JPH11203222A - 暗号通信方法 - Google Patents
暗号通信方法Info
- Publication number
- JPH11203222A JPH11203222A JP10007861A JP786198A JPH11203222A JP H11203222 A JPH11203222 A JP H11203222A JP 10007861 A JP10007861 A JP 10007861A JP 786198 A JP786198 A JP 786198A JP H11203222 A JPH11203222 A JP H11203222A
- Authority
- JP
- Japan
- Prior art keywords
- network
- layer
- communication data
- data
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 ネットワーク層による暗号機能を実現しつ
つ、ファイアウォールによるアクセス制御を可能にす
る。 【解決手段】 送信端末がネットワーク層においてアク
セス制御情報を除く部分を暗号化し、これとは別の暗号
鍵を用いてアクセス許可/不許可を判定するための情報
を含むトランスポートヘッダを暗号化し、通信データと
してネットワークに送信して、暗号データ中継装置がネ
ットワークから受信した通信データのトランスポートヘ
ッダを復号し、アクセス許可/不許可を判定し、アクセ
ス許可なら受信端末へ通信データを送信し、受信端末が
ネットワーク層においてアクセス制御情報を除く部分を
復号し平文のデータを得る。
つ、ファイアウォールによるアクセス制御を可能にす
る。 【解決手段】 送信端末がネットワーク層においてアク
セス制御情報を除く部分を暗号化し、これとは別の暗号
鍵を用いてアクセス許可/不許可を判定するための情報
を含むトランスポートヘッダを暗号化し、通信データと
してネットワークに送信して、暗号データ中継装置がネ
ットワークから受信した通信データのトランスポートヘ
ッダを復号し、アクセス許可/不許可を判定し、アクセ
ス許可なら受信端末へ通信データを送信し、受信端末が
ネットワーク層においてアクセス制御情報を除く部分を
復号し平文のデータを得る。
Description
【0001】
【発明の属する技術分野】この発明は、コンピュータネ
ットワークにおける暗号通信に関するものである。
ットワークにおける暗号通信に関するものである。
【0002】
【従来の技術】図6は、例えば、RFC1825(Security Ar
chitecture for the Internet Protocol)に示された従
来のネットワーク層による暗号通信の形態である。図6
において、1は暗号化前のデータのフォーマットで、ネ
ットワーク層の上位層であるトランスポート層から、ネ
ットワーク層へ渡される。2はネットワーク層により暗
号化され、ネットワーク層のヘッダ(以下、ネットワー
クヘッダ)が付加された送信データのフォーマットであ
る。図7は、インターネットのような盗聴などの危険性
のあるネットワーク(以下、危険域のネットワーク)を
介した通信の形態を示す。図7において3は通信端末、
4は危険域のネットワークである。
chitecture for the Internet Protocol)に示された従
来のネットワーク層による暗号通信の形態である。図6
において、1は暗号化前のデータのフォーマットで、ネ
ットワーク層の上位層であるトランスポート層から、ネ
ットワーク層へ渡される。2はネットワーク層により暗
号化され、ネットワーク層のヘッダ(以下、ネットワー
クヘッダ)が付加された送信データのフォーマットであ
る。図7は、インターネットのような盗聴などの危険性
のあるネットワーク(以下、危険域のネットワーク)を
介した通信の形態を示す。図7において3は通信端末、
4は危険域のネットワークである。
【0003】次に従来のネットワーク層による暗号通信
の形態について説明する。通信を行なう端末同士は、何
らかの方法で通信相手とあらかじめ暗号鍵の共有を行な
っておく。ユーザデータを送信する時は、送信側の端末
内のトランスポート層は、フォーマット1のようにユー
ザデータにトランスポートヘッダを付加したデータをネ
ットワーク層へ渡す。そして、ネットワーク層はこの渡
されたデータを暗号化した後、ネットワークヘッダを付
加してフォーマット2の形で送信データとして送信側の
端末の外部へ送信する。送信された通信データは、危険
域のネットワークを通過するが、ユーザデータにトラン
スポートヘッダを付加したデータを暗号化してあるた
め、盗聴の危険性は排除または軽減される。
の形態について説明する。通信を行なう端末同士は、何
らかの方法で通信相手とあらかじめ暗号鍵の共有を行な
っておく。ユーザデータを送信する時は、送信側の端末
内のトランスポート層は、フォーマット1のようにユー
ザデータにトランスポートヘッダを付加したデータをネ
ットワーク層へ渡す。そして、ネットワーク層はこの渡
されたデータを暗号化した後、ネットワークヘッダを付
加してフォーマット2の形で送信データとして送信側の
端末の外部へ送信する。送信された通信データは、危険
域のネットワークを通過するが、ユーザデータにトラン
スポートヘッダを付加したデータを暗号化してあるた
め、盗聴の危険性は排除または軽減される。
【0004】受信側の端末は、フォーマット2の形のデ
ータを受け、受信側の端末内のネットワーク層は、暗号
化されたユーザデータにトランスポートヘッダを付加し
たデータを復号し、フォーマット1の形に戻しトランス
ポート層へ渡す。図8は、従来のファイアウォールの使
用形態である。図8において、4は図7で示した危険域
のネットワーク、5は、従来のファイアウォール、6
は、端末を示す。12は、盗聴される恐れのないローカ
ルエリアネットワーク(以下、安全域のローカルエリア
ネットワーク)である。次に、図8を用いて、危険域の
ネットワーク4からファイアウォール5が暗号化された
通信データを受信したときの動作について説明する。
ータを受け、受信側の端末内のネットワーク層は、暗号
化されたユーザデータにトランスポートヘッダを付加し
たデータを復号し、フォーマット1の形に戻しトランス
ポート層へ渡す。図8は、従来のファイアウォールの使
用形態である。図8において、4は図7で示した危険域
のネットワーク、5は、従来のファイアウォール、6
は、端末を示す。12は、盗聴される恐れのないローカ
ルエリアネットワーク(以下、安全域のローカルエリア
ネットワーク)である。次に、図8を用いて、危険域の
ネットワーク4からファイアウォール5が暗号化された
通信データを受信したときの動作について説明する。
【0005】ファイアウォール5には予め端末6が収容
された危険域のネットワーク4との間の通信で使用を許
可するアプリケーション種別を設定しておく。ファイア
ウォール5は危険域のネットワーク4から端末6宛ての
通信データを受信したとき、その通信データのトランス
ポートヘッダの内容を見て、通信を許可するアプリケー
ション種別か判断し、許可されているものである場合は
通信データを中継し、許可されていない場合には通信デ
ータを廃棄する。 従って、端末6宛の通信データがフ
ォーマット2のようにトランスポートヘッダまで暗号化
していたので、ファイアウォール5はトランスポートヘ
ッダの内容を見ることができず、該当通信データがどの
アプリケーションで使用されるものであるかを正しく判
断できなかった。
された危険域のネットワーク4との間の通信で使用を許
可するアプリケーション種別を設定しておく。ファイア
ウォール5は危険域のネットワーク4から端末6宛ての
通信データを受信したとき、その通信データのトランス
ポートヘッダの内容を見て、通信を許可するアプリケー
ション種別か判断し、許可されているものである場合は
通信データを中継し、許可されていない場合には通信デ
ータを廃棄する。 従って、端末6宛の通信データがフ
ォーマット2のようにトランスポートヘッダまで暗号化
していたので、ファイアウォール5はトランスポートヘ
ッダの内容を見ることができず、該当通信データがどの
アプリケーションで使用されるものであるかを正しく判
断できなかった。
【0006】
【発明が解決しようとする課題】上記のような従来のネ
ットワーク層が提供する暗号通信方法では、送信端末
が、ネットワークヘッダ以降のユーザデータとトランス
ポートヘッダを全て暗号化してしまうため、端末間をフ
ァイアウォールで中継する通信においては、ファイアウ
ォールがアクセス制御を正しく行なうことができない場
合があった。
ットワーク層が提供する暗号通信方法では、送信端末
が、ネットワークヘッダ以降のユーザデータとトランス
ポートヘッダを全て暗号化してしまうため、端末間をフ
ァイアウォールで中継する通信においては、ファイアウ
ォールがアクセス制御を正しく行なうことができない場
合があった。
【0007】この発明はかかる問題点を解消するために
なされたものであり、ネットワーク層による暗号化を行
ないつつ、ファイアウォールによるアクセス制御も正し
く行うことのできる通信方法を提供することを目的とし
ている。
なされたものであり、ネットワーク層による暗号化を行
ないつつ、ファイアウォールによるアクセス制御も正し
く行うことのできる通信方法を提供することを目的とし
ている。
【0008】
【課題を解決するための手段】第1の発明に係わる暗号
通信方法は、第1のネットワークを介して送信端末と暗
号データ中継装置を接続し、第2のネットワークを介し
て暗号データ中継装置と受信端末を接続し、暗号データ
の通信を行う暗号通信方法において、上記送信端末は、
通信データのうちアクセス許可/不許可の判定を行うた
めの情報を有するトランスポートヘッダ部分を除外して
暗号化し、トランスポート層の処理を行うステップと、
ネットワーク層の処理を行ない、トランスポートヘッダ
を暗号化処理するステップと、通信データを上記第1の
ネットワークに送信するステップとを有し、上記暗号デ
ータ中継装置は、上記第1のネットワークから上記通信
データを受信するステップと、受信した通信データのネ
ットワーク層の処理を行うステップと、その処理した通
信データのトランスポートヘッダを復号するステップ
と、復号したトランスポートヘッダに基づいてアクセス
許可/不許可の判定を行うステップと、アクセス許可さ
れた場合は、トランスポートヘッダを復号した通信デー
タを上記第2のネットワークに送信するステップとを有
し、上記受信端末は、上記第2のネットワークから上記
通信データを受信するステップと、その受信した通信デ
ータのネットワーク層の処理を行うステップと、トラン
スポート層の処理を行なうステップと、トランスポート
ヘッダ以外の部分を復号するステップとを有する。
通信方法は、第1のネットワークを介して送信端末と暗
号データ中継装置を接続し、第2のネットワークを介し
て暗号データ中継装置と受信端末を接続し、暗号データ
の通信を行う暗号通信方法において、上記送信端末は、
通信データのうちアクセス許可/不許可の判定を行うた
めの情報を有するトランスポートヘッダ部分を除外して
暗号化し、トランスポート層の処理を行うステップと、
ネットワーク層の処理を行ない、トランスポートヘッダ
を暗号化処理するステップと、通信データを上記第1の
ネットワークに送信するステップとを有し、上記暗号デ
ータ中継装置は、上記第1のネットワークから上記通信
データを受信するステップと、受信した通信データのネ
ットワーク層の処理を行うステップと、その処理した通
信データのトランスポートヘッダを復号するステップ
と、復号したトランスポートヘッダに基づいてアクセス
許可/不許可の判定を行うステップと、アクセス許可さ
れた場合は、トランスポートヘッダを復号した通信デー
タを上記第2のネットワークに送信するステップとを有
し、上記受信端末は、上記第2のネットワークから上記
通信データを受信するステップと、その受信した通信デ
ータのネットワーク層の処理を行うステップと、トラン
スポート層の処理を行なうステップと、トランスポート
ヘッダ以外の部分を復号するステップとを有する。
【0009】第2の発明に係わる暗号通信方法は、第1
のネットワークを介して受信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と送信端末を接続して、暗号データの通信を行う暗
号通信方法において、上記送信端末は、通信データのう
ちアクセス許可/不許可の判定を行うための情報を有す
るトランスポートヘッダ部分を除外して暗号化し、トラ
ンスポート層の処理を行うステップと、ネットワーク層
の処理を行なうステップと、通信データを上記第2のネ
ットワークに送信するステップとを有し、上記暗号デー
タ中継装置は、上記第2のネットワークから上記通信デ
ータを受信するステップと、受信した通信データのネッ
トワーク層の処理を行うステップと、その処理した通信
データのトランスポートヘッダに基づいてアクセス許可
/不許可の判定を行うステップと、アクセス許可された
場合は、トランスポートヘッダを暗号化するステップ
と、暗号化した通信データを上記第1のネットワークに
送信するステップとを有し、上記受信端末は、上記第1
のネットワークから上記通信データを受信するステップ
と、その受信した通信データのネットワーク層の処理を
行ない、通信データのトランスポートヘッダを復号する
ステップと、トランスポート層の処理を行なうステップ
と、トランスポートヘッダ以外の部分を復号するステッ
プとを有する。
のネットワークを介して受信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と送信端末を接続して、暗号データの通信を行う暗
号通信方法において、上記送信端末は、通信データのう
ちアクセス許可/不許可の判定を行うための情報を有す
るトランスポートヘッダ部分を除外して暗号化し、トラ
ンスポート層の処理を行うステップと、ネットワーク層
の処理を行なうステップと、通信データを上記第2のネ
ットワークに送信するステップとを有し、上記暗号デー
タ中継装置は、上記第2のネットワークから上記通信デ
ータを受信するステップと、受信した通信データのネッ
トワーク層の処理を行うステップと、その処理した通信
データのトランスポートヘッダに基づいてアクセス許可
/不許可の判定を行うステップと、アクセス許可された
場合は、トランスポートヘッダを暗号化するステップ
と、暗号化した通信データを上記第1のネットワークに
送信するステップとを有し、上記受信端末は、上記第1
のネットワークから上記通信データを受信するステップ
と、その受信した通信データのネットワーク層の処理を
行ない、通信データのトランスポートヘッダを復号する
ステップと、トランスポート層の処理を行なうステップ
と、トランスポートヘッダ以外の部分を復号するステッ
プとを有する。
【0010】第3の発明に係わる暗号通信方法は、第1
のネットワークを介して送信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と受信端末を接続し、暗号データの通信を行う暗号
通信方法において、上記送信端末は、通信データのうち
アクセス許可/不許可の判定を行うための情報を有する
(N+1)層のヘッダ部分を除外して暗号化し、(N+
1)層の処理を行うステップと、N層の処理を行ない、
(N+1)層のヘッダを暗号化処理するステップと、通
信データを上記第1のネットワークに送信するステップ
とを有し、上記暗号データ中継装置は、上記第1のネッ
トワークから上記通信データを受信するステップと、受
信した通信データのN層の処理を行うステップと、その
処理した通信データの(N+1)層のヘッダを復号する
ステップと、復号した(N+1)層のヘッダに基づいて
アクセス許可/不許可の判定を行うステップと、アクセ
ス許可された場合は、(N+1)層のヘッダを復号した
通信データを上記第2のネットワークに送信するステッ
プとを有し、上記受信端末は、上記第2のネットワーク
から上記通信データを受信するステップと、その受信し
た通信データのN層の処理を行うステップと、(N+
1)層の処理を行なうステップと、(N+1)層のヘッ
ダ以外の部分を復号するステップとを有する。
のネットワークを介して送信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と受信端末を接続し、暗号データの通信を行う暗号
通信方法において、上記送信端末は、通信データのうち
アクセス許可/不許可の判定を行うための情報を有する
(N+1)層のヘッダ部分を除外して暗号化し、(N+
1)層の処理を行うステップと、N層の処理を行ない、
(N+1)層のヘッダを暗号化処理するステップと、通
信データを上記第1のネットワークに送信するステップ
とを有し、上記暗号データ中継装置は、上記第1のネッ
トワークから上記通信データを受信するステップと、受
信した通信データのN層の処理を行うステップと、その
処理した通信データの(N+1)層のヘッダを復号する
ステップと、復号した(N+1)層のヘッダに基づいて
アクセス許可/不許可の判定を行うステップと、アクセ
ス許可された場合は、(N+1)層のヘッダを復号した
通信データを上記第2のネットワークに送信するステッ
プとを有し、上記受信端末は、上記第2のネットワーク
から上記通信データを受信するステップと、その受信し
た通信データのN層の処理を行うステップと、(N+
1)層の処理を行なうステップと、(N+1)層のヘッ
ダ以外の部分を復号するステップとを有する。
【0011】第4の発明に係わる暗号通信方法は、第1
のネットワークを介して受信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と送信端末を接続して、暗号データの通信を行う暗
号通信方法において、上記送信端末は、通信データのう
ちアクセス許可/不許可の判定を行うための情報を有す
る(N+1)層のヘッダ部分を除外して暗号化し、(N
+1)層の処理を行うステップと、N層の処理を行なう
ステップと、通信データを上記第2のネットワークに送
信するステップとを有し、上記暗号データ中継装置は、
上記第2のネットワークから上記通信データを受信する
ステップと、受信した通信データのN層の処理を行うス
テップと、その処理した通信データの(N+1)層のヘ
ッダに基づいてアクセス許可/不許可の判定を行うステ
ップと、アクセス許可された場合は、(N+1)層のヘ
ッダを暗号化するステップと、暗号化した通信データを
上記第1のネットワークに送信するステップとを有し、
上記受信端末は、上記第1のネットワークから上記通信
データを受信するステップと、その受信した通信データ
のN層の処理を行ない、通信データの(N+1)層のヘ
ッダを復号するステップと、(N+1)層の処理を行な
うステップと、(N+1)層のヘッダ以外の部分を復号
するステップとを有する。
のネットワークを介して受信端末と暗号データ中継装置
を接続し、第2のネットワークを介して暗号データ中継
装置と送信端末を接続して、暗号データの通信を行う暗
号通信方法において、上記送信端末は、通信データのう
ちアクセス許可/不許可の判定を行うための情報を有す
る(N+1)層のヘッダ部分を除外して暗号化し、(N
+1)層の処理を行うステップと、N層の処理を行なう
ステップと、通信データを上記第2のネットワークに送
信するステップとを有し、上記暗号データ中継装置は、
上記第2のネットワークから上記通信データを受信する
ステップと、受信した通信データのN層の処理を行うス
テップと、その処理した通信データの(N+1)層のヘ
ッダに基づいてアクセス許可/不許可の判定を行うステ
ップと、アクセス許可された場合は、(N+1)層のヘ
ッダを暗号化するステップと、暗号化した通信データを
上記第1のネットワークに送信するステップとを有し、
上記受信端末は、上記第1のネットワークから上記通信
データを受信するステップと、その受信した通信データ
のN層の処理を行ない、通信データの(N+1)層のヘ
ッダを復号するステップと、(N+1)層の処理を行な
うステップと、(N+1)層のヘッダ以外の部分を復号
するステップとを有する。
【0012】
【発明の実施の形態】本実施の形態は中継装置(例えば
ファイアウォール)を介して、傍聴される危険のある端
末と傍聴される危険のない端末との暗号通信を行う例を
示す。図1はこの発明の通信形態を示す図である。図1
において、5および7は暗号通信を行う端末で、共にユ
ーザデータを暗号鍵Aで暗号化する。また、端末5は暗
号鍵Bでトランスポート層のヘッダを暗号化する。6は
暗号データ中継装置、8は従来例で述べたものと同様の
傍聴される危険のある(危険域の)ネットワークであ
る。12は傍聴される危険のない(安全域の)ローカル
エリアネットワークである。なお、端末5は危険域に属
する端末、端末7は安全域に属する端末である。
ファイアウォール)を介して、傍聴される危険のある端
末と傍聴される危険のない端末との暗号通信を行う例を
示す。図1はこの発明の通信形態を示す図である。図1
において、5および7は暗号通信を行う端末で、共にユ
ーザデータを暗号鍵Aで暗号化する。また、端末5は暗
号鍵Bでトランスポート層のヘッダを暗号化する。6は
暗号データ中継装置、8は従来例で述べたものと同様の
傍聴される危険のある(危険域の)ネットワークであ
る。12は傍聴される危険のない(安全域の)ローカル
エリアネットワークである。なお、端末5は危険域に属
する端末、端末7は安全域に属する端末である。
【0013】図2はこの発明の実施の形態で使用するデ
ータの形式を示したものである。図2において、9は例
えばユーザデータにトランスポートヘッダを付加したデ
ータで、トランスポート層からネットワーク層に渡され
る、10は例えばネットワーク層によりトランスポート
層のヘッダ(以下トランスポートヘッダ)を除外して暗
号化されたデータ、11は例えば10のデータのトラン
スポートヘッダを暗号化したデータの形式である。
ータの形式を示したものである。図2において、9は例
えばユーザデータにトランスポートヘッダを付加したデ
ータで、トランスポート層からネットワーク層に渡され
る、10は例えばネットワーク層によりトランスポート
層のヘッダ(以下トランスポートヘッダ)を除外して暗
号化されたデータ、11は例えば10のデータのトラン
スポートヘッダを暗号化したデータの形式である。
【0014】図3は、本実施の形態における暗号化時の
処理の手順を示し、図4は、本実施の形態における暗号
中継装置の復号時の処理の手順を示し。図5は、本実施
の形態における端末の復号時の処理の手順を示したフロ
ーチャートである。次に端末5と7が通信する場合の動
作を図を用いて説明する。通信に先立って端末5、暗号
データ中継装置6では暗号鍵Aが、端末5と7では暗号
鍵Bが何らかの方法で共有できているものとする。
処理の手順を示し、図4は、本実施の形態における暗号
中継装置の復号時の処理の手順を示し。図5は、本実施
の形態における端末の復号時の処理の手順を示したフロ
ーチャートである。次に端末5と7が通信する場合の動
作を図を用いて説明する。通信に先立って端末5、暗号
データ中継装置6では暗号鍵Aが、端末5と7では暗号
鍵Bが何らかの方法で共有できているものとする。
【0015】端末5が端末7に対してユーザデータを送
信する場合、まず端末5は、トランスポート層がネット
ワーク層へフォーマット9の形でユーザデータにトラン
スポートヘッダを付加したデータを、ネットワーク層に
渡す。そして、端末5のネットワーク層が、トランスポ
ートヘッダの範囲を認識し、トランスポートヘッダ以外
を暗号化範囲と認識する(図3のステップS51)。次
にユーザデータ部分を暗号鍵Bで暗号化する(ステップ
S52)。さらに通常のネットワーク層の処理を行ない
データにネットワークヘッダを付加する(ステップS5
3)。そして、トランスポートヘッダを暗号鍵Aで暗号
化し、フォーマット11の形でネットワーク8に送信す
る(ステップS54)。端末5から送信されたフレーム
は、危険域のネットワーク8を通過して、暗号データ中
継装置6(ファイアウォール)へ到達する。
信する場合、まず端末5は、トランスポート層がネット
ワーク層へフォーマット9の形でユーザデータにトラン
スポートヘッダを付加したデータを、ネットワーク層に
渡す。そして、端末5のネットワーク層が、トランスポ
ートヘッダの範囲を認識し、トランスポートヘッダ以外
を暗号化範囲と認識する(図3のステップS51)。次
にユーザデータ部分を暗号鍵Bで暗号化する(ステップ
S52)。さらに通常のネットワーク層の処理を行ない
データにネットワークヘッダを付加する(ステップS5
3)。そして、トランスポートヘッダを暗号鍵Aで暗号
化し、フォーマット11の形でネットワーク8に送信す
る(ステップS54)。端末5から送信されたフレーム
は、危険域のネットワーク8を通過して、暗号データ中
継装置6(ファイアウォール)へ到達する。
【0016】暗号データ中継装置6はトランスポートヘ
ッダの長さを認識し、暗号鍵Aでそのトランスポートヘ
ッダを復号する(図4のステップS61)。その後復号
したトランスポートヘッダから転送の可否の判定をし
て、その結果に応じてデータの転送、廃棄の動作を行な
う(ステップ、S62,S63,S64)。転送を行な
う場合は、トランスポートヘッダを復号したフォーマッ
ト10の形で端末7に転送する。
ッダの長さを認識し、暗号鍵Aでそのトランスポートヘ
ッダを復号する(図4のステップS61)。その後復号
したトランスポートヘッダから転送の可否の判定をし
て、その結果に応じてデータの転送、廃棄の動作を行な
う(ステップ、S62,S63,S64)。転送を行な
う場合は、トランスポートヘッダを復号したフォーマッ
ト10の形で端末7に転送する。
【0017】端末7は、フォーマット10の形の暗号化
したユーザデータにトランスポートヘッダを付加し、更
にネットワークヘッダを付加した通信データを受けと
り、ネットワーク層が、暗号化されたユーザデータにト
ランスポートヘッダを付加したデータを、トランスポー
ト層へ渡す。そして、トランスポート層がトランスポー
トヘッダの長さを認識し(図5のステップS71)、そ
れ以外の部分を暗号鍵Bで復号し、平文のユーザデータ
を得る(ステップS72)。以上の手順により、端末7
は端末5からの平文のユーザデータを得る。逆に、端末
7から端末5へフレームを送信する場合は、端末7がユ
ーザデータを暗号鍵Bで暗号化し、トランスポートヘッ
ダを付加する。そして、暗号データ中継装置6がトラン
スポートヘッダを暗号鍵Aで暗号化し、端末5がトラン
スポートヘッダを暗号鍵Aで復号し、暗号鍵Bで暗号化
されたユーザデータを復号する。
したユーザデータにトランスポートヘッダを付加し、更
にネットワークヘッダを付加した通信データを受けと
り、ネットワーク層が、暗号化されたユーザデータにト
ランスポートヘッダを付加したデータを、トランスポー
ト層へ渡す。そして、トランスポート層がトランスポー
トヘッダの長さを認識し(図5のステップS71)、そ
れ以外の部分を暗号鍵Bで復号し、平文のユーザデータ
を得る(ステップS72)。以上の手順により、端末7
は端末5からの平文のユーザデータを得る。逆に、端末
7から端末5へフレームを送信する場合は、端末7がユ
ーザデータを暗号鍵Bで暗号化し、トランスポートヘッ
ダを付加する。そして、暗号データ中継装置6がトラン
スポートヘッダを暗号鍵Aで暗号化し、端末5がトラン
スポートヘッダを暗号鍵Aで復号し、暗号鍵Bで暗号化
されたユーザデータを復号する。
【0018】以上のように、端末同士は通信データを暗
号化しているので通信の秘密を保つことができ、ファイ
アウォールは暗号フレームに対しても適切なアクセス制
御を適用することができる。またこの時に暗号鍵A、B
を異なるものにし、暗号鍵Bを暗号データ中継装置の管
理者に対して秘密にすることにより、端末間でやりとり
するデータを暗号データ中継装置(例えばファイアウォ
ールの管理者)に対しても秘匿することができる。
号化しているので通信の秘密を保つことができ、ファイ
アウォールは暗号フレームに対しても適切なアクセス制
御を適用することができる。またこの時に暗号鍵A、B
を異なるものにし、暗号鍵Bを暗号データ中継装置の管
理者に対して秘密にすることにより、端末間でやりとり
するデータを暗号データ中継装置(例えばファイアウォ
ールの管理者)に対しても秘匿することができる。
【0019】本実施の形態では、アクセスの許可/不許
可を判定する箇所としてトランスポートヘッダを使用し
ているが、他の層のヘッダ部を、アクセスの許可/不許
可を判定する箇所として使用しても同様の効果が得られ
る。また、本実施の形態ではネットワーク層とトランス
ポート層を例に説明したが、OSIモデルにおいてそれ
ぞれN層とN+1層に対応づけても同様に暗号通信がで
きる。
可を判定する箇所としてトランスポートヘッダを使用し
ているが、他の層のヘッダ部を、アクセスの許可/不許
可を判定する箇所として使用しても同様の効果が得られ
る。また、本実施の形態ではネットワーク層とトランス
ポート層を例に説明したが、OSIモデルにおいてそれ
ぞれN層とN+1層に対応づけても同様に暗号通信がで
きる。
【0020】
【発明の効果】以上のように、第1〜4の発明によれ
ば、ファイアウォールを挟んだ端末同士でも通信データ
を暗号により保護しながら通信ができると共に暗号通信
でも不正アクセス防止できる。また、端末相互間の通信
に用いる暗号鍵をファイアウォールに知られずに通信が
できる。
ば、ファイアウォールを挟んだ端末同士でも通信データ
を暗号により保護しながら通信ができると共に暗号通信
でも不正アクセス防止できる。また、端末相互間の通信
に用いる暗号鍵をファイアウォールに知られずに通信が
できる。
【図1】 本実施の形態での暗号通信の形態を示す構成
図である。
図である。
【図2】 本実施の形態で暗号化過程でのデータのフォ
ーマットである。
ーマットである。
【図3】 本実施の形態の暗号時の処理手順を示すフロ
ーチャートである。
ーチャートである。
【図4】 本実施の形態で中継装置の復号時の処理手順
を示すフローチャートである。
を示すフローチャートである。
【図5】 本実施の形態で端末の復号時の処理手順を示
すフローチャートである。
すフローチャートである。
【図6】 従来例で使用するデータのフォーマットであ
る。
る。
【図7】 従来例での暗号通信の形態を示す構成図であ
る。
る。
【図8】 従来例でのファイアウォール経由で暗号通信
する形態を示す構成図である。
する形態を示す構成図である。
5 暗号端末 6 暗号データ中継装置(ファイアウオール) 7 暗号端末 8 危険域のネットワーク 9 暗号化前のデータフォーマット 10 トランスポートヘッダ以外を暗号化した時のデー
タフォーマット 11 トランスポートヘッダも暗号化した時のデータフ
ォーマット 12 安全域のローカルエリアネットワーク
タフォーマット 11 トランスポートヘッダも暗号化した時のデータフ
ォーマット 12 安全域のローカルエリアネットワーク
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 12/28 H04L 11/20 B 12/66
Claims (4)
- 【請求項1】 第1のネットワークを介して送信端末と
暗号データ中継装置を接続し、第2のネットワークを介
して暗号データ中継装置と受信端末を接続し、暗号デー
タの通信を行う暗号通信方法において、 上記送信端末は、通信データのうちアクセス許可/不許
可の判定を行うための情報を有するトランスポートヘッ
ダ部分を除外して暗号化し、トランスポート層の処理を
行うステップと、 ネットワーク層の処理を行ない、トランスポートヘッダ
を暗号化処理するステップと、 通信データを上記第1のネットワークに送信するステッ
プとを有し、 上記暗号データ中継装置は、上記第1のネットワークか
ら上記通信データを受信するステップと、 受信した通信データのネットワーク層の処理を行うステ
ップと、 その処理した通信データのトランスポートヘッダを復号
するステップと、 復号したトランスポートヘッダに基づいてアクセス許可
/不許可の判定を行うステップと、 アクセス許可された場合は、トランスポートヘッダを復
号した通信データを上記第2のネットワークに送信する
ステップとを有し、 上記受信端末は、上記第2のネットワークから上記通信
データを受信するステップと、 その受信した通信データのネットワーク層の処理を行う
ステップと、 トランスポート層の処理を行なうステップと、トランス
ポートヘッダ以外の部分を復号するステップとを有する
ことを特徴とする暗号通信方法。 - 【請求項2】 第1のネットワークを介して受信端末と
暗号データ中継装置を接続し、第2のネットワークを介
して暗号データ中継装置と送信端末を接続して、暗号デ
ータの通信を行う暗号通信方法において、 上記送信端末は、通信データのうちアクセス許可/不許
可の判定を行うための情報を有するトランスポートヘッ
ダ部分を除外して暗号化し、トランスポート層の処理を
行うステップと、 ネットワーク層の処理を行なうステップと、 通信データを上記第2のネットワークに送信するステッ
プとを有し、 上記暗号データ中継装置は、上記第2のネットワークか
ら上記通信データを受信するステップと、 受信した通信データのネットワーク層の処理を行うステ
ップと、 その処理した通信データのトランスポートヘッダに基づ
いてアクセス許可/不許可の判定を行うステップと、 アクセス許可された場合は、トランスポートヘッダを暗
号化するステップと、暗号化した通信データを上記第1
のネットワークに送信するステップとを有し、 上記受信端末は、上記第1のネットワークから上記通信
データを受信するステップと、 その受信した通信データのネットワーク層の処理を行な
い、通信データのトランスポートヘッダを復号するステ
ップと、 トランスポート層の処理を行なうステップと、 トランスポートヘッダ以外の部分を復号するステップと
を有することを特徴とする暗号通信方法。 - 【請求項3】 第1のネットワークを介して送信端末と
暗号データ中継装置を接続し、第2のネットワークを介
して暗号データ中継装置と受信端末を接続し、暗号デー
タの通信を行う暗号通信方法において、 上記送信端末は、通信データのうちアクセス許可/不許
可の判定を行うための情報を有する(N+1)層のヘッ
ダ部分を除外して暗号化し、(N+1)層の処理を行う
ステップと、 N層の処理を行ない、(N+1)層のヘッダを暗号化処
理するステップと、 通信データを上記第1のネットワークに送信するステッ
プとを有し、 上記暗号データ中継装置は、上記第1のネットワークか
ら上記通信データを受信するステップと、 受信した通信データのN層の処理を行うステップと、 その処理した通信データの(N+1)層のヘッダを復号
するステップと、 復号した(N+1)層のヘッダに基づいてアクセス許可
/不許可の判定を行うステップと、 アクセス許可された場合は、(N+1)層のヘッダを復
号した通信データを上記第2のネットワークに送信する
ステップとを有し、 上記受信端末は、上記第2のネットワークから上記通信
データを受信するステップと、 その受信した通信データのN層の処理を行うステップ
と、 (N+1)層の処理を行なうステップと、(N+1)層
のヘッダ以外の部分を復号するステップとを有すること
を特徴とする暗号通信方法。 - 【請求項4】 第1のネットワークを介して受信端末と
暗号データ中継装置を接続し、第2のネットワークを介
して暗号データ中継装置と送信端末を接続して、暗号デ
ータの通信を行う暗号通信方法において、 上記送信端末は、通信データのうちアクセス許可/不許
可の判定を行うための情報を有する(N+1)層のヘッ
ダ部分を除外して暗号化し、(N+1)層の処理を行う
ステップと、 N層の処理を行なうステップと、 通信データを上記第2のネットワークに送信するステッ
プとを有し、 上記暗号データ中継装置は、上記第2のネットワークか
ら上記通信データを受信するステップと、 受信した通信データのN層の処理を行うステップと、 その処理した通信データの(N+1)層のヘッダに基づ
いてアクセス許可/不許可の判定を行うステップと、 アクセス許可された場合は、(N+1)層のヘッダを暗
号化するステップと、暗号化した通信データを上記第1
のネットワークに送信するステップとを有し、 上記受信端末は、上記第1のネットワークから上記通信
データを受信するステップと、 その受信した通信データのN層の処理を行ない、通信デ
ータの(N+1)層のヘッダを復号するステップと、 (N+1)層の処理を行なうステップと、 (N+1)層のヘッダ以外の部分を復号するステップと
を有することを特徴とする暗号通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10007861A JPH11203222A (ja) | 1998-01-19 | 1998-01-19 | 暗号通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10007861A JPH11203222A (ja) | 1998-01-19 | 1998-01-19 | 暗号通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11203222A true JPH11203222A (ja) | 1999-07-30 |
Family
ID=11677443
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10007861A Pending JPH11203222A (ja) | 1998-01-19 | 1998-01-19 | 暗号通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11203222A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004034645A1 (ja) * | 2002-10-11 | 2004-04-22 | Matsushita Electric Industrial Co., Ltd. | Wlan相互接続における識別情報の保護方法 |
| JP2007072745A (ja) * | 2005-09-07 | 2007-03-22 | Nippon Telegraph & Telephone East Corp | ネットワークサービス管理システムおよびネットワークサービス管理方法 |
| JP2008182649A (ja) * | 2007-01-26 | 2008-08-07 | Hitachi Communication Technologies Ltd | 暗号化パケット通信システム |
| JP2008547257A (ja) * | 2005-06-13 | 2008-12-25 | シーメンス アクチエンゲゼルシヤフト | アドホックネットワーク内でデータを安全に伝送するための方法および装置 |
-
1998
- 1998-01-19 JP JP10007861A patent/JPH11203222A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004034645A1 (ja) * | 2002-10-11 | 2004-04-22 | Matsushita Electric Industrial Co., Ltd. | Wlan相互接続における識別情報の保護方法 |
| JPWO2004034645A1 (ja) * | 2002-10-11 | 2006-02-09 | 松下電器産業株式会社 | Wlan相互接続における識別情報の保護方法 |
| US7594113B2 (en) | 2002-10-11 | 2009-09-22 | Panasonic Corporation | Identification information protection method in WLAN inter-working |
| JP2009246988A (ja) * | 2002-10-11 | 2009-10-22 | Panasonic Corp | Wlan相互接続における識別情報の保護方法 |
| JP4619788B2 (ja) * | 2002-10-11 | 2011-01-26 | パナソニック株式会社 | Wlan相互接続における識別情報の保護方法 |
| US7945777B2 (en) | 2002-10-11 | 2011-05-17 | Panasonic Corporation | Identification information protection method in WLAN inter-working |
| JP2008547257A (ja) * | 2005-06-13 | 2008-12-25 | シーメンス アクチエンゲゼルシヤフト | アドホックネットワーク内でデータを安全に伝送するための方法および装置 |
| JP2007072745A (ja) * | 2005-09-07 | 2007-03-22 | Nippon Telegraph & Telephone East Corp | ネットワークサービス管理システムおよびネットワークサービス管理方法 |
| JP2008182649A (ja) * | 2007-01-26 | 2008-08-07 | Hitachi Communication Technologies Ltd | 暗号化パケット通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI313996B (en) | System and method for secure remote access | |
| KR100480225B1 (ko) | 데이터 안전화 통신장치 및 그 방법 | |
| JP4081724B1 (ja) | クライアント端末、中継サーバ、通信システム、及び通信方法 | |
| US7827597B2 (en) | Secure transport for mobile communication network | |
| US7539866B2 (en) | Method of cryptographing wireless data and apparatus using the method | |
| AU2002315013B9 (en) | Authentication of a user across communication sessions | |
| US7574737B1 (en) | Systems and methods for secure communication over a wireless network | |
| US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
| TW200307423A (en) | Password device and method, password system | |
| CN100566337C (zh) | 增强无线局域网安全的方法 | |
| US7039190B1 (en) | Wireless LAN WEP initialization vector partitioning scheme | |
| JP2008252456A (ja) | 通信装置、及び通信方法 | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| JPH1168730A (ja) | 暗号ゲートウェイ装置 | |
| JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
| JPH1141280A (ja) | 通信システム、vpn中継装置、記録媒体 | |
| JPH11203222A (ja) | 暗号通信方法 | |
| WO2003007569A1 (fr) | Structure de reseau pour crypter un terminal de systeme de communication mobile et procede de realisation de cette structure | |
| US20080059788A1 (en) | Secure electronic communications pathway | |
| WO2005057842A1 (en) | A wireless lan system | |
| JP2005223838A (ja) | 通信システムおよび中継装置 | |
| KR100458955B1 (ko) | 무선랜 보안 방법 | |
| KR0171003B1 (ko) | 정보보호 프로토콜 및 그를 이용한 정보 보호방법 |