JPWO2003096612A1 - 暗号装置および方法、暗号システム - Google Patents
暗号装置および方法、暗号システム Download PDFInfo
- Publication number
- JPWO2003096612A1 JPWO2003096612A1 JP2004504450A JP2004504450A JPWO2003096612A1 JP WO2003096612 A1 JPWO2003096612 A1 JP WO2003096612A1 JP 2004504450 A JP2004504450 A JP 2004504450A JP 2004504450 A JP2004504450 A JP 2004504450A JP WO2003096612 A1 JPWO2003096612 A1 JP WO2003096612A1
- Authority
- JP
- Japan
- Prior art keywords
- encryption
- data
- decryption
- terminal
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/10—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は暗号装置および方法、暗号システムに関し、特に、ネットワーク上で外部から攻撃されることによる情報の盗聴や改ざん等のリスクを低減するために情報の暗号化/復号化を行う装置および方法、これを適用したシステムに用いて好適なものである。
背景技術
パーソナルコンピュータ(パソコン)をスタンドアロンで用いる場合は、パソコン内部の情報が盗み出されたり、改ざんされたり、破壊されたりする危険性は少ない。しかし、パソコンをインターネット等のネットワークに接続すると、やり取りされる情報は多くのネットワークをルーティングされていくことから、その途中において盗聴や改ざん等の行われる危険性が一気に増大する。
この問題を解決するための仕組みの1つとして、情報の暗号化がある。すなわち、送信側のパソコンで情報を暗号化して相手に送り、受信側のパソコンでこれを復号化して利用する。このようにすれば、ネットワークの途中で情報が盗聴されたとしても、情報が暗号化されているために、情報自体が見られる可能性が少なくなる。また、改ざんのリスクも低減される。
しかしながら、暗号を利用するためには、暗号通信しようとする端末の全てに専用の暗号ソフトをインストールし、様々な設定をしなければならない。ところが、各種端末が接続されるネットワークは、インターネットの他に、企業内のLAN(Local Area Network)なども存在する。そのLAN内には、プリンタやファクシミリなど物理的に暗号ソフトをインストールできない端末や、プリントサーバやデータベースサーバなど動作安定上等の問題から余分なソフトをインストールすることが好ましくない端末、OS(オペレーティングシステム)がなく単なるネットワークターミナルとして機能する端末なども存在する。そのため、一般的に企業内LANの中では、暗号を利用することは難しかった。
ところが、LANの多くはインターネットに接続されており、必要に応じてLAN内のパソコンからインターネットにアクセスして情報のやり取りを行うことができるようになっている。しかし、このようにLANがインターネットに接続されていると、外部からの不正侵入や攻撃によって、LAN内部の機密情報が盗まれたり改ざんされたりする危険性が出てくる。
そこで、アクセス権を持たない第三者がLAN内に不正に侵入するのを防ぐために、ファイアウォールが利用される。ファイアウォールは、一般的には1台のサーバをLANとインターネットとの接続部に用い、ここで専用のソフトウェアを動作させることによって機能する。しかし、ファイアウォールを設置しても、ネットワーク上に存在するセキュリティホールを攻撃することによって不正侵入が行われることが少なくない。一旦不正侵入が行われると、内部の情報は暗号化されていないため、盗聴や改ざんが容易にできてしまうという問題があった。
なお、従来、インターネット上に流れるデータをルーティングする中継機であるルータに暗号機能を持たせたものが存在する。例えばVPN(Virtual Private Network)ルータがそれである。このVPNルータを用いれば、端末に専用の暗号ソフトをインストールしなくても、VPNルータ間で暗号通信を行うことが可能となる。
しかしながら、このVPNルータは、インターネットを利用して複数のLANを接続するために設けられる仮想専用線上の中継機として用いられるものである。そのため、LANどうしがやり取りする情報を途中のインターネット上において暗号化することはできるが、LAN内において情報を暗号化することはできないという問題があった。
また、VPNルータにおいて暗号化を行うためには、ルータが必ず通信用のIPアドレスを持つことが必要となる。以下に、このことについて図1を用いて説明する。図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。
図1に示すように、通信しようとする2台のパソコン101,102はそれぞれ1つのポート105,106を有し、その中継機となるVPNルータ103,104はそれぞれ2つのポート(107,108),(109,110)を有している。VPNルータ103の各ポート107,108に対してOSI参照モデルの物理層、MAC層(データリンク層)、IP−Secが個別に設けられ、各ポート107,108に共通なものとしてIP層(ネットワーク層)、TCP/UDP層(トランスポート層)が設けられている。VPNルータ104の各ポート109,110についても同様である。
層が深くなるほどユーザからは遠くなり、逆に層が浅くなるほどユーザに近くなる。各パソコン101,102のIP層よりも上位層には、TCP/UDP層およびアプリケーション層(共に図示せず)が存在し、ユーザが使用するアプリケーションと下の層との橋渡しが行われる。
データの送信側では、上位層から下位層に向かって各層を通過するごとにデータが変換されるとともに、それぞれの層間でデータ伝送を可能にするためのヘッダが付加されていく。逆に、データの受信側では、各層宛てのヘッダを参照して各層で必要なデータが抽出される。そして、抽出されたデータは上位層へ引き渡され、最終的にアプリケーション層を介してユーザに届けられる。
以下に、それぞれの層の機能について説明する。TCP/UDP層は、データを渡すべきアプリケーションの特定や、パケットの状態の管理などを行うレイヤである。データ送信側においては、上位層(アプリケーション層)から渡されたデータを相手のどのアプリケーションに渡すべきかを認識し、宛先ポート番号をデータに付加して下位層(ネットワーク層)に渡す。一方、データ受信側においては、下位層から渡されたパケットについて、通信の状態等によって抜けが生じていないかどうかを監視する。
IP層は、複数のネットワークにまたがった端末間のデータ転送あるいはデータ中継に関する取り決めや制御を行うためのレイヤである。通信相手となる送信側と受信側のパソコン101,102にはそれぞれ異なるIPアドレス▲1▼,▲6▼が割り振られており、これらを明確にすることによって、end to endによる論理的な通信経路が決定する。2つのポート(107,108),(109,110)を有するVPNルータ103,104の場合、IPアドレスはポート毎に別個に割り振られる。
MAC(Media Access Control)層は、隣接機器のノード間で信頼性の高いデータ伝送を保証するためのレイヤであり、製造段階で各機器に割り当てられた物理的なMACアドレスを有する。データ送信側においては、IP層で通信相手のIPアドレスが明確になると、その下位に位置するMAC層において、確立された相手のIPアドレスをもとに、経由する次の機器(物理的に接続されている隣接ノード)の宛先を決定する。一方、データ受信側においては、MACアドレスをもとに自分宛のパケットであることを認識した後、その上位層のIP層でIPアドレスを解析し、そのパケットを他の機器に対して更にルーティングするか自分に取り込むかを判断する。
物理層は、上位層から渡されたデータを電気信号や光信号に変換し、同軸ケーブルや光ファイバケーブル等の伝送媒体111を介して実際のデータ伝送を行ったり、伝送媒体111から送られてきた電気信号や光信号を上位層で認識可能なデータに変換し、それを上位層に渡したりするためのレイヤである。物理層の上位層であるMAC層では、物理層の通信インタフェースに依存した手法に従って上述の処理を行う。
IP−Secは、データの暗号化処理および復号化処理を行う機能部である。すなわち、MAC層からIP層に渡されるデータを取得して、当該データの暗号化処理および暗号の復号化処理を行う。
このような階層構造を有するVPNルータ103,104を用いてパソコン101,102間で暗号通信を行う場合、VPNルータ103では、例えば一方のパソコン101から他方のパソコン102宛てに送られてきたIPパケットを第1のポート107で受信し、IP層までパケットを順次引き渡して分解する。このとき、パケット中から抽出したデータをIP−Secで暗号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート108から送出する。
VPNルータ103の第2のポート108から出力された暗号化パケットは、VPNルータ104の第1のポート109で受信される。VPNルータ104は、受信した暗号化パケットをIP層まで順次引き渡して分解し、パケット中から抽出したデータをIP−Secで復号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート110から送出する。
この第2のポート110から出力されたIPパケットは、パソコン102で受信される。この受信されたIPパケットは物理層、MAC層、IP層を介して上位層へと順次引き渡されて分解され、最終的に図示しないアプリケーション層を介してユーザにデータが届けられる。以上の手順により、パソコン101,102が暗号ソフトを備えていなくても、VPNルータ103,104間で暗号通信をすることが可能となる。
図1に示したシステムの場合、VPNルータ103,104の両側に異なるネットワーク(パソコン101を有するネットワークAとパソコン102を有するネットワークB)が存在し、これが集まってインターネットを構成している。そのため、それぞれのネットワーク毎に異なるネットワークアドレスが割り振られる。よって、これらの異なるネットワーク間をルーティング(経路選択、場合によってパケットの破棄、パケットの分割あるいは統合等)するVPNルータ103,104も、異なるIPアドレスを持つことが必須であり、そのために煩雑なアドレス設定作業を行わなければならないという問題があった。
また、VPNルータ103,104では第1のポート107,109に接続されるネットワークと第2のポート108,110に接続されるネットワークは一般的に異なるものであり、そのためにポート毎に異なるIPアドレスを設定する必要がある。よって、VPNルータ103,104の入力と出力とでIPアドレスが変わってしまう。そのため、ネットワーク上にある端末間にVPNルータを挿入したり、あるいは端末間からVPNルータを外したりする際には、VPNルータ自身のアドレス設定を行うだけでなく、当該VPNルータに接続される端末のアドレス設定も変更する必要があり、各種の煩雑な作業を行わなければならないという問題があった。
例えば、図1の例においてVPNルータ103,104を接続しない状態で通信を行う場合は、パソコン101,102は同一のネットワーク内に存在することになるので、ネットワークアドレスが共に同じとなり、パソコン101,102間で直接の通信が可能である。この場合、パソコン101からパソコン102に送信するパケットのIPアドレスは、図2(a)のようになる。すなわち、送信側であるパソコン101の送信元IPアドレス▲1▼と、受信側であるパソコン102の宛先IPアドレス▲6▼のネットワークアドレスには、同じネットワークアドレスAを設定すれば良い。
これに対し、パソコン101とパソコン102との間にVPNルータ103,104を挿入した場合は、送信されるパケットのIPアドレスは図2(b)のようになる。すなわち、パソコン101,102は異なるネットワークに存在することになるので、送信元IPアドレス▲1▼と宛先IPアドレス▲6▼には、異なるネットワークアドレスA,Bを設定しなければならない。
このように、パソコン101とパソコン102との間にVPNルータ103,104を挿入したり、あるいはその逆にVPNルータ103,104を取り外したりすると、パソコン101,102の属するネットワークが変わる。したがって、それに合わせて、パソコン101,102のデフォルトゲートウェイのアドレス(自分と異なるネットワークに対して通信をする場合の宛先IPアドレス(VPNルータ103,104のポート107,110))や、パソコン101,102の何れかのIPアドレスの設定を変更する必要が生じる。
以上のように、従来のVPNルータでは、その接続の有無によって透過性を保つことが困難であり、システムの導入時やメンテナンス時には多大な作業をしなければならないという問題があった。
本発明は、このような問題を解決するために成されたものであり、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにすることを目的とする。
また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにすることを目的とする。
発明の開示
本発明の暗号装置は、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末(暗号ソフトがインストールされた端末の他、本発明の機能を有する他の暗号装置を含む)が直接または間接的に接続される暗号装置であって、上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備えたことを特徴とする。
本発明の他の態様では、上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする。
本発明のその他の態様では、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備えたことを特徴とする。
本発明の更に別の態様では、上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする。
また、本発明の暗号方法は、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする。
また、本発明の暗号システムは、暗号処理機能を有する端末と、請求の範囲第1項に記載の暗号装置とが無線または有線のネットワークを介して接続されて成ることを特徴とする。
本発明の他の態様では、暗号処理機能を有する端末と、暗号処理機能を有しない端末との間に、請求の範囲第2項に記載の暗号装置が無線または有線のネットワークを介して接続されて成ることを特徴とする。
発明を実施するための最良の形態
以下、本発明の一実施形態を図面に基づいて説明する。
図3は、本実施形態の暗号装置を適用した暗号システムの全体構成例を示す図である。
図3において、1は本実施形態の暗号装置であり、2つのポートを有し、一方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスが接続され、他方のポートにはハブ5が接続されている。この暗号装置1は、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、ハブ5との間でデータの中継を行う。
ネットワークプリンタ2は、暗号ソフトを物理的にインストールできない端末である。DBサーバ3は、動作安定上等の問題から余分な暗号ソフトをインストールすることが好ましくない端末である。ネットワークターミナル4は、OSがなく暗号ソフトを動作させることができない端末である。したがって、これらの端末2〜4には暗号ソフトはインストールされていないものとする。
また、ハブ5は、物理層においてデータを中継する機器であり、上述した暗号装置1の他に、無線通信用のアクセスポイント6とデスクトップパソコン7とが接続されている。すなわち、この場合のハブ5は、暗号装置1と、アクセスポイント6およびデスクトップパソコン7との間でデータの中継を行う。
さらに、上記アクセスポイント6には、デスクトップパソコン8とラップトップパソコン9とが無線により接続されている。デスクトップパソコン7,8およびラップトップパソコン9には、データの暗号化および復号化を行うための暗号ソフトがインストール可能であり、実際にインストールされているものとする。
このように、本実施形態の暗号装置1は2つのポートを有し、一方のポートに対して暗号処理機能を有する端末であるパソコン7〜9が、ハブ5やアクセスポイント6を介して間接的に接続されている。また、他方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4が直接接続されている。そして、これらの暗号装置1、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。
このような構成により、暗号ソフトがインストールされていないネットワークプリンタ2、DBサーバ3およびネットワークターミナル4と、暗号ソフトがインストールされているパソコン7〜9(これらのデバイス2〜4,7〜9は何れも本発明の端末に相当)との間で、暗号装置1、ハブ5およびアクセスポイント6を介してデータ通信が行われる。
その際、暗号装置1は、暗号ソフトがインストールされているパソコン7〜9との間では暗号化されたデータの通信を行うとともに、暗号ソフトがインストールされていない端末2〜4との間では暗号化されていないデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
例えば、デスクトップパソコン7からネットワークプリンタ2にデータを送出してプリントアウトするときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、ネットワークプリンタ2に送出する。
また、例えばDBサーバ3にて管理されているデータをラップトップパソコン9に取り込むときは、DBサーバ3は、与えられる要求に応じて該当するデータを暗号装置1に供給する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
以上の説明から明らかなように、本実施形態の暗号装置1を用いることによって、専用の暗号ソフトをインストールできない端末2〜4を有する企業内LANの中でも、暗号を利用することが可能となる。これにより、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワーク10を構築することができる。
なお、暗号装置1と各端末2〜4との間において暗号は利用できないが、これらを繋ぐケーブル11は物理的に短い配線であり、この部分が外部アタックされることによって盗聴や改ざんが行われる可能性は極めて低いので、セキュリティ上で特に問題となることはない。
図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。なお、この図4において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図4に示すように、本実施形態の暗号装置1は、一方のポートにインターネット20が接続され、他方のポートにハブ5が接続されている。
図4の場合、暗号装置1、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。また、インターネット20の先には、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトをインストールできない端末、あるいは、パソコン7〜9のように暗号ソフトがインストールされた端末が複数台接続され、これらによって別の拠点ネットワークが構成されている。
図3に示した例では、1台の暗号装置1に対して1台のデバイスが接続されており、1台のデバイスに関する暗号/復号処理を1台の暗号装置1が専用で行っていた。すなわち、図3に示す暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、暗号ソフトがインストールされていない1台のデバイスとの間に接続され、当該1台のデバイスに対して暗号化によるセキュリティを終端していた。
これに対して、図4に示す例では、暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、インターネット20に接続された複数台のデバイスとの間に接続されている。上記複数台のデバイスは、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトがインストールされていなくても良いし、パソコン7〜9のように暗号ソフトがインストールされていても良い。このように、本実施形態の暗号装置1は、複数台のデバイスに対して暗号化によるセキュリティを終端することも可能である。この場合、暗号装置1は、接続されているデバイスの数だけデータパスを有し、それぞれのデバイス毎に異なる暗号鍵で暗号/復号処理を行う。
例えば、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを持たない外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、インターネット20を介して外部デバイスに送出する。
また、例えばインターネット20の先にある暗号ソフトを持たない外部デバイスにて管理されているデータをセキュアネットワーク10内のラップトップパソコン9に取り込むときは、当該外部デバイスは、与えられる要求に応じて該当するデータをインターネット20に送出する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
一方、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを有する外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化することなく、インターネット20を介して外部デバイスに送出する。外部デバイスは、受け取ったデータを復号化し、所望の処理に利用する。
逆に、インターネット20の先にある外部デバイスで暗号化されたデータをセキュアネットワーク10内のデスクトップパソコン7に送出するときも、暗号装置1は、インターネット20を介して外部デバイスより受け取ったデータを復号化することなく、暗号化された状態のままハブ5を介してデスクトップパソコン7に供給する。
このように、セキュアネットワーク10内の端末7〜9とインターネット20に接続された暗号ソフトを持たない外部デバイスとの間でデータ通信を行う場合でも、少なくともセキュアネットワーク10の内部については暗号による保護を利用することができる。また、インターネット20に接続された外部デバイスに暗号ソフトがインストールされている場合には、セキュアネットワーク10の外部にあるインターネット20上でも暗号を利用することができる。
なお、上記複数台のデバイスは、インターネット20を介して接続されている必要は必ずしもなく、暗号装置1に直接あるいはハブを介して接続しても良い。直接接続する場合、暗号装置1は2つ以上のポートを有することになる。
図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。なお、この図5において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図5に示す例も図4の例と同様に、1台の暗号装置1が複数台のデバイスに対して暗号化によるセキュリティを終端する例である。
図5に示す例では、セキュアネットワーク10の内部は、3台のパソコン7〜9が全てアクセスポイント6に無線LANにて接続されている。アクセスポイント6は、暗号装置1を介してインターネット20に接続されている。
図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。上記図3〜図5では、本発明の暗号処理機能を有する端末の例として、暗号ソフトがインストールされたパソコン7〜9を挙げ、暗号装置1とパソコン7〜9との間で暗号化によるセキュリティを終端する例について説明した。暗号処理機能を有する端末はこの例に限らず、暗号装置1と同様の機能を有する他の暗号装置も含む。この場合の構成例を示したのが図6である。
図6に示す例では、拠点A,Bの2つの拠点ネットワーク30A,30Bが、ルータ40A,40Bおよびインターネット20を介して接続されている。拠点Aネットワーク30Aの中は、パソコン31A〜33Aと暗号装置1A−1〜1A−3とにより企業内LANが構成されている。パソコン31A〜33Aは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1A−1〜1A−3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31A〜33Aが接続され、他方のポートにはルータ40Aが接続されている。
拠点Bネットワーク30Bの中も同様に、パソコン31B〜33Bと暗号装置1B−1〜1B−3とにより企業内LANが構成されている。パソコン31B〜33Bは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1B−1〜1B−3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31B〜33Bが接続され、他方のポートにはルータ40Bが接続されている。
このような構成により、異なる拠点ネットワーク30A,30Bに属するパソコンの間では、暗号装置1A−1〜1A−3,1B−1〜1B−3を介してデータ通信が行われる。例えば、拠点Aネットワーク30A内にあるパソコン31Aから拠点Bネットワーク30B内にあるパソコン33Bにデータを送信するとき、暗号装置1A−1は、パソコン31Aから与えられたデータを暗号化し、ルータ40A、インターネット20およびルータ40Bを介して暗号装置1B−3に送信する。暗号装置1B−3は、受け取ったデータを復号化してパソコン33Bに供給する。これにより、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。
また、例えば拠点Aネットワーク30Aの内部において、暗号ソフトがインストールされていないパソコン31A〜33Aどうしでは、暗号装置1A−1〜1A−3を介してデータ通信が行われる。例えば、あるパソコン31Aから他のパソコン33Aにデータを送るとき、暗号装置1A−1は、パソコン31Aから与えられたデータを暗号化し、暗号装置1A−3に送信する。暗号装置1A−3は、受け取ったデータを復号化してパソコン33Aに供給する。
拠点Bネットワーク30Bの内部においても同様に、暗号ソフトがインストールされていないパソコン31B〜33Bどうしでは、暗号装置1B−1〜1B−3を介してデータ通信が行われる。例えば、あるパソコン31Bから他のパソコン33Bにデータを送るとき、暗号装置1B−1は、パソコン31Bから与えられたデータを暗号化し、暗号装置1B−3に送信する。暗号装置1B−3は、受け取ったデータを復号化してパソコン33Bに供給する。
このように、暗号装置1A−1〜1A−3,1B−1〜1B−3は何れも、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bとの間では暗号化されていないデータの通信を行うとともに、暗号処理機能を有する端末である暗号装置1A−1〜1A−3,1B−1〜1B−3との間では暗号化されたデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
以上のような暗号装置1A−1〜1A−3,1B−1〜1B−3をパソコン31A〜33A,31B〜33Bの直近にそれぞれ接続することにより、異なる拠点ネットワーク30A,30Bの間は当然として、暗号ソフトを有するパソコンが無い企業内LANの中でも暗号を利用することが可能となる。これにより、各拠点ネットワーク30A,30Bを、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワークとすることができる。
なお、上記図6の例では、各拠点ネットワーク30A,30Bは共に、暗号処理機能を有する端末(暗号装置1A−1〜1A−3,1B−1〜1B−3)を複数備えて構成されているが、少なくとも一方の拠点ネットワークが暗号処理機能を有する端末を1個だけ備える構成としても良い。例えば、拠点ネットワーク30Aの中を、1個のパソコン31Aと1個の暗号装置1A−1とを接続して構成しても良い。
この場合は、図6に示した構成と同様に、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。また、拠点ネットワーク30Aの中に関しては、暗号装置1A−1をパソコン31Aの直近に接続しておくことにより、当該拠点ネットワーク30Aの出入口と暗号装置1A−1との間で暗号を利用することができる。
また、上記図6の例では、2つの拠点ネットワーク30A,30Bをインターネット20で結び、各拠点ネットワーク30A,30B内に暗号装置1A−1〜1A−3,1B−1〜1B−3やパソコン31A〜33A,31B〜33Bをそれぞれ備える例について示したが、これに限定されない。
例えば、1つの拠点ネットワーク内に暗号装置1A−1〜1A−3,1B−1〜1B−3およびパソコン31A〜33A,31B〜33Bを備え、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bの間におけるデータのやり取りを、暗号装置1A−1〜1A−3,1B−1〜1B−3を介して行うようにしても良い。この場合は、1つの拠点ネットワーク内において、少なくとも暗号装置1A−1〜1A−3,1B−1〜1B−3の間では暗号を利用することができる。
また、これ以外にも、例えば図3の構成において、暗号ソフトがインストールされているパソコン7の代わりに、暗号ソフトがインストールされていないパソコンと暗号装置1とを用い、暗号装置1をハブ5に接続する構成としても良い。この場合は、暗号ソフトをインストールできないネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、暗号ソフトがインストールされていないパソコンとの間では、両者の直近に接続された暗号装置1を介して暗号通信をすることができる。
図7は、図3に示した暗号システムにおいて、暗号装置1およびこれに直接および間接的に接続されるDBサーバ3およびラップトップパソコン9におけるプロトコルの階層構造を示す図である。図7に示す例では、DBサーバ3には暗号ソフトがインストールされておらず(IP−Secがない)、ラップトップパソコン9には暗号ソフトがインストールされている(IP−Secを有する)。このDBサーバ3およびラップトップパソコン9の間に、本実施形態の暗号装置1が接続されている。ここでは、DBサーバ3にて保存されているデータを暗号装置1に送り、ここでデータを暗号化してパソコン9に送るような利用形態を想定している。
図7に示すように、DBサーバ3およびパソコン9はそれぞれ1つのポート31,32を有し、その中継機となる暗号装置1は2つのポート33,34を有している。暗号装置1の各ポート33,34に対して物理層およびMAC層(データリンク層)が個別に設けられ、各ポート33,34に共通なものとしてIP−Sec(暗号/復号処理機能)、IP層(ネットワーク層)およびTCP/UDP層(トランスポート層)が設けられている。このように、本実施形態の暗号装置1は、IP−Secにより2つのポート33,34間をブリッジさせているところに特徴がある。
ここで「ブリッジする」とは、一のポートより入力され暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力することを言う。図7の例では、第1のポート33より入力されたデータに対してIP−Secで暗号化処理を行い、それにより得られたデータを、IP層にてルーティングすることなく(IP層に渡すことなく)他方のポートにそのまま渡して出力することが、「ブリッジする」ということに相当する。このように、本実施形態の暗号装置1では、DBサーバ3とパソコン9との間におけるデータ転送に関してはIP層およびTCP/UDP層は用いず、IP層よりも下位層で処理を行う。
すなわち、DBサーバ3にて作成されたパケットデータは、当該DBサーバ3のMAC層、物理層を通って送信され、暗号装置1の第1のポート33より受信される。受信されたパケットデータは物理層、MAC層を通ってIP−Secに渡され、ここで暗号化処理が行われる。この暗号化されたパケットデータは、MAC層および物理層を通って第2のポート34より送信される。
第2のポート34より送信されたパケットデータは、パソコン9で受信され、物理層、MAC層を通ってIP−Secに渡されて、暗号が復号化される。そして、復号化されたデータがIP層を通って図示しないアプリケーション層に渡される。これにより、DBサーバ3が暗号ソフトを備えていなくても、パソコン9に対して暗号化されたデータを送信することが可能となる。
なお、本実施形態においてIP層およびTCP/UDP層は、暗号装置1自身に暗号化/復号化に関する各種の情報を設定する際に利用される。例えば、ある端末とある端末との間では暗号通信を行うが、他の端末との間では暗号通信を行わないなどといった暗号/復号処理の有無、ある端末とある端末との間ではパケットを破棄するなどといった通信の可否、暗号通信を行う場合における暗号化のレベル、暗号化を行う時間帯、暗号鍵などに関する種々の情報を暗号装置1に設定する場合には、IP層およびTCP/UDP層を使用する。
この種の設定情報は、IP−Secブリッジの機能によってメモリ上に保持される。IP−Secは、当該メモリに保持されている設定情報と、ポート33,34より入力されたパケットに付加されているヘッダ情報(例えば、送信元IPアドレスおよび宛先IPアドレス)とを照合して、暗号/復号処理の制御などを行う。
このように、本実施形態の暗号装置1では、一のポートから入力されたデータをIP−Secで暗号化/復号化し、これにより得られたデータをIP層に渡すことなく、ルーティング処理をせずにそのまま他のポートに転送するようにしているので、データ通信時に暗号装置1のIPアドレスを不要とすることができる。すなわち、IPアドレスを持たずにIP層の暗号/復号処理を行うことが可能である。そのため、暗号装置1自身に対する煩雑なIPアドレス設定の必要をなくすことができる。
また、暗号装置1の両側に接続される端末は同じネットワークに属することになり、暗号装置1の入力ポートと出力ポートとでIPアドレスが変わることがなくなる。これにより、暗号装置1のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができる。すなわち、ネットワーク上に暗号装置1を接続したり、ネットワーク上から暗号装置1を外したりする際に、当該暗号装置1に接続される端末のアドレス設定も変更する必要がない。
例えば、図7のようにDBサーバ3とパソコン9との間に暗号装置1を挿入した場合も、暗号装置1を挿入せずにDBサーバ3とパソコン9との間で直接通信を行う場合も、DBサーバ3とパソコン9との間を流れるパケットのIPアドレスは、図8に示す通りのままで不変である。したがって、暗号装置1の接続の有無によってアドレス設定を何ら変更する必要がない。
これにより、ネットワークシステムの導入時やメンテナンス時には、本実施形態の暗号装置1を適当な箇所にただ挿入したり、あるいはただ取り外したりするだけ良くなり、煩雑なアドレス設定は行う必要がないので、作業負荷を大幅に削減することができる。
さらに、本実施形態の場合、MACアドレスについても透過性を保つことができる。図9は、DBサーバ3からパソコン9にデータを送り、その間の暗号装置1でデータを暗号化する場合におけるパケットを示す図である。また、図10は、本実施形態との比較のために、図1に示す従来のシステムにおいて一方のパソコン101から他方のパソコン102にデータを送り、その間のVPNルータ103でデータを暗号化する場合におけるパケットを示す図である。
図9(a)および図10(a)は第1のポート33,107にて受信するパケットを示し、図9(b)および図10(b)は第2のポート34,108より送信するパケットを示す。なお、IP−Secには、データ部のみを暗号化するトランスポートモードと、パケット全てを暗号化して更に新しいヘッダを追加するトンネルモードとがある。送信パケットに関しては、これら2つのモードについてそれぞれ示している。
図9から明らかなように、本実施形態によれば、IPアドレスだけでなく、MACアドレスについても第1のポート33と第2のポート34とで異なることがなく、MACアドレスの透過性を保つことができる。すなわち、本実施形態の暗号装置1は、IP−Secを有してデータの暗号/復号処理を行うことを除けば、一方のポートから入力されたデータを他方のポートにただ流すだけなので、データ通信時にはMACアドレスも不要とすることができる。
なお、上記実施形態ではOSI参照モデルの第3層に当たるネットワーク層の例としてIP層を挙げたが、このIP層は、ノベル社のネットワークOSが使用するプロトコルであるIPX(Internetwork Packet e Xchange)層であっても良い。また、IP−Secが利用可能なものであれば、他のプロトコルであっても良い。
その他、以上に説明した実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明は上述したように、暗号処理機能が導入された端末との間で暗号化によるセキュリティを終端するために暗号化処理および暗号の復号化処理を行う暗号/復号手段を備えて暗号装置を構成し、この暗号装置をネットワークを介して端末に接続するようにしたので、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用することができるようになり、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減することができる。
また、本発明では、暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなく出力するようにしたので、データ通信時に暗号装置のIPアドレスを不要とすることができる。また、暗号装置の入力ポートと出力ポートとでIPアドレスが変わることがなくなるので、暗号装置のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができ、暗号装置に接続される端末のアドレス設定に関しても変更の必要をなくすことができる。これにより、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用することができるようになる。
産業上の利用可能性
本発明は、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにするのに有用である。
また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにするのに有用である。
【図面の簡単な説明】
図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。
図2は、従来システムにおいてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図3は、本実施形態の暗号装置を適用した暗号システムの構成例を示す図である。
図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。
図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図7は、本実施形態による暗号装置およびこれに接続されるDBサーバおよびパソコンにおけるプロトコルの階層構造を示す図である。
図8は、本実施形態においてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図9は、本実施形態の暗号装置を流れるパケットのMACアドレスについて説明するための図である。
図10は、従来のVPNルータを流れるパケットのMACアドレスについて説明するための図である。
Claims (7)
- 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、
上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、
上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備えたことを特徴とする暗号装置。 - 上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする請求の範囲第1項に記載の暗号装置。
- 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置であって、
上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、
上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備えたことを特徴とする暗号装置。 - 上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、
上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする請求の範囲第3項に記載の暗号装置。 - 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、
上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする暗号方法。 - 暗号処理機能を有する端末と、請求の範囲第1項に記載の暗号装置とが無線または有線のネットワークを介して接続されて成ることを特徴とする暗号システム。
- 暗号処理機能を有する端末と、暗号処理機能を有しない端末との間に、請求の範囲第2項に記載の暗号装置が無線または有線のネットワークを介して接続されて成ることを特徴とする暗号システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002134680 | 2002-05-09 | ||
JP2002134680 | 2002-05-09 | ||
PCT/JP2003/005265 WO2003096612A1 (fr) | 2002-05-09 | 2003-04-24 | Dispositif, procede et systeme de cryptage |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2003096612A1 true JPWO2003096612A1 (ja) | 2005-09-15 |
JP4615308B2 JP4615308B2 (ja) | 2011-01-19 |
Family
ID=29416719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004504450A Expired - Fee Related JP4615308B2 (ja) | 2002-05-09 | 2003-04-24 | 暗号装置および方法、暗号システム |
Country Status (7)
Country | Link |
---|---|
US (1) | US20050021949A1 (ja) |
EP (1) | EP1503536A1 (ja) |
JP (1) | JP4615308B2 (ja) |
KR (1) | KR100976750B1 (ja) |
CN (1) | CN100571131C (ja) |
TW (1) | TWI274487B (ja) |
WO (1) | WO2003096612A1 (ja) |
Families Citing this family (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002084499A1 (en) * | 2001-04-11 | 2002-10-24 | Chelsio Communications, Inc. | Multi-purpose switching network interface controller |
KR20060044049A (ko) * | 2004-11-11 | 2006-05-16 | 한국전자통신연구원 | 보안 라우터 시스템 및 그 시스템에 접속하는 사용자에대한 인증 방법 |
US20060126520A1 (en) * | 2004-12-15 | 2006-06-15 | Cisco Technology, Inc. | Tape acceleration |
US20060251255A1 (en) * | 2005-04-20 | 2006-11-09 | Puneet Batta | System and method for utilizing a wireless communication protocol in a communications network |
US8190877B2 (en) * | 2005-07-05 | 2012-05-29 | Viasat, Inc. | Trusted cryptographic processor |
US8527741B2 (en) * | 2005-07-05 | 2013-09-03 | Viasat, Inc. | System for selectively synchronizing high-assurance software tasks on multiple processors at a software routine level |
US7715436B1 (en) | 2005-11-18 | 2010-05-11 | Chelsio Communications, Inc. | Method for UDP transmit protocol offload processing with traffic management |
US8069270B1 (en) | 2005-09-06 | 2011-11-29 | Cisco Technology, Inc. | Accelerated tape backup restoration |
US8250151B2 (en) * | 2005-10-12 | 2012-08-21 | Bloomberg Finance L.P. | System and method for providing secure data transmission |
US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
US20100077203A1 (en) * | 2006-07-13 | 2010-03-25 | Keiko Ogawa | Relay device |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8908700B2 (en) | 2007-09-07 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for bridging a WAN accelerator with a security gateway |
JP5239502B2 (ja) * | 2007-11-07 | 2013-07-17 | 株式会社明電舎 | ブリッジングシステム、ブリッジおよびブリッジング方法 |
US8464074B1 (en) | 2008-05-30 | 2013-06-11 | Cisco Technology, Inc. | Storage media encryption with write acceleration |
US8726007B2 (en) * | 2009-03-31 | 2014-05-13 | Novell, Inc. | Techniques for packet processing with removal of IP layer routing dependencies |
US20100278338A1 (en) * | 2009-05-04 | 2010-11-04 | Mediatek Singapore Pte. Ltd. | Coding device and method with reconfigurable and scalable encryption/decryption modules |
CN101958791B (zh) * | 2009-07-16 | 2014-05-14 | 上海前沿计算机科技有限公司 | 模块加解密方法 |
US8139277B2 (en) * | 2010-01-20 | 2012-03-20 | Palo Alto Research Center. Incorporated | Multiple-source multiple-beam polarized laser scanning system |
JP5605197B2 (ja) * | 2010-12-09 | 2014-10-15 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにプログラム |
US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
US10038693B2 (en) | 2013-05-03 | 2018-07-31 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
US9942152B2 (en) * | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
US10268467B2 (en) | 2014-11-11 | 2019-04-23 | A10 Networks, Inc. | Policy-driven management of application traffic for providing services to cloud-based applications |
US10567347B2 (en) * | 2015-07-31 | 2020-02-18 | Nicira, Inc. | Distributed tunneling for VPN |
US10044502B2 (en) | 2015-07-31 | 2018-08-07 | Nicira, Inc. | Distributed VPN service |
KR102212859B1 (ko) * | 2020-01-28 | 2021-02-05 | (주)모니터랩 | 비동기 이중화 환경에서 프록시 기반 보안 시스템의 트래픽 처리 방법 |
US11265296B1 (en) * | 2021-05-11 | 2022-03-01 | Roqos, Inc. | System and method to create and implement virtual private networks over internet for multiple internet access types |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07107082A (ja) * | 1993-10-06 | 1995-04-21 | Nippon Telegr & Teleph Corp <Ntt> | 暗号ゲートウェイ装置 |
JP2002134680A (ja) * | 2000-10-26 | 2002-05-10 | Sanyo Electric Co Ltd | 混成集積回路装置の製造方法 |
Family Cites Families (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4368357A (en) * | 1980-11-14 | 1983-01-11 | International Telephone And Telegraph Corporation | Bypass apparatus for use in secure communication systems |
US5253293A (en) * | 1988-01-23 | 1993-10-12 | Secom Co., Ltd. | Adaptive data ciphering/deciphering apparatuses and data communication system using these apparatuses |
DE3831215A1 (de) * | 1988-09-14 | 1990-03-22 | Standard Elektrik Lorenz Ag | Netzuebergangseinrichtung und fernmeldeendgeraet |
JP3103850B2 (ja) * | 1989-03-07 | 2000-10-30 | アイシン精機株式会社 | 秘匿通信制御装置 |
US5500860A (en) * | 1991-06-14 | 1996-03-19 | Digital Equipment Corporation | Router using multiple hop redirect messages to enable bridge like data forwarding |
US5596718A (en) * | 1992-07-10 | 1997-01-21 | Secure Computing Corporation | Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor |
US5444782A (en) * | 1993-03-09 | 1995-08-22 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
US5442708A (en) * | 1993-03-09 | 1995-08-15 | Uunet Technologies, Inc. | Computer network encryption/decryption device |
US5404394A (en) * | 1993-05-24 | 1995-04-04 | Comsat Corporation | Secure communication system |
JPH07131450A (ja) * | 1993-10-28 | 1995-05-19 | Canon Inc | 通信コントローラ |
US5386471A (en) * | 1994-01-25 | 1995-01-31 | Hughes Aircraft Company | Method and apparatus for securely conveying network control data across a cryptographic boundary |
JPH07245606A (ja) * | 1994-03-02 | 1995-09-19 | Nec Corp | インタフェース変換装置 |
US5548646A (en) * | 1994-09-15 | 1996-08-20 | Sun Microsystems, Inc. | System for signatureless transmission and reception of data packets between computer networks |
US5548649A (en) * | 1995-03-28 | 1996-08-20 | Iowa State University Research Foundation | Network security bridge and associated method |
US5684876A (en) * | 1995-11-15 | 1997-11-04 | Scientific-Atlanta, Inc. | Apparatus and method for cipher stealing when encrypting MPEG transport packets |
JP3446482B2 (ja) * | 1996-06-28 | 2003-09-16 | 三菱電機株式会社 | 暗号化装置 |
JP3595145B2 (ja) * | 1997-06-02 | 2004-12-02 | 三菱電機株式会社 | 暗号通信システム |
FI108827B (fi) * | 1998-01-08 | 2002-03-28 | Nokia Corp | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa |
JPH11239184A (ja) * | 1998-02-23 | 1999-08-31 | Matsushita Electric Works Ltd | スイッチングハブ |
US6640248B1 (en) * | 1998-07-10 | 2003-10-28 | Malibu Networks, Inc. | Application-aware, quality of service (QoS) sensitive, media access control (MAC) layer |
US6490273B1 (en) * | 1998-08-05 | 2002-12-03 | Sprint Communications Company L.P. | Asynchronous transfer mode architecture migration |
KR100282403B1 (ko) * | 1998-08-20 | 2001-02-15 | 서평원 | 이동통신 시스템에서 전파 회선 프로토콜의 프레임 전송 방법 |
WO2000049755A2 (en) * | 1999-02-19 | 2000-08-24 | Nokia Networks Oy | Network arrangement for communication |
US6862583B1 (en) * | 1999-10-04 | 2005-03-01 | Canon Kabushiki Kaisha | Authenticated secure printing |
US6963982B1 (en) * | 1999-10-28 | 2005-11-08 | Lucent Technologies Inc. | Method and apparatus for application-independent end-to-end security in shared-link access networks |
JP3259724B2 (ja) * | 1999-11-26 | 2002-02-25 | 三菱電機株式会社 | 暗号装置、暗号化器および復号器 |
US6952780B2 (en) * | 2000-01-28 | 2005-10-04 | Safecom A/S | System and method for ensuring secure transfer of a document from a client of a network to a printer |
US6631417B1 (en) * | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
US7076651B2 (en) * | 2000-05-01 | 2006-07-11 | Safenet, Inc. | System and method for highly secure data communications |
US6708218B1 (en) * | 2000-06-05 | 2004-03-16 | International Business Machines Corporation | IpSec performance enhancement using a hardware-based parallel process |
US7111163B1 (en) * | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
US20020073212A1 (en) * | 2000-11-13 | 2002-06-13 | Sokol Daniel D. | Wireless web browsing terminal and hub |
US20030058274A1 (en) * | 2000-11-17 | 2003-03-27 | Jake Hill | Interface device |
US7080248B1 (en) * | 2001-04-23 | 2006-07-18 | At&T Corp. | System providing dynamic quality of service signaling messages in a cable telephony network |
US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
US7853781B2 (en) * | 2001-07-06 | 2010-12-14 | Juniper Networks, Inc. | Load balancing secure sockets layer accelerator |
JP2003101523A (ja) * | 2001-09-21 | 2003-04-04 | Fujitsu Ltd | 秘匿機能を有する通信ネットワーク・システムおよび通信方法 |
EP1304844B1 (en) * | 2001-10-19 | 2007-04-04 | Sony Deutschland GmbH | Content protection and copy management system for a network |
US20030106067A1 (en) * | 2001-11-30 | 2003-06-05 | Hoskins Steve J. | Integrated internet protocol (IP) gateway services in an RF cable network |
US7181616B2 (en) * | 2001-12-12 | 2007-02-20 | Nortel Networks Limited | Method of and apparatus for data transmission |
JP4368637B2 (ja) * | 2003-08-05 | 2009-11-18 | 株式会社リコー | 多機能複合機、サーバ、環境負荷低減方法、および、プログラム |
US7769994B2 (en) * | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
JP3944182B2 (ja) * | 2004-03-31 | 2007-07-11 | キヤノン株式会社 | セキュリティ通信方法 |
-
2003
- 2003-04-24 KR KR1020047013925A patent/KR100976750B1/ko not_active IP Right Cessation
- 2003-04-24 JP JP2004504450A patent/JP4615308B2/ja not_active Expired - Fee Related
- 2003-04-24 EP EP03723195A patent/EP1503536A1/en not_active Withdrawn
- 2003-04-24 CN CNB038105101A patent/CN100571131C/zh not_active Expired - Fee Related
- 2003-04-24 WO PCT/JP2003/005265 patent/WO2003096612A1/ja not_active Application Discontinuation
- 2003-05-08 TW TW092112602A patent/TWI274487B/zh not_active IP Right Cessation
-
2004
- 2004-08-16 US US10/710,982 patent/US20050021949A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07107082A (ja) * | 1993-10-06 | 1995-04-21 | Nippon Telegr & Teleph Corp <Ntt> | 暗号ゲートウェイ装置 |
JP2002134680A (ja) * | 2000-10-26 | 2002-05-10 | Sanyo Electric Co Ltd | 混成集積回路装置の製造方法 |
Non-Patent Citations (1)
Title |
---|
CSNB199900255001, 池野信一,小山謙二, "現代暗号理論", 19971115, 初版第6刷, p.263−264, JP, 社団法人電子情報通信学会 * |
Also Published As
Publication number | Publication date |
---|---|
TW200307423A (en) | 2003-12-01 |
CN100571131C (zh) | 2009-12-16 |
CN1653744A (zh) | 2005-08-10 |
KR20040104486A (ko) | 2004-12-10 |
KR100976750B1 (ko) | 2010-08-18 |
TWI274487B (en) | 2007-02-21 |
JP4615308B2 (ja) | 2011-01-19 |
WO2003096612A1 (fr) | 2003-11-20 |
US20050021949A1 (en) | 2005-01-27 |
EP1503536A1 (en) | 2005-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4615308B2 (ja) | 暗号装置および方法、暗号システム | |
US7536715B2 (en) | Distributed firewall system and method | |
JP3783142B2 (ja) | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム | |
JP5060081B2 (ja) | フレームを暗号化して中継する中継装置 | |
US8041824B1 (en) | System, device, method and software for providing a visitor access to a public network | |
JP4407452B2 (ja) | サーバ、vpnクライアント、vpnシステム、及びソフトウェア | |
US5757924A (en) | Network security device which performs MAC address translation without affecting the IP address | |
US20100077203A1 (en) | Relay device | |
US20020083344A1 (en) | Integrated intelligent inter/intra networking device | |
US20050220091A1 (en) | Secure remote mirroring | |
JP4594081B2 (ja) | 暗号化の一元集中管理システム | |
US20070058654A1 (en) | Arrangement and coupling device for securing data access | |
EP1290852A2 (en) | Distributed firewall system and method | |
JP4757088B2 (ja) | 中継装置 | |
JP4783665B2 (ja) | メールサーバ装置 | |
JP2006295401A (ja) | 中継装置 | |
JP2007019633A (ja) | 中継コネクタ装置及び半導体回路装置 | |
KR20090032072A (ko) | 중계장치 | |
JP2007019632A (ja) | 通信ボード装置及び通信方法 | |
WO2004012386A1 (ja) | 暗号システムおよび暗号装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060419 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20080515 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20080515 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20081021 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20081021 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090908 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091201 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100223 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100928 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101020 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131029 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |