JP3799420B2 - Secret communication control device - Google Patents
Secret communication control device Download PDFInfo
- Publication number
- JP3799420B2 JP3799420B2 JP2003202199A JP2003202199A JP3799420B2 JP 3799420 B2 JP3799420 B2 JP 3799420B2 JP 2003202199 A JP2003202199 A JP 2003202199A JP 2003202199 A JP2003202199 A JP 2003202199A JP 3799420 B2 JP3799420 B2 JP 3799420B2
- Authority
- JP
- Japan
- Prior art keywords
- secret communication
- type
- board
- encryption
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 title claims description 45
- 238000000034 method Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 19
- 238000011161 development Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、インターネットのようなLAN(Local Area Network)通信に用いる秘匿通信制御装置に係り、とくにLAN通信において、ネットワーク上での情報漏洩・改竄等を防ぐことを目的として、クライアント(サーバに接続される端末)〜サーバ間、サーバ〜サーバ間、及びクライアント〜クライアント間での第三者の盗聴を防ぐVPN(仮想専用通信網)を構築するための、秘匿通信技術に関するものである。
【0002】
【従来の技術】
従来、クライアントとして用いるパーソナルコンピュータやサーバに装着される拡張ボートとしての暗号ボードは、あらかじめ暗号ボード内に搭載された複数の暗号方式(認証及び鍵交換機能を含む)の中からのみ選択利用できる方式である。
【0003】
また、従来IPSec(Internet Protocal Security)通信では、暗号化処理のみをホストコンピュータ(LANボードを組み込んでIPSec通信を行うコンピュータ)側で実行するものが主流であり、同一バス上を暗号化されていない平文データと暗号文データが混在して伝送されていた。
【0004】
【発明が解決しようとする課題】
現在の暗号ボードでは、製造者があらかじめ搭載した暗号方式のなかからのみ選択利用するため、利用者がそれぞれの必要性に応じた方式を実装して使用することはできなかった。
【0005】
また、平文と暗号文が同一バス上に混在するのは、平文がそのまま外部へ送信される可能性があり、第三者に情報が漏洩する可能性が残り、脅威となる。
【0006】
本発明は、上記の点に鑑み、利用者側がそれぞれの必要性に応じて任意の暗号方式を実装し、選択利用できるようにし、かつIPSecの全過程をLANボード上で一括処理可能として平文データがクライアント〜サーバ間、及びサーバ〜サーバ間で伝送されないようにした秘匿通信制御装置を提供することを目的とする。
【0007】
本発明のその他の目的や新規な特徴は後述の実施の形態において明らかにする。
【0008】
【課題を解決するための手段】
上記目的を達成するために、本発明に係る秘匿通信制御装置は、サーバにLANで接続される端末に、又はサーバに装着されるOS搭載LANボードを備え、該LANボードには暗号処理用のプロセッサが搭載されていて、IPSecによる秘匿・鍵交換で必要となる処理エンジンが、前記端末又は前記サーバから設定できて、任意の秘匿・鍵交換方式に交換可能であり、かつIPSecの全過程を前記OS搭載LANボード上で一括処理することを特徴としている。
【0009】
【発明の実施の形態】
以下、本発明に係る秘匿通信制御装置の実施の形態を図面に従って説明する。
【0010】
図1は本発明に係る秘匿通信制御装置の実施の形態であって、全体の機能構成図、図2はIPSecによる秘匿・鍵交換等で必要となるポリシーやアルゴリズムの設定、変更の概略処理フロー図である。
【0011】
これらの図において、秘匿通信制御装置は、秘匿通信ボードA型又はB型10、秘匿通信ボードC型20、及びCAサーバ(CA:Certificate Authority、認証局)30から構成される。なお、IKE(IPSecにおける鍵交換の規定)で事前鍵配布による認証を選択した場合、CAサーバは必要ない。
【0012】
秘匿通信ボードA型又はB型10は、端末装置40(クライアント又はサーバ)に接続されるOS搭載LANボードであり、IPSec処理及びIKE(IPSecにおける鍵交換の規定)処理のためのプロセッサ、及びLANコントローラが搭載され、図中点線枠で囲んだように、暗号方式[認証方式、共通鍵、公開鍵、及びハッシュ(圧縮方法)]の任意交換機能を有する。また、暗号化のための乱数発生機能を有する。なお、秘匿通信ボードA型はPCIバスを通じて、B型はUSBを通じて前記端末装置40に接続されるようになっている。
【0013】
秘匿通信ボードC型20は、カードリーダを備えていて、ICインターフェイスを通じて端末装置40に接続され、図中点線枠で囲んだように、認証方式及びハッシュの任意交換機能を有する。
【0014】
CAサーバ30は公開鍵に関する情報管理を行うものである。
【0015】
端末装置40は、例えば一般的なパーソナルコンピュータとしての機能を有し、拡張ボートに対するドライバ、すなわち秘匿通信ボードA型又はB型ドライバ、秘匿通信ボードC型ドライバを備えている。
【0016】
ここでは、各端末装置40の利用者とは別に暗号設定管理者をおいた例で、図2の暗号方式等の設定及び交換の概略処理フローを以下に説明する。
【0017】
一般に暗号及び認証を利用する場合、秘密にすべき設定情報を管理するため、利用者の他に暗号設定管理者をおく。本実施の形態では、暗号設定管理者を搭載される暗号方式や秘密にすべき設定情報の責任者と位置付けている。
【0018】
暗号設定管理者は、最初に管理者専用端末(PC)を決め、秘匿通信ボードA型又はB型10及び秘匿通信ボードC型20用のドライバプログラムをインストールする。
【0019】
暗号設定管理者は設定を行う秘匿通信ボードA型又はB型10及び秘匿通信ボードC型20を管理者専用端末に接続し、管理制御プログラム(CD−ROM等の記憶媒体)50を起動させ、設定を実施する。図2にこの設定及び交換の概略処理フローを示している。なお、管理者専用端末は、秘匿通信ボードA型又はB型10及び秘匿通信ボードC型20の設定のために使用される際には、必ずしもLANに接続された状態となっている必要はない。
【0020】
暗号設定管理者はIPSec及びIKEにて用いる暗号方式等を、図2のフロッピーディスク(「フロッピー」は登録商標)等の記憶媒体60に記録(プログラミング及び保存)する。
【0021】
前記記憶媒体60に記録されている暗号方式等(図中点線枠で囲われた認証方式、共通鍵、公開鍵、ハッシュに対応する)を、秘匿通信ボードA型又はB型10に読み込む。換言すれば、IPSecによる秘匿(暗号化、復号)・鍵交換を実現するためのソフトウエアである所定の処理エンジンが秘匿通信ボードA型又はB型10に設定(実装)される。
【0022】
同様に記憶媒体60に記録されている認証方式、ハッシュをC型に読み込む。各方式は複数個同時に読み込むこともできる。
【0023】
各アルゴリズムの設定が終了した秘匿通信ボードA型又はB型10及びC型20を各端末装置40を利用者に配布する。
【0024】
設定の変更を行う場合は、暗号設定管理者が利用者の各ボードを回収し、再度設定をし直す。
【0025】
この実施の形態では、インターネット通信インターフェイスとなるLANボードとして用いる秘匿通信ボードA型又はB型10上に暗号処理用のプロセッサを搭載し、暗号ソフトの取扱を容易にするため汎用OSを実装したOS搭載型LANボードとすることによって、利用者がそれぞれの必要性に応じて任意の暗号方式を実装し、選択利用できる。また、汎用OSを前記ボードに実装することにより、暗号方式のソフトウェアの開発は、特殊な開発環境を利用することなく、汎用の開発環境を活用できる。例えば、秘匿通信において暗号・鍵交換等のポリシーやアルゴリズムを暗号設定管理者がプログラムし、秘匿通信制御装置(OS搭載LANボードである秘匿通信ボードA型又はB型10)上のOSを利用して任意に設定、変更することで、従来製品と比較してより幅広い暗号方式等の利用が可能となる。
【0026】
また、利用者端末装置の不正操作により、暗号化処理を不正に無効化したり、不適切な設定状態での運用を未然に防ぐため、暗号化処理を前記ボード上のみで実行することとして設計し、IPSecに係る全過程は全て前記ボードで処理される構成としている。すなわち、IPSecに基づいて秘匿通信を実施する機能、秘匿通信に先立ち認証・鍵交換を実施する機能、暗号等のアルゴリズム等を任意に設定・変更できる機能、及び公開鍵暗号を使用する際の暗号鍵及び公開鍵証明書の作成機能を、全て秘匿通信ボード10上で処理できる。このような構成とすることにより、前述の課題(利用者が任意の暗号方式を選択できない問題及び平文が外部へ送信される可能性がある問題)を解決できる。また、ホストコンピュータ側にかける負担が軽減される。
【0027】
また、この場合、パケット毎に暗号化するIPSecを用いたIKEプロトコルを採用して、既存の暗号処理装置との互換性を確保するだけでなく、利用者端末装置に暗号処理の負担を与えないため端末装置の処理速度を低下させることなく、さらに利用者は通信時に秘匿処理を全く意識する必要がなくなると言う利点がある。
【0028】
また、別の利便性として、IPSecを用いたIKEプロトコルを使うことにより、記憶媒体から秘匿通信ボードA型又はB型に読み込んだ複数方式の中から必要に応じた方式を、通信相手先のIPアドレス毎に自動的に選択することができる。
【0029】
以上本発明の実施の形態について説明してきたが、本発明はこれに限定されることなく請求項の記載の範囲内において各種の変形、変更が可能なことは当業者には自明であろう。
【0030】
【発明の効果】
以上説明したように、本発明に係る秘匿通信制御装置は、サーバにLANで接続される端末に、又はサーバに装着されるOS搭載LANボードを備え、該LANボードには暗号処理用のプロセッサが搭載されていて、IPSecによる秘匿・鍵交換で必要となる処理エンジンが、前記端末又は前記サーバから設定できて、任意の秘匿・鍵交換方式に交換可能であり、かつIPSecの全過程を前記OS搭載LANボード上で一括処理する。このため、任意の秘匿・鍵交換方式を選択可能であり、従来製品と比較してより幅広い暗号方式等の利用が可能になる。また、本発明において、IPSecに係る全過程は全て秘匿通信制御装置上で処理されるので、ホストコンピュータ側にかける負担が軽減され、かつ平文と暗号文がコンピュータ内部の同一バス上で混在することが無いため、暗号が解析されるという危険性が無くなり、また平文データがクライアント〜サーバ間、及びサーバ〜サーバ間で伝送されることはなくなり、第三者への情報の漏洩を防止可能であり、利用者は秘匿に関して一切意識することなく通信ができるという利便性がある。
【図面の簡単な説明】
【図1】本発明に係る秘匿通信制御装置の実施の形態であって、全体の機能構成図である。
【図2】図1の構成における暗号方式等のポリシーやアルゴリズムの設定、変更の概略処理フロー図である。
【符号の説明】
10 秘匿通信ボードA型又はB型
20 秘匿通信ボードC型
30 CAサーバ
40 端末装置
50 管理制御プログラム
60 記録媒体[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a secret communication control device used for LAN (Local Area Network) communication such as the Internet, and in particular, for LAN communication, a client (connected to a server) for the purpose of preventing information leakage / falsification on the network. The present invention relates to a secret communication technique for constructing a VPN (virtual dedicated communication network) that prevents a third party from eavesdropping between a terminal and a server, between a server and a server, and between a client and a client.
[0002]
[Prior art]
Conventionally, an encryption board as an expansion board mounted on a personal computer or server used as a client can be selected and used only from a plurality of encryption systems (including authentication and key exchange functions) previously installed in the encryption board. It is.
[0003]
Further, in conventional IPSec (Internet Protocal Security) communication, only encryption processing is executed on the host computer (computer that incorporates a LAN board and performs IPSec communication), and is not encrypted on the same bus. Plain text data and cipher text data were mixed and transmitted.
[0004]
[Problems to be solved by the invention]
The current encryption board is selected and used only from encryption methods preinstalled by the manufacturer, so the user cannot install and use a method according to their needs.
[0005]
Also, if plaintext and ciphertext are mixed on the same bus, the plaintext may be transmitted to the outside as it is, leaving the possibility of information leaking to a third party, which is a threat.
[0006]
In the present invention, in view of the above points, plain text data is provided so that the user side can implement and selectively use an arbitrary encryption method according to their needs, and the entire process of IPSec can be collectively processed on the LAN board. An object of the present invention is to provide a secret communication control device that prevents transmission between a client and a server and between a server and a server.
[0007]
Other objects and novel features of the present invention will be clarified in embodiments described later.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, a secret communication control device according to the present invention includes an OS-installed LAN board attached to a server or a terminal connected to the server via a LAN, and the LAN board is used for encryption processing. A processor is installed, a processing engine required for secrecy / key exchange by IPSec can be set from the terminal or the server, can be exchanged to an arbitrary secrecy / key exchange method, and the entire process of IPSec is performed. Batch processing is performed on the OS-installed LAN board.
[0009]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of a secret communication control apparatus according to the present invention will be described below with reference to the drawings.
[0010]
FIG. 1 is an overall functional configuration diagram of an embodiment of a secret communication control apparatus according to the present invention, and FIG. 2 is a schematic processing flow for setting and changing policies and algorithms required for secrecy and key exchange by IPSec. FIG.
[0011]
In these drawings, the secret communication control device is constituted by a secret communication board A type or
[0012]
The secret communication board A type or
[0013]
The secret communication
[0014]
The
[0015]
The terminal device 40 has a function as, for example, a general personal computer, and includes a driver for an expansion boat, that is, a secret communication board A type or B type driver and a secret communication board C type driver.
[0016]
Here, an outline processing flow for setting and exchanging the encryption method and the like in FIG. 2 will be described as an example in which an encryption setting manager is provided separately from the user of each terminal device 40.
[0017]
In general, when using encryption and authentication, an encryption setting manager is set in addition to the user in order to manage setting information that should be kept secret. In the present embodiment, the encryption setting manager is positioned as the person responsible for the encryption method installed and the setting information to be kept secret.
[0018]
The encryption setting manager first determines an administrator-dedicated terminal (PC) and installs a driver program for the secret communication board A type or
[0019]
The encryption setting manager connects the secret communication board A type or
[0020]
The encryption setting manager records (programs and saves) the encryption method used in IPSec and IKE in the
[0021]
The encryption method or the like recorded in the storage medium 60 (corresponding to the authentication method, common key, public key, and hash enclosed by a dotted frame in the figure) is read into the secret communication board A type or
[0022]
Similarly, the authentication method and hash recorded in the
[0023]
The secret communication board A type or
[0024]
When changing the setting, the encryption setting manager collects each board of the user and sets it again.
[0025]
In this embodiment, a processor for cryptographic processing is mounted on a secret communication board A type or
[0026]
In addition, the encryption process is designed to be executed only on the board in order to invalidate the encryption process illegally due to an unauthorized operation of the user terminal device or to prevent operation in an inappropriate setting state. The entire process related to IPSec is configured to be processed by the board. That is, a function for performing secret communication based on IPSec, a function for performing authentication / key exchange prior to secret communication, a function for arbitrarily setting / changing algorithms such as encryption, and a cipher when using public key encryption All functions for creating keys and public key certificates can be processed on the
[0027]
Further, in this case, the IKE protocol using IPSec that encrypts each packet is adopted to ensure compatibility with the existing cryptographic processing apparatus and not to burden the user terminal apparatus with cryptographic processing. Therefore, there is an advantage that the user does not need to be aware of the confidential processing at the time of communication without reducing the processing speed of the terminal device.
[0028]
As another convenience, by using the IKE protocol using IPSec, a method according to necessity is selected from a plurality of methods read from the storage medium into the secret communication board A type or B type. It can be automatically selected for each address.
[0029]
Although the embodiments of the present invention have been described above, it will be obvious to those skilled in the art that the present invention is not limited to these embodiments, and various modifications and changes can be made within the scope of the claims.
[0030]
【The invention's effect】
As described above, the secret communication control apparatus according to the present invention includes an OS-installed LAN board attached to a terminal connected to a server via a LAN or a server, and the LAN board includes a processor for cryptographic processing. A processing engine that is installed and required for secrecy / key exchange by IPSec can be set from the terminal or the server, can be exchanged to an arbitrary secrecy / key exchange method, and the entire process of IPSec is performed by the OS. Batch processing on the installed LAN board. For this reason, an arbitrary concealment / key exchange method can be selected, and a wider range of encryption methods can be used as compared with the conventional products. In the present invention, since all processes related to IPSec are processed by the secret communication control device, the burden on the host computer side is reduced, and plaintext and ciphertext are mixed on the same bus inside the computer. Since there is no risk of encryption being analyzed, plaintext data is no longer transmitted between the client and server, and between the server and server, and information leakage to third parties can be prevented. The user has the convenience of being able to communicate without being conscious of confidentiality at all.
[Brief description of the drawings]
FIG. 1 is an overall functional configuration diagram of an embodiment of a secret communication control apparatus according to the present invention.
FIG. 2 is a schematic process flow diagram for setting and changing policies and algorithms such as encryption methods in the configuration of FIG. 1;
[Explanation of symbols]
10 secret communication board A type or
Claims (1)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003202199A JP3799420B2 (en) | 2003-07-28 | 2003-07-28 | Secret communication control device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003202199A JP3799420B2 (en) | 2003-07-28 | 2003-07-28 | Secret communication control device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005045473A JP2005045473A (en) | 2005-02-17 |
| JP3799420B2 true JP3799420B2 (en) | 2006-07-19 |
Family
ID=34261987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003202199A Expired - Lifetime JP3799420B2 (en) | 2003-07-28 | 2003-07-28 | Secret communication control device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3799420B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1911195A2 (en) * | 2005-02-18 | 2008-04-16 | Credant Technologies Inc. | System and method for intelligence based security |
| JP4299846B2 (en) | 2006-07-28 | 2009-07-22 | Necインフロンティア株式会社 | Client / server distributed system, client device, server device, and message encryption method used therefor |
-
2003
- 2003-07-28 JP JP2003202199A patent/JP3799420B2/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005045473A (en) | 2005-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| EP2204008B1 (en) | Credential provisioning | |
| EP1473869B1 (en) | Universal secure messaging for cryptographic modules | |
| JP5860815B2 (en) | System and method for enforcing computer policy | |
| KR20030036787A (en) | System for establishing an audit trail to protect objects distributed over a network | |
| CN102986161B (en) | Method and system for password protecting an application | |
| JPH10507324A (en) | Loving software license for hardware agents | |
| WO2021139338A1 (en) | Data access permission verification method and apparatus, computer device, and storage medium | |
| KR20030036788A (en) | System for protecting objects distributed over a network | |
| US7412059B1 (en) | Public-key encryption system | |
| JP2022542095A (en) | Hardened secure encryption and decryption system | |
| CN108134671A (en) | A kind of transparent encryption system and its encipher-decipher method based on quantum true random number | |
| US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
| US9031238B2 (en) | Data encryption and/or decryption by integrated circuit | |
| WO2023078055A1 (en) | Method and system for securely sharing data between first area and second area | |
| CN104811941A (en) | Offline virtual machine safety management method and device | |
| CN115801232A (en) | Private key protection method, device, equipment and storage medium | |
| CN118656865A (en) | A system and method for protecting privacy data of electroencephalogram signals based on confidential computing | |
| TWI573079B (en) | Information security management system and method for electronic document | |
| JP3799420B2 (en) | Secret communication control device | |
| JP3690237B2 (en) | Authentication method, recording medium, authentication system, terminal device, and authentication recording medium creation device | |
| JP2005175992A (en) | Certificate distribution system and certificate distribution method | |
| JP4372403B2 (en) | Authentication system | |
| JP3327368B2 (en) | User password authentication method | |
| CN115438358A (en) | Controlled file encryption method and electronic equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050803 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060323 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3799420 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| EXPY | Cancellation because of completion of term |