JPH07170280A - ローカルエリアネットワーク - Google Patents
ローカルエリアネットワークInfo
- Publication number
- JPH07170280A JPH07170280A JP5314617A JP31461793A JPH07170280A JP H07170280 A JPH07170280 A JP H07170280A JP 5314617 A JP5314617 A JP 5314617A JP 31461793 A JP31461793 A JP 31461793A JP H07170280 A JPH07170280 A JP H07170280A
- Authority
- JP
- Japan
- Prior art keywords
- data
- node
- encryption
- network
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】 各端末装置でデータの暗号化と復号化を行な
わなくても端末装置間でデータを暗号化して送受信でき
るようにする。 【構成】 IPネットワークNET−1の送信元の端末
装置であるノードAから送信される元データを暗号化サ
ーバS1が暗号化データに変換してノードAへ返送し、
ノードAはその暗号化されたデータをIPネットワーク
NET−3の送信元の端末装置であるノードCへ送る。
一方、IPネットワークNET−3の受信先の端末装置
であるノードCから送信される暗号化データを暗号化サ
ーバS2が解読して元データに復元してノードCへ返送
する。
わなくても端末装置間でデータを暗号化して送受信でき
るようにする。 【構成】 IPネットワークNET−1の送信元の端末
装置であるノードAから送信される元データを暗号化サ
ーバS1が暗号化データに変換してノードAへ返送し、
ノードAはその暗号化されたデータをIPネットワーク
NET−3の送信元の端末装置であるノードCへ送る。
一方、IPネットワークNET−3の受信先の端末装置
であるノードCから送信される暗号化データを暗号化サ
ーバS2が解読して元データに復元してノードCへ返送
する。
Description
【0001】
【産業上の利用分野】この発明は、複数の端末装置をネ
ットワークを介して接続したローカルエリアネットワー
クに関する。
ットワークを介して接続したローカルエリアネットワー
クに関する。
【0002】
【従来の技術】従来、EthernetやIEEE80
2.3等の規格のローカルエリアネットワーク(以下
「LAN」と略称する)では、各端末装置(以下「ノー
ド」と略称する)間で送受信するパケットの内容の秘密
を守るため、送信側のノードで送信すべきパケットの内
容を所定の暗号系によって暗号化して相手先のノードへ
送信し、その相手先である受信側のノードではその受信
した暗号化されたパケットを解読して元のデータ内容に
復元していた。
2.3等の規格のローカルエリアネットワーク(以下
「LAN」と略称する)では、各端末装置(以下「ノー
ド」と略称する)間で送受信するパケットの内容の秘密
を守るため、送信側のノードで送信すべきパケットの内
容を所定の暗号系によって暗号化して相手先のノードへ
送信し、その相手先である受信側のノードではその受信
した暗号化されたパケットを解読して元のデータ内容に
復元していた。
【0003】この暗号系は、誰が読んでも理解できる情
報を予め決められた暗号化キー(単に「キー」とも称す
る)に基づいて意味の分からない暗号文に変換し、その
暗号文を暗号化されたときに使用した同じ暗号化キーに
基づいて解読して元の情報に復元(これを「復号化」と
称する)する技術である。
報を予め決められた暗号化キー(単に「キー」とも称す
る)に基づいて意味の分からない暗号文に変換し、その
暗号文を暗号化されたときに使用した同じ暗号化キーに
基づいて解読して元の情報に復元(これを「復号化」と
称する)する技術である。
【0004】一般に、暗号系としては標準暗号に制定さ
れているDES暗号法,FEAL暗号法等の共通キー暗
号系が知られており、その共通キー暗号系は、送受信者
間で等しい暗号化キーと復号化キーを共有し、その共通
のキーでデータの暗号化と復号(復元)化を行なう方法
である。
れているDES暗号法,FEAL暗号法等の共通キー暗
号系が知られており、その共通キー暗号系は、送受信者
間で等しい暗号化キーと復号化キーを共有し、その共通
のキーでデータの暗号化と復号(復元)化を行なう方法
である。
【0005】
【発明が解決しようとする課題】しかしながら、上述し
た従来のLANでは、通信の秘密を守るためのパケット
の暗号化が標準化(規格化)されていないため、送信側
のノードでパケットの内容を暗号化して送信し、受信側
のノードでその受信したパケットの暗号化されたデータ
内容を解読して元のデータに復元しなければならなかっ
た。
た従来のLANでは、通信の秘密を守るためのパケット
の暗号化が標準化(規格化)されていないため、送信側
のノードでパケットの内容を暗号化して送信し、受信側
のノードでその受信したパケットの暗号化されたデータ
内容を解読して元のデータに復元しなければならなかっ
た。
【0006】したがって、各ノードの処理負担がかかっ
てしまううえに、暗号化キーの変更や暗号系(暗号化方
式)の変更時に、LAN上の全てのノードの設定変更を
行なわなければならなくなって大変不便であるという問
題があった。
てしまううえに、暗号化キーの変更や暗号系(暗号化方
式)の変更時に、LAN上の全てのノードの設定変更を
行なわなければならなくなって大変不便であるという問
題があった。
【0007】また、ローカルなネットワーク環境ではネ
ットワークが管理状態に置かれていおり、または管理し
易いので、ネットワークの信頼性は高いが、外部のネッ
トワークを介して複数のネットワーク間の端末装置間で
通信を行なえるようにした場合、データがどのようなネ
ットワークの経路を通って送受信されて相手に到達する
のか分からないので、途中で外部のものにデータ内容を
覗かれてしまう危険があるという問題も有った。
ットワークが管理状態に置かれていおり、または管理し
易いので、ネットワークの信頼性は高いが、外部のネッ
トワークを介して複数のネットワーク間の端末装置間で
通信を行なえるようにした場合、データがどのようなネ
ットワークの経路を通って送受信されて相手に到達する
のか分からないので、途中で外部のものにデータ内容を
覗かれてしまう危険があるという問題も有った。
【0008】この発明は上記の点に鑑みてなされたもの
であり、各端末装置でデータの暗号化と復号化を行なわ
なくても端末装置間でデータを暗号化して送受信できる
ようにすることを目的とする。
であり、各端末装置でデータの暗号化と復号化を行なわ
なくても端末装置間でデータを暗号化して送受信できる
ようにすることを目的とする。
【0009】
【課題を解決するための手段】この発明は上記の目的を
達成するため、複数の端末装置間でデータを送受信可能
にネットワークで接続し、そのネットワークに、送信元
の端末装置から送信される元データを暗号化データに変
換してその送信元の端末装置へ返送し、受信先の端末装
置から送信される暗号化データを解読して元データに復
元してその受信先の端末装置へ返送する手段を有する暗
号化サーバを設けたローカルエリアネットワークを提供
する。
達成するため、複数の端末装置間でデータを送受信可能
にネットワークで接続し、そのネットワークに、送信元
の端末装置から送信される元データを暗号化データに変
換してその送信元の端末装置へ返送し、受信先の端末装
置から送信される暗号化データを解読して元データに復
元してその受信先の端末装置へ返送する手段を有する暗
号化サーバを設けたローカルエリアネットワークを提供
する。
【0010】また、複数の端末装置間でデータを送受信
可能に接続したネットワークを複数接続し、その各ネッ
トワークに、送信元の端末装置から送信される元データ
を暗号化データに変換して他のネットワークの受信先の
端末装置へ送信し、他のネットワークから受信した暗号
化データを解読して元データに復元して受信先の端末装
置へ送信する手段を有する暗号化サーバを設けたローカ
ルエリアネットワークも提供する。
可能に接続したネットワークを複数接続し、その各ネッ
トワークに、送信元の端末装置から送信される元データ
を暗号化データに変換して他のネットワークの受信先の
端末装置へ送信し、他のネットワークから受信した暗号
化データを解読して元データに復元して受信先の端末装
置へ送信する手段を有する暗号化サーバを設けたローカ
ルエリアネットワークも提供する。
【0011】さらに、上記のようなローカルエリアネッ
トワークにおいて、上記各端末装置が、上記暗号化サー
バに対してデータの暗号化又はその解読に必要な暗号化
キーを送信する手段を有し、上記暗号化サーバが、上記
各端末装置から受信した暗号化キーに基づいてデータの
暗号化又はその解読を行なう手段を有するようにすると
よい。
トワークにおいて、上記各端末装置が、上記暗号化サー
バに対してデータの暗号化又はその解読に必要な暗号化
キーを送信する手段を有し、上記暗号化サーバが、上記
各端末装置から受信した暗号化キーに基づいてデータの
暗号化又はその解読を行なう手段を有するようにすると
よい。
【0012】
【作用】この発明によるローカルエリアネットワーク
は、ネットワークに設けた暗号化サーバが、送信元の端
末装置から送信される元データを暗号化データに変換し
てその送信元の端末装置へ返送し、受信先の端末装置か
ら送信される暗号化データを解読して元データに復元し
てその受信先の端末装置へ返送するので、各端末装置で
データの暗号化と復号化を行なわなくても端末装置間で
データを暗号化して送受信できる。
は、ネットワークに設けた暗号化サーバが、送信元の端
末装置から送信される元データを暗号化データに変換し
てその送信元の端末装置へ返送し、受信先の端末装置か
ら送信される暗号化データを解読して元データに復元し
てその受信先の端末装置へ返送するので、各端末装置で
データの暗号化と復号化を行なわなくても端末装置間で
データを暗号化して送受信できる。
【0013】また、それぞれ接続された複数のネットワ
ークに設けた暗号化サーバが、送信元の端末装置から送
信される元データを暗号化データに変換して他のネット
ワークの受信先の端末装置へ送信し、他のネットワーク
から受信した暗号化データを解読して元データに復元し
て受信先の端末装置へ送信するので、各端末装置でデー
タの暗号化と復号化を行なわなくても異なるネットワー
ク間の端末装置間でデータを暗号化して送受信できる。
ークに設けた暗号化サーバが、送信元の端末装置から送
信される元データを暗号化データに変換して他のネット
ワークの受信先の端末装置へ送信し、他のネットワーク
から受信した暗号化データを解読して元データに復元し
て受信先の端末装置へ送信するので、各端末装置でデー
タの暗号化と復号化を行なわなくても異なるネットワー
ク間の端末装置間でデータを暗号化して送受信できる。
【0014】さらに、各端末装置が、暗号化サーバに対
してデータの暗号化又はその解読に必要な暗号化キーを
送信し、暗号化サーバが、各端末装置から受信した暗号
化キーに基づいてデータの暗号化又はその解読を行なう
ようにすれば、その暗号化キーに基づく暗号化方式によ
って暗号化及び復号化を行なえる。
してデータの暗号化又はその解読に必要な暗号化キーを
送信し、暗号化サーバが、各端末装置から受信した暗号
化キーに基づいてデータの暗号化又はその解読を行なう
ようにすれば、その暗号化キーに基づく暗号化方式によ
って暗号化及び復号化を行なえる。
【0015】
【実施例】以下、この発明の実施例を図面に基づいて具
体的に説明する。図1は、この発明の一実施例のローカ
ルエリアネットワーク(LAN)のシステム構成を示す
図である。このローカルエリアネットワークではTCP
/IPプロトコルを用いている。このローカルエリアネ
ットワークは、3つのIPネットワークNET−1,N
ET−2,NET−3がある。
体的に説明する。図1は、この発明の一実施例のローカ
ルエリアネットワーク(LAN)のシステム構成を示す
図である。このローカルエリアネットワークではTCP
/IPプロトコルを用いている。このローカルエリアネ
ットワークは、3つのIPネットワークNET−1,N
ET−2,NET−3がある。
【0016】IPネットワークNET−1には、CP
U,ROM,及びRAMからなるマイクロコンピュータ
を内蔵した端末装置(ノード)AとBが接続されてお
り、同じくマイクロコンピュータを備えた端末装置の一
種であってノードAとBのデータを暗号化及びその解読
(復元)をする暗号化サーバS1が接続されており、2
ネットワーク間でパケットのルーティングを行なうルー
タ(「ゲートウェイ」とも称する)R1が接続されてい
る。
U,ROM,及びRAMからなるマイクロコンピュータ
を内蔵した端末装置(ノード)AとBが接続されてお
り、同じくマイクロコンピュータを備えた端末装置の一
種であってノードAとBのデータを暗号化及びその解読
(復元)をする暗号化サーバS1が接続されており、2
ネットワーク間でパケットのルーティングを行なうルー
タ(「ゲートウェイ」とも称する)R1が接続されてい
る。
【0017】また、IPネットワークNET−2には、
2ネットワーク間でパケットのルーティングを行なうル
ータR2とR3が接続されている。さらに、IPネット
ワークNET−3には、マイクロコンピュータを内蔵し
たノードCが接続されており、同じくマイクロコンピュ
ータを備えた端末装置の一種であってノードCのデータ
を暗号化及びその解読(復元)をする暗号化サーバS2
が接続されており、2ネットワーク間でパケットのルー
ティングを行なうルータR4が接続されている。
2ネットワーク間でパケットのルーティングを行なうル
ータR2とR3が接続されている。さらに、IPネット
ワークNET−3には、マイクロコンピュータを内蔵し
たノードCが接続されており、同じくマイクロコンピュ
ータを備えた端末装置の一種であってノードCのデータ
を暗号化及びその解読(復元)をする暗号化サーバS2
が接続されており、2ネットワーク間でパケットのルー
ティングを行なうルータR4が接続されている。
【0018】そして、ルータR1とR2はネットワーク
NET−4によって結ばれており、ルータR3とR4は
ネットワークNET−5によって結ばれており、IPネ
ットワークNET−1とNET−3の各ノードA,B,
C間でデータを送受信することができ、その際、暗号化
サーバS1とS2によってデータを暗号化し、受信した
暗号化データを復号化する(これを「暗号化通信」と称
する)ことができる。
NET−4によって結ばれており、ルータR3とR4は
ネットワークNET−5によって結ばれており、IPネ
ットワークNET−1とNET−3の各ノードA,B,
C間でデータを送受信することができ、その際、暗号化
サーバS1とS2によってデータを暗号化し、受信した
暗号化データを復号化する(これを「暗号化通信」と称
する)ことができる。
【0019】上記暗号化サーバS1とS2は、送信元の
端末装置から送信される元データを暗号化データに変換
してその送信元の端末装置へ返送し、受信先の端末装置
から送信される暗号化データを解読して元データに復元
してその受信先の端末装置へ返送する手段を有してお
り、この場合、暗号化及びその解読のための暗号化キー
は同じであって暗号化アルゴリズムが同じである。
端末装置から送信される元データを暗号化データに変換
してその送信元の端末装置へ返送し、受信先の端末装置
から送信される暗号化データを解読して元データに復元
してその受信先の端末装置へ返送する手段を有してお
り、この場合、暗号化及びその解読のための暗号化キー
は同じであって暗号化アルゴリズムが同じである。
【0020】図2は、IPネットワークNET−1のノ
ードAからIPネットワークNET−3のノードCへ暗
号化通信を行なうときのデータの流れを示すフローチャ
ートである。ここでは、暗号化サーバS1とS2の暗号
化キー(キーコード)は固定されている場合について説
明する。
ードAからIPネットワークNET−3のノードCへ暗
号化通信を行なうときのデータの流れを示すフローチャ
ートである。ここでは、暗号化サーバS1とS2の暗号
化キー(キーコード)は固定されている場合について説
明する。
【0021】まず、初期化時、ノードAはローカルエリ
アネットワークの暗号化サーバS1のアドレスを登録
し、ノードCはローカルエリアネットワークの暗号化サ
ーバS2のアドレスを登録する。
アネットワークの暗号化サーバS1のアドレスを登録
し、ノードCはローカルエリアネットワークの暗号化サ
ーバS2のアドレスを登録する。
【0022】ノードAは、1パケットの送信要求が発生
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて生データを送信する。暗号化サーバS1は、ノード
Aから受信した生データを暗号化キーを用いて予め設定
されている暗号化方式によって暗号化し、「暗号化済フ
ラグ」を立ててノードAへ返送する。
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて生データを送信する。暗号化サーバS1は、ノード
Aから受信した生データを暗号化キーを用いて予め設定
されている暗号化方式によって暗号化し、「暗号化済フ
ラグ」を立ててノードAへ返送する。
【0023】そして、ノードAは暗号化サーバS1から
受信した暗号化データを暗号化データを示す情報を付加
してIPネットワークNET−3のノードCへ送信(転
送)する。その暗号化データであることを示す情報は、
暗号化データのパケットのヘッダ部に格納すると良い。
受信した暗号化データを暗号化データを示す情報を付加
してIPネットワークNET−3のノードCへ送信(転
送)する。その暗号化データであることを示す情報は、
暗号化データのパケットのヘッダ部に格納すると良い。
【0024】一方、ノードCは、ノードAから受信した
パケットのヘッダ部を調べて、暗号化データであること
を示す情報が格納されていれば、そのパケットが暗号化
データであると判断し、その暗号化データに「解読要求
フラグ」を立てて暗号化サーバS2へ転送する。暗号化
サーバS2は、ノードCから受信した暗号化データを暗
号化キーを用いて解読して復元し、「解読済フラグ」を
セットしてノードCへ返送する。ノードCは、暗号化サ
ーバS2から復元されたデータを得る。
パケットのヘッダ部を調べて、暗号化データであること
を示す情報が格納されていれば、そのパケットが暗号化
データであると判断し、その暗号化データに「解読要求
フラグ」を立てて暗号化サーバS2へ転送する。暗号化
サーバS2は、ノードCから受信した暗号化データを暗
号化キーを用いて解読して復元し、「解読済フラグ」を
セットしてノードCへ返送する。ノードCは、暗号化サ
ーバS2から復元されたデータを得る。
【0025】このようにして、ネットワーク毎にデータ
の暗号化及びその解読を行なう暗号化サーバを設け、そ
の暗号化サーバがネットワーク上の各端末装置に送受信
されるデータの暗号化及びその解読を一括して処理する
ので、各端末装置がデータの暗号化及びその解読に係る
処理を行なわずに済む。
の暗号化及びその解読を行なう暗号化サーバを設け、そ
の暗号化サーバがネットワーク上の各端末装置に送受信
されるデータの暗号化及びその解読を一括して処理する
ので、各端末装置がデータの暗号化及びその解読に係る
処理を行なわずに済む。
【0026】図4はパケットのIPヘッダのフォーマッ
トを示す図、図5はそのIPヘッダの「(オプション)
Options」フィールドのフォーマットを示す図で
ある。上記の暗号化要求フラグ,暗号化済フラグ,解読
要求フラグ,及び解読済フラグはIPヘッダの「Opt
ions」フィールドのオプションエリアに定義する。
トを示す図、図5はそのIPヘッダの「(オプション)
Options」フィールドのフォーマットを示す図で
ある。上記の暗号化要求フラグ,暗号化済フラグ,解読
要求フラグ,及び解読済フラグはIPヘッダの「Opt
ions」フィールドのオプションエリアに定義する。
【0027】表1はオプション・データの一例を示す表
であり、上記各フラグは、例えば、暗号化要求フラグ
「0」,暗号化済フラグ「1」,解読要求フラグ
「3」,解読済フラグ「4」である。
であり、上記各フラグは、例えば、暗号化要求フラグ
「0」,暗号化済フラグ「1」,解読要求フラグ
「3」,解読済フラグ「4」である。
【0028】
【表1】
【0029】次に、IPネットワークNET−1のノー
ドAからIPネットワークNET−3のノードCへ暗号
化通信を行なうとき、データの暗号化及びその解読のた
めの暗号化キーを暗号化サーバS1とS2へ送る場合の
例について説明する。
ドAからIPネットワークNET−3のノードCへ暗号
化通信を行なうとき、データの暗号化及びその解読のた
めの暗号化キーを暗号化サーバS1とS2へ送る場合の
例について説明する。
【0030】この場合、各ノードA,Cはデータの暗号
化又は解読のための暗号化キーを暗号化サーバS1,S
2へ送信する機能を有し、暗号化サーバS1,S2は複
数の暗号化キーを用いた暗号化及びその解読方式を行な
う機能をそなえており、ノードA,Cから送信される暗
号化キーを用いてデータの暗号化及びその解読を行なう
機能を果たす。
化又は解読のための暗号化キーを暗号化サーバS1,S
2へ送信する機能を有し、暗号化サーバS1,S2は複
数の暗号化キーを用いた暗号化及びその解読方式を行な
う機能をそなえており、ノードA,Cから送信される暗
号化キーを用いてデータの暗号化及びその解読を行なう
機能を果たす。
【0031】まず、ノードAはノードCとの間で暗号化
データをやり取りするために必要な暗号化キーの共通化
を図る初期化通信を行なう。この初期化通信によって、
ノードAとノードCは同じ暗号化方式の暗号化キーを所
持することになる。
データをやり取りするために必要な暗号化キーの共通化
を図る初期化通信を行なう。この初期化通信によって、
ノードAとノードCは同じ暗号化方式の暗号化キーを所
持することになる。
【0032】そして、ノードAから暗号化サーバS1へ
元データを送るとき、暗号化キーを貼付し、暗号化サー
バS1はその暗号化キーを使用して元データを暗号化す
る。また、暗号化データの解読時には、ノードCは暗号
化サーバS2へ解読を依頼するときその暗号化キーを添
付し、暗号化サーバS2はその暗号化キーを使用して暗
号化データを復元する。暗号化キーは、例えば、図4及
び図5に示したIPヘッダの「オプション・データ」に
定義する。
元データを送るとき、暗号化キーを貼付し、暗号化サー
バS1はその暗号化キーを使用して元データを暗号化す
る。また、暗号化データの解読時には、ノードCは暗号
化サーバS2へ解読を依頼するときその暗号化キーを添
付し、暗号化サーバS2はその暗号化キーを使用して暗
号化データを復元する。暗号化キーは、例えば、図4及
び図5に示したIPヘッダの「オプション・データ」に
定義する。
【0033】ノードAは、1パケットの送信要求が発生
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて暗号化キーと共に生データを送信する。暗号化サー
バS1は、ノードAから受信した生データをその暗号化
キーを用いた暗号化方式によって暗号化し、「暗号化済
フラグ」を立ててノードAへ返送する。そして、ノード
Aは暗号化サーバS1から受信した暗号化データをIP
ネットワークNET−3のノードCへ送信(転送)す
る。
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて暗号化キーと共に生データを送信する。暗号化サー
バS1は、ノードAから受信した生データをその暗号化
キーを用いた暗号化方式によって暗号化し、「暗号化済
フラグ」を立ててノードAへ返送する。そして、ノード
Aは暗号化サーバS1から受信した暗号化データをIP
ネットワークNET−3のノードCへ送信(転送)す
る。
【0034】一方、ノードCはノードAから暗号化デー
タを受信すると、その暗号化データを「解読要求フラ
グ」を立てて暗号化キーと共に暗号化サーバS2へ転送
する。暗号化サーバS2は、ノードCから受信した暗号
化データをその暗号化キーを用いた解読方式によって復
元し、「解読済フラグ」をセットしてノードCへ返送す
る。ノードCは、暗号化サーバS2から復元されたデー
タを得る。したがって、このLANではキーコードを可
変にすることができる。
タを受信すると、その暗号化データを「解読要求フラ
グ」を立てて暗号化キーと共に暗号化サーバS2へ転送
する。暗号化サーバS2は、ノードCから受信した暗号
化データをその暗号化キーを用いた解読方式によって復
元し、「解読済フラグ」をセットしてノードCへ返送す
る。ノードCは、暗号化サーバS2から復元されたデー
タを得る。したがって、このLANではキーコードを可
変にすることができる。
【0035】次に、IPネットワークNET−1のノー
ドAからノードBへ暗号化通信を行なうとき、データの
暗号化及びその解読のための暗号化キーを暗号化サーバ
S1へ送る例について説明する。
ドAからノードBへ暗号化通信を行なうとき、データの
暗号化及びその解読のための暗号化キーを暗号化サーバ
S1へ送る例について説明する。
【0036】ノードAは、1パケットの送信要求が発生
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて暗号化キーと共に生データを送信する。暗号化サー
バS1は、ノードAから受信した生データをその暗号化
キーを用いた暗号化方式によって暗号化し、「暗号化済
フラグ」を立ててノードAへ返送する。そして、ノード
Aは暗号化サーバS1から受信した暗号化データをノー
ドBへ送信(転送)する。
すると、暗号化サーバS1へ「暗号化要求フラグ」を立
てて暗号化キーと共に生データを送信する。暗号化サー
バS1は、ノードAから受信した生データをその暗号化
キーを用いた暗号化方式によって暗号化し、「暗号化済
フラグ」を立ててノードAへ返送する。そして、ノード
Aは暗号化サーバS1から受信した暗号化データをノー
ドBへ送信(転送)する。
【0037】一方、ノードBはノードAから暗号化デー
タを受信すると、その暗号化データを「解読要求フラ
グ」を立てて暗号化キーと共に暗号化サーバS1へ転送
する。暗号化サーバS1は、ノードBから受信した暗号
化データをその暗号化キーを用いた解読方式によって復
元し、「解読済フラグ」をセットしてノードBへ返送す
る。ノードBは、暗号化サーバS1から復元されたデー
タを得る。
タを受信すると、その暗号化データを「解読要求フラ
グ」を立てて暗号化キーと共に暗号化サーバS1へ転送
する。暗号化サーバS1は、ノードBから受信した暗号
化データをその暗号化キーを用いた解読方式によって復
元し、「解読済フラグ」をセットしてノードBへ返送す
る。ノードBは、暗号化サーバS1から復元されたデー
タを得る。
【0038】このようにして、各端末装置が暗号化サー
バにデータの暗号化及びその解読を依頼するとき、デー
タと共にその暗号化及び解読に必要な暗号化キーを送
り、暗号化サーバは、その暗号化キーに基づいた暗号化
方式でデータの暗号化及びその解読を行なうので、各端
末装置では多様な暗号化方式によるデータ送受信を容易
に利用することができる。また、各ノードが自由に暗号
化キーを設定して、データの暗号化方式を選択できるの
で、さらにデータ通信の機密性を高めることができる。
バにデータの暗号化及びその解読を依頼するとき、デー
タと共にその暗号化及び解読に必要な暗号化キーを送
り、暗号化サーバは、その暗号化キーに基づいた暗号化
方式でデータの暗号化及びその解読を行なうので、各端
末装置では多様な暗号化方式によるデータ送受信を容易
に利用することができる。また、各ノードが自由に暗号
化キーを設定して、データの暗号化方式を選択できるの
で、さらにデータ通信の機密性を高めることができる。
【0039】次に、暗号化サーバにネットワークルーテ
ィング機能を設けたときの暗号化通信の例について説明
する。この場合のネットワーク構成は図1に示したロー
カルエリアネットワークと同じであるが、各ノードA,
B,Cと暗号化サーバS1,S2の機能が若干異なる。
ィング機能を設けたときの暗号化通信の例について説明
する。この場合のネットワーク構成は図1に示したロー
カルエリアネットワークと同じであるが、各ノードA,
B,Cと暗号化サーバS1,S2の機能が若干異なる。
【0040】この例の暗号化サーバS1とS2は、送信
元の端末装置から送信される元データを暗号化データに
変換して他のネットワークの受信先の端末装置へ送信
し、他のネットワークから受信した暗号化データを解読
して元データに復元して受信先の端末装置へ送信する手
段を備えている。
元の端末装置から送信される元データを暗号化データに
変換して他のネットワークの受信先の端末装置へ送信
し、他のネットワークから受信した暗号化データを解読
して元データに復元して受信先の端末装置へ送信する手
段を備えている。
【0041】したがって、上述の暗号化サーバS1,S
2にネットワーク層のネットワークルーティング機能
(ルータ)を設け、暗号化サーバS1はノードAの代理
ARPをするノードとしての働きをする。
2にネットワーク層のネットワークルーティング機能
(ルータ)を設け、暗号化サーバS1はノードAの代理
ARPをするノードとしての働きをする。
【0042】IPネットワークでは、1ネットワーク上
に複数のルータが存在させることができ、実際の通信で
はアドレス・リゾリューション・プロトコル(ARP)
によってIPアドレスから物理アドレス(MACアドレ
ス)を求め、その物理アドレスで通信相手を指定して通
信を行なう(データリンク層)。普通は、物理アドレス
は通信相手が返してきたものを使用するが、別のノード
がそれを返すこともできる。これを代理ARPと称す
る。
に複数のルータが存在させることができ、実際の通信で
はアドレス・リゾリューション・プロトコル(ARP)
によってIPアドレスから物理アドレス(MACアドレ
ス)を求め、その物理アドレスで通信相手を指定して通
信を行なう(データリンク層)。普通は、物理アドレス
は通信相手が返してきたものを使用するが、別のノード
がそれを返すこともできる。これを代理ARPと称す
る。
【0043】そして、各ネットワークにネットワークル
ータ機能と受信ノードの代わりにパケットを受け取る代
理応答機能を備えた暗号化サーバを設ける。送信側のネ
ットワークの送信ノードは、この暗号化サーバへ通信の
秘密を守りたいデータのみを送り、暗号化サーバはその
データを暗号化データに変換してネットワークルータ機
能によってそのデータの受信先のネットワークへ送信す
る。
ータ機能と受信ノードの代わりにパケットを受け取る代
理応答機能を備えた暗号化サーバを設ける。送信側のネ
ットワークの送信ノードは、この暗号化サーバへ通信の
秘密を守りたいデータのみを送り、暗号化サーバはその
データを暗号化データに変換してネットワークルータ機
能によってそのデータの受信先のネットワークへ送信す
る。
【0044】一方、受信側のネットワークの暗号化サー
バは、受信ノードの代わりにパケットを受け取る代理応
答機能によって送信側ネットワークから送信されたパケ
ット(暗号化データ)を受信し、それを解読して復元
し、その復元されたデータを受信ノードへ送信する。
バは、受信ノードの代わりにパケットを受け取る代理応
答機能によって送信側ネットワークから送信されたパケ
ット(暗号化データ)を受信し、それを解読して復元
し、その復元されたデータを受信ノードへ送信する。
【0045】図3は、IPネットワークNET−1のノ
ードAからIPネットワークNET−3のノードCへ暗
号化通信を行なうときのデータの流れを示すフローチャ
ートである。ここでは、暗号化サーバS1とS2の暗号
化キー(キーコード)は固定されている場合について説
明する。
ードAからIPネットワークNET−3のノードCへ暗
号化通信を行なうときのデータの流れを示すフローチャ
ートである。ここでは、暗号化サーバS1とS2の暗号
化キー(キーコード)は固定されている場合について説
明する。
【0046】ノードAは、初期化時、ローカルエリアネ
ットワークの暗号化サーバS1のアドレスを登録し、そ
の暗号化サーバS1を代理送受信するデフォルトルータ
とする。また、ノードCは、初期化時、ローカルエリア
ネットワークの暗号化サーバS2のアドレスを登録し、
その暗号化サーバS2を代理送受信するデフォルトルー
タとする。
ットワークの暗号化サーバS1のアドレスを登録し、そ
の暗号化サーバS1を代理送受信するデフォルトルータ
とする。また、ノードCは、初期化時、ローカルエリア
ネットワークの暗号化サーバS2のアドレスを登録し、
その暗号化サーバS2を代理送受信するデフォルトルー
タとする。
【0047】したがって、暗号化サーバS1はノードA
の代理ARPとしてノードAへのデータを横取りし、同
様に、暗号化サーバS2はノードCの代理ARPをする
ノードとして働き、ノードCへのデータを横取りする。
の代理ARPとしてノードAへのデータを横取りし、同
様に、暗号化サーバS2はノードCの代理ARPをする
ノードとして働き、ノードCへのデータを横取りする。
【0048】ノードAからノードCへのデータ送信時、
ノードAは暗号化サーバS1に生データを送信する。暗
号化サーバS1はその生データを暗号化後「暗号化済フ
ラグ」を立ててルータR1へ転送する。その暗号化デー
タは、ルータR1,R2,R3,R4の順番に転送され
てノードCの代理ノードとしての暗号化サーバS2に転
送される。
ノードAは暗号化サーバS1に生データを送信する。暗
号化サーバS1はその生データを暗号化後「暗号化済フ
ラグ」を立ててルータR1へ転送する。その暗号化デー
タは、ルータR1,R2,R3,R4の順番に転送され
てノードCの代理ノードとしての暗号化サーバS2に転
送される。
【0049】暗号化サーバS2はその暗号化データを受
信して解読後、最後にノードCへ転送する。ノードCは
暗号化サーバS2からノードAによって送信された暗号
化データを復元されたデータで受け取る。
信して解読後、最後にノードCへ転送する。ノードCは
暗号化サーバS2からノードAによって送信された暗号
化データを復元されたデータで受け取る。
【0050】上記の第2実施例の暗号化サーバS1のル
ーティング機能は、受けたパケットを全てルータR1に
渡すだけの機能が有れば十分であり、暗号化サーバS2
のルーティング機能も、受けたパケットを全てルータR
2に渡すだけの機能が有れば十分である。
ーティング機能は、受けたパケットを全てルータR1に
渡すだけの機能が有れば十分であり、暗号化サーバS2
のルーティング機能も、受けたパケットを全てルータR
2に渡すだけの機能が有れば十分である。
【0051】このようにして、複数のネットワークにま
たがるパケット通信の場合、すなわち外部のネットワー
クの受信先ノードへデータを出す場合、送信側のノード
が暗号化サーバへ受信先ノードを指定して通信の秘密を
守りたいデータを送信すれば、その暗号化サーバが直接
受信先ノードのネットワークへ通信する。
たがるパケット通信の場合、すなわち外部のネットワー
クの受信先ノードへデータを出す場合、送信側のノード
が暗号化サーバへ受信先ノードを指定して通信の秘密を
守りたいデータを送信すれば、その暗号化サーバが直接
受信先ノードのネットワークへ通信する。
【0052】したがって、送信側ノードは暗号化サーバ
にデータの暗号化を依頼して、暗号化されたデータを自
ら受信先ノードへ送信することなく、暗号化サーバとの
データのやり取りを簡略化することができ、つまり、ノ
ードと暗号化サーバとの1往復分のデータのやり取りの
時間とトラフィックを節約でき、送信側ノードの処理負
担を軽減し、データ通信の高速性及び効率性を図ること
ができる。
にデータの暗号化を依頼して、暗号化されたデータを自
ら受信先ノードへ送信することなく、暗号化サーバとの
データのやり取りを簡略化することができ、つまり、ノ
ードと暗号化サーバとの1往復分のデータのやり取りの
時間とトラフィックを節約でき、送信側ノードの処理負
担を軽減し、データ通信の高速性及び効率性を図ること
ができる。
【0053】また、受信側ノードは、自己のネットワー
クに接続されている暗号化サーバによって送信側ノード
から送信された暗号化データを復元された状態で受け取
ることができるので、同様にノードと暗号化サーバとの
1往復分のデータのやり取りの時間とトラフィックを節
約でき、受信側ノードの処理負担を軽減し、データ通信
の高速性及び効率性を図ることができる。
クに接続されている暗号化サーバによって送信側ノード
から送信された暗号化データを復元された状態で受け取
ることができるので、同様にノードと暗号化サーバとの
1往復分のデータのやり取りの時間とトラフィックを節
約でき、受信側ノードの処理負担を軽減し、データ通信
の高速性及び効率性を図ることができる。
【0054】
【発明の効果】以上説明してきたように、この発明によ
るローカルエリアネットワークによれば、ネットワーク
の各端末装置毎にデータの暗号化と復号化を行なわず、
暗号化サーバによって集中して行なうので、各端末装置
の処理負荷を軽減させることができ、ネットワークにお
ける暗号化キーの変更や暗号化方式の変更時にはその暗
号化サーバの設定を変更するだけでよいので、それぞれ
の端末装置の設定を変更する煩雑な作業を行なわずに済
み、ネットワークの管理を容易に行なえる。
るローカルエリアネットワークによれば、ネットワーク
の各端末装置毎にデータの暗号化と復号化を行なわず、
暗号化サーバによって集中して行なうので、各端末装置
の処理負荷を軽減させることができ、ネットワークにお
ける暗号化キーの変更や暗号化方式の変更時にはその暗
号化サーバの設定を変更するだけでよいので、それぞれ
の端末装置の設定を変更する煩雑な作業を行なわずに済
み、ネットワークの管理を容易に行なえる。
【0055】また、外部のネットワークを介して複数の
ネットワーク間の端末装置間で通信を行なえるようにし
たとき、データがどのようなネットワークの経路を通っ
て送受信されても途中で外部のものにデータ内容を覗か
れてしまう危険がない。
ネットワーク間の端末装置間で通信を行なえるようにし
たとき、データがどのようなネットワークの経路を通っ
て送受信されても途中で外部のものにデータ内容を覗か
れてしまう危険がない。
【0056】さらに、ネットワークの各端末装置が、暗
号化サーバに対してデータの暗号化又はその解読に必要
な暗号化キーを送信し、暗号化サーバが、各端末装置か
ら受信した暗号化キーに基づいてデータの暗号化又はそ
の解読を行なうようにすれば、多様な暗号化方式を容易
に利用することができる。
号化サーバに対してデータの暗号化又はその解読に必要
な暗号化キーを送信し、暗号化サーバが、各端末装置か
ら受信した暗号化キーに基づいてデータの暗号化又はそ
の解読を行なうようにすれば、多様な暗号化方式を容易
に利用することができる。
【図1】この発明の一実施例のローカルエリアネットワ
ーク(LAN)のシステム構成を示す図である。
ーク(LAN)のシステム構成を示す図である。
【図2】図1のノードAからノードCへ暗号化通信を行
なうときのデータの流れを示すフローチャートである。
なうときのデータの流れを示すフローチャートである。
【図3】図1の暗号化サーバS1とS2のルーティング
機能を用いてノードAからノードCへ暗号化通信を行な
うときのデータの流れを示すフローチャートである。
機能を用いてノードAからノードCへ暗号化通信を行な
うときのデータの流れを示すフローチャートである。
【図4】各ノード間で送受信されるパケットのIPヘッ
ダのフォーマットを示す図である。
ダのフォーマットを示す図である。
【図5】図4のIPヘッダの「オプション(Optio
ns)」フィールドのフォーマットを示す図である。
ns)」フィールドのフォーマットを示す図である。
A〜C:端末装置(ノード) S1,S2:暗号化サーバ R1〜R4:ルータ NET−1〜NET−3:IPネットワーク NET−4,NET−5:ネットワーク
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 9/12
Claims (3)
- 【請求項1】 複数の端末装置間でデータを送受信可能
にネットワークで接続し、該ネットワークに、送信元の
端末装置から送信される元データを暗号化データに変換
して該送信元の端末装置へ返送し、受信先の端末装置か
ら送信される暗号化データを解読して元データに復元し
て該受信先の端末装置へ返送する手段を有する暗号化サ
ーバを設けたことを特徴とするローカルエリアネットワ
ーク。 - 【請求項2】 複数の端末装置間でデータを送受信可能
に接続したネットワークを複数接続し、該各ネットワー
クに、送信元の端末装置から送信される元データを暗号
化データに変換して他のネットワークの受信先の端末装
置へ送信し、他のネットワークから受信した暗号化デー
タを解読して元データに復元して受信先の端末装置へ送
信する手段を有する暗号化サーバを設けたことを特徴と
するローカルエリアネットワーク。 - 【請求項3】 請求項1記載のローカルエリアネットワ
ークにおいて、 前記各端末装置が、前記暗号化サーバに対してデータの
暗号化又はその解読に必要な暗号化キーを送信する手段
を有し、前記暗号化サーバが、前記各端末装置から受信
した暗号化キーに基づいてデータの暗号化又はその解読
を行なう手段を有することを特徴とするローカルエリア
ネットワーク。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5314617A JPH07170280A (ja) | 1993-12-15 | 1993-12-15 | ローカルエリアネットワーク |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5314617A JPH07170280A (ja) | 1993-12-15 | 1993-12-15 | ローカルエリアネットワーク |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07170280A true JPH07170280A (ja) | 1995-07-04 |
Family
ID=18055465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5314617A Pending JPH07170280A (ja) | 1993-12-15 | 1993-12-15 | ローカルエリアネットワーク |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07170280A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997034279A1 (fr) * | 1996-03-15 | 1997-09-18 | Sony Corporation | Appareil transmetteur de donnees, procede de transmission de donnees, recepteur de donnees, procede de reception de donnees, dispositif de transfert de donnees et procede de transfert de donnees |
| WO1997035337A1 (en) * | 1996-03-19 | 1997-09-25 | Hitachi, Ltd. | Process control system |
| JP2005184222A (ja) * | 2003-12-17 | 2005-07-07 | Konica Minolta Business Technologies Inc | ワークフローシステム及びそのクライアント端末 |
| JP2005533438A (ja) * | 2002-07-12 | 2005-11-04 | イングリアン ネットワークス インコーポレーテッド | ネットワークに付随する暗号化 |
| JP2008009717A (ja) * | 2006-06-29 | 2008-01-17 | Megachips Lsi Solutions Inc | 情報処理端末およびコンテンツ書き込みシステム |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| JP2011048661A (ja) * | 2009-08-27 | 2011-03-10 | Nomura Research Institute Ltd | 仮想サーバ暗号化システム |
| JP2017511733A (ja) * | 2014-03-19 | 2017-04-27 | アセンシア・ダイアベティス・ケア・ホールディングス・アーゲーAscensia Diabetes Care Holdings AG | 無線医療機器のための、医療データ難読化及び強化システム及び方法 |
| JP2017220890A (ja) * | 2016-06-10 | 2017-12-14 | システムプラザ株式会社 | 暗号通信システム及び暗号通信方法 |
-
1993
- 1993-12-15 JP JP5314617A patent/JPH07170280A/ja active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997034279A1 (fr) * | 1996-03-15 | 1997-09-18 | Sony Corporation | Appareil transmetteur de donnees, procede de transmission de donnees, recepteur de donnees, procede de reception de donnees, dispositif de transfert de donnees et procede de transfert de donnees |
| US6373952B2 (en) | 1996-03-15 | 2002-04-16 | Sony Corporation | Data transmitting apparatus, data transmitting method, data receiving apparatus, data receiving method, data transmission apparatus, and data transmission method |
| WO1997035337A1 (en) * | 1996-03-19 | 1997-09-25 | Hitachi, Ltd. | Process control system |
| US6542830B1 (en) | 1996-03-19 | 2003-04-01 | Hitachi, Ltd. | Process control system |
| US6757621B2 (en) | 1996-03-19 | 2004-06-29 | Hitachi, Ltd. | Process management system |
| JP2005533438A (ja) * | 2002-07-12 | 2005-11-04 | イングリアン ネットワークス インコーポレーテッド | ネットワークに付随する暗号化 |
| JP2005184222A (ja) * | 2003-12-17 | 2005-07-07 | Konica Minolta Business Technologies Inc | ワークフローシステム及びそのクライアント端末 |
| JP2008009717A (ja) * | 2006-06-29 | 2008-01-17 | Megachips Lsi Solutions Inc | 情報処理端末およびコンテンツ書き込みシステム |
| US9092648B2 (en) | 2006-06-29 | 2015-07-28 | Megachips Corporation | Information processing terminal and content writing system |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| JP2011048661A (ja) * | 2009-08-27 | 2011-03-10 | Nomura Research Institute Ltd | 仮想サーバ暗号化システム |
| JP2017511733A (ja) * | 2014-03-19 | 2017-04-27 | アセンシア・ダイアベティス・ケア・ホールディングス・アーゲーAscensia Diabetes Care Holdings AG | 無線医療機器のための、医療データ難読化及び強化システム及び方法 |
| JP2020107362A (ja) * | 2014-03-19 | 2020-07-09 | アセンシア・ダイアベティス・ケア・ホールディングス・アーゲーAscensia Diabetes Care Holdings AG | 無線医療機器のための、医療データ難読化及び強化システム及び方法 |
| US11013408B2 (en) | 2014-03-19 | 2021-05-25 | Ascensia Diabetes Care Holdings Ag | Clinical data obfuscation and enhancement systems and methods for wireless medical devices |
| JP2017220890A (ja) * | 2016-06-10 | 2017-12-14 | システムプラザ株式会社 | 暗号通信システム及び暗号通信方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9838362B2 (en) | Method and system for sending a message through a secure connection | |
| US5588060A (en) | Method and apparatus for a key-management scheme for internet protocols | |
| JP3343064B2 (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| CN1756234B (zh) | 服务器、vpn客户装置、vpn系统 | |
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| US5668877A (en) | Method and apparatus for stepping pair keys in a key-management scheme | |
| US5604807A (en) | System and scheme of cipher communication | |
| EP0876027B1 (en) | Method and apparatus for achieving perfect forward secrecy in closed user groups | |
| US20070165865A1 (en) | Method and system for encryption and storage of information | |
| US20060182124A1 (en) | Cipher Key Exchange Methodology | |
| EP2043296A1 (en) | Relay device | |
| EP1133854A1 (en) | Method and system for securing data objects | |
| JPH07107082A (ja) | 暗号ゲートウェイ装置 | |
| JP3296514B2 (ja) | 暗号通信端末 | |
| JPH07170280A (ja) | ローカルエリアネットワーク | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| JP3263879B2 (ja) | 暗号通信システム | |
| JP4043997B2 (ja) | 暗号装置及びプログラム | |
| JPH11239184A (ja) | スイッチングハブ | |
| KR20190019623A (ko) | 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 | |
| JP2005210555A (ja) | 情報処理装置 | |
| JPH09252315A (ja) | 暗号通信システムおよび暗号装置 | |
| JP3555857B2 (ja) | 暗号メール送受信システム | |
| WO2004039016A1 (ja) | データ転送方法及びその装置 | |
| JPH11220495A (ja) | 暗号通信装置 |