JP6636964B2 - ゲートウエイ装置およびゲートウエイシステム - Google Patents
ゲートウエイ装置およびゲートウエイシステム Download PDFInfo
- Publication number
- JP6636964B2 JP6636964B2 JP2017006228A JP2017006228A JP6636964B2 JP 6636964 B2 JP6636964 B2 JP 6636964B2 JP 2017006228 A JP2017006228 A JP 2017006228A JP 2017006228 A JP2017006228 A JP 2017006228A JP 6636964 B2 JP6636964 B2 JP 6636964B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- shared memory
- internal
- computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000015654 memory Effects 0.000 claims description 115
- 230000005540 biological transmission Effects 0.000 claims description 40
- 238000000034 method Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 23
- 238000012545 processing Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000008707 rearrangement Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ゲートウエイ装置およびゲートウエイシステムに関する。
従来、互いに異なるネットワークに接続された2台のコンピュータ間を共有メモリで接続することにより、ネットワーク間を遮断し、通したくないパケットデータを遮断するための装置が知られている(例えば、特許文献1参照)。
また、内部セキュリティ部と外部セキュリティ部とを共有メモリによって接続し、共有メモリによって仮想エアギャップを構成するシステムにより、コンピュータとインターネットのセキュリティを確保する技術が知られている(例えば、特許文献2参照)。
しかしながら、上述した特許文献1や特許文献2に示されるような装置やシステムにおいては、ネットワーク層を分離できるものの、通信データの保護のための暗号化については、なお改善の余地がある。すなわち、市販のセキュリティソフトを用いる場合、悪意を持った攻撃側との攻防のために、常にアップデートが必要である。また、ネットワークにおけるデータの保護を考慮した送受信プログラムの作成は、TCP/IPなどのネットワークライブラリを駆使したソフトウェアの作成が必要であり、当業者以外の者にとってハードルが高い作業である。
本発明は、上記課題を解消するものであって、共有メモリ上でのデータ操作を可能とし、ネットワークセキュリティを自由に作成できるゲートウエイ装置およびゲートウエイシステムを提供することを目的とする。
上記課題を達成するために、本発明のゲートウエイ装置は、外部ネットワークに対してデータを送受信する外部側コンピュータと、内部ネットワークに対してデータを送受信する内部側コンピュータと、内部側コンピュータと外部側コンピュータとの間にあってデータの受け渡しを行う共有メモリと、を備え、内部側コンピュータは、データを所定の条件に沿って共有メモリ上で暗号化する暗号化部と、暗号化されたデータを所定の条件に沿って復号化する復号化部と、を有し、内部側コンピュータは、内部ネットワークから送信用のデータを受け取って共有メモリに書き込み、内部側コンピュータは、共有メモリに書き込まれた送信用のデータを読み込んで暗号化し、暗号化されたデータを再び共有メモリに書き込み、内部側コンピュータは、暗号化されたデータを書き込んだ後に、共有メモリを外部側コンピュータから読み込み可能な状態とし、外部側コンピュータは、共有メモリが読み込み可能な状態であることを確認した後に、共有メモリから暗号化されたデータを読み込んで外部ネットワークに送信することを特徴とする。
このゲートウエイ装置において、暗号化部は、内部側コンピュータにより共有メモリに書き込まれたデータを並べ替えて暗号化し、復号化部は、外部ネットワークを介して受信され、外部側コンピュータにより共有メモリに書き込まれたデータを並べ替えて復号化してもよい。
このゲートウエイ装置において、内部側コンピュータは、暗号化部がデータを並べ替える暗号化アルゴリズムを複数記憶しており、暗号化部が複数の暗号化アルゴリズムのいずれに基づいて暗号化するかについての情報を送信用のデータに付け加えてもよい。
本発明のゲートウエイシステムは、上記ゲートウエイ装置の複数個が1つの外部ネットワークに接続され、ゲートウエイ装置の各々は、異なる内部ネットワークに接続されていることを特徴とする。
本発明によれば、共有メモリを介在してデータの受け渡しを行うに、共有メモリに書き込むデータを操作して暗号化するので、ネットワークセキュリティを独自かつ容易に設定できる。
以下、本発明の一実施形態に係るゲートウエイ装置について図1乃至図6を参照して説明する。図1に示すように、ゲートウエイ装置1は、少なくとも2つが互いに外部ネットワーク90によって接続されて通信ネットワークシステムであるゲートウエイシステム10を構成する。ゲートウエイ装置1の各々は、内部ネットワーク91(ネットワークA系列),92(ネットワークB系列)間のデータ通信に供される。3個以上のゲートウエイ装置1が1つの外部ネットワーク90に接続されてもよく、各ゲートウエイ装置1は、それぞれ異なる内部ネットワーク91,92,・・に接続される。これら全体によりゲートウエイシステム10が構成される。
内部ネットワーク91,92は、例えばセキュリティが要求されるイントラネットであり、外部ネットワーク90は、例えば公衆に属するインターネットである。一の内部ネットワーク91と、他の内部ネットワーク92とは、互いに直接通信をすることができない個別のネットワークである。各ゲートウエイ装置1は、内部側コンピュータ2と、外部側コンピュータ3と、内部側コンピュータ2と外部側コンピュータ3との間にあってデータの受け渡しを行う共有メモリ4とを備えている。内部側コンピュータ2と外部側コンピュータ3は、それぞれ個別のCPU(Central Processing Unit)を有して構成されている。CPUは、コンピュータにおける制御、演算、情報転送を司る。
一方の内部ネットワーク91とこれに接続されたゲートウエイ装置1の内部側コンピュータ2は、固有の通信空間である内部側領域IAを構成する。他方の内部ネットワーク92とこれに接続された他方のゲートウエイ装置1の内部側コンピュータ2も、同様に内部側領域IBを構成する。これらの内部側領域IA,IBは、互いに別個の通信空間を構成する。2つの外部側コンピュータ3および外部ネットワーク90は、固有の通信空間である外部側領域EXを構成する。
内部側領域IAと外部側領域EXとの間、および内部側領域IBと外部側領域EXとの間は、それぞれ、例えばTCP/IPにおけるネットワーク層が遮断されており、データ通信はネットワーク層によらずに共有メモリ4を介して行われる。つまり、内部ネットワーク91,92間のデータ通信は、2つの共有メモリ4と外部側領域EXとを介して行われる。
図2を参照して、ゲートウエイ装置1の詳細を説明する。内部側コンピュータ2は、内部ネットワーク91に対してデータを送受信し、外部側コンピュータ3は、外部ネットワーク90に対してデータを送受信する。共有メモリ4は、例えばデュアルポートRAMを用いて構成される。
内部側コンピュータ2は、共有メモリ4を介して外部側コンピュータ3に渡す送信用のデータを共有メモリ4に書き込む書込部21と、その送信用のデータを暗号化する暗号化部5と、共有メモリ4を介して外部側コンピュータ3から受け取った受信データを復号化する復号化部6とを有する。暗号化部5は、書込部21によって共有メモリ4に書き込まれた送信用のデータを読み込み、その読み込んだデータを並べ替えて共有メモリ4に書き込むことにより暗号化する。復号化部6は、外部側コンピュータ3によって受信されて共有メモリ4に書き込まれたデータを共有メモリ4から読み込み、そのデータを並べ替えて復号化する。内部側コンピュータ2は、暗号化部5が参照する暗号化アルゴリズムと復号化部6が参照する復号化アルゴリズムとが記憶されたメモリ7を有している。
書込部21、暗号化部5、および復号化部6の各部は、内部側コンピュータ2のCPUが所定のプログラム(ソフトウエア)に基づく処理を実行することにより達成される。プログラムは、例えば各部に対応するサブルーチンの形で、内部側コンピュータ2が備える所定のメモリに記憶されている。
外部側コンピュータ3は、外部ネットワーク90から受信したデータを共有メモリ4に書き込む書込部31と、共有メモリ4から送信用のデータを読み込み、そのデータを外部ネットワーク90に渡す読込部32とを有している。書込部31および読込部32の各部は、外部側コンピュータ3のCPUが所定のプログラム(ソフトウエア)に基づく処理を実行することにより達成される。プログラムは、例えば各部に対応するサブルーチンの形で、外部側コンピュータ3が備える所定のメモリに記憶されている。
図3を参照してゲートウエイ装置1の機能を説明する。内部側コンピュータ2はCPU2aとネットワーク接続部LAN1を有し、外部側コンピュータ3はCPU3aとネットワーク接続部LAN2を有する。ゲートウエイ装置1は、図中で実線矢印が示すように、内部側コンピュータ2のCPU2aから外部側コンピュータ3のCPU3aへはアクセスが可能であるが、破線矢印で示す逆方向についてはアクセスが制限されている。
次に、図4を参照して、一の内部ネットワーク91から、他の内部ネットワーク92に向けて、データを暗号化して送信するデータの送受信について説明する。
(送信側の処理)
まず、送信側のゲートウエイ装置1の内部側コンピュータ2のCPUが、内部ネットワーク91から送信用の元データD、例えば[1234567890]を受け取り、その元データDを共有メモリ4に書き込む。
まず、送信側のゲートウエイ装置1の内部側コンピュータ2のCPUが、内部ネットワーク91から送信用の元データD、例えば[1234567890]を受け取り、その元データDを共有メモリ4に書き込む。
次に、CPUは共有メモリ4に書き込まれた送信用のデータを読み込み、メモリ7に保存された暗号化アルゴリズムを参照して、データを並べ替える暗号化を行い、暗号データE、例えば、逆順に入れ替えたデータ[0987654321]を生成する。生成された暗号データEは、共有メモリ4に書き込まれ、暗号化が完了する。
暗号化が完了した時点で、共有メモリ4内の送信用のデータは、内部側コンピュータ2によって、送信可能状態すなわち外部側コンピュータ3による読み込み可能状態とされる。外部側コンピュータ3は、共有メモリ4が読み込み可能状態であることを確認した後、共有メモリ4から暗号データEを読み込んで、そのまま送信データF、[0987654321]として、外部ネットワーク90に送信する。
(受信側の処理)
データを受信する内部ネットワーク92側のゲートウエイ装置1は、その外部側コンピュータ3が、送信データFを受信データGとして受信し、そのまま共有メモリ4に書き込む。書き込まれたデータは、暗号化されたデータH、[0987654321]である。
データを受信する内部ネットワーク92側のゲートウエイ装置1は、その外部側コンピュータ3が、送信データFを受信データGとして受信し、そのまま共有メモリ4に書き込む。書き込まれたデータは、暗号化されたデータH、[0987654321]である。
共有メモリ4への書き込みが終了すると、外部側コンピュータ3によって、内部側コンピュータ2による読み込み可能状態とされる。すると、内部側コンピュータ2は、共有メモリ4から暗号データH、[0987654321]を読み込み、暗号データHをもとの順番に並べ替える復号化の処理を行い、復号データJ、[1234567890]とする。復号化の処理に際し、メモリ7に保存された復号化アルゴリズムが参照される。復号データJは、内部ネットワーク92に送信される。
次に、図5のフローチャートを参照して、外部への送信処理を説明する。送信側の内部側コンピュータ2は、内部ネットワーク91から送信用のデータを受信し(S11)、書き込み用のメモリを共有メモリ4に確保し(S12)、さらに、データの送信先を設定する(S13)。続いて、内部側コンピュータ2は、データを共有メモリ4に書き込み(S14)、共有メモリ4内のデータを並べ替えて暗号化する(S15)。
続いて、送信側の外部側コンピュータ3は、暗号化が完了した時点で、共有メモリ4から送信先を示すデータと暗号化されたデータとを読み込み(S16)、データを外部ネットワーク90に送信する(S17)。
次に、図6のフローチャートを参照して、受信処理を説明する。受信側の外部側コンピュータ3は、外部ネットワーク90から送信されてきたデータを受信し(S21)、データを共有メモリ4に書き込む(S22)。
続いて、受信側の内部側コンピュータ2が、共有メモリ4からデータを読み込み(S23)、データを並べ替えて復号化し(S24)、データを内部ネットワーク92に送信する(S25)。
(暗号化と復号化のアルゴリズムについて)
内部側コンピュータ2は、暗号化部5(図2)がデータを並べ替える暗号化アルゴリズムを、メモリ7に複数記憶することができる。暗号化部5は、例えば、ユーザの指示に従って、または、所定の手順に従って、複数の暗号化アルゴリズムのいずれかに基づいて暗号化することができる。
内部側コンピュータ2は、暗号化部5(図2)がデータを並べ替える暗号化アルゴリズムを、メモリ7に複数記憶することができる。暗号化部5は、例えば、ユーザの指示に従って、または、所定の手順に従って、複数の暗号化アルゴリズムのいずれかに基づいて暗号化することができる。
受信側の内部側コンピュータ2は、データを送信する側のゲートウエイ装置1が有する暗号化アルゴリズムをメモリ7に複数記憶している。受信側の内部側コンピュータ2は、どの暗号化アルゴリズムを用いて復号化すべきか不明となる場合がある。そこで、送信側の内部側コンピュータ2は、暗号化部5が複数の暗号化アルゴリズムのいずれに基づいて暗号化したかについて、または、いずれに基づいて復号化すればよいかについての情報を送信用のデータに付加する。
なお、暗号化アルゴリズムと復号化アルゴリズムとは、通常、同じものとすることができ、この場合、例えば、復号化部6は暗号化のときの並べ替えの手順を逆にたどることにより、復号化を実行できる。
暗号化アルゴリズムは、共有メモリ4に書き込まれた送信用のデータを並べ替える処理手順のアルゴリズムに、データの変換、追加、入れ替え等のデータ処理手順のアルゴリズムを加えたものとすることができる。例えば、同じデータを重複させるような変換、所定のデータを挿入する追加、文字データを所定の変換表に基づいて他の文字データに変える入れ替え、など任意の暗号化手順を加えることができる。
本実施形態のゲートウエイ装置1によれば、共有メモリ4に書き込まれたデータの並べ替えによってデータを暗号化するので、ユーザがデータの暗号化を独自に容易に設定できる。すなわち、共有メモリ上のデータ処理によって、外部ネットワーク90上に送り出すデータのセキュリティ(保護手段)が自由に作成できる。また、送信側と受信側の双方でデータの並べ替え(暗号化)のアルゴリズムを認識することにより、相手先によってセキュリティを変更することができる。例えば、一の相手先とは逆順にデータを並べ替える、他の相手先とは日付時間をデータ中の任意位置に追加する等の処理を行って並べ替える。
複数のゲートウエイ装置1によって形成したデータ通信のネットワークシステムにおける、2つの共有メモリ4の間に外部ネットワーク90を挟む構造は、仮想プライベートネットワーク(VPN)と見做すことができる。すなわち、ゲートウエイ装置1によれば、VPNを簡易に形成することができ、外部ネットワーク90を意識することなく、共有メモリ4への読み書きをすることによりセキュリティを確保して、異なる内部ネットワーク間でデータの送受信を行うことができる。
ゲートウエイ装置1は、共有メモリ4によって、TCP/IPにおけるネットワーク層を分離しているため、ネットワークセキュリティに強い構成となっている。内部側コンピュータ2は、内部ネットワークと共有メモリ4との間に位置しているため、内部側コンピュータ2にフィルタリング機能を持たせることにより、ゲートウエイ装置1は、必要データだけの通過、不要データの破棄などのデータ処理を行うことができる。
例えば、外部ネットワーク90からのデータであって、所定の復号化アルゴリズムによって所定の判断基準(情報セキュリティポリシー)に沿った復号化ができないデータは、上述のフィルタリング機能により、悪意のデータと判断して破棄することができる。また、外部側に向いた場所、すなわち外部側コンピュータ3が悪意を持ったハッキングや乗っ取りにあったとしても、共有メモリ4によって内部側コンピュータ2が隔離されているので、内部側コンピュータ2と内部側ネットワークへの影響を防止することができる。
ゲートウエイ装置1は、共有メモリ4を用いてデータを暗号化し送受信する構成としており、この構成にはTCP/IPなどのライブラリを駆使したソフトウェアの作成が不要であり、暗号化部5や復号化部6を構成するソフトウェアを容易に作成し実装できる。また、ある2つのゲートウエイ装置1間と他の2つのゲートウエイ装置1間とで異なる暗号化アルゴリズムを適用することが容易であり、これにより、お互いの間だけが理解できるデータ暗号化によるデータ通信を容易に実現できる。暗号化アルゴリズムは、ゲートウエイ装置1間で設定することに限られず、内部ネットワーク内の個々の送信元と、他の内部ネットワーク内の個々の送信先との間で個別に設定してもよい。
図7は、他の実施形態に係るゲートウエイ装置の機能を示す。このゲートウエイ装置1は、内部側コンピュータ2および外部側コンピュータ3に共用の単一のCPU8を用いている。CPU8は、共有メモリ4を介して接続された、内部側コンピュータ2のCPUコア1(2a)と、外部側コンピュータ3のCPUコア2(3a)と、を有している。この実施形態によれば、ゲートウエイ装置1は、内部側コンピュータ2と外部側コンピュータ3がそれぞれ個別にパッケージングされたCPUを有していなくても構わない。また、CPU8は、2つのCPUコアに限られず、3つ以上のCPUコアを有するマルチコアCPUであってもよい。
次に、図1、図2を再び参照して、ゲートウエイ装置1およびゲートウエイシステム10の変形例を説明する。外部側コンピュータ3の読込部32は、データ読み込みの際に、共有メモリ4に参照用に設定された参照領域のデータを読み込み、その参照領域のデータを参照して共有メモリ4上の送信用のデータ(送信データ)を読み込む構成とされていてもよい。
共有メモリ4に設定された参照領域には、読込部32が読み込むべき送信データが書き込まれた共有メモリ4上の所定のデータ単位毎の、アドレスと、読み込みの順番と、を規定するデータが記録されている。参照領域のデータは、内部側コンピュータ2から書き換えることができるが、外部側コンピュータ3からは書き換えることはできず、外部側コンピュータ3は読み込みと参照のみ可能である。
ゲートウエイ装置1の送受信の動作を、一方の内部ネットワーク91から他方の内部ネットワーク92へデータを送信する動作について説明する。送信側の内部ネットワーク91側において、内部側コンピュータ2の書込部21は、送信データを共有メモリ4に書き込む。
暗号化部5は、例えば、送信データが共有メモリ4に書き込まれた順番とは異なる順番で読込部32によって読み込まれるように、メモリ7に保存された暗号化アルゴリズムを参照して、参照領域のデータを並べ替える。この並べ替えという書き換えにより、読込部32が読み込む順番が変更され、送信データが暗号化される。暗号化の処理は、参照領域のデータを並べ替える処理に限られず、ダミーのデータを送信データに挿入するためにダミーのデータのアドレスを参照領域のデータに追加する処理や、これらの処理を組み合わせた処理としてもよい。
外部側コンピュータ3の読込部32は、参照領域のデータが読み込み可能となった後、参照領域のデータを読み込み、そのデータに基づいて、共有メモリ4から送信データを読み込む。読み込まれたデータは、順次外部ネットワーク90に送信される。なお、暗号化部5は、参照領域のデータが読み込み可能か否かの情報を、例えば、共有メモリ4に書き込んで、読込部32に伝える。
受信側の内部ネットワーク92側において、外部側コンピュータ3の書込部31は、外部ネットワーク90からの受信データを共有メモリ4に書き込む。復号化部6は、共有メモリ4から受信データを読み込み、メモリ7に保存された復号化アルゴリズムを参照して、受信データを復号化し、内部ネットワーク92に送信する。
この変形例による暗号化部5は、共有メモリ4のメモリアドレスの配列を、所定のアルゴリズムに従って、任意のメモリアドレスの配列に書き換える。内部側コンピュータ2は、共有メモリ4からデータを読み出す順番を、参照領域のデータを用いて、外部側コンピュータ3に伝える。外部側コンピュータ3の読込部32は、伝えられた順番に従って、共有メモリ4から送信データを読み込む。外部側コンピュータ3の読込部32が読み込んだデータは、内部側コンピュータ2が共有メモリ4に書き込んだときの書込順とは異なる順番で読み込まれたデータとなる。
この場合、外部側コンピュータ3の読込部32は、共有メモリ4の並びの変更について何ら認識することがない。すなわち、外部側コンピュータ3は、暗号化された状態のデータを内部側コンピュータ2から受け取ってそのまま外部ネットワーク90に送信する。ここで、共有メモリ4を構成する各メモリとその上のデータとを抽象的に相対的なものと見ており、メモリに対するデータの並び替えを、共有メモリ4の並びの変更と表現している。暗号化は、参照領域のデータを用いて行う共有メモリ4のメモリアドレスの配列の書き換え処理(メモリ処理)と、共有メモリ4上のデータを読み込み並べ替え書き込む処理とを組み合わせた複合処理によって行うこともできる。
共有メモリ4の並びを変更するメモリ処理による暗号化は、送信用のデータが共有メモリ4に書き込まれた後に行うこと限られず、書き込まれる前に行うこともできる。暗号化部5は、送信用のデータが共有メモリ4に書き込まれ、かつ、暗号化が完了した時点で、参照領域のデータが読み込み可能である旨の情報を、読込部32に伝える。暗号化部5による暗号化の処理の概念には、このような書込前のメモリ処理または書込後のメモリ処理による処理が含まれる。
次に、さらに他の変形例を説明する。図3において、内部側コンピュータ2のCPU2aから外部側コンピュータ3のCPU3aへはアクセスが可能であり逆方向についてはアクセスが制限されている旨説明したが、ゲートウエイ装置1はこの構成に限定されない。例えば、ゲートウエイ装置1は、内部側コンピュータ2と外部側コンピュータ3との間の一方から他方へ及び他方から一方への両方向またはいずれか片側方向についてのアクセス機能を、禁止または段階的に制限するアクセス制御スイッチを備えるようにしてもよい。
アクセス制御スイッチにより、例えば、外部ネットワーク90を経由せずに内部ネットワーク91,92間を接続する場合などのように、ゲートウエイ装置1を使用する目的、状況、環境などに応じて、ゲートウエイ装置1の機能を適切に切り替えることができる。また、アクセス制御スイッチにより、内部側コンピュータ2と外部側コンピュータ3の役割を互いに切り替えるようにすることができる。この場合、内部側コンピュータ2に外部ネットワーク90を接続し、外部側コンピュータ3に内部ネットワーク91を接続して、ゲートウエイ装置1を用いることができる。ゲートウエイ装置1の暗号化部5、復号化部6、書込部21、書込部31、および読込部32などの各々は、CPUがプログラム(ソフトウエア)に基づく処理を実行することにより達成されるので、各部の構成の組み替えが容易に行える。また、ゲートウエイ装置1は、内部側コンピュータ2と外部側コンピュータ3とを、互いに同等のハードウエア構成とすることができる。この場合、いずれのCPUを内部側コンピュータ2とし、外部側コンピュータ3とするかを、アクセス制御スイッチによって選択して設定することができる。
上述の各実施形態、変形例において、データを共有メモリ4上で暗号化する処理には、共有メモリ4上のデータを実際に並べ替える処理が含まれる。また、書き込みの順番とは異なる順番で読込部32によって読み込まれる処理が含まれる。この処理は、共有メモリ4上の送信用のデータを実際には並べ替えることなく、受け取ったデータが、結果として元のデータから並べ替えられたものとなる処理であり、実質的に共有メモリ4内のメモリの並びを変える処理である。暗号化処理は、データまたはメモリの並びに秘匿性を持たせればよいのであって、上述した各種のものを互いに組み合わせても、また、ダミーのデータを含める処理を組み合わせてもよい。
なお、本発明は、上記構成に限られることなく種々の変形が可能である。例えば、本発明は、上記の各実施形態や変形例を組み合わせたものとすることができる。また、暗号化部5が行う送信データの暗号化は、共有メモリ上のデータを並べ替えるデータ処理や、データ変換、追加、その他のデータ処理に限られず、実質的に共有メモリ4内のメモリの並びを変えることによって行うことができる。暗号化部5は、送信用のデータを所定の条件に沿って共有メモリ4上で暗号化するものであればよい。
1 ゲートウエイ装置
10 ゲートウエイシステム
2 内部側コンピュータ
21 書込部
3 外部側コンピュータ
31 書込部
32 読込部
4 共有メモリ
5 暗号化部
6 復号化部
8 CPU
90 外部ネットワーク
91,92 内部ネットワーク
10 ゲートウエイシステム
2 内部側コンピュータ
21 書込部
3 外部側コンピュータ
31 書込部
32 読込部
4 共有メモリ
5 暗号化部
6 復号化部
8 CPU
90 外部ネットワーク
91,92 内部ネットワーク
Claims (4)
- 外部ネットワークに対してデータを送受信する外部側コンピュータと、
内部ネットワークに対してデータを送受信する内部側コンピュータと、
前記内部側コンピュータと前記外部側コンピュータとの間にあってデータの受け渡しを行う共有メモリと、を備え、
前記内部側コンピュータは、データを所定の条件に沿って前記共有メモリ上で暗号化する暗号化部と、暗号化されたデータを所定の条件に沿って復号化する復号化部と、を有し、
前記内部側コンピュータは、前記内部ネットワークから送信用のデータを受け取って前記共有メモリに書き込み、
前記内部側コンピュータは、前記共有メモリに書き込まれた送信用のデータを読み込んで暗号化し、暗号化されたデータを再び前記共有メモリに書き込み、
前記内部側コンピュータは、前記暗号化されたデータを書き込んだ後に、前記共有メモリを前記外部側コンピュータから読み込み可能な状態とし、
前記外部側コンピュータは、前記共有メモリが読み込み可能な状態であることを確認した後に、前記共有メモリから暗号化されたデータを読み込んで前記外部ネットワークに送信することを特徴とするゲートウエイ装置。
- 前記暗号化部は、前記内部側コンピュータにより前記共有メモリに書き込まれたデータを並べ替えて暗号化し、
前記復号化部は、前記外部ネットワークを介して受信され、前記外部側コンピュータにより前記共有メモリに書き込まれたデータを並べ替えて復号化する、請求項1に記載のゲートウエイ装置。 - 前記内部側コンピュータは、前記暗号化部がデータを並べ替える暗号化アルゴリズムを複数記憶しており、前記暗号化部が前記複数の暗号化アルゴリズムのいずれに基づいて暗号化するかについての情報を送信用のデータに付け加える、請求項1または請求項2に記載のゲートウエイ装置。
- 請求項1記載のゲートウエイ装置の複数個が1つの外部ネットワークに接続され、
前記ゲートウエイ装置の各々は、異なる内部ネットワークに接続されている、ゲートウエイシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017006228A JP6636964B2 (ja) | 2017-01-17 | 2017-01-17 | ゲートウエイ装置およびゲートウエイシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017006228A JP6636964B2 (ja) | 2017-01-17 | 2017-01-17 | ゲートウエイ装置およびゲートウエイシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018116123A JP2018116123A (ja) | 2018-07-26 |
| JP6636964B2 true JP6636964B2 (ja) | 2020-01-29 |
Family
ID=62985424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017006228A Active JP6636964B2 (ja) | 2017-01-17 | 2017-01-17 | ゲートウエイ装置およびゲートウエイシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6636964B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818092A (zh) * | 2020-08-14 | 2020-10-23 | 苏州海德汛互联网技术有限公司 | 一种网络安全物理隔离器及信息交换方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1155245A (ja) * | 1997-07-29 | 1999-02-26 | Fujitsu Denso Ltd | 暗号化方法 |
| JPH11126173A (ja) * | 1997-10-22 | 1999-05-11 | Nec Corp | メモリアクセス制御装置およびその記憶媒体 |
| TR200708644A1 (tr) * | 2007-12-13 | 2009-07-21 | Atti̇la Özgi̇t Dr. | Sanal hava yastığı sistemi. |
| JP2009253490A (ja) * | 2008-04-03 | 2009-10-29 | Nec Corp | メモリシステムの暗号化方式 |
| JP5457916B2 (ja) * | 2010-04-01 | 2014-04-02 | 株式会社東芝 | メモリ共有装置 |
| US8726385B2 (en) * | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
| JP2014531175A (ja) * | 2011-10-28 | 2014-11-20 | ダンマークス・テクニスケ・ユニヴェルシテット | 動的な暗号化方法 |
-
2017
- 2017-01-17 JP JP2017006228A patent/JP6636964B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018116123A (ja) | 2018-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2817916B1 (en) | Cryptographic transmission system using key encryption key | |
| US11722296B2 (en) | Device securing communications using two post-quantum cryptography key encapsulation mechanisms | |
| JP4816161B2 (ja) | 無線通信装置、macアドレス管理システム、無線通信方法及び無線通信プログラム | |
| WO2019174187A1 (zh) | 基于区块链的多端间消息通信的方法、终端及存储介质 | |
| US6901516B1 (en) | System and method for ciphering data | |
| US20120303949A1 (en) | Packet transmission method, apparatus, and network system | |
| CN105009597A (zh) | 作为阻止密钥恢复攻击的对策的用于发射器-接收器配对的主密钥加密功能 | |
| Datta et al. | {spine}: Surveillance protection in the network elements | |
| JPH03243035A (ja) | 暗号通信システム | |
| KR20130042440A (ko) | 무작위 순서화 및 무작위 블록 크기조정을 사용한 안전한 데이터 전달 | |
| TW200830327A (en) | System and method for encrypting data | |
| US10699031B2 (en) | Secure transactions in a memory fabric | |
| CN113940027B (zh) | 用于加速证书提供的系统和方法 | |
| US20170302454A1 (en) | Encryption for transactions in a memory fabric | |
| JP2019530344A (ja) | 通信装置、システム、方法及びプログラム | |
| JP4245972B2 (ja) | 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体 | |
| JP6636964B2 (ja) | ゲートウエイ装置およびゲートウエイシステム | |
| JP2023510002A (ja) | エアギャッピングハードウェアプロトコルを使用したセキュアなデータ転送のためのシステムおよび方法 | |
| JP4933286B2 (ja) | 暗号化パケット通信システム | |
| JP2013182148A (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
| US20190014092A1 (en) | Systems and methods for security in switched networks | |
| US20210192088A1 (en) | Secure computing | |
| JP2003198530A (ja) | パケット通信装置及び暗号アルゴリズム設定方法 | |
| JP2010081108A (ja) | 通信中継装置、情報処理装置、プログラム、及び通信システム | |
| JP2015154149A (ja) | ネットワークシステム、スイッチ、ネットワーク管理方法およびネットワーク管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181011 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190924 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191219 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6636964 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |