CN100571131C - 密码装置和方法以及密码系统 - Google Patents
密码装置和方法以及密码系统 Download PDFInfo
- Publication number
- CN100571131C CN100571131C CNB038105101A CN03810510A CN100571131C CN 100571131 C CN100571131 C CN 100571131C CN B038105101 A CNB038105101 A CN B038105101A CN 03810510 A CN03810510 A CN 03810510A CN 100571131 C CN100571131 C CN 100571131C
- Authority
- CN
- China
- Prior art keywords
- encryption
- data
- mentioned
- layer
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/10—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种安全装置(1),为了在安装了密码软件的个人计算机(7~9)之间,为了实现终端由加密而保证的安全,设置进行加密处理和密码解密处理的密码装置(1),例如通过将未安装密码软件的终端(2~4)与个人计算机(7~9)之间连接,使具有不能安装专用密码软件的终端(2~4)的企业内LAN中也可以使用密码,从而可以建立对于外部的不正当地侵入或攻击而LAN内部的机密信息的被盗取的危险性小的安全网络(10)。
Description
发明领域
本发明涉及密码装置和方法以及密码系统。特别是涉及为了降低在网络上由于外部攻击而引起的信息被盗取或删改等危险而实施信息加密/解密的装置及方法,以及应用该装置和方法的系统。
背景技术
在独立地使用个人计算机(个人电脑)时,个人计算机内部的信息的被盗取、删改,或被破坏的危险性很小。但是,将个人计算机与互联网等网络连接后,由于交换的信息将向多个网络路由。因此显著提高了在该途中被盗取或删改的可能性。
“信息加密”是用于解决此问题的方法的一。即在发送侧的个人计算机中将信息加密后再发送到对方。在接受侧的个人计算机中将其解密后再使用。采用这种方法,即使在网络的中途信息被盗取,由于信息被加密,信息本身的被看到的可能性小,另外也降低了被删改的危险性。
但是,为了使用密码,需要在欲进行密码通信的终端,都安装专用的密码软件,必须进行各种的设定。但是,连接各种终端的网络,除了互联网的外,还存在企业内的LAN(Local Area Network)等。在该LAN内存有:打印机或传真机等物理上不能安装密码软件的终端,或打印机服务器或数据库服务器等由于动作上稳定等问题不适合安装多余的软件的终端,不具备OS(操作系统)而单纯具有网络终端的功能的终端等。因此通常在企业内LAN中使用密码是很困难。
但是很多的LAN是连接在互联网上,根据需要从LAN内的个人计算机对互联网进行访问,实现信息交换,但是如此将LAN连接到互联网(Inter Net)时,由于外部的不正当侵入或攻击,LAN内部的机密信息存在被盗取或被删改的危险性。
于是,为了防止不具有存取权的第三者不正当地侵入LAN,可以使用防火墙(Fire wall)。防火墙通常是用于将一台服务器与LAN或互联网连接的连接部,在这里使专用的软件运行就可实现该功能。但是虽然设置有防火墙,如果攻击存在于网络上的安全死点而被不正当侵入的情况仍然不少,一旦被不正当侵入后,由于内部的信息是没有加密,所以很容易发生被盗取或被删改的问题。
再者,以往,作为将传播在互联网上的数据进行路由的中继机的路由器,有很多具备有密码功能,例如,VPN(Virtual Private Network)路由器便是其中的一例。如果使用该VPN路由器,即使在终端上不安装专用的密码软件的情况下,仍然在各VPN路由器之间可以进行密码通信。
但是,该VPN路由器是作为使用互联网连接多个LAN而设置的、假想专用线上的中继机而被使用的设备。因此,在互联网的中途可以将各LAN互相交换的信息予以加密,但是存在无法将LAN内的信息予以加密的问题。
再者,为了在VPN路由器上进行加密,路由器必须具有通信用的IP地址。下面使用图1说明该情况。图1是表示以往的VPN路由器以及与它连接的个人计算机的通信协议的层次结构的图。
如图1所示,欲通信的两台个人计算机101、102,分别具有一个端口105、106。作为中继机的VPN路由器103、104是分别备有两个端口(107、108)、(109、110)。对VPN路由器103的各端口107、108而分别地设置有OSI参照模式的物理层、MAC层(数据链路层)、IP-Sec。对各端口107、108共同设有IP层(网络层)、TCP/UDP层(传输层)。对VPN路由器104的各端口109、110也是同样。
层越深距离使用者越远,相反层越浅越靠近使用者。在各个人计算机101、102中在IP层的上位层存在TCP/UDP层和应用层(图中均未表示),来桥接使用者所使用的应用层与下面的层。
在数据的发送侧,自上位层朝向下位层,每通过一层改变一次数据,并且在各层中附加可以使数据传送用的头部。相反,在数据的接受侧,对照各层收信地址的头部,在各层提取必要的数据。并且被提取的数据是交予上位层,最后通过应用层交给使用者。
下面分别说明各层的功能。TCP/UDP层是确定应该移交数据的应用层,管理数据包的状态等的层。在数据发送侧,确认将上位层(应用层)所交来的数据应该移交予对方的哪一应用系统,而将接受地址的端口号码附加于数据中再交至下位层(网络层)。另一个面,在数据接受侧,监视从下位层所交上来的数据包有无发生由于通信状态等的缺失。
IP层是用于将跨越于多个网络的终端间的数据进行转发或进行关于数据中继的协议和控制的层。对成为通信对象的发送侧与接受侧的个人计算机101、102分别分派不同的IP地址①,⑥。通过确定这些而可决定首尾相连(end to end)的逻辑上通信路径。具有二个端口(107、108),(109、110)的VPN路由器103、104情况下,IP地址是按每端口单独地予以分派。
MAC(Media Access Control)层,是用于保证在邻接机器的节点间的高可靠性的数据传送的层。在制造阶段就具备分派给各个机器的物理的MAC地址。在数据发送侧,在IP层确定通信对象的IP地址后,即位于该下位位置的MAC层中,根据确定出的对方的IP地址,决定下一路经机器(物理上连接的邻接节点)的收信地址。另一个面,在数据接受侧,根据MAC地址,判断是发给自己的数据包之后,在该上位层的IP层解析IP地址,判断是该数据包对其他机器进行路由还是取入自己内。
物理层,是将上位层交给的数据变换为电气信号或光信号,通过同轴电缆或光纤电缆等的传输介质111进行实际的数据传送,或将传送媒体111送来的电气信号或光信号变换成上位层可识别的数据,而将它交付于上位层的层。作为物理层上位层的MAC层中,依照物理层的通信接口的方法,实施上述的处理。
IP-Sec是进行数据的加密处理及解密处理的功能部,即从MAC层取得交给IP层的数据,实施该数据的加密处理及密码的解密处理。
使用具有这种层次结构的VPN路由器103、104,在个人计算机101、102间实施密码通信的时候,在VPN路由器103中,例如在第1的端口107接受一个个人计算机101发给另一个人计算机102的IP数据包,将该数据包依次分解转交到IP层。此时,从数据包中所提取的数据在IP-Sec中被加密。并且根据包含在数据包头部中的收信方IP地址,参照路由器本身所具备的路由表来决定下一个转发节点,自IP层到物理层再次组建数据包,从第2的端口108发出。
从VPN路由器103的第2的端口108输出的加密数据包,由VPN路由器104的第1端口109接受。VPN路由器104将所接受的加密数据包依次分解转交IP层,在IP-Sec中将从数据包中提取的数据予以解密,并且,根据包含在数据包头部中的接受方IP地址,参照路由器本身所具备的路由表,决定下一个转发节点,从IP层到物理层再次组建数据包,经由第2的端口110发出。
从该第2的端口110输出的IP数据包,是在个人计算机102被接受。该被接受的IP数据包是通过物理层、MAC层、IP层、而依次分解转交至其上位层,最后通过图中未表示的应用层,将数据交给使用者。由上述的顺序,即使个人计算机101、102不具备密码软件,仍然可以在VPN路由器103、104之间实施密码通信。
图1所示的系统的情况,在VPN路由器103、104的两侧存在不同的网络(具有个人计算机101的网络A,及具有个人计算机102的网络B),集中这些而构成互联网。因此对每一个网络分别分派不同的互联网地址。所以在这些不同的网络间执行路由(选择路径,根据情况丢弃数据包,分割或合并数据包等)的VPN路由器103、104也必须具备不同的IP地址,因此就存在需要进行繁杂的地址设定作业的问题。
再者,在VPN路由器103、104中,通常连接于第1的端口107、109的网络与连接于第2的端口108、110的网络是不同的,因而需要对每个端口设定不同的IP地址。在VPN路由器103、104的输出及输入中IP地址将有所不同,因此,在网络上的终端之间插入VPN路由器,或从终端间拆除VPN路由器时,不但需要进行VPN路由器自身地址的设定,而且连接于该VPN路由器终端的地址设定也须要变更,于是产生需要进行各种繁杂作业的问题。
例如在图1的例中,以不连接VPN路由器103、104的状态实施通信时,由于个人计算机101、102存在于同一网络内,所以网络地址都是同一地址,由而在个人计算机101、102间可以直接通信。此时从个人计算机101,发送数据包至个人计算机102的IP地址成为如图2(a)所示。即对发送侧的个人计算机101的发送方IP地址①,与接受侧的个人计算机102的接受方IP地址⑥的网络地址,可以设定同样的网络地址A。
与此相对,在个人计算机101与个人计算机102之间插入VPN路由器103、104时,被发送数据包的IP地址将为如图2(b)所示。即个人计算机101、102是存在于不同的网络,所以对发送方IP地址①和接受方IP地址⑥必须分别设定不同的网络地址A、B。
这样,在个人计算机101与个人计算机102之间插入VPN路由器103、104时,或相反地拆下VPN路由器103、104时,个人计算机101、102所属的网络会改变。因而,与其配合,需要变更个人计算机101,102的默认网关(default gate way)的地址(对与自己不同的网络实施通信时收信的IP地址(VPN路由器103、104的端口107、110))或个人计算机101、102的任何的一个的IP地址的设定。
如上所述,在以往的VPN路由器中,根据该连接的有无而保持透过性是很困难的,所以在系统导入或维修时,存在需要很多作业的问题。
发明内容
本发明是为了解决此问题而提出,其目的在于,在具有不能安装专用密码软件的终端的企业内LAN中也使用密码,可以降低由于来自外部的不正当侵入或攻击而使机密信息的被盗取或删改的危险性。
另外,本发明的目的在于,不需要进行地址设定的繁杂作业,就可以在企业内LAN中使用密码。
本发明的密码装置,是备有多个端口,其中的至少一个端口上,直接或间接地连接有具有密码处理功能的终端(除处理安装密码软件以外,包括具有本发明功能的其他密码装置)的密码装置,其具有:加密/解密机构,其在上述具有密码处理功能的终端之间,为了保证终端由加密而实现的安全,进行数据的加密处理和解密处理,桥接机构,其将从上述多个的端口中的一个端口输入的、由上述加密/解密机构施以加密处理或解密处理的数据,不进行路由处理,而保持原样地由其他端口输出。
本发明的另一方案,上述加密/解密机构,为了在上述具有密码处理功能的终端之间进行加密的数据通信,并且在不具有密码处理功能的终端之间进行未加密的数据通信,进行上述加密处理和上述解密处理。
本发明的其他方案,在备有多个的端口、其中至少一个端口直接或间接地连接有具有密码处理功能的终端的密码装置中,具有:加密/解密机构,其对从上述多个的端口中的一个端口输入的,通过物理层和数据链路层交予的数据,施以加密处理或解密处理;桥接机构,其将由上述加密/解密机构施以加密处理或解密处理的数据,并不交予实施网络间的路由控制的网络层,而通过数据链路层和物理层由其他的端口输出。
本发明的另一方案,具备设定信息存储机构,其用于存储有关控制上述加密处理和上述解密处理的设定信息,上述加密/解密机构,对照存储在上述设定信息存储机构的设定信息,和附加在自上述一个端口输入的数据包头部信息,进行上述加密处理及解密处理的控制。
另外,本发明的密码方法是在具有多个的端口,其中的至少一个端口,直接或间接地连接有具有密码处理功能的终端的密码装置中,实施加密处理或解密处理的方法,对从上述多个端口中的一个端口输入的通过物理层及数据链路层交付的数据施以加密处理或解密处理,将由此获得的数据,并不交予进行网络间路由控制的网络层,而通过数据链路层和物理层,由其他的端口而输出。
另外,本发明的密码系统,是具有密码处理功能的终端和权利要求1项所述密码装置,通过无线或有机的网络连接而构成的。
本发明的其他方式中的密码系统,在具有密码处理功能的终端和不具有密码处理功能的终端之间,通过无线或有线的网络,连接权利要求2项所述的密码装置而构成的。
附图说明
图1是表示以往的VPN路由器及与其连接的个人计算机中的通信协议的层次结构的图。
图2是说明在以往的系统中通过互联网上的数据包的IP地址的图。
图3是表示应用了本实施方式的密码装置的密码系统的构成例子的图。
图4是表示应用了本实施方式的密码装置的密码系统的另一构成例子的图。
图5是表示应用了本实施方式的密码装置的密码系统的再另一个构成例子的图。
图6是表示应用了本实施方式的密码装置的密码系统的进一步另一个构成例子的图。
图7是表示本实施方式的密码装置和与该装置连接的DB服务器和个人计算机中的通信协议层次结构的图。
图8是用于说明在本实施方式中通过互联网上的数据包的IP地址的图。
图9是用于说明通过本实施方式的密码装置中的数据包的MAC地址的图。
图10是用于说明通过以往的VPN路由器中的数据包的MAC地址的图。
具体实施方式
下面根据附图说明本发明的实施方式之一。
图3是表示应用了本实施方式的密码装置的密码系统的整体构成的图。
图3中,1是本实施方式的密码装置,备有两个端口,在一个的端口连接有网络打印机2、DB服务器3、网络终端4等设备,在另一个的端口连接有集线器5。该密码装置1是在网络打印机2、DB服务器3、网络终端4等设备与集线器5之间实施数据的中继。
网络打印机2是物理上不能安装密码软件的终端。DB服务器3是由于动作稳定上等问题而不适于安装多余的密码软件的终端。网络终端4是不具备OS无法使密码软件运行的终端。所以在这些终端2~4中没有安装密码软件。
另外,集线器5是在物理层进行数据中继的设备,除了上述的密码装置1以外,还与无线接入点6及台式个人计算机7连接。即此时的集线器5实施密码装置1、与无线接入点6和台式个人计算机7之间的数据中继。
再者,上述无线接入点6,通过无线与台式个人计算机8和膝上型个人计算机9连接。在台式个人计算机7、8和膝上型电脑9中,可以安装用于进行数据的加密和解密的密码软件,实际上是安装有密码软件。
这样,本实施方式的密码装置1是具有两个端口,一个端口通过集线器5和无线接入点6间接地与作为具有密码处理功能终端的个人计算机7~9c连接。另外,在另一个端口直接地与网络打印机2、DB服务器3、网络终端4连接,并且,由些密码装置1、网络打印机2、DB服务器3、网络终端4、集线器5、无线接入点6、个人计算机7~9构成一个据点网络。
根据上述构成,在没有安装密码软件的网络打印机2、DB服务器3、网络终端4与安装有密码软件的个人计算机7~9(这些设备2~4、7~9均相当于本发明的终端)之间,通过密码装置1、集线器5、无线接入点6实施数据通信。
此时,密码装置1,在安装了密码软件的个人计算机7~9之间,实施被加密的数据的通信,并且在未安装密码软件的终端2~4之间为了实施没有加密的数据通信的进行加密处理和密码的解密处理。
例如,将数据从台式计算机7向网络打印机2输出打印时,首先使用安装在台式计算机7中的密码软件,将数据加密,通过集线器5供给密码装置1。接着,密码装置1将接受到的数据解密,然后输送到网络打印机2。
另外,例如将在DB服务器3中所管理的数据取入膝上型电脑9时,DB服务器3,根据附给的要求,将该数据供给密码装置1,接受此未加密数据的密码装置1,将该数据加密,然后通过集线器5和无线接入点6发送到膝上型个人计算机9。膝上型个人计算机9,将接受到的数据予以解密,使用于期望的处理。
从上面的说明中可以明确,由于使用本实施方式的密码装置1,在具备不能安装专用密码软件的终端2~4的企业内LAN中也能使用密码。由此可以构建对来自外部的不正当侵入或攻击而使LAN内部的机密信息的被盗取或被删改的危险性小的安全网络10。
另外,在密码装置1与各个终端2~4之间,虽然不能使用密码,但是连接这些设备的电缆11是物理上很短的配线,而由于该部份遭受外部攻击而被盗取或被删改的可能性极其小,因此在安全上不会成为问题。
图4表示应用了本实施方式的密码装置的密码系统的其他构成例子的图。另外在该图4中,具有与图3所示的构成要素同一的功能的构成要素标注同一符号。如图4所示,本实施方式的密码装置1,在一个端口连接有互联网20,在另一端口连接有集线器5。
图4的情况,是由密码装置1、集线器5、无线接入点6、个人计算机7~9构成一个据点网络。另外,在互联网20的前面连接有多台,如图3所示的网络打印机2,DB服务器3,网络终端4等不能安装密码软件的终端,或如个人计算机7~9那样的一般安装有密码软件的个人计算机,由此而构成另一个据点网络。
图3所示的例子中,对一台的密码装置1连接一台设备,以一台的密码装置1专用于的进行一台设备的加密/解密处理。即图3所示的密码装置1,是连接在安装有密码软件的个人计算机7~9与没有安装密码软件的一台设备之间,对该1台的设备终端实现由加密而保证的安全。
对此,在图4所示的例子中,密码装置1是连接在安装有密码软件的个人计算机7~9,和连接在互联网20的多台的设备之间。上述多台的设备,可以是如图3所示网络打印机2、DB服务器3、网络终端等那样不能安装(安装)密码软件的设备,也可以是个人计算机7~9安装(安装)有密码软件的设备。这样,本实施方式的密码装置1,可以对多台的设备终端实现由加密而保证的安全。此时,密码装置1只具备连接的设备的数量个的数据通路,对每一设备分别以不同的密钥来实施加密/解密处理。
例如,从安全网络10内的台式个人计算机7通过互联网20向不具备密码软件的外部设备送出数据时,首先使用安装在台式个人计算机7中的密码软件对数据予以加密,通过集线器5供给密码装置1,然后密码装置1将接受的数据予以解密,通过互联网20送出到外部设备。
另外,例如,位于互联网20的前面的不具备密码软件的外部设备中,将所管理的数据,取入安全网络10内的膝上型个人计算机9时,该外部设备,根据要求,将该数据送出到互联网20。接受了该未加密数据的密码装置1,将该数据加密,通过集线器5及无线接入点6传送到膝上型个人计算机9。膝上型个人计算机9是将所接受的数据予以解密,使用于期望的处理。
另一个面,欲从安全网络10内的台式个人计算机7通过互联网20向具有密码软件的外部设备发送数据时,首先使用安装在台式个人计算机7中的密码软件,将数据予以加密,通过集线器5发送到密码装置1。接着,密码装置1,将所接受的数据不予解密,通过互联网20发送到外部设备。外部设备将接受的数据予以解密,使用于期望的处理。
相反的,将位于互联网20前面的外部设备中的加密数据,发送到安全网络10内的台式个人计算机7时,密码装置1,将通过互联网20从外部设备所接受的数据,不予以解密,保持加密的状态通过集线器5供给到台式个人计算机7。
如上所述,在安全网络10内的终端7~9,与连接在网络20上的不具有密码软件的外部设备之间,进行数据通信时,至少在安全网络10内部可以使用密码保护。另外,连接在网络20的外部设备安装有密码软件时,即使在安全网络10的外部的互联网20中也可以使用密码。
另外,上述多台的设备不一定必须通过互联网20连接,也可行直接或通过集线器5连接到密码装置1。在直接连接时,密码装置1要具有2个以上的端口。
图5是表示应用本实施方式的密码装置的密码系统再另一个构成例的图。另外,在该图5中,具有与图3所示的构成要素同一功能的构成要素标注同一符号。图5所示的例子也与图4的例子同样,以1台的密码装置对多台的设备终端实现由加密而保证的安全。
图5所示的例子中,在安全网络10的内部,三台个人计算机7~9均以无线LAN连接于无线接入点6,无线接入点6是通过密码装置1连接于互联网20。
图6是表示应用本实施方式的密码装置的密码系统的进一步另一个的构成例的图。在上述图3~图5中,作为具有本发明的密码处理功能的终端的例子,例举了安装密码软件的个人计算机7~9,保证密码装置1和个人计算机7~9之间由加密而实现的安全。具有处理密码功能的终端不限于此例,也包含具有与密码装置1同样的功能的其他密码装置,图6是表示这种情况的构成例。
在图6所示的例子中,通过路由器40A、40B和互联网20将据点A、B的2个据点网络30A、30B连接。据点A网络30A当中,由个人计算机31A~33A和密码装置1A-1~1A-3而构成企业内LAN。个人计算机31A~33A均是未安装密码软件的终端。另外,密码装置1A-1~1A-3任一个都是具有与图3的密码装置1同样功能的装置,一个端口连接个人计算机31A~33A,另一个端口连接路由器40A。
据点B网络30B中也同样由个人计算机31B~33B和密码装置1B-1~1B-3,而构成企业内LAN。个人计算机31B~33B均是未安装密码软件的终端。密码装置1B-1~1B-3任一个均具有与图3的密码装置1同样的功能,一个端口连接个人计算机31B~33B,另一个端口连接路由器40B。
根据上述的构成,属于不同的据点网络30A、30B的个人计算机之间,是通过密码装置1A-1~1A-3、1B-1~1B-3进行数据通信。例如从位于据点A网络30A内的个人计算机31A向位于据点B网络30B内的个人计算机33B发送数据时,密码装置1A-1将个人计算机31A附与数据予以加密,通过路由器40A,互联网20及路由器40B发送到密码装置1B-3。密码装置1B-3将接受的数据解密后供给个人计算机33B。由而在不同的据点网络30A、30B间可以使用密码。
另外,例如在据点A网络30A的内部,未安装密码软件的个人计算机31A~33A之间是通过密码装置1A-1~1A-3进行数据通信。例如,从某个个人计算机31A发送数据到另一个个人计算机33A时,密码装置1A-1,将由个人计算机31A所附与的数据加密,发送到密码装置1A-3,密码装置1A-3将接受的数据予以解密,供给个人计算机33A。
在据点B网络30B的内部也同样,在未安装密码软件的个人计算机31B~33B之间,是通过密码装置1B-1~1B-3进行数据通信。例如从某一个人计算机31B向另一个人计算机33B送数据时,密码装置1B-1将由个人计算机31B所附与的数据加密,发送到密码装置1B-3。密码装置1B-3将接受到的数据予以解密,供给个人计算机33B。
如上所述,密码装置1A-1~1A-3、1B-1~1B-3,均在未安装密码软件的个人计算机31A~33A、31B~33B之间,进行未经加密的数据通信,并且在具有密码处理功能的终端密码装置1A-1~1A-3、1B-1~1B-3之间,为了进行加密的数据通信,而进行加密处理和密码的解密处理。
将上述的密码装置1A-1~1A-3、1B-1~1B-3分别连接于个人计算机31A~33A、31B~33B的近傍,不同的据点网络30A、30B之间当然不用说,在具有未安装密码软件的个人计算机的企业内LAN中也可能使用密码。由此,可以使各据点网络30A、30B成为对外部的不正当侵入或攻击LAN内部的机密信息被盗取或被删改的危险性小的安全网络。
另外,在上述图6的例子中,各据点网络30A、30B均是备有多个具有密码处理功能的终端(密码装置1A-1~1A-3、1B-1~1B-3)构成的,但是也可以是至少一个的据点网络是只备有一个密码处理功能的终端。例如据点网络30A中,可以是连接一个个人计算机31A和一个密码装置1A-1,的构成。
此时,与图6所示的构成同样,在不同的据点网络30A、30B间可以使用密码。另外,涉及据点网络30A中,通过密码装置1A-1连接在个人计算机31A的近傍,使该据点网络30A的出入口与密码装置1A-1之间,可以使用密码。
另外,在上述图6例子中,对以互联网20连接二个据点网络30A、30B,在各据点网络30A、30B内分别备有密码装置1A-1~1A-3、1B-1~1B-3及个人计算机31A~33A、31B~33B的例子进行了描述,但是本案并不局限于此。
例如,在1个据点网络内备有密码装置1A-1~1A-3、1B-1~1B-3和个人计算机31A~33A、31B~33B,也可以将未安装密码软件的个人计算机31A~33A、31B~33B之间的数据的交换,通过密码装置1A-1~1A-3、1B-1~1B-3进行。此时,在1个据点网络内,至少在密码装置1A-1~1A-3、1B-1~1B-3之间可以使用密码。
另外,除了上述以外,例如在图3的构成中,替代安装有密码软件的个人计算机7,也可以使用未安装密码软件的个人计算机及密码装置1将密码装置1与集线器5连接的构成。此时,在不能安装密码软件的网络打印机2、DB服务器3、网络终端4等的设备与未安装密码软件的个人计算机之间,可以通过连接在二者近傍的密码装置1进行密码通信。
图7是表示在图3所示的密码系统中,在密码装置1和与其直接或间接连接的DB服务器3和膝上型个人计算机9的通信协议的层次结构的图。图7所示的例子中,在DB服务器3中事先未安装密码软件(没有IP-Sec),而在膝上型个人计算机9中安装有密码软件(具有IP-Sec)。因此在DB服务器3与膝上型个人计算机9之间,连接有本实施方式的密码装置1。这里,将DB服务器3中所保存的数据发送到密码装置1,假定在此将数据加密送至个人计算机9这样的使用方式。
如图7所示,DB服务器3及个人计算机9分别备有一个端口31、32,担任中继机的密码装置1是备有二个端口33、34。对密码装置1的各端口33、34,分别设有物理层及MAC层(数据链路层),作为对各端口33、34的共同设置而设有IP-Sec(加密/解密处理功能)、IP层(网络层)、TCP/UDP层(传输层)。这样,本实施方式的密码装置1具有由IP-Sec桥接在二个端口33、34之间的特征。
这里,所谓“桥接”是指该由一个端口输入的被施以加密处理或解密处理的数据不经过路由处理保持其状况输出到另一端口。在图7的例子中,对从第1的端口输入的数据,在IP-Sec进行加密,将由此所获得的数据,在IP层不做路由处理(不交付IP层)保持其状态交予其他端口输出,相当于“桥接”。如上所述,在本实施方式的密码装置1中,关于DB服务器3与个人计算机9之间的数据转发,不使用IP层和TCP/UDP层,在IP层的下位层进行处理。
即在DB数据库3生成数据包数据,通过该DB数据库3的MAC层、物理层发送,由密码装置1的第1端口33接受。接受的数据包数据通过物理层MAC层交予IP-Sec,在这里进行加密处理。此被加密的数据包数据是通过MAC层、物理层由第2的端口发送出去。
由第2的端口34所发送的数据包数据是由个人计算机9所接受,通过物理层、MAC层交予IP-Sec,进行密码解密,而且,被解密的数据是通经IP层交予图中未表示的应用层。由此虽然DB服务器3不具备密码软件,仍可以对个人计算机9发送加密的数据。
另外,本实施方式中,IP层及TCP/UDP层,在对密码装置1本身设定有关加密/解密的各种信息时使用。例如,在某个终端与某个终端之间进行密码通信时,但是与其他的终端之间不进行密码通信等这样的有无加密/解密处理,能否在某终端与某终端之间进行丢弃数据包等这样的通信,实施密码通信时的加密等级,实施加密的时间段,密钥等相关各种信息在密码装置中设定的时候,使用IP层和TCP/UDP层。
此种设定信息是通过IP-Sec桥接的功能而保持在存储器中。IP-Sec是对照保持在该存储器中的设定信息和从端口33、34输入的附加在数据包头部的信息(例如发送者IP地址,收信IP地址),进行加密/解密处理的控制。
如上所述,在本实施方式的密码装置1中,将从一个端口输入的数据在IP-Sec施以加密/解密,由此得到的数据不交予IP层,不进行路由处理保持这样转发到其他端口,所以在数据通信时可以不需要密码装置1的IP地址。即不具备IP地址就可以进行IP层的加密/解密处理。因此可以不必对密码装置1自身进行繁杂的IP地址设定。
另外,由于连接于密码装置1两侧的终端是属于同一网络,所以密码装置1的输入端口及输出端口不会有IP地址的改变。由此,密码装置1与有无连接到网络上无关,可以保持IP地址的透过性。即当网络上连接密码装置1,或从网络上卸下密码装置1时均不会改变连接在该密码装置1上的终端的地址设定。
例如,如图7所示,无论是在DB服务器3与个人计算机9之间插入密码装置1的情况,还是在不插入密码装置1在DB服务器3与个人计算机9之间进行直接通信的情况,该通过DB服务器3与个人计算机9之间的数据包的IP地址,都如图8所示保持不变。所以不需要根据有无连接密码装置1而改变任何地址设定。
由此在导入网络系统时或实施维修时,只将本实施方式的密码装置1插入于适当的地方或只拆下就可以,不必要进行繁杂的地址设定,因而可以大幅度地削减作业负荷。
再者,本实施方式时,对MAC地址也可以保持透过性。图9是表示从DB服务器3向个人计算机9发送数据,在其中间的密码装置1对数据进行加密时的数据包的图。另外,图10是表示为了与本实施方式比较,在图1所示的以往技术的系统中,数据从一个个人计算机101向另一个个人计算机102发送,在其中间的VPN路由器103将数据加密时的数据包的图。
图9(a)和图10(a)表示在第1的端口33、107所接受的数据包。图9(b)和图10(b)是表示由第2的端口34、108所发送的数据包。另外,在IP-Sec中,存在只将数据部分加密的传递模式,和将数据包全部予以加密,再追加新头部的隧道模式两种模式。关于发送数据包,对这二个模式分别进行表示。
由图9可以明确,根据本实施方式时,不但是IP地址,对MAC地址,也不会有第1的端口33和第1的端口34不同。可以保持MAC地址的透过性。即本实施方式的密码装置1,除了具有IP-Sec实施数据的加密/解密处理之外,只是将从一个端口输入的数据流入另一个端口而已,所以在进行数据通信时可以不需要MAC地址。
另外,在上述实施方式中,相当于OSI参照模式的第3层网络层的例子而例举出IP层,但是该IP层也可以是诺贝尔公司的网络OS所使用通信协议的IPX(Internetwork Packet exchange)层。另外,如果能使用IP-Sec也可以是其他的通信协议。
而且,如上所述的实施方式中,所表述的不过是将本发明赋予实施的一个具体化的示例而已,并非由此而限定地解释本发明的技术范围。即本发明在不脱离其精神,或其主要特征条件下,可以以各种的形式实现。
本发明如上所述,在导入密码处理功能的终端之间,为了实现终端由加密而保证的安全,备有实施加密处理和密码解密的加密/解密处理机构,从而构成密码装置,将该密码装置通过网络与终端连接,即使在备有不能安装专用密码软件的终端的企业内LAN中,也可以使用密码,可以降低由外部来的不正当侵入或攻击而使LAN内部的机密信息被盗取或删改的危险性。
再者,本发明中,将该被施予加密处理或被解密处理的数据,可以不交予网络间路由控制的网络层就输出,所以在数据通信时可以不要密码装置的IP地址。另外,在密码装置的输入端口与输出端口,IP地址不会改变,因此与密码装置有无连接到网络上无关可以保持IP地址的透过性,所以即使与密码装置连接的终端的地址设定相关也不必变更。由此,不需要实施地址设定等繁杂的作业,在企业内LAN也可以使用密码。
产业上的使用可能性
本发明,在具备无法安装专用密码软件的终端的企业内LAN中也可以使用密码,降低由外部不正当侵入或攻击而使LAN内部的机密信息被盗取或删改的危险性。
另外,本发明不需要实施地址设定等繁杂的作业,使企业内LAN也能使用密码。
Claims (11)
1、一种密码装置,备有多个的端口,其中的至少一个端口直接或间接地连接有具有密码处理功能的终端,其特征在于,
具有:
加密/解密机构,其为了在上述具有密码处理功能的终端之间,为了实现终端由加密而保证的安全,进行数据的加密处理及解密处理;
桥接机构,其将由上述多个的端口中的一个端口输入的、经上述加密/解密机构施以加密处理或解密处理的数据,不进行网络层的路由处理而保持原样地输出到其他端口,所述桥接机构在比网络层低的层中。
2、根据权利要求1所述的密码装置,其特征在于,
上述加密/解密机构,为了在上述具有密码处理功能的终端之间进行加密的数据通信,并且在不具有密码处理功能的终端之间进行不加密的数据通信,进行上述加密处理和上述解密处理。
3、根据权利要求2所述的密码装置,其特征在于,
上述加密/解密机构,在从具有密码处理功能的终端发送来的已加密的数据向不具备密码处理功能的其他终端发送时,将上述已加密的数据解密,向上述不具备密码处理功能的其他终端发送;在从不具有密码处理功能的终端发送来的未加密的数据向具备密码处理功能的其他终端发送时,将上述未加密的数据加密,向上述具备密码处理功能的其他终端发送。
4、根据权利要求1所述的密码装置,其特征在于,
所述桥接机构是IP-Sec桥接,以及
在比网络层低的层中执行数据传送处理。
5、一种密码装置,备有多个的端口,其中的至少一个端口直接或间接地连接有具有密码处理功能的终端,其特征在于,
具有:
加密/解密机构,其对从上述多个端口中的一个端口输入的、通过物理层及数据链路层交予的数据,进行加密处理或解密处理;
桥接机构,其将由上述加密/解密机构施以加密处理或解密处理的数据,并不交予进行网络间的路由控制的网络层,而通过数据链路层和物理层,从其他的端口输出,所述桥接机构在比网络层低的层中。
6、根据权利要求5所述的密码装置,其特征在于,
还具备设定信息存储机构,其用于存储有关控制上述加密处理及上述解密处理的设定信息,
上述加密/解密机构,对照存储在上述设定信息存储机构的设定信息,和附加在从上述一个端口输入的数据包头部的信息,进行上述加密处理和上述解密处理的控制。
7、根据权利要求5所述的密码装置,其特征在于,
所述桥接机构是IP-Sec桥接,以及
在比网络层低的层中执行数据传送处理。
8、一种密码方法,用于在具有多个的端口、其中的至少一个端口直接或间接地连接有具有密码处理功能的终端的密码装置中实施加密处理或解密处理,其特征在于,
对从上述多个端口中的一个端口输入的、通过物理层及数据链路层交予的数据施以加密处理或解密处理,并经由桥接机构,将由此得到的数据并不交予进行网络间路由控制的网络层,而是通过数据链路层和物理层从其他的端口输出,
其中,桥接机构在比网络层低的层中。
9、根据权利要求8所述的密码方法,其特征在于,
所述桥接机构是IP-Sec桥接,以及
在比网络层低的层中执行数据传送处理。
10、一种密码系统,其特征在于,
是将具有密码处理功能的终端和权利要求1所述的密码装置,通过无线或有线的网络连接而构成的。
11、一种密码系统,其特征在于,
是在具有密码处理功能的终端与不具有密码处理功能的终端之间,通过无线或有线的网络,连接权利要求2所述的密码装置而构成的。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP134680/2002 | 2002-05-09 | ||
| JP2002134680 | 2002-05-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1653744A CN1653744A (zh) | 2005-08-10 |
| CN100571131C true CN100571131C (zh) | 2009-12-16 |
Family
ID=29416719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038105101A Expired - Fee Related CN100571131C (zh) | 2002-05-09 | 2003-04-24 | 密码装置和方法以及密码系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20050021949A1 (zh) |
| EP (1) | EP1503536A1 (zh) |
| JP (1) | JP4615308B2 (zh) |
| KR (1) | KR100976750B1 (zh) |
| CN (1) | CN100571131C (zh) |
| TW (1) | TWI274487B (zh) |
| WO (1) | WO2003096612A1 (zh) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002084499A1 (en) * | 2001-04-11 | 2002-10-24 | Chelsio Communications, Inc. | Multi-purpose switching network interface controller |
| KR20060044049A (ko) * | 2004-11-11 | 2006-05-16 | 한국전자통신연구원 | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 |
| US20060126520A1 (en) * | 2004-12-15 | 2006-06-15 | Cisco Technology, Inc. | Tape acceleration |
| US20060251255A1 (en) * | 2005-04-20 | 2006-11-09 | Puneet Batta | System and method for utilizing a wireless communication protocol in a communications network |
| US8190877B2 (en) * | 2005-07-05 | 2012-05-29 | Viasat, Inc. | Trusted cryptographic processor |
| US8527741B2 (en) * | 2005-07-05 | 2013-09-03 | Viasat, Inc. | System for selectively synchronizing high-assurance software tasks on multiple processors at a software routine level |
| US7715436B1 (en) | 2005-11-18 | 2010-05-11 | Chelsio Communications, Inc. | Method for UDP transmit protocol offload processing with traffic management |
| US8069270B1 (en) | 2005-09-06 | 2011-11-29 | Cisco Technology, Inc. | Accelerated tape backup restoration |
| US8250151B2 (en) * | 2005-10-12 | 2012-08-21 | Bloomberg Finance L.P. | System and method for providing secure data transmission |
| US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
| EP2043296A4 (en) * | 2006-07-13 | 2011-04-20 | Keiko Ogawa | RELAY DEVICE |
| US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
| US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
| US8908700B2 (en) * | 2007-09-07 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for bridging a WAN accelerator with a security gateway |
| JP5239502B2 (ja) * | 2007-11-07 | 2013-07-17 | 株式会社明電舎 | ブリッジングシステム、ブリッジおよびブリッジング方法 |
| US8464074B1 (en) | 2008-05-30 | 2013-06-11 | Cisco Technology, Inc. | Storage media encryption with write acceleration |
| US8726007B2 (en) * | 2009-03-31 | 2014-05-13 | Novell, Inc. | Techniques for packet processing with removal of IP layer routing dependencies |
| US20100278338A1 (en) * | 2009-05-04 | 2010-11-04 | Mediatek Singapore Pte. Ltd. | Coding device and method with reconfigurable and scalable encryption/decryption modules |
| CN101958791B (zh) * | 2009-07-16 | 2014-05-14 | 上海前沿计算机科技有限公司 | 模块加解密方法 |
| US8139277B2 (en) * | 2010-01-20 | 2012-03-20 | Palo Alto Research Center. Incorporated | Multiple-source multiple-beam polarized laser scanning system |
| JP5605197B2 (ja) * | 2010-12-09 | 2014-10-15 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにプログラム |
| US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
| US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
| WO2014179753A2 (en) | 2013-05-03 | 2014-11-06 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
| US9942152B2 (en) * | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
| US10268467B2 (en) | 2014-11-11 | 2019-04-23 | A10 Networks, Inc. | Policy-driven management of application traffic for providing services to cloud-based applications |
| US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
| US10044502B2 (en) | 2015-07-31 | 2018-08-07 | Nicira, Inc. | Distributed VPN service |
| KR102212859B1 (ko) * | 2020-01-28 | 2021-02-05 | (주)모니터랩 | 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 |
| US11265296B1 (en) * | 2021-05-11 | 2022-03-01 | Roqos, Inc. | System and method to create and implement virtual private networks over internet for multiple internet access types |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4368357A (en) * | 1980-11-14 | 1983-01-11 | International Telephone And Telegraph Corporation | Bypass apparatus for use in secure communication systems |
| US5253293A (en) * | 1988-01-23 | 1993-10-12 | Secom Co., Ltd. | Adaptive data ciphering/deciphering apparatuses and data communication system using these apparatuses |
| DE3831215A1 (de) * | 1988-09-14 | 1990-03-22 | Standard Elektrik Lorenz Ag | Netzuebergangseinrichtung und fernmeldeendgeraet |
| JP3103850B2 (ja) * | 1989-03-07 | 2000-10-30 | アイシン精機株式会社 | 秘匿通信制御装置 |
| US5500860A (en) * | 1991-06-14 | 1996-03-19 | Digital Equipment Corporation | Router using multiple hop redirect messages to enable bridge like data forwarding |
| US5596718A (en) * | 1992-07-10 | 1997-01-21 | Secure Computing Corporation | Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor |
| US5442708A (en) * | 1993-03-09 | 1995-08-15 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
| US5444782A (en) * | 1993-03-09 | 1995-08-22 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
| US5404394A (en) * | 1993-05-24 | 1995-04-04 | Comsat Corporation | Secure communication system |
| JP3263877B2 (ja) * | 1993-10-06 | 2002-03-11 | 日本電信電話株式会社 | 暗号ゲートウェイ装置 |
| JPH07131450A (ja) * | 1993-10-28 | 1995-05-19 | Canon Inc | 通信コントローラ |
| US5386471A (en) * | 1994-01-25 | 1995-01-31 | Hughes Aircraft Company | Method and apparatus for securely conveying network control data across a cryptographic boundary |
| JPH07245606A (ja) * | 1994-03-02 | 1995-09-19 | Nec Corp | インタフェース変換装置 |
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| US5548649A (en) * | 1995-03-28 | 1996-08-20 | Iowa State University Research Foundation | Network security bridge and associated method |
| US5684876A (en) * | 1995-11-15 | 1997-11-04 | Scientific-Atlanta, Inc. | Apparatus and method for cipher stealing when encrypting MPEG transport packets |
| JP3446482B2 (ja) * | 1996-06-28 | 2003-09-16 | 三菱電機株式会社 | 暗号化装置 |
| JP3595145B2 (ja) * | 1997-06-02 | 2004-12-02 | 三菱電機株式会社 | 暗号通信システム |
| FI108827B (fi) * | 1998-01-08 | 2002-03-28 | Nokia Corp | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa |
| JPH11239184A (ja) * | 1998-02-23 | 1999-08-31 | Matsushita Electric Works Ltd | スイッチングハブ |
| US6640248B1 (en) * | 1998-07-10 | 2003-10-28 | Malibu Networks, Inc. | Application-aware, quality of service (QoS) sensitive, media access control (MAC) layer |
| US6490273B1 (en) * | 1998-08-05 | 2002-12-03 | Sprint Communications Company L.P. | Asynchronous transfer mode architecture migration |
| KR100282403B1 (ko) * | 1998-08-20 | 2001-02-15 | 서평원 | 이동통신 시스템에서 전파 회선 프로토콜의 프레임 전송 방법 |
| AU2565200A (en) * | 1999-02-19 | 2000-09-04 | Nokia Networks Oy | Network arrangement for communication |
| US6862583B1 (en) * | 1999-10-04 | 2005-03-01 | Canon Kabushiki Kaisha | Authenticated secure printing |
| US6963982B1 (en) * | 1999-10-28 | 2005-11-08 | Lucent Technologies Inc. | Method and apparatus for application-independent end-to-end security in shared-link access networks |
| JP3259724B2 (ja) * | 1999-11-26 | 2002-02-25 | 三菱電機株式会社 | 暗号装置、暗号化器および復号器 |
| US6952780B2 (en) * | 2000-01-28 | 2005-10-04 | Safecom A/S | System and method for ensuring secure transfer of a document from a client of a network to a printer |
| US6631417B1 (en) * | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
| US7076651B2 (en) * | 2000-05-01 | 2006-07-11 | Safenet, Inc. | System and method for highly secure data communications |
| US6708218B1 (en) * | 2000-06-05 | 2004-03-16 | International Business Machines Corporation | IpSec performance enhancement using a hardware-based parallel process |
| US7111163B1 (en) * | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
| JP2002134680A (ja) * | 2000-10-26 | 2002-05-10 | Sanyo Electric Co Ltd | 混成集積回路装置の製造方法 |
| US20020073212A1 (en) * | 2000-11-13 | 2002-06-13 | Sokol Daniel D. | Wireless web browsing terminal and hub |
| US20030058274A1 (en) * | 2000-11-17 | 2003-03-27 | Jake Hill | Interface device |
| US7080248B1 (en) * | 2001-04-23 | 2006-07-18 | At&T Corp. | System providing dynamic quality of service signaling messages in a cable telephony network |
| US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
| US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
| JP2003101523A (ja) * | 2001-09-21 | 2003-04-04 | Fujitsu Ltd | 秘匿機能を有する通信ネットワーク・システムおよび通信方法 |
| EP1304844B1 (en) * | 2001-10-19 | 2007-04-04 | Sony Deutschland GmbH | Content protection and copy management system for a network |
| US20030106067A1 (en) * | 2001-11-30 | 2003-06-05 | Hoskins Steve J. | Integrated internet protocol (IP) gateway services in an RF cable network |
| US7181616B2 (en) * | 2001-12-12 | 2007-02-20 | Nortel Networks Limited | Method of and apparatus for data transmission |
| JP4368637B2 (ja) * | 2003-08-05 | 2009-11-18 | 株式会社リコー | 多機能複合機、サーバ、環境負荷低減方法、および、プログラム |
| US7769994B2 (en) * | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| JP3944182B2 (ja) * | 2004-03-31 | 2007-07-11 | キヤノン株式会社 | セキュリティ通信方法 |
-
2003
- 2003-04-24 KR KR1020047013925A patent/KR100976750B1/ko not_active IP Right Cessation
- 2003-04-24 CN CNB038105101A patent/CN100571131C/zh not_active Expired - Fee Related
- 2003-04-24 WO PCT/JP2003/005265 patent/WO2003096612A1/ja not_active Application Discontinuation
- 2003-04-24 EP EP03723195A patent/EP1503536A1/en not_active Withdrawn
- 2003-04-24 JP JP2004504450A patent/JP4615308B2/ja not_active Expired - Fee Related
- 2003-05-08 TW TW092112602A patent/TWI274487B/zh not_active IP Right Cessation
-
2004
- 2004-08-16 US US10/710,982 patent/US20050021949A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| TWI274487B (en) | 2007-02-21 |
| US20050021949A1 (en) | 2005-01-27 |
| CN1653744A (zh) | 2005-08-10 |
| KR20040104486A (ko) | 2004-12-10 |
| JP4615308B2 (ja) | 2011-01-19 |
| TW200307423A (en) | 2003-12-01 |
| JPWO2003096612A1 (ja) | 2005-09-15 |
| EP1503536A1 (en) | 2005-02-02 |
| KR100976750B1 (ko) | 2010-08-18 |
| WO2003096612A1 (fr) | 2003-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100571131C (zh) | 密码装置和方法以及密码系统 | |
| US6185680B1 (en) | Packet authentication and packet encryption/decryption scheme for security gateway | |
| JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
| CN1976317B (zh) | 桥接加密vlan | |
| US5444782A (en) | Computer network encryption/decryption device | |
| US5640456A (en) | Computer network encryption/decryption device | |
| KR100472739B1 (ko) | 가상사설망용아키텍쳐 | |
| US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| EP1396979A2 (en) | System and method for secure group communications | |
| US7330968B2 (en) | Communication network system having secret concealment function, and communication method | |
| CN100591004C (zh) | 加密的一元集中管理系统 | |
| CN101103593B (zh) | 鉴别多播消息的方法 | |
| CN101529805A (zh) | 中间设备 | |
| JP2002504285A (ja) | 仮想専用網を実現する装置 | |
| US20040158706A1 (en) | System, method, and device for facilitating multi-path cryptographic communication | |
| JP2004350044A (ja) | 送信機および受信機、ならびに通信システムおよび通信方法 | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
| US6661896B1 (en) | Computer network security system and method | |
| CN1756149B (zh) | 分散环境中的密钥更新方法及其系统 | |
| JPH11308264A (ja) | 暗号通信システム | |
| Soriano et al. | Implementation of a security system in a local area network environment | |
| Wu et al. | The network safety design of the telecom comprehensive operations management system based on VPN | |
| Fumy | (Local area) network security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NIIGATA SEIMITSU CO., LTD. Free format text: FORMER OWNER: NIIGATA SEIMITSU CO., LTD.; APPLICANT Effective date: 20080606 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080606 Address after: Japan's Niigata Prefecture Applicant after: Niigato Precision Co., Ltd. Address before: Japan's Niigata Prefecture Applicant before: Niigata precision plant Co-applicant before: A comprehensive study by McGraw Corporation |
|
| ASS | Succession or assignment of patent right |
Owner name: AONIXIKE GROUP CO.,LTD. Free format text: FORMER OWNER: NIIGATA SEIMITSU CO., LTD. Effective date: 20090724 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090724 Address after: Delaware Applicant after: Onesik Group Co., Ltd. Address before: Japan's Niigata Prefecture Applicant before: Niigato Precision Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091216 Termination date: 20150424 |
|
| EXPY | Termination of patent right or utility model |