JP4043997B2 - 暗号装置及びプログラム - Google Patents

暗号装置及びプログラム Download PDF

Info

Publication number
JP4043997B2
JP4043997B2 JP2003143715A JP2003143715A JP4043997B2 JP 4043997 B2 JP4043997 B2 JP 4043997B2 JP 2003143715 A JP2003143715 A JP 2003143715A JP 2003143715 A JP2003143715 A JP 2003143715A JP 4043997 B2 JP4043997 B2 JP 4043997B2
Authority
JP
Japan
Prior art keywords
encryption device
data
encryption
transfer length
plaintext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003143715A
Other languages
English (en)
Other versions
JP2004349958A (ja
Inventor
務 平永
寛二 板垣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Information Systems Corp
Original Assignee
Mitsubishi Electric Information Systems Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Information Systems Corp filed Critical Mitsubishi Electric Information Systems Corp
Priority to JP2003143715A priority Critical patent/JP4043997B2/ja
Publication of JP2004349958A publication Critical patent/JP2004349958A/ja
Application granted granted Critical
Publication of JP4043997B2 publication Critical patent/JP4043997B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、セキュリティ確保における導入負担を軽減するリピータ型暗号装置に係り、不測のフレーム分割(フラグメント)処理を回避し、更に、経路MTU探索を正常に機能させることにより、データ転送効率を向上させるリピータ型暗号装置に関する。
【0002】
【従来の技術】
従来から行われている経路MTU探索について説明する。図16は、従来の相手暗号装置毎最適転送長探索が行われるネットワークの構成例を示す図である。図に示すように、ローカルネットワーク1と回線とローカルネットワーク2では、それぞれMTU(Maximum Transmission Unit)が異なる。MTUは、転送可能な最大のフレームサイズ(MACヘッダを除く)を示している。
【0003】
以下、MTUの特徴について述べる。
1)MTUは、通信媒体で決まる絶対的な限界値以下の値でなければならない。
2)MTUは、各機器でパラメータとして記憶されている。例えば、ルータR1では、物理ポートのパラメータとしてMTU値を記憶している。
3)MTUは大きい方が、転送効率がよい。MTUが小さい場合には、フレームサイズが小さいので、フレーム量が増大する。その結果、オーバヘッドの増加等により転送効率が悪くなる。
【0004】
IP層の制限では、一度に64Kbytesまでのデータを送れることになっているが、このように、実際の物理層の制限で一度に転送できないことがある。このような場合はデータを分割して送信し、受信した方で再合成する必要がある。この動作を、フラグメントという。
【0005】
フレームフォーマットの仕様のうちフラグメントに関連する箇所について説明する。図17は、ローカルネットワーク上のフレームフォーマットを示す図である。
図中のフラグ1701は、各種制御フラグを示している。そのうち、ビット1(DF:分割禁止フラグ)は、フレーム分割の可否を示している。DF=0(分割禁止フラグリセット)は、分割許可を意味し、当該フレームを分割(フラグメント)して転送することを許している。DF=1(分割禁止フラグセット)は、分割禁止を意味し、当該フレームを分割(フラグメント)して転送することを禁止している。
ビット2(MF)は、更に分割(フラグメント)された後続のフレームが存在するか否かを示している。MF=0は、最終分割を意味し、当該フレーム以降に分割(フラグメント)されたフレームが存在しないことを示している。MF=1は、分割継続を意味し、当該フレーム以降に分割(フラグメント)されたフレームが存在することを示している。
【0006】
ここで、フレーム転送のシーケンスの例を示す。まず、フラグメントする場合のシーケンスについて説明する。図18は、フラグメントするシーケンスの例を示す図である。以下、フレーム長(フレームのデータ長)は、MACヘッダを除くサイズを示す。
図は、端末S1から端末S2へ3000バイトのデータを転送する場合の例を示している。この例では、分割(フラグメント)を許可するので、分割禁止フラグはリセットになっている。その為、ルータR1で、フレームを分割し、分割したフレームを送信する。ルータR2は、これらのフレームを中継し、端末S2は、受信したフレームの再合成処理(組み立て処理)を行う。この例では、図に示すように、ルータR1でフレームの分割処理が2回発生し、フレーム送信処理が4回発生している。また、ルータR2でフレームの中継処理が4回発生し、端末S2でフレームの再合成処理が2回発生している。
このように、ルータR1におけるフレームの分割処理の負荷、ルータR2におけるフレーム中継処理の負荷、端末S2におけるフレームの再合成処理(組み立て処理)の負荷が、転送効率を悪化させる。
【0007】
次に、フラグメントしない場合のシーケンスについて説明する。図19は、フラグメントしないシーケンスの例を示す図である。
図は、端末S1から端末S2へ3000バイトのデータを転送する場合の例を示している。この例では、分割(フラグメント)を禁止するので、分割禁止フラグはセットになっている。そのため、端末S1が最初1500バイトのフレームを送信するが、ルータR1より端末S1に宛先到達不能通知(コード=要分割、転送先MTU=1000バイト)が通知される。これを受けた端末S1は、長さ1000バイトで再送し、合計3フレームを送信する。ルータR1とルータR2ではフレームの中継処理が3回発生するが(分割処理は行わない)、端末S2では再合成処理(組み立て処理)が必要ない。
上述のように、分割禁止フラグをセットし、フラグメントしない場合のシーケンスの方が、ルータの分割処理が発生しないことと中継処理回数が少ないこと、受信側端末の再合成処理が不用であることなどから転送効率が良い。
【0008】
図19に示したように、ネットワーク上の任意の経路について、その経路上の最大データ転送長を探索する機能を経路MTU探索(Path MTU Discovery)という。この機能において重要なことは、転送先のMTUを送信側に通知することである。これにより、送信側で、分割の必要がない範囲で最長のフレームを転送することが可能となる。
【0009】
ここで、宛先到達不能通知フォームフォーマットについて説明する。図20は、ローカルネットワーク上の宛先到達不能通知フレームフォーマットを示す図である。
本通知は、ICMP(Internet Control Message Protocol)により定義されている。尚、ICMPは、IPプロトコルの機能を補助するために用意された制御用のプロトコルである。図に示すように、IPヘッダの後に、ICMPメッセージが置かれている。
当該フレームが、宛先到達不能通知(宛先到達不能メッセージ)である場合には、形式2001に「3」を設定する。フレーム長が大きすぎるため分割が必要にもかかわらず、分割が禁止されている場合には、コード2002に「4」を設定する。転送先のMTU2003には、ルータが転送する際の転送先のインタフェースに定義された転送可能なフレーム長(最大データ転送長:MACヘッダを除く)を設定する。送信側では、この値に基づいて、再送するデータ長を決定することができる。また、2004には、元のIPヘッダと元のIPデータの先頭から64bits分のデータが格納される。この元のIPヘッダ部分を参照することにより、転送に失敗した元のフレームの送信元アドレスと宛先アドレスを特定できる。
【0010】
一方、広域ネットワークとしてインターネットやIP−VPN(Internet Protocol−Virtual Private Network)網を用いる場合のセキュリティ対策として、平文ネットワーク(ローカルネットワーク)と暗号文ネットワーク(広域ネットワーク)との間でデータの中継に対して、平文データを暗号化すると共に暗号データを復号する暗号装置が用いられる。従来この基本アーキテクチャとして、ルータ型の暗号装置または端末型の暗号装置が想定されていたが、新たに、リピータ型の暗号装置が導入されるようになっている。これにより、既存ネットワークに接続された機器へのIP−VPN導入時の再設定の不便を解消し、IP−VPNの導入作業を容易にし、更に導入コストを軽減することができる。
【0011】
図21は、従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。図中、RE1〜RE3がリピータ型暗号装置に相当する。このリピータ型暗号装置については、特許3259724号の「暗号装置、暗号化器および復号器」にその内容が開示されている。図22は、従来のリピータ型暗号装置の構成を示す図である。
平文ネットワークからの平文データを暗号化して暗号文ネットワークに送出する場合には、暗号化/エンカプセル処理ブロック26により、平文ネットワークから受信した平文データを暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データのIPヘッダ(Internet Protocol ヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う。そして、暗号化/暗号側MACアドレス解決ブロック28により、暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(Media Access Control ヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する。
逆に、暗号文ネットワークからの暗号データを復号して平文ネットワークに送出する場合には、復号/デカプセル処理ブロック27により、暗号文ネットワークから受信した暗号データを平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するデカプセル処理を行う。そして、平文側MACアドレス解決ブロック29により、復号/デカプセル処理ブロック27で設定されたIPヘッダに基づいてMACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信する。
【0012】
これにより、以下に示すフレームフォーマットのデータが転送される。図23は、従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
図に示すように、平文データ(2301〜2304)に含まれていたTCP/UDPデータ2304、TCP/UDPヘッダ2303、及びIPヘッダ2302の内容は、暗号化され(2314〜2316)、中継過程で盗み見できないようになっている。そして、本来のIPヘッダ2302やMACヘッダ2301とは異なるエンカプセルIPヘッダ2312、MACヘッダ2311が新たに設定されている。尚、エンカプセルヘッダ2313には、セキュリティパラメータインデックスやパケットのシーケンス番号等の復号/デカプセル処理に必要なパラメータが格納されている。
【0013】
このようなリピータ型暗号装置を端末とルータの間に設置して、経路MTU探索を行うためには、ルータから端末に宛先到達不能通知を通知する必要があるが、暗号化エンカプセル後のフレームでは、オリジナルのIPヘッダ2302が暗号化され、エンカプセルIPヘッダ2313中の発信元のアドレスには、リピータ型暗号装置のアドレスが設定されている。そのため、オリジナルのIPヘッダ2302に設定されている本来の発信元である端末のアドレスがわからず、宛先到達不能通知を通知すべき本来の発信元に送信できない。
【0014】
また、新たにエンカプセルヘッダ2313とエンカプセルIPヘッダ2312を付加しているため、これらのヘッダのデータ長Xバイト分、全体のフレーム長が大きくなる。そのため、このデータ増加分によりMTUを越えてしまい、本来分割(フラグメント)の必要がないデータが、暗号化/エンカプセル処理により、分割(フラグメント)が必要になるケースが発生し得る。
【0015】
リピータ型暗号装置を用いた環境における経路MTU探索によるシーケンスの例を示す。図24は、宛先到達不能通知を転送できないシーケンスを示す図である。
フレーム2401のデータ長は、1500バイトであり、ローカルネットワーク1のMTU=1500以内なので、ルータR1に転送する際に、本来分割(フラグメント)は必要ない。しかし、前述の通り、エンカプセルヘッダ2313とエンカプセルIPヘッダ2312の付加データのXバイト分だけデータが大きくなるので、その増加データ長に相当するデータを分割(フラグメント)し、2つのフレームを送信している。
また、フレーム2402のデータ長は回線1−4のMTUを越えており、更に当該フレームが分割禁止であるため、ルータR1は、宛先到達不能通知を返信する必要がある。しかし、前述のように、エンカプセルIPヘッダ2313中の発信元のアドレスには、リピータ型暗号装置RE1のアドレスが設定されているため、宛先到達不能通知は、リピータ型暗号装置RE1に返信され、本来の発信元である端末S1に至らない。また、リピータ型暗号装置RE1は、宛先到達不能通知のデータ内容から本来の送信元を特定できないので、転送することもできない。従って、送信先である端末S3にフレームが至らず、また、本来の送信元である端末S1が宛先到達不能通知を受け取ることができないので、経路MTU探索も機能しない。
【0016】
図25は、従来の暗号装置を用いたネットワークでフラグメントするシーケンスを示す図である。
図24に示したように、リピータ型暗号装置RE1からルータR1に分割禁止フラグセットのフレームを転送すると、正常に動作しないので、リピータ型暗号装置RE1は、受信したフレームがDF=0(分割禁止フラグリセット)あるいはDF=1(分割禁止フラグセット)のいずれであっても、分割許可で転送せざるを得ない。この場合には、ルータR1におけるフレームの分割処理の負荷、ルータR3におけるフレーム中継処理の負荷、リピータ型暗号装置RE2におけるフレームの再合成処理(組み立て処理)の負荷が問題となる。
また、この場合でも、図24の場合と同様に、暗号化/エンカプセルによるデータ増分のXバイトの影響で、分割(フラグメント)が必要になる。
【0017】
転送するデータを暗号化し、エンカプセル処理することにより、セキュリティを確保するリピータ型暗号装置を用いるネットワーク環境でのデータ転送効率に関しては、前述のように以下の問題がある。
1)暗号化/エンカプセル化処理により、新たなヘッダを付加するため、このデータ増加分によりMTUを越えてしまい、本来分割(フラグメント)の必要がないフレームが、暗号化/エンカプセル化処理により、分割(フラグメント)が必要になるケースが発生し、転送効率が劣化する。
2)暗号化/エンカプセル化処理により、オリジナルのIPヘッダが暗号化され、本来の送信元のアドレスが不明になるため、宛先到達不能通知が送信元に転送されず、経路MTU探索を実行できない。従って、経路MTU探索を用いたデータ転送効率の向上が図られない。
【0018】
【特許文献1】
特許第3259724号公報
【特許文献2】
特開2000−92119号公報
【0019】
【発明が解決しようとする課題】
本発明は、上記した従来技術の欠点を除くためになされたものであって、その目的とするところは、セキュリティ確保における導入負担を軽減するリピータ型暗号装置に係り、不測のフレーム分割(フラグメント)処理を回避し、更に、経路MTU探索を正常に機能させることにより、データ転送効率を向上させることを課題とする。
【0020】
【課題を解決するための手段】
本発明に係る暗号装置は、
平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置であって、以下の要素を有することを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う暗号化/エンカプセル処理ブロック
(2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する暗号側MACアドレス解決ブロック
(3)受信した平文データが分割禁止に設定されている場合に、暗号データの最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長よりも、前記平文データのデータ長が大きい場合に、前記平文データの送信元を宛先とする宛先到達不能通知を生成し、平文ネットワーク側へ送信する宛先到達不能代理通知処理ブロック。
【0021】
宛先到達不能代理通知処理ブロックは、前記宛先到達不能通知に、暗号データの最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長を含めることを特徴とする。
【0022】
宛先到達不能代理通知処理ブロックは、暗号文ネットワーク側から受信した宛先到達不能通知に含まれる転送先のMTUを、最適転送長として用いることを特徴とする。
【0023】
暗号装置は、更に、上記他の暗号装置毎に、最適転送長を記憶する相手暗号装置最適転送長テーブルを有し、
宛先到達不能代理通知処理ブロックは、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダに設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に対応して記憶されている最適転送長を、相手暗号装置最適転送長テーブルから取得することを特徴とする。
【0024】
暗号装置は、更に、暗号文ネットワーク側から受信した宛先到達不能通知に含まれる転送先のMTU(マキシマムトランスミッションユニット)を、相手暗号装置最適転送長テーブルに最適転送長として記憶させる相手暗号装置毎最適転送長テーブル管理処理ブロックを有することを特徴とする。
【0025】
上記他の暗号装置を宛先とし、分割禁止に設定した相手暗号装置毎最適転送長探索フレームを生成し、暗号文ネットワーク側に送信する相手暗号装置毎最適転送長代理探索処理ブロックを有することを特徴とする。
【0026】
相手暗号装置毎最適転送長代理探索処理ブロックは、相手暗号装置毎最適転送長探索フレームを、暗号文ネットワークのMTUに基づく最長のデータ長とすることを特徴とする。
【0027】
最適転送長は、所定のタイミングで初期化されることを特徴とする。
【0028】
本発明に係るプログラムは、
暗号装置となるコンピュータに、以下の手順を実行させるためのプログラムであることを特徴とする
(1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う手順
(2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する手順
(3)受信した平文データが分割禁止に設定されている場合に、暗号データの最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長よりも、前記平文データのデータ長が大きい場合に、前記平文データの送信元へ返信する宛先到達不能通知を生成する手順。
【0029】
【発明の実施の形態】
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。本実施の形態では、宛先到達不能代理通知処理するリピータ型暗号装置について説明する。
図1は、ネットワークセキュリティシステムのネットワーク構成例を示す図である。R1〜R7は、ルータ、RE1〜RE3は、(リピータ型)暗号装置、S1〜S3は、端末、C1〜C3は、コンソール端末、M1は、管理端末である。特に、R4〜R6は、広域ネットワーク内のローカルネットワークへの接続拠点に設置されたルータであり、PE(Provider Edge Router)と呼ばれる。一方、R1〜R3は、ローカルネットワーク側から広域ネットワークへ接続する拠点に設置されたルータであり、CE(Customer Edge Router)と呼ばれる。
ローカルネットワークは、平文データを転送する平文ネットワークであり、広域ネットワークは、暗号データを転送する暗号文ネットワークである。
【0030】
図2は、本発明に係るリピータ型暗号装置の構成ブロックを示す図である。1は、端末機能ブロック、2は、リピータ機能ブロック、20は、平文ポート、21は、暗号文ポート、22は、自局ポート、23は、暗号出力フィルタ、24は、自局出力フィルタ、25は、平文出力フィルタ、26は、暗号化/エンカプセル処理ブロック、27は、復号/デカプセル処理ブロック、28は、暗号側MACアドレス解決ブロック、29は、平文側MACアドレス解決ブロック、31は、相手暗号装置毎最適転送長テーブルである。また、端末機能ブロック1は、相手暗号装置毎最適転送長代理探索処理ブロック32、宛先到達不能代理通知(要分割)処理ブロック33、及び相手暗号装置毎最適転送長テーブル管理処理ブロック34を含んでいる。
【0031】
端末機能ブロック1は、リピータ型暗号装置自身に送信された自局宛情報、具体的には、パケット(フレーム)として送信された自局宛パケット(例えば、リピータ型暗号装置を管理するための管理パケット等)を処理する機能ブロックである。ネットワークに接続されたIP(Internet Protocol)接続機能を有する一般の端末と同等の機能を有する。
【0032】
リピータ機能ブロック2は、通常のリピータと同様に、ネットワークに接続されている各機器のネットワークパラメータを変更せずに、データを暗号化および復号する機能(以下、リピータ機能)を有する。
【0033】
平文ポート20は、平文ネットワーク側に設けられた内部の論理的なポートである。平文ネットワークから暗号文ネットワークへデータを送出する場合には、平文ネットワークから受信した平文データ(具体的には、パケットとして送信された平文パケット)を、暗号文ポート21と自局ポート22に転送するように構成されている。
また、暗号文ネットワークから平文ネットワークへデータを受入れる場合や端末機能ブロック1から平文ネットワークへデータを送出する場合には、暗号文ポート21又は自局ポート22から転送されたデータ(具体的にはパケット)を平文出力フィルタ25に出力するように構成されている。
【0034】
暗号文ポート21は、暗号文ネットワーク側に設けられた内部の論理的なポートである。暗号文ネットワークから平文ネットワークへデータを受入れる場合には、暗号文ネットワークから受信した暗号データ(具体的にはパケットとして送信された暗号パケット)を、平文ポート20及び自局ポート22に転送するように構成されている。
また、平文ネットワークから暗号文ネットワークへデータを送出する場合や端末機能ブロック1から暗号文ネットワークへデータを送出する場合には、平文ポート20または自局ポート22から転送されたデータ(具体的にはパケット)を、暗号出力フィルタ23に出力するように構成されている。
【0035】
自局ポート22は、端末機能ブロック1側に設けられた内部の論理的なポートである。自局からデータを送出する場合には、端末機能ブロック1から出力された自局出力情報(具体的にはパケット)を、平文ポート20及び暗号文ポート21に転送するように構成されている。また、自局でデータを受入れる場合には、平文ポート20又は暗号文ポート21から転送されたパケットを、自局出力フィルタ24に出力するように構成されている。
【0036】
暗号出力フィルタ23は、平文ネットワークから暗号文ネットワークへデータを送出する場合に、暗号文ポート21へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(転送する必要のないパケット)、透過中継パケット(何も処理せずに暗号文ネットワークに透過的に中継するパケット)、あるいは暗号パケット(暗号化およびエンカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、当該パケットをそのまま暗号文ネットワークに送信し、暗号パケットの場合は、当該パケットを暗号化/エンカプセル処理ブロック26に出力するように構成されている。
暗号出力フィルタ23は、また、端末機能ブロック1からの自局出力情報を入力した場合には、当該自局出力情報が、暗号文ネットワークへの暗号情報、廃棄情報、あるいは暗号文ネットワークへの透過中継情報のいずれかであるかを識別し、上記暗号情報の場合には、自局出力情報を暗号化/エンカプセル処理ブロック26に出力し、上記廃棄情報の場合には、自局出力情報を廃棄し、上記透過中継情報の場合には、そのまま自局出力情報を暗号文ネットワークに送信するように構成されている。
【0037】
自局出力フィルタ24は、自局ポート22へ転送されたパケットに対してフィルタ処理するように構成されている。転送されたパケットが、自局宛パケット(端末機能ブロック1へ通知する必要があるパケット)、あるいは廃棄パケット(端末機能ブロックへ通知する必要がないパケット)かを識別し、自局宛パケットの場合は当該パケットを端末機能ブロック1へ送信し、廃棄パケットの場合は、廃棄するように構成されている。
【0038】
平文出力フィルタ25は、平文ポート20へ転送されたパケットに対してフィルタ処理するように構成されている。廃棄パケット(平文ポート20から送信する必要のないパケット)、透過中継パケット(何も処理せずに平文ネットワークに透過的に中継するパケット)、平文パケット(復号化およびデカプセル処理を必要とするパケット)のいずれかであるかを識別し、廃棄パケットである場合は、当該パケットを廃棄し、透過中継パケットである場合は、平文ネットワークにそのまま送信し、平文パケットである場合は、平文側MACアドレス解決ブロック29に出力するように構成されている。
平文出力フィルタ25は、また、端末機能ブロック1から自局出力情報を入力した場合に、当該自局出力情報が、平文ネットワークへの透過中継情報、あるいは廃棄情報であるかを識別し、平文ネットワークへの透過中継情報である場合に、そのまま自局出力情報を平文ネットワークに送信し、廃棄情報である場合に、自局出力情報を廃棄するように構成されている。
【0039】
暗号化/エンカプセル処理ブロック26は、平文ネットワークから受信した平文データ(具体的には平文パケット)を暗号化し、更に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、平文データの(オリジナル)IPヘッダ(Internet Protocolヘッダ)に設定されたアドレスに対応する暗号装置を決定し、決定した他の暗号装置に基づいて新規にエンカプセルIPヘッダを設定するエンカプセル処理を行うように構成されている。
【0040】
復号/デカプセル処理ブロック27は、暗号文ネットワークから受信した暗号データ(具体的には暗号パケット)を平文データに復号し、更に、平文データのIPヘッダに設定されたアドレスに基づいてIPヘッダを再設定するように構成されている。更に、暗号パケットに対して復号およびデカプセル処理が必要か否かを判断し、必要であれば復号およびデカプセル処理を行い、必要でなければそのままに転送するように構成され、また、復号およびデカプセル処理時にエラーが発生した場合、または復号およびデカプセル処理が不必要で、かつ透過中継する必要のない場合には、そのパケットを廃棄するように構成されている。
【0041】
暗号側MACアドレス解決ブロック28は、暗号化/エンカプセル処理ブロック26で設定されたIPヘッダに基づいて、MACヘッダ(Media Access Controlヘッダ)を設定して生成した暗号データを平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信するように構成されている。
【0042】
平文側MACアドレス解決ブロック29は、復号/デカプセル処理ブロック27で再設定されたIPヘッダに基づいて、MACヘッダを設定して生成した平文データを暗号文ネットワークと同一IPサブネットの平文ネットワークへ送信するように構成されている。
【0043】
相手暗号装置毎最適転送長テーブル31は、相手暗号装置毎に最適転送長と生存時間を記憶するように構成されている。詳しくは、図4を用いて後述する。
【0044】
相手暗号装置毎最適転送長代理探索処理ブロック32は、暗号装置が自主的に各相手暗号装置に対して、相手暗号装置毎最適転送長を探索する処理を行うように構成されている。
【0045】
宛先到達不能代理通知(要分割)処理ブロック33は、分割禁止であるにも関わらず、分割しなければ転送できないフレーム(パケット)を受信した場合に、宛先到達不能通知を生成し、送信元に通知する処理を行うように構成されている。
【0046】
相手暗号装置毎最適転送長テーブル管理処理ブロック34は、相手暗号装置毎最適転送長テーブルを更新する処理を行うように構成されている。
【0047】
尚、上記暗号化/エンカプセル処理ブロック26と、上記暗号側MACアドレス解決ブロック28とにより、暗号化/エンカプセル処理部を構成し、復号/デカプセル処理ブロック27と、上記平文側MACアドレス解決ブロック29とにより、復号/デカプセル処理部を構成する。
【0048】
図3は、宛先到達不能代理通知(要分割)処理ブロックの動作を説明するシーケンスを示す図である。
端末S1は、端末S2と通信するために端末S2宛のDF=1(分割禁止フラグセット)の1500バイトのフレーム301を、ルータR1に送信する。リピータ型暗号装置RE1は、このフレーム301を暗号化/エンカプセル処理し、新たなリピータ型暗号装置RE2宛のフレーム302をルータR1に送信する。この新たなフレーム302は、オリジナルのフレームのDFを引継ぎ、ローカルネットワークのMTUを越えないサイズに分割(フラグメント)されている。
ルータR1は、フレーム302のサイズが、回線1−4のMTUを越え、またDF=1(分割禁止フラグセット)であるので、データの中継を中止する。そして、宛先到達不能通知303を生成し、返信する。このとき、エンカプセルIPヘッダに設定されている送信元アドレスに従って、リピータ型暗号装置RE1を送信先とする。宛先到達不能通知303を受信したリピータ型暗号装置RE1は、宛先到達不能通知303から相手暗号装置アドレス(図20の元のIPヘッダ2004中)と、転送先のMTU(図20の2003)を読み取り、相手暗号装置アドレスに対応付けて転送先のMTUを記憶する。
その後、端末S1は端末S2からの返信が無いので、タイムアウト処理し、最初のフレーム301と同様のフレーム304を、再度送信する。リピータ型暗号装置RE1は、IPヘッダ内の送信先アドレスに基づいて相手暗号装置を特定し、この相手暗号装置のアドレスに対応付けて記憶しているMTUから、暗号化/エンカプセルによるデータ増分のXバイトを差し引いたデータサイズ(1000−X)を、転送先のMTU2003に設定した宛先到達不能通知305を生成し、送信元である端末S1に返信する。
宛先到達不能通知305を受信した端末S1は、転送先のMTU2003に従って、改めて1000−Xバイトのフレーム306を生成し、ルータR1に送信する。リピータ型暗号装置RE1は、このフレーム306を暗号化/エンカプセル処理し、新たなフレーム307をルータR1に送信する。この新たなフレームは、データの増加分(Xバイト)を含めても回線1−4のMTUを越えないサイズとなる。従って、不測のフレーム分割(フラグメント)は発生せず、また中継処理や再合成処理の負荷が軽減される。
このように、本実施の形態に係るリピータ型暗号装置RE1は、相手暗号装置毎にMTUを学習し、ルータR1に代わり宛先到達不能通知を端末S1に送信し、更に、データ増加分を考慮したフレーム長を、宛先到達不能通知の転送先のMTU2003に設定する。
【0049】
学習したMTUは、相手暗号装置毎最適転送長テーブルに記憶される。図4は、相手暗号装置毎最適転送長テーブルの構成を示す図である。図に示すように、相手暗号装置毎最適転送長テーブル31は、相手暗号装置アドレス401に対応付けて、最適転送長402と生存時間403を記憶している。
【0050】
相手暗号装置アドレス401は、ネットワーク環境に従って予め設定されている。
【0051】
最適転送長402には、受信した宛先到達不能通知に含まれる転送先のMTU2003を記憶する。初期値としては、暗号文ネットワーク側のネットワーク(ローカルネットワーク1)のMTUを用いる。
但し、この例に拠らず、前記転送先のMTU2003から、暗号化/エンカプセル処理に伴うデータの増加分(Xバイト)を差し引いたフレーム長を記憶するようにしてもよい。その場合、初期値としては、暗号文ネットワーク側のネットワーク(ローカルネットワーク1)のMTUから、上述のデータの増加分を差し引いたフレーム長を用いる。また、新たな宛先到達不能通知の生成の際に、データの増加分(Xバイト)を差し引く必要がなくなる。
【0052】
生存時間403は、最適転送長402の適正期間を管理するために用いる。
【0053】
以下、リピータ型暗号装置(例えば、RE1)の処理について述べる。
まず、図3の303のように、宛先到達不能通知を受信した際の処理について説明する。
暗号文ネットワークから受信した宛先到達不能通知は、復号/デカプセル処理されず、自局(当該リピータ型暗号装置)宛てなので、暗号文ポート21、自局ポート22、及び自局出力フィルタ24を介して端末機能ブロック1に入力される。そして、相手暗号装置毎最適転送長テーブル管理処理ブロック34により、以下のように処理される。
図5は、相手暗号装置毎最適転送長テーブル管理処理ブロックにおける宛先到達不能(要分割)通知受信の処理フローを示す図である。
受信した宛先到達不能通知(要分割)に含まれる元のIPヘッダ2004(図20)内の宛先アドレスを読む。これは、到達不能となったフレーム(例えば、図3に示した302)のIPヘッダ内の宛先アドレスと同じであり、相手暗号装置のアドレスを示している。このアドレスと一致するものを、相手暗号装置毎最適転送長テーブルの相手暗号装置アドレス401として含むエントリを特定する(S501)。
そして、該当エントリの相手暗号装置毎最適転送長402に、宛先到達不能通知(要分割)に設定されていた転送先のMTU2003を記憶する(S502)。
最後に、該当エントリの生存時間403を所定の初期タイマ値で初期化し、タイマを起動する(S503)。タイマは、時間の経過に従って、生存時間403の値を減ずる。
【0054】
また、相手暗号装置毎最適転送長テーブル管理処理ブロック34は、フレーム送受信の動作と連携せずに、相手暗号装置毎最適転送長テーブル31の生存時間403を監視し、適時相手暗号装置毎最適転送長402を初期化している。図6は、相手暗号装置毎最適転送長テーブル管理処理ブロックにおける生存時間管理の処理フローを示す図である。
相手暗号装置毎最適転送長テーブル31における生存時間403が生存時間満了値を満了したエントリがあるか判定し(S601)、ある場合には、該当エントリの相手暗号装置毎最適転送長402を、暗号文ネットワークのMTUで初期化する(S602)。そして、該当エントリの生存時間に対するタイマを停止する(S603)。
このように処理することにより、前回の相手暗号装置毎最適転送長402にMTUを設定した時から所定期間経過した場合に、改めて相手暗号装置毎最適転送長402にMTUを設定し直すようにすることができる。
【0055】
次に、図3の304のように、分割(フラグメント)が必要であって、分割禁止フラグセットされているフレームを受信した場合に、ルータ(例えば、R1)にかわり宛先到達不能通知を送信する処理について説明する。図7は、暗号化/エンカプセル処理ブロックから起動される宛先到達不能代理通知送信の処理フローを示す図である。
平文ネットワークから受信したフレームは、平文ポート20、暗号文ポート21、及び暗号出力フィルタ23を介して、暗号化/エンカプセル処理ブロック26に送られる。
受信フレームのIPヘッダ内の分割禁止フラグがセットされている場合には(S701)、受信フレームのIPヘッダから宛先アドレスを読む。このアドレスに予め対応付けて記憶している他の暗号装置(例えば、端末S2に対応する暗号装置RE2)のアドレスを得る(S702)。そして、相手暗号装置毎最適転送長テーブル中で、この暗号装置のアドレスと一致する相手暗号装置アドレスを有するエントリを特定し、そのエントリの相手暗号装置毎最適転送長402を取得する。そして、受信フレームのデータ長を、相手暗号装置毎最適転送長から暗号化/エンカプセル処理に伴うデータの増加分(Xバイト)を差し引いたデータ長と比較する(S703)。受信フレームのデータ長の方が大きい場合には、受信フレームのIPヘッダの送信元アドレス宛てに、相手暗号装置毎最適転送長から前記データの増加分(Xバイト)を差し引いたデータ長を、転送先のMTU2003に設定した宛先到達不能通知(要分割)を生成し、送信する。受信フレームは廃棄する(S704)。
【0056】
MTUは、最適値の例である。最適値として他の値を用いることも有効である。
【0057】
実施の形態2.
前述の形態では、フレーム中継の機会(例えば、図3のフレーム302送信の後)にMTUを学習する例を示したが、本実施の形態では、暗号装置で自主的にMTUを学習する経路MTU代理探索処理について説明する。
【0058】
図8は、相手暗号装置毎最適転送長探索処理ブロックの動作を説明するシーケンスを示す図である。この例は、暗号装置RE1で、相手暗号装置RE3までの経路のMTUを探索するシーケンスを示している。
リピータ型暗号装置RE1は、暗号文ネットワーク側のネットワーク(この例では、ローカルネットワーク1)のMTUと一致するデータ長の相手暗号装置毎最適転送長探索フレーム(801)を相手(リピータ型)暗号装置RE3までの経路に送出する。つまり、ルータR1に送信する。
フレームを受信したルータR1は、フレーム長(1500バイト)が回線1−4のMTU(1000バイト)を越えるので、回線1−4のMTUを転送先のMTU2003に設定した宛先到達不能通知(802)をリピータ型暗号装置RE1に返信する。
宛先到達不能通知を受信したリピータ型暗号装置RE1は、宛先到達不能通知に設定されている転送先のMTU2003と等しいデータ長の相手暗号装置毎最適転送長探索フレーム(803)を再度ルータR1に送信する。
経路中で、相手暗号装置毎最適転送長探索フレームのデータ長がMTUを越える場合には、その都度、宛先到達不能通知が返信され、リピータ型暗号装置RE1は、転送先のMTU2003に応じた相手暗号装置毎最適転送長探索フレームの再送を繰り返す。
最終的に、相手暗号装置RE3に相手暗号装置毎最適転送長探索フレーム(810)が到達すると、相手暗号装置RE3は相手暗号装置毎最適転送長探索応答フレーム(811)を、送信元のリピータ型暗号装置RE1に返信する。
相手暗号装置毎最適転送長探索応答フレーム(814)を受信したリピータ型暗号装置RE1は、これにより、相手暗号装置RE3に対する最適転送長を決定し、記憶する。
このように、経路MTU代理探索処理を行う。その後、分割禁止フラグセットされているフレーム(815)を受信した場合に、前述の実施の形態と同様に、相手暗号装置を特定し、その相手暗号装置への経路の最適転送長を知らせる宛先到達不能通知(816)を送信元(端末S1)に返信する。これにより、送信元(端末S1)は、最適転送長のフレーム(817)を送信する。
【0059】
図9は、実施の形態2における相手暗号装置毎最適転送長テーブルを示す図である。本実施の形態では、更に、相手暗号装置毎最適転送長探索応答フレーム受信監視タイマ904を設定している。
【0060】
続いて、処理について説明する。
まず、相手暗号装置毎最適転送長代理探索処理ブロック32による相手暗号装置毎最適転送長探索フレーム(例えば、図8の801)を送信する処理について説明する。図10は、相手暗号装置毎最適転送長探索処理ブロックにおける相手暗号装置毎最適転送長探索フレーム送信の処理フローを示す図である。
本処理は、暗号装置立上げ直後に起動され、更に定期的に起動される。定期的間隔は、相手暗号装置毎最適転送長テーブルにおける生存時間満了値より短い値とする。
相手暗号装置毎最適転送長テーブル内のすべての相手暗号装置アドレスを取得し(S1001)、当該暗号装置の暗号文ネットワークのMTUと等しいデータ長の相手暗号装置毎最適転送長探索フレームを、すべての相手暗号装置のアドレス宛てに送信する(S1002)。そして、相手暗号装置毎最適転送長探索応答フレーム受信監視タイマを起動する(S1003)。
【0061】
相手暗号装置毎最適転送長探索フレームの送信は、相手暗号装置毎最適転送長探索応答フレーム受信監視タイマ満了時にも行われる。図11に、相手暗号装置毎最適転送長探索応答フレーム受信監視タイマ満了時に起動される処理のフローを示す。
まず、相手暗号装置毎最適転送長テーブル内で、相手暗号装置毎最適転送長探索応答フレーム受信監視タイマ904が満了したエントリを特定し、当該エントリの相手暗号装置アドレス901を取得し(S1101)、更に当該エントリの相手暗号装置毎最適転送長902を取得する(S1102)。そして、相手暗号装置毎最適転送長と等しいデータ長さの相手暗号装置毎最適転送長探索フレームを該当暗号装置アドレス宛てに送信する(S1103)。最後に、当該エントリの相手暗号装置毎最適転送長探索応答フレーム受信監視タイマ904を、再起動する(S1104)。
【0062】
ここで、相手暗号装置毎最適転送長代理探索フレームのフォーマットを説明する。図12は、相手暗号装置毎最適転送長代理探索フレームのフォーマットを示す図である。
IPヘッダ1202は、DF=1(分割禁止フラグセット)に設定する。また、UDPヘッダ1203中のポート番号は、相手暗号装置毎最適転送長代理探索を示す値とする。これにより、他のアプリケーションのデータとの混同を防止する。この例では、UDPヘッダ1203を示したが、TCPヘッダの場合も同様である。コード1204には、相手暗号装置毎最適転送長代理探索を示すコードを設定する。
IPヘッダ1202から相手暗号装置毎最適転送長代理探索データ1205までのデータ長が、転送先のMTUと等しくなるように、相手暗号装置毎最適転送長代理探索データ1205を設定する。
【0063】
宛先到達不能通知(例えば、図8の802や806)を受信した場合の処理は、実施の形態1で示した図5の処理と同様である。
【0064】
次に、相手暗号装置(例えば、RE3)で、相手暗号装置毎最適転送長代理探索フレームを受信し、相手暗号装置毎最適転送長代理探索応答フレームを返信する処理について説明する。図13は、相手暗号装置毎最適転送長代理探索処理ブロックにおける相手暗号装置毎最適転送長代理探索フレーム受信の処理フローを示す図である。
暗号装置は、暗号文ネットワークから相手暗号装置毎最適転送長代理探索フレームを受信する。当該フレームは、復号/デカプセル処理されず、自局(当該リピータ型暗号装置)宛てなので、暗号文ポート21、自局ポート22、及び自局出力フィルタ24を介して端末機能ブロック1に入力される。そして、相手暗号装置毎最適転送長代理探索処理ブロック32により、以下のように処理される。
相手暗号装置毎最適転送長代理探索フレーム内の送信元アドレスを読み込み、当該アドレスを宛先アドレスに設定した相手暗号装置毎最適転送長代理探索応答フレームを、暗号文ネットワーク(例えば、回線3−6)側に送信する(S1301)。
【0065】
ここで、相手暗号装置毎最適転送長代理探索応答フレームのフォーマットについて説明する。図14は、相手暗号装置毎最適転送長代理探索応答フレームのフォーマットを示す図である。
IPヘッダ1402中の宛先アドレスに、相手暗号装置毎最適転送長代理探索フレーム内の送信元アドレスが設定される。UDPヘッダ1403中のポート番号は、相手暗号装置毎最適転送長代理探索応答を示す値とする。これにより、他のアプリケーションのデータとの混同を防止する。この例では、UDPヘッダ1403を示したが、TCPヘッダの場合も同様である。コード1404には、相手暗号装置毎最適転送長代理探索応答を示すコードを設定する。
【0066】
次に、リピータ型暗号装置(例えば、RE1)で相手暗号装置毎最適転送長代理探索応答フレーム(例えば、図8の814)を受信した場合の処理について説明する。図15は、相手暗号装置毎最適転送長代理探索処理ブロックにおける相手暗号装置毎最適転送長代理探索応答フレーム受信の処理フローを示す図である。
暗号装置は、暗号文ネットワーク側から相手暗号装置毎最適転送長代理探索応答フレームを受信する。当該フレームは、自局(当該リピータ型暗号装置)宛てなので、暗号文ポート21、自局ポート22、及び自局出力フィルタ24を介して端末機能ブロック1に入力される。そして、相手暗号装置毎最適転送長代理探索処理ブロック32により、以下のように処理される。
受信した相手暗号装置毎最適転送長代理探索応答フレーム内の送信元アドレスを得る(S1501)。該当アドレスと一致する相手暗号装置毎最適転送長テーブル内の暗号装置のアドレスがあるか判定し(S1502)、ある場合には、当該エントリの相手暗号装置毎最適転送長に暗号文ネットワークのMTUを設定する(S1503)。そして、当該エントリの相手暗号装置毎最適転送長探索応答フレーム受信監視タイマを停止する(S1504)。更に、当該エントリの生存時間に対応するタイマを停止する(S1505)。
【0067】
リピータ型暗号装置は、コンピュータで実現することもでき、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
【0068】
【発明の効果】
本発明においては、暗号データの最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長よりも、平文データのデータ長が大きい場合に、平文データの送信元を宛先とする宛先到達不能通知を生成し、平文ネットワーク側へ送信するので、不測のフレーム分割(フラグメント)を未然に防止し、データ転送の効率を向上させることができる。
また、相手暗号装置に対応して最適転送長を記憶し、フレームの送信先に応じて特定される相手暗号装置毎の最適転送長を含めた宛先到達不能通知をフレーム送信元に送るので、経路MTU探索を正常に機能させることができる。
【図面の簡単な説明】
【図1】 ネットワークセキュリティシステムのネットワーク構成例を示す図である。
【図2】 本発明に係るリピータ型暗号装置の構成ブロックを示す図である。
【図3】 宛先到達不能代理通知(要分割)処理ブロックの動作を説明するシーケンスを示す図である。
【図4】 相手暗号装置毎最適転送長テーブルの構成を示す図である。
【図5】 相手暗号装置毎最適転送長テーブル管理処理ブロックにおける宛先到達不能(要分割)通知受信の処理フローを示す図である。
【図6】 相手暗号装置毎最適転送長テーブル管理処理ブロックにおける生存時間管理の処理フローを示す図である。
【図7】 暗号化/エンカプセル処理ブロックから起動される宛先到達不能代理通知送信の処理フローを示す図である。
【図8】 相手暗号装置毎最適転送長探索処理ブロックの動作を説明するシーケンスを示す図である。
【図9】 実施の形態2における相手暗号装置毎最適転送長テーブルを示す図である。
【図10】 相手暗号装置毎最適転送長探索処理ブロックにおける相手暗号装置毎最適転送長探索フレーム送信の処理フローを示す図である。
【図11】 相手暗号装置毎最適転送長探索処理ブロックにおける相手暗号装置毎最適転送長探索フレーム送信の処理フローを示す図である。
【図12】 相手暗号装置毎最適転送長代理探索フレームのフォーマットを示す図である。
【図13】 相手暗号装置毎最適転送長代理探索処理ブロックにおける相手暗号装置毎最適転送長代理探索フレーム受信の処理フローを示す図である。
【図14】 相手暗号装置毎最適転送長代理探索応答フレームのフォーマットを示す図である。
【図15】 相手暗号装置毎最適転送長代理探索処理ブロックにおける相手暗号装置毎最適転送長代理探索応答フレーム受信の処理フローを示す図である。
【図16】 従来の相手暗号装置毎最適転送長探索が行われるネットワークの構成例を示す図である。
【図17】 ローカルネットワーク上のフレームフォーマットを示す図である。
【図18】 フラグメントするシーケンスの例を示す図である。
【図19】 フラグメントしないシーケンスの例を示す図である。
【図20】 ローカルネットワーク上の宛先到達不能通知フレームフォーマットを示す図である。
【図21】 従来のリピータ型暗号装置を用いるネットワーク構成例を示す図である。
【図22】 従来のリピータ型暗号装置の構成を示す図である。
【図23】 従来のリピータ型暗号装置を用いる場合のフレームフォーマットの概要を示す図である。
【図24】 宛先到達不能通知を転送できないシーケンスを示す図である。
【図25】 従来の暗号装置を用いたネットワークでフラグメントするシーケンスを示す図である。
【符号の説明】
1 端末機能ブロック、2 リピータ機能ブロック、20 平文ポート、21暗号文ポート、22 自局ポート、23 暗号出力フィルタ、24 自局出力フィルタ、25 平文出力フィルタ、26 暗号化/エンカプセル処理ブロック、27 復号/デカプセル処理ブロック、28 暗号側MACアドレス解決ブロック、29 平文側MACアドレス解決ブロック、31 相手暗号装置毎最適転送長テーブル、32 相手暗号装置毎最適転送長代理探索処理ブロック、33 宛先到達不能代理通知(要分割)処理ブロック、34 相手暗号装置毎最適転送長テーブル管理処理ブロック。

Claims (8)

  1. 平文ネットワークと暗号文ネットワークとの間でデータを中継する暗号装置であって、以下の要素を有することを特徴とする暗号装置
    (1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う暗号化/エンカプセル処理ブロック
    (2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する暗号側MACアドレス解決ブロック
    (3)暗号文ネットワーク側から受信した宛先到達不能通知に含まれる転送先のMTU(マキシマムトランスミッションユニット)を、最適転送長として用い、受信した平文データが分割禁止に設定されている場合に、当該最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長よりも、前記平文データのデータ長が大きい場合に、前記平文データの送信元を宛先とする宛先到達不能通知を生成し、平文ネットワーク側へ送信する宛先到達不能代理通知処理ブロック。
  2. 宛先到達不能代理通知処理ブロックは、前記宛先到達不能通知に、暗号データの最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長を含めることを特徴とする請求項1記載の暗号装置。
  3. 暗号装置は、更に、上記他の暗号装置毎に、最適転送長を記憶する相手暗号装置最適転送長テーブルを有し、
    宛先到達不能代理通知処理ブロックは、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダに設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に対応して記憶されている最適転送長を、相手暗号装置最適転送長テーブルから取得することを特徴とする請求項1記載の暗号装置。
  4. 暗号装置は、更に、暗号文ネットワーク側から受信した宛先到達不能通知に含まれる転送先のMTU(マキシマムトランスミッションユニット)を、同宛先到達不能通知に含まれる相手暗号装置と対応付けて、相手暗号装置最適転送長テーブルに最適転送長として記憶させる相手暗号装置毎最適転送長テーブル管理処理ブロックを有することを特徴とする請求項記載の暗号装置。
  5. 上記他の暗号装置を宛先とし、分割禁止に設定した相手暗号装置毎最適転送長探索フレームを生成し、暗号文ネットワーク側に送信する相手暗号装置毎最適転送長代理探索処理ブロックを有することを特徴とする請求項に記載の暗号装置。
  6. 相手暗号装置毎最適転送長代理探索処理ブロックは、相手暗号装置毎最適転送長探索フレームを、暗号文ネットワークのMTUに基づく最長のデータ長とすることを特徴とする請求項記載の暗号装置。
  7. 最適転送長は、所定のタイミングで初期化されることを特徴とする請求項記載の暗号装置。
  8. 暗号装置となるコンピュータに、以下の手順を実行させるためのプログラム
    (1)上記平文ネットワークから受信した平文データを暗号化すると共に、アドレスと他の暗号装置との予め定められた対応関係に基づいて、上記平文データのIPヘッダ(インターネットプロトコルヘッダ)に設定されたアドレスに対応する暗号装置を決定し、当該決定した他の暗号装置に基づいて新規にIPヘッダを設定するエンカプセル処理を行う手順
    (2)当該暗号化/エンカプセル処理ブロックで設定されたIPヘッダに基づいて、MACヘッダ(メディアアクセスコントロールヘッダ)を設定して生成した暗号データを上記平文ネットワークと同一IPサブネットの暗号文ネットワークへ送信する手順
    (3)暗号文ネットワーク側から受信した宛先到達不能通知に含まれる転送先のMTU(マキシマムトランスミッションユニット)を、最適転送長として記憶する手順
    )受信した平文データが分割禁止に設定されている場合に、当該最適転送長からエンカプセル処理により増加するデータ長を差し引いたデータ長よりも、前記平文データのデータ長が大きい場合に、前記平文データの送信元へ返信する宛先到達不能通知を生成する手順。
JP2003143715A 2003-05-21 2003-05-21 暗号装置及びプログラム Expired - Fee Related JP4043997B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003143715A JP4043997B2 (ja) 2003-05-21 2003-05-21 暗号装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003143715A JP4043997B2 (ja) 2003-05-21 2003-05-21 暗号装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2004349958A JP2004349958A (ja) 2004-12-09
JP4043997B2 true JP4043997B2 (ja) 2008-02-06

Family

ID=33531413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003143715A Expired - Fee Related JP4043997B2 (ja) 2003-05-21 2003-05-21 暗号装置及びプログラム

Country Status (1)

Country Link
JP (1) JP4043997B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4558570B2 (ja) * 2005-04-20 2010-10-06 パナソニック株式会社 データ送受信システム、受信装置、送信装置およびデータ送受信方法
US8085669B2 (en) 2005-11-07 2011-12-27 Nec Corporation Session relay device and session relay method
JP5672836B2 (ja) 2010-08-09 2015-02-18 日本電気株式会社 通信装置、通信方法、および通信プログラム
WO2012124035A1 (ja) * 2011-03-11 2012-09-20 富士通株式会社 通信装置および通信方法
JP6583029B2 (ja) * 2016-02-03 2019-10-02 株式会社デンソー 中継装置
CN112333540B (zh) * 2020-10-26 2022-06-24 浙江大华技术股份有限公司 视频加密长度的确定方法及装置

Also Published As

Publication number Publication date
JP2004349958A (ja) 2004-12-09

Similar Documents

Publication Publication Date Title
US9838362B2 (en) Method and system for sending a message through a secure connection
JP3343064B2 (ja) フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ
US7571463B1 (en) Method an apparatus for providing a scalable and secure network without point to point associations
EP0702477B1 (en) System for signatureless transmission and reception of data packets between computer networks
EP0876027B1 (en) Method and apparatus for achieving perfect forward secrecy in closed user groups
KR101291501B1 (ko) 보안 네트워크 접속을 유지하기 위한 방법, 시스템 및컴퓨터 판독가능 매체
US20100077203A1 (en) Relay device
EP0693836A1 (en) Method and apparatus for a key-management scheme for internet protocols.
US20090113202A1 (en) System and method for providing secure network communications
US20060182124A1 (en) Cipher Key Exchange Methodology
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
EP2827551B1 (en) Communication method, communication apparatus and communication program
Dhall et al. Implementation of IPSec protocol
JP3259724B2 (ja) 暗号装置、暗号化器および復号器
CN111614463A (zh) 一种基于IPsec封装功能的密钥更新方法及装置
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
JP4043997B2 (ja) 暗号装置及びプログラム
CN115733683A (zh) 采用量子密钥分发的以太链路自组织加密隧道实现方法
JPH07170280A (ja) ローカルエリアネットワーク
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
CN115766063B (zh) 数据传输方法、装置、设备及介质
JP3596489B2 (ja) Vpnシステムおよびvpn装置およびプログラム
Nagashima et al. A repeater encryption unit for 1pv4 and 1pv6
JP2005252464A (ja) 通信方法、通信端末装置およびゲートウェイ装置
JP4783665B2 (ja) メールサーバ装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050714

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050809

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071114

R150 Certificate of patent or registration of utility model

Ref document number: 4043997

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101122

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131122

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees