JPH09252315A - 暗号通信システムおよび暗号装置 - Google Patents
暗号通信システムおよび暗号装置Info
- Publication number
- JPH09252315A JPH09252315A JP8057738A JP5773896A JPH09252315A JP H09252315 A JPH09252315 A JP H09252315A JP 8057738 A JP8057738 A JP 8057738A JP 5773896 A JP5773896 A JP 5773896A JP H09252315 A JPH09252315 A JP H09252315A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- data
- data processing
- communication
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ルータを介して暗号通信が行える暗号装置を
提供する。 【解決手段】 暗号装置は、パケットに含まれる通信元
および通信相手のアドレスを除いてパケットを暗号処理
し、ルータは、暗号化していない通信元および通信相手
のアドレスを基に中継する。
提供する。 【解決手段】 暗号装置は、パケットに含まれる通信元
および通信相手のアドレスを除いてパケットを暗号処理
し、ルータは、暗号化していない通信元および通信相手
のアドレスを基に中継する。
Description
【0001】
【発明の属する技術分野】この発明は、通信網における
暗号通信に関するものである。
暗号通信に関するものである。
【0002】
【従来の技術】従来より暗号方式には秘密鍵暗号と呼ば
れるものがあり、例えば64ビットの鍵を用いたANSI
(アメリカ規格協会)の標準であるDES(Data Encryptio
n Standard)方式や日本電信電話株式会社の登録商標で
あるFEAL(Fast data EnciphermentALgorithm)などがあ
る。また、通信網における暗号通信に関する暗号装置や
暗号通信方式として、宛先の端末に対応した鍵を用いた
暗号通信について、特開昭61-81044、特開平4-86041、
特開平4-297155、特開平4-326222、特開平5−2441
53などの数多くの例が考案されている。図17は例え
ば特開平4−297155号公報に示された暗号装置の
従来例を示す構成図である。図17において、1は端
末、3は暗号装置、702はアドレス情報を保持するア
ドレス保持部、703は第1分岐合成回路、704は変
調復調器、705は第2分岐合成回路、707はトラン
シーバ、91aは通信網である。
れるものがあり、例えば64ビットの鍵を用いたANSI
(アメリカ規格協会)の標準であるDES(Data Encryptio
n Standard)方式や日本電信電話株式会社の登録商標で
あるFEAL(Fast data EnciphermentALgorithm)などがあ
る。また、通信網における暗号通信に関する暗号装置や
暗号通信方式として、宛先の端末に対応した鍵を用いた
暗号通信について、特開昭61-81044、特開平4-86041、
特開平4-297155、特開平4-326222、特開平5−2441
53などの数多くの例が考案されている。図17は例え
ば特開平4−297155号公報に示された暗号装置の
従来例を示す構成図である。図17において、1は端
末、3は暗号装置、702はアドレス情報を保持するア
ドレス保持部、703は第1分岐合成回路、704は変
調復調器、705は第2分岐合成回路、707はトラン
シーバ、91aは通信網である。
【0003】次に動作について説明する。図18、図1
9は従来の暗号装置の処理手順を示す図である。端末1
から暗号化の対象となるパケットの宛先アドレスとその
暗号系列を表す暗号鍵をアドレス保持部702に送り、
アドレス保持部702がその宛先アドレスと暗号鍵を対
応させてメモリに保持することによって初期設定を行
う。
9は従来の暗号装置の処理手順を示す図である。端末1
から暗号化の対象となるパケットの宛先アドレスとその
暗号系列を表す暗号鍵をアドレス保持部702に送り、
アドレス保持部702がその宛先アドレスと暗号鍵を対
応させてメモリに保持することによって初期設定を行
う。
【0004】図18は装置の処理手順を示し、ステップ
714で端末1が暗号装置3にパケットを送る。ステッ
プ715で、暗号装置3の第1分岐合成回路703がア
ドレス保持部702にそのパケットの宛先が保持されて
いるか参照し、ステップ716で、宛先アドレスが保持
されているならば、ステップ717に進み、第1分岐合
成回路703がパケットを変調復調器704に送る。ス
テップ735で変調復調器704がアドレス保持部70
2からパケットの宛先アドレスの暗号鍵を受け取り、ス
テップ736で、変調復調器704が暗号鍵に従ってパ
ケットを暗号化し、ステップ719で、変調復調器70
4がそのパケットを第2分岐合成回路705に送りステ
ップ721に進む。ステップ716で、アドレス保持部
702に宛先アドレスが保持されていなければステップ
720に進み、第1分岐合成回路703がパケットを第
2分岐構成回路705に送る。次に、ステップ721
で、第2分岐合成回路705がパケットを通信網91a
に送る。
714で端末1が暗号装置3にパケットを送る。ステッ
プ715で、暗号装置3の第1分岐合成回路703がア
ドレス保持部702にそのパケットの宛先が保持されて
いるか参照し、ステップ716で、宛先アドレスが保持
されているならば、ステップ717に進み、第1分岐合
成回路703がパケットを変調復調器704に送る。ス
テップ735で変調復調器704がアドレス保持部70
2からパケットの宛先アドレスの暗号鍵を受け取り、ス
テップ736で、変調復調器704が暗号鍵に従ってパ
ケットを暗号化し、ステップ719で、変調復調器70
4がそのパケットを第2分岐合成回路705に送りステ
ップ721に進む。ステップ716で、アドレス保持部
702に宛先アドレスが保持されていなければステップ
720に進み、第1分岐合成回路703がパケットを第
2分岐構成回路705に送る。次に、ステップ721
で、第2分岐合成回路705がパケットを通信網91a
に送る。
【0005】図19は受信の処理手順を示し、ステップ
724で、通信網91aから暗号装置3にパケットを送
られ、ステップ725で、暗号装置3の第2分岐合成回
路705がアドレス保持部702にパケットの送信元ア
ドレスが保持されているか参照し、ステップ726で、
送信元アドレスが保持されているならば、ステップ72
7に進み、第2分岐合成回路705がパケットを変調復
調器704に送り、ステップ735で変調復調器704
がアドレス保持部702からパケットの送信元アドレス
の暗号鍵を受け取り、ステップ737で、暗号鍵に従っ
て暗号を復号し、ステップ729で、復号されたパケッ
トを第1分岐合成回路703に送り、ステップ731に
進む。ステップ726で、アドレス保持部702に送信
元アドレスが保持されていなければ730に進み、第2
分岐合成回路705がパケットを第1分岐合成回路70
3に送り、ステップ731で、第1分岐合成回路703
がパケットを端末1に送る。
724で、通信網91aから暗号装置3にパケットを送
られ、ステップ725で、暗号装置3の第2分岐合成回
路705がアドレス保持部702にパケットの送信元ア
ドレスが保持されているか参照し、ステップ726で、
送信元アドレスが保持されているならば、ステップ72
7に進み、第2分岐合成回路705がパケットを変調復
調器704に送り、ステップ735で変調復調器704
がアドレス保持部702からパケットの送信元アドレス
の暗号鍵を受け取り、ステップ737で、暗号鍵に従っ
て暗号を復号し、ステップ729で、復号されたパケッ
トを第1分岐合成回路703に送り、ステップ731に
進む。ステップ726で、アドレス保持部702に送信
元アドレスが保持されていなければ730に進み、第2
分岐合成回路705がパケットを第1分岐合成回路70
3に送り、ステップ731で、第1分岐合成回路703
がパケットを端末1に送る。
【0006】通信網91aに接続された複数の端末1間
の通信で、暗号装置3のパケット送受信において共通の
暗号鍵を用いて前記暗号化・復号を行うことにより暗号
閉域通信が可能となる。
の通信で、暗号装置3のパケット送受信において共通の
暗号鍵を用いて前記暗号化・復号を行うことにより暗号
閉域通信が可能となる。
【0007】
【発明が解決しようとする課題】従来の暗号装置は、以
上のように同一ネットワーク上での暗号通信を実現する
ために通信相手対応に暗号化するので、パケットを中継
するルータを介して接続された端末間で暗号通信を行う
場合は、ルータが使用するフィールドや、ルータが応答
すべきパケットまで暗号化されるためルータが正常に解
釈できずに暗号通信ができなかった。
上のように同一ネットワーク上での暗号通信を実現する
ために通信相手対応に暗号化するので、パケットを中継
するルータを介して接続された端末間で暗号通信を行う
場合は、ルータが使用するフィールドや、ルータが応答
すべきパケットまで暗号化されるためルータが正常に解
釈できずに暗号通信ができなかった。
【0008】また、ルータにファイアウォール機能があ
る場合は、中継データの特定フィールドを参照して通信
の可否を判断するため、特定フィールドが暗号化されて
いると通信の可否が正常に行えずに暗号通信ができなか
った。また、暗号装置を設置しても、特定の通信は暗号
化せずに平文のまま転送(透過処理)したり、廃棄(廃
棄処理)したりすることが望まれていた。
る場合は、中継データの特定フィールドを参照して通信
の可否を判断するため、特定フィールドが暗号化されて
いると通信の可否が正常に行えずに暗号通信ができなか
った。また、暗号装置を設置しても、特定の通信は暗号
化せずに平文のまま転送(透過処理)したり、廃棄(廃
棄処理)したりすることが望まれていた。
【0009】この発明は前記のような問題点を解消する
ためになされたもので、第一の目的は、ルータを介して
暗号通信が行える暗号装置を得ることを目的とする。
ためになされたもので、第一の目的は、ルータを介して
暗号通信が行える暗号装置を得ることを目的とする。
【0010】第二の目的は、不正侵入を防止するファイ
アウォール機能を有するルータを介して暗号通信が行え
る暗号装置を得ることを目的とする。
アウォール機能を有するルータを介して暗号通信が行え
る暗号装置を得ることを目的とする。
【0011】第三の目的は、階層化されたデータの種別
対応に暗号化、透過、廃棄を指定できる暗号装置を得る
ことを目的とする。
対応に暗号化、透過、廃棄を指定できる暗号装置を得る
ことを目的とする。
【0012】
【課題を解決するための手段】第一の発明に係わる暗号
通信システムは、端末を暗号装置を介して構内通信網に
接続し、構内通信網間をルータが中継接続する暗号通信
システムにおいて、第1の暗号装置は、端末から受信し
たパケットを入力する入力手段と、入力したパケットに
含まれる通信元および通信相手のアドレスを除いてパケ
ットを暗号化する暗号手段と、暗号化したパケットを第
1の構内通信網に送出する送出手段とを有し、ルータ
は、第1の構内通信網から受信したパケットを入力する
入力手段と、入力したパケットに含まれる通信元および
通信相手のアドレスをもとに第2の構内通信網にパケッ
トを中継する中継手段とを有し、第2の暗号装置は、第
2の構内通信網から受信したパケットを入力する入力手
段と、入力したパケットに含まれる通信元および通信相
手のアドレスを除いてパケットを復号する復号手段と、
復号したパケットを端末に送出する送出手段とを有する
ものである。
通信システムは、端末を暗号装置を介して構内通信網に
接続し、構内通信網間をルータが中継接続する暗号通信
システムにおいて、第1の暗号装置は、端末から受信し
たパケットを入力する入力手段と、入力したパケットに
含まれる通信元および通信相手のアドレスを除いてパケ
ットを暗号化する暗号手段と、暗号化したパケットを第
1の構内通信網に送出する送出手段とを有し、ルータ
は、第1の構内通信網から受信したパケットを入力する
入力手段と、入力したパケットに含まれる通信元および
通信相手のアドレスをもとに第2の構内通信網にパケッ
トを中継する中継手段とを有し、第2の暗号装置は、第
2の構内通信網から受信したパケットを入力する入力手
段と、入力したパケットに含まれる通信元および通信相
手のアドレスを除いてパケットを復号する復号手段と、
復号したパケットを端末に送出する送出手段とを有する
ものである。
【0013】第二の発明に係わる暗号通信システムは、
第1の暗号装置の暗号手段が、入力したパケットに含ま
れる通信元および通信相手のアドレスと不正侵入をチェ
ックする不正侵入フィールドを除いてパケットを暗号化
し、ルータの中継手段が、入力したパケットに含まれる
通信元および通信相手のアドレスと不正侵入フィールド
のチェック結果とに基づいてパケットを中継し、第2の
暗号装置の復号手段が不正侵入フィールドを除いてパケ
ットを復号するものである。
第1の暗号装置の暗号手段が、入力したパケットに含ま
れる通信元および通信相手のアドレスと不正侵入をチェ
ックする不正侵入フィールドを除いてパケットを暗号化
し、ルータの中継手段が、入力したパケットに含まれる
通信元および通信相手のアドレスと不正侵入フィールド
のチェック結果とに基づいてパケットを中継し、第2の
暗号装置の復号手段が不正侵入フィールドを除いてパケ
ットを復号するものである。
【0014】第三の発明に係わる暗号装置は、パケット
を入力する入力手段と、入力したパケットの所定フィー
ルドを暗号処理する暗号処理手段と、入力したパケット
を廃棄する廃棄処理手段と、入力したパケットになにも
処理せず出力する透過処理手段と、データ種別とデータ
処理種別の対応を記憶するデータ処理種別テーブルを指
すポインタ手段と、入力したパケットに含まれる各階層
のデータ種別対応に、暗号処理手段、廃棄処理手段、透
過処理手段、ポインタ手段のいずれの手段でパケットを
処理するかをデータ処理種別テーブルに登録するデータ
処理種別登録手段と、入力したパケットに含まれる各階
層のデータ種別に対応してデータ処理種別テーブルに登
録されているデータ処理種別が、ポインタ手段ならその
ポインタ手段が指すデータ処理種別テーブルに基づいて
入力したパケットを処理し、ポインタ手段以外ならデー
タ処理種別登録手段が登録したデータ処理種別に基づい
て、入力したパケットを処理する暗号処理手段と、暗号
処理したパケットを出力する出力手段とを有するもので
ある。
を入力する入力手段と、入力したパケットの所定フィー
ルドを暗号処理する暗号処理手段と、入力したパケット
を廃棄する廃棄処理手段と、入力したパケットになにも
処理せず出力する透過処理手段と、データ種別とデータ
処理種別の対応を記憶するデータ処理種別テーブルを指
すポインタ手段と、入力したパケットに含まれる各階層
のデータ種別対応に、暗号処理手段、廃棄処理手段、透
過処理手段、ポインタ手段のいずれの手段でパケットを
処理するかをデータ処理種別テーブルに登録するデータ
処理種別登録手段と、入力したパケットに含まれる各階
層のデータ種別に対応してデータ処理種別テーブルに登
録されているデータ処理種別が、ポインタ手段ならその
ポインタ手段が指すデータ処理種別テーブルに基づいて
入力したパケットを処理し、ポインタ手段以外ならデー
タ処理種別登録手段が登録したデータ処理種別に基づい
て、入力したパケットを処理する暗号処理手段と、暗号
処理したパケットを出力する出力手段とを有するもので
ある。
【0015】
実施の形態1.本実施の形態は、ルータで接続された複
数のネットワークを介して、暗号通信を行おうとするも
のである。図1〜8は本実施の形態を説明する図で、図
1は暗号装置の構成を示す。図において、1は端末、3
は暗号装置、31は各種の演算制御を行う中央処理装
置、32はプログラムおよびワーキング用のメモリとし
て使用するROM/RAM、33はデータ処理部である。36
は端末側送受信部、37は網側送受信部、38はデータ
格納メモリ、5は通信網である。
数のネットワークを介して、暗号通信を行おうとするも
のである。図1〜8は本実施の形態を説明する図で、図
1は暗号装置の構成を示す。図において、1は端末、3
は暗号装置、31は各種の演算制御を行う中央処理装
置、32はプログラムおよびワーキング用のメモリとし
て使用するROM/RAM、33はデータ処理部である。36
は端末側送受信部、37は網側送受信部、38はデータ
格納メモリ、5は通信網である。
【0016】図2は、暗号通信システムの構成例を示す
図であり、図において、1a〜1fは端末、3a〜3cは端末1d
〜1f対応に設けた暗号装置、5b、5dは構内通信網、5eは
広域通信網、6b、6dは通信網を相互接続するルータであ
る。図3は、たとえば構内通信網としてイーサネットと
呼ばれるLAN(Local Area Network)上でのフレームフォ
ーマットを示す図であり、図において、41はフレーム
フォーマット、42は宛先MACアドレス部、43は送信
元MAC(Media AccessControl)アドレス部で、MACアドレ
スはEthernetにおける物理的なハードウエア・インタフ
ェースのアドレスである。44はフレームタイプを設定
しておくフレームタイプ部で、IP、ARPなど上位ネット
ワーク層のプロトコルの種別を示す。45はフレームデ
ータ部である。なお、IP(Internet Protocol)はTCP/I
Pのネットワークで通信を行うためのプロトコルで、ARP
(Address Resolution Protocol)は既知の通信相手のI
Pアドレス(TCP/IPの通信手順で端末を識別するために
用いるもの)を元に、その通信相手の未知のMACアドレ
スを求めるためのプロトコルである。
図であり、図において、1a〜1fは端末、3a〜3cは端末1d
〜1f対応に設けた暗号装置、5b、5dは構内通信網、5eは
広域通信網、6b、6dは通信網を相互接続するルータであ
る。図3は、たとえば構内通信網としてイーサネットと
呼ばれるLAN(Local Area Network)上でのフレームフォ
ーマットを示す図であり、図において、41はフレーム
フォーマット、42は宛先MACアドレス部、43は送信
元MAC(Media AccessControl)アドレス部で、MACアドレ
スはEthernetにおける物理的なハードウエア・インタフ
ェースのアドレスである。44はフレームタイプを設定
しておくフレームタイプ部で、IP、ARPなど上位ネット
ワーク層のプロトコルの種別を示す。45はフレームデ
ータ部である。なお、IP(Internet Protocol)はTCP/I
Pのネットワークで通信を行うためのプロトコルで、ARP
(Address Resolution Protocol)は既知の通信相手のI
Pアドレス(TCP/IPの通信手順で端末を識別するために
用いるもの)を元に、その通信相手の未知のMACアドレ
スを求めるためのプロトコルである。
【0017】図4は、ARPパケット71の構成を示し、
図3におけるフレームタイプ部44がARPパケットを示
している場合、フレームデータ部45の内容はARPパケ
ット71であり、その詳細を図4に示している。図にお
いて、72はリクエストパケットかレスポンスパケット
かを示すオペレーション部、73は送信元MACアドレス
部、74は送信元IPアドレス部、75は宛先MACアドレ
ス部、76は宛先IPアドレス部である。
図3におけるフレームタイプ部44がARPパケットを示
している場合、フレームデータ部45の内容はARPパケ
ット71であり、その詳細を図4に示している。図にお
いて、72はリクエストパケットかレスポンスパケット
かを示すオペレーション部、73は送信元MACアドレス
部、74は送信元IPアドレス部、75は宛先MACアドレ
ス部、76は宛先IPアドレス部である。
【0018】図5は、IPパッケットの構成を示す図で、
図3のフレームタイプ部44がIPパケットを示している
場合、フレ−ムデ−タ部45の内容はIPパケットであ
り、その詳細を図5に示している。図5において、81
はIPパケット、82はIPヘッダ部、86はIPデータ部、
83はプロトコル部で、トランスポート層のプロトコル
種別を示す。84は送信元IPアドレス部、85は宛先IP
アドレス部である。
図3のフレームタイプ部44がIPパケットを示している
場合、フレ−ムデ−タ部45の内容はIPパケットであ
り、その詳細を図5に示している。図5において、81
はIPパケット、82はIPヘッダ部、86はIPデータ部、
83はプロトコル部で、トランスポート層のプロトコル
種別を示す。84は送信元IPアドレス部、85は宛先IP
アドレス部である。
【0019】次に、図6および図7を用いて暗号装置3a
における端末1dからのデータ送信動作、および端末1dへ
のデータ受信動作を説明し、そのあと図8を用いて、ル
ータを介して端末1dから端末1fへデータ伝送する例を
示す。
における端末1dからのデータ送信動作、および端末1dへ
のデータ受信動作を説明し、そのあと図8を用いて、ル
ータを介して端末1dから端末1fへデータ伝送する例を
示す。
【0020】次に、図6により端末1dからのデータ送信
の動作を例に説明する。ステップ702で暗号装置3aが
端末1dからフレーム41を受け取る。ステップ703
で、図1の暗号装置3aの端末側送受信部36は、前記の
フレーム41を受け取りデータ格納メモリ38に書き込
み、中央処理装置31にフレーム41を受け取ったこと
を伝える。ステップ704に進み、中央処理装置31
は、データ格納メモリ38から受信したフレームを読み
取り、フレームタイプ部44に設定されているフレーム
タイプを判別し、フレームタイプがARPであれば暗号化
せずにステップ708に進み、そうでなければステップ
705に進む。
の動作を例に説明する。ステップ702で暗号装置3aが
端末1dからフレーム41を受け取る。ステップ703
で、図1の暗号装置3aの端末側送受信部36は、前記の
フレーム41を受け取りデータ格納メモリ38に書き込
み、中央処理装置31にフレーム41を受け取ったこと
を伝える。ステップ704に進み、中央処理装置31
は、データ格納メモリ38から受信したフレームを読み
取り、フレームタイプ部44に設定されているフレーム
タイプを判別し、フレームタイプがARPであれば暗号化
せずにステップ708に進み、そうでなければステップ
705に進む。
【0021】そして、ステップ705で、中央処理装置
31は、データ処理部33に対しフレーム41のデ−タ
の処理を指示する。次にステップ706に進み、デ−タ
処理部33はIPパケット81のIPデータ部86を暗号化
し、ステップ707に進む。ステップ707で、デ−タ
処理部33は処理が終了したことを中央処理装置31に
伝え、ステップ708に進む。ステップ708で中央処
理装置31は、フレーム41を構内通信網5bに送信する
ように網側送受信部37に指示する。そして、ステップ
709で網側送受信部37は、データ格納メモリ38か
らフレーム41を読み取り、構内通信網5bへ送る。
31は、データ処理部33に対しフレーム41のデ−タ
の処理を指示する。次にステップ706に進み、デ−タ
処理部33はIPパケット81のIPデータ部86を暗号化
し、ステップ707に進む。ステップ707で、デ−タ
処理部33は処理が終了したことを中央処理装置31に
伝え、ステップ708に進む。ステップ708で中央処
理装置31は、フレーム41を構内通信網5bに送信する
ように網側送受信部37に指示する。そして、ステップ
709で網側送受信部37は、データ格納メモリ38か
らフレーム41を読み取り、構内通信網5bへ送る。
【0022】次に、図7により構内通信網5bから端末1d
へのデータ受信の動作を例に説明する。ステップ802
で自端末1dの暗号装置3aは、フレーム41を構内通信網
5bから受け取る。ステップ803で、暗号装置3aの網側
送受信部37は、前記のフレーム41を受け取りデータ
格納メモリ38に書き込み、中央処理装置31にフレー
ム41を受け取ったことを伝える。ステップ804に進
み、中央処理装置31は、データ格納メモリ38から受
信したフレームを読み取り、フレームタイプ部44に設
定されているフレームタイプを判別し、フレームタイプ
がARPパケットなら復号せずにステップ808に進む。
そうでなければステップ805に進む。
へのデータ受信の動作を例に説明する。ステップ802
で自端末1dの暗号装置3aは、フレーム41を構内通信網
5bから受け取る。ステップ803で、暗号装置3aの網側
送受信部37は、前記のフレーム41を受け取りデータ
格納メモリ38に書き込み、中央処理装置31にフレー
ム41を受け取ったことを伝える。ステップ804に進
み、中央処理装置31は、データ格納メモリ38から受
信したフレームを読み取り、フレームタイプ部44に設
定されているフレームタイプを判別し、フレームタイプ
がARPパケットなら復号せずにステップ808に進む。
そうでなければステップ805に進む。
【0023】そして、ステップ805で、中央処理装置
31はデータ処理部33に対し、フレーム41の処理を
指示する。そして、ステップ806に進み、データ処理
部33はIPパケット81のIPデ−タ部86を復号し、ス
テップ807に進む。ステップ807で、データ処理部
33は処理が終了したことを中央処理装置31に伝え、
ステップ808に進む。ステップ808で中央処理装置
31は、フレーム41を端末1dに送信するように端末側
送受信部36に指示する。そして、ステップ809で端
末側送受信部36は、データ格納メモリ38からフレー
ム41を読み取り、端末1dへ送る。
31はデータ処理部33に対し、フレーム41の処理を
指示する。そして、ステップ806に進み、データ処理
部33はIPパケット81のIPデ−タ部86を復号し、ス
テップ807に進む。ステップ807で、データ処理部
33は処理が終了したことを中央処理装置31に伝え、
ステップ808に進む。ステップ808で中央処理装置
31は、フレーム41を端末1dに送信するように端末側
送受信部36に指示する。そして、ステップ809で端
末側送受信部36は、データ格納メモリ38からフレー
ム41を読み取り、端末1dへ送る。
【0024】次に、図8を用いて端末1dから端末1fへI
P(Iternet Protocol )通信する例を説明する。端末1
dは、端末1fとのIP通信に先立ち、フレ−ムタイプ部4
4にARP(AddressResolution Protocol)パケットを示す
値を、オペレ−ション部72にリクエストパケットを示
す値を、フレ−ムの宛先MACアドレス部42にはブロ−
ドキャストアドレスを、送信元MACアドレス部43には
自端末1dのMACアドレスを、ARPパケットの送信元MACア
ドレス部73には自端末1dのMACアドレスを、送信元IP
アドレス部74には自端末1dのIPアドレスを、そして宛
先IPアドレス部76には宛先端末1fのIPアドレスを設定
したARPリクエストパケットを送信する(ステップ10
1)。ARPリクエストパケットを送信するのは、宛先端
末1fにIPパケットを送信するのに必要な宛先MACアドレ
スをもとめるためである。
P(Iternet Protocol )通信する例を説明する。端末1
dは、端末1fとのIP通信に先立ち、フレ−ムタイプ部4
4にARP(AddressResolution Protocol)パケットを示す
値を、オペレ−ション部72にリクエストパケットを示
す値を、フレ−ムの宛先MACアドレス部42にはブロ−
ドキャストアドレスを、送信元MACアドレス部43には
自端末1dのMACアドレスを、ARPパケットの送信元MACア
ドレス部73には自端末1dのMACアドレスを、送信元IP
アドレス部74には自端末1dのIPアドレスを、そして宛
先IPアドレス部76には宛先端末1fのIPアドレスを設定
したARPリクエストパケットを送信する(ステップ10
1)。ARPリクエストパケットを送信するのは、宛先端
末1fにIPパケットを送信するのに必要な宛先MACアドレ
スをもとめるためである。
【0025】端末1dからのARPリクエストパケットを受
信した暗号装置3aは、図6で説明したようにフレ−ムタ
イプ部44がARPパケットを示すので、暗号化せずに構
内通信網5bへ転送する(ステップ102)。構内通信網
5bに接続されたル−タ6bは、宛先MACアドレスがブロ
ードキヤストのARPリクエストパケットを受信し、宛先I
Pアドレス部76に設定されているIPアドレスを参照し
て中継可能であることを知る。そして、ル−タ6bは、
自身のMACアドレスを端末1fに通知するためにARPレスポ
ンスパケットを構内通信網5bへ送信する(ステップ10
3)。
信した暗号装置3aは、図6で説明したようにフレ−ムタ
イプ部44がARPパケットを示すので、暗号化せずに構
内通信網5bへ転送する(ステップ102)。構内通信網
5bに接続されたル−タ6bは、宛先MACアドレスがブロ
ードキヤストのARPリクエストパケットを受信し、宛先I
Pアドレス部76に設定されているIPアドレスを参照し
て中継可能であることを知る。そして、ル−タ6bは、
自身のMACアドレスを端末1fに通知するためにARPレスポ
ンスパケットを構内通信網5bへ送信する(ステップ10
3)。
【0026】ただし、ル−タ6bは、送信に先立ちARP
レスポンスパケットを編集する。すなわち、フレ−ムの
宛先MACアドレス部42に端末1dのMACアドレスを、送信
元MACアドレス部43にル−タ自身のMACアドレスを、フ
レ−ムタイプ部44にARPパケットを示す値を、オペレ
−ション部72にレスポンスパケットを示す値を、送信
元MACアドレス部73にル−タ自身のMACアドレスを、送
信元IPアドレス部74にル−タ自身のIPアドレスを、宛
先MACアドレス部75に端末1dのMACアドレスを、宛先IP
アドレス部76に端末1dのIPアドレスを設定する。
レスポンスパケットを編集する。すなわち、フレ−ムの
宛先MACアドレス部42に端末1dのMACアドレスを、送信
元MACアドレス部43にル−タ自身のMACアドレスを、フ
レ−ムタイプ部44にARPパケットを示す値を、オペレ
−ション部72にレスポンスパケットを示す値を、送信
元MACアドレス部73にル−タ自身のMACアドレスを、送
信元IPアドレス部74にル−タ自身のIPアドレスを、宛
先MACアドレス部75に端末1dのMACアドレスを、宛先IP
アドレス部76に端末1dのIPアドレスを設定する。
【0027】構内通信網5bに接続されたル−タ6bから
のARPレスポンスパケットを受信した暗号装置3aは、ARP
レスポンスパケットのフレ−ムタイプ部44がARPパケ
ットを示すため、暗号化せずに端末1dへARPレスポンス
パケットを転送する(ステップ104)。端末1dは、受
信したARPレスポンスパケットの送信元IPアドレス部7
4と送信元MACアドレス部73により、宛先端末1fにIP
データを送信する場合の宛先MACアドレスを知り、フレ
ームの宛先MACアドレス部42にル−タ6bのMACアドレス
を、フレ−ムの送信元MACアドレス部43に自端末1dのM
ACアドレスを、そしてフレ−ムタイプ部44にIPパケッ
トを示す値を設定し、IPヘッダ部82のプロトコル部8
3には所望のプロトコル種別を、送信元IPアドレス部8
4に端末1dのIPアドレスを、宛先IPアドレス部85に端
末1fのIPアドレスを設定したIPパケットを送信する
(ステップ105)。
のARPレスポンスパケットを受信した暗号装置3aは、ARP
レスポンスパケットのフレ−ムタイプ部44がARPパケ
ットを示すため、暗号化せずに端末1dへARPレスポンス
パケットを転送する(ステップ104)。端末1dは、受
信したARPレスポンスパケットの送信元IPアドレス部7
4と送信元MACアドレス部73により、宛先端末1fにIP
データを送信する場合の宛先MACアドレスを知り、フレ
ームの宛先MACアドレス部42にル−タ6bのMACアドレス
を、フレ−ムの送信元MACアドレス部43に自端末1dのM
ACアドレスを、そしてフレ−ムタイプ部44にIPパケッ
トを示す値を設定し、IPヘッダ部82のプロトコル部8
3には所望のプロトコル種別を、送信元IPアドレス部8
4に端末1dのIPアドレスを、宛先IPアドレス部85に端
末1fのIPアドレスを設定したIPパケットを送信する
(ステップ105)。
【0028】端末1dからのIPパケットを受信した暗号装
置3aは図6で説明したようにIPヘッダ部82は暗号化せ
ずにIPデータ部86を暗号化して構内通信網5bへ転送す
る(ステップ106)。暗号装置3aにより暗号化された
IPパケットは構内通信網5bに接続されたルータ6bに受信
され、広域通信網5e経由ル−タ6dへ中継される(ステッ
プ107)。
置3aは図6で説明したようにIPヘッダ部82は暗号化せ
ずにIPデータ部86を暗号化して構内通信網5bへ転送す
る(ステップ106)。暗号装置3aにより暗号化された
IPパケットは構内通信網5bに接続されたルータ6bに受信
され、広域通信網5e経由ル−タ6dへ中継される(ステッ
プ107)。
【0029】広域通信網5eからIPパケットを受信したル
−タ6dは、IPヘッダ82の宛先IPアドレス部85の内容
を参照して、構内通信網5dに属することを知り、宛先MA
Cアドレスを求めるためにARPリクエストを構内通信網5d
に送信する(ステップ108)。ただし、ARPリクエス
トパケットを以下のように編集して送出する。フレ−ム
の宛先MACアドレス部42にはブロ−ドキャストアドレ
スを、送信元MACアドレス部43にはルータ6d自身のMAC
アドレスを、フレ−ムタイプ部44にARPパケットを示
す値を、オペレ−ション部72にリクエストパケットを
示す値を、送信元MACアドレス部73にはルータ6d自身
のMACアドレスを、送信元IPアドレス部74にはルータ6
d自身のIPアドレスを、そして宛先IPアドレス部76に
は宛先端末1fのIPアドレスを設定する。
−タ6dは、IPヘッダ82の宛先IPアドレス部85の内容
を参照して、構内通信網5dに属することを知り、宛先MA
Cアドレスを求めるためにARPリクエストを構内通信網5d
に送信する(ステップ108)。ただし、ARPリクエス
トパケットを以下のように編集して送出する。フレ−ム
の宛先MACアドレス部42にはブロ−ドキャストアドレ
スを、送信元MACアドレス部43にはルータ6d自身のMAC
アドレスを、フレ−ムタイプ部44にARPパケットを示
す値を、オペレ−ション部72にリクエストパケットを
示す値を、送信元MACアドレス部73にはルータ6d自身
のMACアドレスを、送信元IPアドレス部74にはルータ6
d自身のIPアドレスを、そして宛先IPアドレス部76に
は宛先端末1fのIPアドレスを設定する。
【0030】構内通信網5dに接続されたル−タ6dからの
ARPリクエストを受信した暗号装置3cはフレ−ムタイプ
部44の内容がARPパケットを示すので、暗号化せずに
端末1fへARPリクエストを転送する(ステップ10
9)。暗号装置3cからARPリクエストを受信した端末1f
は、ARPリクエストの宛先IPアドレス部76に設定され
ているIPアドレスを元に、自端末1f宛てのIPパケットで
あることを知り、自身のMACアドレスを知らせるARPレス
ポンスパケットを暗号装置3cに送信する(ステップ11
0)。端末1fからARPレスポンスパケットを受信した暗
号装置3cはARPレスポンスパケットのフレ−ムタイプ部
44がARPパケットを示すため、暗号化せずに構内通信
網5dへ転送する(ステップ111)。
ARPリクエストを受信した暗号装置3cはフレ−ムタイプ
部44の内容がARPパケットを示すので、暗号化せずに
端末1fへARPリクエストを転送する(ステップ10
9)。暗号装置3cからARPリクエストを受信した端末1f
は、ARPリクエストの宛先IPアドレス部76に設定され
ているIPアドレスを元に、自端末1f宛てのIPパケットで
あることを知り、自身のMACアドレスを知らせるARPレス
ポンスパケットを暗号装置3cに送信する(ステップ11
0)。端末1fからARPレスポンスパケットを受信した暗
号装置3cはARPレスポンスパケットのフレ−ムタイプ部
44がARPパケットを示すため、暗号化せずに構内通信
網5dへ転送する(ステップ111)。
【0031】構内通信網5dに接続されたル−タ6dは、暗
号装置3cから受信したARPレスポンスパケットから宛先M
ACアドレスを求め、ステップ107で受信したIPパケッ
トの宛先MACアドレス部42に設定し、また送信元MACア
ドレス部43にルータ6d自身のMACアドレスを設定し、
そのIPパケットを構内通信網5dに送信する(ステップ1
12)。構内通信網5dに接続された暗号装置3cはル−タ
6dにより送信されたIPパケットを受信し、暗号化された
IPデータ部86を復号して端末1fへ転送する(ステップ
113)。端末1fは暗号装置3cにより復号されたIPパケ
ットを受信し、端末1dからのIPデ−タを受信する。以
後、ル−タ6dは端末1fのIPアドレスとMACアドレスを知
っているので、端末1dからのIPパッケットはステップ1
14〜118の手順で端末1fに送られる。以上のよう
に、暗号装置においてARPパケットは暗号化せず、IPパ
ケットはIPデータ部を暗号化するので、ルータに暗号機
能を持たせずに、端末1dを収容する暗号装置3aと端末1f
を収容する暗号装置3c間でル−タを介して暗号通信がで
きる。また、暗号装置に暗号機能を持たせるので、端末
はアプリケーションを変更することなく暗号機能を利用
できる。
号装置3cから受信したARPレスポンスパケットから宛先M
ACアドレスを求め、ステップ107で受信したIPパケッ
トの宛先MACアドレス部42に設定し、また送信元MACア
ドレス部43にルータ6d自身のMACアドレスを設定し、
そのIPパケットを構内通信網5dに送信する(ステップ1
12)。構内通信網5dに接続された暗号装置3cはル−タ
6dにより送信されたIPパケットを受信し、暗号化された
IPデータ部86を復号して端末1fへ転送する(ステップ
113)。端末1fは暗号装置3cにより復号されたIPパケ
ットを受信し、端末1dからのIPデ−タを受信する。以
後、ル−タ6dは端末1fのIPアドレスとMACアドレスを知
っているので、端末1dからのIPパッケットはステップ1
14〜118の手順で端末1fに送られる。以上のよう
に、暗号装置においてARPパケットは暗号化せず、IPパ
ケットはIPデータ部を暗号化するので、ルータに暗号機
能を持たせずに、端末1dを収容する暗号装置3aと端末1f
を収容する暗号装置3c間でル−タを介して暗号通信がで
きる。また、暗号装置に暗号機能を持たせるので、端末
はアプリケーションを変更することなく暗号機能を利用
できる。
【0032】実施の形態2.本実施の形態は、外部の広
域通信網から不正侵入を防ぐためのファイアウォール機
能を持つルータを介して暗号通信するものである。図1
〜4、図8〜12は本実施の形態を説明するための図
で、図1〜4、図8は実施の形態1と同様で説明を省
く。図9は、図3のフレ−ムタイプ部44がIPパケット
を示している場合、フレ−ムデ−タ部45の内容はIPパ
ケットで、その詳細は図9(a)、(b)、(c)に示す
とおりである。図9(a)において、83はプロトコル
部で、トランスポート層のプロトコル種別TCP,UDPなど
を格納する。他は図5と同一で説明を省く。なお、TCP
(Transmission Control Protocol)はコネクションオ
リエンテッドで通信するためのプロトコルで、UDP(Use
r Datagram Protocol )はコネクションレスで通信する
ためのプロトコルである。図9(b)は、プロトコル部
83がTCPを示している場合、IPデ−タ部86の詳細を
示しており、87はTCPヘッダ部、88は送信元ポート
部で、89は宛先ポート部で、それぞれアプリケーショ
ン層のプロトコル種別を示す。90はパケットの伝送方
向を示すコードビット部、91はTCPデータ部である。
図9(c)は、プロトコル部83がUDPを示している場
合、IPデ−タ部86の詳細を示しており、92はUDPヘ
ッダ部、93は送信元ポート部、94は宛先ポート部、
95はUDPデ−タ部である。
域通信網から不正侵入を防ぐためのファイアウォール機
能を持つルータを介して暗号通信するものである。図1
〜4、図8〜12は本実施の形態を説明するための図
で、図1〜4、図8は実施の形態1と同様で説明を省
く。図9は、図3のフレ−ムタイプ部44がIPパケット
を示している場合、フレ−ムデ−タ部45の内容はIPパ
ケットで、その詳細は図9(a)、(b)、(c)に示す
とおりである。図9(a)において、83はプロトコル
部で、トランスポート層のプロトコル種別TCP,UDPなど
を格納する。他は図5と同一で説明を省く。なお、TCP
(Transmission Control Protocol)はコネクションオ
リエンテッドで通信するためのプロトコルで、UDP(Use
r Datagram Protocol )はコネクションレスで通信する
ためのプロトコルである。図9(b)は、プロトコル部
83がTCPを示している場合、IPデ−タ部86の詳細を
示しており、87はTCPヘッダ部、88は送信元ポート
部で、89は宛先ポート部で、それぞれアプリケーショ
ン層のプロトコル種別を示す。90はパケットの伝送方
向を示すコードビット部、91はTCPデータ部である。
図9(c)は、プロトコル部83がUDPを示している場
合、IPデ−タ部86の詳細を示しており、92はUDPヘ
ッダ部、93は送信元ポート部、94は宛先ポート部、
95はUDPデ−タ部である。
【0033】図10は図9のTCPヘッダ部87にあるコ
ードビット部90のフォーマットを示し、96はACKビ
ット部、97はSYNビット部である。ACKビット部96と
SYNビット部97とでTCPコネクション確立方向が許可さ
れている方向か否かを判定するのに用いる。
ードビット部90のフォーマットを示し、96はACKビ
ット部、97はSYNビット部である。ACKビット部96と
SYNビット部97とでTCPコネクション確立方向が許可さ
れている方向か否かを判定するのに用いる。
【0034】次に、図11および図12を用いて暗号装
置3aにおける端末1dからのデータ送信動作、および端末
1dへのデータ受信動作を説明し、そのあとルータ6b、6d
を介して端末1dから端末1fへデータ伝送する例を図8
を用いて説明する。図11は、暗号装置3aの端末1dから
のデータ送信動作を示すが、図11は図6と比較しステ
ップ706をステップ761〜764に置き換えたもの
でステップ761でIPヘッダ部82のプロトコル部83
がTCPであればステップ764へ進み、TCPヘッダ部87
の送信ポート部88、宛先ポート部89、ACKビット部
96、SYNビット部97を除くIPデータ部86を暗号化
する。ステップ761でIPヘッダ部82のプロトコル部
83がUDPであればステップ763に進み、UDPヘッダ部
92の送信元ポート部93、宛先ポート部94を除くIP
データ部86を暗号化する。ステップ761でIPヘッダ
部82のプロトコル部83がTCPまたはUDPでなければス
テップ762へ進み、すべてのIPデータ部86を暗号化
する。他の動作は図6と同じで説明を省略する。
置3aにおける端末1dからのデータ送信動作、および端末
1dへのデータ受信動作を説明し、そのあとルータ6b、6d
を介して端末1dから端末1fへデータ伝送する例を図8
を用いて説明する。図11は、暗号装置3aの端末1dから
のデータ送信動作を示すが、図11は図6と比較しステ
ップ706をステップ761〜764に置き換えたもの
でステップ761でIPヘッダ部82のプロトコル部83
がTCPであればステップ764へ進み、TCPヘッダ部87
の送信ポート部88、宛先ポート部89、ACKビット部
96、SYNビット部97を除くIPデータ部86を暗号化
する。ステップ761でIPヘッダ部82のプロトコル部
83がUDPであればステップ763に進み、UDPヘッダ部
92の送信元ポート部93、宛先ポート部94を除くIP
データ部86を暗号化する。ステップ761でIPヘッダ
部82のプロトコル部83がTCPまたはUDPでなければス
テップ762へ進み、すべてのIPデータ部86を暗号化
する。他の動作は図6と同じで説明を省略する。
【0035】図12は、暗号装置3aの構内通信網5bから
のデータ受信動作を説明するが、図12は図7と比較し
てステップ806をステップ861〜864に置き換え
たもので、ステップ861でIPヘッダ部82のプロトコ
ル部83がTCPであればステップ864へ進み、TCPヘッ
ダ部97の送信元ポート部88、宛先ポート部89、AC
Kビット部96、SYNビット部97を除くIPデータ部86
を復号する。ステップ861でIPヘッダ部82のプロト
コル部83がUDPであればステップ863へ進み、UDPヘ
ッダ部92の送信元ポート部93、宛先ポート部94を
除くIPデータ部86を復号する。ステップ861でIPヘ
ッダ部82のプロトコル部83がTCPまたはUDPでなけれ
ばステップ862へ進み、すべてのIPデータ部86を復
号する。他の動作は図7と同じで説明を省略する。
のデータ受信動作を説明するが、図12は図7と比較し
てステップ806をステップ861〜864に置き換え
たもので、ステップ861でIPヘッダ部82のプロトコ
ル部83がTCPであればステップ864へ進み、TCPヘッ
ダ部97の送信元ポート部88、宛先ポート部89、AC
Kビット部96、SYNビット部97を除くIPデータ部86
を復号する。ステップ861でIPヘッダ部82のプロト
コル部83がUDPであればステップ863へ進み、UDPヘ
ッダ部92の送信元ポート部93、宛先ポート部94を
除くIPデータ部86を復号する。ステップ861でIPヘ
ッダ部82のプロトコル部83がTCPまたはUDPでなけれ
ばステップ862へ進み、すべてのIPデータ部86を復
号する。他の動作は図7と同じで説明を省略する。
【0036】次に、端末1dからTCPパケットを暗号装
置、ルータ6b、6dを介して端末1fへ伝送する例を図8に
従い説明する。ただし実施形態1と同一部分は説明を省
略する。なお、ルータ6bは構内通信網5bへの不正侵入を
防ぐためのファイアウォール機能を持つものとし、ルー
タ6dは不正侵入防止をしないものとする。そして、ルー
タ6bはIPヘッダ部のプロトコル部がTCP示している場
合、TCPヘッダ部87の送信元ポート部88、宛先ポー
ト部89、ACKビット部96、SYNビット部97を参照
し、プロトコル部がUDPを示している場合、UDPヘッダ部
92の送信元ポート部93、宛先ポート部94を参照し
て不正侵入を判定する。
置、ルータ6b、6dを介して端末1fへ伝送する例を図8に
従い説明する。ただし実施形態1と同一部分は説明を省
略する。なお、ルータ6bは構内通信網5bへの不正侵入を
防ぐためのファイアウォール機能を持つものとし、ルー
タ6dは不正侵入防止をしないものとする。そして、ルー
タ6bはIPヘッダ部のプロトコル部がTCP示している場
合、TCPヘッダ部87の送信元ポート部88、宛先ポー
ト部89、ACKビット部96、SYNビット部97を参照
し、プロトコル部がUDPを示している場合、UDPヘッダ部
92の送信元ポート部93、宛先ポート部94を参照し
て不正侵入を判定する。
【0037】図8において、暗号装置3aは図11で説明
したように、端末1dからのIPパケット81の、TCPヘッ
ダ部87の送信元ポート部88、宛先ポート部89、AC
Kビット部96、SYNビット部97を除くIPデータ部86
を暗号化し構内通信網5bに送出する(ステップ10
6)。構内通信網5bに接続されたルータ6bは暗号装置3a
からのIPパケット81の、TCPヘッダ部87の送信元ポ
ート部88、宛先ポート部89、ACKビット部96、SYN
ビット部97を参照して中継するか否かを判定し、中継
許可されていないなら、そのIPパケット81を廃棄す
る。中継許可されているなら中継し(ステップ10
7)、ステップ108〜113に従って端末1fに送られ
る。ただし、ステップ112では図12で示したように
IPパケット81のTCPヘッダ部87の送信元ポート部8
8、宛先ポート部89、ACKビット部96、SYNビット部
97を除くIPデータ部86を復号して端末1fに渡す。
したように、端末1dからのIPパケット81の、TCPヘッ
ダ部87の送信元ポート部88、宛先ポート部89、AC
Kビット部96、SYNビット部97を除くIPデータ部86
を暗号化し構内通信網5bに送出する(ステップ10
6)。構内通信網5bに接続されたルータ6bは暗号装置3a
からのIPパケット81の、TCPヘッダ部87の送信元ポ
ート部88、宛先ポート部89、ACKビット部96、SYN
ビット部97を参照して中継するか否かを判定し、中継
許可されていないなら、そのIPパケット81を廃棄す
る。中継許可されているなら中継し(ステップ10
7)、ステップ108〜113に従って端末1fに送られ
る。ただし、ステップ112では図12で示したように
IPパケット81のTCPヘッダ部87の送信元ポート部8
8、宛先ポート部89、ACKビット部96、SYNビット部
97を除くIPデータ部86を復号して端末1fに渡す。
【0038】次に、端末1dからUDPパケットを暗号装
置、ルータを介して端末1fへ伝送する例を図8に従い説
明する。ただし、実施形態1と同一部分は説明を省略す
る。暗号装置3aは図11で説明したように、端末1dから
のIPパケット81の、UDPヘッダ部92の送信元ポート
部93、宛先ポート部94を除くIPデータ部86を暗号
化し構内通信網5bに送出す(ステップ106)。構内通
信網5bに接続されたルータ6bは、暗号装置3aからのIPパ
ケット81の、UDPヘッダ部92の送信元ポート部9
3、宛先ポート部94を参照して中継するか否かを判定
し、中継許可されていないなら、そのIPパケット81を
廃棄する。中継許可されているなら中継し(ステップ1
07)、ステップ108〜113に従って端末1fに送ら
れる。ただし、ステップ113において暗号装置3cは図
12で示したようにIPパケット81のUDPヘッダ部92
の送信元ポート部93、宛先ポート部94を除くIPデー
タ部86を復号して端末1fに渡す。以上のように、暗号
装置はファイアウォール機能が参照するフィールドを除
いてIPパケットを暗号化するので、ファイアウォール機
能を持つルータを介して暗号通信ができる。
置、ルータを介して端末1fへ伝送する例を図8に従い説
明する。ただし、実施形態1と同一部分は説明を省略す
る。暗号装置3aは図11で説明したように、端末1dから
のIPパケット81の、UDPヘッダ部92の送信元ポート
部93、宛先ポート部94を除くIPデータ部86を暗号
化し構内通信網5bに送出す(ステップ106)。構内通
信網5bに接続されたルータ6bは、暗号装置3aからのIPパ
ケット81の、UDPヘッダ部92の送信元ポート部9
3、宛先ポート部94を参照して中継するか否かを判定
し、中継許可されていないなら、そのIPパケット81を
廃棄する。中継許可されているなら中継し(ステップ1
07)、ステップ108〜113に従って端末1fに送ら
れる。ただし、ステップ113において暗号装置3cは図
12で示したようにIPパケット81のUDPヘッダ部92
の送信元ポート部93、宛先ポート部94を除くIPデー
タ部86を復号して端末1fに渡す。以上のように、暗号
装置はファイアウォール機能が参照するフィールドを除
いてIPパケットを暗号化するので、ファイアウォール機
能を持つルータを介して暗号通信ができる。
【0039】実施の形態3.本実施の形態は、階層化さ
れたデータの種別対応に暗号化/復号、透過、廃棄を指
定できるようにするものである。図2〜4、図8〜1
0、図13〜16は本実施の形態を説明する図で、実施
の形態1または2で用いた図2〜4、図8〜10の説明
を省く。図13は実施の形態3における暗号装置3の構
成を示す。図において、4はデータ処理情報等の設定を
行うために用いる保守端末、34はデ−タ処理情報テー
ブルで、詳細は図14で説明する。35はデータ処理情
報等の設定を行う装置機能設定部、他は図1と同じで説
明を省く。図14は、たとえばIP通信のみを行う端末1d
に対応する暗号装置3aに設けたデータ処理情報テーブル
34の内容を例示するもので、図において、341はネ
ットワーク層に対応するデータ処理種別テーブル、34
2はネットワーク層がIPであるトランスポート層に対応
するデータ処理種別テーブル、343はトランスポート
層がUDPであるアプリケーション層に対応するデータ処
理種別テーブル、344はトランスポート層がTCPであ
るアプリケーション層に対応するデータ処理種別テーブ
ルである。
れたデータの種別対応に暗号化/復号、透過、廃棄を指
定できるようにするものである。図2〜4、図8〜1
0、図13〜16は本実施の形態を説明する図で、実施
の形態1または2で用いた図2〜4、図8〜10の説明
を省く。図13は実施の形態3における暗号装置3の構
成を示す。図において、4はデータ処理情報等の設定を
行うために用いる保守端末、34はデ−タ処理情報テー
ブルで、詳細は図14で説明する。35はデータ処理情
報等の設定を行う装置機能設定部、他は図1と同じで説
明を省く。図14は、たとえばIP通信のみを行う端末1d
に対応する暗号装置3aに設けたデータ処理情報テーブル
34の内容を例示するもので、図において、341はネ
ットワーク層に対応するデータ処理種別テーブル、34
2はネットワーク層がIPであるトランスポート層に対応
するデータ処理種別テーブル、343はトランスポート
層がUDPであるアプリケーション層に対応するデータ処
理種別テーブル、344はトランスポート層がTCPであ
るアプリケーション層に対応するデータ処理種別テーブ
ルである。
【0040】各テーブルには、各層におけるデータ種別
345〜348とデータ処理種別349〜352が関連
づけて登録されている。たとえば、ネットワーク層に対
応するデータ処理種別テーブル341では、データ種別
がARPの場合は暗号化を行わずに転送処理を行う透過処
理が登録されている。また、データ種別がIPの場合は、
さらに上位層のテーブルを参照するように上位層へのポ
インタが登録されており、本例ではトランスポート層に
対応するデータ処理種別テーブル342を指している。
また、ARP,IP以外のデータ種別については端末1dが使用
しないデータ種別であるため、構内通信網5bから受信す
ることがないように廃棄処理が登録されている。
345〜348とデータ処理種別349〜352が関連
づけて登録されている。たとえば、ネットワーク層に対
応するデータ処理種別テーブル341では、データ種別
がARPの場合は暗号化を行わずに転送処理を行う透過処
理が登録されている。また、データ種別がIPの場合は、
さらに上位層のテーブルを参照するように上位層へのポ
インタが登録されており、本例ではトランスポート層に
対応するデータ処理種別テーブル342を指している。
また、ARP,IP以外のデータ種別については端末1dが使用
しないデータ種別であるため、構内通信網5bから受信す
ることがないように廃棄処理が登録されている。
【0041】トランスポート層に対応するデータ処理種
別テーブル342では、データ種別がUDP、TCPの場合
は、さらに上位層のテーブルを参照するように上位層へ
のポインタが登録されており、それぞれアプリケーショ
ン層に対応するデータ処理種別テーブル343、344
を指している。また、データ種別がネットワークのエラ
ーや診断に使用されるICMPの場合は、透過処理として登
録されている。また、それ以外のデータ種別について
は、IPデータ部86を暗号化するように暗号化処理が登
録されている。
別テーブル342では、データ種別がUDP、TCPの場合
は、さらに上位層のテーブルを参照するように上位層へ
のポインタが登録されており、それぞれアプリケーショ
ン層に対応するデータ処理種別テーブル343、344
を指している。また、データ種別がネットワークのエラ
ーや診断に使用されるICMPの場合は、透過処理として登
録されている。また、それ以外のデータ種別について
は、IPデータ部86を暗号化するように暗号化処理が登
録されている。
【0042】トランスポート層がUDPのアプリケーショ
ン層に対応するデータ処理種別テーブル343では、デ
−タ種別がネットワーク管理に使用するSNMPの場合は、
透過処理として登録されている。また、データ種別がル
ーティング情報を交換するために使用するRIPの場合
は、透過処理として登録されている。それ以外のデータ
種別については、UDPデータ部95を暗号化するように
暗号化処理が登録されている。これによりUDPヘッダ部
92が暗号化されないため、受信側暗号装置においてア
プリケーションのデータ種別が判定でき、正常に復号す
ることが可能となる。
ン層に対応するデータ処理種別テーブル343では、デ
−タ種別がネットワーク管理に使用するSNMPの場合は、
透過処理として登録されている。また、データ種別がル
ーティング情報を交換するために使用するRIPの場合
は、透過処理として登録されている。それ以外のデータ
種別については、UDPデータ部95を暗号化するように
暗号化処理が登録されている。これによりUDPヘッダ部
92が暗号化されないため、受信側暗号装置においてア
プリケーションのデータ種別が判定でき、正常に復号す
ることが可能となる。
【0043】トランスポート層がTCPのアプリケーショ
ン層に対応するデータ処理種別テーブル344では、デ
ータ種別が仮想端末に使用されるTELNETの場合は、TCP
データ部を暗号化するように暗号化処理が登録されてい
る。また、データ種別が電子メイルの送受信に使用され
るPOPの場合は、暗号装置がついていないメイルサーバ
ーへのアクセスが可能なように透過処理が登録されてい
る。上記以外のデータ種別については、他の端末へアク
セスができないように廃棄処理が登録されている。デー
タ処理情報テーブル34の内容は、図13に示す保守端
末4から入力する。装置機能設定部35は保守端末4か
らの入力情報を解析し、データ種別、データ処理種別を
データ処理部33を介してデータ処理情報テーブル34
に登録する。
ン層に対応するデータ処理種別テーブル344では、デ
ータ種別が仮想端末に使用されるTELNETの場合は、TCP
データ部を暗号化するように暗号化処理が登録されてい
る。また、データ種別が電子メイルの送受信に使用され
るPOPの場合は、暗号装置がついていないメイルサーバ
ーへのアクセスが可能なように透過処理が登録されてい
る。上記以外のデータ種別については、他の端末へアク
セスができないように廃棄処理が登録されている。デー
タ処理情報テーブル34の内容は、図13に示す保守端
末4から入力する。装置機能設定部35は保守端末4か
らの入力情報を解析し、データ種別、データ処理種別を
データ処理部33を介してデータ処理情報テーブル34
に登録する。
【0044】次に、図15は暗号装置3aの端末1dからの
データ送信動作を示す。図15は図6と比較し、ステッ
プ704〜706をステップ781〜789に置き換え
たもので、ステップ781で中央処理装置31はデータ
処理部33に対しデータの処理を指示し、ステップ78
2でデータ処理部33は受信したフレームのフレームタ
イプ部44を参照しネットワーク層のデータ種別を求
め、ネットワーク層に対応するデータ処理種別テーブル
341を検索し、データ処理種別349が透過であれ
ば、ステップ707へ進み、データの暗号化をせずに転
送する。
データ送信動作を示す。図15は図6と比較し、ステッ
プ704〜706をステップ781〜789に置き換え
たもので、ステップ781で中央処理装置31はデータ
処理部33に対しデータの処理を指示し、ステップ78
2でデータ処理部33は受信したフレームのフレームタ
イプ部44を参照しネットワーク層のデータ種別を求
め、ネットワーク層に対応するデータ処理種別テーブル
341を検索し、データ処理種別349が透過であれ
ば、ステップ707へ進み、データの暗号化をせずに転
送する。
【0045】また、データ処理種別349が暗号であれ
ばステップ789へ進み、IPデータ部86を暗号化して
転送する。また、データ処理種別349が廃棄であれば
ステップ785へ進み、データ処理部33がデータを廃
棄処理することを中央処理装置31に伝え、ステップ7
86へ進む。そして、ステップ786で中央処理装置3
1はデータを廃棄し、ステップ710へ進む。また、デ
ータ処理種別349が上位層へのポインタであればステ
ップ783へ進み、データ処理部33はIPヘッダのプロ
トコル部83を参照しトランスポート層のデータ種別を
求め、トランスポート層に対応するデータ処理種別テー
ブル342を検索する。検索の結果、データ処理種別3
50が透過であればステップ707へ進み、暗号であれ
ばステップ788へ進みIPデータ部86を暗号化して転
送し、廃棄であればステップ785へ進み、上位層への
ポインタであればステップ784へ進む。
ばステップ789へ進み、IPデータ部86を暗号化して
転送する。また、データ処理種別349が廃棄であれば
ステップ785へ進み、データ処理部33がデータを廃
棄処理することを中央処理装置31に伝え、ステップ7
86へ進む。そして、ステップ786で中央処理装置3
1はデータを廃棄し、ステップ710へ進む。また、デ
ータ処理種別349が上位層へのポインタであればステ
ップ783へ進み、データ処理部33はIPヘッダのプロ
トコル部83を参照しトランスポート層のデータ種別を
求め、トランスポート層に対応するデータ処理種別テー
ブル342を検索する。検索の結果、データ処理種別3
50が透過であればステップ707へ進み、暗号であれ
ばステップ788へ進みIPデータ部86を暗号化して転
送し、廃棄であればステップ785へ進み、上位層への
ポインタであればステップ784へ進む。
【0046】ステップ784で、データ種別がTCPで上
位層へのポインタなら、データ処理部33はTCPヘッダ
の宛先ポート部89を参照しアプリケーション層のデー
タ種別を求め、アプリケーション層に対応するデータ処
理種別テーブル344を検索する。検索の結果、データ
処理種別352が透過であればステップ707へ進み、
暗号であればステップ787でTCPデータ部を暗号化し
てステップ707に進み、廃棄であればステップ786
へ進む。ステップ784で、データ種別がTCPで上位層
へのポインタなら、データ処理部33はUDPヘッダの宛
先ポート部94を参照しアプリケーション層のデータ種
別を求め、アプリケーション層に対応するデータ処理種
別テーブル343を検索する。検索の結果、データ処理
種別351透過であればステップ707へ進み、暗号で
あればステップ787でUDPデータ部95を暗号化して
ステップ707に進み、廃棄であればステップ786へ
進む。他の動作は、図6と同じで説明を省略する。
位層へのポインタなら、データ処理部33はTCPヘッダ
の宛先ポート部89を参照しアプリケーション層のデー
タ種別を求め、アプリケーション層に対応するデータ処
理種別テーブル344を検索する。検索の結果、データ
処理種別352が透過であればステップ707へ進み、
暗号であればステップ787でTCPデータ部を暗号化し
てステップ707に進み、廃棄であればステップ786
へ進む。ステップ784で、データ種別がTCPで上位層
へのポインタなら、データ処理部33はUDPヘッダの宛
先ポート部94を参照しアプリケーション層のデータ種
別を求め、アプリケーション層に対応するデータ処理種
別テーブル343を検索する。検索の結果、データ処理
種別351透過であればステップ707へ進み、暗号で
あればステップ787でUDPデータ部95を暗号化して
ステップ707に進み、廃棄であればステップ786へ
進む。他の動作は、図6と同じで説明を省略する。
【0047】図16は、暗号装置3aの構内通信網5bから
のデータ受信動作を説明するが、図16は図7と比較
し、ステップ804〜806をステップ881〜889
に置き換えたもので、ステップ881で中央処理装置3
1はデータ処理部33に対しデータの処理を指示し、ス
テップ882でデータ処理部33は受信したフレームの
フレームタイプ部44を参照しネットワーク層のデータ
種別を求め、ネットワーク層に対応するデータ処理種別
テーブル341を検索し、データ処理種別349が透過
であればステップ807へ進み、データの暗号化をせず
に転送する。
のデータ受信動作を説明するが、図16は図7と比較
し、ステップ804〜806をステップ881〜889
に置き換えたもので、ステップ881で中央処理装置3
1はデータ処理部33に対しデータの処理を指示し、ス
テップ882でデータ処理部33は受信したフレームの
フレームタイプ部44を参照しネットワーク層のデータ
種別を求め、ネットワーク層に対応するデータ処理種別
テーブル341を検索し、データ処理種別349が透過
であればステップ807へ進み、データの暗号化をせず
に転送する。
【0048】また、データ処理種別349が暗号であれ
ばステップ889へ進み、IPデータ部86を復号して転
送する。また、データ処理種別349が廃棄であればス
テップ885へ進み、データ処理部33がデータを廃棄
処理することを中央処理装置31に伝え、ステップ88
6へ進む。そして、ステップ886で中央処理装置31
はデータを廃棄し、ステップ810へ進む。
ばステップ889へ進み、IPデータ部86を復号して転
送する。また、データ処理種別349が廃棄であればス
テップ885へ進み、データ処理部33がデータを廃棄
処理することを中央処理装置31に伝え、ステップ88
6へ進む。そして、ステップ886で中央処理装置31
はデータを廃棄し、ステップ810へ進む。
【0049】また、データ処理種別349が上位層への
ポインタであればステップ883へ進み、データ処理部
33はIPヘッダ部82のプロトコル部83を参照しトラ
ンスポート層のデータ種別を求め、トランスポート層に
対応するデータ処理種別テーブル342を検索する。検
索の結果、データ処理種別350が透過であればステッ
プ807へ進み、暗号であればステップ888へ進みIP
データ部86を復号して転送し、廃棄であればステップ
885へ進み、上位層へのポインタであればステップ8
84へ進む。
ポインタであればステップ883へ進み、データ処理部
33はIPヘッダ部82のプロトコル部83を参照しトラ
ンスポート層のデータ種別を求め、トランスポート層に
対応するデータ処理種別テーブル342を検索する。検
索の結果、データ処理種別350が透過であればステッ
プ807へ進み、暗号であればステップ888へ進みIP
データ部86を復号して転送し、廃棄であればステップ
885へ進み、上位層へのポインタであればステップ8
84へ進む。
【0050】ステップ884で、データ種別がTCPで上
位層へのポインタなら、データ処理部33はTCPヘッダ
部87の宛先ポート部89を参照しアプリケーション層
のデータ種別を求め、アプリケーション層に対応するデ
ータ処理種別テーブル344を検索する。検索の結果、
データ処理種別352が透過であればステップ807へ
進み、暗号であればステップ887でTCPデータ部を復
号してステップ807に進み、廃棄であればステップ8
86へ進む。ステップ884で、データ種別がUDPで上
位層へのポインタなら、データ処理部33はUDPヘッダ
部92の宛先ポート部94を参照しアプリケーション層
のデータ種別を求め、アプリケーション層に対応するデ
ータ処理種別テーブル343を検索する。検索の結果、
データ処理種別351が透過であればステップ807へ
進み、暗号であればステップ887でUDPデータ部95
を復号してステップ807に進み、廃棄であればステッ
プ886へ進む。他の動作は、図7と同じで説明を省略
する。なお、本暗号装置を用いて実施の形態1(図8)
のように構成すれば、ルータを介して暗号通信ができ
る。
位層へのポインタなら、データ処理部33はTCPヘッダ
部87の宛先ポート部89を参照しアプリケーション層
のデータ種別を求め、アプリケーション層に対応するデ
ータ処理種別テーブル344を検索する。検索の結果、
データ処理種別352が透過であればステップ807へ
進み、暗号であればステップ887でTCPデータ部を復
号してステップ807に進み、廃棄であればステップ8
86へ進む。ステップ884で、データ種別がUDPで上
位層へのポインタなら、データ処理部33はUDPヘッダ
部92の宛先ポート部94を参照しアプリケーション層
のデータ種別を求め、アプリケーション層に対応するデ
ータ処理種別テーブル343を検索する。検索の結果、
データ処理種別351が透過であればステップ807へ
進み、暗号であればステップ887でUDPデータ部95
を復号してステップ807に進み、廃棄であればステッ
プ886へ進む。他の動作は、図7と同じで説明を省略
する。なお、本暗号装置を用いて実施の形態1(図8)
のように構成すれば、ルータを介して暗号通信ができ
る。
【0051】以上のように階層化されたデータ単位に暗
号化/復号、透過、廃棄を指定できれば、暗号装置を設
置するユーザが必要とするアプリケーションのみの暗号
化、あるいは透過が可能となり、ユーザのセキュリティ
ポリシーに沿った暗号通信が実現できる。また、廃棄を
指定することで、たとえば網側からの不正アクセスに対
しても、暗号装置で廃棄することが可能となる。
号化/復号、透過、廃棄を指定できれば、暗号装置を設
置するユーザが必要とするアプリケーションのみの暗号
化、あるいは透過が可能となり、ユーザのセキュリティ
ポリシーに沿った暗号通信が実現できる。また、廃棄を
指定することで、たとえば網側からの不正アクセスに対
しても、暗号装置で廃棄することが可能となる。
【0052】上記例では、一つの暗号装置に一つの端末
を接続した例を示したが、一つの暗号装置に複数の端末
を接続する構成でもよい。また、ルータ間に本暗号装置
を接続して、データ種別対応に暗号範囲、透過、廃棄な
ど、きめ細かな通信制御ができる。データ処理情報テー
ブルを通信相手ごとに設け、階層化されたデータ単位に
暗号化/復号、透過、廃棄を指定してもよい。また、デ
ータ処理情報テーブルを送信用、受信用を別々に設けて
もよい。
を接続した例を示したが、一つの暗号装置に複数の端末
を接続する構成でもよい。また、ルータ間に本暗号装置
を接続して、データ種別対応に暗号範囲、透過、廃棄な
ど、きめ細かな通信制御ができる。データ処理情報テー
ブルを通信相手ごとに設け、階層化されたデータ単位に
暗号化/復号、透過、廃棄を指定してもよい。また、デ
ータ処理情報テーブルを送信用、受信用を別々に設けて
もよい。
【0053】
【発明の効果】第一の発明において、暗号装置は、パケ
ットに含まれる通信元および通信相手のアドレスを除い
てパケットを暗号処理し、ルータは、暗号化していない
通信元および通信相手のアドレスを基に中継するので、
ルータを介して暗号通信が行える。
ットに含まれる通信元および通信相手のアドレスを除い
てパケットを暗号処理し、ルータは、暗号化していない
通信元および通信相手のアドレスを基に中継するので、
ルータを介して暗号通信が行える。
【0054】第二の発明において、暗号装置は、パケッ
トに含まれる通信元および通信相手のアドレスと不正侵
入をチェックする不正侵入フィールドを除いてパケット
を暗号処理し、ルータは、暗号化していない通信元およ
び通信相手のアドレスと前記不正侵入フィールドを基に
中継するので、不正侵入を防止するファイアウォール機
能を有するルータを介して暗号通信が行える。
トに含まれる通信元および通信相手のアドレスと不正侵
入をチェックする不正侵入フィールドを除いてパケット
を暗号処理し、ルータは、暗号化していない通信元およ
び通信相手のアドレスと前記不正侵入フィールドを基に
中継するので、不正侵入を防止するファイアウォール機
能を有するルータを介して暗号通信が行える。
【0055】第三の発明において、各階層のデータ種別
対応に、暗号処理手段、廃棄処理手段、透過処理手段、
ポインタ手段のいずれの手段で前記パケットを処理する
かを登録するデータ処理種別テーブルを設け、データ処
理種別テーブルに登録されているデータ処理種別が示す
処理を行なう場合、データ処理種別がポインタ手段なら
そのポインタ手段が指すデータ処理種別テーブルに基づ
いて入力したパケットを処理するようにしたので、階層
化されたデータの種別対応に暗号化、透過、廃棄を指定
できる。
対応に、暗号処理手段、廃棄処理手段、透過処理手段、
ポインタ手段のいずれの手段で前記パケットを処理する
かを登録するデータ処理種別テーブルを設け、データ処
理種別テーブルに登録されているデータ処理種別が示す
処理を行なう場合、データ処理種別がポインタ手段なら
そのポインタ手段が指すデータ処理種別テーブルに基づ
いて入力したパケットを処理するようにしたので、階層
化されたデータの種別対応に暗号化、透過、廃棄を指定
できる。
【0056】
【図1】この発明の実施の形態1による暗号装置の構成
図である。
図である。
【図2】この発明の実施の形態1による暗号通信システ
ムを示す図である。
ムを示す図である。
【図3】この発明の実施の形態1によるフレームのフォ
ーマットを示す図である。
ーマットを示す図である。
【図4】この発明の実施の形態1によるARPパケットの
形式を示す図である。
形式を示す図である。
【図5】この発明の実施の形態1によるIPパケットの形
式を示す図である。
式を示す図である。
【図6】この発明の実施の形態1による送信処理手順を
示す図である。
示す図である。
【図7】この発明の実施の形態1による受信処理手順を
示す図である。
示す図である。
【図8】この発明の実施の形態1によるルータを介して
暗号通信を行う手順を示す図である。
暗号通信を行う手順を示す図である。
【図9】この発明の実施の形態2によるIPパケットの形
式を示す図である。
式を示す図である。
【図10】この発明の実施の形態2によるコードビット
部の構成を示す図である。
部の構成を示す図である。
【図11】この発明の実施の形態2による送信処理手順
を示す図である。
を示す図である。
【図12】この発明の実施の形態2による受信処理手順
を示す図である。
を示す図である。
【図13】この発明の実施の形態3による暗号装置の構
成図である。
成図である。
【図14】この発明の実施の形態3によるデータ処理情
報テーブルを示す図である。
報テーブルを示す図である。
【図15】この発明の実施の形態3による特定フィール
ドを除いて暗号化する送信処理手順を示す図である。
ドを除いて暗号化する送信処理手順を示す図である。
【図16】この発明の実施の形態3による特定フィール
ドを除いて復号する受信処理手順を示す図である。
ドを除いて復号する受信処理手順を示す図である。
【図17】従来の暗号装置を示す図である。
【図18】従来の送信処理手順を示す図である。
【図19】従来の受信処理手順を示す図である。
1 端末 1a〜1f 端末 31 中央処理装置 32 ROM/RAM 33 データ処理部 34 データ処理情報テーブル 35 装置機能設定部 36 端末側送受信部 37 網側送受信部 38 データ格納メモリ 3 暗号装置 3a〜3c 暗号装置 4 保守端末 5 通信網 5a〜5d 構内通信網 5e 広域通信網 341〜344 データ処理種別テーブル 6b、6d ル−タ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 12/66 (72)発明者 藤井 照子 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 稲田 徹 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 渡邊 晃 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内
Claims (3)
- 【請求項1】 端末を暗号装置を介して構内通信網に接
続し、前記構内通信網間をルータが中継接続する暗号通
信システムにおいて、 第1の暗号装置は、 a.端末から受信したパケットを入力する入力手段と、 b.前記入力したパケットに含まれる通信元および通信
相手のアドレスを除いて前記パケットを暗号化する暗号
手段と、 c.前記暗号化したパケットを第1の構内通信網に送出
する送出手段とを有し、 前記ルータは、 a.前記第1の構内通信網から受信したパケットを入力
する入力手段と、 b.前記入力したパケットに含まれる前記通信元および
通信相手のアドレスをもとに第2の構内通信網にパケッ
トを中継する中継手段とを有し、 第2の暗号装置は、 a.前記第2の構内通信網から受信したパケットを入力
する入力手段と、 b.前記入力したパケットに含まれる前記通信元および
通信相手のアドレスを除いて前記パケットを復号する復
号手段と、 c.前記復号したパケットを端末に送出する送出手段と
を有することを特徴とする暗号通信システム。 - 【請求項2】 前記第1の暗号装置の暗号手段は、前記
入力したパケットに含まれる前記通信元および通信相手
のアドレスと不正侵入をチェックする不正侵入フィール
ドを除いて前記パケットを暗号化し、 前記ルータの中継手段は、前記入力したパケットに含ま
れる前記通信元および通信相手のアドレスと前記不正侵
入フィールドのチェック結果とに基づいて前記パケット
を中継し、前記第2の暗号装置の復号手段は前記不正侵
入フィールドを除いて前記パケットを復号することを特
徴とする請求項1に記載の暗号通信システム。 - 【請求項3】 以下の構成要素を有する暗号装置。 a.パケットを入力する入力手段、 b.前記入力したパケットの所定フィールドを暗号処理
する暗号処理手段、 c.前記入力したパケットを廃棄する廃棄処理手段、 d.前記入力したパケットになにも処理せず出力する透
過処理手段、 e.データ種別とデータ処理種別の対応を記憶するデー
タ処理種別テーブルを指すポインタ手段、 f.前記入力したパケットに含まれる各階層のデータ種
別対応に、前記暗号処理手段、前記廃棄処理手段、前記
透過処理手段、前記ポインタ手段のいずれの手段で前記
パケットを処理するかを前記データ処理種別テーブルに
登録するデータ処理種別登録手段、 g.前記入力したパケットに含まれる各階層のデータ種
別に対応して前記データ処理種別テーブルに登録されて
いるデータ処理種別が、前記ポインタ手段ならそのポイ
ンタ手段が指すデータ処理種別テーブルに基づいて入力
したパケットを処理し、前記ポインタ手段以外ならデー
タ処理種別登録手段が登録したデータ処理種別に基づい
て、前記入力したパケットを処理する暗号処理手段、 h.前記暗号処理したパケットを出力する出力手段。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8057738A JPH09252315A (ja) | 1996-03-14 | 1996-03-14 | 暗号通信システムおよび暗号装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8057738A JPH09252315A (ja) | 1996-03-14 | 1996-03-14 | 暗号通信システムおよび暗号装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH09252315A true JPH09252315A (ja) | 1997-09-22 |
Family
ID=13064264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8057738A Pending JPH09252315A (ja) | 1996-03-14 | 1996-03-14 | 暗号通信システムおよび暗号装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH09252315A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2357019A (en) * | 1999-11-26 | 2001-06-06 | Mitsubishi Electric Corp | Apparatus which encrypts data received from a plaintext side of its local IP subnet and transmits it on a ciphertext side of the same subnet |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| WO2009054047A1 (ja) * | 2007-10-23 | 2009-04-30 | Netstar, Inc. | ウェブサイトの閲覧を管理するシステム |
-
1996
- 1996-03-14 JP JP8057738A patent/JPH09252315A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2357019A (en) * | 1999-11-26 | 2001-06-06 | Mitsubishi Electric Corp | Apparatus which encrypts data received from a plaintext side of its local IP subnet and transmits it on a ciphertext side of the same subnet |
| GB2357019B (en) * | 1999-11-26 | 2002-03-20 | Mitsubishi Electric Corp | Cryptographic apparatus encryptor and decryptor |
| US6775769B1 (en) | 1999-11-26 | 2004-08-10 | Mitsubishi Denki Kabushiki Kaisha | Cryptographic apparatus, encryptor, and decryptor |
| WO2008026243A1 (fr) * | 2006-08-28 | 2008-03-06 | Mitsubishi Electric Corporation | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
| WO2009054047A1 (ja) * | 2007-10-23 | 2009-04-30 | Netstar, Inc. | ウェブサイトの閲覧を管理するシステム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7353380B2 (en) | Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols | |
| US5757924A (en) | Network security device which performs MAC address translation without affecting the IP address | |
| US5235644A (en) | Probabilistic cryptographic processing method | |
| JP3783142B2 (ja) | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム | |
| JP3343064B2 (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| US5070528A (en) | Generic encryption technique for communication networks | |
| US5161193A (en) | Pipelined cryptography processor and method for its use in communication networks | |
| US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
| US5099517A (en) | Frame status encoding for communication networks | |
| US20070165865A1 (en) | Method and system for encryption and storage of information | |
| US20060173968A1 (en) | Method and system for sending a message through a secure connection | |
| WO2008007432A1 (en) | Relay device | |
| WO2008039468A2 (en) | Security encapsulation of ethernet frames | |
| JPH07107082A (ja) | 暗号ゲートウェイ装置 | |
| JPH06318939A (ja) | 暗号通信システム | |
| CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
| JPH07170280A (ja) | ローカルエリアネットワーク | |
| EP1024640B1 (en) | Method of encoding status information | |
| JPH09252315A (ja) | 暗号通信システムおよび暗号装置 | |
| JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
| JPH0897860A (ja) | 網間中継装置の経路情報交換方法 | |
| JP4757088B2 (ja) | 中継装置 | |
| JPH11203222A (ja) | 暗号通信方法 | |
| JPH11220495A (ja) | 暗号通信装置 | |
| JP4783665B2 (ja) | メールサーバ装置 |