Nothing Special   »   [go: up one dir, main page]

JP2006196996A - 通信システム及び通信方法 - Google Patents

通信システム及び通信方法 Download PDF

Info

Publication number
JP2006196996A
JP2006196996A JP2005004115A JP2005004115A JP2006196996A JP 2006196996 A JP2006196996 A JP 2006196996A JP 2005004115 A JP2005004115 A JP 2005004115A JP 2005004115 A JP2005004115 A JP 2005004115A JP 2006196996 A JP2006196996 A JP 2006196996A
Authority
JP
Japan
Prior art keywords
terminal
communication
information
communication device
condition table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005004115A
Other languages
English (en)
Inventor
Tomiichi Imai
富一 今井
Satoshi Ookage
聡 大景
Hiroshi Sakatani
洋志 坂谷
Makoto Wada
真 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2005004115A priority Critical patent/JP2006196996A/ja
Publication of JP2006196996A publication Critical patent/JP2006196996A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 端末に複雑且つ多くの処理を行わせることなく、当該端末で送受信される通信データに暗号化及び復号化などのセキュリティ処理を行わせる通信システム及び通信方法を提供する。
【解決手段】 通信データの送受信を行う端末1と、端末1と接続され、端末1で送受信される通信データに対して暗号化処理又は復号化処理を施して、当該通信データを中継する通信装置2とを備え、通信装置2は、端末1に固有の端末情報を取得し、当該端末情報と、予め記憶しておいた暗号化又は復号化を行う端末情報の条件を記述したセキュリティ処理条件テーブルとを比較して、中継する通信データに暗号化又は復号化を施すか否かを判断する。
【選択図】 図1

Description

本発明は、端末で送受信される通信データに暗号化や認証等のセキュリティ処理を行うことによってセキュア通信を行わせる通信システム及び通信方法に関する。
従来より、例えばIP(Internet Protocol)を利用した通信システムにおいて、通信データの盗聴や改ざんを防ぐために、パケットを暗号化すると共に認証データによって送受信間で認証処理を行って、通信データのセキュリティを高めた秘密通信を行うネットワークシステムが知られている。このようなネットワークシステムにおいては、例えば、RFC(Request For Comments)2401〜2410で定義されたプロトコル群であるIPsec(IP security protocol)などが知られている。
しかしながら、上述の技術では、データの暗号化処理及び復号化処理を含むセキュア通信を行うか否かを決定する際に、セキュア通信を行う通信相手先の識別子(IPアドレス等)とセキュリティポリシーデータベース(SPD)とを比較する判断処理を行う必要がある。そして、この判断処理によって、暗号化するものと判断した場合には、通信相手先の端末間でネゴシエーションを行って共通した暗号化設定を行う必要がある。したがって、従来では、端末間で、複雑且つ過負荷となるような処理量の制御を行う必要があった。
具体的には、例えばIPsecを利用したセキュア通信装置においては、端末又はゲートウェイ等によって、セキュア通信相手先に対するセキュリティポリシー情報を所定のサーバ(例えばセキュリティポリシーデータベース:SPD)から取得する。その後、セキュア通信装置は、当該セキュア通信相手先となる通信機器との間でネゴシエーションを行って暗号キー等のセキュリティアソシエーション情報の折衝を行っていた。このように、従来では、セキュア通信を行うためには、セキュリティポリシー情報の取得、及び、セキュリティアソシエーション情報の折衝を行う必要があるので、当該処理が端末やゲートウェイにとって過負荷となることがあり、更には、当該端末やゲートウェイを扱うユーザにとっては高度且つ複雑な設定を行う必要があり、高度な知識が要求されていたのが現状である。
また、従来において、非セキュアな通信システムをセキュアな通信システムに変更する場合、例えば、設備系などの非セキュア端末が複数存在する非セキュアな通信システムをセキュアな通信システムに変更する場合には、各非セキュア端末について上述のセキュリティアソシエーション情報の折衝などを行う必要がある。したがって、従来では、システムの規模が大きくなるほど、SPDに対して大がかりな施工や設定が必要となってしまう。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、端末に複雑且つ多くの処理を行わせることなく、当該端末で送受信される通信データに暗号化及び復号化などのセキュリティ処理を行わせることができる通信システム及び通信方法を提供することを目的とする。
本発明は、端末と接続され、前記端末で送受信される通信データに対して暗号化処理又は復号化処理を施して、当該通信データを中継するに際して、上述の課題を解決するために、端末に固有の端末情報を取得し、当該端末情報と、予め記憶しておいた暗号化又は復号化を行う端末情報の条件を記述したセキュリティ処理条件テーブルとを比較して、中継する通信データに暗号化又は復号化を施すか否かを判断する。
本発明によれば、端末で送受信される通信データを中継するに際して、端末に固有の端末情報によって暗号化又は復号化を施すと判定するので、端末に複雑且つ多くの処理を行わせることなく、当該端末で送受信される通信データに暗号化及び復号化などのセキュリティ処理を行わせることができる。
以下、本発明の実施の形態について図面を参照して説明する。
[第1実施形態]
以下、本発明の実施の形態について図面を参照して説明する。
本発明を適用した通信システムは、ネットワークNTを介して端末1A,1Bと端末1C,1D(以下、総称する場合には、単に「端末1」と呼ぶ。)が接続され、当該端末1とネットワークNTとの間に通信装置2A,2B(以下、総称する場合には、単に「通信装置2」と呼ぶ。)が挿入されて構成されている。これら通信装置2は、ネットワークNTを介して接続されている。この通信システムは、通信装置2Aに端末1A,1Bが接続され、通信装置2Bに端末1C,1Dが接続されて構成されている。
このような通信システムは、ネットワークNTを介して端末1同士で通信データの送受信を行うためのシステムとなっている。そして、この通信システムにおいて、端末1A,端末1B,端末1C,端末1Dは、OSI(Open Systems Interconnection)参照モデルにおける第3階層であるIP(Internet Protocol)アドレス(識別子)として、IP_add_A,IP_add_B,IP_add_C,IP_add_Dがそれぞれ付与されていると共に、OSI参照モデルにおける第2階層であるMAC(Media Access Control)アドレスとして、MAC_add_a,MAC_add_b,MAC_add_c,MAC_add_dがそれぞれ付与されている。また、端末1A,端末1B,端末1C,端末1Dは、少なくともOSI参照モデルにおける第3階層において暗号化又は復号化処理を行うセキュリティ処理を行うことが設定されていない非セキュア端末(Non secure)である。
各端末1は、OSI参照モデルにおける第3階層におけるプロトコルとして、例えばIPを使用し、自己のIPアドレスを送信元IPアドレスとし、他の端末1のIPアドレスを送信先IPアドレスとしたIPパケットにデータを格納して通信データのIP通信を行う。なお、このIPパケットには、送信元の端末を識別するためのMACアドレス、宛先の端末を識別するためのMACアドレスも含まれている。
この端末1は、図2に示すように、内部バス1aに、中央処理部11,記憶部12,通信I/F部13,ネゴ通信処理部14が接続されて構成されている。この端末1は、中央処理部11によってアプリケーションデータ等の通信対象となるデータを取得すると、中央処理部11により、通信I/F部13でIPパケットに変換させて通信装置2に送出させる。
記憶部12には、端末1自身にとっての固有の端末情報として、端末1を使用するユーザの会社又は端末1が設置されている会社を識別するための会社情報、端末1を使用するユーザの事業部又は端末1が設置されている事業部を識別するための事業部情報、端末1そのもの又は端末1の機種や用途を識別するための機器情報を記憶している。また、記憶部12には、端末1が特定の用途に使用される場合の用途情報や、特定のアプリケーションを使用する場合のアプリケーション情報も記憶していても良い。このような記憶部12に記憶されている端末情報は、自身のMACアドレスで特定することができる企業識別コード、事業部識別子、システム識別子、機器識別子、商品系列コード等とは別個の情報である。
ネゴ通信処理部14は、OSI参照モデルにおける第2階層における処理を行って、通信装置2との間でネゴシエーションを行う。このネゴ通信処理部14は、通信装置2とのネゴシエーションによって、記憶部12に記憶された端末1固有の情報を通信装置2に取得させるためのものである。なお、このネゴ通信処理部14は、本例では中央処理部11と別個に図示しているが、中央処理部11に含まれていても良い。このネゴ通信処理部14は、通信I/F部13によって通信装置2からの端末1固有の情報の返信要求を受けた場合には、記憶部12に記憶された端末1固有の情報を通信I/F部13を介して通信装置2に送信させる。
通信装置2は、ネットワークNT及び端末1と接続されているブリッジやスイッチなどからなる。この通信装置2は、端末1のようなOSI参照モデルにおける第3階層のIPアドレスが付与されておらず、OSI参照モデルにおける第2階層のMACアドレスを有していても、有していなくても良いが、以下の説明では、MACアドレス(MAC_add_e,MAC_add_f)が付与されている場合について説明する。換言すれば、通信装置2は、後述のセキュリティ処理を行う第3階層(ネットワーク層;IP層)における識別子(IPアドレス)を有しておらず、当該セキュリティ処理を行う階層よりも下位層の第2階層(データリンク層)における識別子(MACアドレス)を有していることになる。
この通信装置2は、接続された端末1宛のIPパケットを中継して端末1に送出すると共に、接続された端末1から受信したIPパケットをネットワークNTに送出する。このとき、通信装置2は、ネットワークNTからIPパケットを受信した場合には、当該IPパケットに含まれる宛先のMACアドレスを参照し、自己に接続されている端末1のMACアドレスである場合には、端末1側に送出する。なお、通信装置2は、MACアドレスを有しているものの、通常、ブリッジやスイッチとして動作している時には、当該MACアドレスを使用しない。
このような通信装置2は、図3に示すように、内部バス2aに、中央処理部21,複数の通信I/F部22,記憶部23,暗号復号処理部24が接続されて構成されている。この通信装置2は、何れかの通信I/F部22でIPパケットを受信すると、当該IPパケットに含まれる宛先のMACアドレスを参照して、出力させる通信I/F部22を選択して、当該通信I/F部22からIPパケットを送信させる。この通信装置2は、例えばネットワークNTからIPパケットを受信した場合には、自己に接続された端末1を宛先としたMACアドレスが格納されている場合には端末1側に中継し、端末1からIPパケットを受信した場合には、当該IPパケットをネットワークNTに中継する。このとき、通信装置2は、必要に応じて、中継するIPパケットを暗号化又は復号化させるセキュリティ処理を行う。
記憶部23には、暗号復号処理部24によって暗号化又は復号化を行わせるか否かを判定する情報、又は、使用する暗号鍵情報や暗号化方式を選択させるための情報、又は、暗号復号処理部24によって暗号化させる暗号化レベルを可変とするための情報等であって、暗号化又は復号化を行う端末1固有の情報の条件を記述したセキュリティ処理条件テーブルが記憶されている。このセキュリティ処理条件テーブルは、予め静的に設定されたり、図示しないサーバ等によってダウンロードされて記憶部23に記憶される。
このセキュリティ処理条件テーブルは、中央処理部21が端末1との間でネゴシエーションを行って、端末1から取得した端末1固有の情報と比較される。そして、このセキュリティ処理条件テーブルは、通信I/F部22でIPパケットを受信したときに、中央処理部21で読み出され、当該IPパケットに対してセキュリティ処理を施すか否かなどを判定するための情報として使用される。
セキュリティ処理条件テーブルは、端末1固有の情報として、端末1の記憶部12に記憶されている「会社情報」、「事業部情報」、「機器情報」などが挙げられ、当該各情報にセキュリティ処理の可否情報が対応付けられて構築されている。また、端末1固有の情報としては、端末1の用途を特定するための用途情報、特定のアプリケーションを使用する場合のアプリケーション情報も記憶していても良い。このような記憶部23に記憶されている端末1固有の情報は、自身のMACアドレスで特定することができる企業識別コード、事業部識別子、システム識別子、機器識別子、商品系列コード等とは別個の情報である。
また、記憶部23には、暗号復号処理部24によってOSI参照モデルにおける第3階層(ネットワーク層;IP層)において暗号化又は復号化を行うために必要な暗号鍵情報や暗号化方式を特定するセキュリティアソシエーション情報(SA情報)等の暗号設定情報が記憶されている。この暗号設定情報は、中央処理部21によってセキュリティ処理条件テーブルによって暗号化又は復号化を行うことが決定された場合に、暗号復号処理部24によって読み出される。
この暗号化設定情報は、暗号復号処理部24の処理内容を、例えば一般的なIPsecの共通鍵、SAのネゴシエーションフローを行わず固定された暗号化条件を使用するIPsecによる暗号化処理とするための情報である。したがって、この通信システムにおいて、端末1とネットワークNTとの間に通信装置2を設置するだけで、端末1で送受信するIPパケットに暗号化又は復号化を施すセキュア通信を導入させる。
このように構成された通信装置2において、中央処理部21は、記憶部23に記憶させるセキュリティ処理条件テーブルを設定又は更新するために、図4に示すようなネゴシエーションを自己に接続された端末1との間で行う。
この図4に示すネゴシエーションフローによれば、通信装置2は、先ず、端末1から送信されたIPパケットS1又は端末1に対する要求に応じた応答によって、端末1のMACアドレス等の端末1の識別子を取得する。
この通信装置2は、端末1から送信されたIPパケットS1の通過によってMACアドレスを取得する場合、通信装置2に接続された端末1から送信先IPアドレス(IPdst)及び送信元IPアドレス(IPsrc)、平文のペイロード(Payload)を含むIPパケットS1を通信装置2で受信したことによって、通信装置2によってIPパケットS1に含まれる端末1のMACアドレスを取得する。
又は、通信装置2は、任意のプロトコルを使用したマルチキャスト又はブロードキャストによって自己に接続された端末1に要求S1aを送信し、自己に接続されている端末1からの応答S1bを受信することによって、当該応答S1bに含まれるMACアドレスを取り出す。ここで、通信装置2は、要求S1aに自己のMACアドレスを含め、端末1のネゴ通信処理部14は、要求1aに含まれた通信装置2のMACアドレスを宛先とし、自己のMACアドレスを送信元とした応答S1bを返信する。
次に、通信装置2は、自己のMACアドレスを送信元識別子SAとし、IPパケットS1又は応答S1bから取得した端末1のMACアドレスを送信先識別子DAとし、且つ端末1のネゴ通信処理部14との間でネゴシエーションを行うためのイーサネット(登録商標)パケットであることを示す制御コード(Code)、端末1固有の情報を返信させる要求等の情報要求データを含むイーサネットパケットS2を端末1に送信する。なお、本例では、端末1固有の情報を取得する手法として、イーサネットパケットを使用する場合について説明するが、任意のプロトコルを使用しても良い。
これに応じ、端末1では、イーサネットパケットS2を通信I/F部13で受信すると、中央処理部11によって、当該イーサネットパケットS2に制御コードが含まれているので、当該イーサネットパケットS2をネゴ通信処理部14で取得する。そして、ネゴ通信処理部14では、イーサネットパケットS2の情報要求データで要求された情報を取得する。このとき、ネゴ通信処理部14は、情報要求データとして、例えば端末1の会社情報の返信が要求された場合には、記憶部12に記憶された会社情報を取得する。次に、ネゴ通信処理部14は、取得した会社情報を情報返信データとし、自己のMACアドレスを送信元識別子SAとし、通信装置2のMACアドレスを送信先識別子DAとし、且つ通信装置2との間でネゴシエーションを行うためのイーサネットパケットであることを示す制御コード(Code)を含めたイーサネットパケットS3を作成する。
これに応じ、通信装置2では、イーサネットパケットS3を通信I/F部22で受信すると、中央処理部21によって、当該イーサネットパケットS3に制御コードが含まれているので、当該イーサネットパケットS3をネットワークNTに中継させずに、イーサネットパケットS3の情報返信データを取得する。そして、中央処理部21は、情報返信データとして端末1のネゴ通信処理部14で取得した会社情報を取得すると、当該会社情報と、セキュリティ処理条件テーブルとを比較する。そして、中央処理部21は、情報返信データとしての会社情報が暗号化又は復号化を実施すべきものであると判定した場合には、当該会社情報を返信した端末1で送受信されるIPパケットについて暗号化又は復号化のセキュリティ処理を施すことを決定する。
これにより、当該会社情報を返信した端末1でセキュア通信を行わせることを設定する。このとき、記憶部23は、何れかの通信I/F部22がセキュア通信を行わせる端末1のみに接続されている場合には、当該通信I/F部22で入出力されるIPパケットについては全て暗号化又は復号化を行うと設定することや、IPパケットを受信した際に、当該IPパケットに含まれるMACアドレスで表現された送信元識別子及び送信先識別子を確認して、セキュア通信を行わせる端末1の識別子である場合には、暗号化又は復号化を行うと設定する。
また、上記の例では、会社情報とセキュリティ処理条件テーブルとを比較して暗号化又は復号化を行うか否かを判定したが、セキュリティ処理条件テーブルに機器種別がカメラである場合には暗号化又は復号化を行うことが設定されている場合には、端末1固有の情報として機器種別を要求することになり、OA(office automation)システムを構成する端末1である場合には暗号化又は復号化を行わないことがセキュリティ処理条件テーブルに設定されている場合には、端末1固有の情報としてシステム種別を要求することになる。
このように、通信システムでは、ネットワークNTを介して接続されたそれぞれの通信装置2A,2Bにおいて、それぞれに接続された端末1固有の情報を取得して、端末1ごとにセキュア通信を行わせるかどうかを区別することができる。そして、セキュア通信をさせる端末1からIPパケットを受信した場合には、当該IPパケットに暗号化処理を施して、ペイロード部が暗号化されたIPパケットに変換してネットワークNTに中継させ、他方の通信装置2でIPパケットを復号化して宛先の端末1に受信させることができる。一方、セキュア通信をさせない端末1からIPパケットを受信した場合には、そのままIPパケットをネットワークNTに送信させる。
以上詳細に説明したように、本発明を適用した通信システムによれば、端末1で送受信される通信データを中継する通信装置2によって、端末1に固有の端末情報を取得し、当該端末情報と、予め記憶しておいた暗号化又は復号化を行う端末情報の条件を記述したセキュリティ処理条件テーブルとを比較して、中継する通信データに暗号化又は復号化を施すか否かを判断することができるので、端末1に複雑且つ多くの処理を行わせることなく、当該端末で送受信される通信データに暗号化及び復号化などのセキュリティ処理を行わせることができる。
また、この通信システムにおいて、通信装置2を、通信データに対して暗号化又は復号化を施す階層の第1の通信プロトコル(ネットワーク層)よりも下位層で通信データの処理を行うための第2の通信プロトコル(データリンク層)での識別子(MACアドレス)を有したものとし、端末1を、第2のプロトコルに従って通信装置2との間で通信が可能とし、通信装置2の要求によって端末1の固有の情報を取得して、暗号化又は復号化を施すか否かを判断することができる。
更にまた、この通信システムによれば、通信装置2によって、キュリティ処理条件テーブルを、外部からダウンロードして記憶させるので、当該外部のサーバへの設定のみによって、複数の通信装置2でのセキュリティ処理条件テーブルを設定することができ、簡単に通信システムにセキュア通信を導入することができる。
更にまた、この通信システムによれば、各通信装置2のセキュリティ処理条件テーブルとして、端末1の製造元を識別する企業情報、端末1の製造元事業部を識別する事業部情報、端末1が構成するシステムの種別情報、端末1の機器種別情報、端末1の用途情報の何れかの端末情報と、当該端末情報について暗号化又は復号化を施すか否かの情報とが対応付けられて構成されているデータを使用しているので、MACアドレス以外の端末1の固有の用途などによって、確実に端末1で送受信する通信データに暗号化又は復号化を施すことができる。
これにより、この通信システムによれば、各通信装置2に接続されている端末1が異なるメーカによって製造されたものであっても、システム種別や用途などによって暗号化又は復号化を施して通信データの中継を行うことができ、暗号化又は復号化についてメーカ互換性を持たせることができる。
[第2実施形態]
つぎに、本発明を適用した第2実施形態に係る通信システムについて説明する。なお、上述の第1実施形態と同様の部分は、同一符号を付することによってその詳細な説明を省略する。
第2実施形態に係る通信システムは、通信装置2同士でネゴシエーションを行って、それぞれに接続された端末1固有の情報を共有することを特徴とするものである。
ここで、第1実施形態において、通信装置2で暗号化されたIPパケットは、通信相手先が復号化機能を有する端末1やゲートウェイである場合には、復号されて所定の処理が行われる。また、それぞれの通信装置2において暗号化方式などが同一である場合には、一方の通信装置2で暗号化処理を施したIPパケットを、他方の通信装置2で復号化処理を施すことによって、非セキュア端末である端末1で受信させて所定の処理を行わせることができる。しかしながら、暗号化処理を施す通信装置2において、端末1固有の情報に応じて暗号化レベルを動的に変更させるセキュリティ処理条件テーブルを使用している場合には、他方の通信装置2において復号化処理が完了しないという事態を招来することになってしまう。
これに対し、第2実施形態に係る通信システムは、それぞれの通信装置2で同一のセキュリティ処理条件テーブルと、それぞれの通信装置2に接続された端末1固有の情報を記憶しておくために通信装置2の間でネゴシエーションを行う。
このネゴシエーションは、それぞれの通信装置2が有しているMACアドレスを使用して通信装置2間の通信を確立させ、イーサネットパケットに通信装置2間の通信であり自己に接続されている端末1には中継させない制御コードを含める。これにより、イーサネットパケットのペイロード部に自己に接続された端末1固有の情報やセキュリティ処理条件テーブルを格納して、他方の通信装置2に通知することができる。
この通信システムによれば、通信装置2同士で通信を行って、当該通信装置2同士で共通したセキュリティ処理条件テーブルを設定することができ、一方の通信装置2で暗号化しても、他方の通信装置2で確実に復号化を完了させることができる。
したがって、この第2実施形態に係る通信システムによれば、例えば端末1Aから送信されたIPパケットを通信装置2Aで暗号化して、ネットワークNTを介して通信装置2Bで受信した場合には、当該通信装置2Bにより暗号化レベルを認識することができ、復号化処理を完了させて、端末1Cや端末1Dに中継させることができる。
また、ネットワークNTが上位層でしか通信を行えないネットワークである場合、例えば下位層ではMACアドレスを使用してデータ伝送を行い、上位層ではIPアドレスを使用してデータ伝送を行うようなネットワークであって、ルータ越えやインターネット網越えを行う必要があるネットワークにおいて、通信装置2間の通信を行うに際して、それぞれの通信装置2にIPアドレスを与えて通信装置2間の通信を確立させてもよく、更には、それぞれの通信装置2を通過して他の通信装置2で受信されたIPパケットに含まれる端末1のIPアドレスを取得して端末1になりすまして通信装置2間での通信を確立させても良い。すなわち、通信装置2間で通信を行う場合には、データリンク層におけるMACアドレスや、IP層のIPアドレスを使用する必要がある。これに対し、それぞれの通信装置2は、一度通過させた自己に接続されたIPパケットの送信元IPアドレスと、他方の通信装置2に接続された送信先IPアドレスとのアドレスペアを利用して、通信装置2間の通信を実現する。換言すれば、通信装置2は、他の端末のIPアドレスを借り、あたかも当該端末になりすまして通信装置2間の通信を実現する。なお、MACアドレスのアドレスペアを利用して通信装置2との間の通信を実現しても良い。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用した通信システムの構成を示すブロック図である。 本発明を適用した通信システムにおける端末の構成を示すブロック図である。 本発明を適用した通信システムにおける通信装置の構成を示すブロック図である。 本発明を適用した通信システムにおいて、端末固有の情報を通信装置で取得する時のネゴシエーションフローを示す図である。
符号の説明
1 端末
2 通信装置
11,21 中央処理部
12,23 記憶部
13,22 通信I/F部
14 ネゴ通信処理部
24 暗号復号処理部

Claims (10)

  1. 通信データの送受信を行う端末と、
    前記端末と接続され、前記端末で送受信される通信データに対して暗号化処理又は復号化処理を施して、当該通信データを中継する通信装置とを備え、
    前記通信装置は、前記端末に固有の端末情報を取得し、当該端末情報と、予め記憶しておいた暗号化又は復号化を行う端末情報の条件を記述したセキュリティ処理条件テーブルとを比較して、中継する通信データに暗号化又は復号化を施すか否かを判断すること
    を特徴とする通信システム。
  2. 前記通信装置は、通信データに対して暗号化又は復号化を施す階層の第1の通信プロトコルよりも下位層で通信データの処理を行うための第2の通信プロトコルでの識別子を有し、前記端末は、前記第2のプロトコルに従って前記通信装置との間で通信が可能となっており、
    前記通信装置は、前記端末に、当該端末に固有の端末情報の返信を要求する要求パケットを送信し、当該端末は、前記要求パケットに応じて端末情報を返信し、前記通信装置は、当該要求パケットに対して返信された端末情報と前記セキュリティ処理条件テーブルとを比較して、当該端末で送受信される通信データに暗号化又は復号化を施すか否かを判断すること
    を特徴とする請求項1に記載の通信システム。
  3. 前記通信装置は、前記セキュリティ処理条件テーブルを、外部からダウンロードして記憶させることを特徴とする請求項1に記載の通信システム。
  4. ネットワークを介して接続された前記通信装置を複数備え、当該各通信装置に前記端末が接続された通信システムであって、
    前記複数の通信装置の何れかの第1の通信装置は、他の第2の通信装置との間で前記ネットワークを介した通信を行い、自己に接続されている端末の端末情報を第2の通信装置に記憶させると共に、前記第2の通信装置は、前記第1の通信装置との間で前記ネットワークを介した通信を行い、自己に接続されている端末の端末情報を第1の通信装置に記憶させ、
    前記複数の通信装置の何れかの第1の通信装置は、他の第2の通信装置との間で前記ネットワークを介した通信を行い、前記第1通信装置と前記第2の通信装置とで同一のセキュリティ処理条件テーブルを記憶させること
    を特徴とする請求項1に記載の通信システム。
  5. 前記セキュリティ処理条件テーブルは、前記端末の製造元を識別する企業情報、前記端末の製造元事業部を識別する事業部情報、前記端末が構成するシステムの種別情報、前記端末の機器種別情報、前記端末の用途情報の何れかの端末情報と、当該端末情報について暗号化又は復号化を施すか否かの情報とが対応付けられて構成されていることを特徴とする請求項1乃至請求項4の何れかに記載の通信システム。
  6. 端末と接続され、前記端末で送受信される通信データに対して暗号化処理又は復号化処理を施して、当該通信データを中継する通信方法において、
    前記端末に固有の端末情報を取得し、当該端末情報と、予め記憶しておいた暗号化又は復号化を行う端末情報の条件を記述したセキュリティ処理条件テーブルとを比較して、中継する通信データに暗号化又は復号化を施すか否かを判断すること
    を特徴とする通信方法。
  7. 通信データに対して暗号化又は復号化を施す階層の第1の通信プロトコルよりも下位層で通信データの処理を行うための第2の通信プロトコルでの識別子を使用して、前記第2のプロトコルに従って、前記端末との間で通信を行い、
    前記端末に、当該端末に固有の端末情報の返信を要求する要求パケットを送信し、当該端末からの前記要求パケットに応じた端末情報を受信し、当該要求パケットに対して返信された端末情報と前記セキュリティ処理条件テーブルとを比較して、当該端末で送受信される通信データに暗号化又は復号化を施すか否かを判断すること
    を特徴とする請求項6に記載の通信方法。
  8. 前記セキュリティ処理条件テーブルを、外部からダウンロードして記憶させることを特徴とする請求項6に記載の通信方法。
  9. ネットワークを介して接続された前記通信装置を複数備え、当該各通信装置に前記端末が接続された通信システムにおける通信方法であって、
    前記複数の通信装置の何れかの第1の通信装置は、他の第2の通信装置との間で前記ネットワークを介した通信を行い、自己に接続されている端末の端末情報を第2の通信装置に記憶させると共に、前記第2の通信装置は、前記第1の通信装置との間で前記ネットワークを介した通信を行い、自己に接続されている端末の端末情報を第1の通信装置に記憶させ、
    前記複数の通信装置の何れかの第1の通信装置は、他の第2の通信装置との間で前記ネットワークを介した通信を行い、前記第1の通信装置と前記第2の通信装置とで同一のセキュリティ処理条件テーブルを記憶させること
    を特徴とする請求項6に記載の通信方法。
  10. 前記セキュリティ処理条件テーブルは、前記端末の製造元を識別する企業情報、前記端末の製造元事業部を識別する事業部情報、前記端末が構成するシステムの種別情報、前記端末の機器種別情報、前記端末の用途情報の何れかの端末情報と、当該端末情報について暗号化又は復号化を施すか否かの情報とが対応付けられて構成されていることを特徴とする請求項6乃至請求項9の何れかに記載の通信方法。
JP2005004115A 2005-01-11 2005-01-11 通信システム及び通信方法 Pending JP2006196996A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005004115A JP2006196996A (ja) 2005-01-11 2005-01-11 通信システム及び通信方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005004115A JP2006196996A (ja) 2005-01-11 2005-01-11 通信システム及び通信方法

Publications (1)

Publication Number Publication Date
JP2006196996A true JP2006196996A (ja) 2006-07-27

Family

ID=36802745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005004115A Pending JP2006196996A (ja) 2005-01-11 2005-01-11 通信システム及び通信方法

Country Status (1)

Country Link
JP (1) JP2006196996A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008015866A1 (fr) * 2006-08-04 2008-02-07 Nec Corporation Appareil, programme et procédé d'enregistrement d'information de paramétrage, système de communication sans fil
JP2008199302A (ja) * 2007-02-13 2008-08-28 Mitsubishi Electric Corp 映像監視システム
WO2010087326A1 (ja) * 2009-01-28 2010-08-05 株式会社明電舎 Tcp通信方式
JP2010178242A (ja) * 2009-02-02 2010-08-12 Fujitsu Ltd ゲートウェイ、情報処理方法、プログラム及びデータ暗号化端末

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008015866A1 (fr) * 2006-08-04 2008-02-07 Nec Corporation Appareil, programme et procédé d'enregistrement d'information de paramétrage, système de communication sans fil
JP2008199302A (ja) * 2007-02-13 2008-08-28 Mitsubishi Electric Corp 映像監視システム
WO2010087326A1 (ja) * 2009-01-28 2010-08-05 株式会社明電舎 Tcp通信方式
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
CN102301660A (zh) * 2009-01-28 2011-12-28 株式会社明电舍 Tcp通信方案
US8578149B2 (en) 2009-01-28 2013-11-05 Meidensha Corporation TCP communication scheme
US9769289B2 (en) 2009-01-28 2017-09-19 Meidensha Corporation TCP communication scheme
JP2010178242A (ja) * 2009-02-02 2010-08-12 Fujitsu Ltd ゲートウェイ、情報処理方法、プログラム及びデータ暗号化端末

Similar Documents

Publication Publication Date Title
JP4407452B2 (ja) サーバ、vpnクライアント、vpnシステム、及びソフトウェア
JP4081724B1 (ja) クライアント端末、中継サーバ、通信システム、及び通信方法
US7395354B2 (en) Methods and systems for resolving addressing conflicts based on tunnel information
JP3831364B2 (ja) 通信システム、同通信システムにおけるセキュリティポリシーの配布方法
JP5607655B2 (ja) 非暗号化ネットワーク動作解決策
CN101420423A (zh) 网络系统
JPH10126405A (ja) 移動計算機装置及びパケット暗号化認証方法
JP2005515664A (ja) モバイル通信ネットワークのための安全な伝送
CN111371798B (zh) 数据安全传输方法、系统、装置及存储介质
KR20040035902A (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US20040243837A1 (en) Process and communication equipment for encrypting e-mail traffic between mail domains of the internet
US6775769B1 (en) Cryptographic apparatus, encryptor, and decryptor
CN102088438A (zh) 一种解决IPSec Client地址冲突的方法及IPSec Client
JP2008154103A (ja) 通信中継装置
JP2006196996A (ja) 通信システム及び通信方法
JP4933286B2 (ja) 暗号化パケット通信システム
JP2006191205A (ja) 通信装置及び通信方法、通信システム
KR20150060050A (ko) 네트워크 장치 및 네트워크 장치의 터널 형성 방법
JP2001326695A (ja) ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
KR102023416B1 (ko) 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법
EP3709198B1 (en) Information processing device and information processing method
JP2010081108A (ja) 通信中継装置、情報処理装置、プログラム、及び通信システム
JP4779639B2 (ja) セキュリティ通信システム
JP2009081710A (ja) 通信機器及び通信機器に用いられる通信方法
JP2006352710A (ja) パケット中継装置及びプログラム