JP2004180318A - Data encryption or decryption method and data encryption or decryption device - Google Patents

Data encryption or decryption method and data encryption or decryption device Download PDF

Info

Publication number
JP2004180318A
JP2004180318A JP2003395945A JP2003395945A JP2004180318A JP 2004180318 A JP2004180318 A JP 2004180318A JP 2003395945 A JP2003395945 A JP 2003395945A JP 2003395945 A JP2003395945 A JP 2003395945A JP 2004180318 A JP2004180318 A JP 2004180318A
Authority
JP
Japan
Prior art keywords
data
encryption
algorithm module
decryption
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003395945A
Other languages
Japanese (ja)
Inventor
Meiho Yo
明峰 葉
Seimei Rin
靜▲めい▼ 林
Kini Ho
均偉 方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CNB021526060A external-priority patent/CN100431295C/en
Priority claimed from TW091134349A external-priority patent/TWI224456B/en
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Publication of JP2004180318A publication Critical patent/JP2004180318A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a data encryption and decryption method and apparatus. <P>SOLUTION: An encryption algorithm module combination is selected from a plurality of encryption algorithm module combinations predetermined by the user in cooperation with the data attribute matching and a dynamic selection mechanism to perform encryption of data. The encryption of data through such alternate use of different encryption algorithm module combinations not only enhances the complexity in decryption of the data, the processing speed is not sacrificed due to use of relatively complicated encryption algorithms to ensure security. Furthermore, data are decrypted using decryption algorithm module combinations that are dynamically switched according to decryption information appended to the ciphertext. <P>COPYRIGHT: (C)2004,JPO

Description

本発明は、データ属性をマッチングすることにより、及び、データの暗号化において動的な選択機構によって異なる暗号化アルゴリズムモジュールを組み合わせて交互に使用することにより、データの暗号、解読が統合され、処理速度を保証しつつ十分なデータセキュリティと保護を実現する、データを暗号化及び解読する方法並びに装置に関する。   The present invention integrates data encryption and decryption by matching data attributes and by alternately using different encryption algorithm modules in combination by a dynamic selection mechanism in data encryption, and A method and apparatus for encrypting and decrypting data that achieves sufficient data security and protection while guaranteeing speed.

インターネットの普及により、多くの企業は異なる場所に位置する従属会社との通信にインターネットを利用している。機密データをデータのネットワーク転送中にハッカによる盗難、改変から保護するため、データは、鍵に関連した暗号化アルゴリズムを用いて暗号化され、データに対する非承認のアクセスを禁止し、転送されるデータの機密性を保証している。また、ハッシュ関数がデータの認証するために使用され、データの正当性を保証する。現在、CISCO社のルータのような多くの製品が利用できる。CISCO社のルータは、ネットワーク伝送中のデータを保護するために、RFC2401のIPに対してセキュリティアーキテクチャの技術を利用する。   With the spread of the Internet, many companies are using the Internet to communicate with subordinate companies located in different locations. To protect sensitive data from being stolen or altered by hackers during data transmission over the network, the data is encrypted using an encryption algorithm associated with the key, prohibiting unauthorized access to the data and transferring the data. The confidentiality is guaranteed. Also, a hash function is used to authenticate the data, guaranteeing the validity of the data. Many products are currently available, such as CISCO routers. CISCO routers use security architecture technology over RFC 2401 IP to protect data during network transmission.

暗号化アルゴリズムにおいて、データは人間にとって理解不能な形式に変換される。データを受け取った相手方は、それを読むことを可能とする前にデータを解読しなければならない。たとえ暗号文が伝送中に傍受されたとしても、傍受した相手がデータを解読するための鍵を持っていなければ、データは単なるゴミデータである。一般に利用されている暗号化アルゴリズムには、DES、RSA、3DES、FEAL、IDEA等がある。   In encryption algorithms, data is converted into a form that is invisible to humans. The recipient of the data must decrypt the data before it can read it. Even if the ciphertext is intercepted during transmission, if the intercepting party does not have a key to decrypt the data, the data is simply garbage data. Commonly used encryption algorithms include DES, RSA, 3DES, FEAL, IDEA, and the like.

認証アルゴリズムはデータを固定長の値に変換する。この値から元のデータを逆アルゴリズムによって得ることは不可能である。認証アルゴリズムは主として、送り側と受けて側の識別を確実にするため、及び、データそれ自体が正当であることを検証するために使用される。例えば、データ自体を処理のためのハッシュ関数へ転送することは、データと共に転送されるチェックサムに帰着し得る。受けて側は、データ自体が変更されているか否かを知るために、チェックサムを用いてデータ自体を検証できる。一般的な認証アルゴリズムには、N−HASH、MD5、SHA1、MD4、MD2等がある。   The authentication algorithm converts the data to a fixed length value. It is impossible to obtain the original data from this value by an inverse algorithm. Authentication algorithms are primarily used to ensure the identity of the sender and the recipient, and to verify that the data itself is valid. For example, transferring the data itself to a hash function for processing may result in a checksum transmitted with the data. The receiving side can verify the data itself using the checksum to know if the data itself has been modified. Common authentication algorithms include N-HASH, MD5, SHA1, MD4, MD2, and the like.

パケットはデータ形式の種類である。ネットワークを介して送信または受信されるデータは全てパケットの形式に変換される。データ送信の前にデータはパケットに分割され、パケットはデータ受信時に再結合され元のデータを形成する。パケット送信中にエラーが発生した場合、受信者は、送信時間全体を効率的に削減するためにエラーを有するパケットの再送信を要求してもよい。たとえパケットが盗まれたとしても、全てのパケットが盗まれない限りは、元の完全なデータにアクセスすることはできない。   Packets are a type of data format. All data transmitted or received over the network is converted to a packet format. Prior to data transmission, the data is split into packets, and the packets are recombined upon receipt of the data to form the original data. If an error occurs during packet transmission, the receiver may request retransmission of the erroneous packet to effectively reduce the overall transmission time. Even if the packets are stolen, the original complete data cannot be accessed unless all the packets are stolen.

CISCO社のルータはネットワーク送信中のデータセキュリティを保証する”IPセキュリティプロトコル”技術は採用する。図5、6は、それに採用されるデータ暗号化及び解読処理装置を示すブロック図である。図5に示すように、50は原文(plaintext)を入力するデータ入力部を、51はユーザにより決定される暗号化アルゴリズムに応じたパケット暗号化処理を実行する暗号化部を示す。52はユーザにより決定される認証アルゴリズムに応じたパケット認証処理を実行する認証部を示す。53は暗号文をメモリまたは他の記憶装置に出力するデータ出力部を示す。図6において、60は暗号文を入力する入力部を示す。61はユーザにより決定される認証アルゴリズムに応じたパケット認証処理を実行する認証部を示す。62はユーザにより決定される解読アルゴリズムに応じたパケット解読処理を実行する解読部を示す。63は原文をメモリまたは他の記憶装置に出力するデータ出力部を示す。   CISCO routers use "IP Security Protocol" technology to ensure data security during network transmission. FIGS. 5 and 6 are block diagrams showing a data encryption and decryption processing device employed therein. As shown in FIG. 5, reference numeral 50 denotes a data input unit for inputting an original text (plaintext), and reference numeral 51 denotes an encryption unit for executing a packet encryption process according to an encryption algorithm determined by a user. Reference numeral 52 denotes an authentication unit that executes a packet authentication process according to an authentication algorithm determined by the user. Reference numeral 53 denotes a data output unit that outputs a cipher text to a memory or another storage device. In FIG. 6, reference numeral 60 denotes an input unit for inputting a ciphertext. Reference numeral 61 denotes an authentication unit that executes a packet authentication process according to an authentication algorithm determined by the user. Reference numeral 62 denotes a decryption unit that performs a packet decryption process according to a decryption algorithm determined by the user. A data output unit 63 outputs the original text to a memory or another storage device.

データ暗号化装置において、原文はデータ入力部50を介して入力される。その後、暗号化部51において、以前に決定された暗号化アルゴリズム及び鍵にしたがい、データの暗号化が実行される。次に、認証部52において、以前に決定された認証アルゴリズムにしたがいデータの認証が実行される。最後に、暗号文がデータ出力部53を介して使用のために出力される。   In the data encryption device, the original text is input via the data input unit 50. After that, the encryption unit 51 performs data encryption according to the encryption algorithm and the key determined previously. Next, in the authentication unit 52, data authentication is performed in accordance with the previously determined authentication algorithm. Finally, the ciphertext is output via the data output unit 53 for use.

データ解読装置端では、暗号文がデータ入力部60を介して入力される。その後、認証部61において、以前に決定された認証アルゴリズムにしたがいデータの認証が実行される。そして、解読部62において、以前に決定された解読アルゴリズム及び鍵にしたがい、データの解読が実行される。最後に、原文が使用のためにデータ出力部63に送信される。   At the data decryption device end, the ciphertext is input via the data input unit 60. Thereafter, the authentication unit 61 performs data authentication according to the authentication algorithm determined previously. Then, the decryption unit 62 decrypts the data according to the previously determined decryption algorithm and key. Finally, the original is sent to data output 63 for use.

インターネット上の送受信のための上記処理装置において、暗号化及び認証アルゴリズムがデータ正当性及びデータ機密性サービスを提供するために使用される。このため、3DESアルゴリズムがデータの暗号化のために使用され、SHA1アルゴリズムがデータ認証に使用されたときは、処理速度は低下する。しかしながら、処理速度の向上のために、データの暗号化にDESアルゴリズムが使用され、データの認証のためにMD5アルゴリズムが使用されると、データ機密性及びデータ正当性のセキュリティレベルは大幅に低下する。それゆえ、セキュリティレベルと処理速度のバランス点をどのように見つけるかが、当該分野において重要な問題である。   In the above processing device for transmission and reception on the Internet, encryption and authentication algorithms are used to provide data validity and data confidentiality services. Therefore, when the 3DES algorithm is used for data encryption and the SHA1 algorithm is used for data authentication, the processing speed decreases. However, when the DES algorithm is used to encrypt data and the MD5 algorithm is used to authenticate data to improve processing speed, the security level of data confidentiality and data validity is greatly reduced. . Therefore, how to find the balance between security level and processing speed is an important issue in the field.

上記課題を解決するため、本発明の一態様においてデータ暗号化方法は、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップAと、各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、暗号定義フィールドは複数の暗号化アルゴリズムモジュールインジケータを含んでおり、
暗号化されるデジタルデータを入力するステップBと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義データを取出すステップCと、
該取出した暗号定義データから、無作為に1つの暗号化アルゴリズムモジュールインジケータを選択するステップDと、
該選択された暗号化アルゴリズムモジュールインジケータを規準として用いて、前記入力したデータの暗号化処理を制御するステップEと、
暗号化処理されたデジタルデータに解読情報を付加して出力するステップFとを含む。 In order to solve the above problems, in one embodiment of the present invention, a data encryption method includes:
Step A of constructing a security class database storing a plurality of data record entries, each record entry including a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption algorithm module indicators. And
Step B of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data and extracting the corresponding encryption definition data;
A step D of randomly selecting one encryption algorithm module indicator from the extracted encryption definition data;
Using the selected encryption algorithm module indicator as a criterion, controlling an encryption process of the input data; and
Adding decryption information to the encrypted digital data and outputting it.

本発明の別の態様によるデータ暗号化方法は、
データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップBと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化モジュールデータベースインデックスを含んでおり、
暗号化されるデジタルデータを入力するステップCと、
セキュリティクラスデータベースから、デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義データを取出すステップDと、
該取出した暗号定義データから、無作為に1つの暗号化モジュールデータベースインデックスを選択するステップEと、
該選択された暗号化モジュールデータベースインデックスにしたがい、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップFと、
該選択されたレコードのエントリを規準として用いて、暗号化の種類と認証の種類を含む、前記入力デジタルデータの暗号化処理を制御するステップGと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップHとを含む。 A data encryption method according to another aspect of the present invention includes:
Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Step B of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption module database indexes.
Step C of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data and extracting the corresponding cryptographic definition data;
A step E of randomly selecting one encryption module database index from the extracted encryption definition data;
Selecting a record entry from the encryption module database according to the selected encryption module database index, F;
Using the entry of the selected record as a criterion, controlling the encryption process of the input digital data, including the type of encryption and the type of authentication; and
Adding decryption information to the encrypted digital data and outputting it.

本発明のさらに別の態様によるデータ暗号化方法は、
複数の暗号化アルゴリズムモジュールインジケータを含む暗号定義データを構築するステップAと、
暗号化されるデジタルデータを入力するステップBと、
前記暗号定義データから無作為に、1つの暗号化アルゴリズムモジュールインジケータを選択するステップCと、
該選択された暗号化アルゴリズムモジュールインジケータを規準として用いて、前記入力デジタルデータの暗号化処理を制御するステップDと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップEとを含む。 A data encryption method according to still another aspect of the present invention includes:
Constructing cryptographic definition data including a plurality of cryptographic algorithm module indicators;
Step B of inputting digital data to be encrypted;
(C) randomly selecting one encryption algorithm module indicator from the encryption definition data;
Using the selected encryption algorithm module indicator as a criterion, controlling the encryption process of the input digital data; D.
Adding decryption information to the encrypted digital data and outputting the digital data.

本発明のさらに別の態様によるデータ暗号化方法は、
データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
複数の暗号化モジュールデータベースインデックスを含む暗号定義データを構築するステップBと、
暗号化されるデジタルデータを入力するステップCと、
前記暗号定義データから、無作為に1つの暗号化モジュールデータベースインデックスを選択するステップDと、
該選択された暗号化モジュールデータベースインデックスにしたがい、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップEと、
該選択されたレコードのエントリを規準として用いて、暗号の種類と認証の種類を含んだ、前記入力デジタルデータの暗号化処理を制御するステップFと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップGとを含む。 A data encryption method according to still another aspect of the present invention includes:
Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Building B cryptographic definition data including a plurality of cryptographic module database indexes;
Step C of inputting digital data to be encrypted;
(C) randomly selecting one cryptographic module database index from the cryptographic definition data;
A step E of selecting an entry of one record from the encryption module database according to the selected encryption module database index;
Using the entry of the selected record as a criterion, controlling the encryption processing of the input digital data, including the type of encryption and the type of authentication;
Adding decryption information to the encrypted digital data and outputting it.

本発明のさらに別の態様によるデータ暗号化方法は、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップAと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、暗号定義データフィールドは暗号化アルゴリズムモジュールインジケータであり、
暗号化されるデジタルデータを入力するステップBと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を見つけ出し、対応する暗号定義フィールドの暗号化アルゴリズムモジュールインジケータを取出すステップCと、
該取出された暗号化アルゴリズムモジュールインジケータを規準として用いて、入力デジタルデータの暗号化処理を制御するステップDと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップEとを含む。 A data encryption method according to still another aspect of the present invention includes:
Step A of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition data field is an encryption algorithm module indicator;
Step B of inputting digital data to be encrypted;
Finding, from the security class database, a data attribute description that matches an attribute of the digital data, and extracting an encryption algorithm module indicator of a corresponding encryption definition field;
Using the retrieved encryption algorithm module indicator as a criterion, controlling the encryption of the input digital data; D.
Adding decryption information to the encrypted digital data and outputting the digital data.

本発明のさらに別の態様によるデータ暗号化方法は、
データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは、暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップBと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化モジュールデータベースインデックスを含んでおり、
暗号化されるデジタルデータを入力するステップCと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義フィールドから、暗号化モジュールデータベースインデックスを取出すステップDと、
該取出された暗号化モジュールデータベースインデックスを規準として用いて、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップEと、
該選択されたレコードのエントリを規準として用いて、暗号化の種類と認証の種類を含む、前記入力データの暗号化処理を制御するステップFと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップGとを含む。 A data encryption method according to still another aspect of the present invention includes:
Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Step B of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption module database indexes.
Step C of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data, and extracting an encryption module database index from the corresponding encryption definition field;
Using the retrieved cryptographic module database index as a criterion, selecting an entry for one record from the cryptographic module database;
Using the entry of the selected record as a criterion, controlling the encryption processing of the input data, including the type of encryption and the type of authentication, and F;
Adding decryption information to the encrypted digital data and outputting it.

本発明の一の態様によるデータ暗号化装置は、データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置であって、
データのレコードのエントリを複数格納するセキュリティクラスデータベースと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化アルゴリズムモジュールインジケータを含んでおり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記セキュリティクラスデータベースを前記検証部から送られたパラメータデータによって更新するパラメータ処理部と、
前記セキュリティクラスデータベースから、前記検証部から送られたデジタルデータの属性と一致するデータ属性記述を検索し、対応する暗号定義データを暗号選択部に送信する属性検証部と、
前記暗号選択部は、検索した暗号定義データから、無作為に1つの暗号化アルゴリズムモジュールインジケータを選択し、
前記暗号選択部により選択された暗号化アルゴリズムモジュールインジケータを規準として用いて前記入力データの暗号化処理を制御する暗号処理部とを備える。 A data encryption device according to one aspect of the present invention is a data encryption device including an input unit that inputs data, and an output unit that outputs data after data encryption processing.
A security class database that stores a plurality of data record entries,
Each record entry includes a data attribute description field and a corresponding encryption definition field, the encryption definition field including a plurality of encryption algorithm module indicators,
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the security class database with parameter data sent from the verification unit,
From the security class database, an attribute verification unit that searches for a data attribute description that matches the attribute of the digital data sent from the verification unit, and transmits the corresponding encryption definition data to the encryption selection unit,
The encryption selecting unit randomly selects one encryption algorithm module indicator from the searched encryption definition data,
And an encryption processing unit that controls encryption processing of the input data using the encryption algorithm module indicator selected by the encryption selection unit as a reference.

本発明の別の態様によるデータ暗号化装置は、データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置であって、
データのレコードのエントリを複数格納する暗号化モジュールデータベースと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータを含んでおり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記暗号化モジュールデータベースを、前記検証部からのパラメータデータを用いて更新するパラメータ処理部と、
前記暗号化モジュールデータベースから、1つのレコードのエントリを無作為に選択する暗号選択部と、
該暗号選択部により選択されたレコードのエントリを規準として用いて前記入力デジタルデータの暗号化処理を制御する暗号処理部とを備える。 A data encryption device according to another aspect of the present invention is a data encryption device including an input unit that inputs data, and an output unit that outputs data after data encryption processing.
An encryption module database that stores a plurality of data record entries;
Each record entry contains an encryption algorithm module indicator,
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the encryption module database using parameter data from the verification unit;
An encryption selection unit that randomly selects one record entry from the encryption module database;
An encryption processing unit that controls an encryption process of the input digital data using an entry of a record selected by the encryption selection unit as a reference.

本発明の別の態様によるデータ暗号化装置は、データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置であって、
データのレコードのエントリを複数格納するセキュリティクラスデータベースと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、前記暗号定義フィールドは暗号化アルゴリズムモジュールインジケータであり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記セキュリティクラスデータベースを前記検証部からのパラメータデータによって更新するパラメータ処理部と、
前記セキュリティクラスデータベースから、前記検証部から送られたデジタルデータの属性と一致するデータ属性記述を検索し、対応する暗号定義データを暗号処理部に送信する属性検証部とを備える。暗号処理部は、前記属性検証部により選択された暗号化アルゴリズムモジュールインジケータを規準として用いて前記入力デジタルデータの暗号化処理を制御する。 A data encryption device according to another aspect of the present invention is a data encryption device including an input unit that inputs data, and an output unit that outputs data after data encryption processing.
A security class database that stores a plurality of data record entries,
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field is an encryption algorithm module indicator;
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the security class database with parameter data from the verification unit,
An attribute verification unit that searches the security class database for a data attribute description that matches the attribute of the digital data transmitted from the verification unit, and transmits the corresponding cryptographic definition data to a cryptographic processing unit. The encryption processing unit controls the encryption processing of the input digital data using the encryption algorithm module indicator selected by the attribute verification unit as a criterion.

本発明の一の態様によるデータ解読方法は、
解読されるデジタルデータを入力するステップAと、
前記デジタルデータが解読アルゴリズムモジュールインジケータを含むか否かを検証し、含む場合には、前記解読アルゴリズムモジュールインジケータを検出し、含まない場合には、解読されるべきデータを、後のステップDにおける処理のために、前記入力データと等価なものに設定するステップBと、
検索した解読アルゴリズムモジュールインジケータを規準として用いて、前記入力デジタルデータの解読処理を制御するステップCと、
解読された前記デジタルデータを出力するステップDとを含む。 A data decryption method according to one aspect of the present invention includes:
Step A of inputting digital data to be decrypted;
Verifying whether the digital data includes a decryption algorithm module indicator, and if so, detecting the decryption algorithm module indicator; if not, processing the data to be decrypted in a later step D A step B for setting the input data equivalent to the input data;
Using the retrieved decryption algorithm module indicator as a criterion to control decryption processing of the input digital data;
Outputting the decrypted digital data.

本発明の別の態様によるデータ解読方法は、
データのレコードのエントリを複数格納する解読モジュールデータベースを構築するステップAと、
各レコードのエントリは、解読アルゴリズムモジュールインジケータであり、
解読されるデジタルデータを入力するステップBと、
前記デジタルデータが解読モジュールデータベースインデックスを含むか否かを検証し、含む場合は、前記解読モジュールデータベースインデックスを検索し、含まない場合は、解読されるべきデータを、後のステップFにおける処理のために、入力データと等しいものに設定するステップCと、
検索された解読モジュールデータベースインデックスを規準として用いて、前記解読モジュールデータベースから1つのレコードのエントリを選択するステップDと、
選択されたレコードのエントリを規準として用いて、入力デジタルデータの解読処理を制御するステップEと、
解読された前記デジタルデータを出力するステップFとを含む。 According to another aspect of the present invention, there is provided a data decryption method.
Step A of building a decryption module database that stores a plurality of data record entries;
Each record entry is a decryption algorithm module indicator,
Inputting digital data to be decrypted, step B;
Verify whether the digital data includes a decryption module database index, and if so, search the decryption module database index; otherwise, retrieve the data to be decrypted for processing in step F below. A step C for setting the input data equal to the input data;
Selecting a record entry from the decryption module database using the retrieved decryption module database index as a criterion;
Using the entries of the selected record as a criterion, controlling the decoding process of the input digital data;
Outputting the decrypted digital data.

本発明の一の態様によるデータ解読装置は、データを入力する入力部と、解読処理後のデータを出力する出力部とを備えたデータ解読装置であって、
前記入力部を介して入力したデータが解読アルゴリズムモジュールインジケータを含むか否かを検証し、含む場合は、前記解読アルゴリズムモジュールインジケータを取出し、含まない場合は、前記入力データを直接、前記出力部に送信する検証部と、
前記検証部により取出された解読アルゴリズムモジュールインジケータを用いて、前記入力デジタルデータの解読処理を制御する解読処理部とを備える。 A data decryption device according to one aspect of the present invention is a data decryption device including an input unit that inputs data, and an output unit that outputs data after decryption processing,
Verify whether the data input through the input unit includes a decryption algorithm module indicator, if so, take out the decryption algorithm module indicator, if not, the input data directly to the output unit A verification unit to transmit;
A decryption processing unit that controls decryption processing of the input digital data using a decryption algorithm module indicator extracted by the verification unit.

本発明データ暗号化装置の構成によれば、ユーザは入力部を介してデータを入力する。検証部は入力データを検証し、パラメータデータまたは暗号化されるデータに分離する。パラメータデータの場合、それはセキュリティデータベースまたは暗号化モジュールデータベースを更新するパラメータ処理部に送られる。暗号化されるデータの場合、それが属性検証部に送られる。属性検証部はセキュリティデータベースから、入力データの属性に一致するデータ属性記述を検索し、暗号定義データを取出し、暗号選択部に送信する。暗号選択部は、暗号定義データから、一の暗号モジュールデータベースインデックスを動的に選択し、それに基づいて、暗号化モジュールデータベースから暗号化モジュール組合せのレコードの1つのエントリを取出し、暗号化処理部に送信する。暗号化処理部は、暗号化処理部により送信される暗号化モジュール組合せに基づき、暗号の種類と認証の種類を含んだ、暗号化される入力データの暗号化処理を制御し、最後に、暗号化された入力データは出力部により解読情報が付加された後、出力される。   According to the configuration of the data encryption device of the present invention, the user inputs data via the input unit. The verification unit verifies the input data and separates the input data into parameter data or data to be encrypted. In the case of parameter data, it is sent to a parameter processing unit that updates the security database or the encryption module database. If the data is encrypted, it is sent to the attribute verification unit. The attribute verifying unit searches the security database for a data attribute description that matches the attribute of the input data, extracts encryption definition data, and transmits it to the encryption selection unit. The encryption selection unit dynamically selects one encryption module database index from the encryption definition data, extracts one entry of the encryption module combination record from the encryption module database based on the dynamically selected encryption module database index, and sends the entry to the encryption processing unit. Send. The encryption processing unit controls the encryption processing of the input data to be encrypted, including the type of encryption and the type of authentication, based on the combination of the encryption modules transmitted by the encryption processing unit. The converted input data is output after the decoding information is added by the output unit.

さらに、本発明はユーザにデータ解読装置を提供する。本発明によるデータ解読装置によれば、ユーザは入力部を介してデータを入力する。検証部は入力したデータを検証し、パラメータデータまたは解読されるデジタルデータに分離する。パラメータデータの場合、解読モジュールデータベースを更新するパラメータ処理部に送られる。解読されるデータの場合、解読情報があるか否かが判断される。解読情報がある場合、解読モジュールデータベースインデックスが解読情報から取出され、それに基づいて、解読モジュール組合せレコードの1エントリが解読モジュールデータベースから取出され、解読処理部に処理のために送信される。そうでない場合、入力データは出力部に処理のために送られる。解読処理部は、送信された解読モジュール組合せレコードにしたがい、解読の種類と認証の種類を含んだ、解読される入力データの解読処理を制御する。最後に、データは出力部を介して出力される。   Further, the present invention provides a user with a data decryption device. According to the data decoding device of the present invention, the user inputs data through the input unit. The verification unit verifies the input data and separates the input data into parameter data or digital data to be decoded. In the case of parameter data, it is sent to a parameter processing unit that updates the decryption module database. In the case of data to be decrypted, it is determined whether or not there is decryption information. If there is decryption information, the decryption module database index is retrieved from the decryption information, and based on that, one entry of the decryption module combination record is retrieved from the decryption module database and sent to the decryption processing unit for processing. Otherwise, the input data is sent to the output for processing. The decryption processing unit controls decryption processing of input data to be decrypted, including the type of decryption and the type of authentication, according to the transmitted decryption module combination record. Finally, the data is output via the output.

図1は本発明によるデータ解読装置の好ましい実施形態のブロック図である。図1において、109はデータのレコードの複数のエントリを格納するセキュリティクラスデータベースを示す。各レコードのエントリはデータ属性記述と、対応する暗号定義データとを含む。データ属性記述は24バイトを占め、暗号定義データは8バイトを占める。図7はそれらの構造を示す図である。データ属性記述が、入力されたパケットデータの属性を比較する目的のために提供され、論理演算子および条件式から構成される。それらの合計の長さは24バイトを超えてはならない。24バイトより小さければ、終了値FFが、終了として、属性記述データの最後に付加されなければならない。データ属性記述に関連するコマンドの記述が図8に示される。暗号定義データが暗号アルゴリズムモジュールの動的な選択のために提供され、それは4組のデータから構成される。各組のデータは1バイトの暗号化アルゴリズムモジュールインデックスと、それによって決定される1バイトの比率とを含む。暗号定義データが4組より少なければ、FFがその終わりに付加される。図9はその構成を示した図である。   FIG. 1 is a block diagram of a data decoding apparatus according to a preferred embodiment of the present invention. In FIG. 1, reference numeral 109 denotes a security class database that stores a plurality of entries of a data record. Each record entry includes a data attribute description and corresponding cryptographic definition data. The data attribute description occupies 24 bytes, and the encryption definition data occupies 8 bytes. FIG. 7 is a diagram showing those structures. The data attribute description is provided for the purpose of comparing the attributes of the input packet data, and includes a logical operator and a conditional expression. Their total length must not exceed 24 bytes. If it is smaller than 24 bytes, the end value FF must be added to the end of the attribute description data as the end. The description of the command related to the data attribute description is shown in FIG. Cryptographic definition data is provided for dynamic selection of a cryptographic algorithm module, which consists of four sets of data. Each set of data includes a one-byte encryption algorithm module index and a one-byte ratio determined thereby. If the encryption definition data is less than four sets, FF is added at the end. FIG. 9 is a diagram showing the configuration.

111は暗号化モジュールデータベースを示す。暗号化モジュールデータベースは、入力されたデータの暗号化を行うための、暗号化アルゴリズム、認証アルゴリズム及び統合された認証アルゴリズムの種々の組合せに関するデータを格納する。図10は暗号化モジュールデータベースの構造を示す図である。各組合せは1つのレコードにより表される。各レコードのエントリは、データ暗号化アルゴリズムインジケータ、データ認証アルゴリズムインジケータ、統合された認証アルゴリズムインジケータを含む。各インジケータ、すなわち、アルゴリズムプログラムのアドレスは4バイトで構成される。   Reference numeral 111 denotes an encryption module database. The encryption module database stores data relating to various combinations of an encryption algorithm, an authentication algorithm, and an integrated authentication algorithm for encrypting input data. FIG. 10 shows the structure of the encryption module database. Each combination is represented by one record. Each record entry includes a data encryption algorithm indicator, a data authentication algorithm indicator, and an integrated authentication algorithm indicator. Each indicator, that is, the address of the algorithm program is composed of 4 bytes.

データ暗号化アルゴリズムインジケータの内容は、
DES暗号化アルゴリズムインジケータ、
3DES暗号化アルゴリズムインジケータ、
RSA暗号化アルゴリズムインジケータ、
RC4暗号化アルゴリズムインジケータ、
FEAL暗号化アルゴリズムインジケータ、
IDEA暗号化アルゴリズムインジケータ、または
TWOFISH暗号化アルゴリズムインジケータであり得る。 The content of the data encryption algorithm indicator is
DES encryption algorithm indicator,
3DES encryption algorithm indicator,
RSA encryption algorithm indicator,
RC4 encryption algorithm indicator,
FEAL encryption algorithm indicator,
It may be an IDEA encryption algorithm indicator, or a TWOFISH encryption algorithm indicator.

データ認証アルゴリズムインジケータ及び統合された認証アルゴリズムインジケータの内容は、
MD5認証アルゴリズムインジケータ、
SHA1認証アルゴリズムインジケータ、または
N−HASH認証アルゴリズムインジケータであり得る。 The contents of the data authentication algorithm indicator and the integrated authentication algorithm indicator are as follows:
MD5 authentication algorithm indicator,
It may be a SHA1 authentication algorithm indicator, or an N-HASH authentication algorithm indicator.

好ましい実施の形態が、7つの暗号化アルゴリズムと3つの認証アルゴリズムを用いて例示される。それは、暗号化または認証を必要としない状況を考慮している。暗号化モジュールデータベースは、最大128(=(7+1)×(3+1)×(3+1))個のレコードのエントリを格納できる。   The preferred embodiment is illustrated using seven encryption algorithms and three authentication algorithms. It allows for situations that do not require encryption or authentication. The encryption module database can store entries of up to 128 (= (7 + 1) × (3 + 1) × (3 + 1)) records.

110はバッファ領域を示す。バッファ領域は、暗号選択部により生成されるシーケンスデータ、パラメータ検証部により格納される、暗号化モジュールアルゴリズムに関連したデータ、及び処理中にデータ属性検証部と暗号化制御部により必要とされる一時的に格納されるデータを、一時的に格納する。   110 indicates a buffer area. The buffer area stores the sequence data generated by the encryption selection unit, the data related to the encryption module algorithm stored by the parameter verification unit, and the temporary data required by the data attribute verification unit and the encryption control unit during processing. The temporarily stored data is temporarily stored.

100は入力部を示す。入力部は、キーボードや、通常の暗号化されるデータやパラメータデータの入力を可能とする任意の入力装置により構成される。
101は入力データを検証する検証部を示す。入力データは、それがパラメータデータである場合に、処理のためにパラメータ処理部に送られ処理されるか、または、属性検証部に送られ処理される。 100 indicates an input unit. The input unit is constituted by a keyboard or any input device capable of inputting normal encrypted data and parameter data.
Reference numeral 101 denotes a verification unit that verifies input data. The input data, if it is parameter data, is sent to a parameter processing unit for processing or is sent to an attribute verification unit for processing.

102は属性検証部を示す。属性検証部は、セキュリティクラスデータベース109から、データ属性記述フィールド内に格納されており、入力データの属性と一致するデータ属性を見つけ出し、対応する暗号定義データを暗号選択部に送り暗号モジュールデータベースのインデックスを得て、そのインデックスを入力データとともに暗号化制御部に処理のために送信する。   Reference numeral 102 denotes an attribute verification unit. The attribute verification unit finds a data attribute that is stored in the data attribute description field from the security class database 109 and matches the attribute of the input data, sends the corresponding encryption definition data to the encryption selection unit, and sends an index to the encryption module database. And transmits the index together with the input data to the encryption control unit for processing.

103は、暗号化選択部を示す。暗号化選択部は、暗号定義データ中の暗号モジュールデータベースのインデックスの各々及びそれにより採用される比率にしたがい、データバッファ領域110において、比率に応じて、一連の対応する数のインデックスを生成する。乱数生成器は、値を生成し、モジュールにより採用される比率の合計を基準として使用してMOD演算を行い、余りを得る。それは、以前に生成されたシーケンスから暗号化モジュールデータベースのインデックスを検索するためのインデックスとして使用される。その結果と、暗号化されるべきデータはその後暗号化処理部に送信される。   Reference numeral 103 denotes an encryption selection unit. The encryption selection unit generates a series of corresponding numbers of indices in the data buffer area 110 according to the ratios according to each of the indexes of the cryptographic module database in the encryption definition data and the ratio employed thereby. The random number generator generates a value and performs a MOD operation using the sum of the ratios employed by the module as a reference to obtain a remainder. It is used as an index to search the cryptographic module database index from a previously generated sequence. The result and the data to be encrypted are then transmitted to the encryption processing unit.

104は暗号化制御部である。暗号化制御部は、暗号化モジュールデータベースインデックスにしたがい、データ暗号化アルゴリズムインジケータ、データ認証アルゴリズムインジケータ及び統合された認証アルゴリズムインジケータを取得し、各インジケータにより示されるアルゴリズムモジュールにしたがい、入力データの暗号化処理を行う。   104 is an encryption control unit. The encryption control unit obtains the data encryption algorithm indicator, the data authentication algorithm indicator, and the integrated authentication algorithm indicator according to the encryption module database index, and encrypts the input data according to the algorithm module indicated by each indicator. Perform processing.

105は暗号化部である。暗号化部は、暗号化アルゴリズムインジケータ及びそれにより必要とされる関連データにしたがい、入力データの暗号化処理を行い、その結果を暗号化制御部に送信する。
106は認証部である。認証部は、認証アルゴリズムインジケータと、それに必要な関連データとにしたがい、入力データの認証処理を行い、その結果を暗号化制御部に送信する。 Reference numeral 105 denotes an encryption unit. The encryption unit performs an encryption process on the input data according to the encryption algorithm indicator and related data required thereby, and transmits the result to the encryption control unit.
106 is an authentication unit. The authentication unit performs an authentication process on the input data according to the authentication algorithm indicator and the related data required for the authentication algorithm indicator, and transmits the result to the encryption control unit.

107は、記述情報を、暗号化文に付加し、それをメモリデバイスまたは任意の他の出力装置に送信する出力部である。   An output unit 107 adds the description information to the encrypted text and transmits it to a memory device or any other output device.

108は、検証部を介して入力されたパラメータデータをチェックするパラメータ処理部である。パラメータが暗号化アルゴリズムモジュールパラメータである場合、そのパラメータは暗号化アルゴリズムモジュールデータベースを更新するために使用される。パラメータがセキュリティクラスデータパラメータであるとき、そのパラメータはセキュリティクラスデータベースを更新するために使用される。いずれの場合も、エラーコードは送信されない。   Reference numeral 108 denotes a parameter processing unit that checks parameter data input via the verification unit. If the parameter is a cryptographic algorithm module parameter, that parameter is used to update the cryptographic algorithm module database. When the parameter is a security class data parameter, that parameter is used to update the security class database. In either case, no error code is sent.

図3は、本発明に係るデータ暗号化装置の好ましい実施形態におけるデータ暗号化動作の処理フローチャートである。図1のブロック図において、検証部101が入力データが暗号化されるべきデータであると判断すると、属性検証部102が動作を開始する。図3において、入力されたデータがステップS301に格納される。その後、フローは属性検証部102に進み、属性とデータとが対応する暗号定義データを見つける。最初に、ステップS302で、セキュリティ定義データのエントリが読み出される。次に、ステップS303で、そのデータ属性記述フィールドがブランクであるか否かが判断される。もし、ブランクであれば、これは、それが所定のセキュリティクラスデータであることを示し、フローは直接ステップS306に進む。そうでなければ、入力データの内容が、データ属性記述フィールド中のデータにしたがい検証される。ステップS304において、データ属性が一致するか否かが判断される。もし、一致すれば、フローはステップS306に進む。そうでなければ、フローはステップS302に戻る。ステップS306において、暗号選択部103は暗号化アルゴリズムモジュールの組合せを動的に選択する。最初に、ステップS306において、暗号定義データが暗号化アルゴリズムモジュールデータの組合せを唯1つだけ含むか否かが判断される。もし、唯1つだけ含めば、このことは、動的な選択が実行される必要がないことを示し、フローはステップS307に進み、使用されるべき1つのモジュール組合せを設定する。そして、S309に進む。もし、唯1つだけでなければ、S308に進み、各モジュールにより採用される比率にしたがい、シーケンスが生成される。乱数生成器がさらに値を生成するのに使用され、モジュールにより採用される比率の合計を基準として用いてMOD演算が行われ、余りが得られる。その余りは、前のシーケンスのデータにおける暗号化アルゴリズムモジュールの組合せを得るためのインデックスとして機能する。その後、フローはS309に進む。ステップS309において、暗号化処理部104はデータ暗号化処理を開始する。最初に、S309において、モジュールインジケータのそれぞれが暗号化アルゴリズムモジュールの組合せにしたがい検索される。次に、S310において、データ暗号化アルゴリズムモジュールインジケータが0でなるか否かが判断される。もし、0であれば、このことは、暗号化処理が実行されないことを示し、フローはステップS312に進む。そうでなければ、フローはS311に進み、暗号化インジケータ及びそのインジケータにより必要とされるパラメータが入力データとともに、暗号化部105により処理され、暗号化され、暗号化の結果が得られる。次に、フローはステップS312に進む。ステップS312において、データ認証アルゴリズムインジケータが0か否かが判断される。もし、0ならば、このことは、認証処理が実行されるべきでないことを示し、フローはS314に進む。そうでなければ、フローはステップS313に進み、認証インジケータとそれにより必要とされるパラメータが今処理された処理結果データとともに認証部106により処理され認証され、認証結果を得る。フローはその後、ステップS314に進む。ステップS314においては、統合された認証アルゴリズムインジケータが0であるか否かが判断される。0であるならば、このことは、統合された認証処理が実行されないことを示し、フローはステップS316に進む。そうでなければ、フローはS315に進み、認証インジケータ及びそのインジケータにより必要とされるパラメータが今処理された処理結果データ及びヘッダデータとともに、認証部106により処理され認証され、認証結果が得られる。フローはその後S316に進み、解読情報が暗号文に付加され、メモリ装置または他の任意の装置に出力される。   FIG. 3 is a processing flowchart of a data encryption operation in the preferred embodiment of the data encryption device according to the present invention. In the block diagram of FIG. 1, when the verification unit 101 determines that the input data is data to be encrypted, the attribute verification unit 102 starts operating. In FIG. 3, the input data is stored in step S301. Thereafter, the flow proceeds to the attribute verification unit 102, and finds encryption definition data in which the attribute and the data correspond. First, in step S302, an entry of security definition data is read. Next, in step S303, it is determined whether the data attribute description field is blank. If blank, this indicates that it is the predetermined security class data, and the flow proceeds directly to step S306. Otherwise, the content of the input data is verified according to the data in the data attribute description field. In step S304, it is determined whether the data attributes match. If they match, the flow proceeds to step S306. Otherwise, the flow returns to step S302. In step S306, the encryption selection unit 103 dynamically selects a combination of encryption algorithm modules. First, in step S306, it is determined whether or not the encryption definition data includes only one combination of encryption algorithm module data. If only one is included, this indicates that no dynamic selection needs to be performed, and the flow proceeds to step S307, where one module combination to be used is set. Then, the process proceeds to S309. If there is not only one, the process proceeds to S308, and a sequence is generated according to the ratio adopted by each module. A random number generator is used to generate further values, and the MOD operation is performed using the sum of the ratios employed by the module as a reference to obtain a remainder. The remainder serves as an index to obtain the combination of encryption algorithm modules in the data of the previous sequence. Thereafter, the flow proceeds to S309. In step S309, the encryption processing unit 104 starts the data encryption processing. First, in S309, each of the module indicators is searched according to the combination of the encryption algorithm modules. Next, in S310, it is determined whether or not the data encryption algorithm module indicator is 0. If 0, this indicates that the encryption process is not performed, and the flow proceeds to step S312. Otherwise, the flow proceeds to S311 where the encryption indicator and the parameters required by the indicator are processed and encrypted by the encryption unit 105 together with the input data, and the result of the encryption is obtained. Next, the flow proceeds to step S312. In step S312, it is determined whether the data authentication algorithm indicator is 0. If 0, this indicates that the authentication process should not be performed, and the flow proceeds to S314. Otherwise, the flow proceeds to step S313, where the authentication indicator and the parameters required thereby are processed and authenticated by the authentication unit 106 together with the processed result data just processed, and an authentication result is obtained. Thereafter, the flow proceeds to step S314. In step S314, it is determined whether or not the integrated authentication algorithm indicator is 0. If it is 0, this indicates that the integrated authentication processing is not executed, and the flow proceeds to step S316. Otherwise, the flow proceeds to S315, where the authentication indicator and the parameters required by the indicator are processed and authenticated by the authentication unit 106 together with the processing result data and the header data just processed, and an authentication result is obtained. The flow then proceeds to S316, where the decryption information is added to the ciphertext and output to a memory device or any other device.

図12は、本発明に係るデータ暗号化装置の好ましい実施形態における、入力されたパケットデータの構造を説明した図である。同図において、入力されたデータは、インターネット通信のIPパケットであり、IPヘッダと送信されたデータを含む。ヘッダデータにおいて、VERSは、IPパケットにより使用されるバージョンを示し、そのサイズは4ビットである。HLENは、32ビットワードで測定されたIPパケットヘッダ長を表し、そのサイズは4ビットである。SERVICE TYPEは、IPパケットのサービスの形式を示し、そのサイズは8ビットである。TOTAL LENGTHは、IPパケットの合計の長さ及びサイズを表し、そのサイズは16ビットである。IDENTIFICATIONは、IPパケットの識別データを表し、そのサイズは16ビットである。FLAGSはIPパケットのフラグデータを表し、そのサイズは4ビットである。FLAGMENT OFFSETは、IPパケットのデータの変移アドレスを表し、そのサイズは12ビットである。TIME TO LIVEは、IPパケットのインターネット送信のための最長時間を表し、その単位は秒であり、そのサイズは8ビットである。PROTOCOLは、IPパケットデータフィールドの通信プロトコルの値を表し、サイズは8ビットである。HEADER CHECKSUMは、IPパケットのヘッダのチェックサムデータを表し、サイズは16ビットである。SOURCE IP ADDRESSは、IPパケットの送信元IPアドレスを表し、サイズは32ビットである。DESTINATION IP ADDRESSは、IPパケットの送信先IPアドレスを表し、サイズは32ビットである。IP OPTIONSは、IPパケットのヘッダの付加データを表し、サイズは最大40ビットである。PADDINGは、4バイトの倍数分、IPパケットのヘッダ長を補償する。   FIG. 12 is a diagram illustrating the structure of input packet data in a preferred embodiment of the data encryption device according to the present invention. In the figure, input data is an IP packet for Internet communication, and includes an IP header and transmitted data. In the header data, VERS indicates a version used by the IP packet, and its size is 4 bits. HLEN represents the IP packet header length measured in 32-bit words and its size is 4 bits. SERVICE TYPE indicates a service format of an IP packet, and its size is 8 bits. TOTAL LENGTH indicates the total length and size of the IP packet, and its size is 16 bits. IDENTIFICATION represents identification data of an IP packet, and its size is 16 bits. FLAGS represents flag data of an IP packet, and its size is 4 bits. FLAGMENT OFFSET represents the transition address of the data of the IP packet, and its size is 12 bits. TIME TO LIVE represents the longest time for Internet transmission of an IP packet, its unit is seconds, and its size is 8 bits. PROTOCOL represents the value of the communication protocol in the IP packet data field, and has a size of 8 bits. HEADER CHECKSUM represents checksum data of a header of an IP packet, and has a size of 16 bits. SOURCE IP ADDRESS represents a source IP address of an IP packet, and has a size of 32 bits. DESTINATION IP ADDRESS indicates a destination IP address of an IP packet, and has a size of 32 bits. IP OPTIONS represents additional data of an IP packet header, and has a maximum size of 40 bits. PADDING compensates for the header length of the IP packet by a multiple of 4 bytes.

図13は、本発明のデータ暗号化装置の好ましい実施形態による出力データの構成を説明した図である。出力データは、IPヘッダ、解読情報及び暗号文から構成される。
以下、本発明のデータ暗号化装置の好ましい実施形態による処理の例を説明する。図14は、本発明のデータ暗号化装置の好ましい実施形態により処理されるデータの一例を説明する。図14において、14bは、本処理例における暗号化動作フローの開始でのセキュリティクラスデータベースのデータを示す。14cは、本処理例における暗号化動作フローの開始での暗号化モジュールデータベースのデータを示す。14aは、本処理例における暗号化処理の開始での入力データを示す。図3において、ステップS301において入力データ(14aに示すような)が受信された後、ステップS302において最初のエントリのデータがセキュリティクラスデータベース中のデータから読み出される。データ属性記述データの最初の14バイトは“01 04 18 C0A80000 05 18 AC100000 FF”である。最後の10バイトは全て“FF”である。暗号定義データは“01 03 02 03 03 01 04 01”である。ステップS303において、データ属性記述データはブランクではない。その後、フローは直接S304に進む。ステップS304において、最初に、図8のデータ属性記述コマンド記述テーブルにしたがい、データ属性記述データが解釈され、それにより、入力パケットデータ中の送信元IPアドレスとC0A80000の双方の最初の24ビットの値が一致し、また、送信先IPアドレスとAC100000の双方の最初の24ビットが一致すれば、入力パケットデータは真であるとみなされる。そうでなければ、入力パケットデータは偽であるとみなされる。その後、入力データ(14aに示すような)の内容に基づき、送信元IPアドレスとC0A80001の最初の24ビットの値が一致すること、及び、送信先IPアドレスAC100001とAC100000の最初の24ビットが一致することがわかる。それゆえ、データ属性の一致が設定される。ステップS305は、ステップS304で得られる結果がデータ属性の一致である場合、フローは直接ステップS306に進む。ステップS306において、暗号定義データが検証され、データのエントリが唯1つだけあるか否かが判断される。データが01 03 02 03 03 01 04 01であるため、唯1つの、の暗号化アルゴリズムモジュールの組合せの単一のエントリがあるわけではない。よって、フローはステップS308に進む。ステップS308において、今の暗号定義データとそれにより採用される比率における暗号モジュールデータベースインデックスにしたがい、3つの01、3つの02、1つの03、1つの04を含む連続したシーケンス01 01 01 02 02 02 03 04が生成される。合計の長さはしようされる比率の合計である。乱数生成器が5318659の値を生成するために使用される。この値は、MOD8演算において使用され、3が得られる。この値はシーケンスの値02に対応する。それゆえ、選択された暗号化モジュールデータベースインデックスは02である。次に、フローはステップS309に進む。ステップS309において、暗号化モジュールデータベースインデックスの値02により、それに対する利用可能な暗号化アルゴリズムモジュールが暗号化モジュールデータベースデータ(14cに示す)から検索される。それらは、それぞれ、データ暗号化アルゴリズムインジケータのDES暗号化アルゴリズムインジケータ、データ認証アルゴリズムのSHA1認証アルゴリズムインジケータ、及び統合された認証アルゴリズムインジケータのMD5認証アルゴリズムインジケータである。その後、フローはステップS310に進む。ステップS310において、データ暗号化アルゴリズムインジケータはDES暗号化アルゴリズムインジケータであり、0でないので、フローはステップS311に進む。ステップS311において、DES暗号化アルゴリズムインデックスと、入力データのデータフィールドデータ(14aに示すような)とが暗号化処理のために暗号化部に送信される。その後、フローはステップS312に進む。ステップS312において、データ認証アルゴリズムインジケータはSHA1認証アルゴリズムインジケータであり、0でないので、フローはステップS313に進む。ステップS313において、SHA1認証アルゴリズムインジケータ及びステップS311で得られる暗号化処理の結果が、データ認証処理のために認証部に送信される。次に、フローはステップS314に進む。ステップS314において、統合された認証アルゴリズムインジケータはMD5認証アルゴリズムインジケータであり、0でないので、フローはステップS315に進む。ステップS315において、MD5認証アルゴリズムインジケータ、入力データのヘッダフィールドデータ(14aに示すような)、及びステップS313で得られる認証処理の結果が、統合された認証処理のために認証部に送信される。フローは次にステップS316に進む。ステップS316において、解読情報ラベルと解読モジュールデータベースインデックス値02とが、ステップS315で得られる処理結果に付加され、出力データ(14dに示すような)として他の機器に出力される。図14において、14dは、本例における暗号化処理のフローの最後で得られる出力データを示す。解読情報データに、解読情報ラベルと解読モジュールデータベースインデックス値の2が含まれている。 FIG. 13 is a diagram illustrating the configuration of output data according to a preferred embodiment of the data encryption device of the present invention. The output data is composed of an IP header, decryption information and ciphertext.
Hereinafter, an example of processing according to a preferred embodiment of the data encryption device of the present invention will be described. FIG. 14 illustrates an example of data processed by a preferred embodiment of the data encryption device of the present invention. In FIG. 14, reference numeral 14b denotes data in the security class database at the start of the encryption operation flow in this processing example. 14c shows the data of the encryption module database at the start of the encryption operation flow in this processing example. 14a shows input data at the start of the encryption process in this processing example. In FIG. 3, after the input data (as shown at 14a) is received in step S301, the data of the first entry is read from the data in the security class database in step S302. The first 14 bytes of the data attribute description data are “01 04 18 C0A800000 05 18 AC100000 FF”. The last 10 bytes are all "FF". The encryption definition data is “01 03 02 03 03 01 04 01”. In step S303, the data attribute description data is not blank. Thereafter, the flow directly proceeds to S304. In step S304, first, the data attribute description data is interpreted according to the data attribute description command description table shown in FIG. 8, whereby the value of the first 24 bits of both the transmission source IP address and the C0A80000 in the input packet data is obtained. And the first 24 bits of both the destination IP address and AC100000 match, the input packet data is considered to be true. Otherwise, the incoming packet data is considered false. Thereafter, based on the contents of the input data (as shown in 14a), the source IP address and the first 24 bits of C0A80001 match, and the destination IP address AC100001 and the first 24 bits of AC100000 match. You can see that Therefore, a data attribute match is set. In step S305, if the result obtained in step S304 is a match of the data attributes, the flow directly proceeds to step S306. In step S306, the encryption definition data is verified, and it is determined whether there is only one data entry. Because the data is 01 03 02 03 03 01 04 01, there is not a single entry for only one encryption algorithm module combination. Therefore, the flow proceeds to step S308. In step S308, a continuous sequence 01 01 01 02 02 02 02 including three 01, three 02, one 03, and one 04 according to the current cryptographic definition data and the cryptographic module database index in the ratio adopted thereby. 03 04 is generated. The total length is the sum of the ratios used. A random number generator is used to generate a value of 5318659. This value is used in the MOD8 operation to get 3. This value corresponds to the sequence value 02. Therefore, the selected encryption module database index is 02. Next, the flow proceeds to step S309. In step S309, the available encryption algorithm module for the value 02 of the encryption module database index is searched from the encryption module database data (shown at 14c). They are the DES encryption algorithm indicator for the data encryption algorithm indicator, the SHA1 authentication algorithm indicator for the data authentication algorithm, and the MD5 authentication algorithm indicator for the integrated authentication algorithm indicator, respectively. Thereafter, the flow proceeds to step S310. In step S310, since the data encryption algorithm indicator is the DES encryption algorithm indicator and is not 0, the flow proceeds to step S311. In step S311, the DES encryption algorithm index and the data field data (as shown at 14a) of the input data are transmitted to the encryption unit for encryption processing. Thereafter, the flow proceeds to step S312. In step S312, since the data authentication algorithm indicator is the SHA1 authentication algorithm indicator and is not 0, the flow proceeds to step S313. In step S313, the SHA1 authentication algorithm indicator and the result of the encryption processing obtained in step S311 are transmitted to the authentication unit for data authentication processing. Next, the flow proceeds to step S314. In step S314, since the integrated authentication algorithm indicator is the MD5 authentication algorithm indicator and is not 0, the flow proceeds to step S315. In step S315, the MD5 authentication algorithm indicator, the header field data of the input data (as shown at 14a), and the result of the authentication process obtained in step S313 are transmitted to the authentication unit for the integrated authentication process. The flow then proceeds to step S316. In step S316, the decryption information label and the decryption module database index value 02 are added to the processing result obtained in step S315, and output to another device as output data (as shown in 14d). In FIG. 14, reference numeral 14d denotes output data obtained at the end of the flow of the encryption process in this example. The decryption information data includes two of a decryption information label and a decryption module database index value.

図16は、本発明に係るデータ暗号化装置の別の好ましい実施形態のブロック図である。図16に示すように、図1に示す例のセキュリティクラスデータベース109と属性検証部102は必要ではない。108は、検証部から入力したパラメータデータを検証するパラメータ処理部を示す。パラメータフラグフィールドが暗号化アルゴリズムモジュールパラメータフラグであれば、それのデータフィールド中の暗号化アルゴリズムモジュール識別コードにしたがい、暗号化アルゴリズムモジュールパラメータが、暗号化アルゴリズムモジュールが対応するパラメータデータ蓄積アドレスで、データバッファ領域110内に格納される。暗号選択部103は直接、データバッファ領域110に格納された暗号定義データを用いて暗号化アルゴリズムモジュールの組合せを動的に選択する。
図17は、本発明に係るデータ暗号化装置のさらに別の好ましい実施形態のブロック図である。図17に示すように、図1に示す例の暗号選択部103は必要ではない。セキュリティクラスデータベース109の暗号定義データは、唯一の暗号化アルゴリズムモジュールの組合せのデータを格納する。さらに、属性検証部102は、入力データと属性記述データが一致する暗号定義データに格納された暗号化アルゴリズムモジュール組合せデータを、入力データとともに、暗号化処理部104に処理のために直接送信する。 FIG. 16 is a block diagram of another preferred embodiment of the data encryption device according to the present invention. As shown in FIG. 16, the security class database 109 and the attribute verification unit 102 in the example shown in FIG. 1 are not necessary. Reference numeral 108 denotes a parameter processing unit that verifies the parameter data input from the verification unit. If the parameter flag field is an encryption algorithm module parameter flag, according to the encryption algorithm module identification code in its data field, the encryption algorithm module parameter is a parameter data storage address corresponding to the encryption algorithm module, and It is stored in the buffer area 110. The encryption selector 103 dynamically selects a combination of encryption algorithm modules directly using the encryption definition data stored in the data buffer area 110.
FIG. 17 is a block diagram of still another preferred embodiment of the data encryption device according to the present invention. As shown in FIG. 17, the encryption selecting unit 103 in the example shown in FIG. 1 is not necessary. The encryption definition data of the security class database 109 stores data of only one combination of encryption algorithm modules. Further, the attribute verification unit 102 directly transmits the encryption algorithm module combination data stored in the encryption definition data in which the input data and the attribute description data match with the input data to the encryption processing unit 104 for processing.

図2は、本発明に係るデータ解読装置の好ましい実施形態のブロック図である。   FIG. 2 is a block diagram of a preferred embodiment of the data decryption device according to the present invention.

図2において、208は解読モジュールデータベースを示す。解読モジュールデータベースは、入力データの解読を実行する際に使用される、解読アルゴリズム、認証アルゴリズム及び統合された認証アルゴリズムの種々の組合せに関連するデータを格納する。図11は、解読モジュールデータベースの構造を示した図である。各組合わせは、1レコード毎に表されている。各レコードのエントリは、データ記述アルゴリズムインジケータ、データ認証アルゴリズムインジケータ及び統合された認証アルゴリズムインジケータを含む。各インジケータ、すなわち、アルゴリズムプログラムのアドレスは、4バイトで構成される。データ記述アルゴリズムインジケータの内容は、
DES解読アルゴリズムインジケータ、
3DES解読アルゴリズムインジケータ、
RSA解読アルゴリズムインジケータ、
RC4解読アルゴリズムインジケータ、
FEAL解読アルゴリズムインジケータ、
IDEA解読アルゴリズムインジケータ、または
TWOFISH解読アルゴリズムインジケータであり得る。 In FIG. 2, reference numeral 208 denotes a decryption module database. The decryption module database stores data relating to various combinations of decryption algorithms, authentication algorithms, and integrated authentication algorithms used in performing decryption of input data. FIG. 11 is a diagram showing the structure of the decryption module database. Each combination is represented for each record. Each record entry includes a data description algorithm indicator, a data authentication algorithm indicator, and an integrated authentication algorithm indicator. Each indicator, that is, the address of the algorithm program, is composed of 4 bytes. The contents of the data description algorithm indicator are:
DES decryption algorithm indicator,
3DES decryption algorithm indicator,
RSA decryption algorithm indicator,
RC4 decryption algorithm indicator,
FEAL decryption algorithm indicator,
It may be an IDEA decryption algorithm indicator, or a TWOFISH decryption algorithm indicator.

データ認証アルゴリズムインジケータ及び統合された認証アルゴリズムインジケータの内容は、
MD5認証アルゴリズムインジケータ、
SHA1認証アルゴリズムインジケータ、または
N−HASH認証アルゴリズムインジケータであり得る。
好ましい実施の形態が、7つの暗号化アルゴリズムと3つの認証アルゴリズムを用いて例示される。それは、解読または認証を必要としない状況を考慮している。解読モジュールデータベースは、最大128(=(7+1)×(3+1)×(3+1))個のレコードのエントリを格納できる。 The contents of the data authentication algorithm indicator and the integrated authentication algorithm indicator are as follows:
MD5 authentication algorithm indicator,
It may be a SHA1 authentication algorithm indicator, or an N-HASH authentication algorithm indicator.
The preferred embodiment is illustrated using seven encryption algorithms and three authentication algorithms. It allows for situations that do not require decryption or authentication. The decryption module database can store entries of up to 128 (= (7 + 1) × (3 + 1) × (3 + 1)) records.

207はデータバッファ領域を示す。データバッファ領域は、パラメータ処理部により格納された解読認証関連データ、及び、処理中にデータ検証部、解読及び認証制御部により必要とされ一時的に格納されたデータを一時的に格納する。   Reference numeral 207 denotes a data buffer area. The data buffer area temporarily stores the decryption / authentication-related data stored by the parameter processing unit and the data temporarily required and stored by the data verification unit and the decryption / authentication control unit during processing.

200は入力部を示す。入力部は、キーボードや、データパケットの入力を可能とする任意の装置により構成される。   Reference numeral 200 denotes an input unit. The input unit is constituted by a keyboard or any device capable of inputting a data packet.

201は、入力されたデータを検証する検証部を示す。検証部は、データがパラメータデータである場合、データをパラメータ処理部に送り、そうでなければ、解読情報ラベルがあるか否かを検証し、解読情報ラベルがなければ、エラーコードを送信し、そうでなければ、入力データを解読モジュールデータベースインデックスと暗号文に分離し、処理のために解読処理部に送信する。   Reference numeral 201 denotes a verification unit that verifies input data. The verification unit, if the data is parameter data, sends the data to the parameter processing unit, otherwise, verifies whether there is a decoding information label, if there is no decoding information label, transmits an error code, Otherwise, the input data is separated into the decryption module database index and the ciphertext, and transmitted to the decryption processing unit for processing.

202は解読制御部を示す。解読制御部は、解読モジュールデータベースインデックスにしたがい、データ解読アルゴリズムインジケータ、データ認証アルゴリズムインジケータ、及び統合された認証アルゴリズムインジケータを検索し、各インジケータが示すアルゴリズムモジュールにしたがい、入力データの解読処理を行う。   Reference numeral 202 denotes a decryption control unit. The decryption control unit searches for the data decryption algorithm indicator, the data authentication algorithm indicator, and the integrated authentication algorithm indicator according to the decryption module database index, and performs the decryption processing of the input data according to the algorithm module indicated by each indicator.

203は認証部を示す。認証部は、認証アルゴリズムインジケータ及びそれに必要な関連データにしたがい、入力データの認証を行い、その結果を解読制御部に送信する。   203 denotes an authentication unit. The authentication unit authenticates the input data according to the authentication algorithm indicator and the related data required for the authentication algorithm indicator, and transmits the result to the decryption control unit.

204は解読部を示す。解読部は、解読アルゴリズムインジケータ及びそれに必要な関連データにしたがい、入力データの解読処理を行い、その結果を解読制御部に送信する。   Reference numeral 204 denotes a decoding unit. The decryption unit performs decryption processing of the input data according to the decryption algorithm indicator and related data necessary for the decryption algorithm indicator, and transmits the result to the decryption control unit.

205は、解読されたデータをメモリデバイスまたは他の任意の出力装置に出力する出力部である。   An output unit 205 outputs the decrypted data to a memory device or any other output device.

206は、パラメータ処理部を示す。パラメータ処理部は、検証部により入力されたパラメータを検証し、解読アルゴリズムモジュールデータが検出されたときは、解読アルゴリズムモジュールデータベースを更新し、そうでなければ、エラーコードを送信する。   Reference numeral 206 denotes a parameter processing unit. The parameter processing unit verifies the parameters input by the verification unit, updates the decryption algorithm module database when the decryption algorithm module data is detected, and transmits an error code otherwise.

図4は、本発明によるデータ解読装置の好ましい実施形態におけるデータ解読処理のフローチャートである。図2のブロック図において、検証部201が入力データが解読されるべきデータであると判断したときは、ステップS401にてデータの入力が認められる。S402において、入力データが解読情報ラベルを含むか否かが判断される。もし、入力データが解読情報ラベルを含まなければ、入力データがエラーを含むと判断され、続いてステップS404においてエラーコードが送信され、フローを終了する。もし、入力データが解読情報ラベルを含めば、ステップS403が実行され、入力データを解読アルゴリズムモジュール組合せデータと暗号文に分解する。その後、ステップS405において、解読アルゴリズムモジュール組合せデータが正しいか否かが判断される。もし、正しくなければ、ステップS407が実行され、エラーコードが送信され、フローを終了する。もし、正しければ、フローはステップS406に進む。ステップS406では、フローは解読制御部202に進み、データ解読処理を開始する。最初に、解読アルゴリズムモジュールインジケータのそれぞれが、解読アルゴリズムモジュール組合せデータにしたがい検索される。そして、ステップS408で、統合された認証アルゴリズムインジケータが0か否かが判断される。もし、0であれば、これは、統合された認証処理が実行されないことを示し、フローはステップS412に進む。そうでなければ、フローはステップS409に進み、統合された認証インジケータとそれに必要なパラメータが、暗号文とヘッダデータとともに、認証部204により処理され認証され、認証結果が得られる。その後、フローはS410に進み、認証結果が正しいか否かを判断する。もし、正しくなければ、フローはステップS411に進み、終了前にエラーコードを送信する。そうでなければ、フローはステップS412に進む。ステップS412では、データ認証アルゴリズムインジケータが0か否かが判断される。もし、0であれば、これは、データ認証処理が実行されないことを示し、フローはステップS416に進む。そうでなければ、フローはステップS413に進み、データ認証インジケータとそれに必要なパラメータが、暗号文とともに、認証部204により認証され、認証結果が得られる。その後、フローはS414に進み、認証結果が正しいか否かを判断する。もし、正しくなければ、フローはステップS415に進み、終了前にエラーコードを送信する。そうでなければ、フローはステップS416に進む。ステップS416では、データ解読アルゴリズムインジケータが0か否かが判断される。もし、0であれば、これは、データ認証処理が実行されないことを示し、フローはステップS420に進む。そうでなければ、フローはステップS417に進み、データ解読インジケータとそれに必要なパラメータが、暗号文とともに、解読部204により処理され、解読結果が得られる。次に、フローはS418に進み、解読結果が正しいか否かを判断する。もし、正しくなければ、フローはステップS419に進み、終了前にエラーコードを送信する。そうでなければ、フローはステップS420に進み、解読されたデータがメモリデバイスまたは他の任意の装置に出力される。   FIG. 4 is a flowchart of the data decryption process in the preferred embodiment of the data decryption device according to the present invention. In the block diagram of FIG. 2, when the verification unit 201 determines that the input data is data to be decrypted, the input of the data is recognized in step S401. In S402, it is determined whether or not the input data includes a decryption information label. If the input data does not include the decryption information label, it is determined that the input data includes an error, an error code is transmitted in step S404, and the flow ends. If the input data includes the decryption information label, step S403 is executed to decompose the input data into decryption algorithm module combination data and ciphertext. Thereafter, in step S405, it is determined whether the decryption algorithm module combination data is correct. If not, step S407 is executed, an error code is transmitted, and the flow ends. If it is correct, the flow proceeds to step S406. In step S406, the flow proceeds to the decryption control unit 202, and the data decryption process is started. First, each of the decryption algorithm module indicators is searched according to the decryption algorithm module combination data. Then, in step S408, it is determined whether or not the integrated authentication algorithm indicator is 0. If it is 0, this indicates that the integrated authentication processing is not executed, and the flow proceeds to step S412. Otherwise, the flow proceeds to step S409, where the integrated authentication indicator and its necessary parameters are processed and authenticated by the authentication unit 204 together with the ciphertext and the header data, and an authentication result is obtained. Thereafter, the flow proceeds to S410, and determines whether the authentication result is correct. If not correct, the flow proceeds to step S411, and transmits an error code before the end. Otherwise, the flow goes to step S412. In step S412, it is determined whether the data authentication algorithm indicator is 0. If it is 0, this indicates that the data authentication process is not executed, and the flow proceeds to step S416. Otherwise, the flow proceeds to step S413, where the data authentication indicator and the necessary parameters are authenticated by the authentication unit 204 together with the ciphertext, and an authentication result is obtained. Thereafter, the flow proceeds to S414, where it is determined whether the authentication result is correct. If not correct, the flow proceeds to step S415, and transmits an error code before the end. Otherwise, the flow goes to step S416. In step S416, it is determined whether the data decryption algorithm indicator is 0. If it is 0, this indicates that the data authentication process is not performed, and the flow proceeds to step S420. Otherwise, the flow proceeds to step S417, where the data decryption indicator and the necessary parameters are processed by the decryption unit 204 together with the ciphertext, and a decryption result is obtained. Next, the flow proceeds to S418, where it is determined whether the decryption result is correct. If not correct, the flow proceeds to step S419, and transmits an error code before the end. Otherwise, flow proceeds to step S420, where the decrypted data is output to a memory device or any other device.

以下、本発明によるデータ解読装置の好ましい実施形態の処理の一例を示す。図15は、本発明によるデータ解読装置の好ましい実施形態の一例で処理されるデータを示した図である。図15において、15aは本処理例による解読処理の開始における入力データを示す。それは、解読情報ラベルと、解読モジュールデータベースインデックス値(値は2である)と、暗号文とを含む。15bは本処理例における解読処理の開始における解読モジュールデータベースのデータを示す。15cは本処理例による解読処理の終わりにおける出力データを示す。本発明によるデータ解読装置の好ましい実施形態のデータ解読処理フローチャートにおいて、ステップS401における入力データ(15aに示すような)の受け取り後で、かつ、ステップS402で入力データが解読情報ラベルを含むことが判断された後、ステップS403で入力データ(15aに示すような)は、15aに示すように、解読モジュールデータベースインデックス値(値は2)と暗号文とに分解される。ステップS405において、値が2である解読モジュールデータベースインデックス値が正しい値であると判断されると、フローは直接ステップS406に進む。ステップS406では、値が2である解読モジュールデータベースインデックス値にしたがい、それに対して利用可能な解読アルゴリズムモジュールが解読モジュールデータベースデータ(15bに示すような)から検索される。それらは、それぞれ、データ解読アルゴリズムインジケータのDES解読アルゴリズムインジケータ、データ認証アルゴリズムインジケータのSHA1認証アルゴリズムインジケータ、及び統合された認証アルゴリズムインジケータのMD5認証アルゴリズムインジケータである。フローはその後ステップS408に進む。ステップS408において、統合された認証アルゴリズムインジケータはMD5認証アルゴリズムインジケータであり、0でないので、フローはステップS409に進む。ステップS409では、MD5認証アルゴリズムインジケータ、入力データ(15aに示すような)のヘッダフィールドデータ及びステップS403で得られる暗号文が、統合された認証処理のために認証部に送られる。次に、フローはステップS410に進む。ステップS410では、統合された認証結果が正しいか否かが判断される。その後、フローはステップS412に進む。ステップS412では、データ認証アルゴリズムインジケータはSHA1認証アルゴリズムインジケータであり、0でないので、フローはステップS413に進む。ステップS413において、SHA1認証アルゴリズムインジケータ及びステップS403で得られる暗号文が、データ認証処理のために認証部に送信される。次に、フローはステップS414に進む。ステップS414において、データ認証結果が正しいこと判断され、ステップS416に進む。ステップS416では、データ解読アルゴリズムインジケータはDES解読アルゴリズムインジケータであり、0でないので、フローはステップS417に進む。ステップS417において、DES解読アルゴリズムインデックスと、ステップS403で得られる暗号文とが、暗号化処理のために暗号化部に送信される。次にフローはステップS418に進む。ステップS418では、データ解読結果が正しいとが判断されると、フローはステップS420に進む。ステップS420では、入力データ(15aに示すような)及びステップS418で得られる解読結果にしたがい、他の装置へのデータ(15cに示すような)の出力が完了する。   Hereinafter, an example of the processing of the preferred embodiment of the data decoding device according to the present invention will be described. FIG. 15 is a diagram showing data processed by an example of the preferred embodiment of the data decryption device according to the present invention. In FIG. 15, reference numeral 15a denotes input data at the start of the decryption process according to this processing example. It includes a decryption information label, a decryption module database index value (the value is 2), and a ciphertext. Reference numeral 15b denotes data in the decryption module database at the start of the decryption process in this processing example. Reference numeral 15c denotes output data at the end of the decryption processing according to this processing example. In the data decryption process flow chart of the preferred embodiment of the data decryption device according to the present invention, after receiving the input data (as shown at 15a) in step S401 and determining in step S402 that the input data includes a decryption information label. After that, in step S403, the input data (as indicated by 15a) is decomposed into a decryption module database index value (value is 2) and a ciphertext as indicated by 15a. If it is determined in step S405 that the decryption module database index value having the value of 2 is a correct value, the flow directly proceeds to step S406. In step S406, according to the decryption module database index value of 2, a decryption algorithm module available for it is retrieved from the decryption module database data (as shown in 15b). They are a DES decryption algorithm indicator for a data decryption algorithm indicator, a SHA1 authentication algorithm indicator for a data authentication algorithm indicator, and an MD5 authentication algorithm indicator for an integrated authentication algorithm indicator, respectively. The flow then proceeds to step S408. In step S408, since the integrated authentication algorithm indicator is the MD5 authentication algorithm indicator and is not 0, the flow proceeds to step S409. In step S409, the MD5 authentication algorithm indicator, the header field data of the input data (as shown in 15a) and the cipher text obtained in step S403 are sent to the authentication unit for integrated authentication processing. Next, the flow proceeds to step S410. In step S410, it is determined whether the integrated authentication result is correct. Thereafter, the flow proceeds to step S412. In step S412, since the data authentication algorithm indicator is the SHA1 authentication algorithm indicator and is not 0, the flow proceeds to step S413. In step S413, the SHA1 authentication algorithm indicator and the ciphertext obtained in step S403 are transmitted to the authentication unit for data authentication processing. Next, the flow proceeds to step S414. In step S414, it is determined that the data authentication result is correct, and the process proceeds to step S416. In step S416, since the data decryption algorithm indicator is the DES decryption algorithm indicator and is not 0, the flow proceeds to step S417. In step S417, the DES decryption algorithm index and the ciphertext obtained in step S403 are transmitted to the encryption unit for encryption processing. Next, the flow proceeds to step S418. In step S418, when it is determined that the data decryption result is correct, the flow proceeds to step S420. In step S420, output of data (as shown in 15c) to another device is completed according to the input data (as shown in 15a) and the decryption result obtained in step S418.

本発明は前述した好ましい実施の形態には限定されない。例えば、処理されるべき入力データはパケットデータに制限されず、非パケットタイプのデジタルデータであってもよい。さらに、本発明によるセキュリティクラスデータベースの暗号定義データは、暗号化モジュールデータベースインデックス及びそれに採用される対応する比率を格納すること以外に、また、暗号化アルゴリズムインジケータ、データ認証アルゴリズムインジケータ、統合された認証アルゴリズムインジケータ及びそれらに採用される比率を、暗号化モジュールデータベースにおける暗号化アルゴリズムモジュールの組合せを別々に格納する必要なしに、格納してもよい。さらに、本発明の好ましい実施形態では、パケットデータ処理を例として用いて説明したが、本発明は他の形式のデータについても適用できる。   The present invention is not limited to the preferred embodiments described above. For example, the input data to be processed is not limited to packet data, but may be non-packet type digital data. In addition, the cryptographic definition data of the security class database according to the present invention, besides storing the cryptographic module database index and the corresponding ratio adopted therein, also includes an encryption algorithm indicator, a data authentication algorithm indicator, an integrated authentication. The algorithm indicators and the ratios employed for them may be stored without having to separately store the combination of encryption algorithm modules in the encryption module database. Furthermore, although the preferred embodiment of the present invention has been described using packet data processing as an example, the present invention can be applied to other types of data.

前述の点から、本発明の暗号化装置は従来の課題を解決できる。言い換えれば、本発明は、暗号化アルゴリズムモジュールの組合せが異なるデータ属性にしたがい自動的に切り換えられるという効果を有する。例えば、ユーザが遠隔側端末からのメッセージを読んだときに、送信されたデータが、認証過程においてもっとも安全な暗号化アルゴリズムモジュールの組合せを用いて暗号化処理され、他の送信されたデータは異なる暗号化アルゴリズムモジュールの組合せを採用する。これにより、ユーザのログインアカウント及びパスワードは公開されない。また、他の送信されたデータは異なる暗号化アルゴリズムモジュール組合せを用いて暗号化処理されるため、不正なユーザがデータの内容を読むことは困難である。同時に、送信時間を、暗号化アルゴリズムモジュールの組合せの利用比率を調整することにより改善できる。   In view of the above, the encryption device of the present invention can solve the conventional problems. In other words, the present invention has the effect that the combination of encryption algorithm modules is automatically switched according to different data attributes. For example, when a user reads a message from a remote terminal, the transmitted data is encrypted using a combination of the most secure encryption algorithm modules in the authentication process, and the other transmitted data is different. Adopt a combination of encryption algorithm modules. As a result, the user's login account and password are not disclosed. Further, since other transmitted data is encrypted using different encryption algorithm module combinations, it is difficult for an unauthorized user to read the contents of the data. At the same time, the transmission time can be improved by adjusting the usage ratio of the combination of the encryption algorithm modules.

本発明は最も実際的で好ましいと考えられるものについて説明してきたが、本発明は開示した実施形態に制限されるものではなく、最も広い解釈の精神及び範囲内に含まれる種々の変形例をカバーし、全ての変更や等価な変形例が含まれるということは言うまでもない。   Although the present invention has been described in what is considered to be the most practical and preferred, the present invention is not limited to the disclosed embodiments, but covers various variations that fall within the spirit and scope of the broadest interpretation. It goes without saying that all changes and equivalent modifications are included.

本発明によるデータ暗号化装置の好ましい実施形態のブロック図FIG. 1 is a block diagram of a preferred embodiment of a data encryption device according to the present invention. 本発明によるデータ解読装置の好ましい実施形態のブロック図1 is a block diagram of a data decoding device according to a preferred embodiment of the present invention; 本発明によるデータ暗号化装置の好ましい実施形態におけるデータ暗号化動作の処理フローチャートProcessing flowchart of the data encryption operation in the preferred embodiment of the data encryption device according to the present invention 本発明によるデータ解読装置の好ましい実施形態におけるデータ解読動作の処理フローチャートProcessing flowchart of the data decryption operation in the preferred embodiment of the data decryption device according to the present invention 従来のデータ暗号化装置のシステムブロック図System block diagram of conventional data encryption device 従来のデータ解読装置のシステムブロック図System block diagram of conventional data decryption device 本発明によるデータ暗号化装置の好ましい実施形態におけるセキュリティクラスデータベースの構造を示す図FIG. 4 is a diagram showing the structure of a security class database in a preferred embodiment of the data encryption device according to the present invention. 本発明によるデータ暗号化装置の好ましい実施形態におけるセキュリティクラスデータベースにおけるデータ属性記述の可能なデータ属性記述コマンドを記述するテーブルTable describing data attribute description command capable of data attribute description in security class database in preferred embodiment of data encryption device according to the present invention 本発明によるデータ暗号化装置の好ましい実施形態のセキュリティクラスデータベースにおける暗号定義データの構造を説明した図FIG. 2 is a diagram illustrating the structure of encryption definition data in a security class database of a preferred embodiment of the data encryption device according to the present invention 本発明によるデータ暗号化装置の好ましい実施形態の暗号モジュールデータベースの構造を説明した図FIG. 2 is a diagram illustrating a structure of a cryptographic module database of a preferred embodiment of a data encryption device according to the present invention 本発明によるデータ暗号化装置の好ましい実施形態の解読モジュールデータベースの構造を説明した図FIG. 2 is a diagram illustrating the structure of a decryption module database of a preferred embodiment of the data encryption device according to the present invention 本発明によるデータ暗号化装置の好ましい実施形態における入力されたデータの構造を説明した図FIG. 2 is a view for explaining a structure of input data in a preferred embodiment of a data encryption device according to the present invention. 本発明によるデータ暗号化装置の好ましい実施形態における出力されたデータの構造を説明した図FIG. 3 is a view for explaining the structure of output data in a preferred embodiment of the data encryption device according to the present invention. 本発明によるデータ暗号化装置の好ましい実施形態の処理の一例を説明した図FIG. 2 is a view for explaining an example of processing of a preferred embodiment of the data encryption device according to the present invention. 本発明によるデータ解読装置の好ましい実施形態の処理の一例を説明した図FIG. 3 is a view for explaining an example of processing of a preferred embodiment of the data decryption device according to the present invention. 本発明によるデータ暗号化装置の別の好ましい実施形態のブロック図FIG. 2 is a block diagram of another preferred embodiment of the data encryption device according to the present invention. 本発明によるデータ暗号化装置のさらに別の好ましい実施形態のブロック図FIG. 2 is a block diagram of still another preferred embodiment of the data encryption device according to the present invention.

Claims (38)

データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップAと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、暗号定義フィールドは複数の暗号化アルゴリズムモジュールインジケータを含んでおり、
暗号化されるデジタルデータを入力するステップBと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義データを取出すステップCと、
該取出した暗号定義データから、無作為に1つの暗号化アルゴリズムモジュールインジケータを選択するステップDと、
該選択された暗号化アルゴリズムモジュールインジケータを規準として用いて、前記入力したデータの暗号化処理を制御するステップEと、
前記暗号化処理されたデジタルデータに解読情報を付加して出力するステップFと
を含むデータ暗号化方法。 Step A of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption algorithm module indicators,
Step B of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data and extracting the corresponding encryption definition data;
A step D of randomly selecting one encryption algorithm module indicator from the extracted encryption definition data;
Using the selected encryption algorithm module indicator as a criterion, controlling an encryption process of the input data; and
A step F of adding decryption information to the encrypted digital data and outputting the resultant data. ステップAにて構築されたセキュリティデータベースにおける暗号定義フィールドは、複数の暗号化アルゴリズムモジュールインジケータ及びそれらによって採用される対応する比率を含み、ステップDにおいて、各暗号化アルゴリズムモジュールインジケータ及びそれに採用される対応する比率に基づいて、乱数生成器およびMOD演算と連携して、前記取出された暗号定義データから、1つの暗号化アルゴリズムモジュールインジケータを選択する、請求項1記載のデータ暗号化方法。   The cryptographic definition field in the security database constructed in step A includes a plurality of cryptographic algorithm module indicators and the corresponding ratios employed by them, and in step D, each cryptographic algorithm module indicator and corresponding counterpart employed therein 2. The data encryption method according to claim 1, wherein one encryption algorithm module indicator is selected from the extracted encryption definition data in cooperation with a random number generator and a MOD operation based on the ratio. ステップAにて構築されたセキュリティデータベースにおける暗号定義フィールドは、複数の暗号化アルゴリズムモジュール組合せを含み、各暗号化アルゴリズムモジュール組合せは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含み、ステップDにおいて、前記取出された暗号定義データから無作為に1つの暗号化アルゴリズムモジュール組合せを取出し、ステップEにおいて、選択された暗号化アルゴリズムモジュール組合せが、暗号化の種類及び認証の種類を含んだ、前記入力データの暗号化処理のための規準として使用される、請求項1記載のデータ暗号化方法。   The encryption definition field in the security database constructed in step A includes a plurality of encryption algorithm module combinations, each encryption algorithm module combination includes an encryption algorithm module indicator and an authentication algorithm module indicator, and in step D, One encryption algorithm module combination is randomly extracted from the extracted encryption definition data, and in step E, the selected encryption algorithm module combination includes the type of encryption and the type of authentication. 2. The data encryption method according to claim 1, wherein the data encryption method is used as a criterion for an encryption process. ステップAにて構築されたセキュリティデータベースにおける暗号定義フィールドは、複数の暗号化アルゴリズムモジュール組合せ及びそれらに採用される対応する比率を含み、ステップDにおいて、各暗号化アルゴリズムモジュール組合せ及びそれに採用される対応する比率にしたがい、乱数生成器およびMOD演算と連携して、前記取出された暗号定義データから1つの暗号化アルゴリズムモジュール組合せを選択する、請求項3記載のデータ暗号化方法。   The encryption definition field in the security database constructed in step A includes a plurality of encryption algorithm module combinations and corresponding ratios adopted therein, and in step D, each encryption algorithm module combination and the corresponding association adopted therein 4. The data encryption method according to claim 3, wherein one encryption algorithm module combination is selected from the extracted encryption definition data in cooperation with the random number generator and the MOD operation according to the ratio. データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップBと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化モジュールデータベースインデックスを含んでおり、
暗号化されるデジタルデータを入力するステップCと、
セキュリティクラスデータベースから、デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義データを取出すステップDと、
該取出した暗号定義データから、無作為に1つの暗号化モジュールデータベースインデックスを選択するステップEと、
該選択された暗号化モジュールデータベースインデックスにしたがい、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップFと、
該選択されたレコードのエントリを規準として用いて、暗号化の種類と認証の種類を含む、前記入力デジタルデータの暗号化処理を制御するステップGと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップHと
を含むデータ暗号化方法。 Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Step B of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption module database indexes.
Step C of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data and extracting the corresponding cryptographic definition data;
A step E of randomly selecting one encryption module database index from the extracted encryption definition data;
Selecting a record entry from the encryption module database according to the selected encryption module database index, F;
Using the entry of the selected record as a criterion, controlling the encryption process of the input digital data, including the type of encryption and the type of authentication; and
Adding a decryption information to the encrypted digital data and outputting the added digital data. ステップBにて構築された前記セキュリティデータベースにおける前記暗号定義フィールドは、複数の暗号化モジュールデータベースインデックス及びそれらに採用される対応する比率を含み、ステップEにおいて、各暗号化モジュールデータベースインデックス及びそれに採用される対応する比率にしたがい、乱数生成器およびMOD演算と連携して、前記取出された暗号定義データから、1つの暗号化モジュールデータベースインデックスを選択する、請求項5記載のデータ暗号化方法。   The cryptographic definition fields in the security database constructed in step B include a plurality of cryptographic module database indexes and corresponding ratios employed therein, and in step E, each cryptographic module database index and the corresponding 6. The data encryption method according to claim 5, wherein one encryption module database index is selected from the extracted encryption definition data in cooperation with a random number generator and a MOD operation according to a corresponding ratio. 複数の暗号化アルゴリズムモジュールインジケータを含む暗号定義データを構築するステップAと、
暗号化されるデジタルデータを入力するステップBと、
前記暗号定義データから無作為に、1つの暗号化アルゴリズムモジュールインジケータを選択するステップCと、
該選択された暗号化アルゴリズムモジュールインジケータを規準として用いて、前記入力デジタルデータの暗号化処理を制御するステップDと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップEと
を含むデータ暗号化方法。 Constructing cryptographic definition data including a plurality of cryptographic algorithm module indicators;
Step B of inputting digital data to be encrypted;
(C) randomly selecting one encryption algorithm module indicator from the encryption definition data;
Using the selected encryption algorithm module indicator as a criterion, controlling the encryption process of the input digital data; D.
Adding a decryption information to the encrypted digital data and outputting the decrypted information. ステップAにて構築された暗号定義データは複数の暗号化アルゴリズムモジュールインジケータ及びそれらに採用される対応する比率を含み、ステップCにおいて、各暗号化アルゴリズムモジュールインジケータ及びそれに採用される対応する比率にしたがい、乱数生成器およびMOD演算と連携して、前記暗号定義データから1つの暗号化アルゴリズムモジュールインジケータを選択する、請求項7記載のデータ暗号化方法。   The cryptographic definition data constructed in step A includes a plurality of encryption algorithm module indicators and corresponding ratios employed therein, and in step C, according to each encryption algorithm module indicator and the corresponding ratio employed therein. 8. The data encryption method according to claim 7, wherein one encryption algorithm module indicator is selected from the encryption definition data in cooperation with a random number generator and a MOD operation. ステップAにて構築された暗号定義データは、複数の暗号化アルゴリズムモジュール組合せを含み、各暗号化アルゴリズムモジュール組合せは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含み、ステップCにおいて、取出された暗号定義データから、無作為に1つの暗号化アルゴリズムモジュール組合せが選択され、ステップDにおいて、その選択された暗号化アルゴリズムモジュール組合せが、暗号化の種類及び認証の種類を含んだ、前記入力データの暗号化処理のための規準として使用される、請求項7記載のデータ暗号化方法。   The encryption definition data constructed in step A includes a plurality of encryption algorithm module combinations, each encryption algorithm module combination includes an encryption algorithm module indicator and an authentication algorithm module indicator, and in step C, the cipher extracted in step C One encryption algorithm module combination is selected at random from the definition data. In step D, the selected encryption algorithm module combination includes the type of encryption and the type of authentication. The data encryption method according to claim 7, which is used as a criterion for the encryption process. ステップAにて構築された暗号定義データは、複数の暗号化アルゴリズムモジュール組合せ及びそれらに採用される対応する比率を含み、ステップCにおいて、各暗号化アルゴリズムモジュール組合せ及びそれに採用される対応する比率にしたがい、乱数生成器およびMOD演算と連携して、前記取出された暗号定義データから1つの暗号化アルゴリズムモジュール組合せを選択する、請求項9記載のデータ暗号化方法。   The cryptographic definition data constructed in step A includes a plurality of encryption algorithm module combinations and corresponding ratios adopted therein, and in step C, each encryption algorithm module combination and the corresponding ratio employed therein 10. The data encryption method according to claim 9, wherein one encryption algorithm module combination is selected from the extracted encryption definition data in cooperation with a random number generator and a MOD operation. データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
複数の暗号化モジュールデータベースインデックスを含む暗号定義データを構築するステップBと、
暗号化されるデジタルデータを入力するステップCと、
前記暗号定義データから、無作為に1つの暗号化モジュールデータベースインデックスを選択するステップDと、
該選択された暗号化モジュールデータベースインデックスにしたがい、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップEと、
該選択されたレコードのエントリを規準として用いて、暗号の種類と認証の種類を含んだ、前記入力デジタルデータの暗号化処理を制御するステップFと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップGと
を含むデータ暗号化方法。 Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Building B cryptographic definition data including a plurality of cryptographic module database indexes;
Step C of inputting digital data to be encrypted;
(C) randomly selecting one cryptographic module database index from the cryptographic definition data;
A step E of selecting an entry of one record from the encryption module database according to the selected encryption module database index;
Using the entry of the selected record as a criterion, controlling the encryption processing of the input digital data, including the type of encryption and the type of authentication;
Adding decryption information to the encrypted digital data and outputting the resulting digital data. ステップBにて構築された暗号定義データは複数の暗号化モジュールデータベースインデックス及びそれに採用される対応する比率を含み、ステップDにおいて、各暗号化モジュールデータベースインデックス及びそれに採用される対応する比率にしたがい、乱数生成器およびMOD演算と連携して、前記暗号定義データから1つの暗号化モジュールデータベースインデックスを選択する、請求項11記載のデータ暗号化方法。   The encryption definition data constructed in step B includes a plurality of encryption module database indexes and corresponding ratios adopted therein, and in step D, according to each encryption module database index and corresponding ratio adopted therein, The data encryption method according to claim 11, wherein one encryption module database index is selected from the encryption definition data in cooperation with a random number generator and a MOD operation. データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップAと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、暗号定義データフィールドは暗号化アルゴリズムモジュールインジケータであり、
暗号化されるデジタルデータを入力するステップBと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を見つけ出し、対応する暗号定義フィールドの暗号化アルゴリズムモジュールインジケータを取出すステップCと、
該取出された暗号化アルゴリズムモジュールインジケータを規準として用いて、入力デジタルデータの暗号化処理を制御するステップDと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップEと
を含むデータ暗号化方法。 Step A of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition data field is an encryption algorithm module indicator;
Step B of inputting digital data to be encrypted;
Finding, from the security class database, a data attribute description that matches an attribute of the digital data, and extracting an encryption algorithm module indicator of a corresponding encryption definition field;
Using the retrieved encryption algorithm module indicator as a criterion, controlling the encryption of the input digital data; D.
Adding a decryption information to the encrypted digital data and outputting the decrypted information. ステップAにて構築されたセキュリティクラスデータベースにおける暗号定義フィールドは暗号化アルゴリズムモジュール組合せであり、該暗号化アルゴリズムモジュール組合せは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含み、対応する暗号化定義フィールドの暗号化アルゴリズムモジュール組合せが、前記セキュリティクラスデータベースからデジタルデータの属性に一致するデータ属性記述を見つけ出すステップCにおいて取出され、ステップDにおいて、前記選択された暗号化アルゴリズムモジュール組合せは、暗号の種類と認証の種類を含んだ、入力デジタルデータの暗号化処理を制御するための規準として使用される、請求項13記載のデータ暗号化方法。   The encryption definition field in the security class database constructed in step A is an encryption algorithm module combination, the encryption algorithm module combination including an encryption algorithm module indicator and an authentication algorithm module indicator. An encryption algorithm module combination is retrieved in step C to find a data attribute description from the security class database that matches the attribute of the digital data, and in step D the selected encryption algorithm module combination is 14. The data encryption method according to claim 13, wherein the data encryption method is used as a criterion for controlling an encryption process of input digital data including the following types. データのレコードのエントリを複数格納する暗号化モジュールデータベースを構築するステップAと、
各レコードのエントリは、暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含んでおり、
データのレコードのエントリを複数格納するセキュリティクラスデータベースを構築するステップBと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化モジュールデータベースインデックスを含んでおり、
暗号化されるデジタルデータを入力するステップCと、
前記セキュリティクラスデータベースから、前記デジタルデータの属性に一致するデータ属性記述を検索し、対応する暗号定義フィールドから、暗号化モジュールデータベースインデックスを取出すステップDと、
該取出された暗号化モジュールデータベースインデックスを規準として用いて、前記暗号化モジュールデータベースから、1つのレコードのエントリを選択するステップEと、
該選択されたレコードのエントリを規準として用いて、暗号化の種類と認証の種類を含む、前記入力データの暗号化処理を制御するステップFと、
暗号化処理された前記デジタルデータに解読情報を付加して出力するステップGと
を含むデータ暗号化方法。 Step A of building an encryption module database that stores a plurality of data record entries;
Each record entry includes an encryption algorithm module indicator and an authentication algorithm module indicator,
Step B of building a security class database that stores a plurality of data record entries;
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field includes a plurality of encryption module database indexes.
Step C of inputting digital data to be encrypted;
Searching the security class database for a data attribute description that matches the attribute of the digital data, and extracting an encryption module database index from the corresponding encryption definition field;
Using the retrieved cryptographic module database index as a criterion, selecting an entry for one record from the cryptographic module database;
Using the entry of the selected record as a criterion, controlling the encryption processing of the input data, including the type of encryption and the type of authentication, and F;
Adding decryption information to the encrypted digital data and outputting the resulting digital data. データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置において、
データのレコードのエントリを複数格納するセキュリティクラスデータベースと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、該暗号定義フィールドは複数の暗号化アルゴリズムモジュールインジケータを含んでおり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記セキュリティクラスデータベースを前記検証部から送られたパラメータデータによって更新するパラメータ処理部と、
前記セキュリティクラスデータベースから、前記検証部から送られたデジタルデータの属性と一致するデータ属性記述を検索し、対応する暗号定義データを暗号選択部に送信する属性検証部と、
前記暗号選択部は、検索した暗号定義データから、無作為に1つの暗号化アルゴリズムモジュールインジケータを選択し、
前記暗号選択部により選択された暗号化アルゴリズムモジュールインジケータを規準として用いて前記入力データの暗号化処理を制御する暗号処理部と
を備えたデータ暗号化装置。 In a data encryption device including an input unit for inputting data and an output unit for outputting data after data encryption processing,
A security class database that stores a plurality of data record entries,
Each record entry includes a data attribute description field and a corresponding encryption definition field, the encryption definition field including a plurality of encryption algorithm module indicators,
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the security class database with parameter data sent from the verification unit,
From the security class database, an attribute verification unit that searches for a data attribute description that matches the attribute of the digital data sent from the verification unit, and transmits the corresponding encryption definition data to the encryption selection unit,
The encryption selecting unit randomly selects one encryption algorithm module indicator from the searched encryption definition data,
A data encryption device that controls an encryption process of the input data by using an encryption algorithm module indicator selected by the encryption selection unit as a reference. 前記セキュリティクラスデータベースにおける暗号定義フィールドは複数の暗号化アルゴリズムモジュールインジケータ及びそれらに採用される対応する比率を含み、前記暗号選択部は、各暗号化アルゴリズムモジュールインジケータ及びそれらに採用される対応する比率に基づいて、乱数生成器とMOD演算と連携して、1つの暗号アルゴリズムモジュールインジケータを選択する、請求項16記載のデータ暗号化装置。   The cryptographic definition field in the security class database includes a plurality of encryption algorithm module indicators and corresponding ratios employed therein, and the cipher selection unit determines whether each of the encryption algorithm module indicators and the corresponding ratios employed therein. 17. The data encryption device according to claim 16, wherein one encryption algorithm module indicator is selected based on the random number generator and the MOD operation. 前記セキュリティデータベースにおける暗号定義フィールドは、複数の暗号化アルゴリズムモジュール組合せを含み、各暗号化アルゴリズムモジュール組合せは暗号化アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを含み、前記暗号選択部は、無作為に、1つの暗号化アルゴリズムモジュール組合せを、前記検索した暗号定義データから選択し、前記暗号処理部は、前記暗号選択部により選択された暗号化アルゴリズムモジュール組合せを規準として用いて、暗号の種類と認証の種類とを含んだ、前記入力デジタルデータの暗号処理を制御する、請求項16記載のデータ暗号化装置。   The encryption definition field in the security database includes a plurality of encryption algorithm module combinations, each encryption algorithm module combination includes an encryption algorithm module indicator and an authentication algorithm module indicator, and the encryption selector randomly selects 1 One encryption algorithm module combination is selected from the retrieved encryption definition data, and the encryption processing unit uses the encryption algorithm module combination selected by the encryption selection unit as a criterion to determine the type of encryption and the type of authentication. 17. The data encryption device according to claim 16, wherein the data encryption device controls encryption processing of the input digital data. 前記セキュリティデータベースにおける暗号定義フィールドは複数の暗号化アルゴリズムモジュール組合せとそれらに採用される対応する比率を含み、前記暗号選択部は、各暗号化アルゴリズムモジュール組合せとそれに採用される対応の比率にしたがい、乱数生成器とMOD演算と連携して、前記検索した暗号定義データから1つの暗号化アルゴリズムモジュール組合せを選択する、請求項18記載のデータ暗号化装置。   The encryption definition field in the security database includes a plurality of encryption algorithm module combinations and corresponding ratios employed therein, and the encryption selection unit according to each encryption algorithm module combination and the corresponding ratio employed therein, 19. The data encryption device according to claim 18, wherein one encryption algorithm module combination is selected from the searched encryption definition data in cooperation with a random number generator and a MOD operation. データのレコードのエントリを複数格納する暗号化モジュールデータベースをさらに備え、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータをさらに含み、
前記セキュリティクラスデータベースの暗号定義フィールドは複数の暗号化モジュールデータベースインデックスを含み、
前記暗号選択部は、前記検索した暗号定義データから1つの暗号化モジュールデータベースインデックスを無作為に選択し、前記検索した暗号化モジュールデータベースインデックスにしたがい、前記暗号化モジュールデータベースから1つのレコードのエントリを選択し、
前記暗号化処理部は、前記暗号選択部により選択されたレコードのエントリを規準として用いて、暗号の種類と認証の種類とを含んだ、前記入力デジタルデータの暗号化処理を制御する、請求項16記載のデータ暗号化装置。 A cryptographic module database that stores a plurality of data record entries;
Each record entry further includes an encryption algorithm module indicator and an authentication algorithm module indicator,
The security definition field of the security class database includes a plurality of encryption module database indexes,
The encryption selecting unit randomly selects one encryption module database index from the searched encryption definition data and, according to the searched encryption module database index, deletes one record entry from the encryption module database. Selected,
The encryption processing unit controls an encryption process of the input digital data including a type of encryption and a type of authentication by using an entry of a record selected by the encryption selection unit as a criterion. 16. The data encryption device according to item 16. 前記セキュリティクラスデータベースにおける暗号定義フィールドは複数の暗号化モジュールデータベースインデックス及びそれらに採用される対応する比率を含み、前記暗号選択部は、前記検索した暗号定義データから、各暗号化モジュールデータベースインデックス及びそれに採用される対応する比率に基づいて、乱数生成器とMOD演算と連携して、1つの暗号化モジュールデータベースインデックスを選択し、かつ、該選択した暗号化モジュールデータベースインデックスにしたがい、暗号化モジュールデータベースから1つのレコードのエントリを選択する、請求項20記載のデータ暗号化装置。   The cryptographic definition field in the security class database includes a plurality of cryptographic module database indexes and corresponding ratios employed therein, and the cryptographic selecting unit determines, from the retrieved cryptographic definition data, each cryptographic module database index and In cooperation with the random number generator and the MOD operation, one cryptographic module database index is selected based on the corresponding ratio adopted, and according to the selected cryptographic module database index, 21. The data encryption device according to claim 20, wherein an entry of one record is selected. 前記パラメータ処理部は、前記セキュリティデータベース及び前記暗号化モジュールデータベースを、前記検証部から送られたパラメータデータを用いて更新する、請求項20または21記載のデータ暗号化装置。   22. The data encryption device according to claim 20, wherein the parameter processing unit updates the security database and the encryption module database using parameter data sent from the verification unit. データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置において、
データのレコードのエントリを複数格納する暗号化モジュールデータベースと、
各レコードのエントリは暗号化アルゴリズムモジュールインジケータを含んでおり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記暗号化モジュールデータベースを、前記検証部からのパラメータデータを用いて更新するパラメータ処理部と、
前記暗号化モジュールデータベースから、1つのレコードのエントリを無作為に選択する暗号選択部と、
該暗号選択部により選択されたレコードのエントリを規準として用いて前記入力デジタルデータの暗号化処理を制御する暗号処理部と
を備えたデータ暗号化装置。 In a data encryption device including an input unit for inputting data and an output unit for outputting data after data encryption processing,
An encryption module database that stores a plurality of data record entries;
Each record entry contains an encryption algorithm module indicator,
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the encryption module database using parameter data from the verification unit;
An encryption selection unit that randomly selects one record entry from the encryption module database;
A data encryption device that controls an encryption process of the input digital data using an entry of a record selected by the encryption selection unit as a reference. 前記暗号化モジュールデータベースはデータのレコードのエントリを複数格納し、各レコードのエントリは暗号化アルゴリズムモジュールインジケータとそれにより採用される対応する比率とを含み、
前記暗号選択部は、乱数生成器とMOD演算と連携し、前記暗号化モジュールデータベースにおけるレコードのエントリのそれぞれによって採用される、対応する比率にしたがい、1つのレコードのエントリを選択する、請求項23記載のデータ暗号化装置。 The cryptographic module database stores a plurality of record entries for data, each record entry including a cryptographic algorithm module indicator and a corresponding ratio employed thereby;
24. The cipher selector, in conjunction with a random number generator and a MOD operation, selects one record entry according to a corresponding ratio adopted by each record entry in the encryption module database. A data encryption device as described. 前記暗号化モジュールデータベースはデータのレコードのエントリを複数格納し、各レコードのエントリは暗号化アルゴリズムモジュールインジケータとそれにより採用される対応する比率とを含み、
前記暗号化処理部は、前記暗号選択部により無作為に選択されたレコードのエントリの暗号化アルゴリズムモジュール組合せを規準として用いて、暗号の種類と認証の種類を含んだ暗号化処理を制御する、請求項23記載のデータ暗号化装置。 The cryptographic module database stores a plurality of record entries for data, each record entry including a cryptographic algorithm module indicator and a corresponding ratio employed thereby;
The encryption processing unit controls the encryption process including the type of encryption and the type of authentication, using, as a reference, an encryption algorithm module combination of an entry of a record randomly selected by the encryption selection unit. The data encryption device according to claim 23. 前記暗号化モジュールデータベースはデータのレコードのエントリを複数格納し、各レコードのエントリは暗号化アルゴリズムモジュールインジケータと、認証アルゴリズムモジュールインジケータと、それにより採用される対応する比率とを含み、前記暗号選択部は、乱数生成器とMOD演算と連携して、前記暗号化モジュールデータベース内の各レコードのエントリにより採用される対応する比率にしたがい、前記暗号化モジュールデータベースから1つのレコードのエントリを選択する、請求項25記載のデータ暗号化装置。   The encryption module database stores a plurality of entries for records of data, each entry of the record including an encryption algorithm module indicator, an authentication algorithm module indicator, and a corresponding ratio employed by the encryption algorithm module indicator. Selecting, in cooperation with a random number generator and a MOD operation, an entry of one record from the encryption module database according to a corresponding ratio adopted by an entry of each record in the encryption module database. Item 30. The data encryption device according to item 25. データを入力する入力部と、データの暗号化処理後にデータを出力する出力部とを備えたデータ暗号化装置において、
データのレコードのエントリを複数格納するセキュリティクラスデータベースと、
各レコードのエントリはデータ属性記述フィールド及び対応する暗号定義フィールドを含み、前記暗号定義フィールドは暗号化アルゴリズムモジュールインジケータであり、
前記入力部を介して入力されたデータを検証し、パラメータデータまたはデジタルデータに分離する検証部と、
前記セキュリティクラスデータベースを前記検証部からのパラメータデータによって更新するパラメータ処理部と、
前記セキュリティクラスデータベースから、前記検証部から送られたデジタルデータの属性と一致するデータ属性記述を検索し、対応する暗号定義データを暗号処理部に送信する属性検証部とを備え、
前記暗号処理部は、前記属性検証部により選択された暗号化アルゴリズムモジュールインジケータを規準として用いて前記入力デジタルデータの暗号化処理を制御する、データ暗号化装置。 In a data encryption device including an input unit for inputting data and an output unit for outputting data after data encryption processing,
A security class database that stores a plurality of data record entries,
Each record entry includes a data attribute description field and a corresponding encryption definition field, wherein the encryption definition field is an encryption algorithm module indicator;
A verification unit that verifies data input through the input unit, and separates the data into parameter data or digital data.
A parameter processing unit that updates the security class database with parameter data from the verification unit,
An attribute verification unit that searches the security class database for a data attribute description that matches the attribute of the digital data sent from the verification unit, and transmits the corresponding encryption definition data to the encryption processing unit,
The data encryption device, wherein the encryption processing unit controls the encryption processing of the input digital data using the encryption algorithm module indicator selected by the attribute verification unit as a criterion. 前記セキュリティクラスデータベースにおける暗号定義フィールドは暗号化アルゴリズムモジュール組合せであり、該暗号化アルゴリズムモジュール組合せは、暗号化アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータとを含み、前記暗号化処理部は、前記パラメータ検証部により選択された暗号化アルゴリズムモジュール組合せを規準として用いて、暗号の種類と認証の種類とを含んだ、入力デジタルデータの暗号化処理を制御する、請求項27記載のデータ暗号化装置。   The encryption definition field in the security class database is an encryption algorithm module combination, the encryption algorithm module combination includes an encryption algorithm module indicator and an authentication algorithm module indicator, and the encryption processing unit includes the parameter verification unit 28. The data encryption apparatus according to claim 27, wherein the encryption processing of the input digital data including the type of encryption and the type of authentication is controlled using the encryption algorithm module combination selected by the above as a criterion. 解読されるデジタルデータを入力するステップAと、
前記デジタルデータが解読アルゴリズムモジュールインジケータを含むか否かを検証し、含む場合には、前記解読アルゴリズムモジュールインジケータを検出し、含まない場合には、解読されるべきデータを、後のステップDにおける処理のために、前記入力データと等価なものに設定するステップBと、
検索した解読アルゴリズムモジュールインジケータを規準として用いて、前記入力デジタルデータの解読処理を制御するステップCと、
解読された前記デジタルデータを出力するステップDと
を含む、データ解読方法。 Step A of inputting digital data to be decrypted;
Verifying whether the digital data includes a decryption algorithm module indicator, and if so, detecting the decryption algorithm module indicator; if not, processing the data to be decrypted in a later step D A step B for setting the input data equivalent to the input data;
Using the retrieved decryption algorithm module indicator as a criterion to control decryption processing of the input digital data;
And D) outputting the decrypted digital data. ステップBにおいて、前記デジタルデータが、解読アルゴリズムモジュールインジケータ及び認証アルゴリズムモジュールインジケータを有する解読アルゴリズムモジュール組合せを含むか否かが検証され、含む場合は、前記解読アルゴリズムモジュール組合せが検索され、含まない場合は、解読されるべきデータを、後のステップDにおける処理のために、前記入力したデータと等価なものに設定し、さらに、ステップCにおいて、解読の種類と認証の種類を含んだ、前記入力デジタルデータの解読処理は、選択された解読アルゴリズムモジュール組合せを規準として用いて制御される、請求項29記載のデータ解読方法。   In step B, it is verified whether the digital data includes a decryption algorithm module combination having a decryption algorithm module indicator and an authentication algorithm module indicator, and if so, the decryption algorithm module combination is searched; Setting the data to be decrypted to be equivalent to the input data for processing in step D, and further comprising in step C the type of input digital data including the type of decryption and the type of authentication. 30. The data decoding method according to claim 29, wherein the data decoding process is controlled using the selected decoding algorithm module combination as a criterion. データのレコードのエントリを複数格納する解読モジュールデータベースを構築するステップAと、
各レコードのエントリは、解読アルゴリズムモジュールインジケータであり、
解読されるデジタルデータを入力するステップBと、
前記デジタルデータが解読モジュールデータベースインデックスを含むか否かを検証し、含む場合は、前記解読モジュールデータベースインデックスを検索し、含まない場合は、解読されるべきデータを、後のステップFにおける処理のために、入力データと等しいものに設定するステップCと、
検索された解読モジュールデータベースインデックスを規準として用いて、前記解読モジュールデータベースから1つのレコードのエントリを選択するステップDと、
選択されたレコードのエントリを規準として用いて、入力デジタルデータの解読処理を制御するステップEと、
解読された前記デジタルデータを出力するステップFと
を含む、データ解読方法。 Step A of building a decryption module database that stores a plurality of data record entries;
Each record entry is a decryption algorithm module indicator,
Inputting digital data to be decrypted, step B;
Verify whether the digital data includes a decryption module database index, and if so, search the decryption module database index; otherwise, retrieve the data to be decrypted for processing in step F below. A step C for setting the input data equal to the input data;
Selecting a record entry from the decryption module database using the retrieved decryption module database index as a criterion;
Using the entries of the selected record as a criterion, controlling the decoding process of the input digital data;
Outputting the decrypted digital data. F. A method for decrypting data. ステップAにおいて、データのレコードのエントリを複数格納する解読モジュールデータベースが構築され、各レコードのエントリは、解読アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータを含み、
ステップEにおいて、前記選択されたレコードのエントリが、解読の種類と認証の種類を含んだ、前記入力デジタルデータの解読処理の制御のための規準として使用される、請求項31のデータ解読方法。 In step A, a decryption module database for storing a plurality of record entries of the data is constructed, wherein each record entry includes a decryption algorithm module indicator and an authentication algorithm module indicator;
32. The data decryption method according to claim 31, wherein in the step E, the entry of the selected record is used as a criterion for controlling decryption processing of the input digital data, including a type of decryption and a type of authentication. データを入力する入力部と、解読処理後のデータを出力する出力部とを備えたデータ解読装置において、
前記入力部を介して入力したデータが解読アルゴリズムモジュールインジケータを含むか否かを検証し、含む場合は、前記解読アルゴリズムモジュールインジケータを取出し、含まない場合は、前記入力データを直接、前記出力部に送信する検証部と、
前記検証部により取出された解読アルゴリズムモジュールインジケータを用いて、前記入力デジタルデータの解読処理を制御する解読処理部と
を備えたデータ解読装置。 In a data decryption device including an input unit for inputting data and an output unit for outputting data after decryption processing,
Verify whether the data input through the input unit includes a decryption algorithm module indicator, if so, take out the decryption algorithm module indicator, if not, the input data directly to the output unit A verification unit to transmit;
A decryption processing unit that controls decryption processing of the input digital data using a decryption algorithm module indicator extracted by the verification unit. 前記検証部は、前記入力部を介して入力したデータが解読アルゴリズムモジュール組合せを含むか否かを検証し、前記解読アルゴリズムモジュール組合せは、解読アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータを含んでおり、前記検証部は、前記入力したデータが解読アルゴリズムモジュール組合せを含む場合は、解読アルゴリズムモジュール組合せを取出し、含まない場合は、前記入力データを直接、前記出力部に送信し、前記解読処理部は、解読の種類と認証の種類を含んだ、前記入力デジタルデータの解読処理を、前記検証部により取出された解読アルゴリズムモジュールインジケータを規準として用いて制御する、請求項33記載のデータ解読装置。   The verification unit verifies whether data input through the input unit includes a decryption algorithm module combination, wherein the decryption algorithm module combination includes a decryption algorithm module indicator and an authentication algorithm module indicator, When the input data includes a decryption algorithm module combination, the verifying unit extracts the decryption algorithm module combination, and when the input data does not include the decryption algorithm module combination, directly transmits the input data to the output unit. 34. The data decryption apparatus according to claim 33, wherein decryption processing of the input digital data including the type of the authentication data and the type of authentication is controlled using a decryption algorithm module indicator extracted by the verification unit as a criterion. データのレコードのエントリを複数格納する解読モジュールデータベースをさらに備え、各レコードのエントリは解読アルゴリズムモジュールインジケータを含んでおり、
前記検証部は、前記入力部を介して入力されたデータが解読モジュールデータベースインデックスを含むか否かを検証し、含む場合は、解読モジュールデータベースインデックスを取出し、さらに、そのインデックスを用いて前記解読モジュールデータベースから1つのレコードのエントリを取出し、含まない場合は、前記入力したデータを直接出力部に送信し、
前記解読処理部は、前記検証部により取出されたレコードのエントリを規準として用いて前記入力したデジタルデータの解読処理を制御する、請求項33記載のデータ解読装置。 A decryption module database for storing a plurality of record entries of the data, wherein each record entry includes a decryption algorithm module indicator;
The verification unit verifies whether the data input via the input unit includes a decryption module database index, and if so, extracts the decryption module database index, and further uses the index to decrypt the decryption module database. Retrieve the entry of one record from the database, if not, send the input data directly to the output unit,
34. The data decryption device according to claim 33, wherein the decryption processing unit controls decryption processing of the input digital data using an entry of a record extracted by the verification unit as a criterion. 前記解読モジュールデータベースはデータのレコードのエントリを複数格納し、各レコードのエントリは、解読アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータを含み、前記解読処理部は、前記検証部により取出されたレコードのエントリを規準として用いて、解読の種類と認証の種類を含んだ解読処理を制御する、請求項35記載のデータ解読装置。   The decryption module database stores a plurality of data record entries, each record entry includes a decryption algorithm module indicator and an authentication algorithm module indicator, and the decryption processing unit stores the record entry retrieved by the verification unit. 36. The data decryption device according to claim 35, wherein the decryption process including a type of decryption and a type of authentication is controlled as a standard. 前記解読モジュールデータベースを、パラメータデータを用いて更新するパラメータ処理部をさらに含み、
前記検証部は前記入力部を介して入力したデータを検証し、パラメータデータまたはデジタルデータに分離し、前記入力したデータがパラメータデータである場合は、それを前記パラメータ処理部に送信し、前記入力したデータがデジタルデータである場合は、そのデジタルデータが解読モジュールデータベースインデックスを含むか否かを検証し、含む場合は、前記解読モジュールデータベースインデックスを取出し、そのインデックスを用いて前記解読モジュールデータベースから1つのレコードのエントリを取出し、含まない場合は、前記入力したデータを直接、出力部に送信する、請求項35記載のデータ解読装置。 The decryption module database further includes a parameter processing unit that updates using the parameter data,
The verification unit verifies the data input through the input unit, separates the data into parameter data or digital data, and when the input data is parameter data, transmits it to the parameter processing unit, and If the obtained data is digital data, it is verified whether or not the digital data includes a decryption module database index, and if so, the decryption module database index is extracted and one 36. The data decoding apparatus according to claim 35, wherein an entry of one record is taken out, and when the entry is not included, the input data is directly transmitted to an output unit. 前記解読モジュールデータベースはデータのレコードのエントリを複数格納し、各レコードのエントリは解読アルゴリズムモジュールインジケータと認証アルゴリズムモジュールインジケータを含んでおり、
前記解読処理部は、前記検証部により取出されたレコードのエントリを規準として用いて、解読の種類と認証の種類を含んだ、前記入力データの解読処理を制御する、請求項37記載のデータ解読装置。
The decryption module database stores a plurality of record entries for data, each record entry including a decryption algorithm module indicator and an authentication algorithm module indicator,
38. The data decryption device according to claim 37, wherein the decryption processing unit controls decryption processing of the input data including a type of decryption and a type of authentication using an entry of a record extracted by the verification unit as a criterion. apparatus.
JP2003395945A 2002-11-26 2003-11-26 Data encryption or decryption method and data encryption or decryption device Pending JP2004180318A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNB021526060A CN100431295C (en) 2002-11-26 2002-11-26 Data encryption and decryption method and device
TW091134349A TWI224456B (en) 2002-11-26 2002-11-26 Data encryption and decryption method and apparatus

Publications (1)

Publication Number Publication Date
JP2004180318A true JP2004180318A (en) 2004-06-24

Family

ID=32714190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003395945A Pending JP2004180318A (en) 2002-11-26 2003-11-26 Data encryption or decryption method and data encryption or decryption device

Country Status (1)

Country Link
JP (1) JP2004180318A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007258850A (en) * 2006-03-22 2007-10-04 Nec Corp Cryptographic system, cryptographic circuit, and cryptographic control method used therefor
JP2009089044A (en) * 2007-09-28 2009-04-23 Toshiba Solutions Corp Cryptographic management device, cryptographic management method, cryptographic management program
JP2010211515A (en) * 2009-03-10 2010-09-24 Toshiba Corp Information storage medium, authenticating data generation method and medium authentication system
CN104331987A (en) * 2014-09-15 2015-02-04 郑州天迈科技股份有限公司 Encryption method for unlocking passwords of coil inserting machine of bus
KR101584332B1 (en) 2014-05-13 2016-01-13 (주)케이사인 Method for creating personal information tokens based on character patterns
US9378395B2 (en) 2012-06-12 2016-06-28 Thomson Licensing Method, a device and a computer program support for execution of encrypted computer code
JP2018512099A (en) * 2015-01-26 2018-05-10 リスタット リミテッド Secure dynamic communication network and protocol
JP2021043432A (en) * 2019-09-11 2021-03-18 バイドゥ ユーエスエイ エルエルシーBaidu USA LLC Data transmission obfuscated by an obfuscation unit for data processing (DP) accelerators
CN114301592A (en) * 2021-12-30 2022-04-08 李秦豫 Network encryption algorithm
CN116418549A (en) * 2021-12-30 2023-07-11 新唐科技股份有限公司 Method and device for secure data transmission

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007258850A (en) * 2006-03-22 2007-10-04 Nec Corp Cryptographic system, cryptographic circuit, and cryptographic control method used therefor
JP2009089044A (en) * 2007-09-28 2009-04-23 Toshiba Solutions Corp Cryptographic management device, cryptographic management method, cryptographic management program
JP2010211515A (en) * 2009-03-10 2010-09-24 Toshiba Corp Information storage medium, authenticating data generation method and medium authentication system
US9378395B2 (en) 2012-06-12 2016-06-28 Thomson Licensing Method, a device and a computer program support for execution of encrypted computer code
KR101584332B1 (en) 2014-05-13 2016-01-13 (주)케이사인 Method for creating personal information tokens based on character patterns
CN104331987A (en) * 2014-09-15 2015-02-04 郑州天迈科技股份有限公司 Encryption method for unlocking passwords of coil inserting machine of bus
JP2018512099A (en) * 2015-01-26 2018-05-10 リスタット リミテッド Secure dynamic communication network and protocol
JP2021043432A (en) * 2019-09-11 2021-03-18 バイドゥ ユーエスエイ エルエルシーBaidu USA LLC Data transmission obfuscated by an obfuscation unit for data processing (DP) accelerators
CN114301592A (en) * 2021-12-30 2022-04-08 李秦豫 Network encryption algorithm
CN114301592B (en) * 2021-12-30 2023-06-23 李秦豫 Network encryption algorithm
CN116418549A (en) * 2021-12-30 2023-07-11 新唐科技股份有限公司 Method and device for secure data transmission

Similar Documents

Publication Publication Date Title
CN100431295C (en) Data encryption and decryption method and device
AU2003203712B2 (en) Methods for remotely changing a communications password
JP3747520B2 (en) Information processing apparatus and information processing method
US8135132B2 (en) Method and system for secure storage, transmission and control of cryptographic keys
US7681037B2 (en) Network connection system
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
US8601267B2 (en) Establishing a secured communication session
US8396218B2 (en) Cryptographic module distribution system, apparatus, and program
US20130191639A1 (en) System and method for securing communications between devices
EP1788471A1 (en) Content-log analyzing system and data-communication controlling device
CN101448130B (en) Method, system and device for protecting data encryption in monitoring system
Tews Attacks on the WEP protocol
US20070028090A1 (en) Method and system for providing strong security in insecure networks
US6944762B1 (en) System and method for encrypting data messages
WO2000049764A1 (en) Data authentication system employing encrypted integrity blocks
WO2000014918A1 (en) System and method for encrypting data messages
US12574724B2 (en) Network connection method, terminal, device to be connected to network, and storage medium
CN110690956A (en) Bidirectional authentication method and system, server and terminal
US20050289337A1 (en) Electronic mail server device and electronic mail processing method
JP2004180318A (en) Data encryption or decryption method and data encryption or decryption device
US20050086481A1 (en) Naming of 802.11 group keys to allow support of multiple broadcast and multicast domains
US10021074B2 (en) Encrypting method and decrypting method of security short message and receiving apparatus for receiving security short message
JP3563649B2 (en) Communication control device and recording medium
JP4220671B2 (en) Encrypted data communication method, encrypted data generation system and recording medium therefor
US20050144352A1 (en) System and method for protecting network resources from denial of service attacks