JP2006074457A - ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 - Google Patents
ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 Download PDFInfo
- Publication number
- JP2006074457A JP2006074457A JP2004255589A JP2004255589A JP2006074457A JP 2006074457 A JP2006074457 A JP 2006074457A JP 2004255589 A JP2004255589 A JP 2004255589A JP 2004255589 A JP2004255589 A JP 2004255589A JP 2006074457 A JP2006074457 A JP 2006074457A
- Authority
- JP
- Japan
- Prior art keywords
- tunnel
- encryption
- identification information
- construction
- cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】IPsec等に基づく暗号トンネルを構築して暗号化通信を行うネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、より多くの暗号トンネルを同時並列的に利用可能にすること。
【解決手段】暗号トンネル構築の際に、ユーザ装置固有のKEYデータがルータ20のSA2aにSAに関連付けて保存する。これにより、ユーザ装置10とルータ20との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に当該ユーザ装置10が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置10からルータ20になされた場合、ルータ20は、KEYデータに基づき、当該ユーザ装置10が、現在未終了の暗号トンネルを利用中であると確認し、当該未終了の暗号トンネルに係るSAをSA2aから消去する。
【選択図】図5
【解決手段】暗号トンネル構築の際に、ユーザ装置固有のKEYデータがルータ20のSA2aにSAに関連付けて保存する。これにより、ユーザ装置10とルータ20との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に当該ユーザ装置10が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置10からルータ20になされた場合、ルータ20は、KEYデータに基づき、当該ユーザ装置10が、現在未終了の暗号トンネルを利用中であると確認し、当該未終了の暗号トンネルに係るSAをSA2aから消去する。
【選択図】図5
Description
本発明は、IPsec等に基づく高度なセキュリティ機能を備えたネットワーク通信が行えるネットワーク中継装置、ネットワークシステム及び暗号化通信方法に関する。
最近、IPsec(IP Security Protocol)等に基づく高度なセキュリティ機能を備えたネットワーク通信が実現されている(例えば、特許文献1を参照)。このようなネットワーク通信を用ることにより、CPE(Customer Premises Equipment、以下、ユーザ装置という)とネットワーク中継装置(以下、ルータ(router)という場合がある)等の通信相手同士があたかも安全な専用回線で直結されたかのように通信可能なVPN(Virtual Private Network)が実現できる。
このようなIPsecを用いたネットワーク通信では、IPsecに基づく暗号トンネルを構築して暗号化通信を行うため、ISAKMP(Internet Security Association & Key Management Protocol)等の鍵管理プロトコルに基づく認証・暗号化情報の交換(IKE;Internet Key Exchange)が行われる。このIKEには、二段階のネゴシエーション(negotiation)が含まれ、まず、第一段目のネゴシエーション(以下、Phase−Iという)が実行されることにより、続く第二段目のネゴシエーション(以下、Phase−IIという)が暗号化され、次いでこのPhase−IIが実行されることにより、EPS(Encapsulating Security Payload)による暗号化通信(暗号トンネル)の構築が完了する。
この際、当該暗号化通信を行うための認証・暗号化のアルゴリズムや鍵(KEY)等の情報を表すSA(Security Association)がIKEの各ネゴシエーションの際に作成されて両通信相手(ユーザ装置、ネットワーク中継装置)のメモリ内に保存される。
特開2004−104559号公報
しかし、上記従来の技術には次のような問題点がある。
例えばユーザ装置とネットワーク中継装置との間で上記暗号トンネルが構築された後(すなわち、当該暗号トンネルに係るSAが作成・保存された後)、当該ユーザ装置が故障等により再起動された場合には、ユーザ装置は、暗号トンネル構築要求をネットワーク中継装置に対し再度行う。この際、ネットワーク中継装置は、当該再要求された暗号トンネル構築要求を、新規な暗号トンネル構築要求であると判断し、当該新規な暗号トンネルに係るSAの作成・保存を行う。このため、再起動前に構築された暗号トンネルに係るSAがネットワーク中継装置のメモリ内に一定時間保存された状態となり、ネットワーク中継装置内のメモリ資源の有効活用が困難となる。特に、多くの暗号トンネルが同時に構築され、それに伴い多くのSAが作成・保存されるような場合には、メモリの空き容量が多ければ多いほど、多くの暗号トンネルが構築可能となるため、利用不可なメモリ領域の減少化が望まれる。
本発明の課題は、IPsec等に基づく暗号トンネルを構築して暗号化通信を行うネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、より多くの暗号トンネルを同時並列的に利用可能にすることである。
例えばユーザ装置とネットワーク中継装置との間で上記暗号トンネルが構築された後(すなわち、当該暗号トンネルに係るSAが作成・保存された後)、当該ユーザ装置が故障等により再起動された場合には、ユーザ装置は、暗号トンネル構築要求をネットワーク中継装置に対し再度行う。この際、ネットワーク中継装置は、当該再要求された暗号トンネル構築要求を、新規な暗号トンネル構築要求であると判断し、当該新規な暗号トンネルに係るSAの作成・保存を行う。このため、再起動前に構築された暗号トンネルに係るSAがネットワーク中継装置のメモリ内に一定時間保存された状態となり、ネットワーク中継装置内のメモリ資源の有効活用が困難となる。特に、多くの暗号トンネルが同時に構築され、それに伴い多くのSAが作成・保存されるような場合には、メモリの空き容量が多ければ多いほど、多くの暗号トンネルが構築可能となるため、利用不可なメモリ領域の減少化が望まれる。
本発明の課題は、IPsec等に基づく暗号トンネルを構築して暗号化通信を行うネットワーク中継装置、ネットワークシステム及び暗号化通信方法において、より多くの暗号トンネルを同時並列的に利用可能にすることである。
上記課題を解決するため、この発明のネットワーク中継装置は、
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリ(例えば、SA2a)から消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワーク中継装置である。
ユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置(例えば、ルータ20)であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリ(例えば、SA2a)から消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワーク中継装置である。
また、上記課題を解決するため、この発明のネットワークシステムは、
ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を前記ネットワーク中継装置に通知する識別情報通知手段(例えば、CP11)を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ(例えば、SA1a)内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワークシステムである。
ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステム(例えば、ネットワークシステム100)であって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を前記ネットワーク中継装置に通知する識別情報通知手段(例えば、CP11)を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ(例えば、SA1a)内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段(例えば、CP21)と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段(例えば、CP21)と、
を備えたことを特徴とするネットワークシステムである。
また、上記課題を解決するため、この発明の暗号化通信方法は、
ネットワーク間で行われるデータ通信を中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ(例えば、SA2a)内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法である。
ネットワーク間で行われるデータ通信を中継するネットワーク中継装置(例えば、ルータ20)と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置(例えば、ユーザ装置10)との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報(例えば、図4に示すKEYデータ)を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ(例えば、SA2a)内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法である。
本発明によれば、暗号トンネル構築の際に、ユーザ装置固有の識別情報がネットワーク中継装置に保存される。このため、ユーザ装置とネットワーク中継装置との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置からネットワーク中継装置になされた場合であっても、ネットワーク中継装置は、識別情報に基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係る認証・暗号情報がネットワーク中継装置のメモリから消去できるので、ネットワーク中継装置のメモリ資源の有効活用が可能となる。特に、ネットワーク中継装置の空きメモリ容量が増加可能となるので、多くの暗号トンネルの構築が同時並列的により可能となる。
以下、図面を参照して本発明を適用したネットワークシステム100について説明する。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNに暗号トンネルを構築し、当該暗号トンネルを介し相互に暗号化通信可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。
ネットワークシステム100は、図1に示すように、ユーザ装置(CPE)10と、ネットワーク中継装置としてのルータ20とが、ネットワークNに暗号トンネルを構築し、当該暗号トンネルを介し相互に暗号化通信可能に接続される。なお、ネットワークシステム100は、複数のユーザ装置10が接続された構成であってもよい。
ユーザ装置10は、図2(a)に示すように、CP(Central Processor)11、NP(Network Processor)12を備え、CP11は、ISAKMP制御デーモン(daemon)11a、カーネル(kernel)11b、DB(Data Base)11c、SA(SA data base)1aを備える。このISAKMP制御デーモン11a、カーネル11bは、CP11が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
ISAKMP制御デーモン11aは、IPsecによる暗号化通信を確立するため、ルータ20との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン11aは、DB11cに格納された各種ピア(peer)情報(例えば、ルータ20のアドレス等。)を用いて、図3に示すISAKMPパケットD1やISAKMPパケットD3を作成する。
ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成する際に、IDペイロードを、ユーザ装置10のIDデータに、MACアドレス等のユーザ装置10を識別するための固有のKEYデータを加えて作成する。例えば、図4の図中符号D4に示すIDペイロードに含まれる“Identification Data”の数バイト分にユーザ装置10に係るIPアドレス“user@customere.com”が記録され、残りの数バイト分にはMACアドレス等のユーザ装置10を識別するためのKEYデータ(“00010203”)が記録されている。
また、ISAKMP制御デーモン11aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA1aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。
カーネル11bは、ネットワークNを介してパケットを送信する場合には、SA1aを参照して、当該送信パケットに係るPhase−I SA、Phase−II SAがSA1aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA1aに格納されている場合には、各SAを用いて当該送信パケットの暗号化を行う。当該送信パケットに係る各SAがSA1aに格納されていない場合には、ISAKMP制御デーモン11aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン11aは、当該パケットの送信先との間でPhase−I、IIを行って各SAを作成する。
NP12は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
ルータ20は、図2(b)に示すように、CP21、NP22を備え、CP21は、ISAKMP制御デーモン21a、カーネルl21b、DB21c、SA2aを備える。このISAKMP制御デーモン21a、カーネル21bは、CP21が実行するプログラムの各機能を表すものであってもよいし、ハードウェアの機能を表すものであってもよい。
ISAKMP制御デーモン21aは、IPsecによる暗号トンネルを構築するため、ユーザ装置10との間で、ISAKMPの鍵管理プロトコルに基づく認証・暗号化情報の交換(Phase−I、IIのネゴシエーション)を行う。特にPhase−Iの際、ISAKMP制御デーモン21aは、DB21cに格納された各種ピア(peer)情報(例えば、ユーザ装置10のアドレス等)を用いて、図3に示すISAKMPパケットD2を作成する。
また、ISAKMP制御デーモン21aは、Phase−I、IIの各段階で作成した各SA(それぞれPhase−I SA、Phase−II SAという)をSA2aに格納する。この各SAには、上記KEYデータが加えられたIDデータが含まれる。
カーネル21bは、ネットワークNを介してパケットが受信されると、SA2aを参照して、当該受信パケットに係るPhase−I SA、Phase−II SAがSA2aに既に格納(作成)されているか否かを判定し、当該各SAが既にSA2aに格納されている場合には、各SAを用いて当該受信パケットの復号化を行う。当該受信パケットに係る各SAがSA2aに格納されていない場合には、ISAKMP制御デーモン21aに対して各SAの作成要求を行う。その際、ISAKMP制御デーモン21aは、当該パケットの送信元との間でPhase−I、IIを行って各SAを作成する。
カーネルl21bは、暗号トンネル構築後、ユーザ装置10からパケット送信が所定時間行われなかった場合、若しくは、ユーザ装置10から暗号トンネルの設定解除指示を受信した際には、当該暗号トンネルの設定を解除する。この場合、カーネルl21bは、当該暗号トンネルに係るPhase−I SA、Phase−II SAをSA2aから消去する。
NP22は、ネットワークNを介してパケットの送受信を行うためのインターフェースを備える。
次に、ネットワークNを介して、ユーザ装置10のISAKMP制御デーモン11aと、ルータ20のISAKMP制御デーモン21aとの間で行われるPhase−Iの処理内容について説明する。
まず、ISAKMP制御デーモン11aは、ISAKMPパケットD1を作成し、このISAKMPパケットD1をNP12を介してルータ20側に送信する(ステップS1)。ここで、ISAKMPパケットD1には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Ni)及びIDペイロード(IDi)が含まれる。
次に、ISAKMP制御デーモン21aは、ユーザ装置10側からISAKMPパケットD1が受信されると、このISAKMPパケットD1にHASHペイロード(HASHr)を加えてISAKMPパケットD2を作成し、このISAKMPパケットD2をNP22を介してユーザ装置10側に送信する(ステップS2)。ここで、ISAKMPパケットD2には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)、SAペイロード(SA)、key exchengeペイロード(KE)、NONCEペイロード(Nr)、IDペイロード(IDr)及びHASHペイロード(HASHr)が含まれる。
そして、ISAKMP制御デーモン11aは、ルータ20側からISAKMPパケットD2が受信されると、このうちIPヘッダ、UDPヘッダ及びISAKMPヘッダに、更に暗号化されたHASHペイロード(HASH_i)を加えてISAKMPパケットD3を作成し、このISAKMPパケットD3をルータ20に送信する(ステップS3)。ここで、ISAKMPパケットD3には、IPヘッダ(IP)、UDPヘッダ(UDP)、ISAKMPヘッダ(ISAKMP)及びHASHペイロード(HASHi)が含まれる。
次に、図5を参照して、ユーザ装置10とルータ20との間で暗号トンネルが構築された後にユーザ装置10が再起動された際の再起動処理について説明する。
まず、暗号トンネル(第1の暗号トンネルという)がユーザ装置10とルータ20との間で一旦構築されると、ユーザ装置10、ルータ20には、それぞれ、当該第1の暗号トンネルに係るPhase−I SA、Phase−II SA(第1のPhase−I、第1のPhase−II SAという)が作成されて保存される。ここで、第1の暗号トンネル構築の際に用いられたIPアドレスを第1のIPアドレスとし、IDペイロード(IDi)を第1のIDペイロードという。
その後、ユーザ装置10が故障等により再起動されると、ISAKMP制御デーモン11aにより、新たに付与されたIPアドレス(第1のIPアドレスとは異なる第2のIPアドレスという)に、ユーザ装置10に固有のKEYデータ(第1の暗号トンネルに用いられたものと同じKEYデータ)が更に加えられて新たな第2のIDペイロード(IDi)が作成される。
更に、ISAKMP制御デーモン11aにより、この第2のIDペイロードが含まれる新たなISAKMPパケットD1が作成されてルータ20側に送信される。
その後、ルータ20のISAKMP制御デーモン21aは、当該新たに作成されたISAKMPパケットD1が受信されると、第2のIDペイロードに含まれるKEYデータを第2のPhase−I SAとしてSA2aに格納し、今後受信されるパケットの認証を、この第2のIDペイロードに含まれる第2のIPアドレスに基づいて行う(ステップS11)。
その後、第2のPhase−I SAの作成終了に伴い、図3に示すPhase−Iのネゴシエーションが終了され、この第2のPhase−I SAがユーザ装置10、ルータ20の各SA1a、SA2aに保存される(ステップS12)。
そして、ISAKMP制御デーモン21aは、SA2aを参照して、第2のIPアドレスに係る他の(第1の暗号トンネルとは無関係な)Phase−I SAがSA2aに格納されているか否かを判定する(ステップS13)。
ステップS13の段階で、第2のIPアドレスに係る他のPhase−I SAがSA2aに格納されている場合には(ステップS13;Yes)、当該他のPhase−I SAを消去してステップS15に移行し(ステップS14)、上記他のPhase−I SAがSA2aに格納されていない場合には(ステップS13;No)、ステップS15に移行する。
その後、ISAKMP制御デーモン21aは、ユーザ装置10に固有のKEYデータに係る他のPhase−I SAがSA2aに格納されているか否かを判定する(ステップS15)。
この際、ユーザ装置10の再起動が、予め設定されたPhase−I SAのライフタイム終了前に行われた場合、第1の暗号トンネル構築の際(当該再起動前)に既に作成・保存されたPhase−I SAがSA2aに未だ残っているため(ステップS15;Yes)、ISAKMP制御デーモン21aは、当該再起動前に作成・保存され、SA2aに未だ残っているPhase−I SA、Phase−II SAを消去し(ステップS16)、ステップS17に移行する。
ステップS15の段階で、上記KEYデータに係る他のPhase−I SAがSA2aに格納されていな場合には(ステップS15;No)、ステップS17に移行する。
そして、ISAKMP制御デーモン21aは、Phase−IIの処理を行い、ユーザ装置10との間で新たな暗号トンネルを構築する(ステップS17)。
以上説明したように、暗号トンネル構築の際に、ユーザ装置固有のKEYデータがルータ20のSA2aにSAに関連付けて保存される。このため、ユーザ装置10とルータ20との間で暗号トンネルが構築された後、当該暗号トンネルが終了される前に、当該ユーザ装置10が故障等により再起動されて新たな暗号トンネル構築要求がユーザ装置10からルータ20になされた場合であっても、ルータ20は、KEYデータに基づいて、この新たな暗号トンネル構築要求を行ったユーザ装置10が、現在未終了の暗号トンネルを利用していたものと容易に確認できる。そして、当該未終了の暗号トンネルに係るSAがルータ20のSA2aから消去できるので、ルータ20のメモリ資源の有効活用が可能となる。特に、ルータ20の空きメモリ容量が増加でき、より多くの暗号トンネルの構築が同時並列的に可能となる。
なお、本実施の形態における記述は上記したものに限定されない。本実施の形態におけるネットワークシステム100、ユーザ装置10、ルータ20の細部構成及び詳細な動作等に関しては、本発明の趣旨を逸脱しない範囲で適宜変更可能である。
10 ユーザ装置
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
N ネットワーク
100 ネットワークシステム
11 CP
11a ISAKMP制御デーモン
11b カーネル
11c DB
12 NP
1a SA
20 ルータ
21 CP
21a ISAKMP制御デーモン
21b カーネル
21c DB
22 NP
2a SA
D1、D2、D3 ISAKMPパケット
N ネットワーク
Claims (3)
- ユーザ装置との間で暗号トンネルを構築して暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワーク中継装置であって、
前記ユーザ装置から該ユーザ装置を識別するための機器識別情報が前記暗号トンネル構築中に通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワーク中継装置。 - ネットワーク間で行われるデータ通信を中継する中継するネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置とを備え、該ユーザ装置と前記ネットワーク中継装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除するネットワークシステムであって、
前記ユーザ装置は、
前記暗号トンネルの構築中に、自装置を識別するための機器識別情報を前記ネットワーク中継装置に通知する識別情報通知手段を備え、
前記ネットワーク中継装置は、
前記機器識別情報が通知されると該機器識別情報をメモリ内に格納し、前記暗号トンネルの設定が解除された際に前記機器識別情報を前記メモリから消去する識別情報制御手段と、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始するよう制御する暗号トンネル構築制御手段と、
を備えたことを特徴とするネットワークシステム。 - ネットワーク間で行われるデータ通信を中継するネットワーク中継装置と、該ネットワーク中継装置を経由してデータ通信が可能なユーザ装置との間で暗号トンネルを構築して相互に暗号化通信を行い、該暗号トンネルを介したデータ通信が所定時間行われない場合には当該暗号トンネルの設定を解除する暗号化通信方法であって、
前記暗号トンネルの構築中に、前記ユーザ装置を識別するための機器識別情報を、該ユーザ装置から前記ネットワーク中継装置に通知する識別情報通知ステップと、
前記機器識別情報が前記ネットワーク中継装置に通知されると、該機器識別情報を該ネットワーク中継装置のメモリ内に格納する情報格納ステップと、
前記暗号トンネルの設定が解除された際に、前記機器識別情報を前記メモリ内から消去する情報消去ステップとを含み、
前記暗号トンネルの構築後に新たな暗号トンネルの構築要求が前記ユーザ装置から行われた場合には、前記機器識別情報が前記メモリ内に現在保存されているか否かに基づいて前記暗号トンネルが現在継続中であるか否かを判定し、暗号トンネル継続中の場合には、当該継続中の暗号トンネルの設定を解除して前記新たな暗号トンネルの構築を開始することを特徴とする暗号化通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004255589A JP4316450B2 (ja) | 2004-09-02 | 2004-09-02 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004255589A JP4316450B2 (ja) | 2004-09-02 | 2004-09-02 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006074457A true JP2006074457A (ja) | 2006-03-16 |
| JP4316450B2 JP4316450B2 (ja) | 2009-08-19 |
Family
ID=36154577
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004255589A Expired - Fee Related JP4316450B2 (ja) | 2004-09-02 | 2004-09-02 | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4316450B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008199498A (ja) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびセッション管理方法 |
| JP2012160941A (ja) * | 2011-02-01 | 2012-08-23 | Canon Inc | 情報処理装置、情報処理方法及びプログラム |
| JP2012175121A (ja) * | 2011-02-17 | 2012-09-10 | Seiko Epson Corp | 印刷装置及び印刷装置のsa確立方法 |
| JP2012175501A (ja) * | 2011-02-23 | 2012-09-10 | Seiko Epson Corp | インターネット通信システム、周辺装置、saパラメータ・セットの削除方法、及びsaパラメータ・セットの削除プログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1951060B1 (en) | 2005-11-04 | 2017-11-01 | Arla Foods Amba | A concentrate derived from a milk product enriched in naturally occurring sialyllactose and a process for preparation thereof |
-
2004
- 2004-09-02 JP JP2004255589A patent/JP4316450B2/ja not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008199498A (ja) * | 2007-02-15 | 2008-08-28 | Nippon Telegr & Teleph Corp <Ntt> | ゲートウェイ装置およびセッション管理方法 |
| JP2012160941A (ja) * | 2011-02-01 | 2012-08-23 | Canon Inc | 情報処理装置、情報処理方法及びプログラム |
| JP2012175121A (ja) * | 2011-02-17 | 2012-09-10 | Seiko Epson Corp | 印刷装置及び印刷装置のsa確立方法 |
| JP2012175501A (ja) * | 2011-02-23 | 2012-09-10 | Seiko Epson Corp | インターネット通信システム、周辺装置、saパラメータ・セットの削除方法、及びsaパラメータ・セットの削除プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4316450B2 (ja) | 2009-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11038846B2 (en) | Internet protocol security tunnel maintenance method, apparatus, and system | |
| CN107682284B (zh) | 发送报文的方法和网络设备 | |
| EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
| CN109150688B (zh) | IPSec VPN数据传输方法及装置 | |
| JP4763560B2 (ja) | 接続支援装置 | |
| JP3629237B2 (ja) | ノード装置及び通信制御方法 | |
| WO2009082889A1 (fr) | Procédé de négociation pour échange de clés internet et dispositif et système associés | |
| JP2007006041A (ja) | 通信装置およびプログラム | |
| JP4902878B2 (ja) | リンク管理システム | |
| US11736401B2 (en) | Reassigning exit internet protocol addresses in a virtual private network server | |
| US20190207776A1 (en) | Session management for communications between a device and a dtls server | |
| JP2008098813A (ja) | 情報通信装置、情報通信方法、及びプログラム | |
| CN109040059B (zh) | 受保护的tcp通信方法、通信装置及存储介质 | |
| JP2008205763A (ja) | 通信装置、通信方法およびプログラム | |
| CN115001686A (zh) | 一种全域量子安全设备及系统 | |
| JP2006246098A (ja) | 可変ipアドレス環境下におけるセキュリティアソシエーション継続方法および端末装置 | |
| CN108924157B (zh) | 一种基于IPSec VPN的报文转发方法及装置 | |
| JP4316450B2 (ja) | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 | |
| US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
| CN113472625B (zh) | 基于移动互联网的透明桥接方法、系统、设备及存储介质 | |
| JP4013920B2 (ja) | 通信システム、通信装置及びその動作制御方法並びにプログラム | |
| JP2005203938A (ja) | モバイルルータ装置およびホームエージェント装置 | |
| JP2008199420A (ja) | ゲートウェイ装置および認証処理方法 | |
| JP4413708B2 (ja) | ネットワーク中継装置、ネットワークシステム及び暗号化通信方法 | |
| CN114268499B (zh) | 数据传输方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20061215 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070501 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20081015 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090416 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090428 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090520 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 4316450 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120529 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120529 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130529 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140529 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |