CN1765079B - 分组密码处理代理装置 - Google Patents
分组密码处理代理装置 Download PDFInfo
- Publication number
- CN1765079B CN1765079B CN2005800001003A CN200580000100A CN1765079B CN 1765079 B CN1765079 B CN 1765079B CN 2005800001003 A CN2005800001003 A CN 2005800001003A CN 200580000100 A CN200580000100 A CN 200580000100A CN 1765079 B CN1765079 B CN 1765079B
- Authority
- CN
- China
- Prior art keywords
- communication channel
- grouping
- channel information
- information
- cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
当从连接到因特网2的对应装置3接收分组时,由解密确定部分16通过参照过滤信息存储部分15,根据发送源和发送目的地IP地址以及端口号和协议来确定是解密还是旁路所接收到的分组。如果确定要执行解密,则根据对应装置3和不具有IPSec功能的终端3之间事先约定的密码通信信道信息,在密码通信信道信息存储部分12中对所接收到的分组解密,并将其发送到终端5。密码通信信道信息用于在对应装置3和终端5之间建立符合IPSec的分组通信信道,并且包括标识号、关于是加密处理还是签名处理的协议信息、密码算法或密钥信息、IP地址和端口号等。对应方可以使用传输模式。
Description
技术领域
本发明涉及连接在终端和因特网之间、能够在连接到因特网的对应装置和终端之间的分组通信中代表终端对经过密码处理的分组执行密码处理的分组密码处理代理装置及其方法和程序记录介质。
背景技术
通常,作为通过诸如因特网之类的网络执行密码通信的标准,在RFC(请求注解)2401(下面称为非专利文献1)中说明的IPSec(Security Architectureof Internet Protocol,因特网协议的安全架构)已经被因特网的标准化组织IETF(因特网工程任务组)标准化,并且符合关于帧配置、数据的加密和解密、篡改检验等的规定。作为另外的密码通信协议标准,有SSL(安全套接字协议层)、TLS(传输层安全)等。根据这些标准,在SA(安全关联)信息上事先达成协定,例如加密和解密、用于验证的签名和密钥、加密和解密算法、签名和验证算法、协议等。SA信息的协定是遵从IKE(因特网密钥交换)协议或握手协议这样的密钥交换协议执行的。
IPSec功能按照要求在终端上实现。此外,IPSec功能也在VPN(虚拟专用网络)中的分组密码处理代理装置上实现,VPN是使用因特网构建并且指定IPSec作为标准协议的唯一网络。也就是说,例如,在连接因特网和LAN(局域网)的网关中提供IPSec功能,并且网关代表每个连接到LAN的终端(下面称为内部终端)对分组执行密码处理。也就是说,当不用加密数据执行与连接到LAN的内部终端的通信时,连接到因特网的终端(下面称为外部装置或对应装置)只需要将LAN上的内部终端的IP地址等设置到分组中。然而,当加密数据时,外部装置设置LAN上的内部终端的IP地址等;生成包含IP地址和数据的分组;对整个分组执行预定的加密;通过对经加密的分组设置同样作为分组密码处理代理装置的网关的IP地址等,生成分组;并且发送该分组。接收到该分组的网关解密该分组,并且根据头指示的IP地址,将经解密的分组发送给LAN上的内部终端。因此,在这种情况下,网关也作 为分组密码处理代理装置(称为第一常规技术)。
作为这种分组密码处理代理装置,例如日本专利申请公开No.2003-304227(下面称为专利文献1)说明了这样一种连接到其访问受限的封闭型网络的分组密码处理代理装置,其代表连接到封闭型网络的内部终端替代与连接到开放型网络(开发型网络通过网关与封闭型网络相连)的终端(对应于外部装置)的密码通信(下面称为第二常规技术)。
将参照图8描述该专利文献1中所示的常规分组密码处理代理装置。如图8所示,在连接到家庭网络104(其为封闭型网络)的家庭节点(内部终端)122与连接到因特网102(其为开放型网络)的外部节点(外部装置)106之间,通过介于因特网102和家庭网络104之间的家庭网关108执行密码通信。家庭节点(在该情况下为微波炉)122不具有足以执行加密和解密处理的数据处理能力。因此,密码处理替代者家庭服务器120作为分组密码处理代理装置连接到家庭网络104,以便家庭服务器120代表家庭节点122替代执行数据加密和解密处理,来在家庭节点122和外部节点106之间执行加密通信。
当外部节点106发起密码通信时,外部节点106通过因特网102、家庭网关108和家庭网络104向作为家庭节点的微波炉122发送密码通信请求分组(S21)。密码通信请求分组中的数据是外部节点106与作为家庭节点的微波炉122建立密码通信所需的数据以及用于微波炉122询问的数据。当接收到这样的密码通信请求分组时,微波炉122通过反向路径向外部节点106发送密码通信接受分组(S22)。密码通信接受分组中的数据指示密码分组通信的接受,并且包含连接到同一家庭网络104的家庭服务器120的网络地址。
接收到了密码通信接受分组的外部节点106通过因特网102、家庭网关108和家庭网络104,向作为指定的密码通信代理服务器的家庭服务器120发送密码通信替代请求分组(S23)。接收到了密码通信替代请求分组的家庭服务器120向外部节点106发送密码通信替代接受分组(S24)。由此,外部节点106确认要替代与内部节点122的密码通信。在确认家庭服务器120要替代与家庭节点122的密码通信之后,或者通过忽略确定的全部或部分,外部节点106按照预定的过程向家庭服务器120发送经加密的数据分组(S25)。已经接收到以预定的过程加密的数据分组的家庭服务器120解密所接收到的数据分组,并且将经解密的数据分组通过家庭网络104发送给应该是本来打算的通信对应方的家庭节点122(微波炉)(S26)。因而,家庭节点122(微波炉)可以实现与作为本来打算的目标的外部节点106的密码通信,而不必具有高级的加密和解密处理能力。
为了在IPSec中执行密钥交换协议,关于SA信息相互达成协定的装置之间执行多次通信。此外,通信要求大量的计算处理,这给装置增加了相当的负荷。如果为了解决这一点,为家庭中的小型终端(例如具有密码处理通信功能的电气设备)提供SA信息协定功能,则增加了硬件和软件的规模,同时增加了尺寸和价格。从这一点出发,例如日本专利申请公开No.2003-179592(下面称为专利文献2)中提出了:尽管终端具有密码处理功能,但对SA信息的协定处理由代表终端的密钥交换代理装置来替代。根据该专利文献2中所示的密钥交换替代技术,当连接到网络并且配备有密码处理功能但未配备密钥交换功能的终端,与连接到网络并且配备有密钥交换功能的对应终端执行分组密码通信时,终端首先向连接到网络的密钥交换代理服务器请求与通信对应终端交换用于密码通信信号的公用密钥,密钥交换代理服务器根据请求,代表终端执行与通信对应终端的密钥交换处理,并且为终端设置已协定的公用密钥。然后,终端使用已协定的公用密钥执行与通信对应终端的分组密码通信。
在日本专利申请公开No.2003-289299(下面称为专利文献3)中示出了让网关执行该密钥交换替代处理。
在第一常规技术中,当向LAN上的终端发送分组而不加密分组时,连接到因特网的外部装置只需要简单地设置LAN上的终端的IP地址。然而,当加密并随后发送分组时,要求外部装置加密分组、作为数据为经加密的分组设置网关(分组密码处理代理装置)的IP地址等、然后发送分组。也就是说,未加密的分组的终端是LAN上的终端,而经加密的分组的终端是网关。因此,在执行密码通信的情况下需要设置网关的IP地址等,而对于与同一终端的通信,除了终端的IP的地址等之外再设置网关的IP地址等是麻烦的。
在第二常规技术中,经加密的分组的终端是对应于分组密码处理代理装置的家庭服务器120,而分组的发送目的终端是终端(微波炉)122。因此,当引入家庭服务器120时,要求连接到因特网的对应装置根据是否使用密码通信来改变设置信息(例如IP地址),这出现了一个问题,即要求通信对应方(操作通信对应装置的人)像第一常规技术那样执行烦琐的设置。此外, 在如上所述的该第二常规技术中,还存在一个问题,即执行密码通信会很麻烦,例如首先生成密码通信请求给微波炉122,接收代理服务器的规范,再生成密码通信替代请求给服务器120以接收它的接受,然后发送经加密的分组。
专利文献1:日本专利申请公开No.2003-304227
专利文献2:日本专利申请公开No.2003-179592
专利文献3:日本专利申请公开No.2003-289299
非专利文献1:RFC(Request for Comments)2401
发明内容
做出本发明以解决这些问题,并且其目的是提供分组密码处理代理装置及其方法以及记录有程序的记录介质,其能够替代未实现有密码处理功能的终端进行密码处理,而不会导致通信对应方执行烦琐的设置。
根据本发明的分组密码处理代理装置连接在因特网和终端之间,并且具有密码通信信道信息存储部分和密码处理部分。在密码通信信道信息存储部分中,密码通信信道信息用于在连接到因特网的对应装置和终端之间的分组通信中至少为因特网上的分组通信建立密码通信信道。在密码处理部分中,根据存储在密码通信信道信息存储部分中的密码通信信道信息,为所接收到的分组执行密码处理。
如上所述,根据本发明的分组密码处理代理装置,由于它连接在网络和终端之间,因此连接到因特网的对应装置仅仅通过设置不具有密码处理功能的终端的IP地址等,就可以例如执行密码处理,以及可以例如对经过密码处理的分组执行解密。也就是说,对应装置可以采用传输模式,从而对应装置的用户不必进行诸如终端的IP地址和分组密码处理代理装置的IP地址之类的设置,因此不需要进行这些烦琐的设置。此外,不需要进行这些烦琐的工作,如通过与终端通信获取密码处理代理服务器的IP地址等,以及随后设置服务器的IP地址以便将经过密码处理的分组发送给密码处理代理服务器。
附图说明
图1是示出根据本发明的分组密码处理代理装置的第一实施例的系统配置示例的方框图;
图2A是示出存储在图1的密码通信信道信息存储部分12中的SA信息的示例的图;图2B是示出存储在过滤信息存储部分15中的过滤信息的示例的图;而图2C是示出分组配置的示例的图;
图3是示出根据本发明第一实施例的、处理从对应装置接收到的分组的过程示例的流程图;
图4是示出根据本发明第一实施例的、处理从终端接收到的分组的过程示例的流程图;
图5是示出根据本发明的分组密码处理代理装置的第二实施例的系统配置示例的方框图;
图6是示出根据本发明第二实施例的、要对从对应装置接收到的分组执行协定密码通信信道信息的过程示例的流程图;
图7是示出根据本发明第二实施例的、要对从终端接收到的分组执行协定密码通信信道信息的过程示例的流程图;以及
图8是示出包括常规的分组密码处理代理服务器的系统和用于替代密码处理的通信过程的图。
具体实施方式
下面将参照附图描述本发明的实施例。
图1是示出根据本发明第一实施例的、包括分组密码处理代理装置10的的系统配置示例的方框图。在下面的描述中,将以根据IPSec执行分组密码处理的情况作为示例描述,并且将加密处理和解密处理作为密码处理的例子。
分组密码处理代理装置10连接到因特网2,而因特网2连接到外部装置3。分组密码处理代理装置10配备有个人计算机或通信功能,并且通过LAN4连接到诸如家用电气设备之类的内部终端5。至于内部终端5,同时存在着实现有IPSec功能的终端和没有IPSec功能的终端,以及实现有密码处理功能但没有密钥交换功能(密码通信信道信息协定功能)的终端等。在本例中,假设外部装置3实现有IPSec功能。即,在本实施例中,分组密码处理代理装置10也用作连接因特网2和LAN 4的网关。
分组密码处理代理装置10配备有:网络接口9,用于与通过因特网2连接的外部装置3通信;密码通信信道信息协定部分11,用于协定在对应装置3和终端5之间的因特网2上建立安全的通信信道所需的密码通信信道信息; 密码通信信道信息存储部分12,用于存储所协定的密码通信信道信息;解密部分13,用于解密依照IPSec加密的分组;和终端接口14,用于与终端5等通信。
密码通信信道信息是依照IPSec的。在打算的通信之前,由密码通信信道信息协定部分11在外部装置3和终端5之间进行协商以便确认允许相互通信的过程,即关于过程达成协定。作为协定的结果,将密码通信信道信息存储在密码通信信道信息存储部分12中。
密码通信信道信息存储部分12由例如非易失性存储介质配置而成。密码通信信道信息(下面简称为“SA(安全关联)信息”)是非专利文献1中所规定的。例如,如图2A所示,它包括与作为连接请求者的终端的IP地址相关联的:(1)分配有32位整数值的、用于标识SA信息的标识号SPI(安全参数索引),其被插入每个分组中,并且指示分组中的通信内容;(2)指示关于AH(鉴别头)和ESP(封装安全有效负载)协议中的任何一个的信息的安全协议信息,其中AH协议是用于在传输通信数据时保证其数据完整性并且验证通信数据的协议,而ESP协议是用于在传输通信数据时保持其机密以及解除机密性的协议;(3)分别用在加密和鉴别中的密码算法和密码密钥信息;(4)指示隧道模式和传输模式中的任一种模式的模式信息,其中隧道模式是一种将包含IP头的接收到的分组加密并且将其传输到接收目的地的模式,而传输模式是一种加密接收到的分组中的数据、给它添加IP头、然后将其发送到接收目的地的模式;(5)包括对应方的IP地址和端口号的标识符;(6)指示改变SA信息等的时刻的SA信息生存时间;等等。端口号是分配给在因特网上标准化的服务协议的号码。
在本实施例中,模式信息是传输模式。然而,如果例如在其中除了没有IPSec功能的终端外还同时存在具有IPSec功能的终端的网络和因特网之间提供根据本发明的分组密码处理代理装置10,则模式信息可以是隧道模式或传输模式。此外,尽管在本实施例中ESP用作安全协议信息,但也可以使用例如用于防止篡改数据的AH协议,具体地说,用于数字签名及其验证的协议。
SA信息的每个参数要使用诸如IKE(因特网密钥交换)之类的密钥交换协议来与通信对应方协定。密码通信信道信息协定部分11代表终端5与对应终端3在SA信息的每个参数上达成协定,并且将反映所协定的参数的SA信息存储在密码通信信道信息存储部分12。
解密部分13根据存储在密码通信信道信息存储部分12中的SA信息中包含的密码算法或者密码密钥信息,解密依照IPSec加密并由对应装置3发送到终端5的分组,而不改变发送源和发送目的地。
此外,在本实施例中,分组密码处理代理装置10配备有:过滤信息存储部分15,用于存储指示要对分组执行的处理的指令信息,作为与发送源标识信息、发送目的地标识信息和分组传输协议信息相关联的过滤信息;和解密确定部分16,用于确定是否根据过滤信息节目由对应装置3发送的分组。
解密确定部分16参考由系统管理员预先与每个终端相关联地存储在过滤信息存储部分15中的过滤信息,确定由对应装置3发送给终端5的分组是应当经过解密(密码处理)还是直接通过终端接口14发送给终端5(旁路,bypass)还是被丢弃,并且根据确定结果来决定分组的处理。在下面的情况下执行旁路:(1)当终端不具有IPSec功能时;(2)当终端具有密码处理功能但没有密钥交换功能时;或者(3)当数据不需要密码处理时。
图2B是表示过滤信息的示例的表。在图2B中,第一列表示在用于标识分组的发送源的发送源标识信息中的发送源IP地址;第二列表示在用于标识分组的发送目的地的发送目的地标识信息中的发送目的地IP地址;第三列表示指示传输分组的通信过程的协议信息;第四列表示发送源标识信息中的发送源端口号;第五列表示发送目的地标识信息中的发送目的地端口号;以及第六列表示指示分组应当如何处理的指令信息。
如上所述,解密确定部分16根据接收到的分组中的处理指令信息之外的过滤信息参考预先存储在过滤信息存储部分15中的过滤信息,并且确定发送到终端5的分组应当被解密还是直接通过终端接口14发送,还是在本例中额外地丢弃,并且根据所确定的结果决定分组的处理。
在图2B中的第一行上的过滤信息是关于没有IPSec功能的终端的信息。如果IP地址是以IPv4记录的,则发送源的IP地址是10.0.0.1/32(指定了所有32位),发送目的地的IP地址是10.0.0.*/24(指定了高24位,低8位可以是0到255之间的任何值),并且协议信息指示tcp(传输控制协议),tcp是保证可靠性的面向连接的协议,然后处理指令信息指示不管发送源端口号和发送目的地端口号是什么号都要对对应装置3发送的分组执行密码处理。
在第二行上的过滤信息是关于具有符合各种密码处理规定的IPSec功能的终端5的过滤信息的例子,并且表示具有发送源IP地址10.0.0.2/23和发送 目的地IP地址10.0.1.*/24的、已经被执行了密码处理的分组被直接旁路到终端5。
在第三行上的过滤信息中,IP地址是以IPv6记录的。可以看出,如果发送源IP地址是2001::1,发送目的地IP地址是2001::2,则协议信息指示面向无连接的协议udp(用户数据报协议),udp协议允许诸如在分发图像或话音数据的情况下丢失分组,并且发送源端口号和发送目的端口号是137,然后处理指令信息指示由相应装置3发送的、并且没有执行过密码处理的分组应当通过终端接口14直接发送给终端5。
在第四行上的过滤信息中,发送源IP地址是2001::1/128;发送目的地IP地址是2001::2/128;而协议信息表示icmp(因特网控制报文协议),这是一种用于控制IP终端的协议。处理指令信息表示如果发送源端口号是135的话,则由对应装置3发送的分组应当被丢弃。
这些条过滤信息仅仅是示例,并且在标识信息或协议信息与处理指令信息之间没有什么联系。
如图2C所示,例如,每个分组具有包括发送源(SRC)IP地址、发送目的(DST)IP地址、称为ESP头或AH头的扩展头SPI+ICV、协议、发送源端口号和发送目的端口号的头信息部分HD。数据部分DA添加在头信息部分HD之后。是否按照IPSec对数据部分DA执行密码处理是由是否添加有扩展头SPI+ICV指示的。
如果处理指令信息根据所接收到的分组中的过滤信息,作为参照过滤信息存储部分15的结果指示解密,但是作为通过参照所接收的分组中的头信息部分HD确定关于是否添加有扩展头的结果、确定未添加有扩展头(即,确定没有按照IPSec对分组执行密码处理),则解密确定部分16可以丢弃该分组或者将该分组直接旁路到终端5。
分组密码处理代理装置10具有终端信息收集部分20,后者具有诸如ARP(地址解析协议)和NDP(邻居发现协议)之类的信息收集协议或者诸如UPnP(通用即插即用)之类的相互连接功能。终端信息收集部分20收集关于连接到分组密码处理代理装置10的终端5的装备信息,例如IP地址和服务,根据所收集的装备信息,生成如图2B所示包括IP地址、端口号、协议类型等的过滤信息,并且将过滤存储在过滤信息存储部分15中。过滤信息中的处理指令可以由系统管理员输入。
系统管理员可以在系统配置发生任何改变(例如移除终端5)的情况下,更新或删除密码通信信道信息和过滤信息中至少之一的部分或全部。
在本第一实施例中,分组密码处理代理装置10还具有接收分组确定部分17,用于当解密确定部分16确定应当执行解密时、在解密处理之前确定对应装置3发送的分组是否有效。接收分组确定部分17根据包含在依照IPSec加密的分组中的完整性校验值或者在IPSec中规定的附加到分组的序列号,执行关于分组有效性的确定。完整性校验值(ICV)是通过由鉴别算法决定的算法计算出来的。即使当解密确定部分16参照过滤信息并且确定要对所接收到的分组执行解密处理时,如果接收分组确定部分17从分组的头信息中确定未曾对分组执行过密码处理,则也可以将分组直接发送到终端5而不经解密部分13执行分组的解密处理。
此外,在本实施例中,分组密码处理代理装置10配备有:加密部分18,用于根据存储在密码通信信道信息存储部分12中的SA信息,依照IPSec加密由终端5发送的分组;和加密确定部分19,用于根据存储在过滤信息存储部分15中的过滤信息,确定是否应当由加密部分18加密终端5所发送的分组。
加密部分18根据存储在密码通信信道信息存储部分12中的SA信息中包含的密码算法或密码密钥信息,依照IPSec加密要由终端5发送给对应装置3的分组,而不改变分组的发送源和发送目的地。
加密确定部分19根据从终端5接收的分组中的过滤信息中的发送源IP地址,参照存储在过滤信息存储部分15中的过滤信息,来确定是加密并发送由终端5发送的分组、通过网络接口9直接向对应装置3发送分组还是丢弃分组,并且根据确定结果来决定对分组的处理。加密确定部分19所参照的过滤信息与解密确定部分16所参照的过滤信息类似,后者已经使用图2B进行了描述,因此将省略对其的描述。然而,即使过滤信息是相同的,处理指令也可能不同。例如,对于从对应装置3到终端5的分组和从终端5到对应装置3的分组,前者要解密,而后者不加密。因而单独地决定处理指令信息。
通过提供参照过滤信息的加密确定部分19,当连接多个终端时,分组密码处理代理装置10可以防止事先未打算(允许)的无效终端连接到对应装置。类似地,可以防止使用事先未打算(允许)的无效对应装置3执行密码处理。
下面将描述分组密码处理代理装置10。在分组密码处理代理装置10的每个操作中,假设其上反映了密码通信信道信息协定部分11协定的参数的SA信息已经存储在密码通信信道信息存储部分12中。
图3是示出由分组密码处理代理装置10对从对应装置3接收到的分组要执行的过程的流程图。当在步骤S1接收到分组时,确定分组是否请求在通信信道信息(SA信息)上达成协定(例如,交换密码密钥)(步骤S2)。如果请求达成协定,则在步骤S3协定通信信道信息,并且将协定的通信信道信息与终端IP地址相关联写入密码通信信道信息存储部分12中。过程然后返回步骤S1并接收下一分组。
如果接收到的分组在步骤S2未请求关于密码通信信道信息达成协定,则解密确定部分16基于通过网络接口19接收到的分组中的过滤信息,参照存储在过滤信息存储部分15中的过滤信息,来确定是否解密所接收到的分组(步骤S4)。如果没有确定要解密所接收到的分组,则确定是否通过终端接口14直接将分组发送给终端5(步骤S5)。如果确定不直接发送所接收到的分组,则由解密确定部分16丢弃所接收到的分组(步骤S7)。
如果在步骤S4确定要解密分组,则由接收分组确定部分17确定通过网络接口9接收到的分组是否有效(步骤S6)。如果确定通过网络接口9接收到的分组是无效的,则由接收分组确定部分17丢弃通过网络接口9接收到的分组(步骤S7)。
另一方面,如果在步骤S6确定通过网络接口9接收到的分组是有效的,则由解密部分13根据存储在密码通信信道信息存储部分12中的SA信息来解密通过网络接口9接收到的分组(步骤S8),并且通过终端接口14和LAN4将经解密的分组发送给终端5(步骤S9)。过程返回步骤S1并接收下一分组。
如果解密确定部分16在步骤S5确定通过网络接口9接收到的分组要通过终端接口14直接发送给终端5,则通过终端接口14和LAN 4将通过网络接口9接收到的分组直接发送给终端5(步骤S9)。
图4是分组密码处理代理装置10对从终端5接收到的分组执行的过程的流程图。类似于图3的情况,当在步骤S11接收到分组时,确定分组是否请求在密码通信信道信息(SA信息)上达成协定(例如,交换密码密钥)(步骤S12)。如果分组请求达成协定,则在步骤S13与终端装置3协定密码通信信道信息,并且将协定的密码通信信道信息与终端IP地址相关联写入密码通信信道信息存储部分12中。过程然后返回步骤S11并接收下一分组。
如果接收到的分组在步骤S12未请求关于密码通信信道信息达成协定,则加密确定部分19基于通过终端接口14接收到的分组中的过滤信息,参照存储在过滤信息存储部分15中的过滤信息,来确定是否加密所接收到的分组(步骤S14)。如果确定不加密分组,则确定是否通过网络接口9直接将分组发送给对应装置3(步骤S15)。如果确定不直接发送分组,并且确定要丢弃分组,则由加密确定部分19丢弃所接收到的分组(步骤S18)。
如果在步骤S14确定要加密分组,则由加密部分18基于存储在密码通信信道信息存储部分12中的SA信息,依照IPSec加密通过终端接口14接收到的分组(步骤S16),并且通过网络接口9和因特网2将经加密的分组发送给对应装置3(步骤S17)。过程然后返回步骤S11并接收下一分组。
如果加密确定部分19在步骤S15确定通过终端接口14接收到的分组要通过网络接口9直接发送给对应装置3,则通过网络接口9和因特网2将通过终端接口14接收到的分组直接发送给对应装置3(步骤S17)。
[第二实施例]
图5示出了本发明第二实施例的分组密码处理代理装置。在本实施例中,图1中的分组密码处理代理装置10还添加有分组确定部分21和23以及密钥信息设置部分22,以便专门执行由图1的实施例中的密码通信信道信息协定部分11所执行的协定密码通信信道信息的过程。因此,对接收到的分组执行的处理与参照图3和图4描述的处理基本上相同,因而将省略对其描述。
分组确定部分21确定从外部装置3接收到的分组是否请求关于密码通信信道信息达成协定。如果请求达成协定,则由密码通信信道信息协定部分11与外部装置3关于密码通信信道信息达成协定,并且将协定的密码通信信道信息(SA信息)写入密码通信信道信息存储部分12。写入的密码通信信道信息中的密钥信息按要求由密钥信息设置部分22发送到对应于发送目的地IP地址的终端5。分组确定部分23确定来自终端5的分组是否请求开始通信。如果请求开始通信,则由密码通信信道信息协定部分11与外部装置3关于密码通信信道信息达成协定,并且将协定的密码通信信道信息(SA信息)写入密码通信信道信息存储部分12。写入的密码通信信道信息中的密钥信息按要求由密钥信息设置部分22发送到对应于发送目的地IP地址的终端5。
图6是示出由分组密码处理代理装置10对从对应装置3接收到的分组执 行的协定密码通信信道信息的过程的流程图。步骤S2-1到S2-4示出了图3中的步骤2的细节,而步骤S3-1到S3-4示出了图3中的步骤3的细节。
在步骤S1,当从对应装置3接收到分组时,由分组确定部分21在步骤S2-1确定在过滤信息存储部分15中是否存储有接收到的分组的发送目的地IP地址(步骤S2-1)。如果确定未存储发送目的地IP地址,则分组确定部分21丢弃所接收到的分组(步骤S2-2)。另一方面,如果确定在过滤信息存储部分15中存储有分组的发送目的地IP地址,则分组确定部分21确定所接收到的分组是否涉及关于协定密码通信信道信息的请求(密钥交互请求)(步骤S2-3)。
如果在步骤S2-3确定所接收到的分组不涉及关于协定密码通信信道信息的请求,则过程前进至图3的步骤S4,并且通过步骤S4到S9执行对所接收到的分组的处理。另一方面,如果确定所接收到的分组涉及关于协定密码通信信道信息的请求,则在步骤S2-4确定具有与接收到的分组中所示的相同的SA信息标识号、并且具有有效的生存周期的SA信息是否已经存储在密码通信信道信息存储部分12中。如果未存储,则在步骤S3-1由密码通信信道信息协定部分11与对应装置3关于密码通信信道信息达成协定。
在步骤S3-2,将在步骤S3-1与对应装置3协定的SA信息存储到密码通信信道信息存储部分12中,并且在步骤S3-3,通过参照存储在过滤信息存储部分15中的、关于对应于发送目的地IP地址的终端的过滤信息,确定发送目的终端是否具有密码处理功能。在该确定中,如果图2B所示的关于发送目的装置的过滤信息中的协议是例如tcp,并且处理指令指示旁路,则确定终端具有密码处理功能。如果确定终端具有密码处理功能,则在步骤S3-4,密钥信息设置部分22将协定的SA信息中的密钥信息通过终端接口14发送给终端5,然后过程返回步骤S1并接收下一分组。
如果在步骤S3-3确定终端没有密码处理功能,则过程直接返回步骤S1并接收下一分组。
如果在步骤S2-4确定存储有有效的SA信息,则过程前进到步骤S3-3,并且执行类似于上面所述的处理。终端5使用由密钥信息设置部分22给出的密钥信息所指示的密钥,对要在终端5和对应装置3之间发送的分组执行加密和解密。然而,如果密钥信息未被发送给终端5(即,如果终端没有密码处理功能),则分组密码处理代理装置10替代进行对终端和对应装置之间发送的分组的加密和解密。
图7是示出分组密码处理代理装置对从终端5接收到的分组执行的协定密码通信信道信息的过程的流程图。图7中的步骤S12-1到S12-4示出了图4中的步骤S12的细节,而步骤S13-1到S13-4示出了图4中的步骤S13的细节。图7的过程几乎与图6的相同。
当在步骤S11从终端5接收到分组时,分组确定部分23在步骤S12-1确定在过滤信息存储部分15中是否存储有所接收到的分组中的发送源IP地址。如果确定未存储发送源IP地址,则分组确定部分23丢弃所接收到的分组(步骤S12-2)。另一方面,如果确定在过滤信息存储部分15中存储有发送源IP地址,则分组确定部分23确定所接收到的分组是否涉及开始通信的请求(步骤S12-3)。
如果在步骤S12-3确定分组不指示开始通信的请求,则过程前进至图4的步骤S14,并且对所接收的分组执行密码处理过程。另一方面,如果确定分组指示开始通信的请求,则在步骤S12-4确定在密码通信信道信息存储部分12中是否存储有与所接收的分组的头中所示的IP地址、端口号等对应的SA信息。如果未存储,则在步骤S13-1由密码通信信道信息协定部分11与对应装置3达成协定。
在步骤S13-2,将在步骤S13-1与对应装置3协定的信息存储到密码通信信道信息存储部分12中。在步骤S13-3,通过参照存储在过滤信息存储部分15中的、关于对应于发送源IP地址的终端5的过滤信息,确定发送源终端5是否具有密码处理功能。在该确定中,如果图2B所示的关于发送源装置的过滤信息中的协议是例如tcp,并且处理指令指示旁路,则确定终端具有密码处理功能。如果确定终端具有密码处理功能,则在步骤S13-4,密钥信息设置部分22将协定的SA信息中的密钥信息通过终端接口14发送给发送源终端5。然后过程返回步骤S1并接收下一分组。
如果在步骤S13-3确定终端没有密码处理功能,则过程直接返回步骤S11并接收下一分组。
如果在步骤S12-4确定存储有有效的SA信息,则过程前进到步骤S13-3,并且执行类似于上面所述的处理。终端5使用由密钥信息设置部分22给出的密钥信息所指示的密钥,对要在终端5和对应装置3之间发送的分组执行加密和解密。然而,如果密钥信息未被发送给终端5(即,如果终端没有密码处理功能),则分组密码处理代理装置10替代进行对终端和对应装置之间发送的分组的加密和解密。
对于根据第一实施例和第二实施例如上所述的分组密码处理代理装置10的每个部件,可以由处理器执行编写的程序来使得执行上述操作。也就是说,解密部分13、终端信息收集部分20、解密确定部分16、接收分组确定部分17、加密部分18和加密确定部分19,还包括第二实施例情况中的分组确定部分21和23,都可以由执行上述程序的计算机来配置。在这种情况下,分组密码处理替代程序可以从诸如CD-ROM、磁盘和半导体存储设备之类的记录介质安装到计算机中,或者通过到计算机的通信线路下载到计算机,并且由计算机来执行。
此外,密码通信信道信息存储部分12和过滤信息存储部分15中的至少一个可以由防篡改、可拆卸的设备(例如IC卡、USB(通用串行总线)密钥和SD(安全数字)存储卡)配置,从而所存储的信息(例如,密码密钥信息、用户名等)的至少一部分不会被打算(允许)的用户之外的用户改变。
同时,在密码通信信道信息存储部分12和过滤信息存储部分15中的至少一个中,如果终端5的用户是通过因特网2鉴别的用户或系统管理员,则可以改变存储在其中的至少一部分信息。也就是说,例如,分组密码处理代理装置10分配有访问的IP地址,管理员使用IP地址从终端5访问分组密码处理代理装置10,并且改变存储在过滤信息存储部分15中的过滤信息。分配给分组密码处理代理装置10的IP地址不是用于终端5和对应终端3之间的分组通信的。
如上所述,本发明的分组密码处理代理装置10在网关中提供并且连接到终端5。该分组密码处理代理装置10没有IP功能。如图3和图4所述,其确定是否执行所接收到的分组的密码处理。如果要执行密码处理,则其在不改变分组发送源和发送目的的情况下执行密码处理,并且将分组发送给发送目的。如果不执行密码处理,则其将分组直接传送给发送目的。即,不要求改变IP地址或者根据是否执行密码处理而使用两个IP地址,并且在这一点上它不同于网关中提供的、具有IP功能的常规的分组密码处理代理装置。
本发明分组密码处理代理处理装置不必执行基于过滤信息的处理。即,它可以只执行密码处理。此外在这种情况下,当在不具有密码处理功能的终端和对应装置之间执行分组密码通信时,对应装置只需要将终端的IP地址作 为分组发送目添加,而不必使用密码处理代理装置的IP地址。
本发明的该分组密码处理代理装置10只需要连接在因特网和终端5之间,并且它可以如图1中的虚线所示的那样连接在LAN 4和每个终端5之间。在这种情况下,终端5插有用于与LAN连接的卡,即,具有IP功能的连接卡,从而分组密码处理代理装置10可以装在LAN连接卡上。
IPSec功能实施为IP功能的一部分。因此,通常IPSec功能被集成进网关的IP功能或终端的IP功能中。然而,在本发明的分组密码处理代理装置10中,IPSec功能不集成进IP功能中,并且最简单形式的分组密码处理代理装置10只需要具有密码通信信道信息存储部分12和密码处理部分(例如,解密部分13和加密部分19)的功能。也就是说,IPSec功能从IP功能中分离出来,并且简单地用于执行密码处理以及允许通过而不改变发送目的和发送源。因此,只需要简单地将终端的IP地址设置到分组中,而不需要将终端的IP地址和分组密码处理代理装置的IP地址两者都设置到分组中,也不需要不同地使用IP地址。此外,也不需要在获取密码处理代理服务器的IP地址之后麻烦地执行分组密码处理。
因此,本发明的实施例中的分组密码处理代理装置10的IPSec功能不集成进IP功能中,从而,它可以被插入因特网2和终端5之间的任何位置。例如,它可以如图1或5中的虚线所示的那样被插入在LAN 4和终端5之间。在这种情况下,装在终端5上的通过因特网通信的功能,也就是IP功能可以通过在诸如有线LAN卡或无线LAN卡之类的网络接口设备上实施本实施例的分组密码处理代理装置10来实现,并且本发明的装置10可以逻辑上直接连接到终端5。
类似地,在如图1或2的虚线所示终端5通过两端口以太网桥6连接到LAN 4时,可以在没有IP地址的网间连接设备6上实现分组密码处理代理装置10。即,可以在连接在因特网和终端5之间且没有IP地址的设备6上实现根据本发明的装置10。此外,当如图1或5所示具有IP功能的终端5(例如,家用个人计算机)通过公共通信网络7连接到因特网2时,第一或第二实施例的分组密码处理代理装置10可以被插入在终端5和公共通信网络7之间。即,即使当终端5逻辑上直接连接到因特网2时,也可以应用本实施例。
如上所述,本发明中的密码处理可以是下列中的任一个:使数据保持机密的处理,即执行加密;释放机密数据的机密性的处理,即执行解密;保证 数据完整性的处理,例如电子签名;以及检查完整性的处理,例如电子签名的验证。因此,尽管例如解密部分13和加密部分18构成图1和5中的密码处理器件,但密码处理器件并不限于解密和加密,而是可以是用于验证电子签名以及添加电子签名的器件。同样,尽管解密确定部分16和加密确定部分19作为密码处理确定器件提供,但密码处理器件并不限于关于解密和加密的确定,而是可以执行关于是否验证电子签名或是否附加电子签名的确定。
本发明可以仅应用于从对应装置3接收到的分组。另一方面,本发明还可以仅应用于从终端5接收到的分组。例如,在前一情况下,省略图1中的加密部分18和加密确定部分19,在终端接口14接收到的分组被直接发送给网络接口9。在后一情况下,省略解密确定部分16、接收分组确定部分17和解密部分18,在网络接口9接收到的分组被直接发送给终端接口14。在图5的实施例中,在前一情况中进一步省略分组确定部分23,而在后一情况中进一步省略分组确定部分21。
在图1和5所示的配置中可以省略接收分组确定部分17。即,可以由终端5的IP功能来执行关于接收到的分组的有效性的确定。然而,如果提供接收分组确定17,则可以获得这样的效果,即不会对不必要的分组执行浪费的解密处理。
可以省略过滤信息存储部分15和解密确定部分16。在这种情况下,需要所有发往终端5的分组都是已执行了密码处理的分组。然而,如果提供过滤信息存储部分15和解密确定部分16,则可以根据对分组数据所请求的要求执行或不执行密码处理而向终端5发送分组,从而不必对不需要密码处理的分组执行密码处理。因此,简化了终端装置3。同样可以省略过滤信息存储部分15和加密确定部分19。然而,如果提供过滤信息存储部分15和加密确定部分19,则同样不执行不必要的密码处理,从而减少了施加在分组密码处理代理装置10上的处理负荷。
如果在终端5前提供仅具有密码处理部分和密码通信信道信息存储部分的分组密码处理代理装置10,则由于加密了要对外保持机密的数据(例如用户名和设备序列号),也同样是有效的。终端5可以是例如家用电气器具(例如空调、照明设备、洗衣机、电话机、微波炉、电视接收机和个人电脑)、办公室电气设备或任何具有IP功能的电气设备。LAN 4可以是无线LAN或有线LAN,并且从应用的角度来说,它是家庭网络、公司内部网络、学校内部 网络、区域网络、医院内部网络等。
尽管在上面的描述中依照IPSec执行分组的密码处理,但也可以依照其他标准执行密码处理,例如SSL(安全套接字协议层)和TLS(传输层安全)。
Claims (16)
1.一种连接在因特网和终端之间的分组密码处理代理装置,其在连接在因特网和终端之间的、不具有IP地址的设备上实现,该分组密码处理代理装置包括:
密码通信信道信息存储部分,用于存储密码通信信道信息,该信息用来在连接到因特网的对应装置和终端之间的分组通信中、至少为因特网上的分组通信建立密码通信信道;
密码处理器件,用于根据存储在所述密码通信信道信息存储部分中的密码通信信道信息,对所接收的分组执行密码处理;
分组确定部分,用于从所接收的分组中确定是否关于密码通信信道信息与对应装置协定,密码通信信道信息用于在对应装置和终端之间建立分组通信信道;
密码通信信道信息协定部分,用于如果所述分组确定部分确定需要协定,则达成协定并且将已协定的密码通信信道信息存储在所述密码通信信道信息存储部分中。
2.如权利要求1所述的分组密码处理代理装置,还包括:
过滤信息存储部分,用于将发送源标识信息、发送目的地标识信息、指示分组通信过程的协议信息以及指示是否执行密码处理的处理指令信息作为过滤信息存储;和
密码处理确定器件,用于通过参照所述过滤信息存储部分,根据由分组密码处理装置接收到的分组中的过滤信息,来确定是否根据处理指令信息由所述密码处理器件执行所接收到的分组的密码处理。
3.如权利要求1所述的分组密码处理代理装置,还包括:接收分组确定部分,用于确定从对应装置接收的分组是否有效。
4.如权利要求1所述的分组密码处理代理装置,其中,所述密码通信信道信息存储部分包括可拆卸的、防篡改的设备,在该设备中存储至少部分密码通信信道信息。
5.如权利要求1所述的分组密码处理代理装置,其中,所述密码通信信道信息存储部分包括存储介质,在该存储介质中至少部分密码通信信道信息是可改变的。
6.如权利要求1到5所述的分组密码处理代理装置,其逻辑上直接连接到终端的网络接口设备。
7.如权利要求2到5中任一权利要求所述的分组密码处理代理装置,还包括:终端信息收集部分,用于收集密码通信信道信息和过滤信息中的至少一个的一部分,并且将信息存储在所述过滤信息存储部分中。
8.如权利要求1所述的分组密码处理代理装置,还包括:
密钥信息设置部分,用于在由所述密码通信信道信息协定部分协定的密码通信信道信息中为终端设置密钥信息,该密钥信息用于执行分组的密码处理。
9.如权利要求8所述的分组密码处理代理装置,其中,如果确定需要关于密码通信信道信息达成协定,则所述分组确定部分确定在所述密码通信信道信息存储部分中是否存储有对应于所接收的分组的有效密码通信信道信息,如果存储有有效密码通信信道信息,则让所述密钥信息设置部分在密码通信信道信息中为终端设置密钥信息,而如果没有存储有效密码通信信道信息,则让所述密码通信信道信息协定部分关于密码通信信道信息达成协定。
10.如权利要求9所述的分组密码处理代理装置,其中,如果所述分组确定部分确定需要关于密码通信信道信息达成协定,并且所接收的分组中的地址信息存储在所述过滤信息存储部分中,则所述分组确定部分使得关于密钥信息达成协定。
11.如权利要求10所述的分组密码处理代理装置,还包括:终端信息获取部分,用于检测终端、从终端获取地址信息并且将所获取的地址信息存储在所述过滤信息存储部分中。
12.一种分组密码处理方法,其在连接在因特网和终端之间的、不具有IP地址的设备上实现,该分组密码处理方法包括下列步骤:
(a)在与连接到因特网的对应装置达成协定的情况下将密码通信信道信息存储到密码通信信道信息存储部分,该信息用来在该对应装置和终端之间的分组通信中、至少为因特网上的分组通信建立密码通信信道;以及
(b)根据密码通信信道信息对所接收的分组执行密码处理,
其中步骤(a)包括下列步骤:
(a-1)确定所接收到的分组是否要求关于密码通信信道信息的协定,如果需要协定,则与连接到因特网的对应装置关于密码通信信道信息达成协定,用于对应装置和终端之间的分组通信,密码通信信道信息用于进行用对应装置发送的分组的密码处理;以及
(a-2)如果不需要协定,则旁路或丢弃所接收到的分组。
13.如权利要求12所述的分组密码处理方法,其中步骤(b)包括下列步骤:
(b-1)通过参照过滤信息存储部分,根据所接收到的分组中的过滤信息,来确定是否执行所接收到的分组的密码处理;以及
(b-2)如果所述确定步骤确定要执行密码处理,则使得执行密码处理,如果所述确定步骤确定不执行密码处理,则让所接收到的分组直接通过或将其丢弃。
14.如权利要求12所述的分组密码处理方法,其中步骤(a)还包括下列步骤:
(a-3)为终端设置已协定的密码通信信道信息。
15.如权利要求14所述的分组密码处理方法,其中步骤(a-1)包括下列步骤:
(a-1-1)确定在密码通信信道信息存储器件中是否存储有对应于所接收到的分组的有效密码通信信道信息;以及
(a-1-2)如果存储有密码通信信道信息,则在密码通信信道信息中为终端设置密钥信息,而如果没有存储密码通信信道信息,则关于密码通信信道信息达成协定,将已协定的密码通信信道信息存储在密码通信信道信息存储部分中,同时为终端设置已协定的密码通信信道信息。
16.如权利要求15所述的分组密码处理方法,其中步骤(a-1-1)包括步骤:如果需要关于分组的密码通信信道信息的协定,则首先确定所接收到的分组中的地址信息是否存储在过滤信息存储部分中,如果存储了地址信息,则确定关于在密码通信信道信息存储部分中是否存储有有效密码通信信道信息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004111347 | 2004-04-05 | ||
| JP111347/2004 | 2004-04-05 | ||
| JP2004119225 | 2004-04-14 | ||
| JP119225/2004 | 2004-04-14 | ||
| PCT/JP2005/006624 WO2005099170A1 (ja) | 2004-04-05 | 2005-04-04 | パケット暗号処理代理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1765079A CN1765079A (zh) | 2006-04-26 |
| CN1765079B true CN1765079B (zh) | 2011-10-12 |
Family
ID=35125438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800001003A Expired - Fee Related CN1765079B (zh) | 2004-04-05 | 2005-04-04 | 分组密码处理代理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7539858B2 (zh) |
| EP (1) | EP1615372B1 (zh) |
| JP (1) | JP4346094B2 (zh) |
| CN (1) | CN1765079B (zh) |
| WO (1) | WO2005099170A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006101549A2 (en) * | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
| US20060282884A1 (en) * | 2005-06-09 | 2006-12-14 | Ori Pomerantz | Method and apparatus for using a proxy to manage confidential information |
| JP4647479B2 (ja) * | 2005-12-14 | 2011-03-09 | 日本電信電話株式会社 | IPsec回路及びIPsec処理方法 |
| US20080059788A1 (en) * | 2006-08-30 | 2008-03-06 | Joseph John Tardo | Secure electronic communications pathway |
| US8885823B2 (en) * | 2006-09-25 | 2014-11-11 | General Instrument Corporation | Method and apparatus for delivering encrypted on-demand content without use of an application defined protocol |
| US7680115B2 (en) * | 2007-01-19 | 2010-03-16 | Harris Corporation | Internet protocol based encryptor/decryptor bypass device |
| US7840712B2 (en) * | 2007-05-03 | 2010-11-23 | Harris Corporation | Hybrid internet protocol encryptor/decryptor bypass device |
| US9165301B2 (en) * | 2007-06-06 | 2015-10-20 | Core Audience, Inc. | Network devices for replacing an advertisement with another advertisement |
| JP5239502B2 (ja) * | 2007-11-07 | 2013-07-17 | 株式会社明電舎 | ブリッジングシステム、ブリッジおよびブリッジング方法 |
| JP4950938B2 (ja) * | 2008-04-24 | 2012-06-13 | 株式会社日立製作所 | データ転送方法とプロキシサーバおよびストレージサブシステム |
| US9710418B2 (en) * | 2009-01-16 | 2017-07-18 | Dell Products L.P. | System and method for security configuration |
| US8549614B2 (en) * | 2009-12-04 | 2013-10-01 | Cisco Technology, Inc. | Establishing internet protocol security sessions using the extensible messaging and presence protocol |
| KR101282190B1 (ko) * | 2009-12-11 | 2013-07-04 | 한국전자통신연구원 | 적응형 보안 정책 기반의 스케일러블 영상 서비스 방법 및 장치 |
| CN102142961B (zh) * | 2010-06-30 | 2014-10-08 | 华为技术有限公司 | 一种网关、节点和服务器进行鉴权的方法、装置及系统 |
| DE112013000649B4 (de) * | 2012-02-21 | 2020-11-19 | International Business Machines Corporation | Netzwerkknoten mit einer an das Netzwerk angeschlossenen zustandslosen Sicherheitsauslagerungseinheit |
| FR2988942B1 (fr) * | 2012-03-27 | 2015-08-28 | Commissariat Energie Atomique | Methode et systeme d'etablissement d'une cle de session |
| US9712559B2 (en) * | 2012-05-31 | 2017-07-18 | Red Hat, Inc. | Identifying frames |
| US9106618B2 (en) * | 2013-01-23 | 2015-08-11 | Alcatel Lucent | Control plane encryption in IP/MPLS networks |
| KR101491697B1 (ko) * | 2013-12-10 | 2015-02-11 | 주식회사 시큐아이 | Ssl 가속 카드를 포함하는 보안 장치 및 그것의 동작 방법 |
| WO2018051654A1 (ja) * | 2016-09-16 | 2018-03-22 | 日立オートモティブシステムズ株式会社 | 車載電子制御装置 |
| US20190097968A1 (en) * | 2017-09-28 | 2019-03-28 | Unisys Corporation | Scip and ipsec over nat/pat routers |
| WO2020161842A1 (ja) * | 2019-02-06 | 2020-08-13 | コネクトフリー株式会社 | データ送信方法、通信処理方法、装置、および通信処理プログラム |
| CN113904867B (zh) * | 2021-10-30 | 2023-07-07 | 杭州迪普科技股份有限公司 | 用于vxlan二层组网的流量处理方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1291396A (zh) * | 1998-12-21 | 2001-04-11 | 松下电器产业株式会社 | 通信系统和通信方法 |
| US20020080827A1 (en) * | 2000-12-22 | 2002-06-27 | Lee Steven K. | Buried data stream in a wireless home network |
| CN1358386A (zh) * | 1999-06-30 | 2002-07-10 | 国际商业机器公司 | 对代码转换代理主机中的多个源服务器的动态连接 |
| CN1408088A (zh) * | 2000-03-03 | 2003-04-02 | 能联有限公司 | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 |
| US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0563681A (ja) | 1991-09-03 | 1993-03-12 | Kajima Corp | 情報伝送の機密漏洩防止装置 |
| JPH0637750A (ja) * | 1992-07-20 | 1994-02-10 | Hitachi Ltd | 情報転送方式 |
| JPH11308264A (ja) * | 1998-04-17 | 1999-11-05 | Mitsubishi Electric Corp | 暗号通信システム |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| JP2001007849A (ja) * | 1999-06-18 | 2001-01-12 | Toshiba Corp | Mplsパケット処理方法及びmplsパケット処理装置 |
| US20020080753A1 (en) * | 2000-12-22 | 2002-06-27 | Lee Steven K. | Embedded commerce channel in a wireless network |
| US20030009597A1 (en) * | 2001-06-27 | 2003-01-09 | Joung Chul Yong | Home network connection apparatus and control method thereof |
| JP3651424B2 (ja) * | 2001-08-28 | 2005-05-25 | 日本電気株式会社 | 大規模IPSecVPN構築方法、大規模IPSecVPNシステム、プログラム及び鍵共有情報処理装置 |
| JP3603830B2 (ja) * | 2001-09-28 | 2004-12-22 | 日本電気株式会社 | セキュリティゲートウェイ装置 |
| JP2003179627A (ja) * | 2001-12-10 | 2003-06-27 | Mitsubishi Electric Corp | パケット通信装置及びパケット通信方法 |
| JP2003179592A (ja) | 2001-12-12 | 2003-06-27 | Sony Corp | ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム |
| KR100412041B1 (ko) | 2002-01-04 | 2003-12-24 | 삼성전자주식회사 | 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법 |
| US7181612B1 (en) * | 2002-01-17 | 2007-02-20 | Cisco Technology, Inc. | Facilitating IPsec communications through devices that employ address translation in a telecommunications network |
| JP2003304227A (ja) | 2002-04-08 | 2003-10-24 | Matsushita Electric Ind Co Ltd | 暗号通信装置、暗号通信方法及び暗号通信システム |
| JP2004007567A (ja) * | 2002-04-17 | 2004-01-08 | Toshiba Corp | 通信装置、通信方法及び通信プログラム |
| JP4129783B2 (ja) * | 2002-07-10 | 2008-08-06 | ソニー株式会社 | リモートアクセスシステム及びリモートアクセス方法 |
| JP3918693B2 (ja) * | 2002-09-17 | 2007-05-23 | 松下電器産業株式会社 | 米飯保温器 |
| KR100513297B1 (ko) * | 2003-01-24 | 2005-09-09 | 삼성전자주식회사 | 인트라넷에서의 멀티미디어 컨텐츠 관리 시스템 및 방법 |
| KR100485809B1 (ko) * | 2003-03-07 | 2005-04-28 | 삼성전자주식회사 | 서비스 게이트웨이 시스템 및 그 사용방법 |
| JP4260116B2 (ja) * | 2003-05-22 | 2009-04-30 | 富士通株式会社 | 安全な仮想プライベート・ネットワーク |
| US20050160161A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| US20050169473A1 (en) * | 2004-02-03 | 2005-08-04 | Candelore Brant L. | Multiple selective encryption with DRM |
| US7739301B2 (en) * | 2004-03-17 | 2010-06-15 | Netapp, Inc. | Method and apparatus for improving file system proxy performance and security by distributing information to clients via file handles |
-
2005
- 2005-04-04 WO PCT/JP2005/006624 patent/WO2005099170A1/ja not_active Application Discontinuation
- 2005-04-04 US US10/550,216 patent/US7539858B2/en active Active
- 2005-04-04 EP EP05728872.2A patent/EP1615372B1/en not_active Ceased
- 2005-04-04 CN CN2005800001003A patent/CN1765079B/zh not_active Expired - Fee Related
- 2005-04-04 JP JP2005518603A patent/JP4346094B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1291396A (zh) * | 1998-12-21 | 2001-04-11 | 松下电器产业株式会社 | 通信系统和通信方法 |
| CN1358386A (zh) * | 1999-06-30 | 2002-07-10 | 国际商业机器公司 | 对代码转换代理主机中的多个源服务器的动态连接 |
| CN1408088A (zh) * | 2000-03-03 | 2003-04-02 | 能联有限公司 | 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 |
| US20020080827A1 (en) * | 2000-12-22 | 2002-06-27 | Lee Steven K. | Buried data stream in a wireless home network |
| US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2005099170A1 (ja) | 2007-08-16 |
| CN1765079A (zh) | 2006-04-26 |
| EP1615372A1 (en) | 2006-01-11 |
| WO2005099170A1 (ja) | 2005-10-20 |
| US7539858B2 (en) | 2009-05-26 |
| EP1615372B1 (en) | 2013-12-18 |
| JP4346094B2 (ja) | 2009-10-14 |
| US20060184789A1 (en) | 2006-08-17 |
| EP1615372A4 (en) | 2008-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1765079B (zh) | 分组密码处理代理装置 | |
| US6965992B1 (en) | Method and system for network security capable of doing stronger encryption with authorized devices | |
| US5416842A (en) | Method and apparatus for key-management scheme for use with internet protocols at site firewalls | |
| US5898784A (en) | Transferring encrypted packets over a public network | |
| JP4442795B2 (ja) | ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス | |
| US7913261B2 (en) | Application-specific information-processing method, system, and apparatus | |
| US6826395B2 (en) | System and method for secure trading mechanism combining wireless communication and wired communication | |
| JP3599552B2 (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| JP5640226B2 (ja) | 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム | |
| Du et al. | Implementation and performance analysis of SNMP on a TLS/TCP base | |
| US20050050316A1 (en) | Passive SSL decryption | |
| WO1997000471A2 (en) | A system for securing the flow of and selectively modifying packets in a computer network | |
| WO2002071723A1 (en) | Authenticaton and authorisation based secure ip connections for terminals | |
| US8010787B2 (en) | Communication device, communication log transmitting method suitable for communication device, and communication system | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| CA2197548C (en) | A system for securing the flow of and selectively modifying packets in a computer network | |
| Mambo et al. | Implementation of virtual private networks at the transport layer | |
| JP2004135134A (ja) | 無線通信用アダプタ | |
| CN117544951B (zh) | 一种5g物联网安全网关 | |
| Marković | On secure e-health systems | |
| CN113691519B (zh) | 一种云服务统一管理访问权限的离网设备集控方法 | |
| CN110995564B (zh) | 一种报文传输方法、装置及安全网络系统 | |
| Singh et al. | File Transfer Using Secure Sockets in Linux Environment | |
| JP2004080512A (ja) | 鍵管理システム及び鍵管理方法並びに鍵管理プログラム | |
| JP2006033350A (ja) | 代理セキュアルータ装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111012 Termination date: 20190404 |