JP4113205B2 - Cryptographic processing device - Google Patents

Cryptographic processing device Download PDF

Info

Publication number
JP4113205B2
JP4113205B2 JP2005185307A JP2005185307A JP4113205B2 JP 4113205 B2 JP4113205 B2 JP 4113205B2 JP 2005185307 A JP2005185307 A JP 2005185307A JP 2005185307 A JP2005185307 A JP 2005185307A JP 4113205 B2 JP4113205 B2 JP 4113205B2
Authority
JP
Japan
Prior art keywords
agreement information
address
processing
packet
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005185307A
Other languages
Japanese (ja)
Other versions
JP2007006255A (en
Inventor
圭 唐澤
雄介 吉良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005185307A priority Critical patent/JP4113205B2/en
Publication of JP2007006255A publication Critical patent/JP2007006255A/en
Application granted granted Critical
Publication of JP4113205B2 publication Critical patent/JP4113205B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケットの暗号化処理及び中継処理を行う暗号処理装置に関する。   The present invention relates to an encryption processing apparatus that performs packet encryption processing and relay processing.

従来、インターネット等のネットワークを介して暗号通信を行うための規格としてIPsec(Security Architecture for the Internet Protocol)が知られている(非特許文献1参照)。このIPsecの規格においては、パケットに対する暗号化処理及び復号化処理の適用条件(Security Policy)を記憶したSPD(Security Policy Database)と呼ばれるデータベースと、パケットに暗号化処理及び復号化処理で用いる合意(SA:Security Association)情報を記憶したSAD(Security Association Database)と呼ばれるデータベースとを有することが定められている。暗号処理を行う装置は、入出力するパケットに対してSPDを参照して該パケットに対する復号化/暗号化,廃棄,透過などの処理を決定する。また、暗号化や復号化を行う際にはSADを参照して当該処理で必要な合意情報を用いている。
Stephen Kent、他1名、”インターネットプロトコルのためのセキュリティアーキテクチャ(Security Architecture for the Internet Protocol)”、[online]、平成10年11月、RFC( Request for Comments)2401、IETF(Internet Engineering Task Force)、[平成17年6月6日]、インターネット(URL:http://www.ipa.go.jp/security/rfc/RFC2401JA.html) Conventionally, IPsec (Security Architecture for the Internet Protocol) is known as a standard for performing cryptographic communication over a network such as the Internet (see Non-Patent Document 1). In this IPsec standard, a database called SPD (Security Policy Database) that stores application conditions (Security Policy) of encryption processing and decryption processing for packets, and an agreement used for encryption processing and decryption processing for packets ( It is defined to have a database called SAD (Security Association Database) that stores SA (Security Association) information. A device that performs encryption processing refers to an SPD for an input / output packet and determines processing such as decryption / encryption, discard, and transmission for the packet. In addition, when performing encryption or decryption, agreement information necessary for the processing is used with reference to SAD.
Stephen Kent, 1 other, "Security Architecture for the Internet Protocol", [online], November 1998, RFC (Request for Comments) 2401, IETF (Internet Engineering Task Force) [June 6, 2005] Internet (URL: http://www.ipa.go.jp/security/rfc/RFC2401EN.html)

上記暗号処理装置では、SPD及びSADのエントリとしてキーとして送信元IPアドレスと宛先IPアドレスを用いている。ここで、SPDのエントリは適用条件の設定や管理を簡略化できるように、送信元IPアドレスと宛先IPアドレスとして単一の値のIPアドレス(ユニキャスト,エニーキャスト,ブロードキャスト(IPv4のみ),又はマルチキャストグループの何れか)だけでなく、アドレス群(アドレスの範囲(上限値と下限値)、ネットワークアドレス、ワイルドカードアドレス)を指定可能である。   In the cryptographic processing apparatus, the source IP address and the destination IP address are used as keys as SPD and SAD entries. Here, the SPD entry has a single value IP address (unicast, anycast, broadcast (IPv4 only), or as a source IP address and a destination IP address so that setting and management of application conditions can be simplified, or Not only a multicast group, but also an address group (address range (upper limit value and lower limit value), network address, wild card address) can be specified.

しかし、前記SADでは、RFC上では宛先IPアドレス及び送信元IPアドレスとして双方のアドレスをアドレス群として指定することは許容されているものの、複数のエントリにマッチする場合にどのエントリを優先するかという点について規定されていないため、このような場合に特定のエントリをネットワーク構成等に応じて的確に取得することができなかった。また、宛先IPアドレス及び送信元IPアドレスとして双方のアドレスをアドレス群として指定した場合、前記SPDとの連携が図れないという問題もあった。このような事情から、前記SADでは、何れか一方のアドレスは単一の値のIPアドレスを指定する必要があるというのが現実である。このため、ネットワーク構成が変更になった場合などには、仮にIPアドレスが変更されたがネットワークアドレスは変わっていないような場合であっても適宜SADを更新する必要がある。すなわち、SADの管理は煩雑であるという問題点があった。   However, in the SAD, although it is allowed on the RFC to specify both addresses as a destination IP address and a source IP address as an address group, which entry is given priority when a plurality of entries are matched. Since the point is not defined, in such a case, a specific entry cannot be obtained accurately according to the network configuration or the like. In addition, when both addresses are designated as an address group as a destination IP address and a source IP address, there is a problem that cooperation with the SPD cannot be achieved. For these reasons, in the SAD, it is actually necessary to specify a single value IP address for either one of the addresses. For this reason, when the network configuration is changed, it is necessary to update the SAD as appropriate even if the IP address is changed but the network address is not changed. That is, there is a problem that management of SAD is complicated.

この問題を解決するために、SADの設定には自動鍵交換機能(IKE:Internet Key Exchange(RFC2409で規定))を用いることが一般的である。しかし、暗号処理装置に自動化鍵交換機能を実装すると、システムが複雑化・高コスト化するという問題があった。   In order to solve this problem, it is common to use an automatic key exchange function (IKE: Internet Key Exchange (specified in RFC 2409)) for setting SAD. However, when an automatic key exchange function is implemented in the cryptographic processing apparatus, there is a problem that the system becomes complicated and expensive.

また、SPDでは各エントリの順序を保持している。この順序はどのエントリを適用するかを決定する要因でもあるため、各適用条件の内容そのものの管理とともに順序の管理も重要となる。このため、従来の暗号処理装置ではSPDの管理も煩雑なものであった。   Further, the SPD holds the order of each entry. Since this order is a factor that determines which entry is applied, it is important to manage the order as well as the contents of each application condition. For this reason, SPD management has been complicated in the conventional cryptographic processing apparatus.

本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、暗号処理に必要な適用条件及び合意情報の管理を容易に行うことができる暗号処理装置を提供することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a cryptographic processing apparatus that can easily manage application conditions and agreement information necessary for cryptographic processing. .

上記目的を達成するために、本願では、第1のネットワーク側の端末装置から第2のネットワーク側の相手装置宛に送信されたパケットを暗号化して該相手装置に中継するとともに前記相手装置から端末装置宛の暗号化パケットを復号化して該端末装置に中継する暗号処理装置において、パケットに対する暗号化処理及び復号化処理の適用条件を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する適用条件記憶手段と、パケットの暗号化処理及び復号化処理で用いる合意情報を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する合意情報記憶手段と、第1のネットワーク側から受信したパケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づきパケットに対する処理内容を判定する暗号化判定手段と、暗号化判定手段で暗号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの暗号化処理を行う暗号化処理部と、第2のネットワーク側から受信した暗号化パケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づき暗号化パケットに対する処理内容を判定する復号化判定手段と、復号化判定手段で復号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの復号化処理を行う復号化処理部とを備え、前記合意情報記憶手段は、合意情報のキーとして記憶する宛先アドレス及び送信元アドレスの双方を、複数のアドレスが含まれるアドレス群で記憶可能とし、前記暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって合意情報記憶手段から取得することを特徴とするものを提案する。   In order to achieve the above object, in the present application, a packet transmitted from a terminal device on the first network side to a counterpart device on the second network side is encrypted and relayed to the counterpart device, and from the counterpart device to the terminal Application conditions for storing application conditions for encryption processing and decryption processing for packets in order, using destination address and source address as keys, in an encryption processing device that decrypts encrypted packets addressed to the device and relays them to the terminal device Storage means, agreement information storage means for storing agreement information used in packet encryption processing and decryption processing in order using a destination address and a source address as keys, and a destination address of a packet received from the first network side And the application conditions are obtained from the application condition storage means according to the order using the transmission source address as a key, The agreement determination information from the agreement information storage means in order using the encryption determination means for determining the processing contents for the packet based on the usage conditions, and the destination address and the source address of the packet determined as the encryption target by the encryption determination means as a key Therefore, the application condition storage means obtains the application condition from the application condition storage means using the encryption processing unit that performs the packet encryption process based on the agreement information, and the destination address and the source address of the encrypted packet received from the second network side as keys. In accordance with the order, and using as a key the decryption determination means for determining the processing content for the encrypted packet based on the application condition, and the destination address and the source address of the packet determined to be subject to decryption by the decryption determination means Agreement information is acquired from the agreement information storage means according to the order, and packets are restored based on the agreement information. The agreement information storage means can store both a destination address and a source address stored as a key of agreement information in an address group including a plurality of addresses, The encryption processing unit and the decryption processing unit propose that the agreement information in which both the destination address and the transmission source address of the packet are completely matched or partially matched is acquired from the agreement information storage unit in order. .

本発明によれば、合意情報のキーとなる宛先アドレス及び送信元アドレスの双方を、単一の値のアドレスだけでなく複数のアドレスが含まれるアドレス群で指定可能となるので、設定や管理が容易となる。また、各合意情報は順序づけて合意情報記憶手段に記憶されており、且つ、暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって取得するので、各合意情報及び順序を適切に管理することによりネットワーク構成等に応じた適切な暗号処理が可能となる。なお、ここでアドレスとは通信に係る装置やプログラムを特定するものであり、1つのレイヤにおけるアドレスだけでなく複数のレイヤにわたる場合も含むものとする。例えば、通信プロトコルとしてTCP/IPプロトコルスイートを用いる場合には、IPアドレスとポート番号の組が該当する。   According to the present invention, both the destination address and the transmission source address which are the keys of the agreement information can be specified by an address group including not only a single value address but also a plurality of addresses. It becomes easy. In addition, each agreement information is stored in the agreement information storage means in order, and the encryption processing unit and the decryption processing unit have agreement information in which both the destination address and the source address of the packet are completely coincident or partially coincident. Are acquired according to the order, and by appropriately managing each agreement information and the order, an appropriate encryption process according to the network configuration or the like can be performed. Here, the address specifies an apparatus or a program related to communication, and includes not only an address in one layer but also a case where it extends over a plurality of layers. For example, when a TCP / IP protocol suite is used as a communication protocol, a pair of an IP address and a port number is applicable.

また、本願では、このような暗号処理装置において、さらに、適用条件記憶手段に記憶されている適用情報及び合意情報記憶手段に記憶されている合意情報を所定のルールに従って順序を並べ替える管理装手段を備えたものを提案する。   Further, in the present application, in such a cryptographic processing apparatus, management device means for rearranging the order of the application information stored in the application condition storage means and the agreement information stored in the agreement information storage means according to a predetermined rule We propose something with

並べ替えのルールとしては、例えば(1)キーとなる宛先アドレス及び送信元アドレスに包含されるアドレス数が少ないものほど上位となるように並べ替える方法、(2)復号化処理で用いられるものについてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられるものについてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となるよう並べ替える方法、(3)復号化処理で用いられるものについてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられるものについてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となるよう並べ替える方法などが挙げられる。   As the sorting rules, for example, (1) a method of rearranging so that the smaller the number of addresses included in the destination address and the transmission source address becomes higher, (2) what is used in the decryption process The higher the number of addresses included in the key source address, the higher the address, and the lower the number of addresses included in the key destination address, the higher the address used in the encryption process. Reordering method, (3) For those used in the decryption process, the lower the number of addresses included in the key destination address, the higher the order, and for those used in the encryption process, the key source A method of rearranging the addresses so that the lower the number of addresses included in the address is, the higher the order is.

これらの発明によれば、適用条件記憶手段に記憶する適用条件及び合意情報記憶手段に記憶する合意情報がそれぞれ自動的に並べ替えられるので、設定や管理が容易となる。   According to these inventions, the application conditions stored in the application condition storage means and the agreement information stored in the agreement information storage means are automatically rearranged, so that setting and management are facilitated.

また、本願では、上記暗号処理装置において、前記合意情報記憶手段と適用条件記憶手段とを宛先アドレス及び送信元アドレスをキーとして互いに関連付けておき、暗号化判定手段及び復号化判定手段は、適用条件記憶手段から適用条件を取得する際に該適用条件に関連付けられた合意情報を取得し、暗号化処理手段及び復号化処理手段は、前段の暗号化判定手段又は復号化判定手段で取得した合意情報を用いて暗号化処理又は復号化処理を行うものを提案する。   In the present application, in the cryptographic processing apparatus, the agreement information storage unit and the application condition storage unit are associated with each other using a destination address and a transmission source address as keys, and the encryption determination unit and the decryption determination unit When obtaining the application conditions from the storage means, the agreement information associated with the application conditions is obtained, and the encryption processing means and the decryption processing means are the agreement information obtained by the preceding encryption judgment means or the decryption judgment means. We propose the one that performs encryption or decryption using

本発明によれば、暗号化判定手段及び復号化判定手段において適用条件だけでなく合意情報も取得できるので、後段の暗号化処理手段及び復号化処理手段では合意情報の取得処理を省略できる。これにより処理の高速化が図られる。   According to the present invention, not only the application conditions but also the agreement information can be acquired in the encryption determination means and the decryption determination means, so that the acquisition processing of the agreement information can be omitted in the subsequent encryption processing means and decryption processing means. This speeds up the processing.

以上説明したように本発明によれば、合意情報記憶手段には、合意情報のキーとなる宛先アドレス及び送信元アドレスの双方を、単一の値のアドレスだけでなく複数のアドレスが含まれるアドレス群で指定可能となるので、設定や管理が容易となる。   As described above, according to the present invention, the agreement information storage means includes both a destination address and a transmission source address that are keys of the agreement information, not only a single value address but also a plurality of addresses. Since it can be specified in groups, setting and management become easy.

(第1の実施の形態)
本発明の第1の実施形態に係る暗号処理装置について図面を参照して説明する。図1は暗号処理装置の機能ブロック図である。なお、本実施の形態では、暗号通信のプロトコルとして前述したIPsecを用いるものとする。 (First embodiment)
A cryptographic processing apparatus according to a first embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a functional block diagram of the cryptographic processing apparatus. In this embodiment, it is assumed that the above-described IPsec is used as a protocol for encrypted communication.

この暗号処理装置100は、図1に示すように、接続された端末装置1と相手装置2との間で送受信されるIPパケットを中継する。ここで、暗号処理装置100は、端末装置1と暗号処理装置100の間のIPパケットは暗号化せず、端末装置1と相手装置2との間のネットワーク3を通過するパケットは暗号化するよう動作する。すなわち、暗号処理装置100は、暗号処理機能を有していない端末装置1に対して暗号通信サービスを提供するものである。   As shown in FIG. 1, the cryptographic processing device 100 relays IP packets transmitted and received between the connected terminal device 1 and the counterpart device 2. Here, the cryptographic processing device 100 does not encrypt the IP packet between the terminal device 1 and the cryptographic processing device 100, and encrypts the packet passing through the network 3 between the terminal device 1 and the counterpart device 2. Operate. That is, the cryptographic processing apparatus 100 provides a cryptographic communication service to the terminal apparatus 1 that does not have a cryptographic processing function.

暗号処理装置100の構成について図1を参照して説明する。暗号処理装置100は、図1に示すように、端末装置1と接続するための端末インタフェイス101と、ネットワーク3と接続するための端末インタフェイス102とを備えている。さらに、暗号処理装置100は、暗号処理の適用条件(セキュリティポリシー)を記憶した適用条件記憶手段111と、暗号処理で用いる合意情報(SA情報)を記憶した合意情報記憶手段112とを備えている。   The configuration of the cryptographic processing apparatus 100 will be described with reference to FIG. As shown in FIG. 1, the cryptographic processing apparatus 100 includes a terminal interface 101 for connecting to the terminal apparatus 1 and a terminal interface 102 for connecting to the network 3. Further, the cryptographic processing apparatus 100 includes an application condition storage unit 111 that stores application conditions (security policy) for cryptographic processing, and an agreement information storage unit 112 that stores agreement information (SA information) used in cryptographic processing. .

合意情報記憶手段112に記憶されている合意情報の一例を図2に示す。合意情報記憶手段112には、パケットの方向に応じたデータベースを有しており、具体的には図2に示すように、入力データベースと出力データベースとを備えている。入力データベースには、ネットワーク3から受信するパケットに対する適用条件が記憶されており、出力データベースには、端末装置1から受信するパケットに対する適用条件が記憶されている。入力データベース及び出力データベースのフォーマットは共通である。   An example of the agreement information stored in the agreement information storage unit 112 is shown in FIG. The agreement information storage unit 112 has a database corresponding to the direction of the packet, and specifically includes an input database and an output database as shown in FIG. Application conditions for packets received from the network 3 are stored in the input database, and application conditions for packets received from the terminal device 1 are stored in the output database. The format of the input database and the output database is common.

合意情報記憶手段112には、送信元アドレス及び宛先アドレスの組をキーとして、当該アドレスの組に合致するパケットに対する暗号処理で用いられる合意情報を記憶する。本発明の特徴的な点は、送信元アドレス及び宛先アドレスの双方がアドレス群として記憶可能となっている点が特徴である。アドレス群としては、(アドレスの範囲(上限値と下限値)、ネットワークアドレス、ワイルドカードアドレス)などが挙げられる。本実施の形態では、ネットワークアドレスを、IPアドレスの末尾に当該ネットワークアドレスのプレフィクス長を「/ビット数」という形式で記憶している。また合意情報には、図2に示すように、SPI(Security Parameter Index),ESP(Encapsulating Security Payload)/AH(Authentication Header)の区別を示す情報、暗号処理で用いられる暗号鍵などの各種情報が用いられる。また、合意情報記憶手段112には、各合意情報が順序づけされて記憶されている。図2の例では、各行の上下により順序づけされていることを表しており、上の行ほど順位が上位である。   The agreement information storage unit 112 stores agreement information used in encryption processing for a packet matching the address set, using the set of the source address and the destination address as a key. A characteristic point of the present invention is that both the source address and the destination address can be stored as an address group. Examples of the address group include (address range (upper limit value and lower limit value), network address, wild card address) and the like. In this embodiment, the network address is stored at the end of the IP address in the format of “/ bit number”. As shown in FIG. 2, the agreement information includes various information such as SPI (Security Parameter Index), ESP (Encapsulating Security Payload) / AH (Authentication Header), and encryption keys used in encryption processing. Used. The agreement information storage means 112 stores each agreement information in order. In the example of FIG. 2, it is shown that the lines are ordered in the upper and lower directions, and the rank is higher in the upper line.

適用条件記憶手段111に記憶されている適用条件の一例を図3に示す。適用条件記憶手段111には、パケットの方向に応じたデータベースを有しており、具体的には図2に示すように、入力データベースと出力データベースとを備えている。入力データベースには、ネットワーク3から受信するパケットに対する合意情報が記憶されており、出力データベースには、端末装置1から受信するパケットに対する合意情報が記憶されている。入力データベース及び出力データベースのフォーマットは共通である。   An example of application conditions stored in the application condition storage unit 111 is shown in FIG. The application condition storage unit 111 has a database corresponding to the direction of the packet, and specifically includes an input database and an output database as shown in FIG. The input database stores agreement information for packets received from the network 3, and the output database stores agreement information for packets received from the terminal device 1. The format of the input database and the output database is common.

適用条件記憶手段111には、合意情報記憶手段112と同様に、送信元アドレス及び宛先アドレスの組をキーとして、当該アドレスの組に合致するパケットに対するどのような処理を行うかを決定する情報である適用条件を記憶する。また、適用条件記憶手段111には、合意情報記憶手段112と同様に、送信元アドレス及び宛先アドレスの双方がアドレス群として記憶可能となっている。また適用条件としては、図3に示すように、該適用条件に合致したパケットに対して処理を行うModeやActionなどが挙げられる。また、適用条件記憶手段111には、合意情報記憶手段112と同様に、各適用条件が順序づけされて記憶されている。図3の例では、各行の上下により順序づけされていることを表しており、上の行ほど順位が上位である。   Similar to the agreement information storage unit 112, the application condition storage unit 111 is information that determines what processing is performed on a packet that matches the set of the source address and the destination address as a key. Memorize certain application conditions. Further, similar to the agreement information storage unit 112, the application condition storage unit 111 can store both the transmission source address and the destination address as an address group. Moreover, as an application condition, as shown in FIG. 3, Mode, Action etc. which process with respect to the packet which met this application condition are mentioned. In addition, the application condition storage unit 111 stores the application conditions in order as in the agreement information storage unit 112. In the example of FIG. 3, it indicates that the lines are ordered in the upper and lower directions, and the upper line has a higher rank.

さらに暗号処理装置100は、図1に示すように、端末装置1から受信したパケットに対して適用条件記憶手段111に記憶されている適用条件を参照して処理内容を判定する暗号化判定手段121と、暗号化判定手段121で暗号化を行うと判定されたパケットに対して合意情報記憶手段112に記憶されている合意情報を参照して暗号化処理を行う暗号化処理手段122と、相手装置2からネットワーク3を介して受信したパケットに対して適用条件記憶手段111に記憶されている適用条件を処理内容を判定する復号化判定手段131と、復号化判定手段131で復号化を行うと判定されたパケットに対して合意情報記憶手段112に記憶されている合意情報を参照して復号化処理を行う復号化処理手段132と、復号化されたパケットを判定して処理内容を決定する受信パケット判定手段133とを備えている。   Further, as shown in FIG. 1, the cryptographic processing device 100 refers to the application condition stored in the application condition storage unit 111 for the packet received from the terminal device 1, and the encryption determination unit 121 determines the processing content. An encryption processing unit 122 that performs encryption processing with reference to the agreement information stored in the agreement information storage unit 112 with respect to the packet that is determined to be encrypted by the encryption determination unit 121; 2, it is determined that the decryption determination unit 131 that determines the processing content of the application condition stored in the application condition storage unit 111 for the packet received from the network 3 through the network 3, and the decryption determination unit 131 performs decoding. A decryption processing unit 132 that performs decryption processing on the received packet with reference to the agreement information stored in the agreement information storage unit 112, and a decrypted packet. And a reception packet determining unit 133 for determining a decision to process contents.

暗号化判定手段121及び復号化判定手段131は、それぞれ入力されたパケットのIPヘッダの送信元IPアドレス及び宛先IPアドレスが、適用条件記憶手段111に記憶されている各適用条件の送信元IPアドレス及び宛先IPアドレスに合致又は部分一致するかを順序にしたがって判定し、最初に合致又は部分一致した適用条件を適用条件記憶手段111から取得し、該適用条件に含まれる処理内容にしたがって処理を決定する。例えば、処理内容が透過であれば暗号化/復号化は行わずに当該パケットをスルーさせる。また、処理内容が廃棄であれば当該パケットを廃棄する。さらに、処理内容が暗号化/復号化であれば当該パケットを後段の暗号化処理手段122又は復号化処理手段132に渡す。なお、暗号化判定手段121では、適用条件記憶手段111の出力データベースを参照し、復号化判定手段131では入力データベースを参照する。   The encryption determination unit 121 and the decryption determination unit 131 are the source IP address of each application condition in which the source IP address and the destination IP address of the IP header of the input packet are stored in the application condition storage unit 111, respectively. Whether the destination IP address matches or partially matches with the destination IP address is determined according to the order, the application condition that first matches or partially matches is acquired from the application condition storage unit 111, and the process is determined according to the processing content included in the application condition To do. For example, if the processing content is transparent, the packet is passed through without encryption / decryption. If the processing content is discarded, the packet is discarded. Further, if the processing content is encryption / decryption, the packet is transferred to the subsequent encryption processing means 122 or decryption processing means 132. The encryption determination unit 121 refers to the output database of the application condition storage unit 111, and the decryption determination unit 131 refers to the input database.

アドレスの合致及び部分一致について図2の例を参照して説明する。例えば、図2の入力データベースの1行目の「2001:DB8:9abc:def0:1234:5678:9abc:def0/128」はプレフィクス長128bitのIPv6アドレスなので同一のアドレスのみが該当する(合致)。また、同2行目の「010.056.078.090/32」はプレフィクス長32bitのIPv4アドレスなので同一のアドレスのみが該当する(合致)。同3行目の「2001:DB8:9abc:def0::/64」はプレフィクス長64bitのIPv6アドレスなので前方64bitが一致するアドレスが該当する(部分一致)。同4行目の「010.078.090.0/28」はプレフィクス長28bitのIPv4アドレスなので前方28bitが一致するアドレスが該当する(部分一致)。同5行目の「::/0」はIPv6の前方0bitが一致する、すなわち全て(ワイルドカード)のIPv6アドレスが該当する(部分一致)。同6行目の「0.0.0.0/0」は、IPv4の前方0bitが一致する、すなわち全て(ワイルドカード)のIPv4アドレスが該当する(部分一致)。   Address matching and partial matching will be described with reference to the example of FIG. For example, “2001: DB8: 9abc: def0: 1234: 5678: 9abc: def0 / 128” on the first line of the input database in FIG. 2 is an IPv6 address having a prefix length of 128 bits, so only the same address is applicable (match). . Also, since “010.056.078.090/32” in the second line is an IPv4 address having a prefix length of 32 bits, only the same address is applicable (match). Since “2001: DB8: 9abc: def0 :: / 64” in the third line is an IPv6 address having a prefix length of 64 bits, an address where the front 64 bits match (partial match) corresponds. Since “010.078.090.0/28” in the fourth line is an IPv4 address having a prefix length of 28 bits, an address where the front 28 bits match (corresponds partially). “:: / 0” in the fifth line matches the forward 0 bits of IPv6, that is, all (wildcard) IPv6 addresses correspond (partial match). “0.0.0.0/0” in the sixth row matches the forward 0 bits of IPv4, that is, all (wildcard) IPv4 addresses correspond (partial match).

暗号化処理手段122及び復号化処理手段132は、それぞれ入力されたパケットのIPヘッダの送信元IPアドレス及び宛先IPアドレスが、合意情報記憶手段112に記憶されている各合意情報の送信元IPアドレス及び宛先IPアドレスに合致又は部分一致するかを順序にしたがって判定し、最初に合致又は部分一致した合意情報を合意情報記憶手段112から取得し、該合意情報を用いて暗号化処理又は復号化処理を行う。なお、暗号化処理手段122では、合意情報記憶手段112の出力データベースを参照し、復号化処理手段132では入力データベースを参照する。   The encryption processing unit 122 and the decryption processing unit 132 are configured so that the transmission source IP address and the destination IP address of the IP header of the input packet are the transmission source IP addresses of the agreement information stored in the agreement information storage unit 112, respectively. And the destination IP address are determined in accordance with the order, and agreement information that first matches or partially matches is acquired from the agreement information storage unit 112, and encryption processing or decryption processing is performed using the agreement information. I do. The encryption processing unit 122 refers to the output database of the agreement information storage unit 112, and the decryption processing unit 132 refers to the input database.

受信パケット判定手段133は、復号化処理手段132で復号化された受信パケットのペイロード等を参照して当該パケットの取り扱いを判定し、該判定に基づきパケットの処理を行う。この判定処理では、前記復号化判定手段131と同様に適用条件記憶手段111に記憶されている適用条件に基づき処理する。   The received packet determining unit 133 determines handling of the packet by referring to the payload of the received packet decoded by the decoding processing unit 132, and processes the packet based on the determination. In this determination processing, processing is performed based on the application conditions stored in the application condition storage unit 111 in the same manner as the decoding determination unit 131.

次に、本実施の形態に係る暗号処理装置100の動作について図面を参照して説明する。まず、暗号処理装置100が受信したパケットに対する暗号化又は復号化の適用判定処理について図4のフロチャートを参照して説明する。   Next, the operation of the cryptographic processing apparatus 100 according to the present embodiment will be described with reference to the drawings. First, encryption or decryption application determination processing for a packet received by the cryptographic processing apparatus 100 will be described with reference to the flowchart of FIG.

暗号処理装置100にパケットが入力されると(ステップS1)、当該パケットの方向が入力(in-bound)ならば、復号化判定手段131が当該パケットのアドレスと適用条件記憶手段111に記憶されている適用条件のアドレスが一致又は部分一致するか判定し(ステップS2,S3)、当該パケットの方向が出力(out-bound)ならば、暗号化判定手段121が当該パケットのアドレスと適用条件記憶手段111に記憶されている適用条件のアドレスが一致又は部分一致するか判定する(ステップS2,S4)。そして、復号化判定手段131又は暗号化判定手段121は、適用条件記憶手段111から取得した処理内容に応じた処理を実行し(ステップS5)、後段の復号化処理手段132又は暗号化処理手段122等にパケットを出力する(ステップS6)。   When a packet is input to the cryptographic processing apparatus 100 (step S1), if the direction of the packet is input (in-bound), the decryption determination unit 131 is stored in the packet address and application condition storage unit 111. It is determined whether the address of the application condition matches or partially matches (steps S2 and S3), and if the direction of the packet is output (out-bound), the encryption determination unit 121 uses the address of the packet and the application condition storage unit It is determined whether the address of the application condition stored in 111 matches or partially matches (steps S2 and S4). Then, the decryption determination unit 131 or the encryption determination unit 121 executes a process according to the processing content acquired from the application condition storage unit 111 (step S5), and the subsequent decryption processing unit 132 or the encryption processing unit 122. Etc. (step S6).

次に、暗号化処理又は復号化処理の適用判定処理について図5のフローチャートを参照して説明する。まず、パケットが入力されると(ステップS11)、当該パケットの方向が入力(in-bound)ならば、復号化処理手段132が当該パケットのアドレスと合意情報記憶手段112に記憶されている合意情報のアドレスが一致又は部分一致するか判定し(ステップS12,S13)、当該パケットの方向が出力(out-bound)ならば、暗号化処理手段122が当該パケットのアドレスと合意情報記憶手段112に記憶されている合意情報のアドレスが一致又は部分一致するか判定する(ステップS12,S14)。そして、復号化処理手段132又は暗号化処理手段122は、合意情報記憶手段112から取得した合意情報に応じた復号化処理又は暗号化処理処理を実行し(ステップS15)、パケットを出力する(ステップS16)。   Next, application determination processing for encryption processing or decryption processing will be described with reference to the flowchart of FIG. First, when a packet is input (step S11), if the direction of the packet is input (in-bound), the decryption processing unit 132 agrees with the address of the packet and the agreement information stored in the agreement information storage unit 112. Is coincident or partial coincidence (steps S12 and S13), and if the direction of the packet is output (out-bound), the encryption processing means 122 stores the address of the packet in the agreement information storage means 112. It is determined whether the addresses of the agreement information being matched match or partially match (steps S12 and S14). Then, the decryption processing unit 132 or the encryption processing unit 122 executes the decryption processing or the encryption processing according to the agreement information acquired from the agreement information storage unit 112 (Step S15), and outputs a packet (Step S15). S16).

以上のように本実施の形態に係る暗号処理装置100によれば、合意情報記憶手段112に記憶する各合意情報のキーとして、宛先IPアドレス及び送信元IPアドレスの双方をアドレス群で記憶できるので、合意情報の設定及び管理が容易となる。   As described above, according to the cryptographic processing apparatus 100 according to the present embodiment, both the destination IP address and the source IP address can be stored as a group of addresses as a key for each piece of agreement information stored in the agreement information storage unit 112. This makes it easy to set and manage agreement information.

(第2の実施の形態)
次に、本発明の第2の実施の形態に係る暗号処理装置について図面を参照して説明する。図6は暗号処理装置の機能ブロック図である。本実施の形態に係る暗号処理装置が第1の実施の形態と異なる点は、図6に示すように、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データを管理するデータ管理手段141を備えている点にある。他の構成については第1の実施の形態と同様なので、ここでは相違点のみを説明する。 (Second Embodiment)
Next, a cryptographic processing apparatus according to the second embodiment of the present invention will be described with reference to the drawings. FIG. 6 is a functional block diagram of the cryptographic processing apparatus. The cryptographic processing apparatus according to the present embodiment is different from the first embodiment in that data managing each data stored in the application condition storage means 111 and the agreement information storage means 112 as shown in FIG. The management means 141 is provided. Since other configurations are the same as those in the first embodiment, only the differences will be described here.

データ管理手段141は、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの管理サービスを提供するインタフェイスであり、具体的には外部からの入力データを適用条件記憶手段111又は合意情報記憶手段112に追加したり、適用条件記憶手段111又は合意情報記憶手段112に記憶されているデータの削除等を行う。ここで入力データは、例えば端末装置1から受信するようにしても、ネットワーク3側から受信するようにしても、例えば暗号処理装置100に携帯記憶媒体を装着して該記憶媒体から入力するようにしてもよい。   The data management unit 141 is an interface that provides a management service for each data stored in the application condition storage unit 111 and the agreement information storage unit 112. Specifically, the input data from the outside is applied to the application condition storage unit 111. Alternatively, it is added to the agreement information storage unit 112, or the data stored in the application condition storage unit 111 or the agreement information storage unit 112 is deleted. Here, for example, the input data may be received from the terminal device 1 or from the network 3 side. For example, a portable storage medium may be attached to the cryptographic processing apparatus 100 and input from the storage medium. May be.

このデータ管理手段141が特徴的な点は、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データについて、その順序を自動的に管理する点にある。すなわち、前述したように各データのキーとなる宛先IPアドレス及び送信元IPアドレスには、単一の値のアドレスだけでなくアドレス群を指定できるが、各記憶手段111及び112の各データは、宛先IPアドレスに含まれるアドレスの数と送信元IPアドレスに含まれるアドレスの数の和が少ないものほど上位となるように順序管理(すなわち並べ替え処理)を行う。本実施の形態では、各アドレスをアドレスとプレフィクス長の組で表しているので、データ管理手段141は、各記憶手段111及び112の各データについて、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和が大きいものほど上位となるように順序管理を行う。これにより、暗号化判定手段121など各手段では、入力パケットに対して一致するビット数が大きいデータが優先的に得られるので、最長一致アルゴリズム(Longest Match)にしたがったものとなる。   A characteristic feature of the data management unit 141 is that the order of each data stored in the application condition storage unit 111 and the agreement information storage unit 112 is automatically managed. That is, as described above, the destination IP address and the source IP address that are keys of each data can specify not only a single value address but also an address group, but each data in each storage means 111 and 112 Order management (that is, rearrangement processing) is performed so that the smaller the sum of the number of addresses included in the destination IP address and the number of addresses included in the source IP address is, the higher. In this embodiment, since each address is represented by a set of an address and a prefix length, the data management unit 141 uses the prefix length of the destination IP address and the transmission source IP for each data in each storage unit 111 and 112. The order is managed so that the higher the prefix length of the address, the higher the order. As a result, each means such as the encryption judgment means 121 preferentially obtains data having a large number of matching bits with respect to the input packet, so that the longest matching algorithm (Longest Match) is followed.

データ管理手段141の動作について図7のフローチャートを参照して説明する。データ管理手段141は、外部からデータ(情報)の入力があると(ステップS21)、当該データが入力方向に係るものの場合には、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和に基づき順位判定を行い(ステップS22)、当該データを適用条件記憶手段111又は合意情報記憶手段112の入力データベースに記憶する(ステップS23)。一方、当該データが出力方向に係るものの場合には、宛先IPアドレスのプレフィクス長と送信元IPアドレスのプレフィクス長の和に基づき順位判定を行い(ステップS24)、当該データを適用条件記憶手段111又は合意情報記憶手段112の出力データベースに記憶する(ステップS25)。   The operation of the data management unit 141 will be described with reference to the flowchart of FIG. When data (information) is input from the outside (step S21), the data management means 141, when the data relates to the input direction, the prefix length of the destination IP address and the prefix length of the source IP address The ranking is determined based on the sum (step S22), and the data is stored in the input database of the application condition storage unit 111 or the agreement information storage unit 112 (step S23). On the other hand, if the data is related to the output direction, the rank is determined based on the sum of the prefix length of the destination IP address and the prefix length of the transmission source IP address (step S24), and the data is applied condition storage means. 111 or the output database of the agreement information storage means 112 (step S25).

本実施の形態に係る暗号処理装置によれば、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの順序づけが自動的に処理されるので、すなわち自動的に各データの並べ替え処理が行われるので、設定及び管理を容易に行うことができる。他の作用・効果については第1の実施の形態と同様である。   According to the cryptographic processing apparatus according to the present embodiment, the ordering of the data stored in the application condition storage unit 111 and the agreement information storage unit 112 is automatically processed, that is, the data is automatically arranged. Since replacement processing is performed, setting and management can be easily performed. Other operations and effects are the same as those in the first embodiment.

(第3の実施の形態)
次に、本発明の第3の実施の形態に係る暗号処理装置について図面を参照して説明する。本実施の形態に係る暗号処理装置が第2の実施の形態と異なる点は、データ管理手段141の動作にある。他の構成については図6を参照して説明した第2の実施の形態と同様なので、ここでは相違点のみを説明する。 (Third embodiment)
Next, a cryptographic processing apparatus according to the third embodiment of the present invention will be described with reference to the drawings. The cryptographic processing apparatus according to the present embodiment is different from the second embodiment in the operation of the data management unit 141. Since other configurations are the same as those of the second embodiment described with reference to FIG. 6, only the differences will be described here.

本実施の形態に係るデータ管理手段141は、適用条件記憶手段111及び合意情報記憶手段112の入力データベースの各データについては、宛先IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理(すなわち並べ替え処理)を行い、出力データベースの各データについては、送信元IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。さらに、各記憶手段111及び112の入力データベースの各データについて、宛先IPアドレスに含まれるアドレスの数が同じデータ間の順序関係については、送信元IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。同様に、各記憶手段111及び112の出力データベースの各データについて、送信元IPアドレスに含まれるアドレスの数が同じデータ間の順序関係については、宛先IPアドレスに含まれるアドレスの数が少ないものほど上位となるように順序管理を行う。なお、本実施の形態では、各アドレスをアドレスとプレフィクス長の組で表しているので、データ管理手段141は、第2の実施の形態と同様に各データのプレフィクス長に基づき順序管理を行う。   The data management unit 141 according to the present embodiment is arranged such that each data in the input database of the application condition storage unit 111 and the agreement information storage unit 112 is higher as the number of addresses included in the destination IP address is smaller. Order management (that is, rearrangement processing) is performed, and for each data in the output database, order management is performed so that the smaller the number of addresses included in the source IP address, the higher the order. Further, for each data in the input database of each storage unit 111 and 112, the order relationship between data having the same number of addresses included in the destination IP address is higher as the number of addresses included in the source IP address is smaller. The order is managed so that Similarly, for each data in the output database of each storage unit 111 and 112, regarding the order relationship between data having the same number of addresses included in the source IP address, the smaller the number of addresses included in the destination IP address is The order is managed so that it becomes higher. In the present embodiment, since each address is represented by a set of an address and a prefix length, the data management means 141 performs order management based on the prefix length of each data as in the second embodiment. Do.

データ管理手段141の動作について図8のフローチャートを参照して説明する。データ管理手段141は、外部からデータ(情報)の入力があると(ステップS31)、当該データが入力方向に係るものの場合には、宛先IPアドレスのプレフィクス長に基づき順位判定を行い(ステップS32)、宛先IPアドレスのプレフィクス長が同じデータについては更に送信元IPアドレスのプレフィクス長に基づき順序判定を行い(ステップS33)、当該データを適用条件記憶手段111又は合意情報記憶手段112の入力データベースに記憶する(ステップS34)。一方、当該データが出力方向に係るものの場合には、送信元IPアドレスのプレフィクス長に基づき順位判定を行い(ステップS35)、送信元IPアドレスのプレフィクス長が同じデータについては更に宛先IPアドレスのプレフィクス長に基づき順序判定を行い(ステップS36)、当該データを適用条件記憶手段111又は合意情報記憶手段112の出力データベースに記憶する(ステップS37)。   The operation of the data management unit 141 will be described with reference to the flowchart of FIG. When data (information) is input from the outside (step S31), the data management unit 141 performs rank determination based on the prefix length of the destination IP address when the data relates to the input direction (step S32). ), The data having the same prefix length of the destination IP address is further judged based on the prefix length of the source IP address (step S33), and the data is input to the application condition storage means 111 or the agreement information storage means 112. Store in the database (step S34). On the other hand, if the data relates to the output direction, the rank is determined based on the prefix length of the transmission source IP address (step S35), and for the data having the same prefix length of the transmission source IP address, the destination IP address is further determined. Is determined based on the prefix length (step S36), and the data is stored in the output database of the application condition storage means 111 or the agreement information storage means 112 (step S37).

本実施の形態に係る暗号処理装置によれば、適用条件記憶手段111及び合意情報記憶手段112に記憶されている各データの順序づけが自動的に処理されるので、すなわち自動的に各データの並べ替え処理が行われるので、設定及び管理を容易に行うことができる。他の作用・効果については第1の実施の形態と同様である。   According to the cryptographic processing apparatus according to the present embodiment, the ordering of the data stored in the application condition storage unit 111 and the agreement information storage unit 112 is automatically processed, that is, the data is automatically arranged. Since replacement processing is performed, setting and management can be easily performed. Other operations and effects are the same as those in the first embodiment.

(第4の実施の形態)
次に、本発明の第4の実施の形態に係る暗号処理装置について図面を参照して説明する。図9は暗号処理装置の機能ブロック図である。 (Fourth embodiment)
Next, a cryptographic processing apparatus according to a fourth embodiment of the present invention will be described with reference to the drawings. FIG. 9 is a functional block diagram of the cryptographic processing apparatus.

本実施の形態に係る暗号処理装置が第1の実施の形態と異なる点は、図9に示すように、適用条件記憶手段111と合意情報記憶手段112とが互いにリンクしている点にある。より具体的には、適用条件記憶手段111に記憶されている各データと合意情報記憶手段112に記憶されている各データは、宛先IPアドレス及び送信元IPアドレスが一致するものについてリンクしている。これにより、適用条件記憶手段111から宛先IPアドレス及び送信元IPアドレスをキーとして適用条件を取得すると、当時に当該キーの合意情報を合意情報記憶手段112から取得可能となっている。   The cryptographic processing apparatus according to the present embodiment is different from the first embodiment in that the application condition storage unit 111 and the agreement information storage unit 112 are linked to each other as shown in FIG. More specifically, each data stored in the application condition storage unit 111 and each data stored in the agreement information storage unit 112 are linked with respect to a destination IP address and a transmission source IP address that match. . Thus, when the application condition is acquired from the application condition storage unit 111 using the destination IP address and the transmission source IP address as keys, the agreement information of the key can be acquired from the agreement information storage unit 112 at that time.

暗号化判定手段121及び復号化判定手段131は、適用条件記憶手段111から宛先IPアドレス及び送信元IPアドレスをキーとして適用条件を取得すると、該適用条件とともに同一キーの合意情報を取得する。そして、該合意情報を後段の暗号化処理手段122又は復号化処理手段132に渡す。暗号化処理手段122及び復号化処理手段132は、合意情報記憶手段112にアクセスすることなく前段の暗号化判定手段121又は復号化判定手段132から受け取った合意情報を用いて暗号化処理又は復号化処理を実施する。   When the encryption determination unit 121 and the decryption determination unit 131 acquire the application condition from the application condition storage unit 111 using the destination IP address and the transmission source IP address as keys, the encryption determination unit 121 and the decryption determination unit 131 acquire agreement information of the same key together with the application condition. Then, the agreement information is passed to the subsequent encryption processing means 122 or decryption processing means 132. The encryption processing unit 122 and the decryption processing unit 132 encrypt or decrypt using the agreement information received from the preceding encryption determination unit 121 or the decryption determination unit 132 without accessing the agreement information storage unit 112. Perform the process.

本実施の形態に係る暗号処理装置によれば、適用条件及び合意条件を取得するためのステップ数が軽減するので処理の高速化を図ることができる。他の作用効果は第1の実施の形態と同様である。   According to the cryptographic processing apparatus according to the present embodiment, the number of steps for acquiring the application condition and the agreement condition is reduced, so that the processing speed can be increased. Other functions and effects are the same as those of the first embodiment.

なお、本実施の形態では第1の実施の形態の変形例として説明したが、上記第2又は第3の実施の形態についても本実施の形態と同様の変形を適用することができる。   Although the present embodiment has been described as a modification of the first embodiment, the same modification as the present embodiment can be applied to the second or third embodiment.

以上本発明について第1〜第4の実施の形態について詳述したが本発明はこれに限定されるものではない。例えば、上記第2及び第3の実施の形態では、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を、キーとなる宛先IPアドレス及び送信元IPアドレスのプレフィクス長に基づき所定のルールで自動的に並べ替えるようにしたが、常に当該ルールに従って並べ替えた状態する必要はない。すなわち、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を任意に並べ替え可能としてもよい。これにより、柔軟なネットワーク設計や運用が可能となる。   Although the first to fourth embodiments of the present invention have been described in detail above, the present invention is not limited to this. For example, in the second and third embodiments, the application information stored in the application condition storage unit 111 and the agreement information stored in the agreement information storage unit 112 are used as a destination IP address and a transmission source IP address. However, it is not always necessary to rearrange according to the rule. That is, the application information stored in the application condition storage unit 111 and the agreement information stored in the agreement information storage unit 112 may be arbitrarily rearranged. This enables flexible network design and operation.

また、上記第3の実施の形態では、適用条件記憶手段111に記憶された適用情報及び合意情報記憶手段112に記憶された合意情報を、入力データベースの各データについてはキーとなる宛先IPアドレスに含まれるアドレス数が少ないもの(プレフィクス長が長いもの)を優先し、出力データベースの各データについてはキーとなる送信元IPアドレスに含まれるアドレス数が少ないものを優先していたが、逆に、入力データベースの各データについてはキーとなる送信元IPアドレスに含まれるアドレス数が少ないものを優先し、出力データベースの各データについてはキーとなる宛先IPアドレスに含まれるアドレス数が少ないものを優先するようにしてもよい。   In the third embodiment, the application information stored in the application condition storage unit 111 and the agreement information stored in the agreement information storage unit 112 are used as the destination IP address that is a key for each data in the input database. Priority was given to those with a small number of addresses (those with a long prefix length), and for data in the output database, priority was given to those with a small number of addresses included in the key source IP address. For each data in the input database, priority is given to those with a small number of addresses included in the source IP address as a key, and for each data in the output database, priority is given to those with a small number of addresses included in the destination IP address as a key You may make it do.

また、上記各実施の形態では、IPパケットの宛先IPアドレス及び送信元IPアドレスをキーとして処理を行っていたが、宛先IPアドレス及び送信元IPアドレスに加えて該IPパケットの上位レイヤであるTCPやUDPのポート番号(送信元/宛先)をキーとして用いるようにしてもよい。これにより、さらに詳細なネットワーク設計が可能となる。   In each of the above embodiments, processing is performed using the destination IP address and the source IP address of the IP packet as a key. However, in addition to the destination IP address and the source IP address, a TCP that is an upper layer of the IP packet is used. Alternatively, the UDP port number (source / destination) may be used as a key. As a result, a more detailed network design is possible.

また、上記各実施の形態では、適用条件記憶手段111及び合意情報記憶手段112は、それぞれパケットの方向に応じて入力データベース及び出力データベースを設けているが、入力データベースと出力データベースを1つのデータベースとして管理してもよい。さらに、上記各実施の形態では、適用条件と合意情報はそれぞれ別個の記憶手段に記憶していたが、共通の記憶手段で一括して管理するようにしてもよい。   In each of the above embodiments, the application condition storage unit 111 and the agreement information storage unit 112 are provided with an input database and an output database, respectively, according to the direction of the packet. May be managed. Furthermore, in each of the above embodiments, the application condition and the agreement information are stored in separate storage means, but may be managed collectively by a common storage means.

また、上記各実施の形態では暗号処理のプロトコルとしてIPsecを例示したが、他のプロトコルであっても本願発明を実施することができる。   In each of the above embodiments, IPsec is exemplified as the encryption processing protocol. However, the present invention can be implemented even with other protocols.

第1の実施の形態に係る暗号処理装置の機能ブロック図Functional block diagram of the cryptographic processing apparatus according to the first embodiment 合意情報記憶手段に記憶された合意情報の一例An example of agreement information stored in the agreement information storage means 適用条件記憶手段に記憶された適用条件の一例An example of application conditions stored in the application condition storage means 適用判定の流れを説明するフローチャートFlow chart explaining the flow of application determination 暗号化/復号化処理の流れを説明するフローチャートFlowchart explaining the flow of encryption / decryption processing 第2の実施の形態に係る暗号処理装置の機能ブロック図Functional block diagram of the cryptographic processing apparatus according to the second embodiment データ入力の流れを説明するフローチャートFlow chart explaining the flow of data input データ入力の流れを説明するフローチャートFlow chart explaining the flow of data input 第4の実施の形態に係る暗号処理装置の機能ブロック図Functional block diagram of the cryptographic processing apparatus according to the fourth embodiment

符号の説明Explanation of symbols

1…端末装置、2…相手装置、3…ネットワーク、100…暗号処理装置、101…端末インタフェイス、102…ネットワークインタフェイス、111…適用条件記憶手段、112…合意情報記憶手段、121…暗号化判定手段、122…暗号化処理手段、131…復号化判定手段、132…復号化処理部、133…受信パケット判定手段、141…データ管理手段   DESCRIPTION OF SYMBOLS 1 ... Terminal device, 2 ... Partner apparatus, 3 ... Network, 100 ... Cryptographic processing apparatus, 101 ... Terminal interface, 102 ... Network interface, 111 ... Application condition storage means, 112 ... Agreement information storage means, 121 ... Encryption Determining means, 122 ... Encryption processing means, 131 ... Decryption determining means, 132 ... Decryption processing unit, 133 ... Received packet determining means, 141 ... Data management means

Claims (5)

第1のネットワーク側の端末装置から第2のネットワーク側の相手装置宛に送信されたパケットを暗号化して該相手装置に中継するとともに前記相手装置から端末装置宛の暗号化パケットを復号化して該端末装置に中継する暗号処理装置において、
パケットに対する暗号化処理及び復号化処理の適用条件を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する適用条件記憶手段と、
パケットの暗号化処理及び復号化処理で用いる合意情報を宛先アドレス及び送信元アドレスをキーとして順序づけして記憶する合意情報記憶手段と、
第1のネットワーク側から受信したパケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づきパケットに対する処理内容を判定する暗号化判定手段と、
暗号化判定手段で暗号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの暗号化処理を行う暗号化処理部と、
第2のネットワーク側から受信した暗号化パケットの宛先アドレス及び送信元アドレスをキーとして適用条件記憶手段から適用条件を順序にしたがって取得し、該適用条件に基づき暗号化パケットに対する処理内容を判定する復号化判定手段と、
復号化判定手段で復号化対象と判定されたパケットの宛先アドレス及び送信元アドレスをキーとして合意情報記憶手段から合意情報を順序にしたがって取得し、該合意情報に基づきパケットの復号化処理を行う復号化処理部とを備え、
前記合意情報記憶手段は、合意情報のキーとして記憶する宛先アドレス及び送信元アドレスの双方を、複数のアドレスが含まれるアドレス群で記憶可能とし、
前記暗号化処理部及び復号化処理部は、パケットの宛先アドレス及び送信元アドレスの双方が完全一致又は部分一致する合意情報を順序にしたがって合意情報記憶手段から取得する
ことを特徴とする暗号処理装置。 A packet transmitted from the terminal device on the first network side to the partner device on the second network side is encrypted and relayed to the partner device, and an encrypted packet addressed to the terminal device is decrypted from the partner device. In the cryptographic processing device relaying to the terminal device,
Application condition storage means for storing application conditions of encryption processing and decryption processing for packets in order with a destination address and a source address as a key;
Agreement information storage means for storing agreement information used in packet encryption processing and decryption processing in order using a destination address and a source address as a key;
Encryption determination means for acquiring application conditions in order from the application condition storage means using the destination address and source address of the packet received from the first network side as keys, and determining the processing content for the packet based on the application conditions; ,
A cipher that obtains agreement information from the agreement information storage means according to the order using the destination address and source address of the packet that has been determined to be encrypted by the encryption determination means as a key, and performs packet encryption processing based on the agreement information The processing unit,
Decryption that obtains application conditions from the application condition storage means in order using the destination address and source address of the encrypted packet received from the second network side as keys, and determines the processing content for the encrypted packet based on the application condition A determination means;
Decoding that obtains agreement information from the agreement information storage means in the order using the destination address and source address of the packet determined to be decrypted by the decryption judgment means as a key, and performs packet decryption processing based on the agreement information And processing unit,
The agreement information storage means can store both a destination address and a transmission source address stored as a key of agreement information in an address group including a plurality of addresses,
The encryption processing unit and the decryption processing unit acquire agreement information in which both the destination address and the transmission source address of the packet are completely or partially matched from the agreement information storage unit according to an order. . 適用条件記憶手段に記憶されている適用情報及び合意情報記憶手段に記憶されている合意情報を、キーとなる宛先アドレス及び送信元アドレスに包含されるアドレス数が少ないものほど上位となるように順序を並べ替える管理手段を備えた
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means are ordered so that the smaller the number of addresses included in the key destination address and the transmission source address, the higher the order. The cryptographic processing apparatus according to claim 1, further comprising a management unit that rearranges the scrambler. 適用条件記憶手段に記憶されている適用情報及び合意情報記憶手段に記憶されている合意情報を、復号化処理で用いられる適用情報又は合意情報についてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられる適用情報又は合意情報についてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となるように順序を並べ替える管理手段を備えた
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means, the number of addresses included in the source address as a key for the application information or agreement information used in the decryption process Management means that rearranges the order so that the lower the number of addresses, the higher the order, and the application information or the agreement information used in the encryption process, the lower the number of addresses included in the key destination address, the higher the order. The cryptographic processing apparatus according to claim 1, wherein: 適用条件記憶手段に記憶されている適用情報及び合意情報記憶手段に記憶されている合意情報を、復号化処理で用いられる適用情報又は合意情報についてはキーとなる宛先アドレスに包含されるアドレス数が少ないものほど上位となり、且つ、暗号化処理で用いられる適用情報又は合意情報についてはキーとなる送信元アドレスに包含されるアドレス数が少ないものほど上位となるように順序を並べ替える管理手段を備えた
ことを特徴とする請求項1記載の暗号処理装置。 The application information stored in the application condition storage means and the agreement information stored in the agreement information storage means are the number of addresses included in the destination address that is a key for the application information or the agreement information used in the decryption process. Management means for rearranging the order so that the smaller the number, the higher the order, and the application information or agreement information used in the encryption process, the lower the number of addresses included in the key transmission source address, the higher the order. The cryptographic processing apparatus according to claim 1, wherein: 前記合意情報記憶手段と適用条件記憶手段とを宛先アドレス及び送信元アドレスをキーとして互いに関連付けておき、
暗号化判定手段及び復号化判定手段は、適用条件記憶手段から適用条件を取得する際に該適用条件に関連付けられた合意情報を取得し、
暗号化処理手段及び復号化処理手段は、前段の暗号化判定手段又は復号化判定手段で取得した合意情報を用いて暗号化処理又は復号化処理を行う
ことを特徴とする請求項1乃至4何れか1項記載の暗号処理装置。 The agreement information storage means and the application condition storage means are associated with each other using a destination address and a source address as keys,
The encryption determination unit and the decryption determination unit acquire agreement information associated with the application condition when acquiring the application condition from the application condition storage unit,
The encryption processing means and the decryption processing means perform encryption processing or decryption processing using the agreement information acquired by the preceding encryption determination means or decryption determination means. The cryptographic processing device according to claim 1.
JP2005185307A 2005-06-24 2005-06-24 Cryptographic processing device Active JP4113205B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005185307A JP4113205B2 (en) 2005-06-24 2005-06-24 Cryptographic processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005185307A JP4113205B2 (en) 2005-06-24 2005-06-24 Cryptographic processing device

Publications (2)

Publication Number Publication Date
JP2007006255A JP2007006255A (en) 2007-01-11
JP4113205B2 true JP4113205B2 (en) 2008-07-09

Family

ID=37691409

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005185307A Active JP4113205B2 (en) 2005-06-24 2005-06-24 Cryptographic processing device

Country Status (1)

Country Link
JP (1) JP4113205B2 (en)

Also Published As

Publication number Publication date
JP2007006255A (en) 2007-01-11

Similar Documents

Publication Publication Date Title
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
Jokela et al. Using the encapsulating security payload (ESP) transport format with the host identity protocol (HIP)
AU2013266624B2 (en) Multi-tunnel virtual private network
US9571458B1 (en) Anti-replay mechanism for group virtual private networks
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
US10009336B2 (en) Network security system to validate a server certificate
JP4081724B1 (en) Client terminal, relay server, communication system, and communication method
US9479534B2 (en) Method, system, and logic for in-band exchange of meta-information
US20070165638A1 (en) System and method for routing data over an internet protocol security network
US20100268935A1 (en) Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway
CN110912859B (en) Method for sending message, method for receiving message and network equipment
WO2016165277A1 (en) Ipsec diversion implementing method and apparatus
JP4933286B2 (en) Encrypted packet communication system
JP4113205B2 (en) Cryptographic processing device
JP2006196996A (en) Communications system and communication method
US20100275008A1 (en) Method and apparatus for secure packet transmission
KR102023416B1 (en) Network switch and method for setting encryption section in data link layer using the same
JP6075871B2 (en) Network system, communication control method, communication control apparatus, and communication control program
CN114785536B (en) Message processing method and device
JP2018116123A (en) Gateway device and gateway system
JP2012160941A (en) Information processing device, information processing method and program
JP2011015042A (en) Encryption communication device, encryption communication method, and program
Alhoaimel Performance Evaluation of IPv6 and the Role of IPsec in Encrypting Data
JP2007005989A (en) Encryption communication system
JPWO2008026243A1 (en) Data encryption apparatus, address resolution method, and address resolution program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080408

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080410

R150 Certificate of patent or registration of utility model

Ref document number: 4113205

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110418

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120418

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130418

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140418

Year of fee payment: 6

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350