JP3259660B2 - データ暗号化/復号化lan間接続装置 - Google Patents
データ暗号化/復号化lan間接続装置Info
- Publication number
- JP3259660B2 JP3259660B2 JP17111097A JP17111097A JP3259660B2 JP 3259660 B2 JP3259660 B2 JP 3259660B2 JP 17111097 A JP17111097 A JP 17111097A JP 17111097 A JP17111097 A JP 17111097A JP 3259660 B2 JP3259660 B2 JP 3259660B2
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- decryption
- data
- network
- network layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
号化LAN間接続装置に関し、特にLAN間を跨いで端
末間で通信されるデータの暗号化/復号化を行なう手段
の改良に関する。
て、物理インタフェース毎に暗号化/復号化機能を有
し、これらの物理インタフェースにおいて、送受信する
全てのパケットテータに対し暗号化/復号化を行なうよ
うにしたものがある。たとえば特開平7−193589
号公報には、物埋インタフェース単位に暗号化回路を付
加する技術が開示されている。
して、LAN端末間で特別な暗号化ソフトウェアを導入
し、当該端末間で暗号化する方式のものがある。たとえ
ば、特開平2−4037号公報には、ファイルサーバー
とユーザーとの間でユーザ識別子をパケットに付加して
暗号化する技術が開示されている。
して、LAN間接続を行なわない暗号化サーバー、復号
化サーバーを用意して、暗号化及び復号化を行なうよう
にしたものがある。たとえば特開平7−170280号
公報には、暗号化サーバー及び復号化サーバーを用いて
暗号通信、復号通信を行なうローカルエリアネットワー
ク方式が開示されている。
間接続装置には以下のような解決すべき問題点がある。
第1の問題点は、物理インタフェース毎に暗号化/復号
化するものでは、ルーティングに用いられるアドレス部
分まで暗号化されるため、途中に暗号化/復号化を行な
わないLAN間接続装置を介在させることができない。
また暗号化/復号化する必要の無い宛先のデータも暗号
化/復号化されるため、データの送受信に余分な時間を
要する。
号化ソフトウエアを導人するものでは、現在、一般に用
いられている通信ソフトウェアの他に、暗号化/復号化
ソフトウェアを付加するか、或いは別の通信ソフトウェ
アを導入する必要がある。
サーバーを用意し、暗号化を行なうものでは、端末から
サーバーに暗号化要求とデータとを送信し、サーバーが
暗号化後、サーバーからの暗号化データを端末が受信
し、その後、端末が実際のデータ転送先に送信する手続
きが発生し、同じ内容のデータが端末とサーバーとの間
で二度送受信されるという不具合がある。またサーバー
に負荷が集中するという問題もある。
暗号化/復号化LAN間接続装置を提供することにあ
る。
め、本発明によるデータ暗号化/復号化LAN間接続装
置は、ルーティングプロトコルを処理し、ルーティング
テーブルを作成、受信したパケットのネットワーク層の
ヘッダにあるアドレスと前記ルーティングテーブルよ
り、パケットを送信する物理インタフェースを決定する
ルーティング処理部と、暗号化/復号化テーブルと、送
受信パケットのネットワーク層の誤り確認、ネットワー
ク層のへッダ付替え、フラグメント処埋などのネットワ
ーク層の管理と、前記暗号化/復号化テーブルとネット
ワーク層のヘッダにあるアドレスとを比較し、ネットワ
ーク層のデータ部を暗号化/復号化するか否かを決定す
るネットワーク層処理・暗号化/復号化決定部と、前記
ネットワーク層処理・暗号化/復号化決定部で決定した
内容に合わせて暗号化/復号化を行なう暗号化/復号化
部と、送受信パケットのデータリンク層の誤り確認、フ
レームチェックシーケンスの生成、ヘッダの付替えなど
を行なうデータリンク層処理部と、それぞれネットワー
クに接続されており、LANパケットデータの送受信が
行なわれる物理インタフェースと、LAN間接続装置に
接続されており、ネットワークを管理するユーザーが、
前記暗号化/復号化テーブルを設定するために用いら
れ、前記ルーティング処理部のルーティングテーブルの
設定を行なうコンソールと、を備え、前記通常データと
暗号化データとの区別は、暗号化時にネットワーク層デ
ータの先頭または分散して暗号化識別子を付加し、これ
を検出することにより区別し、 暗号化済み、復号化済
みであるか否かを検出し、暗号化されているデータにつ
いてさらに暗号化したり、また復号化されているデータ
についてさらに復号化し、前記暗号化及び復号化済みで
あるにも拘らず、前記ネットワーク層処理・暗号化/復
号化決定部で重複して暗号化/復号化の指示がなされて
も、暗号化/復号化を行なわないように構成されて成
る。
るLAN間接続装置の構成を示すブロック図である。図
1に示すようにLAN間接続装置1は、ルーティング処
理部2、暗号化/復号化部3、ネットワーク層処理・暗
号化/復号化決定部4、データリンク層処理部5、物理
インタフェース6−1ないし6−n、暗号化/復号化テ
ーブル7等を備えている。
ロトコルを処理し、ルーティングテーブルを作成、受信
したパケットのネットワーク層のへッダにあるアドレス
と上記ルーティングテーブルより、パケットを送信する
物理インタフェースを決定する。
理・暗号化/復号化決定部4で決定した内容に合わせて
暗号化/復号化を行なう。また暗号化済み、復号化済み
であるか否かを検出し、暗号化されているデータについ
てさらに暗号化したり、また復号化されているデータに
ついてさらに復号化したりしない様になっている。すな
わち、暗号化及び復号化済みであるにも拘らず、ネット
ワーク層処理・暗号化/復号化決定部4で重複して暗号
化/復号化の指示がなされても、暗号化/復号化を行な
わない機能を有している。
号化時にネットワーク層データの先頭または分散して暗
号化識別子を付加し、これを検出することにより区別す
る。
部4は、送受信パケットのネットワーク層の誤り確認、
ネットワーク層のへッダ付替え、フラグメント処埋など
のネットワーク層の管理と、暗号化/復号化テーブル7
とネットワーク層のヘッダにあるアドレスとを比較し、
ネットワーク層のデータ部を暗号化/復号化するか否か
を決定する機能を有している。
トのデータリンク層の誤り確認、フレームチェックシー
ケンスの生成、へッダの付替えなどを行なう。
は、それぞれネットワーク1からnに接続されており、
これらの物理インタフェース6−1ないし6−nを通し
て、LANパケットデータの送受信が行なわれる。
続されており、ネットワークNWを管理するユーザー
が、暗号化/復号化テーブル7を設定するために用いら
れる。またコンソール8は、ルーティング処理部2のル
ーティングテーブルの設定等、本実施形態におけるLA
N間接続装置1のその他の設定を行なうためにも用いら
れる。
ブルのテーブル要素について説明する。図2は暗号化/
復号化テーブルのテーブル要素9を示す図で、図示の如
く、事前に送信先アドレスN1、送信先ネットワークマ
スクM1.送信元アドレスN2、送信元ネットワークマ
スクM2、暗号化/復号化の有無X1、などを設定して
おく。テーブルの1ラインには、暗号化/復号化の有無
X1の項目を除く全ての項目を設定する必要はない。設
定されなかった項目は暗号化/復号化の決定に用いられ
ない。ネットワークマスクM1及びM2は、暗号化/復
号化で参照される送信先アドレスN1及び送信元アドレ
スN2の部位を決定するために用いられる。この組み合
わせによって、暗号化及び復号化を決定するネットワー
ク及びLAN端末が指定される。
を示す図である。図示の如くこのパケットフォーマット
10は、データリンク層ヘッダ部11、ネットワーク層
ヘッダ部12、ネットワーク層データ部13、データリ
ンク層フレームチェックシーケンス部14から成る。こ
こで暗号化/復号化されるのはネットワーク層データ部
13である。
パケット処理の動作にかかるパケット処理フローを示す
図である。処理ステップ15では、物理インタフェース
6−1ないし6−nにおいてパケットの受信が行なわれ
る。処理ステップ16では、データリンクアドレスの確
認、フレームの誤り確認などデータリンク層の受信処理
が行なわれる。
理・暗号化/復号化決定部4においてネットワーク層の
誤り確認、フラグメント処理などネットワーク層の処理
が行なわれた後、暗号化/復号化テーブル7を参照し暗
号化または復号化の是非が判定される。暗号化/復号化
を行なうことが決定された場合には、暗号化/復号化部
3に対して暗号化/復号化指示が行なわれ、処理ステッ
プ18に移る。暗号化/復号化は行なわないと決定され
た場合には、ルーティング処理部2に対しルーティング
要求が出され、処理ステップ20に移る。
化済みの判定が行なわれ、未暗号化/未復号化の場合に
は、暗号化/復号化したのち処理ステップ20に移る。
暗号化/復号化済みである場合には、そのまま処理ステ
ップ20に移る。
先アドレスとネットワーク層のルーティングテーブルよ
り物理インタフェース6−1ないし6−nのいずれにパ
ケットを出力するかが決定され、処理ステップ21に移
る。
フラグメン卜の処理などのネットワーク層の処理が行な
われ、処理ステップ22に移る。
フレームチェックシーケンスの生成、へッダの付替えな
どデータリンク層の出力処理が行なわれる。そして処理
ステップ23では処理ステップ20で決定した物理イン
タフェース6−1ないし6−nにパケットが出力され
る。
たは暗号化データの復号化とその後の中継または通常デ
通常データが中継される。
数の本発明装置を用いたLAN間接続ネットワーク」の
構成例を示す図である。一つの装置(X)24にはネッ
トワーク(A)26、ネットワーク(B)27、ネット
ワーク(C)28が接続されている。ネットワーク
(A)26には端末(a)30が接続され、ネットワー
ク(B)27には別の装置(Y)25が接続されてい
る。そして装置(Y)25にはネットワーク(D)29
が接続され、更にその先に端末(d)31が接続されて
いる。装置(X)24及び装置(Y)25には、暗号化
/復号化テーブルが設定されている。
(Y)25において、ネットワーク(A)26及びネッ
トワーク(D)29で暗号化/復号化通信を行なう場合
のテーブル設定例を示す図である。
パケットを送信を行なうべく、装置(X)24にデータ
を送る。
号化テーブルを参照し、ネットワーク(D)29向けで
あって、かつ暗号化すべきデータである事を判定して暗
号化し、ルーティング処理した結果、ネットワーク
(B)27に接続されている装置(Y)25に暗号化パ
ケットを送信する。
暗号化データを受信後において、図7に示す暗号化/復
号化テーブルを参照し、ネットワークアドレスより復号
化すべきデータである事を判定して復号化し、ルーティ
ング処理した結果、ネットワーク(D)29に接続され
ている端末(d)31に復号化データを送信する。
ータも同様に暗号化/復号化され、端末(a)30では
復号化された端末(d)31のデータが受信される。
経由でネットワーク(D)29以外のネットワーク向け
にパケットが送信された場合は、図6に示す装置(X)
24の暗号化/復号化テーブルには暗号化/復号化指示
が設定されていないので、そのまま暗号化されずに送信
される。
置(Y)25との間に暗号化/復号化機能を持たないL
AN間接続装置を接続した場合、ネットワーク層のデー
タ部は暗号化されるが、データリンク層、ネットワーク
層のへッダは暗号化されていないので、問題なく上記と
同様に端末(a)30と端末(d)31とで暗号化/復
号化通信を行なうことができる。
の間に、本発明装置が接続された場合、設定如何によっ
ては暗号化が二度発生する可能性がある。例えば装置
(X)24と装置(Y)25との間に他の装置を追加
し、追加した装置にネットワーク(D)29向けのパケ
ット全てを暗号化するように設定した場合、ネットワー
ク(A)26からネットワーク(D)29向けに送信さ
れたパケットは装置(X)24で暗号化され、さらに追
加された装置で、このネットワーク(D)29向けのパ
ケットに対し暗号化指示が発生する。しかし暗号化/復
号化部3において暗号化済み、復号化済みの検出を行な
っているので、追加された装置内で暗号化が二度行なわ
れることはなく、装置(Y)25に転送される。よっ
て、この場合は上記の暗号化/復号化機能を持たないL
AN間接続装置を接続した場合と同様、端末(a)30
と端末(d)31との間で暗号化/復号化通信を行なう
ことができる。
タ部のみを暗号化するように構成されているため、装置
以外のネットワーク層をルーティングするLAN間接続
装置についてルーティングでき、ネットワーク層レベル
で標準的なパケットを出力することができる。かくし
て、インターネットや既に敷設されているTCP/IP
ネットワークなどにそのまま接続でき、必要なネットワ
ーク、LAN端末間通信に対して暗号化/復号化を行な
うことができる。また、ネットワーク単位、LAN端末
単位毎に暗号化/復号化の設定ができるため、暗号化/
復号化する必要のない宛先のデータについてまで暗号化
/復号化されるのを回避することができる。更に、LA
N間接続装置の間で暗号化/復号化が行なわれるため、
LAN端末間で特別な暗号化ソフトウェアを導入した
り、暗号化サーバー、復号化サーバー等を用意したりす
る必要がない。
号化LAN間接続装置の構成を示すブロック図である。
号化LAN間接続装置のネットワーク層処理、暗号化/
復号化決定部において、暗号化/復号化を決定するため
に用いられる暗号化/復号化テーブルのテーブル要素を
示す図である。
号化LAN間接続装置が扱うLANのパケットフォーマ
ットを示す図である。
号化LAN間接続装置におけるLANのパケット受信か
ら送信までのパケット処埋フローを示す図である。
号化/復号化LAN間接続装置を用いたLAN間接続ネ
ットワーク」の構成例を示す図である。
号化LAN間接続装置で設定される装置(X)の暗号化
/復号化テーブルのパターン例を示す図である。
号化LAN間接続装置で設定される装置(Y)の暗号化
/復号化テーブルのパターン例を示す図である。
ブル 33 LAN間接続装置(Y)の暗号化/復号化テー
ブル
Claims (1)
- 【請求項1】ルーティングプロトコルを処理し、ルーテ
ィングテーブルを作成、受信したパケットのネットワー
ク層のヘッダにあるアドレスと前記ルーティングテーブ
ルより、パケットを送信する物理インタフェースを決定
するルーティング処理部と、 暗号化/復号化テーブル
と、 送受信パケットのネットワーク層の誤り確認、ネットワ
ーク層のへッダ付替え、フラグメント処埋などのネット
ワーク層の管理と、前記暗号化/復号化テーブルとネッ
トワーク層のヘッダにあるアドレスとを比較し、ネット
ワーク層のデータ部を暗号化/復号化するか否かを決定
するネットワーク層処理・暗号化/復号化決定部と、 前記ネットワーク層処理・暗号化/復号化決定部で決定
した内容に合わせて暗号化/復号化を行なう暗号化/復
号化部と、 送受信パケットのデータリンク層の誤り確認、フレーム
チェックシーケンスの生成、ヘッダの付替えなどを行な
うデータリンク層処理部と、 それぞれネットワークに接続されており、LANパケッ
トデータの送受信が行なわれる物理インタフェースと、 LAN間接続装置に接続されており、ネットワークを管
理するユーザーが、前記暗号化/復号化テーブルを設定
するために用いられ、前記ルーティング処理部のルーテ
ィングテーブルの設定を行なうコンソールと、 を備え、 前記通常データと暗号化データとの区別は、暗号化時に
ネットワーク層データの先頭または分散して暗号化識別
子を付加し、これを検出することにより区別し、暗号化
済み、復号化済みであるか否かを検出し、暗号化されて
いるデータについてさらに暗号化したり、また復号化さ
れているデータについてさらに復号化し、前記暗号化及
び復号化済みであるにも拘らず、前記ネットワーク層処
理・暗号化/復号化決定部で重複して暗号化/復号化の
指示がなされても、暗号化/復号化を行なわないように
構成されて成る ことを特徴とするデータ暗号化/復号化
LAN間接続装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP17111097A JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP17111097A JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH114249A JPH114249A (ja) | 1999-01-06 |
JP3259660B2 true JP3259660B2 (ja) | 2002-02-25 |
Family
ID=15917165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP17111097A Expired - Lifetime JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3259660B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4551112B2 (ja) * | 2003-04-24 | 2010-09-22 | パナソニック株式会社 | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
TW200529623A (en) | 2004-01-14 | 2005-09-01 | Nec Corp | Communication encryption method, communication encryption system, terminal device, DNS server and program |
-
1997
- 1997-06-12 JP JP17111097A patent/JP3259660B2/ja not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
JPH114249A (ja) | 1999-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0464564B1 (en) | Generic encryption technique for communication networks | |
US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
EP0464562B1 (en) | Method and apparatus for decryption of an information packet having a format subject to modification | |
US5161193A (en) | Pipelined cryptography processor and method for its use in communication networks | |
US5099517A (en) | Frame status encoding for communication networks | |
JP4481518B2 (ja) | 情報中継装置及び転送方法 | |
US5235644A (en) | Probabilistic cryptographic processing method | |
US7143282B2 (en) | Communication control scheme using proxy device and security protocol in combination | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
EP1869865B1 (en) | Method and apparatus for distributing group data in a tunneled encrypted virtual private network | |
JPH0637750A (ja) | 情報転送方式 | |
JPH07250058A (ja) | 安全保護装置及びデータ通信ネットワーク | |
JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
JP3259660B2 (ja) | データ暗号化/復号化lan間接続装置 | |
JP2693881B2 (ja) | 通信ネットワークで使用される暗号処理装置及び方法 | |
JP2006196996A (ja) | 通信システム及び通信方法 | |
JP4464187B2 (ja) | 送受信システム | |
JP4606410B2 (ja) | 安全な間接アドレス指定 | |
JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
JP2000261500A (ja) | データ通信装置 | |
JP3828867B2 (ja) | 情報転送方式 | |
JPH10190704A (ja) | データの暗号化方法、復号化方法、暗号化装置、および復号化装置 | |
JP3472098B2 (ja) | 移動計算機装置、中継装置及びデータ転送方法 | |
CN115277190B (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 | |
JP2004064490A (ja) | データ通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071214 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081214 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091214 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091214 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 11 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 11 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131214 Year of fee payment: 12 |
|
EXPY | Cancellation because of completion of term |