CN100591004C - 加密的一元集中管理系统 - Google Patents
加密的一元集中管理系统 Download PDFInfo
- Publication number
- CN100591004C CN100591004C CN03810511A CN03810511A CN100591004C CN 100591004 C CN100591004 C CN 100591004C CN 03810511 A CN03810511 A CN 03810511A CN 03810511 A CN03810511 A CN 03810511A CN 100591004 C CN100591004 C CN 100591004C
- Authority
- CN
- China
- Prior art keywords
- encryption
- mentioned
- data
- encryption apparatus
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/10—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2838—Distribution of signals within a home automation network, e.g. involving splitting/multiplexing signals to/from different paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L2012/284—Home automation networks characterised by the type of medium used
- H04L2012/2841—Wireless
Abstract
一种密码装置(1),备有加密/解密处理机构,在导入了密码处理功能的终端之间,为了实现终端由加密而保证的安全,进行加密处理和密码的解密处理。连接该密码装置(1)和进行密码通信的多个通信终端(2~9)和远距离对通信终端(7~9)以及密码装置(1)进行密码通信所必需的各种信息的设定的管理终端(12)而构成密码系统,在具有不能安装专用密码软件的终端的企业内LAN中也可以使用密码,在管理终端(12)一元地集中管理在该LAN内最终的加密。
Description
技术领域
本发明有涉及加密的一元集中管理系统,特别是涉及为了降低在网络上由外部攻击而引起的信息被盗取或被删改等危险而进行信息加密/解密的系统。
背景技术
在独立地使用个人计算机(个人电脑)时,个人计算机内部的信息的被盗取、删改,或被破坏的危险性很小。但是,将个人计算机与互联网等网络连接后,由于交换的信息将向多个网络路由。因此显著提高了在该途中被盗取或被删改的可能性。
“信息加密”是用于解决此问题的方法之一。即在发送侧的个人计算机中将信息加密后再发送到对方。在接受侧的个人计算机中将其解密再使用。采用这种方法,即使在网络的中途信息被盗取,由于信息被加密,信息本身的被看到的可能性小,另外也降低被删改的危险性。
但是,为了使用密码,需要在欲进行密码通信的终端,都要安装专用的密码软件,必须进行各种设定。例如在某终端与另一某终端之间进行密码通信但与其他的终端之间不进行密码通信等这样的有无密码的处理、在进行密码通信中加密的等级、进行加密的时间段、密钥等非常多的信息需要在每个终端中进行设定。因此要建立使用密码的系统存在需要很多劳动的问题。
发明内容
本发明是为了解决此问题而提出,其目的在,能够简化使用密码所需的对每个终端的各种信息设定。
本发明的加密一元集中管理系统,具备:多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,其备有加密/解密机构,该加密/解密机构在具有密码处理功能的通信终端之间,为了达到实现终端由加密而保证的安全,进行数据的加密处理和解密处理;管理终端,其将进行上述密码通信所需要的各种信息的设定,通过网络远距离地对上述通信终端和上述密码装置进行,其中,上述多个通信终端(具有上述密码处理功能的终端,除了安装密码软件的终端之外,还包含具有和上述密码装置同样功能的其他的密码装置)、上述管理终端、上述密码装置通过有线或无线网络连接。
本发明的另一方案中,上述加密/解密机构,为了在具有上述密码处理功能的通信终端之间进行加密的数据通信,和在不具备密码处理功能的通信终端之间进行不加密的数据通信,进行上述加密处理和上述解密处理。
本发明的另一方案中,上述密码装置备有桥接机构,该桥接机构将从一个端口输入的、经上述加密/解密机构施以加密处理或解密处理的数据,并不经过路由处理而直接地保持原状地从其他端口输出。
本发明的另一方案,备有:多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,对自一个端口输入的、通过物理层及数据链层交予的数据,进行加密处理或解密处理,由此所获得的数据并不交予进行网络间路由控制的网络层,而通过数据链络层和物理层由另一端口输出;管理终端,其将上述密码通信所需要的各种信息的设定,通过网络远距离地对上述通信终端和上述密码装置进行,其中,上述多个通信终端、上述管理终端、以及上述密码装置通过有线或无线网络连接。
本发明的另一方案,上述密码装置是备有设定信息存储机构,该设定信息存储机构存储由上述管理终端设定的、与上述加密处理和上述解密处理的控制相关的信息,上述密码装置对照存储在上述设定信息存储机构中的设定信息,和附加在从上述一个端口输入的数据包头部中的信息,进行上述加密处理和上述解密处理的控制。
附图说明
图1是表示根据本实施方式的加密一元集中管理系统的构成例的图。
图2是表示根据本实施方式的加密一元集中管理系统的另一构成例的图。
图3是表示根据本实施方式的加密一元集中管理系统的再另一构成例的图。
图4是表示根据本实施方式的加密一元集中管理系统的进一步另一构成例的图。
图5是表示根据本实施方式的密码装置和与其连接的DB服务器和个人计算机中的通信协议的层次结构的图。
图6是说明在本实施方式上流通在网络上的数据包的IP地址的图。
图7是说明在本实施方式上流通在密码装置中的数据包的MAC地址的图。
图8是说明以往的流通在VPN路由器中的数据包的MAC地址的图。
具体实施方式
下面根据附图说明本发明的一实施方式。
图1是表示本实施方式加密的一元集中管理系统的整体构成例的图。
在图1中,1是密码装置,备有2个端口,在一个端口(port)连接有网络打印机2、DB服务器3、网络终端设备4等的设备,在另一端口连接有集线器5。该密码装置1是在网络打印机2、DB服务器3、网络终端设备4等装置与集线器5之间进行数据中继。
网络打印机2是不能在物理上安装密码软件的终端。DB服务器3由于动作的稳定方面等问题不适合安装多余密码软件的终端。网络终端设备4是没有OS(操作系统)不能运行密码软件的终端。因此,在这些终端2~4中不能安装密码软件。
另外,在OSI参照模式的物理层中,集线器5是用于数据中继的设备。除了上述密码装置1之外,还连接有无线通信用的无线接入点6、台式个人计算机7、以及用于进行与加密/解密有关的各种信息设定的管理终端12。此时的集线器5,是用于在密码装置1与无线接入点6及台式个人计算机7之间进行密码通信的数据中继,另外,也对管理终端12和其他的密码装置1、无线接入点6、台式个人计算机7之间,进行各种信息设定用的数据中继。
进一步,在上述无线接入点6中,通过无线连接有台式个人计算机8和膝上型个人计算机9。在台式个人计算机7、8及膝上型个人计算机9中,可以安装用于进行数据的加密/解密的密码软件,实际上安装有用于进行加密/解密处理的代理软件。在密码装置1中,也安装与此相同的密码代理软件。
如上所述,本实施方式的密码装置1是具有两个端口,对于一个端口,通过集线器5或无线接入点6间接地连接具有密码处理功能的通信终端即个人计算机7~9。另外,在另一端口直接地连接网络打印机2、DB服务器3、网络终端设备4。并且,由这些密码装置1、网络打印机2、DB服务器3、网络终端设备4、集线器5、无线接入点6、个人计算机7~9而构成一个据点网络。
根据上述的构成,在没有安装密码软件的网络打印机2、DB服务器3、及网络终端设备4,与安装有密码软件的个人计算机7~9(这些设备2~4、7~9均相当于本发明的通信终端)之间、通过密码装置1、集线器5及无线接入点6进行数据通信。
此时,密码装置1,用于在安装有密码软件的个人计算机7~9之间进行信息的通信,同时在未安装密码软件的终端2~4间进行未加密的数据通信,而进行加密处理及密码的解密处理。
例如,数据从台式个人计算机7发送到网络打印机2进行打印输出时,首先使用安装在台式个人计算机7中的密码软件将数据加密,再通过集线器5供给到密码装置1。接着,密码装置1,将接受到数据解密,发送到网络打印机2。
再者,例如在DB服务器3所管理的数据取入膝上型个人计算机9时,DB服务器3,根据附与的要求,将该数据供给密码装置1。接受了该未加密的数据的密码装置1,将该数据予以加密,通过集线器5和无线接入点6,发送到膝上型个人计算机9。膝上型个人计算机9,将接受的数据予以解密,使用于期望的处理。
由上面的说明可以明确:通过使用密码装置1,在具有不能安装专用的密码软件的终端2~4的企业内LAN(Local Area Network)当中,也能使用密码。由此可以建立对于外部的不正当侵入或攻击而LAN内部的机密数据被盗取或被删改的危险性小的安全网络10。
另外,密码装置1与各终端2~4之间是不能使用密码,连接它们的电缆11在物理上是很短的配线。且由于此部份的受外部攻击而被盗听或被删改的可能性非常低,所以安全上不会特别有问题。
在如上述构成的密码系统中,对于密码装置1及个人计算机7~9所安装的密码代理软件,应该设定的各种信息,例如有无加密/解密处理,某个终端与某个终端之间是否可以进行丢弃数据包等这样的通信,加密等级,进行加密的时间段,每个部门的密码策略,密钥等信息,这些是通过集线器5从管理终端12将必要的信息下载到密码装置1和各个人计算机7~9。
因此,不需要将使用密码所需的各种信息在每个终端分别地设定,从管理终端12到密码系统的整体可以一元集中管理。所以,对各终端的各种信息的设定可以简单地进行,可以大幅度地削减密码系统的建立以及其以后的维护所需的工作。
以往,在备有在物理上不能安装密码软件的打印机或传真等终端,优选不适宜安装多余软件的打印服务器或数据库服务器等终端,和不具备OS只能作为简单的网络终端发挥作用的终端等的企业内LAN之中,因为不能实质上地安装密码软件,所以使用密码是很困难。
因此以往的密码系统,采取在连接于网络的各终端之间互相交换的信息的中途互联网上,予以加密。此时,进行密码通信的终端,因为是在网络上多个散布存在,所以对于这些多个的终端进行加密的一元集中管理是非常困难的。与此相反,根据本实施方式,因为在企业内LAN中可以使用密码,所以在该LAN内可以进行加密的一元管理。
图2是表示本实施方式加密的一元集中管理系统其他构成例的图。另外在该图2中,与图1所示的构成要素备有同一功能的构成要素是附与同一符号。在图2中,密码装置1,在一个的端口连接互联网20,另一个的端口连接集线器5。
图2的情形,是由密码装置1、集线器5、无线接入点6、个人计算机7~9构成一个据点网络。另外在互联网20的前面连接有另一据点网络,其连接了多台如图1所示的网络打印机2、DB服务器3、网络终端设备4等不能安装密码软件的终端,或者连接多台如个人计算机7~9那样被安装了密码软件的终端而构成的。
在图1所示的例子中,对于1台密码装置1连接1台设备,与1台的设备相关的加密/解密处理是以1台的密码装置1专用地进行。即图1所示的密码装置1,连接在安装了密码软件的个人计算机7~9与没有安装密码软件的1台的设备之间,对该1台设备终端保证由加密而实现的安全。
与此相反,在图2所示的例子中,密码装置1,连接在安装有密码软件的个人计算机7~9和连接在互联网20的多台设备之间。上述的多台设备,可以是例如图1所示的网络打印机2、DB服务器3、网络终端设备4等那样没有安装密码软件的设备,也可以是如个人计算机7~9等那样安装有密码软件的设备。这样,密码装置1,可以对于多台设备终端保证由加密而实现的安全,此时,密码装置1,只有被连接的设备数量的数据通路,对于每个设备使用不同的密钥进行加密/解密处理。
另外,通过互联网20,将数据从安全网络10内的台式计算机7向不具有密码软件的外部设备发送的时候,首先,在台式计算机7中,使用已安装的密码软件对数据进行加密,通过集线器5供给密码装置1。接着,密码装置1,将受到的数据解密,通过互联网20发送到外部设备。
另外,例如将位于互联网20前面的不具备密码软件的外部装置所管理的数据,取入到安全网络10内的膝上型个人计算机9时,该外部装置,根据提供的要求,将该数据发送到互联网20。接到该未加密数据的密码装置1,将该数据予以加密,通过集线器5及无线接入点6,发送到膝上型个人计算机9。膝上型个人计算机9将接受的数据予以解密,再使用于期望的处理。
另一方面,数据通过互联网20,从安全网络10内的台式个人计算机7向具有密码软件的外部设备发送时,首先使用安装于台式个人计算机7中的密码软件将数据加密,通过集线器5供给到密码装置1,接着密码装置1将接受的数据不予解密,通过互联网20发送到外部设备。外部设备将接受的数据予以解密,再使用于期望的处理。
相反的,在位于网络20的前面的外部装置中,将加密的数据发送到安全网络10内的台式个人计算机7时,密码装置1将通过互联网20从外部设备接受的数据不予解密,保持加密的状态通过集线器5发送到台式个人计算机7。
这样,即使安全网络10内的终端7~9与连接于互联网20的不具备密码软件的外部设备之间进行数据通信时,至少在安全网络10的内部可以使用密码保护。另外,在连接于互联网20的外部设备中,安装有密码软件时,在安全网络10的外部的互联网20上也可以使用密码。
另外,上述多台的设备,不需要通过互联网20连接,也可以直接或通过集线器与密码装置1连接。在直接连接时,密码装置1要具有2个以上的端口。
图3是表示本实施方式加密的一元集中管理系统另一构成例的图。而且,在该图3中,对于与图1的构成要素具有同一功能的构成要素附与同一符号,图3所示的例子也与图2所示的例子一样,是1台密码装置1对多台的设备终端保证由加密而实现安全的例子。
在图3所示的例子中,在安全网络10的内部,3台的个人计算机7~9都以无线LAN连接于无线接入点6-1。无线接入点6-1是通过密码装置1连接于互联网20。另外备有多个无线接入点6-1、6-2,以1台的无线接入点6-1不能完全覆盖的通信范围用另一无线接入点6-2来覆盖,因而提供比较宽广的无线LAN环境。密码装置1分别与每一无线接入点6-1、6-2连接。
在这样构成的密码系统中,例如连接于一个的无线接入点6-1的膝上型个人计算机9,可以实现在移动超出其可通信范围进行时切换至另一个的无线接入点6-2继续进行通信的切换。并且如上所述,由于管理终端12一元管理用于密码通信的通路的设定,即使在多个无线接入点6-1,6-2之间,也能够继续进行密码通信。
再者,在本图3所示的例子中,管理终端12是与互联网20连接。此时的管理终端12,通过互联网20,将对密码代理软件应该设定各种数据,下载到密码装置1及各个人计算机7~9而予以设定。
另外,在上述图1~图3中,对具备1个安全网络10和将其中的加密进行一元管理的一个管理终端12的例子进行了说明。与此相对,也可以建立这样的一个加密系统,其备有多个管理终端12,该管理终端12将多个安全网络10及其中的加密分别予以一元管理,各管理终端12通过互联网20等互相进行数据通信,并适当地设定有关加密/解密的各种的信息,汇集多个的安全网络10整体构成1个密码系统。
再者,在上述图1~图3中,做为本发明的具有密码处理功能的通信终端的例子,例举了安装密码软件的个人计算机7~9。而在密码装置1与个人计算机7~9之间,对终端通过加密而实现安全的例子进行了说明。但是具有密码处理功能的通信终端并不局限于此例,还包含具有与密码装置1同样的功能的其他密码装置。在图4中表示这种情况的加密一元集中管理系统。
在图4所示的例子中,据点A、B的二个据点网络30A、30B是通过路由器40A、40B、互联网20连接而成。据点A网络30A中是由个人计算机31A~33A及密码装置1A-1~1A-3来构成企业内LAN。个人计算机31A~33A均是没有安装密码软件的终端。密码装置1A-1~1A-3均具有与图1的密码装置1同样的功能。在一个端口连接有个人计算机31A~33A,在另一个端口是连接有路由器40A。
在据点B网络30B中也同样,由个人计算机31B~33B及密码装置1B-1~1B-3构成企业内LAN。个人计算机31B~33B是均没有安装密码软件的终端。另外,密码装置1B-1~1B-3均具有图1的密码装置1同样的功能,在一个端口连接个人计算机31B~33B,在另一个端口连接路由器40B。
根据这样的构成,在属于不同的据点网络30A、30B的个人计算机之间,可以通过密码装置1A-1~1A-3、1B-1~1B-3进行数据通信。例如从位于据点A网络30A内的个人计算机31A向位于据点B网络30B内的个人计算机33B发送数据时,密码装置1A-1是将个人计算机31A供给的数据予以加密,通过路由器40A、互联网20及路由器40B发送到密码装置1B-3。密码装置1B-3将接受的数据解密,供给个人计算机33B,由此从而实现在不同的据点网络30A、30B之间可以使用密码通信。
再者,例如在据点A网络30A的内部,没有安装密码软件的个人计算机31A~33A之间是通过密码装置1A-1~1A-3来进行数据通信。例如从某个人计算机31A向另一个人计算机33A送数据时,密码装置1A-1将个人电脑31A所供给的数据予以加密,发送至密码装置1A-3。密码装置1A-3将接受的数据予以解密供给个人计算机33A。
在据点B网络30B的内部也同样,没有安装密码软件的个人计算机31B~33B之间,是通过密码装置1B-1~1B-3进行数据通信。例如从某个个人计算机31B向另一个人计算机33B送数据时,密码装置1B-1将由个人计算机31B所供给的数据加密,发送至密码装置1B-3,密码装置1B-3将接受的数据予以解密供给于个人计算机33B。
如上所述,密码装置1A-1~1A-3、1B-1~1B-3均在没有安装密码软件的个人计算机31A~33A、31B~33B之间进行没有被加密的数据的通信,同时在具有密码处理功能的通信终端的密码装置1A-1~1A-3、1B-1~1B-3之间,为了进行加密的数据通信而进行加密处理及密码的解密处理。
将上述的密码装置1A-1~1A-3、1B-1~1B-3分别连接在个人计算机31A~33A、31B~33B的附近,在不同的据点网络30A、30B之间使用密码是当然不用说的,在具有没有安装密码软件的个人计算机的企业内LAN中也成为可能。由此,可以使各据点网络30A、30B成为对于外部的不正当侵入或攻击而LAN内部的机密信息的被盗取或被删改的危险性小的安全网络。
另外,在图4的例子中,将各据点网络30A、30B中的加密分别以一元管理的多个管理终端12A、12B,与互联网20连接。各管理终端12A、12B通过互联网20互相进行数据通信,并适当地设定与加密/解密有关的各种信息。由此,可以集中多个据点网络30A、30B整体上构成一个密码系统。
再者,在上述图4的例子中,各据点网络30A、30B均具备多个密码处理功能的终端(密码装置1A-1~1A-3、1B-1~1B-3)的构成,也可以作为至少一个的据点网络只备有一个密码处理功能的终端的构成,例如也可以将据点网络30A内,连接1台个人计算机31A与1个密码装置1A-1的构成。
此时,与图4所示的构成同样,在不同的据点网络30A、30B之间可以使用密码。另外关于据点网络30A内,是将密码装置1A-1连接于个人计算机31A的附近,由此在该据点网络30A的出入口与密码装置1A-1之间可以使用密码。
另外,在上述图4的例子中,是以通过互联网20连结二个据点网络30A、30B,而在各据点网络30A、30B内分别备有密码装置1A-1~1A-3、1B-1~1B-3和个人计算机31A~33A、31B~33B为例进行表述,但是本发明不局限于此。
例如,在1个据点网络内具备有密码装置1A-1~1A-3、1B-1~1B-3及个人计算机31A~33A、31B~33B,在未安装密码软件的个人计算机31A~33A、31B~33B之间的数据交换,还可以通过密码装置1A-1~1A- 3、1B-1~1B-3来进行。此时,在1个据点网络内,至少在密码装置1A-1~1A-3、1B-1~1B-3之间可以使用密码。
另外,除了上述以外,例如在图1的构成中,还可以采用替代安装有密码软件的个人计算机7,使用未安装密码软件的个人计算机和密码装置1,将密码装置1与集线器5连接的构成。此时,未安装密码软件的网络打印机2、DB服务器3、网络终端设备4等的设备,与未安装密码软件的个人计算机之间,可以通过连接于两者附近的密码装置1进行密码通信。
图5是表示在图1所示的密码系统中,密码装置1与直接和间接地连接在密码装置1的DB服务器3及膝上型个人计算机9之间的通信协议的层次结构的图。在图5所示的例子中,在DB服务器3没有预先安装密码软件(没有IP-Sec),在膝上型个人计算机9中安装有密码软件(具有IP-Sec),在该DB服务器3与膝上型个人计算机9之间连接有本实施方式的密码装置1。这里,将保存在DB服务器3中的数据送至密码装置1,在这里假想该将数据加密发送至个人计算机9的使用形式。
如图5所示,DB服务器3及个人计算机9是分别备有一个端口31、32,做为其中继机的密码装置1具备两个端口33、34。对于密码装置1的各端口33、34而分别设有物理层及MAC层(数据链路层),对于各端口33、34共同设置IP-Sec(加密/解密处理功能)、IP层(网络层),以及TCP/UDP(传送层)。
层越深离使用者越远。相反层越浅越靠近使用者。在DB服务器3及个人计算机9的IP层的上一层,存有TCP/UDP层以及应用层(图中均未表示),其进行使用者所使用的应用程序与下一层之间的过渡。
在数据的发送侧,自上一层朝向下一层,通过每一层的数据逐步改变,并且在各层之间逐一附加可使数据传送用的头部,相反的在数据的接受侧,参照各层地址的头部从各层提取必要的数据。并且将被提取出的数据交于其上一层,最终通过应用层发送到使用者。
下面分别说明各层的功能。TCP/UDP层是进行特定的移交数据,管理数据包的状态等的层。在数据发送侧,确认将上一层(应用层)所交来的数据应该移交于对方的哪一应用系统,而将接受地址的端口号码附加于数据中再交至其下一层(网络层)。另一方面,在数据接受侧,监视从下一层所交上来的数据包有无发生由于通信状态等的缺失。
IP层是用于将跨越于多个网络的终端间的数据进行转送或进行关于数据中继的协议和控制的层。对于互为通信对方的通信侧的DB服务器3与接受侧的个人计算机9,分别分派有不同的IP地址①④,通过识别这个而可以决定首尾相连(end to end)的逻辑上通信路径。
MAC(Media Access Control)层是用于保证邻接机器的节点间的高可靠性的数据传送的层,在制造阶段就备有分派给各个机器的物理的MAC地址,在数据发送侧,当在IP层明确通信对方的IP地址时,在处于其下一层位置的MAC层中,依据被确立的对方的IP地址,决定经过的下一个机器(物理上连接的邻接的节点)的收信地址。另一方面在数据接受侧,依据MAC地址判断为寄给自己的数据包之后,在该上一层的IP层解析IP地址,判断是否将该数据包再转发到其他机器,或取入自己内部。
物理层,是将上一层交给的数据变换为电气信号或光信号,通过同轴电缆或光纤电缆等的传送媒体进行实际的数据传送,或将从传送媒体所送来的电气信号或光信号变换为上一层可以识别的数据,并将其交给上一层的层。在作为物理层的上一层的MAC层中,依照物理层的通信接口的方法进行上述的处理。
IP-Sec是进行数据的加密处理和解密处理的功能部。即取得从MAC层所交给的数据,进行该数据的加密及密码解密处理。
本实施方式的密码装置1,是具有通过IP-Sec而桥接两个端口33、34之间的特征。所谓“桥接”(Bridge),将从一个端口所输入的被加密或被解密处理的数据,不经过路由处理,原样地输出到其他端口。在图5的例子中,对从第1端口33输入的数据用IP-Sec进行加密处理,将由此得到的数据,在IP层不进行路由处理(不交给IP层)保持这样输出到其他的端口,相当于“桥接”。这样,在本实施方式的密码装置1中,关于在DB服务器3与个人计算机9之间的数据转送,不使用IP层及TCP/UDP层,而在IP层的下一层进行处理。
即在DB服务器3中生成的数据包数据,通过该DB服务器3的MAC层、物理层被发送,由密码装置1的第1端口33接受。将接受的数据包数据通过物理层、MAC层交给IP-Sec,在此进行加密处理。该被加密的数据包数据是通经MAC层和物理层由第2的端口34予以发送。
由第2的端口34发送的数据包数据是被个人计算机9接受,通过物理层、MAC层交给IP-Sec,进行密码解密。而且被解密的数据是通经IP层交给图中未示的应用层。由此,即使DB服务器3不具备密码软件,仍然可以对个人计算机9发送该被加密的数据。
另外,密码装置1的IP层和TCP/UDP层,是用于由上述管理终端12对密码装置1本身设定有关加密/解密的各种信息。这种设定信息,是通过IP~Sec桥接功能而保存在存储器中。IP-Sec,核对保存在该存储器中的设定信息与自端口33、34输入的数据包中所附加的头部信息(例如发送者IP地址及收信IP地址),进行加密/解密的控制等。
这样,在本实施方式的密码装置1中,将一个端口所输入的数据在IP-Sec进行加密/解密,由此获得的数据不交于IP层,不经过路由处理,保持原状地转送到其他端口,因此在数据通信时可以不要密码装置1的IP地址。即可进行不具有IP地址地进行IP层的加密/解密处理。因而,可以免除对于密码装置1本身的复杂的IP地址设定。
另外,连接在密码装置1两侧的终端,成为属于同一网络内,在密码装置1的输入端口与输出端口,IP地址不会改变。因此不管密码装置1有无连接到网络上,都可以保持IP地址的透过性。即在网络上连接密码装置1或从网络上拆除密码装置1时,连接于该密码装置1的终端的地址设定不需要变更。
例如,如图5所示,在DB服务器3与个人计算机9之间插入密码装置1时,或不插入密码装置1,在DB服务器3与个人计算机9之间进行直接通信时,该流过DB服务器3与个人计算机9之间的数据包的IP地址都是如图6所示的状态保持不变。因此不会由于有无连接密码装置1而变更地址设定。
由此,在导入网络系统时或维修时,只要将本实施方式的密码装置1插入于适当的场所,或只将其拆下就可以。不必要进行复杂的地址的设定,所以可以大幅度地消减作业负荷。
再者,本实施方式的情况,对于MAC地址也可以保持透过性。图7是表示从DB服务器3向个人计算机9传送数据,在其间的密码装置1中将数据予以加密时的数据包的图。图7(a)是在第1的端口33接受的数据包。第7图(b)是表示从第2的端口34发送的数据包。而且,在IP~Sec中,具有只将数据部分予以加密的传送模式,以及将数据包全部予以加密再追加新头部的隧道模式。关于发送数据包,分别显示这两种模式。
另外,图8是表示,为了与本实施方式进行比较,在使用以往的VPN路由器的系统中,从一个个人计算机向另一个个人计算机传送数据,在其间的VPN路由器中,将数据加密时的数据包的图。图8(a)表示在VPN路由器的第1端口所接受的数据包。图8(b)表示由第2端口发送的数据包。在该图8中,关于发送数据包,以两种模式分别表示。
由图7可以明确,根据本实施方式,不但IP地址,而且对于MAC地址,第1端口33与第2端口34也没有不同之处,可以保持MAC地址的透过性。即本实施方式的密码装置1,如果除了具有IP-Sce对数据进行加密/解密处理之外,只是将一个端口所输入的数据流到另一个端口,所以在数据通信时可以不要MAC地址。
另外,在上述实施方式中,以相当于OSI参照模式的第3层的网络层为例,例举了IP层,但是该IP层还可以是诺贝尔公司的网络OS所使用的通信协议的IPX(Internetwork Packet exchang)层。另外,如果是可以使用IP-Sec的,也可以是其他的通信协议。
另外,以上说明过实施方式,不过是例示实施本发明的一个具体化的例子而已,并不是由此而局限地解释本发明的技术范围。即本发明在不脱离其精神或主要特征的情况下,可以以各种方式实施。
本发明如上所述,例如在导入了密码处理功能的终端之间,为了实现终端通过加密而保证的安全,备有进行加密处理和解密处理的加密/解密机构,从而构成密码装置,将该密码装置与进行密码通信的多个通信终端和从远距离对通信终端和密码装置进行用于进行密码通信所需要的各种信息的设定的管理终端连接起来构成密码系统,因而在备有无法安装专用的密码软件的终端的企业内LAN中也可以使用密码,在管理终端就可以一元集中管理该终端于该LAN内的终端加密。由此,可以大幅度地削减用于建立密码系统以及其后的维修所需的劳动。
本发明可以有利于简化使用密码所需的对每个终端的各种信息设定。
Claims (5)
1、一种一元集中加密管理系统,备有:
多个通信终端,其之间进行数据通信;
密码装置,其连接在上述多个通信终端之间,备有加密/解密机构,该加密/解密机构在具有加密处理功能和不具有加密处理功能的通信终端之间进行数据的加密处理和解密处理,以便实现通信终端之间基于加密而保证的安全;和
管理终端,其通过网络远程地对上述通信终端和上述密码装置输入各种信息,所述各种信息用于:有无加密/解密处理、加密的等级、执行加密的时间段、密码策略以及加密密码,以便实现对于密码装置和通信终端中每一个的加密数据通信的设置;
其中,各种信息包括以下信息中的至少一个:有无加密/解密处理、指示了在特定终端之间丢弃分组的通信能力、加密的等级、用于加密的时间段、以及每个部门的密码策略,
上述多个通信终端、上述管理终端、上述密码装置通过有线或无线的网络连接;
密码装置还包括桥接机构,使得能够将来自另一个端口的数据输出,而无需任何路由处理;
其中,利用密码装置的多个端口中的一个端口接收数据,并对数据执行加密或解密处理。
2、根据权利要求1所述的一元集中加密管理系统,其特征在于,
上述加密/解密机构,对数据进行上述加密处理和上述解密处理,以便加密机构在具有上述加密处理功能的通信终端之间进行加密的数据通信,和在不具备加密处理功能的通信终端之间进行不加密的数据通信。
3、根据权利要求1所述的一元集中加密管理系统,其特征在于,
上述密码装置具备有设定信息存储机构,该设定信息存储机构存储着由上述管理终端输入的、用于控制上述加密处理和上述解密处理的信息,
上述密码装置通过将存储在上述设定信息存储机构中的设定信息和从所述多个端口中的一个端口输入的数据的数据分组的头信息进行比较,控制上述加密处理和上述解密处理。
4、一种一元集中加密管理系统,其特征在于,具备:
多个通信终端,其之间进行数据通信;
密码装置,其连接在上述多个通信终端之间,密码装置对自一个端口接收、并通过了物理层及数据链路层的数据,进行加密处理或解密处理,
密码装置通过数据链路层和物理层从另一个端口输出加密或解密的数据,而不将数据通过其中控制了网络间路由的网络层;和
管理终端,其通过网络远程地向上述通信终端和上述密码装置输入各种信息,所述各种信息用于:有无加密/解密、加密的等级、执行加密的时间段、密码策略以及加密密钥,以便实现对于密码装置和通信终端中每一个的加密数据通信的设置;
其中,各种信息包括以下信息中的至少一个:有无加密/解密处理、指示了在特定终端之间丢弃分组的通信能力、加密的等级、用于加密的时间段、以及每个部门的密码策略,
其中,上述多个通信终端、上述管理终端、以及上述密码装置通过有线或无线网络连接。
5、根据权利要求4所述的一元集中加密管理系统,其特征在于,
上述密码装置还备有设定信息存储机构,该设定信息存储机构存储由上述管理终端输入的、用于控制上述加密处理和上述解密处理的信息,
上述密码装置通过将存储在上述设定信息存储机构中的设定信息与从上述多个端口中的一个端口接收的数据的数据分组的头信息进行比较,来控制上述加密处理和上述解密处理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002134681 | 2002-05-09 | ||
| JP134681/2002 | 2002-05-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1653745A CN1653745A (zh) | 2005-08-10 |
| CN100591004C true CN100591004C (zh) | 2010-02-17 |
Family
ID=29416720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN03810511A Expired - Fee Related CN100591004C (zh) | 2002-05-09 | 2003-04-24 | 加密的一元集中管理系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20050008160A1 (zh) |
| EP (1) | EP1503537A1 (zh) |
| JP (1) | JP4594081B2 (zh) |
| KR (1) | KR100976751B1 (zh) |
| CN (1) | CN100591004C (zh) |
| TW (1) | TWI277316B (zh) |
| WO (1) | WO2003096613A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1503537A1 (en) * | 2002-05-09 | 2005-02-02 | Niigata Seimitsu Co., Ltd. | Centralized encryption management system |
| US8179870B2 (en) * | 2004-09-29 | 2012-05-15 | Intel Corporation | Method and apparatus for securing devices in a network |
| US8254891B2 (en) * | 2006-06-23 | 2012-08-28 | Microsoft Corporation | Initiating contact using protected contact data in an electronic directory |
| JP2008035272A (ja) * | 2006-07-28 | 2008-02-14 | Canon Inc | 情報処理システム及び当該システムにおけるデータ通信方法 |
| US8170043B2 (en) * | 2008-04-22 | 2012-05-01 | Airhop Communications, Inc. | System and method of communication protocols in communication systems |
| US10366425B2 (en) * | 2010-06-11 | 2019-07-30 | Cardinalcommerce Corporation | Method and system for secure order management system data encryption, decryption, and segmentation |
| ES2400893B2 (es) | 2011-05-11 | 2013-10-22 | Mytech Ingenieria Aplicada, S.L. | Nodos central y terminal de instrumentación y sistema domótico autoconfigurable y seguro. |
| CA2799514A1 (en) | 2011-12-28 | 2013-06-28 | Superna Business Consulting, Inc. | Encryption system, method, and network devices |
| US9219709B2 (en) * | 2012-03-27 | 2015-12-22 | Saife, Inc. | Multi-wrapped virtual private network |
| US9553849B1 (en) * | 2013-09-11 | 2017-01-24 | Ca, Inc. | Securing data based on network connectivity |
| CN104796404A (zh) * | 2015-03-17 | 2015-07-22 | 浪潮集团有限公司 | 一种基于USB设备绑定的国产服务器web登陆方法 |
| CN107094137B (zh) * | 2017-04-07 | 2019-10-29 | 山东超越数控电子有限公司 | 一种vpn安全网关 |
| CN107302538B (zh) * | 2017-07-14 | 2020-07-03 | 深圳市盛路物联通讯技术有限公司 | 物联网ap接收数据的分设备加密方法及装置 |
| KR101979157B1 (ko) * | 2018-09-27 | 2019-05-15 | 이광원 | 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5600722A (en) * | 1993-10-06 | 1997-02-04 | Nippon Telegraph & Telephone Corp. | System and scheme of cipher communication |
| CN1291396A (zh) * | 1998-12-21 | 2001-04-11 | 松下电器产业株式会社 | 通信系统和通信方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3111468B2 (ja) * | 1990-10-17 | 2000-11-20 | 富士通株式会社 | 通信秘匿方式 |
| US5481610A (en) * | 1994-02-28 | 1996-01-02 | Ericsson Inc. | Digital radio transceiver with encrypted key storage |
| US5684876A (en) * | 1995-11-15 | 1997-11-04 | Scientific-Atlanta, Inc. | Apparatus and method for cipher stealing when encrypting MPEG transport packets |
| JP3595145B2 (ja) * | 1997-06-02 | 2004-12-02 | 三菱電機株式会社 | 暗号通信システム |
| JPH11243388A (ja) * | 1998-02-26 | 1999-09-07 | Mitsubishi Electric Corp | 暗号通信システム |
| HU223910B1 (hu) * | 1998-07-13 | 2005-03-29 | International Business Machines Corp. | Eljárás információadat továbbítására küldőtől fogadóhoz átkódolón keresztül, eljárás információadat átkódolására, eljárás átkódolt információadat fogadására, küldő, fogadó és átkódoló |
| AU761317B2 (en) * | 1999-01-29 | 2003-06-05 | General Instrument Corporation | Self-generation of certificates using a secure microprocessor in a device for transferring digital information |
| US6415031B1 (en) * | 1999-03-12 | 2002-07-02 | Diva Systems Corporation | Selective and renewable encryption for secure distribution of video on-demand |
| JP3259724B2 (ja) * | 1999-11-26 | 2002-02-25 | 三菱電機株式会社 | 暗号装置、暗号化器および復号器 |
| US7165175B1 (en) * | 2000-09-06 | 2007-01-16 | Widevine Technologies, Inc. | Apparatus, system and method for selectively encrypting different portions of data sent over a network |
| JP4019303B2 (ja) * | 2001-02-02 | 2007-12-12 | 日本電気株式会社 | 電子透かしに含めた暗号鍵を用いた暗号化装置及び復号化装置並びにそれらの方法 |
| EP1503537A1 (en) * | 2002-05-09 | 2005-02-02 | Niigata Seimitsu Co., Ltd. | Centralized encryption management system |
-
2003
- 2003-04-24 EP EP03723196A patent/EP1503537A1/en not_active Withdrawn
- 2003-04-24 CN CN03810511A patent/CN100591004C/zh not_active Expired - Fee Related
- 2003-04-24 KR KR1020047013926A patent/KR100976751B1/ko not_active IP Right Cessation
- 2003-04-24 WO PCT/JP2003/005266 patent/WO2003096613A1/ja not_active Application Discontinuation
- 2003-04-24 JP JP2004504451A patent/JP4594081B2/ja not_active Expired - Fee Related
- 2003-04-30 TW TW092110193A patent/TWI277316B/zh not_active IP Right Cessation
-
2004
- 2004-08-16 US US10/710,987 patent/US20050008160A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5600722A (en) * | 1993-10-06 | 1997-02-04 | Nippon Telegraph & Telephone Corp. | System and scheme of cipher communication |
| CN1291396A (zh) * | 1998-12-21 | 2001-04-11 | 松下电器产业株式会社 | 通信系统和通信方法 |
Non-Patent Citations (2)
| Title |
|---|
| Transparent Network Security Policy Enforcement. Angelos D.Keromytis, Jason L . Wright.USENIX. 2000 |
| Transparent Network Security Policy Enforcement. Angelos D.Keromytis,Jason L.Wright.USENIX. 2000 * |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI277316B (en) | 2007-03-21 |
| KR100976751B1 (ko) | 2010-08-20 |
| US20050008160A1 (en) | 2005-01-13 |
| KR20040104487A (ko) | 2004-12-10 |
| TW200307422A (en) | 2003-12-01 |
| JP4594081B2 (ja) | 2010-12-08 |
| WO2003096613A1 (fr) | 2003-11-20 |
| EP1503537A1 (en) | 2005-02-02 |
| CN1653745A (zh) | 2005-08-10 |
| JPWO2003096613A1 (ja) | 2005-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100571131C (zh) | 密码装置和方法以及密码系统 | |
| CN100591004C (zh) | 加密的一元集中管理系统 | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| EP1378093B1 (en) | Authentication and encryption method and apparatus for a wireless local access network | |
| JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
| CN1976317B (zh) | 桥接加密vlan | |
| US8239960B2 (en) | Method for network traffic mirroring with data privacy | |
| US7703132B2 (en) | Bridged cryptographic VLAN | |
| US7991993B2 (en) | Telecommunication system, for example an IP telecommunication system, and equipment units for use in the system | |
| CN109194477B (zh) | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 | |
| JP4877932B2 (ja) | 暗号化通信システム及び暗号鍵更新方法 | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| JP2004350044A (ja) | 送信機および受信機、ならびに通信システムおよび通信方法 | |
| CN102859968A (zh) | 用于操作、观察和/或配置技术设备的自动化系统的方法 | |
| US6363482B1 (en) | Secure broadband communication | |
| US8763107B1 (en) | Cross-connected, server-based, IP-connected, point-to-point connectivity | |
| CN101783791A (zh) | 实现网络接入认证、传输加密、utm的系统及方法 | |
| CN116599664A (zh) | 一种基于量子密钥分发的链路加密方法 | |
| KR100411436B1 (ko) | 가상 사설망에서 라우터의 계산을 분산시키는 방법 | |
| CN116232570A (zh) | 保护数据流转安全的方法以及数据管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NIIGATA SEIMITSU CO., LTD. Free format text: FORMER OWNER: NIIGATA SEIMITSU CO., LTD.; APPLICANT Effective date: 20080606 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080606 Address after: Japan's Niigata Prefecture Applicant after: Niigato Precision Co., Ltd. Address before: Japan's Niigata Prefecture Applicant before: Niigata precision plant Co-applicant before: A comprehensive study by McGraw Corporation |
|
| ASS | Succession or assignment of patent right |
Owner name: AONIXIKE GROUP CO.,LTD. Free format text: FORMER OWNER: NIIGATA SEIMITSU CO., LTD. Effective date: 20090724 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090724 Address after: Delaware Applicant after: Onesik Group Co., Ltd. Address before: Japan's Niigata Prefecture Applicant before: Niigato Precision Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100217 Termination date: 20130424 |