JP2010135979A - 暗号装置及びプログラム及び記録媒体 - Google Patents

暗号装置及びプログラム及び記録媒体 Download PDF

Info

Publication number
JP2010135979A
JP2010135979A JP2008308468A JP2008308468A JP2010135979A JP 2010135979 A JP2010135979 A JP 2010135979A JP 2008308468 A JP2008308468 A JP 2008308468A JP 2008308468 A JP2008308468 A JP 2008308468A JP 2010135979 A JP2010135979 A JP 2010135979A
Authority
JP
Japan
Prior art keywords
router
port
plaintext
address
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008308468A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Toru Inada
徹 稲田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2008308468A priority Critical patent/JP2010135979A/ja
Publication of JP2010135979A publication Critical patent/JP2010135979A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】ネットワークの配線接続時や構成変更時、LANポートとLANケーブルの配線が容易な暗号装置を提供する。
【解決手段】リピータ型暗号装置100は、LANport0、LANport1を持つ。格納部33は平文側の第1ルータと暗号文側の第2ルータに対して、平文ネットワーク側、暗号文ネットワーク側に位置するかのネットワーク種別と、IPアドレスとが設定されたルータ設定情報を持つ。判定ブロック25はLANport0又はLANport1がリンクアップすると検出し、ルータ設定情報の第1ルータのIPアドレスを含むARPリクエストと第2ルータのIPアドレスを含むARPリクエストとをリンクアップ検出のポートから送信し、ARPレスポンスを受信すると、ルータ設定情報においてARPリクエストに含まれるIPアドレスに一致するIPアドレスに対してMACアドレスとARPレスポンスを受信したポートとを設定する。
【選択図】図1

Description

この発明は、平文ネットワークと暗号文ネットワークとの間に配置され、平文ネットワークから受信した平文データを暗号化し、暗号文ネットワークから受信した暗号化データを復号する暗号装置に関する。
平文ネットワークと暗号文ネットワークとの間でデータを中継する従来の暗号装置は、LANのポートを二つ持ち、二つのLANのポートの内、一方のLANのポートを平文ネットワークとして固定で常備し、他方のLANのポートを暗号文ネットワークとして固定で常備し、暗号装置の物理的なLANのポートは、平文ネットワークまたは暗号文ネットワークのどちらかに固定で決められて受信した平文データと暗号文データをそれぞれ処理していた(例えば、特許文献1)。暗号装置間の正常な暗号通信経路に異常がある場合に代替経路の通信路に切り替える動作では、正常な暗号通信経路の両端に二台の暗号装置を配置し、さらに代替経路の両端に二台の暗号装置を配置し、合計4台の暗号装置を用いたネットワーク構成としていた(たとえば図40の例)。一般的な例として、図40に示すネットワーク構成により、障害時の退避を行なう。図40では、ルータ#1とルータ#4が、正常な暗号通信経路と代替経路の回線を切り替える。通常運用時は、暗号装置#1と暗号装置#2の2つの組により暗号通信を行なっている。例えばルータ#2に異常を検出した場合は、暗号装置#3と暗号装置#4の2つの組により暗号通信をするように、ルータ#1とルータ#4において通信データの経路を切り替える。図41は、図40のネットワーク構成における正常時のデータの流れである。図42は、図40のネットワーク構成における異常時のデータの流れである。(例えば、特許文献2、特許文献3)。図43は、図40のネットワーク構成における暗号装置#1でのSPD(Security Parameter Database)の設定例である。
特開2001−156841号公報、第1図 特開2000−341324号公報、第1図 特開2004−328563号公報、第1図
従来の暗号装置は、暗号装置の物理的なLANのポートに固定で平文ネットワークまたは暗号文ネットワークのどちらかが決まっていて、決められた平文ネットワーク/暗号文ネットワークに応じて、受信した平文データと暗号文データをそれぞれ処理していたため、ネットワークの配線接続時や構成変更時、LANポートとLANケーブルの配線を取り違えて間違うと暗号通信できないという課題があった。
また、従来の暗号装置は、暗号装置間の正常な暗号通信経路に異常がある場合に代替経路の通信路に切り替える動作で、正常な暗号通信経路の両端に二台の暗号装置を配置し、さらに代替経路の両端に二台の暗号装置を配置し、合計4台の暗号装置を用いて障害時に正常な暗号通信経路から代替の経路に切り替えていたので、合計4台の暗号装置が必要であるという課題があった。
この発明は上記のような課題を解決するためになされたもので、ネットワークの配線接続時や構成変更時、LANポートとLANケーブルの配線を容易にすることを目的とする。また、正常な暗号通信経路と代替経路を持つネットワーク構成で暗号装置合計4台を用いず、暗号装置合計2台または暗号装置合計3台により、異常時に暗号通信経路を代替経路に切り替えを実施し、機器設置に係わる費用を削減することを目的とする。
この発明の暗号装置は、
平文ネットワークと暗号文ネットワークとの間に配置され、前記平文ネットワークから受信した平文データの暗号化と前記暗号文ネットワークから受信した暗号化データの復号とを実行する暗号装置において、
ルータと接続可能な第1LAN(Local Area Network)ポートと、
ルータと接続可能な第2LANポートと、
平文ネットワーク側に位置する第1ルータと暗号文ネットワーク側に位置する第2ルータとの各ルータに対して、平文ネットワーク側と暗号文ネットワーク側とのどちらに位置するかを示すネットワーク種別と、IP(Internet Protocol)アドレスとが予め設定されたルータ設定情報を格納するルータ設定情報格納部と、
前記第1LANポートあるいは前記第2LANポートのいずれかのポートがリンクアップすると前記リンクアップを検出し、前記リンクアップを検出すると前記ルータ設定情報に設定されている前記第1ルータのIPアドレスを含むARP(Address Resolution Protocol)リクエストと前記ルータ設定情報に設定されている前記第2ルータのIPアドレスを含むARPリクエストとを前記リンクアップの検出された前記ポートから送信し、前記ARPリクエストに対して送信元のIPアドレスとMAC(Media Access Control address)アドレスとを含むARPレスポンスを受信した場合には、前記ルータ設定情報の前記IPアドレスのうち前記ARPリクエストに含まれる前記IPアドレスに一致する前記IPアドレスに対して前記MACアドレスと前記ARPレスポンスを受信した前記ポートを示すポート識別情報とを前記ルータ設定情報において新たに設定するポート判定部と
を備えたことを特徴とする。
この発明により、ネットワークの配線接続時や構成変更時、LANポートとLANケーブルの配線が容易な暗号装置を提供できる。
実施の形態1.
図1〜図18を参照して実施の形態1を説明する。図12〜図18は、以下の動作説明に使用するフローチャートである。
図1は実施の形態1の暗号装置100の構成図である。暗号装置100は、ネットワーク上に既存の各機器のネットワークパラメータを変更せずに設置可能なリピータを基本アーキテクチャとした暗号装置(以下、リピータ型暗号装置)である。
図1に示すように、リピータ型暗号装置100(暗号装置100ともいう)は、端末機能ブロック1とリピータ機能ブロック2を備えるリピータ機能ブロック2は、LANport0(21)(第1LANポート)、LANport1(22)(第2LANポート)、port0送受信ブロック23、port1送受信ブロック24、平文port/暗号port判定ブロック25(ポート判定部)、自局処理ブロック26、復号処理ブロック27、暗号処理ブロック28、暗号/エンカプセル処理ブロック29、復号/デカプセル処理ブロック30、平文側MACアドレス解決ブロック31(アドレス解決部)、暗号側MACアドレス解決ブロック32(アドレス解決部)、格納部33(ルータ設定情報格納部の一例、対象判定情報格納部の一例)を備える。格納部33は後述するSPD情報、「ルータ設定情報」等を格納する。
図1において、
(1)端末機能ブロック1はリピータ型暗号装置自身に送信された自局宛情報、ここでは、データとして送信された自局宛データ、例えば、リピータ型暗号装置を管理するための管理データ等の処理を実施する機能ブロックであり、ネットワークに接続されたIP(Internet Protocol)接続機能を有する一般の端末と同等の機能を有する。
(2)リピータ機能ブロック2は、リピータと同様にネットワーク上に既存の各機器のネットワークパラメータを変更せずに、データを暗号化および復号する機能(以下、リピータ機能)を有する。
(3)LANport0(21)は、リピータ型暗号装置と他の装置とを接続するLANインタフェースである。
(4)LANport0(22)は、リピータ型暗号装置と他の装置とを接続するLANインタフェースである。
(5)port0送受信ブロック23は、リピータ型暗号装置の特定のLANport0からデータを受信しLANport0へデータを送信する処理ブロックである。
(6)port1送受信ブロック24は、リピータ型暗号装置の特定のLANport1からデータを受信しLANport1へデータを送信する処理ブロックである。
(7)平文port/暗号port判定ブロック25は、処理を終了し渡されたデータを暗号ポートと平文ポートの情報に従って各ブロックへ振り分ける処理である。
(8)自局処理ブロック26は、端末機能ブロック1側に位置する内部の論理的な処理で、端末機能ブロック1から出力されたデータを復号処理ブロック27および暗号処理ブロック28に転送すると共に、復号処理ブロック27または暗号処理ブロック28から転送されたデータを端末機能ブロック1へ出力する。
(9)復号処理ブロック27は、論理的な平文ポートへの平文データを受信した時の処理である。
(10)暗号処理ブロック28は、論理的な暗号ポートへの平文データを受信した時の処理である。
(11)暗号/エンカプセル処理ブロック29は、論理的な平文ポートから受信した平文データ、ここでは平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(InternetProtocolヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う。
(12)復号/デカプセル処理ブロック30は、論理的な暗号ポートから受信した暗号文データを、平文データに復号すると共に、さらにここでは、暗号文データに対して復号およびデカプセル処理が必要かどうかを判断し、必要であれば復号およびデカプセル処理を実施し、必要でなければそのまま上記復号処理ブロック27へ転送し、復号およびデカプセル処理時にエラーが発生した場合、または復号およびデカプセル処理が不必要で、かつ透過中継する必要のない場合には、そのデータを廃棄 する機能を有する。
(13)平文側MACアドレス解決ブロック31は、上記復号/デカプセル処理ブロック30で復号されたデータ内のIPヘッダに基づいてMACヘッダ(Media Access Controlヘッダ)を設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信すべく平文port/暗号port判定ブロック25へ渡す。
(14)暗号側MACアドレス解決ブロック32は、上記暗号/エンカプセル処理ブロック29で設定されたIPヘッダに基づいて、MACヘッダを設定して生成した暗号文データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信すべく平文port/暗号port判定ブロック25へ渡す。
図2は暗号装置を適用した時のネットワーク構成図である。図においてサーバ#1は、アプリケーションサービスを提供するサーバ、端末#1と端末#2と端末#3はクライアント機能を持つ端末であり、ルータ#1とルータ#2とルータ#3とルータ#4は、IPルータでありルータの両側ではIPサブネットが異なって設定される。ルータ#2とルータ#3は公衆網#1を介して接続される。暗号装置#1と暗号装置#2は上記のリピータ型暗号装置であり、暗号装置#1と暗号装置#2間は暗号文ネットワークの区間であり、暗号装置#1と端末#1、端末#2、端末#3間の間は平文ネットワークである。暗号装置#2とサーバ#1間は平文ネットワークである。
図3は暗号装置#1でのSPD(Security Parameter Database)(対象判定情報の一例)の設定であり、どの端末とどの端末の通信またはサーバと端末間の通信を暗号化の対象とするかの情報であり、平文ネットワークのIPアドレス、暗号文ネットワークのIPアドレス、対向の暗号装置のIPアドレス、ESP(Encapsulating Security Payload)送信時のSPI(Security Policy Index)番号、ESP受信時のSPI番号、アルゴリズム種別と鍵等のパラメータから成る。
アルゴリズムには、暗号で用いるAES(Advanced Encryption Standard)や3DES(Triple Data Encryption Standard)等の暗号アルゴリズム種別と暗号用の鍵の組み、データ改ざんチェック用のHMAC(Keyed−Hashing for Message Authentication code)−SHA1(Secure Hash Algorithm 1)等のデータ改ざんチェック用の種別と鍵の組み等である。
図4は、暗号装置#1で学習したルータのMACアドレスと接続LANポートの情報である。図4の情報(実施の形態2で述べる図19の情報、実施の形態3で述べる図28の情報も同様である)を以下、「ルータ設定情報」という場合がある。ルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報は、事前に設定されている。ルータのMACアドレス情報と接続LANポートの情報は、事前には設定されておらず、LANport0とLANport1よりルータからのデータを受信した時に学習する。
図5は、図2のネットワーク構成において暗号装置のLANportとルータの接続を反対に接続した時の図である。
図6は、図2のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。
図7は、図2のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。
図8は、図2のネットワーク構成で自装置発のデータを送信した時の図1のリピータ型暗号装置における自装置発データの処理の流れを示した図である。点線の矢印は、データの流れを示している。
図9は、図5のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。
図10は、図5のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。
図11は、暗号文の形式であり、MACヘッダには宛先MACアドレスと送信元MACアドレスを含み、IPヘッダ(暗号文)には暗号装置の宛先IPアドレスと暗号装置の送信元IPアドレスを含み、IPヘッダ(平文)には端末の宛先IPアドレスと端末の送信元IPアドレスを含み、暗号通信用のESPヘッダには鍵を種別するための情報であるSPI番号を含み、端末間で渡されるIPデータ部からなる。
次に動作について説明する。
暗号通信を開始する前に、暗号装置#1に図3に示すSPDを設定し、図4に示す学習前のルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別を事前に設定する。図3のSPDは、端末#1とサーバ#1間の通信データが暗号通信の対象で、対向の暗号装置のIPアドレスは暗号装置#2であり、端末#2とサーバ#1間の通信データが暗号通信の対象で、対向の暗号装置のIPアドレスは暗号装置#2であり、端末#3とサーバ#1間の通信データが暗号通信の対象で、対向の暗号装置のIPアドレスは暗号装置#2である。図4の情報では、ルータ#1のIPアドレスであるIPアドレス#R1は、平文ネットワークであることを示し、ルータ#2のIPアドレスであるIPアドレス#R2は、暗号文ネットワークであることを示している。これらの事前に設定するSPDやルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報は、不揮発メモリに書き込まれている。暗号装置#2においても同様に、SPDの設定とルータ#3とルータ#4のIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報を事前に設定しておく。図3と図4の情報を不揮発性メモリに書き込んで置く。
図12のフローチャートを参照して説明する。
(LANport0のリンクアップ)
(A1)暗号装置#1は、装置立ち上がり時、LANport0(21)がリンクアップするとport0送受信ブロック23がリンクアップを検出し、平文port/暗号port判定ブロック25へ通知する(S01)。
(A2)平文port/暗号port判定ブロック25は、port0送受信ブロック23からLANport0(21)がリンクアップしたことを通知されると、ARP(Address Resolution Protocol)リクエストを、図4に示した事前に設定してあるルータのIPアドレス#R1宛とIPアドレス#R2宛てとへそれぞれ、port0送受信ブロック23を経由して、LANport0(21)から送信する(S02)。
(A3)暗号装置#1のLANport0と接続しているルータ#1は、IPアドレス#R1宛のARPリクエストに応答し、ARPレスポンスにルータ#1のMACアドレスであるMACアドレス#R1−MACを設定し、暗号装置#1にARPレスポンスを返す(S03)。
(A4)平文port/暗号port判定ブロック25は、ルータ#1からのARPレスポンスをLANport0(21)とport0送受信ブロック23を経由して受信すると、
IPアドレス#R1のルータのMACアドレスがMACアドレス#R1−MACであることを学習し、接続LANポート情報としてport0を学習する(S04)。なお、暗号装置#1のLANport0と接続しているルータ#1は、IPアドレス#R2宛のARPリクエストを受信するが、IPアドレスが自装置宛でないのでARPリクエストを廃棄する。
(LANport1のリンクアップ)
(a1)次に、暗号装置#1は、LANport1(22)がリンクアップするとport1送受信ブロック24がリンクアップを検出し、平文port/暗号port判定ブロック25へ通知する(S11)。
(a2)平文port/暗号port判定ブロック25は、port0送受信ブロック23からLANport1(22)がリンクアップしたことを通知されると、ARP(Address Resolution Protocol)リクエストを図4に示した事前に設定してあるルータのIPアドレス#R1宛とIPアドレス#R2宛てへそれぞれ、port1送受信ブロック24を経由して、LANport1(22)から送信する(S12)。
(a3)暗号装置#1のLANport1と接続しているルータ#2は、IPアドレス#R2宛のARPリクエストに応答し、ARPレスポンスにルータ#2のMACアドレスであるMACアドレス#R2−MACを設定し、暗号装置#1にARPレスポンスを返す(S13)。
(a4)平文port/暗号port判定ブロック25は、ルータ#2からのARPレスポンスをLANport1(22)とport1送受信ブロック24を経由して受信すると、IPアドレス#R2のルータのMACアドレスがMACアドレス#R2−MACであることを学習し、接続LANポート情報としてport1を学習する(S14)。なお、暗号装置#1のLANport1と接続しているルータ#2は、IPアドレス#R1宛のARPリクエストを受信するが、IPアドレスが自装置宛でないのでARPリクエストを廃棄する。
平文port/暗号port判定ブロック25は、上記、リンクアップの検出によりルータからのARPリクエスト送信とARPレスポンス受信の結果により、port0が平文ネットワークのポート、port1が暗号文ネットワークのポートであることを学習する。学習した情報は、図4の暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)となる。
図4の暗号装置#2でも同様に、装置立ち上がり時、LANのリンクアップを検出し、ルータ#3とルータ#4の宛のARPリクエストを送信し、それぞれのルータからARPレスポンスを受信し、平文portと暗号ポートがどのLANのportであるかを学習する。
次に、図2において、端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について図6を用いて説明する。
図13のフローチャートを参照して説明する。
(1)端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S301)。端末#1発サーバ#1宛の平文データをルータ#1は、ルータ#2宛へ送る。
(2)中継経路上の暗号装置#1は、LANport0(21)で端末#1発サーバ#1宛の平文データを受信する(S302)。
(3)平文port/暗号port判定ブロック25は、port0送受信ブロック23を経由して端末#1発サーバ#1宛の平文データを受信する。
(4)平文port/暗号port判定ブロック25は、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の情報に従い、端末#1発サーバ#1宛の平文データをLANport0から受信したので平文portから受信したと判断する(S303)。そして、平文port/暗号port判定ブロック25は、図3の暗号装置#1でのSPD情報を検索する。この場合、端末#1発サーバ#1宛の平文データについては、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致するので、平文port/暗号port判定ブロック25は暗号化の対象と認定する(S304)。
(5)平文port/暗号port判定ブロック25は、
一致した情報により、
(a)対向の暗号装置のIPアドレスが暗号装置#2、
(b)送信時に設定するESPヘッダのSPDの番号が10001、
(c)使用するアルゴリズム種別と鍵を決定する。
平文port/暗号port判定ブロック25は端末#1発サーバ#1宛の平文データを、暗号処理ブロック28へ渡す(S305)。
(6)暗号処理ブロック28は、端末#1発サーバ#1宛の平文データを渡されると、自装置宛である場合は、自局処理ブロック26を経由して端末機能ブロック1へデータを渡す。
(7)暗号処理ブロック28は、端末#1発サーバ#1宛の平文データを渡されると、端末#1発サーバ#1宛の平文データを暗号/エンカプセル処理ブロック29へ渡す(S306)。
(8)暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成し暗号通信用のESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S307)。新規IPヘッダには、暗号装置#1発、暗号装置#2宛のIPヘッダを生成し、暗号装置#1は、暗号装置#2宛へ暗号文データを送信する。
(9)暗号側MACアドレス解決ブロック32は暗号文データを渡されると、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#2のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを宛先MACアドレスに設定し、送信元MACアドレスには暗号装置#1のMACアドレスを設定する(S308)。
(10)暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#2宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S309)。
(11)暗号側MACアドレス解決ブロック32が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、暗号側MACアドレス解決ブロック32は、宛先暗号装置へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport1から送信し、宛先暗号装置からのARPレスポンスを受信し、宛先暗号装置のMACアドレスへ暗号文データを送信する。
(12)ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。
(13)平文port/暗号port判定ブロック25は、暗号装置#1発暗号装置#2宛の暗号文データを受け取ると、暗号文ネットワークのportであるport1送受信ブロック24を経由してルータ#2宛へ送信する(S310)。
(暗号文データの形式)
暗号装置#1が送信した暗号装置#1発暗号装置#2宛の暗号文データの設定値を図11を用いて説明すると以下のようになる。
(1)MACヘッダ内の宛先MACアドレスには、ルータ#2のMACアドレスであるMACアドレス#R2−MACが設定され、
(2)MACヘッダ内の送信元MACアドレスには、暗号装置#1のMACアドレスが設定され、
(3)IPヘッダ(暗号文)内の暗号装置の宛先IPアドレスには、暗号装置#2のIPアドレスが設定され、
(4)IPヘッダ(暗号文)内の暗号装置の送信元IPアドレスには、暗号装置#1のIPアドレスが設定され、
(5)ESPヘッダ内のSPI番号には、10001が設定され、
(6)IPヘッダ(平文)内の端末の宛先IPアドレスには、サーバ#1のIPアドレスが設定され、
(7)IPヘッダ(平文)内の端末の送信元IPアドレスには、端末#1のIPアドレスが設定されている。
暗号装置#1発暗号装置#2宛の暗号文データは、ルータ#2と公衆網#1とルータ#3を経由して暗号装置#2へ届く。
暗号装置#2は、暗号装置#1発暗号装置#2宛の暗号文データを受信すると、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#2における暗号文データを平文へ復号する動作の詳細については、この後、説明するサーバ#1発端末#1宛のデータによる暗号通信の暗号装置#1での復号時の動作と同様なので、暗号装置#1の復号時の動作で説明する。
次に図2においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図7を用いて説明する。
図14のフローチャートを参照して説明する。サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S401)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信しルータ#3宛に送る(S402)。ルータ#4とルータ#3の中継経路上の暗号装置#2は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#2発暗号装置#1宛の暗号文としてルータ#3宛へ送信する(S403)。この時の暗号装置#2の暗号処理は、端末#1発サーバ#1宛の暗号文データ生成時の暗号装置#1の動作と同様の処理を行なう。暗号装置#2発暗号装置#1宛の暗号文データは、ルータ#3と公衆網#1とルータ#2を経由して暗号装置#1へ届く。
(暗号装置#1)
暗号装置#1はLANport1(22)で暗号装置#2発暗号装置#1宛の暗号文データを受信する(S404)。平文port/暗号port判定ブロック25はport1送受信ブロック24を経由して暗号装置#2発暗号装置#1宛の暗号文データを受信する。平文port/暗号port判定ブロック25は図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の情報に従い、暗号装置#2発暗号装置#1宛の暗号文データをLANport1から受信したので暗号portから受信したと判断する(S405)。そして、平文port/暗号port判定ブロック25は、図3のSPDを検索する。この場合、平文port/暗号port判定ブロック25は、送信元IPアドレスが暗号装置#2と一致し、ESPヘッダ内のSPI番号が20001に一致するので復号の対象と認定し(S406)、復号/デカプセル処理ブロック30へ暗号装置#2発暗号装置#1宛の暗号文データを渡す(S407)。復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを受け取ると、図3のSPDの検索で得た情報から該当するアルゴリズム種別と鍵を得て、復号処理を施す。復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S408)。復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S409)。復号処理ブロック27は、サーバ#1発端末#1宛の平文データを渡されると、宛先IPアドレスが自装置宛である場合は、自局処理ブロック26を経由して端末機能ブロック1へ渡す。
平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の平文データを渡されると、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認する。そして、平文側MACアドレス解決ブロック31は、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が平文ネットワークであるルータ#1のMACアドレスに該当するMACアドレス#R1−MACを宛先MACアドレスに設定し、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(ネットワーク構成2の学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを送信元MACアドレスに設定する(S410)。
(12)平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S411)。平文側MACアドレス解決ブロック31が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、平文側MACアドレス解決ブロック31は、宛先端末へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport0から送信し、宛先端末からのARPレスポンスを受信し、宛先端末のMACアドレスへ平文データを送信する。ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。
サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S412)。(15)ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する。端末#1はサーバ#1発端末#1宛の平文データを受信する。
次に、図8を用いて暗号装置#1発端末#1宛のデータ通信について説明する。
図15のフローチャートを参照して説明する。暗号装置#1内の端末機能ブロック1は、自局処理ブロック26へ暗号装置#1発端末#1宛の平文データを渡す(S501)。自局処理ブロック26は暗号装置#1発の平文データを渡されると、図3に示すSPDを検索しどれにも一致しないので、復号処理ブロック27へデータを渡す(S502)。復号処理ブロック27は暗号装置#1発の平文データを渡されると、平文側MACアドレス解決ブロック31へ暗号装置#1発の平文データを渡す(S503)。平文側MACアドレス解決ブロック31は暗号装置#1発の平文データを渡されると、サーバ#1発端末#1宛の平文データを処理した時と同様に、宛先MACアドレスと送信元MACアドレスを解決し、解決したMACアドレスを宛先MACアドレスに設定し送信元MACアドレスには自装置のMACアドレスを設定し、平文port/暗号port判定ブロック25へ暗号装置#1発の平文データを渡す(S504)。平文port/暗号port判定ブロック25は、暗号装置#1発端末#1宛の平文データを受け取ると、平文portであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S505)。端末#1は、ルータ#1を経由して暗号装置#1発端末#1宛の平文データを受け取る。
自局処理ブロック26は暗号装置#1発の平文データを渡されると、図3に示すSPDを検索し一致した場合は、暗号処理ブロック28へ渡し、以後、平文データを暗号文データに暗号する手順に従い、暗号/エンカプセル処理ブロック29で暗号し、暗号側MACアドレス解決ブロック32でMACアドレスを解決し、平文port/暗号port判定ブロック25から、port1送受信ブロック24を経て、LANport1(22)から暗号文データを送信する。
(差し替えた場合)
次に図2のネットワーク構成から、暗号装置#1のLANケーブルを差し替えて、図5のネットワーク構成に変更する時の動作を説明する。
図16のフローチャートを参照して説明する。)図2の状態で、暗号装置#1のLANport0のケーブルを抜くと、port0送受信ブロック23は、LANport0のリンクダウンを検出し、平文port/暗号port判定ブロック25へ通知する(S601a)平文port/暗号port判定ブロック25は、LANport0のリンクダウンを検出し、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の接続LANポートがport0に該当するルータのIPアドレス#R1の情報の内、ARPレスポンスで学習したルータのMACアドレス情報であるMACアドレス#R1−MACと接続LANポートの情報であるport0を消去する(S602a)。
図2の状態で、暗号装置#1のLANport1のケーブルを抜くと、port1送受信ブロック24はLANport1のリンクダウンを検出し、平文port/暗号port判定ブロック25へ通知する(S603a)。平文port/暗号port判定ブロック25は、LANport1のリンクダウンを検出し、図4(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の接続LANポートがport1に該当するルータのIPアドレス#R2の情報の内、ARPレスポンスで学習したルータのMACアドレス情報であるMACアドレス#R2−MACと接続LANポートの情報であるport1を消去する(S604a)。
その結果、図4(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)」の状態へ戻る。
図5の構成にLANケーブルを差し替えると、暗号装置#1はLANport0(21)がリンクアップするとport0送受信ブロック23がリンクアップを検出し、平文port/暗号port判定ブロック25へ通知する。平文port/暗号port判定ブロック25はLANport0(21)がリンクアップしたことを通知されると、ARPリクエストを図4に示した事前に設定してあるルータのIPアドレス#R1宛とIPアドレス#R2宛てへそれぞれ、port0送受信ブロック23を経由して、LANport0(21)から送信する。暗号装置#1のLANport0と接続しているルータ#2は、IPアドレス#R2宛のARPリクエストに応答し、ARPレスポンスにルータ#2のMACアドレスであるMACアドレス#R2−MACを設定し、暗号装置#1にARPレスポンスを返す。ルータ#2からのARPレスポンスをLANport0(21)とport0送受信ブロック23を経由して受信した平文port/暗号port判定ブロック25は、IPアドレス#R2のルータのMACアドレスがMACアドレス#R2−MACであることを学習し、接続LANポート情報としてport0を学習する。暗号装置#1のLANport0と接続しているルータ#2は、IPアドレス#R1宛のARPリクエストを受信するが、IPアドレスが自装置宛でないのでARPリクエストを廃棄する。
次に、同様に暗号装置#1は、LANport1(22)がリンクアップするとport1送受信ブロック24がリンクアップを検出し、平文port/暗号port判定ブロック25へ通知する。平文port/暗号port判定ブロック25はLANport1(22)がリンクアップしたことを通知されると、ARPリクエストを図4に示した事前に設定してあるルータのIPアドレス#R1宛とIPアドレス#R2宛てへそれぞれ、port1送受信ブロック24を経由して、LANport1(22)から送信する。暗号装置#1のLANport1と接続しているルータ#1は、IPアドレス#R1宛のARPリクエストに応答し、ARPレスポンスにルータ#1のMACアドレスであるMACアドレス#R1−MACを設定し、暗号装置#1にARPレスポンスを返す。平文port/暗号port判定ブロック25は、ルータ#1からのARPレスポンスをLANport1(22)とport1送受信ブロック24を経由して受信すると、IPアドレス#R1のルータのMACアドレスがMACアドレス#R1−MACであることを学習し、接続LANポート情報としてport1を学習する。暗号装置#1のLANport1と接続しているルータ#1は、IPアドレス#R2宛のARPリクエストを受信するが、IPアドレスが自装置宛でないのでARPリクエストを廃棄する。
上記、リンクアップの検出によりルータからのARPリクエスト送信とARPレスポンス受信の結果により、暗号装置#1の平文port/暗号port判定ブロック25は、port1が平文ネットワークのポート、port0が暗号文ネットワークのポートであることを学習する。学習した情報は、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(ネットワーク構成図5の学習後)」となる。
次に、図5において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号について図9を用いて説明する。
図17のフローチャートを参照して説明する。端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S701)。端末#1発サーバ#1宛の平文データをルータ#1は、ルータ#2宛へ送る(S702)。中継経路上の暗号装置#1は、LANport1(22)で端末#1発サーバ#1宛の平文データを受信する(S703)。平文port/暗号port判定ブロック25は、port1送受信ブロック24を経由して端末#1発サーバ#1宛の平文データを受信する。平文port/暗号port判定ブロック25は、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(ネットワーク構成図5の学習後)」の情報に従い、端末#1発サーバ#1宛の平文データをLANport1から受信したので平文portから受信したと判断し(S704)、図3の暗号装置#1でのSPD情報を検索し、端末#1発サーバ#1宛の平文データについて、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致し、暗号化の対象と認定し(S705)、SPD情報の検索結果で一致した情報により対向の暗号装置のIPアドレスが暗号装置#2、送信時に設定するESPヘッダのSPDの番号が10001、使用するアルゴリズム種別と鍵を決定し、暗号処理ブロック28へ端末#1発サーバ#1宛の平文データを渡す(S706)。
端末#1発サーバ#1宛の平文データを渡された暗号処理ブロック28は、暗号/エンカプセル処理ブロック29へ端末#1発サーバ#1宛の平文データを渡す(S707)。暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成し暗号通信用のESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S708)。新規IPヘッダには、暗号装置#1発、暗号装置#2宛のIPヘッダを生成し、暗号装置#1は、暗号装置#2宛へ暗号文データを送信する。
暗号文データを渡された暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#2のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを宛先MACアドレスに設定し、送信元MACアドレスには暗号装置#1のMACアドレスを設定する(S709)。暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#2宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S710)。
暗号装置#1発暗号装置#2宛の暗号文データを受け取った平文port/暗号port判定ブロック25は、暗号文ネットワークのportであるport0送受信ブロック23を経由してルータ#2宛へ送信する(S711)。
暗号装置#1が送信した暗号装置#1発暗号装置#2宛の暗号文データの設定値を図11を用いて説明すると以下のようになる。
MACヘッダ内の宛先MACアドレスには、ルータ#2のMACアドレスであるMACアドレス#R2−MACが設定され、
(a)MACヘッダ内の送信元MACアドレスには、暗号装置#1のMACアドレスが設定され、
(b)IPヘッダ(暗号文)内の暗号装置の宛先IPアドレスには、暗号装置#2のIPアドレスが設定され、
(c)IPヘッダ(暗号文)内の暗号装置の送信元IPアドレスには、暗号装置#1のIPアドレスが設定され、
(d)ESPヘッダ内のSPI番号には、10001が設定され、
IPヘッダ(平文)内の端末の宛先IPアドレスには、サーバ#1のIPアドレスが設定され、
(f)IPヘッダ(平文)内の端末の送信元IPアドレスには、端末#1のIPアドレスが設定されている。
暗号装置#1発暗号装置#2宛の暗号文データは、ルータ#2と公衆網#1とルータ#3を経由して暗号装置#2へ届く。暗号装置#1発暗号装置#2宛の暗号文データを受信した暗号装置#2は、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#2における暗号文データを平文へ復号する動作の詳細については、前述の図2の端末#1発サーバ#1宛のデータによる復号時の動作と同様である。
(サーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号)
次に図5においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図10を用いて説明する。
図18のフローチャートを参照して説明する。サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S801)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信しルータ#3宛に送る(S802)。ルータ#4とルータ#3の中継経路上の暗号装置#2は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#2発暗号装置#1宛の暗号文としてルータ#3宛へ送信する(S803)。暗号装置#2発暗号装置#1宛の暗号文は、ルータ#3と公衆網#1とルータ#2を経由して暗号装置#1に届く暗号装置#1はLANport0(21)で暗号装置#2発暗号装置#1宛の暗号文データを受信する(S804)。平文port/暗号port判定ブロック25は、port0送受信ブロック23を経由して暗号装置#2発暗号装置#1宛の暗号文データを受信する。平文port/暗号port判定ブロック25は、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、暗号装置#2発暗号装置#1宛の暗号文データをLANport0から受信したので暗号portから受信したと判断し(S805)、図3のSPDを検索し、送信元IPアドレスが暗号装置#2と一致し、ESPヘッダ内のSPI番号が20001に一致して復号の対象と認定し(S806)、復号/デカプセル処理ブロック30へ暗号装置#2発暗号装置#1宛の暗号文データを渡す(S807)。暗号装置#2発暗号装置#1宛の暗号文データを受け取った復号/デカプセル処理ブロック30は、図3のSPDの検索で得た情報から該当するアルゴリズム種別と鍵を得て、復号処理を施す。復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S808)。
復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S809)。サーバ#1発端末#1宛の平文データを渡された平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が平文ネットワークであるルータ#1のMACアドレスに該当するMACアドレス#R1−MACを宛先MACアドレスに設定し、図4(c)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを送信元MACアドレスに設定する(S810)。平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S811)。
サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport1送受信ブロック24を経由してルータ#1宛へ送信する。ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する。端末#1はサーバ#1発端末#1宛の平文データを受信する。
以上のように、リピータ型暗号装置のLANport0とLANport1に接続されているLANケーブルを交互に差し替えても、どちらのLANportが平文portであるか暗号portであるかを学習して暗号/復号するので、利便性の高い暗号装置を得ることができる。
実施の形態2.
図19〜図24を参照して実施の形態2を説明する。図20〜図24は、以下に述べる動作説明に使用するフローチャートである。また、上記の実施の形態1で用いた図も使用して説明を行う。
以上の実施の形態1では、LANportのリンクアップを検出した時に、平文ネットワークに位置するルータと暗号文ネットワークに位置するルータへARPリクエストを送信し、それぞれのルータが応答したARPレスポンスにより、平文portと暗号portを学習するようにしたものである。この実施の形態2では、
ARPリクエストを送信せずに、ルータが送信した平文データと暗号文データから平文portと暗号portを学習するようにした場合の暗号装置の実施の形態を示す。
図1はこの発明の実施の形態2の暗号装置であり、実施の形態1と同一である。
図2は暗号装置を適用した時のネットワーク構成図であり、実施の形態1と同一である。
図3は暗号装置#1でのSPD(Security Parameter Database)の設定であり、実施の形態1と同一である。
図4は暗号装置#1で学習したルータのMACアドレスと接続LANポートの情報である。ルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報は、事前に設定されている。ルータのMACアドレス情報と接続LANポートの情報は、事前には設定されておらず、LANport0とLANport1より平文データと暗号文データを受信した時に学習する。
図5は、図2のネットワーク構成において暗号装置のLANportとルータの接続を反対に接続した時の図であり、実施の形態1と同一である。
図6は、図2のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図7は、図2のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図9は、図5のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図10は、図5のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図11は、暗号文の形式であり、実施の形態1と同一である。
図19は暗号装置#1で学習した接続LANポートの情報(ルータ設定情報)である。
次に動作について説明する。
図20のフローチャートを参照して説明する。暗号通信を開始する前に、暗号装置#1に図3に示すSPDを設定し、図4に示す学習前のルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別を事前に設定する。図3と図4の情報を不揮発性メモリに書き込んで置く(S2101)。暗号装置#2においても実施の形態1と同様に、SPDの設定とルータ#3とルータ#4のIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報を事前に設定しておく。
暗号装置#1は、装置立ち上がり時、図4(a)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)」の状態で立ち上がる(S2102)。
次に、図2において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について図6を用いて説明する。
端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S2103)。端末#1発サーバ#1宛の平文データをルータ#1は、ルータ#2宛へ送る(S2104)。
中継経路上の暗号装置#1は、LANport0(21)で端末#1発サーバ#1宛の平文データを受信する。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して端末#1発サーバ#1宛の平文データを受信する(S2105)。平文port/暗号port判定ブロック25は、図3のSPD情報(対象判定情報の一例)を検索し、端末#1発サーバ#1宛の平文データについて、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致し、暗号化の対象に認定する(S2106)。一致した情報により対向の暗号装置のIPアドレスが暗号装置#2、送信時に設定するESPヘッダのSPDの番号が10001、使用するアルゴリズム種別と鍵を決定する(S2107)。平文port/暗号port判定ブロック25は端末#1発サーバ#1宛の平文データが暗号化の対象であるので、端末#1発サーバ#1宛の平文データを受信したLANport0を平文port、端末#1発サーバ#1宛の平文データを受信しなかったLANport1を暗号文portであると学習する(S2108)。その結果、図19(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」を学習して記録する。
図19(a)の[暗号装置#1で学習したルータの接続LANポート(図2のネットワーク構成、学習後)]の情報に従い、端末#1発サーバ#1宛の平文データをLANport0から受信したので平文portから受信したと判断し、暗号処理ブロック28へ端末#1発サーバ#1宛の平文データを渡す(S2109)。端末#1発サーバ#1宛の平文データを渡された暗号処理ブロック28は、宛先IPアドレスが自装置宛で無いので、暗号/エンカプセル処理ブロック29へ端末#1発サーバ#1宛の平文データを渡す(S2110)。暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成しESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S2111)。新規IPヘッダには、暗号装置#1発、暗号装置#2宛のIPヘッダを生成し、暗号装置#1は、暗号装置#2宛へ暗号文データを送信する。
暗号文データを渡された暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#2のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図19の平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレスを解決する(S2112)。ルータ#2宛のARPリクエストを平文port/暗号port判定ブロック25とport1送受信ブロック24を介して、暗号portであるLANport1(22)から送信する(S2113)。ルータ#2宛のARPリクエストを受信したルータ#2は、ルータ#2のMACアドレスであるMACアドレス#R2−MACを設定してARPレスポンスを暗号装置#1へ返す(S2114)。ARPレスポンスは、port1送受信ブロック24と平文port/暗号port判定ブロック25を介して暗号側MACアドレス解決ブロック32に届く。ルータ#2からのARPレスポンスを受信した暗号装置#1の暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスにMACアドレス#R2−MACを設定する(S2115)。暗号側MACアドレス解決ブロック32は、送信元MACアドレスには暗号装置#1のMACアドレスを設定する。暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#2宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S2116)。
暗号側MACアドレス解決ブロック32が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、暗号側MACアドレス解決ブロック32は、宛先暗号装置へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport1から送信し、宛先暗号装置からのARPレスポンスを受信し、宛先暗号装置のMACアドレスへ暗号文データを送信する。ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。暗号装置#1発暗号装置#2宛の暗号文データを受け取った平文port/暗号port判定ブロック25は、暗号文ネットワークのportであるport1送受信ブロック24を経由してルータ#2宛へ送信する(S2117)。
暗号装置#1が送信した暗号装置#1発暗号装置#2宛の暗号文データの設定値を図11を用いて説明すると以下のようになる。
MACヘッダ内の宛先MACアドレスには、ルータ#2のMACアドレスであるMACアドレス#R2−MACが設定され、MACヘッダ内の送信元MACアドレスには、暗号装置#1のMACアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の宛先IPアドレスには、暗号装置#2のIPアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の送信元IPアドレスには、暗号装置#1のIPアドレスが設定され、ESPヘッダ内のSPI番号には、10001が設定され、IPヘッダ(平文)内の端末の宛先IPアドレスには、サーバ#1のIPアドレスが設定され、IPヘッダ(平文)内の端末の送信元IPアドレスには、端末#1のIPアドレスが設定されている。
暗号装置#1発暗号装置#2宛の暗号文データは、ルータ#2と公衆網#1とルータ#3を経由して暗号装置#2へ届く。暗号装置#1発暗号装置#2宛の暗号文データを受信した暗号装置#2は、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#2における暗号文データを平文へ復号する動作の詳細については、この後、説明するサーバ#1発端末#1宛のデータによる暗号通信の暗号装置#1での復号時の動作と同様なので、暗号装置#1の復号時の動作で説明する。
次に図2においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図7を用いて説明する。
図21のフローチャートを参照して説明する。暗号装置#1は、装置立ち上がり時、図4(a)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)」の状態で立ち上がる(S2201)。
サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S2202)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信しルータ#3宛に送る(S2203)。ルータ#4とルータ#3の中継経路上の暗号装置#2は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#2発暗号装置#1宛の暗号文としてルータ#3宛へ送信する(S2204)。この時の暗号装置#2の暗号処理は、端末#1発サーバ#1宛の暗号文データ生成時の暗号装置#1の動作と同様の処理を行なう。暗号装置#2発暗号装置#1宛の暗号文データは、ルータ#3と公衆網#1とルータ#2を経由して暗号装置#1へ届く。
暗号装置#1はLANport1(22)で暗号装置#2発暗号装置#1宛の暗号文データを受信する(S2205)。平文port/暗号port判定ブロック25はport1送受信ブロック24を経由して暗号装置#2発暗号装置#1宛の暗号文データを受信する(S2206)。平文port/暗号port判定ブロック25は、図3のSPDを検索し、送信元IPアドレスが暗号装置#2と一致し、ESPヘッダ内のSPI番号が20001に一致して復号の対象に認定し、一致した情報から該当するアルゴリズム種別と鍵を得る(S2207)。平文port/暗号port判定ブロック25は暗号装置#2発暗号装置#1宛の暗号文データが復号の対象であるので、暗号装置#2発暗号装置#1宛の暗号文データを受信したLANport1を暗号文port、暗号装置#2発暗号装置#1宛の暗号文データを受信しなかったLANport0を平文portであると学習する。その結果、図19(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」を学習して記録する(S2208)。図19(a)の「暗号装置#1で学習したルータの接続LANポート(図2のネットワーク構成、学習後)」の情報に従い、暗号装置#2発暗号装置#1宛の暗号文データをLANport1から受信したので暗号文portから受信したと判断し、復号/デカプセル処理ブロック30へ暗号装置#2発暗号装置#1宛の暗号文データを渡す(S2209)。暗号装置#2発暗号装置#1宛の暗号文データを受け取った復号/デカプセル処理ブロック30は、復号処理を施す。復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S2210)。
復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S2211)。サーバ#1発端末#1宛の平文データを渡された平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図19(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」により、平文ネットワーク/暗号文ネットワーク種別が平文ネットワークであるルータ#1のMACアドレスをARP解決処理により解決しMACアドレス#R1−MACを学習し、MACアドレス#R1−MACを宛先MACアドレスに設定し(S2212)、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスをARP解決処理により解決しMACアドレス#R2−MACを学習し、MACアドレス#R2−MACを送信元MACアドレスに設定する(S2213)。平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S2214)。
平文側MACアドレス解決ブロック31が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、平文側MACアドレス解決ブロック31は、宛先端末へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport0から送信し、宛先端末からのARPレスポンスを受信し、宛先端末のMACアドレスへ平文データを送信する。ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。
サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S2215)。ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する。端末#1はサーバ#1発端末#1宛の平文データを受信する。
次に図2のネットワーク構成から、暗号装置#1のLANケーブルを差し替えて、図5のネットワーク構成に変更する時の動作を説明する。
図22のフローチャートを参照して説明する。図2のネットワーク構成で、端末#1とサーバ#1間で暗号通信している時は、図19(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」を暗号装置#1は学習している。図2の状態で、暗号装置#1のLANport0のケーブルを抜くと、port0送受信ブロック23はLANport0のリンクダウンを検出し、平文port/暗号port判定ブロック25へ通知する(S601b)。平文port/暗号port判定ブロック25は、LANport0のリンクダウンを検出し、図19(a)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の接続LANポートがport0に該当するルータのIPアドレス#R1の情報の内、ARPレスポンスで学習したルータのMACアドレス情報であるMACアドレス#R1−MACと接続LANポートの情報であるport0を消去する(S602b)。
図2の状態で、暗号装置#1のLANport1のケーブルを抜くと、port1送受信ブロック24はLANport1のリンクダウンを検出し、平文port/暗号port判定ブロック25へ通知する(S603b)。平文port/暗号port判定ブロック25は、LANport1のリンクダウンを検出し、図19(a)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図2のネットワーク構成、学習後)」の接続LANポートがport1に該当するルータのIPアドレス#R2の情報の内、ARPレスポンスで学習したルータのMACアドレス情報であるMACアドレス#R2−MACと接続LANポートの情報であるport1を消去する(S604b)。その結果、図4(a)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)]の状態に戻る。
次に、図5において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号について図9を用いて説明する。
図23のフローチャートを参照して説明する。端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S2401)。端末#1発サーバ#1宛の平文データをルータ#1は、ルータ#2宛へ送る(S2402)。
中継経路上の暗号装置#1は、LANport1(22)で端末#1発サーバ#1宛の平文データを受信する(S2403)。平文port/暗号port判定ブロック25はport1送受信ブロック24を経由して端末#1発サーバ#1宛の平文データを受信する(S2404)。平文port/暗号port判定ブロック25は、図3のSPD情報を検索し、端末#1発サーバ#1宛の平文データについて、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致し、暗号化の対象に認定する(S2405)。一致した情報により対向の暗号装置のIPアドレスが暗号装置#2、送信時に設定するESPヘッダのSPDの番号が10001、使用するアルゴリズム種別と鍵を決定する(S2406)。平文port/暗号port判定ブロック25は端末#1発サーバ#1宛の平文データが暗号化の対象であるので、端末#1発サーバ#1宛の平文データを受信したLANport1を平文port、端末#1発サーバ#1宛の平文データを受信しなかったLANport0を暗号文portであると学習する(S2407)。その結果、図19(b)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」を学習して記録する。図19(b)の「暗号装置#1で学習したルータの接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、端末#1発サーバ#1宛の平文データをLANport1から受信したので平文portから受信したと判断し、暗号処理ブロック28へ端末#1発サーバ#1宛の平文データを渡す(S2408)。
端末#1発サーバ#1宛の平文データを渡された暗号処理ブロック28は、宛先IPアドレスが自装置宛で無いので、暗号/エンカプセル処理ブロック29へ端末#1発サーバ#1宛の平文データを渡す(S2409)。暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成しESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S2410)。新規IPヘッダには、暗号装置#1発、暗号装置#2宛のIPヘッダを生成し、暗号装置#1は、暗号装置#2宛へ暗号文データを送信する。
暗号文データを渡された暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#2のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図19(b)に示した平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレスを解決する(S2411)。ルータ#2宛のARPリクエストを平文port/暗号port判定ブロック25とport0送受信ブロック23を介して、暗号portであるLANport0(21)から送信する(S2412)。ルータ#2宛のARPリクエストを受信したルータ#2は、ルータ#2のMACアドレスであるMACアドレス#R2−MACを設定してARPレスポンスを暗号装置#1へ返す(S2413)。ARPレスポンスは、port0送受信ブロック23と平文port/暗号port判定ブロック25を介して暗号側MACアドレス解決ブロック32に届く。ルータ#2からのARPレスポンスを受信した暗号装置#1の暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスにMACアドレス#R2−MACを設定する。暗号側MACアドレス解決ブロック32は送信元MACアドレスには暗号装置#1のMACアドレスを設定する(S2414)。暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#2宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S2415)。
暗号装置#1発暗号装置#2宛の暗号文データを受け取った平文port/暗号port判定ブロック25は、暗号文ネットワークのportであるport0送受信ブロック23を経由してルータ#2宛へ送信する(S2416)。暗号装置#1発暗号装置#2宛の暗号文データは、ルータ#2と公衆網#1とルータ#3を経由して暗号装置#2へ届く。暗号装置#1発暗号装置#2宛の暗号文データを受信した暗号装置#2は、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#2における暗号文データを平文へ復号する動作の詳細については、図2の構成での端末#1発サーバ#1宛のデータによる暗号通信の暗号装置#2での復号時の動作と同様である。
次に図5においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図10を用いて説明する。
図24のフローチャートを参照して説明する。サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S2501)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信しルータ#3宛に送る(S2502)。ルータ#4とルータ#3の中継経路上の暗号装置#2は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#2発暗号装置#1宛の暗号文としてルータ#3宛へ送信する(S2503)。この時の暗号装置#2の暗号処理は、図2における端末#1発サーバ#1宛の暗号文データ生成時の暗号装置#1の動作と同様の処理を行なう。暗号装置#2発暗号装置#1宛の暗号文データは、ルータ#3と公衆網#1とルータ#2を経由して暗号装置#1へ届く。
暗号装置#1はLANport0(21)で暗号装置#2発暗号装置#1宛の暗号文データを受信する(S2504)。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して暗号装置#2発暗号装置#1宛の暗号文データを受信する(S2505)。平文port/暗号port判定ブロック25は、図3のSPDを検索し、送信元IPアドレスが暗号装置#2と一致し、ESPヘッダ内のSPI番号が20001に一致して復号の対象と認定し、一致した情報から該当するアルゴリズム種別と鍵を得る(S2506)。平文port/暗号port判定ブロック25は暗号装置#2発暗号装置#1宛の暗号文データが復号の対象であるので、暗号装置#2発暗号装置#1宛の暗号文データを受信したLANport0を暗号文port、暗号装置#2発暗号装置#1宛の暗号文データを受信しなかったLANport1を平文portであると学習する。その結果、図19(b)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」を学習して記録する(S2507)。図19(b)の「暗号装置#1で学習したルータの接続LANポート(図5のネットワーク構成、学習後)」の情報に従い、暗号装置#2発暗号装置#1宛の暗号文データをLANport0から受信したので暗号文portから受信したと判断し、復号/デカプセル処理ブロック30へ暗号装置#2発暗号装置#1宛の暗号文データを渡す(S2508)。暗号装置#2発暗号装置#1宛の暗号文データを受け取った復号/デカプセル処理ブロック30は、復号処理を施す。復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S2509)。
復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S2510)。サーバ#1発端末#1宛の平文データを渡された平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図19(b)に示す「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図5のネットワーク構成、学習後)」により、平文ネットワーク/暗号文ネットワーク種別が平文ネットワークであるルータ#1のMACアドレスをARP解決処理により解決しMACアドレス#R1−MACを学習し、MACアドレス#R1−MACを宛先MACアドレスに設定し(S2511)、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスをARP解決処理により解決しMACアドレス#R2−MACを学習し、MACアドレス#R2−MACを送信元MACアドレスに設定する(S2512)。平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S2513)。
サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport1送受信ブロック24を経由してルータ#1宛へ送信する(S2514)。ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する。端末#1はサーバ#1発端末#1宛の平文データを受信する。
以上のように、リピータ型暗号装置のLANport0とLANport1に接続されているLANケーブルを交互に差し替えても、どちらのLANportが平文portであるか暗号portであるかを学習して暗号/復号するので、利便性の高い暗号装置を得ることができる。
実施の形態3.
図25〜図32を参照して実施の形態3を説明する。図31、図32は以下に説明する動作説明に使用するフローチャートである。また、上記の実施の形態1、2で用いた図も使用して説明を行う。実施の形態3では、暗号文ネットワークの通信経路に異常がある時は予め動作が設定された動作モードである暗号文ネットワーク異常発生モードで動作する暗号装置に関する。
以上の実施の形態1と実施の形態2では、リピータ型暗号装置において、2つのLANportを平文ネットワーク側と暗号文ネットワーク側のどちらにLANケーブルで接続しても、平文ネットワークと暗号文ネットワークを検出して学習するようにした場合の実施例を記述した。実施の形態3では、障害発生時、暗号装置が暗号通信路のルートの宛先を暗号文ネットワーク側のルータから反対側の平文ネットワーク側のルータへ変更して通信経路を切り替える暗号装置の実施の形態を示す。
図1はこの発明の実施の形態3の暗号装置であり、実施の形態1と同一である。
図3は暗号装置#1でのSPD(Security Parameter Database)の設定であり、どの端末とどの端末の通信またはサーバと端末間の通信を暗号化の対象とするかの情報であり、実施の形態1と同一である。
図6は、図26のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図7は、図26のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。
図11は、暗号文の形式であり、実施の形態1と同一である。図25は暗号装置を適用した時のネットワーク構成図である。図においてサーバ#1はアプリケーションサービスを提供するサーバ、端末#1と端末#2と端末#3はクライアント機能を持つ端末であり、ルータ#1とルータ#2とルータ#3とルータ#4とルータ#5とルータ#6はIPルータでありルータの両側ではIPサブネットが異なって設定される。ルータ#2とルータ#3の間は公衆網#1を介して接続される。ルータ#5とルータ#6の間は公衆網#2を介して接続される。暗号装置#1と暗号装置#2はリピータ型暗号装置であり、暗号装置#1と暗号装置#2間は暗号文ネットワークの区間であり、暗号装置#1と端末#1、端末#2、端末#3間の間は平文ネットワークである。暗号装置#2とサーバ#1間は平文ネットワークである。ルータ#1とルータ#4間の通信網は、ルータ#1から暗号装置#1、ルータ#2、公衆網#1、ルータ#3、暗号装置#2を経由してルータ#4とつながる経路(ルート)とルータ#5から公衆網#2、ルータ#6を経由してルータ#4とつながる代替経路(代替ルート)の2つの経路がある。
図26は、図25のネットワーク構成において、正常時の通信データの流れで、端末#1とサーバ#1間の暗号通信の図である。実践矢印は平文通信路、点線矢印は暗号通信路である。図27は、図25のネットワーク構成において、異常時の通信データの流れで、端末#1とサーバ#1間の暗号通信の図である。実践矢印は平文通信路、点線矢印は暗号通信路である。
図28は、暗号装置#1で学習したルータのMACアドレスと接続LANポートの情報(ルータ設定情報)である。ルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報は、事前に設定されている。ルータのMACアドレス情報と接続LANポートの情報は、事前には設定されておらず、LANport0とLANport1よりルータからのデータを受信した時に学習する。ルータのIPアドレスには、ルータ#1のIPアドレスであるIPアドレス#R1とルータ#2のIPアドレスであるIPアドレス#R2であり、平文ネットワーク/暗号文ネットワーク種別には、平文ネットワーク・暗号代替ルートと暗号文ネットワークが設定されている。図29は、図27のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。図30は、図27のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。
次に動作について説明する。暗号通信を開始する前に、暗号装置#1に図3に示すSPDを設定し、図28(a)に示す学習前のルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別を事前に設定する。ルータ#1のIPアドレスであるIPアドレス#R1とルータ#2のIPアドレスであるIPアドレス#R2と平文ネットワーク/暗号文ネットワーク種別である平文ネットワーク・暗号代替ルートと暗号文ネットワークをそれぞれ設定しておく。図3と図28の情報は不揮発性メモリに書き込まれている。暗号装置#2においても同様に、SPDの設定とルータ#3とルータ#4のIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報を事前に設定しておく。図25のネットワーク構成では、ルータ#1には、宛先IPアドレスが暗号装置#2宛の場合は、ルータ#5宛へ中継するルーティング設定(経路設定)を事前にしておく。同様にルータ#4には、宛先IPアドレスが暗号装置#1宛の場合は、ルータ#6宛へ中継するルーティング設定(経路設定)を事前にしておく。
暗号装置#1は、装置立ち上がり時、図28(a)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)」の状態で立ち上がる。図25のネットワーク構成において、暗号装置#1は、LANport0とLANport1のリンクアップを検出すると、実施の形態1と同じ手順によりルータへARPリクエストを送信しARPレスポンスを受信することにより、ルータのMACアドレスと接続ポートを学習する。その結果、図28(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)」の表の状態となる。
次に、図26において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について説明する。暗号装置#1は通信モードを保持し、暗号文の送受信を暗号portで行う動作を正常ルートの動作モード、暗号文の送受信を平文portで行う動作を代替ルートの動作モードの二つの通信モードを切り分けて動作する。図26では暗号装置#1は、正常ルートの通信モードで動作する。暗号装置#1の平文port/暗号port判定ブロック25は、暗号文ネットワークへの送信を正常ルートであるLANport1を経由してルータ#2宛てへ暗号 文を送信する。図26の端末#1発サーバ#1宛の通信データの中継については、ルータ#1が端末#1発サーバ#1宛の平文データをルータ#5へ転送せず、ルータ#2の経路に中継する点と、ルータ#4が端末#1発サーバ#1宛の平文データをルータ#6へ転送せず、サーバ#1の経路に中継する点を除けば、実施の形態1の図2の構成での手順と同じである。なお、実施の形態2の手順で動作してもよい。
図26においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について説明する。暗号装置#1は、正常ルートの通信モードで動作する。暗号装置#1の平文port/暗号port判定ブロック25は、平文ネットワークへの送信を正常ルートであるLANport0を経由してルータ#1宛てへ平文を送信する。
図26のサーバ#1発端末#1宛の通信データの中継については、ルータ#1がサーバ#1発端末#1宛の平文データをルータ#5へ転送せず、端末#1の経路に中継する点と、ルータ#4がサーバ#1発端末#1宛の平文データをルータ#6へ転送せず、ルータ#3の経路に中継する点と、暗号装置#1内で平文ポートを参照する情報である図28の平文ネットワーク/暗号文ネットワーク種別の設定が、平文ネットワークから平文ネットワーク・暗号代替ルートの設定に変わっている点を除けば、実施の形態1の図2の構成での手順と同じである。なお、実施の形態2の手順で動作してもよい。
次に、図26のネットワーク構成において、暗号装置#1と暗号装置#2間での通信路において、通信できなくなった場合の動作について説明する。暗号装置#1と暗号装置#2間の異常を検出するには、暗号装置#1と暗号装置#2間でkeep alive(生き死に確認)の通信データの往復通信のタイムアウト検出や、人手による通信到達の確認により知ることができる。暗号装置#1と暗号装置#2は、それぞれ、暗号文ネットワークを通じての通信が不可能である場合、図26の暗号通信路を図27の暗号通信路に変更する。暗号装置#1と暗号装置#2は、代替ルートの通信モードで動作する。
次に、図27において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について図29を用いて説明する。
図31のフローチャートを参照して説明する。端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S3301)。端末#1発サーバ#1宛の平文データをルータ#1は、宛先がサーバ#1宛なのでルータ#5には送らず、ルータ#2宛へ送る(S3302)。中継経路上の暗号装置#1は、LANport0(21)で端末#1発サーバ#1宛の平文データを受信する(S3303)。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して端末#1発サーバ#1宛の平文データを受信する(S3304)。平文port/暗号port判定ブロック25は、図3のSPD情報を検索し、端末#1発サーバ#1宛の平文データについて、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致し、暗号化の対象に認定する(S3305)。一致した情報により対向の暗号装置のIPアドレスが暗号装置#2、送信時に設定するESPヘッダのSPDの番号が10001、使用するアルゴリズム種別と鍵を決定する(S3306)。図28(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)」の情報に従い、端末#1発サーバ#1宛の平文データをLANport0から受信したので平文portから受信したと判断し(S3307)、暗号処理ブロック28へ端末#1発サーバ#1宛の平文データを渡す(S3308)。
端末#1発サーバ#1宛の平文データを渡された暗号処理ブロック28は、宛先IPアドレスが自装置宛で無いので、暗号/エンカプセル処理ブロック29へ端末#1発サーバ#1宛の平文データを渡す(S3309)。暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成しESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S3310)。新規IPヘッダには、暗号装置#1発、暗号装置#2宛のIPヘッダを生成し、暗号装置#1は、暗号装置#2宛へ暗号文データを送信する。
暗号文データを渡された暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#2のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、暗号装置#1が代替ルートの通信モードで動作しているので、図28の平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のMACアドレスであるMACアドレス#R1−MACを宛先のMACアドレスを、暗号装置#1発暗号装置#2宛の暗号文データの宛先MACアドレスに設定する。暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#2宛の暗号文データの送信元MACアドレスには暗号装置#1のMACアドレスを設定する(S3311)。暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#2宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S3312)。
暗号装置#1発暗号装置#2宛の暗号文データを受け取った平文port/暗号port判定ブロック25は、暗号装置#1が代替ルートの通信モードで動作しているので、図28の平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のLANportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S3313)。
暗号装置#1が送信した暗号装置#1発暗号装置#2宛の暗号文データの設定値を図11を用いて説明すると以下のようになる。MACヘッダ内の宛先MACアドレスには、ルータ#1のMACアドレスであるMACアドレス#R1−MACが設定され、MACヘッダ内の送信元MACアドレスには、暗号装置#1のMACアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の宛先IPアドレスには、暗号装置#2のIPアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の送信元IPアドレスには、暗号装置#1のIPアドレスが設定され、ESPヘッダ内のSPI番号には、10001が設定され、IPヘッダ(平文)内の端末の宛先IPアドレスには、サーバ#1のIPアドレスが設定され、IPヘッダ(平文)内の端末の送信元IPアドレスには、端末#1のIPアドレスが設定されている。
暗号装置#1発暗号装置#2宛の暗号文データを受け取ったルータ#1は、宛先のIPアドレスが暗号装置#2宛であるので、暗号装置#1発暗号装置#2宛の暗号文データをルータ#5へ転送する(S3314)。暗号装置#1発暗号装置#2宛の暗号文データは、ルータ#5、公衆網#2、ルータ#6を経由してルータ#4へ届く。暗号装置#1発暗号装置#2宛の暗号文データを受け取ったルータ#4は、宛先のIPアドレスが暗号装置#2宛であるので、暗号装置#1発暗号装置#2宛の暗号文データを暗号装置#2へ転送する。暗号装置#1発暗号装置#2宛の暗号文データは、暗号装置#2へ届く。暗号装置#1発暗号装置#2宛の暗号文データを受信した暗号装置#2は、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#2における暗号文データを平文へ復号する動作の詳細については、この後、説明するサーバ#1発端末#1宛のデータによる暗号通信の暗号装置#1での復号時の動作と同様なので、暗号装置#1の復号時の動作で説明する。
次に図27においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図30を用いて説明する。図32のフローチャートを参照して説明する。サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S3401)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信し、宛先が端末#1であるのでルータ#3宛に送る(S3402)。ルータ#4とルータ#3の中継経路上の暗号装置#2は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#2発暗号装置#1宛の暗号文としてルータ#4宛へ送信する(S3403)。この時の暗号装置#2の暗号処理は、図29の端末#1発サーバ#1宛の暗号文データ生成時の暗号装置#1の動作と同様の処理を行なう。暗号装置#2発暗号装置#1宛の暗号文データは、ルータ#4へ届く。
暗号装置#2発暗号装置#1宛の暗号文データを受信したルータ#4は、宛先のIPアドレスが暗号装置#1宛であるので、ルータ#6へ転送する。暗号装置#2発暗号装置#1宛の暗号文データはルータ#6、公衆網#2、ルータ#5経由してルータ#1へ転送される(S3404)。暗号装置#2発暗号装置#1宛の暗号文データを受信したルータ#1は、宛先のIPアドレスが暗号装置#1宛であるので、暗号装置#2発暗号装置#1宛の暗号文データを暗号装置#1へ転送する(S3405)。暗号装置#2発暗号装置#1宛の暗号文データは暗号装置#1へ届く。
暗号装置#1はLANport0(21)で暗号装置#2発暗号装置#1宛の暗号文データを受信する(S3406)。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して暗号装置#2発暗号装置#1宛の暗号文データを受信する(S3407)。平文port/暗号port判定ブロック25は、図3のSPDを検索し、送信元IPアドレスが暗号装置#2と一致し、ESPヘッダ内のSPI番号が20001に一致して復号の対象と認定する。一致した情報から該当するアルゴリズム種別と鍵を得る(S3408)。平文port/暗号port判定ブロック25は、暗号装置#1が代替ルートの通信モードで動作しているので、暗号の代替ルートであるport0から暗号文を受信しても異常とはせずに処理する(S3409)。復号/デカプセル処理ブロック30へ暗号装置#2発暗号装置#1宛の暗号文データを渡す(S3410)。
暗号装置#2発暗号装置#1宛の暗号文データを受け取った復号/デカプセル処理ブロック30は、復号処理を施す。
復号/デカプセル処理ブロック30は暗号装置#2発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S3411)。復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S3412)。
サーバ#1発端末#1宛の平文データを渡された平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図28(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のMACアドレスに該当するMACアドレス#R1−MACを宛先MACアドレスに設定し、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを送信元MACアドレスに設定する(S3413)。平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S3414)。
平文側MACアドレス解決ブロック31が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、平文側MACアドレス解決ブロック31は、宛先端末へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport0から送信し、宛先端末からのARPレスポンスを受信し、宛先端末のMACアドレスへ平文データを送信する。ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S3415)。ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する(S3416)。端末#1はサーバ#1発端末#1宛の平文データを受信する。
図27の代替ルートによる暗号通信している状態で、正常ルートの異常が修復し正常に戻った場合は、暗号装置#1は、図27の代替ルートから図26の正常ルートの通信モードでの動作に変わり、暗号装置#1の平文port/暗号port判定ブロック25は、暗号文ネットワークへの送信を正常ルートであるLANport1を経由してルータ#2宛てへ暗号文を送信し、暗号文の受信については正常ルートであるルータ#2経由でLANport1から暗号文を受信する。
LANのportに対して平文ネットワーク/暗号文ネットワーク種別を決定する方法は、実施の形態1の方法を用いたが、実施の形態2の方法を用いても同じ効果を得る。また、LANのportに対して平文ネットワーク/暗号文ネットワーク種別の設定は、事前に予め設定しておいて、固定で動作しても同じ効果を得る。以上のように、リピータ型暗号装置間の暗号通信路に異常があり通信できない場合に、平文ネットワークを経由して、リピータ型暗号装置間で暗号通信を可能にする暗号装置を得ることができる。
実施の形態4.
図33〜図38を参照して実施の形態3を説明する。図37、図38は以下に説明する動作説明に使用するフローチャートである。また、上記の実施の形態1〜3で用いた図も使用して説明を行う。
以上の実施の形態3では、リピータ型暗号装置において、障害発生時、暗号装置が暗号通信路のルートの宛先を暗号文ネットワーク側のルータから反対側の平文ネットワーク側のルータへ変更して通信経路を切り替える時の暗号装置の実施例を記述したが、通信経路ごとに通信相手の暗号装置が2台それぞれ別々に存在する場合のリピータ型暗号装置の動作の実施の形態を示す。実施の形態4では、暗号文ネットワークの通信経路に異常がある時は予め動作が設定された動作モードである暗号文ネットワーク異常発生モードで動作する暗号装置に関する。
図1はこの発明の実施の形態4の暗号装置であり、実施の形態1と同一である。図6は、図34のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。図7は、図34のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図であり、実施の形態1と同一である。点線の矢印は、データの流れを示している。図11は、暗号文の形式であり、実施の形態1と同一である。
図28は、暗号装置#1で学習したルータのMACアドレスと接続LANポートの情報である。ルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報は、事前に設定されている。ルータのMACアドレス情報と接続LANポートの情報は、事前には設定されておらず、LANport0とLANport1よりルータからのデータを受信した時に学習する。ルータのIPアドレスには、ルータ#1のIPアドレスであるIPアドレス#R1とルータ#2のIPアドレスであるIPアドレス#R2であり、平文ネットワーク/暗号文ネットワーク種別には、平文ネットワーク・暗号代替ルートと暗号文ネットワークが設定されている。
図29は、図35のネットワーク構成で図1のリピータ型暗号装置における暗号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。図30は、図35のネットワーク構成で図1のリピータ型暗号装置における復号時のデータの処理の流れを示した図である。点線の矢印は、データの流れを示している。図33は暗号装置を適用した時のネットワーク構成図である。図においてサーバ#1はアプリケーションサービスを提供するサーバ、端末#1と端末#2と端末#3はクライアント機能を持つ端末であり、ルータ#1とルータ#2とルータ#3とルータ#4とルータ#5とルータ#6はIPルータでありルータの両側ではIPサブネットが異なって設定される。ルータ#2とルータ#3の間は公衆網#1を介して接続される。ルータ#5とルータ#6の間は公衆網#2を介して接続される。暗号装置#1と暗号装置#2と暗号装置#4はリピータ型暗号装置であり、暗号装置#1と暗号装置#2間は暗号文ネットワークの区間であり、暗号装置#1と端末#1、端末#2、端末#3間の間は平文ネットワークである。暗号装置#2とサーバ#1間は平文ネットワークである。ルータ#1とルータ#4間の通信網は、ルータ#1から暗号装置#1、ルータ#2、公衆網#1、ルータ#3、暗号装置#2を経由してルータ#4とつながる経路(ルート)とルータ#5から公衆網#2、ルータ#6を経由して暗号装置#4とつながる代替経路(代替ルート)の2つの経路がある。
図34は、図33のネットワーク構成において、正常時の通信データの流れで、端末#1とサーバ#1間の暗号通信の図である。実践矢印は平文通信路、点線矢印は暗号通信路である。
図35は、図33のネットワーク構成において、異常時の通信データの流れで、端末#1とサーバ#1間の暗号通信の図である。実践矢印は平文通信路、点線矢印は暗号通信路である。
図36は暗号装置#1でのSPD(Security Parameter Database)(対象判定情報の一例)の設定であり、どの端末とどの端末の通信またはサーバと端末間の通信を暗号化の対象とするかの情報であり、平文ネットワークのIPアドレス、暗号文ネットワークのIPアドレス、対向の暗号装置のIPアドレス、障害時の対向の暗号装置のIPアドレス、ESP送信時のSPI番号、ESP受信時のSPI番号、アルゴリズム種別と鍵等のパラメータから成る。アルゴリズムには、暗号で用いるAESや3DES等の暗号アルゴリズム種別と暗号用の鍵の組み、データ改ざんチェック用のHMAC−SHA1 等のデータ改ざんチェック用の種別と鍵の組み等である。
次に動作について説明する。
暗号通信を開始する前に、暗号装置#1に図36に示すSPDを設定し、図28(a)に示す学習前のルータのIPアドレスと平文ネットワーク/暗号文ネットワーク種別を事前に設定する。
ルータ#1のIPアドレスであるIPアドレス#R1とルータ#2のIPアドレスであるIPアドレス#R2と平文ネットワーク/暗号文ネットワーク種別である平文ネットワーク・暗号代替ルートと暗号文ネットワークをそれぞれ設定しておく。図36と図28の情報は不揮発性メモリに書き込まれている。
暗号装置#2においても同様に、SPDの設定とルータ#3とルータ#4のIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報を事前に設定しておく。障害時の対向の暗号装置のIPアドレスの設定は、未登録の状態である0.0.0.0(IPv4アドレス)に設定する。暗号装置#4においても同様に、SPDの設定とルータ#3とルータ#4のIPアドレスと平文ネットワーク/暗号文ネットワーク種別の情報を事前に設定しておく。障害時の対向の暗号装置のIPアドレス設定は、未登録の状態である0.0.0.0(IPv4アドレス)に設定する。
図33のネットワーク構成では、ルータ#1には、宛先IPアドレスが暗号装置#4宛の場合は、ルータ#5宛へ中継するルーティング設定(経路設定)を事前にしておく。ルータ#4には、正常時、宛先IPアドレスが端末#1宛、端末#2宛、端末#3宛の場合は、ルータ#3宛へ中継するルーティング設定(経路設定)を事前にしておく。
暗号装置#1は、装置立ち上がり時、図28の暗号装置#1で学習したルータのMACアドレスと接続LANポート(学習前)の状態で立ち上がる。図33のネットワーク構成において、暗号装置#1は、LANport0とLANport1のリンクアップを検出すると、実施の形態1と同じ手順によりルータへARPリクエストを送信しARPレスポンスを受信することにより、ルータのMACアドレスと接続ポートを学習する。その結果、図28の暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)の表の状態となる。
次に、図34において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について説明する。暗号装置#1は通信モードを保持し、暗号文の送受信を暗号portで行う動作を正常ルートの動作モード、暗号文の送受信を平文portで行う動作を代替ルートの動作モードの二つの通信モードを切り分けて動作する。図34では暗号装置#1は、正常ルートの通信モードで動作する。暗号装置#1の平文port/暗号port判定ブロック25は、暗号文ネットワークへの送信を正常ルートであるLANport1を経由してルータ#2宛てへ暗号文を送信する。図34の端末#1発サーバ#1宛の通信データの中継については、ルータ#1が端末#1発サーバ#1宛の平文データをルータ#5へ転送せず、ルータ#2の経路に中継する点と、ルータ#4が端末#1発サーバ#1宛の平文データをルータ#6へ転送せず、サーバ#1の経路に中継する点を除けば、実施の形態1の図2の構成での手順と同じである。なお、実施の形態2の手順で動作してもよい。
図34においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について説明する。暗号装置#1は、正常ルートの通信モードで動作する。暗号装置#1の平文port/暗号port判定ブロック25は、平文ネットワークへの送信を正常ルートであるLANport0を経由してルータ#1宛てへ平文を送信する。図34のサーバ#1発端末#1宛の通信データの中継については、ルータ#1がサーバ#1発端末#1宛の平文データをルータ#5へ転送せず、端末#1の経路に中継する点と、ルータ#4がサーバ#1発端末#1宛の平文データをルータ#6へ転送せず、ルータ#3の経路に中継する点と、暗号装置#1内で平文ポートを参照する情報である図28の平文ネットワーク/暗号文ネットワーク種別の設定が、平文ネットワークから平文ネットワーク・暗号代替ルートの設定に変わっている点を除けば、実施の形態1の図2の構成での手順と同じである。なお、実施の形態2の手順で動作してもよい。
次に、図34のネットワーク構成において、暗号装置#1と暗号装置#2間での通信路において、通信できなくなった場合の動作について説明する。暗号装置#1と暗号装置#2間の異常を検出するには、暗号装置#1と暗号装置#2間でkeep alive(生き死に確認)の通信データの往復通信のタイムアウト検出や、人手による通信到達の確認により知ることができる。暗号装置#1は、暗号文ネットワークを通じての通信が不可能である場合、図34の暗号通信路を図35の暗号通信路に変更する。暗号装置#1は、代替ルートの通信モードで動作する。代替ルートでは、暗号装置#1と暗号装置#4の通信路を用いて暗号通信する。図34の正常ルートを図35の代替ルートに切り替えるには、ルータ#4がサーバ#1発端末#1宛の平文データをルータ#6宛てへ転送するように経路を変更する。
次に、図35において端末#1からサーバ#1宛のデータ通信時の暗号装置#1での暗号化について図29を用いて説明する。
図37のフローチャートを参照して説明する。端末#1は、サーバ#1宛の平文データをルータ#1を経由してサーバ#1宛のデータを送る(S4301)。端末#1発サーバ#1宛の平文データをルータ#1は、宛先がサーバ#1宛なのでルータ#5には送らず、ルータ#2宛へ送る(S4302)。
中継経路上の暗号装置#1は、LANport0(21)で端末#1発サーバ#1宛の平文データを受信する(S4303)。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して端末#1発サーバ#1宛の平文データを受信する(S4304)。平文port/暗号port判定ブロック25は、図36のSPD情報を検索し、端末#1発サーバ#1宛の平文データについて、送信元IPアドレスである端末#1が平文ネットワークのIPアドレスと一致し、宛先IPアドレスであるサーバ#1が暗号文ネットワークのIPアドレスと一致し、暗号化の対象に認定する(S4305)。暗号装置#1が代替ルートの通信モードで動作しているので、一致した情報により対向の暗号装置のIPアドレスが暗号装置#2、障害時の対向の暗号装置のIPアドレスが暗号装置#4、送信時に設定するESPヘッダのSPDの番号が18001、使用するアルゴリズム種別と鍵を決定する(S4306)。図28(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)」の情報に従い、端末#1発サーバ#1宛の平文データをLANport0から受信したので平文portから受信したと判断し(S4307)、暗号処理ブロック28へ端末#1発サーバ#1宛の平文データを渡す(S4308)。
端末#1発サーバ#1宛の平文データを渡された暗号処理ブロック28は、宛先IPアドレスが自装置宛で無いので、暗号/エンカプセル処理ブロック29へ端末#1発サーバ#1宛の平文データを渡す(S4309)。暗号/エンカプセル処理ブロック29は、端末#1発サーバ#1宛のIPヘッダを含む平文データを暗号し、データ改ざんチェック用のコードを生成しESPヘッダを生成し新規IPヘッダを付けて、端末#1発サーバ#1宛の暗号文データを暗号側MACアドレス解決ブロック32へ渡す(S4310)。暗号装置#1が代替ルートの通信モードで動作しているので、新規IPヘッダには、暗号装置#1発、障害時の対向の暗号装置のIPアドレスである暗号装置#4宛のIPヘッダを生成し、暗号装置#1は、暗号装置#4宛へ暗号文データを送信する。
暗号文データを渡された暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#4宛の暗号文データの宛先MACアドレスを解決するため、宛先である暗号装置#4のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、暗号装置#1が代替ルートの通信モードで動作しているので、図28の平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のMACアドレスであるMACアドレス#R1−MACを宛先のMACアドレスを、暗号装置#1発暗号装置#4宛の暗号文データの宛先MACアドレスに設定する。暗号側MACアドレス解決ブロック32は、暗号装置#1発暗号装置#4宛の暗号文データの送信元MACアドレスには暗号装置#1のMACアドレスを設定する(S4311)。暗号側MACアドレス解決ブロック32は暗号装置#1発暗号装置#4宛の暗号文データを平文port/暗号port判定ブロック25へ渡す(S4312)。
暗号装置#1発暗号装置#4宛の暗号文データを受け取った平文port/暗号port判定ブロック25は、暗号装置#1が代替ルートの通信モードで動作しているので、図28の平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のLANportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S4313)。暗号装置#1が送信した暗号装置#1発暗号装置#4宛の暗号文データの設定値を図11を用いて説明すると以下のようになる。MACヘッダ内の宛先MACアドレスには、ルータ#1のMACアドレスであるMACアドレス#R1−MACが設定され、MACヘッダ内の送信元MACアドレスには、暗号装置#1のMACアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の宛先IPアドレスには、暗号装置#4のIPアドレスが設定され、IPヘッダ(暗号文)内の暗号装置の送信元IPアドレスには、暗号装置#1のIPアドレスが設定され、ESPヘッダ内のSPI番号には、18001が設定され、IPヘッダ(平文)内の端末の宛先IPアドレスには、サーバ#1のIPアドレスが設定され、IPヘッダ(平文)内の端末の送信元IPアドレスには、端末#1のIPアドレスが設定されている。
暗号装置#1発暗号装置#4宛の暗号文データを受け取ったルータ#1は、宛先のIPアドレスが暗号装置#4宛であるので、暗号装置#1発暗号装置#4宛の暗号文データをルータ#5へ転送する(S4314)。暗号装置#1発暗号装置#4宛の暗号文データは、ルータ#5、公衆網#2、ルータ#6を経由して暗号装置#4へ届く。暗号装置#1発暗号装置#4宛の暗号文データを受信した暗号装置#4は、暗号文データを端末#1発サーバ#1宛の平文へ復号し、ルータ#4を経由してサーバ#1へ送信する。暗号装置#4における暗号文データを平文へ復号する動作の詳細については、実施の形態1の図2の構成における暗号通信の暗号装置#1での復号時の動作と同様である。
次に図35においてサーバ#1から端末#1宛のデータ通信時の暗号装置#1での復号について図30を用いて説明する。図38のフローチャートを参照して説明する。サーバ#1は、端末#1宛の平文データをルータ#4を経由して端末#1宛のデータを送る(S4401)。ルータ#4は、サーバ#1発端末#1宛の平文データを受信し、宛先が端末#1であるのでルータ#6宛に送る(S4402)。ルータ#4とルータ#6の中継経路上の暗号装置#4は、サーバ#1発端末#1宛の平文データを受信し、平文データを暗号文へ暗号化し、暗号装置#4発暗号装置#1宛の暗号文としてルータ#6宛へ送信する(S4403)。この時の暗号装置#4の暗号処理は、実施の形態1の図2の構成における端末#1発サーバ#1宛の暗号文データ生成時の暗号装置#1の動作と同様の処理を行なう。
暗号装置#4発暗号装置#1宛の暗号文データはルータ#6、公衆網#2、ルータ#5経由してルータ#1へ転送される(S4404)。暗号装置#4発暗号装置#1宛の暗号文データを受信したルータ#1は、宛先のIPアドレスが暗号装置#1宛であるので、暗号装置#4発暗号装置#1宛の暗号文データを暗号装置#1へ転送する(S4405)。暗号装置#4発暗号装置#1宛の暗号文データは暗号装置#1へ届く。暗号装置#1はLANport0(21)で暗号装置#4発暗号装置#1宛の暗号文データを受信する(S4406)。平文port/暗号port判定ブロック25はport0送受信ブロック23を経由して暗号装置#4発暗号装置#1宛の暗号文データを受信する(S4407)。平文port/暗号port判定ブロック25は、図36のSPDを検索し、暗号装置#1が代替ルートの通信モードで動作しているので、送信元IPアドレスである暗号装置#4が障害時の対向の暗号装置のIPアドレスと一致し、ESPヘッダ内のSPI番号が28001に一致して、該当するアルゴリズム種別と鍵を得る(S4408)。平文port/暗号port判定ブロック25は、暗号装置#1が代替ルートの通信モードで動作しているので、暗号の代替ルートであるport0から暗号文を受信しても異常とはせずに処理する(S4409)。復号/デカプセル処理ブロック30へ暗号装置#4発暗号装置#1宛の暗号文データを渡す(S4410)。暗号装置#4発暗号装置#1宛の暗号文データを受け取った復号/デカプセル処理ブロック30は、復号処理を施す。復号/デカプセル処理ブロック30は暗号装置#4発暗号装置#1宛の暗号文データを復号しサーバ#1発端末#1宛の平文データを取り出し、復号処理ブロック27へ渡す(S4411)。復号処理ブロック27は、復号/デカプセル処理ブロック30から平文データを渡されたので、宛先IPアドレスが自装置宛でないことを確認し、平文側MACアドレス解決ブロック31へサーバ#1発端末#1宛の平文データを渡す(S4412)。
サーバ#1発端末#1宛の平文データを渡された平文側MACアドレス解決ブロック31は、サーバ#1発端末#1宛の宛先MACアドレスと送信元MACアドレスを解決するため、宛先である端末#1のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属していないことを確認し、図28(b)の「暗号装置#1で学習したルータのMACアドレスと接続LANポート(図26と図27と図34と図35のネットワーク構成、学習後)」の情報に従い、平文ネットワーク/暗号文ネットワーク種別が平文ネットワーク・暗号代替ルートであるルータ#1のMACアドレスに該当するMACアドレス#R1−MACを宛先MACアドレスに設定し、平文ネットワーク/暗号文ネットワーク種別が暗号文ネットワークであるルータ#2のMACアドレスに該当するMACアドレス#R2−MACを送信元MACアドレスに設定する(S4413)。平文側MACアドレス解決ブロック31はサーバ#1発端末#1宛の平文データを平文port/暗号port判定ブロック25へ渡す(S4414)。
平文側MACアドレス解決ブロック31が宛先MACアドレスを解決する時、宛先である暗号装置のIPアドレスが暗号装置#1のIPアドレスと同一のIPサブネットに属している場合は、平文側MACアドレス解決ブロック31は、宛先端末へのARPリクエストを平文port/暗号port判定ブロック25を経由して、LANport0から送信し、宛先端末からのARPレスポンスを受信し、宛先端末のMACアドレスへ平文データを送信する。ARPレスポンスを受信した時はIPアドレスとMACアドレスの組を学習し、いわゆるARPキャッシュの機構を備える。サーバ#1発端末#1宛の平文データを受け取った平文port/暗号port判定ブロック25は、平文ネットワークのportであるport0送受信ブロック23を経由してルータ#1宛へ送信する(S4415)。ルータ#1は、サーバ#1発端末#1宛の平文データを端末#1に中継する(S4416)。端末#1はサーバ#1発端末#1宛の平文データを受信する。
図35の代替ルートによる暗号通信している状態で、正常ルートの異常が修復し正常に戻った場合は、暗号装置#1は、図35に示す代替ルートから図34の正常ルートの通信モードでの動作に変わり、暗号装置#1の平文port/暗号port判定ブロック25は、暗号文の宛先IPアドレスを暗号装置#2宛に設定し暗号文ネットワークへの送信を正常ルートであるLANport1を経由してルータ#2宛てへ暗号文を送信し、暗号文の受信については正常ルートであるルータ#2経由でLANport1から暗号文の送信元のIPアドレスが暗号装置#2である暗号文を受信する。
LANのportに対して平文ネットワーク/暗号文ネットワーク種別を決定する方法は、実施の形態1の方法を用いたが、実施の形態2の方法を用いても同じ効果を得る。また、LANのportに対して平文ネットワーク/暗号文ネットワーク種別の設定は、事前に予め設定しておいて、固定で動作しても同じ効果を得る。
以上のように、リピータ型暗号装置間の暗号通信路に異常があり通信できない場合に、平文ネットワークを経由して、リピータ型暗号装置間で暗号通信を可能にする暗号装置を得ることができる。
実施の形態5.
次に図39を参照して、実施の形態5を説明する。実施の形態5は、暗号装置の一連の動作を、方法、プログラム、プログラムを記録したコンピュータ読み取り可能な記録媒体として把握した場合の実施の形態である。
以上の実施の形態1〜実施の形態4では、暗号装置について説明した。実施の形態1〜実施の形態4のデータ暗号装置の構成要素である各ブロックのの一連の動作は互いに関連しており、この一連の動作を、暗号装置が行う方法として把握することも可能である。また、これらの一連の動作をコンピュータに実行させる処理として把握することで、コンピュータに実行させるプログラムとして把握することができる。
図39は、コンピュータである暗号装置のハードウェア資源の一例を示す図である。
図39において、暗号装置は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM811(Read Only Memory)、RAM812(Random Access Memory)、通信ボード816、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、フラッシュメモリ、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM812は、揮発性メモリの一例であり、ROM811、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。ROM811には、暗号装置のMACアドレス、あるいはルータ設定情報(学習前)が格納されている。ROM811、RAM812、磁気ディスク装置820には、以上の実施の形態で説明した「ルータ設定情報」、SPD情報が記憶される。
通信ボード816は、他の装置との間で通信を行う。通信ボード816は、LANの物理インタフェースを2つ持つ。
磁気ディスク装置820には、オペレーティングシステム821(OS)、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821により実行される。
上記プログラム群823には、以上の実施の形態1〜実施の形態4の説明において「〜ブロック」として述べた機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
ファイル群824には、上記の実施の形態で述べた「〜の判定結果」、「〜の決定結果」、「〜の抽出結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以上で述べた実施の形態の説明において「〜ブロック」として説明したものは、「〜回路」、「〜装置」、「〜機器」、「手段」、「〜部」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜ブロック」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上の説明で述べた「〜ブロック」としてコンピュータを機能させるものである。
以上の実施の形態では、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置において、以下の処理ブロックを備えた暗号装置を説明した。
(a)LANのリンクアップを検出すると、平文ネットワーク側に位置するルータと暗号文ネットワーク側に位置するルータへ存在を確認するデータをそれぞれ送信し、平文ネットワーク側に位置するルータから応答があった場合は、応答のあったLANのポートを平文ネットワークと決定し、暗号文ネットワーク側に位置するルータから応答があった場合は、応答のあったLANのポートを暗号文ネットワークと決定する平文port/暗号port判定ブロック;
(b)平文ネットワークから受信した平文データを暗号処理ブロックへ渡す平文port/暗号port判定ブロック;
(c)平文ネットワークから受信した平文データの宛先IPアドレス(Internet Protocol アドレス)が自装置のIPアドレスと一致し無いことを確認して暗号/エンカプセル処理へ渡す暗号処理ブロック;
(d)平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(Internet Protocol ヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う暗号/エンカプセル処理ブロック;
(e)暗号/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、暗号文ネットワーク側に位置する経路上の装置を宛先MACアドレスとするMACヘッダ(Media Access Control ヘッダ)を設定して平文port/暗号port判定ブロックへ暗号文データを渡す暗号側MACアドレス解決ブロック;
(f)暗号した暗号文データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する平文port/暗号port判定ブロック;
(g)暗号文ネットワークから受信した暗号文データを復号/デカプセル処理ブロックへ渡す平文port/暗号port判定ブロック;
(h)暗号文ネットワークから受信した暗号文データを平文データに復号すると共に、当該平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行う復号/デカプセル処理ブロック;
(i)復号/デカプセル処理ブロックで復号した平文内のIPヘッダに基づいて、宛先IPアドレスが自装置のIPアドレスと一致し無いことを確認して復号/エンカプセル処理へ渡す復号処理ブロック;
(j)復号/デカプセル処理ブロックで復号した平文内のIPヘッダに基づいてMACヘッダを設定して平文port/暗号port判定ブロックへ平文データを渡す平文側MACアドレス解決ブロック;
(k)復号した平文データを上記暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する平文port/暗号port判定ブロック;
(l)LANのリンクダウンを検出すると、LANのリンクアップ時に学習したLANのポートが平文ネットワークと暗号文ネットワークのどちらかであったかの情報を消去する平文port/暗号port判定ブロック。
以上の実施の形態では、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置において、以下の処理ブロックを備えた暗号装置を説明した。
(a)LANのportから受信した平文データを、アドレスと他の暗号装置との予め定められた対応関係に基づいて暗号の対象とするデータであると判断した場合は、受信したLANのportを平文ネットワークと決定し、平文データを受信しないLANのportを暗号文ネットワークと決定し、平文データを暗号処理ブロックへ渡す平文port/暗号port判定ブロック;
(b)平文ネットワークから受信した平文データの宛先IPアドレスが自装置のIPアドレスと一致し無いことを確認して暗号/エンカプセル処理へ渡す暗号処理ブロック;
(c)平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダに設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う暗号/エンカプセル処理ブロック;
(d)暗号/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、暗号文ネットワーク側に位置する経路上の装置を宛先MACアドレスとするMACヘッダ(Media Access Control ヘッダ)を設定して平文port/暗号port判定ブロックへ暗号文データを渡す暗号側MACアドレス解決ブロック;
(e)暗号した暗号文データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する平文port/暗号port判定ブロック;
(g)LANのportから受信した暗号文データを、アドレスと他の暗号装置との予め定められた対応関係に基づいて復号の対象とするデータであると判断した場合は、受信したLANのportを暗号文ネットワークと決定し、暗号文データを受信しないLANのportを平文ネットワークと決定し、暗号文データを復号/デカプセル処理ブロックへ渡す平文port/暗号port判定ブロック;
(h)暗号文ネットワークから受信した暗号文データを平文データに復号すると共に、当該平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行う復号/デカプセル処理ブロック;
(i)復号/デカプセル処理ブロックで復号した平文内のIPヘッダに基づいて、宛先IPアドレスが自装置のIPアドレスと一致し無いことを確認して復号/エンカプセル処理へ渡す復号処理ブロック;
(j)復号/デカプセル処理ブロックで復号した平文内のIPヘッダに基づいてMACヘッダを設定して平文port/暗号port判定ブロックへ平文データを渡す平文側MACアドレス解決ブロック;
(k)復号した平文データを上記暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する平文port/暗号port判定ブロック;
(l)LANのリンクダウンを検出すると、LANのリンクアップ時に学習したLANのポートが平文ネットワークと暗号文ネットワークのどちらかであったかの情報を消去する平文port/暗号port判定ブロック。
以上の実施の形態では、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置において、以下の処理ブロックを備えた暗号装置を説明した。
(a)暗号装置間の暗号文ネットワークの通信経路に異常がある時は、暗号した暗号文データを暗号ネットワークへは送信せず、平文を受信した平文ネットワークと同一の平文ネットワークへ暗号文データを送信し、平文ネットワークから受信した暗号文データを異常とはせずに暗号文ネットワークから受信した時と同様に復号/デカプセル処理ブロックへ渡す平文port/暗号port判定ブロック;
(b)暗号装置間の暗号文ネットワークの通信経路に異常がある時は、暗号/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、平文ネットワーク側に位置する経路上の装置を宛先MACアドレスとするMACヘッダを設定して平文port/暗号port判定ブロックへ暗号文データを渡す暗号側MACアドレス解決ブロック。
以上の実施の形態では、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置において、以下の処理ブロックを備えた暗号装置を説明した。
(a)暗号装置間の暗号文ネットワークの通信経路に異常がある時は、宛先の暗号装置を代替経路上の暗号装置宛に変更し、暗号した暗号文データを暗号ネットワークへは送信せず、平文を受信した平文ネットワークと同一の平文ネットワークへ暗号文データを送信し、平文ネットワークから受信した暗号文データを異常とはせずに、代替経路上の暗号装置が発信した暗号文データを復号/デカプセル処理ブロックへ渡す平文port/暗号port判定ブロック;
(b)暗号装置間の暗号文ネットワークの通信経路に異常がある時は、暗号/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、平文ネットワーク側に位置する経路上の装置を宛先MACアドレスとするMACヘッダを設定して平文port/暗号port判定ブロックへ暗号文データを渡す暗号側MACアドレス解決ブロック。
実施の形態1における暗号装置100の構成図。 実施の形態1におけるネットワーク構成図。 実施の形態1におけるSPD設定を示す図。 実施の形態1における「ルータ設定情報」を示す図。 図2においてLANポートとルータ接続を反対にした図。 実施の形態1における暗号装置100の暗号処理時のデータの流れを示す図。 実施の形態1における暗号装置100の復号処理時のデータの流れを示す図。 実施の形態1における暗号装置100の自装置発データ処理時のデータの流れを示す図。 図5のネットワーク構成における暗号装置100の暗号処理時のデータの流れを示す図。 図5のネットワーク構成における暗号装置100の復号処理時のデータの流れを示す図。 実施の形態1における暗号文のデータ形式を示す図。 実施の形態1における暗号装置100のリンクアップ時の動作を示すフローチャート。 図6に対応する暗号化処理時のフローチャート。 図7に対応する復号処理時のフローチャート。 図8に対応する自装置発データ処理理時のフローチャート。 実施の形態1におけるLANケーブル差し替え時の暗号装置100の動作フローチャート。 実施の形態1の図9に対応する暗号化処理時のフローチャート。 実施の形態1の図10に対応する復号処理時のフローチャート。 実施の形態2における「ルータ設定情報」を示す図。 実施の形態2におけるLANケーブル差し替え前の暗号化処理時のデータの流れを示す図。 実施の形態2におけるLANケーブル差し替え前の復号処理時のデータの流れを示す図。 実施の形態2におけるLANケーブル差し替え時のフローチャート。 実施の形態2におけるLANケーブル差し替え後の暗号化処理時のデータの流れを示す図。 実施の形態2におけるLANケーブル差し替え後の復号処理時のデータの流れを示す図。 実施の形態3におけるネットワーク構成を示す図。 実施の形態3におけるネットワーク正常時の通信データの流れを示す図。 実施の形態3におけるネットワーク異常発生時の通信データの流れを示す図。 実施の形態3における「ルータ設定情報」を示す図。 実施の形態3における異常発生時における暗号装置内の暗号化処理時のデータの流れを示す図。 実施の形態3における異常発生時における暗号装置内の復号処理時のデータの流れを示す図。 実施の形態3の図29に対応する暗号化処理時のフローチャート。 実施の形態3の図30に対応する復号処理時のフローチャート。 実施の形態4におけるネットワーク構成を示す図。 実施の形態4におけるネットワーク正常時の通信データの流れを示す図。 実施の形態4におけるネットワーク異常発生時の通信データの流れを示す図。 実施の形態4におけるSPD設定を示す図。 実施の形態4の図34に対応する暗号化処理時のフローチャート。 実施の形態4の図35に対応する復号処理時のフローチャート。 実施の形態5における暗号装置のハードウェア構成を示す図。 従来技術を示す図。 従来技術を示す図。 従来技術を示す図。 従来技術を示す図。
符号の説明
1 端末機能ブロック、2 リピータ機能ブロック、21 LANport0、22 LANport1、23 port0送受信ブロック、24 port1送受信ブロック、25 平文port/暗号port判定ブロック、26 自局処理ブロック、27 復号処理ブロック、28 暗号処理ブロック、29 暗号/エンカプセル処理ブロック、30 復号/デカプセル処理ブロック、31 平文側MACアドレス解決ブロック、32 暗号側MACアドレス解決ブロック、33 格納部、100 暗号装置。

Claims (10)

  1. 平文ネットワークと暗号文ネットワークとの間に配置され、前記平文ネットワークから受信した平文データの暗号化と前記暗号文ネットワークから受信した暗号化データの復号とを実行する暗号装置において、
    ルータと接続可能な第1LAN(Local Area Network)ポートと、
    ルータと接続可能な第2LANポートと、
    平文ネットワーク側に位置する第1ルータと暗号文ネットワーク側に位置する第2ルータとの各ルータに対して、平文ネットワーク側と暗号文ネットワーク側とのどちらに位置するかを示すネットワーク種別と、IP(Internet Protocol)アドレスとが予め設定されたルータ設定情報を格納するルータ設定情報格納部と、
    前記第1LANポートあるいは前記第2LANポートのいずれかのポートがリンクアップすると前記リンクアップを検出し、前記リンクアップを検出すると前記ルータ設定情報に設定されている前記第1ルータのIPアドレスを含むARP(Address Resolution Protocol)リクエストと前記ルータ設定情報に設定されている前記第2ルータのIPアドレスを含むARPリクエストとを前記リンクアップの検出された前記ポートから送信し、前記ARPリクエストに対して送信元のIPアドレスとMAC(Media Access Control address)アドレスとを含むARPレスポンスを受信した場合には、前記ルータ設定情報の前記IPアドレスのうち前記ARPリクエストに含まれる前記IPアドレスに一致する前記IPアドレスに対して前記MACアドレスと前記ARPレスポンスを受信した前記ポートを示すポート識別情報とを前記ルータ設定情報において新たに設定するポート判定部と
    を備えたことを特徴とする暗号装置。
  2. 前記ポート判定部は、
    前記第1LANポートあるいは前記第2LANポートのいずれかのポートがリンクダウンすると前記リンクダウンを検出し、前記ルータ設定情報から前記リンクダウンの検出された前記ポートの前記ポート識別情報と前記ポート識別情報に対応して設定された前記前記MACアドレスとを消去することを特徴とする請求項1記載の暗号装置。
  3. 平文ネットワークと暗号文ネットワークとの間に配置され、前記平文ネットワークから受信した平文データの暗号化と前記暗号文ネットワークから受信した暗号化データの復号とを実行する暗号装置において、
    ルータと接続可能な第1LAN(Local Area Network)ポートと、
    ルータと接続可能な第2LANポートと、
    平文ネットワーク側に位置する第1ルータと暗号文ネットワーク側に位置する第2ルータとの各ルータに対して、平文ネットワーク側と暗号文ネットワーク側とのどちらに位置するかを示すネットワーク種別と、IP(Internet Protocol)アドレスとが予め設定されたルータ設定情報を格納するルータ設定情報格納部と、
    前記第1LANポートあるいは前記第2LANポートを介して受信されたデータが暗号化と復号とのいずれの対象となるかの判定に使用される対象判定情報を格納する対象判定情報格納部と、
    前記第1LANポートあるいは前記第2LANポートを介して前記データを受信し、前記対象判定情報を参照することにより受信した前記データが暗号化と復号とのいずれの対象となるかを判定し、暗号化対象と判定した場合には前記ルータ設定情報において前記第1ルータに対して前記データを受信したポートを示すポート識別情報を設定すると共に前記第2ルータに対して前記データを受信していないポートの前記ポート識別情報を設定し、復号対象と判定した場合には前記ルータ設定情報において前記第2ルータに対して前記データを受信したポートのポート識別情報を設定すると共に前記第1ルータに対して前記データを受信していないポートの前記ポート識別情報を設定するポート判定部と
    を備えたことを特徴とする暗号装置。
  4. 前記暗号装置は、さらに、
    受信された前記データが暗号化対象の場合には前記ルータ設定情報に設定されている前記第1ルータのIPアドレスを含むARP(Address Resolution Protocol)リクエストを前記データの受信ポートから送信すると共に前記ARPリクエストに対して送信元のIPアドレスとMAC(Media Access Control address)アドレスとを含むARPレスポンスを前記受信ポートを介して受信した場合には前記ルータ設定情報の前記IPアドレスのうち前記ARPリクエストに含まれる前記IPアドレスに一致する前記IPアドレスに対して前記MACアドレスを設定し、受信された前記データが復号対象の場合には前記ルータ設定情報に設定されている前記第2ルータのIPアドレスを含むARPリクエストを前記データの受信ポートから送信すると共に前記ARPリクエストに対して送信元のIPアドレスとMACアドレスとを含むARPレスポンスを前記受信ポートを介して受信した場合には前記ルータ設定情報の前記IPアドレスのうち前記ARPリクエストに含まれる前記IPアドレスに一致する前記IPアドレスに対して前記MACアドレスを設定するアドレス解決部を備えたことを特徴とする請求項3記載の暗号装置。
  5. 前記ポート判定部は、
    前記第1LANポートあるいは前記第2LANポートのいずれかのポートがリンクダウンすると前記リンクダウンを検出し、前記ルータ設定情報から前記リンクダウンの検出された前記ポートの前記ポート識別情報と前記ポート識別情報に対応して設定された前記前記MACアドレスとを消去することを特徴とする請求項4記載の暗号装置。
  6. 前記暗号装置は、
    前記暗号文ネットワークの通信経路に異常がある時は予め動作が設定された動作モードである暗号文ネットワーク異常発生モードで動作すると共に、前記暗号文ネットワーク異常発生モードでは、前記平文データをもとに暗号化された前記暗号文データを前記暗号ネットワーク側に送信することなく前記平文データを受信した前記平文ネットワーク側に前記暗号文データを送信すると共に、前記平文ネットワーク側から前記暗号文データを受信した場合には異常と判定することなく復号処理を実行することを特徴とする請求項1または3のいずれかに記載の暗号装置。
  7. 前記暗号装置は、
    前記暗号文ネットワークの通信経路に異常がある時は予め動作が設定された動作モードである暗号文ネットワーク異常発生モードで動作すると共に、前記暗号文ネットワーク異常発生モードでは、暗号化データの宛先となる他の暗号装置のIPアドレスに予め保有するIPアドレスであって代替経路上の暗号装置のIPアドレスを設定して前記暗号文データを前記暗号ネットワーク側に送信することなく前記平文データを受信した前記平文ネットワーク側に前記暗号文データを送信すると共に、前記平文ネットワーク側から前記暗号文データを受信した場合には異常と判定することなく復号処理を実行することを特徴とする請求項1または3記載のいずれかに記載の暗号装置。
  8. 平文ネットワークと暗号文ネットワークとの間に配置されると共に、ルータと接続可能な第1LAN(Local Area Network)ポートと、ルータと接続可能な第2LANポートとを備え、前記平文ネットワークから受信した平文データの暗号化と前記暗号文ネットワークから受信した暗号化データの復号とを実行するコンピュータである暗号装置を、
    平文ネットワーク側に位置する第1ルータと暗号文ネットワーク側に位置する第2ルータとの各ルータに対して、平文ネットワーク側と暗号文ネットワーク側とのどちらに位置するかを示すネットワーク種別と、IP(Internet Protocol)アドレスとが予め設定されたルータ設定情報を格納するルータ設定情報格納部、
    前記第1LANポートあるいは前記第2LANポートのいずれかのポートがリンクアップすると前記リンクアップを検出し、前記リンクアップを検出すると前記ルータ設定情報に設定されている前記第1ルータのIPアドレスを含むARP(Address Resolution Protocol)リクエストと前記ルータ設定情報に設定されている前記第2ルータのIPアドレスを含むARPリクエストとを前記リンクアップの検出された前記ポートから送信し、前記ARPリクエストに対して送信元のIPアドレスとMAC(Media Access Control address)アドレスとを含むARPレスポンスを受信した場合には、前記ルータ設定情報の前記IPアドレスのうち前記ARPリクエストに含まれる前記IPアドレスに一致する前記IPアドレスに対して前記MACアドレスと前記ARPレスポンスを受信した前記ポートを示すポート識別情報とを前記ルータ設定情報において新たに設定するポート判定部、
    として機能させることを特徴とするプログラム。
  9. 平文ネットワークと暗号文ネットワークとの間に配置されると共に、ルータと接続可能な第1LAN(Local Area Network)ポートと、ルータと接続可能な第2LANポートとを備え、前記平文ネットワークから受信した平文データの暗号化と前記暗号文ネットワークから受信した暗号化データの復号とを実行するコンピュータである暗号装置を、
    平文ネットワーク側に位置する第1ルータと暗号文ネットワーク側に位置する第2ルータとの各ルータに対して、平文ネットワーク側と暗号文ネットワーク側とのどちらに位置するかを示すネットワーク種別と、IP(Internet Protocol)アドレスとが予め設定されたルータ設定情報を格納するルータ設定情報格納部、
    前記第1LANポートあるいは前記第2LANポートを介して受信されたデータが暗号化と復号とのいずれの対象となるかの判定に使用される対象判定情報を格納する対象判定情報格納部、
    前記第1LANポートあるいは前記第2LANポートを介して前記データを受信し、前記対象判定情報を参照することにより受信した前記データが暗号化と復号とのいずれの対象となるかを判定し、暗号化対象と判定した場合には前記ルータ設定情報において前記第1ルータに対して前記データを受信したポートを示すポート識別情報を設定すると共に前記第2ルータに対して前記データを受信していないポートの前記ポート識別情報を設定し、復号対象と判定した場合には前記ルータ設定情報において前記第2ルータに対して前記データを受信したポートのポート識別情報を設定すると共に前記第1ルータに対して前記データを受信していないポートの前記ポート識別情報を設定するポート判定部、
    として機能させることを特徴とするプログラム。
  10. 請求項8または9のいずれかに記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2008308468A 2008-12-03 2008-12-03 暗号装置及びプログラム及び記録媒体 Pending JP2010135979A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008308468A JP2010135979A (ja) 2008-12-03 2008-12-03 暗号装置及びプログラム及び記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008308468A JP2010135979A (ja) 2008-12-03 2008-12-03 暗号装置及びプログラム及び記録媒体

Publications (1)

Publication Number Publication Date
JP2010135979A true JP2010135979A (ja) 2010-06-17

Family

ID=42346836

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008308468A Pending JP2010135979A (ja) 2008-12-03 2008-12-03 暗号装置及びプログラム及び記録媒体

Country Status (1)

Country Link
JP (1) JP2010135979A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016025478A (ja) * 2014-07-18 2016-02-08 セイコーソリューションズ株式会社 中継装置、中継方法、及び中継プログラム
US9942443B2 (en) 2015-03-20 2018-04-10 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016025478A (ja) * 2014-07-18 2016-02-08 セイコーソリューションズ株式会社 中継装置、中継方法、及び中継プログラム
US9942443B2 (en) 2015-03-20 2018-04-10 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium
US10547764B2 (en) 2015-03-20 2020-01-28 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium

Similar Documents

Publication Publication Date Title
JP6518771B2 (ja) セキュリティシステム、通信制御方法
JP5641444B2 (ja) ネットワークシステム、及びネットワーク冗長化方法
US8615604B2 (en) Information processing apparatus, information processing system and computer readable medium for maintaining communication while IP addresses change
EP2362586B1 (en) System and method for data communication between a user terminal and a gateway via a network node
US20110231659A1 (en) Out-of-Band Session Key Information Exchange
JP4764368B2 (ja) 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム
JP5270692B2 (ja) セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム
EP2827551A2 (en) Communication method, communication apparatus and communication program
WO2003063444A1 (en) Method for sending messages over secure mobile communication links
CN101106454A (zh) 发起互联网密钥交换协商的方法和设备
JP2010135979A (ja) 暗号装置及びプログラム及び記録媒体
EP1343274B1 (en) Communications system and communications method for transmitting data via a plurality of access points
JP7028543B2 (ja) 通信システム
JP2008060747A (ja) レイヤ2負荷分散システム、レイヤ2負荷分散装置及びそれらに用いるレイヤ2負荷分散方法
JP2016015676A (ja) 監視装置、監視システム、および、監視方法
JP4731428B2 (ja) 監視装置、及び受信装置
JP4421462B2 (ja) 不正侵入検知システムおよび管理装置
JP4260658B2 (ja) Vpn装置および不正検知システム
JP7114769B2 (ja) 通信システム
Chakravarty et al. Towards practical infrastructure for decoy routing (positional paper)
JP6396831B2 (ja) 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ
Bernardo et al. Empirical survey: Experimentation and implementations of high speed protocol data transfer for grid
JP4844437B2 (ja) ルータ装置
EP2891290B1 (en) Communication system
JP5149740B2 (ja) 中継端末および通信システム