JP2001007797A - 暗号通信システム - Google Patents

暗号通信システム

Info

Publication number
JP2001007797A
JP2001007797A JP11174149A JP17414999A JP2001007797A JP 2001007797 A JP2001007797 A JP 2001007797A JP 11174149 A JP11174149 A JP 11174149A JP 17414999 A JP17414999 A JP 17414999A JP 2001007797 A JP2001007797 A JP 2001007797A
Authority
JP
Japan
Prior art keywords
encryption
key
information
packet
encryption key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11174149A
Other languages
English (en)
Inventor
Norimitsu Nagashima
規充 永島
Akira Watanabe
晃 渡邊
Toru Inada
徹 稲田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP11174149A priority Critical patent/JP2001007797A/ja
Publication of JP2001007797A publication Critical patent/JP2001007797A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Communication Control (AREA)

Abstract

(57)【要約】 【課題】 端末上で複数のアプリケーションが動作する
場合に、各アプリケーションごとにきめ細かな暗号通信
の設定を可能とし、もって暗号強度の維持と処理遅延の
解消を図ることができる暗号通信システムを提供するこ
と。 【解決手段】 送信相手とアプリケーションに対応する
暗号鍵が通信制御テーブル116に存在しない場合に、
自動学習処理部117による鍵探索パケットを用いたア
プリケーションデータに対する暗号鍵情報の収集結果を
通信制御テーブル116に自動的に登録し、登録した内
容にしたがって通信データを処理する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、少なくとも端末
情報と暗号鍵情報とを対応づけて登録したテーブルを有
する暗号装置を介して複数の端末装置がネットワークに
接続された暗号通信システムに関し、特に、端末装置上
で複数のアプリケーションが動作する場合に、各アプリ
ケーションごとにきめ細かな暗号通信の設定を可能と
し、もって暗号強度の維持と処理遅延の解消する暗号通
信システムに関する。
【0002】
【従来の技術】近年のインターネットおよびイントラネ
ットの普及に伴ってネットワークがオープン化される傾
向が強くなってきたため、ネットワーク上を流れる各種
データの機密を保護する暗号化技術が脚光を浴びてい
る。
【0003】このため、特開平9−252294号公報
では、暗号装置内部に保持しているアプリケーション種
別、通信データの宛先、送信元アドレスの一方あるいは
その両方に対応した暗号鍵を登録した暗号テーブルに従
ってデータを暗号化、復号する暗号化技術が提案されて
いる。
【0004】ところが、この従来技術によれば、ネット
ワーク管理者がネットワーク構成などを考慮して各暗号
装置ごとに異なる暗号鍵テーブルを設定する必要がある
ため、ネットワークが大規模になればなるほど通信端末
が累増し、暗号鍵テーブルの設定に多大の労力を要する
という問題がある。
【0005】このため、本件出願人が出願した特願平9
−143755号には、暗号鍵探索パケットを用いて通
信端末間の通信経路上の暗号装置の暗号鍵情報を収集
し、収集した暗号鍵情報に基づいて暗号鍵情報を自動的
に通信制御テーブルに登録し、通信端末間の通信データ
を各暗号装置が暗号化、復号および平文中継する暗号通
信システムが開示されている。
【0006】図24は、暗号装置が接続された従来の暗
号通信システムの一例を示す説明図である。同図に示す
システム構成において、VPN−Aを形成する暗号装置
C1および暗号装置C2には暗号鍵KEY1が配送さ
れ、VPN−Bを形成する暗号装置C2および暗号装置
C3には暗号鍵KEY2が配送された状況を示してい
る。なお、VPN(Virtual Private Network )とは、
ネットワーク上に暗号通信路を設定し、仮想的な専用線
として使用できるようにする技術である。
【0007】そして、端末Aから通信データを受信した
暗号装置C1は、この通信データを内部に保持するとと
もに、自身が持つ暗号鍵KEY1を設定した図26に示
すフォーマットからなる暗号鍵探索パケットをサーバS
に送信する。また、鍵探索パケットを受信した暗号装置
C2は、自身が持つ暗号鍵(KEY1、KEY2)を鍵
探索パケットに追加して中継し、この鍵探索パケットを
受信したサーバSは、応答パケットを暗号装置C1宛て
に送信する。
【0008】そして、暗号装置C2では、応答パケット
の情報から端末A〜サーバS間の通信データをKEY1
で暗号化および復号することを決定して、応答パケット
を中継する。また、暗号装置C1においても、応答パケ
ットの情報から端末A〜サーバS間の通信データをKE
Y1で暗号化および復号することを決定する。このた
め、この従来技術を用いると、暗号装置が自動的に暗号
鍵を学習し、これによってネットワーク管理者の負荷を
軽減することができる。
【0009】なお、このサーバSが、ファイル転送サー
バ、電子メールサーバおよびWWW(World Wide Web)
サーバとして動作している場合には、端末A〜サーバS
および端末B〜サーバS間の通信をおこなう際に、図2
5に示すような通信制御テーブルが用いられる。
【0010】
【発明が解決しようとする課題】しかしながら、かかる
従来技術によれば、通信データの送信元および宛先のペ
アに関する暗号鍵探索をおこなうので、1つの端末上で
複数のアプリケーションが動作するような場合であって
も、各アプリケーションごとに異なる暗号化処理をおこ
なうことができないという問題がある。
【0011】たとえば、図25に示すような通信制御テ
ーブルを用いる場合には、あるアプリケーションデータ
(たとえばファイル転送データ)を暗号化して転送し、
他のアプリケーションデータ(たとえば電子メール)を
平文で転送するというような使い分けをおこなうことが
できない。また、ファイル転送データと電子メールとを
異なる暗号鍵で暗号化することができず、同じ暗号鍵で
暗号化せざるを得ない結果となる。
【0012】本来、通信対象となるデータの中には、高
いセキュリティ強度を保持せねばならないデータと、あ
まりセキュリティ強度を要求されないデータとが混在す
るため、上記従来技術を用いてこれらのデータを一律に
取り扱うこととしたのでは、かえって暗号の強度が低下
するおそれがあり、また処理遅延が問題となる可能性も
ある。
【0013】本発明は、上述した課題(問題点)を解決
するためになされたものであり、端末上で複数のアプリ
ケーションが動作する場合に、各アプリケーションごと
にきめ細かな暗号通信の設定を可能とし、もって暗号強
度の維持と処理遅延の解消を図ることができる暗号通信
システムを得ることを目的とする。
【0014】
【課題を解決するための手段】上記目的を達成するため
に、この発明にかかる暗号通信システムは、少なくとも
端末情報と暗号鍵情報とを対応づけて登録したテーブル
を有する暗号装置を介して複数の端末装置がネットワー
クに接続された暗号通信システムにおいて、各暗号装置
は、前記端末装置から通信データを受信した際に、端末
情報およびアプリケーション種別に対応する暗号鍵情報
が前記テーブルに存在するか否かを確認する確認手段
と、前記確認手段により該当する暗号鍵情報が登録され
ていないと確認された場合には、通信データの端末情
報、アプリケーション種別および暗号鍵情報を設定した
鍵探索パケットを送信する鍵探索パケット送信手段と、
前記鍵探索パケット送信手段により送信された鍵探索パ
ケットに応答して宛先端末装置から返送される鍵探索応
答パケットに基づいて、前記鍵探索パケットの送信元の
暗号装置並びに該鍵探索パケットを中継する中継経路上
に位置する各暗号装置のテーブルに前記アプリケーショ
ン種別に対応する暗号鍵情報を設定する設定手段と、を
備えたことを特徴とする。
【0015】この発明によれば、各暗号装置が、端末装
置から通信データを受信した際に、端末情報およびアプ
リケーション種別に対応する暗号鍵情報がテーブルに存
在するか否かを確認し、該当する暗号鍵情報が登録され
ていないことを確認した場合には、通信データの端末情
報、アプリケーション種別および暗号鍵情報を設定した
鍵探索パケットを送信し、送信した鍵探索パケットに応
答して宛先端末装置から返送される鍵探索応答パケット
に基づいて、鍵探索パケットの送信元の暗号装置並びに
該鍵探索パケットを中継する中継経路上に位置する各暗
号装置のテーブルにアプリケーション種別に対応する暗
号鍵情報を設定することとしたので、端末上で複数のア
プリケーションが動作する場合に、各アプリケーション
ごとにきめ細かな暗号通信の設定を可能とし、もって暗
号強度の維持と処理遅延の解消を図ることができる。
【0016】つぎの発明にかかる暗号通信システムは、
前記中継経路上の暗号装置は、各暗号装置にあらかじめ
設定されている暗号鍵情報のうちの前記鍵探索パケット
で示されるアプリケーション種別に対応する暗号鍵情報
を前記鍵探索パケットに付加し、付加した鍵探索パケッ
トを宛先端末宛てに中継することを特徴とする。
【0017】この発明によれば、中継経路上の暗号装置
は、各暗号装置にあらかじめ設定されている暗号鍵情報
のうちの鍵探索パケットで示されるアプリケーション種
別に対応する暗号鍵情報を鍵探索パケットに付加し、付
加した鍵探索パケットを宛先端末宛てに中継するようこ
ととしたので、中継経路上の各暗号装置が有するアプリ
ケーション種別に対応する暗号鍵情報を効率良く収集す
ることができる。
【0018】つぎの発明にかかる暗号通信システムは、
前記中継経路上の暗号装置は、中継する通信データの端
末情報およびアプリケーション種別に対応する暗号鍵情
報が前記テーブルに登録されていない場合に、該通信デ
ータの送信元端末装置に鍵探索パケットの発信を要求す
る少なくともアプリケーション種別を有する鍵探索要求
パケットを送信する鍵探索要求パケット送信手段をさら
に備え、前記通信データの送信元端末装置は、前記鍵探
索要求パケットに応答して鍵探索要求応答パケットを送
信する鍵探索要求応答パケット送信手段をさらに備えた
ことを特徴とする。
【0019】この発明によれば、中継経路上の暗号装置
は、中継する通信データの端末情報およびアプリケーシ
ョン種別に対応する暗号鍵情報がテーブルに登録されて
いない場合に、該通信データの送信元端末装置に鍵探索
パケットの発信を要求する少なくともアプリケーション
種別を有する鍵探索要求パケットを送信し、通信データ
の送信元端末装置は、この鍵探索要求パケットに応答し
て鍵探索要求応答パケットを送信することとしたので、
中継経路上の暗号装置から鍵探索パケットの送信を要請
することができ、もってテーブルの内容を消去してしま
ったような場合に効率良く対応することができる。
【0020】つぎの発明にかかる暗号通信システムは、
前記鍵探索パケットおよび鍵探索応答パケットは、送信
元端末アドレス、宛先端末アドレス、アプリケーション
種別、ローカルポート暗号鍵情報およびパブリックポー
ト暗号鍵情報を少なくとも有し、各暗号装置は、該暗号
装置に対応する端末装置向けのローカルポートと、前記
ネットワーク向けのパブリックポートとを備え、前記ロ
ーカルポートから前記鍵探索パケットを受信した際に、
該鍵探索パケット内のアプリケーション種別に対応する
暗号鍵情報を前記ローカルポート暗号鍵情報に設定し、
前記パブリックポートから前記鍵探索パケットを受信し
た際に、該鍵探索パケット内のアプリケーション種別に
対応する暗号鍵情報を前記パブリックポート暗号鍵情報
に設定することを特徴とする。
【0021】この発明によれば、鍵探索パケットおよび
鍵探索応答パケットは、送信元端末アドレス、宛先端末
アドレス、アプリケーション種別、ローカルポート暗号
鍵情報およびパブリックポート暗号鍵情報を少なくとも
有し、各暗号装置は、該暗号装置に対応する端末装置向
けのローカルポートと、ネットワーク向けのパブリック
ポートとを備え、ローカルポートから鍵探索パケットを
受信した際に、該鍵探索パケット内のアプリケーション
種別に対応する暗号鍵情報をローカルポート暗号鍵情報
に設定し、パブリックポートから鍵探索パケットを受信
した際に、該鍵探索パケット内のアプリケーション種別
に対応する暗号鍵情報をパブリックポート暗号鍵情報に
設定することとしたので、ローカルポートおよびパブリ
ックポートに区別して暗号鍵情報を鍵探索パケットに効
率良く取り込むことができる。
【0022】つぎの発明にかかる暗号通信システムは、
前記中継経路上の各暗号装置は、前記鍵探索応答パケッ
トを前記パブリックポートから受信した際に、前記パブ
リックポート暗号鍵情報に暗号鍵情報が存在しなけれ
ば、透過中継を示す暗号鍵情報を前記テーブルに登録す
ることを特徴とする。
【0023】この発明によれば、中継経路上の各暗号装
置は、鍵探索応答パケットをパブリックポートから受信
した際に、パブリックポート暗号鍵情報に暗号鍵情報が
存在しなければ、透過中継を示す暗号鍵情報をテーブル
に登録することとしたので、パブリックポートの暗号鍵
情報に基づいて透過中継するか否かを切り替えることが
できる。
【0024】つぎの発明にかかる暗号通信システムは、
前記中継経路上の各暗号装置は、前記テーブルに登録さ
れた暗号鍵情報を用いた通信が所定時間以上行われなけ
れば、当該テーブルから該当する暗号鍵情報を消去する
消去手段をさらに備えたことを特徴とする。
【0025】この発明によれば、中継経路上の各暗号装
置は、テーブルに登録された暗号鍵情報を用いた通信が
所定時間以上行われなければ、当該テーブルから該当す
る暗号鍵情報を消去することとしたので、端末の移動な
どによって使用されなくなった暗号鍵情報を消去し、も
ってテーブルの容量を低減して該当する暗号鍵を迅速に
検索することができる。
【0026】つぎの発明にかかる暗号通信システムは、
前記鍵探索パケットは、前記テーブルに登録された暗号
鍵情報の保持時間を有し、各暗号装置は、鍵探索された
暗号鍵情報を前記テーブルに登録する際に該暗号鍵情報
の保持時間を合わせて登録し、当該暗号鍵情報を用いた
通信が前記保持時間以上行われない場合には、当該暗号
鍵情報を前記テーブルから削除することを特徴とする。
【0027】この発明によれば、鍵探索パケットは、テ
ーブルに登録された暗号鍵情報の保持時間を有し、各暗
号装置は、鍵探索された暗号鍵情報をテーブルに登録す
る際に該暗号鍵情報の保持時間を合わせて登録し、当該
暗号鍵情報を用いた通信が保持時間以上行われない場合
には、当該暗号鍵情報をテーブルから削除することとし
たので、不要な暗号鍵情報を効率良く削除することがで
きる。
【0028】つぎの発明にかかる暗号通信システムは、
前記鍵探索パケットは、暗号鍵のバージョン情報を有
し、各暗号装置は、暗号鍵のバージョン情報が一致する
場合にのみ前記鍵探索パケットで取得した暗号鍵を前記
テーブルに登録することを特徴とする。
【0029】この発明によれば、鍵探索パケットは、暗
号鍵のバージョン情報を有し、各暗号装置は、暗号鍵の
バージョン情報が一致する場合にのみ鍵探索パケットで
取得した暗号鍵をテーブルに登録することとしたので、
バージョンの違う鍵が混在するケースが生じることを防
ぐことができる。
【0030】つぎの発明にかかる暗号通信システムは、
前記鍵探索パケットは、送信元端末装置および宛先端末
装置間の通信状況を示すステータス情報をさらに有し、
各暗号装置は、当該ステータス情報に基づいて通信デー
タの処理方式を前記テーブルに登録することを特徴とす
る。
【0031】この発明によれば、鍵探索パケットは、送
信元端末装置および宛先端末装置間の通信状況を示すス
テータス情報をさらに有し、各暗号装置は、当該ステー
タス情報に基づいて通信データの処理方式をテーブルに
登録することとしたので、あるVPNに属する端末装置
がサーバなどを踏み台にして他のVPNに属する端末装
置に侵入することを防ぐことができる。
【0032】つぎの発明にかかる暗号通信システムは、
前記ステータス情報が変化した際に、前記中継経路上の
暗号装置に変更を通知し、該通知を受けた暗号装置は、
通知された内容に基づいて前記テーブルを変更すること
を特徴とする。
【0033】この発明によれば、ステータス情報が変化
した際に、中継経路上の暗号装置に変更を通知し、該通
知を受けた暗号装置は、通知された内容に基づいてテー
ブルを変更することとしたので、ステータス情報の変化
に応じて迅速にテーブルを更新することができる。
【0034】
【発明の実施の形態】以下に添付図面を参照して、この
発明にかかる暗号通信システムの好適な実施の形態を詳
細に説明する。なお以下では、サーバが、ファイル転送
サービス、WWWサービスおよび電子メールサービスを
おこなうことができる場合について説明することとす
る。
【0035】実施の形態1.図1は、この実施の形態1
で用いる暗号通信システムのシステム構成を示すブロッ
ク図である。図1に示す暗号通信システムは、端末A、
サーバSおよび端末Bが、それぞれ暗号装置11、暗号
装置12および暗号装置13を介してネットワーク10
に接続されたものである。
【0036】端末A、端末BおよびサーバSは、いずれ
も複数のアプリケーションを実行することができる装置
であり、具体的には、端末Aには、ファイル転送および
電子メールのアプリケーションがインストールされ、端
末Bには、WWWおよび電子メールのアプリケーション
がインストールされ、サーバSには、ファイル転送、W
WWおよび電子メールのアプリケーションがインストー
ルされている。
【0037】また、暗号装置11および暗号装置12は
VPN−Aを形成し、暗号装置12および暗号装置13
はVPN−Bを形成する。すなわち、暗号装置12は、
VPN−AおよびVPN−Bに多重に帰属する。
【0038】具体的には、暗号装置11および暗号装置
12には、このVPN−Aで使用する暗号鍵KEY1が
配送され、暗号装置12および暗号装置13には、VP
N−Bで使用する暗号鍵KEY2が配送されており、こ
れらの暗号鍵を用いて暗号通信をおこなうアプリケーシ
ョン種別が設定されている。なお、本実施の形態では、
ファイル転送で使用する暗号鍵をKEY1とし、WWW
で使用する暗号鍵をKEY2とし、電子メールについて
は透過中継するよう設定されているものとする。
【0039】つぎに、図1に示す暗号装置11、12お
よび13の構成について説明する。なお、これらの暗号
装置11、12および13の構成はそれぞれ同様のもの
となるので、ここでは暗号装置11についてのみ説明す
る。
【0040】図2は、図1に示した暗号装置11の構成
を示す機能ブロック図である。同図に示すように、この
暗号装置11は、パブリックポート111と、送受信処
理部112と、暗号化・復号処理部113と、透過中継
部114と、廃棄部115と、通信制御テーブル116
と、自動学習処理部117と、送受信処理部118と、
ローカルポート119とからなる。
【0041】パブリックポート111は、暗号装置11
をネットワーク10に接続するための通信ポートであ
り、ローカルポート119は、暗号装置11を端末Aに
接続するための通信ポートである。
【0042】なお、これらのポート111および119
は、暗号装置11が通信データを暗号化するのか復号す
るのかを識別する役割をも有しており、暗号装置11
は、パブリックポート111から受信した通信データを
復号してローカルポート119に送信するとともに、ロ
ーカルポート119から受信した通信データを暗号化し
てパブリックポート111に送信する。
【0043】送受信処理部112は、ネットワーク10
を介して他の装置とデータの送受信処理をおこなうイン
ターフェース部であり、送受信処理部118は、端末A
とデータの送受信処理をおこなうインターフェース部で
ある。
【0044】暗号化・復号処理部113は、所定の暗号
アルゴリズムを用いて通信データの暗号化および復号を
おこなう処理部である。なお、本実施の形態では、この
暗号アルゴリズムはいかなるものでも良く、たとえばD
ES等の慣用暗号系を用いることができる。
【0045】透過中継部114は、通信データを透過的
に中継する処理部であり、具体的には、本実施の形態で
は、電子メールが暗号化処理の対象とはしていないた
め、パブリックポート111またはローカルポート11
9から受信した電子メールは、この透過中継部114を
介してそのまま出力される。
【0046】廃棄部115は、通信データを必要に応じ
て廃棄する処理部であり、通信制御テーブル116は、
通信データの処理方式を示すデータを登録したテーブル
である。なお、この通信制御テーブル116の内容は、
自動学習処理部117の処理結果などに基づいて適宜自
動的に更新される。
【0047】自動学習処理部117は、通信相手の暗号
鍵がわからない場合に鍵探索を自動的におこなう処理部
であり、具体的には、自装置の通信制御テーブル116
内に通信相手の該当するアプリケーションの暗号鍵が登
録されていない場合には、鍵探索パケットを用いて該通
信相手のアプリケーション種別に対応する暗号鍵を探索
する。
【0048】図3は、この自動学習処理部117によっ
て処理される鍵探索パケットのパケットフォーマットの
一例を示す説明図である。同図に示すように、この鍵探
索パケット30は、パケットの識別子が含まれるヘッダ
31、鍵探索パケットの宛先アドレス32、送信元アド
レス33、アプリケーション種別34、ローカルポート
暗号鍵情報35およびパブリックポート暗号鍵情報36
からなる。
【0049】なお、この鍵探索パケット30に応答して
返送される鍵探索応答パケットのパケットフォーマット
についても同様に構成され、具体的には、このヘッダ3
1に鍵検索応答パケットを示すデータが付加される。
【0050】上記構成を有する暗号装置を用いることに
より、鍵探索パケットを用いて通信相手の該当するアプ
リケーションの暗号鍵を自動探索し、通信制御テーブル
116の内容を自動更新することができる。
【0051】つぎに、図1に示した暗号通信システムの
鍵探索時の通信手順について図4を用いて説明する。図
4は、図1に示した暗号通信システムの鍵探索時の通信
手順を示すシーケンス図である。なおここでは、端末A
からサーバSにファイル転送をおこなう場合を示すこと
とする。
【0052】同図に示すように、端末AがサーバSに対
してファイル転送をおこなう場合には、まず最初に端末
Aがファイル転送をおこなう通信データ(以下「ファイ
ル転送通信データ」と言う)を暗号装置11に対して送
信する(ステップS401)。
【0053】そして、暗号装置11が、ファイル転送通
信データを受信したならば、この通信データの送信元、
宛先端末アドレスおよびアプリケーション種別が通信制
御テーブル116に登録されているか否かを調べ、通信
制御テーブル116に登録されていない場合には、アプ
リケーション種別および暗号鍵情報を付加した鍵探索パ
ケットをネットワーク10を介して暗号装置12に送信
し(ステップS402)、この鍵探索パケットを受信し
た暗号装置12は、サーバSに鍵探索パケットを中継す
る(ステップS403)。
【0054】そして、この鍵探索パケットを受信したサ
ーバSは、鍵探索パケットの送信元である暗号装置11
宛てに鍵探索応答パケットを返送し(ステップS40
4)、この鍵探索応答パケットを受信した暗号装置12
は、この鍵探索応答パケット内の暗号鍵を必要に応じて
通信制御テーブル116に登録しつつ、該鍵探索応答パ
ケットを暗号装置11に中継する(ステップS40
5)。
【0055】そして、この鍵探索応答パケットを受信し
た暗号装置11は、この鍵探索応答パケット含まれる暗
号鍵を通信制御テーブル116に登録した後、この暗号
鍵でファイル転送通信データを暗号化し、暗号化データ
を暗号装置12に送信する(ステップS406)。
【0056】そして、この暗号化データを受信した暗号
装置12は、この暗号データを該当する暗号鍵を用いて
復号して元のファイル転送通信データとした後に、この
ファイル転送通信データをサーバSに対して送信する
(ステップS407)。
【0057】このように、この暗号通信システムでは、
該当する宛先端末の該当するアプリケーション種別に対
応する暗号鍵が存在しない場合に、鍵探索パケットを用
いた暗号鍵の探索をおこなうこととしたので、アプリケ
ーションごとに暗号鍵を設定することができる。
【0058】つぎに、図1に示した暗号装置12が有す
る通信制御テーブル116の一例について説明する。図
5は、図1に示した暗号装置12が有する通信制御テー
ブル116の一例を示す説明図である。
【0059】同図に示すように、この通信制御テーブル
116は、通信端末およびアプリケーション種別によっ
て異なる処理方式が規定されており、具体的には、通信
端末が「端末A〜サーバS」であり、かつ、アプリケー
ション種別が「ファイル転送」である場合には、暗号鍵
KEY1を用いた暗号通信が処理方式となり、通信端末
が「端末A〜サーバS」であり、かつ、アプリケーショ
ン種別が「電子メール」である場合には、暗号処理を伴
わない平文通信が処理方式となる。
【0060】また、通信端末が「端末B〜サーバS」で
あり、かつ、アプリケーション種別が「WWW」である
場合には、暗号鍵KEY2を用いた暗号通信が処理方式
となり、通信端末が「端末B〜サーバS」であり、か
つ、アプリケーション種別が「電子メール」である場合
には、暗号処理を伴わない平文通信が処理方式となる。
【0061】このように、この通信制御テーブル116
を用いることにより、同じ通信端末の場合であっても、
アプリケーション種別に応じて暗号通信または平文通信
を使い分けることができる。
【0062】つぎに、図1に示す暗号装置11〜13の
処理手順について図6〜図8を用いてさらに詳細に説明
する。図6は、図1に示す暗号装置11〜13が通信デ
ータを受信した場合の処理手順を示すフローチャートで
ある。同図に示すように、暗号装置11が端末Aから通
信データを受信したならば、この通信データの送信元、
宛先端末アドレスおよびアプリケーション種別が通信制
御テーブル116内に登録されているか否かを調べる
(ステップS601)。
【0063】そして、通信制御テーブル116内に登録
されていない場合には(ステップS601否定)、アプ
リケーション種別に対応する鍵情報を付加した鍵探索パ
ケットを送信し(ステップS602)、通信制御テーブ
ル116内に登録されている場合には(ステップS60
1肯定)、通信制御テーブルにしたがった処理をおこな
う(ステップS603)。なお、かかる処理は、パブリ
ックポート111またはローカルポート119のいずれ
のポートから通信データを受信した場合も同じである。
【0064】図7は、ローカルポート119から鍵検索
応答パケットを受信した場合の処理手順を示すフローチ
ャートである。同図に示すように、暗号装置12がロー
カルポート119から鍵検索応答パケットを受信した場
合には、自身が保持する暗号鍵および該暗号鍵を使用す
るアプリケーション種別と一致する情報が鍵検索応答パ
ケットのローカルポート暗号鍵情報に設定されているか
否かを確認する(ステップS701)。
【0065】そして、一致する情報があれば(ステップ
S701肯定)、一致した暗号鍵で通信データを暗号化
する旨を決定し、一致した暗号鍵、送信元、宛先アドレ
スおよびアプリケーション種別を通信制御テーブル11
6に登録する(ステップS702)。これに対して、一
致する情報がない場合には(ステップS701否定)、
処理を廃棄とする旨を決定して通信制御テーブル116
に登録する(ステップS703)。
【0066】そして、決定した処理内容を鍵探索応答パ
ケットに設定し(ステップS704)、設定した鍵探索
応答パケットをネットワークを介して要求元の暗号装置
11に中継する(ステップS705)。
【0067】図8は、パブリックポート111から鍵検
索応答パケットを受信した場合の処理手順を示すフロー
チャートである。同図に示すように、暗号装置11がパ
ブリックポート111から鍵検索応答パケットを受信し
た場合には、このパケットが自局当てのパケットである
か否かを調べ(ステップS801)、自局当てのパケッ
トでない場合には(ステップS801否定)、該パケッ
トに含まれる宛先、送信元端末間のアプリケーションデ
ータに対する処理を透過中継として通信制御テーブル1
16に登録し(ステップS802)、鍵探索応答パケッ
トを中継する(ステップS803)。
【0068】これに対して、自局当てのパケットである
場合には(ステップS801肯定)、自身が保持する暗
号鍵および該暗号鍵を使用するアプリケーション種別と
一致する情報が鍵検索応答パケットのローカルポート暗
号鍵情報に設定されているか否かを確認する(ステップ
S804)。
【0069】そして、一致する情報があれば(ステップ
S804肯定)、一致した暗号鍵で通信データを暗号化
する旨を決定し、一致した暗号鍵、送信元、宛先アドレ
スおよびアプリケーション種別を通信制御テーブル11
6に登録した後(ステップS805)、保持していた通
信データを一致した暗号鍵で暗号化して送信する(ステ
ップS806)。
【0070】これに対して、一致する情報がない場合に
は(ステップS804否定)、処理を廃棄とする旨を決
定して通信制御テーブル116に登録し(ステップS8
07)、保持していたデータを廃棄して処理を終了する
(ステップS808)。
【0071】なお、上記一連の処理は、端末A〜サーバ
S間でファイル転送をおこなう場合について説明した
が、電子メールをやりとりする場合も同様の処理とな
る。具体的には、この場合には、鍵探索パケットに設定
されるアプリケーション種別が電子メールとなり、各暗
号装置には電子メールが平文で通信するよう設定されて
いるので、鍵探索結果、通信データは平文でサーバSに
送信される。
【0072】同様に、端末B〜サーバS間でWWWまた
は電子メールをやりとりする場合にも、各アプリケーシ
ョンに対して鍵探索が行われ、図5に示すように暗号装
置12の通信制御テーブル116が形成される。
【0073】つぎに、暗号装置11〜13が、パブリッ
クポート111またはローカルポート119から鍵探索
パケットを受信した場合の処理手順について説明する
と、この場合には、アプリケーション種別に対応する暗
号鍵をそれぞれパブリックポート暗号鍵情報またはロー
カルポート暗号鍵情報に設定する処理をおこなう。
【0074】上述してきたように、本実施の形態1にか
かる暗号通信システムでは、自動学習処理部117によ
る鍵探索パケットを用いたアプリケーションデータに対
する暗号鍵情報の収集結果を通信制御テーブル116に
自動的に登録し、登録した内容にしたがって通信データ
を処理するよう構成したので、サーバS上で複数のアプ
リケーションが動作している場合でも、各アプリケーシ
ョンごとに暗号通信、平文通信を設定することができ
る。
【0075】実施の形態2.ところで、上記実施の形態
1では、通信制御テーブル116に不測の事態が生じ、
テーブルに記憶したデータが消去され場合の説明を省略
したため、本実施の形態では、電源断や障害により暗号
装置11〜13の通信制御テーブル116が消去された
場合の動作について説明する。なおここでは、暗号装置
12の通信制御テーブル116が消去された場合を示す
こととする。
【0076】図9は、実施の形態2にかかる通信制御テ
ーブル116の内容が消去された場合の処理手順を示す
シーケンス図である。同図に示すように、端末Aがファ
イル転送通信データを暗号装置11に対して送信し(ス
テップS901)、これを暗号装置11で暗号化した暗
号化データを暗号装置12に向けて送信した場合におい
て(ステップS902)、暗号装置12の通信制御テー
ブル116が消去された場合には、暗号装置12は、鍵
探索要求パケットを暗号装置11に送信する(ステップ
S903)。そして、この暗号鍵要求パケットを受信し
た暗号装置11は、該暗号鍵要求パケットを端末Aに透
過中継する(ステップS904)。
【0077】図10は、この鍵探索要求パケットのパケ
ットフォーマットの一例を示す説明図であり、同図に示
すように、この鍵探索要求パケット100は、ヘッダ1
01、送信元端末アドレス102、宛先端末アドレス1
03、アプリケーション種別104、ローカルポート暗
号鍵情報105およびパブリックポート暗号鍵情報10
6からなる。
【0078】その後、端末Aは、鍵探索要求応答パケッ
トを暗号装置11に返信し(ステップS905)、暗号
装置11では、鍵探索要求応答パケット内の情報に基づ
いて送信元、宛先端末アドレスおよびアプリケーション
種別を設定した鍵探索パケットを暗号装置12に送信す
るとともに(ステップS906)、鍵探索要求応答パケ
ットを廃棄する。
【0079】その後、図4に示す手順と同様の手順で処
理を続行する。すなわち、暗号装置12が鍵探索パケッ
トをサーバSに中継し(ステップS907)、サーバS
は、これに対応して鍵探索応答パケットを暗号化装置1
2に返送する(ステップS908)。
【0080】そして、この鍵探索応答パケットを受信し
た暗号装置12は、この鍵探索応答パケット内の暗号鍵
を必要に応じて通信制御テーブル116に登録しつつ、
該鍵探索応答パケットを暗号装置11に中継するととも
に(ステップS909)、この鍵探索応答パケット含ま
れる暗号鍵でファイル転送通信データを復号し、ファイ
ル転送通信データをサーバSに送信する(ステップS9
10)。
【0081】つぎに、通信制御テーブル116の内容が
消去された暗号装置12の処理手順について説明する。
図11は、通信制御テーブル116の内容が消去された
暗号装置12が通信データをパブリックポートから受信
した場合の処理手順を示すフローチャートである。
【0082】同図に示すように、暗号装置12が電源断
などにより通信制御テーブル116が消去された状態
で、端末AからサーバSへの通信データをパブリックポ
ートで受信した場合には、まず最初に、この通信データ
の送信元、宛先端末アドレスおよびアプリケーション種
別が通信制御テーブル116に登録されているかどうか
を調べる(ステップS1101)。
【0083】その結果、通信制御テーブル116に登録
されている場合には(ステップS1101肯定)、この
通信制御テーブル116に登録された内容にしたがって
通信データを処理し(ステップS1102)、登録され
ていない場合には(ステップS1101否定)、図10
に示した受信データのアプリケーション種別を設定した
鍵探索要求パケットを送信する(ステップS110
3)。
【0084】上述してきたように、本実施の形態2で
は、暗号装置12の通信制御テーブル116の内容が消
去された場合には、鍵探索要求パケットを用いて鍵探索
パケットを送信するよう送信元端末に一番近い暗号装置
11に要求するよう構成したので、中継経路上の暗号装
置の通信制御テーブル116が消去された場合であって
も効率良く暗号通信をおこなうことができる。
【0085】実施の形態3.ところで、上記実施の形態
1および2では、通信制御テーブル116からの暗号鍵
情報の削除についての説明を省略したが、所定の時間通
信をおこなわない端末間の暗号鍵情報を削除することも
できる。このため本実施の形態では、所定の時間通信を
おこなわない端末間の暗号鍵情報を削除する場合を示す
こととする。
【0086】図12は、本実施の形態3で用いる通信制
御テーブル120の一例を示す図である。同図に示すよ
うに、この通信制御テーブル120は、通信端末12
1、アプリケーション種別122および処理方式123
以外に保持時間124を有する。なおここでは、保持時
間を5分に設定している。
【0087】したがって、暗号装置11〜13では、通
信制御テーブル120に登録された暗号鍵情報を使用し
た暗号通信が行われるたびに、この保持時間124を初
期値に戻すが、保持時間124が経過するまでに通信が
おこなわれない場合には、通信制御テーブル120から
暗号鍵情報を削除する。
【0088】なお、かかる暗号鍵情報の削除は、通信が
途絶したアプリケーションについてのみおこなわれ、た
とえばファイル転送アプリケーションの通信が途絶えた
場合に、電子メール通信が継続して行われていれば、こ
の電子メールに対する暗号鍵情報は削除されない。
【0089】上述してきたように、本実施の形態3で
は、通信制御テーブル120に保持時間をそれぞれ設
け、この保持時間の間通信がおこなわれない場合には暗
号鍵情報を削除するよう構成したので、端末の移動若し
くは通信経路の変更等によって通信がおこなわれない暗
号鍵情報を通信制御テーブル120から削除し、もって
通信制御テーブル120の容量および検索時間を低減す
ることができる。
【0090】なお、本実施の形態3では、暗号装置に対
して通信制御テーブルに登録された暗号鍵の情報の保持
時間を設定することとしたが、本発明はこれに限定され
るものではなく、各アプリケーションの通信に対して設
定することもできる。かかる構成を用いることにより、
頻繁に通信がおこなわれるアプリケーションと頻度の少
ないアプリケーションとにそれぞれ保持時間を設定でき
るため、各アプリケーションの通信開始時に毎回鍵探索
が実行されるのを防ぎ、通信開始時のオーバヘッドを短
縮することができる。
【0091】また、各アプリケーションに対して設定さ
れた通信制御テーブルの保持時間を図13に示すように
鍵探索パケットに設定し、暗号鍵情報収集時に各暗号装
置に通知することもできる。これにより、中継経路上の
暗号装置において通信制御テーブルの保持時間を統一す
ることができ、不用意に鍵探索が行われるのを防ぐこと
ができる。
【0092】また、上記実施の形態1〜3では、各暗号
鍵に対してアプリケーション1つを割り当てることとし
たが、本発明はこれに限定されるものではなく、図14
の通信制御テーブルに示すように、暗号鍵に対してファ
イル転送、WWWおよびネットニュースなどの複数のア
プリケーションを割り当てたり、すべてのアプリケーシ
ョンで暗号鍵を使用するよう設定することもできる。
【0093】また、上記実施の形態1〜3では、鍵探索
パケットには、暗号装置が受信した通信データのアプリ
ケーション種別に対する暗号鍵情報を設定することとし
たが、本発明はこれに限定されるものではなく、図15
に示すように暗号装置に設定されているすべてのアプリ
ケーションに対する暗号鍵情報を設定することもでき
る。かかる鍵探索パケットを用いることにより、ファイ
ル転送アプリケーションによる通信開始時に、ファイル
転送アプリケーションに対する暗号鍵情報だけでなく電
子メールに関する暗号鍵情報も学習できるので、電子メ
ール通信開始時の鍵探索のオーバヘッドを省略すること
ができる。
【0094】実施の形態4.ところで、上記実施の形態
1〜3では、暗号鍵の更新についての説明を省略した
が、通常の暗号システムにおいてパスワードなどを定期
的に更新するのは常套手段であり、暗号通信システムの
暗号鍵においても例外ではない。そこで、本実施の形態
4では、暗号鍵の更新を考慮した暗号通信システムにつ
いて説明することとする。
【0095】図16は、本実施の形態4にかかる暗号通
信システムのシステム構成を示すブロック図である。同
図において、暗号装置11は、暗号鍵(KEY1 バー
ジョン1)を保有し、暗号装置12は、暗号鍵(KEY
1 バージョン1およびKEY2 バージョン2)を保
有し、暗号装置13は、暗号鍵(KEY2 バージョン
1)を保有する。そして、各暗号装置11〜13は、暗
号鍵をバージョン情報とともに管理し、新しく暗号鍵が
配布されるとバージョン情報をインクリメントするよう
構成している。
【0096】図17は、本実施の形態4で用いる鍵探索
パケットの構造の一例を示す説明図であり、同図に示す
ように、この鍵検索パケット170は、ヘッダ171、
送信元端末アドレス172、宛先端末アドレス173、
アプリケーション種別174、バージョン情報175、
ローカルポート暗号鍵情報およびパブリックポート暗号
鍵情報176からなり、上述した構造にバージョン情報
57が追加されている。
【0097】つぎに、本実施の形態4にかかる暗号装置
11〜13の処理手順について具体的に説明する。図1
8は、図16に示す暗号装置11〜13が通信データを
受信した場合の処理手順を示すフローチャートである。
同図に示すように、暗号装置11が端末Aから通信デー
タを受信したならば、この通信データの送信元、宛先端
末アドレスおよびアプリケーション種別が通信制御テー
ブル116内に登録されているか否かを調べる(ステッ
プS1801)。
【0098】そして、通信制御テーブル116内に登録
されている場合には(ステップS1801肯定)、通信
制御テーブルにしたがった処理をおこない(ステップS
1802)、通信制御テーブル116内に登録されてい
ない場合には(ステップS1801否定)、通信データ
を保持し、ローカルポート暗号鍵情報に設定された暗号
鍵の中からファイル転送アプリケーションデータを暗号
化するよう設定された暗号鍵情報とこの暗号鍵のバージ
ョンおよびアプリケーション種別にファイル転送を設定
した鍵探索パケットを通信データの宛先へ送信する(ス
テップS1803)。なお、かかる処理は、パブリック
ポート111またはローカルポート119のいずれのポ
ートから通信データを受信した場合も同じである。
【0099】図19は、ローカルポート119から鍵検
索応答パケットを受信した場合の処理手順を示すフロー
チャートである。同図に示すように、暗号装置12がロ
ーカルポート119から鍵検索応答パケットを受信した
場合には、自身が保持する暗号鍵および該暗号鍵を使用
するアプリケーション種別と一致する情報が鍵検索応答
パケットのローカルポート暗号鍵情報に設定されている
か否かを確認する(ステップS1901)。
【0100】そして、一致する情報がある場合には(ス
テップS1901肯定)、さらにバージョンが一致する
か否かを確認し(ステップS1902)、バージョンに
ついても一致する場合には(ステップS1902肯
定)、一致した暗号鍵で通信データを暗号化する旨を決
定し、一致した暗号鍵、送信元、宛先アドレスおよびア
プリケーション種別を通信制御テーブル116に登録す
る(ステップS1903)。これに対して、一致する情
報がない場合(ステップS701否定)または一致する
情報があってもバージョンが一致しない場合(ステップ
S1902否定)には、処理を廃棄とする旨を決定して
通信制御テーブル116に登録する(ステップS190
4)。
【0101】そして、決定した処理内容を鍵探索応答パ
ケットに設定し(ステップS1905)、設定した鍵探
索応答パケットをネットワークを介して要求元の暗号装
置11に中継する(ステップS1906)。
【0102】図20は、パブリックポート111から鍵
検索応答パケットを受信した場合の処理手順を示すフロ
ーチャートである。同図に示すように、暗号装置11が
パブリックポート111から鍵検索応答パケットを受信
した場合には、このパケットが自局当てのパケットであ
るか否かを調べ(ステップS2001)、自局当てのパ
ケットでない場合には(ステップS2001否定)、該
パケットに含まれる宛先、送信元端末間のアプリケーシ
ョンデータに対する処理を透過中継として通信制御テー
ブル116に登録し(ステップS2002)、鍵探索応
答パケットを中継する(ステップS2003)。
【0103】これに対して、自局当てのパケットである
場合には(ステップS2001肯定)、自身が保持する
暗号鍵および該暗号鍵を使用するアプリケーション種別
と一致する情報が鍵検索応答パケットのローカルポート
暗号鍵情報に設定されているか否かを確認する(ステッ
プS2004)。
【0104】そして、一致する情報があれば(ステップ
S2004肯定)、さらにバージョンが一致するか否か
を確認し(ステップS2005)、バージョンについて
も一致する場合には(ステップS2005肯定)、一致
した暗号鍵で通信データを暗号化する旨を決定し、一致
した暗号鍵、送信元、宛先アドレスおよびアプリケーシ
ョン種別を通信制御テーブル116に登録した後(ステ
ップS2006)、保持していた通信データを一致した
暗号鍵で暗号化して送信する(ステップS2007)。
【0105】これに対して、一致する情報がない場合
(ステップS2004否定)または一致する情報があっ
てもバージョンが一致しない場合(ステップS2005
否定)には、処理を廃棄とする旨を決定して通信制御テ
ーブル116に登録し(ステップS2008)、保持し
ていたデータを廃棄して処理を終了する(ステップS2
009)。
【0106】つぎに、暗号装置11〜13が、パブリッ
クポート111またはローカルポート119から鍵探索
パケットを受信した場合の処理手順について説明する
と、この場合には、アプリケーション種別に対応する暗
号鍵とバージョンとをそれぞれパブリックポート暗号鍵
情報またはローカルポート暗号鍵情報に設定する処理を
おこなう。
【0107】上述してきたように、本実施の形態4にか
かる暗号通信システムでは、鍵探索パケットを用いて、
通信経路上の暗号装置が保有する暗号鍵のジョージョン
情報を確認するよう構成したので、バージョンの違う鍵
が混在するケースが生じることを防ぐことができる。
【0108】実施の形態5.ところで、上記実施の形態
で用いる鍵探索パケットには、ステータスにかかる情報
を付加することもできる。そこで、本実施の形態では、
ステータスをも考慮して鍵の探索をおこなう場合につい
て説明する。
【0109】図21は、本実施の形態5で用いる鍵探索
パケット210の構造を示す説明図であり、同図に示す
ように、この鍵探索パケット210は、ヘッダ211、
送信元端末アドレス212、宛先端末アドレス213、
アプリケーション種別214、ローカルポート暗号鍵情
報215、パブリックポート暗号鍵情報216およびス
テータス情報217からなる。すなわち、本実施の形態
5では、この鍵検索パケットにステータス情報を付加し
た構成となる。
【0110】つぎに、本実施の形態5における暗号装置
11〜13による処理手順について説明する。図22
は、ローカルポート119から鍵検索応答パケットを受
信した場合の処理手順を示すフローチャートである。同
図に示すように、暗号装置12がローカルポート119
から鍵検索応答パケットを受信した場合には、自身が保
持する暗号鍵および該暗号鍵を使用するアプリケーショ
ン種別と一致する情報が鍵検索応答パケットのローカル
ポート暗号鍵情報に設定されているか否かを確認する
(ステップS2201)。
【0111】そして、一致する情報がある場合には(ス
テップS2201肯定)、さらに通信制御テーブル11
6に他の情報が登録されているか否かを確認し(ステッ
プS2202)、他の情報が登録されていない場合には
(ステップS2202否定)、ステータス情報にレディ
を設定した後に(ステップS2203)、一致した暗号
鍵で通信データを暗号化する旨を決定し、一致した暗号
鍵、送信元、宛先アドレスおよびアプリケーション種別
を通信制御テーブル116に登録する(ステップS22
04)。
【0112】これに対して、通信制御テーブル116に
他の情報が登録されている場合には(ステップS220
2肯定)、ステータス情報にビジーを設定した後に(ス
テップS2205)、処理を廃棄とする旨を決定して通
信制御テーブル116に登録する(ステップS220
6)。なお、鍵情報が一致しない場合にも(ステップS
2201否定)、処理を廃棄とする旨を決定して通信制
御テーブル116に登録する(ステップS2206)。
【0113】そして、決定した処理内容を鍵探索応答パ
ケットに設定し(ステップS2207)、設定した鍵探
索応答パケットをネットワークを介して要求元の暗号装
置11に中継する(ステップS2208)。
【0114】図23は、パブリックポート111から鍵
検索応答パケットを受信した場合の処理手順を示すフロ
ーチャートである。同図に示すように、暗号装置11が
パブリックポート111から鍵検索応答パケットを受信
した場合には、このパケットが自局当てのパケットであ
るか否かを調べ(ステップS2301)、自局当てのパ
ケットでない場合には(ステップS2301否定)、該
パケットに含まれる宛先、送信元端末間のアプリケーシ
ョンデータに対する処理を透過中継として通信制御テー
ブル116に登録し(ステップS2302)、鍵探索応
答パケットを中継する(ステップS2303)。
【0115】これに対して、自局当てのパケットである
場合には(ステップS2301肯定)、自身が保持する
暗号鍵および該暗号鍵を使用するアプリケーション種別
と一致する情報が鍵検索応答パケットのローカルポート
暗号鍵情報に設定されているか否かを確認する(ステッ
プS2304)。
【0116】そして、一致する情報があれば(ステップ
S2004肯定)、ステータス情報を確認し(ステップ
S2305)、このステータス情報がレディである場合
には、一致した暗号鍵で通信データを暗号化する旨を決
定し、一致した暗号鍵、送信元、宛先アドレスおよびア
プリケーション種別を通信制御テーブル116に登録し
た後(ステップS2306)、保持していた通信データ
を一致した暗号鍵で暗号化して送信する(ステップS2
307)。
【0117】これに対して、一致する情報がない場合
(ステップS2304否定)または一致する情報があっ
てもステータス情報がビジーである場合には、処理を廃
棄とする旨を決定して通信制御テーブル116に登録し
(ステップS2308)、保持していたデータを廃棄し
て処理を終了する(ステップS2309)。なお、ここ
では鍵探索応答パケット受信時の処理のみを示すことと
したが、その他の処理についてはすでに説明したものと
同様の処理となる。
【0118】上述してきたように、本実施の形態5で
は、鍵探索パケットを用いて通信経路上の暗号装置のス
テータス情報を通知するよう構成したので、異なるVP
Nに属する端末(端末A、端末B)がサーバSを踏み台
にして他のVPNに属する端末に侵入することを防ぐこ
とができる。
【0119】なお、本実施の形態5では、通信制御テー
ブル116の有無によりステータス情報にビジーまたは
レディを設定することとしたが、あらかじめ各VPNに
通信のプライオリティを設定しておき、このプライオリ
ティ値をステータス情報に設定することでプライオリテ
ィに応じた通信制御を実現することもできる。
【0120】また、本実施の形態5では、サーバSと端
末A以外の端末の暗号鍵情報(たとえばサーバS〜端末
B間の暗号鍵情報)が通信管理テーブル116に登録さ
れている場合には、鍵探索応答パケットのステータス情
報にビジーを設定し、各暗号装置に通知していたが、暗
号装置12では、サーバS〜端末B間の通信が終了した
際に(つまり通信制御テーブル116からサーバS〜端
末Bの暗号鍵情報が削除された時に)、ビジーのために
廃棄するよう設定した端末A〜サーバSの通信を許可す
るため、宛先の端末Aに対して鍵探索要求パケットを送
信し、鍵探索要求パケットにより鍵探索を実行し、中継
経路上の暗号装置は再度通信制御テーブルを登録しなお
すことにより、ステータス異常により、不許可だった通
信をステータス変更時に自動的に許可するよう変更する
こともできる。なお、この場合には、端末Aに鍵探索要
求パケットを送信する代わりに、鍵探索パケットを用い
ることもできる。
【0121】なお、上記実施の形態1〜5では、暗号装
置11、12および13がネットワーク10に接続され
る場合を示すこととしたが、本発明はこれに限定される
ものではなく、暗号装置の機能が端末やサーバ内に設け
られた場合に適用することもできる。
【0122】
【発明の効果】以上説明したように、この発明によれ
ば、各暗号装置が、端末装置から通信データを受信した
際に、端末情報およびアプリケーション種別に対応する
暗号鍵情報がテーブルに存在するか否かを確認し、該当
する暗号鍵情報が登録されていないことを確認した場合
には、通信データの端末情報、アプリケーション種別お
よび暗号鍵情報を設定した鍵探索パケットを送信し、送
信した鍵探索パケットに応答して宛先端末装置から返送
される鍵探索応答パケットに基づいて、鍵探索パケット
の送信元の暗号装置並びに該鍵探索パケットを中継する
中継経路上に位置する各暗号装置のテーブルにアプリケ
ーション種別に対応する暗号鍵情報を設定することとし
たので、端末上で複数のアプリケーションが動作する場
合に、各アプリケーションごとにきめ細かな暗号通信の
設定を可能とし、もって暗号強度の維持と処理遅延の解
消を図ることができる。
【0123】つぎの発明によれば、中継経路上の暗号装
置は、各暗号装置にあらかじめ設定されている暗号鍵情
報のうちの鍵探索パケットで示されるアプリケーション
種別に対応する暗号鍵情報を鍵探索パケットに付加し、
付加した鍵探索パケットを宛先端末宛てに中継するよう
こととしたので、中継経路上の各暗号装置が有するアプ
リケーション種別に対応する暗号鍵情報を効率良く収集
することができる。
【0124】つぎの発明によれば、中継経路上の暗号装
置は、中継する通信データの端末情報およびアプリケー
ション種別に対応する暗号鍵情報がテーブルに登録され
ていない場合に、該通信データの送信元端末装置に鍵探
索パケットの発信を要求する少なくともアプリケーショ
ン種別を有する鍵探索要求パケットを送信し、通信デー
タの送信元端末装置は、この鍵探索要求パケットに応答
して鍵探索要求応答パケットを送信することとしたの
で、中継経路上の暗号装置から鍵探索パケットの送信を
要請することができ、もってテーブルの内容を消去して
しまったような場合に効率良く対応することができる。
【0125】つぎの発明によれば、鍵探索パケットおよ
び鍵探索応答パケットは、送信元端末アドレス、宛先端
末アドレス、アプリケーション種別、ローカルポート暗
号鍵情報およびパブリックポート暗号鍵情報を少なくと
も有し、各暗号装置は、該暗号装置に対応する端末装置
向けのローカルポートと、ネットワーク向けのパブリッ
クポートとを備え、ローカルポートから鍵探索パケット
を受信した際に、該鍵探索パケット内のアプリケーショ
ン種別に対応する暗号鍵情報をローカルポート暗号鍵情
報に設定し、パブリックポートから鍵探索パケットを受
信した際に、該鍵探索パケット内のアプリケーション種
別に対応する暗号鍵情報をパブリックポート暗号鍵情報
に設定することとしたので、ローカルポートおよびパブ
リックポートに区別して暗号鍵情報を鍵探索パケットに
効率良く取り込むことができる。
【0126】つぎの発明によれば、中継経路上の各暗号
装置は、鍵探索応答パケットをパブリックポートから受
信した際に、パブリックポート暗号鍵情報に暗号鍵情報
が存在しなければ、透過中継を示す暗号鍵情報をテーブ
ルに登録することとしたので、パブリックポートの暗号
鍵情報に基づいて透過中継するか否かを切り替えること
ができる。
【0127】つぎの発明によれば、中継経路上の各暗号
装置は、テーブルに登録された暗号鍵情報を用いた通信
が所定時間以上行われなければ、当該テーブルから該当
する暗号鍵情報を消去することとしたので、端末の移動
などによって使用されなくなった暗号鍵情報を消去し、
もってテーブルの容量を低減して該当する暗号鍵を迅速
に検索することができる。
【0128】つぎの発明によれば、鍵探索パケットは、
テーブルに登録された暗号鍵情報の保持時間を有し、各
暗号装置は、鍵探索された暗号鍵情報をテーブルに登録
する際に該暗号鍵情報の保持時間を合わせて登録し、当
該暗号鍵情報を用いた通信が保持時間以上行われない場
合には、当該暗号鍵情報をテーブルから削除することと
したので、不要な暗号鍵情報を効率良く削除することが
できる。
【0129】つぎの発明によれば、鍵探索パケットは、
暗号鍵のバージョン情報を有し、各暗号装置は、暗号鍵
のバージョン情報が一致する場合にのみ鍵探索パケット
で取得した暗号鍵をテーブルに登録することとしたの
で、バージョンの違う鍵が混在するケースが生じること
を防ぐことができる。
【0130】つぎの発明によれば、鍵探索パケットは、
送信元端末装置および宛先端末装置間の通信状況を示す
ステータス情報をさらに有し、各暗号装置は、当該ステ
ータス情報に基づいて通信データの処理方式をテーブル
に登録することとしたので、あるVPNに属する端末装
置がサーバなどを踏み台にして他のVPNに属する端末
装置に侵入することを防ぐことができる。
【0131】つぎの発明によれば、ステータス情報が変
化した際に、中継経路上の暗号装置に変更を通知し、該
通知を受けた暗号装置は、通知された内容に基づいてテ
ーブルを変更することとしたので、ステータス情報の変
化に応じて迅速にテーブルを更新することができる。
【図面の簡単な説明】
【図1】 実施の形態1で用いる暗号通信システムのシ
ステム構成を示すブロック図である。
【図2】 図1に示した暗号装置の構成を示す機能ブロ
ック図である。
【図3】 図2に示した自動学習処理部によって処理さ
れる鍵探索パケットのパケットフォーマットの一例を示
す説明図である。
【図4】 図1に示した暗号通信システムの鍵探索時の
通信手順を示すシーケンス図である。
【図5】 図1に示した暗号装置が有する通信制御テー
ブルの一例を示す説明図である。
【図6】 図1に示す暗号装置が通信データを受信した
場合の処理手順を示すフローチャートである。
【図7】 ローカルポートから鍵検索応答パケットを受
信した場合の処理手順を示すフローチャートである。
【図8】 パブリックポートから鍵検索応答パケットを
受信した場合の処理手順を示すフローチャートである。
【図9】 実施の形態2にかかる通信制御テーブルの内
容が消去された場合の処理手順を示すシーケンス図であ
る。
【図10】 鍵探索要求パケットのパケットフォーマッ
トの一例を示す説明図である。
【図11】 通信制御テーブルの内容が消去された暗号
装置が通信データをパブリックポートから受信した場合
の処理手順を示すフローチャートである。
【図12】 実施の形態3で用いる通信制御テーブルの
構成の一例を示す図である。
【図13】 保持時間を有する鍵探索パケットの一例を
示す説明図である。
【図14】 暗号鍵に対してファイル転送、WWWおよ
びネットニュースなどの複数のアプリケーションを割り
当てた通信制御テーブルの一例を示す説明図である。
【図15】 暗号装置に設定されているすべてのアプリ
ケーションに対する暗号鍵情報を設定する鍵探索パケッ
トの一例を示す説明図である。
【図16】 実施の形態4にかかる暗号通信システムの
システム構成を示すブロック図である。
【図17】 実施の形態4で用いる鍵探索パケットの構
造の一例を示す説明図である。
【図18】 図16に示した暗号装置が通信データを受
信した場合の処理手順を示すフローチャートである。
【図19】 ローカルポートから鍵検索応答パケットを
受信した場合の処理手順を示すフローチャートである。
【図20】 パブリックポートから鍵検索応答パケット
を受信した場合の処理手順を示すフローチャートであ
る。
【図21】 実施の形態5で用いる鍵探索パケットの構
造を示す説明図である。
【図22】 ローカルポートから鍵検索応答パケットを
受信した場合の処理手順を示すフローチャートである。
【図23】 パブリックポートから鍵検索応答パケット
を受信した場合の処理手順を示すフローチャートであ
る。
【図24】 暗号装置が接続された従来の暗号通信シス
テムの一例を示す説明図である。
【図25】 従来における通信制御テーブルの一例を示
す説明図である。
【図26】 従来における鍵検索パケットの構造の一例
を示す説明図である。
【符号の説明】
10 ネットワーク、11,12,13 暗号装置、1
11 パブリックポート、112,118 送受信処理
部、113 暗号化・復号処理部、114透過中継部、
115 廃棄部、116,120 通信制御テーブル、
117 自動学習処理部、119 ローカルポート、3
0,170,210 鍵探索パケット、100 鍵探索
要求パケット。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 稲田 徹 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5J104 AA01 AA16 AA32 EA02 NA02 NA21 NA37 PA07 5K034 AA05 DD01 EE11 FF01 FF11 FF13 HH02 HH11 HH14 HH16 HH17 HH26 HH61 MM39

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 少なくとも端末情報と暗号鍵情報とを対
    応づけて登録したテーブルを有する暗号装置を介して複
    数の端末装置がネットワークに接続された暗号通信シス
    テムにおいて、 各暗号装置は、 前記端末装置から通信データを受信した際に、端末情報
    およびアプリケーション種別に対応する暗号鍵情報が前
    記テーブルに存在するか否かを確認する確認手段と、 前記確認手段により該当する暗号鍵情報が登録されてい
    ないと確認された場合には、通信データの端末情報、ア
    プリケーション種別および暗号鍵情報を設定した鍵探索
    パケットを送信する鍵探索パケット送信手段と、 前記鍵探索パケット送信手段により送信された鍵探索パ
    ケットに応答して宛先端末装置から返送される鍵探索応
    答パケットに基づいて、前記鍵探索パケットの送信元の
    暗号装置並びに該鍵探索パケットを中継する中継経路上
    に位置する各暗号装置のテーブルに前記アプリケーショ
    ン種別に対応する暗号鍵情報を設定する設定手段と、 を備えたことを特徴とする暗号通信システム。
  2. 【請求項2】 前記中継経路上の暗号装置は、各暗号装
    置にあらかじめ設定されている暗号鍵情報のうちの前記
    鍵探索パケットで示されるアプリケーション種別に対応
    する暗号鍵情報を前記鍵探索パケットに付加し、付加し
    た鍵探索パケットを宛先端末宛てに中継することを特徴
    とする請求項1に記載の暗号通信システム。
  3. 【請求項3】 前記中継経路上の暗号装置は、中継する
    通信データの端末情報およびアプリケーション種別に対
    応する暗号鍵情報が前記テーブルに登録されていない場
    合に、該通信データの送信元端末装置に鍵探索パケット
    の発信を要求する少なくともアプリケーション種別を有
    する鍵探索要求パケットを送信する鍵探索要求パケット
    送信手段をさらに備え、前記通信データの送信元端末装
    置は、前記鍵探索要求パケットに応答して鍵探索要求応
    答パケットを送信する鍵探索要求応答パケット送信手段
    をさらに備えたことを特徴とする請求項1または2に記
    載の暗号通信システム。
  4. 【請求項4】 前記鍵探索パケットおよび鍵探索応答パ
    ケットは、送信元端末アドレス、宛先端末アドレス、ア
    プリケーション種別、ローカルポート暗号鍵情報および
    パブリックポート暗号鍵情報を少なくとも有し、各暗号
    装置は、該暗号装置に対応する端末装置向けのローカル
    ポートと、前記ネットワーク向けのパブリックポートと
    を備え、前記ローカルポートから前記鍵探索パケットを
    受信した際に、該鍵探索パケット内のアプリケーション
    種別に対応する暗号鍵情報を前記ローカルポート暗号鍵
    情報に設定し、前記パブリックポートから前記鍵探索パ
    ケットを受信した際に、該鍵探索パケット内のアプリケ
    ーション種別に対応する暗号鍵情報を前記パブリックポ
    ート暗号鍵情報に設定することを特徴とする請求項1、
    2または3に記載の暗号通信システム。
  5. 【請求項5】 前記中継経路上の各暗号装置は、前記鍵
    探索応答パケットを前記パブリックポートから受信した
    際に、前記パブリックポート暗号鍵情報に暗号鍵情報が
    存在しなければ、透過中継を示す暗号鍵情報を前記テー
    ブルに登録することを特徴とする請求項4に記載の暗号
    通信システム。
  6. 【請求項6】 前記中継経路上の各暗号装置は、前記テ
    ーブルに登録された暗号鍵情報を用いた通信が所定時間
    以上行われなければ、当該テーブルから該当する暗号鍵
    情報を消去する消去手段をさらに備えたことを特徴とす
    る請求項1〜5のいずれか一つに記載の暗号通信システ
    ム。
  7. 【請求項7】 前記鍵探索パケットは、前記テーブルに
    登録された暗号鍵情報の保持時間を有し、各暗号装置
    は、鍵探索された暗号鍵情報を前記テーブルに登録する
    際に該暗号鍵情報の保持時間を合わせて登録し、当該暗
    号鍵情報を用いた通信が前記保持時間以上行われない場
    合には、当該暗号鍵情報を前記テーブルから削除するこ
    とを特徴とする請求項1〜6のいずれか一つに記載の暗
    号通信システム。
  8. 【請求項8】 前記鍵探索パケットは、暗号鍵のバージ
    ョン情報を有し、各暗号装置は、暗号鍵のバージョン情
    報が一致する場合にのみ前記鍵探索パケットで取得した
    暗号鍵を前記テーブルに登録することを特徴とする請求
    項1〜7のいずれか一つに記載の暗号通信システム。
  9. 【請求項9】 前記鍵探索パケットは、送信元端末装置
    および宛先端末装置間の通信状況を示すステータス情報
    をさらに有し、各暗号装置は、当該ステータス情報に基
    づいて通信データの処理方式を前記テーブルに登録する
    ことを特徴とする請求項1〜8のいずれか一つに記載の
    暗号通信システム。
  10. 【請求項10】 前記ステータス情報が変化した際に、
    前記中継経路上の暗号装置に変更を通知し、該通知を受
    けた暗号装置は、通知された内容に基づいて前記テーブ
    ルを変更することを特徴とする請求項9に記載の暗号通
    信システム。
JP11174149A 1999-06-21 1999-06-21 暗号通信システム Pending JP2001007797A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11174149A JP2001007797A (ja) 1999-06-21 1999-06-21 暗号通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11174149A JP2001007797A (ja) 1999-06-21 1999-06-21 暗号通信システム

Publications (1)

Publication Number Publication Date
JP2001007797A true JP2001007797A (ja) 2001-01-12

Family

ID=15973543

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11174149A Pending JP2001007797A (ja) 1999-06-21 1999-06-21 暗号通信システム

Country Status (1)

Country Link
JP (1) JP2001007797A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203871A (ja) * 2004-12-21 2006-08-03 Ricoh Co Ltd 通信機器、通信方法、通信プログラム、及び記録媒体
JP2009065288A (ja) * 2007-09-04 2009-03-26 Ricoh Co Ltd 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム
JP2010117988A (ja) * 2008-11-14 2010-05-27 Aya Echo:Kk 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法
JP2014036322A (ja) * 2012-08-08 2014-02-24 Toshiba Corp 通信装置、通信方法、プログラムおよび通信システム
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
WO2015093191A1 (ja) * 2013-12-20 2015-06-25 アプリックスIpホールディングス株式会社 無線通信システム、機器管理サーバ、電子機器およびその接続先変更方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006203871A (ja) * 2004-12-21 2006-08-03 Ricoh Co Ltd 通信機器、通信方法、通信プログラム、及び記録媒体
JP2009065288A (ja) * 2007-09-04 2009-03-26 Ricoh Co Ltd 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム
JP2010117988A (ja) * 2008-11-14 2010-05-27 Aya Echo:Kk 高度な認証およびセキュアーな仮想化ネットワーク形成のシステムおよび方法
JP2014036322A (ja) * 2012-08-08 2014-02-24 Toshiba Corp 通信装置、通信方法、プログラムおよび通信システム
US9049012B2 (en) 2012-08-08 2015-06-02 Kabushiki Kaisha Toshiba Secured cryptographic communication system
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
WO2015093191A1 (ja) * 2013-12-20 2015-06-25 アプリックスIpホールディングス株式会社 無線通信システム、機器管理サーバ、電子機器およびその接続先変更方法

Similar Documents

Publication Publication Date Title
JP3595145B2 (ja) 暗号通信システム
US5812671A (en) Cryptographic communication system
EP0669741B1 (en) Method and apparatus for encrypted communication in data networks
US6952768B2 (en) Security protocol
US6226751B1 (en) Method and apparatus for configuring a virtual private network
US6959393B2 (en) System and method for secure message-oriented network communications
AU2003255476B2 (en) Method, gateway and system for transmitting data between a device in a public network and a device in an internal network
CN107135266B (zh) Http代理框架安全数据传输方法
US20080307110A1 (en) Conditional BGP advertising for dynamic group VPN (DGVPN) clients
GB2357226A (en) Communication tunnel security protocol with nested security sessions
KR20010098513A (ko) 시큐리티 통신방법, 통신시스템 및 그 장치
US20030182559A1 (en) Secure communication apparatus and method for facilitating recipient and sender activity delegation
GB2363297A (en) Secure network communication where network service provider has public virtual name and private real name
WO2000014918A1 (en) System and method for encrypting data messages
CN115632779B (zh) 一种基于配电网的量子加密通信方法及系统
US7203195B2 (en) Method for packet transferring and apparatus for packet transferring
WO2007052527A1 (ja) 無線通信システム、通信装置、及び中継装置
JP2002297606A (ja) 問合せ内容を隠蔽可能なデータベースのアクセス方法およびシステム
JPH1168730A (ja) 暗号ゲートウェイ装置
JP2001007797A (ja) 暗号通信システム
CN117579277A (zh) 信息的加解密方法、装置、设备以及存储介质
US8670565B2 (en) Encrypted packet communication system
CN100499649C (zh) 一种实现安全联盟备份和切换的方法
WO2002067100A9 (en) Encryption and decryption system for multiple node network
GB2402583A (en) Cryptographic initialisation wherein RNC server instructs one communication partner to add an encryption flag to and begin encrypting its communications