专利名称:加密的一元集中管理系统的制作方法
技术领域:
本发明有涉及加密的一元集中管理系统,特别是涉及为了降低在网络上由外部攻击而引起的信息被盗取或被删改等危险而进行信息加密/解密的系统。
背景技术:
在独立地使用个人计算机(个人电脑)时,个人计算机内部的信息的被盗取、删改,或被破坏的危险性很小。但是,将个人计算机与互联网等网络连接后,由于交换的信息将向多个网络路由。因此显著提高了在该途中被盗取或被删改的可能性。
“信息加密”是用于解决此问题的方法之一。即在发送侧的个人计算机中将信息加密后再发送到对方。在接受侧的个人计算机中将其解密再使用。采用这种方法,即使在网络的中途信息被盗取,由于信息被加密,信息本身的被看到的可能性小,另外也降低被删改的危险性。
但是,为了使用密码,需要在欲进行密码通信的终端,都要安装专用的密码软件,必须进行各种设定。例如在某终端与另一某终端之间进行密码通信但与其他的终端之间不进行密码通信等这样的有无密码的处理、在进行密码通信中加密的等级、进行加密的时间段、密钥等非常多的信息需要在每个终端中进行设定。因此要建立使用密码的系统存在需要很多劳动的问题。
发明内容
本发明是为了解决此问题而提出,其目的在,能够简化使用密码所需的对每个终端的各种信息设定。
本发明的加密一元集中管理系统,具备多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,其备有加密/解密机构,该加密/解密机构在具有密码处理功能的通信终端之间,为了达到实现终端由加密而保证的安全,进行数据的加密处理和解密处理;管理终端,其将进行上述密码通信所需要的各种信息的设定,通过网络远距离地对上述通信终端和上述密码装置进行,其中,上述多个通信终端(具有上述密码处理功能的终端,除了安装密码软件的终端之外,还包含具有和上述密码装置同样功能的其他的密码装置)、上述管理终端、上述密码装置通过有线或无线网络连接。
本发明的另一方案中,上述加密/解密机构,为了在具有上述密码处理功能的通信终端之间进行加密的数据通信,和在不具备密码处理功能的通信终端之间进行不加密的数据通信,进行上述加密处理和上述解密处理。
本发明的另一方案中,上述密码装置备有桥接机构,该桥接机构将从一个端口输入的、经上述加密/解密机构施以加密处理或解密处理的数据,并不经过路由处理而直接地保持原状地从其他端口输出。
本发明的另一方案,备有多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,对自一个端口输入的、通过物理层及数据链层交予的数据,进行加密处理或解密处理,由此所获得的数据并不交予进行网络间路由控制的网络层,而通过数据链络层和物理层由另一端口输出;管理终端,其将上述密码通信所需要的各种信息的设定,通过网络远距离地对上述通信终端和上述密码装置进行,其中,上述多个通信终端、上述管理终端、以及上述密码装置通过有线或无线网络连接。
本发明的另一方案,上述密码装置是备有设定信息存储机构,该设定信息存储机构存储由上述管理终端设定的、与上述加密处理和上述解密处理的控制相关的信息,上述密码装置对照存储在上述设定信息存储机构中的设定信息,和附加在从上述一个端口输入的数据包头部中的信息,进行上述加密处理和上述解密处理的控制。
图1是表示根据本实施方式的加密一元集中管理系统的构成例的图。
图2是表示根据本实施方式的加密一元集中管理系统的另一构成例的图。
图3是表示根据本实施方式的加密一元集中管理系统的再另一构成例的图。
图4是表示根据本实施方式的加密一元集中管理系统的进一步另一构成例的图。
图5是表示根据本实施方式的密码装置和与其连接的DB服务器和个人计算机中的通信协议的层次结构的图。
图6是说明在本实施方式上流通在网络上的数据包的IP地址的图。
图7是说明在本实施方式上流通在密码装置中的数据包的MAC地址的图。
图8是说明以往的流通在VPN路由器中的数据包的MAC地址的图。
具体实施例方式
下面根据
本发明的一实施方式。
图1是表示本实施方式加密的一元集中管理系统的整体构成例的图。
在图1中,1是密码装置,备有2个端口,在一个端口(port)连接有网络打印机2、DB服务器3、网络终端设备4等的设备,在另一端口连接有集线器5。该密码装置1是在网络打印机2、DB服务器3、网络终端设备4等装置与集线器5之间进行数据中继。
网络打印机2是不能在物理上安装密码软件的终端。DB服务器3由于动作的稳定方面等问题不适合安装多余密码软件的终端。网络终端设备4是没有OS(操作系统)不能运行密码软件的终端。因此,在这些终端2~4中不能安装密码软件。
另外,在OSI参照模式的物理层中,集线器5是用于数据中继的设备。除了上述密码装置1之外,还连接有无线通信用的无线接入点6、台式个人计算机7、以及用于进行与加密/解密有关的各种信息设定的管理终端12。此时的集线器5,是用于在密码装置1与无线接入点6及台式个人计算机7之间进行密码通信的数据中继,另外,也对管理终端12和其他的密码装置1、无线接入点6、台式个人计算机7之间,进行各种信息设定用的数据中继。
进一步,在上述无线接入点6中,通过无线连接有台式个人计算机8和膝上型个人计算机9。在台式个人计算机7、8及膝上型个人计算机9中,可以安装用于进行数据的加密/解密的密码软件,实际上安装有用于进行加密/解密处理的代理软件。在密码装置1中,也安装与此相同的密码代理软件。
如上所述,本实施方式的密码装置1是具有两个端口,对于一个端口,通过集线器5或无线接入点6间接地连接具有密码处理功能的通信终端即个人计算机7~9。另外,在另一端口直接地连接网络打印机2、DB服务器3、网络终端设备4。并且,由这些密码装置1、网络打印机2、DB服务器3、网络终端设备4、集线器5、无线接入点6、个人计算机7~9而构成一个据点网络。
根据上述的构成,在没有安装密码软件的网络打印机2、DB服务器3、及网络终端设备4,与安装有密码软件的个人计算机7~9(这些设备2~4、7~9均相当于本发明的通信终端)之间、通过密码装置1、集线器5及无线接入点6进行数据通信。
此时,密码装置1,用于在安装有密码软件的个人计算机7~9之间进行信息的通信,同时在未安装密码软件的终端2~4间进行未加密的数据通信,而进行加密处理及密码的解密处理。
例如,数据从台式个人计算机7发送到网络打印机2进行打印输出时,首先使用安装在台式个人计算机7中的密码软件将数据加密,再通过集线器5供给到密码装置1。接着,密码装置1,将接受到数据解密,发送到网络打印机2。
再者,例如在DB服务器3所管理的数据取入膝上型个人计算机9时,DB服务器3,根据附与的要求,将该数据供给密码装置1。接受了该未加密的数据的密码装置1,将该数据予以加密,通过集线器5和无线接入点6,发送到膝上型个人计算机9。膝上型个人计算机9,将接受的数据予以解密,使用于期望的处理。
由上面的说明可以明确通过使用密码装置1,在具有不能安装专用的密码软件的终端2~4的企业内LAN(Local Area Network)当中,也能使用密码。由此可以建立对于外部的不正当侵入或攻击而LAN内部的机密数据被盗取或被删改的危险性小的安全网络10。
另外,密码装置1与各终端2~4之间是不能使用密码,连接它们的电缆11在物理上是很短的配线。且由于此部份的受外部攻击而被盗听或被删改的可能性非常低,所以安全上不会特别有问题。
在如上述构成的密码系统中,对于密码装置1及个人计算机7~9所安装的密码代理软件,应该设定的各种信息,例如有无加密/解密处理,某个终端与某个终端之间是否可以进行丢弃数据包等这样的通信,加密等级,进行加密的时间段,每个部门的密码策略,密钥等信息,这些是通过集线器5从管理终端12将必要的信息下载到密码装置1和各个人计算机7~9。
因此,不需要将使用密码所需的各种信息在每个终端分别地设定,从管理终端12到密码系统的整体可以一元集中管理。所以,对各终端的各种信息的设定可以简单地进行,可以大幅度地削减密码系统的建立以及其以后的维护所需的工作。
以往,在备有在物理上不能安装密码软件的打印机或传真等终端,优选不适宜安装多余软件的打印服务器或数据库服务器等终端,和不具备OS只能作为简单的网络终端发挥作用的终端等的企业内LAN之中,因为不能实质上地安装密码软件,所以使用密码是很困难。
因此以往的密码系统,采取在连接于网络的各终端之间互相交换的信息的中途互联网上,予以加密。此时,进行密码通信的终端,因为是在网络上多个散布存在,所以对于这些多个的终端进行加密的一元集中管理是非常困难的。与此相反,根据本实施方式,因为在企业内LAN中可以使用密码,所以在该LAN内可以进行加密的一元管理。
图2是表示本实施方式加密的一元集中管理系统其他构成例的图。另外在该图2中,与图1所示的构成要素备有同一功能的构成要素是附与同一符号。在图2中,密码装置1,在一个的端口连接互联网20,另一个的端口连接集线器5。
图2的情形,是由密码装置1、集线器5、无线接入点6、个人计算机7~9构成一个据点网络。另外在互联网20的前面连接有另一据点网络,其连接了多台如图1所示的网络打印机2、DB服务器3、网络终端设备4等不能安装密码软件的终端,或者连接多台如个人计算机7~9那样被安装了密码软件的终端而构成的。
在图1所示的例子中,对于1台密码装置1连接1台设备,与1台的设备相关的加密/解密处理是以1台的密码装置1专用地进行。即图1所示的密码装置1,连接在安装了密码软件的个人计算机7~9与没有安装密码软件的1台的设备之间,对该1台设备终端保证由加密而实现的安全。
与此相反,在图2所示的例子中,密码装置1,连接在安装有密码软件的个人计算机7~9和连接在互联网20的多台设备之间。上述的多台设备,可以是例如图1所示的网络打印机2、DB服务器3、网络终端设备4等那样没有安装密码软件的设备,也可以是如个人计算机7~9等那样安装有密码软件的设备。这样,密码装置1,可以对于多台设备终端保证由加密而实现的安全,此时,密码装置1,只有被连接的设备数量的数据通路,对于每个设备使用不同的密钥进行加密/解密处理。
另外,通过互联网20,将数据从安全网络10内的台式计算机7向不具有密码软件的外部设备发送的时候,首先,在台式计算机7中,使用已安装的密码软件对数据进行加密,通过集线器5供给密码装置1。接着,密码装置1,将受到的数据解密,通过互联网20发送到外部设备。
另外,例如将位于互联网20前面的不具备密码软件的外部装置所管理的数据,取入到安全网络10内的膝上型个人计算机9时,该外部装置,根据提供的要求,将该数据发送到互联网20。接到该未加密数据的密码装置1,将该数据予以加密,通过集线器5及无线接入点6,发送到膝上型个人计算机9。膝上型个人计算机9将接受的数据予以解密,再使用于期望的处理。
另一方面,数据通过互联网20,从安全网络10内的台式个人计算机7向具有密码软件的外部设备发送时,首先使用安装于台式个人计算机7中的密码软件将数据加密,通过集线器5供给到密码装置1,接着密码装置1将接受的数据不予解密,通过互联网20发送到外部设备。外部设备将接受的数据予以解密,再使用于期望的处理。
相反的,在位于网络20的前面的外部装置中,将加密的数据发送到安全网络10内的台式个人计算机7时,密码装置1将通过互联网20从外部设备接受的数据不予解密,保持加密的状态通过集线器5发送到台式个人计算机7。
这样,即使安全网络10内的终端7~9与连接于互联网20的不具备密码软件的外部设备之间进行数据通信时,至少在安全网络10的内部可以使用密码保护。另外,在连接于互联网20的外部设备中,安装有密码软件时,在安全网络10的外部的互联网20上也可以使用密码。
另外,上述多台的设备,不需要通过互联网20连接,也可以直接或通过集线器与密码装置1连接。在直接连接时,密码装置1要具有2个以上的端口。
图3是表示本实施方式加密的一元集中管理系统另一构成例的图。而且,在该图3中,对于与图1的构成要素具有同一功能的构成要素附与同一符号,图3所示的例子也与图2所示的例子一样,是1台密码装置1对多台的设备终端保证由加密而实现安全的例子。
在图3所示的例子中,在安全网络10的内部,3台的个人计算机7~9都以无线LAN连接于无线接入点6-1。无线接入点6-1是通过密码装置1连接于互联网20。另外备有多个无线接入点6-1、6-2,以1台的无线接入点6-1不能完全覆盖的通信范围用另一无线接入点6-2来覆盖,因而提供比较宽广的无线LAN环境。密码装置1分别与每一无线接入点6-1、6-2连接。
在这样构成的密码系统中,例如连接于一个的无线接入点6-1的膝上型个人计算机9,可以实现在移动超出其可通信范围进行时切换至另一个的无线接入点6-2继续进行通信的切换。并且如上所述,由于管理终端12一元管理用于密码通信的通路的设定,即使在多个无线接入点6-1,6-2之间,也能够继续进行密码通信。
再者,在本图3所示的例子中,管理终端12是与互联网20连接。此时的管理终端12,通过互联网20,将对密码代理软件应该设定各种数据,下载到密码装置1及各个人计算机7~9而予以设定。
另外,在上述图1~图3中,对具备1个安全网络10和将其中的加密进行一元管理的一个管理终端12的例子进行了说明。与此相对,也可以建立这样的一个加密系统,其备有多个管理终端12,该管理终端12将多个安全网络10及其中的加密分别予以一元管理,各管理终端12通过互联网20等互相进行数据通信,并适当地设定有关加密/解密的各种的信息,汇集多个的安全网络10整体构成1个密码系统。
再者,在上述图1~图3中,做为本发明的具有密码处理功能的通信终端的例子,例举了安装密码软件的个人计算机7~9。而在密码装置1与个人计算机7~9之间,对终端通过加密而实现安全的例子进行了说明。但是具有密码处理功能的通信终端并不局限于此例,还包含具有与密码装置1同样的功能的其他密码装置。在图4中表示这种情况的加密一元集中管理系统。
在图4所示的例子中,据点A、B的二个据点网络30A、30B是通过路由器40A、40B、互联网20连接而成。据点A网络30A中是由个人计算机31A~33A及密码装置1A-1~1A-3来构成企业内LAN。个人计算机31A~33A均是没有安装密码软件的终端。密码装置1A-1~1A-3均具有与图1的密码装置1同样的功能。在一个端口连接有个人计算机31A~33A,在另一个端口是连接有路由器40A。
在据点B网络30B中也同样,由个人计算机31B~33B及密码装置1B-1~1B-3构成企业内LAN。个人计算机31B~33B是均没有安装密码软件的终端。另外,密码装置1B-1~1B-3均具有图1的密码装置1同样的功能,在一个端口连接个人计算机31B~33B,在另一个端口连接路由器40B。
根据这样的构成,在属于不同的据点网络30A、30B的个人计算机之间,可以通过密码装置1A-1~1A-3、1B-1~1B-3进行数据通信。例如从位于据点A网络30A内的个人计算机3 1A向位于据点B网络30B内的个人计算机33B发送数据时,密码装置1A-1是将个人计算机31A供给的数据予以加密,通过路由器40A、互联网20及路由器40B发送到密码装置1B-3。密码装置1B-3将接受的数据解密,供给个人计算机33B,由此从而实现在不同的据点网络30A、30B之间可以使用密码通信。
再者,例如在据点A网络30A的内部,没有安装密码软件的个人计算机31A~33A之间是通过密码装置1A-1~1A-3来进行数据通信。例如从某个人计算机31A向另一个人计算机33A送数据时,密码装置1A-1将个人电脑31A所供给的数据予以加密,发送至密码装置1A-3。密码装置1A-3将接受的数据予以解密供给个人计算机33A。
在据点B网络30B的内部也同样,没有安装密码软件的个人计算机31B~33B之间,是通过密码装置1B-1~1B-3进行数据通信。例如从某个个人计算机31B向另一个人计算机33B送数据时,密码装置1B-1将由个人计算机31B所供给的数据加密,发送至密码装置1B-3,密码装置1B-3将接受的数据予以解密供给于个人计算机33B。
如上所述,密码装置1A-1~1A-3、1B-1~1B-3均在没有安装密码软件的个人计算机31A~33A、31B~33B之间进行没有被加密的数据的通信,同时在具有密码处理功能的通信终端的密码装置1A-1~1A-3、1B-1~1B-3之间,为了进行加密的数据通信而进行加密处理及密码的解密处理。
将上述的密码装置1A-1~1A-3、1B-1~1B-3分别连接在个人计算机31A~33A、31B~33B的附近,在不同的据点网络30A、30B之间使用密码是当然不用说的,在具有没有安装密码软件的个人计算机的企业内LAN中也成为可能。由此,可以使各据点网络30A、30B成为对于外部的不正当侵入或攻击而LAN内部的机密信息的被盗取或被删改的危险性小的安全网络。
另外,在图4的例子中,将各据点网络30A、30B中的加密分别以一元管理的多个管理终端12A、12B,与互联网20连接。各管理终端12A、12B通过互联网20互相进行数据通信,并适当地设定与加密/解密有关的各种信息。由此,可以集中多个据点网络30A、30B整体上构成一个密码系统。
再者,在上述图4的例子中,各据点网络30A、30B均具备多个密码处理功能的终端(密码装置1A-1~1A-3、1B-1~1B-3)的构成,也可以作为至少一个的据点网络只备有一个密码处理功能的终端的构成,例如也可以将据点网络30A内,连接1台个人计算机31A与1个密码装置1A-1的构成。
此时,与图4所示的构成同样,在不同的据点网络30A、30B之间可以使用密码。另外关于据点网络30A内,是将密码装置1A-1连接于个人计算机31A的附近,由此在该据点网络30A的出入口与密码装置1A-1之间可以使用密码。
另外,在上述图4的例子中,是以通过互联网20连结二个据点网络30A、30B,而在各据点网络30A、30B内分别备有密码装置1A-1~1A-3、1B-1~1B-3和个人计算机31A~33A、31B~33B为例进行表述,但是本发明不局限于此。
例如,在1个据点网络内具备有密码装置1A-1~1A-3、1B-1~1B-3及个人计算机31A~33A、31B~33B,在未安装密码软件的个人计算机31A~33A、31B~33B之间的数据交换,还可以通过密码装置1A-1~1A-3、1B-1~1B-3来进行。此时,在1个据点网络内,至少在密码装置1A-1~1A-3、1B-1~1B-3之间可以使用密码。
另外,除了上述以外,例如在图1的构成中,还可以采用替代安装有密码软件的个人计算机7,使用未安装密码软件的个人计算机和密码装置1,将密码装置1与集线器5连接的构成。此时,未安装密码软件的网络打印机2、DB服务器3、网络终端设备4等的设备,与未安装密码软件的个人计算机之间,可以通过连接于两者附近的密码装置1进行密码通信。
图5是表示在图1所示的密码系统中,密码装置1与直接和间接地连接在密码装置1的DB服务器3及膝上型个人计算机9之间的通信协议的层次结构的图。在图5所示的例子中,在DB服务器3没有预先安装密码软件(没有IP-Sec),在膝上型个人计算机9中安装有密码软件(具有IP-Sec),在该DB服务器3与膝上型个人计算机9之间连接有本实施方式的密码装置1。这里,将保存在DB服务器3中的数据送至密码装置1,在这里假想该将数据加密发送至个人计算机9的使用形式。
如图5所示,DB服务器3及个人计算机9是分别备有一个端口31、32,做为其中继机的密码装置1具备两个端口33、34。对于密码装置1的各端口33、34而分别设有物理层及MAC层(数据链路层),对于各端口33、34共同设置IP-Sec(加密/解密处理功能)、IP层(网络层),以及TCP/UDP(传送层)。
层越深离使用者越远。相反层越浅越靠近使用者。在DB服务器3及个人计算机9的IP层的上一层,存有TCP/UDP层以及应用层(图中均未表示),其进行使用者所使用的应用程序与下一层之间的过渡。
在数据的发送侧,自上一层朝向下一层,通过每一层的数据逐步改变,并且在各层之间逐一附加可使数据传送用的头部,相反的在数据的接受侧,参照各层地址的头部从各层提取必要的数据。并且将被提取出的数据交于其上一层,最终通过应用层发送到使用者。
下面分别说明各层的功能。TCP/UDP层是进行特定的移交数据,管理数据包的状态等的层。在数据发送侧,确认将上一层(应用层)所交来的数据应该移交于对方的哪一应用系统,而将接受地址的端口号码附加于数据中再交至其下一层(网络层)。另一方面,在数据接受侧,监视从下一层所交上来的数据包有无发生由于通信状态等的缺失。
IP层是用于将跨越于多个网络的终端间的数据进行转送或进行关于数据中继的协议和控制的层。对于互为通信对方的通信侧的DB服务器3与接受侧的个人计算机9,分别分派有不同的IP地址①④,通过识别这个而可以决定首尾相连(end to end)的逻辑上通信路径。
MAC(Media Access Control)层是用于保证邻接机器的节点间的高可靠性的数据传送的层,在制造阶段就备有分派给各个机器的物理的MAC地址,在数据发送侧,当在IP层明确通信对方的IP地址时,在处于其下一层位置的MAC层中,依据被确立的对方的IP地址,决定经过的下一个机器(物理上连接的邻接的节点)的收信地址。另一方面在数据接受侧,依据MAC地址判断为寄给自己的数据包之后,在该上一层的IP层解析IP地址,判断是否将该数据包再转发到其他机器,或取入自己内部。
物理层,是将上一层交给的数据变换为电气信号或光信号,通过同轴电缆或光纤电缆等的传送媒体进行实际的数据传送,或将从传送媒体所送来的电气信号或光信号变换为上一层可以识别的数据,并将其交给上一层的层。在作为物理层的上一层的MAC层中,依照物理层的通信接口的方法进行上述的处理。
IP-Sec是进行数据的加密处理和解密处理的功能部。即取得从MAC层所交给的数据,进行该数据的加密及密码解密处理。
本实施方式的密码装置1,是具有通过IP-Sec而桥接两个端口33、34之间的特征。所谓“桥接”(Bridge),将从一个端口所输入的被加密或被解密处理的数据,不经过路由处理,原样地输出到其他端口。在图5的例子中,对从第1端口33输入的数据用IP-Sec进行加密处理,将由此得到的数据,在IP层不进行路由处理(不交给IP层)保持这样输出到其他的端口,相当于“桥接”。这样,在本实施方式的密码装置1中,关于在DB服务器3与个人计算机9之间的数据转送,不使用IP层及TCP/UDP层,而在IP层的下一层进行处理。
即在DB服务器3中生成的数据包数据,通过该DB服务器3的MAC层、物理层被发送,由密码装置1的第1端口33接受。将接受的数据包数据通过物理层、MAC层交给IP-Sec,在此进行加密处理。该被加密的数据包数据是通经MAC层和物理层由第2的端口34予以发送。
由第2的端口34发送的数据包数据是被个人计算机9接受,通过物理层、MAC层交给IP-Sec,进行密码解密。而且被解密的数据是通经IP层交给图中未示的应用层。由此,即使DB服务器3不具备密码软件,仍然可以对个人计算机9发送该被加密的数据。
另外,密码装置1的IP层和TCP/UDP层,是用于由上述管理终端12对密码装置1本身设定有关加密/解密的各种信息。这种设定信息,是通过IP~Sec桥接功能而保存在存储器中。IP-Sec,核对保存在该存储器中的设定信息与自端口33、34输入的数据包中所附加的头部信息(例如发送者IP地址及收信IP地址),进行加密/解密的控制等。
这样,在本实施方式的密码装置1中,将一个端口所输入的数据在IP-Sec进行加密/解密,由此获得的数据不交于IP层,不经过路由处理,保持原状地转送到其他端口,因此在数据通信时可以不要密码装置1的IP地址。即可进行不具有IP地址地进行IP层的加密/解密处理。因而,可以免除对于密码装置1本身的复杂的IP地址设定。
另外,连接在密码装置1两侧的终端,成为属于同一网络内,在密码装置1的输入端口与输出端口,IP地址不会改变。因此不管密码装置1有无连接到网络上,都可以保持IP地址的透过性。即在网络上连接密码装置1或从网络上拆除密码装置1时,连接于该密码装置1的终端的地址设定不需要变更。
例如,如图5所示,在DB服务器3与个人计算机9之间插入密码装置1时,或不插入密码装置1,在DB服务器3与个人计算机9之间进行直接通信时,该流过DB服务器3与个人计算机9之间的数据包的IP地址都是如图6所示的状态保持不变。因此不会由于有无连接密码装置1而变更地址设定。
由此,在导入网络系统时或维修时,只要将本实施方式的密码装置1插入于适当的场所,或只将其拆下就可以。不必要进行复杂的地址的设定,所以可以大幅度地消减作业负荷。
再者,本实施方式的情况,对于MAC地址也可以保持透过性。图7是表示从DB服务器3向个人计算机9传送数据,在其间的密码装置1中将数据予以加密时的数据包的图。图7(a)是在第1的端口33接受的数据包。第7图(b)是表示从第2的端口34发送的数据包。而且,在IP~Sec中,具有只将数据部分予以加密的传送模式,以及将数据包全部予以加密再追加新头部的隧道模式。关于发送数据包,分别显示这两种模式。
另外,图8是表示,为了与本实施方式进行比较,在使用以往的VPN路由器的系统中,从一个个人计算机向另一个个人计算机传送数据,在其间的VPN路由器中,将数据加密时的数据包的图。图8(a)表示在VPN路由器的第1端口所接受的数据包。图8(b)表示由第2端口发送的数据包。在该图8中,关于发送数据包,以两种模式分别表示。
由图7可以明确,根据本实施方式,不但IP地址,而且对于MAC地址,第1端口33与第2端口34也没有不同之处,可以保持MAC地址的透过性。即本实施方式的密码装置1,如果除了具有IP-Sce对数据进行加密/解密处理之外,只是将一个端口所输入的数据流到另一个端口,所以在数据通信时可以不要MAC地址。
另外,在上述实施方式中,以相当于OSI参照模式的第3层的网络层为例,例举了IP层,但是该IP层还可以是诺贝尔公司的网络OS所使用的通信协议的IPX(Internetwork Packet exchang)层。另外,如果是可以使用IP-Sec的,也可以是其他的通信协议。
另外,以上说明过实施方式,不过是例示实施本发明的一个具体化的例子而已,并不是由此而局限地解释本发明的技术范围。即本发明在不脱离其精神或主要特征的情况下,可以以各种方式实施。
本发明如上所述,例如在导入了密码处理功能的终端之间,为了实现终端通过加密而保证的安全,备有进行加密处理和解密处理的加密/解密机构,从而构成密码装置,将该密码装置与进行密码通信的多个通信终端和从远距离对通信终端和密码装置进行用于进行密码通信所需要的各种信息的设定的管理终端连接起来构成密码系统,因而在备有无法安装专用的密码软件的终端的企业内LAN中也可以使用密码,在管理终端就可以一元集中管理该终端于该LAN内的终端加密。由此,可以大幅度地削减用于建立密码系统以及其后的维修所需的劳动。
本发明可以有利于简化使用密码所需的对每个终端的各种信息设定。
权利要求
1.一种加密的一元集中管理系统,其特征在于,备有多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,备有加密/解密机构,该加密/解密机构在具有密码处理功能的通信终端之间,为了实现终端由加密而保证的安全,进行数据的加密处理和解密处理;和管理终端,其通过网络远距离地对上述通信终端和上述密码装置进行上述密码通信所需要的各种信息的设定,其中,上述多个通信终端、上述管理终端、上述密码装置通过有线或无线的网络连接。
2.根据权利要求1所述的加密的一元集中管理系统,其特征在于,上述加密/解密机构,为了在具有上述密码处理功能的通信终端之间进行加密的数据通信,和在不具备密码处理功能的通信终端之间进行不加密的数据通信,进行上述加密处理和上述解密处理。
3.根据权利要求1所述的加密的一元集中管理系统,其特征在于,上述密码装置备有桥接机构,该桥接机构将从一个端口输入的、经上述加密/解密机构施以加密处理或解密处理的数据,并不经过路由处理而直接地保持原状从另一端口输出。
4.根据权利要求1所述的加密的一元集中管理系统,其特征在于,上述密码装置具备有设定信息存储机构,该设定信息存储机构存储着由上述管理终端所设定的、与上述加密处理和上述解密处理的控制相关的信息,上述密码装置对照存储在上述设定信息机构中的设定信息,和从上述一个端口输入的数据包中附加在头部的信息,进行上述加密处理和上述解密处理的控制。
5.一种加密的一元集中管理系统,其特征在于,具备多个通信终端,其之间进行通信;密码装置,其连接在上述多个通信终端之间,对自一个端口输入的、通过物理层及数据链层交予的数据,进行加密处理或解密处理,由此所获得的数据并不交予进行网络间路由控制的网络层,而通过数据链络层和物理层由另一端口输出;和管理终端,其通过网络远距离地对上述通信终端和上述密码装置进行上述密码通信所需要的各种信息的设定,其中,上述多个通信终端、上述管理终端、以及上述密码装置通过有线或无线网络连接。
6.根据权利要求5所述的加密的一元集中管理系统,其特征在于,上述密码装置是备有设定信息存储机构,该设定信息存储机构存储着由上述管理终端设定的、与上述加密处理和上述解密处理的控制相关的信息,上述密码装置对照存储在上述设定信息存储机构中的设定信息,和附加在从上述一个端口输入的数据包头部中的信息,进行上述加密处理和上述解密处理的控制。
全文摘要
一种密码装置(1),备有加密/解密处理机构,在导入了密码处理功能的终端之间,为了实现终端由加密而保证的安全,进行加密处理和密码的解密处理。连接该密码装置(1)和进行密码通信的多个通信终端(2~9)和远距离对通信终端(7~9)以及密码装置(1)进行密码通信所必需的各种信息的设定的管理终端(12)而构成密码系统,在具有不能安装专用密码软件的终端的企业内LAN中也可以使用密码,在管理终端(12)一元地集中管理在该LAN内最终的加密。
文档编号H04L29/06GK1653745SQ0381051
公开日2005年8月10日 申请日期2003年4月24日 优先权日2002年5月9日
发明者井泽诚, 成田宏光, 冈本明 申请人:新泻精密株式会社, 株式会社麦克罗综合研究所