WO2008026243A1 - Dispositif de cryptage de données, procédé et programme de résolution d'adresse - Google Patents
Dispositif de cryptage de données, procédé et programme de résolution d'adresse Download PDFInfo
- Publication number
- WO2008026243A1 WO2008026243A1 PCT/JP2006/316887 JP2006316887W WO2008026243A1 WO 2008026243 A1 WO2008026243 A1 WO 2008026243A1 JP 2006316887 W JP2006316887 W JP 2006316887W WO 2008026243 A1 WO2008026243 A1 WO 2008026243A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- address
- encryption
- packet
- processing unit
- port
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Description
明 細 書
データ暗号装置及びアドレス解決方法及びアドレス解決プログラム 技術分野
[0001] この発明は、端末装置が送信したパケットをネットワーク上で暗号化、復号すること により、データが盗聴されることを防ぐ、データ暗号装置、アドレス解決方法及びアド レス解決プログラムに関する。
背景技術
[0002] 図 22は、インターネット 320を介して端末装置の間で通信をする場合の例である。
端末装置 10はスィッチ 30に接続され、端末装置 350はスィッチ 340に接続されてい る。スィッチ間にはルータ 310、ルータ 330が設置されている。端末装置 10は、端末 装置 350にデータを送信する場合、 Next Hopであるルータ 310に対してパケットを 送信する。ルータ 310は、内部に保持しているルーティング情報を参照して受信した パケットをルータ 330に転送する。ルータ 330は、転送されたパケットを端末装置 350 に送信する。
[0003] IPv6では、暗号通信の際に使用するプロトコルの 1つである IPsec (IP Security Procotol)が標準機能となっている。このため、図 22の端末装置 10,端末装置 350 でデータを暗号ィ匕することは可能である。
[0004] しかし、暗号ィ匕により、ネットワーク管理者が端末装置の監視が困難になるため、企 業ネットワークではネットワーク上に設置されたルータ 310,ルータ 330によってデー タを暗号化、復号するケースが多くみられる。ルータによる暗号ィ匕では、同一リンク上 に配置された端末間 (端末装置 10—端末装置 20)の通信には暗号化は適用するこ とができない。端末装置 10,端末装置 20が接続されたスィッチ 30の下に、それぞれ ルータを導入することは可能である。しかし、ルータは異なるネットワーク間を接続す るものであり、端末装置 10,端末装置 20のアドレス構成を変更しなければならないと いう課題がある。
[0005] 同一リンク上の端末装置間の通信に暗号通信を導入する方法として、論文「"Tmn sparent network Security Policv Enforcement , υ¾βΝΙΧ, Freenix Tr
ack, Proceedings, pp. 215— 226. August 1997」(非特許文献 1)力ある。この データ暗号装置は、後述する図 1のように設置され、端末装置 10と端末装置 20との 間に暗号通信を適用することが可能となる。端末装置 10と端末装置 20との間では、 図 23に示すように、通信に先立ち、通信相手の端末装置のアドレスを解決するため 、アドレス問い合わせパケット(Neighbor S olicitation/Neighbor Advertisem ent)が送受信される。データ暗号装置は、アドレス解決応答(Neighbor Advertis ement)パケット 49を暗号化し、復号時にヘッダ内の Hop Limitをデクリメントする。 RFC (Request For Comment)で ίま、 Neighbor Advertisementノヽケットの H op Limitは 255でなければならないと決まっている。このため、 Hop Limitがデクリ メントされたパケットを受信した端末装置は、エラーパケットとしてこのパケットを廃棄 する。このため、アドレス解決が完了せず、端末装置は通信できないという課題があ る。
[0006] アドレス解決の問題を導入する方法として、論文「"A Repeater Encryption U nit for IPv4 and IPv6", 2005 13th IEEE International Conference on Network, Proceedings vol. 1, pp. 335— 340. November 2005」 (非 特許文献 2)がある。このデータ暗号装置は、上記と同様、図 1のように設置される。 データ暗号装置は、図 24に示すように、「Neighbor Solicitation/Neighbor A dvertisementjを含むネットワーク制御のためのパケットを暗号化せずに、平文のま ま送信するため、アドレス解決の内容が解析されてしまうという課題がある。
非特干文献 1:「 Transparent network Security Policy Enforcement , U SENIX, Freenix Track, Proceedings, pp. 215— 226. August 1997」 非特許文献 2 :「"A Repeater Encryption Unit for IPv4 and IPv6", 200 5 13th IEEE International Conference on Network, Proceedings vo 1. 1, pp. 335- 340. November 2005」
発明の開示
発明が解決しょうとする課題
[0007] 本発明は、同一リンク上の端末装置間の通信に暗号通信を適用する暗号装置にお いて、 Hop Limitが 255であるという RFC規定に基づくアドレス解決を図り、かつ、
アドレス解決の内容が解析されるのを防ぐことを目的とする。
課題を解決するための手段
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部とを備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のァ ドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせ パケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置の アドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレ ス解決問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを 含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の
装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含むアドレス解決問 、合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲット アドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせバケツ トを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応
答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信し、 前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ V、て、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス
をアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格 納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗号ィ匕 するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決問い 合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の 装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換え た前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号化されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを前 記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるァドレ スをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した 前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイ ャアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信すると ともに、送信した前記アドレス解決問 、合わせパケットに応答するパケットであって宛 先アドレスを含む応答パケットを前記端末装置力 受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァドレ スである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前 記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問
い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変 更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納 する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス に基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索すること により、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定し、 前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号ィ匕を決定し た場合には前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示す
Hop Limitとを含む暗号ィ匕応答パケットを前記他のデータ暗号装置力も受信し、 前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない 場合には、前記暗号ィ匕応答パケットに含まれる前記 Hop Limitをデクリメントするこ となく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記 Hop Limitの値を維持した復号後の前記暗号ィ匕 応答パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のデータ暗号装置は、
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス
として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス と、自己の可能な中継回数を示す Hop Limitとを含む暗号ィ匕されたアドレス解決問 い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記 Hop Limitの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記 Hop Limitの値を維持した復号後の前記アドレス 解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス 解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケット を前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ V、て、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のアドレス解決方法は、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Li'fe p[5と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のァ ドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせ パケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置の アドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレ ス解決問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを 含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含むアドレス解決問 、合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲット アドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせバケツ トを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応 答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信し、 前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ
V、て、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のアドレス解決方法は、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格 納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗号ィ匕 するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決問い 合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の 装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換え た前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号化されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを前 記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス
として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるァドレ スをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した 前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイ ャアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信すると ともに、送信した前記アドレス解決問 、合わせパケットに応答するパケットであって宛 先アドレスを含む応答パケットを前記端末装置力 受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァドレ スである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前 記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問 い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変 更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納 する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のアドレス解決方法は、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス に基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索すること により、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定し、 前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号ィ匕を決定し た場合には前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示す Hop Limitとを含む暗号ィ匕応答パケットを前記他のデータ暗号装置力も受信し、 前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない 場合には、前記暗号ィ匕応答パケットに含まれる前記 Hop Limitをデクリメントするこ となく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記 Hop Limitの値を維持した復号後の前記暗号ィ匕 応答パケットを前記第 1の端末装置に送信することを特徴とする。
この発明のアドレス解決方法は、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス と、自己の可能な中継回数を示す Hop Limitとを含む暗号ィ匕されたアドレス解決問 い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記
Hop Limitの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記 Hop Limitの値を維持した復号後の前記アドレス 解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス 解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケット を前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ V、て、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とする。
この発明のアドレス解決プログラムは、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、 を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド
レスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わ せパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置 のアドレスに書き換える処理
(3)前記暗号ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた 前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレス解決 問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを含む暗 号化応答パケットを前記他のデータ暗号装置から受信する処理
(4)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(5)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか どうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記 憶部が格納した前記アドレス情報に基づ!/、て、復号された前記暗号化応答パケット の前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置のアドレスに変 更する処理
(6)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケ ットを前記第 1の端末装置に送信する処理
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートが受信した前記アドレス解決問 、合わせパケットの示すターゲッ トアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケ
ットを前記平文ポートから送信することを決定する処理
(3)前記平文ポートが、前記決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応 答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信す る処理
(4)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のァドレ スではな!/、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基 づ 、て、前記応答パケットを暗号ィ匕するかどうかを決定する処理
(5)暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕する処理
(6)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に 送信する処理
この発明のアドレス解決プログラムは、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、前記リンクレイ ャアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する 処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド レスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部 が格納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗 号ィ匕するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決
問!、合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自 己の装置のアドレスに書き換える処理
(3)前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決 問!ヽ合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号ィ匕した前記アドレス解決問 、合わせパケットを前記他の データ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケット に応答する暗号ィ匕されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを 前記他のデータ暗号装置から受信する処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか どうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記 憶部が格納した前記アドレス情報に基づ!/、て、復号された前記暗号化応答パケット の前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置のアドレスに変 更する処理
(7)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケ ットを前記第 1の端末装置に送信する処理。
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含む暗号ィ匕されたアドレス解決問い合わせパケットを 受信する処理
(2)前記暗号ポートが受信した暗号化された前記アドレス解決問 ヽ合わせパケットを 復号する処理
(3)復号した前記アドレス解決問 、合わせパケットに含まれるアドレスをアドレス情報 として前記記憶部に格納するとともに、復号した前記アドレス解決問い合わせパケット に含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレス に書き換える処理
(4)前記平文ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた 復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、 送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレ スを含む応答パケットを前記端末装置力 受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより 前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決 問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが 変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格 納する前記暗号通信条件に基づき決定する処理
(6)前記アドレス解決処理部が暗号ィヒを決定した場合には前記応答パケットを暗号 化する処理
(7)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に 送信する処理
この発明のアドレス解決プログラムは、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、前記リンクレイ ャアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する 処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド レスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索する ことにより、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定する処 理
(3)前記アドレス解決問!、合わせパケットの暗号ィ匕を決定した場合には前記アドレス 解決問 ヽ合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号ィ匕した前記アドレス解決問 、合わせパケットを前記他の データ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケット に応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示 す Hop Limitとを含む暗号ィ匕応答パケットを前記他のデータ暗号装置力も受信す る処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか どうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記 暗号ィ匕応答パケットに含まれる前記 Hop Limitをデクリメントすることなく維持する処 理
(7)前記平文ポートが、前記 Hop Limitの値を維持した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信する処理
この発明のアドレス解決プログラムは、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させることを特徴と する。
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスと、自己の可能な中継回数を示す Hop Limitとを含む暗 号化されたアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問 ヽ合わせパケットを 復号する処理
(3)復号した前記アドレス解決問 、合わせパケットに含まれる前記 Hop Limitの値 をデクリメントすることなく維持する処理
(4)前記平文ポートが、前記 Hop Limitの値を維持した復号後の前記アドレス解決 問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決 問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前 記端末装置から受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のァドレ スではな!/、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基 づ 、て、前記応答パケットを暗号ィ匕するかどうかを決定する処理
(6)暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕する処理
(7)前記暗号ポートが、前記暗号処理部が暗号化した前記応答パケットを前記他の データ暗号装置に送信する処理
発明の効果
[0026] この発明により、同一リンク上の端末装置間の通信に暗号通信を適用する暗号装 置において、 Hop Limitが 255であるという RFC規定に基づくアドレス解決を図り、 かつ、アドレス解決の内容が解析されるのを防ぐことができる。
発明を実施するための最良の形態
[0027] 実施の形態 1.
図 1〜図 12を使用して実施の形態 1を説明する。実施の形態 1は、アドレス解決処 理において、データ暗号装置力 Neighbor Discovery パケットに含まれるァドレ スを書き換える実施形態である。データ暗号装置は、アドレスを書き換えることにより、 端末装置に代わりアドレス解決を実行する。これにより、データ暗号装置において、 通信がー且終端する。このため、 Neighbor Discovery パケットに含まれる Hop Limitのデクリメントは、発生せず、アドレス解決が可能となる。
[0028] 図 1は、実施の形態 1におけるデータ暗号装置の接続されたシステムの構成を示す 。端末装置 10と端末装置 20とは、データ暗号装置を介してスィッチ 30に接続されて いる。端末装置 350は、スィッチ 340に接続されている。スィッチ間には、インターネ ット 320を介して、ルータ 310とルータ 330とが設置されている。ルータ 310とルータ 3 30とはインターネット 320に接続して 、る。端末装置 350はスィッチ 340に接続して おり、スィッチ 340はルータ 330に接続している。
[0029] データ暗号装置 100は、端末装置 10とスィッチ 30との間に設置されている。データ 暗号装置 200は、端末装置 20とスィッチ 30との間に設置されている。データ暗号装 置は、ルータ(レイヤ 3)ではなくレイヤ 2で動作する。このため、データ暗号装置の上 流 LAN (Local Area Network:暗号 LAN50、暗号 LAN60)及び下流 LAN (平 文 LAN40、平文 LAN70)のネットワークアドレス(リンクレイヤアドレス)は同一である 。端末装置 10、端末装置 20、データ暗号装置 100、及びデータ暗号装置 200は同 一リンク上に設置されており、端末装置 10と端末装置 20とは、ルータを介さずに通信 することが可能である。
[0030] 図 2は、図 1のシステムにおいて、データ暗号装置 100とデータ暗号装置 200との 構成を示す図である。データ暗号装置 100とデータ暗号装置 200とは、同じ構成で ある。データ暗号装置 100の構成を説明する。データ暗号装置 100は、記憶部 102 と、平文ポート 103と、暗号ポート 104と、送受信制御部 105と、プロトコル解析部 10 6と、後述の SPDZSADを格納する SPDZSAD格納部 107 (暗号通信条件格納部 )と、暗号化 Z復号部 108 (暗号処理部)と、 NDアドレス解決処理部 109とを備える。 これらの構成要素の機能は以下の動作の説明で述べる。
[0031] 図 3は、実施の形態 1におけるアドレス解決処理を示すシーケンス図である。図 3で
は、それぞれの NSパケット (後述する)、 NAパケット(後述する)に含まれるアドレスの 内容を示している。図 3、及び以下の説明において、
DAは、宛先アドレス(Destination Address)を示し、
SAは、送信元アドレス(Source Address)を示し、
TAは、ターゲットアドレス(Target Address)を示し、
LAは、リンクレイヤアドレス(Link Layer Address)を示す。
このうち、 LAのみが物理アドレス(例えば MACアドレス)であり、他のアドレスは論理 アドレス(例えば IPv6アドレス)である。例えば、 NSパケット 31において「SA:端末 10
」とあるのは、 NSパケット 31の SAが端末装置 10の IPv6アドレスであることを示し、「
LA:端末 10」とあるのは、 NSパケット 31の LAが端末装置 10の MACアドレスである ことを示す。以下の説明で、「SAのアドレスが端末装置 10」とあるのは、 SAのァドレ スが端末装置 10のアドレスであることを意味する。そして、 LAの場合は物理アドレス であり、 LA以外のアドレスの場合は、論理アドレスである。図 3を参照して、アドレス 解決処理の動作を説明する。
[0032] (S31:端末装置 10が NSパケット 31を送信)
図 3に示すように、端末装置 10は、端末装置 20にデータを送信するにあたり、端末 装置 20のリンクレイヤアドレス(物理アドレス)を取得するため、アドレス解決問い合わ せ(Neighbor Solicitation)のための「Neighbor Solicitation ノ ケット」(以下、 NSパケットという。)を端末装置 20宛に送信する (ステップ S31)。
[0033] (S32 :データ暗号装置 100が平文ポート 103から NSパケット 32を受信)
データ暗号装置 100の送受信制御部 105は、平文ポート 103を介して端末装置 10 力も NSパケット 31を受信する(ステップ S32)。データ暗号装置 100のプロトコル解 析部 106は、平文ポート 103が受信したパケットを解析する。プロトコル解析部 106に よる解析の結果、 NSパケットである場合には、 NDアドレス解決処理部 109が、平文 ポート 103から受信した NSパケット 31の処理を行う。平文ポート 103から NSパケット 31を受け取った際の NDアドレス解決処理部 109による具体的な処理は、図 5で後 述する。
[0034] (NDパケットの説明)
ここで、図 3の説明を続ける前に、図 4を用いて「Neighbor Discovery (Solicitatio n及び Advertisement)パケット」(以下、 NDパケットという。)を説明する。「NDパケ ット」は、「Neighbor Solicitation パケット」(以下、 NSパケットという)」あるいは、「 Neighbor Advertisement パケット」(以下、 NAパケットという)として通信される。 NDパケットは、ターゲットアドレスを持つ端末装置に向力う時には NSパケットであり、 また、ターゲットアドレスを持つ端末装置力も返信される場合には NAパケットである。
[0035] 図 4は、「アドレス解決」に使用する NDパケットの構造を示している。 NDパケットは I Pv6ヘッダ及び NDデータから構成される。 IPv6ヘッダは、(1)バージョン、(2) Clas s、 (3) Flow labe、 (4)ペイロード長、 (5)次ヘッダ、(6) Hop Limitゝ (7) SA(Sou rce Address) , (8) DA (Destination Address)の情報を含む。また、 NDデータ は、(1) Typeゝ (2) Code, (3)チェックサム、(4)フラグ、(5) TA (Target Address )、 (6) LA (Link Layer Address)の情報を含む。
[0036] (S32:データ暗号装置 100が平文ポート 103から NSパケット 31を受信)
図 5を参照して、データ暗号装置 100の平文ポート 103が NSパケットを受信した際 の、 NDアドレス解決処理部 109による具体的な処理を説明する。図 5は、データ暗 号装置 100が平文ポート 103から NSパケットを受信した場合に、 NDアドレス解決処 理部 109が実行する処理を示すフローチャートである。
[0037] 図 5にお!/ヽて、 S101、 S102、 S103、 S 104の一連のステップ力 本実施の形態 1 に関する処理である。データ暗号装置 100の NDアドレス解決処理部 109は、受信し た NSパケット 31の TAが自局アドレスと一致するかをチェックする(ステップ S101)。 図 3に示すように、 NSパケット 31の TAは端末装置 20のためアドレスは一致しない。 このため、 NDアドレス解決処理部 109は、 NSノケット 31に含まれる SA、 TA、 LAを データ暗号装置 100の記憶部 102に保持する(ステップ S102)。そして、 NDァドレ ス解決処理部 109は、 NSパケット 31の SAをデータ暗号装置 100の IPv6アドレス( 論理アドレス)に書き換え、及び LAをデータ暗号装置 100のリンクレイヤアドレス (物 理アドレス)に書き換える (ステップ S103)。送受信制御部 105は、 SAと LAとが書き 換えられた NSパケット 32を暗号ポート 104から送信する(ステップ S 104)。
[0038] 図 5の S 105以降は、本実施の形態 1の特徴を示すステップではないので簡単に説
明する。端末装置 10がデータ暗号装置 100と通信する場合に送信する NSパケット ( データ暗号装置 100のリンクレイヤアドレスを要求する NSパケット)は、 TAがデータ 暗号装置 100の IPv6アドレスである。よって、図 5のステップ S101において、ァドレ スが一致する。このため、データ暗号装置 100は、 S 105以降の処理を実行する。こ の場合、データ暗号装置 100は、データ暗号装置 100のリンクレイヤアドレス(物理ァ ドレス)を格納した「Neighbor Advertisement パケット」を生成し(ステップ S 105) 、この NAパケットを平文ポート 103及び暗号ポート 104から送信する。暗号ポート 10 4への送信に対しては、暗号通信の通信条件が設定された SPDZSAD格納部 107 を参照する (ステップ S 107)。
[0039] (SPD、 SADの説明)
図 6は、 SPDZSAD格納部 107に保持されている、暗号通信条件を規定する SP D (Security Policy Database)の設定例を示す。また、図 7は、 SPDZSAD格 納部 107に保持されている、暗号通信の条件を規定する SAD (Security Associa tion Database)の設定例を示す。図 6に示すように、 SPDは、送信元アドレス(SA )、宛先アドレス(DA)、プロトコル、処理種別、及び暗号化時のトンネルアドレスが設 定される。 NDアドレス解決処理部 109は、 SPDの示すアドレス及びプロトコルの条 件に一致したパケットに対して、 SPDの処理種別に従って、暗号中継、平文中継、廃 棄のいずれかの処理をする。暗号中継の場合には、暗号化時のトンネルのアドレス が設定される。
[0040] 図 7に示すように、 SADには、暗号通信のパラメータが設定され、 SPDの処理種別 が暗号中継の場合に参照する。 SADは、トンネルアドレス、暗号プロトコル、 SPI (Se curity Parameter Index)、暗号アルゴリズム、暗号鍵、ハッシュアルゴリズム、ノヽ ッシュ鍵と!/、つた情報を持つ。
[0041] 図 6に示すように、端末装置 10から端末装置 20宛のすべてのプロトコルのパケット は、暗号ィ匕される設定である。図 7に示すように、トンネルのアドレスは、データ暗号 装置 100—データ暗号装置 200である。データ暗号装置 100—データ暗号装置 20 0の暗号通信には、 ESPを用いる。
図 7に示すように、 SADは、
SPI : Oxl l l l、
アルゴリズム: DES、
暗号鍵 1122334455、
ハツシュアノレゴリズム: HMAC - SHA1、
ノヽッシュ鍵 1122334455
を使用する設定である。
[0042] (S33 :データ暗号装置 200が暗号ポートから NSパケットを受信)
図 3を参照して説明を続ける。データ暗号装置 200は、データ暗号装置 100が送信 した NSパケット 32を暗号ポート 204力も受信する(S33)。プロトコル解析部 206が、 このパケットを解析する。プロトコル解析部 206による解析の結果、 NSパケットである 場合には、 NDアドレス解決処理部 209が、平文ポート 203から受信した NSパケット 32の処理を行う。
[0043] 図 8は、データ暗号装置 200が暗号ポート 204力も NSパケット 32を受信した場合 に、 NDアドレス解決処理部 209が実行する処理を示すフローチャートである。図 8を 参照して説明する。 S131、 S132が本実施の形態 1に関するステップである。まず、 NDアドレス解決処理部 209は、受信した NSパケット 32の TAが自局アドレスと一致 するかをチェックする(ステップ S 131)。図 3に示すように、 NSパケット 32の TAは端 末装置 20のため、アドレスは一致しない。よって、 NDアドレス解決処理部 209は、ァ ドレスは一致しないと判断する(S131の No)。この場合、 NDアドレス解決処理部 20 9は、送受信制御部 205を用いて、受信した NSパケット 32を NSパケット 33として平 文ポート 203から送信させる(ステップ S 132)。
[0044] 図 8の S133以降は、本実施の形態 1の特徴を示すステップではないので簡単に説 明する。データ暗号装置 200に対するアドレス解決 (データ暗号装置 200のリンクレ ィャアドレスを要求する NSパケット)の場合は、図 8のステップ S 131にお!/、てアドレス がー致する。このため、データ暗号装置 200は、自己のリンクレイヤアドレスを格納し た NAパケットを生成し、平文ポート 203及び暗号ポート 204から送信する。手順は、 図 5の S106以降と同様である。この場合、データ暗号装置 200から端末装置 10へ の NAパケットは SPDの条件には一致しない。このため、この NAパケットは、平文の
まま暗号ポート 204力も送信される。
[0045] (S34 :端末装置 20の動作)
図 3に示すように、端末装置 20は、データ暗号装置 200が送信した NSパケット 33 を受信する(S34)。端末装置 20は、 NSパケット 33内のターゲットアドレス TAと自身 のアドレス (IPv6アドレス)がー致するため、リンクレイヤアドレス部分に端末装置 20 の MACアドレス(物理アドレス)を格納する。また、端末装置 20は、「宛先アドレス DA :データ暗号装置 100」、及び「送信元アドレス SA:端末装置 20」を含む NAパケット 34を NSパケット 33に応答する応答パケットとしてデータ暗号装置 100宛に送信する
[0046] (S35 :データ暗号装置 200が平文ポート 203から NAパケット 34を受信)
データ暗号装置 200は、端末装置 20が送信した NAパケット 34を平文ポート 203 カゝら受信する (ステップ S35)。プロトコル解析部 206がパケットを解析する。プロトコ ル解析部 206による解析の結果、 NAパケットの場合は、 NDアドレス解決処理部 20 9力 平文ポート 203から受信した NAパケット 34に対する処理を行う。
[0047] 図 9は、データ暗号装置 200が平文ポート 203から NAパケット 34を受信した場合 に、 NDアドレス解決処理部 209が実行する処理を示すフローチャートである。図 9を 参照して説明する。 S121〜S124が本実施の形態 1に関するステップである。まず、 NDアドレス解決処理部 209は、 NAパケット 34の宛先アドレス DAが自局アドレス(I Pv6アドレス)と一致するかをチェックする(ステップ S121)。図 3に示すように、 NAパ ケット 34の宛先アドレス DAはデータ暗号装置 100であり、アドレスは一致しない。こ の場合、 NDアドレス解決処理部 209は、 SPDZSADを参照し、パケットを暗号化す るかどうかを判定する(ステップ S 122)。図 6に示したように、 SPDは、端末装置 20と データ暗号装置 100との間で通信されるパケットを暗号ィ匕する設定である。このため 、 NDアドレス解決処理部 209は、暗号化と判定する(S122, S123)。 NDアドレス解 決処理部 209の判定に従って、暗号化 Z復号部 208が、 SADに設定されている暗 号アルゴリズム、暗号鍵、ハッシュアルゴリズム、ハッシュ鍵を用いて NAパケット 34を 暗号ィ匕する (ステップ S 123)。送受信制御部 205は、暗号ィ匕された NAパケット 34を NAパケット 35 (暗号化応答パケット)として暗号ポート 204から送信する(ステップ S1
24)。
[0048] 図 9のステップ S127は、本実施の形態 1の特徴を示すステップではないので簡単 に説明する。データ暗号装置 200と端末装置 20とが通信する場合など、データ暗号 装置 200から NSパケットを送信した場合、この NSパケットに対する応答である NAパ ケットをデータ暗号装置 200が受信した場合には、 DAはデータ暗号装置 200のアド レスに一致する。この場合、データ暗号装置 200は、この NAパケット内のターゲット アドレス TA,リンクレイヤアドレス LAを Neighbor Cacheに登録する(ステップ SI 2 7)。
[0049] (S36 :データ暗号装置 100が暗号ポート 104から NAパケット 35を受信)
データ暗号装置 100は、データ暗号装置 200が送信した暗号化されている NAパ ケット 35を受信する (ステップ S36)。
[0050] 図 10は、データ暗号装置 100が暗号ポート 204力も NAパケット 35を受信した場合 に、 NDアドレス解決処理部 109が実行する処理を示すフローチャートである。図 10 を参照して説明する。 S141〜S147が本実施の形態 1に関するステップである。
[0051] 図 10のフローにしたがって、暗号化 Z復号部 108力 暗号化されている NAバケツ ト 35を復号する(ステップ S141、 S142)。次に、 NDアドレス解決処理部 109は、復 号された NAパケット 35の宛先アドレス DAが自局アドレスと一致するかをチェックす る(ステップ S143)。図 3に示すように、 NAパケット 35は、データ暗号装置 100が送 信元アドレス SAとリンクレイヤアドレス LAとを自己のアドレスに書き換えた NSパケット 32に対する応答である。このため、宛先アドレス DAは自局アドレスと一致する(S 14 3の Yes)。次に、 NDアドレス解決処理部 109は、ターゲットアドレス TA,リンクレイヤ アドレス LAを「Neighbor CacheJに登録する(ステップ S 144)。そして、 NDァドレ ス解決処理部 109は、先に保持しているターゲットアドレス TAの情報(図 5の S102) と、受信した NAパケット 35のターゲットアドレス TAとが一致するため、復号した NA パケット 35の宛先アドレス DAを端末装置 10に変更する(ステップ S145、 S146)。こ の NAパケット 35は、 NAパケット 36として平文ポート 103から送信される(ステップ S1 47)。
[0052] このとき、データ暗号装置 100の NDアドレス解決処理部 109は、 NAパケット 36の
「Hop Limit」を、 255に設定して端末装置 10に送信する。
[0053] (S37 :端末装置 10)
端末装置 10は、 NAパケット 36を受信する (ステップ S137)。端末装置 10は、 NA パケット 36の「Hop Limit」が 255であるため正常パケットと判断し、 NAパケット 36 力も端末装置 20のリンクレイヤアドレス(MACアドレス)を取り出す。これにより、アド レス解決が完了する。
[0054] (アドレス解決後の端末装置間のデータ通信)
図 11、図 12は、アドレス解決後の端末装置間のデータ通信のフローチャートを示 す。図 3に示すように、端末装置 10は、取得した端末装置 20のリンクレイヤアドレスを 用いて、端末装置 20宛のデータ 37を送信する。以降は、以下の手順で、端末装置 1 0と端末装置 20とが、データ暗号装置 100,データ暗号装置 200を介して暗号通信 を行う。データ 37を受信したデータ暗号装置 100は、図 11の処理を行う。データ暗 号装置 100は、 SPDZSADに設定された暗号条件によりパケットを暗号ィ匕して、暗 号ポー卜 104力ら送信する(ステップ S151、 S152、 S153)。 B音号ィ匕されたデータ 38 を受信したデータ暗号装置 200は、図 12の処理を行う。データ暗号装置 200は、デ ータ 38を復号し(S161、 S162)、復号後のパケットに対して SPDZSADを参照し、 暗号ィ匕の場合に平文ポート 203から送信する (ステップ S 165)。
[0055] 以上のように、データ暗号装置は、端末装置が送信した ND問 、合わせパケット (N Sパケット)のアドレスを書き換え、端末装置の代わりにアドレス解決を代行する。この ため、アドレス解決は一旦、データ暗号装置で終端し、その後に端末装置にアドレス 解決結果が通知されることなる。よって、ノ ケットの Hop Limitのデクリメントによるァ ドレス解決の失敗を防ぐことが可能となる。
[0056] 以上の実施の形態 1では、データ暗号装置 100が、アドレスを書き換えた。
すなわち、
(1)データ暗号装置 100は、端末装置 10から NSパケットを受信した場合、 SA、 TA 、 LAを記憶部 102に格納した後、 SA、 LAを次のように書き換え、 NSパケットをマル チキャストアドレス送信する。データ暗号装置 100は、 SA (端末装置 10の IPv6ァドレ ス)をデータ暗号装置 100の IPv6アドレスに書き換え、 LA (送信元 MACアドレス)を
データ暗号装置 100の MACアドレスに書き換える。
(2)データ暗号装置 200は、受信した NSパケットの TAが自己のアドレスと一致しな い場合は、受信した NSパケットをそのまま中継する。
(3)端末装置 20は、受信した NSパケットの TAが自己の IPv6アドレスと一致するの で、受信した NSパケットの LAに自己の MACアドレスを格納し、 NAパケットとしてデ ータ暗号装置 200宛に送信する。
(3) NAパケットを受信したデータ暗号装置 200は、暗号通信条件 SPDを参照し、参 照結果に基づき、 NAパケットを暗号ィ匕してデータ暗号装置 100に送信する。
(4)データ暗号装置 100は、暗号ィ匕された NAパケットを復号し、保持していたアドレ スに書き換えて、端末装置 10宛に送信する。
(5)以上のように、データ暗号装置 100が NDアドレスを書き換え、端末装置 10の代 わりにアドレス解決を実行する。これにより、通信がデータ暗号装置 100で一旦終端 した後に、実行結果を端末装置 10に通知するため、 Hop Limitのデクリメントが発 生せず、アドレス解決が可能となる。
[0057] 実施の形態 2.
図 13〜図 16を使用して実施の形態 2を説明する。実施の形態 2は、実施の形態 1 に対して、データ暗号装置 100が NSパケット 31を暗号化し、暗号化した NSパケット 31を NSパケット 43としてデータ暗号装置 200に送信する実施形態である。実施の 形態 2では NSパケットを暗号ィ匕するので、セキュリティを向上することができる。
[0058] 実施の形態 2のシステム構成及びデータ暗号装置の構成は、実施の形態 1と同じ である。
[0059] 図 13は、実施の形態 2におけるアドレス解決処理を示すシーケンス図である。図 13 を参照して、実施の形態 2におけるアドレス解決処理の動作を説明する。図 13は、図 3に対応する。図 13ίま、図 3に対して破線で囲まれた S43、 S44、 S45、 S46のステツ プの処理内容が異なる。端末装置 10が端末装置 20にデータを送信するにあたり、 端末装置 20のリンクレイヤアドレスを取得するため、アドレス解決問い合わせパケット (NSパケット 31)を端末装置 20宛に送信するのは実施形態 1と同様である。
[0060] (S43 :データ暗号装置 100が NSパケット 31を受信)
図 13の S31は、図 3の S31と同じである。データ暗号装置 100の送受信制御部 10 5は、図 3と同様に、平文ポート 103を介して NSパケット 31を受信する(S43)。プロト コル解析部 106が、受信したパケットを解析する。プロトコル解析部 106による解析の 結果、 NSパケットである場合には、 NDアドレス解決処理部 109が、平文ポート 103 が受信した NSパケット 31の処理を行う。
[0061] 図 14は、実施の形態 2において、データ暗号装置 100が平文ポート 103から NSパ ケット 31を受信した場合に、 NDアドレス解決処理部 109が実行する処理を示すフロ 一チャートである。図 14を参照して説明する。 S171〜S177が本実施の形態 2に関 するステップである。
[0062] まず、 NDアドレス解決処理部 109は、受信した NSパケット 31の TAが自局アドレス と一致するかをチェックする(ステップ S171)。図 13に示すように、 NSパケット 31の T Aは端末装置 20である。よって一致せず(S171の No)、 NDアドレス解決処理部 10 9は、 NSパケット 31内の SA、 TA、 LAをデータ暗号装置 100の記憶部 102に保持 する(ステップ S172)。そして、 NDアドレス解決処理部 109は、 NSパケット 31の SA( 端末装置 10)及び TA (端末装置 20)を用いて、 SPDZSADを検索する (ステップ S 173)。 SPDは、図 6のように、端末装置 10—端末装置 20の通信を暗号ィ匕する設定 である。よって、 NDアドレス解決処理部 109は、パケットの暗号化を決定する。 NDァ ドレス解決処理部 109は、 NSパケット 31の SAを自己(データ暗号装置 100)の IPv6 アドレスに書き換え、また、 LAを自己(データ暗号装置 100)のリンクレイヤアドレスに 書き換える (ステップ S 175)。そして、暗号ィ匕 Z復号部 108が NDアドレス解決処理 部 109の決定に従って、 SAと LAとが書き換えられた NSパケット 31を暗号ィ匕する (ス テツプ S176)。 NDアドレス解決処理部 109は、暗号化された NSパケットの宛先にデ ータ暗号装置 200を設定する。送受信制御部 105は、暗号ィ匕された NSパケットを N Sノケット 43として、暗号ポート 104から送信する(ステップ S177)。
[0063] (S44:データ暗号装置 200が暗号ポート 204から NSパケット 43を受信)
データ暗号装置 200は、暗号ポート 204から暗号化された NSパケット 43を受信す る(ステップ S44)。
[0064] 図 15は、データ暗号装置 200が暗号ポート 204力も NSパケット 43を受信した場合
に、 NDアドレス解決処理部 209が実行する処理を示すフローチャートである。図 15 を参照して説明する。 S201〜S206が本実施の形態 2に関するステップである。 S44 の内容を図 15を用いて説明する。
[0065] データ暗号装置 200は、データ暗号装置 100が送信した暗号化された NSパケット 43を暗号ポート 204から受信する。暗号化 Z復号部 208は、受信された NSパケット 43を復号する(ステップ S201、 S202)。次に、 NDアドレス解決処理部 209は、復号 された NSパケット 43の TAが自局アドレスと一致するかをチェックする(ステップ S20 3)。図 13に示すように、 NSパケット 43の TAは端末装置 20のため一致しない(S20 3の No)。このため、 NDアドレス解決処理部 209は、 NSパケット 43内の SA、 TA、 L Aをデータ暗号装置 200の記憶部 202に保持する(ステップ S204)。 NDアドレス解 決処理部 209は、 NSパケット 43の SAをデータ暗号装置 200の IPv6アドレスに書き 換え、 LAをデータ暗号装置 200のリンクレイヤアドレスに書き換える(ステップ S205) 。送受信制御部 205は、このアドレスが書き換えられた NSパケットを NSパケット 44と して平文ポート 203から送信する(ステップ S 206)。
[0066] (S45:端末装置 20が NSパケット 44を受信)
端末装置 20は、 NSパケット 44を受信する(S45)。データ暗号装置 200が送信し た NSパケット 44を受信した端末装置 20は、実施の形態 1と同様に、 NSパケット 44 の内容を書き換え、 NSパケット 44に応答する NAパケット 45 (応答パケット)としてデ ータ暗号装置 200に送信する。すなわち、データ暗号装置 200が送信する NSパケ ット 44において、 DAはマルチキャストであり、 SAはデータ暗号装置 200であり、 TA は端末 20であり、 LAはデータ暗号装置 200である。図 13に示すように、端末装置 2 0は、 DAをデータ暗号装置 200に書き換え、 SAを自己のアドレスに書き換え、 LAを 自己の物理アドレスに書き換え、データ暗号装置 200に送信する。
[0067] (S46:データ暗号装置 200が平文ポート 203から NAパケット 45を受信)
データ暗号装置 200は、端末装置 20が送信した NAパケット 45を平文ポート 203 から受信する(S46)。プロトコル解析部 206は、受信したパケットを解析する。 NDァ ドレス解決処理部 209は、プロトコル解析部 206による解析の結果、パケットが NAパ ケットの場合、平文ポート 203から受信した NAパケット 45に対する処理を行う。
[0068] 図 16は、データ暗号装置 200が平文ポート 203から NAパケット 45を受信した場合 に、 NDアドレス解決処理部 209が実行する処理を示すフローチャートである。図 16 を参照して説明する。 S191〜S 197が本実施の形態 2に関するステップである。
[0069] 図 13に示すように、 NAパケット 45の DAはデータ暗号装置 200のため(S191の Y es)、 NDアドレス解決処理部 209は、 TA, LAを Neighbor Cacheに登録する(ス テツプ S192)。 NDアドレス解決処理部 209は、先に保持している(図 15の S204)T Aの情報と受信した NAパケット 45の TAとが一致するため(S 193の Yes)、 NAパケ ット 45の DAを、データ暗号装置 100に変更する(ステップ S193、 S194)。次に、 N Dアドレス解決処理部 209は、 DA (データ暗号装置 100)及び SA (端末装置 20)を 用いて、 SPDZSADを検索し、パケットを暗号ィ匕するかどうかを判定する(ステップ S 195)。 SPDには図 6のように、端末装置 20とデータ暗号装置 100との間の通信を暗 号化するよう設定されている。よって、 NDアドレス解決処理部 209は、パケットの暗 号化を決定する(S195の暗号化)。暗号化 Z復号部 208は、 NDアドレス解決処理 部 209の決定に従って、 DAを変更した NAパケットを暗号ィ匕 (ステップ S 196)する。 図 13に示すように、送受信制御部 205は、暗号ィ匕された NAパケットを NAパケット 3 5 (暗号化応答パケット)として暗号ポート 204から送信する (ステップ S 197)。
[0070] (S36 :データ暗号装置 100が暗号ポート 104から NAパケット 35を受信)
データ暗号装置 100が、データ暗号装置 200の送信した NAパケット 35を暗号ポ ート 104から受信した場合の処理は、実施の形態 1の図 10と同様である。データ暗号 装置 100は、 NAパケット 35を復号後、 NAパケット 35の DAを端末装置 10の IPvアド レスに変更し (ステップ S146)、 「Hop Limit255」の NAパケット 36を平文ポート 10 3から送信する (ステップ S 147)。アドレス解決が完了した後において、端末装置 10 が端末装置 20にデータを送信する際の動作は、実施の形態 1の図 11、図 12と同様 である。
[0071] 以上のように、データ暗号装置が端末の代わりにアドレス解決を代行するだけでな く、 NSパケット内の SAと TAとを用いて SPDZSADを検索して NSパケットを暗号化 して送信する。これより、アドレス問い合わせの内容が秘匿され、ノ ケットの Hop Li mitのデクリメントによるアドレス解決の失敗を防ぐとともに、セキュリティの向上を図る
ことができる。
[0072] 以上の実施の形態 2では、データ暗号装置 100が NSパケットを暗号ィ匕した。すな わち、データ暗号装置 100は、 SA、 TAの情報をもとに暗号通信条件 SPDを参照し 、 NSパケットを暗号化し、データ暗号装置 200のアドレスを宛先に付与してデータ暗 号装置に送信する。この場合、マルチキャストアドレスは使用しない。データ暗号装 置 200は、暗号化された NSパケットを復号し NSパケットを取り出し、マルチキャスト 宛に送信する。このように NSパケットも暗号ィ匕するのでセキュリティを向上することが できる。
[0073] 実施の形態 3.
図 17〜図 20を使用して実施の形態 3を説明する。実施の形態 2では、データ暗号 装置 100が、実施の形態 1の NSパケット 32に相当するパケットを暗号ィ匕し、 NSパケ ット 43として送信した。実施の形態 3は、データ暗号装置 100が、端末装置 10の送信 した NSパケット 31を暗号ィ匕する実施形態である。このように NSパケットを暗号ィ匕する ので、実施の形態 2と同様に、セキュリティを向上することができる。
[0074] 実施の形態 3のシステム構成及びデータ暗号装置の構成は、実施の形態 1と同じ である。
[0075] 図 17は、実施の形態 3におけるアドレス解決処理を示すシーケンス図である。図 17 は、図 3に対応する。図 17を参照して、実施の形態 3におけるアドレス解決処理の動 作を説明する。図 17ίま、図 3に対して、破線で囲まれた S47、 S48, S49, S50、 S5 1のステップの処理内容が異なる。なお S50は、実施の形態 1に対して NAパケットの 内容が異なり、後述のように処理のフローは同様である。図 17を参照して、実施の形 態 3におけるアドレス解決処理の動作を説明する。
[0076] 端末装置 10が端末装置 20にデータを送信するにあたり、端末装置 20のリンクレイ ャアドレスを取得するため、端末装置 10がアドレス解決問い合わせパケット (NSパケ ット 31)を端末装置 20宛に送信するのは実施形態 1と同様である。
[0077] (S47:データ暗号装置 100が NSパケット 31を受信)
端末装置 10は、 NSパケット 31を送信する(S31)。データ暗号装置 100の送受信 制御部 105は、平文ポート 103を介して NSパケット 31を受信する(S47)。プロトコル
解析部 106が、受信したパケットを解析する。プロトコル解析部 106による解析の結 果、 NSパケットである場合には、 NDアドレス解決処理部 109が、平文ポート 103か ら受信した NSパケット 31の処理を行う。
[0078] 図 18は、データ暗号装置 100が平文ポート 103から NSパケット 31を受信した場合 に、 NDアドレス解決処理部 109が実行する処理を示すフローチャートである。図 18 を参照して説明する。 S221〜S225が本実施の形態 3に関するステップである。
[0079] NDアドレス解決処理部 109は、受信した NSパケット 31の TAが自局アドレスと一 致するかをチェックする(ステップ S221)。図 17に示すように、 NSパケット 31の TAは 端末装置 20のためアドレスは一致しない(S221の No)。 NDアドレス解決処理部 10 9は、 NSパケット 31の SA (端末装置 10)及び TA (端末装置 20)を用いて SPDZS ADを検索し、パケットを暗号ィ匕するかどうかを判定する (ステップ S222)。この場合、 NDアドレス解決処理部 109は、 SPD/SADの設定にしたがって、 NSパケット 31を 暗号ィ匕することを決定する (ステップ S223の暗号化)。そして、暗号化 Z復号部 108 力 NSパケット 31を暗号化する(ステップ S224)。 NDアドレス解決処理部 109は、 暗号ィ匕された NSパケット 31の宛先にデータ暗号装置 200のアドレスを設定する。送 受信制御部 105が、暗号化されたパケットを NSパケット 46として暗号ポート 104から 送信する(ステップ S 225)。
[0080] (S48:データ暗号装置 200が暗号ポート 204から NSパケット 46を受信)
データ暗号装置 200は、暗号ポート 204から NSパケット 46を受信する(ステップ S4 8)。図 19は、データ暗号装置 200が暗号ポート 204力も NSパケット 46を受信した場 合に、 NDアドレス解決処理部 209が実行する処理を示すフローチャートである。図 1 9を参照して説明する。 S241〜S245が本実施の形態 3に関するステップである。 S4 8の内容を図 19を用いて説明する。
[0081] データ暗号装置 200は、データ暗号装置 100が送信した暗号化された NSパケット 46を暗号ポート 204から受信する。データ暗号装置 200は、図 19のフローにしたが つて、暗号化 Z復号部 208が NSパケット 46を復号する(ステップ S241, S242)。次 に、 NDアドレス解決処理部 209は、復号された NSパケット 46の TAが自局アドレス と一致するかをチェックする(ステップ S243)。図 17に示すように、 NSパケット 46の T
Aは端末装置 20のため一致しない。この場合、 NDアドレス解決処理部 209は、へッ ダ内の Hop Limitをデクリメントせずに 255の値に維持する(ステップ S 244)。送受 信制御部 205は、復号された NSパケット 46を NSパケット 47として、平文ポート 203 から送信する (ステップ S245)。
[0082] (S49 :端末装置 20)
端末装置 20は、データ暗号装置 200が送信した NSパケット 47を受信し、受信した NSパケット 47のアドレスを書き換えて、 NAパケット 48として端末装置 10宛に送信す る(S49)。すなわち、端末装置 20が受信する NSパケット 47において、 DAはマルチ キャストであり、 SAは端末 10であり、 TAは端末 20であり、 LAは端末 10である。図 1 7に示すように、端末装置 20は、 DAを端末 10に書き換え、 SAを自己のアドレスに 書き換え、 LAを自己の物理アドレスに書き換える。端末装置 20は、アドレスを書き換 えたパケットを NAパケット 48として端末装置 10宛に送信する。
[0083] (S50:データ暗号装置 200が平文ポートから NAパケット 48を受信)
端末装置 20が送信した NAパケット 48を平文ポート 203から受信したデータ暗号 装置 200の処理は、実施の形態 1の図 9と同様である。すなわち、データ暗号装置 2 00は、 SPDZSADを参照し(S122)、 SPDZSADの設定に従って NAパケット 48 を暗号化し、暗号化した NAパケット 48を NAパケット 49としてデータ暗号装置 100 宛に送信する。
[0084] (S51:データ暗号装置 100が暗号ポート 104から NAパケット 49を受信)
図 17に示すように、データ暗号装置 100は、暗号ポート 204から NAパケット 49を 受信する (ステップ S51)。
[0085] 図 20は、データ暗号装置 100が暗号ポート 104力も NAパケット 49を受信した場合 に、 NDアドレス解決処理部 109が実行する処理を示すフローチャートである。図 20 を参照して説明する。 S261〜S265が本実施の形態 3に関するステップである。 S51 の内容を図 20を用いて説明する。
[0086] データ暗号装置 200が送信した暗号化された NAパケット 49を受信したデータ暗 号装置 100は、図 20に従って処理を行う。暗号化 Z復号部 108が NAパケット 49を 復号する(ステップ S 261、 S262)。次に、 NDアドレス解決処理部 109が、復号され
た NAパケット 49の DAが自局アドレスと一致するかをチェックする(ステップ S263)。 図 17に示すように、 NAパケット 49の DAは端末装置 10のため一致しない。この場合 、 NDアドレス解決処理部 109は、ヘッダ内の Hop Limitをデクリメントせずに Hop Limit= 255に維持する(ステップ S264)。送受信制御部 105は、復号された NAパ ケット 49を NAパケット 36として平文ポート 103から送信する(ステップ S265)
[0087] 以上のように、データ暗号装置が「NSパケット」及び「NAパケット」を暗号化して送 信するとともに、復号時にヘッダ内の Hop Limitをデクリメントせずに中継する。これ により、ノ ケットの Hop Limitのデクリメントによるアドレス解決の失敗を防ぎ、かつ、 アドレス解決情報を秘匿することが可能となり、セキュリティ向上を図ることができる
[0088] 実施の形態 4.
次に実施の形態 4を説明する。実施の形態 4は、データ暗号装置の一連の動作を、 アドレス解決方法、アドレス解決プログラムとして把握した場合の実施形態である。
[0089] 以上の実施の形態 1〜実施の形態 3では、データ暗号装置について説明した。実 施の形態 1〜実施の形態 3のデータ暗号装置の暗号化 Z復号部や NDアドレス解決 処理部等の構成要素の一連の動作は互いに関連しており、この一連の動作を、デー タ暗号装置が行うアドレス解決方法として把握することも可能である。また、これらの 一連の動作をコンピュータに実行させる処理として把握することで、コンピュータに実 行させるアドレス解決プログラムとして把握することができる。
[0090] 図 21は、コンピュータであるデータ暗号装置のハードウェア資源の一例を示す図で ある。なお端末装置もコンピュータであり、ハードウェア資源は、データ暗号装置と同 様である。
[0091] 図 21において、データ暗号装置は、プログラムを実行する CPU810 (Central Pr ocessing Unit)を備えている。 CPU810は、バス 825を介して ROM811 (Read Only Memory)、 RAM812 (Random Access Memory)、通信ボード 816、磁 気ディスク装置 820と接続され、これらのハードウェアデバイスを制御する。磁気ディ スク装置 820の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置 でもよい。
[0092] RAM812は、揮発性メモリの一例であり、 ROM811、磁気ディスク装置 820等の
記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格 納部の一例である。 ROM811には、データ暗号装置の MACアドレス(物理アドレス )が格納されている。
[0093] 通信ボード 816は、スィッチあるいは端末装置との間で通信を行う。
[0094] 磁気ディスク装置 820には、オペレーティングシステム 821 (OS)、プログラム群 82 3、ファイル群 824が記憶されている。プログラム群 823のプログラムは、 CPU810、 オペレーティングシステム 821により実行される。
[0095] 上記プログラム群 823には、以上の実施の形態 1〜実施の形態 3の説明において「 〜部」として述べた機能を実行するプログラムが記憶されている。プログラムは、 CPU 810により読み出され実行される。
[0096] ファイル群 824には、 SPD/SAD,あるいは前述した SA、 TA、 LA等のアドレス情 報、及びデータ暗号装置の論理アドレスなどが格納されている。また、ファイル群 82 4には、上記の実施の形態で述べた「〜の判定結果」、「〜の決定結果」、「〜の抽出 結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメ ータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜フ アイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディ スクゃメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメ ータは、読み書き回路を介して CPU810によりメインメモリやキャッシュメモリに読み 出され、抽出'検索 ·参照 ·比較'演算 ·計算 ·処理 ·出力などの CPUの動作に用いら れる。抽出'検索 ·参照 ·比較 '演算 ·計算 ·処理 ·出力の CPUの動作の間、情報ゃデ ータゃ信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモ リに一時的に記憶される。
[0097] また、以上で述べた実施の形態の説明にお!/、て「〜部」として説明したものは、「〜 回路」、「〜装置」、「〜機器」、「手段」であってもよぐまた、「〜ステップ」、「〜手順」 、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、 ROM811に記 憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或 いは、素子'デバイス '基板'配線などのハードウェアのみ、或いは、ソフトウェアとノヽ 一ドウエアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても
構わない。プログラムは CPU810により読み出され、 CPU810により実行される。す なわち、プログラムは、以上の説明で述べた「〜部」としてコンピュータを機能させるも のである
[0098] 以上のように、アドレス解決方法、アドレス解決プログラムは、端末装置が送信した ND問 、合わせパケット (NSパケット)のアドレスを書き換え、端末装置の代わりにアド レス解決を代行する。このため、アドレス解決は一旦、データ暗号装置で終端し、そ の後に端末装置にアドレス解決結果が通知されることなる。よって、ノ ケットの Hop Limitのデクリメントによるアドレス解決の失敗を防ぐことが可能となる。また、データ 暗号装置が「NAパケット」だけでなぐ「NSパケット」をも暗号ィ匕して送信するので、 アドレス解決情報を秘匿することが可能となり、セキュリティ向上を図ることができる 図面の簡単な説明
[0099] [図 1]実施の形態 1におけるシステム構成を示す図。
[図 2]実施の形態 1におけるデータ暗号装置の構成を示す図。
[図 3]実施の形態 1におけるアドレス解決の動作を示すシーケンス図。
[図 4]実施の形態 1における NDパケットの構成を示す図。
[図 5]実施の形態 1における平文ポートから NSパケットを受信した際のフローチャート
[図 6]実施の形態 1における SPDを示す図。
[図 7]実施の形態 1における SADを示す図。
[図 8]実施の形態 1における暗号ポートから NSパケットを受信した際のフローチャート
[図 9]実施の形態 1における平文ポートから NAパケットを受信した際のフローチャート
[図 10]実施の形態 1における暗号ポートから NAパケットを受信した際のフローチヤ一
[図 11]実施の形態 1における平文ポートからデータを受信した際のフローチャート。
[図 12]実施の形態 1における暗号ポートからデータを受信した際のフローチャート。
[図 13]実施の形態 2におけるアドレス解決の動作を示すシーケンス図。
[図 14]実施の形態 2における平文ポートから NSパケットを受信した際のフローチヤ一
[図 15]実施の形態 2における暗号ポートから NSパケットを受信した際のフローチヤ一
[図 16]実施の形態 2における平文ポートから NAパケットを受信した際のフローチヤ一
[図 17]実施の形態 3におけるアドレス解決の動作を示すシーケンス図。
[図 18]実施の形態 3における平文ポートから NSパケットを受信した際のフローチヤ一
[図 19]実施の形態 3における暗号ポートから NSパケットを受信した際のフローチヤ一
[図 20]実施の形態 3における暗号ポートから NAパケットを受信した際のフローチヤ一
[図 21]実施の形態 4におけるデータ暗号装置のハードウェア構成の一例を示す図。
[図 22]従来例を示す図。
[図 23]従来例を示す図。
[図 24]従来例を示す図。
符号の説明
10 端末装置、 20 端末装置、 30 スィッチ、 31, 32, 33 NSノ ケット、 34, 35, 36 NAノ ケッ卜、 40 平文 LAN、 43, 44 NSノ ケッ卜、 45 NAノ ケッ卜、 46, 47 NSノ ケット、 48, 49 NAパケット、 50 暗号 LAN、 60 暗号 LAN、 70 平文 LAN 、 100 データ暗号装置、 102 記憶部、 103 平文ポート、 104 暗号ポート、 105 送受信制御部、 106 プロトコル解析部、 107 SPDZSAD格納部、 108 暗号化 Z復号部、 109 NDアドレス解決処理部、 200 データ暗号装置、 202 記憶部、 2 03 平文ポート、 204 暗号ポート、 205 送受信制御部、 206 プロトコル解析部、 2 07 SPDZSAD格納部、 208 暗号化 Z復号部、 209 NDアドレス解決処理部、 3 10 ルータ、 320 インターネット、 330 ルータ、 340 スィッチ、 350 端末装置。
Claims
請求の範囲
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
記憶部とを備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のァ ドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせ パケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置の アドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレ ス解決問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを 含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号
化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とするデータ暗号装置。
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含むアドレス解決問 、合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲット アドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせバケツ トを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応 答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信し、 前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ
ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ Vヽて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするデータ暗号装置。
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格 納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗号ィ匕 するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決問い 合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の
装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換え た前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号化されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを前 記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とするデータ暗号装置。
データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるァドレ スをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した 前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイ ャアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信すると ともに、送信した前記アドレス解決問 、合わせパケットに応答するパケットであって宛 先アドレスを含む応答パケットを前記端末装置力 受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァドレ スである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前 記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問 い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変 更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納 する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕
し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするデータ暗号装置。
データを暗号化するデータ暗号装置において、
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス に基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索すること により、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定し、 前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号ィ匕を決定し た場合には前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示す
ホップリミットとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、 前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない 場合には、前記暗号ィ匕応答パケットに含まれる前記ホップリミットをデクリメントするこ となく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記暗号ィ匕 応答パケットを前記第 1の端末装置に送信することを特徴とするデータ暗号装置。 データを暗号化するデータ暗号装置において、
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備え、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス と、自己の可能な中継回数を示すホップリミットとを含む暗号ィ匕されたアドレス解決問 い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記 ホップリミットの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記アドレス 解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス 解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケット を前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ Vヽて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするデータ暗号装置。
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、 を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド
レスとして前記第 2の端末装置の論理アドレスと、リンクレイヤアドレスとして所定のァ ドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わせ パケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置の アドレスに書き換え、
前記暗号ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレ ス解決問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを 含む暗号化応答パケットを前記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とするアドレス解決方法。
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含むアドレス解決問 、合わせパケットを受信し、
前記アドレス解決処理部は、
前記暗号ポートが受信した前記アドレス解決問い合わせパケットの示すターゲット アドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせバケツ トを前記平文ポートから送信することを決定し、
前記平文ポートは、
前記アドレス解決処理部の決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応 答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信し、 前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ Vヽて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするアドレス解決方法。
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス をアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部が格 納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗号ィ匕 するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決問い 合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の 装置のアドレスに書き換え、
前記暗号処理部は、
前記アドレス処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き換え た前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号化されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを前 記他のデータ暗号装置から受信し、
前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスである場 合には、前記記憶部が格納した前記アドレス情報に基づいて、復号された前記暗号 化応答パケットの前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置 のアドレスに変更し、
前記平文ポートは、
前記アドレス解決処理部が前記宛先アドレスを変更した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信することを特徴とするアドレス解決方法。
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が行うアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス とを含む暗号化されたアドレス解決問い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートが受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれるァドレ スをアドレス情報として前記記憶部に格納するとともに、前記暗号処理部が復号した 前記アドレス解決問い合わせパケットに含まれる前記送信元アドレスと前記リンクレイ ャアドレスとを自己の装置のアドレスに書き換え、
前記平文ポートは、
前記アドレス解決処理部が前記送信元アドレスと前記リンクレイヤアドレスとを書き 換えた復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信すると ともに、送信した前記アドレス解決問 、合わせパケットに応答するパケットであって宛 先アドレスを含む応答パケットを前記端末装置力 受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァドレ スである場合には、前記記憶部が格納した前記アドレス情報を参照することにより前 記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決問 い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが変 更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格納 する前記暗号通信条件に基づき決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕 し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするアドレス解決方法。
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記平文ポートは、
前記第 1の端末装置から、第 2の端末装置の物理アドレスをリンクレイヤアドレスとし
て取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットアド レスとして前記第 2の端末装置の論理アドレスと、前記リンクレイヤアドレスとして所定 のアドレスとを含むアドレス解決問い合わせパケットを受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記アドレス解決問い合わせパケットに含まれるアドレス に基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索すること により、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定し、 前記暗号処理部は、
前記アドレス解決処理部が前記アドレス解決問い合わせパケットの暗号ィ匕を決定し た場合には前記アドレス解決問い合わせパケットを暗号ィ匕し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記アドレス解決問い合わせパケットを前記他のデ ータ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに 応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示す ホップリミットとを含む暗号化応答パケットを前記他のデータ暗号装置から受信し、 前記暗号処理部は、
前記暗号ポートが受信した前記暗号化応答パケットを復号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記暗号化応答パケットの前記宛先アドレスが自己の 装置のアドレスかどうかを判定し、前記宛先アドレスが自己の装置のアドレスではない 場合には、前記暗号ィ匕応答パケットに含まれる前記ホップリミットをデクリメントするこ となく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記暗号ィ匕 応答パケットを前記第 1の端末装置に送信することを特徴とするアドレス解決方法。 端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
アドレス解決処理部と、
暗号処理部と、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備えたデータ暗号装置が実行するアドレス解決方法において、
前記暗号ポートは、
前記他のデータ暗号装置から、前記端末装置の物理アドレスをリンクレイヤアドレス として取得するためのパケットであって宛先アドレスと、送信元アドレスと、ターゲットァ ドレスとして前記端末装置の論理アドレスと、リンクレイヤアドレスとして所定のアドレス と、自己の可能な中継回数を示すホップリミットとを含む暗号ィ匕されたアドレス解決問 い合わせパケットを受信し、
前記暗号処理部は、
前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問い合わせパケットを復 号し、
前記アドレス解決処理部は、
前記暗号処理部が復号した前記アドレス解決問い合わせパケットに含まれる前記 ホップリミットの値をデクリメントすることなく維持し、
前記平文ポートは、
前記アドレス解決処理部が前記ホップリミットの値を維持した復号後の前記アドレス 解決問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス 解決問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケット を前記端末装置から受信し、
前記アドレス解決処理部は、
前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のアドレスで はな 、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基づ Vヽて、前記応答パケットを暗号化するかどうかを決定し、
前記暗号処理部は、
前記アドレス解決処理部が暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕
し、
前記暗号ポートは、
前記暗号処理部が暗号化した前記応答パケットを前記他のデータ暗号装置に送 信することを特徴とするアドレス解決方法。
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、 を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム。
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド レスをアドレス情報として前記記憶部に格納するとともに、前記アドレス解決問い合わ せパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置 のアドレスに書き換える処理
(3)前記暗号ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた 前記アドレス解決問 、合わせパケットを送信するとともに、送信した前記アドレス解決 問い合わせパケットに応答する暗号ィ匕されたパケットであって宛先アドレスを含む暗 号化応答パケットを前記他のデータ暗号装置から受信する処理
(4)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(5)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか どうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記 憶部が格納した前記アドレス情報に基づ!/、て、復号された前記暗号化応答パケット の前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置のアドレスに変 更する処理
(6)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケ
ットを前記第 1の端末装置に送信する処理
[14] 端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートが受信した前記アドレス解決問 、合わせパケットの示すターゲッ トアドレスが自己の装置のアドレスではない場合、前記アドレス解決問い合わせパケ ットを前記平文ポートから送信することを決定する処理
(3)前記平文ポートが、前記決定に従って前記アドレス解決問い合わせパケットを前 記端末装置に送信するとともに、送信した前記アドレス解決問い合わせパケットに応 答するパケットであって宛先アドレスを含む応答パケットを前記端末装置力 受信す る処理
(4)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のァドレ スではな!/、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基 づ 、て、前記応答パケットを暗号ィ匕するかどうかを決定する処理
(5)暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕する処理
(6)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に 送信する処理
[15] 第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
pL fe p[5ど、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、前記リンクレイ ャアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する 処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド レスをアドレス情報として前記記憶部に格納するとともに、前記暗号通信条件格納部 が格納する前記暗号通信条件に基づ 、て前記アドレス解決問 、合わせパケットを暗 号ィ匕するかどうかを決定し、暗号ィ匕することを決定した場合には、前記アドレス解決 問!、合わせパケットに含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自 己の装置のアドレスに書き換える処理
(3)前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた前記アドレス解決 問!ヽ合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号ィ匕した前記アドレス解決問 、合わせパケットを前記他の データ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケット に応答する暗号ィ匕されたパケットであって宛先アドレスを含む暗号ィ匕応答パケットを 前記他のデータ暗号装置から受信する処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか どうかを判定し、前記宛先アドレスが自己の装置のアドレスである場合には、前記記 憶部が格納した前記アドレス情報に基づ!/、て、復号された前記暗号化応答パケット の前記宛先アドレスを自己の装置のアドレス力 前記第 1の端末装置のアドレスに変 更する処理
(7)前記平文ポートが、前記宛先アドレスを変更した復号後の前記暗号化応答パケ ットを前記第 1の端末装置に送信する処理。
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスとを含む暗号ィ匕されたアドレス解決問い合わせパケットを 受信する処理
(2)前記暗号ポートが受信した暗号化された前記アドレス解決問 ヽ合わせパケットを 復号する処理
(3)復号した前記アドレス解決問 、合わせパケットに含まれるアドレスをアドレス情報 として前記記憶部に格納するとともに、復号した前記アドレス解決問い合わせパケット に含まれる前記送信元アドレスと前記リンクレイヤアドレスとを自己の装置のアドレス に書き換える処理
(4)前記平文ポートが、前記送信元アドレスと前記リンクレイヤアドレスとを書き換えた 復号後の前記アドレス解決問い合わせパケットを前記端末装置に送信するとともに、 送信した前記アドレス解決問い合わせパケットに応答するパケットであって宛先アドレ スを含む応答パケットを前記端末装置力 受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの前記宛先アドレスが自己の装置のァ ドレスである場合には、前記記憶部が格納した前記アドレス情報を参照することにより 前記平文ポートが受信した前記応答パケットの前記宛先アドレスを前記アドレス解決 問い合わせパケットに含まれる送信元アドレスに変更するとともに前記宛先アドレスが 変更された前記応答パケットを暗号化するかどうかを前記暗号通信条件格納部が格 納する前記暗号通信条件に基づき決定する処理
(6)前記アドレス解決処理部が暗号ィヒを決定した場合には前記応答パケットを暗号 化する処理
(7)前記暗号ポートが、暗号化した前記応答パケットを前記他のデータ暗号装置に 送信する処理
第 1の端末装置に接続した平文ポートと、
他のデータ暗号装置に接続した暗号ポートと、
§Life* p[5ご、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム
(1)前記平文ポートが、前記第 1の端末装置から、第 2の端末装置の物理アドレスをリ ンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信元アド レスと、ターゲットアドレスとして前記第 2の端末装置の論理アドレスと、前記リンクレイ ャアドレスとして所定のアドレスとを含むアドレス解決問い合わせパケットを受信する 処理
(2)前記平文ポートが受信した前記アドレス解決問 、合わせパケットに含まれるアド レスに基づいて前記暗号通信条件格納部が格納する前記暗号通信条件を検索する ことにより、前記アドレス解決問い合わせパケットを暗号ィ匕するかどうかを決定する処 理
(3)前記アドレス解決問!、合わせパケットの暗号ィ匕を決定した場合には前記アドレス 解決問 ヽ合わせパケットを暗号化する処理
(4)前記暗号ポートが、暗号ィ匕した前記アドレス解決問 、合わせパケットを前記他の データ暗号装置に送信するとともに、送信した前記アドレス解決問い合わせパケット に応答する暗号ィ匕されたパケットであって宛先アドレスと自己の可能な中継回数を示 すホップリミットとを含む暗号ィ匕応答パケットを前記他のデータ暗号装置力も受信する 処理
(5)前記暗号ポートが受信した前記暗号化応答パケットを復号する処理
(6)復号した前記暗号化応答パケットの前記宛先アドレスが自己の装置のアドレスか
どうかを判定し、前記宛先アドレスが自己の装置のアドレスではない場合には、前記 暗号ィ匕応答パケットに含まれる前記ホップリミットをデクリメントすることなく維持する処 理
(7)前記平文ポートが、前記ホップリミットの値を維持した復号後の前記暗号化応答 パケットを前記第 1の端末装置に送信する処理
端末装置と接続した平文ポートと、
他のデータ暗号装置と接続した暗号ポートと、
§Li'fe p[5と、
暗号通信条件を格納する暗号通信条件格納部と
を備えたコンピュータであるデータ暗号装置に以下の処理を実行させるアドレス解決 プログラム
(1)前記暗号ポートが、前記他のデータ暗号装置から、前記端末装置の物理アドレ スをリンクレイヤアドレスとして取得するためのパケットであって宛先アドレスと、送信 元アドレスと、ターゲットアドレスとして前記端末装置の論理アドレスと、リンクレイヤァ ドレスとして所定のアドレスと、自己の可能な中継回数を示すホップリミットとを含む暗 号化されたアドレス解決問い合わせパケットを受信する処理
(2)前記暗号ポートの受信した暗号ィ匕された前記アドレス解決問 ヽ合わせパケットを 復号する処理
(3)復号した前記アドレス解決問 、合わせパケットに含まれる前記ホップリミットの値 をデクリメントすることなく維持する処理
(4)前記平文ポートが、前記ホップリミットの値を維持した復号後の前記アドレス解決 問い合わせパケットを前記端末装置に送信するとともに、送信した前記アドレス解決 問い合わせパケットに応答するパケットであって宛先アドレスを含む応答パケットを前 記端末装置から受信する処理
(5)前記平文ポートが受信した前記応答パケットの前記宛先アドレスが自己の装置 のアドレスかどうかを判定し、前記応答パケットの宛先アドレスが自己の装置のァドレ スではな!/、場合には、前記暗号通信条件格納部が格納する前記暗号通信条件に基 づ 、て、前記応答パケットを暗号ィ匕するかどうかを決定する処理
(6)暗号ィ匕を決定した場合には前記応答パケットを暗号ィ匕する処理
(7)前記暗号ポートが、前記暗号処理部が暗号化した前記応答パケットを前記他の データ暗号装置に送信する処理
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008531902A JPWO2008026243A1 (ja) | 2006-08-28 | 2006-08-28 | データ暗号装置及びアドレス解決方法及びアドレス解決プログラム |
| PCT/JP2006/316887 WO2008026243A1 (fr) | 2006-08-28 | 2006-08-28 | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/316887 WO2008026243A1 (fr) | 2006-08-28 | 2006-08-28 | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2008026243A1 true WO2008026243A1 (fr) | 2008-03-06 |
Family
ID=39135535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2006/316887 WO2008026243A1 (fr) | 2006-08-28 | 2006-08-28 | Dispositif de cryptage de données, procédé et programme de résolution d'adresse |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JPWO2008026243A1 (ja) |
| WO (1) | WO2008026243A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07170280A (ja) * | 1993-12-15 | 1995-07-04 | Ricoh Co Ltd | ローカルエリアネットワーク |
| JPH09252315A (ja) * | 1996-03-14 | 1997-09-22 | Mitsubishi Electric Corp | 暗号通信システムおよび暗号装置 |
| JP2001156841A (ja) * | 1999-11-26 | 2001-06-08 | Mitsubishi Electric Corp | 暗号装置、暗号化器および復号器 |
| JP2002271417A (ja) * | 2001-03-06 | 2002-09-20 | Hitachi Cable Ltd | トンネリング装置 |
-
2006
- 2006-08-28 WO PCT/JP2006/316887 patent/WO2008026243A1/ja active Application Filing
- 2006-08-28 JP JP2008531902A patent/JPWO2008026243A1/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07170280A (ja) * | 1993-12-15 | 1995-07-04 | Ricoh Co Ltd | ローカルエリアネットワーク |
| JPH09252315A (ja) * | 1996-03-14 | 1997-09-22 | Mitsubishi Electric Corp | 暗号通信システムおよび暗号装置 |
| JP2001156841A (ja) * | 1999-11-26 | 2001-06-08 | Mitsubishi Electric Corp | 暗号装置、暗号化器および復号器 |
| JP2002271417A (ja) * | 2001-03-06 | 2002-09-20 | Hitachi Cable Ltd | トンネリング装置 |
Non-Patent Citations (2)
| Title |
|---|
| NAGASHIMA N. ET AL.: "A Repeater Encryption Unit for IPv4 and IPv6", PROCEEDINGS OF THE 13TH IEEE INTERNATIONAL CONFERENCE ON NETWORKS (ICON), vol. 1, 2005, pages 335 - 340, XP003002962 * |
| POSTE J.: "Multi-LAN Address Resolution", RFC-925, vol. 4, 1984, XP003002963 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2008026243A1 (ja) | 2010-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7948921B1 (en) | Automatic network optimization | |
| Fall et al. | Tcp/ip illustrated | |
| JP3793083B2 (ja) | トンネリングおよび補償を使用するネットワーク・アドレス翻訳によりセキュリティを与えるための方法および装置 | |
| US6101543A (en) | Pseudo network adapter for frame capture, encapsulation and encryption | |
| US7869446B2 (en) | Optimized dynamic multipoint virtual private network over IPv6 network | |
| EP3595271B1 (en) | Packet transmission method, apparatus and network | |
| US20040184456A1 (en) | Packet-oriented data communications between mobile and fixed data networks | |
| JP4814489B2 (ja) | 階層化ヘッダ付きのパケットの処理方法、システム及びコンピュータ製品 | |
| JP4863015B2 (ja) | フレーム処理方法及びフレーム処理装置 | |
| CN101156420A (zh) | 防止来自网络地址端口转换器所服务的客户机的重复源 | |
| US11888818B2 (en) | Multi-access interface for internet protocol security | |
| US8582574B2 (en) | Access device for preventing transmission of copyrighted content to external network and method for the same | |
| Loshin | IPv6 clearly explained | |
| JP2008311939A (ja) | ネットワーク通信機器 | |
| WO2008026243A1 (fr) | Dispositif de cryptage de données, procédé et programme de résolution d'adresse | |
| US20180159798A1 (en) | Packet relay apparatus and packet relay method | |
| JP5587085B2 (ja) | 通信システム、制御装置及び制御プログラム | |
| CN111586207A (zh) | 用于跨网络传递客户端源地址的方法、系统及相关设备 | |
| Templin | The Subnetwork Encapsulation and Adaptation Layer (SEAL) | |
| JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
| Herrero et al. | Network and Transport Layers | |
| JP2006165847A (ja) | パケット長制御装置及び該方法並びにルータ装置 | |
| CN109120417B (zh) | 计费报文的抄送方法、装置、计费服务器及接入设备 | |
| KR100522090B1 (ko) | IPv6 계층에서의 패킷 보호 방법 | |
| KR100705570B1 (ko) | IPv4망과 IPv6망간의 자동 설정터널링 시스템 및 그방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 06783116 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2008531902 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| NENP | Non-entry into the national phase |
Ref country code: RU |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 06783116 Country of ref document: EP Kind code of ref document: A1 |