JPH10271167A - Hub間データ暗号化によるデータセキュリティ確保装 置と方法 - Google Patents

Hub間データ暗号化によるデータセキュリティ確保装 置と方法

Info

Publication number
JPH10271167A
JPH10271167A JP7522997A JP7522997A JPH10271167A JP H10271167 A JPH10271167 A JP H10271167A JP 7522997 A JP7522997 A JP 7522997A JP 7522997 A JP7522997 A JP 7522997A JP H10271167 A JPH10271167 A JP H10271167A
Authority
JP
Japan
Prior art keywords
packet
encryption
data
hub
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7522997A
Other languages
English (en)
Other versions
JP3005490B2 (ja
Inventor
Minako Yanagihara
美奈子 柳原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Software Kyushu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Software Kyushu Ltd filed Critical NEC Software Kyushu Ltd
Priority to JP7522997A priority Critical patent/JP3005490B2/ja
Publication of JPH10271167A publication Critical patent/JPH10271167A/ja
Application granted granted Critical
Publication of JP3005490B2 publication Critical patent/JP3005490B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】通信時のホスト間のセキュリティ確保のため、
ネットワーク上の通信データを暗号化する必要がある。 【解決手段】パケット送信時にはまずHUB1に直接接
続している終端装置から送出されたパケットをインタフ
ェース6が受信し、パケット管理部2に渡し、パケット
管理部では、受け取ったパケットを暗号化判断部3に渡
し、暗号化を行うかどうかの判断を行い、暗号化を行う
ことになった場合、暗号化および復号化処理部4にてデ
ータの暗号化を行い、その後、カプセル化部5にて暗号
化データを含むデータのカプセル化を行い、パケット管
理部よりインタフェースを経由して宛先へパケットを送
出する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明はHUB間データ暗号
化によるデータセキュリティ確保装置と方法に関し、特
にHUB〜HUB間の通信においてデータの暗号化を行
うことでデータの機密を守るHUB間データ暗号化によ
るデータセキュリティ確保装置と方法に関する。
【0002】
【従来の技術】従来、パケット通信には、コネクション
型パケット通信とコネクションレス型パケット通信とが
存在する。コネクション型パケット通信の場合は、次の
手順で通信を開始する。すなわち、通信回線の接続(フ
ェーズ1)、データリンク設定と確立(フェーズ2)、
情報あるいはメッセージ本体の伝送(フェーズ3)であ
る。
【0003】しかし、コネクションレス型パケット通信
の場合には、いきなりフェーズ3から通信を開始する。
【0004】一般に、ネットワークには複数のサブネッ
トワークが接続されて構成されたものがあるが、このサ
ブネットワークが一般公衆回線や公衆電話網などの不特
定の第三者によって接続可能である場合には、機密を守
ることができない。
【0005】このため、サブネットワークが別のサブネ
ットワークと接続する際のネットワーク接続装置におい
て、送出するパケットが機密保護し得ない範囲を通過す
る場合にはデータの暗号化を行う。
【0006】具体的には、コネクションレス型パケット
により通信を行う場合、複数のサブネットワークを接続
する場所に設置するネットワーク接続装置において、ま
ず送信側のネットワーク接続装置では受け取ったパケッ
トの送出経路を選定し、この送出経路が機密保護し得な
い範囲を通過する場合にパケットのネットワーク層に関
するデータを暗号化し、前記範囲を越えた場所にあるネ
ットワーク接続装置を前記暗号化したデータの最終宛先
として新たなパケットに組み込んで送出する。
【0007】次に、受信側のネットワーク接続装置で
は、暗号化されたデータを受け取った場合にはデータを
複合化し、最終宛先の終端装置へ通常のパケット構成で
送る。このような通信機密確保のための従来技術に関し
ては、例えば特開平6−69962号公報がある。
【0008】
【発明が解決しようとする課題】しかしながら、上述し
た従来の方法では、次のような問題が発生する。すなわ
ち、第1の問題点としては、暗号化の対象がコネクショ
ンレス型パケット通信に限定されているため、コネクシ
ョン型パケット通信を行う場合においての機密が守れな
いという点である。
【0009】その理由は、コネクション型であろうとコ
ネクションレス型であろうと、パケットが機密保護し得
ない範囲を通過する際には機密漏洩の可能性があること
に変わりはないからである。
【0010】第2の問題点は、あらかじめ機密保護し得
ない範囲を送出経路毎に記憶しておく必要があることで
ある。
【0011】その理由は、ネットワーク構成というもの
は恒久的なものではなく、サブネットが増えることもあ
れば、途中の経路に変更が生じることもあるため、あら
かじめ経路情報と機密保護し得ない範囲を全て記憶して
おくことは不可能であるためである。
【0012】本発明の目的は、HUB〜HUB間通信に
おいて、データの暗号化を行うことで、データのセキュ
リティを確保することにある。
【0013】データのセキュリティを確保することによ
って、データの信頼性を向上させることにある。
【0014】すなわち、HUB〜HUB間通信におい
て、通信プロトコルの種類には一切依存せず、またネッ
トワーク構成の変更時にも影響を受けずに、データの暗
号化を行い、データの信頼性を向上させるHUB間デー
タ暗号化によるデータセキュリティ確保装置と方法を提
供することにある。
【0015】
【課題を解決するための手段】本発明のHUB間データ
暗号化によるデータセキュリティ確保装置と方法は、H
UBに直接接続している終端装置からパケットを受け取
った場合に、パケットがコネクション型かコネクション
レス型かに関係なく、パケットの宛先終端装置を見て、
暗号化するべきパケットかどうかを決定する暗号化判断
部と、暗号化および復号化処理部と、暗号化を行った際
にパケットの宛先アドレスおよび送信元アドレスの直後
に暗号化を行ったという意味のフラグをONにセット
し、復号化の際に必要となる情報があればそれを付加し
た上で暗号化データのカプセル化を行うカプセル化部を
備え、また、HUBが直接接続している終端装置ではな
く外部からパケットを受け取った場合には、まずパケッ
トの宛先物理アドレスがHUBに直接接続している終端
装置かどうかを判断し、直接接続している場合には上述
の暗号化判断部にてそのパケットが暗号化データである
かどうかの判断を行い、暗号化データである場合には、
復号化を行った上でデータの最終宛先であるHUBに直
接接続している終端装置に対してパケットを送出するこ
とを特徴とするHUB間データ暗号化によるデータセキ
ュリティ確保装置と、HUBが直接接続している終端装
置からパケットを受け取った時に、宛先物理アドレスを
参照し、暗号化するべきパケットである場合には、パケ
ットの宛先および送信元物理アドレス部分の次の部分以
降を全て暗号化して送出し、暗号化するべきでないパケ
ットの場合には、暗号化せずにパケットをそのままの形
で送出し、また、暗号化すべきかすべきでないかの情報
のないパケットの場合には、あらかじめ暗号化の確認パ
ケットを送出して自動判別を行うことを特徴とするHU
B間データ暗号化によるデータセキュリティ確保方法。
【0016】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
【0017】図1は本発明のHUB間データ暗号化によ
るデータセキュリティ確保装置と方法の一実施の形態を
示すブロック図である。
【0018】図1を参照すると、パケット送信時にはま
ずHUB1に直接接続している終端装置から送出された
パケットをインタフェース6が受信し、パケット管理部
2に渡す。
【0019】パケット管理部2では、受け取ったパケッ
トを暗号化判断部3に渡し、暗号化を行うかどうかの判
断を行う。
【0020】もし、暗号化を行うことになった場合、暗
号化および復号化処理部4にてデータの暗号化を行う。
【0021】その後、カプセル化部5にて暗号化データ
を含むデータのカプセル化を行い、パケット管理部より
インタフェース6を経由して宛先へパケットを送出す
る。
【0022】次に、パケット受信時の処理について説明
する。
【0023】HUB1がインタフェース6によりパケッ
トを受信した場合、まずパケットはパケット管理部2に
渡される。
【0024】パケット管理部2は、受け取ったパケット
が暗号化されているかどうかを確認するために暗号化判
断部3に引き渡す。
【0025】暗号化判断部3は、受け取ったパケットが
暗号化されているものであると判断した場合、暗号化お
よび復号化処理部4に引き渡す。
【0026】その後、復号化を行ったパケットはインタ
フェース6を通って、パケットの宛先へ送出される。
【0027】次に、本発明の実施の形態の動作につい
て、図2、図3、図4、および図5を参照して詳細に説
明する。
【0028】図2は本発明のHUB間データ暗号化によ
るデータセキュリティ確保装置と方法におけるカプセル
化を行った後に宛先へ送出するパケットの構成を示す構
成図である。図3は本発明のHUB間データ暗号化によ
るデータセキュリティ確保装置と方法におけるパケット
送信時の動作を示す流れ図である。図4は本発明のHU
B間データ暗号化によるデータセキュリティ確保装置と
方法におけるカプセル化を行う前のパケットの構成を示
す構成図である。また図5はネットワークの構成図であ
る。
【0029】HUB17は直接接続している終端装置1
8から受け取ったパケットは送信要求パケットとみな
し、直接接続していない終端装置21から受け取ったパ
ケットは受信パケットとみなす。
【0030】HUB17が直接接続している終端装置1
8からネットワーク20に送出するパケットを受け取っ
た場合の処理について図1を用いて説明する。
【0031】インタフェース6によってパケットを受け
取ったHUB1では、受け取ったパケットをインタフェ
ース6からパケット管理部2に引き渡す(ステップS
1)。
【0032】パケット管理部2は受け取ったパケットを
暗号化判断部3に引き渡すが、暗号化判断部3では、パ
ケットの宛先物理アドレス13を参照し、暗号化を行う
べき宛先一覧に登録されているかどうかを確認するすな
わち「宛先IPアドレスは暗号化を行うべき宛先一覧に
載っているか」(ステップS2)。
【0033】登録されていた場合は次の暗号化および復
号化処理部4へ進むすなわち「暗号化を行う」(ステッ
プS3)。
【0034】登録されていない場合、次に暗号化を行わ
ない宛先一覧に宛先物理アドレスが登録されているかど
うかを確認する(ステップS6)。ここで、もし登録さ
れていた場合は暗号化を行わずにパケット管理部2から
インタフェース6を経由してパケットを宛先へ送出する
(ステップS5)。
【0035】宛先物理アドレス13が暗号化を行わない
宛先一覧に登録されていない場合は、暗号化すべきかど
うかの判断を行うため、次のような処理を行う。
【0036】すなわち、宛先終端装置に対して暗号化を
サポートしているかどうかの確認パケットを送出するの
である(ステップS7)。返事(ACK)パケットが返
って来た場合は暗号化をサポートしているものとみて、
暗号化を行うべき宛先一覧へ登録を行い、次の暗号化お
よび復号化処理部4へ進む(ステップS8)。
【0037】また、もし返事(ACK)パケットが返っ
て来ない場合には暗号化を行わない宛先一覧に登録し、
暗号化を行わずにパケットを送出するすなわち「暗号化
を行わない宛先一覧に追加」(ステップS9)。
【0038】暗号化および復号化処理部4では、パケッ
トのタイプ15から送信データ16を暗号化しカプセル
化部5へ処理を進める(ステップS3)。なお、実際の
暗号化の方法については特に限定しない。
【0039】カプセル化部5では、暗号化データ12お
よび復号化に必要な暗号化情報11、それに暗号化フラ
グ9をONにしてカプセル化を行う(ステップS4)。
ここで、復号化に必要な情報(例えば複号化の際に必要
となるキー、パケット長等)については、先頭にレング
スを付加して暗号化情報のLength10として取り
込む。
【0040】次に、HUB17には直接接続していない
終端装置21からのパケット受信の場合の処理について
図1を用いて説明する。
【0041】インタフェース6にてパケットを受信する
と、そのパケットはパケット管理部2へ渡される。
【0042】パケット管理部2は、受信パケットを暗号
化判断部3に引き渡し、ここで受信パケットが暗号化さ
れているかどうか確認する。
【0043】すなわち、パケットの暗号化フラグ9部分
を参照し、もし暗号化フラグ9がONであれば暗号化さ
れているため、暗号化および復号化処理部4にパケット
を引き渡す。
【0044】暗号化および復号化処理部4では、まずカ
プセル化部5にパケットを渡してカプセル化されている
パケットを暗号化データ部分である、暗号化情報のLe
ngth10、暗号化情報11、暗号化データ12と、
物理アドレス部分である、宛先物理アドレス7、送信元
物理アドレス8に分ける。
【0045】続いて、暗号化データ部分を複合化する。
【0046】ここで、復号化の際に、カプセル化パケッ
トに付加されている復号化の際に必要となる暗号化情報
11が必要となる。すなわち、複号化の際に必要となる
キー、パケット長等を暗号化情報11より暗号化情報の
Length10分取り出し、このキー等を使って暗号
化データ12を複号化する。
【0047】全の復号化処理を終えて元通りに組み立て
られたパケットは、宛先の終端装置へそのままの形式で
送出される。
【0048】
【発明の効果】以上説明したように、本発明のHUB間
データ暗号化によるデータセキュリティ確保装置と方法
において、第1の効果は、コネクション型かコネクショ
ンレス型かといった通信手段を一切意識せずにデータを
暗号化することができるということである。これによ
り、データの機密を通信手段に関係なく保てるようにな
る。
【0049】その理由は、本発明はコネクション型かコ
ネクションレス型かという通信手段に依存せずにデータ
を暗号化することができるからである。
【0050】第2の効果は、ネットワーク構成に無関係
に、しかもパケットの宛先が暗号化をサポートしている
かどうかを自動的に見知し、データの暗号化ができるよ
うになる。
【0051】その理由は、本発明はネットワーク構成を
一切意識しておらず、またパケットの宛先が暗号化機能
をサポートしているかどうかについて、ユーザの設定な
しで自動的に確認を行うような機能を有しているからで
ある。
【図面の簡単な説明】
【図1】本発明のHUB間データ暗号化によるデータセ
キュリティ確保装置と方法の一実施の形態を示すブロッ
ク図である。
【図2】本発明のHUB間データ暗号化によるデータセ
キュリティ確保装置と方法におけるカプセル化を行った
後に宛先へ送出するパケットの構成を示す構成図であ
る。
【図3】本発明のHUB間データ暗号化によるデータセ
キュリティ確保装置と方法におけるパケット送信時の動
作を示す流れ図である。
【図4】本発明のHUB間データ暗号化によるデータセ
キュリティ確保装置と方法におけるカプセル化を行う前
のパケットの構成を示す構成図である。
【図5】ネットワークの構成図である。
【符号の説明】
1 HUB 2 パケット管理部 3 暗号化判断部 4 暗号化および復号化処理部 5 カプセル化部 6 インタフェース

Claims (2)

    【特許請求の範囲】
  1. 【請求項1】 HUBに直接接続している終端装置から
    パケットを受け取った場合に、パケットがコネクション
    型かコネクションレス型かに関係なく、パケットの宛先
    終端装置を見て、暗号化するべきパケットかどうかを決
    定する暗号化判断部と、暗号化および復号化処理部と、
    暗号化を行った際にパケットの宛先アドレスおよび送信
    元アドレスの直後に暗号化を行ったという意味のフラグ
    をONにセットし、復号化の際に必要となる情報があれ
    ばそれを付加した上で暗号化データのカプセル化を行う
    カプセル化部を備え、また、HUBが直接接続している
    終端装置ではなく外部からパケットを受け取った場合に
    は、まずパケットの宛先物理アドレスがHUBに直接接
    続している終端装置かどうかを判断し、直接接続してい
    る場合には上述の暗号化判断部にてそのパケットが暗号
    化データであるかどうかの判断を行い、暗号化データで
    ある場合には、復号化を行った上でデータの最終宛先で
    あるHUBに直接接続している終端装置に対してパケッ
    トを送出することを特徴とするHUB間データ暗号化に
    よるデータセキュリティ確保装置。
  2. 【請求項2】 HUBが直接接続している終端装置から
    パケットを受け取った時に、宛先物理アドレスを参照
    し、暗号化するべきパケットである場合には、パケット
    の宛先および送信元物理アドレス部分の次の部分以降を
    全て暗号化して送出し、暗号化するべきでないパケット
    の場合には、暗号化せずにパケットをそのままの形で送
    出し、また、暗号化すべきかすべきでないかの情報のな
    いパケットの場合には、あらかじめ暗号化の確認パケッ
    トを送出して自動判別を行うことを特徴とするHUB間
    データ暗号化によるデータセキュリティ確保方法。
JP7522997A 1997-03-27 1997-03-27 Hub間データ暗号化によるデータセキュリティ確保装置と方法 Expired - Fee Related JP3005490B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP7522997A JP3005490B2 (ja) 1997-03-27 1997-03-27 Hub間データ暗号化によるデータセキュリティ確保装置と方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP7522997A JP3005490B2 (ja) 1997-03-27 1997-03-27 Hub間データ暗号化によるデータセキュリティ確保装置と方法

Publications (2)

Publication Number Publication Date
JPH10271167A true JPH10271167A (ja) 1998-10-09
JP3005490B2 JP3005490B2 (ja) 2000-01-31

Family

ID=13570198

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7522997A Expired - Fee Related JP3005490B2 (ja) 1997-03-27 1997-03-27 Hub間データ暗号化によるデータセキュリティ確保装置と方法

Country Status (1)

Country Link
JP (1) JP3005490B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
US6775769B1 (en) 1999-11-26 2004-08-10 Mitsubishi Denki Kabushiki Kaisha Cryptographic apparatus, encryptor, and decryptor
US8699526B2 (en) 2008-11-27 2014-04-15 Fujitsu Limited Communication control method and transmitting apparatus
EP2827551A2 (en) 2013-07-17 2015-01-21 Fujitsu Limited Communication method, communication apparatus and communication program

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775769B1 (en) 1999-11-26 2004-08-10 Mitsubishi Denki Kabushiki Kaisha Cryptographic apparatus, encryptor, and decryptor
JP2002185540A (ja) * 2001-10-22 2002-06-28 Mitsubishi Electric Corp 暗号装置、暗号化器および復号器
US8699526B2 (en) 2008-11-27 2014-04-15 Fujitsu Limited Communication control method and transmitting apparatus
EP2827551A2 (en) 2013-07-17 2015-01-21 Fujitsu Limited Communication method, communication apparatus and communication program
US9838220B2 (en) 2013-07-17 2017-12-05 Fujitsu Limited Communication method, communication apparatus and non-transitory readable medium

Also Published As

Publication number Publication date
JP3005490B2 (ja) 2000-01-31

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
TWI362859B (ja)
US6308213B1 (en) Virtual dial-up protocol for network communication
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
US9031535B2 (en) Un-ciphered network operation solution
KR20030019356A (ko) 이동 데이터 통신용 보안 동적 링크 할당 시스템
JP5192077B2 (ja) Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体
JP2002044135A (ja) 暗号装置及び暗号通信システム
US7076653B1 (en) System and method for supporting multiple encryption or authentication schemes over a connection on a network
JP2007503637A (ja) クレデンシャルを提供する方法、システム、認証サーバ、及びゲートウェイ
CN115834210A (zh) 一种量子安全网络数据的发送、接收方法及通信系统
JP3296514B2 (ja) 暗号通信端末
JP4506999B2 (ja) 無線lanシステム
JPH1141280A (ja) 通信システム、vpn中継装置、記録媒体
CN113992440B (zh) 一种网关设备和将本地数据传入IPsec隧道的方法
JP3005490B2 (ja) Hub間データ暗号化によるデータセキュリティ確保装置と方法
CN114039812B (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
JP2003244194A (ja) データ暗号装置及び暗号通信処理方法及びデータ中継装置
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
JP2012034169A (ja) パケット認証システム、認証方法、およびプログラム
JPH11243388A (ja) 暗号通信システム
JPH0669962A (ja) ネットワーク接続装置およびネットワーク通信方式
JP2001111612A (ja) 情報漏洩防止方法およびシステム並びに情報漏洩防止プログラムを記録した記録媒体
JPH11203222A (ja) 暗号通信方法
EP1952605A1 (en) Method and terminal device for receiving and/or transmitting alarm, status and/or control information

Legal Events

Date Code Title Description
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 19991102

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071119

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081119

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081119

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091119

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091119

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101119

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111119

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121119

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121119

Year of fee payment: 13

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 14

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees