JP2016178392A - 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ - Google Patents

暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ Download PDF

Info

Publication number
JP2016178392A
JP2016178392A JP2015055581A JP2015055581A JP2016178392A JP 2016178392 A JP2016178392 A JP 2016178392A JP 2015055581 A JP2015055581 A JP 2015055581A JP 2015055581 A JP2015055581 A JP 2015055581A JP 2016178392 A JP2016178392 A JP 2016178392A
Authority
JP
Japan
Prior art keywords
address
communication device
terminal
encryption
encryption communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015055581A
Other languages
English (en)
Other versions
JP6396831B2 (ja
Inventor
博史 峯
Hiroshi Mine
博史 峯
修史 猪口
Shuji Inoguchi
修史 猪口
佳寛 林
Yoshihiro Hayashi
佳寛 林
亮 平兮
Ryo Heikei
亮 平兮
雅巳 平松
Masami Hiramatsu
雅巳 平松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015055581A priority Critical patent/JP6396831B2/ja
Publication of JP2016178392A publication Critical patent/JP2016178392A/ja
Application granted granted Critical
Publication of JP6396831B2 publication Critical patent/JP6396831B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】既設のネットワーク機器及び端末に暗号通信装置と暗号通信装置登録サーバを設置することで暗号化通信システムを実現する。
【解決手段】端末a20aからの通信を暗号化・復号化するための暗号通信装置a10a及び暗号通信装置登録サーバ30からなる通信暗号システムである。暗号通信装置aは、平文通信を行う平文ネットワークa50aにつながった端末aを検出する端末検出部102と、端末aと暗号通信装置aの対応関係を格納するローカルアドレステーブル107と、ローカルアドレステーブルを暗号ネットワーク40経由で暗号通信装置登録サーバに登録するためのサーバ登録部103と、暗号通信装置登録サーバが格納する端末aと暗号通信装置aの対応関係を暗号ネットワーク経由で問い合わせるサーバ問い合わせ部105を備える。
【選択図】図3

Description

本発明は計算機ネットワークにおける暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバに関する。
LAN(Local Area Network)やWAN(Wide Area Network)等の計算機によるネットワーク通信が広く用いられている。ネットワーク通信において企業などの機密性が高い情報を扱う場合には、情報漏えいを防止しつつネットワークを使用するための暗号化が必須であり、ネットワーク暗号化のための技術、および、ネットワークの暗号化を行う暗号通信装置が多数開発されている。しかし、ネットワークの暗号化を行うためには、暗号通信装置の設置に加え、既設のネットワーク機器の設定変更や暗号通信装置の設定が必要であり、導入の難易度が高いことが課題のひとつである。
暗号通信装置の設定を容易化する技術が、特許文献1に開示されている。特許文献1では、IP(Internet Protocol)アドレスとネットワーク暗号化技術の1つであるIPsecの設定を対応付けたテーブルを用意することで、IPアドレスを設定するのみでIPsecの設定を可能とし、暗号通信装置の設定を容易化している。
特開2009−200981710
暗号通信装置の設定は複雑であり、利用には困難が伴う。特に、既設のネットワーク機器や端末のネットワークアドレスやIPアドレス等の変更が必要となる場合があり、導入の障壁になっている。
そこで本発明は、既設ネットワーク機器の設定の変更を不要とすることにより、ネットワークの暗号化の導入を容易にすることを目的とする。
本発明は、端末と第一の暗号通信装置が平文ネットワークで接続され、第一の暗号通信装置及び第二の暗号通信装置が暗号ネットワークで接続された暗号システムであって 第一の暗号通信装置は、第二の暗号通信装置のアドレスと送付先端末のアドレスの対応関係を格納するローカルアドレステーブルと、
前記端末から平文データを受け取ったとき受け取った平文データの送信先端末のアドレスが前記ローカルアドレステーブルにあれば、受け取った平文データと送信先端末アドレスを暗号化し前記送信先端末に対応する第二の暗号通信装置のアドレスへ暗号化された平文データを送信する暗号化部を備えるシステムにより実現される。
第二の暗号通信装置は、受け取った暗号文を復号し復号された平文データを復号された送付先端末アドレスへ送付する復号化部を備えることを特徴とする暗号システム。
本発明により、暗号通信を実現するときに既設のネットワーク機器や端末の設定変更作業を軽減することが可能となる
実施例における本発明の暗号通信システムの全体構成例を示したブロック図である。 実施例における暗号通信システムにおける、計算機の構成例を示したブロック図である。 実施例における暗号通信装置のプログラムモジュール構成を示した図である。 実施例における暗号通信装置登録サーバのプログラムモジュール構成を示した図である。 実施例における暗号通信装置が備えるグローバルテーブルの例である。 実施例における暗号通信装置が備えるMACテーブルの例である。 実施例における暗号通信装置が備えるローカルテーブルの例である。 実施例における暗号通信装置の起動処理の流れを示すフローチャートの例である。 実施例における送信側暗号通信装置の処理を示すフローチャートの例である。 実施例における受信側暗号通信装置の処理を示すフローチャートの例である。 実施例における暗号通信装置のARP応答手順を示すフローチャートの例である。
本発明を実施するための形態について、以下に図面を用いて説明する。なお、各図面で同様の構成には同じ符号を付しその説明を省略する。
図1は、本発明の実施の形態の暗号通信システムの全体構成例を示している。本システムは、暗号通信装置a(10a)、暗号通信装置b(10b)、端末a(20a)、端末b(20b)、暗号通信装置登録サーバ30、暗号ネットワーク40、平文ネットワークa(50a)、平文ネットワークb(50b)で構成される。
暗号通信装置登録サーバ30は、通信インタフェースを備える計算機であり、例えば、WS(Workstation)、あるいは、PC(Personal Computer)であってもよい。暗号通信装置a(10a)、および、暗号通信装置b(10b)は、複数の通信インタフェースを備える計算期であり、例えば、ルータ装置であってもよい。本実施例では、暗号通信装置登録サーバ30は、暗号通信装置a(10a)および暗号通信装置b(10b)とは異なる装置として説明する。しかし、暗号通信装置a(10a)あるいは暗号通信装置b(10b)が暗号通信装置登録サーバ30を兼ねてもよい。端末a(20a)および端末b(20b)は、同様に通信インタフェースを備える計算機であり、ラップトップ型PCや携帯電話等のモバイル通信機器であってもよい。端末a(20a)および端末b(20b)は、同様に通信インタフェースを備える計算機であり、ラップトップ型PCや携帯電話等のモバイル通信機器であってもよい。
暗号ネットワーク40は、例えば、イーサネット(登録商標)上に構築したIPネットワークである。暗号ネットワーク40は、単一または複数のブロードキャストドメインで構成される。暗号ネットワーク40には、1台の暗号通信装置登録サーバ30のみが接続されるが、2台以上の暗号通信装置が接続されてもよい。
平文ネットワークa(50a)および平文ネットワークb(50b)は、同様にIPネットワークである。平文ネットワークa(50a)および平文ネットワークb(50b)は、それぞれ、1つのブロードキャストドメインからなる。平文ネットワークa(50a)には、暗号通信装置a(10a)と端末a(20a)が、平文ネットワークb(50b)には、暗号通信装置b(10b)と端末b(20b)が、それぞれ接続される。それぞれの平文ネットワークには、2台以上の端末が接続されてもよい。
暗号通信装置a(10a)および暗号通信装置b(10b)は、複数の通信インタフェースを備え、それぞれ、暗号ネットワーク40と平文ネットワークa(50a)を、暗号ネットワーク40と平文ネットワークb(50ba)を、ブリッジ接続する。
図2は本実施例の計算機、すなわち、暗号通信装置登録サーバ30、暗号通信装置a(10a)、および、暗号通信装置b(10b)の構成例を示す図である。各計算機は、演算処理を行うプロセッサ1001と、主記憶として機能するメモリ1002と、外部の装置と通信を行うための通信インタフェース1003と、ディスプレイ及びキーボードやマウスなどのユーザインタフェース装置1004と、補助記憶装置1005を備えており、これらは内部バス1006で相互に接続されている。各計算機は、また、時刻情報をプロセッサ1001に提供するための計時部1007を備える。
プロセッサ1001は、計算機の動作を統括的に制御する。メモリ1002は、RAM(Random Access Memory)やROM(Read Only Memory)等で構成され、プロセッサ1001が利用する各種プログラムやデータを記憶する。各種プログラムは、その一部または全部が補助記憶装置1005から適時メモリ1002にロードされてもよい。プロセッサ1001はメモリ1002に格納された各種プログラムを実行して、時計部1007等の他のハードウェア資源との協働により、各計算機における所定の処理を実現する。
図3は、本実施例の暗号通信装置、すなわち、暗号通信装置a(10a)および暗号通信装置b(10b)のプログラムモジュール構成を示す図である。ここでは、例として暗号通信装置a(10a)について示す。暗号通信装置a(10a)は、ルータ検出部101、端末検出部102、サーバ登録部103、MACテーブル104、サーバ問い合わせ部105、ARP代理応答部106、ローカルアドレステーブル107(以下ローカルテーブルと記載)、平文受信部108、暗号部109、平文送信部110、復号部111、ローカルアドレステーブル管理部112で構成されている。
ルータ検出部101は、暗号通信装置a(10a)のルーティングテーブルに記載されている暗号ネットワーク40を構成するルータ42にARP要求を送り、ルータ42からのARP応答を受け取り、そこに記載されるルータ42のMACアドレスをMACテーブル104に記録する。
端末検出部102は、平文ネットワークa(50a)に対して、PINGもしくはARPを送り、端末a(20a)が平文ネットワークa(50a)に接続されていることを検出する。平文ネットワークa(50a)は、1つのブロードキャストドメインからなるため、平文ネットワークa(50a)に接続された全ての端末は暗号通信装置a(10a)と同一のネットワークアドレスを持つ。このネットワークアドレスに属するすべてのIPアドレスに対してPINGあるいはARPを送信することにより、平文ネットワークa(50a)に接続された、端末a(20a)を含む全ての端末を検出することが可能である。また、平文ネットワークa(50a)に接続されたすべての端末がブロードキャストPINGに応答することが保障されている場合は、ブロードキャストPINGを用いることによって、端末を検出することも可能である。端末検出部102は、端末a(20a)を検出すると、検出された端末a(20a)のIPアドレスとMACアドレスをサーバ登録部103へ渡す。
サーバ登録部103は、端末検出部102から端末a(20a)のIPアドレスを受け取ると、暗号通信装置a(10a)自身のIPアドレスと端末a(20a)のIPアドレスとMACアドレスの組を、暗号通信装置登録サーバ30へ登録するための通信を行う。
MACテーブル104には、ルータ検出部101にて検出されたルータ42や、暗号ネットワーク40を介して接続された他の暗号通信装置に接続された端末、例えば、端末b(20b)の、IPアドレスとMACアドレスの組が記録される。
サーバ問い合わせ部105は、平文ネットワークa(50a)に接続された端末a(20a)から、暗号ネットワーク40を介して接続された端末、例えば、端末b(20b)に対する通信を行う際に必要となる、端末b(20b)が接続される暗号通信装置b(10b)のIPアドレスと端末b(20b)のIPアドレスの組を、暗号通信装置登録サーバ30に問い合わせる。問い合わせにより得られた暗号通信サーバb(10b)のIPアドレスと端末b(20b)のIPアドレスの組は、ローカルテーブル107にキャッシュとして記録される。
ARP代理応答部106は、端末a(20a)から、暗号ネットワーク40を介して接続された端末、例えば、端末b(20b)へ通信を行うためのARP要求に、通信先の端末の代理で応答する。ARP要求には、通信先の端末のIPアドレスが記載されている。IPアドレスが暗号通信装置a(10a)と同じネットワークアドレスを持つ場合、ARP代理応答部106は、MACテーブル104を検索し、IPアドレスに対応するMACアドレスを取得する。MACテーブル104に対応するエントリが無い場合は、サーバ問い合わせ部105を介して、暗号通信装置登録サーバ30より、IPアドレスに対応するMACアドレスを取得する。ARP代理応答部106は、得られたMACアドレスを、ARP応答として端末a(20a)に返す。IPアドレスが暗号通信装置a(10a)とは異なるネットワークアドレスを持つ場合、ARP代理応答部106は、MACテーブル104に格納されている、ルータ検出部101で取得したルータ42のMACアドレスを、ARP応答として端末a(20a)に返す。
ローカルテーブル107は、サーバ問い合わせ部105が、暗号通信装置登録サーバ30より取得した、暗号通信サーバのIPアドレスと端末のIPアドレスの組を、最終登録日時と合わせてローカルアドレステーブル管理部112経由で記録する。ローカルテーブル107はローカルアドレステーブル管理部によりメンテナンスされ、周期的にエントリの最終登録日時を確認し、古い内容を削除される。本実施例では、例えば、3分以上古いエントリは削除する。
平文受信部108は、平文ネットワークa(50a)を介して、端末a(20a)からの通信パケットを受信する。平文受信部108は、受信したパケットに含まれる通信先端末の宛先IPアドレスをサーバ問い合わせ部105に渡す。サーバ問い合わせ部105は、受け取ったIPアドレスを持つ端末が接続されている暗号通信装置の情報を取得するための問い合わせを、暗号通信装置登録サーバ30に送る。サーバ問い合わせ部105は、暗号通信装置登録サーバ30から、回答として、例えば、宛先IPアドレスを持つ端末b(20b)が接続されている暗号通信装置b(10b)のIPアドレスを受け取る。サーバ問い合わせ部105はこの暗号通信装置b(10b)のIPアドレスを平文受信部108へ返す。平文受信部108は、受信したパケットと、サーバ問い合わせ部105より受け取ったIPアドレスを暗号通信宛先IPアドレスとして暗号部109に渡す。
暗号部109は、平文受信部108より受け取ったパケットの暗号化を行い、暗号化したパケットを、暗号ネットワーク40を介して、暗号通信宛先IPアドレス、すなわち、暗号通信装置b(10b)に対して送信する。ここで、暗号部109による暗号化の対象は、イーサネット(登録商標)ヘッダとそれ以下のペイロード、すなわちIPヘッダ、トランスポート層のヘッダ、ペイロードである。また、暗号化に用いるアルゴリズムは、対向する暗号通信装置b(10b)が復号できるものであればよく、例えば、DES(Data Encryption Standard)やAES(Advanced Encryption Standard)であってもよい。
復号部111は、暗号ネットワーク40より受け取ったパケットの復号化を行う。復号部111は、復号したパケットに含まれる通信先の端末のIPアドレスを用いてMACテーブル104を検索し、パケットの通信先の端末、例えば、端末a(20a)のMACアドレスを取得する。復号部111は、復号したパケットと送信先の端末a(20a)のMACアドレスを平文送信部110に渡す。
平文送信部110は、復号部111より受け取ったパケットを、平文ネットワークa(50a)を介して、送信先の端末a(20a)に対して送信する。
図4は、本実施例の暗号通信装置登録サーバ30のプログラムモジュール構成を示す図である。暗号通信装置登録サーバ30は、グローバルアドレステーブル31(以下グローバルテーブルと記載)、グローバルテーブル登録部32、グローバルテーブル取得部33からなる。
グローバルテーブル31は、本実施例の暗号通信システムに接続される端末について、端末が接続される暗号通信装置のIPアドレス、端末のIPアドレス、端末のMACアドレス、および、最終登録日時の組が記録される。グローバルテーブル31はメンテナンス機構を備えており、周期的にエントリの最終登録日時を確認し、古い内容を削除する。本実施例では、例えば、3分以上古いエントリは削除する。
グローバルテーブルに登録された端末のうち安全な場所に設置された端末のアドレスは削除するまでの時間を長くしても良いし、削除しないような運用とすればグローバルテーブル更新の負荷を軽減することができる。
また、特定の端末のアドレスは起動時に外部記憶装置から読み込んだ後で暗号通信サービスを開始することにより、サービス開始後に発生するアドレス登録処理のためのオーバーヘッドを軽減できる。外部記憶装置から読み込む端末のアドレスはサービス終了時に登録されていたアドレスでも良いし、暗号通信システムで頻繁に使用することが予想される予め登録された端末のアドレスでも良い。
グローバルテーブル登録部32は、暗号通信装置のサーバ登録部103から受け取った暗号通信装置のIPアドレス、端末のIPアドレス、端末のMACアドレスに、最終登録日時を付加して、グローバルテーブル31に登録する。既にグローバルテーブル31に対応する端末の情報が登録されていた場合は、最終登録日時を更新する。
グローバルテーブル取得部33は、暗号通信装置のサーバ問い合わせ部105の問い合わせに応じて、グローバルテーブル31を検索し、対応する端末が接続されている暗号通信装置のIPアドレス、端末のIPアドレス、端末のMACアドレスの組を返す。
図5は、実施例におけるグローバルテーブル31の記録内容の例を示す。グローバルテーブルには、端末が接続される暗号通信装置のIPアドレス311、端末のIPアドレス312、端末のMACアドレス313、および、最終登録日時314がエントリとして記録される。
図6は、実施例におけるMACテーブル104の記録内容の例を表す。MACテーブル104には、ルータ検出部101で検出したルータ42、および、サーバ問い合わせ部105により取得した各端末について、端末のIPアドレス1040および端末のMACアドレス1041がエントリとして記録される。
図7は、実施例におけるローカルテーブル107の記録内容の例を示す。ローカルテーブル107には、暗号通信装置のIPアドレス1070、端末のIPアドレス1071、および、最終登録日時1072がエントリして記録される。
本実施例の暗号通信システムを構成する装置の処理の流れを、フローチャートを用いて以下に説明する。
図8は、実施例における暗号通信装置a(10a)の起動処理の流れを示すフローチャートである。
最初に、暗号通信装置a(10a)は、ルータ検出部101において、装置自身のネットワーク設定情報を参照し、ルータのアドレスが設定されているかを判定する(S801)。
ルータのアドレスが設定されている場合(S801においてYes)、例えば、ルータ42のアドレスが設定されている場合、ルータ42に対してARP要求を行うことでルータ42のMACアドレスを取得し(S802)、ルータ42のMACアドレスをMACテーブル104に記録する。ルータ42のアドレスが設定されていない場合(S801においてNo)、暗号通信装置a(10a)自身のMACアドレスをMACテーブル104に記録する。
続いて、暗号通信装置a(10a)は、端末検出部102において、装置自身のネットワーク設定情報を参照し、平文ネットワークa(20a)のネットワークアドレスを取得し(S805)、取得したネットワークアドレスにおいて有効なホストアドレスの最小値と最大値を計算し(S806)、ホストアドレスとして最小値を選択する(S807)。
暗号通信装置a(10a)は、選択したホストアドレスに対してARP要求を送信し(S808)、ARP応答があるかを判定する(S809)。ARP応答がある場合(S809においてYes)、例えば、対応するホストアドレスを持つ端末a(20a)が応答した場合、暗号通信装置a(10a)は、サーバ登録部103を呼び出して、暗号通信装置登録サーバ30のグローバルテーブル31に検出した端末a(20a)のエントリを登録し(S810)、次の処理に移る。ARP応答がない場合(S809においてNo)は、ホストアドレスに対応する端末は見つからなかったものとして、次の処理に移る。
続いて、暗号通信装置a(10a)は、選択したホストアドレスに1を加算し新たなホストアドレスを選択する(S811)、選択したホストアドレスが、ネットワークアドレスにおいて有効なホストアドレスの最大値を超えたかを判定する(S812)。選択したホストアドレスが最大値を超えない場合(S812においてNo)、ARP要求を送信する処理(S808)へ戻り、端末の検出処理を繰り返す。選択したホストアドレスが最大値を超えた場合(S812においてYes)、暗号通信装置a(10a)は、起動手順を終了する。
以上の処理により、暗号ネットワーク40に接続されるルータ42の情報は暗号通信装置a(10a)のMACテーブル104に登録され、平文ネットワークa(50a)に接続される端末a(20a)の情報は暗号通信装置登録サーバ30のグローバルテーブル31に登録される。
図9(a)(b)は、本実施例の暗号通信システムにおける通信手順を示すフローチャートである。ここでは、端末a(20a)から端末b(20b)に対して暗号通信を行う例を説明する。
図9(a)は送信側の暗号処理装置aの動作を説明する。最初に、端末a(20a)から端末b(20b)に対して送信される通信パケットを、暗号通信装置a(10a)の平文受信部108が受信する(S901)平文受信部108は、受信した通信パケットから宛先IPアドレスを取り出し、サーバ問い合わせ部105を呼び出す。サーバ問い合わせ部105は、ローカルアドレステーブル管理部112経由でローカルテーブル107を検索し、宛先IPアドレスに対応する端末IPアドレス1071に持つエントリが存在するか判定する(S903)。対応する端末IPアドレス1071を持つエントリが存在する場合(S903においてYes)、ローカルテーブル107の当該エントリより暗号通信装置IPアドレス1070を暗号通信装置b(10b)のIPアドレスとして取得する(S904)。対応する端末IPアドレス1071を持つエントリが存在しない場合(S903においてNo)、サーバ問い合わせ部105が暗号通信装置登録サーバ30に対して宛先IPアドレスに対応する端末の情報の問い合わせを行い(S905)、暗号通信装置登録サーバ30からの応答として暗号通信装置b(10b)のIPアドレスが取得できるか判定する。暗号通信装置b(10b)のIPアドレスが取得できない場合(S906においてNo)、端末a(20a)にICMPのDestination unreachableパケットを送るなどして、通信処理をキャンセルし(S907)、処理を終了する。
暗号通信装置b(10b)のIPアドレスが取得できた場合(S904の後、および、S906においてYes)、暗号通信装置a(10a)と暗号通信装置b(10b)の間に確立済みの暗号通信接続があるかどうか、確立済みの通信を保持するテーブルなどを用いて判定する(S908)。確立済みの暗号通信接続がない場合(S908においてNo)、暗号通信装置a(10a)から暗号通信装置b(20b)に対して暗号通信接続を確立する(S909)。暗号通信の接続方法については、TLS(Transport Layer Security)などの既存の暗号通信方式を用いてもよい。
確立済みの暗号通信接続が存在する場合(S908においてYes、および、S909の後)、暗号通信装置a(10a)の暗号部109において端末a(20a)より受信した通信パケットを暗号化し、暗号ネットワーク40を介して暗号通信装置b(10b)に対して送信する(S910)。
図9(a)において、ステップS901の直後に、通信の送信元IPアドレスを取り出しローカルテーブル107にあるかどうかを判定し、ローカルテーブル107にこの送信元IPアドレスがない場合に、通信の送信元MACアドレスと送信元IPアドレスを取り出してローカルテーブル107に追加し、さらに暗号通信装置登録サーバ30に登録するようにしても良い。これにより、図8に示した能動的な端末検出処理よりも後に平文ネットワークa(50a)に接続された端末を受動的に検出し、検出した端末の情報をローカルテーブル107およびグローバルテーブル31に登録することができる。
図9(b)では受信側の暗号処理装置bの動作を説明する。暗号通信装置b(10b)は、暗号ネットワーク40を介して受信した暗号化されたパケットを、復号部111において複合し(S911)、復号した通信パケットの送信元IPアドレスが宛先IPアドレスと同一ネットワークであるかを判定する(S912)。送信元IPアドレスと宛先IPアドレスが同一ネットワークでない場合(S912においてNo)、MACテーブル104を参照し、復号した通信パケットの、送信元MACアドレスをルータ42のMACアドレスに、宛先MACアドレスを端末b(20b)のMACアドレスに、それぞれ変更し(S913)、暗号装置b(20b)の平文送信部110から、平文ネットワークb(50b)を介して端末b(20b)に送信し(S914)、処理を終了する。送信元IPアドレスと宛先IPアドレスが同一ネットワークである場合(S912においてYes)、復号した通信パケットをそのまま、端末b(20b)に送信し(S914)、処理を終了する。
以上の処理により、端末a(20a)から端末b(20b)への通信パケットは、暗号通信装置a(10a)によって暗号化され、途中暗号ネットワーク40を介して暗号通信装置b(10b)に到着し、暗号通信装置b(10b)によって復号化され、端末b(20b)に到着する。
図10は、暗号通信装置a(10a)のARP応答手順を示すフローチャートである。
暗号通信装置a(10a)は、端末a(20a)からのARP要求を受け取ると(S1001)、ARP代理応答部106において、ARP要求先IPアドレスはARP要求元の端末a(20a)と同一ネットワークであるかを判定する(S1002)。同一ネットワークでない場合(S1002においてNo)、ルータのIPアドレスがMACテーブル104に存在するかを判定する(S1003)。存在した場合(S1003においてYes)、ARP代理応答部106がルータのMACアドレスを用いて端末a(20a)にARP応答を返し(S1004)、処理を終了する。存在しない場合(S1003においてNo)そのまま処理を終了する。
一方、ARP要求先IPアドレスが同一ネットワークである場合(S1002においてYes)、ARP要求先のIPアドレスに対応するエントリがMACテーブル104に存在するか判定する(S1005)。
対応するエントリがMACテーブル104に存在しない場合(S1005においてNo)、サーバ問い合わせ部105が、暗号通信装置登録サーバ30に対して、ARP要求先のIPアドレスに対応するMACアドレスの問い合わせを行い(S1006)、暗号通信装置登録サーバ30からARP要求先のIPアドレスに対応するMACアドレスが得られたか判定する(S1007)。対応するMACアドレスが得られなかった場合(S1007においてNo)、そのまま処理を終了する。対応するMACアドレスが得られた場合(S1007においてYes)、MACテーブル104に要求先IPアドレスと取得したMACアドレスの組を登録する(S1008)。
ARP要求先のIPアドレスに対応するエントリがMACテーブル104に存在する場合(S1005においてYes、および、S1008の後)、ARP代理応答部106が、MACテーブル104を参照して端末a(20a)にARP応答を返し(S1009)、処理を終了する。
以上の処理により、端末a(20a)は、暗号通信装置a(10a)によって、暗号ネットワーク40を介して接続される他の端末b(20b)のMACアドレス、あるいはパケットを中継するルータのMACアドレスを取得することができる。
以上に説明したように、本実施例の暗号通信システムにおいては、送信元端末a(20a)から送信された通信パケットは、暗号通信装置a(10a)によって暗号化され、暗号ネットワーク40を介して接続される他の暗号通信装置b(10b)に送られる。そして、暗号化されたパケットは、受信した暗号通信装置b(10b)により復号され、送信先端末b(20b)に届く。また、通信先の選択やパケット変換は暗号通信装置a(10a)が行うため、既設のネットワーク機器であるルータ42や端末a(20)、端末b(20b)の設定を変更する必要がなく、既設のネットワークに暗号通信装置a(10a)、暗号通信装置b(10b)と暗号通信装置登録サーバ30を設置するのみで暗号化通信が可能となる。
10a, 10b:暗号通信装置、 20a, 20b:端末、30:暗号通信装置登録サーバ、31:グローバルアドレステーブル、32:グローバルアドレステーブル登録部、33:グローバルアドレステーブル取得部、40:暗号ネットワーク、101:ルータ検出部、102:端末検出部、103:サーバ登録部、104:MACテーブル、105:サーバ問合せ部、106:APP代理応答部、107:ローカルアドレステーブル、108平文受信部、109:暗号部、110:平文送信部、111:復号部

Claims (15)

  1. 端末と第一の暗号通信装置が平文ネットワークで接続され、第一の暗号通信装置及び第二の暗号通信装置が暗号ネットワークで接続された暗号システムであって第一の暗号通信装置は、第二の暗号通信装置のアドレスと送付先端末のアドレスの対応関係を格納するローカルアドレステーブルと、
    前記端末から平文データを受け取ったとき受け取った平文データの送信先端末のアドレスが前記ローカルアドレステーブルにあれば、受け取った平文データと送信先端末アドレスを暗号化し前記送信先端末に対応する第二の暗号通信装置のアドレスへ暗号化された平文データを送信する暗号化部を備え、
    第二の暗号通信装置は、受け取った暗号文を復号し復号された平文データを復号された送付先端末アドレスへ送付する復号化部を備えることを特徴とする暗号システム。
  2. 前記暗号ネットワークには暗号通信装置登録サーバが接続され、
    暗号通信装置登録サーバは暗号システムで使用可能な暗号通信装置のアドレスと端末のアドレスを対応付けて格納するグローバルアドレステーブルと、
    暗号通信装置から端末に対応する暗号通信装置のアドレスの問合せ要求を受けたときに前記グローバルアドレステーブルを参照し、暗号通信装置のアドレスを返すグローバルテーブル取得部と、
    暗号通信装置から端末のアドレスをグローバルアドレステーブルに登録する要求を受けたときに前記グローバルアドレステーブルを参照し、端末のアドレスをグローバルアドレステーブルへ登録するグローバルテーブル登録部を備えることを特徴とする請求項1に記載の暗号システム。
  3. 第一の暗号通信装置はローカルアドレステーブル管理部を備え、
    ローカルアドレステーブル管理部は暗号通信部が受け取った平文データの送信先端末アドレスがローカルアドレステーブルに無ければ、暗号通信装置登録サーバから平文データの送信先端末アドレスと送付先端末に対応する暗号通信装置のアドレスを受け取り、ローカルアドレステーブルに登録することを特徴とする請求項2に記載の暗号システム。
  4. 第一の暗号通信装置は、接続されている平文ネットワークにローカルアドレステーブルに登録されていない端末を検出したとき、
    検出した端末のアドレスと第一の暗号通信装置のアドレスを対応づけて登録するよう暗号通信装置登録サーバへ要求することを特徴とする請求項3に記載の暗号通信システム。
  5. 前記ローカルアドレステーブル管理部は予め定められた周期でローカルアドレステーブルに登録されている端末の応答を確認し、確認した端末からの応答が無ければローカルアドレステーブルから応答の無い端末のアドレスを削除することを特徴とする請求項4に記載の暗号通信システム。
  6. 端末と暗号通信装置が平文ネットワークで接続され、送信側暗号通信装置と受信側暗号通信装置が暗号ネットワークで接続された暗号システムの暗号通信装置であって、
    送信先端末のアドレスと送信先端末に対応する暗号通信装置のアドレスの対応関係を格納するローカルアドレステーブルと、
    送信元端末から平文データを受け取ったとき、受け取った平文データの送信先端末のアドレスが前記ローカルアドレステーブルにあれば、受け取った平文データと送信先端末アドレスを暗号化し送信先端末に対応する暗号通信装置のアドレスへ暗号化された平文データを送信する暗号化部を備え、
    暗号文を他の暗号通信装置から受け取ったとき、受け取った暗号文を復号し復号された平文データを復号された送信先端末アドレスへ送信する復号化部を備えることを特徴とする暗号通信装置。
  7. 前記暗号通信装置はローカルアドレステーブルに送信先端末に対応する暗号通信装置のアドレス対応関係が格納されていなかったとき、送信先端末に対応する暗号通信装置のアドレスを暗号ネットワークに接続された暗号装置登録サーバへ問合せるサーバ問合せ部を備えることを特徴とする請求項6に記載の暗号通信装置。
  8. 前記暗号通信装置はサーバ問合せ部が暗号装置登録サーバへ送信先端末に対応する暗号通信装置のアドレスを問合せ、送信先端末に対応する暗号通信装置のアドレスを受け取ったとき、受け取った暗号通信装置のアドレスを送信先端末と対応づけてローカルアドレステーブルへ格納するローカルアドレステーブル管理部を備えることを特徴とする請求項7に記載の暗号通信装置。
  9. 前記暗号通信装置は接続されている平文ネットワークにローカルアドレステーブルに登録されていない端末を検出したとき、検出した端末のアドレスと前記暗号通信装置のアドレスを対応づけて登録するよう暗号通信装置登録サーバへ要求することを特徴とする請求項8に記載の暗号通信システム。
  10. 前記ローカルアドレステーブル管理部は予め定められた周期でローカルアドレステーブルに登録されている端末の応答を確認し、確認した端末からの応答が無ければローカルアドレステーブルから応答の無い端末のアドレスを削除することを特徴とする請求項9に記載の暗号通信装置。
  11. 端末と暗号通信装置が平文ネットワークで接続され、送信側暗号通信装置、受信側暗号通信装置及び暗号装置登録サーバが暗号ネットワークで接続された暗号システムの暗号通信装置登録サーバであって、
    暗号システムで通信を行う端末と端末に対応した暗号通信装置が対応づけられたグローバルアドレステーブルと、
    暗号通信装置から端末に対応した暗号通信装置の問合せを受けたとき前記グローバルアドレステーブルを参照し暗号通信装置のアドレスを求めるグローバルアドレステーブル取得部と、
    暗号通信装置から端末の登録要求を受けたとき前記グローバルアドレステーブルへ受け取った端末装置を登録するグローバルアドレステーブル登録部を備えることを特徴とする暗号通信装置登録サーバ。
  12. 前記グローバルアドレステーブル登録部は予め定められた周期でグローバルアドレステーブルに登録されている端末の削除条件を確認し、削除条件を満たした端末の情報をグローバルアドレステーブルから確認することを特徴とする請求項11に記載の暗号通信装置登録サーバ。
  13. 端末と第一の暗号通信装置が平文ネットワークで接続され、第一の暗号通信装置及び第二の暗号通信装置が暗号ネットワークで接続された暗号システムで実行する暗号通信方法であって、
    第一の暗号通信装置はローカルアドレステーブルに、第二の暗号通信装置のアドレスと送付先端末のアドレスの対応関係を格納し、
    暗号化部が前記端末から平文データを受け取ったとき受け取った平文データの送付先端末のアドレスが前記ローカルアドレステーブルにあれば、受け取った平文データと送付先端末アドレスを暗号化し前記送付先端末に対応する第二の暗号通信装置のアドレスへ暗号化された平文データを送付し、
    第二の暗号通信装置は復号化部が受け取った暗号文を復号し、復号された平文データを復号された送付先端末アドレスへ送付することを特徴とする暗号通信方法。
  14. 前記暗号ネットワークには暗号通信装置登録サーバが接続され、
    暗号通信装置登録サーバはグローバルアドレステーブルに暗号システムで使用可能な暗号通信装置のアドレスと端末のアドレスを対応付けて格納し、
    グローバルテーブル取得部が暗号通信装置から端末に対応する暗号通信装置のアドレスの問合せ要求を受けたときに前記グローバルアドレステーブルを参照し、暗号通信装置のアドレスを返し、
    グローバルテーブル登録部が暗号通信装置から端末のアドレスをグローバルアドレステーブルに登録する要求を受けたときに前記グローバルアドレステーブルを参照し、端末のアドレスをグローバルアドレステーブルへ登録することを特徴とする請求項13に記載の暗号通信方法。
  15. 第一の暗号通信装置はローカルアドレステーブル管理部を備え、
    ローカルアドレステーブル管理部は暗号通信部が受け取った平文データの送付先端末アドレスがローカルアドレステーブルに無ければ、暗号通信装置登録サーバから平文データの送付先端末アドレスと送付先端末に対応する暗号通信装置のアドレスを受け取り、ローカルアドレステーブルに登録することを特徴とする請求項14に記載の暗号通信方法。
JP2015055581A 2015-03-19 2015-03-19 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ Active JP6396831B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015055581A JP6396831B2 (ja) 2015-03-19 2015-03-19 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015055581A JP6396831B2 (ja) 2015-03-19 2015-03-19 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ

Publications (2)

Publication Number Publication Date
JP2016178392A true JP2016178392A (ja) 2016-10-06
JP6396831B2 JP6396831B2 (ja) 2018-09-26

Family

ID=57070544

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015055581A Active JP6396831B2 (ja) 2015-03-19 2015-03-19 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ

Country Status (1)

Country Link
JP (1) JP6396831B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
JP2004274666A (ja) * 2003-03-12 2004-09-30 Mitsubishi Electric Information Systems Corp 暗号装置及びコンソール端末及び管理装置及びプログラム
JP2006041593A (ja) * 2004-07-22 2006-02-09 Mitsubishi Electric Corp 暗号通信システム及び暗号装置
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
JP2004274666A (ja) * 2003-03-12 2004-09-30 Mitsubishi Electric Information Systems Corp 暗号装置及びコンソール端末及び管理装置及びプログラム
JP2006041593A (ja) * 2004-07-22 2006-02-09 Mitsubishi Electric Corp 暗号通信システム及び暗号装置
JP2009111437A (ja) * 2007-10-26 2009-05-21 Hitachi Ltd ネットワークシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
藤田 範人 NORIHITO FUJITA: "大規模な動的グループ通信に適したオーバレイ網制御方式 Scalable Overlay Network Deployment for Dynami", 電子情報通信学会技術研究報告 VOL.104 NO.276 IEICE TECHNICAL REPORT, vol. 第104巻第276号, JPN6018008109, 26 August 2004 (2004-08-26), JP, pages 55 - 58 *

Also Published As

Publication number Publication date
JP6396831B2 (ja) 2018-09-26

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
EP2634991B1 (en) Content-centric networking
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
JP3992579B2 (ja) 鍵交換代理ネットワークシステム
KR101936758B1 (ko) 정보 조회 기록의 무결성을 위한 암호화 장치, 방법 및 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치
EP1710953B1 (en) Encryption communication method
US9219709B2 (en) Multi-wrapped virtual private network
JP4764368B2 (ja) 通信を確立してメッセージを中継する装置、通信を確立する方法およびプログラム
JP2012182812A (ja) インターネットのための対称鍵配信フレームワーク
EP2827551B1 (en) Communication method, communication apparatus and communication program
US20150381716A1 (en) Method and system for sharing files over p2p
US11606193B2 (en) Distributed session resumption
US10158610B2 (en) Secure application communication system
CN102594882A (zh) 一种基于DHCPv6监听的邻居发现代理方法和系统
JP4933286B2 (ja) 暗号化パケット通信システム
JP5326815B2 (ja) パケット送受信装置およびパケット送受信方法
US11824712B2 (en) Updating parameters in a mesh network
CN109150661A (zh) 一种设备发现方法及装置
JP6396831B2 (ja) 暗号通信システム、暗号通信方法、暗号通信装置及び暗号通信装置登録サーバ
CN102546307A (zh) 基于dhcp侦听实现代理arp功能的方法和系统
JP2010081108A (ja) 通信中継装置、情報処理装置、プログラム、及び通信システム
JP2008109199A (ja) 通信制御方法
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
JP6705602B1 (ja) 中継装置、中継方法、及び制御プログラム
CN114268499A (zh) 数据传输方法、装置、系统、设备和存储介质

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170329

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180306

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180322

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180411

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180830

R150 Certificate of patent or registration of utility model

Ref document number: 6396831

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150