JPWO2003096612A1 - 暗号装置および方法、暗号システム - Google Patents

暗号装置および方法、暗号システム Download PDF

Info

Publication number
JPWO2003096612A1
JPWO2003096612A1 JP2004504450A JP2004504450A JPWO2003096612A1 JP WO2003096612 A1 JPWO2003096612 A1 JP WO2003096612A1 JP 2004504450 A JP2004504450 A JP 2004504450A JP 2004504450 A JP2004504450 A JP 2004504450A JP WO2003096612 A1 JPWO2003096612 A1 JP WO2003096612A1
Authority
JP
Japan
Prior art keywords
encryption
data
decryption
terminal
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004504450A
Other languages
English (en)
Other versions
JP4615308B2 (ja
Inventor
誠 井澤
誠 井澤
宏光 成田
宏光 成田
明 岡本
明 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSC Co Ltd
Original Assignee
Nigata Semitsu Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nigata Semitsu Co Ltd filed Critical Nigata Semitsu Co Ltd
Publication of JPWO2003096612A1 publication Critical patent/JPWO2003096612A1/ja
Application granted granted Critical
Publication of JP4615308B2 publication Critical patent/JP4615308B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

暗号ソフトがインストールされたパソコン7〜9との間で暗号化によるセキュリティを終端するために暗号化処理および暗号の復号化処理を行う暗号装置1を設け、例えば暗号ソフトがインストールされていない端末2〜4とパソコン7〜9との間に接続することにより、専用の暗号ソフトをインストールできない端末2〜4を有する企業内LANの中でも暗号を利用することができるようにして、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれる危険性が少ないセキュアなネットワーク10を構築することができるようにする。

Description

技術分野
本発明は暗号装置および方法、暗号システムに関し、特に、ネットワーク上で外部から攻撃されることによる情報の盗聴や改ざん等のリスクを低減するために情報の暗号化/復号化を行う装置および方法、これを適用したシステムに用いて好適なものである。
背景技術
パーソナルコンピュータ(パソコン)をスタンドアロンで用いる場合は、パソコン内部の情報が盗み出されたり、改ざんされたり、破壊されたりする危険性は少ない。しかし、パソコンをインターネット等のネットワークに接続すると、やり取りされる情報は多くのネットワークをルーティングされていくことから、その途中において盗聴や改ざん等の行われる危険性が一気に増大する。
この問題を解決するための仕組みの1つとして、情報の暗号化がある。すなわち、送信側のパソコンで情報を暗号化して相手に送り、受信側のパソコンでこれを復号化して利用する。このようにすれば、ネットワークの途中で情報が盗聴されたとしても、情報が暗号化されているために、情報自体が見られる可能性が少なくなる。また、改ざんのリスクも低減される。
しかしながら、暗号を利用するためには、暗号通信しようとする端末の全てに専用の暗号ソフトをインストールし、様々な設定をしなければならない。ところが、各種端末が接続されるネットワークは、インターネットの他に、企業内のLAN(Local Area Network)なども存在する。そのLAN内には、プリンタやファクシミリなど物理的に暗号ソフトをインストールできない端末や、プリントサーバやデータベースサーバなど動作安定上等の問題から余分なソフトをインストールすることが好ましくない端末、OS(オペレーティングシステム)がなく単なるネットワークターミナルとして機能する端末なども存在する。そのため、一般的に企業内LANの中では、暗号を利用することは難しかった。
ところが、LANの多くはインターネットに接続されており、必要に応じてLAN内のパソコンからインターネットにアクセスして情報のやり取りを行うことができるようになっている。しかし、このようにLANがインターネットに接続されていると、外部からの不正侵入や攻撃によって、LAN内部の機密情報が盗まれたり改ざんされたりする危険性が出てくる。
そこで、アクセス権を持たない第三者がLAN内に不正に侵入するのを防ぐために、ファイアウォールが利用される。ファイアウォールは、一般的には1台のサーバをLANとインターネットとの接続部に用い、ここで専用のソフトウェアを動作させることによって機能する。しかし、ファイアウォールを設置しても、ネットワーク上に存在するセキュリティホールを攻撃することによって不正侵入が行われることが少なくない。一旦不正侵入が行われると、内部の情報は暗号化されていないため、盗聴や改ざんが容易にできてしまうという問題があった。
なお、従来、インターネット上に流れるデータをルーティングする中継機であるルータに暗号機能を持たせたものが存在する。例えばVPN(Virtual Private Network)ルータがそれである。このVPNルータを用いれば、端末に専用の暗号ソフトをインストールしなくても、VPNルータ間で暗号通信を行うことが可能となる。
しかしながら、このVPNルータは、インターネットを利用して複数のLANを接続するために設けられる仮想専用線上の中継機として用いられるものである。そのため、LANどうしがやり取りする情報を途中のインターネット上において暗号化することはできるが、LAN内において情報を暗号化することはできないという問題があった。
また、VPNルータにおいて暗号化を行うためには、ルータが必ず通信用のIPアドレスを持つことが必要となる。以下に、このことについて図1を用いて説明する。図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。
図1に示すように、通信しようとする2台のパソコン101,102はそれぞれ1つのポート105,106を有し、その中継機となるVPNルータ103,104はそれぞれ2つのポート(107,108),(109,110)を有している。VPNルータ103の各ポート107,108に対してOSI参照モデルの物理層、MAC層(データリンク層)、IP−Secが個別に設けられ、各ポート107,108に共通なものとしてIP層(ネットワーク層)、TCP/UDP層(トランスポート層)が設けられている。VPNルータ104の各ポート109,110についても同様である。
層が深くなるほどユーザからは遠くなり、逆に層が浅くなるほどユーザに近くなる。各パソコン101,102のIP層よりも上位層には、TCP/UDP層およびアプリケーション層(共に図示せず)が存在し、ユーザが使用するアプリケーションと下の層との橋渡しが行われる。
データの送信側では、上位層から下位層に向かって各層を通過するごとにデータが変換されるとともに、それぞれの層間でデータ伝送を可能にするためのヘッダが付加されていく。逆に、データの受信側では、各層宛てのヘッダを参照して各層で必要なデータが抽出される。そして、抽出されたデータは上位層へ引き渡され、最終的にアプリケーション層を介してユーザに届けられる。
以下に、それぞれの層の機能について説明する。TCP/UDP層は、データを渡すべきアプリケーションの特定や、パケットの状態の管理などを行うレイヤである。データ送信側においては、上位層(アプリケーション層)から渡されたデータを相手のどのアプリケーションに渡すべきかを認識し、宛先ポート番号をデータに付加して下位層(ネットワーク層)に渡す。一方、データ受信側においては、下位層から渡されたパケットについて、通信の状態等によって抜けが生じていないかどうかを監視する。
IP層は、複数のネットワークにまたがった端末間のデータ転送あるいはデータ中継に関する取り決めや制御を行うためのレイヤである。通信相手となる送信側と受信側のパソコン101,102にはそれぞれ異なるIPアドレス▲1▼,▲6▼が割り振られており、これらを明確にすることによって、end to endによる論理的な通信経路が決定する。2つのポート(107,108),(109,110)を有するVPNルータ103,104の場合、IPアドレスはポート毎に別個に割り振られる。
MAC(Media Access Control)層は、隣接機器のノード間で信頼性の高いデータ伝送を保証するためのレイヤであり、製造段階で各機器に割り当てられた物理的なMACアドレスを有する。データ送信側においては、IP層で通信相手のIPアドレスが明確になると、その下位に位置するMAC層において、確立された相手のIPアドレスをもとに、経由する次の機器(物理的に接続されている隣接ノード)の宛先を決定する。一方、データ受信側においては、MACアドレスをもとに自分宛のパケットであることを認識した後、その上位層のIP層でIPアドレスを解析し、そのパケットを他の機器に対して更にルーティングするか自分に取り込むかを判断する。
物理層は、上位層から渡されたデータを電気信号や光信号に変換し、同軸ケーブルや光ファイバケーブル等の伝送媒体111を介して実際のデータ伝送を行ったり、伝送媒体111から送られてきた電気信号や光信号を上位層で認識可能なデータに変換し、それを上位層に渡したりするためのレイヤである。物理層の上位層であるMAC層では、物理層の通信インタフェースに依存した手法に従って上述の処理を行う。
IP−Secは、データの暗号化処理および復号化処理を行う機能部である。すなわち、MAC層からIP層に渡されるデータを取得して、当該データの暗号化処理および暗号の復号化処理を行う。
このような階層構造を有するVPNルータ103,104を用いてパソコン101,102間で暗号通信を行う場合、VPNルータ103では、例えば一方のパソコン101から他方のパソコン102宛てに送られてきたIPパケットを第1のポート107で受信し、IP層までパケットを順次引き渡して分解する。このとき、パケット中から抽出したデータをIP−Secで暗号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート108から送出する。
VPNルータ103の第2のポート108から出力された暗号化パケットは、VPNルータ104の第1のポート109で受信される。VPNルータ104は、受信した暗号化パケットをIP層まで順次引き渡して分解し、パケット中から抽出したデータをIP−Secで復号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート110から送出する。
この第2のポート110から出力されたIPパケットは、パソコン102で受信される。この受信されたIPパケットは物理層、MAC層、IP層を介して上位層へと順次引き渡されて分解され、最終的に図示しないアプリケーション層を介してユーザにデータが届けられる。以上の手順により、パソコン101,102が暗号ソフトを備えていなくても、VPNルータ103,104間で暗号通信をすることが可能となる。
図1に示したシステムの場合、VPNルータ103,104の両側に異なるネットワーク(パソコン101を有するネットワークAとパソコン102を有するネットワークB)が存在し、これが集まってインターネットを構成している。そのため、それぞれのネットワーク毎に異なるネットワークアドレスが割り振られる。よって、これらの異なるネットワーク間をルーティング(経路選択、場合によってパケットの破棄、パケットの分割あるいは統合等)するVPNルータ103,104も、異なるIPアドレスを持つことが必須であり、そのために煩雑なアドレス設定作業を行わなければならないという問題があった。
また、VPNルータ103,104では第1のポート107,109に接続されるネットワークと第2のポート108,110に接続されるネットワークは一般的に異なるものであり、そのためにポート毎に異なるIPアドレスを設定する必要がある。よって、VPNルータ103,104の入力と出力とでIPアドレスが変わってしまう。そのため、ネットワーク上にある端末間にVPNルータを挿入したり、あるいは端末間からVPNルータを外したりする際には、VPNルータ自身のアドレス設定を行うだけでなく、当該VPNルータに接続される端末のアドレス設定も変更する必要があり、各種の煩雑な作業を行わなければならないという問題があった。
例えば、図1の例においてVPNルータ103,104を接続しない状態で通信を行う場合は、パソコン101,102は同一のネットワーク内に存在することになるので、ネットワークアドレスが共に同じとなり、パソコン101,102間で直接の通信が可能である。この場合、パソコン101からパソコン102に送信するパケットのIPアドレスは、図2(a)のようになる。すなわち、送信側であるパソコン101の送信元IPアドレス▲1▼と、受信側であるパソコン102の宛先IPアドレス▲6▼のネットワークアドレスには、同じネットワークアドレスAを設定すれば良い。
これに対し、パソコン101とパソコン102との間にVPNルータ103,104を挿入した場合は、送信されるパケットのIPアドレスは図2(b)のようになる。すなわち、パソコン101,102は異なるネットワークに存在することになるので、送信元IPアドレス▲1▼と宛先IPアドレス▲6▼には、異なるネットワークアドレスA,Bを設定しなければならない。
このように、パソコン101とパソコン102との間にVPNルータ103,104を挿入したり、あるいはその逆にVPNルータ103,104を取り外したりすると、パソコン101,102の属するネットワークが変わる。したがって、それに合わせて、パソコン101,102のデフォルトゲートウェイのアドレス(自分と異なるネットワークに対して通信をする場合の宛先IPアドレス(VPNルータ103,104のポート107,110))や、パソコン101,102の何れかのIPアドレスの設定を変更する必要が生じる。
以上のように、従来のVPNルータでは、その接続の有無によって透過性を保つことが困難であり、システムの導入時やメンテナンス時には多大な作業をしなければならないという問題があった。
本発明は、このような問題を解決するために成されたものであり、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにすることを目的とする。
また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにすることを目的とする。
発明の開示
本発明の暗号装置は、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末(暗号ソフトがインストールされた端末の他、本発明の機能を有する他の暗号装置を含む)が直接または間接的に接続される暗号装置であって、上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備えたことを特徴とする。
本発明の他の態様では、上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする。
本発明のその他の態様では、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備えたことを特徴とする。
本発明の更に別の態様では、上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする。
また、本発明の暗号方法は、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする。
また、本発明の暗号システムは、暗号処理機能を有する端末と、請求の範囲第1項に記載の暗号装置とが無線または有線のネットワークを介して接続されて成ることを特徴とする。
本発明の他の態様では、暗号処理機能を有する端末と、暗号処理機能を有しない端末との間に、請求の範囲第2項に記載の暗号装置が無線または有線のネットワークを介して接続されて成ることを特徴とする。
発明を実施するための最良の形態
以下、本発明の一実施形態を図面に基づいて説明する。
図3は、本実施形態の暗号装置を適用した暗号システムの全体構成例を示す図である。
図3において、1は本実施形態の暗号装置であり、2つのポートを有し、一方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスが接続され、他方のポートにはハブ5が接続されている。この暗号装置1は、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、ハブ5との間でデータの中継を行う。
ネットワークプリンタ2は、暗号ソフトを物理的にインストールできない端末である。DBサーバ3は、動作安定上等の問題から余分な暗号ソフトをインストールすることが好ましくない端末である。ネットワークターミナル4は、OSがなく暗号ソフトを動作させることができない端末である。したがって、これらの端末2〜4には暗号ソフトはインストールされていないものとする。
また、ハブ5は、物理層においてデータを中継する機器であり、上述した暗号装置1の他に、無線通信用のアクセスポイント6とデスクトップパソコン7とが接続されている。すなわち、この場合のハブ5は、暗号装置1と、アクセスポイント6およびデスクトップパソコン7との間でデータの中継を行う。
さらに、上記アクセスポイント6には、デスクトップパソコン8とラップトップパソコン9とが無線により接続されている。デスクトップパソコン7,8およびラップトップパソコン9には、データの暗号化および復号化を行うための暗号ソフトがインストール可能であり、実際にインストールされているものとする。
このように、本実施形態の暗号装置1は2つのポートを有し、一方のポートに対して暗号処理機能を有する端末であるパソコン7〜9が、ハブ5やアクセスポイント6を介して間接的に接続されている。また、他方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4が直接接続されている。そして、これらの暗号装置1、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。
このような構成により、暗号ソフトがインストールされていないネットワークプリンタ2、DBサーバ3およびネットワークターミナル4と、暗号ソフトがインストールされているパソコン7〜9(これらのデバイス2〜4,7〜9は何れも本発明の端末に相当)との間で、暗号装置1、ハブ5およびアクセスポイント6を介してデータ通信が行われる。
その際、暗号装置1は、暗号ソフトがインストールされているパソコン7〜9との間では暗号化されたデータの通信を行うとともに、暗号ソフトがインストールされていない端末2〜4との間では暗号化されていないデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
例えば、デスクトップパソコン7からネットワークプリンタ2にデータを送出してプリントアウトするときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、ネットワークプリンタ2に送出する。
また、例えばDBサーバ3にて管理されているデータをラップトップパソコン9に取り込むときは、DBサーバ3は、与えられる要求に応じて該当するデータを暗号装置1に供給する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
以上の説明から明らかなように、本実施形態の暗号装置1を用いることによって、専用の暗号ソフトをインストールできない端末2〜4を有する企業内LANの中でも、暗号を利用することが可能となる。これにより、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワーク10を構築することができる。
なお、暗号装置1と各端末2〜4との間において暗号は利用できないが、これらを繋ぐケーブル11は物理的に短い配線であり、この部分が外部アタックされることによって盗聴や改ざんが行われる可能性は極めて低いので、セキュリティ上で特に問題となることはない。
図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。なお、この図4において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図4に示すように、本実施形態の暗号装置1は、一方のポートにインターネット20が接続され、他方のポートにハブ5が接続されている。
図4の場合、暗号装置1、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。また、インターネット20の先には、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトをインストールできない端末、あるいは、パソコン7〜9のように暗号ソフトがインストールされた端末が複数台接続され、これらによって別の拠点ネットワークが構成されている。
図3に示した例では、1台の暗号装置1に対して1台のデバイスが接続されており、1台のデバイスに関する暗号/復号処理を1台の暗号装置1が専用で行っていた。すなわち、図3に示す暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、暗号ソフトがインストールされていない1台のデバイスとの間に接続され、当該1台のデバイスに対して暗号化によるセキュリティを終端していた。
これに対して、図4に示す例では、暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、インターネット20に接続された複数台のデバイスとの間に接続されている。上記複数台のデバイスは、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトがインストールされていなくても良いし、パソコン7〜9のように暗号ソフトがインストールされていても良い。このように、本実施形態の暗号装置1は、複数台のデバイスに対して暗号化によるセキュリティを終端することも可能である。この場合、暗号装置1は、接続されているデバイスの数だけデータパスを有し、それぞれのデバイス毎に異なる暗号鍵で暗号/復号処理を行う。
例えば、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを持たない外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、インターネット20を介して外部デバイスに送出する。
また、例えばインターネット20の先にある暗号ソフトを持たない外部デバイスにて管理されているデータをセキュアネットワーク10内のラップトップパソコン9に取り込むときは、当該外部デバイスは、与えられる要求に応じて該当するデータをインターネット20に送出する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
一方、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを有する外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化することなく、インターネット20を介して外部デバイスに送出する。外部デバイスは、受け取ったデータを復号化し、所望の処理に利用する。
逆に、インターネット20の先にある外部デバイスで暗号化されたデータをセキュアネットワーク10内のデスクトップパソコン7に送出するときも、暗号装置1は、インターネット20を介して外部デバイスより受け取ったデータを復号化することなく、暗号化された状態のままハブ5を介してデスクトップパソコン7に供給する。
このように、セキュアネットワーク10内の端末7〜9とインターネット20に接続された暗号ソフトを持たない外部デバイスとの間でデータ通信を行う場合でも、少なくともセキュアネットワーク10の内部については暗号による保護を利用することができる。また、インターネット20に接続された外部デバイスに暗号ソフトがインストールされている場合には、セキュアネットワーク10の外部にあるインターネット20上でも暗号を利用することができる。
なお、上記複数台のデバイスは、インターネット20を介して接続されている必要は必ずしもなく、暗号装置1に直接あるいはハブを介して接続しても良い。直接接続する場合、暗号装置1は2つ以上のポートを有することになる。
図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。なお、この図5において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図5に示す例も図4の例と同様に、1台の暗号装置1が複数台のデバイスに対して暗号化によるセキュリティを終端する例である。
図5に示す例では、セキュアネットワーク10の内部は、3台のパソコン7〜9が全てアクセスポイント6に無線LANにて接続されている。アクセスポイント6は、暗号装置1を介してインターネット20に接続されている。
図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。上記図3〜図5では、本発明の暗号処理機能を有する端末の例として、暗号ソフトがインストールされたパソコン7〜9を挙げ、暗号装置1とパソコン7〜9との間で暗号化によるセキュリティを終端する例について説明した。暗号処理機能を有する端末はこの例に限らず、暗号装置1と同様の機能を有する他の暗号装置も含む。この場合の構成例を示したのが図6である。
図6に示す例では、拠点A,Bの2つの拠点ネットワーク30A,30Bが、ルータ40A,40Bおよびインターネット20を介して接続されている。拠点Aネットワーク30Aの中は、パソコン31A〜33Aと暗号装置1A−1〜1A−3とにより企業内LANが構成されている。パソコン31A〜33Aは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1A−1〜1A−3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31A〜33Aが接続され、他方のポートにはルータ40Aが接続されている。
拠点Bネットワーク30Bの中も同様に、パソコン31B〜33Bと暗号装置1B−1〜1B−3とにより企業内LANが構成されている。パソコン31B〜33Bは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1B−1〜1B−3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31B〜33Bが接続され、他方のポートにはルータ40Bが接続されている。
このような構成により、異なる拠点ネットワーク30A,30Bに属するパソコンの間では、暗号装置1A−1〜1A−3,1B−1〜1B−3を介してデータ通信が行われる。例えば、拠点Aネットワーク30A内にあるパソコン31Aから拠点Bネットワーク30B内にあるパソコン33Bにデータを送信するとき、暗号装置1A−1は、パソコン31Aから与えられたデータを暗号化し、ルータ40A、インターネット20およびルータ40Bを介して暗号装置1B−3に送信する。暗号装置1B−3は、受け取ったデータを復号化してパソコン33Bに供給する。これにより、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。
また、例えば拠点Aネットワーク30Aの内部において、暗号ソフトがインストールされていないパソコン31A〜33Aどうしでは、暗号装置1A−1〜1A−3を介してデータ通信が行われる。例えば、あるパソコン31Aから他のパソコン33Aにデータを送るとき、暗号装置1A−1は、パソコン31Aから与えられたデータを暗号化し、暗号装置1A−3に送信する。暗号装置1A−3は、受け取ったデータを復号化してパソコン33Aに供給する。
拠点Bネットワーク30Bの内部においても同様に、暗号ソフトがインストールされていないパソコン31B〜33Bどうしでは、暗号装置1B−1〜1B−3を介してデータ通信が行われる。例えば、あるパソコン31Bから他のパソコン33Bにデータを送るとき、暗号装置1B−1は、パソコン31Bから与えられたデータを暗号化し、暗号装置1B−3に送信する。暗号装置1B−3は、受け取ったデータを復号化してパソコン33Bに供給する。
このように、暗号装置1A−1〜1A−3,1B−1〜1B−3は何れも、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bとの間では暗号化されていないデータの通信を行うとともに、暗号処理機能を有する端末である暗号装置1A−1〜1A−3,1B−1〜1B−3との間では暗号化されたデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
以上のような暗号装置1A−1〜1A−3,1B−1〜1B−3をパソコン31A〜33A,31B〜33Bの直近にそれぞれ接続することにより、異なる拠点ネットワーク30A,30Bの間は当然として、暗号ソフトを有するパソコンが無い企業内LANの中でも暗号を利用することが可能となる。これにより、各拠点ネットワーク30A,30Bを、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワークとすることができる。
なお、上記図6の例では、各拠点ネットワーク30A,30Bは共に、暗号処理機能を有する端末(暗号装置1A−1〜1A−3,1B−1〜1B−3)を複数備えて構成されているが、少なくとも一方の拠点ネットワークが暗号処理機能を有する端末を1個だけ備える構成としても良い。例えば、拠点ネットワーク30Aの中を、1個のパソコン31Aと1個の暗号装置1A−1とを接続して構成しても良い。
この場合は、図6に示した構成と同様に、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。また、拠点ネットワーク30Aの中に関しては、暗号装置1A−1をパソコン31Aの直近に接続しておくことにより、当該拠点ネットワーク30Aの出入口と暗号装置1A−1との間で暗号を利用することができる。
また、上記図6の例では、2つの拠点ネットワーク30A,30Bをインターネット20で結び、各拠点ネットワーク30A,30B内に暗号装置1A−1〜1A−3,1B−1〜1B−3やパソコン31A〜33A,31B〜33Bをそれぞれ備える例について示したが、これに限定されない。
例えば、1つの拠点ネットワーク内に暗号装置1A−1〜1A−3,1B−1〜1B−3およびパソコン31A〜33A,31B〜33Bを備え、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bの間におけるデータのやり取りを、暗号装置1A−1〜1A−3,1B−1〜1B−3を介して行うようにしても良い。この場合は、1つの拠点ネットワーク内において、少なくとも暗号装置1A−1〜1A−3,1B−1〜1B−3の間では暗号を利用することができる。
また、これ以外にも、例えば図3の構成において、暗号ソフトがインストールされているパソコン7の代わりに、暗号ソフトがインストールされていないパソコンと暗号装置1とを用い、暗号装置1をハブ5に接続する構成としても良い。この場合は、暗号ソフトをインストールできないネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、暗号ソフトがインストールされていないパソコンとの間では、両者の直近に接続された暗号装置1を介して暗号通信をすることができる。
図7は、図3に示した暗号システムにおいて、暗号装置1およびこれに直接および間接的に接続されるDBサーバ3およびラップトップパソコン9におけるプロトコルの階層構造を示す図である。図7に示す例では、DBサーバ3には暗号ソフトがインストールされておらず(IP−Secがない)、ラップトップパソコン9には暗号ソフトがインストールされている(IP−Secを有する)。このDBサーバ3およびラップトップパソコン9の間に、本実施形態の暗号装置1が接続されている。ここでは、DBサーバ3にて保存されているデータを暗号装置1に送り、ここでデータを暗号化してパソコン9に送るような利用形態を想定している。
図7に示すように、DBサーバ3およびパソコン9はそれぞれ1つのポート31,32を有し、その中継機となる暗号装置1は2つのポート33,34を有している。暗号装置1の各ポート33,34に対して物理層およびMAC層(データリンク層)が個別に設けられ、各ポート33,34に共通なものとしてIP−Sec(暗号/復号処理機能)、IP層(ネットワーク層)およびTCP/UDP層(トランスポート層)が設けられている。このように、本実施形態の暗号装置1は、IP−Secにより2つのポート33,34間をブリッジさせているところに特徴がある。
ここで「ブリッジする」とは、一のポートより入力され暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力することを言う。図7の例では、第1のポート33より入力されたデータに対してIP−Secで暗号化処理を行い、それにより得られたデータを、IP層にてルーティングすることなく(IP層に渡すことなく)他方のポートにそのまま渡して出力することが、「ブリッジする」ということに相当する。このように、本実施形態の暗号装置1では、DBサーバ3とパソコン9との間におけるデータ転送に関してはIP層およびTCP/UDP層は用いず、IP層よりも下位層で処理を行う。
すなわち、DBサーバ3にて作成されたパケットデータは、当該DBサーバ3のMAC層、物理層を通って送信され、暗号装置1の第1のポート33より受信される。受信されたパケットデータは物理層、MAC層を通ってIP−Secに渡され、ここで暗号化処理が行われる。この暗号化されたパケットデータは、MAC層および物理層を通って第2のポート34より送信される。
第2のポート34より送信されたパケットデータは、パソコン9で受信され、物理層、MAC層を通ってIP−Secに渡されて、暗号が復号化される。そして、復号化されたデータがIP層を通って図示しないアプリケーション層に渡される。これにより、DBサーバ3が暗号ソフトを備えていなくても、パソコン9に対して暗号化されたデータを送信することが可能となる。
なお、本実施形態においてIP層およびTCP/UDP層は、暗号装置1自身に暗号化/復号化に関する各種の情報を設定する際に利用される。例えば、ある端末とある端末との間では暗号通信を行うが、他の端末との間では暗号通信を行わないなどといった暗号/復号処理の有無、ある端末とある端末との間ではパケットを破棄するなどといった通信の可否、暗号通信を行う場合における暗号化のレベル、暗号化を行う時間帯、暗号鍵などに関する種々の情報を暗号装置1に設定する場合には、IP層およびTCP/UDP層を使用する。
この種の設定情報は、IP−Secブリッジの機能によってメモリ上に保持される。IP−Secは、当該メモリに保持されている設定情報と、ポート33,34より入力されたパケットに付加されているヘッダ情報(例えば、送信元IPアドレスおよび宛先IPアドレス)とを照合して、暗号/復号処理の制御などを行う。
このように、本実施形態の暗号装置1では、一のポートから入力されたデータをIP−Secで暗号化/復号化し、これにより得られたデータをIP層に渡すことなく、ルーティング処理をせずにそのまま他のポートに転送するようにしているので、データ通信時に暗号装置1のIPアドレスを不要とすることができる。すなわち、IPアドレスを持たずにIP層の暗号/復号処理を行うことが可能である。そのため、暗号装置1自身に対する煩雑なIPアドレス設定の必要をなくすことができる。
また、暗号装置1の両側に接続される端末は同じネットワークに属することになり、暗号装置1の入力ポートと出力ポートとでIPアドレスが変わることがなくなる。これにより、暗号装置1のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができる。すなわち、ネットワーク上に暗号装置1を接続したり、ネットワーク上から暗号装置1を外したりする際に、当該暗号装置1に接続される端末のアドレス設定も変更する必要がない。
例えば、図7のようにDBサーバ3とパソコン9との間に暗号装置1を挿入した場合も、暗号装置1を挿入せずにDBサーバ3とパソコン9との間で直接通信を行う場合も、DBサーバ3とパソコン9との間を流れるパケットのIPアドレスは、図8に示す通りのままで不変である。したがって、暗号装置1の接続の有無によってアドレス設定を何ら変更する必要がない。
これにより、ネットワークシステムの導入時やメンテナンス時には、本実施形態の暗号装置1を適当な箇所にただ挿入したり、あるいはただ取り外したりするだけ良くなり、煩雑なアドレス設定は行う必要がないので、作業負荷を大幅に削減することができる。
さらに、本実施形態の場合、MACアドレスについても透過性を保つことができる。図9は、DBサーバ3からパソコン9にデータを送り、その間の暗号装置1でデータを暗号化する場合におけるパケットを示す図である。また、図10は、本実施形態との比較のために、図1に示す従来のシステムにおいて一方のパソコン101から他方のパソコン102にデータを送り、その間のVPNルータ103でデータを暗号化する場合におけるパケットを示す図である。
図9(a)および図10(a)は第1のポート33,107にて受信するパケットを示し、図9(b)および図10(b)は第2のポート34,108より送信するパケットを示す。なお、IP−Secには、データ部のみを暗号化するトランスポートモードと、パケット全てを暗号化して更に新しいヘッダを追加するトンネルモードとがある。送信パケットに関しては、これら2つのモードについてそれぞれ示している。
図9から明らかなように、本実施形態によれば、IPアドレスだけでなく、MACアドレスについても第1のポート33と第2のポート34とで異なることがなく、MACアドレスの透過性を保つことができる。すなわち、本実施形態の暗号装置1は、IP−Secを有してデータの暗号/復号処理を行うことを除けば、一方のポートから入力されたデータを他方のポートにただ流すだけなので、データ通信時にはMACアドレスも不要とすることができる。
なお、上記実施形態ではOSI参照モデルの第3層に当たるネットワーク層の例としてIP層を挙げたが、このIP層は、ノベル社のネットワークOSが使用するプロトコルであるIPX(Internetwork Packet e Xchange)層であっても良い。また、IP−Secが利用可能なものであれば、他のプロトコルであっても良い。
その他、以上に説明した実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明は上述したように、暗号処理機能が導入された端末との間で暗号化によるセキュリティを終端するために暗号化処理および暗号の復号化処理を行う暗号/復号手段を備えて暗号装置を構成し、この暗号装置をネットワークを介して端末に接続するようにしたので、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用することができるようになり、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減することができる。
また、本発明では、暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなく出力するようにしたので、データ通信時に暗号装置のIPアドレスを不要とすることができる。また、暗号装置の入力ポートと出力ポートとでIPアドレスが変わることがなくなるので、暗号装置のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができ、暗号装置に接続される端末のアドレス設定に関しても変更の必要をなくすことができる。これにより、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用することができるようになる。
産業上の利用可能性
本発明は、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにするのに有用である。
また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにするのに有用である。
【図面の簡単な説明】
図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。
図2は、従来システムにおいてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図3は、本実施形態の暗号装置を適用した暗号システムの構成例を示す図である。
図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。
図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図7は、本実施形態による暗号装置およびこれに接続されるDBサーバおよびパソコンにおけるプロトコルの階層構造を示す図である。
図8は、本実施形態においてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図9は、本実施形態の暗号装置を流れるパケットのMACアドレスについて説明するための図である。
図10は、従来のVPNルータを流れるパケットのMACアドレスについて説明するための図である。

Claims (7)

  1. 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、
    上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、
    上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備えたことを特徴とする暗号装置。
  2. 上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする請求の範囲第1項に記載の暗号装置。
  3. 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、
    上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、
    上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備えたことを特徴とする暗号装置。
  4. 上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、
    上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする請求の範囲第3項に記載の暗号装置。
  5. 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、
    上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする暗号方法。
  6. 暗号処理機能を有する端末と、請求の範囲第1項に記載の暗号装置とが無線または有線のネットワークを介して接続されて成ることを特徴とする暗号システム。
  7. 暗号処理機能を有する端末と、暗号処理機能を有しない端末との間に、請求の範囲第2項に記載の暗号装置が無線または有線のネットワークを介して接続されて成ることを特徴とする暗号システム。
JP2004504450A 2002-05-09 2003-04-24 暗号装置および方法、暗号システム Expired - Fee Related JP4615308B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002134680 2002-05-09
JP2002134680 2002-05-09
PCT/JP2003/005265 WO2003096612A1 (fr) 2002-05-09 2003-04-24 Dispositif, procede et systeme de cryptage

Publications (2)

Publication Number Publication Date
JPWO2003096612A1 true JPWO2003096612A1 (ja) 2005-09-15
JP4615308B2 JP4615308B2 (ja) 2011-01-19

Family

ID=29416719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004504450A Expired - Fee Related JP4615308B2 (ja) 2002-05-09 2003-04-24 暗号装置および方法、暗号システム

Country Status (7)

Country Link
US (1) US20050021949A1 (ja)
EP (1) EP1503536A1 (ja)
JP (1) JP4615308B2 (ja)
KR (1) KR100976750B1 (ja)
CN (1) CN100571131C (ja)
TW (1) TWI274487B (ja)
WO (1) WO2003096612A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002084499A1 (en) * 2001-04-11 2002-10-24 Chelsio Communications, Inc. Multi-purpose switching network interface controller
KR20060044049A (ko) * 2004-11-11 2006-05-16 한국전자통신연구원 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법
US20060126520A1 (en) * 2004-12-15 2006-06-15 Cisco Technology, Inc. Tape acceleration
US20060251255A1 (en) * 2005-04-20 2006-11-09 Puneet Batta System and method for utilizing a wireless communication protocol in a communications network
US8190877B2 (en) * 2005-07-05 2012-05-29 Viasat, Inc. Trusted cryptographic processor
US8527741B2 (en) * 2005-07-05 2013-09-03 Viasat, Inc. System for selectively synchronizing high-assurance software tasks on multiple processors at a software routine level
US7715436B1 (en) 2005-11-18 2010-05-11 Chelsio Communications, Inc. Method for UDP transmit protocol offload processing with traffic management
US8069270B1 (en) 2005-09-06 2011-11-29 Cisco Technology, Inc. Accelerated tape backup restoration
US8250151B2 (en) * 2005-10-12 2012-08-21 Bloomberg Finance L.P. System and method for providing secure data transmission
US8266431B2 (en) * 2005-10-31 2012-09-11 Cisco Technology, Inc. Method and apparatus for performing encryption of data at rest at a port of a network device
US20100077203A1 (en) * 2006-07-13 2010-03-25 Keiko Ogawa Relay device
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8908700B2 (en) 2007-09-07 2014-12-09 Citrix Systems, Inc. Systems and methods for bridging a WAN accelerator with a security gateway
JP5239502B2 (ja) * 2007-11-07 2013-07-17 株式会社明電舎 ブリッジングシステム、ブリッジおよびブリッジング方法
US8464074B1 (en) 2008-05-30 2013-06-11 Cisco Technology, Inc. Storage media encryption with write acceleration
US8726007B2 (en) * 2009-03-31 2014-05-13 Novell, Inc. Techniques for packet processing with removal of IP layer routing dependencies
US20100278338A1 (en) * 2009-05-04 2010-11-04 Mediatek Singapore Pte. Ltd. Coding device and method with reconfigurable and scalable encryption/decryption modules
CN101958791B (zh) * 2009-07-16 2014-05-14 上海前沿计算机科技有限公司 模块加解密方法
US8139277B2 (en) * 2010-01-20 2012-03-20 Palo Alto Research Center. Incorporated Multiple-source multiple-beam polarized laser scanning system
JP5605197B2 (ja) * 2010-12-09 2014-10-15 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US9942152B2 (en) * 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10567347B2 (en) * 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
KR102212859B1 (ko) * 2020-01-28 2021-02-05 (주)모니터랩 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법
US11265296B1 (en) * 2021-05-11 2022-03-01 Roqos, Inc. System and method to create and implement virtual private networks over internet for multiple internet access types

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号ゲートウェイ装置
JP2002134680A (ja) * 2000-10-26 2002-05-10 Sanyo Electric Co Ltd 混成集積回路装置の製造方法

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4368357A (en) * 1980-11-14 1983-01-11 International Telephone And Telegraph Corporation Bypass apparatus for use in secure communication systems
US5253293A (en) * 1988-01-23 1993-10-12 Secom Co., Ltd. Adaptive data ciphering/deciphering apparatuses and data communication system using these apparatuses
DE3831215A1 (de) * 1988-09-14 1990-03-22 Standard Elektrik Lorenz Ag Netzuebergangseinrichtung und fernmeldeendgeraet
JP3103850B2 (ja) * 1989-03-07 2000-10-30 アイシン精機株式会社 秘匿通信制御装置
US5500860A (en) * 1991-06-14 1996-03-19 Digital Equipment Corporation Router using multiple hop redirect messages to enable bridge like data forwarding
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5442708A (en) * 1993-03-09 1995-08-15 Uunet Technologies, Inc. Computer network encryption/decryption device
US5404394A (en) * 1993-05-24 1995-04-04 Comsat Corporation Secure communication system
JPH07131450A (ja) * 1993-10-28 1995-05-19 Canon Inc 通信コントローラ
US5386471A (en) * 1994-01-25 1995-01-31 Hughes Aircraft Company Method and apparatus for securely conveying network control data across a cryptographic boundary
JPH07245606A (ja) * 1994-03-02 1995-09-19 Nec Corp インタフェース変換装置
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5548649A (en) * 1995-03-28 1996-08-20 Iowa State University Research Foundation Network security bridge and associated method
US5684876A (en) * 1995-11-15 1997-11-04 Scientific-Atlanta, Inc. Apparatus and method for cipher stealing when encrypting MPEG transport packets
JP3446482B2 (ja) * 1996-06-28 2003-09-16 三菱電機株式会社 暗号化装置
JP3595145B2 (ja) * 1997-06-02 2004-12-02 三菱電機株式会社 暗号通信システム
FI108827B (fi) * 1998-01-08 2002-03-28 Nokia Corp Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa
JPH11239184A (ja) * 1998-02-23 1999-08-31 Matsushita Electric Works Ltd スイッチングハブ
US6640248B1 (en) * 1998-07-10 2003-10-28 Malibu Networks, Inc. Application-aware, quality of service (QoS) sensitive, media access control (MAC) layer
US6490273B1 (en) * 1998-08-05 2002-12-03 Sprint Communications Company L.P. Asynchronous transfer mode architecture migration
KR100282403B1 (ko) * 1998-08-20 2001-02-15 서평원 이동통신 시스템에서 전파 회선 프로토콜의 프레임 전송 방법
WO2000049755A2 (en) * 1999-02-19 2000-08-24 Nokia Networks Oy Network arrangement for communication
US6862583B1 (en) * 1999-10-04 2005-03-01 Canon Kabushiki Kaisha Authenticated secure printing
US6963982B1 (en) * 1999-10-28 2005-11-08 Lucent Technologies Inc. Method and apparatus for application-independent end-to-end security in shared-link access networks
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
US6952780B2 (en) * 2000-01-28 2005-10-04 Safecom A/S System and method for ensuring secure transfer of a document from a client of a network to a printer
US6631417B1 (en) * 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US7076651B2 (en) * 2000-05-01 2006-07-11 Safenet, Inc. System and method for highly secure data communications
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
US7111163B1 (en) * 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US20020073212A1 (en) * 2000-11-13 2002-06-13 Sokol Daniel D. Wireless web browsing terminal and hub
US20030058274A1 (en) * 2000-11-17 2003-03-27 Jake Hill Interface device
US7080248B1 (en) * 2001-04-23 2006-07-18 At&T Corp. System providing dynamic quality of service signaling messages in a cable telephony network
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US7853781B2 (en) * 2001-07-06 2010-12-14 Juniper Networks, Inc. Load balancing secure sockets layer accelerator
JP2003101523A (ja) * 2001-09-21 2003-04-04 Fujitsu Ltd 秘匿機能を有する通信ネットワーク・システムおよび通信方法
EP1304844B1 (en) * 2001-10-19 2007-04-04 Sony Deutschland GmbH Content protection and copy management system for a network
US20030106067A1 (en) * 2001-11-30 2003-06-05 Hoskins Steve J. Integrated internet protocol (IP) gateway services in an RF cable network
US7181616B2 (en) * 2001-12-12 2007-02-20 Nortel Networks Limited Method of and apparatus for data transmission
JP4368637B2 (ja) * 2003-08-05 2009-11-18 株式会社リコー 多機能複合機、サーバ、環境負荷低減方法、および、プログラム
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
JP3944182B2 (ja) * 2004-03-31 2007-07-11 キヤノン株式会社 セキュリティ通信方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号ゲートウェイ装置
JP2002134680A (ja) * 2000-10-26 2002-05-10 Sanyo Electric Co Ltd 混成集積回路装置の製造方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CSNB199900255001, 池野信一,小山謙二, "現代暗号理論", 19971115, 初版第6刷, p.263−264, JP, 社団法人電子情報通信学会 *

Also Published As

Publication number Publication date
TW200307423A (en) 2003-12-01
CN100571131C (zh) 2009-12-16
CN1653744A (zh) 2005-08-10
KR20040104486A (ko) 2004-12-10
KR100976750B1 (ko) 2010-08-18
TWI274487B (en) 2007-02-21
JP4615308B2 (ja) 2011-01-19
WO2003096612A1 (fr) 2003-11-20
US20050021949A1 (en) 2005-01-27
EP1503536A1 (en) 2005-02-02

Similar Documents

Publication Publication Date Title
JP4615308B2 (ja) 暗号装置および方法、暗号システム
US7536715B2 (en) Distributed firewall system and method
JP3783142B2 (ja) 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム
JP5060081B2 (ja) フレームを暗号化して中継する中継装置
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
US5757924A (en) Network security device which performs MAC address translation without affecting the IP address
US20100077203A1 (en) Relay device
US20020083344A1 (en) Integrated intelligent inter/intra networking device
US20050220091A1 (en) Secure remote mirroring
JP4594081B2 (ja) 暗号化の一元集中管理システム
US20070058654A1 (en) Arrangement and coupling device for securing data access
EP1290852A2 (en) Distributed firewall system and method
JP4757088B2 (ja) 中継装置
JP4783665B2 (ja) メールサーバ装置
JP2006295401A (ja) 中継装置
JP2007019633A (ja) 中継コネクタ装置及び半導体回路装置
KR20090032072A (ko) 중계장치
JP2007019632A (ja) 通信ボード装置及び通信方法
WO2004012386A1 (ja) 暗号システムおよび暗号装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060419

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080515

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20081021

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20081021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100223

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100928

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101020

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131029

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees