JP2000004226A - 通信データ秘匿方式 - Google Patents

通信データ秘匿方式

Info

Publication number
JP2000004226A
JP2000004226A JP16730098A JP16730098A JP2000004226A JP 2000004226 A JP2000004226 A JP 2000004226A JP 16730098 A JP16730098 A JP 16730098A JP 16730098 A JP16730098 A JP 16730098A JP 2000004226 A JP2000004226 A JP 2000004226A
Authority
JP
Japan
Prior art keywords
data
communication data
network
communication
divided
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP16730098A
Other languages
English (en)
Inventor
Kiyoshi Kaneko
清 金子
Hiroyuki Hirayama
裕之 平山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP16730098A priority Critical patent/JP2000004226A/ja
Publication of JP2000004226A publication Critical patent/JP2000004226A/ja
Withdrawn legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 ネットワーク上で通信データをモニタしたと
しても、この通信データがスクランブルされて通信デー
タ全体の内容を知ることができず、通信データの内容を
秘匿できる通信データ秘匿方式を提供することを目的と
する。 【解決手段】 通信データを所定データ長に分割し、分
割データそれぞれの順序またはオフセットを示す数値を
所定の鍵を用いて暗号化して分割データそれぞれに付加
しネットワークに送出し、ネットワークから受信した分
割データそれぞれに付加されている暗号化された数値を
所定の鍵を用いて復号化し、復号化した数値の示す順序
またはオフセットに従って受信した分割データから元の
通信データを復元するため、ネットワーク上で通信デー
タをモニタしたとしても、この通信データが所定データ
長でスクランブルされており、通信データ全体の内容を
知ることができず、通信データの内容を秘匿できる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は通信データ秘匿方式
に関し、インターネットで伝送される通信データの内容
が第3者に知られないようにする通信データ秘匿方式に
関する。
【0002】
【従来の技術】インターネット上を流れる通信データは
通常一つのデータグラムか複数のデータグラムに分割さ
れて伝送される。図1はTCP/IPをサポートした端
末の機能ブロック図を示す。同図中、イーサネットモジ
ュール10はCSMA/CD(搬送波感知多重アクセス
/衝突検出)方式によりネットワーク12とイーサネッ
トフレームの送信/受信を行い、ネットワークより受信
したイーサネットフレームをIP層のIPモジュール1
4,ARPモジュール16に送信し、IP層から受信し
たイーサネットフレームをネットワーク12に送信す
る。その動作フローチャートを図2に示す。
【0003】ARPキャッシュ18は接続されている各
ネットワーク内の各ノードのIPアドレスとMAC(媒
体アクセス制御)アドレスを図3に示すように各ノード
毎に対で保持している。ARPモジュール16はIPモ
ジュール14からIPアドレスを受信すると、当該IP
アドレスを送信先IPアドレスとしてARPデータグラ
ム(ARP要求)を作成しイーサネットモジュール10
に送信する。また、イーサネットモジュール10よりA
RPデータグラム(ARP応答)を受信すると、ARP
データグラム(ARP応答)内の送信元IPアドレスと
MACアドレスをIPモジュール14に送信すると共に
ARPキャッシュ18に登録する。その動作フローチャ
ートを図4に示す。
【0004】IPモジュール14はIPデータグラムを
送信する場合、トランスポート層20から受信したIP
データグラムのサイズがネットワークのITU(最大転
送単位)を超える場合IP層によるデータグラムの分割
であるフラグメンテーションを行う。そして、送信先I
Pアドレスに含まれるネットワークアドレスと、自IP
モジュールの保持しているIPアドレスに含まれるネッ
トワークアドレスとを比較チェックする。一致すれば送
信先IPアドレスと同一IPアドレスを持つデータエン
トリをARPキャッシュ18より検索し、当該データの
MACアドレスでイーサネットフレーム内の送信先MA
Cアドレスを更新しイーサネットモジュール10に送信
する。
【0005】同一IPアドレスを持つデータエントリが
ない場合はARPモジュール16に送信先IPアドレス
を送信し、ARPモジュール16より対応する送信先I
PアドレスとMACアドレスを受信した後、イーサネッ
トフレーム内の送信先MACアドレスを更新しイーサネ
ットモジュール10に送信する。その送信の動作フロー
チャートを図5に示す。
【0006】イーサネットモジュール10よりIPデー
タグラムを受信した場合、受信したIPアドレスと自I
Pアドレスを比較し、一致していればIPデータグラム
内のモアビットを参照し、フレーム分割されているなら
ば全フレームを受信しフラグメンテーションにより元の
データグラムの再構築を行い、トランスポート層20に
IPデータグラムを送信する。IPアドレスが不一致の
場合は、イーサネットフレームを破棄する。その受信の
動作フローチャートを図6に示す。
【0007】図7にイーサネットフレームのIPデータ
グラムのフレームフォーマットを示す。同図中、FLG
(3ビット)はフラグメンテーションの制御に使用さ
れ、FLGのLSBはモアフラグと呼ばれ、0であれば
データグラムの最後を示す。第2ビットはフラグメント
禁止ビットである。フラグメントオフセット(13ビッ
ト)はフラグメントされたデータが分割前のメッセージ
のどの位置を占めるのかを示す。なお、フラグメントは
8オクテット単位で行われる。
【0008】ここで、図8に示すネットワーク1のMT
U(単位はオクテット)は1200、ネットワーク2の
MTUは532、ネットワーク3のMTUは276であ
るとする。ノード発信元でオリジナルのデータグラムが
1024オクテットのデータを持つ場合、ノード発信元
ではフラグメント無しでデータグラムを送信する。ルー
タAではネットワーク2のMTUが532であるため、
上記データグラムを512オクテットのデータを持つ2
つのデータグラムに分離して送信する。また、ルータB
ではネットワーク3のMTUが276であるため、上記
2つのデータグラムを256オクテットのデータを持つ
4つのデータグラムに分離して送信する。エンドノード
ではフラグメントされた全てのデータグラムを受信して
元のデータグラムを再構築する。
【0009】
【発明が解決しようとする課題】インターネット上を流
れる通信データは前述のように、一つのデータグラムか
複数のデータグラムに分割されて伝送されるが、TCP
/IP(トランスミッション コントロール プロトコ
ル/インターネット プロトコル)ではデータ秘匿に関
するプロトコル上のサポートが無く平文のままデータが
伝送されている。
【0010】このため、通信データの秘匿性を考慮する
と、通信データの内容を知りうる権限のない第3者で
も、通信ルート上のルータ等によりIPデータのモニタ
が可能であれば、任意のIPデータグラムを収集可能で
ある。この場合、秘匿性を要する情報がフラグメンテー
ションで複数のIPデータグラムに分割されて通信され
ていたとしても、平文のデータが通信されているために
分割された複数のIPデータグラムを取り込み再構築す
ることにより、通信データ全体の内容を知り得てしまう
という問題があった。
【0011】本発明は上記の点に鑑みなされたもので、
ネットワーク上で通信データをモニタしたとしても、こ
の通信データがスクランブルされて通信データ全体の内
容を知ることができず、通信データの内容を秘匿できる
通信データ秘匿方式を提供することを目的とする。
【0012】
【課題を解決するための手段】請求項1に記載の発明
は、送信側の端末に、通信データを所定データ長に分割
し、前記分割データそれぞれの順序またはオフセットを
示す数値を所定の鍵を用いて暗号化して前記分割データ
それぞれに付加しネットワークに送出する暗号化手段を
設け、受信側の端末に、前記ネットワークから受信した
分割データそれぞれに付加されている暗号化された数値
を前記所定の鍵を用いて復号化し、復号化した数値の示
す順序またはオフセットに従って前記受信した分割デー
タから元の通信データを復元する復号化手段を設け、前
記ネットワーク上で通信データの内容を秘匿する。
【0013】このように、通信データを所定データ長に
分割し、分割データそれぞれの順序またはオフセットを
示す数値を所定の鍵を用いて暗号化して分割データそれ
ぞれに付加しネットワークに送出し、ネットワークから
受信した分割データそれぞれに付加されている暗号化さ
れた数値を所定の鍵を用いて復号化し、復号化した数値
の示す順序またはオフセットに従って受信した分割デー
タから元の通信データを復元するため、ネットワーク上
で通信データをモニタしたとしても、この通信データが
所定データ長でスクランブルされており、通信データ全
体の内容を知ることができず、通信データの内容を秘匿
できる。
【0014】請求項2に記載の発明は、請求項1記載の
通信データ秘匿方式において、前記暗号化手段及び復号
化手段で用いる所定の鍵は、前記通信データのデータ長
に対応して決定する。このように、所定の鍵を通信デー
タのデータ長に対応して決定するため、送信側、受信側
それぞれで同一の鍵を用いて暗号化、復号化を行うこと
ができ、かつ、鍵を送信しないためにデータ秘匿性が向
上する。
【0015】請求項3に記載の発明は、請求項2記載の
通信データ秘匿方式において、前記通信データを分割す
る所定データ長は、前記通信データのデータ長に対応し
て決定する。このように、所定データ長を通信データの
データ長に対応して決定するため、受信側では受信した
分割データのデータ長から一意に復号化の鍵を知ること
ができる。
【0016】請求項4に記載の発明は、請求項1乃至3
のいずれか記載の通信データ秘匿方式において、前記送
信側及び受信側の端末は、TCP/IPプロトコルに基
づいてネットワークと通信を行う。これによって、TC
P/IPプロトコルの通信において通信データの秘匿性
を得ることができる。
【0017】請求項5に記載の発明は、請求項1乃至3
のいずれか記載の通信データ秘匿方式において、前記送
信側及び受信側の端末は、X.25プロトコルに基づい
てネットワークと通信を行う。これによって、X.25
プロトコルの通信において通信データの秘匿性を得るこ
とができる。
【0018】
【発明の実施の形態】図9は本発明の通信データ秘匿方
式を適用したTCP/IPをサポートした端末の機能ブ
ロック図を示す。同図中、図1と同一部分には同一符号
を付す。図9において、イーサネットモジュール10は
CSMA/CD(搬送波感知多重アクセス/衝突検出)
方式によりネットワーク12とイーサネットフレームの
送信/受信を行い、ネットワークより受信したイーサネ
ットフレームをIP層のIPモジュール24,ARPモ
ジュール16に送信し、IP層から受信したイーサネッ
トフレームをネットワーク12に送信する。その動作フ
ローチャートを図2に示す。
【0019】ARPキャッシュ18は接続されている各
ネットワーク内の各ノードのIPアドレスとMAC(媒
体アクセス制御)アドレスを図3に示すように各ノード
毎に対で保持している。ARPモジュール16はIPモ
ジュール24からIPアドレスを受信すると、当該IP
アドレスを送信先IPアドレスとしてARPデータグラ
ム(ARP要求)を作成しイーサネットモジュール10
に送信する。また、イーサネットモジュール10よりA
RPデータグラム(ARP応答)を受信すると、ARP
データグラム(ARP応答)内の送信元IPアドレスと
MACアドレスをIPモジュール24に送信すると共に
ARPキャッシュ18に登録する。その動作フローチャ
ートを図4に示す。
【0020】IPモジュール24はフラグメント入れ替
えテーブル26を有しており、IPモジュール24はフ
ラグメント入れ替えテーブル26に基づいて通信データ
のフラグメンテーション及び分割されたIPデータグラ
ム内のフラグメントオフセット値の入れ替えを行って、
IPデータグラム全体の秘匿を図る。ここで、フラグメ
ントオフセット値の入れ替え(暗号化/復号化)には、
例えば対称鍵暗号系のDES(DataEncrypt
ionStandard)等の転置処理を使用する。
【0021】図10(A)にIPデータグラムのフレー
ムフォーマットを示す。これは図7と同一であり、FL
G(3ビット)はフラグメンテーションの制御に使用さ
れ、フラグメントオフセット(13ビット)はフラグメ
ントされたデータが分割前のメッセージのどの位置を占
めるのかを示す。図10(B)にフラグメント入れ替え
テーブル26の一実施例を示す。同図中、IPデータサ
イズの下限、上限それぞれはIPデータ(即ちTCPヘ
ッダとデータ)の長さを表す。フラグメントデータ長は
オクテット単位であり、このフラグメントデータ長の最
大値はネットワーク毎に設定されているMTUの最小値
よりも小さい値に設定する。これはネットワークでフラ
グメンテーションが行われないようにするためである。
なお、MTUの最小値は128オクテット程度である。
暗号/復号鍵は例えば56ビット長である。
【0022】図11はデータ送信元のIPモジュール2
4が行う送信動作のフローチャートを示す。同図中、ス
テップS100でトランスポート層20から送信フレー
ムを受信する。ステップS102で受信した送信フレー
ムのIPデータのサイズを、フラグメント入れ替えテー
ブル26の各行のIPデータサイズの下限、上限と比較
してチェックする。
【0023】次に、ステップS104ではフラグメント
入れ替えテーブル26の該当した行のフラグメントデー
タ長を用いて、上記IPデータを分割し、分割した各デ
ータに昇順のフラグメントナンバーを付与する。ステッ
プS106でフラグメント入れ替えテーブル26の該当
した行の暗号/復号鍵を用いて上記各データのフラグメ
ントナンバーを暗号化する。ステップS108で次式を
用いて暗号化されたフラグメントオフセットを各データ
について算出する。
【0024】暗号化フラグメントオフセット=(暗号化
フラグメントナンバー)×フラグメントデータ長/8 ここで、除数の8はIP層でのフラグメンテーションの
最小単位が8オクテットであり、フラグメントオフセッ
トが8オクテットを基数とした値を取るためである。
【0025】次に、ステップS110で分割した各デー
タと暗号化フラグメントオフセットを基にIPデータグ
ラムを作成する。この後、ステップS112で送信先I
Pアドレスに含まれるネットワークアドレスと、自IP
モジュールの保持しているIPアドレスに含まれるネッ
トワークアドレスとを比較チェックして、一致すれば送
信先IPアドレスと同一IPアドレスを持つデータエン
トリをARPキャッシュ18より検索する。
【0026】この検索で同一IPアドレスを持つデータ
エントリがあれば、ステップS114で送信先IPアド
レスと対となるMACアドレスでイーサネットフレーム
(受信フレーム)内の送信先MACアドレスを更新し、
自IPモジュールの保持しているIPアドレスに対応す
るMACアドレスでイーサネットフレーム(受信フレー
ム)内の送信元MACアドレスを更新し、ステップS1
16でイーサネットモジュール10に送信する。
【0027】ステップS112の検索で同一IPアドレ
スを持つデータエントリがない場合は、ステップS11
8でARPモジュール16に送信先IPアドレスを送信
し、ステップS120でARPモジュール16より対応
する送信先IPアドレスとMACアドレスを受信したこ
とを確認した後、ステップS122でARPモジュール
16より受信したMACアドレスでイーサネットフレー
ム(受信フレーム)内の送信先MACアドレスを更新
し、自IPモジュールの保持しているIPアドレスに対
応するMACアドレスでイーサネットフレーム(受信フ
レーム)内の送信元MACアドレスを更新し、ステップ
S116でイーサネットモジュール10に送信する。
【0028】図12はエンドノードのIPモジュール2
4が行う受信動作のフローチャートを示す。同図中、ス
テップS130でイーサネットモジュール10よりIP
データグラムを受信する。ステップS132で受信フレ
ーム内のIPアドレスと自モジュールのIPアドレスを
比較し、IPアドレスが不一致の場合は、ステップS1
34でイーサネットフレームを破棄する。また、IPア
ドレスが一致していればステップS136でIPデータ
グラム内のモアビットを参照し、フレーム分割されてい
るならばステップS130に進む。全フレームを受信す
るとステップS138からステップS138に進み、受
信した全フレームからIPデータサイズを算出する。
【0029】次に、ステップS140で全フレームのI
Pデータサイズを、フラグメント入れ替えテーブル26
の各行のIPデータサイズの下限、上限と比較してフラ
グメント入れ替えテーブル26の該当した行のフラグメ
ントデータ長、及び暗号/復号鍵を確定する。ステップ
S142で受信した各IPデータグラムのIPデータ毎
に、次式を用いて暗号化フラグメントナンバーを各デー
タについて算出する。
【0030】(暗号化フラグメントナンバー)=暗号化
フラグメントオフセット×8/フラグメントデータ長 ステップS144ではフラグメント入れ替えテーブル2
6の該当した行の暗号/復号鍵を用いて上記各データの
暗号化フラグメントナンバーを復号化して各データのフ
ラグメントナンバーを算出する。次に、ステップS14
6でフラグメンテーションにより元のデータグラムの再
構築を行い、ステップS148でトランスポート層20
にIPデータグラムを送信する。
【0031】ここで、図13(A)に示すような32バ
イトの送信フレームをトランスポート層20から受信し
た場合について説明する。また、ここで使用するフラグ
メント入れ替えテーブル26を図13(B)に示す。こ
の場合は送信フレームのサイズがフラグメント入れ替え
テーブルの第1行のIPデータサイズの下限、上限の範
囲にあるため、フラグメントデータ長は8で、暗号/復
号鍵は00000000000001となる。上記のフ
ラグメントデータ長で分割した図13(C)に示す各デ
ータに昇順のフラグメントナンバーが付与され、暗号/
復号鍵を用いて図13(C)に示す各データの暗号化フ
ラグメントナンバー及び暗号化フラグメントオフセット
が得られる。
【0032】この場合、図14に示すネットワーク1の
MTU(単位はオクテット)は1200、ネットワーク
2のMTUは532、ネットワーク3のMTUは276
であるとする。ノード発信元でオリジナルのデータグラ
ムが1024オクテットのデータを持つ場合であって
も、ノード発信元でフラグメンテーションされた図14
に示す4つのIPデータグラムが送信される。
【0033】ところで、ネットワーク3を伝送される上
記のIPデータグラムを例えばポイントXで第3者がモ
ニタしたとしても、各IPデータグラムのフラグメント
ナンバー及びフラグメントオフセットは暗号化されたも
のであるため、再構築されるデータグラムはスクランブ
ルされたものとなって、元のデータグラムを復元するこ
とはできない。つまり、通信データの秘匿性を得ること
ができる。また、鍵を送信しないためにデータ秘匿性が
向上する。
【0034】エンドノードではフラグメントされた4つ
のIPデータグラムを受信すると、受信した全てのIP
データサイズ(32バイト)で図15(A)に示すフラ
グメント入れ替えテーブル26を参照し、全てのIPデ
ータサイズ(32バイト)がフラグメント入れ替えテー
ブルの第1行のIPデータサイズの下限、上限の範囲に
あるため、フラグメントデータ長は8で、暗号/復号鍵
は00000000000001であると確定する。
【0035】この後、式((暗号化フラグメントナンバ
ー)=暗号化フラグメントオフセット×8/フラグメン
トデータ長)を用いて各データの暗号化フラグメントナ
ンバーを図15(B)に示すように算出し、この暗号化
フラグメントナンバーを暗号/復号鍵図15(B)に示
す各データのフラグメントナンバーを復元する。そし
て、このフラグメントナンバーを用いてフラグメンテー
ションを行い元のデータグラムを復元する。
【0036】次に、公衆データ網に接続されたパケット
モードで動作するデータ端末装置(DTE)とデータ回
線終端装置(DCE)間のインタフェースプロトコルで
あるX.25に適応した実施例について説明する。X.
25ではパケットの分割/統合はデータリンク層で行わ
れる。送信側X.25ゲートウエイのデータリンク層で
図16(C)に示すようなIPデータが576オクテッ
トの送信フレームをIP層から受信した場合、データリ
ンク層でデフォルトでは128オクテットの5つのパケ
ットに分割する。本発明では、データリンク層で図16
(A)に示すフラグメント入れ替えテーブルを使用し、
この場合、送信フレームのサイズがフラグメント入れ替
えテーブルの第3行のデータサイズの下限、上限の範囲
にあるため、分割データ長は64(オクテット)で、暗
号/復号鍵は00000000000003となる。
【0037】576オクテットの送信フレームを分割デ
ータ長の64オクテットで図16(B)に示す9個のパ
ケットに分割した場合、各送信X.25フレームの制御
フィールドの送信順序番号N(S),受信順序番号N
(R)のうちN(S)の初期値は分割の順序に付与され
る。この送信順序番号N(S),受信順序番号N(R)
を暗号/復号鍵を用いて暗号化し、暗号化送信順序番号
N(S),暗号化受信順序番号N(R)が得られる。こ
の暗号化を行わない場合には図17に示す各送信X.2
5フレームがネットワークに送信されるが、本発明では
図18に示す各送信X.25フレームがネットワークに
送信される。両者では送信順序番号N(S),受信順序
番号N(R)が異なっており、図18では、そのうちの
送信順序番号N(S)を示している。なお、X.25フ
レームは基本モード(モジュロ8)で、Fはフラグシー
ケンス、Aはアドレスフィールド、Cは制御フィール
ド、FCSはフレームチェックシーケンスである。
【0038】ところで、ネットワークを伝送される図1
8の送信X.25フレームを第3者がモニタしたとして
も、各送信X.25フレームでは暗号化送信順序番号N
(S),暗号化受信順序番号N(R)を使用しているた
め、再構築されるデータフレームはスクランブルされた
ものとなって、元のデータフレームを復元することはで
きない。つまり、通信データの秘匿性を得ることができ
る。また、鍵を送信しないためにデータ秘匿性が向上す
る。
【0039】受信側X.25ゲートウエイのデータリン
ク層では物理層から受信したX.25フレームのデータ
部(パケット)のデータ長(64)で図19(A)に示
すフラグメント入れ替えテーブルを参照し、データ長6
4オクテットがフラグメント入れ替えテーブルの第3行
のデータサイズの下限、上限の範囲にあるため、暗号/
復号鍵は00000000000003であると確定す
る。
【0040】この後、暗号/復号鍵を用いて図19
(B)に示す受信した各X.25フレームの暗号化送信
順序番号N(S),暗号化受信順序番号N(R)を復号
し、元の送信順序番号N(S)を得る。そして、この送
信順序番号N(S),受信順序番号N(R)を用いて図
19(C)に示す元のデータフレームを復元してIP層
に送信する。なお、送信順序番号N(S),受信順序番
号N(R)の復号後、所定のン(S),N(R)のチェ
ックで異常を検出した場合は、受信側X.25ゲートウ
エイのデータリンク層の動作により、制御フィールドの
送信順序番号N(S),受信順序番号N(R)を変換し
た再送信要求フレームを送信して再送信要求を行う。
【0041】なお、ステップS102〜S110が暗号
化手段に対応し、ステップS138〜S144が復号化
手段に対応する。
【0042】
【発明の効果】上述の如く、請求項1に記載の発明は、
送信側の端末に、通信データを所定データ長に分割し、
前記分割データそれぞれの順序またはオフセットを示す
数値を所定の鍵を用いて暗号化して前記分割データそれ
ぞれに付加しネットワークに送出する暗号化手段を設
け、受信側の端末に、前記ネットワークから受信した分
割データそれぞれに付加されている暗号化された数値を
前記所定の鍵を用いて復号化し、復号化した数値の示す
順序またはオフセットに従って前記受信した分割データ
から元の通信データを復元する復号化手段を設け、前記
ネットワーク上で通信データの内容を秘匿する。
【0043】このように、通信データを所定データ長に
分割し、分割データそれぞれの順序またはオフセットを
示す数値を所定の鍵を用いて暗号化して分割データそれ
ぞれに付加しネットワークに送出し、ネットワークから
受信した分割データそれぞれに付加されている暗号化さ
れた数値を所定の鍵を用いて復号化し、復号化した数値
の示す順序またはオフセットに従って受信した分割デー
タから元の通信データを復元するため、ネットワーク上
で通信データをモニタしたとしても、この通信データが
所定データ長でスクランブルされており、通信データ全
体の内容を知ることができず、通信データの内容を秘匿
できる。
【0044】また、請求項2に記載の発明は、暗号化手
段及び復号化手段で用いる所定の鍵は、前記通信データ
のデータ長に対応して決定する。このように、所定の鍵
を通信データのデータ長に対応して決定するため、送信
側、受信側それぞれで同一の鍵を用いて暗号化、復号化
を行うことができ、かつ、鍵を送信しないためにデータ
秘匿性が向上する。
【0045】また、請求項3に記載の発明は、通信デー
タを分割する所定データ長は、前記通信データのデータ
長に対応して決定する。このように、所定データ長を通
信データのデータ長に対応して決定するため、受信側で
は受信した分割データのデータ長から一意に復号化の鍵
を知ることができる。
【0046】また、請求項4に記載の発明は、送信側及
び受信側の端末は、TCP/IPプロトコルに基づいて
ネットワークと通信を行う。これによって、TCP/I
Pプロトコルの通信において通信データの秘匿性を得る
ことができる。また、請求項5に記載の発明は、送信側
及び受信側の端末は、X.25プロトコルに基づいてネ
ットワークと通信を行う。
【0047】これによって、X.25プロトコルの通信
において通信データの秘匿性を得ることができる。
【図面の簡単な説明】
【図1】従来方式のTCP/IPをサポートした端末の
機能ブロック図である。
【図2】イーサネットモジュール10の動作フローチャ
ートである。
【図3】ARPキャッシュ18の構成を示す図である。
【図4】ARPモジュール16の動作フローチャートで
ある。
【図5】IPモジュール14の動作フローチャートであ
る。
【図6】イーサネットモジュール10の動作フローチャ
ートである。
【図7】イーサネットフレームのIPデータグラムのフ
レームフォーマットを示す図である。
【図8】従来のネットワークにおけるフラグメンテーシ
ョンを説明するための図である。
【図9】本発明の通信データ秘匿方式を適用したTCP
/IPをサポートした端末の機能ブロック図である。
【図10】本発明方式を説明するための図である。
【図11】データ送信元のIPモジュール24が行う送
信動作のフローチャートである。
【図12】エンドノードのIPモジュール24が行う受
信動作のフローチャートである。
【図13】本発明方式を説明するための図である。
【図14】本発明方式を説明するための図である。
【図15】本発明方式を説明するための図である。
【図16】本発明方式をX.25に適応した実施例につ
いて説明するための図である。
【図17】本発明方式をX.25に適応した実施例につ
いて説明するための図である。
【図18】本発明方式をX.25に適応した実施例につ
いて説明するための図である。
【図19】本発明方式をX.25に適応した実施例につ
いて説明するための図である。
【符号の説明】 10 イーサネットモジュール 12 ネットワーク 16 ARPモジュール 18 ARPキャッシュ 20 トランスポート層 24 IPモジュール
───────────────────────────────────────────────────── フロントページの続き (72)発明者 平山 裕之 神奈川県川崎市高津区坂戸3丁目2番1号 富士通ネットワークエンジニアリング株 式会社内 Fターム(参考) 5K013 BA02 CA07 FA06 5K030 GA15 HA06 HA08 HC01 JA05 KA19 LA08 LD19 5K032 AA08 BA14 CC09 CC11

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 送信側の端末に、通信データを所定デー
    タ長に分割し、前記分割データそれぞれの順序またはオ
    フセットを示す数値を所定の鍵を用いて暗号化して前記
    分割データそれぞれに付加しネットワークに送出する暗
    号化手段を設け、 受信側の端末に、前記ネットワークから受信した分割デ
    ータそれぞれに付加されている暗号化された数値を前記
    所定の鍵を用いて復号化し、復号化した数値の示す順序
    またはオフセットに従って前記受信した分割データから
    元の通信データを復元する復号化手段を設け、 前記ネットワーク上で通信データの内容を秘匿すること
    を特徴とする通信データ秘匿方式。
  2. 【請求項2】 請求項1記載の通信データ秘匿方式にお
    いて、 前記暗号化手段及び復号化手段で用いる所定の鍵は、前
    記通信データのデータ長に対応して決定することを特徴
    とする通信データ秘匿方式。
  3. 【請求項3】 請求項2記載の通信データ秘匿方式にお
    いて、 前記通信データを分割する所定データ長は、前記通信デ
    ータのデータ長に対応して決定することを特徴とする通
    信データ秘匿方式。
  4. 【請求項4】 請求項1乃至3のいずれか記載の通信デ
    ータ秘匿方式において、 前記送信側及び受信側の端末は、TCP/IPプロトコ
    ルに基づいてネットワークと通信を行うことを特徴とす
    る通信データ秘匿方式。
  5. 【請求項5】 請求項1乃至3のいずれか記載の通信デ
    ータ秘匿方式において、 前記送信側及び受信側の端末は、X.25プロトコルに
    基づいてネットワークと通信を行うことを特徴とする通
    信データ秘匿方式。
JP16730098A 1998-06-15 1998-06-15 通信データ秘匿方式 Withdrawn JP2000004226A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP16730098A JP2000004226A (ja) 1998-06-15 1998-06-15 通信データ秘匿方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP16730098A JP2000004226A (ja) 1998-06-15 1998-06-15 通信データ秘匿方式

Publications (1)

Publication Number Publication Date
JP2000004226A true JP2000004226A (ja) 2000-01-07

Family

ID=15847206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP16730098A Withdrawn JP2000004226A (ja) 1998-06-15 1998-06-15 通信データ秘匿方式

Country Status (1)

Country Link
JP (1) JP2000004226A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2368503A (en) * 2000-07-25 2002-05-01 Mitsubishi Electric Corp Cryptographic communication system
JP2007201973A (ja) * 2006-01-30 2007-08-09 Kyocera Corp データ送受信システム、暗号化情報共有方法、データ送信装置、及びデータ受信装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2368503A (en) * 2000-07-25 2002-05-01 Mitsubishi Electric Corp Cryptographic communication system
JP2007201973A (ja) * 2006-01-30 2007-08-09 Kyocera Corp データ送受信システム、暗号化情報共有方法、データ送信装置、及びデータ受信装置

Similar Documents

Publication Publication Date Title
US6240513B1 (en) Network security device
US8650643B2 (en) Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US6826684B1 (en) Sliding scale adaptive self-synchronized dynamic address translation
US7043633B1 (en) Method and apparatus for providing adaptive self-synchronized dynamic address translation
US7143282B2 (en) Communication control scheme using proxy device and security protocol in combination
CA2211301C (en) Network security device
US8379638B2 (en) Security encapsulation of ethernet frames
EP2043296A1 (en) Relay device
EP1653660A1 (en) Communication system, communication device, communication method, and communication program for realizing the same
US20030115364A1 (en) Camouflage of network traffic to resist attack
US20090060184A1 (en) Systems and Methods for Providing Autonomous Security
US20070214502A1 (en) Technique for processing data packets in a communication network
JP3259724B2 (ja) 暗号装置、暗号化器および復号器
JPH07170280A (ja) ローカルエリアネットワーク
JP2000004226A (ja) 通信データ秘匿方式
EP1024640B1 (en) Method of encoding status information
JP2003244194A (ja) データ暗号装置及び暗号通信処理方法及びデータ中継装置
JP4043997B2 (ja) 暗号装置及びプログラム
JP4606410B2 (ja) 安全な間接アドレス指定
JP2004357284A (ja) 送受信システム
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
JPH09252315A (ja) 暗号通信システムおよび暗号装置
JPH11220495A (ja) 暗号通信装置
JPH10190704A (ja) データの暗号化方法、復号化方法、暗号化装置、および復号化装置
CN117395019A (zh) 用于重定时器装置的自动带内媒体存取控制安全(MACsec)密钥更新

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050906