JPH1168730A - Cryptographic gateway device - Google Patents
Cryptographic gateway deviceInfo
- Publication number
- JPH1168730A JPH1168730A JP9220478A JP22047897A JPH1168730A JP H1168730 A JPH1168730 A JP H1168730A JP 9220478 A JP9220478 A JP 9220478A JP 22047897 A JP22047897 A JP 22047897A JP H1168730 A JPH1168730 A JP H1168730A
- Authority
- JP
- Japan
- Prior art keywords
- data
- key
- encryption
- encrypted
- gateway device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 既存の端末のハードウェア及びアプリケーシ
ョンプログラムに影響を与えることなく機密性の高い暗
号化通信を実現する暗号ゲートウェイ装置を提供する。
【解決手段】 ローカルエリアネットワーク4、5とイ
ンターネット3の境界に暗号ゲートウェイ装置1、2を
置き、インターネット3を通る間だけ暗号化したデータ
にて転送を行い、鍵データは公衆網6のルートで転送す
る。これにより、暗号化データと、その暗号を解くため
の鍵データとが物理的に異なるルートで転送されるの
で、機密性の高い通信を実現でき、また送信先の端末に
特別な改造をすることなく暗号化通信ができるので、機
密性保持のためのコストの上昇を最小限に抑えることが
できる。
(57) [Summary] [PROBLEMS] To provide a cryptographic gateway device that realizes highly confidential encrypted communication without affecting hardware and application programs of existing terminals. SOLUTION: The cryptographic gateway devices 1 and 2 are placed at the boundary between local area networks 4 and 5 and the Internet 3, and transfer is performed with encrypted data only while passing through the Internet 3, and key data is transmitted along the route of the public network 6. Forward. As a result, the encrypted data and the key data for decrypting the encrypted data are transferred by physically different routes, so that highly confidential communication can be realized, and special modification of the transmission destination terminal is required. Since encrypted communication can be performed without any problem, an increase in cost for maintaining confidentiality can be minimized.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、暗号ゲートウェイ
装置に係り、特に広範囲に分散した事業所間をインター
ネットを介して暗号化通信を行う暗号ゲートウェイ装置
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a cryptographic gateway device, and more particularly to a cryptographic gateway device for performing encrypted communication between offices widely distributed over the Internet.
【0002】[0002]
【従来の技術】図6は従来の暗号通信システムの構成を
示すブロック図である。この図において、端末130と
端末140との間で通信を行う場合、一方の端末130
のアプリケーションプログラム132(以下、APと略
す)が鍵配送センタ160より通信に使用するセッショ
ン鍵162を取得する。端末130のAP132は、こ
のセッション鍵を通信相手の端末140に送信すること
で2台の端末130、140で共通のセッション鍵を共
有し、このセッション鍵を用いて通信文を暗号化及び復
合して暗号通信を行う。2. Description of the Related Art FIG. 6 is a block diagram showing the configuration of a conventional cryptographic communication system. In this figure, when communication is performed between the terminal 130 and the terminal 140, one terminal 130
The application program 132 (hereinafter, abbreviated as AP) of the application obtains the session key 162 used for communication from the key distribution center 160. The AP 132 of the terminal 130 transmits the session key to the communication partner terminal 140, thereby sharing a common session key between the two terminals 130 and 140, and encrypting and decrypting the message using the session key. To perform encrypted communication.
【0003】図7は従来の暗号ゲートウェイ装置180
の構成を示すブロック図である。この図において、暗号
ゲートウェイ装置180は、暗号化/復合を行うための
固定セッション鍵181と、受信情報を受信するための
受信部182と、受信情報を解析して通信文を抽出する
受信情報解析部183と、固定セッション鍵181を利
用して通信文を暗号化/復合する暗号化/復合部184
と、暗号化/復合された通信文を送信する送信部185
とから成る。FIG. 7 shows a conventional cryptographic gateway device 180.
FIG. 3 is a block diagram showing the configuration of FIG. In this figure, a cryptographic gateway device 180 includes a fixed session key 181 for performing encryption / decryption, a receiving unit 182 for receiving received information, and a received information analysis for analyzing the received information and extracting a communication message. Unit 183 and an encryption / decryption unit 184 for encrypting / decrypting a message using the fixed session key 181
And a transmitting unit 185 for transmitting the encrypted / decrypted message.
Consisting of
【0004】図8は図7に示す暗号ゲートウェイ装置1
80を利用した暗号通信システムの構成を示すブロック
図である。この図において、端末21-1、21-2、…、
21-mから成るAグループの端末に暗号ゲートウェイ装
置180-1が外付けされ、また端末31-1、31-2、
…、31-nから成るBグループの端末に暗号ゲートウェ
イ装置180-2が外付けされる。暗号ゲートウェイ装置
180-1、180-2のセッション鍵は固定であるため、
端末21-1と31-2の暗号通信と、端末21-mと端末3
1-2の暗号通信とは共通のセッション鍵で暗号化され
る。端末21-1と端末31-1との通信を行う場合には暗
号ゲートウェイ装置180-1と180-2とを介さない伝
送路を用いて通信を行う。FIG. 8 shows the cryptographic gateway device 1 shown in FIG.
It is a block diagram which shows the structure of the encryption communication system which utilized 80. In this figure, terminals 21-1, 21-2, ...,
The cryptographic gateway device 180-1 is externally attached to the terminal of the group A composed of 21-m, and the terminals 31-1, 31-2,
.., 31-n, the cryptographic gateway device 180-2 is externally attached to the terminals of the B group. Since the session keys of the cryptographic gateway devices 180-1 and 180-2 are fixed,
Encrypted communication between terminals 21-1 and 31-2, terminal 21-m and terminal 3
The encrypted communication of 1-2 is encrypted with a common session key. When communication is performed between the terminal 21-1 and the terminal 31-1, communication is performed using a transmission path that does not pass through the encryption gateway devices 180-1 and 180-2.
【0005】[0005]
【発明が解決しようとする課題】ところで、上述した従
来の暗号通信システムにあっては、以下に示す問題点が
あった。第1の問題点は、インターネットというオープ
ンなネットワークに於いて、データの転送を行う場合、
第3者にデータをモニタされる可能性が高く、重要なデ
ータの転送を容易に行うことができない。その理由は、
現状使われている暗号化方式である公開鍵暗号方式を使
用したとき、アルゴリズムが公開されているため、暗号
を解くことは困難であるが不可能ではないからである。Incidentally, the above-mentioned conventional cryptographic communication system has the following problems. The first problem is that when transferring data on an open network called the Internet,
Data is likely to be monitored by a third party, and important data cannot be easily transferred. The reason is,
This is because, when a public key cryptosystem, which is a currently used cryptosystem, is used, since the algorithm is open to the public, it is difficult but not impossible to break the cipher.
【0006】第2の問題点は、秘密鍵暗号化方式を使用
した場合、暗号化する際どの秘密鍵を使用してデータを
転送するかの、事前了解が必要であるので、データを転
送するまでに時間がかかってしまう。A second problem is that when a secret key encryption method is used, it is necessary to understand in advance which secret key should be used to transfer data when encrypting the data. It will take some time.
【0007】そこで本発明は、既存の端末のハードウェ
ア及びアプリケーションプログラムに影響を与えること
なく機密性の高い暗号化通信を実現する暗号ゲートウェ
イ装置を提供することを目的としている。Accordingly, an object of the present invention is to provide a cryptographic gateway device which realizes highly confidential encrypted communication without affecting the hardware and application programs of existing terminals.
【0008】[0008]
【課題を解決するための手段】この目的達成のため、本
発明による暗号ゲートウェイ装置は、送信端末からの情
報を受信し、その受信情報の暗号化/復合を行う暗号ゲ
ートウェイ装置であって、送信端末及び受信端末の識別
情報と暗号化又は復合のためのセッション鍵の組を保持
するセッション鍵テーブルと、このセッション鍵テーブ
ルから該当するセッション鍵を検索するセッション鍵検
索手段と、暗号化を行うための確認データ等を送受信す
るデータ送信手段及びデータ受信手段と、暗号データや
確認データ等を解析するデータ解析手段と、受信した暗
号化データ又は通常データを暗号化又は復合する暗号化
/復合手段と、暗号化を解く鍵データをダイヤルアップ
等により別ルートにて受け渡しするための鍵データ送信
手段及び鍵データ受信手段と、受信した鍵データを解析
する鍵データ解析手段と、セッション鍵検索の結果で鍵
データを作成する鍵データ作成手段とを備え、ユーザか
らの暗号化指示により、暗号化データと鍵データを物理
的に別ルートで転送することを特徴とする。In order to achieve this object, a cryptographic gateway device according to the present invention is a cryptographic gateway device that receives information from a transmitting terminal and encrypts / decrypts the received information. A session key table for holding a set of identification information of a terminal and a receiving terminal and a session key for encryption or decryption, a session key search means for searching for a corresponding session key from the session key table, and for performing encryption Data transmitting means and data receiving means for transmitting and receiving confirmation data and the like, data analyzing means for analyzing encrypted data and confirmation data, and encryption / decryption means for encrypting or decrypting received encrypted data or normal data. Key data transmitting means and key data for transferring key data for decrypting by another route by dial-up or the like Communication means, key data analysis means for analyzing the received key data, and key data creation means for creating the key data based on the result of the session key search. Is physically transferred by another route.
【0009】この構成によれば、暗号化データと、その
暗号を解くための鍵データとが物理的に異なるルートで
転送されるので、機密性の高い通信を実現できる。ま
た、送信先の端末に特別な改造をすることなく暗号化通
信ができるので、機密性保持のためのコストの上昇を最
小限に抑えることができる。According to this configuration, since the encrypted data and the key data for decrypting the encrypted data are transferred through physically different routes, highly confidential communication can be realized. In addition, since encrypted communication can be performed without special modification of the destination terminal, an increase in cost for maintaining confidentiality can be minimized.
【0010】[0010]
【発明の実施の形態】以下、本発明の実施の形態を、図
面例と共に説明する。図1は本発明に係る暗号ゲートウ
ェイ装置の実施の形態を用いた暗号通信システムの構成
図、図2は本実施の形態の暗号ゲートウェイ装置の構成
を示すブロック図である。Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a configuration diagram of a cryptographic communication system using an embodiment of a cryptographic gateway device according to the present invention, and FIG. 2 is a block diagram illustrating a configuration of a cryptographic gateway device of the present embodiment.
【0011】図1において、暗号ゲートウェイ装置1、
2はインターネット3とローカルエリアネットワーク
4、5との間に設置されている。また、暗号ゲートウェ
イ装置4、5はダイヤルアップのために公衆網6とも接
続される。暗号ゲートウェイ装置1、2は、送信側の端
末(例えば端末7)から送信された情報を受信し、その
受信情報を暗号化又は復合し、この結果得られた送信情
報を受信側の端末(例えば端末8)へ送信して暗号通信
を行うものであり、送信及び受信する情報と鍵に関する
情報とが物理的に別ルートで伝達する構成になってい
る。In FIG. 1, a cryptographic gateway device 1,
2 is installed between the Internet 3 and the local area networks 4 and 5. The encryption gateway devices 4 and 5 are also connected to a public network 6 for dial-up. The cryptographic gateway devices 1 and 2 receive the information transmitted from the transmitting terminal (for example, the terminal 7), encrypt or decrypt the received information, and transmit the resulting transmission information to the receiving terminal (for example, The encrypted information is transmitted to the terminal 8), and information to be transmitted and received and information about the key are physically transmitted by another route.
【0012】暗号ゲートウェイ装置1、2の夫々は、図
2に示すように、送信側の端末から送信されるデータを
受信するデータ受信手段11と、送信側の端末から受け
た暗号化指示に対して暗号化指示と転送データを識別す
るデータ解析部12と、暗号化及び復合のためのセッシ
ョン鍵の組を保持するためセッション鍵テーブル13
と、選択された鍵を使用しデータの暗号化及び復合を行
う暗号化/復合部14と、暗号化及び復合されたデータ
を送信するデータ送信手段15と、送信側の端末からの
送信指示により選択された鍵を通信相手側の暗号化ゲー
トウェイ装置に送信するための鍵データを作成する鍵デ
ータ作成部16と、作成された鍵データを送信する鍵デ
ータ送信手段17と、鍵データを受信する鍵データ受信
手段18と、受信した鍵データを解析する鍵データ解析
部19と、受信した鍵データの解析結果及び送信する鍵
の検索を行うセッション鍵検索部20とを備えている。As shown in FIG. 2, each of the cryptographic gateway devices 1 and 2 includes a data receiving means 11 for receiving data transmitted from a transmitting terminal, and an encryption instruction received from a transmitting terminal. A data analysis unit 12 for identifying an encryption instruction and transfer data, and a session key table 13 for storing a set of session keys for encryption and decryption.
And an encryption / decryption unit 14 that encrypts and decrypts data using the selected key, a data transmission unit 15 that transmits the encrypted and decrypted data, and a transmission instruction from a terminal on the transmission side. A key data generation unit 16 for generating key data for transmitting the selected key to the encryption gateway device on the communication partner side, a key data transmission unit 17 for transmitting the generated key data, and receiving the key data The system includes a key data receiving unit 18, a key data analysis unit 19 that analyzes received key data, and a session key search unit 20 that searches for an analysis result of the received key data and a key to be transmitted.
【0013】なお、上記データ受信手段11、データ送
信手段15、鍵データ送信手段17及び鍵データ受信手
段18は送受信制御部21を構成する。暗号化ゲートウ
ェイ装置4、5では暗号化/復合が自動的に行われるの
で、送信者は暗号化指示を行いデータを原文のまま送信
し、受信者は受信したデータをそのまま利用できる。し
たがって、受信側では端末に暗号化通信による特別な用
意をする必要はない。The data receiving means 11, the data transmitting means 15, the key data transmitting means 17 and the key data receiving means 18 constitute a transmission / reception control unit 21. Since encryption / decryption is automatically performed in the encryption gateway devices 4 and 5, the sender issues an encryption instruction and transmits the data as it is, and the receiver can use the received data as it is. Therefore, it is not necessary for the receiving side to make special preparations for the terminal by encrypted communication.
【0014】次に、上記構成による暗号ゲートウェイ装
置1、2の動作について説明する。図3は暗号ゲートウ
ェイ装置1、2の動作を示すフローチャートである。な
お、この説明において、ローカルエリアネットワーク4
の端末7が送信側で、ローカルエリアネットワーク5の
端末8が受信側とする。Next, the operation of the cryptographic gateway devices 1 and 2 having the above configuration will be described. FIG. 3 is a flowchart showing the operation of the cryptographic gateway devices 1 and 2. In this description, the local area network 4
Is the transmitting side, and the terminal 8 of the local area network 5 is the receiving side.
【0015】暗号ゲートウェイ装置1がデータを受信し
たとき(ステップS200)、受信ポートの確認を行い
(ステップS201)、LANポートである場合、送信
側の端末7からのデータであることが判る。送信側の端
末7からのデータは、暗号化指示データ若しくは通常デ
ータであるため、暗号化指示データであるか否かの判断
(ステップS202)を行う。暗号化指示データである
と判断した場合、送信先ネットワークの暗号ゲートウェ
イ装置2へ暗号化データを送信できるかを問い合わせる
(ステップS203)。暗号化の問い合わせを行った
後、相手からダイヤルアップ番号が取得できたか否かの
判断(ステップS204)を行い、取得できた場合、問
い合せOKであり、暗号化の準備を行う。これに対し、
ダイヤルアップ番号の取得ができなかった場合は送信端
末側に暗号化NGの報告を行う(ステップS209)。When the cryptographic gateway device 1 receives the data (step S200), it checks the receiving port (step S201). If it is a LAN port, it can be determined that the data is from the terminal 7 on the transmitting side. Since the data from the terminal 7 on the transmission side is encryption instruction data or normal data, it is determined whether or not the data is encryption instruction data (step S202). If it is determined that the data is the encryption instruction data, an inquiry is made to the encryption gateway device 2 of the destination network as to whether the encrypted data can be transmitted (step S203). After making an inquiry about the encryption, it is determined whether or not the dial-up number has been obtained from the other party (step S204). If the dial-up number has been obtained, the inquiry is OK and the preparation for the encryption is performed. In contrast,
If the dial-up number has not been obtained, a report of the encrypted NG is sent to the transmitting terminal (step S209).
【0016】ダイヤルアップ番号の取得ができると、セ
ッション鍵の検索を行い(ステップS205)、この検
索が完了すると、暗号鍵の作成を行い(ステップS20
6)、取得したダイヤルアップ番号へ暗号鍵を送信する
(ステップS207)。また、それと同時に送信側の端
末7からのデータを暗号化するため、暗号化/復合部1
4へ暗号式の設定を行う(ステップS208)。When the dial-up number can be obtained, a search for a session key is performed (step S205). When the search is completed, an encryption key is created (step S20).
6) Then, the encryption key is transmitted to the obtained dial-up number (step S207). At the same time, the encryption / decryption unit 1 encrypts data from the terminal 7 on the transmission side.
4 is set to an encryption type (step S208).
【0017】送信側の端末7から受け取るデータが暗号
化指示データでない場合、通常データであるため、その
データが暗号化の必要なデータであるか否かの判断を行
い(ステップS210)、暗号化が不必要な場合は原文
のまま送信する(ステップS211)。暗号化が必要な
場合はセッションの確認を行い(ステップS212)、
さらに設定されている暗号化式にて暗号処理を行い(ス
テップS213)、インターネット3へ送信する(ステ
ップS214)。If the data received from the terminal 7 on the transmitting side is not the encryption instruction data, it is normal data, so it is determined whether or not the data needs to be encrypted (step S210). If it is unnecessary, it is transmitted as it is (step S211). If encryption is required, the session is confirmed (step S212),
Further, an encryption process is performed using the set encryption formula (step S213), and the data is transmitted to the Internet 3 (step S214).
【0018】一方、データ受信ポートがインターネット
ポートである場合、そのデータが暗号化問い合せデータ
であるか否かの判断を行う(ステップS215)。暗号
問い合せデータである場合、ダイヤルアップ番号を問い
合せをしてきた暗号化ゲートウェイに対して応答を行う
(ステップS216)。インターネットポートから受信
したデータは暗号化問い合せデータ、暗号化データ、通
常データの三つが考えられる(ステップS215、21
6)。On the other hand, if the data receiving port is the Internet port, it is determined whether or not the data is encrypted inquiry data (step S215). If the data is encryption inquiry data, a response is made to the encryption gateway that has inquired of the dial-up number (step S216). There are three types of data received from the Internet port: encrypted inquiry data, encrypted data, and normal data (steps S215 and S21).
6).
【0019】インターネット3から受信したデータが暗
号化問い合せデータでない場合、暗号化データまたは通
常データが考えられる、通常データは、通常のゲートウ
ェイとして原文のままLANポートへ出力する(ステッ
プS220)。暗号化データを受信した場合はセッショ
ンの確認を行い(ステップS218)、さらに設定され
ている復合化式により復合処理を行い(ステップS21
9)、復合処理が完了した後にLANポートへ出力する
(ステップS220)。受信したポートがダイヤルアッ
プポートである場合、鍵データの解析を行い(ステップ
S221)、さらにセッション鍵の検索を行う(ステッ
プS222)。そして、セッション鍵の検索後、暗号化
/復合部14にて復合処理(ステップS223)を行
う。If the data received from the Internet 3 is not the encrypted inquiry data, the encrypted data or the normal data can be considered. The normal data is output to the LAN port as a normal gateway in the original text (step S220). When the encrypted data is received, the session is confirmed (step S218), and a decryption process is performed according to the set decryption formula (step S21).
9) After the completion of the combining process, output to the LAN port (step S220). If the received port is a dial-up port, key data is analyzed (step S221), and a session key is searched (step S222). After the search for the session key, the encryption / decryption unit 14 performs a decryption process (step S223).
【0020】次に、図4は図1を詳細に示したものであ
り、この図を参照してローカルエリアネットワーク4の
端末7からローカルエリアネットワーク5の端末8へイ
ンターネット3を使用して暗号化データを送る場合の動
作について説明する。なお、説明の都合上区別し易いよ
うに、暗号ゲートウェイ装置1にはその各部の符号に”
A”を付加し、暗号ゲートウェイ装置2にはその各部の
符号に”B”を付加する。Next, FIG. 4 is a detailed view of FIG. 1. Referring to FIG. 4, encryption from the terminal 7 of the local area network 4 to the terminal 8 of the local area network 5 is performed using the Internet 3. An operation for transmitting data will be described. In order to make it easy to distinguish for the sake of explanation, the codes of the respective parts of the cryptographic gateway device 1 are denoted by "".
A ”is added, and“ B ”is added to the code of each part of the cryptographic gateway device 2.
【0021】送信側の端末7から暗号ゲートウェイ装置
1の送受信制御部21Aに暗号指示データが送出され
る。送受信制御部21Aで受け取った暗号指示データは
データ解析部12Aにて解析が行われ、暗号指示データ
であるため、インターネット3を経由してローカルエリ
アネットワーク5側の暗号化ゲートウェイ装置2の送受
信制御部21Bへ暗号化問い合せデータを送信する。The encryption instruction data is sent from the terminal 7 on the transmission side to the transmission / reception control unit 21A of the encryption gateway device 1. Since the encryption instruction data received by the transmission / reception control unit 21A is analyzed by the data analysis unit 12A and is the encryption instruction data, the transmission / reception control unit of the encryption gateway device 2 on the local area network 5 side via the Internet 3 The encrypted inquiry data is transmitted to 21B.
【0022】暗号ゲートウェイ装置2の送受信制御部2
1Bは、問い合せの応答としてダイヤルアップ番号をイ
ンターネット3を通して暗号ゲートウェイ装置1の送受
信制御部21Aへ送信する。暗号ゲートウェイ装置1の
送受信制御部21Aはダイヤルアップ番号を受け取る
と、セッション鍵検索部20Aにてセッション鍵テーブ
ル13Aを参照し、セッション鍵の検索を行う。そし
て、セッション鍵が決定すると、鍵データ作成部16A
にて鍵データが作成され、送受信制御部21Aに鍵デー
タが渡される。Transmission / reception control unit 2 of cryptographic gateway device 2
1B transmits the dial-up number to the transmission / reception control unit 21A of the encryption gateway device 1 through the Internet 3 as a response to the inquiry. Upon receiving the dial-up number, the transmission / reception control unit 21A of the cryptographic gateway device 1 searches the session key table 13A in the session key search unit 20A to search for a session key. When the session key is determined, the key data creation unit 16A
Key data is created, and the key data is passed to the transmission / reception control unit 21A.
【0023】送受信制御部21Aで鍵データであると認
識されると、送受信制御部21Aは先に通知されている
ダイヤルアップ番号へ公衆網6を使用し、鍵データを送
信する。また、これと同時にセッション鍵検索部20A
は暗号化/復合部14Aに暗号式の設定を行う。送受信
制御部21Aは受け取った鍵データを鍵データ解析部1
6Aにて解析し、セッション鍵検索部20Aがセッショ
ン鍵テーブル13Aを参照し、暗号化/復合部14Aへ
復合式を設定する。When the transmission / reception control unit 21A recognizes that the key data is key data, the transmission / reception control unit 21A transmits the key data to the previously notified dial-up number using the public network 6. At the same time, the session key search unit 20A
Sets the encryption type in the encryption / decryption unit 14A. The transmission / reception control unit 21A converts the received key data into a key data analysis unit 1
6A, the session key search unit 20A refers to the session key table 13A and sets a decryption formula in the encryption / decryption unit 14A.
【0024】送信側の端末7から暗号化対象のデータが
暗号ゲートウェイ装置1の送受信制御部21Aへ送信さ
れると、データ解析部12Aにてセッションの解析が行
われ、暗号化の対象データと判断されると、暗号化/復
合部14Aにて暗号化され、送受信制御部21Aからイ
ンターネット3を使用しデータ送信される。暗号データ
を受け取った暗号ゲートウェイ装置2では、データ解析
部12Bでセッションの解析が行われ、暗号化/復合部
14Bにて復合される。復合されたデータは送受信制御
部21Bから受信側の端末8へ送信され、受信側の端末
8にて受け取られる。When data to be encrypted is transmitted from the transmitting terminal 7 to the transmission / reception control unit 21A of the encryption gateway device 1, the data analysis unit 12A analyzes the session and determines that the data is data to be encrypted. Then, the data is encrypted by the encryption / decryption unit 14A, and data is transmitted from the transmission / reception control unit 21A using the Internet 3. In the cryptographic gateway device 2 that receives the encrypted data, the data analysis unit 12B analyzes the session, and the encryption / decryption unit 14B decrypts the session. The decrypted data is transmitted from the transmission / reception control unit 21B to the terminal 8 on the receiving side, and received by the terminal 8 on the receiving side.
【0025】このように、この実施の形態では、ローカ
ルエリアネットワーク4、5とインターネット3の境界
に暗号ゲートウェイ装置1、2が置かれ、インターネッ
ト3を通る間だけ暗号化したデータにて転送を行い、鍵
データは公衆網6のルートで転送する。したがって、暗
号化データと、その暗号を解くための鍵データとが物理
的に異なるルートで転送されるので、機密性の高い通信
を実現でき、また送信先の端末に特別な改造をすること
なく暗号化通信ができるので、機密性保持のためのコス
トの上昇を最小限に抑えることができる。なお、上記実
施の形態では、鍵データを公衆網6を介して転送するよ
うにしたが、図5に示すように専用の回線9を介して転
送するようにしても良い。As described above, in this embodiment, the cryptographic gateway devices 1 and 2 are located at the boundary between the local area networks 4 and 5 and the Internet 3, and transfer is performed with the encrypted data only while passing through the Internet 3. The key data is transferred via the route of the public network 6. Therefore, since the encrypted data and the key data for decrypting the encrypted data are transferred through physically different routes, highly confidential communication can be realized, and the transmission destination terminal is not specially modified. Since encrypted communication can be performed, an increase in cost for maintaining confidentiality can be minimized. In the above embodiment, the key data is transferred via the public network 6, but the key data may be transferred via a dedicated line 9 as shown in FIG.
【0026】[0026]
【発明の効果】本発明によれば、鍵データを公衆網又は
専用回線を使用し、暗号化データと同じルートで送信し
ない手順を踏むようにしているので、オフライン処理を
必要とせず、秘密鍵暗号化方式を使用することができ
る。また、暗号ゲートウェイ装置で暗号化/復合処理を
行うようにしたので、セキュリティに不安のあるインタ
ーネット上での機密性を保つことができる。また、送信
先の端末に特別な改造をすることなく暗号化通信ができ
るので、機密性保持のためのコストの上昇を最小限に抑
えることができる。According to the present invention, since the key data is transmitted over the same route as the encrypted data by using the public network or the dedicated line, no offline processing is required and the secret key encryption is performed. A scheme can be used. In addition, since the encryption / decryption processing is performed by the encryption gateway device, confidentiality on the Internet, which has security concerns, can be maintained. In addition, since encrypted communication can be performed without special modification of the destination terminal, an increase in cost for maintaining confidentiality can be minimized.
【図1】 本発明に係る暗号ゲートウェイ装置の実施の
形態を用いた暗号通信システムの構成図である。FIG. 1 is a configuration diagram of an encryption communication system using an embodiment of an encryption gateway device according to the present invention.
【図2】 実施の形態の暗号ゲートウェイ装置の構成を
示すブロック図である。FIG. 2 is a block diagram illustrating a configuration of a cryptographic gateway device according to an embodiment.
【図3】 実施の形態の暗号ゲートウェイ装置の動作を
示すフローチャートである。FIG. 3 is a flowchart illustrating an operation of the cryptographic gateway device according to the embodiment.
【図4】 図1の暗号通信システムの詳細な構成を示す
ブロック図である。FIG. 4 is a block diagram showing a detailed configuration of the cryptographic communication system of FIG. 1;
【図5】 本発明に係る暗号ゲートウェイ装置の他の実
施の形態を用いた暗号通信システムの構成図である。FIG. 5 is a configuration diagram of a cryptographic communication system using another embodiment of the cryptographic gateway device according to the present invention.
【図6】 従来の暗号通信システム(その1)の構成を
示すブロック図である。FIG. 6 is a block diagram showing a configuration of a conventional cryptographic communication system (part 1).
【図7】 従来の暗号ゲートウェイ装置の構成を示すブ
ロック図である。FIG. 7 is a block diagram showing a configuration of a conventional cryptographic gateway device.
【図8】 図7の暗号ゲートウェイ装置を用いた暗号通
信システム(その2)の構成を示すブロック図である。8 is a block diagram showing a configuration of a cryptographic communication system (part 2) using the cryptographic gateway device of FIG. 7;
1、2 暗号ゲートウェイ装置 3 インターネット 4、5 ローカルエリアネットワーク 6 公衆網 7、8 端末 9 専用回線 11 データ受信手段 12 データ解析部 13 セッション鍵テーブル 14 暗号化/復合部 15 データ送信手段 16 鍵データ作成部 17 鍵データ送信手段 18 鍵データ受信手段 19 鍵データ解析部 20 セッション鍵検索部 21 送受信制御部 1, 2 Cryptographic gateway device 3 Internet 4, 5 Local area network 6 Public network 7, 8 Terminal 9 Dedicated line 11 Data receiving means 12 Data analysis unit 13 Session key table 14 Encryption / decryption unit 15 Data transmission means 16 Key data creation Unit 17 key data transmission unit 18 key data reception unit 19 key data analysis unit 20 session key search unit 21 transmission / reception control unit
Claims (3)
情報の暗号化/復合を行う暗号ゲートウェイ装置であっ
て、 送信端末及び受信端末の識別情報と暗号化又は復合のた
めのセッション鍵の組を保持するセッション鍵テーブル
と、 このセッション鍵テーブルから該当するセッション鍵を
検索するセッション鍵検索手段と、 暗号化を行うための確認データ等を送受信するデータ送
信手段及びデータ受信手段と、 暗号データや確認データ等を解析するデータ解析手段
と、 受信した暗号化データ又は通常データを暗号化又は復合
する暗号化/復合手段と、 暗号化を解く鍵データをダイヤルアップ等により別ルー
トにて受け渡しするための鍵データ送信手段及び鍵デー
タ受信手段と、 受信した鍵データを解析する鍵データ解析手段と、 セッション鍵検索の結果で鍵データを作成する鍵データ
作成手段と、 を備え、 ユーザからの暗号化指示により、暗号化データと鍵デー
タを物理的に別ルートで転送することを特徴とする暗号
ゲートウェイ装置。An encryption gateway device for receiving information from a transmission terminal and encrypting / decrypting the received information, comprising identification information of the transmission terminal and the reception terminal and a session key for encryption or decryption. A session key table for holding a set, a session key search unit for searching for a corresponding session key from the session key table, a data transmission unit and a data reception unit for transmitting and receiving confirmation data and the like for performing encryption, and encrypted data. Data analysis means for analyzing received data and confirmation data, etc., encryption / decryption means for encrypting or decrypting received encrypted data or normal data, and key data for decrypting encrypted data are passed on another route by dial-up or the like. Key data transmitting means and key data receiving means, key data analyzing means for analyzing received key data, and session A key data generating means for generating key data based on a result of the key search, wherein the encrypted data and the key data are physically transferred via different routes in accordance with an encryption instruction from a user. .
用して転送し、前記鍵データを公衆網を使用して転送す
ることを特徴とする請求項1記載の暗号ゲートウェイ装
置。2. The encryption gateway device according to claim 1, wherein the encrypted data is transferred using the Internet, and the key data is transferred using a public network.
用して転送し、前記鍵データを専用回線を使用して転送
することを特徴とする請求項1記載の暗号ゲートウェイ
装置。3. The encryption gateway device according to claim 1, wherein the encrypted data is transferred using the Internet, and the key data is transferred using a dedicated line.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9220478A JPH1168730A (en) | 1997-08-15 | 1997-08-15 | Cryptographic gateway device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9220478A JPH1168730A (en) | 1997-08-15 | 1997-08-15 | Cryptographic gateway device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH1168730A true JPH1168730A (en) | 1999-03-09 |
Family
ID=16751733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9220478A Pending JPH1168730A (en) | 1997-08-15 | 1997-08-15 | Cryptographic gateway device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH1168730A (en) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000078082A1 (en) * | 1999-06-14 | 2000-12-21 | Ntt Docomo, Inc. | Wireless communication unit connected detachably with external unit |
| JP2001333126A (en) * | 2000-05-23 | 2001-11-30 | Ntt Docomo Inc | Communication system, communication method and communication unit |
| JP2002217887A (en) * | 2001-01-18 | 2002-08-02 | Nec Corp | Control system for san-ciphering |
| JP2002261747A (en) * | 2000-12-28 | 2002-09-13 | Sony Corp | Delivery method and delivery system |
| JP2003503963A (en) * | 1999-06-30 | 2003-01-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Dynamic connection to multiple origin servers with transcoding proxy |
| JP2003032237A (en) * | 2001-07-12 | 2003-01-31 | Mist Wireless Technology Kk | Cipher key injection system, cipher key injecting method, password number input unit, dealing terminal and host apparatus |
| JP2003234727A (en) * | 2002-02-08 | 2003-08-22 | Nippon Telegraph & Telephone East Corp | Digital content distribution device, digital content distribution program, program recording medium, and digital content distribution method |
| JP2003318887A (en) * | 2002-04-25 | 2003-11-07 | Nec Corp | Contents distribution system, its method and contents receiving terminal |
| JP2004102524A (en) * | 2002-09-06 | 2004-04-02 | Ttt Kk | Security system and security method for database |
| JP2004362129A (en) * | 2003-06-03 | 2004-12-24 | Toshiba Corp | E-mail encrypted delivery system and method |
| JP2005198043A (en) * | 2004-01-07 | 2005-07-21 | Nec Corp | Content distribution system, its method, server, user terminal, encryption apparatus, managing apparatus, and streaming apparatus |
| JP2006109529A (en) * | 2006-01-16 | 2006-04-20 | Nec Corp | Quantum encryption communications system and quantum encryption key distribution method used therefor, and communication apparatus using encryption communication method used therefor |
| JP2006197024A (en) * | 2005-01-11 | 2006-07-27 | Fujitsu Ltd | Security method and client and server thereof |
| KR100840824B1 (en) * | 2000-12-28 | 2008-06-23 | 소니 가부시끼 가이샤 | Distribution method and distribution system |
| WO2014008403A1 (en) * | 2012-07-03 | 2014-01-09 | Visa International Service Association | Data protection hub |
-
1997
- 1997-08-15 JP JP9220478A patent/JPH1168730A/en active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7221961B1 (en) | 1999-06-14 | 2007-05-22 | Ntt Docomo, Inc. | Wireless telecommunications unit attachable to and detachable from an external unit |
| WO2000078082A1 (en) * | 1999-06-14 | 2000-12-21 | Ntt Docomo, Inc. | Wireless communication unit connected detachably with external unit |
| JP2003503963A (en) * | 1999-06-30 | 2003-01-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Dynamic connection to multiple origin servers with transcoding proxy |
| JP2001333126A (en) * | 2000-05-23 | 2001-11-30 | Ntt Docomo Inc | Communication system, communication method and communication unit |
| JP2002261747A (en) * | 2000-12-28 | 2002-09-13 | Sony Corp | Delivery method and delivery system |
| KR100840824B1 (en) * | 2000-12-28 | 2008-06-23 | 소니 가부시끼 가이샤 | Distribution method and distribution system |
| JP2002217887A (en) * | 2001-01-18 | 2002-08-02 | Nec Corp | Control system for san-ciphering |
| JP2003032237A (en) * | 2001-07-12 | 2003-01-31 | Mist Wireless Technology Kk | Cipher key injection system, cipher key injecting method, password number input unit, dealing terminal and host apparatus |
| JP2003234727A (en) * | 2002-02-08 | 2003-08-22 | Nippon Telegraph & Telephone East Corp | Digital content distribution device, digital content distribution program, program recording medium, and digital content distribution method |
| JP2003318887A (en) * | 2002-04-25 | 2003-11-07 | Nec Corp | Contents distribution system, its method and contents receiving terminal |
| JP2004102524A (en) * | 2002-09-06 | 2004-04-02 | Ttt Kk | Security system and security method for database |
| JP2004362129A (en) * | 2003-06-03 | 2004-12-24 | Toshiba Corp | E-mail encrypted delivery system and method |
| JP2005198043A (en) * | 2004-01-07 | 2005-07-21 | Nec Corp | Content distribution system, its method, server, user terminal, encryption apparatus, managing apparatus, and streaming apparatus |
| JP2006197024A (en) * | 2005-01-11 | 2006-07-27 | Fujitsu Ltd | Security method and client and server thereof |
| JP2006109529A (en) * | 2006-01-16 | 2006-04-20 | Nec Corp | Quantum encryption communications system and quantum encryption key distribution method used therefor, and communication apparatus using encryption communication method used therefor |
| WO2014008403A1 (en) * | 2012-07-03 | 2014-01-09 | Visa International Service Association | Data protection hub |
| US9547769B2 (en) | 2012-07-03 | 2017-01-17 | Visa International Service Association | Data protection hub |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10693531B2 (en) | Secure end-to-end transport through intermediary nodes | |
| US5751813A (en) | Use of an encryption server for encrypting messages | |
| JP3816337B2 (en) | Security methods for transmission in telecommunications networks | |
| EP1396979B1 (en) | System and method for secure group communications | |
| WO1998002989B1 (en) | Cryptographic communication system | |
| WO1998002989A1 (en) | Cryptographic communication system | |
| EP0669741A3 (en) | Method and apparatus for encrypted communication in data networks | |
| JP3111468B2 (en) | Communication concealment method | |
| JPH1168730A (en) | Cryptographic gateway device | |
| EP1119132A2 (en) | Broadcasting encrypted messages using session keys | |
| JP3296514B2 (en) | Encryption communication terminal | |
| EP1292166B1 (en) | Mobile communication system | |
| JP2001203761A (en) | Relay device and network system provided with the same | |
| JP4933286B2 (en) | Encrypted packet communication system | |
| US20040029562A1 (en) | System and method for securing communications over cellular networks | |
| KR101373032B1 (en) | Method for transferring messages comprising extensible markup language information | |
| US20020116606A1 (en) | Encryption and decryption system for multiple node network | |
| JPH1141280A (en) | Communication system, VPN relay device, recording medium | |
| JP2005244379A (en) | VPN system, VPN apparatus, and encryption key distribution method used therefor | |
| JPH11239184A (en) | Switching hub | |
| CN117834212A (en) | Security gateway and communication system | |
| KR100458955B1 (en) | Security method for the Wireless LAN | |
| JPH04274636A (en) | Ciphering system for local area network | |
| US20040091113A1 (en) | Interface apparatus for monitoring encrypted network | |
| JP2001186120A (en) | Electronic mail server system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20010619 |