JPH10190704A - Ciphering method, decoding method, ciphering device and decoding device for data - Google Patents
Ciphering method, decoding method, ciphering device and decoding device for dataInfo
- Publication number
- JPH10190704A JPH10190704A JP8350385A JP35038596A JPH10190704A JP H10190704 A JPH10190704 A JP H10190704A JP 8350385 A JP8350385 A JP 8350385A JP 35038596 A JP35038596 A JP 35038596A JP H10190704 A JPH10190704 A JP H10190704A
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- ciphering
- driver
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明はIEEE802.3
方式に準拠するローカルエリアネットワーク(LAN)
用のネットワーク・インタフェース・カード(NIC)
に関する。[0001] The present invention relates to IEEE 802.3.
Local Area Network (LAN) that conforms to the system
Network Interface Card (NIC) for
About.
【0002】IEEE802.3は、IEEEのプロジ
ェクト802で進められているLANの標準化のうち、
衝突検出機能付き搬送波検知多元接続(CSMA/C
D)方式のアクセス手順の物理層の仕様を規定してい
る。IEEE802.3フレームフォーマットでは、開
放型システム間相互接続(OSI)レベル2のプロトコ
ル・データ・ユニット(PDU)内に、ユーザデータの
プロトコルが何であるかを記述している。[0002] IEEE802.3 is one of the LAN standardizations being promoted in IEEE project 802.
Carrier detection multiple access with collision detection function (CSMA / C
The specification of the physical layer of the access procedure of the D) method is specified. The IEEE 802.3 frame format describes what the user data protocol is in an Open System Interconnection (OSI) level 2 protocol data unit (PDU).
【0003】CSMA/CD方式は、バス型伝送路を複
数の局が共用するための方式である。各局は送信時、伝
送路上にキャリアがなくなるまで待ち、さらに送信中に
衝突を検出したならば、すべての局にその衝突が伝わる
ようにジャム信号を送信する。この衝突を検出した局は
ランダム時間経過後、再送信を行う。[0003] The CSMA / CD system is a system for sharing a bus-type transmission line by a plurality of stations. When transmitting, each station waits until there is no carrier on the transmission path, and if a collision is detected during transmission, transmits a jam signal to all the stations so that the collision is transmitted. The station that detects this collision retransmits after a random time has elapsed.
【0004】NICは、ホストコンピュータ、サーバ装
置、端末機器、プリンタ等の装置が、LANに接続する
場合に搭載するインタフェース装置である。このNIC
が、各機器とLANとの接続点となる。コンピュータ関
連機器がLANを介してデータ通信を行う場合には、N
IC内でそのLANの規格にあったフレームフォーマッ
トを作成して、その中にデータを挿入してからLANに
データを送出する。また、逆にデータを受け取った場合
についても、NICは、LANにおいて使用した不要な
フレームフォーマットを取り外してからコンピュータ機
器にデータを渡す役割を担っている。[0004] The NIC is an interface device that is mounted when devices such as a host computer, a server device, a terminal device, and a printer are connected to a LAN. This NIC
Are connection points between each device and the LAN. When a computer-related device performs data communication via a LAN, N
A frame format conforming to the LAN standard is created in the IC, data is inserted into the frame format, and the data is transmitted to the LAN. Conversely, when data is received, the NIC plays a role of removing unnecessary frame formats used in the LAN and then passing the data to the computer device.
【0005】[0005]
【従来の技術】従来よりネットワークとはオープン化さ
れるものとして、業界で成長を続けてきたものであり、
特にLANはコンピュータにとってオープンシステムの
ために存在するネットワークである。しかし、オープン
化・ネットワーク化されたことにより、一般にハッカー
と呼ばれる侵略者などにシステムを侵害される被害が、
ますます増加する傾向にある。2. Description of the Related Art Conventionally, networks have been growing in the industry as being open,
In particular, LANs are networks that exist for open systems for computers. However, due to the openness and networking, invaders generally called hackers and others have been harmed by the system,
There is a tendency to increase.
【0006】一般的にLAN上を流れるデータは、その
LANの規格に合ったフレームフォーマットを形成して
いる。このフレームレベルのフォーマットを大きく2つ
に分けると、「制御部」と「ユーザデータ部」とに分か
れており、ユーザが送出するデータは、この「ユーザデ
ータ部」に情報を格納してデータを送出する。Generally, data flowing on a LAN forms a frame format conforming to the LAN standard. When the format at the frame level is roughly divided into two, the format is divided into a "control unit" and a "user data unit", and the data transmitted by the user stores information in the "user data unit" and stores the data. Send out.
【0007】また、このフレームレベルでの規格の上位
には、ネットワークOSなどに依存するネットワークレ
ベルのプロトコルが存在するため、フレームレベル規格
上の「ユーザデータ部」の内部は、さらに「制御部」と
「ユーザデータ部」に分かれている。Since a network-level protocol that depends on a network OS or the like exists above the frame-level standard, the “user data section” in the frame-level standard further includes a “control section”. And a “user data section”.
【0008】この様子を図4に示す。図4は、IEEE
802.3規格におけるフレームフォーマットである。
上記フレームレベルはOSIレべル2に相当し、ネット
ワークレベルはOSIレベル3に相当する。OSIレべ
ル2のデータフォーマットは、図に示すように、プリア
ンブル(PRE)、送信先アドレス(DA)、送信元ア
ドレス(SA)、プロトコル・データ・ユニット(PD
U)、ユーザデータ(DATA(2))、およびフレー
ムチェックシーケンス(FCS)から構成されている。
そして、OSIレベル3のデータフォーマットでは、O
SIレべル2におけるユーザデータ(DATA(2))
を、ネットワークレベルでのプロトコルフレームのヘッ
ダ(NH)と、OSIレベル3におけるユーザデータ
(DATA(3))とに分けている。このように、IE
EE802.3規格におけるフレームフォーマットで
は、OSIレベル2のPDU内に、ユーザデータのプロ
トコルが何であるかを記述している。FIG. 4 shows this state. Figure 4 shows the IEEE
This is a frame format in the 802.3 standard.
The frame level corresponds to OSI level 2, and the network level corresponds to OSI level 3. As shown in the figure, the data format of the OSI level 2 includes a preamble (PRE), a destination address (DA), a source address (SA), and a protocol data unit (PD).
U), user data (DATA (2)), and a frame check sequence (FCS).
In the data format of OSI level 3, O
User data at SI level 2 (DATA (2))
Is divided into a protocol frame header (NH) at the network level and user data (DATA (3)) at the OSI level 3. Thus, IE
In the frame format in the EE802.3 standard, what the user data protocol is is described in the PDU of OSI level 2.
【0009】図5に一般的なLANネットワークシステ
ムを示す。図5に示されるように、LANネットワーク
システムは、ホストコンピュータや端末機器などの複数
台のコンピュータ関連機器10と、各コンピュータ関連
機器10が接続されるイーサネット(登録商標)LAN
20と、イーサネットLAN20間を中継回線40を介
して接続するためのLAN間接続装置(ネットワーク機
器)30とから構成されている。LAN間接続装置30
は、例えば、ブリッジやルータである。FIG. 5 shows a general LAN network system. As shown in FIG. 5, the LAN network system includes a plurality of computer-related devices 10 such as a host computer and a terminal device, and an Ethernet (registered trademark) LAN to which each of the computer-related devices 10 is connected.
And a LAN connection device (network device) 30 for connecting the Ethernet LAN 20 via the relay line 40. LAN connection device 30
Are, for example, bridges and routers.
【0010】イーサネットLAN20間を接続するブリ
ッジ、ルータといったLAN間接続装置20は、それぞ
れ通過するデータのMACアドレスやNWアドレスを参
照することにより、通信ルートの選択を行っている。ブ
リッジは、MACアドレスを参照してルート選択をして
いる。一方、ルータは、NH内のネットワークアドレス
を参照してルート選択をしている。An inter-LAN connecting device 20 such as a bridge or a router connecting the Ethernet LANs 20 selects a communication route by referring to the MAC address and NW address of the data passing therethrough. The bridge selects a route by referring to the MAC address. On the other hand, the router selects a route by referring to the network address in the NH.
【0011】ここで、MACアドレスとは、IEEE8
02.3(ISO8802−3)に準拠するLAM物理
アドレスで、OSI基本参照モデルのデータリンク下位
副層プロトコルに共通なアドレスである。LANには複
数のホストコンピュータや端末機器が接続されるにもか
かわずひとつ伝送路を共有するため、各機器の宛先を指
定するためにMACアドレスを付与する必要ある。図4
の送信先アドレス(DA)と送信元アドレス(SA)が
MACアドレスに当たる部位である。Here, the MAC address is defined as IEEE8
This is a LAM physical address conforming to ISO 2802-3, and is an address common to the data link lower sublayer protocol of the OSI basic reference model. Since a single transmission path is shared in the LAN despite the connection of a plurality of host computers and terminal devices, it is necessary to assign a MAC address to specify the destination of each device. FIG.
Is the part where the destination address (DA) and the source address (SA) correspond to the MAC address.
【0012】一方、NWアドレスとは、ネットワークO
Sやネットワークアーキテクチャごとに、それぞれのプ
ロトコルにおいてデータ送受信を円滑に行うために利用
されるアドレス体系である。一般的に、LAN間接続装
置30であるルータは、このネットワークアドレスを参
照してデータのルーティングを実現している。なお、N
Wアドレスの代表的な例は、TCP/IPのIPアドレ
ス、NetWareの外部ネットワークアドレスがそれ
に該当する。図4のヘッダ(NH)内にNWアドレスは
含まれる。On the other hand, the NW address refers to the network O
An address system used for smoothly transmitting and receiving data in each protocol for each S and network architecture. Generally, a router as the LAN-to-LAN connecting device 30 implements data routing with reference to this network address. Note that N
A typical example of the W address is an IP address of TCP / IP and an external network address of NetWare. The NW address is included in the header (NH) of FIG.
【0013】このように、LANネットワークシステム
を形成する装置であるブリッジやルータといったネット
ワーク機器は、そのフォーマット上に書き込みされた情
報を読み取ることによって、データの送受信を行った
り、ファイリングやフォアディングを行っている。その
ため、送信するデータを暗号化する場合には、データ全
体にそれを施してしまうと、「制御部」の宛先アドレス
などもすべて暗号化してしまうため、正しい相手にデー
タを送信することができなくなってしまう。As described above, network devices such as bridges and routers, which are devices forming a LAN network system, perform data transmission / reception, filing and forwarding by reading information written in the format. ing. Therefore, when encrypting the data to be transmitted, if it is applied to the entire data, the destination address of the "control unit" will also be encrypted, and the data cannot be transmitted to the correct destination. Would.
【0014】従って、一定の規格を持つ(フォーマット
が規定されている)LAN上に送出するデータを暗号化
する場合には、従来から次に述べる方法を採用してい
る。アプリケーションレベルで暗号化する。通信相
手をそれぞれの機器があらかじめ認識しておく。ネッ
トワーク機器(ブリッジやルータなど)にも暗号化機能
を持たせる。Therefore, when encrypting data to be transmitted on a LAN having a certain standard (format is specified), the following method has been conventionally employed. Encrypt at the application level. Each device recognizes the communication partner in advance. Network devices (bridges, routers, etc.) also have encryption functions.
【0015】本発明に関連する先行技術が種々提案され
ている。例えば、特開平4−274636号公報(以
下、先行技術1と呼ぶ)には、指定した任意の計算機間
で転送データの暗号化が行え、暗号化方法の変更も容易
に行える「ローカルエリアネットワークにおける暗号化
方式」が開示されている。この先行技術1では、LAN
に接続される各機器はデータ暗号化機能を有しており、
LAN上にデータを送出する際には必要に応じて暗号化
を行う。また、暗号化機能の併せて外部データベースを
持ち合わせており、通信する相手によってそれに合う暗
号化を施している。すなわち、この先行技術1は、上記
との方法を実現している。Various prior arts related to the present invention have been proposed. For example, Japanese Unexamined Patent Application Publication No. 4-274636 (hereinafter referred to as Prior Art 1) states that “transfer data can be encrypted between designated computers and the encryption method can be easily changed. An "encryption scheme" is disclosed. In this prior art 1, LAN
Each device connected to has a data encryption function,
When sending data over the LAN, encryption is performed as necessary. In addition, an external database is provided in addition to the encryption function, and the communication partner performs the encryption corresponding to the external database. That is, the prior art 1 realizes the method described above.
【0016】次に、先行技術1の動作の概要について説
明する。最初に、外部データベースについて説明する。
LAN上の各機器には「外部データベース機能」を持た
せ、他に接続される機器の暗号化に関する情報を登録す
る。ここで、暗号化に関する情報とは、通信相手ごとに
どのようなアルゴリズムで暗号化しているかという情報
を定義している。Next, an outline of the operation of the prior art 1 will be described. First, the external database will be described.
Each device on the LAN is provided with an “external database function” and registers information on encryption of other connected devices. Here, the information on encryption defines information on what algorithm is used for encryption for each communication partner.
【0017】次に、データ送信のときの動作について説
明する。データを送信する機器は、まず「外部データベ
ース」に登録された通信相手の暗号化情報を確認する。
そして、相手の暗号化方式に合わせて、LAN上にデー
タを送出する。但し、相手の機器に暗号化機能がない場
合には、平文データのまま送出する。Next, the operation at the time of data transmission will be described. The device transmitting the data first checks the encryption information of the communication partner registered in the “external database”.
Then, the data is transmitted over the LAN in accordance with the encryption method of the other party. However, if the other device does not have an encryption function, the data is transmitted as plain data.
【0018】次に、データ受信のときの動作について説
明する。送信されてきたデータの相手先を確認して、
「外部データベース」から相手機器の暗号化情報を取得
する。そして、相手の暗号化方式に合わせて、受け取っ
たデータを解読する。但し、相手の機器に暗号化機能が
ない場合には、平文データのまま取り込む。Next, the operation at the time of data reception will be described. Check the destination of the sent data,
Obtain the encryption information of the partner device from the "external database". Then, it decrypts the received data according to the other party's encryption method. However, if the other device does not have an encryption function, the data is imported as plain data.
【0019】また、特開平3−129936号公報(以
下、先行技術2と呼ぶ)は、暗号化及び解読のできる秘
匿器を、各コンピュータと伝送制御器との間に設けるこ
とにより、共通伝送路を伝送するパケットデータのセキ
ュリティの度合いを高めるようにした技術が開示されて
いる。この先行技術3は、上記の方法を実現してい
る。Japanese Unexamined Patent Publication No. 3-129936 (hereinafter referred to as Prior Art 2) discloses a concealment device capable of encrypting and decrypting data between each computer and a transmission controller to provide a common transmission path. A technique has been disclosed in which the degree of security of packet data for transmitting a packet is increased. This prior art 3 realizes the above method.
【0020】[0020]
【発明が解決しようとする課題】上述した従来の方法
,およびでは、次に述べるような問題点がある。
のアプリケーションレべルで暗号化する方法では、同
一のアプリケーションを利用しなければ通信できない。
また、市販の汎用アプリケーションで暗号化ができな
い。の通信相手をそれぞれの機器があらかじめ認識し
ておく方法では、ネットワーク構成の変更時には、すべ
ての端末の暗号化データを更新しなければならない。ま
た、暗号のパターンなどを定期的に変更することが困難
である。のネットワーク機器にも暗号化機能を持たせ
る方法では、ネットワーク内で使用できる機器が特定さ
れてします。The above-described conventional method and the above-described method have the following problems.
In the method of encrypting at the application level, communication cannot be performed unless the same application is used.
Also, encryption cannot be performed with a commercially available general-purpose application. According to the method in which each device recognizes the communication partner of the above in advance, when the network configuration is changed, the encrypted data of all terminals must be updated. Also, it is difficult to periodically change the encryption pattern and the like. In the method of providing encryption function to other network devices, devices that can be used in the network are specified.
【0021】すなわち、〜による暗号化方法では、
共通なアプリケーションを利用するネットワークやマル
チプロトコル環境においては、利用範囲が限定されてし
まうという問題点がある。That is, in the encryption method by
In a network or a multi-protocol environment using a common application, there is a problem that the use range is limited.
【0022】また、上述した先行技術1では、ネットワ
ーク内に暗号化通信を必要とする端末が新規増設された
場合、既設の各機器の「外部データベース」に情報を再
登録しなければならないという問題点がある。上述した
先行技術2では、による暗号化方法と同様の問題点が
ある。Further, in the above-mentioned prior art 1, when a terminal requiring encrypted communication is newly added in a network, information must be re-registered in an “external database” of each existing device. There is a point. The above-described prior art 2 has the same problem as the encryption method according to the related art.
【0023】したがって、本発明の課題は、利用するア
プリケーションやネットワークプロトコルに依存するこ
とない暗号化/復号化方法を実現することにある。Therefore, an object of the present invention is to realize an encryption / decryption method that does not depend on an application or a network protocol to be used.
【0024】[0024]
【課題を解決するための手段】本発明によれば、所定の
フォーマットが規定された、プロトロコル識別子を含む
データを暗号化する方法であって、前記プロトロコル識
別子から前記データのプロトコルを判断するステップ
と、この判断したプロトコルに従って、前記データから
暗号化しても影響を与えない部分を選び出して暗号化す
るステップとを含むデータの暗号化方法が得られる。ま
た、本発明によれば、上記暗号化方法によって暗号化さ
れたデータを解読するステップを含むデータの復号化方
法が得られれる。According to the present invention, there is provided a method for encrypting data including a protocol identifier having a predetermined format, comprising: determining a protocol of the data from the protocol identifier; According to the determined protocol, a step of selecting and encrypting a portion of the data that has no effect even if the data is encrypted is obtained. According to the present invention, there is provided a data decryption method including a step of decrypting data encrypted by the encryption method.
【0025】さらに、本発明によれば、所定のフォーマ
ットが規定された、プロトロコル識別子を含むデータを
暗号化する装置であって、前記プロトロコル識別子から
前記データのプロトコルを判断する手段と、この判断し
たプロトコルに従って、前記データから暗号化しても影
響を与えない部分を選び出して暗号化する手段とを有す
ることを特徴とするデータの暗号化装置が得られる。ま
た、本発明によれば、上記暗号化装置によって暗号化さ
れたデータを解読する手段を有するデータの復号化装置
が得られる。Further, according to the present invention, there is provided an apparatus for encrypting data including a protocol identifier, which is defined in a predetermined format, comprising: means for determining a protocol of the data from the protocol identifier; Means for selecting and encrypting a portion which does not affect the data even if the data is encrypted in accordance with a protocol, thereby obtaining a data encryption device. Further, according to the present invention, there is provided a data decryption device having means for decrypting data encrypted by the encryption device.
【0026】[0026]
【作用】本発明では、データに埋め込まれたプロトコル
種別を読み込んだ上で、そのプロトコルに合わせた暗号
化を行うため、マルチプロトコル環境を持つコンピュー
タ関連機器は、通信する相手によって環境を再設定する
必要がない。According to the present invention, a computer-related device having a multi-protocol environment resets the environment by a communication partner to read a protocol type embedded in data and to perform encryption in accordance with the protocol. No need.
【0027】具体的には、例えば、あるパーソナルコン
ピュータがIEEE802.3規格のLANネットワー
クシステムを介して、TCP/IP環境で動くサーバと
NetWareで動くサーバの2つのサーバを利用する
場合について考える。ここで、TCP/IPとは、主に
LANでよく使われるネットワーク・プロトコル(通信
制御手順)の一つである。OSI参照モデルでいえば、
TCP(TransmissionControl Protocol )はトランス
ポート層に、IP(Internet Protocol )はネットワー
ク層に対応するプロトコルである。一方、NetWar
eは、米ノベル社が開発・販売しているネットワークO
S(オペレーティング・システム)である。このような
場合でも、本発明では、ユーザ側で意識することなく双
方に対して暗号化を施すことができる。More specifically, for example, a case is considered in which a certain personal computer uses two servers, a server operating in a TCP / IP environment and a server operating in NetWare, via a LAN network system of the IEEE802.3 standard. Here, TCP / IP is one of the network protocols (communication control procedures) often used mainly in LANs. Speaking of the OSI reference model,
TCP (Transmission Control Protocol) is a protocol corresponding to the transport layer, and IP (Internet Protocol) is a protocol corresponding to the network layer. On the other hand, NetWar
e is a network O developed and sold by Novell
S (operating system). Even in such a case, according to the present invention, both can be encrypted without the user's awareness.
【0028】[0028]
【発明の実施の形態】以下、図面を参照して本発明の実
施形態を詳細に説明する。Embodiments of the present invention will be described below in detail with reference to the drawings.
【0029】図4に示すIEEE802.3フレームフ
ォーマットでは、OSIレベル2のPDU(プロトコル
・データ単位)内に、ユーザデータのプロトコルが何で
あるかを記述している。In the IEEE 802.3 frame format shown in FIG. 4, what is the protocol of the user data is described in an OSI level 2 PDU (protocol data unit).
【0030】一般的なマルチプロトコル・ルータでは、
PDU内のプロトコル識別子を読み取り、DATA
(2)内のNHがどの部分に該当するか(すなわち、先
頭から数えて何ビット目から何ビット)を認識して、そ
のネットワークアドレスが示すルートに対してデータを
ルーティグする。In a general multi-protocol router,
Read the protocol identifier in the PDU, DATA
Recognizing which part of the NH in (2) corresponds (that is, how many bits from the head counting from the head), the data is routed to the route indicated by the network address.
【0031】したがって、ネットワークに接続される各
ホストおよび端末機器は、図4のDATA(3)部分の
みを暗号化することにより、フレームレベルの伝送制
御、およびネットワークレベルでの伝送制御が、ネット
ワーク上で保証される。Therefore, each host and terminal device connected to the network encrypts only the DATA (3) portion of FIG. 4 to control frame-level transmission control and network-level transmission control on the network. Guaranteed by
【0032】図1および図2に本発明の一実施形態によ
るデータの暗号化/復号化方法を実現するコンピュータ
関連機器(ネットワークに接続される各ホストコンピュ
ータおよび端末機器)10の構成を示す。図示のコンピ
ュータ関連機器10は、アプリケーション12と、アプ
リケーション・インタフェース(API)14と、通信
制御トライバ16と、暗号化ネットワーク・インタフェ
ース・カード(NIC)18とから構成される。FIGS. 1 and 2 show the configuration of a computer-related device (each host computer and terminal device connected to a network) 10 for implementing a data encryption / decryption method according to an embodiment of the present invention. The illustrated computer-related device 10 includes an application 12, an application interface (API) 14, a communication control driver 16, and an encrypted network interface card (NIC) 18.
【0033】アプリケーション12はユーザ・アプリケ
ーションであり、後述するように、通信アプリケーショ
ンと暗号化アプリケーションとを含む。AIP12はア
プリケーション12と通信制御ドライバ16との間をイ
ンタフェースする。通信制御トライバ16は、AIPと
暗号化NIC18との間に配置され、一般の通信制御ド
ライバ162と本発明に係る暗号化ドライバ164とか
ら構成される。アプリケーション12とAIP14と通
信制御ドライバ16はソフトウェアである。The application 12 is a user application, and includes a communication application and an encryption application as described later. The AIP 12 interfaces between the application 12 and the communication control driver 16. The communication control driver 16 is disposed between the AIP and the encryption NIC 18 and includes a general communication control driver 162 and an encryption driver 164 according to the present invention. The application 12, the AIP 14, and the communication control driver 16 are software.
【0034】暗号化NIC18は、通信制御ドライバ1
6とLAN20との間に設けられている。この暗号化N
IC18は、ハードウェアであって、一般のNIC18
2と暗号化LSI184とから構成されている。一般の
NIC182はNICハードウェアとも呼ばれる。The encryption NIC 18 is a communication control driver 1
6 and the LAN 20. This encryption N
The IC 18 is hardware, and is a general NIC 18
2 and an encryption LSI 184. The general NIC 182 is also called NIC hardware.
【0035】すなわち、コンピュータ関連機器10は、
通常の通信環境を設定すると共に、本発明の暗号化/復
号化方法を実現するための暗号化ISL184と暗号化
ドライバ164とを搭載している。That is, the computer-related device 10
A normal communication environment is set, and an encryption ISL 184 and an encryption driver 164 for implementing the encryption / decryption method of the present invention are mounted.
【0036】暗号化ドライバ164は、アプリケーショ
ン12からの要求により暗号化LSI184に対して暗
号化に関する指示をするためのドライバである。一般の
通信ドライバ162と同様に、暗号化ドライバ164は
さまざまなアプリケーション12とのインタフェースを
共有するために、標準的なAIP14をサポートする。
この暗号化ドライバ164は、図2に示されるように、
通信制御ドライバ16内のファイルとして常駐してい
る。The encryption driver 164 is a driver for instructing the encryption LSI 184 about encryption in response to a request from the application 12. Like the general communication driver 162, the encryption driver 164 supports the standard AIP 14 to share an interface with various applications 12.
This encryption driver 164, as shown in FIG.
It resides as a file in the communication control driver 16.
【0037】ホストコンピュータおよび端末機器がLA
N20に接続する場合、仕様に合わせたNICを用意す
る。暗号化NIC18とは、これら一般のNIC182
に、暗号化に必要なデータ解析機能やデータスクランブ
ル機能を施すための専用の暗号化LSI184を搭載し
たものである。The host computer and the terminal device are LA
When connecting to N20, prepare an NIC that meets the specifications. The encryption NIC 18 is a general NIC 182
In addition, a dedicated encryption LSI 184 for providing a data analysis function and a data scramble function required for encryption is mounted.
【0038】暗号化LSI184は、暗号化ドライバ1
64の指示によってユーザデータに対して次の手順で暗
号化を施す。最初に、暗号化LSI184はフレーム内
のPDUからプロトコルを判断する。次に、暗号化LS
I184は暗号化ドライバ164からの暗号化ロジック
の指示を受ける。そして、暗号化LSI184はユーザ
データ部のみを、暗号化ドライバ164が指定したアル
ゴリズムにて暗号化する。The encryption LSI 184 is provided by the encryption driver 1
In accordance with the instruction 64, the user data is encrypted in the following procedure. First, the encryption LSI 184 determines the protocol from the PDU in the frame. Next, the encryption LS
I184 receives an instruction of the encryption logic from the encryption driver 164. Then, the encryption LSI 184 encrypts only the user data portion using the algorithm specified by the encryption driver 164.
【0039】すなわち、本発明の暗号化NIC18で
は、図4に示すOSIレベル2のPDUの情報を読み取
ることにより、送信(受信)するデータのプロトコルを
特定できるため、そのプロトコルのネットワークヘッダ
やIEEE802.3フォーマットを除いた純データ部
分のみを暗号化(平文化)する。That is, in the encryption NIC 18 of the present invention, the protocol of the data to be transmitted (received) can be specified by reading the information of the PDU of the OSI level 2 shown in FIG. 4, so that the network header of the protocol and the IEEE802. Only the pure data portion excluding the three formats is encrypted (plain culture).
【0040】次に、図3を参照して、各ブロックの概要
について説明する。Next, an outline of each block will be described with reference to FIG.
【0041】アプリケーション12の一つである通信ア
プリケーション122は汎用ソフトウェアである。送信
側の通信アプリケーション122は、利用者が通信開始
を指示した時に、一般の通信制御ドライバ162および
暗号化アプリケーション124に対して通信開始コマン
ドを送る。受信側の通信アプリケーション122は、着
信情報を受け取った上で、データの解凍処理をした受信
データを受け取る。The communication application 122, which is one of the applications 12, is general-purpose software. The communication application 122 on the transmission side sends a communication start command to the general communication control driver 162 and the encryption application 124 when the user instructs to start communication. The communication application 122 on the receiving side receives the incoming data, which has undergone data decompression processing after receiving the incoming information.
【0042】アプリケーション12の一つである暗号化
アプリケーション124はソフトウェアである。送信側
の暗号化アプリケーション124は、暗号化条件やアル
ゴリズムをIDとパスワードで管理しており、ユーザか
ら自由に変更できる。送信側の暗号化アプリケーション
124は、通信アプリケーション122からの通信コマ
ンドを受けると、パスワードを参照して暗号化ドライバ
164に対して暗号化を指示する。受信側の暗号化アプ
リケーション124は、一般の通信制御ドライバ162
からの着信情報を受け取り、設定されているパスワード
を暗号化ドライバ164に渡す。The encryption application 124, which is one of the applications 12, is software. The encryption application 124 on the transmission side manages encryption conditions and algorithms by ID and password, and can be freely changed by the user. Upon receiving the communication command from the communication application 122, the encryption application 124 on the transmission side refers to the password and instructs the encryption driver 164 to perform encryption. The encryption application 124 on the receiving side uses a general communication control driver 162
, And passes the set password to the encryption driver 164.
【0043】一般の通信制御ドライバ162は汎用ソフ
トウェアである。送信側の一般の通信制御ドライバ16
2は通信アプリケーション122からの通信コマンドを
受け取り、通常の手順でNICハードウェア182に通
信制御コマンドを送る。受信側の一般の通信制御ドライ
バ162は、暗号化LSI184からの着信情報を受け
取り、通信アプリケーション122および暗号化アプリ
ケーション124のそれぞれに着信情報を渡す。また、
受信側の一般の通信制御ドライバ162は、暗号化ドラ
イバに対して暗号化データの解凍を要求する。The general communication control driver 162 is general-purpose software. General communication control driver 16 on the transmission side
2 receives a communication command from the communication application 122 and sends a communication control command to the NIC hardware 182 in a normal procedure. The general communication control driver 162 on the receiving side receives the incoming information from the encryption LSI 184 and passes the incoming information to each of the communication application 122 and the encryption application 124. Also,
The general communication control driver 162 on the receiving side requests the encryption driver to decompress the encrypted data.
【0044】暗号化ドライバ164はソフトウェアであ
る。送信側の暗号化ドライバ164は、暗号化アプリケ
ーション124からの暗号化コマンドとアリゴリズムを
示すパスワードを受け取る。それらを参照した上で、送
信側の暗号化ドライバ164は暗号化NIC18に搭載
される暗号化LSI184にデータの暗号化を指示す
る。受信側の暗号化ドライバ164は、一般の通信制御
ドライバ162からの解凍要求を受け取り、暗号化アプ
リケーション124に対して設定されているパスワード
を確認して、暗号化LSI184に解凍指示を与える。The encryption driver 164 is software. The encryption driver 164 on the transmission side receives the encryption command from the encryption application 124 and the password indicating the algorithm. After referring to them, the encryption driver 164 on the transmission side instructs the encryption LSI 184 mounted on the encryption NIC 18 to encrypt data. The encryption driver 164 on the receiving side receives the decompression request from the general communication control driver 162, confirms the password set for the encryption application 124, and gives a decompression instruction to the encryption LSI 184.
【0045】ここで、送信側および受信側のそれぞれ
で、パスワードごとに暗号・解凍のアルゴリズムが決め
られているため、パスワードが異なる端末からのデータ
を解凍しても正確に復元することは不可能となり、セキ
ュリティを保つことができる。Here, since the encryption and decompression algorithms are determined for each password on each of the transmitting side and the receiving side, it is impossible to correctly restore even if data from a terminal having a different password is decompressed. And security can be maintained.
【0046】暗号化NIC18はハードウェアである。
送信側の暗号化NIC18は、一般の通信制御ドライバ
162からの通信コマンドと暗号化ドライバ164から
の暗号化コマンドを参照してユーザデータ部分を暗号化
したデータフレームを作成し、LAN20上に送信す
る。受信側の暗号化NIC18は、データが着信したこ
とを上位の一般の通信制御ドライバ161に通知し、ま
た暗号化ドライバ164からの指示で、着信データの暗
号解凍を行う。The encryption NIC 18 is hardware.
The transmission-side encryption NIC 18 refers to the communication command from the general communication control driver 162 and the encryption command from the encryption driver 164 to create a data frame in which the user data portion is encrypted, and transmits the data frame to the LAN 20. . The encryption NIC 18 on the receiving side notifies the general communication control driver 161 of the arrival of the data, and decrypts the received data in accordance with an instruction from the encryption driver 164.
【0047】次に、図3を参照して全体の処理の流れに
ついて説明する。Next, the overall processing flow will be described with reference to FIG.
【0048】送信側のネットワーク機器において、ユー
ザが通信を開始すると、通信アプリケーション122か
ら一般の通信制御ドライバ162および暗号化アプリケ
ーション124に対して、通信が開示されたことを知ら
せる通信コマンドを送信する(S1)。一般の通信制御
ドライバ162は暗号化NIC18に対して通信が開始
されることを知らせるコマンドを送信する(S2)。暗
号化アプリケーション124は暗号化ドライバ164に
対して、通信が開始されることを知らせると共に、ユー
ザが設定したパスワードを提供する(S3)。暗号化ド
ライバ164は、暗号化LDI184に対して、受け取
ったパスワードに対応するアルゴリズムでユーザデータ
に暗号化をかけることを指示する(S4)。送信するデ
ータを通信アプリケーション122から一般の通信制御
ドライバ162に渡す(S5)。送信するデータを一般
の通信制御ドライバ162から暗号化NIC18に渡す
(S6)。暗号化NIC18内の暗号化LSI184
が、送信準備にあるデータのユーザデータ部分を分析し
て、ユーザデータに暗号化をかける(S7)。NICハ
ードウェア182は暗号化されたデータをLAN20に
送出する(S8)。When the user starts communication in the network device on the transmitting side, the communication application 122 transmits a communication command notifying that the communication has been disclosed to the general communication control driver 162 and the encryption application 124 ( S1). The general communication control driver 162 transmits a command notifying that the communication is started to the encryption NIC 18 (S2). The encryption application 124 notifies the encryption driver 164 of the start of communication and provides the password set by the user (S3). The encryption driver 164 instructs the encryption LDI 184 to encrypt the user data with the algorithm corresponding to the received password (S4). The data to be transmitted is passed from the communication application 122 to the general communication control driver 162 (S5). The data to be transmitted is passed from the general communication control driver 162 to the encryption NIC 18 (S6). The encryption LSI 184 in the encryption NIC 18
Analyzes the user data portion of the data ready for transmission and encrypts the user data (S7). The NIC hardware 182 sends the encrypted data to the LAN 20 (S8).
【0049】送出されたデータは、ブリッジやルータと
いったLAN間接続装置30(図5)を通過して、送信
先のアドレスのネットワーク機器まで伝送される(S
9)。ここで、送信データは、ネットワークプロトコル
レベルのユーザデータまでしか暗号化されていないの
で、一般的なルータやブリッジであっても経路選択には
影響を与えない。The transmitted data passes through the LAN connection device 30 (FIG. 5) such as a bridge or a router, and is transmitted to the network device of the destination address (S
9). Here, since the transmission data is encrypted only up to the user data at the network protocol level, even a general router or bridge does not affect the route selection.
【0050】暗号化が施されたデータが、受信側のネッ
トワーク機器に着信する(S10)。NICハードウェ
ア182が一般の通信制御ドライバ162に対してデー
タが着信したことを知らせる(S11)。一般の通信制
御ドライバ162が、通信アプリケーション122およ
び暗号化アプリケーション124に対して、データが着
信したことを知らせる(S12)。一般の通信制御ドラ
イバ162が暗号化ドライバ164に対して着信データ
の解凍を要求する(S13)。暗号化ドライバ164
は、暗号化アプリケーション124に登録パルワードを
確認する(S14)。暗号化ドライバ164は、登録パ
スワードにあったアルゴリズムで、暗号化されたデータ
を解凍することを暗号化LSI184に指示する(S1
5)。暗号化LSI184は、暗号化ドライバ164か
ら指示のあったアルゴリズムで暗号化されたデータを解
凍処理する(S16)。暗号化NIC18にて解凍処理
されたデータを、着信データとして処理する(S1
7)。一般の通信制御ドライバ162は着信データを通
信アプリケーション122に渡す。The encrypted data arrives at the network device on the receiving side (S10). The NIC hardware 182 notifies the general communication control driver 162 that data has arrived (S11). The general communication control driver 162 notifies the communication application 122 and the encryption application 124 that data has arrived (S12). The general communication control driver 162 requests the encryption driver 164 to decompress incoming data (S13). Encryption driver 164
Confirms the registered password with the encryption application 124 (S14). The encryption driver 164 instructs the encryption LSI 184 to decompress the encrypted data using the algorithm corresponding to the registered password (S1).
5). The encryption LSI 184 decompresses the data encrypted by the algorithm specified by the encryption driver 164 (S16). The data decompressed by the encryption NIC 18 is processed as incoming data (S1).
7). The general communication control driver 162 passes the incoming data to the communication application 122.
【0051】[0051]
【実施例】このような本発明に係る暗号化方法および復
号化方法は、次のような利用例が考えられる。DESCRIPTION OF THE PREFERRED EMBODIMENTS The encryption and decryption methods according to the present invention have the following applications.
【0052】〔ネットワーク内の一部での利用〕機密デ
ータを扱うホストコンピュータには、暗号化パスワード
が設定されており、そこにアクセスする場合には利用者
側で同一のパスワードを入力する必要がある。暗号化パ
スワードを知る者(関係者)以外は、ホストコンピュー
タ(または、特定のアプリケーション)に対して、アク
セスには成功したとしても、データの内容を解析するこ
とはできない。[Use in a Part of the Network] An encrypted password is set in a host computer that handles confidential data, and it is necessary for the user to input the same password when accessing the host computer. is there. Except for the person who knows the encrypted password (the person concerned), even if the host computer (or a specific application) is successfully accessed, the data content cannot be analyzed.
【0053】〔ネットワーク内のグループ単位での利
用〕ユーザ内の部門(業務)ごとに、パスワードを設定
して利用する。ネットワークは共有していても、業務ご
とに特有の暗号化が施されているため、社内においても
関係者以外に対するセキュリティを確保できる。[Use in Group Units in Network] A password is set and used for each department (business) in the user. Even if the network is shared, the encryption specific to each business is applied, so that security can be ensured even for employees other than those involved in the company.
【0054】なお、本発明は上述した実施の形態に限定
されず、本発明の要旨を逸脱しない範囲内で種々の変形
・変更が可能である。The present invention is not limited to the above-described embodiment, and various modifications and changes can be made without departing from the gist of the present invention.
【0055】[0055]
【発明の効果】以上説明したように本発明は、プロトロ
コル識別子の情報を読み取ることにより送信(受信)す
るプロトコルを特定し、そのプロトコルのネットワーク
ヘッダやIEEE802.3フォーマットを除いた純デ
ータ部分のみを暗号化(平文化)するので、オープン性
を保ちながら、データの暗号化を実現することができ
る。As described above, according to the present invention, the protocol to be transmitted (received) is specified by reading the information of the protocol identifier, and only the pure data portion excluding the network header and the IEEE802.3 format of the protocol is specified. Since encryption (plain culture) is performed, data encryption can be realized while maintaining openness.
【図1】本発明の一実施形態による暗号化/復号化方法
を実現するコンピュータ関連機器を示すブロック図であ
る。FIG. 1 is a block diagram illustrating a computer-related device that realizes an encryption / decryption method according to an embodiment of the present invention.
【図2】同実施形態のコンピュータ関連機器を示すブロ
ック図である。FIG. 2 is a block diagram showing a computer-related device of the embodiment.
【図3】図1に示したコンピュータ関連機器の暗号化/
復号化方法を説明するための図である。FIG. 3 shows the encryption /
It is a figure for explaining a decoding method.
【図4】IEEE802.3規格におけるフレームフォ
ーマットを示す図である。FIG. 4 is a diagram showing a frame format according to the IEEE 802.3 standard.
【図5】一般的なLANネットワークシステムを示すブ
ロック図である。FIG. 5 is a block diagram showing a general LAN network system.
10 コンピュータ関連機器 12 アプリケーション 122 通信アプリケーション 124 暗号化アプリケーション 14 アプリケーション・インタフェース(API) 16 通信制御ドライバ 162 一般の通信制御ドライバ 164 暗号化ドライバ 18 暗号化ネットワーク・インタフェース・カード
(NIC) 182 一般のNIC(NICハードウェア) 184 暗号化LSI 20 LAN 30 LAN間接続装置(ネットワーク機器)10 Computer Related Equipment 12 Application 122 Communication Application 124 Encryption Application 14 Application Interface (API) 16 Communication Control Driver 162 General Communication Control Driver 164 Encryption Driver 18 Encrypted Network Interface Card (NIC) 182 General NIC ( NIC hardware) 184 Encryption LSI 20 LAN 30 LAN-to-LAN connection device (network device)
Claims (4)
トロコル識別子を含むデータを暗号化する方法であっ
て、 前記プロトロコル識別子から前記データのプロトコルを
判断するステップと、この判断したプロトコルに従っ
て、前記データから暗号化しても影響を与えない部分を
選び出して暗号化するステップとを含むデータの暗号化
方法。1. A method for encrypting data including a protocol identifier, in which a predetermined format is defined, comprising: a step of determining a protocol of the data from the protocol identifier; and Selecting a portion that does not affect even if it is encrypted, and encrypting the selected portion.
号化されたデータを解読するステップを含むデータの復
号化方法。2. A method for decrypting data, comprising the step of decrypting data encrypted by the encryption method according to claim 1.
トロコル識別子を含むデータを暗号化する装置であっ
て、 前記プロトロコル識別子から前記データのプロトコルを
判断する手段と、 この判断したプロトコルに従って、前記データから暗号
化しても影響を与えない部分を選び出して暗号化する手
段とを有することを特徴とするデータの暗号化装置。3. An apparatus for encrypting data including a protocol identifier in a predetermined format, comprising: means for determining a protocol of the data from the protocol identifier; and Means for selecting and encrypting a portion which does not affect even if the data is encrypted.
号化されたデータを解読する手段を有するデータの復号
化装置。4. A data decryption device comprising means for decrypting data encrypted by the encryption device according to claim 3.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8350385A JPH10190704A (en) | 1996-12-27 | 1996-12-27 | Ciphering method, decoding method, ciphering device and decoding device for data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP8350385A JPH10190704A (en) | 1996-12-27 | 1996-12-27 | Ciphering method, decoding method, ciphering device and decoding device for data |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10190704A true JPH10190704A (en) | 1998-07-21 |
Family
ID=18410132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8350385A Withdrawn JPH10190704A (en) | 1996-12-27 | 1996-12-27 | Ciphering method, decoding method, ciphering device and decoding device for data |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10190704A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002542637A (en) * | 1999-02-17 | 2002-12-10 | アクシス アクチボラグ | Apparatus and method for communication over a network |
| JP2004504765A (en) * | 2000-07-14 | 2004-02-12 | イルデト・アクセス・ベスローテン・フェンノートシャップ | Secure packet-based data broadcasting architecture |
-
1996
- 1996-12-27 JP JP8350385A patent/JPH10190704A/en not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002542637A (en) * | 1999-02-17 | 2002-12-10 | アクシス アクチボラグ | Apparatus and method for communication over a network |
| JP2004504765A (en) * | 2000-07-14 | 2004-02-12 | イルデト・アクセス・ベスローテン・フェンノートシャップ | Secure packet-based data broadcasting architecture |
| JP4813006B2 (en) * | 2000-07-14 | 2011-11-09 | イルデト・アクセス・ベスローテン・フェンノートシャップ | Secure packet-based data broadcasting architecture |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693531B2 (en) | Secure end-to-end transport through intermediary nodes | |
| US5161193A (en) | Pipelined cryptography processor and method for its use in communication networks | |
| US5070528A (en) | Generic encryption technique for communication networks | |
| US5086469A (en) | Encryption with selective disclosure of protocol identifiers | |
| US5235644A (en) | Probabilistic cryptographic processing method | |
| US5594869A (en) | Method and apparatus for end-to-end encryption of a data packet in a computer network | |
| US5099517A (en) | Frame status encoding for communication networks | |
| JP3343064B2 (en) | Pseudo network adapter for capturing, encapsulating and encrypting frames | |
| JP4407452B2 (en) | Server, VPN client, VPN system, and software | |
| US7877601B2 (en) | Method and system for including security information with a packet | |
| JP2004529531A (en) | Method and apparatus for providing reliable streaming data transmission utilizing an unreliable protocol | |
| JP3515551B2 (en) | Electronic device having wireless data communication relay function | |
| JP3563714B2 (en) | Network connection device | |
| US6661896B1 (en) | Computer network security system and method | |
| JP2693881B2 (en) | Cryptographic processing apparatus and method used in communication network | |
| JPH10190704A (en) | Ciphering method, decoding method, ciphering device and decoding device for data | |
| CN114731292A (en) | Low latency medium access control security authentication | |
| US20030120800A1 (en) | Network layer protocol | |
| JP3259660B2 (en) | Data encryption / decryption LAN connection device | |
| KR100564753B1 (en) | Apparatus and method processing internet protocol security protocol in network processor | |
| EP4175227A1 (en) | Security for communication protocols | |
| EP0464566B1 (en) | Abort processing in pipelined communication | |
| JPH09252315A (en) | Cipher communication system and enciphering device | |
| CN114567478A (en) | Communication method and device | |
| CN117395019A (en) | Automatic in-band media access control security (MACsec) key update for re-timer devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20040302 |