JPH06209313A - 機密保持装置およびその方法 - Google Patents
機密保持装置およびその方法Info
- Publication number
- JPH06209313A JPH06209313A JP5003625A JP362593A JPH06209313A JP H06209313 A JPH06209313 A JP H06209313A JP 5003625 A JP5003625 A JP 5003625A JP 362593 A JP362593 A JP 362593A JP H06209313 A JPH06209313 A JP H06209313A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- data transmission
- data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【目的】 データの盗聴に対する耐性もしくは第三者の
ネットワークへの不法な侵入に対する耐性に優れた機密
保持装置およびその方法を提供する。 【構成】 複数のデータ送受信装置A0〜An間でパケ
ット通信を行うデータ伝送ネットワークにおいて、デー
タ送受信装置A0〜Anとデータ伝送ネットワーク主部
Bとの間に接続され、データ送受信装置A0〜Anから
ネットワーク主部Bへ向けて伝送されるパケットを該パ
ケットの宛先アドレスに対応した暗号化鍵を用いて暗号
化する手段と、ネットワーク主部Bからデータ送受信装
置A0〜Anへ向けて伝送されるパケットを該パケット
の送信元アドレスに対応した復号化鍵を用いて復号化す
る手段とを具備して成り、該ネットワーク内を伝送され
るデータの機密を保持する。
ネットワークへの不法な侵入に対する耐性に優れた機密
保持装置およびその方法を提供する。 【構成】 複数のデータ送受信装置A0〜An間でパケ
ット通信を行うデータ伝送ネットワークにおいて、デー
タ送受信装置A0〜Anとデータ伝送ネットワーク主部
Bとの間に接続され、データ送受信装置A0〜Anから
ネットワーク主部Bへ向けて伝送されるパケットを該パ
ケットの宛先アドレスに対応した暗号化鍵を用いて暗号
化する手段と、ネットワーク主部Bからデータ送受信装
置A0〜Anへ向けて伝送されるパケットを該パケット
の送信元アドレスに対応した復号化鍵を用いて復号化す
る手段とを具備して成り、該ネットワーク内を伝送され
るデータの機密を保持する。
Description
【0001】
【産業上の利用分野】この発明は、複数のデータ送受信
装置間でパケット通信を行うデータ伝送ネットワークに
おいてデータの機密を保持する機密保持装置およびその
方法に関する。
装置間でパケット通信を行うデータ伝送ネットワークに
おいてデータの機密を保持する機密保持装置およびその
方法に関する。
【0002】
【従来の技術】複数のデータ送受信装置間でパケット通
信を行うデータ伝送ネットワークは、昨今のパーソナル
コンピュータあるいはワークステーション等の電算機器
におけるデジタルデータ処理技術の発達に伴い普及の度
を増している。その典型的な例として、企業の事業所
内、研究所内あるいは学校の構内に存在する複数の電算
機器間を接続する私的なデータ伝送ネットワーク、すな
わちローカルエリアネットワーク(LAN)がある。
信を行うデータ伝送ネットワークは、昨今のパーソナル
コンピュータあるいはワークステーション等の電算機器
におけるデジタルデータ処理技術の発達に伴い普及の度
を増している。その典型的な例として、企業の事業所
内、研究所内あるいは学校の構内に存在する複数の電算
機器間を接続する私的なデータ伝送ネットワーク、すな
わちローカルエリアネットワーク(LAN)がある。
【0003】一般に、パケット通信では通信すべきデー
タを有限長のデータフレームに分割、加工し、個々のデ
ータフレームの先頭に宛先および送信元のデータ送受信
装置のアドレス情報を付加してパケットを生成する。さ
らに、パケット通信では異なる宛先あるいは送信元のパ
ケットを時分割で多重化し、これにより通信媒体の使用
効率を高めることを特長の一つとしている。
タを有限長のデータフレームに分割、加工し、個々のデ
ータフレームの先頭に宛先および送信元のデータ送受信
装置のアドレス情報を付加してパケットを生成する。さ
らに、パケット通信では異なる宛先あるいは送信元のパ
ケットを時分割で多重化し、これにより通信媒体の使用
効率を高めることを特長の一つとしている。
【0004】図4は、複数のデータ送受信装置間で平文
のまま(すなわち、暗号化せずに)パケット通信を行う
従来のデータ伝送ネットワークを示している。この図に
おいて、A0〜Anはデータ送受信装置、Bはデータ伝
送ネットワーク主部、C0〜Cnはデータ送受信装置A
0〜Anとデータ伝送ネットワーク主部Bとを接続する
インターフェースである。
のまま(すなわち、暗号化せずに)パケット通信を行う
従来のデータ伝送ネットワークを示している。この図に
おいて、A0〜Anはデータ送受信装置、Bはデータ伝
送ネットワーク主部、C0〜Cnはデータ送受信装置A
0〜Anとデータ伝送ネットワーク主部Bとを接続する
インターフェースである。
【0005】インターフェースC0〜Cnは、一般にデ
ータ送受信装置A0〜Anからデータ伝送ネットワーク
主部Bへ向けてパケットが伝送される送信路と、データ
伝送ネットワーク主部Bからデータ送受信装置A0〜A
nへ向けてパケットが伝送される受信路とからなってい
る。いずれかのデータ送受信装置Aiから他のデータ送
受信装置Ajへデータを伝送する場合、送信元のデータ
送受信装置Aiは、伝送すべきデータを有限長のデータ
フレームに分割、加工し、さらに個々のデータフレーム
の先頭に宛先のデータ送受信装置Ajおよび自身のアド
レス情報を付加してパケットを生成した後、インターフ
ェースCiを介してデータ伝送ネットワーク主部Bへ送
出する。
ータ送受信装置A0〜Anからデータ伝送ネットワーク
主部Bへ向けてパケットが伝送される送信路と、データ
伝送ネットワーク主部Bからデータ送受信装置A0〜A
nへ向けてパケットが伝送される受信路とからなってい
る。いずれかのデータ送受信装置Aiから他のデータ送
受信装置Ajへデータを伝送する場合、送信元のデータ
送受信装置Aiは、伝送すべきデータを有限長のデータ
フレームに分割、加工し、さらに個々のデータフレーム
の先頭に宛先のデータ送受信装置Ajおよび自身のアド
レス情報を付加してパケットを生成した後、インターフ
ェースCiを介してデータ伝送ネットワーク主部Bへ送
出する。
【0006】データ伝送ネットワーク主部Bは、パケッ
ト内のアドレス情報に基づく交換および中継動作を行
い、宛先アドレスに該当するデータ送受信装置Ajもし
くは該データ送受信装置Ajを含む複数のデータ送受信
装置群にインターフェースCj,……を介して当該パケ
ットを伝送する。パケットを受信したデータ送受信装置
Aj,……は、当該パケットの宛先アドレスが自身のア
ドレスに一致する場合、そのパケットを受理することが
できる。
ト内のアドレス情報に基づく交換および中継動作を行
い、宛先アドレスに該当するデータ送受信装置Ajもし
くは該データ送受信装置Ajを含む複数のデータ送受信
装置群にインターフェースCj,……を介して当該パケ
ットを伝送する。パケットを受信したデータ送受信装置
Aj,……は、当該パケットの宛先アドレスが自身のア
ドレスに一致する場合、そのパケットを受理することが
できる。
【0007】
【発明が解決しようとする課題】ところで、パケット通
信を行う従来のデータ伝送ネットワークにおいて、平文
のままデータ伝送が行われる場合、幹線たる経路を選び
得れば相当量のデータを盗聴することが可能である。ま
た、特にローカルエリアネットワークでは、物理的なネ
ットワークの構築を簡便にするために同報的な通信方式
が採用されており、あるデータ送受信装置が発するパケ
ットは当該ネットワークに接続される他の全てのデータ
送受信装置に伝送される場合が多い。すなわち、ローカ
ルエリアネットワークにおいては、データの盗聴あるい
は第三者のネットワークへの不法な侵入がさらに容易と
なる。このように、従来のデータ伝送ネットワークにお
いて、平文のままデータ伝送を行う場合、データの盗聴
に対する耐性もしくは第三者のネットワークへの不法な
侵入に対する耐性に難があった。
信を行う従来のデータ伝送ネットワークにおいて、平文
のままデータ伝送が行われる場合、幹線たる経路を選び
得れば相当量のデータを盗聴することが可能である。ま
た、特にローカルエリアネットワークでは、物理的なネ
ットワークの構築を簡便にするために同報的な通信方式
が採用されており、あるデータ送受信装置が発するパケ
ットは当該ネットワークに接続される他の全てのデータ
送受信装置に伝送される場合が多い。すなわち、ローカ
ルエリアネットワークにおいては、データの盗聴あるい
は第三者のネットワークへの不法な侵入がさらに容易と
なる。このように、従来のデータ伝送ネットワークにお
いて、平文のままデータ伝送を行う場合、データの盗聴
に対する耐性もしくは第三者のネットワークへの不法な
侵入に対する耐性に難があった。
【0008】この発明は、このような背景の下になされ
たもので、データの盗聴に対する耐性もしくは第三者の
ネットワークへの不法な侵入に対する耐性に優れた機密
保持装置およびその方法を提供することを目的としてい
る。
たもので、データの盗聴に対する耐性もしくは第三者の
ネットワークへの不法な侵入に対する耐性に優れた機密
保持装置およびその方法を提供することを目的としてい
る。
【0009】
【課題を解決するための手段】上述した課題を解決する
ために、請求項1記載の発明は、複数のデータ送受信装
置間でパケット通信を行うデータ伝送ネットワークにお
いて、前記データ送受信装置と前記ネットワークの通信
回線との間に接続され、前記データ送受信装置から前記
通信回線へ向けて伝送されるパケットを該パケットの宛
先アドレスに対応した暗号化鍵を用いて暗号化する手段
と、前記通信回線から前記データ送受信装置へ向けて伝
送されるパケットを該パケットの送信元アドレスに対応
した復号化鍵を用いて復号化する手段とを具備すること
を特徴としている。
ために、請求項1記載の発明は、複数のデータ送受信装
置間でパケット通信を行うデータ伝送ネットワークにお
いて、前記データ送受信装置と前記ネットワークの通信
回線との間に接続され、前記データ送受信装置から前記
通信回線へ向けて伝送されるパケットを該パケットの宛
先アドレスに対応した暗号化鍵を用いて暗号化する手段
と、前記通信回線から前記データ送受信装置へ向けて伝
送されるパケットを該パケットの送信元アドレスに対応
した復号化鍵を用いて復号化する手段とを具備すること
を特徴としている。
【0010】また、請求項2記載の発明は、請求項1記
載の機密保持装置においてパケットを暗号化する際に、
該パケットのアドレス情報に相当する部分を暗号化せず
に平文のままで残すことにより、該ネットワークを構成
する交換・中継装置による前記アドレス情報に基づく交
換・中継動作を妨げることなく、該ネットワーク内を伝
送されるデータの機密を保持することを特徴としてい
る。
載の機密保持装置においてパケットを暗号化する際に、
該パケットのアドレス情報に相当する部分を暗号化せず
に平文のままで残すことにより、該ネットワークを構成
する交換・中継装置による前記アドレス情報に基づく交
換・中継動作を妨げることなく、該ネットワーク内を伝
送されるデータの機密を保持することを特徴としてい
る。
【0011】また、請求項3記載の発明は、請求項1記
載の機密保持装置においてパケットを暗号化する際に、
暗号化した後のビット列にあらためて所定の計算を施し
た誤り検査符号を付加して暗号化パケットを構成するこ
とにより、該ネットワークを構成する交換・中継装置や
ネットワーク管理装置による誤り検査に関する動作を妨
げることなく、該ネットワーク内を伝送されるデータの
機密を保持することを特徴としている。
載の機密保持装置においてパケットを暗号化する際に、
暗号化した後のビット列にあらためて所定の計算を施し
た誤り検査符号を付加して暗号化パケットを構成するこ
とにより、該ネットワークを構成する交換・中継装置や
ネットワーク管理装置による誤り検査に関する動作を妨
げることなく、該ネットワーク内を伝送されるデータの
機密を保持することを特徴としている。
【0012】
【作用】請求項1記載の発明によれば、データ送受信装
置から通信回線へ向けて伝送されるパケットが該パケッ
トの宛先アドレスに対応した暗号化鍵を用いて暗号化さ
れる一方、通信回線からデータ送受信装置へ向けて伝送
されるパケットが該パケットの送信元アドレスに対応し
た復号化鍵を用いて復号化される。これにより、ネット
ワークに接続される所定のデータ送受信装置との通信
は、特定の限定されたデータ送受信装置のみ可能とな
り、その他のデータ送受信装置や該ネットワークに不法
に進入した第三者に対してはデータの機密が保持され
る。また、従来のデータ伝送ネットワークを構成するデ
ータ送受信装置などの装置から独立した装置によって暗
号化・復号化が行われる。
置から通信回線へ向けて伝送されるパケットが該パケッ
トの宛先アドレスに対応した暗号化鍵を用いて暗号化さ
れる一方、通信回線からデータ送受信装置へ向けて伝送
されるパケットが該パケットの送信元アドレスに対応し
た復号化鍵を用いて復号化される。これにより、ネット
ワークに接続される所定のデータ送受信装置との通信
は、特定の限定されたデータ送受信装置のみ可能とな
り、その他のデータ送受信装置や該ネットワークに不法
に進入した第三者に対してはデータの機密が保持され
る。また、従来のデータ伝送ネットワークを構成するデ
ータ送受信装置などの装置から独立した装置によって暗
号化・復号化が行われる。
【0013】請求項2記載の発明によれば、請求項1記
載の発明による作用に加え、パケットの暗号化の際に、
該パケットのアドレス情報に相当する部分が暗号化され
ずに平文のまま残り、データ伝送ネットワークを構成す
る交換・中継装置による前記アドレス情報に基づく交換
・中継動作が妨げられることなく、該ネットワーク内を
伝送されるデータの機密が保持される。
載の発明による作用に加え、パケットの暗号化の際に、
該パケットのアドレス情報に相当する部分が暗号化され
ずに平文のまま残り、データ伝送ネットワークを構成す
る交換・中継装置による前記アドレス情報に基づく交換
・中継動作が妨げられることなく、該ネットワーク内を
伝送されるデータの機密が保持される。
【0014】請求項3記載の発明によれば、請求項1記
載の発明による作用に加え、パケットの暗号化の際に、
暗号化した後のビット列に対してあらためて所定の計算
を施した誤り検査符号を該ビット列に付加して暗号化パ
ケットが構成され、データ伝送ネットワークを構成する
交換・中継装置やネットワーク管理装置による誤り検査
に関する動作が妨げられることなく、該ネットワーク内
を伝送されるデータの機密が保持される。
載の発明による作用に加え、パケットの暗号化の際に、
暗号化した後のビット列に対してあらためて所定の計算
を施した誤り検査符号を該ビット列に付加して暗号化パ
ケットが構成され、データ伝送ネットワークを構成する
交換・中継装置やネットワーク管理装置による誤り検査
に関する動作が妨げられることなく、該ネットワーク内
を伝送されるデータの機密が保持される。
【0015】
【実施例】以下、図面を参照して、この発明の実施例に
ついて説明する。図1はこの発明の一実施例によるデー
タ伝送ネットワークの構成を示すブロック図である。な
お、この図に示すデータ伝送ネットワークは、図4に示
した従来のデータ伝送ネットワークにこの実施例による
機密保持装置を適用したものである。また、図4に示し
たデータ伝送ネットワーク主部Bは、その網形態、交換
方式あるいは中継方式等として周知の方式を採用し、特
に限定されないものとする。
ついて説明する。図1はこの発明の一実施例によるデー
タ伝送ネットワークの構成を示すブロック図である。な
お、この図に示すデータ伝送ネットワークは、図4に示
した従来のデータ伝送ネットワークにこの実施例による
機密保持装置を適用したものである。また、図4に示し
たデータ伝送ネットワーク主部Bは、その網形態、交換
方式あるいは中継方式等として周知の方式を採用し、特
に限定されないものとする。
【0016】図1において、D0〜Dnは機密保持装置
であり、伝送データの暗号化および復号化を行う。ま
た、C′0〜C′nはデータ送受信装置A0〜Anと機
密保持装置D0〜Dnとの間のインターフェース、C″
0〜C″nは機密保持装置D0〜Dnとデータ伝送ネッ
トワーク主部Bとの間のインターフェースである。な
お、これらインターフェースC′0〜C′n,C″0〜
C″n は、図4に示したインターフェースC0〜Cn
と同様の構成になっている。
であり、伝送データの暗号化および復号化を行う。ま
た、C′0〜C′nはデータ送受信装置A0〜Anと機
密保持装置D0〜Dnとの間のインターフェース、C″
0〜C″nは機密保持装置D0〜Dnとデータ伝送ネッ
トワーク主部Bとの間のインターフェースである。な
お、これらインターフェースC′0〜C′n,C″0〜
C″n は、図4に示したインターフェースC0〜Cn
と同様の構成になっている。
【0017】さらに、図2はこの実施例による機密保持
装置Diの構成の詳細を示すブロックである。また、図
3はこの機密保持装置Diによって暗号化および復号化
されるパケットのデータフォーマットを示す図である。
以下、これらの図を参照し、機密保持装置Diによるパ
ケットの暗号化および復号化を詳細に説明する。
装置Diの構成の詳細を示すブロックである。また、図
3はこの機密保持装置Diによって暗号化および復号化
されるパケットのデータフォーマットを示す図である。
以下、これらの図を参照し、機密保持装置Diによるパ
ケットの暗号化および復号化を詳細に説明する。
【0018】まず、図3に示すように、パケット通信に
おいてデータ送受信装置Aiから送出されるパケット3
6は、一般にそのパケットの宛先および送信元のデータ
送受信装置Aj,Aiのアドレス情報を含むアドレス情
報部38、通信文であるデータフレーム39および当該
パケットの正当性を検査するための誤り検査符号部40
からなっている。データ伝送ネットワークを構成する図
示しない交換・中継装置は、アドレス情報部38に含ま
れるアドレス情報に従ってパケットの交換および中継動
作を行う。
おいてデータ送受信装置Aiから送出されるパケット3
6は、一般にそのパケットの宛先および送信元のデータ
送受信装置Aj,Aiのアドレス情報を含むアドレス情
報部38、通信文であるデータフレーム39および当該
パケットの正当性を検査するための誤り検査符号部40
からなっている。データ伝送ネットワークを構成する図
示しない交換・中継装置は、アドレス情報部38に含ま
れるアドレス情報に従ってパケットの交換および中継動
作を行う。
【0019】また、誤り検査符号部40は、アドレス情
報部38およびデータフレーム39のビット列に対して
所定の計算方法によって計算を施した結果を表すビット
列を含んでいる。当該パケットを受信した機器において
は、上記計算結果のビット列と、受信データに対し同様
の方法で計算した結果を表すビット列とを比較すること
により、当該パケットの正当性(すなわち、外乱等によ
りデータに誤りが生じたか否か)が検査される。なお、
上記誤り検査符号の計算には周知の方法を使用すること
とし、その説明を省略する。
報部38およびデータフレーム39のビット列に対して
所定の計算方法によって計算を施した結果を表すビット
列を含んでいる。当該パケットを受信した機器において
は、上記計算結果のビット列と、受信データに対し同様
の方法で計算した結果を表すビット列とを比較すること
により、当該パケットの正当性(すなわち、外乱等によ
りデータに誤りが生じたか否か)が検査される。なお、
上記誤り検査符号の計算には周知の方法を使用すること
とし、その説明を省略する。
【0020】また、誤り検査符号部40を用いたパケッ
トの正当性の検査は、必ずしも当該パケットの宛先アド
レスに一致するアドレスを有したデータ送受信装置のみ
で行われるだけでなく、データ伝送ネットワークを構成
する交換・中継装置あるいはネットワーク管理装置にお
いても行われる場合が多い。
トの正当性の検査は、必ずしも当該パケットの宛先アド
レスに一致するアドレスを有したデータ送受信装置のみ
で行われるだけでなく、データ伝送ネットワークを構成
する交換・中継装置あるいはネットワーク管理装置にお
いても行われる場合が多い。
【0021】さて、図2において、データ送受信装置A
iより送出された平文のパケット36のビット列は、イ
ンターフェースC′iの送信路5を介して機密保持装置
Diのラインレシーバ9によって受信される。このライ
ンレシーバ9は、送信路5および経路10間において信
号の整合をとるために設けられている。ラインレシーバ
9から出力されたビット列は、経路10を介して宛先ア
ドレス判読部11に入力される。宛先アドレス判読部1
1は、入力されたビット列より当該パケットのアドレス
情報部38に含まれる宛先アドレスに相当する部分を検
出し、この検出した宛先アドレスを経路12を介してア
ドレス−暗号・復号化鍵対応記憶部(以下、単に記憶部
と称する)13へ出力する。
iより送出された平文のパケット36のビット列は、イ
ンターフェースC′iの送信路5を介して機密保持装置
Diのラインレシーバ9によって受信される。このライ
ンレシーバ9は、送信路5および経路10間において信
号の整合をとるために設けられている。ラインレシーバ
9から出力されたビット列は、経路10を介して宛先ア
ドレス判読部11に入力される。宛先アドレス判読部1
1は、入力されたビット列より当該パケットのアドレス
情報部38に含まれる宛先アドレスに相当する部分を検
出し、この検出した宛先アドレスを経路12を介してア
ドレス−暗号・復号化鍵対応記憶部(以下、単に記憶部
と称する)13へ出力する。
【0022】この記憶部13は、宛先アドレスと暗号化
に用いる暗号化鍵との対応関係と、後述する復号化を行
う場合の送信元アドレスと復号化鍵との対応関係とを記
憶している。すなわち、この実施例による暗号化におい
ては、当該データ伝送ネットワークに接続される全ての
データ送受信装置A0〜Anに単一の暗号化・復号化鍵
を用意するのでなく、それぞれのデータ送受信装置に応
じて複数の暗号化・復号化鍵を用意している。ただし、
データ送受信装置と暗号化・復号化鍵とが必ずしも1対
1の関係で割り当てられるものではない。記憶部13
は、宛先アドレス判読部11から宛先アドレスが供給さ
れると、このアドレスに対応した暗号化鍵を経路14を
介して暗号化鍵処理部15へ出力する。
に用いる暗号化鍵との対応関係と、後述する復号化を行
う場合の送信元アドレスと復号化鍵との対応関係とを記
憶している。すなわち、この実施例による暗号化におい
ては、当該データ伝送ネットワークに接続される全ての
データ送受信装置A0〜Anに単一の暗号化・復号化鍵
を用意するのでなく、それぞれのデータ送受信装置に応
じて複数の暗号化・復号化鍵を用意している。ただし、
データ送受信装置と暗号化・復号化鍵とが必ずしも1対
1の関係で割り当てられるものではない。記憶部13
は、宛先アドレス判読部11から宛先アドレスが供給さ
れると、このアドレスに対応した暗号化鍵を経路14を
介して暗号化鍵処理部15へ出力する。
【0023】暗号化鍵処理部15は、記憶部13から供
給された暗号化鍵に対して所定の計算方法による計算を
施し、後のデータ暗号化処理に使用するビット列を生成
する。そして、このビット列を経路16を介してデータ
暗号化処理部17へ出力する。データ暗号化処理部17
は、データ暗号化に使用するビット列が入力されると、
このビット列を用いて、経路10を介して入力される平
文のパケットのビット列に対して所定のアルゴリズムに
従った暗号化処理を施す。ただし、平文のパケット36
の内、暗号化の対象となるのは、データフレーム39お
よび誤り検査符号部40に含まれるビット列であり、ア
ドレス情報部38に対して暗号化は施されない。なお、
暗号化のアルゴリズムについては、周知のものを使用す
ることとし、その説明を省略する。
給された暗号化鍵に対して所定の計算方法による計算を
施し、後のデータ暗号化処理に使用するビット列を生成
する。そして、このビット列を経路16を介してデータ
暗号化処理部17へ出力する。データ暗号化処理部17
は、データ暗号化に使用するビット列が入力されると、
このビット列を用いて、経路10を介して入力される平
文のパケットのビット列に対して所定のアルゴリズムに
従った暗号化処理を施す。ただし、平文のパケット36
の内、暗号化の対象となるのは、データフレーム39お
よび誤り検査符号部40に含まれるビット列であり、ア
ドレス情報部38に対して暗号化は施されない。なお、
暗号化のアルゴリズムについては、周知のものを使用す
ることとし、その説明を省略する。
【0024】また、パケットのビット列は、データ暗号
化処理部17から出力される時点で暗号化が施されてい
るため、パケットの誤り検査符号部40に相当する部分
のビット列はもはや当該パケットの正当性の検査に使用
することができない。したがって、機密保持装置Diで
は、データ暗号化処理部17から出力されるビット列に
対してあらためて誤り検査符号のビット列を生成するた
めの計算を行い、この結果得られるビット列を暗号化処
理部17から出力されるビット列に付加する。
化処理部17から出力される時点で暗号化が施されてい
るため、パケットの誤り検査符号部40に相当する部分
のビット列はもはや当該パケットの正当性の検査に使用
することができない。したがって、機密保持装置Diで
は、データ暗号化処理部17から出力されるビット列に
対してあらためて誤り検査符号のビット列を生成するた
めの計算を行い、この結果得られるビット列を暗号化処
理部17から出力されるビット列に付加する。
【0025】すなわち、誤り検査符号計算部19が、経
路18を介して入力されるビット列に対して誤り検査符
号のビット列を生成するための計算を行い、さらに誤り
検査符号付加部21にて、経路18を介して入力される
ビット列の最後尾に、経路20を介して入力される誤り
検査符号のビット列を付加し、最終的に暗号化されたパ
ケットのビット列が生成される。この暗号化されたパケ
ットのビット列は、経路22を介してラインドライバ2
3に入力され、ラインドライバ23よりインターフェー
スC″iの送信路7に出力される。
路18を介して入力されるビット列に対して誤り検査符
号のビット列を生成するための計算を行い、さらに誤り
検査符号付加部21にて、経路18を介して入力される
ビット列の最後尾に、経路20を介して入力される誤り
検査符号のビット列を付加し、最終的に暗号化されたパ
ケットのビット列が生成される。この暗号化されたパケ
ットのビット列は、経路22を介してラインドライバ2
3に入力され、ラインドライバ23よりインターフェー
スC″iの送信路7に出力される。
【0026】こうして、データ送受信装置Aiから送出
された平文のパケット36は、図3に示すように暗号化
されたパケット37に変換される。同図において、41
は暗号化されたパケット37のアドレス情報部であり、
平文のパケット36のアドレス情報部38と同一のビッ
ト列である。また、暗号部42は、平文のパケット36
のデータフレーム39および誤り検査符号部40を暗号
化したビット列である。さらに、誤り検査符号部43
は、アドレス情報部41および暗号部42のビット列に
対してあらためて所定の計算を施して得られた誤り検査
符号のビット列である。
された平文のパケット36は、図3に示すように暗号化
されたパケット37に変換される。同図において、41
は暗号化されたパケット37のアドレス情報部であり、
平文のパケット36のアドレス情報部38と同一のビッ
ト列である。また、暗号部42は、平文のパケット36
のデータフレーム39および誤り検査符号部40を暗号
化したビット列である。さらに、誤り検査符号部43
は、アドレス情報部41および暗号部42のビット列に
対してあらためて所定の計算を施して得られた誤り検査
符号のビット列である。
【0027】このように、暗号化されたパケット37
は、データ伝送ネットワークを伝送されるパケットとし
て正当なアドレス情報部を有し、かつ正当な誤り検査符
号部を有することになる。したがって、暗号化されたパ
ケット37は、当該データ伝送ネットワークを構成する
従来の交換・中継装置によって正常に交換および中継さ
れ、また当該データ伝送ネットワークを管理するネット
ワーク管理装置によって正常に管理されることになる。
は、データ伝送ネットワークを伝送されるパケットとし
て正当なアドレス情報部を有し、かつ正当な誤り検査符
号部を有することになる。したがって、暗号化されたパ
ケット37は、当該データ伝送ネットワークを構成する
従来の交換・中継装置によって正常に交換および中継さ
れ、また当該データ伝送ネットワークを管理するネット
ワーク管理装置によって正常に管理されることになる。
【0028】次に、再び図2に戻り、機密保持装置Di
によるパケットの復号化について説明する。同図におい
て、暗号化されたパケット37のビット列は、データ伝
送ネットワーク主部B(図示略)による交換および中継
動作を経た後、宛先アドレスに該当するインターフェー
スC″の受信路8を介し、機密保持装置Diのラインレ
シーバ24によって受信される。
によるパケットの復号化について説明する。同図におい
て、暗号化されたパケット37のビット列は、データ伝
送ネットワーク主部B(図示略)による交換および中継
動作を経た後、宛先アドレスに該当するインターフェー
スC″の受信路8を介し、機密保持装置Diのラインレ
シーバ24によって受信される。
【0029】このラインレシーバ24は受信路8および
経路25間において信号の整合をとるために設けられて
いる。ラインレシーバ24から出力されたビット列は、
経路25を介して送信元アドレス判読部26に入力され
る。送信元アドレス判読部26は、入力されたビット列
から当該パケットのアドレス情報部41に含まれる送信
元アドレスに相当する部分を検出し、この送信元アドレ
スを経路27を介して記憶部13に出力する。
経路25間において信号の整合をとるために設けられて
いる。ラインレシーバ24から出力されたビット列は、
経路25を介して送信元アドレス判読部26に入力され
る。送信元アドレス判読部26は、入力されたビット列
から当該パケットのアドレス情報部41に含まれる送信
元アドレスに相当する部分を検出し、この送信元アドレ
スを経路27を介して記憶部13に出力する。
【0030】記憶部13は、このアドレスに対応した復
号化鍵を経路28を介して復号化鍵処理部29へ出力す
る。このとき、当該パケット37を暗号化する際に使用
された暗号化鍵に対応する復号化鍵を復号化鍵処理部2
9へ供給すれば、以後の復号処理が正常に行われるが、
あえてこれと異なる復号化鍵を供給すれば、以後の復号
化処理は正常に行われなくなる。すなわち、記憶部13
に記憶された暗号化鍵と復号化鍵との対応関係を適当に
操作することにより、各データ送受信装置が、それぞれ
に対応する機密保持装置にプログラムされた特定のデー
タ送受信装置群としか通信できなくなるよう設定するこ
とが可能になる。
号化鍵を経路28を介して復号化鍵処理部29へ出力す
る。このとき、当該パケット37を暗号化する際に使用
された暗号化鍵に対応する復号化鍵を復号化鍵処理部2
9へ供給すれば、以後の復号処理が正常に行われるが、
あえてこれと異なる復号化鍵を供給すれば、以後の復号
化処理は正常に行われなくなる。すなわち、記憶部13
に記憶された暗号化鍵と復号化鍵との対応関係を適当に
操作することにより、各データ送受信装置が、それぞれ
に対応する機密保持装置にプログラムされた特定のデー
タ送受信装置群としか通信できなくなるよう設定するこ
とが可能になる。
【0031】さて、復号化鍵を受け取った復号化鍵処理
部29は、復号化鍵に対して所定の計算方法に従って処
理を施し、後のデータ復号化処理に使用するビット列を
生成する。そして、このビット列を経路30を介してデ
ータ復号化処理部31へ出力する。データ復号化に使用
するビット列を得たデータ復号化処理部31は、このビ
ット列を用いて、経路25を介して入力される暗号化さ
れたパケット37のビット列に対して所定のアルゴリズ
ムに従った復合化処理を施す。この復号化されたパケッ
トのビット列は、経路32を介して誤り検査符号除去部
33に入力される。
部29は、復号化鍵に対して所定の計算方法に従って処
理を施し、後のデータ復号化処理に使用するビット列を
生成する。そして、このビット列を経路30を介してデ
ータ復号化処理部31へ出力する。データ復号化に使用
するビット列を得たデータ復号化処理部31は、このビ
ット列を用いて、経路25を介して入力される暗号化さ
れたパケット37のビット列に対して所定のアルゴリズ
ムに従った復合化処理を施す。この復号化されたパケッ
トのビット列は、経路32を介して誤り検査符号除去部
33に入力される。
【0032】誤り検査符号除去部33は、暗号化された
パケット37に暗号化の際に付加された誤り検査符号4
3を除去し、完全に復号されたパケットのビット列を生
成する。この復号化されたパケットのビット列は、経路
34を介してラインドライバ35に入力され、このライ
ンドライバ35よりインターフェースC′の受信路6へ
送出される。
パケット37に暗号化の際に付加された誤り検査符号4
3を除去し、完全に復号されたパケットのビット列を生
成する。この復号化されたパケットのビット列は、経路
34を介してラインドライバ35に入力され、このライ
ンドライバ35よりインターフェースC′の受信路6へ
送出される。
【0033】こうして、暗号化されたパケット37は機
密保持装置Diにて復号化され、データ送受信装置Ai
へ供給される。これにより、データ送受信装置Aiは、
従来と同様の方法によって当該パケットの処理を行うこ
とができる。
密保持装置Diにて復号化され、データ送受信装置Ai
へ供給される。これにより、データ送受信装置Aiは、
従来と同様の方法によって当該パケットの処理を行うこ
とができる。
【0034】このように、本実施例によれば、データ伝
送ネットワークを構成している従来のデータ送受信装
置、交換・中継装置、ネットワーク管理装置等のネット
ワーク構成機器について、そのハードウェアあるいはソ
フトウェアに何ら変更を加えることなく、当該データ伝
送ネットワーク内のパケットの暗号化が実現され、暗号
化の方法(暗号化鍵)を知り得ない第三者による暗号化
パケットの解読、生成は不可能となり、当該データ伝送
ネットワークの盗聴もしくは不法な侵入に対する耐性を
格段に向上させるとができる。
送ネットワークを構成している従来のデータ送受信装
置、交換・中継装置、ネットワーク管理装置等のネット
ワーク構成機器について、そのハードウェアあるいはソ
フトウェアに何ら変更を加えることなく、当該データ伝
送ネットワーク内のパケットの暗号化が実現され、暗号
化の方法(暗号化鍵)を知り得ない第三者による暗号化
パケットの解読、生成は不可能となり、当該データ伝送
ネットワークの盗聴もしくは不法な侵入に対する耐性を
格段に向上させるとができる。
【0035】
【発明の効果】以上説明したように、請求項1記載の発
明によれば、暗号化鍵、復号化鍵を知り得ない第三者に
よる盗聴、もしくはネットワークへの侵入を不能にする
ことができるという効果が得られる。また、該ネットワ
ークに接続されるデータ送受信装置が通信可能な相手の
データ送受信装置を特定のものに限定することができ、
その他のデータ送受信装置がパケットを仮に受信しても
これを判読できなくするという効果が得られる。さら
に、機密保持装置とデータ送受信装置との間の通信は従
来の平文のパケットで行われるので、従来のデータ送受
信装置に何ら変更を加えることなく、ネットワーク内を
伝送されるデータの機密を保持することができるという
効果が得られる。
明によれば、暗号化鍵、復号化鍵を知り得ない第三者に
よる盗聴、もしくはネットワークへの侵入を不能にする
ことができるという効果が得られる。また、該ネットワ
ークに接続されるデータ送受信装置が通信可能な相手の
データ送受信装置を特定のものに限定することができ、
その他のデータ送受信装置がパケットを仮に受信しても
これを判読できなくするという効果が得られる。さら
に、機密保持装置とデータ送受信装置との間の通信は従
来の平文のパケットで行われるので、従来のデータ送受
信装置に何ら変更を加えることなく、ネットワーク内を
伝送されるデータの機密を保持することができるという
効果が得られる。
【0036】また、請求項2記載の発明によれば、請求
項1記載の発明による効果に加え、データ伝送ネットワ
ークを構成する従来の交換・中継装置によるアドレス情
報に基づく交換・中継動作を妨げることなく、該ネット
ワーク内を伝送されるデータの機密を保持することがで
きるので、機密保持装置を従来のデータ伝送ネットワー
クに容易に適用することができるという効果が得られ
る。
項1記載の発明による効果に加え、データ伝送ネットワ
ークを構成する従来の交換・中継装置によるアドレス情
報に基づく交換・中継動作を妨げることなく、該ネット
ワーク内を伝送されるデータの機密を保持することがで
きるので、機密保持装置を従来のデータ伝送ネットワー
クに容易に適用することができるという効果が得られ
る。
【0037】また、請求項3記載の発明によれば、請求
項1記載の発明による効果に加え、暗号化した後のビッ
ト列にあらためて所定の計算を施した誤り検査符号を付
加して暗号化パケットを構成することにより、該ネット
ワークを構成する交換・中継装置あるいはネットワーク
管理装置による誤り検査に関する動作を妨げることな
く、該ネットワーク内を伝送されるデータの機密を保持
することができるので、機密保持装置を従来のデータ伝
送ネットワークに容易に適用することができるという効
果が得られる。
項1記載の発明による効果に加え、暗号化した後のビッ
ト列にあらためて所定の計算を施した誤り検査符号を付
加して暗号化パケットを構成することにより、該ネット
ワークを構成する交換・中継装置あるいはネットワーク
管理装置による誤り検査に関する動作を妨げることな
く、該ネットワーク内を伝送されるデータの機密を保持
することができるので、機密保持装置を従来のデータ伝
送ネットワークに容易に適用することができるという効
果が得られる。
【図1】この発明の一実施例によるデータ伝送ネットワ
ークの構成を示すブロック図である。
ークの構成を示すブロック図である。
【図2】同実施例による機密保持装置の構成の詳細を示
すブロック図である。
すブロック図である。
【図3】同機密保持装置によって暗号化および復号化さ
れるパケットのデータフォーマットを示す図である。
れるパケットのデータフォーマットを示す図である。
【図4】複数のデータ送受信装置間で平文のままパケッ
ト通信を行う従来のデータ伝送ネットワークの構成を示
すブロック図である。
ト通信を行う従来のデータ伝送ネットワークの構成を示
すブロック図である。
5,7 送信路 6,8 受信路 9,24 ラインレシーバ 10,12,14,16,18,20,22,25,27,28,
30,32,34 経路 11 宛先アドレス判読部 13 アドレス−暗号・復号化鍵対応記憶部 15 暗号化鍵処理部 17 データ暗号化処理部 19 誤り検査符号計算部 21 誤り検査符号付加部 26 送信元アドレス判読部 29 復号化鍵処理部 31 データ復号化処理部 33 誤り検査符号除去部 23,35 ラインドライバ 36 平文のパケット 37 暗号化されたパケット 38,41 平文のアドレス情報部 39 平文のデータフレーム 40 誤り検査符号部 42 暗号部 43 暗号化時に付加される誤り検査符号部 A0〜An データ送受信装置 B データ伝送ネットワーク主部 C0〜Cn,C′0〜C′n,C″0〜C″n インター
フェース
30,32,34 経路 11 宛先アドレス判読部 13 アドレス−暗号・復号化鍵対応記憶部 15 暗号化鍵処理部 17 データ暗号化処理部 19 誤り検査符号計算部 21 誤り検査符号付加部 26 送信元アドレス判読部 29 復号化鍵処理部 31 データ復号化処理部 33 誤り検査符号除去部 23,35 ラインドライバ 36 平文のパケット 37 暗号化されたパケット 38,41 平文のアドレス情報部 39 平文のデータフレーム 40 誤り検査符号部 42 暗号部 43 暗号化時に付加される誤り検査符号部 A0〜An データ送受信装置 B データ伝送ネットワーク主部 C0〜Cn,C′0〜C′n,C″0〜C″n インター
フェース
Claims (3)
- 【請求項1】 複数のデータ送受信装置間でパケット通
信を行うデータ伝送ネットワークにおいて、 前記データ送受信装置と前記ネットワークの通信回線と
の間に接続され、 前記データ送受信装置から前記通信回線へ向けて伝送さ
れるパケットを該パケットの宛先アドレスに対応した暗
号化鍵を用いて暗号化する手段と、 前記通信回線から前記データ送受信装置へ向けて伝送さ
れるパケットを該パケットの送信元アドレスに対応した
復号化鍵を用いて復号化する手段とを具備することを特
徴とする機密保持装置。 - 【請求項2】 請求項1記載の機密保持装置においてパ
ケットを暗号化する際に、該パケットのアドレス情報に
相当する部分を暗号化せずに平文のまま残すことによ
り、該ネットワークを構成する交換・中継装置による前
記アドレス情報に基づく交換・中継動作を妨げることな
く、該ネットワーク内を伝送されるデータの機密を保持
する方法。 - 【請求項3】 請求項1記載の機密保持装置においてパ
ケットを暗号化する際に、暗号化した後のビット列に対
してあらためて所定の計算を施した誤り検査符号を該ビ
ット列に付加して暗号化パケットを構成することによ
り、該ネットワークを構成する交換・中継装置やネット
ワーク管理装置による誤り検査に関する動作を妨げるこ
となく、該ネットワーク内を伝送されるデータの機密を
保持する方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5003625A JPH06209313A (ja) | 1993-01-12 | 1993-01-12 | 機密保持装置およびその方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5003625A JPH06209313A (ja) | 1993-01-12 | 1993-01-12 | 機密保持装置およびその方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06209313A true JPH06209313A (ja) | 1994-07-26 |
Family
ID=11562682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5003625A Pending JPH06209313A (ja) | 1993-01-12 | 1993-01-12 | 機密保持装置およびその方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06209313A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0993240A (ja) * | 1995-09-28 | 1997-04-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報通信システム及び情報通信方法 |
| JPH1188403A (ja) * | 1997-09-08 | 1999-03-30 | Toshiba Corp | 移動計算機装置、中継装置及びデータ転送方法 |
| KR20020026992A (ko) * | 2000-10-04 | 2002-04-13 | 김종욱 | 혼신방지 및 비화기능을 갖는 전화시스템 제어방법 |
| KR100431956B1 (ko) * | 1997-06-12 | 2004-07-16 | 브이피이네트 테크놀로지스 인코포레이티드 | 가상 사설망용 아키텍쳐 |
| KR100458954B1 (ko) * | 2002-03-21 | 2004-12-03 | (주)애트리움씨앤아이 | 데이터 암호화 전송 방법 |
| KR100472739B1 (ko) * | 1997-06-12 | 2005-07-21 | 브이피이네트 테크놀로지스 인코포레이티드 | 가상사설망용아키텍쳐 |
| JP2012160800A (ja) * | 2011-01-31 | 2012-08-23 | Konica Minolta Business Technologies Inc | 情報処理装置および情報処理方法 |
-
1993
- 1993-01-12 JP JP5003625A patent/JPH06209313A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0993240A (ja) * | 1995-09-28 | 1997-04-04 | Nippon Telegr & Teleph Corp <Ntt> | 情報通信システム及び情報通信方法 |
| KR100431956B1 (ko) * | 1997-06-12 | 2004-07-16 | 브이피이네트 테크놀로지스 인코포레이티드 | 가상 사설망용 아키텍쳐 |
| KR100472739B1 (ko) * | 1997-06-12 | 2005-07-21 | 브이피이네트 테크놀로지스 인코포레이티드 | 가상사설망용아키텍쳐 |
| JPH1188403A (ja) * | 1997-09-08 | 1999-03-30 | Toshiba Corp | 移動計算機装置、中継装置及びデータ転送方法 |
| KR20020026992A (ko) * | 2000-10-04 | 2002-04-13 | 김종욱 | 혼신방지 및 비화기능을 갖는 전화시스템 제어방법 |
| KR100458954B1 (ko) * | 2002-03-21 | 2004-12-03 | (주)애트리움씨앤아이 | 데이터 암호화 전송 방법 |
| JP2012160800A (ja) * | 2011-01-31 | 2012-08-23 | Konica Minolta Business Technologies Inc | 情報処理装置および情報処理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8687800B2 (en) | Encryption method for message authentication | |
| KR100372495B1 (ko) | 데이터 통신 시스템에서 데이터 세트를 안전하게 전송하는 방법 및 시스템 | |
| US5345508A (en) | Method and apparatus for variable-overhead cached encryption | |
| US6289451B1 (en) | System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection | |
| US6347143B1 (en) | Cryptographic device with encryption blocks connected parallel | |
| US7817802B2 (en) | Cryptographic key management in a communication network | |
| US6697490B1 (en) | Automatic resynchronization of crypto-sync information | |
| EA010611B1 (ru) | Способ (варианты) и устройство для криптографической обработки данных (варианты) | |
| WO2001045317A3 (en) | Methods and apparatus for selective encryption and decryption of point to multi-point messages | |
| KR101608815B1 (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
| JPH05500298A (ja) | 暗号化装置 | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| AU2006221272A1 (en) | Data processing apparatus | |
| US20100005307A1 (en) | Secure approach to send data from one system to another | |
| WO2004086672A1 (ja) | 暗号化および復号のための装置、方法、プログラム並びに記録媒体 | |
| JPH04297157A (ja) | データ暗号装置 | |
| JP2000115162A (ja) | セキュア通信装置及び記憶装置 | |
| JPH10107832A (ja) | 暗号同報メールシステム | |
| US20020116606A1 (en) | Encryption and decryption system for multiple node network | |
| JPH06209313A (ja) | 機密保持装置およびその方法 | |
| KR20060011999A (ko) | Des 알고리즘에 의거한 암호화 기법 | |
| JP2008147926A (ja) | 暗号化装置および復号化装置および方法 | |
| KR20060120127A (ko) | 정보의 암호화 송수신방법 | |
| JP2000349748A (ja) | 秘密情報共有方法 | |
| JP3164347B2 (ja) | Icタグ |