JP2007251842A - Network apparatus - Google Patents
Network apparatus Download PDFInfo
- Publication number
- JP2007251842A JP2007251842A JP2006075644A JP2006075644A JP2007251842A JP 2007251842 A JP2007251842 A JP 2007251842A JP 2006075644 A JP2006075644 A JP 2006075644A JP 2006075644 A JP2006075644 A JP 2006075644A JP 2007251842 A JP2007251842 A JP 2007251842A
- Authority
- JP
- Japan
- Prior art keywords
- network device
- access control
- access
- database
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、IPsec(Security Architecture for Internet Protocol)やセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器に関する。 The present invention relates to a network device capable of performing security architecture control for IPsec (Security Architecture for Internet Protocol) and security policy in units of users, not devices.
IPsecにより通信を暗号化することにより、通信経路上の安全を保つことが可能となってきた。 It has become possible to maintain safety on the communication path by encrypting communication by IPsec.
IPsecの認証とアクセスコントロールについては、IPsecの暗号化共有鍵を生成するための処理であるIKE(Internet Key Exchange)によるPhase1の処理において、規格上はユーザ名やディレクトリサービスの国際標準であるX.500で規定されたものも利用することができる。
With regard to IPsec authentication and access control, in the
しかし、機器に設定して処理されることを前提としているため、データを振り分ける識別子としては、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスが前提とされている。 However, since it is assumed that the data is set in a device and processed, an identifier for distributing data is premised on an IP (Internet Protocol) address and a MAC (Media Access Control) address.
同様に、IPsecのアクセスデータベースとしてもIPアドレスで振り分けることが規格上指示されている。 Similarly, as an IPsec access database, it is instructed by the standard to sort by IP address.
なお、出願人は出願時点までに本発明に関連する公開された先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。 The applicant has not been able to find published prior art documents related to the present invention by the time of filing. Therefore, prior art document information is not disclosed.
上述したように、従来はIPアドレスもしくはMACアドレスが管理上の識別子として用いられていたため、本人認証として認証されるIKEの部分では、機器が正しいことは確保されているが、それを使うユーザが正しいことは確保できていない。 As described above, since an IP address or a MAC address has been conventionally used as an administrative identifier, in the IKE portion authenticated as personal authentication, it is ensured that the device is correct, but the user who uses it is The right thing is not secured.
このため、例えば一人のユーザが複数の機器をもって処理する場合、それらの機器による通信におけるアクセスコントロール、セキュリティポリシーを同一に保つためには、機器ごとに同じ設定をしなければならず、作業が煩雑であるとともに、保守性が悪くなるという問題があった。 For this reason, for example, when a single user performs processing with a plurality of devices, in order to maintain the same access control and security policy in communication by these devices, the same setting must be made for each device, and the work is complicated. In addition, there is a problem that the maintainability deteriorates.
また、IPv6(Internet Protocol version 6)においてはIPアドレスを複数用いた運用がなされるが、IPアドレスごとによるIPsecのSA(Security Association)経路の管理、アクセスコントロールを実施する場合、複数の証明書や、共通鍵を用意しなければならず、煩雑になるという問題があった。 In IPv6 (Internet Protocol version 6), an operation using a plurality of IP addresses is performed. However, when managing an IPsec SA (Security Association) route for each IP address and performing access control, a plurality of certificates and The common key must be prepared, and there is a problem that it becomes complicated.
本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器を提供することにある。 The present invention has been proposed in view of the above-described conventional problems, and an object of the present invention is to provide a network device that can perform IPsec and security policy control in units of users, not devices. There is.
上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、暗号化手段を有し、ネットワークに接続されるネットワーク機器であって、暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段を備えるネットワーク機器を要旨としている。
In order to solve the above problems, according to the present invention, as described in
また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断するようにすることができる。
Further, as described in
また、請求項3に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持するようにすることができる。
Further, as described in
また、請求項4に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得するようにすることができる。
Further, as described in claim 4, in the network device according to
また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載のネットワーク機器において、上記のIDをセキュリティポリシーと関連付けて設定する手段を備えるようにすることができる。
In addition, as described in claim 5, in the network device according to any one of
また、請求項6に記載されるように、請求項5に記載のネットワーク機器において、上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うようにすることができる。 As described in claim 6, in the network device according to claim 5, the association between the ID and the security policy can be performed via a port identifier.
また、請求項7に記載されるように、請求項5または6のいずれか一項に記載のネットワーク機器において、上記のセキュリティポリシーはアクセスグープごとに設定されているものとすることができる。 Further, as described in claim 7, in the network device according to any one of claims 5 and 6, the security policy may be set for each access group.
また、請求項8〜14に記載されるように、ネットワーク機器のアクセス制御方法として構成することができる。 Further, as described in claims 8 to 14, it can be configured as an access control method for a network device.
本発明のネットワーク機器にあっては、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行うことができ、ユーザ毎に個別に通信経路を暗号化し、個人毎の情報のコントロールが可能となる。これにより、複数の機器を利用するユーザであっても、どの機器からのアクセスでも同じアクセスコントロールおよびセキュリティポリシーの適応が可能となる。また、登録されたID1つで、利用する機器に対して安全な通信経路の利用ができる。 In the network device of the present invention, IPsec and security policy can be controlled in units of users, not devices, and communication paths can be individually encrypted for each user to control information for each individual. It becomes. Thereby, even a user who uses a plurality of devices can apply the same access control and security policy regardless of the access from any device. In addition, it is possible to use a safe communication path for a device to be used with one registered ID.
以下、本発明の好適な実施形態につき説明する。 Hereinafter, preferred embodiments of the present invention will be described.
図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。 FIG. 1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention.
図1において、ネットワーク3上にはネットワーク機器1A、1Bと外部サーバ2が接続されている。なお、後述する動作説明との関係から、ネットワーク機器1Aはイニシエータ、ネットワーク機器1Bはレスポンダと示してあるが、逆になる場合もある。また、同一のネットワーク3上に限らず、ルータ等を介して他のセグメントにあるネットワーク機器と通信することも可能である。
In FIG. 1,
図2はレスポンダ側のネットワーク機器1Bの内部構成例を示す図である。
FIG. 2 is a diagram illustrating an internal configuration example of the
図2において、ネットワーク機器1Bは、処理において参照もしくは更新する各種のデータベースD1〜D5を備えている。なお、データベースD1〜D5は機器内部に設けてもよいし、ネットワーク上のサーバ等に設けてもよい。
In FIG. 2, the
ネットワーク機器1Bは、IKEのPhase1の処理を行うPhase1処理部11と、Phase1処理部11内にあって、イニシエータから送られたユーザを示すIDに基づいてアクセス条件の確認を行うアクセス条件確認部12とを備えている。
The
また、IKEのPhase1処理の後に、セキュリティポリシー適用のためにユーザのIDとポートとの関連付けを行うID/ポート関連付け設定部13と、IKEのPhase2の処理を行うPhase2処理部14と、IKEのPhase1、Phase2の処理により設定された情報に基づいてIPsec通信を行うIPsec通信処理部15とを備えている。
In addition, after the
図3はIDデータベースD1の例を示す図であり、レコード番号と、ユーザのIDと、公開鍵とを対応付けて保持している。 FIG. 3 is a diagram illustrating an example of the ID database D1, and holds record numbers, user IDs, and public keys in association with each other.
図4はアクセスデータベースD2の例を示す図であり、ユーザのIDと、アクセス条件#1と、アクセス条件#2とを対応付けて保持している。ここではアクセス条件#1としてアクセス時間帯を規定し、アクセス条件#2として機器の状態を規定しているが、別のアクセス条件を規定してもよい。
FIG. 4 is a diagram illustrating an example of the access database D2, and holds the user ID, the
図5はグループセキュリティポリシーデータベースD3の例を示す図であり、ルール番号と、X.500等で規定される送信元(グループ)の識別子と、通信の識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。 FIG. 5 is a diagram showing an example of the group security policy database D3. A transmission source (group) identifier defined by 500, a communication identification port, an operation, a filter, a setting of a security protocol, and the like are associated and held.
図6はID/グループ対応データベースD4の例を示す図であり、ユーザのIDと、グループとを対応付けて保持している。 FIG. 6 is a diagram showing an example of the ID / group correspondence database D4, in which a user ID and a group are held in association with each other.
図7はIPsecアクセスデータベースD5の例を示す図であり、ルール番号と、送信元の識別子と、識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。 FIG. 7 is a diagram showing an example of the IPsec access database D5, and holds rule numbers, transmission source identifiers, identification ports, operations, filters, security protocols, and the like in association with each other.
図8は上記の実施形態の全体的な処理例を示すフローチャートである。 FIG. 8 is a flowchart showing an overall processing example of the above-described embodiment.
図8において、処理を開始すると(ステップS101)、先ずIKEのPhase1の処理を行う(ステップS102)。
In FIG. 8, when processing is started (step S101), first,
その後、ユーザのIDとポートとの関連付けを行う(ステップS103)。 Thereafter, the user ID is associated with the port (step S103).
その後、IKEのPhase2の処理を行う(ステップS104)。
Thereafter, the
そして、Phase1、Phase2の処理により設定された情報に基づいてIPsec通信を行い(ステップS105)、処理を終了する(ステップS106)。
Then, IPsec communication is performed based on the information set by the processing of
図9はデジタル証明の認証Aggressive ModeによるIKE Phase1の処理例を示すシーケンス図であり、図10はIKE Phase1におけるレスポンダ側のネットワーク機器1Bの処理例を示すフローチャートである。なお、図9において網掛けした部分は暗号化されていることを示している。
FIG. 9 is a sequence diagram illustrating a processing example of
図9および図10において、イニシエータ側のネットワーク機器1Aから認証のデータとしてイニシエータのユーザを特定するIDを含むデータ(SAパラメータの提案)が送信される(ステップS111)。
In FIG. 9 and FIG. 10, data (SA parameter proposal) including an ID for specifying the initiator user is transmitted as authentication data from the
レスポンダ側のネットワーク機器1Bは処理を開始し(ステップS112)、そのIDによりIDデータベースD1を検索し(ステップS113)、IDが存在するかどうか判断する(ステップS114)。
The
IDが存在する場合、アクセスデータベースD2を検索し(ステップS115)、IDを比較することによりアクセス条件に当てはまるかどうか判断する(ステップS116)。図4に示したアクセスデータベースD2の例では、例えば、「hogehoge」というIDのイニシエータが、IKEのISKMP(Internet Security Association Key Management Protocol)のパケットを送ってきた場合、現在時刻が9:00〜18:00であり、レスポンダがスタンバイの状態であったときのみ、IPsecによるアクセスを許可する。この条件以外の場合はアクセスを拒否する。 If the ID exists, the access database D2 is searched (step S115), and it is determined whether the access condition is met by comparing the IDs (step S116). In the example of the access database D2 illustrated in FIG. 4, for example, when an initiator having an ID “hogehoge” sends a packet of an IKE ISKMP (Internet Security Association Key Management Protocol), the current time is 9: 00 to 18. 0:00, and only when the responder is in the standby state, access by IPsec is permitted. In cases other than these conditions, access is denied.
図9および図10に戻り、アクセス条件に当てはまる場合、アクセス許可のコマンド(SAパラメータの提案)をイニシエータ側のネットワーク機器1Aに送信する(ステップS117)。
Returning to FIG. 9 and FIG. 10, if the access condition is met, an access permission command (SA parameter proposal) is transmitted to the
次いで、イニシエータ側のネットワーク機器1Aから秘密鍵で署名したイニシエータのIDおよび証明書情報を受信する(ステップS118)。このとき、レスポンダはこのIDに対する本人性確認をするために、このIDに対するハッシュ値の計算を実施し、この送付されたIDとレスポンダ側が保持するIDとその公開鍵とで署名が正しいかどうかを確認することにより本人認証を実施し、Phase1の処理を終了する(ステップS120)。これにより、続くPhase2以降で実際の暗号化通信を実施できるようにすることが可能となる。予めIDに対してアクセスコントロールを設定することにより、以降時間のかかるIPsecのための共通鍵の作成計算を必要としないアクセスコントロールを実施することができる。
Next, the initiator ID and certificate information signed with the private key are received from the
また、IDが存在しなかった場合もしくはアクセス条件に当てはまらなかった場合は、アクセス破棄のコマンドを送信し(ステップS119)、処理を終了する(ステップS120)。 If the ID does not exist or the access condition is not met, an access discard command is transmitted (step S119), and the process is terminated (step S120).
一方、上記のレスポンダでの処理におけるIDデータベースD1もしくはアクセスデータベースD2の検索においては、IDが完全に一致しない場合であっても次のように処理することができる。すなわち、図3のIDデータベースD1においては「saru@banana.com」のように名前付きFQDN(Fully Qualified Domain Name)で指定されており、図4のアクセスデータベースD2では「banana.com」のようにドメイン名のみが指定されている場合がある。この場合、完全一致ではないが、ドメイン名が一致したユーザに対しては図4のアクセスデータベースD2に示される内容でアクセスできるようにする。その他、X.500で定義されたDN(Distinguished Name)、FQDN等についても同様である。 On the other hand, in the search of the ID database D1 or the access database D2 in the above-described processing by the responder, even if the IDs do not completely match, the following processing can be performed. That is, in the ID database D1 of FIG. 3, it is specified by a named FQDN (Fully Qualified Domain Name) such as “saru@banana.com”, and in the access database D2 of FIG. Only the domain name may be specified. In this case, although it is not an exact match, a user whose domain name matches can be accessed with the contents shown in the access database D2 of FIG. In addition, X. The same applies to DN (Distinguished Name), FQDN, etc. defined in 500.
また、上記のレスポンダでの処理におけるIDデータベースD1、アクセスデータベースD2をレスポンダに保持せずに、図1に示した外部サーバ2に保持させることができる。この場合、イニシエータからIKEのデータ通信があった場合、アクセスされたIDを外部サーバ2に対して送付する。外部サーバ2は、IDデータベースD1およびアクセスデータベースD2を保持してあり、その内容と照らし合わせて、アクセス可能かどうかの結果をレスポンダに返す。レスポンダはその結果によりIPsecの処理を提供する。これにより、レスポンダ側のネットワーク機器1Bでは外部サーバ2を指定するだけでレスポンダ側へのアクセスコントロールを実現することができる。
Further, the ID database D1 and the access database D2 in the above-described processing in the responder can be held in the
図11はID/ポート関連付けの処理例を示すシーケンス図である。Phase1が終了し、イニシエータ、レスポンダのお互いの認証が終了したときに、お互いの認証と同時に、認証されたものからセキュリティポリシーを参照する。例えば、あるIPアドレスやIPアドレスのサブネットとの通信には、TCP(Transmission Control Protocol)のみをIPsecにしたり、TCPのあるポートのみをIPsecしたりすることでアクセスコントロールを実施することができる。
FIG. 11 is a sequence diagram illustrating an example of ID / port association processing. When
図11において、イニシエータ側のネットワーク機器1AからConfiuration Methodによって、Phase1のIDとUDP(User Datagram Protocol)等のポート番号を送信する(ステップS121)。
In FIG. 11, the ID of
レスポンダ側のネットワーク機器1Bでは、グループセキュリティポリシーデータベースD3(図5)およびID/グループ対応データベースD4(図6)を参照することで、ユーザのIDと識別ポートとの対応関係を把握し、IPsecアクセスデータベースD5(図7)を生成する。そして、レスポンダ側のネットワーク機器1Bはレスポンスを発し(ステップS122)、イニシエータ側のネットワーク機器1Aはそのレスポンスを受け取る。
The
これにより、IPアドレスやIPアドレスのサブネットとは別に、IPsecによるSAを、IDとUDPポートを関連図けることにより、IDによる識別を可能とする。図12はUDPヘッダを付加したIPsecパケットの例を示す図であり、このパケットをIPsecのSAとして処理する。通常IPsecの識別には、IPアドレスを利用するが、IKEで認証した識別子に対して、IPsec上でもユーザによるアクセスコントロールを実現することができる。また、アクセスコントロールをグループ毎に管理することができる。なお、TCPにも同様に適用することができる。 Thereby, apart from the IP address and the subnet of the IP address, the SA based on IPsec can be identified by the ID by relating the ID and the UDP port. FIG. 12 is a diagram showing an example of an IPsec packet to which a UDP header is added, and this packet is processed as an IPsec SA. Usually, an IP address is used for identification of IPsec, but access control by a user can be realized even on IPsec for an identifier authenticated by IKE. In addition, access control can be managed for each group. The same applies to TCP.
図13はIKE Phase2の処理例を示すシーケンス図である。 FIG. 13 is a sequence diagram illustrating a processing example of IKE Phase2.
図13において、イニシエータ側のネットワーク機器1AからSAパラメータの提案を行い(ステップS131)、レスポンダ側のネットワーク機器1Bはこれを受け取る。
In FIG. 13, an SA parameter is proposed from the
次いで、レスポンダ側のネットワーク機器1BからもSAパラメータの提案を行い(ステップS132)、イニシエータ側のネットワーク機器1Aはこれを受け取る。
Next, the SA parameter is also proposed from the
次いで、イニシエータ側のネットワーク機器1AからイニシエータのIDおよび認証情報を送信し(ステップS133)、Phase2の処理を終了する。
Next, the initiator ID and authentication information are transmitted from the
その後、上述したIPsecアクセスデータベースD5(図7)の内容に基づき、IPsec通信が行われる。 Thereafter, IPsec communication is performed based on the contents of the above-described IPsec access database D5 (FIG. 7).
以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。 The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.
1A、1B ネットワーク機器
11 Phase1処理部
12 アクセス条件確認部
13 ID/ポート関連付け設定部
14 Phase2処理部
15 IPsec通信処理部
D1 IDデータベース
D2 アクセスデータベース
D3 グループセキュリティポリシーデータベース
D4 ID/グループ対応データベース
D5 IPsecアクセスデータベース
2 外部サーバ
3 ネットワーク
1A,
Claims (14)
暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段を備えたことを特徴とするネットワーク機器。 A network device having encryption means and connected to a network,
A network device comprising means for acquiring an ID of a user of the initiator from the initiator and determining whether access is possible by referring to a database in the process for generating the encrypted shared key.
上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器。 The network device according to claim 1,
A network device characterized by determining a match with registration information by using a part of the ID when determining the ID.
レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 1 or 2,
A network device characterized in that a database of access control is held on the responder side.
レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 1 or 2,
A network device characterized in that an access control database is not held on the responder side, the server device is inquired, the access control is determined by the server device, and the result is obtained on the responder side.
上記のIDをセキュリティポリシーと関連付けて設定する手段を備えたことを特徴とするネットワーク機器。 The network device according to any one of claims 1 to 4,
A network device comprising means for setting the ID in association with a security policy.
上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うことを特徴とするネットワーク機器。 The network device according to claim 5, wherein
A network device characterized in that the association between the ID and the security policy is performed through a port identifier.
上記のセキュリティポリシーはアクセスグープごとに設定されていることを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 5 or 6,
A network device characterized in that the above security policy is set for each access group.
暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する工程を備えたことを特徴とするネットワーク機器のアクセス制御方法。 An access control method for a network device having encryption means and connected to a network,
A network device comprising a step of acquiring an ID of a user of the initiator from the initiator and determining whether the access is possible by referring to a database in the process for generating the encryption shared key Access control method.
上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器のアクセス制御方法。 The network device access control method according to claim 8,
An access control method for a network device, characterized in that, in determining the ID, a match with registration information is determined using a part of the ID.
レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 8 and 9,
An access control method for a network device, characterized in that an access control database is held on a responder side.
レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 8 and 9,
Access control of a network device, characterized in that the responder does not hold an access control database, makes an inquiry to the server device, determines the access control at the server device, and obtains the result on the responder side Method.
上記のIDをセキュリティポリシーと関連付けて設定する工程を備えたことを特徴とするネットワーク機器のアクセス制御方法。 The network device access control method according to any one of claims 8 to 11,
A network device access control method comprising a step of setting the ID in association with a security policy.
上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うことを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to claim 12,
An access control method for a network device, wherein the association between the ID and the security policy is performed via a port identifier.
上記のセキュリティポリシーはアクセスグープごとに設定されていることを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 12 and 13,
An access control method for a network device, wherein the security policy is set for each access group.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006075644A JP4994683B2 (en) | 2006-03-17 | 2006-03-17 | Network equipment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006075644A JP4994683B2 (en) | 2006-03-17 | 2006-03-17 | Network equipment |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2007251842A true JP2007251842A (en) | 2007-09-27 |
JP2007251842A5 JP2007251842A5 (en) | 2009-04-09 |
JP4994683B2 JP4994683B2 (en) | 2012-08-08 |
Family
ID=38595624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006075644A Expired - Fee Related JP4994683B2 (en) | 2006-03-17 | 2006-03-17 | Network equipment |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4994683B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011199340A (en) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | Communication apparatus and method, and communication system |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001298449A (en) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | Security communication method, communication system and its unit |
JP2003115834A (en) * | 2001-10-05 | 2003-04-18 | Mitsubishi Electric Corp | Security association cutting/continuing method and communication system |
JP2004062417A (en) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Certification server device, server device and gateway device |
JP2004104542A (en) * | 2002-09-11 | 2004-04-02 | Nec Corp | Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor |
JP2004289257A (en) * | 2003-03-19 | 2004-10-14 | Hitachi Ltd | Network authentication apparatus and system |
JP2005160005A (en) * | 2003-11-04 | 2005-06-16 | Ntt Communications Kk | Building method of encryption communication channel between terminals, device for it, and program |
JP2005167608A (en) * | 2003-12-02 | 2005-06-23 | Canon Inc | System and method for ciphered communication computer program, and computer readable recording medium |
JP2005175825A (en) * | 2003-12-10 | 2005-06-30 | Ntt Data Corp | Encrypted packet filtering device, program thereof, and host device |
JP2006019824A (en) * | 2004-06-30 | 2006-01-19 | Kddi Corp | Secure communication system, management apparatus, and communication terminal |
JP2006060748A (en) * | 2004-08-24 | 2006-03-02 | Hitachi Communication Technologies Ltd | User identifier management method, mobile ip agent and home agent |
JP2006352710A (en) * | 2005-06-17 | 2006-12-28 | Ntt Communications Kk | Packet repeating apparatus and program |
JP2007097010A (en) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Access support apparatus and gateway apparatus |
JP2008072242A (en) * | 2006-09-12 | 2008-03-27 | Ricoh Co Ltd | Network apparatus |
-
2006
- 2006-03-17 JP JP2006075644A patent/JP4994683B2/en not_active Expired - Fee Related
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001298449A (en) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | Security communication method, communication system and its unit |
JP2003115834A (en) * | 2001-10-05 | 2003-04-18 | Mitsubishi Electric Corp | Security association cutting/continuing method and communication system |
JP2004062417A (en) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | Certification server device, server device and gateway device |
JP2004104542A (en) * | 2002-09-11 | 2004-04-02 | Nec Corp | Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor |
JP2004289257A (en) * | 2003-03-19 | 2004-10-14 | Hitachi Ltd | Network authentication apparatus and system |
JP2005160005A (en) * | 2003-11-04 | 2005-06-16 | Ntt Communications Kk | Building method of encryption communication channel between terminals, device for it, and program |
JP2005167608A (en) * | 2003-12-02 | 2005-06-23 | Canon Inc | System and method for ciphered communication computer program, and computer readable recording medium |
JP2005175825A (en) * | 2003-12-10 | 2005-06-30 | Ntt Data Corp | Encrypted packet filtering device, program thereof, and host device |
JP2006019824A (en) * | 2004-06-30 | 2006-01-19 | Kddi Corp | Secure communication system, management apparatus, and communication terminal |
JP2006060748A (en) * | 2004-08-24 | 2006-03-02 | Hitachi Communication Technologies Ltd | User identifier management method, mobile ip agent and home agent |
JP2006352710A (en) * | 2005-06-17 | 2006-12-28 | Ntt Communications Kk | Packet repeating apparatus and program |
JP2007097010A (en) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Access support apparatus and gateway apparatus |
JP2008072242A (en) * | 2006-09-12 | 2008-03-27 | Ricoh Co Ltd | Network apparatus |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011199340A (en) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | Communication apparatus and method, and communication system |
Also Published As
Publication number | Publication date |
---|---|
JP4994683B2 (en) | 2012-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3912609B2 (en) | Remote access VPN mediation method and mediation device | |
JP4033868B2 (en) | Method and apparatus for processing authentication in IPv6 network | |
Winter et al. | Transport layer security (TLS) encryption for RADIUS | |
JP4766574B2 (en) | Preventing duplicate sources from clients handled by network address port translators | |
US7003662B2 (en) | System and method for dynamically determining CRL locations and access methods | |
Frankel et al. | Ip security (ipsec) and internet key exchange (ike) document roadmap | |
US6938155B2 (en) | System and method for multiple virtual private network authentication schemes | |
US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
RU2289886C2 (en) | Method, bridge, and system for data transfer between public data network device and intercom network device | |
JP4482601B2 (en) | Preventing duplicate sources from clients handled by network address port translators | |
US20100077204A1 (en) | Information processing apparatus, management apparatus, communication system and computer readable medium | |
US20060174120A1 (en) | System and method for providing peer-to-peer communication | |
JP2009111437A (en) | Network system | |
JP5078422B2 (en) | Server apparatus, information processing apparatus, program, and recording medium | |
JPWO2002067512A1 (en) | Packet filtering method and packet communication system for ensuring communication security | |
US11936633B2 (en) | Centralized management of private networks | |
US20090328139A1 (en) | Network communication device | |
JP4994683B2 (en) | Network equipment | |
JP4426443B2 (en) | Improved security method and apparatus for communicating over a network | |
JP2011054182A (en) | System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message | |
US20210092099A1 (en) | Network access system for detecting intrusions over a network | |
JP4874037B2 (en) | Network equipment | |
JP2006019824A (en) | Secure communication system, management apparatus, and communication terminal | |
JP2008199420A (en) | Gateway device and authentication processing method | |
JP2005079921A (en) | Communication equipment, address creating method, program and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090219 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110830 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111021 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120410 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120509 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150518 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4994683 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |