JPH114249A - データ暗号化/復号化lan間接続装置 - Google Patents
データ暗号化/復号化lan間接続装置Info
- Publication number
- JPH114249A JPH114249A JP17111097A JP17111097A JPH114249A JP H114249 A JPH114249 A JP H114249A JP 17111097 A JP17111097 A JP 17111097A JP 17111097 A JP17111097 A JP 17111097A JP H114249 A JPH114249 A JP H114249A
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- decryption
- data
- network layer
- lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】LANのパケットにおけるネットワーク層のア
ドレスによつて、ネットワーク層のデータ部を暗号化、
復号化するLAN間接続装置を提供する。 【解決手段】暗号化/復号化テーブル7とネットワーク
層のへッダにあるアドレスとを比較し、ネットワーク層
のデータ部を暗号化/復号化するか又はしないかを決定
するネットワーク層処理・暗号化/復号化決定部4を設
けると共に、ネットワーク層処理・暗号化/復号化決定
部4で決定した内容に合わせて暗号化/復号化を行なう
暗号化/復号化部3を備えるようにした。
ドレスによつて、ネットワーク層のデータ部を暗号化、
復号化するLAN間接続装置を提供する。 【解決手段】暗号化/復号化テーブル7とネットワーク
層のへッダにあるアドレスとを比較し、ネットワーク層
のデータ部を暗号化/復号化するか又はしないかを決定
するネットワーク層処理・暗号化/復号化決定部4を設
けると共に、ネットワーク層処理・暗号化/復号化決定
部4で決定した内容に合わせて暗号化/復号化を行なう
暗号化/復号化部3を備えるようにした。
Description
【0001】
【発明の属する技術分野】本発明は、データ暗号化/復
号化LAN間接続装置に関し、特にLAN間を跨いで端
末間で通信されるデータの暗号化/復号化を行なう手段
の改良に関する。
号化LAN間接続装置に関し、特にLAN間を跨いで端
末間で通信されるデータの暗号化/復号化を行なう手段
の改良に関する。
【0002】
【従来の技術】従来のこの種のLAN間接続装置とし
て、物理インタフェース毎に暗号化/復号化機能を有
し、これらの物理インタフェースにおいて、送受信する
全てのパケットテータに対し暗号化/復号化を行なうよ
うにしたものがある。たとえば特開平7−193589
号公報には、物埋インタフェース単位に暗号化回路を付
加する技術が開示されている。
て、物理インタフェース毎に暗号化/復号化機能を有
し、これらの物理インタフェースにおいて、送受信する
全てのパケットテータに対し暗号化/復号化を行なうよ
うにしたものがある。たとえば特開平7−193589
号公報には、物埋インタフェース単位に暗号化回路を付
加する技術が開示されている。
【0003】また、従来のこの種のLAN間接続装置と
して、LAN端末間で特別な暗号化ソフトウェアを導入
し、当該端末間で暗号化する方式のものがある。たとえ
ば、特開平2−4037号公報には、ファイルサーバー
とユーザーとの間でユーザ識別子をパケットに付加して
暗号化する技術が開示されている。
して、LAN端末間で特別な暗号化ソフトウェアを導入
し、当該端末間で暗号化する方式のものがある。たとえ
ば、特開平2−4037号公報には、ファイルサーバー
とユーザーとの間でユーザ識別子をパケットに付加して
暗号化する技術が開示されている。
【0004】さらに従来のこの種のLAN間接続装置と
して、LAN間接続を行なわない暗号化サーバー、復号
化サーバーを用意して、暗号化及び復号化を行なうよう
にしたものがある。たとえば特開平7−170280号
公報には、暗号化サーバー及び復号化サーバーを用いて
暗号通信、復号通信を行なうローカルエリアネットワー
ク方式が開示されている。
して、LAN間接続を行なわない暗号化サーバー、復号
化サーバーを用意して、暗号化及び復号化を行なうよう
にしたものがある。たとえば特開平7−170280号
公報には、暗号化サーバー及び復号化サーバーを用いて
暗号通信、復号通信を行なうローカルエリアネットワー
ク方式が開示されている。
【0005】
【発明が解決しようとする課題】上記した従来のLAN
間接続装置には以下のような解決すべき問題点がある。
第1の問題点は、物理インタフェース毎に暗号化/復号
化するものでは、ルーティングに用いられるアドレス部
分まで暗号化されるため、途中に暗号化/復号化を行な
わないLAN間接続装置を介在させることができない。
また暗号化/復号化する必要の無い宛先のデータも暗号
化/復号化されるため、データの送受信に余分な時間を
要する。
間接続装置には以下のような解決すべき問題点がある。
第1の問題点は、物理インタフェース毎に暗号化/復号
化するものでは、ルーティングに用いられるアドレス部
分まで暗号化されるため、途中に暗号化/復号化を行な
わないLAN間接続装置を介在させることができない。
また暗号化/復号化する必要の無い宛先のデータも暗号
化/復号化されるため、データの送受信に余分な時間を
要する。
【0006】第2の問題点は、LAN端末間で特別な暗
号化ソフトウエアを導人するものでは、現在、一般に用
いられている通信ソフトウェアの他に、暗号化/復号化
ソフトウェアを付加するか、或いは別の通信ソフトウェ
アを導入する必要がある。
号化ソフトウエアを導人するものでは、現在、一般に用
いられている通信ソフトウェアの他に、暗号化/復号化
ソフトウェアを付加するか、或いは別の通信ソフトウェ
アを導入する必要がある。
【0007】第3の問題点は、暗号化サーバー、復号化
サーバーを用意し、暗号化を行なうものでは、端末から
サーバーに暗号化要求とデータとを送信し、サーバーが
暗号化後、サーバーからの暗号化データを端末が受信
し、その後、端末が実際のデータ転送先に送信する手続
きが発生し、同じ内容のデータが端末とサーバーとの間
で二度送受信されるという不具合がある。またサーバー
に負荷が集中するという問題もある。
サーバーを用意し、暗号化を行なうものでは、端末から
サーバーに暗号化要求とデータとを送信し、サーバーが
暗号化後、サーバーからの暗号化データを端末が受信
し、その後、端末が実際のデータ転送先に送信する手続
きが発生し、同じ内容のデータが端末とサーバーとの間
で二度送受信されるという不具合がある。またサーバー
に負荷が集中するという問題もある。
【0008】本発明の目的は下記の効果を奏するデータ
暗号化/復号化LAN間接続装置を提供することにあ
る。
暗号化/復号化LAN間接続装置を提供することにあ
る。
【0009】
【課題を解決するための手段】前述の課題を解決するた
め、本発明による暗号化/復号化LAN間接続装置は、
LANパケットをネットワーク層で中継するLAN間接
続装置において、ネットワーク単位、LAN端末単位毎
に暗号化または復号化を行なうために、LANのネット
ワーク層のアドレス、暗号化、復号化の有無を登録する
暗号化/復号化テーブルと、受信したLANパケットの
ネットワーク層のアドレスを監視し、前記テーブルを参
照して暗号化/復号化の判定を行なう手段と、この手段
の判定に基づいて受信したLANパケットのネットワー
ク層のデータ部を暗号化/復号化を行なう手段とを備え
て構成される。
め、本発明による暗号化/復号化LAN間接続装置は、
LANパケットをネットワーク層で中継するLAN間接
続装置において、ネットワーク単位、LAN端末単位毎
に暗号化または復号化を行なうために、LANのネット
ワーク層のアドレス、暗号化、復号化の有無を登録する
暗号化/復号化テーブルと、受信したLANパケットの
ネットワーク層のアドレスを監視し、前記テーブルを参
照して暗号化/復号化の判定を行なう手段と、この手段
の判定に基づいて受信したLANパケットのネットワー
ク層のデータ部を暗号化/復号化を行なう手段とを備え
て構成される。
【0010】換言すれば、暗号化/復号化テーブルとネ
ットワーク層のヘッダにあるアドレスとを比較し、ネッ
トワーク層のデータ部を暗号化/復号化するか否かを決
定するためのネットワーク層処理・暗号化/復号化決定
部を設けると共に、上記ネットワーク層処理・暗号化/
復号化決定部で決定した内容に合わせて暗号化/復号化
を行なう暗号化/復号化部を設けた。
ットワーク層のヘッダにあるアドレスとを比較し、ネッ
トワーク層のデータ部を暗号化/復号化するか否かを決
定するためのネットワーク層処理・暗号化/復号化決定
部を設けると共に、上記ネットワーク層処理・暗号化/
復号化決定部で決定した内容に合わせて暗号化/復号化
を行なう暗号化/復号化部を設けた。
【0011】また、本発明による暗号化/復号化LAN
間接続装置は、上記に記載した装置であって、かつLA
Nパケットのネットワーク層のデータが暗号化済みまた
は復号化済みであることを検出し、暗号化済みのものは
前記テーブルで暗号化指定があっても暗号化せず、復号
化済みのものは前記テーブルで復号化指定があっても復
号化しないように二重処理を阻止する手段を備える。
間接続装置は、上記に記載した装置であって、かつLA
Nパケットのネットワーク層のデータが暗号化済みまた
は復号化済みであることを検出し、暗号化済みのものは
前記テーブルで暗号化指定があっても暗号化せず、復号
化済みのものは前記テーブルで復号化指定があっても復
号化しないように二重処理を阻止する手段を備える。
【0012】更に、本発明の他の態様による暗号化/復
号化LAN間接続装置は、ルーティングプロトコルを処
理し、ルーティングテーブルを作成、受信したパケット
のネットワーク層のへッダにあるアドレスと前記ルーテ
ィングテーブルより、パケットを送信する物理インタフ
ェースを決定するルーティング処理部と、暗号化/復号
化テーブルと、送受信パケットのネットワーク層の誤り
確認、ネットワーク層のへッダ付替え、フラグメント処
埋などのネットワーク層の管理と、前記暗号化/復号化
テーブルとネットワーク層のヘッダにあるアドレスとを
比較し、ネットワーク層のデータ部を暗号化/復号化す
るか否かを決定するネットワーク層処理・暗号化/復号
化決定部と、前記ネットワーク層処理・暗号化/復号化
決定部で決定した内容に合わせて暗号化/復号化を行な
う暗号化/復号化部と、送受信パケットのデータリンク
層の誤り確認、フレームチェックシーケンスの生成、へ
ッダの付替えなどを行なうデータリンク層処理部と、そ
れぞれネットワークに接続されており、LANパケット
データの送受信が行なわれる物理インタフェースと、L
AN間接続装置に接続されており、ネットワークを管理
するユーザーが、前記暗号化/復号化テーブルを設定す
るために用いられ、前記ルーティング処理部のルーティ
ングテーブルの設定を行なうコンソールとを備えて成
る。
号化LAN間接続装置は、ルーティングプロトコルを処
理し、ルーティングテーブルを作成、受信したパケット
のネットワーク層のへッダにあるアドレスと前記ルーテ
ィングテーブルより、パケットを送信する物理インタフ
ェースを決定するルーティング処理部と、暗号化/復号
化テーブルと、送受信パケットのネットワーク層の誤り
確認、ネットワーク層のへッダ付替え、フラグメント処
埋などのネットワーク層の管理と、前記暗号化/復号化
テーブルとネットワーク層のヘッダにあるアドレスとを
比較し、ネットワーク層のデータ部を暗号化/復号化す
るか否かを決定するネットワーク層処理・暗号化/復号
化決定部と、前記ネットワーク層処理・暗号化/復号化
決定部で決定した内容に合わせて暗号化/復号化を行な
う暗号化/復号化部と、送受信パケットのデータリンク
層の誤り確認、フレームチェックシーケンスの生成、へ
ッダの付替えなどを行なうデータリンク層処理部と、そ
れぞれネットワークに接続されており、LANパケット
データの送受信が行なわれる物理インタフェースと、L
AN間接続装置に接続されており、ネットワークを管理
するユーザーが、前記暗号化/復号化テーブルを設定す
るために用いられ、前記ルーティング処理部のルーティ
ングテーブルの設定を行なうコンソールとを備えて成
る。
【0013】ここで、前記通常データと暗号化データと
の区別は、暗号化時にネットワーク層データの先頭また
は分散して暗号化識別子を付加し、これを検出すること
により区別する。また、暗号化済み、復号化済みである
か否かを検出し、暗号化されているデータについてさら
に暗号化したり、また復号化されているデータについて
さらに復号化する。更には、前記暗号化及び復号化済み
であるにも拘らず、前記ネットワーク層処理・暗号化/
復号化決定部で重複して暗号化/復号化の指示がなされ
ても、暗号化/復号化を行なわない。
の区別は、暗号化時にネットワーク層データの先頭また
は分散して暗号化識別子を付加し、これを検出すること
により区別する。また、暗号化済み、復号化済みである
か否かを検出し、暗号化されているデータについてさら
に暗号化したり、また復号化されているデータについて
さらに復号化する。更には、前記暗号化及び復号化済み
であるにも拘らず、前記ネットワーク層処理・暗号化/
復号化決定部で重複して暗号化/復号化の指示がなされ
ても、暗号化/復号化を行なわない。
【0014】
【発明の実施の形態】図1は本発明の第1実施形態に係
るLAN間接続装置の構成を示すブロック図である。図
1に示すようにLAN間接続装置1は、ルーティング処
理部2、暗号化/復号化部3、ネットワーク層処理・暗
号化/復号化決定部4、データリンク層処理部5、物理
インタフェース6−1ないし6−n、暗号化/復号化テ
ーブル7等を備えている。
るLAN間接続装置の構成を示すブロック図である。図
1に示すようにLAN間接続装置1は、ルーティング処
理部2、暗号化/復号化部3、ネットワーク層処理・暗
号化/復号化決定部4、データリンク層処理部5、物理
インタフェース6−1ないし6−n、暗号化/復号化テ
ーブル7等を備えている。
【0015】ルーティング処理部2は、ルーティングプ
ロトコルを処理し、ルーティングテーブルを作成、受信
したパケットのネットワーク層のへッダにあるアドレス
と上記ルーティングテーブルより、パケットを送信する
物理インタフェースを決定する。
ロトコルを処理し、ルーティングテーブルを作成、受信
したパケットのネットワーク層のへッダにあるアドレス
と上記ルーティングテーブルより、パケットを送信する
物理インタフェースを決定する。
【0016】暗号化/復号化部3は、ネットワーク層処
理・暗号化/復号化決定部4で決定した内容に合わせて
暗号化/復号化を行なう。また暗号化済み、復号化済み
であるか否かを検出し、暗号化されているデータについ
てさらに暗号化したり、また復号化されているデータに
ついてさらに復号化したりしない様になっている。すな
わち、暗号化及び復号化済みであるにも拘らず、ネット
ワーク層処理・暗号化/復号化決定部4で重複して暗号
化/復号化の指示がなされても、暗号化/復号化を行な
わない機能を有している。
理・暗号化/復号化決定部4で決定した内容に合わせて
暗号化/復号化を行なう。また暗号化済み、復号化済み
であるか否かを検出し、暗号化されているデータについ
てさらに暗号化したり、また復号化されているデータに
ついてさらに復号化したりしない様になっている。すな
わち、暗号化及び復号化済みであるにも拘らず、ネット
ワーク層処理・暗号化/復号化決定部4で重複して暗号
化/復号化の指示がなされても、暗号化/復号化を行な
わない機能を有している。
【0017】通常データと暗号化データとの区別は、暗
号化時にネットワーク層データの先頭または分散して暗
号化識別子を付加し、これを検出することにより区別す
る。
号化時にネットワーク層データの先頭または分散して暗
号化識別子を付加し、これを検出することにより区別す
る。
【0018】ネットワーク層処理・暗号化/復号化決定
部4は、送受信パケットのネットワーク層の誤り確認、
ネットワーク層のへッダ付替え、フラグメント処埋など
のネットワーク層の管理と、暗号化/復号化テーブル7
とネットワーク層のヘッダにあるアドレスとを比較し、
ネットワーク層のデータ部を暗号化/復号化するか否か
を決定する機能を有している。
部4は、送受信パケットのネットワーク層の誤り確認、
ネットワーク層のへッダ付替え、フラグメント処埋など
のネットワーク層の管理と、暗号化/復号化テーブル7
とネットワーク層のヘッダにあるアドレスとを比較し、
ネットワーク層のデータ部を暗号化/復号化するか否か
を決定する機能を有している。
【0019】データリンク層処理部5は、送受信パケッ
トのデータリンク層の誤り確認、フレームチェックシー
ケンスの生成、へッダの付替えなどを行なう。
トのデータリンク層の誤り確認、フレームチェックシー
ケンスの生成、へッダの付替えなどを行なう。
【0020】各物理インタフェース6−1ないし6−n
は、それぞれネットワーク1からnに接続されており、
これらの物理インタフェース6−1ないし6−nを通し
て、LANパケットデータの送受信が行なわれる。
は、それぞれネットワーク1からnに接続されており、
これらの物理インタフェース6−1ないし6−nを通し
て、LANパケットデータの送受信が行なわれる。
【0021】コンソール8は、LAN間接続装置1に接
続されており、ネットワークNWを管理するユーザー
が、暗号化/復号化テーブル7を設定するために用いら
れる。またコンソール8は、ルーティング処理部2のル
ーティングテーブルの設定等、本実施形態におけるLA
N間接続装置1のその他の設定を行なうためにも用いら
れる。
続されており、ネットワークNWを管理するユーザー
が、暗号化/復号化テーブル7を設定するために用いら
れる。またコンソール8は、ルーティング処理部2のル
ーティングテーブルの設定等、本実施形態におけるLA
N間接続装置1のその他の設定を行なうためにも用いら
れる。
【0022】次に、図2を参照して暗号化/復号化テー
ブルのテーブル要素について説明する。図2は暗号化/
復号化テーブルのテーブル要素9を示す図で、図示の如
く、事前に送信先アドレスN1、送信先ネットワークマ
スクM1.送信元アドレスN2、送信元ネットワークマ
スクM2、暗号化/復号化の有無X1、などを設定して
おく。テーブルの1ラインには、暗号化/復号化の有無
X1の項目を除く全ての項目を設定する必要はない。設
定されなかった項目は暗号化/復号化の決定に用いられ
ない。ネットワークマスクM1及びM2は、暗号化/復
号化で参照される送信先アドレスN1及び送信元アドレ
スN2の部位を決定するために用いられる。この組み合
わせによって、暗号化及び復号化を決定するネットワー
ク及びLAN端末が指定される。
ブルのテーブル要素について説明する。図2は暗号化/
復号化テーブルのテーブル要素9を示す図で、図示の如
く、事前に送信先アドレスN1、送信先ネットワークマ
スクM1.送信元アドレスN2、送信元ネットワークマ
スクM2、暗号化/復号化の有無X1、などを設定して
おく。テーブルの1ラインには、暗号化/復号化の有無
X1の項目を除く全ての項目を設定する必要はない。設
定されなかった項目は暗号化/復号化の決定に用いられ
ない。ネットワークマスクM1及びM2は、暗号化/復
号化で参照される送信先アドレスN1及び送信元アドレ
スN2の部位を決定するために用いられる。この組み合
わせによって、暗号化及び復号化を決定するネットワー
ク及びLAN端末が指定される。
【0023】図3はLANのパケットフォーマット10
を示す図である。図示の如くこのパケットフォーマット
10は、データリンク層ヘッダ部11、ネットワーク層
ヘッダ部12、ネットワーク層データ部13、データリ
ンク層フレームチェックシーケンス部14から成る。こ
こで暗号化/復号化されるのはネットワーク層データ部
13である。
を示す図である。図示の如くこのパケットフォーマット
10は、データリンク層ヘッダ部11、ネットワーク層
ヘッダ部12、ネットワーク層データ部13、データリ
ンク層フレームチェックシーケンス部14から成る。こ
こで暗号化/復号化されるのはネットワーク層データ部
13である。
【0024】図4は本実施形態のLAN間接続装置1の
パケット処理の動作にかかるパケット処理フローを示す
図である。処理ステップ15では、物理インタフェース
6−1ないし6−nにおいてパケットの受信が行なわれ
る。処理ステップ16では、データリンクアドレスの確
認、フレームの誤り確認などデータリンク層の受信処理
が行なわれる。
パケット処理の動作にかかるパケット処理フローを示す
図である。処理ステップ15では、物理インタフェース
6−1ないし6−nにおいてパケットの受信が行なわれ
る。処理ステップ16では、データリンクアドレスの確
認、フレームの誤り確認などデータリンク層の受信処理
が行なわれる。
【0025】処理ステップ17では、ネットワーク層処
理・暗号化/復号化決定部4においてネットワーク層の
誤り確認、フラグメント処理などネットワーク層の処理
が行なわれた後、暗号化/復号化テーブル7を参照し暗
号化または復号化の是非が判定される。暗号化/復号化
を行なうことが決定された場合には、暗号化/復号化部
3に対して暗号化/復号化指示が行なわれ、処理ステッ
プ18に移る。暗号化/復号化は行なわないと決定され
た場合には、ルーティング処理部2に対しルーティング
要求が出され、処理ステップ20に移る。
理・暗号化/復号化決定部4においてネットワーク層の
誤り確認、フラグメント処理などネットワーク層の処理
が行なわれた後、暗号化/復号化テーブル7を参照し暗
号化または復号化の是非が判定される。暗号化/復号化
を行なうことが決定された場合には、暗号化/復号化部
3に対して暗号化/復号化指示が行なわれ、処理ステッ
プ18に移る。暗号化/復号化は行なわないと決定され
た場合には、ルーティング処理部2に対しルーティング
要求が出され、処理ステップ20に移る。
【0026】処埋ステップ18では、暗号化済み/復号
化済みの判定が行なわれ、未暗号化/未復号化の場合に
は、暗号化/復号化したのち処理ステップ20に移る。
暗号化/復号化済みである場合には、そのまま処理ステ
ップ20に移る。
化済みの判定が行なわれ、未暗号化/未復号化の場合に
は、暗号化/復号化したのち処理ステップ20に移る。
暗号化/復号化済みである場合には、そのまま処理ステ
ップ20に移る。
【0027】処理ステップ20では、受信パケットの宛
先アドレスとネットワーク層のルーティングテーブルよ
り物理インタフェース6−1ないし6−nのいずれにパ
ケットを出力するかが決定され、処理ステップ21に移
る。
先アドレスとネットワーク層のルーティングテーブルよ
り物理インタフェース6−1ないし6−nのいずれにパ
ケットを出力するかが決定され、処理ステップ21に移
る。
【0028】処埋ステップ21では、へッダの付替え、
フラグメン卜の処理などのネットワーク層の処理が行な
われ、処理ステップ22に移る。
フラグメン卜の処理などのネットワーク層の処理が行な
われ、処理ステップ22に移る。
【0029】処理ステップ22では、データリンク層の
フレームチェックシーケンスの生成、へッダの付替えな
どデータリンク層の出力処理が行なわれる。そして処理
ステップ23では処理ステップ20で決定した物理イン
タフェース6−1ないし6−nにパケットが出力され
る。
フレームチェックシーケンスの生成、へッダの付替えな
どデータリンク層の出力処理が行なわれる。そして処理
ステップ23では処理ステップ20で決定した物理イン
タフェース6−1ないし6−nにパケットが出力され
る。
【0030】以上の動作により、通常データの暗号化ま
たは暗号化データの復号化とその後の中継または通常デ
通常データが中継される。
たは暗号化データの復号化とその後の中継または通常デ
通常データが中継される。
【0031】図5は、本発明の第2実施形態に係る「複
数の本発明装置を用いたLAN間接続ネットワーク」の
構成例を示す図である。一つの装置(X)24にはネッ
トワーク(A)26、ネットワーク(B)27、ネット
ワーク(C)28が接続されている。ネットワーク
(A)26には端末(a)30が接続され、ネットワー
ク(B)27には別の装置(Y)25が接続されてい
る。そして装置(Y)25にはネットワーク(D)29
が接続され、更にその先に端末(d)31が接続されて
いる。装置(X)24及び装置(Y)25には、暗号化
/復号化テーブルが設定されている。
数の本発明装置を用いたLAN間接続ネットワーク」の
構成例を示す図である。一つの装置(X)24にはネッ
トワーク(A)26、ネットワーク(B)27、ネット
ワーク(C)28が接続されている。ネットワーク
(A)26には端末(a)30が接続され、ネットワー
ク(B)27には別の装置(Y)25が接続されてい
る。そして装置(Y)25にはネットワーク(D)29
が接続され、更にその先に端末(d)31が接続されて
いる。装置(X)24及び装置(Y)25には、暗号化
/復号化テーブルが設定されている。
【0032】図6及び図7は、装置(X)24及び装置
(Y)25において、ネットワーク(A)26及びネッ
トワーク(D)29で暗号化/復号化通信を行なう場合
のテーブル設定例を示す図である。
(Y)25において、ネットワーク(A)26及びネッ
トワーク(D)29で暗号化/復号化通信を行なう場合
のテーブル設定例を示す図である。
【0033】端末(a)30は、端末(d)31向けに
パケットを送信を行なうべく、装置(X)24にデータ
を送る。
パケットを送信を行なうべく、装置(X)24にデータ
を送る。
【0034】装置(X)24は,図6に示す暗号化/復
号化テーブルを参照し、ネットワーク(D)29向けで
あって、かつ暗号化すべきデータである事を判定して暗
号化し、ルーティング処理した結果、ネットワーク
(B)27に接続されている装置(Y)25に暗号化パ
ケットを送信する。
号化テーブルを参照し、ネットワーク(D)29向けで
あって、かつ暗号化すべきデータである事を判定して暗
号化し、ルーティング処理した結果、ネットワーク
(B)27に接続されている装置(Y)25に暗号化パ
ケットを送信する。
【0035】装置(Y)25は,装置(X)24からの
暗号化データを受信後において、図7に示す暗号化/復
号化テーブルを参照し、ネットワークアドレスより復号
化すべきデータである事を判定して復号化し、ルーティ
ング処理した結果、ネットワーク(D)29に接続され
ている端末(d)31に復号化データを送信する。
暗号化データを受信後において、図7に示す暗号化/復
号化テーブルを参照し、ネットワークアドレスより復号
化すべきデータである事を判定して復号化し、ルーティ
ング処理した結果、ネットワーク(D)29に接続され
ている端末(d)31に復号化データを送信する。
【0036】端末(d)31から端末(a)30へのデ
ータも同様に暗号化/復号化され、端末(a)30では
復号化された端末(d)31のデータが受信される。
ータも同様に暗号化/復号化され、端末(a)30では
復号化された端末(d)31のデータが受信される。
【0037】一方、端末(a)30から装置(X)24
経由でネットワーク(D)29以外のネットワーク向け
にパケットが送信された場合は、図6に示す装置(X)
24の暗号化/復号化テーブルには暗号化/復号化指示
が設定されていないので、そのまま暗号化されずに送信
される。
経由でネットワーク(D)29以外のネットワーク向け
にパケットが送信された場合は、図6に示す装置(X)
24の暗号化/復号化テーブルには暗号化/復号化指示
が設定されていないので、そのまま暗号化されずに送信
される。
【0038】本実施形態において、装置(X)24と装
置(Y)25との間に暗号化/復号化機能を持たないL
AN間接続装置を接続した場合、ネットワーク層のデー
タ部は暗号化されるが、データリンク層、ネットワーク
層のへッダは暗号化されていないので、問題なく上記と
同様に端末(a)30と端末(d)31とで暗号化/復
号化通信を行なうことができる。
置(Y)25との間に暗号化/復号化機能を持たないL
AN間接続装置を接続した場合、ネットワーク層のデー
タ部は暗号化されるが、データリンク層、ネットワーク
層のへッダは暗号化されていないので、問題なく上記と
同様に端末(a)30と端末(d)31とで暗号化/復
号化通信を行なうことができる。
【0039】また、装置(X)24と装置(Y)25と
の間に、本発明装置が接続された場合、設定如何によっ
ては暗号化が二度発生する可能性がある。例えば装置
(X)24と装置(Y)25との間に他の装置を追加
し、追加した装置にネットワーク(D)29向けのパケ
ット全てを暗号化するように設定した場合、ネットワー
ク(A)26からネットワーク(D)29向けに送信さ
れたパケットは装置(X)24で暗号化され、さらに追
加された装置で、このネットワーク(D)29向けのパ
ケットに対し暗号化指示が発生する。しかし暗号化/復
号化部3において暗号化済み、復号化済みの検出を行な
っているので、追加された装置内で暗号化が二度行なわ
れることはなく、装置(Y)25に転送される。よっ
て、この場合は上記の暗号化/復号化機能を持たないL
AN間接続装置を接続した場合と同様、端末(a)30
と端末(d)31との間で暗号化/復号化通信を行なう
ことができる。
の間に、本発明装置が接続された場合、設定如何によっ
ては暗号化が二度発生する可能性がある。例えば装置
(X)24と装置(Y)25との間に他の装置を追加
し、追加した装置にネットワーク(D)29向けのパケ
ット全てを暗号化するように設定した場合、ネットワー
ク(A)26からネットワーク(D)29向けに送信さ
れたパケットは装置(X)24で暗号化され、さらに追
加された装置で、このネットワーク(D)29向けのパ
ケットに対し暗号化指示が発生する。しかし暗号化/復
号化部3において暗号化済み、復号化済みの検出を行な
っているので、追加された装置内で暗号化が二度行なわ
れることはなく、装置(Y)25に転送される。よっ
て、この場合は上記の暗号化/復号化機能を持たないL
AN間接続装置を接続した場合と同様、端末(a)30
と端末(d)31との間で暗号化/復号化通信を行なう
ことができる。
【0040】
【発明の効果】本発明によれば、ネットワーク層のデー
タ部のみを暗号化するように構成されているため、装置
以外のネットワーク層をルーティングするLAN間接続
装置についてルーティングでき、ネットワーク層レベル
で標準的なパケットを出力することができる。かくし
て、インターネットや既に敷設されているTCP/IP
ネットワークなどにそのまま接続でき、必要なネットワ
ーク、LAN端末間通信に対して暗号化/復号化を行な
うことができる。また、ネットワーク単位、LAN端末
単位毎に暗号化/復号化の設定ができるため、暗号化/
復号化する必要のない宛先のデータについてまで暗号化
/復号化されるのを回避することができる。更に、LA
N間接続装置の間で暗号化/復号化が行なわれるため、
LAN端末間で特別な暗号化ソフトウェアを導入した
り、暗号化サーバー、復号化サーバー等を用意したりす
る必要がない。
タ部のみを暗号化するように構成されているため、装置
以外のネットワーク層をルーティングするLAN間接続
装置についてルーティングでき、ネットワーク層レベル
で標準的なパケットを出力することができる。かくし
て、インターネットや既に敷設されているTCP/IP
ネットワークなどにそのまま接続でき、必要なネットワ
ーク、LAN端末間通信に対して暗号化/復号化を行な
うことができる。また、ネットワーク単位、LAN端末
単位毎に暗号化/復号化の設定ができるため、暗号化/
復号化する必要のない宛先のデータについてまで暗号化
/復号化されるのを回避することができる。更に、LA
N間接続装置の間で暗号化/復号化が行なわれるため、
LAN端末間で特別な暗号化ソフトウェアを導入した
り、暗号化サーバー、復号化サーバー等を用意したりす
る必要がない。
【図1】本発明の第1実施形態に係るデータ暗号化/復
号化LAN間接続装置の構成を示すブロック図である。
号化LAN間接続装置の構成を示すブロック図である。
【図2】本発明の第1実施形態に係るデータ暗号化/復
号化LAN間接続装置のネットワーク層処理、暗号化/
復号化決定部において、暗号化/復号化を決定するため
に用いられる暗号化/復号化テーブルのテーブル要素を
示す図である。
号化LAN間接続装置のネットワーク層処理、暗号化/
復号化決定部において、暗号化/復号化を決定するため
に用いられる暗号化/復号化テーブルのテーブル要素を
示す図である。
【図3】本発明の第1実施形態に係るデータ暗号化/復
号化LAN間接続装置が扱うLANのパケットフォーマ
ットを示す図である。
号化LAN間接続装置が扱うLANのパケットフォーマ
ットを示す図である。
【図4】本発明の第1実施形態に係るデータ暗号化/復
号化LAN間接続装置におけるLANのパケット受信か
ら送信までのパケット処埋フローを示す図である。
号化LAN間接続装置におけるLANのパケット受信か
ら送信までのパケット処埋フローを示す図である。
【図5】本発明の第2実施形態に係る「複数のデータ暗
号化/復号化LAN間接続装置を用いたLAN間接続ネ
ットワーク」の構成例を示す図である。
号化/復号化LAN間接続装置を用いたLAN間接続ネ
ットワーク」の構成例を示す図である。
【図6】本発明の第2実施形態に係るデータ暗号化/復
号化LAN間接続装置で設定される装置(X)の暗号化
/復号化テーブルのパターン例を示す図である。
号化LAN間接続装置で設定される装置(X)の暗号化
/復号化テーブルのパターン例を示す図である。
【図7】本発明の第1実施形態に係るデータ暗号化/復
号化LAN間接続装置で設定される装置(Y)の暗号化
/復号化テーブルのパターン例を示す図である。
号化LAN間接続装置で設定される装置(Y)の暗号化
/復号化テーブルのパターン例を示す図である。
1 データ暗号化/復号化LAN間接続装置 2 ルーティング処理部 3 暗号化/復号化部 4 ネットワーク層処理・暗号化/復号化決定部 5 データリンク層処理部 6−1〜6−n 物理インタフェース 7 暗号化/復号化テーブル 8 コンソール 9 暗号化/復号化テーブルのテーブル要素 10 LANパケットフォーマット 11 データリンク層へッダ部 12 ネットワーク層へッダ部 13 ネットワーク層データ部 14 データリンク層フレームチェックシーケンス部 24 LAN間接続装置(X) 25 LAN間接続装置(Y) 26 ネットワーク(A) 27 ネットワーク(B) 28 ネットワーク(C) 29 ネットワーク(D) 30 端末(a) 31 端末(d) 32 LAN間接続装置(X)の暗号化/復号化テー
ブル 33 LAN間接続装置(Y)の暗号化/復号化テー
ブル
ブル 33 LAN間接続装置(Y)の暗号化/復号化テー
ブル
Claims (6)
- 【請求項1】LANパケットをネットワーク層で中継す
るLAN間接続装置において、 ネットワーク単位、LAN端末単位毎に暗号化または復
号化を行なうために、LANのネットワーク層のアドレ
ス、暗号化、復号化の有無を登録する暗号化/復号化テ
ーブルと、 受信したLANパケットのネットワーク層のアドレスを
監視し、前記テーブルを参照して暗号化/復号化の判定
を行なう手段と、 この手段の判定に基づいて受信したLANパケットのネ
ットワーク層のデータ部を暗号化/復号化を行なう手段
と、を備えたことを特徴とするデータ暗号化/復号化L
AN間接続装置。 - 【請求項2】LANパケットのネットワーク層のデータ
が暗号化済みまたは復号化済みであることを検出し、暗
号化済みのものは前記テーブルで暗号化指定があっても
暗号化せず、復号化済みのものは前記テーブルで復号化
指定があっても復号化しないように二重処理を阻止する
手段を備えたことを特徴とする請求項1に記載のデータ
暗号化/復号化LAN間接続装置。 - 【請求項3】ルーティングプロトコルを処理し、ルーテ
ィングテーブルを作成、受信したパケットのネットワー
ク層のへッダにあるアドレスと前記ルーティングテーブ
ルより、パケットを送信する物理インタフェースを決定
するルーティング処理部と、、 暗号化/復号化テーブ
ルと、 送受信パケットのネットワーク層の誤り確認、ネットワ
ーク層のへッダ付替え、フラグメント処埋などのネット
ワーク層の管理と、前記暗号化/復号化テーブルとネッ
トワーク層のヘッダにあるアドレスとを比較し、ネット
ワーク層のデータ部を暗号化/復号化するか否かを決定
するネットワーク層処理・暗号化/復号化決定部と、、 前記ネットワーク層処理・暗号化/復号化決定部で決定
した内容に合わせて暗号化/復号化を行なう暗号化/復
号化部と、 送受信パケットのデータリンク層の誤り確認、フレーム
チェックシーケンスの生成、へッダの付替えなどを行な
うデータリンク層処理部と、 それぞれネットワークに接続されており、LANパケッ
トデータの送受信が行なわれる物理インタフェースと、 LAN間接続装置に接続されており、ネットワークを管
理するユーザーが、前記暗号化/復号化テーブルを設定
するために用いられ、前記ルーティング処理部のルーテ
ィングテーブルの設定を行なうコンソールと、を備えて
成ることを特徴とするデータ暗号化/復号化LAN間接
続装置。 - 【請求項4】前記通常データと暗号化データとの区別
は、暗号化時にネットワーク層データの先頭または分散
して暗号化識別子を付加し、これを検出することにより
区別する請求項3に記載のデータ暗号化/復号化LAN
間接続装置。 - 【請求項5】暗号化済み、復号化済みであるか否かを検
出し、暗号化されているデータについてさらに暗号化し
たり、また復号化されているデータについてさらに復号
化する請求項3に記載のデータ暗号化/復号化LAN間
接続装置。 - 【請求項6】前記暗号化及び復号化済みであるにも拘ら
ず、前記ネットワーク層処理・暗号化/復号化決定部で
重複して暗号化/復号化の指示がなされても、暗号化/
復号化を行なわない請求項3に記載のデータ暗号化/復
号化LAN間接続装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP17111097A JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP17111097A JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH114249A true JPH114249A (ja) | 1999-01-06 |
| JP3259660B2 JP3259660B2 (ja) | 2002-02-25 |
Family
ID=15917165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP17111097A Expired - Lifetime JP3259660B2 (ja) | 1997-06-12 | 1997-06-12 | データ暗号化/復号化lan間接続装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3259660B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004343731A (ja) * | 2003-04-24 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
| JPWO2005069535A1 (ja) * | 2004-01-14 | 2008-04-24 | 日本電気株式会社 | 暗号化通信方法、暗号化通信システム、ノード装置、名前解決サーバ及びプログラム |
-
1997
- 1997-06-12 JP JP17111097A patent/JP3259660B2/ja not_active Expired - Lifetime
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004343731A (ja) * | 2003-04-24 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 暗号化パケット処理装置、方法、プログラム及びプログラム記録媒体 |
| JPWO2005069535A1 (ja) * | 2004-01-14 | 2008-04-24 | 日本電気株式会社 | 暗号化通信方法、暗号化通信システム、ノード装置、名前解決サーバ及びプログラム |
| JP4752510B2 (ja) * | 2004-01-14 | 2011-08-17 | 日本電気株式会社 | 暗号化通信システム |
| US8356169B2 (en) | 2004-01-14 | 2013-01-15 | Nec Corporation | Encryption communication system, apparatus and method for allowing direct encryption communication with a plurality of nodes |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3259660B2 (ja) | 2002-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1869865B1 (en) | Method and apparatus for distributing group data in a tunneled encrypted virtual private network | |
| JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
| US5070528A (en) | Generic encryption technique for communication networks | |
| US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
| US5161193A (en) | Pipelined cryptography processor and method for its use in communication networks | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| EP0464562B1 (en) | Method and apparatus for decryption of an information packet having a format subject to modification | |
| US5099517A (en) | Frame status encoding for communication networks | |
| JPH09214556A (ja) | パケット転送方法、パケット処理装置、パケット暗号化方法、パケット復号化方法及びパケット暗号処理方法 | |
| JPH0637750A (ja) | 情報転送方式 | |
| JPH07250058A (ja) | 安全保護装置及びデータ通信ネットワーク | |
| JP2001203761A (ja) | 中継装置、および同装置を備えたネットワークシステム | |
| JP3259660B2 (ja) | データ暗号化/復号化lan間接続装置 | |
| JP3714850B2 (ja) | ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム | |
| JP2693881B2 (ja) | 通信ネットワークで使用される暗号処理装置及び方法 | |
| JP2006196996A (ja) | 通信システム及び通信方法 | |
| JP2006191205A (ja) | 通信装置及び通信方法、通信システム | |
| CN114731292A (zh) | 低延迟介质访问控制安全认证 | |
| JP2001007849A (ja) | Mplsパケット処理方法及びmplsパケット処理装置 | |
| JPH11308264A (ja) | 暗号通信システム | |
| JP3472098B2 (ja) | 移動計算機装置、中継装置及びデータ転送方法 | |
| JP3828867B2 (ja) | 情報転送方式 | |
| JP2004064490A (ja) | データ通信システム | |
| JPH10190704A (ja) | データの暗号化方法、復号化方法、暗号化装置、および復号化装置 | |
| JP4356262B2 (ja) | パケット通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071214 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081214 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091214 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091214 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101214 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111214 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121214 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131214 Year of fee payment: 12 |
|
| EXPY | Cancellation because of completion of term |