JP2002044135A - 暗号装置及び暗号通信システム - Google Patents
暗号装置及び暗号通信システムInfo
- Publication number
- JP2002044135A JP2002044135A JP2000223961A JP2000223961A JP2002044135A JP 2002044135 A JP2002044135 A JP 2002044135A JP 2000223961 A JP2000223961 A JP 2000223961A JP 2000223961 A JP2000223961 A JP 2000223961A JP 2002044135 A JP2002044135 A JP 2002044135A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- encrypted
- encryption
- divided
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Abstract
(57)【要約】
【課題】 端末間のパケットデータを暗号化する暗号通
信システムで、復号装置における待機時間を削減させる
ことが可能な暗号通信システムを得る。 【解決手段】 端末間で送受信されるパケットデータを
送信側の暗号装置で暗号化し受信側の復号装置で復号化
する暗号通信システムにおいて、前記暗号装置は、前記
パケットデータの分割が必要であるか判定するフラグメ
ント判定手段と、分割が必要であると判定された場合に
複数の分割データに分割し、送信先の端末装置において
前記分割データを再組み立て可能な所定のデータ構造を
有する複数の分割データパケットに前記複数の分割デー
タを夫々格納し、さらに当該夫々の分割データパケット
に前記分割データ間の連続性を保証するための制御情報
を付加するフラグメント処理手段と、前記複数の分割デ
ータパケットを夫々別個に暗号化する暗号化手段と、を
備えたことを特徴とする。
信システムで、復号装置における待機時間を削減させる
ことが可能な暗号通信システムを得る。 【解決手段】 端末間で送受信されるパケットデータを
送信側の暗号装置で暗号化し受信側の復号装置で復号化
する暗号通信システムにおいて、前記暗号装置は、前記
パケットデータの分割が必要であるか判定するフラグメ
ント判定手段と、分割が必要であると判定された場合に
複数の分割データに分割し、送信先の端末装置において
前記分割データを再組み立て可能な所定のデータ構造を
有する複数の分割データパケットに前記複数の分割デー
タを夫々格納し、さらに当該夫々の分割データパケット
に前記分割データ間の連続性を保証するための制御情報
を付加するフラグメント処理手段と、前記複数の分割デ
ータパケットを夫々別個に暗号化する暗号化手段と、を
備えたことを特徴とする。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークを介
して端末間で送受信されるパケットデータを暗号化する
暗号装置及び暗号通信システムに関するものである。
して端末間で送受信されるパケットデータを暗号化する
暗号装置及び暗号通信システムに関するものである。
【0002】
【従来の技術】ネットワークに接続された複数の端末間
で送受信するパケットデータを暗号化する方式で、「S
ecurity Architecture for
theInternet Protocol」(IPS
EC−RFC2401〜2410、The Inter
net Society、1998)に代表されるエン
カプセル暗号方式では、暗号化されたパケットデータの
前後にエンカプセル暗号化されたデータフィールドであ
ることを明示するエンカプセルヘッダ及びテイラを付加
する。したがって、暗号化されたパケットは、暗号化さ
れる前の平文パケットと比較してパケット長が増大す
る。
で送受信するパケットデータを暗号化する方式で、「S
ecurity Architecture for
theInternet Protocol」(IPS
EC−RFC2401〜2410、The Inter
net Society、1998)に代表されるエン
カプセル暗号方式では、暗号化されたパケットデータの
前後にエンカプセル暗号化されたデータフィールドであ
ることを明示するエンカプセルヘッダ及びテイラを付加
する。したがって、暗号化されたパケットは、暗号化さ
れる前の平文パケットと比較してパケット長が増大す
る。
【0003】一方、ネットワークを介して送受信される
パケットは、最大のパケット長が規定されており、それ
がエンカプセル暗号化されているか否かに拘わらず、前
記最大パケット長以下で送信されることが規定されてい
る。したがって、暗号化される前の平文パケットのパケ
ット長が前記最大パケット長以下であっても、エンカプ
セル暗号化の結果パケット長が増大し前記最大パケット
長より長くなった場合には、該暗号化パケットをネット
ワークを介して送信する以前に前記所定のパケット長以
下の複数のパケットに分割する必要がある。このような
パケットの分割処理を、以下では「フラグメント処理」
と呼ぶ。
パケットは、最大のパケット長が規定されており、それ
がエンカプセル暗号化されているか否かに拘わらず、前
記最大パケット長以下で送信されることが規定されてい
る。したがって、暗号化される前の平文パケットのパケ
ット長が前記最大パケット長以下であっても、エンカプ
セル暗号化の結果パケット長が増大し前記最大パケット
長より長くなった場合には、該暗号化パケットをネット
ワークを介して送信する以前に前記所定のパケット長以
下の複数のパケットに分割する必要がある。このような
パケットの分割処理を、以下では「フラグメント処理」
と呼ぶ。
【0004】一方、前記複数の分割パケットを受信した
復号装置では、前記フラグメント処理によって分割され
た複数の分割パケットを一つのエンカプセル暗号化され
たパケットに再組み立てした後に、該暗号化パケットを
平文パケットに復号化する。復号装置における暗号化パ
ケットの再組み立て処理を、以下では「リアセンブル処
理」と呼ぶ。
復号装置では、前記フラグメント処理によって分割され
た複数の分割パケットを一つのエンカプセル暗号化され
たパケットに再組み立てした後に、該暗号化パケットを
平文パケットに復号化する。復号装置における暗号化パ
ケットの再組み立て処理を、以下では「リアセンブル処
理」と呼ぶ。
【0005】前述のエンカプセル暗号方式においてパケ
ットデータを復号化するには、復号時に前記フラグメン
ト処理された複数の分割パケットの全てが復号装置に受
信されている必要がある。しかし、一般に送信側の暗号
装置と受信側の復号装置とを接続するネットワーク上で
は、パケットの送達に要する遅延時間がパケット毎に一
定ではなく、パケットが送達される順序も保証されな
い。したがって、復号装置でパケットデータを復号化す
る際に、前記フラグメント処理された複数の分割パケッ
トが全て受信されるのを待つ「待機時間」が生じる。
ットデータを復号化するには、復号時に前記フラグメン
ト処理された複数の分割パケットの全てが復号装置に受
信されている必要がある。しかし、一般に送信側の暗号
装置と受信側の復号装置とを接続するネットワーク上で
は、パケットの送達に要する遅延時間がパケット毎に一
定ではなく、パケットが送達される順序も保証されな
い。したがって、復号装置でパケットデータを復号化す
る際に、前記フラグメント処理された複数の分割パケッ
トが全て受信されるのを待つ「待機時間」が生じる。
【0006】これに対し、例えば特開平9−20019
5号公報に示された従来の暗号通信方式のように、予め
フラグメント処理が生ずるか否か判定した上で、暗号化
処理前にパケットを分割し、分割されたパケットをそれ
ぞれエンカプセル暗号化して送信することにより、復号
装置における分割パケット受信の待機時間を低減させる
暗号方式が提案されている。
5号公報に示された従来の暗号通信方式のように、予め
フラグメント処理が生ずるか否か判定した上で、暗号化
処理前にパケットを分割し、分割されたパケットをそれ
ぞれエンカプセル暗号化して送信することにより、復号
装置における分割パケット受信の待機時間を低減させる
暗号方式が提案されている。
【0007】以下で、前記従来の暗号通信方式における
パケットデータの処理手順を図3の説明図に従って説明
する。まず送信元の端末は、送信先端末に送付すべきデ
ータである「IPデータ」20dと、送信元端末から送
信先端末までのネットワーク上の経路の特定や複数の平
文パケット間のIPデータの連続性の保証等に用いられ
る制御情報が収録された「IPヘッダ」20bとからな
る「IPパケット」を作成し、これにデータの発信元及
び送信先の端末を特定する物理アドレスが収録された
「MACヘッダ」20aを付して送信する。前記端末間
ではインターネット・プロトコル(IP)に従ってパケ
ットデータの送受信が行なわれており、送信先の端末で
は前記IPパケットのデータ構造を有するパケットデー
タを受信することが可能である。なお、送信元の端末に
よって作成される未だ暗号化されていないデータパケッ
ト20を以下では「平文パケット」と呼ぶ。
パケットデータの処理手順を図3の説明図に従って説明
する。まず送信元の端末は、送信先端末に送付すべきデ
ータである「IPデータ」20dと、送信元端末から送
信先端末までのネットワーク上の経路の特定や複数の平
文パケット間のIPデータの連続性の保証等に用いられ
る制御情報が収録された「IPヘッダ」20bとからな
る「IPパケット」を作成し、これにデータの発信元及
び送信先の端末を特定する物理アドレスが収録された
「MACヘッダ」20aを付して送信する。前記端末間
ではインターネット・プロトコル(IP)に従ってパケ
ットデータの送受信が行なわれており、送信先の端末で
は前記IPパケットのデータ構造を有するパケットデー
タを受信することが可能である。なお、送信元の端末に
よって作成される未だ暗号化されていないデータパケッ
ト20を以下では「平文パケット」と呼ぶ。
【0008】送信側の暗号装置は、前記平文パケット2
0を受信し暗号化処理を開始する。ここで暗号化の対象
となるのは、前記平文パケット20のうちIPパケット
の部分、即ちIPヘッダ20b及びIPデータ20dに
含まれる情報である。
0を受信し暗号化処理を開始する。ここで暗号化の対象
となるのは、前記平文パケット20のうちIPパケット
の部分、即ちIPヘッダ20b及びIPデータ20dに
含まれる情報である。
【0009】まず前記暗号装置は、受信された平文パケ
ット20のパケット長と最大パケット長とを比較し、該
平文パケット20のパケット長が前記最大パケット長よ
りも長い場合には、フラグメント処理を行って分割デー
タ41、42を作成する。また暗号装置は、各分割デー
タ41、42に、分割データ間の連続性を示す「分割識
別子」を付加する。
ット20のパケット長と最大パケット長とを比較し、該
平文パケット20のパケット長が前記最大パケット長よ
りも長い場合には、フラグメント処理を行って分割デー
タ41、42を作成する。また暗号装置は、各分割デー
タ41、42に、分割データ間の連続性を示す「分割識
別子」を付加する。
【0010】次に暗号化装置は、前記分割データ41及
び42を夫々別個に暗号化し、「暗号化データ」43、
44を得る。さらに暗号装置は、該暗号化データ43、
44に、暗号化されたフィールドを明示する「ESPヘ
ッダ」45c及び「ESPテイラ」45e、該暗号化デ
ータ43、44をネットワーク上に送信するための制御
データが含まれたIPヘッダ45b、送信先アドレスが
記載されたMACヘッダ45aを付加して暗号化パケッ
ト45、46を作成し、ネットワークを介して復号装置
に送信する。なお前記暗号化の際、暗号化データに付加
される前記IPヘッダ45b及びESPヘッダ45c
を、以下で「エンカプセルヘッダ」と呼ぶ。
び42を夫々別個に暗号化し、「暗号化データ」43、
44を得る。さらに暗号装置は、該暗号化データ43、
44に、暗号化されたフィールドを明示する「ESPヘ
ッダ」45c及び「ESPテイラ」45e、該暗号化デ
ータ43、44をネットワーク上に送信するための制御
データが含まれたIPヘッダ45b、送信先アドレスが
記載されたMACヘッダ45aを付加して暗号化パケッ
ト45、46を作成し、ネットワークを介して復号装置
に送信する。なお前記暗号化の際、暗号化データに付加
される前記IPヘッダ45b及びESPヘッダ45c
を、以下で「エンカプセルヘッダ」と呼ぶ。
【0011】前述の通り暗号化パケット45、46がネ
ットワークを介して復号装置に受信されるまでの送達遅
延時間は一定ではなく、復号装置への送達順序は保証さ
れない。前記暗号化パケット45、46のうち、初めに
暗号化パケット46を受信した復号装置は、前記エンカ
プセルヘッダ及びESPテイラ46を検出してエンカプ
セル暗号化された暗号化データ44を抽出しこれを復号
化して分割データ42を得る。
ットワークを介して復号装置に受信されるまでの送達遅
延時間は一定ではなく、復号装置への送達順序は保証さ
れない。前記暗号化パケット45、46のうち、初めに
暗号化パケット46を受信した復号装置は、前記エンカ
プセルヘッダ及びESPテイラ46を検出してエンカプ
セル暗号化された暗号化データ44を抽出しこれを復号
化して分割データ42を得る。
【0012】送信先の端末は、前述の通りインターネッ
ト・プロトコル(IP)に従いパケットデータを受信す
る。しかし前記復号化された分割データ42は、IPヘ
ッダを含んでいないので、IPヘッダ及びIPデータか
らなるIPパケットのデータ構造を有さず、送信先の端
末は、該分割データ42を受信することが出来ない。し
たがって復号装置は、該分割データ42を送信先の端末
に転送せずに一旦蓄積する。
ト・プロトコル(IP)に従いパケットデータを受信す
る。しかし前記復号化された分割データ42は、IPヘ
ッダを含んでいないので、IPヘッダ及びIPデータか
らなるIPパケットのデータ構造を有さず、送信先の端
末は、該分割データ42を受信することが出来ない。し
たがって復号装置は、該分割データ42を送信先の端末
に転送せずに一旦蓄積する。
【0013】次にIPデータの前半が格納された暗号化
パケット45が受信されると、復号装置は暗号データ4
3の抽出、復号化を行って分割データ41を得る。全て
の分割データ42、41が得られると、復号装置は、各
分割データに夫々付されている分割識別子を拠所として
分割データのリアセンブル処理を行い、暗号化対象とな
ったIPヘッダ20b及びIPデータ20dからなるI
Pパケットを得る。次に復号装置は、前記IPパケット
に送信先の端末を特定するアドレスを格納したMACア
ドレス47aを付加して平文パケット47を作成し、該
平文パケット47を所定の端末に送信する。
パケット45が受信されると、復号装置は暗号データ4
3の抽出、復号化を行って分割データ41を得る。全て
の分割データ42、41が得られると、復号装置は、各
分割データに夫々付されている分割識別子を拠所として
分割データのリアセンブル処理を行い、暗号化対象とな
ったIPヘッダ20b及びIPデータ20dからなるI
Pパケットを得る。次に復号装置は、前記IPパケット
に送信先の端末を特定するアドレスを格納したMACア
ドレス47aを付加して平文パケット47を作成し、該
平文パケット47を所定の端末に送信する。
【0014】ところで、パケットデータの送受信を行う
端末は、連続して受信した複数の平文パケットに格納さ
れたIPデータを夫々抽出するとともに、各平文パケッ
トのIPヘッダに含まれたIPデータの連続性に関する
制御情報を参照して、前記複数のIPデータを結合して
有意なアプリケーションデータを生成する「IPリアセ
ンブル機能」を備えるのが一般的である。
端末は、連続して受信した複数の平文パケットに格納さ
れたIPデータを夫々抽出するとともに、各平文パケッ
トのIPヘッダに含まれたIPデータの連続性に関する
制御情報を参照して、前記複数のIPデータを結合して
有意なアプリケーションデータを生成する「IPリアセ
ンブル機能」を備えるのが一般的である。
【0015】ここで前記従来の暗号通信方式において、
前記復号装置における分割データのリアセンブル処理
は、前記端末のIPリアセンブル機能とは別個独立に行
なわれる。
前記復号装置における分割データのリアセンブル処理
は、前記端末のIPリアセンブル機能とは別個独立に行
なわれる。
【0016】
【発明が解決しようとする課題】前記復号装置は、受信
された暗号化パケット45、46を夫々別個に復号化し
て分割データ41、42を得る。しかし当該各分割デー
タ41、42は、元の平文パケット20のIPヘッダ2
0b及びIPデータ20bをフラグメント処理したもの
であり、フラグメント処理後の各分割データが有意なI
Pパケットとして夫々認識されるために必要な制御情報
が収録されたIPヘッダが含まれておらず、IPパケッ
トのデータ構造を有さないため、送信先の端末に送信す
ることは出来ない。したがって復号装置は、復号化され
た分割データ42、41を一旦蓄積し、全ての分割デー
タが得られた後にリアセンブル処理を行って、送信先の
端末が受信可能な、IPヘッダ20b及びIPデータ2
0bからなるIPパケットを作成する必要がある。
された暗号化パケット45、46を夫々別個に復号化し
て分割データ41、42を得る。しかし当該各分割デー
タ41、42は、元の平文パケット20のIPヘッダ2
0b及びIPデータ20bをフラグメント処理したもの
であり、フラグメント処理後の各分割データが有意なI
Pパケットとして夫々認識されるために必要な制御情報
が収録されたIPヘッダが含まれておらず、IPパケッ
トのデータ構造を有さないため、送信先の端末に送信す
ることは出来ない。したがって復号装置は、復号化され
た分割データ42、41を一旦蓄積し、全ての分割デー
タが得られた後にリアセンブル処理を行って、送信先の
端末が受信可能な、IPヘッダ20b及びIPデータ2
0bからなるIPパケットを作成する必要がある。
【0017】しかし、前述の通りネットワークを介して
送受されるパケットの送達遅延時間は一定でなく、復号
装置で受信する複数の暗号化パケット45、46の送達
順序は保証されないため、復号装置が最初の暗号化パケ
ット45を受信してから平文パケット47を作成し送信
するまでに待機時間が生じる。パケット伝送の際に復号
装置で生じる待機時間は、ネットワークのパケット伝送
性能を低下させるといった問題がある。
送受されるパケットの送達遅延時間は一定でなく、復号
装置で受信する複数の暗号化パケット45、46の送達
順序は保証されないため、復号装置が最初の暗号化パケ
ット45を受信してから平文パケット47を作成し送信
するまでに待機時間が生じる。パケット伝送の際に復号
装置で生じる待機時間は、ネットワークのパケット伝送
性能を低下させるといった問題がある。
【0018】本発明は、前記課題を解決するためになさ
れたものであり、パケットデータの送受信を行う端末に
一般的に備えられているアプリケーションデータのIP
リアセンブル機能を活用することにより、復号装置にお
ける待機時間を削減させることが可能な、所定のデータ
構造を有する暗号化パケットを生成する暗号装置と、該
暗号装置を適用した暗号通信システムを提供するもので
ある。
れたものであり、パケットデータの送受信を行う端末に
一般的に備えられているアプリケーションデータのIP
リアセンブル機能を活用することにより、復号装置にお
ける待機時間を削減させることが可能な、所定のデータ
構造を有する暗号化パケットを生成する暗号装置と、該
暗号装置を適用した暗号通信システムを提供するもので
ある。
【0019】
【課題を解決するための手段】前記の課題を解決し、目
的を達成するために、本発明にかかる暗号装置にあって
は、端末間で送受信されるパケットデータを受信する平
文パケット受信手段と、前記パケットデータを暗号化し
た際のパケット長を計算し、前記パケット長と所定のパ
ケット長とを比較して、前記パケットデータの分割が必
要であるか否かを判定するフラグメント判定手段と、前
記判定の結果パケットデータの分割が必要であると判定
された場合には、前記パケットデータを複数の分割デー
タに分割するとともに、送信先の端末装置において前記
分割データを再組み立て可能な所定のデータ構造を有す
る複数の分割データパケットに、前記複数の分割データ
を夫々格納し、さらに当該夫々の分割データパケットに
前記分割データ間の連続性を保証するための制御情報を
付加するフラグメント処理手段と、前記複数の分割デー
タパケットを夫々別個に暗号化し複数の暗号化パケット
を生成する暗号化手段と、前記複数の暗号化パケットを
送信先の端末に送信する暗号化パケット送信手段と、を
備えたことを特徴とする。
的を達成するために、本発明にかかる暗号装置にあって
は、端末間で送受信されるパケットデータを受信する平
文パケット受信手段と、前記パケットデータを暗号化し
た際のパケット長を計算し、前記パケット長と所定のパ
ケット長とを比較して、前記パケットデータの分割が必
要であるか否かを判定するフラグメント判定手段と、前
記判定の結果パケットデータの分割が必要であると判定
された場合には、前記パケットデータを複数の分割デー
タに分割するとともに、送信先の端末装置において前記
分割データを再組み立て可能な所定のデータ構造を有す
る複数の分割データパケットに、前記複数の分割データ
を夫々格納し、さらに当該夫々の分割データパケットに
前記分割データ間の連続性を保証するための制御情報を
付加するフラグメント処理手段と、前記複数の分割デー
タパケットを夫々別個に暗号化し複数の暗号化パケット
を生成する暗号化手段と、前記複数の暗号化パケットを
送信先の端末に送信する暗号化パケット送信手段と、を
備えたことを特徴とする。
【0020】次の発明にかかる暗号通信システムにあっ
ては、端末間で送受信されるパケットデータを、送信側
の暗号装置で暗号化し受信側の復号装置で復号化する暗
号通信システムにおいて、前記暗号装置と、前記暗号装
置から送信された複数の暗号化パケットを受信し、該複
数の暗号化パケットを夫々別個に前記分割データパケッ
トへと復号し、当該複数の分割データパケットを復号処
理順に送信先の端末に送信する復号装置と、前記複数の
分割データパケットを受信し、各分割データパケットに
付加された前記制御情報に基づいて分割データの再組み
立てを行ってパケットデータを得る端末と、を備えるこ
とを特徴とする。
ては、端末間で送受信されるパケットデータを、送信側
の暗号装置で暗号化し受信側の復号装置で復号化する暗
号通信システムにおいて、前記暗号装置と、前記暗号装
置から送信された複数の暗号化パケットを受信し、該複
数の暗号化パケットを夫々別個に前記分割データパケッ
トへと復号し、当該複数の分割データパケットを復号処
理順に送信先の端末に送信する復号装置と、前記複数の
分割データパケットを受信し、各分割データパケットに
付加された前記制御情報に基づいて分割データの再組み
立てを行ってパケットデータを得る端末と、を備えるこ
とを特徴とする。
【0021】
【発明の実施の形態】実施の形態1.図1は、本実施の
形態1にかかる暗号通信システムの構成を示した構成図
である。図1において、13は有意なアプリケーション
データを平文パケットに格納して送信する端末、1は送
信側端末13から前記平文パケットを受信して暗号化す
る暗号装置、8はネットワークを介して受信した暗号化
パケットを復号化して平文パケットを得る復号装置、1
4は前記復号装置8から復号化された平文パケットを受
信する端末である。
形態1にかかる暗号通信システムの構成を示した構成図
である。図1において、13は有意なアプリケーション
データを平文パケットに格納して送信する端末、1は送
信側端末13から前記平文パケットを受信して暗号化す
る暗号装置、8はネットワークを介して受信した暗号化
パケットを復号化して平文パケットを得る復号装置、1
4は前記復号装置8から復号化された平文パケットを受
信する端末である。
【0022】送信側端末13と暗号装置1、並びに復号
装置8と受信側端末14は、例えば企業内ネットワーク
のように、第三者に傍受される恐れが無い安全なネット
ワークで接続されており、該ネットワーク上では暗号化
されていない平文パケットが送受信される。このような
ネットワークを以下では「平文ネットワーク」と呼ぶ。
装置8と受信側端末14は、例えば企業内ネットワーク
のように、第三者に傍受される恐れが無い安全なネット
ワークで接続されており、該ネットワーク上では暗号化
されていない平文パケットが送受信される。このような
ネットワークを以下では「平文ネットワーク」と呼ぶ。
【0023】一方、前記平文ネットワーク相互間は、例
えばインターネットのように、第三者によって通信デー
タの傍受盗用の恐れがある広域ネットワークで接続され
ている。そこで本実施の形態1において、当該広域ネッ
トワーク上でやり取りされるパケットデータは、前記暗
号装置1及び復号装置8によって暗号化した上で送受信
される。このようなネットワークを以下では「暗号ネッ
トワーク」と呼ぶ。
えばインターネットのように、第三者によって通信デー
タの傍受盗用の恐れがある広域ネットワークで接続され
ている。そこで本実施の形態1において、当該広域ネッ
トワーク上でやり取りされるパケットデータは、前記暗
号装置1及び復号装置8によって暗号化した上で送受信
される。このようなネットワークを以下では「暗号ネッ
トワーク」と呼ぶ。
【0024】ここで前記暗号装置1において、2は前記
送信側端末13から平文ネットワークを介して平文パケ
ットを受信する平文パケット受信部、3は該平文パケッ
トをエンカプセル暗号化する際にフラグメント処理が必
要か否か判定するフラグメント判定部、4は前記フラグ
メント判定部の判定結果に従い前記平文パケットをフラ
グメント処理するフラグメント処理部である。
送信側端末13から平文ネットワークを介して平文パケ
ットを受信する平文パケット受信部、3は該平文パケッ
トをエンカプセル暗号化する際にフラグメント処理が必
要か否か判定するフラグメント判定部、4は前記フラグ
メント判定部の判定結果に従い前記平文パケットをフラ
グメント処理するフラグメント処理部である。
【0025】また、5は前記フラグメント処理部4によ
ってフラグメント処理されたデータを暗号化する暗号化
部、6は前記暗号化データをエンカプセル化して暗号パ
ケットを作成するエンカプセル部、7は前記暗号化パケ
ットを暗号ネットワークを介して前記復号装置8に送信
する暗号化パケット送信部である。
ってフラグメント処理されたデータを暗号化する暗号化
部、6は前記暗号化データをエンカプセル化して暗号パ
ケットを作成するエンカプセル部、7は前記暗号化パケ
ットを暗号ネットワークを介して前記復号装置8に送信
する暗号化パケット送信部である。
【0026】一方、前記復号装置8において、9は暗号
ネットワークを介して前記暗号化パケットを受信する暗
号化パケット受信部、10は前記暗号化パケットから暗
号化データを抽出するデカプセル部、11は前記抽出さ
れた暗号化データを平文パケットに復号する復号化部、
12は復号化された平文パケットを平文ネットワークを
介して前記受信側端末14に送信する平文パケット送信
部である。
ネットワークを介して前記暗号化パケットを受信する暗
号化パケット受信部、10は前記暗号化パケットから暗
号化データを抽出するデカプセル部、11は前記抽出さ
れた暗号化データを平文パケットに復号する復号化部、
12は復号化された平文パケットを平文ネットワークを
介して前記受信側端末14に送信する平文パケット送信
部である。
【0027】本実施の形態1では、前記端末13及び1
4はインターネット・プロトコル(IP)に従って、有
意なアプリケーションデータをパケットに格納してデー
タ通信を行う。一般にパケットによりデータ通信を行う
端末は、アプリケーションデータの送信時に、送信対象
となるアプリケーションデータを複数のIPデータに分
割し、夫々のIPデータにIPデータ間の連続性を保証
する制御情報を収録したIPヘッダを付加する「IPフ
ラグメント機能」と、IPパケットの受信時に、前記I
Pデータ間の連続性を保証するための制御情報に基づ
き、アプリケーションデータの再組み立てを行う「IP
リアセンブル機能」を備える。本実施の形態1において
も、前記端末13、14はIPフラグメント機能及びI
Pリアセンブル機能を備えるものとする。
4はインターネット・プロトコル(IP)に従って、有
意なアプリケーションデータをパケットに格納してデー
タ通信を行う。一般にパケットによりデータ通信を行う
端末は、アプリケーションデータの送信時に、送信対象
となるアプリケーションデータを複数のIPデータに分
割し、夫々のIPデータにIPデータ間の連続性を保証
する制御情報を収録したIPヘッダを付加する「IPフ
ラグメント機能」と、IPパケットの受信時に、前記I
Pデータ間の連続性を保証するための制御情報に基づ
き、アプリケーションデータの再組み立てを行う「IP
リアセンブル機能」を備える。本実施の形態1において
も、前記端末13、14はIPフラグメント機能及びI
Pリアセンブル機能を備えるものとする。
【0028】以下、前記の通り構成される暗号通信シス
テムの動作を図2に従って説明する。図2は、本実施の
形態1の暗号通信システムにおけるパケットデータの処
理手順を示した説明図である。
テムの動作を図2に従って説明する。図2は、本実施の
形態1の暗号通信システムにおけるパケットデータの処
理手順を示した説明図である。
【0029】まず暗号装置1の平文パケット受信部2
は、送信側端末13から平文パケット20を受信する。
該平文パケット20には、IPデータ20d、送信先の
端末14の物理アドレスを格納したMACヘッダ20
a、送信側端末13から送信先の端末14までの接続経
路を特定するための制御情報やIPデータ間の連続性保
証のための制御情報が格納されたIPヘッダ20bが含
まれている。
は、送信側端末13から平文パケット20を受信する。
該平文パケット20には、IPデータ20d、送信先の
端末14の物理アドレスを格納したMACヘッダ20
a、送信側端末13から送信先の端末14までの接続経
路を特定するための制御情報やIPデータ間の連続性保
証のための制御情報が格納されたIPヘッダ20bが含
まれている。
【0030】次に前記平文パケット20は、フラグメン
ト判定部3に転送されフラグメント処理の要否が判定さ
れる。まずフラグメント判定部3は、エンカプセル暗号
化によって前記平文パケット20にエンカプセルヘッダ
及びESPテイラが付加された場合のパケット長を算出
する。次に、前記算出されたパケット長と予め規定され
ている最大パケット長とを比較し、規定の最大パケット
長よりも長い場合には、暗号化前にフラグメント処理が
必要であると判断する。例えば、暗号ネットワーク上に
送信する最大パケット長が1500バイト以内と規定さ
れている場合に、前記フラグメント判定部3によって算
出されたエンカプセルヘッダからESPテイラまでの全
データ長が1500バイトより長い場合には、フラグメ
ント判定部3はフラグメント処理が必要であると判定す
る。
ト判定部3に転送されフラグメント処理の要否が判定さ
れる。まずフラグメント判定部3は、エンカプセル暗号
化によって前記平文パケット20にエンカプセルヘッダ
及びESPテイラが付加された場合のパケット長を算出
する。次に、前記算出されたパケット長と予め規定され
ている最大パケット長とを比較し、規定の最大パケット
長よりも長い場合には、暗号化前にフラグメント処理が
必要であると判断する。例えば、暗号ネットワーク上に
送信する最大パケット長が1500バイト以内と規定さ
れている場合に、前記フラグメント判定部3によって算
出されたエンカプセルヘッダからESPテイラまでの全
データ長が1500バイトより長い場合には、フラグメ
ント判定部3はフラグメント処理が必要であると判定す
る。
【0031】そしてフラグメント処理が必要であると判
定された場合には、前記フラグメント判定部3はIPデ
ータの分割数と分割された各データのデータ長を決定す
る。ここで各分割データのデータ長は、各分割データに
前記エンカプセルヘッダ及びESPテイラが付加された
際に、前記規定の最大パケット長を超えない長さに決定
される。
定された場合には、前記フラグメント判定部3はIPデ
ータの分割数と分割された各データのデータ長を決定す
る。ここで各分割データのデータ長は、各分割データに
前記エンカプセルヘッダ及びESPテイラが付加された
際に、前記規定の最大パケット長を超えない長さに決定
される。
【0032】次にフラグメント判定部3は、平文パケッ
ト20をフラグメント処理部4に転送しIPデータのフ
ラグメント処理を要求する。該要求を受けたフラグメン
ト処理部4は、前記決定されたIPデータの分割数と各
分割データのデータ長に従いIPデータのフラグメント
処理を行う。以下で、フラグメント処理部4によるIP
データのフラグメント処理について説明する。
ト20をフラグメント処理部4に転送しIPデータのフ
ラグメント処理を要求する。該要求を受けたフラグメン
ト処理部4は、前記決定されたIPデータの分割数と各
分割データのデータ長に従いIPデータのフラグメント
処理を行う。以下で、フラグメント処理部4によるIP
データのフラグメント処理について説明する。
【0033】まずフラグメント処理部4は、前記フラグ
メント判定部3によって決定された分割数及び各分割デ
ータのデータ長に従って、前記平文パケット20のIP
データ20dを分割データ21d、22dに分割する。
メント判定部3によって決定された分割数及び各分割デ
ータのデータ長に従って、前記平文パケット20のIP
データ20dを分割データ21d、22dに分割する。
【0034】次にフラグメント処理部4は、送信先の端
末14で前記分割データ21d、22dのリアセンブル
処理を可能とするために、前記端末14が直接受信可能
なデータ構造を有する複数の分割データパケットを作成
する。本実施の形態1において、前述の通り端末間では
インターネット・プロトコル(IP)に従ってデータ通
信が行なわれており、前記送信先の端末14はIPパケ
ットの受信が可能である。そこでフラグメント処理部4
は、該IPパケットのデータ構造を有する分割データパ
ケット21、22を作成し、前記各分割データ21d、
22dを夫々格納する。
末14で前記分割データ21d、22dのリアセンブル
処理を可能とするために、前記端末14が直接受信可能
なデータ構造を有する複数の分割データパケットを作成
する。本実施の形態1において、前述の通り端末間では
インターネット・プロトコル(IP)に従ってデータ通
信が行なわれており、前記送信先の端末14はIPパケ
ットの受信が可能である。そこでフラグメント処理部4
は、該IPパケットのデータ構造を有する分割データパ
ケット21、22を作成し、前記各分割データ21d、
22dを夫々格納する。
【0035】前記分割データパケット21、22には、
前記分割データ21d、22dの他に、該分割データパ
ケットの伝送制御に関する情報が収録されたIPヘッダ
21b、22bが付加される。当該IPヘッダ21b、
22bに収録される制御情報は、前記平文パケット20
のIPヘッダ20bに収録されていた制御情報に基づい
て作成されるが、さらにフラグメント処理部4によって
前記分割データ21d、22dの連続性を示す制御情報
が追加される。
前記分割データ21d、22dの他に、該分割データパ
ケットの伝送制御に関する情報が収録されたIPヘッダ
21b、22bが付加される。当該IPヘッダ21b、
22bに収録される制御情報は、前記平文パケット20
のIPヘッダ20bに収録されていた制御情報に基づい
て作成されるが、さらにフラグメント処理部4によって
前記分割データ21d、22dの連続性を示す制御情報
が追加される。
【0036】前記分割データの連続性を示す制御情報と
して、各分割データパケットのIPヘッダ21b、22
bには、例えば、「当該分割データに継続する分割デー
タがある旨を示すフラグ」と「分割データの順番を示す
番号」とが収録され、さらに最後の分割データ22dの
IPヘッダ22bには「最後の分割データであることを
示すフラグ」が収録される。
して、各分割データパケットのIPヘッダ21b、22
bには、例えば、「当該分割データに継続する分割デー
タがある旨を示すフラグ」と「分割データの順番を示す
番号」とが収録され、さらに最後の分割データ22dの
IPヘッダ22bには「最後の分割データであることを
示すフラグ」が収録される。
【0037】以上の通りフラグメント処理部4によるフ
ラグメント処理の結果、各分割データパケット21、2
2は送信先の端末14が直接受信可能なIPパケットの
データ構造を有するとともに、各分割データパケットの
IPヘッダ21b、22bには分割データの連続性を示
す制御情報が収録される。従って、当該分割データパケ
ット21、22を受信した端末14では、当該端末14
が備える前述のIPリアセンブル機能を使用することに
より、前記分割データパケット21、22から元の平文
パケットのIPデータ20dを復元することが可能であ
る。
ラグメント処理の結果、各分割データパケット21、2
2は送信先の端末14が直接受信可能なIPパケットの
データ構造を有するとともに、各分割データパケットの
IPヘッダ21b、22bには分割データの連続性を示
す制御情報が収録される。従って、当該分割データパケ
ット21、22を受信した端末14では、当該端末14
が備える前述のIPリアセンブル機能を使用することに
より、前記分割データパケット21、22から元の平文
パケットのIPデータ20dを復元することが可能であ
る。
【0038】フラグメント処理部4によるフラグメント
処理が完了すると、分割データパケット21、22は暗
号化部5に送付される。暗号化部5は、分割データパケ
ット21、22を夫々別個に暗号化し、暗号化データ2
3、24を生成する。次にエンカプセル部6は、前記暗
号化データ23に暗号化データの領域を明示するESP
ヘッダ25c及びESPテイラ25eと、暗号ネットワ
ークを介して暗号化データを送信するための制御情報を
格納したIPヘッダ25bを付加し、暗号化パケット2
5を作成する。同様に前記暗号化データ24にESPヘ
ッダ26c、ESPテイラ26e及びIPヘッダ26b
を付加し、暗号化パケット26を作成する。
処理が完了すると、分割データパケット21、22は暗
号化部5に送付される。暗号化部5は、分割データパケ
ット21、22を夫々別個に暗号化し、暗号化データ2
3、24を生成する。次にエンカプセル部6は、前記暗
号化データ23に暗号化データの領域を明示するESP
ヘッダ25c及びESPテイラ25eと、暗号ネットワ
ークを介して暗号化データを送信するための制御情報を
格納したIPヘッダ25bを付加し、暗号化パケット2
5を作成する。同様に前記暗号化データ24にESPヘ
ッダ26c、ESPテイラ26e及びIPヘッダ26b
を付加し、暗号化パケット26を作成する。
【0039】次に暗号化パケット送信部7は、前記平文
パケット20のMACヘッダ20aから送信先端末14
の物理アドレスを読み出し、これに基づいて前記暗号化
パケット25、26にMACヘッダ25a、26aを付
加する。該MACヘッダが付加された暗号化パケット2
5、26は、暗号ネットワークを介して復号装置8に送
信される。以上が、IPデータのフラグメント処理が必
要であると判定された場合の暗号装置1におけるパケッ
トデータの処理手順である。
パケット20のMACヘッダ20aから送信先端末14
の物理アドレスを読み出し、これに基づいて前記暗号化
パケット25、26にMACヘッダ25a、26aを付
加する。該MACヘッダが付加された暗号化パケット2
5、26は、暗号ネットワークを介して復号装置8に送
信される。以上が、IPデータのフラグメント処理が必
要であると判定された場合の暗号装置1におけるパケッ
トデータの処理手順である。
【0040】一方、フラグメント判定部3によってIP
データのフラグメント処理が必要無いと判定された場合
には、フラグメント判定部3は、受信された平文パケッ
ト20のIPヘッダ20b及びIPデータ20dを暗号
化対象データとして暗号化部5に直接送付する。暗号化
部5は前記IPヘッダ20b及びIPデータ20dを暗
号化し、次にエンカプセル部6は暗号化データにIPヘ
ッダ、ESPヘッダ及びESPテイラを付してエンカプ
セル化し暗号化パケットを作成する。次に暗号化パケッ
ト送信部7は、前記暗号化パケットを暗号ネットワーク
を介して復号装置8に送信する。この場合は、フラグメ
ント処理部4によるIPデータのフラグメント処理は行
なわれない。
データのフラグメント処理が必要無いと判定された場合
には、フラグメント判定部3は、受信された平文パケッ
ト20のIPヘッダ20b及びIPデータ20dを暗号
化対象データとして暗号化部5に直接送付する。暗号化
部5は前記IPヘッダ20b及びIPデータ20dを暗
号化し、次にエンカプセル部6は暗号化データにIPヘ
ッダ、ESPヘッダ及びESPテイラを付してエンカプ
セル化し暗号化パケットを作成する。次に暗号化パケッ
ト送信部7は、前記暗号化パケットを暗号ネットワーク
を介して復号装置8に送信する。この場合は、フラグメ
ント処理部4によるIPデータのフラグメント処理は行
なわれない。
【0041】次に復号装置8における処理手順について
説明する。まず暗号化パケット受信部9は、前記フラグ
メント処理された暗号化パケット25、26を受信す
る。ここで、各暗号化パケット25、26が復号装置8
に送達されるまでの伝送遅延時間は一定ではなく、暗号
化パケットの送達順序は保証されない。以下では、暗号
装置から送信された複数の暗号化パケットのうち、暗号
化パケット25が最初に受信された場合について説明す
る。
説明する。まず暗号化パケット受信部9は、前記フラグ
メント処理された暗号化パケット25、26を受信す
る。ここで、各暗号化パケット25、26が復号装置8
に送達されるまでの伝送遅延時間は一定ではなく、暗号
化パケットの送達順序は保証されない。以下では、暗号
装置から送信された複数の暗号化パケットのうち、暗号
化パケット25が最初に受信された場合について説明す
る。
【0042】暗号化パケット受信部9は、暗号化パケッ
ト25を受信すると直ちにデカプセル部10に転送す
る。次にデカプセル部10は、該暗号化パケット25の
ESPヘッダ25c及びESPテイラ25eを検出して
暗号化データ23を抽出し復号化部11に送付する。
ト25を受信すると直ちにデカプセル部10に転送す
る。次にデカプセル部10は、該暗号化パケット25の
ESPヘッダ25c及びESPテイラ25eを検出して
暗号化データ23を抽出し復号化部11に送付する。
【0043】次に復号化部11は、前記暗号化データ2
3を復号化しIPヘッダ21b及び分割データ21dか
らなる分割データパケット21を得る。次に平文パケッ
ト送信部11は、暗号化パケット25からMACヘッダ
25aを送信先の端末14の物理アドレスを読出し、こ
れに基づいて前記分割データパケット21にMACヘッ
ダ31aを付加して平文パケット31を作成する。作成
された平文パケット31は、該復号装置に蓄積されるこ
となく、平文ネットワークを介して送信先の端末14宛
てに直ちに送信される。
3を復号化しIPヘッダ21b及び分割データ21dか
らなる分割データパケット21を得る。次に平文パケッ
ト送信部11は、暗号化パケット25からMACヘッダ
25aを送信先の端末14の物理アドレスを読出し、こ
れに基づいて前記分割データパケット21にMACヘッ
ダ31aを付加して平文パケット31を作成する。作成
された平文パケット31は、該復号装置に蓄積されるこ
となく、平文ネットワークを介して送信先の端末14宛
てに直ちに送信される。
【0044】次に暗号ネットワークを介して暗号化パケ
ット26を受信すると、復号装置8は、前記と同様に暗
号化データ22の抽出、復号化、平文パケット32の作
成を行い、該平文パケット32を送信先の端末14宛て
に送信する。
ット26を受信すると、復号装置8は、前記と同様に暗
号化データ22の抽出、復号化、平文パケット32の作
成を行い、該平文パケット32を送信先の端末14宛て
に送信する。
【0045】復号装置8から平文ネットワークを介して
平文パケット31及び32を受信した端末14は、各平
文パケットのIPヘッダ21b、22bから分割データ
21d、22dのデータの連続性を保証するための制御
情報を読み出す。最後に端末14は、当該制御情報に基
づき、アプリケーションデータのIPリアセンブル機能
を用いて各平文パケットの分割データ21d、22dを
結合し、送信元の端末13で作成されたIPデータ20
dを得る。
平文パケット31及び32を受信した端末14は、各平
文パケットのIPヘッダ21b、22bから分割データ
21d、22dのデータの連続性を保証するための制御
情報を読み出す。最後に端末14は、当該制御情報に基
づき、アプリケーションデータのIPリアセンブル機能
を用いて各平文パケットの分割データ21d、22dを
結合し、送信元の端末13で作成されたIPデータ20
dを得る。
【0046】このような構成とすることにより、本実施
の形態1の暗号通信システムにおいて、暗号装置1は、
平文パケット20のIPデータ20dを分割し、送信先
の端末14でパケットデータの再組み立てが可能なIP
パケットのデータ構造を有する複数の分割パケットデー
タ21、22を作成し、これらを夫々別個にエンカプセ
ル暗号化して送信する。一方、受信側の復号装置8では
各暗号化パケットの復号化のみ行い、分割データ21
d、22dの再組み立ては、受信側端末14が備えるI
Pリアセンブル機能を使用して行う。従って、復号装置
8で分割データ21d、22dのリアセンブル処理を行
う必要がないため、フラグメント処理された全ての暗号
化パケットを受信し、分割データをリアセンブル処理た
めに必要であった待機時間が不要となり、暗号ネットワ
ークのパケット伝送性能を向上させることができる。
の形態1の暗号通信システムにおいて、暗号装置1は、
平文パケット20のIPデータ20dを分割し、送信先
の端末14でパケットデータの再組み立てが可能なIP
パケットのデータ構造を有する複数の分割パケットデー
タ21、22を作成し、これらを夫々別個にエンカプセ
ル暗号化して送信する。一方、受信側の復号装置8では
各暗号化パケットの復号化のみ行い、分割データ21
d、22dの再組み立ては、受信側端末14が備えるI
Pリアセンブル機能を使用して行う。従って、復号装置
8で分割データ21d、22dのリアセンブル処理を行
う必要がないため、フラグメント処理された全ての暗号
化パケットを受信し、分割データをリアセンブル処理た
めに必要であった待機時間が不要となり、暗号ネットワ
ークのパケット伝送性能を向上させることができる。
【0047】なお、本実施の形態1の暗号通信システム
において、端末間ではインターネット・プロトコル(I
P)に従いデータ通信が行なわれていたが、端末間のデ
ータ通信に適用される伝送制御手順はIPに限定される
ものではなく、パケット方式の伝送制御手順であって、
データ通信を行う各端末がパケットデータの分割及び再
組み立ての機能を標準的に具備している伝送制御手順で
あれば、他の伝送制御手順であっても本発明の効果を得
ることは当然に可能である。この場合、暗号装置1によ
って作成される分割データパケット21、22のデータ
構造は、前記IPパケットのデータ構造に代えて、前記
伝送制御手順で規定されたデータ構造とされる。
において、端末間ではインターネット・プロトコル(I
P)に従いデータ通信が行なわれていたが、端末間のデ
ータ通信に適用される伝送制御手順はIPに限定される
ものではなく、パケット方式の伝送制御手順であって、
データ通信を行う各端末がパケットデータの分割及び再
組み立ての機能を標準的に具備している伝送制御手順で
あれば、他の伝送制御手順であっても本発明の効果を得
ることは当然に可能である。この場合、暗号装置1によ
って作成される分割データパケット21、22のデータ
構造は、前記IPパケットのデータ構造に代えて、前記
伝送制御手順で規定されたデータ構造とされる。
【0048】また本実施の形態1の暗号装置1におい
て、フラグメント判定部3は、平文パケット20のパケ
ット長と予め規定された最大パケット長とを比較してフ
ラグメント処理の要否を判定したが、フラグメント処理
要否の判定の基準となるパケット長は最大パケット長に
限定されるものではなく、この他にフラグメント処理要
否の判定規準となるべき所定のパケット長が設定されて
いる場合には、前記平文パケット20のパケット長を該
所定のパケット長と比較してフラグメント処理の要否を
判定する構成であってもよい。
て、フラグメント判定部3は、平文パケット20のパケ
ット長と予め規定された最大パケット長とを比較してフ
ラグメント処理の要否を判定したが、フラグメント処理
要否の判定の基準となるパケット長は最大パケット長に
限定されるものではなく、この他にフラグメント処理要
否の判定規準となるべき所定のパケット長が設定されて
いる場合には、前記平文パケット20のパケット長を該
所定のパケット長と比較してフラグメント処理の要否を
判定する構成であってもよい。
【0049】
【発明の効果】以上のように、本発明によれば、暗号装
置はパケットデータを分割し、送信先の端末で該パケッ
トデータが再組み立て可能な所定のデータ構造を有す
る、複数の分割パケットデータを作成し、これらを夫々
別個に暗号化して送信する。また復号装置は各暗号化パ
ケットの復号化のみ行い、前記パケットデータの再組み
立ては送信先の端末によって行なわれる。従って、前記
復号装置においてパケットデータの再組み立てを行う必
要が無いため、前記複数の分割パケットデータの受信待
ちに要する待機時間が削減され、ネットワーク上の暗号
化パケットの伝送性能を向上させることができる。
置はパケットデータを分割し、送信先の端末で該パケッ
トデータが再組み立て可能な所定のデータ構造を有す
る、複数の分割パケットデータを作成し、これらを夫々
別個に暗号化して送信する。また復号装置は各暗号化パ
ケットの復号化のみ行い、前記パケットデータの再組み
立ては送信先の端末によって行なわれる。従って、前記
復号装置においてパケットデータの再組み立てを行う必
要が無いため、前記複数の分割パケットデータの受信待
ちに要する待機時間が削減され、ネットワーク上の暗号
化パケットの伝送性能を向上させることができる。
【図1】 本発明の実施の形態1の暗号通信システムの
構成を示した構成図である。
構成を示した構成図である。
【図2】 本発明の実施の形態1の暗号通信システムに
おけるパケットデータの処理手順を示した説明図であ
る。
おけるパケットデータの処理手順を示した説明図であ
る。
【図3】 従来の暗号通信方式におけるパケットデータ
の処理手順を示した説明図である。
の処理手順を示した説明図である。
【符号の説明】 1 暗号装置 2 平文パケット受信部 3 フラグメント判定部 4 フラグメント処理部 5 暗号化部 6 エンカプセル部 7 暗号化パケット送信部 8 復号装置 9 暗号化パケット受信部 10 デカプセル部 11 復号化部 12 平文パケット送信部 13、14 端末 20、31、32、47 平文パケット 20a、25a、26a、31a、32a、45a、4
7a MACヘッダ 20b、21b、22b、25b、26b、45b I
Pヘッダ 20d IPデータ 21、22、45、46 分割データパケット 21d、22d、41、42 分割データ 23、24、43、44 暗号化データ 25、26 暗号化パケット 25c、26c、45c ESPヘッダ 25e、26e、45e ESPテイラ
7a MACヘッダ 20b、21b、22b、25b、26b、45b I
Pヘッダ 20d IPデータ 21、22、45、46 分割データパケット 21d、22d、41、42 分割データ 23、24、43、44 暗号化データ 25、26 暗号化パケット 25c、26c、45c ESPヘッダ 25e、26e、45e ESPテイラ
Claims (2)
- 【請求項1】 端末間で送受信されるパケットデータを
受信する平文パケット受信手段と、 前記パケットデータを暗号化した際のパケット長を計算
し、前記パケット長と所定のパケット長とを比較して、
前記パケットデータの分割が必要であるか否かを判定す
るフラグメント判定手段と、 前記判定の結果パケットデータの分割が必要であると判
定された場合には、 前記パケットデータを複数の分割データに分割するとと
もに、送信先の端末装置において前記分割データを再組
み立て可能な所定のデータ構造を有する複数の分割デー
タパケットに、前記複数の分割データを夫々格納し、さ
らに当該夫々の分割データパケットに前記分割データ間
の連続性を保証するための制御情報を付加するフラグメ
ント処理手段と、 前記複数の分割データパケットを夫々別個に暗号化し複
数の暗号化パケットを生成する暗号化手段と、 前記複数の暗号化パケットを送信先の端末に送信する暗
号化パケット送信手段と、を備えたことを特徴とする暗
号装置。 - 【請求項2】 端末間で送受信されるパケットデータ
を、送信側の暗号装置で暗号化し受信側の復号装置で復
号化する暗号通信システムにおいて、 請求項1に記載の暗号装置と、 前記暗号装置から送信された複数の暗号化パケットを受
信し、該複数の暗号化パケットを夫々別個に前記分割デ
ータパケットへと復号し、当該複数の分割データパケッ
トを復号処理順に送信先の端末に送信する復号装置と、 前記複数の分割データパケットを受信し、各分割データ
パケットに付加された前記制御情報に基づいて分割デー
タの再組み立てを行ってパケットデータを得る端末と、 を備えることを特徴とする暗号通信システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000223961A JP2002044135A (ja) | 2000-07-25 | 2000-07-25 | 暗号装置及び暗号通信システム |
| GB0115770A GB2368503A (en) | 2000-07-25 | 2001-06-27 | Cryptographic communication system |
| US09/898,024 US20020015422A1 (en) | 2000-07-25 | 2001-07-05 | Cryptographic apparatus and cryptographic communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000223961A JP2002044135A (ja) | 2000-07-25 | 2000-07-25 | 暗号装置及び暗号通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002044135A true JP2002044135A (ja) | 2002-02-08 |
Family
ID=18717994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000223961A Pending JP2002044135A (ja) | 2000-07-25 | 2000-07-25 | 暗号装置及び暗号通信システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20020015422A1 (ja) |
| JP (1) | JP2002044135A (ja) |
| GB (1) | GB2368503A (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005027325A (ja) * | 2003-07-03 | 2005-01-27 | Microsoft Corp | Rtpペイロード形式 |
| JP2006165847A (ja) * | 2004-12-06 | 2006-06-22 | Matsushita Electric Works Ltd | パケット長制御装置及び該方法並びにルータ装置 |
| JP2008035272A (ja) * | 2006-07-28 | 2008-02-14 | Canon Inc | 情報処理システム及び当該システムにおけるデータ通信方法 |
| JP2008236561A (ja) * | 2007-03-22 | 2008-10-02 | Nec Corp | 通信システム及び該システムに用いられる通信方法、通信プログラム |
| JP2009513049A (ja) * | 2005-10-21 | 2009-03-26 | サントル・ナショナル・ドゥ・ラ・レシェルシュ・サイエンティフィーク−セ・エン・エール・エス− | セキュアなデータ転送のための方法 |
| US7525916B2 (en) | 2004-06-30 | 2009-04-28 | Nec Corporation | High-efficiency control of radio burst signal transmission system |
| JP2009246801A (ja) * | 2008-03-31 | 2009-10-22 | Fujitsu Microelectronics Ltd | 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム |
| US7720096B2 (en) | 2005-10-13 | 2010-05-18 | Microsoft Corporation | RTP payload format for VC-1 |
| US7769880B2 (en) | 2005-07-07 | 2010-08-03 | Microsoft Corporation | Carrying protected content using a control protocol for streaming and a transport protocol |
| JPWO2009066344A1 (ja) * | 2007-11-19 | 2011-03-31 | デュアキシズ株式会社 | 通信制御装置、通信制御システム及び通信制御方法 |
| US8321690B2 (en) | 2005-08-11 | 2012-11-27 | Microsoft Corporation | Protecting digital media of various content types |
| US8325916B2 (en) | 2005-05-27 | 2012-12-04 | Microsoft Corporation | Encryption scheme for streamed multimedia content protected by rights management system |
| KR101294768B1 (ko) | 2010-09-16 | 2013-08-08 | 삼성에스엔에스 주식회사 | Wsmp의 데이터 송수신 장치 및 그 방법 |
| JP2015207878A (ja) * | 2014-04-18 | 2015-11-19 | 富士電機株式会社 | 制御システム間通信システム、及び通信制御方法 |
| JP2017168981A (ja) * | 2016-03-15 | 2017-09-21 | Necプラットフォームズ株式会社 | 通信装置および通信システム |
| WO2020161842A1 (ja) * | 2019-02-06 | 2020-08-13 | コネクトフリー株式会社 | データ送信方法、通信処理方法、装置、および通信処理プログラム |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7500102B2 (en) * | 2002-01-25 | 2009-03-03 | Microsoft Corporation | Method and apparatus for fragmenting and reassembling internet key exchange data packets |
| US20030196081A1 (en) * | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules |
| US6957067B1 (en) | 2002-09-24 | 2005-10-18 | Aruba Networks | System and method for monitoring and enforcing policy within a wireless network |
| US20040083360A1 (en) * | 2002-10-28 | 2004-04-29 | Rod Walsh | System and method for partially-encrypted data transmission and reception |
| US20040111626A1 (en) * | 2002-12-09 | 2004-06-10 | Doron Livny | Security processing of unlimited data size |
| US7362780B2 (en) * | 2002-12-11 | 2008-04-22 | Nokia Corporation | Avoiding compression of encrypted payload |
| KR100509489B1 (ko) * | 2003-02-06 | 2005-08-22 | 삼성전자주식회사 | 가변 폭의 데이터 패킷을 암호화하는 장치 및 방법 |
| US7295524B1 (en) * | 2003-02-18 | 2007-11-13 | Airwave Wireless, Inc | Methods, apparatuses and systems facilitating management of airspace in wireless computer network environments |
| US9137670B2 (en) * | 2003-02-18 | 2015-09-15 | Hewlett-Packard Development Company, L.P. | Method for detecting rogue devices operating in wireless and wired computer network environments |
| US7616663B1 (en) | 2004-03-04 | 2009-11-10 | Verizon Corporate Services Group, Inc. | Method and apparatus for information dissemination |
| US7376113B2 (en) * | 2005-04-01 | 2008-05-20 | Arubs Networks, Inc. | Mechanism for securely extending a private network |
| EP1755267B1 (en) * | 2005-08-04 | 2008-10-15 | Dibcom | Process, device and computer program for data decryption |
| US20150187209A1 (en) | 2006-01-31 | 2015-07-02 | Sigma Designs, Inc. | Method and system for synchronization and remote control of controlling units |
| US10326537B2 (en) | 2006-01-31 | 2019-06-18 | Silicon Laboratories Inc. | Environmental change condition detection through antenna-based sensing of environmental change |
| US20150117462A1 (en) * | 2006-01-31 | 2015-04-30 | Sigma Designs, Inc. | Method for encapsulating a message |
| US10277519B2 (en) | 2006-01-31 | 2019-04-30 | Silicon Laboratories Inc. | Response time for a gateway connecting a lower bandwidth network with a higher speed network |
| US8020006B2 (en) * | 2006-02-10 | 2011-09-13 | Cisco Technology, Inc. | Pipeline for high-throughput encrypt functions |
| WO2008037278A1 (en) * | 2006-09-27 | 2008-04-03 | Telecom Italia S.P.A. | Method and system for secure transmission over the internet |
| US8817813B2 (en) * | 2006-10-02 | 2014-08-26 | Aruba Networks, Inc. | System and method for adaptive channel scanning within a wireless network |
| US8627061B1 (en) | 2008-08-25 | 2014-01-07 | Apriva, Llc | Method and system for employing a fixed IP address based encryption device in a dynamic IP address based network |
| US10637681B2 (en) | 2014-03-13 | 2020-04-28 | Silicon Laboratories Inc. | Method and system for synchronization and remote control of controlling units |
| US10637673B2 (en) | 2016-12-12 | 2020-04-28 | Silicon Laboratories Inc. | Energy harvesting nodes in a mesh network |
| US11082408B2 (en) * | 2017-07-20 | 2021-08-03 | Michael T. Jones | Systems and methods for packet spreading data transmission with anonymized endpoints |
| US11356388B2 (en) | 2017-08-18 | 2022-06-07 | Missing Link Electronics, Inc. | Real-time multi-protocol heterogeneous packet-based transport |
| WO2019036217A1 (en) * | 2017-08-18 | 2019-02-21 | Missing Link Electronics, Inc. | HETEROGENEOUS TRANSPORT BASED ON PACKETS |
| CN107743120B (zh) * | 2017-09-26 | 2020-10-02 | 深圳市卓帆技术有限公司 | 一种可拆分式加密试题数据传输系统及方法 |
| CN116743504B (zh) * | 2023-08-14 | 2023-10-17 | 佳瑛科技有限公司 | 一种数字数据在网络线缆中的安全传输方法及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3085391B2 (ja) * | 1989-06-19 | 2000-09-04 | 株式会社日立製作所 | 通信装置 |
| US5161189A (en) * | 1991-03-11 | 1992-11-03 | Motorola, Inc. | Encryption and decryption of chained messages |
| WO1993026109A1 (en) * | 1992-06-17 | 1993-12-23 | The Trustees Of The University Of Pennsylvania | Apparatus for providing cryptographic support in a network |
| GB2288519A (en) * | 1994-04-05 | 1995-10-18 | Ibm | Data encryption |
| US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
| JP2000004226A (ja) * | 1998-06-15 | 2000-01-07 | Fujitsu Ltd | 通信データ秘匿方式 |
| US6721334B1 (en) * | 1999-02-18 | 2004-04-13 | 3Com Corporation | Method and apparatus for packet aggregation in packet-based network |
| US6804257B1 (en) * | 1999-11-25 | 2004-10-12 | International Business Machines Corporation | System and method for framing and protecting variable-lenght packet streams |
| DE60135347D1 (de) * | 2000-07-14 | 2008-09-25 | Irdeto Access Bv | Architektur zur gesicherten paketbasierten datenverteilung |
-
2000
- 2000-07-25 JP JP2000223961A patent/JP2002044135A/ja active Pending
-
2001
- 2001-06-27 GB GB0115770A patent/GB2368503A/en not_active Withdrawn
- 2001-07-05 US US09/898,024 patent/US20020015422A1/en not_active Abandoned
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005027325A (ja) * | 2003-07-03 | 2005-01-27 | Microsoft Corp | Rtpペイロード形式 |
| US7876896B2 (en) | 2003-07-03 | 2011-01-25 | Microsoft Corporation | RTP payload format |
| JP4504749B2 (ja) * | 2003-07-03 | 2010-07-14 | マイクロソフト コーポレーション | Rtpペイロード形式 |
| US7525916B2 (en) | 2004-06-30 | 2009-04-28 | Nec Corporation | High-efficiency control of radio burst signal transmission system |
| JP4672350B2 (ja) * | 2004-12-06 | 2011-04-20 | パナソニック電工株式会社 | パケット長制御装置及び該方法並びにルータ装置 |
| JP2006165847A (ja) * | 2004-12-06 | 2006-06-22 | Matsushita Electric Works Ltd | パケット長制御装置及び該方法並びにルータ装置 |
| US8325916B2 (en) | 2005-05-27 | 2012-12-04 | Microsoft Corporation | Encryption scheme for streamed multimedia content protected by rights management system |
| US7769880B2 (en) | 2005-07-07 | 2010-08-03 | Microsoft Corporation | Carrying protected content using a control protocol for streaming and a transport protocol |
| US8321690B2 (en) | 2005-08-11 | 2012-11-27 | Microsoft Corporation | Protecting digital media of various content types |
| US7720096B2 (en) | 2005-10-13 | 2010-05-18 | Microsoft Corporation | RTP payload format for VC-1 |
| JP2009513049A (ja) * | 2005-10-21 | 2009-03-26 | サントル・ナショナル・ドゥ・ラ・レシェルシュ・サイエンティフィーク−セ・エン・エール・エス− | セキュアなデータ転送のための方法 |
| JP2008035272A (ja) * | 2006-07-28 | 2008-02-14 | Canon Inc | 情報処理システム及び当該システムにおけるデータ通信方法 |
| JP2008236561A (ja) * | 2007-03-22 | 2008-10-02 | Nec Corp | 通信システム及び該システムに用いられる通信方法、通信プログラム |
| JPWO2009066344A1 (ja) * | 2007-11-19 | 2011-03-31 | デュアキシズ株式会社 | 通信制御装置、通信制御システム及び通信制御方法 |
| JP2009246801A (ja) * | 2008-03-31 | 2009-10-22 | Fujitsu Microelectronics Ltd | 分割されたパケットの暗号化方法、分割暗号化パケットの復号方法、暗号化装置及びプログラム |
| KR101294768B1 (ko) | 2010-09-16 | 2013-08-08 | 삼성에스엔에스 주식회사 | Wsmp의 데이터 송수신 장치 및 그 방법 |
| JP2015207878A (ja) * | 2014-04-18 | 2015-11-19 | 富士電機株式会社 | 制御システム間通信システム、及び通信制御方法 |
| JP2017168981A (ja) * | 2016-03-15 | 2017-09-21 | Necプラットフォームズ株式会社 | 通信装置および通信システム |
| WO2020161842A1 (ja) * | 2019-02-06 | 2020-08-13 | コネクトフリー株式会社 | データ送信方法、通信処理方法、装置、および通信処理プログラム |
| JPWO2020161842A1 (ja) * | 2019-02-06 | 2021-12-02 | コネクトフリー株式会社 | データ送信方法、通信処理方法、装置、および通信処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20020015422A1 (en) | 2002-02-07 |
| GB0115770D0 (en) | 2001-08-22 |
| GB2368503A (en) | 2002-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2002044135A (ja) | 暗号装置及び暗号通信システム | |
| US8447968B2 (en) | Air-interface application layer security for wireless networks | |
| US6970446B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
| US7548532B2 (en) | Method and apparatus to provide inline encryption and decryption for a wireless station via data streaming over a fast network | |
| US8468337B2 (en) | Secure data transfer over a network | |
| EP1303940B1 (en) | Secure packet-based data broadcasting architecture | |
| US5235644A (en) | Probabilistic cryptographic processing method | |
| KR100480225B1 (ko) | 데이터 안전화 통신장치 및 그 방법 | |
| US5099517A (en) | Frame status encoding for communication networks | |
| JP2001517020A (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| JP2001156770A (ja) | 暗号同期情報の自動再同期 | |
| CN113727058A (zh) | 一种多媒体会议数据处理方法、系统、设备及存储介质 | |
| JPH06318939A (ja) | 暗号通信システム | |
| JPH09312642A (ja) | データ通信方式 | |
| JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
| JP2693881B2 (ja) | 通信ネットワークで使用される暗号処理装置及び方法 | |
| CN100450119C (zh) | 在ip视频会议系统中进行密文传输的方法 | |
| JPH11243388A (ja) | 暗号通信システム | |
| JPH0646052A (ja) | 高速トランスポートメカニズムにおける暗号化方式 | |
| EP4346255A1 (en) | Encrypted satellite communications | |
| CN113938882A (zh) | 一种无线局域网通信系统的加解密方法及装置 | |
| CN115361678A (zh) | VoLTE语音加密优化实现方法、终端及系统 | |
| CN116405264A (zh) | 一种单包授权的方法及系统 | |
| CN114302503A (zh) | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 | |
| JPH01225250A (ja) | 音声パケット暗号装置 |