JPH11205309A - Network security system - Google Patents
Network security systemInfo
- Publication number
- JPH11205309A JPH11205309A JP10006393A JP639398A JPH11205309A JP H11205309 A JPH11205309 A JP H11205309A JP 10006393 A JP10006393 A JP 10006393A JP 639398 A JP639398 A JP 639398A JP H11205309 A JPH11205309 A JP H11205309A
- Authority
- JP
- Japan
- Prior art keywords
- data
- information storage
- information
- storage means
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はネットワークセキュ
リティシステム、特に暗号化機能を有する端末と有しな
い端末とが混在したネットワークにおいてデータの暗号
化/復号の切替機構に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network security system and, more particularly, to a data encryption / decryption switching mechanism in a network in which terminals having encryption functions and terminals not having encryption functions coexist.
【0002】[0002]
【従来の技術】図6は、従来のネットワークシステムの
概要図である。従来からネットワーク1を介して端末
2,3間でデータ通信を行う場合、その端末間でやり取
りするデータを端末内蔵の若しくは外付けした暗号化装
置4,5によってデータ送信側において暗号化をしてか
ら相手先となる端末へ送信する。例えば、端末2がデー
タを暗号化して端末3へ送信した場合、データ受信側の
端末3では、受信したデータを復号機能をも装備した暗
号化装置5によって復号することによって暗号化された
データの内容を解読することができる。このように、ネ
ットワーク通信を行う各端末2,3に暗号化/復号機能
を持たせることによってネットワーク上を流れるデータ
を盗聴等から防止できるようにしている。2. Description of the Related Art FIG. 6 is a schematic diagram of a conventional network system. Conventionally, when data communication is performed between the terminals 2 and 3 via the network 1, data exchanged between the terminals is encrypted on the data transmission side by encryption devices 4 and 5 built in or attached to the terminal. To the destination terminal. For example, when the terminal 2 encrypts data and transmits the data to the terminal 3, the terminal 3 on the data receiving side decrypts the received data with an encryption device 5 also equipped with a decryption function, thereby obtaining the encrypted data. The content can be decrypted. In this way, by providing the terminals 2 and 3 for performing network communication with the encryption / decryption function, data flowing on the network can be prevented from eavesdropping and the like.
【0003】[0003]
【発明が解決しようとする課題】しかしながら、従来の
システム形態では、暗号化機能を有している端末は、一
律に暗号化をしてからデータをいずれかの端末に送信す
るようにしているので、暗号化機能を有している端末と
有していない端末とがネットワーク上に混在している場
合には、暗号化機能を有している端末は、暗号化機能を
有していない端末とデータ通信を行うことができなかっ
た。However, in the conventional system configuration, a terminal having an encryption function transmits data to one of the terminals after uniformly encrypting the data. In the case where a terminal having an encryption function and a terminal having no encryption function coexist on a network, a terminal having an encryption function is a terminal having no encryption function. Data communication could not be performed.
【0004】また、送信するデータの種別や通信プロト
コル、アプリケーション等によっては、暗号化機能を有
している端末間においても暗号化をせずにデータ通信を
行いたい場合があっても前述した理由により実現するこ
とはできない。[0004] Also, depending on the type of data to be transmitted, the communication protocol, the application, and the like, even if there is a case where data communication is desired to be performed without encryption even between terminals having an encryption function, the reason described above may be obtained. Can not be realized.
【0005】本発明は以上のような問題を解決するため
になされたものであり、その目的は、送受信するフレー
ムの種別によって暗号化/復号機能の実行を制御するこ
とのできるネットワークセキュリティシステムを提供す
ることにある。The present invention has been made to solve the above problems, and an object of the present invention is to provide a network security system capable of controlling execution of an encryption / decryption function depending on the type of a frame to be transmitted and received. Is to do.
【0006】[0006]
【課題を解決するための手段】以上のような目的を達成
するために、第1の発明に係るネットワークセキュリテ
ィシステムは、ネットワークを介して通信相手先となる
通信装置へデータを暗号化してからそのデータを含むフ
レームを送信する暗号化機能を装備した通信装置を有す
るネットワークセキュリティシステムにおいて、前記暗
号化機能を装備した通信装置は、データを送信する際に
暗号化をしない条件を設定した暗号化処理無効情報を保
持する暗号化処理無効情報記憶手段と、送信するフレー
ムの種別が暗号化処理無効情報に該当する場合には暗号
化せずに送信するデータ送信手段とを有するものであ
る。In order to achieve the above object, a network security system according to a first aspect of the present invention encrypts data to a communication device as a communication partner via a network, and then encrypts the data. In a network security system having a communication device equipped with an encryption function for transmitting a frame including data, the communication device equipped with the encryption function performs encryption processing in which a condition for not encrypting data is set. It has encryption processing invalidation information storage means for holding invalidation information, and data transmission means for transmitting without encryption when the type of frame to be transmitted corresponds to the encryption processing invalidation information.
【0007】第2の発明に係るネットワークセキュリテ
ィシステムは、第1の発明において、前記暗号化処理無
効情報記憶手段は、データ通信に使用するプロトコルの
識別情報を設定するための領域を有しており、前記デー
タ送信手段は、送信フレームに設定されているプロトコ
ルの識別情報が前記暗号化処理無効情報記憶手段に設定
されているときにはその送信フレームに含まれているデ
ータを暗号化せずに送信するものである。[0007] In a second aspect of the present invention, in the network security system according to the first aspect, the encryption processing invalid information storage means has an area for setting identification information of a protocol used for data communication. The data transmitting means transmits the data contained in the transmission frame without encryption when the identification information of the protocol set in the transmission frame is set in the encryption processing invalid information storage means. Things.
【0008】第3の発明に係るネットワークセキュリテ
ィシステムは、第1の発明において、前記暗号化処理無
効情報記憶手段は、通信装置のアドレス情報を設定する
ための領域を有しており、前記データ送信手段は、送信
フレームに設定されている宛先のアドレス情報が前記暗
号化処理無効情報記憶手段に設定されているときにはそ
の送信フレームに含まれているデータを暗号化せずに送
信するものである。[0008] In a third aspect of the present invention, in the network security system according to the first aspect, the encryption processing invalid information storage means has an area for setting address information of a communication device, and the data transmission The means transmits the data contained in the transmission frame without encryption when the address information of the destination set in the transmission frame is set in the encryption processing invalid information storage means.
【0009】第4の発明に係るネットワークセキュリテ
ィシステムは、第1の発明において、前記暗号化処理無
効情報記憶手段は、データ通信に使用するアプリケーシ
ョンの識別情報を設定するための領域を有しており、前
記データ送信手段は、送信フレームに設定されている宛
先のアプリケーションの識別情報が前記暗号化処理無効
情報記憶手段に設定されているときにはその送信データ
を暗号化せずに送信するものである。According to a fourth aspect of the present invention, in the network security system according to the first aspect, the encryption process invalid information storage means has an area for setting identification information of an application used for data communication. The data transmission means transmits the transmission data without encryption when the identification information of the destination application set in the transmission frame is set in the encryption processing invalid information storage means.
【0010】第5の発明に係るネットワークセキュリテ
ィシステムは、第1の発明において、前記暗号化処理無
効情報記憶手段は、コマンドの識別情報を設定するため
の領域を有しており、前記データ送信手段は、送信デー
タに含まれているコマンドの識別情報が前記暗号化処理
無効情報記憶手段に設定されていないときにはそのコマ
ンドを除く送信データを暗号化してから送信し、当該コ
マンドの識別情報が前記暗号化処理無効情報記憶手段に
設定されているときにはその送信データを暗号化せずに
送信するものである。[0010] In a fifth aspect of the present invention, in the network security system according to the first aspect, the encryption process invalid information storage means has an area for setting command identification information, and the data transmission means. When the identification information of the command included in the transmission data is not set in the encryption processing invalid information storage means, the transmission data excluding the command is encrypted before transmission, and the identification information of the command is the encryption information. When it is set in the encryption process invalid information storage means, the transmission data is transmitted without encryption.
【0011】第6の発明に係るネットワークセキュリテ
ィシステムは、第1の発明において、前記暗号化処理無
効情報記憶手段が保持する暗号化処理無効情報を更新す
る情報更新手段を有するものである。[0011] A network security system according to a sixth aspect of the present invention is the network security system according to the first aspect, further comprising information updating means for updating the encryption processing invalidation information held by the encryption processing invalidation information storage means.
【0012】第7の発明に係るネットワークセキュリテ
ィシステムは、ネットワークを介して送られてきたデー
タを復号する復号機能を装備した通信装置を有するネッ
トワークセキュリティシステムにおいて、前記復号機能
を装備した通信装置は、受信したデータを復号しない条
件を設定した復号処理無効情報を保持する復号処理無効
情報記憶手段と、受信したフレームの種別が復号処理無
効情報に該当する場合には復号しないデータ受信手段と
を有するものである。A network security system according to a seventh aspect of the present invention is a network security system having a communication device equipped with a decryption function for decrypting data transmitted via a network, wherein the communication device equipped with the decryption function comprises: A device having a decoding process invalidation information storage unit that holds decoding process invalidation information that sets conditions for not decoding received data, and a data receiving unit that does not decode when the type of the received frame corresponds to the decoding process invalidation information It is.
【0013】第8の発明に係るネットワークセキュリテ
ィシステムは、第7の発明において、前記復号処理無効
情報記憶手段は、データ通信に使用するプロトコルの識
別情報を設定するための領域を有しており、前記データ
受信手段は、受信フレームに設定されているプロトコル
の識別情報が前記復号処理無効情報記憶手段に設定され
ているときにはその受信フレームに含まれているデータ
を復号しないものである。[0013] In a network security system according to an eighth aspect based on the seventh aspect, the decryption processing invalid information storage means has an area for setting identification information of a protocol used for data communication. The data receiving means does not decode the data contained in the received frame when the identification information of the protocol set in the received frame is set in the decoding invalidation information storage means.
【0014】第9の発明に係るネットワークセキュリテ
ィシステムは、第7の発明において、前記復号処理無効
情報記憶手段は、通信装置のアドレス情報を設定するた
めの領域を有しており、前記データ受信手段は、受信フ
レームに設定されている送信元のアドレス情報が前記復
号処理無効情報記憶手段に設定されているときにはその
受信フレームに含まれているデータを復号しないもので
ある。According to a ninth aspect of the present invention, in the network security system according to the seventh aspect, the decryption processing invalid information storage means has an area for setting address information of a communication device, and the data reception means Does not decode the data contained in the received frame when the address information of the transmission source set in the received frame is set in the decoding invalidation information storage means.
【0015】第10の発明に係るネットワークセキュリ
ティシステムは、第7の発明において、前記復号処理無
効情報記憶手段は、データ通信に使用するアプリケーシ
ョンの識別情報を設定するための領域を有しており、前
記データ受信手段は、受信フレームに設定されている送
信元のアプリケーションの識別情報が前記復号処理無効
情報記憶手段に設定されているときにはその受信データ
を復号しないものである。According to a tenth aspect of the present invention, in the network security system according to the seventh aspect, the decryption processing invalid information storage means has an area for setting identification information of an application used for data communication. The data receiving means does not decode the received data when the identification information of the transmission source application set in the received frame is set in the decoding invalidation information storage means.
【0016】第11の発明に係るネットワークセキュリ
ティシステムは、第7の発明において、前記復号処理無
効情報記憶手段は、コマンドの識別情報を設定するため
の領域を有しており、前記データ受信手段は、受信デー
タに含まれているコマンドの識別情報が前記復号処理無
効情報記憶手段に設定されていないときにはそのコマン
ドを除く部分の受信データを復号し、当該コマンドの識
別情報が前記復号処理無効情報記憶手段に設定されてい
るときにはその受信データを復号しないものである。In a network security system according to an eleventh aspect based on the seventh aspect, the decryption processing invalid information storage means has an area for setting command identification information, and the data reception means has When the identification information of the command included in the received data is not set in the decoding invalidation information storage means, the reception data other than the command is decoded, and the identification information of the command is stored in the decoding invalidation information storage. When set in the means, the received data is not decoded.
【0017】第12の発明に係るネットワークセキュリ
ティシステムは、第7の発明において、前記復号処理無
効情報記憶手段が保持する復号処理無効情報を更新する
情報更新手段を有するものである。A network security system according to a twelfth aspect is the network security system according to the seventh aspect, further comprising information updating means for updating the decryption processing invalidation information stored in the decryption processing invalidation information storage means.
【0018】[0018]
【発明の実施の形態】以下、図面に基づいて、本発明の
好適な実施の形態について説明する。Preferred embodiments of the present invention will be described below with reference to the drawings.
【0019】図1は、本発明に係るネットワークセキュ
リティシステムの一実施の形態を示したネットワーク構
成及び各装置構成の機能ブロックを示した図である。図
1には、必要に応じて暗号化してからデータを送信する
サーバ10と復号機能を装備した端末20と暗号化/復
号機能を装備していない端末30とが示されており、そ
れぞれネットワーク1を介して接続されている。各通信
装置10,20,30は、CPU、メモリ、通信手段な
どを搭載した一般的なパーソナル・コンピュータなどに
よって実現可能であり、後述する各構成要素以外は、基
本的には同等の機能を有しているものとする。FIG. 1 is a diagram showing functional blocks of a network configuration and each device configuration showing an embodiment of a network security system according to the present invention. FIG. 1 shows a server 10 that transmits data after being encrypted as necessary, a terminal 20 provided with a decryption function, and a terminal 30 not provided with an encryption / decryption function. Connected through. Each of the communication devices 10, 20, and 30 can be realized by a general personal computer or the like equipped with a CPU, a memory, a communication unit, and the like, and has basically the same functions except for the components described below. It is assumed that
【0020】サーバ10は、データ通信処理部11、平
文通信テーブル12及びテーブル管理部13を有してい
る。データ通信処理部11は、ネットワーク1を介して
他の端末20,30とデータ通信を行うための通信処理
手段であり、暗号化機能を装備しているものとする。本
実施の形態においては、特に送信するフレームの種別が
平文通信テーブル12に保持されている暗号化処理無効
情報に該当する場合には暗号化せずに送信するデータ送
信手段として設けられている。平文通信テーブル12
は、データを送信する際に暗号化をしない条件を設定し
た暗号化処理無効情報を保持する暗号化処理無効情報記
憶手段である。テーブル管理部13は、平文通信テーブ
ル12が保持する暗号化処理無効情報を更新する情報更
新手段である。The server 10 has a data communication processing unit 11, a plaintext communication table 12, and a table management unit 13. The data communication processing unit 11 is a communication processing unit for performing data communication with the other terminals 20 and 30 via the network 1 and has an encryption function. In the present embodiment, in particular, when the type of the frame to be transmitted corresponds to the encryption invalidation information held in the plaintext communication table 12, the data transmission unit is provided as a data transmission unit that transmits the data without encryption. Plaintext communication table 12
Is encryption processing invalidation information storage means for storing encryption processing invalidation information in which a condition for not encrypting data is set. The table management unit 13 is an information updating unit that updates the encryption process invalidation information stored in the plaintext communication table 12.
【0021】端末20は、データ通信処理部21、平文
通信テーブル22及びテーブル管理部23を有してい
る。データ通信処理部21は、ネットワーク1を介して
他の端末10,30とデータ通信を行うための通信処理
手段であり、復号機能を装備しているものとする。本実
施の形態においては、特に受信したフレームの種別が復
号処理無効情報に該当する場合には復号しないデータ受
信手段として設けられている。平文通信テーブル22
は、受信したデータを復号しない条件を設定した復号処
理無効情報を保持する復号処理無効情報記憶手段であ
る。テーブル管理部23は、平文通信テーブル22が保
持する復号処理無効情報を更新する情報更新手段であ
る。The terminal 20 has a data communication processing unit 21, a plaintext communication table 22, and a table management unit 23. The data communication processing unit 21 is a communication processing unit for performing data communication with the other terminals 10 and 30 via the network 1, and has a decoding function. In the present embodiment, a data receiving unit that does not decode data when the type of the received frame corresponds to the decoding process invalidation information is provided. Plaintext communication table 22
Is a decoding process invalidation information storage unit that holds decoding process invalidation information in which a condition for not decoding received data is set. The table management unit 23 is an information updating unit that updates the decryption process invalidation information stored in the plaintext communication table 22.
【0022】端末30は、ネットワーク1を介して他の
端末10,20とデータ通信を行うデータ通信処理部3
1を有している。このデータ通信処理部31は、暗号化
/復号機能を装備していない。The terminal 30 includes a data communication processing unit 3 for performing data communication with other terminals 10 and 20 via the network 1.
One. The data communication processing unit 31 does not have an encryption / decryption function.
【0023】図2は、図1に示した本実施の形態におけ
る平文通信テーブルの構成図である。平文通信テーブル
12は、プロトコルテーブル、アドレステーブル、ポー
トテーブル及びデータテーブルを有している。プロトコ
ルテーブルはデータ通信に使用するプロトコルの識別情
報を設定するための領域、アドレステーブルは通信装置
のアドレス情報を設定するための領域、ポートテーブル
はデータ通信に使用するアプリケーションの識別情報を
設定するための領域、データテーブルはコマンドの識別
情報を設定するための領域である。この平文通信テーブ
ルに関してTCP/IPに準拠したネットワーク通信を
例にしてより詳細に説明する。FIG. 2 is a configuration diagram of the plaintext communication table in the present embodiment shown in FIG. The plaintext communication table 12 has a protocol table, an address table, a port table, and a data table. The protocol table is an area for setting identification information of a protocol used for data communication, the address table is an area for setting address information of a communication device, and the port table is for setting identification information of an application used for data communication. And the data table are areas for setting the identification information of the command. The plaintext communication table will be described in more detail by taking network communication based on TCP / IP as an example.
【0024】図3は、TCP/IPにより送受信される
フレームのフォーマットを示した概略図である。このフ
レームは、IP(Internet Protoco
l)ヘッダとTCP(Transmission Co
ntrol Protocol)ヘッダとデータ部分と
で構成される。IPは、OSI(Open Syste
ms Inerconnection)参照モデルのネ
ットワーク層に位置するプロトコルであり、このプロト
コルで設定するIPヘッダには、通信装置のアドレス情
報としてフレームの送信元及び宛先となる通信装置のI
Pアドレスと、データ通信に使用するプロトコルの識別
情報としてプロトコルタイプとを設定する領域が設けら
れている。プロトコルタイプには、IPの上位のプロト
コルを識別するためのプロトコル識別コード(番号)が
設定される。平文通信テーブル12のプロトコルテーブ
ルには、サーバ10において平文のままデータを送信す
る宛先のIPアドレスが設定される。また、平文通信テ
ーブル12のアドレステーブルには、サーバ10におい
て平文のままデータを送信する宛先のプロトコル識別コ
ードが設定されることになる。この例では、TCPがこ
のプロトコルに相当するが、他にUDP(User D
atagram Protocol)等がある。FIG. 3 is a schematic diagram showing the format of a frame transmitted and received by TCP / IP. This frame is an IP (Internet Protocol)
l) Header and TCP (Transmission Co.)
(Control Protocol) header and a data portion. IP is OSI (Open System)
ms Inconnection) is a protocol located at the network layer of the reference model. The IP header set by this protocol includes, as address information of the communication device, the I / O of the communication device serving as the transmission source and destination of the frame.
An area for setting a P address and a protocol type as identification information of a protocol used for data communication is provided. In the protocol type, a protocol identification code (number) for identifying a protocol higher than IP is set. In the protocol table of the plaintext communication table 12, an IP address of a destination to which the server 10 transmits data as plaintext is set. In the address table of the plaintext communication table 12, a protocol identification code of a destination to which the server 10 transmits data in plaintext is set. In this example, TCP corresponds to this protocol, but other than UDP (User D)
atagram Protocol).
【0025】TCPは、OSI参照モデルのトランスポ
ート層に位置するプロトコルであり、このプロトコルで
設定するTCPヘッダには、データ通信に使用するアプ
リケーションの識別情報として送信元及び宛先となる各
通信装置内で設定されているアプリケーションの識別情
報を設定するポート番号領域が設けられている。例え
ば、アプリケーションとしては、FTP(File T
ransfer Protocol)やSMTP(Si
mple Mail Transfer Protoc
ol)等がある。平文通信テーブル12のポートテーブ
ルには、サーバ10において平文のままデータを送信す
る宛先のアプリケーションのポート番号が設定されるこ
とになる。TCP is a protocol located at the transport layer of the OSI reference model, and a TCP header set by this protocol includes identification information of an application used for data communication in each communication device as a transmission source and a destination. Is provided with a port number area for setting the identification information of the application set in. For example, as an application, FTP (File T
transfer Protocol) or SMTP (Si
Mple Mail Transfer Protocol
ol). In the port table of the plaintext communication table 12, the port number of the application to which the server 10 transmits data in plaintext is set.
【0026】フレームのデータ領域には、送信先に送ら
れる実際のデータが設定されるが、このデータには相手
先に渡すコマンド行を設定する場合がある。このコマン
ド行のフォーマットは、通信装置間で予め決められてい
るので、データ領域のどの位置にコマンド識別情報、例
えばコマンド名が指定されているかは明らかである。図
3には、データ領域の先頭nバイトにコマンド名の指定
領域が設けられている例を示した。コマンドとしては、
FTPにおけるPORTコマンド等がある。平文通信テ
ーブル12のデータテーブルには、サーバ10において
平文のままデータ送信をするコマンドの識別情報が設定
されることになる。Actual data to be transmitted to the destination is set in the data area of the frame, and a command line to be passed to the destination may be set in this data. Since the format of this command line is predetermined between the communication apparatuses, it is clear where in the data area the command identification information, for example, the command name is specified. FIG. 3 shows an example in which a command name designation area is provided in the first n bytes of the data area. As a command,
There is a PORT command or the like in FTP. In the data table of the plaintext communication table 12, identification information of a command for transmitting data in plaintext in the server 10 is set.
【0027】一方、端末20が持つ平文通信テーブル2
2にも平文通信テーブル12と同様の各識別情報が設定
される。ただ、本実施の形態では、各テーブル12,2
2に通信相手に関する情報を設定するので、データ受信
側の平文通信テーブル22に設定される各識別情報は、
宛先のではなくデータの送信元の情報となる。On the other hand, the plaintext communication table 2 of the terminal 20
2, the same identification information as in the plaintext communication table 12 is set. However, in the present embodiment, each of the tables 12, 2
2, information about the communication partner is set, so that each identification information set in the plaintext communication table 22 on the data receiving side is:
The information is not the destination but the source of the data.
【0028】本実施の形態において特徴的なことは、暗
号化機能を装備したサーバ10においてフレームを送信
する前にそのフレームに設定されている各種情報すなわ
ちフレームの種別と平文通信テーブル12との設定内容
とを比較して、フレームの種別がその設定内容に該当す
る場合には暗号化せずに平文のままデータを送信するよ
うにしたことである。一方、復号機能を装備した端末2
0において受信したフレームの種別と平文通信テーブル
22との設定内容とを比較してフレームの種別がその設
定内容に該当する場合には復号せずに平文のままデータ
を受信するようにしたことである。これにより、暗号化
機能/復号機能の装備の有無によって暗号化/復号の実
行を制御することができるのみならず、暗号化/復号を
装備した通信装置間におけるフレーム通信であってもプ
ロトコル、アプリケーション及びデータの種別によって
暗号化/復号をするかしないかの細かな設定をすること
ができる。A feature of this embodiment is that before transmitting a frame in the server 10 equipped with an encryption function, various information set in the frame, that is, the type of the frame and the setting of the plaintext communication table 12 are set. Compared with the content, when the type of the frame corresponds to the set content, the data is transmitted as plain text without encryption. On the other hand, a terminal 2 equipped with a decryption function
0, the type of the received frame is compared with the setting contents of the plaintext communication table 22. When the type of the frame corresponds to the setting contents, the data is received as plaintext without decoding. is there. As a result, not only can the execution of encryption / decryption be controlled depending on the presence / absence of the encryption / decryption function, but also the protocol and application can be used for frame communication between communication devices equipped with encryption / decryption. In addition, it is possible to make detailed settings of whether to perform encryption / decryption depending on the type of data.
【0029】次に、本実施の形態における暗号化/復号
機能を装備したサーバ10及び端末20における処理に
ついて図4に示したフローチャートを用いて説明する
が、まず、データ送信側となるサーバ10におけるフレ
ーム処理から説明する。なお、平文通信テーブル12に
は、図5に示したような各識別情報が設定されているも
のとする。Next, the processing in the server 10 equipped with the encryption / decryption function and the terminal 20 according to the present embodiment will be described with reference to the flowchart shown in FIG. The description starts with frame processing. It is assumed that each piece of identification information as shown in FIG. 5 is set in the plaintext communication table 12.
【0030】データ通信処理部11は、送信対象となる
フレームを受け取ると、そのフレームに設定されている
種別(各識別情報)と平文通信テーブル12の設定情報
とを比較する(ステップ101)。具体的には、フレー
ム内のプロトコルタイプとプロトコルテーブルの設定内
容、フレーム内の宛先IPアドレスとアドレステーブル
の設定内容、フレーム内の宛先ポート番号とポートテー
ブルの設定内容、フレーム内のデータ領域に設定されて
いるコマンド名とデータテーブルの設定内容をそれぞれ
比較する。比較した結果、フレーム内の各識別情報のい
ずれもが対応する平文通信テーブル12の各設定内容に
該当しなければ、フレーム内のデータを暗号化してから
宛先となる通信装置へ送信する(ステップ102)。比
較した結果、フレーム内の各識別情報のうち一つでも対
応する平文通信テーブル12の設定内容に該当したので
あれば、フレーム内のデータを暗号化せずに宛先となる
通信装置へ送信する。例えば、図5に示したように、ア
ドレステーブルに復号機能を装備していない端末30の
IPアドレスを設定しておけば、端末30に対して送信
する全てのデータを暗号化しないようにすることができ
る。また、ポートテーブルにHTTP(HyperTe
xt Transfer Protocol)のポート
番号80が設定されている場合にはWWW(World
WideWeb)に対してアクセスをする場合には平
文のままデータを送信することができる。このように、
アドレステーブルに復号機能を装備する端末20のIP
アドレスを設定せずにポートテーブルにHTTPのポー
ト番号を設定しておけば、端末20へ送信するデータに
関しては原則として暗号化するものの、WWW関連のデ
ータに関しては暗号化せずに平文のまま送信するという
ような細かな設定をすることができる。When receiving the frame to be transmitted, the data communication processing unit 11 compares the type (identification information) set in the frame with the setting information in the plaintext communication table 12 (step 101). Specifically, the protocol type in the frame and the setting contents of the protocol table, the destination IP address in the frame and the setting contents of the address table, the destination port number in the frame and the setting contents of the port table, and the setting in the data area in the frame The command name and the contents set in the data table are compared. As a result of the comparison, if none of the identification information in the frame corresponds to each set content of the corresponding plaintext communication table 12, the data in the frame is encrypted and then transmitted to the destination communication device (step 102). ). As a result of the comparison, if at least one of the pieces of identification information in the frame corresponds to the setting contents of the corresponding plaintext communication table 12, the data in the frame is transmitted to the destination communication device without encryption. For example, as shown in FIG. 5, if the IP address of the terminal 30 having no decryption function is set in the address table, all data transmitted to the terminal 30 is not encrypted. Can be. In addition, HTTP (HyperTe) is stored in the port table.
If the port number 80 of the xt Transfer Protocol (Xt Transfer Protocol) is set, WWW (World
When accessing Wide Web), data can be transmitted as plain text. in this way,
IP of terminal 20 equipped with decryption function in address table
If an HTTP port number is set in the port table without setting an address, data to be transmitted to the terminal 20 is encrypted in principle, but WWW-related data is transmitted as plain text without being encrypted. You can make detailed settings such as
【0031】次に、データ受信側となる端末20におけ
るフレーム処理について説明する。Next, frame processing in the terminal 20 on the data receiving side will be described.
【0032】データ通信処理部21は、ネットワーク1
を介してフレームを受信すると、そのフレームに設定さ
れている種別(各識別情報)と平文通信テーブル22の
設定情報とを比較する(ステップ101)。具体的に
は、フレーム内のプロトコルタイプとプロトコルテーブ
ルの設定内容、フレーム内の送信元IPアドレスとアド
レステーブルの設定内容、フレーム内の送信元ポート番
号とポートテーブルの設定内容、フレーム内のデータ領
域に設定されているコマンド名とデータテーブルの設定
内容をそれぞれ比較する。比較した結果、フレーム内の
各識別情報のいずれもが対応する平文通信テーブル22
の各設定内容に該当しなければ、フレーム内のデータを
復号することによって解読する(ステップ102)。比
較した結果、フレーム内の各識別情報のうち一つでも対
応する平文通信テーブル22の設定内容に該当したので
あれば、フレーム内のデータを復号せずにそのまま受け
取る。例えば、図5に示したように、アドレステーブル
に復号機能を装備していない端末30のIPアドレスを
設定しておけば、端末30から送られてきた全てのデー
タに関して復号しないようにすることができる。また、
ポートテーブルにHTTPのポート番号80が設定され
ている場合にはWWWに関するデータに関しては復号せ
ずにそのまま受け取ることになる。このように、アドレ
ステーブルに暗号化機能を装備するサーバ10のIPア
ドレスを設定せずにポートテーブルにHTTPのポート
番号を設定しておけば、サーバ10から送られてきたデ
ータに関しては原則として復号するものの、WWW関連
のデータに関しては復号せずにそのまま受け取るという
ような細かな設定をすることができる。The data communication processing unit 21 is connected to the network 1
When a frame is received via the PC, the type (each identification information) set in the frame is compared with the setting information in the plaintext communication table 22 (step 101). Specifically, the protocol type in the frame and the settings in the protocol table, the source IP address in the frame and the settings in the address table, the source port number in the frame and the settings in the port table, the data area in the frame Is compared with the command name set in the data table. As a result of the comparison, each of the identification information in the frame corresponds to the corresponding plaintext communication table 22.
If the data does not correspond to each of the above settings, the data in the frame is decoded by decoding (step 102). As a result of the comparison, if at least one of the pieces of identification information in the frame corresponds to the setting content of the corresponding plaintext communication table 22, the data in the frame is received without decoding. For example, as shown in FIG. 5, if the IP address of the terminal 30 not equipped with the decryption function is set in the address table, all data sent from the terminal 30 will not be decrypted. it can. Also,
When the port number 80 of HTTP is set in the port table, data relating to WWW is received without decoding. As described above, if the port number of the HTTP is set in the port table without setting the IP address of the server 10 having the encryption function in the address table, the data transmitted from the server 10 can be decrypted in principle. However, it is possible to make detailed settings such that WWW-related data is received without decoding.
【0033】ところで、データ受信側のデータ通信処理
部21は、フレーム内のデータ領域に設定されているコ
マンド名とデータテーブルの設定内容をそれぞれ比較す
るため、このコマンド名を暗号化をすることはできな
い。従って、データ通信処理部11は、前述したとお
り、送信するデータのうちコマンドの識別情報に関して
は、暗号化しないで平文のまま送信することになる。By the way, the data communication processing unit 21 on the data receiving side encrypts the command name in order to compare the command name set in the data area in the frame with the setting contents of the data table. Can not. Therefore, as described above, the data communication processing unit 11 transmits the identification information of the command in the data to be transmitted as plain text without encryption.
【0034】なお、前述した以外のデータ通信に関する
処理は、従来からある処理手順に従えばよく本実施の形
態の特徴的な処理でないため説明を省略する。The processes related to data communication other than those described above may be performed according to a conventional processing procedure, and are not characteristic processes of the present embodiment.
【0035】本実施の形態によれば、暗号化/復号しな
い条件を設定する各平文通信テーブル12,22を設
け、フレーム送信/受信時にその設定内容とフレーム種
別とを比較するようにしたので、暗号化/復号の各機能
を装備する通信装置においても暗号化/復号処理の実行
を切り替えながらデータ通信を行うことができる。これ
により、通信相手の暗号化機能/復号機能の装備の有無
によって暗号化/復号の実行を制御することができるの
みならず、暗号化/復号を装備した通信装置間のフレー
ム通信であってもプロトコル、アプリケーション及びデ
ータの種別によって暗号化/復号をするしないという細
かな通信制御を行うことができる。すなわち、データを
送信するサーバ10は、ネットワーク上に復号機能を装
備する端末20と装備しない端末30とが混在していて
も平文通信テーブル12に前述したような条件に従う設
定をすることによって双方の端末20,30に対して暗
号化処理の実行の有無を切り替えながら支障をきたすこ
となくデータの送信をすることができる。また、フレー
ムの種別によって暗号化処理の実行の有無の制御を行う
ことができるので、1台の端末20に対しても平文のま
まあるいは暗号化をしてデータを送信することができ
る。データを受信する端末20においても同様である。According to the present embodiment, each of the plaintext communication tables 12 and 22 for setting conditions for not encrypting / decrypting is provided, and the setting contents and the frame type are compared at the time of transmitting / receiving the frame. Even in a communication device equipped with each function of encryption / decryption, data communication can be performed while switching execution of encryption / decryption processing. Accordingly, not only can the execution of encryption / decryption be controlled depending on the presence / absence of the encryption / decryption function of the communication partner, but also in frame communication between communication devices equipped with encryption / decryption. Fine communication control of not performing encryption / decryption depending on the type of protocol, application, and data can be performed. That is, the server 10 that transmits data can set both the terminal 20 equipped with the decryption function and the terminal 30 not equipped with the decryption function on the network by setting the plaintext communication table 12 in accordance with the above-described conditions. It is possible to transmit data to the terminals 20 and 30 without any trouble while switching the execution of the encryption process. In addition, since it is possible to control whether or not to execute the encryption process depending on the type of the frame, the data can be transmitted to one terminal 20 in plain text or encrypted. The same applies to the terminal 20 that receives data.
【0036】ところで、本実施の形態では、データ送信
/受信側それぞれの通信装置において各平文通信テーブ
ル12,22の設定内容を更新するためのデータ管理部
13,23を設けている。これにより、ネットワーク構
成や機能追加/削除等の構成変更にも柔軟に対応するこ
とができる。各平文通信テーブル12,22をテキスト
形式で保持しておけば、エディタなどによって容易に変
更することができる。In the present embodiment, the data management units 13 and 23 for updating the setting contents of the plaintext communication tables 12 and 22 in the communication devices on the data transmission / reception side are provided. Thereby, it is possible to flexibly cope with a configuration change such as a network configuration or a function addition / deletion. If the plaintext communication tables 12 and 22 are held in a text format, they can be easily changed by an editor or the like.
【0037】なお、本実施の形態では、便宜上、データ
送信機能を持つサーバ10とデータ受信機能を持つ端末
20とを明確に分けて説明した。もちろん、この逆であ
ってもよいし、それぞれ双方の機能を有するように構成
してもよい。すなわち、データ通信処理部11を更にデ
ータ受信手段として、データ通信処理部21を更にデー
タ送信手段として設けるようにしてもよい。また、通信
装置は、図1のように3台に限るものではない。また、
本実施の形態では、通信装置としてコンピュータを例に
して説明したが、前述した各手段をネットワーク上のル
ータやブリッジ、イーサネットのハブ等に持たせるよう
にしてもよい。In this embodiment, for convenience, the server 10 having the data transmission function and the terminal 20 having the data reception function have been clearly described. Of course, the reverse may be the case, or each may be configured to have both functions. That is, the data communication processing unit 11 may be further provided as data receiving means, and the data communication processing unit 21 may be further provided as data transmitting means. The number of communication devices is not limited to three as shown in FIG. Also,
In this embodiment, a computer has been described as an example of the communication device. However, the above-described units may be provided in a router, a bridge, an Ethernet hub, or the like on a network.
【0038】また、本実施の形態では、TCP/IPに
準拠したネットワークを例にして説明したが、これに限
られたものではない。また、本実施の形態では、TCP
/IPのフレームに設定されるプロトコル、アプリケー
ション等の情報を暗号化/復号処理の切り替えるための
条件として利用したが、他のプロトコルであれば、その
プロトコルのフレームに設定される他の情報を当該条件
として利用することができる。Also, in the present embodiment, a network conforming to TCP / IP has been described as an example, but the present invention is not limited to this. Also, in the present embodiment, TCP
Although information such as the protocol and application set in the / IP frame is used as a condition for switching the encryption / decryption processing, if it is another protocol, other information set in the frame of that protocol is used as the condition. Can be used as a condition.
【0039】また、情報更新手段としてデータ管理部1
3,23を各通信装置に持たせるようにしたが、ネット
ワーク上のいずれかの管理端末上に共通の情報更新手段
を設けてネットワーク全体の平文通信テーブルの管理を
行わせるようにすることもできる。The data management unit 1 serves as information updating means.
Although the communication devices 3 and 23 are provided in each communication device, it is also possible to provide a common information updating means on any of the management terminals on the network to manage the plaintext communication table of the entire network. .
【0040】[0040]
【発明の効果】本発明によれば、暗号化/復号しない条
件を設定する暗号化/復号処理無効情報記憶手段を設
け、フレーム送信/受信時にその設定内容とフレーム種
別とを比較するようにしたので、暗号化/復号の各機能
を装備する通信装置においても暗号化/復号処理の実行
を切り替えながらデータ通信を行うことができる。これ
により、通信相手の暗号化機能/復号機能の装備の有無
によって暗号化/復号の実行を制御することができるの
みならず、暗号化/復号を装備した通信装置間のフレー
ム通信であってもプロトコル、アプリケーション及びデ
ータの種別によって暗号化/復号をするしないという細
かな通信制御を行うことができる。According to the present invention, encryption / decryption processing invalid information storage means for setting conditions for not encrypting / decrypting is provided, and the setting contents and the frame type are compared when transmitting / receiving a frame. Therefore, even in a communication device equipped with each function of encryption / decryption, data communication can be performed while switching execution of encryption / decryption processing. Accordingly, not only can the execution of encryption / decryption be controlled depending on the presence / absence of the encryption / decryption function of the communication partner, but also in frame communication between communication devices equipped with encryption / decryption. Fine communication control of not performing encryption / decryption depending on the type of protocol, application, and data can be performed.
【図1】 本発明に係るネットワークセキュリティシス
テムの一実施の形態を示したネットワーク構成及び各装
置構成の機能ブロックを示した図である。FIG. 1 is a diagram showing a network configuration and a functional block of each device configuration showing an embodiment of a network security system according to the present invention.
【図2】 本実施の形態における平文通信テーブルの構
成図である。FIG. 2 is a configuration diagram of a plaintext communication table in the present embodiment.
【図3】 TCP/IPにより送受信されるフレームの
フォーマットを示した概略図である。FIG. 3 is a schematic diagram showing a format of a frame transmitted and received by TCP / IP.
【図4】 本実施の形態におけるフレーム処理を示した
フローチャートである。FIG. 4 is a flowchart illustrating frame processing according to the present embodiment.
【図5】 本実施の形態における平文通信テーブルの設
定内容例を示した図である。FIG. 5 is a diagram showing an example of setting contents of a plaintext communication table in the present embodiment.
【図6】 従来のネットワークセキュリティシステムの
概要図である。FIG. 6 is a schematic diagram of a conventional network security system.
1 ネットワーク、10 サーバ(通信装置)、11,
21 データ通信処理部、12,22 平文通信テーブ
ル、13,23 テーブル管理部、20,30端末(通
信装置)。1 network, 10 servers (communication devices), 11,
21 data communication processing unit, 12, 22 plaintext communication table, 13, 23 table management unit, 20, 30 terminal (communication device).
─────────────────────────────────────────────────────
────────────────────────────────────────────────── ───
【手続補正書】[Procedure amendment]
【提出日】平成11年1月18日[Submission date] January 18, 1999
【手続補正1】[Procedure amendment 1]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】特許請求の範囲[Correction target item name] Claims
【補正方法】変更[Correction method] Change
【補正内容】[Correction contents]
【特許請求の範囲】[Claims]
【請求項2】 前記暗号化処理無効情報記憶手段への設
定内容を更新する情報更新手段を有することを特徴とす
る請求項1記載のネットワークセキュリティシステム。 2. A set to the encryption processing disable information storage means
2. The network security system according to claim 1, further comprising information updating means for updating the fixed contents .
【請求項3】 ネットワークを介して送られてきたデー
タを復号する復号機能を装備した通信装置を有するネッ
トワークセキュリティシステムにおいて、 前記復号機能を装備した通信装置は、 受信したデータを復号しない条件として、データ通信に
使用するプロトコルの識別情報、通信装置のアドレス情
報、データ通信に使用するアプリケーションの識別情報
及びコマンドの識別情報を設定するための領域を有する
復号処理無効情報記憶手段と、 受信したフレームの種別が前記復号処理無効情報記憶手
段に設定されたいずれかの識別情報に該当する場合には
当該フレームを復号しないデータ受信手段と、 を有することを特徴とするネットワークセキュリティシ
ステム。 3. A network security system having a communication device equipped with a decryption function for decrypting data transmitted via a network, wherein the communication device equipped with the decryption function includes the following conditions : For data communication
The identification information of the protocol to be used and the address information of the communication device
Information of applications used for information and data communications
And an area for setting command identification information. The decoding processing invalidation information storage means comprises:
If it corresponds to any of the identification information set in the column,
A data receiving unit that does not decode the frame .
【請求項4】 前記復号処理無効情報記憶手段への設定
内容を更新する情報更新手段を有することを特徴とする
請求項3記載のネットワークセキュリティシステム。 4. A setting to the decoding invalid information storage means
4. The network security system according to claim 3, further comprising information updating means for updating contents .
【手続補正2】[Procedure amendment 2]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0006[Correction target item name] 0006
【補正方法】変更[Correction method] Change
【補正内容】[Correction contents]
【0006】[0006]
【課題を解決するための手段】以上のような目的を達成
するために、本発明に係るネットワークセキュリティシ
ステムは、ネットワークを介して通信相手先となる通信
装置へデータを暗号化してからそのデータを含むフレー
ムを送信する暗号化機能を装備した通信装置を有するネ
ットワークセキュリティシステムにおいて、前記暗号化
機能を装備した通信装置は、データを送信する際に暗号
化をしない条件として、データ通信に使用するプロトコ
ルの識別情報、通信装置のアドレス情報、データ通信に
使用するアプリケーションの識別情報及びコマンドの識
別情報を設定するための領域を有する暗号化処理無効情
報記憶手段と、送信するフレームの種別が前記暗号化処
理無効情報記憶手段に設定されたいずれかの識別情報に
該当する場合には当該フレームを暗号化せずに送信する
データ送信手段とを有するものである。In order to achieve the above object, a network security system according to the present invention encrypts data to a communication device as a communication partner via a network, and then encrypts the data. In a network security system having a communication device equipped with an encryption function for transmitting a frame including a frame, a communication device equipped with the encryption function may use a protocol used for data communication as a condition for not encrypting data when transmitting the data.
File identification information, communication device address information, and data communication.
Identification information of the application to be used and identification of the command
An encryption process invalid information storage unit having an area for setting different information ;
And data transmission means for transmitting the frame without encryption when the identification information corresponds to any of the identification information set in the invalidation information storage means .
【手続補正3】[Procedure amendment 3]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0007[Correction target item name] 0007
【補正方法】削除[Correction method] Deleted
【手続補正4】[Procedure amendment 4]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0008[Correction target item name] 0008
【補正方法】削除[Correction method] Deleted
【手続補正5】[Procedure amendment 5]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0009[Correction target item name] 0009
【補正方法】削除[Correction method] Deleted
【手続補正6】[Procedure amendment 6]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0010[Correction target item name] 0010
【補正方法】削除[Correction method] Deleted
【手続補正7】[Procedure amendment 7]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0011[Correction target item name] 0011
【補正方法】変更[Correction method] Change
【補正内容】[Correction contents]
【0011】また、前記暗号化処理無効情報記憶手段へ
の設定内容を更新する情報更新手段を有するものであ
る。[0011] In addition, to the encryption processing invalid information storage means
Has information updating means for updating the contents of the setting .
【手続補正8】[Procedure amendment 8]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0012[Correction target item name] 0012
【補正方法】変更[Correction method] Change
【補正内容】[Correction contents]
【0012】また、他の発明に係るネットワークセキュ
リティシステムは、ネットワークを介して送られてきた
データを復号する復号機能を装備した通信装置を有する
ネットワークセキュリティシステムにおいて、前記復号
機能を装備した通信装置は、受信したデータを復号しな
い条件として、データ通信に使用するプロトコルの識別
情報、通信装置のアドレス情報、データ通信に使用する
アプリケーションの識別情報及びコマンドの識別情報を
設定するための領域を有する復号処理無効情報記憶手段
と、受信したフレームの種別が前記復号処理無効情報記
憶手段に設定されたいずれかの識別情報に該当する場合
には当該フレームを復号しないデータ受信手段とを有す
るものである。A network security system according to another aspect of the present invention is a network security system having a communication device equipped with a decryption function for decrypting data transmitted via a network. , As a condition not to decrypt the received data, the identification of the protocol used for data communication
Used for information, communication device address information, data communication
Application identification information and command identification information
A decoding process invalidation information storage means having an area for setting , and a type of the received frame indicating whether the type of the received frame is invalid.
A data receiving unit that does not decode the frame when any of the identification information set in the storage unit is applicable.
【手続補正9】[Procedure amendment 9]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0013[Correction target item name] 0013
【補正方法】削除[Correction method] Deleted
【手続補正10】[Procedure amendment 10]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0014[Correction target item name] 0014
【補正方法】削除[Correction method] Deleted
【手続補正11】[Procedure amendment 11]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0015[Correction target item name] 0015
【補正方法】削除[Correction method] Deleted
【手続補正12】[Procedure amendment 12]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0016[Correction target item name] 0016
【補正方法】削除[Correction method] Deleted
【手続補正13】[Procedure amendment 13]
【補正対象書類名】明細書[Document name to be amended] Statement
【補正対象項目名】0017[Correction target item name] 0017
【補正方法】変更[Correction method] Change
【補正内容】[Correction contents]
【0017】また、前記復号処理無効情報記憶手段への
設定内容を更新する情報更新手段を有するものである。 Further, to the decoding invalid information storage means
It has information updating means for updating the setting contents .
Claims (12)
通信装置へデータを暗号化してからそのデータを含むフ
レームを送信する暗号化機能を装備した通信装置を有す
るネットワークセキュリティシステムにおいて、 前記暗号化機能を装備した通信装置は、 データを送信する際に暗号化をしない条件を設定した暗
号化処理無効情報を保持する暗号化処理無効情報記憶手
段と、 送信するフレームの種別が暗号化処理無効情報に該当す
る場合には暗号化せずに送信するデータ送信手段と、 を有することを特徴とするネットワークセキュリティシ
ステム。1. A network security system having a communication device equipped with an encryption function for encrypting data to a communication device serving as a communication partner via a network and then transmitting a frame including the data, wherein the encryption function The communication device equipped with the encryption processing invalidation information storage unit that stores the encryption processing invalidation information that sets the condition that the data is not encrypted when transmitting data, and the type of the frame to be transmitted is set to the encryption processing invalidation information. And a data transmitting means for transmitting the data without encryption when applicable.
ータ通信に使用するプロトコルの識別情報を設定するた
めの領域を有しており、 前記データ送信手段は、送信フレームに設定されている
プロトコルの識別情報が前記暗号化処理無効情報記憶手
段に設定されているときにはその送信フレームに含まれ
ているデータを暗号化せずに送信することを特徴とする
請求項1記載のネットワークセキュリティシステム。2. The encryption processing invalid information storage means has an area for setting identification information of a protocol used for data communication, and the data transmission means has a protocol set in a transmission frame. 2. The network security system according to claim 1, wherein when the identification information is set in the encryption processing invalid information storage unit, the data included in the transmission frame is transmitted without being encrypted.
信装置のアドレス情報を設定するための領域を有してお
り、 前記データ送信手段は、送信フレームに設定されている
宛先のアドレス情報が前記暗号化処理無効情報記憶手段
に設定されているときにはその送信フレームに含まれて
いるデータを暗号化せずに送信することを特徴とする請
求項1記載のネットワークセキュリティシステム。3. The encryption processing invalid information storage means has an area for setting address information of a communication device, and the data transmission means stores address information of a destination set in a transmission frame. 2. The network security system according to claim 1, wherein when set in the encryption processing invalid information storage means, data included in the transmission frame is transmitted without being encrypted.
ータ通信に使用するアプリケーションの識別情報を設定
するための領域を有しており、 前記データ送信手段は、送信フレームに設定されている
宛先のアプリケーションの識別情報が前記暗号化処理無
効情報記憶手段に設定されているときにはその送信デー
タを暗号化せずに送信することを特徴とする請求項1記
載のネットワークセキュリティシステム。4. The encryption processing invalid information storage means has an area for setting identification information of an application used for data communication, and the data transmission means has a destination set in a transmission frame. 2. The network security system according to claim 1, wherein when the identification information of the application is set in the encryption processing invalid information storage unit, the transmission data is transmitted without being encrypted.
マンドの識別情報を設定するための領域を有しており、 前記データ送信手段は、送信データに含まれているコマ
ンドの識別情報が前記暗号化処理無効情報記憶手段に設
定されていないときにはそのコマンドを除く送信データ
を暗号化してから送信し、当該コマンドの識別情報が前
記暗号化処理無効情報記憶手段に設定されているときに
はその送信データを暗号化せずに送信することを特徴と
する請求項1記載のネットワークセキュリティシステ
ム。5. The encryption processing invalid information storage means has an area for setting command identification information, and the data transmission means stores the command identification information contained in transmission data as the command identification information. When it is not set in the encryption processing invalid information storage means, the transmission data excluding the command is encrypted and then transmitted. When the identification information of the command is set in the encryption processing invalid information storage means, the transmission data is transmitted. 2. The network security system according to claim 1, wherein the password is transmitted without encryption.
する暗号化処理無効情報を更新する情報更新手段を有す
ることを特徴とする請求項1記載のネットワークセキュ
リティシステム。6. The network security system according to claim 1, further comprising information updating means for updating encryption processing invalidation information held by said encryption processing invalidation information storage means.
タを復号する復号機能を装備した通信装置を有するネッ
トワークセキュリティシステムにおいて、 前記復号機能を装備した通信装置は、 受信したデータを復号しない条件を設定した復号処理無
効情報を保持する復号処理無効情報記憶手段と、 受信したフレームの種別が復号処理無効情報に該当する
場合には復号しないデータ受信手段と、 を有することを特徴とするネットワークセキュリティシ
ステム。7. A network security system having a communication device equipped with a decryption function for decrypting data transmitted via a network, wherein the communication device equipped with the decryption function sets a condition not to decrypt received data. A network security system comprising: a decryption process invalidation information storage unit that holds the decryption process invalidation information; and a data reception unit that does not decrypt when the type of the received frame corresponds to the decryption process invalidation information.
タ通信に使用するプロトコルの識別情報を設定するため
の領域を有しており、 前記データ受信手段は、受信フレームに設定されている
プロトコルの識別情報が前記復号処理無効情報記憶手段
に設定されているときにはその受信フレームに含まれて
いるデータを復号しないことを特徴とする請求項7記載
のネットワークセキュリティシステム。8. The decoding process invalid information storage means has an area for setting identification information of a protocol used for data communication, and the data receiving means has a protocol information set in a received frame. 8. The network security system according to claim 7, wherein when identification information is set in the decryption processing invalid information storage means, data included in the received frame is not decrypted.
装置のアドレス情報を設定するための領域を有してお
り、 前記データ受信手段は、受信フレームに設定されている
送信元のアドレス情報が前記復号処理無効情報記憶手段
に設定されているときにはその受信フレームに含まれて
いるデータを復号しないことを特徴とする請求項7記載
のネットワークセキュリティシステム。9. The decoding process invalidation information storage means has an area for setting address information of a communication device, and the data receiving means stores address information of a transmission source set in a reception frame. 8. The network security system according to claim 7, wherein the data contained in the received frame is not decrypted when the data is set in the decryption processing invalid information storage unit.
ータ通信に使用するアプリケーションの識別情報を設定
するための領域を有しており、 前記データ受信手段は、受信フレームに設定されている
送信元のアプリケーションの識別情報が前記復号処理無
効情報記憶手段に設定されているときにはその受信デー
タを復号しないことを特徴とする請求項7記載のネット
ワークセキュリティシステム。10. The decryption processing invalid information storage means has an area for setting identification information of an application used for data communication, and the data receiving means has a transmission source set in a received frame. 8. The network security system according to claim 7, wherein when the identification information of the application is set in the decryption processing invalid information storage means, the received data is not decrypted.
マンドの識別情報を設定するための領域を有しており、 前記データ受信手段は、受信データに含まれているコマ
ンドの識別情報が前記復号処理無効情報記憶手段に設定
されていないときにはそのコマンドを除く部分の受信デ
ータを復号し、当該コマンドの識別情報が前記復号処理
無効情報記憶手段に設定されているときにはその受信デ
ータを復号しないことを特徴とする請求項7記載のネッ
トワークセキュリティシステム。11. The decoding process invalidation information storage means has an area for setting command identification information, and the data receiving means stores the command identification information contained in received data in the decoding data. When the command is not set in the processing invalidation information storage means, the received data except for the command is decoded, and when the identification information of the command is set in the decoding invalidation information storage means, the received data is not decoded. The network security system according to claim 7, wherein:
する復号処理無効情報を更新する情報更新手段を有する
ことを特徴とする請求項7記載のネットワークセキュリ
ティシステム。12. The network security system according to claim 7, further comprising information updating means for updating decryption processing invalidation information held by said decryption processing invalidation information storage means.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10006393A JPH11205309A (en) | 1998-01-16 | 1998-01-16 | Network security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10006393A JPH11205309A (en) | 1998-01-16 | 1998-01-16 | Network security system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11205309A true JPH11205309A (en) | 1999-07-30 |
Family
ID=11637135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10006393A Pending JPH11205309A (en) | 1998-01-16 | 1998-01-16 | Network security system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11205309A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005117321A (en) * | 2003-10-07 | 2005-04-28 | Canon Inc | Apparatus and method for processing data and program |
| JP2006129138A (en) * | 2004-10-29 | 2006-05-18 | Fujitsu Ltd | Proxy server program and proxy server method |
| JP2010021887A (en) * | 2008-07-11 | 2010-01-28 | Sony Corp | Integrated circuit device and data transfer system |
| JP2013015605A (en) * | 2011-07-01 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | Signal processor |
-
1998
- 1998-01-16 JP JP10006393A patent/JPH11205309A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005117321A (en) * | 2003-10-07 | 2005-04-28 | Canon Inc | Apparatus and method for processing data and program |
| JP2006129138A (en) * | 2004-10-29 | 2006-05-18 | Fujitsu Ltd | Proxy server program and proxy server method |
| JP2010021887A (en) * | 2008-07-11 | 2010-01-28 | Sony Corp | Integrated circuit device and data transfer system |
| JP4737243B2 (en) * | 2008-07-11 | 2011-07-27 | ソニー株式会社 | Integrated circuit device and data transmission system |
| JP2013015605A (en) * | 2011-07-01 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | Signal processor |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3492865B2 (en) | Mobile computer device and packet encryption authentication method | |
| US6704866B1 (en) | Compression and encryption protocol for controlling data flow in a network | |
| US8261318B2 (en) | Method and apparatus for passing security configuration information between a client and a security policy server | |
| JPH10178421A (en) | Packet processor, mobile computer, packet transferring method and packet processing method | |
| US8365269B2 (en) | Embedded communication terminal | |
| US7082477B1 (en) | Virtual application of features to electronic messages | |
| US20040268124A1 (en) | Systems and methods for creating and maintaining a centralized key store | |
| JPH1155322A (en) | Cipher communication system | |
| JPH1173398A (en) | Distributed network computing system, information exchanging device used for its system, information exchanging method having security function used for its system and computer readable storage medium storing its method | |
| JPH1188431A (en) | Packet relay device, moving computer device, moving computer management device, packet relay method, packet transmission method and moving computer position registration method | |
| JP2005515664A (en) | Secure transmission for mobile communication networks | |
| US20060050889A1 (en) | Decrypting block encrypted data | |
| CN111787025B (en) | Encryption and decryption processing method, device and system and data protection gateway | |
| KR20080063222A (en) | Method for securing a data stream | |
| JP2008048042A (en) | Encryption device, decryption device, encryption method, and decryption method | |
| EP1687998B1 (en) | Method and apparatus to inline encryption and decryption for a wireless station | |
| JP4215010B2 (en) | Security association continuation method and terminal device under variable IP address environment | |
| JPH11205309A (en) | Network security system | |
| JP2004525568A (en) | System for encryption of wireless transmission from a personal palm computer to a world wide web terminal | |
| JP2002244956A (en) | Mobile equipment and communication system | |
| JP2006196996A (en) | Communications system and communication method | |
| CN110336836B (en) | Network filtering service system and method | |
| JPH11296455A (en) | Distributed network computing system, information exchange unit used for the same, information exchange method and storage medium | |
| JPH04274636A (en) | Ciphering system for local area network | |
| JPH11243388A (en) | Cipher communication system |