JP3595145B2 - 暗号通信システム - Google Patents

暗号通信システム Download PDF

Info

Publication number
JP3595145B2
JP3595145B2 JP35749197A JP35749197A JP3595145B2 JP 3595145 B2 JP3595145 B2 JP 3595145B2 JP 35749197 A JP35749197 A JP 35749197A JP 35749197 A JP35749197 A JP 35749197A JP 3595145 B2 JP3595145 B2 JP 3595145B2
Authority
JP
Japan
Prior art keywords
encryption
key
encryption key
terminal
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP35749197A
Other languages
English (en)
Other versions
JPH1155322A (ja
Inventor
卓哉 田口
徹 稲田
康久 時庭
晃 渡邊
哲夫 井手口
茂明 谷本
彦之 中島
愼一 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to JP35749197A priority Critical patent/JP3595145B2/ja
Priority to US09/081,046 priority patent/US6226385B1/en
Priority to GB9810750A priority patent/GB2326803B/en
Priority to DE19823666A priority patent/DE19823666B4/de
Publication of JPH1155322A publication Critical patent/JPH1155322A/ja
Application granted granted Critical
Publication of JP3595145B2 publication Critical patent/JP3595145B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Description

【0001】
【発明の属する技術分野】
通信ネットワークに収容された通信端末間を中継する各暗号装置が互いに持つ暗号鍵を学習してから暗号通信を行う暗号通信システムに関する。
【0002】
【従来の技術】
近年のコンピュータネットワークの普及に伴い、ネットワーク上のデータの機密を保持するための通信データの暗号技術への需要が高まっている。従来、通信データの暗号については、図46に示す特開平6−209313に見られるように、暗号装置内部の通信データの宛先、送信元アドレスの一方あるいはその両方に対応した暗号鍵を登録したテーブル(以下暗号鍵テーブルと称する)に従ってデータを暗号/復号する方法が一般的であった。
【0003】
図46において、7は暗号装置、2は通信データを暗号/復号する暗号/復号処理部、3は通信データを透過的に中継する透過中継処理部、4は通信データを廃棄する廃棄処理部、6は送受信データの処理を実施する送受信処理部、8は通信データの処理方法を示す暗号鍵テーブルで、図48に示すように通信データの宛先端末、送信元端末のペア毎に通信データの処理方法が設定されている。
通信データの処理方法には、暗号/復号処理、透過中継処理、廃棄処理の3種類があり、暗号/復号の場合は、暗号/復号に使用する暗号鍵の識別子(以下IDと略す)が暗号鍵テーブル8に設定され、透過中継処理、廃棄処理の場合は、それぞれの処理が暗号鍵テーブル8に登録される。
【0004】
暗号装置7が通信データを受信した場合、送受信処理部6において、通信データの宛先と送信元端末のペアに対応する処理を暗号鍵テーブル8から検索し、暗号鍵のIDが登録されていた場合には、受信した通信データを暗号/復号処理部2へ通知し、通信データを受信した送受信処理部6とは反対側の送受信処理部6より通信データを送信する。透過中継処理、廃棄処理が登録されていた場合には、透過中継処理部3、廃棄処理部4へ受信した通信データを通知し、透過中継処理の場合は、通信データを受信した送受信処理部6とは反対側の送受信処理部6より通信データを送信し、廃棄処理の場合は通信データを廃棄する。
【0005】
図47のように暗号装置7を配置した場合の暗号通信の一例を以下に示す。暗号装置71は暗号鍵1、暗号装置72は暗号鍵3、暗号装置73は暗号鍵1、2暗号装置74は暗号鍵3、暗号装置75は暗号鍵2を持つものとする。また、端末Aと端末Bは、通信データを暗号装置71、73で暗号鍵1を使用して暗号/復号し、中継経路上の暗号装置72では、端末A−B間の通信データを透過的に中継することにより通信を実施する。端末Bと端末Cは、通信データを暗号装置73、75で暗号鍵2を使用して暗号/復号し、さらに暗号装置72、74で暗号鍵3を使用して暗号/復号して通信を実施する。端末Aと端末Cは、通信データの経路上に存在する暗号装置71、74、75で一致する暗号鍵がないために通信不可能となる。
【0006】
以上のような暗号通信を実現するために各暗号装置7において、図48に示すような暗号鍵テーブル8を用意する。暗号鍵テーブル8には、通信データの宛先端末アドレスと送信元端末アドレスとその通信データに適応した処理方法が設定されている。例えば、暗号装置71においては、端末A−端末B間の通信データを受信した場合は、暗号鍵1を使用して暗号/復号し、端末A−端末C間の通信データを受信した場合は、廃棄する。
また、暗号装置72においては、端末A−端末B間の通信データを受信した場合は、透過的に中継し、端末B−端末C間の通信データを受信した場合は、暗号鍵3を使用して暗号/復号する。
以上のように各暗号装置7に通信データの処理方法を示した暗号鍵テーブルが必要となる。
【0007】
上述した暗号鍵テーブルは、各暗号装置ごとに保持するか、ネットワーク上に配置された暗号鍵を一元的に管理する管理装置に保持されるのが一般的である。後者の場合、通信が開始されるときに暗号装置から管理装置へ問い合わせることにより暗号鍵を得ることとなる。
【0008】
【発明が解決しようとする課題】
暗号鍵テーブルは、図48に示すように各暗号装置毎に異なるため、ネットワーク管理者は、ネットワークの構成を考慮して、暗号鍵テーブルを各暗号装置毎に作成する必要がある。また、ネットワークが大規模になると通信端末数も増大し、暗号鍵テーブルが非常に複雑になり、ネットワーク管理者では対応しきれなくなると言う課題があった。
また、外部のネットワークからの不正アクセスを防ぐためアクセス制御手段が必要であった。
【0009】
本発明は、このようなネットワークの大規模化、複雑化に対応するするためになされたもので、ネットワーク構成が大規模、複雑化してもネットワーク管理者の負荷を最小限にして暗号通信および不正アクセス防止手段を実現することを目的としている。
【0010】
【課題を解決するための手段】
第1の発明に係わる暗号通信システムは、通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
通信データを中継する中継経路上の暗号装置は、中継する通信データの送信元端末と宛先端末の組み合わせ(以下端末ペアと称す)に対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、暗号鍵情報を収集するための鍵探索パケットが前記中継経路上の各暗号装置自身の暗号情報を収集し、その収集した暗号情報を鍵探索応答パケットが前記中継経路上の前記各暗号装置に通知し、
通知を受けた前記各暗号装置は、収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理するものである。
【0011】
第2の発明に係わる暗号通信システムは、通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
通信データを中継する中継経路上の暗号装置は、中継する通信データの送信元端末と宛先端末の組み合わせ(以下端末ペアと称す)に対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、前記通信データの前記端末ペアに対応する暗号鍵情報を収集するための鍵探索パケットを前記宛先端末に発信し、
その鍵探索パケットを中継する中継経路上の前記各暗号装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵情報を付加した鍵探索パケットを前記宛先端末に中継し、
前記鍵探索パケットを受信した前記宛先端末は、収集した暗号鍵情報を鍵探索応答パケットに設定し、その鍵探索応答パケットを中継経路上の前記各暗号装置に通知し、通知を受けた前記各暗号装置は収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理するものである。
【0012】
第3の発明に係わる暗号通信システムは、通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
通信データを中継する中継経路上の暗号装置は、中継する通信データの端末ペアに対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、通信データの前記送信元端末に対して、鍵探索パケットを発信する暗号装置を求めるための鍵探索要求パケットを送信し、
中継経路上の暗号装置はその鍵探索要求パケットを中継し、
中継した鍵探索要求パケットを受信した前記送信端末は、その応答を知らせる鍵探索要求応答パケットを送信し、 中継経路上最初に鍵探索要求応答パケットを受信した暗号装置は、前記通信データの端末ペアに対応する暗号鍵情報を収集するための鍵探索パケットを前記宛先端末に発信し、
その鍵探索パケットを中継する中継経路上の前記各暗号装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵情報を付加した鍵探索パケットを前記宛先端末に中継し、
前記鍵探索パケットを受信した前記宛先端末は、収集した暗号鍵情報を鍵探索応答パケットに設定し、その鍵探索応答パケットを中継経路上の前記各暗号装置に通知し、通知を受けた前記各暗号装置は収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理するものである。
【0013】
第4の発明に係わる暗号通信システムは、前記鍵探索パケットを中継する中継経路上の各暗号装置は、ローカルポートから鍵探索パケットを受信した場合、その鍵探索パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定し、パブリックポートから鍵探索パケットを受信した場合、その鍵探索パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定した鍵探索パケットを前記宛先端末に中継し、
前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、または、前記ローカルポートから受信した場合、前記ローカルポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなく、前記ローカルポート暗号鍵情報にある鍵で、前記パブリックポート暗号鍵情報に同じ鍵があれば、透過中継処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなければ、廃棄処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録するものである。
【0014】
第5の発明に係わる暗号通信システムは、前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に鍵がなにもければ透過中継処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録するものである。
【0015】
第6の発明に係わる暗号通信システムは、前記通信データを中継する中継経路上の暗号装置は、前記暗号鍵テーブルに登録された端末ペアの通信データを所定時間以上中継することがなければ、その端末ペアに対応する前記暗号鍵テーブルの暗号鍵情報を消去するものである。
【0016】
第7の発明に係わる暗号通信システムは、前記鍵探索応答パケットを受信した中継経路上の各暗号装置が、
前記鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも先に鍵探索パケットを受信した暗号装置でパブリックポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、予め設けた透過中継か廃棄を指示する外部端末通信モード設定手段の設定に基づいて透過中継処理か廃棄処理を指示する暗号鍵情報を前記暗号鍵テーブルに登録し、
前記鍵探索応答パケットを前記ローカルポートから受信した場合、前記ローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも後に鍵探索パケットを受信した暗号装置がローカルポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、前記外部端末通信モード設定手段の設定に基づいて透過中継処理か廃棄処理を指示する暗号鍵情報を前記暗号鍵テーブルに登録するものである。
【0017】
第8の発明に係わる暗号通信システムは、前記鍵探索応答パケットを受信した中継経路上の各暗号装置が、
前記鍵探索応答パケットを前記パブリックポートから受信した場合、前記鍵探索応答パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも先に鍵探索パケットを受信した暗号装置でパブリックポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、予め設けた透過中継か半透過か廃棄かを指示する外部端末通信モード設定手段の設定が半透過なら、透過処理を指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
前記鍵探索応答パケットを前記ローカルポートから受信した場合、前記鍵探索応答パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも後に鍵探索パケットを受信した暗号装置でローカルポート暗号鍵情報に登録されている暗号鍵と同じ暗号鍵を持つものがなければ、前記外部端末通信モード設定手段の設定が半透過なら、廃棄処理を指定する暗号鍵情報を前記暗号鍵テーブルに登録するものである。
【0018】
【発明の実施の形態】
実施の形態1.
本実施の形態は、通信相手の暗号鍵が不明なとき、通信に先立ち端末間の中継経路上の暗号装置の暗号鍵情報を収集し、収集した鍵情報に基づいて、暗号鍵情報を自動学習し、学習した暗号鍵を用いて通信するものである。
この発明を構成する暗号装置の一例を図1を用いて説明する。図において、1は学習機能付き暗号装置、2は通信データを暗号/復号する暗号/復号処理部、3は通信データを透過的に中継する透過中継処理部、4は通信データを廃棄する廃棄処理部、8は通信データの処理方法を示す暗号鍵テーブルで、図22に示すように通信データの宛先端末、送信元端末のペア毎に通信データの処理方法を登録する。
通信データの処理方法には、暗号/復号処理、透過中継処理、廃棄処理の3種類があり、暗号/復号の場合は、暗号/復号に使用する暗号鍵のIDが暗号鍵テーブル8に設定され、透過中継処理、廃棄処理の場合は、それぞれの処理方法が暗号鍵テーブル8に登録される。
【0019】
6は暗号鍵テーブル8の自動学習処理部で、受信した通信データの送信元端末と宛先端末のペアに対応して暗号鍵テーブル8に処理方法が登録していなかった場合に自動学習処理が起動される。
5はパブリックポートで、7はローカルポートである。
これらポートは暗号装置が通信データを暗号するのか復号するのかを識別するもので、暗号/復号処理の指定があった場合、暗号装置は、パブリックポート5から受信した通信データを復号し、ローカルポート7に送信する。また、ローカルポート7から受信した通信データを暗号化し、パブリックポート5に送信する。
9、10は送受信処理部で、通信データの受信処理、送信処理を実施する。
【0020】
次に動作について説明する。例えば、暗号装置1がローカルポート7から通信データを受信した場合、ローカルポート側の送受信処理部9は、通信データの宛先端末アドレスと送信元端末アドレスに対応する処理方法が暗号鍵テーブル8に登録されているか検索し、登録されていた場合、送受信処理部9はその処理方法に従い、暗号/復号処理部2、透過中継処理部3、廃棄処理部4のいずれかに処理を引き継ぐ。即ち処理方法に暗号鍵のIDが登録されていたなら、受信した通信データを暗号/復号処理部2へ渡す。処理方法に透過中継処理が登録されていたなら、透過中継処理部3へ受信した通信データを渡す。処理方法に廃棄処理が登録されていたなら、廃棄処理部4へ受信した通信データを渡す。
暗号/復号処理部2が通信データを受けたなら暗号鍵IDに従い、通信デ−タを暗号処理してパブリックポート側の送受信処理部10へ渡す。
【0021】
透過中継処理部3が通信データを受けたならその通信デ−タをパブリックポート側の送受信処理部10へ渡す。
廃棄処理部4が通信データを受けたならその通信データを廃棄する。
通信データを受けた送受信処理部10はパブリックポート5に渡し、パブリックポート5が通信データを送信する。
暗号装置1がパブリックポート5から通信データを受信した場合も同様に、送受信処理部10は通信データの宛先端末アドレスと送信元端末アドレスに対応する処理方法が暗号鍵テーブル8に登録されているか検索し、登録されていた場合、送受信処理部10はその処理方法に従い、暗号/復号処理部2、透過中継処理部3、廃棄処理部4のいずれかに処理を引き継ぐ。そして、暗号/復号処理部2が通信データを受けたなら暗号鍵IDに従い通信デ−タを復号処理してロ−カルポート側の送受信処理部9へ渡す。
【0022】
透過中継処理部3が通信データを受けたならその通信デ−タをロ−カルポート側の送受信処理部9へ渡す。
廃棄処理部4が通信データを受けたならその通信データを廃棄する。
通信データを受けた送受信処理部9はロ−カルポート7に渡し、ロ−カルポート7が通信データを送信する。
上記例において、もし暗号鍵テーブル8に処理方法が登録されていなかった場合には、自動学習処理部6に通知し、自動学習処理部6が他の暗号装置と連係して暗号鍵の学習を行なう。
【0023】
次に、本発明の、上記暗号装置を用いた暗号鍵学習機能を持つ暗号通信システムについて説明する。
図2は、鍵探索パケットおよび鍵探索応答パケットのフォーマットを示す。
図2において、21はヘッダで、パケット種別、鍵探索パケットの宛先アドレス、送信元アドレス、などを含む。22は暗号装置1が受信した通信データの送信元端末のアドレス、23は暗号装置1が受信した通信データの宛先端末のアドレスである。24はローカルポート暗号鍵情報で、鍵探索パケットをローカルポート7から受信した暗号装置1が自身の持つ暗号鍵のIDを設定する。25はパブリックポート暗号鍵情報で、鍵探索パケットをパブリックポート5から受信した暗号装置1が自身の持つ暗号鍵のIDを設定する。26は鍵探索パケットおよび鍵探索応答パケットのデ−タ部で、送信元端末アドレス22、宛先端末アドレス23、ローカルポート暗号鍵情報24およびパブリックポート暗号鍵情報25から構成される。
【0024】
図3は端末A、B,C,Dを収容するネットワークの構成例を示すもので、暗号装置11はIDが1の、暗号装置12はIDが3の、暗号装置13はIDが1およびIDが2の、暗号装置14はIDが3の、暗号装置15はIDが2の暗号鍵を保有しており、暗号復号時にはそれぞれのIDに対応した暗号鍵を使用する。即ち、各暗号装置に割り当てる暗号鍵は、あらかじめ配送して登録されており、各暗号装置は、自身の持つ暗号鍵の暗号鍵IDを内部に一つまたは複数個保持する。また初期の時点では各装置内の暗号鍵テーブル8には、鍵情報がなにも登録されていないものとする。
なお、図中のLポートは、ローカルポート7、Pポートはパブリックポート5を示す。 また、図3の暗号装置11のパブリックポート5には暗号装置12のパブリックポート5と暗号装置14のパブリックポート5が接続されている。他は、ローカルポート7に対しパブリックポート5が接続されている。
【0025】
次に、図3における端末Aから端末Bへ通信する際に、端末Aから受信した通信データの送信元端末と宛先端末のペアに対応して暗号鍵テーブル8に処理方法が何も登録していなかった場合に、暗号鍵テーブル8を学習するための鍵探索パケットのシーケンスを図4に示す。
図において、31は暗号装置11から送信される鍵探索パケット、32は暗号装置12が鍵探索パケット31に暗号装置12の暗号鍵のIDを追加した鍵探索パケット、33は暗号装置13が鍵探索パケット32に暗号装置13の暗号鍵のIDを追加した鍵探索パケット、35は端末Bからの鍵探索応答パケットで、鍵探索パケット33が収集した暗号鍵のIDを各暗号装置1に知らせるパケットである。
【0026】
41は端末Aからの通信データで、ヘッダ21と送信元端末アドレスと宛先端末アドレスとデータとを有する。42は通信データ41のデータ部を暗号化した通信データである。
83は暗号装置13の暗号鍵テ−ブルで、通信端末A−端末B間は処理方法が暗号/復号で暗号鍵のIDが1であることを示す。82は暗号装置12の暗号鍵テ−ブルで、通信端末A−端末B間は処理方法が透過中継であることを示す。81は暗号装置11の暗号鍵テ−ブルで、通信端末A−端末B間は処理方法が暗号/復号で暗号鍵のIDが1であることを示す。
図5は暗号装置が鍵探索応答パケットを受信したときの処理フロ−チャ−トである。
なお、暗号鍵テ−ブル81〜83に処理方法が何も登録されていないものとする。
【0027】
次に動作を説明する。まず、図4に示すように、端末Aより端末B宛の通信データ41が送信される。通信データ41をローカルポート7から受信した暗号装置11は内部の暗号鍵テーブル81を検索し、端末A−B間の通信の処理方法が登録されていないので、鍵探索パケット31を編集してパブリックポート5へ送信すると共に、受信した通信データ41を通信デ−タバッファ(図示せず)に格納しておく。
なお、暗号装置11は、鍵探索パケット31を図6に示すように編集する。即ち、受信した通信データ41に基づいて、端末Aアドレスを送信元端末アドレス22に、端末Bアドレスを宛先端末アドレス23に、自身の持つ暗号鍵のIDである1をローカルポート暗号鍵情報24に設定し、パブリックポート暗号鍵情報25には何も設定しない。また、ヘッダにはパケット種別に鍵探索パケットを、鍵探索パケットの送信元アドレスに暗号装置11のアドレスを、宛先アドレスに端末Bのアドレスをセットする。
【0028】
鍵探索パケット31をパブリックポート5から受信した暗号装置12は、図7に示すように、自身の持つ唯一の暗号鍵のIDである3をパブリックポート暗号鍵情報25に追加設定し、鍵探索パケット32をローカルポート7へ転送する。鍵探索パケット32をパブリックポート5から受信した暗号装置13は、図8に示すように、自身の持つ暗号鍵のIDである1と2をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット33をローカルポート7へ転送する。
鍵探索パケット33を受信した端末Bは、鍵探索パケット33のデータ部26を鍵探索応答パケット35にコピーする。そして、図9に示す鍵探索応答パケット35を暗号装置13経由11に送信する。ただし、鍵探索応答パケット35のヘッダ21にパケット種別が鍵探索応答パケット、送信元が端末Bのアドレス、宛先が暗号装置11のアドレスを設定し送信する。
【0029】
暗号装置13は、鍵探索応答パケット35をローカルポート7から受信すると(図5のステップS1)、暗号装置13は、自分自身の暗号鍵のIDである1または2と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS2)。
本例の場合、暗号装置11の設定したIDである1が鍵探索応答パケットのローカルポート暗号鍵情報24に設定されているので、暗号装置13は、図4の暗号鍵テーブル83に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを登録し(ステップS3)、通信データバッファに送信すべき通信データがなく(ステップS4)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置13ではないので(ステップS6)、受信した鍵探索応答パケット35を暗号装置12に中継する(ステップS8)。
【0030】
暗号装置12は、鍵探索応答パケット35をローカルポート7から受信すると(図5のステップS1)、暗号装置12は、自分自身の暗号鍵のIDである3と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS2)。
本例の場合、同じIDを見つけることができないので、暗号装置12は、鍵探索応答パケット35のローカルポート暗号鍵情報24にある暗号鍵IDと同じ暗号鍵IDがパブリックポート暗号鍵情報25にあるか調べる(ステップS13)。
そして、図9に示すように暗号装置11の暗号鍵IDの1と暗号装置13の暗号鍵IDの1が一致するので、暗号装置12は、図4の暗号鍵テ−ブル82に端末A−端末B間の通信データを透過的に中継することを暗号鍵テーブル82に登録し(ステップS14)、通信データバッファに送信すべき通信データがなく(ステップS4)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置12ではないので(ステップS6)、受信した鍵探索応答パケット35を暗号装置11に中継する(ステップS8)。
【0031】
暗号装置11は、鍵探索応答パケット35をパブリックポート5から受信すると(ステップS11)、自分自身の持つ暗号鍵のIDである1と同じIDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、暗号装置13が設定した2つの暗号鍵のうちで、IDが1の暗号鍵が鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているため、暗号装置11は、図4の暗号鍵テーブル81に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを暗号鍵テーブル81に登録する(ステップS3)。
【0032】
そして、暗号装置11は、通信データバッファに送信すべき通信データ41があるので(ステップS4)、通信データ41を暗号鍵テーブル81の内容に従い、暗号/復号処理部2で、暗号鍵1を用いて暗号化して通信データ42として端末B宛て送信する(ステップS5)。
次に、受信した鍵探索応答パケット35のヘッダ21に宛先アドレスは、暗号装置11となっているので(ステップS6)、暗号装置11は鍵探索応答パケット35を廃棄する(ステップS7)。
【0033】
暗号装置11で暗号化された通信データ42は、暗号装置12で暗号鍵テーブル82の内容に従い透過中継され、暗号装置13では、暗号鍵テーブル83の内容に従い、パブリックポート5からの通信データ42を暗号鍵1で復号し、復号した通信データ1をローカルポート7経由端末Bへ送信する。
端末Bから端末Aへの通信データ43は、暗号装置13で暗号鍵テーブル83の内容に従い、ローカルポート7からの通信データ43を暗号鍵1により暗号され、暗号装置12では暗号鍵テーブル82の内容に従い、透過的に中継されて、暗号装置11では暗号鍵テーブル81の内容に従い、パブリックポート5からの通信データ43を暗号鍵1により復号されてローカルポート7経由端末Aへ達する。
【0034】
上記例では、鍵探索パケットを宛先端末に送信したが、宛先端末を収容する暗号装置宛であってもよい。この場合、鍵探索パケットは中継経路上の暗号装置の暗号鍵情報を収集して、宛先端末を収容する暗号装置から、鍵探索応答パケットを中継経路上の暗号装置に通知する。
また、鍵探索パケットは送信元端末側の暗号装置からではなく、宛先端末を収容する暗号装置から発信させてもよい。この場合、送信元端末側の暗号装置から宛先端末を収容する暗号装置に鍵探索パケットを送出するよう指示し、指示された暗号装置から送出された鍵探索パケットは中継経路上の暗号装置の暗号鍵情報を収集し、送信元端末を収容する暗号装置から、鍵探索応答パケットを中継経路上の暗号装置に通知する。
以上により通信相手の暗号鍵がわからない状態から鍵探索パケットを用いて、端末間の通信経路上の暗号装置の鍵情報を収集し、収集した鍵情報に基づいて、暗号鍵情報を自動学習し、端末間の通信データを各暗号装置が暗号/復号、透過中継するので、人手により暗号通信ができるよう端末間の通信経路上の暗号装置に暗号鍵情報を設定するより、操作ミスが無く、ネットワ−ク管理が容易である。
図3における暗号装置11、13、15の機能を端末A、B、Cに内蔵させることによっても同様の効果を得ることができる。
【0035】
実施の形態2.
本実施の形態は二重暗号の動作を説明する。
図10は、図3における端末Bから端末Cへ通信する場合、各暗号装置1が鍵探索パケットと鍵探索応答パケットにより暗号鍵テーブル8を学習するシーケンスを示したものである。図10において、41は端末Bから送信された通信データ、42は通信データ41を暗号化した通信データ、43は端末Cから端末Bへの通信データである。31〜34は暗号装置13から送信され暗号装置12、14、15を中継し端末Cに送られる鍵探索パケット、35は鍵探索応答パケットで、端末Cから送信され暗号装置15、14、12を中継する。
【0036】
82は暗号装置12の暗号鍵テ−ブルで、通信端末B−端末C間は処理方法が暗号/復号で暗号鍵のIDが3であることを示す。83は暗号装置13の暗号鍵テ−ブルで、通信端末B−端末C間は処理方法が暗号/復号で暗号鍵のIDが2であることを示す。84は暗号装置14の暗号鍵テ−ブルで、通信端末B−端末C間は処理方法が暗号/復号で暗号鍵のIDが3であることを示す。85は暗号装置15の暗号鍵テ−ブルで、通信端末B−端末C間は処理方法が暗号/復号で暗号鍵のIDが2であることを示す。
図5は暗号装置が鍵探索応答パケットを受信したときの処理フロ−チャ−トである。
【0037】
次に動作を説明する。まず、暗号鍵テ−ブル82〜85に処理方法が何も登録されていないものとする。
端末Bが通信データ41を送信すると、通信データ41を受信した暗号装置13は、自身の暗号鍵テーブル83に端末B−端末C間のデータの処理方法が登録されているか調べ登録されていないので、実施の形態1の時と同様に、鍵探索パケットのローカルポート暗号鍵情報24に自身の暗号鍵のID1、2を設定した鍵探索パケット31を送信する。ただし、鍵探索パケット31のヘッダ21にはパッケット種別に鍵探索パケットを、鍵探索パケットの送信元に暗号装置13のアドレスを、宛先に端末Cのアドレスを設定し、暗号装置12経由端末Cに送信する。
【0038】
探索パッケット31をローカルポート7から受信した暗号装置12は、鍵探索パケット31のローカルポート暗号鍵情報24に自身の持つ暗号鍵のID3を追加した鍵探索パケット32を送信する。
暗号装置14は、パブリックポート5から受信した鍵探索パケット32のパブリックポート暗号鍵情報25に自身の持つ暗号鍵のID3を追加した鍵探索パケット33を送信する。
暗号装置15は、パブリックポート5から受信した鍵探索パケット33のパブリックポート暗号鍵情報25に自身の持つ暗号鍵のID2を追加した鍵探索パケット34を送信する。
【0039】
次に、暗号装置15から自端末宛の鍵探索パケット34を受信した端末Cは、鍵探索パケット34のデータ部26を鍵探索応答パケット35のデータ部26にコピーする。そして、図11に示す鍵探索応答パケット35を暗号装置15経由端末B宛てに送信する。ただし、鍵探索応答パケット35のヘッダ21にはパケット種別に鍵探索応答パケットを、送信元に端末Cのアドレス、宛先に暗号装置13のアドレスを設定し送信する。
【0040】
暗号装置15は、ローカルポート7から鍵探索応答パケット35を受信すると(図5のステップS1)、自分自身の暗号鍵のIDである2と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS2)。
本例の場合、暗号装置15の設定したIDである2が鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているので、暗号装置15は、図10の暗号鍵テーブル85に端末B−端末C間の通信データ41をIDが2の暗号鍵で暗号/復号することを登録し(ステップS3)、通信データバッファに送信すべき通信データ41がなく(ステップS4)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置15ではないので(ステップS6)、受信した鍵探索応答パケット35を暗号装置14に中継する(ステップS8)。
【0041】
以下、同様に図5のフローチャートに従うと暗号装置14は、ローカルポート7から鍵探索応答パケット35を受信すると、鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されている暗号鍵のIDを検索し、IDが3の鍵を得て自身の暗号鍵テーブル84に、端末B−端末C間の通信データを、IDが3の暗号鍵で暗号/復号することを登録し、鍵探索応答パケット35を暗号装置12に中継する。
【0042】
また、暗号装置12は、パブリックポート5から鍵探索応答パケット35を受信すると、自分自身の暗号鍵のIDである3と同じ暗号鍵IDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているかどうか検索し、ID3の鍵が同一なので、自身の暗号鍵テーブル82に、端末B−端末C間の通信データを、IDが3の暗号鍵で暗号/復号することを登録し、暗号装置13に中継する。
暗号装置13は、パブリックポート5から鍵探索応答パケット35を受信すると、自分自身の暗号鍵のIDである1または2と同じ暗号鍵IDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されている暗号鍵のIDを検索し、ID2の鍵が同一なので、自身の暗号鍵テーブル83に、端末B−端末C間の通信データを、IDが2の暗号鍵で暗号/復号することを登録する。
【0043】
続いて、実施の形態1と同様に、暗号装置13は、通信デ−タバッファ(図示せず)に格納しておいたローカルポート7からの通信データ41を暗号鍵テーブル83の内容に従い、暗号/復号処理部2で、暗号鍵2を用いて暗号化し、その暗号化した通信データ42をパブリックポート5から暗号装置12経由端末C宛に送信する。また、鍵探索応答パケット35のヘッダ21内の宛先アドレスは、暗号装置13となっているので鍵探索応答パケット35は、暗号装置13によって廃棄される。
【0044】
暗号装置13で暗号化された通信データ42を、ローカルポート7から受信した暗号装置12は暗号鍵テーブル82の内容に従い、暗号鍵3により暗号化し、暗号装置14で暗号鍵テーブル84の内容に従い、パブリックポート5経由暗号鍵3により復号され、暗号装置15では暗号鍵テーブル85の内容に従い、パブリックポート5からの通信データを暗号鍵2により復号され、ローカルポート7経由端末Cへ達する。
【0045】
端末Cから端末Bへの通信データ43は、暗号装置15で暗号鍵テーブル85の内容に従い、ローカルポート7からの通信データ43を暗号鍵2により暗号され、暗号装置14で暗号鍵テーブル84の内容に従い、ローカルポート7からの通信データ43を暗号鍵3により暗号され、暗号装置12では暗号鍵テーブル82の内容に従い、パブリックポート5からの通信データ43を暗号鍵3により復号されて、暗号装置13では暗号鍵テーブル83の内容に従い、パブリックポート5からの通信データ43を暗号鍵2により復号されてローカルポート7経由端末Bへ達する。
【0046】
以上により、暗号装置13および15で暗号化した通信データをさらに暗号装置12および14で暗号化するので機密性の高い暗号通信ができる。
なお、端末B、C間で一度暗号化したら再度暗号化しないよう暗号装置12および14で暗号/復号処理をせず、透過中継処理をするようにしてもよい。従って、暗号/復号による通信データの遅延を減少できる。
図3における暗号装置11、13、15の機能を端末A、B、Cに内蔵させることによっても同様の効果を得ることができる。
【0047】
実施の形態3.
図3に示すように、端末A−端末C間で通信を行なう場合、暗号装置11、14、15で保持する暗号鍵のIDが1、3、2で、一致するものがないときの動作を説明する。
まず、図12に示すように、端末Aより端末C宛の通信データ41が送信される。通信データ41をローカルポート7から受信した暗号装置11は内部の暗号鍵テーブル81を検索し、端末A−B間の通信の処理方法が登録されていない場合、鍵探索パケット31を編集してパブリックポート5へ送信すると共に、受信した通信データ41を通信デ−タバッファに格納しておく。
【0048】
そして、暗号装置11は、鍵探索パケット31を受信した通信データ41に基づいて、以下のように編集する。 即ち、端末Aアドレスを送信元端末アドレス22に、端末Cアドレスを宛先端末アドレス23に、自身の持つ暗号鍵のIDである1をローカルポート暗号鍵情報24に設定し、パブリックポート暗号鍵情報25には何も設定しない。また、ヘッダ21にはパケット種別に鍵探索パケットを、鍵探索パケットの送信元アドレスに暗号装置11のアドレスを、宛先アドレスに端末Cのアドレスを設定して暗号装置14経由端末C宛に送信する。
暗号装置11が発信した鍵探索パケット31は暗号装置14、15でパブリックポート鍵情報25に自暗号鍵IDが付加されて端末Cに達する。端末Cは、鍵探索パケットのデ−タ部26を図13に示すように、鍵探索応答パケット35にコピ−し、ヘッダ21にはパケット種別が鍵探索応答パケット、送信元が端末Cのアドレス、宛先が暗号装置11のアドレスを設定した、鍵探索応答パケット35を暗号装置15経由暗号装置11宛てに送信する。
【0049】
次に、図5は暗号装置が鍵探索応答パケットを受信するときの処理フロ−チャ−トである。このフロ−チャ−トに従い説明する。
暗号装置15は、ローカルポート7から鍵探索応答パケット35を受信すると(図5のステップS1)、自分自身の暗号鍵のIDである2と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS2)。
本例の場合、暗号装置15が持つ暗号鍵ID2と同じ暗号鍵IDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されていないので、ロ−カルポ−ト暗号鍵情報24とパブリックポート暗号鍵情報25に同じ暗号鍵IDがあるか調べ(ステップ13)、ないのでローカルポート暗号鍵情報24またはパブリックポート暗号鍵情報25に暗号鍵のIDが何も設定されていなか調べ(ステップ15)、ともに設定されているので暗号鍵テーブル85に廃棄処理を登録する。そして、ステップS4に進み、通信データバッファに送信すべき通信デ−タはなく、宛先アドレスが自暗号装置ではないので(ステップS6)受信した鍵探索応答パケット35を暗号装置14に中継する(ステップS8)。
【0050】
以下、同様に暗号装置14は、ローカルポート7から鍵探索応答パケット35を受信すると、暗号鍵テーブル84に廃棄処理を登録し、鍵探索応答パケット35を暗号装置11に中継する。
暗号装置11は、パブリックポート5から鍵探索応答パケット35を受信すると、自身の暗号鍵テーブル81に、端末A−端末C間の通信データは廃棄処理するよう登録する。そして、送信バッファに格納されている通信デ−タを暗号鍵テーブル81に従い廃棄する。
【0051】
また、鍵探索応答パケット35のヘッダ21内の宛先アドレスが、暗号装置11となっているので、暗号装置11は鍵探索応答パケット35を廃棄する。
上記例では、図13にも示したとおり、一致する暗号鍵のIDが存在しないため、暗号装置11、14、15の暗号鍵テーブル81、84、85には、端末A−端末C間の通信データを廃棄することが登録される。この結果、端末A−端末C間の通信データは、各暗号装置によって廃棄される。
以上、端末A−端末C間の中継経路上の各暗号装置に同一の暗号鍵IDがない場合、各暗号装置は端末A−端末C間の通信データを廃棄するので、不正アクセス、機密の漏洩防止ができる。
【0052】
実施の形態4.
一つの暗号装置を介して二つの端末間で通信を行なう例を図3、図14、図5を用いて説明する。
図14は、図3における端末Aから端末Dへの通信が実施される際に、暗号鍵テーブルを学習するために実施される鍵探索パケットのシーケンスを示したものである。41は、端末Aから送信された通信データ、31は、暗号装置11から送信される鍵探索パケット、35は、端末Dから送信される鍵探索応答パケット、41、43は、暗号鍵テーブル学習後に実施される端末A−端末D間の通信デ−タを示す。81は暗号装置11の暗号鍵テーブルである。
図5は暗号装置が鍵探索応答パケットを受信したときの処理フロ−チャ−トである。
【0053】
端末Aからの通信データ41をローカルポート7から受信した暗号装置11は、自身の持つ暗号鍵テーブル81に端末A−端末D間の通信データの処理方法が登録されていないため、図15に示す鍵探索パケット31を編集し端末D宛て送信する。また、通信デ−タ41を通信デ−タバッファに格納する。
【0054】
なお、暗号装置11は、鍵探索パケット31を図15に示すように編集する。即ち、受信した通信データ41に基づいて、端末Aアドレスを送信元端末アドレス22に、端末Dアドレスを宛先端末アドレス23に、自身の持つ暗号鍵のIDである1をローカルポート暗号鍵情報24に設定し、パブリックポート暗号鍵情報25には何も設定しない。また、ヘッダ21にはパケット種別に鍵探索パケットを、鍵探索パケットの送信元アドレスに暗号装置11のアドレスを、宛先アドレスに端末Dのアドレスをセットする。
鍵探索パケット31を受信した端末Dは、鍵探索応答パケット35のデータ部に、鍵探索パケットのデータ部をコピーして、ヘッダ21にはパケット種別に鍵探索応答パケット35を、宛先アドレスに暗号装置11のアドレスを、送信元アドレスに端末Dのアドレスを設定して暗号装置11に送信する。
【0055】
鍵探索応答パケット35をパブリックポート5から受信した(図5のステップS11)暗号装置11は、自分自身の持つ暗号鍵のIDである1と同じIDがパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本実施の形態の場合、設定されていないので、ローカルポート暗号鍵情報24とパブリックポート暗号鍵情報25の両方に同じ暗号鍵IDがあるか調べ(ステップS13)、パブリックポート暗号鍵情報25には何も設定されていない。つまり、暗号装置11の送信した鍵探索パケット31をパブリックポート5から受信した暗号装置はいないということ(復号する暗号装置が存在しない)であり、このため、暗号装置11では、暗号鍵テーブル81に端末A−端末D間の通信データを透過中継することが登録される(ステップS14)。
【0056】
そして、通信デ−タバッファに格納しておいた通信データ41を暗号鍵テーブル81に従い端末A−端末D間の通信データを透過中継する(ステップS5)。また、自暗号装置宛て(ステップS6)の鍵探索応答パケット35を廃棄する(ステップS7)。この結果、通信デ−タ41は暗号されずに端末Dに到達する。また、端末Dからの通信データ43は暗号装置11で暗号鍵テーブル81に従い透過中継されて暗号化されずに端末Aに達する。
【0057】
以上、鍵探索応答パケット35のパブリックポート鍵情報25に暗号鍵IDがない場合、暗号装置は暗号鍵テーブル81に端末A−端末D間の通信データを透過中継するよう登録するので、一つの暗号装置を介して暗号化せず端末間通信ができる。
上記例では、暗号化せずに通信できるようにしたが、通信を許可しないとしてもよい。
【0058】
実施の形態5.
以上の実施の形態1、2では、各暗号装置が初期状態、即ち暗号鍵テーブルに何も設定されていない状態での例を説明してきたが、各暗号装置が暗号鍵テーブル8の学習後、電源断などにより通信経路の途中の暗号装置の暗号鍵テーブル8が消去されてしまった場合、暗号通信ができなくなる例を以下に示す。
【0059】
例えば、実施の形態2による方法で、図3における端末Bと端末C間で通信中に、障害により暗号装置12がすでに学習済みの暗号鍵テーブル82を消去してしまった場合の動作を図16を用いて説明する。
なお、図中82aは消去してしまった暗号鍵テーブル、82bは再登録した暗号鍵テーブルである。図5は暗号装置が鍵探索応答パケットを受信したときの処理フロ−チャ−トである。
端末Bから端末C宛ての通信デ−タ41をローカルポート7から受信すると暗号装置13は暗号鍵テーブル83を参照して処理方法に暗号鍵2が登録されているので、暗号鍵2で通信デ−タ41を暗号化して送出する。暗号化した通信デ−タ41を受信した暗号装置12は暗号鍵テーブル82aを参照すると端末Bと端末C間は処理方法が登録されていないので、鍵探索パケット32を編集し、暗号装置14、15経由端末C宛てに送出する。
【0060】
なお、暗号装置12は鍵探索パケット32のローカルポート暗号鍵情報24に暗号装置12の暗号鍵ID3を設定し、鍵探索パケット32のヘッダ21にはパケット種別に鍵探索パケットを、送信元アドレスに暗号装置12のアドレスを、宛先アドレスに端末Cのアドレスを設定し、暗号装置14経由端末C宛て送信する。
そして、鍵探索パケット32をパブリックポート5から受信した暗号装置14は、自暗号鍵のIDを鍵探索パケット32のパブリックポート暗号鍵情報25に付加した鍵探索パケット33を暗号装置15経由端末C宛て送信する。
鍵探索パケット33をパブリックポート5から受信した暗号装置15は、自暗号鍵のIDを鍵探索パケット33のパブリックポート暗号鍵情報25に付加した鍵探索パケット34を端末Cに送信する。
【0061】
鍵探索パケット34を受信した端末Cは、鍵探索パケット34のデータ部26を図17のように鍵探索応答パケット35のデータ部26にコピーし、鍵探索応答パケット35のヘッダ21にはパケット種別に鍵探索応答パケットを、送信元に端末Cのアドレスを、宛先に暗号装置12のアドレスを設定し、その鍵探索応答パケット35を暗号装置15経由暗号装置12宛てに送出する。
鍵探索応答パケット35をローカルポート7から受信した(図5のステップS1)暗号装置15は、自分自身の暗号鍵のIDである2と同じIDがローカルポート暗号鍵情報24に設定されているか調べ(ステップS2)、ないのでローカルポート暗号鍵情報24とパブリックポート暗号鍵情報25に同じ暗号鍵のIDがあるか調べ(ステップS13)、あるので暗号鍵テーブル85に処理方法として透過中継処理を登録する(ステップS14)。送信すべき通信デ−タがなく(ステップS4)、自暗号装置宛てではないので(ステップS6)、鍵探索応答パケット35を暗号装置14に中継する。(ステップS8)。
【0062】
以下同様に、鍵探索応答パケット35を受信した暗号装置14は暗号鍵テーブル84に端末B−C間では処理方法が暗号/復号処理で暗号鍵のIDが3を登録し、鍵探索応答パケット35を暗号装置12に中継する。
鍵探索応答パケット35をパブリックポート5から受信した(図5のステップS11)暗号装置12は、自分自身の暗号鍵のIDである3と同じIDがパブリックポート暗号鍵情報25に設定されているか調べ(ステップS12)、あるので暗号鍵テーブル82に処理方法として暗号/復号処理で暗号鍵のIDが3を登録し、通信デ−タバッファに送信すべき通信デ−タがあるか調べ(ステップS4)、あるので通信デ−タを送信する(ステップS5)。鍵探索応答パケット35は自暗号装置12宛てであるので(ステップS6)、鍵探索応答パケット35を廃棄する(ステップS7)。
【0063】
従って、暗号装置12は暗号鍵テーブル82bに端末B−C間では処理方法が暗号/復号処理で暗号鍵のIDが3を登録する。暗号装置14は暗号鍵テーブル84に端末B−C間では処理方法が暗号/復号処理で暗号鍵のIDが3を登録する。暗号装置15は暗号鍵テーブル85に端末B−C間では処理方法が透過中継を登録する。
そして、端末Bから送信された通信データは、暗号装置13でIDが2の暗号鍵で暗号され、暗号装置12でIDが3の暗号鍵で暗号され、暗号装置14でIDが3の暗号鍵で復号され、暗号装置15で透過中継されるため、端末Cに到達するデータは、IDが2の暗号鍵で暗号された状態となっており、通信が不可能である。
【0064】
本実施の形態では暗号装置が暗号鍵テーブルを消去しても、混乱を起こさず復旧させる方法について、以下に説明する。
図3における端末Bと端末C間で通信中に、例えば、障害により暗号装置12がすでに学習済みの暗号鍵テーブル82を消去してしまった場合のシーケンスを図18に示す。
図18において、82aは消去してしまった暗号装置12の暗号鍵テーブル、82bは再登録した暗号装置12の暗号鍵テーブル、83は暗号装置13の暗号鍵テーブル、84は暗号装置14の暗号鍵テーブル、85は暗号装置15の暗号鍵テーブルである。
また、暗号装置13の暗号鍵テーブル83は端末Bと端末C間は暗号鍵2を、暗号装置14の暗号鍵テーブル84は端末Bと端末C間は暗号鍵3を、暗号装置15の暗号鍵テーブル85は端末Bと端末C間は暗号鍵2を登録しているものとする。
【0065】
次に図19は鍵探索要求パケットのフォーマットを示し、21はヘッダで、パケット種別、鍵探索要求パケットの宛先アドレス(本例では、端末B)、送信元アドレス(本例では、暗号装置12)などを含む。27は、暗号装置が受信した通信データの送信元端末、28は、暗号装置が受信した通信データの宛先端末のアドレスである。 図20は鍵探索要求パケット51の例で、送信元端末アドレス27には端末Bアドレス、宛先端末アドレス28には、端末Cアドレスが設定される。
図21は鍵探索要求応答パケット52の例で、送信元端末アドレス27には端末Bアドレス、宛先端末アドレス28には、端末Cアドレスが設定される。
【0066】
次に動作を説明する。
端末Bからの通信データ41をローカルポート7から受信した暗号装置13は、暗号鍵テーブル83に登録された処理方法に従い、IDが2の暗号鍵で暗号化した通信データ41を暗号装置12へ中継する。暗号化された通信データ41を受信した暗号装置12は、暗号鍵テーブル82aに端末B−端末C間の処理方法が登録されていないので、図20に示すように、暗号装置12は鍵探索要求パケット51の送信元に端末Bのアドレスを、宛先に端末Cのアドレスを設定し、ヘッダ21にはパケット種別が鍵探索要求パケット、送信元が端末Bのアドレス、宛先が暗号装置12のアドレスを設定した鍵探索要求パケット51を通信データの送信元端末すなわち端末B宛に送信すると共に、通信データ41を通信データバッファに格納しておく。
【0067】
鍵探索要求パケット51を受信した暗号装置13は、受信パケットが端末B宛の鍵探索要求パケット51であるため、これを端末Bに中継する。鍵探索要求パケット51を受信した端末Bは、図20、図21に示すように、送信元端末アドレス27と宛先端末アドレス28を鍵探索要求応答パケット52の送信元端末アドレス27と宛先端末アドレス28にコピーし、鍵探索応答パケット52のヘッダ21にはパケット種別が鍵探索要求応答パケット、送信元が端末Bのアドレス、宛先が暗号装置12のアドレスを設定し送信する。
鍵探索要求応答パケット52を受信した暗号装置13は、鍵探索パケット31の送信元端末アドレス27には鍵探索要求応答パケット52に設定されていた送信元端末アドレス27を、宛先端末アドレス28には、鍵探索要求応答パケット52に設定されていた送信元端末アドレス28をコピーする。
【0068】
ここでは、送信元端末アドレス27に端末Bのアドレスが、宛先端末アドレス28に端末Cのアドレスが設定される。
また、ヘッダ21にはパケット種別に鍵探索パケットを、送信元に暗号装置13のアドレスを、宛先に端末Cのアドレスを設定し、鍵探索パケット31を送信する。
そして、暗号装置13は鍵探索要求応答パケット52のヘッダ21の宛先アドレスが何であっても関係無く、受信した鍵探索要求応答パケット52を廃棄する。
この後の鍵探索パケットの処理過程は、実施の形態2と同じで、暗号装置13は、鍵探索パケット31を暗号装置12、14、15経由端末C宛てに送出する。ただし、鍵探索パケット31を発信した暗号装置13と中継した暗号装置12、14、15は自暗号鍵のIDを鍵探索パケット31、32、33に付加した鍵探索パケット32、33、34を送信する。即ち、暗号装置13、12は自暗号鍵のIDをロ−カルポ−ト暗号鍵情報24に、暗号装置14、15は自暗号鍵のIDをパブリックポ−ト暗号鍵情報25に、設定する。
【0069】
鍵探索パケット34を受信した端末Cは鍵探索パケットのデータ部26を鍵探索応答パケット35のデータ部26にコピーする。そして、鍵探索応答パケット35を暗号装置15経由暗号装置13宛てに送信する。ただし、鍵探索応答パケット35のヘッダ21にパケット種別が鍵探索応答パケット、送信元が端末Cのアドレス、宛先が暗号装置13のアドレスを設定し送信する。
【0070】
暗号装置15は、ローカルポート7から鍵探索応答パケット35を受信すると(図5のステップS1)、自分自身の暗号鍵のIDである2と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS2)。
本例の場合、暗号装置15の設定したIDである2が鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているので、暗号装置15は、図18の暗号鍵テーブル85に端末B−端末C間の通信データ41をIDが2の暗号鍵で暗号/復号することを登録し(ステップS3)、通信データバッファに送信すべき通信データ41がなく(ステップS4)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置15ではないので(ステップS6)、受信した鍵探索応答パケット35を暗号装置14に中継する(ステップS8)。
【0071】
以下、同様に図5のフローチャートに従うと暗号装置14は、ローカルポート7から鍵探索応答パケット35を受信すると、鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されている暗号鍵のIDを検索し、IDが3の鍵を得て自身の暗号鍵テーブル84に、端末B−端末C間の通信データを、IDが3の暗号鍵で暗号/復号することを登録し、鍵探索応答パケット35を暗号装置12に中継する。
【0072】
暗号装置12は、パブリックポート5から鍵探索応答パケット35を受信すると、鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されている暗号鍵のIDを検索し、IDが3の鍵を得て、自身の暗号鍵テーブル82に、端末B−端末C間の通信データを、IDが3の暗号鍵で暗号/復号することを登録する。
そして、通信デ−タバッファに格納しておいたローカルポート7からの通信データ41を暗号鍵テーブル82の内容に従い、暗号/復号処理部2で、暗号鍵3を用いて暗号化し、その暗号化した通信データ42を暗号装置14経由端末Cに送信する。
【0073】
また、鍵探索応答パケット35を暗号装置13に中継する。
暗号装置13は、パブリックポート5から鍵探索応答パケット35を受信すると、鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されている暗号鍵のIDを検索し、IDが2の鍵を得て、自身の暗号鍵テーブル83に、端末B−端末C間の通信データを、IDが2の暗号鍵で暗号/復号することを登録する。
続いて、実施の形態1と同様に、暗号装置13は、鍵探索応答パケット35のヘッダ21内の宛先アドレスが、暗号装置13となっているので、鍵探索応答パケット35を廃棄する。
【0074】
暗号装置13で暗号化された通信データ42を、ローカルポート7から受信した暗号装置12は暗号鍵テーブル82の内容に従い、暗号鍵3により暗号化し、暗号装置14で暗号鍵テーブル84の内容に従い、パブリックポート5経由暗号鍵3により復号され、暗号装置15では暗号鍵テーブル85の内容に従い、パブリックポート5からの通信データを暗号鍵2により復号され、ローカルポート7経由端末Cへ達する。 従って、端末Bからの通信データ41を中継するとき、暗号装置13は暗号鍵テ−ブル83に従い、暗号鍵のID2で暗号化し、暗号装置12は暗号鍵テ−ブル82bに従い暗号鍵のID3で暗号化し、暗号装置14は暗号鍵テ−ブル84に従い暗号鍵のID3で復号し、暗号装置15は暗号鍵テ−ブル85に従い、暗号鍵のID2で復号し、端末Cに送る。
【0075】
端末Cから端末Bへの通信データ43は、暗号装置15で暗号鍵テーブル85の内容に従い、ローカルポート7からの通信データ43を暗号鍵2により暗号され、暗号装置14で暗号鍵テーブル84の内容に従い、ローカルポート7からの通信データ43を暗号鍵3により暗号され、暗号装置12では暗号鍵テーブル82の内容に従い、パブリックポート5からの通信データ43を暗号鍵3により復号されて、暗号装置13では暗号鍵テーブル83の内容に従い、パブリックポート5からの通信データ43を暗号鍵2により復号されてローカルポート7経由端末Bへ達する。
以上により通信相手の暗号鍵がわからない状態から鍵探索パケットを用いることにより相方向の暗号通信ができる。
【0076】
以上のように鍵探索パケットは、通信データの送信元端末に一番近い暗号装置13から送信するようにしたので暗号装置が暗号鍵テ−ブルを消去しても矛盾なく暗号通信ができ暗号鍵学習もできる。
また、本実施の形態では、通信データの送信元端末に対して鍵探索要求パケットを送信したが、通信データの宛先に対して鍵探索要求パケットを送信しても同等の効果が得られる。
【0077】
また、鍵探索要求パケットを送信せず、はじめに暗号装置12から通信データの送信元端末である端末B宛に鍵探索パケットを送信し、暗号装置13の持つ暗号鍵のIDの情報を暗号装置12で一旦収集し、収集した情報を持つ鍵探索パケット(あたかも、暗号装置13から送信され、暗号装置12が自身の暗号鍵のIDを追加設定したように、鍵探索パケットのデータ部を設定した鍵探索パケット)を暗号装置12から送信することによっても同等の効果が得られる。
上記例では、鍵探索パケットを宛先端末に送信したが、宛先端末を収容する暗号装置宛であってもよい。この場合、鍵探索パケットは中継経路上の暗号装置の暗号鍵情報を収集して、宛先端末を収容する暗号装置から、鍵探索応答パケットを中継経路上の暗号装置に通知する。
また、鍵探索パケットは送信元端末側の暗号装置からではなく、宛先端末を収容する暗号装置から発信させてもよい。この場合、送信元端末側の暗号装置から宛先端末を収容する暗号装置に鍵探索パケットを送出するよう指示し、指示された暗号装置から送出された鍵探索パケットは中継経路上の暗号装置の暗号鍵情報を収集し、送信元端末を収容する暗号装置から、鍵探索応答パケットを中継経路上の暗号装置に通知する。
【0078】
実施の形態6.
本実施の形態は実施の形態5において、所定時間通信を行わない通信端末の組み合わせ(以下端末ペアと称す)に対応する暗号鍵情報を暗号鍵テーブルから削除するものである。
暗号鍵テ−ブルの端末ペア毎に、初期値が図22に示すように例えば600秒の保持時間を持たせ、図1の自動学習処理部6がこの保持時間を定周期、例えば1秒毎にカウントダウンし、カウント値がゼロになったら、その端末ペアの暗号鍵情報の登録を暗号鍵テーブルから削除する。削除後、暗号鍵テーブルに削除した端末ペアの暗号鍵情報が未登録の状態で、再び同じ端末ペアが通信データの中継の要求を発生すれば、実施の形態5が示すように、暗号鍵学習処理を行い、データ通信を再開する。
【0079】
また、保持時間がゼロでないとき、即ち600秒以内に、端末ペアで通信データの中継の要求が発生すれば、保持時間を初期値例えば600秒に設定し、暗号鍵情報の処理方法を暗号鍵テーブルに保持し続ける。
上記実施の形態5で登録した暗号鍵テーブルの登録に対して、図22に示すように保持時間制限を過ぎたものは登録を消去することによって、暗号鍵テーブルに通信頻度の少ない端末ペアの暗号鍵情報を記憶する必要なく、暗号鍵テーブルの記憶容量を少なくできる。
また、端末が移動し、通信経路が変更された場合でも、通信経路変更前の暗号鍵情報は所定時間後消去するので、通信経路の変更が容易にできる。
また、使用する暗号鍵、あるいは、暗号化、透過中継、廃棄などの中継条件により、保有時間の初期値を変えてもよい。
実施の形態7.
透過中継または廃棄を指定する外部端末通信モードを暗号通信装置対応に設け、二つの端末間で通信している中継区間で、暗号中継していない区間があれば、その区間内の暗号通信装置は外部端末通信モードを透過または廃棄に設定することにより、通信データを透過処理するか廃棄処理できるようにするものである。まず、一つの暗号装置を介して、二つの端末間で通信を行なう例について説明し、次に複数の暗号装置を介して二つの端末間で通信を行なう例について説明する。
【0080】
図23は、この発明を構成する暗号装置の一例である。1〜10は、実施の形態1と同様で、説明を省く。111は、外部端末通信モード設定部で、暗号装置対応に設け、通信データを透過処理するか、廃棄処理するか、を指定するものである。暗号鍵テーブルを学習する際に、自動学習処理部6によって参照される。なお、鍵探索パケットおよび鍵探索応答パケットは、実施の形態1で説明した図2と同一のフォーマットである。
【0081】
図24は端末A、B,Cを収容するネットワークの構成例を示すもので、11はIDが1の暗号鍵を保有している暗号装置、12はIDが1の暗号鍵を保有している暗号装置、13はIDが2の暗号鍵を保有している暗号装置で、暗号復号時にはそれぞれのIDに対応した暗号鍵を使用する。即ち、各暗号装置に割り当てる暗号鍵は、あらかじめ配送して登録されており、各暗号装置は、自身の持つ暗号鍵の暗号鍵IDを内部に一つまたは複数個保持する。また初期の時点では各装置内の暗号鍵テーブル8には、鍵情報がなにも登録されていないものとする。なお、図中のLポートは、ローカルポート7、Pポートはパブリックポート5を示す。また、図24の暗号装置11のパブリックポート5には暗号装置12のパブリックポート5が接続されている。他は、ローカルポート7に対しパブリックポート5が接続されている。
【0082】
次に、一つの暗号装置を介して、二つの端末間で通信を行なう例について動作を説明する。
初めに、図24における暗号装置11の外部端末通信モード設定部111が、透過中継に設定されており、端末Aから通信を開始し端末Cと通信する際の、暗号鍵テーブル81の学習処理について示す。
図25は、端末Aから端末Cへ通信する際に、暗号装置11の暗号鍵テーブル81に、端末Aから受信した通信データの送信元端末と宛先端末のペアに対応した処理方法が登録されていなかった場合の、暗号鍵テーブル81を学習するための鍵探索パケットのシーケンスを示す。
41、43は通信データ、31は、暗号装置11から送信される鍵探索パケット、35は、端末Cから送信される鍵探索応答パケットを示す。81は暗号装置11の暗号鍵テーブルである。
図26は暗号装置が鍵探索応答パケットを受信したときの処理フロ−チャ−トである。また、図中のLPIはローカルポート暗号鍵情報24を、PPIはパブリックポート暗号鍵情報25を示している。
なお、鍵探索パケットおよび鍵探索応答パケットのフォーマットは実施の形態1の図2に示すとおりである。
【0083】
次に、図25、図26を用いて動作を説明する。
端末Aからの通信データ41をローカルポート7から受信した暗号装置11は、内部の暗号鍵テーブル81を検索し、端末A−C間の通信の処理方法が登録されていないので、通信デ−タ41を通信デ−タバッファに格納する。そして、図27に示すように鍵探索パケットを編集する。即ち、鍵探索パケット31のヘッダ21にはパケット種別に鍵探索パケットと、宛先アドレスに宛先端末Cと、送信元アドレスに送信元暗号装置11とを設定し、端末Aアドレスを送信元端末アドレス22に、端末Cアドレスを宛先端末アドレス23に設定する。そして、ローカルポート暗号鍵情報24に暗号装置11自身が持つ暗号鍵IDである1を設定し、パブリックポート暗号鍵情報25になにも設定せずに鍵探索パケット31(図27)を端末C宛に送信する。
【0084】
鍵探索パケット31を受信した端末Cは、図28に示すように鍵探索パケットを編集する。即ち、鍵探索応答パケット35のデータ部に鍵探索応答パケット31のデータ部をコピーして、ヘッダ21には、パケット種別に鍵探索応答パケットを、宛先アドレスに暗号装置11のアドレスを、送信元アドレスに端末Cのアドレスを設定して暗号装置11に送信する。
【0085】
暗号装置11は、鍵探索応答パケット35をパブリックポート5から受信すると(図26のステップS11)、自分自身の持つ暗号鍵のIDである1と同じIDがパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、設定されていないので、自暗号装置よりも先に暗号中継区間があるか、即ち自暗号装置よりも先に鍵探索パケットを受信し、ローカルポート暗号鍵情報24に情報を設定した暗号装置のうち、パブリックポート暗号鍵情報25に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる。即ち、自暗号装置が暗号区間内か判定する。(ステップS13)。一致するものがない。即ち、自暗号装置が暗号区間内にないので、次に外部端末通信モード設定部111を参照する(ステップS14)と、外部端末通信モードは透過設定となっているので、暗号鍵テーブル81に端末A−端末C間の通信データを透過中継することを登録する(ステップS16)。
【0086】
そして、通信デ−タバッファに格納しておいた通信データ41を暗号鍵テーブル81に従い端末A−端末C間の通信データを透過中継する(ステップS21、S22)。また、自暗号装置宛て(ステップS23)の鍵探索応答パケット35を廃棄する(ステップS24)。この結果、通信デ−タ41は暗号されずに端末Cに到達する。また、端末Cからの通信データ43は暗号装置11で暗号鍵テーブル81に従い、透過中継されて暗号化されずに端末Aに達する。
以上、図25に示すシーケンスで、暗号装置11は端末Aと端末C間の通信データ41、43を暗号鍵テーブル81に従い、透過中継する。
【0087】
次に、上記例で暗号装置11の外部端末通信モードを廃棄に設定した場合の動作を説明する。
暗号装置11は上記図26のステップS14で外部端末通信モード設定部111を参照し、廃棄設定となっている場合には、暗号鍵テーブル81に端末A−端末C間の通信データを廃棄処理することを登録する(ステップS15)。
そして、通信デ−タバッファに格納しておいた通信データ41を暗号鍵テーブル81に従い廃棄する(ステップS21、S22)。また、自暗号装置宛て(ステップS23)の鍵探索応答パケット35を廃棄する(ステップS24)。
以上、図29に示すシーケンスで、暗号装置11は端末Aからの通信データ41を暗号鍵テーブル81に従い、廃棄する。
従って、暗号中継区間外の暗号装置11において、外部端末通信モード設定部111の設定により端末間の通信データを透過中継または廃棄できる。
【0088】
次に、複数の暗号装置を介して二つの端末間で通信を行なう例について説明する。
図24において、端末Aから端末Bへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つと共に暗号装置13の外部端末通信モード設定部111が、透過中継設定されている例について説明する。
図30は、端末Aから端末Bへ通信する際に、暗号装置11の暗号鍵テーブル81に、端末Aから受信した通信データの送信元端末と宛先端末のペアに対応した処理方法が登録していなかった場合の、暗号鍵テーブル81を学習するための鍵探索パケットのシーケンスである。
図において、41、42、43、44は通信データ、31は鍵探索パケットで、暗号装置11から送信される。32は鍵探索パケットで、暗号装置12が鍵探索パケット31に暗号装置12の暗号鍵のIDを追加した鍵探索パケットである。
33は鍵探索パケットで、暗号装置13が鍵探索パケット32に暗号装置13の暗号鍵のIDを追加した鍵探索パケットである。35は端末Bからの鍵探索応答パケットである。また、それぞれ、81は暗号装置11の、82は暗号装置12の、83は暗号装置13の暗号鍵テーブルである。
【0089】
次に動作を説明する。
端末Aから端末B宛ての通信データ41をローカルポート7から受信した暗号装置11は、内部の暗号鍵テーブル81を検索し、端末A−B間の通信の処理方法が登録されていないので、通信デ−タ41を通信デ−タバッファに格納する。
【0090】
そして、図31に示すように鍵探索パケットを編集する。即ち、鍵探索パケット31のヘッダ21には、パケット種別に鍵探索パケットと、宛先アドレスに宛先端末Bと、送信元アドレスに送信元暗号装置11とを設定し、端末Aアドレスを送信元端末アドレス22に、端末Bアドレスを宛先端末アドレス23に設定する。そして、ローカルポート暗号鍵情報24に暗号装置11自身が持つ暗号鍵IDである1を設定し、パブリックポート暗号鍵情報25になにも設定せずに鍵探索パケット31(図31)を端末B宛に送信する。
鍵探索パケット31をパブリックポート5から受信した暗号装置12は、自身の持つ暗号鍵のIDである1をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット32(図32)をローカルポート7へ転送する。
【0091】
鍵探索パケット32をパブリックポート5から受信した暗号装置13は、自身の持つ暗号鍵のIDである2をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット33(図33)をローカルポート7へ転送する。
鍵探索パケット33を受信した端末Bは、データ部に鍵探索パケット33のデータ部をコピーして、図34で示す鍵探索応答パケット35を、暗号装置11へ送信する。この鍵探索応答パケット35のヘッダ21には、図34のように、パケット種別に鍵探索応答パケットが、宛先アドレスに暗号装置11のアドレスが、送信元アドレスに端末Bのアドレスが設定される。
【0092】
暗号装置13は、鍵探索応答パケット35をローカルポート7から受信すると(図26のステップS01)、自分自身の持つ暗号鍵のIDである2と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、設定されていないので、自暗号装置よりも後に暗号中継区間があるか、即ち自暗号装置よりも後に鍵探索パケットを受信し、パブリックポート暗号鍵情報25に情報を設定した暗号装置のうち、ローカルポート暗号鍵情報24に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ03)。
本例の場合、一致するものがない。即ち、自暗号装置が暗号区間内にないので、次に暗号装置13は、外部端末通信モード設定部111を参照し(ステップS04)、透過設定となっているので、暗号鍵テーブル83に端末A−端末B間の通信データを透過中継することを登録する(ステップS06)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置13ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置11に中継する(ステップS25)。
【0093】
暗号装置12は、鍵探索応答パケット35をローカルポート7から受信すると(ステップS11)、自分自身の暗号鍵のIDである1と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS12)。
本例の場合、暗号装置11が設定した暗号鍵ID1が鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているため、暗号装置12は、図29の暗号鍵テーブル82に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを登録する(ステップS7)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置12ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置11に中継する(ステップS25)。
【0094】
暗号装置11は、鍵探索応答パケット35をパブリックポート5から受信すると(ステップS11)、自分自身の持つ暗号鍵のIDである1と同じ鍵IDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、暗号装置12が設定した暗号鍵ID1が鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているため、暗号装置11は、図30の暗号鍵テーブル81に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを暗号鍵テーブル81に登録する(ステップS7)。
そして、暗号装置11は、通信データバッファに送信すべき通信データ41があるので(ステップS21)、通信データ41を暗号鍵テーブル81の内容に従い、暗号/復号処理部2で、暗号鍵1を用いて暗号化して通信データ42として端末B宛て送信する(ステップS22)。
次に、受信した鍵探索応答パケット35のヘッダ21に宛先アドレスは、暗号装置11となっているので(ステップS23)、暗号装置11は鍵探索応答パケット35を廃棄する(ステップS24)。
【0095】
その結果、通信データ41は、暗号装置11で暗号鍵テーブル81の内容に従い暗号鍵1で暗号化され通信データ42となり、通信データ42は、暗号装置12で暗号鍵テーブル82の内容に従い暗号鍵1で復号され通信データ41に戻り、暗号装置13では、暗号鍵テーブル83の内容に従い通信データ41を透過中継し、端末Bへ達する。また、端末Bからの通信データ43は、暗号鍵テーブルの登録に従って、暗号装置13で透過中継され、暗号装置12で暗号鍵1で暗号化され(通信データ44)、暗号装置11で暗号鍵1で復号され、端末Aに達する。
従って、暗号中継区間外の暗号装置13において、外部端末通信モード設定部111を透過中継設定にすれば、通信データを透過中継できる。
【0096】
次に、図24において、端末Aから端末Bへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つと共に暗号装置13の外部端末通信モード設定部111が、廃棄設定されている場合の暗号鍵テーブル83の学習処理について示す。
図35は、その際の鍵探索パケットのシーケンスであるが、端末A,端末B、暗号装置11、暗号装置12の動作、及び暗号装置13が鍵探索パケットを受信するまでの動作については、上記例と同じなので、ここでは省略し、暗号装置13が、鍵探索応答パケットをローカルポート7から受信した時の動作について説明する。
本例も、図26の暗号装置の処理フロ−チャ−トにより説明する。
【0097】
暗号装置13は、鍵探索応答パケット35をローカルポート7から受信すると(図26のステップS01)、自分自身の持つ暗号鍵のIDである2と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、設定されていないので、自暗号装置よりも後に暗号中継区間があるか、即ち自暗号装置より後に鍵探索パケットを受信し、パブリックポート暗号鍵情報25に情報を設定した暗号装置のうち、ローカルポート暗号鍵情報24に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ03)。
本例の場合、そのような暗号装置は無く、暗号装置13は暗号中継区間内に無いので、次に外部端末通信モード設定部111を参照し(ステップS04)、廃棄設定となっているので、暗号装置13は暗号鍵テーブル83に端末Aー端末B間の通信データを廃棄することを登録する(ステップS05)。そして、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置13ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置12に中継する(ステップS25)。
【0098】
暗号装置12、暗号装置11には、それぞれの暗号鍵テーブル82、81に、端末A−端末B間の通信データを、暗号鍵1によって、暗号/復号することを登録する。
【0099】
その結果、端末Aから端末B宛ての通信データ41は、暗号装置11で暗号鍵テーブル81に従って暗号鍵1で暗号化され(通信データ42)、暗号装置12で暗号鍵テーブル82の内容に従い暗号鍵1で復号され、暗号装置13では、暗号鍵テーブル83の内容に従い、通信データ41は廃棄される。
従って、暗号中継区間外の暗号装置13において、外部端末通信モード設定部111を廃棄設定にすれば、通信データを廃棄できる。
【0100】
以上のように、端末Aから端末Bへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を用いて暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つため暗号化されていない中継区間を形成するので、暗号装置13の外部端末通信モード設定部111の設定により端末間の通信データを透過中継または廃棄できる。
なお、鍵探索パケットは実施の形態5のように、通信データの送信元端末に対して一番近い暗号装置から送出してもよい。
【0101】
実施の形態8.
実施の形態7では、外部端末通信モードに透過中継および廃棄を設けた例を説明したが、本実施の形態は外部端末通信モードに半透過を追加した例について説明する。
ここでは、外部端末通信モードの半透過とは、通信データの伝送方向によって透過中継するか廃棄するかを制御するもので、端末ペア間の通信において、通信を開始した端末とその相手端末との通信経路が、暗号化されている中継区間から、暗号化されていない中継区間を経て相手端末に接続された場合、外部端末通信モードが半透過に設定されていれば、暗号化されていない中継区間の暗号装置では通信データを廃棄し、逆に、暗号化されていない中継区間から、暗号化されている中継区間を経て相手端末に接続された場合、外部端末通信モードが半透過に設定されていれば、透過に設定し暗号化されていない中継区間の暗号装置では通信データを透過中継するものである。
また、暗号化された中継区間がない例として、一つの暗号装置を介して、二つの端末間で通信を行う場合も、暗号装置は外部端末通信モードの半透過に対して同様に動作する。
【0102】
まず、半透過に設定された一つの暗号装置を介して、二つの端末間で通信を行なう例について説明し、次に半透過に設定された複数の暗号装置を介して二つの端末間で通信を行なう例について説明する。
一つの暗号装置の場合については、
暗号装置11の外部端末通信モード設定部111が、半透過設定されていて、暗号装置11のローカルポート7側に接続している端末Aが通信を開始する場合と、パブリックポート5側に接続している端末Cが通信を開始する場合とについて暗号鍵テーブルの学習処理の動作を説明する。
【0103】
初めに、図24における暗号装置11の外部端末通信モード111設定部が、半透過設定されていて、暗号装置11のローカルポート7に接続している端末Aが通信を開始する場合の、暗号鍵テーブルの学習処理について説明する。
図36は暗号装置の処理フローチャートで、実施の形態7の図26のステップS04とステップS14に半透過の判定を追加したものである。
図37は、鍵探索のシーケンスであるが、暗号装置11が鍵探索応答パケットを受信するまでは、実施の形態7(図25)と同様なので、ここでは説明を省略する。暗号装置11が、鍵探索応答パケットをパブリックポート5から受信してからの処理について、図36の暗号装置の処理フロ−チャ−トにより説明する。
【0104】
暗号装置11は、鍵探索応答パケット35をパブリックポート5から受信すると(図36のステップS11)、自分自身の持つ暗号鍵のIDである1と同じIDがパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、設定されていないので、自暗号装置よりも先に鍵探索パケットを受信し、ローカルポート暗号鍵情報24に情報を設定した暗号装置のうち、パブリックポート暗号鍵情報25に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ13)。
【0105】
本例の場合、そのような暗号装置は無い。次に外部端末通信モード設定部111を参照し、それが半透過設定になっており、かつ、鍵探索応答パケット35をパブリックポート5から受信しているので(ステップS14)、暗号鍵テーブル81に端末A−端末C間の通信データを透過することを登録する(ステップS16)。
そして、通信デ−タバッファに格納しておいた通信データ41を暗号鍵テーブル81に従い透過中継する(ステップS21、S22)。また、自暗号装置宛て(ステップS23)の鍵探索応答パケット35を廃棄する(ステップS24)。この結果、通信デ−タ41は暗号化されずに端末Cに到達する。また、端末Cからの通信データ43は、暗号装置11で暗号鍵テーブル81に従い透過中継されて暗号化されずに端末Aに達する。
従って、暗号装置11の外部端末通信モード111設定部が、半透過設定されていて、暗号装置11のローカルポート7に接続している端末Aが通信を開始する場合は透過中継にできる。
【0106】
次に、図24における暗号装置11の外部端末通信モード設定部111が、半透過設定されていて、暗号装置11のパブリックポート5側に接続している端末Cが通信を開始する場合の、暗号鍵テーブルの学習処理について示す。
図38は、鍵探索のシーケンスである。本例でも、各暗号装置が鍵探索応答パケットを受信した時の処理については、図36の処理フロ−チャ−トにより説明する。
【0107】
端末Cからの通信データ41をパブリックポート5から受信した暗号装置11は、内部の暗号鍵テーブル81を検索し、端末A−C間の通信の処理方法が登録されていないので、通信デ−タ41を通信デ−タバッファに格納し、鍵探索パケットのパブリックポート暗号鍵情報25に、自身のアドレス及び自身の暗号鍵のID1を設定した鍵探索パケット31を送信する。この際、鍵探索パケット31のヘッダ21にはパケット種別に鍵探索パケットを、鍵探索パケットの送信元に暗号装置11のアドレスを、宛先に端末Aのアドレスを設定し、端末Aに送信する。
【0108】
鍵探索パケット31を受信した端末Aは、図39に示すように鍵探索応答パケットを編集する。即ち、端末Aは鍵探索応答パケット35のデータ部に鍵探索パケット31のデータ部をコピーし、鍵探索応答パケット35(図39)を、暗号装置11へ送信する。この際、この鍵探索応答パケット35のヘッダ21には、図39のように、パケット種別に鍵探索応答パケットが、宛先アドレスに暗号装置11のアドレスが、送信元アドレスに端末Aのアドレスが設定される。
【0109】
暗号装置11は、鍵探索応答パケット35をローカルポート7から受信すると(図36のステップS01)、自分自身の持つ暗号鍵のIDである1と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、設定されていないので、自暗号装置よりも後に鍵探索パケットを受信し、パブリックポート暗号鍵情報25に情報を設定した暗号装置のうち、ローカルポート暗号鍵情報24に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ03)。
本例の場合、そのような暗号装置は無い。次に外部端末通信モード設定部111を参照し、それが半透過になっており、かつ、鍵探索応答パケット35をローカルポート7から受信しているので(ステップS04)、暗号鍵テーブル81に端末A−端末C間の通信データを廃棄することを登録する(ステップS05)。
【0110】
そして、暗号装置11は通信デ−タバッファに格納しておいた通信データ41を暗号鍵テーブル81に従い廃棄する(ステップS21、S22)。また、自暗号装置宛て(ステップS23)の鍵探索応答パケット35を廃棄する(ステップS24)。
従って、暗号装置11の外部端末通信モード111設定部が、半透過設定されていて、暗号装置11のパブリックポート5に接続している端末Bが通信を開始する場合は廃棄にできる。
【0111】
以上のように、暗号装置の外部端末通信モード設定部111に半透過を設定することにより、ローカルポート7側から通信が開始された場合には透過中継処理し、パブリックポート5側から通信が開始された場合には廃棄処理することができる。
従って、パブリックポート5側に収容されている端末からの発信は通信データを廃棄するので、外部の端末からの不正アクセスを防止できる。
【0112】
次に、半透過に設定された複数の暗号装置を介して、二つの端末間で通信を行なう例について説明する。
即ち、半透過に設定された複数の暗号装置を介して、端末Aから開始し端末Bと通信する場合と、端末Bから開始し端末Aと通信する場合について、動作を説明する。
まず、図24において、端末Aから端末Bへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つと共に暗号装置13の外部端末通信モード設定部111が、半透過設定されている例について説明する。
【0113】
図40は、端末Aから端末Bへ通信する際に、暗号装置11の暗号鍵テーブル81に、端末Aから受信した通信データの送信元端末と宛先端末のペアに対応した処理方法が登録していなかった場合の、暗号鍵テーブル81を学習するための鍵探索パケットのシーケンスである。
図において、41、42は通信データ、31は鍵探索パケットで、暗号装置11から送信される。32は鍵探索パケットで、暗号装置12が鍵探索パケット31に暗号装置12の暗号鍵のIDを追加した鍵探索パケットである。
33は鍵探索パケットで、暗号装置13が鍵探索パケット32に暗号装置13の暗号鍵のIDを追加した鍵探索パケットである。35は端末Bからの鍵探索応答パケットである。また、それぞれ、81は暗号装置11の、82は暗号装置12の、83は暗号装置13の暗号鍵テーブルである。
【0114】
次に動作を説明する。
端末Aから端末B宛ての通信データ41をローカルポート7から受信した暗号装置11は、内部の暗号鍵テーブル81を検索し、端末A−B間の通信の処理方法が登録されていないので、通信デ−タ41を通信デ−タバッファに格納する。
【0115】
そして、図31に示すように鍵探索パケットを編集する。即ち、鍵探索パケット31のヘッダ21には、パケット種別に鍵探索パケットと、宛先アドレスに宛先端末Bと、送信元アドレスに送信元暗号装置11とを設定し、端末Aアドレスを送信元端末アドレス22に、端末Bアドレスを宛先端末アドレス23に設定する。そして、ローカルポート暗号鍵情報24に暗号装置11自身が持つ暗号鍵IDである1を設定し、パブリックポート暗号鍵情報25になにも設定せずに鍵探索パケット31(図31)を端末B宛に送信する。
鍵探索パケット31をパブリックポート5から受信した暗号装置12は、自身の持つ暗号鍵のIDである1をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット32(図32)をローカルポート7へ転送する。
【0116】
鍵探索パケット32をパブリックポート5から受信した暗号装置13は、自身の持つ暗号鍵のIDである2をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット33(図33)をローカルポート7へ転送する。
鍵探索パケット33を受信した端末Bは、データ部に鍵探索パケット33のデータ部をコピーして、図34で示す鍵探索応答パケット35を、暗号装置11へ送信する。この鍵探索応答パケット35のヘッダ21には、図34のように、パケット種別に鍵探索応答パケットが、宛先アドレスに暗号装置11のアドレスが、送信元アドレスに端末Bのアドレスが設定される。
【0117】
暗号装置13は、鍵探索応答パケット35をローカルポート7から受信すると(図36のステップS01)、自分自身の持つ暗号鍵のIDである2と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、設定されていないので、自暗号装置よりも後に鍵探索パケットを受信し、パブリックポート暗号鍵情報25に情報を設定した暗号装置のうち、ローカルポート暗号鍵情報24に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ03)。即ち、自暗号装置が暗号区間内か判定する。本例の場合、一致するものがない。即ち、自暗号装置が暗号区間内にない。
【0118】
次に暗号装置13は、外部端末通信モード設定部111を参照し(ステップS04)、半透過設定になっており、かつ、鍵探索応答パケット35をローカルポート7から受信しているので、暗号鍵テーブル83に端末A−端末B間の通信データを廃棄することを登録する(ステップS05)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置13ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置11に中継する(ステップS25)。
【0119】
暗号装置12は、鍵探索応答パケット35をローカルポート7から受信すると(ステップS01)、自分自身の暗号鍵のIDである1と同じ暗号鍵のIDが鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、暗号装置11が設定した暗号鍵ID1が鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているため、暗号装置12は、図29の暗号鍵テーブル82に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを登録する(ステップS7)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置12ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置11に中継する(ステップS25)。
【0120】
暗号装置11は、鍵探索応答パケット35をパブリックポート5から受信すると(ステップS11)、自分自身の持つ暗号鍵のIDである1と同じ鍵IDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、暗号装置12が設定した暗号鍵ID1が鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているため、暗号装置11は、図40の暗号鍵テーブル81に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを暗号鍵テーブル81に登録する(ステップS7)。
そして、暗号装置11は、通信データバッファに送信すべき通信データ41があるので(ステップS21)、通信データ41を暗号鍵テーブル81の内容に従い、暗号/復号処理部2で、暗号鍵1を用いて暗号化して通信データ42として端末B宛て送信する(ステップS22)。
次に、受信した鍵探索応答パケット35のヘッダ21に宛先アドレスは、暗号装置11となっているので(ステップS23)、暗号装置11は鍵探索応答パケット35を廃棄する(ステップS24)。
【0121】
その結果、通信データ41は、暗号装置11で暗号鍵テーブル81の内容に従い暗号鍵1で暗号化され通信データ42となり、通信データ42は、暗号装置12で暗号鍵テーブル82の内容に従い暗号鍵1で復号され通信データ41に戻り、暗号装置13では、暗号鍵テーブル83の内容に従い通信データ41を廃棄する。また、端末Bからの通信データ43は暗号装置13で廃棄される。
従って、端末Aから端末Bへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つため暗号化されていない中継区間を形成するので、暗号装置13の外部端末通信モード設定部111を、半透過設定にすれば、端末Aと端末B間の通信データを廃棄できる。
【0122】
次に、図24において、端末Bから端末Aへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つと共に、暗号装置13の外部端末通信モード設定部111が、半透過に設定されている場合の暗号鍵テーブル83の学習処理について示す。
図41は、その際の鍵探索パケットのシーケンス図である。
本例も、図36の鍵探索応答パケットの処理フロ−チャ−トにより説明する。
【0123】
通信網構成は図24と同じで端末Bから端末Aへ発信する場合のシーケンスを説明する。
図41は、端末Bから端末Aへ通信する際に、暗号装置13の暗号鍵テーブル83に、端末Bから受信した通信データの送信元端末と宛先端末のペアに対応した処理方法が登録していなかった場合の、暗号鍵テーブル83を学習するための鍵探索パケットのシーケンスを示す。
図において、41、42、43、44は通信データ、31は鍵探索パケットで、暗号装置13から送信される。32は鍵探索パケットで、暗号装置12が鍵探索パケット31に暗号装置12の暗号鍵のIDを追加した鍵探索パケットである。
33は鍵探索パケットで、暗号装置11が鍵探索パケット32に暗号装置11の暗号鍵のIDを追加した鍵探索パケットである。35は端末Aからの鍵探索応答パケットである。また、それぞれ、81は暗号装置11の、82は暗号装置12の、83は暗号装置13の暗号鍵テーブルである。
【0124】
次に動作を説明する。
端末Bから端末A宛ての通信データ41をローカルポート7から受信した暗号装置13は、内部の暗号鍵テーブル83を検索し、端末A−B間の通信の処理方法が登録されていないので、通信デ−タ41を通信デ−タバッファに格納する。
【0125】
そして、暗号装置13は、図42に示すように鍵探索パケットを編集する。即ち、鍵探索パケット31のヘッダ21には、パケット種別に鍵探索パケットと、宛先アドレスに宛先端末Aと、送信元アドレスに送信元暗号装置13とを設定し、端末Bアドレスを送信元端末アドレス22に、端末Aアドレスを宛先端末アドレス23に設定する。そして、ローカルポート暗号鍵情報24に暗号装置13自身が持つ暗号鍵IDである2を設定し、パブリックポート暗号鍵情報25になにも設定せずに鍵探索パケット31(図42)を端末A宛に送信する。
暗号装置12は、鍵探索パケット31をローカルポート7から受信し,自身の持つ暗号鍵のIDである1をローカルポート暗号鍵情報24内に追加設定して、鍵探索パケット32(図43)をパブリックポート5へ転送する。
【0126】
鍵探索パケット32をパブリックポート5から受信した暗号装置11は、自身の持つ暗号鍵のIDである1をパブリックポート暗号鍵情報25内に追加設定して、鍵探索パケット33(図44)をローカルポート7へ転送する。
鍵探索パケット33を受信した端末Aは、データ部に鍵探索パケット33のデータ部をコピーして、図45で示す鍵探索応答パケット35を、暗号装置11へ送信する。この鍵探索応答パケット35のヘッダ21には、図45のように、パケット種別に鍵探索応答パケットが、宛先アドレスに暗号装置13のアドレスが、送信元アドレスに端末Aのアドレスが設定される。
【0127】
暗号装置11は、鍵探索応答パケット35をローカルポート7から受信すると(図36のステップS01)、自分自身の持つ暗号鍵のIDである1と同じIDがローカルポート暗号鍵情報24に設定されているかどうか検索する(ステップS02)。
本例の場合、暗号装置12が設定した暗号鍵ID1が鍵探索応答パケット35のローカルポート暗号鍵情報24に設定されているため、暗号装置11は、図41の暗号鍵テーブル81に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを登録する(ステップS7)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置11ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置13に中継する(ステップS25)。
【0128】
暗号装置12は、鍵探索応答パケット35をパブリックポート5から受信すると(ステップS11)、自分自身の暗号鍵のIDである1と同じ暗号鍵のIDが鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているかどうか検索する(ステップS12)。
本例の場合、暗号装置11が設定した暗号鍵ID1が鍵探索応答パケット35のパブリックポート暗号鍵情報25に設定されているため、暗号装置12は、図41の暗号鍵テーブル82に端末A−端末B間の通信データをIDが1の暗号鍵で暗号/復号することを登録する(ステップS7)。
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置12ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置13に中継する(ステップS25)。
【0129】
暗号装置13は鍵探索応答パッケットをパブリックポート5から受信すると(ステップS11)、自分自身の持つ暗号鍵のIDである2と、同じ鍵IDがパブリックポート暗号鍵情報25に登録されているかを調べる(ステップS12)。本例の場合、設定されていないので、自暗号装置よりも先に暗号中継区間があるか、即ち自暗号装置より先に鍵探索パケットを受信し、ローカルポート暗号鍵情報24に情報を設定した暗号装置のうち、パブリックポート暗号鍵情報25に登録されている鍵IDと一致する鍵IDを持っているものが有るかを調べる(ステップ13)。本例の場合、一致するものがない。即ち、自暗号装置が暗号区間内にないので、次に暗号装置13は、外部端末通信モード設定部111を参照し(ステップS14)、半透過設定になっており、かつ、鍵探索応答パケット35をパブリックポート5から受信しているので、暗号鍵テーブル83に端末A−端末B間の通信データを透過することを登録する(ステップS16)。
【0130】
また、通信データバッファに送信すべき通信データがなく(ステップS21)、鍵探索応答パケット35のヘッダ21の宛先アドレスが自暗号装置13ではないので(ステップS23)、受信した鍵探索応答パケット35を暗号装置13に中継する(ステップS25)。
そして、暗号装置13は、通信データバッファに送信すべき通信データ41があるので(ステップS21)、通信データ41を暗号鍵テーブル83の内容に従い、透過中継して端末B宛て送信する(ステップS22)。
次に、受信した鍵探索応答パケット35のヘッダ21に宛先アドレスは、暗号装置13となっているので(ステップS23)、暗号装置13は鍵探索応答パケット35を廃棄する(ステップS24)。
【0131】
その結果、通信データバッファに格納しておいた端末Bからの通信データ41を暗号装置13は暗号鍵テーブル83の内容に従い、通信データ41を透過中継し、暗号装置12は暗号鍵テーブル82の内容に従い、通信データ41を暗号鍵1で暗号化して、通信データ42となり、暗号装置11は暗号鍵テーブル81の内容に従い、暗号鍵1で通信データ42を復号し通信データ41に戻し、端末Aに送信する。
また、端末Aからの通信データ43は、暗号鍵テーブルの登録に従って、暗号装置11で暗号鍵1により暗号化され、暗号装置12で暗号鍵1により復号され(通信データ44)、暗号装置13で透過中継され、端末Bに達する。
【0132】
従って、端末Bから端末Aへ通信する場合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成し、暗号装置13が異なる暗号鍵を持つため暗号化されていない中継区間を形成するので、暗号装置13の外部端末通信モード設定部111を、半透過設定にすれば端末Bと端末A間の通信データは透過中継できる。
【0133】
以上のように、発信端末Aから端末Bへ通信する場合、暗号化されていない中継区間の暗号装置は外部端末通信モード設定部111を、半透過設定にすれば、端末Aと端末B間の通信データを廃棄できる。
また、発信端末Bから端末Aへ通信する場合、暗号化されていない中継区間の暗号装置は外部端末通信モード設定部111を、半透過設定にすれば、端末Bから端末A間の通信データを透過中継できる。
なお、発信端末と半透過の関係は、端末Aが発信端末で暗号装置13が半透過に設定されている場合、図24に示すように端末Aを収容する暗号装置11からの鍵探索パケットは暗号装置13のパブリックポート5から受信され鍵探索応答パケットはローカルポート7から受信するので半透過は廃棄処理される。
逆に、端末Bが発信端末で暗号装置13が半透過に設定されている場合、端末Bを収容する暗号装置13からの鍵探索パケットに対する鍵探索応答パケットはパブリックポート5から受信するので半透過は透過中継処理される。
従って、外部端末通信モード設定部111を半透過に設定すれば、透過中継または廃棄を自動的に選択するので確実に不正アクセスを防止できる。
なお、鍵探索パケットは実施の形態5のように、通信データの送信元端末に対して一番近い暗号装置から送出してもよい。
【0134】
【発明の効果】
第1および第2の発明によれば、通信相手の暗号鍵がわからない状態から鍵探索パケットを用いて、端末間の通信経路上の暗号装置の鍵情報を収集し、収集した鍵情報に基づいて、暗号鍵情報を自動学習し、端末間の通信データを各暗号装置が暗号/復号、透過中継するので、人手により暗号通信ができるよう端末間の通信経路上の暗号装置に暗号鍵情報を設定するより、操作ミスが無く、ネットワ−ク管理が容易である。
【0135】
第3の発明によれば、鍵探索パケットは、通信データの送信元端末に一番近い暗号装置から送信するようにしたので暗号装置が暗号鍵テ−ブルを消去しても矛盾なく暗号通信ができ暗号鍵学習もできる。
【0136】
第4の発明によれば、通信相手の暗号鍵がわからない状態から鍵探索パケットを用いて、端末間の通信経路上の暗号装置の鍵情報を収集し、収集した鍵情報に基づいて、暗号鍵情報を自動学習し、端末間の通信データを各暗号装置が暗号/復号、透過中継するので、人手により暗号通信ができるよう端末間の通信経路上の暗号装置に暗号鍵情報を設定するより、操作ミスが無く、ネットワ−ク管理が容易である。
また、端末間の中継経路上の各暗号装置に同一の暗号鍵がない場合、各暗号装置はその端末間の通信データを廃棄するので、不正アクセス、機密の漏洩防止ができる。 また、2つの暗号装置間で暗号化した通信データをさらに別の暗号装置間で暗号化するので機密性の高い暗号通信ができる。
【0137】
第5の発明によれば、鍵探索応答パケットのパブリックポート暗号鍵情報に鍵がない場合、暗号装置は暗号鍵テーブルに端末ペア間の通信データを透過中継するよう登録するので、一つの暗号装置を介して暗号化せず端末間通信ができる。
【0138】
第6の発明によれば、暗号鍵テーブルに登録した端末間で、所定の保持時間制限を過ぎたものは登録を消去することによって、暗号鍵テーブルに通信頻度の少ない端末ペアの暗号鍵情報を記憶する必要なく、暗号鍵テーブルの記憶容量を少なくできる。 また、端末が移動し、通信経路が変更された場合でも、通信経路変更前の暗号鍵情報は所定時間後消去するので、通信経路の変更が容易にできる。
【0139】
第7の発明によれば、端末ペア間の通信において、同じ暗号鍵を持つ暗号装置が暗号中継区間を形成し、異なる暗号鍵を持つ暗号装置が暗号化されていない中継区間を形成する場合、暗号化されていない中継区間の暗号装置の外部端末通信モードの設定により端末間の通信データを透過中継または廃棄処理するので、アクセスの許可、禁止ができる。
【0140】
第8の発明によれば、端末ペア間の通信において、通信を開始した端末とその相手端末との通信経路が、暗号化されている中継区間から、暗号化されていない中継区間を経て相手端末に接続された場合、外部端末通信モードが半透過に設定されていれば、暗号化されていない中継区間の暗号装置では通信データを廃棄し、逆に、暗号化されていない中継区間から、暗号化されている中継区間を経て相手端末に接続された場合、外部端末通信モードが半透過に設定されていれば、半透過に設定し暗号化されていない中継区間の暗号装置では通信データを透過中継するので、外部端末通信モードを半透過に設定すれば、透過中継または廃棄を自動的に選択しアクセスの許可、禁止するので確実に不正アクセスを防止できる。
【図面の簡単な説明】
【図1】この発明による暗号装置の構成図である。
【図2】この発明による鍵探索パケットおよび鍵探索応答パケットのフレーム構成を示す図である。
【図3】この発明におけるネットワーク構成を示す図である。
【図4】この発明の実施の形態1におけるネットワーク構成において端末間で暗号通信を行う例を示すシーケンス図である。
【図5】この発明おける鍵探索応答パケットの処理フローを示す図である。
【図6】この発明の実施の形態1における鍵探索パケットのフレームを示す図である。
【図7】この発明の実施の形態1における鍵探索パケットのフレームを示す図である。
【図8】この発明の実施の形態1における鍵探索パケットのフレームを示す図である。
【図9】この発明の実施の形態1における鍵探索応答パケットのフレームを示す図である。
【図10】この発明の実施の形態2におけるネットワーク構成において、端末間で2重鍵の暗号通信を行う例を示すシーケンス図である。
【図11】この発明の実施の形態2における鍵探索応答パケットのフレームを示す図である。
【図12】この発明の実施の形態3におけるネットワーク構成において、複数の暗号装置を介して端末間で通信を行う場合、複数の暗号装置に同一の鍵がなければ暗号通信を行わない例を示すシーケンス図である。
【図13】この発明の実施の形態3における鍵探索応答パケットのフレームを示す図である。
【図14】この発明の実施の形態4におけるネットワーク構成において、一つの暗号装置を介して端末間で暗号通信を行う例を示すシーケンス図である。
【図15】この発明の実施の形態4における鍵探索応答パケットのフレームを示す図である。
【図16】この発明の実施の形態5におけるネットワーク構成において、暗号装置の暗号鍵テーブルが消去されたとき端末間で暗号通信が異常になるシーケンスを示す図である。
【図17】この発明の実施の形態5における鍵探索応答パケットのフレームを示す図である。
【図18】この発明の実施の形態6におけるネットワーク構成において、暗号装置の暗号鍵テーブルが消去さても端末間で正常に暗号通信ができるシーケンスを示す図である。
【図19】この発明の実施の形態6における鍵探索要求パケットおよび鍵探索要求応答パケットのフレーム構成を示す図である。
【図20】この発明の実施の形態6における鍵探索要求パケットのフレームを示す図である。
【図21】この発明の実施の形態6における鍵探索要求応答パケットのフレームを示す図である。
【図22】この発明の実施の形態7における各暗号装置の暗号鍵テーブルにタイマを付加したことを示す図である。
【図23】この発明の実施の形態7および8による暗号装置の構成図である。
【図24】この発明の実施の形態7および8におけるネットワーク構成を示す図である。
【図25】この発明の実施の形態7におけるネットワーク構成において外部端末通信モードを透過中継に設定した一つの暗号装置を介して端末A、C間で暗号通信を行う例を示すシーケンス図である。
【図26】この発明の実施の形態7における鍵探索応答パケットの処理フローを示す図である。
【図27】図25における鍵探索パケットのフレームを示す図である。
【図28】図25における鍵探索応答パケットのフレームを示す図である。
【図29】この発明の実施の形態7におけるネットワーク構成において外部端末通信モードを廃棄に設定した一つのの暗号装置を介して端末A,C間で暗号通信を行う例を示すシーケンス図である。
【図30】この発明の実施の形態7におけるネットワーク構成において外部端末通信モードを透過中継に設定した複数の暗号装置を介して端末A,B間で暗号通信を行う例を示すシーケンス図である。
【図31】図30における鍵探索パケット31のフレームを示す図である。
【図32】図30における鍵探索パケット32のフレームを示す図である。
【図33】図30における鍵探索パケット33のフレームを示す図である。
【図34】図30における鍵探索応答パケット35のフレームを示す図である。
【図35】この発明の実施の形態7におけるネットワーク構成において外部端末通信モードを廃棄に設定した複数の暗号装置を介して端末A,B間で暗号通信を行う例を示すシーケンス図である。
【図36】この発明の実施の形態8おける鍵探索応答パケットの処理フローを示す図である。
【図37】この発明の実施の形態8におけるネットワーク構成において半透過に設定した一つの暗号装置を介して端末A,C間で暗号通信を行う例を示すシーケンス図である。
【図38】この発明の実施の形態8におけるネットワーク構成において半透過に設定した一つの暗号装置を介して端末C,A間で暗号通信を行う例を示すシーケンス図である。
【図39】図38における鍵探索応答パケット35のフレームを示す図である。
【図40】この発明の実施の形態8におけるネットワーク構成において外部端末通信モードを半透過に設定した複数の暗号装置を介して端末A,B間で暗号通信を行う例を示すシーケンス図である。
【図41】この発明の実施の形態8におけるネットワーク構成において外部端末通信モードを半透過に設定した複数の暗号装置を介して端末B,A間で暗号通信を行う例を示すシーケンス図である。
【図42】図41における鍵探索パケット31のフレームを示す図である。
【図43】図41における鍵探索パケット32のフレームを示す図である。
【図44】図41における鍵探索パケット33のフレームを示す図である。
【図45】図41における鍵探索応答パケット35のフレームを示す図である。
【図46】従来例による暗号装置の構成図である。
【図47】従来例におけるネットワーク構成を示す図である。
【図48】従来例における各暗号装置の暗号鍵テーブルを示す図である。
【符号の説明】
1、11,12,13,14,15 暗号装置
2 通信データ暗号/復号処理部
3 透過中継処理部
4 廃棄処理部
5 パブリックポート
6 自動学習処理部
7 ローカルポート
8、81、82、83、84、85 暗号鍵テーブル
21 パケットのヘッダ
22 送信元端末アドレス
23 宛先端末アドレス
24 ロ−カルポ−ト暗号鍵情報
25 パブリックポート暗号鍵情報
26 データ部
31,32,33,34 鍵探索パケット
35 鍵探索応答パケット
41,42,43 通信デ−タ
51 鍵探索要求パケット
52 鍵探索要求応答パケット
111 外部端末通信モード

Claims (8)

  1. 通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
    通信データを中継する中継経路上の暗号装置は、中継する通信データの送信元端末と宛先端末の組み合わせ(以下端末ペアと称す)に対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、暗号鍵情報を収集するための鍵探索パケットが前記中継経路上の各暗号装置自身の暗号情報を収集し、その収集した暗号情報を鍵探索応答パケットが前記中継経路上の前記各暗号装置に通知し、
    通知を受けた前記各暗号装置は、収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
    その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理することを特徴とする暗号通信システム。
  2. 通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
    通信データを中継する中継経路上の暗号装置は、中継する通信データの送信元端末と宛先端末の組み合わせ(以下端末ペアと称す)に対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、前記通信データの前記端末ペアに対応する暗号鍵情報を収集するための鍵探索パケットを前記宛先端末に発信し、
    その鍵探索パケットを中継する中継経路上の前記各暗号装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵情報を付加した鍵探索パケットを前記宛先端末に中継し、
    前記鍵探索パケットを受信した前記宛先端末は、収集した暗号鍵情報を鍵探索応答パケットに設定し、その鍵探索応答パケットを中継経路上の前記各暗号装置に通知し、通知を受けた前記各暗号装置は収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
    その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理することを特徴とする暗号通信システム。
  3. 通信ネットワークに収容された通信端末間を暗号装置が中継して暗号通信を行う暗号通信システムにおいて、
    通信データを中継する中継経路上の暗号装置は、中継する通信データの端末ペアに対応する暗号鍵情報が前記暗号装置の暗号鍵テーブルに登録されていない場合、通信データの前記送信元端末に対して、鍵探索パケットを発信する暗号装置を求めるための鍵探索要求パケットを送信し、
    中継経路上の暗号装置はその鍵探索要求パケットを中継し、
    中継した鍵探索要求パケットを受信した前記送信端末は、その応答を知らせる鍵探索要求応答パケットを送信し、 中継経路上最初に鍵探索要求応答パケットを受信した暗号装置は、前記通信データの端末ペアに対応する暗号鍵情報を収集するための鍵探索パケットを前記宛先端末に発信し、
    その鍵探索パケットを中継する中継経路上の前記各暗号装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵情報を付加した鍵探索パケットを前記宛先端末に中継し、
    前記鍵探索パケットを受信した前記宛先端末は、収集した暗号鍵情報を鍵探索応答パケットに設定し、その鍵探索応答パケットを中継経路上の前記各暗号装置に通知し、通知を受けた前記各暗号装置は収集した前記暗号鍵情報に基づいて、前記端末ペアに対応して通信データを、暗号化するか、復号するか、透過中継するか、廃棄するか、いずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
    その端末ペアからの通信データを中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信データを処理することを特徴とする暗号通信システム。
  4. 前記鍵探索パケットを中継する中継経路上の各暗号装置は、ローカルポートから鍵探索パケットを受信した場合、その鍵探索パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定し、パブリックポートから鍵探索パケットを受信した場合、その鍵探索パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定した鍵探索パケットを前記宛先端末に中継し、
    前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、または、前記ローカルポートから受信した場合、前記ローカルポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなく、前記ローカルポート暗号鍵情報にある鍵で、前記パブリックポート暗号鍵情報に同じ鍵があれば、透過中継処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなければ、廃棄処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録することを特徴とする請求項2または3に記載の暗号通信システム。
  5. 前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に鍵がなにもなければ透過中継処理することを指定する暗号鍵情報を前記暗号鍵テーブルに登録することを特徴とする請求項4に記載の暗号通信システム。
  6. 前記通信データを中継する中継経路上の暗号装置は、前記暗号鍵テーブルに登録された端末ペアの通信データを所定時間以上中継することがなければ、その端末ペアに対応する前記暗号鍵テーブルの暗号鍵情報を消去することを特徴とする請求項2または3に記載の暗号通信システム。
  7. 前記鍵探索パケットを中継する中継経路上の各暗号装置は、ローカルポートから鍵探索パケットを受信した場合、その鍵探索パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定し、パブリックポートから鍵探索パケットを受信した場合、その鍵探索パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定した鍵探索パケットを前記宛先端末に中継し、
    前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、
    その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、前記パブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも先に鍵探索パケットを受信した暗号装置でパブリックポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、予め設けた透過中継か廃棄を指示する外部端末通信モード設定手段の設定に基づいて透過中継処理か廃棄処理を指示する暗号鍵情報を前記暗号鍵テーブルに登録し、
    前記ローカルポートから受信した場合、前記ローカルポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、前記ローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも後に鍵探索パケットを受信した暗号装置がローカルポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、前記外部端末通信モード設定手段の設定に基づいて透過中継処理か廃棄処理を指示する暗号鍵情報を前記暗号鍵テーブルに登録することを特徴とする請求項2または3に記載の暗号通信システム。
  8. 前記鍵探索パケットを中継する中継経路上の各暗号装置は、ローカルポートから鍵探索パケットを受信した場合、その鍵探索パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定し、パブリックポートから鍵探索パケットを受信した場合、その鍵探索パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵を設定した鍵探索パケットを前記宛先端末に中継し、
    前記鍵探索応答パケットを受信した中継経路上の各暗号装置は、
    その鍵探索応答パケットを前記パブリックポートから受信した場合、前記パブリックポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、 復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、前記鍵探索応答パケットのパブリックポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも先に鍵探索パケットを受信した暗号装置でパブリックポート暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持つものがなければ、予め設けた透過中継か半透過か廃棄かを指示する外部端末通信モード設定手段の設定が半透過なら、透過処理を指定する暗号鍵情報を前記暗号鍵テーブルに登録し、
    前記ローカルポートから受信した場合、前記ローカルポート暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、その鍵を用いて暗号化するか、復号するかを指定する暗号鍵情報を前記暗号鍵テーブルに登録し、前記鍵探索応答パケットのローカルポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも後に鍵探索パケットを受信した暗号装置でローカルポート暗号鍵情報に登録されている暗号鍵と同じ暗号鍵を持つものがなければ、前記外部端末通信モード設定手段の設定が半透過なら、廃棄処理を指定する暗号鍵情報を前記暗号鍵テーブルに登録することを特徴とする請求項2または3に記載の暗号通信システム。
JP35749197A 1997-06-02 1997-12-25 暗号通信システム Expired - Fee Related JP3595145B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP35749197A JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム
US09/081,046 US6226385B1 (en) 1997-06-02 1998-05-19 Encryption communication system capable of reducing network managing workload
GB9810750A GB2326803B (en) 1997-06-02 1998-05-19 Encryption communication system
DE19823666A DE19823666B4 (de) 1997-06-02 1998-05-20 Verschlüsselungs-Kommunikationssystem

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP9-143755 1997-06-02
JP14375597 1997-06-02
JP35749197A JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム

Publications (2)

Publication Number Publication Date
JPH1155322A JPH1155322A (ja) 1999-02-26
JP3595145B2 true JP3595145B2 (ja) 2004-12-02

Family

ID=26475400

Family Applications (1)

Application Number Title Priority Date Filing Date
JP35749197A Expired - Fee Related JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム

Country Status (4)

Country Link
US (1) US6226385B1 (ja)
JP (1) JP3595145B2 (ja)
DE (1) DE19823666B4 (ja)
GB (1) GB2326803B (ja)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730300B2 (en) 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
JP4752113B2 (ja) * 2001-01-16 2011-08-17 ソニー株式会社 電子機器及び信号伝送方法
US7895616B2 (en) 2001-06-06 2011-02-22 Sony Corporation Reconstitution of program streams split across multiple packet identifiers
US7151831B2 (en) * 2001-06-06 2006-12-19 Sony Corporation Partial encryption and PID mapping
US8051443B2 (en) * 2002-01-02 2011-11-01 Sony Corporation Content replacement by PID mapping
US7823174B2 (en) 2002-01-02 2010-10-26 Sony Corporation Macro-block based content replacement by PID mapping
US7302059B2 (en) * 2002-01-02 2007-11-27 Sony Corporation Star pattern partial encryption
US7376233B2 (en) * 2002-01-02 2008-05-20 Sony Corporation Video slice and active region based multiple partial encryption
US7215770B2 (en) * 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US8027470B2 (en) * 2002-01-02 2011-09-27 Sony Corporation Video slice and active region based multiple partial encryption
US7765567B2 (en) 2002-01-02 2010-07-27 Sony Corporation Content replacement by PID mapping
US7155012B2 (en) * 2002-01-02 2006-12-26 Sony Corporation Slice mask and moat pattern partial encryption
US7292690B2 (en) * 2002-01-02 2007-11-06 Sony Corporation Video scene change detection
TWI235579B (en) * 2002-03-29 2005-07-01 Nti Inc Communication apparatus, communication system, encrypting apparatus information processing apparatus, information processing system, information processing method, and service providing method
JP4615308B2 (ja) * 2002-05-09 2011-01-19 オニシックス グループ エルエー エルエルシー 暗号装置および方法、暗号システム
WO2003096613A1 (fr) * 2002-05-09 2003-11-20 Niigata Seimitsu Co., Ltd. Systeme de gestion de codage centralise
CN1310464C (zh) * 2002-09-24 2007-04-11 黎明网络有限公司 一种基于公开密钥体系的数据安全传输的方法及其装置
JP3625461B2 (ja) * 2002-09-30 2005-03-02 株式会社東芝 ネットワーク中継装置、通信装置、及びネットワーク中継方法
US7878908B2 (en) * 2002-11-14 2011-02-01 Nintendo Co., Ltd. Multiplexed secure video game play distribution
US7292692B2 (en) * 2003-03-25 2007-11-06 Sony Corporation Content scrambling with minimal impact on legacy devices
US7286667B1 (en) 2003-09-15 2007-10-23 Sony Corporation Decryption system
US7853980B2 (en) 2003-10-31 2010-12-14 Sony Corporation Bi-directional indices for trick mode video-on-demand
US20050169473A1 (en) * 2004-02-03 2005-08-04 Candelore Brant L. Multiple selective encryption with DRM
US20050198352A1 (en) * 2004-02-23 2005-09-08 Nokia Corporation Automated data migration
CA2922172A1 (en) 2004-10-25 2006-05-04 Security First Corp. Secure data parser method and system
US7895617B2 (en) 2004-12-15 2011-02-22 Sony Corporation Content substitution editor
US8041190B2 (en) * 2004-12-15 2011-10-18 Sony Corporation System and method for the creation, synchronization and delivery of alternate content
US8185921B2 (en) 2006-02-28 2012-05-22 Sony Corporation Parental control of displayed content using closed captioning
US7555464B2 (en) * 2006-03-01 2009-06-30 Sony Corporation Multiple DRM management
US7960436B2 (en) * 2006-06-05 2011-06-14 Valeant Pharmaceuticals International Substituted arylamino-1,2,3,4-tetrahydro naphthalenes and-2,3-dihydro-1H-indenes as potassium channel modulators
JP5060081B2 (ja) * 2006-08-09 2012-10-31 富士通株式会社 フレームを暗号化して中継する中継装置
JP4562808B2 (ja) * 2008-06-05 2010-10-13 日立オムロンターミナルソリューションズ株式会社 情報処理システム
JP5304345B2 (ja) * 2009-03-11 2013-10-02 富士通株式会社 コンテンツ処理装置、コンテンツ処理システム、およびコンテンツ処理プログラム
JP5650238B2 (ja) * 2009-11-25 2015-01-07 セキュリティー ファースト コープ. 移動中のデータをセキュア化するためのシステムおよび方法
CN103238305A (zh) 2010-05-28 2013-08-07 安全第一公司 用于安全数据储存的加速器系统

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4920567A (en) * 1986-07-03 1990-04-24 Motorola, Inc. Secure telephone terminal
US5455861A (en) * 1991-12-09 1995-10-03 At&T Corp. Secure telecommunications
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5442702A (en) * 1993-11-30 1995-08-15 At&T Corp. Method and apparatus for privacy of traffic behavior on a shared medium network
US5454039A (en) * 1993-12-06 1995-09-26 International Business Machines Corporation Software-efficient pseudorandom function and the use thereof for encryption
US5465300A (en) 1993-12-27 1995-11-07 Motorola, Inc. Secure communication setup method
JPH07245605A (ja) 1994-03-03 1995-09-19 Fujitsu Ltd 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法
US5790677A (en) * 1995-06-29 1998-08-04 Microsoft Corporation System and method for secure electronic commerce transactions
US5615266A (en) 1995-07-13 1997-03-25 Motorola, Inc Secure communication setup method
US5659618A (en) * 1995-09-29 1997-08-19 Vlsi Technology, Inc. Multi-size cryptographic key system
US5995624A (en) * 1997-03-10 1999-11-30 The Pacid Group Bilateral authentication and information encryption token system and method

Also Published As

Publication number Publication date
GB9810750D0 (en) 1998-07-15
US6226385B1 (en) 2001-05-01
DE19823666A1 (de) 1999-02-04
JPH1155322A (ja) 1999-02-26
GB2326803A (en) 1998-12-30
GB2326803B (en) 1999-06-23
DE19823666B4 (de) 2005-09-08

Similar Documents

Publication Publication Date Title
JP3595145B2 (ja) 暗号通信システム
KR100388606B1 (ko) 컴퓨터네트워크간데이터패킷의무서명송수신을위한시스템
JP2637456B2 (ja) メッセージ伝送方法
JP2730902B2 (ja) 通信システム
US6240514B1 (en) Packet processing device and mobile computer with reduced packet processing overhead
JP3651721B2 (ja) 移動計算機装置、パケット処理装置及び通信制御方法
JP2675806B2 (ja) 情報記憶システム
US6704866B1 (en) Compression and encryption protocol for controlling data flow in a network
KR101291501B1 (ko) 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
JP5423907B2 (ja) 鍵設定方法、ノード、サーバ、およびネットワークシステム
JPH1188431A (ja) パケット中継装置、移動計算機装置、移動計算機管理装置、パケット中継方法、パケット送信方法及び移動計算機位置登録方法
JP2002217896A (ja) 暗号通信方法およびゲートウエイ装置
US7203195B2 (en) Method for packet transferring and apparatus for packet transferring
US20040158706A1 (en) System, method, and device for facilitating multi-path cryptographic communication
CN100514936C (zh) 移动路由器装置以及本地代理装置
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JPH1168730A (ja) 暗号ゲートウェイ装置
JPH06318939A (ja) 暗号通信システム
JP2004140545A (ja) 通信端末装置、通信基地局装置、通信中継装置、および方法、並びにコンピュータ・プログラム
US20020116606A1 (en) Encryption and decryption system for multiple node network
US7623666B2 (en) Automatic setting of security in communication network system
CN115277200B (zh) 一种链路层透明加密系统多节点密钥自动协商管理的方法
US8670565B2 (en) Encrypted packet communication system
JP4043997B2 (ja) 暗号装置及びプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040902

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090910

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees