加密的一元集中管理系统转让专利
申请号 : CN03810511.X
文献号 : CN100591004C
文献日 : 2010-02-17
发明人 : 井泽诚 , 成田宏光 , 冈本明
申请人 : 奥尼西克集团有限公司
摘要 :
权利要求 :
1、一种一元集中加密管理系统,备有:
多个通信终端,其之间进行数据通信;
密码装置,其连接在上述多个通信终端之间,备有加密/解密机构, 该加密/解密机构在具有加密处理功能和不具有加密处理功能的通信终 端之间进行数据的加密处理和解密处理,以便实现通信终端之间基于加密 而保证的安全;和管理终端,其通过网络远程地对上述通信终端和上述密码装置输入各 种信息,所述各种信息用于:有无加密/解密处理、加密的等级、执行加密 的时间段、密码策略以及加密密码,以便实现对于密码装置和通信终端中 每一个的加密数据通信的设置;
其中,各种信息包括以下信息中的至少一个:有无加密/解密处理、指 示了在特定终端之间丢弃分组的通信能力、加密的等级、用于加密的时间 段、以及每个部门的密码策略,上述多个通信终端、上述管理终端、上述密码装置通过有线或无线的 网络连接;
密码装置还包括桥接机构,使得能够将来自另一个端口的数据输出, 而无需任何路由处理;
其中,利用密码装置的多个端口中的一个端口接收数据,并对数据执 行加密或解密处理。
2、根据权利要求1所述的一元集中加密管理系统,其特征在于,上述加密/解密机构,对数据进行上述加密处理和上述解密处理,以 便加密机构在具有上述加密处理功能的通信终端之间进行加密的数据通 信,和在不具备加密处理功能的通信终端之间进行不加密的数据通信。
3、根据权利要求1所述的一元集中加密管理系统,其特征在于,上述密码装置具备有设定信息存储机构,该设定信息存储机构存储着 由上述管理终端输入的、用于控制上述加密处理和上述解密处理的信息,上述密码装置通过将存储在上述设定信息存储机构中的设定信息和 从所述多个端口中的一个端口输入的数据的数据分组的头信息进行比较, 控制上述加密处理和上述解密处理。
4、一种一元集中加密管理系统,其特征在于,具备:
多个通信终端,其之间进行数据通信;
密码装置,其连接在上述多个通信终端之间,密码装置对自一个端口 接收、并通过了物理层及数据链路层的数据,进行加密处理或解密处理,密码装置通过数据链路层和物理层从另一个端口输出加密或解密的 数据,而不将数据通过其中控制了网络间路由的网络层;和管理终端,其通过网络远程地向上述通信终端和上述密码装置输入各 种信息,所述各种信息用于:有无加密/解密、加密的等级、执行加密的时 间段、密码策略以及加密密钥,以便实现对于密码装置和通信终端中每一 个的加密数据通信的设置;
其中,各种信息包括以下信息中的至少一个:有无加密/解密处理、指 示了在特定终端之间丢弃分组的通信能力、加密的等级、用于加密的时间 段、以及每个部门的密码策略,其中,上述多个通信终端、上述管理终端、以及上述密码装置通过有 线或无线网络连接。
5、根据权利要求4所述的一元集中加密管理系统,其特征在于,上述密码装置还备有设定信息存储机构,该设定信息存储机构存储由 上述管理终端输入的、用于控制上述加密处理和上述解密处理的信息,上述密码装置通过将存储在上述设定信息存储机构中的设定信息与 从上述多个端口中的一个端口接收的数据的数据分组的头信息进行比较, 来控制上述加密处理和上述解密处理。
说明书 :
技术领域
本发明有涉及加密的一元集中管理系统,特别是涉及为了降低在网络 上由外部攻击而引起的信息被盗取或被删改等危险而进行信息加密/解 密的系统。
背景技术
“信息加密”是用于解决此问题的方法之一。即在发送侧的个人计算 机中将信息加密后再发送到对方。在接受侧的个人计算机中将其解密再使 用。采用这种方法,即使在网络的中途信息被盗取,由于信息被加密,信 息本身的被看到的可能性小,另外也降低被删改的危险性。
但是,为了使用密码,需要在欲进行密码通信的终端,都要安装专用 的密码软件,必须进行各种设定。例如在某终端与另一某终端之间进行密 码通信但与其他的终端之间不进行密码通信等这样的有无密码的处理、在 进行密码通信中加密的等级、进行加密的时间段、密钥等非常多的信息需 要在每个终端中进行设定。因此要建立使用密码的系统存在需要很多劳动 的问题。
发明内容
本发明的加密一元集中管理系统,具备:多个通信终端,其之间进行 通信;密码装置,其连接在上述多个通信终端之间,其备有加密/解密机 构,该加密/解密机构在具有密码处理功能的通信终端之间,为了达到实 现终端由加密而保证的安全,进行数据的加密处理和解密处理;管理终端, 其将进行上述密码通信所需要的各种信息的设定,通过网络远距离地对上 述通信终端和上述密码装置进行,其中,上述多个通信终端(具有上述密 码处理功能的终端,除了安装密码软件的终端之外,还包含具有和上述密 码装置同样功能的其他的密码装置)、上述管理终端、上述密码装置通过 有线或无线网络连接。
本发明的另一方案中,上述加密/解密机构,为了在具有上述密码处 理功能的通信终端之间进行加密的数据通信,和在不具备密码处理功能的 通信终端之间进行不加密的数据通信,进行上述加密处理和上述解密处 理。
本发明的另一方案中,上述密码装置备有桥接机构,该桥接机构将从 一个端口输入的、经上述加密/解密机构施以加密处理或解密处理的数 据,并不经过路由处理而直接地保持原状地从其他端口输出。
本发明的另一方案,备有:多个通信终端,其之间进行通信;密码装 置,其连接在上述多个通信终端之间,对自一个端口输入的、通过物理层 及数据链层交予的数据,进行加密处理或解密处理,由此所获得的数据并 不交予进行网络间路由控制的网络层,而通过数据链络层和物理层由另一 端口输出;管理终端,其将上述密码通信所需要的各种信息的设定,通过 网络远距离地对上述通信终端和上述密码装置进行,其中,上述多个通信 终端、上述管理终端、以及上述密码装置通过有线或无线网络连接。
本发明的另一方案,上述密码装置是备有设定信息存储机构,该设定 信息存储机构存储由上述管理终端设定的、与上述加密处理和上述解密处 理的控制相关的信息,上述密码装置对照存储在上述设定信息存储机构中 的设定信息,和附加在从上述一个端口输入的数据包头部中的信息,进行 上述加密处理和上述解密处理的控制。
附图说明
图2是表示根据本实施方式的加密一元集中管理系统的另一构成例的 图。
图3是表示根据本实施方式的加密一元集中管理系统的再另一构成例 的图。
图4是表示根据本实施方式的加密一元集中管理系统的进一步另一构 成例的图。
图5是表示根据本实施方式的密码装置和与其连接的DB服务器和个 人计算机中的通信协议的层次结构的图。
图6是说明在本实施方式上流通在网络上的数据包的IP地址的图。
图7是说明在本实施方式上流通在密码装置中的数据包的MAC地址 的图。
图8是说明以往的流通在VPN路由器中的数据包的MAC地址的图。
具体实施方式
图1是表示本实施方式加密的一元集中管理系统的整体构成例的图。
在图1中,1是密码装置,备有2个端口,在一个端口(port)连接 有网络打印机2、DB服务器3、网络终端设备4等的设备,在另一端口连 接有集线器5。该密码装置1是在网络打印机2、DB服务器3、网络终端 设备4等装置与集线器5之间进行数据中继。
网络打印机2是不能在物理上安装密码软件的终端。DB服务器3由 于动作的稳定方面等问题不适合安装多余密码软件的终端。网络终端设备 4是没有OS(操作系统)不能运行密码软件的终端。因此,在这些终端2~ 4中不能安装密码软件。
另外,在OSI参照模式的物理层中,集线器5是用于数据中继的设 备。除了上述密码装置1之外,还连接有无线通信用的无线接入点6、台 式个人计算机7、以及用于进行与加密/解密有关的各种信息设定的管理终 端12。此时的集线器5,是用于在密码装置1与无线接入点6及台式个人 计算机7之间进行密码通信的数据中继,另外,也对管理终端12和其他 的密码装置1、无线接入点6、台式个人计算机7之间,进行各种信息设 定用的数据中继。
进一步,在上述无线接入点6中,通过无线连接有台式个人计算机8 和膝上型个人计算机9。在台式个人计算机7、8及膝上型个人计算机9 中,可以安装用于进行数据的加密/解密的密码软件,实际上安装有用于进 行加密/解密处理的代理软件。在密码装置1中,也安装与此相同的密码 代理软件。
如上所述,本实施方式的密码装置1是具有两个端口,对于一个端口, 通过集线器5或无线接入点6间接地连接具有密码处理功能的通信终端即 个人计算机7~9。另外,在另一端口直接地连接网络打印机2、DB服务 器3、网络终端设备4。并且,由这些密码装置1、网络打印机2、DB服 务器3、网络终端设备4、集线器5、无线接入点6、个人计算机7~9而 构成一个据点网络。
根据上述的构成,在没有安装密码软件的网络打印机2、DB服务器3、 及网络终端设备4,与安装有密码软件的个人计算机7~9(这些设备2~4、 7~9均相当于本发明的通信终端)之间、通过密码装置1、集线器5及无 线接入点6进行数据通信。
此时,密码装置1,用于在安装有密码软件的个人计算机7~9之间进 行信息的通信,同时在未安装密码软件的终端2~4间进行未加密的数据 通信,而进行加密处理及密码的解密处理。
例如,数据从台式个人计算机7发送到网络打印机2进行打印输出时, 首先使用安装在台式个人计算机7中的密码软件将数据加密,再通过集线 器5供给到密码装置1。接着,密码装置1,将接受到数据解密,发送到 网络打印机2。
再者,例如在DB服务器3所管理的数据取入膝上型个人计算机9时, DB服务器3,根据附与的要求,将该数据供给密码装置1。接受了该未加 密的数据的密码装置1,将该数据予以加密,通过集线器5和无线接入点 6,发送到膝上型个人计算机9。膝上型个人计算机9,将接受的数据予以 解密,使用于期望的处理。
由上面的说明可以明确:通过使用密码装置1,在具有不能安装专用 的密码软件的终端2~4的企业内LAN(Local Area Network)当中,也能 使用密码。由此可以建立对于外部的不正当侵入或攻击而LAN内部的机 密数据被盗取或被删改的危险性小的安全网络10。
另外,密码装置1与各终端2~4之间是不能使用密码,连接它们的 电缆11在物理上是很短的配线。且由于此部份的受外部攻击而被盗听或 被删改的可能性非常低,所以安全上不会特别有问题。
在如上述构成的密码系统中,对于密码装置1及个人计算机7~9所 安装的密码代理软件,应该设定的各种信息,例如有无加密/解密处理, 某个终端与某个终端之间是否可以进行丢弃数据包等这样的通信,加密等 级,进行加密的时间段,每个部门的密码策略,密钥等信息,这些是通过 集线器5从管理终端12将必要的信息下载到密码装置1和各个人计算机 7~9。
因此,不需要将使用密码所需的各种信息在每个终端分别地设定,从 管理终端12到密码系统的整体可以一元集中管理。所以,对各终端的各 种信息的设定可以简单地进行,可以大幅度地削减密码系统的建立以及其 以后的维护所需的工作。
以往,在备有在物理上不能安装密码软件的打印机或传真等终端,优 选不适宜安装多余软件的打印服务器或数据库服务器等终端,和不具备 OS只能作为简单的网络终端发挥作用的终端等的企业内LAN之中,因为 不能实质上地安装密码软件,所以使用密码是很困难。
因此以往的密码系统,采取在连接于网络的各终端之间互相交换的信 息的中途互联网上,予以加密。此时,进行密码通信的终端,因为是在网 络上多个散布存在,所以对于这些多个的终端进行加密的一元集中管理是 非常困难的。与此相反,根据本实施方式,因为在企业内LAN中可以使 用密码,所以在该LAN内可以进行加密的一元管理。
图2是表示本实施方式加密的一元集中管理系统其他构成例的图。另 外在该图2中,与图1所示的构成要素备有同一功能的构成要素是附与同 一符号。在图2中,密码装置1,在一个的端口连接互联网20,另一个的 端口连接集线器5。
图2的情形,是由密码装置1、集线器5、无线接入点6、个人计算机 7~9构成一个据点网络。另外在互联网20的前面连接有另一据点网络, 其连接了多台如图1所示的网络打印机2、DB服务器3、网络终端设备4 等不能安装密码软件的终端,或者连接多台如个人计算机7~9那样被安 装了密码软件的终端而构成的。
在图1所示的例子中,对于1台密码装置1连接1台设备,与1台的 设备相关的加密/解密处理是以1台的密码装置1专用地进行。即图1所 示的密码装置1,连接在安装了密码软件的个人计算机7~9与没有安装密 码软件的1台的设备之间,对该1台设备终端保证由加密而实现的安全。
与此相反,在图2所示的例子中,密码装置1,连接在安装有密码软 件的个人计算机7~9和连接在互联网20的多台设备之间。上述的多台设 备,可以是例如图1所示的网络打印机2、DB服务器3、网络终端设备4 等那样没有安装密码软件的设备,也可以是如个人计算机7~9等那样安 装有密码软件的设备。这样,密码装置1,可以对于多台设备终端保证由 加密而实现的安全,此时,密码装置1,只有被连接的设备数量的数据通 路,对于每个设备使用不同的密钥进行加密/解密处理。
另外,通过互联网20,将数据从安全网络10内的台式计算机7向不 具有密码软件的外部设备发送的时候,首先,在台式计算机7中,使用已 安装的密码软件对数据进行加密,通过集线器5供给密码装置1。接着, 密码装置1,将受到的数据解密,通过互联网20发送到外部设备。
另外,例如将位于互联网20前面的不具备密码软件的外部装置所管 理的数据,取入到安全网络10内的膝上型个人计算机9时,该外部装置, 根据提供的要求,将该数据发送到互联网20。接到该未加密数据的密码装 置1,将该数据予以加密,通过集线器5及无线接入点6,发送到膝上型 个人计算机9。膝上型个人计算机9将接受的数据予以解密,再使用于期 望的处理。
另一方面,数据通过互联网20,从安全网络10内的台式个人计算机 7向具有密码软件的外部设备发送时,首先使用安装于台式个人计算机7 中的密码软件将数据加密,通过集线器5供给到密码装置1,接着密码装 置1将接受的数据不予解密,通过互联网20发送到外部设备。外部设备 将接受的数据予以解密,再使用于期望的处理。
相反的,在位于网络20的前面的外部装置中,将加密的数据发送到 安全网络10内的台式个人计算机7时,密码装置1将通过互联网20从外 部设备接受的数据不予解密,保持加密的状态通过集线器5发送到台式个 人计算机7。
这样,即使安全网络10内的终端7~9与连接于互联网20的不具备 密码软件的外部设备之间进行数据通信时,至少在安全网络10的内部可 以使用密码保护。另外,在连接于互联网20的外部设备中,安装有密码 软件时,在安全网络10的外部的互联网20上也可以使用密码。
另外,上述多台的设备,不需要通过互联网20连接,也可以直接或 通过集线器与密码装置1连接。在直接连接时,密码装置1要具有2个以 上的端口。
图3是表示本实施方式加密的一元集中管理系统另一构成例的图。而 且,在该图3中,对于与图1的构成要素具有同一功能的构成要素附与同 一符号,图3所示的例子也与图2所示的例子一样,是1台密码装置1对 多台的设备终端保证由加密而实现安全的例子。
在图3所示的例子中,在安全网络10的内部,3台的个人计算机7~ 9都以无线LAN连接于无线接入点6-1。无线接入点6-1是通过密码装置 1连接于互联网20。另外备有多个无线接入点6-1、6-2,以1台的无线接 入点6-1不能完全覆盖的通信范围用另一无线接入点6-2来覆盖,因而提 供比较宽广的无线LAN环境。密码装置1分别与每一无线接入点6-1、6 -2连接。
在这样构成的密码系统中,例如连接于一个的无线接入点6-1的膝上 型个人计算机9,可以实现在移动超出其可通信范围进行时切换至另一个 的无线接入点6-2继续进行通信的切换。并且如上所述,由于管理终端12 一元管理用于密码通信的通路的设定,即使在多个无线接入点6-1,6-2之 间,也能够继续进行密码通信。
再者,在本图3所示的例子中,管理终端12是与互联网20连接。此 时的管理终端12,通过互联网20,将对密码代理软件应该设定各种数据, 下载到密码装置1及各个人计算机7~9而予以设定。
另外,在上述图1~图3中,对具备1个安全网络10和将其中的加密 进行一元管理的一个管理终端12的例子进行了说明。与此相对,也可以 建立这样的一个加密系统,其备有多个管理终端12,该管理终端12将多 个安全网络10及其中的加密分别予以一元管理,各管理终端12通过互联 网20等互相进行数据通信,并适当地设定有关加密/解密的各种的信息, 汇集多个的安全网络10整体构成1个密码系统。
再者,在上述图1~图3中,做为本发明的具有密码处理功能的通信 终端的例子,例举了安装密码软件的个人计算机7~9。而在密码装置1 与个人计算机7~9之间,对终端通过加密而实现安全的例子进行了说明。 但是具有密码处理功能的通信终端并不局限于此例,还包含具有与密码装 置1同样的功能的其他密码装置。在图4中表示这种情况的加密一元集中 管理系统。
在图4所示的例子中,据点A、B的二个据点网络30A、30B是通过 路由器40A、40B、互联网20连接而成。据点A网络30A中是由个人计 算机31A~33A及密码装置1A-1~1A-3来构成企业内LAN。个人计算机 31A~33A均是没有安装密码软件的终端。密码装置1A-1~1A-3均具有与 图1的密码装置1同样的功能。在一个端口连接有个人计算机31A~33A, 在另一个端口是连接有路由器40A。
在据点B网络30B中也同样,由个人计算机31B~33B及密码装置 1B-1~1B-3构成企业内LAN。个人计算机31B~33B是均没有安装密码软 件的终端。另外,密码装置1B-1~1B-3均具有图1的密码装置1同样的 功能,在一个端口连接个人计算机31B~33B,在另一个端口连接路由器 40B。
根据这样的构成,在属于不同的据点网络30A、30B的个人计算机之 间,可以通过密码装置1A-1~1A-3、1B-1~1B-3进行数据通信。例如从 位于据点A网络30A内的个人计算机31A向位于据点B网络30B内的个 人计算机33B发送数据时,密码装置1A-1是将个人计算机31A供给的数 据予以加密,通过路由器40A、互联网20及路由器40B发送到密码装置 1B-3。密码装置1B-3将接受的数据解密,供给个人计算机33B,由此从而 实现在不同的据点网络30A、30B之间可以使用密码通信。
再者,例如在据点A网络30A的内部,没有安装密码软件的个人计 算机31A~33A之间是通过密码装置1A-1~1A-3来进行数据通信。例如 从某个人计算机31A向另一个人计算机33A送数据时,密码装置1A-1将 个人电脑31A所供给的数据予以加密,发送至密码装置1A-3。密码装置 1A-3将接受的数据予以解密供给个人计算机33A。
在据点B网络30B的内部也同样,没有安装密码软件的个人计算机 31B~33B之间,是通过密码装置1B-1~1B-3进行数据通信。例如从某个 个人计算机31B向另一个人计算机33B送数据时,密码装置1B-1将由个 人计算机31B所供给的数据加密,发送至密码装置1B-3,密码装置1B-3 将接受的数据予以解密供给于个人计算机33B。
如上所述,密码装置1A-1~1A-3、1B-1~1B-3均在没有安装密码软 件的个人计算机31A~33A、31B~33B之间进行没有被加密的数据的通 信,同时在具有密码处理功能的通信终端的密码装置1A-1~1A-3、1B-1~ 1B-3之间,为了进行加密的数据通信而进行加密处理及密码的解密处理。
将上述的密码装置1A-1~1A-3、1B-1~1B-3分别连接在个人计算机 31A~33A、31B~33B的附近,在不同的据点网络30A、30B之间使用密 码是当然不用说的,在具有没有安装密码软件的个人计算机的企业内LAN 中也成为可能。由此,可以使各据点网络30A、30B成为对于外部的不正 当侵入或攻击而LAN内部的机密信息的被盗取或被删改的危险性小的安 全网络。
另外,在图4的例子中,将各据点网络30A、30B中的加密分别以一 元管理的多个管理终端12A、12B,与互联网20连接。各管理终端12A、 12B通过互联网20互相进行数据通信,并适当地设定与加密/解密有关 的各种信息。由此,可以集中多个据点网络30A、30B整体上构成一个密 码系统。
再者,在上述图4的例子中,各据点网络30A、30B均具备多个密码 处理功能的终端(密码装置1A-1~1A-3、1B-1~1B-3)的构成,也可以作 为至少一个的据点网络只备有一个密码处理功能的终端的构成,例如也可 以将据点网络30A内,连接1台个人计算机31A与1个密码装置1A-1的 构成。
此时,与图4所示的构成同样,在不同的据点网络30A、30B之间可 以使用密码。另外关于据点网络30A内,是将密码装置1A-1连接于个人 计算机31A的附近,由此在该据点网络30A的出入口与密码装置1A-1之 间可以使用密码。
另外,在上述图4的例子中,是以通过互联网20连结二个据点网络 30A、30B,而在各据点网络30A、30B内分别备有密码装置1A-1~1A-3、 1B-1~1B-3和个人计算机31A~33A、31B~33B为例进行表述,但是本 发明不局限于此。
例如,在1个据点网络内具备有密码装置1A-1~1A-3、1B-1~1B-3 及个人计算机31A~33A、31B~33B,在未安装密码软件的个人计算机 31A~33A、31B~33B之间的数据交换,还可以通过密码装置1A-1~1A- 3、1B-1~1B-3来进行。此时,在1个据点网络内,至少在密码装置1A-1~ 1A-3、1B-1~1B-3之间可以使用密码。
另外,除了上述以外,例如在图1的构成中,还可以采用替代安装有 密码软件的个人计算机7,使用未安装密码软件的个人计算机和密码装置 1,将密码装置1与集线器5连接的构成。此时,未安装密码软件的网络 打印机2、DB服务器3、网络终端设备4等的设备,与未安装密码软件的 个人计算机之间,可以通过连接于两者附近的密码装置1进行密码通信。
图5是表示在图1所示的密码系统中,密码装置1与直接和间接地连 接在密码装置1的DB服务器3及膝上型个人计算机9之间的通信协议的 层次结构的图。在图5所示的例子中,在DB服务器3没有预先安装密码 软件(没有IP-Sec),在膝上型个人计算机9中安装有密码软件(具有IP -Sec),在该DB服务器3与膝上型个人计算机9之间连接有本实施方式 的密码装置1。这里,将保存在DB服务器3中的数据送至密码装置1, 在这里假想该将数据加密发送至个人计算机9的使用形式。
如图5所示,DB服务器3及个人计算机9是分别备有一个端口31、 32,做为其中继机的密码装置1具备两个端口33、34。对于密码装置1 的各端口33、34而分别设有物理层及MAC层(数据链路层),对于各端 口33、34共同设置IP-Sec(加密/解密处理功能)、IP层(网络层),以 及TCP/UDP(传送层)。
层越深离使用者越远。相反层越浅越靠近使用者。在DB服务器3及 个人计算机9的IP层的上一层,存有TCP/UDP层以及应用层(图中均 未表示),其进行使用者所使用的应用程序与下一层之间的过渡。
在数据的发送侧,自上一层朝向下一层,通过每一层的数据逐步改变, 并且在各层之间逐一附加可使数据传送用的头部,相反的在数据的接受 侧,参照各层地址的头部从各层提取必要的数据。并且将被提取出的数据 交于其上一层,最终通过应用层发送到使用者。
下面分别说明各层的功能。TCP/UDP层是进行特定的移交数据,管 理数据包的状态等的层。在数据发送侧,确认将上一层(应用层)所交来 的数据应该移交于对方的哪一应用系统,而将接受地址的端口号码附加于 数据中再交至其下一层(网络层)。另一方面,在数据接受侧,监视从下 一层所交上来的数据包有无发生由于通信状态等的缺失。
IP层是用于将跨越于多个网络的终端间的数据进行转送或进行关于 数据中继的协议和控制的层。对于互为通信对方的通信侧的DB服务器3 与接受侧的个人计算机9,分别分派有不同的IP地址①④,通过识别这个 而可以决定首尾相连(end to end)的逻辑上通信路径。
MAC(Media Access Control)层是用于保证邻接机器的节点间的高可 靠性的数据传送的层,在制造阶段就备有分派给各个机器的物理的MAC 地址,在数据发送侧,当在IP层明确通信对方的IP地址时,在处于其下 一层位置的MAC层中,依据被确立的对方的IP地址,决定经过的下一个 机器(物理上连接的邻接的节点)的收信地址。另一方面在数据接受侧, 依据MAC地址判断为寄给自己的数据包之后,在该上一层的IP层解析IP 地址,判断是否将该数据包再转发到其他机器,或取入自己内部。
物理层,是将上一层交给的数据变换为电气信号或光信号,通过同轴 电缆或光纤电缆等的传送媒体进行实际的数据传送,或将从传送媒体所送 来的电气信号或光信号变换为上一层可以识别的数据,并将其交给上一层 的层。在作为物理层的上一层的MAC层中,依照物理层的通信接口的方 法进行上述的处理。
IP-Sec是进行数据的加密处理和解密处理的功能部。即取得从MAC 层所交给的数据,进行该数据的加密及密码解密处理。
本实施方式的密码装置1,是具有通过IP-Sec而桥接两个端口33、 34之间的特征。所谓“桥接”(Bridge),将从一个端口所输入的被加密或 被解密处理的数据,不经过路由处理,原样地输出到其他端口。在图5的 例子中,对从第1端口33输入的数据用IP-Sec进行加密处理,将由此得 到的数据,在IP层不进行路由处理(不交给IP层)保持这样输出到其他 的端口,相当于“桥接”。这样,在本实施方式的密码装置1中,关于在 DB服务器3与个人计算机9之间的数据转送,不使用IP层及TCP/UDP 层,而在IP层的下一层进行处理。
即在DB服务器3中生成的数据包数据,通过该DB服务器3的MAC 层、物理层被发送,由密码装置1的第1端口33接受。将接受的数据包 数据通过物理层、MAC层交给IP-Sec,在此进行加密处理。该被加密的 数据包数据是通经MAC层和物理层由第2的端口34予以发送。
由第2的端口34发送的数据包数据是被个人计算机9接受,通过物 理层、MAC层交给IP-Sec,进行密码解密。而且被解密的数据是通经IP 层交给图中未示的应用层。由此,即使DB服务器3不具备密码软件,仍 然可以对个人计算机9发送该被加密的数据。
另外,密码装置1的IP层和TCP/UDP层,是用于由上述管理终端 12对密码装置1本身设定有关加密/解密的各种信息。这种设定信息,是 通过IP~Sec桥接功能而保存在存储器中。IP-Sec,核对保存在该存储器 中的设定信息与自端口33、34输入的数据包中所附加的头部信息(例如 发送者IP地址及收信IP地址),进行加密/解密的控制等。
这样,在本实施方式的密码装置1中,将一个端口所输入的数据在IP -Sec进行加密/解密,由此获得的数据不交于IP层,不经过路由处理, 保持原状地转送到其他端口,因此在数据通信时可以不要密码装置1的IP 地址。即可进行不具有IP地址地进行IP层的加密/解密处理。因而,可 以免除对于密码装置1本身的复杂的IP地址设定。
另外,连接在密码装置1两侧的终端,成为属于同一网络内,在密码 装置1的输入端口与输出端口,IP地址不会改变。因此不管密码装置1有 无连接到网络上,都可以保持IP地址的透过性。即在网络上连接密码装 置1或从网络上拆除密码装置1时,连接于该密码装置1的终端的地址设 定不需要变更。
例如,如图5所示,在DB服务器3与个人计算机9之间插入密码装 置1时,或不插入密码装置1,在DB服务器3与个人计算机9之间进行 直接通信时,该流过DB服务器3与个人计算机9之间的数据包的IP地址 都是如图6所示的状态保持不变。因此不会由于有无连接密码装置1而变 更地址设定。
由此,在导入网络系统时或维修时,只要将本实施方式的密码装置1 插入于适当的场所,或只将其拆下就可以。不必要进行复杂的地址的设定, 所以可以大幅度地消减作业负荷。
再者,本实施方式的情况,对于MAC地址也可以保持透过性。图7 是表示从DB服务器3向个人计算机9传送数据,在其间的密码装置1中 将数据予以加密时的数据包的图。图7(a)是在第1的端口33接受的数 据包。第7图(b)是表示从第2的端口34发送的数据包。而且,在IP~ Sec中,具有只将数据部分予以加密的传送模式,以及将数据包全部予以 加密再追加新头部的隧道模式。关于发送数据包,分别显示这两种模式。
另外,图8是表示,为了与本实施方式进行比较,在使用以往的VPN 路由器的系统中,从一个个人计算机向另一个个人计算机传送数据,在其 间的VPN路由器中,将数据加密时的数据包的图。图8(a)表示在VPN 路由器的第1端口所接受的数据包。图8(b)表示由第2端口发送的数据 包。在该图8中,关于发送数据包,以两种模式分别表示。
由图7可以明确,根据本实施方式,不但IP地址,而且对于MAC地 址,第1端口33与第2端口34也没有不同之处,可以保持MAC地址的 透过性。即本实施方式的密码装置1,如果除了具有IP-Sce对数据进行 加密/解密处理之外,只是将一个端口所输入的数据流到另一个端口,所 以在数据通信时可以不要MAC地址。
另外,在上述实施方式中,以相当于OSI参照模式的第3层的网络层 为例,例举了IP层,但是该IP层还可以是诺贝尔公司的网络OS所使用 的通信协议的IPX(Internetwork Packet exchang)层。另外,如果是可以 使用IP-Sec的,也可以是其他的通信协议。
另外,以上说明过实施方式,不过是例示实施本发明的一个具体化的 例子而已,并不是由此而局限地解释本发明的技术范围。即本发明在不脱 离其精神或主要特征的情况下,可以以各种方式实施。
本发明如上所述,例如在导入了密码处理功能的终端之间,为了实现 终端通过加密而保证的安全,备有进行加密处理和解密处理的加密/解密 机构,从而构成密码装置,将该密码装置与进行密码通信的多个通信终端 和从远距离对通信终端和密码装置进行用于进行密码通信所需要的各种 信息的设定的管理终端连接起来构成密码系统,因而在备有无法安装专用 的密码软件的终端的企业内LAN中也可以使用密码,在管理终端就可以 一元集中管理该终端于该LAN内的终端加密。由此,可以大幅度地削减 用于建立密码系统以及其后的维修所需的劳动。
本发明可以有利于简化使用密码所需的对每个终端的各种信息设定。