KR100976751B1 - 암호화의 일원 집중 관리 시스템 - Google Patents

암호화의 일원 집중 관리 시스템 Download PDF

Info

Publication number
KR100976751B1
KR100976751B1 KR1020047013926A KR20047013926A KR100976751B1 KR 100976751 B1 KR100976751 B1 KR 100976751B1 KR 1020047013926 A KR1020047013926 A KR 1020047013926A KR 20047013926 A KR20047013926 A KR 20047013926A KR 100976751 B1 KR100976751 B1 KR 100976751B1
Authority
KR
South Korea
Prior art keywords
encryption
data
communication
decryption
communication terminals
Prior art date
Application number
KR1020047013926A
Other languages
English (en)
Other versions
KR20040104487A (ko
Inventor
이자와마코토
나리타히로미쓰
오카모토아키라
Original Assignee
오니시스 그룹 엘.에이., 엘엘시
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오니시스 그룹 엘.에이., 엘엘시 filed Critical 오니시스 그룹 엘.에이., 엘엘시
Publication of KR20040104487A publication Critical patent/KR20040104487A/ko
Application granted granted Critical
Publication of KR100976751B1 publication Critical patent/KR100976751B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2838Distribution of signals within a home automation network, e.g. involving splitting/multiplexing signals to/from different paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L2012/284Home automation networks characterised by the type of medium used
    • H04L2012/2841Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

암호 처리 기능이 도입된 단말기와의 사이에 암호화에 의한 시큐리티를 종단(終端)하기 위해 암호화 처리 및 암호의 복호화 처리를 행하는 암호/복호 수단을 구비하여 암호 장치(1)를 구성하고, 이 암호 장치(1)와, 암호 통신을 행하는 복수대의 통신 단말기(2)~(9)와, 암호 통신에 필요한 각종 정보의 설정을 원격으로 통신 단말기(7)~(9) 및 암호 장치(1)에 대하여 행하는 매니저 단말기(12)를 접속하여 암호 시스템을 구성함으로써, 전용의 암호 소프트를 인스톨할 수 없는 단말기를 가지는 기업의 LAN 내에서도 암호를 이용할 수 있도록 하여, 그 LAN 내에서 종단된 암호화를 매니저 단말기(12)에 있어서 일원적으로 집중 관리할 수 있도록 한다.
암호화, 네트워크, 일원 집중 관리 시스템, 암호 장치.

Description

암호화의 일원 집중 관리 시스템 {CENTRALIZED ENCRYPTION MANAGEMENT SYSTEM}
본 발명은 암호화의 일원(一元) 집중 관리 시스템에 관한 것이며, 특히 네트워크 상에서 외부로부터 공격받는 것에 의한 정보의 도청이나 변조 등의 리스크를 저감하기 위해 정보의 암호화/복호화를 행하는 시스템에 사용하기에 바람직한 것이다.
퍼스널 컴퓨터(PC)를 스탠드 얼론으로 사용하는 경우는, PC 내부의 정보가 도용되거나, 변조되거나, 파괴되거나 할 위험성은 적다. 그러나, PC를 인터넷 등의 네트워크에 접속하면, 교환되는 정보는 많은 네트워크를 라우팅되어 가므로, 그 도중에 있어서 도청이나 변조 등이 행해질 위험성이 단번에 증대한다.
이 문제를 해결하기 위한 방법의 하나로서, 정보의 암호화가 있다. 즉, 송신측의 PC로 정보를 암호화하여 상대에게 보내어, 수신측의 PC로 이것을 복호화하여 이용한다. 이와 같이 하면, 네트워크의 도중에 정보가 도청되었다고 해도, 정보가 암호화되어 있으므로, 정보 자체를 볼 수 있을 가능성이 적게 된다. 또, 변조의 리스크도 저감된다.
그러나, 암호를 이용하기 위해는, 암호 통신하려고 하는 단말기의 모두에 전 용의 암호 소프트를 인스톨하고, 여러 가지 설정을 해야 한다. 예를 들면, 어떤 단말기와 어떤 단말기 사이에서는 암호 통신을 행하지만, 다른 단말기와의 사이에서는 암호 통신을 행하지 않는다는 등 암호 처리의 유무, 암호 통신을 행하는 경우에서의 암호화의 레벨, 암호화를 행하는 시간대, 암호 키 등, 매우 많은 정보를 개개의 단말기마다 설정해야 한다. 그러므로, 암호를 이용하기 위한 시스템을 구축하는데 다대한 노력을 필요로 한다고 하는 문제가 있었다.
본 발명은, 이와 같은 문제를 해결하기 위해 이루어진 것이며, 암호를 이용하기 위해 필요한 각 단말기에 대한 여러 가지 정보 설정을 간단하게 행할 수 있도록 하는 것을 목적으로 한다.
본 발명의 암호화의 일원 집중 관리 시스템은, 통신을 행하는 복수대의 통신 단말기와, 상기 복수대의 통신 단말기의 사이에 접속되고, 암호 처리 기능을 가지는 통신 단말기와의 사이에 암호화에 의한 시큐리티를 종단(終端)하기 위해 데이터의 암호화 처리 및 복호화 처리를 행하는 암호/복호 수단을 구비한 암호 장치와, 상기 암호 통신을 행하는데 필요한 각종 정보의 설정을, 네트워크를 통하여 원격으로 상기 통신 단말기 및 상기 암호 장치에 대하여 행하는 매니저 단말기를 구비하고, 상기 복수대의 통신 단말기(상기 암호 처리 기능을 가지는 통신 단말기는, 암호 소프트가 인스톨된 단말기 외에, 상기 암호 장치와 마찬가지의 기능을 가지는 다른 암호 장치를 포함함), 상기 매니저 단말기 및 상기 암호 장치를 유선 또는 무선의 네트워크에 의해 접속하여 구성한 것을 특징으로 한다.
본 발명의 다른 양태에서는, 상기 암호/복호 수단은, 상기 암호 처리 기능을 가지는 통신 단말기와의 사이에서는 암호화된 데이터의 통신을 행하는 동시에, 암호 처리 기능을 가지지 않는 통신 단말기와의 사이에서는 암호화되어 있지 않은 데이터의 통신을 행하기 위해 상기 암호화 처리 및 상기 복호화 처리를 행하는 것을 특징으로 한다.
본 발명의 다른 양태에서는, 상기 암호 장치는, 하나의 포트로부터 입력되어 상기 암호/복호 수단에 의해 암호화 처리 또는 복호화 처리가 행해진 데이터를, 라우팅 처리를 하지 않고 다른 포트에 그대로 출력하는 브리지(bridge) 수단을 포함하는 것을 특징으로 한다.
본 발명의 다른 양태에서는, 통신을 행하는 복수대의 통신 단말기와, 상기 복수대의 통신 단말기의 사이에 접속되고, 하나의 포트로부터 입력되어 물리층 및 데이터 링크층을 통하여 건네받은 데이터에 대하여 암호화 처리 또는 복호화 처리를 행하고, 이로써 얻어진 데이터를, 네트워크 사이의 라우팅 제어를 행하는 네트워크층에 건네주지 않고 데이터 링크층 및 물리층을 통하여 다른 포트로부터 출력하는 암호 장치와, 상기 암호 통신을 행하는데 필요한 각종 정보의 설정을, 네트워크를 통하여 원격으로 상기 통신 단말기 및 상기 암호 장치에 대하여 행하는 매니저 단말기를 구비하고, 상기 복수대의 통신 단말기, 상기 매니저 단말기 및 상기 암호 장치를 유선 또는 무선의 네트워크에 의해 접속하여 구성한 것을 특징으로 한다.
본 발명의 다른 양태에서는, 상기 암호 장치는, 상기 암호화 처리 및 상기 복호화 처리의 제어에 관해서 상기 매니저 단말기로부터 설정된 정보를 기억하는 설정 정보 기억 수단을 구비하고, 상기 설정 정보 기억 수단에 기억되어 있는 설정 정보와, 상기 하나의 포트로부터 입력된 패킷에 부가되어 있는 헤더 정보를 대조하여 상기 암호화 처리 및 상기 복호화 처리의 제어를 행하는 것을 특징으로 한다.
도 1은, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 구성예를 나타낸 도면이다.
도 2는, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 다른 구성예를 나타낸 도면이다.
도 3은, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 또한 다른 구성예를 나타낸 도면이다.
도 4는, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 또한 다른 구성예를 나타낸 도면이다.
도 5는, 본 실시예에 의한 암호 장치 및 이것에 접속되는 DB 서버 및 PC에서의 프로토콜의 계층 구조를 나타낸 도면이다.
도 6은, 본 실시예에 있어서 네트워크 상을 흐르는 패킷의 IP 어드레스에 대하여 설명하기 위한 도면이다.
도 7은, 본 실시예의 암호 장치를 흐르는 패킷의 MAC 어드레스에 대하여 설명하기 위한 도면이다.
도 8은, 종래의 VPN 라우터를 흐르는 패킷의 MAC 어드레스에 대하여 설명하기 위한 도면이다.
이하, 본 발명의 일실시예를 도면을 참조하여 설명한다.
도 1은, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 전체 구성예를 나타낸 도면이다.
도 1에 있어서, (1)은 암호 장치이며, 2개의 포트를 가지고, 한쪽의 포트에는 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4) 등의 디바이스가 접속되고, 다른 쪽의 포트에는 허브(5)가 접속되어 있다. 이 암호 장치(1)는, 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4) 등의 디바이스와, 허브(5)와의 사이에 데이터의 중계를 행한다.
네트워크 프린터(2)는, 암호 소프트를 물리적으로 인스톨할 수 없는 단말기이다. DB 서버(3)는, 동작 안정상 등의 문제로부터 여분의 암호 소프트를 인스톨하는 것이 바람직하지 않은 단말기이다. 네트워크 터미널(4)는, OS(operating system)가 없어 암호 소프트를 동작시킬 수 없는 단말기이다. 따라서, 이들 단말기(2)~(4)에는 암호 소프트는 인스톨되어 있지 않은 것으로 한다.
또, 허브(5)는, OSI 참조 모델의 물리층에 있어서 데이터를 중계하는 기기이며, 전술한 암호 장치(1) 외에, 라디오 커뮤니케이션용의 액세스 포인트(6), 데스크탑 PC(7), 암호화/복호화에 관한 각종 정보 설정을 행하기 위한 매니저 단말기(12)가 접속되어 있다. 이 경우의 허브(5)는, 암호 장치(1)와 액세스 포인트(6) 및 데스크탑 PC(7)과의 사이에 암호 통신을 위한 데이터 중계를 행한다. 또, 매니저 단말기(12)와, 그 외의 암호 장치(1), 액세스 포인트(6) 및 데스크탑 PC(7)과의 사이에 각종 정보 설정을 위한 데이터 중계도 행한다.
또한, 상기 액세스 포인트(6)에는, 데스크탑 PC(8)과 랩탑 PC(9)이 무선에 의해 접속되어 있다. 데스크탑 PC(7, 8) 및 랩탑 PC(9)에는, 데이터의 암호화 및 복호화를 행하기 위한 암호 소프트가 인스톨 가능하고, 실제로, 암호/복호 처리를 행하기 위한 에이전트 소프트가 인스톨되어 있는 것으로 한다. 암호 장치(1)에도, 이것과 마찬가지의 암호 에이전트 소프트가 인스톨되어 있다.
이와 같이, 본 실시예의 암호 장치(1)는 2개의 포트를 가지고, 한쪽의 포트에 대하여 암호 처리 기능을 가지는 통신 단말기인 PC(7)~(9)가, 허브(5)나 액세스 포인트(6)를 통하여 간접적으로 접속되어 있다. 또, 다른 쪽의 포트에는 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4)이 직접 접속되어 있다. 그리고, 이들 암호 장치(1), 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4), 허브(5), 액세스 포인트(6), PC(7)~(9)에 의해 1개의 거점 네트워크가 구성되어 있다.
이와 같은 구성에 의해, 암호 소프트가 인스톨되어 있지 않은 네트워크 프린터(2), DB 서버(3) 및 네트워크 터미널(4)과, 암호 소프트가 인스톨되어 있는 PC(7)~(9)(이들 디바이스(2)~(4),(7)~(9)는 모두 본 발명의 통신 단말기에 상당)와의 사이에서, 암호 장치(1), 허브(5) 및 액세스 포인트(6)를 통하여 데이터 통신이 행해진다.
그 때, 암호 장치(1)는, 암호 소프트가 인스톨되어 있는 PC(7)~(9)와의 사이에서는 암호화된 데이터의 통신을 행하는 동시에, 암호 소프트가 인스톨되어 있지 않은 단말기(2)~(4)와의 사이에서는 암호화되어 있지 않은 데이터의 통신을 행하기 위해 암호화 처리 및 암호의 복호화 처리를 행한다.
예를 들면, 데스크탑 PC(7)으로부터 네트워크 프린터(2)에 데이터를 송출하여 프린트 아웃할 때는, 먼저 데스크탑 PC(7)에 인스톨되어 있는 암호 소프트를 사용하여 데이터를 암호화하고, 허브(5)를 통하여 암호 장치(1)에 공급한다. 다음에, 암호 장치(1)는, 받은 데이터를 복호화하여, 네트워크 프린터(2)에 송출한다.
또, 예를 들면 DB 서버(3)에 의해 관리되고 있는 데이터를 랩탑 PC(9)에 입력할 때는, DB 서버(3)는, 주어지는 요구에 따라 해당하는 데이터를 암호 장치(1)에 공급한다. 이 암호화되어 있지 않은 데이터를 받은 암호 장치(1)는, 그 데이터를 암호화하여, 허브(5) 및 액세스 포인트(6)를 통하여 랩탑 PC(9)에 송신한다. 랩탑 PC(9)은, 받은 데이터를 복호화하여, 원하는 처리에 이용한다.
이상의 설명으로부터 명백한 바와 같이, 암호 장치(1)를 사용함으로써, 전용의 암호 소프트를 인스톨할 수 없는 단말기(2)~(4)를 가지는 기업의 LAN(Local Area Network) 내에서도, 암호를 이용하는 것이 가능해진다. 이로써, 외부로부터의 부정 침입이나 공격에 의해 LAN 내부의 기밀 정보가 도용되거나 변조되거나 할 위험성이 적은 안전한 네트워크(10)를 구축할 수 있다.
그리고, 암호 장치(1)와 각 단말기(2)~(4) 사이에 있어서 암호는 이용할 수 없지만, 이들을 연결하는 케이블(11)은 물리적으로 짧은 배선이며, 이 부분이 외부 어택(attack)되는 것에 의해 도청이나 변조될 가능성은 지극히 낮기 때문에, 시큐리티 상 특히 문제로 되지 않는다.
상기와 같은 암호 시스템에 있어서, 암호 장치(1) 및 각 PC(7)~(9)가 구비하는 암호 에이전트 소프트에 대하여 설정해야 할 각종 정보, 예를 들면, 암호/복호 처리의 유무, 어떤 단말기와 어떤 단말기 사이에서는 패킷을 파기한다는 등 통신의 여부, 암호화의 레벨, 암호화를 행하는 시간대, 부문마다의 암호 폴리시(policy), 암호 키 등의 정보는, 매니저 단말기(12)로부터 허브(5)를 통하여 암호 장치(1) 및 각 PC(7)~(9)에 필요한 정보를 다운로드하여 설정한다.
이로써, 암호의 이용에 필요한 각종 정보를 단말기마다 개별적으로 설정할 필요가 없어져, 매니저 단말기(12)로부터 암호 시스템의 전체를 일원적으로 집중하여 관리할 수 있다. 따라서, 각 단말기에 대한 여러 가지 정보 설정을 간단하게 행할 수 있어 암호 시스템의 구축 및 그 후의 메인트넌스에 걸리는 노력을 대폭 삭감할 수 있다.
종래, 프린터나 팩시밀리 등 물리적으로 암호 소프트를 인스톨할 수 없는 단말기나, 프린트서버나 데이터 베이스 서버 등 여분의 소프트를 인스톨하는 것이 바람직하지 않은 단말기, OS가 없고 단순한 네트워크 터미널로서 기능하는 단말기 등을 구비한 기업의 LAN 내에서는, 암호 소프트를 실질적으로 인스톨할 수 없기 때문에, 암호를 이용하는 것은 어려웠다.
그러므로, 종래의 암호 시스템은, 인터넷에 접속된 단말기끼리 교환하는 정보를 도중의 인터넷 상에 있어서 암호화하는 것이었다. 이 경우, 암호 통신하는 단말기는 인터넷 상에 다수 산재하고 있기 때문에, 이들 다수의 단말기에 대하여 암호화의 일원 집중 관리를하는 것은 매우 곤란했다. 이것에 대하여, 본 실시예에 의 하면, 기업의 LAN 내에서 암호를 이용할 수 있도록 하고 있으므로, 그 LAN 내에서 종단된 암호화를 일원적으로 관리하는 것이 가능해진다.
도 2는, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 다른 구성예를 나타낸 도면이다. 그리고, 이 도 2에 있어서, 도 1에 나타낸 구성 요소와 동일한 기능을 가지는 구성 요소에는 동일한 부호를 부여하고 있다. 도 2에 있어서, 암호 장치(1)는, 한쪽의 포트에 인터넷(20)이 접속되고, 다른 쪽의 포트에 허브(5)가 접속되어 있다.
도 2의 경우, 암호 장치(1), 허브(5), 액세스 포인트(6), PC(7)~(9)에 의해 1개의 거점 네트워크가 구성되어 있다. 또, 인터넷(20)의 끝에는, 도 1에 나타낸 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4) 등과 같이 암호 소프트를 인스톨할 수 없는 단말기, 또는, PC(7)~(9)와 같이 암호 소프트가 인스톨된 단말기가 복수대 접속되고, 이들에 의해 다른 거점 네트워크가 구성되어 있다.
도 1에 나타낸 예에서는, 1대의 암호 장치(1)에 대하여 1대의 디바이스가 접속되어 있고, 1대의 디바이스에 관한 암호/복호 처리를 1대의 암호 장치(1)가 전용으로 행하고 있었다. 즉, 도 1에 나타낸 암호 장치(1)는, 암호 소프트가 인스톨된 PC(7)~(9)와, 암호 소프트가 인스톨되어 있지 않은 1대의 디바이스 사이에 접속되고, 당해 1대의 디바이스에 대하여 암호화에 의한 시큐리티를 종단하고 있었다.
이것에 대하여, 도 2에 나타낸 예에서는, 암호 장치(1)는, 암호 소프트가 인스톨된 PC(7)~(9)와, 인터넷(20)에 접속된 복수대의 디바이스 사이에 접속되어 있다. 상기 복수대의 디바이스는, 도 1에 나타낸 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4) 등과 같이 암호 소프트가 인스톨되어 있지 않아도 되고, PC(7)~(9)와 같이 암호 소프트가 인스톨되어 있어도 된다. 이와 같이, 암호 장치(1)는, 복수대의 디바이스에 대하여 암호화에 의한 시큐리티를 종단하는 것도 가능하다. 이 경우, 암호 장치(1)는, 접속되어 있는 디바이스의 수만큼 데이터 패스를 가지고, 각각의 디바이스마다 상이한 암호 키로 암호/복호 처리를 행한다.
예를 들면, 시큐어 네트워크(10) 내의 데스크탑 PC(7)로부터, 인터넷(20)을 통하여 암호 소프트를 가지지 않는 외부 디바이스에 데이터를 송출하도록 했을 때는, 먼저 데스크탑 PC(7)에 인스톨되어 있는 암호 소프트를 사용하여 데이터를 암호화하고, 허브(5)를 통하여 암호 장치(1)에 공급한다. 다음에 암호 장치(1)는, 받은 데이터를 복호화하여, 인터넷(20)을 통하여 외부 디바이스에 송출한다.
또, 예를 들면 인터넷(20)의 끝에 있는 암호 소프트를 가지지 않는 외부 디바이스에 의해 관리되고 있는 데이터를 시큐어 네트워크(10) 내의 랩탑 PC(9)에 입력할 때는, 해당 외부 디바이스는, 주어지는 요구에 따라 해당하는 데이터를 인터넷(20)에 송출한다. 이 암호화되어 있지 않은 데이터를 받은 암호 장치(1)는, 그 데이터를 암호화하여, 허브(5) 및 액세스 포인트(6)를 통하여 랩탑 PC(9)에 송신한다. 랩탑 PC(9)는, 받은 데이터를 복호화하여, 원하는 처리에 이용한다.
한편, 시큐어 네트워크(10) 내의 데스크탑 PC(7)로부터, 인터넷(20)을 통하여 암호 소프트를 가지는 외부 디바이스에 데이터를 송출하도록 했을 때는, 먼저 데스크탑 PC(7)에 인스톨되어 있는 암호 소프트를 사용하여 데이터를 암호화하여, 허브(5)를 통하여 암호 장치(1)에 공급한다. 다음에 암호 장치(1)는, 받은 데이터 를 복호화하지 않고, 인터넷(20)을 통하여 외부 디바이스에 송출한다. 외부 디바이스는, 받은 데이터를 복호화하여, 원하는 처리에 이용한다.
역으로, 인터넷(20)의 끝에 있는 외부 디바이스로 암호화된 데이터를 시큐어 네트워크(10) 내의 데스크탑 PC(7)에 송출할 때도, 암호 장치(1)는, 인터넷(20)을 통하여 외부 디바이스로부터 받은 데이터를 복호화하지 않고, 암호화된 상태인 채 허브(5)를 통하여 데스크탑 PC(7)에 공급한다.
이와 같이, 시큐어 네트워크(10) 내의 단말기(7)~(9)와 인터넷(20)에 접속된 암호 소프트를 가지지 않는 외부 디바이스 사이에 데이터 통신을 행하는 경우라도, 적어도 시큐어 네트워크(10)의 내부에 대하여는 암호에 의한 보호를 이용할 수 있다. 또, 인터넷(20)에 접속된 외부 디바이스에 암호 소프트가 인스톨되어 있는 경우에는, 시큐어 네트워크(10)의 외부에 있는 인터넷(20) 상에서도 암호를 이용할 수 있다.
그리고, 상기 복수대의 디바이스는, 인터넷(20)을 통하여 접속되어 있을 필요는 반드시 없고, 암호 장치(1)에 직접 또는 허브를 통하여 접속하여도 된다. 직접 접속하는 경우, 암호 장치(1)는 2개 이상의 포트를 가지게 된다.
도 3은, 본 실시예에 의한 암호화의 일원 집중 관리 시스템의 또한 다른 구성예를 나타낸 도면이다. 그리고, 이 도 3에 있어서, 도 1에 나타낸 구성 요소와 동일한 기능을 가지는 구성 요소에는 동일한 부호를 부여하고 있다. 도 3에 나타낸 예도 도 2의 예와 마찬가지로, 1대의 암호 장치(1)가 복수대의 디바이스에 대하여 암호화에 의한 시큐리티를 종단하는 예이다.
도 3에 나타낸 예에서는, 시큐어 네트워크(10)의 내부는, 3대의 PC(7)~(9)가 모두 액세스 포인트(6-1)에 무선 LAN에 의해 접속되어 있다. 액세스 포인트(6-1)는, 암호 장치(1)를 통하여 인터넷(20)에 접속되어 있다. 또, 복수개의 액세스 포인트(6-1),(6-2)를 구비하고, 1대의 액세스 포인트(6-1)로 커버할 수 없는 통신 범위를 다른 액세스 포인트(6-2)가 커버함으로써, 비교적 광역인 무선 LAN 환경을 제공하고 있다. 암호 장치(1)는, 액세스 포인트(6-1),(6-2)마다 개별적으로 접속되어 있다.
이와 같이 구성된 암호 시스템에 있어서, 예를 들면 한쪽의 액세스 포인트 (6-1)에 접속되어 있는 랩탑 PC(9)이 그 통신 가능 범위를 넘어 이동했을 때는, 다른 쪽의 액세스 포인트(6-2)로 전환하여 통신을 계속하는 로밍을 행할 수 있다. 또한, 전술한 바와 같이, 암호 통신을 행하는 패스의 설정을 매니저 단말기(12)에 의해 일원 관리하고 있으므로, 복수개의 액세스 포인트(6-1),(6-2) 사이에서 로밍을 행해도, 암호 통신을 계속하여 행할 수 있다.
또, 이 도 3에 나타낸 예에 있어서 매니저 단말기(12)는, 인터넷(20)에 접속되어 있다. 이 경우의 매니저 단말기(12)는, 암호 에이전트 소프트에 대하여 설정해야 할 각종 정보를, 인터넷(20)을 통하여 암호 장치(1) 및 각 PC(7)~(9)에 다운로드하여 설정한다.
그리고, 상기 도 1~ 도 3에 있어서는, 1개의 시큐어 네트워크(10)와 그 중의 암호화를 일원 관리하는 1개의 매니저 단말기(12)를 구비하는 예에 대하여 설명하 고 있다. 이것에 대해, 복수대의 시큐어 네트워크(10)와 그 중의 암호화를 각각 일원 관리하는 복수대의 매니저 단말기(12)를 구비하고, 각 매니저 단말기(12)가 인터넷(20) 등을 통하여 서로 데이터 통신을 행하여 암호화/복호화에 관한 각종 정보를 적당 설정하도록 함으로써, 복수개의 시큐어 네트워크(10)를 모아서 전체적으로 1개의 암호 시스템을 구축하는 것도 가능하다.
또, 상기 도 1~ 도 3에서는, 본 발명의 암호 처리 기능을 가지는 통신 단말기의 예로서, 암호 소프트가 인스톨된 PC(7)~(9)를 들어, 암호 장치(1)와 PC(7)~(9) 사이에 암호화에 의한 시큐리티를 종단하는 예에 대하여 설명했다. 암호 처리 기능을 가지는 통신 단말기는 이 예에 한정되지 않고, 암호 장치(1)와 마찬가지의 기능을 가지는 다른 암호 장치도 포함한다. 도 4에, 이 경우의 암호화의 일원 집중 관리 시스템의 구성예를 나타낸다.
도 4에 나타낸 예에서는, 거점 A, B의 2개의 거점 네트워크(30A, 30B)가, 라우터(40A, 40B) 및 인터넷(20)을 통하여 접속되어 있다. 거점 A 네트워크(30A) 내는, PC(31A)~(33A)와 암호 장치(1A-1)~(1A-3)에 의해 기업 내 LAN이 구성되어 있다. PC(31A)~(33A)는 모두 암호 소프트가 인스톨되어 있지 않은 단말기이다. 또, 암호 장치(1A-1)~(1A-3)은 모두 도 1의 암호 장치(1)와 마찬가지의 기능을 가지는 것이며, 한쪽의 포트에는 PC(31A)~(33A)가 접속되고, 다른 쪽의 포트에는 라우터(40A)가 접속되어 있다.
거점 B 네트워크(30B) 내도 마찬가지로, PC(31B)~(33B)와 암호 장치(1B-1)~(1B-3)에 의해 기업 내 LAN이 구성되어 있다. PC(31B)~(33B)는 모두 암호 소프트가 인스톨되어 있지 않은 단말기이다. 또, 암호 장치(1B-1)~(1B-3)는 모두 도 1의 암호 장치(1)와 마찬가지의 기능을 가지는 것이며, 한쪽의 포트에는 PC(31B)~(33B)가 접속되고, 다른 쪽의 포트에는 라우터(40B)가 접속되어 있다.
이와 같은 구성에 의해, 상이한 거점 네트워크(30A, 30B)에 속하는 PC의 사이에서는, 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3)를 통하여 데이터 통신이 행해진다. 예를 들면, 거점 A 네트워크(30A) 내에 있는 PC(31A)로부터 거점 B 네트워크(30B) 내에 있는 PC(33B)에 데이터를 송신할 때, 암호 장치(1A-1)은, PC(31A)로부터 주어진 데이터를 암호화하고, 라우터(40A), 인터넷(20) 및 라우터(40B)를 통하여 암호 장치(1B-3)에 송신한다. 암호 장치(1B-3)는, 받은 데이터를 복호화하여 PC(33B)에 공급한다. 이로써, 상이한 거점 네트워크(30A, 30B) 사이에서 암호를 이용할 수 있다.
또, 예를 들면 거점 A 네트워크(30A)의 내부에 있어서, 암호 소프트가 인스톨되어 있지 않은 PC(31A)~(33A)끼리에서는, 암호 장치(1A-1)~(1A-3)를 통하여 데이터 통신이 행해진다. 예를 들면, 어떤 PC(31A)로부터 다른 PC(33A)로 데이터를 보낼 때, 암호 장치(1A-1)는, PC(31A)로부터 주어진 데이터를 암호화하여, 암호 장치(1A-3)에 송신한다. 암호 장치(1A-3)는, 받은 데이터를 복호화하여 PC(33A)에 공급한다.
거점 B 네트워크(30B)의 내부에 있어서도 마찬가지로, 암호 소프트가 인스톨되어 있지 않은 PC(31B)~(33B)끼리에서는, 암호 장치(1B-1)~(1B-3)를 통하여 데이터 통신이 행해진다. 예를 들면, 어떤 PC(31B)로부터 다른 PC(33B)로 데이터를 보낼 때, 암호 장치(1B-1)는, PC(31B)로부터 주어진 데이터를 암호화하고, 암호 장치(1B-3)로 송신한다. 암호 장치(1B-3)는, 받은 데이터를 복호화하여 PC(33B)에 공급한다.
이와 같이, 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3)는 모두, 암호 소프트가 인스톨되어 있지 않은 PC(31A)~(33A, 31B)~(33B)와의 사이에서는 암호화되어 있지 않은 데이터의 통신을 행하는 동시에, 암호 처리 기능을 가지는 통신 단말기인 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3) 사이에서는 암호화된 데이터의 통신을 행하기 위해 암호화 처리 및 암호의 복호화 처리가 행해진다.
이상과 같은 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3)을 PC(31A)~(33A), (31B)~(33B)의 바로 옆에 각각 접속함으로써, 상이한 거점 네트워크(30A, 30B)의 사이는 당연한 것으로서, 암호 소프트를 가지는 PC가 없는 기업의 LAN 내에서도 암호를 이용하는 것이 가능해진다. 이로써, 각 거점 네트워크(30A, 30B)를, 외부로부터의 부정 침입이나 공격에 의해 LAN 내부의 기밀 정보가 도용되거나 변조되거나 할 위험성이 적은 시큐어인 네트워크로 할 수 있다.
또, 도 4의 예에서는, 각 거점 네트워크(30A, 30B) 내의 암호화를 각각 일원 관리하는 복수대의 매니저 단말기(12A, 12B)를 인터넷(20)에 접속하고 있다. 각 매니저 단말기(12A, 12B)는, 인터넷(20)을 통하여 서로 데이터 통신을 행하여, 암호 화/복호화에 관한 각종 정보를 적당히 설정한다. 이로써, 복수개의 거점 네트워크(30A, 30B)를 모아서 전체적으로 1개의 암호 시스템을 구축하는 것도 가능하다.
그리고, 상기 도 4의 예에서는, 각 거점 네트워크(30A, 30B)는 모두, 암호 처리 기능을 가지는 단말기(암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3 )를 복수대 구비하여 구성하고 있지만, 적어도 한쪽의 거점 네트워크가 암호 처리 기능을 가지는 단말기를 1개만 구비하는 구성으로 해도 된다. 예를 들면, 거점 네트워크(30A) 내를, 1개의 PC(31A)와 1개의 암호 장치(1A-1)를 접속하여 구성해도 된다.
이 경우는, 도 4에 나타낸 구성과 마찬가지로, 상이한 거점 네트워크(30A, 30B) 사이에 암호를 이용할 수 있다. 또, 거점 네트워크(30A) 중에 관계해서는, 암호 장치(1A-1)를 PC(31A)의 바로 옆에 접속하여 둠으로써, 해당 거점 네트워크(30A)의 출입구와 암호 장치(1A-1) 사이에 암호를 이용할 수 있다.
또, 상기 도 4의 예에서는, 2개의 거점 네트워크(30A, 30B)를 인터넷(20)으로 묶어, 각 거점 네트워크(30A, 30B) 내에 암호 장치(1A-1)~(1A-3), (1B-1)~(1B -3)나 PC(31A)~(33A),(31B)~(33B)를 각각 구비하는 예에 대하여 나타냈으나, 이것에 한정되지 않는다.
예를 들면, 1개의 거점 네트워크 내에 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3 및 PC(31A)~(33A, 31B)~(33B)를 구비하고, 암호 소프트가 인스톨되어 있지 않은 PC(31A)~(33A, 31B)~(33B)의 사이에 있어서의 데이터의 교환을, 암호 장치(1A-1)~(1A-3), (1B-1)~(1B-3)를 통하여 행하도록 해도 된다. 이 경우는, 1개의 거점 네트워크 내에 있어서, 적어도 암호 장치(1A-1)~(1A-3), (1B-1)~(1B -3)의 사이에서는 암호를 이용할 수 있다.
또, 이외에도, 예를 들면 도 1의 구성에 있어서, 암호 소프트가 인스톨되어 있는 PC(7) 대신에, 암호 소프트가 인스톨되어 있지 않은 PC와 암호 장치(1)를 사용하고, 암호 장치(1)를 허브(5)에 접속하는 구성으로 해도 된다. 이 경우는, 암호 소프트를 인스톨할 수 없는 네트워크 프린터(2), DB 서버(3), 네트워크 터미널(4) 등의 디바이스와 암호 소프트가 인스톨되어 있지 않은 PC와의 사이에서는, 양자의 바로 옆에 접속된 암호 장치(1)를 통하여 암호 통신을 할 수 있다.
도 5는, 도 1에 나타낸 암호 시스템에 있어서, 암호 장치(1) 및 이것에 직접 및 간접적으로 접속되는 DB 서버(3) 및 랩탑 PC(9)에서의 프로토콜의 계층 구조를 나타낸 도면이다. 도 5에 나타낸 예에서는, DB 서버(3)에는 암호 소프트가 인스톨되어 있지 않고(IP-Sec가 없음), 랩탑 PC(9)에는 암호 소프트가 인스톨되어 있다(IP-Sec를 가진다). 이 DB 서버(3) 및 랩탑 PC(9) 사이에, 본 실시예의 암호 장치(1)가 접속되어 있다. 여기서는, DB 서버(3)에서 보존되고 있는 데이터를 암호 장치(1)에 보내고, 여기서 데이터를 암호화하여 PC(9)에 보내는 것 같은 이용 형태를 상정하고 있다.
도 5에 나타낸 바와 같이, DB 서버(3) 및 PC(9)는 각각 1개의 포트(31, 32) 를 가지고, 그 중계기로 되는 암호 장치(1)는 2개의 포트(33, 34)를 가지고 있다. 암호 장치(1)의 각 포트(33, 34)에 대하여 물리층 및 MAC층(데이터 링크층)이 개별적으로 설치되고, 각 포트(33, 34)에 공통된 것으로서 IP-Sec(암호/복호 처리 기능), IP층(네트워크층) 및 TCP/UDP층(트랜스포트층)이 형성되어 있다.
층이 깊어질수록 사용자로부터는 멀어지고, 역으로 층이 얕아질수록 사용자에 가깝게 된다. DB 서버(3) 및 PC(9)의 IP층보다도 상위층에는, TCP/UDP층 및 어플리케이션층(모두 도시하지 않음)이 존재하고, 사용자가 사용하는 어플리케이션과 아래의 층과의 중개를 한다.
데이터의 송신측에서는, 상위층으로부터 하위층을 향해 각 층을 통과할 때마다 데이터가 변환되는 동시에, 각각의 층 사이에 데이터 전송을 가능하게 하기 위한 헤더가 부가되어 간다. 역으로, 데이터의 수신측에서는, 각 층 앞의 헤더를 참조하여 각 층에서 필요한 데이터가 추출된다. 그리고, 추출된 데이터는 상위층으로 인도되어 최종적으로 어플리케이션층을 통하여 사용자에게 도착된다.
이하에, 각각의 층의 기능에 대하여 설명한다. TCP/UDP층은, 데이터를 건네주어야 할 어플리케이션의 특정이나, 패킷 상태의 관리 등을 행하는 레이어이다. 데이터 송신측에 있어서는, 상위층(어플리케이션층)으로부터 건네받은 데이터를 상대의 어느 어플리케이션에 건네주어야 할 것인가를 인식하고, 행선지 포트 번호를 데이터에 부가하여 하위층(네트워크층)에 건네준다. 한편, 데이터 수신측에 있어서는, 하위층으로부터 건네받은 패킷에 대하여, 통신 상태 등에 의해 누락이 생기지 않는지 여부를 감시한다.
IP층은, 복수개의 네트워크에 걸친 단말기 사이의 데이터 전송 또는 데이터 중계에 관한 결정이나 제어를 행하기 위한 레이어이다. 통신 상대로 되는 송신측의 DB 서버(3)와 수신측의 PC(9)에는 각각 상이한 IP 어드레스 ①, ④가 할당되고, 이들을 명확하게 함으로써, end to end에 의한 논리적 통신 경로가 결정된다.
MAC(Media Access Control)층은, 인접 기기의 노드 사이에 신뢰성의 높은 데이터 전송을 보증하기 위한 레이어이며, 제조 단계에서 각 기기에 할당된 물리적인 MAC 어드레스를 가진다. 데이터 송신측에 있어서는, IP층에서 통신 상대의 IP 어드레스가 명확하게 되면, 그 하위에 위치하는 MAC층에 있어서, 확립된 상대의 IP 어드레스를 기초로, 경유하는 다음의 기기(물리적으로 접속되어 있는 인접 노드)의 행선지를 결정한다. 한편, 데이터 수신측에 있어서는, MAC 어드레스를 기초로 자기앞의 패킷인 것을 인식한 후, 그 상위층의 IP층에서 IP 어드레스를 해석하고, 그 패킷을 다른 기기에 대하여 다시 라우팅하거나 자체에 입력할 것인지 여부를 판단한다.
물리층은, 상위층으로부터 건네받은 데이터를 전기 신호나 광신호로 변환하여, 동축 케이블이나 광 파이버 케이블 등의 전송 매체를 통하여 실제의 데이터 전송을 행하거나, 전송 매체로부터 보내져 온 전기 신호나 광신호를 상위층에서 인식 가능한 데이터로 변환하여, 그것을 상위층에 건네주거나 하기 위한 레이어이다. 물리층의 상위층인 MAC층에서는, 물리층의 통신 인터페이스에 의존한 수법에 따라 전술한 처리를 행한다.
IP-Sec는, 데이터의 암호화 처리 및 복호화 처리를 행하는 기능부이다. 즉, MAC층으로부터 건네받은 데이터를 취득하여, 해당 데이터의 암호화 처리 및 암호의 복호화 처리를 행한다.
본 실시예의 암호 장치(1)는, IP-Sec에 의해 2개의 포트(33, 34) 사이를 브리지시키고 있는 것에 특징이 있다. 「브리지함」이란, 하나의 포트로부터 입력되어 암호화 처리 또는 복호화 처리가 행해진 데이터를, 라우팅 처리를 하지 않고 다른 포트에 그대로 출력하는 것을 말한다. 도 5의 예에서는, 제1 포트(33)로부터 입력된 데이터에 대하여 IP-Sec로 암호화 처리를 행하고, 그것에 의해 얻어진 데이터를, IP층에서 라우팅하지 않고(IP층에 건네주지 않고) 다른 쪽의 포트에 그대로 건네주어 출력하는 것이, 「브리지함」하는 것에 상당한다. 이와 같이, 본 실시예의 암호 장치(1)에서는, DB 서버(3)와 PC(9) 사이에 있어서의 데이터 전송에 관해서는 IP층 및 TCP/UDP층은 이용하지 않고, IP층보다도 하위층에서 처리를 행한다.
즉, DB 서버(3)에 의해 작성된 패킷 데이터는, 해당 DB 서버(3)의 MAC층, 물리층을 통하여 송신되어 암호 장치(1)의 제1 포트(33)로부터 수신된다. 수신된 패킷 데이터는 물리층, MAC층을 통하여 IP-Sec에게 건네져, 여기서 암호화 처리가 행해진다. 이 암호화된 패킷 데이터는, MAC층 및 물리층을 통하여 제2 포트(34)로부터 송신된다.
제2 포트(34)로부터 송신된 패킷 데이터는, PC(9)에서 수신되어, 물리층, MAC층을 통하여 IP-Sec에게 건네져, 암호가 복호화된다. 그리고, 복호화된 데이터가 IP층을 통하여 도시하지 않은 어플리케이션층에게 건네진다. 이로써, DB 서버(3)가 암호 소프트를 구비하지 않아도, PC(9)에 대하여 암호화된 데이터를 송 신하는 것이 가능해진다.
그리고, 암호 장치(1)의 IP층 및 TCP/UDP층은, 전술한 매니저 단말기(12)로부터 암호 장치(1) 자체에 암호화/복호화에 관한 각종의 정보를 설정할 때 이용된다. 이런 종류의 설정 정보는, IP-Sec 브리지의 기능에 의해 메모리 상에 유지된다. IP-Sec는, 해당 메모리에 유지되고 있는 설정 정보와, 포트(33, 34)로부터 입력된 패킷에 부가되어 있는 헤더 정보(예를 들면, 송신원 IP 어드레스 및 행선지 IP 어드레스)를 대조하여, 암호/복호 처리의 제어 등을 행한다.
이와 같이, 본 실시예의 암호 장치(1)에서는, 하나의 포트로부터 입력된 데이터를 IP-Sec로 암호화/복호화하고, 이로써 얻어진 데이터를 IP층에 건네주지 않고, 라우팅 처리를 하지 않고 그대로 다른 포트에 전송하도록 하고 있으므로, 데이터 통신시에 암호 장치(1)의 IP 어드레스를 불필요하게 할 수 있다. 즉, IP 어드레스를 가지지 않고 IP층의 암호/복호 처리를 행하는 것이 가능하다. 그러므로, 암호 장치(1) 자체에 대한 번잡한 IP 어드레스 설정의 필요를 없앨 수가 있다.
또, 암호 장치(1)의 양측에 접속되는 단말기는 같은 네트워크에 속하도록 되어, 암호 장치(1)의 입력 포트와 출력 포트에서 IP 어드레스가 변경되지 않는다. 이로써, 암호 장치(1)의 네트워크 상에서의 접속의 유무에 관련없이, IP 어드레스의 투과성을 유지할 수 있다. 즉, 네트워크 상에 암호 장치(1)를 접속하거나 네트워크 상으로부터 암호 장치(1)를 분리하거나 할 때, 해당 암호 장치(1)에 접속되는 단말기의 어드레스 설정도 변경할 필요가 없다.
예를 들면, 도 5와 같이 DB 서버(3)와 PC(9) 사이에 암호 장치(1)를 삽입한 경우도, 암호 장치(1)를 삽입하지 않고 DB 서버(3)와 PC(9) 사이에서 직접 통신을 행하는 경우도, DB 서버(3)와 PC(9) 사이를 흐르는 패킷의 IP 어드레스는, 도 6에 나타낸 대로인 채로 불변이다. 따라서, 암호 장치(1)의 접속의 유무에 따라 어드레스 설정을 전혀 변경할 필요가 없다.
이로써, 네트워크 시스템의 도입시나 메인트넌스시에는, 본 실시예의 암호 장치(1)를 적당한 개소에만 삽입하거나, 또는 분리하거나 하면 되므로, 번잡한 어드레스 설정은 행할 필요가 없기 때문에, 작업 부하를 대폭 삭감할 수 있다.
또한, 본 실시예의 경우, MAC 어드레스에 대하여도 투과성을 유지할 수 있다. 도 7은, DB 서버(3)로부터 PC(9)에 데이터를 보내, 그 사이의 암호 장치(1)와 데이터를 암호화하는 경우에서의 패킷을 나타낸 도면이다. 도 7 (a)는 제1 포트(33)에서 수신하는 패킷을 나타내고, 도 7 (b)는 제2 포트(34)로부터 송신하는 패킷을 나타낸다. 그리고, IP-Sec에는, 데이터부만을 암호화하는 트랜스포트 모드와 패킷 모두를 암호화하여 다시 새로운 헤더를 추가하는 터널 모드가 있다. 송신 패킷에 관해서는, 이들 2개의 모드에 대하여 각각 나타내고 있다.
또, 도 8은, 본 실시예와의 비교를 위해, 종래의 VPN 라우터를 사용한 시스템에 있어서 한쪽의 PC로부터 다른 쪽의 PC에 데이터를 보내어, 그 사이의 VPN 라우터로 데이터를 암호화하는 경우에서의 패킷을 나타낸 도면이다. 도 8 (a)는 VPN 라우터의 제1 포트에서 수신하는 패킷을 나타내고, 도 8 (b)는 제2 포트로부터 송신하는 패킷을 나타낸다. 이 도 8에 있어서도, 송신 패킷에 관해서는, 2개의 모드에 대하여 각각 나타내고 있다.
도 7로부터 명백한 바와 같이, 본 실시예에 의하면, IP 어드레스 뿐만이 아니고, MAC 어드레스에 대하여도 제1 포트(33)와 제2 포트(34)에서 상이한 것이 없어, MAC 어드레스의 투과성을 유지할 수 있다. 즉, 본 실시예의 암호 장치(1)는, IP-Sec를 가지고 데이터의 암호/복호 처리를 행하는 것을 제외하면, 한쪽의 포트로부터 입력된 데이터를 다른 쪽의 포트에만 흐르게 하므로, 데이터 통신시에는 MAC 어드레스도 불필요하게 할 수 있다.
그리고, 상기 실시예에서는 OSI 참조 모델의 제3층에 해당되는 네트워크층의 예로서 IP층을 들었지만, 이 IP층은, 노벨사의 네트워크 OS가 사용하는 프로토콜인 IPX(Internetwork Packet exchange)층이라도 된다. 또, IP-Sec가 이용 가능한 것이면, 다른 프로토콜이라도 된다.
그 외, 이상에 설명한 실시예는, 본 발명을 실시하는데 있어서의 구체화의 일례를 나타낸 것에 지나지 않고, 이것에 의해 본 발명의 기술적 범위가 한정적으로 해석되어는 안되는 것이다. 즉, 본 발명은 그 정신, 또는 그 주요한 특징으로부터 일탈하지 않고, 여러 가지 형태로 실시할 수 있다.
본 발명은 전술한 바와 같이, 예를 들면 암호 처리 기능이 도입된 단말기와의 사이에 암호화에 의한 시큐리티를 종단하기 위해 암호화 처리 및 암호의 복호화 처리를 행하는 암호/복호 수단을 구비하여 암호 장치를 구성하고, 이 암호 장치와, 암호 통신을 행하는 복수대의 통신 단말기와, 암호 통신을 행하기 위해 필요한 각종 정보의 설정을 원격으로 통신 단말기 및 암호 장치에 대하여 행하는 매니저 단말기를 접속하여 암호 시스템을 구성하도록 했으므로, 전용의 암호 소프트를 인스 톨할 수 없는 단말기를 가지는 기업의 LAN 내에서도 암호를 이용할 수 있게 되어, 그 LAN 내에서 종단된 암호화를 매니저 단말기에 있어서 일원적으로 집중 관리하는 것이 가능해진다. 이로써, 암호 시스템의 구축 및 그 후의 메인트넌스에 걸리는 노력을 대폭 삭감할 수 있다.
본 발명은, 암호를 이용하기 위해 필요한 각 단말기에 대한 여러 가지 정보 설정을 간단하게 행할 수 있도록 하는데 유용하다.

Claims (10)

  1. 암호화의 일원 집중 관리 시스템으로서,
    데이터 통신을 행하는 복수대의 통신 단말기와,
    상기 복수대의 통신 단말기 사이에 접속되고, 암호 처리 기능을 가지거나 암호 처리 기능을 가지지 않는 통신 단말기 사이에서 암호화에 의한 시큐리티를 종단(終端)하기 위해 데이터의 암호화 처리 및 복호화 처리를 행하는 암호/복호 수단을 구비한 암호 장치와,
    암호화된 데이터의 통신을 제어하는 정보를 네트워크를 통하여 원격으로 각각의 상기 암호 장치와 상기 복수대의 통신 단말기에 입력하여, 상기 암호 장치와 상기 복수대의 통신 단말기에서의 상기 암호화된 데이터의 통신에 대한 설정을 완료하는 매니저 단말기
    를 구비하고,
    상기 정보는, 상기 암호화 처리 및 상기 복호화 처리의 유무, 특정 통신 단말기들 사이에서 패킷이 파기되는 것을 나타내는 통신 가능성, 암호화의 레벨, 암호화를 행하는 시간대, 및 각 부분의 암호 폴리시(policy) 중에서 적어도 하나를 포함하고,
    상기 복수대의 통신 단말기, 상기 매니저 단말기 및 상기 암호 장치는 유선 또는 무선의 네트워크에 의해 접속되고,
    상기 암호 장치는, 상기 암호 장치의 복수개의 포트 중 하나의 포트로부터 입력되어 암호화 처리 또는 복호화 처리가 행해진 데이터를, 라우팅 처리를 하지 않고 다른 포트에 그대로 출력하는 브리지(bridge) 수단을 추가로 구비하는
    것을 특징으로 하는 암호화의 일원 집중 관리 시스템.
  2. 제1항에 있어서,
    상기 암호/복호 수단은, 상기 암호 처리 기능을 가지는 통신 단말기와의 사이에서는 암호화된 데이터의 통신을 행하고, 상기 암호 처리 기능을 가지지 않는 통신 단말기와의 사이에서는 암호화되어 있지 않은 데이터의 통신을 행하기 위해, 상기 암호화 처리 및 상기 복호화 처리를 행하는 것을 특징으로 하는 암호화의 일원 집중 관리 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 암호 장치는, 상기 암호화 처리 및 상기 복호화 처리의 제어에 사용되는 상기 정보가 상기 매니저 단말기로부터 입력되면, 상기 정보를 기억하는 설정 정보 기억 수단을 추가로 구비하고,
    상기 설정 정보 기억 수단에 기억되어 있는 설정 정보와, 상기 하나의 포트로부터 입력된 데이터의 데이터 패킷에 부가되어 있는 헤더 정보를 대조하여, 상기 암호화 처리 및 상기 복호화 처리를 제어하는 것을 특징으로 하는 암호화의 일원 집중 관리 시스템.
  5. 암호화의 일원 집중 관리 시스템으로서,
    데이터 통신을 행하는 복수대의 통신 단말기와,
    상기 복수대의 통신 단말기 사이에 접속되고, 복수개의 포트 중 하나의 포트로부터 입력되어 물리층 및 데이터 링크층을 통하여 건네받은 데이터에 대하여 암호화 처리 또는 복호화 처리를 행하고, 암호화 또는 복호화된 데이터를 네트워크 사이의 라우팅 제어를 행하는 네트워크층에 건네주지 않고 데이터 링크층 및 물리층을 통하여 다른 포트로부터 출력하는 암호 장치와,
    암호화된 데이터의 통신을 제어하는 정보를 네트워크를 통하여 원격으로 각각의 상기 암호 장치와 상기 복수대의 통신 단말기에 입력하여, 상기 암호 장치와 상기 복수대의 통신 단말기에서의 상기 암호화된 데이터의 통신에 대한 설정을 완료하는 매니저 단말기
    를 구비하고,
    상기 정보는, 상기 암호화 처리 및 상기 복호화 처리의 유무, 특정 통신 단말기들 사이에서 패킷이 파기되는 것을 나타내는 통신 가능성, 암호화의 레벨, 암호화를 행하는 시간대, 및 각 부분의 암호 폴리시(policy) 중에서 적어도 하나를 포함하고,
    상기 복수대의 통신 단말기, 상기 매니저 단말기 및 상기 암호 장치는 유선 또는 무선의 네트워크에 의해 접속되는,
    암호화의 일원 집중 관리 시스템.
  6. 제5항에 있어서,
    상기 암호 장치는, 상기 암호화 처리 및 상기 복호화 처리의 제어에 사용되는 상기 정보가 상기 매니저 단말기로부터 입력되면, 상기 정보를 기억하는 설정 정보 기억 수단을 추가로 구비하고,
    상기 암호 장치는, 상기 설정 정보 기억 수단에 기억되어 있는 설정 정보와, 상기 하나의 포트로부터 입력되어 물리층 및 데이터 링크층을 통하여 건네받은 데이터의 데이터 패킷에 부가되어 있는 헤더 정보를 대조하여, 상기 암호화 처리 및 상기 복호화 처리를 제어하는 것을 특징으로 하는 암호화의 일원 집중 관리 시스템.
  7. 암호화의 일원 집중 관리 시스템의 암호화 일원 집중 관리 방법으로서,
    암호 처리 기능을 가지거나 암호 처리 기능을 가지지 않은 복수대의 통신 단말기 사이에 접속된 암호 장치가 데이터를 수신하는 단계;
    상기 암호 장치가, 상기 암호 처리 기능을 가지거나 상기 암호 처리 기능을 가지지 않는 복수대의 통신 단말기 사이에서 암호화에 의한 시큐리티를 종단(終端)하기 위해 데이터에 암호화 처리 또는 복호화 처리를 행하는 단계; 및
    상기 암호 장치의 복수개의 포트 중 하나의 포트로부터 입력받은 데이터를 상기 암호화 처리 또는 상기 복호화 처리 후에 라우팅 처리를 하지 않고 상기 암호 장치의 다른 포트에 브리징(bridging)하는 단계
    를 포함하고,
    데이터 패킷이 수신된 후 특정 단말기 사이에서 상기 데이터 패킷이 파괴되었는지 여부 및 암호화를 행하는 시간대를 포함하는 정보가, 각각의 상기 암호 장치 및 상기 암호화 처리 기능을 가지는 통신 단말기에 입력되어, 상기 암호 장치 및 상기 암호화 처리 기능을 가지는 통신 단말기에서의 암호화된 데이터의 통신에 대한 설정이 완료되는,
    암호화 일원 집중 관리 방법
  8. 제7항에 있어서,
    상기 암호 장치는 상기 암호 처리 기능을 가지는 복수대의 통신 단말기 중 하나와 암호화된 데이터의 통신을 하고, 상기 암호 장치는 상기 암호 처리 기능을 가지지 않은 복수대의 통신 단말기 중 하나와 암호화되지 않은 데이터의 통신을 하는, 암호화 일원 집중 관리 방법.
  9. 제7항에 있어서,
    상기 암호화 처리 및 상기 복호화 처리를 제어하는데 사용되는 정보가 매니저 단말기로부터 입력되면, 상기 암호 장치가 상기 정보를 기억하는 단계; 및
    기억 수단에 기억되어 있는 상기 정보와, 상기 복수개의 포트 중 하나로부터 입력된 데이터의 데이터 패킷에 부가되어 있는 헤더 정보를 대조하여 상기 암호화 처리 및 상기 복호화 처리를 제어하는 단계
    를 더 포함하는 암호화 일원 집중 관리 방법.
  10. 제7항에 있어서,
    상기 복수개의 포트 중 하나로부터 입력되어 데이터 링크층 및 물리층을 통하여 건네받은 데이터에 대하여 암호화 처리 또는 복호화 처리를 행하는 단계; 및
    암호화 처리 또는 복호화 처리가 행해진 데이터를, 네트워크 사이의 라우팅 제어를 행하는 네트워크층에 건네주지 않고 다른 포트와 연관된 데이터 링크층 및 물리층을 통하여 복수개의 포트 중 다른 포트로부터 출력하는 단계
    를 더 포함하는 암호화 일원 집중 관리 방법.
KR1020047013926A 2002-05-09 2003-04-24 암호화의 일원 집중 관리 시스템 KR100976751B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002134681 2002-05-09
JPJP-P-2002-00134681 2002-05-09
PCT/JP2003/005266 WO2003096613A1 (fr) 2002-05-09 2003-04-24 Systeme de gestion de codage centralise

Publications (2)

Publication Number Publication Date
KR20040104487A KR20040104487A (ko) 2004-12-10
KR100976751B1 true KR100976751B1 (ko) 2010-08-20

Family

ID=29416720

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020047013926A KR100976751B1 (ko) 2002-05-09 2003-04-24 암호화의 일원 집중 관리 시스템

Country Status (7)

Country Link
US (1) US20050008160A1 (ko)
EP (1) EP1503537A1 (ko)
JP (1) JP4594081B2 (ko)
KR (1) KR100976751B1 (ko)
CN (1) CN100591004C (ko)
TW (1) TWI277316B (ko)
WO (1) WO2003096613A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1503537A1 (en) * 2002-05-09 2005-02-02 Niigata Seimitsu Co., Ltd. Centralized encryption management system
US8179870B2 (en) * 2004-09-29 2012-05-15 Intel Corporation Method and apparatus for securing devices in a network
US8254891B2 (en) * 2006-06-23 2012-08-28 Microsoft Corporation Initiating contact using protected contact data in an electronic directory
JP2008035272A (ja) * 2006-07-28 2008-02-14 Canon Inc 情報処理システム及び当該システムにおけるデータ通信方法
US8170043B2 (en) * 2008-04-22 2012-05-01 Airhop Communications, Inc. System and method of communication protocols in communication systems
AU2011264813B2 (en) * 2010-06-11 2015-07-30 Cardinalcommerce Corporation Method and system for secure order management system data encryption, decryption, and segmentation
ES2400893B2 (es) * 2011-05-11 2013-10-22 Mytech Ingenieria Aplicada, S.L. Nodos central y terminal de instrumentación y sistema domótico autoconfigurable y seguro.
US9584485B2 (en) 2011-12-28 2017-02-28 Superna Business Consulting, Inc. Key encryption system, method, and network devices
US9219709B2 (en) * 2012-03-27 2015-12-22 Saife, Inc. Multi-wrapped virtual private network
US9553849B1 (en) * 2013-09-11 2017-01-24 Ca, Inc. Securing data based on network connectivity
CN104796404A (zh) * 2015-03-17 2015-07-22 浪潮集团有限公司 一种基于USB设备绑定的国产服务器web登陆方法
CN107094137B (zh) * 2017-04-07 2019-10-29 山东超越数控电子有限公司 一种vpn安全网关
CN107302538B (zh) * 2017-07-14 2020-07-03 深圳市盛路物联通讯技术有限公司 物联网ap接收数据的分设备加密方法及装置
KR101979157B1 (ko) * 2018-09-27 2019-05-15 이광원 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107083A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号通信システム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3111468B2 (ja) * 1990-10-17 2000-11-20 富士通株式会社 通信秘匿方式
US5481610A (en) * 1994-02-28 1996-01-02 Ericsson Inc. Digital radio transceiver with encrypted key storage
US5684876A (en) * 1995-11-15 1997-11-04 Scientific-Atlanta, Inc. Apparatus and method for cipher stealing when encrypting MPEG transport packets
JP3595145B2 (ja) * 1997-06-02 2004-12-02 三菱電機株式会社 暗号通信システム
JPH11243388A (ja) * 1998-02-26 1999-09-07 Mitsubishi Electric Corp 暗号通信システム
ATE270804T1 (de) * 1998-07-13 2004-07-15 Ibm Verfahren zur übertragung von informationsdaten von einem sender zu einem empfänger über einen transcoder
JP3497088B2 (ja) * 1998-12-21 2004-02-16 松下電器産業株式会社 通信システム及び通信方法
AU761317B2 (en) * 1999-01-29 2003-06-05 General Instrument Corporation Self-generation of certificates using a secure microprocessor in a device for transferring digital information
US6415031B1 (en) * 1999-03-12 2002-07-02 Diva Systems Corporation Selective and renewable encryption for secure distribution of video on-demand
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
US7165175B1 (en) * 2000-09-06 2007-01-16 Widevine Technologies, Inc. Apparatus, system and method for selectively encrypting different portions of data sent over a network
JP4019303B2 (ja) * 2001-02-02 2007-12-12 日本電気株式会社 電子透かしに含めた暗号鍵を用いた暗号化装置及び復号化装置並びにそれらの方法
EP1503537A1 (en) * 2002-05-09 2005-02-02 Niigata Seimitsu Co., Ltd. Centralized encryption management system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107083A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号通信システム

Also Published As

Publication number Publication date
CN1653745A (zh) 2005-08-10
CN100591004C (zh) 2010-02-17
JPWO2003096613A1 (ja) 2005-09-15
WO2003096613A1 (fr) 2003-11-20
JP4594081B2 (ja) 2010-12-08
EP1503537A1 (en) 2005-02-02
TW200307422A (en) 2003-12-01
US20050008160A1 (en) 2005-01-13
KR20040104487A (ko) 2004-12-10
TWI277316B (en) 2007-03-21

Similar Documents

Publication Publication Date Title
KR100976750B1 (ko) 암호 장치 및 방법, 암호 시스템
EP3432509B1 (en) Quantum enhanced application security
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
JP5060081B2 (ja) フレームを暗号化して中継する中継装置
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
CN101300806B (zh) 用于处理安全传输的系统和方法
KR100976751B1 (ko) 암호화의 일원 집중 관리 시스템
JP5300719B2 (ja) 量子暗号リンクネットワーク用節点装置及び該節点装置用節点モジュール
US6704866B1 (en) Compression and encryption protocol for controlling data flow in a network
US8239960B2 (en) Method for network traffic mirroring with data privacy
CN101543005B (zh) 安全网络体系结构
US20100228961A1 (en) Hierarchical secure networks
US20050114710A1 (en) Host bus adapter for secure network devices
JP4877932B2 (ja) 暗号化通信システム及び暗号鍵更新方法
CN111371798A (zh) 数据安全传输方法、系统、装置及存储介质
JP2001203761A (ja) 中継装置、および同装置を備えたネットワークシステム
Nguyen et al. An experimental study of security for service function chaining
US20070058654A1 (en) Arrangement and coupling device for securing data access
JP4779639B2 (ja) セキュリティ通信システム
JP2006191205A (ja) 通信装置及び通信方法、通信システム
KR102357375B1 (ko) 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법
JP2005347789A (ja) Ip電話機を終端端末とした暗号システム

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130729

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee