JP4594081B2 - 暗号化の一元集中管理システム - Google Patents

暗号化の一元集中管理システム Download PDF

Info

Publication number
JP4594081B2
JP4594081B2 JP2004504451A JP2004504451A JP4594081B2 JP 4594081 B2 JP4594081 B2 JP 4594081B2 JP 2004504451 A JP2004504451 A JP 2004504451A JP 2004504451 A JP2004504451 A JP 2004504451A JP 4594081 B2 JP4594081 B2 JP 4594081B2
Authority
JP
Japan
Prior art keywords
encryption
data
communication
network
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004504451A
Other languages
English (en)
Other versions
JPWO2003096613A1 (ja
Inventor
誠 井澤
宏光 成田
明 岡本
Original Assignee
オニシックス グループ エルエー エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オニシックス グループ エルエー エルエルシー filed Critical オニシックス グループ エルエー エルエルシー
Publication of JPWO2003096613A1 publication Critical patent/JPWO2003096613A1/ja
Application granted granted Critical
Publication of JP4594081B2 publication Critical patent/JP4594081B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2838Distribution of signals within a home automation network, e.g. involving splitting/multiplexing signals to/from different paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L2012/284Home automation networks characterised by the type of medium used
    • H04L2012/2841Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は暗号化の一元集中管理システムに関し、特に、ネットワーク上で外部から攻撃されることによる情報の盗聴や改ざん等のリスクを低減するために情報の暗号化/復号化を行うシステムに用いて好適なものである。
パーソナルコンピュータ(パソコン)をスタンドアロンで用いる場合は、パソコン内部の情報が盗み出されたり、改ざんされたり、破壊されたりする危険性は少ない。しかし、パソコンをインターネット等のネットワークに接続すると、やり取りされる情報は多くのネットワークをルーティングされていくことから、その途中において盗聴や改ざん等の行われる危険性が一気に増大する。
この問題を解決するための仕組みの1つとして、情報の暗号化がある。すなわち、送信側のパソコンで情報を暗号化して相手に送り、受信側のパソコンでこれを復号化して利用する。このようにすれば、ネットワークの途中で情報が盗聴されたとしても、情報が暗号化されているために、情報自体が見られる可能性が少なくなる。また、改ざんのリスクも低減される。
しかしながら、暗号を利用するためには、暗号通信しようとする端末の全てに専用の暗号ソフトをインストールし、様々な設定をしなければならない。例えば、ある端末とある端末との間では暗号通信を行うが、他の端末との間では暗号通信を行わないなどといった暗号処理の有無、暗号通信を行う場合における暗号化のレベル、暗号化を行う時間帯、暗号鍵など、非常に多くの情報を個々の端末ごとに設定しなければならない。そのため、暗号を利用するためのシステムを構築するのに多大な労力を要するという問題があった。
本発明は、このような問題を解決するために成されたものであり、暗号を利用するために必要な各端末に対する様々な情報設定を簡単に行うことができるようにすることを目的とする。
本発明の暗号化の一元集中管理システムは、通信を行う複数の通信端末と、上記複数の通信端末の間に接続された暗号装置であって、暗号処理機能を有する通信端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク層でルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段であって上記ネットワーク層より下層に存在するブリッジ手段とを備えた暗号装置と、上記暗号通信を行うのに必要な種々の情報の設定を、ネットワークを介して遠隔から上記通信端末および上記暗号装置に対して行うマネージャ端末とを備え、上記複数の通信端末(上記暗号処理機能を有する通信端末は、暗号ソフトがインストールされた端末の他、上記暗号装置と同様の機能を有する他の暗号装置を含む)、上記マネージャ端末および上記暗号装置を有線または無線のネットワークにより接続して構成したことを特徴とする。
本発明の他の態様では、上記暗号/復号手段は、上記暗号処理機能を有する通信端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない通信端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする。
本発明のその他の態様では、通信を行う複数の通信端末と、上記複数の通信端末の間に接続され、一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク層より下層に存在するブリッジ手段を介して、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力する暗号装置と、上記暗号通信を行うのに必要な種々の情報の設定を、ネットワークを介して遠隔から上記通信端末および上記暗号装置に対して行うマネージャ端末とを備え、上記複数の通信端末、上記マネージャ端末および上記暗号装置を有線または無線のネットワークにより接続して構成したことを特徴とする。
本発明のその他の態様では、上記暗号装置は、上記暗号化処理および上記復号化処理の制御に関して上記マネージャ端末から設定された情報を記憶する設定情報記憶手段を備え、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする。
本発明は上述したように、例えば暗号処理機能が導入された端末との間で暗号化によるセキュリティを終端するために暗号化処理および暗号の復号化処理を行う暗号/復号手段を備えて暗号装置を構成し、この暗号装置と、暗号通信を行う複数の通信端末と、暗号通信を行うために必要な種々の情報の設定を遠隔から通信端末および暗号装置に対して行うマネージャ端末とを接続して暗号システムを構成するようにしたので、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用することができるようになり、そのLAN内で終端された暗号化をマネージャ端末において一元的に集中管理することが可能となる。これにより、暗号システムの構築およびその後のメンテナンスにかかる労力を大幅に削減することができる。
また、本発明では、ブリッジ手段を備えて暗号装置を構成したので、データ通信時に暗号装置のIPアドレスを不要とすることができ、暗号装置の入力ポートと出力ポートとでIPアドレスが変わることがなくなる。これにより、ネットワーク上に暗号装置を接続したり、ネットワーク上から暗号装置を外したりする際に、当該暗号装置に接続される端末のアドレス設定も変更する必要がない。したがって、ネットワークシステムの導入時やメンテナンス時には、暗号装置を適当な箇所にただ挿入したり、あるいはただ取り外したりするだけ良くなり、煩雑なアドレス設定は行う必要がないので、作業負荷を大幅に削減することができる。
図1は、本実施形態による暗号化の一元集中管理システムの構成例を示す図である。
図2は、本実施形態による暗号化の一元集中管理システムの他の構成例を示す図である。
図3は、本実施形態による暗号化の一元集中管理システムの更に別の構成例を示す図である。
図4は、本実施形態による暗号化の一元集中管理システムの更に別の構成例を示す図である。
図5は、本実施形態による暗号装置およびこれに接続されるDBサーバおよびパソコンにおけるプロトコルの階層構造を示す図である。
図6は、本実施形態においてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図7は、本実施形態の暗号装置を流れるパケットのMACアドレスについて説明するための図である。
図8は、従来のVPNルータを流れるパケットのMACアドレスについて説明するための図である。
以下、本発明の一実施形態を図面に基づいて説明する。
図1は、本実施形態による暗号化の一元集中管理システムの全体構成例を示す図である。
図1において、1は暗号装置であり、2つのポートを有し、一方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスが接続され、他方のポートにはハブ5が接続されている。この暗号装置1は、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、ハブ5との間でデータの中継を行う。
ネットワークプリンタ2は、暗号ソフトを物理的にインストールできない端末である。DBサーバ3は、動作安定上等の問題から余分な暗号ソフトをインストールすることが好ましくない端末である。ネットワークターミナル4は、OS(オペレーティングシステム)がなく暗号ソフトを動作させることができない端末である。したがって、これらの端末2〜4には暗号ソフトはインストールされていないものとする。
また、ハブ5は、OSI参照モデルの物理層においてデータを中継する機器であり、上述した暗号装置1の他に、無線通信用のアクセスポイント6、デスクトップパソコン7、暗号化/復号化に関する種々の情報設定を行うためのマネージャ端末12が接続されている。この場合のハブ5は、暗号装置1と、アクセスポイント6およびデスクトップパソコン7との間で暗号通信のためのデータ中継を行う。また、マネージャ端末12と、その他の暗号装置1、アクセスポイント6およびデスクトップパソコン7との間で各種情報設定のためのデータ中継も行う。
さらに、上記アクセスポイント6には、デスクトップパソコン8とラップトップパソコン9とが無線により接続されている。デスクトップパソコン7,8およびラップトップパソコン9には、データの暗号化および復号化を行うための暗号ソフトがインストール可能であり、実際に、暗号/復号処理を行うためのエージェントソフトがインストールされているものとする。暗号装置1にも、これと同様の暗号エージェントソフトがインストールされている。
このように、本実施形態の暗号装置1は2つのポートを有し、一方のポートに対して暗号処理機能を有する通信端末であるパソコン7〜9が、ハブ5やアクセスポイント6を介して間接的に接続されている。また、他方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4が直接接続されている。そして、これらの暗号装置1、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。
このような構成により、暗号ソフトがインストールされていないネットワークプリンタ2、DBサーバ3およびネットワークターミナル4と、暗号ソフトがインストールされているパソコン7〜9(これらのデバイス2〜4,7〜9は何れも本発明の通信端末に相当)との間で、暗号装置1、ハブ5およびアクセスポイント6を介してデータ通信が行われる。
その際、暗号装置1は、暗号ソフトがインストールされているパソコン7〜9との間では暗号化されたデータの通信を行うとともに、暗号ソフトがインストールされていない端末2〜4との間では暗号化されていないデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
例えば、デスクトップパソコン7からネットワークプリンタ2にデータを送出してプリントアウトするときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、ネットワークプリンタ2に送出する。
また、例えばDBサーバ3にて管理されているデータをラップトップパソコン9に取り込むときは、DBサーバ3は、与えられる要求に応じて該当するデータを暗号装置1に供給する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
以上の説明から明らかなように、暗号装置1を用いることによって、専用の暗号ソフトをインストールできない端末2〜4を有する企業内LAN(Local Area Network)の中でも、暗号を利用することが可能となる。これにより、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワーク10を構築することができる。
なお、暗号装置1と各端末2〜4との間において暗号は利用できないが、これらを繋ぐケーブル11は物理的に短い配線であり、この部分が外部アタックされることによって盗聴や改ざんが行われる可能性は極めて低いので、セキュリティ上で特に問題となることはない。
上記のような暗号システムにおいて、暗号装置1および各パソコン7〜9が備える暗号エージェントソフトに対して設定すべき種々の情報、例えば、暗号/復号処理の有無、ある端末とある端末との間ではパケットを破棄するなどといった通信の可否、暗号化のレベル、暗号化を行う時間帯、部門毎の暗号ポリシー、暗号鍵などの情報は、マネージャ端末12からハブ5を介して暗号装置1および各パソコン7〜9に必要な情報をダウンロードして設定する。
これにより、暗号の利用に必要な種々の情報を端末ごとに個別に設定する必要がなくなり、マネージャ端末12から暗号システムの全体を一元的に集中して管理することができる。したがって、各端末に対する様々な情報設定を簡単に行うことができ、暗号システムの構築およびその後のメンテナンスにかかる労力を大幅に削減することができる。
従来、プリンタやファクシミリなど物理的に暗号ソフトをインストールできない端末や、プリントサーバやデータベースサーバなど余分なソフトをインストールすることが好ましくない端末、OSがなく単なるネットワークターミナルとして機能する端末などを備えた企業内LANの中では、暗号ソフトを実質的にインストールできないため、暗号を利用することは難しかった。
そのため、従来の暗号システムは、インターネットに接続された端末どうしがやり取りする情報を途中のインターネット上において暗号化するものであった。この場合、暗号通信する端末はインターネット上に多数散在しているため、これら多数の端末について暗号化の一元集中管理をすることは非常に困難であった。これに対して、本実施形態によれば、企業内LANの中で暗号を利用することができるようにしているので、そのLAN内で終端された暗号化を一元的に管理することが可能となる。
図2は、本実施形態による暗号化の一元集中管理システムの他の構成例を示す図である。なお、この図2において、図1に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図2において、暗号装置1は、一方のポートにインターネット20が接続され、他方のポートにハブ5が接続されている。
図2の場合、暗号装置1、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。また、インターネット20の先には、図1に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトをインストールできない端末、あるいは、パソコン7〜9のように暗号ソフトがインストールされた端末が複数台接続され、これらによって別の拠点ネットワークが構成されている。
図1に示した例では、1台の暗号装置1に対して1台のデバイスが接続されており、1台のデバイスに関する暗号/復号処理を1台の暗号装置1が専用で行っていた。すなわち、図1に示す暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、暗号ソフトがインストールされていない1台のデバイスとの間に接続され、当該1台のデバイスに対して暗号化によるセキュリティを終端していた。
これに対して、図2に示す例では、暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、インターネット20に接続された複数台のデバイスとの間に接続されている。上記複数台のデバイスは、図1に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトがインストールされていなくても良いし、パソコン7〜9のように暗号ソフトがインストールされていても良い。このように、暗号装置1は、複数台のデバイスに対して暗号化によるセキュリティを終端することも可能である。この場合、暗号装置1は、接続されているデバイスの数だけデータパスを有し、それぞれのデバイス毎に異なる暗号鍵で暗号/復号処理を行う。
例えば、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを持たない外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、インターネット20を介して外部デバイスに送出する。
また、例えばインターネット20の先にある暗号ソフトを持たない外部デバイスにて管理されているデータをセキュアネットワーク10内のラップトップパソコン9に取り込むときは、当該外部デバイスは、与えられる要求に応じて該当するデータをインターネット20に送出する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。
一方、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを有する外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化することなく、インターネット20を介して外部デバイスに送出する。外部デバイスは、受け取ったデータを復号化し、所望の処理に利用する。
逆に、インターネット20の先にある外部デバイスで暗号化されたデータをセキュアネットワーク10内のデスクトップパソコン7に送出するときも、暗号装置1は、インターネット20を介して外部デバイスより受け取ったデータを復号化することなく、暗号化された状態のままハブ5を介してデスクトップパソコン7に供給する。
このように、セキュアネットワーク10内の端末7〜9とインターネット20に接続された暗号ソフトを持たない外部デバイスとの間でデータ通信を行う場合でも、少なくともセキュアネットワーク10の内部については暗号による保護を利用することができる。また、インターネット20に接続された外部デバイスに暗号ソフトがインストールされている場合には、セキュアネットワーク10の外部にあるインターネット20上でも暗号を利用することができる。
なお、上記複数台のデバイスは、インターネット20を介して接続されている必要は必ずしもなく、暗号装置1に直接あるいはハブを介して接続しても良い。直接接続する場合、暗号装置1は2つ以上のポートを有することになる。
図3は、本実施形態による暗号化の一元集中管理システムの更に別の構成例を示す図である。なお、この図3において、図1に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図3に示す例も図2の例と同様に、1台の暗号装置1が複数台のデバイスに対して暗号化によるセキュリティを終端する例である。
図3に示す例では、セキュアネットワーク10の内部は、3台のパソコン7〜9が全てアクセスポイント6-1に無線LANにて接続されている。アクセスポイント6-1は、暗号装置1を介してインターネット20に接続されている。また、複数のアクセスポイント6-1,6-2を備え、1台のアクセスポイント6-1でカバーしきれない通信範囲を他のアクセスポイント6-2がカバーすることにより、比較的広域な無線LAN環境を提供している。暗号装置1は、アクセスポイント6-1,6-2毎に個別に接続されている。
このように構成された暗号システムにおいて、例えば一方のアクセスポイント6-1に接続されているラップトップパソコン9がその通信可能範囲を超えて移動したときには、他方のアクセスポイント6-2に切り替えて通信を継続するローミングを行うことができる。しかも、上述したように、暗号通信を行うパスの設定をマネージャ端末12により一元管理しているので、複数のアクセスポイント6-1,6-2間でローミングを行っても、暗号通信を継続して行うことができる。
また、この図3に示す例においてマネージャ端末12は、インターネット20に接続されている。この場合のマネージャ端末12は、暗号エージェントソフトに対して設定すべき種々の情報を、インターネット20を介して暗号装置1および各パソコン7〜9にダウンロードして設定する。
なお、上記図1〜図3においては、1つのセキュアネットワーク10とその中の暗号化を一元管理する1つのマネージャ端末12とを備える例について説明している。これに対し、複数のセキュアネットワーク10とその中の暗号化をそれぞれ一元管理する複数のマネージャ端末12とを備え、各マネージャ端末12がインターネット20等を介して互いにデータ通信をして暗号化/復号化に関する種々の情報を適宜設定するようにすることにより、複数のセキュアネットワーク10をまとめて全体として1つの暗号システムを構築することも可能である。
また、上記図1〜図3では、本発明の暗号処理機能を有する通信端末の例として、暗号ソフトがインストールされたパソコン7〜9を挙げ、暗号装置1とパソコン7〜9との間で暗号化によるセキュリティを終端する例について説明した。暗号処理機能を有する通信端末はこの例に限らず、暗号装置1と同様の機能を有する他の暗号装置も含む。図4に、この場合の暗号化の一元集中管理システムの構成例を示す。
図4に示す例では、拠点A,Bの2つの拠点ネットワーク30A,30Bが、ルータ40A,40Bおよびインターネット20を介して接続されている。拠点Aネットワーク30Aの中は、パソコン31A〜33Aと暗号装置1A-1〜1A-3とにより企業内LANが構成されている。パソコン31A〜33Aは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1A-1〜1A-3は何れも図1の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31A〜33Aが接続され、他方のポートにはルータ40Aが接続されている。
拠点Bネットワーク30Bの中も同様に、パソコン31B〜33Bと暗号装置1B-1〜1B-3とにより企業内LANが構成されている。パソコン31B〜33Bは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1B-1〜1B-3は何れも図1の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31B〜33Bが接続され、他方のポートにはルータ40Bが接続されている。
このような構成により、異なる拠点ネットワーク30A,30Bに属するパソコンの間では、暗号装置1A-1〜1A-3,1B-1〜1B-3を介してデータ通信が行われる。例えば、拠点Aネットワーク30A内にあるパソコン31Aから拠点Bネットワーク30B内にあるパソコン33Bにデータを送信するとき、暗号装置1A-1は、パソコン31Aから与えられたデータを暗号化し、ルータ40A、インターネット20およびルータ40Bを介して暗号装置1B-3に送信する。暗号装置1B-3は、受け取ったデータを復号化してパソコン33Bに供給する。これにより、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。
また、例えば拠点Aネットワーク30Aの内部において、暗号ソフトがインストールされていないパソコン31A〜33Aどうしでは、暗号装置1A-1〜1A-3を介してデータ通信が行われる。例えば、あるパソコン31Aから他のパソコン33Aにデータを送るとき、暗号装置1A-1は、パソコン31Aから与えられたデータを暗号化し、暗号装置1A-3に送信する。暗号装置1A-3は、受け取ったデータを復号化してパソコン33Aに供給する。
拠点Bネットワーク30Bの内部においても同様に、暗号ソフトがインストールされていないパソコン31B〜33Bどうしでは、暗号装置1B-1〜1B-3を介してデータ通信が行われる。例えば、あるパソコン31Bから他のパソコン33Bにデータを送るとき、暗号装置1B-1は、パソコン31Bから与えられたデータを暗号化し、暗号装置1B-3に送信する。暗号装置1B-3は、受け取ったデータを復号化してパソコン33Bに供給する。
このように、暗号装置1A-1〜1A-3,1B-1〜1B-3は何れも、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bとの間では暗号化されていないデータの通信を行うとともに、暗号処理機能を有する通信端末である暗号装置1A-1〜1A-3,1B-1〜1B-3との間では暗号化されたデータの通信を行うために暗号化処理および暗号の復号化処理を行う。
以上のような暗号装置1A-1〜1A-3,1B-1〜1B-3をパソコン31A〜33A,31B〜33Bの直近にそれぞれ接続することにより、異なる拠点ネットワーク30A,30Bの間は当然として、暗号ソフトを有するパソコンが無い企業内LANの中でも暗号を利用することが可能となる。これにより、各拠点ネットワーク30A,30Bを、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワークとすることができる。
また、図4の例では、各拠点ネットワーク30A,30Bの中の暗号化をそれぞれ一元管理する複数のマネージャ端末12A,12Bをインターネット20に接続している。各マネージャ端末12A,12Bは、インターネット20を介して互いにデータ通信をして、暗号化/復号化に関する種々の情報を適宜設定する。これにより、複数の拠点ネットワーク30A,30Bをまとめて全体として1つの暗号システムを構築することも可能である。
なお、上記図4の例では、各拠点ネットワーク30A,30Bは共に、暗号処理機能を有する端末(暗号装置1A-1〜1A-3,1B-1〜1B-3)を複数備えて構成されているが、少なくとも一方の拠点ネットワークが暗号処理機能を有する端末を1個だけ備える構成としても良い。例えば、拠点ネットワーク30Aの中を、1個のパソコン31Aと1個の暗号装置1A-1とを接続して構成しても良い。
この場合は、図4に示した構成と同様に、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。また、拠点ネットワーク30Aの中に関しては、暗号装置1A-1をパソコン31Aの直近に接続しておくことにより、当該拠点ネットワーク30Aの出入口と暗号装置1A-1との間で暗号を利用することができる。
また、上記図4の例では、2つの拠点ネットワーク30A,30Bをインターネット20で結び、各拠点ネットワーク30A,30B内に暗号装置1A-1〜1A-3,1B-1〜1B-3やパソコン31A〜33A,31B〜33Bをそれぞれ備える例について示したが、これに限定されない。
例えば、1つの拠点ネットワーク内に暗号装置1A-1〜1A-3,1B-1〜1B-3およびパソコン31A〜33A,31B〜33Bを備え、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bの間におけるデータのやり取りを、暗号装置1A-1〜1A-3,1B-1〜1B-3を介して行うようにしても良い。この場合は、1つの拠点ネットワーク内において、少なくとも暗号装置1A-1〜1A-3,1B-1〜1B-3の間では暗号を利用することができる。
また、これ以外にも、例えば図1の構成において、暗号ソフトがインストールされているパソコン7の代わりに、暗号ソフトがインストールされていないパソコンと暗号装置1とを用い、暗号装置1をハブ5に接続する構成としても良い。この場合は、暗号ソフトをインストールできないネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、暗号ソフトがインストールされていないパソコンとの間では、両者の直近に接続された暗号装置1を介して暗号通信をすることができる。
図5は、図1に示した暗号システムにおいて、暗号装置1およびこれに直接および間接的に接続されるDBサーバ3およびラップトップパソコン9におけるプロトコルの階層構造を示す図である。図5に示す例では、DBサーバ3には暗号ソフトがインストールされておらず(IP−Secがない)、ラップトップパソコン9には暗号ソフトがインストールされている(IP−Secを有する)。このDBサーバ3およびラップトップパソコン9の間に、本実施形態の暗号装置1が接続されている。ここでは、DBサーバ3にて保存されているデータを暗号装置1に送り、ここでデータを暗号化してパソコン9に送るような利用形態を想定している。
図5に示すように、DBサーバ3およびパソコン9はそれぞれ1つのポート31,32を有し、その中継機となる暗号装置1は2つのポート33,34を有している。暗号装置1の各ポート33,34に対して物理層およびMAC層(データリンク層)が個別に設けられ、各ポート33,34に共通なものとしてIP−Sec(暗号/復号処理機能)、IP層(ネットワーク層)およびTCP/UDP層(トランスポート層)が設けられている。
層が深くなるほどユーザからは遠くなり、逆に層が浅くなるほどユーザに近くなる。DBサーバ3およびパソコン9のIP層よりも上位層には、TCP/UDP層およびアプリケーション層(共に図示せず)が存在し、ユーザが使用するアプリケーションと下の層との橋渡しが行われる。
データの送信側では、上位層から下位層に向かって各層を通過するごとにデータが変換されるとともに、それぞれの層間でデータ伝送を可能にするためのヘッダが付加されていく。逆に、データの受信側では、各層宛てのヘッダを参照して各層で必要なデータが抽出される。そして、抽出されたデータは上位層へ引き渡され、最終的にアプリケーション層を介してユーザに届けられる。
以下に、それぞれの層の機能について説明する。TCP/UDP層は、データを渡すべきアプリケーションの特定や、パケットの状態の管理などを行うレイヤである。データ送信側においては、上位層(アプリケーション層)から渡されたデータを相手のどのアプリケーションに渡すべきかを認識し、宛先ポート番号をデータに付加して下位層(ネットワーク層)に渡す。一方、データ受信側においては、下位層から渡されたパケットについて、通信の状態等によって抜けが生じていないかどうかを監視する。
IP層は、複数のネットワークにまたがった端末間のデータ転送あるいはデータ中継に関する取り決めや制御を行うためのレイヤである。通信相手となる送信側のDBサーバ3と受信側のパソコン9にはそれぞれ異なるIPアドレス(1),(4)が割り振られており、これらを明確にすることによって、end to endによる論理的な通信経路が決定する。
MAC(Media Access Control)層は、隣接機器のノード間で信頼性の高いデータ伝送を保証するためのレイヤであり、製造段階で各機器に割り当てられた物理的なMACアドレスを有する。データ送信側においては、IP層で通信相手のIPアドレスが明確になると、その下位に位置するMAC層において、確立された相手のIPアドレスをもとに、経由する次の機器(物理的に接続されている隣接ノード)の宛先を決定する。一方、データ受信側においては、MACアドレスをもとに自分宛のパケットであることを認識した後、その上位層のIP層でIPアドレスを解析し、そのパケットを他の機器に対して更にルーティングするか自分に取り込むかを判断する。
物理層は、上位層から渡されたデータを電気信号や光信号に変換し、同軸ケーブルや光ファイバケーブル等の伝送媒体を介して実際のデータ伝送を行ったり、伝送媒体から送られてきた電気信号や光信号を上位層で認識可能なデータに変換し、それを上位層に渡したりするためのレイヤである。物理層の上位層であるMAC層では、物理層の通信インタフェースに依存した手法に従って上述の処理を行う。
IP−Secは、データの暗号化処理および復号化処理を行う機能部である。すなわち、MAC層から渡されたデータを取得して、当該データの暗号化処理および暗号の復号化処理を行う。
本実施形態の暗号装置1は、IP−Secにより2つのポート33,34間をブリッジさせているところに特徴がある。「ブリッジする」とは、一のポートより入力され暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力することを言う。図5の例では、第1のポート33より入力されたデータに対してIP−Secで暗号化処理を行い、それにより得られたデータを、IP層にてルーティングすることなく(IP層に渡すことなく)他方のポートにそのまま渡して出力することが、「ブリッジする」ということに相当する。このように、本実施形態の暗号装置1では、DBサーバ3とパソコン9との間におけるデータ転送に関してはIP層およびTCP/UDP層は用いず、IP層よりも下位層で処理を行う。
すなわち、DBサーバ3にて作成されたパケットデータは、当該DBサーバ3のMAC層、物理層を通って送信され、暗号装置1の第1のポート33より受信される。受信されたパケットデータは物理層、MAC層を通ってIP−Secに渡され、ここで暗号化処理が行われる。この暗号化されたパケットデータは、MAC層および物理層を通って第2のポート34より送信される。
第2のポート34より送信されたパケットデータは、パソコン9で受信され、物理層、MAC層を通ってIP−Secに渡されて、暗号が復号化される。そして、復号化されたデータがIP層を通って図示しないアプリケーション層に渡される。これにより、DBサーバ3が暗号ソフトを備えていなくても、パソコン9に対して暗号化されたデータを送信することが可能となる。
なお、暗号装置1のIP層およびTCP/UDP層は、上述したマネージャ端末12から暗号装置1自身に暗号化/復号化に関する各種の情報を設定する際に利用される。この種の設定情報は、IP−Secブリッジの機能によってメモリ上に保持される。IP−Secは、当該メモリに保持されている設定情報と、ポート33,34より入力されたパケットに付加されているヘッダ情報(例えば、送信元IPアドレスおよび宛先IPアドレス)とを照合して、暗号/復号処理の制御などを行う。
このように、本実施形態の暗号装置1では、一のポートから入力されたデータをIP−Secで暗号化/復号化し、これにより得られたデータをIP層に渡すことなく、ルーティング処理をせずにそのまま他のポートに転送するようにしているので、データ通信時に暗号装置1のIPアドレスを不要とすることができる。すなわち、IPアドレスを持たずにIP層の暗号/復号処理を行うことが可能である。そのため、暗号装置1自身に対する煩雑なIPアドレス設定の必要をなくすことができる。
また、暗号装置1の両側に接続される端末は同じネットワークに属することになり、暗号装置1の入力ポートと出力ポートとでIPアドレスが変わることがなくなる。これにより、暗号装置1のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができる。すなわち、ネットワーク上に暗号装置1を接続したり、ネットワーク上から暗号装置1を外したりする際に、当該暗号装置1に接続される端末のアドレス設定も変更する必要がない。
例えば、図5のようにDBサーバ3とパソコン9との間に暗号装置1を挿入した場合も、暗号装置1を挿入せずにDBサーバ3とパソコン9との間で直接通信を行う場合も、DBサーバ3とパソコン9との間を流れるパケットのIPアドレスは、図6に示す通りのままで不変である。したがって、暗号装置1の接続の有無によってアドレス設定を何ら変更する必要がない。
これにより、ネットワークシステムの導入時やメンテナンス時には、本実施形態の暗号装置1を適当な箇所にただ挿入したり、あるいはただ取り外したりするだけ良くなり、煩雑なアドレス設定は行う必要がないので、作業負荷を大幅に削減することができる。
さらに、本実施形態の場合、MACアドレスについても透過性を保つことができる。図7は、DBサーバ3からパソコン9にデータを送り、その間の暗号装置1でデータを暗号化する場合におけるパケットを示す図である。図7(a)は第1のポート33にて受信するパケットを示し、図7(b)は第2のポート34より送信するパケットを示す。なお、IP−Secには、データ部のみを暗号化するトランスポートモードと、パケット全てを暗号化して更に新しいヘッダを追加するトンネルモードとがある。送信パケットに関しては、これら2つのモードについてそれぞれ示している。
また、図8は、本実施形態との比較のために、従来のVPNルータを用いたシステムにおいて一方のパソコンから他方のパソコンにデータを送り、その間のVPNルータでデータを暗号化する場合におけるパケットを示す図である。図8(a)はVPNルータの第1のポートにて受信するパケットを示し、図8(b)は第2のポートより送信するパケットを示す。この図8においても、送信パケットに関しては、2つのモードについてそれぞれ示している。
図7から明らかなように、本実施形態によれば、IPアドレスだけでなく、MACアドレスについても第1のポート33と第2のポート34とで異なることがなく、MACアドレスの透過性を保つことができる。すなわち、本実施形態の暗号装置1は、IP−Secを有してデータの暗号/復号処理を行うことを除けば、一方のポートから入力されたデータを他方のポートにただ流すだけなので、データ通信時にはMACアドレスも不要とすることができる。
なお、上記実施形態ではOSI参照モデルの第3層に当たるネットワーク層の例としてIP層を挙げたが、このIP層は、ノベル社のネットワークOSが使用するプロトコルであるIPX(Internetwork Packet eXchange)層であっても良い。また、IP−Secが利用可能なものであれば、他のプロトコルであっても良い。
その他、以上に説明した実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
本発明は、暗号を利用するために必要な各端末に対する様々な情報設定を簡単に行うことができるようにするのに有用である。

Claims (5)

  1. 通信を行う複数の通信端末と、
    上記複数の通信端末の間に接続された暗号装置であって、暗号処理機能を有する通信端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク層でルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段であって上記ネットワーク層より下層に存在するブリッジ手段とを備えた暗号装置と、
    上記暗号通信を行うのに必要な種々の情報の設定を、ネットワークを介して遠隔から上記通信端末および上記暗号装置に対して行うマネージャ端末とを備え、
    上記複数の通信端末、上記マネージャ端末および上記暗号装置を有線または無線のネットワークにより接続して構成したことを特徴とする暗号化の一元集中管理システム。
  2. 上記暗号/復号手段は、上記暗号処理機能を有する通信端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない通信端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする請求の範囲第1項に記載の暗号化の一元集中管理システム。
  3. 上記暗号装置は、上記暗号化処理および上記復号化処理の制御に関して上記マネージャ端末から設定された情報を記憶する設定情報記憶手段を備え、
    上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする請求の範囲第1項に記載の暗号化の一元集中管理システム。
  4. 通信を行う複数の通信端末と、
    上記複数の通信端末の間に接続され、一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク層より下層に存在するブリッジ手段を介して、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力する暗号装置と、
    上記暗号通信を行うのに必要な種々の情報の設定を、ネットワークを介して遠隔から上記通信端末および上記暗号装置に対して行うマネージャ端末とを備え、
    上記複数の通信端末、上記マネージャ端末および上記暗号装置を有線または無線のネットワークにより接続して構成したことを特徴とする暗号化の一元集中管理システム。
  5. 上記暗号装置は、上記暗号化処理および上記復号化処理の制御に関して上記マネージャ端末から設定された情報を記憶する設定情報記憶手段を備え、
    上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする請求の範囲第4項に記載の暗号化の一元集中管理システム。
JP2004504451A 2002-05-09 2003-04-24 暗号化の一元集中管理システム Expired - Fee Related JP4594081B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002134681 2002-05-09
JP2002134681 2002-05-09
PCT/JP2003/005266 WO2003096613A1 (fr) 2002-05-09 2003-04-24 Systeme de gestion de codage centralise

Publications (2)

Publication Number Publication Date
JPWO2003096613A1 JPWO2003096613A1 (ja) 2005-09-15
JP4594081B2 true JP4594081B2 (ja) 2010-12-08

Family

ID=29416720

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004504451A Expired - Fee Related JP4594081B2 (ja) 2002-05-09 2003-04-24 暗号化の一元集中管理システム

Country Status (7)

Country Link
US (1) US20050008160A1 (ja)
EP (1) EP1503537A1 (ja)
JP (1) JP4594081B2 (ja)
KR (1) KR100976751B1 (ja)
CN (1) CN100591004C (ja)
TW (1) TWI277316B (ja)
WO (1) WO2003096613A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100976751B1 (ko) * 2002-05-09 2010-08-20 오니시스 그룹 엘.에이., 엘엘시 암호화의 일원 집중 관리 시스템
US8179870B2 (en) * 2004-09-29 2012-05-15 Intel Corporation Method and apparatus for securing devices in a network
US8254891B2 (en) * 2006-06-23 2012-08-28 Microsoft Corporation Initiating contact using protected contact data in an electronic directory
JP2008035272A (ja) * 2006-07-28 2008-02-14 Canon Inc 情報処理システム及び当該システムにおけるデータ通信方法
US8170043B2 (en) * 2008-04-22 2012-05-01 Airhop Communications, Inc. System and method of communication protocols in communication systems
CA3012004C (en) * 2010-06-11 2020-09-15 Cardinalcommerce Corporation Method and system for secure order management system data encryption,decyption, and segmentation
ES2400893B2 (es) * 2011-05-11 2013-10-22 Mytech Ingenieria Aplicada, S.L. Nodos central y terminal de instrumentación y sistema domótico autoconfigurable y seguro.
US9584485B2 (en) 2011-12-28 2017-02-28 Superna Business Consulting, Inc. Key encryption system, method, and network devices
US9219709B2 (en) * 2012-03-27 2015-12-22 Saife, Inc. Multi-wrapped virtual private network
US9553849B1 (en) * 2013-09-11 2017-01-24 Ca, Inc. Securing data based on network connectivity
CN104796404A (zh) * 2015-03-17 2015-07-22 浪潮集团有限公司 一种基于USB设备绑定的国产服务器web登陆方法
CN107094137B (zh) * 2017-04-07 2019-10-29 山东超越数控电子有限公司 一种vpn安全网关
CN107302538B (zh) * 2017-07-14 2020-07-03 深圳市盛路物联通讯技术有限公司 物联网ap接收数据的分设备加密方法及装置
KR101979157B1 (ko) * 2018-09-27 2019-05-15 이광원 넌어드레스 네트워크 장비 및 이를 이용한 통신 보안 시스템

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04154233A (ja) * 1990-10-17 1992-05-27 Fujitsu Ltd 通信秘匿方式
JPH07107083A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号通信システム
JPH1155322A (ja) * 1997-06-02 1999-02-26 Mitsubishi Electric Corp 暗号通信システム
JPH11243388A (ja) * 1998-02-26 1999-09-07 Mitsubishi Electric Corp 暗号通信システム
JP2000502219A (ja) * 1995-11-15 2000-02-22 サイエンティフィック−アトランタ・インコーポレーテッド Mpegパケットを暗号化する装置及び方法
WO2000045539A1 (en) * 1999-01-29 2000-08-03 General Instrument Corporation Key management for telephone calls to protect signaling and call packets between cta's
WO2002021761A2 (en) * 2000-09-06 2002-03-14 Widevine Technologies, Inc. Apparatus and method for selectively encrypting different the payload portion of multimedia data sent over a network
WO2003096613A1 (fr) * 2002-05-09 2003-11-20 Niigata Seimitsu Co., Ltd. Systeme de gestion de codage centralise

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5481610A (en) * 1994-02-28 1996-01-02 Ericsson Inc. Digital radio transceiver with encrypted key storage
KR100420428B1 (ko) * 1998-07-13 2004-02-26 인터내셔널 비지네스 머신즈 코포레이션 송신기, 트랜스코더 및 수신기와, 이 장치들의 정보 데이터 전송, 트랜스코딩 및 수신 방법과, 컴퓨터 판독가능한 기록 매체
JP3497088B2 (ja) * 1998-12-21 2004-02-16 松下電器産業株式会社 通信システム及び通信方法
US6415031B1 (en) * 1999-03-12 2002-07-02 Diva Systems Corporation Selective and renewable encryption for secure distribution of video on-demand
JP3259724B2 (ja) * 1999-11-26 2002-02-25 三菱電機株式会社 暗号装置、暗号化器および復号器
JP4019303B2 (ja) * 2001-02-02 2007-12-12 日本電気株式会社 電子透かしに含めた暗号鍵を用いた暗号化装置及び復号化装置並びにそれらの方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04154233A (ja) * 1990-10-17 1992-05-27 Fujitsu Ltd 通信秘匿方式
JPH07107083A (ja) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> 暗号通信システム
JP2000502219A (ja) * 1995-11-15 2000-02-22 サイエンティフィック−アトランタ・インコーポレーテッド Mpegパケットを暗号化する装置及び方法
JPH1155322A (ja) * 1997-06-02 1999-02-26 Mitsubishi Electric Corp 暗号通信システム
JPH11243388A (ja) * 1998-02-26 1999-09-07 Mitsubishi Electric Corp 暗号通信システム
WO2000045539A1 (en) * 1999-01-29 2000-08-03 General Instrument Corporation Key management for telephone calls to protect signaling and call packets between cta's
WO2002021761A2 (en) * 2000-09-06 2002-03-14 Widevine Technologies, Inc. Apparatus and method for selectively encrypting different the payload portion of multimedia data sent over a network
WO2003096613A1 (fr) * 2002-05-09 2003-11-20 Niigata Seimitsu Co., Ltd. Systeme de gestion de codage centralise

Also Published As

Publication number Publication date
CN100591004C (zh) 2010-02-17
JPWO2003096613A1 (ja) 2005-09-15
KR100976751B1 (ko) 2010-08-20
EP1503537A1 (en) 2005-02-02
CN1653745A (zh) 2005-08-10
TW200307422A (en) 2003-12-01
US20050008160A1 (en) 2005-01-13
WO2003096613A1 (fr) 2003-11-20
TWI277316B (en) 2007-03-21
KR20040104487A (ko) 2004-12-10

Similar Documents

Publication Publication Date Title
JP4615308B2 (ja) 暗号装置および方法、暗号システム
US7536715B2 (en) Distributed firewall system and method
JP5060081B2 (ja) フレームを暗号化して中継する中継装置
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
US6751729B1 (en) Automated operation and security system for virtual private networks
US20020083344A1 (en) Integrated intelligent inter/intra networking device
JP4594081B2 (ja) 暗号化の一元集中管理システム
US20100077203A1 (en) Relay device
JP2006101051A (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
JP4877932B2 (ja) 暗号化通信システム及び暗号鍵更新方法
CN111371798A (zh) 数据安全传输方法、***、装置及存储介质
CN110752921A (zh) 一种通信链路安全加固方法
US20070058654A1 (en) Arrangement and coupling device for securing data access
JP4779639B2 (ja) セキュリティ通信システム
JP2006191205A (ja) 通信装置及び通信方法、通信システム
EP1290852A2 (en) Distributed firewall system and method
JP2005130511A (ja) コンピュータネットワークを管理する方法及びシステム
JP4757088B2 (ja) 中継装置
JP4783665B2 (ja) メールサーバ装置
JP2006295401A (ja) 中継装置
JP2007019633A (ja) 中継コネクタ装置及び半導体回路装置
KR20090032072A (ko) 중계장치
JP2007019632A (ja) 通信ボード装置及び通信方法
WO2004012386A1 (ja) 暗号システムおよび暗号装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060419

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20081021

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20081021

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081219

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100105

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100430

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100512

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100817

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100916

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130924

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees