JP2000347565A - Cipher communication system - Google Patents
Cipher communication systemInfo
- Publication number
- JP2000347565A JP2000347565A JP11159522A JP15952299A JP2000347565A JP 2000347565 A JP2000347565 A JP 2000347565A JP 11159522 A JP11159522 A JP 11159522A JP 15952299 A JP15952299 A JP 15952299A JP 2000347565 A JP2000347565 A JP 2000347565A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- cryptographic
- server
- identification information
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、複数の異なる暗
号アルゴリズムを採用する暗号通信システムに関し、特
に、複数の異なる暗号アルゴリズムを連接使用する場合
に、ユーザの移動または追加などの構成変更に伴って生
ずる管理負荷を軽減することができる暗号通信システム
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a cryptographic communication system that employs a plurality of different encryption algorithms, and more particularly to a case where a plurality of different encryption algorithms are used in conjunction with a configuration change such as moving or adding a user. The present invention relates to a cryptographic communication system capable of reducing a management load that occurs.
【0002】[0002]
【従来の技術】最近のDES(Data Encryption Standa
rd)暗号やRSA(Rivest-Shamir-Adleman )暗号など
の普及に 伴って、異なる暗号アルゴリズムを一つの暗
号通信システム内で取り扱う必要が増え、暗号連接をお
こなうニーズが増加している。2. Description of the Related Art Recent DES (Data Encryption Standa)
With the spread of rd) cryptography and RSA (Rivest-Shamir-Adleman) cryptography, the need to handle different cryptographic algorithms in one cryptographic communication system has increased, and the need to perform cryptographic concatenation has increased.
【0003】このため、特開平6−85811号公報に
は、システムが異なる暗号アルゴリズムを採用する場合
に、所定の安全ノードにおいて第1の暗号アルゴリズム
で暗号化された通信データを一旦復号し、復号した通信
データを第2の暗号アルゴリズムで暗号化することによ
り、異なる暗号アルゴリズム間の暗号連接をおこなう技
術が開示されている。なお、この安全ノードとは、第1
の暗号アルゴリズムによる暗号通信路と第2の暗号アル
ゴリズムによる暗号通信路とを結合する一種の暗号用の
接続装置(以下、「暗号ゲートウエイ装置」という)で
あり、この安全ノードおよび各暗号装置間で各暗号通信
路が形成される。For this reason, Japanese Unexamined Patent Publication No. Hei 6-85811 discloses that when a system adopts a different encryption algorithm, communication data encrypted by a first encryption algorithm is once decrypted at a predetermined secure node, and then decrypted. A technique is disclosed in which encrypted communication data is encrypted with a second encryption algorithm, thereby performing encryption connection between different encryption algorithms. Note that this safety node is the first
Is a kind of connection device for encryption (hereinafter, referred to as “encryption gateway device”) that couples an encryption communication channel using the encryption algorithm described above with an encryption communication channel using the second encryption algorithm. Each encrypted communication path is formed.
【0004】この従来技術に代表される従来の暗号通信
システムでは、通信データを暗号化する暗号装置間すな
わち暗号通信路単位で暗号を管理する暗号管理方式を採
用している。A conventional cryptographic communication system represented by this conventional technique employs a cryptographic management system for managing cryptography between cryptographic devices for encrypting communication data, that is, for each cryptographic communication channel.
【0005】図7は、かかる暗号ゲートウエイ装置を配
設した従来の暗号通信システムの一例を示す図であり、
同図に示すように、この暗号通信システムは、LAN7
0に日本人事サーバ71、日本経理サーバ72、日本総
務クライアント73および暗号ゲートウエイ装置74が
接続されたものである。FIG. 7 is a diagram showing an example of a conventional encryption communication system provided with such an encryption gateway device.
As shown in FIG.
0 is connected to a Japanese affairs server 71, a Japanese accounting server 72, a Japanese general affairs client 73, and an encryption gateway device 74.
【0006】ここで、この日本人事サーバ71および日
本経理サーバ72には、暗号アルゴリズムAを用いる日
本用暗号装置75が配設され、日本総務クライアント7
3および暗号ゲートウエイ装置74は、この暗号アルゴ
リズムAを使用する日本用暗号装置75に対応する暗号
ソフトウエアを内蔵する。Here, the Japanese affairs server 71 and the Nippon Accounting server 72 are provided with an encryption device 75 for Japan using an encryption algorithm A,
3 and the encryption gateway device 74 incorporate encryption software corresponding to the Japanese encryption device 75 using the encryption algorithm A.
【0007】また、このLAN70には、インターネッ
ト76を介して米国経理クライアント77が加入するた
め、この米国経理クライアント77が日本経理サーバ7
2にアクセスすることもできる。ただし、この米国経理
クライアント77および暗号ゲートウエイ装置74は、
暗号アルゴリズムBを使用する暗号ソフトウエアを内蔵
し、米国経理クライアント77〜暗号ゲートウエイ装置
74の間は、暗号アルゴリズムBのインターネット用暗
号を使用する。Further, since the US accounting client 77 subscribes to the LAN 70 via the Internet 76, the US accounting client 77
2 can also be accessed. However, the US accounting client 77 and the encryption gateway device 74
The encryption software using the encryption algorithm B is built in, and the encryption for the encryption algorithm B for the Internet is used between the US accounting client 77 and the encryption gateway device 74.
【0008】かかる場合に、この暗号ゲートウエイ装置
74は、図8に示す暗号管理テーブル80を用いて暗号
連接をおこなう。具体的には、この暗号管理テーブル8
0は、送信元端末アドレス、宛先端末アドレス、暗号ア
ルゴリズム、暗号鍵、暗号/復号の種別、開設の有無、
暗号通信路相手装置アドレスおよびネットワーク種別
(I/L)からなる。In such a case, the encryption gateway device 74 performs encryption connection using the encryption management table 80 shown in FIG. Specifically, the encryption management table 8
0 indicates a source terminal address, a destination terminal address, an encryption algorithm, an encryption key, a type of encryption / decryption, presence / absence of establishment,
It consists of an encrypted communication path partner device address and a network type (I / L).
【0009】ここで、この送信元端末アドレスおよび宛
先端末アドレスは、通信データの送信元端末アドレスお
よび宛先端末アドレスを示し、暗号アルゴリズムは、暗
号通信路で使用する暗号アルゴリズムを示し、暗号鍵
は、暗号/復号の際に使用する暗号鍵を示す。また、暗
号/復号の種別は、受信した通信データの処理内容を示
し、開設の有無は、暗号通信路相手側装置アドレスで示
される暗号装置との間で暗号通信路を開設する際に、暗
号通信路の開設動作の起動側となるかどうかを示し、ネ
ットワーク種別(I/L)は、それぞれの暗号通信路が
LAN側(日本国内ネットワーク側)に適用されるか、
インターネット側に適用されるかを示している。Here, the source terminal address and the destination terminal address indicate the source terminal address and the destination terminal address of the communication data, the encryption algorithm indicates the encryption algorithm used in the encryption communication path, and the encryption key indicates Indicates the encryption key used for encryption / decryption. Also, the type of encryption / decryption indicates the processing content of the received communication data, and the presence / absence of establishment is determined when an encryption communication path is opened with the encryption device indicated by the address of the other device of the encryption communication path. Indicates whether the communication channel is opened or not. The network type (I / L) indicates whether each encrypted communication channel is applied to the LAN side (Japan domestic network side).
Indicates whether it applies to the Internet side.
【0010】そして、暗号ゲートウエイ装置74が、米
国経理クライアント77から日本経理サーバ72宛の通
信データを受信した場合には、この通信データの送信元
端末アドレスが米国経理クライアント77であり、宛先
端末アドレスが日本経理サーバ72であり、インターネ
ット側からの受信データであるため、暗号管理テーブル
80内にNo.3で示す暗号通信路が選択される。When the encryption gateway device 74 receives the communication data addressed to the Japan accounting server 72 from the US accounting client 77, the source terminal address of the communication data is the US accounting client 77 and the destination terminal address Is the accounting server 72 and is the data received from the Internet side. The encryption communication path indicated by 3 is selected.
【0011】このNo.3の暗号通信路で使用する暗号
アルゴリズムは「インタネット用暗号アルゴリズムB」
であり、使用される暗号鍵は「3333」であり、処理
動作は「復号」であるため、受信した通信データは、暗
号アルゴリズムB、暗号鍵3333を用いて復号して一
旦平文にする。This No. The encryption algorithm used in the third encryption channel is "Internet encryption algorithm B".
Since the encryption key to be used is “3333” and the processing operation is “decryption”, the received communication data is decrypted using the encryption algorithm B and the encryption key 3333, and is temporarily converted to plaintext.
【0012】その後、この通信データは、LAN側に送
信するものであるため、宛先端末アドレスから暗号管理
テーブル80内のNo.1の暗号通信路を選択し、この
No.1の暗号アルゴリズムA、暗号鍵1111を用い
て通信データを暗号化し、LAN70に送信する。Thereafter, since this communication data is to be transmitted to the LAN side, the communication data is transmitted from the destination terminal address to the No. in the encryption management table 80. No. 1 is selected, and this No. 1 is selected. The communication data is encrypted using the first encryption algorithm A and the encryption key 1111 and transmitted to the LAN 70.
【0013】このように、従来の暗号通信システムで
は、暗号通信路単位で暗号を管理する暗号管理方式を採
用するため、暗号連接をおこなう際にも、暗号通信路を
連接するという方式を採用する。具体的には、かかる暗
号通信路の連接を担うのが暗号ゲートウエイ装置74で
あり、この暗号ゲートウエイ装置74が暗号管理テーブ
ル80に基づいて通信データの復号化と復号化した平文
の再暗号化をおこなっていた。As described above, in the conventional cryptographic communication system, since the cryptographic management system for managing the ciphers in units of cryptographic communication channels is employed, even when the cryptographic connection is performed, the system in which the cryptographic communication channels are connected is employed. . Specifically, the encryption gateway device 74 is responsible for linking the encryption communication path. The encryption gateway device 74 decrypts the communication data based on the encryption management table 80 and re-encrypts the decrypted plaintext. Was doing it.
【0014】[0014]
【発明が解決しようとする課題】しかしながら、かかる
暗号ゲートウエイ74を用いて暗号通信路を連接する場
合には、暗号通信路の数が増えれば増えるほど、管理す
べき暗号の数が累増するため、暗号管理テーブル80の
更新負担が大きくなるという問題がある。特に、送信元
端末のユーザが国内から米国に移動するような場合や、
米国に滞在していたユーザが米国から日本へ戻るような
場合には、その都度暗号管理テーブル80を更新しなけ
ればならないために、暗号管理が錯綜する。However, when the cryptographic communication paths are connected by using the cryptographic gateway 74, the more the number of cryptographic communication paths increases, the more the number of encryptions to be managed increases. There is a problem that the load of updating the encryption management table 80 increases. In particular, if the source terminal user moves from the United States to the United States,
When a user who has stayed in the United States returns to the United States from the United States, the encryption management table 80 must be updated each time, which complicates encryption management.
【0015】たとえば、図7に示す日本総務クライアン
ト73のユーザが米国へ移動し、米国から日本経理サー
バ72にアクセスする場合には、図8に示す暗号管理テ
ーブル80を図9に示す暗号管理テーブル90のように
変更して、暗号ゲートウエイ装置74が移動後のクライ
アントを取り扱えるようにしなければならず、また、セ
キュリティ上このユーザが移動先から復帰した場合に
は、移動時に変更したデータベースをただちに元に戻す
必要がある。For example, when the user of the Japanese general affairs client 73 shown in FIG. 7 moves to the United States and accesses the Japanese accounting server 72 from the United States, the encryption management table 80 shown in FIG. 90, the cryptographic gateway device 74 must be able to handle the client after the move, and when this user returns from the destination for security reasons, the database changed at the time of the move is immediately restored to the original. Must be returned to
【0016】このように、従来の暗号管理テーブルを用
いた場合には、クライアントを操作するユーザの移動に
伴う暗号管理テーブルを更新するための負担が大きく、
暗号管理の効率および操作性を低下する大きな原因とな
っていた。As described above, when the conventional encryption management table is used, the burden of updating the encryption management table accompanying the movement of the user operating the client is large,
This was a major cause of lowering the efficiency and operability of cipher management.
【0017】本発明は、上記問題に鑑みてなされたもの
であり、複数の異なる暗号アルゴリズムを連接使用する
場合に、ユーザの移動または追加などの構成変更に伴っ
て生ずる管理負荷を軽減することができる暗号通信シス
テムを得ることを目的とする。SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is possible to reduce a management load caused by a configuration change such as a movement or addition of a user when a plurality of different encryption algorithms are used jointly. An object of the present invention is to obtain a cryptographic communication system capable of performing such a communication.
【0018】[0018]
【課題を解決するための手段】上記目的を達成するため
に、この発明にかかる暗号通信システムは、第1の情報
を提供する第1のサーバに対応して配設された第1の暗
号アルゴリズムを採用する第1の暗号装置と、第2の情
報を提供する第2のサーバに対応して配設された第2の
暗号アルゴリズムを採用する第2の暗号装置と、前記第
1のサーバ若しくは第2のサーバからサービスを受ける
複数のクライアントごとに配設された前記第1または第
2の暗号アルゴリズムと同一または異なる暗号アルゴリ
ズムを採用する複数の第3の暗号装置とをネットワーク
で接続した暗号通信システムにおいて、前記第1の暗号
装置、第2の暗号装置および第3の暗号装置に所定の識
別情報を付与する識別情報付与手段と、前記識別情報付
与手段により前記第1の暗号装置、第2の暗号装置およ
び第3の暗号装置に付与された識別情報に基づいて、ク
ライアント−サーバ間の各暗号通信路を開設する暗号通
信路開設手段と、を備えたことを特徴とする。In order to achieve the above object, an encryption communication system according to the present invention comprises a first encryption algorithm provided corresponding to a first server for providing first information. A first encryption device that employs a second encryption algorithm, and a second encryption device that employs a second encryption algorithm provided corresponding to a second server that provides second information; Cryptographic communication in which a plurality of third cryptographic devices that employ the same or different cryptographic algorithm as the first or second cryptographic algorithm provided for each of a plurality of clients receiving services from the second server are connected via a network. In the system, identification information providing means for providing predetermined identification information to the first encryption device, the second encryption device, and the third encryption device; And cryptographic communication path opening means for opening each of the cryptographic communication paths between the client and the server based on the identification information given to the first cryptographic apparatus, the second cryptographic apparatus, and the third cryptographic apparatus. Features.
【0019】この発明によれば、第1の暗号装置、第2
の暗号装置および第3の暗号装置に所定の識別情報を付
与し、第1の暗号装置、第2の暗号装置および第3の暗
号装置に付与された識別情報に基づいて、クライアント
−サーバ間の各暗号通信路を開設することとしたので、
クライアントが移動したような場合であっても、この識
別情報によって暗号通信路の開設を容易におこなうこと
ができる。According to the present invention, the first encryption device and the second encryption device
Given identification information to the first encryption device, the third encryption device, and the third encryption device, and based on the identification information assigned to the first encryption device, the second encryption device, and the third encryption device, a client-server Since we decided to open each encryption communication channel,
Even in the case where the client moves, the establishment of the encrypted communication path can be easily performed by using the identification information.
【0020】つぎの発明にかかる暗号通信システムは、
前記第1の暗号装置、第2の暗号装置および第3の暗号
装置は、前記第1のサーバ、第2のサーバおよびクライ
アントと別個に設けた暗号装置または該第1のサーバ、
第2のサーバおよびクライアントにインストールされた
暗号ソフトウエアであることを特徴とする。[0020] The cryptographic communication system according to the next invention comprises:
The first encryption device, the second encryption device, and the third encryption device may be an encryption device provided separately from the first server, the second server, and the client, or the first server;
The encryption software is installed on the second server and the client.
【0021】つぎの発明にかかる暗号通信システムは、
前記識別情報付与手段は、前記第1の情報および第2の
情報に異なる識別情報を割り当て、前記第1のサーバ、
第2のサーバおよび各クライアントが取り扱う情報の内
容に応じて、前記第1の暗号装置、第2の暗号装置およ
び第3の暗号装置に対応する識別情報を付与することを
特徴とする。[0021] The cryptographic communication system according to the next invention comprises:
The identification information assigning means assigns different identification information to the first information and the second information, and the first server,
It is characterized in that identification information corresponding to the first encryption device, the second encryption device, and the third encryption device is added according to the content of information handled by the second server and each client.
【0022】この発明によれば、第1の情報および第2
の情報に異なる識別情報を割り当て、第1のサーバ、第
2のサーバおよび各クライアントが取り扱う情報の内容
に応じて、第1の暗号装置、第2の暗号装置および第3
の暗号装置に対応する識別情報を付与することとしたの
で、人事情報または経理情報といった情報の種別に応じ
た識別情報を各暗号装置に付与することができる。According to the present invention, the first information and the second information
Different identification information is assigned to the first encryption device, the second encryption device, and the third encryption device according to the content of the information handled by the first server, the second server, and each client.
Since the identification information corresponding to the encryption device is assigned, identification information corresponding to the type of information such as personnel information or accounting information can be assigned to each encryption device.
【0023】つぎの発明にかかる暗号通信システムは、
前記識別情報付与手段は、前記第1のサーバおよび第2
のサーバに異なる識別情報を割り当て、各クライアント
がアクセスするサーバの種類に応じて、前記第1の暗号
装置、第2の暗号装置および第3の暗号装置に対して識
別情報を付与することを特徴とする。[0023] The cryptographic communication system according to the next invention comprises:
The identification information providing means includes a first server and a second server.
Different identification information is allocated to the first encryption device, the second encryption device, and the third encryption device according to the type of server accessed by each client. And
【0024】この発明によれば、第1のサーバおよび第
2のサーバに異なる識別情報を割り当て、各クライアン
トがアクセスするサーバの種類に応じて、第1の暗号装
置、第2の暗号装置および第3の暗号装置に対して識別
情報を付与することとしたので、サービスを提供するサ
ーバの種類に応じた識別情報を各暗号装置に付与するこ
とができる。According to the present invention, different identification information is assigned to the first server and the second server, and the first encryption device, the second encryption device, and the second encryption device are assigned according to the type of server accessed by each client. Since the identification information is assigned to the third encryption device, identification information corresponding to the type of the server providing the service can be assigned to each encryption device.
【0025】つぎの発明にかかる暗号通信システムは、
前記識別情報付与手段は、所定の記録媒体を介して前記
識別情報を前記第1の暗号装置、第2の暗号装置および
第3の暗号装置に付与することを特徴とする。[0025] The cryptographic communication system according to the next invention comprises:
The identification information assigning means assigns the identification information to the first encryption device, the second encryption device, and the third encryption device via a predetermined recording medium.
【0026】この発明によれば、所定の記録媒体を介し
て識別情報を第1の暗号装置、第2の暗号装置および第
3の暗号装置に付与することとしたので、クライアント
の移動時の利便性の向上を図ることができる。According to the present invention, the identification information is given to the first encryption device, the second encryption device, and the third encryption device via the predetermined recording medium. Performance can be improved.
【0027】つぎの発明にかかる暗号通信システムは、
前記第3の暗号装置が、前記第1の暗号アルゴリズムお
よび第2の暗号アルゴリズムと異なる暗号アルゴリズム
を採用する場合に、該暗号アルゴリズムを前記第1また
は第2の暗号アルゴリズムと暗号連接する暗号ゲートウ
エイ装置をさらに具備し、該暗号ゲートウエイ装置は、
前記識別情報付与手段により付与された識別情報に基づ
いて前記第3の暗号装置の暗号アルゴリズムを前記第1
または第2の暗号アルゴリズムと暗号連接することを特
徴とする。[0027] The cryptographic communication system according to the next invention comprises:
When the third encryption device employs an encryption algorithm different from the first encryption algorithm and the second encryption algorithm, an encryption gateway device that encrypts and connects the encryption algorithm with the first or second encryption algorithm. And the encryption gateway device further comprises:
The encryption algorithm of the third encryption device is changed to the first encryption device based on the identification information given by the identification information giving means.
Alternatively, it is cryptographically connected with the second encryption algorithm.
【0028】この発明によれば、第3の暗号装置の暗号
アルゴリズムが、第1の暗号アルゴリズムおよび第2の
暗号アルゴリズムと異なる場合に、付与された識別情報
に基づいて該暗号アルゴリズムを第1または第2の暗号
アルゴリズムと暗号連接することとしたので、暗号ゲー
トウエイ装置が有するテーブルをクライアントの移動に
応じて頻繁に更新する必要をなくすことができる。According to the present invention, when the encryption algorithm of the third encryption device is different from the first encryption algorithm and the second encryption algorithm, the encryption algorithm is changed to the first or second encryption algorithm based on the assigned identification information. Since the cryptographic connection is established with the second cryptographic algorithm, it is not necessary to frequently update the table of the cryptographic gateway device according to the movement of the client.
【0029】[0029]
【発明の実施の形態】以下に添付図面を参照して、この
発明にかかる暗号通信システム、暗号通信方法および記
録媒体の好適な実施の形態を詳細に説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS Preferred embodiments of an encryption communication system, an encryption communication method and a recording medium according to the present invention will be described below in detail with reference to the accompanying drawings.
【0030】図1は、本実施の形態で用いる暗号通信シ
ステムのシステム構成を示すブロック図である。同図に
示す本発明に係る暗号通信システムは、単に暗号通信路
ごとに暗号通信システムの暗号管理をおこなうのではな
く、クライアントに割り当てた識別情報に基づいて暗号
装置間で暗号通信路の設定に係るネゴシエーションをお
こなわせ、このネゴシエーションによって暗号ゲートウ
エイ装置105の暗号管理テーブルを自動更新すること
により、暗号管理者による暗号管理を容易ならしめたも
のである。FIG. 1 is a block diagram showing a system configuration of a cryptographic communication system used in the present embodiment. The cryptographic communication system according to the present invention shown in the figure does not simply perform cryptographic management of the cryptographic communication system for each cryptographic communication path, but rather sets cryptographic communication paths between cryptographic devices based on identification information assigned to clients. By performing such negotiation and automatically updating the encryption management table of the encryption gateway device 105 by the negotiation, the encryption management by the encryption administrator is facilitated.
【0031】図1に示すように、この暗号通信システム
は、LAN100に日本人事サーバ101と、日本経理
サーバ102および103と、日本総務クライアント1
04と、暗号ゲートウエイ装置105と、暗号通信路管
理装置106とが接続されたものである。なお、この暗
号ゲートウエイ装置105およびインターネット107
を介して、LAN100に米国経理クライアント108
が接続される。As shown in FIG. 1, this cryptographic communication system includes a LAN 100 and a Japanese affairs server 101, Nippon Accounting servers 102 and 103, and a Japanese general affairs client 1
04, an encryption gateway device 105, and an encryption communication channel management device 106 are connected. Note that the encryption gateway device 105 and the Internet 107
To the LAN 100 via the US accounting client 108
Is connected.
【0032】LAN100は、日本国内に配設される総
務関連情報用のローカルエリアネットワークであり、日
本人事サーバ101は、各クライアントに人事情報を提
供するサーバである。なお、この日本人事サーバ101
は、日本用暗号アルゴリズムを採用する日本用暗号装置
101aを介してLAN100に接続される。日本経理
サーバ102および103は、各クライアントに経理情
報を提供するサーバであり、日本用暗号アルゴリズムを
採用する日本用暗号装置102aおよび103aを介し
てLAN100に接続される。The LAN 100 is a local area network for general affairs related information provided in Japan, and the Japanese affairs server 101 is a server that provides personnel information to each client. Note that this Japanese thing server 101
Is connected to the LAN 100 via a Japanese encryption device 101a that employs a Japanese encryption algorithm. The accounting servers 102 and 103 are servers that provide accounting information to each client, and are connected to the LAN 100 via encryption devices 102a and 103a for Japan that employ encryption algorithms for Japan.
【0033】日本総務クライアント104は、日本人事
サーバ101、日本経理サーバ102および103に人
事情報および経理情報をそれぞれアクセスするクライア
ント端末であり、日本用暗号装置101a、102aお
よび103aの暗号アルゴリズムを採用した暗号ソフト
ウエアを内蔵する。そして、この日本総務クライアント
104は、日本用暗号装置101aとの間に人事情報用
暗号経路110を構成するとともに、日本用暗号装置1
02aおよび日本用暗号装置103aとの間に経理情報
用暗号通信路111を構成する。The Japanese general affairs client 104 is a client terminal for accessing personnel information and accounting information to the Japanese affairs server 101 and the accounting servers 102 and 103, respectively, and employs the encryption algorithm of the Japanese encryption devices 101a, 102a and 103a. Built-in encryption software. The Japanese general affairs client 104 configures the personnel information encryption path 110 with the Japanese encryption device 101a, and the Japanese encryption device 1
A cryptographic communication channel 111 for accounting information is formed between the cryptographic device 02a and the cryptographic device 103a for Japan.
【0034】暗号ゲートウエイ装置105は、インター
ネット107を介して接続されたたとえば米国に所在す
る各クライアント108が、日本人事サーバ101、日
本経理サーバ102および103にアクセスする際の暗
号連接をおこなう暗号連接装置である。したがって、こ
の暗号ゲートウエイ装置105は、日本総務クライアン
ト104と同様に日本用暗号装置101a、102aお
よび103aの暗号アルゴリズムを採用した暗号ソフト
ウエアを内蔵するとともに、米国経理クライアント10
8が使用するインターネット用暗号アルゴリズムを採用
した暗号ソフトウエアを内蔵する。The cryptographic gateway device 105 is a cryptographic connection device for performing a cryptographic connection when each client 108 located in, for example, the United States, which is connected via the Internet 107, accesses the Japanese affairs server 101 and the accounting servers 102 and 103. It is. Accordingly, the cryptographic gateway device 105 incorporates cryptographic software that employs the cryptographic algorithm of the Japanese cryptographic devices 101a, 102a, and 103a, like the Japanese general affairs client 104, and the US accounting client 10
8 incorporates encryption software that employs an encryption algorithm for the Internet.
【0035】そして、この暗号ゲートウエイ装置105
では、日本用暗号装置101aとの間に人事情報用暗号
経路110を構成し、日本用暗号装置102aおよび日
本用暗号装置103aとの間に経理情報用暗号通信路1
11を構成するとともに、米国経理クライアント108
との間に、インターネット用暗号通信路112を構成す
る。なお、日本総務クライアント104のユーザが米国
に移動した場合には、図中に破線で示す暗号通信路11
3を別途構成する。Then, the encryption gateway device 105
In this example, a personnel information encryption path 110 is configured with the Japanese encryption apparatus 101a, and an accounting information encryption communication path 1 is defined between the Japanese encryption apparatus 102a and the Japanese encryption apparatus 103a.
11 and the US accounting client 108
, A cryptographic communication path 112 for the Internet is configured. When the user of the Japanese general affairs client 104 moves to the United States, the encrypted communication path 11 indicated by a broken line in FIG.
3 is configured separately.
【0036】暗号通信路管理装置106は、暗号通信シ
ステムを形成するハードウエアまたはソフトウエアで構
築された各暗号装置に対して情報種別IDを付与する装
置であり、ここでは人事情報の情報種別IDを「1」と
し、経理情報の情報種別IDを「2」とする。The cryptographic communication path management device 106 is a device for assigning an information type ID to each cryptographic device constructed by hardware or software forming the cryptographic communication system. Is “1”, and the information type ID of the accounting information is “2”.
【0037】上記構成を有する暗号通信システムを用い
ることにより、各暗号装置に対して情報種別IDを付与
し、付与した情報種別IDに基づいて暗号通信路を構成
することができる。By using the cryptographic communication system having the above configuration, it is possible to assign an information type ID to each encryption device and configure an encrypted communication path based on the assigned information type ID.
【0038】つぎに、図1に示した暗号通信路管理装置
106が各暗号装置に付与した情報種別IDについて説
明する。図2は、図1に示した暗号通信路管理装置10
6が各暗号装置に付与した情報種別IDを示す説明図で
ある。同図に示すように、米国経理クライアント108
は、経理情報のみを取り扱うため、この米国経理クライ
アント108の暗号ソフトウエアには情報種別「2」が
付与される。また、日本総務クライアント104は、人
事情報および経理情報の両者を取り扱うため、この日本
総務クライアント104の暗号ソフトウエアには情報種
別「1」および「2」が付与される。Next, the information type ID assigned to each encryption device by the encryption channel management device 106 shown in FIG. 1 will be described. FIG. 2 is a block diagram of the cryptographic communication path management device 10 shown in FIG.
FIG. 6 is an explanatory diagram showing an information type ID assigned to each encryption device. As shown in FIG.
Deals with only accounting information, the encryption software of the U.S. accounting client 108 is assigned an information type "2". Also, since the Japanese general affairs client 104 handles both personnel information and accounting information, the encryption software of the Japanese general affairs client 104 is assigned information types "1" and "2".
【0039】また、日本人事サーバ101は、人事情報
のみを取り扱うため、この日本人事サーバ101に対応
する日本用暗号装置101aには情報種別「1」が付与
され、また、日本経理サーバ102および103は、経
理情報のみを取り扱うため、この日本経理サーバ102
および103に対応する日本用暗号装置102aおよび
103aには情報種別「2」が付与される。Since the Japanese affairs server 101 handles only personnel affairs information, the information type "1" is assigned to the Japanese cryptographic device 101a corresponding to the Japanese affairs server 101. Handles only accounting information, so this Nippon Accounting Server 102
The information type “2” is assigned to the Japanese cryptographic devices 102 a and 103 a corresponding to and 103.
【0040】なお、各暗号装置間の暗号通信路を開設す
るために必要となる情報(送信元アドレスおよび宛先端
末アドレス)は、従来技術の欄で説明したように暗号管
理テーブルにあらかじめ設定することができるが、IPSE
C (IP Security Protocol)のように通信発生時点で、
関係する暗号装置間でネゴシエーションをおこなって暗
号通信路を開設することもできる。なお、このIPSEC の
ように通信発生時点で暗号通信路を開設する場合 に
は、図3に示すような暗号通信路を開設する相手を特定
するためのテーブルを事前に保持する必要がある。The information (source address and destination terminal address) required for establishing an encryption communication path between the encryption devices must be set in the encryption management table in advance as described in the section of the prior art. Can be, but IPSE
When communication occurs like C (IP Security Protocol),
Negotiation can be performed between related cryptographic devices to open a cryptographic communication channel. When an encrypted communication channel is established at the time of communication, as in IPSEC, it is necessary to hold in advance a table for specifying a party to establish an encrypted communication channel as shown in FIG.
【0041】このように、この暗号通信路管理装置10
6が各暗号装置に情報種別IDを付与すると、各暗号装
置が持つ暗号通信路開設のためのテーブル情報をシステ
ム構築時に設定すれば、その後更新する必要をなくすこ
とができる。As described above, the encrypted communication path management device 10
6 assigns the information type ID to each encryption device, and if the table information for establishing the encryption communication path possessed by each encryption device is set at the time of system construction, it is not necessary to update it later.
【0042】図3は、図1に示した暗号ゲートウエイ装
置105が保持する暗号通信路を開設する相手を特定す
るためのテーブルである。同図に示すテーブルを参照す
れば、米国経理クライアント108に対応する対向暗号
装置が米国経理クライアント108の暗号ソフトウエア
であり、その暗号アルゴリズムがインターネット用であ
り、また、日本総務クライアント104(移動後)に対
応する対向暗号装置が日本総務クライアント104(移
動後)の暗号ソフトウエアであり、その暗号アルゴリズ
ムがインターネット用であることが分かる。FIG. 3 is a table for specifying a partner who establishes a cryptographic communication channel held by the cryptographic gateway device 105 shown in FIG. Referring to the table shown in the figure, the opposite encryption device corresponding to the U.S.A. accounting client 108 is encryption software of the U.S.A. accounting client 108, the encryption algorithm is for the Internet, and the Japanese general affairs client 104 (after moving) ) Is the encryption software of the Japan General Affairs Client 104 (after moving), and it can be seen that the encryption algorithm is for the Internet.
【0043】なお、この日本総務クライアント104
は、通常は日本国内に所在するため、暗号ゲートウエイ
105が保持するテーブルに登録する必要がないが、か
かるテーブルの煩雑な更新を避けるために、あらかじめ
移動後の日本総務クライアント104をテーブルに登録
している。The Japanese general affairs client 104
Is usually located in Japan, so there is no need to register it in the table held by the cryptographic gateway 105. However, in order to avoid complicated updating of this table, the Japanese general affairs client 104 after moving is registered in the table in advance. ing.
【0044】また、日本人事サーバ101に対応する対
向暗号装置が日本用暗号装置101aであり、日本経理
サーバ102に対応する対向暗号装置が日本用暗号装置
102aであり、日本経理サーバ103に対応する対向
暗号装置が日本用暗号装置103aであることが分か
る。The opposite encryption device corresponding to the Japanese affairs server 101 is the Japanese encryption device 101a, the opposite encryption device corresponding to the Nippon Accounting server 102 is the Japanese encryption device 102a, and the corresponding Nippon accounting server 103. It can be seen that the opposite encryption device is the Japanese encryption device 103a.
【0045】つぎに、図1に示した米国経理クライアン
ト108と日本経理サーバ102との間の通信手順につ
いて説明する。図4は、図1に示した米国経理クライア
ント108と日本経理サーバ102との間の通信手順を
示すシーケンス図である。なお、ここでは暗号通信路の
開設をIPSEC のように通信発生時におこなう場合を示す
こととする。Next, a communication procedure between the US accounting client 108 and the Japanese accounting server 102 shown in FIG. 1 will be described. FIG. 4 is a sequence diagram showing a communication procedure between the U.S. accounting client 108 and the Nippon accounting server 102 shown in FIG. It should be noted that here, a case is shown in which an encryption communication channel is established when communication occurs, as in IPSEC.
【0046】同図に示すように、米国経理クライアント
108が日本経理サーバ102と通信をおこなう際に
は、まず最初に米国経理クライアント108が持つ情報
種別ID「2」を暗号ゲートウエイ装置105を介して
日本用暗号装置102aに通知する(ステップS40
1)。As shown in the figure, when the US accounting client 108 communicates with the Japanese accounting server 102, first, the information type ID “2” of the US accounting client 108 is transmitted via the encryption gateway device 105. Notify the Japanese encryption device 102a (step S40)
1).
【0047】そして、この情報種別IDを受信した日本
用暗号装置102bは、通知された情報種別IDと内部
に保持する情報種別IDとを比較して、情報種別IDの
精査をおこなう(ステップS402)。具体的には、両
者が一致した場合は、通信を許可する接続許可通知を発
行し(ステップS403)、情報種別IDが一致しない
場合は、接続を許可しない。Then, the Japanese encryption device 102b that has received the information type ID compares the notified information type ID with the information type ID held therein, and performs a close examination of the information type ID (step S402). . Specifically, when both match, a connection permission notice for permitting communication is issued (step S403), and when the information type IDs do not match, connection is not permitted.
【0048】そして、接続許可通知を受信した米国経理
クライアント108は、暗号ゲートウエイ装置105と
の間でインタネット用暗号通信路を開設する(ステップ
S404)。なお、この通信路開設の際に、暗号ゲート
ウエイ装置105に対して、情報種別IDが「2」の暗
号通信路であることを示す情報を同時に通知する。そし
て、米国経理クライアント108との間に暗号通信路を
開設した暗号ゲートウエイ装置105は、日本用暗号装
置102bとの間で日本用暗号通信路を開設する(ステ
ップS405)。Then, the U.S.A. accounting client 108 that has received the connection permission notification establishes an encrypted communication path for the Internet with the encryption gateway device 105 (step S404). At the time of establishing the communication path, the information indicating that the information type ID is “2” is simultaneously notified to the encryption gateway apparatus 105. Then, the cryptographic gateway device 105 that has established the cryptographic communication path with the US accounting client 108 opens the Japanese cryptographic communication path with the Japanese cryptographic device 102b (step S405).
【0049】そして、かかるインタネット用暗号通信路
および日本用暗号通信路を開設したならば、米国経理ク
ライアント108〜暗号ゲートウエイ装置105間でイ
ンターネット107を介した暗号化通信データの授受を
おこなうとともに(ステップS406)、暗号ゲートウ
エイ装置105〜日本用暗号装置102b間で日本国内
暗号による暗号化通信データの授受をおこない(ステッ
プS407)、この日本用暗号装置102bで復号化し
た平文の通信データを日本経理サーバ102に送信する
(ステップS408)。When the Internet cryptographic communication path and the Japanese cryptographic communication path are established, encrypted communication data is transmitted and received between the US accounting client 108 and the cryptographic gateway device 105 via the Internet 107 (step S406), encrypted communication data is transmitted and received between the encryption gateway device 105 and the Japanese encryption device 102b using the Japanese domestic encryption (step S407), and the plaintext communication data decrypted by the Japanese encryption device 102b is transmitted to the Nippon Accounting Server. The data is transmitted to the client 102 (step S408).
【0050】このように、この暗号通信システムでは、
暗号装置が暗号通信に先だっておこなわれる情報種別I
Dを用いた暗号通信路の確立を通じて、暗号ゲートウエ
イ装置105が暗号通信路の開設を自動的に判断するこ
ととしたので、暗号管理者による暗号管理テーブルの更
新負担を低減することができる。Thus, in this cryptographic communication system,
Information type I performed by the encryption device prior to encrypted communication
Since the encryption gateway device 105 automatically determines the establishment of the encryption communication path through the establishment of the encryption communication path using D, the burden of updating the encryption management table by the encryption administrator can be reduced.
【0051】なお、各暗号装置の暗号通信路の開設手順
については、使用する暗号通信路開設方式ごとに異なる
ため、これらの詳細な説明については省略するものとす
る。また、ここでは暗号通信路の開設に先立って情報種
別IDを比較することとしたが、暗号ゲートウエイ装置
105にあらかじめ中継すべき情報種別IDを設定し、
暗号通信路開設時に情報種別IDを比較するよう構成す
ることもできる。Note that the procedure for establishing the encryption communication path of each encryption device differs depending on the encryption communication path establishment method to be used, and a detailed description thereof will be omitted. Also, here, the information type ID is compared prior to the establishment of the encryption communication path, but the information type ID to be relayed is set in the encryption gateway device 105 in advance,
It is also possible to configure so that the information type ID is compared at the time of establishing the encrypted communication path.
【0052】つぎに、この暗号通信システムにおいて、
図1に示した日本総務クライアント104のユーザが米
国に移動した場合について説明する。図5は、図1に示
した日本総務クライアント104のユーザが米国に移動
した場合のシステム構成を示すブロック図である。Next, in this cryptographic communication system,
A case where the user of the Japanese general affairs client 104 shown in FIG. 1 has moved to the United States will be described. FIG. 5 is a block diagram showing a system configuration when the user of the Japanese general affairs client 104 shown in FIG. 1 moves to the United States.
【0053】同図に示すように、日本総務クライアント
104のユーザが米国に移動する場合には、日本用暗号
アルゴリズムを米国で使用することはできないため、こ
の日本総務クライアント104は移動に先立って、米国
経理クライアント108が持つインタネット用暗号アル
ゴリズムを採用した暗号ソフトウエアをインストールす
る。As shown in the figure, when the user of the Japanese general affairs client 104 moves to the United States, the Japanese general affairs client 104 cannot use the Japanese encryption algorithm in the United States. The encryption software that employs the Internet encryption algorithm of the US accounting client 108 is installed.
【0054】そして、この日本総務クライアント104
が米国に移動したならば、すでに説明した米国経理クラ
イアント108と同様に、通信に先立って自身の持つ情
報種別ID「1」または「2」を日本用暗号装置101
a〜103aに対して通知し、インタネット用暗号通信
路および日本用暗号通信路を開設する。この際、従来技
術で説明したような暗号ゲートウエイ装置105のテー
ブル設定変更作業は不要である。Then, this Japanese general affairs client 104
Has moved to the United States, the information type ID “1” or “2” owned by itself is transmitted to the Japanese cryptographic device 101 prior to communication, as in the case of the US accounting client 108 described above.
a to 103a, and establishes a cryptographic communication path for the Internet and a cryptographic communication path for Japan. At this time, the work of changing the table setting of the encryption gateway device 105 as described in the related art is unnecessary.
【0055】なお、上記一連の説明では、人事情報およ
び経理情報といった情報種別毎に情報種別IDを付与す
ることとしたが、本発明はこれに限定されるものではな
く、情報種別IDをサーバ単位でサーバIDとして付与
して、管理負荷の増加を抑制しつつきめ細かな暗号通信
路を実現することもできる。In the above series of descriptions, the information type ID is assigned to each information type such as personnel information and accounting information. However, the present invention is not limited to this. In addition, a detailed encryption communication path can be realized while suppressing an increase in management load by assigning a server ID as a server ID.
【0056】たとえば、日本人事サーバ101のサーバ
IDを「1」とし、日本経理サーバ102のサーバID
を「2」とし、日本経理サーバ103のサーバIDを
「3」をした場合には、図6に示すようなサーバIDを
各暗号装置が保持することになる。For example, the server ID of the Japanese affairs server 101 is set to “1”,
Is set to “2” and the server ID of the Nippon Accounting Server 103 is set to “3”, each encryption device holds a server ID as shown in FIG.
【0057】具体的には、米国経理クライアント108
は、経理情報のみを取り扱うため、この米国経理クライ
アント108の暗号ソフトウエアにはサーバID「2」
および「3」が付与され、日本総務クライアント104
は、人事情報および経理情報を取り扱うため、この日本
総務クライアント104の暗号ソフトウエアにはサーバ
ID「1」、「2」および「3」が付与される。Specifically, the US accounting client 108
Handles only accounting information, so the encryption software of the U.S. accounting client 108 has a server ID "2"
And "3" are assigned to the
Since the server handles personnel information and accounting information, server software IDs "1", "2" and "3" are assigned to the encryption software of the Japanese general affairs client 104.
【0058】また、日本用暗号装置101aは、日本人
事サーバ101に対応して設けられたものであるので、
この日本用暗号装置101aにはサーバID「1」が付
与され、日本用暗号装置102aは、日本経理サーバ1
02に対応して設けられたものであるので、この日本用
暗号装置102aにはサーバID「2」が付与され、日
本用暗号装置103aは、日本経理サーバ103に対応
して設けられたものであるので、この日本用暗号装置1
03aにはサーバID「3」が付与される。Since the Japanese encryption device 101a is provided corresponding to the Japanese affairs server 101,
A server ID “1” is assigned to the Japanese encryption device 101a, and the Japanese encryption device 102a is
02, the server ID “2” is assigned to the Japanese cryptographic device 102a, and the Japanese cryptographic device 103a is provided corresponding to the Nippon Accounting Server 103. So, this Japanese encryption device 1
03a is assigned a server ID “3”.
【0059】また、上記一連の説明では、情報種別ID
またはサーバIDをクライアント端末(日本総務クライ
アント104、米国経理クライアント108)に設定す
ることとしたが、本発明はこれに限定されるものではな
く、かかるIDをICカードなどの外部媒体に設定し、
これを各クライアントのユーザに渡すよう構成すること
もできる。かかるICカード等を用いると、たとえば日
本総務クライアント104のユーザが米国に移動する際
には、日本総務クライアント104のユーザ用のICカ
ードのみを米国に持ち出し、米国から日本国内の各サー
バにアクセスするに際しては、米国のクライアントマシ
ンにICカードを挿入すれば足りるので、移動時の利便
性が飛躍的に向上する。In the above series of descriptions, the information type ID
Alternatively, the server ID is set in the client terminal (Japan General Affairs Client 104, US Accounting Client 108), but the present invention is not limited to this, and the ID is set in an external medium such as an IC card,
This can be configured to be passed to the user of each client. When such an IC card or the like is used, for example, when the user of the Japanese general affairs client 104 moves to the United States, only the IC card for the user of the Japanese general affairs client 104 is taken out to the United States, and the United States accesses each server in Japan. In this case, it is sufficient to insert an IC card into a client machine in the United States, so that the convenience at the time of moving is greatly improved.
【0060】上述してきたように、本実施の形態では、
暗号通信路管理装置106が各暗号装置に対して情報種
別IDを付与し、付与した情報種別IDを用いて暗号ゲ
ートウエイ装置105を介した暗号連接をおこなうよう
構成したので、複数の異なる暗号アルゴリズムを連接使
用する場合に、ユーザの移動または追加などの構成変更
に伴って生ずる管理負荷を軽減することができる。As described above, in the present embodiment,
Since the cryptographic communication path management device 106 is configured to assign an information type ID to each encryption device and perform cryptographic concatenation via the encryption gateway device 105 using the assigned information type ID, a plurality of different encryption algorithms can be used. In the case of continuous use, it is possible to reduce a management load caused by a configuration change such as moving or adding a user.
【0061】なお、本実施の形態では、情報種別IDま
たはサーバIDをそのまま通知することとしたが、かか
るIDを暗号化して、セキュリティ強度をより高めるこ
ともできる。In the present embodiment, the information type ID or the server ID is notified as it is. However, the ID can be encrypted to further increase the security strength.
【0062】また、本実施の形態では、インタネット用
暗号アルゴリズムの暗号ソフトウエアと、日本国内用暗
号アルゴリズムの暗号ソフトウエアとを1台の暗号ゲー
トウエイ装置105にインストールすることとしたが、
本発明はこれに限定されるものではなく、この暗号ゲー
トウエイ装置105をインタネット用暗号装置と日本国
内用暗号装置の2台で構成することもできる。In this embodiment, the encryption software of the encryption algorithm for the Internet and the encryption software of the encryption algorithm for Japan are installed in one encryption gateway device 105.
The present invention is not limited to this, and the encryption gateway device 105 may be composed of two devices, an Internet encryption device and a Japanese domestic encryption device.
【0063】[0063]
【発明の効果】以上説明したように、この発明によれ
ば、第1の暗号装置、第2の暗号装置および第3の暗号
装置に所定の識別情報を付与し、第1の暗号装置、第2
の暗号装置および第3の暗号装置に付与された識別情報
に基づいて、クライアント−サーバ間の各暗号通信路を
開設するよう構成したので、クライアントが移動したよ
うな場合であっても、この識別情報によって暗号通信路
の開設を容易におこなうことができる。As described above, according to the present invention, predetermined identification information is given to the first encryption device, the second encryption device, and the third encryption device, and the first encryption device, 2
Is configured to open each encrypted communication path between the client and the server based on the identification information given to the third encryption device and the third encryption device. The information can be used to easily establish an encrypted communication path.
【0064】つぎの発明によれば、第1の情報および第
2の情報に異なる識別情報を割り当て、第1のサーバ、
第2のサーバおよび各クライアントが取り扱う情報の内
容に応じて、第1の暗号装置、第2の暗号装置および第
3の暗号装置に対応する識別情報を付与するよう構成し
たので、人事情報または経理情報といった情報の種別に
応じた識別情報を各暗号装置に付与することができる。According to the next invention, different identification information is assigned to the first information and the second information, and the first server
Since the identification information corresponding to the first encryption device, the second encryption device, and the third encryption device is provided in accordance with the content of the information handled by the second server and each client, personnel information or accounting is provided. Identification information corresponding to the type of information such as information can be given to each encryption device.
【0065】つぎの発明によれば、第1のサーバおよび
第2のサーバに異なる識別情報を割り当て、各クライア
ントがアクセスするサーバの種類に応じて、第1の暗号
装置、第2の暗号装置および第3の暗号装置に対して識
別情報を付与するよう構成したので、サービスを提供す
るサーバの種類に応じた識別情報を各暗号装置に付与す
ることができる。According to the next invention, different identification information is assigned to the first server and the second server, and the first encryption device, the second encryption device, and the second encryption device are assigned according to the type of server accessed by each client. Since the configuration is such that the identification information is assigned to the third encryption device, identification information corresponding to the type of server providing the service can be assigned to each encryption device.
【0066】つぎの発明によれば、所定の記録媒体を介
して識別情報を第1の暗号装置、第2の暗号装置および
第3の暗号装置に付与するよう構成したので、クライア
ントの移動時の利便性の向上を図ることができる。According to the next invention, the identification information is provided to the first encryption device, the second encryption device, and the third encryption device via the predetermined recording medium. Convenience can be improved.
【0067】つぎの発明によれば、第3の暗号装置の暗
号アルゴリズムが、第1の暗号アルゴリズムおよび第2
の暗号アルゴリズムと異なる場合に、付与された識別情
報に基づいて該暗号アルゴリズムを第1または第2の暗
号アルゴリズムと暗号連接するよう構成したので、暗号
ゲートウエイ装置が有するテーブルをクライアントの移
動に応じて頻繁に更新する必要をなくすことができる。According to the next invention, the encryption algorithm of the third encryption device is the first encryption algorithm and the second encryption algorithm.
When the encryption algorithm is different from the encryption algorithm, the encryption algorithm is configured to be cryptographically connected to the first or second encryption algorithm based on the assigned identification information. The need for frequent updates can be eliminated.
【図1】 本実施の形態で用いる暗号通信システムのシ
ステム構成を示すブロック図である。FIG. 1 is a block diagram showing a system configuration of a cryptographic communication system used in the present embodiment.
【図2】 図1に示した暗号通信路管理装置が各暗号装
置に付与した情報種別IDを示す説明図である。FIG. 2 is an explanatory diagram showing an information type ID assigned to each encryption device by an encryption channel management device shown in FIG. 1;
【図3】 図1に示した暗号ゲートウエイ装置が保持す
る暗号通信路を開設する相手を特定するためのテーブル
を示す説明図である。FIG. 3 is an explanatory diagram showing a table for specifying a partner who establishes a cryptographic communication channel held by the cryptographic gateway device shown in FIG. 1;
【図4】 図1に示した米国経理クライアントと日本経
理サーバとの間の通信手順を示すシーケンス図である。FIG. 4 is a sequence diagram showing a communication procedure between the US accounting client and the Nippon Accounting server shown in FIG. 1;
【図5】 図1に示した日本総務クライアントのユーザ
が米国に移動した場合のシステム構成を示すブロック図
である。FIG. 5 is a block diagram showing a system configuration when the user of the Japanese general affairs client shown in FIG. 1 moves to the United States.
【図6】 サーバごとに設けたサーバIDを説明するた
めの説明図である。FIG. 6 is an explanatory diagram for explaining a server ID provided for each server.
【図7】 暗号ゲートウエイ装置を配設した従来の暗号
通信システムの一例を示す図である。FIG. 7 is a diagram showing an example of a conventional cryptographic communication system provided with a cryptographic gateway device.
【図8】 図7に示した暗号ゲートウエイ装置が有する
暗号管理テーブルの一例を示す図である。8 is a diagram illustrating an example of an encryption management table included in the encryption gateway device illustrated in FIG. 7;
【図9】 図7に示した日本総務クライアントのユーザ
が米国へ移動した場合の暗号管理テーブルの一例を示す
図である。9 is a diagram illustrating an example of an encryption management table when the user of the Japanese general affairs client illustrated in FIG. 7 moves to the United States.
100 LAN、101 日本人事サーバ、102,1
03 日本経理サーバ、 101a,102a,103
a 日本用暗号装置、104 日本総務クライアント、
105 暗号ゲートウエイ装置、106 暗号通信路管
理装置、107インターネット、108 米国経理クラ
イアント、110 人事情報用暗号通信路、111 経
理情報用暗号通信路、112 インターネット用暗号通
信路、113 移動時に使用される暗号通信路。100 LAN, 101 Japanese Affairs Server, 102, 1
03 Nippon Accounting Server, 101a, 102a, 103
a Japanese cryptographic device, 104 Japanese general affairs client,
Reference Signs List 105 encryption gateway device, 106 encryption communication channel management device, 107 Internet, 108 US accounting client, 110 personnel information encryption communication channel, 111 accounting information encryption communication channel, 112 Internet encryption communication channel, 113 encryption used when moving Communication path.
フロントページの続き (72)発明者 後沢 忍 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5J104 AA32 DA03 EA26 NA36 PA07 5K030 GA15 HC01 HC14 HD03 HD07 9A001 CC07 EE03 JJ13 JJ25 KK56 LL03 Continuation of the front page (72) Inventor Shinobu Gozawa 2-3-2 Marunouchi, Chiyoda-ku, Tokyo F-term (reference) in Mitsubishi Electric Corporation 5J104 AA32 DA03 EA26 NA36 PA07 5K030 GA15 HC01 HC14 HD03 HD07 9A001 CC07 EE03 JJ13 JJ25 KK56 LL03
Claims (6)
応して配設された第1の暗号アルゴリズムを採用する第
1の暗号装置と、第2の情報を提供する第2のサーバに
対応して配設された第2の暗号アルゴリズムを採用する
第2の暗号装置と、前記第1のサーバ若しくは第2のサ
ーバからサービスを受ける複数のクライアントごとに配
設された前記第1または第2の暗号アルゴリズムと同一
または異なる暗号アルゴリズムを採用する複数の第3の
暗号装置とをネットワークで接続した暗号通信システム
において、 前記第1の暗号装置、第2の暗号装置および第3の暗号
装置に所定の識別情報を付与する識別情報付与手段と、 前記識別情報付与手段により前記第1の暗号装置、第2
の暗号装置および第3の暗号装置に付与された識別情報
に基づいて、クライアント−サーバ間の各暗号通信路を
開設する暗号通信路開設手段と、 を備えたことを特徴とする暗号通信システム。1. A first encryption device that employs a first encryption algorithm and is provided corresponding to a first server that provides first information, and a second server that provides second information. And a second encryption device that employs a second encryption algorithm provided in correspondence with the first or second client provided for each of a plurality of clients receiving services from the first server or the second server. In a cryptographic communication system in which a plurality of third cryptographic devices adopting the same or different cryptographic algorithm from the second cryptographic algorithm are connected via a network, the first cryptographic device, the second cryptographic device, and the third cryptographic device Identification information providing means for providing predetermined identification information to the first encryption device, the second encryption device,
And a cryptographic communication path opening means for opening each of the cryptographic communication paths between the client and the server based on the identification information given to the cryptographic apparatus and the third cryptographic apparatus.
よび第3の暗号装置は、前記第1のサーバ、第2のサー
バおよびクライアントと別個に設けた暗号装置または該
第1のサーバ、第2のサーバおよびクライアントにイン
ストールされた暗号ソフトウエアであることを特徴とす
る請求項1に記載の暗号通信システム。2. The first encryption device, the second encryption device, and the third encryption device may be encryption devices provided separately from the first server, the second server, and the client, or the first server. 2. The cryptographic communication system according to claim 1, wherein the cryptographic software is cryptographic software installed in the second server and the client.
報および第2の情報に異なる識別情報を割り当て、前記
第1のサーバ、第2のサーバおよび各クライアントが取
り扱う情報の内容に応じて、前記第1の暗号装置、第2
の暗号装置および第3の暗号装置に対応する識別情報を
付与することを特徴とする請求項1または2に記載の暗
号通信システム。3. The identification information assigning means assigns different identification information to the first information and the second information, and according to the contents of information handled by the first server, the second server, and each client. , The first encryption device, the second
The cryptographic communication system according to claim 1, wherein identification information corresponding to the first encryption device and the third encryption device is provided.
ーバおよび第2のサーバに異なる識別情報を割り当て、
各クライアントがアクセスするサーバの種類に応じて、
前記第1の暗号装置、第2の暗号装置および第3の暗号
装置に対して識別情報を付与することを特徴とする請求
項1または2に記載の暗号通信システム。4. The identification information assigning means assigns different identification information to the first server and the second server,
Depending on the type of server each client accesses,
3. The cryptographic communication system according to claim 1, wherein identification information is given to the first cryptographic device, the second cryptographic device, and the third cryptographic device.
体を介して前記識別情報を前記第1の暗号装置、第2の
暗号装置および第3の暗号装置に付与することを特徴と
する請求項1〜4のいずれか一つに記載の暗号通信シス
テム。5. The apparatus according to claim 1, wherein the identification information assigning means assigns the identification information to the first encryption device, the second encryption device, and the third encryption device via a predetermined recording medium. Item 5. The encryption communication system according to any one of Items 1 to 4.
アルゴリズムおよび第2の暗号アルゴリズムと異なる暗
号アルゴリズムを採用する場合に、該暗号アルゴリズム
を前記第1または第2の暗号アルゴリズムと暗号連接す
る暗号ゲートウエイ装置をさらに具備し、該暗号ゲート
ウエイ装置は、前記識別情報付与手段により付与された
識別情報に基づいて前記第3の暗号装置の暗号アルゴリ
ズムを前記第1または第2の暗号アルゴリズムと暗号連
接することを特徴とする請求項1〜5のいずれか一つに
記載の暗号通信システム。6. When the third encryption device employs an encryption algorithm different from the first encryption algorithm and the second encryption algorithm, the third encryption device encrypts the encryption algorithm with the first or second encryption algorithm. A cryptographic gateway device connected to the third cryptographic device, the cryptographic gateway device changing the cryptographic algorithm of the third cryptographic device to the first or second cryptographic algorithm based on the identification information provided by the identification information providing means; The cryptographic communication system according to any one of claims 1 to 5, wherein cryptographic connection is performed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11159522A JP2000347565A (en) | 1999-06-07 | 1999-06-07 | Cipher communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11159522A JP2000347565A (en) | 1999-06-07 | 1999-06-07 | Cipher communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000347565A true JP2000347565A (en) | 2000-12-15 |
Family
ID=15695614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11159522A Pending JP2000347565A (en) | 1999-06-07 | 1999-06-07 | Cipher communication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000347565A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044664A (en) * | 2007-08-10 | 2009-02-26 | Fujitsu Ltd | Program for controlling communication device, and communication device |
-
1999
- 1999-06-07 JP JP11159522A patent/JP2000347565A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044664A (en) * | 2007-08-10 | 2009-02-26 | Fujitsu Ltd | Program for controlling communication device, and communication device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210218716A1 (en) | Secure end-to-end transport through intermediary nodes | |
| US5732137A (en) | Method and apparatus for secure remote authentication in a public network | |
| CA2194421C (en) | Cryptosystem | |
| US5416842A (en) | Method and apparatus for key-management scheme for use with internet protocols at site firewalls | |
| US5812671A (en) | Cryptographic communication system | |
| JP3263878B2 (en) | Cryptographic communication system | |
| EP1484856B1 (en) | Method for distributing encryption keys in wireless lan | |
| US7443983B2 (en) | Communication apparatus and method | |
| US5633933A (en) | Method and apparatus for a key-management scheme for internet protocols | |
| JP4331848B2 (en) | Security method for communication network and secure data transfer method | |
| KR101438243B1 (en) | Sim based authentication | |
| EP0693836A1 (en) | Method and apparatus for a key-management scheme for internet protocols. | |
| US20110004759A1 (en) | Mass subscriber management | |
| US20040161110A1 (en) | Server apparatus, key management apparatus, and encrypted communication method | |
| EP1374533B1 (en) | Facilitating legal interception of ip connections | |
| US7055170B1 (en) | Security mechanism and architecture for collaborative software systems using tuple space | |
| US6396929B1 (en) | Apparatus, method, and computer program product for high-availability multi-agent cryptographic key recovery | |
| US20030007645A1 (en) | Method and system for allowing a sender to send an encrypted message to a recipient from any data terminal | |
| US7526560B1 (en) | Method and apparatus for sharing a secure connection between a client and multiple server nodes | |
| JPH10327193A (en) | Encipherment system | |
| JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
| KR20030050881A (en) | Key Management Method for Wireless LAN | |
| JPH09294120A (en) | Access control method and system for ciphered shared data | |
| JP2000347565A (en) | Cipher communication system | |
| EP1615402B1 (en) | Identification and authentication system and method for a secure data exchange |