JPH11243388A - 暗号通信システム - Google Patents

暗号通信システム

Info

Publication number
JPH11243388A
JPH11243388A JP10044727A JP4472798A JPH11243388A JP H11243388 A JPH11243388 A JP H11243388A JP 10044727 A JP10044727 A JP 10044727A JP 4472798 A JP4472798 A JP 4472798A JP H11243388 A JPH11243388 A JP H11243388A
Authority
JP
Japan
Prior art keywords
encryption
encryption key
key
communication data
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10044727A
Other languages
English (en)
Inventor
Yasuhisa Tokiniwa
康久 時庭
Toru Inada
徹 稲田
Akira Watanabe
晃 渡邊
Takuya Taguchi
卓哉 田口
Shigeaki Tanimoto
茂明 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Original Assignee
Mitsubishi Electric Corp
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Nippon Telegraph and Telephone Corp filed Critical Mitsubishi Electric Corp
Priority to JP10044727A priority Critical patent/JPH11243388A/ja
Publication of JPH11243388A publication Critical patent/JPH11243388A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 暗号通信システムにおける暗号装置が使用す
る暗号鍵、暗号装置間の物理的配置構成などの情報を鍵
探索で収集し、収集した情報に基づいて暗号通信を行う
システムにおいてセキュリティ強度を上げる。 【解決手段】 受信したデータを暗号化/復号する暗号
装置において、暗号装置自身が受信データに対して使用
する暗号鍵の情報や暗号鍵と組みを成すサーバクライア
ントモードを自動的に収集し、収集した情報に基づいて
暗号鍵テーブルに学習し、学習登録した暗号鍵テーブル
から暗号鍵を選択しデータを暗号化/復号し、大規模か
つ複雑な暗号通信システムに対応する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】通信ネットワークに収容され
た通信端末間を中継する各暗号装置が互いに持つ暗号鍵
を学習してから暗号通信を行う暗号通信システムに関す
る。
【0002】
【従来の技術】図22は例えば従来の暗号通信システム
の端末A、B,Cを収容するネットワークの構成例を示
すもので、図において、11〜15は暗号装置、暗号装
置11はIDが1の、暗号装置12はIDが3の、暗号
装置13はIDが1と2の、暗号装置14はIDが3
の、暗号装置15はIDが2の暗号鍵を保有しており、
暗号復号時にはそれぞれのIDに対応した暗号鍵を使用
する。即ち、各暗号装置に割り当てる暗号鍵は、あらか
じめ配送して登録されており、各暗号装置は、自身の持
つ暗号鍵の暗号鍵IDを内部に一つまたは複数個保持す
る。また初期の時点では各装置内の暗号鍵テーブルに
は、鍵情報がなにも登録されていないものとする。な
お、図中のLポートは、ローカルポート、Pポートはパ
ブリックポートを示す。また、図22の暗号装置11の
パブリックポート、暗号装置12のパブリックポート、
暗号装置14のパブリックポートが接続されている。他
は、ローカルポートに対しパブリックポートが接続され
ている。
【0003】図9は、鍵探索パケットおよび鍵探索応答
パケットのフォーマットである。鍵探索パケットと鍵探
索応答パケットは、ECHOパケット、つまり、要求パ
ケットを受信した通信端末が、データ部をコピーした応
答パケットを、要求パケットの送信元の通信端末へ返す
特徴を持つものであり、 例えばTCP/IPプロトコ
ルにおけるICMP ECHOを適用し、ICMP EC
HO REQUESTを鍵探索パケット、ICMP EC
HO REPLYを鍵探索応答パケットとすることが考
えられる。図9において、21はヘッダで、パケット種
別、パケットの宛先アドレス、送信元アドレス、などを
含む。22は暗号装置が受信した通信データの送信元端
末アドレス、23は暗号装置が受信した通信データの宛
先端末アドレスである。27は暗号鍵情報ブロックで、
1暗号装置分の情報が格納され、暗号装置アドレス2
8、暗号鍵ID設定個数34、暗号鍵ID情報35から
構成され、暗号鍵ID情報35は暗号鍵ID32から構
成される。24はローカルポート暗号鍵情報で、1個又
は複数個の暗号鍵情報ブロック27から構成される。鍵
探索パケットをローカルポートから受信した暗号装置
は、自身のアドレスを暗号装置アドレス28に、自身の
持つ暗号鍵のIDを暗号鍵ID情報35に、暗号鍵ID
の個数を暗号鍵ID設定個数34に設定した暗号鍵情報
ブロック27を作成し、それをローカルポート暗号鍵情
報24に設定する。
【0004】25はパブリックポート暗号鍵情報で、ロ
ーカル暗号鍵情報24と同様に、1個又は複数個の暗号
鍵情報ブロック27から構成される。鍵探索パケットを
パブリックポートから受信した暗号装置は、自身のアド
レスを暗号装置アドレス28に、自身の持つ暗号鍵のI
Dを暗号鍵ID情報35に、暗号鍵IDの個数を暗号鍵
ID設定個数34に設定した暗号鍵情報ブロック27を
作成し、それをパブリックポート暗号鍵情報25に設定
する。尚、ローカルポート暗号鍵情報24、パブリック
ポート暗号鍵情報25へは、鍵探索パケットを受信した
暗号装置の順に、前へつめて暗号鍵情報ブロック27が
設定される。26は鍵探索パケットおよび鍵探索応答パ
ケットのデ−タ部で、送信元端末アドレス22、宛先端
末アドレス23、ローカルポート暗号鍵情報24および
パブリックポート暗号鍵情報25から構成される。
【0005】図13は、図22における端末Aから端末
Bへの通信が実施される際に、暗号鍵テーブルを学習す
るために実施される鍵探索パケットのシーケンスを示し
たものである。61は、端末Bから送信された平文の通
信データ、51〜53は、暗号装置11から送信される
鍵探索パケット、55は、端末Bから送信される鍵探索
応答パケット、62は、暗号化された端末A−端末B間
の通信データ、63は端末Bから端末Aへの通信データ
である。81は暗号装置11の暗号鍵テーブルで、通信
端末A−端末Bは処理方法が暗号/復号で暗号鍵のID
が1であることを示す。82は暗号装置12の暗号鍵テ
ーブルで、通信端末A−端末Bは処理方法が暗号/復号
で透過中継であることを示す。83は暗号装置13の暗
号鍵テーブルで、通信端末A−端末Bは処理方法が暗号
/復号で暗号鍵のIDが1であることを示す。図14は
暗号装置が鍵探索応答パケットを受信したときの処理フ
ローチャートである。
【0006】次に端末Aから端末Bへ通信する際の、暗
号鍵テーブルの学習処理について示す。暗号鍵テーブル
81〜83に処理方法が何も登録されていないものとす
る。端末Aが通信データ61を送信すると、通信データ
61を受信した暗号装置11は、自身の暗号鍵テーブル
81に端末A−端末B間のデータの処理方法が登録され
ているか調べ登録されていないので、鍵探索パケットの
ローカルポート暗号鍵情報24に自身の暗号鍵のID1
を設定した鍵探索パケット51を送信する。ただし、鍵
探索パケット51のヘッダ21にはパケット種別に鍵探
索パケットを、鍵探索パケットの送信元に暗号装置11
のアドレスを、宛先に端末Bのアドレスを設定し、暗号
装置12経由端末Bに送信する。
【0007】探索パケット51をパブリックポートから
受信した暗号装置12は、鍵探索パケット51のパブリ
ックポート暗号鍵情報25に自身の持つ暗号鍵のID3
を追加した鍵探索パケット52を送信する。暗号装置1
3は、パブリックポートから受信した鍵探索パケット5
2のパブリックポート暗号鍵情報25に自身の持つ暗号
鍵のID1と2を追加した鍵探索パケット53を送信す
る。次に、暗号装置13から自端末宛の鍵探索パケット
53を受信した端末Bは、鍵探索パケット53のデータ
部26を鍵探索応答パケット55のデータ部26にコピ
ーする。そして、図16に示す鍵探索応答パケット55
を暗号装置13経由暗号装置11宛てに送信する。ただ
し、鍵探索応答パケット55のヘッダ21にはパケット
種別に鍵探索応答パケットを、送信元に端末Bのアドレ
ス、宛先に暗号装置11のアドレスを設定し送信する。
【0008】暗号装置13は、ローカルポートから鍵探
索応答パケット55を受信すると(図14のステップS
1)、自分自身の暗号鍵のIDである1または2と同じ
暗号鍵IDが鍵探索応答パケット55のローカルポート
暗号鍵情報24に設定されているかどうか検索する(ス
テップS2)。本例の場合、暗号装置13の設定したI
Dである1が鍵探索応答パケット55のローカルポート
暗号鍵情報24に設定されているので、暗号装置13
は、図13の暗号鍵テーブル83に端末A−端末B間の
通信データ61をIDが1の暗号鍵で暗号/復号するこ
とを登録し(ステップS3)、通信データバッファに送
信すべき送信データ61がなく(ステップS4)、鍵探
索応答パケット55のヘッダ21の宛先アドレスが自暗
号装置13ではないので(ステップS6)、受信した鍵
探索応答パケット55を暗号装置12に中継する。(ス
テップS8)。
【0009】以下、同様に図14のフローチャートに従
うと暗号装置12は、ローカルポートから鍵探索応答パ
ケット55を受信すると、鍵探索応答パケット55のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し(ステップS2)、暗号装置12が保有す
る鍵ID3と一致する鍵IDがないので、ローカルポー
ト暗号鍵情報24とパブリックポート暗号鍵情報25に
一致する鍵IDが存在するか探し(ステップS13)、
鍵ID1が存在するので自身の暗号鍵テーブル82に、
端末A−端末B間の通信データを、透過中継することを
登録し、鍵探索応答パケット55を暗号装置11に中継
する。
【0010】暗号装置11は、パブリックポートから鍵
探索応答パケット55を受信すると、自分自身の暗号鍵
のIDである1と同じ暗号鍵IDが鍵探索応答パケット
55のパブリックポート暗号鍵情報25に設定されてい
る暗号鍵のIDを検索し、ID1の鍵が同一なので、自
身の暗号鍵テーブル81に、端末A−端末B間の通信デ
ータを、IDが1の暗号鍵で暗号/復号することを登録
する。続いて、暗号装置11は、通信データバッファ
(図示せず)に格納しておいたローカルポートからの通
信データ61を暗号鍵テーブル81の内容に従い、暗号
鍵1を用いて暗号化し、その暗号化した通信データ62
をパブリックポートから暗号装置12経由端末B宛てに
送信する。また、鍵探索応答パケット55のヘッダ21
内の宛先アドレスは暗号装置11であるので、鍵探索応
答パケット55は廃棄される。
【0011】暗号装置11で暗号化された通信データ6
2を、パブリックポートから受信した暗号装置12は暗
号鍵テーブル82の内容に従い、透過中継し、暗号装置
13では暗号鍵テーブル83の内容に従い、パブリック
ポートからの通信データを暗号鍵1により復号し、ロー
カルポート経由端末Bへ達する。
【0012】端末Bから端末Aへの通信データ63は、
暗号装置13で暗号鍵テーブル83の内容に従い、ロー
カルポートからの通信データ63を暗号鍵1により暗号
化され、暗号装置12で暗号鍵テーブル82の内容に従
い、ローカルポートからの通信データ63を透過中継さ
れ、暗号装置11では暗号鍵テーブル81の内容に従
い、パブリックポートからの通信データ63を暗号鍵1
により復号されてローカルポート経由端末Aへ達する。
【0013】図17は、図22における端末Bから端末
Cへの通信が実施される際に、暗号鍵テーブルを学習す
るために実施される鍵探索パケットのシーケンスを示し
たものである。61は、端末Bから送信された平文の通
信データ、51〜54は、暗号装置13から送信される
鍵探索パケット、55は、端末Cから送信される鍵探索
応答パケット、62は、暗号化された端末B−端末C間
の通信データ、63は端末Cから端末Bへの通信データ
である。
【0014】82は暗号装置12の暗号鍵テーブルで、
通信端末B−端末Cは処理方法が暗号/復号で暗号鍵の
IDが3であることを示す。83は暗号装置13の暗号
鍵テーブルで、通信端末B−端末Cは処理方法が暗号/
復号で暗号鍵のIDが2であることを示す。84は暗号
装置14の暗号鍵テーブルで、通信端末B−端末Cは処
理方法が暗号/復号で暗号鍵のIDが3であることを示
す。85は暗号装置15の暗号鍵テーブルで、通信端末
B−端末Cは処理方法が暗号/復号で暗号鍵のIDが2
であることを示す。図14は暗号装置が鍵探索応答パケ
ットを受信したときの処理フローチャートである。
【0015】次に端末Bから端末Cへ通信する際の、暗
号鍵テーブルの学習処理について示す。暗号鍵テーブル
82〜85に処理方法が何も登録されていないものとす
る。端末Bが通信データ61を送信すると、通信データ
61を受信した暗号装置13は、自身の暗号鍵テーブル
83に端末B−端末C間のデータの処理方法が登録され
ているか調べ登録されていないので、鍵探索パケットの
ローカルポート暗号鍵情報24に自身の暗号鍵のID
1、2を設定した鍵探索パケット51を送信する。ただ
し、鍵探索パケット51のヘッダ21にはパケット種別
に鍵探索パケットを、鍵探索パケットの送信元に暗号装
置13のアドレスを、宛先に端末Cのアドレスを設定
し、暗号装置12経由端末Cに送信する。
【0016】探索パケット51をローカルポートから受
信した暗号装置12は、鍵探索パケット51のローカル
ポート暗号鍵情報24に自身の持つ暗号鍵のID3を追
加した鍵探索パケット52を送信する。暗号装置14
は、パブリックポートから受信した鍵探索パケット52
のパブリックポート暗号鍵情報25に自身の持つ暗号鍵
のID3を追加した鍵探索パケット53を送信する。暗
号装置15は、パブリックポートから受信した鍵探索パ
ケット53のパブリックポート暗号鍵情報25に自身の
持つ暗号鍵のID2を追加した鍵探索パケット54を送
信する。
【0017】次に、暗号装置15から自端末宛の鍵探索
パケット54を受信した端末Cは、鍵探索パケット54
のデータ部26を鍵探索応答パケット55のデータ部2
6にコピーする。そして、図18に示す鍵探索応答パケ
ット55を暗号装置15経由暗号装置13宛てに送信す
る。ただし、鍵探索応答パケット55のヘッダ21には
パケット種別に鍵探索応答パケットを、送信元に端末C
のアドレス、宛先に暗号装置13のアドレスを設定し送
信する。
【0018】暗号装置15は、ローカルポートから鍵探
索応答パケット55を受信すると(図14のステップS
1)、自分自身の暗号鍵のIDである1と同じ暗号鍵I
Dが鍵探索応答パケット55のローカルポート暗号鍵情
報24に設定されているかどうか検索する(ステップS
2)。本例の場合、暗号装置15の設定したIDである
2が鍵探索応答パケット55のローカルポート暗号鍵情
報24に設定されているので、暗号装置15は、図17
の暗号鍵テーブル85に端末B−端末C間の通信データ
61をIDが2の暗号鍵で暗号/復号することを登録し
(ステップS3)、通信データバッファに送信すべき送
信データ61がなく(ステップS4)、鍵探索応答パケ
ット55のヘッダ21の宛先アドレスが自暗号装置15
ではないので(ステップS6)、受信した鍵探索応答パ
ケット55を暗号装置14に中継する。(ステップS
8)。
【0019】以下、同様に図14のフローチャートに従
うと暗号装置14は、ローカルポートから鍵探索応答パ
ケット55を受信すると、鍵探索応答パケット55のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し、IDが3の鍵を得て自身の暗号鍵テーブ
ル84に、端末B−端末C間の通信データを、IDが3
の暗号鍵で暗号/復号することを登録し、鍵探索応答パ
ケット55を暗号装置12に中継する。
【0020】また、暗号装置12は、パブリックポート
から鍵探索応答パケット55を受信すると、自分自身の
暗号鍵のIDである3と同じ暗号鍵IDが鍵探索応答パ
ケット55のパブリックポート暗号鍵情報25に設定さ
れているかどうか探索し、ID3の鍵が同一なので、自
身の暗号鍵テーブル82に、端末B−端末C間の通信デ
ータを、IDが3の暗号鍵で暗号/復号することを登録
し、暗号装置13に中継する。暗号装置13は、パブリ
ックポートから鍵探索応答パケット55を受信すると、
自分自身の暗号鍵のIDである1または2と同じ暗号鍵
IDが鍵探索応答パケット55のパブリックポート暗号
鍵情報25に設定されている暗号鍵のIDを検索し、I
D2の鍵が同一なので、自身の暗号鍵テーブル83に、
端末B−端末C間の通信データを、IDが2の暗号鍵で
暗号/復号することを登録する。
【0021】続いて、暗号装置13は、通信データバッ
ファ(図示せず)に格納しておいたローカルポートから
の通信データ61を暗号鍵テーブル83の内容に従い、
暗号鍵2を用いて暗号化し、その暗号化した通信データ
62をパブリックポートから暗号装置12経由端末C宛
てに送信する。また、鍵探索応答パケット55のヘッダ
21内の宛先アドレスは暗号装置13であるので、鍵探
索応答パケット55は廃棄される。
【0022】暗号装置13で暗号化された通信データ6
2を、ローカルポートから受信した暗号装置12は暗号
鍵テーブル82の内容に従い、暗号鍵3により暗号化
し、暗号装置14で暗号鍵テーブル84の内容に従い、
パブリックポート経由暗号鍵3により復号し、暗号装置
15では暗号鍵テーブル85の内容に従い、パブリック
ポートからの通信データを暗号鍵2により復号し、ロー
カルポート経由端末Cへ達する。
【0023】端末Cから端末Bへの通信データ63は、
暗号装置15で暗号鍵テーブル85の内容に従い、ロー
カルポートからの通信データ63を暗号鍵2により暗号
化され、暗号装置14で暗号鍵テーブル84の内容に従
い、ローカルポートからの通信データ63を暗号鍵3に
より暗号化され、暗号装置12では暗号鍵テーブル82
の内容に従い、パブリックポートからの通信データ63
を暗号鍵3により復号されて、暗号装置13では暗号鍵
テーブル83の内容に従い、パブリックポートからの通
信データ63を暗号鍵2により復号されてローカルポー
ト経由端末Bへ達する。
【0024】
【発明が解決しようとする課題】従来の暗号通信システ
ムは以上のように構成されているので、暗号鍵テーブル
に登録された端末ペア間の暗号通信が可能になるが、同
一の暗号鍵による暗号通信でも特定の属性を持った端末
との通信を不許可にすることが容易でない。例えば、サ
ーバ/クライアントの構成では、サーバとクライアント
間の通信のみ許可し、それ以外のサーバとサーバ間、ク
ライアントとクライアント間の不必要な通信を禁止した
方がセキュリティ強度は高まる。また、不必要なアプリ
ケーションを含む全てのアプリケーションの通信が許可
されてしまい、セキュリティ強度を弱めていた。また、
アプリケーションの通信開始時のコネクション方向には
制限が無く、通信を実施する二つの端末の両方から通信
を開始可能であり、コネクション方向に制限を加えられ
ずセキュリティ強度を弱めていた。
【0025】また、従来例の図22の端末A、B,Cを
収容するネットワークの構成例において、端末Aから端
末Bへの正規の手続きでアクセスし、さらに端末Aから
端末Bを経由して端末Cへアクセス可能となる。これら
の操作を可能とするアプリケーションの例としては、TC
P/IP上でのtelnetやrloginプロトコル等がある。端末C
へのアクセスに対しては、パスワードにより保護されて
いるが、端末Aのユーザが不正な何らかの手段により端
末Cのパスワードを知り得ても、本来、端末Aから端末
Cへのアクセスは、暗号装置11の保持する暗号鍵1と
暗号装置15が保持する暗号鍵2が異なりアクセスが禁
止されているが、端末Bを経由することにより可能とな
る。また、端末Aのユーザが端末Cのパスワードを知ら
なくとも、端末Bを経由して端末Cへのパスワードを一
致するまで不正アクセスを試みることにより攻撃されセ
キュリティ上、不正アクセスを許しセキュリティを弱め
るという問題があった。
【0026】この発明は上記のような問題点を解消する
ためになされたもので、鍵探索で登録した暗号鍵テーブ
ルを用いた暗号通信におけるセキュリティ強度を上げる
ことを目的とする。また、鍵探索の正規手順でアクセス
可能な端末を経由し、直接アクセスを禁止されている別
の端末へは暗号通信でアクセスを禁止にする不正アクセ
ス防止手段を実現することを目的にする。
【0027】
【課題を解決するための手段】第1の発明に係わる暗号
通信システムは、通信ネットワークに収容された通信端
末間を暗号装置が中継して暗号通信を行う暗号通信シス
テムにおいて、通信データを中継する中継経路上の暗号
装置は、中継する通信データの送信元端末と宛先端末の
組み合わせ(以下端末ペアと称す)に対応する暗号鍵情
報が前記暗号装置の暗号鍵テーブルに登録されていない
場合、暗号鍵情報と前記暗号装置内での暗号鍵の属性を
示すサーバクライアントモードを収集するための鍵探索
パケットが前記中継経路上の各暗号装置自身の暗号情報
とサーバクライアントモードを収集し、その収集した暗
号情報とサーバクライアントモードを鍵探索応答パケッ
トが前記中継経路上の前記各暗号装置に通知し、通知を
受けた前記各暗号装置は、収集した前記暗号鍵情報とサ
ーバクライアントモードに基づいて、前記端末ペアとサ
ーバクライアントモードに対応して通信データを、暗号
化するか、復号するか、透過中継するか、廃棄するか、
いずれの処理を行うかを指定する暗号鍵情報を前記暗号
鍵テーブルに登録し、その端末ペアからの通信データを
中継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵
情報に基づいて通信データを処理するものである。
【0028】第2の発明に係わる暗号通信システムは、
通信ネットワークに収容された通信端末間を暗号装置が
中継して暗号通信を行う暗号通信システムにおいて、通
信データを中継する中継経路上の暗号装置は、中継する
通信データの送信元端末と宛先端末の組み合わせ(以下
端末ペアと称す)に対応する暗号鍵情報が前記暗号装置
の暗号鍵テーブルに登録されていない場合、暗号鍵情報
を収集するための鍵探索パケットが前記中継経路上の各
暗号装置自身の暗号情報を収集し、その収集した暗号情
報を鍵探索応答パケットが前記中継経路上の前記各暗号
装置に通知し、通知を受けた前記各暗号装置は、収集し
た前記暗号鍵情報に基づいて、前記端末ペアに対応して
通信データを、暗号化するか、復号するか、透過中継す
るか、廃棄するか、いずれの処理を行うかを指定する暗
号鍵情報を前記暗号鍵テーブルに登録し、その端末ペア
からの通信データを中継する前記各暗号装置は前記暗号
鍵テーブルの暗号鍵情報と通信データを処理し、前記暗
号鍵テーブルの暗号鍵情報より暗号化かまたは、復号な
らば、前記暗号装置内での暗号鍵と組みを成すアプリケ
ーション種別情報と通信データ内のアプリケーション種
別が一致すれば、通信データを暗号化かまたは、復号
し、前記暗号装置内での暗号鍵と組みを成すアプリケー
ション種別情報と通信データ内のアプリケーション種別
が一致しなければ、通信データを廃棄する。
【0029】第3の発明に係わる暗号通信システムは、
通信ネットワークに収容された通信端末間を暗号装置が
中継して暗号通信を行う暗号通信システムにおいて、通
信データを中継する中継経路上の暗号装置は、中継する
通信データの送信元端末と宛先端末の組み合わせ(以下
端末ペアと称す)に対応する暗号鍵情報が前記暗号装置
の暗号鍵テーブルに登録されていない場合、暗号鍵情報
を収集するための鍵探索パケットが前記中継経路上の各
暗号装置自身の暗号情報を収集し、その収集した暗号情
報を鍵探索応答パケットが前記中継経路上の前記各暗号
装置に通知し、通知を受けた前記各暗号装置は、収集し
た前記暗号鍵情報に基づいて、前記端末ペアに対応して
通信データを、暗号化するか、復号するか、透過中継す
るか、廃棄するか、いずれの処理を行うかを指定する暗
号鍵情報を前記暗号鍵テーブルに登録し、その端末ペア
からの通信データを中継する前記各暗号装置は前記暗号
鍵テーブルの暗号鍵情報と通信データを処理し、前記暗
号鍵テーブルの暗号鍵情報より暗号化かまたは、復号な
らば、前記暗号装置内での暗号鍵と組みを成す方向情報
がBOTHならば、通信データを暗号化かまたは、復号し、
前記暗号装置内での暗号鍵と組みを成す方向情報がOUT
かつローカルポートから通信データを受信したならば、
通信データを暗号化し、前記暗号装置内での暗号鍵と組
みを成す方向情報がINかつクローバルポートから通信デ
ータを受信したならば、通信データを復号し、通信デー
タが上記どの場合にも合致しないならば、通信データを
廃棄するものである。
【0030】
【発明の実施の形態】実施の形態1.本実施の形態は暗
号装置が通信相手の暗号鍵を登録していない場合、自暗
号装置と各中継暗号装置が通信に先立ち暗号鍵とサーバ
かクラウアントの識別子を学習し、同一暗号鍵を持つサ
ーバとクラウアントとのデータ通信を許可するものであ
る。図1は、この発明を構成する暗号装置の一例であ
る。図において、1は学習機能付き暗号装置、2は通信
データを暗号/復号する暗号/復号処理部、3は通信デ
ータを透過的に中継する透過中継処理部、4は通信デー
タを廃棄する廃棄処理部、8は通信データの処理方法を
示す暗号鍵テーブルで、通信データの宛先端末、送信元
端末のペア毎に通信データの処理方法を登録する。
【0031】通信データの処理方法には、暗号/復号処
理、透過中継処理、廃棄処理の3種類があり、暗号/復
号の場合は、暗号/復号に使用する暗号鍵のIDが暗号
鍵テーブル8に設定され、透過中継処理、廃棄処理の場
合は、それぞれの処理方法が暗号鍵テーブル8に登録さ
れる。6は暗号鍵テーブル8の自動学習処理部で、受信
した通信データの送信元端末と宛先端末のペアに対応し
て暗号鍵テーブル8に処理方法が登録していなかった場
合に自動学習処理が起動される。5はパブリックポート
で、7はローカルポートである。これらのポートは暗号
装置が通信データを暗号化するのか復号するのかを識別
するもので、暗号/復号処理の指定があった場合、暗号
装置は、パブリックポート5から受信した通信データを
復号し、ローカルポート7に送信する。また、ローカル
ポート7から受信した通信データを暗号化し、パブリッ
クポート5に送信する。9、10は送受信処理部で、通
信データの受信処理、送信処理を実施する。
【0032】次に、本発明の上記暗号装置を用いた暗号
鍵学習機能を持つ暗号通信システムについて説明する。
図2は、鍵探索パケットおよび鍵探索応答パケットのフ
ォーマットで、鍵探索パケットと鍵探索応答パケット
は、ECHOパケット、つまり、要求パケットを受信し
た通信端末が、データ部をコピーした応答パケットを、
要求パケットの送信元の通信端末へ返す特徴を持つもの
であり、 例えばTCP/IPプロトコルにおけるIC
MP ECHOを適用し、ICMP ECHO REQU
ESTを鍵探索パケット、ICMP ECHO REPL
Yを鍵探索応答パケットとすることが考えられる。
【0033】図2において、21はヘッダで、パケット
種別、パケットの宛先アドレス、送信元アドレス、など
を含む。22は暗号装置1が受信した通信データの送信
元端末アドレス、23は暗号装置1が受信した通信デー
タの宛先端末アドレスである。27は暗号鍵情報ブロッ
クで、1暗号装置分の情報が格納され、暗号装置アドレ
ス28、暗号鍵ID−SCモード設定個数29、暗号鍵
ID−SCモード情報30から構成される。31は暗号
鍵ID−SCモードで、暗号鍵ID−SCモード情報3
0は複数の暗号鍵ID−SCモード31から構成され
る。32は暗号鍵ID、33はサーバクライアントモー
ドで、暗号鍵ID−SCモード31は暗号鍵ID32と
サーバクライアントモード33から構成される。24は
ローカルポート暗号鍵情報で、1個又は複数個の暗号鍵
情報ブロック27から構成される。
【0034】鍵探索パケットをローカルポート7から受
信した暗号装置1は、自身のアドレスを暗号装置アドレ
ス28に、自身の持つ暗号鍵のIDとサーバクライアン
トモードを暗号鍵ID−SCモード情報30に、暗号鍵
ID−SCモード31の個数を暗号鍵ID−SCモード
設定個数29に設定した暗号鍵情報ブロック27を作成
し、それをローカルポート暗号鍵情報24に設定する。
25はパブリックポート暗号鍵情報で、ローカル暗号鍵
情報24と同様に、1個又は複数個の暗号鍵情報ブロッ
ク27から構成される。鍵探索パケットをパブリックポ
ート5から受信した暗号装置1は、自身のアドレスを暗
号装置アドレス28に、自身の持つ暗号鍵のIDとサー
バクライアントモードを暗号鍵ID−SCモード情報3
0に、暗号鍵ID−SCモード31の個数を暗号鍵ID
−SCモード設定個数29に設定した暗号鍵情報ブロッ
ク27を作成し、それをパブリックポート暗号鍵情報2
5に設定する。
【0035】尚、ローカルポート暗号鍵情報24、パブ
リックポート暗号鍵情報25へは、鍵探索パケットを受
信した暗号装置の順に、前へつめて暗号鍵情報ブロック
27が設定される。26は鍵探索パケットおよび鍵探索
応答パケットのデ−タ部で、送信元端末アドレス22、
宛先端末アドレス23、ローカルポート暗号鍵情報24
およびパブリックポート暗号鍵情報25から構成され
る。
【0036】図3は端末A、B,C,Dを収容するネッ
トワークの構成例を示すもので、暗号装置11はIDが
1の、暗号装置12はIDが3の、暗号装置13はID
が1と2の、暗号装置14はIDが3の、暗号装置15
はIDが2の、暗号装置16はIDが2の暗号鍵を保有
しており、暗号復号時にはそれぞれのIDに対応した暗
号鍵を使用する。即ち、各暗号装置に割り当てる暗号鍵
は、あらかじめ配送して登録されており、各暗号装置
は、自身の持つ暗号鍵の暗号鍵IDを内部に一つまたは
複数個保持する。さらに、暗号装置11はID1に対し
てサーバクライアントモードがクライアントの設定、暗
号装置12はID3に対してサーバクライアントモード
がサーバの設定、暗号装置13はID1に対してサーバ
クライアントモードがサーバ、ID2に対してサーバク
ライアントモードがクライアントの設定、暗号装置14
はID3に対してサーバクライアントモードがクライア
ントの設定、暗号装置15はID2に対してサーバクラ
イアントモードがクライアントの設定、暗号装置16は
ID2に対してサーバクライアントモードがサーバの設
定を保持している。
【0037】図中の暗号鍵の末尾の−Sはサーバ、−C
はクライアントを示す。なお、各暗号装置はサーバとク
ライアントまたはクライアントとサーバ間は通信を許可
し、サーバ相互またはクライアント相互は通信を許可し
ない。即ち、サーバクライアントモードが不一致なら通
信を許可し、一致したら通信を許可しない。また初期の
時点では各装置内の暗号鍵テーブル8には、鍵情報がな
にも登録されていないものとする。なお、図3中のLポ
ートは、ローカルポート、Pポートはパブリックポート
を示す。また、図3の暗号装置11のパブリックポート
5、暗号装置12のパブリックポート5、暗号装置14
のパブリックポート5と暗号装置16のパブリックポー
ト5が接続されている。他は、ローカルポート7に対し
パブリックポート5が接続されている。
【0038】図4は、図3における端末Aから端末Bへ
の通信が実施される際に、暗号鍵テーブルを学習するた
めに実施される鍵探索パケットのシーケンスを示したも
のである。51〜53は、暗号装置11から送信される
鍵探索パケット、55は、端末Bから送信される鍵探索
応答パケット、61は、端末Aから送信された平文の通
信データ、62は通信データ61のデータ部を暗号化し
た通信データである。81は暗号装置11の暗号鍵テー
ブルで、通信端末A−端末Bは処理方法が暗号/復号で
暗号鍵IDが1であることを示す。82は暗号装置12
の暗号鍵テーブルで、通信端末A−端末Bは処理方法が
透過であることを示す。83は暗号装置13の暗号鍵テ
ーブルで、通信端末A−端末Bは処理方法が暗号/復号
で暗号鍵IDが1であることを示す。図5は暗号装置が
鍵探索応答パケットを受信したときの処理フローチャー
トである。
【0039】次に端末Aから端末Bへ通信する際の、暗
号鍵テーブルの学習処理について示す。暗号鍵テーブル
81〜83に処理方法が何も登録されていないものとす
る。図4において、端末Aが通信データ61を送信する
と、通信データ61を受信した暗号装置11は、自身の
暗号鍵テーブル81に端末A−端末B間のデータの処理
方法が登録されているか調べ登録されていないので、鍵
探索パケットのローカルポート暗号鍵情報24に自身の
暗号鍵のIDとサーバクライアントモード1−Cを設定
した鍵探索パケット51を送信する。ただし、鍵探索パ
ケット51のヘッダ21にはパケット種別に鍵探索パケ
ットを、鍵探索パケットの送信元に暗号装置11のアド
レスを、宛先に端末Bのアドレスを設定し、暗号装置1
2経由端末Bに送信する。
【0040】探索パケット51をパブリックポートから
受信した暗号装置12は、鍵探索パケット51のパブリ
ックポート暗号鍵情報25に自身の持つ暗号鍵のIDと
サーバクライアントモード3−Sを追加した鍵探索パケ
ット52を送信する。暗号装置13は、パブリックポー
トから受信した鍵探索パケット52のパブリックポート
暗号鍵情報25に自身の持つ暗号鍵のIDとサーバクラ
イアントモード1−Sと2−Cを追加した鍵探索パケッ
ト53を送信する。
【0041】次に、暗号装置13から自端末宛の鍵探索
パケット53を受信した端末Bは、鍵探索パケット53
のデータ部26を鍵探索応答パケット55のデータ部2
6にコピーする。そして、図6に示す鍵探索応答パケッ
ト55を暗号装置13経由暗号装置11宛てに送信す
る。ただし、鍵探索応答パケット55のヘッダ21には
パケット種別に鍵探索応答パケットを、送信元に端末B
のアドレス、宛先に暗号装置11のアドレスを設定し送
信する。
【0042】暗号装置13は、ローカルポート7から鍵
探索応答パケット55を受信すると(図5のステップS
1)、自分自身の暗号鍵のIDである1と同じ暗号鍵I
Dが鍵探索応答パケット55のローカルポート暗号鍵情
報24に設定されているかどうか検索する(ステップS
2)。本例の場合、暗号装置13の設定したIDである
1が鍵探索応答パケット55のローカルポート暗号鍵情
報24に設定されているので、設定されていたID1の
サーバクライアントモードが自分自身の暗号鍵のIDに
対応したサーバクライアントモードと一致するか調べ
(ステップS17)、調べた結果は不一致で通信が許可
され、暗号装置13は、図4の暗号鍵テーブル83に端
末A−端末B間の通信データをIDが1の暗号鍵で暗号
/復号することを登録し(ステップS3)、通信データ
バッファに送信すべき送信データ61がなく(ステップ
S4)、鍵探索応答パケット55のヘッダ21の宛先ア
ドレスが自暗号装置13ではないので(ステップS
6)、受信した鍵探索応答パケット55を暗号装置12
に中継する。(ステップS8)。
【0043】以下、同様に図5のフローチャートに従う
と暗号装置12は、ローカルポート7から鍵探索応答パ
ケット55を受信すると、鍵探索応答パケット55のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し、暗号装置12が保持する暗号鍵IDがな
いので、ローカルポート暗号鍵情報24とパブリックポ
ート暗号鍵情報25に一致する鍵IDがあるか調べ、暗
号鍵ID1が一致するので、自身の暗号鍵テーブル82
に、端末A−端末B間の通信データを透過することを登
録し、鍵探索応答パケット55を暗号装置11に中継す
る。
【0044】暗号装置11は、パブリックポート5から
鍵探索応答パケット55を受信すると、自分自身の暗号
鍵のIDである1と同じ暗号鍵IDが鍵探索応答パケッ
ト55のパブリックポート暗号鍵情報25に設定されて
いる暗号鍵のIDを検索し、IDが1で一致しサーバク
ライアントモードが不一致で通信が許可され、自身の暗
号鍵テーブル81に、端末A−端末B間の通信データ
を、IDが1の暗号鍵で暗号/復号することを登録す
る。
【0045】続いて、暗号装置11は、通信データバッ
ファ(図示せず)に格納しておいたローカルポート7か
らの通信データ61を暗号鍵テーブル81の内容に従
い、暗号/復号処理部2で、暗号鍵1を用いて暗号化
し、その暗号化した通信データ62をパブリックポート
5から暗号装置12、暗号装置13経由端末B宛てに送
信する。また、鍵探索応答パケット55のヘッダ21内
の宛先アドレスは、暗号装置11であるので、鍵探索応
答パケット55を廃棄する。
【0046】暗号装置11で暗号化された通信データ6
2を、パブリックポート5から受信した暗号装置12は
暗号鍵テーブル82の内容に従い、透過中継し、暗号装
置13では暗号鍵テーブル83の内容に従い、パブリッ
クポート5から受信した通信データを暗号鍵1により復
号し、ローカルポート7経由端末Bへ達する。
【0047】端末Bから端末Aへの通信データ63は、
暗号装置13で暗号鍵テーブル83の内容に従い、ロー
カルポート7からの通信データ63を暗号鍵1により暗
号化され、暗号装置12で暗号鍵テーブル82の内容に
従い、ローカルポート7からの通信データ63を透過中
継し、暗号装置11では暗号鍵テーブル81の内容に従
い、パブリックポート5からの通信データ63を暗号鍵
1により復号されてローカルポート7経由端末Aへ達す
る。
【0048】図7は、図3における端末Bから端末Cへ
の通信が実施される際に、暗号鍵テーブルを学習するた
めに実施される鍵探索パケットのシーケンスを示したも
のである。61は、端末Bから送信された平文の通信デ
ータ、51〜54は、暗号装置13から送信される鍵探
索パケット、55は、端末Cから送信される鍵探索応答
パケットである。82は暗号装置12の暗号鍵テーブル
で、通信端末B−端末Cは処理方法が暗号/復号で暗号
鍵のIDが3であることを示す。83は暗号装置13の
暗号鍵テーブルで、通信端末B−端末Cは処理方法が廃
棄であることを示す。84は暗号装置14の暗号鍵テー
ブルで、通信端末B−端末Cは処理方法が暗号/復号で
暗号鍵のIDが3であることを示す。85は暗号装置1
5の暗号鍵テーブルで、通信端末B−端末Cは処理方法
が廃棄であることを示す。
【0049】次に端末Bから端末Cへ通信する際の、暗
号鍵テーブルの学習処理について示す。暗号鍵テーブル
82〜85に処理方法が何も登録されていないものとす
る。
【0050】端末Bが通信データ61を送信すると、通
信データ61を受信した暗号装置13は、自身の暗号鍵
テーブル83に端末B−端末C間のデータの処理方法が
登録されているか調べ登録されていないので、鍵探索パ
ケットのローカルポート暗号鍵情報24に自身の暗号鍵
のIDとサーバクライアントモード1−Sと2−Cを設
定した鍵探索パケット51を送信する。ただし、鍵探索
パケット51のヘッダ21にはパケット種別に鍵探索パ
ケットを、鍵探索パケットの送信元に暗号装置13のア
ドレスを、宛先に端末Cのアドレスを設定し、暗号装置
12経由端末Cに送信する。
【0051】探索パケット51をローカルポートから受
信した暗号装置12は、鍵探索パケット51のローカル
ポート暗号鍵情報24に自身の持つ暗号鍵のIDとサー
バクライアントモード3−Sを追加した鍵探索パケット
52を送信する。暗号装置14は、パブリックポートか
ら受信した鍵探索パケット52のパブリックポート暗号
鍵情報25に自身の持つ暗号鍵のIDとサーバクライア
ントモード3−Cを追加した鍵探索パケット53を送信
する。暗号装置15は、パブリックポートから受信した
鍵探索パケット53のパブリックポート暗号鍵情報25
に自身の持つ暗号鍵のIDとサーバクライアントモード
2−Cを追加した鍵探索パケット54を送信する。
【0052】次に、暗号装置15から自端末宛の鍵探索
パケット54を受信した端末Cは、鍵探索パケット54
のデータ部26を鍵探索応答パケット55のデータ部2
6にコピーする。そして、図8に示す鍵探索応答パケッ
ト55を暗号装置15経由暗号装置13宛てに送信す
る。ただし、鍵探索応答パケット55のヘッダ21には
パケット種別に鍵探索応答パケットを、送信元に端末C
のアドレス、宛先に暗号装置13のアドレスを設定し送
信する。
【0053】暗号装置15は、ローカルポート7から鍵
探索応答パケット55を受信すると(図5のステップS
1)、自分自身の暗号鍵のIDである1と3と同じ暗号
鍵IDが鍵探索応答パケット55のローカルポート暗号
鍵情報24に設定されているかどうか検索する(ステッ
プS2)。本例の場合、暗号装置15の設定したIDで
ある2が鍵探索応答パケット55のローカルポート暗号
鍵情報24に設定されているので、設定されていたID
2のサーバクライアントモードが自分自身の暗号鍵のI
Dに対応したサーバクライアントモードと一致するか調
べ(ステップS17)、調べた結果は共にクライアント
モードで一致するので通信が許可されず暗号装置15
は、図7の暗号鍵テーブル85に端末B−端末C間の通
信データを廃棄することを登録し(ステップS18)、
通信データバッファに送信すべき送信データ61がなく
(ステップS4)、鍵探索応答パケット55のヘッダ2
1の宛先アドレスが自暗号装置15ではないので(ステ
ップS6)、受信した鍵探索応答パケット55を暗号装
置14に中継する。(ステップS8)。
【0054】以下、同様に図5のフローチャートに従う
と暗号装置14は、ローカルポート7から鍵探索応答パ
ケット55を受信すると、鍵探索応答パケット55のロ
ーカルポート暗号鍵情報24に設定されている暗号鍵の
IDを検索し、IDが3で一致しサーバクライアントモ
ードが不一致なので通信が許可され、自身の暗号鍵テー
ブル84に、端末B−端末C間の通信データを、IDが
3の暗号鍵で暗号/復号することを登録し、鍵探索応答
パケット55を暗号装置12に中継する。
【0055】また、暗号装置12は、パブリックポート
5から鍵探索応答パケット55を受信すると、自分自身
の暗号鍵のIDである3と同じ暗号鍵IDが鍵探索応答
パケット55のパブリックポート暗号鍵情報25に設定
されているかどうか探索し、IDが3で一致しサーバク
ライアントモードが不一致なので通信が許可され、自身
の暗号鍵テーブル82に、端末B−端末C間の通信デー
タを、IDが3の暗号鍵で暗号/復号することを登録
し、暗号装置13に中継する。暗号装置13は、パブリ
ックポート5から鍵探索応答パケット55を受信する
と、自分自身の暗号鍵のIDである1、2と同じ暗号鍵
IDが鍵探索応答パケット55のパブリックポート暗号
鍵情報25に設定されている暗号鍵のIDを検索し、I
Dが2で一致しサーバクライアントモードが一致するの
で通信は許可されず暗号装置13は、図7の暗号鍵テー
ブル83に端末B−端末C間の通信データを廃棄するこ
とを登録する。
【0056】続いて、暗号装置13は、通信データバッ
ファ(図示せず)に格納しておいたローカルポート7か
らの通信データ61を暗号鍵テーブル83の内容に従
い、暗号/復号処理部2で廃棄する。また、鍵探索応答
パケット55のヘッダ21内の宛先アドレスは、暗号装
置13であるので、鍵探索応答パケット55を廃棄す
る。
【0057】端末Cから端末B宛てのデータについて
は、暗号装置15はローカルポート7から受信した通信
データを暗号鍵テーブル85の内容に従い、暗号/復号
処理部2で廃棄する。
【0058】端末Bと端末D間の通信は、図3におい
て、暗号装置13と暗号装置16において暗号鍵ID2
に対応したサーバクライアントモードが、サーバとクラ
イアントの設定で不一致なので通信が許可され、端末A
と端末B間の通信と同様に通信が可能である。
【0059】端末Cと端末D間の通信は、暗号装置15
と暗号装置16において暗号鍵ID2に対応したサーバ
クライアントモードが、サーバとクライアントの設定で
不一致なので通信が許可され、端末Aと端末B間の通信
と同様に通信が可能である。
【0060】端末Aから端末Bを経由して端末Cへアク
セスする際の処理方法について説明する。端末Aから端
末Bへのアクセスは、図4で示したように、前記の各暗
号装置の暗号鍵テーブルの学習処理により、端末Aから
端末Bへの通信データは、暗号装置11で暗号鍵テーブ
ル81の内容に従い、ローカルポート7からの通信デー
タを暗号鍵1により暗号化され、暗号装置12で暗号鍵
テーブル82の内容に従い、ローカルポート7からの通
信データ63を透過中継し、暗号装置13では暗号鍵テ
ーブル83の内容に従い、パブリックポート5からの通
信データを暗号鍵1により復号されてローカルポート7
経由端末Bへ達する。端末Aから端末Bにアクセス後、
さらに端末Bを経由して端末Cのアクセスは、図7で示
したように、前記の各暗号装置の暗号鍵テーブルの学習
処理により、暗号装置13で暗号鍵テーブル83の内容
に従い、端末Bから端末Cへの通信データは、暗号装置
13で廃棄される。従って、端末Aから端末Bを経由し
て端末Cへアクセスすることは、禁止される。
【0061】実施の形態2.本実施の形態は暗号装置が
通信相手の暗号鍵を登録していない場合、暗号装置が通
信に先立ち暗号鍵を各中継暗号装置が学習し、同一暗号
鍵と同一のアプリケーションの識別子を持つ暗号装置間
でデータ通信を許可するものである。図1は、この発明
を構成する暗号装置の一例であり実施の形態1と同じで
説明を省く。
【0062】図9は、鍵探索パケットおよび鍵探索応答
パケットのフォーマットである。鍵探索パケットと鍵探
索応答パケットは、ECHOパケット、つまり、要求パ
ケットを受信した通信端末が、データ部をコピーした応
答パケットを、要求パケットの送信元の通信端末へ返す
特徴を持つものであり、 例えばTCP/IPプロトコ
ルにおけるICMP ECHOを適用し、ICMP EC
HO REQUESTを鍵探索パケット、ICMP EC
HO REPLYを鍵探索応答パケットとすることが考
えられる。図9において、21はヘッダで、パケット種
別、パケットの宛先アドレス、送信元アドレス、などを
含む。22は暗号装置1が受信した通信データの送信元
端末アドレス、23は暗号装置1が受信した通信データ
の宛先端末アドレスである。
【0063】27は暗号鍵情報ブロックで、1暗号装置
分の情報が格納され、暗号装置アドレス28、暗号鍵I
D設定個数34、暗号鍵ID情報35から構成され、暗
号鍵ID情報35は暗号鍵ID32から構成される。2
4はローカルポート暗号鍵情報で、1個又は複数個の暗
号鍵情報ブロック27から構成される。鍵探索パケット
をローカルポート7から受信した暗号装置1は、自身の
アドレスを暗号装置アドレス28に、自身の持つ暗号鍵
のIDを暗号鍵ID情報35に、暗号鍵IDの個数を暗
号鍵ID設定個数34に設定した暗号鍵情報ブロック2
7を作成し、それをローカルポート暗号鍵情報24に設
定する。
【0064】25はパブリックポート暗号鍵情報で、ロ
ーカル暗号鍵情報24と同様に、1個又は複数個の暗号
鍵情報ブロック27から構成される。鍵探索パケットを
パブリックポート5から受信した暗号装置1は、自身の
アドレスを暗号装置アドレス28に、自身の持つ暗号鍵
のIDを暗号鍵ID情報35に、暗号鍵IDの個数を暗
号鍵ID設定個数34に設定した暗号鍵情報ブロック2
7を作成し、それをパブリックポート暗号鍵情報25に
設定する。尚、ローカルポート暗号鍵情報24、パブリ
ックポート暗号鍵情報25へは、鍵探索パケットを受信
した暗号装置の順に、前へつめて暗号鍵情報ブロック2
7が設定される。26は鍵探索パケットおよび鍵探索応
答パケットのデ−タ部で、送信元端末アドレス22、宛
先端末アドレス23、ローカルポート暗号鍵情報24お
よびパブリックポート暗号鍵情報25から構成される。
【0065】図10は端末A、B,Cを収容するネット
ワークの構成例を示すもので、暗号装置11はIDが1
の、暗号装置12はIDが3の、暗号装置13はIDが
1と2の、暗号装置14はIDが3の、暗号装置15は
IDが2の暗号鍵を保有しており、暗号復号時にはそれ
ぞれのIDに対応した暗号鍵を使用する。即ち、各暗号
装置に割り当てる暗号鍵は、あらかじめ配送して登録さ
れており、各暗号装置は、自身の持つ暗号鍵の暗号鍵I
Dを内部に一つまたは複数個保持する。さらに、暗号装
置11はID1に対してアプリケーション種別が10と
20の設定、暗号装置12はID3に対してアプリケー
ション種別が10と20と30の設定、暗号装置13は
ID1に対してアプリケーション種別が10と20、I
D2に対してアプリケーション種別が30、暗号装置1
4はID3に対してアプリケーション種別が10と20
と30の設定、暗号装置15はID2に対してアプリケ
ーション種別が30の設定を保持している。また初期の
時点では各装置内の暗号鍵テーブル8には、鍵情報がな
にも登録されていないものとする。
【0066】なお、図中のLポートは、ローカルポー
ト、Pポートはパブリックポートを示す。また、図10
の暗号装置11のパブリックポート5、暗号装置12の
パブリックポート5と暗号装置14のパブリックポート
5が接続されている。他は、ローカルポート7に対しパ
ブリックポート5が接続されている。図11は、図10
における暗号装置11〜15が保有している暗号鍵ID
とアプリケーション種別の組み合わせを図示した表であ
る。
【0067】図12は、端末間で通信している通信デー
タのフレームフォーマットである。図において141は
ヘッダ、142はデータ部、143は宛先アドレス、1
44は送信元アドレス、145はアプリケーション種別
である。アプリケーション種別は例えばTCP/IPプ
ロトコルでは、TCPであればポート番号、UDPであ
ればポート番号に相当し、アプリケーションを識別する
ものである。次に、暗号装置が通信データを受信したと
きの動作を説明する。暗号装置は暗号鍵テーブルに端末
ペアに対する処理方法が登録されている場合、通信デー
タを受信したとき図15に示す通信データ処理を行う。
また、端末ペアに対する処理方法が登録されていない場
合、通信データを受信した暗号装置はその通信データを
一時格納しておき、鍵探索パケットを送出し、その鍵探
索パケットに対する鍵探索応答パケットを得て、暗号鍵
テーブルに端末ペアに対する処理方法を図14に従い登
録した後、図14に示すステップS5において、図15
の通信データ処理が一時格納しておいた通信データを登
録した処理方法に従って処理する。なお、図14は鍵探
索応答パケットの受信処理で、図15は通信データ処理
であり、これらの動作を順次以下に説明する。
【0068】次に端末Aから端末Bへアプリケーション
種別が20である通信データが通信する際の、暗号鍵テ
ーブルの学習処理について示す。図13は、図10にお
ける端末Aから端末Bへの通信が実施される際に、暗号
鍵テーブルを学習するために実施される鍵探索パケット
のシーケンスを示したものである。図13において、6
1は、端末Aから送信された平文の通信データ、51〜
53は、暗号装置11から送信される鍵探索パケット、
55は、端末Bから送信される鍵探索応答パケット、6
2は、暗号化された端末A−端末B間の通信データ、6
3は端末Bから端末Aへの通信データである。81は暗
号装置11の暗号鍵テーブルで、通信端末A−端末Bは
処理方法が暗号/復号で暗号鍵のIDが1であることを
示す。82は暗号装置12の暗号鍵テーブルで、通信端
末A−端末Bは処理方法が暗号/復号で透過中継である
ことを示す。83は暗号装置13の暗号鍵テーブルで、
通信端末A−端末Bは処理方法が暗号/復号で暗号鍵の
IDが1であることを示す。
【0069】端末Aが通信データ61を送信すると、通
信データ61を受信した暗号装置11は、自身の暗号鍵
テーブル81に端末A−端末B間のデータの処理方法が
登録されているか調べ登録されていないので、鍵探索パ
ケットのローカルポート暗号鍵情報24に自身の暗号鍵
のID1を設定した鍵探索パケット51を送信する。た
だし、鍵探索パケット51のヘッダ21にはパケット種
別に鍵探索パケットを、鍵探索パケットの送信元に暗号
装置11のアドレスを、宛先に端末Bのアドレスを設定
し、暗号装置12経由端末Bに送信する。
【0070】探索パケット51をパブリックポートから
受信した暗号装置12は、鍵探索パケット51のパブリ
ックポート暗号鍵情報25に自身の持つ暗号鍵のID3
を追加した鍵探索パケット52を送信する。暗号装置1
3は、パブリックポートから受信した鍵探索パケット5
2のパブリックポート暗号鍵情報25に自身の持つ暗号
鍵のID1と2を追加した鍵探索パケット53を送信す
る。
【0071】次に、暗号装置13から自端末宛の鍵探索
パケット53を受信した端末Bは、鍵探索パケット53
のデータ部26を鍵探索応答パケット55のデータ部2
6にコピーする。そして、図16に示す鍵探索応答パケ
ット55を暗号装置13経由暗号装置11宛てに送信す
る。ただし、鍵探索応答パケット55のヘッダ21には
パケット種別に鍵探索応答パケットを、送信元に端末B
のアドレス、宛先に暗号装置11のアドレスを設定し送
信する。
【0072】暗号装置13は、ローカルポート7から鍵
探索応答パケット55を受信すると(図14のステップ
S1)、自分自身の暗号鍵のIDである1または2と同
じ暗号鍵IDが鍵探索応答パケット55のローカルポー
ト暗号鍵情報24に設定されているかどうか検索する
(ステップS2)。本例の場合、暗号装置11の設定し
たIDである1が鍵探索応答パケット55のローカルポ
ート暗号鍵情報24に設定されているので、暗号装置1
3は、図13の暗号鍵テーブル83に端末A−端末B間
の通信データ61をIDが1の暗号鍵で暗号/復号する
ことを登録し(ステップS3)、通信データバッファに
送信すべき送信データ61がなく(ステップS4)、鍵
探索応答パケット55のヘッダ21の宛先アドレスが自
暗号装置13ではないので(ステップS6)、受信した
鍵探索応答パケット55を暗号装置12に中継する。
(ステップS8)。
【0073】以下、同様に図14のフローチャートに従
うと暗号装置12は、ローカルポート7から鍵探索応答
パケット55を受信すると、鍵探索応答パケット55の
ローカルポート暗号鍵情報24に設定されている暗号鍵
のIDを検索し(ステップS2)、暗号装置12が保有
する鍵ID3と一致する鍵IDがないので、ローカルポ
ート暗号鍵情報24とパブリックポート暗号鍵情報25
に一致する鍵IDが存在するか探し(ステップS1
3)、鍵ID1が存在するので自身の暗号鍵テーブル8
2に、端末A−端末B間の通信データを、透過中継する
ことを登録し、鍵探索応答パケット55を暗号装置11
に中継する。
【0074】暗号装置11は、パブリックポート5から
鍵探索応答パケット55を受信すると、自分自身の暗号
鍵のIDである1と同じ暗号鍵IDが鍵探索応答パケッ
ト55のパブリックポート暗号鍵情報25に設定されて
いる暗号鍵のIDを検索し、ID1の鍵が同一なので、
自身の暗号鍵テーブル81に、端末A−端末B間の通信
データを、IDが1の暗号鍵で暗号/復号することを登
録する。
【0075】続いて、暗号装置11は、通信データバッ
ファ(図示せず)に格納しておいたローカルポート7か
らの通信データ61があるので、図14のステップ5に
おいて、図15の通信データ処理が登録された処理方法
で、通信データを処理する。例えば、暗号装置11は図
14のステップ5即ち、図15において、暗号鍵IDが
暗号鍵テーブル81に設定されているか調べる(ステッ
プS31)。既に学習が終了しているので端末Aから端
末Bへの通信データのアプリケーション種別145が、
暗号鍵IDと対をなすアプリケーションと一致している
か調べる(ステップS35)。本例ではアプリケーショ
ン種別が20であるので一致していて、ローカルポート
から通信データを受信したか調べる(ステップS3
6)。端末Aから送られローカルポートから受信した通
信データなのでIDが1の暗号鍵で暗号化し(ステップ
S37)、パブリックポートから暗号化した通信データ
を送信する(ステップS38)。また、鍵探索応答パケ
ット55のヘッダ21内の宛先アドレスは暗号装置11
であるので、鍵探索応答パケット55は廃棄される。
【0076】図13において、暗号装置11のパブリッ
クポートから送信された通信データは、暗号装置12、
暗号装置13を経て端末Bへ届く。この処理では各暗号
装置は図15に示したフローチャートに従い暗号鍵テー
ブルに登録された処理方法で通信データを処理する。本
例では通信データのアプリケーション種別が20であ
り、暗号装置12では透過中継し、暗号装置13ではI
Dが1の暗号鍵と対を成すアプリケーション種別の20
と一致するので、暗号装置13では通信データを復号す
る。
【0077】さらに暗号鍵テーブル81〜83に処理方
法が登録されている状態で端末Bから端末Aへアプリケ
ーション種別が20である通信データが通信する際の処
理について示す。端末Bから送信されたデータは、暗号
装置13、暗号装置12、暗号装置11を経て端末Aへ
届く。この処理では各暗号装置は図15に示したフロー
チャートに従い暗号鍵テーブルに登録された処理方法で
通信データを処理する。本例では通信データのアプリケ
ーション種別が20であり、暗号装置13ではIDが1
の暗号鍵と対を成すアプリケーション種別の20と一致
し、暗号装置12では透過中継し、暗号装置11ではI
Dが1の暗号鍵と対を成すアプリケーション種別の20
と一致するので、暗号装置13では通信データを暗号化
し、暗号装置12では通信データを透過中継し、暗号装
置11では通信データを復号する。
【0078】次に端末Bから端末Cへアプリケーション
種別が30である通信データが通信する際の、暗号鍵テ
ーブルの学習処理について示す。図17は、図10にお
ける端末Bから端末Cへの通信が実施される際に、暗号
鍵テーブルを学習するために実施される鍵探索パケット
のシーケンスを示したものである。図17において、6
1は、端末Bから送信された平文の通信データ、51〜
54は、暗号装置13から送信される鍵探索パケット、
55は、端末Cから送信される鍵探索応答パケット、6
2は、暗号化された端末B−端末C間の通信データ、6
3は端末Cから端末Bへの通信データである。82は暗
号装置12の暗号鍵テーブルで、通信端末B−端末Cは
処理方法が暗号/復号で暗号鍵のIDが3であることを
示す。83は暗号装置13の暗号鍵テーブルで、通信端
末B−端末Cは処理方法が暗号/復号で暗号鍵のIDが
2であることを示す。84は暗号装置14の暗号鍵テー
ブルで、通信端末B−端末Cは処理方法が暗号/復号で
暗号鍵のIDが3であることを示す。85は暗号装置1
5の暗号鍵テーブルで、通信端末B−端末Cは処理方法
が暗号/復号で暗号鍵のIDが2であることを示す。図
14は暗号装置が鍵探索応答パケットを受信したときの
処理フローチャートである。
【0079】次に端末Bから端末Cへ通信する際の、暗
号鍵テーブルの学習処理について示す。暗号鍵テーブル
82〜85に処理方法が何も登録されていないものとす
る。端末Bが通信データ61を送信すると、通信データ
61を受信した暗号装置13は、自身の暗号鍵テーブル
83に端末B−端末C間のデータの処理方法が登録され
ているか調べ登録されていないので、鍵探索パケットの
ローカルポート暗号鍵情報24に自身の暗号鍵のID
1、2を設定した鍵探索パケット51を送信する。ただ
し、鍵探索パケット51のヘッダ21にはパケット種別
に鍵探索パケットを、鍵探索パケットの送信元に暗号装
置13のアドレスを、宛先に端末Cのアドレスを設定
し、暗号装置12経由端末Cに送信する。
【0080】探索パケット51をローカルポートから受
信した暗号装置12は、鍵探索パケット51のローカル
ポート暗号鍵情報24に自身の持つ暗号鍵のID3を追
加した鍵探索パケット52を送信する。暗号装置14
は、パブリックポートから受信した鍵探索パケット52
のパブリックポート暗号鍵情報25に自身の持つ暗号鍵
のID3を追加した鍵探索パケット53を送信する。暗
号装置15は、パブリックポートから受信した鍵探索パ
ケット53のパブリックポート暗号鍵情報25に自身の
持つ暗号鍵のID2を追加した鍵探索パケット54を送
信する。
【0081】次に、暗号装置15から自端末宛の鍵探索
パケット54を受信した端末Cは、鍵探索パケット54
のデータ部26を鍵探索応答パケット55のデータ部2
6にコピーする。そして、図18に示す鍵探索応答パケ
ット55を暗号装置15経由暗号装置13宛てに送信す
る。ただし、鍵探索応答パケット55のヘッダ21には
パケット種別に鍵探索応答パケットを、送信元に端末C
のアドレス、宛先に暗号装置13のアドレスを設定し送
信する。
【0082】暗号装置15は、ローカルポート7から鍵
探索応答パケット55を受信すると(図14のステップ
S1)、自分自身の暗号鍵のIDである1と同じ暗号鍵
IDが鍵探索応答パケット55のローカルポート暗号鍵
情報24に設定されているかどうか検索する(ステップ
S2)。本例の場合、暗号装置13の設定したIDであ
る2が鍵探索応答パケット55のローカルポート暗号鍵
情報24に設定されているので、暗号装置15は、図1
7の暗号鍵テーブル85に端末B−端末C間の通信デー
タ61をIDが2の暗号鍵で暗号/復号することを登録
し(ステップS3)、通信データバッファに送信すべき
送信データ61がなく(ステップS4)、鍵探索応答パ
ケット55のヘッダ21の宛先アドレスが自暗号装置1
5ではないので(ステップS6)、受信した鍵探索応答
パケット55を暗号装置14に中継する。(ステップS
8)。
【0083】以下、同様に図14のフローチャートに従
うと暗号装置14は、ローカルポート7から鍵探索応答
パケット55を受信すると、鍵探索応答パケット55の
ローカルポート暗号鍵情報24に設定されている暗号鍵
のIDを検索し、IDが3の鍵を得て自身の暗号鍵テー
ブル84に、端末B−端末C間の通信データを、IDが
3の暗号鍵で暗号/復号することを登録し、鍵探索応答
パケット55を暗号装置12に中継する。
【0084】また、暗号装置12は、パブリックポート
5から鍵探索応答パケット55を受信すると、自分自身
の暗号鍵のIDである3と同じ暗号鍵IDが鍵探索応答
パケット55のパブリックポート暗号鍵情報25に設定
されているかどうか探索し、ID3の鍵が同一なので、
自身の暗号鍵テーブル82に、端末B−端末C間の通信
データを、IDが3の暗号鍵で暗号/復号することを登
録し、暗号装置13に中継する。暗号装置13は、パブ
リックポート5から鍵探索応答パケット55を受信する
と、自分自身の暗号鍵のIDである1または2と同じ暗
号鍵IDが鍵探索応答パケット55のパブリックポート
暗号鍵情報25に設定されている暗号鍵のIDを検索
し、ID2の鍵が同一なので、自身の暗号鍵テーブル8
3に、端末B−端末C間の通信データを、IDが2の暗
号鍵で暗号/復号することを登録する。
【0085】続いて、暗号装置13は、通信データバッ
ファ(図示せず)に格納しておいたローカルポート7か
らの通信データ61があるので、図14のステップ5に
おいて図15の通信データ処理が登録された処理方法
で、通信データを処理する。例えば、暗号装置13は図
14のステップ5即ち、図15において、暗号鍵IDが
暗号鍵テーブル83に設定されているか調べる(ステッ
プS31)。既に学習が終了しているので端末Bから端
末Cへの通信データのアプリケーション種別145が、
暗号鍵IDと対をなすアプリケーションと一致している
か調べる(ステップS35)。本例ではアプリケーショ
ン種別が30であるので一致していて、ローカルポート
から通信データを受信したか調べる(ステップS3
6)。端末Bから送られローカルポートから受信したデ
ータなのでIDが2の暗号鍵で暗号化し(ステップS3
7)、パブリックポートから暗号化したデータを送信す
る(ステップS38)。また、鍵探索応答パケット55
のヘッダ21内の宛先アドレスは暗号装置13であるの
で、鍵探索応答パケット55は廃棄される。
【0086】暗号装置13のパブリックポートから送信
された通信データは、暗号装置12、暗号装置14、暗
号装置15を経て端末Cへ届く。この処理では各暗号装
置は図15に示したフローチャートに従い暗号鍵テーブ
ルに登録された処理方法で通信データを処理する。本例
では通信データのアプリケーション種別が30であり、
暗号装置12ではIDが3の暗号鍵と対を成すアプリケ
ーション種別の30と一致し、暗号装置14ではIDが
3の暗号鍵と対を成すアプリケーション種別の30と一
致し、暗号装置15ではIDが2の暗号鍵と対を成すア
プリケーション種別の30と一致するので、暗号装置1
2では通信データを暗号化し暗号装置14と暗号装置1
5では通信データを復号する。
【0087】さらに暗号鍵テーブル82〜85に処理方
法が登録されている状態で端末Cから端末Bへアプリケ
ーション種別が30である通信データが通信する際の処
理について示す。端末Cから送信されたデータは、暗号
装置15、暗号装置14、暗号装置13、暗号装置12
を経て端末Bへ届く。この処理では各暗号装置は図15
に示したフローチャートに従い暗号鍵テーブルに登録さ
れた処理方法で通信データを処理する。本例では通信デ
ータのアプリケーション種別が30であり、暗号装置1
5ではIDが2の暗号鍵と対を成すアプリケーション種
別の30と一致し、暗号装置14ではIDが3の暗号鍵
と対を成すアプリケーション種別の30と一致し、暗号
装置12ではIDが3の暗号鍵と対を成すアプリケーシ
ョン種別の30と一致し、暗号装置13ではIDが2の
暗号鍵と対を成すアプリケーション種別の30と一致す
るので、暗号装置15と暗号装置14では通信データを
暗号化し暗号装置12と暗号装置13では通信データを
復号する。
【0088】さらに暗号鍵テーブル82〜85に処理方
法が登録されている状態で端末Bから端末Cへアプリケ
ーション種別が20である通信データが通信する際の処
理について示す。暗号装置13が通信データを受信した
時は暗号鍵テーブル83に登録された処理方法で処理す
る。処理方法は図15に示す。暗号装置13は図15に
おいて、端末Bから通信データを受信すると、 暗号鍵
IDが暗号鍵テーブル83に設定されているか調べる
(ステップS31)。既に学習が終了しているので端末
Bから端末Cへの通信データのアプリケーション種別1
45が、暗号鍵IDと対をなすアプリケーションと一致
しているか調べる(ステップS35)。本例ではアプリ
ケーション種別が20であるので一致していないので通
信データを廃棄する(ステップS41)。
【0089】同様に端末Cから端末B宛てのアプリケー
ション種別が20である通信データは、暗号装置15の
暗号鍵テーブル85に登録された処理方法で処理され
る。即ち、暗号装置15は図15において、端末Cから
通信データを受信すると、暗号鍵IDが暗号鍵テーブル
85に設定されているか調べる(ステップS31)。既
に学習が終了しているので端末Cから端末Bへの通信デ
ータのアプリケーション種別145が、暗号鍵IDと対
をなすアプリケーションと一致しているか調べる(ステ
ップS35)。本例ではアプリケーション種別が20で
あるので一致していないので通信データを廃棄する(ス
テップS41)。
【0090】実施の形態3.本実施の形態は、暗号装置
が通信に先立ち通信相手の暗号鍵を学習し、端末ペア対
応の暗号鍵が暗号鍵テーブルに登録されている場合、予
め自暗号鍵に対応して、登録しておいたBOTHの方
向、INの方向またはOUTの方向情報をもとに、暗号
鍵学習済みの暗号装置から通信データを受信したなら、
通信データのヘッダ部のコネクション制御情報がコネク
ション要求(発呼)なら、指定された方向情報のみデー
タ通信を許可し、指定されない方向情報の不正アクセス
通信データを廃棄するものである。図1は、この発明を
構成する暗号装置の一例であり実施の形態1と同じで説
明を省く。図9は、鍵探索パケットおよび鍵探索応答パ
ケットのフォーマットであり実施の形態2と同じで説明
を省く。
【0091】図19は端末A、B,Cを収容するネット
ワークの構成例と各暗号装置が持つ暗号鍵IDごとの暗
号鍵IDに対応する方向情報の例を示すものである。図
19において、暗号装置11は暗号鍵のIDが1で、方
向情報がOUTを示し、暗号装置12は暗号鍵のIDが
3で方向情報がBOTHを示し、暗号装置13は暗号鍵
のIDが1と2で方向情報がINを示し、暗号装置14
は暗号鍵IDが3で方向情報がBOTHを示し、暗号装
置15は暗号鍵IDが2で方向情報がOUTが登録され
ており、暗号復号時にはそれぞれのIDに対応した暗号
鍵を使用する。即ち、各暗号装置に割り当てる暗号鍵
は、あらかじめ配送して登録されており、各暗号装置
は、自身の持つ暗号鍵の暗号鍵IDを内部に一つまたは
複数個保持する。
【0092】また、方向OUTとは、Pポートに通信デ
ータを送出することを許可し、方向INとは、Pポート
から通信データを受信することを許可し、方向BOTH
とは、Pポートに通信データを送出するかまたはPポー
トから通信データを受信することを許可することであ
る。なお、図19のLポートは、ローカルポート、Pポ
ートはパブリックポートを示す。また、図19の暗号装
置11のパブリックポート5、暗号装置12のパブリッ
クポート5と暗号装置14のパブリックポート5が接続
されている。他は、ローカルポート7に対しパブリック
ポート5が接続されている。
【0093】図20は、端末間で通信している通信デー
タのフレームフォーマットである。図において141は
ヘッダ、142はデータ部、143は宛先アドレス、1
44は送信元アドレス、146はコネクション制御情報
である。コネクション制御情報146はデータ通信の方
向情報に従って通信データを処理するか方向情報に関係
無く通信データを処理するかを制御する。
【0094】次に、暗号装置が通信データを受信したと
きの動作を説明する。暗号装置は暗号鍵テーブルに端末
ペアに対する処理方法が登録されている場合、通信デー
タを受信したとき図21に示す通信データ処理を行う。
また、端末ペアに対する処理方法が登録されていない場
合、通信データを受信した暗号装置はその通信データを
一時格納しておき、鍵探索パケットを送出し、その鍵探
索パケットに対する鍵探索応答パケットを得て、暗号鍵
テーブルに端末ペアに対する処理方法を図14に従い登
録した後、図14に示すステップS5において、図21
の通信データ処理が一時格納しておいた通信データを登
録された処理方法に従って処理する。なお、図21は通
信データ処理であり、この処理について順次以下に説明
する。ただし、暗号鍵IDの鍵探索による学習シーケン
スは、実施の形態2の図13と同じで説明を省略する。
また、図14の鍵探索応答パケット受信処理も説明を省
く。
【0095】次に、図19のネットワーク構成で、端末
Aから端末Bへの通信で、通信データのヘッダ部のコネ
クション制御情報146がコネクション要求する場合と
要求しない場合と、逆に端末Bから端末Aへの通信でコ
ネクション制御情報146がコネクション要求する場合
と要求しない場合について動作を説明する。図13は暗
号鍵テーブルに、暗号装置11と13においては通信端
末A−Bの通信に用いる暗号鍵ID1を登録し、暗号装
置12においては通信端末A−Bは透過中継を登録して
いる例を示す。
【0096】まず、端末Aから端末Bへの通信で、コネ
クション制御情報146がコネクション要求する場合に
ついて図13、図19および図21を用いて説明する。
暗号装置11は図21において、端末Aからの通信デー
タをローカルポートから受信すると(図13の暗号装置
11参照)、暗号装置11は暗号鍵IDが暗号鍵テーブ
ル81に登録されているか調べる(ステップS51)。
既に学習が終了していて暗号鍵ID1が登録されている
ので端末Aから端末Bへの通信データのコネクション制
御情報146がコネクション要求であるか調べる(ステ
ップS55)。本例ではコネクション要求であり一致す
るので、暗号鍵テーブル81に登録してある暗号鍵ID
と対を成す方向はBOTHと一致したか調べる(ステップS
59)。暗号鍵テーブルに登録してある暗号鍵ID1と
対を成す方向はOUT(図19の暗号装置11参照)であ
るので暗号鍵IDの方向がOUTかつローカルポートから
通信データを受信したか調べる(ステップS60)。暗
号鍵ID1の方向がOUTかつローカルポートから通信デ
ータを受信しているので暗号鍵ID1の暗号鍵を用いて
暗号処理を実行し(ステップS57)、パブリックポー
ト7から通信データを送信する(ステップS58)。
【0097】暗号装置11のパブリックポートから送信
された通信データは、暗号装置12のパブリックポート
から受信される(図13、19の暗号装置11、12参
照)。 暗号装置12は図21において、暗号鍵IDが
暗号鍵テーブル82に登録されているか調べる(ステッ
プS51)。暗号鍵IDは登録されていないので、暗号
鍵テーブル82には透過中継が登録されていているかど
うか調べる(ステップS52)。暗号鍵テーブル82に
は透過中継が登録されているので通信データをローカル
ポートから送信する(ステップS53)。
【0098】暗号装置12のローカルポートから送信さ
れた通信データは、暗号装置13のパブリックポートか
ら受信される(図13、19の暗号装置12、13参
照)。暗号装置13は図21において、暗号鍵IDが暗
号鍵テーブル83に登録されているか調べる(ステップ
S51)。既に学習が終了していて暗号鍵ID1が登録
されているので端末Aから端末Bへの通信データのコネ
クション制御情報146がコネクション要求であるか調
べる(ステップS55)。本例ではコネクション要求で
あり一致するので、暗号鍵テーブルに登録してある暗号
鍵IDと対を成す方向はBOTHと一致したか調べる(ステ
ップS59)。暗号鍵テーブルに登録してある暗号鍵I
D1と対を成す方向はIN(図19の暗号装置13参照)
であるので暗号鍵IDの方向がOUTかつローカルポート
から通信データを受信したか調べる(ステップS6
0)、暗号鍵IDの方向はINであるので暗号鍵IDの方
向がINかつパブリックポートから通信データを受信した
か調べる(ステップS61)、暗号鍵IDの方向がINか
つパブリックポートから通信データを受信しているので
暗号鍵ID1の暗号鍵を用いて復号処理を実行し(ステ
ップS62)、ローカルポートから通信データを送信す
る(ステップS63)。そして、暗号装置13のローカ
ルポートから送信された通信データは、元の平文として
端末Bに届く。
【0099】次に、端末Bから端末Aへの通信で、コネ
クション制御情報146がコネクション要求でない場合
について図13、図19おおび図21を用いて説明す
る。暗号装置13は図21において、端末Bからの通信
データをローカルポートから受信すると(図13の暗号
装置13参照)、暗号鍵IDが暗号鍵テーブル83に登
録されているか調べる(ステップS51)。既に学習が
終了していて暗号鍵ID1が登録されているので端末B
から端末Aへの通信データのコネクション制御情報14
6がコネクション要求であるか調べる(ステップS5
5)。本例ではがコネクション要求でないので、ローカ
ルポートから通信データを受信したか調べる(ステップ
S56)。ローカルポートから通信データを受信してい
るので暗号鍵ID1の暗号鍵を用いて暗号処理を実行し
(ステップS57)、パブリックポートから通信データ
を送信する(ステップS58)。
【0100】暗号装置13のパブリックポートから送信
されたデータは、暗号装置12、暗号装置11を経て端
末Aへ届く。これらの処理では各暗号装置は図21に示
した暗号鍵テーブルに登録された処理方法で通信データ
を処理する。暗号装置12では、端末Bから端末Aへの
データは透過中継され、暗号装置11では通信データの
コネクション制御情報146がコネクション要求でない
から、暗号鍵と対を成す方向とは無関係に、パブリック
ポートから通信データを受信している暗号装置11では
IDが1の暗号鍵を用いて通信データを復号しローカル
ポートから通信データを送信し、通信データは端末Aに
届く。
【0101】さらに暗号鍵テーブル81〜83に処理方
法が登録されている状態で端末Aから端末Bへコネクシ
ョン制御情報146がコネクション要求でない通信デー
タは、暗号装置11においては、方向とは無関係にID
1の暗号鍵で暗号化され、暗号装置12では透過中継さ
れ、暗号装置13においてはID1の暗号鍵で復号され
る。逆に端末Bから端末Aへの通信でコネクション制御
情報146がコネクション要求する場合について図1
3、図19おおび図21を用いて説明する。
【0102】暗号装置13は図21において、端末Bか
らの通信データをローカルポートから受信すると(図1
3の暗号装置13参照)、暗号鍵IDが暗号鍵テーブル
83に登録されているか調べる(ステップS51)。既
に学習が終了していて暗号鍵ID1が登録されているの
で端末Bから端末Aへの通信データのコネクション制御
情報146がコネクション要求であるか調べる(ステッ
プS55)。本例ではコネクション要求であり一致する
ので、暗号鍵テーブルに登録してある暗号鍵IDと対を
成す方向はBOTHと一致したか調べる(ステップS5
9)。暗号鍵テーブルに登録してある暗号鍵ID1と対
を成す方向はIN(図19の暗号装置13参照)であるの
で暗号鍵IDの方向がOUTかつローカルポートから通信
データを受信したか調べる(ステップS60)、暗号鍵
IDの方向はINであるので暗号鍵IDの方向がINかつパ
ブリックポートから通信データを受信したか調べる(ス
テップS61)、ローカルポートから通信データを受信
しているので廃棄処理を実行し(ステップS64)、通
信データを廃棄する。
【0103】端末Aから端末Bへコネクション要求を行
って通信を開始するアプリケーションは、コネクション
が成立し通信が可能となる。端末Bから端末Aへコネク
ション要求するアプリケーションは、最初にコネクショ
ン要求が廃棄されるため、その後の通信は全て禁止され
る。次に端末Bから端末Cへコネクション制御情報14
6がコネクション要求である通信データが通信する際の
処理について図17、図19および図21を用いて説明
する。
【0104】なお、暗号鍵IDの鍵探索による学習シー
ケンスは、実施の形態2の図17と同じで説明を省略す
る。次に端末Bから端末Cへの通信でコネクション制御
情報146がコネクション要求する場合について図1
7、図19おおび図21を用いて説明する。暗号装置1
3は図21において、端末Bからの通信データをローカ
ルポートから受信すると(図17の暗号装置13参
照)、暗号鍵IDが暗号鍵テーブル83に登録されてい
るか調べる(ステップS51)。既に学習が終了してい
て暗号鍵ID2(図17の暗号装置13を参照)が登録
されているので端末Bから端末Cへの通信データのコネ
クション制御情報146がコネクション要求であるか調
べる(ステップS55)。
【0105】本例ではコネクション要求であり一致する
ので、暗号鍵テーブルに登録してある暗号鍵IDと対を
成す方向はBOTHと一致したか調べる(ステップS5
9)。暗号鍵テーブルに登録してある暗号鍵ID2と対
を成す方向はIN(図19の暗号装置13を参照)である
ので暗号鍵IDの方向がOUTかつローカルポートから通
信データを受信したか調べる(ステップS60)。暗号
鍵ID2の方向がINであるので暗号鍵IDの方向がINか
つパブリックポートから通信データを受信したか調べる
(ステップS61)。受信データをローカルポートから
受信しているのでデータを廃棄する(ステップS6
4)。
【0106】次に端末Cから端末Bへの通信でコネクシ
ョン制御情報146がコネクション要求する場合につい
て図17、図19おおび図21を用いて説明する。暗号
装置15は、図21において、端末Cからの通信データ
をローカルポートから受信すると、暗号鍵IDが暗号鍵
テーブル85に登録されているか調べる(ステップS5
1)。既に学習が終了しているので端末Cから端末Bへ
の通信データのコネクション制御情報146がコネクシ
ョン要求であるか調べる(ステップS55)。本例では
がコネクション要求であり一致するので、暗号鍵テーブ
ルに登録してある暗号鍵IDと対を成す方向はBOTHと一
致したか調べる(ステップS59)。暗号鍵テーブルに
登録してある暗号鍵ID2と対を成す方向はOUTである
ので暗号鍵IDの方向がOUTかつローカルポートから通
信データを受信したか調べる(ステップS60)。暗号
鍵ID2の方向がOUTかつローカルポートから通信デー
タを受信しているので暗号鍵ID2の暗号鍵を用いて暗
号処理を実行し(ステップS57)、パブリックポート
から通信データを送信する(ステップS58)。
【0107】暗号装置15のパブリックポートから送信
されたデータは、暗号装置14のローカルポートから受
信され暗号鍵テーブル84に登録された処理方法で通信
データを処理する。暗号鍵IDが暗号鍵テーブル84に
登録されているか調べる(ステップS51)。既に学習
が終了しているので端末Cから端末Bへの通信データの
コネクション制御情報146がコネクション要求である
か調べる(ステップS55)。本例ではがコネクション
要求であり一致するので、暗号鍵テーブルに登録してあ
る暗号鍵IDと対を成す方向はBOTHと一致したか調べる
(ステップS59)。暗号鍵テーブルに登録してある暗
号鍵ID3と対を成す方向はBOTHであるのでローカルポ
ートから通信データを受信したか調べる(ステップS5
6)。ローカルポートから通信データを受信しているの
で暗号鍵ID3の暗号鍵を用いて暗号処理を実行し(ス
テップS57)、パブリックポートから暗号装置12に
通信データを送信する(ステップS58)。
【0108】暗号装置12は、図21において、暗号装
置14のパブリックポートから送信された通信データ
を、暗号装置12のパブリックポートから受信すると、
暗号鍵IDが暗号鍵テーブル82に登録されているか調
べる(ステップS51)。既に学習が終了しているので
端末Cから端末Bへの通信データのコネクション制御情
報146がコネクション要求であるか調べる(ステップ
S55)。本例ではがコネクション要求であり一致する
ので、暗号鍵テーブルに登録してある暗号鍵IDと対を
成す方向はBOTHと一致したか調べる(ステップS5
9)。暗号鍵テーブルに登録してある暗号鍵ID3と対
を成す方向はBOTHであるのでローカルポートから通信デ
ータを受信したか調べる(ステップS56)。パブリッ
クポートから通信データを受信しているので暗号鍵ID
3の暗号鍵を用いて復号処理を実行し(ステップS6
2)、ローカルポートから暗号装置13に通信データを
送信する(ステップS63)。
【0109】暗号装置13は、図21において、パブリ
ックポートから通信データを受信すると、暗号鍵IDが
暗号鍵テーブル83に登録されているか調べる(ステッ
プS51)。既に学習が終了しているので端末Cから端
末Bへの通信データのコネクション制御情報146がコ
ネクション要求であるか調べる(ステップS55)。本
例ではがコネクション要求であり一致するので、暗号鍵
テーブルに登録してある暗号鍵IDと対を成す方向はBO
THと一致したか調べる(ステップS59)。暗号鍵テー
ブルに登録してある暗号鍵ID2と対を成す方向はINで
あるので暗号鍵IDの方向がOUTかつローカルポートか
ら通信データを受信したか調べる(ステップS60)、
暗号鍵IDの方向はINであるので暗号鍵IDの方向がIN
かつパブリックポートから通信データを受信したか調べ
る(ステップS61)、暗号鍵IDの方向がINかつパブ
リックポートから通信データを受信しているので暗号鍵
ID2の暗号鍵を用いて復号処理を実行し(ステップS
62)、ローカルポートから通信データを送信する(ス
テップS63)。暗号装置13のローカルポートから送
信されたデータは、元の平文として端末Bに届く。
【0110】さらに端末Bから端末Cへコネクション制
御情報146がコネクション要求でない通信データが通
信する際の処理について図17、図19および図21を
用いて説明する。暗号装置13は図21において、端末
Bからの通信データをローカルポートから受信すると、
暗号鍵IDが暗号鍵テーブル83に登録されているか調
べる(ステップS51)。既に学習が終了していて暗号
鍵ID1が登録されているので端末Bから端末Cへの通
信データのコネクション制御情報146がコネクション
要求であるか調べる(ステップS55)。本例ではがコ
ネクション要求でないので、ローカルポートから通信デ
ータを受信したか調べる(ステップS56)。ローカル
ポートから通信データを受信しているので暗号鍵ID2
の暗号鍵を用いて暗号処理を実行し(ステップS5
7)、パブリックポートから通信データを送信する(ス
テップS58)。
【0111】暗号装置13のパブリックポートから送信
されたデータは、暗号装置12、暗号装置14、暗号装
置15を経て端末Cへ届く(図17を参照)。これらの
処理では各暗号装置は図21に示した暗号鍵テーブルに
登録された処理方法で通信データを処理する。 暗号装
置では、通信データのコネクション制御情報146がコ
ネクション要求でないから、暗号鍵と対を成す方向とは
無関係に、ローカルポートから通信データを受信してい
る暗号装置12ではID3の暗号鍵を用いて通信データ
を暗号化しパブリックポートから通信データを送信し、
パブリックポートから通信データを受信している暗号装
置14ではID3の暗号鍵を用いて通信データを復号し
ローカルポートから通信データを送信し、パブリックポ
ートから通信データを受信している暗号装置15ではI
D2の暗号鍵を用いて通信データを復号しローカルポー
トから通信データを送信し、通信データは端末Cに届
く。
【0112】さらに端末Cから端末Bへコネクション制
御情報146がコネクション要求でない通信データは、
暗号装置12、暗号装置13、暗号装置14、暗号装置
15においては、方向とは無関係に暗号装置15ではI
D2の暗号鍵で暗号化され、暗号装置14ではID3の
暗号鍵で暗号化され、暗号装置12ではID3の暗号鍵
で復号され、暗号装置13ではID2の暗号鍵で復号さ
れ、端末Bに届く。
【0113】端末Cから端末Bへコネクション要求を行
って通信を開始するアプリケーションは、コネクション
が成立し通信が可能となる。端末Bから端末Cへコネク
ション要求するアプリケーションは、最初にコネクショ
ン要求が廃棄されるため、その後の通信は全て禁止され
る。
【0114】
【発明の効果】第1の発明によれば、通信相手の暗号鍵
がわからない状態から鍵探索パケットを用いて、端末間
の通信経路上の暗号装置の鍵情報と暗号装置内での暗号
鍵の属性を示すサーバクライアントモードを収集し、収
集した鍵情報と暗号装置内での暗号鍵の属性を示すサー
バクライアントモードに基づいて、暗号鍵が一致し、さ
らにサーバクライアントモードがサーバとクライアント
で不一致ならば通信データの暗号化/復号を暗号鍵情報
に登録し、暗号鍵が一致し、さらにサーバクライアント
モードが一致したならば通信データの廃棄を暗号鍵情報
に登録し、端末間の通信データを各暗号装置が暗号化/
復号/廃棄/透過中継することにより、ある端末から他
の端末を経由してさらに別の端末にアクセスすることに
制限を加え、さらに同一の暗号鍵を用いた端末間の暗号
通信において、サーバクライアントモードがサーバとク
ライアント間の通信のみ実現し、サーバクライアントモ
ードがサーバからサーバ、クライアントからクライアン
トへの不正アクセス通信データを廃棄するので、機密性
の高い暗号通信システムを実現できる。また、ある端末
を経由して別の端末にアクセスすることに制限を加えら
れ機密性の高い暗号通信システムを実現できる。
【0115】第2の発明によれば、ある端末から他の端
末へ暗号通信でアクセスし、データの中継経路上の暗号
装置内で通信データの送信元端末と宛先端末(端末ペ
ア)に対応する暗号鍵を学習し、その学習した暗号鍵と
組みを成すアプリケーション種別情報と通信データ内の
アプリケーション種別が一致すれば、通信データを暗号
化かまたは、復号し、前記暗号装置内での暗号鍵と組み
を成すアプリケーション種別情報と通信データ内のアプ
リケーション種別が一致しなければ、通信データを廃棄
することにより、ある端末から他の端末を経由してさら
に別の端末にアクセスすることに対して通信データのア
プリケーション種別による制限を加え、さらに同一の暗
号鍵を用いた端末間の暗号通信において、指定されたア
プリケーションのみ許可し、指定されないアプリケーシ
ョンの不正アクセス通信データを廃棄するので、機密性
の高い暗号通信システムを実現できる。
【0116】第3の発明によれば、ある端末から他の端
末へ暗号通信でアクセスし、データの中継経路上の暗号
装置内で通信データの送信元端末と宛先端末(端末ペ
ア)に対応する暗号鍵学習し、その学習した暗号鍵と組
みを成す方向情報がBOTHならば、通信データを暗号化か
または、復号し、前記暗号装置内での暗号鍵と組みを成
す方向情報がOUTかつローカルポートから通信データを
受信したならば、通信データを暗号化し、前記暗号装置
内での暗号鍵と組みを成す方向情報がINかつクローバル
ポートから通信データを受信したならば、通信データを
復号し、通信データが上記どの場合にも合致しないなら
ば、通信データを廃棄することにより、ある端末から他
の端末を経由してさらに別の端末にアクセスすることに
対して通信データのコネクション制御情報による制限を
加え、さらに同一の暗号鍵を用いた端末間の暗号通信に
おいて、指定された方向情報のみ許可し、指定されない
方向情報の不正アクセス通信データを廃棄するので機密
性の高い暗号通信システムを実現できる。
【図面の簡単な説明】
【図1】 本発明の暗号装置の一例である。
【図2】 本発明の実施の形態1による鍵探索パケット
および鍵探索応答パケットのフォーマットである。
【図3】 本発明の実施の形態1によるネットワークの
構成例である。
【図4】 本発明の実施の形態1による鍵探索パケット
のシーケンスである。
【図5】 本発明の実施の形態1による暗号装置が処理
するフローチャートである。
【図6】 本発明の実施の形態1による鍵探索応答パケ
ットである。
【図7】 本発明の実施の形態1による鍵探索パケット
のシーケンスである。
【図8】 本発明の実施の形態1による鍵探索応答パケ
ットである。
【図9】 鍵探索パケットおよび鍵探索応答パケットの
フォーマット例である。
【図10】 本発明の実施の形態2によるネットワーク
の構成例である。
【図11】 本発明の実施の形態2による暗号鍵IDと
アプリケーション種別の組み合わせを図示した表であ
る。
【図12】 本発明の実施の形態2による端末間で通信
している通信データのフレームフォーマットである。
【図13】 鍵探索パケットのシーケンス例である。
【図14】 鍵探索応答パケット受信処理のフローチャ
ートである。
【図15】 本発明の実施の形態2による通信データ処
理のフローチャートである。
【図16】 鍵探索応答パケットである。
【図17】 鍵探索パケットのシーケンスである。
【図18】 鍵探索応答パケットである。
【図19】 本発明の実施の形態3によるネットワーク
の構成例である。
【図20】 本発明の実施の形態3による端末間で通信
している通信データのフレームフォーマットである。
【図21】 本発明の実施の形態3による通信データ処
理のローチャートである。
【図22】 従来の例におけるネットワークの構成であ
る。
【符号の説明】
1 暗号装置 2 暗号/復号処理部 3 透過中継処理部 4 廃棄処理部 5 パブリックポート 6 自動学習処理部 7 ローカルポート 8 暗号鍵テーブル 9 送受信処理部 10 送受信処理部 11〜16 暗号装置 21 ヘッダ 22 送信元端末アドレス 23 宛先端末アドレス 24 ローカルポート暗号鍵情報 25 パブリックポート暗号鍵情報 26 デ−タ部 27 暗号鍵情報ブロック 28 暗号装置アドレス 29 暗号鍵ID−SCモード設定個数 30 暗号鍵ID−SCモード情報 31 暗号鍵ID−SCモード 32 暗号鍵ID 33 サーバクライアントモード 34 暗号鍵ID設定個数 35 暗号鍵ID情報 51〜54 鍵探索パケット 55 鍵探索応答パケット 61 通信データ 62 通信データ 63 通信データ 81〜85 暗号鍵テーブル 141 ヘッダ 142 データ部 143 宛先アドレス 144 送信元アドレス 145 アプリケーション種別 146 コネクション制御情報
───────────────────────────────────────────────────── フロントページの続き (72)発明者 渡邊 晃 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 田口 卓哉 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 谷本 茂明 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、通信データを中継する中継経路上の暗号装
    置は、中継する通信データの送信元端末と宛先端末の組
    み合わせ(以下端末ペアと称す)に対応する暗号鍵情報
    が前記暗号装置の暗号鍵テーブルに登録されていない場
    合、暗号鍵情報と前記暗号装置内での暗号鍵の属性を示
    すサーバクライアントモードを収集するための鍵探索パ
    ケットが前記中継経路上の各暗号装置自身の暗号情報と
    サーバクライアントモードを収集し、その収集した暗号
    情報とサーバクライアントモードを鍵探索応答パケット
    が前記中継経路上の前記各暗号装置に通知し、通知を受
    けた前記各暗号装置は、収集した前記暗号鍵情報とサー
    バクライアントモードに基づいて、前記端末ペアとサー
    バクライアントモードに対応して通信データを、暗号化
    するか、復号するか、透過中継するか、廃棄するか、い
    ずれの処理を行うかを指定する暗号鍵情報を前記暗号鍵
    テーブルに登録し、その端末ペアからの通信データを中
    継する前記各暗号装置は前記暗号鍵テーブルの暗号鍵情
    報に基づいて通信データを処理することを特徴とする暗
    号通信システム。
  2. 【請求項2】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、通信データを中継する中継経路上の暗号装
    置は、中継する通信データの送信元端末と宛先端末の組
    み合わせ(以下端末ペアと称す)に対応する暗号鍵情報
    が前記暗号装置の暗号鍵テーブルに登録されていない場
    合、暗号鍵情報を収集するための鍵探索パケットが前記
    中継経路上の各暗号装置自身の暗号情報を収集し、その
    収集した暗号情報を鍵探索応答パケットが前記中継経路
    上の前記各暗号装置に通知し、 通知を受けた前記各暗号装置は、収集した前記暗号鍵情
    報に基づいて、前記端末ペアに対応して通信データを、
    暗号化するか、復号するか、透過中継するか、廃棄する
    か、いずれの処理を行うかを指定する暗号鍵情報を前記
    暗号鍵テーブルに登録し、その端末ペアからの通信デー
    タを中継する前記各暗号装置は前記暗号鍵テーブルの暗
    号鍵情報と通信データを処理し、前記暗号鍵テーブルの
    暗号鍵情報より暗号化かまたは、復号ならば、前記暗号
    装置内での暗号鍵と組みを成すアプリケーション種別情
    報と通信データ内のアプリケーション種別が一致すれ
    ば、通信データを暗号化かまたは、復号し、前記暗号装
    置内での暗号鍵と組みを成すアプリケーション種別情報
    と通信データ内のアプリケーション種別が一致しなけれ
    ば、通信データを廃棄することを特徴とする暗号通信シ
    ステム。
  3. 【請求項3】 通信ネットワークに収容された通信端末
    間を暗号装置が中継して暗号通信を行う暗号通信システ
    ムにおいて、通信データを中継する中継経路上の暗号装
    置は、中継する通信データの送信元端末と宛先端末の組
    み合わせ(以下端末ペアと称す)に対応する暗号鍵情報
    が前記暗号装置の暗号鍵テーブルに登録されていない場
    合、暗号鍵情報を収集するための鍵探索パケットが前記
    中継経路上の各暗号装置自身の暗号情報を収集し、その
    収集した暗号情報を鍵探索応答パケットが前記中継経路
    上の前記各暗号装置に通知し、 通知を受けた前記各暗号装置は、収集した前記暗号鍵情
    報に基づいて、前記端末ペアに対応して通信データを、
    暗号化するか、復号するか、透過中継するか、廃棄する
    か、いずれの処理を行うかを指定する暗号鍵情報を前記
    暗号鍵テーブルに登録し、その端末ペアからの通信デー
    タを中継する前記各暗号装置は前記暗号鍵テーブルの暗
    号鍵情報と通信データを処理し、前記暗号鍵テーブルの
    暗号鍵情報より暗号化かまたは、復号ならば、前記暗号
    装置内での暗号鍵と組みを成す方向情報がBOTHならば、
    通信データを暗号化かまたは、復号し、前記暗号装置内
    での暗号鍵と組みを成す方向情報がOUTかつローカルポ
    ートから通信データを受信したならば、通信データを暗
    号化し、前記暗号装置内での暗号鍵と組みを成す方向情
    報がINかつパブリックポートから通信データを受信した
    ならば、通信データを復号し、通信データが上記どの場
    合にも合致しないならば、通信データを廃棄することを
    特徴とする暗号通信システム。
JP10044727A 1998-02-26 1998-02-26 暗号通信システム Pending JPH11243388A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10044727A JPH11243388A (ja) 1998-02-26 1998-02-26 暗号通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10044727A JPH11243388A (ja) 1998-02-26 1998-02-26 暗号通信システム

Publications (1)

Publication Number Publication Date
JPH11243388A true JPH11243388A (ja) 1999-09-07

Family

ID=12699484

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10044727A Pending JPH11243388A (ja) 1998-02-26 1998-02-26 暗号通信システム

Country Status (1)

Country Link
JP (1) JPH11243388A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2385951A (en) * 2001-09-21 2003-09-03 Sun Microsystems Inc Data encryption and decryption
JPWO2003096613A1 (ja) * 2002-05-09 2005-09-15 新潟精密株式会社 暗号化の一元集中管理システム
JP2007104733A (ja) * 2007-01-22 2007-04-19 Hitachi Ltd 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
JP2014036322A (ja) * 2012-08-08 2014-02-24 Toshiba Corp 通信装置、通信方法、プログラムおよび通信システム
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
JP2018073182A (ja) * 2016-10-31 2018-05-10 株式会社東芝 データ収集システム、末端装置、データ収集装置、データ収集方法及びプログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2385951A (en) * 2001-09-21 2003-09-03 Sun Microsystems Inc Data encryption and decryption
US7171566B2 (en) 2001-09-21 2007-01-30 Sun Microsystems, Inc. Data encryption and decryption
JPWO2003096613A1 (ja) * 2002-05-09 2005-09-15 新潟精密株式会社 暗号化の一元集中管理システム
JP4594081B2 (ja) * 2002-05-09 2010-12-08 オニシックス グループ エルエー エルエルシー 暗号化の一元集中管理システム
JP2007104733A (ja) * 2007-01-22 2007-04-19 Hitachi Ltd 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
JP4540681B2 (ja) * 2007-01-22 2010-09-08 株式会社日立製作所 通信セキュリティ保持方法及びその実施装置並びにその処理プログラム
JP2014036322A (ja) * 2012-08-08 2014-02-24 Toshiba Corp 通信装置、通信方法、プログラムおよび通信システム
US9049012B2 (en) 2012-08-08 2015-06-02 Kabushiki Kaisha Toshiba Secured cryptographic communication system
JP2014053816A (ja) * 2012-09-07 2014-03-20 Toshiba Corp 通信ノード、鍵同期方法、鍵同期システム
JP2018073182A (ja) * 2016-10-31 2018-05-10 株式会社東芝 データ収集システム、末端装置、データ収集装置、データ収集方法及びプログラム

Similar Documents

Publication Publication Date Title
JP4707992B2 (ja) 暗号化通信システム
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
JP3263878B2 (ja) 暗号通信システム
JP3595145B2 (ja) 暗号通信システム
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
US20080307110A1 (en) Conditional BGP advertising for dynamic group VPN (DGVPN) clients
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
EP1374533B1 (en) Facilitating legal interception of ip connections
AU2005226659B2 (en) Methods and apparatus for confidentiality protection for fibre channel common transport
US20030188012A1 (en) Access control system and method for a networked computer system
JPH07107082A (ja) 暗号ゲートウェイ装置
JP2002217896A (ja) 暗号通信方法およびゲートウエイ装置
JP3679086B2 (ja) 無線lan中継装置、無線lanサービスの提供方法および無線lanサービスの提供プログラムを記録した媒体
JP3296514B2 (ja) 暗号通信端末
JP2006019975A (ja) 暗号パケット通信システム、これに備えられる受信装置、送信装置、及びこれらに適用される暗号パケット通信方法、受信方法、送信方法、受信プログラム、送信プログラム
US7895648B1 (en) Reliably continuing a secure connection when the address of a machine at one end of the connection changes
KR20090100009A (ko) 단말기의 프로파일 정보를 네트워크에 등록하는 시스템
JPH11243388A (ja) 暗号通信システム
US8670565B2 (en) Encrypted packet communication system
JPH07170280A (ja) ローカルエリアネットワーク
JPH11239184A (ja) スイッチングハブ
US20080059788A1 (en) Secure electronic communications pathway
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
KR20190019623A (ko) 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법
JP2003271476A (ja) Snmpネットワーク管理システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040914

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20041012

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20041012

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20041012

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050125