JP2004088768A - パケットデータ中継装置及びその方法 - Google Patents

パケットデータ中継装置及びその方法 Download PDF

Info

Publication number
JP2004088768A
JP2004088768A JP2003279473A JP2003279473A JP2004088768A JP 2004088768 A JP2004088768 A JP 2004088768A JP 2003279473 A JP2003279473 A JP 2003279473A JP 2003279473 A JP2003279473 A JP 2003279473A JP 2004088768 A JP2004088768 A JP 2004088768A
Authority
JP
Japan
Prior art keywords
packet data
communication control
control information
unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003279473A
Other languages
English (en)
Inventor
Hirotaka Yamauchi
山内 弘貴
Minoo Abe
安部 美乃夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003279473A priority Critical patent/JP2004088768A/ja
Publication of JP2004088768A publication Critical patent/JP2004088768A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

【課題】 外部ネットワークを介して受信した複数のセキュアプロトコルの1つに基づくパケットデータを、宅内のホームネットワーク上のセキュアプロトコルに変換可能なパケットデータ中継装置を提供する。
【解決手段】 パケットデータ中継装置101は、第一ネットワークI/F部201、復号化部202、プロトコル変換部203、暗号化部204、第二ネットワークI/F部205、及び記憶部801から構成される。第一ネットワークI/F部201は、外部ネットワーク上のセキュアプロトコルの1つに基づくパケットデータを受信し、前記プロトコル変換部203は、前記記憶部801に記憶されているテーブル802を参照して、ホームネットワーク上のセキュアプロトコルに変換する。
【選択図】 図8

Description

 本発明は、パケットデータによる通信における中継装置及びその方法に関し、特に、暗号化されたパケットデータのプロトコル変換を行う技術に関する。
 近年、ADSL(Asymmetric Digital Subscriber Line)や光ファイバ網等の大通信容量のブロードバンドであり、かつ常時接続可能なアクセス網が一般家庭にも急速に普及しつつある。また、家庭内の家電製品を有機的に結合するホームネットワークも数多く規格化されつつあり、その代表例としてはECONET、IEEE1394、HomePNA等が挙げられる。
 このため、今後ユーザは、外出先でインターネットに接続できる携帯端末を操作し、インターネット及びホームネットワーク経由で操作情報を自宅の家電機器に送信することにより、これら家電機器の遠隔操作が可能となることが予想される。そして、このような家電機器の遠隔操作は、ユーザの利便性を向上し、かつ新たな価値を家電機器に付加できるため、家電メーカに製品の商品力強化をもたらすことが可能である。
 また、前記遠隔操作は、サービス提供者側とユーザ側との間で信頼のおける安全な取引が行われることが前提となるが、前記遠隔操作の情報を通信伝達する際に、情報の盗聴・改竄を完全に防止できないインターネット、宅内外の無線ネットワーク、電灯線ネットワーク等を使用した場合、悪意のある第三者が遠隔操作情報を改竄することで、宅内家電機器を誤作動させる危険性がある。特に、家電機器が暖房機、給湯器等の場合には、誤動作により火災が発生する可能性もある。
 このような問題点を解決する方法として、通信内容を暗号化するとともに、改竄検出用のハッシュ値を付加することが挙げられる。現在、各種ネットワークプロトコルの規格化団体も、通信のセキュリティ性向上を課題としており、プロトコルにセキュリティ機能を付加することに取り組んでいる。これらの取り組みの成果として、L2TP、IPsec(IPv4版、IPv6版)、SSL、暗号化対応のECONET等の暗号通信プロトコルが標準化されている。これらの暗号通信プロトコルは、暗号アルゴリズムとして暗号化したデータの任意領域を部分的に復号化できるDES(Data Encryption Standard)や3DES(Triple DES)、AES(Advanced Encryption Standard)等を使用している。
 そして、前記家電機器の遠隔操作等を実現するために問題となるのは、宅外のインターネットで使用する暗号通信プロトコルと、宅内のホームネットワークで使用する暗号通信プロトコルとが異なる場合である。このような場合には、これらの暗号通信プロトコルを変換するパケットデータ中継装置が必要となる。
 また、互いに異なる暗号を使用する端末間で暗号通信を行う際の暗号変換処理を安全に行うことが可能な暗号通信システムが開示されている(例えば、特許文献1参照)。
特開2001−211421号公報
 ところで、上述のような近年のインターネットのプロトコルタイプの変換時期において、セキュリティ向上のために様々な異なるプロトコルが標準化されており、それらはいずれも新たなセキュアプロトコルとして用いられる。これら新たなセキュアプロトコルとしては、IPsec、SSL、暗号化対応のECONET等が挙げられる。そして、これらの複数のセキュアプロトコルを用いた外部ネットワークから送信されるパケットデータを受信し、宅内のホームネットワークに接続された家電機器等に中継するパケットデータ中継装置において、これら複数のセキュアプロトコルの1つに従ったパケットデータを受信してホームネットワークのセキュアプロトコルに統一的に変換した後に各送信先の家電機器にパケットデータを送信する中継装置の出現が望まれている。
 また、従来のパケットデータ中継装置では、宅外、宅内の暗号通信プロトコルで、部分的に復号可能な暗号アルゴリズムと暗号鍵を共通に使用している場合においても、暗号化パケットデータ内に含まれるヘッダ部やトレイラ部等の通信制御情報を取得するために、パケットデータの暗号化されている情報のうち、ヘッダ部のみでなく当該ヘッダ部に比べて情報量の多いペイロード部の復号化及び暗号化を実施している。
 図22は、従来のパケットデータ中継装置のパケットデータ処理過程を示す図である。パケットデータ2201は、平文制御情報310、比較的情報量の少ない暗号化通信制御情報320、及び情報量の多い暗号化されたユーザ情報330より構成される。そして、通信網を介して接続された第一ネットワークI/F部201から受信した前記パケットデータ2201を、プロトコル変換してパケットデータ2202として第二ネットワークI/F部205より出力する。
 そして、従来のパケットデータ中継装置におけるパケットデータ処理過程では、図22に示すように、中継装置は、暗号化を解くため、本来復号化の必要がないユーザ情報330を含むパケットデータ2201の全データ領域の復号化を行い復号化済ユーザ情報2230とし、次に、復号化済通信制御情報500及び平文通信制御情報310のプロトコル変換を行い、さらに、第二ネットワークI/F部205へパケットデータ2202の情報を送出する前に前記復号化済ユーザ情報2230等を含むパケットデータ2202を再度暗号化する必要がある。
 しかし、前記従来のパケットデータ中継装置では、通信網を介して接続された端末装置から通信プロトコルに従って受信したパケットデータを、他の通信網に対応する異なる通信プロトコルに従って出力する場合に、暗号化パケットデータ内のヘッダ部やトレイラ部等に含まれる通信制御情報を獲得するため、本来復号化の必要がないユーザ情報を含むパケットデータの全データ領域の暗号化及び復号化を繰り返し行っている。
 そして、一般的には、暗号化及び復号化には多くの処理ステップを要求されるため、高速なプロトコル変換処理を実現するには、高価な高性能CPUや専用ハードウエアが必要となる。従って、パケットデータ中継装置は、家電機器の遠隔操作等のようにユーザに対し利便性を提供できる一方、高価な部品が必要となり、高価格になるという問題がある。
 また、パケットデータをパケットデータ中継装置で復号化する場合において、ユーザ情報等の復号化を行うため、秘匿性の高いユーザ情報等が、悪意のある第三者に盗聴され易くなるという問題もある。
 そこで、本発明は、上述の事情を考慮してなされたものであり、外部ネットワークから複数のセキュアプロトコルを用いたパケットデータを受信し、宅内のホームネットワークで使用するセキュアプロトコルに変換可能なパケットデータ中継装置を提供することを第一の目的とする。
 また、安価な低性能CPU等の部品を使用した場合においても高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置を提供することを第二の目的とする。さらに、本発明では、秘匿性の高い情報を含むパケットデータの中継処理における安全性を確保し、悪意ある第三者の盗聴等を防止することが可能なパケットデータ中継装置を提供することを第三の目的とする。
 前記目的を達成するために、本発明に係るパケットデータ中継装置は、外部ネットワークとホームネットワークとの間で送受信されるパケットデータを中継するパケットデータ中継装置であって、外部ネットワークを介して接続された第一端末装置から複数のセキュアプロトコルの1つに従って受信したパケットデータを受信する受信手段と、外部ネットワークとホームネットワークとの通信に用いるセキュアプロトコル及び暗号アルゴリズムの種類を判定する判定手段と、前記判定手段における判定に基づいて、前記受信手段で受信したパケットデータのセキュアプロトコルをホームネットワークの第二セキュアプロトコルに変換する変換手段と、前記変換手段によるプロトコル変換後のパケットデータを前記第二端末装置に出力する出力手段とを備えることを特徴とする。
 これにより、本発明に係るパケットデータ中継装置においては、外部ネットワークからの様々なセキュアプロトコルに対応した端末装置からの操作情報が付与されたパケットデータをホームネットワーク上の宅内の端末装置に安全に送信して遠隔操作を行うことが可能となり、ユーザの利便性を向上させることができる。
 また、本発明に係るパケットデータ中継装置においては、受信手段において受信するパケットデータは、通信制御情報を平文のまま格納した平文通信制御情報及び通信制御情報を暗号化して格納した暗号化通信制御情報が含まれるヘッダ部及びユーザ情報を暗号化して格納した暗号化ユーザ情報が含まれる本体部から構成され、前記パケットデータ中継装置は、さらに、受信した前記パケットデータのうち、前記暗号化通信制御情報を特定する特定手段と、特定された前記暗号化通信制御情報を復号化する復号化手段と、前記変換手段でプロトコル変換された通信制御情報及びユーザ情報含むパケットデータを生成するパケット生成手段とを備え、前記変換手段は、前記復号化手段において復号化された通信制御情報を前記第二セキュアプロトコルに従った通信制御情報に変換し、前記出力手段は、前記パケット生成手段において生成されたパケットデータを前記第二端末装置に出力することを特徴とする。
 これにより、本発明に係るパケットデータ中継装置においては、通信制御情報に比べデータ量が多いユーザ情報は復号化しないため、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、安価な低性能CPU等の部品を使用した場合においても高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置とすることができる。
 尚、本発明は、上述のような中継装置として実現できるのみではなく、この中継装置が備える手段をステップとする中継方法、また、当該中継方法をコンピュータ等で実現させるプログラムとして実現したり、当該プログラムをDVD、CD−ROM等の記録媒体や通信ネットワーク等の伝送媒体を介して流通させることができるのは言うまでもない。
 本発明に係るパケットデータ中継装置においては、外部ネットワークからの様々なセキュアプロトコルに対応した端末装置からの操作情報が付与されたパケットデータをホームネットワーク上の宅内の端末装置に安全に送信して遠隔操作を行うことが可能となり、ユーザの利便性を向上させることができる。
 また、通信制御情報に比べデータ量が多いユーザ情報は復号化しないため、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、安価な低性能CPU等の部品を使用した場合においても高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置とすることができ、近年の通信の大容量化等に対応するパケットデータ中継装置を提供することが可能となる。
 さらに、パケットデータに含まれる暗号化通信制御情報が可変長の場合においても、前記暗号化通信制御情報の格納位置を容易に特定することができ、処理ステップ数が多い復号化処理の実行回数を確実に低減することが可能となり、高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置とすることができる。
 またさらに、中継装置におけるパケットデータの処理中にユーザ情報は暗号化されたままなので、秘匿性の高い情報が悪意のある第三者によって盗聴等されるのを防止することができる。
 以下、本発明の実施の形態について図面を参照しながら詳細に説明する。
(実施の形態1)
 まず、本発明の実施の形態1に係るパケットデータ中継装置101について説明する。
 図1は、本発明の実施の形態1に係るパケットデータ中継装置101を含むネットワークシステムの構成の一例を示す図である。
 本実施の形態1におけるパケットデータ中継装置101は、入力されたIPパケットに対して必要な暗号化(復号化を含む)処理及びプロトコル変換をブロック単位で施した後にパケットとして再構築して出力する装置であり、パケットデータ301の暗号化通信制御情報320のみを復号化処理、プロトコル変換、及び暗号化処理する点に特徴を有する。また、第一端末装置102と第二端末装置103とはパケットデータ中継装置101を介して接続されることでネットワークシステムを構成する。
 そして、第一端末装置102は第一ネットワークに接続されており、暗号通信には第一通信プロトコルを使用している。また、図1に示された第二端末装置103は第二ネットワークに接続されており、暗号通信には第二通信プロトコルを使用している。前記第一ネットワークは、例えばインターネットであり、前記第二ネットワークは、例えばECONET等の家庭用通信網である。
 また、図1では第一端末装置102と第二端末装置103とは暗号通信を行っているが、各々が使用している暗号通信プロトコルが異なるため、第一ネットワークと第二ネットワークとの間に、2つの異なる暗号プロトコルを理解し、一方の暗号通信プロトコルからもう一方の暗号通信プロトコルへと変換するパケットデータ中継装置101が設けられている。
 そして、第一端末装置102からパケットデータ中継装置101へと送信されるパケットデータ301は、平文通信制御情報310、暗号化通信制御情報320、及び暗号化ユーザ情報330より構成され、パケットデータ中継装置101から第二端末装置103へと出力されるパケットデータ502は、平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330より構成され、前記パケットデータ301は中継装置101においてプロトコル変換され異なる第二通信プロトコルに従ったパケットデータ502へと変換される。
 尚、本実施の形態1を適用する前提条件は、前記第一端末装置102と前記第二端末装置103とが共通の暗号アルゴリズムと暗号鍵を使用すること、及び暗号アルゴリズムには、暗号化したデータの任意領域を部分的に復号化することのできるECB(Electronic Code Book)モードのDES(Data Encryption Standard)や3DES、AES(Advanced Encryption Standard) 等が使用されることである。また、送受信を行う第一端末装置102及び第二端末装置103とパケットデータ中継装置101とは通信を開始する前に、何らかの方法で暗号アルゴリズム及び暗号鍵を共有しているものとする。
 図2は、パケットデータ中継装置101の構成を示す機能ブロック図である。このパケットデータ中継装置101は、ホームサーバーやルータ等の中継装置であり、第一ネットワークI/F部201、復号化部202、プロトコル変換部203、暗号化部204、第二ネットワークI/F部205、及びパケットデータ301を転送するバス206から構成される。尚、前記図2の機能ブロック図に示す各構成は、本実施の形態1の説明のための例示であり、本発明に係る中継装置101の構成は、図2に示す機能ブロック図の構成に限定されるものではない。
 前記第一ネットワークI/F部201は、この第一ネットワークI/F部201を介して第一端末装置102とパケットデータ301の送受信をするインターフェイス回路等である。また、前記復号化部202は、通信制御情報解析部202aと通信制御情報復号化部202bとから構成され、第一ネットワークI/F部201(又は第二ネットワークI/F部205)が受信したパケットデータ301を第一通信プロトコルに従って復号化し、プロトコル変換部203に出力する。前記通信制御情報解析部202aは、パケットデータ301に含まれる平文通信制御情報310より暗号化通信制御情報320のデータ長を解析し、前記通信制御情報復号化部202bは、この解析されるデータ長を用いることで通信制御情報320の先頭データ位置から復号化する必要のあるデータ長分だけを復号化する。
 プロトコル変換部203は、復号化部202より出力されたパケットデータ301を受信して第二通信プロトコルに従った暗号プロトコルへのプロトコル変換を行い、このプロトコル変換の結果を暗号化部204に出力する。
 暗号化部204は、通信制御情報暗号化部204aとパケット構築部204bとから構成され、プロトコル変換部203においてプロトコル変換されたパケットデータ502を通信制御情報暗号化部204aにおいて暗号化処理し、次にパケット構築部204bにおいてパケットの構築が行われ第二ネットワークI/F部205に出力する。そして、第二ネットワークI/F部205は、暗号化部204とパケットデータの送受信を行い、この第二ネットワークI/F部205を介して第二端末装置103とパケットデータの送受信をするインターフェイス回路等である。
 尚、復号化部202、プロトコル変換部203、及び暗号化部204は、CPU、制御プログラムが格納されたROM、ワークエリアとしてのRAM等によって実現される。
 図3は、本実施の形態1に使用されるパケットデータ301のデータ構造図である。パケットデータ301は、例えば1500バイトの長さを有しており、その先頭から、平文通信制御情報310、暗号化通信制御情報320、及び暗号化ユーザ情報330で構成されている。この暗号化通信制御情報320は、本実施の形態1においては、例えば10バイトのデータ長を有しており、また、当該データ長は可変長となっている場合を考えるものとする。
 前記平文通信制御情報310は、暗号化通信制御情報320並びに暗号化ユーザ情報330を復号化するために必要な暗号化通信制御情報320の先頭データ位置情報311及び末尾データ位置情報312、暗号化ユーザ情報330の先頭データ位置情報313及び末尾データ位置情報314、その他ルーチング情報等を含む。前記先頭データ位置情報311は、パケットデータ301に含まれる暗号化通信制御情報320の先頭データ位置を特定する情報であり、前記末尾データ位置情報312は、パケットデータ301に含まれる暗号化通信制御情報320の末尾データ位置を特定する情報であり、前記先頭データ位置情報313は、パケットデータ301に含まれる暗号化ユーザ情報330の先頭位置を特定する情報であり、前記末尾データ位置情報314は、パケットデータ301に含まれる暗号化ユーザ情報330の末尾データ位置を特定する情報である。
 尚、前記暗号化通信制御情報320には、暗号通信の終端端末で使用する暗号化通信制御情報320であり、通信途中で盗聴されると問題があるような情報等が含まれ、前記暗号化ユーザ情報330には、暗号通信の両端末上で使用され、かつ通信途中で盗聴されると問題あるような秘密の情報等が含まれている。
 次に、以上のように構成された本実施の形態1におけるパケットデータ中継装置101の動作について説明する。
 図4は本実施の形態1に係るパケットデータ中継装置101の動作手順を示すフローチャートである。まず、復号部202に含まれる通信制御情報解析部202aは、第一ネットワークI/F部205より転送されたパケットデータ301の平文通信制御情報310を用いて、暗号化通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(ステップ401)、前記末尾データ位置312のアドレス値から前記先頭データ位置311のアドレス値を差し引くことで、暗号化通信制御情報320のデータ長を計算し(ステップ402)、暗号化通信制御情報320のデータ長が、暗号アルゴリズムの処理単位データ長の倍数になっているかの解析を行う(ステップ403)。
 そして、暗号化通信制御情報320のデータ長が、暗号アルゴリズムの処理単位データ長の倍数になっていないと解析した場合には、解析部202aは、復号化するデータ長を、暗号通信制御情報320のデータ長を超える暗号アルゴリズムの処理単位データ長の倍数で、かつ最も小さい値を設定する(ステップ414)。
 次に、通信制御情報復号化部202bは、暗号化通信制御情報320の先頭データ位置から復号化するデータ長分、具体的には、図6において示される復号化するデータ範囲602が指し示すデータ範囲の復号化を行う(ステップ415)。この復号化(ステップ415)を終えた時点で、図5に示される復号化済通信制御情報500が生成される。また、ステップ415において復号化されたデータは、図6に示す復号化済通信制御情報500と復号化済暗号化ユーザ情報631とへ分離され(ステップ416)、前記復号化済通信制御情報500は、例えばRAM内の他のメモリ領域にコピーされることとなる。
 次に、プロトコル変換部203は、前記復号化済暗号化ユーザ情報631が、図6に示す暗号アルゴリズムの処理単位データ長601と等しくなるように、暗号化ユーザ情報用パディングデータ633を暗号化ユーザ情報631に付加する(ステップ417)。そして、通信制御情報暗号化部204aは、暗号化ユーザ情報631とパディングデータ633との暗号化を行い、暗号化ユーザ情報330へと暗号化する(ステップ418)。
 そして、プロトコル変換部203は、第一通信プロトコルに従った平文通信制御情報310及び復号化済通信制御情報500に対して、第二通信プロトコルに従った暗号通信プロトコルのプロトコル変換を行うことにより、平文通信制御情報510及び暗号化前通信制御情報520を新たに作成し(ステップ406)、また、前記プロトコル変換部203は、第二通信プロトコルにおける通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(ステップ407)。
 次に、暗号化部204に含まれる通信制御情報暗号化部204aは、暗号化前通信制御情報520を暗号化し、暗号化通信制御情報530を生成し(ステップ408)、パケット構築部204bは、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330を結合し、パケットデータ502を構築する(ステップ409)。
 そして、パケット構築部204bにおいて、暗号化通信制御情報530の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ410)と共に、暗号化ユーザ情報330の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ411)。この登録(ステップ411)が終了すると、パケットデータ502が完成し、一連の暗号通信プロトコル変換が完了する。
 一方、暗号化通信制御情報320のデータ長が、暗号アルゴリズムの処理単位データ長の倍数になっていると解析した場合においては、復号化部202は、復号化するデータ長を、暗号化通信制御情報320のデータ長に設定し(ステップ404)、復号化部202は、暗号化通信制御情報320のデータ長分だけ復号化し(ステップ405)、プロトコル変換部203は、第一通信プロトコルに従った平文通信制御情報310及び復号化済通信制御情報500に対して、第二通信プロトコルに従った暗号通信プロトコルのプロトコル変換を行うことにより、平文通信制御情報510及び暗号化前通信制御情報520を新たに作成し(ステップ406)、前記プロトコル変換部203は、第二通信プロトコルにおける通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(ステップ407)。
 次に、暗号化部204は、暗号化前通信制御情報520を暗号化し、暗号化通信制御情報530を生成し(ステップ408)、パケット構築部204bは、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330を結合し、パケットデータ502を構築する(ステップ409)。そして、パケット構築部204bにおいて、暗号化通信制御情報530の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ410)と共に、暗号化ユーザ情報330の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録して(ステップ411)、パケットデータ502が完成し、一連の暗号通信プロトコル変換が完了する。
 図5は、本実施の形態1のパケットデータ中継装置101におけるパケットデータ処理過程を示す説明図である。パケットデータ301は、第一ネットワークI/F部201より中継装置101に入力されるデータであり、平文通信制御情報310、暗号化通信制御情報320、及び暗号化ユーザ情報330から構成される。
 前記パケットデータ中継装置101は、平文通信制御情報310より暗号化通信制御情報320の先頭データ位置311と末尾データ位置312を獲得し暗号化通信制御情報320のデータ長を求めて、暗号化通信制御情報320の部分のみの復号化処理を行い、当該通信制御情報320を復号化済通信制御情報500へと復号化する。
 次に、前記パケットデータ中継装置101は、復号化済通信制御情報500及び平文通信制御情報310のプロトコル変換を行い暗号化前通信制御情報520及び平文通信制御情報510へと変換する。
 そして、前記パケットデータ502における暗号化前通信制御情報520の部分のみが、暗号化通信制御情報530へと暗号化される。次に、前記平文通信制御情報510、前記暗号化通信制御情報530、及び暗号化ユーザ情報330から成るパケットデータ502が構築され、このパケットデータ502は第二ネットワークI/F部205より出力される。以上より、パケットデータ中継装置101における暗号通信プロトコル変換の一連の処理が完了する。
 図6は、パケットデータ中継装置101におけるパケットデータ301のプロトコル変換処理過程を示す説明図である。当該処理過程においては、暗号アルゴリズムとして暗号化したデータの任意領域を部分的に復号化できるDES(Data Encryption Standard)や3DES、AES(Advanced Encryption Standard)等を使用している。
 そして、前記DESは、暗号化通信制御情報320を例えば64ビットの倍数でのみ暗号化することが可能となる。そこで、本実施の形態1においては暗号化通信制御情報320のデータ長が例えば64ビットの倍数になっていない場合について図6に例示する。尚、図6においては、暗号処理単位のデータ長601、及び復号化するデータ範囲602を矢印で示す。この暗号処理単位のデータ長601は、例えば64ビットに設定されている。
 そして、通信制御情報320は、IPv6や、ECONET等の情報であり、当該通信制御情報320のデータ長は暗号アルゴリズムによって任意のデータ長に復号化することができない。このため、復号化が必要なデータ範囲は、本来復号化する必要のない暗号化ユーザ情報330をも含む暗号処理単位のデータ長601の2ブロック分であるデータ範囲602となる。
 次に、復号化済通信制御情報500を暗号処理単位のデータ長になるようにデータ長を縮小したプロトコル変換を行い暗号化前通信制御情報520とする。この際、復号化済暗号化ユーザ情報631が暗号アルゴリズムの処理単位データ長601の倍数と等しくなるように、暗号化ユーザ情報用パディングデータ633を復号化済暗号化ユーザ情報631に付加する。
 また、パディングデータ633と前記復号化済暗号化ユーザ情報631とを暗号化して暗号化ユーザ情報330とすると共に、暗号化前通信制御情報520の暗号化を行い暗号化した通信制御情報530とする。そして、変換された前記通信制御情報510、530、及び前記ユーザ情報330と含むパケットデータ502を生成する。
 以上のように、本実施の形態1におけるパケットデータ中継装置101によれば、この中継装置101に入力されたパケットデータ301は、暗号化通信制御情報320を特定するために、前記通信制御情報320の格納位置を示す位置情報311及び312を有する。
 そして、従来の中継装置は、通信制御情報を得るため、暗号化されているパケットデータの全てのデータ領域の復号化及び暗号化を行う必要があるが、本実施の形態1では、パケットデータ301に含まれる全てのデータ領域を復号化する必要がなくなり、ヘッダ部である通信制御情報320の領域のみを復号化することが可能となる。従って、通信制御情報320に比べデータ量が多いユーザ情報330の復号化を省き、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、安価な低性能CPU等の部品を使用した場合においても高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置とすることができる。従って、近年のブロードバンド化、通信の大容量化等に対応するパケットデータ中継装置101を提供することが可能となる。
 また、本実施の形態1に係るパケットデータ中継装置101における、プロトコル変換処理過程では、ユーザ情報330が暗号化されたままなので、秘匿性の高い情報を含む当該ユーザ情報330を含むパケットデータ301の処理過程中における安全性を確保し、悪意ある第三者の盗聴等を防止することが容易となる。このため、近年のインターネットのプロトコルタイプの変換時期における通信制御情報の変換にも対応したパケットデータ中継装置101を提供することが可能となる。
 そして、前記パケットデータ301に含まれる平文通信制御情報310は、ユーザ情報330の先頭位置情報313及び末尾位置情報314をも含む。このため、ユーザ情報330のデータ領域指定を行うことが容易となり、従来の如くパケットデータの全ての領域を復号化及び暗号化を繰り返し行う必要がなくなり、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、安価な低性能CPU等の部品を使用した場合においても高速な暗号通信プロトコル変換処理を可能にするパケットデータ中継装置とすることができる。
 また、本実施の形態1に示したパケットデータ中継装置101を用いることによって、通信制御情報320のデータ長が暗号アルゴリズムの処理単位データ長の倍数になっていない場合でも、部分的に復号化済暗号化ユーザ情報631にパティングデータ633を付加して暗号アルゴリズムの倍数として再度暗号化することにより、必要最小限のデータ範囲のユーザ情報631を復号化する。従って、通信制御情報320に比べデータ量が多いユーザ情報330の復号化処理を低減させることができ、このため、パケットデータ301の復号化処理の実行回数を低減させ、低価格の低性能CPUでも高速なプロトコル変換処理を実現できる。
 尚、上述の実施の形態1に示す各種データのサイズは、説明を容易に行うために設定した例示であり、厳密な値ではなく、かつ様々な場合を想定したものにはなっていない。このため、これら各種データのサイズがその他の値を取りうることができるのは言うまでもない。
 また、本実施の形態1に示す平文通信制御情報310に含まれる位置情報311、312、313、及び314の位置関係は一例であり、前記実施の形態1に限定されるものではない。また、本実施の形態1に係るパケットデータ301に含まれる各種情報310、320、及び330は、説明のために例示したものであり、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330以外の情報が含まれても構わない。さらに、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330の位置関係は本実施の形態1に限定されるものではなく、各種情報310、320、及び330の位置関係が異なる構成でも構わない。従って、暗号化通信制御情報320は、ユーザ情報330の前方のみに存在してもよく、ユーザ情報330の後方のみに存在する構成でもよく、さらにユーザ情報330の前方と後方との両方に存在する構成でも構わない。
(実施の形態2)
 図7は、本発明の実施の形態2に係るパケットデータ中継装置101を含むネットワークシステムの構成の一例を示す図である。
 このネットワークシステムにおいては、セキュアな通信プロトコルを用いて操作情報を付与したパケットデータの送受信を行うことにより、ユーザは宅外のPC701、携帯電話702等の端末装置と宅内の炊飯器705等の端末装置との間で安全に操作情報を送受信して遠隔操作を行うことが可能となる。
 パケットデータ中継装置101は、外部ネットワーク上の端末装置から各種セキュアプロトコルを用いて送信されるパケットデータを受信すると共に、これらパケットデータを宅内のホームネットワーク上のセキュアプロトコルにプロトコル変換して送信先の家電機器に送信することを特徴とする。
 尚、外部ネットワークに用いられるセキュアプロトコルの種類としては、IPsec、SSL、ECONET等であり、宅内のセキュアプロトコルとしてはECONET等である。また、これらのセキュアプロトコルに使用される暗号アルゴリズムには、暗号化したデータの任意領域を部分的に復号化することのできるECBモードのDESや3DES、AES等が使用される。また、この場合には、送受信を行うパケットデータ中継装置101は通信を開始する前に、例えば外部の携帯電話702なら予めセキュアプロトコルを登録する等、何らかの方法で外部ネットワーク及びホームネットワークのセキュアプロトコル、暗号アルゴリズム及び暗号鍵の情報を保持しているものとする。
 図7において、宅外の端末装置であるPC701、携帯電話702等は、ネットワークを介して宅内に設置されるパケットデータ中継装置101に接続される。宅内の端末装置は中継装置101を介して外部ネットワークに接続される。この宅内の端末装置には、ユーザが日常生活に使用可能な家電機器、例えば、エアコン704、炊飯器705、給湯器706、ビデオデッキ707、PC708等がある。また家電機器間はLANを用いたホームネットワークで互いに接続される。そして、外部ネットワークの端末装置と宅内に設置されている端末装置とはパケットデータ中継装置101を介して接続されることでネットワークシステムを構成する。
 尚、本実施の形態2に係るパケットデータ中継装置101は処理ステップの多い復号化処理及び暗号化処理を低減するために、パケットデータ301の暗号化通信制御情報320のみを復号化処理、プロトコル変換、及び暗号化処理する等の工夫を行い、詳細は後述する図9から12において説明する。
 図8は、パケットデータ中継装置101の構成の一例を示す機能ブロック図である。尚、上述した実施の形態1と同様の構成については同様の符号を付し、詳細な説明は省略する。
 パケットデータ中継装置101は、テーブル802を保持する記憶部801を有していることを特徴とする。このテーブル802には、IPアドレス、外部ネットワークの端末装置毎のセキュアプロトコル、暗号アルゴリズム及び暗号鍵の種類が記録されている。尚、IPアドレスとは、例えば32ビットで表される数値データであり、ネットワークに接続された端末装置やルータのアドレスを表す情報である。
 復号化部202は、第一ネットワークI/F部201(又は第二ネットワークI/F部205)が受信したパケットデータ301を外部ネットワークのセキュアプロトコルに用いる暗号アルゴリズム及び暗号鍵に従って復号化し、プロトコル変換部203に出力する。この際、復号化部202は、受信したパケットデータ301の通信制御情報310を読み出すことにより送信元の端末装置のIPアドレスを特定すると共に、テーブル802を参照して当該IPアドレスに対応しているセキュアプロトコル、暗号アルゴリズム及び暗号鍵の種類を特定する。そして、復号化部202は、暗号アルゴリズム及び暗号鍵が同じ場合においては暗号化通信制御情報320の部分のみの復号化を行う一方、暗号アルゴリズム及び暗号鍵が異なる場合においては暗号化通信制御情報320及びユーザ情報330の復号化を行うことは上述した実施の形態1と同様である。
 プロトコル変換部203は、復号化部202より復号化されたパケットデータ301を受信すると共に、記憶部801に保持されているテーブル802を参照して、パケットデータ301の外部ネットワークに用いられるセキュアプロトコルがホームネットワークに用いられるセキュアプロトコルと異なるような場合においては、平文通信制御情報310及び暗号化通信制御情報320をホームネットワークのセキュアプロトコルにプロトコル変換処理を行い、このプロトコル変換後のパケットデータ502を暗号化部204に出力する。
 暗号化部204は、プロトコル変換部203においてプロトコル変換されたパケットデータ502を通信制御情報暗号化部204aにおいてホームネットワーク上で使用される暗号アルゴリズム及び暗号鍵を用いて暗号化処理し、次にパケット構築部204bにおいて通信制御情報510、530及びユーザ情報330のパケットの構築が行われ第二ネットワークI/F部205に出力する。そして、第二ネットワークI/F部205は、暗号化部204からパケットデータ502を受信すると共に、宅内の送信先の端末装置に送信する。
 尚、復号化部202、プロトコル変換部203、及び暗号化部204は、CPU、制御プログラムが格納されたROM、ワークエリアとしてのRAM等によって実現されるのは上述した実施の形態1と同様となる。
 次に、以上のように構成された本実施の形態2におけるパケットデータ中継装置101の動作について説明する。
 図9は、本実施の形態2に係る外部の端末装置から宅内の端末装置にパケットデータ301を送信する場合のパケットデータ中継装置101の動作手順を示すフローチャートである。尚、本図は、外部ネットワークの通信に用いられるセキュアプロトコルと宅内のネットワークに用いられるセキュアプロトコルとが異なる場合を想定したものである。
 まず、外部ネットワークの端末装置からパケットデータ301が送信されると、第一ネットワークI/F部201は、パケットデータ301を取得する(S901)。次に、復号化部202は、第一ネットワークI/F部201から送信されたパケットデータ301から通信制御情報310を読み出して送信元の端末装置のIPアドレスを取得する。また、復号化部202は、当該IPアドレスと記憶部801に保持されているテーブル802とを参照して送信先のホームネットワーク上の端末装置を特定する(S902)。
 そして、復号化部202は、セキュアプロトコルを特定するためにテーブル802を参照して送信先の端末装置と宅内の通信ネットワークのセキュアプロトコルとが異なるか否かを特定する(S903)。尚、本図においては外部と宅内のセキュアプロトコルが異なる場合(S903でY)について説明を行う。
 次に、復号化部202は、外部と宅内の端末装置が使用するセキュアプロトコルの暗号アルゴリズム及び暗号鍵を比較する(S904)。そして、暗号アルゴリズム及び暗号鍵が同じ場合においては(S904でN)、復号部202に含まれる通信制御情報解析部202aは、第一ネットワークI/F部205より転送されたパケットデータ301の平文通信制御情報310を用いて、暗号化通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(S401)、末尾データ位置312のアドレス値から先頭データ位置311のアドレス値を差し引くことで、暗号化通信制御情報320のデータ長を計算し、暗号化通信制御情報320のデータ長が、暗号アルゴリズムの処理単位データ長の倍数になっていると解析した場合においては、復号化部202は、暗号化通信制御情報320のデータ長分だけ復号化し(S405)、プロトコル変換部203は、外部の端末装置のセキュアプロトコルに従った平文通信制御情報310及び復号化済通信制御情報500に対して、宅内のセキュアプロトコルにプロトコル変換を行うことにより、平文通信制御情報510及び暗号化前通信制御情報520を新たに作成し(S406)、プロトコル変換部203は、宅内のセキュアプロトコルにおける通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(S407)。
 次に、暗号化部204は、暗号化前通信制御情報520を暗号化し、暗号化通信制御情報530を生成し(S408)、パケット構築部204bは、平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330を結合し、パケットデータ502を構築し(S409)、暗号通信プロトコル変換処理を完了する。
 一方、暗号アルゴリズム及び暗号鍵が異なる場合においては(S904でY)、通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(S905)、次にユーザ情報330の先頭データ位置313と末尾データ位置314とを獲得する(S906)。
 また、通信制御情報復号化部202bは、暗号化通信制御情報320の先頭データ位置から暗号化ユーザ情報330の末尾データ位置までの復号化を行い(S907)、プロトコル変換部203は、外部のセキュアプロトコルに従った平文通信制御情報310と復号化済通信制御情報320に対して、宅内のセキュアプロトコルにプロトコル変換を行い(S908)、宅内のセキュアプロトコルの通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(S909)。
 そして、通信制御情報暗号化部204aは、変換後の暗号化通信制御情報520と復号化したユーザ情報2230とを暗号テーブル1401の情報を利用して暗号化を行い(S910)、パケット構築部204bは、平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330を結合してパケットデータ2202を生成して(S409)、暗号通信プロトコル変換処理を完了する。
 図10は、本実施の形態2に係る外部ネットワークの端末装置からホームネットワークの端末装置にパケットデータ301を送信する場合のパケットデータ中継装置101の動作手順を示すフローチャートである。尚、本図は、外部ネットワークの通信に用いられるセキュアプロトコルと宅内のネットワークに用いられるセキュアプロトコルとが同じ場合におけるフローチャートとなる。
 まず、外部ネットワークの端末装置からパケットデータ301が送信されると、第一ネットワークI/F部201は、パケットデータ301を取得し(S901)、復号化部202は、第一ネットワークI/F部201から送信されたパケットデータ301から通信制御情報310を読み出して送信先の端末装置のIPアドレスを取得する。また、復号化部202は、IPアドレスと記憶部801に保持されているテーブル802とを参照して送信元の端末装置を特定する(S902)。また、復号化部202は、テーブル802を参照して送信先の端末装置と宅内の端末装置のセキュアプロトコルを特定する(S903)。尚、本図においては外部と宅内のセキュアプロトコルが同じ場合(S903でN)について説明を行う。
 次に、復号化部202は、外部と宅内の端末装置のセキュアプロトコルに用いる暗号アルゴリズム及び暗号鍵を比較する(S904)。そして、暗号アルゴリズム及び暗号鍵が同じ場合においては(S1001でN)、第二ネットワークI/F部205は、外部ネットワークの端末装置から受信したパケットデータを宅内の送信先の端末装置に出力する(S1002)。
 一方、暗号アルゴリズム及び暗号鍵が異なる場合においては(S1001でY)、通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(S905)、次にユーザ情報330の先頭データ位置313と末尾データ位置314とを獲得する(S906)。
 また、通信制御情報復号化部202bは、暗号化通信制御情報320の先頭データ位置から暗号化ユーザ情報330の末尾データ位置までの復号化を行う(S907)。また、外部の端末装置と宅内の端末装置のセキュアプロトコルが同じであるため、プロトコル変換部203は、パケットデータに対してプロトコル変換を行う必要がない。そして、プロトコル変換部203は、ホームネットワーク上のセキュアプロトコルの通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(S909)。
 そして、通信制御情報暗号化部204aは、暗号化通信制御情報520と復号化したユーザ情報2230とを暗号テーブル1401の情報を利用してホームネットワークで使用する暗号アルゴリズムを用いた暗号化処理を行い(S910)、パケット構築部204bは、平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330を結合し、パケットデータ2202を生成して(S409)処理を完了する。
 図11は、本実施の形態2に係るパケットデータ中継装置101におけるパケットデータ301のプロトコル変換処理過程を示す説明図である。パケットデータ301は、外部ネットワーク上の端末装置から第一ネットワークI/F部201に入力され、暗号化ユーザ情報330には、例えばテレビの予約時間、予約番組、エアコンの設定時間等の情報が含まれる。また、図11は、外部ネットワークの通信に用いられるセキュアプロトコルと、ホームネットワークの通信に用いられるセキュアプロトコルとが異なる場合についての参考図である。
 図11(A)は外部と宅内の通信に用いられるセキュアプロトコル、暗号アルゴリズム及び暗号鍵が異なる場合を示し、平文通信制御情報310より暗号化通信制御情報320の先頭データ位置311と末尾データ位置312を獲得し暗号化通信制御情報320のデータ長を求めて、暗号化通信制御情報320及び暗号化ユーザ情報330の復号化処理を行い、次に、パケットデータ中継装置101は、復号化済通信制御情報500及び平文通信制御情報310のプロトコル変換を行い暗号化前通信制御情報520及び平文通信制御情報510へと変換する。そして、暗号化前通信制御情報520及び復号化済ユーザ情報2230が暗号化され、暗号化通信制御情報530及び暗号化ユーザ情報330となる。次に、パケット構築部204bにおいて平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330から成るパケットデータ2202が構築される。このパケットデータ2202は第二ネットワークI/F部205より出力される。
 また、図11(B)に示すように、外部ネットワークとホームネットワークの通信に用いるセキュアプロトコルが異なるが、暗号アルゴリズム及び暗号鍵が同様の場合においては、平文通信制御情報310より暗号化通信制御情報320の先頭データ位置311と末尾データ位置312を獲得し暗号化通信制御情報320のデータ長を求めて、暗号化通信制御情報320の部分のみの復号化処理を行い、通信制御情報320を復号化済通信制御情報500へと復号化する。次に、パケットデータ中継装置101は、復号化済通信制御情報500及び平文通信制御情報310のプロトコル変換を行い暗号化前通信制御情報520及び平文通信制御情報510へと変換する。そして、パケットデータ502における暗号化前通信制御情報520の部分のみが、暗号化通信制御情報530へと暗号化される。次に、平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330から成るパケットデータ502が構築され、このパケットデータ502は第二ネットワークI/F部205より出力される。
 図12は、本実施の形態2に係るパケットデータ中継装置101におけるパケットデータ301の別のプロトコル変換処理過程を示す説明図である。尚、図12においては、外部ネットワークの通信に用いられるセキュアプロトコルと、ホームネットワークの通信に用いられるセキュアプロトコルが同じ場合についての参考図である。
 図12(A)に示すように、外部と宅内の通信に用いるセキュアプロトコルが同じであるが暗号アルゴリズム及び暗号鍵が異なる場合においては、平文通信制御情報310より暗号化通信制御情報320の先頭データ位置311と末尾データ位置312を獲得し暗号化通信制御情報320のデータ長を求めて、暗号化通信制御情報320及びユーザ情報330の部分の復号化処理を行う。そして、外部と宅内のセキュアプロトコルが同一であるため、プロトコル変換部203はパケットデータ2201のプロトコル変換を行うことなく暗号化部204にパケットデータ2201を渡し、復号化済通信制御情報500及び復号化済ユーザ情報2230の部分が暗号化通信制御情報530及び暗号化ユーザ情報330に暗号化される。そして、パケット構築部204bにおいて平文通信制御情報510、暗号化通信制御情報530、及び暗号化ユーザ情報330から成るパケットデータ2202が構築され、このパケットデータ2202は第二ネットワークI/F部205より宅内の端末装置に出力される。
 一方、図12(B)に示すように、外部と宅内の通信に用いられるセキュアプロトコル、暗号アルゴリズム及び暗号鍵が同じ場合においては、パケットデータ中継装置101は特にプロトコル変換や再暗号化の処理を行うことなく、送信先の宅内の端末装置を特定して、第一ネットワークI/F部201において受信したパケットデータ301を第二ネットワークI/F部205から送信先のホームネットワーク上の端末装置に出力する。
 以上のように、本実施の形態2に係るパケットデータ中継装置101は、外部ネットワークの端末装置のIPアドレス、通信に用いるセキュアプロトコル、暗号アルゴリズム及び暗号鍵を示すテーブル802を記憶する記憶部801と、テーブル802を参照して外部ネットワークから送信されるパケットデータのセキュアプロトコルを宅内のホームネットワークに用いられるセキュアプロトコルに変換するプロトコル変換部203とを備える。
 このため、パケットデータ中継装置101のユーザは、外出先から様々なセキュアプロトコルにより暗号通信を行う端末装置、例えばPC701、携帯電話702等から宅内の家電機器に操作情報を付与したパケットデータを送信する際においても、パケットデータ中継装置101において、外部ネットワークから送信されるパケットデータの複数のセキュアプロトコルをホームネットワークに用いるセキュアプロトコルに変換して宅内の家電機器等の端末装置に中継することが可能となり、外出先の各種の端末装置から安全に宅内の家電機器の遠隔操作を行うことが可能となり、ユーザの利便性を向上させることが可能となる。
 また、パケットデータ中継装置101で統一してプロトコル変換を行うため、ホームネットワークの家電機器自身がプロトコル変換機能を備える必要がなく、家電機器のコストを削減することができる。
 そして、ホームネットワーク上の端末装置から外部ネットワーク上の端末装置に情報を付与したパケットデータを送信する場合においても、パケットデータ中継装置101において送信先の外部ネットワークに用いられるセキュアプロトコルに変換することが可能なため、家電機器から外部に送信されるパケットデータを安全に送信できる。
 また、パケットデータ中継装置101は、通信網を介して接続される各端末装置のセキュアプロトコル、暗号アルゴリズム及び暗号鍵が共通であるか否かの判断を行うことにより、従来のようにパケットデータ全ての領域の復号化処理や暗号化処理を行う必要がなくなり、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、低価格の低性能CPUを備えるパケットデータ中継装置101においても高速なプロトコル変換処理を実現できる。
 尚、本実施の形態2の説明においては、外部ネットワークの端末装置からホームネットワークの端末装置にパケットデータの送信を行う場合について説明を行ったが、本実施の形態2に係るパケットデータ中継装置101はこれに限定されるものではなく、ホームネットワークの端末装置から外部ネットワークの端末装置に操作情報が付与されたパケットデータを送信して、パケットデータ中継装置101においてパケットデータを複数のセキュアプロトコルから選択された1つのセキュアプロトコルに変換して外部ネットワーク上の端末装置に送信することができるのは言うまでもない。
(実施の形態3)
 次に、本発明の実施の形態3に係るパケットデータ中継装置101について説明する。尚、本実施の形態3においては説明を容易にするため、暗号化通信制御情報320のデータ長が暗号アルゴリズムの処理単位データ長の倍数になっている場合のみを説明する。
 図13は、本実施の形態3に係るパケットデータ中継装置101を含むネットワークシステムの構成を示す一例である。本実施の形態3においては、図13に示す各端末装置102、103、104、及び105の使用している暗号通信プロトコルが異なるため、異なる暗号プロトコルを理解し、一方の暗号通信プロトコルから他方の暗号通信プロトコルへと変換することのできるパケットデータ中継装置101が設けられている。
 尚、上述の実施の形態1におけるパケットデータ中継装置101は、プロトコル変換を行う暗号通信における端末装置102及び端末装置103が、共通の暗号アルゴリズム及び暗号鍵を使用している場合を想定しているが、本実施の形態3におけるネットワークシステムでは、プロトコル変換を行う暗号通信における各端末装置102、103、104、及び105が共通の暗号アルゴリズム又は暗号鍵を使用していない場合を想定したものである。
 そして、第一端末装置102と第二端末装置103、第三端末装置104及び第四端末装置105とはパケットデータ中継装置101を介して接続されることでネットワークシステムを構成し、パケットデータ中継装置101は、前記実施の形態1に係るパケットデータ中継装置101と同様に、パケットデータの復号処理、プロトコル変換、及び暗号処理を行うものとする。
 図13に示す第一端末装置102は第一ネットワークに接続されており、暗号通信には第一通信プロトコルを使用している。そして、第二端末装置103は第二ネットワークに接続されており、暗号通信には第二通信プロトコルを使用し、第三端末装置104は第三ネットワークに接続されており、暗号通信には第三通信プロトコルを使用し、また、第四端末装置105は第四ネットワークに接続されており、暗号通信には第四通信プロトコルを使用している。前記第一ネットワークは、例えばインターネットであり、前記第二、第三、及び第四ネットワークは、例えばECONET等の家庭用通信網である。
 図14は、実施の形態3に係るパケットデータ中継装置101の構成を示す機能ブロック図である。尚、前記図14の機能ブロック図に示す各構成は、本実施の形態3の説明のための例示であり、本発明に係る中継装置101の構成は図14に示す機能ブロック図の構成に限定されるものではない。以下、本実施の形態3について、実施の形態1と異なる部分を中心に説明する。
 このパケットデータ中継装置101は、第一ネットワークI/F部201、復号化部202、プロトコル変換部203、暗号化部204、第二ネットワークI/F部205、及びパケットデータ301を転送するバス206から構成され、さらに、本実施の形態3においては、中継装置101は、当該中継装置101のROM、ICカード等に組み込まれる暗号テーブル1401を有する。そして、前記第一ネットワークI/F部201、前記復号化部202、前記プロトコル変換部203、前記暗号化部204、前記第二ネットワークI/F部205、及び前記バス206は上述の実施の形態1と同様の処理を行う。
 暗号テーブル1401は、第二端末装置103、第三端末装置104、及び第四端末装置105に用いる暗号アルゴリズムと暗号鍵とが組み込まれている。具体的には、暗号テーブル1401は、第二端末装置103において暗号アルゴリズムはL1及び暗号鍵はK1であることを示し、第三端末装置104において暗号アルゴリズムはL2及び暗号鍵はK2であることを示し、そして、第四端末装置105において暗号アルゴリズムはL3及び暗号鍵はK3であることを示す。従って、各端末装置103、104、及び105は、各々異なる暗号アルゴリズムと暗号鍵とを使用している。
 復号化部202に含まれる通信制御情報解析部202aは、各通信プロトコル間の暗号アルゴリズム及び暗号鍵が共通か否かの判断を、前記暗号テーブル1401と、平文通信制御情報310に組み込まれた暗号アルゴリズムの特定情報及び暗号鍵の特定情報とを用いて行った後に、通信制御情報復号化部202bは、通信制御情報の復号化を行う。
 そして、変換部203は、復号化済通信制御情報を前記中継装置101に接続された複数の端末装置103、104、及び105の各通信プロトコルに従った通信制御情報へと変換し、前記暗号化部204に含まれるパケット構築部204bは、変換された通信制御情報と前記ユーザ情報とを含むパケットデータを生成し、この生成されたパケットデータは複数の端末装置103、104、及び105に出力される。
 図15は、本実施の形態3に使用されるパケットデータ1501のデータ構造図である。以下、本実施の形態3について、実施の形態1と異なる部分を中心に説明する。このパケットデータ1501は、例えば1500バイトの長さを有しており、その先頭から、平文通信制御情報310、暗号化通信制御情報320、及び暗号化ユーザ情報330で構成されている。
 そして、実施の形態1におけるパケットデータ301の構成に加えて、本実施の形態3においては、平文通信制御情報310内に暗号アルゴリズムの特定情報1511及び暗号鍵の特定情報1512が含まれる。この暗号アルゴリズムの特定情報1511は、暗号化通信を行う第一端末装置102に応じた暗号アルゴリズムを特定する情報であり、前記暗号鍵の特定情報1512は、暗号化通信を行う第一端末装置102に応じた暗号鍵を特定する情報となる。
 次に、以上のように構成された本実施の形態3におけるパケットデータ中継装置101の動作について説明する。
 図16は実施の形態3に係るパケットデータ中継装置101の動作手順を示すフローチャートである。この実施の形態3に係るパケットデータ中継装置101は、実施の形態1における復号化部202の機能に加えて、各通信プロトコルにおいて暗号アルゴリズムと暗号鍵とが共通に使用されているかを判断する手段(ステップ1601)を有する。具体的には、前記通信制御情報解析部202aは、前記第一端末装置102から受信したパケットデータ1501の平文通信制御情報310に含まれる暗号アルゴリズム特定情報1511、暗号鍵特定情報1512、及び暗号テーブル1401を用いることで、各通信プロトコルの各端末装置102、103、104、及び105において暗号アルゴリズム及び暗号鍵が共通に使用されるか否かの判断を行う(ステップ1601)。
 そして、中継装置101により接続される端末装置が共通の暗号アルゴリズム及び暗号鍵を用いていないと判断した場合には、通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(ステップ1602)、次にユーザ情報330の先頭データ位置313と末尾データ位置314とを獲得する(ステップ1603)。
 また、通信制御情報復号化部202bは、暗号化通信制御情報320の先頭データ位置から暗号化ユーザ情報330の末尾データ位置までの復号化を行い(ステップ1604)、プロトコル変換部203は、第一通信プロトコルに従った平文通信制御情報310と復号化済通信制御情報320に対して、第二通信プロトコル、第三通信プロトコル及び第四通信プロトコルに従った暗号通信プロトコルへのプロトコル変換を行い通信制御情報520を新たに作成し(ステップ1605)、前記プロトコル変換部203は、第二通信プロトコルの通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(ステップ1606)。
 そして、通信制御情報暗号化部204aは、図22に示すように、変換後の暗号化通信制御情報520と復号化したユーザ情報2230とを暗号テーブル1401の情報を利用して暗号化を行い(ステップ1607)、パケット構築部204bは、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330を結合し、パケットデータ2202を生成する(ステップ409)。
 また、パケット構築部204bにおいて、暗号化通信制御情報530の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ410)と共に、暗号化ユーザ情報330の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ411)。この登録(ステップ411)が終了すると、パケットデータ502が構築され、一連の暗号通信プロトコル変換が完了する。
 一方、中継装置101により接続される端末装置どうしが共通の暗号アルゴリズム及び暗号鍵を用いていると判断した場合には(ステップ1601)、以下のステップは上述の実施の形態1において説明したものと同様であり、通信制御情報解析部202aは、パケットデータ301の平文通信制御情報310を用いて、暗号化通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(ステップ401)、復号化部202は、暗号化通信制御情報320のデータ長分だけ復号化し(ステップ405)、プロトコル変換部203は、第一通信プロトコルに従った平文通信制御情報310及び復号化済通信制御情報500に対して、第二通信プロトコルに従った暗号通信プロトコルのプロトコル変換を行うことにより、平文通信制御情報510及び暗号化前通信制御情報520を新たに作成し(ステップ406)、前記プロトコル変換部203は、第二通信プロトコルにおける通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(ステップ407)。
 次に、暗号化部204は、暗号化前通信制御情報520を暗号化し、暗号化通信制御情報530を生成し(ステップ408)、パケット構築部204bは、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330を結合し、パケットデータ502を生成する(ステップ409)。そして、パケット構築部204bにおいて、暗号化通信制御情報530の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ410)と共に、暗号化ユーザ情報330の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録して(ステップ411)、パケットデータ502が構築されると一連の暗号通信プロトコル変換が完了する。
 以上のように、本実施の形態3におけるパケットデータ中継装置101によれば、パケットデータ1501は、第一端末装置102の暗号アルゴリズムを特定する暗号アルゴリズム特定情報1511及び暗号鍵を特定する暗号鍵特定情報1512を有することとなる。また、パケットデータ中継装置101は、第二端末装置103、第三端末装置104及び第四端末装置105の暗号アルゴリズム及び暗号鍵を示す暗号テーブル1401を含む。
 このため、本実施の形態3に係るプロトコル変換を行う中継装置101は、パケットデータの部分的な復号化を行うための暗号アルゴリズムを各端末装置102及び103が共通に使用している場合、パケットデータの部分的な復号化を行うための暗号アルゴリズムを各端末装置102及び103が共通して使用していない場合、又はパケットデータの部分的な復号化を行うための暗号アルゴリズムを各端末装置102及び103が共通して使用しているが共通した暗号鍵を使用していない場合等、各種の暗号アルゴリズム及び暗号鍵が混在しているネットワークシステムにおいて、各端末装置102、103、104、及び105の暗号アルゴリズムと暗号鍵とが共通しているか否かの判断を行い、共通していると判断した場合には、ユーザ情報330の復号化を行う必要がなくなる。従って、通信制御情報320のみを復号化した後、プロトコル変換を行い、変換後の通信制御情報520で暗号化が必要な部分を暗号化することができ、通信制御情報320に比べデータ量が多いユーザ情報330の復号化は必要でなくなり、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、低価格の低性能CPUでも高速なプロトコル変換処理を実現できる。
 一方、パケットデータ中継装置101は、第一端末装置102と暗号通信でつながれた各端末装置103、104、及び105とが共通の暗号アルゴリズム又は暗号鍵を使用していないと判断した場合には、パケットデータ1501の通信制御情報320のみでなくユーザ情報330をも復号化することで通信制御情報320の先端情報位置と末尾情報位置とを獲得し、通信制御情報320を各端末装置の通信プロトコルに従ったプロトコル変換し、さらに、各端末装置の暗号アルゴリズム及び暗号鍵に従った暗号化を行うことが可能となる。
 従って、端末装置ごとに各種の暗号アルゴリズム及び暗号鍵が混在しているネットワークシステムにおいても、パケットデータ中継装置101は、通信網を介して接続される各端末装置の暗号アルゴリズム及び暗号鍵が共通であるか否かの判断を行うことにより、従来のようにパケットデータ全ての領域の復号化を行う必要がなくなり、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、低価格の低性能CPUでも高速なプロトコル変換処理を実現できる。このため、各端末装置に用いる暗号アルゴリズム及び暗号鍵が混在する近年の通信ネットワークシステムに対応したパケットデータ中継装置を提供することが可能となる。
 尚、本実施の形態3に示す平文通信制御情報310に含まれる位置情報311、312、313、314、特定情報1511及び1512の位置関係は一例であり、前記実施の形態3に限定されるものではない。また、実施の形態3に係るパケットデータ1501に含まれる各種情報は、説明のために例示したものであり、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330以外の情報が含まれても構わない。さらに、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330の位置関係は本実施の形態3に限定されるものではなく、各種情報310、320、及び330の位置関係が異なる構成でも構わない。
 また、本実施の形態3においては、暗号アルゴリズム特定情報1511及び暗号鍵特定情報1512を別々に記載したが、これら特定情報1511及び1512を1つにまとめた特定情報とすることも可能である。
(実施の形態4)
 次に、本発明の実施の形態4に係るパケットデータ中継装置101について説明する。上述の実施の形態1及び実施の形態3では、パケットデータ301を暗号化する場合の暗号アルゴリズムとして、他の暗号化結果を必要としない、例えばECBモードのDES、3DES、及びAES等を使用していたが、本実施の形態4においては、暗号アルゴリズムとして、次の情報の暗号化又は復号化に、暗号アルゴリズムの処理単位のデータ長で1ブロック手前の暗号化した情報が必要な暗号処理モード、例えばCBC(Cipher Block Chaining)モードやCFB(Cipher Feed Back)モード等を使用する場合を想定する。尚、本実施の形態4では説明を容易にするため、通信制御情報320が暗号アルゴリズムの処理単位データ長601の倍数になっている場合を説明する。
 図17は、実施の形態4に係るパケットデータ中継装置101の構成を示す機能ブロック図である。尚、前記図17の機能ブロック図に示す各構成は、本実施の形態4の説明のための例示であり、本発明に係る中継装置101の構成は、図17に示す機能ブロック図の構成に限定されるものではない。
 このパケットデータ中継装置101は、第一ネットワークI/F部201、連鎖復号化部1702、プロトコル変換部1703、連鎖暗号化部1704、第二ネットワークI/F部205、及びパケットデータ1801を転送するバス206から構成される。
 前記連鎖復号化部1702は、通信制御情報解析部1702a及び通信制御情報連鎖復号化部1702bより構成され、第一ネットワークI/F部201(又は第二ネットワークI/F部205)が受信したパケットデータ1801を第一暗号通信プロトコルに従って復号化し、プロトコル変換部1703に出力する。前記通信制御情報解析部1702aは、パケットデータ1801に含まれる平文通信制御情報310より暗号化通信制御情報320のデータ長を解析し、前記通信制御情報連鎖復号化部1702bは、通信制御情報320の先頭データ位置から復号化する必要のあるデータ長分だけを、暗号アルゴリズムの処理単位のデータ長の1ブロック手前の情報を使用することで連鎖的に復号化する。
 プロトコル変換部1703は、連鎖復号化部1702より出力されたパケットデータ1801を受信して異なる暗号プロトコルへのプロトコル変換を行い、このプロトコル変換結果を連鎖暗号化部1704に出力する。
 連鎖暗号化部1704は、通信制御情報暗号化部1704aとパケット構築部1704bとから構成され、プロトコル変換部1703においてプロトコル変換されたパケットデータ1801を通信制御情報暗号化部1704aにおいて暗号化処理単位データ長の1ブロック手前の情報を用いることで連鎖的に暗号化処理し、次にパケット構築部1704bにおいてパケットデータ1802の構築が行われ第二ネットワークI/F部205に出力する。
 図18は、本実施の形態4に使用されるパケットデータ1801のデータ構成図である。このパケットデータ1801は、前記実施の形態1におけるパケットデータ301の構成に加えて、平文通信制御情報310に暗号化処理用初期化ベクトル2001が含まれる構成となる。尚、この暗号化処理用初期化ベクトル2001は、暗号化通信制御情報320の復号化を行う場合に必要な情報である。
 次に、以上のように構成された本実施の形態4におけるパケットデータ中継装置101の動作について説明する。
 図19は、本実施の形態4に係るパケットデータ中継装置101の動作手順を示すフローチャートである。最初に、通信制御情報解析部1702aは、第一ネットワークI/F部205より転送されたパケットデータ1801の平文通信制御情報310を用いて、暗号化通信制御情報320の先頭データ位置311と末尾データ位置312とを獲得し(ステップ401)、次に、前記通信制御情報解析部1702aは、ユーザ情報330を受信端末で復号化できるように、暗号化通信制御情報320bを暗号化処理用初期化ベクトル2002として、RAM内の空き領域に一時保存する(ステップ1901)。次に、通信制御情報連鎖復号部1702bは、平文通信制御情報310内の暗号化処理用初期化ベクトル2001を使用して、暗号化通信制御情報320aを復号化し、復号化済通信制御情報500aを得るとともに、暗号化通信制御情報320aを利用して暗号化通信制御情報320bが連鎖的に復号化されて、復号化済通信制御情報500bを得る。そして、復号化するデータ長分だけの復号化を行う(ステップ1902)。そして、プロトコル変換部203は、第二通信プロトコルの暗号化前通信制御情報520を新たに作成し(ステップ406)、第二通信プロトコルの通信制御情報を平文通信制御情報510と暗号化前通信制御情報520とへ分離する(ステップ407)。
 そして、連鎖暗号化部1704に含まれる通信制御情報連鎖暗号化部1704aは、前記通信制御情報520の暗号処理単位のデータ長分の通信制御情報520aを、前記暗号化処理用初期化ベクトル2002を使用して暗号化して通信制御情報530aを得て、さらに通信制御情報520bを、前記通信制御情報520aを用いて連鎖的に暗号化して通信制御情報530bを得る(ステップ1903)。そして、パケット構築部1704bは、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330を結合し、パケットデータ1802を生成する(ステップ409)。
 そして、パケット構築部1704bにおいて、暗号化通信制御情報530の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ410)と共に、暗号化ユーザ情報330の先頭データ位置と末尾データ位置情報とを平文通信制御情報510に登録する(ステップ411)。また、パケット構築部1704bにおいて、前記平文通信制御情報510に一時保存(ステップ1901)されていた暗号化処理用初期化ベクトル2002を平文通信制御情報510の所定の位置に登録する(ステップ1904)。以上により、パケットデータ1802が完成し、一連の暗号通信プロトコル変換が完了する。
 図20は、本発明の実施の形態4に係るパケットデータ中継装置101におけるパケットデータ処理過程を示す説明図である。パケットデータ1801は、平文通信制御情報310、暗号化通信制御情報320、及びユーザ情報330から構成される。更に、前記平文通信制御情報310には暗号化処理用初期化ベクトル2001が含まれている。
 パケットデータ中継装置101は、平文通信制御情報310より暗号化通信制御情報320の先頭データ位置311と末尾データ位置312を獲得し暗号化通信制御情報320のデータ長を求めて、暗号化通信制御情報320の部分のみの復号化処理を行う。この場合、図20に示すように、通信制御情報320aは、復号化され、続けて初期化ベクトル2001との排他的論理和を出すことにより復号化済通信制御情報500aとなる。さらに、通信制御情報320bは、復号化され、連鎖的に通信制御情報320aとの排他的論理和が算出されることにより復号化済通信制御情報500bへと復号化される。このような連鎖を用いて当該通信制御情報320を復号化済通信制御情報500へと復号化する。
 また、暗号化ユーザ情報330の1ブロック手前の前記暗号化通信制御情報320bは、暗号化処理用初期化ベクトル2002として平文通信制御情報510内に登録される。尚、前記暗号化処理用初期化ベクトル2002は、ユーザ情報330の暗号化を解く際にも使用されるものである。次に、復号化済前記通信制御情報500及び平文通信制御情報310は、プロトコル変換されて暗号化前通信制御情報520及び平文通信制御情報510へと変換される。
 そして、図20に示すように、前記暗号化前通信制御情報520aの部分は、前記暗号化処理用初期化ベクトル2002を用いて排他的論理和が算出されて、続けて暗号化されて暗号化通信制御情報530aとなる。また、暗号化通信制御情報520bは、連鎖的に前記暗号化された通信制御情報530aとの排他的論理和が算出され、続けて暗号化されて暗号化通信制御情報530bとなる。このような連鎖を用いて暗号化前通信制御情報520を暗号化通信制御情報530へと暗号化する。
 次に、前記平文通信制御情報510、前記暗号化通信制御情報530、及び前記暗号化ユーザ情報330とから成るパケットデータ1802が構築され、このパケットデータ1802は第二ネットワークI/F部205より出力される。以上より、パケットデータ中継装置101における暗号通信プロトコル変換の一連の処理が完了する。
 以上により、本実施の形態4に示したパケットデータ中継装置101を用いることにより、部分的に復号可能な暗号アルゴリズムとして、次の情報の暗号化又は復号化に、一つ前の暗号化した情報が必要な暗号処理モード、例えばCBC(Cipher Block Chaining)モードやCFB(Cipher Feed Back)モード等を使用する場合でも、通信制御情報320に比べデータ量が多いユーザ情報330は復号化しないため、処理ステップ数が多い復号化処理の実行回数を低減することが可能となり、低価格の低性能CPUでも高速なプロトコル変換処理を実現できる。
 また、本実施の形態4のパケットデータ中継装置101では、パケットデータ1801の処理中にユーザ情報330が暗号化されたままなので、秘匿性の高い情報を、悪意のある第三者に盗聴されにくい。
 尚、本実施の形態4で示した暗号アルゴリズム及び暗号処理モードは、本実施の形態4の説明のために例示したもので、その他のものでも構わない。また、本実施の形態4では、暗号化通信制御情報520aを暗号化するために、暗号化処理用初期化ベクトル2002を使用したが、それとは異なる暗号化処理用初期化ベクトルを別途用意して、通信制御情報520aの暗号化に使用し、更にこの初期化ベクトルを平文通信制御情報510に追加しても構わない。
 また、本実施の形態4に示す平文通信制御情報310に含まれる位置情報311、312、313、314、及び初期化ベクトル2001の位置関係は一例であり、前記実施の形態4に限定されるものではない。また、実施の形態4に係るパケットデータ1801に含まれる各種情報は、説明のために例示したものであり、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330以外の情報が含まれても構わない。さらに、平文通信制御情報310、暗号化通信制御情報320及びユーザ情報330の位置関係は本実施の形態4に限定されるものではなく、各種情報310、320、及び330の位置関係が異なる構成でも構わない。
 そして、図21に、本発明に使用されるパケットデータ2101のデータ構成図の一例を示す。当該パケットデータ2101は、連続暗号化フラグ2111を平文通信制御情報310中に含むものである。この連続暗号化フラグ2111は、暗号化通信制御情報と暗号化ユーザ情報とを連続して復号化すべきか否かを示す情報であり、暗号アルゴリズムが連鎖モードの場合には、先頭のユーザ情報330を復号化するときに初期化ベクトルを使用し排他的論理和を計算するか、又はユーザ情報330の1ブロック手前の暗号化通信制御情報320を使用して排他的論理和を計算するか否か判断する。従って、ユーザ情報330の復号化を容易化して、余分な処理過程を省くことができる。
 尚、本発明に係る中継装置では、受信したパケットデータに含まれる暗号化通信制御情報の位置情報を復号化された通信制御情報の位置情報へと更新して前記パケットデータの特定位置(例えば平文の通信制御情報等)へ新たな位置情報として再度格納することも可能であり、そのため、格納位置登録部を本発明にかかる中継装置に組み入れることも容易に考え得る。
 さらに、上述した実施の形態に示したパケットデータ301、1501、及び1801等は、CD−ROM等の記録媒体に格納され、コンピュータ等にて読み取り可能とすることができるのは言うまでもない。
 本発明に係るパケットデータ中継装置は、ネットワークを介してパケットデータの送受信を行う機器間において用いられ、特に外部ネットワークとホームネットワークとの間のパケットデータの送受信を行う機器間のパケットデータ中継装置等として適用できる。
本発明の実施の形態1に係るパケットデータ中継装置を含むネットワークシステムの構成の一例を示す図である。 本発明の実施の形態1に係るパケットデータ中継装置の構成を示す機能ブロック図である。 本発明の実施の形態1に使用されるパケットデータのデータ構造図である。 本発明の実施の形態1に係るパケットデータ中継装置の動作手順を示すフローチャートである。 本発明の実施の形態1に係るパケットデータ中継装置におけるパケットデータ処理過程を示す説明図である。 本発明の実施の形態1に係るパケットデータ中継装置におけるパケットデータのプロトコル変換処理過程を示す説明図である。 本発明の実施の形態2に係るパケットデータ中継装置を含むネットワークシステムの構成の一例を示す図である。 実施の形態2に係るパケットデータ中継装置の構成の一例を示す機能ブロック図である。 実施の形態2に係る外部の端末装置から宅内の端末装置にパケットデータを送信する場合のパケットデータ中継装置の動作手順を示すフローチャートである。 実施の形態2に係る外部の端末装置から宅内の端末装置にパケットデータを送信する場合のパケットデータ中継装置の動作手順を示すフローチャートである。 実施の形態2に係るパケットデータ中継装置におけるパケットデータのプロトコル変換処理過程を示す説明図である。 実施の形態2に係るパケットデータ中継装置におけるパケットデータの別のプロトコル変換処理過程を示す説明図である。 本発明の本実施の形態3に係るパケットデータ中継装置を含むネットワークシステムの構成を示す一例である。 本発明の実施の形態3に係るパケットデータ中継装置の構成を示す機能ブロック図である。 本発明の実施の形態3に使用されるパケットデータのデータ構造図である。 本発明の実施の形態3に係るパケットデータ中継装置の動作手順を示すフローチャートである。 本発明の実施の形態3に係るパケットデータ中継装置の動作手順を示すフローチャートである。 本発明の実施の形態4に使用されるパケットデータのデータ構成図である。 本発明の実施の形態4に係るパケットデータ中継装置の動作手順を示すフローチャートである。 本発明の実施の形態4に係るパケットデータ中継装置におけるパケットデータのプロトコル変換処理過程を示す説明図である。 本発明に使用されるパケットデータのデータ構成図の一例を示す図である。 従来のパケットデータ中継装置のパケットデータ処理過程を示す図である。
符号の説明
 101 パケットデータ中継装置
 102 第一端末装置
 301 パケットデータ
 310 平文通信制御情報
 311 通信制御情報の先頭位置情報
 312 通信制御情報の末尾位置情報
 313 ユーザ情報の先頭位置情報
 314 ユーザ情報の末尾位置情報
 320 通信制御情報
 330 ユーザ情報
 601 暗号処理単位のデータ長
 633 パティングデータ
 702 携帯電話
 801 記憶部
 802 テーブル
 1401 暗号テーブル
 1501 パケットデータ
 1511 暗号化アルゴリズムの特定情報
 1512 暗号鍵の特定情報
 2001 暗号化処理用初期化ベクトル

Claims (28)

  1.  外部ネットワークの第一端末装置とホームネットワークの第二端末装置との間で送受信されるパケットデータを中継するパケットデータ中継装置であって、
     外部ネットワークを介して接続された前記第一端末装置から複数のセキュアプロトコルの1つに従って受信したパケットデータを受信する受信手段と、
     外部ネットワーク及びホームネットワークの通信に用いるセキュアプロトコル、暗号アルゴリズム及び暗号鍵の種類を判定する判定手段と、
     前記判定手段における判定に基づいて、前記受信手段で受信したパケットデータのセキュアプロトコルをホームネットワークの第二セキュアプロトコルに変換する変換手段と、
     前記変換手段によるプロトコル変換後のパケットデータを前記第二端末装置に出力する出力手段と
     を備えることを特徴とするパケットデータ中継装置。
  2.  前記パケットデータ中継装置は、さらに、
     前記受信手段において受信した前記パケットデータの送信元である前記第一端末装置のアドレス情報を取得する送信元取得手段と、
     少なくとも当該送信元取得手段において取得されるアドレス情報、前記判定手段において判定されるセキュアプロトコル、暗号アルゴリズム、及び暗号鍵の種類を示すテーブルを記憶する記憶手段を備え、
     前記変換手段は、前記送信元取得手段から前記アドレス情報を取得すると共に、前記テーブルを参照して外部ネットワークの前記第一端末装置より受信したパケットデータのセキュアプロトコルをホームネットワークのセキュアプロトコルに変換する
     ことを特徴とする請求項1記載のパケットデータ中継装置。
  3.  前記受信手段において受信するパケットデータは、通信制御情報を平文のまま格納した平文通信制御情報及び通信制御情報を暗号化して格納した暗号化通信制御情報が含まれるヘッダ部及びユーザ情報を暗号化して格納した暗号化ユーザ情報が含まれる本体部から構成され、
     前記パケットデータ中継装置は、さらに、
     受信した前記パケットデータのうち、前記暗号化通信制御情報を特定する特定手段と、
     特定された前記暗号化通信制御情報を復号化する復号化手段と、
     前記変換手段でプロトコル変換された通信制御情報及びユーザ情報含むパケットデータを生成するパケット生成手段とを備え、
     前記変換手段は、前記復号化手段において復号化された通信制御情報を前記第二セキュアプロトコルに従った通信制御情報に変換し、
     前記出力手段は、前記パケット生成手段において生成されたパケットデータを前記第二端末装置に出力する
     ことを特徴とする請求項1記載のパケットデータ中継装置。
  4.  前記判定手段は、前記ヘッダ部に含まれる前記平文通信制御情報を用いることで、前記第一端末装置と前記第二端末装置とのそれぞれにおいてセキュアプロトコルが共通に使用されるか判定し、
     前記変換手段は、前記判定手段において前記セキュアプロトコルが共通であると判定された場合にはプロトコル変換を行わない一方、前記セキュアプロトコルが共通でないと判定された場合には前記ヘッダ部のみをプロトコル変換する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  5.  前記判定手段は、前記ヘッダ部に含まれる前記平文通信制御情報を用いることで、前記第一端末装置と前記第二端末装置とのそれぞれにおいてセキュアプロトコル、暗号アルゴリズム及び暗号鍵が共通に使用されるか判定し、
     前記セキュアプロトコル、暗号アルゴリズム及び暗号鍵が共通に使用されると判定した場合には、前記出力手段は前記受信手段において受信したパケットデータをそのまま前記第二端末装置に出力する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  6.  前記パケットデータ中継装置は、さらに、前記復号化手段により復号化された通信制御情報を平文のまま前記第二セキュアプロトコルに従った通信制御情報に変換した後に、前記判定手段における判定に基づいてホームネットワークのセキュアプロトコルに用いる暗号アルゴリズム及び暗号鍵を用いて暗号化する暗号化手段を備え、
     前記パケット生成手段は、前記暗号化手段により暗号化された通信制御情報とユーザ情報とを含むパケットデータを生成する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  7.  前記復号化手段による復号化、又は、前記暗号化手段による暗号化における暗号アルゴリズムはDES、3DES、又はAESである
     ことを特徴とする請求項6記載のパケットデータ中継装置。
  8.  前記第一端末装置から受信したパケットデータには、さらに、当該パケットデータにおける前記暗号化通信制御情報の格納位置を示す位置情報が含まれ、
     前記特定手段は、前記位置情報に基づいて、前記暗号化通信制御情報を特定する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  9.  前記第一端末装置から受信したパケットデータには、さらに、当該パケットデータにおける前記ユーザ情報の格納位置を示すユーザ位置情報が含まれ、
     前記特定手段は、前記ユーザ位置情報に基づいて、前記ユーザ情報を特定する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  10.  前記パケットデータ中継装置は、さらに、前記変換手段によりプロトコル変換された変換後の通信制御情報の先頭データ位置及び末尾データ位置の情報を、平文通信制御情報内に登録する通信制御情報位置登録手段
     を備えることを特徴とする請求項3記載のパケットデータ中継装置。
  11.  前記パケットデータ中継装置は、さらに、暗号化ユーザ情報の先頭データ位置及び末尾データ位置の情報を、平文通信制御情報内に登録するユーザ情報位置登録手段
     を備えることを特徴とする請求項3記載のパケットデータ中継装置。
  12.  前記パケットデータ中継装置は、さらに、通信制御情報の暗号化ブロック長が暗号アルゴリズムの処理単位の倍数であるか否かの解析を行う解析手段を備え、
     前記通信制御情報の暗号化ブロック長が暗号アルゴリズムの処理単位の倍数であると解析された場合には、前記復号化手段は、解析された通信制御情報を復号化し、前記変換手段は、復号化された通信制御情報を第二セキュアプロトコルに従った通信制御情報に変換し、前記パケット生成手段は、変換された通信制御情報と前記ユーザ情報と含むパケットデータを生成し、前記出力手段は、生成されたパケットデータを前記第二端末装置に出力する一方、
     前記通信制御情報の暗号化ブロック長が暗号アルゴリズムの処理単位のデータ長の倍数でないと解析された場合には、前記解析手段は、復号化するデータ長を、暗号アルゴリズムの倍数に設定し、前記復号化手段は、前記復号化するデータ長分の通信制御情報及びユーザ情報を復号化し、前記変換手段は、復号化された通信制御情報を第二セキュアプロトコルに従った通信制御情報に変換するとともに、前記ユーザ情報にパディングデータを付加することで当該ユーザ情報を暗号アルゴリズムの処理単位の倍数とした後、前記パケット生成手段は、変換された通信制御情報とユーザ情報と含むパケットデータを生成し、前記出力手段は、生成されたパケットデータを前記第二端末装置に出力する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  13.  前記判定手段は、前記第一端末装置から受信したパケットデータに含まれる平文通信制御情報を用いることで、前記第一端末装置と前記第二端末装置とのそれぞれにおいて暗号アルゴリズム及び暗号鍵が共通に使用されるか判定し、
     前記暗号アルゴリズム及び暗号鍵が共通に使用されると判定した場合には、前記特定手段はパケットデータの暗号化通信制御情報を特定し、前記復号化手段は、特定された通信制御情報を復号化し、前記変換手段は、復号化された通信制御情報を第二セキュアプロトコルに従った通信制御情報に変換し、前記パケット生成手段は変換された通信制御情報と前記ユーザ情報と含むパケットデータを生成し、前記出力手段は、生成されたパケットデータを前記第二端末装置に出力する一方、
     前記暗号アルゴリズム及び暗号鍵が共通に使用されないと判定した場合には、前記復号化手段は、通信制御情報及びユーザ情報を復号化し、前記変換手段は、復号化された通信制御情報を第二セキュアプロトコルに従った通信制御情報に変換し、前記パケット生成手段は変換された通信制御情報及びユーザ情報を含むパケットデータを生成し、前記出力手段は生成された前記パケットデータを前記第二端末装置に出力する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  14.  前記第一端末装置から受信したパケットデータには、さらに、当該パケットデータの前記セキュアプロトコルに用いられる暗号アルゴリズム及び暗号鍵を特定する特定情報が含まれ、
     前記判定手段は、前記特定情報を用いて、前記セキュアプロトコルと前記第二セキュアプロトコルとが共通の暗号アルゴリズム及び暗号鍵を使用するか否か判定する
     ことを特徴とする請求項13記載のパケットデータ中継装置。
  15.  前記第一端末装置から受信したパケットデータには、当該パケットデータにおける暗号化通信制御情報の先頭データを復号化するために必要な初期化ベクトルとして暗号化処理用初期化ベクトルが含まれ、
     前記復号化手段は、前記暗号化処理用初期化ベクトルに基づいて、暗号化通信制御情報を復号化する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  16.  前記パケットデータ中継装置が、さらに、暗号アルゴリズムが前記復号化手段による復号化及び前記暗号化手段による暗号化のために、暗号アルゴリズムの処理単位のデータ長で1ブロック手前の暗号化した情報を要する場合おいて、
     前記ユーザ情報の先頭データを復号化するために必要な初期化ベクトルとして、ユーザ情報の1ブロック手前の暗号化した通信制御情報を復号化する前に、当該通信制御情報を平文通信制御情報内に保存する初期化ベクトル保存手段と、
     前記初期化ベクトル保存手段で保存した初期化ベクトルを、平文のまま第二セキュアプロトコルに従った変換を行った平文通信制御情報内に登録する初期化ベクトル登録手段と
     を備えることを特徴とする請求項15記載のパケットデータ中継装置。
  17.  前記パケットデータには、さらに、暗号化通信制御情報と暗号化ユーザ情報とを連続して復号化すべきか否かを示す連続暗号化フラグが含まれ、
     前記復号化手段は、前記連続暗号化フラグに基づいて、前記ユーザ情報を復号化する
     ことを特徴とする請求項15記載のパケットデータ中継装置。
  18.  前記復号化手段による復号化、又は、前記暗号化手段による暗号化における暗号アルゴリズムはDES―CBC、3DES―CBC、又はAES―CBCである
     ことを特徴とする請求項15記載のパケットデータ中継装置。
  19.  前記パケットデータ中継装置は、暗号化通信制御情報の格納位置情報を復号化された通信制御情報の格納位置情報へと変更して前記パケットデータの特定位置に登録する格納位置登録手段
     を備えることを特徴とする請求項3記載のパケットデータ中継装置。
  20.  前記パケットデータ中継装置は、暗号化ユーザ情報の格納位置情報を復号化されたユーザ情報の格納位置情報へと変更して前記パケットデータの特定位置に登録する第二格納位置登録手段
     を備えることを特徴とする請求項3記載のパケットデータ中継装置。
  21.  前記パケットデータ中継装置には、複数の端末装置が接続され、
     前記変換手段は、復号化された通信制御情報を前記パケットデータ中継装置に接続された目的の端末装置のセキュアプロトコルに従った通信制御情報へと変換し、
     前記パケット生成手段は、変換された通信制御情報と前記ユーザ情報とを含むパケットデータを生成し、
     前記出力手段は、生成されたパケットデータを目的の前記端末装置に出力する
     ことを特徴とする請求項3記載のパケットデータ中継装置。
  22.  前記第一端末装置から受信したパケットデータには、さらに、当該パケットデータの前記セキュアプロトコルに用いられるセキュアプロトコル、暗号アルゴリズム及び暗号鍵を特定する特定情報が含まれ、
     前記判定手段は、前記特定情報を用いて、前記外部ネットワークと前記ホームネットワークとにおける通信が共通のセキュアプロトコル、暗号アルゴリズム及び暗号鍵を使用するか否か判定する
     ことを特徴とする請求項1記載のパケットデータ中継装置。
  23.  前記パケットデータ中継装置は、さらに、
     ホームネットワーク上の前記第二端末装置から外部ネットワーク上の前記第一端末装置に送信されるパケットデータの送信先の前記第一端末装置を特定する送信先特定手段を備え、
     前記変換手段は、当該パケットデータのセキュアプロトコルを、前記送信先特定手段で特定された前記第一端末装置の外部ネットワークで用いられるセキュアプロトコルに従って変換し、
     前記出力手段は、前記変換手段においてプロトコル変換後のパケットデータを外部ネットワーク上の送信先の前記第一端末装置に出力する
     ことを特徴とする請求項1記載のパケットデータ中継装置。
  24.  前記変換手段は、前記判定手段においてホームネットワーク上の前記第二端末装置及び送信先の外部ネットワーク上の前記第一端末装置のセキュアプロトコルが異なると判定される場合において、前記パケットデータのヘッダ部のみプロトコル変換を行う一方、ホームネットワーク上の前記第二端末装置及び送信先の外部ネットワーク上の前記第一端末装置のセキュアプロトコルが同じであると判定される場合においては、前記パケットデータのプロトコル変換を行わない
     ことを特徴とする請求項23記載のパケットデータ中継装置。
  25.  外部ネットワーク上の第一端末装置とホームネットワーク上の第二端末装置との間でパケットデータ中継装置を介してパケットデータの送受信を行うパケットデータ中継システムであって、
     前記パケットデータ中継装置は、
     外部ネットワークを介して接続された第一端末装置から複数のセキュアプロトコルの1つに従って受信したパケットデータを受信する受信手段と、
     外部ネットワーク及びホームネットワークの通信に用いるセキュアプロトコル、暗号アルゴリズム及び暗号鍵の種類を判定する判定手段と、
     前記判定手段における判定に基づいて、前記受信手段で受信したパケットデータのセキュアプロトコルをホームネットワークの第二セキュアプロトコルに変換する変換手段と、
     前記変換手段によるプロトコル変換後のパケットデータを前記第二端末装置に出力する出力手段とを備える
     ことを特徴とするパケットデータ中継システム。
  26.  外部ネットワークの第一端末装置とホームネットワークの第二端末装置との間で送受信されるパケットデータを中継するパケットデータ中継方法であって、
     外部ネットワークを介して接続された第一端末装置から複数のセキュアプロトコルの1つに従って受信したパケットデータを受信する受信ステップと、
     外部ネットワーク及びホームネットワークの通信に用いるセキュアプロトコル、暗号アルゴリズム及び暗号鍵の種類を判定する判定ステップと、
     前記判定ステップにおける判定に基づいて、前記受信ステップで受信したパケットデータのセキュアプロトコルをホームネットワークの第二セキュアプロトコルに変換する変換ステップと、
     前記変換ステップによるプロトコル変換後のパケットデータを前記第二端末装置に出力する出力ステップと
     を含むことを特徴とするパケットデータ中継方法。
  27.  前記受信ステップにおいて受信するパケットデータは、通信制御情報を平文のまま格納した平文通信制御情報及び通信制御情報を暗号化して格納した暗号化通信制御情報が含まれるヘッダ部及びユーザ情報を暗号化して格納した暗号化ユーザ情報が含まれる本体部から構成され、
     前記パケットデータ中継方法には、さらに、
     受信した前記パケットデータのうち、前記暗号化通信制御情報を特定する特定ステップと、
     特定された前記暗号化通信制御情報を復号化する復号化ステップと、
     前記変換ステップでプロトコル変換された通信制御情報及びユーザ情報含むパケットデータを生成するパケット生成ステップとを備え、
     前記変換ステップにおいては、前記復号化ステップにおいて復号化された通信制御情報を前記第二セキュアプロトコルに従った通信制御情報に変換し、
     前記出力ステップにおいては、前記パケット生成ステップにおいて生成されたパケットデータを前記第二端末装置に出力する
     ことを特徴とする請求項26記載のパケットデータ中継方法。
  28.  外部ネットワークを介して接続された第一端末装置から複数のセキュアプロトコルに従って受信したパケットデータを、ホームネットワークを介して接続された第二端末装置に第二セキュアプロトコルに従って出力するパケットデータ中継装置のためのプログラムであって、
     請求項1から請求項24のいずれか1項に記載のパケットデータ中継装置が備える全ての手段をコンピュータに実行させることを特徴とするプログラム。
     
JP2003279473A 2002-08-06 2003-07-24 パケットデータ中継装置及びその方法 Pending JP2004088768A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003279473A JP2004088768A (ja) 2002-08-06 2003-07-24 パケットデータ中継装置及びその方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002229100 2002-08-06
JP2003279473A JP2004088768A (ja) 2002-08-06 2003-07-24 パケットデータ中継装置及びその方法

Publications (1)

Publication Number Publication Date
JP2004088768A true JP2004088768A (ja) 2004-03-18

Family

ID=32072294

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003279473A Pending JP2004088768A (ja) 2002-08-06 2003-07-24 パケットデータ中継装置及びその方法

Country Status (1)

Country Link
JP (1) JP2004088768A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006003828A1 (ja) * 2004-06-30 2006-01-12 Yokogawa Electric Corporation 信号仲介装置、通信ネットワーク・システム及び操業システム
JP2006295519A (ja) * 2005-04-11 2006-10-26 Sony Corp 通信システム、通信装置、および通信方法
JP2009282739A (ja) * 2008-05-22 2009-12-03 Nec Computertechno Ltd ネットワークシステム、ネットワーク接続方法、接続装置、接続カード
JP2010062933A (ja) * 2008-09-04 2010-03-18 Murata Machinery Ltd 中継サーバ、中継通信システム
JP2012044493A (ja) * 2010-08-20 2012-03-01 Hitachi Ltd 通信装置
JP2014527741A (ja) * 2011-07-25 2014-10-16 コーニンクレッカ フィリップス エヌ ヴェ 安全なエンドツーエンド接続を確立するための方法、デバイス、及びシステム、並びに、データパケットを安全に通信するための方法、デバイス、及びシステム
JP2017011380A (ja) * 2015-06-17 2017-01-12 パナソニックIpマネジメント株式会社 集合用インターホン装置、中継サーバ装置及びネットワーク通信システム
JP2017518719A (ja) * 2014-05-14 2017-07-06 インファースペクト, エルエルシー 3層セキュリティおよび算出アーキテクチャ

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006003828A1 (ja) * 2004-06-30 2006-01-12 Yokogawa Electric Corporation 信号仲介装置、通信ネットワーク・システム及び操業システム
JP2006018368A (ja) * 2004-06-30 2006-01-19 Yokogawa Electric Corp 信号仲介装置、通信ネットワーク・システム及び操業システム
US7999661B2 (en) 2004-06-30 2011-08-16 Yokogawa Electric Corporation Signal relay device, communication network system and operation system
JP2006295519A (ja) * 2005-04-11 2006-10-26 Sony Corp 通信システム、通信装置、および通信方法
JP2009282739A (ja) * 2008-05-22 2009-12-03 Nec Computertechno Ltd ネットワークシステム、ネットワーク接続方法、接続装置、接続カード
JP2010062933A (ja) * 2008-09-04 2010-03-18 Murata Machinery Ltd 中継サーバ、中継通信システム
JP2012044493A (ja) * 2010-08-20 2012-03-01 Hitachi Ltd 通信装置
US8693481B2 (en) 2010-08-20 2014-04-08 Hitachi, Ltd. Communication device
JP2014527741A (ja) * 2011-07-25 2014-10-16 コーニンクレッカ フィリップス エヌ ヴェ 安全なエンドツーエンド接続を確立するための方法、デバイス、及びシステム、並びに、データパケットを安全に通信するための方法、デバイス、及びシステム
JP2017518719A (ja) * 2014-05-14 2017-07-06 インファースペクト, エルエルシー 3層セキュリティおよび算出アーキテクチャ
JP2017011380A (ja) * 2015-06-17 2017-01-12 パナソニックIpマネジメント株式会社 集合用インターホン装置、中継サーバ装置及びネットワーク通信システム

Similar Documents

Publication Publication Date Title
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
KR20050027162A (ko) 패킷 라우팅 장치 및 패킷 라우팅 방법
US7827597B2 (en) Secure transport for mobile communication network
JP2004015667A (ja) Icカード間暗号通信方法、電子チケット流通システムにおけるicカード間暗号通信方法およびicカード
JP5640226B2 (ja) 第1ドメインのクライアントと第2ドメインのサーバとの間でセキュアな通信チャネルを確立するための装置、方法およびプログラム
US20060078108A1 (en) Hardware-based encryption/decryption employing dual ported memory and fast table initialization
CN103581901A (zh) 一种Wi-Fi无线网络接入配置信息的处理方法和设备
JP2007088727A (ja) デバイス、無線lan設定システムおよび無線lan設定方法
JP2007142958A (ja) 通信装置及び通信方法
JP2004064652A (ja) 通信機器
JP2004088768A (ja) パケットデータ中継装置及びその方法
JPH1168730A (ja) 暗号ゲートウェイ装置
CN107431691A (zh) 一种数据包传输方法、装置、节点设备以及系统
CN108833612B (zh) 一种基于arp协议的局域网设备的联通方法
JP4933286B2 (ja) 暗号化パケット通信システム
CN104243291A (zh) 一种可保障用户通讯内容安全的即时通讯方法及其系统
US8555293B2 (en) Method and apparatus for communication between application programs
CN113747430A (zh) 一种接入网络的方法、终端设备和ap
JP2006013781A (ja) 無線通信システム及び無線通信システムにおける盗聴防止方法
JPH11239184A (ja) スイッチングハブ
JP2010081108A (ja) 通信中継装置、情報処理装置、プログラム、及び通信システム
CN115955306B (zh) 一种数据加密传输方法、装置、电子设备及存储介质
JP2006019897A (ja) 無線通信システム及び無線通信システムにおける盗聴防止方法
TW202329671A (zh) 可驗證供應商資訊的無線通訊裝置與無線通訊方法
JP2017060083A (ja) 通信装置および暗号通信方法