JP2005167816A - 中継装置、中継システム、中継方法及び中継プログラム - Google Patents

中継装置、中継システム、中継方法及び中継プログラム Download PDF

Info

Publication number
JP2005167816A
JP2005167816A JP2003406078A JP2003406078A JP2005167816A JP 2005167816 A JP2005167816 A JP 2005167816A JP 2003406078 A JP2003406078 A JP 2003406078A JP 2003406078 A JP2003406078 A JP 2003406078A JP 2005167816 A JP2005167816 A JP 2005167816A
Authority
JP
Japan
Prior art keywords
data
encrypted
packet
control information
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003406078A
Other languages
English (en)
Inventor
Naoyuki Mochida
尚之 持田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003406078A priority Critical patent/JP2005167816A/ja
Publication of JP2005167816A publication Critical patent/JP2005167816A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 端末装置のデータを低コストでバックアップすることができる中継装置を提供すること。
【解決手段】 端末装置20から送信されたパケットを受信する端末受信手段31と、IPヘッダ及びTCPヘッダを除いたデータをHGW装置30宛に暗号化する暗号化手段32と、暗号化パケットをファイルサーバ装置40に送信するサーバ送信手段33と、ファイルサーバ装置40から暗号化パケットを受信するサーバ受信手段34と、HGW装置30宛に暗号化された暗号化データを復号化する復号化手段35と、復号化パケットを端末装置20に送信する端末送信手段36と、暗号化手段32と復号化手段35との間で暗号化のパラメータを交換する暗号化通信チャネル37とを備える構成とすることにより、端末装置のデータを低コストでバックアップすることができるようにした。
【選択図】 図1

Description

本発明は、ネットワークに接続された端末装置から記憶装置にバックアップするデータを中継する中継装置、中継システム、中継方法及び中継プログラムに関する。
近年、ハードディスクを内蔵したDVDレコーダや、IEEE1394インターフェースを内蔵したビデオカメラなど大容量の映像を手軽に扱うことが可能な機器が広く普及しつつある。こうした機器を利用する上での問題点として、データの容量が大きいので撮りためた映像データを安全かつ簡単にバックアップできるバックアップ装置の確保が困難であることが挙げられる。また、ハードディスクやビデオテープに保存した映像データは暗号化されていないので、機器の盗難やビデオテープの紛失の際には第3者に閲覧されてしまうことになる。
このような問題を解決するため、従来から映像データをネットワーク上の記憶装置にバックアップするシステムが提案されている。
従来のバックアップシステムは、大容量記憶媒体が設置されたサービスセンタと記録再生装置とを有し、記録再生装置は、デジタル衛星放送の映像及び音声の信号を入力する入力部と、入力された信号を記録媒体に記録する記録部と、記録媒体の信号を再生する再生部と、信号の暗号化及び復号化を行う暗号化復号化部と、サービスセンタと通信する通信部とを備え、通信部が暗号化復号化部によって暗号化された信号をサービスセンタに送信することにより、記録したデジタル衛星放送の信号のバックアップができるようになっている(例えば特許文献1参照。)。
特開2002−290884号公報(第4−10頁、第1図)
しかしながら、このような従来のバックアップシステムによるデータのバックアップでは、記録再生装置は、情報量の多い映像信号を暗号化するので、高速で暗号化の処理ができるCPUや大容量のメモリが必要となり、記録再生装置のコストが高くなるという問題があった。
本発明は、このような問題を解決するためになされたものであり、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる中継装置を提供するものである。
本発明の中継装置は、ネットワークにおけるデータ通信を制御する通信制御情報及びデータを含むパケットを端末装置から受信する第1の受信手段と、予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化し、前記通信制御情報を再設定する暗号化手段と、自装置宛に暗号化された自装置宛暗号化データのパケットを記憶装置に送信する第1の送手段と、前記記憶装置から送信された前記通信制御情報及び前記自装置宛暗号化データを含むパケットを受信する第2の受信手段と、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化し、前記通信制御情報を再設定する復号化手段と、復号化されたデータを前記端末装置に送信する第2の送信手段とを備えたことを特徴とする構成を有している。
この構成により、暗号化手段は、予め定められた暗号化通信プロトコルに基づいてデータを自装置宛に暗号化して通信制御情報を再設定し、復号化手段は、暗号化通信プロトコルに基づいて自装置宛に暗号化された自装置宛暗号化データを復号化して通信制御情報を再設定するので、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる。
また、本発明の中継装置は、前記復号化手段は、前記自装置宛暗号化データのパケットが前記記憶装置に送信されたときのパケット構成を復元するパケット構成復元部を備えたことを特徴とする構成を有している。
この構成により、パケット構成復元部は、自装置宛暗号化データのパケットが記憶装置に送信されたときのパケット構成を復元するので、端末装置のデータを複数のパケットに分割し、暗号化して記録装置に記憶した場合でも、記憶装置に記憶されたデータを正確に復元することができる。
さらに、本発明の中継装置は、前記第1の送信手段及び前記第2の受信手段は、前記記憶装置と暗号化通信を行い、前記第1の送信手段は、前記暗号化通信の通信プロトコルに基づいて前記自装置宛暗号化データを含むパケットを更に暗号化して前記記憶装置に送信し、前記第2の受信手段は、前記暗号化通信の通信プロトコルに基づいて暗号化された前記パケットを前記記憶装置から受信することを特徴とする構成を有している。
この構成により、第1の送信手段及び第2の受信手段は、記憶装置と暗号化通信を行うので、中継装置と記憶装置との間における通信データが第3者に漏洩することなく、安全に端末装置のデータを記憶装置にバックアップすることができる。
さらに、本発明の中継装置は、前記端末装置と前記記憶装置とが異なる通信プロトコルを使用するネットワークにそれぞれ接続されているとき、前記ネットワーク間における通信プロトコルを変換するプロトコル変換手段を備えたことを特徴とする構成を有している。
この構成により、端末装置及び記憶装置が、それぞれ、第1のネットワーク及び第2のネットワークに接続され、第1のネットワークと第2のネットワークの通信プロトコルが異なる場合でも、端末装置のデータを記憶装置にバックアップすることができる。
本発明の中継システムは、第1のネットワークに接続された端末装置と、第2のネットワークに接続された記憶装置と、前記端末装置と前記記憶装置との間で授受されるデータを中継する中継装置とを有し、前記中継装置は、ネットワークにおけるデータ通信を制御する通信制御情報及びデータを含むパケットを端末装置から受信する第1の受信手段と、予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化し、前記通信制御情報を再設定する暗号化手段と、自装置宛に暗号化された自装置宛暗号化データのパケットを記憶装置に送信する第1の送信手段と、前記記憶装置から送信された前記通信制御情報及び前記自装置宛暗号化データを含むパケットを受信する第2の受信手段と、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化し、前記通信制御情報を再設定する復号化手段と、復号化されたデータを前記端末装置に送信する第2の送信手段とを備えたことを特徴とする構成を有している。
この構成により、中継装置は、端末装置から送信されたデータを予め定められた暗号化通信プロトコルに基づいて自装置宛に暗号化した自装置宛暗号化パケットを記憶装置に送信し、記憶装置に記憶された自装置宛暗号化パケットを復号化して端末装置に送信するので、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる。
本発明の中継方法は、ネットワークに接続された端末装置から通信制御情報及びデータを含むパケットを受信し、予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化した後、前記通信制御情報を再設定して自装置宛に暗号化された自装置宛暗号化データを含むパケットを記憶装置に送信し、前記記憶装置から前記自装置宛暗号化データを読み出した際に、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化した後、前記通信制御情報を再設定して復号化されたデータを含むパケットを前記端末装置に送信することを特徴とする方法である。
この方法により、端末装置から送信されたデータを予め定められた暗号化通信プロトコルに基づいて自装置宛に暗号化した自装置宛暗号化パケットを記憶装置に送信し、記憶装置に記憶された自装置宛暗号化パケットを復号化して端末装置に送信できるので、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる。
本発明の中継プログラムは、ネットワークに接続された端末装置から通信制御情報及びデータを含むパケットを受信するステップと、予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化するステップと、前記通信制御情報を再設定して自装置宛に暗号化された自装置宛暗号化データを含むパケットを記憶装置に送信するステップと、前記記憶装置から前記自装置宛暗号化データを読み出した際に、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化するステップと、前記通信制御情報を再設定して復号化されたデータを含むパケットを前記端末装置に送信するステップとを含むことを特徴とするプログラムである。
このプログラムにより、コンピュータは、端末装置から送信されたデータを予め定められた暗号化通信プロトコルに基づいて自装置宛に暗号化した自装置宛暗号化パケットを記憶装置に送信し、記憶装置に記憶された自装置宛暗号化パケットを復号化して端末装置に送信するので、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる。
本発明は、予め定められた暗号化通信プロトコルに基づいてデータを自装置宛に暗号化して通信制御情報を再設定する暗号化手段と、暗号化通信プロトコルに基づいて自装置宛に暗号化された自装置宛暗号化データを復号化して通信制御情報を再設定する復号化手段とを設けることにより、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、記憶装置にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができるものである。
以下、本発明の実施の形態について、図面を参照して説明する。なお、本発明の中継装置をホームゲートウェイ(Home Gateway、以下HGWという。)装置に適用した中継システムの例を挙げて説明する。
(第1の実施の形態)
まず、本発明の第1の実施の形態の中継システムの構成について説明する。
図1に示すように、本実施の形態の中継システム10は、家庭ネットワーク25に接続された端末装置20と、インターネット45に接続されたファイルサーバ装置40と、端末装置20とファイルサーバ装置40との間のデータを中継するHGW装置30とを備えている。
なお、HGW装置30は、TCP/IP(Transmission Control Protocol/Internet Protocol)によって、端末装置20及びファイルサーバ装置40と通信するものとする。
端末装置20は、例えば、ハードディスクドライブが搭載されたDVDレコーダ、ビデオカメラ又はパーソナルコンピュータなどから構成され、ファイルサーバ装置40に記憶するデータをパケット化してHGW装置30に出力するようになっている。また、ファイルサーバ装置40は、端末装置20から送信されたデータを記憶するハードディスクドライブを備えている。
HGW装置30は、端末装置20から送信されたパケットを受信する端末受信手段31と、受信したパケットのうち、TCP/IPの通信制御情報を含むIPヘッダ及びTCPヘッダ等を除いたデータを例えばSSH(Secure Shell)プロトコルに基づいてパケット毎にHGW装置30宛に暗号化する暗号化手段32と、暗号化手段32によってHGW装置30宛に暗号化された暗号化データ(以下、中継装置宛暗号化データという。)をファイルサーバ装置40に送信するサーバ送信手段33と、ファイルサーバ装置40から送信された中継装置宛暗号化データを受信するサーバ受信手段34と、中継装置宛暗号化データを例えばSSHプロトコルに基づいて復号化する復号化手段35と、復号化されたパケットを端末装置20に送信する端末送信手段36と、暗号化手段32と復号化手段35との間で暗号化のパラメータをSSHで規定された手順に従い交換する暗号化通信チャネル37とを備えている。
端末受信手段31、サーバ送信手段33、サーバ受信手段34及び端末送信手段36は、CPU、ROM、RAM、インターフェース回路等で構成されている。また、暗号化手段32、復号化手段35及び暗号化通信チャネル37は、CPU、ROM、RAM等で構成されている。
ここで、暗号化手段32によるデータの暗号化及び復号化手段35によるデータの復号化について、図2を参照して説明する。
図2において、端末装置20からファイルサーバ装置40に送信されるIPパケット60は、TCP/IPの通信制御情報を含むIPヘッダ61及びTCPヘッダ62と他通信制御情報63とデータ64とで構成されている。
ここで、通信制御情報とは、ネットワーク上でデータを授受するための情報をいい、具体的には、データの送信元アドレス及び宛先アドレス、データ長、プロトコル番号、ヘッダーチェックサム、シーケンス番号、エラー訂正情報等である。また、他通信制御情報63とは、TCP/IP以外の通信制御情報をいい、例えばHTTP(HyperText Transfer Protocol)を拡張した通信プロトコルであるWebDAV(Web-based Distributed Authoring and Versioning)の通信制御情報である。
なお、図示していないがIPヘッダ61は、IPパケットの長さを示すパケット長フィールド及びエラー訂正のためのチェックサムフィールドを有し、また、TCPヘッダ62は、エラー訂正のためのチェックサムフィールドを有している。
前述のIPパケット60のデータ64は、暗号化手段32によって暗号化されてIPパケット70に含まれる。IPパケット70は、IPヘッダ71、TCPヘッダ72、他通信制御情報73、暗号化ヘッダ74及び中継装置宛暗号化データ75で構成されている。
IPパケット70は、暗号化ヘッダ74及び中継装置宛暗号化データ75が生成されたことにより、元のIPパケット60とは構成が異なるパケットとなる。したがって、暗号化手段32によって、パケット長フィールド及びチェックサムフィールドが再構成されたIPヘッダ71と、チェックサムフィールドが再構成されたTCPヘッダ72が得られる。暗号化ヘッダ74は、中継装置宛暗号化データ75の長さを示すデータ長74a及びパディング74bで構成されている。
一方、ファイルサーバ装置40から端末装置20に送信されるIPパケット80は、IPヘッダ81、TCPヘッダ82、他通信制御情報83、暗号化ヘッダ84及び中継装置宛暗号化データ85で構成されている。暗号化ヘッダ84は、中継装置宛暗号化データ85の長さを示すデータ長84a及びパディング84bで構成されている。
前述のIPパケット80の中継装置宛暗号化データ85は、復号化手段35によって復号化されてIPパケット90に含まれる。IPパケット90は、IPヘッダ91、TCPヘッダ92、他通信制御情報93及び中継装置宛暗号化データ94で構成されている。
IPパケット90は、中継装置宛暗号化データ85が復号化され、暗号化ヘッダ84が除去されたことにより、元のIPパケット80とは構成が異なるパケットとなる。したがって、復号化手段35によって、パケット長フィールド及びチェックサムフィールドが再構成されたIPヘッダ91と、チェックサムフィールドが再構成されたTCPヘッダ92とが得られる。
図3は、ファイルサーバ装置40におけるデータ保存の説明図である。端末装置20から送信されたIPパケット60は、HGW装置30によってデータ部が暗号化され、新たに生成されたIPパケット70がファイルサーバ装置40に送信されてIPパケット95として記憶される。ファイルサーバ装置40に記憶されたIPパケット95は、暗号化ヘッダ74及び中継装置宛暗号化データ75で構成されている。IPパケット95は、IPパケット70からIPヘッダ71、TCPヘッダ72、他通信制御情報73等の通信制御情報が除かれたものである。
次に、本実施の形態の中継システム10の動作について、図4を参照して説明する。なお、端末装置20とファイルサーバ装置40との間におけるファイル転送のプロトコルは、FTP(File Transfer Protocol)を使用するものとする。また、図4において太い矢印で示された処理、例えばS11、S12等の処理は、複数のコマンドの授受によって実現される処理を表している。
最初に、端末装置20からファイル名「test.txt」のデータをファイルサーバ装置40に記憶する処理について説明する。
図4において、まず、端末装置20によって、ファイルサーバ装置40のポート21にTCP接続され(ステップS11)、次いでFTP認証が行われる(ステップS12)。
その後、端末装置20によって、データセッションを設定するためにPASVコマンドがファイルサーバ装置40に送信され(ステップS13)、ファイルサーバ装置40から応答コマンド「227 Entering Passive Mode」と、ファイルサーバ装置40によって指定されたIPアドレス及びポート番号の情報とが受信されることにより、パッシブモードが設定される(ステップS14)。なお、ファイルサーバ装置40によって指定されたポート番号は3524として以下説明する。
続いて、端末装置20によって、ファイルサーバ装置40のポート番号3524にTCP接続される(ステップS15)。さらに、端末装置20によって、ファイルサーバ装置40に対してデータ「test.txt」の記憶処理を要求するSTORコマンドがファイルサーバ装置40に送信される(ステップS16)。
そして、端末装置20によって、ファイルサーバ装置40からの応答コマンド「125 Data connecting already open:Transfer starting」が受信され(ステップS17)、データ「test.txt」がステップS14で設定されたデータセッション上に送信される準備が完了する。
続いて、端末装置20によって、データ「test.txt」がHGW装置30にパケット化されて送信される(ステップS18)。次いで、HGW装置30の端末受信手段31によって、パケットが受信され、暗号化手段32によって、各パケットのIPヘッダ、TCPヘッダ等の通信制御情報を除いたデータ部がHGW装置30宛に暗号化される(ステップS19)。
ステップS19において、データ部の暗号化に伴い、暗号化の状態を示す暗号化ヘッダが付与された結果、データ部の内容及び長さが変化してしまうので、各パケットのIPヘッダ、TCPヘッダ等の通信制御情報に含まれるデータ長の情報、エラー訂正情報等を変更する必要が生じる。そこで、暗号化手段32によって、データ部の暗号化の結果に基づいて各パケットのIPヘッダ、TCPヘッダ等の通信制御情報が再構成され、サーバ送信手段33によって、暗号化ヘッダ及び暗号化されたデータ部を含む新たなパケットがファイルサーバ装置40に順次送信される(ステップS20)。
そして、データ「test.txt」がファイルサーバ装置40に記憶された後、端末装置20によって、ポート番号3524へのTCP接続が切断され(ステップS21)、ファイルサーバ装置40によって、応答コマンド「226 Transfer Complete」が送信されることにより、端末装置20からファイル名「test.txt」のデータを中継装置宛暗号化データとしてファイルサーバ装置40に記憶する処理が終了する。
次に、ファイルサーバ装置40からファイル名「test.txt」の中継装置宛暗号化データを端末装置20に読み出す処理について図5を参照して説明する。なお、前述の記憶処理(ステップS11〜S22)における処理と同様な処理には同じ符号を付し、説明を省略する。また、図4と同様に図5において太い矢印で示された処理は、複数のコマンドの授受によって実現される処理を表している。
図5に示すように、ステップS11〜S15の処理によって、ファイルサーバ装置40のポート番号3524に対するTCP接続が完了する。
続いて、端末装置20によって、端末装置20へのデータ「test.txt」の転送を要求するRETRコマンドがファイルサーバ装置40に送信される(ステップS31)。さらに、端末装置20によって、ファイルサーバ装置40からの応答コマンド「125 Data connecting already open:Transfer starting」が受信され(ステップS17)、データ「test.txt」がステップS14で設定されたデータセッション上に送信される準備が完了する。
その後、ファイルサーバ装置40によって、ファイルサーバ装置40に記憶された中継装置宛暗号化データ「test.txt」がパケットとしてHGW装置30に順次送信される(ステップS32)。次いで、HGW装置30のサーバ受信手段34によって、パケットが受信され、復号化手段35によって、各パケットの中継装置宛暗号化データが復号化される(ステップS33)。
ステップS33において、データ部の復号化により暗号化の状態を示す暗号化ヘッダが除去され、データ部の内容及び長さが変化してしまうので、各パケットのIPヘッダ、TCPヘッダ等の通信制御情報に含まれるデータ長の情報、エラー訂正情報等を変更する必要が生じる。そこで、復号化手段35によって、データ部の復号化の結果に基づいて各パケットのIPヘッダ、TCPヘッダ等の通信制御情報が再構成され、端末送信手段36によって、暗号化ヘッダが除去され、復号化されたデータ部を含む新たなパケットが端末装置20に順次送信される(ステップS34)。
そして、データ「test.txt」が端末装置20に送信された後、端末装置20によって、ポート番号3524へのTCP接続が切断され(ステップS21)、ファイルサーバ装置40によって、応答コマンド「226 Transfer Complete」が送信されることにより(ステップS22)、ファイルサーバ装置40からファイル名「test.txt」の中継装置宛暗号化データを端末装置20に読み出す処理が終了する。
なお、前述のファイルの記憶処理及び読み出し処理において、端末装置20とファイルサーバ装置40との間で授受されるTCPの接続及び切断のパケット、例えばSYN、ACK、FIN等の制御パケットもHGW装置30によって送受信される。しかしながら、これらの制御パケットは、IPヘッダ及びTCPヘッダから構成されデータ部が存在しないので、HGW装置30によって暗号化される部分はなく、HGW装置30によって受信された制御パケットがそのままファイルサーバ装置40に送信され、端末装置20とファイルサーバ装置40との間で正常にTCP通信を行うことが可能である。
また、前述の各ステップをプログラミングし、このプログラムをコンピュータに実行させることができる。
以上のように、本実施の形態の中継システム10によれば、暗号化手段32は、端末装置20から送信されたデータを予め定められた暗号化通信プロトコルに基づいてHGW装置30宛に暗号化して通信制御情報を再設定し、復号化手段35は、ファイルサーバ装置40に記憶された中継装置宛暗号化データを復号化して通信制御情報を再設定する構成としたので、ネットワークに接続された端末装置20に特別な機能を追加することなく、端末装置20のデータをファイルサーバ装置40に低コストでバックアップすることができ、しかも、ファイルサーバ装置40にバックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができる。
なお、以上の説明では、中継装置を家庭で使用されるホームゲートウェイに適用した例について説明したが、家庭で使用されるものに限定されず、パケットを中継するその他のゲートウェイ、ルータ等についても同様に実施可能である。
また、以上の説明では、HGW装置30がTCP/IPに基づいて端末装置20及びファイルサーバ装置40と通信する例で説明したが、家庭ネットワーク25の通信プロトコルとインターネット45の通信プロトコルとが異なっていてもよい。通信プロトコルが異なる場合は、HGW装置30に通信プロトコルを変換するプロトコル変換手段を設ける構成としてもよい。
(第2の実施の形態)
まず、本発明の第2の実施の形態の中継システムの構成について説明する。
本実施の形態の中継システムは、本発明の第1の実施の形態の中継システム10の復号化手段35とは異なる復号化手段101を備え、その他は同様の構成である。したがって、前述の中継システム10と同様の構成については同一の符号を付し、構成の説明を省略する。
図6に示すように、本実施の形態の中継システムの復号化手段101は、中継装置宛暗号化データがファイルサーバ装置40に記憶されたときのパケット構成を復元するパケット構成復元部101aとパケット構成が復元された中継装置宛暗号化データを復号化する復号化部101bとを備えている。
次に、本発明の第2の実施の形態の中継システムの動作について説明する。なお、本発明の第1の実施の形態の中継システム10と異なる動作について説明する。また、HGW装置30から3つのパケットによって送信されたデータが、図7に示すデータ110としてファイルサーバ装置40に記憶されていたものとする。
ここで、動作の説明の前に、データ110について説明する。
図7に示すように、データ110は、第1のパケットによって送信された暗号化ヘッダ111及び中継装置宛暗号化データ112と、第2のパケットによって送信された暗号化ヘッダ113及び中継装置宛暗号化データ114と、第3のパケットによって送信された暗号化ヘッダ115及び中継装置宛暗号化データ116とで構成されている。
このデータ110は、端末装置20からの所定のコマンドに基づき、ファイルサーバ装置40によって順次読み出される。しかしながら、ファイルサーバ装置40は、暗号化ヘッダと中継装置宛暗号化データとを意識しないため、前述の3つのパケットで送信されたときの構成でデータを読み出すとは限らない。したがって、ファイルサーバ装置40に記憶された際のパケット構成を再現し、復号化する必要がある。
以下の動作の説明においては、ファイルサーバ装置40がデータ読み出す際、ファイルサーバ装置40によって中継装置宛暗号化データ114が2つに分割された場合を例に挙げる。
ファイルサーバ装置40に記憶されたデータ110は、ファイルサーバ装置40によって中継装置宛暗号化データ114が分割され、中継装置宛暗号化データ114の一部のデータ114aを含むIPパケット120と、中継装置宛暗号化データ114の残りのデータ114bを含むIPパケット130とがHGW装置30に送信される。IPパケット120は、通信制御情報としてIPヘッダ121、TCPヘッダ122及び他通信制御情報123を備えている。また、IPパケット130は、通信制御情報としてIPヘッダ131、TCPヘッダ132及び他通信制御情報133を備えている。
続いて、HGW装置30のサーバ受信手段34によって、IPパケット120及びIPパケット130が受信され、復号化手段101に送信される。
次いで、パケット構成復元部101aによって、IPパケット120及びIPパケット130が復元され、IPパケット140、IPパケット150及びIPパケット160とが得られる。具体的には、SSHプロトコルに基づいて暗号化されている場合、暗号化ヘッダにデータ長の情報及びパディングが存在するので、暗号化ヘッダ内の情報と対応する暗号化されたデータ部がどこまでなのかを判定することによってパケット構成が復元される。また、SSLプロトコルに基づいて暗号化されている場合でも、暗号化ヘッダ内にデータ長の情報及びフィールドデータが存在するので、暗号化ヘッダ内の情報によってパケット構成を復元することができる。
なお、IPパケット140は、通信制御情報としてIPヘッダ141、TCPヘッダ142及び他通信制御情報143を備えている。また、IPパケット150は、通信制御情報としてIPヘッダ151、TCPヘッダ152及び他通信制御情報153を備えている。また、IPパケット160は、通信制御情報としてIPヘッダ161、TCPヘッダ162及び他通信制御情報163を備えている。
引き続き、復号化部101bによって、IPパケット140、IPパケット150及びIPパケット160のそれぞれの中継装置宛暗号化データが復号化され、暗号化ヘッダが削除される。したがって、IPパケット全体のパケット長及びIPパケットの内容が変化するので、IPパケットのパケット長フィールド及びヘッダチェックサムフィールド、TCPのヘッダチェックサムフィールドを再計算し、新たなIPパケットとして、IPパケット170、IPパケット180及びIPパケット190が復号化部101bによって生成される。
IPパケット170は、IPヘッダ171、TCPヘッダ172、他通信制御情報173及び復号化されたデータ174で構成されている。また、IPパケット180は、IPヘッダ181、TCPヘッダ182、他通信制御情報183及び復号化されたデータ184で構成されている。また、IPパケット190は、IPヘッダ191、TCPヘッダ192、他通信制御情報193及び復号化されたデータ194で構成されている。
以上のように、本実施の形態の中継システムによれば、パケット構成復元部101aは、ファイルサーバ装置40に記憶されたときとは異なるパケット構成でファイルサーバ装置40がデータを送信した場合でも、ファイルサーバ装置40に記憶されたときと同じパケット構成に復元する構成としたので、端末装置20のデータを複数のパケットに分割し、暗号化してファイルサーバ装置40に記憶した場合でも、ファイルサーバ装置40に記憶された中継装置宛暗号化データを正確に復元することができる。
(第3の実施の形態)
まず、本発明の第3の実施の形態の中継システムの構成について説明する。なお、本発明の第1の実施の形態の中継システム10と同様の構成については同一の符号を付し、構成の説明を省略する。
図8に示すように、本実施の形態の中継システム200は、家庭ネットワーク25に接続された端末装置20と、インターネット45に接続されたファイルサーバ装置40と、端末装置20とファイルサーバ装置40との間のデータを中継するHGW装置201とを備えている。
HGW装置201とファイルサーバ装置40との間においては、所定の暗号化通信プロトコル、例えばIPsec(IP Security)、L2TP(Layer2 Tunneling Protocol)等によって暗号化通信を行うよう暗号化通信チャネル204が設定されている。
HGW装置201は、暗号化手段32によって暗号化された中継装置宛暗号化データを含むパケットを暗号化通信の通信プロトコルに基づいて更に暗号化してファイルサーバ装置40に送信するサーバ送信手段202と、ファイルサーバ装置40が通信制御情報及び中継装置宛暗号化データを暗号化通信の通信プロトコルに基づいて更に暗号化した暗号化パケットを受信して復号化するサーバ受信手段203とを備えている。
暗号化通信チャネル204は、例えばIPsecで利用されているIKE(Internet Key Exchange)の仕様に基づいて生成された暗号や認証用のパラメータ及びIPsecで規定された手順によって、暗号化通信ができるよう設定されるようになっている。
次に、本実施の形態の中継システム200の動作について説明する。なお、本発明の第1の実施の形態の中継システム10と異なる動作について説明する。また、図9に示されたパケット210を暗号化する例を挙げて動作を説明する。パケット210は、IPヘッダ211、TCPヘッダ212、他通信制御情報213、暗号化ヘッダ214及び中継装置宛暗号化データ215で構成されている。
パケット210は、サーバ送信手段202によって、例えばトンネルモードのIPsecに基づいて更に暗号化され、暗号化パケット220が得られる。暗号化パケット220は、IPヘッダ221、ESP(Encapsulating Security Payload)ヘッダ222、ESPトレイラ223及びESP認証トレイラ224がIPsecに基づいて更に暗号化されたパケット210に付加されたものである。なお、トンネルモードとは、データ部のみでなく、IPヘッダ及びTCPヘッダ等の通信制御情報まで含めたIPパケット全体が暗号化される形態をいう。
次いで、サーバ送信手段202によって、暗号化パケット220がファイルサーバ装置40に送信される。そして、ファイルサーバ装置40によって、IPsecに基づいて暗号化パケット220の復号化が行われ、パケット210に復元された後、暗号化ヘッダ214及び中継装置宛暗号化データ215が記憶される。
ファイルサーバ装置40に記憶された暗号化ヘッダ214及び中継装置宛暗号化データ215は、端末装置20から読み出される際、ファイルサーバ装置40によって、例えばIPsecに基づいて更に暗号化され、サーバ受信手段203に送信される。そして、サーバ受信手段203によって、IPsecに基づいて暗号化パケット220の復号化が行われ、復号化手段35に出力される。
なお、HGW装置201とファイルサーバ装置40との間における暗号化通信は、ファイルサーバ装置40に記憶するデータまたは読み出しするデータのみに対して行うだけでなく、両者間の任意の通信に対して行うよう構成してもよい。例えば、前述のFTPに基づいてHGW装置201とファイルサーバ装置40との間におけるデータの授受を行う場合、FTPの通信制御パケットを暗号化すれば、より安全にデータの授受を行うことができる。
また、HGW装置201とファイルサーバ装置40との間にゲートウェイ(以下、GWという。)装置が存在する場合、HGW装置201とGW装置との間で暗号化通信を行い、GW装置とファイルサーバ装置40との間では暗号化しない通信を行うよう構成してもよい。
また、HGW装置201とファイルサーバ装置40との間の暗号化通信プロトコルと、暗号化手段32と復号化手段35との間の暗号化通信プロトコルとは同一のものに限定されず、それぞれ独立して通信プロトコルを選択することができる。
以上のように、本実施の形態の中継システム200によれば、サーバ送信手段202は、中継装置宛暗号化データを含むパケットを暗号化通信の通信プロトコルに基づいて更に暗号化してファイルサーバ装置40に送信し、サーバ受信手段203は、ファイルサーバ装置40が中継装置宛暗号化データを含むパケットを暗号化通信の通信プロトコルに基づいて更に暗号化した暗号化パケットを受信して復号化する構成としたので、HGW装置201とファイルサーバ装置40との間において授受される中継装置宛暗号化データのパケットを更に暗号化することができ、中継装置宛暗号化データのパケットのみを授受する場合よりも更に安全に端末装置20のデータをファイルサーバ装置40にバックアップすることができる。
以上のように、本発明にかかる中継装置、中継システム、中継方法及び中継プログラムは、ネットワークに接続された端末装置に特別な機能を追加することなく、端末装置のデータを記憶装置に低コストでバックアップすることができ、しかも、バックアップしたデータが漏洩した場合でもデータの内容を第3者に知られないようにすることができるという効果を有し、ネットワークを利用したバックアップ装置、バックアップ方法、バックアップサービス等として有用である。
本発明の第1の実施の形態の中継システムのブロック図 データの暗号化及び復号化についての説明図 ファイルサーバ装置におけるデータ保存の説明図 ファイルをファイルサーバ装置に記憶する処理のシーケンス図 ファイルをファイルサーバ装置から読み出す処理のシーケンス図 本発明の第2の実施の形態の復号化パケット生成手段のブロック図 本発明の第2の実施の形態のパケット復号化の説明図 本発明の第3の実施の形態の中継システムのブロック図 本発明の第3の実施の形態のパケット暗号化の説明図
符号の説明
10、100、200 中継システム
101a パケット構成復元部
101b 復号化部(復号化手段)
174、184、194 復号化されたデータ
20 端末装置
210 パケット
210、220 暗号化パケット
222 ESPヘッダ
223 ESPトレイラ
224 ESP認証トレイラ
25 家庭ネットワーク(ネットワーク)
30、201 HGW装置(中継装置)
31 端末受信手段(第1の受信手段)
32 暗号化手段
33、202 サーバ送信手段(第1の送信手段)
34、203 サーバ受信手段(第2の受信手段)
35、101 復号化手段
36 端末送信手段(第2の送信手段)
37、46、204 暗号化通信チャネル
40 ファイルサーバ装置(記憶装置)
45 インターネット(ネットワーク)
60、70、80、90、95、120、130、140、150、160、170、180、190 IPパケット
61、71、81、91、121、131、141、151、161、171、181、191、211、221 IPヘッダ(通信制御情報)
62、72、82、92、122、132、142、152、162、172、182、192、212 TCPヘッダ(通信制御情報)
63、73、83、93、123、133、143、153、163、173、183、193、213 他通信制御情報(通信制御情報)
64、110、114a、114b データ
74、84、111、113、115、214 暗号化ヘッダ
74a、84a データ長
74b、84b パディング
75、85、94、112、114、116、215 中継装置宛暗号化データ

Claims (7)

  1. ネットワークにおけるデータ通信を制御する通信制御情報及びデータを含むパケットを端末装置から受信する第1の受信手段と、
    予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化し、前記通信制御情報を再設定する暗号化手段と、
    自装置宛に暗号化された自装置宛暗号化データのパケットを記憶装置に送信する第1の送信手段と、
    前記記憶装置から送信された前記通信制御情報及び前記自装置宛暗号化データを含むパケットを受信する第2の受信手段と、
    前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化し、前記通信制御情報を再設定する復号化手段と、
    復号化されたデータを前記端末装置に送信する第2の送信手段とを備えたことを特徴とする中継装置。
  2. 前記復号化手段は、前記自装置宛暗号化データのパケットが前記記憶装置に送信されたときのパケット構成を復元するパケット構成復元部を備えたことを特徴とする請求項1に記載の中継装置。
  3. 前記第1の送信手段及び前記第2の受信手段は、前記記憶装置と暗号化通信を行い、前記第1の送信手段は、前記暗号化通信の通信プロトコルに基づいて前記自装置宛暗号化データを含むパケットを更に暗号化して前記記憶装置に送信し、前記第2の受信手段は、前記暗号化通信の通信プロトコルに基づいて暗号化された前記パケットを前記記憶装置から受信することを特徴とする請求項1または請求項2に記載の中継装置。
  4. 前記端末装置と前記記憶装置とが異なる通信プロトコルを使用するネットワークにそれぞれ接続されているとき、前記ネットワーク間における通信プロトコルを変換するプロトコル変換手段を備えたことを特徴とする請求項1から請求項3までのいずれかに記載の中継装置。
  5. 第1のネットワークに接続された端末装置と、
    第2のネットワークに接続された記憶装置と、
    前記端末装置と前記記憶装置との間で授受されるデータを中継する請求項1から請求項4までのいずれかに記載の中継装置とを備えたことを特徴とする中継システム。
  6. ネットワークに接続された端末装置から通信制御情報及びデータを含むパケットを受信し、予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化した後、前記通信制御情報を再設定して自装置宛に暗号化された自装置宛暗号化データを含むパケットを記憶装置に送信し、
    前記記憶装置から前記自装置宛暗号化データを読み出した際に、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化した後、前記通信制御情報を再設定して復号化されたデータを含むパケットを前記端末装置に送信することを特徴とする中継方法。
  7. ネットワークに接続された端末装置から通信制御情報及びデータを含むパケットを受信するステップと、
    予め定められた暗号化通信プロトコルに基づいて前記データを自装置宛に暗号化するステップと、
    前記通信制御情報を再設定して自装置宛に暗号化された自装置宛暗号化データを含むパケットを記憶装置に送信するステップと、
    前記記憶装置から前記自装置宛暗号化データを読み出した際に、前記暗号化通信プロトコルに基づいて前記自装置宛暗号化データを復号化するステップと、
    前記通信制御情報を再設定して復号化されたデータを含むパケットを前記端末装置に送信するステップとを含むことを特徴とする中継プログラム。
JP2003406078A 2003-12-04 2003-12-04 中継装置、中継システム、中継方法及び中継プログラム Pending JP2005167816A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003406078A JP2005167816A (ja) 2003-12-04 2003-12-04 中継装置、中継システム、中継方法及び中継プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003406078A JP2005167816A (ja) 2003-12-04 2003-12-04 中継装置、中継システム、中継方法及び中継プログラム

Publications (1)

Publication Number Publication Date
JP2005167816A true JP2005167816A (ja) 2005-06-23

Family

ID=34728563

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003406078A Pending JP2005167816A (ja) 2003-12-04 2003-12-04 中継装置、中継システム、中継方法及び中継プログラム

Country Status (1)

Country Link
JP (1) JP2005167816A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021521552A (ja) * 2018-05-14 2021-08-26 ネッツユニオン クリアリング コーポレーション 暗号化機に適用される情報処理方法及び情報処理システム
JP2022023942A (ja) * 2015-09-17 2022-02-08 セクテュリオン システムズ インコーポレイテッド クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
US11783089B2 (en) 2013-03-29 2023-10-10 Secturion Systems, Inc. Multi-tenancy architecture
US11792169B2 (en) 2015-09-17 2023-10-17 Secturion Systems, Inc. Cloud storage using encryption gateway with certificate authority identification
US11921906B2 (en) 2013-03-29 2024-03-05 Secturion Systems, Inc. Security device with programmable systolic-matrix cryptographic module and programmable input/output interface

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11783089B2 (en) 2013-03-29 2023-10-10 Secturion Systems, Inc. Multi-tenancy architecture
US11921906B2 (en) 2013-03-29 2024-03-05 Secturion Systems, Inc. Security device with programmable systolic-matrix cryptographic module and programmable input/output interface
JP2022023942A (ja) * 2015-09-17 2022-02-08 セクテュリオン システムズ インコーポレイテッド クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
US11792169B2 (en) 2015-09-17 2023-10-17 Secturion Systems, Inc. Cloud storage using encryption gateway with certificate authority identification
JP2021521552A (ja) * 2018-05-14 2021-08-26 ネッツユニオン クリアリング コーポレーション 暗号化機に適用される情報処理方法及び情報処理システム
JP7028993B2 (ja) 2018-05-14 2022-03-02 ネッツユニオン クリアリング コーポレーション 暗号化機に適用される情報処理方法及び情報処理システム

Similar Documents

Publication Publication Date Title
JP5089599B2 (ja) ワイヤレスネットワーク向けエアインターフェース・アプリケーション・レイヤ・セキュリティ
CN1503527B (zh) 压缩安全协议保护的网际协议分组的方法、设备和系统
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US8478994B2 (en) Method for analyzing coded data streams simultaneously transmitted in IP networks
JP2010505284A (ja) 入れ子状のインターネットプロトコルセキュリティトンネルを処理するための方法およびネットワーク装置
JP2000287192A (ja) 情報配信装置、受信装置及び通信方法
TWI224458B (en) Communication device and communication control method
JPH11331310A (ja) データ伝送制御方法及びデータ伝送システム
EP3691257B1 (en) Internet protocol camera security system allowing secure encryption information to be transmitted
CN112260926A (zh) 虚拟专用网络的数据传输系统、方法、装置、设备及存储介质
US20060168292A1 (en) Apparatus and method for receiving or transmitting contents
US7886160B2 (en) Information processing apparatus and method, and computer program
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JP2003204326A (ja) 通信システムと暗号処理機能付きlan制御装置、及び通信制御プログラム
JP2009027659A (ja) コンテンツ送信装置及びコンテンツ受信装置
US9165122B2 (en) Content reproducing device, content reproducing method, and content reproducing system
CN116527405B (zh) 一种srv6报文加密传输方法、装置及电子设备
JP2005167816A (ja) 中継装置、中継システム、中継方法及び中継プログラム
US7688860B2 (en) Data transmission apparatus, data reception apparatus, data transmission method, and data reception method
US7970163B2 (en) Communication system and control method thereof
CN112104601A (zh) 数据传输方法、装置、终端设备和存储介质
JP2006323455A (ja) 送信装置、中継装置
CN111211958A (zh) 用于提供vpn服务的方法及装置、区块链网络及节点设备
JP2002152180A (ja) 無線通信システム、送信装置及びコンテンツデータ転送方法
JP2008227715A (ja) ネットワークシステム及び通信方法