JP2007251842A - Network apparatus - Google Patents

Network apparatus Download PDF

Info

Publication number
JP2007251842A
JP2007251842A JP2006075644A JP2006075644A JP2007251842A JP 2007251842 A JP2007251842 A JP 2007251842A JP 2006075644 A JP2006075644 A JP 2006075644A JP 2006075644 A JP2006075644 A JP 2006075644A JP 2007251842 A JP2007251842 A JP 2007251842A
Authority
JP
Japan
Prior art keywords
network device
access control
access
database
control method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006075644A
Other languages
Japanese (ja)
Other versions
JP4994683B2 (en
JP2007251842A5 (en
Inventor
Kenichi Kitamura
憲一 北村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2006075644A priority Critical patent/JP4994683B2/en
Publication of JP2007251842A publication Critical patent/JP2007251842A/en
Publication of JP2007251842A5 publication Critical patent/JP2007251842A5/ja
Application granted granted Critical
Publication of JP4994683B2 publication Critical patent/JP4994683B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network apparatus for controlling the IPsec and the security policy not for each apparatus but for each user or the like. <P>SOLUTION: The network apparatus including an encryption means and connected to a network, includes a means that acquires an ID of a user of an initiator from the initiator in processing of generating an encrypted common key and discriminates whether to access by referencing a database. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、IPsec(Security Architecture for Internet Protocol)やセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器に関する。   The present invention relates to a network device capable of performing security architecture control for IPsec (Security Architecture for Internet Protocol) and security policy in units of users, not devices.

IPsecにより通信を暗号化することにより、通信経路上の安全を保つことが可能となってきた。   It has become possible to maintain safety on the communication path by encrypting communication by IPsec.

IPsecの認証とアクセスコントロールについては、IPsecの暗号化共有鍵を生成するための処理であるIKE(Internet Key Exchange)によるPhase1の処理において、規格上はユーザ名やディレクトリサービスの国際標準であるX.500で規定されたものも利用することができる。   With regard to IPsec authentication and access control, in the Phase 1 processing by IKE (Internet Key Exchange), which is processing for generating an IPsec encrypted shared key, the standard is X. which is an international standard for user names and directory services. Those defined in 500 can also be used.

しかし、機器に設定して処理されることを前提としているため、データを振り分ける識別子としては、IP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスが前提とされている。   However, since it is assumed that the data is set in a device and processed, an identifier for distributing data is premised on an IP (Internet Protocol) address and a MAC (Media Access Control) address.

同様に、IPsecのアクセスデータベースとしてもIPアドレスで振り分けることが規格上指示されている。   Similarly, as an IPsec access database, it is instructed by the standard to sort by IP address.

なお、出願人は出願時点までに本発明に関連する公開された先行技術文献を発見することができなかった。よって、先行技術文献情報を開示していない。   The applicant has not been able to find published prior art documents related to the present invention by the time of filing. Therefore, prior art document information is not disclosed.

上述したように、従来はIPアドレスもしくはMACアドレスが管理上の識別子として用いられていたため、本人認証として認証されるIKEの部分では、機器が正しいことは確保されているが、それを使うユーザが正しいことは確保できていない。   As described above, since an IP address or a MAC address has been conventionally used as an administrative identifier, in the IKE portion authenticated as personal authentication, it is ensured that the device is correct, but the user who uses it is The right thing is not secured.

このため、例えば一人のユーザが複数の機器をもって処理する場合、それらの機器による通信におけるアクセスコントロール、セキュリティポリシーを同一に保つためには、機器ごとに同じ設定をしなければならず、作業が煩雑であるとともに、保守性が悪くなるという問題があった。   For this reason, for example, when a single user performs processing with a plurality of devices, in order to maintain the same access control and security policy in communication by these devices, the same setting must be made for each device, and the work is complicated. In addition, there is a problem that the maintainability deteriorates.

また、IPv6(Internet Protocol version 6)においてはIPアドレスを複数用いた運用がなされるが、IPアドレスごとによるIPsecのSA(Security Association)経路の管理、アクセスコントロールを実施する場合、複数の証明書や、共通鍵を用意しなければならず、煩雑になるという問題があった。   In IPv6 (Internet Protocol version 6), an operation using a plurality of IP addresses is performed. However, when managing an IPsec SA (Security Association) route for each IP address and performing access control, a plurality of certificates and The common key must be prepared, and there is a problem that it becomes complicated.

本発明は上記の従来の問題点に鑑み提案されたものであり、その目的とするところは、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行えるようにしたネットワーク機器を提供することにある。   The present invention has been proposed in view of the above-described conventional problems, and an object of the present invention is to provide a network device that can perform IPsec and security policy control in units of users, not devices. There is.

上記の課題を解決するため、本発明にあっては、請求項1に記載されるように、暗号化手段を有し、ネットワークに接続されるネットワーク機器であって、暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段を備えるネットワーク機器を要旨としている。   In order to solve the above problems, according to the present invention, as described in claim 1, the network device includes an encryption unit and is connected to a network, and generates an encrypted shared key. The gist of the present invention is a network device provided with means for acquiring an ID of a user of the initiator from the initiator and determining whether or not access is possible by referring to a database.

また、請求項2に記載されるように、請求項1に記載のネットワーク機器において、上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断するようにすることができる。   Further, as described in claim 2, in the network device according to claim 1, when determining the ID, a part of the ID is used to determine a match with the registration information. be able to.

また、請求項3に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持するようにすることができる。   Further, as described in claim 3, in the network device according to claim 1 or 2, an access control database can be held on the responder side.

また、請求項4に記載されるように、請求項1または2のいずれか一項に記載のネットワーク機器において、レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得するようにすることができる。   Further, as described in claim 4, in the network device according to claim 1 or 2, the responder side does not hold an access control database, and makes an inquiry to the server device, It is possible to determine access control by the server device and obtain the result on the responder side.

また、請求項5に記載されるように、請求項1乃至4のいずれか一項に記載のネットワーク機器において、上記のIDをセキュリティポリシーと関連付けて設定する手段を備えるようにすることができる。   In addition, as described in claim 5, in the network device according to any one of claims 1 to 4, it is possible to include means for setting the ID in association with a security policy.

また、請求項6に記載されるように、請求項5に記載のネットワーク機器において、上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うようにすることができる。   As described in claim 6, in the network device according to claim 5, the association between the ID and the security policy can be performed via a port identifier.

また、請求項7に記載されるように、請求項5または6のいずれか一項に記載のネットワーク機器において、上記のセキュリティポリシーはアクセスグープごとに設定されているものとすることができる。   Further, as described in claim 7, in the network device according to any one of claims 5 and 6, the security policy may be set for each access group.

また、請求項8〜14に記載されるように、ネットワーク機器のアクセス制御方法として構成することができる。   Further, as described in claims 8 to 14, it can be configured as an access control method for a network device.

本発明のネットワーク機器にあっては、IPsecやセキュリティポリシーの制御を、機器ではなくユーザ等を単位に行うことができ、ユーザ毎に個別に通信経路を暗号化し、個人毎の情報のコントロールが可能となる。これにより、複数の機器を利用するユーザであっても、どの機器からのアクセスでも同じアクセスコントロールおよびセキュリティポリシーの適応が可能となる。また、登録されたID1つで、利用する機器に対して安全な通信経路の利用ができる。   In the network device of the present invention, IPsec and security policy can be controlled in units of users, not devices, and communication paths can be individually encrypted for each user to control information for each individual. It becomes. Thereby, even a user who uses a plurality of devices can apply the same access control and security policy regardless of the access from any device. In addition, it is possible to use a safe communication path for a device to be used with one registered ID.

以下、本発明の好適な実施形態につき説明する。   Hereinafter, preferred embodiments of the present invention will be described.

図1は本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。   FIG. 1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention.

図1において、ネットワーク3上にはネットワーク機器1A、1Bと外部サーバ2が接続されている。なお、後述する動作説明との関係から、ネットワーク機器1Aはイニシエータ、ネットワーク機器1Bはレスポンダと示してあるが、逆になる場合もある。また、同一のネットワーク3上に限らず、ルータ等を介して他のセグメントにあるネットワーク機器と通信することも可能である。   In FIG. 1, network devices 1 </ b> A and 1 </ b> B and an external server 2 are connected on a network 3. Although the network device 1A is shown as an initiator and the network device 1B is shown as a responder in relation to the description of the operation to be described later, there are cases where the opposite is true. It is also possible to communicate with network devices in other segments via a router or the like, not limited to the same network 3.

図2はレスポンダ側のネットワーク機器1Bの内部構成例を示す図である。   FIG. 2 is a diagram illustrating an internal configuration example of the network device 1B on the responder side.

図2において、ネットワーク機器1Bは、処理において参照もしくは更新する各種のデータベースD1〜D5を備えている。なお、データベースD1〜D5は機器内部に設けてもよいし、ネットワーク上のサーバ等に設けてもよい。   In FIG. 2, the network device 1B includes various databases D1 to D5 that are referred to or updated in the process. The databases D1 to D5 may be provided inside the device, or may be provided in a server on the network.

ネットワーク機器1Bは、IKEのPhase1の処理を行うPhase1処理部11と、Phase1処理部11内にあって、イニシエータから送られたユーザを示すIDに基づいてアクセス条件の確認を行うアクセス条件確認部12とを備えている。   The network device 1B includes a Phase 1 processing unit 11 that performs IKE Phase 1 processing, and an access condition confirmation unit 12 that is included in the Phase 1 processing unit 11 and that checks access conditions based on an ID indicating a user sent from the initiator. And.

また、IKEのPhase1処理の後に、セキュリティポリシー適用のためにユーザのIDとポートとの関連付けを行うID/ポート関連付け設定部13と、IKEのPhase2の処理を行うPhase2処理部14と、IKEのPhase1、Phase2の処理により設定された情報に基づいてIPsec通信を行うIPsec通信処理部15とを備えている。   In addition, after the IKE Phase 1 process, an ID / port association setting unit 13 that associates a user ID with a port for applying a security policy, a Phase 2 processing unit 14 that performs an IKE Phase 2 process, and an IKE Phase 1 , An IPsec communication processing unit 15 that performs IPsec communication based on the information set by the Phase 2 process.

図3はIDデータベースD1の例を示す図であり、レコード番号と、ユーザのIDと、公開鍵とを対応付けて保持している。   FIG. 3 is a diagram illustrating an example of the ID database D1, and holds record numbers, user IDs, and public keys in association with each other.

図4はアクセスデータベースD2の例を示す図であり、ユーザのIDと、アクセス条件#1と、アクセス条件#2とを対応付けて保持している。ここではアクセス条件#1としてアクセス時間帯を規定し、アクセス条件#2として機器の状態を規定しているが、別のアクセス条件を規定してもよい。   FIG. 4 is a diagram illustrating an example of the access database D2, and holds the user ID, the access condition # 1, and the access condition # 2 in association with each other. Here, the access time zone is defined as the access condition # 1, and the device state is defined as the access condition # 2, but another access condition may be defined.

図5はグループセキュリティポリシーデータベースD3の例を示す図であり、ルール番号と、X.500等で規定される送信元(グループ)の識別子と、通信の識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。   FIG. 5 is a diagram showing an example of the group security policy database D3. A transmission source (group) identifier defined by 500, a communication identification port, an operation, a filter, a setting of a security protocol, and the like are associated and held.

図6はID/グループ対応データベースD4の例を示す図であり、ユーザのIDと、グループとを対応付けて保持している。   FIG. 6 is a diagram showing an example of the ID / group correspondence database D4, in which a user ID and a group are held in association with each other.

図7はIPsecアクセスデータベースD5の例を示す図であり、ルール番号と、送信元の識別子と、識別ポートと、動作と、フィルタと、セキュリティプロトコル等の設定とを対応付けて保持している。   FIG. 7 is a diagram showing an example of the IPsec access database D5, and holds rule numbers, transmission source identifiers, identification ports, operations, filters, security protocols, and the like in association with each other.

図8は上記の実施形態の全体的な処理例を示すフローチャートである。   FIG. 8 is a flowchart showing an overall processing example of the above-described embodiment.

図8において、処理を開始すると(ステップS101)、先ずIKEのPhase1の処理を行う(ステップS102)。   In FIG. 8, when processing is started (step S101), first, IKE Phase 1 processing is performed (step S102).

その後、ユーザのIDとポートとの関連付けを行う(ステップS103)。   Thereafter, the user ID is associated with the port (step S103).

その後、IKEのPhase2の処理を行う(ステップS104)。   Thereafter, the IKE Phase 2 process is performed (step S104).

そして、Phase1、Phase2の処理により設定された情報に基づいてIPsec通信を行い(ステップS105)、処理を終了する(ステップS106)。   Then, IPsec communication is performed based on the information set by the processing of Phase 1 and Phase 2 (step S105), and the processing is terminated (step S106).

図9はデジタル証明の認証Aggressive ModeによるIKE Phase1の処理例を示すシーケンス図であり、図10はIKE Phase1におけるレスポンダ側のネットワーク機器1Bの処理例を示すフローチャートである。なお、図9において網掛けした部分は暗号化されていることを示している。   FIG. 9 is a sequence diagram illustrating a processing example of IKE Phase 1 by the digital certification authentication Aggressive Mode, and FIG. 10 is a flowchart illustrating a processing example of the network device 1B on the responder side in IKE Phase 1. Note that the shaded portion in FIG. 9 indicates that it is encrypted.

図9および図10において、イニシエータ側のネットワーク機器1Aから認証のデータとしてイニシエータのユーザを特定するIDを含むデータ(SAパラメータの提案)が送信される(ステップS111)。   In FIG. 9 and FIG. 10, data (SA parameter proposal) including an ID for specifying the initiator user is transmitted as authentication data from the network device 1A on the initiator side (step S111).

レスポンダ側のネットワーク機器1Bは処理を開始し(ステップS112)、そのIDによりIDデータベースD1を検索し(ステップS113)、IDが存在するかどうか判断する(ステップS114)。   The network device 1B on the responder side starts processing (step S112), searches the ID database D1 with the ID (step S113), and determines whether the ID exists (step S114).

IDが存在する場合、アクセスデータベースD2を検索し(ステップS115)、IDを比較することによりアクセス条件に当てはまるかどうか判断する(ステップS116)。図4に示したアクセスデータベースD2の例では、例えば、「hogehoge」というIDのイニシエータが、IKEのISKMP(Internet Security Association Key Management Protocol)のパケットを送ってきた場合、現在時刻が9:00〜18:00であり、レスポンダがスタンバイの状態であったときのみ、IPsecによるアクセスを許可する。この条件以外の場合はアクセスを拒否する。   If the ID exists, the access database D2 is searched (step S115), and it is determined whether the access condition is met by comparing the IDs (step S116). In the example of the access database D2 illustrated in FIG. 4, for example, when an initiator having an ID “hogehoge” sends a packet of an IKE ISKMP (Internet Security Association Key Management Protocol), the current time is 9: 00 to 18. 0:00, and only when the responder is in the standby state, access by IPsec is permitted. In cases other than these conditions, access is denied.

図9および図10に戻り、アクセス条件に当てはまる場合、アクセス許可のコマンド(SAパラメータの提案)をイニシエータ側のネットワーク機器1Aに送信する(ステップS117)。   Returning to FIG. 9 and FIG. 10, if the access condition is met, an access permission command (SA parameter proposal) is transmitted to the network device 1A on the initiator side (step S117).

次いで、イニシエータ側のネットワーク機器1Aから秘密鍵で署名したイニシエータのIDおよび証明書情報を受信する(ステップS118)。このとき、レスポンダはこのIDに対する本人性確認をするために、このIDに対するハッシュ値の計算を実施し、この送付されたIDとレスポンダ側が保持するIDとその公開鍵とで署名が正しいかどうかを確認することにより本人認証を実施し、Phase1の処理を終了する(ステップS120)。これにより、続くPhase2以降で実際の暗号化通信を実施できるようにすることが可能となる。予めIDに対してアクセスコントロールを設定することにより、以降時間のかかるIPsecのための共通鍵の作成計算を必要としないアクセスコントロールを実施することができる。   Next, the initiator ID and certificate information signed with the private key are received from the network device 1A on the initiator side (step S118). At this time, in order to confirm the identity of the ID, the responder calculates a hash value for the ID, and checks whether the signature is correct with the sent ID, the ID held by the responder, and the public key. By confirming, the personal authentication is performed, and the processing of Phase 1 is ended (step S120). As a result, it is possible to perform actual encrypted communication after the subsequent Phase2. By setting access control with respect to the ID in advance, it is possible to perform access control that does not require the creation of a common key for IPsec, which takes time thereafter.

また、IDが存在しなかった場合もしくはアクセス条件に当てはまらなかった場合は、アクセス破棄のコマンドを送信し(ステップS119)、処理を終了する(ステップS120)。   If the ID does not exist or the access condition is not met, an access discard command is transmitted (step S119), and the process is terminated (step S120).

一方、上記のレスポンダでの処理におけるIDデータベースD1もしくはアクセスデータベースD2の検索においては、IDが完全に一致しない場合であっても次のように処理することができる。すなわち、図3のIDデータベースD1においては「saru@banana.com」のように名前付きFQDN(Fully Qualified Domain Name)で指定されており、図4のアクセスデータベースD2では「banana.com」のようにドメイン名のみが指定されている場合がある。この場合、完全一致ではないが、ドメイン名が一致したユーザに対しては図4のアクセスデータベースD2に示される内容でアクセスできるようにする。その他、X.500で定義されたDN(Distinguished Name)、FQDN等についても同様である。   On the other hand, in the search of the ID database D1 or the access database D2 in the above-described processing by the responder, even if the IDs do not completely match, the following processing can be performed. That is, in the ID database D1 of FIG. 3, it is specified by a named FQDN (Fully Qualified Domain Name) such as “saru@banana.com”, and in the access database D2 of FIG. Only the domain name may be specified. In this case, although it is not an exact match, a user whose domain name matches can be accessed with the contents shown in the access database D2 of FIG. In addition, X. The same applies to DN (Distinguished Name), FQDN, etc. defined in 500.

また、上記のレスポンダでの処理におけるIDデータベースD1、アクセスデータベースD2をレスポンダに保持せずに、図1に示した外部サーバ2に保持させることができる。この場合、イニシエータからIKEのデータ通信があった場合、アクセスされたIDを外部サーバ2に対して送付する。外部サーバ2は、IDデータベースD1およびアクセスデータベースD2を保持してあり、その内容と照らし合わせて、アクセス可能かどうかの結果をレスポンダに返す。レスポンダはその結果によりIPsecの処理を提供する。これにより、レスポンダ側のネットワーク機器1Bでは外部サーバ2を指定するだけでレスポンダ側へのアクセスコントロールを実現することができる。   Further, the ID database D1 and the access database D2 in the above-described processing in the responder can be held in the external server 2 shown in FIG. 1 without being held in the responder. In this case, when there is IKE data communication from the initiator, the accessed ID is sent to the external server 2. The external server 2 holds an ID database D1 and an access database D2, and returns a result of whether access is possible or not to the responder in comparison with the contents. The responder provides IPsec processing according to the result. As a result, the network device 1B on the responder side can realize access control to the responder side simply by specifying the external server 2.

図11はID/ポート関連付けの処理例を示すシーケンス図である。Phase1が終了し、イニシエータ、レスポンダのお互いの認証が終了したときに、お互いの認証と同時に、認証されたものからセキュリティポリシーを参照する。例えば、あるIPアドレスやIPアドレスのサブネットとの通信には、TCP(Transmission Control Protocol)のみをIPsecにしたり、TCPのあるポートのみをIPsecしたりすることでアクセスコントロールを実施することができる。   FIG. 11 is a sequence diagram illustrating an example of ID / port association processing. When Phase 1 is completed and the authentication of the initiator and the responder is completed, the security policy is referred to from the authenticated one at the same time as the mutual authentication. For example, for communication with a certain IP address or subnet of the IP address, access control can be performed by setting only TCP (Transmission Control Protocol) to IPsec or only a port having TCP.

図11において、イニシエータ側のネットワーク機器1AからConfiuration Methodによって、Phase1のIDとUDP(User Datagram Protocol)等のポート番号を送信する(ステップS121)。   In FIG. 11, the ID of Phase 1 and the port number such as UDP (User Datagram Protocol) are transmitted from the network device 1A on the initiator side by the configuration method (step S121).

レスポンダ側のネットワーク機器1Bでは、グループセキュリティポリシーデータベースD3(図5)およびID/グループ対応データベースD4(図6)を参照することで、ユーザのIDと識別ポートとの対応関係を把握し、IPsecアクセスデータベースD5(図7)を生成する。そして、レスポンダ側のネットワーク機器1Bはレスポンスを発し(ステップS122)、イニシエータ側のネットワーク機器1Aはそのレスポンスを受け取る。   The network device 1B on the responder side grasps the correspondence between the user ID and the identification port by referring to the group security policy database D3 (FIG. 5) and the ID / group correspondence database D4 (FIG. 6), and the IPsec access A database D5 (FIG. 7) is generated. Then, the network device 1B on the responder side issues a response (step S122), and the network device 1A on the initiator side receives the response.

これにより、IPアドレスやIPアドレスのサブネットとは別に、IPsecによるSAを、IDとUDPポートを関連図けることにより、IDによる識別を可能とする。図12はUDPヘッダを付加したIPsecパケットの例を示す図であり、このパケットをIPsecのSAとして処理する。通常IPsecの識別には、IPアドレスを利用するが、IKEで認証した識別子に対して、IPsec上でもユーザによるアクセスコントロールを実現することができる。また、アクセスコントロールをグループ毎に管理することができる。なお、TCPにも同様に適用することができる。   Thereby, apart from the IP address and the subnet of the IP address, the SA based on IPsec can be identified by the ID by relating the ID and the UDP port. FIG. 12 is a diagram showing an example of an IPsec packet to which a UDP header is added, and this packet is processed as an IPsec SA. Usually, an IP address is used for identification of IPsec, but access control by a user can be realized even on IPsec for an identifier authenticated by IKE. In addition, access control can be managed for each group. The same applies to TCP.

図13はIKE Phase2の処理例を示すシーケンス図である。   FIG. 13 is a sequence diagram illustrating a processing example of IKE Phase2.

図13において、イニシエータ側のネットワーク機器1AからSAパラメータの提案を行い(ステップS131)、レスポンダ側のネットワーク機器1Bはこれを受け取る。   In FIG. 13, an SA parameter is proposed from the network device 1A on the initiator side (step S131), and the network device 1B on the responder side receives this.

次いで、レスポンダ側のネットワーク機器1BからもSAパラメータの提案を行い(ステップS132)、イニシエータ側のネットワーク機器1Aはこれを受け取る。   Next, the SA parameter is also proposed from the network device 1B on the responder side (step S132), and the network device 1A on the initiator side receives this.

次いで、イニシエータ側のネットワーク機器1AからイニシエータのIDおよび認証情報を送信し(ステップS133)、Phase2の処理を終了する。   Next, the initiator ID and authentication information are transmitted from the network device 1A on the initiator side (step S133), and the phase 2 process is terminated.

その後、上述したIPsecアクセスデータベースD5(図7)の内容に基づき、IPsec通信が行われる。   Thereafter, IPsec communication is performed based on the contents of the above-described IPsec access database D5 (FIG. 7).

以上、本発明の好適な実施の形態により本発明を説明した。ここでは特定の具体例を示して本発明を説明したが、特許請求の範囲に定義された本発明の広範な趣旨および範囲から逸脱することなく、これら具体例に様々な修正および変更を加えることができることは明らかである。すなわち、具体例の詳細および添付の図面により本発明が限定されるものと解釈してはならない。   The present invention has been described above by the preferred embodiments of the present invention. While the invention has been described with reference to specific embodiments, various modifications and changes may be made to the embodiments without departing from the broad spirit and scope of the invention as defined in the claims. Obviously you can. In other words, the present invention should not be construed as being limited by the details of the specific examples and the accompanying drawings.

本発明のネットワーク機器を用いたネットワークシステムの一実施形態を示す全体構成図である。1 is an overall configuration diagram showing an embodiment of a network system using a network device of the present invention. レスポンダ側のネットワーク機器の内部構成例を示す図である。It is a figure which shows the internal structural example of the network apparatus by the side of a responder. IDデータベースの例を示す図である。It is a figure which shows the example of ID database. アクセスデータベースの例を示す図である。It is a figure which shows the example of an access database. グループセキュリティポリシーデータベースの例を示す図である。It is a figure which shows the example of a group security policy database. ID/グループ対応データベースの例を示す図である。It is a figure which shows the example of an ID / group corresponding | compatible database. IPsecアクセスデータベースの例を示す図である。It is a figure which shows the example of an IPsec access database. 実施形態の全体的な処理例を示すフローチャートである。It is a flowchart which shows the example of the whole process of embodiment. IKE Phase1の処理例を示すシーケンス図である。It is a sequence diagram which shows the process example of IKE Phase1. IKE Phase1におけるレスポンダ側のネットワーク機器の処理例を示すフローチャートである。It is a flowchart which shows the process example of the network apparatus by the side of the responder in IKE Phase1. ID/ポート関連付けの処理例を示すシーケンス図である。It is a sequence diagram which shows the example of a process of ID / port correlation. UDPヘッダを付加したIPsecパケットの例を示す図である。It is a figure which shows the example of the IPsec packet which added the UDP header. IKE Phase2の処理例を示すシーケンス図である。It is a sequence diagram which shows the process example of IKE Phase2.

符号の説明Explanation of symbols

1A、1B ネットワーク機器
11 Phase1処理部
12 アクセス条件確認部
13 ID/ポート関連付け設定部
14 Phase2処理部
15 IPsec通信処理部
D1 IDデータベース
D2 アクセスデータベース
D3 グループセキュリティポリシーデータベース
D4 ID/グループ対応データベース
D5 IPsecアクセスデータベース
2 外部サーバ
3 ネットワーク 1A, 1B Network equipment 11 Phase 1 processing unit 12 Access condition confirmation unit 13 ID / port association setting unit 14 Phase 2 processing unit 15 IPsec communication processing unit D1 ID database D2 access database D3 Group security policy database D4 ID / group correspondence database D5 IPsec access Database 2 External server 3 Network

Claims (14)

暗号化手段を有し、ネットワークに接続されるネットワーク機器であって、
暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する手段を備えたことを特徴とするネットワーク機器。 A network device having encryption means and connected to a network,
A network device comprising means for acquiring an ID of a user of the initiator from the initiator and determining whether access is possible by referring to a database in the process for generating the encrypted shared key. 請求項1に記載のネットワーク機器において、
上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器。 The network device according to claim 1,
A network device characterized by determining a match with registration information by using a part of the ID when determining the ID. 請求項1または2のいずれか一項に記載のネットワーク機器において、
レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 1 or 2,
A network device characterized in that a database of access control is held on the responder side. 請求項1または2のいずれか一項に記載のネットワーク機器において、
レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 1 or 2,
A network device characterized in that an access control database is not held on the responder side, the server device is inquired, the access control is determined by the server device, and the result is obtained on the responder side. 請求項1乃至4のいずれか一項に記載のネットワーク機器において、
上記のIDをセキュリティポリシーと関連付けて設定する手段を備えたことを特徴とするネットワーク機器。 The network device according to any one of claims 1 to 4,
A network device comprising means for setting the ID in association with a security policy. 請求項5に記載のネットワーク機器において、
上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うことを特徴とするネットワーク機器。 The network device according to claim 5, wherein
A network device characterized in that the association between the ID and the security policy is performed through a port identifier. 請求項5または6のいずれか一項に記載のネットワーク機器において、
上記のセキュリティポリシーはアクセスグープごとに設定されていることを特徴とするネットワーク機器。 In the network apparatus as described in any one of Claim 5 or 6,
A network device characterized in that the above security policy is set for each access group. 暗号化手段を有し、ネットワークに接続されるネットワーク機器のアクセス制御方法であって、
暗号化共有鍵を生成するための処理に際し、イニシエータから当該イニシエータのユーザのIDを取得し、データベースを参照してアクセス可能であるか否か判断する工程を備えたことを特徴とするネットワーク機器のアクセス制御方法。 An access control method for a network device having encryption means and connected to a network,
A network device comprising a step of acquiring an ID of a user of the initiator from the initiator and determining whether the access is possible by referring to a database in the process for generating the encryption shared key Access control method. 請求項8に記載のネットワーク機器のアクセス制御方法において、
上記のIDを判断するにあたり、当該IDの一部を利用して登録情報との一致を判断することを特徴とするネットワーク機器のアクセス制御方法。 The network device access control method according to claim 8,
An access control method for a network device, characterized in that, in determining the ID, a match with registration information is determined using a part of the ID. 請求項8または9のいずれか一項に記載のネットワーク機器のアクセス制御方法において、
レスポンダ側にアクセスコントロールのデータベースを保持することを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 8 and 9,
An access control method for a network device, characterized in that an access control database is held on a responder side. 請求項8または9のいずれか一項に記載のネットワーク機器のアクセス制御方法において、
レスポンダ側にアクセスコントロールのデータベースを保持せず、サーバ機器に対して問い合わせを行い、当該サーバ機器でアクセスコントロールの判断を行い、その結果をレスポンダ側で取得することを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 8 and 9,
Access control of a network device, characterized in that the responder does not hold an access control database, makes an inquiry to the server device, determines the access control at the server device, and obtains the result on the responder side Method. 請求項8乃至11のいずれか一項に記載のネットワーク機器のアクセス制御方法において、
上記のIDをセキュリティポリシーと関連付けて設定する工程を備えたことを特徴とするネットワーク機器のアクセス制御方法。 The network device access control method according to any one of claims 8 to 11,
A network device access control method comprising a step of setting the ID in association with a security policy. 請求項12に記載のネットワーク機器のアクセス制御方法において、
上記のIDとセキュリティポリシーとの関連付けは、ポート識別子を介して行うことを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to claim 12,
An access control method for a network device, wherein the association between the ID and the security policy is performed via a port identifier. 請求項12または13のいずれか一項に記載のネットワーク機器のアクセス制御方法において、
上記のセキュリティポリシーはアクセスグープごとに設定されていることを特徴とするネットワーク機器のアクセス制御方法。 The access control method for a network device according to any one of claims 12 and 13,
An access control method for a network device, wherein the security policy is set for each access group.
JP2006075644A 2006-03-17 2006-03-17 Network equipment Expired - Fee Related JP4994683B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006075644A JP4994683B2 (en) 2006-03-17 2006-03-17 Network equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006075644A JP4994683B2 (en) 2006-03-17 2006-03-17 Network equipment

Publications (3)

Publication Number Publication Date
JP2007251842A true JP2007251842A (en) 2007-09-27
JP2007251842A5 JP2007251842A5 (en) 2009-04-09
JP4994683B2 JP4994683B2 (en) 2012-08-08

Family

ID=38595624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006075644A Expired - Fee Related JP4994683B2 (en) 2006-03-17 2006-03-17 Network equipment

Country Status (1)

Country Link
JP (1) JP4994683B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011199340A (en) * 2010-03-17 2011-10-06 Fujitsu Ltd Communication apparatus and method, and communication system

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001298449A (en) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd Security communication method, communication system and its unit
JP2003115834A (en) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp Security association cutting/continuing method and communication system
JP2004062417A (en) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> Certification server device, server device and gateway device
JP2004104542A (en) * 2002-09-11 2004-04-02 Nec Corp Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor
JP2004289257A (en) * 2003-03-19 2004-10-14 Hitachi Ltd Network authentication apparatus and system
JP2005160005A (en) * 2003-11-04 2005-06-16 Ntt Communications Kk Building method of encryption communication channel between terminals, device for it, and program
JP2005167608A (en) * 2003-12-02 2005-06-23 Canon Inc System and method for ciphered communication computer program, and computer readable recording medium
JP2005175825A (en) * 2003-12-10 2005-06-30 Ntt Data Corp Encrypted packet filtering device, program thereof, and host device
JP2006019824A (en) * 2004-06-30 2006-01-19 Kddi Corp Secure communication system, management apparatus, and communication terminal
JP2006060748A (en) * 2004-08-24 2006-03-02 Hitachi Communication Technologies Ltd User identifier management method, mobile ip agent and home agent
JP2006352710A (en) * 2005-06-17 2006-12-28 Ntt Communications Kk Packet repeating apparatus and program
JP2007097010A (en) * 2005-09-30 2007-04-12 Fujitsu Ltd Access support apparatus and gateway apparatus
JP2008072242A (en) * 2006-09-12 2008-03-27 Ricoh Co Ltd Network apparatus

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001298449A (en) * 2000-04-12 2001-10-26 Matsushita Electric Ind Co Ltd Security communication method, communication system and its unit
JP2003115834A (en) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp Security association cutting/continuing method and communication system
JP2004062417A (en) * 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> Certification server device, server device and gateway device
JP2004104542A (en) * 2002-09-11 2004-04-02 Nec Corp Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor
JP2004289257A (en) * 2003-03-19 2004-10-14 Hitachi Ltd Network authentication apparatus and system
JP2005160005A (en) * 2003-11-04 2005-06-16 Ntt Communications Kk Building method of encryption communication channel between terminals, device for it, and program
JP2005167608A (en) * 2003-12-02 2005-06-23 Canon Inc System and method for ciphered communication computer program, and computer readable recording medium
JP2005175825A (en) * 2003-12-10 2005-06-30 Ntt Data Corp Encrypted packet filtering device, program thereof, and host device
JP2006019824A (en) * 2004-06-30 2006-01-19 Kddi Corp Secure communication system, management apparatus, and communication terminal
JP2006060748A (en) * 2004-08-24 2006-03-02 Hitachi Communication Technologies Ltd User identifier management method, mobile ip agent and home agent
JP2006352710A (en) * 2005-06-17 2006-12-28 Ntt Communications Kk Packet repeating apparatus and program
JP2007097010A (en) * 2005-09-30 2007-04-12 Fujitsu Ltd Access support apparatus and gateway apparatus
JP2008072242A (en) * 2006-09-12 2008-03-27 Ricoh Co Ltd Network apparatus

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011199340A (en) * 2010-03-17 2011-10-06 Fujitsu Ltd Communication apparatus and method, and communication system

Also Published As

Publication number Publication date
JP4994683B2 (en) 2012-08-08

Similar Documents

Publication Publication Date Title
JP3912609B2 (en) Remote access VPN mediation method and mediation device
JP4033868B2 (en) Method and apparatus for processing authentication in IPv6 network
Winter et al. Transport layer security (TLS) encryption for RADIUS
JP4766574B2 (en) Preventing duplicate sources from clients handled by network address port translators
US7003662B2 (en) System and method for dynamically determining CRL locations and access methods
Frankel et al. Ip security (ipsec) and internet key exchange (ike) document roadmap
US6938155B2 (en) System and method for multiple virtual private network authentication schemes
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
RU2289886C2 (en) Method, bridge, and system for data transfer between public data network device and intercom network device
JP4482601B2 (en) Preventing duplicate sources from clients handled by network address port translators
US20100077204A1 (en) Information processing apparatus, management apparatus, communication system and computer readable medium
US20060174120A1 (en) System and method for providing peer-to-peer communication
JP2009111437A (en) Network system
JP5078422B2 (en) Server apparatus, information processing apparatus, program, and recording medium
JPWO2002067512A1 (en) Packet filtering method and packet communication system for ensuring communication security
US11936633B2 (en) Centralized management of private networks
US20090328139A1 (en) Network communication device
JP4994683B2 (en) Network equipment
JP4426443B2 (en) Improved security method and apparatus for communicating over a network
JP2011054182A (en) System and method for using digital batons, and firewall, device, and computer readable medium to authenticate message
US20210092099A1 (en) Network access system for detecting intrusions over a network
JP4874037B2 (en) Network equipment
JP2006019824A (en) Secure communication system, management apparatus, and communication terminal
JP2008199420A (en) Gateway device and authentication processing method
JP2005079921A (en) Communication equipment, address creating method, program and storage medium

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090219

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110830

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120410

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120509

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4994683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees