JP2003244194A - Data encrypting apparatus, encryption communication processing method, and data relaying apparatus - Google Patents
Data encrypting apparatus, encryption communication processing method, and data relaying apparatusInfo
- Publication number
- JP2003244194A JP2003244194A JP2002039765A JP2002039765A JP2003244194A JP 2003244194 A JP2003244194 A JP 2003244194A JP 2002039765 A JP2002039765 A JP 2002039765A JP 2002039765 A JP2002039765 A JP 2002039765A JP 2003244194 A JP2003244194 A JP 2003244194A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- address
- data
- maximum segment
- segment size
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、データの安全性
を高めることができるデータ暗号装置及び暗号通信処理
方法、さらにデータ中継装置に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data encryption device, a cryptographic communication processing method, and a data relay device capable of improving data security.
【0002】[0002]
【従来の技術】図9は、特開2000−115278号
公報に記載される従来のデータ転送シーケンスである。
図9では、端末101はSYNフラグがセットされたパ
ケットをMSS(Maximum Segment Size)スプーファ経
由で端末102に送信し(Sq101、Sq102)、
端末102は端末101からのSYNに対してSYNA
CKパケットをMSSスプーファ経由で端末101に送
信し(Sq103、Sq104)、端末101はこのS
YN ACKに対してACKパケットを送信して(Sq
105)コネクションが確立され、データ通信が開始さ
れる(Sq106)。このとき、端末のデータ転送効率
を上げるため、MSSスプーファがコネクション確立時
にやり取りされるMSS値を変更し、大きなMSS値を
通知している。ここでMSSとは、端末が受信可能なセ
グメント単位であり、パケットを送受信するデータリン
クの最大転送単位MTU(Maximum Transmission Uni
t)から求められる。図9の例では、端末102には端
末101のMSSは1460ではなく8960として通
知されるため、端末102は端末101へのデータ送信
におけるMSSを8960に決定し、以降の通信データ
を最大8960バイトに区切って送信する。これによ
り、データ転送効率を上げることができる。2. Description of the Related Art FIG. 9 shows a conventional data transfer sequence described in Japanese Patent Laid-Open No. 2000-115278.
In FIG. 9, the terminal 101 transmits the packet in which the SYN flag is set to the terminal 102 via the MSS (Maximum Segment Size) spoofer (Sq101, Sq102),
The terminal 102 sends SYN to the SYN from the terminal 101.
The CK packet is transmitted to the terminal 101 via the MSS spoofer (Sq103, Sq104), and the terminal 101 transmits the S packet.
Send an ACK packet to YN ACK (Sq
105) A connection is established and data communication is started (Sq106). At this time, in order to improve the data transfer efficiency of the terminal, the MSS spoofer changes the MSS value exchanged at the time of establishing the connection and notifies a large MSS value. Here, the MSS is a segment unit that can be received by the terminal, and is a maximum transmission unit MTU (Maximum Transmission Uni
t). In the example of FIG. 9, since the MSS of the terminal 101 is notified to the terminal 102 as 8960 instead of 1460, the terminal 102 determines the MSS for data transmission to the terminal 101 to be 8960, and the subsequent communication data is 8960 bytes at maximum. Separate and send. As a result, the data transfer efficiency can be improved.
【0003】また、TCP/IPにおけるデータ秘匿及
び完全性チェック方式としてIPSecがある。図10
は、IPSecの暗号化方式の例を示す説明図である。
図10の例では、オリジナルデータは、データの宛先を
示すIPヘッダ、アプリケーションの種別を示すTCP
ヘッダ、及びアプリケーションのデータから構成されて
いる。これを暗号化した暗号化データには、前記オリジ
ナルデータのIPヘッダ、TCPヘッダ、データに対し
て、暗号化ヘッダ、暗号化トレイラ、及び新たなIPヘ
ッダが付与され、暗号化範囲で示される部分に対して暗
号化処理が行われる。この処理により盗聴や改竄といっ
たネットワーク上の脅威からユーザのデータが守られ
る。Further, there is IPSec as a data confidentiality and integrity check method in TCP / IP. Figure 10
FIG. 3 is an explanatory diagram showing an example of an encryption method of IPSec.
In the example of FIG. 10, the original data is an IP header indicating the destination of the data, and TCP indicating the type of application.
It consists of a header and application data. In the encrypted data obtained by encrypting this, the IP header, the TCP header of the original data, the encryption header, the encryption trailer, and the new IP header are added to the data, and the portion indicated by the encryption range is shown. The encryption process is performed on. This processing protects user data from network threats such as eavesdropping and tampering.
【0004】[0004]
【発明が解決しようとする課題】しかし、上述のような
暗号化処理を行う暗号化ネットワークに、上述のMSS
スプーファを用いたとしても、この暗号通信処理方法で
は、暗号化の際に新たなヘッダ、トレイラを付与するた
め、暗号化データのサイズがMTUを超えることがある
ため、暗号後のデータをフラグメントする必要があり、
データの分割、組立によるオーバヘッドが大きくなると
いう問題があった。つまり、暗号化ネットワークにおけ
る暗号化装置のような、データ中継の途中で新たにヘッ
ダ等の付加を行うような装置が存在している場合、MS
Sスプーファではその新たに付加されたヘッダ類までは
認識できず、新たに付加されたヘッダ類によりMTUを
超えてしまい、データの分割、組立によるオーバヘッド
が大きくなるという問題が発生してしまっていた。However, the above-mentioned MSS is added to the encryption network which performs the above-mentioned encryption processing.
Even if a spoofer is used, in this encryption communication processing method, since a new header and trailer are added at the time of encryption, the size of encrypted data may exceed MTU, so the data after encryption is fragmented. Must be,
There was a problem that the overhead due to data division and assembly becomes large. In other words, when there is a device such as an encryption device in an encryption network that newly adds a header or the like in the middle of data relay, the MS
The S spoofer cannot recognize even the newly added headers, and the newly added headers exceed the MTU, causing a problem that the overhead due to data division and assembly increases. .
【0005】この発明は上記のような問題点を解決する
ためになされたもので、データ中継の途中で新たにヘッ
ダ等の付加を行うような通信においてもパケット分解、
組立のオーバヘッドを減らすこと、さらに、暗号化/復
号化を用いることにより、データ盗聴、改竄といったネ
ットワーク上の脅威から端末間の通信データを守ること
を目的としている。The present invention has been made to solve the above-mentioned problems, and packet decomposition, even in communication in which a header or the like is newly added during data relay,
The purpose is to reduce the assembly overhead and to protect communication data between terminals from network threats such as data sniffing and tampering by using encryption / decryption.
【0006】[0006]
【課題を解決するための手段】この発明に係るデータ暗
号装置は、コネクション確立のためのパケットに最大セ
グメントサイズの情報を含めてコネクションを確立する
通信装置間のデータを暗号化して中継するデータ暗号装
置において、暗号化に伴い新たに付加する部分のサイズ
に基づいて、前記中継するコネクション確立パケットの
最大セグメントサイズの情報を変更する最大セグメント
サイズ変更手段と、前記最大セグメントサイズ変更手段
により変更された最大セグメントサイズの情報を含むコ
ネクション確立パケットを暗号化する暗号化手段と、前
記暗号化手段により暗号化されたコネクション確立パケ
ットを中継するパケット中継手段とを備えるものであ
る。A data encryption device according to the present invention is a data encryption device which encrypts data between communication devices which establish a connection by including information of maximum segment size in a packet for establishing a connection and relays the data. In the device, the maximum segment size changing means for changing the information of the maximum segment size of the connection establishment packet to be relayed and the maximum segment size changing means are changed based on the size of the portion newly added with the encryption. An encryption means for encrypting a connection establishment packet including information on the maximum segment size and a packet relay means for relaying the connection establishment packet encrypted by the encryption means are provided.
【0007】この発明に係るデータ暗号装置は、コネク
ション確立のためのパケットに最大セグメントサイズの
情報を含めてコネクションを確立する通信装置間のデー
タを復号処理して中継するデータ暗号装置において、前
記中継するコネクション確立パケットを復号処理する復
号処理手段と、暗号化に伴い新たに付加される部分のサ
イズに基づいて、前記復号処理手段により復号されたコ
ネクション確立パケットの最大セグメントサイズの情報
を変更する最大セグメントサイズ変更手段と、前記最大
セグメントサイズ変更手段により変更された最大セグメ
ントサイズの情報を含むコネクション確立パケットを中
継するパケット中継手段とを備えるものである。The data encryption device according to the present invention is a data encryption device for decrypting and relaying data between communication devices that establish a connection by including information on a maximum segment size in a packet for establishing a connection. A decryption processing unit for decrypting the connection establishment packet, and a maximum for changing the maximum segment size information of the connection establishment packet decrypted by the decryption processing unit based on the size of the portion newly added with the encryption. The segment size changing means and the packet relaying means for relaying the connection establishment packet including the information of the maximum segment size changed by the maximum segment size changing means are provided.
【0008】また、前記中継するコネクション確立パケ
ットの宛先アドレスが暗号通信を適用するアドレスであ
るか否かを示すアドレス情報を登録するアドレス登録手
段と、前記アドレス登録手段に登録されたアドレスと、
前記中継するコネクション確立パケットの宛先アドレス
とを比較し、暗号通信を適用するアドレスであるか否か
を判別するアドレス判別手段とを備えるととともに、前
記アドレス判別手段により暗号通信を適用するアドレス
であると判別した場合、前記最大セグメントサイズ変更
手段による最大セグメントサイズの情報の変更を行い、
前記暗号化手段による暗号化を行うものである。Further, address registration means for registering address information indicating whether or not the destination address of the connection establishment packet to be relayed is an address to which encrypted communication is applied, and an address registered in the address registration means,
The address determination means compares the destination address of the connection establishment packet to be relayed and determines whether or not the encrypted communication is applied, and the address to which the encrypted communication is applied by the address determination means. If it is determined that the maximum segment size changing means changes the maximum segment size information,
The encryption is performed by the encryption means.
【0009】また、前記中継するコネクション確立パケ
ットのアプリケーションが暗号通信を適用するアプリケ
ーションであるか否かを示すアプリケーション情報を登
録するアプリケーション登録手段と、前記アプリケーシ
ョン登録手段に登録されたアプリケーションと、前記中
継するコネクション確立パケットのアプリケーションと
を比較し、暗号通信を適用するアプリケーションである
か否かを判別するアプリケーション判別手段とを備える
ととともに、前記アプリケーション判別手段により暗号
通信を適用するアプリケーションであると判別した場
合、前記最大セグメントサイズ変更手段による最大セグ
メントサイズの情報の変更を行い、前記暗号化手段によ
る暗号化を行うものである。[0009] Further, application registration means for registering application information indicating whether or not the application of the connection establishment packet to be relayed is an application to which encrypted communication is applied, the application registered in the application registration means, and the relay And the application determining means for determining whether or not the application is encrypted communication, and the application determining means determines that the application is encrypted application. In this case, the maximum segment size changing means changes the maximum segment size information, and the encryption means performs encryption.
【0010】また、前記アドレス登録手段は、暗号通信
を適用するアドレスを登録し、前記アドレス判別手段
は、前記アドレス登録手段に登録されたアドレスと、前
記中継するコネクション確立パケットの宛先アドレスと
を比較し、アドレスが一致する場合、暗号通信を適用す
るアドレスであると判別するものである。Further, the address registration means registers the address to which the encrypted communication is applied, and the address discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, when the addresses match, it is determined that the addresses are those to which the encrypted communication is applied.
【0011】また、前記アドレス登録手段は、暗号通信
を適用しないアドレスを登録し、前記アドレス判別手段
は、前記アドレス登録手段に登録されたアドレスと、前
記中継するコネクション確立パケットの宛先アドレスと
を比較し、アドレスが一致しない場合、暗号通信を適用
するアドレスであると判別するものである。The address registration means registers an address to which encrypted communication is not applied, and the address discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, if the addresses do not match, it is determined that the addresses are those to which encrypted communication is applied.
【0012】また、前記アプリケーション登録手段は、
暗号通信を適用するアプリケーションを登録し、前記ア
プリケーション判別手段は、前記アドレス登録手段に登
録されたアドレスと、前記中継するコネクション確立パ
ケットの宛先アドレスとを比較し、アドレスが一致する
場合、暗号通信を適用するアドレスであると判別するも
のである。Further, the application registration means is
The application to which the encrypted communication is applied is registered, and the application discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. If the addresses match, the encrypted communication is performed. The address is determined to be applied.
【0013】また、前記アプリケーション登録手段は、
暗号通信を適用しないアプリケーションを登録し、前記
アプリケーション判別手段は、前記アプリケーション登
録手段に登録されたアプリケーションと、前記中継する
コネクション確立パケットのアプリケーションとを比較
し、アプリケーションが一致しない場合、暗号通信を適
用するアプリケーションであると判別するものである。Further, the application registration means is
An application to which encrypted communication is not applied is registered, and the application determination means compares the application registered in the application registration means with the application of the connection establishment packet to be relayed. If the application does not match, the encrypted communication is applied. The application is determined to be the application.
【0014】この発明に係る暗号通信処理方法は、コネ
クション確立のためのパケットに最大セグメントサイズ
の情報を含めてコネクションを確立する通信装置間のデ
ータを暗号化して中継する暗号通信処理方法において、
暗号化に伴い新たに付加する部分のサイズに基づいて、
前記中継するコネクション確立パケットの最大セグメン
トサイズの情報を変更するステップと、前記変更された
最大セグメントサイズの情報を含むコネクション確立パ
ケットを暗号化するステップと、前記暗号化されたコネ
クション確立パケットを中継するステップとを備えるも
のである。A cryptographic communication processing method according to the present invention is a cryptographic communication processing method for encrypting and relaying data between communication devices that establish a connection by including information on a maximum segment size in a packet for establishing a connection,
Based on the size of the part newly added with encryption,
Changing the maximum segment size information of the connection establishment packet to be relayed, encrypting the connection establishment packet including the changed maximum segment size information, and relaying the encrypted connection establishment packet And steps.
【0015】この発明に係る暗号通信処理方法は、コネ
クション確立のためのパケットに最大セグメントサイズ
の情報を含めてコネクションを確立する通信装置間のデ
ータを復号処理して中継する暗号通信処理方法におい
て、前記中継するコネクション確立パケットを復号処理
するステップと、暗号化に伴い新たに付加される部分の
サイズに基づいて、前記復号されたコネクション確立パ
ケットの最大セグメントサイズの情報を変更するステッ
プと、前記変更された最大セグメントサイズの情報を含
むコネクション確立パケットを中継するステップとを備
えるものである。A cryptographic communication processing method according to the present invention is a cryptographic communication processing method for decrypting and relaying data between communication devices that establish a connection by including information of a maximum segment size in a packet for establishing a connection, A step of decrypting the connection establishment packet to be relayed, a step of changing information on the maximum segment size of the decrypted connection establishment packet based on a size of a portion newly added with encryption, Relaying the connection establishment packet including the information of the maximum segment size that has been set.
【0016】この発明に係るデータ中継装置は、コネク
ション確立のためのパケットに最大セグメントサイズの
情報を含めてコネクションを確立する通信装置間のデー
タを中継するデータ中継装置において、データの中継に
伴い新たに付加する部分のサイズに基づいて、前記中継
するコネクション確立パケットの最大セグメントサイズ
の情報を変更する最大セグメントサイズ変更手段と、前
記最大セグメントサイズ変更手段により変更された最大
セグメントサイズの情報を含むコネクション確立パケッ
トを中継するパケット中継手段とを備えるものである。A data relay device according to the present invention is a data relay device for relaying data between communication devices for establishing a connection by including information on a maximum segment size in a packet for establishing a connection. Based on the size of the portion added to the maximum segment size changing means for changing the maximum segment size information of the connection establishment packet to be relayed, and a connection including the maximum segment size information changed by the maximum segment size changing means. And a packet relay means for relaying the establishment packet.
【0017】この発明に係るデータ中継装置は、コネク
ション確立のためのパケットに最大セグメントサイズの
情報を含めてコネクションを確立する通信装置間のデー
タを中継するデータ中継装置において、データの中継に
伴い新たに付加される部分のサイズに基づいて、前記中
継するコネクション確立パケットの最大セグメントサイ
ズの情報を変更する最大セグメントサイズ変更手段と、
前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを中継するパケット中継手段とを備えるものであ
る。A data relay device according to the present invention is a data relay device for relaying data between communication devices that establish a connection by including information of a maximum segment size in a packet for establishing a connection. Maximum segment size changing means for changing information on the maximum segment size of the connection establishment packet to be relayed, based on the size of the portion added to
Packet relay means for relaying a connection establishment packet including information on the maximum segment size changed by the maximum segment size changing means.
【0018】[0018]
【発明の実施の形態】実施の形態1.図1は、実施の形
態1におけるシステム構成の例を示す説明図である。図
1において、11、15は端末、12、14はデータを
暗号化するデータ暗号装置、13はデータ暗号装置12
と14とを接続するインターネットである。図2は、実
施の形態1におけるコネクション確立のシーケンスの例
を示す説明図である。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1. FIG. 1 is an explanatory diagram showing an example of a system configuration according to the first embodiment. In FIG. 1, 11 and 15 are terminals, 12 and 14 are data encryption devices for encrypting data, and 13 is a data encryption device 12.
It is the Internet that connects 14 and 14. FIG. 2 is an explanatory diagram showing an example of a connection establishment sequence in the first embodiment.
【0019】まず、全体の動作について図1及び図2を
用いて説明する。電子メールやファイル転送等のように
TCPを使用するアプリケーションではデータ転送を行
う際に端末間でTCPコネクションを確立する必要があ
り、端末11は端末15に対してコネクション確立要求
(SYN)パケットを送信する(sq21)。データ暗
号装置12は最適なMSS(図2では1400)を求め
て変更した後、暗号化してデータ暗号装置14に対して
SYNパケットを送信する(sq22)。データ暗号装
置14は、インターネット13を介して暗号化されたS
YNパケットを受信する。データ暗号装置14は暗号化
されたSYNパケットを復号した後、最適なMSS(図
2では1400)を求めて変更し、端末15に対してS
YNパケットを送信する(sq23)。First, the overall operation will be described with reference to FIGS. In applications using TCP such as e-mail and file transfer, it is necessary to establish a TCP connection between terminals when transferring data, and terminal 11 sends a connection establishment request (SYN) packet to terminal 15. (Sq21). The data encryption device 12 obtains and changes the optimum MSS (1400 in FIG. 2), then encrypts and sends the SYN packet to the data encryption device 14 (sq22). The data encryption device 14 uses the S encrypted via the Internet 13.
Receive a YN packet. After decrypting the encrypted SYN packet, the data encryption device 14 obtains and changes the optimum MSS (1400 in FIG. 2), and sends S to the terminal 15.
The YN packet is transmitted (sq23).
【0020】SYNパケットを受信した端末15は、端
末15が接続するインタフェースから求めたMSS(図
2では1460)と端末11から通知されたMSS(図
2では1400)とを比較し、小さい方を端末11との
通信に使用するMSSとして採用し、TCPコネクショ
ン確立応答パケットSYN ACKパケットにMSS
(図2では1400)を設定して端末11に送信する
(sq24)。データ暗号装置14は最適なMSS(図
2では1400)を求めて変更した後、暗号化してデー
タ暗号装置12に対してSYN ACKパケットを送信
する(sq25)。データ暗号装置12は、インターネ
ット13を介して暗号化されたSYNパケットを受信す
る。データ暗号装置12は暗号化されたSYN ACK
パケットを復号した後、最適なMSS(図2では140
0)を求めて変更し、端末15に対してSYN ACK
パケットを送信する(sq26)。The terminal 15 receiving the SYN packet compares the MSS (1460 in FIG. 2) obtained from the interface to which the terminal 15 is connected with the MSS (1400 in FIG. 2) notified from the terminal 11, and determines the smaller one. It is adopted as the MSS used for communication with the terminal 11, and the TCP connection establishment response packet SYN ACK packet contains the MSS.
(1400 in FIG. 2) is set and transmitted to the terminal 11 (sq24). The data encryption device 14 obtains and changes the optimum MSS (1400 in FIG. 2), then encrypts the MSS and sends a SYN ACK packet to the data encryption device 12 (sq25). The data encryption device 12 receives the encrypted SYN packet via the Internet 13. The data encryption device 12 uses the encrypted SYN ACK.
After decoding the packet, the optimal MSS (140 in FIG.
0) and change it, and send a SYN ACK to the terminal 15.
The packet is transmitted (sq26).
【0021】端末11は、データ暗号装置12からのS
YN ACKパケットに対して応答パケットであるAC
Kパケットを送信する(sq27)。このACKパケッ
トはSYNパケットではないので、MSSの書き換えを
行わずにデータ暗号装置12、14間で暗号化/復号さ
れる。端末15がこのACKパケットを受信した時点で
TCPコネクションが確立される。以降のデータ通信
(sq28)では、データ暗号装置11、15が求めた
最適MSS値が用いられる。The terminal 11 uses the S from the data encryption device 12.
AC which is a response packet to YN ACK packet
The K packet is transmitted (sq27). Since this ACK packet is not a SYN packet, it is encrypted / decrypted between the data encryption devices 12 and 14 without rewriting the MSS. When the terminal 15 receives this ACK packet, the TCP connection is established. In the subsequent data communication (sq28), the optimum MSS value obtained by the data encryption devices 11 and 15 is used.
【0022】図3は、実施の形態1におけるデータ暗号
装置の構成の例を示す構成図である。図3において、3
1、32はデータの送受信を行うデータ送受信部、33
は受信したパケットのプロトコルを判別するプロトコル
判別部、34はコネクションパケットであるか否かを判
別するコネクションパケット判別部、35は受信したパ
ケットを暗号化/復号するデータ暗号化/復号部、36
は最適MSSを計算して変更するMSS変更部である。
図4は、実施の形態1におけるデータ暗号装置の暗号化
処理のフローチャートであり、図5は、実施の形態1に
おけるデータ暗号装置の復号処理のフローチャートであ
る。FIG. 3 is a block diagram showing an example of the configuration of the data encryption device according to the first embodiment. In FIG. 3, 3
Reference numerals 1 and 32 are data transmission / reception units for transmitting / receiving data,
Is a protocol determination unit that determines the protocol of the received packet, 34 is a connection packet determination unit that determines whether or not the packet is a connection packet, 35 is a data encryption / decryption unit that encrypts / decrypts the received packet, and 36
Is an MSS changing unit for calculating and changing the optimum MSS.
FIG. 4 is a flowchart of the encryption process of the data encryption device according to the first embodiment, and FIG. 5 is a flowchart of the decryption process of the data encryption device according to the first embodiment.
【0023】次にデータ暗号装置12、14の詳細な動
作について図3〜5を用いて説明する。まず暗号化処理
の動作について説明する。データ暗号装置12のデータ
送受信部31は、端末11からのSYNパケットを受信
し、プロトコル判別部32へ通知する(ステップS4
1)。プロトコル判別部32では、コネクションパケッ
ト判別部33においてデータがSYNパケットであるか
否かをチェックする(ステップS42)。SYNパケッ
トである場合(ステップS42でYes)、送出側であ
るデータ送受信部32側のMTUを調査し、最適MSS
(=MTU−IPヘッダサイズ−TCPヘッダサイズ−
暗号処理ヘッダサイズ)を求める(ステップS43)。
この値と受信したSYNパケット内のMSSとを比較し
(ステップS44)、SYNパケット内のMSSの方が
大きい場合(ステップS44でYes)、MSS変更部
36において、MSSを前記最適MSSに変更する(ス
テップS45)。SYNパケット内のMSS値が前記最
適MSS値以下の場合(ステップS44でNo)、SY
Nパケット内のMSS値はそのままとする。図2の例で
は、受信したMSS値が1460であるのに対して、デ
ータ暗号装置12で求めた最適MSS値が1400であ
るため、MSS値を1460から1400に変更してい
る。MSSの変更後、変更後のMSS値を含むデータを
データ暗号化/復号部35によって暗号化し(ステップ
S46)、データ送受信部32からデータ暗号装置14
に対してSYNパケットを送信する(ステップS4
7)。また、受信したデータがSYNパケットでない場
合(ステップ42でNo)、最適MSSの計算やMSS
の書き換え等は行わず、データを暗号化して送信する。Next, detailed operations of the data encryption devices 12 and 14 will be described with reference to FIGS. First, the operation of encryption processing will be described. The data transmission / reception unit 31 of the data encryption device 12 receives the SYN packet from the terminal 11 and notifies the protocol determination unit 32 (step S4).
1). In the protocol discriminating unit 32, the connection packet discriminating unit 33 checks whether the data is a SYN packet (step S42). If the packet is a SYN packet (Yes in step S42), the MTU on the side of the data transmitting / receiving unit 32, which is the transmitting side, is investigated to find the optimum MSS.
(= MTU-IP header size-TCP header size-
The encryption processing header size) is obtained (step S43).
This value is compared with the MSS in the received SYN packet (step S44), and if the MSS in the SYN packet is larger (Yes in step S44), the MSS changing unit 36 changes the MSS to the optimum MSS. (Step S45). If the MSS value in the SYN packet is less than or equal to the optimum MSS value (No in step S44), SY
The MSS value in N packets is left unchanged. In the example of FIG. 2, the received MSS value is 1460, whereas the optimum MSS value obtained by the data encryption device 12 is 1400, so the MSS value is changed from 1460 to 1400. After the MSS is changed, the data including the changed MSS value is encrypted by the data encryption / decryption unit 35 (step S46), and the data transmission / reception unit 32 transfers the data to the data encryption device 14.
A SYN packet to the client (step S4)
7). If the received data is not a SYN packet (No in step 42), the optimum MSS is calculated and the MSS is calculated.
The data is encrypted and transmitted without rewriting.
【0024】データ暗号装置12がSYNパケットを処
理する場合について説明したが、データ暗号装置14が
SYN ACKパケットを処理する場合についても同様
に動作する。図2の例では、受信したMSS値が140
0であり、データ暗号装置14で求めた最適MSS値も
1400であるため、MSS値は1400のまま、デー
タ暗号装置12に対してSYN ACKパケットを送信
している。Although the case where the data encryption device 12 processes the SYN packet has been described, the same operation is performed when the data encryption device 14 processes the SYN ACK packet. In the example of FIG. 2, the received MSS value is 140
Since it is 0, and the optimum MSS value obtained by the data encryption device 14 is also 1400, the SYN ACK packet is transmitted to the data encryption device 12 while the MSS value remains 1400.
【0025】次に復号処理の動作について説明する。デ
ータ暗号装置14は、MSS値を含む暗号化されたSY
Nパケットを受信する(ステップS51)。データ暗号
化/復号部35は、データが暗号化されているか否かを
判定し(ステップS52)、暗号化されている場合(ス
テップS52でYes)、データを復号し、受信データ
をプロトコル判別部33へ通知する(ステップS5
3)。暗号化されていなければ(ステップS52でN
o)、復号処理は行わない。プロトコル判別部33で
は、コネクションパケット判別部34においてデータが
SYNパケットであるか否かをチェックする(ステップ
S54)。SYNパケットの場合(ステップS54でY
es)、送出側であるデータ送受信部32側のMTUを
調査し、最適MSS=MTU−IPヘッダサイズ−TC
Pヘッダサイズ−暗号処理ヘッダサイズを求める(ステ
ップS55)。この値と受信したSYNパケット内のM
SSとを比較し(ステップS56)、SYNパケット内
のMSSの方が大きい場合(ステップS56でYe
s)、MSS変更部36において、MSSを前記最適M
SSに変更し(ステップS57)、データ送受信部32
から端末15に対してSYNパケットを送信する(ステ
ップS58)。SYNパケット内のMSS値が前記最適
MSS値以下の場合(ステップS56でNo)、SYN
パケット内のMSS値はそのままとする。図2の例で
は、受信したMSS値が1400であり、データ暗号装
置14で求めた最適MSS値も1400であるため、M
SS値は1400のまま、端末15に対してSYNパケ
ットを送信している。また、受信したデータがSYNパ
ケットでない場合(ステップ54でNo)、最適MSS
の計算やMSSの書き換え等は行わずにデータを送信す
る。Next, the operation of the decoding process will be described. The data encryption device 14 uses the encrypted SY containing the MSS value.
N packets are received (step S51). The data encryption / decryption unit 35 determines whether the data is encrypted (step S52). If the data is encrypted (Yes in step S52), the data is decrypted and the received data is determined by the protocol determination unit. 33 is notified (step S5)
3). If it is not encrypted (N in step S52)
o), decryption processing is not performed. In the protocol discriminating unit 33, the connection packet discriminating unit 34 checks whether the data is a SYN packet (step S54). In the case of SYN packet (Y in step S54)
es), the MTU on the side of the data transmitter / receiver 32 on the sending side is investigated, and the optimum MSS = MTU-IP header size-TC
P header size-encryption processing header size is obtained (step S55). This value and M in the received SYN packet
If SS is compared with SS (step S56) and the MSS in the SYN packet is larger (Yes in step S56).
s), the MSS changing unit 36 sets the MSS to the optimum M
Change to SS (step S57), and the data transmitting / receiving unit 32
Transmits a SYN packet to the terminal 15 (step S58). If the MSS value in the SYN packet is less than or equal to the optimum MSS value (No in step S56), SYN
The MSS value in the packet remains unchanged. In the example of FIG. 2, since the received MSS value is 1400 and the optimum MSS value obtained by the data encryption device 14 is also 1400, M
While the SS value remains 1400, the SYN packet is transmitted to the terminal 15. If the received data is not a SYN packet (No in step 54), the optimum MSS
The data is transmitted without performing the calculation of, the MSS rewriting, and the like.
【0026】データ暗号装置14がSYNパケットを処
理する場合について説明したが、データ暗号装置12が
SYN ACKパケットを処理する場合についても同様
に動作する。図2の例では、受信したMSS値が140
0であり、データ暗号装置12で求めた最適MSS値も
1400であるため、MSS値は1400のまま、端末
15に対してSYN ACKパケットを送信している。Although the case where the data encryption device 14 processes the SYN packet has been described, the same operation is performed when the data encryption device 12 processes the SYN ACK packet. In the example of FIG. 2, the received MSS value is 140
Since it is 0, and the optimum MSS value obtained by the data encryption device 12 is also 1400, the SYN ACK packet is transmitted to the terminal 15 while the MSS value remains 1400.
【0027】以上説明したように、暗号化に伴って新た
に付加されるヘッダやトレイラのサイズを考慮して計算
した最適MSSと、受信したSYNパケットのMSSと
を比較して、小さい方を選択することにより、ネットワ
ークの途中で新たにヘッダが付加されるような暗号化ネ
ットワークにおいても、パケット分解、組立のオーバヘ
ッドを発生しないため、転送効率を落とさずにデータ通
信を行うことができる。さらに、暗号化/復号化を用い
ているため、データ盗聴、改竄といったネットワーク上
の脅威から端末間の通信データを守ることができる。As described above, the optimum MSS calculated in consideration of the size of the header and trailer newly added with the encryption is compared with the MSS of the received SYN packet, and the smaller one is selected. By doing so, even in an encrypted network in which a new header is added in the middle of the network, packet decomposition and assembly overhead does not occur, so that data communication can be performed without reducing transfer efficiency. Furthermore, since encryption / decryption is used, communication data between terminals can be protected from network threats such as wiretapping and tampering.
【0028】なお、本実施の形態1では、SYNパケッ
トを暗号化ネットワークの場合について説明したが、ネ
ットワークの途中で新たにヘッダが付加されるようなネ
ットワークであればこれに限られず、ネットワークの途
中でエンカプセル処理等を行う場合でも、同様の効果を
得ることができる。In the first embodiment, the case where the SYN packet is an encrypted network has been described, but the present invention is not limited to this as long as a new header is added in the middle of the network, and it is not limited to this. Even when the encapsulation process or the like is performed, the same effect can be obtained.
【0029】また、本実施の形態1では、プロトコル判
別部33内にコネクションパケット判別部34を設けた
場合について説明したが、コネクションパケット判別部
34はプロトコル判別部33と独立していてもよく、更
にはプロトコル判別部33は無くても構わない。In the first embodiment, the case where the connection packet discriminating unit 34 is provided in the protocol discriminating unit 33 has been described, but the connection packet discriminating unit 34 may be independent of the protocol discriminating unit 33. Furthermore, the protocol determination unit 33 may be omitted.
【0030】また、本実施の形態1では、MSSの変更
をデータ暗号装置が行う場合について説明したが、MS
Sの変更に必要な情報を端末が受信して変更してもよい
し、独立した装置が変更するようにしてもよい。In the first embodiment, the case where the data encryption device changes the MSS has been described.
The terminal may receive and change the information necessary for changing S, or an independent device may change the information.
【0031】実施の形態2.上記実施の形態1では、全
てのデータを暗号化して送信する場合について説明した
が、本実施の形態2では、暗号化しないデータも混在す
る場合について説明する。図6は、実施の形態2におけ
るコネクション確立のシーケンスの例を示す説明図であ
る。システム構成は上記実施の形態1と同様に図1を用
いる。Embodiment 2. In the above-described first embodiment, the case where all data is encrypted and transmitted has been described, but in the second embodiment, a case where data that is not encrypted is also mixed will be described. FIG. 6 is an explanatory diagram showing an example of a sequence for establishing a connection in the second embodiment. As for the system configuration, FIG. 1 is used as in the first embodiment.
【0032】まず、全体の動作について図1及び図6を
用いて説明する。端末11−端末15間で暗号通信を適
用して通信を行う場合、上記実施の形態1と同様に動作
する。端末11−端末15間で暗号通信を適用せずに通
信を行う場合、データ暗号装置12、14では上記実施
の形態1で行っていたような暗号化/復号処理及びMS
Sの変更処理は行わない。暗号通信を適用しない場合、
データ暗号装置12、14で新たなヘッダが付加される
ことはないため、上記実施の形態1と同様にMSSの変
更を行うことは、データ通信の効率を下げてしまう。し
たがって、図6に示すように、データ暗号装置12、1
4は、端末11から通知されたMSS(=1460)を
そのまま変更せずに端末15に通知する(sq61〜6
3)。端末15は、端末15が接続するインタフェース
から求めたMSSと端末11から通知されたMSSとを
比較し、小さい方を端末11との通信に使用するMSS
として採用し、SYN ACKパケットにMSS(=1
460)を設定して端末11に送信する。この場合も同
様に、データ暗号装置14、12は、端末15から通知
されたMSS(=1460)をそのまま変更せずに端末
11に通知する(sq64〜66)。そして、端末11
はACKパケットを端末15に送信し(sq67)、端
末15がACKパケットを受信した時点でTCPコネク
ションが確立され、暗号通信を適用しないデータ通信が
開始される(sq68)。First, the overall operation will be described with reference to FIGS. 1 and 6. When the encrypted communication is applied between the terminal 11 and the terminal 15, the same operation as in the first embodiment is performed. When communication is performed without applying encrypted communication between the terminal 11 and the terminal 15, the data encryption devices 12 and 14 perform the encryption / decryption processing and the MS as in the first embodiment.
The process of changing S is not performed. If you do not apply encrypted communication,
Since the data encryption devices 12 and 14 do not add new headers, changing the MSS as in the first embodiment reduces the efficiency of data communication. Therefore, as shown in FIG.
4 notifies the MSS (= 1460) notified from the terminal 11 to the terminal 15 without changing it (sq 61 to 6).
3). The terminal 15 compares the MSS obtained from the interface connected to the terminal 15 with the MSS notified from the terminal 11, and the smaller one is used for communication with the terminal 11.
And the MSS (= 1) in the SYN ACK packet.
460) is set and transmitted to the terminal 11. Also in this case, similarly, the data encryption devices 14 and 12 notify the terminal 11 without changing the MSS (= 1460) notified from the terminal 15 (sq64 to 66). And the terminal 11
Transmits an ACK packet to the terminal 15 (sq67), a TCP connection is established when the terminal 15 receives the ACK packet, and data communication to which encrypted communication is not applied is started (sq68).
【0033】図7は、実施の形態2におけるデータ暗号
装置の構成の例を示す構成図である。図7において、7
1は暗号通信を適用しない宛先アドレスを登録するアド
レス登録部、72はアドレス登録部71を参照して暗号
通信を適用しない宛先アドレスを判別するアドレス判別
部、73は暗号通信を適用しないアプリケーションを登
録するアプリケーション登録部である。その他図3と同
じ符号を付したものは上記実施の形態1と同様のため、
説明は省略する。図8は、実施の形態2におけるデータ
暗号装置の暗号化処理のフローチャートである。FIG. 7 is a block diagram showing an example of the configuration of the data encryption device according to the second embodiment. In FIG. 7, 7
Reference numeral 1 is an address registration unit that registers a destination address to which encrypted communication is not applied, 72 is an address determination unit that refers to the address registration unit 71 to determine a destination address to which encrypted communication is not applied, and 73 is an application that does not apply encrypted communication. It is an application registration unit that executes. Other components having the same reference numerals as those in FIG. 3 are similar to those in the first embodiment,
The description is omitted. FIG. 8 is a flowchart of the encryption process of the data encryption device according to the second embodiment.
【0034】次にデータ暗号装置12、14の詳細な動
作について図7、8を用いて説明する。暗号化処理の動
作について説明する。データ暗号装置12のデータ送受
信部31は、端末11からのSYNパケットを受信し
(ステップS41)、プロトコル判別部32では、コネ
クションパケット判別部33においてデータがSYNパ
ケットであるか否かをチェックする(ステップS4
2)。受信したデータがSYNパケットでない場合(ス
テップ42でNo)、上記実施の形態1と同様に、最適
MSSの計算やMSSの書き換え等は行わず、データを
暗号化して送信する。受信したデータがSYNパケット
である場合(ステップ42でYes)、アドレス判別部
72及びプロトコル判別部33において、受信したSY
Nパケットとアドレス登録部71とアプリケーション登
録部73とを参照して、暗号化を適用するパケットであ
るか否かを判別する(ステップS81、S82)。Next, detailed operations of the data encryption devices 12 and 14 will be described with reference to FIGS. The operation of encryption processing will be described. The data transmission / reception unit 31 of the data encryption device 12 receives the SYN packet from the terminal 11 (step S41), and the protocol determination unit 32 causes the connection packet determination unit 33 to check whether the data is a SYN packet (step S41). Step S4
2). If the received data is not a SYN packet (No in step 42), the optimum MSS is not calculated or the MSS is not rewritten, but the data is encrypted and transmitted as in the first embodiment. When the received data is a SYN packet (Yes in step 42), the received SY is received by the address determination unit 72 and the protocol determination unit 33.
By referring to the N packet, the address registration unit 71, and the application registration unit 73, it is determined whether or not the packet is a packet to which encryption is applied (steps S81 and S82).
【0035】例えば、データ暗号装置12のアドレス登
録部71に暗号化を適用しないアドレスとして端末15
のアドレスを予め登録しておく。アドレス判別部72
は、受信したSYNパケットとアドレス登録部71に登
録されたアドレスとを参照して、受信したSYNパケッ
トの宛先アドレスがアドレス登録部71に登録された端
末15であった場合、暗号化を適用しないアドレスであ
るため(ステップS81でNo)、MSSの書き換え処
理や暗号化処理を行わずにそのままSYNパケットを送
信する(ステップS47)。For example, in the address registration unit 71 of the data encryption device 12, the terminal 15 is set as an address to which encryption is not applied.
The address of is registered in advance. Address discrimination unit 72
Does not apply encryption when the destination address of the received SYN packet is the terminal 15 registered in the address registration unit 71 by referring to the received SYN packet and the address registered in the address registration unit 71. Since it is the address (No in step S81), the SYN packet is transmitted as it is without performing the MSS rewriting process or the encryption process (step S47).
【0036】また、データ暗号装置12のアプリケーシ
ョン登録部73に暗号化を適用しないアプリケーション
として電子メールのアプリケーションを予め登録してお
く。プロトコル判別部33は、受信したSYNパケット
とアプリケーション登録部73に登録されたアプリケー
ションとを参照して、受信したSYNパケットのアプリ
ケーションがアプリケーション登録部73に登録された
電子メールであった場合、暗号化を適用しないアプリケ
ーションであるため(ステップS82でNo)、MSS
の書き換え処理や暗号化処理を行わずにそのままSYN
パケットを送信する(ステップS47)。Further, an application for electronic mail is registered in advance in the application registration section 73 of the data encryption device 12 as an application to which encryption is not applied. The protocol determination unit 33 refers to the received SYN packet and the application registered in the application registration unit 73, and if the application of the received SYN packet is an e-mail registered in the application registration unit 73, encrypts it. Since the application does not apply (No in step S82), MSS
SYN without rewriting or encryption
The packet is transmitted (step S47).
【0037】アドレス判別部72及びプロトコル判別部
33において、受信したSYNパケットとアドレス登録
部71とアプリケーション登録部73とを参照して、暗
号化を適用するパケットであるか否かを判別して、アド
レス及びアプリケーションとも暗号化を適用するパケッ
トであると判別した場合(ステップS81でYes、ス
テップS82でYes)、送出側であるデータ送受信部
32側のMTUを調査し、最適MSS=MTU−IPヘ
ッダサイズ−TCPヘッダサイズ−暗号処理ヘッダサイ
ズを求める(ステップS43)。これ以降の処理(ステ
ップS44〜S47)は、上記実施の形態1の図4と同
様であるため、説明は省略する。また、データ暗号装置
の復号処理については、上記実施の形態1と同様である
ため、説明は省略する。The address discriminating unit 72 and the protocol discriminating unit 33 refer to the received SYN packet, the address registering unit 71, and the application registering unit 73 to discriminate whether or not the packet is to be encrypted, If it is determined that both the address and the application are packets to which encryption is applied (Yes in step S81, Yes in step S82), the MTU on the data transmitting / receiving unit 32 side, which is the sending side, is investigated and the optimum MSS = MTU-IP header. Size-TCP header size-Cryptography header size is obtained (step S43). Since the subsequent processing (steps S44 to S47) is the same as that in FIG. 4 of the first embodiment, the description thereof will be omitted. Further, the decryption process of the data encryption device is the same as that in the above-mentioned first embodiment, and therefore its explanation is omitted.
【0038】以上説明したように、暗号化を適用するア
ドレスやアプリケーションを予め登録しておき、暗号化
を適用しないアドレスやアプリケーションである場合
は、暗号化に伴って新たに付加されるヘッダやトレイラ
のサイズを考慮した最適MSSの計算及びこの値に基づ
く変更を行わないようにすることにより、暗号化を適用
するデータと適用しないデータとで処理を変更させるた
め、暗号化を適用しないデータが混在する場合にも、適
切なMSSを選択して転送効率を落とさずにデータ通信
を行うことができる。As described above, if the address or application to which encryption is applied is registered in advance and the address or application is not applied to encryption, a header or trailer newly added with encryption is added. Since the calculation of the optimum MSS considering the size of and the change based on this value are not performed, the processing is changed depending on the data to which the encryption is applied and the data to which the encryption is not applied, so that the data to which the encryption is not applied is mixed. Also in this case, it is possible to select an appropriate MSS and perform data communication without lowering the transfer efficiency.
【0039】なお、本実施の形態2では、暗号通信を適
用しない宛先アドレスをアドレス登録部に、暗号通信を
適用しないアプリケーションをアプリケーション登録部
に登録する場合について説明したが、暗号通信を適用す
る宛先アドレスをアドレス登録部に、暗号通信を適用す
るアプリケーションをアプリケーション登録部に登録し
て、アドレス判別部やプロトコル判別部が暗号通信を適
用する宛先アドレス、アプリケーションを判別するよう
にしても、同様の効果を得ることができる。また、シス
テムに応じて、暗号通信を適用するものを登録するか、
適用しないものを登録するかを適宜選択することによ
り、登録数の削減等の更なる効果を得ることができる。In the second embodiment, the case where the destination address to which the encrypted communication is not applied is registered in the address registration unit and the application to which the encrypted communication is not applied is registered in the application registration unit has been described. However, the destination to which the encrypted communication is applied is described. Even if the address is registered in the address registration unit and the application to which the encrypted communication is applied is registered in the application registration unit so that the address determination unit and the protocol determination unit determine the destination address and the application to which the encrypted communication is applied, the same effect can be obtained. Can be obtained. Also, depending on the system, register the one to which encrypted communication is applied, or
It is possible to obtain further effects such as a reduction in the number of registrations by appropriately selecting whether or not to register those that are not applicable.
【0040】また、本実施の形態2では、アドレス毎及
びアプリケーション毎に暗号化を適用するか否かを選択
する場合について説明したが、これに限られず、他のパ
ラメータを用いた場合も、同様の効果を得ることができ
る。In the second embodiment, the case of selecting whether or not to apply the encryption for each address and each application has been described, but the present invention is not limited to this, and the same applies when other parameters are used. The effect of can be obtained.
【0041】また、本実施の形態2では、アドレス及び
アプリケーションの両方で暗号化を適用するなら暗号化
を行うとした場合について説明したが、アドレスあるい
はアプリケーションのどちらか一方で暗号化を適用する
なら暗号化を行うとした場合でも、同様の効果を得るこ
とができる。さらに、アドレスだけをパラメータとした
場合、アプリケーションだけをパラメータとした場合で
も、同様の効果を得ることができる。また、他のパラメ
ータの単独あるいは組み合わせの場合も同様の効果を得
ることができる。In the second embodiment, the case where the encryption is applied if the encryption is applied to both the address and the application has been described. However, if the encryption is applied to either the address or the application, the encryption is applied. Even if encryption is performed, the same effect can be obtained. Further, when only the address is used as the parameter, even when only the application is used as the parameter, the same effect can be obtained. Also, similar effects can be obtained when other parameters are used alone or in combination.
【0042】[0042]
【発明の効果】以上のように、この発明に係るデータ暗
号装置では、コネクション確立のためのパケットに最大
セグメントサイズの情報を含めてコネクションを確立す
る通信装置間のデータを暗号化して中継するデータ暗号
装置において、暗号化に伴い新たに付加する部分のサイ
ズに基づいて、前記中継するコネクション確立パケット
の最大セグメントサイズの情報を変更する最大セグメン
トサイズ変更手段と、前記最大セグメントサイズ変更手
段により変更された最大セグメントサイズの情報を含む
コネクション確立パケットを暗号化する暗号化手段と、
前記暗号化手段により暗号化されたコネクション確立パ
ケットを中継するパケット中継手段とを備えることによ
り、ネットワークの途中で新たにヘッダが付加されるよ
うな暗号化ネットワークにおいても、パケット分解、組
立のオーバヘッドを発生しないため、転送効率を落とさ
ずにデータ通信を行うことができる。As described above, in the data encryption device according to the present invention, the data for encrypting and relaying the data between the communication devices which establish the connection by including the information of the maximum segment size in the packet for establishing the connection. In the encryption device, the maximum segment size changing means for changing information of the maximum segment size of the connection establishment packet to be relayed, and the maximum segment size changing means for changing the maximum segment size information based on the size of a part newly added with encryption. Encryption means for encrypting the connection establishment packet including the information of the maximum segment size,
By including a packet relay unit that relays the connection establishment packet encrypted by the encryption unit, the overhead of packet disassembly and assembly is eliminated even in an encrypted network in which a new header is added in the middle of the network. Since it does not occur, data communication can be performed without reducing the transfer efficiency.
【0043】この発明に係るデータ暗号装置では、コネ
クション確立のためのパケットに最大セグメントサイズ
の情報を含めてコネクションを確立する通信装置間のデ
ータを復号処理して中継するデータ暗号装置において、
前記中継するコネクション確立パケットを復号処理する
復号処理手段と、暗号化に伴い新たに付加される部分の
サイズに基づいて、前記復号処理手段により復号された
コネクション確立パケットの最大セグメントサイズの情
報を変更する最大セグメントサイズ変更手段と、前記最
大セグメントサイズ変更手段により変更された最大セグ
メントサイズの情報を含むコネクション確立パケットを
中継するパケット中継手段とを備えることにより、ネッ
トワークの途中で新たにヘッダが付加されるような暗号
化ネットワークにおいても、パケット分解、組立のオー
バヘッドを発生しないため、転送効率を落とさずにデー
タ通信を行うことができる。In the data encryption device according to the present invention, a packet for establishing a connection includes information about the maximum segment size in a data encryption device for decrypting and relaying data between communication devices that establish a connection.
The decryption processing unit for decrypting the connection establishment packet to be relayed, and the maximum segment size information of the connection establishment packet decrypted by the decryption processing unit is changed based on the size of the portion newly added with the encryption. By including the maximum segment size changing means and the packet relay means for relaying the connection establishment packet including the maximum segment size information changed by the maximum segment size changing means, a new header is added in the middle of the network. Even in such an encrypted network, the overhead of packet disassembly and assembly does not occur, so that data communication can be performed without lowering the transfer efficiency.
【0044】また、前記中継するコネクション確立パケ
ットの宛先アドレスが暗号通信を適用するアドレスであ
るか否かを示すアドレス情報を登録するアドレス登録手
段と、前記アドレス登録手段に登録されたアドレスと、
前記中継するコネクション確立パケットの宛先アドレス
とを比較し、暗号通信を適用するアドレスであるか否か
を判別するアドレス判別手段とを備えるととともに、前
記アドレス判別手段により暗号通信を適用するアドレス
であると判別した場合、前記最大セグメントサイズ変更
手段による最大セグメントサイズの情報の変更を行い、
前記暗号化手段による暗号化を行うことにより、暗号化
を適用するデータと適用しないデータとで処理を変更さ
せるため、暗号化を適用しないデータが混在する場合に
も、適切なMSSを選択して転送効率を落とさずにデー
タ通信を行うことができる。Address registration means for registering address information indicating whether or not the destination address of the connection establishment packet to be relayed is an address to which encrypted communication is applied; and an address registered in the address registration means.
The address determination means compares the destination address of the connection establishment packet to be relayed and determines whether or not the encrypted communication is applied, and the address to which the encrypted communication is applied by the address determination means. If it is determined that the maximum segment size changing means changes the maximum segment size information,
By performing the encryption by the encryption means, the processing is changed between the data to which the encryption is applied and the data to which the encryption is not applied. Therefore, even when the data to which the encryption is not applied is mixed, an appropriate MSS is selected. Data communication can be performed without lowering transfer efficiency.
【0045】また、前記中継するコネクション確立パケ
ットのアプリケーションが暗号通信を適用するアプリケ
ーションであるか否かを示すアプリケーション情報を登
録するアプリケーション登録手段と、前記アプリケーシ
ョン登録手段に登録されたアプリケーションと、前記中
継するコネクション確立パケットのアプリケーションと
を比較し、暗号通信を適用するアプリケーションである
か否かを判別するアプリケーション判別手段とを備える
ととともに、前記アプリケーション判別手段により暗号
通信を適用するアプリケーションであると判別した場
合、前記最大セグメントサイズ変更手段による最大セグ
メントサイズの情報の変更を行い、前記暗号化手段によ
る暗号化を行うことにより、暗号化を適用するデータと
適用しないデータとで処理を変更させるため、暗号化を
適用しないデータが混在する場合にも、適切なMSSを
選択して転送効率を落とさずにデータ通信を行うことが
できる。Further, application registration means for registering application information indicating whether or not the application of the connection establishment packet to be relayed is an application to which encrypted communication is applied, the application registered in the application registration means, and the relay And the application determining means for determining whether or not the application is encrypted communication, and the application determining means determines that the application is encrypted application. In this case, by changing the information of the maximum segment size by the maximum segment size changing means and performing the encryption by the encryption means, the data to which the encryption is applied and the data to which the encryption is not applied are For changing the process, if the data does not apply encryption are mixed well, it is possible to perform data communication without reducing the transmission efficiency by selecting the appropriate MSS.
【0046】また、前記アドレス登録手段は、暗号通信
を適用するアドレスを登録し、前記アドレス判別手段
は、前記アドレス登録手段に登録されたアドレスと、前
記中継するコネクション確立パケットの宛先アドレスと
を比較し、アドレスが一致する場合、暗号通信を適用す
るアドレスであると判別することにより、システムによ
り登録数の削減等の効果を得ることができる。Further, the address registration means registers the address to which the encrypted communication is applied, and the address discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, if the addresses match, it is possible to obtain an effect such as a reduction in the number of registrations by the system by determining that the address is an address to which encrypted communication is applied.
【0047】また、前記アドレス登録手段は、暗号通信
を適用しないアドレスを登録し、前記アドレス判別手段
は、前記アドレス登録手段に登録されたアドレスと、前
記中継するコネクション確立パケットの宛先アドレスと
を比較し、アドレスが一致しない場合、暗号通信を適用
するアドレスであると判別することにより、システムに
より登録数の削減等の効果を得ることができる。The address registration means registers an address to which encrypted communication is not applied, and the address discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, when the addresses do not match, it is possible to obtain an effect such as a reduction in the number of registrations by the system by determining that the address is an address to which encrypted communication is applied.
【0048】また、前記アプリケーション登録手段は、
暗号通信を適用するアプリケーションを登録し、前記ア
プリケーション判別手段は、前記アドレス登録手段に登
録されたアドレスと、前記中継するコネクション確立パ
ケットの宛先アドレスとを比較し、アドレスが一致する
場合、暗号通信を適用するアドレスであると判別するこ
とにより、システムにより登録数の削減等の効果を得る
ことができる。Further, the application registration means is
The application to which the encrypted communication is applied is registered, and the application discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. If the addresses match, the encrypted communication is performed. By determining the address to be applied, it is possible to obtain the effect of reducing the number of registrations by the system.
【0049】また、前記アプリケーション登録手段は、
暗号通信を適用しないアプリケーションを登録し、前記
アプリケーション判別手段は、前記アプリケーション登
録手段に登録されたアプリケーションと、前記中継する
コネクション確立パケットのアプリケーションとを比較
し、アプリケーションが一致しない場合、暗号通信を適
用するアプリケーションであると判別することにより、
システムにより登録数の削減等の効果を得ることができ
る。Further, the application registration means is
An application to which encrypted communication is not applied is registered, and the application determination means compares the application registered in the application registration means with the application of the connection establishment packet to be relayed. If the application does not match, the encrypted communication is applied. By determining that the application is
With the system, it is possible to obtain effects such as a reduction in the number of registrations.
【0050】この発明に係るデータ中継装置では、コネ
クション確立のためのパケットに最大セグメントサイズ
の情報を含めてコネクションを確立する通信装置間のデ
ータを中継するデータ中継装置において、データの中継
に伴い新たに付加する部分のサイズに基づいて、前記中
継するコネクション確立パケットの最大セグメントサイ
ズの情報を変更する最大セグメントサイズ変更手段と、
前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを中継するパケット中継手段とを備えることによ
り、ネットワークの途中で新たにヘッダが付加されるよ
うなネットワークにおいても、パケット分解、組立のオ
ーバヘッドを発生しないため、転送効率を落とさずにデ
ータ通信を行うことができる。In the data relay device according to the present invention, in the data relay device for relaying the data between the communication devices which establish the connection by including the information of the maximum segment size in the packet for establishing the connection, a new data relay device is added. Maximum segment size changing means for changing the information of the maximum segment size of the connection establishment packet to be relayed, based on the size of the part added to
By including a packet relay unit that relays a connection establishment packet including the maximum segment size information changed by the maximum segment size changing unit, even in a network where a new header is added in the middle of the network, the packet Since the overhead of disassembling and assembling does not occur, data communication can be performed without lowering the transfer efficiency.
【0051】この発明に係るデータ中継装置では、コネ
クション確立のためのパケットに最大セグメントサイズ
の情報を含めてコネクションを確立する通信装置間のデ
ータを中継するデータ中継装置において、データの中継
に伴い新たに付加される部分のサイズに基づいて、前記
中継するコネクション確立パケットの最大セグメントサ
イズの情報を変更する最大セグメントサイズ変更手段
と、前記最大セグメントサイズ変更手段により変更され
た最大セグメントサイズの情報を含むコネクション確立
パケットを中継するパケット中継手段とを備えることに
より、ネットワークの途中で新たにヘッダが付加される
ようなネットワークにおいても、パケット分解、組立の
オーバヘッドを発生しないため、転送効率を落とさずに
データ通信を行うことができる。In the data relay device according to the present invention, in the data relay device for relaying the data between the communication devices which establish the connection by including the information of the maximum segment size in the packet for establishing the connection, a new data relay device is required. The maximum segment size changing means for changing the maximum segment size information of the connection establishment packet to be relayed, based on the size of the part added to the maximum segment size, and the maximum segment size information changed by the maximum segment size changing means. By including the packet relay means for relaying the connection establishment packet, the overhead of packet disassembling and assembling does not occur even in a network where a new header is added in the middle of the network, so that the data transfer efficiency is not reduced. Communication Can.
【図面の簡単な説明】[Brief description of drawings]
【図1】 実施の形態1におけるシステム構成の例を示
す説明図FIG. 1 is an explanatory diagram showing an example of a system configuration according to a first embodiment.
【図2】 実施の形態1におけるコネクション確立のシ
ーケンスの例を示す説明図FIG. 2 is an explanatory diagram showing an example of a connection establishment sequence according to the first embodiment.
【図3】 実施の形態1におけるデータ暗号装置の構成
の例を示す構成図FIG. 3 is a configuration diagram showing an example of a configuration of a data encryption device according to the first embodiment.
【図4】 実施の形態1におけるデータ暗号装置の暗号
化処理のフローチャートFIG. 4 is a flowchart of an encryption process of the data encryption device according to the first embodiment.
【図5】 実施の形態1におけるデータ暗号装置の復号
処理のフローチャートFIG. 5 is a flowchart of a decryption process of the data encryption device according to the first embodiment.
【図6】 実施の形態2におけるコネクション確立のシ
ーケンスの例を示す説明図FIG. 6 is an explanatory diagram showing an example of a connection establishment sequence according to the second embodiment.
【図7】 実施の形態2におけるデータ暗号装置の構成
の例を示す構成図FIG. 7 is a configuration diagram showing an example of a configuration of a data encryption device according to a second embodiment.
【図8】 実施の形態2におけるデータ暗号装置の暗号
化処理のフローチャートFIG. 8 is a flowchart of an encryption process of the data encryption device according to the second embodiment.
【図9】 従来のデータ転送シーケンスFIG. 9 Conventional data transfer sequence
【図10】 IPSecの暗号化方式の例を示す説明図FIG. 10 is an explanatory diagram showing an example of an encryption method of IPSec.
11、15 端末 12、14 データ暗号装置 13 インターネット 31、32 データ送受信部 33 プロトコル判別部 34 コネクションパケット判別部 35 データ暗号化/復号部 36 MSS変更部 71 アドレス登録部 72 アドレス判別部 73 アプリケーション登録部 11, 15 terminals 12, 14 Data encryption device 13 Internet 31, 32 data transceiver 33 Protocol discriminator 34 Connection Packet Discrimination Unit 35 Data encryption / decryption unit 36 MSS change section 71 Address registration section 72 Address discrimination section 73 Application registration section
Claims (12)
大セグメントサイズの情報を含めてコネクションを確立
する通信装置間のデータを暗号化して中継するデータ暗
号装置において、 暗号化に伴い新たに付加する部分のサイズに基づいて、
前記中継するコネクション確立パケットの最大セグメン
トサイズの情報を変更する最大セグメントサイズ変更手
段と、 前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを暗号化する暗号化手段と、 前記暗号化手段により暗号化されたコネクション確立パ
ケットを中継するパケット中継手段とを備えたことを特
徴とするデータ暗号装置。1. A data encryption device that encrypts and relays data between communication devices that establish a connection by including information on a maximum segment size in a packet for establishing a connection. Based on size
Maximum segment size changing means for changing the maximum segment size information of the connection establishment packet to be relayed, and encryption means for encrypting the connection establishment packet including the maximum segment size information changed by the maximum segment size changing means A data encryption device comprising: a packet relay unit that relays the connection establishment packet encrypted by the encryption unit.
大セグメントサイズの情報を含めてコネクションを確立
する通信装置間のデータを復号処理して中継するデータ
暗号装置において、 前記中継するコネクション確立パケットを復号処理する
復号処理手段と、 暗号化に伴い新たに付加される部分のサイズに基づい
て、前記復号処理手段により復号されたコネクション確
立パケットの最大セグメントサイズの情報を変更する最
大セグメントサイズ変更手段と、 前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを中継するパケット中継手段とを備えたことを特徴
とするデータ暗号装置。2. A data encryption device for decrypting and relaying data between communication devices that establish a connection by including information of maximum segment size in a packet for establishing a connection, and decrypting the connection establishment packet to be relayed. Decryption processing means for changing the maximum segment size change means for changing the maximum segment size information of the connection establishment packet decrypted by the decryption processing means based on the size of the portion newly added with the encryption; A data encryption device, comprising: a packet relay means for relaying a connection establishment packet containing information on the maximum segment size changed by the maximum segment size changing means.
の宛先アドレスが暗号通信を適用するアドレスであるか
否かを示すアドレス情報を登録するアドレス登録手段
と、 前記アドレス登録手段に登録されたアドレスと、前記中
継するコネクション確立パケットの宛先アドレスとを比
較し、暗号通信を適用するアドレスであるか否かを判別
するアドレス判別手段とを備えるととともに、 前記アドレス判別手段により暗号通信を適用するアドレ
スであると判別した場合、前記最大セグメントサイズ変
更手段による最大セグメントサイズの情報の変更を行
い、前記暗号化手段による暗号化を行うことを特徴とす
る請求項1記載のデータ暗号装置。3. An address registration means for registering address information indicating whether or not a destination address of the connection establishment packet to be relayed is an address to which encrypted communication is applied, an address registered in the address registration means, and It is provided with an address discriminating means for comparing the destination address of the connection establishment packet to be relayed and discriminating whether or not the cryptographic communication is applied, and the address discriminating means is the address to which the cryptographic communication is applied. 2. The data encryption device according to claim 1, wherein when the determination is made, the maximum segment size changing means changes the maximum segment size information and the encryption means performs encryption.
のアプリケーションが暗号通信を適用するアプリケーシ
ョンであるか否かを示すアプリケーション情報を登録す
るアプリケーション登録手段と、 前記アプリケーション登録手段に登録されたアプリケー
ションと、前記中継するコネクション確立パケットのア
プリケーションとを比較し、暗号通信を適用するアプリ
ケーションであるか否かを判別するアプリケーション判
別手段とを備えるととともに、 前記アプリケーション判別手段により暗号通信を適用す
るアプリケーションであると判別した場合、前記最大セ
グメントサイズ変更手段による最大セグメントサイズの
情報の変更を行い、前記暗号化手段による暗号化を行う
ことを特徴とする請求項1または2に記載のデータ暗号
装置。4. An application registration unit for registering application information indicating whether or not an application of the connection establishment packet to be relayed is an application to which encrypted communication is applied, an application registered in the application registration unit, and the relay And the application of the connection establishment packet to determine whether or not the application to which the encrypted communication is applied, and the application determination means that determines whether or not the application is to apply the encrypted communication, and the application determination means determines to be the application to which the encrypted communication is applied. In this case, the data encryption device according to claim 1 or 2, wherein the maximum segment size changing means changes the maximum segment size information and the encryption means performs encryption.
用するアドレスを登録し、 前記アドレス判別手段は、前記アドレス登録手段に登録
されたアドレスと、前記中継するコネクション確立パケ
ットの宛先アドレスとを比較し、アドレスが一致する場
合、暗号通信を適用するアドレスであると判別すること
を特徴とする請求項3記載のデータ暗号装置。5. The address registration means registers an address to which encrypted communication is applied, and the address determination means compares the address registered in the address registration means with a destination address of the connection establishment packet to be relayed. The data encryption device according to claim 3, wherein if the addresses match, it is determined that the address is an address to which encrypted communication is applied.
用しないアドレスを登録し、 前記アドレス判別手段は、前記アドレス登録手段に登録
されたアドレスと、前記中継するコネクション確立パケ
ットの宛先アドレスとを比較し、アドレスが一致しない
場合、暗号通信を適用するアドレスであると判別するこ
とを特徴とする請求項3記載のデータ暗号装置。6. The address registration means registers an address to which encrypted communication is not applied, and the address determination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, if the addresses do not match, it is determined that the address is an address to which encrypted communication is applied.
通信を適用するアプリケーションを登録し、 前記アプリケーション判別手段は、前記アドレス登録手
段に登録されたアドレスと、前記中継するコネクション
確立パケットの宛先アドレスとを比較し、アドレスが一
致する場合、暗号通信を適用するアドレスであると判別
することを特徴とする請求項4記載のデータ暗号装置。7. The application registration means registers an application to which encrypted communication is applied, and the application discrimination means compares the address registered in the address registration means with the destination address of the connection establishment packet to be relayed. However, if the addresses match, it is determined that the address is an address to which encrypted communication is applied.
通信を適用しないアプリケーションを登録し、 前記アプリケーション判別手段は、前記アプリケーショ
ン登録手段に登録されたアプリケーションと、前記中継
するコネクション確立パケットのアプリケーションとを
比較し、アプリケーションが一致しない場合、暗号通信
を適用するアプリケーションであると判別することを特
徴とする請求項4記載のデータ暗号装置。8. The application registration means registers an application to which encrypted communication is not applied, and the application determination means compares the application registered in the application registration means with the application of the connection establishment packet to be relayed. 5. The data encryption device according to claim 4, wherein if the applications do not match, the application is determined to be an application to which encrypted communication is applied.
大セグメントサイズの情報を含めてコネクションを確立
する通信装置間のデータを暗号化して中継する暗号通信
処理方法において、 暗号化に伴い新たに付加する部分のサイズに基づいて、
前記中継するコネクション確立パケットの最大セグメン
トサイズの情報を変更するステップと、 前記変更された最大セグメントサイズの情報を含むコネ
クション確立パケットを暗号化するステップと、 前記暗号化されたコネクション確立パケットを中継する
ステップとを備えたことを特徴とする暗号通信処理方
法。9. A cryptographic communication processing method for encrypting and relaying data between communication devices that establish a connection by including information of a maximum segment size in a packet for establishing a connection, a part newly added with encryption. Based on the size of
Changing the maximum segment size information of the connection establishment packet to be relayed, encrypting the connection establishment packet including the changed maximum segment size information, and relaying the encrypted connection establishment packet An encrypted communication processing method, comprising:
最大セグメントサイズの情報を含めてコネクションを確
立する通信装置間のデータを復号処理して中継する暗号
通信処理方法において、 前記中継するコネクション確立パケットを復号処理する
ステップと、 暗号化に伴い新たに付加される部分のサイズに基づい
て、前記復号されたコネクション確立パケットの最大セ
グメントサイズの情報を変更するステップと、 前記変更された最大セグメントサイズの情報を含むコネ
クション確立パケットを中継するステップとを備えたこ
とを特徴とする暗号通信処理方法。10. A cryptographic communication processing method for decrypting and relaying data between communication devices that establish a connection by including information on a maximum segment size in a packet for establishing a connection, wherein the connection establishment packet to be relayed is decrypted. A step of processing, a step of changing the information of the maximum segment size of the decrypted connection establishment packet based on the size of a part newly added with the encryption, and the information of the changed maximum segment size. And a step of relaying a connection establishment packet including the encrypted communication processing method.
最大セグメントサイズの情報を含めてコネクションを確
立する通信装置間のデータを中継するデータ中継装置に
おいて、 データの中継に伴い新たに付加する部分のサイズに基づ
いて、前記中継するコネクション確立パケットの最大セ
グメントサイズの情報を変更する最大セグメントサイズ
変更手段と、 前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを中継するパケット中継手段とを備えたことを特徴
とするデータ中継装置。11. A data relay device that relays data between communication devices that establish a connection by including information about a maximum segment size in a packet for establishing a connection, and determines the size of a portion newly added when the data is relayed. A maximum segment size changing means for changing the maximum segment size information of the connection establishment packet to be relayed, and a packet relay for relaying the connection establishment packet containing the maximum segment size information changed by the maximum segment size changing means. And a data relay device.
最大セグメントサイズの情報を含めてコネクションを確
立する通信装置間のデータを中継するデータ中継装置に
おいて、 データの中継に伴い新たに付加される部分のサイズに基
づいて、前記中継するコネクション確立パケットの最大
セグメントサイズの情報を変更する最大セグメントサイ
ズ変更手段と、 前記最大セグメントサイズ変更手段により変更された最
大セグメントサイズの情報を含むコネクション確立パケ
ットを中継するパケット中継手段とを備えたことを特徴
とするデータ中継装置。12. A data relay device for relaying data between communication devices for establishing a connection, including information of maximum segment size in a packet for establishing a connection, the size of a part newly added with the relay of data. A maximum segment size changing means for changing the maximum segment size information of the connection establishment packet to be relayed, and a packet for relaying a connection establishment packet containing the maximum segment size information changed by the maximum segment size changing means. A data relay device comprising a relay means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002039765A JP2003244194A (en) | 2002-02-18 | 2002-02-18 | Data encrypting apparatus, encryption communication processing method, and data relaying apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002039765A JP2003244194A (en) | 2002-02-18 | 2002-02-18 | Data encrypting apparatus, encryption communication processing method, and data relaying apparatus |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003244194A true JP2003244194A (en) | 2003-08-29 |
Family
ID=27780684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002039765A Abandoned JP2003244194A (en) | 2002-02-18 | 2002-02-18 | Data encrypting apparatus, encryption communication processing method, and data relaying apparatus |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003244194A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203871A (en) * | 2004-12-21 | 2006-08-03 | Ricoh Co Ltd | Communication apparatus, communication method, communication program, and recording medium |
| JP2008035272A (en) * | 2006-07-28 | 2008-02-14 | Canon Inc | Information processing system and data communication method in the same |
| JP2008118706A (en) * | 2008-01-10 | 2008-05-22 | Nec Corp | Encrypted communication control system |
| JP2009152973A (en) * | 2007-12-21 | 2009-07-09 | Mitsubishi Electric Corp | Relay communication system |
| JP2009164960A (en) * | 2008-01-08 | 2009-07-23 | Canon Inc | Security telecommunication apparatus and method |
| JP2009171470A (en) * | 2008-01-18 | 2009-07-30 | Sharp Corp | Communication terminal |
| US8085669B2 (en) | 2005-11-07 | 2011-12-27 | Nec Corporation | Session relay device and session relay method |
| JP2016522478A (en) * | 2013-04-23 | 2016-07-28 | グルロジック マイクロシステムズ オーワイGurulogic Microsystems Oy | Communication system using HTTP |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000115278A (en) * | 1998-09-15 | 2000-04-21 | Alteon Web Systems Inc | Method and system for mss spoofing |
| JP2002026927A (en) * | 2000-07-10 | 2002-01-25 | Pfu Ltd | Capsulating method and unit, and program recording medium |
-
2002
- 2002-02-18 JP JP2002039765A patent/JP2003244194A/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000115278A (en) * | 1998-09-15 | 2000-04-21 | Alteon Web Systems Inc | Method and system for mss spoofing |
| JP2002026927A (en) * | 2000-07-10 | 2002-01-25 | Pfu Ltd | Capsulating method and unit, and program recording medium |
Non-Patent Citations (1)
| Title |
|---|
| 後沢忍・板垣寛二・馬場義昌・松井充: "ネットワークセキュリティ技術", 三菱電機技報, vol. 第71巻 第2号, CSNH199700088005, 25 February 1997 (1997-02-25), JP, pages 18 - 21, ISSN: 0000784301 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006203871A (en) * | 2004-12-21 | 2006-08-03 | Ricoh Co Ltd | Communication apparatus, communication method, communication program, and recording medium |
| US8085669B2 (en) | 2005-11-07 | 2011-12-27 | Nec Corporation | Session relay device and session relay method |
| JP2008035272A (en) * | 2006-07-28 | 2008-02-14 | Canon Inc | Information processing system and data communication method in the same |
| US8261055B2 (en) | 2006-07-28 | 2012-09-04 | Canon Kabushiki Kaisha | Information processing apparatus and system and data communication method pertaining to the information processing system |
| JP2009152973A (en) * | 2007-12-21 | 2009-07-09 | Mitsubishi Electric Corp | Relay communication system |
| JP2009164960A (en) * | 2008-01-08 | 2009-07-23 | Canon Inc | Security telecommunication apparatus and method |
| US8856915B2 (en) | 2008-01-08 | 2014-10-07 | Canon Kabushiki Kaisha | Security communication apparatus and security communication method |
| JP2008118706A (en) * | 2008-01-10 | 2008-05-22 | Nec Corp | Encrypted communication control system |
| JP2009171470A (en) * | 2008-01-18 | 2009-07-30 | Sharp Corp | Communication terminal |
| JP2016522478A (en) * | 2013-04-23 | 2016-07-28 | グルロジック マイクロシステムズ オーワイGurulogic Microsystems Oy | Communication system using HTTP |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7353380B2 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
| EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
| JP3819729B2 (en) | Data-safety communication apparatus and method | |
| US7584505B2 (en) | Inspected secure communication protocol | |
| EP1334600B1 (en) | Securing voice over ip traffic | |
| JP3343064B2 (en) | Pseudo network adapter for capturing, encapsulating and encrypting frames | |
| US7346770B2 (en) | Method and apparatus for traversing a translation device with a security protocol | |
| US7500102B2 (en) | Method and apparatus for fragmenting and reassembling internet key exchange data packets | |
| US20100191958A1 (en) | Method and network device for processing nested internet protocol security tunnels | |
| JP2004295891A (en) | Method for authenticating packet payload | |
| JP2002044135A (en) | Encryption device and encryption communication system | |
| US9191406B2 (en) | Message relaying apparatus, communication establishing method, and computer program product | |
| EP1639780B1 (en) | Security for protocol traversal | |
| CN109040059B (en) | Protected TCP communication method, communication device and storage medium | |
| CN108924157B (en) | Message forwarding method and device based on IPSec VPN | |
| JPH06318939A (en) | Cipher communication system | |
| JP2003244194A (en) | Data encrypting apparatus, encryption communication processing method, and data relaying apparatus | |
| JPH09312642A (en) | Data communication system | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JPH0677954A (en) | Apparatus and method for processing of code provided with arbitrary selective status encoding | |
| EP4346255A1 (en) | Encrypted satellite communications | |
| KR20110087972A (en) | Method for blocking abnormal traffic using session table | |
| JPH09252315A (en) | Cipher communication system and enciphering device | |
| CN117062056A (en) | End-to-end encryption method and system for 5G network service data based on IPSEC technology | |
| JP2006033350A (en) | Proxy secure router apparatus and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20040706 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061024 |
|
| A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20061121 |