JPH1155322A - 暗号通信システム - Google Patents

暗号通信システム

Info

Publication number
JPH1155322A
JPH1155322A JP9357491A JP35749197A JPH1155322A JP H1155322 A JPH1155322 A JP H1155322A JP 9357491 A JP9357491 A JP 9357491A JP 35749197 A JP35749197 A JP 35749197A JP H1155322 A JPH1155322 A JP H1155322A
Authority
JP
Japan
Prior art keywords
encryption
key
encryption key
terminal
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP9357491A
Other languages
English (en)
Other versions
JP3595145B2 (ja
Inventor
Takuya Taguchi
卓哉 田口
Toru Inada
徹 稲田
Yasuhisa Tokiniwa
康久 時庭
Akira Watanabe
晃 渡邊
Tetsuo Ideguchi
哲夫 井手口
Shigeaki Tanimoto
茂明 谷本
Hikoyuki Nakajima
彦之 中島
Shinichi Kato
愼一 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to JP35749197A priority Critical patent/JP3595145B2/ja
Priority to US09/081,046 priority patent/US6226385B1/en
Priority to GB9810750A priority patent/GB2326803B/en
Priority to DE19823666A priority patent/DE19823666B4/de
Publication of JPH1155322A publication Critical patent/JPH1155322A/ja
Application granted granted Critical
Publication of JP3595145B2 publication Critical patent/JP3595145B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

(57)【要約】 【課題】 ネットワ−クの大規模・複雑化しても暗号通
信のためのネットワ−ク管理が容易にできる。 【解決手段】 探索パケットを用いて、端末間の通信経
路上の暗号装置の鍵情報を収集し、収集した鍵情報に基
づいて、暗号鍵情報を自動学習し、端末間の通信データ
を各暗号装置が暗号/復号、透過中継するようにした。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】通信ネットワークに収容され
た通信端末間を中継する各暗号装置が互いに持つ暗号鍵
を学習してから暗号通信を行う暗号通信システムに関す
る。
【0002】
【従来の技術】 近年のコンピュータネットワークの普
及に伴い、ネットワーク上のデータの機密を保持するた
めの通信データの暗号技術への需要が高まっている。従
来、通信データの暗号については、図46に示す特開平
6−209313に見られるように、暗号装置内部の通
信データの宛先、送信元アドレスの一方あるいはその両
方に対応した暗号鍵を登録したテーブル(以下暗号鍵テ
ーブルと称する)に従ってデータを暗号/復号する方法
が一般的であった。
【0003】図46において、7は暗号装置、2は通信
データを暗号/復号する暗号/復号処理部、3は通信デ
ータを透過的に中継する透過中継処理部、4は通信デー
タを廃棄する廃棄処理部、6は送受信データの処理を実
施する送受信処理部、8は通信データの処理方法を示す
暗号鍵テーブルで、図48に示すように通信データの宛
先端末、送信元端末のペア毎に通信データの処理方法が
設定されている。通信データの処理方法には、暗号/復
号処理、透過中継処理、廃棄処理の3種類があり、暗号
/復号の場合は、暗号/復号に使用する暗号鍵の識別子
(以下IDと略す)が暗号鍵テーブル8に設定され、透
過中継処理、廃棄処理の場合は、それぞれの処理が暗号
鍵テーブル8に登録される。
【0004】暗号装置7が通信データを受信した場合、
送受信処理部6において、通信データの宛先と送信元端
末のペアに対応する処理を暗号鍵テーブル8から検索
し、暗号鍵のIDが登録されていた場合には、受信した
通信データを暗号/復号処理部2へ通知し、通信データ
を受信した送受信処理部6とは反対側の送受信処理部6
より通信データを送信する。透過中継処理、廃棄処理が
登録されていた場合には、透過中継処理部3、廃棄処理
部4へ受信した通信データを通知し、透過中継処理の場
合は、通信データを受信した送受信処理部6とは反対側
の送受信処理部6より通信データを送信し、廃棄処理の
場合は通信データを廃棄する。
【0005】図47のように暗号装置7を配置した場合
の暗号通信の一例を以下に示す。暗号装置71は暗号鍵
1、暗号装置72は暗号鍵3、暗号装置73は暗号鍵
1、2暗号装置74は暗号鍵3、暗号装置75は暗号鍵
2を持つものとする。また、端末Aと端末Bは、通信デ
ータを暗号装置71、73で暗号鍵1を使用して暗号/
復号し、中継経路上の暗号装置72では、端末A−B間
の通信データを透過的に中継することにより通信を実施
する。端末Bと端末Cは、通信データを暗号装置73、
75で暗号鍵2を使用して暗号/復号し、さらに暗号装
置72、74で暗号鍵3を使用して暗号/復号して通信
を実施する。端末Aと端末Cは、通信データの経路上に
存在する暗号装置71、74、75で一致する暗号鍵が
ないために通信不可能となる。
【0006】以上のような暗号通信を実現するために各
暗号装置7において、図48に示すような暗号鍵テーブ
ル8を用意する。暗号鍵テーブル8には、通信データの
宛先端末アドレスと送信元端末アドレスとその通信デー
タに適応した処理方法が設定されている。例えば、暗号
装置71においては、端末A−端末B間の通信データを
受信した場合は、暗号鍵1を使用して暗号/復号し、端
末A−端末C間の通信データを受信した場合は、廃棄す
る。また、暗号装置72においては、端末A−端末B間
の通信データを受信した場合は、透過的に中継し、端末
B−端末C間の通信データを受信した場合は、暗号鍵3
を使用して暗号/復号する。以上のように各暗号装置7
に通信データの処理方法を示した暗号鍵テーブルが必要
となる。
【0007】上述した暗号鍵テーブルは、各暗号装置ご
とに保持するか、ネットワーク上に配置された暗号鍵を
一元的に管理する管理装置に保持されるのが一般的であ
る。後者の場合、通信が開始されるときに暗号装置から
管理装置へ問い合わせることにより暗号鍵を得ることと
なる。
【0008】
【発明が解決しようとする課題】暗号鍵テーブルは、図
48に示すように各暗号装置毎に異なるため、ネットワ
ーク管理者は、ネットワークの構成を考慮して、暗号鍵
テーブルを各暗号装置毎に作成する必要がある。また、
ネットワークが大規模になると通信端末数も増大し、暗
号鍵テーブルが非常に複雑になり、ネットワーク管理者
では対応しきれなくなると言う課題があった。また、外
部のネットワークからの不正アクセスを防ぐためアクセ
ス制御手段が必要であった。
【0009】本発明は、このようなネットワークの大規
模化、複雑化に対応するするためになされたもので、ネ
ットワーク構成が大規模、複雑化してもネットワーク管
理者の負荷を最小限にして暗号通信および不正アクセス
防止手段を実現することを目的としている。
【0010】
【課題を解決するための手段】第1の発明に係わる暗号
通信システムは、通信ネットワークに収容された通信端
末間を暗号装置が中継して暗号通信を行う暗号通信シス
テムにおいて、通信データを中継する中継経路上の暗号
装置は、中継する通信データの送信元端末と宛先端末の
組み合わせ(以下端末ペアと称す)に対応する暗号鍵情
報が前記暗号装置の暗号鍵テーブルに登録されていない
場合、暗号鍵情報を収集するための鍵探索パケットが前
記中継経路上の各暗号装置自身の暗号情報を収集し、そ
の収集した暗号情報を鍵探索応答パケットが前記中継経
路上の前記各暗号装置に通知し、通知を受けた前記各暗
号装置は、収集した前記暗号鍵情報に基づいて、前記端
末ペアに対応して通信データを、暗号化するか、復号す
るか、透過中継するか、廃棄するか、いずれの処理を行
うかを指定する暗号鍵情報を前記暗号鍵テーブルに登録
し、その端末ペアからの通信データを中継する前記各暗
号装置は前記暗号鍵テーブルの暗号鍵情報に基づいて通
信データを処理するものである。
【0011】第2の発明に係わる暗号通信システムは、
通信ネットワークに収容された通信端末間を暗号装置が
中継して暗号通信を行う暗号通信システムにおいて、通
信データを中継する中継経路上の暗号装置は、中継する
通信データの送信元端末と宛先端末の組み合わせ(以下
端末ペアと称す)に対応する暗号鍵情報が前記暗号装置
の暗号鍵テーブルに登録されていない場合、前記通信デ
ータの前記端末ペアに対応する暗号鍵情報を収集するた
めの鍵探索パケットを前記宛先端末に発信し、その鍵探
索パケットを中継する中継経路上の前記各暗号装置は、
鍵探索パケットに各暗号装置自身が持つ暗号鍵情報を付
加した鍵探索パケットを前記宛先端末に中継し、前記鍵
探索パケットを受信した前記宛先端末は、収集した暗号
鍵情報を鍵探索応答パケットに設定し、その鍵探索応答
パケットを中継経路上の前記各暗号装置に通知し、通知
を受けた前記各暗号装置は収集した前記暗号鍵情報に基
づいて、前記端末ペアに対応して通信データを、暗号化
するか、復号するか、透過中継するか、廃棄するか、い
ずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵
テーブルに登録し、その端末ペアからの通信データを中
継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情
報に基づいて通信データを処理するものである。
【0012】第3の発明に係わる暗号通信システムは、
通信ネットワークに収容された通信端末間を暗号装置が
中継して暗号通信を行う暗号通信システムにおいて、通
信データを中継する中継経路上の暗号装置は、中継する
通信データの端末ペアに対応する暗号鍵情報が前記暗号
装置の暗号鍵テーブルに登録されていない場合、通信デ
ータの前記送信元端末に対して、鍵探索パケットを発信
する暗号装置を求めるための鍵探索要求パケットを送信
し、中継経路上の暗号装置はその鍵探索要求パケットを
中継し、中継した鍵探索要求パケットを受信した前記送
信端末は、その応答を知らせる鍵探索要求応答パケット
を送信し、 中継経路上最初に鍵探索要求応答パケット
を受信した暗号装置は、前記通信データの端末ペアに対
応する暗号鍵情報を収集するための鍵探索パケットを前
記宛先端末に発信し、その鍵探索パケットを中継する中
継経路上の前記各暗号装置は、鍵探索パケットに各暗号
装置自身が持つ暗号鍵情報を付加した鍵探索パケットを
前記宛先端末に中継し、前記鍵探索パケットを受信した
前記宛先端末は、収集した暗号鍵情報を鍵探索応答パケ
ットに設定し、その鍵探索応答パケットを中継経路上の
前記各暗号装置に通知し、通知を受けた前記各暗号装置
は収集した前記暗号鍵情報に基づいて、前記端末ペアに
対応して通信データを、暗号化するか、復号するか、透
過中継するか、廃棄するか、いずれの処理を行うかを指
定する暗号鍵情報を前記暗号鍵テーブルに登録し、その
端末ペアからの通信データを中継する前記各暗号装置は
前記暗号鍵テーブルの暗号鍵情報に基づいて通信データ
を処理するものである。
【0013】第4の発明に係わる暗号通信システムは、
前記鍵探索パケットを中継する中継経路上の各暗号装置
は、ローカルポートから鍵探索パケットを受信した場
合、その鍵探索パケットのローカルポート暗号鍵情報に
自暗号装置が持つ暗号鍵を設定し、パブリックポートか
ら鍵探索パケットを受信した場合、その鍵探索パケット
のパブリックポート暗号鍵情報に自暗号装置が持つ暗号
鍵を設定した鍵探索パケットを前記宛先端末に中継し、
前記鍵探索応答パケットを受信した中継経路上の各暗号
装置は、その鍵探索応答パケットを前記パブリックポー
トから受信した場合、前記パブリックポート暗号鍵情報
に自暗号装置が持つ鍵と同じ鍵があれば、または、前記
ローカルポートから受信した場合、前記ローカルポート
暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、そ
の鍵を用いて暗号化するか、復号するかを指定する暗号
鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなく、
前記ローカルポート暗号鍵情報にある鍵で、前記パブリ
ックポート暗号鍵情報に同じ鍵があれば、透過中継処理
することを指定する暗号鍵情報を前記暗号鍵テーブルに
登録し、同じ鍵がなければ、廃棄処理することを指定す
る暗号鍵情報を前記暗号鍵テーブルに登録するものであ
る。
【0014】第5の発明に係わる暗号通信システムは、
前記鍵探索応答パケットを受信した中継経路上の各暗号
装置は、その鍵探索応答パケットを前記パブリックポー
トから受信した場合、前記パブリックポート暗号鍵情報
に鍵がなにもければ透過中継処理することを指定する暗
号鍵情報を前記暗号鍵テーブルに登録するものである。
【0015】第6の発明に係わる暗号通信システムは、
前記通信データを中継する中継経路上の暗号装置は、前
記暗号鍵テーブルに登録された端末ペアの通信データを
所定時間以上中継することがなければ、その端末ペアに
対応する前記暗号鍵テーブルの暗号鍵情報を消去するも
のである。
【0016】第7の発明に係わる暗号通信システムは、
前記鍵探索応答パケットを受信した中継経路上の各暗号
装置が、前記鍵探索応答パケットを前記パブリックポー
トから受信した場合、前記パブリックポート暗号鍵情報
に自暗号装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号
装置よりも先に鍵探索パケットを受信した暗号装置でパ
ブリックポート暗号鍵情報にも登録されている暗号鍵と
同じ暗号鍵を持つものがなければ、予め設けた透過中継
か廃棄を指示する外部端末通信モード設定手段の設定に
基づいて透過中継処理か廃棄処理を指示する暗号鍵情報
を前記暗号鍵テーブルに登録し、前記鍵探索応答パケッ
トを前記ローカルポートから受信した場合、前記ローカ
ルポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗
号鍵がなく、自暗号装置よりも後に鍵探索パケットを受
信した暗号装置がローカルポート暗号鍵情報にも登録さ
れている暗号鍵と同じ暗号鍵を持つものがなければ、前
記外部端末通信モード設定手段の設定に基づいて透過中
継処理か廃棄処理を指示する暗号鍵情報を前記暗号鍵テ
ーブルに登録するものである。
【0017】第8の発明に係わる暗号通信システムは、
前記鍵探索応答パケットを受信した中継経路上の各暗号
装置が、前記鍵探索応答パケットを前記パブリックポー
トから受信した場合、前記鍵探索応答パケットのパブリ
ックポート暗号鍵情報に自暗号装置が持つ暗号鍵と同じ
暗号鍵がなく、自暗号装置よりも先に鍵探索パケットを
受信した暗号装置でパブリックポート暗号鍵情報にも登
録されている暗号鍵と同じ暗号鍵を持つものがなけれ
ば、予め設けた透過中継か半透過か廃棄かを指示する外
部端末通信モード設定手段の設定が半透過なら、透過処
理を指定する暗号鍵情報を前記暗号鍵テーブルに登録
し、前記鍵探索応答パケットを前記ローカルポートから
受信した場合、前記鍵探索応答パケットのローカルポー
ト暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵が
なく、自暗号装置よりも後に鍵探索パケットを受信した
暗号装置でローカルポート暗号鍵情報に登録されている
暗号鍵と同じ暗号鍵を持つものがなければ、前記外部端
末通信モード設定手段の設定が半透過なら、廃棄処理を
指定する暗号鍵情報を前記暗号鍵テーブルに登録するも
のである。
【0018】
【発明の実施の形態】
実施の形態1.本実施の形態は、通信相手の暗号鍵が不
明なとき、通信に先立ち端末間の中継経路上の暗号装置
の暗号鍵情報を収集し、収集した鍵情報に基づいて、暗
号鍵情報を自動学習し、学習した暗号鍵を用いて通信す
るものである。この発明を構成する暗号装置の一例を図
1を用いて説明する。図において、1は学習機能付き暗
号装置、2は通信データを暗号/復号する暗号/復号処
理部、3は通信データを透過的に中継する透過中継処理
部、4は通信データを廃棄する廃棄処理部、8は通信デ
ータの処理方法を示す暗号鍵テーブルで、図22に示す
ように通信データの宛先端末、送信元端末のペア毎に通
信データの処理方法を登録する。通信データの処理方法
には、暗号/復号処理、透過中継処理、廃棄処理の3種
類があり、暗号/復号の場合は、暗号/復号に使用する
暗号鍵のIDが暗号鍵テーブル8に設定され、透過中継
処理、廃棄処理の場合は、それぞれの処理方法が暗号鍵
テーブル8に登録される。
【0019】6は暗号鍵テーブル8の自動学習処理部
で、受信した通信データの送信元端末と宛先端末のペア
に対応して暗号鍵テーブル8に処理方法が登録していな
かった場合に自動学習処理が起動される。5はパブリッ
クポートで、7はローカルポートである。これらポート
は暗号装置が通信データを暗号するのか復号するのかを
識別するもので、暗号/復号処理の指定があった場合、
暗号装置は、パブリックポート5から受信した通信デー
タを復号し、ローカルポート7に送信する。また、ロー
カルポート7から受信した通信データを暗号化し、パブ
リックポート5に送信する。9、10は送受信処理部
で、通信データの受信処理、送信処理を実施する。
【0020】次に動作について説明する。例えば、暗号
装置1がローカルポート7から通信データを受信した場
合、ローカルポート側の送受信処理部9は、通信データ
の宛先端末アドレスと送信元端末アドレスに対応する処
理方法が暗号鍵テーブル8に登録されているか検索し、
登録されていた場合、送受信処理部9はその処理方法に
従い、暗号/復号処理部2、透過中継処理部3、廃棄処
理部4のいずれかに処理を引き継ぐ。即ち処理方法に暗
号鍵のIDが登録されていたなら、受信した通信データ
を暗号/復号処理部2へ渡す。処理方法に透過中継処理
が登録されていたなら、透過中継処理部3へ受信した通
信データを渡す。処理方法に廃棄処理が登録されていた
なら、廃棄処理部4へ受信した通信データを渡す。暗号
/復号処理部2が通信データを受けたなら暗号鍵IDに
従い、通信デ−タを暗号処理してパブリックポート側の
送受信処理部10へ渡す。
【0021】透過中継処理部3が通信データを受けたな
らその通信デ−タをパブリックポート側の送受信処理部
10へ渡す。廃棄処理部4が通信データを受けたならそ
の通信データを廃棄する。通信データを受けた送受信処
理部10はパブリックポート5に渡し、パブリックポー
ト5が通信データを送信する。暗号装置1がパブリック
ポート5から通信データを受信した場合も同様に、送受
信処理部10は通信データの宛先端末アドレスと送信元
端末アドレスに対応する処理方法が暗号鍵テーブル8に
登録されているか検索し、登録されていた場合、送受信
処理部10はその処理方法に従い、暗号/復号処理部
2、透過中継処理部3、廃棄処理部4のいずれかに処理
を引き継ぐ。そして、暗号/復号処理部2が通信データ
を受けたなら暗号鍵IDに従い通信デ−タを復号処理し
てロ−カルポート側の送受信処理部9へ渡す。
【0022】透過中継処理部3が通信データを受けたな
らその通信デ−タをロ−カルポート側の送受信処理部9
へ渡す。廃棄処理部4が通信データを受けたならその通
信データを廃棄する。通信データを受けた送受信処理部
9はロ−カルポート7に渡し、ロ−カルポート7が通信
データを送信する。上記例において、もし暗号鍵テーブ
ル8に処理方法が登録されていなかった場合には、自動
学習処理部6に通知し、自動学習処理部6が他の暗号装
置と連係して暗号鍵の学習を行なう。
【0023】次に、本発明の、上記暗号装置を用いた暗
号鍵学習機能を持つ暗号通信システムについて説明す
る。図2は、鍵探索パケットおよび鍵探索応答パケット
のフォーマットを示す。図2において、21はヘッダ
で、パケット種別、鍵探索パケットの宛先アドレス、送
信元アドレス、などを含む。22は暗号装置1が受信し
た通信データの送信元端末のアドレス、23は暗号装置
1が受信した通信データの宛先端末のアドレスである。
24はローカルポート暗号鍵情報で、鍵探索パケットを
ローカルポート7から受信した暗号装置1が自身の持つ
暗号鍵のIDを設定する。25はパブリックポート暗号
鍵情報で、鍵探索パケットをパブリックポート5から受
信した暗号装置1が自身の持つ暗号鍵のIDを設定す
る。26は鍵探索パケットおよび鍵探索応答パケットの
デ−タ部で、送信元端末アドレス22、宛先端末アドレ
ス23、ローカルポート暗号鍵情報24およびパブリッ
クポート暗号鍵情報25から構成される。
【0024】図3は端末A、B,C,Dを収容するネッ
トワークの構成例を示すもので、暗号装置11はIDが
1の、暗号装置12はIDが3の、暗号装置13はID
が1およびIDが2の、暗号装置14はIDが3の、暗
号装置15はIDが2の暗号鍵を保有しており、暗号復
号時にはそれぞれのIDに対応した暗号鍵を使用する。
即ち、各暗号装置に割り当てる暗号鍵は、あらかじめ配
送して登録されており、各暗号装置は、自身の持つ暗号
鍵の暗号鍵IDを内部に一つまたは複数個保持する。ま
た初期の時点では各装置内の暗号鍵テーブル8には、鍵
情報がなにも登録されていないものとする。なお、図中
のLポートは、ローカルポート7、Pポートはパブリッ
クポート5を示す。 また、図3の暗号装置11のパブ
リックポート5には暗号装置12のパブリックポート5
と暗号装置14のパブリックポート5が接続されてい
る。他は、ローカルポート7に対しパブリックポート5
が接続されている。
【0025】次に、図3における端末Aから端末Bへ通
信する際に、端末Aから受信した通信データの送信元端
末と宛先端末のペアに対応して暗号鍵テーブル8に処理
方法が何も登録していなかった場合に、暗号鍵テーブル
8を学習するための鍵探索パケットのシーケンスを図4
に示す。図において、31は暗号装置11から送信され
る鍵探索パケット、32は暗号装置12が鍵探索パケッ
ト31に暗号装置12の暗号鍵のIDを追加した鍵探索
パケット、33は暗号装置13が鍵探索パケット32に
暗号装置13の暗号鍵のIDを追加した鍵探索パケッ
ト、35は端末Bからの鍵探索応答パケットで、鍵探索
パケット33が収集した暗号鍵のIDを各暗号装置1に
知らせるパケットである。
【0026】41は端末Aからの通信データで、ヘッダ
21と送信元端末アドレスと宛先端末アドレスとデータ
とを有する。42は通信データ41のデータ部を暗号化
した通信データである。83は暗号装置13の暗号鍵テ
−ブルで、通信端末A−端末B間は処理方法が暗号/復
号で暗号鍵のIDが1であることを示す。82は暗号装
置12の暗号鍵テ−ブルで、通信端末A−端末B間は処
理方法が透過中継であることを示す。81は暗号装置1
1の暗号鍵テ−ブルで、通信端末A−端末B間は処理方
法が暗号/復号で暗号鍵のIDが1であることを示す。
図5は暗号装置が鍵探索応答パケットを受信したときの
処理フロ−チャ−トである。なお、暗号鍵テ−ブル81
〜83に処理方法が何も登録されていないものとする。
【0027】次に動作を説明する。まず、図4に示すよ
うに、端末Aより端末B宛の通信データ41が送信され
る。通信データ41をローカルポート7から受信した暗
号装置11は内部の暗号鍵テーブル81を検索し、端末
A−B間の通信の処理方法が登録されていないので、鍵
探索パケット31を編集してパブリックポート5へ送信
すると共に、受信した通信データ41を通信デ−タバッ
ファ(図示せず)に格納しておく。なお、暗号装置11
は、鍵探索パケット31を図6に示すように編集する。
即ち、受信した通信データ41に基づいて、端末Aアド
レスを送信元端末アドレス22に、端末Bアドレスを宛
先端末アドレス23に、自身の持つ暗号鍵のIDである
1をローカルポート暗号鍵情報24に設定し、パブリッ
クポート暗号鍵情報25には何も設定しない。また、ヘ
ッダにはパケット種別に鍵探索パケットを、鍵探索パケ
ットの送信元アドレスに暗号装置11のアドレスを、宛
先アドレスに端末Bのアドレスをセットする。
【0028】鍵探索パケット31をパブリックポート5
から受信した暗号装置12は、図7に示すように、自身
の持つ唯一の暗号鍵のIDである3をパブリックポート
暗号鍵情報25に追加設定し、鍵探索パケット32をロ
ーカルポート7へ転送する。鍵探索パケット32をパブ
リックポート5から受信した暗号装置13は、図8に示
すように、自身の持つ暗号鍵のIDである1と2をパブ
リックポート暗号鍵情報25内に追加設定して、鍵探索
パケット33をローカルポート7へ転送する。鍵探索パ
ケット33を受信した端末Bは、鍵探索パケット33の
データ部26を鍵探索応答パケット35にコピーする。
そして、図9に示す鍵探索応答パケット35を暗号装置
13経由11に送信する。ただし、鍵探索応答パケット
35のヘッダ21にパケット種別が鍵探索応答パケッ
ト、送信元が端末Bのアドレス、宛先が暗号装置11の
アドレスを設定し送信する。
【0029】暗号装置13は、鍵探索応答パケット35
をローカルポート7から受信すると(図5のステップS
1)、暗号装置13は、自分自身の暗号鍵のIDである
1または2と同じIDがローカルポート暗号鍵情報24
に設定されているかどうか検索する(ステップS2)。
本例の場合、暗号装置11の設定したIDである1が鍵
探索応答パケットのローカルポート暗号鍵情報24に設
定されているので、暗号装置13は、図4の暗号鍵テー
ブル83に端末A−端末B間の通信データをIDが1の
暗号鍵で暗号/復号することを登録し(ステップS
3)、通信データバッファに送信すべき通信データがな
く(ステップS4)、鍵探索応答パケット35のヘッダ
21の宛先アドレスが自暗号装置13ではないので(ス
テップS6)、受信した鍵探索応答パケット35を暗号
装置12に中継する(ステップS8)。
【0030】暗号装置12は、鍵探索応答パケット35
をローカルポート7から受信すると(図5のステップS
1)、暗号装置12は、自分自身の暗号鍵のIDである
3と同じ暗号鍵のIDが鍵探索応答パケット35のロー
カルポート暗号鍵情報24に設定されているかどうか検
索する(ステップS2)。本例の場合、同じIDを見つ
けることができないので、暗号装置12は、鍵探索応答
パケット35のローカルポート暗号鍵情報24にある暗
号鍵IDと同じ暗号鍵IDがパブリックポート暗号鍵情
報25にあるか調べる(ステップS13)。そして、図
9に示すように暗号装置11の暗号鍵IDの1と暗号装
置13の暗号鍵IDの1が一致するので、暗号装置12
は、図4の暗号鍵テ−ブル82に端末A−端末B間の通
信データを透過的に中継することを暗号鍵テーブル82
に登録し(ステップS14)、通信データバッファに送
信すべき通信データがなく(ステップS4)、鍵探索応
答パケット35のヘッダ21の宛先アドレスが自暗号装
置12ではないので(ステップS6)、受信した鍵探索
応答パケット35を暗号装置11に中継する(ステップ
S8)。
【0031】暗号装置11は、鍵探索応答パケット35
をパブリックポート5から受信すると(ステップS1
1)、自分自身の持つ暗号鍵のIDである1と同じID
が鍵探索応答パケット35のパブリックポート暗号鍵情
報25に設定されているかどうか検索する(ステップS
12)。本例の場合、暗号装置13が設定した2つの暗
号鍵のうちで、IDが1の暗号鍵が鍵探索応答パケット
35のパブリックポート暗号鍵情報25に設定されてい
るため、暗号装置11は、図4の暗号鍵テーブル81に
端末A−端末B間の通信データをIDが1の暗号鍵で暗
号/復号することを暗号鍵テーブル81に登録する(ス
テップS3)。
【0032】そして、暗号装置11は、通信データバッ
ファに送信すべき通信データ41があるので(ステップ
S4)、通信データ41を暗号鍵テーブル81の内容に
従い、暗号/復号処理部2で、暗号鍵1を用いて暗号化
して通信データ42として端末B宛て送信する(ステッ
プS5)。次に、受信した鍵探索応答パケット35のヘ
ッダ21に宛先アドレスは、暗号装置11となっている
ので(ステップS6)、暗号装置11は鍵探索応答パケ
ット35を廃棄する(ステップS7)。
【0033】暗号装置11で暗号化された通信データ4
2は、暗号装置12で暗号鍵テーブル82の内容に従い
透過中継され、暗号装置13では、暗号鍵テーブル83
の内容に従い、パブリックポート5からの通信データ4
2を暗号鍵1で復号し、復号した通信データ1をローカ
ルポート7経由端末Bへ送信する。端末Bから端末Aへ
の通信データ43は、暗号装置13で暗号鍵テーブル8
3の内容に従い、ローカルポート7からの通信データ4
3を暗号鍵1により暗号され、暗号装置12では暗号鍵
テーブル82の内容に従い、透過的に中継されて、暗号
装置11では暗号鍵テーブル81の内容に従い、パブリ
ックポート5からの通信データ43を暗号鍵1により復
号されてローカルポート7経由端末Aへ達する。
【0034】上記例では、鍵探索パケットを宛先端末に
送信したが、宛先端末を収容する暗号装置宛であっても
よい。この場合、鍵探索パケットは中継経路上の暗号装
置の暗号鍵情報を収集して、宛先端末を収容する暗号装
置から、鍵探索応答パケットを中継経路上の暗号装置に
通知する。また、鍵探索パケットは送信元端末側の暗号
装置からではなく、宛先端末を収容する暗号装置から発
信させてもよい。この場合、送信元端末側の暗号装置か
ら宛先端末を収容する暗号装置に鍵探索パケットを送出
するよう指示し、指示された暗号装置から送出された鍵
探索パケットは中継経路上の暗号装置の暗号鍵情報を収
集し、送信元端末を収容する暗号装置から、鍵探索応答
パケットを中継経路上の暗号装置に通知する。以上によ
り通信相手の暗号鍵がわからない状態から鍵探索パケッ
トを用いて、端末間の通信経路上の暗号装置の鍵情報を
収集し、収集した鍵情報に基づいて、暗号鍵情報を自動
学習し、端末間の通信データを各暗号装置が暗号/復
号、透過中継するので、人手により暗号通信ができるよ
う端末間の通信経路上の暗号装置に暗号鍵情報を設定す
るより、操作ミスが無く、ネットワ−ク管理が容易であ
る。図3における暗号装置11、13、15の機能を端
末A、B、Cに内蔵させることによっても同様の効果を
得ることができる。
【0035】実施の形態2.本実施の形態は二重暗号の
動作を説明する。図10は、図3における端末Bから端
末Cへ通信する場合、各暗号装置1が鍵探索パケットと
鍵探索応答パケットにより暗号鍵テーブル8を学習する
シーケンスを示したものである。図10において、41
は端末Bから送信された通信データ、42は通信データ
41を暗号化した通信データ、43は端末Cから端末B
への通信データである。31〜34は暗号装置13から
送信され暗号装置12、14、15を中継し端末Cに送
られる鍵探索パケット、35は鍵探索応答パケットで、
端末Cから送信され暗号装置15、14、12を中継す
る。
【0036】82は暗号装置12の暗号鍵テ−ブルで、
通信端末B−端末C間は処理方法が暗号/復号で暗号鍵
のIDが3であることを示す。83は暗号装置13の暗
号鍵テ−ブルで、通信端末B−端末C間は処理方法が暗
号/復号で暗号鍵のIDが2であることを示す。84は
暗号装置14の暗号鍵テ−ブルで、通信端末B−端末C
間は処理方法が暗号/復号で暗号鍵のIDが3であるこ
とを示す。85は暗号装置15の暗号鍵テ−ブルで、通
信端末B−端末C間は処理方法が暗号/復号で暗号鍵の
IDが2であることを示す。図5は暗号装置が鍵探索応
答パケットを受信したときの処理フロ−チャ−トであ
る。
【0037】次に動作を説明する。まず、暗号鍵テ−ブ
ル82〜85に処理方法が何も登録されていないものと
する。端末Bが通信データ41を送信すると、通信デー
タ41を受信した暗号装置13は、自身の暗号鍵テーブ
ル83に端末B−端末C間のデータの処理方法が登録さ
れているか調べ登録されていないので、実施の形態1の
時と同様に、鍵探索パケットのローカルポート暗号鍵情
報24に自身の暗号鍵のID1、2を設定した鍵探索パ
ケット31を送信する。ただし、鍵探索パケット31の
ヘッダ21にはパッケット種別に鍵探索パケットを、鍵
探索パケットの送信元に暗号装置13のアドレスを、宛
先に端末Cのアドレスを設定し、暗号装置12経由端末
Cに送信する。
【0038】探索パッケット31をローカルポート7か
ら受信した暗号装置12は、鍵探索パケット31のロー
カルポート暗号鍵情報24に自身の持つ暗号鍵のID3
を追加した鍵探索パケット32を送信する。暗号装置1
4は、パブリックポート5から受信した鍵探索パケット
32のパブリックポート暗号鍵情報25に自身の持つ暗
号鍵のID3を追加した鍵探索パケット33を送信す
る。暗号装置15は、パブリックポート5から受信した
鍵探索パケット33のパブリックポート暗号鍵情報25
に自身の持つ暗号鍵のID2を追加した鍵探索パケット
34を送信する。
【0039】次に、暗号装置15から自端末宛の鍵探索
パケット34を受信した端末Cは、鍵探索パケット34
のデータ部26を鍵探索応答パケット35のデータ部2
6にコピーする。そして、図11に示す鍵探索応答パケ
ット35を暗号装置15経由端末B宛てに送信する。た
だし、鍵探索応答パケット35のヘッダ21にはパケッ
ト種別に鍵探索応答パケットを、送信元に端末Cのアド
レス、宛先に暗号装置13のアドレスを設定し送信す
る。
【0040】暗号装置15は、ローカルポート7から鍵
探索応答パケット35を受信すると(図5のステップS
1)、自分自身の暗号鍵のIDである2と同じ暗号鍵の
IDが鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているかどうか検索する(ステップ
S2)。本例の場合、暗号装置15の設定したIDであ
る2が鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているので、暗号装置15は、図1
0の暗号鍵テーブル85に端末B−端末C間の通信デー
タ41をIDが2の暗号鍵で暗号/復号することを登録
し(ステップS3)、通信データバッファに送信すべき
通信データ41がなく(ステップS4)、鍵探索応答パ
ケット35のヘッダ21の宛先アドレスが自暗号装置1
5ではないので(ステップS6)、受信した鍵探索応答
パケット35を暗号装置14に中継する(ステップS
8)。
【0041】以下、同様に図5のフローチャートに従う
と暗号装置14は、ローカルポート7から鍵探索応答パ
ケット35を受信すると、鍵探索応答パケット35のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し、IDが3の鍵を得て自身の暗号鍵テーブ
ル84に、端末B−端末C間の通信データを、IDが3
の暗号鍵で暗号/復号することを登録し、鍵探索応答パ
ケット35を暗号装置12に中継する。
【0042】また、暗号装置12は、パブリックポート
5から鍵探索応答パケット35を受信すると、自分自身
の暗号鍵のIDである3と同じ暗号鍵IDが鍵探索応答
パケット35のパブリックポート暗号鍵情報25に設定
されているかどうか検索し、ID3の鍵が同一なので、
自身の暗号鍵テーブル82に、端末B−端末C間の通信
データを、IDが3の暗号鍵で暗号/復号することを登
録し、暗号装置13に中継する。暗号装置13は、パブ
リックポート5から鍵探索応答パケット35を受信する
と、自分自身の暗号鍵のIDである1または2と同じ暗
号鍵IDが鍵探索応答パケット35のパブリックポート
暗号鍵情報25に設定されている暗号鍵のIDを検索
し、ID2の鍵が同一なので、自身の暗号鍵テーブル8
3に、端末B−端末C間の通信データを、IDが2の暗
号鍵で暗号/復号することを登録する。
【0043】続いて、実施の形態1と同様に、暗号装置
13は、通信デ−タバッファ(図示せず)に格納してお
いたローカルポート7からの通信データ41を暗号鍵テ
ーブル83の内容に従い、暗号/復号処理部2で、暗号
鍵2を用いて暗号化し、その暗号化した通信データ42
をパブリックポート5から暗号装置12経由端末C宛に
送信する。また、鍵探索応答パケット35のヘッダ21
内の宛先アドレスは、暗号装置13となっているので鍵
探索応答パケット35は、暗号装置13によって廃棄さ
れる。
【0044】暗号装置13で暗号化された通信データ4
2を、ローカルポート7から受信した暗号装置12は暗
号鍵テーブル82の内容に従い、暗号鍵3により暗号化
し、暗号装置14で暗号鍵テーブル84の内容に従い、
パブリックポート5経由暗号鍵3により復号され、暗号
装置15では暗号鍵テーブル85の内容に従い、パブリ
ックポート5からの通信データを暗号鍵2により復号さ
れ、ローカルポート7経由端末Cへ達する。
【0045】端末Cから端末Bへの通信データ43は、
暗号装置15で暗号鍵テーブル85の内容に従い、ロー
カルポート7からの通信データ43を暗号鍵2により暗
号され、暗号装置14で暗号鍵テーブル84の内容に従
い、ローカルポート7からの通信データ43を暗号鍵3
により暗号され、暗号装置12では暗号鍵テーブル82
の内容に従い、パブリックポート5からの通信データ4
3を暗号鍵3により復号されて、暗号装置13では暗号
鍵テーブル83の内容に従い、パブリックポート5から
の通信データ43を暗号鍵2により復号されてローカル
ポート7経由端末Bへ達する。
【0046】以上により、暗号装置13および15で暗
号化した通信データをさらに暗号装置12および14で
暗号化するので機密性の高い暗号通信ができる。なお、
端末B、C間で一度暗号化したら再度暗号化しないよう
暗号装置12および14で暗号/復号処理をせず、透過
中継処理をするようにしてもよい。従って、暗号/復号
による通信データの遅延を減少できる。図3における暗
号装置11、13、15の機能を端末A、B、Cに内蔵
させることによっても同様の効果を得ることができる。
【0047】実施の形態3.図3に示すように、端末A
−端末C間で通信を行なう場合、暗号装置11、14、
15で保持する暗号鍵のIDが1、3、2で、一致する
ものがないときの動作を説明する。まず、図12に示す
ように、端末Aより端末C宛の通信データ41が送信さ
れる。通信データ41をローカルポート7から受信した
暗号装置11は内部の暗号鍵テーブル81を検索し、端
末A−B間の通信の処理方法が登録されていない場合、
鍵探索パケット31を編集してパブリックポート5へ送
信すると共に、受信した通信データ41を通信デ−タバ
ッファに格納しておく。
【0048】そして、暗号装置11は、鍵探索パケット
31を受信した通信データ41に基づいて、以下のよう
に編集する。 即ち、端末Aアドレスを送信元端末アド
レス22に、端末Cアドレスを宛先端末アドレス23
に、自身の持つ暗号鍵のIDである1をローカルポート
暗号鍵情報24に設定し、パブリックポート暗号鍵情報
25には何も設定しない。また、ヘッダ21にはパケッ
ト種別に鍵探索パケットを、鍵探索パケットの送信元ア
ドレスに暗号装置11のアドレスを、宛先アドレスに端
末Cのアドレスを設定して暗号装置14経由端末C宛に
送信する。暗号装置11が発信した鍵探索パケット31
は暗号装置14、15でパブリックポート鍵情報25に
自暗号鍵IDが付加されて端末Cに達する。端末Cは、
鍵探索パケットのデ−タ部26を図13に示すように、
鍵探索応答パケット35にコピ−し、ヘッダ21にはパ
ケット種別が鍵探索応答パケット、送信元が端末Cのア
ドレス、宛先が暗号装置11のアドレスを設定した、鍵
探索応答パケット35を暗号装置15経由暗号装置11
宛てに送信する。
【0049】次に、図5は暗号装置が鍵探索応答パケッ
トを受信するときの処理フロ−チャ−トである。このフ
ロ−チャ−トに従い説明する。暗号装置15は、ローカ
ルポート7から鍵探索応答パケット35を受信すると
(図5のステップS1)、自分自身の暗号鍵のIDであ
る2と同じ暗号鍵のIDが鍵探索応答パケット35のロ
ーカルポート暗号鍵情報24に設定されているかどうか
検索する(ステップS2)。本例の場合、暗号装置15
が持つ暗号鍵ID2と同じ暗号鍵IDが鍵探索応答パケ
ット35のローカルポート暗号鍵情報24に設定されて
いないので、ロ−カルポ−ト暗号鍵情報24とパブリッ
クポート暗号鍵情報25に同じ暗号鍵IDがあるか調べ
(ステップ13)、ないのでローカルポート暗号鍵情報
24またはパブリックポート暗号鍵情報25に暗号鍵の
IDが何も設定されていなか調べ(ステップ15)、と
もに設定されているので暗号鍵テーブル85に廃棄処理
を登録する。そして、ステップS4に進み、通信データ
バッファに送信すべき通信デ−タはなく、宛先アドレス
が自暗号装置ではないので(ステップS6)受信した鍵
探索応答パケット35を暗号装置14に中継する(ステ
ップS8)。
【0050】以下、同様に暗号装置14は、ローカルポ
ート7から鍵探索応答パケット35を受信すると、暗号
鍵テーブル84に廃棄処理を登録し、鍵探索応答パケッ
ト35を暗号装置11に中継する。暗号装置11は、パ
ブリックポート5から鍵探索応答パケット35を受信す
ると、自身の暗号鍵テーブル81に、端末A−端末C間
の通信データは廃棄処理するよう登録する。そして、送
信バッファに格納されている通信デ−タを暗号鍵テーブ
ル81に従い廃棄する。
【0051】また、鍵探索応答パケット35のヘッダ2
1内の宛先アドレスが、暗号装置11となっているの
で、暗号装置11は鍵探索応答パケット35を廃棄す
る。上記例では、図13にも示したとおり、一致する暗
号鍵のIDが存在しないため、暗号装置11、14、1
5の暗号鍵テーブル81、84、85には、端末A−端
末C間の通信データを廃棄することが登録される。この
結果、端末A−端末C間の通信データは、各暗号装置に
よって廃棄される。以上、端末A−端末C間の中継経路
上の各暗号装置に同一の暗号鍵IDがない場合、各暗号
装置は端末A−端末C間の通信データを廃棄するので、
不正アクセス、機密の漏洩防止ができる。
【0052】実施の形態4.一つの暗号装置を介して二
つの端末間で通信を行なう例を図3、図14、図5を用
いて説明する。図14は、図3における端末Aから端末
Dへの通信が実施される際に、暗号鍵テーブルを学習す
るために実施される鍵探索パケットのシーケンスを示し
たものである。41は、端末Aから送信された通信デー
タ、31は、暗号装置11から送信される鍵探索パケッ
ト、35は、端末Dから送信される鍵探索応答パケッ
ト、41、43は、暗号鍵テーブル学習後に実施される
端末A−端末D間の通信デ−タを示す。81は暗号装置
11の暗号鍵テーブルである。図5は暗号装置が鍵探索
応答パケットを受信したときの処理フロ−チャ−トであ
る。
【0053】端末Aからの通信データ41をローカルポ
ート7から受信した暗号装置11は、自身の持つ暗号鍵
テーブル81に端末A−端末D間の通信データの処理方
法が登録されていないため、図15に示す鍵探索パケッ
ト31を編集し端末D宛て送信する。また、通信デ−タ
41を通信デ−タバッファに格納する。
【0054】なお、暗号装置11は、鍵探索パケット3
1を図15に示すように編集する。即ち、受信した通信
データ41に基づいて、端末Aアドレスを送信元端末ア
ドレス22に、端末Dアドレスを宛先端末アドレス23
に、自身の持つ暗号鍵のIDである1をローカルポート
暗号鍵情報24に設定し、パブリックポート暗号鍵情報
25には何も設定しない。また、ヘッダ21にはパケッ
ト種別に鍵探索パケットを、鍵探索パケットの送信元ア
ドレスに暗号装置11のアドレスを、宛先アドレスに端
末Dのアドレスをセットする。鍵探索パケット31を受
信した端末Dは、鍵探索応答パケット35のデータ部
に、鍵探索パケットのデータ部をコピーして、ヘッダ2
1にはパケット種別に鍵探索応答パケット35を、宛先
アドレスに暗号装置11のアドレスを、送信元アドレス
に端末Dのアドレスを設定して暗号装置11に送信す
る。
【0055】鍵探索応答パケット35をパブリックポー
ト5から受信した(図5のステップS11)暗号装置1
1は、自分自身の持つ暗号鍵のIDである1と同じID
がパブリックポート暗号鍵情報25に設定されているか
どうか検索する(ステップS12)。本実施の形態の場
合、設定されていないので、ローカルポート暗号鍵情報
24とパブリックポート暗号鍵情報25の両方に同じ暗
号鍵IDがあるか調べ(ステップS13)、パブリック
ポート暗号鍵情報25には何も設定されていない。つま
り、暗号装置11の送信した鍵探索パケット31をパブ
リックポート5から受信した暗号装置はいないというこ
と(復号する暗号装置が存在しない)であり、このた
め、暗号装置11では、暗号鍵テーブル81に端末A−
端末D間の通信データを透過中継することが登録される
(ステップS14)。
【0056】そして、通信デ−タバッファに格納してお
いた通信データ41を暗号鍵テーブル81に従い端末A
−端末D間の通信データを透過中継する(ステップS
5)。また、自暗号装置宛て(ステップS6)の鍵探索
応答パケット35を廃棄する(ステップS7)。この結
果、通信デ−タ41は暗号されずに端末Dに到達する。
また、端末Dからの通信データ43は暗号装置11で暗
号鍵テーブル81に従い透過中継されて暗号化されずに
端末Aに達する。
【0057】以上、鍵探索応答パケット35のパブリッ
クポート鍵情報25に暗号鍵IDがない場合、暗号装置
は暗号鍵テーブル81に端末A−端末D間の通信データ
を透過中継するよう登録するので、一つの暗号装置を介
して暗号化せず端末間通信ができる。上記例では、暗号
化せずに通信できるようにしたが、通信を許可しないと
してもよい。
【0058】実施の形態5.以上の実施の形態1、2で
は、各暗号装置が初期状態、即ち暗号鍵テーブルに何も
設定されていない状態での例を説明してきたが、各暗号
装置が暗号鍵テーブル8の学習後、電源断などにより通
信経路の途中の暗号装置の暗号鍵テーブル8が消去され
てしまった場合、暗号通信ができなくなる例を以下に示
す。
【0059】例えば、実施の形態2による方法で、図3
における端末Bと端末C間で通信中に、障害により暗号
装置12がすでに学習済みの暗号鍵テーブル82を消去
してしまった場合の動作を図16を用いて説明する。な
お、図中82aは消去してしまった暗号鍵テーブル、8
2bは再登録した暗号鍵テーブルである。図5は暗号装
置が鍵探索応答パケットを受信したときの処理フロ−チ
ャ−トである。端末Bから端末C宛ての通信デ−タ41
をローカルポート7から受信すると暗号装置13は暗号
鍵テーブル83を参照して処理方法に暗号鍵2が登録さ
れているので、暗号鍵2で通信デ−タ41を暗号化して
送出する。暗号化した通信デ−タ41を受信した暗号装
置12は暗号鍵テーブル82aを参照すると端末Bと端
末C間は処理方法が登録されていないので、鍵探索パケ
ット32を編集し、暗号装置14、15経由端末C宛て
に送出する。
【0060】なお、暗号装置12は鍵探索パケット32
のローカルポート暗号鍵情報24に暗号装置12の暗号
鍵ID3を設定し、鍵探索パケット32のヘッダ21に
はパケット種別に鍵探索パケットを、送信元アドレスに
暗号装置12のアドレスを、宛先アドレスに端末Cのア
ドレスを設定し、暗号装置14経由端末C宛て送信す
る。そして、鍵探索パケット32をパブリックポート5
から受信した暗号装置14は、自暗号鍵のIDを鍵探索
パケット32のパブリックポート暗号鍵情報25に付加
した鍵探索パケット33を暗号装置15経由端末C宛て
送信する。鍵探索パケット33をパブリックポート5か
ら受信した暗号装置15は、自暗号鍵のIDを鍵探索パ
ケット33のパブリックポート暗号鍵情報25に付加し
た鍵探索パケット34を端末Cに送信する。
【0061】鍵探索パケット34を受信した端末Cは、
鍵探索パケット34のデータ部26を図17のように鍵
探索応答パケット35のデータ部26にコピーし、鍵探
索応答パケット35のヘッダ21にはパケット種別に鍵
探索応答パケットを、送信元に端末Cのアドレスを、宛
先に暗号装置12のアドレスを設定し、その鍵探索応答
パケット35を暗号装置15経由暗号装置12宛てに送
出する。鍵探索応答パケット35をローカルポート7か
ら受信した(図5のステップS1)暗号装置15は、自
分自身の暗号鍵のIDである2と同じIDがローカルポ
ート暗号鍵情報24に設定されているか調べ(ステップ
S2)、ないのでローカルポート暗号鍵情報24とパブ
リックポート暗号鍵情報25に同じ暗号鍵のIDがある
か調べ(ステップS13)、あるので暗号鍵テーブル8
5に処理方法として透過中継処理を登録する(ステップ
S14)。送信すべき通信デ−タがなく(ステップS
4)、自暗号装置宛てではないので(ステップS6)、
鍵探索応答パケット35を暗号装置14に中継する。
(ステップS8)。
【0062】以下同様に、鍵探索応答パケット35を受
信した暗号装置14は暗号鍵テーブル84に端末B−C
間では処理方法が暗号/復号処理で暗号鍵のIDが3を
登録し、鍵探索応答パケット35を暗号装置12に中継
する。鍵探索応答パケット35をパブリックポート5か
ら受信した(図5のステップS11)暗号装置12は、
自分自身の暗号鍵のIDである3と同じIDがパブリッ
クポート暗号鍵情報25に設定されているか調べ(ステ
ップS12)、あるので暗号鍵テーブル82に処理方法
として暗号/復号処理で暗号鍵のIDが3を登録し、通
信デ−タバッファに送信すべき通信デ−タがあるか調べ
(ステップS4)、あるので通信デ−タを送信する(ス
テップS5)。鍵探索応答パケット35は自暗号装置1
2宛てであるので(ステップS6)、鍵探索応答パケッ
ト35を廃棄する(ステップS7)。
【0063】従って、暗号装置12は暗号鍵テーブル8
2bに端末B−C間では処理方法が暗号/復号処理で暗
号鍵のIDが3を登録する。暗号装置14は暗号鍵テー
ブル84に端末B−C間では処理方法が暗号/復号処理
で暗号鍵のIDが3を登録する。暗号装置15は暗号鍵
テーブル85に端末B−C間では処理方法が透過中継を
登録する。そして、端末Bから送信された通信データ
は、暗号装置13でIDが2の暗号鍵で暗号され、暗号
装置12でIDが3の暗号鍵で暗号され、暗号装置14
でIDが3の暗号鍵で復号され、暗号装置15で透過中
継されるため、端末Cに到達するデータは、IDが2の
暗号鍵で暗号された状態となっており、通信が不可能で
ある。
【0064】本実施の形態では暗号装置が暗号鍵テーブ
ルを消去しても、混乱を起こさず復旧させる方法につい
て、以下に説明する。図3における端末Bと端末C間で
通信中に、例えば、障害により暗号装置12がすでに学
習済みの暗号鍵テーブル82を消去してしまった場合の
シーケンスを図18に示す。図18において、82aは
消去してしまった暗号装置12の暗号鍵テーブル、82
bは再登録した暗号装置12の暗号鍵テーブル、83は
暗号装置13の暗号鍵テーブル、84は暗号装置14の
暗号鍵テーブル、85は暗号装置15の暗号鍵テーブル
である。また、暗号装置13の暗号鍵テーブル83は端
末Bと端末C間は暗号鍵2を、暗号装置14の暗号鍵テ
ーブル84は端末Bと端末C間は暗号鍵3を、暗号装置
15の暗号鍵テーブル85は端末Bと端末C間は暗号鍵
2を登録しているものとする。
【0065】次に図19は鍵探索要求パケットのフォー
マットを示し、21はヘッダで、パケット種別、鍵探索
要求パケットの宛先アドレス(本例では、端末B)、送
信元アドレス(本例では、暗号装置12)などを含む。
27は、暗号装置が受信した通信データの送信元端末、
28は、暗号装置が受信した通信データの宛先端末のア
ドレスである。 図20は鍵探索要求パケット51の例
で、送信元端末アドレス27には端末Bアドレス、宛先
端末アドレス28には、端末Cアドレスが設定される。
図21は鍵探索要求応答パケット52の例で、送信元端
末アドレス27には端末Bアドレス、宛先端末アドレス
28には、端末Cアドレスが設定される。
【0066】次に動作を説明する。端末Bからの通信デ
ータ41をローカルポート7から受信した暗号装置13
は、暗号鍵テーブル83に登録された処理方法に従い、
IDが2の暗号鍵で暗号化した通信データ41を暗号装
置12へ中継する。暗号化された通信データ41を受信
した暗号装置12は、暗号鍵テーブル82aに端末B−
端末C間の処理方法が登録されていないので、図20に
示すように、暗号装置12は鍵探索要求パケット51の
送信元に端末Bのアドレスを、宛先に端末Cのアドレス
を設定し、ヘッダ21にはパケット種別が鍵探索要求パ
ケット、送信元が端末Bのアドレス、宛先が暗号装置1
2のアドレスを設定した鍵探索要求パケット51を通信
データの送信元端末すなわち端末B宛に送信すると共
に、通信データ41を通信データバッファに格納してお
く。
【0067】鍵探索要求パケット51を受信した暗号装
置13は、受信パケットが端末B宛の鍵探索要求パケッ
ト51であるため、これを端末Bに中継する。鍵探索要
求パケット51を受信した端末Bは、図20、図21に
示すように、送信元端末アドレス27と宛先端末アドレ
ス28を鍵探索要求応答パケット52の送信元端末アド
レス27と宛先端末アドレス28にコピーし、鍵探索応
答パケット52のヘッダ21にはパケット種別が鍵探索
要求応答パケット、送信元が端末Bのアドレス、宛先が
暗号装置12のアドレスを設定し送信する。鍵探索要求
応答パケット52を受信した暗号装置13は、鍵探索パ
ケット31の送信元端末アドレス27には鍵探索要求応
答パケット52に設定されていた送信元端末アドレス2
7を、宛先端末アドレス28には、鍵探索要求応答パケ
ット52に設定されていた送信元端末アドレス28をコ
ピーする。
【0068】ここでは、送信元端末アドレス27に端末
Bのアドレスが、宛先端末アドレス28に端末Cのアド
レスが設定される。また、ヘッダ21にはパケット種別
に鍵探索パケットを、送信元に暗号装置13のアドレス
を、宛先に端末Cのアドレスを設定し、鍵探索パケット
31を送信する。そして、暗号装置13は鍵探索要求応
答パケット52のヘッダ21の宛先アドレスが何であっ
ても関係無く、受信した鍵探索要求応答パケット52を
廃棄する。この後の鍵探索パケットの処理過程は、実施
の形態2と同じで、暗号装置13は、鍵探索パケット3
1を暗号装置12、14、15経由端末C宛てに送出す
る。ただし、鍵探索パケット31を発信した暗号装置1
3と中継した暗号装置12、14、15は自暗号鍵のI
Dを鍵探索パケット31、32、33に付加した鍵探索
パケット32、33、34を送信する。即ち、暗号装置
13、12は自暗号鍵のIDをロ−カルポ−ト暗号鍵情
報24に、暗号装置14、15は自暗号鍵のIDをパブ
リックポ−ト暗号鍵情報25に、設定する。
【0069】鍵探索パケット34を受信した端末Cは鍵
探索パケットのデータ部26を鍵探索応答パケット35
のデータ部26にコピーする。そして、鍵探索応答パケ
ット35を暗号装置15経由暗号装置13宛てに送信す
る。ただし、鍵探索応答パケット35のヘッダ21にパ
ケット種別が鍵探索応答パケット、送信元が端末Cのア
ドレス、宛先が暗号装置13のアドレスを設定し送信す
る。
【0070】暗号装置15は、ローカルポート7から鍵
探索応答パケット35を受信すると(図5のステップS
1)、自分自身の暗号鍵のIDである2と同じ暗号鍵の
IDが鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているかどうか検索する(ステップ
S2)。本例の場合、暗号装置15の設定したIDであ
る2が鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているので、暗号装置15は、図1
8の暗号鍵テーブル85に端末B−端末C間の通信デー
タ41をIDが2の暗号鍵で暗号/復号することを登録
し(ステップS3)、通信データバッファに送信すべき
通信データ41がなく(ステップS4)、鍵探索応答パ
ケット35のヘッダ21の宛先アドレスが自暗号装置1
5ではないので(ステップS6)、受信した鍵探索応答
パケット35を暗号装置14に中継する(ステップS
8)。
【0071】以下、同様に図5のフローチャートに従う
と暗号装置14は、ローカルポート7から鍵探索応答パ
ケット35を受信すると、鍵探索応答パケット35のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し、IDが3の鍵を得て自身の暗号鍵テーブ
ル84に、端末B−端末C間の通信データを、IDが3
の暗号鍵で暗号/復号することを登録し、鍵探索応答パ
ケット35を暗号装置12に中継する。
【0072】暗号装置12は、パブリックポート5から
鍵探索応答パケット35を受信すると、鍵探索応答パケ
ット35のパブリックポート暗号鍵情報25に設定され
ている暗号鍵のIDを検索し、IDが3の鍵を得て、自
身の暗号鍵テーブル82に、端末B−端末C間の通信デ
ータを、IDが3の暗号鍵で暗号/復号することを登録
する。そして、通信デ−タバッファに格納しておいたロ
ーカルポート7からの通信データ41を暗号鍵テーブル
82の内容に従い、暗号/復号処理部2で、暗号鍵3を
用いて暗号化し、その暗号化した通信データ42を暗号
装置14経由端末Cに送信する。
【0073】また、鍵探索応答パケット35を暗号装置
13に中継する。暗号装置13は、パブリックポート5
から鍵探索応答パケット35を受信すると、鍵探索応答
パケット35のパブリックポート暗号鍵情報25に設定
されている暗号鍵のIDを検索し、IDが2の鍵を得
て、自身の暗号鍵テーブル83に、端末B−端末C間の
通信データを、IDが2の暗号鍵で暗号/復号すること
を登録する。続いて、実施の形態1と同様に、暗号装置
13は、鍵探索応答パケット35のヘッダ21内の宛先
アドレスが、暗号装置13となっているので、鍵探索応
答パケット35を廃棄する。
【0074】暗号装置13で暗号化された通信データ4
2を、ローカルポート7から受信した暗号装置12は暗
号鍵テーブル82の内容に従い、暗号鍵3により暗号化
し、暗号装置14で暗号鍵テーブル84の内容に従い、
パブリックポート5経由暗号鍵3により復号され、暗号
装置15では暗号鍵テーブル85の内容に従い、パブリ
ックポート5からの通信データを暗号鍵2により復号さ
れ、ローカルポート7経由端末Cへ達する。 従って、
端末Bからの通信データ41を中継するとき、暗号装置
13は暗号鍵テ−ブル83に従い、暗号鍵のID2で暗
号化し、暗号装置12は暗号鍵テ−ブル82bに従い暗
号鍵のID3で暗号化し、暗号装置14は暗号鍵テ−ブ
ル84に従い暗号鍵のID3で復号し、暗号装置15は
暗号鍵テ−ブル85に従い、暗号鍵のID2で復号し、
端末Cに送る。
【0075】端末Cから端末Bへの通信データ43は、
暗号装置15で暗号鍵テーブル85の内容に従い、ロー
カルポート7からの通信データ43を暗号鍵2により暗
号され、暗号装置14で暗号鍵テーブル84の内容に従
い、ローカルポート7からの通信データ43を暗号鍵3
により暗号され、暗号装置12では暗号鍵テーブル82
の内容に従い、パブリックポート5からの通信データ4
3を暗号鍵3により復号されて、暗号装置13では暗号
鍵テーブル83の内容に従い、パブリックポート5から
の通信データ43を暗号鍵2により復号されてローカル
ポート7経由端末Bへ達する。以上により通信相手の暗
号鍵がわからない状態から鍵探索パケットを用いること
により相方向の暗号通信ができる。
【0076】以上のように鍵探索パケットは、通信デー
タの送信元端末に一番近い暗号装置13から送信するよ
うにしたので暗号装置が暗号鍵テ−ブルを消去しても矛
盾なく暗号通信ができ暗号鍵学習もできる。また、本実
施の形態では、通信データの送信元端末に対して鍵探索
要求パケットを送信したが、通信データの宛先に対して
鍵探索要求パケットを送信しても同等の効果が得られ
る。
【0077】また、鍵探索要求パケットを送信せず、は
じめに暗号装置12から通信データの送信元端末である
端末B宛に鍵探索パケットを送信し、暗号装置13の持
つ暗号鍵のIDの情報を暗号装置12で一旦収集し、収
集した情報を持つ鍵探索パケット(あたかも、暗号装置
13から送信され、暗号装置12が自身の暗号鍵のID
を追加設定したように、鍵探索パケットのデータ部を設
定した鍵探索パケット)を暗号装置12から送信するこ
とによっても同等の効果が得られる。上記例では、鍵探
索パケットを宛先端末に送信したが、宛先端末を収容す
る暗号装置宛であってもよい。この場合、鍵探索パケッ
トは中継経路上の暗号装置の暗号鍵情報を収集して、宛
先端末を収容する暗号装置から、鍵探索応答パケットを
中継経路上の暗号装置に通知する。また、鍵探索パケッ
トは送信元端末側の暗号装置からではなく、宛先端末を
収容する暗号装置から発信させてもよい。この場合、送
信元端末側の暗号装置から宛先端末を収容する暗号装置
に鍵探索パケットを送出するよう指示し、指示された暗
号装置から送出された鍵探索パケットは中継経路上の暗
号装置の暗号鍵情報を収集し、送信元端末を収容する暗
号装置から、鍵探索応答パケットを中継経路上の暗号装
置に通知する。
【0078】実施の形態6.本実施の形態は実施の形態
5において、所定時間通信を行わない通信端末の組み合
わせ(以下端末ペアと称す)に対応する暗号鍵情報を暗
号鍵テーブルから削除するものである。暗号鍵テ−ブル
の端末ペア毎に、初期値が図22に示すように例えば6
00秒の保持時間を持たせ、図1の自動学習処理部6が
この保持時間を定周期、例えば1秒毎にカウントダウン
し、カウント値がゼロになったら、その端末ペアの暗号
鍵情報の登録を暗号鍵テーブルから削除する。削除後、
暗号鍵テーブルに削除した端末ペアの暗号鍵情報が未登
録の状態で、再び同じ端末ペアが通信データの中継の要
求を発生すれば、実施の形態5が示すように、暗号鍵学
習処理を行い、データ通信を再開する。
【0079】また、保持時間がゼロでないとき、即ち6
00秒以内に、端末ペアで通信データの中継の要求が発
生すれば、保持時間を初期値例えば600秒に設定し、
暗号鍵情報の処理方法を暗号鍵テーブルに保持し続け
る。上記実施の形態5で登録した暗号鍵テーブルの登録
に対して、図22に示すように保持時間制限を過ぎたも
のは登録を消去することによって、暗号鍵テーブルに通
信頻度の少ない端末ペアの暗号鍵情報を記憶する必要な
く、暗号鍵テーブルの記憶容量を少なくできる。また、
端末が移動し、通信経路が変更された場合でも、通信経
路変更前の暗号鍵情報は所定時間後消去するので、通信
経路の変更が容易にできる。また、使用する暗号鍵、あ
るいは、暗号化、透過中継、廃棄などの中継条件によ
り、保有時間の初期値を変えてもよい。実施の形態7.
透過中継または廃棄を指定する外部端末通信モードを暗
号通信装置対応に設け、二つの端末間で通信している中
継区間で、暗号中継していない区間があれば、その区間
内の暗号通信装置は外部端末通信モードを透過または廃
棄に設定することにより、通信データを透過処理するか
廃棄処理できるようにするものである。まず、一つの暗
号装置を介して、二つの端末間で通信を行なう例につい
て説明し、次に複数の暗号装置を介して二つの端末間で
通信を行なう例について説明する。
【0080】図23は、この発明を構成する暗号装置の
一例である。1〜10は、実施の形態1と同様で、説明
を省く。111は、外部端末通信モード設定部で、暗号
装置対応に設け、通信データを透過処理するか、廃棄処
理するか、を指定するものである。暗号鍵テーブルを学
習する際に、自動学習処理部6によって参照される。な
お、鍵探索パケットおよび鍵探索応答パケットは、実施
の形態1で説明した図2と同一のフォーマットである。
【0081】図24は端末A、B,Cを収容するネット
ワークの構成例を示すもので、11はIDが1の暗号鍵
を保有している暗号装置、12はIDが1の暗号鍵を保
有している暗号装置、13はIDが2の暗号鍵を保有し
ている暗号装置で、暗号復号時にはそれぞれのIDに対
応した暗号鍵を使用する。即ち、各暗号装置に割り当て
る暗号鍵は、あらかじめ配送して登録されており、各暗
号装置は、自身の持つ暗号鍵の暗号鍵IDを内部に一つ
または複数個保持する。また初期の時点では各装置内の
暗号鍵テーブル8には、鍵情報がなにも登録されていな
いものとする。なお、図中のLポートは、ローカルポー
ト7、Pポートはパブリックポート5を示す。また、図
24の暗号装置11のパブリックポート5には暗号装置
12のパブリックポート5が接続されている。他は、ロ
ーカルポート7に対しパブリックポート5が接続されて
いる。
【0082】次に、一つの暗号装置を介して、二つの端
末間で通信を行なう例について動作を説明する。初め
に、図24における暗号装置11の外部端末通信モード
設定部111が、透過中継に設定されており、端末Aか
ら通信を開始し端末Cと通信する際の、暗号鍵テーブル
81の学習処理について示す。図25は、端末Aから端
末Cへ通信する際に、暗号装置11の暗号鍵テーブル8
1に、端末Aから受信した通信データの送信元端末と宛
先端末のペアに対応した処理方法が登録されていなかっ
た場合の、暗号鍵テーブル81を学習するための鍵探索
パケットのシーケンスを示す。41、43は通信デー
タ、31は、暗号装置11から送信される鍵探索パケッ
ト、35は、端末Cから送信される鍵探索応答パケット
を示す。81は暗号装置11の暗号鍵テーブルである。
図26は暗号装置が鍵探索応答パケットを受信したとき
の処理フロ−チャ−トである。また、図中のLPIはロー
カルポート暗号鍵情報24を、PPIはパブリックポート
暗号鍵情報25を示している。なお、鍵探索パケットお
よび鍵探索応答パケットのフォーマットは実施の形態1
の図2に示すとおりである。
【0083】次に、図25、図26を用いて動作を説明
する。端末Aからの通信データ41をローカルポート7
から受信した暗号装置11は、内部の暗号鍵テーブル8
1を検索し、端末A−C間の通信の処理方法が登録され
ていないので、通信デ−タ41を通信デ−タバッファに
格納する。そして、図27に示すように鍵探索パケット
を編集する。即ち、鍵探索パケット31のヘッダ21に
はパケット種別に鍵探索パケットと、宛先アドレスに宛
先端末Cと、送信元アドレスに送信元暗号装置11とを
設定し、端末Aアドレスを送信元端末アドレス22に、
端末Cアドレスを宛先端末アドレス23に設定する。そ
して、ローカルポート暗号鍵情報24に暗号装置11自
身が持つ暗号鍵IDである1を設定し、パブリックポー
ト暗号鍵情報25になにも設定せずに鍵探索パケット3
1(図27)を端末C宛に送信する。
【0084】鍵探索パケット31を受信した端末Cは、
図28に示すように鍵探索パケットを編集する。即ち、
鍵探索応答パケット35のデータ部に鍵探索応答パケッ
ト31のデータ部をコピーして、ヘッダ21には、パケ
ット種別に鍵探索応答パケットを、宛先アドレスに暗号
装置11のアドレスを、送信元アドレスに端末Cのアド
レスを設定して暗号装置11に送信する。
【0085】暗号装置11は、鍵探索応答パケット35
をパブリックポート5から受信すると(図26のステッ
プS11)、自分自身の持つ暗号鍵のIDである1と同
じIDがパブリックポート暗号鍵情報25に設定されて
いるかどうか検索する(ステップS12)。本例の場
合、設定されていないので、自暗号装置よりも先に暗号
中継区間があるか、即ち自暗号装置よりも先に鍵探索パ
ケットを受信し、ローカルポート暗号鍵情報24に情報
を設定した暗号装置のうち、パブリックポート暗号鍵情
報25に登録されている鍵IDと一致する鍵IDを持っ
ているものが有るかを調べる。即ち、自暗号装置が暗号
区間内か判定する。(ステップS13)。一致するもの
がない。即ち、自暗号装置が暗号区間内にないので、次
に外部端末通信モード設定部111を参照する(ステッ
プS14)と、外部端末通信モードは透過設定となって
いるので、暗号鍵テーブル81に端末A−端末C間の通
信データを透過中継することを登録する(ステップS1
6)。
【0086】そして、通信デ−タバッファに格納してお
いた通信データ41を暗号鍵テーブル81に従い端末A
−端末C間の通信データを透過中継する(ステップS2
1、S22)。また、自暗号装置宛て(ステップS2
3)の鍵探索応答パケット35を廃棄する(ステップS
24)。この結果、通信デ−タ41は暗号されずに端末
Cに到達する。また、端末Cからの通信データ43は暗
号装置11で暗号鍵テーブル81に従い、透過中継され
て暗号化されずに端末Aに達する。以上、図25に示す
シーケンスで、暗号装置11は端末Aと端末C間の通信
データ41、43を暗号鍵テーブル81に従い、透過中
継する。
【0087】次に、上記例で暗号装置11の外部端末通
信モードを廃棄に設定した場合の動作を説明する。暗号
装置11は上記図26のステップS14で外部端末通信
モード設定部111を参照し、廃棄設定となっている場
合には、暗号鍵テーブル81に端末A−端末C間の通信
データを廃棄処理することを登録する(ステップS1
5)。そして、通信デ−タバッファに格納しておいた通
信データ41を暗号鍵テーブル81に従い廃棄する(ス
テップS21、S22)。また、自暗号装置宛て(ステ
ップS23)の鍵探索応答パケット35を廃棄する(ス
テップS24)。以上、図29に示すシーケンスで、暗
号装置11は端末Aからの通信データ41を暗号鍵テー
ブル81に従い、廃棄する。従って、暗号中継区間外の
暗号装置11において、外部端末通信モード設定部11
1の設定により端末間の通信データを透過中継または廃
棄できる。
【0088】次に、複数の暗号装置を介して二つの端末
間で通信を行なう例について説明する。図24におい
て、端末Aから端末Bへ通信する場合、暗号装置11と
暗号装置12が同じ暗号鍵を持ち暗号中継区間を形成
し、暗号装置13が異なる暗号鍵を持つと共に暗号装置
13の外部端末通信モード設定部111が、透過中継設
定されている例について説明する。図30は、端末Aか
ら端末Bへ通信する際に、暗号装置11の暗号鍵テーブ
ル81に、端末Aから受信した通信データの送信元端末
と宛先端末のペアに対応した処理方法が登録していなか
った場合の、暗号鍵テーブル81を学習するための鍵探
索パケットのシーケンスである。図において、41、4
2、43、44は通信データ、31は鍵探索パケット
で、暗号装置11から送信される。32は鍵探索パケッ
トで、暗号装置12が鍵探索パケット31に暗号装置1
2の暗号鍵のIDを追加した鍵探索パケットである。3
3は鍵探索パケットで、暗号装置13が鍵探索パケット
32に暗号装置13の暗号鍵のIDを追加した鍵探索パ
ケットである。35は端末Bからの鍵探索応答パケット
である。また、それぞれ、81は暗号装置11の、82
は暗号装置12の、83は暗号装置13の暗号鍵テーブ
ルである。
【0089】次に動作を説明する。端末Aから端末B宛
ての通信データ41をローカルポート7から受信した暗
号装置11は、内部の暗号鍵テーブル81を検索し、端
末A−B間の通信の処理方法が登録されていないので、
通信デ−タ41を通信デ−タバッファに格納する。
【0090】そして、図31に示すように鍵探索パケッ
トを編集する。即ち、鍵探索パケット31のヘッダ21
には、パケット種別に鍵探索パケットと、宛先アドレス
に宛先端末Bと、送信元アドレスに送信元暗号装置11
とを設定し、端末Aアドレスを送信元端末アドレス22
に、端末Bアドレスを宛先端末アドレス23に設定す
る。そして、ローカルポート暗号鍵情報24に暗号装置
11自身が持つ暗号鍵IDである1を設定し、パブリッ
クポート暗号鍵情報25になにも設定せずに鍵探索パケ
ット31(図31)を端末B宛に送信する。鍵探索パケ
ット31をパブリックポート5から受信した暗号装置1
2は、自身の持つ暗号鍵のIDである1をパブリックポ
ート暗号鍵情報25内に追加設定して、鍵探索パケット
32(図32)をローカルポート7へ転送する。
【0091】鍵探索パケット32をパブリックポート5
から受信した暗号装置13は、自身の持つ暗号鍵のID
である2をパブリックポート暗号鍵情報25内に追加設
定して、鍵探索パケット33(図33)をローカルポー
ト7へ転送する。鍵探索パケット33を受信した端末B
は、データ部に鍵探索パケット33のデータ部をコピー
して、図34で示す鍵探索応答パケット35を、暗号装
置11へ送信する。この鍵探索応答パケット35のヘッ
ダ21には、図34のように、パケット種別に鍵探索応
答パケットが、宛先アドレスに暗号装置11のアドレス
が、送信元アドレスに端末Bのアドレスが設定される。
【0092】暗号装置13は、鍵探索応答パケット35
をローカルポート7から受信すると(図26のステップ
S01)、自分自身の持つ暗号鍵のIDである2と同じ
IDがローカルポート暗号鍵情報24に設定されている
かどうか検索する(ステップS02)。本例の場合、設
定されていないので、自暗号装置よりも後に暗号中継区
間があるか、即ち自暗号装置よりも後に鍵探索パケット
を受信し、パブリックポート暗号鍵情報25に情報を設
定した暗号装置のうち、ローカルポート暗号鍵情報24
に登録されている鍵IDと一致する鍵IDを持っている
ものが有るかを調べる(ステップ03)。本例の場合、
一致するものがない。即ち、自暗号装置が暗号区間内に
ないので、次に暗号装置13は、外部端末通信モード設
定部111を参照し(ステップS04)、透過設定となっ
ているので、暗号鍵テーブル83に端末A−端末B間の
通信データを透過中継することを登録する(ステップS
06)。また、通信データバッファに送信すべき通信デ
ータがなく(ステップS21)、鍵探索応答パケット3
5のヘッダ21の宛先アドレスが自暗号装置13ではな
いので(ステップS23)、受信した鍵探索応答パケッ
ト35を暗号装置11に中継する(ステップS25)。
【0093】暗号装置12は、鍵探索応答パケット35
をローカルポート7から受信すると(ステップS1
1)、自分自身の暗号鍵のIDである1と同じ暗号鍵の
IDが鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているかどうか検索する(ステップ
S12)。本例の場合、暗号装置11が設定した暗号鍵
ID1が鍵探索応答パケット35のローカルポート暗号
鍵情報24に設定されているため、暗号装置12は、図
29の暗号鍵テーブル82に端末A−端末B間の通信デ
ータをIDが1の暗号鍵で暗号/復号することを登録す
る(ステップS7)。また、通信データバッファに送信
すべき通信データがなく(ステップS21)、鍵探索応
答パケット35のヘッダ21の宛先アドレスが自暗号装
置12ではないので(ステップS23)、受信した鍵探
索応答パケット35を暗号装置11に中継する(ステッ
プS25)。
【0094】暗号装置11は、鍵探索応答パケット35
をパブリックポート5から受信すると(ステップS1
1)、自分自身の持つ暗号鍵のIDである1と同じ鍵I
Dが鍵探索応答パケット35のパブリックポート暗号鍵
情報25に設定されているかどうか検索する(ステップ
S12)。本例の場合、暗号装置12が設定した暗号鍵
ID1が鍵探索応答パケット35のパブリックポート暗
号鍵情報25に設定されているため、暗号装置11は、
図30の暗号鍵テーブル81に端末A−端末B間の通信
データをIDが1の暗号鍵で暗号/復号することを暗号
鍵テーブル81に登録する(ステップS7)。そして、
暗号装置11は、通信データバッファに送信すべき通信
データ41があるので(ステップS21)、通信データ
41を暗号鍵テーブル81の内容に従い、暗号/復号処
理部2で、暗号鍵1を用いて暗号化して通信データ42
として端末B宛て送信する(ステップS22)。次に、
受信した鍵探索応答パケット35のヘッダ21に宛先ア
ドレスは、暗号装置11となっているので(ステップS
23)、暗号装置11は鍵探索応答パケット35を廃棄
する(ステップS24)。
【0095】その結果、通信データ41は、暗号装置1
1で暗号鍵テーブル81の内容に従い暗号鍵1で暗号化
され通信データ42となり、通信データ42は、暗号装
置12で暗号鍵テーブル82の内容に従い暗号鍵1で復
号され通信データ41に戻り、暗号装置13では、暗号
鍵テーブル83の内容に従い通信データ41を透過中継
し、端末Bへ達する。また、端末Bからの通信データ4
3は、暗号鍵テーブルの登録に従って、暗号装置13で
透過中継され、暗号装置12で暗号鍵1で暗号化され
(通信データ44)、暗号装置11で暗号鍵1で復号さ
れ、端末Aに達する。従って、暗号中継区間外の暗号装
置13において、外部端末通信モード設定部111を透
過中継設定にすれば、通信データを透過中継できる。
【0096】次に、図24において、端末Aから端末B
へ通信する場合、暗号装置11と暗号装置12が同じ暗
号鍵を持ち暗号中継区間を形成し、暗号装置13が異な
る暗号鍵を持つと共に暗号装置13の外部端末通信モー
ド設定部111が、廃棄設定されている場合の暗号鍵テ
ーブル83の学習処理について示す。図35は、その際
の鍵探索パケットのシーケンスであるが、端末A,端末
B、暗号装置11、暗号装置12の動作、及び暗号装置
13が鍵探索パケットを受信するまでの動作について
は、上記例と同じなので、ここでは省略し、暗号装置1
3が、鍵探索応答パケットをローカルポート7から受信
した時の動作について説明する。本例も、図26の暗号
装置の処理フロ−チャ−トにより説明する。
【0097】暗号装置13は、鍵探索応答パケット35
をローカルポート7から受信すると(図26のステップ
S01)、自分自身の持つ暗号鍵のIDである2と同じ
IDがローカルポート暗号鍵情報24に設定されている
かどうか検索する(ステップS02)。本例の場合、設
定されていないので、自暗号装置よりも後に暗号中継区
間があるか、即ち自暗号装置より後に鍵探索パケットを
受信し、パブリックポート暗号鍵情報25に情報を設定
した暗号装置のうち、ローカルポート暗号鍵情報24に
登録されている鍵IDと一致する鍵IDを持っているも
のが有るかを調べる(ステップ03)。本例の場合、そ
のような暗号装置は無く、暗号装置13は暗号中継区間
内に無いので、次に外部端末通信モード設定部111を
参照し(ステップS04)、廃棄設定となっているので、
暗号装置13は暗号鍵テーブル83に端末Aー端末B間
の通信データを廃棄することを登録する(ステップS0
5)。そして、通信データバッファに送信すべき通信デ
ータがなく(ステップS21)、鍵探索応答パケット3
5のヘッダ21の宛先アドレスが自暗号装置13ではな
いので(ステップS23)、受信した鍵探索応答パケッ
ト35を暗号装置12に中継する(ステップS25)。
【0098】暗号装置12、暗号装置11には、それぞ
れの暗号鍵テーブル82、81に、端末A−端末B間の
通信データを、暗号鍵1によって、暗号/復号すること
を登録する。
【0099】その結果、端末Aから端末B宛ての通信デ
ータ41は、暗号装置11で暗号鍵テーブル81に従っ
て暗号鍵1で暗号化され(通信データ42)、暗号装置
12で暗号鍵テーブル82の内容に従い暗号鍵1で復号
され、暗号装置13では、暗号鍵テーブル83の内容に
従い、通信データ41は廃棄される。従って、暗号中継
区間外の暗号装置13において、外部端末通信モード設
定部111を廃棄設定にすれば、通信データを廃棄でき
る。
【0100】以上のように、端末Aから端末Bへ通信す
る場合、暗号装置11と暗号装置12が同じ暗号鍵を用
いて暗号中継区間を形成し、暗号装置13が異なる暗号
鍵を持つため暗号化されていない中継区間を形成するの
で、暗号装置13の外部端末通信モード設定部111の
設定により端末間の通信データを透過中継または廃棄で
きる。なお、鍵探索パケットは実施の形態5のように、
通信データの送信元端末に対して一番近い暗号装置から
送出してもよい。
【0101】実施の形態8.実施の形態7では、外部端
末通信モードに透過中継および廃棄を設けた例を説明し
たが、本実施の形態は外部端末通信モードに半透過を追
加した例について説明する。ここでは、外部端末通信モ
ードの半透過とは、通信データの伝送方向によって透過
中継するか廃棄するかを制御するもので、端末ペア間の
通信において、通信を開始した端末とその相手端末との
通信経路が、暗号化されている中継区間から、暗号化さ
れていない中継区間を経て相手端末に接続された場合、
外部端末通信モードが半透過に設定されていれば、暗号
化されていない中継区間の暗号装置では通信データを廃
棄し、逆に、暗号化されていない中継区間から、暗号化
されている中継区間を経て相手端末に接続された場合、
外部端末通信モードが半透過に設定されていれば、透過
に設定し暗号化されていない中継区間の暗号装置では通
信データを透過中継するものである。また、暗号化され
た中継区間がない例として、一つの暗号装置を介して、
二つの端末間で通信を行う場合も、暗号装置は外部端末
通信モードの半透過に対して同様に動作する。
【0102】まず、半透過に設定された一つの暗号装置
を介して、二つの端末間で通信を行なう例について説明
し、次に半透過に設定された複数の暗号装置を介して二
つの端末間で通信を行なう例について説明する。一つの
暗号装置の場合については、暗号装置11の外部端末通
信モード設定部111が、半透過設定されていて、暗号
装置11のローカルポート7側に接続している端末Aが
通信を開始する場合と、パブリックポート5側に接続し
ている端末Cが通信を開始する場合とについて暗号鍵テ
ーブルの学習処理の動作を説明する。
【0103】初めに、図24における暗号装置11の外
部端末通信モード111設定部が、半透過設定されてい
て、暗号装置11のローカルポート7に接続している端
末Aが通信を開始する場合の、暗号鍵テーブルの学習処
理について説明する。図36は暗号装置の処理フローチ
ャートで、実施の形態7の図26のステップS04とス
テップS14に半透過の判定を追加したものである。図
37は、鍵探索のシーケンスであるが、暗号装置11が
鍵探索応答パケットを受信するまでは、実施の形態7
(図25)と同様なので、ここでは説明を省略する。暗
号装置11が、鍵探索応答パケットをパブリックポート
5から受信してからの処理について、図36の暗号装置
の処理フロ−チャ−トにより説明する。
【0104】暗号装置11は、鍵探索応答パケット35
をパブリックポート5から受信すると(図36のステッ
プS11)、自分自身の持つ暗号鍵のIDである1と同
じIDがパブリックポート暗号鍵情報25に設定されて
いるかどうか検索する(ステップS12)。本例の場
合、設定されていないので、自暗号装置よりも先に鍵探
索パケットを受信し、ローカルポート暗号鍵情報24に
情報を設定した暗号装置のうち、パブリックポート暗号
鍵情報25に登録されている鍵IDと一致する鍵IDを
持っているものが有るかを調べる(ステップ13)。
【0105】本例の場合、そのような暗号装置は無い。
次に外部端末通信モード設定部111を参照し、それが
半透過設定になっており、かつ、鍵探索応答パケット3
5をパブリックポート5から受信しているので(ステッ
プS14)、暗号鍵テーブル81に端末A−端末C間の
通信データを透過することを登録する(ステップS1
6)。そして、通信デ−タバッファに格納しておいた通
信データ41を暗号鍵テーブル81に従い透過中継する
(ステップS21、S22)。また、自暗号装置宛て
(ステップS23)の鍵探索応答パケット35を廃棄す
る(ステップS24)。この結果、通信デ−タ41は暗
号化されずに端末Cに到達する。また、端末Cからの通
信データ43は、暗号装置11で暗号鍵テーブル81に
従い透過中継されて暗号化されずに端末Aに達する。従
って、暗号装置11の外部端末通信モード111設定部
が、半透過設定されていて、暗号装置11のローカルポ
ート7に接続している端末Aが通信を開始する場合は透
過中継にできる。
【0106】次に、図24における暗号装置11の外部
端末通信モード設定部111が、半透過設定されてい
て、暗号装置11のパブリックポート5側に接続してい
る端末Cが通信を開始する場合の、暗号鍵テーブルの学
習処理について示す。図38は、鍵探索のシーケンスで
ある。本例でも、各暗号装置が鍵探索応答パケットを受
信した時の処理については、図36の処理フロ−チャ−
トにより説明する。
【0107】端末Cからの通信データ41をパブリック
ポート5から受信した暗号装置11は、内部の暗号鍵テ
ーブル81を検索し、端末A−C間の通信の処理方法が
登録されていないので、通信デ−タ41を通信デ−タバ
ッファに格納し、鍵探索パケットのパブリックポート暗
号鍵情報25に、自身のアドレス及び自身の暗号鍵のI
D1を設定した鍵探索パケット31を送信する。この
際、鍵探索パケット31のヘッダ21にはパケット種別
に鍵探索パケットを、鍵探索パケットの送信元に暗号装
置11のアドレスを、宛先に端末Aのアドレスを設定
し、端末Aに送信する。
【0108】鍵探索パケット31を受信した端末Aは、
図39に示すように鍵探索応答パケットを編集する。即
ち、端末Aは鍵探索応答パケット35のデータ部に鍵探
索パケット31のデータ部をコピーし、鍵探索応答パケ
ット35(図39)を、暗号装置11へ送信する。この
際、この鍵探索応答パケット35のヘッダ21には、図
39のように、パケット種別に鍵探索応答パケットが、
宛先アドレスに暗号装置11のアドレスが、送信元アド
レスに端末Aのアドレスが設定される。
【0109】暗号装置11は、鍵探索応答パケット35
をローカルポート7から受信すると(図36のステップ
S01)、自分自身の持つ暗号鍵のIDである1と同じ
IDがローカルポート暗号鍵情報24に設定されている
かどうか検索する(ステップS02)。本例の場合、設
定されていないので、自暗号装置よりも後に鍵探索パケ
ットを受信し、パブリックポート暗号鍵情報25に情報
を設定した暗号装置のうち、ローカルポート暗号鍵情報
24に登録されている鍵IDと一致する鍵IDを持って
いるものが有るかを調べる(ステップ03)。本例の場
合、そのような暗号装置は無い。次に外部端末通信モー
ド設定部111を参照し、それが半透過になっており、
かつ、鍵探索応答パケット35をローカルポート7から
受信しているので(ステップS04)、暗号鍵テーブル8
1に端末A−端末C間の通信データを廃棄することを登
録する(ステップS05)。
【0110】そして、暗号装置11は通信デ−タバッフ
ァに格納しておいた通信データ41を暗号鍵テーブル8
1に従い廃棄する(ステップS21、S22)。また、
自暗号装置宛て(ステップS23)の鍵探索応答パケッ
ト35を廃棄する(ステップS24)。従って、暗号装
置11の外部端末通信モード111設定部が、半透過設
定されていて、暗号装置11のパブリックポート5に接
続している端末Bが通信を開始する場合は廃棄にでき
る。
【0111】以上のように、暗号装置の外部端末通信モ
ード設定部111に半透過を設定することにより、ロー
カルポート7側から通信が開始された場合には透過中継
処理し、パブリックポート5側から通信が開始された場
合には廃棄処理することができる。従って、パブリック
ポート5側に収容されている端末からの発信は通信デー
タを廃棄するので、外部の端末からの不正アクセスを防
止できる。
【0112】次に、半透過に設定された複数の暗号装置
を介して、二つの端末間で通信を行なう例について説明
する。即ち、半透過に設定された複数の暗号装置を介し
て、端末Aから開始し端末Bと通信する場合と、端末B
から開始し端末Aと通信する場合について、動作を説明
する。まず、図24において、端末Aから端末Bへ通信
する場合、暗号装置11と暗号装置12が同じ暗号鍵を
持ち暗号中継区間を形成し、暗号装置13が異なる暗号
鍵を持つと共に暗号装置13の外部端末通信モード設定
部111が、半透過設定されている例について説明す
る。
【0113】図40は、端末Aから端末Bへ通信する際
に、暗号装置11の暗号鍵テーブル81に、端末Aから
受信した通信データの送信元端末と宛先端末のペアに対
応した処理方法が登録していなかった場合の、暗号鍵テ
ーブル81を学習するための鍵探索パケットのシーケン
スである。図において、41、42は通信データ、31
は鍵探索パケットで、暗号装置11から送信される。3
2は鍵探索パケットで、暗号装置12が鍵探索パケット
31に暗号装置12の暗号鍵のIDを追加した鍵探索パ
ケットである。33は鍵探索パケットで、暗号装置13
が鍵探索パケット32に暗号装置13の暗号鍵のIDを
追加した鍵探索パケットである。35は端末Bからの鍵
探索応答パケットである。また、それぞれ、81は暗号
装置11の、82は暗号装置12の、83は暗号装置1
3の暗号鍵テーブルである。
【0114】次に動作を説明する。端末Aから端末B宛
ての通信データ41をローカルポート7から受信した暗
号装置11は、内部の暗号鍵テーブル81を検索し、端
末A−B間の通信の処理方法が登録されていないので、
通信デ−タ41を通信デ−タバッファに格納する。
【0115】そして、図31に示すように鍵探索パケッ
トを編集する。即ち、鍵探索パケット31のヘッダ21
には、パケット種別に鍵探索パケットと、宛先アドレス
に宛先端末Bと、送信元アドレスに送信元暗号装置11
とを設定し、端末Aアドレスを送信元端末アドレス22
に、端末Bアドレスを宛先端末アドレス23に設定す
る。そして、ローカルポート暗号鍵情報24に暗号装置
11自身が持つ暗号鍵IDである1を設定し、パブリッ
クポート暗号鍵情報25になにも設定せずに鍵探索パケ
ット31(図31)を端末B宛に送信する。鍵探索パケ
ット31をパブリックポート5から受信した暗号装置1
2は、自身の持つ暗号鍵のIDである1をパブリックポ
ート暗号鍵情報25内に追加設定して、鍵探索パケット
32(図32)をローカルポート7へ転送する。
【0116】鍵探索パケット32をパブリックポート5
から受信した暗号装置13は、自身の持つ暗号鍵のID
である2をパブリックポート暗号鍵情報25内に追加設
定して、鍵探索パケット33(図33)をローカルポー
ト7へ転送する。鍵探索パケット33を受信した端末B
は、データ部に鍵探索パケット33のデータ部をコピー
して、図34で示す鍵探索応答パケット35を、暗号装
置11へ送信する。この鍵探索応答パケット35のヘッ
ダ21には、図34のように、パケット種別に鍵探索応
答パケットが、宛先アドレスに暗号装置11のアドレス
が、送信元アドレスに端末Bのアドレスが設定される。
【0117】暗号装置13は、鍵探索応答パケット35
をローカルポート7から受信すると(図36のステップ
S01)、自分自身の持つ暗号鍵のIDである2と同じ
IDがローカルポート暗号鍵情報24に設定されている
かどうか検索する(ステップS02)。本例の場合、設
定されていないので、自暗号装置よりも後に鍵探索パケ
ットを受信し、パブリックポート暗号鍵情報25に情報
を設定した暗号装置のうち、ローカルポート暗号鍵情報
24に登録されている鍵IDと一致する鍵IDを持って
いるものが有るかを調べる(ステップ03)。即ち、自
暗号装置が暗号区間内か判定する。本例の場合、一致す
るものがない。即ち、自暗号装置が暗号区間内にない。
【0118】次に暗号装置13は、外部端末通信モード
設定部111を参照し(ステップS04)、半透過設定に
なっており、かつ、鍵探索応答パケット35をローカル
ポート7から受信しているので、暗号鍵テーブル83に
端末A−端末B間の通信データを廃棄することを登録す
る(ステップS05)。また、通信データバッファに送
信すべき通信データがなく(ステップS21)、鍵探索
応答パケット35のヘッダ21の宛先アドレスが自暗号
装置13ではないので(ステップS23)、受信した鍵
探索応答パケット35を暗号装置11に中継する(ステ
ップS25)。
【0119】暗号装置12は、鍵探索応答パケット35
をローカルポート7から受信すると(ステップS0
1)、自分自身の暗号鍵のIDである1と同じ暗号鍵の
IDが鍵探索応答パケット35のローカルポート暗号鍵
情報24に設定されているかどうか検索する(ステップ
S02)。本例の場合、暗号装置11が設定した暗号鍵
ID1が鍵探索応答パケット35のローカルポート暗号
鍵情報24に設定されているため、暗号装置12は、図
29の暗号鍵テーブル82に端末A−端末B間の通信デ
ータをIDが1の暗号鍵で暗号/復号することを登録す
る(ステップS7)。また、通信データバッファに送信
すべき通信データがなく(ステップS21)、鍵探索応
答パケット35のヘッダ21の宛先アドレスが自暗号装
置12ではないので(ステップS23)、受信した鍵探
索応答パケット35を暗号装置11に中継する(ステッ
プS25)。
【0120】暗号装置11は、鍵探索応答パケット35
をパブリックポート5から受信すると(ステップS1
1)、自分自身の持つ暗号鍵のIDである1と同じ鍵I
Dが鍵探索応答パケット35のパブリックポート暗号鍵
情報25に設定されているかどうか検索する(ステップ
S12)。本例の場合、暗号装置12が設定した暗号鍵
ID1が鍵探索応答パケット35のパブリックポート暗
号鍵情報25に設定されているため、暗号装置11は、
図40の暗号鍵テーブル81に端末A−端末B間の通信
データをIDが1の暗号鍵で暗号/復号することを暗号
鍵テーブル81に登録する(ステップS7)。そして、
暗号装置11は、通信データバッファに送信すべき通信
データ41があるので(ステップS21)、通信データ
41を暗号鍵テーブル81の内容に従い、暗号/復号処
理部2で、暗号鍵1を用いて暗号化して通信データ42
として端末B宛て送信する(ステップS22)。次に、
受信した鍵探索応答パケット35のヘッダ21に宛先ア
ドレスは、暗号装置11となっているので(ステップS
23)、暗号装置11は鍵探索応答パケット35を廃棄
する(ステップS24)。
【0121】その結果、通信データ41は、暗号装置1
1で暗号鍵テーブル81の内容に従い暗号鍵1で暗号化
され通信データ42となり、通信データ42は、暗号装
置12で暗号鍵テーブル82の内容に従い暗号鍵1で復
号され通信データ41に戻り、暗号装置13では、暗号
鍵テーブル83の内容に従い通信データ41を廃棄す
る。また、端末Bからの通信データ43は暗号装置13
で廃棄される。従って、端末Aから端末Bへ通信する場
合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗
号中継区間を形成し、暗号装置13が異なる暗号鍵を持
つため暗号化されていない中継区間を形成するので、暗
号装置13の外部端末通信モード設定部111を、半透
過設定にすれば、端末Aと端末B間の通信データを廃棄
できる。
【0122】次に、図24において、端末Bから端末A
へ通信する場合、暗号装置11と暗号装置12が同じ暗
号鍵を持ち暗号中継区間を形成し、暗号装置13が異な
る暗号鍵を持つと共に、暗号装置13の外部端末通信モ
ード設定部111が、半透過に設定されている場合の暗
号鍵テーブル83の学習処理について示す。図41は、
その際の鍵探索パケットのシーケンス図である。本例
も、図36の鍵探索応答パケットの処理フロ−チャ−ト
により説明する。
【0123】通信網構成は図24と同じで端末Bから端
末Aへ発信する場合のシーケンスを説明する。図41
は、端末Bから端末Aへ通信する際に、暗号装置13の
暗号鍵テーブル83に、端末Bから受信した通信データ
の送信元端末と宛先端末のペアに対応した処理方法が登
録していなかった場合の、暗号鍵テーブル83を学習す
るための鍵探索パケットのシーケンスを示す。図におい
て、41、42、43、44は通信データ、31は鍵探
索パケットで、暗号装置13から送信される。32は鍵
探索パケットで、暗号装置12が鍵探索パケット31に
暗号装置12の暗号鍵のIDを追加した鍵探索パケット
である。33は鍵探索パケットで、暗号装置11が鍵探
索パケット32に暗号装置11の暗号鍵のIDを追加し
た鍵探索パケットである。35は端末Aからの鍵探索応
答パケットである。また、それぞれ、81は暗号装置1
1の、82は暗号装置12の、83は暗号装置13の暗
号鍵テーブルである。
【0124】次に動作を説明する。端末Bから端末A宛
ての通信データ41をローカルポート7から受信した暗
号装置13は、内部の暗号鍵テーブル83を検索し、端
末A−B間の通信の処理方法が登録されていないので、
通信デ−タ41を通信デ−タバッファに格納する。
【0125】そして、暗号装置13は、図42に示すよ
うに鍵探索パケットを編集する。即ち、鍵探索パケット
31のヘッダ21には、パケット種別に鍵探索パケット
と、宛先アドレスに宛先端末Aと、送信元アドレスに送
信元暗号装置13とを設定し、端末Bアドレスを送信元
端末アドレス22に、端末Aアドレスを宛先端末アドレ
ス23に設定する。そして、ローカルポート暗号鍵情報
24に暗号装置13自身が持つ暗号鍵IDである2を設
定し、パブリックポート暗号鍵情報25になにも設定せ
ずに鍵探索パケット31(図42)を端末A宛に送信す
る。暗号装置12は、鍵探索パケット31をローカルポ
ート7から受信し,自身の持つ暗号鍵のIDである1を
ローカルポート暗号鍵情報24内に追加設定して、鍵探
索パケット32(図43)をパブリックポート5へ転送
する。
【0126】鍵探索パケット32をパブリックポート5
から受信した暗号装置11は、自身の持つ暗号鍵のID
である1をパブリックポート暗号鍵情報25内に追加設
定して、鍵探索パケット33(図44)をローカルポー
ト7へ転送する。鍵探索パケット33を受信した端末A
は、データ部に鍵探索パケット33のデータ部をコピー
して、図45で示す鍵探索応答パケット35を、暗号装
置11へ送信する。この鍵探索応答パケット35のヘッ
ダ21には、図45のように、パケット種別に鍵探索応
答パケットが、宛先アドレスに暗号装置13のアドレス
が、送信元アドレスに端末Aのアドレスが設定される。
【0127】暗号装置11は、鍵探索応答パケット35
をローカルポート7から受信すると(図36のステップ
S01)、自分自身の持つ暗号鍵のIDである1と同じ
IDがローカルポート暗号鍵情報24に設定されている
かどうか検索する(ステップS02)。本例の場合、暗
号装置12が設定した暗号鍵ID1が鍵探索応答パケッ
ト35のローカルポート暗号鍵情報24に設定されてい
るため、暗号装置11は、図41の暗号鍵テーブル81
に端末A−端末B間の通信データをIDが1の暗号鍵で
暗号/復号することを登録する(ステップS7)。ま
た、通信データバッファに送信すべき通信データがなく
(ステップS21)、鍵探索応答パケット35のヘッダ
21の宛先アドレスが自暗号装置11ではないので(ス
テップS23)、受信した鍵探索応答パケット35を暗
号装置13に中継する(ステップS25)。
【0128】暗号装置12は、鍵探索応答パケット35
をパブリックポート5から受信すると(ステップS1
1)、自分自身の暗号鍵のIDである1と同じ暗号鍵の
IDが鍵探索応答パケット35のパブリックポート暗号
鍵情報25に設定されているかどうか検索する(ステッ
プS12)。本例の場合、暗号装置11が設定した暗号
鍵ID1が鍵探索応答パケット35のパブリックポート
暗号鍵情報25に設定されているため、暗号装置12
は、図41の暗号鍵テーブル82に端末A−端末B間の
通信データをIDが1の暗号鍵で暗号/復号することを
登録する(ステップS7)。また、通信データバッファ
に送信すべき通信データがなく(ステップS21)、鍵
探索応答パケット35のヘッダ21の宛先アドレスが自
暗号装置12ではないので(ステップS23)、受信し
た鍵探索応答パケット35を暗号装置13に中継する
(ステップS25)。
【0129】暗号装置13は鍵探索応答パッケットをパ
ブリックポート5から受信すると(ステップS11)、
自分自身の持つ暗号鍵のIDである2と、同じ鍵IDが
パブリックポート暗号鍵情報25に登録されているかを
調べる(ステップS12)。本例の場合、設定されてい
ないので、自暗号装置よりも先に暗号中継区間がある
か、即ち自暗号装置より先に鍵探索パケットを受信し、
ローカルポート暗号鍵情報24に情報を設定した暗号装
置のうち、パブリックポート暗号鍵情報25に登録され
ている鍵IDと一致する鍵IDを持っているものが有る
かを調べる(ステップ13)。本例の場合、一致するも
のがない。即ち、自暗号装置が暗号区間内にないので、
次に暗号装置13は、外部端末通信モード設定部111
を参照し(ステップS14)、半透過設定になっており、
かつ、鍵探索応答パケット35をパブリックポート5か
ら受信しているので、暗号鍵テーブル83に端末A−端
末B間の通信データを透過することを登録する(ステッ
プS16)。
【0130】また、通信データバッファに送信すべき通
信データがなく(ステップS21)、鍵探索応答パケッ
ト35のヘッダ21の宛先アドレスが自暗号装置13で
はないので(ステップS23)、受信した鍵探索応答パ
ケット35を暗号装置13に中継する(ステップS2
5)。そして、暗号装置13は、通信データバッファに
送信すべき通信データ41があるので(ステップS2
1)、通信データ41を暗号鍵テーブル83の内容に従
い、透過中継して端末B宛て送信する(ステップS2
2)。次に、受信した鍵探索応答パケット35のヘッダ
21に宛先アドレスは、暗号装置13となっているので
(ステップS23)、暗号装置13は鍵探索応答パケッ
ト35を廃棄する(ステップS24)。
【0131】その結果、通信データバッファに格納して
おいた端末Bからの通信データ41を暗号装置13は暗
号鍵テーブル83の内容に従い、通信データ41を透過
中継し、暗号装置12は暗号鍵テーブル82の内容に従
い、通信データ41を暗号鍵1で暗号化して、通信デー
タ42となり、暗号装置11は暗号鍵テーブル81の内
容に従い、暗号鍵1で通信データ42を復号し通信デー
タ41に戻し、端末Aに送信する。また、端末Aからの
通信データ43は、暗号鍵テーブルの登録に従って、暗
号装置11で暗号鍵1により暗号化され、暗号装置12
で暗号鍵1により復号され(通信データ44)、暗号装
置13で透過中継され、端末Bに達する。
【0132】従って、端末Bから端末Aへ通信する場
合、暗号装置11と暗号装置12が同じ暗号鍵を持ち暗
号中継区間を形成し、暗号装置13が異なる暗号鍵を持
つため暗号化されていない中継区間を形成するので、暗
号装置13の外部端末通信モード設定部111を、半透
過設定にすれば端末Bと端末A間の通信データは透過中
継できる。
【0133】以上のように、発信端末Aから端末Bへ通
信する場合、暗号化されていない中継区間の暗号装置は
外部端末通信モード設定部111を、半透過設定にすれ
ば、端末Aと端末B間の通信データを廃棄できる。ま
た、発信端末Bから端末Aへ通信する場合、暗号化され
ていない中継区間の暗号装置は外部端末通信モード設定
部111を、半透過設定にすれば、端末Bから端末A間
の通信データを透過中継できる。なお、発信端末と半透
過の関係は、端末Aが発信端末で暗号装置13が半透過
に設定されている場合、図24に示すように端末Aを収
容する暗号装置11からの鍵探索パケットは暗号装置1
3のパブリックポート5から受信され鍵探索応答パケッ
トはローカルポート7から受信するので半透過は廃棄処
理される。逆に、端末Bが発信端末で暗号装置13が半
透過に設定されている場合、端末Bを収容する暗号装置
13からの鍵探索パケットに対する鍵探索応答パケット
はパブリックポート5から受信するので半透過は透過中
継処理される。従って、外部端末通信モード設定部11
1を半透過に設定すれば、透過中継または廃棄を自動的
に選択するので確実に不正アクセスを防止できる。な
お、鍵探索パケットは実施の形態5のように、通信デー
タの送信元端末に対して一番近い暗号装置から送出して
もよい。
【0134】
【発明の効果】第1および第2の発明によれば、通信相
手の暗号鍵がわからない状態から鍵探索パケットを用い
て、端末間の通信経路上の暗号装置の鍵情報を収集し、
収集した鍵情報に基づいて、暗号鍵情報を自動学習し、
端末間の通信データを各暗号装置が暗号/復号、透過中
継するので、人手により暗号通信ができるよう端末間の
通信経路上の暗号装置に暗号鍵情報を設定するより、操
作ミスが無く、ネットワ−ク管理が容易である。
【0135】第3の発明によれば、鍵探索パケットは、
通信データの送信元端末に一番近い暗号装置から送信す
るようにしたので暗号装置が暗号鍵テ−ブルを消去して
も矛盾なく暗号通信ができ暗号鍵学習もできる。
【0136】第4の発明によれば、通信相手の暗号鍵が
わからない状態から鍵探索パケットを用いて、端末間の
通信経路上の暗号装置の鍵情報を収集し、収集した鍵情
報に基づいて、暗号鍵情報を自動学習し、端末間の通信
データを各暗号装置が暗号/復号、透過中継するので、
人手により暗号通信ができるよう端末間の通信経路上の
暗号装置に暗号鍵情報を設定するより、操作ミスが無
く、ネットワ−ク管理が容易である。また、端末間の中
継経路上の各暗号装置に同一の暗号鍵がない場合、各暗
号装置はその端末間の通信データを廃棄するので、不正
アクセス、機密の漏洩防止ができる。 また、2つの暗
号装置間で暗号化した通信データをさらに別の暗号装置
間で暗号化するので機密性の高い暗号通信ができる。
【0137】第5の発明によれば、鍵探索応答パケット
のパブリックポート暗号鍵情報に鍵がない場合、暗号装
置は暗号鍵テーブルに端末ペア間の通信データを透過中
継するよう登録するので、一つの暗号装置を介して暗号
化せず端末間通信ができる。
【0138】第6の発明によれば、暗号鍵テーブルに登
録した端末間で、所定の保持時間制限を過ぎたものは登
録を消去することによって、暗号鍵テーブルに通信頻度
の少ない端末ペアの暗号鍵情報を記憶する必要なく、暗
号鍵テーブルの記憶容量を少なくできる。 また、端末
が移動し、通信経路が変更された場合でも、通信経路変
更前の暗号鍵情報は所定時間後消去するので、通信経路
の変更が容易にできる。
【0139】第7の発明によれば、端末ペア間の通信に
おいて、同じ暗号鍵を持つ暗号装置が暗号中継区間を形
成し、異なる暗号鍵を持つ暗号装置が暗号化されていな
い中継区間を形成する場合、暗号化されていない中継区
間の暗号装置の外部端末通信モードの設定により端末間
の通信データを透過中継または廃棄処理するので、アク
セスの許可、禁止ができる。
【0140】第8の発明によれば、端末ペア間の通信に
おいて、通信を開始した端末とその相手端末との通信経
路が、暗号化されている中継区間から、暗号化されてい
ない中継区間を経て相手端末に接続された場合、外部端
末通信モードが半透過に設定されていれば、暗号化され
ていない中継区間の暗号装置では通信データを廃棄し、
逆に、暗号化されていない中継区間から、暗号化されて
いる中継区間を経て相手端末に接続された場合、外部端
末通信モードが半透過に設定されていれば、半透過に設
定し暗号化されていない中継区間の暗号装置では通信デ
ータを透過中継するので、外部端末通信モードを半透過
に設定すれば、透過中継または廃棄を自動的に選択しア
クセスの許可、禁止するので確実に不正アクセスを防止
できる。
【図面の簡単な説明】
【図1】 この発明による暗号装置の構成図である。
【図2】 この発明による鍵探索パケットおよび鍵探索
応答パケットのフレーム構成を示す図である。
【図3】 この発明におけるネットワーク構成を示す図
である。
【図4】 この発明の実施の形態1におけるネットワー
ク構成において端末間で暗号通信を行う例を示すシーケ
ンス図である。
【図5】 この発明おける鍵探索応答パケットの処理フ
ローを示す図である。
【図6】 この発明の実施の形態1における鍵探索パケ
ットのフレームを示す図である。
【図7】 この発明の実施の形態1における鍵探索パケ
ットのフレームを示す図である。
【図8】 この発明の実施の形態1における鍵探索パケ
ットのフレームを示す図である。
【図9】 この発明の実施の形態1における鍵探索応答
パケットのフレームを示す図である。
【図10】 この発明の実施の形態2におけるネットワ
ーク構成において、端末間で2重鍵の暗号通信を行う例
を示すシーケンス図である。
【図11】 この発明の実施の形態2における鍵探索応
答パケットのフレームを示す図である。
【図12】 この発明の実施の形態3におけるネットワ
ーク構成において、複数の暗号装置を介して端末間で通
信を行う場合、複数の暗号装置に同一の鍵がなければ暗
号通信を行わない例を示すシーケンス図である。
【図13】 この発明の実施の形態3における鍵探索応
答パケットのフレームを示す図である。
【図14】 この発明の実施の形態4におけるネットワ
ーク構成において、一つの暗号装置を介して端末間で暗
号通信を行う例を示すシーケンス図である。
【図15】 この発明の実施の形態4における鍵探索応
答パケットのフレームを示す図である。
【図16】 この発明の実施の形態5におけるネットワ
ーク構成において、暗号装置の暗号鍵テーブルが消去さ
れたとき端末間で暗号通信が異常になるシーケンスを示
す図である。
【図17】 この発明の実施の形態5における鍵探索応
答パケットのフレームを示す図である。
【図18】 この発明の実施の形態6におけるネットワ
ーク構成において、暗号装置の暗号鍵テーブルが消去さ
ても端末間で正常に暗号通信ができるシーケンスを示す
図である。
【図19】 この発明の実施の形態6における鍵探索要
求パケットおよび鍵探索要求応答パケットのフレーム構
成を示す図である。
【図20】 この発明の実施の形態6における鍵探索要
求パケットのフレームを示す図である。
【図21】 この発明の実施の形態6における鍵探索要
求応答パケットのフレームを示す図である。
【図22】 この発明の実施の形態7における各暗号装
置の暗号鍵テーブルにタイマを付加したことを示す図で
ある。
【図23】 この発明の実施の形態7および8による暗
号装置の構成図である。
【図24】 この発明の実施の形態7および8における
ネットワーク構成を示す図である。
【図25】 この発明の実施の形態7におけるネットワ
ーク構成において外部端末通信モードを透過中継に設定
した一つの暗号装置を介して端末A、C間で暗号通信を
行う例を示すシーケンス図である。
【図26】 この発明の実施の形態7における鍵探索応
答パケットの処理フローを示す図である。
【図27】 図25における鍵探索パケットのフレーム
を示す図である。
【図28】 図25における鍵探索応答パケットのフレ
ームを示す図である。
【図29】 この発明の実施の形態7におけるネットワ
ーク構成において外部端末通信モードを廃棄に設定した
一つのの暗号装置を介して端末A,C間で暗号通信を行
う例を示すシーケンス図である。
【図30】 この発明の実施の形態7におけるネットワ
ーク構成において外部端末通信モードを透過中継に設定
した複数の暗号装置を介して端末A,B間で暗号通信を
行う例を示すシーケンス図である。
【図31】 図30における鍵探索パケット31のフレ
ームを示す図である。
【図32】 図30における鍵探索パケット32のフレ
ームを示す図である。
【図33】 図30における鍵探索パケット33のフレ
ームを示す図である。
【図34】 図30における鍵探索応答パケット35の
フレームを示す図である。
【図35】 この発明の実施の形態7におけるネットワ
ーク構成において外部端末通信モードを廃棄に設定した
複数の暗号装置を介して端末A,B間で暗号通信を行う
例を示すシーケンス図である。
【図36】 この発明の実施の形態8おける鍵探索応答
パケットの処理フローを示す図である。
【図37】 この発明の実施の形態8におけるネットワ
ーク構成において半透過に設定した一つの暗号装置を介
して端末A,C間で暗号通信を行う例を示すシーケンス
図である。
【図38】 この発明の実施の形態8におけるネットワ
ーク構成において半透過に設定した一つの暗号装置を介
して端末C,A間で暗号通信を行う例を示すシーケンス
図である。
【図39】 図38における鍵探索応答パケット35の
フレームを示す図である。
【図40】 この発明の実施の形態8におけるネットワ
ーク構成において外部端末通信モードを半透過に設定し
た複数の暗号装置を介して端末A,B間で暗号通信を行
う例を示すシーケンス図である。
【図41】 この発明の実施の形態8におけるネットワ
ーク構成において外部端末通信モードを半透過に設定し
た複数の暗号装置を介して端末B,A間で暗号通信を行
う例を示すシーケンス図である。
【図42】 図41における鍵探索パケット31のフレ
ームを示す図である。
【図43】 図41における鍵探索パケット32のフレ
ームを示す図である。
【図44】 図41における鍵探索パケット33のフレ
ームを示す図である。
【図45】 図41における鍵探索応答パケット35の
フレームを示す図である。
【図46】 従来例による暗号装置の構成図である。
【図47】 従来例におけるネットワーク構成を示す図
である。
【図48】 従来例における各暗号装置の暗号鍵テーブ
ルを示す図である。
【符号の説明】
1、11,12,13,14,15 暗号装置 2 通信データ暗号/復号処理部 3 透過中継処理部 4 廃棄処理部 5 パブリックポート 6 自動学習処理部 7 ローカルポート 8、81、82、83、84、85 暗号鍵テーブル 21 パケットのヘッダ 22 送信元端末アドレス 23 宛先端末アドレス 24 ロ−カルポ−ト暗号鍵情報 25 パブリックポート暗号鍵情報 26 データ部 31,32,33,34 鍵探索パケット 35 鍵探索応答パケット 41,42,43 通信デ−タ 51 鍵探索要求パケット 52 鍵探索要求応答パケット 111 外部端末通信モード
フロントページの続き (72)発明者 時庭 康久 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 渡邊 晃 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 井手口 哲夫 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 谷本 茂明 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 (72)発明者 中島 彦之 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内 (72)発明者 加藤 愼一 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、 通信データを中継する中継経路上の暗号装置は、中継す
    る通信データの送信元端末と宛先端末の組み合わせ(以
    下端末ペアと称す)に対応する暗号鍵情報が前記暗号装
    置の暗号鍵テーブルに登録されていない場合、暗号鍵情
    報を収集するための鍵探索パケットが前記中継経路上の
    各暗号装置自身の暗号情報を収集し、その収集した暗号
    情報を鍵探索応答パケットが前記中継経路上の前記各暗
    号装置に通知し、 通知を受けた前記各暗号装置は、収集した前記暗号鍵情
    報に基づいて、前記端末ペアに対応して通信データを、
    暗号化するか、復号するか、透過中継するか、廃棄する
    か、いずれの処理を行うかを指定する暗号鍵情報を前記
    暗号鍵テーブルに登録し、 その端末ペアからの通信データを中継する前記各暗号装
    置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信デ
    ータを処理することを特徴とする暗号通信システム。
  2. 【請求項2】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、 通信データを中継する中継経路上の暗号装置は、中継す
    る通信データの送信元端末と宛先端末の組み合わせ(以
    下端末ペアと称す)に対応する暗号鍵情報が前記暗号装
    置の暗号鍵テーブルに登録されていない場合、前記通信
    データの前記端末ペアに対応する暗号鍵情報を収集する
    ための鍵探索パケットを前記宛先端末に発信し、 その鍵探索パケットを中継する中継経路上の前記各暗号
    装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵
    情報を付加した鍵探索パケットを前記宛先端末に中継
    し、 前記鍵探索パケットを受信した前記宛先端末は、収集し
    た暗号鍵情報を鍵探索応答パケットに設定し、その鍵探
    索応答パケットを中継経路上の前記各暗号装置に通知
    し、通知を受けた前記各暗号装置は収集した前記暗号鍵
    情報に基づいて、前記端末ペアに対応して通信データ
    を、暗号化するか、復号するか、透過中継するか、廃棄
    するか、いずれの処理を行うかを指定する暗号鍵情報を
    前記暗号鍵テーブルに登録し、 その端末ペアからの通信データを中継する前記各暗号装
    置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信デ
    ータを処理することを特徴とする暗号通信システム。
  3. 【請求項3】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、 通信データを中継する中継経路上の暗号装置は、中継す
    る通信データの端末ペアに対応する暗号鍵情報が前記暗
    号装置の暗号鍵テーブルに登録されていない場合、通信
    データの前記送信元端末に対して、鍵探索パケットを発
    信する暗号装置を求めるための鍵探索要求パケットを送
    信し、 中継経路上の暗号装置はその鍵探索要求パケットを中継
    し、 中継した鍵探索要求パケットを受信した前記送信端末
    は、その応答を知らせる鍵探索要求応答パケットを送信
    し、 中継経路上最初に鍵探索要求応答パケットを受信
    した暗号装置は、前記通信データの端末ペアに対応する
    暗号鍵情報を収集するための鍵探索パケットを前記宛先
    端末に発信し、 その鍵探索パケットを中継する中継経路上の前記各暗号
    装置は、鍵探索パケットに各暗号装置自身が持つ暗号鍵
    情報を付加した鍵探索パケットを前記宛先端末に中継
    し、 前記鍵探索パケットを受信した前記宛先端末は、収集し
    た暗号鍵情報を鍵探索応答パケットに設定し、その鍵探
    索応答パケットを中継経路上の前記各暗号装置に通知
    し、通知を受けた前記各暗号装置は収集した前記暗号鍵
    情報に基づいて、前記端末ペアに対応して通信データ
    を、暗号化するか、復号するか、透過中継するか、廃棄
    するか、いずれの処理を行うかを指定する暗号鍵情報を
    前記暗号鍵テーブルに登録し、 その端末ペアからの通信データを中継する前記各暗号装
    置は前記暗号鍵テーブルの暗号鍵情報に基づいて通信デ
    ータを処理することを特徴とする暗号通信システム。
  4. 【請求項4】 前記鍵探索パケットを中継する中継経路
    上の各暗号装置は、ローカルポートから鍵探索パケット
    を受信した場合、その鍵探索パケットのローカルポート
    暗号鍵情報に自暗号装置が持つ暗号鍵を設定し、パブリ
    ックポートから鍵探索パケットを受信した場合、その鍵
    探索パケットのパブリックポート暗号鍵情報に自暗号装
    置が持つ暗号鍵を設定した鍵探索パケットを前記宛先端
    末に中継し、 前記鍵探索応答パケットを受信した中継経路上の各暗号
    装置は、その鍵探索応答パケットを前記パブリックポー
    トから受信した場合、前記パブリックポート暗号鍵情報
    に自暗号装置が持つ鍵と同じ鍵があれば、または、前記
    ローカルポートから受信した場合、前記ローカルポート
    暗号鍵情報に自暗号装置が持つ鍵と同じ鍵があれば、そ
    の鍵を用いて暗号化するか、復号するかを指定する暗号
    鍵情報を前記暗号鍵テーブルに登録し、同じ鍵がなく、
    前記ローカルポート暗号鍵情報にある鍵で、前記パブリ
    ックポート暗号鍵情報に同じ鍵があれば、透過中継処理
    することを指定する暗号鍵情報を前記暗号鍵テーブルに
    登録し、同じ鍵がなければ、廃棄処理することを指定す
    る暗号鍵情報を前記暗号鍵テーブルに登録することを特
    徴とする請求項2または3に記載の暗号通信システム。
  5. 【請求項5】 前記鍵探索応答パケットを受信した中継
    経路上の各暗号装置は、その鍵探索応答パケットを前記
    パブリックポートから受信した場合、前記パブリックポ
    ート暗号鍵情報に鍵がなにもなければ透過中継処理する
    ことを指定する暗号鍵情報を前記暗号鍵テーブルに登録
    することを特徴とする請求項4に記載の暗号通信システ
    ム。
  6. 【請求項6】 前記通信データを中継する中継経路上の
    暗号装置は、前記暗号鍵テーブルに登録された端末ペア
    の通信データを所定時間以上中継することがなければ、
    その端末ペアに対応する前記暗号鍵テーブルの暗号鍵情
    報を消去することを特徴とする請求項2または3に記載
    の暗号通信システム。
  7. 【請求項7】 前記鍵探索応答パケットを受信した中継
    経路上の各暗号装置は、 前記鍵探索応答パケットを前記パブリックポートから受
    信した場合、前記パブリックポート暗号鍵情報に自暗号
    装置が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置より
    も先に鍵探索パケットを受信した暗号装置でパブリック
    ポート暗号鍵情報にも登録されている暗号鍵と同じ暗号
    鍵を持つものがなければ、予め設けた透過中継か廃棄を
    指示する外部端末通信モード設定手段の設定に基づいて
    透過中継処理か廃棄処理を指示する暗号鍵情報を前記暗
    号鍵テーブルに登録し、 前記鍵探索応答パケットを前記ローカルポートから受信
    した場合、前記ローカルポート暗号鍵情報に自暗号装置
    が持つ暗号鍵と同じ暗号鍵がなく、自暗号装置よりも後
    に鍵探索パケットを受信した暗号装置がローカルポート
    暗号鍵情報にも登録されている暗号鍵と同じ暗号鍵を持
    つものがなければ、前記外部端末通信モード設定手段の
    設定に基づいて透過中継処理か廃棄処理を指示する暗号
    鍵情報を前記暗号鍵テーブルに登録することを特徴とす
    る請求項4に記載の暗号通信システム。
  8. 【請求項8】 前記鍵探索応答パケットを受信した中継
    経路上の各暗号装置は、 前記鍵探索応答パケットを前記パブリックポートから受
    信した場合、前記鍵探索応答パケットのパブリックポー
    ト暗号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵が
    なく、自暗号装置よりも先に鍵探索パケットを受信した
    暗号装置でパブリックポート暗号鍵情報にも登録されて
    いる暗号鍵と同じ暗号鍵を持つものがなければ、予め設
    けた透過中継か半透過か廃棄かを指示する外部端末通信
    モード設定手段の設定が半透過なら、透過処理を指定す
    る暗号鍵情報を前記暗号鍵テーブルに登録し、 前記鍵探索応答パケットを前記ローカルポートから受信
    した場合、前記鍵探索応答パケットのローカルポート暗
    号鍵情報に自暗号装置が持つ暗号鍵と同じ暗号鍵がな
    く、自暗号装置よりも後に鍵探索パケットを受信した暗
    号装置でローカルポート暗号鍵情報に登録されている暗
    号鍵と同じ暗号鍵を持つものがなければ、前記外部端末
    通信モード設定手段の設定が半透過なら、廃棄処理を指
    定する暗号鍵情報を前記暗号鍵テーブルに登録すること
    を特徴とする請求項4に記載の暗号通信システム。
JP35749197A 1997-06-02 1997-12-25 暗号通信システム Expired - Fee Related JP3595145B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP35749197A JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム
US09/081,046 US6226385B1 (en) 1997-06-02 1998-05-19 Encryption communication system capable of reducing network managing workload
GB9810750A GB2326803B (en) 1997-06-02 1998-05-19 Encryption communication system
DE19823666A DE19823666B4 (de) 1997-06-02 1998-05-20 Verschlüsselungs-Kommunikationssystem

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP9-143755 1997-06-02
JP14375597 1997-06-02
JP35749197A JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム

Publications (2)

Publication Number Publication Date
JPH1155322A true JPH1155322A (ja) 1999-02-26
JP3595145B2 JP3595145B2 (ja) 2004-12-02

Family

ID=26475400

Family Applications (1)

Application Number Title Priority Date Filing Date
JP35749197A Expired - Fee Related JP3595145B2 (ja) 1997-06-02 1997-12-25 暗号通信システム

Country Status (4)

Country Link
US (1) US6226385B1 (ja)
JP (1) JP3595145B2 (ja)
DE (1) DE19823666B4 (ja)
GB (1) GB2326803B (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217886A (ja) * 2001-01-16 2002-08-02 Sony Corp 電子機器及び信号伝送方法
JPWO2003096613A1 (ja) * 2002-05-09 2005-09-15 新潟精密株式会社 暗号化の一元集中管理システム
KR100517750B1 (ko) * 2002-09-30 2005-09-30 가부시끼가이샤 도시바 네트워크 중계 장치, 통신 장치 및 네트워크 중계 방법
JP2008042715A (ja) * 2006-08-09 2008-02-21 Fujitsu Ltd フレームを暗号化して中継する中継装置
WO2009148119A1 (ja) * 2008-06-05 2009-12-10 日立オムロンターミナルソリューションズ株式会社 情報処理システム
JP4615308B2 (ja) * 2002-05-09 2011-01-19 オニシックス グループ エルエー エルエルシー 暗号装置および方法、暗号システム

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730300B2 (en) 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
US7895616B2 (en) 2001-06-06 2011-02-22 Sony Corporation Reconstitution of program streams split across multiple packet identifiers
US7124303B2 (en) * 2001-06-06 2006-10-17 Sony Corporation Elementary stream partial encryption
US7155012B2 (en) * 2002-01-02 2006-12-26 Sony Corporation Slice mask and moat pattern partial encryption
US7376233B2 (en) * 2002-01-02 2008-05-20 Sony Corporation Video slice and active region based multiple partial encryption
US7823174B2 (en) 2002-01-02 2010-10-26 Sony Corporation Macro-block based content replacement by PID mapping
US7765567B2 (en) 2002-01-02 2010-07-27 Sony Corporation Content replacement by PID mapping
US7215770B2 (en) * 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US8027470B2 (en) * 2002-01-02 2011-09-27 Sony Corporation Video slice and active region based multiple partial encryption
US8051443B2 (en) * 2002-01-02 2011-11-01 Sony Corporation Content replacement by PID mapping
US7302059B2 (en) * 2002-01-02 2007-11-27 Sony Corporation Star pattern partial encryption
US7292690B2 (en) * 2002-01-02 2007-11-06 Sony Corporation Video scene change detection
TWI235579B (en) * 2002-03-29 2005-07-01 Nti Inc Communication apparatus, communication system, encrypting apparatus information processing apparatus, information processing system, information processing method, and service providing method
CN1310464C (zh) * 2002-09-24 2007-04-11 黎明网络有限公司 一种基于公开密钥体系的数据安全传输的方法及其装置
US7878908B2 (en) * 2002-11-14 2011-02-01 Nintendo Co., Ltd. Multiplexed secure video game play distribution
US7292692B2 (en) * 2003-03-25 2007-11-06 Sony Corporation Content scrambling with minimal impact on legacy devices
US7286667B1 (en) 2003-09-15 2007-10-23 Sony Corporation Decryption system
US7853980B2 (en) 2003-10-31 2010-12-14 Sony Corporation Bi-directional indices for trick mode video-on-demand
US20050169473A1 (en) * 2004-02-03 2005-08-04 Candelore Brant L. Multiple selective encryption with DRM
US20050198352A1 (en) * 2004-02-23 2005-09-08 Nokia Corporation Automated data migration
CA2922172A1 (en) 2004-10-25 2006-05-04 Security First Corp. Secure data parser method and system
US7895617B2 (en) 2004-12-15 2011-02-22 Sony Corporation Content substitution editor
US8041190B2 (en) * 2004-12-15 2011-10-18 Sony Corporation System and method for the creation, synchronization and delivery of alternate content
US8185921B2 (en) 2006-02-28 2012-05-22 Sony Corporation Parental control of displayed content using closed captioning
US7555464B2 (en) * 2006-03-01 2009-06-30 Sony Corporation Multiple DRM management
US7960436B2 (en) * 2006-06-05 2011-06-14 Valeant Pharmaceuticals International Substituted arylamino-1,2,3,4-tetrahydro naphthalenes and-2,3-dihydro-1H-indenes as potassium channel modulators
JP5304345B2 (ja) 2009-03-11 2013-10-02 富士通株式会社 コンテンツ処理装置、コンテンツ処理システム、およびコンテンツ処理プログラム
JP5650238B2 (ja) * 2009-11-25 2015-01-07 セキュリティー ファースト コープ. 移動中のデータをセキュア化するためのシステムおよび方法
WO2011150346A2 (en) 2010-05-28 2011-12-01 Laurich Lawrence A Accelerator system for use with secure data storage

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4920567A (en) * 1986-07-03 1990-04-24 Motorola, Inc. Secure telephone terminal
US5455861A (en) * 1991-12-09 1995-10-03 At&T Corp. Secure telecommunications
US5341426A (en) * 1992-12-15 1994-08-23 Motorola, Inc. Cryptographic key management apparatus and method
US5442702A (en) * 1993-11-30 1995-08-15 At&T Corp. Method and apparatus for privacy of traffic behavior on a shared medium network
US5454039A (en) * 1993-12-06 1995-09-26 International Business Machines Corporation Software-efficient pseudorandom function and the use thereof for encryption
US5465300A (en) 1993-12-27 1995-11-07 Motorola, Inc. Secure communication setup method
JPH07245605A (ja) 1994-03-03 1995-09-19 Fujitsu Ltd 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法
US5790677A (en) * 1995-06-29 1998-08-04 Microsoft Corporation System and method for secure electronic commerce transactions
US5615266A (en) 1995-07-13 1997-03-25 Motorola, Inc Secure communication setup method
US5659618A (en) * 1995-09-29 1997-08-19 Vlsi Technology, Inc. Multi-size cryptographic key system
US5995624A (en) * 1997-03-10 1999-11-30 The Pacid Group Bilateral authentication and information encryption token system and method

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002217886A (ja) * 2001-01-16 2002-08-02 Sony Corp 電子機器及び信号伝送方法
US7987515B2 (en) 2001-01-16 2011-07-26 Sony Corporation Electronic transmission device, and signal transmission method
JPWO2003096613A1 (ja) * 2002-05-09 2005-09-15 新潟精密株式会社 暗号化の一元集中管理システム
JP4594081B2 (ja) * 2002-05-09 2010-12-08 オニシックス グループ エルエー エルエルシー 暗号化の一元集中管理システム
JP4615308B2 (ja) * 2002-05-09 2011-01-19 オニシックス グループ エルエー エルエルシー 暗号装置および方法、暗号システム
KR100517750B1 (ko) * 2002-09-30 2005-09-30 가부시끼가이샤 도시바 네트워크 중계 장치, 통신 장치 및 네트워크 중계 방법
JP2008042715A (ja) * 2006-08-09 2008-02-21 Fujitsu Ltd フレームを暗号化して中継する中継装置
WO2009148119A1 (ja) * 2008-06-05 2009-12-10 日立オムロンターミナルソリューションズ株式会社 情報処理システム
JP4562808B2 (ja) * 2008-06-05 2010-10-13 日立オムロンターミナルソリューションズ株式会社 情報処理システム
JPWO2009148119A1 (ja) * 2008-06-05 2011-11-04 日立オムロンターミナルソリューションズ株式会社 情報処理システム

Also Published As

Publication number Publication date
US6226385B1 (en) 2001-05-01
GB9810750D0 (en) 1998-07-15
GB2326803A (en) 1998-12-30
JP3595145B2 (ja) 2004-12-02
GB2326803B (en) 1999-06-23
DE19823666B4 (de) 2005-09-08
DE19823666A1 (de) 1999-02-04

Similar Documents

Publication Publication Date Title
JPH1155322A (ja) 暗号通信システム
KR100388606B1 (ko) 컴퓨터네트워크간데이터패킷의무서명송수신을위한시스템
US4881263A (en) Apparatus and method for secure transmission of data over an unsecure transmission channel
US4924513A (en) Apparatus and method for secure transmission of data over an unsecure transmission channel
US7725707B2 (en) Server, VPN client, VPN system, and software
US6704866B1 (en) Compression and encryption protocol for controlling data flow in a network
JP5423907B2 (ja) 鍵設定方法、ノード、サーバ、およびネットワークシステム
WO2000014918A1 (en) System and method for encrypting data messages
US6944762B1 (en) System and method for encrypting data messages
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
JP2002217896A (ja) 暗号通信方法およびゲートウエイ装置
JP2002040939A (ja) 電文送信装置及び電文受信装置
JPH0637750A (ja) 情報転送方式
JP3296514B2 (ja) 暗号通信端末
JP2001203761A (ja) 中継装置、および同装置を備えたネットワークシステム
JPH1168730A (ja) 暗号ゲートウェイ装置
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
US20020116606A1 (en) Encryption and decryption system for multiple node network
US8670565B2 (en) Encrypted packet communication system
JP2693881B2 (ja) 通信ネットワークで使用される暗号処理装置及び方法
JP4043997B2 (ja) 暗号装置及びプログラム
JPH11243388A (ja) 暗号通信システム
JPH11239184A (ja) スイッチングハブ
EP1645071B1 (en) Secure indirect addressing
JP2001007797A (ja) 暗号通信システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040301

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040902

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080910

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090910

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees