專利名稱:通信系統(tǒng)、通信裝置�����、通信方法以及程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)�����,尤其涉及用于對從信息處理終端送出的數(shù)據(jù)進 行加密后而發(fā)送的加密通信技術(shù)。
背景技術(shù):
目前,介由互聯(lián)網(wǎng)或LAN (Local Area Network,局域網(wǎng))等的網(wǎng)絡(luò) 進行收發(fā)的數(shù)據(jù)��,通過第三者非法地監(jiān)視等的盜取而機密信息泄漏的事件 頻發(fā)���,這已成為社會問題。
作為防止這樣的數(shù)據(jù)盜取有效的方法����,可舉出對從PC (Personal Computer,個人計算機)送出的數(shù)據(jù)進行"加密"的方法����。通過加密能夠 維持?jǐn)?shù)據(jù)的機密性。
為了保持?jǐn)?shù)據(jù)的機密性����,需要對從PC送出的所有的機密數(shù)據(jù)進行加 密。但是��,現(xiàn)有技術(shù)中為了對從PC送出的數(shù)據(jù)進行加密�����,用戶需要指示 加密軟件對發(fā)送數(shù)據(jù)進行加密�����。
例如�,對電子郵件進行加密后發(fā)送時, 一般采用SMTP over SSL的協(xié) 議進行加密,但用戶需要明確地指示軟件使用該協(xié)議來對電子郵件進行加 密�����。由于對于多個郵件軟件���,需要手動改變其設(shè)定��,因此用戶費時����,并且 由于設(shè)定錯誤會有電子郵件沒有被加密而直接送出的危險性�。
對上述問題的解決對策的提示記載在專利文獻1中�����。該專利文獻1中 所述的方法�,為了防止從PC送出沒有加密的數(shù)據(jù)包備有加密應(yīng)用程序�、 加密驅(qū)動程序以及加密LSI��。圖47表示其結(jié)構(gòu)。
加密應(yīng)用程序為軟件����,用密碼來管理加密算法。
加密驅(qū)動器為安裝到TCP/IP協(xié)議的下位層即數(shù)據(jù)鏈路層的軟件��。加 密驅(qū)動器從加密應(yīng)用程序獲取密碼�,在參照該密碼的基礎(chǔ)上����,對加密LSI 指示加密算法�。
加密LSI為安裝到TCP/IP協(xié)議的最下位層即物理層的硬件��。加密LSI 通過參照由加密驅(qū)動器指示的加密算法����,而按照需要進行數(shù)據(jù)的加密���。由 此�,能夠?qū)腜C送出的數(shù)據(jù)進行加密�����,能夠排除未加密的數(shù)據(jù)被送出到 網(wǎng)絡(luò)的危險性��。
參照圖52��,以在PCI和服務(wù)器2之間交換加密數(shù)據(jù)的情況為例對該 專利文獻1的詳細(xì)內(nèi)容進行說明��。
首先���,作為初始設(shè)定���,對PC1和服務(wù)器2兩者安裝加密驅(qū)動器��,并且 對PC和服務(wù)器兩者安裝具備加密LSI的網(wǎng)絡(luò)接口卡(NIC: Network Interface Card)。此外��,預(yù)先在PCI和服務(wù)器2的加密驅(qū)動器中設(shè)定使用 于加密的加密算法以及密碼��。上述初始設(shè)定結(jié)束后��,能夠交換加密數(shù)據(jù)�。
為了具體地說明加密處理,對從PC1向服務(wù)器2發(fā)送數(shù)據(jù)的情況進行 說明����。
在PCI側(cè)的郵件或Web等的應(yīng)用程序開始數(shù)據(jù)通信時,應(yīng)用程序首 先向加密應(yīng)用程序傳送表示開始數(shù)據(jù)發(fā)送之意的數(shù)據(jù)通信開始請求���,并且 經(jīng)由TCP����、 IP路由選擇���、IP堆棧�、驅(qū)動器向NIC傳遞已發(fā)送的原始數(shù)據(jù)�����。 加密應(yīng)用程序,從應(yīng)用程序獲取數(shù)據(jù)通信開始請求時���,對加密驅(qū)動器告知 通信開始����,并且向加密驅(qū)動器提供用戶設(shè)定的密碼���。加密驅(qū)動器���,對加密 LSI指示,采用與從加密應(yīng)用程序獲取的密碼對應(yīng)的算法來對原始數(shù)據(jù)執(zhí) 行加密�。加密LSI基于從加密驅(qū)動器獲取的算法,對處于NIC中的發(fā)送準(zhǔn) 備狀態(tài)的原始數(shù)據(jù)進行比加密��。NIC將通過加密LSI被加密的數(shù)據(jù)送出到 網(wǎng)絡(luò)�。另一方面,服務(wù)器的NIC接收該加密數(shù)據(jù)時�����,首先對驅(qū)動器通知數(shù) 據(jù)的達(dá)到�����。驅(qū)動器從NIC獲取收到通知時,本次對加密驅(qū)動器和加密應(yīng)用 程序進行收到通知���。加密驅(qū)動器從驅(qū)動器獲取收到通知時,由加密應(yīng)用程 序確認(rèn)登錄密碼����,并且對加密LSI指示由位于登錄密碼的解密算法對接收 數(shù)據(jù)進行解密。加密LSI采用由加密驅(qū)動器指示的解密算法�����,對處于NIC 中的接收準(zhǔn)備狀態(tài)的加密數(shù)據(jù)進行解密���。NIC將在加密LSI中被解密的原 始數(shù)據(jù)經(jīng)由驅(qū)動器�、IP堆棧��、IP路由選擇���、TCP傳送到應(yīng)用程序����。通過 上述一系列的處理,能夠?qū)υ赑C和服務(wù)器之間收發(fā)的機密信息進行加密�����, 能夠可靠地防止泄漏給第三者�����。
專利文獻l:特開平IO—190704號公報��。
上述現(xiàn)有技術(shù)的第一個問題在于����,為了采用現(xiàn)有技術(shù)對在PC1和服務(wù) 器2之間收發(fā)的數(shù)據(jù)進行加密,需要對PC1和服務(wù)器2兩者分別安裝加密 應(yīng)用程序�����、加密驅(qū)動器�����、加密LSI�����,并且在PC1和服務(wù)器2的加密應(yīng)用程 序中預(yù)先設(shè)定使用于加密的加密算法或密碼密鑰,因此要花費安裝以及設(shè) 定的時間�。
上述現(xiàn)有技術(shù)的第二個問題在于,為了采用現(xiàn)有技術(shù)對在PC1和服務(wù) 器2之間收發(fā)的數(shù)據(jù)進行加密���,需要對NIC插入加密LSI那樣的加密功能���, 因此對硬件開發(fā)者和軟件開發(fā)者增大負(fù)擔(dān),并且開發(fā)需要時間���。
上述現(xiàn)有技術(shù)的第三個問題在于,通過本發(fā)明的第一發(fā)明解決上述第 一問題時�����,不需要向服務(wù)器安裝加密裝置�,能夠在PC1和服務(wù)器2之間進 行加密通信,但此時服務(wù)器2側(cè)的應(yīng)用程序需要與加密對應(yīng)�,因此具有通 過所使用的應(yīng)用程序而不能加密的可能性,加密的設(shè)定花費時間�。
上述現(xiàn)有技術(shù)的第四個問題在于,為了按照PC的情況下的移動�����,進 行加密功能的啟動或停止相關(guān)的設(shè)定變更,用戶需要使用GUI (Graphical User Interface,圖形用戶界面)手動進行變更��。因此�����,會有設(shè)定錯誤所引 起的信息泄漏的危險�,并且設(shè)定會花費時間。
上述現(xiàn)有技術(shù)的第五個問題在于��,在很有可能引起信息泄漏的PC在 網(wǎng)絡(luò)中存在多臺時����,為了采用現(xiàn)有技術(shù)進行加密,需要對所有PC預(yù)先安 裝加密應(yīng)用程序�����、加密驅(qū)動器����、加密LSI,因此安裝以及設(shè)定花費時間����。
發(fā)明內(nèi)容
本發(fā)明所有解決的課題正是鑒于上述問題而提出的����,提供一種不需要 花費事件而能可靠地對在PC和服務(wù)器之間收發(fā)的所有數(shù)據(jù)進行加密的加 密系統(tǒng)�����。
還有��,能夠減輕硬件開發(fā)者和軟件開發(fā)者的負(fù)擔(dān)��。 用于解決上述課題的第一發(fā)明�,是在發(fā)送側(cè)和接收側(cè)構(gòu)成的通信系
統(tǒng),其特征在于��,具有第一對話建立機構(gòu)����,其對來自發(fā)送側(cè)的對話建立 請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話�����;第二對話建立機構(gòu)��,其為了 收發(fā)被加密的發(fā)送數(shù)據(jù)而與上述接收側(cè)建立第二對話;加密機構(gòu)����,其通過 上述第二對話,交換加密所需要的信息����,基于該信息對通過上述第一對話
獲取的發(fā)送數(shù)據(jù)進行加密。
用于解決上述課題的第二發(fā)明的特征在于���,在上述第一發(fā)明中���,上述 第一對話建立機構(gòu)或上述第二對話建立機構(gòu)為與傳輸層建立對話的機構(gòu)。
用于解決上述課題的第三發(fā)明的特征在于�����,在上述第一或第二發(fā)明 中���,具有判斷機構(gòu)����,其對發(fā)送數(shù)據(jù)進行判斷�,將判斷結(jié)果�����、沒有被加密的 發(fā)送數(shù)據(jù)送給上述第一對話建立機構(gòu)���。
用于解決上述課題的第四發(fā)明的特征在于,在上述第三發(fā)明中��,上述 判斷機構(gòu)是通過參照發(fā)送數(shù)據(jù)的報頭而判斷發(fā)送數(shù)據(jù)是否被加密的機構(gòu)����。
用于解決上述課題的第五發(fā)明的特征在于,在上述第一到第四的任一 個發(fā)明中�����,上述第一對話建立機構(gòu)是���,對來自上述發(fā)送側(cè)的傳輸層的對話 建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話,命令上述第二對話建立 機構(gòu)與上述接收側(cè)的傳輸層建立對話的機構(gòu)�。
用于解決上述課題的第六發(fā)明的特征在于,在上述第一到第四的任一 個發(fā)明中�����,介由中繼裝置在發(fā)送側(cè)和接收側(cè)之間收發(fā)上述發(fā)送數(shù)據(jù)時,上 述第一對話建立機構(gòu)是���,對來自上述發(fā)送側(cè)的傳輸層的對話建立請求進行 響應(yīng)而與上述發(fā)送側(cè)建立第一對話�����,命令上述第二對話建立機構(gòu)與上述中 繼裝置的傳輸層建立第二對話的機構(gòu)���。
用于解決上述課題的第七發(fā)明的特征在于,在上述第一到第六的任一 個發(fā)明中��,上述第一對話建立機構(gòu)����、上述第二對話建立機構(gòu)、上述加密機 構(gòu)以及上述判斷機構(gòu)���,構(gòu)成在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間���。
用于解決上述課題的第八發(fā)明的特征在于,在上述第一到第六的任一 個發(fā)明中�����,上述第二對話建立機構(gòu)以及上述加密機構(gòu)具有操作系統(tǒng)
(Operating System )。
用于解決上述課題的第九發(fā)明的特征在于����,在上述第八發(fā)明中,上述 操作系統(tǒng)還具有上述第一對話建立機構(gòu)�����。
用于解決上述課題的第十發(fā)明的特征在于���,在上述第一到第九的任一 個發(fā)明中�����,具有控制機構(gòu)���,其進行通信測試,按照該通信測試結(jié)果��,決定 是否對發(fā)送數(shù)據(jù)進行加密���。
用于解決上述課題的第十一發(fā)明的特征在于,在上述第十發(fā)明中�,上 述控制機構(gòu)進行通信測試的定時����,為上述發(fā)送側(cè)起動時��、數(shù)據(jù)的收發(fā)時���、
每隔一定時間間隔以及指定時刻時中的任一個��,或上述任一個的組合��。
用于解決上述課題的第十二發(fā)明的特征在于�,在上述第十或第十一發(fā)
明中�����,上述通信測試�,為ICMP回應(yīng)請求的響應(yīng)是否返回、采用特殊幀的
回應(yīng)請求的響應(yīng)是否返回��、或者分配給上述發(fā)送側(cè)的IP地址的值是否為
規(guī)定值中的任一種情況�����,或者上述任一情況的組合�����。
用于解決上述課題的第十三發(fā)明的特征在于,在上述第一到第十二發(fā)
明的任一個中���,上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密的解
密機構(gòu)�����。
用于解決上述課題的第十四發(fā)明的特征在于��,在上述第十三發(fā)明中�, 上述解密機構(gòu)是對通過上述判斷機構(gòu)判斷為經(jīng)由—上述第二對話建立機構(gòu) 所建立的第二對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)���。
用于解決上述課題的第十五發(fā)明的特征在于�,在上述第十三發(fā)明中���, 上述判斷機構(gòu)是�����,通過參照接收數(shù)據(jù)的報頭����,判斷接收數(shù)據(jù)為經(jīng)由上述第 二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)。
用于解決上述課題的第十六發(fā)明的特征在于�,介由中繼裝置在發(fā)送側(cè) 和接收側(cè)進行通信的通信系統(tǒng)����,具有通信建立機構(gòu),其在上述發(fā)送側(cè)和 上述接收側(cè)建立用于進行通信的對話��;對話建立機構(gòu)�,其在上述發(fā)送側(cè)和
上述中繼裝置之間建立用于收發(fā)被加密的發(fā)送數(shù)據(jù)的加密對話;和加密機
構(gòu)�,其通過上述加密對話,交換加密所需要的信息���,基于該信息對發(fā)送數(shù) 據(jù)進行加密����。
用于解決上述課題的第十七發(fā)明的特征在于�,在發(fā)送側(cè)和接收側(cè)構(gòu)成
的通信系統(tǒng),具有第一對話建立機構(gòu)��,其對來自發(fā)送側(cè)的對話建立請求 進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話�����;和第二對話建立機構(gòu),其建立用
于與上述接收側(cè)收發(fā)被加密的發(fā)送數(shù)據(jù)的第二對話����。
用于解決上述課題的第十八發(fā)明的特征在于,具有第一對話建立機 構(gòu)�����,其對對話建立請求進行響應(yīng)而建立第一對話���;第二對話建立機構(gòu)�,其 為了收發(fā)被加密的發(fā)送數(shù)據(jù)而建立第二對話�����;和加密機構(gòu)����,其通過上述第 二對話交換加密所需要的信息,基于該信息對通過上述第一對話獲取的發(fā) 送數(shù)據(jù)進行加密�。
用于解決上述課題的第十九發(fā)明的特征在于,在上述第十八發(fā)明中���,
上述第一對話建立機構(gòu)或上述第二對話建立機構(gòu)是與傳輸層建立對話的 機構(gòu)���。
用于解決上述課題的第二十發(fā)明的特征在于���,在上述第十八或第十發(fā) 明中,具有判斷機構(gòu)��,其判斷發(fā)送數(shù)據(jù)����,將判斷結(jié)果�����、沒有被加密的發(fā)送 數(shù)據(jù)送到上述第一對話建立機構(gòu)���。
用于解決上述課題的第二十一發(fā)明的特征在于�����,在上述第二十發(fā)明 中�,上述判斷機構(gòu)是通過參照發(fā)送數(shù)據(jù)的報頭來判斷發(fā)送數(shù)據(jù)是否被加密 的機構(gòu)�����。
用于解決上述課題的第二十二發(fā)明的特征在于,在上述第十八到第二 十一的任一個發(fā)明中��,上述第一對話建立機構(gòu)是��,對來自本裝置的傳輸層 的對話建立請求進行響應(yīng)而建立第一對話�����,命令上述第二對話建立與發(fā)送 目標(biāo)的傳輸層建立第二對話的機構(gòu)���。
用于解決上述課題的第二十三發(fā)明的特征在于��,在上述第十八到第二 十一的任一個發(fā)明中�,介由中繼裝置發(fā)送上述發(fā)送數(shù)據(jù)時�,上述第一對話 建立機構(gòu)是,對來自本裝置的傳輸層的對話建立請求進行響應(yīng)而建立第一 對話�����,命令上述第二對話建立機構(gòu)與上述中繼裝置的傳輸層建立第二對話 的機構(gòu)���。
用于解決上述課題的第二十四發(fā)明的特征在于�,在上述第十八到第二 十三的任一個發(fā)明中,上述第一對話建立機構(gòu)�����、上述第二對話建立機構(gòu)��、 上述加密機構(gòu)以及上述判斷機構(gòu)����,構(gòu)成在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間。
用于解決上述課題的第二十五發(fā)明的特征在于���,在上述第十八到第二 十四的任一個發(fā)明中,上述第二對話建立機構(gòu)以及上述加密機構(gòu)具有操作 系統(tǒng)��。
用于解決上述課題的第二十六發(fā)明的特征在于���,在上述第二十五的發(fā) 明中��,上述操作系統(tǒng)還具有上述第一對話建立機構(gòu)���。
用于解決上述課題的第二十七發(fā)明的特征在于,在上述第十八到第二 十六的任一個發(fā)明中����,具有控制機構(gòu)��,其進行通信測試����,按照該通信測試 結(jié)果��,決定是否對發(fā)送數(shù)據(jù)進行加密����。
用于解決上述課題的第二十八發(fā)明的特征在于,在上述第二十七所述 的發(fā)明中�,上述控制機構(gòu)進行通信測試的定時,為上述本裝置起動時����、數(shù)
據(jù)的收發(fā)時、每隔一定時間間隔以及指定時刻時中的任一個�����,或上述任一 組合����。
用于解決上述課題的第二十九發(fā)明的特征在于�����,在上述第二十七或二
十八所述的發(fā)明中,上述通信測試,為ICMP回應(yīng)請求的響應(yīng)是否返回�����、
采用特殊幀的回應(yīng)請求的響應(yīng)是否返回��、或者分配到上述發(fā)送側(cè)的IP地 址的值是否為規(guī)定值中的任一種情況��,或者上述任一情況的組合�。
用于解決上述課題的第三十發(fā)明的特征在于�����,在上述第十八到第二十 九的任一個發(fā)明中����,上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密 的解密機構(gòu)����。
用于解決上述課題的第三十一發(fā)明的特征在于�,在上述第三十發(fā)明 中,上述解密機構(gòu)是��,對通過上述判斷機構(gòu)判斷為經(jīng)由上述第二對話建立 機構(gòu)所建立的第二對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)��。
用于解決上述課題的第三十二發(fā)明的特征在于��,在上述第三十一發(fā)明 中�,上述判斷機構(gòu)是,通過參照接收數(shù)據(jù)的報頭�����,判斷接收數(shù)據(jù)為經(jīng)由上 述第二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)���。
用于解決上述課題的第三十三發(fā)明的特征在于���,介由中繼裝置進行通
信的通信裝置,具有通信建立機構(gòu)�����,其建立用于與發(fā)送目標(biāo)進行通信的 對話;對話建立機構(gòu)��,其在上述中繼裝置之間建立用于收發(fā)被加密的發(fā)送 數(shù)據(jù)的加密對話�;和加密機構(gòu),其通過上述加密對話�����,交換加密所需要的 信息�,基于該信息對發(fā)送數(shù)據(jù)進行加密。
用于解決上述課題的第三十四發(fā)明的特征在于��, 一種通信裝置�,具有 第一對話建立機構(gòu),其對對話建立請求進行響應(yīng)而建立第一對話�����;和第二 對話建立機構(gòu)��,其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而與發(fā)送目標(biāo)建立第二對 話���。
用于解決上述課題的第三十五發(fā)明的特征在于, 一種通信方法�,具有: 第一對話建立步驟����,對來自發(fā)送源的對話建立請求進行響應(yīng)而建立第一對 話����;第二對話建立步驟,其建立用于發(fā)送被加密的發(fā)送數(shù)據(jù)的第二對話��; 和加密步驟��,通過上述第二對話�,交換加密所需要的信息,基于該信息對 通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密��。
用于解決上述課題的第三十六發(fā)明的特征在于�,在上述第三十五的發(fā)
明中,上述第一對話建立步驟或上述第二對話建立步驟�����,與傳輸層建立對 話���。
用于解決上述課題的第三十七發(fā)明的特征在于����,在上述第三十五或第 三十六的發(fā)明中,上述加密步驟���,為對發(fā)送數(shù)據(jù)進行判斷�����,作為判斷結(jié)果 對沒有被加密的發(fā)送數(shù)據(jù)進行加密的步驟�����。
用于解決上述課題的第三十八發(fā)明的特征在于�����,在上述第三十七的發(fā) 明中�����,上述加密步驟�����,通過參照發(fā)送數(shù)據(jù)的報頭�����,來判斷發(fā)送數(shù)據(jù)是否被 加密��。
用于解決上述課題的第三十九發(fā)明的特征在于���,在上述第三十五到第 三十八的任一個發(fā)明中,上述第一對話建立步驟是����,對來自上述發(fā)送源的 傳輸層的對話建立請求進行響應(yīng)而建立第一對話,命令上述第二對話建立 步驟與發(fā)送目標(biāo)的傳輸層建立第二對話的步驟�。
用于解決上述課題的第四十發(fā)明的特征在于,在上述第三十五到第三 十八的任一個發(fā)明中��,在介由中繼裝置發(fā)送上述接收數(shù)據(jù)時�����,上述第一對 話建立步驟是���,對來自發(fā)送源的傳輸層的對話建立請求進行響應(yīng)而建立第 一對話�����,命令上述第二對話建立步驟與上述中繼裝置的傳輸層建立第二對 話的步驟����。
用于解決上述課題的第四十一發(fā)明的特征在于,在上述第三十五到第 四十的任一個發(fā)明中���,具有控制步驟��,其進行通信測試��,按照通信測試結(jié) 果���,決定是否對上述發(fā)送數(shù)據(jù)進行加密。
用于解決上述課題的第四十二發(fā)明的特征在于�����,在上述第四十一的發(fā)
明中���,進行上述通信測試的定時���,為上述發(fā)送源的裝置起動時、數(shù)據(jù)的收
發(fā)時�、每隔一定時間間隔以及指定時刻時中的任一個���,或上述任一個的組 合。
用于解決上述課題的第四十三發(fā)明的特征在于�����,在上述第四十一或第
四十二的發(fā)明中����,上述通信測試�,為ICMP回應(yīng)請求的響應(yīng)是否返回、采 用特殊幀的回應(yīng)請求的響應(yīng)是否返回�����、或者分配到上述發(fā)送源的IP地址 的值是否為規(guī)定值上述任一種情況�,或者上述任一種的組合。
用于解決上述課題的第四十四發(fā)明的特征在于���,在上述第三十五到第 四十三的任一個發(fā)明中�,具有基于上述信息對接收數(shù)據(jù)進行解密的解密步驟�。
用于解決上述課題的第四十五發(fā)明的特征在于,在上述第四十四的發(fā) 明中����,上述解密步驟是對判斷為經(jīng)由上述第二對話建立步驟建立的第二對 話所發(fā)送的接收數(shù)據(jù)進行解密的步驟�。
用于解決上述課題的第四十六發(fā)明的特征在于���,在上述第四十五的發(fā) 明中��,上述解密步驟�����,通過參照接收數(shù)據(jù)的報頭來進行判斷����。
用于解決上述課題的第四十七發(fā)明的特征在于����,介由中繼裝置進行通 信的通信方法,具有通信建立步驟��,在發(fā)送源和發(fā)送目的地建立用于進 行通信的對話����;對話建立步驟,在上述發(fā)送源和上述中繼裝置之間建立用 于收發(fā)被加密的發(fā)送數(shù)據(jù)的加密對話�����;和通過上述加密對話,交換加密所 需要的信息�����,基于該信息對發(fā)送數(shù)據(jù)進行加密的加密歩驟�。
用于解決上述課題的第四十八發(fā)明的特征在于����, 一種通信方法,具有 第一對話建立步驟����,對來自發(fā)送源的對話建立請求進行響應(yīng)而與上述發(fā)送 源建立第一對話;和第二對話建立步驟���,建立用于收發(fā)被加密的發(fā)送數(shù)據(jù) 的第二對話��。
用于解決上述課題的第四十九發(fā)明的特征在于��,信息處理裝置的程 序����,上述程序使上述信息處理裝置發(fā)揮下述機構(gòu)的作用第一對話建立機 構(gòu),其對來自發(fā)送側(cè)的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對
話���;第二對話建立機構(gòu)����,其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而與上述接收側(cè)建 立第二對話����;加密機構(gòu),其通過上述第二對話�,交換加密所需要的信息, 基于該信息對通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密���。
用于解決上述課題的第五十發(fā)明的特征在于��,在上述第四十九發(fā)明 中��,上述第一對話建立機構(gòu)或上述第二對話建立機構(gòu)發(fā)揮與傳輸層建立對 話的機構(gòu)的作用���。
用于解決上述課題的第五十一發(fā)明的特征在于,在上述第四十九或第 五十發(fā)明中��,具有判斷機構(gòu),其對發(fā)送數(shù)據(jù)進行判斷��,將判斷結(jié)果���、沒有 被加密的發(fā)送數(shù)據(jù)發(fā)送給上述第一對話建立機構(gòu)�。
用于解決上述課題的第五十二發(fā)明的特征在于���,在上述第五十一發(fā)明 中����,上述判斷機構(gòu)�����,發(fā)揮通過參照發(fā)送數(shù)據(jù)的報頭而判斷發(fā)送數(shù)據(jù)是否被 加密的機構(gòu)的作用�。
用于解決上述課題的第五十三發(fā)明的特征在于�����,在上述第四十九到第 五十二的任一個發(fā)明中�����,上述第一對話建立機構(gòu)�����,發(fā)揮對來自上述發(fā)送側(cè) 的傳輸層的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話,命令上 述第二對話建立機構(gòu)與上述接收側(cè)的傳輸層建立對話的機構(gòu)的作用���。
用于解決上述課題的第五十四發(fā)明的特征在于��,在上述第四十九到第 五十二的任一個發(fā)明中����,在介由中繼裝置在發(fā)送側(cè)和接收側(cè)之間收發(fā)上述 發(fā)送數(shù)據(jù)時�����,上述第一對話建立機構(gòu)��,發(fā)揮對來自上述發(fā)送側(cè)的傳輸層的 對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話�,命令上述第二對話 建立機構(gòu)與上述中繼裝置的傳輸層建立第二對話的機構(gòu)的作用。
用于解決上述課題的第五十五發(fā)明的特征在于�,在上述第四十九到第 五十四的任一個發(fā)明中,具有控制機構(gòu)����,其進行通信測試,按照該通信測 試結(jié)果,決定是否對發(fā)送數(shù)據(jù)進行加密��。
用于解決上述課題的第五十六發(fā)明的特征在于����,在上述第五十五發(fā)明 中,上述控制機構(gòu)進行通信測試的定時���,為上述發(fā)送側(cè)起動時�、數(shù)據(jù)的收 發(fā)時����、每隔一定時間間隔以及指定時刻時中的任一個,或上述任一個的組合���。
用于解決上述課題的第五十七發(fā)明的特征在于�����,在上述第五十五或第
五十六的發(fā)明中,上述通信測試��,為ICMP回應(yīng)請求的響應(yīng)是否返回�����、采 用特殊幀的回應(yīng)請求的響應(yīng)是否返回、或者分配到上述發(fā)送側(cè)的IP地址 的值是否為規(guī)定值上述任一種情況��,或者上述任一種的組合��。
用于解決上述課題的第五十八發(fā)明的特征在于�����,在上述第四十九或第 五十七的發(fā)明中��,上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密的 解密機構(gòu)����。
用于解決上述課題的第五十九發(fā)明的特征在于,在上述第五十八的發(fā) 明中�����,上述解密機構(gòu)是對由上述判斷機構(gòu)判斷為經(jīng)由上述第二對話建立機 構(gòu)建立的對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)��。
用于解決上述課題的第六十發(fā)明的特征在于�����,在上述第五十九發(fā)明 中,上述判斷機構(gòu)����,發(fā)揮通過參照接收數(shù)據(jù)的報頭,判斷接收數(shù)據(jù)為經(jīng)由 上述第二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)的作用�。
用于解決上述課題的第六十一發(fā)明的特征在于,介由中繼裝置進行通
信的信息處理裝置的程序��,上述程序使上述信息處理裝置發(fā)揮下述機構(gòu)的 作用通信建立機構(gòu)�,其在發(fā)送源和發(fā)送目的地建立用于進行通信的對話; 對話建立機構(gòu)����,其在上述發(fā)送源和上述中繼裝置之間建立用于收發(fā)被加密 的發(fā)送數(shù)據(jù)的加密對話;和加密機構(gòu)��,其通過上述加密對話�,交換加密所
需要的信息,基于該信息對發(fā)送數(shù)據(jù)進行加密����。
用于解決上述課題的第六十二發(fā)明的特征在于���,為信息處理裝置的程
序��,上述程序使上述信息處理裝置發(fā)揮下述機構(gòu)的作用第一對話建立機 構(gòu)��,其對來自發(fā)送源的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對 話����;和第二對話建立機構(gòu),其建立用于與上述接收側(cè)收發(fā)被加密的發(fā)送數(shù)
據(jù)的第二對話����。
上述本發(fā)明的第一效果為,由于通過利用TCP中繼機構(gòu)���,在PC側(cè)的 中間驅(qū)動器和服務(wù)器側(cè)的SSL之間能夠交換證明書信息和加密密鑰��,因此 能夠省去在PC側(cè)的中間驅(qū)動器設(shè)定加密密鑰的麻煩���,并且也可省去在服 務(wù)器安裝中間驅(qū)動器的麻煩。此外�����,也能排除數(shù)據(jù)被第三者盜取而泄漏機 密信息的危險性��。
第二效果為��,通過利用回送連接,能夠用OS中的已有的模塊來代替 編入中間驅(qū)動器的內(nèi)部的加密機構(gòu)�����,因此能夠省去軟件開發(fā)者開發(fā)加密以 及解密機構(gòu)的時間�。
第三效果為,通過利用TCP建立通道機構(gòu)�,即使在服務(wù)器的應(yīng)用程序 與SSL不對應(yīng)的情況下,由于能對PC送出的數(shù)據(jù)進行加密�����,因此能省去 將與SSL對應(yīng)的應(yīng)用程序安裝盜服務(wù)器的時間����。
第四效果為,通過利用加密設(shè)定機構(gòu)�,按照網(wǎng)絡(luò)環(huán)境,能夠自動地切 換中間驅(qū)動器的加密設(shè)定���,因此能夠省去用戶手動改變加密設(shè)定的麻煩�。 此外���,通過用戶的設(shè)定錯誤���,也能排除未加密數(shù)據(jù)包被送出而產(chǎn)生信息泄 漏的危險性。
第五效果為��,通過將中間驅(qū)動器的各功能編入網(wǎng)關(guān)�����,從而即使在可引 起機密信息的泄漏的PC在網(wǎng)絡(luò)中存在多臺時�����,也能由網(wǎng)關(guān)一并執(zhí)行來自 所有的PC的幀的加密�,因此能夠省去對各PC安裝中間驅(qū)動器的麻煩。
本發(fā)明的第一加密系統(tǒng)具有PC和服務(wù)器�。并且如圖42所示,搭載有 中間驅(qū)動器�,該中間驅(qū)動器具有幀解析結(jié)構(gòu),其識別對發(fā)送裝置側(cè)的PC
從上位層所獲取的幀是否需要實施加密或解密�;報頭變換機構(gòu),其將報頭
插入幀或從幀拔出�;進行PC和服務(wù)器之間的TCP中繼處理的TCP中繼 機構(gòu);對幀實施加密以及解密的加密機構(gòu)���。在此�����,中間驅(qū)動器為插入到 TCP/IP的分層模塊所提及的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的模塊�����。
并且�,如圖43所示,幀解析機構(gòu)從上位層獲取幀后(步驟S431)�, 判斷該幀是否被加密(步驟S432)。在沒有被加密的幀采用報頭變換機構(gòu) 插入報頭后(步驟S432)�,被加密。發(fā)送被加密的幀(步驟S435)���。
采用上述結(jié)構(gòu)����,在PC的中間驅(qū)動器中��,通過進行TCP中繼處理��,能 夠使PC側(cè)的中間驅(qū)動器的加密機構(gòu)的TCP/IP分層和服務(wù)器側(cè)的SSL的 TCP/IP分層匹配�。由此,在PC側(cè)的中間驅(qū)動器的加密機構(gòu)和服務(wù)器側(cè)的 SSL之間可進行基于SSL協(xié)議的通信,能夠在加密對話的開始時進行必要 的證明書信息和加密密鑰的交換��。因此��,如果在服務(wù)器側(cè)的SSL模塊設(shè)定 證明書或加密密鑰��,則不由PC側(cè)的中間驅(qū)動器的加密機構(gòu)設(shè)定證明書和 加密密鑰���,而PC能從服務(wù)器側(cè)下載證明書和加密密鑰,能夠簡單開始加 密通信���。如上所述�����,通過采用本構(gòu)成��,能夠省去在服務(wù)器側(cè)安裝特殊的模 塊的麻煩��,并且省去由PC設(shè)定加密密鑰和證明書密碼的麻煩��,因此能夠 實現(xiàn)本發(fā)明的第一目的���。
此外,如圖44所示,本發(fā)明的第二加密系統(tǒng)的特征在于��,除了第一 加密系統(tǒng)的結(jié)構(gòu)外���,PC具有介由軟件的假想NIC將中間驅(qū)動器和OS (Operation System,操作系統(tǒng))之間中繼連接的回送機構(gòu)和采用OS的已 有模塊來代替第一加密系統(tǒng)的加密機構(gòu)����。
采用這種結(jié)構(gòu)�,在PC的中間驅(qū)動器中,通過采用回送機構(gòu)將判斷為 需要加密的幀從中間驅(qū)動器回送給OS,從而能夠采用OS中的SSL模塊 進行幀的加密�。SSL幾乎被標(biāo)準(zhǔn)搭載在當(dāng)前銷售的計算機的OS (操作系 統(tǒng))中,軟件開發(fā)者不需要重新開發(fā)��。其結(jié)果�����,由于不需要在中間驅(qū)動器 安裝加密機構(gòu)��,因此能夠?qū)崿F(xiàn)本發(fā)明的第二目的�。
此外,本發(fā)明的第三加密系統(tǒng)��,除了第一加密系統(tǒng)的結(jié)構(gòu)之外��,具有 網(wǎng)關(guān),并且上述加密系統(tǒng)的特征在于�,PC和網(wǎng)關(guān)在兩者之間搭載有建立 如圖45所示的加密TCP隧道的TCP隧道效應(yīng)機構(gòu)。
通過采用上述結(jié)構(gòu)���,在PC的中間驅(qū)動器中�����,對判斷為需要加密的幀
進行加密后���,采用TCP隧道效應(yīng)機構(gòu)從PC傳送給網(wǎng)關(guān)��,在網(wǎng)關(guān)中����,對該
幀解密后再次傳送給服務(wù)器,從而即使在服務(wù)器側(cè)的應(yīng)用程序軟件與SSL 不對應(yīng)時�����,PC也能對送出的數(shù)據(jù)進行加密����。因此,能不依賴于應(yīng)用程序, 在PC和服務(wù)器之間進行加密通信�,從而能實現(xiàn)本發(fā)明的第三目的。
此外����,本發(fā)明的第四加密系統(tǒng),除了第一加密系統(tǒng)的結(jié)構(gòu)外����,還具有 管理服務(wù)器。并且��,上述加密系統(tǒng)的特征在于���,PC具有圖46所示的加密 設(shè)定機構(gòu)�,按照與管理服務(wù)器的通信測試結(jié)果����,能夠自動地切換中間驅(qū)動 器的加密功能的設(shè)定。
通過采用這種結(jié)構(gòu)�,對PC的中間驅(qū)動器的加密功能的設(shè)定自動地進 行變更后,能夠?qū)崿F(xiàn)本發(fā)明的第四目的�。
此外,本發(fā)明的第五加密系統(tǒng)的特征在于�,除了第一加密系統(tǒng)的結(jié)構(gòu) 后�,具有網(wǎng)關(guān)��,將在第一加密系統(tǒng)中編入PC的中間驅(qū)動器的功能編入網(wǎng) 關(guān)����。
通過采用上述結(jié)構(gòu),在網(wǎng)關(guān)中����,通過采用網(wǎng)關(guān)的中間驅(qū)動器對判斷為 需要加密的幀進行加密后送出,從而不需要在PC中安裝中間驅(qū)動器��,因 此能夠?qū)崿F(xiàn)本發(fā)明的第五目的���。
圖1為表示本發(fā)明的第一實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖。 圖2為表示本發(fā)明的第一實施方式的PC的硬件結(jié)構(gòu)的圖�。 圖3為表示與搭載在本發(fā)明的第一實施方式的軟件等和協(xié)議上的通信 處理的圖。
圖4為表示在本發(fā)明的第一實施方式的各協(xié)議之間傳遞的數(shù)據(jù)格式的圖����。
圖5為表示本發(fā)明的第一實施方式的幀解析部的動作流程的圖。 圖6為表示本發(fā)明的第一實施方式的幀解析部的動作流程的圖��。 圖7為表示本發(fā)明的第一實施方式的幀解析部的動作流程的圖����。 圖8為表示本發(fā)明的第一實施方式的報頭變換部的動作流程的圖���。 圖9為表示與本發(fā)明的第一實施方式的報頭變換部的動作流程的圖。 圖10為表示保持本發(fā)明的第一實施方式的幀解析部和報頭變換部的
列表的圖����。
圖11為詳細(xì)地表示在本發(fā)明的第一實施方式的各協(xié)議之間傳遞的數(shù) 據(jù)格式的圖。
圖12為表示與搭載在本發(fā)明的第二實施方式的軟件等和協(xié)議上的通 信處理的圖����。
圖13為表示本發(fā)明的第二實施方式的幀解析部的動作流程的圖。 圖14為表示本發(fā)明的第二實施方式的幀解析部的動作流程的圖���。
圖15為表示與本發(fā)明的第三實施方式所搭載的軟件等和協(xié)議上的通
信處理的圖���。
圖16為表示與本發(fā)明的第四實施方式所搭載的軟件等和協(xié)議上的通
信處理的圖。
圖17為表示本發(fā)明的第四實施方式的報頭變換部的動作流程的圖��。 圖18為表示在本發(fā)明的第四實施方式的各協(xié)議之間傳遞的數(shù)據(jù)格式 的圖�����。
圖19為表示本發(fā)明的第五實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖�����。 圖20為表示與本發(fā)明的第五實施方式所搭載的軟件等和協(xié)議上的通 信處理的圖。
圖21為表示本發(fā)明的第五實施方式的幀解析部的動作流程的圖�。 圖22為表示本發(fā)明的第五實施方式的幀解析部的動作流程的圖。 圖23為表示本發(fā)明的第五實施方式的幀解析部的動作流程的圖����。 圖24為表示本發(fā)明的第五實施方式的幀解析部的動作流程的圖。 圖25為表示本發(fā)明的第五實施方式的報頭變換部的動作流程的圖�����。 圖26為表示本發(fā)明的第五實施方式的報頭變換部的動作流程的圖����。 圖27為表示在本發(fā)明的第五實施方式的各協(xié)議間傳遞的數(shù)據(jù)格式的圖。
圖28為表示與本發(fā)明的第六實施方式所搭載的軟件等和協(xié)議上的通 信處理的圖���。
圖29為表示本發(fā)明的第六實施方式的幀解析部的動作流程的圖。 圖30為表示與本發(fā)明的第七實施方式所搭載的軟件等和協(xié)議上的通 信處理的圖��。
圖31為表示本發(fā)明的第八實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖����。
圖32為表示與搭載在本發(fā)明的第八實施方式的軟件等和協(xié)議上的通 信處理的圖�����。
圖33為表示本發(fā)明的第六實施方式的幀解析部的動作流程的圖����。 圖34為表示本發(fā)明的第六實施方式的幀解析部的動作流程的圖�。 圖35為表示本發(fā)明的第九實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖。 圖36為表示與本發(fā)明的第九實施方式中所搭載的軟件等和協(xié)議上的 通信處理的圖����。
圖37為表示本發(fā)明的第九實施方式的幀解析部的動作流程的圖。 圖38為表示本發(fā)明的第九實施方式的幀解析部的動作流程的圖����。 圖39為表示本發(fā)明的第九實施方式的幀解析部的動作流程的圖。 圖40為表示對本發(fā)明的第九實施方式進行擴展���,而包括多個PC和服
務(wù)器時的網(wǎng)絡(luò)結(jié)構(gòu)的圖��。
圖41為表示對本發(fā)明的第九實施方式進行擴展���,與削減中間驅(qū)動器
的開發(fā)負(fù)荷時的軟件和協(xié)議上的通信處理的圖。
圖42為表示本發(fā)明的第一加密系統(tǒng)的特征的圖��。
圖43為表示本發(fā)明的第一解密系統(tǒng)中的動作概略的圖。
圖44為表示本發(fā)明的第二加密系統(tǒng)的特征的圖�����。
圖45為表示本發(fā)明的第三加密系統(tǒng)的特征的圖�����。
圖46為表示本發(fā)明的第四加密系統(tǒng)的特征的圖���。
圖47為表示現(xiàn)有技術(shù)的圖���。
具體實施例方式
接下來,為了對能夠得到本發(fā)明的上述優(yōu)點和特征的方式進行說明����, 參照附圖中所示的具體的實施方式,通過以下簡潔描述的本發(fā)明進行特定 的記載����。上述附圖只表示本發(fā)明的代表的實施方式,不應(yīng)當(dāng)認(rèn)為限定本發(fā) 明的范圍�,以下本發(fā)明采用附圖�,更明確以及詳細(xì)地進行記載說明����。
參照附圖���,對用于實施本發(fā)明的第一發(fā)明的第一實施方式詳細(xì)地進行
說明���。圖1為表示第一實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖,具有PC1����、服務(wù)器2和
集線器3 。
PC1與集線器3連接���,從集線器3獲取幀���,并且對所獲取的幀進行期 望的處理。此外����,PC1向集線器3發(fā)送通過PC1的內(nèi)部處理所生成的幀。
服務(wù)器2與集線器3連接�����,從集線器3獲取幀,并且對所獲取的幀進 行期望的處理�。此外,服務(wù)器2向集線器3發(fā)送通過服務(wù)器2的內(nèi)部處理 所生成的幀����。
集線器3與PC1和服務(wù)器2連接。集線器3從PC1獲取幀后��,對所 獲取的幀進行解析�,基于該解析結(jié)果向適當(dāng)?shù)亩丝趥魉蛶4送?,集線器 3從服務(wù)器2獲取幀后,對所獲取的幀進行解析�����,基于該解析結(jié)果向適當(dāng) 的端口傳送幀���。
圖2為詳細(xì)地表示第一實施方式中的PC1的硬件結(jié)構(gòu)的框圖���。PC1由 CPU100、 NIC101����、存儲器102�����、 HDD103、鍵盤104����、鼠標(biāo)105和監(jiān)視器 106構(gòu)成。
CPU100被稱為中央運算裝置����,為讀入被記錄在HDD103的軟件(程 序),采用存儲器102執(zhí)行記載在程序的處理的硬件��。在進行該處理時���, 除了從鍵盤104或鼠標(biāo)105接收來自用戶的命令外�����,也可將結(jié)果輸出到監(jiān) 視器106����。此外,在進行該處理時�����,從NICIOI接收數(shù)據(jù)�,或者也可對對 NIC101輸出數(shù)據(jù)。
NIC101被稱作網(wǎng)絡(luò)接口卡(Network Interface Card)����,是為了連接以 太網(wǎng)等網(wǎng)絡(luò)用電纜,而插入到計算機中的硬件�����。將從電纜獲取的數(shù)據(jù)變換 為適當(dāng)?shù)碾娦盘査徒oCPUIOO��,并且反過來將從CPUIOO獲取的數(shù)據(jù)變換 為適當(dāng)?shù)碾娦盘柖螂娎|發(fā)送��。
存儲器102為CPUIOO執(zhí)行軟件處理時使用的存儲裝置���,將與從 CPUIOO寫入的命令一起發(fā)送的數(shù)據(jù)保存在指定的地址�����,此外接受來自
cpmoo的讀出命令后�,從指定的地址讀出數(shù)據(jù)并發(fā)送給cpu。
HDD103被稱作硬盤驅(qū)動器���,為用于存儲軟件(程序)的存儲裝置��。 將與從CPUIOO寫入的命令一起發(fā)送的數(shù)據(jù)保存在指定的地址����,此外接受 來自CPUIOO的讀出命令后�,從指定的地址讀出數(shù)據(jù)并發(fā)送給CPU�����。
鍵盤104為將由用戶按下鍵而產(chǎn)生的命令變換為電信號����,傳達(dá)到
CPU100的輸入裝置。
鼠標(biāo)105為將由用戶移動鼠標(biāo)105而產(chǎn)生的命令變換為電信號�,傳達(dá) 到CPU100的輸入裝置。
監(jiān)視器106為接受來自CPU100的描繪命令�����,在陰極射線管或液晶畫 面等中顯示的輸出裝置�����。
圖3為表示搭載在本實施方式的各裝置的CPU以及NIC的通信處理 的圖。本實施方式的PC1��、服務(wù)器2以及集線器3在各個CPU內(nèi)具有規(guī) 定的OS (操作系統(tǒng))和實現(xiàn)各種功能的軟件����,并且具有硬件的NIC。
在CPU內(nèi)��,實際上除圖3所示的軟件以外還有較多的軟件工作�,但在 圖3中省略了與本發(fā)明無關(guān)的軟件。
接下來����,對PC1的各構(gòu)成要素的功能進行詳細(xì)的說明。首先�����,對在 PC1的CPU內(nèi)進行動作的軟件中�、沒有包括在OS且位于上位層的軟件進 行敘述。PC1具備客戶應(yīng)用程序A1作為與此相當(dāng)?shù)能浖?。客戶?yīng)用程序 Al為與服務(wù)器2的服務(wù)器應(yīng)用程序Bl進行通信的應(yīng)用程序���?�?蛻魬?yīng)用程 序Al具有將通過規(guī)定的處理生成的數(shù)據(jù)轉(zhuǎn)發(fā)到TCP A2的功能�。此外, 客戶應(yīng)用程序Al具有從TCP A2獲取數(shù)據(jù)后���,對獲取的數(shù)據(jù)進行規(guī)定的 處理的功能���。圖4a表示客戶應(yīng)用程序Al與TCPA2交換的數(shù)據(jù)格式?���??戶應(yīng)用程序A1主要可應(yīng)用WEB瀏覽器軟件�����、電子郵件客戶軟件���、TELNET 客戶軟件����、FTP客戶軟件��、會計客戶軟件、文件共享客戶軟件��、數(shù)據(jù)庫客 戶軟件等各種應(yīng)用程序����。
接下來,對包括在PC1的OS中的軟件的功能進行說明�。PC1具備 TCPA2、 IP路由選擇A3�����、 IP堆棧作為OS中所包括的軟件����。
TCPA2具有通過以下的(1) (4)的處理將數(shù)據(jù)整理為規(guī)定形式 的格式后數(shù)據(jù)包化,或者從數(shù)據(jù)包復(fù)原數(shù)據(jù)的功能�。
(1) TCPA2從客戶應(yīng)用程序A1獲取數(shù)據(jù),將用于檢測數(shù)據(jù)包的缺 失或順序顛倒的TCP報頭以及目的地IP地址附加給數(shù)據(jù)后�����,向IP路由 選擇A3發(fā)送��。在此為大數(shù)據(jù)時進行分割(也稱作碎片)處理����。
(2) TCPA2從IP路由選擇A3獲取數(shù)據(jù)包���,參照TCP報頭檢測順 序顛倒或數(shù)據(jù)包的缺失,在順序顛倒和缺失都沒有產(chǎn)生時���,從數(shù)據(jù)包除 去報頭��,向客戶應(yīng)用程序A1發(fā)送�。此時�,將通知數(shù)據(jù)包送到的ACK數(shù)
據(jù)包返回到數(shù)據(jù)包的發(fā)送源。
(3) 在上述(2)中���,如果數(shù)據(jù)包產(chǎn)生缺失時,TCPA2將再次發(fā)送
請求數(shù)據(jù)包發(fā)送給數(shù)據(jù)包的發(fā)送源���。此外����,在順序顛倒或碎片產(chǎn)生時�, 等待后面送到的數(shù)據(jù)包,復(fù)原數(shù)據(jù)����。
(4) TCP A2獲取ACK數(shù)據(jù)包后���,對(1)中的數(shù)據(jù)包的發(fā)送速度 進行調(diào)整。
IP路由選擇A3具有從TCPA2獲取數(shù)據(jù)包���,參照目的地IP地址���,將 獲取的數(shù)據(jù)包傳送到IP堆棧的功能。此外����,IP路由選擇A3具有從IP堆 棧A4獲取數(shù)據(jù)包,參照目的地端口號�����,將獲取的數(shù)據(jù)包轉(zhuǎn)發(fā)到TCPA2 的功能�。
IP堆棧A4具有從IP路由選擇A3獲取數(shù)據(jù)包,將IP報頭和MAC 報頭附加到所獲取的數(shù)據(jù)包后�,生成幀,向中間驅(qū)動器All傳送該幀的 功能�。圖4b表示IP堆棧A4向中間驅(qū)動器All傳送的數(shù)據(jù)格式。此外, IP堆棧A4具有從中間驅(qū)動器All獲取幀,從該獲取的幀刪除MAC報頭 后�,傳送到IP路由選擇A3的功能。進而����,IP堆棧A4也具有利用地址 解決協(xié)議來調(diào)查數(shù)據(jù)包的目的地MAC地址的功能。
接下來����,對PC1的沒有包括在OS且位于下位層的軟件進行敘述。 PC1具備中間驅(qū)動器All以及驅(qū)動器A5作為與此相當(dāng)?shù)能浖?br>
中間驅(qū)動器All為被插入到采用TCP/IP的分層模型(model)所提 及的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間的模塊�。并且,中間驅(qū)動器A11與IP堆棧 A4以及驅(qū)動器A5連接����,具有以下所舉出的功能。
中間驅(qū)動器All參照從IP堆棧A4到達(dá)的幀的報頭��,判斷是否需要 對幀實施加密��。如果判斷結(jié)果為需要對所獲取的幀進行加密��,則中間驅(qū) 動器All使與TCP A2之間的TCP對話一次終結(jié)后�����,對數(shù)據(jù)實施加密���。 在此����,加密所使用的加密密鑰采用與SSLB2之間交換的加密密鑰�。而且, 具有將與TCP B3之間的TCP對話對應(yīng)的報頭附加到加密數(shù)據(jù)后���,將加 密數(shù)據(jù)傳送到驅(qū)動器A5的功能�����。另一方面���,如果為不需要進行獲取幀的 加密,則中間驅(qū)動器All具有將獲取的幀向驅(qū)動器A5傳送的功能�。在 此,作為不需要加密的幀�����,可舉出在上位的TCP/IP分層已加密的幀���、 DHCP數(shù)據(jù)包以及ARP數(shù)據(jù)包等�����。此外�,中間驅(qū)動器A11參照從驅(qū)動器A5到達(dá)的幀的報頭,判斷是否 需要對幀實施解密�。如果判斷結(jié)果為需要對所獲取的幀進行解密,則中 間驅(qū)動器All使與TCP B3之間的TCP對話終結(jié)一次后���,對數(shù)據(jù)實施解 密��。在此����,解密所使用的解密密鑰采用與SSLB2之間交換的解密密鑰���。 而且���,具有將與TCP A2之間的TCP對話對應(yīng)的報頭附加到解密數(shù)據(jù)后, 將解密數(shù)據(jù)傳送到IP堆棧A4的功能��。另一方面�����,如果為不需要進行獲 取幀的解密����,則中間驅(qū)動器All具有將獲取的幀向IP堆棧A4傳送的功 能。在此���,作為不需要解密的幀���,可舉出在比中間驅(qū)動器All更上位的 TCP/IP分層應(yīng)解密的幀、DHCP數(shù)據(jù)包以及ARP數(shù)據(jù)包等��。
中間驅(qū)動器All為了執(zhí)行上述功能�����,如圖3所示�����,由多個功能模塊 構(gòu)成�����。作為中間驅(qū)動器All的構(gòu)成要素,可舉出是否需要對獲取的幀進 行加密以及解密的幀解析部A12�、將報頭插入幀以及進行抽出的報頭變 換部A13、用于與TCPA22或TCPB3的TCP對話終結(jié)的TCPA14以及 TCP A17�����、進行獲取的數(shù)據(jù)的加密以及解密的SSL A16���、進行TCP的中 繼處理的應(yīng)用程序A15���。各構(gòu)成要素的功能以下進行詳細(xì)說明。
但是����,以下所述的各構(gòu)成要素的功能以及配置(configumtion)僅是 例子。尤其對于幀解析部A12以及報頭變換部A13����,可由各種各樣的方 法來實現(xiàn)其功能以及配置,這點本領(lǐng)域的技術(shù)人員是明確的����。
此外,以下所述的幀解析部A12采用具有判斷是否需要所獲取的幀 的加密以及解密的功能的結(jié)構(gòu)來說明��,但并不限于此。例如除了該功能 外���,還可具有識別是否廢棄幀的功能。通過該廢棄功能可防止PC1的CPU 資源因為不需要的數(shù)據(jù)包的處理而被浪費����,并且能夠防止接收來自外部 網(wǎng)絡(luò)的非法攻擊。
首先����,對幀解析部A12的功能進行說明。幀解析部A12與IP堆棧 A4�����、報頭變換部A13以及驅(qū)動器A5連接���。圖5�、圖6���、圖7為用于詳細(xì) 地對幀解析部A12的功能進行說明的流程圖���。
圖5表示幀從IP堆棧A4到達(dá)時的幀解析部A12的處理�����。幀解析部 A12首先取得到達(dá)的幀的報頭后(步驟S2)��,參照該報頭����,判別是否需要 對幀加密(步驟S3)�����。在此作為所參照的報頭�����,可舉出MAC報頭�����、IP報 頭�、TCP報頭等。在該步驟S3中����,判斷為需要加密的幀為到達(dá)時沒有被
加密的幀�。反過來����,在該步驟S3中,判斷為不需要加密的幀為到達(dá)時沒 有被加密的幀����。但是�����,關(guān)于DHCP幀����、DNS幀等、本來沒有被加密的幀��, 例如即使沒有被加密�����,在該步驟S3中也判斷為不需要加密�����。
如上所述,所獲取的幀是否在上位的TCP/IP分層中被加密�,以及所 獲取的幀是否為DHCP幀或DNS幀,例如通過參照該幀的TCP報頭來 識別����。具體地來說,被加密的幀的目的地端口號在WWW (World Wide Web��,萬維網(wǎng))訪問采用443號���、在郵件發(fā)送釆用465號�、在郵件接收采 用995號的編號��。另一方面�����,未加密的幀的目的地端口號在WWW(World Wide Web���,萬維網(wǎng))訪問采用80號��、在郵件發(fā)送采用25號���、在郵件接 收采用110號的編號��。此外���,DHCP幀的目的地端口號采用68號、DNS 幀的目的地端口號采用53號的編號���。
由此���,可根據(jù)幀的報頭判別是否需要對該幀進行加密。為了執(zhí)行這 種處理��,可使幀解析部A12具有記載有加密幀和未加密幀的端口信息的 一覽表�。
采用上述方法��,在圖5的步驟S3中��,判別是否需要對幀加密�,如果 不需要對幀加密,則將幀的報頭保存在列表T1之后(步驟S4)���,將幀傳 送到驅(qū)動器A5 (步驟S5)�。此外,如果需要幀的加密�,則將幀傳送到報 頭變換部A13 (步驟S6)。圖10 (a)表示列表T1的保存信息�����。列表Tl 中如圖10 (a)所示���,登錄有TCP端口號���、IP地址以及MAC地址。
另一方面����,圖6表示幀從驅(qū)動器A5到達(dá)時的幀解析部A12的處理。 幀解析部A12首先取得到達(dá)的幀的報頭后(步驟S12)�����,參照該報頭����,判 別是否需要對幀解密(步驟S13)。在此作為所參照的報頭��,可舉出MAC 報頭、IP報頭�����、TCP報頭等����。
在該步驟S13中,判斷為需要解密的幀為被加密的幀�����。反過來����,在 該步驟S13中,判斷為不需要解密的幀為沒有被加密的幀���。
如上所述,所獲取的幀是否被加密�����,例如可通過參照該幀的TCP報 頭來判別��。
具體地來說,被加密的幀的發(fā)送源端口號在WWW( World Wide Web��, 萬維網(wǎng))訪問采用443號���、在郵件發(fā)送采用465號�����、在郵件接收采用995 號的編號���。另一方面,未加密的幀的發(fā)送源端口號在WWW (Worldwide
Web�,萬維網(wǎng))訪問采用80號、在郵件發(fā)送采用25號����、在郵件接收采用 IIO號的編號。
由此�,可根據(jù)幀的報頭判別是否需要對該幀進行加密����。為了執(zhí)行這 種處理�,可使幀解析部A12具有記載有加密幀和未加密幀的端口信息的 一覽表�。
此外���,除了上述處理����,參照列表T1�,也對所取得的幀報頭是否被登 錄在列表T1中進行檢查。在此���,對幀報頭是否被登錄在列表Tl中進行 檢查時���,注意兩者的發(fā)送源地址和目的地地址之間的關(guān)系相反。
如果判別結(jié)果為不需要幀的解密或者所取得的報頭被登錄在列表Tl 中����,則將幀向IP堆棧A4傳送(步驟S14)。此外�����,如果需要幀的解密并 且所取得的報頭沒有被登錄在列表Tl中�,則將幀向報頭變換部A13傳送 (步驟S15)��。
在此��,對檢查列表T1的登錄信息的理由進行說明。這是因為對由中 間驅(qū)動器All執(zhí)行所獲取的幀的解密����,或者由比中間驅(qū)動器All更上位 的TCP/IP分層執(zhí)行所獲取的幀的解密進行判斷的緣故。為了對參照該列 表T1的必要性進行詳細(xì)地說明��,假設(shè)PC1具有多個SSL模塊(module) 的情況�。例如,在PC1不僅具有中間驅(qū)動器All中的SSLA16�,而且在 比中間驅(qū)動器All更上位的TCP/IP分層具有其他的SSL模塊時,某TCP 對話的數(shù)據(jù)包由比中間驅(qū)動器All更上位的TCP/IP分層的SSL模塊被 加密以及解密�����。在這種情況下�����,列表Tl被使用于判斷應(yīng)采用那一個SSL 模塊對所獲取的數(shù)據(jù)包進行解密�。列表T1中,在圖5的步驟S4中�,由 于采用比中間驅(qū)動器更上位的TCP/IP分層來解密的數(shù)據(jù)包的報頭被登 錄,因此通過參照登錄在列表T1中的報頭��,能夠判斷采用中間驅(qū)動器的 SSL A16應(yīng)不應(yīng)該對到達(dá)的數(shù)據(jù)包進行解密����。
另一方面�,圖7表示幀從報頭變換部A13到達(dá)時的幀解析部A12的 動作流程�����。首先取得到達(dá)的幀的報頭后(步驟S22)�����,參照該報頭����,判別 幀的目的地終端(步驟S23)。在此作為所參照的報頭����,可舉出MAC報 頭、IP報頭等�����。例如通過參照MAC報頭或IP報頭的目的地地址�,可識 別目的地終端。
如果調(diào)査結(jié)果為幀的目的地為PC1,則將幀傳送到IP堆棧A4 (步驟 S24)��。此外���,如果幀的目的地為除PC1之外,則將幀傳送到驅(qū)動器A5 (步驟S25)���。
接下來�����,對報頭變換部A13的功能進行說明�。報頭變換部A13與幀 解析部A12�����、 TCP A14以及TCP A17連接����。圖8、圖9為用于詳細(xì)地對 報頭變換部A12的處理進行說明的流程圖�����。
圖8表示幀從幀解析部A12到達(dá)時的報頭變換部A13的處理。報頭 變換部A13首先取得到達(dá)的幀的報頭后(步驟S31)���,檢查所取得的報頭 是否被登錄在列表T2 (步驟S32)����。如果所取得的報頭沒有保存在列表 T2�,則將數(shù)據(jù)登錄在列表T2 (步驟S35)。此外���,如果所取得的數(shù)據(jù)被保 存在列表T2��,則從幀刪除IP報頭和MAC報頭后(步驟S33)���,參照幀的 目的地端口號,將幀傳送到TCP A14或則TCP A17�����。圖10 (b)表示列 表T2的保存信息��。在列表T12中�,如圖10 (b)所示,對每個TCP登記 IP地址或MAC地址等的報頭����。對由上述步驟S35將報頭登錄在列表T2 時的處理例進行說明��。例如�,在所獲取的數(shù)據(jù)包的目的地TCP為TCP A14 時��,在圖10 (b)中����,將該數(shù)據(jù)包的IP地址和MAC地址登記在目的地 TCP為TCPA14的欄中�。
另一方面,圖9表示幀從TCP A14或者TCP A17到達(dá)時的報頭變換 部A13的處理����。報頭變換部A13首先取得到達(dá)的幀的報頭(步驟S41)。 在此�����,作為所取得的幀可舉出目的地IP地址����、TCP報頭等。將該報頭用 作密鑰�,從列表T2取得與所到達(dá)的幀對應(yīng)的MAC報頭和IP報頭(步驟
542) 。將上述那樣取得的MAC報頭和IP報頭插入到輸入幀后(步驟
543) ,將幀發(fā)送到幀解析部A12 (步驟S44)���。對從列表T2由上述步驟 S42取得報頭時的處理例進行說明����。例如在所獲取的數(shù)據(jù)包的發(fā)送源TCP 為TCPA14時�����,在圖10b的列表T2中�,讀出發(fā)送源TCP為TCP A14的 欄的IP地址和MAC地址后,插入到所獲取的數(shù)據(jù)包�����。
接下來���,對TCPA14以及TCPA17的功能進行說明�。TCPA14以及 TCP A17具有通過以下(1) (4)的處理將數(shù)據(jù)整理為規(guī)定形式的格 式后數(shù)據(jù)包化�,或者從數(shù)據(jù)包復(fù)原數(shù)據(jù)的功能。
(1) TCP A14以及TCP A17從SSL A16或中繼應(yīng)用程序A15獲取 數(shù)據(jù)�,將用于檢測數(shù)據(jù)包的缺失或順序顛倒的TCP報頭以及目的地IP地
址附加給數(shù)據(jù)后,向報頭變換部A13發(fā)送�。在此為大數(shù)據(jù)時進行分割(也 稱作碎片)處理���。
(2) TCP A14以及TCP A17從報頭變換部A13獲取數(shù)據(jù)包,參照 TCP報頭檢測順序顛倒或數(shù)據(jù)包的缺失��,在順序顛倒和缺失都沒有產(chǎn)生 時�����,從數(shù)據(jù)包除去報頭����,向中繼應(yīng)用程序A15發(fā)送���。此時��,將通知數(shù)據(jù) 包送到的ACK數(shù)據(jù)包返回到數(shù)據(jù)包的發(fā)送源�。
(3) 在上述(2)中����,如果數(shù)據(jù)包的缺失產(chǎn)生時,TCPA14以及TCP A17將再次發(fā)送請求數(shù)據(jù)包發(fā)送給數(shù)據(jù)包的發(fā)送源�。此外,在順序顛倒 或碎片產(chǎn)生時�����,等待后面送到的數(shù)據(jù)包,復(fù)原數(shù)據(jù)�。
(4) TCPA14以及TCPA17獲取ACK數(shù)據(jù)包后,對(1)中的數(shù)據(jù) 包的發(fā)送速度進行調(diào)整�。
接下來,對SSLA16的功能進行說明����。SSLA16具有將從中繼應(yīng)用程 序A15獲取的數(shù)據(jù)加密后,傳送到TCPA17的功能���。此外�,SSLA16具 有將從TCP A17獲取的數(shù)據(jù)解密后��,傳送到中繼應(yīng)用程序A15的功能����。 進而,SSL A16具有按照SSL協(xié)議將用于加密的證明書和秘密密鑰/公開 密鑰的信息與SSL B2交換的功能�����。是否使用SSL由來自中繼應(yīng)用程序 A15的設(shè)定決定����,在不使用SSL時����,不將從中繼應(yīng)用程序A15獲取的數(shù) 據(jù)加密��,而傳送到TCPA17����,此外,不將從TCPA17獲取的數(shù)據(jù)解密��, 而傳送到中繼應(yīng)用程序A15�。
接下來���,對中繼應(yīng)用程序A15的功能進行說明�����。中繼應(yīng)用程序A15 具有將從TCP A14到達(dá)的數(shù)據(jù)�,搭載在由TCP A16和TCPB3之間的TCP 對話所產(chǎn)生的通信中�,而傳送到SSLA16的功能。圖4a表示中繼應(yīng)用程 序A15與SSLA16交換數(shù)據(jù)的形式����。此外��,中繼應(yīng)用程序A15具有借助 由TCP A2和TCP A14之間的TCP對話所引起的通信��,而將從SSL A16 到達(dá)的數(shù)據(jù)傳送到TCP A14的功能���。
通過以上的說明,結(jié)束了中間驅(qū)動器All中所包括的各功能模塊的 說明�。
接下來,對驅(qū)動器A5的功能進行說明�����。驅(qū)動器A5為NICA6和OS 的中介的軟件���,具有從NIC A6獲取幀后�,送到OS的功能��,還具有從 OS獲取幀后�����,送到NIC A6的功能���。 接下來���,對PIC的硬件的功能進行說明�����。作為硬件�����,PC1具備NICA6��。 NICA6也稱作網(wǎng)絡(luò)接口卡(NetworkInterface Card)�����,為了連接以太網(wǎng)等 的網(wǎng)絡(luò)用電纜���,而插入到計算機的硬件���。具有將從電纜獲取的數(shù)據(jù)變換 為適當(dāng)?shù)碾娦盘柡笏偷津?qū)動器�,此外將從驅(qū)動器獲取的數(shù)據(jù)變換為適當(dāng) 的電信號后�,發(fā)送給電纜的功能�。
接下來�����,對服務(wù)器2的各構(gòu)成要素的功能進行說明���。首先�,對在服 務(wù)器2的CPU內(nèi)工作的軟件中��、沒有包括在OS且位于上位層的軟件進 行敘述��。服務(wù)器2��,具備服務(wù)器應(yīng)用程序B1作為相當(dāng)于此的軟件��。服務(wù) 器應(yīng)用程序B1為與客戶應(yīng)用程序Al進行通信的應(yīng)用程序�����。服務(wù)器應(yīng)用 程序Bl具有將通過規(guī)定的處理生成的數(shù)據(jù)傳送到TCPB2的功能��。此外�����, 服務(wù)器應(yīng)用程序Bl具有從TCPB2獲取數(shù)據(jù)后,對所獲取的數(shù)據(jù)執(zhí)行規(guī) 定的處理的功能�。圖4a中表示服務(wù)器應(yīng)用程序Bl與TCPB2傳遞數(shù)據(jù)的 形式。服務(wù)器應(yīng)用程序Bl與客戶應(yīng)用程序Al對應(yīng)���,可應(yīng)用WEB瀏覽 器軟件����、電子郵件服務(wù)器軟件��、TELNET服務(wù)器軟件���、FTP服務(wù)器軟件����、 會計服務(wù)器軟件�����、文件共享服務(wù)器軟件�、數(shù)據(jù)庫服務(wù)器軟件等各種應(yīng)用 程序。
接下來�,對服務(wù)器2的OS中所包括的軟件的功能進行說明。服務(wù)器 2具備SSLB2����、 TCPB3、 TCPB6���、 IP路由選擇B4以及IP堆棧B5作為 OS中所包括的軟件�����。上述模塊中除IP堆棧B5以外的軟件的功能與PC1
的軟件完全相同����,因此省略說明���。
IP堆棧B5具有從IP路由選擇B4獲取數(shù)據(jù)包���,將IP報頭和MAC 報頭附加到數(shù)據(jù)包后,將數(shù)據(jù)包傳送到驅(qū)動器B7的功能���。圖4b表示IP 堆棧B5與驅(qū)動器B7傳遞數(shù)據(jù)的形式����。此外,IP堆棧B5具有從驅(qū)動器 B7獲取數(shù)據(jù)包�,從數(shù)據(jù)包刪除MAC報頭后,將數(shù)據(jù)包傳送到IP路由選 擇B4的功能�。此外,IP堆棧B5具有利用地址解決協(xié)議來調(diào)查數(shù)據(jù)包的 目的地MAC地址的功能等�����。
接下來�,對服務(wù)器2的沒有包括在OS且位于下位層的軟件的功能進 行說明。服務(wù)器2具備驅(qū)動器B7作為與此相當(dāng)?shù)能浖?����,但?qū)動器B7的 功能與PC1的驅(qū)動器A5完全相同����,因此省略說明。
接下來���,對服務(wù)器2的硬件的功能進行說明��。服務(wù)器2具備NICB8
作為硬件���,但NICB8的功能與PC1的NICA6完全相同�����,因此省略說明。
接下來�,對集線器3的各構(gòu)成要素的功能進行說明。首先��,對集線 器3的OS中所包括的軟件的功能進行說明����。集線器3具備橋(bridge) Cl作為OS中包括的軟件。橋Cl具有從驅(qū)動器C2或驅(qū)動器C4獲取幀��, 參照目的地MAC地址�,將幀傳送到驅(qū)動器C2或傳送到驅(qū)動器C4的功 能。還具有在幀接收時���,參照發(fā)送源MAC地址��,進行MAC地址的學(xué)習(xí)�, 記錄哪一個MAC地址的終端與哪一個NIC連接的功能��。
接下來�,對集線器3的沒有包括在OS且下位層的軟件的功能進行說 明��。集線器3具備驅(qū)動器C2和驅(qū)動器C4作為與此相當(dāng)?shù)能浖?���,但?qū)動 器C2和驅(qū)動器C4的功能與PC1的驅(qū)動器A5完全相同���,因此省略說明���。
接下來,對集線器的硬件的功能進行說明�。集線器3具備NIC C3和 NIC C5作為硬件,但NIC C3和NIC C5的功能與PC1的NIC A6完全相 同���,因此省略說明���。
圖11為在圖3的各軟件之間傳遞的幀的形式。參照圖3以及圖11���, 以下說明本實施方式的工作�。
首先�,對從PC1的客戶應(yīng)用程序Al將數(shù)據(jù)傳送到服務(wù)器2的服務(wù)器 應(yīng)用程序B1時的工作進行說明。
在PC1的客戶應(yīng)用程序A將數(shù)據(jù)傳送到服務(wù)器2的服務(wù)器應(yīng)用程序 Bl時����,客戶應(yīng)用程序Al首先通過鏈接Pl將數(shù)據(jù)送給TCP A2�。圖11a 表示送給TCPA2的數(shù)據(jù)形式�。在此,客戶應(yīng)用程序Al為不使用SSL的 應(yīng)用程序�,不對該數(shù)據(jù)實施加密。
TCP A2通過鏈接Pl從客戶應(yīng)用程序Al獲取數(shù)據(jù)時��,將TCP報頭 和目的地IP地址附加給數(shù)據(jù)后進行數(shù)據(jù)包化��。在TCP報頭的目的地TCP 端口號�����,采用服務(wù)器2的TCP B6的端口號t2����,在發(fā)送源TCP端口號中 采用TCPA2的端口號tl��。此外�����,在目的地IP地址設(shè)定服務(wù)器2的IP地 址i2�����。 TCP A2附加TCP報頭和目的地IP地址后,通過鏈接P2向IP路 由選擇A3傳送數(shù)據(jù)包�����。
IP路由選擇A3通過鏈接P2從TCP A2獲取數(shù)據(jù)包后�����,參照目的地 IP地址�����,通過鏈接P3向IP堆棧A4發(fā)送數(shù)據(jù)包��。
IP堆棧A4通過鏈接P3從IP路由選擇A3獲取數(shù)據(jù)包后�,向數(shù)據(jù)包 附加IP報頭以及MAC報頭。采用服務(wù)器2的IP地址i2作為IP報頭的 目的地IP地址��,采用PCI的IP地址il作為發(fā)送源IP地址�����。此外,采用 服務(wù)器2的MAC地址m2作為MAC報頭的目的地MAC地址��,采用PCI 的MAC地址ml作為發(fā)送源MAC地址�����。IP堆棧A4向數(shù)據(jù)包插入這種 IP報頭���、MAC報頭而生成幀后�,通過鏈接P4將幀送給幀解析部A12����。 圖lib表示送給幀解析部A12的數(shù)據(jù)形式��。
如圖5所示��,幀解析部A12通過鏈接P4從IP堆棧A4獲取幀后���,參 照其報頭����。幀解析部A12根據(jù)該報頭對所獲取的數(shù)據(jù)是否被加密進行識 別���。
例如���,能夠根據(jù)幀的目的地TCP端口號t2檢査幀是否被加密��。在幀 解析部A12中����,通過參照記載有加密幀和未加密幀的端口號信息的一覽 標(biāo)�����,可知端口號t2為未加密幀的目的地TCP端口號�����。
進行上述處理后���,幀解析部A12判斷由鏈接P4送給的幀沒有被加密�, 根據(jù)圖5通過鏈接P5向報頭變換部A13送給該幀�����。
如圖8所示���,報頭變換部A13通過鏈接P5從幀解析部A12接收幀����, 按照目的地TCP將所獲取的幀的MAC報頭、IP報頭登錄在列表T2�。圖 10b中,表示列表T2的例子�����。TCP A14的端口號與TCPB6的端口號t2 一致���,因此判斷通過鏈接P5獲取的幀的目的地TCP為TCP A14����,該MAC 地址和IP地址被登錄在圖10b的列表T2的上級����。將所獲取的幀的報頭 登錄在列表T2后�,報頭變換部A13從幀去掉MAC報頭和IP報頭而構(gòu) 成數(shù)據(jù)包后,參照目的地端口號將數(shù)據(jù)包送給TCP A14��。圖11c表示被 送給到TCPA14的數(shù)據(jù)形式�。
TCP A14通過鏈接P6從報頭變換部A14獲取數(shù)據(jù)包后,參照TCP 報頭檢測順序顛倒或數(shù)據(jù)包缺失,在順序顛倒和缺失都沒有產(chǎn)生時��,從 數(shù)據(jù)包除去報頭���,通過鏈接P7向中繼應(yīng)用程序A15送給數(shù)據(jù)包�����。此時��, 通過將通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCP A2����,終結(jié)來自TCP A2的TCP對話�����。由于TCP A14的端口號與TCP B6的端口號t2 —致����, 因此從TCPA2看,正好觀察到在TCP A2和TCPB6之間建立TCP對話�, 但實際的TCP對話在TCP A2和TCP A14之間建立。圖3中用虛線來表
示該TCP對話(TCP對話1)���。
在上述的TCP A14的工作說明中����,以己經(jīng)在TCP A2和TCP A14之 間建立TCP對話1為前提進行了說明。在此�, 一小部分描述脫離主題, 但對在TCP A2和TCP A14之間建立TCP對話1之前的動作簡單地進行 了說明���。
TCPA2通過鏈接P1從客戶應(yīng)用程序A1獲取數(shù)據(jù)后��,為了先于該數(shù) 據(jù)的發(fā)送�,而與服務(wù)器2的TCPB6建立TCP對話�����,發(fā)送TCP對話建立 請求幀���,但TCPA14按照能夠預(yù)占該TCP對話建立請求幀的方式����,例如 按照所有的幀被吸入TCP A14那樣預(yù)先以所有端口號等待接收�。其中��, 關(guān)于中間驅(qū)動器All的其他TCP模塊所占有的端口號,由于不產(chǎn)生端口 號的互相競爭問題�,因此不包括在等待接收端口號中。
通過進行上述處理��,TCP A14介由報頭變換部A13能夠獲取TCP對 話建立請求幀��。TCPA14獲取該TCP對話建立請求幀后�����,占有該幀報頭 中所記載的目的地端口號t2作為TCP A14的等待接收端口號��,關(guān)于其他 端口號開放�。之后,TCP A14與TCPA2進行TCP對話的建立所必需的 3Way Handshake (三路信號交換)處理�,來建立TCP對話1。通過進行 以上的處理�,可明確在TCPA2和TCPA14之間能夠建立TCP對話1。
以下����,雖然有一小部分描述脫離主題,但言歸正傳����,繼續(xù)對各模塊 的工作進行說明����。
中繼應(yīng)用程序A7通過鏈接P7從TCPA14獲取數(shù)據(jù)包��,但為了對數(shù) 據(jù)包加密而實現(xiàn)防止盜取����,而通過鏈接P8直接送給SSL A16。
SSLA16通過鏈接P8從中繼應(yīng)用程序A15獲取數(shù)據(jù)包后���,使用預(yù)先 與服務(wù)器2的SSLB2之間決定的加密方式��,對數(shù)據(jù)包加密�����。加密完成后��, SSLA16通過鏈接P9向TCPA17送給被加密的數(shù)據(jù)��。在圖lld中表示向 TCPA17送給的數(shù)據(jù)形式�����。
TCP A17通過鏈接P9從SSL A16獲取加密數(shù)據(jù)后����,將TCP報頭和目 的地IP地址附加到該數(shù)據(jù)后數(shù)據(jù)包化��。TCP報頭的目的地TCP端口號中��, 采用服務(wù)器2的TCP B3的端口號t4����,發(fā)送源TCP端口號采用TCP A17 的端口號t3。在此���,TCPB3的端口號t4為發(fā)送加密數(shù)據(jù)時明示使用的端 口號�����。例如��,在發(fā)送加密郵件時�����,使用SMTP over SSL的協(xié)議�,使用465
號作為該目的地TCP端口號����。此外�����,對目的地IP地址�,設(shè)定服務(wù)器2 的IP地址i2�。 TCPA17附加TCP報頭和目的地IP地址后,通過鏈接P10 向報頭變換部A13送給數(shù)據(jù)包����。TCP A17通過上述處理與TCP B3建立 TCP對話,實現(xiàn)與TCPB3的穩(wěn)定的數(shù)據(jù)傳送�。圖3中由虛線表示該TCP 對話(TCP對話2)。
在上述的TCP A17的工作說明中���,以已經(jīng)在TCP A17和TCP B3之 間建立TCP對話2為前提進行了說明���。在此,再次有一小部分描述脫離 主題�,但對在TCP A17和TCPB3之間建立TCP對話2之前的動作簡單 地進行了說明。
前面已對TCP A14與TCP A2建立TCP對話1之前的動作進行了說 明���,但TCPA14在與TCPA2建立TCP對話1之后���,對中間應(yīng)用程序A15 發(fā)送命令以使與服務(wù)器2建立加密TCP對話2���。此時����,TCP A14將服務(wù) 器2的IP地址i2和TCP B6的端口號t2的信息也送給中繼應(yīng)用程序A15。
中繼應(yīng)用程序A15從TCP A14獲取命令后���,根據(jù)從TCP A14送給的 未加密用端口號t2導(dǎo)出加密用端口號�����。該加密用端口號的導(dǎo)出處理��,通 過參照對每個應(yīng)用程序記載有其加密端口號和未加密端口號的一覽表而 可執(zhí)行���。
具體地來說,參照記載有WWW (World Wide Web)的加密/未加密 端口號為443號/80號��,郵件發(fā)送的加密/未加密端口號未465號/25號����, 郵件接收的加密/未加密端口號未995號/110號等的號碼的一覽表���。
中繼應(yīng)用程序A15通過上述處理,導(dǎo)出與未加密端口號t2對應(yīng)的加 密端口號t4后�,介由SSL A16將服務(wù)器2的IP地址i2和加密端口號t4 的信息送給TCPA17。
TCP A17介由SSL A16從中繼應(yīng)用程序A15獲取IP地址i2和加密端 口號t4后�����,對服務(wù)器2的TCPB3發(fā)送加密用的TCP對話建立請求幀�。
如果在服務(wù)器2中安裝有與SSL對應(yīng)的服務(wù)器應(yīng)用程序Bl,擇TCP B3被搭載在服務(wù)器2,因此TCP B3和TCP A17之間能夠執(zhí)行3 Way Handshake處理���,能夠建立TCP對話2�。在該TCP對話2被建立后�,在 SSLA16和SSLB2之間利用TCP對話2,在加密對話的開始交換必要的 證明書信息或加密密鑰�����。通過以上處理��,可明確能夠在TCPA17和TCPB3
之間建立TCP對話1�。即TCPA17可與TCPB3的傳輸層建立對話。
另一方面,如果服務(wù)器2中沒有安裝與SSL對應(yīng)的服務(wù)器應(yīng)用程序 B1 ��,則TCP B3沒有搭載在服務(wù)器2中�,TCP A17不能與TCP B3執(zhí)行3Way Handshake處理,因此不能建立TCP對話2��。作為這種情況的應(yīng)對方法����, 例如可考慮以下兩個應(yīng)對方法���。
(1) 這種應(yīng)用數(shù)據(jù)�����,不能在PC1和服務(wù)器2之間加密后收發(fā)�����,因此 具有被盜取的危險性����,因此由中間驅(qū)動器A11廢棄��。
(2) 具有數(shù)據(jù)被盜取的危險性,但不使用SSLA16的加密功能���,對 數(shù)據(jù)不加密而發(fā)送給服務(wù)器2的TCP B6��。此時�����,按照從TCP B6發(fā)送的 幀被轉(zhuǎn)發(fā)給TCP A17的方式�,改變幀解析部A12的設(shè)定���,并且需要在TCP A17和TCPB6之間建立TCP對話3�����。
采用上述兩個方法中任一個方法都為安全性的運用策略的情況�。 以上��,對服務(wù)器2中沒有安裝與SSL對應(yīng)的服務(wù)器應(yīng)用程序Bl時的
動作進行了說明���,以下不特別地針對上述動作����,為在服務(wù)器2中始終安
裝有與SSL對應(yīng)地服務(wù)器應(yīng)用程序Bl的情況。
以上���,有一小部分話脫離主題�����,但言歸正傳���,繼續(xù)對各模塊的動作
進行說明。
根據(jù)以上的說明�����,可知客戶應(yīng)用程序Al和服務(wù)器應(yīng)用程序B1之間 的數(shù)據(jù)轉(zhuǎn)發(fā)��,通過TCPA2和TCPA14之間的TCP對話1和TCPA17和 TCP B3之間的TCP對話2總計兩個TCP對話被中繼�。由此�,通過由中 間驅(qū)動器All中繼TCP對話,能夠使PC1側(cè)的SSLA16和服務(wù)器2側(cè)的 SSLB2的TCP/IP協(xié)議分層一致�。由此,在PC1側(cè)的SSLA16和服務(wù)器 側(cè)的SSLB2之間����,可進行SSL協(xié)議的通信��,能夠在SSL對話的開始時 交換必要的證明書信息和加密算法�。
如圖9所示�����,報頭變換部A13通過鏈接P10從TCP A17獲取數(shù)據(jù)包 后�,參照列表T2,對所獲取的數(shù)據(jù)包附加對應(yīng)的MAC報頭和IP報頭�����。 具體地來說�����,按照發(fā)送源TCP�����,對所獲取的數(shù)據(jù)包附加對應(yīng)的MAC報 頭�、IP報頭。例如����,通過鏈接P10獲取的數(shù)據(jù)包的發(fā)送源TCP為TCPA17���, 因此作為該MAC地址和IP地址被登錄在圖10b的列表T2的上級。報頭 變換部A13將IP報頭���、MAC報頭插入數(shù)據(jù)包而生成幀后�,通過鏈接Pll
將幀送給幀解析部A12����。圖lie為被送給幀解析部A12的數(shù)據(jù)形式。
如圖7所示�����,幀解析部A12通過鏈接Pll從報頭變換部A13獲取幀 后��,參照其報頭����。在此作為所參照的報頭��,可舉出MAC報頭�、IP報頭 等。幀解析部A12根據(jù)該報頭����,識別幀的目的地是哪一個終端��。作為識 別方法的例子��,考慮根據(jù)報頭的目的地IP地址識別目的地��。由鏈接Pll 被送出的幀的目的地IP為服務(wù)器2的lP地址i2�����,因此按照圖7的步驟 S24,幀解析部A12通過鏈接P12將幀送給驅(qū)動器A5���。
驅(qū)動器A5通過鏈接P12從幀解析部A12獲取幀后,通過鏈接P13 將數(shù)據(jù)包送給NICA6��。
NIC A6通過鏈接P13從驅(qū)動器A5獲取幀后�����,通過鏈接P14將幀送 給NIC C3���。
NIC C3通過鏈接P14從NIC A6獲取幀后�����,通過鏈接P15將幀送給 驅(qū)動器C2�。
驅(qū)動器通過鏈接P15從NIC C3獲取幀后,通過鏈接P16將幀送給橋Cl���。
橋Cl通過鏈接P16從驅(qū)動器C2獲取幀后���,參照所獲取的幀的目的 地MAC地址。如果識別到具有目的地MAC地址的終端與NIC C5連接�, 則通過鏈接P17將幀送給驅(qū)動器C4。
驅(qū)動器C4通過鏈接P17從橋Cl獲取幀后����,通過鏈接P18將幀送給 NICC5。
NIC C5通過鏈接P18從驅(qū)動器C4獲取幀后��,通過鏈接P19將幀送 給NICB8�。
NIC B8通過鏈接P19從NIC C5獲取幀后,通過鏈接P20將幀送給 驅(qū)動器B7����。
驅(qū)動器B7通過鏈接P20從NIC B8獲取幀后�,通過鏈接P21將幀送 給IP堆棧B5。
IP堆棧B5通過鏈接P21從驅(qū)動器B7獲取幀后�����,從幀除去MAC報 頭、IP報頭而生成數(shù)據(jù)包后�,通過鏈接P22將數(shù)據(jù)包送給IP路由選擇 B4。
IP路由選擇B4通過鏈接P22從IP堆棧B5獲取數(shù)據(jù)包后�,參照數(shù)據(jù)
包的TCP報頭。根據(jù)目的地TCP端口號識別數(shù)據(jù)包的目的地為TCP B3 后����,通過鏈接P23將所獲取的數(shù)據(jù)包送給TCPB3。
TCPB3通過鏈接P23從IP路由選擇B4獲取數(shù)據(jù)包���,參照TCP報頭 對順序顛倒或數(shù)據(jù)包的缺失進行調(diào)查���。在順序顛倒、缺失都沒有發(fā)生時�����, 從數(shù)據(jù)包去掉TCP報頭����,通過鏈接P24送給SSLB2。此時,將通知數(shù)據(jù) 包已送到的ACK數(shù)據(jù)包返回到TCPA17��。
SSL B2通過鏈接P12從TCP B3獲取數(shù)據(jù)時�����,使用在與PC1的SSL A16之間決定的解密方式�����,對數(shù)據(jù)進行解密����。SSLB2通過鏈接P25將被 解密的數(shù)據(jù)送給服務(wù)器應(yīng)用程序B1。
如上所述�,確認(rèn)了從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù)被加密,并且被可 靠地送到服務(wù)器應(yīng)用程序B1���。
接下來�����,上述處理完成后����,這一次對從服務(wù)器應(yīng)用程序B1將數(shù)據(jù)發(fā) 送該客戶應(yīng)用程序Al時的動作進行說明。
服務(wù)器2的服務(wù)器應(yīng)用程序B1向PC1的客戶應(yīng)用程序Al發(fā)送數(shù)據(jù) 時�,客戶應(yīng)用程序Bl首先通過鏈接P27將數(shù)據(jù)送給SSL B2�。圖llf表 示被送給SSLB2的數(shù)據(jù)形式。
如果SSL B2通過鏈接P27從客戶應(yīng)用程序Bl獲取數(shù)據(jù)����,則對數(shù)據(jù) 加密后,通過鏈接P28將數(shù)據(jù)送給TCPB3���。圖llg表示被送給到TCPB3 的數(shù)據(jù)形式����。
TCPB3通過鏈接P28后從SSLB2獲取數(shù)據(jù)后�,向數(shù)據(jù)附加TCP報 頭和目的地IP地址后被數(shù)據(jù)包化。TCP報頭的目的地TCP端口號��,采用 PCI的TCPA17的端口號t3���,發(fā)送源TCP端口號釆用TCPB3的端口號 t4����。此外����,在目的地IP地址�����,設(shè)定PC1的IP地址il�����。 TCPB3附力卩TCP 報頭后��,通過鏈接P29����,將數(shù)據(jù)包送給IP路由選擇B4���。
IP路由選擇B4���,通過鏈接P29從TCPB3獲取數(shù)據(jù)包后,參照目的 地IP地址���,通過鏈接P30將數(shù)據(jù)包發(fā)送給IP堆棧B5����。
IP堆棧B5通過鏈接P30從IP路由選擇B4獲取數(shù)據(jù)包后,將IP報 頭�����、MAC報頭附加在數(shù)據(jù)包后生成幀���。在IP報頭的目的地IP地址,采 用PC1的IP地址U ��,在發(fā)送源IP地址采用服務(wù)器2的IP地址i2�����。此外���, 在MAC報頭的目的地MAC地址采用PCI的MAC地址ml ��,在發(fā)送源
的MAC地址采用服務(wù)器2的MAC地址m2�����。IP堆棧B5將上述IP報頭����、 MAC報頭插入數(shù)據(jù)包而生成幀后,通過鏈接P31將幀送給驅(qū)動器B7�����。 圖llh表示被送給到驅(qū)動器B7的數(shù)據(jù)形式���。
驅(qū)動器B7通過鏈接P31從IP堆棧B5獲取幀后���,通過鏈接P32將幀 送給NICB8。
NIC B8通過鏈接P32從驅(qū)動器B7獲取幀后���,通過鏈接P33將幀送 給NIC C5�����。
NIC C5通過鏈接P33從NIC B8獲取幀后�����,通過鏈接P34將幀送給 驅(qū)動器C4���。
驅(qū)動器C4通過鏈接P34從NIC C5獲取幀后,通過鏈接P35將幀送 給橋C1�。
橋Cl通過鏈接P35從驅(qū)動器C4獲取幀后��,參照所獲取的數(shù)據(jù)包的 目的地MAC地址�����。識別具有目的地MAC地址的終端與NIC C3連接時���, 通過鏈接P36將幀送給驅(qū)動器C2。
驅(qū)動器C2通過鏈接P36從橋C2獲取幀后�,通過鏈接P37將幀送給 NIC C3�。
NIC C3通過鏈接P37從驅(qū)動器C2獲取幀后,通過鏈接P38將幀送 給NICA6�。
NIC A6通過鏈接P38從NIC C3獲取數(shù)據(jù)包后,通過鏈接P35將數(shù) 據(jù)包送給驅(qū)動器A5���。
驅(qū)動器A5通過鏈接P39從NIC A6獲取幀后��,通過鏈接P40將幀送 給幀解析部A12���。
如圖6所示,幀解析部A12通過鏈接P40從驅(qū)動器A5獲取幀后����, 參照其報頭��。幀解析部A12根據(jù)該報頭�����,對所獲取的幀是否被加密進行 識別�����。作為識別方法的例子����,例如結(jié)構(gòu)的說明所述那樣��,考慮根據(jù)報頭 的TCP端口號識別幀是否被加密的方法�。例如在加密郵件的情況下,使 用SMTP over SSL的協(xié)議��,采用465號作為該發(fā)送源TCP端口號�。由此, 根據(jù)發(fā)送源TCP端口號可識別數(shù)據(jù)是否被加密�����。此外����,幀解析部A12為 了由中間驅(qū)動器對幀進行解密��,或者由比中間驅(qū)動器更上位的TCP/IP協(xié) 議分層對幀解密進行識別��,而也可同時參照列表T1��。經(jīng)過上述一系列處
理���,幀解析部A12判斷由鏈接P40送給的數(shù)據(jù)包需要由中間驅(qū)動器解密, 通過鏈接P41將幀送給報頭變換部A13�。
如圖8所示,報頭變換部A13通過鏈接P41從幀解析部A12獲取幀 后����,按照目的地TCP�,將所獲取的幀的MAC報頭、IP報頭登錄在列表 T2�。由鏈接P41獲取的幀的目的地TCP成為TCPA17,因此該MAC地 址和IP地址被登錄在圖10b的列表T2的下級�。登錄在列表T2后,報頭 變換部A13從幀除去MAC報頭和IP報頭而數(shù)據(jù)包化后����,參照目的地端 口號向TCPA17送給數(shù)據(jù)包�。
TCP A17通過鏈接P42從報頭變換部A13獲取數(shù)據(jù)包后��,參照TCP 報頭�,調(diào)查順序顛倒或數(shù)據(jù)包的缺失。在順序顛倒��、缺失都沒有發(fā)生時, 從數(shù)據(jù)包除去TCP報頭����,通過鏈接P43送給SSLA16���。此時���,將通知數(shù) 據(jù)包已送到的ACK數(shù)據(jù)包返回到TCPB3。
SSL A16通過鏈接P43從TCP A17獲取數(shù)據(jù)后����,采用與SSLB2之間 決定的解密方式,對數(shù)據(jù)進行解密���。SSL A16通過鏈接P44向中繼應(yīng)用 程序A15送給被解密的數(shù)據(jù)���。
中繼應(yīng)用程序A15通過鏈接P44從SSL A16獲取數(shù)據(jù)后�,為了向客 戶應(yīng)用程序A1發(fā)送數(shù)據(jù)���,而通過鏈接A45將數(shù)據(jù)送給TCPA14����。
TCP A14通過鏈接P45從中繼應(yīng)用程序A15獲取數(shù)據(jù)后���,向數(shù)據(jù)附 加TCP報頭和目的地IP地址后進行數(shù)據(jù)包化�。對TCP報頭的目的地TCP 端口號�����,釆用TCPA2的端口號tl����,對發(fā)送源TCP端口號���,采用TCPB6 的端口號t2��。此外�����,對目的地IP地址�,設(shè)定PC1的IP地址il。 TCPA14 附加TCP報頭后����,通過鏈接P46將數(shù)據(jù)包送給報頭變換部A13。
如圖9所示�����,報頭變換部A13通過鏈接P46從TCPA14獲取數(shù)據(jù)包 后�,參照列表T2,向所獲取的數(shù)據(jù)包附加MAC報頭和IP報頭后變?yōu)閹?具體地來說����,按照發(fā)送源TCP,對所獲取地數(shù)據(jù)包附加對應(yīng)的MAC報 頭����、IP報頭。例如��,由鏈接P46獲取的數(shù)據(jù)包的發(fā)送源TCP為TCPA14�����, 因此該MAC地址和IP地址被登錄在圖10b的列表T2的下級。報頭變換 部A13將IP報頭���、MAC報頭插入數(shù)據(jù)包而幀化后���,通過鏈接P47將幀 送給幀解析部A12。圖llj表示被送給到幀解析部A12的數(shù)據(jù)形式�����。
如圖7所示��,幀解析部A12通過鏈接P47從報頭變換部A13獲取幀
后��,參照其報頭����。在此作為所參照的報頭,可舉出MAC報頭����、IP報頭 等。幀解析部A12根據(jù)該報頭���,識別幀的目的地是哪一個終端�����。作為識 別方法的例子�����,考慮根據(jù)報頭的目的地IP地址識別目的地��。由鏈接P47 被送出的幀的的目的地IP為PC1的IP地址il �����,因此按照圖7的步驟S25����, 幀解析部A12通過鏈接P48將幀送給IP堆棧A4�。
IP堆棧A4通過鏈接P48從幀解析部A12獲取幀后,從幀除去MAC 報頭��、IP報頭而數(shù)據(jù)包化后����,通過鏈接P49將數(shù)據(jù)包送給IP路由選擇 A3�����。
IP路由選擇A3通過鏈接P49從IP堆棧A4獲取數(shù)據(jù)包后���,參照數(shù) 據(jù)包的TCP報頭。根據(jù)目的地TCP端口號��,識別數(shù)據(jù)包的目的地為TCP A2時�,通過鏈接P50向TCP A2送給所獲取的數(shù)據(jù)包。
TCP A2通過鏈接P50從IP路由選擇A3獲取數(shù)據(jù)包��,參照TCP報頭 來調(diào)查順序顛倒和數(shù)據(jù)包的缺失�。在順序顛倒和缺失都沒有產(chǎn)生時,從 數(shù)據(jù)包除去TCP報頭��,通過鏈接P51向客戶應(yīng)用程序A15送給數(shù)據(jù)�。此 時,通過將通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCP A14���。
如上所述��,確認(rèn)了從服務(wù)器應(yīng)用程序B1發(fā)送的數(shù)據(jù)被加密���,并且被 可靠地送到客戶應(yīng)用程序Al����。
根據(jù)以上說明�����,確認(rèn)了客戶應(yīng)用程序Al和服務(wù)器應(yīng)用程序Bl之間 的雙向通信�,必需被加密�����。
此外����,在以上的說明中,對在PCI和服務(wù)器2之間交換加密數(shù)據(jù)的 結(jié)構(gòu)進行了說明�,但處理服務(wù)器2之外,在PCI與多個服務(wù)器交換加密 數(shù)據(jù)時�����,PCI的中間驅(qū)動器All的結(jié)構(gòu)如下那樣�。
中間驅(qū)動器All,在成為通信對象的每個服務(wù)器中���,具備報頭變換部 A13����、 TCPA14、中繼應(yīng)用程序A15��、 SSLA16��、 TCPA17以及報頭變換 部A13���,對成為通信對象的每個服務(wù)器建立不同的TCP對話2��。在PC1 和各服務(wù)器之間收發(fā)的數(shù)據(jù)��,被加密并且介由TCP對話被交換���。由此, PC1能夠與多個服務(wù)器交換加密數(shù)據(jù)����。 (效果)
以下,對本實施方式的效果進行說明�����。
在本實施方式中,通過在中間驅(qū)動器All中編入TCP中繼功能��,從
而使PC1側(cè)的SSLA16和服務(wù)器2側(cè)的SSLB2之間的TCP/IP協(xié)議分層 一致�����,因此在PC1側(cè)的SSL A16和服務(wù)器2側(cè)的SSL B3之間可進行基 于SSL協(xié)議的通信��。由此����,在服務(wù)器2和PC1之間可自動地交換SSL對 話開始所必需地證明書信息和加密算法���,因此能夠省去在PC1側(cè)地中間 驅(qū)動器手動設(shè)定加密密鑰的時間��。
此外��,關(guān)于服務(wù)器2����,與以往不同����,不需要改變該軟件的結(jié)構(gòu)�,因此 能夠省去向服務(wù)器2安裝中間驅(qū)動器的時間��。
進而��,具有由幀解析部A12判別發(fā)送數(shù)據(jù)是否被加密���,在沒有被加 密時��,進行加密的結(jié)構(gòu)����,因此能夠可靠地以被加密地狀態(tài)發(fā)送發(fā)送數(shù)據(jù)�����。
接下來�,參照附圖,對用于實施本發(fā)明的第二發(fā)明的第二實施方式����, 參照附圖詳細(xì)地進行說明。第二實施方式的網(wǎng)絡(luò)結(jié)構(gòu)�����,與圖1的第一方 式的網(wǎng)絡(luò)結(jié)構(gòu)相同,因此省略說明��。
圖12為表示搭載在本實施方式的各裝置的CPU以及NIC的通信處 理的圖���。參照圖12�����,第二實施方式�����,除了圖3中的第一實施方式中的PC1 的結(jié)構(gòu)之外,具有驅(qū)動器A19和假想MCA20這點與第一實施方式不同��。
驅(qū)動器A19的功能與圖3所示的驅(qū)動器A5的功能相同�,因此省略說明。
假想NICA20為對驅(qū)動器A19和中繼應(yīng)用程序A15進行中介的軟件�。 假想NIC A20具有從驅(qū)動器A19獲取幀后,送給中繼應(yīng)用程序A15的功 能�����。本來NIC由硬件構(gòu)成,但假想NIC由軟件構(gòu)成����。假想NIC由OS正 好識別為硬件。
此外�,參照圖12,第二實施方式�,針對在第一實施方式中,安裝在 中間驅(qū)動器All的內(nèi)部的模塊中能采用OS的功能代替的模塊��,從中間 驅(qū)動器A11分開這一點����,與第一實施方式不同。具體地來說���,第二實施 方式���,從中間驅(qū)動器All分開第一實施方式的插入到中間驅(qū)動器All的 SSLA16以及TCPA17,并且采用在通常的終端插入作為OS的功能來代 替上述模塊�����。此外����,第二實施方式�,從中間驅(qū)動器還分開中繼應(yīng)用程序����, 并且經(jīng)由假想NIC將中間驅(qū)動器和中繼應(yīng)用程序回送連接。與此相伴�,
中間驅(qū)動器All的各模塊的功能如下那樣變化。
TCP A21的功能的概要����,與圖3所示的第一實施方式的TCP A14大 致相同,但傳遞其數(shù)據(jù)的前一個模塊不是中繼應(yīng)用程序A15�����,而是驅(qū)動 器A19這一點�����,與第一實施方式的TCPA17不同��。
中繼應(yīng)用程序A22的功能的概要與圖3所示的第一實施方式的中繼 應(yīng)用程序A15大致相同�,但傳遞其數(shù)據(jù)的前一個模塊不是TCPA14��,而 是假想NICA20這一點,與第一實施方式的中繼應(yīng)用程序A15不同��。
TCP A24的功能的概要�,與圖3所示的第一實施方式的TCP A17大 致相同,但傳遞其數(shù)據(jù)的前一個模塊不是報頭變換部A13��,而是IP路由 選擇A3這一點�����,與第一實施方式的TCP A17不同����。此外,TCPA24沒 有編入到中間驅(qū)動器All���,而是編入到OS中這一點�����,與第一實施紡絲的 TCPA17不同�����。
SSL A23的功能的概要���,與圖3中所示的第一實施方式的SSL A16 大致相同����,但沒有編入中間驅(qū)動器All����,而是編入到OS這一點,與第一 實施方式的SSLA16不同�。
接下來,對幀解析部A18的功能進行說明���。圖13和圖14為用于詳 細(xì)地對幀解析部A18的處理進行說明的動作流程圖����。圖13表示幀從IP 堆棧A4到達(dá)時的幀解析部A18的動作流程圖����。幀解析部A18省略了將 幀的報頭登錄在列表Tl中的處理(圖5的步驟S4)這一點,與第一實 施方式的幀解析部A12不同���。其他處理,與圖5相同�����,省略說明。
另一方面��,圖14表示幀從驅(qū)動器A5到達(dá)時的幀解析部A18的動作 流程��。幀解析部A18將到達(dá)的所有幀傳送給1P堆棧A4這一點(步驟S14)�����, 與第一實施方式的幀解析部A12不同�����。
此外����,幀從報頭變換部A13到達(dá)時的幀解析部A18的動作流程,與 第一實施方式的幀解析部A12完全相同�,采用圖7已說明過,因此省略 說明�。
圖12所示的構(gòu)成要素中除上述構(gòu)成要素以外的模塊的功能與圖3所 示的第一實施方式的功能完全相同,因此省略說明���。 [動作的說明]
參照圖12�,對本實施方式的工作進行以下說明。與圖3所示的第一
實施方式不同的點僅在于PC1的工作�����,因此限定于PC1的動作進行說明�����。
首先��,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明����。其中,鏈接P3之前的動作���,與第一實 施方式相同���,因此動作的說明從鏈接P4的時刻開始。
幀解析部A18�,如圖13所示,通過鏈接P4從IP堆棧A4獲取幀后��, 參照其報頭。幀解析部A12根據(jù)該報頭對所獲取的數(shù)據(jù)是否被加密進行 識別�。幀解析部A18判斷為由鏈接P4送出的幀沒有被加密�,通過鏈接 P5將幀送給報頭變換部A13。
如圖8所示��,報頭變換部A13通過鏈接P5從幀解析部A18接收幀�, 按照目的地TCP將所獲取的幀的MAC報頭、IP報頭登錄在列表T2�。圖 10b中,表示列表T2的例子�。TCP A21的端口號與TCPB6的端口號t2 一致,因此判斷通過鏈接P5獲取的幀的目的地TCP為TCP A21 �,該MAC 地址和IP地址被登錄在圖10b的列表T2的上級。將所獲取的幀的報頭 登錄在列表T2后�,報頭變換部A13從幀去掉MAC報頭和IP報頭而構(gòu) 成數(shù)據(jù)包后,參照目的地端口號將數(shù)據(jù)包送給TCP A21�。圖llc表示被 送給到TCPA21的數(shù)據(jù)形式。
TCP A21通過鏈接P6從報頭變換部A13獲取數(shù)據(jù)包后�,參照TCP 報頭檢測順序顛倒或數(shù)據(jù)包缺失,在順序顛倒和缺失都沒有產(chǎn)生時���,從 數(shù)據(jù)包除去報頭�����,通過鏈接P55向驅(qū)動器A19送給數(shù)據(jù)��。此時��,通過將 通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCP A2�����,終結(jié)來自TCP A2的 TCP對話���。由于TCP A21的TCP端口號與TCP B6的TCP端口號t2 — 致�,因此從TCPA2看�,正好觀察到在TCPA2和TCPB6之間建立TCP 對話,但實際的TCP對話在TCP A2和TCP A21之間建立�。圖12中用虛 線來表示該TCP對話。
驅(qū)動器A19通過鏈接P55從TCPA21獲取數(shù)據(jù)包后�����,通過鏈接P56 將數(shù)據(jù)包送給假想NIC A20�����。
假想NIC A20通過鏈接P56從驅(qū)動器A19獲取數(shù)據(jù)包后���,通過鏈接 P57將數(shù)據(jù)包送給中繼應(yīng)用程序A22�。
中繼應(yīng)用程序A22,通過鏈接P57從假想NIC A20獲取數(shù)據(jù)后��,為 了對數(shù)據(jù)加密而實現(xiàn)防止盜取�����,而通過鏈接P58將數(shù)據(jù)送給SSL A23�����。
SSL A23通過鏈接P58從中繼應(yīng)用程序A22獲取數(shù)據(jù)后��,使用預(yù)先 與服務(wù)器2的SSLB2之間決定的加密方式����,對數(shù)據(jù)加密�����。加密完成后�, SSLA23通過鏈接P59向TCPA24送給被加密的數(shù)據(jù)。在圖lld中表示 向TCP A24送給的數(shù)據(jù)形式�。
TCP A24通過鏈接P60從SSL A23獲取數(shù)據(jù)后,將TCP報頭和目的 地IP地址附加到該數(shù)據(jù)后數(shù)據(jù)包化。對TCP報頭的目的地TCP端口號���, 采用服務(wù)器2的TCP B3的端口號t4�,對發(fā)送源TCP端口號采用TCP A24 的端口號t3�����。在此�����,TCPB3的端口號t4為發(fā)送加密數(shù)據(jù)時明示使用的端 口號�。例如,在發(fā)送加密郵件時����,使用SMTP over SSL的協(xié)議,使用465 號作為該目的地TCP端口號�。此外,對目的地IP地址���,設(shè)定服務(wù)器2 的IP地址i2��。 TCP A24附加TCP報頭和目的地IP地址后�,通過鏈接P60 向IP路由選擇A3送給數(shù)據(jù)包。TCP A24通過上述處理與TCP B3建立 TCP對話����,實現(xiàn)與TCP B3的穩(wěn)定的數(shù)據(jù)傳送。圖12中由虛線表示該TCP 對話�。
根據(jù)以上的說明,可知客戶應(yīng)用程序Al和服務(wù)器應(yīng)用程序B1之間 的數(shù)據(jù)傳送����,通過TCP A2和TCP A21之間的TCP對話1和TCP A24和 TCP B3之間的TCP對話2總計兩個TCP對話被中繼�。由此,通過由中 間驅(qū)動器All中繼TCP對話�,能夠使PCI側(cè)的SSL A23和服務(wù)器2側(cè)的 SSL B2的TCP/IP協(xié)議分層一致。由此����,在PC1側(cè)的SSLA23和服務(wù)器 側(cè)的SSLB2之間,可進行SSL協(xié)議的通信����,能夠在SSL對話的幵始時 交換必要的證明書信息和加密算法。
IP路由選擇A3�,通過鏈接P60從TCPA24獲取數(shù)據(jù)包后,參照目的 地IP地址�,通過鏈接P61將數(shù)據(jù)包發(fā)送給IP堆棧A4��。
IP堆棧A4通過鏈接P61從IP路由選擇A3獲取數(shù)據(jù)包后��,將IP報 頭�����、MAC報頭附加在數(shù)據(jù)包后生成幀����。在IP報頭的目的地IP地址��,采 用服務(wù)器2的IP地址i2���,在發(fā)送源IP地址采用PC1的IP地址il ���。此夕卜, 在MAC報頭的目的地MAC地址采用服務(wù)器2的MAC地址m2���,在發(fā) 送源的MAC地址采用PCI的MAC地址ml ��。IP堆棧A4將上述IP報頭�����、 MAC報頭插入數(shù)據(jù)包而生成幀后����,通過鏈接P62將幀送給驅(qū)動器A18。 圖lle表示被送給到幀解析部A18的數(shù)據(jù)形式�。
如圖13所示,幀解析部A18通過鏈接P62從IP堆棧A4獲取幀后����, 參照其報頭。幀解析部A18根據(jù)該報頭���,對所獲取的幀是否被加密進行 識別。幀解析部A18判斷為由鏈接P62送給的幀被加密����,通過鏈接P12 將幀送給驅(qū)動器A5。
以下的工作���,與圖3的第一實施方式完全相同�����,省略說明����。如上所 述,可確認(rèn)從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù)被加密��,并且被可靠地送到服 務(wù)器應(yīng)用程序B1����。
接下來,上述處理完成后�,這一次對從服務(wù)器應(yīng)用程序B1向客戶應(yīng) 用程序A1發(fā)送數(shù)據(jù)時的動作進行說明。其中����,與圖3所示的第一實施方 式的不同點僅在于PC1的動作,因此限定PC1的動作進行說明����。從而, 動作的說明��,始于從服務(wù)器2的服務(wù)器應(yīng)用程序Bl發(fā)送的數(shù)據(jù)被送到 PC1的NIC A6之前的鏈接P39的時刻�����。
驅(qū)動器A5�,通過鏈接P39從NICA6獲取幀后���,通過鏈接P40將幀 送給幀解析部A18。
幀解析部A18��,如圖14所示�����,通過鏈接P40從驅(qū)動器A5獲取幀后�, 將所獲取的幀直接通過鏈接P63送給IP堆棧A4。
IP堆棧A4通過鏈接P63從幀解析部A18獲取幀后����,從幀除去MAC 報頭、IP報頭而數(shù)據(jù)包化后���,通過鏈接P64將數(shù)據(jù)包送給IP路由選擇 A3。
IP路由選擇A3通過鏈接P64從IP堆棧A4獲取數(shù)據(jù)包后����,參照數(shù) 據(jù)包的TCP報頭。根據(jù)目的地TCP端口號�,識別數(shù)據(jù)包的目的地為TCP A24時,通過鏈接P65向TCP A24送給所獲取的數(shù)據(jù)包�。
TCP A24通過鏈接P65從IP路由選擇A3獲取數(shù)據(jù)包����,參照TCP報 頭來調(diào)查順序顛倒和數(shù)據(jù)包的缺失���。在順序顛倒和缺失都沒有產(chǎn)生時����, 從數(shù)據(jù)包除去TCP報頭�,通過鏈接P66向SSLA23送給數(shù)據(jù)。此時���,通 過將通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCPB3 (TCP對話2)��。
SSL A23通過鏈接P66從TCP A24獲取數(shù)據(jù)后���,采用與服務(wù)器2的 SSLB2之間決定的解密方式,對數(shù)據(jù)進行解密�����。SSL A23通過鏈接P67 向中繼應(yīng)用程序A22送給被解密的數(shù)據(jù)����。
中繼應(yīng)用程序A22通過鏈接P67從SSL A23獲取數(shù)據(jù)后��,為了向客
戶應(yīng)用程序Al發(fā)送數(shù)據(jù)��,而通過鏈接A68將數(shù)據(jù)送給假想NIC A20����。
假想NIC A20通過鏈接P68從中繼應(yīng)用程序A22獲取數(shù)據(jù)包后�,通 過鏈接P69,將數(shù)據(jù)包送給驅(qū)動器A19��。
驅(qū)動器A19通過鏈接P69從假想NIC A20獲取數(shù)據(jù)包后���,通過鏈接 P70�����,將數(shù)據(jù)包送給TCPA21�。
TCP A21通過鏈接P70從驅(qū)動器A19獲取數(shù)據(jù)時����,向數(shù)據(jù)附加TCP 報頭和目的地IP地址后進行數(shù)據(jù)包化�。對TCP報頭的目的地TCP端口 號,采用TCPA2的端口號tl,對發(fā)送源TCP端口號����,采用TCPB6的端 口號t2。此外�,對目的地IP地址,設(shè)定PC1的IP地址il����。 TCP A21附 加TCP報頭后,通過鏈接P46將數(shù)據(jù)包送給報頭變換部A13 (TCP對話 1)����。
如圖9所示,報頭變換部A13通過鏈接P46從TCPA21獲取數(shù)據(jù)包 后��,參照列表T2�,對所獲取的數(shù)據(jù)包附加對應(yīng)的MAC報頭和IP報頭而 成為幀。具體地來說��,按照發(fā)送源TCP,對所獲取的數(shù)據(jù)包附加對應(yīng)的 MAC報頭���、IP報頭���。例如���,通過鏈接P46獲取的數(shù)據(jù)包的發(fā)送源TCP 為TCPA21,因此作為該MAC地址和IP地址被登錄在圖10b的列表T2 的上級��。報頭變換部A13將IP報頭���、MAC報頭插入數(shù)據(jù)包后�,通過鏈 接P47將幀送給幀解析部A18���。圖llj為被送給幀解析部A18的數(shù)據(jù)形 式�。
以下的動作���,與圖3的第一實施例完全相同���,因此省略說明。 如上所述���,可確認(rèn)從服務(wù)器應(yīng)用程序B1發(fā)送的數(shù)據(jù)�,被加密并且被 可靠地送到客戶應(yīng)用程序A1��。
接下來對本實施方式的效果進行說明��。 本實施方式除了第一實施方式的效果之外,還有以下效果�。 本實施方式中�����,在第一實施方式中����,按照能夠采用已編入OS的SSL A23的功能來代替編入中間驅(qū)動器A11的內(nèi)部的SSLA16的功能的方式, 通過將需要加密的幀從中間驅(qū)動器All回送到0S�����,從而排除軟件開發(fā)者 將SSL A16安裝到中間驅(qū)動器的時間��。由此�����,減輕軟件開發(fā)者的負(fù)擔(dān)��, 可減少開發(fā)時間�����。 [第三實施方式]
接下來,對用于實施本發(fā)明的第二發(fā)明的第三實施方式��,參照附圖�����, 進行詳細(xì)的說明����。第三實施方式的網(wǎng)絡(luò)結(jié)構(gòu)與圖1的第一方式的網(wǎng)絡(luò)結(jié) 構(gòu)相同,因此省略說明����。
圖15表示搭載在本實施方式的各裝置的CPU以及NIC的通信處理 的圖。如果參照圖15��,則第三實施方式�����,能夠排除圖12所示的第二實施 方式中的PC1的結(jié)構(gòu)中的驅(qū)動器A19和假想NICA20����,并且將TCPA25 和中繼應(yīng)用程序A26直接回送連接這一點,與第二實施方式不同�。與此 相伴�����,各模塊的功能如下那樣變化��。
TCPA25的功能的概要與圖12所示的第二實施方式的TCPA21大致 相同,但傳遞其數(shù)據(jù)的前一個模塊不是驅(qū)動器A19�,而是中繼應(yīng)用程序 A26這一點,與第二實施方式的TCPA21不同�。
中繼應(yīng)用程序A26的功能的概要與圖12所示的第二實施方式的中繼 應(yīng)用程序A22大致相同,但傳遞其數(shù)據(jù)的前一個模塊不是假想NIC A20��, 而是TCPA25這一點����,與第二實施方式的中繼應(yīng)用程序A22不同。
圖15所示的構(gòu)成要素中除上述構(gòu)成要素以外的模塊的功能��,與圖12 所示的第二實施方式完全相同�,因此省略說明。
參照圖15�,對本實施方式的工作進行以下說明。與圖12所示的第一 實施方式不同的點僅在于PC1的工作�����,因此限定于PC1的動作進行說明。
首先�,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明。其中����,鏈接P5之前的動作,與第二實 施方式相同���,因此動作的說明從鏈接P6的時刻開始�。
TCP A25通過鏈接P6從報頭變換部A13獲取數(shù)據(jù)包后�����,參照TCP 報頭檢測順序顛倒或數(shù)據(jù)包缺失����,在順序顛倒和缺失都沒有產(chǎn)生時,從 數(shù)據(jù)包除去報頭�����,通過鏈接P71向中繼應(yīng)用程序A26送給數(shù)據(jù)����。此時�, 通過將通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCP A2����,終結(jié)來自TCP A2的TCP對話。由于TCPA25的TCP端口號與TCPB6的TCP端口號 t2—致����,因此從TCPA2看,正好觀察到在TCPA2和TCPB6之間建立 TCP對話�����,但實際的TCP對話在TCP A2和TCP A25之間建立��。圖15
中用虛線來表示該TCP對話(TCP對話1)�。
中繼應(yīng)用程序A26�����,通過鏈接P71從假想TCP A25獲取數(shù)據(jù)后����,為 了對數(shù)據(jù)加密而實現(xiàn)防止盜取,而通過鏈接P58將數(shù)據(jù)送給SSLA23�����。
以下的動作與圖12的第二實施方式完全相同,因此省略說明�����。
如上所述�����,可確認(rèn)從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù)���,被加密并且被可 靠地送到服務(wù)器應(yīng)用程序B1�����。
接下來�����,上述處理完成后��,這一次對從服務(wù)器應(yīng)用程序B1向客戶應(yīng) 用程序A1發(fā)送數(shù)據(jù)時的動作進行說明���。其中��,與圖12所示的第二實施 方式的不同點僅在于PC1側(cè)的中繼應(yīng)用程序A26和TCPA25的動作�����,因 此限定于它們進行說明�����。從而��,動作的說明���,始于從服務(wù)器2的服務(wù)器 應(yīng)用程序B1發(fā)送的數(shù)據(jù)被送到PC1的中繼應(yīng)用程序A26之前的鏈接P67 的時刻�����。
中繼應(yīng)用程序A26通過鏈接P67從SSL A23獲取數(shù)據(jù)后����,為了向客 戶應(yīng)用程序Al發(fā)送數(shù)據(jù),而通過鏈接A72將數(shù)據(jù)送給TCP A25����。
TCP A25通過鏈接P72從中繼應(yīng)用程序A26獲取數(shù)據(jù)時���,向數(shù)據(jù)附 加TCP報頭和目的地IP地址后進行數(shù)據(jù)包化。對TCP報頭的目的地TCP 端口號�,采用TCPA2的端口號tl,對發(fā)送源TCP端口號�,采用TCPB6 的端口號t2。此外�����,對目的地IP地址�����,設(shè)定PC1的IP地址il�����。 TCPA25 附加TCP報頭后�,通過鏈接P46將數(shù)據(jù)包送給報頭變換部A13 (TCP對 話l)。
以下的動作�����,與圖12的第二實施例完全相同,因此省略說明��。 如上所述�,可確認(rèn)從服務(wù)器應(yīng)用程序B1發(fā)送的數(shù)據(jù),被加密并且被 可靠地送到客戶應(yīng)用程序A1��。 (效果)
接下來對本實施方式的效果進行說明����。 本實施方式除了第二實施方式的效果之外,還有以下效果��。 在本實施方式中�,在第二實施方式中,按照能夠排除組入到PC1的 驅(qū)動器A19和假想NIC A20的方式�����,在TCP A25和中繼應(yīng)用程序A16 之間進行回送處理�,省去軟件開發(fā)者開發(fā)上述模塊的時間��。由此�,由此, 減輕軟件開發(fā)者的負(fù)擔(dān)����,可減少開發(fā)時間���。
此外,在第二實施方式中����,在PC1中,假想NIC A20和NIC A6被 橋連接時���,存在安全程度降低的危險性��,但在本實施方式中��,由于除去 了假想NICA20��,因此不進行橋連接�����,可減少采用安全對策的麻煩�����。
參照圖16���,對本實施方式的工作進行以下說明�����。與圖15所示的第三 因此限定^:進行說明���。 '、�����、"�����; �、
首先,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明��。其中����,鏈接P4之前的動作���,與第三實 施方式相同�����,因此動作的說明從鏈接P5的時刻開始�。
如圖17所示,報頭變換部A27通過鏈接P5從幀解析部A18接收數(shù) 據(jù)包��,取得所獲取的幀的報頭后�,對于其MAC地址和IP地址,使發(fā)送 源和目的地的關(guān)系反轉(zhuǎn)����。圖18表示該例。例如���,圖18a為輸入到報頭變 換部A27的幀�,從報頭變換部A27輸出的幀如圖18b所示�����,將該發(fā)送源 地址和目標(biāo)地址的關(guān)系交替�。報頭變換部A27對幀的報頭實施這種變換 后,通過鏈接P73向幀解析部A18發(fā)送幀���。
如圖7所示�����,幀解析部A18通過鏈接P73從報頭變換部A27獲取幀 后�,參照其報頭。在此作為所參照的報頭��,可舉出MAC報頭����、IP報頭 等。幀解析部A18根據(jù)該報頭�����,識別幀的目的地是哪一個終端��。由鏈接 P73被送出的幀的目的地IP為PC1的IP地址il��,因此按照圖7的步驟 S25���,幀解析部A18通過鏈接P74將幀送給IP堆棧A4��。
IP堆棧A4通過鏈接P74從幀解析部A18獲取數(shù)據(jù)包后���,從數(shù)據(jù)包 除去MAC報頭���、IP報頭而數(shù)據(jù)包化后��,通過鏈接P75將數(shù)據(jù)包送給IP 路由選擇A3��。
IP路由選擇A3通過鏈接P75從IP堆棧A4獲取數(shù)據(jù)包后�����,參照數(shù) 據(jù)包的TCP報頭���。根據(jù)目的地TCP端口號�����,識別數(shù)據(jù)包的目的地為TCP A29時���,通過鏈接P76向TCP A29送給所獲取的數(shù)據(jù)包。
TCP A29通過鏈接P76從IP路由選擇A3獲取數(shù)據(jù)包后���,參照TCP 報頭檢測順序顛倒或數(shù)據(jù)包缺失�,在順序顛倒和缺失都沒有產(chǎn)生時,從 數(shù)據(jù)包除去TCP報頭�����,通過鏈接P71向中繼應(yīng)用程序A26送給數(shù)據(jù)����。此 時,通過將通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給TCP A2�����,終結(jié)來自 TCP A2的TCP對話���。由于TCPA29的TCP端口號與TCPB6的TCP端 口號t2—致��,因此從TCPA2看����,正好觀察到在TCPA2和TCPB6之間 建立TCP對話����,但實際的TCP對話在TCPA2和TCPA29之間建立。圖 16中用虛線來表示該TCP對話(TCP對話1)。
以下的動作與圖15的第三實施方式完全相同�,因此省略說明。
如上所述��,可確認(rèn)從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù)�,被加密并且被可靠地送到服務(wù)器應(yīng)用程序B1。
接下來���,上述處理完成后,這一次對從服務(wù)器應(yīng)用程序B1向客戶應(yīng)
用程序A1發(fā)送數(shù)據(jù)時的動作進行說明�����。其中���,與圖15所示的第三實施 方式的不同點僅在于PC1側(cè)的TCPA29和報頭變換部A27的動作��,因此 限定于此進行說明�����。從而�,動作的說明���,始于從服務(wù)器2的服務(wù)器應(yīng)用 程序Bl發(fā)送的數(shù)據(jù)被送到PC1的中繼應(yīng)用程序A26之前的鏈接P67的 時刻�����。
中繼應(yīng)用程序A26通過鏈接P67從SSL A23獲取數(shù)據(jù)后��,為了向客 戶應(yīng)用程序Al發(fā)送數(shù)據(jù)��,而通過鏈接A72將數(shù)據(jù)送給TCP A29����。
TCP A29通過鏈接P72從中繼應(yīng)用程序A26獲取數(shù)據(jù)時,向數(shù)據(jù)附 加TCP報頭和目的地IP地址后進行數(shù)據(jù)包化��。對TCP報頭的目的地TCP 端口號�,采用TCPA2的端口號tl,對發(fā)送源TCP端口號�����,采用TCPB6 的端口號t2�����。此外���,對目的地IP地址���,設(shè)定服務(wù)器2的IP地址i2��。 TCP A29附加TCP報頭后��,通過鏈接P79將數(shù)據(jù)包送給IP路由選擇A3 (TCP 對話1)���。
IP路由選擇A3通過鏈接P79從TCP A29獲取數(shù)據(jù)包后,參照目的 地IP地址�,通過鏈接P80向IP堆棧A4發(fā)送數(shù)據(jù)包�����。
IP堆棧A4通過鏈接P80從IP路由選擇A3獲取數(shù)據(jù)包后���,向數(shù)據(jù) 包附加IP報頭以及MAC報頭來生成幀��。采用服務(wù)器2的IP地址i2作為 IP報頭的目的地IP地址�,采用PCI的IP地址il作為發(fā)送源IP地址����。此 外�,采用服務(wù)器2的MAC地址m2作為MAC報頭的目的地MAC地址����, 采用PCI的MAC地址ml作為發(fā)送源MAC地址。IP堆棧A4向數(shù)據(jù)包 插入這種IP報頭�����、MAC報頭后����,通過鏈接P81將幀送給幀解析部A18。 圖18c表示送給幀解析部A18的數(shù)據(jù)形式���。
幀解析部A18�,如圖13所示�����,通過鏈接P81從IP堆棧A4獲取幀后����, 參照其報頭。幀解析部A18根據(jù)該報頭對所獲取的數(shù)據(jù)是否被加密進行 識別����。幀解析部A18判斷為由鏈接P81送出的幀被加密��,通過鏈接P82 將幀送給報頭變換部A27�����。
如圖17所示��,報頭變換部A27通過鏈接P82從幀解析部A18獲取 幀�,取得所獲取的幀的報頭后�����,使這里記載的MAC地址和IP地址的發(fā)
送源和目的地的關(guān)系反轉(zhuǎn)�����。例如��,設(shè)圖18c表示輸入幀��,則從報頭變換 部A27輸出的幀如圖18d所示����,將該MAC地址和IP地址的發(fā)送源地址 和目標(biāo)地址的關(guān)系相反。報頭變換部A27對幀的報頭實施這種變換后�, 通過鏈接P47向幀解析部A18發(fā)送幀。
以下的動作����,與圖15的第三實施例完全相同,因此省略說明�����。 如上所述��,可確認(rèn)從服務(wù)器應(yīng)用程序B1發(fā)送的數(shù)據(jù)���,被加密并且被 可靠地送到客戶應(yīng)用程序A1 �。 (效果)
接下來對本實施方式的效果進行說明����。
本實施方式除了第三實施方式的效果之外,還有以下效果�。
在本實施方式中,在第三實施方式中�,按照能夠由已編入OS的TCP A29的功能來代替編入中間驅(qū)動器A11的內(nèi)部的TCPA14的功能的方式, 通過在中間驅(qū)動器交替需要加密的幀的發(fā)送源地址和目的地地址����,從而 能夠排除軟件開發(fā)者在中間驅(qū)動器安裝TCP A14的麻煩���。從而減輕軟件 開發(fā)者的負(fù)擔(dān),可減少開發(fā)時間���。
接下來����,對用于實施本發(fā)明的第三發(fā)明的第五實施方式���,參照附圖�, 進行詳細(xì)的說明�。圖19表示第五實施方式的網(wǎng)絡(luò)結(jié)構(gòu),具備PC1�����、服務(wù) 器2���、集線器3、網(wǎng)關(guān)4而構(gòu)成���。
PC1與集線器3和網(wǎng)絡(luò)5連接��。這里�����,網(wǎng)絡(luò)為LAN (Local Area Network) �、 WAN (Wide Area Network)以及互聯(lián)網(wǎng)等本技術(shù)領(lǐng)域的技 術(shù)人員所聽所想象到的網(wǎng)絡(luò)。對PC1從網(wǎng)絡(luò)5獲取幀�,并且對所獲取的 幀進行期望的處理。此外����,PCI向網(wǎng)絡(luò)5發(fā)送通過PC1的內(nèi)部處理所生 成的幀。
服務(wù)器2以及網(wǎng)關(guān)4與集線器3連接�,從集線器3獲取幀,并且對 所獲取的幀進行期望的處理���。此外�,服務(wù)器2以及網(wǎng)關(guān)4向集線器3發(fā) 送通過服務(wù)器2的內(nèi)部處理所生成的幀��。
集線器3與網(wǎng)絡(luò)5��、網(wǎng)關(guān)4和服務(wù)器2連接。集線器3從網(wǎng)絡(luò)5�����、網(wǎng) 關(guān)4和服務(wù)器2獲取幀后�����,對所獲取的幀進行解析���,基于該解析結(jié)果向
適當(dāng)?shù)亩丝趥魉蛶?br>
圖20為表示本實施方式的各裝置中搭載的CPU以及NIC的通信處 理的圖���。參照圖20,第五實施方式的PC1的結(jié)構(gòu)與圖3所示的第一實施 方式中的PC1的結(jié)構(gòu)相比,中間驅(qū)動器All的模塊結(jié)構(gòu)不同�,從圖3的 中間驅(qū)動器All除去報頭變換部A13以及TCPA17。與此相伴����,各模塊
的功能如下那樣變化。
中繼應(yīng)用程序A31的功能的概要與圖3所示的第一實施方式的中繼 應(yīng)用程序A15大致相同�����,但傳遞其數(shù)據(jù)的前一個模塊不是TCPA17���,而 是幀解析部A30這一點�����,與第一實施方式的中繼應(yīng)用程序A15不同����。
接下來�����,對幀解析部A30的功能進行說明���。幀解析部與IP堆棧A4�、 報頭變換部A33以及中繼應(yīng)用程序A31連接���。圖21�、 22���、 23以及24為 用于詳細(xì)地說明幀解析部A30地動作流程圖�。
圖21表示幀從IP堆棧A4到達(dá)時的幀解析部A30的動作流程����。圖 21用步驟S8置換圖5的步驟S6這一點與圖5不同����。其他處理與圖5相 同����,因此省略說明。
另一方面���,圖22表示幀從驅(qū)動器A5到達(dá)時的幀解析部A30的動作 流程�。圖22用步驟S17置換圖6的步驟S15這一點與圖6不同��。其他處 理與圖6相同����,因此省略說明。
另一方面��,圖23表示幀從報頭變換部A33到達(dá)時的幀解析部A30 的動作流程�。如圖23所示,幀解析部A30將從報頭變換部A33獲取的 幀發(fā)送到驅(qū)動器A5 (步驟S42)���。
另一方面��,圖24表示幀從中繼應(yīng)用程序A31到達(dá)時的幀解析部A30 的動作流程���。幀解析部A30將從中繼應(yīng)用程序A31獲取的幀發(fā)送給IP 堆棧A4 (步驟S52)��。
接下來,對報頭變換部A33的功能進行說明�����。報頭變換部A33與幀 解析部A30和TCP A14連接�。圖25和圖26為用于詳細(xì)地說明報頭變換 部A33的處理的動作流程圖。圖25表示幀從幀解析部A30到達(dá)時的報 頭變換部A33的動作流程����。報頭變換部A33首先刪除從幀解析部A30獲 取的幀的MAC報頭和IP報頭后(步驟S33),將幀發(fā)送給TCPA14 (步 驟S34)�。
另一方面,圖26表示幀從TCP A14到達(dá)時的報頭變換部A33的動作 流程��。圖26用步驟S46置換圖9的步驟S42這點與圖9不同����。在步驟 S46,進行取得與從TCP A14獲取的幀對應(yīng)的MAC報頭和IP報頭的處 理�。圖26的其他處理與圖9相同��,因此省略說明��。
接下來����,對圖20所示的網(wǎng)關(guān)4的各構(gòu)成要素的功能進行說明�。首先, 對在網(wǎng)關(guān)4的CPU內(nèi)工作的軟件內(nèi)�、不包括在OS并位于上位層的軟件 進行描述。網(wǎng)關(guān)4�����,具備中繼服務(wù)器應(yīng)用程序D1作為相當(dāng)于此的軟件����。
中繼服務(wù)器應(yīng)用程序具有將從SSLD2到達(dá)的數(shù)據(jù)作為幀轉(zhuǎn)發(fā)到假想 NIC D10的功能。此外���,中繼服務(wù)器應(yīng)用程序Dl具有通過TCP A14和 TCP D3之間的TCP對話所引起的通信���,而將從假想NIC D10到達(dá)的數(shù) 據(jù)傳送到SSLD2的功能。
接下來��,對網(wǎng)關(guān)4的包括在OS中的軟件的功能進行說明。網(wǎng)關(guān)4具 備SSL D2����、 TCP D3、 IP路由選擇D4�、 IP堆棧D5以及橋D6作為包括 在OS中的軟件。上述網(wǎng)關(guān)的功能與圖3的服務(wù)器2的模塊完全相同����,因 此省略說明���。
接下來�����,對網(wǎng)關(guān)4的不包括在OS且位于下位層的軟件的功能進行說 明���,網(wǎng)關(guān)4具有驅(qū)動器D7和驅(qū)動器D9作為相當(dāng)于此的軟件,但上述軟 件的功能與圖3的服務(wù)器2的驅(qū)動器B7完全相同�����,因此省略說明�。
接下來�����,對網(wǎng)關(guān)4的硬件的功能進行說明����。作為硬件��,網(wǎng)關(guān)4具備 NIC D8和假想NIC D10���,上述模塊的功能與圖12的PC1的模塊完全相 同�����,因此省略說明�����。[結(jié)構(gòu)的說明]接下來���,參照附圖對用于實施本發(fā)明的第三發(fā)明的第六實施方式詳 細(xì)地進行說明。第6實施方式的網(wǎng)絡(luò)結(jié)構(gòu)與圖19的第五實施方式的網(wǎng)絡(luò) 結(jié)構(gòu)相同�����,因此省略說明。圖28為表示搭載在本實施方式的各裝置的CPU以及NIC的通信處 理的圖��。參照圖28���,第六實施方式��,除了圖20所示的第五實施方式中的 PC1的結(jié)構(gòu)外����,還有驅(qū)動器A34和假想NICA20這點�����,與第五實施方式 不同�。驅(qū)動器A34的功能與圖12所示的驅(qū)動器A19的功能相同����,因此省略 說明。假想NICA20的功能���,與圖12所示的假想NICA20的功能相同�����,因 此省略說明����。此外,參照圖28���,第六實施方式�,對于第五實施方式中安裝在中間 驅(qū)動器All的內(nèi)部的模塊中能采用OS功能代替的模塊��,從中間驅(qū)動器 All分開這一點�,與第五實施方式不同。具體地來說��,第六實施方式���, 從中間驅(qū)動器All分開編入第五實施方式的中間驅(qū)動器All的SSL A16 以及TCPA14���,并且采用OS的功能來代替上述模塊。此外��,第六實施方 式���,從中間驅(qū)動器還分開中繼應(yīng)用程序����,并且經(jīng)由假想NIC將中間驅(qū)動 器和中繼應(yīng)用程序回送連接。與此相伴�,各模塊的功能如下那樣變化。幀解析部A36與IP堆棧A4�����、驅(qū)動器A5以及驅(qū)動器A34連接����。圖29為用于詳細(xì)地說明幀解析部A18的處理的動作流程圖,表示幀從IP 堆棧A4到達(dá)時的處理��。幀解析部A36由步驟S9置換圖6的步驟S15這 一點���,與第五實施方式的幀解析部A30不同。另一方面��,幀從驅(qū)動器A5到達(dá)時的幀解析部A36的動作流程與圖 14完全相同�,因此省略說明。另外��,幀從驅(qū)動器A34到達(dá)時的幀解析部A36的動作流程與圖7完 全相同,因此省略說明�。圖28所示的中繼應(yīng)用程序A22、 TCPA24�、 SSL A23的功能與圖12 中所示的中繼應(yīng)用程序A22、 TCPA24�、 SSLA23的功能相同,因此省略 說明����。圖28所示的構(gòu)成要素中上述構(gòu)成要素之外的模塊的功能,與圖20 所示的第五實施方式完全相同����,因此省略說明。 [動作的說明]參照圖28���,對本實施方式的動作進行以下說明����。與圖20所示的第五 實施方式不同的點僅在于PC1的工作���,因此限定于PC1的工作進行說明�����。首先�����,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明。其中,鏈接P3之前的動作�,與第五實 施方式相同����,因此動作的說明從鏈接P4的時刻開始�。如圖29所示,幀解析部A36通過鏈接P4從IP堆棧A4獲取幀后����, 參照其報頭,根據(jù)該報頭����,識別所獲取的數(shù)據(jù)是否被加密。幀解析部A18 判斷為由鏈接P4送出的幀沒有被加密�,通過鏈接P120將幀送給驅(qū)動器 A34。驅(qū)動器A34通過鏈接P120從幀解析部A36獲取幀后��,通過鏈接P121 將幀發(fā)送給假想NICA20�。假想NIC A20通過鏈接P121從驅(qū)動器A34獲取幀后,通過鏈接P123 將幀送給中繼應(yīng)用程序A22�。中繼應(yīng)用程序A22通過鏈接P123從假想NIC A20獲取數(shù)據(jù)后,為了 對數(shù)據(jù)包加密而實現(xiàn)防止盜取����,而通過鏈接P124將數(shù)據(jù)送給SSLA23。SSL A23通過鏈接P124從中繼應(yīng)用程序A22獲取數(shù)據(jù)后�,使用預(yù)先 與SSLD2之間決定的加密方式,對數(shù)據(jù)包加密�。加密完成后,SSLA23
通過鏈接P125向TCP A24送給被加密的數(shù)據(jù)�。TCP A24通過鏈接P125從SSL A23獲取數(shù)據(jù)后,將TCP報頭和目的 地IP地址附加到數(shù)據(jù)后進行數(shù)據(jù)包化���。TCP報頭的目的地TCP端口號中����, 采用網(wǎng)關(guān)4的TCP D3的端口號t6��,發(fā)送源TCP端口號采用TCP A24的 端口號t5����。此外,對目的地IP地址�����,設(shè)定網(wǎng)關(guān)4的IP地址i3。 TCPA24 附加TCP報頭和目的地IP地址后�����,通過鏈接P126向IP路由選擇A3送 給數(shù)據(jù)包����。TCP A24通過上述處理與TCPD3建立TCP對話,實現(xiàn)與TCP D3的穩(wěn)定的數(shù)據(jù)傳送�。圖27中由虛線表示該TCP對話(TCP對話2)。IP路由選擇A3��,通過鏈接P126從TCPA24獲取數(shù)據(jù)包后��,參照目 的地IP地址��,通過鏈接P127將數(shù)據(jù)包發(fā)送給IP堆棧A4��。IP堆棧A4通過鏈接P127從IP路由選擇A3獲取數(shù)據(jù)包后��,將IP 報頭���、MAC報頭附加在數(shù)據(jù)包后生成幀��。在IP報頭的目的地IP地址�, 采用網(wǎng)關(guān)4的IP地址i3���,在發(fā)送源IP地址采用PC1的lP地址il���。此外, 在MAC報頭的目的地MAC地址采用網(wǎng)關(guān)4的MAC地址m3����,在發(fā)送 源的MAC地址采用PC1的MAC地址ml。 IP堆棧A4將上述IP報頭����、 MAC報頭插入數(shù)據(jù)包后,通過鏈接P128將幀送給幀解析部A36��。如圖29所示�����,幀解析部A36通過鏈接P128從IP堆棧A4獲取幀后�, 參照其報頭,識別所獲取的數(shù)據(jù)是否被加密�����。幀解析部A36判斷為由鏈 接P128送出的幀被加密,通過鏈接P88將幀送給驅(qū)動器A5以下的動作���,與圖20的第五實施例完全相同����,因此省略說明��。如上所述�,可確認(rèn)從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù),被加密并且被可 靠地送到服務(wù)器應(yīng)用程序B1����。此外,上述處理結(jié)束后�����,對于從服務(wù)器應(yīng)用程序B1向客戶應(yīng)用程序 Al發(fā)送數(shù)據(jù)時的動作��,由于數(shù)據(jù)沿著相反的方向經(jīng)過上述路徑��,因此省 略說明。(效果)接下來對本實施方式的效果進行說明����。 本實施方式除了第五實施方式的效果之外,還有以下效果�。 本實施方式中,在第五實施方式中����,按照能夠由已編入OS的SSL A23 的功能來代替編入中間驅(qū)動器All的內(nèi)部的SSLA16的功能的方式��,通 過在中間驅(qū)動器交替需要加密的幀���,從而能夠排除軟件開發(fā)者在中間驅(qū)動器安裝SSL A16的麻煩���。從而減輕軟件開發(fā)者的負(fù)擔(dān),可減少開發(fā)時 間���。[第七實施方式] [結(jié)構(gòu)的說明]接下來�����,對用于實施本發(fā)明的第三發(fā)明的第七實施方式�����,參照附圖���, 進行詳細(xì)的說明����。第七實施方式的網(wǎng)絡(luò)結(jié)構(gòu)與圖19的第五實施方式的網(wǎng) 絡(luò)結(jié)構(gòu)相同��,因此省略說明�����。圖30為表示搭載在本實施方式的各裝置的CPU以及NIC的通信處 理的圖����。參照圖30,第七實施方式除去圖28所示的第五實施方式中的 PC1的結(jié)構(gòu)中驅(qū)動器A34和假想NICA20,并且將幀解析部A37和中繼 應(yīng)用程序A38直接構(gòu)成回送(loop-back)連接這點�,與第六實施方式不 同。與此相伴��,各模塊的功能如下那樣變化���。幀解析部A37的功能的概要與圖28所示的第六實施方式的中繼應(yīng)用 程序A22大致相同�,但傳遞其數(shù)據(jù)的前一個模塊不是驅(qū)動器A34,而是 中繼應(yīng)用程序A26這一點�����,與第六實施方式的幀解析部A36不同����。中繼應(yīng)用程序A26的功能的概要與圖28所示的第六實施方式的中繼 應(yīng)用程序A22大致相同,但傳遞其數(shù)據(jù)的前一個模塊不是假想NIC A20, 而是幀解析部A37這一點���,與第六實施方式的中繼應(yīng)用程序A22不同。圖30所示的構(gòu)成要素中除上述構(gòu)成要素以外的模塊的功能���,與圖28 所示的第六實施方式完全相同��,因此省略說明����。[動作的說明]參照圖30��,對本實施方式的工作進行以下說明��。與圖28所示的第六 實施方式不同的點僅在于PC1的工作����,因此限定于PC1的動作進行說明��。首先�����,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明���。其中,鏈接P3之前的動作��,與第六實 施方式相同���,因此動作的說明從鏈接P4的時刻開始��。如圖29所示�����,幀解析部A37通過鏈接P4從IP堆棧A4獲取幀后���, 參照其報頭,識別所獲取的數(shù)據(jù)是否被加密��。幀解析部A37判斷為由鏈 接P4送出的幀沒有被加密,通過鏈接P129將幀送給中繼應(yīng)用程序A38�。 中繼應(yīng)用程序A38通過鏈接P129從幀解析部A37獲取數(shù)據(jù)后,為 了對數(shù)據(jù)加密而實現(xiàn)防止盜取���,而通過鏈接P124將數(shù)據(jù)送給SSL A23��。以下的動作與圖28的第六實施例完全相同���,因此省略說明。如上所 述����,可確認(rèn)從客戶應(yīng)用程序A1發(fā)送的數(shù)據(jù),被加密并且被可靠地送到服 務(wù)器應(yīng)用程序B1�����。此外�,上述處理結(jié)束后�����,對于從服務(wù)器應(yīng)用程序B1向客戶應(yīng)用程序 Al發(fā)送數(shù)據(jù)時的動作�,由于數(shù)據(jù)沿著相反的方向經(jīng)過上述路徑���,因此省 略說明。(效果)接下來對本實施方式的效果進行說明�。本實施方式除了第六實施方式的效果之外,還有以下效果��。在本實施方式中�,按照能夠排除在第六實施方式中編入到PC1的驅(qū) 動器A34和假想NIC A20的方式,在幀解析部A37和中繼應(yīng)用程序A38 之間進行回送處理��,節(jié)省軟件開發(fā)者開始上述模塊的時間����。由此,減輕 軟件開發(fā)者的負(fù)擔(dān)�,能夠減少開發(fā)時間。此外���,在第六實施方式中�����,在PC1中��,假想NIC A20和NIC A6被 橋連接時��,存在安全等級降低的危險性���,但在本實施方式中完全除去假 想NICA20����,因此不可進行橋連接��,能夠減輕尋求安全對策的麻煩�。[第八實施方式][結(jié)構(gòu)的說明]接下來,參照附圖對用于實施本發(fā)明的第四發(fā)明的第八實施方式詳 細(xì)地進行說明�����。圖31為表示第八實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖�,除了圖19 所示的網(wǎng)絡(luò)結(jié)構(gòu)外,還有管理服務(wù)器6這一點不同�����。在此����,圖31中沒有 記載網(wǎng)關(guān)5�,但與圖19同樣���,也可將網(wǎng)關(guān)5與集線器3連接。管理服務(wù) 器6具有從PC1獲取幀����,并且對所獲取的幀執(zhí)行期望的處理后,向PC1 返回某些響應(yīng)的功能��。圖32為表示搭載在本實施方式的各裝置的CPU和NIC的通信處理 的圖���。參照圖32��,第八實施方式��,除了圖3所示的第一實施方式中的PC1 的結(jié)構(gòu)之外�����,還具有加密設(shè)定應(yīng)用程序A40這點��,不同����。加密設(shè)定應(yīng)用程序A40為不包括在OS且位于上位層的軟件�����。加密
設(shè)定應(yīng)用程序A40具有按照網(wǎng)絡(luò)環(huán)境,由中間驅(qū)動器All判別是否對幀 加密����,基于其判斷結(jié)果,改變幀解析部A41的設(shè)定的功能��。加密設(shè)定應(yīng) 用程序A40����,在判斷是否對幀加密時,進行各種處理��,基于其解析結(jié)果�����, 能夠判斷是否進行加密�����。該處理包括以下那樣的處理����。向管理服務(wù)器6送給ICMP回應(yīng)請求,是否返回其響應(yīng)����。 向管理服務(wù)器6發(fā)送特殊的幀,是否返回其響應(yīng)���。 對PC1當(dāng)前設(shè)定的IP地址進行調(diào)查�,IP地址是否為規(guī)定的值��。 加密設(shè)定應(yīng)用程序A40按照上述處理的任一個或組合結(jié)果���,判斷是 否對幀加密�。此外�����,關(guān)于由加密設(shè)定應(yīng)用程序A40進行上述處理的定時����,可有各 種考慮,可考慮例如在每次進行數(shù)據(jù)包的收發(fā)時進行或以某個時間間隔 定期進行�、在PC起動時進行、在用戶指定時等進行或者上述任一個的組 合。由此�,隨著向PC1追加加密設(shè)定應(yīng)用程序A40,幀解析部如下那樣 變更���。幀解析部41與IP堆棧A4���、驅(qū)動器A5以及報頭變換部A13連接。 圖33�、圖34為用于詳細(xì)地說明幀解析部A41的處理的動作流程圖。圖 33為幀從IP堆棧A4到達(dá)時的幀解析部A41的動作流程圖���。圖33除了 圖5的流程之外����,還包括步驟S8這點與第一實施方式的幀解析部A12 不同�。步驟S8為基于上述加密設(shè)定應(yīng)用程序A40的判斷結(jié)果,進行是否 由中間驅(qū)動器對數(shù)據(jù)包進行加密的分支處理的步驟��。如果加密設(shè)定應(yīng)用 程序A40判斷為由中間驅(qū)動器對數(shù)據(jù)包進行加密時�,則加密設(shè)定有效。 另一方面����,加密設(shè)定應(yīng)用程序A40判斷為不由中間驅(qū)動器對幀進行加密 時����,加密設(shè)定無效��。另一方面���,圖34表示幀從驅(qū)動器A5到達(dá)時的幀解析部A41的動作 流程。圖34除了圖6的流程之外����,還包括步驟S18這點,與第一實施方 式的幀解析部A12不同�����。步驟S18為基于上述的加密設(shè)定應(yīng)用程序A40 的判斷結(jié)果�,進行是否由中間驅(qū)動器對幀進行解密的分支處理的步驟。此外��,幀從報頭變換部A13到達(dá)時的幀解析部A41的動作流程����,與 圖7完全相同,因此省略說明����。[動作的說明]
參照圖32����,對本實施方式進行以下說明����。關(guān)于通常的幀的收發(fā)處理,與第一實施方式相同���,因此動作說明只限于加密設(shè)定模塊A40的動作進 行說明�����。加密設(shè)定模塊A40以預(yù)先設(shè)定的定時執(zhí)行是否由中間驅(qū)動器All進 行加密的判別處理���。進行下述任一個或?qū)⑺鼈兘M合的處理作為在此進行的判斷處理-向管理服務(wù)器6送給ICMP回應(yīng)請求,是否返回其響應(yīng)��;向管理服務(wù)器6發(fā)送特殊的幀���,是否返回其響應(yīng)��;對PC1中設(shè)定的IP地址進行調(diào)查�����,IP地址是否為規(guī)定的值��;進行以上處理的結(jié)果�,例如為-從管理服務(wù)器6返回ICMP回應(yīng)響應(yīng),從管理服務(wù)器6返回特殊幀的響應(yīng)�����,PC1中當(dāng)前設(shè)定的IP地址為規(guī)定的值的條件中任一個或它們的組合成立時�����,加密設(shè)定模塊A40改變幀解 析部A41的設(shè)定�����,使步驟S8以及步驟S18的加密設(shè)定有效���。此外,在上 述條件不成立時�����,加密設(shè)定模塊A40改變幀解析部A41的設(shè)定,使步驟 S8以及步驟S18的加密設(shè)定無效�。通過進行以上的工作,確認(rèn)按照PC的網(wǎng)絡(luò)環(huán)境�,可自動設(shè)定中間驅(qū) 動器的加密。 (效果)接下來���,對本實施方式的效果進行說明�����。在本實施方式中����,如上所述���,通過將加密設(shè)定模塊A40組入PC1�, 從而按照網(wǎng)絡(luò)環(huán)境�����,可自動改變中間驅(qū)動器的加密功能����,因此按照PC1 的場所的移動�����,能夠省去用戶通過手動改變加密功能的麻煩��。例如��,在公司內(nèi)LAN中使用PC時��,由于沒有盜取危險性�����,因此將 加密設(shè)定置為OFF,反過來����,在網(wǎng)吧(Net cafe)使用PC時,由于具有 盜取的危險性����,因此將加密設(shè)定變?yōu)镺N,但通過采用該加密設(shè)定模塊 A40可自動地被執(zhí)行���。上述設(shè)定變更全部不需要用戶手動進行����。此外,由于用戶不需要手動變更加密的設(shè)定�,因此沒有產(chǎn)生設(shè)定錯 誤的危險性,也能排除通過設(shè)定錯誤而引起信息泄漏的危險性�����。[第九實施方式] [結(jié)構(gòu)的說明]接下來��,參照附圖對用于實施本發(fā)明的第五發(fā)明的第九實施方式進行詳細(xì)的說明��。圖35為表示第九實施方式的網(wǎng)絡(luò)結(jié)構(gòu)的圖�����,除了圖3所 示的第一實施方式的結(jié)構(gòu)之外���,具有網(wǎng)絡(luò)5和網(wǎng)關(guān)7����。在此����,網(wǎng)絡(luò)5在圖19所示的第五實施方式的結(jié)構(gòu)中己說明完成�����,因 此省略說明����。網(wǎng)關(guān)7與集線器3和網(wǎng)絡(luò)5連接�����。網(wǎng)關(guān)7從集線器3和網(wǎng)絡(luò)5獲取 幀后���,對所獲取的幀進行解析����,對幀實施期望的處理后�,將幀傳送給適 當(dāng)?shù)亩丝?���。圖36為表示搭載在本實施方式的各裝置的CPU和NIC的通信處理 的圖。參照圖36���,可知第九實施方式的PC1的結(jié)構(gòu)����,與圖3所示的第一 實施方式中的PC1的結(jié)構(gòu)比較,除去了中間驅(qū)動器All���。與此相伴�����,搭載圖1的PC1中的中間驅(qū)動器All的功能�,被轉(zhuǎn)移給 網(wǎng)關(guān)7�����。對網(wǎng)關(guān)7的各構(gòu)成要素的功能進行說明����。網(wǎng)關(guān)7具備中間驅(qū)動器El、 驅(qū)動器E7和驅(qū)動器E9作為不包括在OS且位于下位層的軟件�。中間驅(qū)動器E1與驅(qū)動器E7以及驅(qū)動器E9連接,具有以下所述的功 能�����。中間驅(qū)動器E1參照從驅(qū)動器E7到達(dá)的幀的報頭,調(diào)查是否需要對 幀實施加密��。如果需要對所獲取的幀進行加密�����,則中間驅(qū)動器E1將與該 幀的發(fā)送源即PC1的TCPA2的TCP對話終結(jié)一次后��,對數(shù)據(jù)實施加密�。 在此,加密所使用的加密密鑰��,采用在幀的目的地即服務(wù)器2的SSLB2 之間交換的加密密鑰�。具有對幀加密后,將與作為幀的目的地即服務(wù)器2 的TCP B3的TCP對話對應(yīng)的報頭附加到加密數(shù)據(jù)后��,將加密數(shù)據(jù)傳送 到驅(qū)動器E9的功能���。另一方面��,如果不需要從驅(qū)動器E7獲取的幀的加 密��,則中間驅(qū)動器E1具有直接將幀轉(zhuǎn)發(fā)給該驅(qū)動器E9的功能。在此���, 作為不需要加密的幀���,可舉出在PC1已被加密的幀��、DHCP數(shù)據(jù)包以及 ARP數(shù)據(jù)包等�����。此外�����,中間驅(qū)動器E1參照從驅(qū)動器E9到達(dá)的幀的報頭��,調(diào)查是否 需要對幀解密��。如果需要所獲取幀的解密�����,則中間驅(qū)動器E1將與該幀的
發(fā)送源即服務(wù)器2的TCP B3的TCP對話一次終結(jié)后�,對數(shù)據(jù)解密�����。在 此,解密所使用的解密密鑰����,采用在發(fā)送源即服務(wù)器2的SSLB2之間交 換的解密密鑰。具有對幀解密后��,將與幀的目的地即PC1的TCP A2之 間的TCP對話對應(yīng)的報頭附加到解密數(shù)據(jù)后�,將解密數(shù)據(jù)傳送該驅(qū)動器 E7的功能。另一方面��,如果不需要所獲取的幀的解密����,則中間驅(qū)動器E1 具有直接將幀傳送給驅(qū)動器E7的功能。在此�,作為不需要解密的幀,可 舉出應(yīng)由PC1解密的幀����、DHPC數(shù)據(jù)包以及ARP數(shù)據(jù)包等。中間驅(qū)動器E1為了執(zhí)行上述功能����,如圖36所示,由多個功能模塊 構(gòu)成���。上述功能模塊中與圖3所示的第一實施方式的中間驅(qū)動器All不 同的模塊只有幀解析部Ell���。接下來,對幀解析部Ell的功能進行說明�。其中,應(yīng)理解以下所述 的幀解析部的功能以及配置(configuration)僅是例子���。此外�����,如下所述�,幀解析部Ell具有識別是否需要對所獲取的者進 行加密以及解密的功能����,但除了該功能外,還可增加識別是否廢棄幀的 功能�����。通過該廢棄功能����,能夠防止從PC1流出未加密的幀�,并且能夠防 止PC1從外部網(wǎng)絡(luò)受到非法攻擊����。幀解析部Ell,與驅(qū)動器E7、驅(qū)動器E9以及報頭變換部E12連接�����。 圖37�、圖38、圖39為用于詳細(xì)地說明幀解析部Ell的功能的流程圖��。 圖37表示幀從驅(qū)動器E7到達(dá)時的幀解析部E11的處理�����。將圖37和圖5 進行比較����,在幀解析部Ell將在步驟S73判斷為不需要加密的幀傳送給 驅(qū)動器E9這一點(步驟S75),與第一實施方式的幀解析部A12不同��。 此外��,幀解析部Ell���,將在步驟S73判斷為需要加密的幀傳送給報頭變 換部E12這一點(步驟S76)與第一實施方式的幀解析部A12不同�。其 他處理,與圖5相同��,因此省略說明����。另一方面��,圖38表示幀從驅(qū)動器E9到達(dá)時的幀解析部Ell的處理����。 圖38與圖6相比,幀解析部Ell將在步驟S83判斷為不需要解密的幀傳 送給驅(qū)動器E7這點(步驟S84)�����,與第一實施方式的幀解析部A12不同����。 此外,幀解析部Ell在將由步驟S83判斷為需要解密的幀傳送給報頭變 換部E12這點(步驟S85)��,與第一實施方式的幀解析部A12不同�����。其他 處理,與圖6相同���,因此省略說明���。
此外,圖39表示幀從報頭變換部A13到達(dá)時的幀解析部Ell的處理���。 幀解析部Ell在步驟S93中��,對將幀報頭的目的地MAC地址作為自身 的MAC地址所持有的終端��,與驅(qū)動器E7和驅(qū)動器E9的哪一個連接進 行識別�����。為了執(zhí)行該步驟S93中的識別處理�,幀解析部Ell與圖3的橋 Cl同樣��,也具有MAC地址的學(xué)習(xí)功能�。幀解析部Ell按照該步驟S93 中的識別結(jié)果,將輸入幀傳送給驅(qū)動器E7 (步驟S94),同時傳送給驅(qū)動 器E9 (步驟S95)��。關(guān)于上述點��,圖39的幀解析部E11與第一實施方式 的幀解析部A12不同��。其他處理與圖7相同�����,因此省略說明����。如步驟S95的處理那樣�����,在幀解析部Ell搭載有橋功能的理由在于���, 即使驅(qū)動器E7以及驅(qū)動器E9的目的地與多個終端連接���,也不會對幀的 傳送引起問題。在上述網(wǎng)關(guān)7的說明中�����,通過參照幀頭的目的地MAC地址,從而識 別目的地終端與驅(qū)動器E7或驅(qū)動器E9的哪一個連接���,但也可不參照目 的地MAC地址����,而參照目的地IP地址���。圖36所示的構(gòu)成要素中上述構(gòu)成要素以外的模塊的功能與圖3所示 的第一實施方式完全相同���,因此省略說明。[動作的說明]參照圖36,對本實施方式的動作進行以下說明��。與圖3所示的第一 實施方式的不同點只在于PC1和網(wǎng)關(guān)7的工作�,因此限定于PC1和網(wǎng)關(guān) 7的工作進行說明。首先����,對從PC1的客戶應(yīng)用程序Al向服務(wù)器2的服務(wù)器應(yīng)用程序 Bl發(fā)送數(shù)據(jù)時的動作進行說明。其中���,鏈接P3之前的動作���,與第五實 施方式相同����,因此動作的說明從鏈接P150的時刻開始��。驅(qū)動器A5通過鏈接P150從IP堆棧A4獲取幀后��,通過鏈接P151 �����, 將所獲取的幀送給NIC A6�����。NICA6通過鏈接P151從驅(qū)動器A5獲取幀后��,通過集線器3���,將所 獲取的幀傳送給網(wǎng)關(guān)7的NIC E8。NIC E8通過鏈接P156從集線器3獲取幀后�����,通過鏈接P157,將所 獲取的幀傳送給驅(qū)動器E7�����。驅(qū)動器E7通過鏈接P157從NIC E8獲取幀后�����,通過鏈接P158����,將
所獲取的幀傳送給幀解析部Ell。如圖37所示�����,幀解析部Ell通過鏈接PI58從驅(qū)動器E7獲取幀后���, 參照其報頭����。幀解析部A12根據(jù)該報頭�����,識別所獲取的數(shù)據(jù)是否被加密。 幀解析部Ell判斷為由鏈接P158送出的幀沒有被加密���,按照圖37通過 鏈接P159將幀送給報頭變換部E12��。如圖8所示���,報頭變換部E12通過鏈接P159從幀解析部Ell接收幀, 按照目的地TCP將所獲取的幀的MAC報頭��、IP報頭登錄在圖10b的列 表T2����。 TCPE13的端口號與TCPB6的端口號t2—致,因此判斷通過鏈 接P159獲取的幀的目的地TCP為TCP E13�,該MAC地址和IP地址被 登錄在圖10b的列表T2的上級。將所獲取的幀的報頭登錄在列表T2后���, 報頭變換部E12從幀去掉MAC報頭和IP報頭而構(gòu)成數(shù)據(jù)包后,參照目 的地端口號將數(shù)據(jù)包送給TCPE13���。圖llc表示被送給到TCP A14的數(shù) 據(jù)形式���。TCPE13通過鏈接P160從報頭變換部E12獲取數(shù)據(jù)包后��,參照TCP 報頭檢測順序顛倒或數(shù)據(jù)包缺失�,在順序顛倒和缺失都沒有產(chǎn)生時����,從 數(shù)據(jù)包除去報頭,通過鏈接P161向中繼應(yīng)用程序E14送給數(shù)據(jù)�。此時, 通過將用于通知數(shù)據(jù)包已送到的ACK數(shù)據(jù)包返回給PC1的TCPA2��,終 結(jié)來自TCP A2的TCP對話�����。由于TCPE13的端口號與TCP B6的端口 號t2—致����,因此從TCPA2看,正好觀察到在TCPA2和TCPB6之間建 立TCP對話��,但實際的TCP對話在TCPA2和TCPE13之間建立���。圖3 中用虛線來表示該TCP對話(TCP對話1)�����。中繼應(yīng)用程序E14通過鏈接P161從TCPE13獲取數(shù)據(jù)���,但為了對數(shù) 據(jù)加密而實現(xiàn)防止盜取����,而通過鏈接P162將數(shù)據(jù)送給SSLE16�����。SSL A16通過鏈接P162 — l從中繼應(yīng)用程序E14獲取數(shù)據(jù)后�����,使用 預(yù)先與服務(wù)器2的SSLB2之間決定的加密方式����,對數(shù)據(jù)加密。加密完成 后��,SSLE16通過鏈接P162—2向TCPE15送給被加密的數(shù)據(jù)����。在圖lld 中表示向TCPE15送給的數(shù)據(jù)形式����。TCP E15通過鏈接P162—2從SSL A16獲取數(shù)據(jù)后���,將TCP報頭和 目的地IP地址附加到數(shù)據(jù)后數(shù)據(jù)包化。TCP報頭的目的地TCP端口號中����, 采用服務(wù)器2的TCP B3的端口號t4,發(fā)送源TCP端口號采用TCP E15
的端口號t3����。在此,TCPB3的端口號t4為發(fā)送加密數(shù)據(jù)時明示使用的端 口號�。此外,對目的地IP地址��,設(shè)定服務(wù)器2的IP地址i2��。 TCPE15附 加TCP報頭和目的地IP地址后��,通過鏈接P163向報頭變換部E12送給 數(shù)據(jù)包����。TCP E15通過上述處理與服務(wù)器2的TCP B3建立TCP對話, 實現(xiàn)與TCPB3的穩(wěn)定的數(shù)據(jù)傳送���。圖3中由虛線表示該TCP對話(TCP 對話2)��。如圖9所示�,報頭變換部E12通過鏈接P163從TCP E15獲取數(shù)據(jù)包 后,參照列表T2�����,對所獲取的數(shù)據(jù)包附加對應(yīng)的MAC報頭和IP報頭而 生成幀����。具體地來說,按照發(fā)送源TCP,對所獲取的數(shù)據(jù)包附加對應(yīng)的 MAC報頭���、IP報頭���。例如,通過鏈接P163獲取的數(shù)據(jù)包的發(fā)送源TCP 為TCPE15�����,因此作為該MAC地址和IP地址被登錄在圖10b的列表T2 的上級����。報頭變換部E12將IP報頭���、MAC報頭插入數(shù)據(jù)包后�����,通過鏈 接P164將幀送給幀解析部E11���。圖lle為被送給幀解析部Ell的數(shù)據(jù)形 式�。如圖39所示���,幀解析部E11通過鏈接P164從報頭變換部E12獲取 幀后�,參照其報頭��。在此作為所參照的報頭�����,可舉出MAC報頭�、IP報 頭等。幀解析部E11根據(jù)該報頭�,識別幀的目的地終端與驅(qū)動器E7和驅(qū) 動器E9的哪一個連接。作為識別方法的例子,考慮參照謎目的地MAC 地址或者目的地IP地址�。具有由鏈接P164被送出的幀的目的地MAC地 址的終端,與驅(qū)動器E9的目的地連接這點通過MAC地址學(xué)習(xí)可知����。按 照圖39的步驟S93,幀解析部Ell通過鏈接P165將幀送給驅(qū)動器E9���。驅(qū)動器E9通過鏈接P165從幀解析部Ell獲取幀后�,通過鏈接P166 將數(shù)據(jù)包送給NICEIO���。NIC E10通過鏈接P166從驅(qū)動器E9獲取幀后��,通過網(wǎng)絡(luò)5將幀送 給NICB8�����。NIC B8通過網(wǎng)絡(luò)5從NIC E10獲取幀后�,通過鏈接P168將幀送給 驅(qū)動器B7�。以后的動作,與第一實施方式相同��,因此省略說明�。 如上所述,確認(rèn)了從客戶應(yīng)用程序Al發(fā)送的數(shù)據(jù)由網(wǎng)關(guān)7被加密, 并且被可靠地送到服務(wù)器應(yīng)用程序Bl�����。此外�����,上述處理完成后����,對于從服務(wù)器應(yīng)用程序B1向客戶應(yīng)用程序Al發(fā)送數(shù)據(jù)時的動作��,由于數(shù)據(jù)沿著相反的方向經(jīng)過上述路徑���,因此省 略說明�。通過以上的說明���,可確認(rèn)客戶應(yīng)用程序Al和服務(wù)器應(yīng)用程序B1之 間的雙向通信��,由于介由網(wǎng)關(guān)7���,從而必須被加密。此外,在以上的說明中�,對由網(wǎng)關(guān)7對PC1和服務(wù)器2之間的通信 進行加密時的動作進行了說明,但如圖40所示���,網(wǎng)關(guān)7處理PC1和服務(wù) 器2之外�����,還對多個PC和服務(wù)器之間的通信進行中介的情況��,網(wǎng)關(guān)7 的結(jié)構(gòu)成為以下那樣的結(jié)構(gòu)�。網(wǎng)關(guān)7的中間驅(qū)動器E1��,按PC和服務(wù)器之間的每個通信對話�����,具 備TCPE13��、中繼應(yīng)用程序E14����、 SSLE16以及TCPE15,進行PC和服 務(wù)器之間的TCP對話的中繼處理�。由此�����,可對在各PC和各服務(wù)器之間 收發(fā)的數(shù)據(jù)進行加密���。此外,除了上述的構(gòu)成之外�,如第二實施方式以及第三實施方式所 述那樣,通過將中間驅(qū)動器和OS回送連接����,從而可減少軟件開發(fā)者所需 花費的時間���。通過將上述那樣的回送處理編入本實施方式的中間驅(qū)動器 時�����,成為圖41所示的系統(tǒng)結(jié)構(gòu)����,但關(guān)于其結(jié)構(gòu)以及動作�����,根據(jù)第二實施 方式以及第三實施方式的說明可明確,因此省略說明��。 (效果)接下來��,對本實施方式的效果進行說明��。在本實施方式中��,通過將在第一實施方式中編入PC的中間驅(qū)動器的 功能搭載在網(wǎng)關(guān)裝置中��,從而即使在具有信息泄漏的危險性的PC有多臺 時����,也不對各個PC安裝中間驅(qū)動器,而由網(wǎng)關(guān)裝置對多個PC和服務(wù)器 之間的通信數(shù)據(jù)進行一并加密�。因此,能夠省去向具有信息泄漏的危險 性的所有的PC安裝中間驅(qū)動器的麻煩����。僅舉出以上優(yōu)選的實施方式對本發(fā)明進行了說明,但本發(fā)明并不限 于上述實施方式���,在其技術(shù)思想的范圍內(nèi)可實施各種變形���。例如如電子 郵件那樣��,從PC1經(jīng)由服務(wù)器向PC2發(fā)送時�,也可將判斷發(fā)送數(shù)據(jù)是否 被加密的幀解析部���,和由該幀解析部判斷發(fā)送數(shù)據(jù)沒有被加密時���,對發(fā) 送數(shù)據(jù)進行加密的SSL設(shè)置在服務(wù)器中。
權(quán)利要求
1�����、一種通信系統(tǒng)����,是在發(fā)送側(cè)和接收側(cè)構(gòu)成的通信系統(tǒng)��,具有第一對話建立機構(gòu)���,其對來自發(fā)送側(cè)的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話���;第二對話建立機構(gòu),其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而與上述接收側(cè)建立第二對話�;加密機構(gòu)��,其通過上述第二對話�����,交換加密所需要的信息�,基于該信息對通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密�。
2、 根據(jù)權(quán)利要求1所述的通信系統(tǒng)���,其特征在于��, 上述第一對話建立機構(gòu)或上述第二對話建立機構(gòu)為與傳輸層建立對話的機構(gòu)�����。
3���、 根據(jù)權(quán)利要求1所述的通信系統(tǒng),其特征在于���, 具有判斷機構(gòu)����,其對發(fā)送數(shù)據(jù)進行判斷,將判斷結(jié)果��、沒有被加密的發(fā)送數(shù)據(jù)送給上述第一對話建立機構(gòu)��。
4.根據(jù)權(quán)利要求3所述的通信系統(tǒng)���,其特征在于���, 上述判斷機構(gòu)是通過參照發(fā)送數(shù)據(jù)的報頭而判斷發(fā)送數(shù)據(jù)是否被加密的機構(gòu)。
5�����、 根據(jù)權(quán)利要求1所述的通信系統(tǒng)���,其特征在于����, 上述第一對話建立機構(gòu)是�����,對來自上述發(fā)送側(cè)的傳輸層的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話��,命令上述第二對話建立機構(gòu)與 上述接收側(cè)的傳輸層建立對話的機構(gòu)�。
6、 根據(jù)權(quán)利要求1所述的通信系統(tǒng)���,其特征在于����, 介由中繼裝置在發(fā)送側(cè)和接收側(cè)之間收發(fā)上述發(fā)送數(shù)據(jù)時���, 上述第一對話建立機構(gòu)是����,對來自上述發(fā)送側(cè)的傳輸層的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話����,命令上述第二對話建立機構(gòu)與 上述中繼裝置的傳輸層建立第二對話的機構(gòu)。
7�、 根據(jù)權(quán)利要求1所述的通信系統(tǒng),其特征在于���, 上述第一對話建立機構(gòu)�、上述第二對話建立機構(gòu)、上述加密機構(gòu)以及 上述判斷機構(gòu)��,構(gòu)成在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間����。
8、 根據(jù)權(quán)利要求1所述的通信系統(tǒng)�,其特征在于,上述第二對話建立機構(gòu)以及上述加密機構(gòu)具有操作系統(tǒng)(Operating System)�����。
9����、 根據(jù)權(quán)利要求8所述的通信系統(tǒng),其特征在于����, 上述操作系統(tǒng)還具有上述第一對話建立機構(gòu)。
10�、 根據(jù)權(quán)利要求1所述的通信系統(tǒng),其特征在于��, 具有控制機構(gòu)�,其進行通信測試,按照該通信測試結(jié)果�,決定是否對發(fā)送數(shù)據(jù)進行加密。
11����、 根據(jù)權(quán)利要求10所述的通信系統(tǒng),其特征在于����, 上述控制機構(gòu)進行通信測試的定時,為上述發(fā)送側(cè)起動時���、數(shù)據(jù)的收發(fā)時�、每隔一定時間間隔以及指定時 刻時中的任一個�����,或上述任一個的組合����。
12、 根據(jù)權(quán)利要求10所述的通信系統(tǒng)��,其特征在于�����, 上述通信測試,為ICMP回應(yīng)請求的響應(yīng)是否返回�、采用特殊幀的回應(yīng)請求的響應(yīng)是 否返回、或者分配給上述發(fā)送側(cè)的IP地址的值是否為規(guī)定值中的任一種 情況����,或者上述任一情況的組合。
13�����、 根據(jù)權(quán)利要求1所述的通信系統(tǒng)����,其特征在于, 上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密的解密機構(gòu)�����。
14����、 根據(jù)權(quán)利要求13所述的通信系統(tǒng),其特征在于�����, 上述解密機構(gòu)是對通過上述判斷機構(gòu)判斷為經(jīng)由上述第二對話建立機構(gòu)所建立的第二對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)。
15�、 根據(jù)權(quán)利要求13所述的通信系統(tǒng)�����,其特征在于��, 上述判斷機構(gòu)是��,通過參照接收數(shù)據(jù)的報頭��,判斷接收數(shù)據(jù)為經(jīng)由上述第二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)���。
16����、 一種通信系統(tǒng)��,介由中繼裝置在發(fā)送側(cè)和接收側(cè)進行通信��, 具有通信建立機構(gòu)�����,其在上述發(fā)送側(cè)和上述接收側(cè)建立用于進行通信的對 對話建立機構(gòu),其在上述發(fā)送側(cè)和上述中繼裝置之間建立用于收發(fā)被 加密的發(fā)送數(shù)據(jù)的加密對話�����;和加密機構(gòu)�,其通過上述加密對話,交換加密所需要的信息���,基于該信 息對發(fā)送數(shù)據(jù)進行加密����。
17����、 一種通信系統(tǒng),是在發(fā)送側(cè)和接收側(cè)構(gòu)成的通信系統(tǒng)���, 具有第一對話建立機構(gòu)���,其對來自發(fā)送側(cè)的對話建立請求進行響應(yīng)而與上 述發(fā)送側(cè)建立第一對話;和第二對話建立機構(gòu)��,其建立用于與上述接收側(cè)收發(fā)被加密的發(fā)送數(shù)據(jù) 的第二對話。
18��、 一種通信裝置����, 具有第一對話建立機構(gòu),其對對話建立請求進行響應(yīng)而建立第一對話�; 第二對話建立機構(gòu)�����,其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而建立第二對話�����;和加密機構(gòu)���,其通過上述第二對話交換加密所需要的信息��,基于該信息 對通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密�����。
19��、 根據(jù)權(quán)利要求18所述的通信裝置�����,其特征在于���, 上述第一對話建立機構(gòu)或上述第二對話建立機構(gòu)是與傳輸層建立對話的機構(gòu)��。
20��、 根據(jù)權(quán)利要求18所述的通信裝置�,其特征在于�����, 具有判斷機構(gòu)�����,其判斷發(fā)送數(shù)據(jù)����,將判斷結(jié)果、沒有被加密的發(fā)送數(shù)據(jù)送到上述第一對話建立機構(gòu)�����。
21、 根據(jù)權(quán)利要求20所述的通信裝置���,其特征在于���, 上述判斷機構(gòu)是通過參照發(fā)送數(shù)據(jù)的報頭來判斷發(fā)送數(shù)據(jù)是否被加密的機構(gòu)。
22�����、 根據(jù)權(quán)利要求18所述的通信裝置���,其特征在于, 上述第一對話建立機構(gòu)是��,對來自本裝置的傳輸層的對話建立請求進行響應(yīng)而建立第一對話��,命令上述第二對話建立與發(fā)送目標(biāo)的傳輸層建立 第二對話的機構(gòu)��。
23����、 根據(jù)權(quán)禾j要求18所述的通信裝置���,其特征在于, 介由中繼裝置發(fā)送上述發(fā)送數(shù)據(jù)時�����,上述第一對話建立機構(gòu)是��,對來自本裝置的傳輸層的對話建立請求進 行響應(yīng)而建立第一對話���,命令上述第二對話建立機構(gòu)與上述中繼裝置的傳 輸層建立第二對話的機構(gòu)��。
24�����、 根據(jù)權(quán)利要求18所述的通信裝置����,其特征在于�, 上述第一對話建立機構(gòu)、上述第二對話建立機構(gòu)�、上述加密機構(gòu)以及上述判斷機構(gòu),構(gòu)成在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間。
25�����、 根據(jù)權(quán)利要求18所述的通信裝置�,其特征在于, 上述第二對話建立機構(gòu)以及上述加密機構(gòu)具有操作系統(tǒng)��。
26��、 根據(jù)權(quán)利要求25所述的通信裝置��,其特征在于�����, 上述操作系統(tǒng)還具有上述第一對話建立機構(gòu)�。
27����、 根據(jù)權(quán)利要求18所述的通信裝置,其特征在于��, 具有控制機構(gòu)�����,其進行通信測試,按照該通信測試結(jié)果���,決定是否對發(fā)送數(shù)據(jù)進行加密���。
28、 根據(jù)權(quán)利要求27所述的通信裝置��,其特征在于����, 上述控制機構(gòu)進行通信測試的定時,為上述本裝置起動時�����、數(shù)據(jù)的收發(fā)時��、每隔一定時間間隔以及指定時 刻時中的任一個����,或上述任一組合。
29�、 根據(jù)權(quán)利要求27所述的通信裝置���,其特征在于, 上述通信測試�,為ICMP回應(yīng)請求的響應(yīng)是否返回、采用特殊幀的回應(yīng)請求的響應(yīng)是 否返回����、或者分配到上述發(fā)送側(cè)的IP地址的值是否為規(guī)定值中的任一種 情況,或者上述任一情況的組合���。
30���、 根據(jù)權(quán)利要求18所述的通信裝置,其特征在于�, 上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密的解密機構(gòu)。
31�、 根據(jù)權(quán)利要求30所述的通信裝置,其特征在于�, 上述解密機構(gòu)是,對通過上述判斷機構(gòu)判斷為經(jīng)由上述第二對話建立機構(gòu)所建立的第二對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)���。
32、 根據(jù)權(quán)利要求31所述的通信裝置����,其特征在于�, 上述判斷機構(gòu)是��,通過參照接收數(shù)據(jù)的報頭�����,判斷接收數(shù)據(jù)為經(jīng)由上 述第二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)�。
33、 一種通信裝置���,介由中繼裝置進行通信��,具有通信建立機構(gòu)�����,其建立用于與發(fā)送目標(biāo)進行通信的對話�; 對話建立機構(gòu)��,其在上述中繼裝置之間建立用于收發(fā)被加密的發(fā)送數(shù)據(jù)的加密對話���;和加密機構(gòu)��,其通過上述加密對話����,交換加密所需要的信息,基于該信息對發(fā)送數(shù)據(jù)進行加密��。
34����、 一種通信裝置, 具有第一對話建立機構(gòu)����,其對對話建立請求進行響應(yīng)而建立第一對話;和 第二對話建立機構(gòu)���,其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而與發(fā)送目標(biāo)建立 第二對話��。
35��、 一種通信方法�, 具有-第一對話建立步驟��,對來自發(fā)送源的對話建立請求進行響應(yīng)而建立第 一對話���;第二對話建立步驟�,其建立用于發(fā)送被加密的發(fā)送數(shù)據(jù)的第二對話��;和加密步驟��,通過上述第二對話��,交換加密所需要的信息�,基于該信息 對通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密。
36��、 根據(jù)權(quán)利要求35所述的通信方法�,其特征在于, 上述第一對話建立步驟或上述第二對話建立步驟��,與傳輸層建立對話���。
37����、 根據(jù)權(quán)利要求35所述的通信方法���,其特征在于��, 上述加密步驟���,為對發(fā)送數(shù)據(jù)進行判斷�����,作為判斷結(jié)果對沒有被加密的發(fā)送數(shù)據(jù)進行加密的步驟�。
38�、 根據(jù)權(quán)利要求37所述的通信方法,其特征在于�����, 上述加密步驟���,通過參照發(fā)送數(shù)據(jù)的報頭���,來判斷發(fā)送數(shù)據(jù)是否被加密。
39��、 根據(jù)權(quán)利要求35所述的通信方法�����,其特征在于, 上述第一對話建立步驟是�����,對來自上述發(fā)送源的傳輸層的對話建立請求進行響應(yīng)而建立第一對話����,命令上述第二對話建立步驟與發(fā)送目標(biāo)的傳 輸層建立第二對話的步驟��。
40���、 根據(jù)權(quán)利要求35所述的通信方法�����,其特征在于����, 在介由中繼裝置發(fā)送上述接收數(shù)據(jù)時�����,上述第一對話建立步驟是,對來自發(fā)送源的傳輸層的對話建立請求進 行響應(yīng)而建立第一對話�����,命令上述第二對話建立步驟與上述中繼裝置的傳 輸層建立第二對話的步驟��。
41����、 根據(jù)權(quán)利要求35所述的通信方法,其特征在于����, 具有控制步驟,其進行通信測試���,按照通信測試結(jié)果���,決定是否對上述發(fā)送數(shù)據(jù)進行加密。
42��、 根據(jù)權(quán)利要求41所述的通信方法�,其特征在于, 進行上述通信測試的定時��,為上述發(fā)送源的裝置起動時、數(shù)據(jù)的收發(fā)時�、每隔一定時間間隔以及 指定時刻時中的任一個,或上述任一個的組合����。
43、 根據(jù)權(quán)利要求41所述的通信方法����,其特征在于����, 上述通信測試,為ICMP回應(yīng)請求的響應(yīng)是否返回�、采用特殊幀的回應(yīng)請求的響應(yīng)是 否返回、或者分配到上述發(fā)送源的IP地址的值是否為規(guī)定值上述任一種 情況��,或者上述任一種的組合���。
44����、 根據(jù)權(quán)利要求35所述的通信方法���,其特征在于�, 具有基于上述信息對接收數(shù)據(jù)進行解密的解密步驟。
45�、 根據(jù)權(quán)利要求44所述的通信方法,其特征在于���, 上述解密步驟是對判斷為經(jīng)由上述第二對話建立步驟建立的第二對話所發(fā)送的接收數(shù)據(jù)進行解密的步驟�。
46��、 根據(jù)權(quán)利要求45所述的通信方法�,其特征在于, 上述解密步驟��,通過參照接收數(shù)據(jù)的報頭來進行判斷�。
47、 一種通信方法�����,介由中繼裝置進行通信�����, 具有通信建立步驟����,在發(fā)送源和發(fā)送目的地建立用于進行通信的對話���; 對話建立步驟,在上述發(fā)送源和上述中繼裝置之間建立用于收發(fā)被加 密的發(fā)送數(shù)據(jù)的加密對話�;和通過上述加密對話,交換加密所需要的信息�����,基于該信息對發(fā)送數(shù)據(jù) 進行加密的加密步驟�����。
48�、 一種通信方法�����, 具有第一對話建立步驟���,對來自發(fā)送源的對話建立請求進行響應(yīng)而與上述發(fā)送源建立第一對話�;和第二對話建立步驟�,建立用于收發(fā)被加密的發(fā)送數(shù)據(jù)的第二對話����。
49��、 一種程序����,是信息處理裝置的程序,上述程序使上述信息處理裝 置發(fā)揮下述機構(gòu)的作用第一對話建立機構(gòu)����,其對來自發(fā)送側(cè)的對話建立請求進行響應(yīng)而與上 述發(fā)送側(cè)建立第一對話;第二對話建立機構(gòu)�����,其為了收發(fā)被加密的發(fā)送數(shù)據(jù)而與上述接收側(cè)建 立第二對話���;加密機構(gòu)��,其通過上述第二對話�,交換加密所需要的信息�,基于該信 息對通過上述第一對話獲取的發(fā)送數(shù)據(jù)進行加密。
50���、 根據(jù)權(quán)利要求49所述的程序��,其特征在于���,上述第一對話建立機構(gòu)或上述第二對話建立機構(gòu)發(fā)揮與傳輸層建立 對話的機構(gòu)的作用��。
51����、 根據(jù)權(quán)利要求49所述的程序���,其特征在于�, 具有判斷機構(gòu)���,其對發(fā)送數(shù)據(jù)進行判斷�,將判斷結(jié)果��、沒有被加密的發(fā)送數(shù)據(jù)發(fā)送給上述第一對話建立機構(gòu)���。
52、 根據(jù)權(quán)利要求51所述的程序����,其特征在于�����, 上述判斷機構(gòu)�,發(fā)揮通過參照發(fā)送數(shù)據(jù)的報頭而判斷發(fā)送數(shù)據(jù)是否被加密的機構(gòu)的作用��。
53��、 根據(jù)權(quán)利要求49所述的程序����,其特征在于, 上述第一對話建立機構(gòu)��,發(fā)揮對來自上述發(fā)送側(cè)的傳輸層的對話建立 請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話�,命令上述第二對話建立機構(gòu) 與上述接收側(cè)的傳輸層建立對話的機構(gòu)的作用。
54�����、根據(jù)權(quán)利要求49所述的程序�,其特征在于,在介由中繼裝置在發(fā)送側(cè)和接收側(cè)之間收發(fā)上述發(fā)送數(shù)據(jù)時����, 上述第一對話建立機構(gòu)�,發(fā)揮對來自上述發(fā)送側(cè)的傳輸層的對話建立請求迸行響應(yīng)而與上述發(fā)送側(cè)建立第一對話�,命令上述第二對話建立機構(gòu)與上述中繼裝置的傳輸層建立第二對話的機構(gòu)的作用。
55���、 根據(jù)權(quán)利要求49所述的程序�����,其特征在于�����, 具有控制機構(gòu)�����,其進行通信測試����,按照該通信測試結(jié)果���,決定是否對發(fā)送數(shù)據(jù)進行加密�。
56���、 根據(jù)權(quán)利要求55所述的程序�����,其特征在于�, 上述控制機構(gòu)進行通信測試的定時�����,為上述發(fā)送側(cè)起動時�����、數(shù)據(jù)的收發(fā)時�����、每隔一定時間間隔以及指定時 刻時中的任一個�����,或上述任一個的組合。
57�、 根據(jù)權(quán)利要求55所述的程序,其特征在于����, 上述通信測試,為ICMP回應(yīng)請求的響應(yīng)是否返回����、采用特殊幀的回應(yīng)請求的響應(yīng)是 否返回、或者分配到上述發(fā)送側(cè)的IP地址的值是否為規(guī)定值上述任一種 情況����,或者上述任一種的組合。
58����、 根據(jù)權(quán)利要求49所述的程序,其特征在于��,'上述加密機構(gòu)具有基于上述信息對接收數(shù)據(jù)進行解密的解密機構(gòu)���。
59����、 根據(jù)權(quán)利要求58所述的程序,其特征在于����, 上述解密機構(gòu)是對由上述判斷機構(gòu)判斷為經(jīng)由上述第二對話建立機構(gòu)建立的對話而發(fā)送的接收數(shù)據(jù)進行解密的機構(gòu)��。
60�����、 根據(jù)權(quán)利要求59所述的程序�,其特征在于, 上述判斷機構(gòu)���,發(fā)揮通過參照接收數(shù)據(jù)的報頭���,判斷接收數(shù)據(jù)為經(jīng)由上述第二對話建立機構(gòu)建立的第二對話而發(fā)送的機構(gòu)的作用。
61���、 一種程序�����,是介由中繼裝置進行通信的信息處理裝置的程序����,上 述程序使上述信息處理裝置發(fā)揮下述機構(gòu)的作用通信建立機構(gòu),其在發(fā)送源和發(fā)送目的地建立用于進行通信的對話��; 對話建立機構(gòu)��,其在上述發(fā)送源和上述中繼裝置之間建立用于收發(fā)被加密的發(fā)送數(shù)據(jù)的加密對話���;和加密機構(gòu)��,其通過上述加密對話�,交換加密所需要的信息��,基于該信 息對發(fā)送數(shù)據(jù)進行加密��。
62�、 一種程序,為信息處理裝置的程序�,上述程序使上述信息處理裝 置發(fā)揮下述機構(gòu)的作用第一對話建立機構(gòu),其對來自發(fā)送源的對話建立請求進行響應(yīng)而與上述發(fā)送側(cè)建立第一對話����;和第二對話建立機構(gòu),其建立用于與上述接收側(cè)收發(fā)被加密的發(fā)送數(shù)據(jù) 的第二對話�。
全文摘要
從客戶應(yīng)用程序(A1)發(fā)送給服務(wù)器應(yīng)用程序(B1)的數(shù)據(jù)中在PC(1)的中間驅(qū)動器(A11)內(nèi)的幀解析機構(gòu)中判斷為需要加密的數(shù)據(jù)��,通過TCP(A14)和TCP(A2)之間的TCP對話1和TCP(A17)和TCP(B3)之間的TCP對話2總計兩個TCP對話來中繼轉(zhuǎn)發(fā)����。由此��,通過對TCP對話進行中繼����,從而能夠使中間驅(qū)動器(A11)內(nèi)的SSL(A16)和服務(wù)器(2)內(nèi)的SSL(B2)的TCP/IP協(xié)議分層一致�����,由此�,在兩者之間能夠自動交換在SSL對話開始時所必需的證明書信息和加密算法。其結(jié)果���,不用一邊變更服務(wù)器的設(shè)定����,一邊安裝軟件�,而對從PC送出的機密數(shù)據(jù)進行加密。
文檔編號G06F13/00GK101112041SQ200680003890
公開日2008年1月23日 申請日期2006年2月27日 優(yōu)先權(quán)日2005年2月28日
發(fā)明者吉見英朗, 榎本敦之, 飛鷹洋一 申請人:日本電氣株式會社