JPWO2008026243A1 - データ暗号装置及びアドレス解決方法及びアドレス解決プログラム - Google Patents

データ暗号装置及びアドレス解決方法及びアドレス解決プログラム Download PDF

Info

Publication number
JPWO2008026243A1
JPWO2008026243A1 JP2008531902A JP2008531902A JPWO2008026243A1 JP WO2008026243 A1 JPWO2008026243 A1 JP WO2008026243A1 JP 2008531902 A JP2008531902 A JP 2008531902A JP 2008531902 A JP2008531902 A JP 2008531902A JP WO2008026243 A1 JPWO2008026243 A1 JP WO2008026243A1
Authority
JP
Japan
Prior art keywords
address
encryption
packet
processing unit
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008531902A
Other languages
English (en)
Inventor
規充 永嶋
規充 永嶋
忍 後沢
忍 後沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JPWO2008026243A1 publication Critical patent/JPWO2008026243A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

同一リンク上の端末装置間の通信において、ホップリミットをデクリメントせず、かつ、アドレス解決の内容を秘匿する。データ暗号装置100は、端末装置10からNSパケットを受信すると、SA、TA、LAを格納した後、SAを自己の論理アドレスに、LAを自己の物理アドレスに書き換える。データ暗号装置200は、受信したNSパケットのTAが自己のアドレスでない場合、そのまま中継する。端末装置20は、中継されたNSパケットのTAが自己の論理アドレスである場合、NSパケットのLAに自己の物理アドレスを格納し、NAパケットとしてデータ暗号装置200宛に送信する。データ暗号装置200は、NAパケットを暗号化してデータ暗号装置100に送信する。データ暗号装置100は、NAパケットを復号し、保持するアドレスに書き換えて、端末装置10宛に送信する。

Description

この発明は、端末装置が送信したパケットをネットワーク上で暗号化、復号することにより、データが盗聴されることを防ぐ、データ暗号装置、アドレス解決方法及びアドレス解決プログラムに関する。
図22は、インターネット320を介して端末装置の間で通信をする場合の例である。端末装置10はスイッチ30に接続され、端末装置350はスイッチ340に接続されている。スイッチ間にはルータ310、ルータ330が設置されている。端末装置10は、端末装置350にデータを送信する場合、Next Hopであるルータ310に対してパケットを送信する。ルータ310は、内部に保持しているルーティング情報を参照して受信したパケットをルータ330に転送する。ルータ330は、転送されたパケットを端末装置350に送信する。
IPv6では、暗号通信の際に使用するプロトコルの1つであるIPsec(IP Security Procotol)が標準機能となっている。このため、図22の端末装置10,端末装置350でデータを暗号化することは可能である。
しかし、暗号化により、ネットワーク管理者が端末装置の監視が困難になるため、企業ネットワークではネットワーク上に設置されたルータ310,ルータ330によってデータを暗号化、復号するケースが多くみられる。ルータによる暗号化では、同一リンク上に配置された端末間(端末装置10−端末装置20)の通信には暗号化は適用することができない。端末装置10,端末装置20が接続されたスイッチ30の下に、それぞれルータを導入することは可能である。しかし、ルータは異なるネットワーク間を接続するものであり、端末装置10,端末装置20のアドレス構成を変更しなければならないという課題がある。
同一リンク上の端末装置間の通信に暗号通信を導入する方法として、論文「“Transparent network Security Policy Enforcement”,USENIX,Freenix Track,Proceedings,pp.215−226.August 1997」(非特許文献1)がある。このデータ暗号装置は、後述する図1のように設置され、端末装置10と端末装置20との間に暗号通信を適用することが可能となる。端末装置10と端末装置20との間では、図23に示すように、通信に先立ち、通信相手の端末装置のアドレスを解決するため、アドレス問い合わせパケット(Neighbor Solicitation/Neighbor Advertisement)が送受信される。データ暗号装置は、アドレス解決応答(Neighbor Advertisement)パケット49を暗号化し、復号時にヘッダ内のHop Limitをデクリメントする。RFC(Request For Comment)では、Neighbor AdvertisementパケットのHop Limitは255でなければならないと決まっている。このため、Hop Limitがデクリメントされたパケットを受信した端末装置は、エラーパケットとしてこのパケットを廃棄する。このため、アドレス解決が完了せず、端末装置は通信できないという課題がある。
アドレス解決の問題を導入する方法として、論文「“A Repeater Encryption Unit for IPv4 and IPv6”,2005 13th IEEE International Conference on Network,Proceedings vol.1,pp.335−340.November 2005」(非特許文献2)がある。このデータ暗号装置は、上記と同様、図1のように設置される。データ暗号装置は、図24に示すように、「Neighbor Solicitation/Neighbor Advertisement」を含むネットワーク制御のためのパケットを暗号化せずに、平文のまま送信するため、アドレス解決の内容が解析されてしまうという課題がある。
「"Transparent network Security Policy Enforcement",USENIX,Freenix Track,Proceedings,pp.215−226.August 1997」 「"A Repeater Encryption Unit for IPv4 and IPv6",2005 13th IEEE International Conference on Network,Proceedings vol.1,pp.335−340.November 2005」
本発明は、同一リンク上の端末装置間の通信に暗号通信を適用する暗号装置において、Hop Limitが255であるというRFC規定に基づくアドレス解決を図り、かつ、アドレス解決の内容が解析されるのを防ぐことを目的とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部とを備え、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すHop Limitとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記Hop Limitをデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記Hop Limitの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すHop Limitとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記Hop Limitの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記Hop Limitの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のアドレス解決方法は、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のアドレス解決方法は、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のアドレス解決方法は、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記平文ポートは、
前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すHop Limitとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記Hop Limitをデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記Hop Limitの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すHop Limitとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記Hop Limitの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記Hop Limitの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とする。
この発明のアドレス解決プログラムは、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
記憶部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
(3)前記暗号ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
(4)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(5)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更する処理
(6)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定する処理
(3)前記平文ポートが、前記決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
(4)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定する処理
(5)暗号化を決定した場合には前記応答パケットを暗号化する処理
(6)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
この発明のアドレス解決プログラムは、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
(3)前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更する処理
(7)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理。
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号する処理
(3)復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
(4)前記平文ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定する処理
(6)前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化する処理
(7)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
この発明のアドレス解決プログラムは、
第1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定する処理
(3)前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すHop Limitとを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記Hop Limitをデクリメントすることなく維持する処理
(7)前記平文ポートが、前記Hop Limitの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
記憶部と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴とする。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すHop Limitとを含む暗号化されたアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号する処理
(3)復号した前記アドレス解決問い合わせパケットに含まれる前記Hop Limitの値をデクリメントすることなく維持する処理
(4)前記平文ポートが、前記Hop Limitの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定する処理
(6)暗号化を決定した場合には前記応答パケットを暗号化する処理
(7)前記暗号ポートが、前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
この発明により、同一リンク上の端末装置間の通信に暗号通信を適用する暗号装置において、Hop Limitが255であるというRFC規定に基づくアドレス解決を図り、かつ、アドレス解決の内容が解析されるのを防ぐことができる。
実施の形態1.
図1〜図12を使用して実施の形態1を説明する。実施の形態1は、アドレス解決処理において、データ暗号装置が、Neighbor Discovery パケットに含まれるアドレスを書き換える実施形態である。データ暗号装置は、アドレスを書き換えることにより、端末装置に代わりアドレス解決を実行する。これにより、データ暗号装置において、通信が一旦終端する。このため、Neighbor Discovery パケットに含まれるHop Limitのデクリメントは、発生せず、アドレス解決が可能となる。
図1は、実施の形態1におけるデータ暗号装置の接続されたシステムの構成を示す。端末装置10と端末装置20とは、データ暗号装置を介してスイッチ30に接続されている。端末装置350は、スイッチ340に接続されている。スイッチ間には、インターネット320を介して、ルータ310とルータ330とが設置されている。ルータ310とルータ330とはインターネット320に接続している。端末装置350はスイッチ340に接続しており、スイッチ340はルータ330に接続している。
データ暗号装置100は、端末装置10とスイッチ30との間に設置されている。データ暗号装置200は、端末装置20とスイッチ30との間に設置されている。データ暗号装置は、ルータ(レイヤ3)ではなくレイヤ2で動作する。このため、データ暗号装置の上流LAN(Local Area Network:暗号LAN50、暗号LAN60)及び下流LAN(平文LAN40、平文LAN70)のネットワークアドレス(リンクレイヤアドレス)は同一である。端末装置10、端末装置20、データ暗号装置100、及びデータ暗号装置200は同一リンク上に設置されており、端末装置10と端末装置20とは、ルータを介さずに通信することが可能である。
図2は、図1のシステムにおいて、データ暗号装置100とデータ暗号装置200との構成を示す図である。データ暗号装置100とデータ暗号装置200とは、同じ構成である。データ暗号装置100の構成を説明する。データ暗号装置100は、記憶部102と、平文ポート103と、暗号ポート104と、送受信制御部105と、プロトコル解析部106と、後述のSPD/SADを格納するSPD/SAD格納部107(暗号通信条件格納部)と、暗号化/復号部108(暗号処理部)と、NDアドレス解決処理部109とを備える。これらの構成要素の機能は以下の動作の説明で述べる。
図3は、実施の形態1におけるアドレス解決処理を示すシーケンス図である。図3では、それぞれのNSパケット(後述する)、NAパケット(後述する)に含まれるアドレスの内容を示している。図3、及び以下の説明において、
DAは、宛先アドレス(Destination Address)を示し、
SAは、送信元アドレス(Source Address)を示し、
TAは、ターゲットアドレス(Target Address)を示し、
LAは、リンクレイヤアドレス(Link Layer Address)を示す。
このうち、LAのみが物理アドレス(例えばMACアドレス)であり、他のアドレスは論理アドレス(例えばIPv6アドレス)である。例えば、NSパケット31において「SA:端末10」とあるのは、NSパケット31のSAが端末装置10のIPv6アドレスであることを示し、「LA:端末10」とあるのは、NSパケット31のLAが端末装置10のMACアドレスであることを示す。以下の説明で、「SAのアドレスが端末装置10」とあるのは、SAのアドレスが端末装置10のアドレスであることを意味する。そして、LAの場合は物理アドレスであり、LA以外のアドレスの場合は、論理アドレスである。図3を参照して、アドレス解決処理の動作を説明する。
(S31:端末装置10がNSパケット31を送信)
図3に示すように、端末装置10は、端末装置20にデータを送信するにあたり、端末装置20のリンクレイヤアドレス(物理アドレス)を取得するため、アドレス解決問い合わせ(Neighbor Solicitation)のための「Neighbor Solicitation パケット」(以下、NSパケットという。)を端末装置20宛に送信する(ステップS31)。
(S32:データ暗号装置100が平文ポート103からNSパケット32を受信)
データ暗号装置100の送受信制御部105は、平文ポート103を介して端末装置10からNSパケット31を受信する(ステップS32)。データ暗号装置100のプロトコル解析部106は、平文ポート103が受信したパケットを解析する。プロトコル解析部106による解析の結果、NSパケットである場合には、NDアドレス解決処理部109が、平文ポート103から受信したNSパケット31の処理を行う。平文ポート103からNSパケット31を受け取った際のNDアドレス解決処理部109による具体的な処理は、図5で後述する。
(NDパケットの説明)
ここで、図3の説明を続ける前に、図4を用いて「Neighbor Discovery(Solicitation及びAdvertisement)パケット」(以下、NDパケットという。)を説明する。「NDパケット」は、「Neighbor Solicitation パケット」(以下、NSパケットという)」あるいは、「Neighbor Advertisement パケット」(以下、NAパケットという)として通信される。NDパケットは、ターゲットアドレスを持つ端末装置に向かう時にはNSパケットであり、また、ターゲットアドレスを持つ端末装置から返信される場合にはNAパケットである。
図4は、「アドレス解決」に使用するNDパケットの構造を示している。NDパケットはIPv6ヘッダ及びNDデータから構成される。IPv6ヘッダは、(1)バージョン、(2)Class、(3)Flow labe、(4)ペイロード長、(5)次ヘッダ、(6)Hop Limit、(7)SA(Source Address)、(8)DA(Destination Address)の情報を含む。また、NDデータは、(1)Type、(2)Code、(3)チェックサム、(4)フラグ、(5)TA(Target Address)、(6)LA(Link Layer Address)の情報を含む。
(S32:データ暗号装置100が平文ポート103からNSパケット31を受信)
図5を参照して、データ暗号装置100の平文ポート103がNSパケットを受信した際の、NDアドレス解決処理部109による具体的な処理を説明する。図5は、データ暗号装置100が平文ポート103からNSパケットを受信した場合に、NDアドレス解決処理部109が実行する処理を示すフローチャートである。
図5において、S101、S102、S103、S104の一連のステップが、本実施の形態1に関する処理である。データ暗号装置100のNDアドレス解決処理部109は、受信したNSパケット31のTAが自局アドレスと一致するかをチェックする(ステップS101)。図3に示すように、NSパケット31のTAは端末装置20のためアドレスは一致しない。このため、NDアドレス解決処理部109は、NSパケット31に含まれるSA、TA、LAをデータ暗号装置100の記憶部102に保持する(ステップS102)。そして、NDアドレス解決処理部109は、NSパケット31のSAをデータ暗号装置100のIPv6アドレス(論理アドレス)に書き換え、及びLAをデータ暗号装置100のリンクレイヤアドレス(物理アドレス)に書き換える(ステップS103)。送受信制御部105は、SAとLAとが書き換えられたNSパケット32を暗号ポート104から送信する(ステップS104)。
図5のS105以降は、本実施の形態1の特徴を示すステップではないので簡単に説明する。端末装置10がデータ暗号装置100と通信する場合に送信するNSパケット(データ暗号装置100のリンクレイヤアドレスを要求するNSパケット)は、TAがデータ暗号装置100のIPv6アドレスである。よって、図5のステップS101において、アドレスが一致する。このため、データ暗号装置100は、S105以降の処理を実行する。この場合、データ暗号装置100は、データ暗号装置100のリンクレイヤアドレス(物理アドレス)を格納した「Neighbor Advertisement パケット」を生成し(ステップS105)、このNAパケットを平文ポート103及び暗号ポート104から送信する。暗号ポート104への送信に対しては、暗号通信の通信条件が設定されたSPD/SAD格納部107を参照する(ステップS107)。
(SPD、SADの説明)
図6は、SPD/SAD格納部107に保持されている、暗号通信条件を規定するSPD(Security Policy Database)の設定例を示す。また、図7は、SPD/SAD格納部107に保持されている、暗号通信の条件を規定するSAD(Security Association Database)の設定例を示す。図6に示すように、SPDは、送信元アドレス(SA)、宛先アドレス(DA)、プロトコル、処理種別、及び暗号化時のトンネルアドレスが設定される。NDアドレス解決処理部109は、SPDの示すアドレス及びプロトコルの条件に一致したパケットに対して、SPDの処理種別に従って、暗号中継、平文中継、廃棄のいずれかの処理をする。暗号中継の場合には、暗号化時のトンネルのアドレスが設定される。
図7に示すように、SADには、暗号通信のパラメータが設定され、SPDの処理種別が暗号中継の場合に参照する。SADは、トンネルアドレス、暗号プロトコル、SPI(Security Parameter Index)、暗号アルゴリズム、暗号鍵、ハッシュアルゴリズム、ハッシュ鍵といった情報を持つ。
図6に示すように、端末装置10から端末装置20宛のすべてのプロトコルのパケットは、暗号化される設定である。図7に示すように、トンネルのアドレスは、データ暗号装置100−データ暗号装置200である。データ暗号装置100−データ暗号装置200の暗号通信には、ESPを用いる。
図7に示すように、SADは、
SPI:0x1111、
アルゴリズム:DES、
暗号鍵1122334455、
ハッシュアルゴリズム:HMAC−SHA1、
ハッシュ鍵1122334455
を使用する設定である。
(S33:データ暗号装置200が暗号ポートからNSパケットを受信)
図3を参照して説明を続ける。データ暗号装置200は、データ暗号装置100が送信したNSパケット32を暗号ポート204から受信する(S33)。プロトコル解析部206が、このパケットを解析する。プロトコル解析部206による解析の結果、NSパケットである場合には、NDアドレス解決処理部209が、平文ポート203から受信したNSパケット32の処理を行う。
図8は、データ暗号装置200が暗号ポート204からNSパケット32を受信した場合に、NDアドレス解決処理部209が実行する処理を示すフローチャートである。図8を参照して説明する。S131、S132が本実施の形態1に関するステップである。まず、NDアドレス解決処理部209は、受信したNSパケット32のTAが自局アドレスと一致するかをチェックする(ステップS131)。図3に示すように、NSパケット32のTAは端末装置20のため、アドレスは一致しない。よって、NDアドレス解決処理部209は、アドレスは一致しないと判断する(S131のNo)。この場合、NDアドレス解決処理部209は、送受信制御部205を用いて、受信したNSパケット32をNSパケット33として平文ポート203から送信させる(ステップS132)。
図8のS133以降は、本実施の形態1の特徴を示すステップではないので簡単に説明する。データ暗号装置200に対するアドレス解決(データ暗号装置200のリンクレイヤアドレスを要求するNSパケット)の場合は、図8のステップS131においてアドレスが一致する。このため、データ暗号装置200は、自己のリンクレイヤアドレスを格納したNAパケットを生成し、平文ポート203及び暗号ポート204から送信する。手順は、図5のS106以降と同様である。この場合、データ暗号装置200から端末装置10へのNAパケットはSPDの条件には一致しない。このため、このNAパケットは、平文のまま暗号ポート204から送信される。
(S34:端末装置20の動作)
図3に示すように、端末装置20は、データ暗号装置200が送信したNSパケット33を受信する(S34)。端末装置20は、NSパケット33内のターゲットアドレスTAと自身のアドレス(IPv6アドレス)が一致するため、リンクレイヤアドレス部分に端末装置20のMACアドレス(物理アドレス)を格納する。また、端末装置20は、「宛先アドレスDA:データ暗号装置100」、及び「送信元アドレスSA:端末装置20」を含むNAパケット34をNSパケット33に応答する応答パケットとしてデータ暗号装置100宛に送信する。
(S35:データ暗号装置200が平文ポート203からNAパケット34を受信)
データ暗号装置200は、端末装置20が送信したNAパケット34を平文ポート203から受信する(ステップS35)。プロトコル解析部206がパケットを解析する。プロトコル解析部206による解析の結果、NAパケットの場合は、NDアドレス解決処理部209が、平文ポート203から受信したNAパケット34に対する処理を行う。
図9は、データ暗号装置200が平文ポート203からNAパケット34を受信した場合に、NDアドレス解決処理部209が実行する処理を示すフローチャートである。図9を参照して説明する。S121〜S124が本実施の形態1に関するステップである。まず、NDアドレス解決処理部209は、NAパケット34の宛先アドレスDAが自局アドレス(IPv6アドレス)と一致するかをチェックする(ステップS121)。図3に示すように、NAパケット34の宛先アドレスDAはデータ暗号装置100であり、アドレスは一致しない。この場合、NDアドレス解決処理部209は、SPD/SADを参照し、パケットを暗号化するかどうかを判定する(ステップS122)。図6に示したように、SPDは、端末装置20とデータ暗号装置100との間で通信されるパケットを暗号化する設定である。このため、NDアドレス解決処理部209は、暗号化と判定する(S122,S123)。NDアドレス解決処理部209の判定に従って、暗号化/復号部208が、SADに設定されている暗号アルゴリズム、暗号鍵、ハッシュアルゴリズム、ハッシュ鍵を用いてNAパケット34を暗号化する(ステップS123)。送受信制御部205は、暗号化されたNAパケット34をNAパケット35(暗号化応答パケット)として暗号ポート204から送信する(ステップS124)。
図9のステップS127は、本実施の形態1の特徴を示すステップではないので簡単に説明する。データ暗号装置200と端末装置20とが通信する場合など、データ暗号装置200からNSパケットを送信した場合、このNSパケットに対する応答であるNAパケットをデータ暗号装置200が受信した場合には、DAはデータ暗号装置200のアドレスに一致する。この場合、データ暗号装置200は、このNAパケット内のターゲットアドレスTA,リンクレイヤアドレスLAをNeighbor Cacheに登録する(ステップS127)。
(S36:データ暗号装置100が暗号ポート104からNAパケット35を受信)
データ暗号装置100は、データ暗号装置200が送信した暗号化されているNAパケット35を受信する(ステップS36)。
図10は、データ暗号装置100が暗号ポート204からNAパケット35を受信した場合に、NDアドレス解決処理部109が実行する処理を示すフローチャートである。図10を参照して説明する。S141〜S147が本実施の形態1に関するステップである。
図10のフローにしたがって、暗号化/復号部108が、暗号化されているNAパケット35を復号する(ステップS141、S142)。次に、NDアドレス解決処理部109は、復号されたNAパケット35の宛先アドレスDAが自局アドレスと一致するかをチェックする(ステップS143)。図3に示すように、NAパケット35は、データ暗号装置100が送信元アドレスSAとリンクレイヤアドレスLAとを自己のアドレスに書き換えたNSパケット32に対する応答である。このため、宛先アドレスDAは自局アドレスと一致する(S143のYes)。次に、NDアドレス解決処理部109は、ターゲットアドレスTA,リンクレイヤアドレスLAを「Neighbor Cache」に登録する(ステップS144)。そして、NDアドレス解決処理部109は、先に保持しているターゲットアドレスTAの情報(図5のS102)と、受信したNAパケット35のターゲットアドレスTAとが一致するため、復号したNAパケット35の宛先アドレスDAを端末装置10に変更する(ステップS145、S146)。このNAパケット35は、NAパケット36として平文ポート103から送信される(ステップS147)。
このとき、データ暗号装置100のNDアドレス解決処理部109は、NAパケット36の「Hop Limit」を、255に設定して端末装置10に送信する。
(S37:端末装置10)
端末装置10は、NAパケット36を受信する(ステップS137)。端末装置10は、NAパケット36の「Hop Limit」が255であるため正常パケットと判断し、NAパケット36から端末装置20のリンクレイヤアドレス(MACアドレス)を取り出す。これにより、アドレス解決が完了する。
(アドレス解決後の端末装置間のデータ通信)
図11、図12は、アドレス解決後の端末装置間のデータ通信のフローチャートを示す。図3に示すように、端末装置10は、取得した端末装置20のリンクレイヤアドレスを用いて、端末装置20宛のデータ37を送信する。以降は、以下の手順で、端末装置10と端末装置20とが、データ暗号装置100,データ暗号装置200を介して暗号通信を行う。データ37を受信したデータ暗号装置100は、図11の処理を行う。データ暗号装置100は、SPD/SADに設定された暗号条件によりパケットを暗号化して、暗号ポート104から送信する(ステップS151、S152、S153)。暗号化されたデータ38を受信したデータ暗号装置200は、図12の処理を行う。データ暗号装置200は、データ38を復号し(S161、S162)、復号後のパケットに対してSPD/SADを参照し、暗号化の場合に平文ポート203から送信する(ステップS165)。
以上のように、データ暗号装置は、端末装置が送信したND問い合わせパケット(NSパケット)のアドレスを書き換え、端末装置の代わりにアドレス解決を代行する。このため、アドレス解決は一旦、データ暗号装置で終端し、その後に端末装置にアドレス解決結果が通知されることなる。よって、パケットのHop Limitのデクリメントによるアドレス解決の失敗を防ぐことが可能となる。
以上の実施の形態1では、データ暗号装置100が、アドレスを書き換えた。
すなわち、
(1)データ暗号装置100は、端末装置10からNSパケットを受信した場合、SA、TA、LAを記憶部102に格納した後、SA、LAを次のように書き換え、NSパケットをマルチキャストアドレス送信する。データ暗号装置100は、SA(端末装置10のIPv6アドレス)をデータ暗号装置100のIPv6アドレスに書き換え、LA(送信元MACアドレス)をデータ暗号装置100のMACアドレスに書き換える。
(2)データ暗号装置200は、受信したNSパケットのTAが自己のアドレスと一致しない場合は、受信したNSパケットをそのまま中継する。
(3)端末装置20は、受信したNSパケットのTAが自己のIPv6アドレスと一致するので、受信したNSパケットのLAに自己のMACアドレスを格納し、NAパケットとしてデータ暗号装置200宛に送信する。
(3)NAパケットを受信したデータ暗号装置200は、暗号通信条件SPDを参照し、参照結果に基づき、NAパケットを暗号化してデータ暗号装置100に送信する。
(4)データ暗号装置100は、暗号化されたNAパケットを復号し、保持していたアドレスに書き換えて、端末装置10宛に送信する。
(5)以上のように、データ暗号装置100がNDアドレスを書き換え、端末装置10の代わりにアドレス解決を実行する。これにより、通信がデータ暗号装置100で一旦終端した後に、実行結果を端末装置10に通知するため、Hop Limitのデクリメントが発生せず、アドレス解決が可能となる。
実施の形態2.
図13〜図16を使用して実施の形態2を説明する。実施の形態2は、実施の形態1に対して、データ暗号装置100がNSパケット31を暗号化し、暗号化したNSパケット31をNSパケット43としてデータ暗号装置200に送信する実施形態である。実施の形態2ではNSパケットを暗号化するので、セキュリティを向上することができる。
実施の形態2のシステム構成及びデータ暗号装置の構成は、実施の形態1と同じである。
図13は、実施の形態2におけるアドレス解決処理を示すシーケンス図である。図13を参照して、実施の形態2におけるアドレス解決処理の動作を説明する。図13は、図3に対応する。図13は、図3に対して破線で囲まれたS43、S44、S45、S46のステップの処理内容が異なる。端末装置10が端末装置20にデータを送信するにあたり、端末装置20のリンクレイヤアドレスを取得するため、アドレス解決問い合わせパケット(NSパケット31)を端末装置20宛に送信するのは実施形態1と同様である。
(S43:データ暗号装置100がNSパケット31を受信)
図13のS31は、図3のS31と同じである。データ暗号装置100の送受信制御部105は、図3と同様に、平文ポート103を介してNSパケット31を受信する(S43)。プロトコル解析部106が、受信したパケットを解析する。プロトコル解析部106による解析の結果、NSパケットである場合には、NDアドレス解決処理部109が、平文ポート103が受信したNSパケット31の処理を行う。
図14は、実施の形態2において、データ暗号装置100が平文ポート103からNSパケット31を受信した場合に、NDアドレス解決処理部109が実行する処理を示すフローチャートである。図14を参照して説明する。S171〜S177が本実施の形態2に関するステップである。
まず、NDアドレス解決処理部109は、受信したNSパケット31のTAが自局アドレスと一致するかをチェックする(ステップS171)。図13に示すように、NSパケット31のTAは端末装置20である。よって一致せず(S171のNo)、NDアドレス解決処理部109は、NSパケット31内のSA、TA、LAをデータ暗号装置100の記憶部102に保持する(ステップS172)。そして、NDアドレス解決処理部109は、NSパケット31のSA(端末装置10)及びTA(端末装置20)を用いて、SPD/SADを検索する(ステップS173)。SPDは、図6のように、端末装置10−端末装置20の通信を暗号化する設定である。よって、NDアドレス解決処理部109は、パケットの暗号化を決定する。NDアドレス解決処理部109は、NSパケット31のSAを自己(データ暗号装置100)のIPv6アドレスに書き換え、また、LAを自己(データ暗号装置100)のリンクレイヤアドレスに書き換える(ステップS175)。そして、暗号化/復号部108がNDアドレス解決処理部109の決定に従って、SAとLAとが書き換えられたNSパケット31を暗号化する(ステップS176)。NDアドレス解決処理部109は、暗号化されたNSパケットの宛先にデータ暗号装置200を設定する。送受信制御部105は、暗号化されたNSパケットをNSパケット43として、暗号ポート104から送信する(ステップS177)。
(S44:データ暗号装置200が暗号ポート204からNSパケット43を受信)
データ暗号装置200は、暗号ポート204から暗号化されたNSパケット43を受信する(ステップS44)。
図15は、データ暗号装置200が暗号ポート204からNSパケット43を受信した場合に、NDアドレス解決処理部209が実行する処理を示すフローチャートである。図15を参照して説明する。S201〜S206が本実施の形態2に関するステップである。S44の内容を図15を用いて説明する。
データ暗号装置200は、データ暗号装置100が送信した暗号化されたNSパケット43を暗号ポート204から受信する。暗号化/復号部208は、受信されたNSパケット43を復号する(ステップS201、S202)。次に、NDアドレス解決処理部209は、復号されたNSパケット43のTAが自局アドレスと一致するかをチェックする(ステップS203)。図13に示すように、NSパケット43のTAは端末装置20のため一致しない(S203のNo)。このため、NDアドレス解決処理部209は、NSパケット43内のSA、TA、LAをデータ暗号装置200の記憶部202に保持する(ステップS204)。NDアドレス解決処理部209は、NSパケット43のSAをデータ暗号装置200のIPv6アドレスに書き換え、LAをデータ暗号装置200のリンクレイヤアドレスに書き換える(ステップS205)。送受信制御部205は、このアドレスが書き換えられたNSパケットをNSパケット44として平文ポート203から送信する(ステップS206)。
(S45:端末装置20がNSパケット44を受信)
端末装置20は、NSパケット44を受信する(S45)。データ暗号装置200が送信したNSパケット44を受信した端末装置20は、実施の形態1と同様に、NSパケット44の内容を書き換え、NSパケット44に応答するNAパケット45(応答パケット)としてデータ暗号装置200に送信する。すなわち、データ暗号装置200が送信するNSパケット44において、DAはマルチキャストであり、SAはデータ暗号装置200であり、TAは端末20であり、LAはデータ暗号装置200である。図13に示すように、端末装置20は、DAをデータ暗号装置200に書き換え、SAを自己のアドレスに書き換え、LAを自己の物理アドレスに書き換え、データ暗号装置200に送信する。
(S46:データ暗号装置200が平文ポート203からNAパケット45を受信)
データ暗号装置200は、端末装置20が送信したNAパケット45を平文ポート203から受信する(S46)。プロトコル解析部206は、受信したパケットを解析する。NDアドレス解決処理部209は、プロトコル解析部206による解析の結果、パケットがNAパケットの場合、平文ポート203から受信したNAパケット45に対する処理を行う。
図16は、データ暗号装置200が平文ポート203からNAパケット45を受信した場合に、NDアドレス解決処理部209が実行する処理を示すフローチャートである。図16を参照して説明する。S191〜S197が本実施の形態2に関するステップである。
図13に示すように、NAパケット45のDAはデータ暗号装置200のため(S191のYes)、NDアドレス解決処理部209は、TA,LAをNeighbor Cacheに登録する(ステップS192)。NDアドレス解決処理部209は、先に保持している(図15のS204)TAの情報と受信したNAパケット45のTAとが一致するため(S193のYes)、NAパケット45のDAを、データ暗号装置100に変更する(ステップS193、S194)。次に、NDアドレス解決処理部209は、DA(データ暗号装置100)及びSA(端末装置20)を用いて、SPD/SADを検索し、パケットを暗号化するかどうかを判定する(ステップS195)。SPDには図6のように、端末装置20とデータ暗号装置100との間の通信を暗号化するよう設定されている。よって、NDアドレス解決処理部209は、パケットの暗号化を決定する(S195の暗号化)。暗号化/復号部208は、NDアドレス解決処理部209の決定に従って、DAを変更したNAパケットを暗号化(ステップS196)する。図13に示すように、送受信制御部205は、暗号化されたNAパケットをNAパケット35(暗号化応答パケット)として暗号ポート204から送信する(ステップS197)。
(S36:データ暗号装置100が暗号ポート104からNAパケット35を受信)
データ暗号装置100が、データ暗号装置200の送信したNAパケット35を暗号ポート104から受信した場合の処理は、実施の形態1の図10と同様である。データ暗号装置100は、NAパケット35を復号後、NAパケット35のDAを端末装置10のIPvアドレスに変更し(ステップS146)、「Hop Limit255」のNAパケット36を平文ポート103から送信する(ステップS147)。アドレス解決が完了した後において、端末装置10が端末装置20にデータを送信する際の動作は、実施の形態1の図11、図12と同様である。
以上のように、データ暗号装置が端末の代わりにアドレス解決を代行するだけでなく、NSパケット内のSAとTAとを用いてSPD/SADを検索してNSパケットを暗号化して送信する。これより、アドレス問い合わせの内容が秘匿され、パケットのHop Limitのデクリメントによるアドレス解決の失敗を防ぐとともに、セキュリティの向上を図ることができる。
以上の実施の形態2では、データ暗号装置100がNSパケットを暗号化した。すなわち、データ暗号装置100は、SA、TAの情報をもとに暗号通信条件SPDを参照し、NSパケットを暗号化し、データ暗号装置200のアドレスを宛先に付与してデータ暗号装置に送信する。この場合、マルチキャストアドレスは使用しない。データ暗号装置200は、暗号化されたNSパケットを復号しNSパケットを取り出し、マルチキャスト宛に送信する。このようにNSパケットも暗号化するのでセキュリティを向上することができる。
実施の形態3.
図17〜図20を使用して実施の形態3を説明する。実施の形態2では、データ暗号装置100が、実施の形態1のNSパケット32に相当するパケットを暗号化し、NSパケット43として送信した。実施の形態3は、データ暗号装置100が、端末装置10の送信したNSパケット31を暗号化する実施形態である。このようにNSパケットを暗号化するので、実施の形態2と同様に、セキュリティを向上することができる。
実施の形態3のシステム構成及びデータ暗号装置の構成は、実施の形態1と同じである。
図17は、実施の形態3におけるアドレス解決処理を示すシーケンス図である。図17は、図3に対応する。図17を参照して、実施の形態3におけるアドレス解決処理の動作を説明する。図17は、図3に対して、破線で囲まれたS47、S48、S49、S50、S51のステップの処理内容が異なる。なおS50は、実施の形態1に対してNAパケットの内容が異なり、後述のように処理のフローは同様である。図17を参照して、実施の形態3におけるアドレス解決処理の動作を説明する。
端末装置10が端末装置20にデータを送信するにあたり、端末装置20のリンクレイヤアドレスを取得するため、端末装置10がアドレス解決問い合わせパケット(NSパケット31)を端末装置20宛に送信するのは実施形態1と同様である。
(S47:データ暗号装置100がNSパケット31を受信)
端末装置10は、NSパケット31を送信する(S31)。データ暗号装置100の送受信制御部105は、平文ポート103を介してNSパケット31を受信する(S47)。プロトコル解析部106が、受信したパケットを解析する。プロトコル解析部106による解析の結果、NSパケットである場合には、NDアドレス解決処理部109が、平文ポート103から受信したNSパケット31の処理を行う。
図18は、データ暗号装置100が平文ポート103からNSパケット31を受信した場合に、NDアドレス解決処理部109が実行する処理を示すフローチャートである。図18を参照して説明する。S221〜S225が本実施の形態3に関するステップである。
NDアドレス解決処理部109は、受信したNSパケット31のTAが自局アドレスと一致するかをチェックする(ステップS221)。図17に示すように、NSパケット31のTAは端末装置20のためアドレスは一致しない(S221のNo)。NDアドレス解決処理部109は、NSパケット31のSA(端末装置10)及びTA(端末装置20)を用いてSPD/SADを検索し、パケットを暗号化するかどうかを判定する(ステップS222)。この場合、NDアドレス解決処理部109は、SPD/SADの設定にしたがって、NSパケット31を暗号化することを決定する(ステップS223の暗号化)。そして、暗号化/復号部108が、NSパケット31を暗号化する(ステップS224)。NDアドレス解決処理部109は、暗号化されたNSパケット31の宛先にデータ暗号装置200のアドレスを設定する。送受信制御部105が、暗号化されたパケットをNSパケット46として暗号ポート104から送信する(ステップS225)。
(S48:データ暗号装置200が暗号ポート204からNSパケット46を受信)
データ暗号装置200は、暗号ポート204からNSパケット46を受信する(ステップS48)。図19は、データ暗号装置200が暗号ポート204からNSパケット46を受信した場合に、NDアドレス解決処理部209が実行する処理を示すフローチャートである。図19を参照して説明する。S241〜S245が本実施の形態3に関するステップである。S48の内容を図19を用いて説明する。
データ暗号装置200は、データ暗号装置100が送信した暗号化されたNSパケット46を暗号ポート204から受信する。データ暗号装置200は、図19のフローにしたがって、暗号化/復号部208がNSパケット46を復号する(ステップS241,S242)。次に、NDアドレス解決処理部209は、復号されたNSパケット46のTAが自局アドレスと一致するかをチェックする(ステップS243)。図17に示すように、NSパケット46のTAは端末装置20のため一致しない。この場合、NDアドレス解決処理部209は、ヘッダ内のHop Limitをデクリメントせずに255の値に維持する(ステップS244)。送受信制御部205は、復号されたNSパケット46をNSパケット47として、平文ポート203から送信する(ステップS245)。
(S49:端末装置20)
端末装置20は、データ暗号装置200が送信したNSパケット47を受信し、受信したNSパケット47のアドレスを書き換えて、NAパケット48として端末装置10宛に送信する(S49)。すなわち、端末装置20が受信するNSパケット47において、DAはマルチキャストであり、SAは端末10であり、TAは端末20であり、LAは端末10である。図17に示すように、端末装置20は、DAを端末10に書き換え、SAを自己のアドレスに書き換え、LAを自己の物理アドレスに書き換える。端末装置20は、アドレスを書き換えたパケットをNAパケット48として端末装置10宛に送信する。
(S50:データ暗号装置200が平文ポートからNAパケット48を受信)
端末装置20が送信したNAパケット48を平文ポート203から受信したデータ暗号装置200の処理は、実施の形態1の図9と同様である。すなわち、データ暗号装置200は、SPD/SADを参照し(S122)、SPD/SADの設定に従ってNAパケット48を暗号化し、暗号化したNAパケット48をNAパケット49としてデータ暗号装置100宛に送信する。
(S51:データ暗号装置100が暗号ポート104からNAパケット49を受信)
図17に示すように、データ暗号装置100は、暗号ポート204からNAパケット49を受信する(ステップS51)。
図20は、データ暗号装置100が暗号ポート104からNAパケット49を受信した場合に、NDアドレス解決処理部109が実行する処理を示すフローチャートである。図20を参照して説明する。S261〜S265が本実施の形態3に関するステップである。S51の内容を図20を用いて説明する。
データ暗号装置200が送信した暗号化されたNAパケット49を受信したデータ暗号装置100は、図20に従って処理を行う。暗号化/復号部108がNAパケット49を復号する(ステップS261、S262)。次に、NDアドレス解決処理部109が、復号されたNAパケット49のDAが自局アドレスと一致するかをチェックする(ステップS263)。図17に示すように、NAパケット49のDAは端末装置10のため一致しない。この場合、NDアドレス解決処理部109は、ヘッダ内のHop LimitをデクリメントせずにHop Limit=255に維持する(ステップS264)。送受信制御部105は、復号されたNAパケット49をNAパケット36として平文ポート103から送信する(ステップS265)
以上のように、データ暗号装置が「NSパケット」及び「NAパケット」を暗号化して送信するとともに、復号時にヘッダ内のHop Limitをデクリメントせずに中継する。これにより、パケットのHop Limitのデクリメントによるアドレス解決の失敗を防ぎ、かつ、アドレス解決情報を秘匿することが可能となり、セキュリティ向上を図ることができる
実施の形態4.
次に実施の形態4を説明する。実施の形態4は、データ暗号装置の一連の動作を、アドレス解決方法、アドレス解決プログラムとして把握した場合の実施形態である。
以上の実施の形態1〜実施の形態3では、データ暗号装置について説明した。実施の形態1〜実施の形態3のデータ暗号装置の暗号化/復号部やNDアドレス解決処理部等の構成要素の一連の動作は互いに関連しており、この一連の動作を、データ暗号装置が行うアドレス解決方法として把握することも可能である。また、これらの一連の動作をコンピュータに実行させる処理として把握することで、コンピュータに実行させるアドレス解決プログラムとして把握することができる。
図21は、コンピュータであるデータ暗号装置のハードウェア資源の一例を示す図である。なお端末装置もコンピュータであり、ハードウェア資源は、データ暗号装置と同様である。
図21において、データ暗号装置は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM811(Read Only Memory)、RAM812(Random Access Memory)、通信ボード816、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM812は、揮発性メモリの一例であり、ROM811、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。ROM811には、データ暗号装置のMACアドレス(物理アドレス)が格納されている。
通信ボード816は、スイッチあるいは端末装置との間で通信を行う。
磁気ディスク装置820には、オペレーティングシステム821(OS)、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821により実行される。
上記プログラム群823には、以上の実施の形態1〜実施の形態3の説明において「〜部」として述べた機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
ファイル群824には、SPD/SAD、あるいは前述したSA、TA、LA等のアドレス情報、及びデータ暗号装置の論理アドレスなどが格納されている。また、ファイル群824には、上記の実施の形態で述べた「〜の判定結果」、「〜の決定結果」、「〜の抽出結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以上で述べた実施の形態の説明において「〜部」として説明したものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上の説明で述べた「〜部」としてコンピュータを機能させるものである
以上のように、アドレス解決方法、アドレス解決プログラムは、端末装置が送信したND問い合わせパケット(NSパケット)のアドレスを書き換え、端末装置の代わりにアドレス解決を代行する。このため、アドレス解決は一旦、データ暗号装置で終端し、その後に端末装置にアドレス解決結果が通知されることなる。よって、パケットのHop Limitのデクリメントによるアドレス解決の失敗を防ぐことが可能となる。また、データ暗号装置が「NAパケット」だけでなく、「NSパケット」をも暗号化して送信するので、アドレス解決情報を秘匿することが可能となり、セキュリティ向上を図ることができる
実施の形態1におけるシステム構成を示す図。 実施の形態1におけるデータ暗号装置の構成を示す図。 実施の形態1におけるアドレス解決の動作を示すシーケンス図。 実施の形態1におけるNDパケットの構成を示す図。 実施の形態1における平文ポートからNSパケットを受信した際のフローチャート。 実施の形態1におけるSPDを示す図。 実施の形態1におけるSADを示す図。 実施の形態1における暗号ポートからNSパケットを受信した際のフローチャート。 実施の形態1における平文ポートからNAパケットを受信した際のフローチャート。 実施の形態1における暗号ポートからNAパケットを受信した際のフローチャート。 実施の形態1における平文ポートからデータを受信した際のフローチャート。 実施の形態1における暗号ポートからデータを受信した際のフローチャート。 実施の形態2におけるアドレス解決の動作を示すシーケンス図。 実施の形態2における平文ポートからNSパケットを受信した際のフローチャート。 実施の形態2における暗号ポートからNSパケットを受信した際のフローチャート。 実施の形態2における平文ポートからNAパケットを受信した際のフローチャート。 実施の形態3におけるアドレス解決の動作を示すシーケンス図。 実施の形態3における平文ポートからNSパケットを受信した際のフローチャート。 実施の形態3における暗号ポートからNSパケットを受信した際のフローチャート。 実施の形態3における暗号ポートからNAパケットを受信した際のフローチャート。 実施の形態4におけるデータ暗号装置のハードウェア構成の一例を示す図。 従来例を示す図。 従来例を示す図。 従来例を示す図。
符号の説明
10 端末装置、20 端末装置、30 スイッチ、31,32,33 NSパケット、34,35,36 NAパケット、40 平文LAN、43,44 NSパケット、45 NAパケット、46,47 NSパケット、48,49 NAパケット、50 暗号LAN、60 暗号LAN、70 平文LAN、100 データ暗号装置、102 記憶部、103 平文ポート、104 暗号ポート、105 送受信制御部、106 プロトコル解析部、107 SPD/SAD格納部、108 暗号化/復号部、109 NDアドレス解決処理部、200 データ暗号装置、202 記憶部、203 平文ポート、204 暗号ポート、205 送受信制御部、206 プロトコル解析部、207 SPD/SAD格納部、208 暗号化/復号部、209 NDアドレス解決処理部、310 ルータ、320 インターネット、330 ルータ、340 スイッチ、350 端末装置。

Claims (18)

  1. データを暗号化するデータ暗号装置において、
    第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部とを備え、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記暗号ポートは、
    前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
    前記平文ポートは、
    前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするデータ暗号装置。
  2. データを暗号化するデータ暗号装置において、
    端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備え、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定し、
    前記平文ポートは、
    前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするデータ暗号装置。
  3. データを暗号化するデータ暗号装置において、
    第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備え、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記暗号処理部は、
    前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
    前記平文ポートは、
    前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするデータ暗号装置。
  4. データを暗号化するデータ暗号装置において、
    端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備え、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記平文ポートは、
    前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするデータ暗号装置。
  5. データを暗号化するデータ暗号装置において、
    第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備え、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すホップリミットとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記ホップリミットをデクリメントすることなく維持し、
    前記平文ポートは、
    前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするデータ暗号装置。
  6. データを暗号化するデータ暗号装置において、
    端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備え、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すホップリミットとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
    前記暗号処理部は、
    前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記ホップリミットの値をデクリメントすることなく維持し、
    前記平文ポートは、
    前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするデータ暗号装置。
  7. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と
    を備えたデータ暗号装置が行うアドレス解決方法において、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記暗号ポートは、
    前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
    前記平文ポートは、
    前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするアドレス解決方法。
  8. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたデータ暗号装置が行うアドレス解決方法において、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定し、
    前記平文ポートは、
    前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするアドレス解決方法。
  9. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたデータ暗号装置が行うアドレス解決方法において、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記暗号処理部は、
    前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更し、
    前記平文ポートは、
    前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするアドレス解決方法。
  10. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたデータ暗号装置が行うアドレス解決方法において、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換え、
    前記平文ポートは、
    前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするアドレス解決方法。
  11. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたデータ暗号装置が実行するアドレス解決方法において、
    前記平文ポートは、
    前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すホップリミットとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
    前記暗号処理部は、
    前記暗号ポートが受信した前記暗号化応答パケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記ホップリミットをデクリメントすることなく維持し、
    前記平文ポートは、
    前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信することを特徴とするアドレス解決方法。
  12. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    アドレス解決処理部と、
    暗号処理部と、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたデータ暗号装置が実行するアドレス解決方法において、
    前記暗号ポートは、
    前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すホップリミットとを含む暗号化されたアドレス解決問い合わせパケットを受信し、
    前記暗号処理部は、
    前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号し、
    前記アドレス解決処理部は、
    前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記ホップリミットの値をデクリメントすることなく維持し、
    前記平文ポートは、
    前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信し、
    前記アドレス解決処理部は、
    前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定し、
    前記暗号処理部は、
    前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化し、
    前記暗号ポートは、
    前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信することを特徴とするアドレス解決方法。
  13. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    記憶部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム。
    (1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
    (2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
    (3)前記暗号ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
    (4)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
    (5)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更する処理
    (6)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理
  14. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム
    (1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
    (2)前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲットアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケットを前記平文ポートから送信することを決定する処理
    (3)前記平文ポートが、前記決定に従って前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
    (4)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定する処理
    (5)暗号化を決定した場合には前記応答パケットを暗号化する処理
    (6)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
  15. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム
    (1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
    (2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて前記アドレス解決問い合わせパケットを暗号化するかどうかを決定し、暗号化することを決定した場合には、前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
    (3)前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決問い合わせパケットを暗号化する処理
    (4)前記暗号ポートが、暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
    (5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
    (6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号化応答パケットの前記宛先アドレスを自己の装置のアドレスから前記第1の端末装置のアドレスに変更する処理
    (7)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理。
  16. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム
    (1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスとを含む暗号化されたアドレス解決問い合わせパケットを受信する処理
    (2)前記暗号ポートが受信した暗号化された前記アドレス解決問い合わせパケットを復号する処理
    (3)復号した前記アドレス解決問い合わせパケットに含まれるアドレスをアドレス情報として前記記憶部に格納するとともに、復号した前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレスに書き換える処理
    (4)前記平文ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
    (5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のアドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納する前記暗号通信条件に基づき決定する処理
    (6)前記アドレス解決処理部が暗号化を決定した場合には前記応答パケットを暗号化する処理
    (7)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
  17. 第1の端末装置に接続した平文ポートと、
    他のデータ暗号装置に接続した暗号ポートと、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム
    (1)前記平文ポートが、前記第1の端末装置から、第2の端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記第2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
    (2)前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索することにより、前記アドレス解決問い合わせパケットを暗号化するかどうかを決定する処理
    (3)前記アドレス解決問い合わせパケットの暗号化を決定した場合には前記アドレス解決問い合わせパケットを暗号化する処理
    (4)前記暗号ポートが、暗号化した前記アドレス解決問い合わせパケットを前記他のデータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答する暗号化されたパケットであって宛先アドレスと自己の可能な中継回数を示すホップリミットとを含む暗号化応答パケットを前記他のデータ暗号装置から受信する処理
    (5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
    (6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記暗号化応答パケットに含まれる前記ホップリミットをデクリメントすることなく維持する処理
    (7)前記平文ポートが、前記ホップリミットの値を維持した復号後の前記暗号化応答パケットを前記第1の端末装置に送信する処理
  18. 端末装置と接続した平文ポートと、
    他のデータ暗号装置と接続した暗号ポートと、
    記憶部と、
    暗号通信条件を格納する暗号通信条件格納部と
    を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決プログラム
    (1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレスと、自己の可能な中継回数を示すホップリミットとを含む暗号化されたアドレス解決問い合わせパケットを受信する処理
    (2)前記暗号ポートの受信した暗号化された前記アドレス解決問い合わせパケットを復号する処理
    (3)復号した前記アドレス解決問い合わせパケットに含まれる前記ホップリミットの値をデクリメントすることなく維持する処理
    (4)前記平文ポートが、前記ホップリミットの値を維持した復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前記端末装置から受信する処理
    (5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスではない場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づいて、前記応答パケットを暗号化するかどうかを決定する処理
    (6)暗号化を決定した場合には前記応答パケットを暗号化する処理
    (7)前記暗号ポートが、前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送信する処理
JP2008531902A 2006-08-28 2006-08-28 データ暗号装置及びアドレス解決方法及びアドレス解決プログラム Pending JPWO2008026243A1 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2006/316887 WO2008026243A1 (fr) 2006-08-28 2006-08-28 Dispositif de cryptage de données, procédé et programme de résolution d'adresse

Publications (1)

Publication Number Publication Date
JPWO2008026243A1 true JPWO2008026243A1 (ja) 2010-01-14

Family

ID=39135535

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008531902A Pending JPWO2008026243A1 (ja) 2006-08-28 2006-08-28 データ暗号装置及びアドレス解決方法及びアドレス解決プログラム

Country Status (2)

Country Link
JP (1) JPWO2008026243A1 (ja)
WO (1) WO2008026243A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115996210B (zh) * 2023-03-23 2023-06-27 湖南盾神科技有限公司 一种源变模式的地址端口跳变方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07170280A (ja) * 1993-12-15 1995-07-04 Ricoh Co Ltd ローカルエリアネットワーク
JPH09252315A (ja) * 1996-03-14 1997-09-22 Mitsubishi Electric Corp 暗号通信システムおよび暗号装置
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
JP2002271417A (ja) * 2001-03-06 2002-09-20 Hitachi Cable Ltd トンネリング装置

Also Published As

Publication number Publication date
WO2008026243A1 (fr) 2008-03-06

Similar Documents

Publication Publication Date Title
US11057351B1 (en) System and method for session affinity in proxy media routing
US7948921B1 (en) Automatic network optimization
US6751728B1 (en) System and method of transmitting encrypted packets through a network access point
US7215667B1 (en) System and method for communicating IPSec tunnel packets with compressed inner headers
US7191331B2 (en) Detection of support for security protocol and address translation integration
US7436833B2 (en) Communication system, router, method of communication, method of routing, and computer program product
JP4766574B2 (ja) ネットワーク・アドレス・ポート変換器によって扱われるクライアントからの重複ソースの防止
US20070276958A1 (en) System, method and program for encryption during routing
JP4814489B2 (ja) 階層化ヘッダ付きのパケットの処理方法、システム及びコンピュータ製品
JP2005515664A (ja) モバイル通信ネットワークのための安全な伝送
KR20070053345A (ko) 라우팅 및 ip 보안프로토콜 통합 구조
US20070061485A1 (en) Network address selection
JP2016025658A (ja) インタレストリターン制御メッセージ
JP2006270894A (ja) ゲートウェイ装置、端末装置、通信システムおよびプログラム
EP2874376A1 (en) Method and system for information synchronization between cloud storage gateways, and cloud storage gateway
CN109981820B (zh) 一种报文转发方法及装置
CN107306198B (zh) 报文转发方法、设备和系统
US20100250731A1 (en) Systems and methods for application identification
US20060075137A1 (en) Information processing apparatus and receiving apparatus
JP4933286B2 (ja) 暗号化パケット通信システム
KR20090061253A (ko) 인터넷 프로토콜 보안 적용을 위한 유디피 기반의 터널링방법 및 상기 방법을 수행하는 시스템
US20240114013A1 (en) Packet processing method, client end device, server end device, and computer-readable medium
JP2008311939A (ja) ネットワーク通信機器
JPWO2008026243A1 (ja) データ暗号装置及びアドレス解決方法及びアドレス解決プログラム
US20180159798A1 (en) Packet relay apparatus and packet relay method