JP2002185540A - 暗号装置、暗号化器および復号器 - Google Patents
暗号装置、暗号化器および復号器Info
- Publication number
- JP2002185540A JP2002185540A JP2001323023A JP2001323023A JP2002185540A JP 2002185540 A JP2002185540 A JP 2002185540A JP 2001323023 A JP2001323023 A JP 2001323023A JP 2001323023 A JP2001323023 A JP 2001323023A JP 2002185540 A JP2002185540 A JP 2002185540A
- Authority
- JP
- Japan
- Prior art keywords
- plaintext
- network
- data
- header
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 既存のネットワークシステムに容易に設置で
きる暗号装置、暗号化器および復号器を得ることを目的
とする。 【解決手段】 平文ネットワークから受信した平文デー
タを暗号化すると共に、アドレスと他の暗号装置との予
め定められた対応関係を参照し、平文データのヘッダに
設定されたアドレスに対応する暗号装置に基づいて新規
にヘッダを設定するエンカプセル処理を行って生成した
暗号データを上記平文ネットワークと同一IPサブネッ
トの暗号文ネットワークへ送信する暗号化/エンカプセ
ル処理部と、暗号文ネットワークから受信した暗号デー
タを平文データに復号すると共に、当該平文データのヘ
ッダに設定されたアドレスに基づいてヘッダを再設定す
るデカプセル処理を行って生成した平文データを上記暗
号文ネットワークと同一IPサブネットの平文ネットワ
ークへ送信する復号/デカプセル処理部とを備える。
きる暗号装置、暗号化器および復号器を得ることを目的
とする。 【解決手段】 平文ネットワークから受信した平文デー
タを暗号化すると共に、アドレスと他の暗号装置との予
め定められた対応関係を参照し、平文データのヘッダに
設定されたアドレスに対応する暗号装置に基づいて新規
にヘッダを設定するエンカプセル処理を行って生成した
暗号データを上記平文ネットワークと同一IPサブネッ
トの暗号文ネットワークへ送信する暗号化/エンカプセ
ル処理部と、暗号文ネットワークから受信した暗号デー
タを平文データに復号すると共に、当該平文データのヘ
ッダに設定されたアドレスに基づいてヘッダを再設定す
るデカプセル処理を行って生成した平文データを上記暗
号文ネットワークと同一IPサブネットの平文ネットワ
ークへ送信する復号/デカプセル処理部とを備える。
Description
【0001】
【発明の属する技術分野】本発明は、平文ネットワーク
と暗号文ネットワークとの間でデータを中継する装置に
関し、特に、平文データを暗号化すると共に暗号データ
を復号する暗号装置、平文データを暗号化する暗号化
器、暗号データを復号する復号器に関するものである。
と暗号文ネットワークとの間でデータを中継する装置に
関し、特に、平文データを暗号化すると共に暗号データ
を復号する暗号装置、平文データを暗号化する暗号化
器、暗号データを復号する復号器に関するものである。
【0002】
【従来の技術】IPSEC(RFC2401〜2410)に代表されるエン
カプセル暗号化方式を使用した暗号装置のネットワーク
上での基本アーキテクチャは、ルータまたは端末が想定
されている。図12は、従来の一般的なネットワーク構
成を示す構成図である。図12に示すネットワークに、
ルータまたは端末を基本アーキテクチャとした暗号装置
を設置し、暗号通信システムを構築する事例を以下に説
明する。
カプセル暗号化方式を使用した暗号装置のネットワーク
上での基本アーキテクチャは、ルータまたは端末が想定
されている。図12は、従来の一般的なネットワーク構
成を示す構成図である。図12に示すネットワークに、
ルータまたは端末を基本アーキテクチャとした暗号装置
を設置し、暗号通信システムを構築する事例を以下に説
明する。
【0003】図12において、S1はローカルネットワー
クLN1に接続された端末、S2はローカルネットワークLN2
に接続された端末、R1はローカルネットワークLN1とイ
ンターネットINを接続するルータ、R2はローカルネット
ワークLN2とインターネットINを接続するルータであ
り、上記端末S1と上記端末S2は、上記インターネットIN
を介して通信を実施する。また、一般的にインターネッ
トINに接続されるルータR1、ルータR2では、フィルタな
どのファイアウォール機能が働いている場合が多い。な
お、ローカルネットワークLN1、LN2内にはローカルネッ
トワークを構成する複数のルータが存在する場合が一般
的である。
クLN1に接続された端末、S2はローカルネットワークLN2
に接続された端末、R1はローカルネットワークLN1とイ
ンターネットINを接続するルータ、R2はローカルネット
ワークLN2とインターネットINを接続するルータであ
り、上記端末S1と上記端末S2は、上記インターネットIN
を介して通信を実施する。また、一般的にインターネッ
トINに接続されるルータR1、ルータR2では、フィルタな
どのファイアウォール機能が働いている場合が多い。な
お、ローカルネットワークLN1、LN2内にはローカルネッ
トワークを構成する複数のルータが存在する場合が一般
的である。
【0004】図13は、図12に示したネットワークに
ルータを基本アーキテクチャとした暗号装置(以下、ル
ータ型暗号装置)を設置した場合のネットワーク構成を
示す構成図である。図13において、ROE1はローカルネ
ットワークLN1側のルータ型暗号装置、ROE2はローカル
ネットワークLN2側のルータ型暗号装置、SN1は上記ルー
タ型暗号装置ROE1を設置するために新たに定義したサブ
ネット、SN2は上記ルータ型暗号装置ROE2を設置するた
めに新たに定義したサブネット、インタネットVPNは、
上記ルータ型暗号装置ROE1およびルータ型暗号装置ROE2
を設置することによって構成可能となるインタネット上
のVPN(Virtual Private Network)である。ローカルネ
ットワークLN1からLN2への通信データの流れを図中太線
矢印(実線部分:平文、点線部分:暗号文)で示す。
ルータを基本アーキテクチャとした暗号装置(以下、ル
ータ型暗号装置)を設置した場合のネットワーク構成を
示す構成図である。図13において、ROE1はローカルネ
ットワークLN1側のルータ型暗号装置、ROE2はローカル
ネットワークLN2側のルータ型暗号装置、SN1は上記ルー
タ型暗号装置ROE1を設置するために新たに定義したサブ
ネット、SN2は上記ルータ型暗号装置ROE2を設置するた
めに新たに定義したサブネット、インタネットVPNは、
上記ルータ型暗号装置ROE1およびルータ型暗号装置ROE2
を設置することによって構成可能となるインタネット上
のVPN(Virtual Private Network)である。ローカルネ
ットワークLN1からLN2への通信データの流れを図中太線
矢印(実線部分:平文、点線部分:暗号文)で示す。
【0005】ところが、図13に示すように、ルータ型
暗号装置ROE1をローカルネットワークLN1に設置する場
合、ルータ型暗号装置ROE1というルータが、新たにロー
カルネットワークLN1に設置されるため、当該ローカル
ネットワークLN1内の端末およびルータのネットワーク
パラメータの設定をこれに合わせて変更する必要があ
る。また、ルータ型暗号装置ROE2を設置するローカルネ
ットワークLN2でも、同様の変更を実施する必要があ
る。
暗号装置ROE1をローカルネットワークLN1に設置する場
合、ルータ型暗号装置ROE1というルータが、新たにロー
カルネットワークLN1に設置されるため、当該ローカル
ネットワークLN1内の端末およびルータのネットワーク
パラメータの設定をこれに合わせて変更する必要があ
る。また、ルータ型暗号装置ROE2を設置するローカルネ
ットワークLN2でも、同様の変更を実施する必要があ
る。
【0006】また、図14は、図12に示したネットワ
ークに端末を基本アーキテクチャとした暗号装置(以
下、端末型暗号装置)を設置した場合のネットワーク構
成を示す構成図である。図14において、SE1はローカ
ルネットワークLN1側の端末型暗号装置、SE2はローカル
ネットワークLN2側の端末型暗号装置、インタネットVPN
は、上記端末型暗号装置SE1および端末型暗号装置SE2を
設置することによって構成可能となるインタネット上の
VPNである。ローカルネットワークLN1からLN2への通信
データの流れを図中太線矢印(実線部分:平文、点線部
分:暗号文)で示す。
ークに端末を基本アーキテクチャとした暗号装置(以
下、端末型暗号装置)を設置した場合のネットワーク構
成を示す構成図である。図14において、SE1はローカ
ルネットワークLN1側の端末型暗号装置、SE2はローカル
ネットワークLN2側の端末型暗号装置、インタネットVPN
は、上記端末型暗号装置SE1および端末型暗号装置SE2を
設置することによって構成可能となるインタネット上の
VPNである。ローカルネットワークLN1からLN2への通信
データの流れを図中太線矢印(実線部分:平文、点線部
分:暗号文)で示す。
【0007】ところが、図14に示すように、端末型暗
号装置SE1をローカルネットワークLN1に設置する場合、
ローカルネットワークLN1からの通信データの宛先が上
記端末型暗号装置SE1となるように、上記ローカルネッ
トワークLN1内の端末およびルータのネットワークパラ
メータの設定を変更する必要がある。また、端末型暗号
装置SE2を設置するローカルネットワークLN2でも、同様
の変更を実施する必要がある。
号装置SE1をローカルネットワークLN1に設置する場合、
ローカルネットワークLN1からの通信データの宛先が上
記端末型暗号装置SE1となるように、上記ローカルネッ
トワークLN1内の端末およびルータのネットワークパラ
メータの設定を変更する必要がある。また、端末型暗号
装置SE2を設置するローカルネットワークLN2でも、同様
の変更を実施する必要がある。
【0008】
【発明が解決しようとする課題】このように、従来、エ
ンカプセル暗号化方式を使用した暗号装置を新たにネッ
トワーク上に設置する場合は、その暗号装置に接続され
たローカルネットワーク内の端末およびルータのネット
ワークパラメータの設定を変更する必要があるという問
題点があった。
ンカプセル暗号化方式を使用した暗号装置を新たにネッ
トワーク上に設置する場合は、その暗号装置に接続され
たローカルネットワーク内の端末およびルータのネット
ワークパラメータの設定を変更する必要があるという問
題点があった。
【0009】本発明は、上記のような問題点を解決する
ためになされたもので、暗号装置を設置する際における
ネットワーク上の他の機器のネットワークパラメータの
変更作業をなくし、既存のネットワークシステムに容易
に設置できる暗号装置、暗号化器および復号器を得るこ
とを目的とする。
ためになされたもので、暗号装置を設置する際における
ネットワーク上の他の機器のネットワークパラメータの
変更作業をなくし、既存のネットワークシステムに容易
に設置できる暗号装置、暗号化器および復号器を得るこ
とを目的とする。
【0010】
【課題を解決するための手段】この発明に係る暗号装置
は、平文ネットワークと暗号文ネットワークとの間でデ
ータを中継するものであって、上記平文ネットワークか
ら受信した平文データを暗号化すると共に、アドレスと
他の暗号装置との予め定められた対応関係に基づいて、
上記平文データのヘッダに設定されたアドレスに対応す
る暗号装置を決定し、当該決定した他の暗号装置に基づ
いて新規にヘッダを設定するエンカプセル処理を行って
生成した暗号データを上記平文ネットワークと同一IP
サブネットの暗号文ネットワークへ送信する暗号化/エ
ンカプセル処理部と、上記暗号文ネットワークから受信
した暗号データを平文データに復号すると共に、当該平
文データのヘッダに設定されたアドレスに基づいてヘッ
ダを再設定するデカプセル処理を行って生成した平文デ
ータを上記暗号文ネットワークと同一IPサブネットの
平文ネットワークへ送信する復号/デカプセル処理部と
を備えたものである。
は、平文ネットワークと暗号文ネットワークとの間でデ
ータを中継するものであって、上記平文ネットワークか
ら受信した平文データを暗号化すると共に、アドレスと
他の暗号装置との予め定められた対応関係に基づいて、
上記平文データのヘッダに設定されたアドレスに対応す
る暗号装置を決定し、当該決定した他の暗号装置に基づ
いて新規にヘッダを設定するエンカプセル処理を行って
生成した暗号データを上記平文ネットワークと同一IP
サブネットの暗号文ネットワークへ送信する暗号化/エ
ンカプセル処理部と、上記暗号文ネットワークから受信
した暗号データを平文データに復号すると共に、当該平
文データのヘッダに設定されたアドレスに基づいてヘッ
ダを再設定するデカプセル処理を行って生成した平文デ
ータを上記暗号文ネットワークと同一IPサブネットの
平文ネットワークへ送信する復号/デカプセル処理部と
を備えたものである。
【0011】次の発明に係る暗号装置は、上記暗号化/
エンカプセル処理部は、上記平文ネットワークから受信
した平文データを暗号化すると共に、アドレスと他の暗
号装置との予め定められた対応関係に基づいて、上記平
文データのIPヘッダに設定されたアドレスに対応する
暗号装置を決定し、当該決定した他の暗号装置に基づい
て新規にIPヘッダを設定するエンカプセル処理を行う
暗号化/エンカプセル処理ブロックと、当該暗号化/エ
ンカプセル処理ブロックで設定されたIPヘッダに基づ
いて、MACヘッダを設定して生成した暗号データを上
記平文ネットワークと同一IPサブネットの暗号文ネッ
トワークへ送信する暗号側MACアドレス解決ブロック
とで構成され、上記復号/デカプセル処理部は、上記暗
号文ネットワークから受信した暗号データを平文データ
に復号すると共に、当該平文データのIPヘッダに設定
されたアドレスに基づいてIPヘッダを再設定するデカ
プセル処理を行う復号/デカプセル処理ブロックと、当
該復号/デカプセル処理ブロックで設定されたIPヘッ
ダに基づいてMACヘッダを設定して生成した平文デー
タを上記暗号文ネットワークと同一IPサブネットの平
文ネットワークへ送信する平文側MACアドレス解決ブ
ロックとで構成されたものである。
エンカプセル処理部は、上記平文ネットワークから受信
した平文データを暗号化すると共に、アドレスと他の暗
号装置との予め定められた対応関係に基づいて、上記平
文データのIPヘッダに設定されたアドレスに対応する
暗号装置を決定し、当該決定した他の暗号装置に基づい
て新規にIPヘッダを設定するエンカプセル処理を行う
暗号化/エンカプセル処理ブロックと、当該暗号化/エ
ンカプセル処理ブロックで設定されたIPヘッダに基づ
いて、MACヘッダを設定して生成した暗号データを上
記平文ネットワークと同一IPサブネットの暗号文ネッ
トワークへ送信する暗号側MACアドレス解決ブロック
とで構成され、上記復号/デカプセル処理部は、上記暗
号文ネットワークから受信した暗号データを平文データ
に復号すると共に、当該平文データのIPヘッダに設定
されたアドレスに基づいてIPヘッダを再設定するデカ
プセル処理を行う復号/デカプセル処理ブロックと、当
該復号/デカプセル処理ブロックで設定されたIPヘッ
ダに基づいてMACヘッダを設定して生成した平文デー
タを上記暗号文ネットワークと同一IPサブネットの平
文ネットワークへ送信する平文側MACアドレス解決ブ
ロックとで構成されたものである。
【0012】次の発明に係る暗号装置は、上記復号/デ
カプセル処理ブロックの復号結果に基づいて、上記暗号
文ネットワークから受信した暗号データを透過中継情
報、廃棄情報、平文情報のいずれかに識別し、透過中継
情報の場合はそのまま上記暗号データを上記平文ネット
ワークに送信し、廃棄情報の場合は上記暗号データを廃
棄し、平文情報の場合は上記復号/デカプセル処理ブロ
ックで復号された平文データを上記平文側MACアドレ
ス解決ブロックに出力する平文フィルタを備え、上記平
文側MACアドレス解決ブロックは、上記平文フィルタ
から出力された平文データにMACヘッダを設定して平
文ネットワークへ送信するように構成されたものであ
る。
カプセル処理ブロックの復号結果に基づいて、上記暗号
文ネットワークから受信した暗号データを透過中継情
報、廃棄情報、平文情報のいずれかに識別し、透過中継
情報の場合はそのまま上記暗号データを上記平文ネット
ワークに送信し、廃棄情報の場合は上記暗号データを廃
棄し、平文情報の場合は上記復号/デカプセル処理ブロ
ックで復号された平文データを上記平文側MACアドレ
ス解決ブロックに出力する平文フィルタを備え、上記平
文側MACアドレス解決ブロックは、上記平文フィルタ
から出力された平文データにMACヘッダを設定して平
文ネットワークへ送信するように構成されたものであ
る。
【0013】次の発明に係る暗号装置は、上記平文ネッ
トワークから受信した平文データを透過中継情報、廃棄
情報、暗号情報のいずれかに識別し、透過中継情報の場
合はそのまま上記平文データを上記暗号文ネットワーク
に送信し、廃棄情報の場合は上記平文データを廃棄し、
暗号情報の場合は上記平文データを上記復号/デカプセ
ル処理部に出力する暗号フィルタを備え、上記暗号化/
エンカプセル処理部は、上記暗号フィルタから出力され
た平文データから暗号データを生成して暗号文ネットワ
ークへ送信するように構成されたものである。
トワークから受信した平文データを透過中継情報、廃棄
情報、暗号情報のいずれかに識別し、透過中継情報の場
合はそのまま上記平文データを上記暗号文ネットワーク
に送信し、廃棄情報の場合は上記平文データを廃棄し、
暗号情報の場合は上記平文データを上記復号/デカプセ
ル処理部に出力する暗号フィルタを備え、上記暗号化/
エンカプセル処理部は、上記暗号フィルタから出力され
た平文データから暗号データを生成して暗号文ネットワ
ークへ送信するように構成されたものである。
【0014】次の発明に係る暗号装置は、自身宛に送信
された自局宛情報を処理する端末機能ブロックと、上記
平文ネットワークから受信した平文データを自局宛情
報、廃棄情報のいずれかに識別し、自局宛情報の場合は
上記平文データを上記端末機能ブロックに出力し、廃棄
情報の場合は上記平文データまたは暗号データを廃棄す
る平文自局フィルタと、上記暗号文ネットワークから受
信した暗号データを自局宛情報、廃棄情報のいずれかに
識別し、自局宛情報の場合は上記暗号データを上記端末
機能ブロックに出力し、廃棄情報の場合は上記暗号デー
タを廃棄する暗号自局フィルタと、上記端末機能ブロッ
クから出力された自局出力情報を平文ネットワークへの
透過中継情報であるか識別し、平文ネットワークへの透
過中継情報である場合にそのまま上記自局出力情報を上
記平文ネットワークに送信する自局平文フィルタと、上
記端末機能ブロックから出力された自局出力情報を暗号
文ネットワークへの暗号情報であるか識別し、暗号文ネ
ットワークへの暗号情報である場合に上記自局出力情報
を上記復号/デカプセル処理部に出力する自局暗号フィ
ルタと、上記端末機能ブロックから出力された自局出力
情報を廃棄情報であるか識別し、廃棄情報である場合に
上記自局出力情報を廃棄する自局廃棄フィルタとを備え
たものである。
された自局宛情報を処理する端末機能ブロックと、上記
平文ネットワークから受信した平文データを自局宛情
報、廃棄情報のいずれかに識別し、自局宛情報の場合は
上記平文データを上記端末機能ブロックに出力し、廃棄
情報の場合は上記平文データまたは暗号データを廃棄す
る平文自局フィルタと、上記暗号文ネットワークから受
信した暗号データを自局宛情報、廃棄情報のいずれかに
識別し、自局宛情報の場合は上記暗号データを上記端末
機能ブロックに出力し、廃棄情報の場合は上記暗号デー
タを廃棄する暗号自局フィルタと、上記端末機能ブロッ
クから出力された自局出力情報を平文ネットワークへの
透過中継情報であるか識別し、平文ネットワークへの透
過中継情報である場合にそのまま上記自局出力情報を上
記平文ネットワークに送信する自局平文フィルタと、上
記端末機能ブロックから出力された自局出力情報を暗号
文ネットワークへの暗号情報であるか識別し、暗号文ネ
ットワークへの暗号情報である場合に上記自局出力情報
を上記復号/デカプセル処理部に出力する自局暗号フィ
ルタと、上記端末機能ブロックから出力された自局出力
情報を廃棄情報であるか識別し、廃棄情報である場合に
上記自局出力情報を廃棄する自局廃棄フィルタとを備え
たものである。
【0015】また、次の発明に係る暗号化器は、平文ネ
ットワークと暗号文ネットワークとの間でデータを中継
するものであって、上記平文ネットワークから受信した
平文データを暗号化すると共に、アドレスと他の暗号装
置との予め定められた対応関係に基づいて、上記平文デ
ータのヘッダに設定されたアドレスに対応する暗号装置
を決定し、当該決定した他の暗号装置に基づいて新規に
ヘッダを設定するエンカプセル処理を行って生成した暗
号データを上記平文ネットワークと同一IPサブネット
の暗号文ネットワークへ送信する暗号化/エンカプセル
処理部を備えたものである。
ットワークと暗号文ネットワークとの間でデータを中継
するものであって、上記平文ネットワークから受信した
平文データを暗号化すると共に、アドレスと他の暗号装
置との予め定められた対応関係に基づいて、上記平文デ
ータのヘッダに設定されたアドレスに対応する暗号装置
を決定し、当該決定した他の暗号装置に基づいて新規に
ヘッダを設定するエンカプセル処理を行って生成した暗
号データを上記平文ネットワークと同一IPサブネット
の暗号文ネットワークへ送信する暗号化/エンカプセル
処理部を備えたものである。
【0016】また、次の発明に係る復号器は、平文ネッ
トワークと暗号文ネットワークとの間でデータを中継す
るものであって、上記暗号文ネットワークから受信した
暗号データを平文データに復号すると共に、当該平文デ
ータのヘッダに設定されたアドレスに基づいてヘッダを
再設定するデカプセル処理を行って生成した平文データ
を上記暗号文ネットワークと同一IPサブネットの平文
ネットワークへ送信する復号/デカプセル処理部を備え
たものである。
トワークと暗号文ネットワークとの間でデータを中継す
るものであって、上記暗号文ネットワークから受信した
暗号データを平文データに復号すると共に、当該平文デ
ータのヘッダに設定されたアドレスに基づいてヘッダを
再設定するデカプセル処理を行って生成した平文データ
を上記暗号文ネットワークと同一IPサブネットの平文
ネットワークへ送信する復号/デカプセル処理部を備え
たものである。
【0017】
【発明の実施の形態】以下、本発明の暗号装置の実施の
形態を説明する。 実施の形態1.図1は、実施の形態1の暗号装置であ
り、ネットワーク上に既存の各機器のネットワークパラ
メータを変更せずに設置可能なリピータを基本アーキテ
クチャとした暗号装置(以下、リピータ型暗号装置)の
機能ブロック構成を示す構成図である。
形態を説明する。 実施の形態1.図1は、実施の形態1の暗号装置であ
り、ネットワーク上に既存の各機器のネットワークパラ
メータを変更せずに設置可能なリピータを基本アーキテ
クチャとした暗号装置(以下、リピータ型暗号装置)の
機能ブロック構成を示す構成図である。
【0018】図1において、端末機能ブロック1は、リ
ピータ型暗号装置自身に送信された自局宛情報、ここで
は、パケットとして送信された自局宛パケット、例え
ば、リピータ型暗号装置を管理するための管理パケット
等の処理を実施する機能ブロックであり、ネットワーク
に接続されたIP(Internet Protocol)接続機能を有
する一般の端末と同等の機能を有する。
ピータ型暗号装置自身に送信された自局宛情報、ここで
は、パケットとして送信された自局宛パケット、例え
ば、リピータ型暗号装置を管理するための管理パケット
等の処理を実施する機能ブロックであり、ネットワーク
に接続されたIP(Internet Protocol)接続機能を有
する一般の端末と同等の機能を有する。
【0019】リピータ機能ブロック2は、リピータと同
様にネットワーク上に既存の各機器のネットワークパラ
メータを変更せずに、データを暗号化および復号する機
能(以下、リピータ機能)を有する。
様にネットワーク上に既存の各機器のネットワークパラ
メータを変更せずに、データを暗号化および復号する機
能(以下、リピータ機能)を有する。
【0020】平文Port20は、平文ネットワーク側に位置
する内部の論理的なポートであり、平文ネットワークか
ら受信した平文データ、ここでは、パケットとして送信
された平文パケットを後述する暗号Port21および自局Po
rt22に転送すると共に、上記暗号Port21または自局Port
22から転送されたデータ、ここではパケットを後述する
平文出力フィルタ25に出力する。
する内部の論理的なポートであり、平文ネットワークか
ら受信した平文データ、ここでは、パケットとして送信
された平文パケットを後述する暗号Port21および自局Po
rt22に転送すると共に、上記暗号Port21または自局Port
22から転送されたデータ、ここではパケットを後述する
平文出力フィルタ25に出力する。
【0021】暗号Port21は、暗号文ネットワーク側に位
置する内部の論理的なポートであり、暗号文ネットワー
クから受信した暗号データ、ここでは、パケットとして
送信された暗号パケットを上記平文Port20および自局Po
rt22に転送すると共に、上記平文Port20または自局Port
22から転送されたデータ、ここではパケットを後述する
暗号出力フィルタ23に出力する。
置する内部の論理的なポートであり、暗号文ネットワー
クから受信した暗号データ、ここでは、パケットとして
送信された暗号パケットを上記平文Port20および自局Po
rt22に転送すると共に、上記平文Port20または自局Port
22から転送されたデータ、ここではパケットを後述する
暗号出力フィルタ23に出力する。
【0022】自局Port22は、端末機能ブロック側に位置
する内部の論理的なポートであり、端末機能ブロック1
から出力された自局出力情報、ここではパケットを上記
平文Port20および暗号Port21に転送すると共に、上記平
文Port20または暗号Port21から転送されたパケットを自
局出力フィルタ24に出力する。
する内部の論理的なポートであり、端末機能ブロック1
から出力された自局出力情報、ここではパケットを上記
平文Port20および暗号Port21に転送すると共に、上記平
文Port20または暗号Port21から転送されたパケットを自
局出力フィルタ24に出力する。
【0023】暗号出力フィルタ23は、上記暗号Port21へ
転送されたパケットに対するフィルタであり、上記パケ
ットが暗号Port21から送信する必要のない廃棄パケッ
ト、何も処理せずに暗号文ネットワークに透過中継する
透過中継パケット、および暗号化処理を必要とする暗号
パケットのいずれかであるか識別し、廃棄パケットであ
る場合は廃棄し、透過中継パケットである場合は暗号文
ネットワークに送信し、暗号パケットの場合は後述する
暗号化/エンカプセル処理ブロックに出力する。
転送されたパケットに対するフィルタであり、上記パケ
ットが暗号Port21から送信する必要のない廃棄パケッ
ト、何も処理せずに暗号文ネットワークに透過中継する
透過中継パケット、および暗号化処理を必要とする暗号
パケットのいずれかであるか識別し、廃棄パケットであ
る場合は廃棄し、透過中継パケットである場合は暗号文
ネットワークに送信し、暗号パケットの場合は後述する
暗号化/エンカプセル処理ブロックに出力する。
【0024】すなわちここでは、上記暗号出力フィルタ
23は、平文ネットワークから受信した平文データを透過
中継情報、廃棄情報、暗号情報のいずれかに識別し、透
過中継情報の場合はそのまま上記平文データを上記暗号
文ネットワークに送信し、廃棄情報の場合は上記平文デ
ータを廃棄し、暗号情報の場合は上記平文データを復号
/デカプセル処理部に出力する暗号フィルタと、端末機
能ブロック1から出力された自局出力情報を暗号文ネッ
トワークへの暗号情報であるか識別し、暗号文ネットワ
ークへの暗号情報である場合に上記自局出力情報を復号
/デカプセル処理部に出力する自局暗号フィルタと、上
記端末機能ブロック1から出力された自局出力情報を廃
棄情報であるか識別し、廃棄情報である場合に上記自局
出力情報を廃棄する自局廃棄フィルタとで成り、さら
に、上記自局出力情報が暗号文ネットワークへの透過中
継情報の場合はそのまま上記自局出力情報を上記暗号文
ネットワークに送信するように構成されている。
23は、平文ネットワークから受信した平文データを透過
中継情報、廃棄情報、暗号情報のいずれかに識別し、透
過中継情報の場合はそのまま上記平文データを上記暗号
文ネットワークに送信し、廃棄情報の場合は上記平文デ
ータを廃棄し、暗号情報の場合は上記平文データを復号
/デカプセル処理部に出力する暗号フィルタと、端末機
能ブロック1から出力された自局出力情報を暗号文ネッ
トワークへの暗号情報であるか識別し、暗号文ネットワ
ークへの暗号情報である場合に上記自局出力情報を復号
/デカプセル処理部に出力する自局暗号フィルタと、上
記端末機能ブロック1から出力された自局出力情報を廃
棄情報であるか識別し、廃棄情報である場合に上記自局
出力情報を廃棄する自局廃棄フィルタとで成り、さら
に、上記自局出力情報が暗号文ネットワークへの透過中
継情報の場合はそのまま上記自局出力情報を上記暗号文
ネットワークに送信するように構成されている。
【0025】自局出力フィルタ24は、上記自局Port22へ
転送されたパケットに対するフィルタであり、上記パケ
ットが自局Port22から送信(端末機能ブロックへ通知)
する必要がある自局宛パケットか、必要がない廃棄パケ
ットかを識別し、自局宛パケットの場合は端末機能ブロ
ックへ送信し、廃棄パケットの場合は廃棄する。
転送されたパケットに対するフィルタであり、上記パケ
ットが自局Port22から送信(端末機能ブロックへ通知)
する必要がある自局宛パケットか、必要がない廃棄パケ
ットかを識別し、自局宛パケットの場合は端末機能ブロ
ックへ送信し、廃棄パケットの場合は廃棄する。
【0026】すなわちここでは、上記自局出力フィルタ
24は、平文ネットワークから受信した平文データを自局
宛情報、廃棄情報のいずれかに識別し、自局宛情報の場
合は上記平文データを上記端末機能ブロックに出力し、
廃棄情報の場合は上記平文データまたは暗号データを廃
棄する平文自局フィルタ、および、暗号文ネットワーク
から受信した暗号データを自局宛情報、廃棄情報のいず
れかに識別し、自局宛情報の場合は上記暗号データを上
記端末機能ブロックに出力し、廃棄情報の場合は上記暗
号データを廃棄する暗号自局フィルタとで構成されてい
る。
24は、平文ネットワークから受信した平文データを自局
宛情報、廃棄情報のいずれかに識別し、自局宛情報の場
合は上記平文データを上記端末機能ブロックに出力し、
廃棄情報の場合は上記平文データまたは暗号データを廃
棄する平文自局フィルタ、および、暗号文ネットワーク
から受信した暗号データを自局宛情報、廃棄情報のいず
れかに識別し、自局宛情報の場合は上記暗号データを上
記端末機能ブロックに出力し、廃棄情報の場合は上記暗
号データを廃棄する暗号自局フィルタとで構成されてい
る。
【0027】平文出力フィルタ25は、上記平文Port20へ
転送されたパケットに対するフィルタであり、上記パケ
ットが平文Port20から送信する必要のない廃棄パケッ
ト、何も処理せずに平文ネットワークに透過中継する透
過中継パケット、後述する復号/デカプセル処理27によ
って復号化およびデカプセル処理を実施された平文パケ
ットのいずれかであるか識別し、廃棄パケットである場
合は廃棄し、透過中継パケットである場合は平文ネット
ワークに送信し、平文パケットである場合は後述する平
文側MACアドレス解決ブロック29に出力する。
転送されたパケットに対するフィルタであり、上記パケ
ットが平文Port20から送信する必要のない廃棄パケッ
ト、何も処理せずに平文ネットワークに透過中継する透
過中継パケット、後述する復号/デカプセル処理27によ
って復号化およびデカプセル処理を実施された平文パケ
ットのいずれかであるか識別し、廃棄パケットである場
合は廃棄し、透過中継パケットである場合は平文ネット
ワークに送信し、平文パケットである場合は後述する平
文側MACアドレス解決ブロック29に出力する。
【0028】すなわちここでは、上記平文出力フィルタ
25は、後述する復号/デカプセル処理ブロックの復号結
果に基づいて、暗号文ネットワークから受信した暗号デ
ータを透過中継情報、廃棄情報、平文情報のいずれかに
識別し、透過中継情報の場合はそのまま上記暗号データ
を上記平文ネットワークに送信し、廃棄情報の場合は上
記暗号データを廃棄し、平文情報の場合は上記復号/デ
カプセル処理ブロックで復号された平文データを上記平
文側MACアドレス解決ブロックに出力する平文フィル
タと、上記端末機能ブロック1から出力された自局出力
情報を平文ネットワークへの透過中継情報であるか識別
し、平文ネットワークへの透過中継情報である場合にそ
のまま上記自局出力情報を上記平文ネットワークに送信
する自局平文フィルタと、上記端末機能ブロック1から
出力された自局出力情報を廃棄情報であるか識別し、廃
棄情報である場合に上記自局出力情報を廃棄する自局廃
棄フィルタとで構成されている。
25は、後述する復号/デカプセル処理ブロックの復号結
果に基づいて、暗号文ネットワークから受信した暗号デ
ータを透過中継情報、廃棄情報、平文情報のいずれかに
識別し、透過中継情報の場合はそのまま上記暗号データ
を上記平文ネットワークに送信し、廃棄情報の場合は上
記暗号データを廃棄し、平文情報の場合は上記復号/デ
カプセル処理ブロックで復号された平文データを上記平
文側MACアドレス解決ブロックに出力する平文フィル
タと、上記端末機能ブロック1から出力された自局出力
情報を平文ネットワークへの透過中継情報であるか識別
し、平文ネットワークへの透過中継情報である場合にそ
のまま上記自局出力情報を上記平文ネットワークに送信
する自局平文フィルタと、上記端末機能ブロック1から
出力された自局出力情報を廃棄情報であるか識別し、廃
棄情報である場合に上記自局出力情報を廃棄する自局廃
棄フィルタとで構成されている。
【0029】暗号化/エンカプセル処理ブロック26は、
平文ネットワークから受信した平文データ、ここでは平
文パケットを暗号化すると共に、アドレスと他の暗号装
置との予め定められた対応関係に基づいて、上記平文デ
ータのIPヘッダ(InternetProtocolヘッダ)に設定さ
れたアドレスに対応する暗号装置を決定し、当該決定し
た他の暗号装置に基づいて新規にIPヘッダを設定する
エンカプセル処理を行う機能を有する。
平文ネットワークから受信した平文データ、ここでは平
文パケットを暗号化すると共に、アドレスと他の暗号装
置との予め定められた対応関係に基づいて、上記平文デ
ータのIPヘッダ(InternetProtocolヘッダ)に設定さ
れたアドレスに対応する暗号装置を決定し、当該決定し
た他の暗号装置に基づいて新規にIPヘッダを設定する
エンカプセル処理を行う機能を有する。
【0030】復号/デカプセル処理ブロック27は、暗号
文ネットワークから受信した暗号データ、ここでは暗号
パケットを、平文データに復号すると共に、当該平文デ
ータのIPヘッダに設定されたアドレスに基づいてIP
ヘッダを再設定する機能を有し、さらにここでは、暗号
パケットに対して復号およびデカプセル処理が必要かど
うかを判断し、必要であれば復号およびデカプセル処理
を実施し、必要でなければそのまま上記自局Port22およ
び平文Port20に転送し、復号およびデカプセル処理時に
エラーが発生した場合、または復号およびデカプセル処
理が不必要で、かつ透過中継する必要のない場合には、
そのパケットを廃棄する機能を有する。
文ネットワークから受信した暗号データ、ここでは暗号
パケットを、平文データに復号すると共に、当該平文デ
ータのIPヘッダに設定されたアドレスに基づいてIP
ヘッダを再設定する機能を有し、さらにここでは、暗号
パケットに対して復号およびデカプセル処理が必要かど
うかを判断し、必要であれば復号およびデカプセル処理
を実施し、必要でなければそのまま上記自局Port22およ
び平文Port20に転送し、復号およびデカプセル処理時に
エラーが発生した場合、または復号およびデカプセル処
理が不必要で、かつ透過中継する必要のない場合には、
そのパケットを廃棄する機能を有する。
【0031】暗号側MACアドレス解決ブロック28は、上
記暗号化/エンカプセル処理ブロック26で設定されたI
Pヘッダに基づいて、MACヘッダ(Media Access Con
trolヘッダ)を設定して生成した暗号データを平文ネッ
トワークと同一IPサブネットの暗号文ネットワークへ
送信する機能を有する。
記暗号化/エンカプセル処理ブロック26で設定されたI
Pヘッダに基づいて、MACヘッダ(Media Access Con
trolヘッダ)を設定して生成した暗号データを平文ネッ
トワークと同一IPサブネットの暗号文ネットワークへ
送信する機能を有する。
【0032】平文側MACアドレス解決ブロック29は、上
記復号/デカプセル処理ブロック27で再設定されたIP
ヘッダに基づいてMACヘッダを設定して生成した平文
データを暗号文ネットワークと同一IPサブネットの平
文ネットワークへ送信する機能を有する。
記復号/デカプセル処理ブロック27で再設定されたIP
ヘッダに基づいてMACヘッダを設定して生成した平文
データを暗号文ネットワークと同一IPサブネットの平
文ネットワークへ送信する機能を有する。
【0033】なお、本実施の形態においては、上記暗号
化/エンカプセル処理ブロック26と、上記暗号側MAC
アドレス解決ブロック28とで、平文ネットワークから受
信した平文データを暗号化すると共に、アドレスと他の
暗号装置との予め定められた対応関係に基づいて、上記
平文データのヘッダに設定されたアドレスに対応する暗
号装置を決定し、当該決定した他の暗号装置に基づいて
新規にヘッダを設定するエンカプセル処理を行って生成
した暗号データを上記平文ネットワークと同一IPサブ
ネット(Internet Protocolサブネット)の暗号文ネッ
トワークへ送信する暗号化/エンカプセル処理部を構成
する。
化/エンカプセル処理ブロック26と、上記暗号側MAC
アドレス解決ブロック28とで、平文ネットワークから受
信した平文データを暗号化すると共に、アドレスと他の
暗号装置との予め定められた対応関係に基づいて、上記
平文データのヘッダに設定されたアドレスに対応する暗
号装置を決定し、当該決定した他の暗号装置に基づいて
新規にヘッダを設定するエンカプセル処理を行って生成
した暗号データを上記平文ネットワークと同一IPサブ
ネット(Internet Protocolサブネット)の暗号文ネッ
トワークへ送信する暗号化/エンカプセル処理部を構成
する。
【0034】また、上記復号/デカプセル処理ブロック
27と、上記平文側MACアドレス解決ブロック29とで、
暗号文ネットワークから受信した暗号データを平文デー
タに復号すると共に、当該平文データのヘッダに設定さ
れたアドレスに基づいてヘッダを再設定するデカプセル
処理を行って生成した平文データを上記暗号文ネットワ
ークと同一IPサブネットの平文ネットワークへ送信す
る復号/デカプセル処理部を構成する。
27と、上記平文側MACアドレス解決ブロック29とで、
暗号文ネットワークから受信した暗号データを平文デー
タに復号すると共に、当該平文データのヘッダに設定さ
れたアドレスに基づいてヘッダを再設定するデカプセル
処理を行って生成した平文データを上記暗号文ネットワ
ークと同一IPサブネットの平文ネットワークへ送信す
る復号/デカプセル処理部を構成する。
【0035】図2は、図1に示したリピータ暗号装置を
導入したネットワークの構成を示す構成図である。図2
において、LN1、LN2は、図1における平文ネットワーク
に相当するローカルネットワークである。S1、S2は、そ
れぞれローカルネットワークLN1、LN2に属する端末であ
る。R1、R4は、それぞれローカルネットワークLN1、LN2
内部のルータ、R2、R3は、図1における暗号ネットワー
クに相当するインターネットINとの接続ルータである。
RE1、RE2は、それぞれリピータ型暗号装置を示す。
導入したネットワークの構成を示す構成図である。図2
において、LN1、LN2は、図1における平文ネットワーク
に相当するローカルネットワークである。S1、S2は、そ
れぞれローカルネットワークLN1、LN2に属する端末であ
る。R1、R4は、それぞれローカルネットワークLN1、LN2
内部のルータ、R2、R3は、図1における暗号ネットワー
クに相当するインターネットINとの接続ルータである。
RE1、RE2は、それぞれリピータ型暗号装置を示す。
【0036】次に、図1および図2にに示したリピータ
型暗号装置の処理動作を、上記リピータ型暗号装置RE1
に着目して、図を用いて説明する。
型暗号装置の処理動作を、上記リピータ型暗号装置RE1
に着目して、図を用いて説明する。
【0037】まず、リピータ型暗号装置が平文ネットワ
ークからパケットを受信した場合の処理動作について説
明する。図3は、平文ネットワークからパケットを受信
した場合の動作フローを示すフローチャートである。
ークからパケットを受信した場合の処理動作について説
明する。図3は、平文ネットワークからパケットを受信
した場合の動作フローを示すフローチャートである。
【0038】平文ネットワークからパケットが受信され
ると(ステップA1)、その受信されたパケットは、上記
平文Port20により自局Port22、暗号Port21それぞれに転
送される(ステップA2)。
ると(ステップA1)、その受信されたパケットは、上記
平文Port20により自局Port22、暗号Port21それぞれに転
送される(ステップA2)。
【0039】自局Port22へ転送されたパケットは、自局
出力フィルタ24に出力され、当該自局出力フィルタ24に
よって、端末機能ブロックへ通知する必要がある自局宛
パケットと、必要のない廃棄パケットとに識別される
(ステップA3)。その結果、廃棄パケットの場合は、廃
棄され(ステップA4)、自局宛パケットの場合は、自局
の動作を管理するための情報が含まれた管理パケットな
どであり、端末機能ブロックへ通知される(ステップA
5)。
出力フィルタ24に出力され、当該自局出力フィルタ24に
よって、端末機能ブロックへ通知する必要がある自局宛
パケットと、必要のない廃棄パケットとに識別される
(ステップA3)。その結果、廃棄パケットの場合は、廃
棄され(ステップA4)、自局宛パケットの場合は、自局
の動作を管理するための情報が含まれた管理パケットな
どであり、端末機能ブロックへ通知される(ステップA
5)。
【0040】また、ステップA2で、暗号Port21へ転送さ
れたパケットは、暗号出力フィルタ23によって、何も処
理せずに暗号文ネットワークに透過中継する透過中継パ
ケット、暗号化処理を必要とする暗号パケット、暗号Po
rt21から送信する必要のない廃棄パケットのいずれかに
識別される(ステップA6)。
れたパケットは、暗号出力フィルタ23によって、何も処
理せずに暗号文ネットワークに透過中継する透過中継パ
ケット、暗号化処理を必要とする暗号パケット、暗号Po
rt21から送信する必要のない廃棄パケットのいずれかに
識別される(ステップA6)。
【0041】その結果、ネットワーク制御パケットなど
の透過中継パケットは、リピータ型暗号装置では何も手
を加えずに中継され(ステップA7)、暗号文ネットワー
クへ送信される(ステップA8)。
の透過中継パケットは、リピータ型暗号装置では何も手
を加えずに中継され(ステップA7)、暗号文ネットワー
クへ送信される(ステップA8)。
【0042】暗号パケットは、暗号化/エンカプセル処
理ブロック26へ通知され、当該暗号化/エンカプセル処
理ブロック26によって暗号化およびエンカプセル処理が
実施される(ステップA9)。すなわち、暗号化/エンカ
プセル処理ブロック26は、上記暗号パケットの全体を暗
号化し、新規にIPヘッダを付加する。この暗号化および
エンカプセル処理後、暗号側MACアドレス解決ブロック2
8へ通知され、MACアドレスが設定される。ここではルー
タR2のMACアドレスが設定されて(ステップA10)、暗号
文ネットワークへ送信される(ステップA8)。なお、MA
Cアドレス解決ブロック28でのMACアドレス解決方法につ
いては、後述する。廃棄パケットの場合は、廃棄される
(ステップA11)。
理ブロック26へ通知され、当該暗号化/エンカプセル処
理ブロック26によって暗号化およびエンカプセル処理が
実施される(ステップA9)。すなわち、暗号化/エンカ
プセル処理ブロック26は、上記暗号パケットの全体を暗
号化し、新規にIPヘッダを付加する。この暗号化および
エンカプセル処理後、暗号側MACアドレス解決ブロック2
8へ通知され、MACアドレスが設定される。ここではルー
タR2のMACアドレスが設定されて(ステップA10)、暗号
文ネットワークへ送信される(ステップA8)。なお、MA
Cアドレス解決ブロック28でのMACアドレス解決方法につ
いては、後述する。廃棄パケットの場合は、廃棄される
(ステップA11)。
【0043】次に、リピータ型暗号装置が暗号文ネット
ワークからパケットを受信した場合の処理動作について
説明する。図4は、暗号文ネットワークからパケットを
受信した場合の動作フローを示すフローチャートであ
る。
ワークからパケットを受信した場合の処理動作について
説明する。図4は、暗号文ネットワークからパケットを
受信した場合の動作フローを示すフローチャートであ
る。
【0044】暗号文ネットワークからパケットが受信さ
れると(ステップB1)、その受信されたパケットは、復
号/デカプセル処理ブロック27へ通知され、当該復号/
デカプセル処理ブロック27により復号およびデカプセル
処理が必要かどうかを判断される(ステップB2)。
れると(ステップB1)、その受信されたパケットは、復
号/デカプセル処理ブロック27へ通知され、当該復号/
デカプセル処理ブロック27により復号およびデカプセル
処理が必要かどうかを判断される(ステップB2)。
【0045】復号およびデカプセル処理が必要であれ
ば、復号/デカプセルされて(ステップB3)、暗号Port
21により自局Port22、平文Port20それぞれに転送され
る。すなわち、上記復号/デカプセル処理ブロック27
は、暗号側(ここでは、リピータ型暗号装置RE2)で新
規に付加されたIPヘッダおよびMACヘッダを外し、パケ
ット全体を復号し、平文にして上記自局Port22、平文Po
rt20それぞれに転送する。
ば、復号/デカプセルされて(ステップB3)、暗号Port
21により自局Port22、平文Port20それぞれに転送され
る。すなわち、上記復号/デカプセル処理ブロック27
は、暗号側(ここでは、リピータ型暗号装置RE2)で新
規に付加されたIPヘッダおよびMACヘッダを外し、パケ
ット全体を復号し、平文にして上記自局Port22、平文Po
rt20それぞれに転送する。
【0046】復号およびデカプセル処理が必要ない場合
は、そのまま、自局Port22、平文Port20それぞれに転送
される(透過中継)。また、復号およびデカプセル処理
時に認証エラーが発生した場合、または復号およびデカ
プセル処理が不必要で、かつ透過中継する必要のない場
合には、廃棄される。
は、そのまま、自局Port22、平文Port20それぞれに転送
される(透過中継)。また、復号およびデカプセル処理
時に認証エラーが発生した場合、または復号およびデカ
プセル処理が不必要で、かつ透過中継する必要のない場
合には、廃棄される。
【0047】自局Port22へ転送されたパケットは、自局
出力フィルタ24に出力され、当該自局出力フィルタ24よ
って、自局宛パケットと廃棄パケットとに識別される
(ステップB4)。その結果、前述と同様に、廃棄パケッ
トの場合は、廃棄され(ステップB5)、自局宛パケット
の場合は、端末機能ブロックへ通知される(ステップB
6)。
出力フィルタ24に出力され、当該自局出力フィルタ24よ
って、自局宛パケットと廃棄パケットとに識別される
(ステップB4)。その結果、前述と同様に、廃棄パケッ
トの場合は、廃棄され(ステップB5)、自局宛パケット
の場合は、端末機能ブロックへ通知される(ステップB
6)。
【0048】平文Port20へ転送されたパケットは、平文
出力フィルタ25によって、何も処理せずに平文ネットワ
ークに透過中継する透過中継パケット、上記復号/デカ
プセル処理27によって復号化およびデカプセル処理を実
施された平文パケット、廃棄パケットのいずれかに識別
される(ステップB7)。
出力フィルタ25によって、何も処理せずに平文ネットワ
ークに透過中継する透過中継パケット、上記復号/デカ
プセル処理27によって復号化およびデカプセル処理を実
施された平文パケット、廃棄パケットのいずれかに識別
される(ステップB7)。
【0049】その結果、ネットワーク制御パケットなど
の透過中継パケットは、リピータ型暗号装置では何も手
を加えずに中継され(ステップB8)、平文ネットワーク
へ送信される(ステップB9)。
の透過中継パケットは、リピータ型暗号装置では何も手
を加えずに中継され(ステップB8)、平文ネットワーク
へ送信される(ステップB9)。
【0050】平文パケットは、平文側MACアドレス解決
ブロックへ通知され、ルータR1のMACアドレスが設定さ
れて(ステップB10)、暗号文ネットワークへ送信され
る(ステップB9)。なお、MACアドレス解決ブロックで
のMACアドレス解決方法については、後述する。廃棄パ
ケットの場合は、廃棄される(ステップB11)。
ブロックへ通知され、ルータR1のMACアドレスが設定さ
れて(ステップB10)、暗号文ネットワークへ送信され
る(ステップB9)。なお、MACアドレス解決ブロックで
のMACアドレス解決方法については、後述する。廃棄パ
ケットの場合は、廃棄される(ステップB11)。
【0051】次に、リピータ型暗号装置において、リピ
ータ機能ブロックが端末機能ブロック1からパケットを
受信した場合の処理動作について説明する。図5は、リ
ピータ機能ブロックが端末機能ブロックからパケットを
受信した場合の動作フロー示すフローチャートである。
ータ機能ブロックが端末機能ブロック1からパケットを
受信した場合の処理動作について説明する。図5は、リ
ピータ機能ブロックが端末機能ブロックからパケットを
受信した場合の動作フロー示すフローチャートである。
【0052】端末機能ブロックからパケットが受信され
ると(ステップC1)、その受信されたパケットは、上記
自局Port22により平文Port20、暗号Port21それぞれに転
送される(ステップC2)。
ると(ステップC1)、その受信されたパケットは、上記
自局Port22により平文Port20、暗号Port21それぞれに転
送される(ステップC2)。
【0053】平文Port20へ転送されたパケットは、平文
出力フィルタ25に出力され、当該平文出力フィルタ25に
よって、透過中継パケットと廃棄パケットに識別される
(ステップC3)。その結果、廃棄パケットの場合は、廃
棄され(ステップC4)、透過中継パケットの場合は、そ
のまま、平文ネットワークへ送信される(ステップC
5)。
出力フィルタ25に出力され、当該平文出力フィルタ25に
よって、透過中継パケットと廃棄パケットに識別される
(ステップC3)。その結果、廃棄パケットの場合は、廃
棄され(ステップC4)、透過中継パケットの場合は、そ
のまま、平文ネットワークへ送信される(ステップC
5)。
【0054】また、ステップC2で、暗号Port21へ転送さ
れたパケットは、暗号出力フィルタ23によって、透過中
継パケット、暗号パケット、廃棄パケットのいずれかに
識別される(ステップC6)。その結果、ネットワーク制
御パケットなどの透過中継パケットは、リピータ型暗号
装置では何も手を加えずに中継され(ステップC7)、暗
号文ネットワークへ送信される(ステップC8)。
れたパケットは、暗号出力フィルタ23によって、透過中
継パケット、暗号パケット、廃棄パケットのいずれかに
識別される(ステップC6)。その結果、ネットワーク制
御パケットなどの透過中継パケットは、リピータ型暗号
装置では何も手を加えずに中継され(ステップC7)、暗
号文ネットワークへ送信される(ステップC8)。
【0055】暗号パケットは、暗号化/エンカプセル処
理ブロック26へ通知され、当該暗号化/エンカプセル処
理ブロック26によって暗号化およびエンカプセル処理が
実施される(ステップC9)。暗号化およびエンカプセル
処理後、暗号側MACアドレス解決ブロック28へ通知さ
れ、ルータR2のMACアドレスが設定されて(ステップC1
0)、暗号文ネットワークへ送信される(ステップC
8)。なお、MACアドレス解決ブロック28でのMACアドレ
ス解決方法については、後述する。廃棄パケットの場合
は、廃棄される(ステップC11)。
理ブロック26へ通知され、当該暗号化/エンカプセル処
理ブロック26によって暗号化およびエンカプセル処理が
実施される(ステップC9)。暗号化およびエンカプセル
処理後、暗号側MACアドレス解決ブロック28へ通知さ
れ、ルータR2のMACアドレスが設定されて(ステップC1
0)、暗号文ネットワークへ送信される(ステップC
8)。なお、MACアドレス解決ブロック28でのMACアドレ
ス解決方法については、後述する。廃棄パケットの場合
は、廃棄される(ステップC11)。
【0056】以下、MACアドレス解決ブロック28、29に
おけるMACアドレスの解決方法について説明する。
おけるMACアドレスの解決方法について説明する。
【0057】図6は、リピータ型暗号装置におけるパケ
ットの暗号(エンカプセル)または復号(デカプセル)
時のMACヘッダおよびIPヘッダの設定を説明する説明図
である。図6に示すように、IPヘッダのIPアドレスにつ
いては、リピータ型暗号装置の接続形態に依らず一義に
決定できるが、MACヘッダのMACアドレスについては、リ
ピータ型暗号装置の接続形態などによって、適切なMAC
アドレスを設定する処理が必要となる。この処理を実施
するのがMACアドレス解決ブロック28、29である。
ットの暗号(エンカプセル)または復号(デカプセル)
時のMACヘッダおよびIPヘッダの設定を説明する説明図
である。図6に示すように、IPヘッダのIPアドレスにつ
いては、リピータ型暗号装置の接続形態に依らず一義に
決定できるが、MACヘッダのMACアドレスについては、リ
ピータ型暗号装置の接続形態などによって、適切なMAC
アドレスを設定する処理が必要となる。この処理を実施
するのがMACアドレス解決ブロック28、29である。
【0058】図7、8、9、10にMACアドレス解決ロ
ジックで考慮すべきリピータ型暗号装置の接続形態を示
す。なお、説明は、図中のRE1を対象として実施する。
ジックで考慮すべきリピータ型暗号装置の接続形態を示
す。なお、説明は、図中のRE1を対象として実施する。
【0059】図7は、リピータ型暗号装置RE1の接続す
る平文ネットワーク内にも、暗号文ネットワーク内に
も、ルータが存在しない場合、すなわち、IPサブネット
が1つである場合の接続形態である。
る平文ネットワーク内にも、暗号文ネットワーク内に
も、ルータが存在しない場合、すなわち、IPサブネット
が1つである場合の接続形態である。
【0060】平文ネットワークからパケットを受信した
リピータ型暗号装置RE1では、暗号化/エンカプセル処
理ブロック26が上記パケットを暗号化およびエンカプセ
ル処理する。すなわち、受信した平文パケットの全体を
オリジナルデータとして暗号化すると共に、新規のIPヘ
ッダを設定する。
リピータ型暗号装置RE1では、暗号化/エンカプセル処
理ブロック26が上記パケットを暗号化およびエンカプセ
ル処理する。すなわち、受信した平文パケットの全体を
オリジナルデータとして暗号化すると共に、新規のIPヘ
ッダを設定する。
【0061】ここでは、上記暗号化/エンカプセル処理
ブロック26は、IPアドレスとそのIPアドレスが設定され
たパケットを暗号化または復号する暗号装置との対応関
係を示す対応テーブルを内部に保持しており、当該対応
テーブルを用いて、上記オリジナルデータに含まれるIP
ヘッダのIPアドレス(IP DAおよびIP SA)に設定されて
いる端末S1、S2のIPアドレスに対応する暗号装置RE1、R
E2を新規のIPヘッダのIPアドレスとして設定する。
ブロック26は、IPアドレスとそのIPアドレスが設定され
たパケットを暗号化または復号する暗号装置との対応関
係を示す対応テーブルを内部に保持しており、当該対応
テーブルを用いて、上記オリジナルデータに含まれるIP
ヘッダのIPアドレス(IP DAおよびIP SA)に設定されて
いる端末S1、S2のIPアドレスに対応する暗号装置RE1、R
E2を新規のIPヘッダのIPアドレスとして設定する。
【0062】その後、暗号側MACアドレス解決ブロック2
8が、上記新規に設定されたIPヘッダのIPアドレスに基
づいて、MACヘッダのMACアドレスを設定する。すなわ
ち、IPSAに設定されたRE1基づいて、自分自身のMACアド
レス(RE1 MACアドレス)をMAC SAに設定する。また、I
P DAに設定されたRE2に基づいて、例えば、ここではARP
(Address Resolution Protocol)によりRE2のMACアド
レスを取得し、MAC DAに設定し、暗号パケットを生成す
る。そして、その暗号パケットを暗号文ネットワークへ
送信する。
8が、上記新規に設定されたIPヘッダのIPアドレスに基
づいて、MACヘッダのMACアドレスを設定する。すなわ
ち、IPSAに設定されたRE1基づいて、自分自身のMACアド
レス(RE1 MACアドレス)をMAC SAに設定する。また、I
P DAに設定されたRE2に基づいて、例えば、ここではARP
(Address Resolution Protocol)によりRE2のMACアド
レスを取得し、MAC DAに設定し、暗号パケットを生成す
る。そして、その暗号パケットを暗号文ネットワークへ
送信する。
【0063】なお、ARPとは、TCP/IP通信時にIPアドレ
スからEthernet(R)アドレスを求めるためのプロトコル
のことであり、これによりMACアドレスを知ることがで
きる。
スからEthernet(R)アドレスを求めるためのプロトコル
のことであり、これによりMACアドレスを知ることがで
きる。
【0064】暗号文ネットワークから暗号パケットを受
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理する。すなわち、暗号側の他の暗号装置で新規に
付加されたIPヘッダおよびMACヘッダを取り除くと共
に、受信した暗号パケットのオリジナルデータを復号す
る。これにより、IPヘッダのIPアドレスがオリジナルデ
ータに従って再設定される。
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理する。すなわち、暗号側の他の暗号装置で新規に
付加されたIPヘッダおよびMACヘッダを取り除くと共
に、受信した暗号パケットのオリジナルデータを復号す
る。これにより、IPヘッダのIPアドレスがオリジナルデ
ータに従って再設定される。
【0065】その後、平文側MACアドレス解決ブロック2
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、例
えば、ここではARPによりS1のMACアドレスを取得し、MA
C DAに設定し、平文パケットを生成する。そして、その
平文パケットを平文ネットワークへ送信する。なお、MA
C SAに設定するMACアドレスは受信したパケットに設定
されていたMACSA(RE2)に基づいて、RE2のMACアドレス
を設定しても良い。
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、例
えば、ここではARPによりS1のMACアドレスを取得し、MA
C DAに設定し、平文パケットを生成する。そして、その
平文パケットを平文ネットワークへ送信する。なお、MA
C SAに設定するMACアドレスは受信したパケットに設定
されていたMACSA(RE2)に基づいて、RE2のMACアドレス
を設定しても良い。
【0066】図8は、リピータ型暗号装置RE1の接続す
る平文ネットワーク側IPサブネットにのみ1つ以上のル
ータが存在する場合の接続形態である。この接続形態の
場合、リピータ型暗号装置RE1は、平文ネットワーク側I
Pサブネット内の1つのルータを平文側ゲートウェイ(P
GW)として登録する。なお、リピータ型暗号装置内で、
一般端末と同等の機能を有する端末機能ブロックに設定
するデフォルトゲートウェイ(DGW)については、PGWと
同じルータでも別のルータでも良い。図8の場合は、PG
W以外のルータが存在しないため、PGWを端末機能ブロッ
クのDGWとして設定している。
る平文ネットワーク側IPサブネットにのみ1つ以上のル
ータが存在する場合の接続形態である。この接続形態の
場合、リピータ型暗号装置RE1は、平文ネットワーク側I
Pサブネット内の1つのルータを平文側ゲートウェイ(P
GW)として登録する。なお、リピータ型暗号装置内で、
一般端末と同等の機能を有する端末機能ブロックに設定
するデフォルトゲートウェイ(DGW)については、PGWと
同じルータでも別のルータでも良い。図8の場合は、PG
W以外のルータが存在しないため、PGWを端末機能ブロッ
クのDGWとして設定している。
【0067】平文ネットワークからパケットを受信した
リピータ型暗号装置RE1は、図7に示したルータの無い接
続形態の場合と同様に、暗号化/エンカプセル処理ブロ
ック26が、受信した平文パケットの全体をオリジナルデ
ータとして暗号化すると共に、上記対応テーブルを用い
て新規のIPヘッダを設定する。その後、暗号側MACアド
レス解決ブロック28が、上記新規に設定されたIPヘッダ
のIPアドレスに基づいて、MACヘッダのMACアドレスを設
定して生成された暗号パケットを暗号文ネットワークへ
送信する。
リピータ型暗号装置RE1は、図7に示したルータの無い接
続形態の場合と同様に、暗号化/エンカプセル処理ブロ
ック26が、受信した平文パケットの全体をオリジナルデ
ータとして暗号化すると共に、上記対応テーブルを用い
て新規のIPヘッダを設定する。その後、暗号側MACアド
レス解決ブロック28が、上記新規に設定されたIPヘッダ
のIPアドレスに基づいて、MACヘッダのMACアドレスを設
定して生成された暗号パケットを暗号文ネットワークへ
送信する。
【0068】暗号文ネットワークから暗号パケットを受
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
【0069】その後、平文側MACアドレス解決ブロック2
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、宛
先である端末S1のアドレスを精査し、端末S1がリピータ
型暗号装置RE1と同一のIPセグメント(IPサブネット)
に存在するか判別する。同一のIPセグメントに存在する
場合は、端末S1のMACアドレスを、前述の図7接続形態
の場合と同様に、例えば、ARPにより取得し、MAC DAにS
1 MACアドレスを設定する。図8の接続形態の場合、端
末S1は、リピータ型暗号装置RE1と同一のIPセグメント
に存在しないため、PGWのMACアドレスを例えば、ARPに
より取得し、MAC DAにPGW MACアドレスを設定し、平文
パケットを生成する。そして、その平文パケットを平文
ネットワークへ送信する。なお、MAC SAに設定するMAC
アドレスは受信したパケットに設定されていたMACSA(R
E2)に基づいて、RE2のMACアドレスを設定しても良い。
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、宛
先である端末S1のアドレスを精査し、端末S1がリピータ
型暗号装置RE1と同一のIPセグメント(IPサブネット)
に存在するか判別する。同一のIPセグメントに存在する
場合は、端末S1のMACアドレスを、前述の図7接続形態
の場合と同様に、例えば、ARPにより取得し、MAC DAにS
1 MACアドレスを設定する。図8の接続形態の場合、端
末S1は、リピータ型暗号装置RE1と同一のIPセグメント
に存在しないため、PGWのMACアドレスを例えば、ARPに
より取得し、MAC DAにPGW MACアドレスを設定し、平文
パケットを生成する。そして、その平文パケットを平文
ネットワークへ送信する。なお、MAC SAに設定するMAC
アドレスは受信したパケットに設定されていたMACSA(R
E2)に基づいて、RE2のMACアドレスを設定しても良い。
【0070】図9は、リピータ型暗号装置RE1の接続す
る暗号文ネットワーク側IPサブネットにのみ1つ以上の
ルータが存在する場合の接続形態である。この接続形態
の場合、リピータ型暗号装置RE1は、暗号文ネットワー
ク側IPサブネット内の1つのルータを暗号文側ゲートウ
ェイ(CGW)として登録する。なお、リピータ型暗号装
置内で、一般端末と同等の機能を有する端末機能ブロッ
クに設定するデフォルトゲートウェイ(DGW)について
は、CGWと同じルータでも別のルータでも良い。図9の
場合は、CGW以外のルータが存在しないため、CGWを端末
機能ブロックのDGWとして設定している。
る暗号文ネットワーク側IPサブネットにのみ1つ以上の
ルータが存在する場合の接続形態である。この接続形態
の場合、リピータ型暗号装置RE1は、暗号文ネットワー
ク側IPサブネット内の1つのルータを暗号文側ゲートウ
ェイ(CGW)として登録する。なお、リピータ型暗号装
置内で、一般端末と同等の機能を有する端末機能ブロッ
クに設定するデフォルトゲートウェイ(DGW)について
は、CGWと同じルータでも別のルータでも良い。図9の
場合は、CGW以外のルータが存在しないため、CGWを端末
機能ブロックのDGWとして設定している。
【0071】平文ネットワークから平文パケットを受信
したリピータ型暗号装置RE1は、図7に示したルータの無
い接続形態の場合と同様に、暗号化/エンカプセル処理
ブロック26が、受信した平文パケットの全体をオリジナ
ルデータとして暗号化すると共に、上記対応テーブルを
用いて新規のIPヘッダを設定する。その後、暗号側MAC
アドレス解決ブロック28が、上記新規に設定されたIPヘ
ッダのIPアドレスに基づいて、MACヘッダのMACアドレス
を設定して生成された暗号パケットを暗号文ネットワー
クへ送信する。すなわち、MAC SAに自分自身のMACアド
レス(RE1のMACアドレス)を設定し、MAC DAにRE2と同
一のIPサブネットに属するルータCGWのMACアドレスを、
例えば、ARPにより取得して、設定する。
したリピータ型暗号装置RE1は、図7に示したルータの無
い接続形態の場合と同様に、暗号化/エンカプセル処理
ブロック26が、受信した平文パケットの全体をオリジナ
ルデータとして暗号化すると共に、上記対応テーブルを
用いて新規のIPヘッダを設定する。その後、暗号側MAC
アドレス解決ブロック28が、上記新規に設定されたIPヘ
ッダのIPアドレスに基づいて、MACヘッダのMACアドレス
を設定して生成された暗号パケットを暗号文ネットワー
クへ送信する。すなわち、MAC SAに自分自身のMACアド
レス(RE1のMACアドレス)を設定し、MAC DAにRE2と同
一のIPサブネットに属するルータCGWのMACアドレスを、
例えば、ARPにより取得して、設定する。
【0072】暗号文ネットワークから暗号パケットを受
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
【0073】その後、平文側MACアドレス解決ブロック2
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、例
えば、ここではARPによりS1のMACアドレスを取得し、MA
C DAに設定し、平文パケットを生成する。そして、その
平文パケットを平文ネットワークへ送信する。
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、例
えば、ここではARPによりS1のMACアドレスを取得し、MA
C DAに設定し、平文パケットを生成する。そして、その
平文パケットを平文ネットワークへ送信する。
【0074】なお、MAC SAに設定するMACアドレスは受
信したパケットに設定されていたMACSA(CGW)に基づい
て、そのままCGWのMACアドレスを設定しても良い。ま
た、暗号文側サブネットに属するルータCGWに基づい
て、例えば、ARPにより上記CGWのMACアドレスを取得し
て設定しても良い。
信したパケットに設定されていたMACSA(CGW)に基づい
て、そのままCGWのMACアドレスを設定しても良い。ま
た、暗号文側サブネットに属するルータCGWに基づい
て、例えば、ARPにより上記CGWのMACアドレスを取得し
て設定しても良い。
【0075】図10は、リピータ型暗号装置RE1の接続
する平文側IPサブネット、暗号文ネットワーク側IPサブ
ネットそれぞれに1つ以上のルータが存在する場合の接
続形態である。この形態の場合の端末機能ブロックに設
定するDGWは、平文側サブネット、暗号文側サブネット
のどちらに属するルータでも良いが、一般的には、平文
側サブネットに属するルータを設定する。図10の場合
は、PGWを端末機能ブロックのDGWとして設定している。
する平文側IPサブネット、暗号文ネットワーク側IPサブ
ネットそれぞれに1つ以上のルータが存在する場合の接
続形態である。この形態の場合の端末機能ブロックに設
定するDGWは、平文側サブネット、暗号文側サブネット
のどちらに属するルータでも良いが、一般的には、平文
側サブネットに属するルータを設定する。図10の場合
は、PGWを端末機能ブロックのDGWとして設定している。
【0076】平文ネットワークから平文パケットを受信
したリピータ型暗号装置RE1は、図7に示したルータの無
い接続形態の場合と同様に、暗号化/エンカプセル処理
ブロック26が、受信した平文パケットの全体をオリジナ
ルデータとして暗号化すると共に、上記対応テーブルを
用いて新規のIPヘッダを設定する。その後、暗号側MAC
アドレス解決ブロック28が、上記新規に設定されたIPヘ
ッダのIPアドレスに基づいて、MACヘッダのMACアドレス
を設定して生成された暗号パケットを暗号文ネットワー
クへ送信する。すなわち、MAC SAに自分自身のMACアド
レス(RE1のMACアドレス)を設定し、MAC DAにRE2と同
一のIPサブネットに属するルータCGWのMACアドレスを、
例えば、ARPにより取得して、設定する。
したリピータ型暗号装置RE1は、図7に示したルータの無
い接続形態の場合と同様に、暗号化/エンカプセル処理
ブロック26が、受信した平文パケットの全体をオリジナ
ルデータとして暗号化すると共に、上記対応テーブルを
用いて新規のIPヘッダを設定する。その後、暗号側MAC
アドレス解決ブロック28が、上記新規に設定されたIPヘ
ッダのIPアドレスに基づいて、MACヘッダのMACアドレス
を設定して生成された暗号パケットを暗号文ネットワー
クへ送信する。すなわち、MAC SAに自分自身のMACアド
レス(RE1のMACアドレス)を設定し、MAC DAにRE2と同
一のIPサブネットに属するルータCGWのMACアドレスを、
例えば、ARPにより取得して、設定する。
【0077】暗号文ネットワークから暗号パケットを受
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
信したリピータ型暗号装置RE1は、復号/デカプセル処
理ブロック27が上記暗号パケットを復号およびデカプセ
ル処理することにより、IPヘッダのIPアドレスがオリジ
ナルデータに従って再設定される。
【0078】その後、平文側MACアドレス解決ブロック2
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、宛
先である端末S1のアドレスを精査し、端末S1がリピータ
型暗号装置RE1と同一のIPセグメント(IPサブネット)
に存在するか判別する。同一のIPセグメントに存在する
場合は、端末S1のMACアドレスを、前述の図7接続形態
の場合と同様に、例えば、ARPにより取得し、MAC DAにS
1 MACアドレスを設定する。図10の接続形態の場合、
端末S1は、リピータ型暗号装置RE1と同一のIPセグメン
トに存在しないため、PGWのMACアドレスを例えば、ARP
により取得し、MAC DAにPGW MACアドレスを設定して平
文パケットを生成する。そして、その平文パケットを平
文ネットワークへ送信する。なお、MAC SAに設定するMA
Cアドレスは受信したパケットに設定されていたMACSA
(CGW)に基づいて、CGWのMACアドレスを設定しても良
い。
9が、MACヘッダのMACアドレスを設定する。ここでは、
自分自身のMACアドレス(RE1 MACアドレス)をMAC SAに
設定する。また、IP DAに設定されたS1に基づいて、宛
先である端末S1のアドレスを精査し、端末S1がリピータ
型暗号装置RE1と同一のIPセグメント(IPサブネット)
に存在するか判別する。同一のIPセグメントに存在する
場合は、端末S1のMACアドレスを、前述の図7接続形態
の場合と同様に、例えば、ARPにより取得し、MAC DAにS
1 MACアドレスを設定する。図10の接続形態の場合、
端末S1は、リピータ型暗号装置RE1と同一のIPセグメン
トに存在しないため、PGWのMACアドレスを例えば、ARP
により取得し、MAC DAにPGW MACアドレスを設定して平
文パケットを生成する。そして、その平文パケットを平
文ネットワークへ送信する。なお、MAC SAに設定するMA
Cアドレスは受信したパケットに設定されていたMACSA
(CGW)に基づいて、CGWのMACアドレスを設定しても良
い。
【0079】以上のように本実施の形態によれば、平文
ネットワークから受信した平文パケットを暗号化すると
共に、上記平文パケットに新規にヘッダを設定するエン
カプセル処理を行って生成した暗号パケットを上記平文
ネットワークと同一IPサブネットの暗号文ネットワー
クへ送信し、上記暗号文ネットワークから受信した暗号
パケットを平文パケットに復号すると共に、当該平文パ
ケットのヘッダに設定されたアドレスに基づいてヘッダ
を再設定するデカプセル処理を行って生成した平文パケ
ットを上記暗号文ネットワークと同一IPサブネットの
平文ネットワークへ送信することにより、ネットワーク
上に接続された他の各機器にリピータ型暗号装置の存在
を意識させずに、つまり、既存ネットワークに接続され
たネットワーク機器の設定を変更せずに、容易にエンカ
プセル型の暗号装置を設置することができ、エンカプセ
ル型暗号を採用したネットワークセキュリティシステム
を構築することが可能となる。
ネットワークから受信した平文パケットを暗号化すると
共に、上記平文パケットに新規にヘッダを設定するエン
カプセル処理を行って生成した暗号パケットを上記平文
ネットワークと同一IPサブネットの暗号文ネットワー
クへ送信し、上記暗号文ネットワークから受信した暗号
パケットを平文パケットに復号すると共に、当該平文パ
ケットのヘッダに設定されたアドレスに基づいてヘッダ
を再設定するデカプセル処理を行って生成した平文パケ
ットを上記暗号文ネットワークと同一IPサブネットの
平文ネットワークへ送信することにより、ネットワーク
上に接続された他の各機器にリピータ型暗号装置の存在
を意識させずに、つまり、既存ネットワークに接続され
たネットワーク機器の設定を変更せずに、容易にエンカ
プセル型の暗号装置を設置することができ、エンカプセ
ル型暗号を採用したネットワークセキュリティシステム
を構築することが可能となる。
【0080】また、本実施の形態によれば、暗号化/エ
ンカプセル処理ブロックまたは復号/デカプセル処理ブ
ロックで設定されたIPヘッダに基づいて、MACヘッ
ダをパケットに設定することにより、適切なMACアドレ
スをパケットに設定することができ、既存ネットワーク
に接続されたネットワーク機器の設定を変更せずに、容
易にエンカプセル型の暗号装置を設置することができ
る。
ンカプセル処理ブロックまたは復号/デカプセル処理ブ
ロックで設定されたIPヘッダに基づいて、MACヘッ
ダをパケットに設定することにより、適切なMACアドレ
スをパケットに設定することができ、既存ネットワーク
に接続されたネットワーク機器の設定を変更せずに、容
易にエンカプセル型の暗号装置を設置することができ
る。
【0081】また、本実施の形態によれば、リピータ型
暗号装置自身に送信された自局宛パケットの処理を実施
する端末機能ブロックを備えたことにより、ネットワー
クに接続された他の機器から送信されたデータを受信
し、処理することができ、例えば、リピータ型暗号装置
を管理するための管理パケット等の処理を実施すること
ができるので、他の機器がリピータ型暗号装置の暗号処
理の設定を変更するなどのリピータ型暗号装置自身の処
理動作管理をすることができる。
暗号装置自身に送信された自局宛パケットの処理を実施
する端末機能ブロックを備えたことにより、ネットワー
クに接続された他の機器から送信されたデータを受信
し、処理することができ、例えば、リピータ型暗号装置
を管理するための管理パケット等の処理を実施すること
ができるので、他の機器がリピータ型暗号装置の暗号処
理の設定を変更するなどのリピータ型暗号装置自身の処
理動作管理をすることができる。
【0082】また、本実施の形態によれば、暗号Portか
ら送信する必要のない廃棄パケット、何も処理せずに暗
号文ネットワークに透過中継する透過中継パケット、お
よび暗号化処理を必要とする暗号パケットのいずれかで
あるか識別し、廃棄パケットである場合は廃棄し、透過
中継パケットである場合は暗号文ネットワークに送信
し、暗号パケットの場合は暗号化/エンカプセル処理ブ
ロックに出力する暗号出力フィルタを備えたことによ
り、平文ネットワークまたは端末機能ブロックから受信
された暗号パケット以外のパケットを含む各種パケット
を処理することができる。
ら送信する必要のない廃棄パケット、何も処理せずに暗
号文ネットワークに透過中継する透過中継パケット、お
よび暗号化処理を必要とする暗号パケットのいずれかで
あるか識別し、廃棄パケットである場合は廃棄し、透過
中継パケットである場合は暗号文ネットワークに送信
し、暗号パケットの場合は暗号化/エンカプセル処理ブ
ロックに出力する暗号出力フィルタを備えたことによ
り、平文ネットワークまたは端末機能ブロックから受信
された暗号パケット以外のパケットを含む各種パケット
を処理することができる。
【0083】また、本実施の形態によれば、平文Portか
ら送信する必要のない廃棄パケット、何も処理せずに平
文ネットワークに透過中継する透過中継パケット、復号
/デカプセル処理によって復号化およびデカプセル処理
を実施された平文パケットのいずれかであるか識別し、
廃棄パケットである場合は廃棄し、透過中継パケットで
ある場合は平文ネットワークに送信し、平文パケットで
ある場合は平文側MACアドレス解決ブロックに出力する
平文出力フィルタを備えたことにより、暗号ネットワー
クまたは端末機能ブロックから受信された平文パケット
以外のパケットを含む各種パケットを処理することがで
きる。
ら送信する必要のない廃棄パケット、何も処理せずに平
文ネットワークに透過中継する透過中継パケット、復号
/デカプセル処理によって復号化およびデカプセル処理
を実施された平文パケットのいずれかであるか識別し、
廃棄パケットである場合は廃棄し、透過中継パケットで
ある場合は平文ネットワークに送信し、平文パケットで
ある場合は平文側MACアドレス解決ブロックに出力する
平文出力フィルタを備えたことにより、暗号ネットワー
クまたは端末機能ブロックから受信された平文パケット
以外のパケットを含む各種パケットを処理することがで
きる。
【0084】また、本実施の形態によれば、自局Portか
ら端末機能ブロックへ通知する必要がある自局宛パケッ
トか、必要がない廃棄パケットかを識別し、自局宛パケ
ットの場合は端末機能ブロックへ送信し、廃棄パケット
の場合は廃棄する自局出力フィルタを備えたことによ
り、暗号ネットワークまたは平文ネットワークから受信
された自局宛パケット以外のパケットを含む各種パケッ
トを処理することができる。
ら端末機能ブロックへ通知する必要がある自局宛パケッ
トか、必要がない廃棄パケットかを識別し、自局宛パケ
ットの場合は端末機能ブロックへ送信し、廃棄パケット
の場合は廃棄する自局出力フィルタを備えたことによ
り、暗号ネットワークまたは平文ネットワークから受信
された自局宛パケット以外のパケットを含む各種パケッ
トを処理することができる。
【0085】なお、本実施の形態においては、一つのリ
ピータ型暗号装置に、暗号化/エンカプセル処理ブロッ
クと暗号側MACアドレス解決ブロックとで構成された暗
号化/エンカプセル処理部と、復号/デカプセル処理ブ
ロックと復号側MACアドレス解決ブロックとで構成され
た復号/デカプセル処理部とを備えた場合について説明
したが、上記暗号化/エンカプセル処理部と復号/デカ
プセル処理部とをそれぞれ別々の暗号化器と復号器とに
備えるようにしても良く、同様の効果を得ることができ
る。
ピータ型暗号装置に、暗号化/エンカプセル処理ブロッ
クと暗号側MACアドレス解決ブロックとで構成された暗
号化/エンカプセル処理部と、復号/デカプセル処理ブ
ロックと復号側MACアドレス解決ブロックとで構成され
た復号/デカプセル処理部とを備えた場合について説明
したが、上記暗号化/エンカプセル処理部と復号/デカ
プセル処理部とをそれぞれ別々の暗号化器と復号器とに
備えるようにしても良く、同様の効果を得ることができ
る。
【0086】また、本実施の形態において、リピータ型
暗号装置は図1に示すように各Portからの出力時にフィ
ルタを設け、出力時にフィルタする場合について説明し
たが、図11に示すように各Portからの入力時にフィル
タを設け、入力時にフィルタし、送信する必要のあるPo
rtにのみ、入力パケットを転送するようにしても同様の
効果が得られる。
暗号装置は図1に示すように各Portからの出力時にフィ
ルタを設け、出力時にフィルタする場合について説明し
たが、図11に示すように各Portからの入力時にフィル
タを設け、入力時にフィルタし、送信する必要のあるPo
rtにのみ、入力パケットを転送するようにしても同様の
効果が得られる。
【0087】この場合、暗号入力フィルタ30は、復号/
デカプセル処理ブロックの復号結果に基づいて、暗号文
ネットワークから受信した暗号データを透過中継情報、
廃棄情報、平文情報のいずれかに識別し、透過中継情報
の場合はそのまま上記暗号データを上記平文ネットワー
クに送信し、廃棄情報の場合は上記暗号データを廃棄
し、平文情報の場合は上記復号/デカプセル処理ブロッ
クで復号された平文データを上記平文側MACアドレス
解決ブロックに出力する平文フィルタと、暗号文ネット
ワークから受信した暗号データを自局宛情報、廃棄情報
のいずれかに識別し、自局宛情報の場合は上記暗号デー
タを上記端末機能ブロックに出力し、廃棄情報の場合は
上記暗号データを廃棄する暗号自局フィルタとで構成さ
れる。
デカプセル処理ブロックの復号結果に基づいて、暗号文
ネットワークから受信した暗号データを透過中継情報、
廃棄情報、平文情報のいずれかに識別し、透過中継情報
の場合はそのまま上記暗号データを上記平文ネットワー
クに送信し、廃棄情報の場合は上記暗号データを廃棄
し、平文情報の場合は上記復号/デカプセル処理ブロッ
クで復号された平文データを上記平文側MACアドレス
解決ブロックに出力する平文フィルタと、暗号文ネット
ワークから受信した暗号データを自局宛情報、廃棄情報
のいずれかに識別し、自局宛情報の場合は上記暗号デー
タを上記端末機能ブロックに出力し、廃棄情報の場合は
上記暗号データを廃棄する暗号自局フィルタとで構成さ
れる。
【0088】また、自局入力フィルタ31は、端末機能ブ
ロックから出力された自局出力情報を平文ネットワーク
への透過中継情報であるか識別し、平文ネットワークへ
の透過中継情報である場合にそのまま上記自局出力情報
を上記平文ネットワークに送信する自局平文フィルタ
と、上記端末機能ブロックから出力された自局出力情報
を暗号文ネットワークへの暗号情報であるか識別し、暗
号文ネットワークへの暗号情報である場合に上記自局出
力情報を上記復号/デカプセル処理部に出力する自局暗
号フィルタと、上記端末機能ブロックから出力された自
局出力情報を廃棄情報であるか識別し、廃棄情報である
場合に上記自局出力情報を廃棄する自局廃棄フィルタと
で構成される。なお、図11においては、自局入力フィ
ルタ31と平文Port25とを接続すると共に、自局入力フィ
ルタ31から暗号文ネットワークへ送信可能とすることに
より、各種パケットを処理可能に構成されている。
ロックから出力された自局出力情報を平文ネットワーク
への透過中継情報であるか識別し、平文ネットワークへ
の透過中継情報である場合にそのまま上記自局出力情報
を上記平文ネットワークに送信する自局平文フィルタ
と、上記端末機能ブロックから出力された自局出力情報
を暗号文ネットワークへの暗号情報であるか識別し、暗
号文ネットワークへの暗号情報である場合に上記自局出
力情報を上記復号/デカプセル処理部に出力する自局暗
号フィルタと、上記端末機能ブロックから出力された自
局出力情報を廃棄情報であるか識別し、廃棄情報である
場合に上記自局出力情報を廃棄する自局廃棄フィルタと
で構成される。なお、図11においては、自局入力フィ
ルタ31と平文Port25とを接続すると共に、自局入力フィ
ルタ31から暗号文ネットワークへ送信可能とすることに
より、各種パケットを処理可能に構成されている。
【0089】また、平文入力フィルタ32は、平文ネット
ワークから受信した平文データを透過中継情報、廃棄情
報、暗号情報のいずれかに識別し、透過中継情報の場合
はそのまま上記平文データを上記暗号文ネットワークに
送信し、廃棄情報の場合は上記平文データを廃棄し、暗
号情報の場合は上記平文データを上記復号/デカプセル
処理部に出力する暗号フィルタと、平文ネットワークか
ら受信した平文データを自局宛情報、廃棄情報のいずれ
かに識別し、自局宛情報の場合は上記平文データを上記
端末機能ブロックに出力し、廃棄情報の場合は上記平文
データまたは暗号データを廃棄する平文自局フィルタと
で構成される。
ワークから受信した平文データを透過中継情報、廃棄情
報、暗号情報のいずれかに識別し、透過中継情報の場合
はそのまま上記平文データを上記暗号文ネットワークに
送信し、廃棄情報の場合は上記平文データを廃棄し、暗
号情報の場合は上記平文データを上記復号/デカプセル
処理部に出力する暗号フィルタと、平文ネットワークか
ら受信した平文データを自局宛情報、廃棄情報のいずれ
かに識別し、自局宛情報の場合は上記平文データを上記
端末機能ブロックに出力し、廃棄情報の場合は上記平文
データまたは暗号データを廃棄する平文自局フィルタと
で構成される。
【0090】
【発明の効果】以上のように、この発明の暗号装置によ
れば、平文ネットワークと暗号文ネットワークとの間で
データを中継する暗号装置において、上記平文ネットワ
ークから受信した平文データを暗号化すると共に、アド
レスと他の暗号装置との予め定められた対応関係に基づ
いて、上記平文データのヘッダに設定されたアドレスに
対応する暗号装置を決定し、当該決定した他の暗号装置
に基づいて新規にヘッダを設定するエンカプセル処理を
行って生成した暗号データを上記平文ネットワークと同
一IPサブネットの暗号文ネットワークへ送信する暗号
化/エンカプセル処理部と、上記暗号文ネットワークか
ら受信した暗号データを平文データに復号すると共に、
当該平文データのヘッダに設定されたアドレスに基づい
てヘッダを再設定するデカプセル処理を行って生成した
平文データを上記暗号文ネットワークと同一IPサブネ
ットの平文ネットワークへ送信する復号/デカプセル処
理部とを備えたことにより、中継するデータのヘッダを
設定して同一IPサブネットのネットワークに送信するの
で、ネットワーク上に接続された他の各機器に暗号装置
の存在を意識させずに、つまり、リピータのように既存
ネットワークに接続されたネットワーク機器の設定を変
更せずに、容易にエンカプセル型の暗号装置を設置する
ことができ、エンカプセル型暗号を採用したネットワー
クセキュリティシステムを構築することが可能となると
いう効果がある。
れば、平文ネットワークと暗号文ネットワークとの間で
データを中継する暗号装置において、上記平文ネットワ
ークから受信した平文データを暗号化すると共に、アド
レスと他の暗号装置との予め定められた対応関係に基づ
いて、上記平文データのヘッダに設定されたアドレスに
対応する暗号装置を決定し、当該決定した他の暗号装置
に基づいて新規にヘッダを設定するエンカプセル処理を
行って生成した暗号データを上記平文ネットワークと同
一IPサブネットの暗号文ネットワークへ送信する暗号
化/エンカプセル処理部と、上記暗号文ネットワークか
ら受信した暗号データを平文データに復号すると共に、
当該平文データのヘッダに設定されたアドレスに基づい
てヘッダを再設定するデカプセル処理を行って生成した
平文データを上記暗号文ネットワークと同一IPサブネ
ットの平文ネットワークへ送信する復号/デカプセル処
理部とを備えたことにより、中継するデータのヘッダを
設定して同一IPサブネットのネットワークに送信するの
で、ネットワーク上に接続された他の各機器に暗号装置
の存在を意識させずに、つまり、リピータのように既存
ネットワークに接続されたネットワーク機器の設定を変
更せずに、容易にエンカプセル型の暗号装置を設置する
ことができ、エンカプセル型暗号を採用したネットワー
クセキュリティシステムを構築することが可能となると
いう効果がある。
【0091】また、次の発明の暗号装置によれば、上記
暗号化/エンカプセル処理部は、上記平文ネットワーク
から受信した平文データを暗号化すると共に、アドレス
と他の暗号装置との予め定められた対応関係に基づい
て、上記平文データのIPヘッダに設定されたアドレス
に対応する暗号装置を決定し、当該決定した他の暗号装
置に基づいて新規にIPヘッダを設定するエンカプセル
処理を行う暗号化/エンカプセル処理ブロックと、当該
暗号化/エンカプセル処理ブロックで設定されたIPヘ
ッダに基づいて、MACヘッダを設定して生成した暗号
データを上記平文ネットワークと同一IPサブネットの
暗号文ネットワークへ送信する暗号側MACアドレス解
決ブロックとで構成され、上記復号/デカプセル処理部
は、上記暗号文ネットワークから受信した暗号データを
平文データに復号すると共に、当該平文データのIPヘ
ッダに設定されたアドレスに基づいてIPヘッダを再設
定するデカプセル処理を行う復号/デカプセル処理ブロ
ックと、当該復号/デカプセル処理ブロックで設定され
たIPヘッダに基づいてMACヘッダを設定して生成し
た平文データを上記暗号文ネットワークと同一IPサブ
ネットの平文ネットワークへ送信する平文側MACアド
レス解決ブロックとで構成されたことにより、適切なMA
Cアドレスを中継するデータに設定することができ、リ
ピータのように既存ネットワークに接続されたネットワ
ーク機器の設定を変更せずに、容易にエンカプセル型の
暗号装置を設置することができるという効果がある。
暗号化/エンカプセル処理部は、上記平文ネットワーク
から受信した平文データを暗号化すると共に、アドレス
と他の暗号装置との予め定められた対応関係に基づい
て、上記平文データのIPヘッダに設定されたアドレス
に対応する暗号装置を決定し、当該決定した他の暗号装
置に基づいて新規にIPヘッダを設定するエンカプセル
処理を行う暗号化/エンカプセル処理ブロックと、当該
暗号化/エンカプセル処理ブロックで設定されたIPヘ
ッダに基づいて、MACヘッダを設定して生成した暗号
データを上記平文ネットワークと同一IPサブネットの
暗号文ネットワークへ送信する暗号側MACアドレス解
決ブロックとで構成され、上記復号/デカプセル処理部
は、上記暗号文ネットワークから受信した暗号データを
平文データに復号すると共に、当該平文データのIPヘ
ッダに設定されたアドレスに基づいてIPヘッダを再設
定するデカプセル処理を行う復号/デカプセル処理ブロ
ックと、当該復号/デカプセル処理ブロックで設定され
たIPヘッダに基づいてMACヘッダを設定して生成し
た平文データを上記暗号文ネットワークと同一IPサブ
ネットの平文ネットワークへ送信する平文側MACアド
レス解決ブロックとで構成されたことにより、適切なMA
Cアドレスを中継するデータに設定することができ、リ
ピータのように既存ネットワークに接続されたネットワ
ーク機器の設定を変更せずに、容易にエンカプセル型の
暗号装置を設置することができるという効果がある。
【0092】また、次の発明の暗号装置によれば、上記
復号/デカプセル処理ブロックの復号結果に基づいて、
上記暗号文ネットワークから受信した暗号データを透過
中継情報、廃棄情報、平文情報のいずれかに識別し、透
過中継情報の場合はそのまま上記暗号データを上記平文
ネットワークに送信し、廃棄情報の場合は上記暗号デー
タを廃棄し、平文情報の場合は上記復号/デカプセル処
理ブロックで復号された平文データを上記平文側MAC
アドレス解決ブロックに出力する平文フィルタを備え、
上記平文側MACアドレス解決ブロックは、上記平文フ
ィルタから出力された平文データにMACヘッダを設定
して平文ネットワークへ送信するように構成されたこと
により、暗号ネットワークから受信し、平文データとし
て送信する平文データ以外のデータを含む各種データを
処理することができるという効果がある。
復号/デカプセル処理ブロックの復号結果に基づいて、
上記暗号文ネットワークから受信した暗号データを透過
中継情報、廃棄情報、平文情報のいずれかに識別し、透
過中継情報の場合はそのまま上記暗号データを上記平文
ネットワークに送信し、廃棄情報の場合は上記暗号デー
タを廃棄し、平文情報の場合は上記復号/デカプセル処
理ブロックで復号された平文データを上記平文側MAC
アドレス解決ブロックに出力する平文フィルタを備え、
上記平文側MACアドレス解決ブロックは、上記平文フ
ィルタから出力された平文データにMACヘッダを設定
して平文ネットワークへ送信するように構成されたこと
により、暗号ネットワークから受信し、平文データとし
て送信する平文データ以外のデータを含む各種データを
処理することができるという効果がある。
【0093】また、次の発明の暗号装置によれば、上記
平文ネットワークから受信した平文データを透過中継情
報、廃棄情報、暗号情報のいずれかに識別し、透過中継
情報の場合はそのまま上記平文データを上記暗号文ネッ
トワークに送信し、廃棄情報の場合は上記平文データを
廃棄し、暗号情報の場合は上記平文データを上記復号/
デカプセル処理部に出力する暗号フィルタを備え、上記
暗号化/エンカプセル処理部は、上記暗号フィルタから
出力された平文データから暗号データを生成して暗号文
ネットワークへ送信するように構成されたことにより、
平文ネットワークから受信し、暗号データとして送信す
る暗号データ以外のデータを含む各種データを処理する
ことができるという効果がある。
平文ネットワークから受信した平文データを透過中継情
報、廃棄情報、暗号情報のいずれかに識別し、透過中継
情報の場合はそのまま上記平文データを上記暗号文ネッ
トワークに送信し、廃棄情報の場合は上記平文データを
廃棄し、暗号情報の場合は上記平文データを上記復号/
デカプセル処理部に出力する暗号フィルタを備え、上記
暗号化/エンカプセル処理部は、上記暗号フィルタから
出力された平文データから暗号データを生成して暗号文
ネットワークへ送信するように構成されたことにより、
平文ネットワークから受信し、暗号データとして送信す
る暗号データ以外のデータを含む各種データを処理する
ことができるという効果がある。
【0094】また、次の発明の暗号装置によれば、自身
宛に送信された自局宛情報を処理する端末機能ブロック
と、上記平文ネットワークから受信した平文データを自
局宛情報、廃棄情報のいずれかに識別し、自局宛情報の
場合は上記平文データを上記端末機能ブロックに出力
し、廃棄情報の場合は上記平文データまたは暗号データ
を廃棄する平文自局フィルタと、上記暗号文ネットワー
クから受信した暗号データを自局宛情報、廃棄情報のい
ずれかに識別し、自局宛情報の場合は上記暗号データを
上記端末機能ブロックに出力し、廃棄情報の場合は上記
暗号データを廃棄する暗号自局フィルタと、上記端末機
能ブロックから出力された自局出力情報を平文ネットワ
ークへの透過中継情報であるか識別し、平文ネットワー
クへの透過中継情報である場合にそのまま上記自局出力
情報を上記平文ネットワークに送信する自局平文フィル
タと、上記端末機能ブロックから出力された自局出力情
報を暗号文ネットワークへの暗号情報であるか識別し、
暗号文ネットワークへの暗号情報である場合に上記自局
出力情報を上記復号/デカプセル処理部に出力する自局
暗号フィルタと、上記端末機能ブロックから出力された
自局出力情報を廃棄情報であるか識別し、廃棄情報であ
る場合に上記自局出力情報を廃棄する自局廃棄フィルタ
とを備えたことにより、ネットワークに接続された他の
機器から送信されたデータを受信し、処理することがで
き、例えば、暗号装置を管理するための管理パケット等
の処理を実施することができるので、他の機器が暗号装
置の暗号処理の設定を変更するなどの暗号装置自身の処
理動作管理をすることができる。
宛に送信された自局宛情報を処理する端末機能ブロック
と、上記平文ネットワークから受信した平文データを自
局宛情報、廃棄情報のいずれかに識別し、自局宛情報の
場合は上記平文データを上記端末機能ブロックに出力
し、廃棄情報の場合は上記平文データまたは暗号データ
を廃棄する平文自局フィルタと、上記暗号文ネットワー
クから受信した暗号データを自局宛情報、廃棄情報のい
ずれかに識別し、自局宛情報の場合は上記暗号データを
上記端末機能ブロックに出力し、廃棄情報の場合は上記
暗号データを廃棄する暗号自局フィルタと、上記端末機
能ブロックから出力された自局出力情報を平文ネットワ
ークへの透過中継情報であるか識別し、平文ネットワー
クへの透過中継情報である場合にそのまま上記自局出力
情報を上記平文ネットワークに送信する自局平文フィル
タと、上記端末機能ブロックから出力された自局出力情
報を暗号文ネットワークへの暗号情報であるか識別し、
暗号文ネットワークへの暗号情報である場合に上記自局
出力情報を上記復号/デカプセル処理部に出力する自局
暗号フィルタと、上記端末機能ブロックから出力された
自局出力情報を廃棄情報であるか識別し、廃棄情報であ
る場合に上記自局出力情報を廃棄する自局廃棄フィルタ
とを備えたことにより、ネットワークに接続された他の
機器から送信されたデータを受信し、処理することがで
き、例えば、暗号装置を管理するための管理パケット等
の処理を実施することができるので、他の機器が暗号装
置の暗号処理の設定を変更するなどの暗号装置自身の処
理動作管理をすることができる。
【0095】さらにまた、次の発明の暗号化器によれ
ば、平文ネットワークと暗号文ネットワークとの間でデ
ータを中継する暗号化器において、上記平文ネットワー
クから受信した平文データを暗号化すると共に、アドレ
スと他の暗号装置との予め定められた対応関係に基づい
て、上記平文データのヘッダに設定されたアドレスに対
応する暗号装置を決定し、当該決定した他の暗号装置に
基づいて新規にヘッダを設定するエンカプセル処理を行
って生成した暗号データを上記平文ネットワークと同一
IPサブネットの暗号文ネットワークへ送信する暗号化
/エンカプセル処理部を備えたことにより、中継するデ
ータのヘッダを設定して同一IPサブネットの暗号文ネッ
トワークに送信するので、ネットワーク上に接続された
他の各機器に暗号装置の存在を意識させずに、つまり、
リピータのように既存ネットワークに接続されたネット
ワーク機器の設定を変更せずに、容易にエンカプセル型
の暗号装置を設置することができ、エンカプセル型暗号
を採用したネットワークセキュリティシステムを構築す
ることが可能となるという効果がある。
ば、平文ネットワークと暗号文ネットワークとの間でデ
ータを中継する暗号化器において、上記平文ネットワー
クから受信した平文データを暗号化すると共に、アドレ
スと他の暗号装置との予め定められた対応関係に基づい
て、上記平文データのヘッダに設定されたアドレスに対
応する暗号装置を決定し、当該決定した他の暗号装置に
基づいて新規にヘッダを設定するエンカプセル処理を行
って生成した暗号データを上記平文ネットワークと同一
IPサブネットの暗号文ネットワークへ送信する暗号化
/エンカプセル処理部を備えたことにより、中継するデ
ータのヘッダを設定して同一IPサブネットの暗号文ネッ
トワークに送信するので、ネットワーク上に接続された
他の各機器に暗号装置の存在を意識させずに、つまり、
リピータのように既存ネットワークに接続されたネット
ワーク機器の設定を変更せずに、容易にエンカプセル型
の暗号装置を設置することができ、エンカプセル型暗号
を採用したネットワークセキュリティシステムを構築す
ることが可能となるという効果がある。
【0096】さらにまた、次の発明の復号器によれば、
平文ネットワークと暗号文ネットワークとの間でデータ
を中継する復号器において、上記暗号文ネットワークか
ら受信した暗号データを平文データに復号すると共に、
当該平文データのヘッダに設定されたアドレスに基づい
てヘッダを再設定するデカプセル処理を行って生成した
平文データを上記暗号文ネットワークと同一IPサブネ
ットの平文ネットワークへ送信する復号/デカプセル処
理部を備えたことにより、中継するデータのヘッダを設
定して同一IPサブネットの平文ネットワークに送信する
ので、ネットワーク上に接続された他の各機器に暗号装
置の存在を意識させずに、つまり、リピータのように既
存ネットワークに接続されたネットワーク機器の設定を
変更せずに、容易にエンカプセル型の暗号装置を設置す
ることができ、エンカプセル型暗号を採用したネットワ
ークセキュリティシステムを構築することが可能となる
という効果がある。
平文ネットワークと暗号文ネットワークとの間でデータ
を中継する復号器において、上記暗号文ネットワークか
ら受信した暗号データを平文データに復号すると共に、
当該平文データのヘッダに設定されたアドレスに基づい
てヘッダを再設定するデカプセル処理を行って生成した
平文データを上記暗号文ネットワークと同一IPサブネ
ットの平文ネットワークへ送信する復号/デカプセル処
理部を備えたことにより、中継するデータのヘッダを設
定して同一IPサブネットの平文ネットワークに送信する
ので、ネットワーク上に接続された他の各機器に暗号装
置の存在を意識させずに、つまり、リピータのように既
存ネットワークに接続されたネットワーク機器の設定を
変更せずに、容易にエンカプセル型の暗号装置を設置す
ることができ、エンカプセル型暗号を採用したネットワ
ークセキュリティシステムを構築することが可能となる
という効果がある。
【図1】 実施の形態1の暗号装置の構成を示す構成図
である。
である。
【図2】 リピータ暗号装置を導入したネットワークの
構成を示す構成図である。
構成を示す構成図である。
【図3】 平文ネットワークからパケットを受信した場
合の動作フローを示すフローチャートである。
合の動作フローを示すフローチャートである。
【図4】 暗号文ネットワークからパケットを受信した
場合の動作フローを示すフローチャートである。
場合の動作フローを示すフローチャートである。
【図5】 リピータ機能ブロックが端末機能ブロックか
らパケットを受信した場合の動作フロー示すフローチャ
ートである。
らパケットを受信した場合の動作フロー示すフローチャ
ートである。
【図6】 MACヘッダおよびIPヘッダの設定を説明する
説明図である。
説明図である。
【図7】 MACヘッダおよびIPヘッダの設定を説明する
説明図である。
説明図である。
【図8】 MACヘッダおよびIPヘッダの設定を説明する
説明図である。
説明図である。
【図9】 MACヘッダおよびIPヘッダの設定を説明する
説明図である。
説明図である。
【図10】 MACヘッダおよびIPヘッダの設定を説明す
る説明図である。
る説明図である。
【図11】 実施の形態1の暗号装置の他の構成を示す
構成図である。
構成図である。
【図12】 従来の一般的なネットワーク構成を示す構
成図である。
成図である。
【図13】 従来のルータ型暗号装置を設置した場合の
ネットワーク構成を示す構成図である。
ネットワーク構成を示す構成図である。
【図14】 端末型暗号装置を設置した場合のネットワ
ーク構成を示す構成図である。
ーク構成を示す構成図である。
1 端末機能ブロック 2 リピー
タ機能ブロック 20 平文Port 21 暗号
Port 22 自局Port 23 暗号
出力フィルタ 24 自局出力フィルタ 25 平文
出力フィルタ 26 暗号化/エンカプセル処理ブロック 27 復号/デカプセル処理ブロック 28 暗号側MACアドレス解決ブロック 29 平文側MACアドレス解決ブロック 30 暗号入力フィルタ 31 自局
入力フィルタ 32 平文入力フィルタ
タ機能ブロック 20 平文Port 21 暗号
Port 22 自局Port 23 暗号
出力フィルタ 24 自局出力フィルタ 25 平文
出力フィルタ 26 暗号化/エンカプセル処理ブロック 27 復号/デカプセル処理ブロック 28 暗号側MACアドレス解決ブロック 29 平文側MACアドレス解決ブロック 30 暗号入力フィルタ 31 自局
入力フィルタ 32 平文入力フィルタ
Claims (5)
- 【請求項1】 平文ネットワークと暗号文ネットワーク
との間でデータを中継する暗号装置において、 上記平文ネットワークから受信した平文データを暗号化
すると共に、アドレスと他の暗号装置との予め定められ
た対応関係に基づいて、上記平文データのヘッダに設定
されたアドレスに対応する暗号装置を決定し、当該決定
した他の暗号装置に基づいて新規にヘッダを設定するエ
ンカプセル処理を行って生成した暗号データを上記平文
ネットワークと同一IPサブネット(Internet Protoco
lサブネット)の暗号文ネットワークへ送信する暗号化
/エンカプセル処理部と、 上記暗号文ネットワークから受信した暗号データを平文
データに復号すると共に、当該平文データのヘッダに設
定されたアドレスに基づいてヘッダを再設定するデカプ
セル処理を行って生成した平文データを上記暗号文ネッ
トワークと同一IPサブネットの平文ネットワークへ送
信する復号/デカプセル処理部とを備えたことを特徴と
する暗号装置。 - 【請求項2】 平文ネットワークと暗号文ネットワーク
との間でデータを中継する暗号装置において、 上記平文ネットワークから受信した平文データを暗号化
すると共に、リピータ機能を用いて、アドレスと他の暗
号装置との予め定められた対応関係に基づいて、上記平
文データのヘッダに設定されたアドレスに対応する暗号
装置を決定し、当該決定した他の暗号装置に基づいて新
規にヘッダを設定するエンカプセル処理を行って生成し
た暗号データを上記平文ネットワークと同一IPサブネ
ット(Internet Protocolサブネット)の暗号文ネット
ワークへ送信する暗号化/エンカプセル処理部と、 上記暗号文ネットワークから受信した暗号データを平文
データに復号すると共に、リピータ機能を用いて、当該
平文データのヘッダに設定されたアドレスに基づいてヘ
ッダを再設定するデカプセル処理を行って生成した平文
データを上記暗号文ネットワークと同一IPサブネット
の平文ネットワークへ送信する復号/デカプセル処理部
とを備えたことを特徴とする暗号装置。 - 【請求項3】 平文ネットワークと暗号文ネットワーク
との間でデータを中継する暗号装置において、 上記平文ネットワークから受信した平文データを暗号化
すると共に、アドレスと他の暗号装置との予め定められ
た対応関係に基づいて、上記平文データのヘッダに設定
されたアドレスに対応する暗号装置を決定し、当該決定
した他の暗号装置に基づいて新規にヘッダを設定するエ
ンカプセル処理を行って生成した暗号データを上記平文
ネットワークと同一IPサブネット(Internet Protoco
lサブネット)の暗号文ネットワークへ送信する暗号化
/エンカプセル処理部と、 上記暗号文ネットワークから受信した暗号データを平文
データに復号すると共に、当該平文データのヘッダに設
定されたアドレスに基づいてヘッダを再設定するデカプ
セル処理を行って生成した平文データを上記暗号文ネッ
トワークと同一IPサブネットの平文ネットワークへ送
信する復号/デカプセル処理部と、 自身宛に送信された自局宛情報を処理する端末機能ブロ
ックとを備えたことを特徴とする暗号装置。 - 【請求項4】 平文ネットワークと暗号文ネットワーク
との間でデータを中継する暗号化器において、 上記平文ネットワークから受信した平文データを暗号化
すると共に、アドレスと他の暗号装置との予め定められ
た対応関係に基づいて、上記平文データのヘッダに設定
されたアドレスに対応する暗号装置を決定し、当該決定
した他の暗号装置に基づいて新規にヘッダを設定するエ
ンカプセル処理を行って生成した暗号データを上記平文
ネットワークと同一IPサブネットの暗号文ネットワー
クへ送信する暗号化/エンカプセル処理部を備えたこと
を特徴とする暗号化器。 - 【請求項5】 平文ネットワークと暗号文ネットワーク
との間でデータを中継する復号器において、 上記暗号文ネットワークから受信した暗号データを平文
データに復号すると共に、当該平文データのヘッダに設
定されたアドレスに基づいてヘッダを再設定するデカプ
セル処理を行って生成した平文データを上記暗号文ネッ
トワークと同一IPサブネットの平文ネットワークへ送
信する復号/デカプセル処理部を備えたことを特徴とす
る復号器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001323023A JP2002185540A (ja) | 2001-10-22 | 2001-10-22 | 暗号装置、暗号化器および復号器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001323023A JP2002185540A (ja) | 2001-10-22 | 2001-10-22 | 暗号装置、暗号化器および復号器 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP33577999A Division JP3259724B2 (ja) | 1999-11-26 | 1999-11-26 | 暗号装置、暗号化器および復号器 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2002185540A true JP2002185540A (ja) | 2002-06-28 |
Family
ID=19139973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001323023A Abandoned JP2002185540A (ja) | 2001-10-22 | 2001-10-22 | 暗号装置、暗号化器および復号器 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2002185540A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016178392A (ja) * | 2015-03-19 | 2016-10-06 | 株式会社日立製作所 | 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0669962A (ja) * | 1992-08-17 | 1994-03-11 | Fuji Xerox Co Ltd | ネットワーク接続装置およびネットワーク通信方式 |
JPH1070566A (ja) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | 帯域確保型vpn構築方法 |
JPH10271167A (ja) * | 1997-03-27 | 1998-10-09 | Kyushu Nippon Denki Software Kk | Hub間データ暗号化によるデータセキュリティ確保装 置と方法 |
JPH10327193A (ja) * | 1997-05-26 | 1998-12-08 | Nec Corp | 暗号化方式 |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH11308264A (ja) * | 1998-04-17 | 1999-11-05 | Mitsubishi Electric Corp | 暗号通信システム |
-
2001
- 2001-10-22 JP JP2001323023A patent/JP2002185540A/ja not_active Abandoned
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0669962A (ja) * | 1992-08-17 | 1994-03-11 | Fuji Xerox Co Ltd | ネットワーク接続装置およびネットワーク通信方式 |
JPH1070566A (ja) * | 1996-08-29 | 1998-03-10 | Kokusai Denshin Denwa Co Ltd <Kdd> | 帯域確保型vpn構築方法 |
JPH10271167A (ja) * | 1997-03-27 | 1998-10-09 | Kyushu Nippon Denki Software Kk | Hub間データ暗号化によるデータセキュリティ確保装 置と方法 |
JPH10327193A (ja) * | 1997-05-26 | 1998-12-08 | Nec Corp | 暗号化方式 |
JPH1141280A (ja) * | 1997-07-15 | 1999-02-12 | N T T Data:Kk | 通信システム、vpn中継装置、記録媒体 |
JPH11308264A (ja) * | 1998-04-17 | 1999-11-05 | Mitsubishi Electric Corp | 暗号通信システム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016178392A (ja) * | 2015-03-19 | 2016-10-06 | 株式会社日立製作所 | 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
JP3259724B2 (ja) | 暗号装置、暗号化器および復号器 | |
US8583912B2 (en) | Communication system of client terminals and relay server and communication method | |
US20090292917A1 (en) | Secure transport of multicast traffic | |
EP2213036A2 (en) | System and method for providing secure network communications | |
US8605730B2 (en) | System and method for multimedia communication across disparate networks | |
KR20070026331A (ko) | 패킷이 필터링되어 있는 것 이외의 네트워크 프로토콜레이어에서 가상 사설망을 형성하기 위해 보안 통신 링크를설정하기 위한 시스템, 장치 및 방법 | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
US20050220091A1 (en) | Secure remote mirroring | |
JP6529694B2 (ja) | 転送装置および通信ネットワーク | |
AU2018231407A1 (en) | Methods and devices for providing cyber security for time aware end-to-end packet flow networks | |
KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
JP7395455B2 (ja) | 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム | |
CN111194541A (zh) | 用于数据传输的装置和方法 | |
JP5151197B2 (ja) | 通信システム、パケット転送処理装置及びそれらに用いる通信セッション制御方法 | |
JP4043997B2 (ja) | 暗号装置及びプログラム | |
JP2006196996A (ja) | 通信システム及び通信方法 | |
JP2002185540A (ja) | 暗号装置、暗号化器および復号器 | |
JP5986044B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム | |
JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
JP2004274666A (ja) | 暗号装置及びコンソール端末及び管理装置及びプログラム | |
JP2002271417A (ja) | トンネリング装置 | |
CN115766063B (zh) | 数据传输方法、装置、设备及介质 | |
JP2004350025A (ja) | 暗号通信システムおよび暗号装置 | |
Zhang | The solution and management of VPN based IPSec technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040113 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20040308 |