JPH10327193A - Encipherment system - Google Patents
Encipherment systemInfo
- Publication number
- JPH10327193A JPH10327193A JP13545397A JP13545397A JPH10327193A JP H10327193 A JPH10327193 A JP H10327193A JP 13545397 A JP13545397 A JP 13545397A JP 13545397 A JP13545397 A JP 13545397A JP H10327193 A JPH10327193 A JP H10327193A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- information
- packet data
- packet
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、イントラネットと
インターネットなどを接続するために使用されるゲート
ウェイ装置などの暗号化方式に関し、特に、広域に分散
した事業所などの特定のグループの端末間で暗号通信を
行う場合に、任意の複数台の端末が、共通の暗号化アル
ゴリズムや暗号化パラメータを認識するパケット通信シ
ステムにおける暗号化方式に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an encryption system such as a gateway device used for connecting an intranet to the Internet and the like, and more particularly, to an encryption system between terminals of a specific group such as offices distributed over a wide area. The present invention relates to an encryption method in a packet communication system in which arbitrary plural terminals recognize a common encryption algorithm and an encryption parameter when performing communication.
【0002】[0002]
【従来の技術】インターネットなどを介してデータを伝
送する際、データの秘匿性を保つために、暗号通信シス
テムが使用される。2. Description of the Related Art When data is transmitted via the Internet or the like, an encryption communication system is used to keep data confidential.
【0003】図6は、従来技術による暗号通信システム
を示す図である。端末7201,7202,…,720nから
なるAグループの端末に暗号ゲートウェイ装置700が
外付けされ、端末7301,7302,…,730nからなる
Bグループの端末に暗号ゲートウェイ装置710が外付
けされている。暗号ゲートウェイ700,710は、ネ
ットワーク740を介して相互に接続している。Aグル
ープの端末7201,7202,…,720nとBグループの
端末7301,7302,…,730nとの間の通信におい
て、暗号ゲートウェイ700,710を介して通信され
るパケットデータの暗号化アルゴリズムや暗号化に使用
する鍵などのパラメータは、暗号ゲートウェイ700,
710間では固定されている。本来、このような暗号通
信システムでは、2つの暗号ゲートウェイ700,71
0を通過しないパケットは、復号化はされないはずであ
るが、途中のネットワーク740において、これら暗号
化されたパケットを傍受し、パケットの暗号化アルゴリ
ズムや鍵を解読され、重要な情報を盗聴されてしまうお
それがあるまた、特開平7−107082号公報には、
暗号化/非暗号化の選択や、セッション鍵の選択を、端
末の組み合わせごとあるいはセッションごとに設定でき
る暗号ゲートウェイ装置が開示されている。FIG. 6 is a diagram showing a conventional cryptographic communication system. Terminal 720 1, 720 2, ..., 720 encryption gateway device 700 to the terminal of the A group of n is external, terminal 730 1, 730 2, ..., encryption gateway device 710 to B group of terminals made of 730 n Externally attached. The cryptographic gateways 700 and 710 are interconnected via a network 740. Terminal 720 1, 720 2 of the A group, ..., 720 terminal 730 n and B group 1, 730 2, ..., in the communication between the 730 n, the packet data communicated via the encryption gateway 700 and 710 Parameters such as an encryption algorithm and a key used for encryption are set in the encryption gateway 700,
It is fixed between 710. Originally, in such a cryptographic communication system, two cryptographic gateways 700, 71
Packets that do not pass through 0 should not be decrypted, but in the network 740 on the way, these encrypted packets are intercepted, the encryption algorithm and key of the packets are decrypted, and important information is intercepted. In addition, JP-A-7-107082 discloses that
There is disclosed a cryptographic gateway device that can select encryption / non-encryption and session key selection for each combination of terminals or each session.
【0004】さらに、RFC(request for comments)1
825〜1828には、IP(インターネットプロトコ
ル)におけるセキュリティを扱った"Security Architec
turefor Internet Protocol"(以下、IPSEC)が規
定されている。図7は、IPSECで規定されているI
P用セキュリティ認証ヘッダ(AH)を説明する図であ
る。セキュリティ認証ヘッダ(AH)には、このヘッダ
の後のヘッダ識別子やこのヘッダの長さ、SPI(Secu
rity Parameter Index)、可変長の認証データが格納さ
れる。そして、各IPパケットにおいて、IPヘッダと
IPデータグラムの間に挿入される。Further, RFC (request for comments) 1
825-1828 describes "Security Architec" which deals with security in IP (Internet Protocol).
7 (hereinafter referred to as IPSEC). FIG. 7 shows the IP protocol defined by the IPSEC.
It is a figure explaining the security authentication header for P (AH). The security authentication header (AH) includes a header identifier after this header, the length of this header, and SPI (Secu).
rity Parameter Index) and variable-length authentication data. Then, in each IP packet, it is inserted between the IP header and the IP datagram.
【0005】このセキュリティ認証ヘッダは、それを用
いることによりIPパケットデータの機密性を向上させ
るものであるが、本来、インターネット上におけるVP
N(Virtual Private Network:仮想閉域ネットワー
ク)での利用を目的としたものであるため、セキュリテ
ィ認証ヘッダ内に格納されるSPI(Security paramet
er index)は、米国のIANA(Internet Assigned Nu
mber)が規定したものでなければならず、このヘッダに
よるセキュリティ機能を企業内のイントラネットに適用
する場合、SPIのイントラネット内における管理やセ
キュリティを必要としないデータトラフィックの妨げに
なる。[0005] This security authentication header is used to improve the confidentiality of IP packet data by using it.
Since it is intended for use in N (Virtual Private Network), the SPI (Security paramet) stored in the security authentication header
er index) is the US IANA (Internet Assigned Nu
mber). If the security function based on this header is applied to an intranet in a company, it will hinder data traffic that does not require management or security in the intranet of the SPI.
【0006】[0006]
【発明が解決しようとする課題】上述した従来の暗号化
方式は、暗号ゲートウェイ間の暗号化アルゴリズムや使
用する鍵が固定化されているという問題点がある。いか
に強固な暗号化アルゴリズムといえども、いつも同じア
ルゴリズムによって暗号化を行なうことは、セキュリテ
ィ上、問題がある。The above-mentioned conventional encryption method has a problem that an encryption algorithm between encryption gateways and a key to be used are fixed. No matter how strong the encryption algorithm is, there is a problem in security that encryption is always performed by the same algorithm.
【0007】また、従来の暗号ゲートウェイでは、RF
C1825〜1828(IPSEC)で規定されている
IPパケットのセキュリティ技術をイントラネットに対
応することが困難であるという問題点がある。IPSE
Cで規定されているSPIは、グローバルネットワーク
に対してユニークであって、上述したように、米国のI
ANAが世界的規模でこのSPIを管理しており、この
ようなSPIを個々のイントラネットに割り振ること
は、現実的でないからである。Further, in a conventional cryptographic gateway, RF
There is a problem that it is difficult to support the security technology of the IP packet specified by C1825-1828 (IPSEC) for the intranet. IPSE
The SPI specified in C is unique to the global network and, as described above,
This is because ANA manages this SPI on a global scale, and it is not practical to allocate such SPIs to individual intranets.
【0008】本発明の目的は、従来の暗号ゲートウェイ
が用いる固定的な暗号化アルゴリズムの問題点に鑑み、
外部のネットワークに送信するパケットデータの中で、
暗号化を必要とするサービスを選択し、送出するパケッ
トデータごとに、IPSECにおけるセキュリティ認証
ヘッダのSPIを使用し、データパケットごとに暗号化
を変更し、かつSPIの情報から復号化を行なう暗号化
方式を提供することにある。特に、事業所間のネットワ
ーク(イントラネット)において、暗号ゲートウェイ間
でSPIを生成・解析し、インターネットなどのグロー
バルネットワークに対しては、IANA指定のSPIを
用いて暗号化を行なう暗号化方式を提供することにあ
る。[0008] An object of the present invention is to solve the problem of a fixed encryption algorithm used by a conventional cryptographic gateway.
In the packet data sent to the external network,
Selects a service that requires encryption, uses the SPI of the security authentication header in IPSEC for each packet data to be sent, changes the encryption for each data packet, and performs encryption based on the information in the SPI. It is to provide a method. In particular, in an inter-office network (intranet), an SPI is generated and analyzed between cryptographic gateways, and a global network such as the Internet is provided with an encryption method for performing encryption using an IANA-specified SPI. It is in.
【0009】[0009]
【課題を解決するための手段】本発明の暗号化方式は、
ネットワークとの接続を行うゲートウェイにおける暗号
化方式において、ゲートウェイが配置されるネットワー
ク内外へ送信する送信情報の組み立て及び送信を行う送
信手段と、ネットワーク内外から送信されてくる受信情
報を受信する受信手段と、受信手段で受信した受信情報
のヘッダ情報を解析し、その受信情報に対して暗号化、
復号化及び無処理のいずれかの処理を施してその受信情
報を送信手段から送信するかを判別するパケット解析手
段と、ヘッダ情報内の暗号化認証情報の解析及び暗号化
された受信情報に対する暗号化認証情報生成・付与を行
う暗号化認証処理手段と、暗号化する情報数をカウント
するカウンタと、暗号化認証処理手段から通知される解
析情報に従いデータの復号化を行って送信手段に復号化
された受信情報を渡し、カウンタから通知されるカウン
タ値から暗号化の態様を解析して受信情報の暗号化を行
ない暗号化認証処理手段に暗号化された受信情報を渡
し、暗号化された受信情報に付与する暗号化認証情報を
暗号化認証処理手段に対して通知する暗号化/復号化手
段とを有し、パケット解析手段において暗号化も復号化
も要しないと判別された受信情報は無処理のまま送信情
報として送信手段に渡されることを特徴とする。SUMMARY OF THE INVENTION The encryption method of the present invention comprises:
In an encryption method in a gateway for connection to a network, a transmission unit for assembling and transmitting transmission information to be transmitted to and from the network in which the gateway is arranged, and a reception unit for receiving reception information transmitted from inside and outside the network. Analyzing the header information of the received information received by the receiving means, encrypting the received information,
A packet analyzing means for performing one of a decryption process and a non-processing process to determine whether the received information is transmitted from the transmitting means; and analyzing the encrypted authentication information in the header information and encrypting the encrypted received information. Authentication processing means for generating and providing encrypted authentication information, a counter for counting the number of information to be encrypted, and decrypting the data in accordance with the analysis information notified from the encrypted authentication processing means to the transmitting means The received reception information is passed, the encryption mode is analyzed from the counter value notified by the counter, the reception information is encrypted, and the encrypted reception information is passed to the encryption authentication processing means. Encryption / decryption means for notifying encryption / authentication information to be added to the information to the encryption / authentication processing means, and the packet analysis means determines that neither encryption nor decryption is required. Received information is characterized in that passed to the transmission means as a still transmitting information untreated.
【0010】ここで暗号化の態様とは、暗号化パターン
とも呼ばれ、実際の暗号化の手順やパラメータを総称す
るものであり、具体的には、暗号化アルゴリズムと暗号
化に使用される鍵などのパターンとをまとめて指し示す
ものである。[0010] Here, the encryption mode is also called an encryption pattern, and is a general term for an actual encryption procedure and parameters. Specifically, an encryption algorithm and a key used for encryption are used. Such patterns are collectively indicated.
【0011】本発明の暗号化方式では、インターネット
などのグローバルなネットワークに対して接続する場合
は、暗号化/復号化手段がIPSEC仕様の処理を実行
するようにすることが好ましい。In the encryption system of the present invention, when a connection is made to a global network such as the Internet, it is preferable that the encryption / decryption means executes processing according to the IPSEC specification.
【0012】[0012]
【発明の実施の形態】次に、本発明の好ましい実施の形
態について、図面を参照して説明する。図1は、本発明
の実施の一形態の暗号化方式である暗号ゲートウェイの
構成を示すブロック図である。ここでは、暗号化認証情
報として、図7を用いて上述したセキュリティ認証ヘッ
ダ(AH)が使用されるものとする。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, a preferred embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration of an encryption gateway which is an encryption system according to an embodiment of the present invention. Here, it is assumed that the security authentication header (AH) described above with reference to FIG. 7 is used as the encrypted authentication information.
【0013】この暗号ゲートウェイ10は、(1)暗号ゲ
ートウェイ10が配置されるネットワーク内外へ送信す
るパケットデータの組み立て及び送信を行う送信手段2
0、(2)暗号ゲートウェイ10が配置されるネットワー
ク内外から送信されてくるパケットデータを受信する受
信手段30、(3)受信手段30において受信したパケッ
トデータに対して暗号化または復号化または無処理で送
信手段20へ渡すかを、受信したパケットデータのヘッ
ダ情報から解析を行うパケット解析手段40、(4)復号
化を要するデータに対してそのデータのセキュリティ認
証ヘッダ(AH)に含まれるヘッダ情報の解析及び暗号
化されたデータに対するセキュリティ認証ヘッダの生成
・付与を行うAH処理手段50、(5)復号化を要するデ
ータに対してそのデータのセキュリティ認証ヘッダへの
SPIの生成・付与を行うSPI処理手段60、(6)パ
ケット解析手段40において暗号化を要すると判定され
たパケットデータの数をカウントするカウンタ70、及
び(7)SPI処理手段60から通知されるSPI値から
復号化の態様を解析し、データの復号化を行い、送信手
段20に復号化されたデータを渡し、さらに、カウンタ
70から通知されるカウンタ値から暗号化の態様を解析
し、データの暗号化を行い、AH処理手段50に暗号化
されたデータを渡し、SPI処理手段60に対して暗号
化されたデータに付与するSPI値を通知する暗号化/
復号化手段80と、から構成されている。パケット解析
手段40において暗号化及び復号化も必要としない判別
されたパケットデータについては、受信手段30で受信
したパケットデータをそのまま送信手段20に受け渡す
ようになっている。また、インターネットなどのグロー
バルなネットワークに対して接続する場合は、通常のI
PSECで規定される処理(以下、IPSEC処理)を
行う。The encryption gateway 10 includes: (1) a transmission unit 2 for assembling and transmitting packet data to be transmitted to and from the network in which the encryption gateway 10 is located.
0, (2) receiving means 30 for receiving packet data transmitted from inside or outside the network in which the encryption gateway 10 is arranged, and (3) encrypting or decrypting or not processing the packet data received by the receiving means 30 Packet analysis means 40 for analyzing from the header information of the received packet data whether or not to pass the data to the transmission means 20; (4) header information included in the security authentication header (AH) of the data requiring decryption; AH processing means 50 for analyzing the data and generating and adding a security authentication header to the encrypted data, (5) SPI for generating and adding an SPI to the security authentication header of the data requiring decryption The processing means 60, (6) counts the number of packet data determined to require encryption by the packet analysis means 40. The decoding mode is analyzed based on the SPI value notified from the SPI processing unit 60, and the data is decoded, the decoded data is passed to the transmitting unit 20, and The encryption mode is analyzed from the counter value notified from 70, the data is encrypted, the encrypted data is passed to the AH processing means 50, and the encrypted data is given to the SPI processing means 60. To notify the SPI value to perform
And decoding means 80. For the packet data determined by the packet analysis unit 40 that does not require encryption and decryption, the packet data received by the reception unit 30 is passed to the transmission unit 20 as it is. When connecting to a global network such as the Internet,
A process defined by PSEC (hereinafter, IPSEC process) is performed.
【0014】この暗号ゲートウェイ10において、AH
処理手段50及びSPI処理手段60は、暗号化認証処
理手段を構成する。In this encryption gateway 10, AH
The processing means 50 and the SPI processing means 60 constitute an encryption authentication processing means.
【0015】次に、上述した暗号ゲートウェイを備えた
ネットワークについて、図2を用いて説明する。図2に
示すネットワーク構成において、企業などが運営してい
る独自のイントラネット400に、暗号ゲートウェイ2
00,210,220が接続し、暗号ゲートウェイ220
は、インターネット等のグローバルなネットワーク50
0を介して暗号ゲートウェイ230に接続している。暗
号ゲートウェイ200の配下には、端末3001,300
2,…,300nが接続され、暗号ゲートウェイ210に配
下には、端末3101,3102,…,310nが接続され、
暗号ゲートウェイ230に配下には、端末3201,32
02,…,320nが接続されている。これら各暗号ゲート
ウェイ200,210,220,230は、いずれも、上
述した暗号ゲートウェイ10によって構成されている。Next, a network provided with the above-described encryption gateway will be described with reference to FIG. In the network configuration shown in FIG. 2, a cryptographic gateway 2 is installed in a unique intranet 400 operated by a company or the like.
00, 210, 220 are connected and the cryptographic gateway 220
Is a global network 50 such as the Internet
0 to the cryptographic gateway 230. Under the cryptographic gateway 200, terminals 300 1 and 300
2, ..., 300 n are connected to the subordinate in the encryption gateway 210, the terminal 310 1, 310 2, ..., 310 n are connected,
Under the control of the cryptographic gateway 230, the terminals 320 1 , 32
0 2, ..., 320 n are connected. Each of these cryptographic gateways 200, 210, 220, 230 is constituted by the above-mentioned cryptographic gateway 10.
【0016】ここで、端末3001と端末3101の間の
通信セッションを、端末3102と端末3201との間
の通信セッションをとし、端末300nと端末3002
との間の通信セッションをとする。通信セッション
はネットワーク400を経由するセッションであり、通
信セッションはネットワーク400とインターネット
500を経由するセッションであり、通信セッション
は、暗号ゲートウェイ200の配下のサブネットに接続
された端末間でのセッションであって、暗号ゲートウェ
イ200から外部のネットワークに出て行くことのない
セッションである。なお、通信セッションでは、イン
ターネット500内はVPNで接続されるものとする。Here, a communication session between the terminal 300 1 and the terminal 310 1 is defined as a communication session between the terminal 310 2 and the terminal 320 1, and the terminal 300 n and the terminal 300 2
And a communication session between. The communication session is a session via the network 400, the communication session is a session via the network 400 and the Internet 500, and the communication session is a session between terminals connected to a subnet under the cryptographic gateway 200. , The session does not leave the cryptographic gateway 200 to the external network. In the communication session, the inside of the Internet 500 is connected by VPN.
【0017】セッション上で暗号化通信を行う場合、
端末3001から送信されたパケットデータは、暗号ゲ
ートウェイ200において、図1で示す受信手段30で
受信され、パケット解析手段40において暗号化するべ
き上位プロトコルであると解析され、カウンタ70の値
をインクリメントし、暗号化/復号化手段80において
カウンタ70が通知する値に対応する態様の暗号化をパ
ケットデータに施し、暗号化/復号化手段80は、この
暗号化の態様に対応するSPI値をSPI処理手段60
に通知する。暗号化されたパケットデータは、AH処理
手段50及びSPI処理手段60においてセキュリティ
認証ヘッダを生成・付与され、送信手段20において下
位レイヤのパケット組み立て処理がなされ、イントラネ
ット400に送出される。イントラネット400の内部
では、パケットデータの宛て先アドレスにしたがい、ル
ーティングされ暗号ゲートウェイ210に転送される。
このパケットデータは、暗号ゲートウェイ210におい
て、図1で示す受信手段30で受信され、パケット解析
手段40において復号化すべき上位プロトコルであると
解析され、AH処理手段50においてセキュリティ認証
ヘッダ内の情報が解析され、SPI処理手段においてセ
キュリティ認証ヘッダに付与されたSPI値が解析され
る。この解析されたSPI値は暗号化/復号化手段80
に通知され、暗号化/復号化手段80は、そのSPI値
に対応した態様の復号化をパケットデータに施し、送信
手段20において、下位レイヤのパケット組み立て処理
がなされ、端末3101に送出される。When performing encrypted communication on a session,
The packet data transmitted from the terminal 300 1 is received by the receiving means 30 shown in FIG. 1 in the cryptographic gateway 200 and analyzed by the packet analyzing means 40 as being a higher-level protocol to be encrypted, and the value of the counter 70 is incremented. Then, the encryption / decryption unit 80 performs encryption on the packet data in a mode corresponding to the value notified by the counter 70, and the encryption / decryption unit 80 converts the SPI value corresponding to the encryption mode into SPI Processing means 60
Notify. The AH processing unit 50 and the SPI processing unit 60 generate and attach a security authentication header to the encrypted packet data. The transmitting unit 20 performs a lower layer packet assembling process, and sends the packet to the intranet 400. Within the intranet 400, the packet data is routed and transferred to the encryption gateway 210 according to the destination address of the packet data.
This packet data is received by the receiving means 30 shown in FIG. 1 in the cryptographic gateway 210, analyzed by the packet analyzing means 40 as an upper protocol to be decrypted, and the information in the security authentication header is analyzed by the AH processing means 50. Then, the SPI processing means analyzes the SPI value given to the security authentication header. The analyzed SPI value is stored in the encryption / decryption unit 80.
Is notified, the encryption / decryption unit 80 performs the decoding of the mode corresponding to the SPI value to the packet data, the transmission unit 20, packet assembly processing in the lower layer is made and sent to the terminal 310 1 .
【0018】セッション上で暗号化通信を行う場合、
端末3102から送信されたパケットデータは、暗号ゲ
ートウェイ210において、図1で示す受信手段30で
受信され、パケット解析手段40において暗号化すべき
上位プロトコルであると解析され、カウンタ70の値を
インクリメントし、暗号化/復号化手段80においてカ
ウンタ70が通知する値に対応する態様で暗号化をパケ
ットデータに施し、暗号化/復号化手段80は、この暗
号化の態様に対応するSPI値をSPI処理手段60に
通知する。暗号化されたパケットデータは、AH処理手
段50及びSPI処理手段60においてセキュリティ認
証ヘッダを生成・付与され、送信手段20において下位
レイヤのパケット組み立て処理がなされ、イントラネッ
ト400に送出される。イントラネット400の内部で
は、パケットデータの送信先アドレスにしたがい、ルー
ティングされ暗号ゲートウェイ210に転送される。When performing encrypted communication on a session,
The packet data transmitted from the terminal 310 2 is received by the receiving unit 30 shown in FIG. 1 in the cryptographic gateway 210 and analyzed by the packet analyzing unit 40 as being a higher-level protocol to be encrypted, and the value of the counter 70 is incremented. The encryption / decryption means 80 performs encryption on the packet data in a manner corresponding to the value notified by the counter 70, and the encryption / decryption means 80 processes the SPI value corresponding to the encryption aspect by the SPI processing. Notify the means 60. The AH processing unit 50 and the SPI processing unit 60 generate and attach a security authentication header to the encrypted packet data. The transmitting unit 20 performs a lower layer packet assembling process, and transmits the packet to the intranet 400. Within the intranet 400, the packet data is routed and transferred to the encryption gateway 210 according to the destination address of the packet data.
【0019】このパケットデータは、暗号ゲートウェイ
220において、図1で示す受信手段30で受信され、
パケット解析手段40において復号化すべき上位プロト
コルであると解析される。このとき、パケット解析手段
40は、宛て先アドレスがイントラネット400に属さ
ないものであることを解析してその旨をSPI処理手段
60に通知する。SPI処理手段60は、IPSEC処
理の必要を暗号化/復号化手段80に通知し、暗号化/
復号化手段80は、IPSECにしたがってパケットデ
ータの暗号化を行う。そして、暗号化されたパケットデ
ータは、AH処理手段50及びSPI処理手段60にお
いてセキュリティ認証ヘッダを生成・付与され、送信手
段20において下位レイヤのパケット組み立て処理がな
され、グローバルネットワーク500に送出される。This packet data is received by the receiving means 30 shown in FIG.
The packet analyzing means 40 analyzes the upper protocol to be decoded. At this time, the packet analyzing means 40 analyzes that the destination address does not belong to the intranet 400 and notifies the SPI processing means 60 of the fact. The SPI processing means 60 notifies the encryption / decryption means 80 of the necessity of the IPSEC processing, and
The decryption means 80 encrypts the packet data according to IPSEC. Then, the AH processing unit 50 and the SPI processing unit 60 generate and add a security authentication header to the encrypted packet data, and the transmitting unit 20 performs a lower layer packet assembling process, and transmits the packet to the global network 500.
【0020】グローバルネットワーク500において、
パケットデータは、その宛て先アドレスにしたがってル
ーティングされ、暗号ゲートウェイ230に転送され
る。暗号ゲートウェイ230に送信されたパケットデー
タは、暗号ゲートウェイ230において、図1で示す受
信手段30で受信され、パケット解析手段40において
復号化すべき上位プロトコルであると解析される。パケ
ット解析手段40は、復号化すべき上位プロトコルであ
ることとグローバルネットワーク500から受信したパ
ケットデータであることとをSPI処理手段60に通知
し、SPI処理手段60は、暗号化/復号化手段80に
対しISPECにしたがって復号化する必要を通知す
る。暗号化/復号化手段80は、IPSECにしたがっ
てパケットデータの復号化を行い、復号化されたパケッ
トデータは、送信手段20において下位レイヤのパケッ
ト組み立て処理がなされ、端末3201に送出される。In the global network 500,
The packet data is routed according to its destination address and transferred to the cryptographic gateway 230. The packet data transmitted to the cryptographic gateway 230 is received by the receiving unit 30 shown in FIG. 1 in the cryptographic gateway 230 and analyzed by the packet analyzing unit 40 as being a higher-level protocol to be decrypted. The packet analysis unit 40 notifies the SPI processing unit 60 of the upper protocol to be decrypted and the packet data received from the global network 500, and the SPI processing unit 60 sends a message to the encryption / decryption unit 80. On the other hand, it notifies that decoding is necessary according to ISPEC. Encryption / decryption means 80, performs decoding of packet data according to IPSEC, decoded packet data, packet assembly processing in the lower layer is made in the transmitting unit 20, it is sent to the terminal 320 1.
【0021】セッションでは、暗号ゲートウェイ20
0から他の暗号ゲートウェイに向かってパケットデータ
が送出されることがないので、暗号化を行うことなく、
端末3002と300nの間でデータの送受が行われる。In the session, the cryptographic gateway 20
Since no packet data is sent from 0 to another encryption gateway, no encryption is performed.
Transmission and reception of data is performed between the terminal 300 2 and 300 n.
【0022】次に、本実施形態の暗号ゲートウェイにお
ける暗号化/復号化の処理の詳細を説明する。図3は暗
号化/復号化の処理を示すフローチャートである。ま
た、図4は、本実施形態で使用されるパケットデータの
IP(Internet Protocol:インターネットプロトコル)
ヘッダのフォーマットを説明する図であり、図5は本実
施形態でのパケットフォーマットを説明する図である。
図4に示すように、IPヘッダの構成は、通常のIPヘ
ッダと同様のものであるが、本実施の形態では、オプシ
ョンフィールドをセキュリティ認証ヘッダの格納用フィ
ールドとして使用している。また、下位レイヤでのパケ
ット組み立てが行われた後のパケットデータは、図5に
示すように、先頭にMAC(メディアアクセス制御:Me
dia AccessControl)ヘッダ、続いてIPヘッダが配置
し、そのあとに暗号化領域が配置し、最後に、フレーム
チェックシーケンスが配置する構成である。Next, details of the encryption / decryption processing in the encryption gateway of the present embodiment will be described. FIG. 3 is a flowchart showing an encryption / decryption process. FIG. 4 shows an IP (Internet Protocol) of packet data used in the present embodiment.
FIG. 5 is a diagram illustrating a header format, and FIG. 5 is a diagram illustrating a packet format according to the present embodiment.
As shown in FIG. 4, the configuration of the IP header is the same as that of a normal IP header, but in the present embodiment, the option field is used as a field for storing the security authentication header. Also, as shown in FIG. 5, the packet data after packet assembly in the lower layer has a MAC (media access control: Me) at the beginning.
dia Access Control), followed by an IP header, followed by an encryption area, and finally by a frame check sequence.
【0023】図3のフローチャートに戻って、まず、受
信手段30において、パケットデータの受信の有無を確
認し(ステップ101)、パケットデータを受信するま
で待機する。パケットデータを受信したら、受信手段3
0は、パケットデータをパケット解析手段40に送出す
る。Returning to the flowchart of FIG. 3, the receiving means 30 first checks whether or not packet data has been received (step 101), and waits until packet data is received. Upon receiving the packet data, the receiving means 3
0 sends the packet data to the packet analysis means 40.
【0024】パケット解析手段40は、受信手段30か
らパケットデータを受信すると、IPパケットかどう
か、すなわちそのパケットデータのMACヘッダを調べ
て上位プロトコルがIPかどうかを判断する(ステップ
102)。上位プロトコルがIPでない場合には、ステ
ップ114に移行し、そのパケットデータが送信手段2
0に渡されて送信される。一方、上位プロトコルがIP
であった場合には、パケット解析手段40は、パケット
データのIPヘッダ中のプロトコル("protocol")フィ
ールドの値から、上位のプロトコルを判別し、暗号化/
復号化を行う上位プロトコルかどうかを判定する(ステ
ップ103)。暗号化/復号化を行わない上位プロトコ
ルである場合には、ステップ114に移行し、そのパケ
ットデータが送信手段20に渡されて送信される。Upon receiving the packet data from the receiving means 30, the packet analyzing means 40 checks whether or not the packet is an IP packet, that is, checks the MAC header of the packet data to determine whether or not the upper layer protocol is IP (step 102). If the upper layer protocol is not IP, the process proceeds to step 114, and the packet data is
0 and transmitted. On the other hand, if the upper protocol is IP
In this case, the packet analysis unit 40 determines the higher-level protocol from the value of the protocol ("protocol") field in the IP header of the packet data,
It is determined whether the protocol is a higher-level protocol for decryption (step 103). If the protocol is a higher-level protocol that does not perform encryption / decryption, the process proceeds to step 114, and the packet data is passed to the transmission unit 20 and transmitted.
【0025】ステップ103において、暗号化/復号化
を行う上位プロトコルであると判定した場合には、パケ
ット解析手段40は、パケットデータのIPヘッダ中の
IPヘッダ長("IHL")の値から、オプション("optio
n")フィールドがあることを判別し、IPヘッダ内にセ
キュリティ認証ヘッダがあるかどうかを判別する(ステ
ップ104)。本実施形態の場合、上述したように、オ
プションフィールドがセキュリティ認証ヘッダを格納す
るために使用されているので、オプションフィールドの
有無によってセキュリティ認証ヘッダの有無を判別でき
る。If it is determined in step 103 that the protocol is a higher-level protocol for performing encryption / decryption, the packet analysis unit 40 determines from the value of the IP header length (“IHL”) in the IP header of the packet data. Options ("optio
n ") field, and determines whether there is a security authentication header in the IP header (step 104). In the case of the present embodiment, the option field stores the security authentication header as described above. Therefore, the presence or absence of the security authentication header can be determined by the presence or absence of the option field.
【0026】ステップ104においてセキュリティ認証
ヘッダフィールドが存在する場合には、暗号化されたパ
ケットデータであり、パケット解析手段40は、パケッ
トデータのIPヘッダ中のIPヘッダ長("IHL")フィ
ールド及びIPデータグラム長("TL")フィールドの値
に基づいてIPヘッダ領域とIPデータグラム領域を分
離し、IPデータグラムを取得し(ステップ105)、
IPヘッダを取得する(ステップ106)。さらにパケ
ット解析手段40は、IPヘッダから、発信元アドレス
("Source Address")と送信先アドレス("Destination
Address")を取得する(ステップ107)。そしてパ
ケット解析手段40は、取得した発信元アドレスから、
その発信元アドレスがイントラネット外のものであるか
を判別する(ステップ108)。発信元アドレスがイン
トラネット外である場合には、パケット解析手段40が
SPI処理手段60にIPSEC処理を行うことを通知
し(ステップ109)、後述するステップ115に移行
する。If the security authentication header field is present in step 104, the packet is encrypted packet data, and the packet analysis means 40 determines the IP header length ("IHL") field and the IP header length in the IP header of the packet data. The IP header area and the IP datagram area are separated based on the value of the datagram length ("TL") field to obtain an IP datagram (step 105).
An IP header is obtained (Step 106). Further, the packet analysis unit 40 determines the source address (“Source Address”) and the destination address (“Destination”) from the IP header.
Address ") (step 107). Then, the packet analysis unit 40 determines from the acquired source address
It is determined whether the source address is outside the intranet (step 108). If the source address is outside the intranet, the packet analysis unit 40 notifies the SPI processing unit 60 of performing the IPSEC process (step 109), and proceeds to step 115 described later.
【0027】一方、ステップ108において、発信元ア
ドレスがイントラネット内であった場合には、パケット
解析手段40はパケットデータをAH処理手段50に渡
す。これにより、AH処理手段50が、パケットデータ
のIPヘッダ内のセキュリティ認証ヘッダ中の"length"
フィールドから可変長の認証データを取得し(ステップ
110)、SPI処理手段60が、セキュリティ認証ヘ
ッダ中の"SPI"フィールドからSPI値を取得する(ス
テップ111)。そして、暗号化/復号化手段80は、
SPI処理手段60から通知されるSPI値に対応する
復号化の態様(復号化パターン)を選択し、その復号化
の態様に応じてパケットデータを復号化し(ステップ1
12)、ステップ113に移行する。On the other hand, if the source address is within the intranet at step 108, the packet analysis means 40 passes the packet data to the AH processing means 50. As a result, the AH processing means 50 transmits the "length" in the security authentication header in the IP header of the packet data.
The variable length authentication data is obtained from the field (step 110), and the SPI processing means 60 obtains the SPI value from the "SPI" field in the security authentication header (step 111). Then, the encryption / decryption means 80
A decoding mode (decoding pattern) corresponding to the SPI value notified from the SPI processing unit 60 is selected, and the packet data is decoded according to the decoding mode (step 1).
12), proceed to step 113.
【0028】ステップ104において、IPヘッダにセ
キュリティ認証ヘッダフィールドがない場合には、パケ
ットデータが平文であると判断し、ステップ115に移
行する。ステップ115では、カウンタ70の値に1を
加える、すなわち、カウンタ70の値をインクリメント
する。カウンタ70のインクリメントの後、パケット解
析手段40は、パケットデータのIPヘッダ中のIPヘ
ッダ長("IHL")フィールド及びIPデータグラム長("
TL")フィールドの値に基づいてIPヘッダ領域とIP
データグラム領域を分離し、IPデータグラムを取得し
(ステップ116)、IPヘッダを取得する(ステップ
117)。パケット解析手段40は、IPヘッダから、
発信元アドレス("Source Address")と送信先アドレス
("Destination Address")を取得する(ステップ11
8)。そしてパケット解析手段40は、取得した送信先
アドレスから、その送信先アドレスがイントラネット外
のものであるかを判別する(ステップ119)。発信元
アドレスがイントラネット外である場合には、パケット
解析手段40がSPI処理手段60にIPSEC処理を
行うことを通知し(ステップ120)、ステップ113
に移行する。In step 104, if there is no security authentication header field in the IP header, it is determined that the packet data is plain text, and the process proceeds to step 115. In step 115, 1 is added to the value of the counter 70, that is, the value of the counter 70 is incremented. After the counter 70 is incremented, the packet analysis unit 40 determines whether the IP header length (“IHL”) field and the IP datagram length (“
TL ") field and the IP header area and IP
The datagram area is separated, an IP datagram is obtained (step 116), and an IP header is obtained (step 117). The packet analysis means 40, from the IP header,
Acquire the source address ("Source Address") and destination address ("Destination Address") (step 11)
8). Then, the packet analysis unit 40 determines from the acquired destination address whether the destination address is outside the intranet (step 119). If the source address is outside the intranet, the packet analysis unit 40 notifies the SPI processing unit 60 that IPSEC processing is to be performed (step 120), and step 113
Move to
【0029】一方、ステップ119において送信先アド
レスがイントラネット内である場合には、暗号化/復号
化手段80が、カウンタ70から通知されたカウンタ値
に対応する暗号化の態様(暗号化パターン)を選択し、
その暗号化の態様によってパケットデータを暗号化する
(ステップ121)。そして、AH処理手段50が、暗
号化/復号化手段80で暗号化されたパケットデータに
対してセキュリティ認証ヘッダを生成・付与し(ステッ
プ122)、SPI処理手段60が、暗号化/復号化手
段80から暗号化/復号化手段80で選択した暗号化の
態様を通知され、その暗号化の態様に対応するSPIを
セキュリティ認証ヘッダに対して生成・付与し(ステッ
プ123)、ステップ113に移行する。On the other hand, if the destination address is within the intranet in step 119, the encryption / decryption means 80 determines the encryption mode (encryption pattern) corresponding to the counter value notified from the counter 70. Selected,
The packet data is encrypted according to the encryption mode (step 121). Then, the AH processing means 50 generates and adds a security authentication header to the packet data encrypted by the encryption / decryption means 80 (step 122), and the SPI processing means 60 executes the encryption / decryption means. The encryption mode selected by the encryption / decryption means 80 is notified from 80, and an SPI corresponding to the encryption mode is generated and added to the security authentication header (step 123), and the process proceeds to step 113. .
【0030】ステップ113では、送信手段20は、パ
ケット解析手段40、AH処理手段50及び暗号化/復
号化手段80のいずれからパケットデータを受信し、下
位レイヤのフレーム組み立てを行い、その後、ステップ
114に移行して、送信先に応じてそのパケットデータ
を端末または他の暗号ゲートウェイに対して送信する。In step 113, the transmitting means 20 receives the packet data from any of the packet analyzing means 40, the AH processing means 50, and the encrypting / decrypting means 80, assembles the lower layer frame, and then performs step 114. Then, the packet data is transmitted to the terminal or another encryption gateway according to the transmission destination.
【0031】以上の処理を行なうことにより、暗号ゲー
トウェイがパケットデータを受信したことに伴う一連の
動作が終了する。By performing the above processing, a series of operations associated with the reception of the packet data by the cryptographic gateway is completed.
【0032】[0032]
【発明の効果】以上説明したように、本発明による暗号
化方式を既存のゲートウェイに実装することにより、端
末間で通信されるパケットデータ等の情報を受信したと
きに、その情報の発信元、送信先、通信サービス及び暗
号化する情報数に応じて、受信したパケットデータに対
して暗号化もしくは復号化処理を行なって、あるいはこ
れらの処理を行わずに、情報が送信されることになり、
既存の暗号化方式に比べてセキュリティが強固な暗号通
信が可能になるというという効果がある。また、通信サ
ービスごとに暗号化/非暗号化を選択することで、機密
性の低い情報に対する暗号化作業を排除でき、処理負担
を軽減できる。As described above, by implementing the encryption method according to the present invention on an existing gateway, when information such as packet data communicated between terminals is received, the source of the information, Depending on the destination, the communication service and the number of information to be encrypted, the information is transmitted with or without performing the encryption or decryption processing on the received packet data,
This has the effect of enabling encrypted communication with stronger security than existing encryption methods. Further, by selecting encryption / non-encryption for each communication service, it is possible to eliminate encryption work for information with low confidentiality and reduce the processing load.
【図1】本発明の実施の一形態の暗号化方式である暗号
ゲートウェイの構成を示すブロック図である。FIG. 1 is a block diagram illustrating a configuration of a cryptographic gateway that is an encryption method according to an embodiment of the present invention.
【図2】図1に示す暗号ゲートウェイを備えたネットワ
ーク構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a network configuration including the cryptographic gateway illustrated in FIG. 1;
【図3】暗号化/復号化の処理を示すフローチャートで
ある。FIG. 3 is a flowchart showing an encryption / decryption process.
【図4】パケットデータのIPヘッダのフォーマットを
説明する図である。FIG. 4 is a diagram illustrating a format of an IP header of packet data.
【図5】本実施形態でのパケットフォーマットを説明す
る図である。FIG. 5 is a diagram illustrating a packet format in the present embodiment.
【図6】従来の暗号通信システムの構成を示すブロック
図である。FIG. 6 is a block diagram showing a configuration of a conventional cryptographic communication system.
【図7】セキュリティ認証ヘッダの構成を説明する図で
ある。FIG. 7 is a diagram illustrating a configuration of a security authentication header.
10,200,210,220,230 暗号ゲートウェ
イ 20 送信手段 30 受信手段 40 パケット解析手段 50 AH処理手段 60 SPI処理手段 70 カウンタ 80 暗号化/復号化手段 101〜123 ステップ 3001〜300n,3101〜310n,3201〜320n
端末10,200,210,220,230 encryption gateway 20 transmission unit 30 reception unit 40 packet analyzing unit 50 AH processing unit 60 SPI processing unit 70 counter 80 encryption / decryption means 101 to 123 Step 300 1 ~300 n, 310 1 ~ 310 n , 320 1 ~ 320 n
Terminal
Claims (2)
イにおける暗号化方式において、 前記ゲートウェイが配置されるネットワーク内外へ送信
する送信情報の組み立て及び送信を行う送信手段と、 前記ネットワーク内外から送信されてくる受信情報を受
信する受信手段と、 前記受信手段で受信した前記受信情報のヘッダ情報を解
析し、その受信情報に対して暗号化、復号化及び無処理
のいずれかの処理を施してその受信情報を前記送信手段
から送信するかを判別するパケット解析手段と、 ヘッダ情報内の暗号化認証情報の解析及び暗号化された
受信情報に対する暗号化認証情報生成・付与を行う暗号
化認証処理手段と、 暗号化する情報数をカウントするカウンタと、 前記暗号化認証処理手段から通知される解析情報に従い
データの復号化を行って前記送信手段に復号化された受
信情報を渡し、前記カウンタから通知されるカウンタ値
から暗号化の態様を解析して受信情報の暗号化を行ない
前記暗号化認証処理手段に暗号化された受信情報を渡
し、暗号化された受信情報に付与する暗号化認証情報を
前記暗号化認証処理手段に対して通知する暗号化/復号
化手段とを有し、 前記パケット解析手段において暗号化も復号化も要しな
いと判別された前記受信情報は無処理のまま送信情報と
して前記送信手段に渡されることを特徴とする暗号化方
式。1. An encryption method in a gateway that connects to a network, wherein: a transmitting unit that assembles and transmits transmission information to be transmitted to and from a network in which the gateway is arranged; and a reception unit that transmits from and to the network. Receiving means for receiving information, analyzing the header information of the received information received by the receiving means, performing any one of encryption, decryption and no processing on the received information, Packet analysis means for determining whether to transmit from the transmission means; encryption authentication processing means for analyzing encrypted authentication information in the header information and generating and adding encrypted authentication information to the encrypted received information; A counter for counting the number of information to be encrypted, and decryption of data according to analysis information notified from the encryption / authentication processing means. To pass the decrypted reception information to the transmission means, analyze the mode of encryption from the counter value notified from the counter, encrypt the reception information, and encrypt the received information by the encryption authentication processing means. And encryption / decryption means for notifying the encryption / authentication processing means of the encryption / authentication information to be given to the encrypted reception information. The encryption method characterized in that the received information determined to require no decryption is passed to the transmitting means as transmission information without any processing.
する場合は、前記暗号化/復号化手段がIPSEC仕様
の処理を実行する、請求項1に記載の暗号化方式。2. The encryption method according to claim 1, wherein when connecting to a global network, said encryption / decryption means executes processing according to IPSEC specifications.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13545397A JPH10327193A (en) | 1997-05-26 | 1997-05-26 | Encipherment system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP13545397A JPH10327193A (en) | 1997-05-26 | 1997-05-26 | Encipherment system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10327193A true JPH10327193A (en) | 1998-12-08 |
Family
ID=15152075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP13545397A Pending JPH10327193A (en) | 1997-05-26 | 1997-05-26 | Encipherment system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10327193A (en) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000038382A1 (en) * | 1998-12-21 | 2000-06-29 | Matsushita Electric Industrial Co., Ltd. | Communication system and communication method |
| JP2001127785A (en) * | 1999-10-29 | 2001-05-11 | Toshiba Corp | Network connection device, communication unit and network connection method |
| JP2001188664A (en) * | 1999-10-04 | 2001-07-10 | Canon Inc | Printing controller, printing control method |
| JP2001326695A (en) * | 2000-05-18 | 2001-11-22 | Matsushita Electric Ind Co Ltd | Gateway unit, connection server unit, internet terminal, network system |
| JP2002185540A (en) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | Encoder, encryption device and decoder |
| JP2005278009A (en) * | 2004-03-26 | 2005-10-06 | Mitsubishi Electric Corp | Encryption authentication packet communication device, encryption authentication packet communication method, and program which makes computer execute encryption authentication packet communication method |
| JP2006033350A (en) * | 2004-07-15 | 2006-02-02 | Nippon Telegr & Teleph Corp <Ntt> | Proxy secure router apparatus and program |
| CN1303537C (en) * | 2002-11-13 | 2007-03-07 | 英特尔公司 | Network protecting authentication proxy |
| JP2007074761A (en) * | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| US7434255B2 (en) | 2003-10-06 | 2008-10-07 | Matsushita Electric Works, Ltd. | Encryption error monitoring system and method for packet transmission |
| JP2009253563A (en) * | 2008-04-03 | 2009-10-29 | Nec Corp | Content encryption distribution system, content encryption distribution method, and program for content encryption distribution |
| JP2014087563A (en) * | 2012-10-31 | 2014-05-15 | Universal Entertainment Corp | Lsi for communication and game machine |
| JP2019198130A (en) * | 2019-08-27 | 2019-11-14 | Necプラットフォームズ株式会社 | Transmission device, relay device, communication system, transmission method, relay method, and program |
-
1997
- 1997-05-26 JP JP13545397A patent/JPH10327193A/en active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1058429A4 (en) * | 1998-12-21 | 2003-05-02 | Matsushita Electric Ind Co Ltd | Communication system and communication method |
| JP2000188616A (en) * | 1998-12-21 | 2000-07-04 | Matsushita Electric Ind Co Ltd | Communication system and communication method |
| EP1058429A1 (en) * | 1998-12-21 | 2000-12-06 | Matsushita Electric Industrial Co., Ltd. | Communication system and communication method |
| US6708200B1 (en) | 1998-12-21 | 2004-03-16 | Matsushita Electric Industrial Co., Ltd. | Communication system and communication method |
| WO2000038382A1 (en) * | 1998-12-21 | 2000-06-29 | Matsushita Electric Industrial Co., Ltd. | Communication system and communication method |
| JP2001188664A (en) * | 1999-10-04 | 2001-07-10 | Canon Inc | Printing controller, printing control method |
| JP2001127785A (en) * | 1999-10-29 | 2001-05-11 | Toshiba Corp | Network connection device, communication unit and network connection method |
| JP2001326695A (en) * | 2000-05-18 | 2001-11-22 | Matsushita Electric Ind Co Ltd | Gateway unit, connection server unit, internet terminal, network system |
| JP2002185540A (en) * | 2001-10-22 | 2002-06-28 | Mitsubishi Electric Corp | Encoder, encryption device and decoder |
| CN1303537C (en) * | 2002-11-13 | 2007-03-07 | 英特尔公司 | Network protecting authentication proxy |
| US7434255B2 (en) | 2003-10-06 | 2008-10-07 | Matsushita Electric Works, Ltd. | Encryption error monitoring system and method for packet transmission |
| JP2005278009A (en) * | 2004-03-26 | 2005-10-06 | Mitsubishi Electric Corp | Encryption authentication packet communication device, encryption authentication packet communication method, and program which makes computer execute encryption authentication packet communication method |
| JP2006033350A (en) * | 2004-07-15 | 2006-02-02 | Nippon Telegr & Teleph Corp <Ntt> | Proxy secure router apparatus and program |
| JP2007074761A (en) * | 2006-12-18 | 2007-03-22 | Trinity Security Systems Inc | Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus |
| JP2009253563A (en) * | 2008-04-03 | 2009-10-29 | Nec Corp | Content encryption distribution system, content encryption distribution method, and program for content encryption distribution |
| JP2014087563A (en) * | 2012-10-31 | 2014-05-15 | Universal Entertainment Corp | Lsi for communication and game machine |
| JP2019198130A (en) * | 2019-08-27 | 2019-11-14 | Necプラットフォームズ株式会社 | Transmission device, relay device, communication system, transmission method, relay method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5416842A (en) | Method and apparatus for key-management scheme for use with internet protocols at site firewalls | |
| Hennebert et al. | Security protocols and privacy issues into 6LoWPAN stack: A synthesis | |
| US5757924A (en) | Network security device which performs MAC address translation without affecting the IP address | |
| EP1635502B1 (en) | Session control server and communication system | |
| US8346949B2 (en) | Method and system for sending a message through a secure connection | |
| US8775790B2 (en) | System and method for providing secure network communications | |
| US20060031936A1 (en) | Encryption security in a network system | |
| EP0693836A1 (en) | Method and apparatus for a key-management scheme for internet protocols. | |
| CN109150688A (en) | IPSec VPN data transmission method and device | |
| EP1495621A1 (en) | Security transmission protocol for a mobility ip network | |
| CN101529805A (en) | Relay device | |
| JPH10327193A (en) | Encipherment system | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| JPH07107082A (en) | Cipher gateway device | |
| JPH09312642A (en) | Data communication system | |
| JPH1141280A (en) | Communication system, vpn repeater and recording medium | |
| Cisco | Introduction to Cisco IPsec Technology | |
| Cisco | Introduction to Cisco IPsec Technology | |
| Cisco | Glossary | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| JP2000312203A (en) | Method and system for passing control in encryption communication | |
| Alhumrani et al. | Cryptographic protocols for secure cloud computing | |
| JP2005223838A (en) | Communications system and relay device | |
| Khamsaeng et al. | Providing an end-to-end privacy preservation over LoRa WanPlatforms | |
| US20040091113A1 (en) | Interface apparatus for monitoring encrypted network |