継装置及びデータ転送方法
JP3962050B2 (ja) パケット暗号化方法及びパケット復号化方法
JP2001094600A (ja) メッセージ転送ノード及びネットワーク
TW512263B (en) On-demand system and method for access repeater used in Virtual Private Network
Verschuren Security of computer networks